基于单包授权的数据包处理方法、装置、电子设备及介质与流程

1.本公开涉及零信任技术领域，尤其涉及一种基于单包授权的数据包处理方法、装置、电子设备及介质。


背景技术：

2.从网络安全的角度，在互联网中服务器开启的端口越多就越容易受到攻击，因此系统安全加固服务中最有效的方式就是尽可能的不对外开放端口。客户端使用单包授权(single packet authorization，spa)将要访问的信息发送给服务器，服务器根据收到的信息针对对应ip(internet protocol，网际互连协议)地址开放对应的端口。
3.相关技术中，spa服务直接从网卡获取数据包，将捕获到的所有数据包进行解析处理，所有经过网卡的数据包无论是否为spa认证包，都会被spa服务处理，导致spa服务处理大量的无效数据包，当网卡流量很大时，还容易导致阻塞；并且，目前的方案没有进行攻击防护，导致spa服务容易受到攻击。


技术实现要素：

4.为了解决上述技术问题或者至少部分地解决上述技术问题，本公开的至少一个实施例提供了一种基于单包授权的数据包处理方法、装置、电子设备及介质。
5.第一方面，本公开提供了一种基于单包授权的数据包处理方法，包括：
6.获取待处理数据包；
7.将所述待处理数据包的ip地址与黑名单子链中的ip地址进行匹配；
8.若所述待处理数据包的ip地址与所述黑名单子链中的ip地址一致，则将所述待处理数据包丢弃；
9.若所述待处理数据包的ip地址与所述黑名单子链中的ip地址不一致，则判断所述待处理数据包是否满足预设的spa处理条件；
10.在所述待处理数据包满足所述spa处理条件的情况下，对所述待处理数据包进行spa认证。
11.第二方面，本公开提供了一种基于单包授权的数据包处理装置，包括：
12.数据包获取模块，用于获取待处理数据包；
13.黑名单匹配模块，用于将所述待处理数据包的ip地址与黑名单子链中的ip地址进行匹配；
14.丢弃模块，用于在所述待处理数据包的ip地址与所述黑名单子链中的ip地址一致的情况下，将所述待处理数据包丢弃；
15.判断模块，用于在所述待处理数据包的ip地址与所述黑名单子链中的ip地址不一致的情况下，判断所述待处理数据包是否满足预设的spa处理条件；
16.spa认证模块，用于在所述待处理数据包满足所述spa处理条件的情况下，对所述待处理数据包进行spa认证。
17.第三方面，本公开提供了一种电子设备，包括：处理器和存储器；所述处理器通过调用所述存储器存储的程序或指令，用于执行本公开实施例提供的任一所述的基于单包授权的数据包处理方法。
18.第四方面，本公开提供了一种计算机可读存储介质，所述计算机可读存储介质存储程序或指令，所述程序或指令使计算机执行本公开实施例提供的任一所述的基于单包授权的数据包处理方法。
19.第五方面，本公开提供了一种计算机程序产品，所述计算机程序产品用于执行本公开实施例提供的任一所述的基于单包授权的数据包处理方法。
20.本公开实施例提供的技术方案与现有技术相比至少具有如下优点：
21.在本公开实施例中，通过获取待处理数据包，将待处理数据包的ip地址与黑名单子链中的ip地址进行匹配，在待处理数据包的ip地址与黑名单子链中的ip地址一致时，将待处理数据包丢弃，在待处理数据包的ip地址与黑名单子链中的ip地址不一致时，进一步判断待处理数据包是否满足预设的spa处理条件，并在待处理数据包满足spa处理条件的情况下，对待处理数据包进行spa认证。采用上述技术方案，利用黑名单子链对待处理数据包进行过滤，将与黑名单子链中的ip地址匹配的待处理数据包丢弃，实现了通过黑名单子链的过滤将攻击报文直接丢弃，有效地包含了spa服务不受攻击；并且，对于与黑名单子链中的ip地址不匹配的数据包，从中筛选出满足spa处理条件的数据包进行spa认证，使得spa服务仅需处理符合条件的数据包，从而减少了spa服务的处理压力，能够有效降低堵塞的概率。
附图说明
22.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。
