专利名称:边缘服务器http post消息处理的制作方法
技术领域:
本公开总地涉及分布式网络中的服务器处的事务处理。
背景技术:
分布式计算机系统在现有技术中是众所周知的。一种这样的分布式计算机系统是由服务提供商操作并管理的“内容分发网络”或“CDN”。服务提供商通常代表第三方提供内容分发服务。这种类型的“分布式系统”通常是指通过一个网络或多个网络链接的一群自治计算机,连同被设计为便于各种服务(诸如内容分发或者外包网站基础设施的支持)的软件、系统、协议和技术。通常,“内容分发”意指代表内容提供商对内容、流媒体和应用的存·储、高速缓存或传送,包括与其一起使用的辅助技术,所述辅助技术包括但不限于DNS查询处理、预配置(provisioning)、数据监视和报告、内容目标化、个性化和商业智能。期望为CDN客户提供可利用这种类型的分布式网络的可伸缩性、可用性和可靠性的一种或多种“边缘”服务。
发明内容
如本文所述,通过边缘服务器消息处理方法和装置来提供几种增强型“边缘服务”。根据本公开,CDN边缘服务器进程接收HTTP消息,关于该消息采取给定动作,然后将该消息的修改版本转发到目标服务器(典型地,与CDN客户相关联的服务器)。边缘服务器进程可包括相关联的便于给定动作的中间处理代理(IPA)或子处理线程。边缘服务器进程接收控制所述处理的配置数据(称之为元数据)。在说明性实施例中,所述消息是HTTP POST,并且所述给定动作包括以下动作(i)识别POST ;(ii)从POST移除给定数据;(iii)对另一进程(比如,第三方服务器)发出将从POST移除的给定数据传递给该进程的中间(或次级)请求;(iv)接收对该中间请求的响应;(V)将从该响应接收的或者与该响应相关联的数据合并到新的HTTP消息中;以及(Vi)将该新的HTTP消息转发到目标服务器上。以这种方式,当HTTP消息在它从客户端到目标服务器(诸如商户)的途中“通过”边缘服务器时,POST中的给定数据可受到保护。该技术具有保护或增强HTTP POST消息体内的数据的效果,因为该POST遍历边缘服务器。在一个实施例中,边缘服务器进程使用该“带外”处理来(从第三方“进程”)接收句柄或“现时(nonce)”,该句柄或“现时”然后代替期望受到保护(以免于被传递到商户web应用)的数据安置在HTTP POST消息体中。该置换具有使期望受到“保护”的POST消息体内的数据混乱的效果。在另一实施例中,不必移除HTTP POST消息体内的数据,而是例如通过检查现有数据并添加导出值(诸如基于该数据的欺诈风险评分、对照便于跨供应商订购的部件编号数据库查找POST体中的值的结果等)来“增强”该数据。前面概述了本发明的更多相关特征中的一些。这些特征应被解释为仅仅是说明性的。许多其它有益结果可通过如将描述的那样修改本发明或者通过以不同的方式应用所公开的本发明来实现。
图I描绘了可实现说明性实施例的示例性方面的分布式计算机系统环境的示例性框图;图2是可实现所公开的主题的边缘服务器机器的示例性框图;图3是示出根据本公开的技术的HTTP请求的处理的框图;和图4示出如何使用图3中的边缘服务器处理来便于边缘令牌化(tokenization)操作。
具体实施例方式在诸如图I所示的已知系统中,分布式计算机系统100被配置为⑶N,并被假设具有围绕互联网分布的一组机器102a-n。通常,这些机器中的大多数机器是位于互联网边缘附近(即,位于端用户接入网络处或者邻近端用户接入网络)的服务器。网络操作命令中心(N0CC)104管理系统中的各种机器的操作。第三方站点(诸如网站106)将内容(比如,HTML、嵌入式页面对象、流媒体、软件下载等)的分发卸载到分布式计算机系统100 (具体地讲,“边缘”服务器)。通常,通过(例如,利用DNS CNAME)将给定内容提供商域或子域化名为由服务提供商的权威域名服务管理的域,内容提供商卸载他们的内容分发。希望得到内容的端用户被引导到分布式计算机系统,以更可靠地、更有效地获得该内容。