CN109088809A - 报文处理方法、网络服务器和虚拟专用网络系统 - Google Patents
报文处理方法、网络服务器和虚拟专用网络系统 Download PDFInfo
- Publication number
- CN109088809A CN109088809A CN201810687454.9A CN201810687454A CN109088809A CN 109088809 A CN109088809 A CN 109088809A CN 201810687454 A CN201810687454 A CN 201810687454A CN 109088809 A CN109088809 A CN 109088809A
- Authority
- CN
- China
- Prior art keywords
- user
- network server
- mark
- holddown
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明实施例公开了一种报文处理方法、网络服务器及虚拟专用网络系统,涉及通信领域,能够解决现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。该方法包括:网络服务器接收接入设备发送的第一报文,第一报文包含第一用户的标识,第一用户的标识用于标记第一用户;网络服务器根据第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识;第一列表中包含第一用户的抑制状态标识时,网络服务器丢弃第一报文,第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
Description
技术领域
本申请涉及通信领域,尤其涉及一种报文处理方法、网络服务器、虚拟专用网络系统及计算机可读存储介质。
背景技术
VPDN(Virtual Private Dial up Networks,虚拟专用拨号网)是指利用公共网络的拨号功能接入专用网络而实现的虚拟专用网,能够使得企业远端用户通过公共网络接入企业内部网。
现有技术中,用户设备通过LAC(Layer 2 Tunneling Protocol AccessConcentrator,二层隧道协议访问集中器)与LNS(Layer 2 Tunneling Protocol NetworkServer,二层隧道协议网络服务器)建立会话,接入到虚拟专用网,如果某个用户反复上线,或者连续多次上线认证失败,则LAC将该用户确认为非法用户,并将该用户设置为抑制状态,对该用户的接入请求直接拒绝,抑制持续一定时间后,恢复对该用户的服务。但是LAC是当地ISP(Internet Service Provider,互联网服务提供商)的接入设备,不同服务提供商的LAC设备对于用户的抑制机制都不相同,而LNS服务器上能够建立的会话或隧道数量是一定的,如果有过多非法用户在LNS服务器上建立会话,就会使得合法用户无法上线,因此,虚拟专用网络系统无法有效地对非法用户进行抑制。
发明内容
本发明的实施例提供一种报文处理方法、网络服务器及虚拟专用网络系统,以解决虚拟专用网络系统无法对非法用户进行有效抑制的问题。
为达到上述目的,本发明的实施例采用如下技术方案:
第一方面,一种虚拟专用网络系统,包括网络服务器、接入设备及用户设备;
其中,所述用户设备,用于向所述接入设备发送第一报文,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户;
所述接入设备,用于接收所述用户设备发送的第一报文,根据所述第一用户的标识在已经存储的第二列表中查找所述第一用户的抑制状态标识,当所述第二列表中不包含所述第一用户的抑制状态标识时,将所述第一报文发送至所述网络服务器,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务;
所述网络服务器,用于接收所述接入设备发送的所述第一报文,根据所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识,当所述第一列表中包含所述第一用户的抑制状态标识时,丢弃所述第一报文。
结合第一方面,在第一种可能的实现方式中,
所述网络服务器,还用于记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
结合第一方面或第一方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述网络服务器,还用于当所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,在所述第一列表中删除所述第一用户的抑制状态标识。
结合第一方面,在第三种可能的实现方式中,
所述网络服务器,还用于当所述第一列表中包含所述第一用户的抑制状态标识时,向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识;
所述接入设备,还用于接收所述网络服务器发送的所述第二报文,在所述第二列表中记录所述第一用户的抑制状态标识,并停止对所述第一用户提供服务。
结合第一方面至第一方面的第三种可能的实现方式中任一实现方式,在第四种可能的实现方式中,
所述接入设备,还用于当所述第二列表中包含所述第一用户的抑制状态标识时,丢弃所述第一报文。
第二方面,一种网络服务器,应用于虚拟专用网络系统,包括:
接收单元,用于接收接入设备发送的第一报文,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户;
查找单元,用于根据所述接收单元接收的所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识;
抑制单元,用于当所述查找单元查找的所述第一列表中包含所述第一用户的抑制状态标识时,丢弃所述第一报文,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
结合第二方面,在第一种可能的实现方式中,
所述抑制单元,还用于记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
结合第二方面或第二方面的第一种可能的实现方式,在第二种可能的实现方式中,
