同时支持多种终端接入的网络安全准入方法、装置及系统与流程

1.本技术属于终端设备安全认证技术领域，具体地讲，涉及一种同时支持多种终端接入的网络安全准入方法、装置及系统。


背景技术：

2.为了防止非法终端接入企业内部网络的事情出现，目前，企业在识别终端设备是否可信、是否允许终端设备接入企业内部网络等情况下采用的方案是使用专业的网络安全管理系统，通过在终端设备安装网络安全管理软件，在接入网络时，发起王轮廓准入认证包，该认证包同时包含了加密的用户信息、设备信息等。最后，通过交换机向网络准入设备申请认证的方式进行设备可信认证，如果认证通过，则允许设备联网，如果认证不通过，则拒绝联网。
3.目前企业终端所只用的网络安全管理系统时基于windows基础开发的，提供给传统windows终端使用的系统，随着我国国产化工作的开展，新进入终端操作系统行业的厂商不断增多，企业面临着多种不同厂商终端同时接入企业内部网络的需求，不同厂商设备有自身不同的网络准入服务器，互相之间并不通用，一个厂商部署一套网络的话，每一处办公地点都需部署多套网络环境，从成本及运维方面来是难以实现的。


技术实现要素：

4.本技术提供了一种同时支持多种终端接入的网络安全准入方法、装置及系统，以至少解决当前不同厂商设备有自身不同的网络准入服务器，且由于网络准入服务器之间的不通用性而导致的部署运维成本高昂的问题。
5.根据本技术的一个方面，提供了一种同时支持多种终端接入的网络安全准入方法，包括：
6.接收经由交换机转发的客户端第一认证数据并判断客户端第一认证数据的类型是否为radius access-request报文；
7.若是，从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器并接收认证服务器返回的radius access-challenge报文；其中radius access-challenge报文为认证服务器用控制台配置的公钥信息，使用md5算法对终端用户信息进行加密处理后的；
8.将radius access-challenge报文经由交换机发送至客户端以使客户端生成第二认证数据返回；
9.验证第二认证数并根据验证结果完成网络安全准入操作。
10.在一实施例中，网络安全准入方法还包括：
11.客户端向认证交换机发起认证开始包；
12.认证交换机根据认证开始包生成认证请求包并发送至客户端；
13.客户端将客户id通过认证回应包发送至交换机以使交换机根据认证回应包进行
封装生成客户端第一认证数据。
14.在一实施例中，从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器，包括：
15.提取并解析客户id字段；
16.根据客户id字段确定对应的厂商终端后将客户端第一认证数据发送至转发线程池；
17.经由转发线程池将客户端第一认证数据发送至该厂商终端对应的认证服务器。
18.在一实施例中，当转发线程池接收到客户端第一认证数据之后，为对应的厂商终端启动一个服务接口；
19.将第一认证数据中的数据标识与服务接口对应的厂商终端服务器ip进行比对；
20.比对结果一致，则将第一认证数据发送给对应的厂商终端服务器进行认证。
21.在一实施例中，将radius access-challenge报文经由交换机发送至客户端以使客户端生成第二认证数据返回，包括：
22.将radius access-challenge报文传送给交换机，由交换机将radius access-challenge报文传送给客户端；
23.客户端通过md5算法对radius access-challenge报文进行加密后生成第二认证数据返回。
24.在一实施例中，验证第二认证数并根据验证结果完成网络安全准入操作，包括：
25.判断第二认证数据的类型是否为radius access-request md5报文；
26.如果是，提取并解析第二认证数据中的客户id字段并根据客户id字段确定对应的厂商终端并完成认证。
27.在一实施例中，根据客户id字段确定对应的厂商终端并完成认证，包括：
28.将第二认证数据发送至该厂商终端对应的认证服务器进行认证；
29.将认证结果返回至客户端。
30.根据本技术的第二个方面，还提供了一种同时支持多种终端接入的网络安全准入装置，包括：
