CN106487751B - 一种数据传输方法、相关装置及系统 - Google Patents
一种数据传输方法、相关装置及系统 Download PDFInfo
- Publication number
- CN106487751B CN106487751B CN201510532319.3A CN201510532319A CN106487751B CN 106487751 B CN106487751 B CN 106487751B CN 201510532319 A CN201510532319 A CN 201510532319A CN 106487751 B CN106487751 B CN 106487751B
- Authority
- CN
- China
- Prior art keywords
- user
- network equipment
- processed
- attribute information
- identification information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种数据传输方法、相关装置及系统。本发明实施例中,第一网络设备接收第二网络设备发送的待处理用户的认证请求消息;第一网络设备对待处理用户的属性信息进行判断,并在判断其为标记属性信息的情况下,将该待处理用户确定为被攻击的用户,从而向第二网络设备发送接入参数消息,以使该待处理用户的数据通过第二网络设备和第三网络设备建立的连接进行传输,实现了第二网络设备对该待处理用户实施流量隔离和流量牵引,将网络攻击的影响程度降到最低,提高网络正常运行的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种数据传输方法、相关装置及系统。
背景技术
随着互联网业务的飞速发展以及宽带网络的快速普及,越来越多的人开始使用网络业务,享受着互联网时代所带来的便利与变革。但同时,由于用户安全意识薄弱,使用的智能嵌入式设备(路由器等)防护不到位,存在弱口令或安全漏洞,给黑客制造了可乘之机。目前出现较多的是带有后门、攻击者可以远程控制被感染的机器的恶意软件,被这种恶意软件感染的机器通常被称为“bot”,被感染机器组成的受控网络常被称为“botnet”,即僵尸网络,控制僵尸网络的攻击者被称为botmaster。如图1所示,这种恶意软件的运行过程如下:bot连接C&C服务器,它们组成一个僵尸网络,共同接受和响应C&C服务器的指令;C&C服务器给bot下发攻击指令,里面包含受害者的IP、端口、攻击持续时间等各种攻击参数;bot执行指令,对受害者发起DDOS(Distributed Denial of Service,分布式拒绝服务)攻击。由于上述恶意软件的存在,使得运营商网络中充斥着大量僵木蠕流量,严重影响网络服务质量和正常运行。
目前针对城域网内PPPoE(Point-to-Point Protocol over Ethernet,以太网上的点对点协议)用户,常采用的一种应对恶意软件的处置手段为在运营商城域网核心层部署DDoS流量清洗系统。清洗系统通过BGP(Border Gateway Protocol,边界网关协议)路由牵引的方式,将指定目的的流量全部牵引过来,清洗系统对流量进行清洗,清洗后的正常流量回注到出口路由器。由此可见,采用上述方法,攻击流量在网络接入边缘层面没有受到任何有效拦截和控制,就直接抵达核心汇聚设备。由于DDoS流量清洗系统只能进行被动的全流量清洗,受制于DDoS流量清洗系统硬件能力,全网清洗效果差且投资巨大。
因此,目前亟需一种有效的数据传输方法来提高网络运行的安全性。
发明内容
本发明实施例提供一种数据传输方法、相关装置及系统,用以提高网络运行的安全性。
本发明实施例提供的一种数据传输方法,包括:
第一网络设备接收第二网络设备发送的待处理用户的认证请求消息;
所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;
所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述待处理用户的属性信息是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
较佳地,所述待处理用户的属性信息是由所述第一网络设备确定的,包括:
所述第一网络设备确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
所述第一网络设备根据获取到的黑名单用户的标识信息确定所述待处理用户的属性信息为标记属性信息;或,
所述第一网络设备根据获取到的白名单用户的标识信息确定所述待处理用户的属性信息为非标记属性信息。
较佳地,所述第一网络设备接收第二网络设备发送的待处理用户的认证请求消息之前,还包括:
所述第一网络设备获取黑名单用户的标识信息;
所述第一网络设备确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对标识信息相同的用户进行下线处理;其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;
所述第一网络设备接收所述第二网络设备发送的待处理用户的认证请求消息之后,还包括:
所述第一网络设备将所述待处理用户的属性信息确定为标记属性信息。
较佳地,所述第一网络设备接收第二网络设备发送的待处理用户的认证请求消息之前,还包括:
所述第一网络设备获取黑名单用户的标识信息;
所述第一网络设备确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送更改指令,以使所述第二网络设备将标识信息相同的用户的属性信息更改为标记属性信息;其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户。
较佳地,所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接进行所述待处理用户的数据传输之后,还包括:
所述第一网络设备获取白名单用户的标识信息;
所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对所述待处理用户进行下线处理;
所述第一网络设备接收所述第二网络设备发送的待处理用户的认证请求消息之后,还包括:
所述第一网络设备将所述待处理用户的属性信息确定为非标记属性信息。
较佳地,所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接进行所述待处理用户的数据传输之后,还包括:
所述第一网络设备获取白名单用户的标识信息;
所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向所述第二网络设备发送恢复指令,以使所述第二网络设备根据所述恢复指令将所述待处理用户的属性信息确定为非标记属性信息。
本发明实施例提供的一种数据传输方法,包括:
第二网络设备向第一网络设备发送待处理用户的认证请求消息;
所述第二网络设备接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述认证请求消息中包括由所述第二网络设备确定的所述待处理用户的属性信息;
所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
较佳地,所述第二网络设备向第一网络设备发送待处理用户的认证请求消息之前,还包括:
所述第二网络设备接收所述待处理用户的连接请求;
所述第二网络设备确定所述待处理用户的属性信息;所述待处理用户的属性信息是根据以下方式得到的:
所述第二网络设备确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
所述第二网络设备根据所述第一网络设备发送的更改指令确定所述待处理用户的属性信息为标记属性信息;或,
所述第二网络设备根据所述第一网络设备发送的恢复指令确定所述待处理用户的属性信息为非标记属性信息。
较佳地,所述第二网络设备向第一网络设备发送待处理用户的认证请求消息之前,还包括:
所述第二网络设备接收所述第一网络设备发送的更改指令;所述更改指令是所述第一网络设备确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送的;其中,标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;
所述第二网络设备根据所述更改指令对所述待处理用户进行下线处理;
所述第二网络设备接收所述待处理用户发送的连接请求,并将所述待处理用户的属性信息更改为标记属性信息。
较佳地,所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输之后,还包括:
所述第二网络设备接收所述第一网络设备发送的恢复指令;所述恢复指令是所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下发送的;
所述第二网络设备根据所述恢复指令对所述待处理用户进行下线处理;
所述第二网络设备接收所述待处理用户发送的连接请求,并将所述待处理用户的属性信息确定为非标记属性信息。
较佳地,所述第二网络设备向第一网络设备发送待处理用户的认证请求消息之前,还包括:
所述第二网络设备接收所述第一网络设备发送的下线指令;所述下线指令是所述第一网络设备在确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下发送的,或者,所述下线指令是所述第一网络设备在确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下发送的;
所述第二网络设备根据所述下线指令对所述待处理用户进行下线处理。
较佳地,所述接入参数消息中还包括所述第一网络设备为所述待处理用户配置的安全处置策略;
所述第二网络设备通过建立的连接为所述待处理用户进行数据传输,包括:
所述第二网络设备通过建立的连接为所述待处理用户进行数据传输,并根据所述安全处置策略对所述待处理用户的数据进行控制。
本发明实施例提供的一种网络设备,包括:
收发模块,用于接收第二网络设备发送的待处理用户的认证请求消息;
处理模块,用于在确定所述待处理用户的属性信息为标记属性信息的情况下,通过所述收发模块向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述待处理用户的属性信息是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
较佳地,所述处理模块还用于:
确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
根据获取到的黑名单用户的标识信息确定所述待处理用户的属性信息为标记属性信息;或,
根据获取到的白名单用户的标识信息确定所述待处理用户的属性信息为非标记属性信息。
较佳地,所述处理模块还用于:
获取黑名单用户的标识信息;
确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对标识信息相同的用户进行下线处理;其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;并在所述收发模块接收到所述第二网络设备发送的待处理用户的认证请求消息之后,将所述待处理用户的属性信息确定为标记属性信息。
较佳地,所述处理模块还用于:
获取黑名单用户的标识信息;
确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送更改指令,以使所述第二网络设备将标识信息相同的用户的属性信息更改为标记属性信息;其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户。
较佳地,所述处理模块还用于:
获取白名单用户的标识信息;
确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对所述待处理用户进行下线处理;并在所述收发模块接收到所述第二网络设备发送的待处理用户的认证请求消息之后,将所述待处理用户的属性信息确定为非标记属性信息。
较佳地,所述处理模块还用于:
获取白名单用户的标识信息;
确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,通过所述收发模块向所述第二网络设备发送恢复指令,以使所述第二网络设备根据所述恢复指令将所述待处理用户的属性信息确定为非标记属性信息。
本发明实施例提供的一种网络设备,包括:
收发模块,用于向第一网络设备发送待处理用户的认证请求消息;以及接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述认证请求消息中包括由所述第二网络设备确定的所述待处理用户的属性信息;
处理模块,用于根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
较佳地,所述收发模块还用于:
接收所述待处理用户的连接请求;
所述处理模块还用于根据以下方式确定所述待处理用户的属性信息:
确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
根据所述第一网络设备发送的更改指令确定所述待处理用户的属性信息为标记属性信息;或,
根据所述第一网络设备发送的恢复指令确定所述待处理用户的属性信息为非标记属性信息。
较佳地,所述收发模块还用于:
接收所述第一网络设备发送的更改指令;所述更改指令是所述第一网络设备确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送的;其中,标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;
所述处理模块还用于:
根据所述更改指令对所述待处理用户进行下线处理,并在所述收发模块接收到所述待处理用户发送的连接请求后,将所述待处理用户的属性信息更改为标记属性信息。
较佳地,所述收发模块还用于:
接收所述第一网络设备发送的恢复指令;所述恢复指令是所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下发送的;
所述处理模块还用于:
根据所述恢复指令对所述待处理用户进行下线处理,并在所述收发模块接收到所述待处理用户发送的连接请求后,将所述待处理用户的属性信息确定为非标记属性信息。
较佳地,所述收发模块还用于:
接收所述第一网络设备发送的下线指令;所述下线指令是所述第一网络设备在确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下发送的,或者,所述下线指令是所述第一网络设备在确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下发送的;
所述处理模块还用于:
根据所述下线指令对所述待处理用户进行下线处理。
较佳地,所述接入参数消息中还包括所述第一网络设备为所述待处理用户配置的安全处置策略;
所述处理模块还用于:
通过建立的连接为所述待处理用户进行数据传输,并根据所述安全处置策略对所述待处理用户的数据进行控制。
本发明提供的一种数据传输系统,包括:第一网络设备、第二网络设备、第三网络设备以及集中处置平台;
所述第一网络设备用于接收所述第二网络设备发送的待处理用户的认证请求消息;在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息;
所述第二网络设备用于向所述第一网络设备发送待处理用户的认证请求消息,接收所述第一网络设备发送的所述待处理用户的接入参数消息,以及根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接进行数据传输;
所述第三网络设备用于与所述第二网络设备建立连接,以及将所述待处理用户的流量发送给所述集中处置平台;
所述集中处置平台用于接收所述第三网络设备发送的所述待处理用户的流量,并对所述所述待处理用户的流量进行处理。
本发明的上述实施例中,第一网络设备接收第二网络设备发送的待处理用户的认证请求消息;所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;本发明实施例中,待处理用户的属性信息可以是由第一网络设备确定的,也可以是第一网络设备根据认证请求消息中包括的待处理用户的属性信息得到的。本发明实施例中,第一网络设备在确定待处理用户的属性信息为标记属性信息的情况下,将待处理用户确定为黑名单用户,从而通过向第二网络设备发送接入参数消息,以使待处理用户的数据通过第二网络设备和第三网络设备建立的连接进行传输,实现了第二网络设备对该待处理用户实施流量隔离和流量牵引,有效降低城域网核心设备压力,将网络攻击的影响程度降到最低,提高网络正常运行的安全性。而且,通过第二网络设备和第三网络设备建立的连接进行数据传输能够精确牵引城域网中黑名单用户发起攻击的数据流量,便于集中处理,无需大面积部署流量处理设备。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1是背景技术中DDOS型botnet拓扑图;
图2为本发明实施例一提供的一种数据传输方法示意图;
图3为本发明实施例二提供的一种数据传输方法示意图;
图4为本发明实施例三提供的一种数据传输方法示意图;
图5为本发明实施例四提供的一种数据传输方法示意图;
图6为本发明实施例五提供的一种网络设备的结构示意图;
图7为本发明实施例六提供的一种数据传输方法示意图;
图8为本发明实施例七提供的一种网络设备的结构示意图;
图9为本发明实施例八提供的一种网络设备的结构示意图;
图10为本发明实施例九提供的一种数据传输系统架构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供的数据传输方法至少涉及到第一网络设备、第二网络设备以及第三网络设备之间的信息交互,下面分别从第一网络设备、第二网络设备的角度对本发明实施例进行介绍。
如图2所示,为本发明实施例一提供的一种数据传输方法示意图,该方法基于第一网络设备的角度,具体包括:
步骤201,第一网络设备接收第二网络设备发送的待处理用户的认证请求消息;
步骤202,所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
本发明实施例中,黑名单用户是指被恶意软件感染的用户,例如bot用户;白名单用户是指被恶意软件感染后,通过一些处理措施,进而排除了恶意软件的控制的用户。
