CN110719259A - 一种数据处理方法及视联网系统 - Google Patents

Abstract

本发明提供了一种数据处理方法及视联网系统。所述视联网系统包括交换机，所述方法包括：所述交换机对接收的第一数据包进行分析，获取所述第一数据包中的标识信息和时间戳信息；所述交换机判断所述时间戳信息是否超时；若所述时间戳信息超时，则所述交换机丢弃所述第一数据包；若所述时间戳信息未超时，则所述交换机判断缓存中是否存在所述标识信息；若所述缓存中存在所述标识信息，则所述交换机丢弃所述第一数据包；若所述缓存中不存在所述标识信息，则所述交换机将所述标识信息写入缓存并对所述第一数据包作转发处理。本发明能够有效避免因重放攻击对视联网交换机带来的网络拥塞的问题。

Description

一种数据处理方法及视联网系统

技术领域

本发明涉及数据处理技术领域，特别是涉及一种数据处理方法以及视联网系统，以及一种计算机可读存储介质。

背景技术

视联网交换机具有固有的处理能力和容量，众多视联网终端，在部署时要考虑到交换机的处理能力，避免拥塞的发生。

目前，有多种情况会造成交换机的网络拥塞，例如视联网终端在进行视联网业务的时候，视联网协议包发生错误或者视联网遭到了数据包重放攻击等，上述情况会导致交换机拥堵，从而影响经由此交换机的正在进行的视联网业务，例如，视频会议的卡顿等。

发明内容

鉴于上述问题，提出了本发明实施例以便提供一种克服上述问题或者至少部分地解决上述问题的一种数据处理方法、一种视联网系统、一种数据处理装置，以及一种计算机可读存储介质。

为了解决上述问题，本发明实施例公开了一种为了解决上述问题，本发明实施例公开了一种数据处理方法，所述方法应用于视联网系统，所述视联网系统包括交换机，所述方法包括：

所述交换机对接收的第一数据包进行分析，获取所述第一数据包中的标识信息和时间戳信息；

所述交换机判断所述时间戳信息是否超时；

若所述时间戳信息超时，则所述交换机丢弃所述第一数据包；

若所述时间戳信息未超时，则所述交换机判断缓存中是否存在所述标识信息；

若所述缓存中存在所述标识信息，则所述交换机丢弃所述第一数据包；

若所述缓存中不存在所述标识信息，则所述交换机将所述标识信息写入缓存并对所述第一数据包作转发处理。

本发明还公开了一种视联网系统，该视联网系统包括交换机；

所述交换机包括：

第一获取模块，用于对接收的第一数据包进行分析，获取所述第一数据包中的标识信息和时间戳信息；

第一判断模块，用于判断所述时间戳信息是否超时；

第一丢弃模块，用于若所述时间戳信息超时，则丢弃所述第一数据包；

第二判断模块，用于若所述时间戳信息未超时，则判断缓存中是否存在所述标识信息；

所述第一丢弃模块，还用于若所述缓存中存在所述标识信息，则丢弃所述第一数据包；

处理模块，用于若所述缓存中不存在所述标识信息，则将所述标识信息写入缓存并对所述第一数据包作转发处理。

本发明实施例还公开了一种数据处理装置，包括：

一个或多个处理器；和

其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行如本发明实施例所述的数据处理方法。

本发明实施例还公开了一种计算机可读存储介质，其存储的计算机程序使得处理器执行如本发明实施例所述的数据处理方法。

本发明实施例包括以下优点：

在发明的上述实施例中，借助于数据包中的标识信息以及时间戳信息，实现了对重放攻击数据包的有效拦截和过滤，避免了交换机对重放攻击的数据包的转发操作，有效的避免了因重放攻击对视联网交换机带来的网络拥塞的问题，从而进一步减轻网络拥塞对交换机正在进行的视联网业务的影响；而且，数据包的标识信息与时间戳信息能够作为识别重放攻击数据包的互补策略，从而能够在时间戳的有效时间内检验缓存中的标识信息，来判别接收到的第一数据包是否为重放攻击的数据包，从而准确地对重放攻击数据包进行丢包。

附图说明

图1是本发明的一种视联网的组网示意图；

图2是本发明的一种节点服务器的硬件结构示意图；

图3是本发明的一种接入交换机的硬件结构示意图；

图4是本发明的一种以太网协转网关的硬件结构示意图；

图5是本发明实施例的一种视联网系统的结构框图；

图6本发明实施例的一种数据处理方法实施例的步骤流程图；

图7发明实施例的一种视联网数据包的包头结构的示意图；

图8明实施例的一种数据处理方法的重放攻击防御的示意图；

图9是本发明实施例的另一种视联网系统的结构框图；

图10本发明实施例的另一种数据处理方法实施例的步骤流程图；

图11是本发明实施例的一种视联网系统实施例的结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

视联网是网络发展的重要里程碑，是一个实时网络，能够实现高清视频实时传输，将众多互联网应用推向高清视频化，高清面对面。

视联网采用实时高清视频交换技术，可以在一个网络平台上将所需的服务，如高清视频会议、视频监控、智能化监控分析、应急指挥、数字广播电视、延时电视、网络教学、现场直播、VOD点播、电视邮件、个性录制(PVR)、内网(自办)频道、智能化视频播控、信息发布等数十种视频、语音、图片、文字、通讯、数据等服务全部整合在一个系统平台，通过电视或电脑实现高清品质视频播放。

为使本领域技术人员更好地理解本发明实施例，以下对视联网进行介绍：

视联网所应用的部分技术如下所述：

网络技术(Network Technology)