虽然没有详细显示,但是分布式计算机系统还可包括其它基础设施,诸如分布式数据收集系统108,该分布式数据收集系统108从边缘服务器收集使用情况和其它数据,聚集一个区域或一组区域上的该数据,并将该数据传递到其它后端系统110、112、114和116以便于监视、记录、报警、计费、管理以及其它操作和管理功能。分布式网络代理118监视网络以及服务器负载,并将网络、流量和负载数据提供给DNS查询处理机制115,DNS查询处理机制115对由⑶N管理的内容域是权威的。分布式数据传输机制120可用于将控制信息(比如,管理内容、便于负载均衡等的元数据)分布到边缘服务器。如图2所示,给定机器200包括商用硬件(比如,英特尔奔腾处理器)202,该商用硬件202运行支持一个或多个应用206a-n的操作系统内核(诸如Linux或变型)204。为了便于内容分发服务,例如,给定机器通常运行一组应用,诸如HTTP代理者(proxy) 207 (有时称之为“全局主机”进程)、名称服务器208、本地监视进程210、分布式数据收集进程212等。关于流媒体,所述机器通常包括支持的媒体格式所需的一个或多个媒体服务器(诸如Windows媒体服务器(WMS)或Flash服务器)。⑶N边缘服务器被配置为提供一个或多个扩展的内容分发特征,优选地在域特定、客户特定的基础上,优选地通过使用利用配置系统而被分布到边缘服务器的配置文件。给定配置文件优选地是基于XML的,并包括便于一个或多个高级内容处理特征的一套内容处理规则和指示。可通过数据传输机制将配置文件分发给⑶N边缘服务器。美国专利No. 7,111, 057示出了用于分发并管理边缘服务器内容控制信息的有用基础设施,并且该边缘服务器控制信息和其它边缘服务器控制信息可由CDN服务提供商自己或者操作源服务器的内容提供商客户(通过外联网等)供给。⑶N可包括诸如美国专利No. 7,472,178中所述的存储子系统,该专利的公开通过弓I用并入本文。CDN可操作服务器高速缓存层次结构(hierarchy)来提供客户内容的中间高速缓存;一种这样的高速缓存层次结构子系统在美国专利No. 7,376,716中被描述,该专利的公开通过引用并入本文。⑶N可以按照美国公布No. 20040093419中所述的方式提供客户端浏览器、边缘服务器与客户源服务器之间的安全内容分发。如其中所述的那样的安全内容分发一方面实施客户端与边缘服务器进程之间的基于SSL的链接,另一方面,实施边缘服务器进程与源服务器进程之间的基于SSL的链接。这使得SSL保护的网页和/或其组件能够通过边缘服务器被分发。HTTP POST 消息处理 现在将以上作为背景来描述本公开的主题。根据本公开的一方面,⑶N边缘服务器进程接收HTTP消息,关于该消息采取给定动作,然后将该消息的修改版本转发到目标服务器(通常是与CDN客户相关联的服务器)。该进程可包括便于给定动作的相关联的中间处理代理(IPA)或子处理线程,但是这不是严格需要的。优选地,该进程接收控制HTTP消息的处理的配置数据(称之为元数据)。在一个实施例中,所述消息是HTTP POST,并且所述给定动作包括以下动作(i)识别P0ST;(ii)从POST移除给定数据;(iii)向另一进程(比如,第三方服务器)发出将从POST移除的给定数据传递给该进程的中间(或次级)请求;(iv)接收对该中间请求的响应;(V)将从该响应接收的或者与该响应相关联的数据合并到新的HTTP消息中;以及(Vi)将该新的HTTP消息转发到目标服务器上。以这种方式,当HTTP消息在它从客户端到目标(商户)服务器的途中“通过”边缘服务器时,POST中的给定数据可受到保护。图3示出了该处理。在该实施例中,所述技术具有使HTTP POST消息体内的数据混乱或模糊的效果,因为该POST穿过边缘服务器。具体地讲,边缘服务器进程使用该“带外”处理来(从第三方“进程”)接收句柄或“现时”,该句柄或“现时”然后代替期望受到保护(以免于被传递到商户web应用)的数据安置在HTTP POST消息体中。