内容分发网络的反劫持方法、装置、介质和电子设备
技术领域
本公开涉及计算机技术领域,具体地,涉及一种内容分发网络的反劫持方法、装置、介质和电子设备。
背景技术
相关技术中,对于内容分发网络(Content Delivery Network,CDN)而言,通常是全链路使用安全套接层上的超文本传输协议(Hyper Text TransferProtocol overSecureSocket Layer,HTTPS)。这种方式虽然可以避免劫持问题,但是会导致机器的性能损耗大,增加了CDN节点和源站的压力。
发明内容
提供该发明内容部分以便以简要的形式介绍构思,这些构思将在后面的具体实施方式部分被详细描述。该发明内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征,也不旨在用于限制所要求的保护的技术方案的范围。
第一方面,本公开提供一种内容分发网络的反劫持方法,包括:从内容请求方接收内容请求,所述内容请求用于请求目标内容;根据约定密钥和所述目标内容的内容大小进行加密计算,得到第一加密信息,所述第一加密信息用于所述内容请求方校验所述目标内容是否被劫持;向所述内容请求方发送针对所述内容请求的第一响应,所述第一响应中包括所述第一加密信息、所述内容大小和所述目标内容。
第二方面,本公开提供一种内容分发网络的反劫持方法,包括:向内容提供方发送内容请求,所述内容请求用于请求获取目标内容;接收所述内容提供方发送的针对所述内容请求的响应;在所述响应中包括第一加密信息、所述目标内容以及所述目标内容的内容大小的情况下,根据约定密钥和所述内容大小进行加密计算,得到第二加密信息;利用所述第一加密信息和所述第二加密信息,校验所述目标内容是否被劫持。
第三方面,本公开提供一种计算机可读介质,其上存储有计算机程序,该程序被处理装置执行时实现本公开第一方面或第二方面所述方法的步骤。
第四方面,本公开提供一种电子设备,包括:存储装置,其上存储有计算机程序;处理装置,用于执行所述存储装置中的所述计算机程序,以实现本公开第一方面或第二方面所述方法的步骤。
通过采用上述技术方案,由于在加密计算时使用了约定密钥,而约定密钥很难被猜到,所以即使劫持方对服务侧返回给内容请求方的目标内容做了修改而且修改后的内容大小与本来的内容大小一致而且甚至劫持方猜出了服务侧加密计算所使用的加密算法,但是由于劫持方很难猜到服务侧进行加密计算时所使用的约定密钥,所以劫持方计算出来的加密信息很难与服务侧计算出来的第一加密信息一致,使得内容请求方在接收到服务侧返回的响应之后能够有效地校验出目标内容在传送过程中是否被劫持,增强了反劫持的效果。另外,由于在加密计算时使用的是内容大小而非整个目标内容,因此加密计算操作不会消耗机器性能,使得能够在生产环境中大规模使用。
本公开的其他特征和优点将在随后的具体实施方式部分予以详细说明。
附图说明
结合附图并参考以下具体实施方式,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中,相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的,原件和元素不一定按照比例绘制。在附图中:
图1是关于CDN网络的场景图。
图2是根据本公开一种实施例的内容分发网络的反劫持方法的流程图。
图3是根据本公开一种实施例的内容分发网络的反劫持方法的流程图。
图4是根据本公开一种实施例的CDN网络中的CDN节点、源站和客户端之间的反劫持交互流程示意图。
图5是根据本公开一种实施例的内容分发网络的反劫持装置的示意框图。
图6是根据本公开一种实施例的内容分发网络的反劫持装置的示意框图。
图7是根据本公开一种实施例的电子设备的结构示意图。
具体实施方式
下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例,然而应当理解的是,本公开可以通过各种形式来实现,而且不应该被解释为限于这里阐述的实施例,相反提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是,本公开的附图及实施例仅用于示例性作用,并非用于限制本公开的保护范围。
应当理解,本公开的方法实施方式中记载的各个步骤可以按照不同的顺序执行,和/或并行执行。此外,方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本公开的范围在此方面不受限制。
