邊緣伺服器httppost消息處理的製作方法

2023-07-17 12:50:31

專利名稱：邊緣伺服器http post消息處理的製作方法
技術領域：
本公開總地涉及分布式網絡中的伺服器處的事務處理。
背景技術：
分布式計算機系統在現有技術中是眾所周知的。一種這樣的分布式計算機系統是由服務提供商操作並管理的「內容分發網絡」或「CDN」。服務提供商通常代表第三方提供內容分發服務。這種類型的「分布式系統」通常是指通過一個網絡或多個網絡連結的一群自治計算機，連同被設計為便於各種服務(諸如內容分發或者外包網站基礎設施的支持)的軟體、系統、協議和技術。通常，「內容分發」意指代表內容提供商對內容、流媒體和應用的存·儲、高速緩存或傳送，包括與其一起使用的輔助技術，所述輔助技術包括但不限於DNS查詢處理、預配置(provisioning)、數據監視和報告、內容目標化、個性化和商業智能。期望為CDN客戶提供可利用這種類型的分布式網絡的可伸縮性、可用性和可靠性的一種或多種「邊緣」服務。

發明內容
如本文所述，通過邊緣伺服器消息處理方法和裝置來提供幾種增強型「邊緣服務」。根據本公開，CDN邊緣伺服器進程接收HTTP消息，關於該消息採取給定動作，然後將該消息的修改版本轉發到目標伺服器(典型地，與CDN客戶相關聯的伺服器)。邊緣伺服器進程可包括相關聯的便於給定動作的中間處理代理(IPA)或子處理線程。邊緣伺服器進程接收控制所述處理的配置數據(稱之為元數據)。在說明性實施例中，所述消息是HTTP POST，並且所述給定動作包括以下動作(i)識別POST ;(ii)從POST移除給定數據；(iii)對另一進程(比如，第三方伺服器)發出將從POST移除的給定數據傳遞給該進程的中間(或次級)請求；(iv)接收對該中間請求的響應；(V)將從該響應接收的或者與該響應相關聯的數據合併到新的HTTP消息中；以及(Vi)將該新的HTTP消息轉發到目標伺服器上。以這種方式，當HTTP消息在它從客戶端到目標伺服器(諸如商戶)的途中「通過」邊緣伺服器時，POST中的給定數據可受到保護。該技術具有保護或增強HTTP POST消息體內的數據的效果，因為該POST遍歷邊緣伺服器。在一個實施例中，邊緣伺服器進程使用該「帶外」處理來(從第三方「進程」)接收句柄或「現時(nonce)」，該句柄或「現時」然後代替期望受到保護(以免於被傳遞到商戶web應用)的數據安置在HTTP POST消息體中。該置換具有使期望受到「保護」的POST消息體內的數據混亂的效果。在另一實施例中，不必移除HTTP POST消息體內的數據，而是例如通過檢查現有數據並添加導出值(諸如基於該數據的欺詐風險評分、對照便於跨供應商訂購的部件編號資料庫查找POST體中的值的結果等)來「增強」該數據。前面概述了本發明的更多相關特徵中的一些。這些特徵應被解釋為僅僅是說明性的。許多其它有益結果可通過如將描述的那樣修改本發明或者通過以不同的方式應用所公開的本發明來實現。


圖I描繪了可實現說明性實施例的示例性方面的分布式計算機系統環境的示例性框圖；圖2是可實現所公開的主題的邊緣伺服器機器的示例性框圖；圖3是示出根據本公開的技術的HTTP請求的處理的框圖；和圖4示出如何使用圖3中的邊緣伺服器處理來便於邊緣令牌化(tokenization)操作。
具體實施例方式在諸如圖I所示的已知系統中，分布式計算機系統100被配置為⑶N，並被假設具有圍繞網際網路分布的一組機器102a-n。通常，這些機器中的大多數機器是位於網際網路邊緣附近(即，位於端用戶接入網絡處或者鄰近端用戶接入網絡)的伺服器。網絡操作命令中心(N0CC)104管理系統中的各種機器的操作。第三方站點(諸如網站106)將內容(比如，HTML、嵌入式頁面對象、流媒體、軟體下載等)的分發卸載到分布式計算機系統100 (具體地講，「邊緣」伺服器)。通常，通過(例如，利用DNS CNAME)將給定內容提供商域或子域化名為由服務提供商的權威域名服務管理的域，內容提供商卸載他們的內容分發。