专利名称:一种实现cdn互通的认证方法、装置与系统的制作方法
技术领域:
本发明涉及通信技术领域,特别涉及一种实现CDN(Content Dilivery Network, 内容分发网络)互通的认证方法、装置与系统。
背景技术:
内容提供商为了扩展自己的数据业务(如上网业务,视频业务等),往往需要部署 大量的服务器,供用户访问。图1为采用C-S(客户端-服务器)模式由内容提供商(Content ft~0Vider,CP)/业务运营商(Service Provider, SP)的内容源服务器为终端提供内容服务 的示意图。随着业务访问的增多,图1所示的部署模式暴露出一些问题。首先,这些服务器往 往部署在网络的较高位置(如骨干层,汇聚层等),以达到较大的覆盖范围,但当海量用户 访问时,将会导致骨干、汇聚层带宽的大量占用,对网络带宽造成很大压力。其次,由于服务 器位置较高,用户请求有较大时延,造成用户体验不理想。针对上述问题,出现了独立的CDN服务提供商。CDN服务提供商通过在网络边缘部 署大量边缘缓存节点组成的CDN系统,就近为用户提供服务,从而达到节省网络带宽,提升 用户业务体验的目的。同时,电信运营商也开始自己部署CDN系统,一方面为自己的业务加 速,同时可以提供给其他内容提供商使用。CDN系统的出现,使得内容提供商可以仅仅部署少量的内容源服务器,就可以完成 业务提供。同时,当用户数量增长时,CDN系统负责处理业务流量,而内容提供商无需进行 网络扩容。采用CDN系统为终端用户提供内容服务的网络模型如图2所示。⑶N运营商、电信运营商根据自己的业务发展规划,选择在不同的地区部署⑶N系 统。各厂家的CDN系统之间覆盖范围不同,同时也可能存在覆盖区域的重叠。但目前CDN 系统还没有标准化,各个厂家的CDN系统自成体系,相互之间独立运作,没有合作,造成各 个CDN系统之间能力无法互补。比如,第一内容分发网络⑶m覆盖了北京、上海;第二内容分发网络⑶N2覆盖了 西安、深圳。此时如果某个内容提供商CP希望其内容在北京、上海、西安、深圳四地的用户 都可以访问,则无论CDm还是CDN2都无法单独满足该内容提供商的要求,因而需要CDN之 间的互通。由于CP与⑶m签约、⑶m与⑶N2签约,而CP未与⑶N2签约,此时⑶N2无法 对CP进行安全认证。
发明内容
为了克服现有技术的缺陷,本发明实施例提供一种实现CDN互通的认证方法、装 置与系统,当CP与⑶m签约、⑶m与⑶N2签约,而CP未与⑶N2签约时,实现⑶N2对CP 的认证。一方面,本发明实施例提供一种实现⑶N互通的认证方法,所述方法包括第二内 容分发网络⑶N2接收来自第一内容分发网络ram或终端的业务请求;所述⑶N2获取由内容提供商CP提供的认证参数和令牌,所述CP与所述ram签约,所述ram与所述⑶N2签 约,所述CP未与所述CDN2签约;所述CDN2根据所述认证参数和令牌对所述CP进行认证; 所述CDN2根据认证结果,向所述CDm或所述终端返回业务响应。另一方面,本发明实施例提供一种实现⑶N互通的认证装置,所述装置位于第二 内容分发网络CDN2中,所述装置包括接收单元,用于接收来自第一内容分发网络CDm或 终端的业务请求;获取单元,用于获取由内容提供商CP提供的认证参数和令牌;所述CP与 所述⑶m签约,所述⑶m与所述⑶N2签约,所述CP未与所述⑶N2签约;认证单元,用于 根据所述获取单元获取到的认证参数和令牌对所述CP进行认证;发送单元,用于根据所述 认证单元的认证结果,向所述CDm或所述终端返回业务响应。又一方面,本发明实施例提供一种实现⑶N互通的认证系统,所述系统包括位于 第二内容分发网络CDN2的安全功能装置SF2和位于第一内容分发网络CDm的安全功能装 置SFl ;所述SF2,用于接收来自所述SFl或终端的业务请求;获取由内容提供商CP提供的 认证参数和令牌,所述CP与所述ram签约,所述ram与所述⑶N2签约,所述CP未与所述 CDN2签约;根据所述认证参数和令牌对所述CP进行认证;根据认证结果,向所述SFl或所 述终端返回业务响应。本发明实施例的方法、装置与系统,当CP与⑶m签约、⑶m与⑶N2签约,而CP未 与CDN2签约时,由CDN2获取CP的认证参数和令牌,并根据获取的认证参数和令牌对所述 CP进行认证,保证了⑶m和⑶N2之间互通的安全性,使⑶N2只为和⑶m签约的CP提供 服务。
图1为现有技术采用C-S模式由CP/SP的内容源服务器为终端提供内容服务的示 意图;图2为现有技术采用CDN系统为终端用户提供内容服务的网络模型图;图3为本发明实施例的CDN系统功能架构图;图4为本发明实施例的典型应用场景图;图如为本发明实施例实现⑶N互通的认证方法流程图;图4b为本发明实施例实现⑶N互通的认证装置功能框图;图如为本发明实施例实现⑶N互通的认证系统连接关系示意图;图5为本发明实施例⑶N2对CP的认证流程图之一;
