安全资源的管理的制作方法

1.本发明总体上涉及诸如安全计算资源和安全保险箱之类的安全资源，并且更具体地涉及这样的安全资源的管理。


背景技术：

2.现代云服务提供商和数据中心包括容纳在大型设施中的大量计算机和其他类似组件。在这些设施内，各种电缆连接到每个计算机，以允许计算机接收电力并且彼此以及与外部装置传送各种类型的数据。


技术实现要素：

3.本发明的一方面是针对一种系统，该系统包括：安全资源；被配置成采取锁定条件和解锁条件的锁定元件，在所述锁定条件中，所述安全资源被锁定，在所述解锁条件中，所述安全资源被解锁；以及控制器。所述控制器接收授权用户对所述安全资源进行解锁的指令，并且所述控制器被配置为根据授权用户的指令和操作系统级认证来执行所述用户的操作系统(os)级认证和所述锁定元件的os级控制。
4.本发明的另方面涉及一种系统，包括：安全资源；被配置成采取锁定条件和解锁条件的锁定元件，在所述锁定条件中，所述安全资源中的对应的安全资源被锁定，在所述解锁条件中，所述安全资源中的对应的安全资源被解锁；以及控制器。所述控制器可接收用于授权用户解锁所述安全资源中的一个或多个的指令，并被配置为根据所述用于授权用户的指令和所述os级认证来执行所述用户的操作系统(os)级认证和所述锁定元件的os级控制。
5.本发明的另一方面涉及一种操作系统的方法，该方法包括：控制锁定元件采取锁定条件，由此相应的安全资源被锁定元件锁定，接收授权用户解锁所述安全资源中的一个或多个的指令，从用户接收解锁并由此获得对所述安全资源中的一个或多个的访问的请求，确定所述用户是否被授权解锁并由此获得对与所述请求相关联的所述一个或多个安全资源的访问，执行所述用户的操作系统(os)级认证；以及根据用户被确定为被授权和认证来执行相应的锁定元件的os级控制。
6.通过本发明的技术实现了附加技术特征和优点。在本文中详细描述了本发明的实施例和方面，并且这些实施例和方面被认为是所要求保护的主题的一部分。为了更好的理解，参考详细说明和附图。
附图说明
7.在说明书结尾处的权利要求中特别指出并明确要求保护本文所述的独占权利的细节。从以下结合附图进行的详细描述中，本发明的实施例的前述和其他特征和优点将变得显而易见，在附图中：
8.图1示出了根据本发明实施例的计算资源系统的示意图；
9.图2示出了根据本发明实施例的图1的计算资源的组件的示意图；
10.图3是根据本发明实施例的图1的计算资源的端口的示意图；
11.图4是根据本发明实施例的计算资源的线缆和锁定元件的透视图；
12.图5是根据本发明的实施方式的图4的线缆和锁定元件的另一个立体图；
13.图6是根据本发明的实施方式的图4和图5的锁定元件的放大立体图；
14.图7是示出了根据本发明实施例的操作计算资源的锁定组件的方法的流程图；
15.图8是根据本发明的实施例的计算资源系统的示意图；
16.图9是示出根据本发明的实施方式的操作图8的系统的方法的流程图；
17.图10是根据本发明的实施方式的图8的系统的扩展的示意图；
18.图11是根据本发明的实施方式的包括公共接口的系统的示意图；
19.图12是示出根据本发明的实施方式的操作具有公共接口的系统的方法的流程图；
20.图13是根据本发明的实施方式的包括物理认证接口的系统的示意图；
21.图14是示出了根据本发明的实施方式的操作具有物理认证接口的系统的方法的流程图；
22.图15是根据本发明的实施方式的电缆和计算资源的锁定元件的透视图；以及
23.图16是根据本发明的实施方式的缆绳和图15的锁定元件的另一个透视图。
24.此处所描绘的图是说明性的。在不背离本发明的范围的情况下，可以对这里所描述的图或操作进行许多变化。例如，可以以不同的顺序执行动作，或者可以添加、删除或修改动作。而且，术语“耦接”及其变形描述了在两个元件之间具有通信路径并且并不暗示元件之间的直接连接，在它们之间没有介入元件/连接。所有这些变型被认为是说明书的一部分。
具体实施方式
25.本发明的一个或多个实施例提供了用于控制锁的系统和方法，从而管理不同类型的电缆的插入和拔出以及在或从(into and from)计算和其他类型的资源中的插入。