本文使用的术语“包括”及其变形是开放性包括,即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”;术语“另一实施例”表示“至少一个另外的实施例”;术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。
需要注意,本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分,并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
需要注意,本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的,本领域技术人员应当理解,除非在上下文另有明确指出,否则应该理解为“一个或多个”。
本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的,而并不是用于对这些消息或信息的范围进行限制。
图1是关于CDN网络的场景图。如图1所示,CDN网络包括多个源站10、多个CDN节点20和多个客户端30。CDN节点20位于用户接入点,是面向最终用户的内容提供设备,可缓存静态web内容和流媒体内容,实现内容的边缘传播和储存,以便用户的就近访问。客户端30可以是移动终端,也可以是台式计算机。
当客户端30想访问某个内容时,该客户端首先会向就近的CDN节点20发起请求。如果该CDN节点20上缓存有客户端30请求的内容,该CDN节点会将缓存的内容发送给客户端30。如果该CDN节点20上没有缓存客户端30请求的内容,该CDN节点20会向源站10请求该内容;如果该CDN节点20成功从源站10请求到客户端30所请求的内容,则该CDN节点20会缓存该内容并将该内容发给客户端30。
图2是根据本公开一种实施例的内容分发网络的反劫持方法的流程图。该方法适用于CDN节点20作为服务侧以及源站10作为服务侧的场景。如图2所示,该反劫持方法包括以下步骤S11至S13。
在步骤S11中,从内容请求方接收内容请求,内容请求用于请求目标内容。
在客户端30向CDN节点20请求目标内容的情况下,内容请求方是客户端30。在CDN节点20向源站10请求目标内容的情况下,内容请求方是CDN节点20。
目标内容可以是静态web内容,也可以是流媒体内容,还可以是图片等等。也即,本公开不限制目标内容的具体形式。
在步骤S12中,根据约定密钥和目标内容的内容大小进行加密计算,得到第一加密信息,第一加密信息用于内容请求方校验目标内容是否被劫持,也即是否被篡改。
内容大小与目标内容是强相关的,如果目标内容在传送过程中被篡改,那么其内容大小通常也会随着变化,篡改后的目标内容的内容大小与原始目标内容的内容大小一样的概率非常小,因为如果不变化,则篡改后的目标内容就无法被展示,劫持者也就无法达到其篡改目标内容的目的,因为劫持者对目标内容进行篡改的目的主要是为了插入其想展示的内容。
约定密钥指的是内容请求方和服务侧事先约定好的密钥。本公开不限制约定密钥的具体形式和大小,例如,约定密钥可以是静态密钥,也可以是动态密钥,其大小可以为至少10字节以上。通过如此配置,即使劫持方对服务侧返回给内容请求方的目标内容做了修改而且修改后的内容大小与本来的内容大小一致而且甚至劫持方猜出了服务侧加密计算所使用的加密算法,但是由于劫持方很难猜到服务侧进行加密计算时所使用的约定密钥,所以劫持方计算出来的加密信息很难与服务侧计算出来的第一加密信息一致,使得内容请求方在接收到服务侧返回的响应之后能够有效地校验出目标内容在传送过程中是否被劫持,增强了反劫持的效果。
约定密钥的数量可以为多个。在这种情况下,可以根据目标内容的内容大小和多个约定密钥中的其中一个约定密钥进行加密计算。例如,可以从多个约定密钥中随机选择其中一个约定密钥,也可以根据每个约定密钥的约定使用顺序和约定使用时长(也即内容请求方和服务侧双方事先约定好的使用顺序和使用时长)来确定当次加密计算应当使用的约定密钥。例如,假设有3个约定密钥A、B和C,其约定使用顺序是按照ABC的顺序循环使用,其中A的约定使用时长是T1,B的约定使用时长是T2,C的约定使用时长是T3,则假设前一次加密计算时使用的约定密钥是C,而在当次加密计算时确定约定密钥C的使用时长已经期满,则按照约定使用顺序可以确定当次加密应当轮到使用约定密钥A了,若此时约定密钥A的使用时长还没有期满,则可以确定当次应当使用约定密钥A进行加密计算。