31.第一认证数据接收单元，用于接收经由交换机转发的客户端第一认证数据并判断客户端第一认证数据的类型是否为radius access-request报文；
32.字段解析单元，用于从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器并接收认证服务器返回的radius access-challenge报文；其中radius access-challenge报文为认证服务器用控制台配置的公钥信息，使用md5算法对终端用户信息进行加密处理后的；
33.第二认证数据接收单元，用于将radius access-challenge报文经由交换机发送至客户端以使客户端生成第二认证数据返回；
34.验证单元，用于验证第二认证数并根据验证结果完成网络安全准入操作。
35.在一实施例中，网络安全准入装置还包括：
36.认证包发起单元，用于客户端向认证交换机发起认证开始包；
37.认证请求包发起单元，用于认证交换机根据认证开始包生成认证请求包并发送至客户端；
38.第一认证数据生成单元，用于客户端将客户id通过认证回应包发送至交换机以使交换机根据认证回应包进行封装生成客户端第一认证数据。
39.在一实施例中，字段解析单元包括：
40.提取解析模块，用于提取并解析客户id字段；
41.终端确定模块，用于根据客户id字段确定对应的厂商终端后将客户端第一认证数据发送至转发线程池；
42.发送模块，用于经由转发线程池将客户端第一认证数据发送至该厂商终端对应的认证服务器。
43.在一实施例中，网络安全准入装置还包括：
44.接口启动模块，用于当转发线程池接收到客户端第一认证数据之后，为对应的厂商终端启动一个服务接口；
45.比对模块，用于将第一认证数据中的数据标识与服务接口对应的厂商终端服务器ip进行比对；
46.第一认证模块，用于比对结果一致，则将第一认证数据发送给对应的厂商终端服务器进行认证。
47.在一实施例中，第二认证数据接收单元包括：
48.报文流转模块，用于将radius access-challenge报文传送给交换机，由交换机将radius access-challenge报文传送给客户端；
49.第二认证数据生成模块，用于客户端通过md5算法对radius access-challenge报文进行加密后生成第二认证数据返回。
50.在一实施例中，验证单元包括：
51.判断模块，用于判断第二认证数据的类型是否为radius access-request md5报文；
52.第二认证模块，用于如果是，提取并解析第二认证数据中的客户id字段并根据客户id字段确定对应的厂商终端并完成认证。
53.在一实施例中，第二认证模块包括：
54.转发模块，用于将第二认证数据发送至该厂商终端对应的认证服务器进行认证；
55.结果返回模块，用于将认证结果返回至客户端。
56.根据本技术的第三个方面，还提供了一种同时支持多种终端接入的网络安全准入系统，包括：
57.若干个客户终端设备，一交换机，一准入服务器以及若干个终端准入认证服务器；
58.客户终端设备的数量与终端准入认证服务器的数量一致；
59.客户终端设备均与交换机通信连接；
60.交换机与准入服务器通信连接；
61.终端准入认证服务器均与准服务器通信连接。
附图说明
62.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本
发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
63.图1为本技术提供现有技术的结构图。
64.图2为本技术提供的同时支持多种终端接入的网络安全准入系统。
65.图3为本技术提供的一种同时支持多种终端接入的网络安全准入方法。
66.图4为本技术实施例中另一网络安全准入方法。
67.图5为本技术实施例中将客户端第一认证数据发送至该厂商终端对应的认证服务器方法。
68.图6为本技术实施例中将报文经由交换机发送至客户端以使客户端生成第二认证数据返回方法。
69.图7为本技术实施例中验证第二认证数并根据验证结果完成网络安全准入操作方法。
70.图8为本技术实施例中根据客户id字段确定对应的厂商终端并完成认证的方法。
71.图9为本技术中信息在网络安全认证系统中的流转路径.
72.图10为本技术提供的一种同时支持多种终端接入的网络安全准入装置。
73.图11为本技术实施例中另一网络安全准入装置。
74.图12为本技术实施例中字段解析单元.
