本發(fā)明涉及通信技術(shù)領域,尤其涉及一種數(shù)據(jù)傳輸方法、相關(guān)裝置及系統(tǒng)。
背景技術(shù):
隨著互聯(lián)網(wǎng)業(yè)務的飛速發(fā)展以及寬帶網(wǎng)絡的快速普及,越來越多的人開始使用網(wǎng)絡業(yè)務,享受著互聯(lián)網(wǎng)時代所帶來的便利與變革。但同時,由于用戶安全意識薄弱,使用的智能嵌入式設備(路由器等)防護不到位,存在弱口令或安全漏洞,給黑客制造了可乘之機。目前出現(xiàn)較多的是帶有后門、攻擊者可以遠程控制被感染的機器的惡意軟件,被這種惡意軟件感染的機器通常被稱為“bot”,被感染機器組成的受控網(wǎng)絡常被稱為“botnet”,即僵尸網(wǎng)絡,控制僵尸網(wǎng)絡的攻擊者被稱為botmaster。如圖1所示,這種惡意軟件的運行過程如下:bot連接C&C服務器,它們組成一個僵尸網(wǎng)絡,共同接受和響應C&C服務器的指令;C&C服務器給bot下發(fā)攻擊指令,里面包含受害者的IP、端口、攻擊持續(xù)時間等各種攻擊參數(shù);bot執(zhí)行指令,對受害者發(fā)起DDOS(Distributed Denial of Service,分布式拒絕服務)攻擊。由于上述惡意軟件的存在,使得運營商網(wǎng)絡中充斥著大量僵木蠕流量,嚴重影響網(wǎng)絡服務質(zhì)量和正常運行。
目前針對城域網(wǎng)內(nèi)PPPoE(Point-to-Point Protocol over Ethernet,以太網(wǎng)上的點對點協(xié)議)用戶,常采用的一種應對惡意軟件的處置手段為在運營商城域網(wǎng)核心層部署DDoS流量清洗系統(tǒng)。清洗系統(tǒng)通過BGP(Border Gateway Protocol,邊界網(wǎng)關(guān)協(xié)議)路由牽引的方式,將指定目的的流量全部牽引過來,清洗系統(tǒng)對流量進行清洗,清洗后的正常流量回注到出口路由器。由此可見,采用上述方法,攻擊流量在網(wǎng)絡接入邊緣層面沒有受到任何有效攔截和控制, 就直接抵達核心匯聚設備。由于DDoS流量清洗系統(tǒng)只能進行被動的全流量清洗,受制于DDoS流量清洗系統(tǒng)硬件能力,全網(wǎng)清洗效果差且投資巨大。
因此,目前亟需一種有效的數(shù)據(jù)傳輸方法來提高網(wǎng)絡運行的安全性。
技術(shù)實現(xiàn)要素:
本發(fā)明實施例提供一種數(shù)據(jù)傳輸方法、相關(guān)裝置及系統(tǒng),用以提高網(wǎng)絡運行的安全性。
本發(fā)明實施例提供的一種數(shù)據(jù)傳輸方法,包括:
第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;
所述第一網(wǎng)絡設備在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸;
所述待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的;或者,所述待處理用戶的屬性信息是所述第一網(wǎng)絡設備根據(jù)所述認證請求消息中包括的待處理用戶的屬性信息得到的。
較佳地,所述待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的,包括:
所述第一網(wǎng)絡設備確定所述待處理用戶的屬性信息為初始屬性信息,所述初始屬性信息為非標記屬性信息;或,
所述第一網(wǎng)絡設備根據(jù)獲取到的黑名單用戶的標識信息確定所述待處理用戶的屬性信息為標記屬性信息;或,
所述第一網(wǎng)絡設備根據(jù)獲取到的白名單用戶的標識信息確定所述待處理用戶的屬性信息為非標記屬性信息。
較佳地,所述第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息之前,還包括:
所述第一網(wǎng)絡設備獲取黑名單用戶的標識信息;
所述第一網(wǎng)絡設備確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送下線指令,以使所述第二網(wǎng)絡設備根據(jù)所述下線指令對標識信息相同的用戶進行下線處理;其中,所述標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶;
所述第一網(wǎng)絡設備接收所述第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息之后,還包括:
所述第一網(wǎng)絡設備將所述待處理用戶的屬性信息確定為標記屬性信息。
較佳地,所述第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息之前,還包括:
所述第一網(wǎng)絡設備獲取黑名單用戶的標識信息;
所述第一網(wǎng)絡設備確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送更改指令,以使所述第二網(wǎng)絡設備將標識信息相同的用戶的屬性信息更改為標記屬性信息;其中,所述標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶。
較佳地,所述第一網(wǎng)絡設備在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接進行所述待處理用戶的數(shù)據(jù)傳輸之后,還包括:
所述第一網(wǎng)絡設備獲取白名單用戶的標識信息;
所述第一網(wǎng)絡設備確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送下線指令,以使所述第二網(wǎng)絡設備根據(jù)所述下線指令對所述待處理用戶進行下線處理;
所述第一網(wǎng)絡設備接收所述第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息之后,還包括:
所述第一網(wǎng)絡設備將所述待處理用戶的屬性信息確定為非標記屬性信息。
較佳地,所述第一網(wǎng)絡設備在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接進行所述待處理用戶的數(shù)據(jù)傳輸之后,還包括:
所述第一網(wǎng)絡設備獲取白名單用戶的標識信息;
所述第一網(wǎng)絡設備確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送恢復指令,以使所述第二網(wǎng)絡設備根據(jù)所述恢復指令將所述待處理用戶的屬性信息確定為非標記屬性信息。
本發(fā)明實施例提供的一種數(shù)據(jù)傳輸方法,包括:
第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消息;
所述第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的所述待處理用戶的接入?yún)?shù)消息;所述待處理用戶的接入?yún)?shù)消息是所述第一網(wǎng)絡設備確定所述待處理用戶的屬性信息為標記屬性信息的情況下發(fā)送的;所述待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的;或者,所述認證請求消息中包括由所述第二網(wǎng)絡設備確定的所述待處理用戶的屬性信息;
所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸。
較佳地,所述第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消息之前,還包括:
所述第二網(wǎng)絡設備接收所述待處理用戶的連接請求;
所述第二網(wǎng)絡設備確定所述待處理用戶的屬性信息;所述待處理用戶的屬性信息是根據(jù)以下方式得到的:
所述第二網(wǎng)絡設備確定所述待處理用戶的屬性信息為初始屬性信息,所述初始屬性信息為非標記屬性信息;或,
所述第二網(wǎng)絡設備根據(jù)所述第一網(wǎng)絡設備發(fā)送的更改指令確定所述待處理用戶的屬性信息為標記屬性信息;或,
所述第二網(wǎng)絡設備根據(jù)所述第一網(wǎng)絡設備發(fā)送的恢復指令確定所述待處理用戶的屬性信息為非標記屬性信息。
較佳地,所述第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消息之前,還包括:
所述第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的更改指令;所述更改指令是所述第一網(wǎng)絡設備確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送的;其中,標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶;
所述第二網(wǎng)絡設備根據(jù)所述更改指令對所述待處理用戶進行下線處理;
所述第二網(wǎng)絡設備接收所述待處理用戶發(fā)送的連接請求,并將所述待處理用戶的屬性信息更改為標記屬性信息。
較佳地,所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸之后,還包括:
所述第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的恢復指令;所述恢復指令是所述第一網(wǎng)絡設備確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下發(fā)送的;
所述第二網(wǎng)絡設備根據(jù)所述恢復指令對所述待處理用戶進行下線處理;
所述第二網(wǎng)絡設備接收所述待處理用戶發(fā)送的連接請求,并將所述待處理用戶的屬性信息確定為非標記屬性信息。
較佳地,所述第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消 息之前,還包括:
所述第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的下線指令;所述下線指令是所述第一網(wǎng)絡設備在確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下發(fā)送的,或者,所述下線指令是所述第一網(wǎng)絡設備在確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下發(fā)送的;
所述第二網(wǎng)絡設備根據(jù)所述下線指令對所述待處理用戶進行下線處理。
較佳地,所述接入?yún)?shù)消息中還包括所述第一網(wǎng)絡設備為所述待處理用戶配置的安全處置策略;
所述第二網(wǎng)絡設備通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸,包括:
所述第二網(wǎng)絡設備通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸,并根據(jù)所述安全處置策略對所述待處理用戶的數(shù)據(jù)進行控制。
本發(fā)明實施例提供的一種網(wǎng)絡設備,包括:
收發(fā)模塊,用于接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;
處理模塊,用于在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,通過所述收發(fā)模塊向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸;所述待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的;或者,所述待處理用戶的屬性信息是所述第一網(wǎng)絡設備根據(jù)所述認證請求消息中包括的待處理用戶的屬性信息得到的。
較佳地,所述處理模塊還用于:
確定所述待處理用戶的屬性信息為初始屬性信息,所述初始屬性信息為非標記屬性信息;或,
根據(jù)獲取到的黑名單用戶的標識信息確定所述待處理用戶的屬性信息為標記屬性信息;或,
根據(jù)獲取到的白名單用戶的標識信息確定所述待處理用戶的屬性信息為 非標記屬性信息。
較佳地,所述處理模塊還用于:
獲取黑名單用戶的標識信息;
確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送下線指令,以使所述第二網(wǎng)絡設備根據(jù)所述下線指令對標識信息相同的用戶進行下線處理;其中,所述標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶;并在所述收發(fā)模塊接收到所述第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息之后,將所述待處理用戶的屬性信息確定為標記屬性信息。
較佳地,所述處理模塊還用于:
獲取黑名單用戶的標識信息;
確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送更改指令,以使所述第二網(wǎng)絡設備將標識信息相同的用戶的屬性信息更改為標記屬性信息;其中,所述標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶。
較佳地,所述處理模塊還用于:
獲取白名單用戶的標識信息;
確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送下線指令,以使所述第二網(wǎng)絡設備根據(jù)所述下線指令對所述待處理用戶進行下線處理;并在所述收發(fā)模塊接收到所述第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息之后,將所述待處理用戶的屬性信息確定為非標記屬性信息。
較佳地,所述處理模塊還用于:
獲取白名單用戶的標識信息;
確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,通過所述收發(fā)模塊向所述第二網(wǎng)絡設備發(fā)送恢復指令,以使所述第二網(wǎng)絡設備根據(jù)所述恢復指令將所述待處理用戶的屬性信息確定為非標記屬性信息。
本發(fā)明實施例提供的一種網(wǎng)絡設備,包括:
收發(fā)模塊,用于向第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消息;以及接收所述第一網(wǎng)絡設備發(fā)送的所述待處理用戶的接入?yún)?shù)消息;所述待處理用戶的接入?yún)?shù)消息是所述第一網(wǎng)絡設備確定所述待處理用戶的屬性信息為標記屬性信息的情況下發(fā)送的;所述待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的;或者,所述認證請求消息中包括由所述第二網(wǎng)絡設備確定的所述待處理用戶的屬性信息;
處理模塊,用于根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸。
較佳地,所述收發(fā)模塊還用于:
接收所述待處理用戶的連接請求;
所述處理模塊還用于根據(jù)以下方式確定所述待處理用戶的屬性信息:
確定所述待處理用戶的屬性信息為初始屬性信息,所述初始屬性信息為非標記屬性信息;或,
根據(jù)所述第一網(wǎng)絡設備發(fā)送的更改指令確定所述待處理用戶的屬性信息為標記屬性信息;或,
根據(jù)所述第一網(wǎng)絡設備發(fā)送的恢復指令確定所述待處理用戶的屬性信息為非標記屬性信息。
較佳地,所述收發(fā)模塊還用于:
接收所述第一網(wǎng)絡設備發(fā)送的更改指令;所述更改指令是所述第一網(wǎng)絡設 備確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送的;其中,標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶;
所述處理模塊還用于:
根據(jù)所述更改指令對所述待處理用戶進行下線處理,并在所述收發(fā)模塊接收到所述待處理用戶發(fā)送的連接請求后,將所述待處理用戶的屬性信息更改為標記屬性信息。
較佳地,所述收發(fā)模塊還用于:
接收所述第一網(wǎng)絡設備發(fā)送的恢復指令;所述恢復指令是所述第一網(wǎng)絡設備確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下發(fā)送的;
所述處理模塊還用于:
根據(jù)所述恢復指令對所述待處理用戶進行下線處理,并在所述收發(fā)模塊接收到所述待處理用戶發(fā)送的連接請求后,將所述待處理用戶的屬性信息確定為非標記屬性信息。
較佳地,所述收發(fā)模塊還用于:
接收所述第一網(wǎng)絡設備發(fā)送的下線指令;所述下線指令是所述第一網(wǎng)絡設備在確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下發(fā)送的,或者,所述下線指令是所述第一網(wǎng)絡設備在確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下發(fā)送的;
所述處理模塊還用于:
根據(jù)所述下線指令對所述待處理用戶進行下線處理。
較佳地,所述接入?yún)?shù)消息中還包括所述第一網(wǎng)絡設備為所述待處理用戶 配置的安全處置策略;
所述處理模塊還用于:
通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸,并根據(jù)所述安全處置策略對所述待處理用戶的數(shù)據(jù)進行控制。
本發(fā)明提供的一種數(shù)據(jù)傳輸系統(tǒng),包括:第一網(wǎng)絡設備、第二網(wǎng)絡設備、第三網(wǎng)絡設備以及集中處置平臺;
所述第一網(wǎng)絡設備用于接收所述第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息;
所述第二網(wǎng)絡設備用于向所述第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消息,接收所述第一網(wǎng)絡設備發(fā)送的所述待處理用戶的接入?yún)?shù)消息,以及根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接進行數(shù)據(jù)傳輸;
所述第三網(wǎng)絡設備用于與所述第二網(wǎng)絡設備建立連接,以及將所述待處理用戶的流量發(fā)送給所述集中處置平臺;
所述集中處置平臺用于接收所述第三網(wǎng)絡設備發(fā)送的所述待處理用戶的流量,并對所述所述待處理用戶的流量進行處理。
本發(fā)明的上述實施例中,第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;所述第一網(wǎng)絡設備在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸;本發(fā)明實施例中,待處理用戶的屬性信息可以是由第一網(wǎng)絡設備確定的,也可以是第一網(wǎng)絡設備根據(jù)認證請求消息中包括的待處理用戶的屬性信息得到的。本發(fā)明實施例中,第一網(wǎng)絡設備在確定待處理用戶的屬性信息為標記屬性信息的情況下,將待處理用戶確定為黑名單用戶,從而通過向第二網(wǎng)絡設備發(fā)送接入?yún)?shù)消息,以使待處理 用戶的數(shù)據(jù)通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行傳輸,實現(xiàn)了第二網(wǎng)絡設備對該待處理用戶實施流量隔離和流量牽引,有效降低城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低,提高網(wǎng)絡正常運行的安全性。而且,通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行數(shù)據(jù)傳輸能夠精確牽引城域網(wǎng)中黑名單用戶發(fā)起攻擊的數(shù)據(jù)流量,便于集中處理,無需大面積部署流量處理設備。
附圖說明
為了更清楚地說明本發(fā)明實施例中的技術(shù)方案,下面將對實施例描述中所需要使用的附圖作簡要介紹,顯而易見地,下面描述中的附圖僅僅是本發(fā)明的一些實施例,對于本領域的普通技術(shù)人員來講,在不付出創(chuàng)造性勞動性的前提下,還可以根據(jù)這些附圖獲得其他的附圖。
圖1是背景技術(shù)中DDOS型botnet拓撲圖;
圖2為本發(fā)明實施例一提供的一種數(shù)據(jù)傳輸方法示意圖;
圖3為本發(fā)明實施例二提供的一種數(shù)據(jù)傳輸方法示意圖;
圖4為本發(fā)明實施例三提供的一種數(shù)據(jù)傳輸方法示意圖;
圖5為本發(fā)明實施例四提供的一種數(shù)據(jù)傳輸方法示意圖;
圖6為本發(fā)明實施例五提供的一種網(wǎng)絡設備的結(jié)構(gòu)示意圖;
圖7為本發(fā)明實施例六提供的一種數(shù)據(jù)傳輸方法示意圖;
圖8為本發(fā)明實施例七提供的一種網(wǎng)絡設備的結(jié)構(gòu)示意圖;
圖9為本發(fā)明實施例八提供的一種網(wǎng)絡設備的結(jié)構(gòu)示意圖;
圖10為本發(fā)明實施例九提供的一種數(shù)據(jù)傳輸系統(tǒng)架構(gòu)示意圖。
具體實施方式
為了使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明作進一步地詳細描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例, 而不是全部的實施例?;诒景l(fā)明中的實施例,本領域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其它實施例,都屬于本發(fā)明保護的范圍。
本發(fā)明實施例提供的數(shù)據(jù)傳輸方法至少涉及到第一網(wǎng)絡設備、第二網(wǎng)絡設備以及第三網(wǎng)絡設備之間的信息交互,下面分別從第一網(wǎng)絡設備、第二網(wǎng)絡設備的角度對本發(fā)明實施例進行介紹。
如圖2所示,為本發(fā)明實施例一提供的一種數(shù)據(jù)傳輸方法示意圖,該方法基于第一網(wǎng)絡設備的角度,具體包括:
步驟201,第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;
步驟202,所述第一網(wǎng)絡設備在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸。
本發(fā)明實施例中,黑名單用戶是指被惡意軟件感染的用戶,例如bot用戶;白名單用戶是指被惡意軟件感染后,通過一些處理措施,進而排除了惡意軟件的控制的用戶。
本發(fā)明實施例中,所述待處理用戶的屬性信息可以是由所述第一網(wǎng)絡設備確定的,也可以是所述第一網(wǎng)絡設備根據(jù)所述認證請求消息中包括的待處理用戶的屬性信息得到的。
(一)下面針對待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的情形進行介紹。
具體地,第一網(wǎng)絡設備可以通過以下三種方式中的任一種確定待處理用戶的屬性信息:
方式一:
第一網(wǎng)絡設備接收到第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息后,根據(jù)認證請求消息中的標識信息,確定未存儲與該標識信息關(guān)聯(lián)的屬性信息的 情況下,直接將待處理用戶的初始屬性信息確定為待處理用戶的屬性信息。其中,待處理用戶的初始屬性信息為非標記屬性信息。
方式二:
第一網(wǎng)絡設備接收到第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息后,根據(jù)認證請求消息中的標識信息,確定存儲有與該標識信息關(guān)聯(lián)的標記屬性信息的情況下,將待處理用戶的屬性信息更改為標記屬性信息。其中,該標記屬性信息是第一網(wǎng)絡設備確定所述待處理用戶的標識信息與獲取到的黑名單用戶的標識信息相同的情況下,為待處理用戶配置的標記屬性信息。
方式三:
第一網(wǎng)絡設備接收到第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息后,根據(jù)認證請求消息中的標識信息,確定該標識信息與白名單用戶的標識信息相同的情況下,確定待處理用戶的屬性信息為非標記屬性信息。該非標記屬性信息可以為待處理用戶的初始屬性信息。
本發(fā)明實施例中,在步驟201之前,第一網(wǎng)絡設備先獲取黑名單用戶的標識信息,并查詢經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息,若確定存在與黑名單用戶的標識信息相同的用戶(此時該標識信息相同的用戶即為黑名單用戶,也即為待處理用戶),則向第二網(wǎng)絡設備發(fā)送下線指令,第二網(wǎng)絡設備接收到下線指令后,對黑名單用戶進行下線處理;黑名單用戶下線后,再次向第二網(wǎng)絡設備發(fā)起連接請求。在步驟201中,第二網(wǎng)絡設備接收到連接請求后,向第一網(wǎng)絡設備發(fā)送黑名單用戶的認證請求消息,第一網(wǎng)絡設備將黑名單用戶的屬性信息確定為標記屬性信息,并將該標記屬性信息與黑名單用戶的標識信息關(guān)聯(lián)存儲。
本發(fā)明實施例中,經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶。
