补丁的更新方法及装置、存储介质和处理器与流程

本发明涉及计算机领域，具体而言，涉及一种补丁的更新方法及装置、存储介质和处理器。

背景技术：

局域网(localareanetwork，简称为lan)是在一个局部的地理范围内(如一个学校、工厂和机关内)，通常是在方圆几公里以内，将各种计算机，外部设备和数据库等互相联接起来组成的计算机通信网。局域网可以通过数据通信网或专用数据电路，与远方的局域网、数据库或处理中心相连接，构成一个较大范围的信息处理系统。局域网可以实现文件管理、应用软件共享、打印机共享、扫描仪共享、工作组内的日程安排、电子邮件和传真通信服务等功能。局域网严格意义上是封闭型的，而决定局域网的主要技术要素可以包括：网络拓扑，传输介质与介质访问控制方法。

局域网由网络硬件(包括：网络服务器、网络工作站、网络打印机、网卡、网络互联设备等)、网络传输介质以及网络软件所组成。

广域网(wan)，即通常所说的因特网(internet)，其为一个遍及全世界的网络。局域网相对于广域网而言，主要是指在小范围内的计算机互联网络。这个“小范围”可以是一个家庭、一所学校、一家公司或者是一个政府部门。日常生活中经常提到的公网或外网，即表示广域网；而通常提到的私网或内网，即表示局域网。

广域网上的每一个终端(或其他网络设备)都有一个或多个广域网互联网协议(ip)地址(或者称为公网、外网ip地址)；而局域网上的每一个终端(或其他设备)都有一个或多个局域网ip地址(或者称为私网、内网ip地址)，局域网ip地址是局域网内部分配的，不同局域网的ip地址可以重复，不会相互影响。

广域网与局域网交换数据的途径需要通过路由器或网关的网络地址转换(nat)进行。在通常情况下，局域网内终端发起的对外连接请求，路由器或网关都不会加以阻拦，但是来自广域网对局域网内终端连接的请求，路由器或网关在绝大多数情况下都会进行拦截。

目前，相关技术中，位于局域网的终端如果需要进行系统升级或软件升级，可以直接通过路由器或网关向广域网内的内容提供商提供的服务器发起请求，以获取软件升级补丁。当这种操作方式最为明显的弊端便是局域网内的每个终端主动暴露在广域网内，恶意攻击者可以通过伪装合法请求与局域网内的终端进行通信交互，甚至伪装合法的升级补丁供局域网内的终端下载，进而将恶意程序植入终端中进行破坏活动。然而，如果完全禁止局域网内的终端与广域网互连，那么终端内的各种类型应用均无法及时升级，进而享受更加丰富的应用功能或者对现有缺陷进行改进。

针对上述的问题，目前尚未提出有效的解决方案。

技术实现要素：

本发明实施例提供了一种补丁的更新方法及装置、存储介质和处理器，以至少解决相关技术中局域网内的终端通过广域网直接从提供商服务器下载更新补丁的过程中易遭受网络攻击，安全性较差的技术问题。

根据本发明实施例的一个方面，提供了一种补丁的更新方法，包括：

接收来自于第一服务器的描述信息，其中，描述信息用于记录在第二服务器上存储的补丁集合的关联信息；根据描述信息从存储在第二服务器上的补丁集合中获取一个或多个待更新补丁；采用一个或多个待更新补丁更新本地应用。

可选地，描述信息包括：补丁集合中每个补丁的类别信息；补丁集合中每个补丁的重要程度信息；补丁集合中每个补丁的当前版本信息；补丁集合中每个补丁的文件大小信息。

可选地，根据描述信息从补丁集合中获取一个或多个待更新补丁包括：将本地应用的版本信息与补丁集合中包含的对应补丁的版本信息进行比较，从补丁集合中筛选出部分或全部待更新补丁；按照每个待更新补丁的重要程度信息对部分或全部待更新补丁进行排序；采用部分或全部待更新补丁中每个补丁的类别信息和每个补丁的文件大小信息从排序后的部分或全部待更新补丁中获取一个或多个待更新补丁。

