一种基于局域网的终端设备隔离方法及装置与流程

1.本发明涉及数据通信技术领域，尤指一种基于局域网的终端设备隔离方法及装置。


背景技术：

2.局域网(lan，local area network)是连接住宅、学校、实验室、大学校园或办公大楼等有限区域内计算机的计算机网络。相比之下，广域网(wan，wide area network)不仅覆盖较大的地理距离，而且还通常涉及固接专线和用于互联网的连接。互联网则更为广阔，是连接全球商业和个人计算机的系统。
3.计算机病毒(computer virus)，或称电子计算机病毒。是一种在人为或非人为的情况下产生的、在用户不知情或未批准下，能自我复制或运行的计算机程序；计算机病毒往往会影响受感染计算机的正常运作，或是被控制而不自知，计算机被用于盗窃数据，或者被利用做其他用途等用户非自发引导的行为。
4.系统漏洞(system vulnerabilities)是指应用软件或操作系统软件在逻辑设计上的缺陷或错误，被不法者利用，通过网络植入病毒、木马等方式来攻击或控制整个电脑，窃取电脑中的重要资料和信息，甚至破坏系统。
5.杀毒软件(antivirus software)是用于侦测、移除计算机病毒、计算机蠕虫、和特洛伊木马程序。杀毒软件通常含有即时程序监控识别、恶意程序扫描清除和自动更新病毒数据库等功能，有的杀毒软件附加损害恢复等功能，是计算机防御系统(包含杀毒软件，防火墙，特洛伊木马程序和其他恶意软件的防护及删除程序，入侵防御系统等)的重要组成。杀毒软件的核心是病毒扫描引擎，如特征码扫描，将扫描信息与病毒数据库(即所谓的“病毒特征库”)进行对照，如果信息与其中的任何一个病毒特征符合，杀毒软件就会判断此文件被病毒感染。杀毒软件在进行查杀的时候，会挑选文件内部的一段或者几段代码来作为它识别病毒的方式，这种代码就叫做病毒的特征码；在病毒样本中，抽取特征代码；抽取的代码比较特殊，不大可能与普通正常程序代码吻合；抽取的代码要有适当长度，一方面维持特征代码的唯一性，另一方面保证病毒扫描时候不要有太大的空间与时间的开销。
6.现有的局域网中的终端设备如办公终端设备，使用杀毒软件在终端设备上检测计算机病毒。由于主要是通过分析病毒文件的特征，提取特征码后进行匹配识别，所以存在滞后性，难以识别出新出现的病毒。病毒与杀毒软件之间是持续对抗关系，病毒的升级换代会改变其特征码，躲避杀毒软件的检测。一旦杀毒软件未识别到病毒，病毒就会扫描局域网内的其它终端设备，并利用已知的系统漏洞感染其它终端设备，导致局域网内的大量终端设备中毒。
7.针对上述情况，局域网中通常采用以下方法对终端设备进行安全隔离：
8.1.访问控制列表(acl，access control list)
9.访问控制列表是应用在数据通信设备接口的指令列表。这些指令列表用来告诉数据通信设备哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以
由类似于源地址、目的地址、端口号等的特定指示条件来决定。基于acl的方案能够对局域网办公终端设备进行网络隔离，但是终端设备级精细化的安全隔离，需要配置大量的acl规则，难以配置维护。
10.2.私有vlan(private vlan)
11.私有vlan通过主要vlan和次要vlan机制，规避了vlan仅有4094个的限制。在一个主要vlan下可以划分多种不同类型的次要vlan：隔离(isolated)vlan和公共(community)vlan。隔离vlan中的任何端口都可以到达主要vlan，但不能访问任何其它次要vlan，且同一个隔离vlan中的终端设备无法相互通讯。公共vlan中的任何端口都可以相互通信，并能与主vlan进行通信，但不能与任何其它次要vlan进行通信。
12.如果将局域网的办公终端设备放到隔离vlan中，那么任意终端设备之间就是相互隔离的，但是部分终端设备间还是存在相互通信的需求，网络管理人员就要将这些终端设备放到同一个公共vlan中进行通信。通信结束后还需要重新放回隔离vlan才能保证终端设备间继续相互隔离。使用私有vlan(private vlan，pvlan)来进行终端设备间安全隔离，配置较为繁琐，网络管理日常维护工作量大。
13.由此可见，目前亟需一种安全可靠、易于实现的终端隔离方法


技术实现要素：

14.本发明实施例提供一种基于局域网的终端设备隔离方法及装置，用以解决现有技术中存在终端隔离实现复杂、维护困难以及安全性低的问题。
15.一方面，根据本发明实施例，提供一种基于局域网的终端设备隔离方法，该应用于具有安全组配置功能的所述局域网的网关设备，包括：
16.判断待转发报文是否包含有符合预设规则的安全组标识；
17.当所述待转发报文包含有符合预设规则的安全组标识时，获取所述待转发报文的安全组标识中的第一安全组编号id和所述网关设备配置的与所述第一安全组id对应的安全组条件；
18.判断所述待转发报文的目的ip是否满足所述第一安全组id对应的安全组条件；
