技术领域
[0001] 本
发明涉及计算机领域,更具体地,特别是指一种云平台反倒链方法与装置。
背景技术
[0002] 大量的
网站部署到云服务中,网站盗链技术加重云
服务器的负载。
现有技术中,一个完整的页面并不是一次全部传送到客户端的。如果
请求的是一个带有许多图片和其它信息的页面,那么最先的一个Http请求被传送回来的是这个页面的文本,然后通过客户端的浏览器对这段文本的解释执行,发现其中还有图片,客户端的浏览器再发送一条Http请求,当这个请求被处理后那么这个图片文件会被传送到客户端,然后浏览器会将图片安放到页面的正确
位置。就这样,一个完整的页面也许要经过发送多条Http请求才能够被完整的显示。盗链问题基于这样的机制产生:一个网站中如果没有页面中所说的前述信息,例如图片信息,那么它完全可以将这个图片连接到其它网站,使用其它网站的资源为其网站提供流量。这样没有任何资源的网站利用其它网站的资源展示给浏览者,提高了自己的流量,而大部分浏览者又不会很容易地发现,这显然对于那个被利用的网站是不公平的。一些不良网站为了不增加成本地扩充内容,经常盗用其他网站的链接。这一方面损害了原网站的合法利益,另一方面又加重了服务器的负担。
[0003] 现有技术的反倒链实现原理如下:HTTP协议中的表头字段referer采用URL的格式来表示当前的网页或文件的链接来源。换句话说,网站可以通过referer检测
访问目标网页的来源网页,或显示资源文件的网页地址。一旦检测到来源不是本站,即可阻止或者返回
指定的页面。
[0004] 针对检查referer的方式,可以在页面
中间件内先进入目的地址的另外一个页面在转到目的页面来破解,这样页面的referer就是资源
站点的。这方面可以使用的工具很多,尤其是成熟的web项目测试包,如HtmlUnit,甚至可以直接在请求中自由设置referer。
[0005] 针对现有技术中referer检测已经无法反倒链的问题,目前尚未有有效的解决方案。
发明内容
[0006] 有鉴于此,本发明
实施例的目的在于提出一种云平台反倒链方法与装置,能够针对云平台中的不同服务器或同一服务器的不同访问者执行反倒链保护,降低服务器负载,提升安全性与可用性。
[0007] 基于上述目的,本发明实施例的第一方面提供了一种云平台反倒链方法,包括将云平台反倒链模
块加载到云平台服务器上以执行以下步骤:
[0008] 监听客户端对云平台服务器的针对第一类页面的第一类Http请求,并从第一类Http请求中解析出客户端的第一标识信息;
[0009] 拦截云平台服务器反馈的第一类页面,向第一类页面中的指向第二类页面的Http超链接编辑加入基于第一标识信息的第一信息
摘要,并将编辑过的第一类页面发送到客户端;
[0010] 监听客户端对云平台服务器的针对第二类页面的第二类Http请求,并从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要;
[0011] 确定基于第二标识信息的第二信息摘要,并响应于验证第一信息摘要和第二信息摘要不匹配而拦截云平台服务器反馈的第二类页面。
[0012] 在一些实施方式中,第一类页面包括不需要启用反倒链措施的引导页面;第二类页面包括需要启用反倒链措施的保护页面或保护页面元素。
[0013] 在一些实施方式中,第一标识信息和第二标识信息包括IP地址和预先约定的关键字。
[0014] 在一些实施方式中,第一信息摘要和第二信息摘要包括哈希运算消息认证码。
[0015] 在一些实施方式中,还包括:在监听客户端对云平台服务器的针对第一类页面的第一类Http请求之前,首先加载存储所有预先约定的关键字的关键字列表。
[0016] 在一些实施方式中,还包括:在从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要的同时,还解析出客户端的引用来源信息;响应于确定引用来源信息不指向第一类页面或第二类页面而拦截云平台服务器反馈的第二类页面。
[0017] 在一些实施方式中,第一标识信息和第二标识信息还包括基于时间变化的信息。
[0018] 在一些实施方式中,第二类页面包括预定在不同时间获取的多个分片数据;还包括:响应于在不同时间针对不同分片数据的数据请求而根据数据请求和基于基于时间变化的信息的信息摘要来确定是否拦截多个分片数据。
