密码定义网络安全体系构建方法、体系架构及数据转发方法与流程

1.本发明属于网络安全技术领域，特别涉及一种密码定义网络安全体系构建方法、体系架构及数据转发方法。


背景技术：

2.企业信息安全重要但一直是个难题，这是由于it基础设施和应用程序架构的复杂性、用户访问的广度和速度，以及信息安全固有的对抗性决定的。传统的安全方法是采用基于边界防御技术，如在网络边界上部署防火墙、入侵检测系统、网络访问控制等，通常基于网络流量中五元组信息(源ip、目的ip、源端口、目的端口和协议)，安全规则不够丰富，并且不能基于网络上下文动态自适应，存在滞后风险；随着时间的推移，如入侵检测系统变得不那么有效，主要由于网络规模和复杂度的增长，采用基于云的资源部署，以及加密协议的使用增加。传统的安全方法对网络的访问控制提供了粗粒度的实现，只能将用户、网络和应用程序进行粗粒度的分离，访问者的权限模糊，往往授予了比实际需要更大的权限，这大大增加了网络内部横向攻击的风险；而采用在本地容器化或虚拟化环境中运行的动态的或短暂工作负载，以及远程用户访问的增加，传统的安全工具旨在保护更静态和确定性的it基础设施，安全解决方案整体效率降低。


技术实现要素：

3.为此，本发明提供一种密码定义网络安全体系构建方法、体系架构及数据转发方法，依托密码学技术并基于实体标识对网络设备和进行全局统一管理，能够针对不同业务流、数据流采用配套的场景化、多样化的安全策略，保障通信数据的机密性、完整性，实现通信安全要求。
4.按照本发明所提供的设计方案，一种密码定义网络安全体系构建方法，包含：
5.建立若干用于描述网络设施和/或网络资源的实体，并依据各实体特征生成与实体对应的实体属性；并为每个实体分配用于表示身份id数据的实体标识；
6.根据业务数据流，利用不同密码套件将网络内实体进行分组并划分到对应控制子域，同一密钥分组控制子域内的实体相互之间基于实体标识和安全策略建立可信网络链接，同时为每一密钥分组控制子域定义网络边界。
7.作为本发明密码定义网络安全体系构建方法，进一步地，所述实体至少包含如下类型：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，用于对同一控制域内的转发器和控制器进行注册管理的域管理器，用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统。
8.作为本发明密码定义网络安全体系构建方法，进一步地，所述实体属性包含：实体
类型，用于描述实体名称、ip地址及证书凭证的逻辑属性，用于描述实体硬件配置和地理位置的物理属性，及用于描述实体所属控制子域的域属性。
9.作为本发明密码定义网络安全体系构建方法，进一步地，所述实体标识采用字节进行编码，其中，实体标识编码包含：隧道类型字段、网络分组标识字段、实体类型字段、实体编号字段、所属域管理器字段、所属控制器字段、实体内软设备编号字段及预留字节。
10.进一步地，本发明还提供一种密码定义网络安全体系架构，基于上述的方法实现，将网络中设备和资源进行切片，采用密码套件将网络划分为与业务数据流对应并通过密码隔离的若干控制子域，利用实体标识将各控制子域中的相关实体进行关联，并基于信道标识选取数据转发路径来进行流数据包的转发。
11.作为本发明密码定义网络安全体系架构，进一步地，网络中设备包含但不限于：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，及用于对同一控制域内的转发器和控制器进行注册管理的域管理器。
12.作为本发明密码定义网络安全体系架构，进一步地，网络中资源包含但不限于：用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统。
