一种防盗链方法及防盗链网关系统技术方案

本申请提供一种防盗链方法及防盗链网关系统。所述防盗链方法包括如下步骤：网关服务器根据用户端请求，向用户端下发带有全局唯一性用户ID的Cookie、资源地址和根据所述“全局唯一性用户ID”计算得到的签名；资源服务器和/或CDN边缘节点接收用户端的资源访问请求，并将用户端请求信息发送给网关服务器进行鉴权分析，并且根据鉴权分析结果来响应用户端请求；和网关服务器对从“资源服务器和/或CDN边缘节点”接收到的用户端请求信息进行鉴权分析。本申请的方法和系统能够保证被授权网站的用户能正常访问资源；保护网站内容不被非授权网站盗链。

A Method of Anti-theft Chain and Gateway System of Anti-theft Chain

This application provides an anti-theft chain method and a anti-theft chain gateway system. The anti-theft chain method comprises the following steps: the gateway server sends Cookie with global unique user ID, resource address and signature calculated according to the global unique user ID to the client according to the client request; the resource server and/or CDN edge node receives the resource access request from the client and sends the user request information to the gateway server Authentication analysis is carried out, and user requests are responded to according to the results of authentication analysis; and gateway servers authenticate user requests received from resource servers and/or CDN edge nodes. The method and system of this application can ensure that users of authorized websites can access resources normally, and protect the content of websites from being stolen by unauthorized websites.