希望得到內容的端用戶被引導到分布式計算機系統，以更可靠地、更有效地獲得該內容。雖然沒有詳細顯示，但是分布式計算機系統還可包括其它基礎設施，諸如分布式數據收集系統108，該分布式數據收集系統108從邊緣伺服器收集使用情況和其它數據，聚集一個區域或一組區域上的該數據，並將該數據傳遞到其它後端系統110、112、114和116以便於監視、記錄、報警、計費、管理以及其它操作和管理功能。分布式網絡代理118監視網絡以及伺服器負載，並將網絡、流量和負載數據提供給DNS查詢處理機制115，DNS查詢處理機制115對由⑶N管理的內容域是權威的。分布式數據傳輸機制120可用於將控制信息(比如，管理內容、便於負載均衡等的元數據)分布到邊緣伺服器。如圖2所示，給定機器200包括商用硬體(比如，英特爾奔騰處理器)202，該商用硬體202運行支持一個或多個應用206a-n的作業系統內核(諸如Linux或變型)204。為了便於內容分發服務，例如，給定機器通常運行一組應用，諸如HTTP代理者(proxy) 207 (有時稱之為「全局主機」進程)、名稱伺服器208、本地監視進程210、分布式數據收集進程212等。關於流媒體，所述機器通常包括支持的媒體格式所需的一個或多個媒體伺服器(諸如Windows媒體伺服器(WMS)或Flash伺服器)。⑶N邊緣伺服器被配置為提供一個或多個擴展的內容分發特徵，優選地在域特定、客戶特定的基礎上，優選地通過使用利用配置系統而被分布到邊緣伺服器的配置文件。給定配置文件優選地是基於XML的，並包括便於一個或多個高級內容處理特徵的一套內容處理規則和指示。可通過數據傳輸機制將配置文件分發給⑶N邊緣伺服器。美國專利No. 7，111, 057示出了用於分發並管理邊緣伺服器內容控制信息的有用基礎設施，並且該邊緣伺服器控制信息和其它邊緣伺服器控制信息可由CDN服務提供商自己或者操作源伺服器的內容提供商客戶(通過外聯網等)供給。⑶N可包括諸如美國專利No. 7，472，178中所述的存儲子系統，該專利的公開通過弓I用併入本文。CDN可操作伺服器高速緩存層次結構(hierarchy)來提供客戶內容的中間高速緩存；一種這樣的高速緩存層次結構子系統在美國專利No. 7，376，716中被描述，該專利的公開通過引用併入本文。⑶N可以按照美國公布No. 20040093419中所述的方式提供客戶端瀏覽器、邊緣伺服器與客戶源伺服器之間的安全內容分發。如其中所述的那樣的安全內容分發一方面實施客戶端與邊緣伺服器進程之間的基於SSL的連結，另一方面，實施邊緣伺服器進程與源伺服器進程之間的基於SSL的連結。這使得SSL保護的網頁和/或其組件能夠通過邊緣伺服器被分發。HTTP POST 消息處理 現在將以上作為背景來描述本公開的主題。根據本公開的一方面，⑶N邊緣伺服器進程接收HTTP消息，關於該消息採取給定動作，然後將該消息的修改版本轉發到目標伺服器(通常是與CDN客戶相關聯的伺服器)。該進程可包括便於給定動作的相關聯的中間處理代理(IPA)或子處理線程，但是這不是嚴格需要的。優選地，該進程接收控制HTTP消息的處理的配置數據(稱之為元數據)。在一個實施例中，所述消息是HTTP POST，並且所述給定動作包括以下動作(i)識別P0ST;(ii)從POST移除給定數據；(iii)向另一進程(比如，第三方伺服器)發出將從POST移除的給定數據傳遞給該進程的中間(或次級)請求；(iv)接收對該中間請求的響應；(V)將從該響應接收的或者與該響應相關聯的數據合併到新的HTTP消息中；以及(Vi)將該新的HTTP消息轉發到目標伺服器上。以這種方式，當HTTP消息在它從客戶端到目標(商戶)伺服器的途中「通過」邊緣伺服器時，POST中的給定數據可受到保護。圖3示出了該處理。在該實施例中，所述技術具有使HTTP POST消息體內的數據混亂或模糊的效果，因為該POST穿過邊緣伺服器。