13.进一步地，本发明还提供一种密码定义网络安全体系数据转发方法，基于上述的体系架构实现，通过实体标识将网络中物理实体和逻辑实体关联，其中，物理实体包含：用于用户接入网络进行资源访问的用户设备、作为安全网关来执行安全策略的转发器、作为策略决策点来为转发器分发隧道策略的控制器、及用于对同一控制域内的转发器和控制器进行注册管理的域管理器，逻辑实体包含：用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统，该转发过程包含如下内容：
14.转发器依据用户设备请求向控制器申请用于数据转发的安全策略；
15.控制器根据转发器发送的转发请求信息从身份管理系统中获取认证授权决策来确定转发器能否建立隧道连接，并从安全管理系统中获取用于创建转发器之间密码定义网络的安全策略，其中，转发请求信息包含：转发数据五元组、转发器和用户设备两者的实体标识及访问时间；
16.转发器依据安全策略建立基于信道标识的安全信道，基于信道标识对数据包进行加密转发。
17.作为本发明密码定义网络安全体系数据转发方法，进一步地，控制器使用转发请求信息访问身份管理系统，基于实体标识查找实体属性，并获取实体属性对应的安全等级，判断转发请求信息的转发行为合法性及是否符合安全等级要求，针对转发行为合法的情形授权按照安全等级转发；控制器使用转发请求信息和安全等级访问安全管理系统，并基于实体标识查找并获取通信连接信息及信道标识，并依据安全等级生成安全策略，所述安全策略包含但不限于：通信连接信息、信道标识、密码套件、密码交换算法及密码更新周期。
18.作为本发明密码定义网络安全体系数据转发方法，进一步地，安全信道流量中数据包通过携带信道标识来区分所处控制子域的密码定义网络，并依据安全策略执行反馈对密码定义网络生命周期进行维护。
19.本发明的有益效果：
20.本发明基于实体标识和安全策略等方式的组合实现密码定义边界，并建立可信网络链接，同一密钥分组内可以组成一个网络；网络访问受到加密协议的保护，保证通信内容的机密性、完整性；并且实现信道分离，不同的访问请求使用专属加密信道，能够满足用户远程的、多设备种类的、多场景及移动访问资源的需求；且在网络访问资源之前通过身份认证，确保授权后才能通过网络访问应用程序资源，从而使攻击者更难攻击；对设备自身安全持续可信跟踪，增强安全体系的整体安全，既保障信道的安全，也保证信道两端的安全；通过对网络内物理实体、逻辑实体划分，并绑定实体标识，使整体安全系统体系化，便于统一化管理，并基于静态和动态安全策略来满足网络动态变化的需求，具有较好的应用前景。
附图说明：
21.图1为实施例中密码定义网络安全体系构建方法流程示意；
22.图2为实施例中实体表示编码示意；
23.图3为实施例中密码定义网络示意；
24.图4为实施例中密码定义网络安全体系部署示意。
具体实施方式：
25.为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。
26.本发明实施例，参见图1所示，提供一种密码定义网络安全体系构建方法，包含：
27.s101、建立若干用于描述网络设施和/或网络资源的实体，并依据各实体特征生成与实体对应的实体属性；并为每个实体分配用于表示身份id数据的实体标识；
28.s102、根据业务数据流，利用不同密码套件将网络内实体进行分组并划分到对应控制子域，同一密钥分组控制子域内的实体相互之间基于实体标识和安全策略建立可信网络链接，同时为每一密钥分组控制子域定义网络边界。
29.本案实施例中，为解决网络架构复杂性、用户访问的广度和速度等问题，基于实体标识和安全策略来构建动态、灵活的密码定义网络安全体系，通过划分业务需求对应的控制子域，并利用不同密码套件基于实体标识和安全策略建立控制子域内实体之间的可信网络连接，解决现有基于静态网络边界防御的安全缺陷，以资源服务为导向、多信道分离、并使用密文进行信道保护，显著增强企业信息安全，能够满足更高的业务敏捷性需求。
30.作为本发明实施例中密码定义网络安全体系构建方法，进一步地，所述实体至少包含如下类型：用户接入网络进行资源访问的用户设备，作为安全网关来执行安全策略的转发器，作为策略决策点并用于为转发器分发隧道策略的控制器，用于对同一控制域内的转发器和控制器进行注册管理的域管理器，用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策
