一種采用sdn技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)���,該系統(tǒng)包括多個(gè)CDN服務(wù)器�,多個(gè)緩存服務(wù)器�����,多個(gè)SDN交換機(jī)�,SDN控制器,多個(gè)SDN交換機(jī)�;SDN控制器接收用戶訪問(wèn)原文件的訪問(wèn)請(qǐng)求,生成CDN服務(wù)器地址消息�,將CDN服務(wù)器地址消息通過(guò)私鑰進(jìn)行加密并發(fā)送給用戶,并生成訪問(wèn)請(qǐng)求消息����,通過(guò)私鑰將訪問(wèn)請(qǐng)求消息進(jìn)行加密��,CDN服務(wù)器接收加密后的訪問(wèn)請(qǐng)求消息�,CDN服務(wù)器將加密后的訪問(wèn)請(qǐng)求消息進(jìn)行解析�,獲取解析后的信息與原加密前的訪問(wèn)請(qǐng)求消息中的信息進(jìn)行比較,若相同����,CDN服務(wù)器從緩存服務(wù)器獲取原文件;用戶將CDN服務(wù)器地址消息進(jìn)行解析���,獲取解析后的信息與原加密前的CDN服務(wù)器地址消息中的信息進(jìn)行比較��,若相同����,從CDN服務(wù)器獲取原文件�。
【專利說(shuō)明】
一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計(jì)算機(jī)領(lǐng)域,特別涉及一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)���?���!颈尘凹夹g(shù)】
[0002]內(nèi)容分發(fā)網(wǎng)絡(luò)(Content Delivery Network,Q)N)是一種將視頻���、網(wǎng)頁(yè)等文件�,從位于遠(yuǎn)程的中心服務(wù)器發(fā)送至多個(gè)⑶N服務(wù)器的技術(shù)���。用戶通過(guò)DNS等方式連接至最近的 CDN服務(wù)器,從而減輕中心服務(wù)器的負(fù)載�����,并增強(qiáng)用戶可感知的服務(wù)質(zhì)量�,然而,在內(nèi)容分發(fā)網(wǎng)絡(luò)中�,仍需要考慮安全性問(wèn)題,如果單個(gè)⑶N服務(wù)器與用戶之間的傳輸路徑受到攻擊��,則很容易導(dǎo)致傳輸文件的泄露��。
[0003]一種常用的保證文件安全性的技術(shù)為Shamir門限技術(shù)���,假設(shè)存在n個(gè)參與者���,所述參與者可以是存儲(chǔ)文件的緩存服務(wù)器,門限值為t,其中t<n�����,系統(tǒng)將文件拆分為n個(gè)片段����, 分別存儲(chǔ)在n臺(tái)緩存服務(wù)器內(nèi),其中���,任意t臺(tái)緩存服務(wù)器提供的文件片段���,均可以恢復(fù)出原文件,但當(dāng)獲取的文件片段數(shù)少于t時(shí)��,則無(wú)法恢復(fù)原文件���,當(dāng)請(qǐng)求者試圖訪問(wèn)被拆分的文件時(shí)��,需要從任意t個(gè)服務(wù)器中獲取文件片段����,并在本地恢復(fù)出原文件�。
[0004]傳統(tǒng)的Shamir門限技術(shù)具有如下優(yōu)點(diǎn)�����,第一����,能夠在一定程度上保證系統(tǒng)的可靠性�����,當(dāng)少于t臺(tái)服務(wù)器泄露�,或者少于t條傳輸路徑被攻破后���,攻擊者仍無(wú)法恢復(fù)出原文件�����, 更進(jìn)一步地�,可以將一個(gè)私鑰進(jìn)行拆分�����,各個(gè)服務(wù)器利用拆分后的私鑰對(duì)文件片段分別加密�,只有文件請(qǐng)求者才持有完整的私鑰,這可以更好地提升系統(tǒng)安全性;第二,每臺(tái)緩存服務(wù)器可以只持有文件的部分片段���,從而節(jié)省服務(wù)器的存儲(chǔ)空間�。
[0005]然而����,簡(jiǎn)單的Shamir門限技術(shù)并不能直接應(yīng)用于內(nèi)容分發(fā)網(wǎng)絡(luò)中,這是因?yàn)榭蛻舳诵枰趖個(gè)文件片段全部下載到本地后才能完全恢復(fù)出原文件�����,因而�,如果緩存服務(wù)器與客戶端主機(jī)之間傳輸?shù)臑橐曨l或網(wǎng)頁(yè)文件,將無(wú)法支持“邊下載邊播放”或“邊下載邊解析” 模式�����。