本发明实施例中,所述待处理用户的属性信息可以是由所述第一网络设备确定的,也可以是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
(一)下面针对待处理用户的属性信息是由所述第一网络设备确定的情形进行介绍。
具体地,第一网络设备可以通过以下三种方式中的任一种确定待处理用户的属性信息:
方式一:
第一网络设备接收到第二网络设备发送的待处理用户的认证请求消息后,根据认证请求消息中的标识信息,确定未存储与该标识信息关联的属性信息的情况下,直接将待处理用户的初始属性信息确定为待处理用户的属性信息。其中,待处理用户的初始属性信息为非标记属性信息。
方式二:
第一网络设备接收到第二网络设备发送的待处理用户的认证请求消息后,根据认证请求消息中的标识信息,确定存储有与该标识信息关联的标记属性信息的情况下,将待处理用户的属性信息更改为标记属性信息。其中,该标记属性信息是第一网络设备确定所述待处理用户的标识信息与获取到的黑名单用户的标识信息相同的情况下,为待处理用户配置的标记属性信息。
方式三:
第一网络设备接收到第二网络设备发送的待处理用户的认证请求消息后,根据认证请求消息中的标识信息,确定该标识信息与白名单用户的标识信息相同的情况下,确定待处理用户的属性信息为非标记属性信息。该非标记属性信息可以为待处理用户的初始属性信息。
本发明实施例中,在步骤201之前,第一网络设备先获取黑名单用户的标识信息,并查询经过所述第一网络设备初始认证的用户的标识信息,若确定存在与黑名单用户的标识信息相同的用户(此时该标识信息相同的用户即为黑名单用户,也即为待处理用户),则向第二网络设备发送下线指令,第二网络设备接收到下线指令后,对黑名单用户进行下线处理;黑名单用户下线后,再次向第二网络设备发起连接请求。在步骤201中,第二网络设备接收到连接请求后,向第一网络设备发送黑名单用户的认证请求消息,第一网络设备将黑名单用户的属性信息确定为标记属性信息,并将该标记属性信息与黑名单用户的标识信息关联存储。
本发明实施例中,经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户。
在步骤202中,第一网络设备向第二网络设备发送所述黑名单用户的接入参数消息,进而使得黑名单用户的数据通过第二网络设备与第三网络设备之间建立的连接进行传输,并通过第三网络设备将黑名单用户的数据转发给集中处置平台进行处理。
经过集中处置平台的处理以及所采取的一些其它措施的处理为该黑名单用户排除恶意软件的控制之后,第一网络设备获取到这些已排除恶意软件的控制的标识信息,即为白名单用户的标识信息,并在确定待处理用户的标识信息与白名单用户的标识信息相同的情况下,向第二网络设备发送下线指令,第二网络设备接收到下线指令后,对白名单用户进行下线处理;白名单用户下线后,再次向第二网络设备发起连接请求。第二网络设备接收到连接请求后,向第一网络设备发送白名单用户的认证请求消息,第一网络设备将白名单用户的属性信息确定为非标记属性信息;该非标记属性信息可以为待处理用户的初始属性信息。
(二)下面针对待处理用户的属性信息是第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的情形进行具体介绍。
具体地,第一网络设备接收的第二网络设备发送的待处理用户的认证请求消息中包括由第二网络设备确定的待处理用户的属性信息。
本发明实施例中,在步骤201之前,第一网络设备获取被攻击用户的标识信息,并查询经过所述第一网络设备初始认证的用户的标识信息,若确定存在与被攻击用户的标识信息相同的用户(此时该标识信息相同的用户即为黑名单用户,也即为待处理用户),则向第二网络设备发送更改指令,更改指令中包括下线消息和第一网络设备为黑名单用户配置的标记属性信息,第二网络设备接收到更改指令后,根据更改指令中的下线消息对黑名单用户进行下线处理,并将黑名单用户的标识信息与更改指令中的标记属性信息关联存储。黑名单用户下线后,再次向第二网络设备发送连接请求,第二网络设备接收到连接请求后,将黑名单用户的属性信息更改为与黑名单用户的标识信息关联存储的标记属性信息。
在步骤202中,第一网络设备向第二网络设备发送所述黑名单用户的接入参数消息,进而使得黑名单用户的数据通过第二网络设备与第三网络设备之间建立的连接进行传输,并通过第三网络设备将黑名单用户的数据转发给集中处置平台进行处理。
经过集中处置平台的处理以及所采取的一些其它措施的处理为该黑名单用户排除恶意软件的控制之后,第一网络设备获取到这些已排除恶意软件的控制的标识信息,即为白名单用户的标识信息,并向第二网络设备发送恢复指令,恢复指令中包括下线消息和将白名单用户的属性信息确定为非标记属性信息的消息。第二网络设备接收到恢复指令后,根据恢复指令中的下线消息对白名单用户进行下线处理,并存储白名单用户的标识信息。白名单用户下线后,再次向第二网络设备发送连接请求,第二网络设备接收到连接请求后,确定连接请求中的标识信息与之前存储的标识信息相同,则将白名单用户的属性信息确定为非标记属性信息。
本发明实施例中,第一网络设备在确定待处理用户的属性信息为标记属性信息的情况下,将待处理用户确定为黑名单用户,从而通过向第二网络设备发送接入参数消息,以使待处理用户的数据通过第二网络设备和第三网络设备建立的连接进行传输,实现了第二网络设备对该待处理用户实施流量隔离和流量牵引,有效降低城域网核心设备压力,将网络攻击的影响程度降到最低,提高网络正常运行的安全性。而且,通过第二网络设备和第三网络设备建立的连接进行数据传输能够精确牵引城域网中黑名单用户发起攻击的数据流量,便于集中处理,无需大面积部署流量处理设备。
相应地,如图3所示,为本发明实施例二提供的一种数据传输方法示意图,该方法基于第二网络设备的角度,具体包括:
步骤301,第二网络设备向第一网络设备发送待处理用户的认证请求消息;所述认证请求消息中包括所述待处理用户的属性信息;
步骤302,所述第二网络设备接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;
步骤303,所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
与上述实施例一相对应,所述待处理用户的属性信息可以是由所述第一网络设备确定的,也可以是由第二网络设备确定的。
(一)下面针对待处理用户的属性信息是由所述第二网络设备确定的情形进行介绍。
本发明实施例中,第二网络设备在接收到待处理用户的连接请求,可以通过以下三种方式确定出待处理用户的属性信息,并向第一网络设备发送认证请求消息,该认证请求消息中包括由第二网络设备确定的待处理用户的属性信息。
方式一:
第二网络设备根据待处理用户的连接请求中的标识信息,确定未存储与该标识信息关联的属性信息的情况下,直接将待处理用户的初始属性信息确定为待处理用户的属性信息。其中,待处理用户的初始属性信息为非标记属性信息。
方式二:
第二网络设备根据待处理用户的连接请求中的标识信息,确定存储有与该标识信息关联的标记属性信息的情况下,将待处理用户的属性信息更改为标记属性信息。其中,该标记属性信息是第二网络设备根据接收到的第一网络设备发送的更改指令而得到的。
方式三:
第二网络设备根据待处理用户的连接请求中的标识信息,确定之前接收到的恢复指令中包括将待处理用户的属性信息确定为非标记属性信息的消息的情况下,将待处理用户的属性信息确定为非标记属性信息。该非标记属性信息可以为待处理用户的初始属性信息。
本发明实施例中,在步骤301之前,第二网络设备接收第一网络设备发送的更改指令,更改指令中包括下线消息和第一网络设备为黑名单用户配置的标记属性信息,第二网络设备接收到更改指令后,根据更改指令中的下线消息对黑名单用户进行下线处理,并将黑名单用户的标识信息与更改指令中的标记属性信息关联存储。黑名单用户下线后,再次向第二网络设备发送连接请求,第二网络设备接收到连接请求后,将黑名单用户的属性信息更改为与黑名单用户的标识信息关联存储的标记属性信息,并向第一网络设备发送包括该标记属性信息的认证请求消息。
本发明实施例中,在步骤303之后,第二网络设备接收所述第一网络设备发送的恢复指令,恢复指令中包括下线消息和将白名单用户的属性信息确定为非标记属性信息的消息。第二网络设备接收到恢复指令后,根据恢复指令中的下线消息对白名单用户进行下线处理,并存储白名单用户的标识信息。白名单用户下线后,再次向第二网络设备发送连接请求,第二网络设备接收到连接请求后,确定连接请求中的标识信息与之前存储的标识信息相同,则将白名单用户的属性信息确定为非标记属性信息,并向第一网络设备发送包括该非标记属性信息的认证请求消息。
(二)下面针对待处理用户的属性信息是由所述第一网络设备确定的情形进行介绍。
第一网络设备在确定所述黑名单用户的标识信息与经过第一网络设备初始认证的用户的标识信息相同的情况下,向第二网络设备发送下线指令。第二网络设备根据下线指令对黑名单用户进行下线处理,黑名单用户下线后,向第二网络设备发送连接请求,第二网络设备根据所述连接请求向第一网络设备发送黑名单用户的认证请求消息,第一网络设备在接收到认证请求消息后,确定黑名单用户的属性消息为标记属性信息。
第一网络设备在确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向第二网络设备发送下线指令。第二网络设备根据下线指令对白名单用户进行下线处理,白名单用户下线后,向第二网络设备发送连接请求,第二网络设备根据所述连接请求向第一网络设备发送白名单用户的认证请求消息,第一网络设备在接收到认证请求消息后,确定白名单用户的属性消息为非标记属性信息。