具體地講，邊緣伺服器進程使用該「帶外」處理來(從第三方「進程」)接收句柄或「現時」，該句柄或「現時」然後代替期望受到保護(以免於被傳遞到商戶web應用)的數據安置在HTTP POST消息體中。該方法的應用是基於邊緣的「令牌化」，在所述基於邊緣的「令牌化」中，從SSL保護的網頁(比如，通過⑶N分發的、來自電子商務網站的商戶結帳頁面)產生HTTP POST,並且中間請求將信用卡(CC)卡號傳遞給第三方支付網關。在這種情況下，從中間請求接收的數據是令牌，該令牌然後被放置在被傳遞給商戶源伺服器(具體地講，在其上執行的網上訂單管理應用)的HTTP請求中。圖4示出了用於邊緣伺服器400的這個處理。在該實施例中，商戶源伺服器402操作訂單管理系統，所述訂單管理系統為SSL保護的訂單管理頁面服務。在該伺服器上執行的訂單管理應用是用於在邊緣伺服器從端用戶客戶端瀏覽器接收的HTTP POST消息(具體地講，具有用於填充HTTP POST消息的一個或多個填入欄位的SSL保護的網頁)的目標應用。在這個例子中，與邊緣伺服器通信的外部進程是支付網關404，支付網關404通常由第三方實體管理。如所述的那樣，邊緣伺服器截獲HTTP POST，對數據進行解析，將提取的數據傳遞給支付網關404，支付網關404使用其相關聯的網關資料庫來產生令牌。該令牌被從網關返回給邊緣伺服器，邊緣伺服器將令牌包括回到HTTP POST中，並將修改的POST送到訂單管理應用。訂單管理應用然後可直接與網關通信，傳遞令牌，並接收授權。該後面的操作在邊緣伺服器的外部進行，並且是已知的功能。與只是保護消息中的數據(使其模糊)相反，HTTP POST消息處理技術還可被用於「增強」消息中的數據。在該方法中，對POST消息中的數據進行檢查。至少部分地基於該檢查，可能通過包括整個地或部分地從POST中的數據導出的值來「增強」數據。作為一個例子，基於邊緣的「欺詐」檢測服務可以跨邊緣伺服器地實現。代表性邊緣伺服器然後將執行以下操作HTTP POST掃描，比如對欺詐平臺「進程」的基於IPA的轉發請求，接收響應(t匕如，風險評分)，以及(風險評分)注入到原始POST，其然後被傳遞給目標(商戶)伺服器(應用)。這是「增強」HTTP POST數據的例子，具體地講，通過檢查(POST中的)現有數據並添加導出值來「增強」HTTP POST數據的例子。欺詐評分實施例僅僅是「增強」技術的代表性例子。另一個例子將是跨供應商訂 購服務，在這種情況下，導出值可基於對照外部的部件編號資料庫對POST體中的值的查找等。該方法的具體應用因此可相當不同。在邊緣伺服器進程(或者IPA (如果使用的話))與外部進程通信的情況下，通信可以通過SSL、經由web服務等。另一種可替換方案是基於邊緣的加密，其中，當HTTP消息通過邊緣伺服器時，用密鑰對HTTP消息中的給定欄位進行加密(或者，如果已經被加密，則對該欄位進行解密)。優選地，使用元數據來將邊緣伺服器進程配置為提供這些邊緣服務功能中的一個或多個。上述處理可通過使用SSL (或者其等同形式)的通信鏈路進行。因為上述技術可以以其它HTTP消息格式(諸如GET、PUT等)實現，所以被處理的HTTP消息不一定限於POST。 現在描述這些服務之一(基於邊緣的令牌化)的說明性例子。這個例子不應以限制的方式來看待。下面提供邊緣令牌化服務的代表性實現的附加技術細節。如以上所指出的，該服務僅僅是代表性的。模塊概要一般地，令牌化模塊(操作)用由第三方支付網關供給的匿名「令牌」來取代電子商務交易中的卡號。這降低了我們商戶客戶的卡號暴露的風險，並可幫助從PCI範圍得到商戶的網站。一般地，令牌化是使⑶N邊緣伺服器執行以下操作的能力I.識別包含卡號的客戶網頁的POST2.搜索POST數據體來檢索卡號3.向支付網關令牌化API作出web服務調用，傳遞卡號、商戶標識符以及網關API所需的其它信息4.收回來自支付網關API的回覆中的令牌5.用令牌取代POST體中的卡號6.將修改的POST請求轉發到源web應用7.保護存儲器中的卡號；不將它寫入盤
