本發(fā)明涉及通信技術應用領域，具體而言，涉及一種用于構建虛擬專用網(wǎng)絡的方法、裝置和系統(tǒng)。

背景技術：

隨著互聯(lián)網(wǎng)技術的廣泛使用，除了方便人們上網(wǎng)獲取信息外，如何保障在使用互聯(lián)網(wǎng)的過程中保證安全，也成為了互聯(lián)網(wǎng)安全一直關注的問題。

為保障企業(yè)級的企業(yè)與企業(yè)、團體與團體或個人與企業(yè)之間的互聯(lián)網(wǎng)安全，虛擬專用網(wǎng)絡(virtualprivatenetwork，簡稱vpn)是一種常用于連接企業(yè)級或團體間的私人網(wǎng)絡的通信方法，vpn網(wǎng)絡的訊息通過公用的網(wǎng)絡架構來傳送內(nèi)聯(lián)網(wǎng)的網(wǎng)絡訊息，例如在互聯(lián)網(wǎng)的構架中，根據(jù)利用已加密的通道協(xié)議(tunnelingprotocol)來達到保密、發(fā)送端認證、消息準確性等私人消息安全效果。vpn技術實現(xiàn)了可以通過使用不安全的網(wǎng)絡(例如：互聯(lián)網(wǎng))來發(fā)送可靠、安全的消息。vpn有多種分類方式，主要是按協(xié)議進行分類。vpn可通過服務器、硬件、軟件等多種方式實現(xiàn)。目前使用最普遍的還是軟件vpn，常見的軟件協(xié)議包括：點對點隧道協(xié)議(pointtopointtunnelingprotocol，簡稱pptp)，第二層隧道協(xié)議(layer2，簡稱l2tp)，internet安全協(xié)議(internetprotocolsecurity，簡稱ipsec)，通用路由封裝協(xié)議(genericroutingencapsulation，簡稱gre)等。

但是相關技術中vpn的實現(xiàn)過程很復雜，需要在客戶端側(cè)和服務端側(cè)添加虛擬網(wǎng)卡等設備。在特定的應用場景下無法滿足使用需求。比如在無盤工作站環(huán)境下，由于添加網(wǎng)卡等硬件設備需要重啟，但是在無盤工作站情況下一但重啟所有改動都會還原。因此在這樣的場景下就無法做到即插即用，最重要的是，在建立vpn隧道的過程中，如果網(wǎng)絡設備不支持特定隧道協(xié)議將會導致隧道無法建立。最典型的應用場景就是家庭路由器大多都無法支持通用路由封裝(genericroutingencapsulation，簡稱gre)隧道。由此可見，當vpn網(wǎng)絡兩側(cè)設備不兼容特定的通信協(xié)議時，vpn隧道將無法建立。

針對上述相關技術中由于vpn網(wǎng)絡兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題，導致vpn隧道無法建立的問題，目前尚未提出有效的解決方案。

技術實現(xiàn)要素：

本發(fā)明實施例提供了一種用于構建虛擬專用網(wǎng)絡的方法、裝置和系統(tǒng)，以至少解決由于vpn網(wǎng)絡兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題，導致vpn隧道無法建立的技術問題。

根據(jù)本發(fā)明實施例的一個方面，提供了一種用于構建虛擬專用網(wǎng)絡的方法，包括：檢測預先接收到的協(xié)議報文的報文類型；當協(xié)議報文的報文類型為第一類協(xié)議報文時，將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文。

根據(jù)本發(fā)明實施例的一個方面，提供了另一種用于構建虛擬專用網(wǎng)絡的方法，包括：接收客戶端發(fā)送的第二類協(xié)議報文；判斷第二類協(xié)議報文中的報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口。

根據(jù)本發(fā)明實施例的另一方面，還提供了一種用于構建虛擬專用網(wǎng)絡的裝置，包括：檢測模塊，用于檢測預先接收到的協(xié)議報文的報文類型；轉(zhuǎn)換模塊，用于當協(xié)議報文的報文類型為第一類協(xié)議報文時，將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；判斷模塊，用于檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；發(fā)送模塊，用于在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文。

根據(jù)本發(fā)明實施例的另一方面，還提供了另一種用于構建虛擬專用網(wǎng)絡的裝置，包括：接收模塊，用于接收客戶端發(fā)送的第二類協(xié)議報文；判斷模塊，用于判斷第二類協(xié)議報文中的報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；發(fā)送模塊，用于在判斷結果為否的情況下，依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口。

根據(jù)本發(fā)明實施例的又一方面，還提供了一種用于構建虛擬專用網(wǎng)絡的系統(tǒng)，包括：客戶端隧道裝置和隧道網(wǎng)絡設備，客戶端隧道裝置和隧道網(wǎng)絡設備通信連接，其中，客戶端隧道裝置，用于通過檢測接收到的協(xié)議報文的報文類型，將報文類型為第一類協(xié)議報文的協(xié)議報文轉(zhuǎn)換為用于在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文，通過檢測第二類協(xié)議報文中的報文參數(shù)，判斷協(xié)議報文是否存在網(wǎng)絡攻擊的攻擊特征，在判斷結果為否的情況下，發(fā)送協(xié)議報文；隧道網(wǎng)絡設備，與客戶端隧道裝置通信連接，用于接收客戶端隧道裝置發(fā)送的第二類協(xié)議報文，通過檢測第二類協(xié)議報文是否 存在網(wǎng)絡攻擊，在判斷結果為否的情況下，依據(jù)服務器的類型將解密后的第二類協(xié)議報文發(fā)送至對應的發(fā)送端口；其中，客戶端隧道裝置為上述一種用于構建虛擬專用網(wǎng)絡的裝置；隧道網(wǎng)絡設備為上述另一種用于構建虛擬專用網(wǎng)絡的裝置。

在本發(fā)明實施例中，通過檢測預先接收到的協(xié)議報文的報文類型；當協(xié)議報文的報文類型為第一類協(xié)議報文時，將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文，達到了vpn網(wǎng)絡中的兩側(cè)支持不同通信協(xié)議的設備兼容的目的，從而實現(xiàn)了建立vpn隧道的技術效果，進而解決了由于vpn網(wǎng)絡兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題，導致vpn隧道無法建立的技術問題。

附圖說明

此處所說明的附圖用來提供對本發(fā)明的進一步理解，構成本申請的一部分，本發(fā)明的示意性實施例及其說明用于解釋本發(fā)明，并不構成對本發(fā)明的不當限定。在附圖中：

圖1是本發(fā)明實施例的一種用于構建虛擬專用網(wǎng)絡的方法的計算機終端的硬件結構框圖；

圖2是根據(jù)本發(fā)明實施例一的用于構建虛擬專用網(wǎng)絡的方法的流程圖；

圖3是根據(jù)本發(fā)明實施例一的用于構建虛擬專用網(wǎng)絡的方法中客戶端隧道裝置的結構示意圖；

圖4是根據(jù)本發(fā)明實施例一的用于構建虛擬專用網(wǎng)絡的方法中客戶端隧道裝置中隧道業(yè)務裝置的結構示意圖；

圖5是根據(jù)本發(fā)明實施例二的用于構建虛擬專用網(wǎng)絡的方法的流程圖；

圖6是根據(jù)本發(fā)明實施例二的用于構建虛擬專用網(wǎng)絡的方法中隧道終結裝置的結構示意圖；

圖7是根據(jù)本發(fā)明實施例三的用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖8是根據(jù)本發(fā)明實施例三的一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖9是根據(jù)本發(fā)明實施例三的另一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖10是根據(jù)本發(fā)明實施例三的又一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖11是根據(jù)本發(fā)明實施例三的再一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖12是根據(jù)本發(fā)明實施例四的用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖13是根據(jù)本發(fā)明實施例四的一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖14是根據(jù)本發(fā)明實施例四的另一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖15是根據(jù)本發(fā)明實施例四的又一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖；

圖16是根據(jù)本申請實施例的用于構建虛擬專用網(wǎng)絡的系統(tǒng)的結構示意圖。

具體實施方式

為了使本技術領域的人員更好地理解本發(fā)明方案，下面將結合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分的實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都應當屬于本發(fā)明保護的范圍。