26.在现代云服务提供商和数据中心中，大量的计算机和其他类似组件被容纳在大型设施中。在这些设施内，各种电缆连接到每个计算机，以允许计算机接收电力并且彼此以及与外部装置传送各种类型的数据。这些电缆和其他电缆中的每个电缆到计算机的连接需要被频繁地检查并且有时被维护、修理或更换。这是耗时的，并且在错误或在不适当的时间处理一个或多个连接的情况下可能导致故障。照此，对现代云服务提供商和数据中心中的电缆和其他电缆到每个计算机的连接的管理对于确保计算机被正确操作并且没有故障是非常重要的。
27.本发明的一个或多个实施例提供了用于管理到现代云服务提供商和数据中心或其他类似的安全组件中的每个计算机的连接的系统和方法。这确保了计算机和其他类似的可保证安全的部件被正确地操作并且没有故障。
28.现在转向图1，一般地示出了根据本发明的一个或多个实施例的系统101。系统101包括一个或多个计算或安全资源(以下称为“计算资源”)110。系统101可以作为云服务、共享数据中心等提供。在任何情况下，每个计算资源110可以作为保险箱111、容纳在机架113中的服务器112或另一类似特征提供。保险箱111可以通过基于软件的缓解系统来控制和监测。在尝试被批准或拒绝之前，访问保险箱111内的资源的所有请求将需要被注册和认证。
如果用户希望解锁保险箱111，他们将需要将适当的标识(如指纹、识别码(pin code)等)传递给控制器，该控制器然后将评估该信息并且如果用户拥有正确的权限则打开该锁。
29.如图1所示，计算资源110可以但并非要求被布置成跨一个或多个楼层114的行和列。在每一行或列中，计算资源110中的每一者可耦合到一个或一个以上电缆115。电缆115可以包括但不限于通信电缆和电力电缆，并且可以携带不同信号，诸如电力信号、数据信号等。
30.参考图2，计算资源110中的每一个可包括一组抽屉201，其中每个抽屉201可包括服务处理器(sp)202和与sp202通信的一个或多个中央处理器(cp)
31.203。每个抽屉201的每个sp 202可以与其他抽屉201的sp 202互连，并且每个抽屉201的每个cp 203可以与存储单元通信，并且可以单独或与其他cp 203组合形成逻辑群集。
32.继续参考图2并且另外参考图3，每个计算资源110的一个或多个抽屉201可以包括一个或多个端口301、存储装置302以及通信、存储器或外围卡303。端口301可以提供对存储设备302以及通信、存储器和外围卡303的直接或间接访问。每个端口301可被提供为电缆321的插头320可被插入的插头接收器310。电缆321可被提供为电力电缆、以太网电缆、光纤电缆、电信电缆等中的一个或多个，使得电缆321可有效地插入到计算资源110中。
33.参考图4和图5，如上所述的计算资源110可以包括外壳116，该外壳形成为限定孔117，并且对于每个电缆321和每个计算资源110，图1的系统101可以进一步包括锁定元件401。这里，每个电缆321可以包括插头320、连接器主体3201和接收特征3202。连接器主体3201可以从插头320向外并且横向地延伸，并且接收特征3202可以从连接器主体3201向前延伸。利用该构造或类似构造，当插头320被插入到插头接收器310中时，接收特征3202通过孔117相应地被插入到壳体116中。根据本发明的实施例，接纳特征3202可以被形成为在其远端处具有凹口3203(见图6)的细长元件。
34.继续参照图4和图5并且另外参照图6，锁定元件401包括锁定特征410和致动器420。锁定特征410被配置为采取锁定状态或解锁状态。在锁定条件下，锁定特征410与线缆321的插头320的槽口3203接合，使得电缆321被锁定到计算资源110并且不能被拔掉。可替代地，在锁定条件下，锁定特征410阻止接收特征3202通过孔117，使得锁定特征410有效地防止线缆321的插头320插入到计算资源110的插头接收器310中。在解锁状态下，锁定特征410与电缆321的插头320的凹口3203脱离接合，使得电缆321从计算资源110解锁并且可以被拔掉。可替代地，在解锁状态中，锁定特征410允许接收特征3202通过孔117，使得锁定特征410有效地允许线缆321的插头320插入到计算资源110的插头接收器310中。