所述抑制单元,还用于当所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,所述网络服务器在所述第一列表中删除所述第一用户的抑制状态标识。
结合第二方面至第二方面的第二种可能的实现方式中任一实现方式,在第三种可能的实现方式中,
所述网络服务器还包括发送单元,用于当所述第一列表中包含所述第一用户的抑制状态标识时,向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识,以便所述接入设备根据所述第一用户的抑制状态标识停止对所述第一用户提供服务。
第三方面,一种报文处理方法,应用于虚拟专用网络系统,包括:
网络服务器接收接入设备发送的第一报文,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户;
所述网络服务器根据所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识;
当所述第一列表中包含所述第一用户的抑制状态标识时,所述网络服务器丢弃所述第一报文,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
结合第三方面,在第一种可能的实现方式中,所述方法还包括:
所述网络服务器记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;
当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;
当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
结合第三方面或第三方面的第一种可能的实现方式,在第二种可能的实现方式中,所述方法还包括:
当所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,所述网络服务器在所述第一列表中删除所述第一用户的抑制状态标识。
结合第三方面至第三方面的第二种可能的实现方式中任一实现方式,在第三种可能的实现方式中,所述方法还包括:
当所述第一列表中包含所述第一用户的抑制状态标识时,所述网络服务器向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识,以便所述接入设备根据所述第一用户的抑制状态标识停止对所述第一用户提供服务。
根据本发明实施例的一种报文处理方法、网络服务器及虚拟专用网络系统,网络服务器接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种虚拟专用网络系统结构示意图;
图2为本发明实施例提供的一种网络服务器结构示意图;
图3为本发明另一实施例提供的一种网络服务器结构示意图;
图4为本发明实施例提供的一种报文处理方法流程示意图;
图5为本发明另一实施例提供的一种报文处理方法信息交互示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供一种虚拟专用网络系统,参照图1所示,该虚拟专用网络系统10包括网络服务器101、接入设备102以及用户设备103。可选的,网络服务器101可以是二层隧道协议网络服务器LNS,接入设备102可以是二层隧道协议访问集中器LAC,当然,此处只是举例说明,并不代表本发明局限于此。
可选的,在图1所示的虚拟专用网络系统中,用户设备103通过公共网络与LAC建立连接,公共网络可以是PSTN(Public Switched Telephone Network,公共交换电话网络)或ISDN(Integrated Services Digital Network,综合业务数字网)等。用户设备103与LAC建立连接后,可以通过LAC与LNS之间根据L2TP(Layer 2 Tunneling Protocol,二层隧道协议)建立的L2TP隧道与LNS进行通信。
在本发明实施例中,用户设备103,用于向接入设备102发送第一报文,第一报文包含第一用户的标识,第一用户的标识用于标记第一用户。
接入设备102,用于接收用户设备103发送的第一报文,根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识,当第二列表中不包含第一用户的抑制状态标识时,将第一报文发送至网络服务器101,第一用户的抑制状态标识用于指示对第一用户不提供服务。
网络服务器101,用于接收接入设备102发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识,当第一列表中包含第一用户的抑制状态标识时,丢弃第一报文。
可选的,网络服务器101,还用于记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和。当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识。当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
可选的,网络服务器101,还用于当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,在第一列表中删除第一用户的抑制状态标识。
可选的,网络服务器101,还用于当第一列表中包含第一用户的抑制状态标识时,向接入设备102发送第二报文,第二报文包含第一用户的抑制状态标识。
接入设备102,还用于接收网络服务器101发送的第二报文,在第二列表中记录第一用户的抑制状态标识,并停止对第一用户提供服务。
可选的,接入设备102,还用于当第二列表中包含第一用户的抑制状态标识时,丢弃第一报文。
本发明实施例提供的虚拟专用网络系统中,用户设备向接入设备发送第一报文,接入设备接收用户设备发送的第一报文后,根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识,当第二列表中不包含第一用户的抑制状态标识时,将第一报文发送至网络服务器,网络服务器根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器和接入设备联合起来判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图1对应的实施例,本发明实施例提供一种网络服务器,可选的,该网络服务器可以是LNS,参照图2所示,该网络服务器20包括接收单元201、查找单元202及抑制单元203。