需要說明的是，本發(fā)明的說明書和權利要求書及上述附圖中的術語“第一”、“第二”等是用于區(qū)別類似的對象，而不必用于描述特定的順序或先后次序。應該理解這樣使用的數(shù)據(jù)在適當情況下可以互換，以便這里描述的本發(fā)明的實施例能夠以除了在這里圖示或描述的那些以外的順序?qū)嵤?。此外，術語“包括”和“具有”以及他們的任何變形，意圖在于覆蓋不排他的包含，例如，包含了一系列步驟或單元的過程、方法、系統(tǒng)、產(chǎn)品或設備不必限于清楚地列出的那些步驟或單元，而是可包括沒有清楚地列出的或?qū)τ谶@些過程、方法、產(chǎn)品或設備固有的其它步驟或單元。

本申請實施例提供的一種用于構建虛擬專用網(wǎng)絡的方法所涉及的技術名詞：

虛擬專用網(wǎng)絡，virtualprivatenetwork，簡稱vpn；

用戶數(shù)據(jù)報協(xié)議，userdatagramprotocol，簡稱udp；

傳輸控制協(xié)議，transmissioncontrolprotocol，簡稱tcp；

循環(huán)冗余碼校驗，cyclicalredundancycheck，簡稱crc。

實施例1

根據(jù)本發(fā)明實施例，還提供了一種用于構建虛擬專用網(wǎng)絡的方法的方法實施例，需要說明的是，在附圖的流程圖示出的步驟可以在諸如一組計算機可執(zhí)行指令的計算機系統(tǒng)中執(zhí)行，并且，雖然在流程圖中示出了邏輯順序，但是在某些情況下，可以以不同于此處的順序執(zhí)行所示出或描述的步驟。

本申請實施例一所提供的方法實施例可以在移動終端、計算機終端或者類似的運算裝置中執(zhí)行。以運行在計算機終端上為例，圖1是本發(fā)明實施例的一種用于構建虛擬專用網(wǎng)絡的方法的計算機終端的硬件結構框圖。如圖1所示，計算機終端10可以包括一個或多個(圖中僅示出一個)處理器102(處理器102可以包括但不限于微處理器mcu或可編程邏輯器件fpga等的處理裝置)、用于存儲數(shù)據(jù)的存儲器104、以及用于通信功能的傳輸模塊106。本領域普通技術人員可以理解，圖1所示的結構僅為示意，其并不對上述電子裝置的結構造成限定。例如，計算機終端10還可包括比圖1中所示更多或者更少的組件，或者具有與圖1所示不同的配置。

存儲器104可用于存儲應用軟件的軟件程序以及模塊，如本發(fā)明實施例中的用于構建虛擬專用網(wǎng)絡的方法對應的程序指令/模塊，處理器102通過運行存儲在存儲器104內(nèi)的軟件程序以及模塊，從而執(zhí)行各種功能應用以及數(shù)據(jù)處理，即實現(xiàn)上述的應用程序的漏洞檢測方法。存儲器104可包括高速隨機存儲器，還可包括非易失性存儲器，如一個或者多個磁性存儲裝置、閃存、或者其他非易失性固態(tài)存儲器。在一些實例中，存儲器104可進一步包括相對于處理器102遠程設置的存儲器，這些遠程存儲器可以通過網(wǎng)絡連接至計算機終端10。上述網(wǎng)絡的實例包括但不限于互聯(lián)網(wǎng)、企業(yè)內(nèi)部網(wǎng)、局域網(wǎng)、移動通信網(wǎng)及其組合。

傳輸裝置106用于經(jīng)由一個網(wǎng)絡接收或者發(fā)送數(shù)據(jù)。上述的網(wǎng)絡具體實例可包括計算機終端10的通信供應商提供的無線網(wǎng)絡。在一個實例中，傳輸裝置106包括一個網(wǎng)絡適配器(networkinterfacecontroller，簡稱nic)，其可通過基站與其他網(wǎng)絡設備相連從而可與互聯(lián)網(wǎng)進行通訊。在一個實例中，傳輸裝置106可以為射頻(radiofrequency，簡稱rf)模塊，其用于通過無線方式與互聯(lián)網(wǎng)進行通訊。

在上述運行環(huán)境下，本申請?zhí)峁┝巳鐖D2所示的用于構建虛擬專用網(wǎng)絡的方法。圖2是根據(jù)本發(fā)明實施例一的用于構建虛擬專用網(wǎng)絡的方法的流程圖。

步驟s202，檢測預先接收到的協(xié)議報文的報文類型；

本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法可以適用于虛擬專用網(wǎng)絡(virtualprivatenetwork，簡稱vpn)的建立，其中，以用戶數(shù)據(jù)報協(xié)議(userdatagramprotocol，簡稱udp)作為vpn隧道通信協(xié)議，解決vpn隧道兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題。

本申請上述步驟s202中，在客戶端側(cè)，在客戶端的應用層配置客戶端隧道裝置，通過應用層協(xié)議對接裝置檢測接收到的協(xié)議報文的報文類型，其中，在本申請實施例提供的客戶端中，該客戶端可以包括：筆記本電腦、臺式電腦、平板電腦及私人電腦(personalcomputer，簡稱pc)等能夠接入支持udp協(xié)議的客戶端。在本申請實施例中終端以pc為例進行說明，具體如下：pc的應用層協(xié)議對接裝置檢測由pc的應用程序發(fā)送的協(xié)議報文的報文類型，檢測當前協(xié)議報文的報文類型是udp協(xié)議或tcp協(xié)議。

這里本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法，以對接裝置處理隧道和現(xiàn)用7層協(xié)議(tcp和udp)如何對接為例，解決vpn隧道兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題。

其中，本申請實施例中協(xié)議報文的報文類型包括：用戶數(shù)據(jù)報協(xié)議(userdatagramprotocol，簡稱udp)或傳輸控制協(xié)議(transmissioncontrolprotocol，簡稱tcp)，在本申請實施例中將以tcp協(xié)議結構封裝的報文作為第一類協(xié)議報文，將以udp協(xié)議結構封裝的報文作為第二類協(xié)議報文。

在本申請實施例中vpn隧道的通信協(xié)議為udp協(xié)議進行，由于udp協(xié)議為常用協(xié)議，所有的網(wǎng)絡設備均支持該協(xié)議，以此解決兼容性的風險。

步驟s204，當協(xié)議報文的報文類型為第一類協(xié)議報文時，將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；

基于步驟s202，報文類型仍舊以udp協(xié)議和tcp協(xié)議為例，本申請上述步驟s204中，當上述應用層協(xié)議對接裝置檢測到接收到的協(xié)議報文的報文類型為tcp協(xié)議報文時，為了避免vpn隧道的另一側(cè)的服務器為支持udp協(xié)議的設備，這里將tcp協(xié)議報文轉(zhuǎn)換為以udp協(xié)議結構封裝的報文，由此得到，轉(zhuǎn)換為udp協(xié)議報文的報文。下述第二類協(xié)議報文則為udp協(xié)議報文。

步驟s206，檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；

本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法在解決建立vpn網(wǎng)絡時遇到的兼容問題，還解決了對在建立vpn網(wǎng)絡時，pc發(fā)送的udp協(xié)議報文是否對vpn 隧道的另一頭的服務器存在網(wǎng)絡攻擊的問題。

基于步驟s204，在得到適用于vpn隧道進行通信的udp協(xié)議報文后，本申請上述步驟s206中，在pc發(fā)送該udp協(xié)議報文前，需通過pc中的隧道業(yè)務裝置對該udp協(xié)議報文進行數(shù)據(jù)檢測，通過檢測該udp協(xié)議報文中的報文參數(shù)，判斷該報文參數(shù)是否存在與網(wǎng)絡攻擊的攻擊特征匹配的特征。