35.致动器420耦接至锁定特征410并且被配置为控制锁定特征410以采取锁定和解锁状态中的一个。根据本发明的实施方式，致动器420可以设置为线性致动器或者旋转致动器4201，如图6中所示。在致动器420被提供为旋转致动器4201的情况下，旋转致动器4201可以包括输出轴610和物理锁定特征620。物理锁定结构620耦接到输出轴610，并且包括闩锁621和销中的一个或多个，闩锁621被配置成与线缆321的接收结构3202接合(以将线缆321锁定在适当位置或防止线缆321的插入)，销被配置成插入到接收结构3202中。在前一种情况下，旋转致动器4201被配置成在第一和第二相反方向上旋转输出轴610，由此闩锁621相对于凹口3203被旋转地移入或移出锁定位置和解锁位置。
36.如图4和图5所示，锁定特征410和致动器420可以布置在壳体116的内部内。然而，
应当理解，这不是必需的，并且存在其中锁定特征410和致动器420中的至少一者被布置在壳体116的外部处的实施例(参见图15和16以及下文所附文本)。在致动器420被布置在壳体116的内部内的情况下，致动器420可以被布置在印刷电路板(pcb)421上。该pcb 421可以包括不同处理元件，并且可以生成用于操作致动器420的命令，由此致动器420可以接受来自pcb 421的命令。
37.继续参照图6并且返回参照图2和图3，每个计算资源110的每个抽屉201的一个或多个sp 202和一个或多个cp 203可以被配置成用于协作地定义或充当控制器630。控制器630可以体现为通用硬件管理控制台(hmc)631、通用服务元件(se)632或作为另一合适形式。在任何情况下，控制器630可被配置为定义用于系统101(见图1)的用户的规则，其中，规则与每个用户的相应id以及与每个用户相关联的已建立的标准相关联，以用于操作锁定元件401。规则可例如阐述系统101的一个或多个用户被授权相对于一个或多个计算资源110操纵(即，拔插或插入)一个或多个电缆321的时间。因此，控制器630可以使得对应的锁定元件401的锁定特征410在那些时间期间采取解锁条件。即，控制器630有效地使每个锁定元件401的锁定特征410根据用户的相应id和为每个用户建立的标准采取锁定和解锁条件之一。
38.根据本发明的实施例，计算资源110可以被提供为服务器，在所述服务器中经由hmc631和se632执行不同系统管理操作。这样的系统管理操作的示例是配置管理。本发明涉及用于初始化、配置、定制和维护硬件(包括输入/输出(i/o)资源(网络、存储等))的技术、资源和工具。hmc631和se632两者可以配置有用于定义给hmc631的第一组用户和定义给se632的第二组用户的用户管理接口。第一用户集和第二用户集具有定义他们被允许关于计算资源做什么操作(或任务)的相关联的特权级。
39.参考图7，提供了操作计算资源(诸如本文所述的计算资源110)的锁定组件的方法。该方法包括可以作为计算资源110的os级或更高级执行的操作。如图7所示，该方法包括确定操作人员是否被授权相对于计算资源操纵电缆(方框701)。该方法还包括：在确定指示操作人员未被授权将电缆从计算资源拔掉或将电缆插入计算资源中的情况下，命令致动器使锁定组件的锁定特征采取锁定状态以防止电缆从计算资源拔掉或插入计算资源中(方框702)。此外，该方法包括如果确定指示操作者被授权从计算资源拔掉线缆或将线缆插入计算资源，则命令致动器使锁定组件的锁定特征采取解锁状态以允许电缆从计算资源拔掉或插入计算资源(方框703)。