75.图13为本技术实施例中另一网络安全准入装置。
76.图14为本技术实施例中一种电子设备的具体实施方式。
具体实施方式
77.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
78.目前企业终端所只用的网络安全管理系统时基于windows基础开发的，提供给传统windows终端使用的系统，随着我国国产化工作的开展，新进入终端操作系统行业的厂商不断增多，企业面临着多种不同厂商终端同时接入企业内部网络的需求，如图1所示，不同厂商设备有自身不同的网络准入服务器，互相之间并不通用，一个厂商部署一套网络的话，每一处办公地点都需部署多套网络环境，从成本及运维方面来是难以实现的。
79.为了解决现有技术中存在的问题，如图2所示，本技术提供了一种同时支持多种终端接入的网络安全准入系统，包括：
80.若干个客户终端设备，一交换机，一准入服务器以及若干个终端准入认证服务器；
81.客户终端设备的数量与终端准入认证服务器的数量一致；
82.客户终端设备均与交换机通信连接；
83.交换机与准入服务器通信连接；
84.终端准入认证服务器均与准服务器通信连接。
85.具体地，该准入装置上可以配置不同终端设备对应认证服务器地址和端口的路由表，为每一种不同厂商准入设备配置不同的认证标识，每新增一种终端设备，则新增对应标
识即可。
86.准入装置通过认证数据包标识判断，校验radius access-request报文，寻找数据包标识，并根据准入装置上路由表的该标识对应ip及端口，确定数据包的流向。
87.在一具体实施例中，通过在准入装置进行定向转发，将不同厂商终端设备认证信息转发至对应认证服务器进行认证：
88.交换机先连接准入装置，将准入装置服务器作为传统终端、麒麟终端、统信终端的网络认证包必经服务器，准入装置根据认证数据包标识，将对应的数据包转给指定下一跳认证服务器，下一跳认证服务器处理完成后，将数据返给准入装置，准入装置再返回给交换机。
89.基于该网络安全准入系统，本技术提供了一种同时支持多种终端接入的网络安全准入方法，如图3所示，包括：
90.s301：接收经由交换机转发的客户端第一认证数据并判断客户端第一认证数据的类型是否为radius access-request报文。
91.s302：若是，从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器并接收认证服务器返回的radius access-challenge报文。
92.其中radius access-challenge报文为认证服务器用控制台配置的公钥信息，使用md5算法对终端用户信息进行加密处理后的；
93.s303：将radius access-challenge报文经由交换机发送至客户端以使客户端生成第二认证数据返回。
94.s304：验证第二认证数并根据验证结果完成网络安全准入操作。
95.在一实施例中，如图4所示，网络安全准入方法还包括：
96.s401：客户端向认证交换机发起认证开始包。
97.s402：认证交换机根据认证开始包生成认证请求包并发送至客户端。
98.s403：客户端将客户id通过认证回应包发送至交换机以使交换机根据认证回应包进行封装生成客户端第一认证数据。
99.在一实施例中，从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器，如图5所示，包括：
100.s501：提取并解析客户id字段。
101.s502：根据客户id字段确定对应的厂商终端后将客户端第一认证数据发送至转发线程池。
102.s503：经由转发线程池将客户端第一认证数据发送至该厂商终端对应的认证服务器。
103.在一实施例中，当转发线程池接收到客户端第一认证数据之后，为对应的厂商终端启动一个服务接口；
104.将第一认证数据中的数据标识与服务接口对应的厂商终端服务器ip进行比对；
105.比对结果一致，则将第一认证数据发送给对应的厂商终端服务器进行认证。
106.在一实施例中，将radius access-challenge报文经由交换机发送至客户端以使
客户端生成第二认证数据返回，如图6所示，包括：
107.s601：将radius access-challenge报文传送给交换机，由交换机将radius access-challenge报文传送给客户端。
108.s602：客户端通过md5算法对radius access-challenge报文进行加密后生成第二认证数据返回。
109.在一实施例中，验证第二认证数并根据验证结果完成网络安全准入操作，如图7所示，包括：
110.s701：判断第二认证数据的类型是否为radius access-request md5报文。
111.s702：提取并解析第二认证数据中的客户id字段并根据客户id字段确定对应的厂商终端并完成认证。
112.在一实施例中，根据客户id字段确定对应的厂商终端并完成认证，如图8所示，包括：
113.s801：将第二认证数据发送至该厂商终端对应的认证服务器进行认证。
114.s802：将认证结果返回至客户端。
115.在一具体实施例中，如图9所示，信息在网络安全认证系统中的流转路径如下：
116.第1步：认证客户端发起认证开始包(eapol start报文)；
117.第2步：当认证交换机收到认证开始包后，给客户端发出一个认证请求包(eap request/identity报文)；
118.第3步：客户端程序响应交换机发出的请求，将用户名信息通过认证回应包(eap-response/identity报文)送给交换机；