较佳地,本发明实施例中,接入参数消息中还可以包括第一网络设备为待处理用户配置的安全处置策略,例如对带宽应急限速、指令特殊DNS(Domain Name System,域名系统)等。第二网络设备通过建立的连接为所述待处理用户进行数据传输,并根据上述安全处置策略对所述待处理用户的数据进行控制,实现了对bot用户实施限速管控,有效降低城域网核心设备压力,将网络攻击的影响程度降到最低。
本发明实施例中,第二网络设备通过接收第一网络设备发送待处理用户的接入参数消息,并根据接入参数消息与第三网络设备建立连接,使得待处理用户的数据通过第二网络设备和第三网络设备建立的连接进行传输,实现了第二网络设备对该待处理用户实施流量隔离和流量牵引,有效降低城域网核心设备压力,将网络攻击的影响程度降到最低,提高网络正常运行的安全性。而且,通过第二网络设备和第三网络设备建立的连接进行数据传输能够精确牵引城域网中bot用户发起攻击的数据流量,便于集中处理,无需大面积部署流量处理设备。
本发明实施例中所涉及的第一网络设备可以为RADIUS(Remote AuthenticationDial In User Service,远程验证拨入用户服务),第二网络设备可以为BRAS(BroadbandRemote Access Server,宽带远程接入服务器),第三网络设备可以为LNS(L2TP NetworkServer,L2TP网络服务器)。
优选地,本发明实施例中还可以包括监测系统,监测系统用于对用户的状态(包括用户被恶意软件感染后,成为bot用户并发起网络攻击的状态以及bot用户排除恶意软件控制的状态)进行监测,并将监测消息通过webservice接口发送给RADIUS。其中,监测系统可以实时向RADIUS发送监测信息,也可以按照设定的周期向RADIUS发送监测信息,或者,在某些条件的触发下,向RADIUS发送监测信息,某些条件可以为人工设置的触发条件,也可以为其它触发条件,本发明实施例对此不做限制。优选地,为进一步提高对攻击行为处理的及时性,本发明实施例中监测系统实时向RADIUS发送监测信息。
本发明实施例中,监测消息中可以包括黑名单用户的标识信息,也可以包括白名单用户的标识信息。当RADIUS接收到黑名单用户的标识信息后,则执行对黑名单用户进行处理的流程;当RADIUS接收到白名单用户的标识信息后,则执行对白名单用户进行处理的流程。
以用户a为例,当用户a被恶意软件感染后,监测系统监测到用户a被恶意软件感染,成为bot用户并发起网络攻击的状态,则将用户a标记为黑名单用户,并用户a的标识信息发送给RADIUS,RADIUS接收到用户a的标识信息,并执行对黑名单用户进行处理的流程后,使得黑名单用户a发起的网络攻击数据通过BRAS与LNS之间建立的隧道进行传输,以便于对t用户a的攻击流量做进一步的处理。在用户a的数据经过处理,并使得用户a排除恶意软件的控制后,监测系统将用户a标记为白名单用户,并将用户a的标识信息发送给RADIUS,RADIUS接收到用户a已排除恶意软件的控制的消息后,执行对白名单用户进行处理的流程,使得用户a的数据由之前的通过BRAS与LNS之间建立的隧道进行传输恢复为不再通过BRAS与LNS之间建立的隧道进行数据传输。
本发明实施例中的待处理用户可以为各个接入网络的用户中的一个。RADIUS接收到黑名单用户的标识信息之前,待处理用户首先发送正常的连接请求(通常为PPPoE请求)给BRAS,BRAS根据该正常的连接请求向RADIUS发送认证请求消息,此时,该认证请求消息中包括的待处理用户的属性信息为初始属性信息,RADIUS根据BRAS发送的认证请求消息将待处理用户接入网络。待处理用户接入网络之后,有可能会被恶意软件感染,成为bot用户而发起网络攻击。本发明实施例正是基于用户接入网络后,被恶意软件感染成为bot用户而发起网络攻击的情形以及排除恶意软件的控制的情形所做出的改进。
下面分别针对RADIUS接收到黑名单用户的标识信息的情形下数据传输方法的实现过程,以及RADIUS接收到白名单用户的标识信息的情形下数据传输方法的实现过程进行具体介绍。
(一)针对RADIUS接收到黑名单用户的标识信息的情形下,数据传输方法的一种实现过程
如图4所示,为本发明实施例三提供的一种数据传输方法示意图,该方法包括:
步骤401,RADIUS获取黑名单用户的标识信息。
可选地,黑名单用户的标识信息可以为黑名单用户的用户名(即账号),也可以为其它用于唯一识别黑名单用户的信息。
步骤402,RADIUS确定所述待处理用户的标识信息与所述黑名单用户的标识信息相同的情况下,为该待处理用户配置标记属性信息,并向BRAS发送下线指令。
本步骤中,RADIUS获取到黑名单用户的标识信息后,查询各个在线用户,若确定待处理用户的标识信息与所述黑名单用户的标识信息相同,则说明该待处理用户为黑名单用户,此时,RADIUS为该待处理用户配置标记属性信息,将该标记属性信息与待处理用户的标识信息关联存储,并向BRAS发送下线指令,以指示BRAS执行下一步的流程。
本发明实施例中,下线指令中可以包括通知BRAS强制待处理用户下线的DM(Disconnect Message)消息。
本发明实施例中,用户的属性信息是指用户的认证属性信息,例如,可以为PPPoE(Point-to-Point Protocol over Ethernet,以太网上的点对点协议)认证属性信息,也可以是L2TP(Layer Two Tunneling Protocol,第二层隧道协议)认证属性信息。标记属性信息是根据具体情况设置的,例如,可以将PPPoE认证属性信息设置为标记属性信息,也可以将L2TP认证属性信息设置为标记属性信息。本发明实施例中,针对城域网内PPPoE用户,将L2TP认证属性信息设置为标记属性信息。本步骤中,RADIUS为该待处理用户配置的标记属性信息即是指RADIUS为该待处理用户配置的L2TP认证属性信息。
步骤403,BRAS接收到RADIUS发送的下线指令后,根据下线指令中的DM消息将待处理用户强制下线。
步骤404,待处理用户下线后,重新向BRAS发起连接请求,该连接请求为PPPoE拨号请求。
步骤405,BRAS接收到待处理用户发送的连接请求后,向RADIUS发送待处理用户的认证请求消息。
步骤406,RADIUS接收到BRAS发送的待处理用户的认证请求消息后,根据认证请求消息中的标识信息,确定存储有与该标识信息关联的标记属性信息的情况下,将待处理用户的属性信息更改为标记属性信息,并向BRAS发送待处理用户的接入参数消息。
本步骤中,接入参数消息中通过私有属性携带后缀域名信息、隧道参数。其中,后缀域名信息的格式形如“拨号帐号@后缀域名”,后缀域名即为域后缀,一种后缀域名对应一类用户的属性及其上网策略。
接入参数消息中还可以包括RADIUS为该待处理用户配置的标记属性信息,例如对带宽应急限速、指令特殊DNS(Domain Name System,域名系统)等。本发明实施例中,RADIUS在确定待处理用户为被攻击用户的情况下,将安全处置策略发送给BRAS,使得在网络接入边缘层BRAS对被攻击用户实施限速管控,有效降低了城域网核心设备压力,将网络攻击的影响程度降到最低。
步骤407,BRAS接收到所述接入参数消息后,向待处理用户返回PPPoE响应。
步骤408,BRAS根据所述接入参数消息中后缀域名对应的L2TP认证属性信息或者隧道参数,自身作为LAC(L2TP Access Concentrator,L2TP访问集中器)向LNS发送L2TP认证请求。
步骤409,LNS接收到BRAS发送的L2TP认证请求后,验证接入参数消息中的隧道参数是否正确,并在验证正确的情况下,向BRAS返回正常建立隧道的响应包;BRAS收到LNS发送的响应包后,完成L2TP隧道的建立,进而实现待处理用户的数据流通过隧道传输。
步骤410,LNS将待处理用户的数据流量转发给集中处置平台进行处理。
本发明实施例中,通过上述过程,在待处理用户与BRAS之间建立PPPoE连接,在BRAS与LNS之间建立隧道连接,从而使得待处理用户的数据通过隧道进行传输,进而能够在待处理用户成为黑名单用户(bot用户)而发起网络攻击的的情况下,将其攻击数据流量进行隔离和牵引,便于对攻击数据流量进一步的处理。
为了实现对黑名单用户的攻击数据流量的处理,本发明实施例还可以包括集中处置平台,通过第三网络设备将黑名单用户的攻击数据流量转发至集中处置平台,以使集中处置平台对黑名单用户的攻击数据流量进行清洗和分析。进一步地,该集中处置平台还可以对黑名单用户进行安全预警告知的页面推送,提醒用户提高防范意识。
(二)针对RADIUS接收到黑名单用户的标识信息的情形下,数据传输方法的另一种实现过程
如图5所示,为本发明实施例四提供的一种数据传输方法示意图,该方法包括:
步骤501,RADIUS获取黑名单用户的标识信息。
步骤502,RADIUS确定所述待处理用户的标识信息与所述黑名单用户的标识信息相同的情况下,并向BRAS发送更改指令。
本步骤中,RADIUS获取到黑名单用户的标识信息后,查询各个在线用户,若确定待处理用户的标识信息与所述黑名单用户的标识信息相同,则说明该待处理用户为黑名单用户,此时,RADIUS可向BRAS发送更改指令,以指示BRAS执行下一步的流程。