略的安全管理系统，及用于访问控制管理的身份管理系统。进一步地，所述实体属性包含：实体类型，用于描述实体名称、ip地址及证书凭证的逻辑属性，用于描述实体硬件配置和地理位置的物理属性，及用于描述实体所属控制子域的域属性。
31.将网络基础设施、用户、被访问资源等定义为实体，这些实体由一组实体属性进行描述。实体属性是指实体的一系列特征。这些特征可以单独使用，也可以组合使用，可以构成将该实体与其他实体区分开的唯一身份。设定实体属性包括：实体类型，逻辑属性，物理属性，域属性。其中，实体逻辑属性是指实体名称，ip地址，证书(凭证)；实体物理属性是指实体硬件配置，地理位置；实体域属性是指实体所属控制子域，通常密码定义网络将网络划分为一个或多个控制子域，以减小攻击面,在一些特定场景，如网络通信条件受限或者有特定的性能要求，需要进行分布式网络部署，划分成多个控制子域。
32.密码定义网络安全体系结构中的实体，用户设备是用户用来接入网络，访问资源的设备；转发器作为安全网关，执行安全策略，转发器之间建立加密信道，对网络流量进行密码保护，保证数据的机密性、完整性和认证；控制器作为策略决策点，当两个转发器希望建立安全隧道时，控制器负责为它们分发隧道策略；域管理器接受同一控制域内的转发器、控制器设备注册，生成注册设备的实体标识、凭证和证书，域管理器将实体标识、凭证和证书下发到注册的设备；运行时间日志管理系统持续接收并管理来自控制器和转发器的运行时间日志，分析运行时间日志能够提供关于策略执行的效果图，运行时间日志管理系统向安全管理系统汇集运行时间日志；持续可信管理系统监测和维护控制器和转发器的设备可信性，持续监测控制器和转发器的设备安全状态信息，为安全管理系统提供关于控制器和转发器的安全状态报告，持续可信管理系统向安全管理系统汇集安全状态报告；密钥管理系统生成和管理证书和密钥；安全管理系统监视整个安全体系的运行过程，制定或修订隧道策略；身份管理系统提供控制访问的技术和业务流程。主要包括身份存储，存储有关实体的信息，描述实体的有意义数据的属性，用于验证用户的访问权限，根据这些来源进行身份验证；身份生命周期治理；访问控制使用多因子验证，通常证书(及其支持系统)用于验证用户和设备身份。
33.作为本发明实施例中密码定义网络安全体系构建方法，进一步地，所述实体标识采用字节进行编码，其中，实体标识编码包含：隧道类型字段、网络分组标识字段、实体类型字段、实体编号字段、所属域管理器字段、所属控制器字段、实体内软设备编号字段及预留字节。
34.密码定义网络基于实体标识，将上述网络基础设施、用户、被访问资源等实体纳入统一管理。实体标识用于唯一标识一个实体。参见图2所示，实体标识可为16字节数据编码字段，可包含1字节隧道类型、2字节网络分组标识、1字节实体类型、4字节实体编号、1字节所属域管理器、2字节所属控制器，1字节实体内软设备编号，2字节预留数据。图2中，平台系统实体标识编码忽略所属域管理器、所属控制器和实体内软设备编号字段，根据实际应用在对实体进行编码表示中可增加或删除部分无关实体的编码字节或改变编码字段长度来获取实体标识字段。
35.转发器、控制器等实体向域管理器注册，域管理器调用身份管理系统的服务接口，身份管理系统对注册设备进行身份认证，认证通过后，将注册设备分为多个不同的属性，按照基于属性的访问控制策略，通过访问控制表查找对应的资源权限，对注册设备进行授权，
生成注册的设备实体标识、凭证和证书。域管理器将实体标识、凭证和证书下发到注册的设备，实现实体标识的绑定，从而将实体纳入整个安全体系统一管理。
36.根据业务类别，将网络内的设备，用基于不同密码套件分组的方式，划分为不同的网络分组，分组内基于标识、可信任凭证彼此信任，相互可创建可信网络链接，由此实现同一密钥分组内设备组成一个网络，基于标识(基于密钥、可信任凭证等)建立信任链接，定义网络边界。