【技术实现步骤摘要】
一种防盗链方法及防盗链网关系统
本专利技术属于计算机网络安全领域，具体涉及到一种防盗链方法、防盗链网关服务器及包含它的防盗链系统。
技术介绍
现在有很多提供视频资源的网站，用户可以在其网站上观看视频资源，网站必须将视频资源面向所有人开放地存放在自己或者第三方的服务器上。有些网站为了提高用户体验，让用户能更好地观看视频，会将视频缓存在离用户最近的CDN节点。由于视频资源是面向所有人开放，而且网络带宽作为一种昂贵的资源，所以常常会有一些网站不花钱购买网络带宽，而是盗链其他网站的开放资源，为自己网站谋取利益。这将会导致真正的视频拥有者的带宽被不法滥用。有统计显示，最严重的时候，非法盗用的网络带宽是真正的视频拥有者使用的网络带宽的数倍。很多被盗链的公司苦不堪言。现有技术中有很多防盗链技术，大概原理是通过对视频播放链接的多次加密、进行有效时间限制等方法。还有通过加密视频格式来解决。这些方法共同的问题是，盗链网站模拟真正的视频拥有者的网站正常用户在单独的服务器上计算出最终视频播放链接，并下发给其盗链网站的用户播放，所有的防护都形同虚设。另外，也带来没有必要的网站修改。
技术实现思路
针对现有技术中存在的一种或多种问题，本申请提供一种网络防盗链方法，执行该方法的防盗链网关系统，其无需修改网站代码并支持CDN缓存的防盗链方式，并且能够解决现有技术中存在的一种或多种问题。本申请具体地包含如下内容：实施方式1.一种网络防盗链方法，其包括如下步骤：网关服务器根据用户端请求，向用户端下发带有全局唯一性用户ID的Cookie、资源地址和根据所述“全局唯一性用户ID”计算得到的签名；资源服务器和/或CDN边缘节点接收用户端的资源访问请求，并将用户端请求信息发送给网关服务器进行鉴权分析，并且根据鉴权分析结果来响应用户端请求，其中所述资源服务器和/或CDN边缘节点与所述网关服务器具有相同的一级域名；和网关服务器对从“资源服务器和/或CDN边缘节点”接收到的用户端请求信息进行鉴权分析；其中所述鉴权分析包括：网关服务器提取用户端请求信息中的用户“签名”；网关服务器提取用户端请求信息中的“用户ID”并计算相应的鉴权用“签名”，将该鉴权用“签名”与用户“签名”进行一致性比较，获得一致性比较结果，根据一致性比较结果计算鉴权分析结果，并向资源服务器和/或CDN边缘节点发送相应的鉴权分析结果。实施方式2.实施方式1的方法，其中所述“签名”包括“用户ID”信息和网关服务器的私钥。实施方式3.实施方式2的方法，其中所述“签名”包括下信息中的一个或多个：签名版本，签名有效时间和资源地址。实施方式4.实施方式1-3中任一项所述的方法，其中所述鉴权分析还包括：网关服务器接收用户端(以Cookie中的用户ID作为标识符)的心跳数据，并且根据心跳数据判断是否存在用户端异常访问行为，给出心跳数据判断结果，当心跳数据判断结果表明存在用户端异常访问行为时，网关服务器通知用户端进行人机识别，获得人机识别结果，在识别正确的情况下，将心跳数据判断结果修改为不存在用户端异常访问行为；所述“根据一致性比较结果计算鉴权分析结果，并向资源服务器和/或CDN边缘节点发送相应的鉴权分析结果”步骤包括：当该鉴权用“签名”与用户“签名”进行一致性比较的结果为一致，并且“心跳数据判断结果”表明不存在用户端异常访问行为时，网关服务器向资源服务器和/或CDN边缘节点发送指令“授权此次用户端的资源访问请求”，否则，网关服务器向资源服务器和/或CDN边缘节点发送指令“禁止此次用户端的资源访问请求”。实施方式5.实施方式1至3中任一项的方法，其中“用户端进行人机识别”包括：通过图形验证码、简单交互游戏、手机短信验证码、要求用户登录等方式中的至少一种。实施方式6.实施方式1至3中任一项的方法，其中网关服务器通过反向代理源资源地址获取接口而获得所述资源地址，所述签名作为URL参数添加到资源URL中发给用户端。实施方式7.一种防盗链网关系统，其包括具有相同的一级域名的网关服务器和“资源服务器和/或CDN边缘节点”，所述网关服务器和“资源服务器和/或CDN边缘节点”配置为能够执行实施方式1-6中任一项所述的方法。实施方式8.一种防盗链网关系统，其包括网关服务器，其中所述网关服务器包括：分发模块(p)，所述分发模块分发带有全局唯一性用户ID的Cookie，资源地址及根据所述“全局唯一性用户ID”计算得到的签名；心跳维持服务模块(hb)，其接收用户端推送的心跳数据，调用“心跳判决服务模块(ha)”得到心跳数据判断结果，并将判断结果发送给用户端；心跳判决服务模块(ha)，根据收集到的心跳数据，判断是否存在用户端异常访问行为，给出心跳数据判断结果；心跳交互服务模块(hi)，接收用户端的人机识别交互请求，和获取人机识别数据，根据该数据，进行人机识别判断，在识别正确的情况下，调用心跳判决服务模块(ha)将心跳数据判断结果修改为不存在用户端异常访问行为；和资源访问鉴权服务模块(a)，其从“资源服务器和/或CDN边缘节点”接收用户端请求信息；提取用户端请求信息中的用户“签名”；提取用户端请求信息中的“用户ID”并计算相应的鉴权用“签名”，将该鉴权用“签名”与用户“签名”进行一致性比较，获得一致性比较结果；在该鉴权用“签名”与用户“签名”进行一致性比较的结果为一致时，调用“心跳判决服务模块(ha)”得到心跳数据判断结果；当“心跳数据判断结果”表明不存在用户端异常访问行为，并且该鉴权用“签名”与用户“签名”进行一致性比较的结果为一致时，向资源服务器和/或CDN边缘节点发送指令“授权此次用户端的资源访问请求”，否则，向资源服务器和/或CDN边缘节点发送指令“禁止此次用户端的资源访问请求”。实施方式9.实施方式8的防盗链网关系统，还包括运行于用户端的以下模块：心跳数据推送模块(hc)，其收集用户端的心跳数据，并将其发推送给心跳维持服务模块(hb)；和人机识别模块(mi)，其从心跳交互服务模块(hi)获取人机交互识别信息，进行人机识别，向心跳交互服务模块(hi)发送人机识别交互信息。实施方式10.实施方式8或9的防盗链网关系统，还包括“资源服务器和/或CDN边缘节点”，所述资源服务器和/或CDN边缘节点在接收到用户端资源访问请求后，将用户端请求信息发送给网关服务器进行鉴权分析，并且根据鉴权分析结果来响应用户端请求。实施方式11.实施方式8或9的防盗链网关系统，其中所述网关服务器还包括网关管理服务模块(m)，其执行以下功能中的至少一种：配置是否开启防盗链系统，配置日志记录等级，配置反向代理源资源地址，配置鉴权签名所需的私钥，配置鉴权签名的有效时间，配置鉴权Referer/Origin白名单/黑名单，配置鉴权User-Agent白名单/黑名单，配置访问/鉴权IP黑/白名单。实施方式12.实施方式8或9的防盗链网关系统，其中所述网关服务器还包括心跳分析服务模块(hy)，对心跳数据进行更多维度的大数据分析。实施方式13.实施方式8或9的防盗链网关系统，其中所述分发模块(p)通过反向代理源资源地址而获得所分发的资源地址。利用Cookie不能跨域传输的原理，将一个特定的参与签名计算的值存放在Cookie中。用户端通过相同一级域名获取签名后本文档来自技高网...

