报文处理方法、系统以及装置与流程

1.本技术涉及网络安全领域，具体而言，涉及一种报文处理方法、系统以及装置。


背景技术：

2.在对ipsec(internet protocol security互联网安全协议)报文进行nat(network address translation网络地址转换)穿越的时候，需要在ipsec报文中添加udp(user datagram protocol用户数据报协议)头，使得ipsec报文能够实现nat穿越。表1为原始报文样式，其中，esp为encapsulating security payload报文安全封装协议。
3.表1
4.ip头部esp头(包含32位spi)加密数据
5.表2为添加udp头后的报文样式：
6.表2
7.ip头部udp头esp头(包含32位spi)加密数据
8.当前在网络设备，例如防火墙、路由器等设备接收到添加udp的报文后，需要对报文内容进行确认，从而根据确认结果对该报文执行后续的操作。例如，在确认结果为转发报文的情况下，需要将该报文进行转发操作，从而保证报文中的数据的及时准确的传递。
9.在通过网络设备确定对报文执行的后续操作的时候，需要先解析包含udp头的报文，并将解析结果发送至与网络设备连接的cpu中，在cpu确定该报文为包含udp头的报文后，由cpu剥离该报文中的udp头，并重新将该报文进行组合，得到表1样式的原有报文，并再次解析原有报文，根据原有报文的五元组信息确定对该报文使用的执行操作。
10.但是，该方法在使用cpu确定报文的执行操作时，在报文较多的情况下，会大量占用cpu的资源，并且需要对添加udp的报文内容进行两次判断，才可以确定执行操作，并且还需要对报文进行udp头的剥离重组，导致流程十分复杂，影响cpu的性能的同时还降低了对报文的处理速度。
11.针对相关技术中通过网络设备的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题，目前尚未提出有效的解决方案。


技术实现要素：

12.本技术提供一种报文处理方法、系统以及装置，以解决相关技术中通过网络设备的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题。
13.根据本技术的一个方面，提供了一种报文处理方法。该方法包括：硬件设备接收客户端发送的第一报文，并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文；硬件设备判断第一五元组信息是否符合预设条件，其中，预设条件用于确定第一报文是否为目标类型的报文；在第一五元组信息符合预设条件的情况下，通过第二解析方法解析解析后的第一报文，得到第二五元组信息和加密数据；从硬件设备中的会话库中获取五元组信息与第二五元组信息相同的会话信息，得到目标会话信息，其
中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令；硬件设备从目标会话信息中获取执行指令，根据执行指令处理第一报文。
14.可选地，第一五元组信息中包括端口信息和第一协议，判断第一五元组信息是否符合预设条件包括：判断端口信息是否为预设端口信息；在端口信息是预设端口信息的情况下，判断第一协议是否为第一预设协议；在第一协议是第一预设协议的情况下，确定第一五元组信息符合预设条件。
15.可选地，从会话库中获取属性信息与第二五元组信息相同的会话信息，得到目标会话信息包括：判断会话库中是否存在属性信息与第二五元组信息相同的会话信息；在存在属性信息与第二五元组信息相同的会话信息的情况下，将属性信息与第二五元组信息相同的会话信息确定为目标会话信息；在不存在属性信息与第二五元组相同的会话信息的情况下，将第二五元组信息发送至cpu，并接收cpu返回的目标会话信息。
16.可选地，在接收cpu返回的目标会话信息之后，该方法还包括：将目标会话信息与第二五元组信息关联存储至会话库中。
17.可选地，从目标会话信息中获取执行指令，根据执行指令处理第一报文包括：在执行指令为转发指令的情况下，获取目标会话信息中的端口信息，并将第一报文按照发送至端口信息指示的接收端。
18.可选地，从目标会话信息中获取执行指令，根据执行指令处理第一报文包括：在执行指令为接收指令的情况下，从接收指令中获取预设密钥，并根据预设密钥对加密数据进行解密，得到解密后的数据信息；获取数据信息中的接收端信息，并将数据信息发送至接收端信息指示的接收端。
19.可选地，第一五元组信息中还包括第一目的ip，在判断端口信息是否为预设端口信息后，该方法还包括：在端口信息不是预设端口的情况下，将第一报文发送至第一目的ip指示的接收端。
20.根据本技术的一个方面，提供了一种报文处理方法。该方法包括：cpu接收硬件设备发送的第二五元组信息，并获取第二五元组信息中的第二目的ip，其中，第二五元组信息为将第一报文通过第一解析方式和第二解析方式进行解析后得到的五元组信息，第一解析方式和第二解析方式不同；判断第二目的ip与cpu中存储的ip地址是否相同；在第二目的ip与ip地址相同的情况下，获取第二五元组信息中的安全参数索引值，在第一对照表中确定与安全参数索引值对应的密钥，并生成第二五元组信息对应的会话信息，将密钥和接收指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第一对照表中包括多个安全参数索引值以及对应的密钥；在第二目的ip与ip地址不相同的情况下，在第二对照表中确定与第二目的ip对应的端口信息，并生成第二五元组信息对应的会话信息，将端口信息和转发指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第二对照表中包括多个目的ip以及对应的端口信息。
21.根据本技术的一个方面，提供了一种报文处理系统。该系统包括：硬件设备，用于接收并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文，并在第一五元组信息符合预设条件，并且硬件设备中的会话库中不存在五元组信息与解析后的第一报文的第二五元组信息相同的会话信息的情况下，将第二五元组信息发送至cpu，并接收cpu返回的目标会话信息，从目标会话信息中获取执行指令，根据执行指令
