一種采用sdn技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明提出一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng),該系統(tǒng)包括多個CDN服務(wù)器���,多個緩存服務(wù)器�,多個SDN交換機����,SDN控制器,多個SDN交換機�;SDN控制器接收用戶訪問原文件的訪問請求,生成CDN服務(wù)器地址消息���,將CDN服務(wù)器地址消息通過私鑰進行加密并發(fā)送給用戶���,并生成訪問請求消息,通過私鑰將訪問請求消息進行加密���,CDN服務(wù)器接收加密后的訪問請求消息�����,CDN服務(wù)器將加密后的訪問請求消息進行解析��,獲取解析后的信息與原加密前的訪問請求消息中的信息進行比較�,若相同,CDN服務(wù)器從緩存服務(wù)器獲取原文件�;用戶將CDN服務(wù)器地址消息進行解析,獲取解析后的信息與原加密前的CDN服務(wù)器地址消息中的信息進行比較�,若相同,從CDN服務(wù)器獲取原文件��。
【專利說明】
一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)
技術(shù)領(lǐng)域
[0001]本發(fā)明涉及計算機領(lǐng)域�,特別涉及一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)?���!颈尘凹夹g(shù)】
[0002]內(nèi)容分發(fā)網(wǎng)絡(luò)(Content Delivery Network,Q)N)是一種將視頻�、網(wǎng)頁等文件,從位于遠(yuǎn)程的中心服務(wù)器發(fā)送至多個⑶N服務(wù)器的技術(shù)���。用戶通過DNS等方式連接至最近的 CDN服務(wù)器,從而減輕中心服務(wù)器的負(fù)載���,并增強用戶可感知的服務(wù)質(zhì)量���,然而,在內(nèi)容分發(fā)網(wǎng)絡(luò)中����,仍需要考慮安全性問題��,如果單個⑶N服務(wù)器與用戶之間的傳輸路徑受到攻擊�����,則很容易導(dǎo)致傳輸文件的泄露�����。
[0003]一種常用的保證文件安全性的技術(shù)為Shamir門限技術(shù)���,假設(shè)存在n個參與者,所述參與者可以是存儲文件的緩存服務(wù)器��,門限值為t����,其中t<n,系統(tǒng)將文件拆分為n個片段����, 分別存儲在n臺緩存服務(wù)器內(nèi),其中�����,任意t臺緩存服務(wù)器提供的文件片段,均可以恢復(fù)出原文件�,但當(dāng)獲取的文件片段數(shù)少于t時,則無法恢復(fù)原文件�����,當(dāng)請求者試圖訪問被拆分的文件時�����,需要從任意t個服務(wù)器中獲取文件片段�����,并在本地恢復(fù)出原文件��。
[0004]傳統(tǒng)的Shamir門限技術(shù)具有如下優(yōu)點��,第一����,能夠在一定程度上保證系統(tǒng)的可靠性��,當(dāng)少于t臺服務(wù)器泄露,或者少于t條傳輸路徑被攻破后��,攻擊者仍無法恢復(fù)出原文件�, 更進一步地,可以將一個私鑰進行拆分����,各個服務(wù)器利用拆分后的私鑰對文件片段分別加密,只有文件請求者才持有完整的私鑰����,這可以更好地提升系統(tǒng)安全性;第二,每臺緩存服務(wù)器可以只持有文件的部分片段����,從而節(jié)省服務(wù)器的存儲空間。
[0005]然而����,簡單的Shamir門限技術(shù)并不能直接應(yīng)用于內(nèi)容分發(fā)網(wǎng)絡(luò)中,這是因為客戶端需要在t個文件片段全部下載到本地后才能完全恢復(fù)出原文件�����,因而���,如果緩存服務(wù)器與客戶端主機之間傳輸?shù)臑橐曨l或網(wǎng)頁文件�����,將無法支持“邊下載邊播放”或“邊下載邊解析” 模式����。