通过事先约定好多个约定密钥并定期轮换加密计算所使用的约定密钥或者随机选择加密计算所使用的约定密钥,这样,增加了劫持方猜出服务侧进行加密计算时所使用的约定密钥的难度,使得劫持方计算出来的加密信息很难与服务侧计算出来的第一加密信息一致,使得内容请求方在接收到服务侧返回的响应之后能够有效地校验出目标内容在传送过程中是否被劫持,增强了反劫持的效果。
在一个实施例中,根据约定密钥和目标内容的内容大小进行加密计算的实现方式多种多样。例如,一种实现方式可以是,先分别对约定密钥进行加密计算得到加密信息A以及对内容大小进行加密计算得到加密信息B,然后对加密信息A和加密信息B进行拼接得到第一加密信息。另一种实现方式可以是,先对约定密钥和内容大小进行拼接,然后对拼接得到的信息进行加密计算得到第一加密信息。
另外,可以采用各种加密算法进行加密计算,例如哈希加密算法、对称加密算法、非对称加密算法等等。在一个实施例中,例如可以采用MD5加密算法进行加密计算。
在一个实施例中,可以基于目标内容的统一资源标识符和/或目标内容所关联的域名来对加密计算进行预先配置,也即预先配置针对哪些统一资源标识符需要执行加密计算操作、针对哪些统一资源标识符不需要执行加密计算操作、针对哪些域名需要执行加密计算操作、针对哪些域名不需要执行加密计算操作。则,在进行加密计算之前,就需要先基于目标内容的统一资源标识符和/或目标内容所关联的域名,确定是否需要进行加密计算;若确定需要进行加密计算,则根据约定密钥和内容大小进行加密计算。通过如此配置,就能够针对特定的统一资源标识符和/或目标内容所关联的域名来确定目标内容在传送过程中是否被劫持。
在步骤S13中,向内容请求方发送针对内容请求的第一响应,第一响应中包括第一加密信息、内容大小和目标内容。
其中,第一加密信息、内容大小可以被放在第一响应的响应头中。
通过采用上述技术方案,由于在接收到内容请求方的内容请求之后,首先根据约定密钥和目标内容的内容大小进行加密计算得到第一加密信息,然后向内容请求方发送针对内容请求的、包括第一加密信息、内容大小和目标内容的第一响应,由于在加密计算时使用了约定密钥,而约定密钥很难被猜到,所以即使劫持方对服务侧返回给内容请求方的目标内容做了修改而且修改后的内容大小与本来的内容大小一致而且甚至劫持方猜出了服务侧加密计算所使用的加密算法,但是由于劫持方很难猜到服务侧进行加密计算时所使用的约定密钥,所以劫持方计算出来的加密信息很难与服务侧计算出来的第一加密信息一致,使得内容请求方在接收到服务侧返回的响应之后能够有效地校验出目标内容在传送过程中是否被劫持,增强了反劫持的效果。另外,由于在加密计算时使用的是内容大小而非整个目标内容,因此加密计算操作不会消耗机器性能,使得能够在生产环境中大规模使用。
图3是根据本公开一种实施例的内容分发网络的反劫持方法的流程图。该方法适用于CDN节点20作为终端侧以及客户端30作为终端侧的场景。如图3所示,该反劫持方法包括以下步骤S21至S24。
在步骤S21中,向内容提供方发送内容请求,内容请求用于请求获取目标内容。
在客户端30向CDN节点20请求目标内容的情况下,内容提供方是CDN节点20。在CDN节点20向源站10请求目标内容的情况下,内容提供方是源站10。
在步骤S22中,接收内容提供方发送的针对内容请求的响应。
在步骤S23中,在响应中包括第一加密信息、目标内容以及目标内容的内容大小的情况下,根据约定密钥和内容大小进行加密计算,得到第二加密信息。其中,进行加密计算时使用的内容大小从所述响应中获取。
关于目标内容的内容大小和约定密钥,在前面已经进行了描述,此处不再赘述。
约定密钥的数量可以为多个。在这种情况下,可以分别根据多个约定密钥中的每个约定密钥和内容大小进行加密计算,得到与多个约定密钥一一对应的第二加密信息。例如,假设有三个约定密钥A、B和C,则需要分别根据约定密钥A和内容大小进行加密计算,根据约定密钥B和内容大小进行加密计算,根据约定密钥C和内容大小进行加密计算,这样就会得到三个第二加密信息。则,在后续步骤S24中,就需要将这三个第二加密信息分别与第一加密信息进行匹配。
或者,也可以依据多个约定密钥中每个约定密钥的约定使用顺序和约定使用时长(也即内容提供方和终端侧双方事先约定好的使用顺序和使用时长)确定目标约定密钥,并根据目标约定密钥和内容大小进行加密计算,得到第二加密信息。例如,假设有3个约定密钥A、B和C,其约定使用顺序是按照ABC的顺序循环使用,其中A的约定使用时长是T1,B的约定使用时长是T2,C的约定使用时长是T3,则假设前一次加密计算时使用的约定密钥是C,而在当次加密计算时确定约定密钥C的使用时长已经期满,则按照约定使用顺序可以确定当次加密应当轮到使用约定密钥A了,若此时约定密钥A的使用时长还没有期满,则可以确定当次应当使用约定密钥A作为目标约定密钥。