视联网的网络技术创新改良了传统以太网(Ethernet)，以面对网络上潜在的巨大第一视频流量。不同于单纯的网络分组包交换(Packet Switching)或网络电路交换(Circuit Switching)，视联网技术采用Packet Switching满足Streaming需求。视联网技术具备分组交换的灵活、简单和低价，同时具备电路交换的品质和安全保证，实现了全网交换式虚拟电路，以及数据格式的无缝连接。

交换技术(Switching Technology)

视联网采用以太网的异步和包交换两个优点，在全兼容的前提下消除了以太网缺陷，具备全网端到端无缝连接，直通用户终端，直接承载IP第一数据包。用户数据在全网范围内不需任何格式转换。视联网是以太网的更高级形态，是一个实时交换平台，能够实现目前互联网无法实现的全网大规模高清视频实时传输，将众多网络视频应用推向高清化、统一化。

服务器技术(Server Technology)

视联网和统一视频平台上的服务器技术不同于传统意义上的服务器，它的流媒体传输是建立在面向连接的基础上，其数据处理能力与流量、通讯时间无关，单个网络层就能够包含信令及数据传输。对于语音和视频业务来说，视联网和统一视频平台流媒体处理的复杂度比数据处理简单许多，效率比传统服务器大大提高了百倍以上。

储存器技术(Storage Technology)

统一视频平台的超高速储存器技术为了适应超大容量和超大流量的媒体内容而采用了最先进的实时操作系统，将服务器指令中的节目信息映射到具体的硬盘空间，媒体内容不再经过服务器，瞬间直接送达到用户终端，用户等待一般时间小于0.2秒。最优化的扇区分布大大减少了硬盘磁头寻道的机械运动，资源消耗仅占同等级IP互联网的20％，但产生大于传统硬盘阵列3倍的并发流量，综合效率提升10倍以上。

网络安全技术(Network Security Technology)

视联网的结构性设计通过每次服务单独许可制、设备与用户数据完全隔离等方式从结构上彻底根除了困扰互联网的网络安全问题，一般不需要杀毒程序、防火墙，杜绝了黑客与病毒的攻击，为用户提供结构性的无忧安全网络。

服务创新技术(Service Innovation Technology)

统一视频平台将业务与传输融合在一起，不论是单个用户、私网用户还是一个网络的总合，都不过是一次自动连接。用户终端、机顶盒或PC直接连到统一视频平台，获得丰富多彩的各种形态的多媒体视频服务。统一视频平台采用“菜谱式”配表模式来替代传统的复杂应用编程，可以使用非常少的代码即可实现复杂的应用，实现“无限量”的新业务创新。

视联网的组网如下所述：

视联网是一种集中控制的网络结构，该网络可以是树型网、星型网、环状网等等类型，但在此基础上网络中需要有集中控制节点来控制整个网络。

如图1所示，视联网分为接入网和城域网两部分。

接入网部分的设备主要可以分为3类：节点服务器，接入交换机，终端(包括各种机顶盒、编码板、存储器等)。节点服务器与接入交换机相连，接入交换机可以与多个终端相连，并可以连接以太网。

其中，节点服务器是接入网中起集中控制功能的节点，可控制接入交换机和终端。节点服务器可直接与接入交换机相连，也可以直接与终端相连。

类似的，城域网部分的设备也可以分为3类：城域服务器，节点交换机，节点服务器。城域服务器与节点交换机相连，节点交换机可以与多个节点服务器相连。

其中，节点服务器即为接入网部分的节点服务器，即节点服务器既属于接入网部分，又属于城域网部分。

城域服务器是城域网中起集中控制功能的节点，可控制节点交换机和节点服务器。城域服务器可直接连接节点交换机，也可直接连接节点服务器。

由此可见，整个视联网络是一种分层集中控制的网络结构，而节点服务器和城域服务器下控制的网络可以是树型、星型、环状等各种结构。

形象地称，接入网部分可以组成统一视频平台(虚线圈中部分)，多个统一视频平台可以组成视联网；每个统一视频平台可以通过城域以及广域视联网互联互通。

视联网设备分类

1.1本发明实施例的视联网中的设备主要可以分为3类：服务器，交换机(包括以太网协转网关)，终端(包括各种机顶盒，编码板，存储器等)。视联网整体上可以分为城域网(或者国家网、全球网等)和接入网。

1.2其中接入网部分的设备主要可以分为3类：节点服务器，接入交换机(包括以太网协转网关)，终端(包括各种机顶盒，编码板，存储器等)。

各接入网设备的具体硬件结构为：

节点服务器：

如图2所示，主要包括网络接口模块201、交换引擎模块202、CPU模块203、磁盘阵列模块204；

其中，网络接口模块201，CPU模块203、磁盘阵列模块204进来的包均进入交换引擎模块202；交换引擎模块202对进来的包进行查地址表205的操作，从而获得包的导向信息；并根据包的导向信息把该包存入对应的包缓存器206的队列；如果包缓存器206的队列接近满，则丢弃；交换引擎模块202轮询所有包缓存器队列，如果满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。磁盘阵列模块204主要实现对硬盘的控制，包括对硬盘的初始化、读写等操作；CPU模块203主要负责与接入交换机、终端(图中未示出)之间的协议处理，对地址表205(包括下行协议包地址表、上行协议包地址表、第一数据包地址表)的配置，以及，对磁盘阵列模块204的配置。