37.进一步地，基于上述的方法实现，本发明实施例还提供一种密码定义网络安全体系架构，将网络中设备和资源进行切片，采用密码套件将网络划分为与业务数据流对应并通过密码隔离的若干控制子域，利用实体标识将各控制子域中的相关实体进行关联，并基于信道标识选取数据转发路径来进行流数据包的转发。
38.密码定义网络对数据的转发是按照安全策略执行的，安全策略是一组基于分配给用户(设备)、网络、资源以及环境威胁等其他因素的访问规则。安全策略是动态的，在转发数据时严格执行策略。策略在密码定义网络划分基础上，实现网络分组内基于安全策略建立信任链接，业务通信仅限于密码定义网络边界内。如图3所示的2个密码定义网络，密码定义网络1内为满足设备之间可以传输内部文件，安全等级较高，有严格的密钥使用周期管理、协议类型过滤等要求，可使用国密加密密码套件，以实现设备间的文件传输加密功能；密码定义网络2内设备之间为满足日常工作交流加密通信，安全等级较低，可以使用国际加密算法套件，以实现日常工作交流内容的加密通信。两个网络的设备可能有交集，如图中的设备1、设备2；在密码定义网络内部，实现信道分离，如密码定义网络1中a、b和c，密码定义网络2中的a、b和c；边界的定义划分，利于基于标识的安全策略的实现，可以实现策略的分组管理、基于策略的信道分离管理，图中的设备可以是安全网关、也可以是安装安全代理程序的主机。根据以上两个密码定义网络的示意，密码定义网络在实际应用中，也可利用其它密码套件来进行划分，以满足不同业务类型功能需求。
39.安全策略的产生包含身份的认证、资源的审核、资源的访问、网络的连通、威胁和安全事件的评估等多种因素。安全策略由管理人员通过安全管理系统制定或修订。也可以是自动地生成策略，如运行时间日志管理系统分析运行时间程序异常报告、网络流量日志、隧道策略执行日志、异常网络行为或网络安全事件等，发现异常事件，向安全管理系统报告，安全管理系统根据预设的算法生成安全策略；如持续可信管理系统监测密码定义网络安全体系内实体的安全配置状态、安全监测日志等，例如它们是运行在正确的操作系统和应用程序中，是否运行在正确的配置条件下，为安全管理系统提供实体的安全状态报告，安全管理系统根据预设的算法生成安全策略。
40.进一步地，基于上述的体系架构实现，本发明实施例还提供一种密码定义网络安全体系数据转发方法，通过实体标识将网络中物理实体和逻辑实体关联，其中，物理实体包含：用于用户接入网络进行资源访问的用户设备、作为安全网关来执行安全策略的转发器、作为策略决策点来为转发器分发隧道策略的控制器、及用于对同一控制域内的转发器和控制器进行注册管理的域管理器，逻辑实体包含：用于持续分析管理控制器和转发器运行时间日志的运行时间日志管理系统，用于持续监测维护控制器和转发器设备状态的持续可信管理系统，用于证书和密钥管理的密钥管理系统，用于监视体系运行过程并制定和调整隧道策略的安全管理系统，及用于访问控制管理的身份管理系统，该转发过程包含如下内容：
41.转发器依据用户设备请求向控制器申请用于数据转发的安全策略；
42.控制器根据转发器发送的转发请求信息从身份管理系统中获取认证授权决策来确定转发器能否建立隧道连接，并从安全管理系统中获取用于创建转发器之间密码定义网络的安全策略，其中，转发请求信息包含：转发数据五元组、转发器和用户设备两者的实体标识及访问时间；
43.转发器依据安全策略建立基于信道标识的安全信道，基于信道标识对数据包进行加密转发。
44.转发器转发数据时，向控制器申请转发数据的安全策略，控制器以转发数据的五元组信息、转发器的实体标识、用户设备的实体标识等信息为输入，决策依据分别来源于安全管理系统和身份管理系统。控制器根据身份管理系统的认证与授权决策，确定转发器之间是否可建立隧道连接；控制器根据安全管理系统下发的安全策略，管理转发器之间密码定义网络的创建。控制器处于常在线状态，与上述的系统通过特定的接口保持服务连接。
