适用于CDN增值业务平台的HTTP安全通信方法及系统

摘要

本发明提供一种适用于CDN增值业务平台的HTTP安全通信方法及系统，客户端需从增值业务平台调度控制中心获取可用的身份令牌，并在向CDN节点发起HTTP请求时附带身份令牌信息，CDN节点识别身份令牌信息，拒绝令牌无效的请求，放行令牌有效的请求至源站。本发明的适用于CDN增值业务平台的HTTP安全通信方法及系统利用CDN增值业务平台的业务架构特性，在HTTP数据包中增加少量额外的安全数据，进行安全校验，在部署代价和额外资源消耗低于HTTPS的前提下，达成了安全传输的目的。

主权项

一种适用于CDN增值业务平台的HTTP安全通信方法，其特征在于：包括以下步骤：步骤S1、客户端启动时，向增值业务平台调度控制中心发送鉴权请求及身份信息；步骤S2、增值业务平台调度控制中心验证所述身份信息，若所述身份信息无效，则拒绝所述鉴权请求，流程结束；若所述身份信息有效，转入步骤S3；步骤S3、增值业务平台调度控制中心根据所述身份信息生成身份令牌，并为客户端选定CDN节点，将所述身份令牌以明文方式下发至所述CDN节点；步骤S4、增值业务平台调度控制中心获取自身的鉴权时间戳，根据前半密钥生成规则由所述鉴权时间戳生成前半令牌加密密钥，再根据加密算法选择规则对所述鉴权时间戳进行计算，根据计算结果选择令牌加密算法；步骤S5、增值业务平台调度控制中心响应客户端的鉴权请求，并返回身份令牌明文、鉴权时间戳、前半令牌加密密钥、令牌加密算法和CDN节点IP地址至客户端；步骤S6、客户端接收到鉴权请求的响应后，记录当前设备的鉴权开机时间戳；步骤S7、当客户端发送一个HTTP请求时，记录当前设备的请求开机时间戳，并根据鉴权时间戳、鉴权开机时间戳和请求开机时间戳生成后半令牌加密密钥；步骤S8、客户端将前半令牌加密密钥和后半令牌加密密钥相组合，生成令牌加密密钥；步骤S9、客户端根据令牌加密密钥和令牌加密算法，对身份令牌明文加密，生成身份令牌密文；步骤S10、客户端在HTTP请求头部附加身份令牌密文、鉴权时间戳、请求开机时间戳、鉴权开机时间戳后，发送至所选定的CDN节点；步骤S11、CDN节点接收到客户端发送的HTTP请求后，根据前半密钥生成规则和加密算法选择规则，对鉴权时间戳进行计算，得出前半令牌加密密钥和令牌加密算法；步骤S12、CDN节点根据HTTP请求头部中的鉴权时间戳、请求开机时间戳和鉴权开机时间戳计算后半令牌加密密钥；步骤S13、CDN节点将前半令牌加密密钥和后半令牌加密密钥相组合，生成令牌加密密钥，并通过令牌加密密钥和令牌加密算法，对身份令牌密文解密，得到身份令牌明文；若解密成功且身份令牌有效时，进入步骤S14，否则，所述HTTP请求不合法，拒绝所述HTTP请求，流程结束；步骤S14、CDN节点对后半令牌加密密钥做有效性检查，若有效，转入步骤S15；若无效，CDN节点拒绝所述HTTP请求，流程结束；步骤S15、CDN节点将所述HTTP请求转发回源站，并接收源站发送来的HTTP响应；步骤S16、使用CDN系统证书私钥对后半令牌加密密钥进行加密生成后半令牌加密密钥密文，并将后半令牌加密密钥密文附带在HTTP响应头部，客户端接收到响应时，使用CDN系统证书公钥对后半令牌加密密钥密文进行解密，验证CDN节点返回的后半令牌加密密钥与客户端自身的后半令牌加密密钥是否一致，若无法解密或者数值不一致则说明响应为伪造，停止后续请求并做提示；若正常解密且数值一致，则所述HTTP请求正常结束。