如本文中所使用的，「卡號」意指可被令牌取代的任何PCI敏感數據，例如信用卡卡號或借記卡卡號、銀行帳號等。令牌和它所代表的卡號被安全地存儲在由支付網關提供商管理的數據倉庫中。無需總是使用第三方支付網關。「令牌」產生(或者，更一般地，由中間或次級請求的目標執行的處理)在合適的環境下可由CDN執行。高層次設計令牌賦予器(tokenizer)使用POST請求解析器、中間處理代理(IPA)，並添加用於IPA到POST (優選地通過SSL)的能力、客戶端POST體修改、錯誤處理、記錄和報告。圖3示出了典型的請求流程處理。注意，所述模塊訪問能夠個人地標識的信息(消費者姓名、卡號、家庭地址等)。優選地，邊緣伺服器進程不將任何PII寫入盤(用於記錄、計費或其它目的)。 所述模塊優選地提供對用於訪問支付網關的認證符的客戶控制。這個版本的模塊中的元數據配置管理的大部分(bulk)通過元數據來進行定製。在可替換實施例中，可為客戶自助服務提供基於模板的配置管理。下面的章節介紹對於實現邊緣令牌化的組件和進程的高層次設計。I. I客戶整合和配置管理基於邊緣的令牌化整合和配置管理(預配置)優選地通過客戶(安全外聯網門戶)配置應用來進行。如下所述，元數據提供從POST體提取持卡人數據、對支付網關產生中間請求並修改轉發POST事務的界面。該元數據的使用加上令牌化標籤構成這個模塊的激活。I. I. I支付網關整合向支付網關的令牌化請求取決於可從網關提供商獲得的API。在最低限度，解決方案用key=value pairs的文本回復或XML文檔回復來支持HTTPS POST請求。網關接口可以通過使用HTTP頭中的HTTP基本認證證書或者作為key=P0ST體中的值來受到密碼保護。如果網關將允許它，則邊緣機器可安全地被支付網關認證。這避免了商戶必須與CDN服務提供商共享其支付網關證書。I. I. 2商戶整合從POST體提取的欄位取決於商戶的購物的卡或訂單處理軟體。語法和語義通過商戶的元數據配置中的元數據來進行管理。以下闡述示例性元數據。支付網關要求商戶標識和認證(經常是商戶的用戶名和密碼)。對於商戶的網關帳戶的這些證書對安全性是敏感的，優選地，不以明文被存儲在元數據中。相反，邊緣伺服器進程優選地通過密鑰管理基礎設施來檢索證書，以防止它們可用明碼獲得。商戶認證符(以及所需的任何其它秘密)優選地通過門戶配置管理接口來進行管理，以防止客戶必須通過電子郵件或其它機制將秘密發送到CDN僱員。被配置用於邊緣令牌化的任何支付交易將被授權以使用商戶的證書來訪問支付網關。I. 2邊緣伺服器行為邊緣令牌化權衡利用(leverage)邊緣進程內的中間處理代理(IPA)特徵來與支付網關API交互。對於支付網關的POST的構造足夠靈活從而使得可整合新的支付處理器，而無需改變代碼。
下面提供邊緣伺服器特徵的高層次設計。I. 2. I相關邊緣伺服器進程功能的概要 將URL編碼的POST體中的值提取到變量中。 修改IPA，以使得它可通過SSL對支付網關作出任意的POST請求。
POST體可以是URL編碼形式的體，或者可能是XML SOAP體。 通過合適的密鑰分布信道來訪問支付網關認證符和其它秘密信息，通過對秘密的合適檢查來防止跨客戶秘密共享。 將網關POST響應解析為元數據變量。 使用以下操作中的一個或多個來修改端用戶的入站(inbound) POST體
·