在步驟202中,第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送所述黑名單用戶的接入?yún)?shù)消息,進而使得黑名單用戶的數(shù)據(jù)通過第二網(wǎng)絡設備與第三網(wǎng)絡設備之間 建立的連接進行傳輸,并通過第三網(wǎng)絡設備將黑名單用戶的數(shù)據(jù)轉(zhuǎn)發(fā)給集中處置平臺進行處理。
經(jīng)過集中處置平臺的處理以及所采取的一些其它措施的處理為該黑名單用戶排除惡意軟件的控制之后,第一網(wǎng)絡設備獲取到這些已排除惡意軟件的控制的標識信息,即為白名單用戶的標識信息,并在確定待處理用戶的標識信息與白名單用戶的標識信息相同的情況下,向第二網(wǎng)絡設備發(fā)送下線指令,第二網(wǎng)絡設備接收到下線指令后,對白名單用戶進行下線處理;白名單用戶下線后,再次向第二網(wǎng)絡設備發(fā)起連接請求。第二網(wǎng)絡設備接收到連接請求后,向第一網(wǎng)絡設備發(fā)送白名單用戶的認證請求消息,第一網(wǎng)絡設備將白名單用戶的屬性信息確定為非標記屬性信息;該非標記屬性信息可以為待處理用戶的初始屬性信息。
(二)下面針對待處理用戶的屬性信息是第一網(wǎng)絡設備根據(jù)所述認證請求消息中包括的待處理用戶的屬性信息得到的情形進行具體介紹。
具體地,第一網(wǎng)絡設備接收的第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息中包括由第二網(wǎng)絡設備確定的待處理用戶的屬性信息。
本發(fā)明實施例中,在步驟201之前,第一網(wǎng)絡設備獲取被攻擊用戶的標識信息,并查詢經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息,若確定存在與被攻擊用戶的標識信息相同的用戶(此時該標識信息相同的用戶即為黑名單用戶,也即為待處理用戶),則向第二網(wǎng)絡設備發(fā)送更改指令,更改指令中包括下線消息和第一網(wǎng)絡設備為黑名單用戶配置的標記屬性信息,第二網(wǎng)絡設備接收到更改指令后,根據(jù)更改指令中的下線消息對黑名單用戶進行下線處理,并將黑名單用戶的標識信息與更改指令中的標記屬性信息關(guān)聯(lián)存儲。黑名單用戶下線后,再次向第二網(wǎng)絡設備發(fā)送連接請求,第二網(wǎng)絡設備接收到連接請求后,將黑名單用戶的屬性信息更改為與黑名單用戶的標識信息關(guān)聯(lián)存儲的標記屬性信息。
在步驟202中,第一網(wǎng)絡設備向第二網(wǎng)絡設備發(fā)送所述黑名單用戶的接入 參數(shù)消息,進而使得黑名單用戶的數(shù)據(jù)通過第二網(wǎng)絡設備與第三網(wǎng)絡設備之間建立的連接進行傳輸,并通過第三網(wǎng)絡設備將黑名單用戶的數(shù)據(jù)轉(zhuǎn)發(fā)給集中處置平臺進行處理。
經(jīng)過集中處置平臺的處理以及所采取的一些其它措施的處理為該黑名單用戶排除惡意軟件的控制之后,第一網(wǎng)絡設備獲取到這些已排除惡意軟件的控制的標識信息,即為白名單用戶的標識信息,并向第二網(wǎng)絡設備發(fā)送恢復指令,恢復指令中包括下線消息和將白名單用戶的屬性信息確定為非標記屬性信息的消息。第二網(wǎng)絡設備接收到恢復指令后,根據(jù)恢復指令中的下線消息對白名單用戶進行下線處理,并存儲白名單用戶的標識信息。白名單用戶下線后,再次向第二網(wǎng)絡設備發(fā)送連接請求,第二網(wǎng)絡設備接收到連接請求后,確定連接請求中的標識信息與之前存儲的標識信息相同,則將白名單用戶的屬性信息確定為非標記屬性信息。
本發(fā)明實施例中,第一網(wǎng)絡設備在確定待處理用戶的屬性信息為標記屬性信息的情況下,將待處理用戶確定為黑名單用戶,從而通過向第二網(wǎng)絡設備發(fā)送接入?yún)?shù)消息,以使待處理用戶的數(shù)據(jù)通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行傳輸,實現(xiàn)了第二網(wǎng)絡設備對該待處理用戶實施流量隔離和流量牽引,有效降低城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低,提高網(wǎng)絡正常運行的安全性。而且,通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行數(shù)據(jù)傳輸能夠精確牽引城域網(wǎng)中黑名單用戶發(fā)起攻擊的數(shù)據(jù)流量,便于集中處理,無需大面積部署流量處理設備。
相應地,如圖3所示,為本發(fā)明實施例二提供的一種數(shù)據(jù)傳輸方法示意圖,該方法基于第二網(wǎng)絡設備的角度,具體包括:
步驟301,第二網(wǎng)絡設備向第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消息;所述認證請求消息中包括所述待處理用戶的屬性信息;
步驟302,所述第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的所述待處理用戶的接入?yún)?shù)消息;所述待處理用戶的接入?yún)?shù)消息是所述第一網(wǎng)絡設備確定 所述待處理用戶的屬性信息為標記屬性信息的情況下發(fā)送的;
步驟303,所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸。
與上述實施例一相對應,所述待處理用戶的屬性信息可以是由所述第一網(wǎng)絡設備確定的,也可以是由第二網(wǎng)絡設備確定的。
(一)下面針對待處理用戶的屬性信息是由所述第二網(wǎng)絡設備確定的情形進行介紹。
本發(fā)明實施例中,第二網(wǎng)絡設備在接收到待處理用戶的連接請求,可以通過以下三種方式確定出待處理用戶的屬性信息,并向第一網(wǎng)絡設備發(fā)送認證請求消息,該認證請求消息中包括由第二網(wǎng)絡設備確定的待處理用戶的屬性信息。
方式一:
第二網(wǎng)絡設備根據(jù)待處理用戶的連接請求中的標識信息,確定未存儲與該標識信息關(guān)聯(lián)的屬性信息的情況下,直接將待處理用戶的初始屬性信息確定為待處理用戶的屬性信息。其中,待處理用戶的初始屬性信息為非標記屬性信息。
方式二:
第二網(wǎng)絡設備根據(jù)待處理用戶的連接請求中的標識信息,確定存儲有與該標識信息關(guān)聯(lián)的標記屬性信息的情況下,將待處理用戶的屬性信息更改為標記屬性信息。其中,該標記屬性信息是第二網(wǎng)絡設備根據(jù)接收到的第一網(wǎng)絡設備發(fā)送的更改指令而得到的。
方式三:
第二網(wǎng)絡設備根據(jù)待處理用戶的連接請求中的標識信息,確定之前接收到的恢復指令中包括將待處理用戶的屬性信息確定為非標記屬性信息的消息的情況下,將待處理用戶的屬性信息確定為非標記屬性信息。該非標記屬性信息可以為待處理用戶的初始屬性信息。
本發(fā)明實施例中,在步驟301之前,第二網(wǎng)絡設備接收第一網(wǎng)絡設備發(fā)送的更改指令,更改指令中包括下線消息和第一網(wǎng)絡設備為黑名單用戶配置的標 記屬性信息,第二網(wǎng)絡設備接收到更改指令后,根據(jù)更改指令中的下線消息對黑名單用戶進行下線處理,并將黑名單用戶的標識信息與更改指令中的標記屬性信息關(guān)聯(lián)存儲。黑名單用戶下線后,再次向第二網(wǎng)絡設備發(fā)送連接請求,第二網(wǎng)絡設備接收到連接請求后,將黑名單用戶的屬性信息更改為與黑名單用戶的標識信息關(guān)聯(lián)存儲的標記屬性信息,并向第一網(wǎng)絡設備發(fā)送包括該標記屬性信息的認證請求消息。
本發(fā)明實施例中,在步驟303之后,第二網(wǎng)絡設備接收所述第一網(wǎng)絡設備發(fā)送的恢復指令,恢復指令中包括下線消息和將白名單用戶的屬性信息確定為非標記屬性信息的消息。第二網(wǎng)絡設備接收到恢復指令后,根據(jù)恢復指令中的下線消息對白名單用戶進行下線處理,并存儲白名單用戶的標識信息。白名單用戶下線后,再次向第二網(wǎng)絡設備發(fā)送連接請求,第二網(wǎng)絡設備接收到連接請求后,確定連接請求中的標識信息與之前存儲的標識信息相同,則將白名單用戶的屬性信息確定為非標記屬性信息,并向第一網(wǎng)絡設備發(fā)送包括該非標記屬性信息的認證請求消息。
(二)下面針對待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的情形進行介紹。