這里udp協(xié)議報文中的報文參數(shù)可以包括：udp協(xié)議報文中數(shù)據(jù)的奇偶校驗值、數(shù)據(jù)的循環(huán)冗余碼校驗值(cyclicalredundancycheck，簡稱crc)、報文長度、通信用到的目的ip和目的端口等數(shù)據(jù)信息。

若判斷上述報文參數(shù)中至少一項與網(wǎng)絡攻擊的攻擊特征相同，則說明該udp協(xié)議報文為用于實現(xiàn)網(wǎng)絡攻擊的協(xié)議報文。若在該判斷結果為是的情況下，則丟棄該udp協(xié)議報文，即，當判斷該udp協(xié)議報文中的上述報文參數(shù)中存在至少一項與網(wǎng)絡攻擊的攻擊特征相匹配時，判斷該udp協(xié)議報文存在網(wǎng)絡攻擊威脅，因此將丟棄該udp協(xié)議報文，從而保障vpn網(wǎng)絡的安全，特別是保障服務器端不受客戶端的攻擊。

這里若隧道業(yè)務裝置判斷udp協(xié)議報文中的上述報文參數(shù)中不存在與網(wǎng)絡攻擊的攻擊特征相匹配時，則執(zhí)行步驟s208。

步驟s208，在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文。

基于步驟s206，在判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征的基礎上，本申請上述步驟s208中，在隧道業(yè)務裝置判斷udp協(xié)議報文中的上述報文參數(shù)中不存在與網(wǎng)絡攻擊的攻擊特征相匹配時，將發(fā)送該udp報文。

結合步驟s202至步驟s208，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法在客戶端設置有隧道裝置，即上述客戶端隧道裝置，圖3是根據(jù)本發(fā)明實施例一的用于構建虛擬專用網(wǎng)絡的方法中客戶端隧道裝置的結構示意圖，如圖3所示，其中，客戶端隧道裝置包括：應用程序協(xié)議對接裝置和隧道業(yè)務裝置，應用層協(xié)議對接裝置，用于將接收到的協(xié)議報文進行檢查，判斷該協(xié)議報文的報文類型，在該報文類型為tcp協(xié)議報文時，將該協(xié)議報文轉(zhuǎn)換為udp協(xié)議報文，即，執(zhí)行上述步驟s202和步驟s204；隧道業(yè)務裝置，用于檢測報文類型轉(zhuǎn)換為udp協(xié)議報文的報文是否存在網(wǎng)絡攻擊的威脅，如果udp協(xié)議報文不存在網(wǎng)絡攻擊威脅，則發(fā)送該udp協(xié)議報文，即，執(zhí)行上述步驟s206和步驟s208。

由上可知，本申請上述實施例一所提供的方案，通過檢測預先接收到的協(xié)議報文的報文類型；當協(xié)議報文的報文類型為第一類協(xié)議報文時，將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；檢測第二類協(xié)議報文中的報文參數(shù)，判斷報 文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文，達到了vpn網(wǎng)絡中的兩側(cè)支持不同通信協(xié)議的設備兼容的目的，從而實現(xiàn)了建立vpn隧道的技術效果，進而解決了由于vpn網(wǎng)絡兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題，導致vpn隧道無法建立的技術問題。這里本申請實施例提供的網(wǎng)絡攻擊至少包括密級數(shù)據(jù)發(fā)送攻擊或特定應用層數(shù)據(jù)協(xié)議攻擊，以實現(xiàn)本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法為準，具體不做限定。

可選的，步驟s204中將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文包括：

step1，獲取協(xié)議報文中的數(shù)據(jù)；

本申請上述步驟s204中的step1中，如圖3所示，當該協(xié)議報文的報文類型為tcp協(xié)議報文時，通過應用層協(xié)議對接裝置中的tcp隧道轉(zhuǎn)換裝置獲取該協(xié)議報文中的數(shù)據(jù)。其中，tcp隧道轉(zhuǎn)換裝置獲取協(xié)議報文中的數(shù)據(jù)的過程如下：

首先，在本地建立tcp服務端；

第二，通過該tcp服務端獲得tcp協(xié)議需要傳輸?shù)臄?shù)據(jù)。

step2，依據(jù)第二類協(xié)議報文的格式封裝數(shù)據(jù)，得到報文類型為第二類協(xié)議報文的協(xié)議報文。

基于step1，獲取協(xié)議報文中的數(shù)據(jù)后，本申請上述步驟step2中，若該數(shù)據(jù)要通過vpn隧道發(fā)送至服務器，則需要將該數(shù)據(jù)封裝為與vpn隧道所使用的通信協(xié)議相同的協(xié)議格式的協(xié)議報文，由此，以udp協(xié)議結構封裝該數(shù)據(jù)，得到能夠在vpn隧道傳輸?shù)膗dp協(xié)議報文。

可選的，在步驟s206檢測第二類協(xié)議報文中的報文參數(shù)之前，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法還包括：

步驟s205，依據(jù)協(xié)議報文的業(yè)務類型匹配得到對應的加密規(guī)則，并依據(jù)加密規(guī)則對第二類協(xié)議報文進行加密，其中，加密規(guī)則用于指示在加密過程中依據(jù)業(yè)務類型更改加密密級。

本申請上述步驟s205中，在檢測udp協(xié)議報文中的報文參數(shù)之前，需要對udp協(xié)議報文進行加密，以保障udp協(xié)議報文在傳輸過程中的不被輕易截獲破解，保障了信息安全，如圖4所示，圖4是根據(jù)本發(fā)明實施例一的用于構建虛擬專用網(wǎng)絡的方法中客戶端隧道裝置中隧道業(yè)務裝置的結構示意圖，隧道業(yè)務裝置通過應用層協(xié)議對接裝置中的隧道管道裝置獲取該udp協(xié)議報文，并通過隧道業(yè)務裝置中的隧道核心配置 模塊依據(jù)該udp協(xié)議報文的業(yè)務類型動態(tài)匹配對應的加密規(guī)則，并依據(jù)該加密規(guī)則通過數(shù)據(jù)加密模塊對該udp協(xié)議報文執(zhí)行加密。

具體的，隧道核心配置模塊通過數(shù)據(jù)加密模塊可以獲知數(shù)據(jù)加密模塊的工作狀態(tài)，以此，可以根據(jù)安全等級和延時敏感信息告知數(shù)據(jù)加密模塊，進而數(shù)據(jù)加密模塊將依據(jù)上述要求彈性生成加密規(guī)則，并對該udp協(xié)議報文執(zhí)行加密。

進一步地，可選的，步驟s205中依據(jù)加密規(guī)則對第二類協(xié)議報文進行加密包括：

step1，根據(jù)加密規(guī)則對第二類協(xié)議報文執(zhí)行特征加密，其中，特征加密為依據(jù)第二類協(xié)議報文中的報文參數(shù)進行加密。

本申請上述步驟s205中的step1中，加密規(guī)則限定了udp協(xié)議報文的加密方式以及加密的密級，需要說明的是，特征加密將會依據(jù)udp協(xié)議報文中位于udp協(xié)議結構中各個部分的特征進行動態(tài)加密，即，依據(jù)udp協(xié)議報文的業(yè)務類型，調(diào)整加密過程的復雜程度，例如，僅為建立通信過程發(fā)送的請求報文可以設置為密級程度低，以使得服務器端能夠快速檢測和解密，并依據(jù)請求報文反饋響應報文，提升整體vpn網(wǎng)絡的數(shù)據(jù)傳輸效率；或者，在傳輸客戶端的業(yè)務報文時，為了保障udp協(xié)議報文中的內(nèi)容不被泄露，可以通過加密規(guī)則提升加密密級，通過udp協(xié)議結構上的多個特征(報文參數(shù))執(zhí)行加密。