图6为本发明实施例⑶N2对CP的认证流程图之二 ;图7为本发明实施例⑶N2对CP的认证流程图之三;图8为本发明实施例⑶N2对CP的认证流程图之四;图9为本发明实施例⑶N2对CP的认证流程图之五;图10为本发明实施例⑶N2对CP的认证流程图之六。
具体实施例方式本发明实施例提供了一种实现⑶N互通的认证方法、装置和系统。⑶N互通可以促 进CDN系统之间的能力互补,如覆盖能力的扩展,以及CDN系统流量增大时的负荷分担等。
5安全是⑶N互通的关键问题之一,当⑶N2和⑶附互通时,必须确保⑶N2只为与之存在互 通关系的CDm提供服务。本发明实施例的技术方案,可以解决CDN互通时的安全性问题, 促进不同⑶N系统之间的互通。本发明实施例的CDN系统功能架构如图3所示。(1)内容源Content Source(CS)存储原始内容,并把内容传送到⑶N系统。CP/SP可以自己部署内容源,也可以选 择把内容存储在第三方存储系统。存储在内容源的内容可以通过内容注入过程注入到⑶N系统(更具体些,是注入 到内容存储实体,或者内容交付实体)。CDN系统也可以在必要的时候主动向内容源请求内容。(2)存储控制Storage Controller存储控制选择合适的内容存储从内容源获取内容;以及选择合适的内容交付从指 定的内容存储获取内容。存储控制的功能具体包括了解内容存储的负载状态,如CPU使用率、内存使用情 况、输入输出带宽情况;了解内容存储的能力信息,如支持的内容注入协议(如HTTP,FTP), 内容分发协议(HTTP,FTP)等;负责内容请求的路由,如内容注入请求,内容分发请求等。(3)交付控制=Delivery Controller交付控制选择内容交付实体为终端传送媒体内容。交付控制实体的功能具体包括了解内容交付的负载状态,如CPU使用率、内存使 用情况、输入输出带宽情况;了解内容交付的能力信息,如支持的内容注入协议(如HTTP, FTP),内容交付协议(如RTSP,HTTP, SilverLight, Flash)等;负责内容相关请求的路由, 如内容注入,内容分发。(4)内容路由Content Route (CR)本发明实施例中,将存储控制和交付控制统称为内容路由。为了简化起见,本发明 下述实施例中,内容路由不具体区分为存储控制和交付控制,只采用内容路由实体描述相 关实施例。(5)安全功能 Security Fucntion(SF)本发明实施例中,安全功能是一个逻辑功能实体,可以位于控制层,或者资源层。 可以独立设置,或者集成到内容路由或内容交付实体中。SF的功能具体包括CP安全信息(如共享密钥,认证方法等)的管理;CP安全信 息的传递,比如⑶附的SFl传递CP的安全信息给⑶N2的SF2 ;完成对CP的认证,或者说对 CP特定门户的认证;可选地,还包括⑶N之间的认证,比如⑶N2认证⑶附是签约的⑶N。(6)内容存储Content Storage (CSG)CSG从内容源获取、存储原始内容,并分发给内容交付实体;可选地,CSG还可以对 内容进行预处理,如内容分片,转码。(7)内容交付Content Delivery (CD)CD从内容存储获取内容,并分发给终端;可选地,CD还可以对内容进行码率转换, 文件格式转换,分片等处理。本发明实施例以2个⑶N互通为例进行说明,该方案适用的典型场景如图4所示假设⑶附覆盖区域1,⑶N2覆盖区域2。CP希望在区域1和区域2为用户提供服务,CP只 和⑶m签约,⑶m和⑶N2签约。由于CP只和⑶m签约,因此认为内容注入到⑶m的内 容存储实体。同时,由于cp只与ram签约,因而内容交付请求先到达ram的内容路由。⑶N系统互通涉及到如下业务流程内容分发流程,内容交付流程。通过内容分发 流程,⑶N2从⑶m获取内容,包括⑶m向⑶N2推送内容,或者⑶N2向⑶m请求内容。通 过内容交付流程,终端从CDN2获取媒体内容。实施例1描述了 CDN安全互通的完整流程,实施例2描述了内容分发流程的安全 互通过程,实施例3-6描述内容交付流程的安全互通过程,实施例7适用于内容分发以及内 容交付流程。为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例 中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是 本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员 在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。