[0019] 本发明实施例的第二方面提供了一种云平台反倒链装置,设置在云平台服务器和客户端之间的连接上,包括:
[0020] 第一采集模块,用于监听客户端对云平台服务器的针对第一类页面的第一类Http请求,并从第一类Http请求中解析出客户端的第一标识信息;
[0021] 挑战模块,用于拦截云平台服务器反馈的第一类页面,向第一类页面中的指向第二类页面的Http超链接编辑加入基于第一标识信息的第一信息摘要,并将编辑过的第一类页面发送到客户端;
[0022] 第二采集模块,用于监听客户端对云平台服务器的针对第二类页面的第二类Http请求,并从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要;
[0023] 验证模块,用于确定基于第二标识信息的第二信息摘要,并响应于第一信息摘要和第二信息摘要不匹配而拦截云平台服务器反馈的第二类页面。
[0024] 本发明实施例的第三方面提供了一种云计算管理平台,包括:
[0025] 云平台服务器;
[0026] 处理器;和
[0027]
存储器,存储有处理器可运行的程序代码,程序代码在被运行时执上述的云平台反倒链方法。
[0028] 本发明具有以下有益技术效果:本发明实施例提供的云平台反倒链方法与装置,通过从第一类Http请求中解析出客户端的第一标识信息,向第一类页面中的指向第二类页面的Http超链接编辑加入基于第一标识信息的第一信息摘要,从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要,响应于第一信息摘要和第二信息摘要不匹配而拦截云平台服务器反馈的第二类页面的技术方案,能够针对云平台中的不同服务器或同一服务器的不同访问者执行反倒链保护,降低服务器负载,提升安全性与可用性。
附图说明
[0029] 为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0030] 图1为本发明提供的云平台反倒链方法的流程示意图;
[0031] 图2为本发明提供的云平台反倒链方法的实施例的详细流程示意图。
具体实施方式
[0032] 为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明实施例进一步详细说明。
[0033] 需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
[0034] 基于上述目的,本发明实施例的第一个方面,提出了一种针对云平台中的不同服务器或同一服务器的不同访问者执行反倒链保护的方法的一个实施例。图1示出的是本发明提供的云平台反倒链方法的流程示意图。
[0035] 所述云平台反倒链方法,如图1所示包括将云平台反倒链模块加载到云平台服务器上以执行以下步骤:
[0036] 步骤S101:监听客户端对云平台服务器的针对第一类页面的第一类Http请求,并从第一类Http请求中解析出客户端的第一标识信息;
[0037] 步骤S103:拦截云平台服务器反馈的第一类页面,向第一类页面中的指向第二类页面的Http超链接编辑加入基于第一标识信息的第一信息摘要,并将编辑过的第一类页面发送到客户端;
[0038] 步骤S105:监听客户端对云平台服务器的针对第二类页面的第二类Http请求,并从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要;
[0039] 步骤S107:确定基于第二标识信息的第二信息摘要,并响应于第一信息摘要和第二信息摘要不匹配而拦截云平台服务器反馈的第二类页面。
[0040] 本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,可以通过
计算机程序来指令相关
硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(ROM)或随机存储记忆体(RAM)等。所述计算机程序的实施例,可以达到与之对应的前述任意方法实施例相同或者相类似的效果。