其中,接收单元201,用于接收接入设备发送的第一报文,第一报文包含第一用户的标识,第一用户的标识用于标记第一用户。
查找单元202,用于根据接收单元201接收的第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识。
抑制单元203,用于当查找单元202查找的第一列表中包含第一用户的抑制状态标识时,丢弃第一报文,第一用户的抑制状态标识用于指示对第一用户不提供服务。
可选的,抑制单元203,还用于记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和。当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识。当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
抑制单元203,还用于当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,网络服务器在第一列表中删除第一用户的抑制状态标识。
可选的,网络服务器20还包括发送单元204,用于当第一列表中包含第一用户的抑制状态标识时,向接入设备发送第二报文,第二报文包含第一用户的抑制状态标识,以便接入设备根据第一用户的抑制状态标识停止对第一用户提供服务。
本发明实施例提供的网络服务器,接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图1对应的实施例,本发明另一实施例提供一种网络服务器30,参照图3所示,该网络服务器30包括:至少一个处理器301、存储器302、总线303、发射器304和接收器305,该至少一个处理器301、存储器302、发射器304和接收器305通过总线303连接并完成相互间的通信。
该总线303可以是ISA(Industry Standard Architecture,工业标准体系结构)总线、PCI(Peripheral Component,外部设备互连)总线或EISA(Extended IndustryStandard Architecture,扩展工业标准体系结构)总线等。该总线303可以是地址总线、数据总线、控制总线中的一种或多种。为便于表示,图3中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。其中:
存储器302用于执行本发明方案的应用程序代码,执行本发明实施例方案的应用程序代码保存在存储器中,并由处理器301来控制执行。
该存储器可以是只读存储器ROM或可存储静态信息和指令的其他类型的静态存储设备,随机存取存储器RAM或者可存储信息和指令的其他类型的动态存储设备,也可以是电可擦可编程只读存储器EEPROM、只读光盘CD-ROM或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质,但不限于此。这些存储器通过总线与处理器相连接。
处理器301可能是一个中央处理器301(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路。
处理器301,用于调用存储器302中的程序代码,用以执行上述图2对应的设备实施例中查找单元及抑制单元的操作,具体描述参照图2对应的设备实施例,这里不再赘述。
本发明实施例提供的网络服务器,接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图1、图2及图3对应的实施例,本发明实施例提供一种报文处理方法,应用于上述图1、图2及图3对应的实施例中所描述的网络服务器,参照图4所示,本实施例提供的信息传输方法包括:
401、网络服务器接收接入设备发送的第一报文。
其中,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记第一用户。可选的,第一用户的标识可以是第一用户的呼叫号码(Calling Number)。第一报文可以是第一用户的上线报文,包含第一用户接入虚拟专用网的请求信息,或者第一报文也可以是第一用户发送的数据报文。
402、所述网络服务器根据所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识。
其中,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
可选的,网络服务器记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和;当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识;当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
其中,第一阈值可以根据网络侧接入用户的负载情况而设定,本发明对第一阈值的具体取值不做限定。
当然,此处只是以上线失败或者用户下线作为一次故障进行统计,也可以将用户的其他行为作为故障进行统计,本实施例对此不作限定。
403、当所述第一列表中包含所述第一用户的抑制状态标识时,所述网络服务器丢弃所述第一报文。
可选的,结合402,如果第一列表包含第一用户的抑制状态标识,说明第一用户的故障次数已经超过第一阈值,将第一用户作为非法用户,停止对第一用户提供服务。
另外,可选的,当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,网络服务器在第一列表中删除第一用户的抑制状态标识。
本发明实施例提供的信息传输方法,网络服务器接收接入设备发送的第一报文,根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器参与判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
基于上述图4对应的实施例,本发明另一实施例提供一种报文处理方法,应用于图1对应的实施例中所描述的虚拟专用网络系统,可选的,本实施例中以网络设备为LNS,接入设备为LAC为例进行说明,当然,本实施例只是举例说明,并不代表本发明局限于此,参照图5所示,包括:
501、用户设备向接入设备发送第一报文。
第一报文包含第一用户的标识,用于标记第一用户。
可选的,该第一报文可以是第一用户的上线报文或者第一用户的数据报文。
502、接入设备根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识。
其中,第一用户的抑制状态标识用于指示对第一用户不提供服务。
可选的,LAC通过在第二列表中查找第一用户的抑制状态标识判定是否已经对第一用户进行本地抑制,如果第二列表中包含第一用户的抑制状态标识,则LAC可以丢弃第一报文,如果没有查找到则可以继续执行503。
503、当第二列表中不包含第一用户的抑制状态标识时,接入设备将第一报文发送至网络服务器。
如果本地LAC没有对第一用户进行抑制,则可以将第一报文发送至LNS,由LNS进一步判定是否需要对第一用户进行抑制,这样,因为网络侧的LNS也参与判定是否对用户进行抑制,使得虚拟专用网络中网络侧可以高效快速的对用户进行抑制。
504、网络服务器根据第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识。
可选的,网络服务器记录第一用户的故障首次发生时间并累加故障次数,故障次数是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数中的至少一个,当然故障次数也可以是第一用户在网络服务器上线失败的次数和第一用户在网络服务器下线的次数之和;当第一用户在第一时长内的故障次数大于或等于第一阈值时,网络服务器在第一列表中存储第一用户的抑制状态标识;当网络服务器从故障首次发生时间开始,累加故障次数的时长达到第一时长后,清空第一用户的故障次数。
结合502,接入设备也可以通过上述方式记录用户的故障次数,本实施例不再赘述。
505、当第一列表中包含第一用户的抑制状态标识时,网络服务器丢弃第一报文。
可选的,当网络服务器在第一列表中存储第一用户的抑制状态标识的时间长度达到第二时长后,网络服务器在第一列表中删除第一用户的抑制状态标识。
506、向接入设备发送第二报文。
其中,第二报文包含第一用户的抑制状态标识。
可选的,LNS接收到第一报文,证明本地LAC没有对第一用户进行抑制,LNS通过向LAC发送包含第一用户的抑制状态标识的第二报文,告知LAC对第一用户进行抑制,如果LAC再次接收到第一用户的报文,就可以直接丢弃,这样也避免了LAC与LNS之间报文交互过多,占用过多资源。
本发明实施例提供的信息传输方法,用户设备向接入设备发送第一报文,接入设备接收用户设备发送的第一报文后,根据第一用户的标识在已经存储的第二列表中查找第一用户的抑制状态标识,当第二列表中不包含第一用户的抑制状态标识时,将第一报文发送至网络服务器,网络服务器根据第一用户的标识在已经存储的第一列表中查找第一用户的状态标识,如果查找到,则丢弃第一报文,通过网络服务器和接入设备联合起来判断是否对用户进行抑制,能够高效快速的实现对非法用户的抑制,解决了现有技术中,虚拟专用网络系统无法对非法用户进行有效抑制的问题。
通过以上的实施方式的描述,所属领域的技术人员可以清楚地了解到本发明可以用硬件实现,或固件实现,或它们的组合方式来实现。当使用软件实现时,可以将上述功能存储在计算机可读介质中或作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是计算机能够存取的任何可用介质。以此为例但不限于:计算机可读介质可以包括RAM(Random Access Memory,随机存储器)、ROM(Read Only Memory,只读内存)、EEPROM(Electrically Erasable Programmable ReadOnly Memory,电可擦可编程只读存储器)、CD-ROM(Compact Disc Read Only Memory,即只读光盘)或其他光盘存储、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质。此外。任何连接可以适当的成为计算机可读介质。例如,如果软件是使用同轴电缆、光纤光缆、双绞线、DSL(Digital Subscriber Line,数字用户专线)或者诸如红外线、无线电和微波之类的无线技术从网站、服务器或者其他远程源传输的,那么同轴电缆、光纤光缆、双绞线、DSL或者诸如红外线、无线和微波之类的无线技术包括在所属介质的定影中。如本发明所使用的,盘和碟包括CD(Compact Disc,压缩光碟)、激光碟、光碟、DVD碟(Digital Versatile Disc,数字通用光)、软盘和蓝光光碟,其中盘通常磁性的复制数据,而碟则用激光来光学的复制数据。上面的组合也应当包括在计算机可读介质的保护范围之内。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (21)
1.一种网络服务器,其特征在于,应用于虚拟专用网络系统,包括存储器和处理器,所述存储器与所述处理器通信连接,所述存储器保存应用程序代码,当该应用程序代码被所述处理器执行时,执行以下步骤:
根据接收的第一用户的标识在已经存储的第一列表中查找第一用户的抑制状态标识,所述第一用户的标识用于标记所述第一用户;
当在所述第一列表中查找到对应所述第一用户的标识的所述第一用户的抑制状态标识时,丢弃包含所述第一用户的标识的第一报文,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
2.根据权利要求1所述的网络服务器,其特征在于,当该应用程序代码被所述处理器执行时,还执行以下步骤:
记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
3.根据权利要求1或2所述的网络服务器,其特征在于,当该应用程序代码被所述处理器执行时,还执行以下步骤:
当在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,在所述第一列表中删除所述第一用户的抑制状态标识。
4.根据权利要求1-3中任一项所述的网络服务器,其特征在于,
