基于CDN边缘计算网络的异步打击防盗链方法及系统与流程

基于cdn边缘计算网络的异步打击防盗链方法及系统
技术领域
1.本发明涉及互联网技术领域，特别涉及一种基于cdn边缘计算网络的异步打击防盗链方法及系统。


背景技术：

2.盗链行为，指的是不法的服务提供商通过技术手段绕过其他有利益的最终用户界面(如广告)，直接在自己的网站上向最终用户提供其他服务提供上的服务内容，从而骗取最终用户的浏览和点击率。这么做将导致盗链的受益者在不提供资源或提供很少资源的情况下获取利益，而真正的服务提供商损失利益。
3.随着多媒体技术的飞速发展，互联网上的盗链行为也越发猖狂，给源头服务提供商造成了巨大的损失。目前，服务提供商大多采取鉴权手来来打击盗链行为。所述鉴权指的是由于内容经过cdn网络(内容分发网络)加速后，cdn网络往往替代源站，成为内容的直接提供者。因此，经常需要用cdn网络对用户请求的合法性进行鉴别、判断，对于非法的内容获取请求进行拒绝。常见的鉴权场景有：用户会员、用户访问地区、用户访问内容范围、用户访问链接的有效时间等。
4.然而，现有的鉴权大多是单独采用同步鉴权，即用户请求到达cdn边缘服务器后同步进行鉴权校验，校验通过后才能从cdn边缘服务器获取内容。鉴权规则通过配置的形式提前下发至cdn节点，用户请求到cdn后，cdn系统根据位于节点的本地规则执行访问放行、禁止访问、限速等策略。还有单独采用异步鉴权方式，即cdn回特定鉴权中心，鉴权中心根据用户请求特征进行规则判定，响应相应的策略，cdn节点根据获取到的策略执行。上述现有的两种鉴权方式，存在以下不足：
5.1、实时性差：cdn本地规则，即同步鉴权规则需要通过cdn配置平台预先执行配置、下发、生效等流程，因此一旦需要变更规则，规则生效比较慢，便无法满足实时性需求；
6.2、定制化需求不能满足：cdn是通用服务平台，部分复杂的、个性化的鉴权规则很难通过cdn实现，无法满足需求；
7.3、场景有限：同步鉴权适用于对内容响应时间要求不高的场景，例如大文件的下载，因为回源鉴权需要消耗更多的网络时间。而异步鉴权可以先响应部分内容，再回源鉴权，在服务提供的过程中根据异步鉴权的结果进行策略打击，更适用于直播、视频点播等场景。
8.4、策略动态调整：同步鉴权规则一旦校验通过，则直到下次重新发起请求之前的内容获取将会全部放行，无法在内容请求的过程中动态调整打击策略。例如某主播在直播过程中发现违规需要禁播5分钟，则无法通过同步打击完成。
9.针对上述现有的防盗链所采用的鉴权方式难以两全，发挥最大打击效用的问题，亟待出现有效的解决办法。


技术实现要素：

10.本发明旨在至少在一定程度上解决上述技术中的技术问题之一。为此，本发明的一个目的在于提出一种基于cdn边缘计算网络的异步打击防盗链方法，即能够优先提供内容响应，保障用户第一感官效果；又能够实现复杂鉴权策略，且无需厂商定制化改造，适用范围广。
11.本发明的第二个目的在于提出一种一种基于cdn边缘计算网络的异步打击防盗链系统，即能够优先提供内容响应，克服实时性差问题，保障用户第一感官效果；又能够实现复杂鉴权策略，且无需厂商定制化改造，适用范围广。
12.为达到上述目的，本发明第一方面实施例提出了一种基于cdn边缘计算网络的异步打击防盗链方法，包括以下步骤：
13.cdn边缘节点接收终端发起的请求；
14.在cdn边缘节点对所述请求的合法性进行初级鉴权，并在所述初级鉴权通过后响应所述请求；
15.cdn边缘节点发送所述请求至cdn鉴权中心；cdn鉴权中心采用异步鉴权方式对所述请求的合法性进行深度鉴权，若所述深度鉴权不通过，则通过cdn边缘节点对所述响应进行打击。