可选地，补丁集合是由第二服务器预先从广域网中获得的，并提供给与广域网隔离的局域网内一个或多个终端来更新本地应用。

根据本发明实施例的另一方面，还提供了一种补丁的更新装置，包括：

接收模块，用于接收来自于第一服务器的描述信息，其中，描述信息用于记录在第二服务器上存储的补丁集合的关联信息；获取模块，用于根据描述信息从存储在第二服务器上的补丁集合中获取一个或多个待更新补丁；更新模块，用于采用一个或多个待更新补丁更新本地应用。

可选地，描述信息包括：补丁集合中每个补丁的类别信息；补丁集合中每个补丁的重要程度信息；补丁集合中每个补丁的当前版本信息；补丁集合中每个补丁的文件大小信息。

可选地，获取模块包括：比较单元，用于将本地应用的版本信息与补丁集合中包含的对应补丁的版本信息进行比较，从补丁集合中筛选出部分或全部待更新补丁；排序单元，用于按照每个待更新补丁的重要程度信息对部分或全部待更新补丁进行排序；获取单元，用于采用部分或全部待更新补丁中每个补丁的类别信息和每个补丁的文件大小信息从排序后的部分或全部待更新补丁中获取一个或多个待更新补丁。

可选地，补丁集合是由第二服务器预先从广域网中获得的，并提供给与广域网隔离的局域网内一个或多个终端来更新本地应用。

根据本发明实施例的又一方面，还提供了一种存储介质，包括：存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述补丁的更新方法。

根据本发明实施例的再一方面，还提供了一种处理器，包括：处理器用于运行程序，其中，程序运行时执行上述补丁的更新方法。

在本发明实施例中，采用从第一服务器接收用于记录在第二服务器上存储的补丁集合的描述信息的方式，通过描述信息从存储在第二服务器上的补丁集合中获取一个或多个待更新补丁并采用一个或多个待更新补丁更新本地应用，达到了局域网内的终端无需通过广域网直接从提供商服务器下载更新补丁，而只需从提供补丁集合的第二服务器上获取自身需求补丁的目的，从而增强了升级补丁的获取方式的安全性与可靠性，降低恶意网络攻击风险、有效地防止局域网内终端上存储的私密信息外泄的技术效果，进而解决了相关技术中局域网内的终端通过广域网直接从提供商服务器下载更新补丁的过程中易遭受网络攻击，安全性较差的技术问题。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的补丁的更新方法的流程图；

图2是根据本发明优选实施例的补丁的更新过程的示意图；

图3是根据本发明实施例的补丁的更新装置的结构框图；

图4是根据本发明优选实施例的补丁的更新装置的结构框图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

根据本发明实施例，提供了一种补丁的更新方法的实施例，需要说明的是，在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

图1是根据本发明实施例的补丁的更新方法的流程图，如图1所示，该方法包括如下步骤：

步骤s12，接收来自于第一服务器的描述信息，其中，描述信息用于记录在第二服务器上存储的补丁集合的关联信息；

步骤s14，根据描述信息从存储在第二服务器上的补丁集合中获取一个或多个待更新补丁；

步骤s16，采用一个或多个待更新补丁更新本地应用。

通过上述步骤，采用从第一服务器接收用于记录在第二服务器上存储的补丁集合的描述信息的方式，通过描述信息从存储在第二服务器上的补丁集合中获取一个或多个待更新补丁并采用一个或多个待更新补丁更新本地应用，达到了局域网内的终端无需通过广域网直接从提供商服务器下载更新补丁，而只需从提供补丁集合的第二服务器上获取自身需求补丁的目的，从而增强了升级补丁的获取方式的安全性与可靠性，降低恶意网络攻击风险、有效地防止局域网内终端上存储的私密信息外泄的技术效果，进而解决了相关技术中局域网内的终端通过广域网直接从提供商服务器下载更新补丁的过程中易遭受网络攻击，安全性较差的技术问题。

在优选实施过程中，可以设置第二服务器与广域网进行通信交互，获取可供局域网内终端更新的补丁集合，第一服务器根据第二服务器存储的补丁集合确定描述信息所包含的内容。此外，第二服务器还负责阻断局域网内终端与广域网进行通信，局域网内终端所需要更新的应用补丁仅能从第二服务器提供的补丁集合中获取。