所述网络服务器还包括发射器,所述发射器与所述处理器通信连接,所述发射器用于当所述第一列表中包含对应所述第一用户的标识的所述第一用户的抑制状态标识时,向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识,以便所述接入设备根据所述第一用户的抑制状态标识停止对所述第一用户提供服务。
5.根据权利要求1-4中任一项所述的网络服务器,其特征在于,还包括接收器,所述接收器与所述处理器通信连接,所述接收器用于接收所述接入设备发送的所述第一报文。
6.根据权利要求1-5中任一项所述的网络服务器,其特征在于,所述网络服务器为二层隧道协议网络服务器LNS,所述接入服务器为二层隧道协议访问集中器LAC。
7.根据权利要求6所述的网络服务器,其特征在于,所述LNS与所述LAC之间通过二层隧道协议L2TP隧道通信。
8.根据权利要求1-7中任一所述的网络服务器,其特征在于,所述处理器与所述存储器通过总线连接。
9.根据权利要求1-7中任一所述的网络服务器,其特征在于,所述第一用户的标识为所属第一用户的呼叫号码。
10.根据权利要求1-7中任一所述的网络服务器,其特征在于,所述第一报文为所述第一用户的上线报文或所述第一用户发送的数据报文。
11.一种虚拟专用网络,其特征在于,包括权利要求1-11中任一所述的网络服务器。
12.根据权利要求11所述的虚拟专用网络,其特征在于,所述第一用户通过用户设备与所述LAC通信,所述用户设备通过公共网络与所述LAC通信。
13.根据权利要求12所述的虚拟专用网络,其特征在于,所述公共网络为公共交换电话网络PSTN或综合业务数字网ISDN。
14.一种报文处理方法,其特征在于,应用于虚拟专用网络系统,包括:
网络服务器接收接入设备发送的第一报文,所述第一报文包含第一用户的标识,所述第一用户的标识用于标记接入所述接入设备的第一用户;
所述网络服务器根据所述第一用户的标识在已经存储的第一列表中查找所述第一用户的抑制状态标识;
当所述网络服务器在所述第一列表中查找到对应所述第一用户的标识的所述第一用户的抑制状态标识时,所述网络服务器丢弃所述第一报文,所述第一用户的抑制状态标识用于指示对所述第一用户不提供服务。
15.根据权利要求14所述的方法,其特征在于,还包括:
所述网络服务器记录所述第一用户的故障首次发生时间并累加故障次数,所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数中的至少一个或所述故障次数是所述第一用户在所述网络服务器上线失败的次数和所述第一用户在所述网络服务器下线的次数之和;
当所述第一用户在第一时长内的故障次数大于或等于第一阈值时,所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识;
当所述网络服务器从所述故障首次发生时间开始,累加故障次数的时长达到所述第一时长后,清空所述第一用户的故障次数。
16.根据权利要求14所述的方法,其特征在于,还包括:
当所述网络服务器在所述第一列表中存储所述第一用户的抑制状态标识的时间长度达到第二时长后,所述网络服务器在所述第一列表中删除所述第一用户的抑制状态标识。
17.根据权利要求14-16中任一所述的方法,其特征在于,还包括:
当所述第一列表中包含所述第一用户的抑制状态标识时,所述网络服务器向所述接入设备发送第二报文,所述第二报文包含所述第一用户的抑制状态标识,以便所述接入设备根据所述第一用户的抑制状态标识停止对所述第一用户提供服务。
18.根据权利要求14-16中任一所述的方法,其特征在于,所述网络服务器为二层隧道协议网络服务器LNS,所述接入服务器为二层隧道协议访问集中器LAC。
19.根据权利要求18所述的方法,其特征在于,所述LNS与所述LAC之间通过二层隧道协议L2TP隧道通信。
20.根据权利要求14-19中任一所述的方法,其特征在于,所述第一用户的标识为所属第一用户的呼叫号码。
21.一种计算机可读存储介质,其特征在于,包括指令,当其在计算机上运行时,使得计算机执行如权利要求14-20任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810687454.9A CN109088809A (zh) | 2014-12-05 | 2014-12-05 | 报文处理方法、网络服务器和虚拟专用网络系统 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410735369.7A CN104468313B (zh) | 2014-12-05 | 2014-12-05 | 一种报文处理方法、网络服务器及虚拟专用网络系统 |
| CN201810687454.9A CN109088809A (zh) | 2014-12-05 | 2014-12-05 | 报文处理方法、网络服务器和虚拟专用网络系统 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410735369.7A Division CN104468313B (zh) | 2014-12-05 | 2014-12-05 | 一种报文处理方法、网络服务器及虚拟专用网络系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109088809A true CN109088809A (zh) | 2018-12-25 |
Family
ID=52913718
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810687454.9A Pending CN109088809A (zh) | 2014-12-05 | 2014-12-05 | 报文处理方法、网络服务器和虚拟专用网络系统 |
| CN201410735369.7A Active CN104468313B (zh) | 2014-12-05 | 2014-12-05 | 一种报文处理方法、网络服务器及虚拟专用网络系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410735369.7A Active CN104468313B (zh) | 2014-12-05 | 2014-12-05 | 一种报文处理方法、网络服务器及虚拟专用网络系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170279771A1 (zh) |