16.根据本发明实施例的一种基于cdn边缘计算网络的异步打击防盗链方法。首先，在cdn边缘节点采用同步鉴权方式对请求的合法性进行初级鉴权，通过后即可响应请求内容。以此，即能够优先提供内容响应，保障首包、首帧、首屏等用户第一感官效果；又能解决同步鉴权实时性差的问题，对于cdn平台而言，只需部署常规的、鉴权难度较低的打击策略即可，显著降低了对cdn平台的实时性配置要求，也不再需要cdn厂商进行定制化改造。其次，将个性化、多变、复杂的鉴权策略交由cdn中心采用异步鉴权方式进行深度鉴权。以此，同步鉴权与异步鉴权同步配合执行的双重鉴权方式，不仅显著强化了打击力度；而且能够实现动态调整打击策略，发挥最大程度的盗链和违规打击效用。
17.另外，根据本发明上述实施例提出的一种基于cdn边缘计算网络的异步打击防盗链方法，还可以具有如下附加的技术特征：
18.可选地，所述cdn鉴权中心采用异步鉴权方式对所述请求的合法性进行深度鉴权，若所述深度鉴权不通过，则通过cdn边缘节点对所述响应进行打击，包括：
19.cdn鉴权中心判断本地是否缓存有对应所述请求且在有效期内的缓存鉴权结果；
20.若有，则在所述缓存鉴权结果对应不通过时，通过cdn边缘节点依据所述缓存鉴权结果对所述响应进行打击；
21.若无，则发送所述请求至源站鉴权中心服务器；
22.源站鉴权中心服务器对所述请求的合法性进行深度校验，得到鉴权结果，若所述鉴权结果对应不通过，则通过cdn边缘节点依据所述鉴权结果对所述响应进行打击。
23.可选地，所述源站鉴权中心服务器对所述请求的合法性进行深度校验，得到鉴权结果，若所述鉴权结果对应不通过，则通过cdn边缘节点依据所述鉴权结果对所述响应进行打击，包括：
24.源站鉴权中心服务器对所述请求的合法性进行深度校验，得到鉴权结果；
25.源站鉴权中心服务器设定所述鉴权结果的有效期，并返回所述鉴权结果及其有效
期至cdn鉴权中心；
26.cdn鉴权中心将所述鉴权结果作为所述请求对应的缓存鉴权结果存储至本地，并同步所述鉴权结果的有效期为所述缓存鉴权结果的有效期；
27.cdn鉴权中心判断所述鉴权结果对应通过还是不通过；
28.若所述鉴权结果对应不通过，则发送所述鉴权结果至cdn边缘节点，由cdn边缘节点依据所述鉴权结果对所述响应进行打击。
29.可选地，所述将所述鉴权结果作为所述请求对应的缓存鉴权结果存储至本地，包括：
30.cdn鉴权中心以所述请求中的用户请求特征作为key，对应的鉴权结果为value，创建所述请求与其缓存鉴权结果的关联关系，并将所述关联关系缓存至本地。
31.可选地，所述源站鉴权中心服务器对所述请求的合法性进行深度校验，得到鉴权结果，包括：
32.源站鉴权中心服务器对所述请求中的用户请求特征的合法性进行校验，得到鉴权结果；
33.所述用户请求特征包括用户ip、请求url参数、cookie、user-agent和referer中的一个或多个的组合；
34.所述鉴权结果包括鉴权通过与否的判定以及鉴权不通过时对应所述请求的打击策略；
35.所述打击策略包括拒绝请求、限定内容、限定下载速度、限定画面清晰度、限定音质以及限定地域性服务中的至少一种。
36.为达到上述目的，本发明第二方面实施例提出了一种基于cdn边缘计算网络的异步打击防盗链系统，所述系统包括：通信连接的cdn边缘节点和cdn鉴权中心；
37.所述cdn边缘节点，用于接收终端发起的请求；以及用于对所述请求的合法性进行初级鉴权，并在所述初级鉴权通过后响应所述请求；以及用于发送所述请求至cdn鉴权中心；
38.所述cdn鉴权中心，用于采用异步鉴权方式对所述请求的合法性进行深度鉴权，若所述深度鉴权不通过，则通过cdn边缘节点对所述响应进行打击。