23.为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1为本公开一实施例提供的基于单包授权的数据包处理方法的流程示意图；
25.图2为本公开一具体实施例提供的基于单包授权的数据包处理方法的流程示意图；
26.图3为本公开一实施例提供的基于单包授权的数据包处理装置的结构示意图。
具体实施方式
27.为了能够更清楚地理解本公开的上述目的、特征和优点，下面结合附图和实施例对本公开作进一步的详细说明。可以理解的是，所描述的实施例是本公开的一部分实施例，而不是全部的实施例，此处所描述的具体实施例仅仅用于解释本公开，而非对本公开的限定，在不冲突的情况下，本公开的实施例及实施例中的特征可以相互组合。基于所描述的本公开的实施例，本领域普通技术人员所获得的所有其他实施例，都属于本公开保护的范围。
28.在下面的描述中阐述了很多具体细节以便于充分理解本公开，但本公开还可以采用其他不同于在此描述的方式来实施；显然，说明书中的实施例只是本公开的一部分实施
例，而不是全部的实施例。
29.图1为本公开一实施例提供的基于单包授权的数据包处理方法的流程示意图，该基于单包授权的数据包处理方法可以由本公开实施例提供的基于单包授权的数据包处理装置执行，该基于单包授权的数据包处理装置可以采用软件和/或硬件实现，并可集成在软件定义边界产品中来完成单包授权过程中数据包处理的过程。
30.如图1所示，本公开实施例提供的基于单包授权的数据包处理方法，可以包括以下步骤：
31.s101，获取待处理数据包。
32.其中，待处理数据包可以是从网卡获取的至少一个数据包，每个待处理数据包携带对应的ip地址。
33.s102，将所述待处理数据包的ip地址与黑名单子链中的ip地址进行匹配。
34.其中，黑名单子链是预先设置的，黑名单子链中的各个ip地址可以由管理员手动添加，还可以根据spa认证处理结果动态更新，黑名单子链对应的命中规则为阻断访问，即对于命中黑名单子链的数据包直接丢弃。
35.s103，若所述待处理数据包的ip地址与所述黑名单子链中的ip地址一致，则将所述待处理数据包丢弃。
36.本公开实施例中，对于获取的待处理数据包，将待处理数据包的ip地址与黑名单子链中的各ip地址进行匹配，如果某个待处理数据包的ip地址与黑名单子链中的某个ip地址一致，即该待处理数据包的ip地址被记录在黑名单子链中，则将该待处理数据包直接丢弃，阻断发送该待处理数据包的客户端访问服务器，以过滤掉接收到的攻击包，有效地保护spa服务不受攻击。
37.s104，若所述待处理数据包的ip地址与所述黑名单子链中的ip地址不一致，则判断所述待处理数据包是否满足预设的spa处理条件。
38.本公开实施例中，对于获取的待处理数据包，将待处理数据包的ip地址与黑名单子链中的各ip地址进行匹配，如果某个待处理数据包的ip地址与黑名单子链中的每个ip地址均不一致，则认为该待处理数据包不是攻击包，进一步判断该待处理数据包是否满足预设的spa处理条件。
39.其中，spa处理条件可以预先设定，spa处理条件可以根据spa报文格式要求设置，比如，spa报文格式为udp(user datagram protocol，用户数据包协议)报文，端口号为40，则可以设置spa处理条件为端口号为40，类型为udp报文，当待处理数据包需要访问的端口号为40，类型为udp报文时，则判定该待处理数据包满足spa处理条件。
40.s105，在所述待处理数据包满足所述spa处理条件的情况下，对所述待处理数据包进行spa认证。
41.本公开实施例中，当待处理数据包满足预设的spa处理条件时，则将该待处理数据包传给spa服务进行spa认证，并在认证成功时授权客户端进行数据访问。