在一个实施例中,根据约定密钥和内容大小进行加密计算得到第二加密信息的实现方式多种多样。例如,一种实现方式可以是,先分别对约定密钥进行加密计算得到加密信息A以及对内容大小进行加密计算得到加密信息B,然后对加密信息A和加密信息B进行拼接得到第二加密信息。另一种实现方式可以是,先对约定密钥和内容大小进行拼接,然后对拼接得到的信息进行加密计算得到第二加密信息。无论是哪种实现方式,都要确保内容提供方使用的加密方式与终端侧使用的加密方式相同,这样才能使得对两者计算出来的第一加密信息和第二加密信息进行匹配具有参考意义,否则,如果两者采用的加密方式不同,即使两者加密计算出来的第一加密信息和第二加密信息一致,也不能说明目标内容在传送过程中没有被篡改。
另外,可以采用各种加密算法进行加密计算,例如哈希加密算法、对称加密算法、非对称加密算法等等。在一个实施例中,例如可以采用MD5加密算法进行加密计算。
在步骤S24中,利用第一加密信息和第二加密信息,校验目标内容是否被劫持。
例如,如果第一加密信息和第二加密信息一致,则说明目标内容在传送过程中没有被篡改,如果第一加密信息和第二加密信息不一致,则说明目标内容在传送过程中被篡改了。
通过采用上述技术方案,由于在接收到内容提供方发送的针对内容请求的响应之后,首先在响应中包括第一加密信息、目标内容以及目标内容的内容大小的情况下,根据约定密钥和内容大小进行加密计算,得到第二加密信息,然后利用第一加密信息和第二加密信息校验目标内容是否被劫持,由于在加密计算时使用了约定密钥,而约定密钥很难被猜到,所以即使劫持方对服务侧返回给内容请求方的目标内容做了修改而且修改后的内容大小与本来的内容大小一致而且甚至劫持方猜出了服务侧加密计算所使用的加密算法,但是由于劫持方很难猜到服务侧进行加密计算时所使用的约定密钥,所以劫持方计算出来的加密信息很难与服务侧计算出来的第一加密信息一致,使得终端侧在接收到内容提供方返回的响应之后能够利用第一加密信息和第二加密信息的一致性来有效地校验出目标内容在传送过程中是否被劫持,增强了反劫持的效果。另外,由于在加密计算时使用的是内容大小而非整个目标内容,因此加密计算操作不会消耗机器性能,使得能够在生产环境中大规模使用。
在一种实施例中,根据本公开实施例的方法还包括:在确定目标内容被劫持的情况下,若目标内容所关联的域名有证书,则向内容提供方发送用于请求目标内容的安全套接层上的超文本传输协议(Hyper Text Transfer Protocol over SecureSocket Layer,HTTPS)请求。通过这种方式,就能够在确定目标内容被劫持的情况下,通过HTTPS请求的方式来获取到目标内容。
图4是根据本公开一种实施例的CDN网络中的CDN节点20、源站10和客户端30之间的反劫持交互流程示意图。
首先,在步骤S41中,客户端30向CDN发送内容请求,该内容请求用于请求目标内容。
然后,在步骤S42中,CDN节点20确定自身是否有关于客户端30请求的目标内容的缓存。如果有,则转向步骤S43,如果没有,则转向步骤S49。
在步骤S43中,CDN节点20根据与客户端30之间的约定密钥以及缓存内容的大小进行加密计算,得到第一加密信息。
在本公开中,CDN节点20与客户端30之间的约定密钥、CDN节点20与源站10之间的约定密钥,可以相同,也可以不同。
然后,在步骤S44中,CDN节点20向客户端30发送第一响应,该第一响应中携带了第一加密信息、客户端30所请求的目标内容及其内容大小。
然后,在步骤S45中,客户端30根据与CDN节点20之间的约定密钥以及第一响应中的内容大小进行加密计算,得到第二加密信息。
然后,在步骤S46中,客户端30确定目标内容是否被劫持,也即通过判断第一加密信息和第二加密信息是否一致来确定目标内容是否被劫持。如果没有被劫持,则客户端30就会保存目标内容。如果被劫持,则转向步骤S47。另外,在确定被劫持的情况下,客户端30也可以上传异常日志。
在步骤S47中,客户端30确定所请求的目标内容所关联的域名是否有证书,如果有证书,则转向步骤S48。
在步骤S48中,客户端30向CDN节点20发送https请求,以便通过安全套接字协议(Secure Sockets Layer,SSL)加密的方式获取目标内容。该步骤S48是可选的。另外,发起https请求的次数可以预先进行设置。