39.根据本发明实施例的一种基于cdn边缘计算网络的异步打击防盗链系统。首先，通过cdn边缘节点采用同步鉴权方式对请求的合法性进行初级鉴权，通过后即可响应请求内容。以此，即能够优先提供内容响应，保障首包、首帧、首屏等用户第一感官效果；又能解决同步鉴权实时性差的问题，对于cdn平台而言，只需部署常规的、鉴权难度较低的打击策略即可，显著降低了对cdn平台的实时性配置要求，也不再需要cdn厂商进行定制化改造。其次，将个性化、多变、复杂的鉴权策略交由cdn中心采用异步鉴权方式进行深度鉴权。以此，同步鉴权与异步鉴权同步配合执行的双重鉴权方式，不仅显著强化了打击力度；而且能够实现动态调整打击策略，发挥最大程度的盗链和违规打击效用。
40.另外，根据本发明上述实施例提出的一种基于cdn边缘计算网络的异步打击防盗链系统，还可以具有如下附加的技术特征：
41.可选地，所述系统还包括与所述cdn鉴权中心通信连接的源站鉴权中心服务器；
42.所述cdn鉴权中心，具体用于判断本地是否缓存有对应所述请求且在有效期内的
缓存鉴权结果；若有，则在所述缓存鉴权结果对应不通过时，控制cdn边缘节点依据所述缓存鉴权结果对所述响应进行打击；若无，则发送所述请求至源站鉴权中心服务器；
43.所述源站鉴权中心服务器，用于对所述请求的合法性进行深度校验，得到鉴权结果，若所述鉴权结果对应不通过，则控制cdn边缘节点依据所述鉴权结果对所述响应进行打击；
44.所述cdn边缘节点，还用于依据对应不通过的所述缓存鉴权结果和对应不通过的所述鉴权结果对所述响应进行打击。
45.可选地，所述源站鉴权中心服务器，具体用于设定所述鉴权结果的有效期，并返回所述鉴权结果及其有效期至cdn鉴权中心；
46.所述cdn鉴权中心，具体用于将所述鉴权结果作为所述请求对应的缓存鉴权结果存储至本地，并同步所述鉴权结果的有效期为所述缓存鉴权结果的有效期；以及判断所述鉴权结果对应通过还是不通过；以及若所述鉴权结果对应不通过，则发送所述鉴权结果至cdn边缘节点。
47.可选地，所述cdn鉴权中心，具体用于以所述请求中的用户请求特征作为key，对应的鉴权结果为value，创建所述请求与其缓存鉴权结果的关联关系，并将所述关联关系缓存至本地。
48.可选地，所述源站鉴权中心服务器，具体用于对所述请求中的用户请求特征的合法性进行校验，得到鉴权结果；
49.其中，所述用户请求特征包括用户ip、请求url参数、cookie、user-agent和referer中的一个或多个的组合；
50.所述鉴权结果包括鉴权通过与否的判定以及鉴权不通过时对应所述请求的打击策略；
51.所述打击策略包括拒绝请求、限定内容、限定下载速度、限定画面清晰度、限定音质以及限定地域性服务中的至少一种。
附图说明
52.图1为本发明实施例一所述一种基于cdn边缘计算网络的异步打击防盗链方法的流程示意图；
53.图2为本发明实施例二所述一种基于cdn边缘计算网络的异步打击防盗链方法的流程示意图；
54.图3为本发明实施例三所述一种基于cdn边缘计算网络的异步打击防盗链系统的组成及连接示意图。
具体实施方式
55.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。
56.先在cdn边缘节点采用同步鉴权方式对请求的合法性进行初级鉴权，通过后即响应请求内容，即为用户提供第一感官效果，又解决同步鉴权实时性差的问题；后由cdn中心
采用异步鉴权方式进行深度鉴权，通过双重鉴权方式，显著强化了打击力度，且实现动态调整打击策略，发挥最大程度的盗链和违规打击效用。
57.为了更好的理解上述技术方案，下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例，然而应当理解，可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本发明，并且能够将本发明的范围完整的传达给本领域的技术人员。
58.为了更好的理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。
59.实施例一