42.本实施例的基于单包授权的数据包处理方法，通过获取待处理数据包，将待处理数据包的ip地址与黑名单子链中的ip地址进行匹配，在待处理数据包的ip地址与黑名单子链中的ip地址一致时，将待处理数据包丢弃，在待处理数据包的ip地址与黑名单子链中的ip地址不一致时，进一步判断待处理数据包是否满足预设的spa处理条件，并在待处理数据
包满足spa处理条件的情况下，对待处理数据包进行spa认证。采用上述技术方案，利用黑名单子链对待处理数据包进行过滤，将与黑名单子链中的ip地址匹配的待处理数据包丢弃，实现了通过黑名单子链的过滤将攻击报文直接丢弃，有效地包含了spa服务不受攻击；并且，对于与黑名单子链中的ip地址不匹配的数据包，从中筛选出满足spa处理条件的数据包进行spa认证，使得spa服务仅需处理符合条件的数据包，从而减少了spa服务的处理压力，能够有效降低堵塞的概率。
43.在本公开实施例一种可能的实现方式中，在所述待处理数据包spa认证失败的情况下，统计所述待处理数据包的ip地址在预设时长内连续spa认证失败的次数；在所述次数大于认证失败次数阈值的情况下，将所述待处理数据包的ip地址添加至所述黑名单子链中。
44.其中，预设时长可以预先设定，比如设置为30秒、一分钟等；认证失败次数阈值也可以预先设定，比如设置为3次、5次等，本公开对此不作限制。
45.本公开实施例中，对满足spa处理条件的待处理数据包进行spa认证时，如果认证失败，则统计待处理数据包的ip地址在预设时长内连续spa认证失败的次数。通常，客户端的ip地址是固定的，因此ip地址可以标识客户端，统计待处理数据包的ip地址在预设时长内连续spa认证失败的次数，即统计对应的客户端短时间内连续spa认证失败的次数。如果某个客户端在预设时长内连续spa认证失败的次数大于认证失败次数阈值，则将待处理数据包的ip地址添加至黑名单子链中，以更新黑名单子链，当该ip地址再次发送数据包时，通过匹配黑名单子链，将携带该ip地址的数据包直接丢弃。由此，实现了黑名单子链的动态更新。
46.进一步地，对于因认证失败被添加至黑名单子链中的ip地址，可以从该ip地址被添加至黑名单子链时开始计时，并预先设置超时时间，当该ip地址存在于黑名单子链中的时长超过预设的超时时间时，将该ip地址从黑名单子链中移除。
47.可选地，在某个ip地址连续spa认证失败的次数达到认证失败次数阈值前，若携带该ip地址的某个数据包spa认证成功，则将该ip地址的连续认证失败次数清零，当再次spa认证失败时重新开始计数。
48.为了提高本公开方案的适用性，识别出采用动态ip地址进行攻击的客户端，可以利用客户端的唯一标识来标识客户端，待处理数据包携带发送该数据包的客户端的唯一标识，当某个待处理数据包spa认证失败时，从待处理数据包中获取客户端的唯一标识，并统计预设时长内该客户端发出的数据包被连续spa认证失败的次数，当该次数大于认证失败次数阈值时，将该客户端的唯一标识添加至黑名单子链中，从而，黑名单子链还可以包括客户端的标识，阻断黑名单子链中的客户端访问服务器。
49.在本公开实施例一种可能的实现方式中，对于未命中黑名单子链的待处理数据包，在判断该待处理数据包是否满足预设的spa处理条件之前，还可以先将所述待处理数据包的ip地址与认证放行子链中的ip地址进行匹配；若所述待处理数据包的ip地址与所述认证放行子链中的ip地址一致，则将所述待处理数据包放行；若所述待处理数据包的ip地址与所述认证放行子链中的ip地址不一致，则判断所述待处理数据包是否满足所述spa处理条件。
50.其中，认证放行子链可以由spa服务根据spa认证结果动态添加，初始的认证放行
子链可以设置为空，此时待处理数据包无法匹配到认证放行子链，则判断待处理数据包是否满足spa处理条件，对于满足spa处理条件的数据包进行spa认证，spa认证成功则将该数据包的ip地址添加至认证放行子链中。认证放行子链对应的命中规则为直接放行，即对于命中认证放行子链的数据包直接放行，放行是指接收该数据包，发送该数据包的客户端可以直接访问服务器。
