集中配置的IT策略的即时实施的制作方法

集中配置的it策略的即时实施


背景技术：

1.计算机和计算系统几乎影响了现代生活的方方面面。计算机一般用于工作、娱乐、保健、交通、娱乐、家务管理等。
2.此外，可以通过计算系统经由网络连接互连到其他计算系统的能力来增强计算系统功能。网络连接可以包括但不限于通过有线或无线以太网的连接、蜂窝连接、甚至通过串行、并行、usb或其他连接的计算机到计算机的连接。这些连接允许计算系统访问其他计算系统处的服务，并快速有效地从其他计算系统接收应用数据。例如，实体可以被配置为从资源提供商访问资源，其中资源提供商是远程计算系统。为了获得对这些资源的访问，该实体通常将与标识提供商进行认证，以接收访问令牌和刷新令牌，其中访问令牌可以在对资源的请求中呈现给资源提供商。如果访问令牌有效，则在资源提供商和提供资源的实体之间创建已认证的会话。
3.特别地，针对组织的it管理策略通常集中配置在该组织使用的标识提供商上。然后，当发布用于确认用户标识的认证工件(例如，访问令牌)时，该策略由标识提供商强制执行。在向用户颁发访问令牌之前，标识提供商将评估管理策略，以确保用户的遵从性。如果用户遵守策略，则向该用户颁发访问令牌。然后将访问令牌传递给资源提供商，该资源提供商基于访问令牌中的信息授予资源访问。在访问令牌发出之后，直到它到期，标识提供商无法根据用户安全状态的变化更新资源提供商。例如，如果用户的雇用已经终止，则用户将继续访问资源，直到用户的访问令牌到期。
4.例如，访问令牌通常由标识提供商颁发，其中访问令牌的有效期为一小时。因此，当实体可以获得对资源的访问时，可能存在一个小时的时间范围，此时实体不应该在资源提供商处访问资源。
5.一些解决方案是减少访问令牌有效性时间。然而，这只会缩短未经授权的实体访问资源的时间长度。此外，这有导致网络流量急剧增加的负面缺点。例如，如果有效期从1小时减少到10分钟，那么在认证实体和标识提供商之间进行认证的网络流量将相应增加600％。
6.本文所要求保护的主题不限于解决任何缺点或仅在诸如上述环境中操作的实施例。相反，提供该背景仅是为了说明一个示例性技术区域，其中可以实践本文描述的一些实施例。


技术实现要素：

7.本文所示的一个实施例包括一种方法，该方法包括用于管理已认证的用户会话的动作。该方法包括资源提供商计算机系统为被配置为通过用户会话从资源提供商计算机系统获得资源的实体订阅条件访问终止服务。资源提供商计算机系统从条件访问终止服务接收与实体的资源请求相关的事件。资源提供商计算机系统从实体接收对资源的请求。资源提供商计算机系统相对于事件评估请求。资源提供商计算机系统基于相对于事件评估请求来响应请求。
8.提供本概要是为了以简化的形式引入概念的选择，这些概念在下面的详细描述中进一步描述。本概要不是为了标识所要求保护的主题的关键特征或基本特征，也不是为了用于确定所要求保护的主题的范围的辅助。
9.附加的特征和优点将在下面的描述中阐述，并且部分地从描述中将是显而易见的，或者可以通过本文的教导的实践来学习。本发明的特征和优点可以通过所附权利要求中特别指出的仪器和组合来实现和获得。本发明的特征将从下面的描述和所附的权利要求中变得更加明显，或者可以通过如下所述的本发明的实践来了解。
附图说明
10.为了描述可获得上述和其他优点和特征的方式，将参考在附图中示出的特定实施例来呈现对上述简要描述的主题的更具体描述。理解这些附图仅描述了典型的实施例，因此不应被认为在范围上是限制性的，将通过使用附图以额外的具体性和细节来描述和解释实施例，其中：
11.图1示出了各种计算机系统的交互，以实现事件驱动的it策略执行；
12.图2示出了管理已认证的用户会话的方法；
13.图3a、图3b、图3c和图3d示出了用于为资源提供商提供同意以订阅实体的条件访问终止服务的各种模式；
14.图4示出了管理已认证的用户会话的方法；和