[0006]經(jīng)過(guò)研究�,我們認(rèn)為,原有Shamir門限技術(shù)僅僅考慮了文件的可靠存儲(chǔ)與傳輸�����,而并未考慮文件請(qǐng)求者恢復(fù)原文件的代價(jià)���,為了解決上述問(wèn)題���,可以只在存儲(chǔ)時(shí)對(duì)原文件進(jìn)行拆分�����,發(fā)送前�,在發(fā)送方臨時(shí)組裝出原文件�����,從而使文件請(qǐng)求者能夠直接收到完整的文件���,但是,有以下兩點(diǎn)必須予以保證:1.文件的請(qǐng)求者與發(fā)送者必須確認(rèn)彼此的身份;2.必須保證完整的文件在傳輸過(guò)程中難以受到攻擊�。[〇〇〇7] 近年來(lái),軟件定義網(wǎng)絡(luò)(Software Defined Network�,SDN)日益成為工業(yè)界與學(xué)術(shù)界的研究熱點(diǎn),SDN的核心理念為控制平面與轉(zhuǎn)發(fā)平面的分離���,控制平面可以依據(jù)業(yè)務(wù)需求�,實(shí)時(shí)調(diào)整網(wǎng)絡(luò)狀態(tài)����,而轉(zhuǎn)發(fā)平面只專注于數(shù)據(jù)包的轉(zhuǎn)發(fā)���。
[0008] 在處理上述問(wèn)題時(shí),SDN控制器可以協(xié)助發(fā)送者與請(qǐng)求者識(shí)別彼此身份����,也能夠?yàn)樵募膫鬏斨付▽俚霓D(zhuǎn)發(fā)路徑,當(dāng)文件傳輸完畢后�����,專屬的轉(zhuǎn)發(fā)路徑將被清除�����,從而降低轉(zhuǎn)發(fā)路徑泄露的可能性��。
【發(fā)明內(nèi)容】
[0009]針對(duì)現(xiàn)有技術(shù)的不足����,本發(fā)明提出一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)。
[0010]本發(fā)明提出一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)�,包括:
[0011]多個(gè)CDN服務(wù)器,多個(gè)緩存服務(wù)器���,多個(gè)SDN交換機(jī)���,SDN控制器�,所述SDN控制器持有一個(gè)私鑰���,多個(gè)SDN交換機(jī)組成SDN網(wǎng)絡(luò)���;
[0012]所述SDN控制器接收用戶訪問(wèn)原文件的訪問(wèn)請(qǐng)求,生成⑶N服務(wù)器地址消息⑶N_ IP_MESSAGE�����,將所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE通過(guò)所述私鑰進(jìn)行加密并發(fā)送給用戶��,并生成訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE��,通過(guò)所述私鑰將所述訪問(wèn)請(qǐng)求消息 FI LE_RE QUE S T_ME S S AGE進(jìn)行加密�,CDN服務(wù)器接收加密后的所述訪問(wèn)請(qǐng)求消息FI LE_ REQUEST_MESSAGE���,所述CDN服務(wù)器通過(guò)公鑰將加密后的所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_ MESSAGE進(jìn)行解析���,獲取解析后的信息與原加密前的所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_ MESSAGE中的信息進(jìn)行比較����,若相同��,則所述CDN服務(wù)器從所述緩存服務(wù)器獲取原文件����;
[0013]用戶通過(guò)公鑰將⑶N服務(wù)器地址消息⑶N_IP_MESSAGE進(jìn)行解析,獲取解析后的信息與原加密前的所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進(jìn)行比較�����,若相同����,則從所述⑶N服務(wù)器獲取原文件。[〇〇14] 根據(jù)用戶的地理位置與⑶N服務(wù)器的地理位置�,選擇離用戶最近的⑶N服務(wù)器作為選中⑶N服務(wù)器。[〇〇15] 還包括向SDN網(wǎng)絡(luò)下發(fā)流表項(xiàng)���,為用戶與所述選中⑶N服務(wù)器�����,以及所述選中⑶N月艮務(wù)器與多個(gè)所述緩存服務(wù)器分別指定一組轉(zhuǎn)發(fā)路徑��。[0〇16]所述訪問(wèn)請(qǐng)求包括所述原文件的唯一標(biāo)識(shí)符FILE_ID與發(fā)送訪問(wèn)請(qǐng)求時(shí)的時(shí)間戳 TIME_STAMP〇