用不同的值取代命名參數的值。 添加具有給定值的命名參數。 移除命名參數及其值，可選地，用「X」字符取代值。 將修改的POST體發送到商戶的源伺服器，並繼續照常對POST請求和響應進行處理。 將足夠的信息包括在日誌行中以用於調試和排錯。 確保卡號和其它敏感信息保持安全。卡號不被寫入到任何文件或查詢表。I. 2. 2邊緣伺服器請求處理細節下面闡述基於邊緣的令牌化的處理中的主要的邊緣伺服器步驟。I.標識商戶標識符以在令牌賦予器調用中使用。這可以是簡單的元數據標籤，或者可能是元數據變量。2.將HTTPS POST請求中的卡號和持卡人數據欄位提取到元數據變量中。〇HTML形式的URL編碼的POST體。所述請求將具有Content-Type:application/x-www-form-urIencoded頭,並且POST體的格式將類似於查詢字符串。〇所述變量將所述值保存為URL編碼的(未被修改的)。〇邊緣伺服器進程用這些選擇器提取變量值ARGSARGS_NAME ARGS_P0ST ARGS_P0ST_NAMEARGS_C0MBINED_SIZE REQUEST_B0DY。〇邊緣伺服器還可支持諸如來自AJAX或SOAP調用的XML編碼的POST體。所述請求將具有Content-Type: text/xml和有效XML實體,在這種情況下,所述進程用選擇器XML REQUEST_B0DY提取體。可替換的可選方案使用正則表達式匹配。〇來自POST體的持卡人數據可包括卡號、人名、失效日期、CVI/CVV代碼等。來自POST體的數據對於第三方令牌化代理必須被適當地編碼。〇URL對來自POST體的值進行解碼(如果對於非HTTP API必要的話)。3.創建新的POST體，並在轉發請求中將它發送到支付網關。〇該POST包括卡號和在HTTPS POST請求中所發送的支付網關接口所需的持卡人數據。〇如果該POST失敗，則嘗試retry-post，但是僅在被支付網關使得生效之後(這不應使得複製令牌被創建)。〇對支付網關的POST可能需要商戶認證符，比如，用戶名、密碼或HMAC密鑰。這些值需要被元數據中的密鑰管理名稱引用。
〇邊緣伺服器進程能夠訪問秘密密鑰來創建用於POST體中的一組數據欄位的HMAC認證符，並將該認證符添加到POST體。4.從支付網關接收響應並對該響應進行解析〇可通過正則表達式或固定字符串匹配來對響應體進行解析。〇在OK響應時用POST體中的令牌取代卡號。〇一旦被取代，就從進程存儲器移除卡號。〇在錯誤響應或超時時採取合適的失敗動作一見下。發送網關的失敗指示是當商戶需要已經處理網關失敗情況時可接受的默認行為。
〇支付網關應該快得以至於調用不被延遲很長時間。邊緣進程可將超時應用於網關請求以防止資源耗竭。5.記錄交易的結果。〇這可包括數值響應代碼、原因或決策字符串、交易標識符和其它非PII數據。6.繼續用修改的POST體對商戶站點的轉發請求。POST將攜帶不同的持卡人數據。〇商戶必須修改他們的應用來處理輸入的令牌。I. 3支付網關整合對於令牌化的接口可以通過簡檔功能性。簡檔通常代表端用戶，用匿名令牌或簡檔標識符來提及其PII (名稱、地址、電話、卡號、失效日期等)。可通過以下方式來訪問簡檔功能性經由SOAP請求；通過使用二進位API的web服務；或者通過具有請求和響應中的name=value 屬性的 HTTPS POST 接口。在新用戶訪問客戶網站的情況下，邊緣伺服器進程將請求創建新令牌。如果用戶已經訪問了該網站，則他們應該已經具有簡檔。在這種情況下，商戶形式的POST應該僅包含簡檔標識符，而不是整個卡號。在這種情況下，我們將不調用令牌化API，而是僅立即使POST通過。如果通過邊緣伺服器進程的調用確實為用戶創建簡檔，則商戶應該從請求提取簡檔，並將它存儲在其資料庫中以供下次用戶返回時使用。IPA 實現當使用IPA時，通過指定以上所解釋的「post-body」標籤來將IPA請求轉換為 POST,所述「post-body」 標籤也添加了 「Content-Length」 頭。「post-body」 可包含被擴展的變元(argument)。必須根據POST體的類型(xml、名稱-值對)將這些變元適當地編碼為或者url編碼的、或者純文本的、或者html實體編碼的。通過使用〈match:processing-agent_request> 標籤中的 標籤、指定「 app licati on/x-www-form-ur I encoded 」 或另一合適的值來添加「Content-Type」 頭。