本发明实施例中,更改指令中可以包括通知BRAS强制待处理用户下线的DM(Disconnect Message)消息,还可以包括RADIUS为该待处理用户配置的标记属性信息。
步骤503,BRAS接收到RADIUS发送的更改指令后,根据更改指令中的DM消息将待处理用户强制下线,并保存更改指令中的标记属性信息,以便于在接收到待处理用户下线后发送的连接请求后,将待处理用户的属性更改为更改指令中的标记属性信息。可选地,BRAS可将待处理用户的标识信息与更改指令中的标记属性信息关联保存。
步骤504,待处理用户下线后,重新向BRAS发起连接请求,该连接请求为PPPoE拨号请求。
步骤505,BRAS接收到待处理用户发送的连接请求后,确定该连接请求中待处理用户的标识信息与之前保存的标记属性信息所关联的标识信息相同的情况下,将待处理用户的属性信息更改为标记属性信息,即BRAS将待处理用户的PPPoE认证属性信息更改为L2TP认证属性信息,然后,向RADIUS发送认证请求消息;该认证请求消息中包括BRAS为待处理用户更改后的标记属性信息。
步骤506,RADIUS接收到BRAS发送的待处理用户的认证请求消息后,确定待处理用户的属性信息为标记属性信息,则向BRAS发送待处理用户的接入参数消息。
本步骤中,接入参数消息中通过私有属性携带后缀域名信息、隧道参数。其中,后缀域名信息的格式形如“拨号帐号@后缀域名”,后缀域名即为域后缀,一种后缀域名对应一类用户的属性及其上网策略。
接入参数消息中还可以包括RADIUS为该待处理用户配置的标记属性信息,例如对带宽应急限速、指令特殊DNS(Domain Name System,域名系统)等。本发明实施例中,RADIUS在确定待处理用户为被攻击用户的情况下,将安全处置策略发送给BRAS,使得在网络接入边缘层BRAS对被攻击用户实施限速管控,有效降低了城域网核心设备压力,将网络攻击的影响程度降到最低。
步骤507,BRAS接收到所述接入参数消息后,向待处理用户返回PPPoE响应。
步骤508,BRAS根据所述接入参数消息中后缀域名对应的L2TP认证属性信息或者隧道参数,自身作为LAC(L2TP Access Concentrator,L2TP访问集中器)向LNS发送L2TP认证请求。
步骤509,LNS接收到BRAS发送的L2TP认证请求后,验证接入参数消息中的隧道参数是否正确,并在验证正确的情况下,向BRAS返回正常建立隧道的响应包;BRAS收到LNS发送的响应包后,完成L2TP隧道的建立,进而实现待处理用户的数据流通过隧道传输。
步骤510,LNS将待处理用户的数据流量转发给集中处置平台进行处理。
本发明实施例中,通过上述过程,在待处理用户与BRAS之间建立PPPoE连接,在BRAS与LNS之间建立隧道连接,从而使得待处理用户的数据通过隧道进行传输,进而能够在待处理用户成为黑名单用户(bot用户)而发起网络攻击的的情况下,将其攻击数据流量进行隔离,便于对攻击数据流量进一步的处理。
另一方面,上述过程中,通过BRAS来确定待处理用户的属性信息为标记属性信息或非标记属性信息,使得RADIUS只需对待处理用户的属性信息进行判断,进一步节约了RADIUS的资源,降低了RADIUS的处理负担。
(三)针对RADIUS接收到白名单用户的标识信息的情形下数据传输方法的一种实现过程
如图6所示,为本发明实施例五提供的一种数据传输方法示意图,该方法包括:
步骤601,RADIUS获取白名单用户的标识信息。
可选地,白名单用户的标识信息可以为白名单用户的用户名(即账号),也可以为其它用于唯一识别白名单用户的信息。
步骤602,RADIUS确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向BRAS发送下线指令。
本步骤中,RADIUS获取到白名单用户的标识信息后,查询各个在线用户,若确定待处理用户的标识信息与所述白名单用户的标识信息相同,则说明该待处理用户为白名单用户,此时,RADIUS可向BRAS发送下线指令,以指示BRAS执行下一步的流程。
本发明实施例中,下线指令中可以包括通知BRAS强制待处理用户下线的DM(Disconnect Message)消息。
步骤603,BRAS接收到RADIUS发送的下线指令后,根据下线指令中的DM消息将待处理用户强制下线。
步骤604,待处理用户下线后,重新向BRAS发起连接请求,该连接请求为PPPoE拨号请求。
步骤605,BRAS接收到待处理用户发送的连接请求后,向RADIUS发送认证请求消息。
步骤606,RADIUS接收到BRAS发送的待处理用户的认证请求消息后,根据认证请求消息中的标识信息,确定该标识信息与白名单用户的标识信息相同的情况下,确定待处理用户的属性信息为非标记属性信息。该非标记属性信息可以为待处理用户的初始属性信息。RADIUS将对待处理用户进行认证的认证结果发送给BRAS。
步骤607,BRAS接收到认证结果后,在确定认证结果为认证通过的情况下,向待处理用户发送PPPoE响应报文,建立PPPoE连接。
本发明实施例中,通过上述过程,在黑名单用户排除恶意软件的控制,成为白名单用户后,能够及时将该用户由之前的通过BRAS与LNS之间建立的隧道进行数据传输恢复为不再通过BRAS与LNS之间建立的隧道进行数据传输,便于仅对黑名单用户发起的攻击流量进行隔离和牵引,降低集中处置平台的处理负担。
待处理用户与BRAS之间建立PPPoE连接,在BRAS与LNS之间建立隧道连接,从而使得待处理用户的数据通过隧道进行传输,进而能够在待处理用户成为黑名单用户(bot用户)而发起网络攻击的的情况下,将其攻击数据流量进行隔离,便于对攻击数据流量进一步的处理。
(四)针对RADIUS接收到白名单用户的标识信息的情形下数据传输方法的另一种实现过程
如图7所示,为本发明实施例六提供的一种数据传输方法示意图,该方法包括:
步骤701,RADIUS获取白名单用户的标识信息。
步骤702,RADIUS确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向BRAS发送恢复指令。
本步骤中,RADIUS获取到白名单用户的标识信息后,查询各个在线用户,若确定待处理用户的标识信息与所述白名单用户的标识信息相同,则说明该待处理用户为白名单用户,此时,RADIUS可向BRAS发送恢复指令,以指示BRAS执行下一步的流程。
本发明实施例中,恢复指令中可以包括通知BRAS强制待处理用户下线的DM(Disconnect Message)消息,还可以包括将待处理用户的属性信息确定为非标记属性信息(即PPPoE认证属性信息)的消息。
步骤703,BRAS接收到RADIUS发送的恢复指令后,根据恢复指令中的DM消息将待处理用户强制下线。
步骤704,待处理用户下线后,重新向BRAS发起连接请求,该连接请求为PPPoE拨号请求。
步骤705,BRAS接收到待处理用户发送的连接请求后,根据之前接收到的恢复指令,将待处理用户的属性信息确定为非标记属性信息(即PPPoE认证属性信息)的消息,并向RADIUS发送认证请求消息;该认证请求消息中包括BRAS为待处理用户确定的PPPoE认证属性信息。
步骤706,RADIUS接收到BRAS发送的待处理用户的认证请求消息后,确定待处理用户的属性信息为PPPoE认证属性信息,即非标记属性信息,则对待处理用户进行认证,并将认证结果发送给BRAS。
步骤707,BRAS接收到认证结果后,在确定认证结果为认证通过的情况下,向待处理用户发送PPPoE响应报文,建立PPPoE连接。
本发明实施例中,通过上述过程,在黑名单用户排除恶意软件的控制,成为白名单用户后,能够及时将该用户由之前的通过BRAS与LNS之间建立的隧道进行数据传输恢复为不再通过BRAS与LNS之间建立的隧道进行数据传输,便于仅对黑名单用户发起的攻击流量进行隔离和牵引,降低集中处置平台的处理负担。
另一方面,上述过程中,通过BRAS来确定待处理用户的属性信息为标记属性信息或非标记属性信息,使得RADIUS只需对待处理用户的属性信息进行判断,进一步节约了RADIUS的资源,降低了RADIUS的处理负担。
本发明的上述实施例中,第一网络设备接收第二网络设备发送的待处理用户的认证请求消息;所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;本发明实施例中,待处理用户的属性信息可以是由第一网络设备确定的,也可以是第一网络设备根据认证请求消息中包括的待处理用户的属性信息得到的。本发明实施例中,第一网络设备在确定待处理用户的属性信息为标记属性信息的情况下,将待处理用户确定为黑名单用户,从而通过向第二网络设备发送接入参数消息,以使待处理用户的数据通过第二网络设备和第三网络设备建立的连接进行传输,实现了第二网络设备对该待处理用户实施流量隔离和流量牵引,有效降低城域网核心设备压力,将网络攻击的影响程度降到最低,提高网络正常运行的安全性。而且,通过第二网络设备和第三网络设备建立的连接进行数据传输能够精确牵引城域网中黑名单用户发起攻击的数据流量,便于集中处理,无需大面积部署流量处理设备。
针对上述方法流程,本发明实施例还提供一种网络设备,该网络设备的具体内容可以参照上述方法实施,在此不再赘述。
图8为本发明实施例七提供的一种网络设备的结构示意图,该网络设备包括:
收发模块801,用于接收第二网络设备发送的待处理用户的认证请求消息;