实施例1 本实施例首先提供一种实现⑶N互通的认证方法,该方法应用于图4所示的场景; 图4a为本实施例的方法流程图,如图如所示,该方法包括S401、⑶N2接收来自⑶附或终端的业务请求;S402、⑶N2获取由CP提供的认证参数和令牌,所述CP与所述⑶附签约,所述⑶附 与所述⑶N2签约,所述CP未与所述⑶N2签约;S403、⑶N2根据所述认证参数和令牌对所述CP进行认证;S404、⑶N2根据认证结果,向⑶附或所述终端返回业务响应。可选地,S402具体包括⑶N2从所述业务请求中获取由CP提供的认证参数和令 牌;或者CDN2从所述业务请求中获取由CP提供的认证参数,并通过与CP的认证过程获取 由CP提供的令牌。可选地,所述方法还包括⑶N2接收ram发送的安全信息,所述安全信息至少包 括CP与ram的共享密钥;相应地,S403具体包括⑶N2根据所述认证参数和所述共享密 钥生成令牌,比较生成的令牌与获取的令牌是否一致,如果一致则认证通过。可选地,当⑶m没有将安全信息下发给⑶N2时,S403具体包括⑶N2将所述认证 参数和令牌提供给CDm,由CDm根据CP与CDm的共享密钥、所述认证参数和令牌对所述 CP进行认证;并接收由⑶m返回的认证结果。可选地,所述方法还包括⑶m与⑶N2之间通过安全网关进行协议和/或消息格 式的转换。可选地,所述方法的执行主体为⑶N2中的安全功能装置。对应于图如的方法,本实施例还提供一种实现⑶N互通的认证装置,所述装置位 于第二内容分发网络CDN2中;图4b为该装置的功能框图,如图4b所示,该装置40包括 接收单元401,用于接收来自CDm或终端的业务请求;获取单元402,用于获取由CP提供 的认证参数和令牌,所述CP与所述ram签约,所述ram与所述⑶N2签约,所述CP未与所 述CDN2签约;认证单元403,用于根据所述获取单元获取到的认证参数和令牌对所述CP进 行认证;发送单元404,用于根据所述认证单元的认证结果,向⑶m或所述终端返回业务响应。可选地,所述获取单元402,具体用于从所述业务请求中获取由CP提供的认证参 数和令牌;或者从所述业务请求中获取由CP提供的认证参数,并通过与CP的认证过程获取 由CP提供的令牌。可选地,所述接收单元401,还用于接收⑶m发送的安全信息,所述安全信息至少 包括CP与⑶m的共享密钥;相应地,所述认证单元403,具体用于根据所述获取单元获取 到的认证参数和所述共享密钥生成令牌,比较生成的令牌与获取的令牌是否一致,如果一 致则认证通过。可选地,当接收单元401未从⑶m接收到安全信息时,所述认证单元403,具体用 于将所述认证参数和令牌提供给CDm,由CDm根据CP与CDm的共享密钥、所述认证参数 和令牌对所述CP进行认证;接收由ram返回的认证结果。对应于图如的方法以及图4b的装置,本实施例还提供一种实现⑶N互通的认证 系统,所述系统应用于图4所示的场景;图如为本实施例系统连接关系示意图。如图如所示,本实施例的系统包括位于⑶N2的安全功能装置SF2和位于⑶附 的安全功能装置SFl ;所述SF2,用于接收来自SFl或终端的业务请求;获取由CP提供的认 证参数和令牌,所述CP与所述⑶m签约,所述⑶m与所述⑶N2签约,所述CP未与所述 CDN2签约;根据所述认证参数和令牌对所述CP进行认证;根据认证结果,向SFl或所述终 端返回业务响应。可选地,所述SF2,具体用于从所述业务请求中获取由CP提供的认证参数和令牌; 或者从所述业务请求中获取由CP提供的认证参数,并通过与CP的认证过程获取由CP提供 的令牌。可选地,所述SF2,还用于接收⑶附发送的安全信息,所述安全信息至少包括CP与 CDNl的共享密钥;根据所述认证参数和所述共享密钥生成令牌,比较生成的令牌与获取的 令牌是否一致,如果一致则认证通过。可选地,所述SF2,还用于将所述认证参数和令牌提供给SF1,由SFl根据CP与 CDNl的共享密钥、所述认证参数和令牌对所述CP进行认证;并接收由SFl返回的认证结合。可选地,所述系统还包括位于SFl和SF2之间的安全网关(图中未示);所述安 全网关,用于实现⑶m与⑶N2之间的协议和/或消息格式转换。本发明实施例的方法、装置与系统,当CP与⑶m签约、⑶m与⑶N2签约,而CP未 与⑶N2签约时,⑶N2通过获取CP的认证参数和令牌,实现了⑶N2对CP进行认证,保证了 ⑶附和⑶N2之间互通的安全性,使⑶N2只为和⑶附签约的CP提供服务。实施例2 本实施例基于图4的场景,实现了内容分发过程中⑶N2对CP的认证。该场景下, CDNl根据特定分发规则主动进行内容分发即主动把内容从CDm推送到CDN2。具体认证过 程如图5所示S500、安全功能装置SFl下发安全信息给安全功能装置SF2。安全信息具体内容取决于CP和⑶m共享的安全信息,包括认证方式,CP与⑶m 之间的共享密钥,认证方案等。