為了在IPA 中允許 POST,在〈match:processing-agent_request> 標籤中需要〈security:allow_post>on〈/security:allow-post>。上遊POST重寫優選地用從IPA響應提取的變量來修改上遊POST。標籤 允許對 POST 體進行修改。為了從輸入的 POST 請求提取值，激活〈edgeservices: inspect-request-body. status〉標籤，並指定合適的〈edgeservices: inspect-request-body. limit〉。〈match:regex〉標籤允許所述進程從POST體提取值。對於輸入的POST請求，可使用諸如「ARGS_P0ST: fieldname」的選擇器，並且regex=」. * 」提供按照所需格式的欄位值。為了從IPA響應提取值，可使用被稱為IPA_RESPONSE_BODY的正則表達式選擇器。該選擇器明確地允許訪問IPA響應體。使用選擇器「IPA_RESPONSE_STATUS」來提取IPA POST http狀態響應。變型與欺詐檢測的交互如上所述，可權衡利用上述HTTP POST消息處理來創建基於邊緣的欺詐模塊，以在將請求路由到商戶網站之前進行裝置檢測或辨識。這通過消除對(來自商戶站點的)欺詐平臺的單獨調出而降低了對商戶站點的整合需求。
⑶N客戶(商戶)仍將必須將裝置id或風險評分整合到其訂單管理系統或進程中。一種可選方案是將軟體修改為基於實時風險評分來接受或拒絕交易。另一種可選方案是為供應商提供商戶在他們的訂單履行過程期間可覆核的線下風險評分，拒絕充滿欺詐性交易。邊緣服務欺詐交互權衡利用POST掃描、基於IPA的對欺詐平臺的轉發請求以及到原始POST中的風險評分注入。無需移除或取代現有欄位，並且可能無需修改POST —可使用現有能力來將風險評分作為HTTP頭插入。基於邊緣的欺詐檢測可與令牌化發生同時地進行(B卩，在相同的HTTP請求處理內)。在這樣的情況下，進行兩(2)個單獨的中間請求，一個請求對欺詐引擎(針對風險評分),並且一個請求對支付網關(針對令牌)。支付網關和倉庫該模塊依賴於第三方支付網關與將令牌與相關持卡人數據(卡號、姓名、地址、電話……)相關聯的安全數據倉庫，並且提供在給定令牌的情況下提取PII數據的安全界面。其它支付網關功能如前所述，邊緣伺服器進程可與令牌化請求並行地調用其它支付處理API功能(例如，請求信用批准)。添加到POST體的批准狀態使商戶不必單獨地發起請求。儘管以上描述了本發明的某些實施例所執行的特定順序的操作，但是應該理解，這樣的順序是示例性的，因為可替換實施例可按不同的順序執行這些操作、組合某些操作、重疊某些操作等。本說明書中對給定實施例的說明指示所描述的實施例可包括特定特徵、結構或特性，但是不一定每一個實施例要包括該特定特徵、結構或特性。儘管已在方法或處理的上下文中描述了所公開的主題，但是主題公開還涉及用於執行本文的操作的設備。該設備可出於所需目的而被專門構造，或者它可包括被存儲在計算機中的電腦程式選擇性地激活或重新配置的通用計算機。這樣的電腦程式可被存儲在計算機可讀存儲介質中，所述計算機可讀存儲介質諸如，但不限於，任何類型的盤(包括光碟、⑶-ROM和磁光碟)、只讀存儲器(ROM)、隨機存取存儲器(RAM)、磁性卡或光學卡、或者適用於存儲電子指令的任何類型的介質，每個均與計算機系統總線耦合。儘管已分別描述了所述系統的給定組件，但是本領域的普通技術人員將意識到，在給定指令、程序序列、代碼部分等中可組合或共享所述功能中的一些功能。如以上所指出的，可對於具有消息體(包括，但不限於，GET、PUT、其它WebDAV類型等)的任何HTTP請求實現所描述的技術。一般地，(從IPA處理)返回到邊緣伺服器的信息是基於從HTTP消息提取的數據的。如所述的那樣，第三方可將提取的數據與根據具體應用按需返回的信息相關聯(相映射)。