51.本公开实施例中，对于未命中黑名单子链的待处理数据包，将待处理数据包的ip地址与认证放行子链中的ip地址进行匹配，如果某个待处理数据包的ip地址与认证放行子链中的某个ip地址一致，则判定该待处理数据包命中认证放行子链，将该待处理数据包直接放行；如果某个待处理数据包的ip地址与认证放行子链中的每个ip地址均不一致，则判定该待处理数据包未命中认证放行子链，则继续判断该待处理数据包是否满足spa处理条件。通过设置认证放行子链，将命中认证放行子链的数据包直接放行，能够减少分析数据包是不是spa认证包的流程，减轻spa服务的处理压力。
52.进一步地，在本公开实施例一种可能的实现方式中，对于满足spa处理条件的待处理数据包进行spa认证，在待处理数据包spa认证成功的情况下，将待处理数据包的ip地址添加至认证放行子链中。由此，实现了对认证放行子链的动态更新。
53.可选地，在本公开实施例一种可能的实现方式中，对于因认证成功被添加至认证放行子链中的ip地址，可以从该ip地址被添加至认证放行子链时开始计时，并预先设置超时时间，当该ip地址存在于认证放行子链中的时长超过预设的超时时间时，将该ip地址从认证放行子链中移除。
54.在本公开实施例一种可能的实现方式中，在所述将所述待处理数据包的ip地址与认证放行子链中的ip地址进行匹配之前，可以先将所述待处理数据包的ip地址与白名单子链中的ip地址进行匹配；若所述待处理数据包的ip地址与所述白名单子链中的ip地址一致，则将所述待处理数据包放行；若所述待处理数据包的ip地址与所述白名单子链中的ip地址不一致，则将所述待处理数据包的ip地址与所述认证放行子链中的ip地址进行匹配。
55.其中，白名单子链可以由管理员手动设置，用于不做spa认证直接访问服务的场景，白名单子链的命中规则为直接放行，即对于命中白名单子链的待处理数据包直接放行，不进入后续与认证放行子链中的ip地址进行匹配的流程。
56.本公开实施例中，对于未命中黑名单子链的待处理数据包，将待处理数据包的ip地址与白名单子链中的ip地址进行匹配，如果某个待处理数据包的ip地址与白名单子链中的某个ip地址一致，则将该待处理数据包放行，如果某个待处理数据包的ip地址与白名单子链中的每个ip地址均不一致，则继续将该待处理数据包的ip地址与认证放行子链中的ip地址进行匹配，判断该待处理数据包是否命中认证放行子链。由此，通过设置白名单子链来放行命中白名单子链的数据包，能够减少分析数据包是不是spa认证包的流程，减轻spa服务的处理压力。
57.在本公开实施例一种可能的实现方式中，在所述将所述待处理数据包的ip地址与黑名单子链中的ip地址进行匹配之前，可以先判断所述待处理数据包是否命中本机流量子链的规则，其中，所述本机流量子链的规则为若数据包的源地址与目的地址均是本机地址，则直接放行；若所述待处理数据包命中所述本机流量子链的规则，则将所述待处理数据包放行；若所述待处理数据包未命中所述本机流量子链的规则，则将所述待处理数据包的ip
地址与所述黑名单子链中的ip地址进行匹配。
58.其中，本机流量子链中记录的是自身流量，本机流量子链的命中规则为如果某个数据包的源地址与目的地址都是本机地址，则直接放行，对于命中本机流量子链的待处理数据包，直接放行，即自己访问自己的流量直接放行。
59.本公开实施例中，对于获取的待处理数据包，可以先判断待处理数据包是否命中本机流量子链的规则，即判断该待处理数据包是否为自己访问自己的本机流量(源地址和目的地址都是本机地址)，如果待处理数据包命中本机流量子链的规则，则说明该待处理数据包是本机流量，则直接放行该待处理数据包；如果待处理数据包未命中本机流量子链的规则，则说明该待处理数据包不是本机流量，则继续将该待处理数据包的ip地址与黑名单子链中的ip地址进行匹配，判断该待处理数据包是否为攻击包。由此，通过对命中本机流量子链的规则的待处理数据包直接放行，对未命中本机流量子链的规则的数据包才执行后续的判断操作，能够减少分析数据包是不是spa认证包的流程，减轻spa服务的处理压力。