45.作为本发明实施例中密码定义网络安全体系数据转发方法，进一步地，控制器使用转发请求信息访问身份管理系统，基于实体标识查找实体属性，并获取实体属性对应的安全等级，判断转发请求信息的转发行为合法性及是否符合安全等级要求，针对转发行为合法的情形授权按照安全等级转发；控制器使用转发请求信息和安全等级访问安全管理系统，并基于实体标识查找并获取通信连接信息及信道标识，并依据安全等级生成安全策略，所述安全策略包含但不限于：通信连接信息、信道标识、密码套件、密码交换算法及密码更新周期。进一步地，安全信道流量中数据包通过携带信道标识来区分所处控制子域的密码定义网络，并依据安全策略执行反馈对密码定义网络生命周期进行维护。
46.控制器使用转发数据的五元组信息、访问时间、转发器实体标识、用户设备实体标识等信息，访问身份管理系统，基于标识查找系统中存储的身份信息，如部署的地理位置、角色等，赋予属性对应的安全等级，取所有属性对应安全等级的交集，得到最终一个安全等级，再根据预设的访问控制算法，判定数据访问行为的合法性、安全等级要求。如果不合法，则下发转发禁止策略；合法则允许依照安全等级授权下发安全策略。控制器使用转发数据的五元组信息、转发器实体标识、用户设备实体标识、访问安全等级等，访问安全管理系统，安全管理系统根据这些输入查找存储的安全策略信息，得到网络通信连接信息、加密信道信道标识，再根据安全等级，生成对应密码套件、密钥交换算法、密钥更新周期等参数，最终汇总为要下发的安全策略，下发给控制器。控制器将接收到的安全策略，分别下发给需要建立通信的转发器，转发器解析安全策略内容，建立基于信道标识的安全网络信道，此信道流量中数据包携带信道标识，用信道标识区分密码定义的不同网络，基于信道标识进行数据包的加密转发，基于信道标识对网络生命周期进行维护。
47.密码定义网络安全体系结构是一个闭环系统，通过实体标识，将体系内各物理实体、逻辑实体联系起来。转发器物理实体间执行安全策略，基于信道标识建立满足各种业务需求的数据传输信道逻辑实体后，上报安全策略执行成功反馈，以使控制器物理实体、安全管理系统物理实体等对定义的网络进行生命周期管理。
48.下面结合图4来进一步解释说明本案方案安全体系的部署，图中虚线为注册信令链路、粗线为控制信令链路、细线为数据链路，不同的链路使用不同的标识，是一种基于不同业务、不同密码套件的信道分离体现；安全体系中组成部分包含：用户设备上的安全代理
程序、应用程序资源、应用程序资源网络位置前面的转发器、控制器、身份管理系统、密钥管理系统、安全管理系统和安全体系持续监测平台。该部署的安全体系工作流程可描述如下：
49.管理人员从身份管理系统申请安全代理程序的用户名和安全代理程序软件的序列号，并分配给用户。用户安装安全代理程序到用户设备上，并配置安全代理程序。安全代理程序和域管理器执行tls握手，因为尚没有证书，认证依赖tls中的自定义扩展字段。在自定义扩展字段中附加用户名和安全代理程序序列号，域管理器携带用户名和安全代理程序序列号访问身份管理系统认证接口，进行双因子身份认证，以此达到认证和密钥交换的目的，产生注册时使用的会话密钥和会话信道标识。相当于在安全代理程序和域管理器之间建立一条密文注册信道，保证注册信令的机密性和完整性，基于标识区分、使用不同密码套件，实现注册信道与下文将要描述的控制信道、数据信道的分离。
50.用户输入事先分配的用户名和自设定的密码，用户设备通过安全代理程序向域管理器注册，注册时提供设备系统信息、设备网络信息、用户名和密码等，以期获得实体标识、凭证和证书。域管理器调用身份管理系统的接口，上传用户设备的注册信息，身份管理系统认证通过后，保存注册信息，下发用户设备的实体标识；并通过调用密钥管理系统的服务，请求凭证、证书，获取给注册设备下发的凭证、证书；然后，向设备回复注册请求，下发实体标识、凭证和证书。注册完成，控制器和转发器也需要向域管理器注册，获取实体标识，过程类似，不再赘述。