[0006]經(jīng)過研究,我們認(rèn)為�����,原有Shamir門限技術(shù)僅僅考慮了文件的可靠存儲與傳輸�,而并未考慮文件請求者恢復(fù)原文件的代價,為了解決上述問題��,可以只在存儲時對原文件進行拆分����,發(fā)送前,在發(fā)送方臨時組裝出原文件����,從而使文件請求者能夠直接收到完整的文件,但是,有以下兩點必須予以保證:1.文件的請求者與發(fā)送者必須確認(rèn)彼此的身份;2.必須保證完整的文件在傳輸過程中難以受到攻擊���。[〇〇〇7] 近年來,軟件定義網(wǎng)絡(luò)(Software Defined Network��,SDN)日益成為工業(yè)界與學(xué)術(shù)界的研究熱點����,SDN的核心理念為控制平面與轉(zhuǎn)發(fā)平面的分離,控制平面可以依據(jù)業(yè)務(wù)需求���,實時調(diào)整網(wǎng)絡(luò)狀態(tài)���,而轉(zhuǎn)發(fā)平面只專注于數(shù)據(jù)包的轉(zhuǎn)發(fā)。
[0008] 在處理上述問題時����,SDN控制器可以協(xié)助發(fā)送者與請求者識別彼此身份,也能夠為原文件的傳輸指定專屬的轉(zhuǎn)發(fā)路徑�,當(dāng)文件傳輸完畢后,專屬的轉(zhuǎn)發(fā)路徑將被清除����,從而降低轉(zhuǎn)發(fā)路徑泄露的可能性。
【發(fā)明內(nèi)容】
[0009]針對現(xiàn)有技術(shù)的不足����,本發(fā)明提出一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)���。
[0010]本發(fā)明提出一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),包括:
[0011]多個CDN服務(wù)器��,多個緩存服務(wù)器����,多個SDN交換機,SDN控制器����,所述SDN控制器持有一個私鑰,多個SDN交換機組成SDN網(wǎng)絡(luò)����;
[0012]所述SDN控制器接收用戶訪問原文件的訪問請求,生成⑶N服務(wù)器地址消息⑶N_ IP_MESSAGE����,將所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE通過所述私鑰進行加密并發(fā)送給用戶,并生成訪問請求消息FILE_REQUEST_MESSAGE�����,通過所述私鑰將所述訪問請求消息 FI LE_RE QUE S T_ME S S AGE進行加密,CDN服務(wù)器接收加密后的所述訪問請求消息FI LE_ REQUEST_MESSAGE�,所述CDN服務(wù)器通過公鑰將加密后的所述訪問請求消息FILE_REQUEST_ MESSAGE進行解析,獲取解析后的信息與原加密前的所述訪問請求消息FILE_REQUEST_ MESSAGE中的信息進行比較�����,若相同�,則所述CDN服務(wù)器從所述緩存服務(wù)器獲取原文件��;
[0013]用戶通過公鑰將⑶N服務(wù)器地址消息⑶N_IP_MESSAGE進行解析�����,獲取解析后的信息與原加密前的所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進行比較�,若相同,則從所述⑶N服務(wù)器獲取原文件�。[〇〇14] 根據(jù)用戶的地理位置與⑶N服務(wù)器的地理位置,選擇離用戶最近的⑶N服務(wù)器作為選中⑶N服務(wù)器��。[〇〇15] 還包括向SDN網(wǎng)絡(luò)下發(fā)流表項���,為用戶與所述選中⑶N服務(wù)器�����,以及所述選中⑶N月艮務(wù)器與多個所述緩存服務(wù)器分別指定一組轉(zhuǎn)發(fā)路徑��。[0〇16]所述訪問請求包括所述原文件的唯一標(biāo)識符FILE_ID與發(fā)送訪問請求時的時間戳 TIME_STAMP〇