处理第一报文，其中，会话库存储在硬件设备中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令；cpu，与硬件设备连接，用于接收并解析第二五元组信息，得到第二五元组信息中的第二目的ip，在第二目的ip与cpu的ip地址相同的情况下，在第一对照表中确定与第二五元组信息中的安全参数索引值对应的密钥，并将第二五元组信息、密钥和接收指令确定为目标会话信息，或在第二目的ip与ip地址不相同的情况下，在第二对照表中确定与第二目的ip对应的端口信息，并将第二五元组信息、端口信息和转发指令确定为目标会话信息，将目标会话信息发送至硬件设备中。
22.根据本技术的另一方面，提供了一种报文处理装置。该装置包括：第一解析单元，用于硬件设备接收客户端发送的第一报文，并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文；第一判断单元，用于硬件设备判断第一五元组信息是否符合预设条件，其中，预设条件用于确定第一报文是否为目标类型的报文；第二解析单元，用于在第一五元组信息符合预设条件的情况下，通过第二解析方法解析解析后的第一报文，得到第二五元组信息和加密数据；第一获取单元，用于从硬件设备中的会话库中获取五元组信息与第二五元组信息相同的会话信息，得到目标会话信息，其中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令；第二获取单元，用于硬件设备从目标会话信息中获取执行指令，根据执行指令处理第一报文。
23.根据本发明实施例的另一方面，还提供了一种计算机存储介质，计算机存储介质用于存储程序，其中，程序运行时控制计算机存储介质所在的设备执行一种报文处理方法。
24.根据本发明实施例的另一方面，还提供了一种电子设备，包含一个或多个处理器和存储器；存储器中存储有计算机可读指令，处理器用于运行计算机可读指令，其中，计算机可读指令运行时执行一种报文处理方法。
25.通过本技术，采用以下步骤：硬件设备接收客户端发送的第一报文，并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文；硬件设备判断第一五元组信息是否符合预设条件，其中，预设条件用于确定第一报文是否为目标类型的报文；在第一五元组信息符合预设条件的情况下，通过第二解析方法解析解析后的第一报文，得到第二五元组信息和加密数据；从硬件设备中的会话库中获取五元组信息与第二五元组信息相同的会话信息，得到目标会话信息，其中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令；硬件设备从目标会话信息中获取执行指令，根据执行指令处理第一报文。解决了相关技术中通过网络设备的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题。通过在硬件设备中通过第一解析方法解析第一报文，并确定第一报文是否为目标类型的报文，并在是目标类型的报文的情况下，再通过第二解析方法对解析后的第一报文再次进行解析，从而得到第二五元组信息，并从网络设备中的会话库确定第二五元组信息对应的会话信息中的执行指令，根据该执行指令执行后续的操作，进而达到了在不使用网络设备中的cpu的情况下通过硬件设备快速准确的确定第一报文的执行指令的效果。
附图说明
26.构成本技术的一部分的附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。在附图中：
27.图1是根据本技术实施例提供的报文处理方法的流程图一；
28.图2是根据本技术实施例提供的报文处理方法的流程图二；
29.图3是根据本技术实施例提供的报文处理系统的示意图；
30.图4是根据本技术实施例提供的报文处理装置的示意图一；
31.图5是根据本技术实施例提供的报文处理装置的示意图二。
具体实施方式
32.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
33.为了使本技术领域的人员更好地理解本技术方案，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分的实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本技术保护的范围。
34.需要说明的是，本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本技术的实施例。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
35.需要说明的是，本公开所涉及的相关信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于展示的数据、分析的数据等)，均为经用户授权或者经过各方充分授权的信息和数据。例如，本系统和相关用户或机构间设置有接口，在获取相关信息之前，需要通过接口向前述的用户或机构发送获取请求，并在接收到前述的用户或机构反馈的同意信息后，获取相关信息。
36.根据本技术的实施例，提供了一种报文处理方法。
37.图1是根据本技术实施例提供的报文处理方法的流程图。如图1所示，该方法包括以下步骤：
38.步骤s102，硬件设备接收客户端发送的第一报文，并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文。
39.需要说明的是，硬件设备为网络设备中用于替代cpu进行部分操作的执行的辅助硬件设备，其中，网络设备可以为路由器、交换机或防火墙设备等。在网络设备接收到部分报文的时候，可以通过网络设备中的硬件设备对报文进行处理，从而起到对cpu的辅助作用，同时还起到加速网络设备运行的效果。
40.具体的，第一报文可以为表2中的包含udp头的ipsec报文，首先，硬件设备在接收到客户端发送的第一报文后，需要通过第一解析方法对第一报文进行解析，从而得到第一报文中的第一五元组信息，以及解析后的第一报文，其中，第一解析方法为将第一报文中的ip头部和udp头部进行解析，并由ip头部中的源ip,目的ip、udp协议号和udp头中的源端口和目的端口组成第一五元组信息。