60.如图1所示，本发明实施例的一种基于cdn边缘计算网络的异步打击防盗链方法，包括以下步骤：
61.s1：cdn边缘节点接收用户终端client发起的请求。
62.具体地，用户终端client根据规则携带请求校验信息向cdn边缘节点发起内容请求。例如：https://play.livestream.baidu.com/xxxxxxx？k1＝v1&k2＝v2,其中，k1、k2等校验参数可以根据约定进行定义。
63.s2：在cdn边缘节点依据本地鉴权规则对所述请求的合法性进行初级鉴权，并在所述初级鉴权通过后响应所述请求。
64.具体地，所述初级鉴权特指采用通用的、常规的、鉴权难度较低的鉴权策略进行鉴权。在本实施例中，所述初级鉴权一旦鉴权通过即响应请求的内容，可见，所述初级鉴权采用的是同步鉴权方式，能够保障响应的及时性，优化用户体验；同时，本实施例所述初级鉴权可以由cdn边缘节点独立完成，基于其常规性，直接通过cdn平台进行简单部署即可实现，无需麻烦cdn厂商定制化改造鉴权策略，因而还能解决同步鉴权实时性差的问题。
65.需要说明的是，本实施例的初级鉴权方式，即同步鉴权方式有别于现有技术的同步鉴权方式对鉴权力度有较高要求，实质上需要通过cdn鉴权中心来进行鉴权才能得出结果，因此需要消耗更多网络传输和时间，而本实施例的初级鉴权方式由于仅限于通用的、无需在执行过程中多变的鉴权规则，因此只需预先通过cdn平台部署在cdn边缘节点，直接利用cdn边缘节点的边缘计算能力、边缘函数能力即可完成鉴权，并不需要回cdn鉴权中心进行鉴权，因而效率更高、速度更快。
66.在一优选实施例中，所述初级鉴权的过程包括：
67.s21：cdn边缘节点判断所述请求是否需要进行鉴权；若需要，执行s22；若不需要，
68.s22：cdn边缘节点根据本地存储的初级鉴权规则校验所述请求中用户访问信息的合法性，得出初级鉴权结果，若鉴权结果对应通过，则对所述请求所请求的内容进行响应；若鉴权结果对应不通过，则拒绝所述请求，结束流程。
69.其中，所述初级鉴权规则可以是判断用户ip是否属于黑白名单、用户referer头部是否属于黑白名单、用户ua头部是否属于黑白名单、url的有效期是否还在有效期规则内等。
70.s3：cdn边缘节点发送所述请求至cdn鉴权中心；
71.cdn边缘节点在进行初级鉴权的同时，还将同步执行对所述请求的异步鉴权流程。
72.在本实施例中，异步鉴权流程由包括cdn鉴权中心和源站鉴权服务中心的防盗链
异步打击系统组成(以下简称异步打击系统)，旨在对cdn边缘节点难以有效打击的相对复杂、难以高效配置的异常请求进行有效打击。
73.优选地，cdn边缘节点在向异步打击系统发起异步鉴权请求时，只提取原始请求(即上述s1的请求)中的用户请求特征，然后按照异步打击系统预设的要求进行组合后发送至所述异步打击系统即可。由此，可以提高异步打击系统的鉴权效率。
74.所述用户请求特征包括但不限于：用户请求完整url、用户请求中携带的referer和user_agent头部、用户ip、用户请求url中的域名部分、cookie等。所述用户请求特征也可以称为“异步鉴权部分”。
75.在一具体运用示例中，cdn边缘节点发送至异步打击系统的“异步鉴权部分”如：
76.post/xxxhttp/1.1
77.host:xxxxxx
78.accept:*/*
79.content-type:application/json
80.content-length:xxx
81.{
[0082]“play_url”:https://play.livestream.baidu.com/xxxxxxx？k1＝v1&k2＝v2”，
[0083]“user_ip”:xxx.xxx.xxx.xxx
[0084]
}
[0085]
请求的内容包括但不限于如上所示的play_url、user_ip等，可根据约定新增或修改。
