一种访问控制方法、装置及系统与流程

本技术涉及移动通信，尤其涉及一种访问控制方法、装置及系统。

背景技术：

1、内容分发网络(content delivery network，cdn)为云厂商为内容提供商提供内容分发服务的基础网络，其利用分布在不同区域的服务器集群为用户提供内容的分散存储和高速缓存，并根据网络动态流量和负载状况，将内容分发到快速、稳定的服务器上，提高用户内容的访问响应速度。内容提供商可以通过cdn为用户提供大量的内容，例如，视频、音频、文字等，并通过广告或者收取内容播放费的形式进行盈利。

2、参考图1，cdn网络通常包括源站和分布于不同地区的大量边缘服务器(也可以称为cdn节点)。内容提供商可通过从云厂商租用该内容分发服务的方式，在该cdn中部署其业务，如在源站发布多媒体数据内容，并通过一个或多个cdn节点将其在源站发布的内容传输给请求该内容的用户设备。

3、cdn的分布结构天然具有一定的挑战黑洞(challenge collapsar，cc)攻击缓解能力，cc攻击是一种ddos攻击，也是一种常见的网络攻击方式，攻击者通常会伪造成用户设备的身份，通过向cdn发送海量请求以消耗服务端的计算资源，导致服务端响应变慢甚至不可用。由于cdn的分布结构，即cdn通常包括成千上万个cdn节点，同一个用户设备发送的请求可能会被调度至不同的cdn节点，因此降低了单个cdn节点受到的攻击力，但是与此同时，cc攻击也变得更加难以被发现，cdn节点或源站对cc攻击请求进行了正常的服务和响应，造成大量的计算资源和带宽资源的浪费。同时还会导致内容提供商在被攻击期间产生大量的流量费用。

4、综上，现有亟需一种适用于cdn的访问控制方案，提高应对cc攻击的能力，以降低cc攻击导致的计算资源及带宽资源的浪费。

技术实现思路

1、本技术提供一种访问控制方法、装置及系统，用于减少cc攻击导致的cdn内计算资源及带宽资源的浪费。

2、第一方面，本技术实施例提供了一种访问控制系统，该系统用于为租户提供内容分发服务，该内容分发服务用于通过该系统中的多个服务节点将租户在其源站存储的内容传输至请求该内容的客户端；该多个服务节点被划分为多个节点组，一个节点组包括一个或多个服务节点，这里以一个节点组内的第一服务节点(或从服务节点)和归属服务节点(或主服务节点)为例进行说明，应理解的是，一个节点组可包括一个主服务节点以及一个或多个从服务节点，从服务节点和主服务节点可能是同一个服务节点。

3、第一服务节点可以基于自身接收到来自客户端的访问请求，确定该客户端在一个时间段内对属于租户的内容的访问情况，并可在达到上报时机时，将指示该访问情况的访问信息发送至该节点组内的归属服务节点。

4、相应的，归属服务节点接收来自该节点组内的一个或多个第一服务节点发送的访问信息，并基于接收到的来自该一个或多个第一服务节点的访问信息，确定该客户端对该内容的全局访问情况；当所述全局访问情况满足该内容的限频条件时，归属服务节点限制该客户端在任意一个第一服务节点上对该内容的访问。

5、通过上述系统，对该系统内的多个服务节点进行分组，利用同一节点组内服务节点互助协作，达到在服务节点完成单个客户端的全局访问频次的统计和汇聚，实现服务节点的秒级检测和环境，同时也避免了与数据中心的数据同步开销和时延，缩小数据同步和交互的范围，节省了资源开销，另外，由于降低了时延，从而进一步降低了系统n防御cc攻击所消耗的计算资源和带宽资源。

6、在一种可能的实施方式中，所述系统还包括控制中心；所述控制中心，用于确定分组规则，并所述分组规则指示一个节点组与该节点组需服务的客户端的对应关系，控制中心将该分组规则发送至节点组内的任意一个第一服务节点；第一服务节点，还用于接收所述分组规则。

7、通过上述系统，提供控制节点创建节点组的灵活性。

8、在一种可能的实施方式中，所述分组规则包括下列信息中的一项或多项：所述节点组的标识、所述节点组所包括的一个或多个第一服务节点、用于指示所述节点组内所述客户端对应的所述归属服务节点的指示信息。