⑶m和⑶N2可能有多个签约,比如对应不同的CP各自有不同的签约,或者同一个 CP下有多个不同的签约。一般采用⑶N标识和签约标识来标识这些签约,因而与安全信息 同时下发的还可以有⑶N标识(CDN ID)和签约标识(Profile ID)。⑶N2通过⑶N标识和 签约标识,可以唯一标识某个特定⑶N的特定签约。认证方式有对称密钥认证和非对称密钥认证两种。当采用对称密钥认证方式时, 安全信息中的密钥为CP和CDm的共享密钥。当采用非对称密钥(公钥)认证方式时,安 全信息中的密钥为CP的公钥。本实施例以共享密钥为例进行说明。认证方案对应于不同的摘要算法,如MD5 (消息摘要5),SHAl (安全散列算法1), 或者其他摘要算法。本发明实施例可以把安全信息作为签约信息的一部分,签约信息存储签约双方的 服务约定以及必要的共享信息,是服务的基础。本发明实施例的签约信息示例如下CDN标 识、签约标识、安全信息(认证方式,密钥,认证方案),以及其他签约信息。本发明实施例的 签约信息和安全信息也可以采用其他组织方式,这些组织方式并不影响本方案的实现。S501、内容路由装置CRl发送业务请求给SF1。以HTTP请求为例,该业务请求消息的URL示意如下http://www.sina.com/movie/hero.flvo 其中 www. sina. com 为域名。为了实现特定的业务,业务请求消息还可能通过URL,HTTP消息头域或者消息体 携带其他业务特定的参数,本发明实施例对此不做限定。S502、SFl发送业务请求给SF2,其中携带认证参数。该步骤可以具体包括A、SFl收到业务请求消息后,如果判断该请求来自签约的CP则进行后续流程,否 则拒绝该请求;B、如果该请求来自签约的CP,SFl进一步判断该请求消息是否已经携带了令牌;C、如果已经携带,SFl可以执行子步骤1)直接转发该业务请求给SF2 ;或者子步 骤2)增加新的认证参数,如⑶N ID和/或ftOfile ID,重新计算令牌,然后发送修改后的 业务请求给SF2。D、如果未携带令牌,SFl直接执行子步骤2)。本实施例的认证参数包括请求URL/域名,⑶N标识,签约标识,认证方式,认证方 案。其中签约标识,认证方式,认证方案可选。令牌由认证参数和密钥计算获得。以SHAl为例,令牌=SHAl (请求URL/域名,⑶N 标识,签约标识,认证方式,认证方案,密钥)。其中签约标识,认证方式,认证方案可选。计算令牌时,可以采用URL,或者URL中的域名。以HTTP请求为例,该业务请求消息URL示意如下,其中TOKEN为令牌http://www. sina. com/movie/hero, flv ? CDNID = 1234&ProfiIeID = 5678&AuthMode = l&AuthAlgorithm = 1&T0KEN = abcdef123456.具体实现时,上述信息的携带方式不限。比如认证参数也可以作为令牌的部分内 容。同时,可以用消息头域来携带令牌。S503、SF2对业务请求进行认证。SF2根据⑶N ID和/或ile ID,确定对应的安全信息。SF2根据安全信息中
9的密钥,以及业务请求中的认证参数计算令牌;比较新计算的令牌和业务请求中携带的令 牌是否一致;如果一致,则认证通过,否则认证不通过。S504、SF2根据认证结果,发送业务请求给CR2。S505、CR2返回业务响应给SF2。CR2针对不同的业务请求执行不同的处理,具体处理取决于运营商策略,本发明实 施例对具体的处理过程不做限定。S506、SF2发送业务响应给SF1。S507、SFl发送业务响应给CRl。本实施例中,⑶m携带CP认证所需要的认证参数和令牌,⑶N2根据认证参数以及 与ram共享的密钥重新计算令牌,通过比较生成的令牌和收到的令牌是否一致,进而完成 对CP的认证。实施例3:本实施例基于图4的场景,实现了内容交付过程中⑶N2对CP的认证,具体认证过 程如图6所示S600、安全功能SFl下发安全信息给SF2。该步骤的具体过程参见图5的S500。S601、终端浏览CP的某个导航门户,在CP返回的响应消息中,携带认证参数和令牌。认证参数和令牌可以通过URL返回,例如www, sina. com/movie/hero, flv ? CDNID = 1234&ProfileID = 5678&ClientID = 10. 144. 111. ll&AuthMode = IMuthAlRorithm = 1&T0KEN = abcdef 123456。认证参数包括请求URL/域名,⑶N标识,签约标识,客户端标识,认证方式,认证 方案。其中CDN标识,签约标识,客户端标识,认证方式,认证方案可选。具体至Ij 上述 口向应消息:www. sina. com/movie/hero, flv 为请求 URL,其中 www. sina. com为域名;1234为CDN标识;5678为签约标识;10. 144. 111. 11为客户端标识,此处 以IP地址为例;AuthMode = 1代表认证方式,AuthAlgorithm = 1代表认证方案。