[发明专利]一种WEB盗链防护方法及其网关系统

说明书

技术领域

本发明涉及计算机网络安全。具体来说，涉及到基于前置网关实现对网站进行盗链防护的方法及系统。

背景技术

随着互联网技术的发展，网站不再局限于仅对外提供文字信息，图片、视频、音频这些多媒体信息大量出现在网站中，多媒体信息在丰富网站表现形式的同时也同样为网站带来安全问题，盗链攻击就是其中最明显的一种。盗链是指服务提供商自己不提供服务的内容，通过技术手段绕过其他有利的最终用户界面，直接在自己的网站上向最终用户提供其他服务提供商的服务内容，盗链攻击不需要提供资源或者提供极其少量的资源即可获得访问流量，但是真正的服务提供商却无法获得任何收益，并且由于图片、音频、视频的访问需要占用大量的带宽资源，将会导致真正的服务器提供商的带宽被不法滥用，具体可参考（盗链攻防红与黑的风光，http：//POWERSON Blog.CFAN.COM.CN）。

目前，盗链防护手段从防护位置进行区分主要分为服务器端防护和客户端防护（具体可参考反盗链技术研究，郑绍辉等，成都电子科技大学计算机学院）：

服务器端防护的主要方法包括：在服务器端不定期更新文件以及目录名称、在服务器端增加验证功能、在服务器端采用动态脚本进行文件伪装。如专利申请号为：200910046476.8的发明专利申请，互联网内容发布网络盗链方法，提到了采用User-Agent字段并增加WEB响应流程。如专利申请号为：200910235899.4的发明专利申请，一种防盗链的方法及终端，主要使用下载器对来客户端的信息进行验证。又如专利申请号为：201010569446.8的发明专利申请，一种防盗链系统及方法，涉及到了在网站的访问入口处，对用户的访问渠道进行黑名单验证，并在验证之后记录用户信息。又如专利申请号为：200610018165.7，一种Web服务防盗链方法，采用架设额外设备的方法，该方法能够部分屏蔽掉Web服务器以及系统平台的差异性，例如基于密钥发布服务器的防盗链方法，该方法额外增加密钥发布服务器，与Web服务器共同构建加密URL，利用加密URL保护网站资源不被盗用，但是该方法仍旧需要修改Web服务器，增加URL解析过程，该过程仍然依赖于Web服务器以及服务器所在的系统。

其中在服务器端增加验证功能是盗链防护系统采用的主流手段，主要包括：

将客户端信息加密之后以SessionID的方式加入用户请求URL中，并在用户访问时由服务器端进行解密和验证以确定用户是否为来自正常访问渠道；

当客户端发出下载请求时，WEB服务器在响应的URL中加入客户端的User-Agent信息，当客户端依照该URL访问CDN下载服务器时，下载服务器将验证由WEB服务器端加入的User-Agent是否与用户访问的User-Agent相一致以确定客户端的访问来源；

这些方法能够在一定程度上起到盗链防护的效果，但是由于所有的功能均需要在服务器端进行开发和运行，有以下几方面不足：

其一，盗链防护需要适应不同的WEB应用甚至操作系统，将会带来开发量大和通用性差的问题；

其二，服务器端主要的功能是响应HTTP请求，如果加入大量的加解密、验证以及跳转功能，其性能必然受到影响，攻击者只需要发送大量需要加解密、验证以及跳转功能的请求即可使服务器端负载骤增；

其三，服务器端需要修改客户端访问的URL信息，造成客户端访问请求的明显修改。

客户端防护主要方式是当客户端请求资源时向客户端发送下载器，该下载器运行在客户端用来验证客户端信息，当验证通过时返回客户端请求数据否则将中断客户端与服务器端的连接，该方法减轻了服务器端的压力，但是由于客户端插件需要与不同的浏览器相适应，因此也存在开发量大、兼容性差的问题，同时客户端插件一旦存在漏洞，将成为攻击者攻击客户端的有力工具。

综上分析可知，有必要对传统的盗链防护模式以及防护方法均进行改进，从而避免以上问题的发生。

发明内容

有鉴于此，本发明提出了一种WEB盗链防护方法并将该方法集成在前置网关中，该种模式以应用层代理的方式对网站服务器中的资源进行保护，该方法不依赖于网站的Web服务器和操作系统，使用通用的HTTP/HTTPS协议，能够最大限度减少对现有网站业务流程的干预，并且易于维护和扩展。

本发明的目的是提出一种WEB盗链防护方法，其步骤包括：

1）在客户端与WEB服务器间建立一前置网关，所述前置网关为其代理的WEB服务器配置盗链防护的文件类型，配置生效后启动盗链防护功能；