41.表2
42.ip头部udp头esp头(包含32位spi)加密数据
43.步骤s104，硬件设备判断第一五元组信息是否符合预设条件，其中，预设条件用于确定第一报文是否为目标类型的报文。
44.具体的，由于udp头中目的端口一般使用公共的4500端口或者私自协商的端口来表示ipsec nat-t(ipsecnat穿越)报文，因此可以通过确定第一五元组信息中的目的端口确定该报文是否为ipsec nat-t报文，在该报文为ipsec nat-t报文的情况下，可以直接确定第一报文中包括esp头，因此，可以将解析后的第一报文按照esp报文的解析方式再次进行解析，从而得到第二五元组信息以及报文中的加密数据，其中，第二五元组信息由ip头中的源ip,目的ip，esp头中的32位spi(security parameter index安全参数索引值)，以及sep协议对应的协议号组成。
45.步骤s106，在第一五元组信息符合预设条件的情况下，通过第二解析方法解析解析后的第一报文，得到第二五元组信息和加密数据。
46.具体的，在确定第一报文中包括esp头的情况下，可以将解析后的第一报文按照esp报文的解析方式进行解析，得到esp头中的spi(security parameter index安全参数索引值)，并将ip头中的udp协议号(也即17)变更为esp协议号(也即50)，从而得到第一报文的第二五元组信息，也即：源ip，目的ip，spi高16位、spi低16位和esp协议号。
47.步骤s108，从硬件设备中的会话库中获取五元组信息与第二五元组信息相同的会话信息，得到目标会话信息，其中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令。
48.需要说明的是，硬件设备中包括会话库，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令，会话库中存储的会话信息均为cpu添加至会话库中的信息，会话信息分为隧道会话和转发会话两种类型，其中，隧道会话中的执行指令为硬件设备接收该报文中的加密数据，转发会话中的执行指令为硬件设备转发第一报文。
49.具体的，在得到第二五元组后，可以查询会话库中是否存在与第二五元组相同的五元组信息，在可以查询到与第二五元组相同的五元组信息的情况下，将该五元组信息所在的会话信息确定为目标会话信息。
50.步骤s110，硬件设备从目标会话信息中获取执行指令，根据执行指令处理第一报文。
51.具体的，在完成对目标会话信息的确定后，可以从目标会话信息中获取执行指令，并根据执行指令从目标会话信息中获取对应的数据，并根据数据和执行指令对第一报文进行操作，从而完成对报文的处理。
52.例如，执行指令可以为转发第一报文，则可以从目标会话信息中获取转发的ip地址，或是使用的物理转发端口，并将第一报文向该ip地址进行发送，或是将第一报文发送至该转发端口中，通过预设连接关系转发至与转发端口连接的设备中。
53.本技术实施例提供的报文处理方法，通过硬件设备接收客户端发送的第一报文，并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文；硬件设备判断第一五元组信息是否符合预设条件，其中，预设条件用于确定第一报文是否为目标类型的报文；在第一五元组信息符合预设条件的情况下，通过第二解析方法解析
解析后的第一报文，得到第二五元组信息和加密数据；从硬件设备中的会话库中获取五元组信息与第二五元组信息相同的会话信息，得到目标会话信息，其中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令；硬件设备从目标会话信息中获取执行指令，根据执行指令处理第一报文。解决了相关技术中通过网络设备的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题。通过在硬件设备中通过第一解析方法解析第一报文，并确定第一报文是否为目标类型的报文，并在是目标类型的报文的情况下，再通过第二解析方法对解析后的第一报文再次进行解析，从而得到第二五元组信息，并从网络设备中的会话库确定第二五元组信息对应的会话信息中的执行指令，根据该执行指令执行后续的操作，进而达到了在不使用网络设备中的cpu的情况下通过硬件设备快速准确的确定第一报文的执行指令的效果。
54.可选地，在本技术实施例提供的报文处理方法中，第一五元组信息中包括端口信息和第一协议，判断第一五元组信息是否符合预设条件包括：判断端口信息是否为预设端口信息；在端口信息是预设端口信息的情况下，判断第一协议是否为第一预设协议；在第一协议是第一预设协议的情况下，确定第一五元组信息符合预设条件。
55.具体的，在解析第一报文后，首先要确定该报文是否为携带udp头的报文，同时还要判断该报文是否为ipsec报文，也即，确定第一报文中是否携带esp头。由于udp头中目的端口一般使用公共的4500端口或者私自协商的端口来表示ipsec nat-t(ipsecnat穿越)报文，因此可以通过确定第一五元组信息中的目的端口确定该报文是否为ipsec nat-t报文，并且可以通过ip头中的协议号确定是否为携带udp头的报文。
56.首先，判断ip头中的协议号是否为17，在协议号为17的情况下，确定该报文中存在udp头，进一步的，如果目的端口为4500端口，或者是硬件设备中预先协商的端口，则可以确定该报文为ipsecnat穿越报文。
57.需要说明的是，如果第一报文不满足预设条件，则将第一报文发送至与硬件设备连接的cpu中完成该报文的处理。
58.可选地，在本技术实施例提供的报文处理方法中，从会话库中获取属性信息与第二五元组信息相同的会话信息，得到目标会话信息包括：判断会话库中是否存在属性信息与第二五元组信息相同的会话信息；在存在属性信息与第二五元组信息相同的会话信息的情况下，将属性信息与第二五元组信息相同的会话信息确定为目标会话信息；在不存在属性信息与第二五元组相同的会话信息的情况下，将第二五元组信息发送至cpu，并接收cpu返回的目标会话信息。