15.图5示出了可以实践实施例的计算系统。
16.具体实施方式至此
17.本文说明的实施例能够实现所谓的it策略的“即时实施”。也就是说，存在一个技术问题，即由于未经授权的实体使用未过期的访问令牌访问它们不应该再有权访问的资源，系统容易受到未经授权的访问。此外，当系统试图缩短访问令牌有效时间时，存在增加通信量的技术问题。通常，配置资源提供商以强制执行策略是不可行的，因为这样做会影响企业系统的可伸缩性。特别地，在任何时候存在策略更改或任何时候存在需要撤销用户会话的更改时，重新配置资源提供商在计算资源和管理员资源方面都是昂贵的。随着这种系统中资源提供商数量的增加，计算资源和管理员资源的成本成比例地增加。因此，要求重新配置每个资源提供商计算机系统的系统必然需要限制可实现的资源提供商计算机系统的数量。此外，要求重新配置每个资源提供商将需要一个能够以允许重新配置的方式跟踪和管理所有资源提供商的系统。此外，要求重新配置每个资源提供商实际上可能比简单地允许令牌过期花费更多的时间，从而否定通过重新配置资源提供商计算机系统实现的任何好处。因此，需要这样的系统：允许将高度可伸缩数量的资源提供商添加到企业系统中，同时仍然能够解决使未过期令牌无效的需要。这在基于云的系统中尤其重要，在这些系统中可以快速添加资源提供商，除非外部约束(如上面所示)被放置在系统上。
18.本文所示的实施例可以实现一种技术解决方案，该技术解决方案立即(或至少非常快速)通知资源提供商实体对资源的潜在访问问题。这在一些实施例中通过条件访问终止服务(conditional access termination service)的技术手段来实现。具体地，该技术手段包括允许资源提供商接收与试图从资源提供商接收资源的实体相关的事件。在一些实施例中，这可以作为资源提供商订阅条件访问终止服务以接收事件的结果而发生。可以根
据对资源的请求在资源提供商处评估这些事件，以确定应该针对来自实体的对资源的请求采取的操作。这允许以仍然允许相对于资源提供商的可伸缩系统的方式向资源提供商提供策略相关信息。特别地，不需要跟踪和重新配置单个服务器，而是每个资源提供商都可以根据那些事件中的策略考虑而订阅接收事件。
19.例如，实施例可以包括可以向资源提供商传送策略信号的系统，资源提供商然后可以做出关于撤销现有会话和将用户重定向回标识提供商以进行策略重新评估的决定。
20.例如，一些实施例可以检测影响用户帐户安全性的变化。这些变化可以包括但不限于：
21.1.帐户状态更改：凭据更改、帐户禁用或删除、策略或组成员资格更改、帐户风险增加等。
22.2.设备状态变化：设备不合规、有病毒等。
23.3.会话状态变化：会话被撤销、会话风险增加等。
24.在检测到这种变化时，条件访问终止服务(在一些实施例中，该服务可以作为标识提供商的一部分而被包括)将向订户发布事件。感兴趣的资源提供商将订阅这些事件。在接收用户的事件时，资源提供商将撤销用户的现有会话，并将用户重定向回标识提供商。
25.在某些情况下，资源提供商需要在一种情况下重定向：例如，如果用户的设备上有病毒，则只有从受感染的设备启动的会话才会受到影响。因此，包括在事件中的条件可以是基于设备的条件。如果实体使用事件中指示的设备向资源提供商请求资源，则该实体将被重定向到标识提供商。在一些实施例中，标识提供商将重新评估用户的策略，并且将在重新认证用户的标识之后重新发布访问令牌，向用户显示补救步骤(例如，从设备中删除病毒)或完全阻止用户。
26.现在参考图1，示出了一个示例。图1示出了实体102。在所示示例中，实体102可以包括用户以及由用户使用的设备和相关联的客户端。实体102可能需要访问来自资源提供商104的资源。为了获得对资源的访问，该实体将首先与标识提供商106进行认证。实体102可以通过多个不同的公知认证和访问令牌发行方案、其他不太公知的认证方案或甚至有待开发的未来认证方案中的任何一个向标识提供商106认证。可以说，在图1所示的特定示例中，实体102从标识提供商106接收访问令牌108和刷新令牌110。
