一种采用SDN技术改善内容分发网络安全性的方法及系统技术方案

技术编号:13896456 阅读:98 留言:0更新日期:2016-10-25 03:03
本发明专利技术提出一种采用SDN技术改善内容分发网络安全性的方法及系统,该系统包括多个CDN服务器,多个缓存服务器,多个SDN交换机,SDN控制器,多个SDN交换机;SDN控制器接收用户访问原文件的访问请求,生成CDN服务器地址消息,将CDN服务器地址消息通过私钥进行加密并发送给用户,并生成访问请求消息,通过私钥将访问请求消息进行加密,CDN服务器接收加密后的访问请求消息,CDN服务器将加密后的访问请求消息进行解析,获取解析后的信息与原加密前的访问请求消息中的信息进行比较,若相同,CDN服务器从缓存服务器获取原文件;用户将CDN服务器地址消息进行解析,获取解析后的信息与原加密前的CDN服务器地址消息中的信息进行比较,若相同,从CDN服务器获取原文件。

【技术实现步骤摘要】

本专利技术涉及计算机领域,特别涉及一种采用SDN技术改善内容分发网络安全性的方法及系统
技术介绍
内容分发网络(Content Delivery Network,CDN)是一种将视频、网页等文件,从位于远程的中心服务器发送至多个CDN服务器的技术。用户通过DNS等方式连接至最近的CDN服务器,从而减轻中心服务器的负载,并增强用户可感知的服务质量,然而,在内容分发网络中,仍需要考虑安全性问题,如果单个CDN服务器与用户之间的传输路径受到攻击,则很容易导致传输文件的泄露。一种常用的保证文件安全性的技术为Shamir门限技术,假设存在n个参与者,所述参与者可以是存储文件的缓存服务器,门限值为t,其中t<n,系统将文件拆分为n个片段,分别存储在n台缓存服务器内,其中,任意t台缓存服务器提供的文件片段,均可以恢复出原文件,但当获取的文件片段数少于t时,则无法恢复原文件,当请求者试图访问被拆分的文件时,需要从任意t个服务器中获取文件片段,并在本地恢复出原文件。传统的Shamir门限技术具有如下优点,第一,能够在一定程度上保证系统的可靠性,当少于t台服务器泄露,或者少于t条传输路径被攻破后,攻击者仍无法恢复出原文件,更进一步地,可以将一个私钥进行拆分,各个服务器利用拆分后的私钥对文件片段分别加密,只有文件请求者才持有完整的私钥,这可以更好地提升系统安全性;第二,每台缓存服务器可以只持有文件的部分片段,从而节省服务器的存储空间。然而,简单的Shamir门限技术并不能直接应用于内容分发网络中,这是因为客户端需要在t个文件片段全部下载到本地后才能完全恢复出原文件,因而,如果缓存服务器与客户端主机之间传输的为视频或网页文件,将无法支持“边下载边播放”或“边下载边解析”模式。经过研究,我们认为,原有Shamir门限技术仅仅考虑了文件的可靠存储
与传输,而并未考虑文件请求者恢复原文件的代价,为了解决上述问题,可以只在存储时对原文件进行拆分,发送前,在发送方临时组装出原文件,从而使文件请求者能够直接收到完整的文件,但是,有以下两点必须予以保证:1.文件的请求者与发送者必须确认彼此的身份;2.必须保证完整的文件在传输过程中难以受到攻击。近年来,软件定义网络(Software Defined Network,SDN)日益成为工业界与学术界的研究热点,SDN的核心理念为控制平面与转发平面的分离,控制平面可以依据业务需求,实时调整网络状态,而转发平面只专注于数据包的转发。在处理上述问题时,SDN控制器可以协助发送者与请求者识别彼此身份,也能够为原文件的传输指定专属的转发路径,当文件传输完毕后,专属的转发路径将被清除,从而降低转发路径泄露的可能性。
技术实现思路