59.具体的，在获取到第二五元组信息后，可以根据预设规则将第二五元组信息进行编码，得到第二五元组信息对应的数值，并将该数值在会话库中进行检索，从而确定会话库中是否存在该数值对应的会话信息。在存在该数值对应的会话信息的情况下，表明该会话信息的会话id为该数值，则将该会话信息确定为与第二五元组信息对应的目标会话信息。在不存在该数值对应的会话信息的情况下，表明第一报文第一次被硬件设备接收，因此需要将第二五元组信息发送至与硬件设备连接的cpu中，进而在cpu中确定第二五元组信息对应的会话信息，并接收从cpu中返回的目标会话信息。
60.可选地，在本技术实施例提供的报文处理方法中，在接收cpu返回的目标会话信息之后，该方法还包括：将目标会话信息与第二五元组信息关联存储至会话库中。
61.具体的，在接收到从cpu返回的目标会话信息后，将目标会话信息存储在会话库中，从而便于在下次接收到五元组信息与第二五元组信息相同的报文的情况下，可以直接确定该报文对应的会话信息，从而提高报文的处理速度。
62.可选地，在本技术实施例提供的报文处理方法中，从目标会话信息中获取执行指令，根据执行指令处理第一报文包括：在执行指令为转发指令的情况下，获取目标会话信息中的端口信息，并将第一报文按照发送至端口信息指示的接收端。
63.具体的，在获取到目标会话信息后，可以根据目标会话信息中的执行指令确定对报文执行的操作。在执行指令为转发指令的情况下，表征目标会话信息为转发会话，则从会话信息中获取端口信息，其中，该端口信息为硬件设备上连接的物理端口的端口号，该端口会与其余设备进行连接，从而将第一报文信息直接通过端口发送至后续的接收设备，从而完成数据的转发操作。
64.可选地，在本技术实施例提供的报文处理方法中，从目标会话信息中获取执行指令，根据执行指令处理第一报文包括：在执行指令为接收指令的情况下，从接收指令中获取预设密钥，并根据预设密钥对加密数据进行解密，得到解密后的数据信息；获取数据信息中的接收端信息，并将数据信息发送至接收端信息指示的接收端。
65.具体的，在获取到目标会话信息后，可以根据目标会话信息中的执行指令确定对报文执行的操作。在执行指令为接收指令的情况下，表征目标会话信息为隧道会话，也即，第一报文即为本硬件设备接收的报文，因此，可以在当前的解析状态下，从会话信息中获取预设的密钥，并根据该密钥对第一报文中的加密信息进行解密，从而完成信息的获取，并根据获取到的数据确定接收端的信息，并将该数据发送至接收端。
66.需要说明的是，密钥为cpu根据esp头中的spi信息确定的，在cpu中存在事先约定好的spi与密钥的对应关系，根据spi的信息即可知道加密数据是通过哪个密钥进行加密的，进而可以将对应的解密的密钥预先设置在会话信息中，从而在硬件设备对加密数据解密的时候，可以直接进行解密，从而减少了与cpu的交互，提高了数据解密的效率。
67.可选地，在本技术实施例提供的报文处理方法中，第一五元组信息中还包括第一目的ip，在判断端口信息是否为预设端口信息后，该方法还包括：在端口信息不是预设端口的情况下，将第一报文发送至第一目的ip指示的接收端。
68.具体的，在端口信息不是预设端口信息的情况下，证明第一报文并非ipsec报文，因此，第一报文中的加密数据无需硬件设备对其进行处理，因此，可以根据第一目的ip将该数据进行转发，也即，硬件设备相当于报文中转站，该报文可能由于某种异常原因发送至本硬件设备中，因此本硬件设备将该报文按照目的ip将报文进行转发，避免因为报文的错误发送影响报文中的数据的处理。
69.根据本技术的实施例，还提供了一种报文处理方法。
70.图2是根据本技术实施例提供的报文处理方法的流程图二。如图2所示，该方法包括以下步骤：
71.步骤s202，cpu接收硬件设备发送的第二五元组信息，并获取第二五元组信息中的第二目的ip，其中，第二五元组信息为将第一报文通过第一解析方式和第二解析方式进行解析后得到的五元组信息，第一解析方式和第二解析方式不同。
72.具体的，在硬件设备中的会话库中不存在与第二五元组信息对应的会话信息的情
况下，为了获取会话信息，硬件设备会将第二五元组信息发送至cpu中，由cpu确定第二五元组信息对应的会话信息。
73.在cpu接收到第二五元组信息后，从第二五元组信息中获取目的ip，得到第二目的ip，并根据第二目的ip确定第一报文的发送目标设备是否为本设备。
74.步骤s204，判断第二目的ip与cpu中存储的ip地址是否相同。
75.具体的，cpu中存储硬件设备对应的ip地址，并根据该ip地址与第二目的ip进行对比，从而确定第一报文是发送至本硬件设备还是发送至其他设备。
76.步骤s206，在第二目的ip与ip地址相同的情况下，获取第二五元组信息中的安全参数索引值，在第一对照表中确定与安全参数索引值对应的密钥，并生成第二五元组信息对应的会话信息，将密钥和接收指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第一对照表中包括多个安全参数索引值以及对应的密钥。
77.具体的，在第二目的ip与ip地址相同的情况下，表征该报文应由硬件设备接收，此时，可以根据cpu中存储的预先约定的安全参数索引值和密钥的对应关系，从cpu中获取第二五元组信息的密钥，并将密钥、接收指令添加到新生成的、第二元数据信息对应的会话信息中，得到目标会话信息，并将目标会话信息发送至硬件设备中，进而在硬件设备中完成对加密数据的解密，并且在硬件设备中存储目标会话信息，从而在再次接收到五元组相同的报文的时候可以直接在硬件设备中完成对报文的处理，提高了对报文的处理效率。
78.步骤s208，在第二目的ip与ip地址不相同的情况下，在第二对照表中确定与第二目的ip对应的端口信息，并生成第二五元组信息对应的会话信息，将端口信息和转发指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第二对照表中包括多个目的ip以及对应的端口信息。
79.具体的，在第二目的ip与ip地址不相同的情况下，可以确定该报文需要被硬件设备转发至其余设备中。此时，可以由预设的第二对照表确定与第二ip地址对应的端口信息，此处的端口信息为硬件设备中的物理端口的端口信息，例如，从硬件设备中的1号端口转发第一报文，并将端口信息和转发指令添加到新生成的、第二元数据信息对应的会话信息中，得到目标会话信息，并将目标会话信息发送至硬件设备中。进而在硬件设备中完成对加密数据的解密，并且在硬件设备中存储目标会话信息，从而在再次接收到五元组相同的报文的时候可以直接在硬件设备中完成对报文的处理，提高了对报文的处理效率。