[0017] 對所述唯一標(biāo)識符FILE_ID與所述時間戳HME_STAMP進行哈希變換����,生成CDN服務(wù)器的IP地址⑶N_IP,根據(jù)所述IP地址⑶N_IP與時間戳HME_STAMP�,計算消息摘要OTN_RA。 [〇〇18] 所述CDN服務(wù)器地址消息CDN_IP_MESSAGE包括所述IP地址CDN_IP��、所述時間戳 T ME_STAMP�����、消息摘要CDN_RA���。[〇〇19] 根據(jù)所述IP地址⑶N_IP��、用戶的IP地址CLIENT_IP���,以及所述唯一標(biāo)識符FILE_ID, 計算消息摘要FILE_RA��。
[0020] 所述訪問請求消息FILE_REQUEST_MESSAGE包括所述IP地址CDN_IP、所述IP地址 CLIENT_IP���、所述唯一標(biāo)識符FILE_ID��、所述消息摘要FILE_RA����。
[0021] 所述CDN服務(wù)器通過公鑰將加密后的所述訪問請求消息FILE_REQUEST_MESSAGE進行解析�,獲取解析后的信息與原加密前的所述訪問請求消息FI LE_REQUEST_MESSAGE中的信息進行比較���,其中比較的信息為消息摘要FILE_RA;
[0022]用戶通過公鑰將⑶N服務(wù)器地址消息⑶N_IP_MESSAGE進行解析��,獲取解析后的信息與原加密前的所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進行比較����,其中比較的信息為所述消息摘要CDN_RA與時間戳T IME_STAMP��。
[0023]本發(fā)明還提出一種利用所述采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)的方法�。
[0024]由以上方案可知,本發(fā)明的優(yōu)點在于:
[0025]1.⑶N服務(wù)器的IP地址通過文件標(biāo)識符與時間戳計算獲得���,因而是不固定的�,而且在非SDN網(wǎng)絡(luò)中是不可路由的,只能通過SDN控制器指定路徑的方式“強制”轉(zhuǎn)發(fā)��,外部用戶不知道所述CDN服務(wù)器的真實地址����。因而,CDN服務(wù)器的真實位置將被隱藏起來��,非法用戶難以訪問所述⑶N服務(wù)器����。[〇〇26]2.通過Shamir門限技術(shù)將原文件分開存儲,而且原文件在傳輸完成后���,會從⑶N月艮務(wù)器中立即刪除����,從而在一定程度上提高了文件的安全性�����。
[0027]3.轉(zhuǎn)發(fā)路徑由SDN控制器指定�����,每次指定的轉(zhuǎn)發(fā)路徑均不相同,當(dāng)客戶端與CDN結(jié)點之間文件傳輸?shù)臅r間較長時���,轉(zhuǎn)發(fā)路徑可以定期改變���。文件傳輸完成后,緩存服務(wù)器����、CDN 服務(wù)器、客戶端之間的路徑均被清除�����,從而提高了傳輸路徑的安全性����。[〇〇28]與傳統(tǒng)Shamir門限技術(shù)方案的不同之處在于�,文件片段在⑶N服務(wù)器完成組合,而不在于客戶端����,因而,會減少客戶端并發(fā)的連接數(shù)��,并支持“邊下載邊播放”的視頻下載方式?��!靖綀D說明】
[0029]圖1為一個實施例的系統(tǒng)結(jié)構(gòu)圖��;
[0030]圖2為客戶端發(fā)送文件請求后�����,SDN控制器所執(zhí)行的步驟圖��;[0031 ]圖3為CDN服務(wù)器從n個緩存服務(wù)器獲取文件時所執(zhí)行的步驟圖���;
[0032]圖4為客戶端從CDN服務(wù)器獲取所需文件時所執(zhí)行的步驟圖(圖4并沒有在說明書其他地方出現(xiàn))?���!揪唧w實施方式】[〇〇33]鑒于以上所述的一個或多個問題,本發(fā)明提供了一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的方法及系統(tǒng)���。[〇〇34] 本發(fā)明包含m個⑶N服務(wù)器��,n個緩存服務(wù)器����,一個SDN網(wǎng)絡(luò),一個SDN控制器��。