可选地，上述描述信息可以包括但不限于：

(1)补丁集合中每个补丁的类别信息，其可以包括但不限于：

第一类、windows系统组件更新，例如：windows内核模型驱动程序安全更新；

第二类、windows自带应用软件更新，例如：ie浏览器累积安全更新；

第三类、非windows自带的第三方应用软件更新，例如：搜狗输入法版本更新。

(2)补丁集合中每个补丁的重要程度信息，其可以包括但不限于：高危、中危、普通、可选；

(3)补丁集合中每个补丁的当前版本信息，例如：.netframework权限提升漏洞补丁的当前版本为v4.0；

(4)补丁集合中每个补丁的文件大小信息，例如：qq最新补丁的文件大小为60.6mb；

(5)补丁集合中每个补丁的更新备选时间，例如：立即更新、在关机时自动更新、在保持开机状态下空闲时段更新。

可选地，在步骤s14中，根据描述信息从补丁集合中获取一个或多个待更新补丁可以包括以下执行步骤：

步骤s141，将本地应用的版本信息与补丁集合中包含的对应补丁的版本信息进行比较，从补丁集合中筛选出部分或全部待更新补丁；

步骤s142，按照每个待更新补丁的重要程度信息对部分或全部待更新补丁进行排序；

步骤s143，采用部分或全部待更新补丁中每个补丁的类别信息和每个补丁的文件大小信息从排序后的部分或全部待更新补丁中获取一个或多个待更新补丁。

应用客户端程序通常可以包含主程序和升级程序。在终端接收到第一服务器发送的上述描述信息之后，当终端上的客户端程序启动时，先启动升级程序通过比较本地应用的当前版本与描述信息中的服务端最新版本进行比对，判断本地应用是否存在需要更新的补丁。如果根据描述信息能够确定本地应用的当前版本已经是最新版本，则不再需要对此本地应用进行更新；但是，如果根据描述信息能够确定本地应用的当前版本低于描述信息中的服务端最新版本，则需要对此本地应用进行更新，进而可以从补丁集合中筛选出部分或全部待更新补丁。

针对上述筛选出的部分或全部待更新补丁，如果待更新补丁的数量较多，那么一次性更新不仅需要耗费较长时间，而且还会影响终端自身的运行速度。为此，终端需要进一步判断哪些待更新补丁是急需安装的，哪些待更新补丁可以是在终端空闲时段安装或不安装的。基于上述考虑，终端可以按照高危→中危→普通→可选的顺序对部分或全部待更新补丁进行排序，选取属于高危和中危类别的待更新补丁作为优先更新的对象。当然，终端也可以在向第一服务器请求获取描述信息中携带重要程度信息，即，仅需要第一服务器在描述信息中向终端提供属于高危和中危类别的待更新补丁。然后，在按照上述方式对部分或全部待更新补丁进行排序之后，终端还可以进一步确定属于高危和中危类别的待更新补丁中每个补丁的文件大小，进而根据终端当前系统存储空间的可用容量大小确定最终需要更新的补丁。

可选地，在步骤s16，采用一个或多个待更新补丁更新本地应用之后，还可以包括以下执行步骤：

步骤s17，统计一个或多个待更新补丁的更新结果，其中，更新结果包括：一个或多个待更新补丁中更新成功的补丁标识与最新版本信息、更新失败的补丁标识与失败原因；

步骤s18，向第二服务器发送通知消息，其中，通知消息用于将更新结果通知给第二服务器。

在局域网终端进行应用更新过程中需要实时统计每个待更新补丁的升级结果，其原因在于：在更新过程中很有可能因突发故障造成补丁更新失败。例如：局域网内网络传输阻塞，第二服务器在待更新补丁传输过程中发生故障，交换机接触不良，终端网卡故障，待更新补丁与系统硬件发生冲突。为此，可以在上报的更新结果中携带更新成功的补丁标识与最新版本信息、更新失败的补丁标识与失败原因，以便第二服务器及时掌握终端的更新进度。

可选地，在步骤s16，采用一个或多个待更新补丁更新本地应用之后，还可以包括以下执行步骤：

步骤s19，接收来自于第二服务器的一个或多个重传补丁，其中，一个或多个重传补丁是第二服务器根据更新失败的补丁标识与失败原因确定的；

步骤s20，采用一个或多个重传补丁进行再次更新。

在第二服务器获取到更新结果之后，为了节省系统空间，可以将更新成功的补丁进行删除，以及在失败原因排除后，将更新失败的补丁重传至终端，以便终端对更新失败的补丁进行再次更新。