具體的，在本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法中，數(shù)據(jù)加密模塊，會根據(jù)數(shù)據(jù)中的特征進行抽象計算(比如數(shù)據(jù)的奇偶校驗值、數(shù)據(jù)的循環(huán)冗余碼校驗值(cyclicalredundancycheck，簡稱crc)、報文長度、通信用到的目的ip和目的端口等數(shù)據(jù)信息)將這些信息計算后作為加密的結果和特征值攜帶在加密數(shù)據(jù)內(nèi)部，主要提供給服務器側(cè)的數(shù)據(jù)檢測模塊對數(shù)據(jù)進行快速篩查使用。另外會根據(jù)加密規(guī)則的配置情況，在udp協(xié)議報文中會埋入多個這樣的點用于檢測。這樣的好處是既減輕了服務端處理的壓力，相比傳統(tǒng)的整體加密又提升了處理性能。因此，在遭受大規(guī)模cc攻擊的時候，基于這套機制進行數(shù)據(jù)的檢測，可以最大程度上緩解服務器的壓力，提升抗攻擊的性能。

可選的，步驟s206中檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征包括：

step1，檢測第二類協(xié)議報文中的報文參數(shù)中的報文長度、特征值、發(fā)送速率及數(shù)據(jù)大小；

本申請上述s206中的step1中，如圖3所示，數(shù)據(jù)檢測模塊將會對udp協(xié)議報文中的報文參數(shù)進行檢測，例如檢測報文參數(shù)中的報文長度、特征值、發(fā)送速率及數(shù) 據(jù)大小。

此外，數(shù)據(jù)檢測模塊還會對udp協(xié)議報文中的報文內(nèi)容進行檢測，以使得保障在將udp協(xié)議報文發(fā)送至服務器之前，若發(fā)現(xiàn)存在網(wǎng)絡攻擊威脅，及時阻止其發(fā)生，從而保障服務器側(cè)安全，由此看出，當在客戶端側(cè)進行檢測后，將會提升服務器側(cè)不被網(wǎng)絡攻擊的安全等級，且，由于在檢測之前依據(jù)加密規(guī)則對該udp協(xié)議報文進行動態(tài)加密，使得服務器側(cè)在對接收到的udp協(xié)議報文解密前，通過檢測該udp協(xié)議報文，一旦發(fā)現(xiàn)該udp存在網(wǎng)絡攻擊風險將對該udp協(xié)議報文執(zhí)行丟棄，避免了常規(guī)在接收協(xié)議報文后先解密后檢測安全帶來的數(shù)據(jù)處理效率低的問題。

step2，判斷報文參數(shù)中的報文長度、特征值、發(fā)送速率及數(shù)據(jù)大小中的至少一項是否與預設的攻擊特征匹配；

本申請上述step2中，通過判斷udp協(xié)議報文中的上述報文參數(shù)中是否與預設的攻擊特征匹配，進而依據(jù)匹配結果判斷該udp協(xié)議報文是否存在網(wǎng)絡攻擊，具體見step3。

step3，依據(jù)報文參數(shù)與攻擊特征的匹配結果判斷協(xié)議報文是否存在網(wǎng)絡攻擊。

基于step2中的匹配結果，本申請上述step3中，當step2中判斷得到報文參數(shù)中的報文長度、特征值、發(fā)送速率及數(shù)據(jù)大小中的至少一項與預設的攻擊特征匹配，則該協(xié)議報文將存在網(wǎng)絡攻擊。

如圖4所示，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法中，客戶端隧道裝置自身數(shù)據(jù)檢測模塊，能夠防止惡意利用客戶隧道裝置發(fā)起攻擊。

可選的，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法還包括：

步驟s209，在判斷結果為是的情況下，丟棄第二類協(xié)議報文。

基于步驟s206，在判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征的基礎上，本申請上述步驟s209中，在隧道業(yè)務裝置判斷udp協(xié)議報文中的上述報文參數(shù)中存在與網(wǎng)絡攻擊的攻擊特征相匹配時，丟棄該udp報文。

可選的，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法還包括：

步驟s301，接收服務器返回的第二類協(xié)議報文；

本申請上述步驟s301中，區(qū)別于步驟s208，如圖4所示，在發(fā)送udp協(xié)議報文的過程中，當檢測該udp協(xié)議報文中的報文參數(shù)與網(wǎng)絡攻擊的攻擊特征不匹配時，將通過發(fā)送模塊發(fā)送該udp協(xié)議報文，在步驟s301中，通過接收模塊接收服務器返回 的udp協(xié)議報文，通過設定來自服務器的數(shù)據(jù)均視為安全數(shù)據(jù)，以加速處理速度，進而通過特征解密，將解密后的udp協(xié)議報文傳送至應用層協(xié)議對接裝置。

具體的，在本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法中，設定當udp協(xié)議報文到達隧道業(yè)務裝置中的接收模塊時，直接送給數(shù)據(jù)監(jiān)測模塊進行合法性檢測?；?，如果為了加速處理速度，在客戶端這個模塊可以直接跳過，無條件相信服務端發(fā)送的數(shù)據(jù)。

步驟s302，依據(jù)第二類協(xié)議報文的目的地址匹配對應的轉(zhuǎn)發(fā)端口；

區(qū)別于步驟s206，如圖4所示，隧道核心配置模塊，在接收udp協(xié)議報文時，為了加速處理速度，隧道核心配置模塊可以配置數(shù)據(jù)檢測模塊直接跳過檢測，無條件相信服務器發(fā)送的數(shù)據(jù)，并通過數(shù)據(jù)解密模塊對接收到的udp協(xié)議報文執(zhí)行解密，然后由應用層協(xié)議對接裝置中的隧道管道裝置接收解密后的udp協(xié)議報文。

本申請上述步驟s302中，隧道管道裝置接收解密后的udp協(xié)議報文后將依據(jù)協(xié)議報文中的目的地址匹配轉(zhuǎn)發(fā)端口，若服務器返回的udp協(xié)議報文對應客戶端的tcp隧道轉(zhuǎn)換裝置發(fā)送的udp協(xié)議報文，則在隧道管道裝置接收解密后的該udp協(xié)議報文后，將該udp協(xié)議報文返回tcp隧道轉(zhuǎn)換裝置，通過tcp隧道轉(zhuǎn)換裝置中創(chuàng)建的本地tcp服務端發(fā)送給客戶端應用程序；同理，若該服務器返回的udp協(xié)議報文對應客戶端的udp接管裝置發(fā)送udp協(xié)議報文，則在隧道管道裝置接收解密后的該udp協(xié)議報文后，將該udp協(xié)議報文返回udp接管裝置，并由該udp接管裝置將該udp協(xié)議報文發(fā)送給客戶端應用程序。

步驟s303，通過轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文。

基于步驟s302，隧道管道裝置匹配udp的目的地址，得到的轉(zhuǎn)發(fā)端口，本申請上述步驟s303中，將得到的轉(zhuǎn)發(fā)端口，通過該轉(zhuǎn)發(fā)端口返回udp協(xié)議報文至客戶端應用程序。

進一步地，可選的，步驟s303中通過轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文包括：

step1，檢測目的地址對應的轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型；

本申請步驟s303中的step1中，若要通過轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文，則通過檢測目的地址對應的轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型，即，判斷該udp協(xié)議報文中的目的地址對應的轉(zhuǎn)發(fā)端口所支持的協(xié)議報文的類型是tcp協(xié)議報文或udp協(xié)議報文。

step2，依據(jù)轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型發(fā)送第二類協(xié)議報文。

基于step1中，檢測轉(zhuǎn)發(fā)端口所支持的協(xié)議報文的類型，本申請step2中，通過檢測轉(zhuǎn)發(fā)端口所支持的協(xié)議報文的類型，將udp協(xié)議報文通過對應的轉(zhuǎn)發(fā)端口發(fā)送，具體如何依據(jù)轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型發(fā)送第二類協(xié)議報文見步驟a和步驟b，或，步驟a’。

可選的，step2中依據(jù)轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型發(fā)送第二類協(xié)議報文包括：

步驟a，當檢測到轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型為第一類協(xié)議報文時，獲取第二類協(xié)議報文中的數(shù)據(jù)；