接入交换机：

如图3所示，主要包括网络接口模块(下行网络接口模块301、上行网络接口模块302)、交换引擎模块303和CPU模块304；

其中，下行网络接口模块301进来的包(上行数据)进入包检测模块305；包检测模块305检测包的目地地址(DA)、源地址(SA)、第一数据包类型及包长度是否符合要求，如果符合，则分配相应的流标识符(stream-id)，并进入交换引擎模块303，否则丢弃；上行网络接口模块302进来的包(下行数据)进入交换引擎模块303；CPU模块304进来的第一数据包进入交换引擎模块303；交换引擎模块303对进来的包进行查地址表306的操作，从而获得包的导向信息；如果进入交换引擎模块303的包是下行网络接口往上行网络接口去的，则结合流标识符(stream-id)把该包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃；如果进入交换引擎模块303的包不是下行网络接口往上行网络接口去的，则根据包的导向信息，把该第一数据包存入对应的包缓存器307的队列；如果该包缓存器307的队列接近满，则丢弃。

交换引擎模块303轮询所有包缓存器队列，可以包括两种情形：

如果该队列是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零；3)获得码率控制模块产生的令牌；

如果该队列不是下行网络接口往上行网络接口去的，则满足以下条件进行转发：1)该端口发送缓存未满；2)该队列包计数器大于零。

码率控制模块308是由CPU模块304来配置的，在可编程的间隔内对所有下行网络接口往上行网络接口去的包缓存器队列产生令牌，用以控制上行转发的码率。

CPU模块304主要负责与节点服务器之间的协议处理，对地址表306的配置，以及，对码率控制模块308的配置。

以太网协转网关：

如图4所示，主要包括网络接口模块(下行网络接口模块401、上行网络接口模块402)、交换引擎模块403、CPU模块404、包检测模块405、码率控制模块408、地址表406、包缓存器407和MAC添加模块409、MAC删除模块410。

其中，下行网络接口模块401进来的第一数据包进入包检测模块405；包检测模块405检测第一数据包的以太网MAC DA、以太网MAC SA、以太网length or frame type、视联网目地地址DA、视联网源地址SA、视联网第一数据包类型及包长度是否符合要求，如果符合则分配相应的流标识符(stream-id)；然后，由MAC删除模块410减去MAC DA、MAC SA、lengthor frame type(2byte)，并进入相应的接收缓存，否则丢弃；

下行网络接口模块401检测该端口的发送缓存，如果有包则根据包的视联网目地地址DA获知对应的终端的以太网MAC DA，添加终端的以太网MAC DA、以太网协转网关的MACSA、以太网length or frame type，并发送。

以太网协转网关中其他模块的功能与接入交换机类似。

终端：

主要包括网络接口模块、业务处理模块和CPU模块；例如，机顶盒主要包括网络接口模块、视音频编解码引擎模块、CPU模块；编码板主要包括网络接口模块、视音频编码引擎模块、CPU模块；存储器主要包括网络接口模块、CPU模块和磁盘阵列模块。

1.3城域网部分的设备主要可以分为2类：节点服务器，节点交换机，城域服务器。其中，节点交换机主要包括网络接口模块、交换引擎模块和CPU模块；城域服务器主要包括网络接口模块、交换引擎模块和CPU模块构成。

2、视联网第一数据包定义

2.1接入网第一数据包定义

接入网的第一数据包主要包括以下几部分：目的地址(DA)、源地址(SA)、保留字节、payload(PDU)、CRC。

如下表所示，接入网的第一数据包主要包括以下几部分：

DA

SA

Reserved

Payload

CRC

其中：

目的地址(DA)由8个字节(byte)组成，第一个字节表示第一数据包的类型(例如各种协议包、组播第一数据包、单播第一数据包等)，最多有256种可能，第二字节到第六字节为城域网地址，第七、第八字节为接入网地址；

源地址(SA)也是由8个字节(byte)组成，定义与目的地址(DA)相同；

保留字节由2个字节组成；

payload部分根据不同的数据报的类型有不同的长度，如果是各种协议包的话是64个字节，如果是单组播第一数据包话是32+1024＝1056个字节，当然并不仅仅限于以上2种；

CRC有4个字节组成，其计算方法遵循标准的以太网CRC算法。

2.2城域网第一数据包定义

城域网的拓扑是图型，两个设备之间可能有2种、甚至2种以上的连接，即节点交换机和节点服务器、节点交换机和节点交换机、节点交换机和节点服务器之间都可能超过2种连接。但是，城域网设备的城域网地址却是唯一的，为了精确描述城域网设备之间的连接关系，在本发明实施例中引入参数：标签，来唯一描述一个城域网设备。

本说明书中标签的定义和MPLS(Multi-Protocol Label Switch，多协议标签交换)的标签的定义类似，假设设备A和设备B之间有两个连接，那么第一数据包从设备A到设备B就有2个标签，第一数据包从设备B到设备A也有2个标签。标签分入标签、出标签，假设第一数据包进入设备A的标签(入标签)是0x0000，这个第一数据包离开设备A时的标签(出标签)可能就变成了0x0001。城域网的入网流程是集中控制下的入网过程，也就意味着城域网的地址分配、标签分配都是由城域服务器主导的，节点交换机、节点服务器都是被动的执行而已，这一点与MPLS的标签分配是不同的，MPLS的标签分配是交换机、服务器互相协商的结果。

如下表所示，城域网的第一数据包主要包括以下几部分：

DA

SA

Reserved

标签

Payload

CRC

即目的地址(DA)、源地址(SA)、保留字节(Reserved)、标签、payload(PDU)、CRC。其中，标签的格式可以参考如下定义：标签是32bit，其中高16bit保留，只用低16bit，它的位置是在第一数据包的保留字节和payload之间。

参照图5，示出了本发明一个实施例的视联网系统的结构框图。

该视联网系统包括至少一个交换机(这里示出了两个交换机，分别为交换机1和交换机2)，微云服务器、自治服务器，以及至少一个视联网终端(这里示出了视联网终端A)。

在图5实施例中，示出了两个视联网交换机，其中，两个视联网交换机代表两个微云网络，一个微云网络接入视联网终端(例如这里的视联网终端A)，另一个微云网络接入微云服务器。