在步骤S49中,如果在步骤S42中CDN节点20确定自身没有关于客户端30所请求的目标内容的缓存,则CDN节点20向源站10发送内容请求,该内容请求用于指示CDN节点20希望获取的目标内容。
其中,如果CDN节点20上之前完全没有关于客户端30所请求的目标内容,则CDN节点20会向源站10请求完整的、客户端30所请求的目标内容。如果CDN节点20上之前已经有关于客户端30所请求的目标内容的一部分,则CDN节点20只需要向源站10请求关于客户端30所请求的目标内容中尚未被CDN节点20缓存的内容即可。
然后,在步骤S50中,源站10根据CDN节点20请求的目标内容的内容大小和与CDN节点20之间的约定密钥进行加密计算,得到第三加密信息。
然后,在步骤S51中,源站10向CDN节点20发送第二响应,该第二响应中携带第三加密信息、CDN节点20所请求的目标内容及其内容大小。
然后,在步骤S52中,CDN节点20根据与源站10之间的约定密钥以及第二响应中携带的内容大小进行加密计算,得到第四加密信息。
然后,在步骤S53中,CDN节点20确定第二响应中的目标内容是否被劫持,也即通过判断第三加密信息与第四加密信息是否一致来进行确定。如果没有被劫持,则CDN节点20就会缓存第二响应中携带的目标内容,至此CDN节点20中就缓存了客户端30所请求的目标内容的全部内容,并转向步骤S43。如果在步骤S53中确定第二响应中携带的目标内容被劫持了,则转向步骤S54。
在步骤S54中,CDN节点20判断CDN节点20所请求的目标内容所关联的域名是否有证书。如果有证书,则转向步骤S55。
在步骤S55中,CDN节点20向源站10发送https请求,以通过SSL加密的方式获取CDN节点20希望获取的目标内容。该步骤S55是可选的,而且,发起https请求的次数可以预先进行设置。
然后,在步骤S56中,源站10向CDN节点20返回https响应,该响应中携带了CDN节点20所请求的目标内容,则CDN节点20就会缓存该响应中携带的目标内容,至此CDN节点20中就缓存了客户端30所请求的目标内容的全部内容,并转向步骤S43。
在步骤S57中,如果在步骤S54中CDN节点20确定没有所请求的目标内容所关联的域名,则CDN节点20向客户端30返回第三响应,该第三响应中携带了用于指示客户端30所请求的目标内容没有被成功缓存的指示。然后,可以转向步骤S47,以便客户端30确定是否有所请求的目标内容所关联的域名的证书并是否向CDN节点20发送https请求。
至此,就实现了客户端30、CDN节点20和源站10之间的反劫持交互流程。由于在整个流程中,主要是根据约定密钥和内容大小进行加密计算,所以能够不消耗客户端30、CDN节点20和源站10的机器性能,而且还能够确保有效地校验被传送的内容是否被劫持。另外,在该流程中所涉及的某些操作(例如加密计算操作等)的具体实现方式已经在前文中进行了详细描述,所以在此不再赘述。
图5是根据本公开一种实施例的内容分发网络的反劫持装置的示意框图。该反劫持装置适用于CDN节点20作为服务侧以及源站10作为服务侧的场景。如图5所示,该反劫持装置包括:第一接收模块51,用于从内容请求方接收内容请求,所述内容请求用于请求目标内容;第一加密计算模块52,用于根据约定密钥和所述目标内容的内容大小进行加密计算,得到第一加密信息,所述第一加密信息用于所述内容请求方校验所述目标内容是否被劫持;第一发送模块53,用于向所述内容请求方发送针对所述内容请求的第一响应,所述第一响应中包括所述第一加密信息、所述内容大小和所述目标内容。
通过采用上述技术方案,由于在接收到内容请求方的内容请求之后,首先根据约定密钥和目标内容的内容大小进行加密计算得到第一加密信息,然后向内容请求方发送针对内容请求的、包括第一加密信息、内容大小和目标内容的第一响应,由于在加密计算时使用了约定密钥,而约定密钥很难被猜到,所以即使劫持方对服务侧返回给内容请求方的目标内容做了修改而且修改后的内容大小与本来的内容大小一致而且甚至劫持方猜出了服务侧加密计算所使用的加密算法,但是由于劫持方很难猜到服务侧进行加密计算时所使用的约定密钥,所以劫持方计算出来的加密信息很难与服务侧计算出来的第一加密信息一致,使得内容请求方在接收到服务侧返回的响应之后能够有效地校验出目标内容在传送过程中是否被劫持,增强了反劫持的效果。另外,由于在加密计算时使用的是内容大小而非整个目标内容,因此加密计算操作不会消耗机器性能,使得能够在生产环境中大规模使用。