9、在一种可能的实施方式中，控制中心具体用于根据该系统的拓扑信息、该系统内每个服务节点所采用的运营商网络、该系统内每个服务节点所部署的域名情况、客户端所在的位置信息、客户端采用的运营商网络等至少一项信息确定分组规则。其中，同一个节点组内的服务节点具有下列一项或多项属性：同一个节点组内的服务节点位于同一地理区域中、同一节点组内的服务节点采用相同的运营商网络、同一个节点组内的服务节点部署有相同的域名。

10、通过上述系统，可将具有一种或多种相同属性的服务节点划分为同一个节点组，提供划分节点组的灵活性，保证同一节点组内不同服务节点对同一客户端的服务质量。

11、在一种可能的实施方式中，所述指示信息为将所述客户端映射至所述归属服务节点的一致性算法；所述第一服务节点在将指示所述访问情况的访问信息发送至所述节点组内的归属服务节点之前，还用于：使用所述一致性算法确定所述归属服务节点。

12、通过上述系统，同一节点组内的不同服务节点基于该分组规则可确定相同的归属服务节点，从而使服务节点可向归属服务节点上报访问频次，实现归属服务节点上完成单个客户端的全局访问频次的统计和汇聚。

13、在一种可能的实施方式中，所述一致性算法所采用的参数包括下列中的一项或多项：所述客户端的标识、所述分组的标识、所述客户端所请求访问的内容的标识。

14、在一种可能的实施方式中，所述系统还包括配置中心；所述配置中心，用于获取租户在所述配置中心输入或选择的所述内容的限频规则，并将所述内容的限频规则发送至任意一个第一服务节点。

15、通过上述系统，提供租户配置限频规则的灵活性。

16、在一种可能的实施方式中，所述内容的限频规则包括下列信息中的一项或多项：所述内容的标识、触发限制访问的频次阈值、限制访问时长。

17、在一种可能的实施方式中，所述第一服务节点在将指示所述访问情况的访问信息发送至所述节点组内的归属服务节点时，具体用于：在确定所述访问情况满足上报条件时，将所述访问信息发送给所述归属服务节点。

18、通过上述系统，第一服务节点可过滤掉不满足上报条件的访问频次，减少网络数据传输量，节省带宽资源。

19、在一种可能的实施方式中，所述上报条件包括所述客户端在所述时间段内对所述内容的访问频次达到预设频次阈值；或者所述上报条件包括所述客户端在所述时间段内对所述内容的访问频次与所述客户端在上一个时间段内对所述内容的访问频次不同。

20、在一种可能的实施方式中，所述归属服务节点在限制所述客户端在任意一个第一服务节点上对所述内容的访问时，具体用于：生成限频指令，并将所述限频指令发送至所述节点组内的其余任意一个第一服务节点，所述限频指令指示限制所述客户端对所述内容的访问。

21、通过上述系统，归属服务节点基于限频指令限制客户端在第一服务节点上对指定内容的访问，保护第一服务节点抵御cc攻击，由于归属服务节点与第一服务节点之间的传输时延较低，有利于降低cc攻击导致的计算资源和带宽资源的开销。

22、第二方面，本技术实施例提供了一种访问控制方法，该方法可以由多个服务节点执行，多个服务节点属于同一个系统，如第一方面所述的访问控制系统，有益效果可以参见第一方面的相关描述此处不再赘述。在该方法中：第一服务节点确定客户端在一个时间段内对租户的内容的访问情况，第一服务节点为一个节点组内的任意一个服务节点；第一服务节点将指示所述访问情况的访问信息发送至所述节点组内的归属服务节点；归属服务节点基于接收到的来自一个或多个所述第一服务节点的访问信息，确定所述客户端对所述内容的全局访问情况；若所述全局访问情况满足所述内容的限频条件，所述归属服务节点限制所述客户端在任意一个第一服务节点上对所述内容的访问。

23、在一种可能的实施方式中，该系统还包括控制中心，该方法还包括：控制中心确定分组规则，并将所述分组规则发送至所述节点组内的任意一个第一服务节点，所述分组规则指示所述节点组与所述客户端的对应关系；相应的，第一服务节点接收该分组规则。

24、在一种可能的实施方式中，分组规则包括下列信息中的一项或多项：节点组的标识、节点组所包括的一个或多个第一服务节点、用于指示所述节点组内客户端对应的归属服务节点的指示信息。