其中，自治服务器，负责自治云内的协议解析和业务处理；

微云服务器，负责对视联网终端的心跳进行保持，以及跨自治云的数据转发；

交换机，用于与视联网终端交互，并对来自视联网终端的数据包的接收和转发。

其中，微云服务器可以利用视联网交换机1来接收来自任意一个视联网终端的协议流和数据流，并进行转发和处理。

具体来说，微云服务器可以对来自视联网终端的心跳指令直接处理，将其他协议流以及数据流通过视联网交换机2转发给自治服务器处理(即，跨自治云的数据转发)。

自治服务器可以通过视联网交换机2来接收来自微云服务器的心跳指令，以及通过视联网交换机2来接收来自微云服务器的上述其他协议流和数据流，即负责自治云内的协议解析和业务处理。

在本发明实施例中，每个视联网交换机内部均部署了本发明新开发的拥塞控制模块1，对于视联网交换机2的内部结构未作描述，其内部结构与视联网交换机1的内部结构是相似的，都部署有拥塞控制模块1。

其中，视联网交换机内部的拥塞控制模块1可以对接收的数据包进行处理，具体的可以对错误数据包进行过滤，从而有效避免交换机网络拥塞的产生，确保交换机侧正在进行的视联网业务的正常进行。

需要说明的是，造成交换机内部拥塞的原因之一在于黑客对交换机的重放攻击，所谓重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，从而破坏认证的正确性(例如设备A要与设备B连接，但是该连接请求数据包被攻击者C拦截，攻击者C将拦截的数据包发送给设备B，但是设备B仍旧认为该数据包是设备A发送它的合理数据包，并认为设备C即为请求与其进行连接的合法设备)。

重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它通过交换机重新发给认证服务器。重放攻击在任何网络通过程中都可能发生，是计算机世界黑客常用的攻击方式之一。

而为了避免重放攻击对交换机的网络造成拥堵，本发明实施例在交换机侧新设置了拥塞控制模块1，来有效避免因重放攻击所带来的网络拥塞问题。

参考图6，示出了本发明实施例的一种数据处理方法实施例的步骤流程图，所述方法应用于视联网系统，所述视联网系统包括交换机(即视联网交换机)，在图6中，主要以图5中的视联网交换机为执行主体，来对视联网交换机的数据处理方法作详细阐述，具体的，该方法的执行主体为视联网交换机的拥塞控制模块1，该方法具体可以包括如下步骤：

步骤501，所述交换机对接收的第一数据包进行分析，获取所述第一数据包中的标识信息和时间戳信息；

其中，交换机可以从视联网终端接收到数据包，由于数据包数量较多，交换机的网络模块可以将接收到的数据包写入缓存队列中，那么当对数据包进行处理时，则交换机的拥塞控制模块1可以从缓存队列中读取数据包，例如这里的第一数据包，然后，对该第一数据包的包头进行分析，从而获取到该第一数据包的标识信息和时间戳信息。

可选地，该标识信息可以是数据包标识，也可以是包头中的随机数(nonce)。该时间戳信息可以是发送的该第一数据包的原始视联网终端，对该第一数据包的发送时间，原始视联网终端可以将该发送时间作为时间戳信息写入包头中。

本发明实施例中对视联网数据包的包头结构做有改进，具体的视联网终端在视联网协议中增加时间戳字段，且一个数据包的生命周期(即有效时间)是可配置的，其可以由视联网终端作个性化配置(即各个视联网终端发送至交换机的数据包的生命周期可以存在差异)，也可以由交换机作统一配置(即各个视联网终端发送至交换机的数据包的生命周期是相同的)。

在一个实施例中，图7示出了本发明一个实施例的视联网数据包的包头结构。

该包头结构包括目标MAC地址(即该数据包通过交换机需要发至的目标终端的物理地址)、源MAC地址(即该数据包的来源的终端的物理地址)、时间戳、随机数、消息号码、操作码、子设备号码、业务控制命令参数(具体可以包括发送方本地设备号码、发送方子设备号码、发送方设备号码前缀)。

步骤502，所述交换机判断所述时间戳信息是否超时；

可选地，在一个实施例中，在执行步骤502时，可以通过以下方式来实现：所述交换机识别所述时间戳信息与本地时间之间的时间差值；所述交换机判断所述时间差值是否超过预设时长；若所述时间差值超过所述预设时长，则交换机确定所述时间戳信息超时；若所述时间差值未超过所述预设时长，则交换机确定所述时间戳信息未超时。

具体而言，交换机具有本地的时间系统，该时间系统具有时间信息，交换机可以计算时间戳对应的时间信息t1与本地时间信息t2之间的时间差值，例如t2-t1；然后，交换机判断该时间差值(t2-t1)是否小于预设时长tx。其中，该预设时长为数据包的生命周期(例如10s)，该生命周期表示该数据包从时间差对应的发出时间t1开始10s内有效，超过10s则失效。而该第一数据包的时间戳对应的时间系统与交换机本地的时间系统是相同的，因此通过计算t2-t1，能够准确的了解该第一数据包从视联网终端发出了多久，从而判别是否超时。

当然，如上述实施例所述，不同视联网终端发送的数据包的生命周期可以是存在个性化差异的，那么这里的预设时长则与发送该数据包的视联网终端对生命周期的配置有关；另外，不同视联网终端发送的数据包的生命周期可以是由交换机统一配置，那么该预设时长是一个固定的值，对于不同的数据包而言，它们的生命周期都是该预设时长。