[0017] 對(duì)所述唯一標(biāo)識(shí)符FILE_ID與所述時(shí)間戳HME_STAMP進(jìn)行哈希變換����,生成CDN服務(wù)器的IP地址⑶N_IP,根據(jù)所述IP地址⑶N_IP與時(shí)間戳HME_STAMP����,計(jì)算消息摘要OTN_RA。 [〇〇18] 所述CDN服務(wù)器地址消息CDN_IP_MESSAGE包括所述IP地址CDN_IP��、所述時(shí)間戳 T ME_STAMP���、消息摘要CDN_RA�����。[〇〇19] 根據(jù)所述IP地址⑶N_IP�、用戶的IP地址CLIENT_IP����,以及所述唯一標(biāo)識(shí)符FILE_ID����, 計(jì)算消息摘要FILE_RA�。
[0020] 所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE包括所述IP地址CDN_IP����、所述IP地址 CLIENT_IP、所述唯一標(biāo)識(shí)符FILE_ID�����、所述消息摘要FILE_RA����。
[0021] 所述CDN服務(wù)器通過(guò)公鑰將加密后的所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE進(jìn)行解析,獲取解析后的信息與原加密前的所述訪問(wèn)請(qǐng)求消息FI LE_REQUEST_MESSAGE中的信息進(jìn)行比較��,其中比較的信息為消息摘要FILE_RA;
[0022]用戶通過(guò)公鑰將⑶N服務(wù)器地址消息⑶N_IP_MESSAGE進(jìn)行解析����,獲取解析后的信息與原加密前的所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進(jìn)行比較,其中比較的信息為所述消息摘要CDN_RA與時(shí)間戳T IME_STAMP��。
[0023]本發(fā)明還提出一種利用所述采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)的方法��。
[0024]由以上方案可知��,本發(fā)明的優(yōu)點(diǎn)在于:
[0025]1.⑶N服務(wù)器的IP地址通過(guò)文件標(biāo)識(shí)符與時(shí)間戳計(jì)算獲得,因而是不固定的�,而且在非SDN網(wǎng)絡(luò)中是不可路由的,只能通過(guò)SDN控制器指定路徑的方式“強(qiáng)制”轉(zhuǎn)發(fā)���,外部用戶不知道所述CDN服務(wù)器的真實(shí)地址�����。因而�����,CDN服務(wù)器的真實(shí)位置將被隱藏起來(lái)��,非法用戶難以訪問(wèn)所述⑶N服務(wù)器�。[〇〇26]2.通過(guò)Shamir門限技術(shù)將原文件分開存儲(chǔ)���,而且原文件在傳輸完成后�,會(huì)從⑶N月艮務(wù)器中立即刪除�,從而在一定程度上提高了文件的安全性。
[0027]3.轉(zhuǎn)發(fā)路徑由SDN控制器指定���,每次指定的轉(zhuǎn)發(fā)路徑均不相同�,當(dāng)客戶端與CDN結(jié)點(diǎn)之間文件傳輸?shù)臅r(shí)間較長(zhǎng)時(shí),轉(zhuǎn)發(fā)路徑可以定期改變����。文件傳輸完成后���,緩存服務(wù)器�����、CDN 服務(wù)器�、客戶端之間的路徑均被清除��,從而提高了傳輸路徑的安全性����。[〇〇28]與傳統(tǒng)Shamir門限技術(shù)方案的不同之處在于,文件片段在⑶N服務(wù)器完成組合���,而不在于客戶端����,因而���,會(huì)減少客戶端并發(fā)的連接數(shù)���,并支持“邊下載邊播放”的視頻下載方式���。【附圖說(shuō)明】
[0029]圖1為一個(gè)實(shí)施例的系統(tǒng)結(jié)構(gòu)圖�����;
[0030]圖2為客戶端發(fā)送文件請(qǐng)求后���,SDN控制器所執(zhí)行的步驟圖���;[0031 ]圖3為CDN服務(wù)器從n個(gè)緩存服務(wù)器獲取文件時(shí)所執(zhí)行的步驟圖;
[0032]圖4為客戶端從CDN服務(wù)器獲取所需文件時(shí)所執(zhí)行的步驟圖(圖4并沒(méi)有在說(shuō)明書其他地方出現(xiàn))�。【具體實(shí)施方式】[〇〇33]鑒于以上所述的一個(gè)或多個(gè)問(wèn)題��,本發(fā)明提供了一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)��。[〇〇34] 本發(fā)明包含m個(gè)⑶N服務(wù)器���,n個(gè)緩存服務(wù)器����,一個(gè)SDN網(wǎng)絡(luò),一個(gè)SDN控制器��。