第一網(wǎng)絡設備在確定所述黑名單用戶的標識信息與經(jīng)過第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向第二網(wǎng)絡設備發(fā)送下線指令。第二網(wǎng)絡設備根據(jù)下線指令對黑名單用戶進行下線處理,黑名單用戶下線后,向第二網(wǎng)絡設備發(fā)送連接請求,第二網(wǎng)絡設備根據(jù)所述連接請求向第一網(wǎng)絡設備發(fā)送黑名單用戶的認證請求消息,第一網(wǎng)絡設備在接收到認證請求消息后,確定黑名單用戶的屬性消息為標記屬性信息。
第一網(wǎng)絡設備在確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,向第二網(wǎng)絡設備發(fā)送下線指令。第二網(wǎng)絡設備根據(jù)下線指令對白名單用戶進行下線處理,白名單用戶下線后,向第二網(wǎng)絡設備發(fā)送連接請求,第二網(wǎng)絡設備根據(jù)所述連接請求向第一網(wǎng)絡設備發(fā)送白名單用戶的認 證請求消息,第一網(wǎng)絡設備在接收到認證請求消息后,確定白名單用戶的屬性消息為非標記屬性信息。
較佳地,本發(fā)明實施例中,接入?yún)?shù)消息中還可以包括第一網(wǎng)絡設備為待處理用戶配置的安全處置策略,例如對帶寬應急限速、指令特殊DNS(Domain Name System,域名系統(tǒng))等。第二網(wǎng)絡設備通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸,并根據(jù)上述安全處置策略對所述待處理用戶的數(shù)據(jù)進行控制,實現(xiàn)了對bot用戶實施限速管控,有效降低城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低。
本發(fā)明實施例中,第二網(wǎng)絡設備通過接收第一網(wǎng)絡設備發(fā)送待處理用戶的接入?yún)?shù)消息,并根據(jù)接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,使得待處理用戶的數(shù)據(jù)通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行傳輸,實現(xiàn)了第二網(wǎng)絡設備對該待處理用戶實施流量隔離和流量牽引,有效降低城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低,提高網(wǎng)絡正常運行的安全性。而且,通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行數(shù)據(jù)傳輸能夠精確牽引城域網(wǎng)中bot用戶發(fā)起攻擊的數(shù)據(jù)流量,便于集中處理,無需大面積部署流量處理設備。
本發(fā)明實施例中所涉及的第一網(wǎng)絡設備可以為RADIUS(Remote Authentication Dial In User Service,遠程驗證撥入用戶服務),第二網(wǎng)絡設備可以為BRAS(Broadband Remote Access Server,寬帶遠程接入服務器),第三網(wǎng)絡設備可以為LNS(L2TP Network Server,L2TP網(wǎng)絡服務器)。
優(yōu)選地,本發(fā)明實施例中還可以包括監(jiān)測系統(tǒng),監(jiān)測系統(tǒng)用于對用戶的狀態(tài)(包括用戶被惡意軟件感染后,成為bot用戶并發(fā)起網(wǎng)絡攻擊的狀態(tài)以及bot用戶排除惡意軟件控制的狀態(tài))進行監(jiān)測,并將監(jiān)測消息通過webservice接口發(fā)送給RADIUS。其中,監(jiān)測系統(tǒng)可以實時向RADIUS發(fā)送監(jiān)測信息,也可以按照設定的周期向RADIUS發(fā)送監(jiān)測信息,或者,在某些條件的觸發(fā)下,向RADIUS發(fā)送監(jiān)測信息,某些條件可以為人工設置的觸發(fā)條件,也可以為其它 觸發(fā)條件,本發(fā)明實施例對此不做限制。優(yōu)選地,為進一步提高對攻擊行為處理的及時性,本發(fā)明實施例中監(jiān)測系統(tǒng)實時向RADIUS發(fā)送監(jiān)測信息。
本發(fā)明實施例中,監(jiān)測消息中可以包括黑名單用戶的標識信息,也可以包括白名單用戶的標識信息。當RADIUS接收到黑名單用戶的標識信息后,則執(zhí)行對黑名單用戶進行處理的流程;當RADIUS接收到白名單用戶的標識信息后,則執(zhí)行對白名單用戶進行處理的流程。
以用戶a為例,當用戶a被惡意軟件感染后,監(jiān)測系統(tǒng)監(jiān)測到用戶a被惡意軟件感染,成為bot用戶并發(fā)起網(wǎng)絡攻擊的狀態(tài),則將用戶a標記為黑名單用戶,并用戶a的標識信息發(fā)送給RADIUS,RADIUS接收到用戶a的標識信息,并執(zhí)行對黑名單用戶進行處理的流程后,使得黑名單用戶a發(fā)起的網(wǎng)絡攻擊數(shù)據(jù)通過BRAS與LNS之間建立的隧道進行傳輸,以便于對t用戶a的攻擊流量做進一步的處理。在用戶a的數(shù)據(jù)經(jīng)過處理,并使得用戶a排除惡意軟件的控制后,監(jiān)測系統(tǒng)將用戶a標記為白名單用戶,并將用戶a的標識信息發(fā)送給RADIUS,RADIUS接收到用戶a已排除惡意軟件的控制的消息后,執(zhí)行對白名單用戶進行處理的流程,使得用戶a的數(shù)據(jù)由之前的通過BRAS與LNS之間建立的隧道進行傳輸恢復為不再通過BRAS與LNS之間建立的隧道進行數(shù)據(jù)傳輸。
本發(fā)明實施例中的待處理用戶可以為各個接入網(wǎng)絡的用戶中的一個。RADIUS接收到黑名單用戶的標識信息之前,待處理用戶首先發(fā)送正常的連接請求(通常為PPPoE請求)給BRAS,BRAS根據(jù)該正常的連接請求向RADIUS發(fā)送認證請求消息,此時,該認證請求消息中包括的待處理用戶的屬性信息為初始屬性信息,RADIUS根據(jù)BRAS發(fā)送的認證請求消息將待處理用戶接入網(wǎng)絡。待處理用戶接入網(wǎng)絡之后,有可能會被惡意軟件感染,成為bot用戶而發(fā)起網(wǎng)絡攻擊。本發(fā)明實施例正是基于用戶接入網(wǎng)絡后,被惡意軟件感染成為bot用戶而發(fā)起網(wǎng)絡攻擊的情形以及排除惡意軟件的控制的情形所做出的改進。
下面分別針對RADIUS接收到黑名單用戶的標識信息的情形下數(shù)據(jù)傳輸方法的實現(xiàn)過程,以及RADIUS接收到白名單用戶的標識信息的情形下數(shù)據(jù)傳輸 方法的實現(xiàn)過程進行具體介紹。
(一)針對RADIUS接收到黑名單用戶的標識信息的情形下,數(shù)據(jù)傳輸方法的一種實現(xiàn)過程
如圖4所示,為本發(fā)明實施例三提供的一種數(shù)據(jù)傳輸方法示意圖,該方法包括:
步驟401,RADIUS獲取黑名單用戶的標識信息。
可選地,黑名單用戶的標識信息可以為黑名單用戶的用戶名(即賬號),也可以為其它用于唯一識別黑名單用戶的信息。
步驟402,RADIUS確定所述待處理用戶的標識信息與所述黑名單用戶的標識信息相同的情況下,為該待處理用戶配置標記屬性信息,并向BRAS發(fā)送下線指令。
本步驟中,RADIUS獲取到黑名單用戶的標識信息后,查詢各個在線用戶,若確定待處理用戶的標識信息與所述黑名單用戶的標識信息相同,則說明該待處理用戶為黑名單用戶,此時,RADIUS為該待處理用戶配置標記屬性信息,將該標記屬性信息與待處理用戶的標識信息關(guān)聯(lián)存儲,并向BRAS發(fā)送下線指令,以指示BRAS執(zhí)行下一步的流程。
本發(fā)明實施例中,下線指令中可以包括通知BRAS強制待處理用戶下線的DM(Disconnect Message)消息。
本發(fā)明實施例中,用戶的屬性信息是指用戶的認證屬性信息,例如,可以為PPPoE(Point-to-Point Protocol over Ethernet,以太網(wǎng)上的點對點協(xié)議)認證屬性信息,也可以是L2TP(Layer Two Tunneling Protocol,第二層隧道協(xié)議)認證屬性信息。標記屬性信息是根據(jù)具體情況設置的,例如,可以將PPPoE認證屬性信息設置為標記屬性信息,也可以將L2TP認證屬性信息設置為標記屬性信息。本發(fā)明實施例中,針對城域網(wǎng)內(nèi)PPPoE用戶,將L2TP認證屬性信息設置為標記屬性信息。本步驟中,RADIUS為該待處理用戶配置的標記屬性信息即是指RADIUS為該待處理用戶配置的L2TP認證屬性信息。
步驟403,BRAS接收到RADIUS發(fā)送的下線指令后,根據(jù)下線指令中的DM消息將待處理用戶強制下線。