60.图2为本公开一具体实施例提供的基于单包授权的数据包处理方法的流程示意图，如图2所示，当有流量进入时，由网关从所有流量中确定出与自身相关的流量，spa服务从网关获取流向本机的流量作为待处理流量，并利用预先设置的过滤规则对待处理流量进行过滤，筛选出直接放行的流量、丢弃的流量和需要由spa服务进行认证的流量。具体地，先将待处理流量与设置的本机流量子链的命中规则进行匹配，本机流量子链的命中规则为放行自身流量(即对于源地址和目的地址都是本机地址的数据包直接放行)，如果待处理流量命中本机流量子链的规则，则接收(放行)该流量；如果待处理流量未命中本机流量子链的规则，则继续将该待处理流量与预先设置的黑名单子链进行匹配，黑名单子链的命中规则为阻断访问(即丢弃)。如果待处理流量命中黑名单子链，即待处理流量的ip地址与黑名单子链中的ip地址一致，则将该流量丢弃；如果待处理流量未命中黑名单子链，即待处理流量的ip地址与黑名单子链中的每个ip地址均不一致，则继续将该待处理流量与预先设置的白名单子链进行匹配，白名单子链的命中规则为直接放行。如果待处理流量命中白名单子链，即待处理流量的ip地址与白名单子链中的ip地址一致，则接收该流量；如果待处理流量未命中白名单子链，即待处理流量的ip地址与白名单子链中的每个ip地址均不一致，则继续将该待处理流量与预先设置的认证放行子链进行匹配，认证放行子链的命中规则为直接放行。如果待处理流量命中认证放行子链，即待处理流量的ip地址与认证放行子链中的ip地址一致，则接收该流量；如果待处理流量未命中认证放行子链，即待处理流量的ip地址与认证放行子链中的每个ip地址均不一致，则继续将该待处理流量与预先设置的spa处理子链进行匹配，spa处理子链中记录的是spa处理条件，命中规则为放入队列，由spa服务进行认证。如果待处理流量命中spa处理子链，即待处理流量满足spa处理条件，则将该待处理流量放入队列中进行spa认证。本实施例中，黑名单子链和认证放行子链可以由管理员手动添加，并可以根据认证结果进行动态更新。对于认证成功的流量，可以将对应的ip地址添加至认证放行子链中，并设置超时时间，超时后将该ip地址从认证放行子链中移出。对于认证失败的流量，可以统计预设时长内对应ip地址连续认证失败的次数，并在连续失败次数超过一定次数时，将该ip地址添加至黑名单子链中，并设置超时时间，超时后将该ip地址从黑名单子链中移出。本公开提供的方案，只有符合spa报文格式的数据包才会被spa服务处理，减少了收包、分析包是不是spa认证包的流程，从而减轻spa服务的压力；并且，通过将待处理
流量按照本机自身流量、黑名单流量、白名单流量、放行流量等进行放行或阻断，一方面可以减少spa服务对数据包的处理，另一方面通过黑名单子链的过滤，能够将攻击报文直接丢弃，有效地保护了spa服务不受攻击。
61.为了实现上述实施例，本公开还提供了一种基于单包授权的数据包处理装置。
62.图3为本公开一实施例提供的基于单包授权的数据包处理装置的结构示意图，该装置可以采用软件和/或硬件实现，并可集成在软件定义边界产品中。
63.如图3所示，本公开实施例提供的基于单包授权的数据包处理装置20可以包括：数据包获取模块210、黑名单匹配模块220、丢弃模块230、判断模块240和spa认证模块250。
64.其中，数据包获取模块210，用于获取待处理数据包；
65.黑名单匹配模块220，用于将所述待处理数据包的ip地址与黑名单子链中的ip地址进行匹配；
66.丢弃模块230，用于在所述待处理数据包的ip地址与所述黑名单子链中的ip地址一致的情况下秒，将所述待处理数据包丢弃；
67.判断模块240，用于在所述待处理数据包的ip地址与所述黑名单子链中的ip地址不一致的情况下，判断所述待处理数据包是否满足预设的spa处理条件；
68.spa认证模块250，用于在所述待处理数据包满足所述spa处理条件的情况下，对所述待处理数据包进行spa认证。
69.在本公开实施例一种可能的实现方式中，所述基于单包授权的数据包处理装置20还包括：