25、在一种可能的实施方式中，指示信息为将所述客户端映射至所述归属服务节点的一致性算法；同一节点组内的不同服务节点可使用该一致性算法确定同一个归属服务节点。

26、在一种可能的实施方式中，所述一致性算法所采用的参数包括下列中的一项或多项：所述客户端的标识、所述分组的标识、所述客户端所请求访问的内容的标识。

27、在一种可能的实施方式中，所述系统还包括配置中心；所述方法还包括：所述配置中心获取租户在所述配置中心输入或选择的所述内容的限频规则；所述配置中心将所述内容的限频规则发送至任意一个第一服务节点。

28、在一种可能的实施方式中，所述内容的限频规则包括下列信息中的一项或多项：所述内容的标识、触发限制访问的频次阈值、限制访问时长。

29、在一种可能的实施方式中，所述第一服务节点将指示所述访问情况的访问信息发送至所述节点组内的归属服务节点，包括：所述第一服务节点在确定所述访问情况满足上报条件时，将所述访问信息发送给所述归属服务节点。

30、在一种可能的实施方式中，所述上报条件包括所述客户端在所述时间段内对所述内容的访问频次达到预设频次阈值；或者所述上报条件包括所述客户端在所述时间段内对所述内容的访问频次与所述客户端在上一个时间段内对所述内容的访问频次不同。

31、在一种可能的实施方式中，所述归属服务节点限制所述客户端在任意一个第一服务节点上对所述内容的访问，包括：所述归属服务节点生成限频指令，所述限频指令指示限制所述客户端对所述内容的访问；所述归属服务节点将所述限频指令发送至所述节点组内的其余任意一个第一服务节点；所述第一服务节点基于所述限频指令限制所述客户端访问所述内容。

32、第三方面，本技术实施例提供了另一种访问控制方法，该方法可以由多个服务节点执行，多个服务节点属于同一个系统，如第一方面所述的访问控制系统，有益效果可以参见第一方面的相关描述此处不再赘述。在该方法中：第一服务节点确定客户端在一个时间段内对租户的内容的访问情况；第一服务节点将指示该访问情况的访问信息发送至该节点组内的其余任意一个服务节点；第一服务节点基于接收到的来自该节点组内一个或多个服务节点的访问信息，确定该客户端对该内容的全局访问情况；若所述全局访问情况满足所述内容的限频条件，则第一服务节点限制所述客户端在对该内容的访问。

33、第四方面，本技术还提供了一种计算装置，该计算装置具有实现上述第一方面中第一服务节点或归属服务节点相应的功能，有益效果可以参见第一方面的描述此处不再赘述。功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。硬件或软件包括一个或多个与上述功能相对应的模块。在一个可能的设计中，装置的结构中包括接收模块、统计模块，发送模块，可选的，还包括处理模块。这些模块可以执行上述第一方面方法示例中第一服务节点相应的功能，具体参见方法示例中的详细描述，此处不做赘述。在另一个可能的设计中，装置的结构中包括接收模块、统计模块，处理模块，可选的，还包括发送模块。这些模块可以执行上述第一方面方法示例中归属服务节点相应的功能，具体参见方法示例中的详细描述，此处不做赘述。

34、第五方面，本技术还提供了一种计算设备集群，该计算设备集群包括至少一个计算设备，该至少一个计算设备具有实现上述第一方面中第一服务节点或归属服务节点的相应功能，有益效果可以参见第一方面的描述此处不再赘述。每个计算设备的结构中包括处理器和存储器，处理器被配置为支持计算设备执行上述第一方面以及第一方面任一可能的实现方式中第一服务节点相应的部分或全部功能，或执行第一方面以及第一方面任一可能的实现方式中归属服务节点相应的部分或全部功能。存储器与处理器耦合，其保存计算设备必要的程序指令和数据。计算设备的结构中还包括通信接口，用于与其他设备进行通信。

35、第六方面，本技术还提供一种计算机可读存储介质，计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述第一方面以及第一方面任一可能的实现方式中第一服务节点相应的部分或全部功能，或执行上述第一方面以及第一方面任一可能的实现方式中归属服务节点相应的部分或全部功能。

36、第七方面，本技术还提供一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机执行上述第一方面以及第一方面任一可能的实现方式中第一服务节点相应的部分或全部功能，或执行上述第一方面以及第一方面任一可能的实现方式中归属服务节点相应的部分或全部功能。

37、第八方面，本技术还提供一种计算机芯片，芯片与存储器相连，芯片用于读取并执行存储器中存储的软件程序，执行上述第一方面以及第一方面任一可能的实现方式中第一服务节点相应的部分或全部功能，或执行上述第一方面以及第一方面任一可能的实现方式中归属服务节点相应的部分或全部功能。