27.访问令牌108通常包括指示何时发布访问令牌的时间戳。访问令牌108可可选地或附加地包括指示访问令牌108何时过期的信息。在一些实施例中，访问令牌108可以包括关于实体102用于向标识提供商106进行认证的认证过程的信息。例如，访问令牌108可以指示访问令牌108是由使用简单用户标识和秘密认证协议向标识提供商认证的实体102获得的。一个常见的协议是口令认证协议，标识是用户名，秘密是口令。可选地或附加地，如果使用双因素认证向标识提供商106认证实体102，则可以在访问令牌108中指示这一点。可选地或附加地，如果使用一定强度的密码向标识提供商认证实体102，则这种信息可以在访问令牌108本身中指示。例如，访问令牌可以指示用于对标识提供商进行认证的密码的最小长度、用于对标识提供商进行认证的密码中特殊字符的使用、用于对标识提供商进行认证的密码中大写和小写字母的使用、用于对标识提供商进行认证的密码中没有通用密码或其他单词等。
28.在一些实施例中，访问令牌108将用于特定用户以及特定用户使用的客户端。因
此，在该示例中，实体102包括用户和用户使用的客户端两者。例如，用户可以使用具有相应膝上型计算机客户端的膝上型计算机来执行认证和资源请求。因此，访问令牌108可以包括关于实体102的膝上型计算机客户端的信息。可选地，用户可以使用智能电话来执行认证，在这种情况下，使用相应的智能电话客户端来执行认证和执行资源请求，这意味着访问令牌108将用于包括使用智能电话客户端的用户的实体102。如下面将更详细地说明的，该附加信息可由资源提供商104用于评估在由条件访问终止服务提供的事件中指示的某些条件。
29.再次返回到图1所示的示例，实体102可以在来自资源提供商104的对资源的请求中向资源提供商104提供访问令牌108。资源提供商104可以评估访问令牌以确定实体102已经被正确地认证到标识提供商106，并且访问令牌108在其他方面是有效的。特别地，访问令牌108可以具有到期时间，并且资源提供商104可以确定访问令牌108尚未到期。通常，只要该访问令牌108的评估通过各种检查，那么资源112将被提供给实体102。然而，本文示出的实施例可以实现关于实体102对资源提供商104的请求111的附加检查。
30.具体地，图1示出了资源提供商104可以订阅条件访问终止服务114。在一些实施例中，条件访问终止服务114可以包括在标识提供商106中。例如，可以实现在同一中心位置配置和管理策略的实施例。因此，实施例可以包括标识提供商106，其包括作为标识提供商106的一部分的条件访问终止服务114。
31.在替代实施例中，条件访问终止服务114可以独立于标识提供商106来实现。例如，实施例可能仍然能够实现集中式条件访问终止服务，但该服务与标识提供商106分离。在一些实施例中，条件访问终止服务114可以与策略服务器相关联，该策略服务器包括所设置的策略和实施所设置的策略的能力。在所示的示例中，资源提供商104向条件访问终止服务114发送订阅请求116。资源提供商订阅与实体102相关的事件。如图1所示，事件118可以关于实体102从条件访问终止服务114发布到资源提供商104。
32.如前所述，事件可能由于帐户状态变化、设备状态变化、客户端状态变化、会话状态变化等而被触发。例如，策略服务可以在策略服务处检测与策略相关的变化。
33.通常，事件将包括以下一个或多个：实体信息、条件、时间戳和操作。
34.包括在事件中的实体信息可以包括标识实体102的特定用户的信息、实体102的设备信息、实体102的客户端信息、实体102的用户角色信息(例如，用户是否充当管理员或其他特殊权威用户)、实体102的成员资格信息等。
35.包括在事件中的条件信息可以包括一个或多个应被评估以确定是否应采取特定动作的条件。