该方法的应用是基于边缘的“令牌化”,在所述基于边缘的“令牌化”中,从SSL保护的网页(比如,通过⑶N分发的、来自电子商务网站的商户结账页面)产生HTTP POST,并且中间请求将信用卡(CC)卡号传递给第三方支付网关。在这种情况下,从中间请求接收的数据是令牌,该令牌然后被放置在被传递给商户源服务器(具体地讲,在其上执行的网上订单管理应用)的HTTP请求中。图4示出了用于边缘服务器400的这个处理。在该实施例中,商户源服务器402操作订单管理系统,所述订单管理系统为SSL保护的订单管理页面服务。在该服务器上执行的订单管理应用是用于在边缘服务器从端用户客户端浏览器接收的HTTP POST消息(具体地讲,具有用于填充HTTP POST消息的一个或多个填入字段的SSL保护的网页)的目标应用。在这个例子中,与边缘服务器通信的外部进程是支付网关404,支付网关404通常由第三方实体管理。如所述的那样,边缘服务器截获HTTP POST,对数据进行解析,将提取的数据传递给支付网关404,支付网关404使用其相关联的网关数据库来产生令牌。该令牌被从网关返回给边缘服务器,边缘服务器将令牌包括回到HTTP POST中,并将修改的POST送到订单管理应用。订单管理应用然后可直接与网关通信,传递令牌,并接收授权。该后面的操作在边缘服务器的外部进行,并且是已知的功能。与只是保护消息中的数据(使其模糊)相反,HTTP POST消息处理技术还可被用于“增强”消息中的数据。在该方法中,对POST消息中的数据进行检查。至少部分地基于该检查,可能通过包括整个地或部分地从POST中的数据导出的值来“增强”数据。作为一个例子,基于边缘的“欺诈”检测服务可以跨边缘服务器地实现。代表性边缘服务器然后将执行以下操作HTTP POST扫描,比如对欺诈平台“进程”的基于IPA的转发请求,接收响应(t匕如,风险评分),以及(风险评分)注入到原始POST,其然后被传递给目标(商户)服务器(应用)。这是“增强”HTTP POST数据的例子,具体地讲,通过检查(POST中的)现有数据并添加导出值来“增强”HTTP POST数据的例子。欺诈评分实施例仅仅是“增强”技术的代表性例子。另一个例子将是跨供应商订 购服务,在这种情况下,导出值可基于对照外部的部件编号数据库对POST体中的值的查找等。该方法的具体应用因此可相当不同。在边缘服务器进程(或者IPA (如果使用的话))与外部进程通信的情况下,通信可以通过SSL、经由web服务等。另一种可替换方案是基于边缘的加密,其中,当HTTP消息通过边缘服务器时,用密钥对HTTP消息中的给定字段进行加密(或者,如果已经被加密,则对该字段进行解密)。优选地,使用元数据来将边缘服务器进程配置为提供这些边缘服务功能中的一个或多个。上述处理可通过使用SSL (或者其等同形式)的通信链路进行。因为上述技术可以以其它HTTP消息格式(诸如GET、PUT等)实现,所以被处理的HTTP消息不一定限于POST。 现在描述这些服务之一(基于边缘的令牌化)的说明性例子。这个例子不应以限制的方式来看待。下面提供边缘令牌化服务的代表性实现的附加技术细节。如以上所指出的,该服务仅仅是代表性的。模块概要一般地,令牌化模块(操作)用由第三方支付网关供给的匿名“令牌”来取代电子商务交易中的卡号。这降低了我们商户客户的卡号暴露的风险,并可帮助从PCI范围得到商户的网站。一般地,令牌化是使⑶N边缘服务器执行以下操作的能力I.识别包含卡号的客户网页的POST2.搜索POST数据体来检索卡号3.向支付网关令牌化API作出web服务调用,传递卡号、商户标识符以及网关API所需的其它信息4.收回来自支付网关API的回复中的令牌5.用令牌取代POST体中的卡号6.将修改的POST请求转发到源web应用7.保护存储器中的卡号;不将它写入盘