那么在本发明实施例中，通过获取时间戳与交换机的本地时间的时间差值，以及判断该时间差值是否超过预设时长，来判断该第一数据包是否超时，即该数据包的存在时间是否超过其生命周期内，从而可以借助于数据包的生命周期来有效的识别出接收到的数据包是否为重放攻击的数据包。

若所述时间戳信息超时，则步骤503，所述交换机丢弃所述第一数据包；

其中，交换机的拥塞控制模块1可以判断该时间戳信息是否超时，如果超时，则说明该第一数据包已经由交换机处理过了(即已经完成了对其的转发处理)，也即说明，步骤501接收并分析的第一数据包为重放攻击的数据包。那么为了避免重放攻击重复发送的该第一数据包所导致的网络拥塞，这里的拥塞控制模块1会将该第一数据包丢弃来达到拒绝对该第一数据包处理的目的。

可选地，还可以做进一步的异常处理。

若所述时间戳信息未超时，则步骤504，所述交换机判断缓存中是否存在所述标识信息；

其中，如果该时间戳信息没有超时，即，说明该第一数据包经过了时间戳的校验，则拥塞控制模块1可以进一步判断交换机的本地缓存中是否存在该第一数据包中的标识信息，下文以该标识信息为随机数为例来说明。

需要说明的是，每当交换机处理一个数据包时，都会将该数据包中的随机数写入到缓存中，因此，本地缓存中存储有该交换机处理过的数据包的随机数，而不同数据包的随机数是不同的，因此，该随机数可以唯一性的标识该数据包。

若所述缓存中存在所述标识信息，则转至执行步骤503，所述交换机丢弃所述第一数据包；

其中，如果缓存中存在该随机数，则说明该第一数据包已经被交换机处理过，交换机在步骤501之前已经完成了对该第一数据包的转发，也即，说明步骤501接收并分析的第一数据包为重放攻击的数据包。因此，这里也是转至执行步骤503，来对接收到的第一数据包进行丢弃，避免重放攻击重复发送的该第一数据包所导致交换机网络拥塞。

若所述缓存中不存在所述标识信息，则步骤505，所述交换机将所述标识信息写入缓存并对所述第一数据包作转发处理。

其中，如果交换机的本地缓存中不存在该随机数，则说明该第一数据包为交换机第一次处理的第一数据包，而不是已经转发处理过的第一数据包，即，该第一数据包不是重放攻击的数据包。

因此，交换机的拥塞控制模块1，可以将该第一数据包的随机数写入本地缓存中，以及对该第一数据包作转发处理。

对于交换机对数据包的转发机制而言，视联网属于二层网络，交换机可以根据本地的MAC地址表进行数据包的转发。

在一个实施例中，交换机在将接收到的数据包进行转发处理时，可以在本地的MAC地址表中查找是否存在该数据包的包头结构中的目的MAC地址，如果存在，则将该数据包转发至MAC地址为该目的MAC地址的目标终端(其也是视联网系统中的终端)；如果不存在，则交换机将数据包广播发送到交换机的所有物理端口，如果目的终端收到该数据包，并向交换机给出回应，则交换机就可以将该目的终端的MAC地址添加到本地的MAC地址表中。

此外，由于交换机对未知的目标MAC地址的数据包的频繁广播过程，在大规模的网络架构中形成的网络风暴是非常庞大的，这也很大程度上限制了二层网络(即视联网)规模的扩大，因此二层网络的组网能力较为有限，所以视联网用来搭建小局域网。

那么基于视联网的上述特点可以明显看出，交换机的拥塞控制更显得十分重要，因其固有的处理能力和容量，视联网众多终端，在部署时要考虑到交换机的处理能力，避免拥塞的发生。那么借助于本发明上述实施例所述的数据处理方法，则可以对重放攻击的数据包进行有效的过滤，避免因接收到重放攻击的数据包而造成交换机的网络拥塞的情况，有效的实现了对拥塞情况的预防处理，避免了拥塞的产生，保证了视联网业务的正常进行。

在发明的上述实施例中，借助于数据包中的标识信息以及时间戳信息，实现了对重放攻击数据包的有效拦截和过滤，避免了交换机对重放攻击的数据包的转发操作，有效的避免了因重放攻击对视联网交换机带来的网络拥塞的问题，从而进一步减轻网络拥塞对交换机正在进行的视联网业务的影响；而且，数据包的标识信息与时间戳信息能够作为识别重放攻击数据包的互补策略，从而能够在时间戳的有效时间内检验缓存中的标识信息，来判别接收到的第一数据包是否为重放攻击的数据包，从而准确地对重放攻击数据包进行丢包。

在一个示例中，则上述实施例采取时间戳+随机数的方式来实现一个简单的重放攻击拦截器，其中，时间戳和随机数互补,从而能在时间有效范围内通过校验缓存中的随机数是否存在来分辨是否为重放请求。

在视联网交换机增加拥塞控制模块1，严格验证数据包的正确性，对错误数据包进行过滤，有效避免交换机网络拥塞的产生。

可选地，在一个实施例中，当由视联网终端对各自的数据包配置个性化的生命周期时，则根据本发明实施例的方法还可以包括：

步骤506，所述交换机对接收的所述第一数据包进行分析，获取所述第一数据包中的生命周期；

其中，本发明对于步骤506与步骤501之间的执行顺序不做限制，该步骤506在步骤502之前执行。

在本实施例中，当视联网终端对本终端发送的数据包配置生命周期时，则可以在发送的数据包中携带其生命周期的信息，例如tx1。

那么本步骤中，交换机就可以从第一数据包的包头中获取该tx1。

那么在执行上述步骤交换机判断所述时间差值是否超过预设时长时，则所述交换机可以判断所述时间差值是否超过所述第一数据包的所述生命周期，这里为tx1。

也就是说，在本实施例中，当视联网终端对本终端发送的数据包配置生命周期时，则本发明实施例的方法可以不采用交换机侧预先配置的统一的生命周期tx，而是从接收的数据包中获取其自身的生命周期信息tx1，来判别该数据包的存活时间是否超过其生命周期tx1，这样，在面临数据包的生命周期存在差异化设计时，本发明实施例的方法仍旧可以有效的辨别出接收的数据包是否为重放攻击的数据包，提升辨别准确率和全面性。