TOKEN 是计算所得到的令牌。这里认证参数增加了客户端标识。通过增加该标识,可以防止其他客户端重发该 消息。CP门户可以把浏览请求消息的IP地址作为客户端标识。令牌根据认证参数,密钥计算得来。以SHAl为例,令牌=SHAl (请求URL/域名, CDN标识,签约标识,客户端标识,认证方式,认证方案,密钥)。其中CDN标识,签约标识,客 户端标识,认证方式,认证方案可选。S602-S603 终端向CRl发起业务请求,CRl通过业务响应消息通知终端将业务请 求重定向求到CR2。所述请求携带认证参数和令牌。以HTTP请求为例,该业务请求消息示意如下http://www. sina. com/movie/hero, flv ? CDNID = 1234&ProfiIeID = 5678&ClientID = 10. 144. 111· 1l&AuthMode = l&AuthAlgorithm = 1&T0KEN = abcdefl23456.认证参数包括请求URL/域名,⑶N标识,签约标识,客户端标识,认证方式,认证 方案。其中CDN标识,签约标识,客户端标识,认证方式,认证方案可选,如果CP门户上有,可以携带。所述令牌根据认证参数,密钥计算得来。以SHAl为例,令牌=SHAl (请求URL/域 名,⑶N标识,签约标识,客户端标识,认证方式,认证方案,密钥)。其中⑶N标识,签约标 识,客户端标识,认证方式,认证方案可选。这里认证参数增加了客户端标识。由于不同客户端的IP或者MAC地址不同,通过 增加该标识,可以防止其他客户端重发该消息。客户端地址可以采用IP地址或者MAC地址。本实施例可以采用URL,或者URL中的域名来计算令牌,以SHAl为例,令牌= SHAl (请求URL/域名,CDN标识,签约标识,客户端标识,认证方式,认证方案,密钥)。S604、终端发送业务请求信息到CR2。终端根据S603中收到的业务响应消息,向CR2发起业务请求。业务请求携带认证 参数和令牌。S605、CR2发送业务请求给SF2,业务请求携带认证参数和令牌。S606、SF2认证业务请求,返回业务响应给CR2。具体地,该步骤可以包括A、SF2根据⑶NID和/或ftOfileID,确定对应的安全信息。如果认证参数中没有 携带⑶NID和ftOfileID,可以根据CP域名确定对应的安全信息;B、SF2根据安全信息中的密钥,以及业务请求中的认证参数,计算令牌;比较新计 算的令牌和业务请求中携带的令牌是否一致,如果一致,则认证通过,否则认证不通过;C、认证成功后,返回业务响应。S607、CR2返回业务响应给终端。本发明实施例的方案,当在⑶附已经下发安全信息给⑶N2的情况下,⑶N2从安 全信息中获得密钥,以及从业务请求中获得由CP提供的认证参数和令牌,对CP进行认证。 此时CP只需和CDm有签约关系,只需要了解CDm的系统即可,如配置,报表系统等。该方 案大大简化了 CP的工作。实施例4:本实施例基于图4的场景,实现了内容交付过程中CDN2对CP的认证,本实施例假 设⑶附没有下发安全信息给⑶N2。因而⑶N2需要和⑶附进行交互,完成对业务请求的认 证。具体认证过程如图7所示。S701-S704 同实施例 2 的 S602-S605。同实施例2—样,本实施例中S701中终端发送的业务请求中的认证参数和令牌也 是由CP获取,具体过程参见实施例2中对S601的相关描述,此处不再展开描述。其中,步骤S702中,CRl可以在重定向消息中增加⑶附的路由信息,以便步骤 S705中SF2能够把业务请求发送给⑶附。路由信息可以直接携带SFl的URL或者IP地址; 或者携带CDm标识和/或签约标识,以便SF2根据标识确定路由的目的地,例如从本地配 置信息中获取SFl的URL或者IP地址。S705、SF2发送业务请求给SFl。SF2可以根据消息中的路由信息,确定向哪个地址发送业务请求消息。如S702所 述。本实施例示意SF2直接发送业务请求消息给SF1,该消息也可以经过CRl转发。
S706、SFl认证业务请求,返回业务响应给SF2。具体地,该步骤可以包括A、SF1根据⑶NID和/或ftOfileID,确定对应的安全信息。如果认证参数中没有 携带⑶NID和ftOfileID,可以根据CP域名确定对应的安全信息;B、SFl根据安全信息中的密钥,以及业务请求中的认证参数,计算令牌;比较新计 算的令牌和业务请求中携带的令牌,如果一致,则认证通过,否则认证不通过;C、认证成功后,返回业务响应。S707、SF2返回业务响应给CR2。S708、CR2返回业务响应给终端。本发明实施例的方法,在⑶附没有下发安全信息给⑶N2的情况下,通过将认证参 数和令牌提供给⑶m,由ram代替⑶N2对CP进行认证后,向⑶N2返回认证结果,从而实 现了⑶N2对CP的认证。