步驟b，通過對應的轉(zhuǎn)發(fā)端口返回數(shù)據(jù)。

結合步驟a和步驟b，當隧道管道裝置檢測到轉(zhuǎn)發(fā)端口支持的協(xié)議報文類型為tcp協(xié)議報文時，tcp隧道轉(zhuǎn)換裝置中通過本地的tcp服務器獲取udp協(xié)議報文中的數(shù)據(jù)，進而通過tcp隧道轉(zhuǎn)換裝置對應的轉(zhuǎn)發(fā)端口返回獲取到的udp協(xié)議報文中的數(shù)據(jù)。

可選的，step2中依據(jù)轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型發(fā)送第二類協(xié)議報文包括：

步驟a’，當檢測到轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型為第二類協(xié)議報文時，通過對應的轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文。

本申請步驟a’中，當隧道管道裝置檢測到轉(zhuǎn)發(fā)端口支持的協(xié)議報文類型為udp協(xié)議報文時，udp接管裝置通過對應的端口返回接收到的udp協(xié)議報文。

本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法中，通過在客戶端側(cè)配置圖2所示的客戶短隧道裝置，通過檢測接收到的協(xié)議報文的報文類型，判斷該協(xié)議報文的報文類型是否為在vpn隧道中用于通信的報文類型，在判斷結果為否的情況下，將該協(xié)議報文轉(zhuǎn)換為在vpn隧道中用于通信的報文類型，并通過依據(jù)該協(xié)議報文的業(yè)務類型為該協(xié)議報文匹配對應的加密規(guī)則，并依據(jù)該加密規(guī)則對該協(xié)議報文進行加密，進而在判斷該協(xié)議報文是否存在網(wǎng)絡攻擊的攻擊特征，決定是否將該協(xié)議報文發(fā)送至服務器，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法可以應用于挑戰(zhàn)攻擊(challengecollapsar，簡稱cc)環(huán)境，通過在客戶端部署數(shù)據(jù)檢測模塊，防止惡意利用隧道裝置發(fā)起攻擊，并且，本申請實施例中通過使用udp協(xié)議報文這類所有網(wǎng)絡設備均支持的通信協(xié)議，解決了vpn網(wǎng)絡的兼容問題，且，通過協(xié)議報文的業(yè)務類型匹配對應的加密規(guī)則，能夠靈活的調(diào)整加密范圍和測量，以使得在服務器側(cè)檢測和解密的過程中縮短數(shù)據(jù)處理時間，提升數(shù)據(jù)處理效率。

此外，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法基于udp協(xié)議，相當于 是一個應用層的程序，因此區(qū)別于相關技術中在無盤工作站環(huán)境下，由于添加網(wǎng)卡等硬件設備需要重啟，但是在無盤工作站情況下一但重啟所有改動都會還原，故本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法不需要添加網(wǎng)卡等硬件設備。

實施例2

本申請?zhí)峁┝巳鐖D5所示的用于構建虛擬專用網(wǎng)絡的方法。圖5是根據(jù)本發(fā)明實施例二的用于構建虛擬專用網(wǎng)絡的方法的流程圖。

步驟s502，接收客戶端發(fā)送的第二類協(xié)議報文；

本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法可以適用于虛擬專用網(wǎng)絡(virtualprivatenetwork，簡稱vpn)的建立，其中，以用戶數(shù)據(jù)報協(xié)議(userdatagramprotocol，簡稱udp)作為vpn隧道通信協(xié)議，解決vpn隧道兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題。

本申請上述步驟s502中，對應實施例一中，在客戶端側(cè)配置的客戶端隧道裝置，圖6是根據(jù)本發(fā)明實施例二的用于構建虛擬專用網(wǎng)絡的方法中隧道終結裝置的結構示意圖，如圖6所示，本申請實施例二中在網(wǎng)絡設備側(cè)，配置隧道終結裝置接收由客戶端隧道裝置發(fā)送的第二類協(xié)議報文，并對該第二類協(xié)議報文進行解析處理，其中，在本申請實施例中第二類協(xié)議報文為用戶數(shù)據(jù)報協(xié)議(userdatagramprotocol，簡稱udp)報文，在網(wǎng)絡設備側(cè)配置隧道終結裝置的過程中與客戶端一樣，通過以udp協(xié)議報文作為通用通信協(xié)議，以達到客戶端與網(wǎng)絡側(cè)設備端兼容的效果，避免了相關技術中由于vpn隧道的兩側(cè)設備不支持特定的通信協(xié)議帶來的不兼容問題，規(guī)避了vpn隧道建立失敗的現(xiàn)象發(fā)生。

其中，本申請實施例中協(xié)議報文的報文類型包括：用戶數(shù)據(jù)報協(xié)議(userdatagramprotocol，簡稱udp)或傳輸控制協(xié)議(transmissioncontrolprotocol，簡稱tcp)，在本申請實施例中將以tcp協(xié)議結構封裝的報文作為第一類協(xié)議報文，將以udp協(xié)議結構封裝的報文作為第二類協(xié)議報文。

步驟s504，判斷第二類協(xié)議報文中的報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；

基于步驟s502，通過隧道終結裝置中的收發(fā)包模塊，接收來自客戶端發(fā)送的udp協(xié)議報文，本申請上述步驟s504中，通過隧道終結裝置中的數(shù)據(jù)檢測模塊判斷在該udp協(xié)議報文中，該udp協(xié)議報文中的報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征。

其中，區(qū)別于客戶端側(cè)，在網(wǎng)絡設備側(cè)，該數(shù)據(jù)檢測模塊為不可跳過模塊，即， 所以通過步驟s502中的收發(fā)包模塊接收的udp協(xié)議報文均需由數(shù)據(jù)檢測模塊對該udp協(xié)議報文的合法性進行檢查，以最快的速度檢測報文的合法性并丟棄不合法的數(shù)據(jù)。降低數(shù)據(jù)解密模塊的壓力和整體系統(tǒng)負載。

步驟s506，在判斷結果為否的情況下，依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口。

基于步驟s504中，對udp協(xié)議報文安全性的判斷檢查，本申請上述步驟s504中，當?shù)玫皆搖dp協(xié)議報文中的報文參數(shù)不存在與網(wǎng)絡攻擊的攻擊特征的判斷結果時，通過隧道終結裝置中的會員裝置依據(jù)服務器的類型為該udp協(xié)議報文分配對應發(fā)送端口。

這里當判斷結果為是時，網(wǎng)絡設備側(cè)將通過數(shù)據(jù)檢測模塊丟棄不合法的udp協(xié)議報文，在降低數(shù)據(jù)揭秘模塊壓力的基礎上，保障在服務器端的安全。

由上可知，本申請上述實施例二所提供的方案，通過接收客戶端發(fā)送的第二類協(xié)議報文；判斷第二類協(xié)議報文中的報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口。達到了vpn網(wǎng)絡中的兩側(cè)支持不同通信協(xié)議的設備兼容的目的，從而實現(xiàn)了建立vpn隧道的技術效果，進而解決了由于vpn網(wǎng)絡兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題，導致vpn隧道無法建立的技術問題。

可選的，在步驟s506依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口之前，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法包括：

步驟s505，對第二類協(xié)議報文依據(jù)預設解密規(guī)則解密。

本申請步驟s505中，在步驟s506依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口之前，如圖6所述，隧道終結裝置還需要通過數(shù)據(jù)解密模塊對數(shù)據(jù)檢測模塊檢測合格的udp協(xié)議報文進行解密。

其中，解密規(guī)則，用于通過udp協(xié)議報文的業(yè)務類型，對該udp協(xié)議報文匹配對應的解密規(guī)則，以使得指示數(shù)據(jù)解密模塊依據(jù)該解密規(guī)則執(zhí)行特征解密。具體見步驟s505中的step1和step2。