如本文中所使用的,“卡号”意指可被令牌取代的任何PCI敏感数据,例如信用卡卡号或借记卡卡号、银行账号等。令牌和它所代表的卡号被安全地存储在由支付网关提供商管理的数据仓库中。无需总是使用第三方支付网关。“令牌”产生(或者,更一般地,由中间或次级请求的目标执行的处理)在合适的环境下可由CDN执行。高层次设计令牌赋予器(tokenizer)使用POST请求解析器、中间处理代理(IPA),并添加用于IPA到POST (优选地通过SSL)的能力、客户端POST体修改、错误处理、记录和报告。图3示出了典型的请求流程处理。注意,所述模块访问能够个人地标识的信息(消费者姓名、卡号、家庭地址等)。优选地,边缘服务器进程不将任何PII写入盘(用于记录、计费或其它目的)。 所述模块优选地提供对用于访问支付网关的认证符的客户控制。这个版本的模块中的元数据配置管理的大部分(bulk)通过元数据来进行定制。在可替换实施例中,可为客户自助服务提供基于模板的配置管理。下面的章节介绍对于实现边缘令牌化的组件和进程的高层次设计。I. I客户整合和配置管理基于边缘的令牌化整合和配置管理(预配置)优选地通过客户(安全外联网门户)配置应用来进行。如下所述,元数据提供从POST体提取持卡人数据、对支付网关产生中间请求并修改转发POST事务的界面。该元数据的使用加上令牌化标签构成这个模块的激活。I. I. I支付网关整合向支付网关的令牌化请求取决于可从网关提供商获得的API。在最低限度,解决方案用key=value pairs的文本回复或XML文档回复来支持HTTPS POST请求。网关接口可以通过使用HTTP头中的HTTP基本认证证书或者作为key=P0ST体中的值来受到密码保护。如果网关将允许它,则边缘机器可安全地被支付网关认证。这避免了商户必须与CDN服务提供商共享其支付网关证书。I. I. 2商户整合从POST体提取的字段取决于商户的购物的卡或订单处理软件。语法和语义通过商户的元数据配置中的元数据来进行管理。以下阐述示例性元数据。支付网关要求商户标识和认证(经常是商户的用户名和密码)。对于商户的网关账户的这些证书对安全性是敏感的,优选地,不以明文被存储在元数据中。相反,边缘服务器进程优选地通过密钥管理基础设施来检索证书,以防止它们可用明码获得。商户认证符(以及所需的任何其它秘密)优选地通过门户配置管理接口来进行管理,以防止客户必须通过电子邮件或其它机制将秘密发送到CDN雇员。被配置用于边缘令牌化的任何支付交易将被授权以使用商户的证书来访问支付网关。I. 2边缘服务器行为边缘令牌化权衡利用(leverage)边缘进程内的中间处理代理(IPA)特征来与支付网关API交互。对于支付网关的POST的构造足够灵活从而使得可整合新的支付处理器,而无需改变代码。
下面提供边缘服务器特征的高层次设计。I. 2. I相关边缘服务器进程功能的概要 将URL编码的POST体中的值提取到变量中。 修改IPA,以使得它可通过SSL对支付网关作出任意的POST请求。
POST体可以是URL编码形式的体,或者可能是XML SOAP体。 通过合适的密钥分布信道来访问支付网关认证符和其它秘密信息,通过对秘密的合适检查来防止跨客户秘密共享。 将网关POST响应解析为元数据变量。 使用以下操作中的一个或多个来修改端用户的入站(inbound) POST体
·
用不同的值取代命名参数的值。 添加具有给定值的命名参数。 移除命名参数及其值,可选地,用“X”字符取代值。 将修改的POST体发送到商户的源服务器,并继续照常对POST请求和响应进行处理。 将足够的信息包括在日志行中以用于调试和排错。 确保卡号和其它敏感信息保持安全。卡号不被写入到任何文件或查询表。I. 2. 2边缘服务器请求处理细节下面阐述基于边缘的令牌化的处理中的主要的边缘服务器步骤。I.标识商户标识符以在令牌赋予器调用中使用。这可以是简单的元数据标签,或者可能是元数据变量。2.将HTTPS POST请求中的卡号和持卡人数据字段提取到元数据变量中。〇HTML形式的URL编码的POST体。