针对现有技术的不足,本专利技术提出一种采用SDN技术改善内容分发网络安全性的方法及系统。本专利技术提出一种采用SDN技术改善内容分发网络安全性的系统,包括:多个CDN服务器,多个缓存服务器,多个SDN交换机,SDN控制器,所述SDN控制器持有一个私钥,多个SDN交换机组成SDN网络;所述SDN控制器接收用户访问原文件的访问请求,生成CDN服务器地址消息CDN_IP_MESSAGE,将所述CDN服务器地址消息CDN_IP_MESSAGE通过所述私钥进行加密并发送给用户,并生成访问请求消息FILE_REQUEST_MESSAGE,通过所述私钥将所述访问请求消息FILE_REQUEST_MESSAGE进行加密,CDN服务器接收加密后的所述访问请求消息FILE_REQUEST_MESSAGE,所述CDN服务器通过公钥将加密后的所述访问请求消息FILE_REQUEST_MESSAGE进行解析,获取解析后的信息与原加密前的所述访问请求消息FILE_REQUEST_MESSAGE中的信息进行比较,若相同,则所述CDN服务器从所述缓存服务器获取原文件;用户通过公钥将CDN服务器地址消息CDN_IP_MESSAGE进行解析,获取解析后的信息与原加密前的所述CDN服务器地址消息CDN_IP_MESSAGE中的信息进行比较,若相同,则从所述CDN服务器获取原文件。根据用户的地理位置与CDN服务器的地理位置,选择离用户最近的CDN服务器作为选中CDN服务器。还包括向SDN网络下发流表项,为用户与所述选中CDN服务器,以及所述选中CDN服务器与多个所述缓存服务器分别指定一组转发路径。所述访问请求包括所述原文件的唯一标识符FILE_ID与发送访问请求时的时间戳TIME_STAMP。对所述唯一标识符FILE_ID与所述时间戳TIME_STAMP进行哈希变换,生成CDN服务器的IP地址CDN_IP,根据所述IP地址CDN_IP与时间戳TIME_STAMP,计算消息摘要CDN_RA。所述CDN服务器地址消息CDN_IP_MESSAGE包括所述IP地址CDN_IP、所述时间戳TIME_STAMP、消息摘要CDN_RA。根据所述IP地址CDN_IP、用户的IP地址CLIENT_IP,以及所述唯一标识符FILE_ID,计算消息摘要FILE_RA。所述访问请求消息FILE_REQUEST_MESSAGE包括所述IP地址CDN_IP、所述IP地址CLIENT_IP、所述唯一标识符FILE_ID、所述消息摘要FILE_RA。所述CDN服务器通过公钥将加密后的所述访问请求消息FILE_REQUEST_MESSAGE进行解析,获取解析后的信息与原加密前的所述访问请求消息FILE_REQUEST_MESSAGE中的信息进行比较,其中比较的信息为消息摘要FILE_RA;用户通过公钥将CDN服务器地址消息CDN_IP_MESSAGE进行解析,获取解析后的信息与原加密前的所述CDN服务器地址消息CDN_IP_MESSAGE中的信息进行比较,其中比较的信息为所述消息摘要CDN_RA与时间戳TIME_STAMP。本专利技术还提出一种利用所述采用SDN技术改善内容分发网络安全性的系统的方法。由以上方案可知,本专利技术的优点在于:1.CDN服务器的IP地址通过文件标识符与时间戳计算获得,因而是不固定的,而且在非SDN网络中是不可路由的,只能通过SDN控制器指定路径的方式“强制”转发,外部用户不知道所述CDN服务器的真实地址。因而,CDN服务器的真实位置将被隐藏起来,非法用户难以访问所述CDN服务器。2.通过Shamir门限技术将原文件分开存储,而且原文件在传输完成后,
会从CDN服务器中立即删除,从而在一定程度上提高了文件的安全性。3.转发路径由SDN控制器指定,每次指定的转发路径均不相同,当客户端与CDN结点之间文件传输的时间较长时,转发路径可以定期改变。文件传输完成后,缓存服务器、CDN服务器、客户端之间的路径均被清除,从而提高了传输路径的安全性。与传统Shamir门限技术方案的不同之处在于,文件片段在CDN服务器完成组合,而不在于客户端,因而,会减少客户端并发的连接数,并支持“边下载边播放”的视频下载方式。附图说明图1为一个实施例的系统结构图;图2为客户端发送文件请求后,SDN控制器所执行的步骤图;图3为CDN服务器从n个缓存服务器获取文件时所执行的步骤图;图4为客户端从CDN服务器获取所需文件时所执行的步骤图(图4并没有在本文档来自技高网
...