可选地，步骤505之后，根据本发明实施例的方法还可以包括：

步骤507，若所述第一数据包的所述时间戳信息超时，则所述交换机将所述缓存中的对应所述第一数据包的所述标识信息清除。

也就是说，本发明实施例的方法可以在数据包的有效时间内(即在其生命周期内)对非重放攻击的数据包的随机数保存在本地缓存中，但是，当该数据包的存活时间超过其生命周期时，即时间戳超时时，则交换机采用清理机制来对缓存中时间戳超时的数据包对应的随机数进行清除。

那么在本发明实施例中，由于本地缓存中不存在第一数据包中的标识信息(例如随机数)的场景下，可能存在以下两种情况，情况一，该第一数据包为首次接收到的数据包，该缓存中没有写入过该第一数据包中的随机数；情况二，该第一数据包并非首次接收到的数据包，而是重放攻击的数据包，但是由于该数据包的时间戳已经超时，所以，缓存中原本存储的该第一数据包中的随机数已经被清除；

那么在本发明实施例中，由于是在判定第一数据包的时间戳超时的情况下，则直接丢弃该第一数据包，以及在其未超时的情况下，才会判断缓存中是否存在该第一数据包中的标识信息(例如随机数)，因此，能够在缓存的随机数因失效而被清除的情况下，通过数据包中的时间戳信息来校验该第一数据包是否为重放攻击的数据包，避免因缓存中的随机数被清除，而导致转发重放攻击的数据包的情况。

而本发明实施例通过对缓存中的标识信息按照其对应的数据包是否失效(即时间戳是否超时)，来进行缓存数据的清除，从而可以避免随机数的不断存储，造成缓存数据过多的情况。从而进一步配合时间戳进行重放攻击数据包的过滤,时间戳不在有效范围内(即超时的时间戳)的数据包的一律丢弃，拒绝转发。

参照图8，示出了本发明上述实施例中的数据处理方法的重放攻击防御的示意图。

其中，横轴表示时间，纵轴表示对数据包的处理过程，例如纵轴中的a、b代表对数据包的不同处理逻辑。a，代表检测时间戳是否有效，b代表检测在有效的生命周期内，根据随机数判断数据包是否已经进行了处理；filter代表对缓存中数据包的随机数的处理逻辑。

具体而言，交换机在对接收到的一个数据包进行处理时，通过处理逻辑a判断该数据包的时间戳是否有效(即检测时间戳是否超时，超时则时间戳失效)，如果该时间戳在该数据包的有效时间内(即时间戳与本地时间之间的时间差值在预设时长的时间段内)，则通过处理逻辑b判断本地缓存中是否存在该数据包中的随机数(nonce)，如果不存在，则将nonce存入缓存中；如果nonce已在缓存中，则丢弃该数据包(在图8中，以时间位于时间点2处的“×”来表示丢弃数据包)；而在处理逻辑a中，如果判断该数据包已经超过其有效期，即时间戳(timest amp)不在有效期，则同样按照图8示出的“×”来丢弃该数据包；此外，存入缓存的nonce的缓存有效期与该nonce对应的数据包的有效时间是相同的，在处理逻辑filter中，如果一个数据包的时间戳超时，则处理逻辑filter(过滤器)可以删除缓存中的该nonce。

参照图9，示出了本发明另一个实施例的视联网系统的结构框图。

图9所示的视联网系统与图5所示的视联网系统的结构是类似的，区别仅仅在于图9中的视联网终端B内部部署了本发明新开发的拥塞控制模块2。

其中，关于图9中的视联网交换机1以及视联网交换机2的内部结构中也部署了上述实施例所述的拥塞控制模块1，这里未示出。关于拥塞控制模块1的执行过程可以参照上述图5～图8实施例，这里不再赘述。

发明人在实现本发明的过程中发现，交换机的网络拥堵不仅仅是因为重放攻击导致的，还存在着因视联网终端对发送的数据包的错误处理而导致交换机拥塞的情况，那么针对该情况，本发明实施例在视联网终端侧新部署了新开发的拥塞控制模块2，其功能不同于上述不属于视联网交换机侧的拥塞控制模块1。

为了便于理解拥塞控制模块2的功能，在介绍该拥塞控制模块2之前，发明人首先对视联网终端对发送的数据包的错误处理所导致交换机拥塞的原理作简要说明：

视联网终端将从交换机接收到的包原封不动的发送到视联网的交换机，交换机收到后又发给接收端即上述视联网终端，造成循环，导致交换机拥塞的产生，影响经由此交换机的正在进行的视联网业务，例如，如果此时正在进行视频会议业务，则参会终端会发生卡顿现象，是现有视联网技术的一个缺陷。

例如，图5中没有部署拥塞控制模块2的视联网终端A，从视联网交换机接收到一个视联网数据包，由于该数据包是交换机发送给视联网终端A的，因此该数据包的目的MAC地址为视联网终端A的MAC地址。而后因视联网终端A内部处理逻辑出错，导致视联网终端A将接收自交换机的数据包原封不动的发送到视联网的交换机；那么交换机收到该数据包后，发现数据包的目的MAC地址是视联网终端A的MAC地址，所以再次将数据包转发给视联网终端A；