80.本技术实施例提供的报文处理方法，通过cpu接收硬件设备发送的第二五元组信息，并获取第二五元组信息中的第二目的ip，其中，第二五元组信息为将第一报文通过第一解析方式和第二解析方式进行解析后得到的五元组信息，第一解析方式和第二解析方式不同；判断第二目的ip与cpu中存储的ip地址是否相同；在第二目的ip与ip地址相同的情况下，获取第二五元组信息中的安全参数索引值，在第一对照表中确定与安全参数索引值对应的密钥，并生成第二五元组信息对应的会话信息，将密钥和接收指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第一对照表中包括多个安全参数索引值以及对应的密钥；在第二目的ip与ip地址不相同的情况下，在第二对照表中确定与第二目的ip对应的端口信息，并生成第二五元组信息对应的会话信息，将端口信息和转发指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第二对照表中包括多个目的ip以及对应的端口信息。解决了相关技术中通过网络设备
的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题。通过在硬件设备中通过第一解析方法解析第一报文，并确定第一报文是否为目标类型的报文，并在是目标类型的报文的情况下，再通过第二解析方法对解析后的第一报文再次进行解析，从而得到第二五元组信息，并从网络设备中的会话库确定第二五元组信息对应的会话信息中的执行指令，根据该执行指令执行后续的操作，进而达到了在不使用网络设备中的cpu的情况下通过硬件设备快速准确的确定第一报文的执行指令的效果。
81.需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。
82.本技术实施例还提供了一种报文处理系统，需要说明的是，本技术实施例的报文处理系统可以用于执行本技术实施例所提供的用于报文处理方法。以下对本技术实施例提供的报文处理系统进行介绍。
83.图3是根据本技术实施例提供的报文处理系统的示意图。如图3所示，该系统包括：
84.硬件设备31，用于接收并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文，并在第一五元组信息符合预设条件，并且硬件设备31中的会话库中不存在五元组信息与解析后的第一报文的第二五元组信息相同的会话信息的情况下，将第二五元组信息发送至cpu32，并接收cpu32返回的目标会话信息，从目标会话信息中获取执行指令，根据执行指令处理第一报文，其中，会话库存储在硬件设备31中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令。
85.具体的，硬件设备31接收到第一报文后，通过第一解析方法将第一报文进行解析，得到第一报文的第一五元组信息以及解析后的第一报文，根据第一五元组信息中的协议号和目的端口确定第一五元组信息是否满足预设条件，在满足预设条件的情况下，表征第一报文的报文类型正确，则通过第二解析方法将解析后的第一报文进行解析，得到第二五元组信息，并确定硬件设备31中的会话库中是否存在与第二五元组信息相同的五元组信息，并在存在的情况下，获取会话库中该五元组信息对应的会话信息，并根据会话信息中的执行指令和会话信息中的预存信息对第一报文执行对应的处理操作。
86.cpu32，与硬件设备31连接，用于接收并解析第二五元组信息，得到第二五元组信息中的第二目的ip，在第二目的ip与cpu32的ip地址相同的情况下，在第一对照表中确定与第二五元组信息中的安全参数索引值对应的密钥，并将第二五元组信息、密钥和接收指令确定为目标会话信息，或在第二目的ip与ip地址不相同的情况下，在第二对照表中确定与第二目的ip对应的端口信息，并将第二五元组信息、端口信息和转发指令确定为目标会话信息，将目标会话信息发送至硬件设备31中。
87.具体的，在硬件设备31中的会话库中不存在与第二五元组信息对应的会话信息的情况下，为了获取会话信息，硬件设备31会将第二五元组信息发送至cpu32中，由cpu32确定第二五元组信息对应的会话信息。在cpu32接收到第二五元组信息后，从第二五元组信息中获取目的ip，得到第二目的ip，并根据第二目的ip确定第一报文的目标发送设备是否为本设备。由于cpu32中存储硬件设备31对应的ip地址，因此可以根据该ip地址与第二目的ip进行对比，从而确定第一报文是发送至本硬件设备31还是发送至其他设备。在第二目的ip与ip地址相同的情况下，表征该报文应由硬件设备31接收，此时，可以根据cpu32中存储的预
先约定的安全参数索引值和密钥的对应关系，从cpu32中获取第二五元组信息的密钥，并将密钥、接收指令添加到新生成的、第二元数据信息对应的会话信息中，得到目标会话信息，并将目标会话信息发送至硬件设备31中，在第二目的ip与ip地址不相同的情况下，可以确定该报文需要被硬件设备31转发至其余设备中。此时，可以由预设的第二对照表确定与第二ip地址对应的端口信息，此处的端口信息为硬件设备31中的物理端口的端口信息，例如，从硬件设备31的1号端口转发第一报文，并将端口信息和转发指令添加到新生成的、第二元数据信息对应的会话信息中，得到目标会话信息，并将目标会话信息发送至硬件设备31中。进而在硬件设备31中完成对加密数据的解密，并且在硬件设备31中存储目标会话信息，从而在再次接收到五元组相同的报文的时候可以直接在硬件设备31中完成对报文的处理，提高了对报文的处理效率。
88.本技术实施例还提供了一种报文处理装置，需要说明的是，本技术实施例的报文处理装置可以用于执行本技术实施例所提供的用于报文处理方法。以下对本技术实施例提供的报文处理装置进行介绍。
89.图4是根据本技术实施例提供的报文处理装置的示意图一。如图4所示，该装置包括：第一解析单元41，第一判断单元42，第二解析单元43，第一获取单元44，第二获取单元45。