所述请求将具有Content-Type:application/x-www-form-urIencoded头,并且POST体的格式将类似于查询字符串。〇所述变量将所述值保存为URL编码的(未被修改的)。〇边缘服务器进程用这些选择器提取变量值ARGSARGS_NAME ARGS_P0ST ARGS_P0ST_NAMEARGS_C0MBINED_SIZE REQUEST_B0DY。〇边缘服务器还可支持诸如来自AJAX或SOAP调用的XML编码的POST体。所述请求将具有Content-Type: text/xml和有效XML实体,在这种情况下,所述进程用选择器XML REQUEST_B0DY提取体。可替换的可选方案使用正则表达式匹配。〇来自POST体的持卡人数据可包括卡号、人名、失效日期、CVI/CVV代码等。来自POST体的数据对于第三方令牌化代理必须被适当地编码。〇URL对来自POST体的值进行解码(如果对于非HTTP API必要的话)。3.创建新的POST体,并在转发请求中将它发送到支付网关。〇该POST包括卡号和在HTTPS POST请求中所发送的支付网关接口所需的持卡人数据。〇如果该POST失败,则尝试retry-post,但是仅在被支付网关使得生效之后(这不应使得复制令牌被创建)。〇对支付网关的POST可能需要商户认证符,比如,用户名、密码或HMAC密钥。这些值需要被元数据中的密钥管理名称引用。
〇边缘服务器进程能够访问秘密密钥来创建用于POST体中的一组数据字段的HMAC认证符,并将该认证符添加到POST体。4.从支付网关接收响应并对该响应进行解析〇可通过正则表达式或固定字符串匹配来对响应体进行解析。〇在OK响应时用POST体中的令牌取代卡号。〇一旦被取代,就从进程存储器移除卡号。〇在错误响应或超时时采取合适的失败动作一见下。发送网关的失败指示是当商户需要已经处理网关失败情况时可接受的默认行为。
〇支付网关应该快得以至于调用不被延迟很长时间。边缘进程可将超时应用于网关请求以防止资源耗竭。5.记录交易的结果。〇这可包括数值响应代码、原因或决策字符串、交易标识符和其它非PII数据。6.继续用修改的POST体对商户站点的转发请求。POST将携带不同的持卡人数据。〇商户必须修改他们的应用来处理输入的令牌。I. 3支付网关整合对于令牌化的接口可以通过简档功能性。简档通常代表端用户,用匿名令牌或简档标识符来提及其PII (名称、地址、电话、卡号、失效日期等)。可通过以下方式来访问简档功能性经由SOAP请求;通过使用二进制API的web服务;或者通过具有请求和响应中的name=value 属性的 HTTPS POST 接口。在新用户访问客户网站的情况下,边缘服务器进程将请求创建新令牌。如果用户已经访问了该网站,则他们应该已经具有简档。在这种情况下,商户形式的POST应该仅包含简档标识符,而不是整个卡号。在这种情况下,我们将不调用令牌化API,而是仅立即使POST通过。如果通过边缘服务器进程的调用确实为用户创建简档,则商户应该从请求提取简档,并将它存储在其数据库中以供下次用户返回时使用。IPA 实现当使用IPA时,通过指定以上所解释的“post-body”标签来将IPA请求转换为 POST,所述“post-body” 标签也添加了 “Content-Length” 头。“post-body” 可包含被扩展的变元(argument)。必须根据POST体的类型(xml、名称-值对)将这些变元适当地编码为或者url编码的、或者纯文本的、或者html实体编码的。通过使用〈match:processing-agent_request> 标签中的 <edgeservices :modify-outgoing-reques t-header > 标签、指定“ app licati on/x-www-form-ur I encoded ” 或另一合适的值来添加“Content-Type” 头。