[0086]
s4：cdn鉴权中心采用异步鉴权方式对所述请求的合法性进行深度鉴权，
[0087]
若所述深度鉴权不通过，则通过cdn边缘节点对所述响应进行打击；
[0088]
若所述深度鉴权通过，则不动作，任由cdn边缘节点继续响应请求内容。
[0089]
其中，所述初级鉴权的鉴权复杂程度低于所述深度鉴权的复杂程度。
[0090]
可见，在本实施例中，将由cdn边缘节点先行对请求采用同步鉴权方式进行初级鉴权，实现快速响应内容和cdn中心配置简化；同时，还将请求交由异步打击系统同步地采用异步鉴权方式进行更复杂的深度鉴权，以保障鉴权的准确性和全面性，又能实现动态调整打击策略。因此，本实施例所采用的“同步鉴权”+“异步鉴权”的双重鉴权手段，能够优化客户体验，简化cdn边缘节点的配置要求，从整体上提升鉴权的效率、针对性、有效性以及全面性，更好地满足各种场景需求。
[0091]
特别的，本实施例能够实现策略动态调整，相较于现有技术使用的同步鉴权规则一旦校验通过，则直到下次重新发起请求之前的内容获取都将全部放行而无法进行有效打击的不足，本实施例通过同步鉴权和异步鉴权的配合使用，既能够为用户提供首包、首帧、首屏的第一感官效果；又能够在内容相应的过程中动态的调整打击策略，保障防盗链的有效性。可以理解为：所述异步打击系统本质上只是一个播放控制的旁路校验系统，因此cdn侧应首先对用户的下载请求进行正常的响应，在收到异步打击系统明确的防盗链打击策略时，再去对用户的下载流进行限制；若未收到防盗链的策略，则不应对用户的下载请求做任何的限制。例如，某主播在直播过程中发现违规需要禁播5分钟，则无法通过同步打击完成，而在本实施例中，便能够在违规时及时被鉴别并相应对应的打击策略，及时对其采取禁播5
分钟的打击。
[0092]
实施例二
[0093]
本实施例在实施例一的基础上，对异步打击系统采用异步鉴权方式进行深度鉴权的流程做进一步限定。
[0094]
请参阅图2，在本实施例中，实施例一的所述s4具体可以包括：
[0095]
s41：cdn鉴权中心判断本地是否缓存有对应所述请求的缓存鉴权结果，且所述缓存鉴权结果在有效期内；
[0096]
若存在有效的缓存鉴权结果，则在所述缓存鉴权结果对应鉴权不通过时，通过cdn边缘节点依据所述缓存鉴权结果对所述响应进行打击；而在所述缓存鉴权结果对应鉴权通过时，不动作，任由cdn边缘节点继续响应请求内容；
[0097]
若不存在有效的缓存鉴权结果，则发送所述请求至源站鉴权中心服务器，进行回源鉴权；
[0098]
即言，在该步骤，cdn鉴权中心将优先检查本地是否存储有对应该请求的有效的缓存鉴权结果，若有，则直接响应缓存鉴权结果即可，若无，再执行回源鉴权。由此，可能提高异步鉴权的效率，同时又有效鉴权。
[0099]
在一具体运用示例中，cdn鉴权中心通过cdn边缘节点依据所述缓存鉴权结果对所述响应进行打击时，cdn鉴权中心发送给cdn边缘节点的缓存鉴权结果的内容格式可以是：
[0100]
http/1.1 200ok
[0101]
content-type:application/json
[0102]
content-length:xxx
[0103]
{
[0104]“ret”:200/403
[0105]“ret_msg”:“xxx”[0106]
}
[0107]
其中，所述ret字段表示打击策略的状态码，每种状态码表示不同的打击策略。例如，ret的值包括但不限于200、403等，定义200表示通过鉴权，403表示未通过鉴权,可以根据双方约定定义其他一些值来表示不同的打击策略。所述ret_msg表示对应ret字段状态码的说明信息，例如ret:403,则ret_mst:refuse。
[0108]
s42：源站鉴权中心服务器对所述请求的合法性进行深度校验，得到鉴权结果，若所述鉴权结果对应鉴权不通过，则通过cdn边缘节点依据所述鉴权结果对所述响应进行打击。