70.统计模块，用于在所述待处理数据包spa认证失败的情况下，统计所述待处理数据包的ip地址在预设时长内连续spa认证失败的次数；
71.黑名单更新模块，用于在所述次数大于认证失败次数阈值的情况下，将所述待处理数据包的ip地址添加至所述黑名单子链中。
72.在本公开实施例一种可能的实现方式中，所述基于单包授权的数据包处理装置20还包括：
73.放行匹配模块，用于在所述待处理数据包的ip地址与所述黑名单子链中的ip地址不一致的情况下，将所述待处理数据包的ip地址与认证放行子链中的ip地址进行匹配；
74.第一放行模块，用于在所述待处理数据包的ip地址与所述认证放行子链中的ip地址一致的情况下，将所述待处理数据包放行；
75.所述判断模块240，还用于：
76.在所述待处理数据包的ip地址与所述认证放行子链中的ip地址不一致的情况下，判断所述待处理数据包是否满足所述spa处理条件。
77.在本公开实施例一种可能的实现方式中，所述基于单包授权的数据包处理装置20还包括：
78.认证放行更新模块，用于在所述待处理数据包spa认证成功的情况下，将所述待处理数据包的ip地址添加至所述认证放行子链中。
79.在本公开实施例一种可能的实现方式中，所述基于单包授权的数据包处理装置20还包括：
80.白名单匹配模块，用于在所述待处理数据包的ip地址与所述黑名单子链中的ip地
址不一致的情况下，将所述待处理数据包的ip地址与白名单子链中的ip地址进行匹配；
81.第二放行模块，用于在所述待处理数据包的ip地址与所述白名单子链中的ip地址一致的情况下，将所述待处理数据包放行；
82.所述放行匹配模块，还用于：
83.在所述待处理数据包的ip地址与所述白名单子链中的ip地址不一致的情况下，将所述待处理数据包的ip地址与所述认证放行子链中的ip地址进行匹配。
84.在本公开实施例一种可能的实现方式中，所述基于单包授权的数据包处理装置20还包括：
85.本机流量匹配模块，用于判断所述待处理数据包是否命中本机流量子链的规则，其中，所述本机流量子链的规则为若数据包的源地址与目的地址均是本机地址，则直接放行；
86.第三放行模块，用于若所述待处理数据包命中所述本机流量子链的规则，则将所述待处理数据包放行；
87.所述黑名单匹配模块，还用于：
88.在所述待处理数据包未命中所述本机流量子链的规则的情况下，将所述待处理数据包的ip地址与所述黑名单子链中的ip地址进行匹配。
89.本公开实施例所提供的可配置于软件定义边界产品上的基于单包授权的数据包处理装置，可执行本公开实施例所提供的任意可应用于软件定义边界产品的基于单包授权的数据包处理方法，具备执行方法相应的功能模块和有益效果。本公开装置实施例中未详尽描述的内容可以参考本公开任意方法实施例中的描述。
90.本公开实施例还提供了一种电子设备，包括处理器和存储器；所述处理器通过调用所述存储器存储的程序或指令，用于执行如前述实施例所述基于单包授权的数据包处理方法各实施例的步骤，为避免重复描述，在此不再赘述。
91.本公开实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储程序或指令，所述程序或指令使计算机执行如前述实施例所述基于单包授权的数据包处理方法各实施例的步骤，为避免重复描述，在此不再赘述。
92.本公开实施例还提供了一种计算机程序产品，所述计算机程序产品用于执行如前述实施例所述基于单包授权的数据包处理方法各实施例的步骤。
93.需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
94.以上所述仅是本公开的具体实施方式，使本领域技术人员能够理解或实现本公开。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本公开的精神或范围的情况下，在其它实施例中实现。因此，本公开将不会被限制于本文所述的这些实施例，而是要符合与本文所公开的原理和新颖特点相一
致的最宽的范围。