所述 SDN網(wǎng)絡(luò)包含多條由SDN交換機互聯(lián)組成的路徑�,SDN交換機通過OpenFlow協(xié)議與SDN控制器通信,而⑶N服務(wù)器與緩存服務(wù)器均接入SDN網(wǎng)絡(luò)��。[〇〇35] 所述SDN控制器持有一個私鑰����,用以加密發(fā)出的消息,而所述m個⑶N服務(wù)器以及接入SDN網(wǎng)絡(luò)的客戶端則持有與之配對的公鑰���。[〇〇36]本發(fā)明使用Shamir門限技術(shù)�,將原文件拆分至n臺緩存服務(wù)器中��,當(dāng)客戶端試圖通過SDN網(wǎng)絡(luò)訪問原文件時����,發(fā)出的請求將被轉(zhuǎn)發(fā)至SDN控制器����,請求中包含原文件的唯一標(biāo)識符FILE_ID和發(fā)送請求時的時間戳TME_STAMP,SDN服務(wù)器收到來自客戶端的請求后�����,執(zhí)行如下步驟。[〇〇37]1.根據(jù)用戶的地理位置與⑶N服務(wù)器的地理位置���,選擇離用戶最近的⑶N服務(wù)器���;[〇〇38]2.以FILE_ID與HME_STAMP為輸入,采用哈希函數(shù)��,為CDN服務(wù)器生成一個IP地址OTN_IP�����,該地址在非SDN網(wǎng)絡(luò)中是不可路由的�����;[〇〇39]3.向SDN網(wǎng)絡(luò)下發(fā)流表項��,為客戶端與選中的⑶N服務(wù)器����,以及⑶N服務(wù)器與n個緩存服務(wù)器分別指定一組轉(zhuǎn)發(fā)路徑;
[0040]4.利用CDN_IP及!1ME_STAMP,通過哈希函數(shù)計算消息摘要CDN_RA;[0041 ] 5.生成CDN服務(wù)器地址消息CDN_IP_MESSAGE�����,其中包含CDN服務(wù)器的IP地址CDN_ IP�����,時間戳TME_STAMP�,以及消息摘要OTN_RA;將所述CDN服務(wù)器地址消息通過自身持有的密鑰加密后,發(fā)往客戶端�����。[〇〇42]6.利用CDN服務(wù)器的IP地址CDN_IP�,客戶端IP地址CLIENT_IP,以及所述原文件的唯一標(biāo)識符FILE_ID����,通過哈希函數(shù)計算消息摘要FILE_RA;[〇〇43]7.生成訪問請求消息FILE_REQUEST_MESSAGE,其中包含CDN服務(wù)器的IP地址CDN_IP�����,客戶端IP地址CLIENT_IP���,文件的唯一標(biāo)識符FILE_ID����,消息摘要FILE_RA;將所述消息通過自身持有的私鑰加密后�,發(fā)往選中的CDN服務(wù)器。
[0044]通過上述 CDN_IP_MESSAGE 以及 FILE_REQUEST_MESSAGE�,SDN 控制器可以協(xié)助 CDN 月艮務(wù)器以及客戶端識別彼此身份;同時,臨時生成的CDN_IP可以隱藏CDN服務(wù)器的真實位置��。 [〇〇45] CDN服務(wù)器接收到加密的FILE_REQUEST_MESSAGE后����,先通過配對的公鑰解析出原始的FILE_REQUEST_MESSAGE,然后對CDN_IP�,CLIENT_IP以及FILE_ID重新計算消息摘要,并與收到的FILE_RA相比較���,以驗證消息的完整性��;如果驗證通過���,那么將⑶N_IP設(shè)置為自身的IP地址;隨后,通過自身與n個緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑�,向n個緩存服務(wù)器發(fā)送文件獲取請求。
[0046]n個緩存服務(wù)器在收到文件獲取請求后,將自身存儲的文件片段分別發(fā)送至所述 CDN服務(wù)器;所述CDN服務(wù)器接收前t個緩存服務(wù)器發(fā)來的文件片段�,然后采用Shamir門限技術(shù),恢復(fù)出原文件���。
[0047]當(dāng)文件片段在CDN服務(wù)器與緩存服務(wù)器之間傳輸完成后���,清除CDN服務(wù)器與n個緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑。