119.第4步：交换机将客户端发过来的数据包经过封装后(radius access-request报文)发送给准入装置进行处理；
120.第5步：准入装置收到交换机转发认证数据：
121.先判断是否为radius access-request报文，如果不是，则直接丢弃。
122.若为radius access-request报文，则进一步解析radius协议。
123.解析user_name字段，根据标识位判断属于哪种厂商终端，将数据包抛给转发线程池；
124.第6步：转发线程池实现转发radius access-request报文：
125.根据策略配置，为每一个下一跳标识启动一个服务接口(socket)，转发线程接收到数据包后，判断数据标识与下一跳服务器ip比对，发给对应的socket通过udp协议，将数据包发给对应的下一跳进行认证。并等待接收结果，默认超时时间为2秒。
126.第7步：认证服务器处理并返回：
127.接收到认证数据后，认证服务器按照准入校验逻辑处理(用控制台配置的公钥信息，使用md5算法对终端用户信息进行加密处理)，并通过radius access-challenge报文传送回准入装置；
128.第8步：准入装置将radius access-challenge报文传送给交换机；
129.第9步：交换机将radius access-challenge报文传送给客户端；
130.第10步：客户端程序收到由交换机传来的信息(eap request/md5 challenge报文)后，用该加密信息回应(eap response/md5 challenge报文)给交换机；
131.第11步：交换机将加密信息传给准入装置；
132.第12步：准入装置收到交换机转发认证数据：
133.先判断是否为radius access-request md5报文，如果不是，则直接丢弃。
134.若为radius access-request md5报文，则进一步解析radius协议。
135.解析user_name字段，根据标识位判断属于哪种厂商终端，将数据包抛给转发线程池；
136.第13步：转发线程池实现转发radius access-request md5报文：
137.根据策略配置，为每一个下一跳标识启动一个服务接口(socket)，转发线程接收到数据包后，判断数据标识与下一跳服务器ip比对，发给对应的socket通过udp协议，将数据包发给对应的下一跳进行认证。并等待接收结果，默认超时时间为2秒。
138.第14步：认证服务器处理并返回：
139.接收到认证数据后，认证服务器按照准入校验逻辑处理(用控制台配置的公钥信息，使用md5算法对终端用户信息进行加密处理)，并通过radius access-challenge(accept/reject)报文传送回准入装置；
140.第15步：准入装置将radius access-challenge(accept/reject)报文传送回交换机；
141.第16步：客户端如果收到入网成功包(eap-success报文)则可以进入认证网络；如果收到入网失败包(eap-failure报文)则不可以进入认证网络。
142.本技术通过在交换机与准入服务器之间，新增搭设一台准入装置，约定好各厂商准入认证包标识，即可完美的解决不同终端接入企业内部网络的问题。当有新增厂商终端接入时，无需重新搭建各种网络环境，只需在该准入装置上设置好网络认证标识的路由表，即可加入现有网络，极大的减少了硬件投入及网络运维成本。
143.基于同一发明构思，本技术实施例还提供了一种同时支持多种终端接入的网络安全准入装置，可以用于实现上述实施例中所描述的方法，如下面实施例所述。由于该同时支持多种终端接入的网络安全准入装置解决问题的原理与同时支持多种终端接入的网络安全准入方法相似，因此同时支持多种终端接入的网络安全准入装置的实施可以参见同时支持多种终端接入的网络安全准入方法的实施，重复之处不再赘述。以下所使用的，术语“单元”或者“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的系统较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。
144.另外，本技术还提供了一种同时支持多种终端接入的网络安全准入装置，如图10所示，包括：
145.第一认证数据接收单元1001，用于接收经由交换机转发的客户端第一认证数据并判断客户端第一认证数据的类型是否为radius access-request报文；
146.字段解析单元1002，用于从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器并接收认证服务器返回的radius access-challenge报文；其中radius access-challenge报文为认证服务器用控制台配置的公钥信息，使用md5算法对终端用户信息进行加密处理后的；
147.第二认证数据接收单元1003，用于将radius access-challenge报文经由交换机
发送至客户端以使客户端生成第二认证数据返回；
148.验证单元1004，用于验证第二认证数并根据验证结果完成网络安全准入操作。
149.在一实施例中，如图11所示，网络安全准入装置还包括：
150.认证包发起单元1101，用于客户端向认证交换机发起认证开始包；
151.认证请求包发起单元1102，用于认证交换机根据认证开始包生成认证请求包并发送至客户端；
152.第一认证数据生成单元1103，用于客户端将客户id通过认证回应包发送至交换机以使交换机根据认证回应包进行封装生成客户端第一认证数据。
153.在一实施例中，如图12所示，字段解析单元1002包括：