可选地,所述约定密钥的数量为多个,所述第一加密计算模块52用于:根据所述内容大小和其中一个所述约定密钥进行加密计算。
可选地,所述其中一个所述约定密钥为从多个所述约定密钥中随机选择的一个约定密钥,或者为依据多个所述约定密钥中每个约定密钥的约定使用顺序和约定使用时长而选择的约定密钥。
可选地,所述第一加密计算模块52还用于:基于所述目标内容的统一资源标识符和/或所述目标内容所关联的域名,确定是否需要进行加密计算;若确定需要进行加密计算,则根据所述约定密钥和所述内容大小进行加密计算。
可选地,所述反劫持装置应用于所述内容分发网络中的内容分发网络节点,所述内容请求方为所述内容分发网络中的客户端,则所述第一发送模块53还用于:在所述目标内容未被成功缓存的情况下,向所述内容请求方发送针对所述内容请求的第二响应,所述第二响应中包括关于所述目标内容未被成功缓存的指示。
可选地,所述第一加密计算模块52还用于:利用散列函数对所述约定密钥和所述内容大小进行加密计算。
图6是根据本公开一种实施例的内容分发网络的反劫持装置的示意框图。该装置适用于CDN节点20作为终端侧以及客户端30作为终端侧的场景。如图6所示,该反劫持装置6包括:第二发送模块61,用于向内容提供方发送内容请求,所述内容请求用于请求获取目标内容;第二接收模块62,用于接收所述内容提供方发送的针对所述内容请求的响应;第二加密计算模块63,用于在所述响应中包括第一加密信息、所述目标内容以及所述目标内容的内容大小的情况下,根据约定密钥和所述内容大小进行加密计算,得到第二加密信息;校验模块64,用于利用所述第一加密信息和所述第二加密信息,校验所述目标内容是否被劫持。
通过采用上述技术方案,由于在接收到内容提供方发送的针对内容请求的响应之后,首先在响应中包括第一加密信息、目标内容以及目标内容的内容大小的情况下,根据约定密钥和内容大小进行加密计算,得到第二加密信息,然后利用第一加密信息和第二加密信息校验目标内容是否被劫持,由于在加密计算时使用了约定密钥,而约定密钥很难被猜到,所以即使劫持方对服务侧返回给内容请求方的目标内容做了修改而且修改后的内容大小与本来的内容大小一致而且甚至劫持方猜出了服务侧加密计算所使用的加密算法,但是由于劫持方很难猜到服务侧进行加密计算时所使用的约定密钥,所以劫持方计算出来的加密信息很难与服务侧计算出来的第一加密信息一致,使得终端侧在接收到内容提供方返回的响应之后能够利用第一加密信息和第二加密信息的一致性来有效地校验出目标内容在传送过程中是否被劫持,增强了反劫持的效果。另外,由于在加密计算时使用的是内容大小而非整个目标内容,因此加密计算操作不会消耗机器性能,使得能够在生产环境中大规模使用。
可选地,所述约定密钥的数量为多个,所述第二加密计算模块63用于:分别根据多个所述约定密钥中的每个约定密钥和所述内容大小进行加密计算,得到与多个所述约定密钥一一对应的第二加密信息;或者依据多个所述约定密钥中每个约定密钥的约定使用顺序和约定使用时长确定目标约定密钥,并根据所述目标约定密钥和所述内容大小进行加密计算,得到所述第二加密信息。
可选地,所述第二发送模块61还用于:在所述校验模块64确定所述目标内容被劫持的情况下,若所述目标内容所关联的域名有证书,则向所述内容提供方发送用于请求所述目标内容的安全套接层上的超文本传输协议请求。
可选地,所述反劫持装置应用于所述内容分发网络中的客户端,所述内容提供方为所述内容分发网络中的内容分发网络节点,则所述第二发送模块61还用于:在所述响应中包括关于所述目标内容未被成功缓存的指示的情况下,若所述目标内容所关联的域名有证书,则向所述内容提供方发送用于请求所述目标内容的安全套接层上的超文本传输协议请求。
可选地,所述第二加密计算模块63还用于:利用散列函数对所述约定密钥和所述内容大小进行加密计算,得到所述第二加密信息。
下面参考图7,其示出了适于用来实现本公开实施例的电子设备(例如图1中的客户端或CDN节点或原则)600的结构示意图。本公开实施例中的终端设备可以包括但不限于诸如移动电话、笔记本电脑、数字广播接收器、PDA(个人数字助理)、PAD(平板电脑)、PMP(便携式多媒体播放器)、车载终端(例如车载导航终端)等等的移动终端以及诸如数字TV、台式计算机等等的固定终端。图7示出的电子设备仅仅是一个示例,不应对本公开实施例的功能和使用范围带来任何限制。