另外，如果第二服务器根据更新结果确定终端对选取的待更新补丁全部更新成功或基本上更新成功，那么还可以适时将属于普通和可选类别的待更新补丁推送给终端，以便终端进行选择性更新。

可选地，在步骤s12，接收来自于第一服务器的描述信息之前，还可以包括以下执行步骤：

步骤s11，向第一服务器发送更新请求消息，其中，更新请求消息用于触发第一服务器检测存储在第二服务器上的补丁集合是否发生更新并根据检测结果更新描述信息。

局域网内终端可以主动向第一服务器发送更新请求消息或者第一服务器可以定时向局域网内终端推送描述信息。上述更新请求消息可以触发第一服务器去检测存储在第二服务器上的补丁集合是否发生更新，如果补丁集合已经发生更新，则需要及时调整描述信息所包含的内容，然后再将最新的描述信息推送至终端。另外，第一服务器在接收到上述更新请求消息后，还可以对终端进行身份认证，如果终端不具备应用更新的权限，则拒绝该更新请求消息。

下面将结合图2所示的优选实施方式对上述优选实施过程作进一步详细描述。

图2是根据本发明优选实施例的补丁的更新过程的示意图，如图2所示，可以设置第二服务器与广域网进行通信交互，获取可供局域网内终端更新的补丁集合，第一服务器根据第二服务器存储的补丁集合确定描述信息所包含的内容。此外，第二服务器还负责阻断局域网内终端与广域网进行通信，局域网内终端所需要更新的应用补丁仅能从第二服务器提供的补丁集合中获取；该更新过程可以包括如下处理步骤：

第一步：终端向第一服务器发送更新请求消息，其中，更新请求消息用于触发第一服务器检测存储在第二服务器上的补丁集合是否发生更新并根据检测结果更新描述信息。

第二步：如果补丁集合已经发生更新，则第一服务器需要及时调整描述信息所包含的内容，然后再将最新的描述信息推送至终端；如果补丁集合未发生更新，则第一服务器无需调整描述信息所包含的内容，只需将当前的描述信息推送至终端。

另外，第一服务器在接收到上述更新请求消息后，还可以对终端进行身份认证，如果终端不具备应用更新的权限，则拒绝该更新请求消息。

第三步：终端接收来自于第一服务器的描述信息。

第四步：终端根据描述信息从存储在第二服务器上的补丁集合中获取一个或多个待更新补丁。

在终端接收到第一服务器发送的上述描述信息之后，当终端上的客户端程序启动时，先启动升级程序通过比较本地应用的当前版本与描述信息中的服务端最新版本进行比对，判断本地应用是否存在需要更新的补丁。如果根据描述信息能够确定本地应用的当前版本已经是最新版本，则不再需要对此本地应用进行更新；但是，如果根据描述信息能够确定本地应用的当前版本低于描述信息中的服务端最新版本，则需要对此本地应用进行更新，进而可以从补丁集合中筛选出部分或全部待更新补丁。

针对上述筛选出的部分或全部待更新补丁，如果待更新补丁的数量较多，那么一次性更新不仅需要耗费较长时间，而且还会影响终端自身的运行速度。为此，终端需要进一步判断哪些待更新补丁是急需安装的，哪些待更新补丁可以是在终端空闲时段安装或不安装的。基于上述判断，终端可以按照高危→中危→普通→可选的顺序对部分或全部待更新补丁进行排序，选取属于高危和中危类别的待更新补丁作为优先更新的对象。当然，终端也可以在向第一服务器请求获取描述信息中携带重要程度信息，即，仅需要第一服务器在描述信息中向终端提供属于高危和中危类别的待更新补丁。然后，在按照上述方式对部分或全部待更新补丁进行排序之后，终端还可以进一步确定属于高危和中危类别的待更新补丁中每个补丁的文件大小，进而根据终端当前系统存储空间的可用容量大小确定最终需要更新的补丁。

第五步：终端采用一个或多个待更新补丁更新本地应用并统计一个或多个待更新补丁的更新结果，其中，更新结果包括：一个或多个待更新补丁中更新成功的补丁标识与最新版本信息、更新失败的补丁标识与失败原因。