[0048]客戶端接收到經(jīng)過加密的CDN_IP_MESSAGE后��,首先利用配對的公鑰解析出原始的 CDN_IP_MESSAGE���,然后對CDN_IP����,時間戳HME_STAMP重新計算消息摘要�����,并與收到的CDN_RA 相比較���,以驗證消息的完整性;隨后����,比較收到的時間戳HME_STAMP與自己原先發(fā)送請求時的時間戳,如果二者相等�����,則驗證通過��。
[0049]隨后�,客戶端以解析出的CTN_IP為目的地址�,通過客戶端到⑶N服務(wù)器的轉(zhuǎn)發(fā)路徑,建立HTTP連接���,并發(fā)送HTTP請求���。
[0050]⑶N服務(wù)器收到HTTP請求后,將恢復(fù)出的原文件發(fā)往客戶端��。[〇〇511當(dāng)所述連接為HTTP長連接��,且傳輸文件的時間較長時����,每隔一段固定時間,SDN控制器重新為所述⑶N服務(wù)器與客戶端計算一組轉(zhuǎn)發(fā)路徑��。
[0052]原文件傳輸完畢后,CDN服務(wù)器刪除原文件;客戶端與CDN服務(wù)器之間的轉(zhuǎn)發(fā)路徑也被清除��。[〇〇53]如果傳輸?shù)奈募橐曨l文件���,CDN服務(wù)器可以將原文件分割為若干片段;CDN服務(wù)器上只存放固定時長的視頻片段��,過期的視頻片段將被刪除��;當(dāng)所有視頻文件片段傳輸完成后��,所有視頻片段都會從⑶N服務(wù)器中刪除�。通過這種方式�����,實現(xiàn)了視頻文件的“邊下載邊播放”���。[〇〇54]以下為本發(fā)明的具體實施例����,如下所示:
[0055]下面將詳細(xì)描述本發(fā)明的各個方面的特征和示例性實施例����。在下面的詳細(xì)描述中�,提出了許多具體細(xì)節(jié)�,以便提供對本發(fā)明的全面理解。但是����,對于本領(lǐng)域技術(shù)人員來說很明顯的是����,本發(fā)明可以在不需要這些具體細(xì)節(jié)中的一些細(xì)節(jié)的情況下實施。下面對實施例的描述僅僅是為了通過示出本發(fā)明的示例來提供對本發(fā)明的更好的理解��。本發(fā)明不限于下面所提出的任何具體配置和算法��,而是在不脫離本發(fā)明基本思想的前提下覆蓋了元素�����、 部件和算法的任何修改��、替換和改進�。在附圖和下面的描述中,沒有示出公知的結(jié)構(gòu)和技術(shù)��,以便避免對本發(fā)明造成不必要的模糊�。
[0056]圖1所示的實施例中�����,設(shè)Shamir門限機制中存在n個參與者�����,門限值為t�����。[〇〇57]該系統(tǒng)包含m個⑶N服務(wù)器��,n個緩存服務(wù)器����,一個SDN網(wǎng)絡(luò)����,一個SDN控制器。所述SDN網(wǎng)絡(luò)包含多條由SDN交換機組成的路徑���,SDN交換機通過OpenFlow協(xié)議與SDN控制器通信����。所述⑶N服務(wù)器與緩存服務(wù)器均接入SDN網(wǎng)絡(luò)。
[0058]所述n個緩存服務(wù)器均持有一個私鑰��,用以加密發(fā)出的消息���。而所述m個CDN服務(wù)器以及接入SDN網(wǎng)絡(luò)的客戶端則持有與之配對的公鑰�����。
[0059]原文件經(jīng)過加密后�����,使用Shamir門限技術(shù),拆分至n臺緩存服務(wù)器中�。這里的原文件可以是視頻、網(wǎng)頁等���。