视联网终端A收到该数据包后，重复上述流程继续转发给交换机，交换机又转发该视联网终端A，导致视联网交换机重复的发送该数据包给视联网终端A，造成了网络拥塞，继而导致视联网业务因交换机繁忙而造成卡顿丢包。

那么为了解决上述因视联网终端的内部逻辑处理错误，导致接收自交换机的数据包又原封不动的发送给交换机，进而导致交换机拥塞的问题，本发明实施例的视联网终端(例如图9中的视联网终端B)增加了拥塞控制模块2。该拥塞控制模块2的输入是该视联网终端B的网络模块，对接收到的数据包进行校验，校验通过后，才会将该数据包转发给交换机，避免将错误数据包发送给交换机，导致交换机拥塞的问题，有效地避免了交换机拥塞。

因此，基于图6实施例的数据处理方法，当视联网系统包括视联网终端时，如图10所示，该方法还可以包括如下步骤：

步骤601，所述视联网终端对待发送至所述交换机的第二数据包进行分析，获取所述第二数据包的目标地址；

以视联网终端B为例进行说明，视联网终端B的网络模块可以将接收到的待发送至交换机的数据包写入数据包缓存队列，那么当需要发送数据包至交换机时，拥塞控制模块2可以通过视联网终端B的网络模块，读取缓存队列中的第二数据包，并对其包头进行分析，具体的包头结构可以参照图7，从而获取到该第二数据包中的目的MAC地址。即，该数据包需要发送至哪个MAC地址对应的视联网终端。

其中，由于视联网协议是基于以太网的，所以所有视联网终端都有MAC地址。当然，视联网终端的地址并不限于该MAC地址，可以是任意一种物理地址。

步骤602，所述视联网终端判断所述目标地址是否与所述视联网终端的物理地址相同；

其中，由于视联网终端B自身具有物理地址，例如自身的MAC地址，则拥塞控制模块2可以判断该自身的MAC地址是否与数据包中的目的MAC地址相同。

若所述目标地址与所述视联网终端的物理地址相同，则步骤603，所述视联网终端将所述第二数据包丢弃；

其中，如果该自身的MAC地址与数据包中的目的MAC地址相同，则说明该视联网终端B的内部逻辑发生错误，该第二数据包原本是交换机发送给视联网终端B的数据包，所以，为了避免该错误的数据包发送给交换机后，导致交换机网络拥塞，这里拥塞控制模块2将该第二数据包丢弃。

可选地，还可以上报视联网终端B的主模块，由主模块进一步的纠错处理等，即对视联网终端B的内部逻辑错误进行纠正。

若所述目标地址与所述视联网终端的物理地址不同，则步骤604，所述视联网终端将所述第二数据包发送至所述交换机。

如果该自身的MAC地址与数据包中的目的MAC地址不同，则说明该第二数据包不是视联网终端B的因内部逻辑错误所发送的错误数据包，因此，拥塞控制模块2可以利用视联网协议的发送线程，来将该第二数据包发送至交换机，从而由交换机将该数据包转发至相应的目的MAC地址的目标视联网终端。

而交换机对该第二数据包进行转发处理的流程则与上述关于图6等相关实施例的数据处理流程类似，参照上文即可，这里不再赘述。

在本发明实施例中，通过由视联网终端对待发送至交换机的数据包进行校验，在确认数据包中的目的地址与该视联网终端的物理地址相同的情况下，则丢弃该第二数据包，而不发送至交换机，有效避免除了交换机的存储空间，带宽容量，处理性能之外，因终端对数据包的错误处理，即逻辑错误的情况造成交换机网络拥塞的问题。

需要说明的是，对于方法实施例，为了简单描述，故将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本发明实施例并不受所描述的动作顺序的限制，因为依据本发明实施例，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作并不一定是本发明实施例所必须的。

参考图11出了本发明实施例的一种视联网系统。

所述视联网系统可以包括：交换机110；

所述交换机110包括：

第一获取模块，用于对接收的第一数据包进行分析，获取所述第一数据包中的标识信息和时间戳信息；

第一判断模块，用于判断所述时间戳信息是否超时；

第一丢弃模块，用于若所述时间戳信息超时，则丢弃所述第一数据包；

第二判断模块，用于若所述时间戳信息未超时，则判断缓存中是否存在所述标识信息；

所述第一丢弃模块，还用于若所述缓存中存在所述标识信息，则丢弃所述第一数据包；

处理模块，用于若所述缓存中不存在所述标识信息，则将所述标识信息写入缓存并对所述第一数据包作转发处理。

可选地，所述第一判断模块包括：

识别子模块，用于识别所述时间戳信息与本地时间之间的时间差值；

判断子模块，用于判断所述时间差值是否超过预设时长；

第一确定子模块，用于若所述时间差值超过所述预设时长，则确定所述时间戳信息超时；

第一确定子模块，用于若所述时间差值未超过所述预设时长，则确定所述时间戳信息未超时。

可选地，所述交换机110还包括：

第二获取模块，用于对接收的所述第一数据包进行分析，获取所述第一数据包中的生命周期；

所述判断子模块，还用于判断所述时间差值是否超过所述第一数据包的所述生命周期。

可选地，所述交换机110还包括：

清除模块，用于若所述第一数据包的所述时间戳信息超时，则将所述缓存中的对应所述第一数据包的所述标识信息清除。

可选地，所述视联网系统还包括视联网终端120，所述视联网终端120包括：

第三获取模块，用于对待发送至所述交换机110的第二数据包进行分析，获取所述第二数据包的目标地址；

第三判断模块，用于判断所述目标地址是否与所述视联网终端120的物理地址相同；

第二丢弃模块，用于若所述目标地址与所述视联网终端120的物理地址相同，则将所述第二数据包丢弃；

发送模块，用于若所述目标地址与所述视联网终端120的物理地址不同，则将所述第二数据包发送至所述交换机110。

对于视联网系统实施例而言，由于其与数据处理方法实施例基本相似，所以描述的比较简单，相关之处参见数据处理方法实施例的部分说明即可。

本发明实施例还提供了一种数据处理装置，包括：

一个或多个处理器；和

其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行如本发明任意一个实施例所述的数据处理方法。

本发明实施例还提供了一种计算机可读存储介质，其存储的计算机程序使得处理器执行如本发明任意一个实施例所述的数据处理方法。

本说明书中的各个实施例均采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似的部分互相参见即可。

本领域内的技术人员应明白，本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此，本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上，使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明实施例的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例做出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。