所述 SDN網(wǎng)絡(luò)包含多條由SDN交換機(jī)互聯(lián)組成的路徑��,SDN交換機(jī)通過(guò)OpenFlow協(xié)議與SDN控制器通信���,而⑶N服務(wù)器與緩存服務(wù)器均接入SDN網(wǎng)絡(luò)。[〇〇35] 所述SDN控制器持有一個(gè)私鑰�,用以加密發(fā)出的消息,而所述m個(gè)⑶N服務(wù)器以及接入SDN網(wǎng)絡(luò)的客戶端則持有與之配對(duì)的公鑰����。[〇〇36]本發(fā)明使用Shamir門限技術(shù),將原文件拆分至n臺(tái)緩存服務(wù)器中��,當(dāng)客戶端試圖通過(guò)SDN網(wǎng)絡(luò)訪問(wèn)原文件時(shí)���,發(fā)出的請(qǐng)求將被轉(zhuǎn)發(fā)至SDN控制器����,請(qǐng)求中包含原文件的唯一標(biāo)識(shí)符FILE_ID和發(fā)送請(qǐng)求時(shí)的時(shí)間戳TME_STAMP�����,SDN服務(wù)器收到來(lái)自客戶端的請(qǐng)求后,執(zhí)行如下步驟��。[〇〇37]1.根據(jù)用戶的地理位置與⑶N服務(wù)器的地理位置���,選擇離用戶最近的⑶N服務(wù)器�;[〇〇38]2.以FILE_ID與HME_STAMP為輸入����,采用哈希函數(shù),為CDN服務(wù)器生成一個(gè)IP地址OTN_IP�����,該地址在非SDN網(wǎng)絡(luò)中是不可路由的�����;[〇〇39]3.向SDN網(wǎng)絡(luò)下發(fā)流表項(xiàng)�,為客戶端與選中的⑶N服務(wù)器,以及⑶N服務(wù)器與n個(gè)緩存服務(wù)器分別指定一組轉(zhuǎn)發(fā)路徑��;
[0040]4.利用CDN_IP及!1ME_STAMP����,通過(guò)哈希函數(shù)計(jì)算消息摘要CDN_RA;[0041 ] 5.生成CDN服務(wù)器地址消息CDN_IP_MESSAGE���,其中包含CDN服務(wù)器的IP地址CDN_ IP,時(shí)間戳TME_STAMP����,以及消息摘要OTN_RA;將所述CDN服務(wù)器地址消息通過(guò)自身持有的密鑰加密后,發(fā)往客戶端����。[〇〇42]6.利用CDN服務(wù)器的IP地址CDN_IP��,客戶端IP地址CLIENT_IP���,以及所述原文件的唯一標(biāo)識(shí)符FILE_ID����,通過(guò)哈希函數(shù)計(jì)算消息摘要FILE_RA;[〇〇43]7.生成訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE�,其中包含CDN服務(wù)器的IP地址CDN_IP,客戶端IP地址CLIENT_IP���,文件的唯一標(biāo)識(shí)符FILE_ID���,消息摘要FILE_RA;將所述消息通過(guò)自身持有的私鑰加密后���,發(fā)往選中的CDN服務(wù)器。
[0044]通過(guò)上述 CDN_IP_MESSAGE 以及 FILE_REQUEST_MESSAGE�,SDN 控制器可以協(xié)助 CDN 月艮務(wù)器以及客戶端識(shí)別彼此身份;同時(shí),臨時(shí)生成的CDN_IP可以隱藏CDN服務(wù)器的真實(shí)位置�����。 [〇〇45] CDN服務(wù)器接收到加密的FILE_REQUEST_MESSAGE后����,先通過(guò)配對(duì)的公鑰解析出原始的FILE_REQUEST_MESSAGE,然后對(duì)CDN_IP��,CLIENT_IP以及FILE_ID重新計(jì)算消息摘要��,并與收到的FILE_RA相比較��,以驗(yàn)證消息的完整性��;如果驗(yàn)證通過(guò)�����,那么將⑶N_IP設(shè)置為自身的IP地址;隨后,通過(guò)自身與n個(gè)緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑�,向n個(gè)緩存服務(wù)器發(fā)送文件獲取請(qǐng)求。
[0046]n個(gè)緩存服務(wù)器在收到文件獲取請(qǐng)求后���,將自身存儲(chǔ)的文件片段分別發(fā)送至所述 CDN服務(wù)器;所述CDN服務(wù)器接收前t個(gè)緩存服務(wù)器發(fā)來(lái)的文件片段���,然后采用Shamir門限技術(shù),恢復(fù)出原文件���。
[0047]當(dāng)文件片段在CDN服務(wù)器與緩存服務(wù)器之間傳輸完成后��,清除CDN服務(wù)器與n個(gè)緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑��。
[0048]客戶端接收到經(jīng)過(guò)加密的CDN_IP_MESSAGE后,首先利用配對(duì)的公鑰解析出原始的 CDN_IP_MESSAGE����,然后對(duì)CDN_IP,時(shí)間戳HME_STAMP重新計(jì)算消息摘要�����,并與收到的CDN_RA 相比較�����,以驗(yàn)證消息的完整性;隨后,比較收到的時(shí)間戳HME_STAMP與自己原先發(fā)送請(qǐng)求時(shí)的時(shí)間戳�����,如果二者相等����,則驗(yàn)證通過(guò)��。
[0049]隨后����,客戶端以解析出的CTN_IP為目的地址�,通過(guò)客戶端到⑶N服務(wù)器的轉(zhuǎn)發(fā)路徑���,建立HTTP連接�,并發(fā)送HTTP請(qǐng)求��。
[0050]⑶N服務(wù)器收到HTTP請(qǐng)求后���,將恢復(fù)出的原文件發(fā)往客戶端�����。[〇〇511當(dāng)所述連接為HTTP長(zhǎng)連接�,且傳輸文件的時(shí)間較長(zhǎng)時(shí),每隔一段固定時(shí)間�����,SDN控制器重新為所述⑶N服務(wù)器與客戶端計(jì)算一組轉(zhuǎn)發(fā)路徑���。
[0052]原文件傳輸完畢后����,CDN服務(wù)器刪除原文件;客戶端與CDN服務(wù)器之間的轉(zhuǎn)發(fā)路徑也被清除��。[〇〇53]如果傳輸?shù)奈募橐曨l文件�����,CDN服務(wù)器可以將原文件分割為若干片段;CDN服務(wù)器上只存放固定時(shí)長(zhǎng)的視頻片段��,過(guò)期的視頻片段將被刪除�����;當(dāng)所有視頻文件片段傳輸完成后����,所有視頻片段都會(huì)從⑶N服務(wù)器中刪除。通過(guò)這種方式�,實(shí)現(xiàn)了視頻文件的“邊下載邊播放”。[〇〇54]以下為本發(fā)明的具體實(shí)施例���,如下所示:
[0055]下面將詳細(xì)描述本發(fā)明的各個(gè)方面的特征和示例性實(shí)施例���。在下面的詳細(xì)描述中,提出了許多具體細(xì)節(jié)���,以便提供對(duì)本發(fā)明的全面理解�。但是���,對(duì)于本領(lǐng)域技術(shù)人員來(lái)說(shuō)很明顯的是�,本發(fā)明可以在不需要這些具體細(xì)節(jié)中的一些細(xì)節(jié)的情況下實(shí)施����。下面對(duì)實(shí)施例的描述僅僅是為了通過(guò)示出本發(fā)明的示例來(lái)提供對(duì)本發(fā)明的更好的理解����。本發(fā)明不限于下面所提出的任何具體配置和算法���,而是在不脫離本發(fā)明基本思想的前提下覆蓋了元素����、 部件和算法的任何修改��、替換和改進(jìn)��。在附圖和下面的描述中���,沒(méi)有示出公知的結(jié)構(gòu)和技術(shù)���,以便避免對(duì)本發(fā)明造成不必要的模糊。
[0056]圖1所示的實(shí)施例中�����,設(shè)Shamir門限機(jī)制中存在n個(gè)參與者�����,門限值為t���。[〇〇57]該系統(tǒng)包含m個(gè)⑶N服務(wù)器,n個(gè)緩存服務(wù)器����,一個(gè)SDN網(wǎng)絡(luò),一個(gè)SDN控制器����。所述SDN網(wǎng)絡(luò)包含多條由SDN交換機(jī)組成的路徑,SDN交換機(jī)通過(guò)OpenFlow協(xié)議與SDN控制器通信�。所述⑶N服務(wù)器與緩存服務(wù)器均接入SDN網(wǎng)絡(luò)。
[0058]所述n個(gè)緩存服務(wù)器均持有一個(gè)私鑰�����,用以加密發(fā)出的消息�����。而所述m個(gè)CDN服務(wù)器以及接入SDN網(wǎng)絡(luò)的客戶端則持有與之配對(duì)的公鑰��。
[0059]原文件經(jīng)過(guò)加密后�,使用Shamir門限技術(shù)�����,拆分至n臺(tái)緩存服務(wù)器中�。這里的原文件可以是視頻�����、網(wǎng)頁(yè)等����。
[0060]在當(dāng)客戶端試圖通過(guò)SDN網(wǎng)絡(luò)訪問(wèn)某一文件時(shí),客戶端發(fā)出的請(qǐng)求將首先被轉(zhuǎn)發(fā)至SDN控制器���。所述請(qǐng)求包含原文件的唯一標(biāo)識(shí)符FILE_ID和發(fā)送請(qǐng)求時(shí)的時(shí)間戳TIME_ STAMP��。[〇〇61]所述SDN控制器存儲(chǔ)各⑶N服務(wù)器的地理位置��。圖2給出了 SDN控制器在收到客戶端請(qǐng)求后執(zhí)行的流程���。[〇〇62]S201.依據(jù)各個(gè)⑶N服務(wù)器的地理位置,為所述客戶端指定一個(gè)⑶N服務(wù)器�。