90.第一解析单元41，用于硬件设备接收客户端发送的第一报文，并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文。
91.需要说明的是，硬件设备为网络设备中用于替代cpu进行部分操作的执行的辅助硬件设备，其中，网络设备可以为路由器、交换机或防火墙设备等。在网络设备接收到部分报文的时候，可以通过网络设备中的硬件设备对报文进行处理，从而起到对cpu的辅助作用，同时还起到加速网络设备运行的效果。
92.具体的，第一报文可以为表2中的包含udp头的ipsec报文，首先，硬件设备在接收到客户端发送的第一报文后，需要通过第一解析方法对第一报文进行解析，从而得到第一报文中的第一五元组信息，以及解析后的第一报文，其中，第一解析方法为将第一报文中的ip头部和udp头部进行解析，并由ip头部中的源ip,目的ip、udp协议号和udp头中的源端口和目的端口组成第一五元组信息。
93.表2
94.ip头部udp头esp头(包含32位spi)加密数据
95.第一判断单元42，用于硬件设备判断第一五元组信息是否符合预设条件，其中，预设条件用于确定第一报文是否为目标类型的报文。
96.具体的，由于udp头中目的端口一般使用公共的4500端口或者私自协商的端口来表示ipsec nat-t(ipsecnat穿越)报文，因此可以通过确定第一五元组信息中的目的端口确定该报文是否为ipsec nat-t报文，在该报文为ipsec nat-t报文的情况下，可以直接确定第一报文中包括esp头，因此，可以将解析后的第一报文按照esp报文的解析方式再次进行解析，从而得到第二五元组信息以及报文中的加密数据，其中，第二五元组信息由ip头中的源ip,目的ip，esp头中的32位spi(security parameter index安全参数索引值)，以及sep协议对应的协议号组成。
97.第二解析单元43，用于在第一五元组信息符合预设条件的情况下，通过第二解析
方法解析解析后的第一报文，得到第二五元组信息和加密数据。
98.具体的，在确定第一报文中包括esp头的情况下，可以将解析后的第一报文按照esp报文的解析方式进行解析，得到esp头中的spi(security parameter index安全参数索引值)，并将ip头中的udp协议号(也即17)变更为esp协议号(也即50)，从而得到第一报文的第二五元组信息，也即：源ip，目的ip，spi高16位、spi低16位和esp协议号。
99.第一获取单元44，用于从硬件设备中的会话库中获取五元组信息与第二五元组信息相同的会话信息，得到目标会话信息，其中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令。
100.需要说明的是，硬件设备中包括会话库，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令，会话库中存储的会话信息均为cpu添加至会话库中的信息，会话信息分为隧道会话和转发会话两种类型，其中，隧道会话中的执行指令为硬件设备接收该报文中的加密数据，转发会话中的执行指令为硬件设备转发第一报文。
101.具体的，在得到第二五元组后，可以查询会话库中是否存在与第二五元组相同的五元组信息，在可以查询到与第二五元组相同的五元组信息的情况下，将该五元组信息所在的会话信息确定为目标会话信息。
102.第二获取单元45，用于硬件设备从目标会话信息中获取执行指令，根据执行指令处理第一报文。
103.具体的，在完成对目标会话信息的确定后，可以从目标会话信息中获取执行指令，并根据执行指令从目标会话信息中获取对应的数据，并根据数据和执行指令对第一报文进行操作，从而完成对报文的处理。
104.例如，执行指令可以为转发第一报文，则可以从目标会话信息中获取转发的ip地址，或是使用的物理转发端口，并将第一报文向该ip地址进行发送，或是将第一报文发送至该转发端口中，通过预设连接关系转发至与转发端口连接的设备中。
105.本技术实施例提供的报文处理装置，通过第一解析单元41，用于硬件设备接收客户端发送的第一报文，并通过第一解析方法解析第一报文，得到第一报文的第一五元组信息以及解析后的第一报文；第一判断单元42，用于硬件设备判断第一五元组信息是否符合预设条件，其中，预设条件用于确定第一报文是否为目标类型的报文；第二解析单元43，用于在第一五元组信息符合预设条件的情况下，通过第二解析方法解析解析后的第一报文，得到第二五元组信息和加密数据；第一获取单元44，用于从硬件设备中的会话库中获取五元组信息与第二五元组信息相同的会话信息，得到目标会话信息，其中，会话库中存储多个会话信息，会话信息中包括五元组信息和执行指令；第二获取单元45，用于硬件设备从目标会话信息中获取执行指令，根据执行指令处理第一报文。解决了相关技术中通过网络设备的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题。通过在硬件设备中通过第一解析方法解析第一报文，并确定第一报文是否为目标类型的报文，并在是目标类型的报文的情况下，再通过第二解析方法对解析后的第一报文再次进行解析，从而得到第二五元组信息，并从网络设备中的会话库确定第二五元组信息对应的会话信息中的执行指令，根据该执行指令执行后续的操作，进而达到了在不使用网络设备中的cpu的情况下通过硬件设备快速准确的确定第一报文的执行指令的效果。
106.可选地，在本技术实施例提供的报文处理装置中，第一五元组中包括端口信息和
第一协议，第一判断单元42包括：第一判断模块，用于判断端口信息是否为预设端口信息；第二判断模块，用于在端口信息是预设端口信息的情况下，判断第一协议是否为第一预设协议；第一确定模块，用于在第一协议是第一预设协议的情况下，确定第一五元组信息符合预设条件。
107.具体的，在解析第一报文后，首先要确定该报文是否为携带udp头的报文，同时还要判断该报文是否为ipsec报文，也即，确定第一报文中是否携带esp头。由于udp头中目的端口一般使用公共的4500端口或者私自协商的端口来表示ipsec nat-t(ipsecnat穿越)报文，因此可以通过确定第一五元组信息中的目的端口确定该报文是否为ipsec nat-t报文，并且可以通过ip头中的协议号确定是否为携带udp头的报文。