第六步：终端向第二服务器发送通知消息，其中，通知消息用于将更新结果通知给第二服务器。

第七步：终端接收来自于第二服务器的一个或多个重传补丁，其中，一个或多个重传补丁是第二服务器根据更新失败的补丁标识与失败原因确定的。

第八步：终端采用一个或多个重传补丁进行再次更新。

根据本发明实施例，还提供了一种补丁的更新装置的实施例，图3是根据本发明实施例的补丁的更新装置的结构框图，如图3所示，该装置包括：接收模块10，用于接收来自于第一服务器的描述信息，其中，描述信息用于记录在第二服务器上存储的补丁集合的关联信息；获取模块20，用于根据描述信息从存储在第二服务器上的补丁集合中获取一个或多个待更新补丁；更新模块30，用于采用一个或多个待更新补丁更新本地应用。

可选地，上述描述信息可以包括：补丁集合中每个补丁的类别信息；补丁集合中每个补丁的重要程度信息；补丁集合中每个补丁的当前版本信息；补丁集合中每个补丁的文件大小信息。

可选地，获取模块20可以包括：比较单元(图中未示出)，用于将本地应用的版本信息与补丁集合中包含的对应补丁的版本信息进行比较，从补丁集合中筛选出部分或全部待更新补丁；排序单元(图中未示出)，用于按照每个待更新补丁的重要程度信息对部分或全部待更新补丁进行排序；获取单元(图中未示出)，用于采用部分或全部待更新补丁中每个补丁的类别信息和每个补丁的文件大小信息从排序后的部分或全部待更新补丁中获取一个或多个待更新补丁。

可选地，上述补丁集合是由第二服务器预先从广域网中获得的，并提供给与广域网隔离的局域网内一个或多个终端来更新本地应用。

可选地，图4是根据本发明优选实施例的补丁的更新装置的结构框图，如图4所示，上述装置还包括：统计模块40，用于统计一个或多个待更新补丁的更新结果，其中，更新结果包括：一个或多个待更新补丁中更新成功的补丁标识与最新版本信息、更新失败的补丁标识与失败原因；发送模块50，用于向第二服务器发送通知消息，其中，通知消息用于将更新结果通知给第二服务器。

可选地，接收模块10，用于接收来自于第二服务器的一个或多个重传补丁，其中，一个或多个重传补丁是第二服务器根据更新失败的补丁标识与失败原因确定的；更新模块30，还用于采用一个或多个重传补丁进行再次更新。

可选地，发送模块50，还用于向第一服务器发送更新请求消息，其中，更新请求消息用于触发第一服务器检测存储在第二服务器上的补丁集合是否发生更新并根据检测结果更新描述信息。

根据本发明其中一实施例，还提供了一种存储介质，存储介质包括存储的程序，其中，在程序运行时控制存储介质所在设备执行上述补丁的更新方法。上述存储介质可以包括但不限于：u盘、只读存储器(rom)、随机存取存储器(ram)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

根据本发明其中一实施例，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行上述补丁的更新方法。上述处理器可以包括但不限于：微处理器(mcu)或可编程逻辑器件(fpga)等的处理装置。

根据本发明其中一实施例，还提供了一种终端，包括：一个或多个处理器，存储器，显示装置以及一个或多个程序，其中，一个或多个程序被存储在存储器中，并且被配置为由一个或多个处理器执行，程序包括用于执行上述补丁的更新方法。在一些实施例中，上述终端可以是个人计算机(pc)、智能手机(例如：android手机、ios手机等)、平板电脑、掌上电脑以及移动互联网设备(mobileinternetdevices，简称为mid)、pad等终端设备。上述显示装置可以是触摸屏式的液晶显示器(lcd)，该液晶显示器可使得用户能够与终端的用户界面进行交互。此外，上述终端还可以包括：输入/输出接口(i/o接口)、通用串行总线(usb)端口、网络接口、电源和/或相机。

上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。

在本发明的上述实施例中，对各个实施例的描述都各有侧重，某个实施例中没有详述的部分，可以参见其他实施例的相关描述。

在本申请所提供的几个实施例中，应该理解到，所揭露的技术内容，可通过其它的方式实现。其中，以上所描述的装置实施例仅仅是示意性的，例如所述单元的划分，可以为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，单元或模块的间接耦合或通信连接，可以是电性或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。