進一步地，可選的，步驟s505，對第二類協(xié)議報文依據(jù)預設解密規(guī)則解密包括：

step1，依據(jù)第二類協(xié)議報文的業(yè)務類型匹配對應的解密規(guī)則；

本申請上述步驟s505中的step1中，由于udp協(xié)議報文的業(yè)務類型不同，該udp 協(xié)議報文的加密方式也會跟隨業(yè)務類型的不同而變化，即，客戶端與網(wǎng)絡設備側(cè)用于通信建立通信鏈路的協(xié)議報文，可以視為施用簡單的加密規(guī)則，以使得在網(wǎng)絡設備側(cè)根據(jù)協(xié)議報文的業(yè)務類型，對應的執(zhí)行簡單的解密，節(jié)約了數(shù)據(jù)處理時間，減輕了系統(tǒng)的數(shù)據(jù)處理負擔；而在進行實際的業(yè)務數(shù)據(jù)傳輸時，通過對該業(yè)務數(shù)據(jù)在udp協(xié)議報文中執(zhí)行多位加密，則對應的在網(wǎng)絡設備側(cè)執(zhí)行多位解密，從而保障數(shù)據(jù)的安全，其中多位加密可以為依據(jù)udp協(xié)議報文中各個報文參數(shù)的特性執(zhí)行的加密，同樣多位解密則可以為針對多位加密執(zhí)行對應的解密行為。

由上可知，通過獲取udp協(xié)議報文的業(yè)務類型，匹配得到對應該udp協(xié)議報文的解密規(guī)則。

step2，依據(jù)解密規(guī)則對第二類協(xié)議報文執(zhí)行特征解密，特征解密，用于指示依據(jù)第二類協(xié)議報文中的報文參數(shù)執(zhí)行解密，報文參數(shù)包括：報文長度、特征值、發(fā)送速率及數(shù)據(jù)大小中的至少一項。

基于step1中，獲得的解密規(guī)則，本申請上述step2中，通過獲取得到對應udp協(xié)議報文的解密規(guī)則，依據(jù)該解密規(guī)則對該udp協(xié)議報文執(zhí)行特征解密，其中，根據(jù)解密規(guī)則，提取udp協(xié)議報文中對應的加密區(qū)域，該加密區(qū)域?qū)猽dp協(xié)議報文結構中對應的報文參數(shù)，例如，報文長度、特征值、發(fā)送速率以及數(shù)據(jù)大小中的至少一項，根據(jù)解密規(guī)則的指示，將對udp協(xié)議報文中對應的特征執(zhí)行解密。

這里報文參數(shù)中的特征值可以為udp協(xié)議報文中的奇偶校驗值。

此外，如圖6所示，在對udp協(xié)議報文執(zhí)行解密后，為避免udp協(xié)議報文在解密過程中的損壞，通過數(shù)據(jù)還原模塊，對解密后的udp協(xié)議報文執(zhí)行數(shù)據(jù)還原，得到解密后完整的udp協(xié)議報文，以使得保障服務器接收到的udp協(xié)議報文準確和完整。

可選的，步驟s506依據(jù)服務器的類型將解密后的第二類協(xié)議報文發(fā)送至對應的發(fā)送端口包括：

step1，當服務器的類型為支持第二類協(xié)議報文時，將第二類協(xié)議報文通過第一類發(fā)送端口發(fā)送至服務器，其中，第一類發(fā)送端口為支持第二類協(xié)議報文的服務器對應的端口；

本申請上述step1中，若依據(jù)服務器的類型將解密后的第二類協(xié)議報文發(fā)送至對應的發(fā)送端口，則需要判斷服務器的類型，以此，針對不同的服務器類型為udp協(xié)議報文分配對應的發(fā)送端口。

其中，當該服務器的類型為支持udp協(xié)議報文時，udp協(xié)議報文將通過第一發(fā) 送端口發(fā)送至服務器，其中，第一發(fā)送端口可以為如圖6所示的數(shù)據(jù)轉(zhuǎn)發(fā)模塊的發(fā)送端口。

step2，當服務器的類型為支持第一類協(xié)議報文時，獲取第二類協(xié)議報文中的數(shù)據(jù)，并將數(shù)據(jù)通過第二類發(fā)送端口發(fā)送至服務器，其中，第二類發(fā)送端口為支持第一類協(xié)議報文的服務器對應的端口。

本申請上述step2中，當該服務器的類型為支持tcp協(xié)議報文時，tcp協(xié)議報文將通過第二發(fā)送端口發(fā)送至服務器，其中，第二發(fā)送端口可以為如圖6所示的數(shù)據(jù)代理模塊的發(fā)送端口。

結合step1和step2，如圖6所示，回源裝置包括：數(shù)據(jù)代理模式和數(shù)據(jù)轉(zhuǎn)發(fā)模塊兩種不同的選擇。數(shù)據(jù)轉(zhuǎn)發(fā)模塊和數(shù)據(jù)代理模塊最大的區(qū)別在于是否可以解決隧道和服務端協(xié)議的異構問題。當服務端采用tcp協(xié)議提供服務時，就需要由代理模塊進行轉(zhuǎn)換。當服務端采用udp協(xié)議提供服務時，就可以采用轉(zhuǎn)發(fā)模塊對數(shù)據(jù)進行透傳。通過回源裝置確保了服務器端和客戶端的兼容問題，避免了相關技術中由于vpn隧道的兩側(cè)設備不支持特定的通信協(xié)議帶來的不兼容問題，規(guī)避了vpn隧道建立失敗的現(xiàn)象發(fā)生。

本申請實施例提供的用于構建虛擬專用網(wǎng)絡的方法還可以和服務器端側(cè)合并部署在一起，故，本申請實施例中用于構建虛擬專用網(wǎng)絡的方法僅以適用于網(wǎng)絡設備側(cè)為例進行說明，以實現(xiàn)本申請實施例中用于構建虛擬專用網(wǎng)絡的方法為準，具體不做限定。

需要說明的是，對于前述的各方法實施例，為了簡單描述，故將其都表述為一系列的動作組合，但是本領域技術人員應該知悉，本發(fā)明并不受所描述的動作順序的限制，因為依據(jù)本發(fā)明，某些步驟可以采用其他順序或者同時進行。其次，本領域技術人員也應該知悉，說明書中所描述的實施例均屬于優(yōu)選實施例，所涉及的動作和模塊并不一定是本發(fā)明所必須的。

通過以上的實施方式的描述，本領域的技術人員可以清楚地了解到根據(jù)上述實施例的用于構建虛擬專用網(wǎng)絡的方法可借助軟件加必需的通用硬件平臺的方式來實現(xiàn)，當然也可以通過硬件，但很多情況下前者是更佳的實施方式?；谶@樣的理解，本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)(如rom/ram、磁碟、光盤)中，包括若干指令用以使得一臺終端設備(可以是手機，計算機，服務器，或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述的方法。

實施例3

根據(jù)本發(fā)明實施例，還提供了一種用于實施上述方法的裝置實施例，本申請上述實施例所提供的裝置可以在客戶端上運行。

圖7是根據(jù)本發(fā)明實施例三的用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。

如圖7所示，該裝置包括：檢測模塊72、轉(zhuǎn)換模塊74、判斷模塊76和發(fā)送模塊78。

其中，檢測模塊72，用于檢測預先接收到的協(xié)議報文的報文類型；轉(zhuǎn)換模塊74，用于當協(xié)議報文的報文類型為第一類協(xié)議報文時，將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；判斷模塊76，用于檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；發(fā)送模塊78，用于在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文。

由上可知，本申請上述實施例三所提供的方案，通過檢測預先接收到的協(xié)議報文的報文類型；當協(xié)議報文的報文類型為第一類協(xié)議報文時，將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文，達到了vpn網(wǎng)絡中的兩側(cè)支持不同通信協(xié)議的設備兼容的目的，從而實現(xiàn)了建立vpn隧道的技術效果，進而解決了由于vpn網(wǎng)絡兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題，導致vpn隧道無法建立的技術問題。

此處需要說明的是，上述檢測模塊72、轉(zhuǎn)換模塊74、判斷模塊76和發(fā)送模塊78對應于實施例一中的步驟s202至步驟s208，四個模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，圖8是根據(jù)本發(fā)明實施例三的一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。如圖8所示，轉(zhuǎn)換模塊74包括：獲取單元741和封裝單元742，

其中，獲取單元741，用于獲取協(xié)議報文中的數(shù)據(jù)；封裝單元742，用于依據(jù)第二類協(xié)議報文的格式封裝數(shù)據(jù)，得到報文類型為第二類協(xié)議報文的協(xié)議報文。