40.根据本发明的示例性实施方式，“hmc用户”和“se用户”可以被定义为具有与它们的用户id相关联的规则，这些规则将基于与它们中的每个相关联的“电缆标准”锁定或解锁电缆。例如，“hmc用户”admincasey可以被准许在一天的某些小时之间(周五到周日)移除或插入用于某个计算资源的某个卡的电缆。不允许这个“hmc用户”、admincasey在一周的任何其他时间或一天将电缆移除或插入到用于某个计算资源的其他卡中。此外，“hmc用户”admincasey不被允许在任何其他计算资源中将线缆移除或插入到任何其他物理端口中。因此，当“hmc用户”，admincasey，在周六上午4点成功地登录hmc 631时，他或她将能够成功地发布电缆命令以解锁他或她被授权的电缆锁。然而，如果“hmc用户”，admincasey，发出在任何其他位置解锁任何其他电缆的电缆命令，电缆锁将不解锁，因为不允许他或她解锁或锁定这些电缆。类似的方案可以用于se用户。
41.现代软件系统通常严重依赖于不同认证方法来减轻安全风险和数据完整性问题。
此概念的传统实施例严格地存在于保护诸如账号、密码和其他敏感信息之类的资产的软件域内。为了获得对这些资产的访问，存在各种各样的技术，诸如pin、口令、加密和生物计量。现有实现(诸如访问锁定的移动设备)将向底层os或安全产品传递标识信息，以向期望的资源认证用户。
42.参考图8，系统801被提供并且可以包括一个或多个安全资源810，诸如计算资源或保险箱或一些其他类似元件、类似于上述锁定元件401的锁定元件820以及类似于上述控制器630的控制器830。控制器830接受指令831以授权用户解锁一个或多个安全资源810中的一个或多个。控制器830进一步被配置为根据指令831执行用户的os级认证和一个或多个锁定元件401的os级控制以授权用户和os级认证。
43.如图8所示，指令831从外部通信接收，并且可经由访问控制系统或服务(acss)接口832和改变模式(chmod)接口833中的一个或多个接收。指令810可以是时间敏感和条件依赖中的一个。用户的os级认证可以由控制器830在指纹和识别码验证元件8301和8302处执行指纹和识别码os级认证中的一个或多个来执行。一个或多个锁定元件82的os级控制可以由控制器830执行，由此控制器830致使一个或多个锁定元件820根据请求用户被指令831授权以授权用户和被控制器830的os级认证认证而采取相应的解锁条件。
44.图8的系统801的示例可以在保险箱上的物理锁中看到，该保险箱通过如上所述的基于软件的缓解系统被控制和监测。在尝试被批准或拒绝之前，访问保险箱内的资源的所有请求将需要被注册和认证。如果用户希望解锁保险箱，他们将需要向控制os传递适当的标识(如指纹、识别码等)，然后控制os评估信息并且如果用户拥有正确的权限则打开锁。该概念也可以被外推到其他物理资源，包括输入/输出(i/o)端口、存储设备和通信卡。可以向公司中的雇员授予添加或移除设备的临时授权。该权限可以是时间敏感的，以便仅在雇员轮班期间或在紧急情况(诸如系统中断或其他关键情况)期间限制访问。管理员或其他授权用户将被要求经由诸如acss或chmod的控制操作系统中的标准接口来授权这些用户。具有额外的物理信息保护将防止和减轻来自试图对一组资源造成物理危害或试图窃取信息的恶意用户和不满员工的未授权访问。
45.参考图9，提供了操作系统(诸如图8的系统801)的方法。如图9所示，该方法包括控制锁定元件采取锁定条件，由此相应的安全资源被锁定元件锁定(框901)，接收授权用户解锁一个或多个安全资源的指令(框902)，以及接收从用户接收解锁并由此获得对一个或多个安全资源访问的请求(框903)。该方法还包括确定用户是否被授权解锁并由此获得对与请求相关联的安全资源中的一个或多个的访问(框904)，执行用户的操作系统(os)级认证(框905)，以及根据用户被确定为被授权和认证来执行相应的锁定元件的os级控制(框906)。
46.随着对内容和服务的需求持续增长，在数据中心和其他计算中心中利用了更多的机器和资源。在这些领域中常见的问题是，机器发生故障，并且需要快速地安装和配置替换物，以保持终端用户的可用性。随着机器被添加和移除到一致工作的设备的大型网络，需要电线和电缆来实现适当的通信。在对这些机器的维护和更新期间，有时移除不正确的电线或者向不正确的端口添加一个电线，导致停电、延迟和其他损坏。