处理模块802,用于在确定所述待处理用户的属性信息为标记属性信息的情况下,通过所述收发模块801向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述待处理用户的属性信息是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
较佳地,所述处理模块802还用于:
确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
根据获取到的黑名单用户的标识信息确定所述待处理用户的属性信息为标记属性信息;或,
根据获取到的白名单用户的标识信息确定所述待处理用户的属性信息为非标记属性信息。
较佳地,所述处理模块802还用于:
获取黑名单用户的标识信息;
确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对标识信息相同的用户进行下线处理;其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;并在所述收发模块接收到所述第二网络设备发送的待处理用户的认证请求消息之后,将所述待处理用户的属性信息确定为标记属性信息。
较佳地,所述处理模块802还用于:
获取黑名单用户的标识信息;
确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送更改指令,以使所述第二网络设备将标识信息相同的用户的属性信息更改为标记属性信息;其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户。
较佳地,所述处理模块802还用于:
获取白名单用户的标识信息;
确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对所述待处理用户进行下线处理;并在所述收发模块接收到所述第二网络设备发送的待处理用户的认证请求消息之后,将所述待处理用户的属性信息确定为非标记属性信息。
较佳地,所述处理模块802还用于:
获取白名单用户的标识信息;
确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,通过所述收发模块801向所述第二网络设备发送恢复指令,以使所述第二网络设备根据所述恢复指令将所述待处理用户的属性信息确定为非标记属性信息。
针对上述方法流程,本发明实施例还提供另一种网络设备,该网络设备的具体内容可以参照上述方法实施,在此不再赘述。
图9为本发明实施例八提供的一种网络设备的结构示意图,该网络设备包括:
收发模块901,用于向第一网络设备发送待处理用户的认证请求消息;所述认证请求消息中包括所述待处理用户的属性信息;以及接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述认证请求消息中包括由所述第二网络设备确定的所述待处理用户的属性信息;
处理模块902,用于根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
较佳地,所述收发模块901还用于:
接收所述待处理用户的连接请求;
所述处理模块902还用于根据以下方式确定所述待处理用户的属性信息:
确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
确定根据所述第一网络设备发送的更改指令确定所述待处理用户的属性信息为标记属性信息;或,
确定根据所述第一网络设备发送的恢复指令确定所述待处理用户的属性信息为非标记属性信息。
较佳地,所述收发模块901还用于:
接收所述第一网络设备发送的更改指令;所述更改指令是所述第一网络设备确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送的;其中,标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;
所述处理模块902还用于:
根据所述更改指令对所述待处理用户进行下线处理,并在所述收发模块901接收到所述待处理用户发送的连接请求后,将所述待处理用户的属性信息更改为标记属性信息。
较佳地,所述收发模块901还用于:
接收所述第一网络设备发送的恢复指令;所述恢复指令是所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下发送的;
所述处理模块902还用于:
根据所述恢复指令对所述待处理用户进行下线处理,并在所述收发模块901接收到所述待处理用户发送的连接请求后,将所述待处理用户的属性信息确定为非标记属性信息。
较佳地,所述接入参数消息中还包括所述第一网络设备为所述待处理用户配置的安全处置策略;
所述处理模块902还用于:
通过建立的连接为所述待处理用户进行数据传输,并根据所述安全处置策略对所述待处理用户的数据进行控制。
图10为本发明实施例九提供的一种数据传输系统架构示意图,包括:第一网络设备1001、第二网络设备1002、第三网络设备1003以及集中处置平台1004;
所述第一网络设备1001用于接收所述第二网络设备1002发送的待处理用户的认证请求消息;在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备1002发送所述待处理用户的接入参数消息;
所述第二网络设备1002用于向所述第一网络设备1001发送待处理用户的认证请求消息,接收所述第一网络设备1001发送的所述待处理用户的接入参数消息,以及根据所述接入参数消息与第三网络设备1003建立连接,并通过建立的连接进行数据传输;
所述第三网络设备1003用于与所述第二网络设备1002建立连接,以及将所述待处理用户的流量发送给所述集中处置平台1004;
所述集中处置平台1004用于接收所述第三网络设备1003发送的所述待处理用户的流量,并对所述所述待处理用户的流量进行处理。
从上述内容可以看出:本发明实施例中,第一网络设备接收第二网络设备发送的待处理用户的认证请求消息;所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;本发明实施例中,待处理用户的属性信息可以是由第一网络设备确定的,也可以是第一网络设备根据认证请求消息中包括的待处理用户的属性信息得到的。本发明实施例中,第一网络设备在确定待处理用户的属性信息为标记属性信息的情况下,将待处理用户确定为黑名单用户,从而通过向第二网络设备发送接入参数消息,以使待处理用户的数据通过第二网络设备和第三网络设备建立的连接进行传输,实现了第二网络设备对该待处理用户实施流量隔离和流量牵引,有效降低城域网核心设备压力,将网络攻击的影响程度降到最低,提高网络正常运行的安全性。而且,通过第二网络设备和第三网络设备建立的连接进行数据传输能够精确牵引城域网中黑名单用户发起攻击的数据流量,便于集中处理,无需大面积部署流量处理设备。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (20)
1.一种数据传输方法,其特征在于,包括:
第一网络设备获取黑名单用户的标识信息;所述第一网络设备确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对标识信息相同的用户进行下线处理;所述第一网络设备接收所述第二网络设备发送的待处理用户的认证请求消息;所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;
其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述待处理用户的属性信息是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
2.一种数据传输方法,其特征在于,包括:
第一网络设备获取黑名单用户的标识信息;所述第一网络设备确定所述黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向第二网络设备发送更改指令,以使所述第二网络设备将标识信息相同的用户的属性信息更改为标记属性信息;所述第一网络设备接收所述第二网络设备发送的待处理用户的认证请求消息;所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;
其中,所述标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述待处理用户的属性信息是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
3.如权利要求1或2所述的方法,其特征在于,所述待处理用户的属性信息是由所述第一网络设备确定的,包括:
所述第一网络设备确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
所述第一网络设备根据获取到的所述黑名单用户的标识信息确定所述待处理用户的属性信息为标记属性信息;或,
所述第一网络设备根据获取到的白名单用户的标识信息确定所述待处理用户的属性信息为非标记属性信息。
4.如权利要求1或2所述的方法,其特征在于,所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接进行所述待处理用户的数据传输之后,还包括:
所述第一网络设备获取白名单用户的标识信息;