[0060]在當(dāng)客戶端試圖通過SDN網(wǎng)絡(luò)訪問某一文件時�,客戶端發(fā)出的請求將首先被轉(zhuǎn)發(fā)至SDN控制器����。所述請求包含原文件的唯一標(biāo)識符FILE_ID和發(fā)送請求時的時間戳TIME_ STAMP。[〇〇61]所述SDN控制器存儲各⑶N服務(wù)器的地理位置�����。圖2給出了 SDN控制器在收到客戶端請求后執(zhí)行的流程。[〇〇62]S201.依據(jù)各個⑶N服務(wù)器的地理位置���,為所述客戶端指定一個⑶N服務(wù)器��。[〇〇63]S202.從客戶端請求中獲取所述文件標(biāo)識符FILE_ID和時間戳TIME_STAMP�����。[〇〇64]S203.采用哈希函數(shù)����,以文件標(biāo)識符FILE_ID和時間戳?E_STAMP為輸入�,為所述CDN服務(wù)器生成一個IP地址。在非SDN網(wǎng)絡(luò)中�����,該IP地址是不可路由的����,如采用RFC1918規(guī)定的私有地址。[〇〇65]S204.向所述SDN網(wǎng)絡(luò)下發(fā)流表項,為客戶端與所述⑶N服務(wù)器指定一組轉(zhuǎn)發(fā)路徑����。[〇〇66]S205.向所述SDN網(wǎng)絡(luò)下發(fā)流表項,為所述⑶N服務(wù)器與所述n個緩存服務(wù)器指定另一組轉(zhuǎn)發(fā)路徑�����。[〇〇67]S207.以CDN服務(wù)器的指定IP地址CDN_IP���,以及從請求中解析出的時間戳TIME_STAMP為輸入���,通過Hash函數(shù),計算消息摘要⑶N_RA����。然后構(gòu)造一個⑶N服務(wù)器地址消息⑶N_ IP_MESSAGE����,其中包含⑶N_IP,HME_STAMP以及消息摘要OTN_RA�。將⑶N服務(wù)器地址消息通過自身持有的私鑰加密后,發(fā)往所述客戶端���。[〇〇68]S208 ?以CDN服務(wù)器的指定IP地址CDN_IP��,客戶端IP地址CLIENT_IP�,以及所述文件的唯一標(biāo)識符FI LE_I D為輸入,計算消息摘要FI LE_RA�����。然后構(gòu)造一個訪問請求消息FI LE_ REQUEST_MESSAGE�����,其中包含 CDN_IP�,CLIENT_IP,F(xiàn)ILE_ID 以及消息摘要 FILE_RA�。將訪問請求消息通過自身持有的私鑰加密后,發(fā)往選中的CDN服務(wù)器���。
[0069]CDN服務(wù)器在接收到所述訪問請求消息FILE_REQUEST_MESSAGE后��,執(zhí)行如圖3所示的步驟�����。
[0070]S301.通過配對的公鑰解析加密后的訪問請求消息�����,獲取所述客戶端的IP地址 CLIENT_IP��,所述文件的唯一標(biāo)識符FILE_ID�����,SDN控制器為CDN服務(wù)器分配的IP地址CDN_IP����, 以及消息摘要FILE_RA;[〇〇71]S302.利用解析出的CLIENT_IP,F(xiàn)ILE_ID�,以及CDN_IP,重新計算消息摘要����,并與收到的消息摘要FILE_RA相對比,以驗證消息的完整性���;[〇〇72]S303.如果驗證通過,則將CDN_IP設(shè)置為自身的IP地址�;[〇〇73]S304.通過⑶N服務(wù)器與緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑,向n個緩存服務(wù)器發(fā)送文件獲取請求����。所述n個緩存服務(wù)器收到文件獲取請求后�����,將自身存儲的文件片段分別發(fā)送至所述CDN服務(wù)器����。[〇〇74]S305.所述⑶N服務(wù)器接收到前t個緩存服務(wù)器發(fā)來的文件片段�,采用Shamir門限技術(shù),恢復(fù)出原文件�����。[〇〇75]S306.當(dāng)所述文件片段在⑶N服務(wù)器與緩存服務(wù)器之間傳輸完畢后�����,所述⑶N服務(wù)器與n個緩存服務(wù)器之間的轉(zhuǎn)發(fā)路徑被清除�。在OpenFlow協(xié)議中,可以通過刪除交換機中流表項的方式清除轉(zhuǎn)發(fā)路徑���。如���,在〇 P e n F1 〇 w 1.3 0及以上協(xié)議中�����,可以設(shè)置流表項的 Timeouts字段�,當(dāng)所述轉(zhuǎn)發(fā)路徑維持的時間超過某一閾值后�,負(fù)責(zé)在該路徑上轉(zhuǎn)發(fā)數(shù)據(jù)的流表項將被自動刪除。也可以通過SDN控制器直接向所述路徑上的SDN交換機下發(fā)Flow-Mod 消息��,從而刪除轉(zhuǎn)發(fā)文件片段的所述流表項�。