【技术保护点】
1.一种防盗链方法，其包括如下步骤：网关服务器根据用户端请求，向用户端下发带有全局唯一性用户ID的Cookie、资源地址和根据所述“全局唯一性用户ID”计算得到的签名；资源服务器和/或CDN边缘节点接收用户端的资源访问请求，并将用户端请求信息发送给网关服务器进行鉴权分析，并且根据鉴权分析结果来响应用户端请求，其中所述资源服务器和/或CDN边缘节点与所述网关服务器具有相同的一级域名；和网关服务器对从“资源服务器和/或CDN边缘节点”接收到的用户端请求信息进行鉴权分析；其中所述鉴权分析包括：网关服务器提取用户端请求信息中的用户“签名”；网关服务器提取用户端请求信息中的“用户ID”并计算相应的鉴权用“签名”，将该鉴权用“签名”与用户“签名”进行一致性比较，获得一致性比较结果，根据一致性比较结果计算鉴权分析结果，并向资源服务器和/或CDN边缘节点发送相应的鉴权分析结果。

【技术特征摘要】
1.一种防盗链方法，其包括如下步骤：网关服务器根据用户端请求，向用户端下发带有全局唯一性用户ID的Cookie、资源地址和根据所述“全局唯一性用户ID”计算得到的签名；资源服务器和/或CDN边缘节点接收用户端的资源访问请求，并将用户端请求信息发送给网关服务器进行鉴权分析，并且根据鉴权分析结果来响应用户端请求，其中所述资源服务器和/或CDN边缘节点与所述网关服务器具有相同的一级域名；和网关服务器对从“资源服务器和/或CDN边缘节点”接收到的用户端请求信息进行鉴权分析；其中所述鉴权分析包括：网关服务器提取用户端请求信息中的用户“签名”；网关服务器提取用户端请求信息中的“用户ID”并计算相应的鉴权用“签名”，将该鉴权用“签名”与用户“签名”进行一致性比较，获得一致性比较结果，根据一致性比较结果计算鉴权分析结果，并向资源服务器和/或CDN边缘节点发送相应的鉴权分析结果。2.权利要求1的方法，其中所述“签名”包括“用户ID”信息和网关服务器的私钥。3.权利要求2的方法，其中所述“签名”包括下信息中的一个或多个：签名版本，签名有效时间和资源地址。4.权利要求1-3中任一项所述的方法，其中所述鉴权分析还包括：网关服务器接收用户端(以Cookie中的用户ID作为标识符)的心跳数据，并且根据心跳数据判断是否存在用户端异常访问行为，给出心跳数据判断结果，当心跳数据判断结果表明存在用户端异常访问行为时，网关服务器通知用户端进行人机识别，获得人机识别结果，在识别正确的情况下，将心跳数据判断结果修改为不存在用户端异常访问行为；所述“根据一致性比较结果计算鉴权分析结果，并向资源服务器和/或CDN边缘节点发送相应的鉴权分析结果”步骤包括：当该鉴权用“签名”与用户“签名”进行一致性比较的结果为一致，并且“心跳数据判断结果”表明不存在用户端异常访问行为时，网关服务器向资源服务器和/或CDN边缘节点发送指令“授权此次用户端的资源访问请求”，否则，网关服务器向资源服务器和/或CDN边缘节点发送指令“禁止此次用户端的资源访问请求”。5.权利要求1至3中任一项的方法，其中“用户端进行人机识别”包括：通过图形验证码、简单交互游戏、手机短信验证码、要求用户登录等方式中的至少一种。6.权利要求1至3中任一项的方法，其中网关服务器通过反向代理源资源地址获取接口而获得所述资源地址，所述签名作为URL参数添加到资源URL中发给用户端。7.一种防盗链网关系统，其包括具有相同的一级域名的网关服务器和“资源服务器和/或CDN边缘节点”，所述网关服务器和“资源服务器和/或CDN边缘节点”配置为能够执行权利要求1-6中任一项所述的方法。8.一种防盗链网关系统，其包括网关服务器，其中所述网关服务器包括：分发模...

【专利技术属性】
技术研发人员：吴波，
申请(专利权)人：吴波，
类型：发明
国别省市：北京,11