[0109]
具体而言，所述源站鉴权中心服务器可以是源站服务器也可以是独立的鉴权服务器。所述深度校验，即深度鉴权的执行方是源站鉴权中心，而在本发明中，深度鉴权的鉴权难度和复杂度均大于cdn边缘节点执行的初级鉴权。此种分配制度，能够大大简化对cdn边缘节点的配置要求，对cdn边缘节点而言，只需配置并执行常规的鉴权规则即可，即实现了其同步鉴权的快速响应，又不需要找cdn厂商配合定制化需求；同时，又能够通过源站鉴权中心兼顾复杂、多变的鉴权规则，充分利用其更高的算力保证鉴权的准确性和全面性，从而实现在整体上提升鉴权效率，同时又能保证鉴权准确性。
[0110]
在一优选实施例中，上述s42步骤的具体包括：
[0111]
s421：源站鉴权中心服务器对所述请求的合法性进行深度校验，得到鉴权结果。
[0112]
具体地，深度校验所使用的鉴权规则是用于对请求中的用户请求特征进行全面地、深入的校验，以确保请求的合法性。所述鉴权结果，由深度鉴权得出，包括鉴权通过与否的判定结果，以及对应鉴权不通过时所使用的打击策略。
[0113]
所述打击策略包括但不限于：拒绝请求、限定内容、限定下载速度、限定画面清晰度、限定音质以及限定地域性服务等等。一般而言，打击策略包括上述中的一种或两种以上的组合。例如，通过深度鉴权发现发起请求的用户是低等级会员，则得出的打击策略同时包括限定内容、限定下载速度以及限定画面清晰度。
[0114]
在一优选实施例中，深度鉴权的规则包括但不限于：判断用户ip是否在请求黑名单中，判断用户referer是否属于请求黑名单，判断用户请求url是否涉及非法内容，判断用户是否会员、判断用户的会员等级等等。具体规则内容是基于请求参数进行计算和识别的策略，支持随时调整变化，灵活配置。
[0115]
s422：源站鉴权中心服务器设定所述鉴权结果的有效期，并返回所述鉴权结果及其有效期至cdn鉴权中心；
[0116]
s423：cdn鉴权中心将所述鉴权结果作为所述请求对应的缓存鉴权结果存储至本地，并同步所述鉴权结果的有效期为所述缓存鉴权结果的有效期。
[0117]
具体地，有效期用于限定所述鉴权结果/缓存鉴权结果的时效性，在有效期内，针对同一用户的相同请求，cdn鉴权中心可以直接通过本地的缓存鉴权结果进行本地鉴权而无需回源鉴权，一定程度上缓解了中心鉴权的延时和压力问题。
[0118]
在一优选实施例中，cdn鉴权中心本地存储所述请求对应的缓存鉴权结果的方式可以是：
[0119]
cdn鉴权中心以所述请求中的用户请求特征作为key，对应的鉴权结果及其有效期为value，创建一条所述请求与其缓存鉴权结果的关联关系，并将该条关联关系缓存至本地。
[0120]
s424：cdn鉴权中心判断所述鉴权结果对应通过还是不通过；
[0121]
若所述鉴权结果对应不通过，则发送所述鉴权结果至cdn边缘节点，由cdn边缘节点依据所述鉴权结果中的打击策略对所述响应进行打击；
[0122]
若所述鉴权结果对应通过，则不动作，任由cdn边缘节点继续响应请求内容。
[0123]
本实施例所述的异步打击系统所采用的异步鉴权方式，一方面，交由算力更高的源站中心服务器在必要时执行深度鉴权，能够保证鉴权结果的准确性和全面性；另一方面，又通过设置cdn鉴权中心作为异步鉴权缓存中心，先行直接处理cdn边缘节点的策略查询请求，在存在有效缓存鉴权结果的情况下能高效完成鉴权，而源站鉴权服务中心仅仅处理来自于cdn鉴权中心的深度鉴权计算，相比现有的异步鉴权方式，可以通过cdn鉴权中心大大减轻源站鉴权服务中心的计算压力，避免因源站中心服务器所在网络情况影响鉴权效果，从而提升异步鉴权的效率。
[0124]
实施例三
[0125]
本实施例对应上述实施例，提供一种基于cdn边缘计算网络的异步打击防盗链系统，请参阅图2和图3，所述系统包括：通信连接的终端1、cdn边缘节点2和cdn鉴权中心3；