47.因此，参考图10，图8的系统801可以被扩展为包括一个或多个资源，如保险箱1001和计算资源1002，其中该一个或多个资源中的每一个包括多个独立安全资源，如保险箱
1001的单独的内部1003和可插入计算资源1002的端口、存储装置或通信卡1004中的电力和数据通信电缆中的一个或多个。根据本发明的实施例，保险箱1001的指令831(参见图8)可以涉及一个或多个但不一定所有单独的内部1003的锁，并且计算资源1002的指令831(参见图8)可以类似地涉及计算资源1002的一个或多个但不一定所有不同部件。在图10的资源的情况下，图8的系统801与上述基本相似地操作。
48.根据本发明的示例性实施例，在安全资源上的物理访问端口可被仅可通过基于软件的系统(诸如acss或chmod)的授权而被移除的物理锁和风险缓解系统防护。使用情况可以是需要在服务器和通信路由器之间替换通信电缆。系统管理员可以通过仅解锁服务器上的所需端口来授权特定用户移除特定电缆。这将防止与服务器上的健康通信的意外或恶意断开，因为物理锁或引脚将限制对与期望服务器接口连接的其他资源和设备的访问。结果是在测试楼层或数据中心内操作的设备的可靠性和安全性的增加，在测试楼层或数据中心中配置不断改变并且维护一直在进行。
49.随着对计算能力和数据存储的要求增加，云提供者越来越多地依赖于包括各种工具和机器的数据中心。每个独特的工具或设备通常需要熟练的技术人员或员工管理和配置它以用于最佳使用，因此客户接收可靠和安全的服务。通常实施多种安全措施以防止对敏感资源的未授权访问。每个资源通常具有用户必须认证以管理系统的适当的唯一保护。这通常导致冗余的认证步骤和损失的时间，因为授权雇员必须在系统之间跳跃以执行所需维护时从头开始过程。
50.参照图11，可提供公共接口1101以用于与上述控制器630或控制器830以及独立于控制器630或830以及彼此的附加控制器1102一起使用。控制器630或830以及附加控制器1102绑定至公共接口1101并且公共接口1101被配置为认证用户。为此，公共接口1101可体现在管理程序或复用器中，并且可包括图形用户界面(gui)1110和物理认证接口1120中的一个或多个，其又可包括射频识别标记接口1121和指纹识别设备1122中的一个或多个。在这些或其他情况下，控制器630或830被配置为至少根据公共接口1101对用户的认证来执行锁定元件的os级控制。
51.参考图12，提供了操作系统(诸如图1的系统101或图8的系统801)的方法。如图12所示，该方法包括：控制锁定元件采取锁定条件，由此相应的安全资源被锁定元件锁定(块1201)；接收授权用户解锁一个或多个安全资源的指令(块1202)；从用户接收解锁并由此获得对一个或多个安全资源的访问的请求(块1203)；以及确定用户是否被授权解锁并由此获得对与请求相关的一个或多个安全资源的访问(块1204)。此外，该方法包括从公共接口接收用户认证的指示(框1205)，并且根据用户被确定为被授权并且接收到用户认证的指示来执行对应锁定元件的os级控制(框1206)。
52.由公共接口1101提供的os级认证允许授权用户认证一次以获得对所有必要资源的访问。这将例如允许系统管理员在数据中心内的多个系统上对接的线缆或通信设备上执行维护。如果未经授权或不满员工试图访问资源，那么物理锁和安全装置将阻止其移除或改变跨越这些敏感资源的电缆和连接。只有授权用户将被允许根据系统管理员的判断在数据中心内重新布线和维护设备。
53.许多设备现在结合基于硬件的认证方案以在访问某些资源时最小化漏洞和安全风险。例如，大多数现代移动设备采用诸如指纹扫描仪或面部识别软件之类的生物计量来
对设备的内容进行特定用户认证。这些度量通常倾向于与安全产品接口连接以准许或拒绝对特定软件资源(如银行账户信息和其他敏感数据)的访问。许多有形资产也可以通过生物计量或其他物理保护(诸如射频识别标记(rfid badging))来保护。这些系统往往脱离独立或专有验证系统，这些验证系统通常具有延迟响应或例如尾随穿过带徽章的锁着的门的简单工作。