| EP (1) | EP3190743B1 (zh) |
| CN (2) | CN109088809A (zh) |
| WO (1) | WO2016086876A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109088809A (zh) * | 2014-12-05 | 2018-12-25 | 华为技术有限公司 | 报文处理方法、网络服务器和虚拟专用网络系统 |
| CN108429731B (zh) * | 2018-01-22 | 2021-10-12 | 新华三技术有限公司 | 防攻击方法、装置及电子设备 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20060120374A1 (en) * | 2004-12-08 | 2006-06-08 | Hitachi Communication Technologies, Ltd. | Packet forwarding apparatus and communication network suitable for wide area ethernet service |
| US20080282339A1 (en) * | 2002-08-20 | 2008-11-13 | Nec Corporation | Attack defending system and attack defending method |
| CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
| CN101562526A (zh) * | 2009-05-27 | 2009-10-21 | 杭州华三通信技术有限公司 | 数据交互的方法、系统及设备 |
| US20110296186A1 (en) * | 2010-06-01 | 2011-12-01 | Visto Corporation | System and method for providing secured access to services |
| CN102377731A (zh) * | 2010-08-10 | 2012-03-14 | 正文科技股份有限公司 | 虚拟专用网络系统及其网络装置 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
| US8503288B1 (en) * | 2004-11-24 | 2013-08-06 | Juniper Networks, Inc. | Silent failover from a primary control unit to a backup control unit of a network device |
| US20130288676A1 (en) * | 2007-12-06 | 2013-10-31 | Evolving Systems, Inc. | Controlled access to a wireless network |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1043869A3 (en) * | 1999-02-26 | 2003-12-10 | Lucent Technologies Inc. | Providing quality of service in layer two tunneling protocol networks |
| JP4516397B2 (ja) * | 2004-10-05 | 2010-08-04 | 株式会社日立製作所 | レイヤ2スイッチ |
| CN101257420A (zh) * | 2007-03-02 | 2008-09-03 | 华为技术有限公司 | 一种点对点协议接入方法、系统及接入节点设备 |
| CN101304387B (zh) * | 2008-06-18 | 2010-09-01 | 中兴通讯股份有限公司 | 一种实现二层隧道协议隧道转换的方法 |
| CN101867476B (zh) * | 2010-06-22 | 2012-09-26 | 杭州华三通信技术有限公司 | 一种3g虚拟私有拨号网用户安全认证方法及其装置 |
| CN102195988B (zh) * | 2011-05-31 | 2015-10-21 | 中兴通讯股份有限公司 | 实现企业网aaa服务器与公网aaa服务器合一的方法及装置 |
| EP2904820B1 (en) * | 2012-10-08 | 2020-07-15 | Telefónica Germany GmbH & Co. OHG | Communication system and a method for operating the same |
| CN109088809A (zh) * | 2014-12-05 | 2018-12-25 | 华为技术有限公司 | 报文处理方法、网络服务器和虚拟专用网络系统 |
-
2014
- 2014-12-05 CN CN201810687454.9A patent/CN109088809A/zh active Pending
- 2014-12-05 CN CN201410735369.7A patent/CN104468313B/zh active Active
-
2015
- 2015-12-03 WO PCT/CN2015/096303 patent/WO2016086876A1/zh active Application Filing
- 2015-12-03 EP EP15866349.2A patent/EP3190743B1/en active Active
-
2017
- 2017-06-02 US US15/612,285 patent/US20170279771A1/en not_active Abandoned
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20080282339A1 (en) * | 2002-08-20 | 2008-11-13 | Nec Corporation | Attack defending system and attack defending method |