154.提取解析模块1201，用于提取并解析客户id字段；
155.终端确定模块1202，用于根据客户id字段确定对应的厂商终端后将客户端第一认证数据发送至转发线程池；
156.发送模块1203，用于经由转发线程池将客户端第一认证数据发送至该厂商终端对应的认证服务器。
157.在一实施例中，如图13所示，网络安全准入装置还包括：
158.接口启动模块1301，用于当转发线程池接收到客户端第一认证数据之后，为对应的厂商终端启动一个服务接口；
159.比对模块1302，用于将第一认证数据中的数据标识与服务接口对应的厂商终端服务器ip进行比对；
160.第一认证模块1303，用于比对结果一致，则将第一认证数据发送给对应的厂商终端服务器进行认证。
161.在一实施例中，第二认证数据接收单元包括：
162.报文流转模块，用于将radius access-challenge报文传送给交换机，由交换机将radius access-challenge报文传送给客户端；
163.第二认证数据生成模块，用于客户端通过md5算法对radius access-challenge报文进行加密后生成第二认证数据返回。
164.在一实施例中，验证单元包括：
165.判断模块，用于判断第二认证数据的类型是否为radius access-request md5报文；
166.第二认证模块，用于如果是，提取并解析第二认证数据中的客户id字段并根据客户id字段确定对应的厂商终端并完成认证。
167.在一实施例中，第二认证模块包括：
168.转发模块，用于将第二认证数据发送至该厂商终端对应的认证服务器进行认证；
169.结果返回模块，用于将认证结果返回至客户端。
170.本技术的实施例还提供能够实现上述实施例中的方法中全部步骤的一种电子设备的具体实施方式，参见图14，所述电子设备具体包括如下内容：
171.处理器(processor)1401、内存1402、通信接口(communications interface)1403、总线1404和非易失性存储器1405；
172.其中，所述处理器1401、内存1402、通信接口1403通过所述总线1404完成相互间的
通信；
173.所述处理器1401用于调用所述内存1402和非易失性存储器1405中的计算机程序，所述处理器执行所述计算机程序时实现上述实施例中的方法中的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：
174.s301：接收经由交换机转发的客户端第一认证数据并判断客户端第一认证数据的类型是否为radius access-request报文。
175.s302：若是，从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器并接收认证服务器返回的radius access-challenge报文。
176.s303：将radius access-challenge报文经由交换机发送至客户端以使客户端生成第二认证数据返回。
177.s304：验证第二认证数并根据验证结果完成网络安全准入操作。
178.本技术的实施例还提供能够实现上述实施例中的方法中全部步骤的一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时实现上述实施例中的方法的全部步骤，例如，所述处理器执行所述计算机程序时实现下述步骤：
179.s301：接收经由交换机转发的客户端第一认证数据并判断客户端第一认证数据的类型是否为radius access-request报文。
180.s302：若是，从客户端第一认证数据中提取客户id字段并根据客户id字段确定对应的厂商终端并将客户端第一认证数据发送至该厂商终端对应的认证服务器并接收认证服务器返回的radius access-challenge报文。
181.s303：将radius access-challenge报文经由交换机发送至客户端以使客户端生成第二认证数据返回。
182.s304：验证第二认证数并根据验证结果完成网络安全准入操作。
183.本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于硬件 程序类实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。虽然本说明书实施例提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或终端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的
划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。本领域技术人员应明白，本说明书的实施例可提供为方法、系统或计算机程序产品。因此，本说明书实施例可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本说明书实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本说明书实施例的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。以上所述仅为本说明书实施例的实施例而已，并不用于限制本说明书实施例。对于本领域技术人员来说，本说明书实施例可以有各种更改和变化。凡在本说明书实施例的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本说明书实施例的权利要求范围之内。