[〇〇63]S202.從客戶端請(qǐng)求中獲取所述文件標(biāo)識(shí)符FILE_ID和時(shí)間戳TIME_STAMP。[〇〇64]S203.采用哈希函數(shù)����,以文件標(biāo)識(shí)符FILE_ID和時(shí)間戳?E_STAMP為輸入����,為所述CDN服務(wù)器生成一個(gè)IP地址�����。在非SDN網(wǎng)絡(luò)中����,該IP地址是不可路由的����,如采用RFC1918規(guī)定的私有地址。[〇〇65]S204.向所述SDN網(wǎng)絡(luò)下發(fā)流表項(xiàng)��,為客戶端與所述⑶N服務(wù)器指定一組轉(zhuǎn)發(fā)路徑���。[〇〇66]S205.向所述SDN網(wǎng)絡(luò)下發(fā)流表項(xiàng)����,為所述⑶N服務(wù)器與所述n個(gè)緩存服務(wù)器指定另一組轉(zhuǎn)發(fā)路徑���。[〇〇67]S207.以CDN服務(wù)器的指定IP地址CDN_IP�,以及從請(qǐng)求中解析出的時(shí)間戳TIME_STAMP為輸入,通過(guò)Hash函數(shù)����,計(jì)算消息摘要⑶N_RA。然后構(gòu)造一個(gè)⑶N服務(wù)器地址消息⑶N_ IP_MESSAGE���,其中包含⑶N_IP�����,HME_STAMP以及消息摘要OTN_RA��。將⑶N服務(wù)器地址消息通過(guò)自身持有的私鑰加密后�,發(fā)往所述客戶端���。[〇〇68]S208 ?以CDN服務(wù)器的指定IP地址CDN_IP�,客戶端IP地址CLIENT_IP�,以及所述文件的唯一標(biāo)識(shí)符FI LE_I D為輸入,計(jì)算消息摘要FI LE_RA���。然后構(gòu)造一個(gè)訪問(wèn)請(qǐng)求消息FI LE_ REQUEST_MESSAGE����,其中包含 CDN_IP,CLIENT_IP���,F(xiàn)ILE_ID 以及消息摘要 FILE_RA��。將訪問(wèn)請(qǐng)求消息通過(guò)自身持有的私鑰加密后,發(fā)往選中的CDN服務(wù)器�。
[0069]CDN服務(wù)器在接收到所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE后,執(zhí)行如圖3所示的步驟�。
[0070]S301.通過(guò)配對(duì)的公鑰解析加密后的訪問(wèn)請(qǐng)求消息,獲取所述客戶端的IP地址 CLIENT_IP���,所述文件的唯一標(biāo)識(shí)符FILE_ID���,SDN控制器為CDN服務(wù)器分配的IP地址CDN_IP, 以及消息摘要FILE_RA;[〇〇71]S302.利用解析出的CLIENT_IP��,F(xiàn)ILE_ID���,以及CDN_IP���,重新計(jì)算消息摘要�,并與收到的消息摘要FILE_RA相對(duì)比���,以驗(yàn)證消息的完整性��;[〇〇72]S303.如果驗(yàn)證通過(guò)��,則將CDN_IP設(shè)置為自身的IP地址��;[〇〇73]S304.通過(guò)⑶N服務(wù)器與緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑����,向n個(gè)緩存服務(wù)器發(fā)送文件獲取請(qǐng)求�。所述n個(gè)緩存服務(wù)器收到文件獲取請(qǐng)求后,將自身存儲(chǔ)的文件片段分別發(fā)送至所述CDN服務(wù)器��。[〇〇74]S305.所述⑶N服務(wù)器接收到前t個(gè)緩存服務(wù)器發(fā)來(lái)的文件片段�����,采用Shamir門限技術(shù)���,恢復(fù)出原文件�����。[〇〇75]S306.當(dāng)所述文件片段在⑶N服務(wù)器與緩存服務(wù)器之間傳輸完畢后���,所述⑶N服務(wù)器與n個(gè)緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑被清除����。在OpenFlow協(xié)議中����,可以通過(guò)刪除交換機(jī)中流表項(xiàng)的方式清除轉(zhuǎn)發(fā)路徑。如����,在〇 P e n F1 〇 w 1.3 0及以上協(xié)議中����,可以設(shè)置流表項(xiàng)的 Timeouts字段,當(dāng)所述轉(zhuǎn)發(fā)路徑維持的時(shí)間超過(guò)某一閾值后�����,負(fù)責(zé)在該路徑上轉(zhuǎn)發(fā)數(shù)據(jù)的流表項(xiàng)將被自動(dòng)刪除����。也可以通過(guò)SDN控制器直接向所述路徑上的SDN交換機(jī)下發(fā)Flow-Mod 消息����,從而刪除轉(zhuǎn)發(fā)文件片段的所述流表項(xiàng)���。