[0076] 客戶端在收到OTN_IP_MESSAGE后,執(zhí)行如圖4所述的步驟���。[〇〇77]S401.利用公鑰解析加密后的所述⑶N服務(wù)器地址消息�����,獲得所述為⑶N服務(wù)器指定的IP地址CDN_IP�����,時間戳T ME_STAMP以及消息摘要CDN_RA����。[〇〇78]S402.利用⑶N_IP����,以及HME_STAMP重新計算消息摘要,并與收到的消息摘要⑶N_RA對比����,以驗證消息的完整性。[〇〇79]S403.比較從CDN服務(wù)器地址消息中解析出的時間戳TME_STAMP與自身發(fā)送請求時的時間戳��,如果二者相等���,則信任接收到的CDN服務(wù)器地址消息�����。
[0080]S404.以解析出的⑶N服務(wù)器IP地址⑶N_IP為目的地址���,通過由客戶端到⑶N服務(wù)器的轉(zhuǎn)發(fā)路徑,建立HTTP連接��。[〇〇81 ]S405.向所述CDN服務(wù)器發(fā)送HTTP請求��。[〇〇82]S406.當(dāng)所述HTTP請求通過SDN網(wǎng)絡(luò)中指定的路徑抵達⑶N服務(wù)器后�,所述⑶N服務(wù)器將恢復(fù)出的原文件傳輸給所述客戶端。[〇〇83]可選地����,當(dāng)所述連接為HTTP長連接����,且傳輸文件所需時間較長時�����,每隔一段固定時間t�,控制器重新為所述⑶N服務(wù)器與客戶端計算一組轉(zhuǎn)發(fā)路徑,并更新至SDN交換機����。
[0084]當(dāng)原文件傳輸完畢后,系統(tǒng)將執(zhí)行以下步驟�。[〇〇85]S407 ?所述CDN服務(wù)器刪除原文件。[〇〇86]S408.清除所述客戶端與⑶N服務(wù)器之間的轉(zhuǎn)發(fā)路徑��。與上文類似�����,該步驟可以通過設(shè)置流表項的Timeouts字段實現(xiàn)���,也可以通過SDN控制器下發(fā)Flow-Mod消息實現(xiàn)���。
[0087]可選地�,當(dāng)傳輸?shù)奈募橐曨l文件時���,所述CDN服務(wù)器可以將原文件分割為若干片段。CDN服務(wù)器上只存放固定時長的視頻片段(如5分鐘)���,過期的視頻片段將被刪除�����。當(dāng)所有視頻文件片段傳輸完成后�,所有視頻片段都會被從⑶N服務(wù)器中刪除�����。通過這種方式����,實現(xiàn)了視頻文件的“邊下載邊播放”。
【主權(quán)項】
1.一種采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)��,其特征在于�,包括:多個CDN服務(wù)器��,多個緩存服務(wù)器�,多個SDN交換機���,SDN控制器�,所述SDN控制器持有一 個私鑰���,多個SDN交換機組成SDN網(wǎng)絡(luò)�;所述SDN控制器接收用戶訪問原文件的訪問請求�,生成⑶N服務(wù)器地址消息CDN_IP_ MESSAGE,將所述CDN服務(wù)器地址消息CDN_IP_MESSAGE通過所述私鑰進行加密并發(fā)送給用 戶���,并生成訪問請求消息FILE_REQUEST_MESSAGE����,通過所述私鑰將所述訪問請求消息FILE_ REQUEST_MESSAGE進行加密��,CDN服務(wù)器接收加密后的所述訪問請求消息FILE_REQUEST_ MESSAGE��,所述CDN服務(wù)器通過公鑰將加密后的所述訪問請求消息FILE_REQUEST_MESSAGE進 行解析����,獲取解析后的信息與原加密前的所述訪問請求消息FI LE_REQUEST_MESSAGE中的信 息進行比較���,若相同,則所述CDN服務(wù)器從所述緩存服務(wù)器獲取原文件���;用戶通過公鑰將CDN服務(wù)器地址消息⑶N_IP_MESSAGE進行解析�����,獲取解析后的信息與 原加密前的所述⑶N服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進行比較,若相同����,則從所述 ⑶N服務(wù)器獲取原文件。