[发明专利]一种内容分发网络的回源认证方法和装置

说明书

本申请提出一种内容分发网络的回源认证方法和装置，应用于内容分发网络CDN节点的方法包括：根据所述CDN节点的源网络互连协议IP地址生成认证信息；将所述认证信息添加至超文本传输协议HTTP请求中发送给源站。应用于源站的方法包括：接收内容分发网络CDN节点发送的超文本传输协议HTTP请求；对所述HTTP请求中携带的认证信息进行校验；根据校验结果进行对应的逻辑处理。本发明提供的方法和装置可以防止HTTP明文内容被篡改，并且可以让源站使用这个不会被篡改的信息来对请求发送方进行认证，以确定发送方身份。

技术领域

本发明涉及安全技术领域，具体涉及一种内容分发网络的回源认证方法和装置。

背景技术

CDN，Content Delivery Network，即内容分发网络，是一种分布式的缓存系统，其主要功能是将原始网站的内容缓存到和用户地理位置更近的地点来起到加速的作用。CDN节点缓存的内容，是从源站获取的，因此CDN节点需要向源站发起HTTP(HyperTextTransfer Protocol，超文本传输协议)请求并在获取到应答后缓存内容，这个过程叫做回源。

源站的某些IT(Internet Technology，互联网技术)系统在某些情况下可能会需要能判断出来请求的来源是否是合法的CDN节点以便进行某些逻辑的处理。例如，如果源站部署了某种攻击防御系统，则该系统可能会对来自CDN节点的请求进行更加宽松的策略处理，而对于未知来源的请求则进行严格的处理。

相关技术的CDN回源，如果源站需要验证请求来源的话，一般只能通过在HTTP请求中增加请求头的方式来表明来源身份，但是由于HTTP是明文传输，这样就存在如下两点问题：

1)用于认证的请求头容易被篡改，使得认证信息失效，让源站无法识别CDN节点；

2)用于认证的请求头容易被窃取，从而导致攻击者可以使用此信息来伪造成CDN节点。

发明内容

本发明提供一种内容分发网络的回源认证方法和装置，解决源站如何验证HTTP请求是由CDN节点发出的问题。

为了实现上述发明目的，本发明采取的技术方案如下：

一种内容分发网络的回源认证方法，应用于内容分发网络CDN节点，包括：

根据所述CDN节点的源网络互连协议IP地址生成认证信息；

将所述认证信息添加至超文本传输协议HTTP请求中发送给源站。

优选地，根据所述CDN节点的源网络互连协议IP地址生成认证信息包括:

对所述源IP地址进行哈希运算获得哈希消息认证码HMAC；

根据所述CDN节点的源IP地址和所述HMAC生成认证信息。

优选地，将所述认证信息添加至HTTP请求中包括:

根据所述认证信息生成HTTP请求头，将所述HTTP请求头添加至所述HTTP请求中。

本发明还提供一种内容分发网络的回源认证的方法，应用于源站，包括：

接收内容分发网络CDN节点发送的超文本传输协议HTTP请求；

对所述HTTP请求中携带的认证信息进行校验；

根据校验结果进行对应的逻辑处理。

优选地，对所述HTTP请求中携带的认证信息进行校验包括：

对所述HTTP请求中的认证信息进行解码，获得所述CDN节点的第一源IP地址和第一带哈希的消息认证码HMAC，所述第一HMAC为对所述第一源IP地址进行哈希运算获得的；