【技术保护点】
一种采用SDN技术改善内容分发网络安全性的系统,其特征在于,包括:多个CDN服务器,多个缓存服务器,多个SDN交换机,SDN控制器,所述SDN控制器持有一个私钥,多个SDN交换机组成SDN网络;所述SDN控制器接收用户访问原文件的访问请求,生成CDN服务器地址消息CDN_IP_MESSAGE,将所述CDN服务器地址消息CDN_IP_MESSAGE通过所述私钥进行加密并发送给用户,并生成访问请求消息FILE_REQUEST_MESSAGE,通过所述私钥将所述访问请求消息FILE_REQUEST_MESSAGE进行加密,CDN服务器接收加密后的所述访问请求消息FILE_REQUEST_MESSAGE,所述CDN服务器通过公钥将加密后的所述访问请求消息FILE_REQUEST_MESSAGE进行解析,获取解析后的信息与原加密前的所述访问请求消息FILE_REQUEST_MESSAGE中的信息进行比较,若相同,则所述CDN服务器从所述缓存服务器获取原文件;用户通过公钥将CDN服务器地址消息CDN_IP_MESSAGE进行解析,获取解析后的信息与原加密前的所述CDN服务器地址消息CDN_IP_MESSAGE中的信息进行比较,若相同,则从所述CDN服务器获取原文件。...

【技术特征摘要】
1.一种采用SDN技术改善内容分发网络安全性的系统,其特征在于,包括:多个CDN服务器,多个缓存服务器,多个SDN交换机,SDN控制器,所述SDN控制器持有一个私钥,多个SDN交换机组成SDN网络;所述SDN控制器接收用户访问原文件的访问请求,生成CDN服务器地址消息CDN_IP_MESSAGE,将所述CDN服务器地址消息CDN_IP_MESSAGE通过所述私钥进行加密并发送给用户,并生成访问请求消息FILE_REQUEST_MESSAGE,通过所述私钥将所述访问请求消息FILE_REQUEST_MESSAGE进行加密,CDN服务器接收加密后的所述访问请求消息FILE_REQUEST_MESSAGE,所述CDN服务器通过公钥将加密后的所述访问请求消息FILE_REQUEST_MESSAGE进行解析,获取解析后的信息与原加密前的所述访问请求消息FILE_REQUEST_MESSAGE中的信息进行比较,若相同,则所述CDN服务器从所述缓存服务器获取原文件;用户通过公钥将CDN服务器地址消息CDN_IP_MESSAGE进行解析,获取解析后的信息与原加密前的所述CDN服务器地址消息CDN_IP_MESSAGE中的信息进行比较,若相同,则从所述CDN服务器获取原文件。2.如权利要求1所述的采用SDN技术改善内容分发网络安全性的系统,其特征在于,根据用户的地理位置与CDN服务器的地理位置,选择离用户最近的CDN服务器作为选中CDN服务器。3.如权利要求2所述的采用SDN技术改善内容分发网络安全性的系统,其特征在于,还包括向SDN网络下发流表项,为用户与所述选中CDN服务器,以及所述选中CDN服务器与多个所述缓存服务器分别指定一组转发路径。4.如权利要求1所述的采用SDN技术改善内容分发网络安全性的系统,其特征在于,所述访问请求包括所述原文件的唯一标识符FILE_ID与发送访问请求时的时间戳TIME_STAMP...

【专利技术属性】
技术研发人员:孙毅丁东辉邓波
申请(专利权)人:中国科学院计算技术研究所
类型:发明
国别省市:北京;11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1