步驟404,待處理用戶下線后,重新向BRAS發(fā)起連接請求,該連接請求為PPPoE撥號請求。
步驟405,BRAS接收到待處理用戶發(fā)送的連接請求后,向RADIUS發(fā)送待處理用戶的認證請求消息。
步驟406,RADIUS接收到BRAS發(fā)送的待處理用戶的認證請求消息后,根據(jù)認證請求消息中的標識信息,確定存儲有與該標識信息關(guān)聯(lián)的標記屬性信息的情況下,將待處理用戶的屬性信息更改為標記屬性信息,并向BRAS發(fā)送待處理用戶的接入?yún)?shù)消息。
本步驟中,接入?yún)?shù)消息中通過私有屬性攜帶后綴域名信息、隧道參數(shù)。其中,后綴域名信息的格式形如“撥號帳號@后綴域名”,后綴域名即為域后綴,一種后綴域名對應一類用戶的屬性及其上網(wǎng)策略。
接入?yún)?shù)消息中還可以包括RADIUS為該待處理用戶配置的標記屬性信息,例如對帶寬應急限速、指令特殊DNS(Domain Name System,域名系統(tǒng))等。本發(fā)明實施例中,RADIUS在確定待處理用戶為被攻擊用戶的情況下,將安全處置策略發(fā)送給BRAS,使得在網(wǎng)絡接入邊緣層BRAS對被攻擊用戶實施限速管控,有效降低了城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低。
步驟407,BRAS接收到所述接入?yún)?shù)消息后,向待處理用戶返回PPPoE響應。
步驟408,BRAS根據(jù)所述接入?yún)?shù)消息中后綴域名對應的L2TP認證屬性信息或者隧道參數(shù),自身作為LAC(L2TP Access Concentrator,L2TP訪問集中器)向LNS發(fā)送L2TP認證請求。
步驟409,LNS接收到BRAS發(fā)送的L2TP認證請求后,驗證接入?yún)?shù)消息中的隧道參數(shù)是否正確,并在驗證正確的情況下,向BRAS返回正常建立隧道的響應包;BRAS收到LNS發(fā)送的響應包后,完成L2TP隧道的建立,進而實現(xiàn)待 處理用戶的數(shù)據(jù)流通過隧道傳輸。
步驟410,LNS將待處理用戶的數(shù)據(jù)流量轉(zhuǎn)發(fā)給集中處置平臺進行處理。
本發(fā)明實施例中,通過上述過程,在待處理用戶與BRAS之間建立PPPoE連接,在BRAS與LNS之間建立隧道連接,從而使得待處理用戶的數(shù)據(jù)通過隧道進行傳輸,進而能夠在待處理用戶成為黑名單用戶(bot用戶)而發(fā)起網(wǎng)絡攻擊的的情況下,將其攻擊數(shù)據(jù)流量進行隔離和牽引,便于對攻擊數(shù)據(jù)流量進一步的處理。
為了實現(xiàn)對黑名單用戶的攻擊數(shù)據(jù)流量的處理,本發(fā)明實施例還可以包括集中處置平臺,通過第三網(wǎng)絡設備將黑名單用戶的攻擊數(shù)據(jù)流量轉(zhuǎn)發(fā)至集中處置平臺,以使集中處置平臺對黑名單用戶的攻擊數(shù)據(jù)流量進行清洗和分析。進一步地,該集中處置平臺還可以對黑名單用戶進行安全預警告知的頁面推送,提醒用戶提高防范意識。
(二)針對RADIUS接收到黑名單用戶的標識信息的情形下,數(shù)據(jù)傳輸方法的另一種實現(xiàn)過程
如圖5所示,為本發(fā)明實施例四提供的一種數(shù)據(jù)傳輸方法示意圖,該方法包括:
步驟501,RADIUS獲取黑名單用戶的標識信息。
步驟502,RADIUS確定所述待處理用戶的標識信息與所述黑名單用戶的標識信息相同的情況下,并向BRAS發(fā)送更改指令。
本步驟中,RADIUS獲取到黑名單用戶的標識信息后,查詢各個在線用戶,若確定待處理用戶的標識信息與所述黑名單用戶的標識信息相同,則說明該待處理用戶為黑名單用戶,此時,RADIUS可向BRAS發(fā)送更改指令,以指示BRAS執(zhí)行下一步的流程。
本發(fā)明實施例中,更改指令中可以包括通知BRAS強制待處理用戶下線的DM(Disconnect Message)消息,還可以包括RADIUS為該待處理用戶配置的標記屬性信息。
步驟503,BRAS接收到RADIUS發(fā)送的更改指令后,根據(jù)更改指令中的DM消息將待處理用戶強制下線,并保存更改指令中的標記屬性信息,以便于在接收到待處理用戶下線后發(fā)送的連接請求后,將待處理用戶的屬性更改為更改指令中的標記屬性信息。可選地,BRAS可將待處理用戶的標識信息與更改指令中的標記屬性信息關(guān)聯(lián)保存。
步驟504,待處理用戶下線后,重新向BRAS發(fā)起連接請求,該連接請求為PPPoE撥號請求。
步驟505,BRAS接收到待處理用戶發(fā)送的連接請求后,確定該連接請求中待處理用戶的標識信息與之前保存的標記屬性信息所關(guān)聯(lián)的標識信息相同的情況下,將待處理用戶的屬性信息更改為標記屬性信息,即BRAS將待處理用戶的PPPoE認證屬性信息更改為L2TP認證屬性信息,然后,向RADIUS發(fā)送認證請求消息;該認證請求消息中包括BRAS為待處理用戶更改后的標記屬性信息。
步驟506,RADIUS接收到BRAS發(fā)送的待處理用戶的認證請求消息后,確定待處理用戶的屬性信息為標記屬性信息,則向BRAS發(fā)送待處理用戶的接入?yún)?shù)消息。
本步驟中,接入?yún)?shù)消息中通過私有屬性攜帶后綴域名信息、隧道參數(shù)。其中,后綴域名信息的格式形如“撥號帳號@后綴域名”,后綴域名即為域后綴,一種后綴域名對應一類用戶的屬性及其上網(wǎng)策略。
接入?yún)?shù)消息中還可以包括RADIUS為該待處理用戶配置的標記屬性信息,例如對帶寬應急限速、指令特殊DNS(Domain Name System,域名系統(tǒng))等。本發(fā)明實施例中,RADIUS在確定待處理用戶為被攻擊用戶的情況下,將安全處置策略發(fā)送給BRAS,使得在網(wǎng)絡接入邊緣層BRAS對被攻擊用戶實施限速管控,有效降低了城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低。
步驟507,BRAS接收到所述接入?yún)?shù)消息后,向待處理用戶返回PPPoE響應。
步驟508,BRAS根據(jù)所述接入?yún)?shù)消息中后綴域名對應的L2TP認證屬性信息或者隧道參數(shù),自身作為LAC(L2TP Access Concentrator,L2TP訪問集中器)向LNS發(fā)送L2TP認證請求。
步驟509,LNS接收到BRAS發(fā)送的L2TP認證請求后,驗證接入?yún)?shù)消息中的隧道參數(shù)是否正確,并在驗證正確的情況下,向BRAS返回正常建立隧道的響應包;BRAS收到LNS發(fā)送的響應包后,完成L2TP隧道的建立,進而實現(xiàn)待處理用戶的數(shù)據(jù)流通過隧道傳輸。
步驟510,LNS將待處理用戶的數(shù)據(jù)流量轉(zhuǎn)發(fā)給集中處置平臺進行處理。
本發(fā)明實施例中,通過上述過程,在待處理用戶與BRAS之間建立PPPoE連接,在BRAS與LNS之間建立隧道連接,從而使得待處理用戶的數(shù)據(jù)通過隧道進行傳輸,進而能夠在待處理用戶成為黑名單用戶(bot用戶)而發(fā)起網(wǎng)絡攻擊的的情況下,將其攻擊數(shù)據(jù)流量進行隔離,便于對攻擊數(shù)據(jù)流量進一步的處理。
另一方面,上述過程中,通過BRAS來確定待處理用戶的屬性信息為標記屬性信息或非標記屬性信息,使得RADIUS只需對待處理用戶的屬性信息進行判斷,進一步節(jié)約了RADIUS的資源,降低了RADIUS的處理負擔。
(三)針對RADIUS接收到白名單用戶的標識信息的情形下數(shù)據(jù)傳輸方法的一種實現(xiàn)過程
如圖6所示,為本發(fā)明實施例五提供的一種數(shù)據(jù)傳輸方法示意圖,該方法包括:
步驟601,RADIUS獲取白名單用戶的標識信息。
可選地,白名單用戶的標識信息可以為白名單用戶的用戶名(即賬號),也可以為其它用于唯一識別白名單用戶的信息。
步驟602,RADIUS確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,向BRAS發(fā)送下線指令。
本步驟中,RADIUS獲取到白名單用戶的標識信息后,查詢各個在線用戶, 若確定待處理用戶的標識信息與所述白名單用戶的標識信息相同,則說明該待處理用戶為白名單用戶,此時,RADIUS可向BRAS發(fā)送下線指令,以指示BRAS執(zhí)行下一步的流程。
本發(fā)明實施例中,下線指令中可以包括通知BRAS強制待處理用戶下線的DM(Disconnect Message)消息。
步驟603,BRAS接收到RADIUS發(fā)送的下線指令后,根據(jù)下線指令中的DM消息將待處理用戶強制下線。