51.安全管理系统策略编排，向控制器下发策略规则集合。策略集中含有密码套件，由安全管理系统调用密钥管理系统的服务接口生成。控制器向转发器下发一条或多条安全策略，允许用户设备对一个或一组应用程序资源的访问，而访问不到该转发器后面的其他应用程序资源，不同的安全策略中包含不同的信道标识，信道标识用于标识不同的策略，系统并依据信道标识对安全策略、建立的信道等进行生命周期管理，这是密码定义网络的核心体现。
52.用户设备通过安全代理程序登录控制器，登录信息包括用户名、实体标识等。登陆信息受凭证中的预共享密钥加密保护。控制器调用安全管理系统的接口，上传用户访问请求信息，由安全管理系统调用身份管理系统服务接口，认证通过后，授权控制器向用户设备下发安全连接策略。
53.用户设备收到安全连接策略后，用户设备的安全代理程序和转发器之间执行tls握手，握手由安全代理程序发起，转发器根据收到的安全策略数量，建立对等数量的tls会话，会话过程中进行双向证书认证，最终获取会话密钥，在安全代理程序和转发器之间建立一条或多条加密信道，这些信道用不同的信道标识进行标记，实现基于不同业务流的加密信道分离，建立起在访问者和资源之间的信任链接。将用户可以访问的应用程序资源列表作为tls中的扩展信息，在tls握手阶段之后发送，由于是密文，防止应用程序资源列表的泄露。安全代理程序在用户设备上创建一个虚拟网卡，根据tls会话建立时获取的应用程序资源列表，添加路由表，将用户对应用程序资源的访问流量路由到虚拟网卡上，这样安全代理程序从虚拟网卡抓取网络数据包，根据目的网络地址决定不同的加密路径，数据包中添加加密信道标识，加密发送。转发器收到此加密流量后，根据数据包中的加密信道标识选择不同的密钥和算法解密，再发送到后面的应用程序资源。从应用程序资源到安全代理程序的数据包处理流程类似。安全代理程序还具有设备状态监测功能，当监测到设备异常时，上报
安全管理系统，安全管理系统向安全体系监测平台上报事件，安全体系监测平台由持续可信管理系统和运行时间日志管理系统组成，运行时收集设备可信报告和运行日志记录，平台根据事件和运行日志记录决策，安全管理系统根据决策结果动态地下发应急策略到转发器，转发器根据策略包含的信道标识，检索信道记录、关闭与此安全代理程序之间的加密信道。转发器通过信道标识本地遍历安全策略生命周期记录，发现某条策略到期后，也会主动断开该条策略对应的加密信道，而不影响其他信道的正常工作，体现信道分离的优点。
54.转发器感知用户设备的访问上下文行为，发现行为异常时上报安全管理系统，安全管理系统动态调整安全策略。
55.相对于传统应用的具有自己内部身份和凭证存储，在应用程序内部进行身份验证，本案方案中减少了可被利用的软件安全漏洞，并将集成企业中的集中身份治理和生命周期流程，避免成为“孤岛”，避免出现移动者或离开者生命周期事件的遗漏，从而导致账户仍处于活动状态；部署是基于标识和安全策略进行，能够实现对应用程序的网络访问受到加密协议的保护，保证通信内容的机密性、完整性，实现信道分离，不同的访问请求使用专属加密信道，是使用密码定义的隔离边界，密码定义网络的体现。用户在访问应用程序资源之前，必须通过身份认证，确保了授权后才能通过网络访问应用程序资源，从而使攻击者更难攻击，可以满足用户远程访问应用程序资源的需求，满足用户移动接入，满足网络动态变化的应用需求。
56.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
57.基于上述的方法和/或系统，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。
58.基于上述的方法和/或系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。
59.在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。
60.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
61.最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。