为了在IPA 中允许 POST,在〈match:processing-agent_request> 标签中需要〈security:allow_post>on〈/security:allow-post>。上游POST重写优选地用从IPA响应提取的变量来修改上游POST。标签<edgeservices:add/remove/modify-outgoing-request. remove-post_argument> 允许对 POST 体进行修改。为了从输入的 POST 请求提取值,激活〈edgeservices: inspect-request-body. status〉标签,并指定合适的〈edgeservices: inspect-request-body. limit〉。〈match:regex〉标签允许所述进程从POST体提取值。对于输入的POST请求,可使用诸如“ARGS_P0ST: fieldname”的选择器,并且regex=”. * ”提供按照所需格式的字段值。为了从IPA响应提取值,可使用被称为IPA_RESPONSE_BODY的正则表达式选择器。该选择器明确地允许访问IPA响应体。使用选择器“IPA_RESPONSE_STATUS”来提取IPA POST http状态响应。变型与欺诈检测的交互如上所述,可权衡利用上述HTTP POST消息处理来创建基于边缘的欺诈模块,以在将请求路由到商户网站之前进行装置检测或辨识。这通过消除对(来自商户站点的)欺诈平台的单独调出而降低了对商户站点的整合需求。
⑶N客户(商户)仍将必须将装置id或风险评分整合到其订单管理系统或进程中。一种可选方案是将软件修改为基于实时风险评分来接受或拒绝交易。另一种可选方案是为供应商提供商户在他们的订单履行过程期间可复核的线下风险评分,拒绝充满欺诈性交易。边缘服务欺诈交互权衡利用POST扫描、基于IPA的对欺诈平台的转发请求以及到原始POST中的风险评分注入。无需移除或取代现有字段,并且可能无需修改POST —可使用现有能力来将风险评分作为HTTP头插入。基于边缘的欺诈检测可与令牌化发生同时地进行(B卩,在相同的HTTP请求处理内)。在这样的情况下,进行两(2)个单独的中间请求,一个请求对欺诈引擎(针对风险评分),并且一个请求对支付网关(针对令牌)。支付网关和仓库该模块依赖于第三方支付网关与将令牌与相关持卡人数据(卡号、姓名、地址、电话……)相关联的安全数据仓库,并且提供在给定令牌的情况下提取PII数据的安全界面。其它支付网关功能如前所述,边缘服务器进程可与令牌化请求并行地调用其它支付处理API功能(例如,请求信用批准)。添加到POST体的批准状态使商户不必单独地发起请求。尽管以上描述了本发明的某些实施例所执行的特定顺序的操作,但是应该理解,这样的顺序是示例性的,因为可替换实施例可按不同的顺序执行这些操作、组合某些操作、重叠某些操作等。本说明书中对给定实施例的说明指示所描述的实施例可包括特定特征、结构或特性,但是不一定每一个实施例要包括该特定特征、结构或特性。尽管已在方法或处理的上下文中描述了所公开的主题,但是主题公开还涉及用于执行本文的操作的设备。该设备可出于所需目的而被专门构造,或者它可包括被存储在计算机中的计算机程序选择性地激活或重新配置的通用计算机。这样的计算机程序可被存储在计算机可读存储介质中,所述计算机可读存储介质诸如,但不限于,任何类型的盘(包括光盘、⑶-ROM和磁光盘)、只读存储器(ROM)、随机存取存储器(RAM)、磁性卡或光学卡、或者适用于存储电子指令的任何类型的介质,每个均与计算机系统总线耦合。尽管已分别描述了所述系统的给定组件,但是本领域的普通技术人员将意识到,在给定指令、程序序列、代码部分等中可组合或共享所述功能中的一些功能。如以上所指出的,可对于具有消息体(包括,但不限于,GET、PUT、其它WebDAV类型等)的任何HTTP请求实现所描述的技术。一般地,(从IPA处理)返回到边缘服务器的信息是基于从HTTP消息提取的数据的。如所述的那样,第三方可将提取的数据与根据具体应用按需返回的信息相关联(相映射)。