如图7所示,电子设备600可以包括处理装置(例如中央处理器、图形处理器等)601,其可以根据存储在只读存储器(ROM)602中的程序或者从存储装置608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中,还存储有电子设备600操作所需的各种程序和数据。处理装置601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。
通常,以下装置可以连接至I/O接口605:包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置606;包括例如液晶显示器(LCD)、扬声器、振动器等的输出装置607;包括例如磁带、硬盘等的存储装置608;以及通信装置609。通信装置609可以允许电子设备600与其他设备进行无线或有线通信以交换数据。虽然图7示出了具有各种装置的电子设备600,但是应理解的是,并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。
特别地,根据本公开的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本公开的实施例包括一种计算机程序产品,其包括承载在非暂态计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信装置609从网络上被下载和安装,或者从存储装置608被安装,或者从ROM 602被安装。在该计算机程序被处理装置601执行时,执行本公开实施例的方法中限定的上述功能。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
在一些实施方式中,客户端、服务器可以利用诸如HTTP(HyperText TransferProtocol,超文本传输协议)之类的任何当前已知或未来研发的网络协议进行通信,并且可以与任意形式或介质的数字数据通信(例如,通信网络)互连。通信网络的示例包括局域网(“LAN”),广域网(“WAN”),网际网(例如,互联网)以及端对端网络(例如,ad hoc端对端网络),以及任何当前已知或未来研发的网络。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:从内容请求方接收内容请求,所述内容请求用于请求目标内容;根据约定密钥和所述目标内容的内容大小进行加密计算,得到第一加密信息,所述第一加密信息用于所述内容请求方校验所述目标内容是否被劫持;向所述内容请求方发送针对所述内容请求的第一响应,所述第一响应中包括所述第一加密信息、所述内容大小和所述目标内容。
或者,上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被该电子设备执行时,使得该电子设备:向内容提供方发送内容请求,所述内容请求用于请求获取目标内容;接收所述内容提供方发送的针对所述内容请求的响应;在所述响应中包括第一加密信息、所述目标内容以及所述目标内容的内容大小的情况下,根据约定密钥和所述内容大小进行加密计算,得到第二加密信息;利用所述第一加密信息和所述第二加密信息,校验所述目标内容是否被劫持。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括但不限于面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言——诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)——连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本公开实施例中所涉及到的模块可以通过软件的方式实现,也可以通过硬件的方式来实现。其中,模块的名称在某种情况下并不构成对该模块本身的限定。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:现场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑设备(CPLD)等等。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
根据本公开的一个或多个实施例,示例1提供了一种内容分发网络的反劫持方法,包括:从内容请求方接收内容请求,所述内容请求用于请求目标内容;根据约定密钥和所述目标内容的内容大小进行加密计算,得到第一加密信息,所述第一加密信息用于所述内容请求方校验所述目标内容是否被劫持;向所述内容请求方发送针对所述内容请求的第一响应,所述第一响应中包括所述第一加密信息、所述内容大小和所述目标内容。