| US8503288B1 (en) * | 2004-11-24 | 2013-08-06 | Juniper Networks, Inc. | Silent failover from a primary control unit to a backup control unit of a network device |
| US20060120374A1 (en) * | 2004-12-08 | 2006-06-08 | Hitachi Communication Technologies, Ltd. | Packet forwarding apparatus and communication network suitable for wide area ethernet service |
| CN101399749A (zh) * | 2007-09-27 | 2009-04-01 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
| US20100132031A1 (en) * | 2007-09-27 | 2010-05-27 | Huawei Technologies Co., Ltd. | Method, system, and device for filtering packets |
| US20130288676A1 (en) * | 2007-12-06 | 2013-10-31 | Evolving Systems, Inc. | Controlled access to a wireless network |
| CN101562526A (zh) * | 2009-05-27 | 2009-10-21 | 杭州华三通信技术有限公司 | 数据交互的方法、系统及设备 |
| US20110296186A1 (en) * | 2010-06-01 | 2011-12-01 | Visto Corporation | System and method for providing secured access to services |
| CN102377731A (zh) * | 2010-08-10 | 2012-03-14 | 正文科技股份有限公司 | 虚拟专用网络系统及其网络装置 |
| CN102904867A (zh) * | 2012-05-12 | 2013-01-30 | 杭州迪普科技有限公司 | 一种vpn权限控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104468313A (zh) | 2015-03-25 |
| US20170279771A1 (en) | 2017-09-28 |
| EP3190743A4 (en) | 2017-09-06 |
| CN104468313B (zh) | 2018-08-14 |
| EP3190743B1 (en) | 2019-08-14 |
| WO2016086876A1 (zh) | 2016-06-09 |
| EP3190743A1 (en) | 2017-07-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109802985B (zh) | 数据传输方法、装置、设备及可读取存储介质 | |
| CN102868770B (zh) | 一种分配接口的方法、设备及系统 | |
| CN106850710A (zh) | 一种数据云存储系统、客户终端、存储服务器及应用方法 | |
| CN104219069B (zh) | 访问频率控制方法、装置及控制系统 | |
| CN104040964B (zh) | 跨服务区通信的方法、装置和数据中心网络 | |
| CN103781055A (zh) | 一种数据下载方法及相关设备 | |
| CN107005435B (zh) | 一种网络服务描述符上架方法及装置 | |
| CN105338511B (zh) | 网络拓扑隐藏方法和设备 | |
| CN107113892A (zh) | 一种网关设备自动组网的方法及装置 | |
| CN106330475A (zh) | 一种通信系统中管理主备节点的方法和装置及高可用集群 | |
| CN110417870A (zh) | 配置文件管理方法、装置、设备和存储介质 | |
| CN102484611B (zh) | 链路状态标识符冲突处理 | |
| CN109120746A (zh) | 网络地址转换方法、装置及地址转换设备 | |
| CN109462574A (zh) | 一种基于区块链的广告牌控制网关 | |
| CN103825868A (zh) | 一种本地语音逃生的方法、本地网关及系统 | |
| CN104426881A (zh) | 一种检测恶意行为的方法及装置 | |
| CN108614750A (zh) | 宕机数据的恢复方法及装置 | |
| CN104468313B (zh) | 一种报文处理方法、网络服务器及虚拟专用网络系统 | |
| US7218714B2 (en) | Method of calling service among devices in home network | |
| CN110312245A (zh) | 一种跨国漫游终端的业务监控方法及装置 | |
| CN107819754B (zh) | 一种防劫持方法、监控服务器、终端及系统 | |
| CN109981795A (zh) | 资源请求调度方法和装置 | |
| CN105163335B (zh) | 一种网络接入管理方法、服务器、移动终端以及系统 | |
| CN106559439B (zh) | 一种业务处理方法及设备 | |
| CN109936460B (zh) | 一种流量计费的方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20181225 |
|
| WD01 | Invention patent application deemed withdrawn after publication |