此时CP只需和⑶m有签约关系。大大简化了 CP系统运营、维护、 统计、监控等工作。实施例5:本实施例基于图4的场景,实现了内容交付过程中CDN2对CP的认证。本实施例 同样假设CDm没有下发安全信息给CDN2。因而CDN2需要和CDm进行交互,完成对业务请 求的认证。具体认证过程如图8所示S801-S804 同实施例 2 的 S602-S605。同实施例2—样,本实施例中S801中终端发送的业务请求中的认证参数和令牌也 是由CP获取,具体过程参见实施例2中对S601的相关描述,此处不再展开描述。其中S802中,CRl可以在重定向消息中增加路由信息,以便S806中CR2能够把业 务请求发送给⑶附。其中路由信息可以直接携带SFl的URL或者IP地址,或者携带⑶N2 标识和/或签约标识,以便SF2根据标识确定路由的目的地,例如从本地配置信息中获取 SFl的URL或者IP地址。S805、SF2重定向业务请求给CR2。S806、CR2发送业务请求给SFl。CR2可以根据消息中的路由信息,确定向哪个地址发送业务请求消息。如步骤2所 述。S807、SFl认证业务请求,返回业务响应给CR2。具体地,该步骤可以包括A、SF1根据⑶NID和/或ftOfileID,确定对应的安全信息。如果认证参数中没有 携带⑶NID和ftOfileID,可以根据CP域名确定对应的安全信息;B、SFl根据安全信息中的密钥,以及业务请求中的认证参数,计算令牌;比较新计 算的令牌和业务请求中携带的令牌是否一致,如果一致,则认证通过,否则认证不通过;C、认证成功后,返回业务响应。S808、CR2返回业务响应给终端。本发明实施例的方法,在⑶附没有下发安全信息给⑶N2的情况下,通过将认证参 数和令牌提供给⑶m,由ram代替⑶N2对CP进行认证后,向⑶N2返回认证结果,从而实 现了⑶N2对CP的认证。此时CP只需和⑶m有签约关系。大大简化了 CP的系统运营、维
12护、统计、监控等工作。实施例6:本实施例基于图4的场景,实现了内容交付过程中CDN2对CP的认证,具体认证流 程如图9所示S900、SF1下发安全信息给SF2。该步骤同实施例1的S500。该步骤为可选步骤, 而在⑶m下发安全信息给⑶N2的情况下,可以由⑶N2完成本地认证,在⑶m没有下发安 全信息给⑶N2的情况下,将由⑶m为⑶N2完成认证过程。S901-S902、终端向CRl发起业务请求,CRl通过业务响应消息通知终端将业务请 求重定向求到CR2。请求没有携带令牌。以HTTP请求为例,该业务请求消息示意如下http://www. sina. com/movie/hero, fIvS903、终端发送请求信息到CR2。终端根据步骤S902中收到的重定向消息,向CR2发起业务请求。S904、CR2发送业务请求给SF2。S905、SF2发送认证请求给SFl。SF2判断业务请求中没有携带令牌。SF2发送认证请求给SF1,可选地该认证请求 中可以携带SF2构造的认证参数。以HTTP POST为例http://www. sina. com/movie/hero, flv ? CDNID = 1234&ProfiIeID = 5678&AuthMode = l&AuthAlgorithm = 1.这里CDN ID为OMl的标识;Profile ID为OMl和CDN2的签约标识。上述请求消息的认证参数也可以通过HTTP消息头域,或者消息体(如XML)携带。具体路由同前述的实施例S701-S704的描述。S906、SFl发送认证请求给内容运营商CP (具体为内容运营商的安全实体)。以 HTTP POST 为例http://www. sina. com/movie/hero, flv ? CDNID = 1234&ProfiIeID = 6789&AuthMode = l&AuthAlgorithm = 1.SFl把ftOfile ID替换成OMl和CP之间的签约标识。如果OMl下发给CDN2的 安全信息中,直接使用CP和CDm之间的签约标识,则此处SFl不用替换签约标识的值。上述请求消息的认证参数也可以通过HTTP消息头域,或者消息体(如XML)携带。S907、CP (具体为内容运营商的安全实体)返回认证响应。CP的安全实体根据认证参数,计算令牌,把令牌携带在认证响应中返回给SF1。以HTTP 为例HTTP/1. 12000KAuthorizationresponse = abcdef123456.认证响应消息可选携带认证参数,同认证请求中收到的认证参数。其中,认证参数,令牌也可以通过HTTP消息头域,或者消息体(如XML)携带。S908、SF1进行本地验证,该步骤为可选步骤,如果执行S900则不需要执行此步骤 而是执行S910,反之则需要执行此步骤。具体地,SFl根据认证参数和共享密钥生成令牌, 比较生成的令牌与从CP返回的令牌是否一致,如果一致则认证通过。