108.首先，判断ip头中的协议号是否为17，在协议号为17的情况下，确定该报文中存在udp头，进一步的，如果目的端口为4500端口，或者是硬件设备中预先协商的端口，则可以确定该报文为ipsecnat穿越报文。
109.需要说明的是，如果第一报文不满足预设条件，则将第一报文发送至与硬件设备连接的cpu中完成该报文的处理。
110.可选地，在本技术实施例提供的报文处理装置中，第一获取单元44包括：第三判断模块，用于判断会话库中是否存在属性信息与第二五元组信息相同的会话信息；第二确定模块，用于在存在属性信息与第二五元组信息相同的会话信息的情况下，将属性信息与第二五元组信息相同的会话信息确定为目标会话信息；发送模块，用于在不存在属性信息与第二五元组相同的会话信息的情况下，将第二五元组信息发送至cpu，并接收cpu返回的目标会话信息。
111.具体的，在获取到第二五元组信息后，可以根据预设规则将第二五元组信息进行编码，得到第二五元组信息对应的数值，并将该数值在会话库中进行检索，从而确定会话库中是否存在该数值对应的会话信息。在存在该数值对应的会话信息的情况下，表明该会话信息的会话id为该数值，则将该会话信息确定为与第二五元组信息对应的目标会话信息。在不存在该数值对应的会话信息的情况下，表明第一报文第一次被硬件设备接收，因此需要将第二五元组信息发送至与硬件设备连接的cpu中，进而在cpu中确定第二五元组信息对应的会话信息，并接收从cpu中返回的目标会话信息。
112.可选地，在本技术实施例提供的报文处理装置中，该装置还包括：存储单元，用于将目标会话信息与第二五元组信息关联存储至会话库中。
113.具体的，在接收到从cpu返回的目标会话信息后，将目标会话信息存储在会话库中，从而便于在下次接收到五元组信息与第二五元组信息相同的报文的情况下，可以直接确定该报文对应的会话信息，从而提高报文的处理速度。
114.可选地，在本技术实施例提供的报文处理装置中，第二获取单元45包括：第一获取模块，用于在执行指令为转发指令的情况下，获取目标会话信息中的端口信息，并将第一报文按照发送至端口信息指示的接收端。
115.具体的，在获取到目标会话信息后，可以根据目标会话信息中的执行指令确定对报文执行的操作。在执行指令为转发指令的情况下，表征目标会话信息为转发会话，则从会话信息中获取端口信息，其中，该端口信息为硬件设备上连接的物理端口的端口号，该端口会与其余设备进行连接，从而将第一报文信息直接通过端口发送至后续的接收设备，从而
完成数据的转发操作。
116.可选地，在本技术实施例提供的报文处理装置中，第二获取单元45包括：解密模块，用于在执行指令为接收指令的情况下，从接收指令中获取预设密钥，并根据预设密钥对加密数据进行解密，得到解密后的数据信息；第二获取模块，用于获取数据信息中的接收端信息，并将数据信息发送至接收端信息指示的接收端。
117.具体的，在获取到目标会话信息后，可以根据目标会话信息中的执行指令确定对报文执行的操作。在执行指令为接收指令的情况下，表征目标会话信息为隧道会话，也即，第一报文即为本硬件设备接收的报文，因此，可以在当前的解析状态下，从会话信息中获取预设的密钥，并根据该密钥对第一报文中的加密信息进行解密，从而完成信息的获取，并根据获取到的数据确定接收端的信息，并将该数据发送至接收端。
118.需要说明的是，密钥为cpu根据esp头中的spi信息确定的，在cpu中存在事先约定好的spi与密钥的对应关系，根据spi的信息即可知道加密数据是通过哪个密钥进行加密的，进而可以将对应的解密的密钥预先设置在会话信息中，从而在硬件设备对加密数据解密的时候，可以直接进行解密，从而减少了与cpu的交互，提高了数据解密的效率。
119.可选地，在本技术实施例提供的报文处理装置中，第一五元组中还包括第一目的ip，该装置还包括：发送单元，用于在端口信息不是预设端口的情况下，将第一报文发送至第一目的ip指示的接收端。
120.具体的，在端口信息不是预设端口信息的情况下，证明第一报文并非ipsec报文，因此，第一报文中的加密数据无需硬件设备对其进行处理，因此，可以根据第一目的ip将该数据进行转发，也即，硬件设备相当于报文中转站，该报文可能由于某种异常原因发送至本硬件设备中，因此本硬件设备将该报文按照目的ip将报文进行转发，避免因为报文的错误发送影响报文中的数据的处理。
121.图5是根据本技术实施例提供的报文处理装置的示意图二。如图5所示，该装置包括：第三解析单元51，第二判断单元52，第一添加单元53，第二添加单元54。
122.第三解析单元51，用于cpu接收硬件设备发送的第二五元组信息，并获取第二五元组信息中的第二目的ip，其中，第二五元组信息为将第一报文通过第一解析方式和第二解析方式进行解析后得到的五元组信息，第一解析方式和第二解析方式不同。
123.具体的，在硬件设备中的会话库中不存在与第二五元组信息对应的会话信息的情况下，为了获取会话信息，硬件设备会将第二五元组信息发送至cpu中，由cpu确定第二五元组信息对应的会话信息。
124.在cpu接收到第二五元组信息后，从第二五元组信息中获取目的ip，得到第二目的ip，并根据第二目的ip确定第一报文的发送目标设备是否为本设备。
125.第二判断单元52，用于判断第二目的ip与cpu中存储的ip地址是否相同。
126.具体的，cpu中存储硬件设备对应的ip地址，并根据该ip地址与第二目的ip进行对比，从而确定第一报文是发送至本硬件设备还是发送至其他设备。
127.第一添加单元53，用于在第二目的ip与ip地址相同的情况下，获取第二五元组信息中的安全参数索引值，在第一对照表中确定与安全参数索引值对应的密钥，并生成第二五元组信息对应的会话信息，将密钥和接收指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第一对照表中包括多个安全参数索引值以及对应
的密钥。