36.事件中包括的时间戳可以指示事件发布的时间(或其他重要时间)。可选地或附加地，事件可以包括标识应被有条件地评估的时间的时间戳。
37.事件中包含的操作指示应该对该事件采取的操作。值得注意的是，在一些实施例中，动作是有条件的，这意味着只有在满足某些条件时才应该采取某些动作。
38.现在举例示出了各种示例。
39.如上所述，在一些实施例中，事件118可以基于设备状态改变从条件访问终止服务114发布到资源提供商104。具体地，可以将对实体102的设备的改变通知条件访问终止服务114。这可以通过实体102向特定管理服务注册、实体102的周期性消息、关于实体102所使用
的类型的设备已经普遍改变的一般知识或以其他方式来促进。因此，应当注意，条件访问终止服务114可以通过各种互连连接到其他系统，这些系统可以提供关于实体102的设备状态变化的信息，从而可以发布适当的事件118。
40.下面示出了一个特定的场景，该场景示出了设备状态更改的一个示例。在本例中，管理员配置了一个策略，要求一个符合(因为它符合系统策略)和健康(因为它在某些预定义的功能标准内运行)的设备作为数据访问的条件。标识提供商106将使应用会话与设备id相关联的能力扩展到资源提供商。条件访问终止服务114(在这种情况下是策略服务器)了解到用户的设备已经不符合规定、具有病毒或以其他方式未能满足策略。结果，策略服务器向该用户的订户(例如，资源提供商104)发布事件118。该事件包含订户为遵守策略而需要执行的条件操作。在本例中，条件是不合规设备的设备id。
41.如上所述，在一些实施例中，可以基于对客户端应用的改变，将事件118从条件访问终止服务114发布到资源提供商104。具体地，可以由策略服务器(例如条件访问终端114)检测到对客户端应用的改变，并且作为结果，可以将一个或多个事件发送到诸如资源提供商104的资源提供商。对客户端应用的这种改变可以包括对客户端应用的更新(例如，新版本)、对客户端应用的配置改变、管理员的撤销等。
42.下面示出了客户端应用更改场景的详细示例。在这个场景中，管理员已经从租户的可信应用列表中移除了某个客户端应用(其中在这个示例中，租户是实体102)。策略服务器(例如，作为或与条件访问终止服务114一起实现的策略服务器)向该实体102的订户(例如，资源提供商104)发布一个或多个事件118。事件118中的至少一个事件包含订户需要执行的动作，以遵守用于移除的应用的策略和客户机id。
43.如上所述，在一些实施例中，可以基于用户状态改变将事件118从条件访问终止服务114发布到资源提供商104。例如，这种更改可能基于对用户属性的更改。例如，如果密码被重置或改变，则可以发出一个或多个事件118。可选地或附加地，如果禁用或删除用户帐户，则可以发出一个或多个事件118。可选地或附加地，如果检测到受损用户等，则可以发出一个或多个事件118。
44.如上所述，在一些实施例中，可以基于会话状态改变将事件118从条件访问终止服务114发布到资源提供商104。例如，管理员可以撤消用户会话。可选地或附加地，策略服务器可以检测会话的风险级别的增加。例如，由于检测到设备在特定网络上、位于特定位置、异常输入正在设备处输入、或者仅仅是风险条件已经普遍增加，或者基于其他检测到的事件，可以检测到这种增加的风险。
45.如上所述，在一些实施例中，可以基于策略状态改变将事件118从条件访问终止服务114发布到资源提供商104。例如，管理员可以改变用户的成员资格或角色，导致发出一个或多个事件118。
46.当要发布事件时(如上面的示例中所示，或者出于其他原因)，策略服务器(例如由条件访问终止服务114所示)向该用户的订户(例如，资源提供商104)发布一个或多个事件118。注意，虽然图1中示出了单个资源提供商订户，但应该理解，多个订户可以订阅特定实体的相关事件。请注意，该事件可以由订阅发布服务以选择性的方式向多个订阅发出。也就是说，在一些实施例中，订户将只接收与他们相关的事件。因此，一些事件将被发送到一个实体的所有订户，而其他事件将只发送到相关的订户。在其他实施例中，所有事件被发送到
实体的所有订户，并且确定事件是否与资源提供商相关的负担被推到资源提供商。
47.事件118包含订户为了遵守特定策略而需要执行的动作。例如，在事件中指定的动作可以包括撤销会话和将用户重定向回标识提供商106。可选地或附加地，在事件中指定的动作可以包括阻止对某些资源(或资源类型)的访问或提供对某些资源(或资源类型)的有限访问(例如，只读)。可选地或附加地，可以在事件中包括条件，使得包括在事件中的动作可以包括撤销会话以及如果满足条件则将用户重定向回标识提供商106等。
48.在一些实施例中，事件118包含时间戳。在一些实施例中，由于程序性事件处理协议，包括在事件本身中或在所有事件上实现的条件仅当访问令牌是在特定事件被评估之前发出时才使事件118中的动作被执行。例如，在一个实施例中，资源提供商104将一个或多个事件118中的时间戳与发布访问令牌108的时间进行比较，并且仅当访问令牌在事件中的时间戳之前发出时才应用事件118中的动作。
49.在重定向时，标识提供商106可根据策略设置执行各种动作，例如向用户显示合适的消息、提示用户进行更强的授权、向用户发行具有“限制访问”声明的新访问令牌，该声明可由资源提供商104用于限制对敏感数据的访问，或其组合。
50.下面的讨论现在涉及一些可能执行的方法和方法行为。尽管可以以特定顺序讨论该方法动作或在流程图中说明以特定顺序发生，但除非特别说明，否则不需要特定顺序，或者因为一个动作依赖于在该动作被执行之前完成的另一个动作而需要特定顺序。
51.现在参考图2，示出了方法200。方法200包括用于管理已认证的用户会话的动作。该方法包括为被配置为通过用户会话从资源提供商获得资源的实体订阅条件访问终止服务的资源提供商计算机系统(动作202)。例如，图1示出了订阅条件访问终止服务114的资源提供商104。
52.资源提供商计算机系统从条件访问终止服务接收实体的事件(动作204)。例如，图1示出了事件118。
53.资源提供商计算机系统从实体接收对资源的请求(动作206)。例如，图1示出包括访问令牌108或至少与访问令牌108相关联的请求111。
54.资源提供商计算机系统评估关于事件的请求(动作208)。
55.资源提供商计算机系统基于评估关于事件的请求来响应请求(动作210)。
56.可以实践方法200，其中事件包括用户信息、条件、时间戳或动作中的至少一个。
57.可以实践方法200，其中事件包括指示应该由资源提供商相对于实体执行的动作的动作。例如，这样的动作可以包括撤销用户会话和将实体重定向到标识提供商以进行重新认证。可选地，该动作可以包括限制实体对资源的访问。例如，资源提供商可以被指示阻止对所有文件的访问、阻止对某些文件的访问、只允许仅某些文件等。
58.在一些实施例中，该事件标识要为资源提供商计算机系统评估以执行动作的一个或多个条件。例如，一个或多个条件可以基于认证级别。例如，如果访问令牌具有特定的认证级别或不具有特定的认证级别，则事件可以指示应该发生动作。例如，该事件可以指定，如果该实体呈现使用简单标识和秘密认证过程获得的访问令牌，那么应该撤销用户会话，并且应该将该实体重定向到标识提供商以重新认证。可选地或附加地，该事件可以指示除双因素认证(或比双因素认证更不安全)之外用于获得访问令牌的任何认证过程应导致资源提供商撤销用户会话并将实体重定向到标识提供商以重新认证。对于密码长度、重复使
用密码或其他原因，也可以指示类似的条件。
59.可选地或附加地，一个或多个条件可以基于时间戳。例如，在一个实施例中，资源提供商将一个或多个事件中的时间戳与发出访问令牌的时间进行比较，并且仅当在事件中的时间戳之前发出访问令牌时才应用事件中的动作。这允许策略在特定时间在标识提供商处实现，在特定时间之后发出的访问令牌将不需要作为事件的结果而被刷新。
60.可选地或附加地，一个或多个条件可以基于实体使用的客户端。例如，如果策略服务器确定用户的桌面客户端已受到损害，则条件可以指定如果令牌是针对桌面客户端的，则应采取该操作。但是，如果用户为移动客户端使用令牌，则不会采取该操作。在一些实施例中，事件可以指定特定设备id，其可以用作评估的条件。
61.可以实践方法200，其中基于实体同意资源提供商为该实体订阅条件访问终止服务来执行资源提供商为该实体订阅条件访问终止服务。如图3a所示，在一些实施例中，可以由直接向条件访问终止服务114提供同意118的实体102直接提供同意。例如，实体118可以向条件访问终止服务114发送消息，指示哪些服务提供商同意相对于实体102订阅条件访问终止服务114。
62.可选地或附加地，如图3b所示，实体可以向应用120提供同意118，并且应用120可以通知条件访问终止服务114提供了同意。例如，在一些实施例中，应用120可以包括用户界面，其允许用户提供该同意作为应用120的配置的一部分。
63.可选地或附加地，如图3c所示，同意118可以由同意第一方应用122的实体102为不同的第三方应用124提供。例如，在单点登录场景中，用户可以使用他们的contoso(本文用于说明的虚构公司)凭据，该凭据可用于向不由contoso直接控制的第三方应用进行认证。实体将同意用于第三方应用的第一方contoso应用，从而允许第三方应用的实体订阅。例如，图3c示出了可以将同意118提供给第一方应用122。第一方应用可以将同意通知第三方应用124(第三方应用124然后可以将同意118通知条件访问终止服务114)或者可以直接将同意118通知条件访问终止服务114。
64.在一些实施例中，如图3d所示，管理员可以为包括该实体的实体组提供同意。在图3d所示的示例中，管理员126代表管理员具有控制权的实体集合102'向条件访问终止服务114提供同意118'。尽管图3d所示的示例示出了直接提供给条件访问终止服务114的同意，但应当理解，在其他实施例中，该同意可以提供给诸如图3b和图3c所示的应用或其他实体。
65.现在参考图4，示出了管理已认证的用户会话的方法。该方法包括，在条件访问终止服务中，从资源提供商计算机系统接收订阅请求，资源提供商计算机系统为被配置为通过用户会话从资源提供商计算机系统获得资源的实体订阅所述条件访问终止服务(动作402)。
66.因此，方法400还包括将与资源请求有关的实体的事件发送到资源提供商计算机系统，该事件可由资源提供商计算机系统用于相对于事件评估来自实体的资源请求，以作为评估请求的结果响应实体对资源的请求(动作404)。
67.可以实践方法400，其中事件包括用户信息、条件、时间戳和动作中的至少一个。
68.可以实践方法400，其中事件包括指示应该由资源提供商计算机系统相对于实体执行的动作的动作。例如，该动作可以包括撤销用户会话和将实体重定向到标识提供商以进行重新认证。可选地或附加地，该动作可以包括限制实体对资源的访问。
69.可以实践方法400，其中事件标识要为资源提供商计算机系统评估以执行动作的一个或多个条件。在一些实施例中，一个或多个条件可以基于认证级别。可选地或附加地，一个或多个条件可以基于时间戳。一个或多个条件可以基于所述实体使用的客户端。
70.方法400还可以包括条件访问终止服务，该条件访问终止服务允许基于为该实体提供的同意的订阅，以便资源提供商为该实体订阅条件访问终止服务。在一些实施例中，由管理员为包括该实体的一组实体提供同意。
71.在刚刚描述了一些所公开的实施例的各种特征和功能之后，现在将注意力转向图5，其示出了可用于促进本文所描述的操作的示例计算机系统500。诸如系统500的计算机系统可用于实现上述的任何计算机系统。