[0041] 如图2所示,本发明以模块形式安装到网站服务器端,读入配置的关键字列表,当用户请求到包含超链接等内容的页面时,
专利模块会对该页面的超链接后面加上形如hmac=2FAB3C4E5242的字段,字段内容是根据提前设置好的关键字和客户端ip加密获得的。当用户点击超链接进行访问时,在服务端会解析这个链接是否带有hmac字段,并对关键字和ip进行加密,对比hmac加密的内容,如果相等则允许访问,否则拒绝。
[0042] 在一些实施方式中,第一类页面包括不需要启用反倒链措施的引导页面;第二类页面包括需要启用反倒链措施的保护页面或保护页面元素。
[0043] 显然客户端的信息不可能天生地就被服务器知晓,因此需要有不需要启用反倒链措施的页面作为访问需要保护页面的引导。另一方面,也的确不是每一个页面都需要反倒链措施的保护,如主页,通常来说倒链主页是没有任何意义的。
[0044] 在一些实施方式中,第一标识信息和第二标识信息包括IP地址和预先约定的关键字。
[0045] IP地址用于确定访问第一类页面和第二类页面的是否是同一客户端。倒链者盗取第二类页面使用的IP显然与客户端的IP不同。
[0046] 在一些实施方式中,第一信息摘要和第二信息摘要包括哈希运算消息认证码。
[0047] 消息摘要是不可逆的加密方式,有效防止倒链者使用逆向工程
修改处有意义的信息摘要以欺骗服务器。
[0048] 在一些实施方式中,在监听客户端对云平台服务器的针对第一类页面的第一类Http请求之前,首先加载存储所有预先约定的关键字的关键字列表。
[0049] 在一些实施方式中,在从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要的同时,还解析出客户端的引用来源信息;响应于确定引用来源信息不指向第一类页面或第二类页面而拦截云平台服务器反馈的第二类页面。
[0050] 服务器可以在使用本发明实施例的云平台反倒链方法的同时还启用传统的referer检测方式。referer检测可以设置在云平台反倒链方法之前,因为referer检测易于实施,这种手段不能提高反倒链效果,但可以进一步降低资源占用,在低
水平倒链频发的情况下达到与反倒链相同的效果。
[0051] 在一些实施方式中,第一标识信息和第二标识信息还包括基于时间变化的信息。
[0052] 在一些实施方式中,第二类页面包括预定在不同时间获取的多个分片数据;响应于在不同时间针对不同分片数据的数据请求而根据数据请求和基于基于时间变化的信息的信息摘要来确定是否拦截多个分片数据。
[0053] 加入基于时间变化的信息,如时间戳等,使得每个超链接具有限定的生命周期,可以进一步提高反倒链效果,尤其是应对
视频流倒链。
[0054] 根据本发明实施例公开的方法还可以被实现为由CPU执行的计算机程序,该计算机程序可以存储在计算机可读存储介质中。在该计算机程序被CPU执行时,执行本发明实施例公开的方法中限定的上述功能。上述方法步骤以及系统单元也可以利用
控制器以及用于存储使得控制器实现上述步骤或单元功能的计算机程序的计算机可读存储介质实现。
[0055] 从上述实施例可以看出,本发明实施例提供的云平台反倒链方法,通过从第一类Http请求中解析出客户端的第一标识信息,向第一类页面中的指向第二类页面的Http超链接编辑加入基于第一标识信息的第一信息摘要,从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要,响应于验证第一信息摘要和第二信息摘要不匹配而拦截云平台服务器反馈的第二类页面的技术方案,能够针对云平台中的不同服务器或同一服务器的不同访问者执行反倒链保护,降低服务器负载,提升安全性与可用性。
[0056] 需要特别指出的是,上述云平台反倒链方法的各个实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于云平台反倒链方法也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
[0057] 基于上述目的,本发明实施例的第二个方面,提出了一种针对云平台中的不同服务器或同一服务器的不同访问者执行反倒链保护的装置的一个实施例。云平台反倒链装置设置在云平台服务器和客户端之间的连接上,包括:
[0058] 第一采集模块,用于监听客户端对云平台服务器的针对第一类页面的第一类Http请求,并从第一类Http请求中解析出客户端的第一标识信息;
[0059] 挑战模块,用于拦截云平台服务器反馈的第一类页面,向第一类页面中的指向第二类页面的Http超链接编辑加入基于第一标识信息的第一信息摘要,并将编辑过的第一类页面发送到客户端;
[0060] 第二采集模块,用于监听客户端对云平台服务器的针对第二类页面的第二类Http请求,并从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要;
[0061] 验证模块,用于确定基于第二标识信息的第二信息摘要,并响应于第一信息摘要和第二信息摘要不匹配而拦截云平台服务器反馈的第二类页面。
[0062] 结合这里的公开所描述的各种示例性逻辑块、模块、
电路和
算法步骤可以被实现为
电子硬件、计算机
软件或两者的组合。为了清楚地说明硬件和软件的这种可互换性,已经就各种示意性组件、方块、模块、电路和步骤的功能对其进行了一般性的描述。这种功能是被实现为软件还是被实现为硬件取决于具体应用以及施加给整个系统的设计约束。本领域技术人员可以针对每种具体应用以各种方式来实现所述的功能,但是这种实现决定不应被解释为导致脱离本发明实施例公开的范围。
[0063] 基于上述目的,本发明实施例的第三个方面,提出了一种针对云平台中的不同服务器或同一服务器的不同访问者执行反倒链保护的云计算管理平台的一个实施例。云计算管理平台包括:
[0064] 云平台服务器;
[0065] 处理器;和
[0066] 存储器,存储有处理器可运行的程序代码,程序代码在被运行时执上述的云平台反倒链方法。
[0067] 从上述实施例可以看出,本发明实施例提供的云平台反倒链装置和云计算管理平台,通过从第一类Http请求中解析出客户端的第一标识信息,向第一类页面中的指向第二类页面的Http超链接编辑加入基于第一标识信息的第一信息摘要,从第二类Http请求中解析出客户端的第二标识信息和第一信息摘要,响应于第一信息摘要和第二信息摘要不匹配而拦截云平台服务器反馈的第二类页面的技术方案,能够针对云平台中的不同服务器或同一服务器的不同访问者执行反倒链保护,降低服务器负载,提升安全性与可用性。
[0068] 需要特别指出的是,上述云平台反倒链装置和云计算管理平台的实施例采用了所述云平台反倒链方法的实施例来具体说明各模块的工作过程,本领域技术人员能够很容易想到,将这些模块应用到所述云平台反倒链方法的其他实施例中。当然,由于所述云平台反倒链方法实施例中的各个步骤均可以相互交叉、替换、增加、删减,因此,这些合理的排列组合变换之于所述云平台反倒链装置和云计算管理平台也应当属于本发明的保护范围,并且不应将本发明的保护范围局限在所述实施例之上。
[0069] 以上是本发明公开的示例性实施例,但是应当注意,在不背离
权利要求限定的本发明实施例公开的范围的前提下,可以进行多种改变和修改。根据这里描述的公开实施例的方法权利要求的功能、步骤和/或动作不需以任何特定顺序执行。此外,尽管本发明实施例公开的元素可以以个体形式描述或要求,但除非明确限制为单数,也可以理解为多个。
[0070] 应当理解的是,在本文中使用的,除非上下文清楚地支持例外情况,单数形式“一个”旨在也包括复数形式。还应当理解的是,在本文中使用的“和/或”是指包括一个或者一个以上相关联地列出的项目的任意和所有可能组合。上述本发明实施例公开实施例序号仅仅为了描述,不代表实施例的优劣。
[0071] 本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是
只读存储器,磁盘或光盘等。
[0072] 所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明实施例公开的范围(包括权利要求)被限于这些例子;在本发明实施例的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,并存在如上所述的本发明实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明实施例的保护范围之内。