步驟604,待處理用戶下線后,重新向BRAS發(fā)起連接請求,該連接請求為PPPoE撥號請求。
步驟605,BRAS接收到待處理用戶發(fā)送的連接請求后,向RADIUS發(fā)送認證請求消息。
步驟606,RADIUS接收到BRAS發(fā)送的待處理用戶的認證請求消息后,根據(jù)認證請求消息中的標識信息,確定該標識信息與白名單用戶的標識信息相同的情況下,確定待處理用戶的屬性信息為非標記屬性信息。該非標記屬性信息可以為待處理用戶的初始屬性信息。RADIUS將對待處理用戶進行認證的認證結(jié)果發(fā)送給BRAS。
步驟607,BRAS接收到認證結(jié)果后,在確定認證結(jié)果為認證通過的情況下,向待處理用戶發(fā)送PPPoE響應報文,建立PPPoE連接。
本發(fā)明實施例中,通過上述過程,在黑名單用戶排除惡意軟件的控制,成為白名單用戶后,能夠及時將該用戶由之前的通過BRAS與LNS之間建立的隧道進行數(shù)據(jù)傳輸恢復為不再通過BRAS與LNS之間建立的隧道進行數(shù)據(jù)傳輸,便于僅對黑名單用戶發(fā)起的攻擊流量進行隔離和牽引,降低集中處置平臺的處理負擔。
待處理用戶與BRAS之間建立PPPoE連接,在BRAS與LNS之間建立隧道連接,從而使得待處理用戶的數(shù)據(jù)通過隧道進行傳輸,進而能夠在待處理用戶成為黑名單用戶(bot用戶)而發(fā)起網(wǎng)絡攻擊的的情況下,將其攻擊數(shù)據(jù)流量進行 隔離,便于對攻擊數(shù)據(jù)流量進一步的處理。
(四)針對RADIUS接收到白名單用戶的標識信息的情形下數(shù)據(jù)傳輸方法的另一種實現(xiàn)過程
如圖7所示,為本發(fā)明實施例六提供的一種數(shù)據(jù)傳輸方法示意圖,該方法包括:
步驟701,RADIUS獲取白名單用戶的標識信息。
步驟702,RADIUS確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,向BRAS發(fā)送恢復指令。
本步驟中,RADIUS獲取到白名單用戶的標識信息后,查詢各個在線用戶,若確定待處理用戶的標識信息與所述白名單用戶的標識信息相同,則說明該待處理用戶為白名單用戶,此時,RADIUS可向BRAS發(fā)送恢復指令,以指示BRAS執(zhí)行下一步的流程。
本發(fā)明實施例中,恢復指令中可以包括通知BRAS強制待處理用戶下線的DM(Disconnect Message)消息,還可以包括將待處理用戶的屬性信息確定為非標記屬性信息(即PPPoE認證屬性信息)的消息。
步驟703,BRAS接收到RADIUS發(fā)送的恢復指令后,根據(jù)恢復指令中的DM消息將待處理用戶強制下線。
步驟704,待處理用戶下線后,重新向BRAS發(fā)起連接請求,該連接請求為PPPoE撥號請求。
步驟705,BRAS接收到待處理用戶發(fā)送的連接請求后,根據(jù)之前接收到的恢復指令,將待處理用戶的屬性信息確定為非標記屬性信息(即PPPoE認證屬性信息)的消息,并向RADIUS發(fā)送認證請求消息;該認證請求消息中包括BRAS為待處理用戶確定的PPPoE認證屬性信息。
步驟706,RADIUS接收到BRAS發(fā)送的待處理用戶的認證請求消息后,確定待處理用戶的屬性信息為PPPoE認證屬性信息,即非標記屬性信息,則對待處理用戶進行認證,并將認證結(jié)果發(fā)送給BRAS。
步驟707,BRAS接收到認證結(jié)果后,在確定認證結(jié)果為認證通過的情況下,向待處理用戶發(fā)送PPPoE響應報文,建立PPPoE連接。
本發(fā)明實施例中,通過上述過程,在黑名單用戶排除惡意軟件的控制,成為白名單用戶后,能夠及時將該用戶由之前的通過BRAS與LNS之間建立的隧道進行數(shù)據(jù)傳輸恢復為不再通過BRAS與LNS之間建立的隧道進行數(shù)據(jù)傳輸,便于僅對黑名單用戶發(fā)起的攻擊流量進行隔離和牽引,降低集中處置平臺的處理負擔。
另一方面,上述過程中,通過BRAS來確定待處理用戶的屬性信息為標記屬性信息或非標記屬性信息,使得RADIUS只需對待處理用戶的屬性信息進行判斷,進一步節(jié)約了RADIUS的資源,降低了RADIUS的處理負擔。
本發(fā)明的上述實施例中,第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;所述第一網(wǎng)絡設備在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸;本發(fā)明實施例中,待處理用戶的屬性信息可以是由第一網(wǎng)絡設備確定的,也可以是第一網(wǎng)絡設備根據(jù)認證請求消息中包括的待處理用戶的屬性信息得到的。本發(fā)明實施例中,第一網(wǎng)絡設備在確定待處理用戶的屬性信息為標記屬性信息的情況下,將待處理用戶確定為黑名單用戶,從而通過向第二網(wǎng)絡設備發(fā)送接入?yún)?shù)消息,以使待處理用戶的數(shù)據(jù)通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行傳輸,實現(xiàn)了第二網(wǎng)絡設備對該待處理用戶實施流量隔離和流量牽引,有效降低城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低,提高網(wǎng)絡正常運行的安全性。而且,通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行數(shù)據(jù)傳輸能夠精確牽引城域網(wǎng)中黑名單用戶發(fā)起攻擊的數(shù)據(jù)流量,便于集中處理,無需大面積部署流量處理設備。
針對上述方法流程,本發(fā)明實施例還提供一種網(wǎng)絡設備,該網(wǎng)絡設備的具 體內(nèi)容可以參照上述方法實施,在此不再贅述。
圖8為本發(fā)明實施例七提供的一種網(wǎng)絡設備的結(jié)構(gòu)示意圖,該網(wǎng)絡設備包括:
收發(fā)模塊801,用于接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;
處理模塊802,用于在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,通過所述收發(fā)模塊801向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸;所述待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的;或者,所述待處理用戶的屬性信息是所述第一網(wǎng)絡設備根據(jù)所述認證請求消息中包括的待處理用戶的屬性信息得到的。
較佳地,所述處理模塊802還用于:
確定所述待處理用戶的屬性信息為初始屬性信息,所述初始屬性信息為非標記屬性信息;或,
根據(jù)獲取到的黑名單用戶的標識信息確定所述待處理用戶的屬性信息為標記屬性信息;或,
根據(jù)獲取到的白名單用戶的標識信息確定所述待處理用戶的屬性信息為非標記屬性信息。
較佳地,所述處理模塊802還用于:
獲取黑名單用戶的標識信息;
確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送下線指令,以使所述第二網(wǎng)絡設備根據(jù)所述下線指令對標識信息相同的用戶進行下線處理;其中,所述標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶;并在所述收發(fā)模塊接收到所述第二網(wǎng)絡設備發(fā)送的待處 理用戶的認證請求消息之后,將所述待處理用戶的屬性信息確定為標記屬性信息。
較佳地,所述處理模塊802還用于:
獲取黑名單用戶的標識信息;
確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送更改指令,以使所述第二網(wǎng)絡設備將標識信息相同的用戶的屬性信息更改為標記屬性信息;其中,所述標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶。
較佳地,所述處理模塊802還用于:
獲取白名單用戶的標識信息;
確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送下線指令,以使所述第二網(wǎng)絡設備根據(jù)所述下線指令對所述待處理用戶進行下線處理;并在所述收發(fā)模塊接收到所述第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息之后,將所述待處理用戶的屬性信息確定為非標記屬性信息。
較佳地,所述處理模塊802還用于:
獲取白名單用戶的標識信息;
確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下,通過所述收發(fā)模塊801向所述第二網(wǎng)絡設備發(fā)送恢復指令,以使所述第二網(wǎng)絡設備根據(jù)所述恢復指令將所述待處理用戶的屬性信息確定為非標記屬性信息。
針對上述方法流程,本發(fā)明實施例還提供另一種網(wǎng)絡設備,該網(wǎng)絡設備的具體內(nèi)容可以參照上述方法實施,在此不再贅述。
圖9為本發(fā)明實施例八提供的一種網(wǎng)絡設備的結(jié)構(gòu)示意圖,該網(wǎng)絡設備包 括:
收發(fā)模塊901,用于向第一網(wǎng)絡設備發(fā)送待處理用戶的認證請求消息;所述認證請求消息中包括所述待處理用戶的屬性信息;以及接收所述第一網(wǎng)絡設備發(fā)送的所述待處理用戶的接入?yún)?shù)消息;所述待處理用戶的接入?yún)?shù)消息是所述第一網(wǎng)絡設備確定所述待處理用戶的屬性信息為標記屬性信息的情況下發(fā)送的;所述待處理用戶的屬性信息是由所述第一網(wǎng)絡設備確定的;或者,所述認證請求消息中包括由所述第二網(wǎng)絡設備確定的所述待處理用戶的屬性信息;
處理模塊902,用于根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸。
較佳地,所述收發(fā)模塊901還用于:
接收所述待處理用戶的連接請求;
所述處理模塊902還用于根據(jù)以下方式確定所述待處理用戶的屬性信息:
確定所述待處理用戶的屬性信息為初始屬性信息,所述初始屬性信息為非標記屬性信息;或,
確定根據(jù)所述第一網(wǎng)絡設備發(fā)送的更改指令確定所述待處理用戶的屬性信息為標記屬性信息;或,
確定根據(jù)所述第一網(wǎng)絡設備發(fā)送的恢復指令確定所述待處理用戶的屬性信息為非標記屬性信息。
較佳地,所述收發(fā)模塊901還用于:
接收所述第一網(wǎng)絡設備發(fā)送的更改指令;所述更改指令是所述第一網(wǎng)絡設備確定所述黑名單用戶的標識信息與經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶的標識信息相同的情況下,向所述第二網(wǎng)絡設備發(fā)送的;其中,標識信息相同的用戶為所述待處理用戶;所述經(jīng)過所述第一網(wǎng)絡設備初始認證的用戶是指所述第一網(wǎng)絡設備確定用戶的屬性信息為非標記屬性信息的情況下接入網(wǎng)絡的用戶;
所述處理模塊902還用于:
根據(jù)所述更改指令對所述待處理用戶進行下線處理,并在所述收發(fā)模塊901接收到所述待處理用戶發(fā)送的連接請求后,將所述待處理用戶的屬性信息更改為標記屬性信息。
較佳地,所述收發(fā)模塊901還用于:
接收所述第一網(wǎng)絡設備發(fā)送的恢復指令;所述恢復指令是所述第一網(wǎng)絡設備確定所述待處理用戶的標識信息與所述白名單用戶的標識信息相同的情況下發(fā)送的;
所述處理模塊902還用于:
根據(jù)所述恢復指令對所述待處理用戶進行下線處理,并在所述收發(fā)模塊901接收到所述待處理用戶發(fā)送的連接請求后,將所述待處理用戶的屬性信息確定為非標記屬性信息。
較佳地,所述接入?yún)?shù)消息中還包括所述第一網(wǎng)絡設備為所述待處理用戶配置的安全處置策略;
所述處理模塊902還用于:
通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸,并根據(jù)所述安全處置策略對所述待處理用戶的數(shù)據(jù)進行控制。
圖10為本發(fā)明實施例九提供的一種數(shù)據(jù)傳輸系統(tǒng)架構(gòu)示意圖,包括:第一網(wǎng)絡設備1001、第二網(wǎng)絡設備1002、第三網(wǎng)絡設備1003以及集中處置平臺1004;
所述第一網(wǎng)絡設備1001用于接收所述第二網(wǎng)絡設備1002發(fā)送的待處理用戶的認證請求消息;在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備1002發(fā)送所述待處理用戶的接入?yún)?shù)消息;
所述第二網(wǎng)絡設備1002用于向所述第一網(wǎng)絡設備1001發(fā)送待處理用戶的認證請求消息,接收所述第一網(wǎng)絡設備1001發(fā)送的所述待處理用戶的接入?yún)?shù)消息,以及根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備1003建立連接,并通過建立的連接進行數(shù)據(jù)傳輸;
所述第三網(wǎng)絡設備1003用于與所述第二網(wǎng)絡設備1002建立連接,以及將所述待處理用戶的流量發(fā)送給所述集中處置平臺1004;
所述集中處置平臺1004用于接收所述第三網(wǎng)絡設備1003發(fā)送的所述待處理用戶的流量,并對所述所述待處理用戶的流量進行處理。
從上述內(nèi)容可以看出:本發(fā)明實施例中,第一網(wǎng)絡設備接收第二網(wǎng)絡設備發(fā)送的待處理用戶的認證請求消息;所述第一網(wǎng)絡設備在確定所述待處理用戶的屬性信息為標記屬性信息的情況下,向所述第二網(wǎng)絡設備發(fā)送所述待處理用戶的接入?yún)?shù)消息,以使所述第二網(wǎng)絡設備根據(jù)所述接入?yún)?shù)消息與第三網(wǎng)絡設備建立連接,并通過建立的連接為所述待處理用戶進行數(shù)據(jù)傳輸;本發(fā)明實施例中,待處理用戶的屬性信息可以是由第一網(wǎng)絡設備確定的,也可以是第一網(wǎng)絡設備根據(jù)認證請求消息中包括的待處理用戶的屬性信息得到的。本發(fā)明實施例中,第一網(wǎng)絡設備在確定待處理用戶的屬性信息為標記屬性信息的情況下,將待處理用戶確定為黑名單用戶,從而通過向第二網(wǎng)絡設備發(fā)送接入?yún)?shù)消息,以使待處理用戶的數(shù)據(jù)通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行傳輸,實現(xiàn)了第二網(wǎng)絡設備對該待處理用戶實施流量隔離和流量牽引,有效降低城域網(wǎng)核心設備壓力,將網(wǎng)絡攻擊的影響程度降到最低,提高網(wǎng)絡正常運行的安全性。而且,通過第二網(wǎng)絡設備和第三網(wǎng)絡設備建立的連接進行數(shù)據(jù)傳輸能夠精確牽引城域網(wǎng)中黑名單用戶發(fā)起攻擊的數(shù)據(jù)流量,便于集中處理,無需大面積部署流量處理設備。
本領域內(nèi)的技術(shù)人員應明白,本發(fā)明的實施例可提供為方法、或計算機程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且,本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、CD-ROM、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。
本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和 /或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器,使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。
這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中,使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。
這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上,使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理,從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。
盡管已描述了本發(fā)明的優(yōu)選實施例,但本領域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對這些實施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實施例以及落入本發(fā)明范圍的所有變更和修改。
顯然,本領域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動和變型在內(nèi)。