已描述了我们的发明,现在权利要求如下。
权利要求
1.一种设备,包括 处理器; 计算机存储器,其保存计算机程序指令,所述计算机程序指令当被所述处理器执行时在配置文件的控制下执行方法,所述方法包括 接收HTTP消息体; 对所述HTTP消息体进行解析以提取数据; 向外部进程发出传递从所述HTTP消息体提取的数据的中间请求; 从所述外部进程接收响应; 将所述响应插入到所述HTTP消息体中,以创建修改的HTTP消息体;和 将所述修改的HTTP消息体转发到目标应用以进行进一步处理。
2.根据权利要求I所述的设备,其中,所述HTTP消息体是HTTPPOST。
3.根据权利要求I所述的设备,其中,所提取的数据是信用卡卡号,并且所述外部进程是支付网关令牌化进程。
4.根据权利要求I所述的设备,其中,所述外部进程是欺诈引擎,并且插入到所述HTTP消息体中的响应是风险评分。
5.根据权利要求I所述的设备,其中,所述外部进程包括相关联的数据库,并且插入到所述HTTP消息体中的响应是由在所述数据库中查找而导出的值。
6.根据权利要求I所述的设备,其中,所述配置文件被配置为XML。
7.根据权利要求I所述的设备,其中,通过安全链路向所述外部进程发出所述中间请求。
8.根据权利要求I所述的设备,其中,插入到所述HTTP消息体中的响应使提取的数据混乱。
9.根据权利要求I所述的设备,其中,插入到所述HTTP消息体中的响应增强提取的数据。
10.一种在分布式网络的边缘服务器中操作的方法,所述分布式网络具有在参与的第三方客户之间共享的基础设施,所述方法包括 接收HTTP POST消息体; 对所述HTTP POST消息体进行解析以提取数据; 向外部进程发出传递从所述HTTP POST消息体提取的数据的中间请求; 从所述外部进程接收响应; 将所述响应插入到所述HTTP POST消息体中,以创建修改的HTTP POST消息体;和 将所述修改的HTTP POST消息体转发到目标应用以进行进一步处理。
11.根据权利要求10所述的方法,其中,插入到所述HTTPPOST消息体中的响应保护提取的数据。
12.根据权利要求10所述的方法,其中,插入到所述HTTPPOST消息体中的响应增强提取的数据。
13.根据权利要求10所述的方法,其中,所述外部进程是与第三方实体相关联的令牌化进程。
14.根据权利要求10所述的方法,其中,所述外部进程是与第三方实体相关联的欺诈检测进程。
15.根据权利要求10所述的方法,其中,所述外部进程是与第三方实体相关联的互联网可访问的web应用。
全文摘要
CDN边缘服务器进程接收HTTP消息,关于该消息采取给定动作,然后将该消息的修改版本转发到目标服务器(通常是与CDN客户相关联的服务器)。所述进程可包括便于所述给定动作的相关联的中间处理代理(IPA)或子处理线程。在一个实施例中,所述消息是HTTP POST,并且所述给定动作包括以下动作(i)识别POST;(ii)从POST移除给定数据;(iii)向另一进程(比如,第三方服务器)发出将从POST移除的给定数据传递给该进程的中间(或次级)请求;(iv)接收对该中间请求的响应;(v)将从该响应接收的或者与该响应相关联的数据合并到新的HTTP消息中;以及(vi)将该新的HTTP消息转发到目标服务器上。以这种方式,当HTTP消息在它从客户端到目标(商户)服务器的途中“通过”边缘服务器时,POST中的给定数据可受到保护。在可替换实施例中,通过将从POST消息提取的数据传递到外部化进程并将导出值(诸如基于该数据的欺诈风险评分)添加回该消息中来增强该数据。
文档编号H04L29/08GK102971712SQ201180033573
公开日2013年3月13日 申请日期2011年5月19日 优先权日2010年5月19日
发明者J·A·蒂勒, S·鲁丁, J·F·苏莫尔斯 申请人:阿卡麦科技公司