19.若满足，则转发所述待转发报文；若不满足，则丢弃所述待转发报文。
20.可选地，所述方法，还包括：
21.根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置；其中，所述安全组条件包括ip地址、网段、mac地址、vlan标识、端口号的一种或多种。
22.可选地，所述根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置，包括：
23.判断接收到的报文是否符合所述安全组条件；
24.当所述报文符合所述安全组条件时，根据预设规则以及所述对应关系为所述报文配置对应的安全组标识，所述安全组标识包括安全组id。
25.可选地，所述为所述报文配置对应的安全组标识，包括：
26.将所述报文的ipv4报文头末尾的可选option字段的按照预设数值进行填充；
27.其中，所述option字段包含code字段、length字段以及data字段；所述code字段用于表示所述option字段是否用于表示安全组标识，所述length字段用于表示所述data字段
的长度；所述data字段用于表示安全组id。
28.可选地，所述code字段包含copy字段、class字段和number字段；其中，所述copy字段对应的预设数值为1，所述class字段对应的预设数值为01，所述number字段对应的预设数值为01111。
29.可选地，获取所述网关设备配置的与所述第一安全组id对应的安全组条件，包括：
30.根据预设的安全组条件与安全组id对应关系，获取所述网关设备配置的与所述待转发报文的第一安全组id对应的安全组条件。
31.另一方面，根据本发明实施例，还提供一种基于局域网的终端设备隔离装置，所述装置应用于具有安全组配置功能的所述局域网的网关设备，包括：第一判断模块、获取模块、第二判断模块、处理模块；其中，
32.第一判断模块，用于判断接收到的待转发报文是否包含有符合预设规则的安全组标识；
33.获取模块，用于当所述待转发报文包含有符合预设规则的安全组标识时，获取所述待转发报文的安全组标识中的第一安全组编号id和所述网关设备配置的与所述第一安全组id对应的安全组条件；
34.第二判断模块，用于判断所述待转发报文的目的ip是否满足所述第一安全组id对应的安全组条件；
35.所述处理模块，用于若所述待转发报文的目的ip满足所述第一安全组id对应的安全组条件，则转发所述待转发报文，若所述待转发报文的目的ip不满足所述第一安全组id对应的安全组条件，则丢弃所述待转发报文。
36.进一步地，所述装置，还包括：配置模块，用于根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置；其中，所述安全组条件包括ip地址、网段、mac地址、vlan标识、端口号的一种或多种。
37.进一步地，所述配置模块，根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置，具体用于：
38.判断接收到的报文是否符合所述安全组条件；
39.当所述报文符合所述安全组条件时，根据预设规则以及所述对应关系为所述报文配置对应的安全组标识，所述安全组标识包括安全组id。
40.进一步地，所述配置模块，为所述报文配置对应的安全组标识，具体用于：
41.将所述报文的ipv4报文头末尾的可选option字段的按照预设数值进行填充；
42.其中，所述option字段包含code字段、length字段以及data字段；所述code字段用于表示所述option字段是否用于表示安全组标识，所述length字段用于表示所述data字段的长度；所述data字段用于表示安全组id。
43.其中，所述获取模块，获取所述网关设备配置的与所述第一安全组id对应的安全组条件，具体用于：
44.根据预设的安全组条件与安全组id对应关系，获取所述网关设备配置的与所述待转发报文的第一安全组id对应的安全组条件。
45.根据本发明实施例，还提供一种电子设备，所述电子设备包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；
46.存储器，用于存放计算机程序；
47.处理器，用于执行存储器上所存储的程序时，实现上述的方法步骤。
48.根据本发明实施例，还提供一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述的方法步骤。
49.本发明有益效果如下：