72.这些方法可以由包括一个或多个处理器505和诸如计算机存储器的计算机可读存储器525的计算机系统500来实践。具体地，计算机存储器可以存储当由一个或多个处理器505执行时导致执行各种功能的计算机可执行指令，例如实施例中所述的动作。
73.本发明的实施例可以包括或利用包括计算机硬件的专用或通用计算机，如下面更详细地讨论的。本发明范围内的实施例还包括用于承载或存储计算机可执行指令、数据结构或其组合的物理和其它计算机可读介质，例如存储器525。这种计算机可读介质可以是可由通用或专用计算机系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。携带计算机可执行指令的计算机可读介质是传输介质。因此，作为示例而非限制，本发明的实施例可以包括至少两种明显不同的计算机可读介质：物理计算机可读存储介质和传输计算机可读介质。
74.物理计算机可读存储介质包括ram、rom、eeprom、cd-rom或其他光盘存储器(例如cd、dvd等)、磁盘存储器或其他磁存储设备，或可用于存储计算机可执行指令或数据结构形式的所需程序代码装置并可由通用或专用计算机访问的任何其他介质。
[0075]“网络”(例如，网络535)被定义为一个或多个数据链路，其能够在计算机系统、模块、其他电子设备或其组合之间传输电子数据。当通过网络或另一通信连接(硬连线、无线或硬连线或无线的组合)向计算机(例如，远程系统540)传送或提供信息时，计算机正确地将连接视为传输介质。传输介质可包括网络或数据链路，其可用于以计算机可执行指令或数据结构的形式携带所需的程序代码装置，并可由通用或专用计算机访问。以上的组合也包括在计算机可读介质的范围内。
[0076]
此外，在到达各种计算机系统组件时，计算机可执行指令或数据结构形式的程序代码装置可以自动地从传输计算机可读介质转移到物理计算机可读存储介质(反之亦然)。例如，通过网络或数据链路接收的计算机可执行指令或数据结构可以被缓冲在网络接口模块(例如，“nic”)内的ram中，然后最终传输到计算机系统ram、计算机系统中易失性较低的计算机可读物理存储介质或其组合。因此，计算机可读物理存储介质可以包括在还(或甚至主要)利用传输介质的计算机系统组件中。
[0077]
计算机可执行指令包括，例如，使通用计算机、专用计算机或专用处理设备执行某一功能或一组功能的指令和数据。计算机可执行指令可以是，例如，二进制文件，诸如汇编语言的中间格式指令，或者甚至是源代码。尽管已经用特定于结构特征、方法行为或其组合的语言描述了主题，但应当理解，在所附权利要求中定义的主题不一定限于上述描述的特征或行为。相反，所描述的特征和动作被公开为实施权利要求的示例形式。
[0078]
本领域技术人员将理解，本发明可以在具有许多类型的计算机系统配置的网络计算环境中实施，包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持设备、多处理器系统、基于微处理器或可编程的消费电子设备、网络pc、小型机、大型计算机、移动电话、pda、寻呼机、路由器、交换机等。本发明还可以在分布式系统环境中实施，其中通过网络链接(通过硬连线数据链路、无线数据链路或通过硬连线和无线数据链路的组合)的本地和远程计算机系统都执行任务。在分布式系统环境中，程序模块可以位于本地和远程存储器存储设备中。
[0079]
可选地，或者另外，本文描述的功能可以至少部分地由一个或多个硬件逻辑组件来执行。例如但不限于，可使用的硬件逻辑组件的说明性类型包括现场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、片上系统(soc)、复杂可编程逻辑器件(cpld)等。
[0080]
本发明可以在不脱离其精神或特征的情况下以其他特定形式实施。所描述的实施例在所有方面仅被认为是说明性的而不是限制性的。因此，本发明的范围由所附的权利要求书而不是由前面的描述来指示。在权利要求的等同意义和范围内的所有变更都应包括在其范围内。