此處需要說明的是，上述獲取單元741和封裝單元742對應于實施例一中的步驟s204中的步驟step1和步驟step2，兩個模塊與對應的步驟所實現(xiàn)的示例和應用場景 相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，圖9是根據(jù)本發(fā)明實施例三的另一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。如圖9所示，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的裝置還包括：加密模塊95，

其中，加密模塊95，用于在檢測第二類協(xié)議報文中的報文參數(shù)之前，依據(jù)協(xié)議報文的業(yè)務類型匹配得到對應的加密規(guī)則，并依據(jù)加密規(guī)則對第二類協(xié)議報文進行加密，其中，加密規(guī)則用于指示在加密過程中依據(jù)業(yè)務類型更改加密密級。

此處需要說明的是，上述加密模塊95對應于實施例一中的步驟s205，該模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

進一步地，可選的，圖10是根據(jù)本發(fā)明實施例三的又一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。如圖10所示，加密模塊95包括：加密單元951，

其中，加密單元951，用于根據(jù)加密規(guī)則對第二類協(xié)議報文執(zhí)行特征加密，其中，特征加密為依據(jù)第二類協(xié)議報文中的報文參數(shù)進行加密。

此處需要說明的是，上述加密單元951對應于實施例一中的步驟s205中的step1，該模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，圖11是根據(jù)本發(fā)明實施例三的再一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。如圖11所示，判斷模塊76包括：檢測單元761、第一判斷單元762和第二判斷單元963，

其中，檢測單元761，用于檢測第二類協(xié)議報文中的報文參數(shù)中的報文長度、特征值、發(fā)送速率及數(shù)據(jù)大??；第一判斷單元762，用于判斷報文參數(shù)中的報文長度、特征值、發(fā)送速率及數(shù)據(jù)大小中的至少一項是否與預設的攻擊特征匹配；第二判斷單元763，用于依據(jù)報文參數(shù)與攻擊特征的匹配結果判斷協(xié)議報文是否存在網(wǎng)絡攻擊。

此處需要說明的是，上述檢測單元761、第一判斷單元762和第二判斷單元763對應于實施例一中的步驟s206中的step1至step3，三個模塊與對應的步驟所實現(xiàn)的 示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的裝置還包括：執(zhí)行模塊，

其中，執(zhí)行模塊，用于在判斷結果為是的情況下，丟棄協(xié)議報文。

此處需要說明的是，上述執(zhí)行模塊對應于實施例一中的步驟s209，該模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的裝置還包括：接收模塊、匹配模塊和反饋模塊，

其中，接收模塊，用于接收服務器返回的第二類協(xié)議報文；匹配模塊，用于依據(jù)第二類協(xié)議報文的目的地址匹配對應的轉(zhuǎn)發(fā)端口；反饋模塊，用于通過轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文。

此處需要說明的是，上述接收模塊、匹配模塊和反饋模塊對應于實施例一中的步驟s301至步驟s303，三個模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

進一步地，可選的，反饋模塊包括：類型檢測單元和發(fā)送單元，

其中，類型檢測單元，用于檢測目的地址對應的轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型；發(fā)送單元，用于依據(jù)轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型發(fā)送第二類協(xié)議報文。

此處需要說明的是，上述類型檢測單元和發(fā)送單元對應于實施例一中的步驟s303至的step1和step2，兩個模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，發(fā)送單元包括：獲取子單元和第一發(fā)送子單元，

其中，獲取子單元，用于當檢測到轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型為第一類協(xié)議報文時，獲取第二類協(xié)議報文中的數(shù)據(jù)；第一發(fā)送子單元，用于通過對應的轉(zhuǎn)發(fā)端口返回數(shù)據(jù)。

此處需要說明的是，上述此處需要說明的是，上述類型檢測單元和發(fā)送單元對應于實施例一中的步驟step2中的步驟a和步驟b，兩個模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，發(fā)送單元包括：第二發(fā)送子單元，

其中，第二發(fā)送子單元，用于當檢測到轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型為第二類協(xié)議報文時，通過對應的轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文。

此處需要說明的是，上述此處需要說明的是，上述第二發(fā)送子單元對應于實施例一中的步驟step2中的步驟a’，該模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例一所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例一提供的客戶端隧道裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

實施例4

根據(jù)本發(fā)明實施例，還提供了一種用于實施2中所述方法的裝置實施例，本申請上述實施例所提供的裝置可以在客戶端上運行。

圖12是根據(jù)本發(fā)明實施例四的用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。

如圖12所示，該裝置包括：接收模塊1202、判斷模塊1204和發(fā)送模塊1206，

其中，接收模塊1202，用于接收客戶端發(fā)送的第二類協(xié)議報文；判斷模塊1204，用于判斷第二類協(xié)議報文中的報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；發(fā)送模塊1206，用于在判斷結果為否的情況下，依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口。

由上可知，本申請上述實施例四所提供的方案，通過接收客戶端發(fā)送的第二類協(xié)議報文；判斷第二類協(xié)議報文中的報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口。達到了vpn網(wǎng)絡中的兩側(cè)支持不同通信協(xié)議的設備兼容的目的，從而實現(xiàn)了建立vpn隧道的技術效果，進而解決了由于vpn網(wǎng)絡兩側(cè)設備存在對特定通信協(xié)議的不兼容的問題，導致vpn隧道無法建立的技術問題。

此處需要說明的是，上述接收模塊1202、判斷模塊1204和發(fā)送模塊1206對應于實施例二中的步驟s502至步驟s506，三個模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例二提供的隧道終結裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，圖13是根據(jù)本發(fā)明實施例四的一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。如圖13所示，本申請實施例提供的用于構建虛擬專用網(wǎng)絡的裝置還包括：解密模塊1205，

其中，解密模塊1205，用于在依據(jù)服務器的類型將第二類協(xié)議報文發(fā)送至對應的發(fā)送端口之前，對第二類協(xié)議報文依據(jù)預設解密規(guī)則解密。

此處需要說明的是，上述解密模塊1205對應于實施例二中的步驟s505，該模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例二提供的隧道終結裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

進一步地，可選的，圖14是根據(jù)本發(fā)明實施例四的另一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。如圖14所示，解密模塊1205包括：匹配單元12051和解密單元12052，

其中，匹配單元12051，用于依據(jù)第二類協(xié)議報文的業(yè)務類型匹配對應的解密規(guī)則；解密單元12052，用于依據(jù)解密規(guī)則對第二類協(xié)議報文執(zhí)行特征解密，特征解密，用于指示依據(jù)第二類協(xié)議報文中的報文參數(shù)執(zhí)行解密，報文參數(shù)包括：報文長度、特征值、發(fā)送速率及數(shù)據(jù)大小中的至少一項。

此處需要說明的是，上述匹配單元12051和解密單元12052對應于實施例二中的步驟s505中的step1和step2，兩模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例二提供的隧道終結裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

可選的，圖15是根據(jù)本發(fā)明實施例四的又一種用于構建虛擬專用網(wǎng)絡的裝置的結構示意圖。如圖15所示，發(fā)送模塊1206包括：第一發(fā)送單元12061和第二發(fā)送單元12062，

其中，第一發(fā)送單元12061，用于當服務器的類型為支持第二類協(xié)議報文時，將第二類協(xié)議報文通過第一類發(fā)送端口發(fā)送至服務器，其中，第一類發(fā)送端口為支持第二類協(xié)議報文的服務器對應的端口；第二發(fā)送單元12062，用于當服務器的類型為支 持第一類協(xié)議報文時，獲取第二類協(xié)議報文中的數(shù)據(jù)，并將數(shù)據(jù)通過第二類發(fā)送端口發(fā)送至服務器，其中，第二類發(fā)送端口為支持第一類協(xié)議報文的服務器對應的端口。

此處需要說明的是，上述第一發(fā)送單元12061和第二發(fā)送單元12062對應于實施例二中的步驟s506中的step1和step2，兩模塊與對應的步驟所實現(xiàn)的示例和應用場景相同，但不限于上述實施例二所公開的內(nèi)容。需要說明的是，上述模塊作為裝置的一部分可以運行在實施例二提供的隧道終結裝置中，可以通過軟件實現(xiàn)，也可以通過硬件實現(xiàn)。