54.参照图13，可以提供物理认证接口1301以用于与上述控制器630或控制器830一起使用。在这些或其他情况下，物理认证接口1301可以被配置为启用或禁用控制器630或830执行os级认证的能力。根据本发明的实施例，物理认证接口1301可包括射频识别标记认证接口1310和生物特征(诸如指纹识别设备1320)中的一个或多个。
55.参照图14，提供了操作系统(诸如图1的系统101或图8的系统801)的方法。如图14所示，包括控制锁定元件采取锁定条件，由此相应的安全资源被锁定元件锁定(块1401)，接收授权用户解锁一个或多个安全资源的指令(块1402)，从用户接收解锁并由此获得对一个或多个安全资源的访问的请求(块1403)，以及确定用户是否被授权解锁并由此获得对与请求相关的一个或多个安全资源的访问(块1404)。此外，该方法包括通过例如从物理认证接口接收os级认证能力的指示(框1405)、在os级认证能力被启用的情况下执行用户的os级认证(框1406)以及根据用户被确定为被授权和认证来执行对应锁定元件的os级控制(框1407)来确定os级认证能力被启用或禁用。
56.参考图15和图16，并且根据本发明的实施方式，锁定特征410和致动器420中的至少一个可以设置在壳体116的外部。在此，再次，每个电缆321可以包括插头320、连接器主体3201和接收特征3202。连接器主体3201可以从插头320向外并且横向地延伸，并且接收特征3202可以形成为凹穴3204。利用该构造或类似构造，当插头320被插入到插头接收器310中时，容纳特征3202被布置为邻近壳体116的面向外部的表面。锁定特征410被配置为采取锁定状态或解锁状态。在锁定条件下，锁定特征410与凹穴3204接合，使得电缆321被锁定到计算资源110并且不能被拔出(见图15)。可替换地，在锁定状态中，锁定特征410阻挡容纳特征3202的通过，使得锁定特征410有效地防止插头320被插入到插头接收器310中。在解锁状态下，锁定特征410与口袋3204脱离接合，使得电缆321从计算资源110解锁并且可被拔掉(见图16)。可替换地，在解锁状态中，锁定特征410允许容纳特征3202通过，使得锁定特征410有效地允许插头320插入到插头接收器310中。
57.致动器420耦接至锁定特征410并且被配置为控制锁定特征410以采取锁定和解锁状态中的一个。根据本发明的实施例，致动器420可以设置为线性致动器或旋转致动器4201，如图15和16所示。在致动器420被提供为旋转致动器4201的情况下，旋转致动器4201可以包括延伸到壳体116的外部的输出轴610和物理锁定特征620。物理锁定结构610在壳体116的外部处耦接到输出轴610，并且被配置为与线缆321的接收结构3202接合(以将线缆321锁定就位或防止线缆321的插入)。旋转致动器4201被配置成使输出轴610在第一和第二相反方向上旋转以便相对于凹穴3204旋转地移入或移出锁定位置和解锁位置。
58.本文参考相关附图描述了本发明的各种实施例。在不脱离本发明的范围的情况下，可设计本发明的替代实施例。在以下描述和附图中，在元件之间阐述了各种连接和位置关系(例如，上方、下方、相邻等)。除非另有规定，否则这些连接和/或位置关系可以是直接或间接的，并且本发明在此方面并示意图是限制性的。因此，实体的连接可以指直接的或间
接的连接，并且实体之间的位置关系可以是直接的或间接的位置关系。此外，本文描述的各种任务和过程步骤可以并入具有本文未详细描述的附加步骤或功能的更全面的程序或过程中。
59.本文描述的一种或多种方法可以用任何以下技术或以下技术的组合来实现，每个技术都是本领域公知的：具有用于对数据信号实现逻辑功能的逻辑门的分立逻辑电路、具有适当组合逻辑门的专用集成电路(asic)、可编程门阵列(pga)、现场可编程门阵列(fpga)等。
60.为了简洁起见，涉及制造和使用本发明的方面的常规技术可以或可以不在本文中详细描述。具体地，用于实现本文所描述的不同技术特征的计算系统和特定计算机程序的各个方面是众所周知的。因而，为了简洁起见，许多常规实施细节在本文中仅简要提到或完全省略，而不提供众所周知的系统和/或过程细节。