所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对所述待处理用户进行下线处理;
所述第一网络设备接收所述第二网络设备发送的待处理用户的认证请求消息之后,还包括:
所述第一网络设备将所述待处理用户的属性信息确定为非标记属性信息。
5.如权利要求1或2所述的方法,其特征在于,所述第一网络设备在确定所述待处理用户的属性信息为标记属性信息的情况下,向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接进行所述待处理用户的数据传输之后,还包括:
所述第一网络设备获取白名单用户的标识信息;
所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向所述第二网络设备发送恢复指令,以使所述第二网络设备根据所述恢复指令将所述待处理用户的属性信息确定为非标记属性信息。
6.一种数据传输方法,其特征在于,包括:
第二网络设备接收第一网络设备发送的更改指令;所述更改指令是所述第一网络设备确定黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向所述第二网络设备发送的;所述第二网络设备根据所述更改指令对待处理用户进行下线处理;所述第二网络设备接收所述待处理用户发送的连接请求,并将所述待处理用户的属性信息更改为标记属性信息;所述第二网络设备向所述第一网络设备发送所述待处理用户的认证请求消息;所述第二网络设备接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;
其中,标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述认证请求消息中包括由所述第二网络设备确定的所述待处理用户的属性信息;所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
7.一种数据传输方法,其特征在于,包括:
第二网络设备接收第一网络设备发送的下线指令;所述下线指令是所述第一网络设备在确定黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下发送的,或者,所述下线指令是所述第一网络设备在确定待处理用户的标识信息与白名单用户的标识信息相同的情况下发送的;所述第二网络设备根据所述下线指令对所述待处理用户进行下线处理;
所述第二网络设备向所述第一网络设备发送所述待处理用户的认证请求消息;所述第二网络设备接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;
其中,标识信息相同的用户为所述待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述认证请求消息中包括由所述第二网络设备确定的所述待处理用户的属性信息;所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
8.如权利要求6或7所述的方法,其特征在于,所述第二网络设备向所述第一网络设备发送所述待处理用户的认证请求消息之前,还包括:
所述第二网络设备接收所述待处理用户的连接请求;
所述第二网络设备确定所述待处理用户的属性信息;所述待处理用户的属性信息是根据以下方式得到的:
所述第二网络设备确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
所述第二网络设备根据所述第一网络设备发送的所述更改指令确定所述待处理用户的属性信息为标记属性信息;或,
所述第二网络设备根据所述第一网络设备发送的恢复指令确定所述待处理用户的属性信息为非标记属性信息。
9.如权利要求6或7所述的方法,其特征在于,所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输之后,还包括:
所述第二网络设备接收所述第一网络设备发送的恢复指令;所述恢复指令是所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下发送的;
所述第二网络设备根据所述恢复指令对所述待处理用户进行下线处理;
所述第二网络设备接收所述待处理用户发送的连接请求,并将所述待处理用户的属性信息确定为非标记属性信息。
10.如权利要求6或7所述的方法,其特征在于,所述接入参数消息中还包括所述第一网络设备为所述待处理用户配置的安全处置策略;
所述第二网络设备通过建立的连接为所述待处理用户进行数据传输,包括:
所述第二网络设备通过建立的连接为所述待处理用户进行数据传输,并根据所述安全处置策略对所述待处理用户的数据进行控制。
11.一种网络设备,其特征在于,包括:
处理模块,用于获取黑名单用户的标识信息;确定所述黑名单用户的标识信息与经过第一网络设备初始认证的用户的标识信息相同的情况下,向第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对标识信息相同的用户进行下线处理;并在收发模块接收到所述第二网络设备发送的待处理用户的认证请求消息之后,将所述待处理用户的属性信息确定为标记属性信息;
其中,所述标识信息相同的用户为待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;
所述收发模块,用于接收所述第二网络设备发送的所述待处理用户的认证请求消息;
所述处理模块,还用于在确定所述待处理用户的属性信息为标记属性信息的情况下,通过所述收发模块向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;
所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述待处理用户的属性信息是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
12.一种网络设备,其特征在于,包括:
处理模块,用于获取所述黑名单用户的标识信息;确定所述黑名单用户的标识信息与经过第一网络设备初始认证的用户的标识信息相同的情况下,向第二网络设备发送更改指令,以使所述第二网络设备将标识信息相同的用户的属性信息更改为标记属性信息;
其中,所述标识信息相同的用户为待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户。
收发模块,用于接收所述第二网络设备发送的所述待处理用户的认证请求消息;
所述处理模块,还用于在确定所述待处理用户的属性信息为标记属性信息的情况下,通过所述收发模块向所述第二网络设备发送所述待处理用户的接入参数消息,以使所述第二网络设备根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输;
所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述待处理用户的属性信息是所述第一网络设备根据所述认证请求消息中包括的待处理用户的属性信息得到的。
13.如权利要求11或12所述的网络设备,其特征在于,所述处理模块还用于:
确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
根据获取到的所述黑名单用户的标识信息确定所述待处理用户的属性信息为标记属性信息;或,
根据获取到的白名单用户的标识信息确定所述待处理用户的属性信息为非标记属性信息。
14.如权利要求11或12所述的网络设备,其特征在于,所述处理模块还用于:
获取白名单用户的标识信息;
确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,向所述第二网络设备发送下线指令,以使所述第二网络设备根据所述下线指令对所述待处理用户进行下线处理;并在所述收发模块接收到所述第二网络设备发送的待处理用户的认证请求消息之后,将所述待处理用户的属性信息确定为非标记属性信息。
15.如权利要求11或12所述的网络设备,其特征在于,所述处理模块还用于:
获取白名单用户的标识信息;
确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下,通过所述收发模块向所述第二网络设备发送恢复指令,以使所述第二网络设备根据所述恢复指令将所述待处理用户的属性信息确定为非标记属性信息。
16.一种网络设备,其特征在于,包括:
收发模块,用于接收第一网络设备发送的更改指令;所述更改指令是所述第一网络设备确定黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下,向第二网络设备发送的;
其中,标识信息相同的用户为待处理用户;所述经过所述第一网络设备初始认证的用户是指所述第一网络设备确定用户的属性信息为非标记属性信息的情况下接入网络的用户;
所述收发模块,还用于向所述第一网络设备发送所述待处理用户的认证请求消息;以及接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;
所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述认证请求消息中包括由所述第二网络设备确定的所述待处理用户的属性信息;
处理模块,用于根据所述更改指令对所述待处理用户进行下线处理,并在所述收发模块接收到所述待处理用户发送的连接请求后,将所述待处理用户的属性信息更改为标记属性信息;