[0126]
所述cdn边缘节点2，用于接收终端发起的请求；以及用于对所述请求的合法性进
行初级鉴权，并在所述初级鉴权通过后响应所述请求；以及用于发送所述请求至cdn鉴权中心；
[0127]
所述cdn鉴权中心3，用于采用异步鉴权方式对所述请求的合法性进行深度鉴权，若所述深度鉴权不通过，则通过cdn边缘节点对所述响应进行打击；
[0128]
其中，所述初级鉴权的鉴权复杂程度低于所述深度鉴权的复杂程度。
[0129]
可选地，所述系统还包括与所述cdn鉴权中心3通信连接的源站鉴权中心服务器4；
[0130]
所述cdn鉴权中心3，具体用于判断本地是否缓存有对应所述请求且在有效期内的缓存鉴权结果；若有，则在所述缓存鉴权结果对应不通过时，控制cdn边缘节点依据所述缓存鉴权结果对所述响应进行打击；若无，则发送所述请求至源站鉴权中心服务器；
[0131]
所述源站鉴权中心服务器4，用于对所述请求的合法性进行深度校验，得到鉴权结果，若所述鉴权结果对应不通过，则控制cdn边缘节点依据所述鉴权结果对所述响应进行打击；
[0132]
所述cdn边缘节点2，还用于依据对应不通过的所述缓存鉴权结果和对应不通过的所述鉴权结果对所述响应进行打击。
[0133]
可选地，所述源站鉴权中心服务器4，具体用于设定所述鉴权结果的有效期，并返回所述鉴权结果及其有效期至cdn鉴权中心；
[0134]
所述cdn鉴权中心3，具体用于将所述鉴权结果作为所述请求对应的缓存鉴权结果存储至本地，并同步所述鉴权结果的有效期为所述缓存鉴权结果的有效期；以及判断所述鉴权结果对应通过还是不通过；以及若所述鉴权结果对应不通过，则发送所述鉴权结果至cdn边缘节点。
[0135]
可选地，所述cdn鉴权中心3，具体用于以所述请求中的用户请求特征作为key，对应的鉴权结果为value，创建所述请求与其缓存鉴权结果的关联关系，并将所述关联关系缓存至本地。
[0136]
可选地，所述源站鉴权中心服务器4，具体用于对所述请求中的用户请求特征的合法性进行校验，得到鉴权结果；
[0137]
其中，所述用户请求特征包括用户ip、请求url参数、cookie、user-agent和referer中的一个或多个的组合；
[0138]
所述鉴权结果包括鉴权通过与否的判定以及鉴权不通过时对应所述请求的打击策略；
[0139]
所述打击策略包括拒绝请求、限定内容、限定下载速度、限定画面清晰度、限定音质以及限定地域性服务中的至少一种。
[0140]
实施例四
[0141]
本实施例对应上述实施例一至实施例三，提供两个具体应用场景：
[0142]
运用场景一：为不同等级的会员提供差异化的文件下载服务、视频点播服务
[0143]
1、接收用户下载请求，获取用户请求特征，判断是否存在同步鉴权规则；
[0144]
2、如果没有同步鉴权规则，或者有鉴权规则并且鉴权通过，则直接响应用户请求内容数据，同时进入步骤4；
[0145]
3、如果有鉴权规则并且鉴权不通过，则拒绝用户请求，结束访问流程；
[0146]
4、从用户请求中获取用户特征，判断是否需要启动异步鉴权流程；
[0147]
如果不存在异步鉴权流程，则继续响应用户内容；
[0148]
如果需要异步鉴权，如向异步打击系统发送异步鉴权认证请求，进入步骤5；
[0149]
5、异步打击系统校验用户会员等级。对于非会员，响应拒绝请求的打击策略；对于低等级会员，响应下载限速的打击策略；对于高等级会员，不进行打击。单机策略也可以是为不同级别会员提供不同清晰度视频服务、为不同地区用户提供不同服务内容等，进入步骤6；
[0150]
6、服务器获取到异步打击策略，并对用户下载进行策略打击。
[0151]
运用场景二：直播过程中对观众用户、内容主播进行处理
[0152]
背景：互联网直播越来越广泛，直播的形式越来越丰富，电视直播、直播带货、生活分享、游戏直播等层出不穷；观看直播的用户结构也越来越复杂，未成年人、学生、物联网设备等等。
[0153]
针对传播非法内容的主播，可以使用本发明的实施例在直播过程中进行封禁、限流等策略打击，及时制止非法内容传播；
[0154]
针对发表不良言论、刷单等非法内容使用的用户，可以使用本发明的实施例及时发现和封禁，维护网络平台的和谐稳定；
[0155]
针对部分涉及知识产权的内容，可以使用本发明的实施例根据用户的会员身份、年龄、地区等进行限制。
[0156]
本发明提供的一种基于cdn边缘计算网络的异步打击防盗链方法及系统，至少存在以下有益效果：
[0157]
1、先通过同步鉴权方式进行初级鉴权，保证请求访问的合法性，优先提供内容响应，保障首包、首帧、首屏、下载速度等用户第一感官效果；再通过异步打击系统对请求合法性采用异步鉴权方式进行深度校验，保障鉴权的准确性和全面性；
[0158]
2、鉴权结果可以缓存在cdn鉴权中心，一定时间内同一用户的访问不需要再回鉴权中心进行鉴权，即能缓解源站源站鉴权服务中心的计算压力，同时也能提升异步鉴权效率；
[0159]
3、支持动态调整策略，可以在内容响应过程中，根据用户使用行为情况进行有针对性的打击策略调整；
[0160]
4、对文件下载、视频点播服务、直播服务等用户行为持续时间比较长的场景能够更好地适用，扩宽了防盗链适用场景。
[0161]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0162]
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实
现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0163]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0164]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0165]
应当注意的是，在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的单词“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
[0166]
尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
[0167]
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。
[0168]
在本发明的描述中，需要理解的是，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，“多个”的含义是两个或两个以上，除非另有明确具体的限定。
[0169]
在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。
[0170]
在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。
[0171]
在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不应理解为必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点
可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
[0172]
尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。