61.在一些实施例中，各种功能或动作可以在给定位置处发生和/或与一个或多个装置或系统的操作结合发生。在一些实施例中，可以在第一设备或位置处执行给定功能或动作的一部分，并且可以在一个或多个附加设备或位置处执行该功能或动作的剩余部分。
62.本文中使用的术语仅用于描述具体实施方式的目的，而并非旨在进行限制。如本文中使用的，除非上下文另有明确指示，否则单数形式“一”、“一个”和“该”旨在也包括复数形式。还应当理解，当在本说明书中使用术语“包括(comprises)”和/或“包含(comprising)”时，其指定所述特征、整体、步骤、操作、元件和/或部件的存在，但不排除一个或多个其他特征、整体、步骤、操作、元件部件和/或其组合的存在或添加。
63.以下权利要求中的所有装置或步骤加上功能元件的对应结构、材料、动作和等效物旨在包括用于结合如具体要求保护的其他要求保护的元件来执行所述功能的任何结构、材料或动作。本公开已出于说明和描述的目的而呈现，但并不旨在是详尽的或限于所公开的形式。在不背离本公开的范围的情况下，许多修改和变化对于本领域普通技术人员来说是显而易见的。选择和描述这些实施例以便最好地解释本披露的原理和实际应用，并且使本领域的其他普通技术人员能够针对具有适合于所预期的特定用途的不同修改的不同实施例来理解本披露。
64.此处所描绘的图是说明性的。在不背离本公开的范围的情况下，可以对本文所述的图或步骤(或操作)进行许多变化。例如，可以以不同的顺序执行动作，或者可以添加、删除或修改动作。而且，术语“耦接”描述了在两个元件之间具有信号路径，并且不暗示元件之间的直接连接，其间没有中间元件/连接。所有这些变型被认为是本公开的一部分。
65.以下定义和缩写将用于解释权利要求书和说明书。如在此使用的，术语“包括”(comprises)、“包含”(comprising)、“包括”(includes)、“包括”(including)、“具有”(has)、“具有”(having)、“含有”(contains)或“含有”(containing)或其任何其他变体旨在涵盖非排他性的包括。例如，包含一系列要素的组合物、混合物、工艺、方法、物品或设备不必仅限于那些要素，而是可以包括未明确列出的或这种组合物、混合物、工艺、方法、物品或设备固有的其他要素。
66.此外，术语“示例性的”在本文中用于表示“用作实例、例子或例证”。本文中描述为“示例性”的任何实施方式或设计不一定被解释为优于或优于其他实施方式或设计。术语“至少一个”和“一个或多个”应理解为包括大于或等于一的任何整数，即。一个、两个、三个、
四个等。术语“多个”应理解为包括大于或等于二的任何整数，即。两个、三个、四个、五个等。术语“连接”可以包括间接“连接”和直接“连接”两者。
67.术语“约”、“基本上”、“大致”及其变型旨在包括与基于提交申请时可用的设备的特定量的测量相关联的误差程度。例如，“约”可以包括给定值的
±
8％或5％、或2％的范围。
68.本发明可以是任何可能的技术细节集成度的系统、方法和/或计算机程序产品。计算机程序产品可包括其上具有用于使处理器执行本发明的各方面的计算机可读程序指令的计算机可读存储媒质(或多个媒质)。
69.计算机可读存储媒体可为可保留和存储供指令执行装置使用的指令的有形装置。计算机可读存储媒质可以是，例如但不限于，电子存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备、或者上述的任意合适的组合。计算机可读存储媒质的更具体示例的非穷尽列表包括以下各项：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式紧凑盘只读存储器(cd-rom)、数字通用盘(dvd)、记忆棒、软盘、诸如穿孔卡之类的机械编码设备或具有记录在其上的指令的槽中的凸出结构、以及上述各项的任何合适的组合。如本文所使用的计算机可读存储媒体不应被解释为暂时性信号本身，例如无线电波或其他自由传播的电磁波、通过波导或其他传输媒体传播的电磁波(例如，穿过光纤电缆的光脉冲)或通过电线发射的电信号。