S909、SFl返回认证响应给SF2。如果S908不执行,则该步骤也省略。该消息同S907中的认证响应消息。S910、SF2进行本地验证,该步骤为可选步骤,如果执行S900则需要执行此步骤, 反之则执行步骤S908。SF2根据认证参数和密钥,计算令牌,将计算生成的令牌和从CP返 回的令牌进行比较。如果一致,则认证通过;否则认证不通过。S911、SF2返回业务响应给CR2。如果认证通过,SF2返回2000K ;否则返回401 (未授权)。S912CR2返回业务响应给终端。该实施例中,SF2通过SFl向CP (具体为内容运营商的安全实体)发送认证请求。 SF2也可以直接发送认证请求给CP。另外,S912中,SF2也可以返回401(未授权)给UE。UE向CP发送认证请求,并转 发CP返回的认证响应给SF2,SF2对返回的认证响应进行验证。本实施例中,当业务请求未携带令牌时,通过发起一个CP的认证请求获得CP响应 的令牌信息,使CDN2能够根据获取的认证参数和令牌信息对CP进行认证。通过上述过程, 实现了⑶N2对CP的认证,此时CP只需和ram有签约关系,大大简化了 CP的系统运营、维 护、统计、监控等工作。实施例7:本实施例基于图4的场景,实现了⑶N2对CP的认证,其中⑶附和⑶N2采用不同 安全方案,通过网关互通。本实施例的方法既可以用于内容分发过程,也可以适用于内容交 付过程。当⑶m和⑶N2处理的业务请求/业务响应不同,例如采用的协议不同,或者消息 内容不同,可以通过安全网关,进行请求/业务响应的转换。从而顺利完成业务请求的认 证。同理,当⑶m和⑶N2处理的认证请求/认证响应不同,也可以通过安全网关转换。安 全网关具体实现时,可以作为安全功能的一部分来实现。本实施例的具体认证流程如图10所示S1001、SF2发送业务请求给安全网关。S1002、安全网关处理收到的业务请求。安全网关验证业务请求是否合法,并转换该业务请求为SFl可以处理的格式。S1003、安全网关发送转换后的业务请求给SF1。S1004、SFl返回业务响应给安全网关。SFl认证收到的业务请求,返回业务响应,业务响应携带令牌。具体认证过程参见 上述实施例中安全功能的认证过程。S1005、安全网关处理收到的业务响应。安全网关验证业务响应是否合法,并转换该业务响应为SF2可以处理的格式。S1006、安全网关发送转换后的业务响应给SF2。安全网关对认证请求和认证响应的处理过程相同,详见S1101-S1106,此处不再赘述。本实施例可以适用于上述所有实施例。本发明实施例技术方案带来的有益效果当CP与⑶m签约、⑶m与⑶N2签约,而CP未与CDN2签约时,由CDN2获取CP的认证参数和令牌,并根据获取的认证参数和令牌 对所述CP进行认证,保证⑶附和⑶N2之间互通的安全性,保证⑶N2只为和⑶m签约的 CP提供服务。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以 通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质 中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁 碟、光盘、只读存储记忆体(Read-Only Memory, ROM)或随机存储记忆体(Random Access Memory, RAM)等。以上实施例仅用以说明本发明实施例的技术方案,而非对其限制;尽管参照前述 实施例对本发明实施例进行了详细的说明,本领域的普通技术人员应当理解其依然可以 对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而 这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例各实施例技术方案的范围。
权利要求
1.一种实现⑶N互通的认证方法,其特征在于,所述方法包括第二内容分发网络CDN2接收来自第一内容分发网络CDm或终端的业务请求; 所述CDN2获取由内容提供商CP提供的认证参数和令牌,所述CP与所述CDm签约,所 述⑶m与所述⑶N2签约,所述CP未与所述⑶N2签约;所述CDN2根据所述认证参数和令牌对所述CP进行认证; 所述CDN2根据认证结果,向所述CDm或所述终端返回业务响应。
2.根据权利要求1所述的方法,其特征在于,所述CDN2获取由内容提供商CP提供的认 证参数和令牌包括所述CDN2从所述业务请求中获取由所述CP提供的认证参数和令牌;或者 所述CDN2从所述业务请求中获取由所述CP提供的认证参数,并通过与所述CP的认证 过程获取由所述CP提供的令牌。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括所述CDN2接收所述CDm发送的安全信息,所述安全信息至少包括所 述CP与所述CDm的共享密钥或所述CP的公钥;所述CDN2根据所述认证参数和令牌对所述CP进行认证包括所述CDN2根据所述认证 参数和所述共享密钥生成令牌,比较生成的令牌与获取的令牌是否一致,如果一致则认证 通过。