已描述了我們的發明，現在權利要求如下。
權利要求
1.一種設備，包括 處理器； 計算機存儲器，其保存電腦程式指令，所述電腦程式指令當被所述處理器執行時在配置文件的控制下執行方法，所述方法包括 接收HTTP消息體； 對所述HTTP消息體進行解析以提取數據； 向外部進程發出傳遞從所述HTTP消息體提取的數據的中間請求； 從所述外部進程接收響應； 將所述響應插入到所述HTTP消息體中，以創建修改的HTTP消息體；和 將所述修改的HTTP消息體轉發到目標應用以進行進一步處理。
2.根據權利要求I所述的設備，其中，所述HTTP消息體是HTTPPOST。
3.根據權利要求I所述的設備，其中，所提取的數據是信用卡卡號，並且所述外部進程是支付網關令牌化進程。
4.根據權利要求I所述的設備，其中，所述外部進程是欺詐引擎，並且插入到所述HTTP消息體中的響應是風險評分。
5.根據權利要求I所述的設備，其中，所述外部進程包括相關聯的資料庫，並且插入到所述HTTP消息體中的響應是由在所述資料庫中查找而導出的值。
6.根據權利要求I所述的設備，其中，所述配置文件被配置為XML。
7.根據權利要求I所述的設備，其中，通過安全鏈路向所述外部進程發出所述中間請求。
8.根據權利要求I所述的設備，其中，插入到所述HTTP消息體中的響應使提取的數據混亂。
9.根據權利要求I所述的設備，其中，插入到所述HTTP消息體中的響應增強提取的數據。
10.一種在分布式網絡的邊緣伺服器中操作的方法，所述分布式網絡具有在參與的第三方客戶之間共享的基礎設施，所述方法包括 接收HTTP POST消息體； 對所述HTTP POST消息體進行解析以提取數據； 向外部進程發出傳遞從所述HTTP POST消息體提取的數據的中間請求； 從所述外部進程接收響應； 將所述響應插入到所述HTTP POST消息體中，以創建修改的HTTP POST消息體；和 將所述修改的HTTP POST消息體轉發到目標應用以進行進一步處理。
11.根據權利要求10所述的方法，其中，插入到所述HTTPPOST消息體中的響應保護提取的數據。
12.根據權利要求10所述的方法，其中，插入到所述HTTPPOST消息體中的響應增強提取的數據。
13.根據權利要求10所述的方法，其中，所述外部進程是與第三方實體相關聯的令牌化進程。
14.根據權利要求10所述的方法，其中，所述外部進程是與第三方實體相關聯的欺詐檢測進程。
15.根據權利要求10所述的方法，其中，所述外部進程是與第三方實體相關聯的網際網路可訪問的web應用。
全文摘要
CDN邊緣伺服器進程接收HTTP消息，關於該消息採取給定動作，然後將該消息的修改版本轉發到目標伺服器(通常是與CDN客戶相關聯的伺服器)。所述進程可包括便於所述給定動作的相關聯的中間處理代理(IPA)或子處理線程。在一個實施例中，所述消息是HTTP POST，並且所述給定動作包括以下動作(i)識別POST；(ii)從POST移除給定數據；(iii)向另一進程(比如，第三方伺服器)發出將從POST移除的給定數據傳遞給該進程的中間(或次級)請求；(iv)接收對該中間請求的響應；(v)將從該響應接收的或者與該響應相關聯的數據合併到新的HTTP消息中；以及(vi)將該新的HTTP消息轉發到目標伺服器上。以這種方式，當HTTP消息在它從客戶端到目標(商戶)伺服器的途中「通過」邊緣伺服器時，POST中的給定數據可受到保護。在可替換實施例中，通過將從POST消息提取的數據傳遞到外部化進程並將導出值(諸如基於該數據的欺詐風險評分)添加回該消息中來增強該數據。
文檔編號H04L29/08GK102971712SQ201180033573
公開日2013年3月13日 申請日期2011年5月19日 優先權日2010年5月19日
發明者J·A·蒂勒, S·魯丁, J·F·蘇莫爾斯 申請人:阿卡麥科技公司