實施例5

根據(jù)本發(fā)明實施例，還提供了一種用于實施上述用于構建虛擬專用網(wǎng)絡的方法實施例的系統(tǒng)實施例，本申請上述實施例所提供的用于構建虛擬專用網(wǎng)絡的系統(tǒng)中的客戶端隧道裝置可以為客戶端應用層的軟件。

圖16是根據(jù)本申請實施例的用于構建虛擬專用網(wǎng)絡的系統(tǒng)的結構示意圖。

如圖16所示，該系統(tǒng)包括：客戶端隧道裝置1601和隧道網(wǎng)絡設備1602，客戶端隧道裝置和隧道網(wǎng)絡設備通信連接，其中，客戶端隧道裝置，用于通過檢測接收到的協(xié)議報文的報文類型，將報文類型為第一類協(xié)議報文的協(xié)議報文轉(zhuǎn)換為用于在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文，通過檢測第二類協(xié)議報文中的報文參數(shù)，判斷協(xié)議報文是否存在網(wǎng)絡攻擊的攻擊特征，在判斷結果為否的情況下，發(fā)送協(xié)議報文；隧道網(wǎng)絡設備，與客戶端隧道裝置通信連接，用于接收客戶端隧道裝置發(fā)送的第二類協(xié)議報文，通過檢測第二類協(xié)議報文是否存在網(wǎng)絡攻擊，在判斷結果為否的情況下，依據(jù)服務器的類型將解密后的第二類協(xié)議報文發(fā)送至對應的發(fā)送端口；其中，客戶端隧道裝置為圖9至圖11中任一所示的用于構建虛擬專用網(wǎng)絡的裝置；隧道網(wǎng)絡設備為圖12至圖15中任一所示的用于構建虛擬專用網(wǎng)絡的裝置。

可選的，系統(tǒng)還包括：服務器，該隧道網(wǎng)絡設備嵌入服務器。

實施例6

本發(fā)明的實施例還提供了一種存儲介質(zhì)?？蛇x地，在本實施例中，上述存儲介質(zhì)可以用于保存上述實施例一所提供的用于構建虛擬專用網(wǎng)絡的方法所執(zhí)行的程序代碼。

可選地，在本實施例中，上述存儲介質(zhì)可以位于計算機網(wǎng)絡中計算機終端群中的任意一個計算機終端中，或者位于移動終端群中的任意一個移動終端中。

可選地，在本實施例中，存儲介質(zhì)被設置為存儲用于執(zhí)行以下步驟的程序代碼：檢測預先接收到的協(xié)議報文的報文類型；當協(xié)議報文的報文類型為第一類協(xié)議報文時， 將協(xié)議報文轉(zhuǎn)換為在虛擬專用網(wǎng)絡中用于通信的第二類協(xié)議報文；檢測第二類協(xié)議報文中的報文參數(shù)，判斷報文參數(shù)是否存在網(wǎng)絡攻擊的攻擊特征；在判斷結果為否的情況下，發(fā)送第二類協(xié)議報文。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：獲取協(xié)議報文中的數(shù)據(jù)；依據(jù)第二類協(xié)議報文的格式封裝數(shù)據(jù)，得到報文類型為第二類協(xié)議報文的協(xié)議報文。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：在檢測第二類協(xié)議報文中的報文參數(shù)之前，依據(jù)協(xié)議報文的業(yè)務類型匹配得到對應的加密規(guī)則，并依據(jù)加密規(guī)則對第二類協(xié)議報文進行加密，其中，加密規(guī)則用于指示在加密過程中依據(jù)業(yè)務類型更改加密密級。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：根據(jù)加密規(guī)則對第二類協(xié)議報文執(zhí)行特征加密，其中，特征加密為依據(jù)第二類協(xié)議報文中的報文參數(shù)進行加密。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：檢測第二類協(xié)議報文中的報文參數(shù)中的報文長度、特征值、發(fā)送速率及數(shù)據(jù)大?。慌袛鄨笪膮?shù)中的報文長度、特征值、發(fā)送速率及數(shù)據(jù)大小中的至少一項是否與預設的攻擊特征匹配；依據(jù)報文參數(shù)與攻擊特征的匹配結果判斷協(xié)議報文是否存在網(wǎng)絡攻擊。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：在判斷結果為是的情況下，丟棄第二類協(xié)議報文。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：接收服務器返回的第二類協(xié)議報文；接收服務器返回的第二類協(xié)議報文；通過轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：檢測目的地址對應的轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型；依據(jù)轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型發(fā)送第二類協(xié)議報文。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：檢測目的地址對應的轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型；通過對應的轉(zhuǎn)發(fā)端口返回數(shù)據(jù)。

可選地，存儲介質(zhì)還被設置為存儲用于執(zhí)行以下步驟的程序代碼：當檢測到轉(zhuǎn)發(fā)端口支持的協(xié)議報文的類型為第二類協(xié)議報文時，通過對應的轉(zhuǎn)發(fā)端口返回第二類協(xié)議報文。

可選地，在本實施例中，上述存儲介質(zhì)可以包括但不限于：u盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

可選地，本實施例中的具體示例可以參考上述實施例1中所描述的示例，本實施例在此不再贅述。

上述本發(fā)明實施例序號僅僅為了描述，不代表實施例的優(yōu)劣。

在本發(fā)明的上述實施例中，對各個實施例的描述都各有側(cè)重，某個實施例中沒有詳述的部分，可以參見其他實施例的相關描述。

在本申請所提供的幾個實施例中，應該理解到，所揭露的技術內(nèi)容，可通過其它的方式實現(xiàn)。其中，以上所描述的裝置實施例僅僅是示意性的，例如所述單元的劃分，僅僅為一種邏輯功能劃分，實際實現(xiàn)時可以有另外的劃分方式，例如多個單元或組件可以結合或者可以集成到另一個系統(tǒng)，或一些特征可以忽略，或不執(zhí)行。另一點，所顯示或討論的相互之間的耦合或直接耦合或通信連接可以是通過一些接口，單元或模塊的間接耦合或通信連接，可以是電性或其它的形式。

所述作為分離部件說明的單元可以是或者也可以不是物理上分開的，作為單元顯示的部件可以是或者也可以不是物理單元，即可以位于一個地方，或者也可以分布到多個網(wǎng)絡單元上?？梢愿鶕?jù)實際的需要選擇其中的部分或者全部單元來實現(xiàn)本實施例方案的目的。

另外，在本發(fā)明各個實施例中的各功能單元可以集成在一個處理單元中，也可以是各個單元單獨物理存在，也可以兩個或兩個以上單元集成在一個單元中。上述集成的單元既可以采用硬件的形式實現(xiàn)，也可以采用軟件功能單元的形式實現(xiàn)。

所述集成的單元如果以軟件功能單元的形式實現(xiàn)并作為獨立的產(chǎn)品銷售或使用時，可以存儲在一個計算機可讀取存儲介質(zhì)中。基于這樣的理解，本發(fā)明的技術方案本質(zhì)上或者說對現(xiàn)有技術做出貢獻的部分或者該技術方案的全部或部分可以以軟件產(chǎn)品的形式體現(xiàn)出來，該計算機軟件產(chǎn)品存儲在一個存儲介質(zhì)中，包括若干指令用以使得一臺計算機設備(可為個人計算機、服務器或者網(wǎng)絡設備等)執(zhí)行本發(fā)明各個實施例所述方法的全部或部分步驟。而前述的存儲介質(zhì)包括：u盤、只讀存儲器(rom，read-onlymemory)、隨機存取存儲器(ram，randomaccessmemory)、移動硬盤、磁碟或者光盤等各種可以存儲程序代碼的介質(zhì)。

以上所述僅是本發(fā)明的優(yōu)選實施方式，應當指出，對于本技術領域的普通技術人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤 飾也應視為本發(fā)明的保護范圍。