4.根据权利要求1或2所述的方法,其特征在于,所述CDN2根据所述认证参数和令牌 对所述CP进行认证包括所述CDN2将所述认证参数和令牌提供给所述CDm,由所述CDm根据所述CP与所述 CDNl的共享密钥、所述认证参数和令牌对所述CP进行认证;并接收由所述CDm返回的认证结果。
5.根据权利要求1所述的方法,其特征在于,所述方法通过所述CDN2中的安全功能装置实现。
6.根据权利要求5所述的方法,其特征在于,所述CDN2中的安全功能装置通过所述 ⑶N2中的内容路由装置和⑶m交互。
7.一种实现⑶N互通的认证装置,其特征在于,所述装置位于第二内容分发网络⑶N2 中,所述装置包括接收单元,用于接收来自第一内容分发网络CDm或终端的业务请求; 获取单元,用于获取由内容提供商cp提供的认证参数和令牌;所述cp与所述CDm签 约,所述⑶m与所述⑶N2签约,所述CP未与所述⑶N2签约;认证单元,用于根据所述获取单元获取到的认证参数和令牌对所述CP进行认证; 发送单元,用于根据所述认证单元的认证结果,向所述CDm或所述终端返回业务响应。
8.根据权利要求7所述的装置,其特征在于,所述获取单元,具体用于从所述业务请求中获取由所述CP提供的认证参数和令牌;或 者从所述业务请求中获取由所述CP提供的认证参数,并通过与所述CP的认证过程获取由 所述CP提供的令牌。
9.根据权利要求7或8所述的装置,其特征在于,所述接收单元,还用于接收所述CDm发送的安全信息,所述安全信息至少包括所述cp 与所述CDm的共享密钥或所述CP的公钥;所述认证单元,具体用于根据所述获取单元获取到的认证参数和所述共享密钥生成令 牌,比较生成的令牌与获取的令牌是否一致,如果一致则认证通过。
10.根据权利要求7或8所述的装置,其特征在于,所述认证单元,具体用于将所述认证参数和令牌提供给所述CDm,由所述CDm根据所 述CP与所述CDm的共享密钥、所述认证参数和令牌对所述CP进行认证;接收由所述CDm 返回的认证结果。
11.一种实现⑶Ν互通的认证系统,其特征在于,所述系统包括位于第二内容分发网 络⑶N2的安全功能装置SF2和位于第一内容分发网络⑶m的安全功能装置SFl ;所述SF2,用于接收来自所述SFl或终端的业务请求;获取由内容提供商CP提供的认 证参数和令牌,所述CP与所述CDm签约,所述ram与所述⑶N2签约,所述CP未与所述 CDN2签约;根据所述认证参数和令牌对所述CP进行认证;根据认证结果,向所述SFl或所 述终端返回业务响应。
12.根据权利要求11所述的系统,其特征在于,所述SF2,具体用于从所述业务请求中获取由所述CP提供的认证参数和令牌;或者从 所述业务请求中获取由所述CP提供的认证参数,并通过与所述CP的认证过程获取由所述 CP提供的令牌。
13.根据权利要求11所述的系统,其特征在于,所述SF2,还用于接收所述ram发送的安全信息,所述安全信息至少包括CP与ram的 共享密钥;根据所述认证参数和所述共享密钥生成令牌,比较生成的令牌与获取的令牌是 否一致,如果一致则认证通过。
14.根据权利要求11所述的系统,其特征在于,所述SF2,还用于将所述认证参数和令牌提供给所述SF1,由所述SFl根据所述CP与所 述CDm的共享密钥、所述认证参数和令牌对所述CP进行认证;并接收由所述SFl返回的认证结果。
15.根据权利要求11所述的系统,其特征在于,所述系统还包括位于所述SFl和所述 SF2之间的安全网关;所述安全网关,用于实现所述CDm与所述CDN2之间的协议和/或消息格式的转换。
全文摘要
一种实现CDN互通的认证方法、装置与系统,所述方法包括第二内容分发网络CDN2接收来自第一内容分发网络CDN1或终端的业务请求;所述CDN2获取由内容提供商CP提供的认证参数和令牌,所述CP与所述CDN1签约,所述CDN1与所述CDN2签约,所述CP未与所述CDN2签约;所述CDN2根据所述认证参数和令牌对所述CP进行认证;所述CDN2根据认证结果,向所述CDN1或所述终端返回业务响应。本发明实施例的方法、装置与系统,通过CDN2对CP进行认证,保证了CDN1和CDN2之间互通的安全性,使CDN2只为和CDN1签约的CP提供服务。
文档编号H04L29/06GK102143184SQ20111008062
公开日2011年8月3日 申请日期2011年3月31日 优先权日2011年3月31日
发明者和晓艳, 曹力争, 李金成, 钟剑锋 申请人:华为技术有限公司