[0076] 客戶端在收到OTN_IP_MESSAGE后���,執(zhí)行如圖4所述的步驟。[〇〇77]S401.利用公鑰解析加密后的所述⑶N服務(wù)器地址消息�,獲得所述為⑶N服務(wù)器指定的IP地址CDN_IP,時(shí)間戳T ME_STAMP以及消息摘要CDN_RA�。[〇〇78]S402.利用⑶N_IP,以及HME_STAMP重新計(jì)算消息摘要�,并與收到的消息摘要⑶N_RA對(duì)比,以驗(yàn)證消息的完整性���。[〇〇79]S403.比較從CDN服務(wù)器地址消息中解析出的時(shí)間戳TME_STAMP與自身發(fā)送請(qǐng)求時(shí)的時(shí)間戳����,如果二者相等����,則信任接收到的CDN服務(wù)器地址消息����。
[0080]S404.以解析出的⑶N服務(wù)器IP地址⑶N_IP為目的地址�����,通過(guò)由客戶端到⑶N服務(wù)器的轉(zhuǎn)發(fā)路徑�����,建立HTTP連接����。[〇〇81 ]S405.向所述CDN服務(wù)器發(fā)送HTTP請(qǐng)求。[〇〇82]S406.當(dāng)所述HTTP請(qǐng)求通過(guò)SDN網(wǎng)絡(luò)中指定的路徑抵達(dá)⑶N服務(wù)器后�,所述⑶N服務(wù)器將恢復(fù)出的原文件傳輸給所述客戶端。[〇〇83]可選地�����,當(dāng)所述連接為HTTP長(zhǎng)連接���,且傳輸文件所需時(shí)間較長(zhǎng)時(shí),每隔一段固定時(shí)間t��,控制器重新為所述⑶N服務(wù)器與客戶端計(jì)算一組轉(zhuǎn)發(fā)路徑,并更新至SDN交換機(jī)����。
[0084]當(dāng)原文件傳輸完畢后,系統(tǒng)將執(zhí)行以下步驟���。[〇〇85]S407 ?所述CDN服務(wù)器刪除原文件���。[〇〇86]S408.清除所述客戶端與⑶N服務(wù)器之間的轉(zhuǎn)發(fā)路徑。與上文類似�����,該步驟可以通過(guò)設(shè)置流表項(xiàng)的Timeouts字段實(shí)現(xiàn)����,也可以通過(guò)SDN控制器下發(fā)Flow-Mod消息實(shí)現(xiàn)。
[0087]可選地��,當(dāng)傳輸?shù)奈募橐曨l文件時(shí)�����,所述CDN服務(wù)器可以將原文件分割為若干片段�。CDN服務(wù)器上只存放固定時(shí)長(zhǎng)的視頻片段(如5分鐘)����,過(guò)期的視頻片段將被刪除���。當(dāng)所有視頻文件片段傳輸完成后�����,所有視頻片段都會(huì)被從⑶N服務(wù)器中刪除���。通過(guò)這種方式,實(shí)現(xiàn)了視頻文件的“邊下載邊播放”��。
【主權(quán)項(xiàng)】
1.一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)����,其特征在于,包括:多個(gè)CDN服務(wù)器��,多個(gè)緩存服務(wù)器����,多個(gè)SDN交換機(jī)�,SDN控制器�����,所述SDN控制器持有一 個(gè)私鑰��,多個(gè)SDN交換機(jī)組成SDN網(wǎng)絡(luò)�;所述SDN控制器接收用戶訪問(wèn)原文件的訪問(wèn)請(qǐng)求�,生成⑶N服務(wù)器地址消息CDN_IP_ MESSAGE,將所述CDN服務(wù)器地址消息CDN_IP_MESSAGE通過(guò)所述私鑰進(jìn)行加密并發(fā)送給用 戶�����,并生成訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE���,通過(guò)所述私鑰將所述訪問(wèn)請(qǐng)求消息FILE_ REQUEST_MESSAGE進(jìn)行加密�,CDN服務(wù)器接收加密后的所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_ MESSAGE���,所述CDN服務(wù)器通過(guò)公鑰將加密后的所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE進(jìn) 行解析��,獲取解析后的信息與原加密前的所述訪問(wèn)請(qǐng)求消息FI LE_REQUEST_MESSAGE中的信 息進(jìn)行比較��,若相同����,則所述CDN服務(wù)器從所述緩存服務(wù)器獲取原文件;用戶通過(guò)公鑰將CDN服務(wù)器地址消息⑶N_IP_MESSAGE進(jìn)行解析���,獲取解析后的信息與 原加密前的所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進(jìn)行比較���,若相同,則從所述 ⑶N服務(wù)器獲取原文件��。