128.具体的，在第二目的ip与ip地址相同的情况下，表征该报文应由硬件设备接收，此时，可以根据cpu中存储的预先约定的安全参数索引值和密钥的对应关系，从cpu中获取第二五元组信息的密钥，并将密钥、接收指令添加到新生成的、第二元数据信息对应的会话信息中，得到目标会话信息，并将目标会话信息发送至硬件设备中，进而在硬件设备中完成对加密数据的解密，并且在硬件设备中存储目标会话信息，从而在再次接收到五元组相同的报文的时候可以直接在硬件设备中完成对报文的处理，提高了对报文的处理效率。
129.第二添加单元54，用于在第二目的ip与ip地址不相同的情况下，在第二对照表中确定与第二目的ip对应的端口信息，并生成第二五元组信息对应的会话信息，将端口信息和转发指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第二对照表中包括多个目的ip以及对应的端口信息。
130.具体的，在第二目的ip与ip地址不相同的情况下，可以确定该报文需要被硬件设备转发至其余设备中。此时，可以由预设的第二对照表确定与第二ip地址对应的端口信息，此处的端口信息为硬件设备中的物理端口的端口信息，例如，从硬件设备中的1号端口转发第一报文，并将端口信息和转发指令添加到新生成的、第二元数据信息对应的会话信息中，得到目标会话信息，并将目标会话信息发送至硬件设备中。进而在硬件设备中完成对加密数据的解密，并且在硬件设备中存储目标会话信息，从而在再次接收到五元组相同的报文的时候可以直接在硬件设备中完成对报文的处理，提高了对报文的处理效率。
131.本技术实施例提供的报文处理装置，通过第三解析单元51，用于cpu接收硬件设备发送的第二五元组信息，并获取第二五元组信息中的第二目的ip，其中，第二五元组信息为将第一报文通过第一解析方式和第二解析方式进行解析后得到的五元组信息，第一解析方式和第二解析方式不同。第二判断单元52，用于判断第二目的ip与cpu中存储的ip地址是否相同。第一添加单元53，用于在第二目的ip与ip地址相同的情况下，获取第二五元组信息中的安全参数索引值，在第一对照表中确定与安全参数索引值对应的密钥，并生成第二五元组信息对应的会话信息，将密钥和接收指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第一对照表中包括多个安全参数索引值以及对应的密钥。第二添加单元54，用于在第二目的ip与ip地址不相同的情况下，在第二对照表中确定与第二目的ip对应的端口信息，并生成第二五元组信息对应的会话信息，将端口信息和转发指令添加至会话信息中，得到目标会话信息，将目标会话信息发送至硬件设备中，其中，第二对照表中包括多个目的ip以及对应的端口信息。解决了相关技术中通过网络设备的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题。通过在硬件设备中通过第一解析方法解析第一报文，并确定第一报文是否为目标类型的报文，并在是目标类型的报文的情况下，再通过第二解析方法对解析后的第一报文再次进行解析，从而得到第二五元组信息，并从网络设备中的会话库确定第二五元组信息对应的会话信息中的执行指令，根据该执行指令执行后续的操作，进而达到了在不使用网络设备中的cpu的情况下通过硬件设备快速准确的确定第一报文的执行指令的效果。
132.上述报文处理装置包括处理器和存储器，上述第一解析单元41，第一判断单元42，第二解析单元43，第一获取单元44，第二获取单元45，第三解析单元51，第二判断单元52，第一添加单元53，第二添加单元54等均作为程序单元存储在存储器中，由处理器执行存储在
存储器中的上述程序单元来实现相应的功能。
133.处理器中包含内核，由内核去存储器中调取相应的程序单元。内核可以设置一个或以上，通过调整内核参数来解决了相关技术中通过网络设备的cpu对报文进行处理的处理效率较低，并且影响cpu性能的问题。
134.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)，存储器包括至少一个存储芯片。
135.本发明实施例提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现所述报文处理方法。
136.本发明实施例提供了一种处理器，所述处理器用于运行程序，其中，所述程序运行时执行所述报文处理方法。
137.本发明实施例提供了一种电子设备，包括处理器、存储器及存储在存储器上并可在处理器上运行的程序，处理器执行程序时实现上述报文处理方法。本文中的设备可以是服务器、pc、pad、手机等。
138.本技术还提供了一种计算机程序产品，当在数据处理设备上执行时，适于执行初始化有上述报文处理方法步骤的程序。
139.本领域内的技术人员应明白，本技术的实施例可提供为方法、系统、或计算机程序产品。因此，本技术可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本技术可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
140.本技术是参照根据本技术实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
141.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
142.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
143.在一个典型的配置中，计算设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。
144.存储器可能包括计算机可读介质中的非永久性存储器，随机存取存储器(ram)和/或非易失性内存等形式，如只读存储器(rom)或闪存(flash ram)。存储器是计算机可读介
质的示例。
145.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。
146.还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
147.以上仅为本技术的实施例而已，并不用于限制本技术。对于本领域技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本技术的权利要求范围之内。