50.本发明实施例提供的基于局域网的终端设备隔离方法及装置，通过判断接收到的待转发报文是否包含有符合配置的安全组标识；当所述待转发报文包含有符合配置的安全组标识时，获取所述待转发报文的安全组标识中的第一安全组编号id和所述网关设备配置的与所述第一安全组id对应的安全组条件；判断所述待转发报文的目的ip是否满足所述第一安全组id对应的安全组条件；若满足，则转发所述待转发报文；若不满足，则丢弃所述待转发报文。本发明实施例通过判断待转发报文是否包含预配置的安全组标识，来获取配置有安全组功能的报文，然后根据待转发报文的安全组标识中的安全组编号id及对应的安全组条件对报文进行转发或丢弃，实现基于安全组标识的报文隔离，本发明实施例只需要通过对报文内容进行解析，即可实现终端之间的报文隔离，易于实现，实现成本较低，并且能够进一步结合arp代理同时实现二三层安全隔离，安全性能较高，适用范围广泛。
附图说明
51.图1为本发明实施例中基于局域网的终端设备隔离方法的流程图；
52.图2为本发明实施例中基于局域网的终端设备隔离装置的结构示意图；
53.图3为本技术示出的一种电子设备的结构示意图。
具体实施方式
54.针对现有技术中存在的终端隔离实现复杂、维护困难以及安全性低的问题，本发明实施例提供的基于局域网的终端隔离方法，首先通过判断待转发报文是否包含预配置的安全组标识，来获取配置有安全组功能的报文，然后根据待转发报文的安全组标识中的安全组编号id及对应的安全组条件对报文进行转发或丢弃。本发明方法的流程如图1所示，可以应用于具有安全组配置功能的所述局域网的网关设备，执行步骤如下：
55.步骤101，判断待转发报文是否包含有符合配置的安全组标识；
56.本发明中实施例，局域网的网关设备预先配置有安全组编号id、安全组条件及二者的对应关系；所述安全组条件为基于网际互联协议ip地址、网段、局域网mac地址、虚拟局域网vlan标识、端口号等信息的一种或多种；
57.当所述网关设备开启安全组配置功能，对接收到的报文按照预先配置的安全组条件进行匹配，对匹配通过的报文按照预设规则进行安全组标识的配置。这里，配置有不同安全组id的安全组标识对应的终端设备是相互隔离的。
58.其中，会对待转发的报文判断是否包含有符合预设规则的安全组标识，当包含有时，则执行步骤102，否则可按照已有的报文转发策略对该报文进行处理。
59.步骤102，当所述待转发报文包含有符合预设规则的安全组标识时，获取所述待转发报文的安全组标识中的第一安全组编号id和所述网关设备配置的与所述第一安全组id对应的安全组条件；
60.这里，由于安全组标识中包含有安全组编号id，因此可通过待转发报文的安全组标识获取其中的安全组id，为了便于表述，记为第一安全组id，并根据安全组id与安全组条件的对应关系，获取该第一安全组id对应的安全组条件。
61.步骤103，判断所述待转发报文的目的ip是否满足所述第一安全组id对应的安全组条件；
62.具体地，根据待转发报文的目的ip可以确定该待转发报文的目的终端设备，进而判断该目的终端设备对应的安全组条件是否满足所述第一安全组id对应的安全组条件。
63.步骤104，若满足，则转发所述待转发报文；若不满足，则丢弃所述待转发报文。
64.可选地，所述方法，还包括：
65.根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置；其中，所述安全组条件包括ip地址、网段、mac地址、vlan标识、端口号的一种或多种。
66.其中，所述根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置，包括：
67.判断接收到的报文是否符合所述安全组条件；
68.当所述报文符合所述安全组条件时，根据预设规则以及所述对应关系为所述报文配置对应的安全组标识，所述安全组标识包括安全组id。
69.例如，以ip地址作为安全组条件，如表1所示，当网关设备包括两个端口，其中，端口1的ip为192.168.100.1，端口2的ip为172.16.20.1，有如下的安全组条件：
70.安全组id安全组条件0x0001ip：192.168.100.0/240x0002ip：172.16.20.0/16
71.表1
72.则当端口1收到源ip 192.168.100.5，目的ip 172.16.20.10的报文时，根据安全组条件给该报文打上安全组id为0x0001的安全组标识，表明报文来自于安全组0x0001。当端口准备发送该报文时，目的ip属于安全组0x0002，与报文中安全组标识记录的安全组0x0001属于不同的安全组，则网关设备会直接丢弃该报文。
73.可选地，所述为所述报文配置对应的安全组标识，包括：
74.将所述报文的ipv4报文头末尾的可选option字段的按照预设数值进行填充；
75.通常，ipv4报文头末尾保留了0-40bytes的option字段，用于网络转发控制和调试测试目的。
76.其中，所述option字段包含code字段、length字段以及data字段；所述code字段用于表示所述option字段是否用于表示安全组标识，所述length字段用于表示所述data字段的长度；所述data字段用于表示安全组id。
77.由于安全组标识是仅用于局域网的私有option定义，安全组标识option尽量选择ipv4保留和未定义的值。其中，“code”字段内的“copy”、“class”和“number”，ipv4规范已经做了部分定义：