2.如權(quán)利要求1所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)���,其特征在于���,根 據(jù)用戶的地理位置與CDN服務(wù)器的地理位置,選擇離用戶最近的CDN服務(wù)器作為選中CDN月艮務(wù)器����。3.如權(quán)利要求2所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),其特征在于���,還 包括向SDN網(wǎng)絡(luò)下發(fā)流表項(xiàng)���,為用戶與所述選中CDN服務(wù)器,以及所述選中CDN服務(wù)器與多個(gè) 所述緩存服務(wù)器分別指定一組轉(zhuǎn)發(fā)路徑。4.如權(quán)利要求1所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)�����,其特征在于��,所 述訪問(wèn)請(qǐng)求包括所述原文件的唯一標(biāo)識(shí)符FILE_ID與發(fā)送訪問(wèn)請(qǐng)求時(shí)的時(shí)間戳TIME_ STAMP���。5.如權(quán)利要求4所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),其特征在于�����,對(duì) 所述唯一標(biāo)識(shí)符FILE_ID與所述時(shí)間戳HME_STAMP進(jìn)行哈希變換���,生成⑶N服務(wù)器的IP地址 OTN_IP���,根據(jù)所述IP地址⑶N_IP與時(shí)間戳HME_STAMP,計(jì)算消息摘要OTN_RA����。6.如權(quán)利要求5所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),其特征在于��,所 述CDN服務(wù)器地址消息CDN_IP_MESSAGE包括所述IP地址CDN_IP、所述時(shí)間戳HME_STAMP���、消 息摘要CDN_RA��。7.如權(quán)利要求5所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)����,其特征在于�����,根 據(jù)所述IP地址⑶N_IP�����、用戶的IP地址CLIENT_IP�����,以及所述唯一標(biāo)識(shí)符FILE_ID��,計(jì)算消息摘 要FILE_RA〇8.如權(quán)利要求7所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)�����,其特征在于,所 述訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE包括所述IP地址CDN_IP�����、所述IP地址CLIENT_IP��、所 述唯一標(biāo)識(shí)符FILE_ID�����、所述消息摘要FILE_RA���。9.如權(quán)利要求1或5或7所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),其特征在 于��,所述⑶N服務(wù)器通過(guò)公鑰將加密后的所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE進(jìn)行解 析����,獲取解析后的信息與原加密前的所述訪問(wèn)請(qǐng)求消息FILE_REQUEST_MESSAGE中的信息進(jìn) 行比較,其中比較的信息為消息摘要FILE_RA;用戶通過(guò)公鑰將CDN服務(wù)器地址消息⑶N_IP_MESSAGE進(jìn)行解析����,獲取解析后的信息與原加密前的所述CDN服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進(jìn)行比較,其中比較的信息 為所述消息摘要CDN_RA與時(shí)間戳T IME_STAMP���。10.—種利用如權(quán)利要求1-9任意一項(xiàng)所述采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系 統(tǒng)的方法�����。
【文檔編號(hào)】H04L29/06GK106027555SQ201610515220
【公開日】2016年10月12日
【申請(qǐng)日】2016年6月30日
【發(fā)明人】孫毅, 丁東輝, 鄧波
【申請(qǐng)人】中國(guó)科學(xué)院計(jì)算技術(shù)研究所