2.如權(quán)利要求1所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)���,其特征在于�����,根 據(jù)用戶的地理位置與CDN服務(wù)器的地理位置��,選擇離用戶最近的CDN服務(wù)器作為選中CDN月艮務(wù)器����。3.如權(quán)利要求2所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),其特征在于�����,還 包括向SDN網(wǎng)絡(luò)下發(fā)流表項�,為用戶與所述選中CDN服務(wù)器,以及所述選中CDN服務(wù)器與多個 所述緩存服務(wù)器分別指定一組轉(zhuǎn)發(fā)路徑�����。4.如權(quán)利要求1所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)�����,其特征在于���,所 述訪問請求包括所述原文件的唯一標(biāo)識符FILE_ID與發(fā)送訪問請求時的時間戳TIME_ STAMP��。5.如權(quán)利要求4所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)��,其特征在于���,對 所述唯一標(biāo)識符FILE_ID與所述時間戳HME_STAMP進行哈希變換����,生成⑶N服務(wù)器的IP地址 OTN_IP���,根據(jù)所述IP地址⑶N_IP與時間戳HME_STAMP��,計算消息摘要OTN_RA��。6.如權(quán)利要求5所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)�����,其特征在于,所 述CDN服務(wù)器地址消息CDN_IP_MESSAGE包括所述IP地址CDN_IP��、所述時間戳HME_STAMP�����、消 息摘要CDN_RA�。7.如權(quán)利要求5所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),其特征在于��,根 據(jù)所述IP地址⑶N_IP����、用戶的IP地址CLIENT_IP�,以及所述唯一標(biāo)識符FILE_ID����,計算消息摘 要FILE_RA〇8.如權(quán)利要求7所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng),其特征在于��,所 述訪問請求消息FILE_REQUEST_MESSAGE包括所述IP地址CDN_IP��、所述IP地址CLIENT_IP�、所 述唯一標(biāo)識符FILE_ID、所述消息摘要FILE_RA�����。9.如權(quán)利要求1或5或7所述的采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系統(tǒng)�,其特征在 于,所述⑶N服務(wù)器通過公鑰將加密后的所述訪問請求消息FILE_REQUEST_MESSAGE進行解 析����,獲取解析后的信息與原加密前的所述訪問請求消息FILE_REQUEST_MESSAGE中的信息進 行比較,其中比較的信息為消息摘要FILE_RA;用戶通過公鑰將CDN服務(wù)器地址消息⑶N_IP_MESSAGE進行解析����,獲取解析后的信息與原加密前的所述CDN服務(wù)器地址消息⑶N_IP_MESSAGE中的信息進行比較�,其中比較的信息 為所述消息摘要CDN_RA與時間戳T IME_STAMP�。10.—種利用如權(quán)利要求1-9任意一項所述采用SDN技術(shù)改善內(nèi)容分發(fā)網(wǎng)絡(luò)安全性的系 統(tǒng)的方法。
【文檔編號】H04L29/06GK106027555SQ201610515220
【公開日】2016年10月12日
【申請日】2016年6月30日
【發(fā)明人】孫毅, 丁東輝, 鄧波
【申請人】中國科學(xué)院計算技術(shù)研究所