78.1)copy：
79.0：只拷贝到第一个分片
80.1：拷贝到所有分片
81.2)class
82.00：报文控制
83.01：保留
84.10：调试和管理
85.11：保留
86.3)number
87.00000：选项结束
88.00001：没有选项
89.00011：宽松源路由
90.00111：记录路由
91.01001：严格源路由
92.可选地，所述code字段包含copy字段、class字段和number字段；其中，所述copy字段对应的预设数值为1，所述class字段对应的预设数值为01，所述number字段为最后5位，number位其实2^5-5＝27种数值可以选择，可以选择ipv4协议未定义的任一种填充方式，本发明实施例中，所述number字段对应的预设数值为01111。应当理解，所述class字段对应的预设数值也可以为11。
93.具体地，为保证所有非法数据包分片能够根据安全组标识option被完全丢弃，“copy”字段定义为“1：拷贝到所有分片”。“class”字段定义为“01”，“number”字段定义为“01111”。所以，安全组标识option的“code”字段定义为“10101111”。
94.参考ipv4已定义的option字段，安全组标识option在“code”之后也使用“length”表示“data”字段的长度是多少字节。默认“length”的值为“2”，则“data”字段长度为2bytes，能够定义65536个安全组，足够局域网终端设备隔离使用。
95.其中，获取所述网关设备配置的与所述第一安全组id对应的安全组条件，包括：
96.根据预设的安全组条件与安全组id对应关系，获取所述网关设备配置的与所述待转发报文的第一安全组id对应的安全组条件。
97.进一步地，网关设备在开启安全组配置功能时，还可联动开启地址解析协议代理(arp proxy)功能。当需要地址解析的目的ip，与发起arp请求的终端设备(源ip)不属于同一个安全组时，网关设备会丢弃该arp请求，不予响应。如此保证了不同安全组之间的二层不可见，实现二层隔离。
98.本发明实施例通过判断待转发报文是否包含预配置的安全组标识，来获取配置有安全组功能的报文，然后根据待转发报文的安全组标识中的安全组编号id及对应的安全组条件对报文进行转发或丢弃，实现基于安全组标识的报文隔离，本发明实施例只需要通过对报文内容进行解析，即可实现终端之间的报文隔离，易于实现，实现成本较低，并且能够进一步结合arp代理同时实现二三层安全隔离，安全性能较高，适用范围广泛。
99.基于同一发明构思，本发明实施例提供一种基于局域网的终端设备隔离装置，该装置可以应用于具有安全组配置功能的所述局域网的网关设备中，结构如图2所示，包括：第一判断模块21、获取模块22、第二判断模块23、处理模块24；其中，
100.第一判断模块21，用于判断接收到的待转发报文是否包含有符合预设规则的安全组标识；
101.获取模块22，用于当所述待转发报文包含有符合预设规则的安全组标识时，获取所述待转发报文的安全组标识中的第一安全组编号id和所述网关设备配置的与所述第一安全组id对应的安全组条件；
102.第二判断模块23，用于判断所述待转发报文的目的ip是否满足所述第一安全组id对应的安全组条件；
103.所述处理模块24，用于若所述待转发报文的目的ip满足所述第一安全组id对应的安全组条件，则转发所述待转发报文，若所述待转发报文的目的ip不满足所述第一安全组id对应的安全组条件，则丢弃所述待转发报文。
104.可选地，所述装置，还包括：配置模块，用于根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置；其中，所述安全组条件包括ip地址、网段、mac地址、vlan标识、端口号的一种或多种。
105.其中，所述配置模块，根据预设的安全组条件及安全组id的对应关系，进行安全组标识的配置，具体用于：
106.判断接收到的报文是否符合所述安全组条件；
107.当所述报文符合所述安全组条件时，根据预设规则以及所述对应关系为所述报文配置对应的安全组标识，所述安全组标识包括安全组id。
108.其中，所述配置模块，为所述报文配置对应的安全组标识，具体用于：
109.将所述报文的ipv4报文头末尾的可选option字段的按照预设数值进行填充；
110.其中，所述option字段包含code字段、length字段以及data字段；所述code字段用于表示所述option字段是否用于表示安全组标识，所述length字段用于表示所述data字段的长度；所述data字段用于表示安全组id。
111.其中，所述获取模块22，获取所述网关设备配置的与所述第一安全组id对应的安全组条件，具体用于：
112.根据预设的安全组条件与安全组id对应关系，获取所述网关设备配置的与所述待转发报文的第一安全组id对应的安全组条件。