70.本文中所描述的计算机可读程序指令可以经由网络(例如，互联网、局域网、广域网和/或无线网络)从计算机可读存储介质下载到相应的计算/处理设备，或者下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光传输纤维、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配器卡或网络接口接收来自网络的计算机可读程序指令，并转发计算机可读程序指令以存储在相应计算/处理设备内的计算机可读存储媒质中。
71.用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、集成电路的配置数据、或以一种或多种程序设计语言的任何组合编写的源代码或目标代码，这些程序设计语言包括面向对象的程序设计语言(诸如smalltalk、c 等)和过程程序设计语言(诸如“c”程序设计语言或类似程序设计语言)。计算机可读程序指令可以完全地在用户计算机上执行、部分在用户计算机上执行、作为独立软件包执行、部分在用户计算机上部分在远程计算机上执行或者完全在远程计算机或服务器上执行。在后一种情况下，远程计算机可通过任何类型的网络(包括局域网(lan)或广域网(wan))连接至用户计算机，或者可连接至外部计算机(例如，使用互联网服务提供商通过互联网)。在一些实施例中，包括例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)的电子电路可以通过利用计算机可读程序指令的状态信息来使电子电路个性化来执行计算机可读程序指令，以便执行本发明的各方面。
72.下面将参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。
73.这些计算机可读程序指令可被提供给通用计算机、专用计算机或其他可编程数据
处理装置的处理器以产生机器，使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现在流程图和/或框图的或多个框中指定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储媒质中，这些指令使得计算机、可编程数据处理装置、和/或其他设备以特定方式工作，从而，其中存储有指令的计算机可读存储媒质包括包含实现流程图和/或框图中的或多个方框中规定的功能/动作的方面的指令的制造品。
74.也可以把计算机可读程序指令加载到计算机、其他可编程数据处理装置、或其他设备上，使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤，以产生计算机实现的处理，使得在计算机、其他可编程装置或其他设备上执行的指令实现流程图和/或框图中的或多个方框中规定的功能/动作。
75.附图中的流程图和框图示出了根据本发明的不同实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。对此，流程图或框图中的每个框可表示指令的模块、段或部分，其包括用于实现指定的逻辑功能的一个或多个可执行指令。在一些备选实现中，框中标注的功能可以不按照图中标注的顺序发生。例如，取决于所涉及的功能，连续示出的两个块实际上可以基本上同时执行，或者这些块有时可以以相反的顺序执行。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作或执行专用硬件与计算机指令的组合的专用的基于硬件的系统来实现。
76.已经出于说明的目的呈现了本发明的各种实施方式的描述，但并不旨在是详尽的或者限于所公开的实施方式。在不脱离所描述的实施例的范围的情况下，许多修改和变化对于本领域普通技术人员来说是显而易见的。本文使用的术语被选择来最好地解释实施例的原理、实际应用或优于市场中发现的技术的技术改进，或者使得本领域普通技术人员能够理解本文描述的实施例。