所述处理模块还用于根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
17.一种网络设备,其特征在于,包括:
收发模块,用于接收第一网络设备发送的下线指令;所述下线指令是所述第一网络设备在确定黑名单用户的标识信息与经过所述第一网络设备初始认证的用户的标识信息相同的情况下发送的,或者,所述下线指令是所述第一网络设备在确定所处理用户的标识信息与白名单用户的标识信息相同的情况下发送的;
所述收发模块还用于向所述第一网络设备发送所述待处理用户的认证请求消息;以及接收所述第一网络设备发送的所述待处理用户的接入参数消息;所述待处理用户的接入参数消息是所述第一网络设备确定所述待处理用户的属性信息为标记属性信息的情况下发送的;
所述待处理用户的属性信息是由所述第一网络设备确定的;或者,所述认证请求消息中包括由所述第二网络设备确定的所述待处理用户的属性信息;
处理模块,用于根据所述下线指令对所述待处理用户进行下线处理:
所述处理模块还用于根据所述接入参数消息与第三网络设备建立连接,并通过建立的连接为所述待处理用户进行数据传输。
18.如权利要求16或17所述的网络设备,其特征在于,所述收发模块还用于:
接收所述待处理用户的连接请求;
所述处理模块还用于根据以下方式确定所述待处理用户的属性信息:
确定所述待处理用户的属性信息为初始属性信息,所述初始属性信息为非标记属性信息;或,
根据所述第一网络设备发送的所述更改指令确定所述待处理用户的属性信息为标记属性信息;或,
根据所述第一网络设备发送的恢复指令确定所述待处理用户的属性信息为非标记属性信息。
19.如权利要求16或17所述的网络设备,其特征在于,所述收发模块还用于:
接收所述第一网络设备发送的恢复指令;所述恢复指令是所述第一网络设备确定所述待处理用户的标识信息与所述白名单用户的标识信息相同的情况下发送的;
所述处理模块还用于:
根据所述恢复指令对所述待处理用户进行下线处理,并在所述收发模块接收到所述待处理用户发送的连接请求后,将所述待处理用户的属性信息确定为非标记属性信息。
20.如权利要求16或17所述的网络设备,其特征在于,所述接入参数消息中还包括所述第一网络设备为所述待处理用户配置的安全处置策略;
所述处理模块还用于:
通过建立的连接为所述待处理用户进行数据传输,并根据所述安全处置策略对所述待处理用户的数据进行控制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510532319.3A CN106487751B (zh) | 2015-08-26 | 2015-08-26 | 一种数据传输方法、相关装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510532319.3A CN106487751B (zh) | 2015-08-26 | 2015-08-26 | 一种数据传输方法、相关装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106487751A CN106487751A (zh) | 2017-03-08 |
CN106487751B true CN106487751B (zh) | 2019-12-03 |
Family
ID=58234541
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510532319.3A Active CN106487751B (zh) | 2015-08-26 | 2015-08-26 | 一种数据传输方法、相关装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106487751B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111049805B (zh) * | 2019-11-21 | 2022-02-25 | 中国联合网络通信集团有限公司 | 一种网络环境监测方法及装置 |
CN110855566B (zh) * | 2019-11-26 | 2021-10-29 | 杭州迪普科技股份有限公司 | 上行流量的牵引方法和装置 |
CN114978640A (zh) * | 2022-05-12 | 2022-08-30 | 恒安嘉新(北京)科技股份公司 | 一种异常上网流量的监控方法、设备、系统及存储介质 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101599904A (zh) * | 2009-06-26 | 2009-12-09 | 中国电信股份有限公司 | 一种虚拟拨号安全接入的方法和系统 |
CN101632282A (zh) * | 2007-03-09 | 2010-01-20 | 思科技术公司 | 经由aaa策略数据库将非准许移动接入(uma)用户列入黑名单 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE19960733A1 (de) * | 1999-12-16 | 2001-09-27 | Deutsche Telekom Mobil | Verfahren und Anordnung zur verbesserten Ausnutzung von technischen Ressourcen zwischen Telekommunikations- und IP-Netzen |
-
2015
- 2015-08-26 CN CN201510532319.3A patent/CN106487751B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101632282A (zh) * | 2007-03-09 | 2010-01-20 | 思科技术公司 | 经由aaa策略数据库将非准许移动接入(uma)用户列入黑名单 |
CN101599904A (zh) * | 2009-06-26 | 2009-12-09 | 中国电信股份有限公司 | 一种虚拟拨号安全接入的方法和系统 |
Non-Patent Citations (1)
Title |
---|
《Radius动态黑名单功能的实现》;朱惠龙;《电子技术》;20110625;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106487751A (zh) | 2017-03-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105262738B (zh) | 一种路由器及其防arp攻击的方法 | |
CN104753887B (zh) | 安全管控实现方法、系统及云桌面系统 | |
CN105915550B (zh) | 一种基于SDN的Portal/Radius认证方法 | |
CN104104516B (zh) | 一种Portal认证方法和设备 | |
CN103929422B (zh) | 基于sdn的可信域间安全认证协议 | |
CN106341372A (zh) | 终端的认证处理、认证方法及装置、系统 | |
CN106790034B (zh) | 一种物联网设备认证和安全接入的方法 | |
WO2010031288A1 (zh) | 一种僵尸网络的检测方法和系统 | |
CN107210916A (zh) | 条件登录推广 | |
CN105578463B (zh) | 一种双连接安全通讯的方法及装置 | |
CN104601566B (zh) | 认证方法以及装置 | |
CN110493195A (zh) | 一种网络准入控制方法及系统 | |
CN105071945B (zh) | 一种基于交换机技术的网络终端地址批量绑定方法 | |
CN106487751B (zh) | 一种数据传输方法、相关装置及系统 | |
CN113783871B (zh) | 一种采用零信任架构的微隔离防护系统及其防护方法 | |
CN106713057B (zh) | 用于进行隧道检测的方法、装置及系统 | |
CN110301125A (zh) | 虚拟机的逻辑端口认证 | |
CN110461024A (zh) | 智能设备与路由器自动连接的方法、路由器及智能设备 | |
CN101986598A (zh) | 认证方法、服务器及系统 | |
CN108990062A (zh) | 智能安全Wi-Fi管理方法和系统 | |
CN103957194B (zh) | 一种网络协议ip接入方法及接入设备 | |
CN106411852B (zh) | 一种分布式终端准入控制方法和装置 | |
CN115065495A (zh) | 蜜罐网络运行方法、装置、设备及存储介质 | |
CN100471167C (zh) | 无线接入宽带用户的管理方法及其装置 | |
Ping et al. | An incident response decision support system based on CBR and ontology |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |