知识图形中的安全区域的制作方法

本公开总体上涉及控制知识图形中的访问，并且更具体地，涉及使用安全区域管理知识图形。

背景技术：

数据(尤其是非结构化数据)的管理仍然是企业关注的问题。可能重要的是以允许快速且可靠访问的方式存储和管理数据。最近，认知计算知识图形已被用于存储和处理信息。知识图形由数据组成，数据可以从企业内部和外部的各种来源收集，被存储在知识图形的网格的节点上。节点通常经由表示各个节点之间的关系的边(或“链接”)连接。

知识图形可以由数千个节点组成，在这些节点之间存在所选择的关系。然而，并非每个有权访问知识图形(例如，通过使用搜索引擎)的用户都可以访问存储在节点中的所有数据。通常，访问控制列表(acl)可用于控制对资源的访问。

技术实现要素：

根据本公开的实施例，提供了一种用于控制知识图形中的访问的方法。知识图形包括节点和相关图像。图形的边连接两个或多个节点。该方法包括将知识图形中的每个节点分配给一个或多个非相交区域中的区域，以及存储指示由边结束的第一节点占据的第一区域的第一区域标识符和指示由边结束的第二节点占据的第二区域的第二区域标识符。

此外，该方法可以包括附加地确定访问图形，所述访问图形包括用于每个区域的访问节点和表示所述一个或多个非相交区域之间的一个或多个边的访问边。访问图形还可以包括所述一个或多个非相交区域的第一列表。第一列表中的每个条目可以与区域和节点标识符的第二列表相关，每个节点标识符指示知识图形中占据该区域的节点。第一访问控制列表和第二访问控制列表可以存储在每个访问边中。第一访问控制列表可以与第一区域相关，其中，访问边在第一区域中结束，并且访问图形中的第一访问节点与第一区域相关；以及第二访问控制列表可以与第二区域相关，其中，访问边在第二区域中结束，并且所述访问图形中的第二访问节点与第二区域相关。

计算系统和计算机程序产品可以实现本公开的方法和结构。计算系统可以包括网络、被配置为存储知识图形和访问图形的存储器以及与存储器通信的处理器。计算系统可以被配置为执行所述方法。

以上发明内容不是旨在描述本公开的每个所示实施例或每种实现方式。

附图说明

本申请中包括的附图被并入到说明书中并且形成说明书的一部分。它们示出了本公开的实施例，并且与说明书一起用于解释本公开的原理。附图仅是对某些实施例的说明，而不是限制本公开。

图1示出了根据本公开的实施例的用于控制知识图形中的访问的方法的实施例的框图。

图2示出了具有节点级别上的访问控制的传统知识图形的框图。

图3示出了具有组或区域级别上的访问控制的增强知识图形的框图。

图4示出了具有重叠区域的知识图形的实施例的框图。

图5示出了根据本公开的实施例的具有重组的非重叠区域的知识图形的实施例的框图。

图6示出了根据本公开的实施例的具有处于不同的受限区域和非受限区域中的多个节点的知识图形的实施例的框图。

图7示出了根据本公开的实施例的具有反映边的区域隶属关系的知识图形的节点的框图。

图8示出了根据本公开的实施例的与知识图形相关的访问图形的框图。

图9示出了根据本公开的实施例的具有新节点的经修改的知识图形的框图。

图10示出了根据本公开的实施例的反映对知识图形的修改的经修改的访问图形的框图。

图11示出了根据本公开的实施例的已经移除了具有其相关的边的节点的知识图形的框图。

图12示出了根据本公开的实施例的反映知识图形中的改变的访问图形的实施例的框图。

图13示出了根据本公开的实施例的知识图形的节点的框图，该知识图形例示了通过反映受限区域的知识图形的遍历。

图14示出了根据本公开的实施例的与知识图形相关的访问图形的框图。

图15示出了根据本公开的实施例的用于控制包括节点和边的知识图形中的访问的系统的框图。

图16示出了根据本公开的实施例的计算机系统的框图，该计算机系统包括用于控制对知识图形的访问的系统。

尽管本发明可被修改为各种变型和替选形式，但是其细节已经通过附图中的示例被示出并且将被详细地描述。然而，应该理解，不是旨在将本发明限于所描述的特定实施例。相反，旨在涵盖落入本发明的精神和范围内的所有变型、等同物和替代物。

具体实施方式

本公开的各方面涉及知识图形，并且更具体的方面涉及控制对知识图形的访问。虽然本公开不必限于这样的应用，但是通过使用该上下文讨论各种示例可以理解本公开的各个方面。

在本说明书的上下文中，可以使用以下惯例、术语和/或表述：

术语“控制访问”可以表示授予或拒绝对数据结构(例如，知识图形中的节点)的读取或写入(或删除)访问。可以使用与数据结构相关的元数据来管理访问权限。在尝试访问数据结构的情况下，将首先针对是否允许特定用户或处理进行访问来检查元数据。通常，如果不存在访问权限，则可生成错误消息或中断。

术语“知识图形”可以表示网络化数据结构，该网络化数据结构包括以节点表示的数据和表示节点之间的连接或链接的边。因此，知识图形可以表示所谓的非结构化数据(即事实)及其语义关系的组织的知识库。知识图形通常由搜索引擎使用。

术语“非相交区域”可以表示不同区域可以不具有交叉边界。

术语“访问图形”可以表示知识图形结构，该知识图形结构代表底层的基于事实的知识图形中的节点组之间的链接。访问图形可以控制对知识图形中的节点的访问。可以在这里管理acl。

术语“区域标识符”可以表示其中存在知识图形的节点的区域的唯一标识符。可以注意到，复杂知识图形的节点的id可以是非唯一的。但是，如果一个区域内的节点可以具有唯一id，则可以很有用。

术语“访问节点”可以表示访问图形中的节点。访问节点可以表示底层的知识图形中的多个节点。

术语“访问边”可以表示访问图形中的边。一个访问边可以表示底层的知识图形中的区域之间的多个边。

术语“访问控制列表”可以表示被授权访问特定资源(例如，诸如知识图形的节点之类的数据结构、或计算机系统的物理资源)的用户和/或处理的列表。对于多个资源，这样的acl可以按资源存在或以联合acl的形式存在。

术语“目标节点”可以表示知识图形中的应该经由从另一节点开始的边而到达的节点。

术语“区域边缘”或“区域边界”可以表示围绕多个节点的假想墙壁。一个区域的节点可以表示与相同访问权限相关的一组资源。

所提出的用于控制知识图形中的访问的方法可以提供多种优点和技术效果：

所公开的方法以及相关系统可以显著增强知识图形的结构，从而允许对各个节点进行更细粒度和精妙的访问管理。因此，可以以这样的方式考虑知识图形的结构：不浪费计算资源，不会由于未经允许的尝试访问而生成错误消息，以及用户可以快速访问用户被允许访问的节点中存储的数据。

另外，可以显著降低节点级别上的对于元数据的存储要求-特别是对于acl的存储要求。与知识图形中的内容相关联的元数据还可以包括acl，例如，用户或用户组访问节点中的某个内容项目的许可。未经允许的访问可能会导致错误消息。acl通常在节点级别上实现。这样的方法的一个结果可能是搜索引擎可能爬行通过知识图形以寻找正确的节点，但是最终确定用户可能不能访问某个节点或一组节点。因此，该方法容易浪费宝贵的资源，诸如cpu功率、存储器带宽等。

使用所公开的方法和系统，由于可以将所有节点分类到可以具有访问图形形式的中央访问控制的特定访问区域中，因此可以通过被表示为“访问图形”的附加结构来控制知识图形的访问权限的管理和控制。因此，以知识图形形式组织事实和信息的复杂方法也适用于知识图形本身的管理。在访问图形中集中地完成acl的新组织，这可以减少为每个单个节点提供访问控制列表的工作量。

边的增强元数据(即，专用数据结构)具有关于节点与特定区域的隶属关系的信息。当尝试从第一区域的节点开始访问第二区域中的节点时，系统和/或方法上升一级-从知识图形的基本结构到访问图形-以便确定对新区域中的节点的许可(例如访问权限)。

此外，访问图形中的链接的管理可以被完全自动化，并且除了知识图形之外，可以不需要手动管理动作来维护访问图形。从用户的角度来看，所提出的用于控制知识图形中的访问的方法是完全透明的。例如，用户不需要关心访问限制，并且不会由于不允许访问用户没有访问许可的节点而收到任何错误消息。

因此，甚至更大的知识图形(诸如当今通常使用的具有多个节点的知识图形)的管理变得可行，并且在手动管理活动方面的管理开销(例如，存储要求和所需的计算能力)可以显著降低。

将在下面呈现也可适用于相关系统的该方法的附加实施例：

根据一个优选实施例，该方法还包括：如果相关知识图形边越过区域边缘，则确定对目标节点的访问权限。可以通过参考与知识图形的目标节点占据的区域相关的访问图形的访问边中存储的相应访问控制列表，寻找对知识图形的目标节点的访问权限。因此，如果知识图形中的边越过区域之间的边缘，则该方法底层的处理可以上升一级到访问图形并且确定对下级(知识图形)中的目标节点的访问权限。以这种方式，可以消除对每个节点的访问控制列表的确定，从而增强从一个节点到同一区域的另一节点的访问速度，以及降低对与每个节点相关的acl的存储要求。

根据该方法的一个有利的实施例，向知识图形添加新节点可以包括：在确定了与同新节点有关的边相关的所有节点属于同一区域时，将指示新节点的节点标识符添加到同一区域的节点列表。可以不需要进一步的动作。

还可以注意到，在知识图形中的同一区域的两个节点之间添加新边可以不需要对访问图形的访问。可以不产生开销。

根据一个另外有利的实施例，该方法还可以包括：在确定新节点的新边越过区域边缘到另一个区域时，如果具有新边的新节点的区域与另一个区域之间不存在访问边，则向访问图形(或与另一个区域相关的访问节点)添加访问边。因此，如果在底层的知识图形中进行了对边的改变，则边或链接可以被自动添加到访问图形。

还可以注意到，在确定要从知识图形中移除的节点的边是要移除的节点的区域与另一个区域之间的最后的边时，访问图形的相应访问边可以也可以被自动地且透明地移除。

根据另一实施例，该方法还包括：在确定要从知识图形中移除的边可能是两个区域之间的最后的边时，移除表示这两个区域中的第一区域的访问节点与表示这两个区域中的第二区域的另一个访问节点之间的访问图形的相应访问边。

还可以注意到，如果访问图形中的访问节点不再具有任何边，则还可以从访问图形中移除访问节点。

根据该方法的另一实施例，一个区域可以被另一个区域包围。因此，可以通过所提出的方法容易地实现对节点的分层访问处理。可以不需要进一步的控制结构。

根据该方法的另一实施例，一个访问边可以与知识图形中的在两个区域的节点之间的多个边相关。这可以被视为标准实现方式。

根据该方法的另一个有利的实施例，知识结构的改变(例如，移动边)可被视为边的移除和边的添加。因此，知识图形的更复杂的改变可以分解为更简单的动作。

根据该方法的另一实施例，与边相关的数据结构可包括权重因子值。权重因子值可以指示边的强度因子。因此，其他已知技术和实现选项也可以与所提出的方法组合。

根据另一个有利的实施例，该方法还可以包括：在确定不存在对目标节点的访问权限时，从经由边连接到目标节点的起始节点开始，经由另一个边访问另一个节点，其中，使用相关边的权重、根据成本函数，与到不存在访问权限的目标节点的边的成本分数相比，所述另一个边具有次低成本分数。因此，可以不生成由于许可拒绝而导致的错误消息，并且该方法底层的处理可以跟随知识图形中的许可连接(例如，边或链接)自动寻找到其他节点的替代边。

在下文中，将给出对附图的详细描述。附图中的所有图示都是示意性的。首先，给出了用于控制知识图形中的访问的创造性方法的实施例的框图。然后，将描述进一步的实施例以及用于控制知识图形中的访问的系统的实施例。

现在参考图1，描绘了用于控制知识图形中的访问的方法100的实施例的框图。知识图形包括节点和边，其中边连接节点。方法100包括：在操作102处将知识图形的每个节点分配给若干个非相交区域中的一个，以及在操作104处确定包括知识图形的所有区域的列表的访问图形。因此，每个列表条目与一个区域和区域相关节点标识符(指示被分配给这一个区域的节点)的列表相关，使得一个区域包括具有单独访问权限的节点中的一个或多个。

方法100还包括：在操作106处，在与知识图形的边相关的数据集中存储指示边结束的第一区域的第一区域标识符、以及指示边结束的第二区域的第二区域标识符。与知识图形相比，访问图形包括用于每个区域的一个访问节点和代表知识图形的各个区域之间的一个或多个边的访问边。另外，可以将边的权重存储在知识图形的边的数据集中。因此，访问图形中的访问节点代表知识图形中的一个或多个节点，以及访问边可以代表连接知识图形中的两个或多个区域的节点的若干边。

此外，方法100包括：在操作108处，在访问图形的每个访问边中存储第一访问控制列表和第二访问控制列表。第一访问控制列表与访问边所连接的第一访问节点相关，以及第二访问控制列表与访问边所连接的第二访问节点相关。第一访问节点和第二访问节点可以各自与不同区域相关联，使得第一访问控制列表和第二访问控制列表各自与知识图形的不同区域相关。

图2示出了具有节点级别上的访问控制的传统知识图形200的框图。在该示例中，定义了三个访问组a、b、c，从而分别允许访问节点(a1,a2)、(b1,b2,b3)和(c1,c2)。节点级别上的访问控制不采用知识图形的结构，因此不具有知识图形的结构的优点。跟随沿着边的路径的操作(例如，核心操作)与访问控制操作相独立地执行，因为这些操作是在节点级别上执行的。这种传统技术的示例是浏览图形收集数据的搜索操作，只是潜在地发现请求者缺少对所收集的信息的主要部分的所需要的访问权限。

图3示出了具有组或区域级别上的访问控制的增强知识图形的框图300。这里，使用知识图形的边来实现访问控制，其代表本文中提出的方法的替代实现方式。节点位于代表三个访问组a、b和c的三个不同区域(a、b和c)中。这样的系统包含两种边：(a)完全位于一个区域中的边302和(b)横越区域边界的边304。

除了现有数据(例如，边的权重)之外，在开始和结束独立于任何方向的情况下，在与边相关的数据结构中存储区域信息：两个相同的区域id(完全位于一个区域中的边302)或两个不同的区域id(横越区域边界的边304)。

图4示出了具有重叠区域的知识图形的示例的框图400。在该示例中，节点的右下三角形中的节点404位于区域c和区域b两者中-对照重叠402。这不应该发生。需要重组节点，如下一个附图中所示。

图5示出了具有重组区域的知识图形的实施例的框图500。返回参考图4，在节点需要类型“b”和类型“c”的访问权限的情况下，必须创建附加区域d，节点404现在位于附加区域d中。

图6示出了知识图形600的实施例的框图，所述知识图形600具有位于不同的受限区域和非受限区域中的多个节点。对于知识图形的结构进行了以下假设：(a)每个节点被放置在仅一个安全区域中，从而通常大多数节点可以位于非受限区域中，并且仅定义了一些包含敏感信息的节点的受限区域；(b)从特定节点开始的端点的边位于节点所在的同一区域中；(c)区域边界是交叉边；(d)区域边界与其他区域边界不交叉；以及(e)区域可以位于区域内，在这种情况下，这些区域是分层组织的；最内部区域代表最受限区域。

图6示出了五个区域a至e。为了引导读者的眼睛，每个区域的节点由特定形状表示。还可以注意到，区域边界以不同的虚线或实线样式呈现。还标记了区域是非受限区域还是受限区域。

图7示出了具有反映边的区域的、图6的知识图形700的节点的框图。该附图示出在结构上与图6相同的知识图形结构。但是，未示出区域边界，以及以区域边界的线条样式示出边。这可以表示与每个边相关的数据结构存储边的开始和边的结束的标识符。因此，可以将关于潜在不同的访问权限的元信息存储在边的数据结构中。也可以在每个边中存储acl(访问控制列表)或仅在越过区域边界的那些边中存储一对访问控制信息：一个acl用于所越过的区域边界的一个区域，而另一个acl用于另一个区域。虽然这可能是一种实现选项，但是它可能代表冗余信息的存储。在下一个附图的上下文中示出了改进的实现方式。

图8示出了与根据图7的知识图形700相关的访问图形800的框图。这里，区域a、b、c、d、e中的每一个由代表知识图形的节点整体的访问图形的访问节点来代表。访问图形的访问边代表知识图形中的越过区域边界的一个或多个边。例如，访问边802代表图7的知识图形700中的两个边702、704。因此，图8的圆形访问节点a代表知识图形700中的未受限区域a中的圆形节点的完整组。

以相同的方式，访问图形800中的方形访问节点b代表图7的知识图形700中的受限区域b中的方形节点的组。本领域技术人员能够将该示例映射到知识图形和访问图形的其他区域和节点。可以注意到，访问图形也可以被表示为“访问映射知识图形”。因此，知识图形本身的一般原理也用于管理知识图形本身中的访问权限，而不用将访问权限存储在知识图形内，而是将访问权限存储在被表示为访问图形的单独的浓缩知识图形结构中。

可以将知识图形的区域中的节点的acl存储在访问图形的访问边中。原则上，将两个acl(一个用于访问图形的每个访问节点)存储在与访问图形的每个访问边相关的数据结构中。为了节省甚至更多的存储空间，还可以将知识图形的一组节点的访问权限与访问图形的代表访问节点一起存储。但是，这将意味着为了确定访问权限必须对访问节点进行访问。当将对由访问节点所代表的区域中的节点的访问权限存储在访问边中时，可以不需要对访问节点的访问，因此可以提高性能。

可以注意到，访问图形支持选择适当的访问路径，因为通常沿着边的多于一个路径是可能的。此外，访问图形的节点包括原始知识图形的区域节点的索引。

现在可以认为用户或处理具有对区域a、b、c和d的访问权限，但是不具有对区域e的访问权限。该处理(例如，搜索处理)可以跟随由知识图形的边的权重定义的“最低成本”的路径。假设该处理在区域a中开始，该处理可以继续通过区域b并且尝试进入区域e，因为该路径的南部边缘被假定为最低成本(较短路径)之一。然后，系统将中断该处理，因为未授予对区域e的访问权限，并且区域e是隔离区域。

确定不存在访问权限的事实可以如下执行：该处理尝试经由边越过区域边界到受限区域e，并且确定区域边界被越过。在这种情况下，该处理参考访问图形(对照图8)，访问与受限区域e相关的acl，以及被拒绝访问区域e的节点中的一个。然后，系统使该处理在尝试进入区域e之前访问的最后一个节点处重新开始。具有次低成本分数的路径向上(北)指向区域c(不访问节点内容)，因为授予了对区域d的访问权限(如通过对相关访问图形的相关访问边的访问所确定的)，以及从区域b中的节点经由区域c中的节点到区域d中的节点的路径存在于访问图形中，因此也存在于知识图形本身中。

以这种方式，系统一方面通过避免区域e中的未经允许的操作来支持该处理，以及另一方面，系统允许使用经由区域c到区域d的优选路径。这也被图示在图9中，在图9中，虚线902示出了到区域e的初始路径。但是，由于区域e是用户不具有访问权限的受限区域，所以该处理返回到区域b的最后节点904并且继续-对照虚线906-经由区域c中的节点到受限区域d。这也被示出在图10中的访问图形的上下文中。可以注意到，图9和图10对应于图7和图8。

图7和图8也可以有助于讨论知识图形的改变。对知识图形的某些修改还需要改变存储在访问图形的访问边中的访问权限。系统和相关方法可以按照以下方式来处理这些改变：

(1)向知识图形添加节点。根据所需要的访问权限，必须将新节点放置在适当的区域中。由于访问权限是在访问图形的边上定义的，因此在访问边上放置acl与在新区域中添加第一个节点和相关边一起发生。

(2)向知识图形添加边。当向知识图形添加将区域x中的节点与区域y中的另一个节点连接的第一类型边时，必须将相应的访问边添加到访问图形(如下一个附图中所示)。

图11示出了通过添加新节点n1102而从(图7的)知识图形700修改的经修改的知识图形1100的框图。在该示例中，将知识图形的新节点n添加到受限区域d，因为连接到节点n的边的末端被配置有对于受限区域e(示出为点划线)的访问权限。一个新添加的边将新节点n1102与受限区域d中的节点1104连接。因此，必须通过在访问节点d和访问节点e之间添加边来更新访问图形，如图12中所示，图12示出了具有新边1202的经更新的访问图形1200。

图13示出了用于移除节点和两个区域之间的唯一连接边的示例1300。条纹区域1302可以代表移除受限区域c的节点和受限区域c内的相关边以及越过边界到受限区域d的另一个边。这样的改变也必须反映在下一个附图中示出的访问图形中。

还可以注意到，可以解决知识图形的结构的改变(移动边)：该改变情况由边的两种改变情况“添加”和“移除”构成。

图14示出了反映根据图13的知识图形的改变的访问图形1400的实施例的框图。如可以容易地看出的，在访问节点c和访问节点d之间的访问边上放置条带区域1402。因此，必须移除该访问边。

图15示出了用于控制包括节点和边的知识图形中的访问的系统1500的框图。系统1500包括节点和边，其中边连接节点。该系统包括：分配单元1502，所述分配单元1502适于将知识图形的节点中的每个节点分配给非相交区域；以及确定单元1504，所述确定单元1504适于确定包括知识图形的所有区域的列表的访问图形。该列表可以具有如下条目，该条目与每个区域和指示分配给这一个区域的节点的区域相关节点标识符的列表相关。

此外，系统1500包括存储模块1506，所述存储模块1506适于存储与边相关的数据集中的边的第一区域标识符和第二区域标识符，第一区域标识符指示边结束的第一区域，第二区域标识符指示边结束的第二区域。因此，访问图形包括用于每个区域的一个访问节点以及代表知识图形的各个区域之间的一个或多个边的访问边。此外，存储模块1506还适于在每个访问边中存储第一访问控制列表和第二访问控制列表，第一访问控制列表与同访问图形中的第一访问节点相关的第一区域有关，而第二访问控制列表与同访问图形中的第二访问节点相关的第二区域有关。

本发明的实施例可以与几乎任何类型的计算机一起实现，而不管平台是适合于存储程序代码和/或执行程序代码。作为示例，图16示出了适合于执行与所提出的方法相关的程序代码的计算系统1600。

计算系统1600仅是合适的计算机系统的一个示例，并且不是旨在对本文中描述的本发明的实施例的功能或使用范围提出任何限制，无论计算机系统1600是否能够实现和/或执行上文中所述的任何功能。在计算机系统1600中，存在可与许多其他通用或专用计算系统环境或配置一起操作的组件。可适用于与计算机系统/服务器1600一起使用的已知的计算系统、环境和/或配置的示例包括但不限于个人计算机系统、服务器计算机系统、瘦客户端、胖客户端、手持或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络pc、小型计算机系统、大型计算机系统、以及包括任何上述系统或设备的分布式云计算环境等。计算机系统/服务器1600可以在由计算机系统1600执行的计算机系统可执行指令(诸如程序模块)的一般上下文中描述。通常，程序模块可以包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、逻辑、数据结构等。计算机系统/服务器1600可以在分布式云计算环境中实施，在分布式云计算环境中，任务由通过通信网络链接的远程处理设备来执行。在分布式云计算环境中，程序模块可以位于包括存储器存储设备的本地和远程计算机系统存储介质中。

如附图中所示，计算机系统/服务器1600以通用计算设备的形式示出。计算机系统/服务器1600的组件可包括但不限于一个或多个处理器或处理单元1602、系统存储器1604和将各种系统组件(包括系统存储器1604)耦合到处理器1602的总线1606。总线1606代表几种类型的总线结构中的任何一种或多种，包括存储器总线或存储器控制器、外围总线、加速图形端口、以及使用各种总线架构中的任何总线架构的处理器或本地总线。作为示例而非限制，这样的架构包括工业标准架构(isa)总线、微通道架构(mca)总线、增强型isa(eisa)总线、视频电子标准协会(vesa)本地总线和外围组件互连(pci)总线。计算机系统/服务器1600通常包括各种计算机系统可读介质。这样的介质可以是计算机系统/服务器1600可访问的任何可用介质，并且它包括易失性介质和非易失性介质、可移除介质和不可移除介质。

系统存储器1604可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)1608和/或高速缓存存储器1610。计算机系统/服务器1600还可以包括其他可移除/不可移除、易失性/非易失性计算机系统存储介质。仅作为示例，可以提供存储系统1612，用于对不可移除的非易失性磁介质(未示出并且通常被称为”硬盘驱动器”)进行读取和写入。尽管未示出，但是可以提供用于对可移除的非易失性磁盘(例如“软盘”)进行读取和写入的磁盘驱动器、以及用于对可移除的非易失性光盘(诸如cd-rom、dvd-rom或其他光学介质)进行读取或写入的光盘驱动器。在这种情况下，每个可以通过一个或多个数据媒体接口连接到总线1606。如下面将进一步描绘和描述的，存储器1604可以包括至少一个程序产品，该程序产品具有一组(例如，至少一个)程序模块，这些程序模块被配置为执行本发明的实施例的功能。

作为示例而非限制，具有一组(至少一个)程序模块1616的程序/实用程序以及操作系统、一个或多个应用程序、其他程序模块和程序数据可以存储在存储器1604中。操作系统、一个或多个应用程序、其他程序模块和程序数据中的每个或其某种组合可以包括联网环境的实现。如本文中所述，程序模块1616通常执行本发明的实施例的功能和/或方法。

计算机系统/服务器1600还可以与以下设备通信：一个或多个外部设备1618，诸如键盘、指点设备、显示器1620等；使用户能够与计算机系统/服务器1600交互的一个或多个设备；和/或使计算机系统/服务器1600能够与一个或多个其他计算设备通信的任何设备(例如，网卡、调制解调器等)。这种通信可以经由输入/输出(i/o)接口1614进行。另外，计算机系统/服务器1600还可以经由网络适配器1622与一个或多个网络通信，诸如局域网(lan)、通用广域网(wan)和/或公共网络(例如，因特网)。如图所示，网络适配器1622可以经由总线1606与计算机系统/服务器1600的其他组件通信。应该理解，尽管未示出，但是其他硬件和/或软件组件可以与计算机系统/服务器1600结合使用。示例包括但不限于：微代码，设备驱动程序，冗余处理单元，外部磁盘驱动器阵列，raid系统，磁带驱动器和数据存档存储系统等。