113.应当理解，本发明实施例提供的基于局域网的终端设备隔离装置实现原理及过程与上述图1及所示的实施例类似，在此不再赘述。
114.本发明实施例提供的基于局域网的终端设备隔离方法及装置，通过判断接收到的待转发报文是否包含有符合配置的安全组标识；当所述待转发报文包含有符合配置的安全组标识时，获取所述待转发报文的安全组标识中的第一安全组编号id和所述网关设备配置的与所述第一安全组id对应的安全组条件；判断所述待转发报文的目的ip是否满足所述第一安全组id对应的安全组条件；若满足，则转发所述待转发报文；若不满足，则丢弃所述待转发报文。本发明实施例通过判断待转发报文是否包含预配置的安全组标识，来获取配置有安全组功能的报文，然后根据待转发报文的安全组标识中的安全组编号id及对应的安全组条件对报文进行转发或丢弃，实现基于安全组标识的报文隔离，本发明实施例只需要通过对报文内容进行解析，即可实现终端之间的报文隔离，易于实现，实现成本较低，并且能够进一步结合arp代理同时实现二三层安全隔离，安全性能较高，适用范围广泛。
115.本技术实施例还提供了一种电子设备，请参见图3所示，包括处理器510、通信接口520、存储器530和通信总线540，其中，处理器510，通信接口520，存储器530通过通信总线
540完成相互间的通信。
116.存储器530，用于存放计算机程序；
117.处理器510，用于执行存储器530上所存放的程序时，实现上述实施例中任一所述的基于局域网的终端设备隔离方法。
118.通信接口520用于上述电子设备与其他设备之间的通信。
119.存储器可以包括随机存取存储器(random access memory，ram)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
120.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processing，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
121.该方案中，通过判断待转发报文是否包含预配置的安全组标识，来获取配置有安全组功能的报文，然后根据待转发报文的安全组标识中的安全组编号id及对应的安全组条件对报文进行转发或丢弃，实现基于安全组标识的报文隔离，本发明实施例只需要通过对报文内容进行解析，即可实现终端之间的报文隔离，易于实现，实现成本较低，并且能够进一步结合arp代理同时实现二三层安全隔离，安全性能较高，适用范围广泛。
122.相应地，本技术实施例还提供一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的基于局域网的终端设备隔离方法。
123.该方案中，通过判断待转发报文是否包含预配置的安全组标识，来获取配置有安全组功能的报文，然后根据待转发报文的安全组标识中的安全组编号id及对应的安全组条件对报文进行转发或丢弃，实现基于安全组标识的报文隔离，本发明实施例只需要通过对报文内容进行解析，即可实现终端之间的报文隔离，易于实现，实现成本较低，并且能够进一步结合arp代理同时实现二三层安全隔离，安全性能较高，适用范围广泛。
124.本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。
125.通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。
126.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或
者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
127.另外，在上述实施例及附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如201、202、203等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。
128.以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
129.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
130.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
131.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
132.尽管已描述了本发明的可选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括可选实施例以及落入本发明范围的所有变更和修改。
133.显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。