根据本公开的一个或多个实施例,示例2提供了示例1的方法,其中,所述约定密钥的数量为多个,所述根据约定密钥和所述目标内容的内容大小进行加密计算,包括:根据所述内容大小和其中一个所述约定密钥进行加密计算。
根据本公开的一个或多个实施例,示例3提供了示例2的方法,其中,所述其中一个所述约定密钥为从多个所述约定密钥中随机选择的一个约定密钥,或者为依据多个所述约定密钥中每个约定密钥的约定使用顺序和约定使用时长而选择的约定密钥。
根据本公开的一个或多个实施例,示例4提供了示例1的方法,其中,所述根据约定密钥和所述目标内容的内容大小进行加密计算,包括:基于所述目标内容的统一资源标识符和/或所述目标内容所关联的域名,确定是否需要进行加密计算;若确定需要进行加密计算,则根据所述约定密钥和所述内容大小进行加密计算。
根据本公开的一个或多个实施例,示例5提供了示例1至4任一的方法,其中,所述方法应用于所述内容分发网络中的内容分发网络节点,所述内容请求方为所述内容分发网络中的客户端,则所述方法还包括:在所述目标内容未被成功缓存的情况下,向所述内容请求方发送针对所述内容请求的第二响应,所述第二响应中包括关于所述目标内容未被成功缓存的指示。
根据本公开的一个或多个实施例,示例6提供了示例1的方法,其中,所述根据约定密钥和所述目标内容的内容大小进行加密计算,包括:利用散列函数对所述约定密钥和所述内容大小进行加密计算。
根据本公开的一个或多个实施例,示例7提供了一种内容分发网络的反劫持方法,包括:向内容提供方发送内容请求,所述内容请求用于请求获取目标内容;接收所述内容提供方发送的针对所述内容请求的响应;在所述响应中包括第一加密信息、所述目标内容以及所述目标内容的内容大小的情况下,根据约定密钥和所述内容大小进行加密计算,得到第二加密信息;利用所述第一加密信息和所述第二加密信息,校验所述目标内容是否被劫持。
根据本公开的一个或多个实施例,示例8提供了示例7的方法,其中,所述约定密钥的数量为多个,所述根据约定密钥和所述内容大小进行加密计算,得到第二加密信息,包括:分别根据多个所述约定密钥中的每个约定密钥和所述内容大小进行加密计算,得到与多个所述约定密钥一一对应的第二加密信息;或者依据多个所述约定密钥中每个约定密钥的约定使用顺序和约定使用时长确定目标约定密钥,并根据所述目标约定密钥和所述内容大小进行加密计算,得到所述第二加密信息。
根据本公开的一个或多个实施例,示例9提供了示例7的方法,其中,所述方法还包括:在确定所述目标内容被劫持的情况下,若所述目标内容所关联的域名有证书,则向所述内容提供方发送用于请求所述目标内容的安全套接层上的超文本传输协议请求。
根据本公开的一个或多个实施例,示例10提供了示例7的方法,其中,所述方法应用于所述内容分发网络中的客户端,所述内容提供方为所述内容分发网络中的内容分发网络节点,则所述方法还包括:在所述响应中包括关于所述目标内容未被成功缓存的指示的情况下,若所述目标内容所关联的域名有证书,则向所述内容提供方发送用于请求所述目标内容的安全套接层上的超文本传输协议请求。
根据本公开的一个或多个实施例,示例11提供了示例7至10任一的方法,其中,所述根据约定密钥和所述内容大小进行加密计算,得到第二加密信息,包括:利用散列函数对所述约定密钥和所述内容大小进行加密计算,得到所述第二加密信息。
以上描述仅为本公开的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本公开中所涉及的公开范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离上述公开构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
此外,虽然采用特定次序描绘了各操作,但是这不应当理解为要求这些操作以所示出的特定次序或以顺序次序执行来执行。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实施例中。相反地,在单个实施例的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实施例中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