另外，用于控制知识图形1500中的访问的系统可以附接到总线系统1606。

已经出于说明的目的给出了对本公开的各种实施例的描述，但是并不是旨在穷举或限于所公开的实施例。在不偏离所描述的实施例的范围和精神的情况下，许多变型和修改对于本领域技术人员来说是明显的。选择本文中使用的术语来最好地解释实施例的原理、实际应用或对市场中发现的技术的技术改进、或者使本领域技术人员能够理解本文中公开的实施例。

本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质，其上载有用于使处理器实现本发明的各个方面的计算机可读程序指令。

介质可以是用于传播介质的电子、磁、光、电磁、红外或半导体系统。计算机可读介质的示例可以包括半导体或固态存储器、磁带、可移除计算机磁盘、随机存取存储器(ram)、只读存储器(rom)、刚性磁盘和光盘。光盘的当前示例包括压缩盘-只读存储器(cd-rom)、压缩盘-读/写(cd-r/w)、dvd和蓝光盘。

计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、静态随机存取存储器(sram)、便携式压缩盘只读存储器(cd-rom)、数字多功能盘(dvd)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身，诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如，通过光纤电缆的光脉冲)、或者通过电线传输的电信号。

这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备，或者通过网络、例如因特网、局域网、广域网和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令，并转发该计算机可读程序指令，以供存储在各个计算/处理设备中的计算机可读存储介质中。

用于执行本发明操作的计算机程序指令可以是汇编指令、指令集架构(isa)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据、或者以一种或多种编程语言的任意组合编写的源代码或目标代码，所述编程语言包括面向对象的编程语言—诸如smalltalk、c++等，以及常规的过程式编程语言—诸如“c”语言或类似的编程语言。计算机可读程序指令可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络—包括局域网(lan)或广域网(wan)—连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。在一些实施例中，通过利用计算机可读程序指令的状态信息来个性化定制电子电路，例如可编程逻辑电路、现场可编程门阵列(fpga)或可编程逻辑阵列(pla)，该电子电路可以执行计算机可读程序指令，从而实现本发明的各个方面。

这里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解，流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合，都可以由计算机可读程序指令实现。

这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器，从而生产出一种机器，使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时，产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中，这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作，从而，存储有指令的计算机可读介质则包括一个制造品，其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。

也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上，使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤，以产生计算机实现的过程，从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。

附图中的流程图和/或框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分，所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本文中使用的术语仅用于描述特定实施例的目的，并且不是旨在限制本发明。如本文中所使用的，单数形式“一”、“一个”和“该”也旨在包括复数形式，除非上下文另有明确说明。将进一步理解，当在本说明书中使用时，术语“包括”和/或“包含”指定所述特征、整体、步骤、操作、元件和/或组件的存在，但是不排除存在或者添加一个或多个其他特征、整体、步骤、操作、元件、组件和/或其组。

所附权利要求中的所有装置或步骤加上功能元件的对应结构、材料、动作和等同物旨在包括用于结合要求保护的其他元件执行功能的任何结构、材料或动作，如所具体要求保护的那样。已经出于说明和描述的目的给出了对本发明的描述，但是并不是旨在穷举或将本发明限于所公开的形式。在不偏离本发明的范围和精神的情况下，许多变型和修改对于本领域技术人员来说是明显的。选择和描述实施例是为了最好地解释本发明的原理和实际应用，并且使本领域技术人员能够理解本发明的具有各种变型的各种实施例，以适合于预期的特定用途。

已经出于说明的目的给出了对本公开的各种实施例的描述，但是并不是旨在穷举或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下，许多变型和修改对于本领域技术人员来说是明显的。选择本文中使用的术语来解释实施例的原理、实际应用或对市场中发现的技术的技术改进、或者使本领域技术人员能够理解本文中公开的实施例。