以上对本发明所提供的一种数据处理方法、一种视联网系统、一种数据处理装置和一种计算机可读存储介质进行了详细介绍，本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (12)

1.一种数据处理方法，其特征在于，所述方法应用于视联网系统，所述视联网系统包括交换机，所述方法包括：

所述交换机对接收的第一数据包进行分析，获取所述第一数据包中的标识信息和时间戳信息；

所述交换机判断所述时间戳信息是否超时；

若所述时间戳信息超时，则所述交换机丢弃所述第一数据包；

若所述时间戳信息未超时，则所述交换机判断缓存中是否存在所述标识信息；

若所述缓存中存在所述标识信息，则所述交换机丢弃所述第一数据包；

若所述缓存中不存在所述标识信息，则所述交换机将所述标识信息写入缓存并对所述第一数据包作转发处理。

2.根据权利要求1所述的方法，其特征在于，所述交换机判断所述时间戳信息是否超时，包括：

所述交换机识别所述时间戳信息与本地时间之间的时间差值；

所述交换机判断所述时间差值是否超过预设时长；

若所述时间差值超过所述预设时长，则所述交换机确定所述时间戳信息超时；

若所述时间差值未超过所述预设时长，则所述交换机确定所述时间戳信息未超时。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

所述交换机对接收的所述第一数据包进行分析，获取所述第一数据包中的生命周期；

所述交换机判断所述时间差值是否超过预设时长，包括：

所述交换机判断所述时间差值是否超过所述第一数据包的所述生命周期。

4.根据权利要求1所述的方法，其特征在于，所述交换机将所述标识信息写入缓存并对所述第一数据包作转发处理之后，所述方法还包括：

若所述第一数据包的所述时间戳信息超时，则所述交换机将所述缓存中的对应所述第一数据包的所述标识信息清除。

5.根据权利要求1所述的方法，其特征在于，所述视联网系统还包括视联网终端，所述方法还包括：

所述视联网终端对待发送至所述交换机的第二数据包进行分析，获取所述第二数据包的目标地址；

所述视联网终端判断所述目标地址是否与所述视联网终端的物理地址相同；

若所述目标地址与所述视联网终端的物理地址相同，则所述视联网终端将所述第二数据包丢弃；

若所述目标地址与所述视联网终端的物理地址不同，则所述视联网终端将所述第二数据包发送至所述交换机。

6.一种视联网系统，其特征在于，所述视联网系统包括交换机；

所述交换机包括：

第一获取模块，用于对接收的第一数据包进行分析，获取所述第一数据包中的标识信息和时间戳信息；

第一判断模块，用于判断所述时间戳信息是否超时；

第一丢弃模块，用于若所述时间戳信息超时，则丢弃所述第一数据包；

第二判断模块，用于若所述时间戳信息未超时，则判断缓存中是否存在所述标识信息；

所述第一丢弃模块，还用于若所述缓存中存在所述标识信息，则丢弃所述第一数据包；

处理模块，用于若所述缓存中不存在所述标识信息，则将所述标识信息写入缓存并对所述第一数据包作转发处理。

7.根据权利要求6所述的系统，其特征在于，所述第一判断模块包括：

识别子模块，用于识别所述时间戳信息与本地时间之间的时间差值；

判断子模块，用于判断所述时间差值是否超过预设时长；

第一确定子模块，用于若所述时间差值超过所述预设时长，则确定所述时间戳信息超时；

第一确定子模块，用于若所述时间差值未超过所述预设时长，则确定所述时间戳信息未超时。

8.根据权利要求7所述的系统，其特征在于，所述交换机还包括：

第二获取模块，用于对接收的所述第一数据包进行分析，获取所述第一数据包中的生命周期；

所述判断子模块，还用于判断所述时间差值是否超过所述第一数据包的所述生命周期。

9.根据权利要求6所述的系统，其特征在于，所述交换机还包括：

清除模块，用于若所述第一数据包的所述时间戳信息超时，则将所述缓存中的对应所述第一数据包的所述标识信息清除。

10.根据权利要求6所述的系统，其特征在于，所述视联网系统还包括视联网终端，所述视联网终端包括：

第三获取模块，用于对待发送至所述交换机的第二数据包进行分析，获取所述第二数据包的目标地址；

第三判断模块，用于判断所述目标地址是否与所述视联网终端的物理地址相同；

第二丢弃模块，用于若所述目标地址与所述视联网终端的物理地址相同，则将所述第二数据包丢弃；

发送模块，用于若所述目标地址与所述视联网终端的物理地址不同，则将所述第二数据包发送至所述交换机。

11.一种数据处理装置，其特征在于，包括：

一个或多个处理器；和

其上存储有指令的一个或多个机器可读介质，当由所述一个或多个处理器执行时，使得所述装置执行如权利要求1至5中任意一项所述的数据处理方法。

12.一种计算机可读存储介质，其特征在于，其存储的计算机程序使得处理器执行如权利要求1至5任一项所述的数据处理方法。

Images