基于TrustZone分核异步执行的主动可信计算方法及系统与流程

本发明涉及计算机领域的主动可信计算技术，具体涉及一种基于trustzone分核异步执行的主动可信计算方法及系统。

背景技术：

可信计算的基本思想是：首先在计算机系统中构建一个可信根，可信根是可信计算最基础，是必须给予信任的部分，之后再建立一条可信链，从可信根开始到软硬件平台、到操作系统、再到应用，一级度量认证一级，一级信任一级，最终把信任扩展到整个计算机系统，从而保证了计算机系统的可信。可信基础模块始于2000年可信计算平台联盟（trustedcomputingplatformalliance）制定的tpm1.0规范。传统上可信基础模块被设计为在硬件隔离的环境中以被动方式工作，供主机cpu进行服务调用。但这种方式存在难以保证加载时（特别是加电时）的软件完整性；软件更新困难；无法保证在运行态的完整性等问题，因此也不具备对主机系统进行主动访问和监控的能力，甚至难以掌控系统上电时的代码可信性。

针对这些弊端，我国已在可信计算技术3.0阶段提出“主动防御体系”思想，目标是确保全程可测可控、不被干扰，即防御与运算并行的“主动免疫计算模式”，具有主动可信能力。主动可信能力被定义为：“可信节点通过底层的监控点，以主动监控的方式监视系统的行为，并通过信息系统整体的策略管控，构建可信计算体系，为应用创建一个安全保障环境，确保应用按照预期执行，免于黑客、病毒等威胁”。因此主动可信计算是整个可信计算过程中，主动对整个过程进行实时动态监控，遇到异常能够实时动态干预的能力，目前主动防御的可信计算技术有主要分为基于软件和基于硬件两个方式。

软件方式可通过基于内核进行强制的代码检测或者引入一个更高特权级的软件层，例如hypervisor。这类方法的共有缺陷是因为频繁的现场切换而引入较明显的性能损耗，由于是软件实现的，其本身也容易受到恶意侵害。保证新增软件模块的可信性本身也引入了新问题，这种方法也难以融入到可信3.0模式的可信部件设计中。

硬件方法一般会同主机系统进行物理隔离，利用硬件所提供的一些事件触发机制探测异常事件或者主机状态的改变。硬件方法虽然能够对主机中的恶意代码起到很好的免疫作用，并且几乎不引入额外开销，但却存在语义鸿沟和探测能力不足的问题。这是因为主动防御要求扩展硬件能对主机软件运行期间的各类事件进行监控。首先，能够感知主机系统的内存访问事件，这是因为内核使用内存保留其状态信息和敏感数据结构；第二，应能够监视系统的状态寄存器，这对于理解系统的当前配置和资源配属非常重要；第三，外部机制应有能力控制和改变主机系统的关键寄存器和内存空间，以阻止恶意行为并恢复系统的正常。由于系统的复杂性和总线链接的限制，已有的硬件扩展机制还很难满足这三种需求。

因此，面对目前软件和硬件方式均存在的各种问题，现有的主动防御可信计算很难达到“主动防御体系”的要求，无法同时满足既能够保证计算全过程的安全可信，又能够实现主动防御的能力。因此，设计新的主动可信计算系统架构迫在眉睫。

arm处理器中的trustzone技术，通过软硬件结合的方式，能为计算平台提供一个隔离于平台其它软硬件资源的运行时环境，trustzone技术被设计为在系统加电后优先获得控制权，并拥有比主机更高的访问和控制权限，因此更为贴合可信计算的功能和安全性需求。trustzone通过隔离所有soc软硬件资源，使他们分别位于两个区域（tee和ree）。trustzone在系统总线上针对每一个信道的读写增加了一个额外的控制信号位，叫做ns(non-secure)位，可以通过ns位将内存等资源划分为安全态和非安全态。在处理器架构上，每个物理处理器核被虚拟为安全核(secure)和非安全核(non-secure)，非安全核只能访问非安全的系统资源，而安全核可以访问所有资源。两者之间是使用monitor模式进行切换。当普通世界需要切换至安全世界时，通过调用smc指令或已经配置的硬件异常，处理器则进入monitor模式，monitor模式备份普通世界的上下文，然后进入安全世界。安全世界也是通过monitor模式，备份上下文之后切换至普通世界。

为了保证可信执行环境的完备性，trustzone技术包含了tbbr（trustedboardbootrequirements）子规范，特别定义了系统从加电之后的可信保障流程以及软硬件需求。tbbr规定系统必须有一个信任根作为一个信任起点（例如socone-time-programmable(otp)存储器中的公钥），从reset加电之后立即发挥作用，通过可信根建立可信链，并逐步验证：进一步的签名方式、启动代码、tee环境、tee服务、以及常规主机环境等。目前现有基于trustzone的可信计算方法主要通过如下几种方式进行实施：增加额外的硬件，采用emmc存储器作为可信计算的持久安全存储设施；做出一些不损害可信计算安全性的折中，例如限制密码计算的规模；修改可信计算规范的部分语义，以适应trustzone的一些局限。然而trustzone基础服务是以被动执行的思想设计，现有的设计没有考虑主动的可信度量和控制问题。如要提供主动运行和资源访问能力，则需要设计较为复杂的主机-tee切换机制，并且要避免tee过久“占领”cpu，防止主机系统的中断等机制受到超时等影响。

技术实现要素：

本发明要解决的技术问题：针对现有技术的上述问题，提供一种基于trustzone分核异步执行的主动可信计算方法及系统，本发明能够在trustzone基础服务是以被动执行的基础上实现了新的可信计算架构，能够满足主动防御的可信计算各项需求，充分考虑主动的可信度量和控制问题，能够以简单的方式提供主动运行和资源访问能力，且防止tee过久“占领”cpu，防止主机系统的中断等机制受到超时等影响。

为了解决上述技术问题，本发明采用的技术方案为：

一种基于trustzone分核异步执行的主动可信计算方法，实施步骤包括：

1）在计算机上电后配置并启动主动可信计算服务，在系统启动过程中通过静态度量机制建立主机加载模块和主机操作系统的静态可信链，所述主动可信计算服务包括可信计算主体服务、可信计算代理服务和可信计算调用接口，所述可信计算主体服务和可信计算代理服务被映射到运行环境tee、所述可信计算调用接口以及主机系统被映射到运行环境ree中，运行环境tee和运行环境ree为基于trustzone技术得到的软硬件资源相互隔离的两个运行环境；

2）当需要执行可信计算时，主机系统通过可信计算调用接口实施系统管理控制器smc调用，借助trustzone的monitor模式切换至安全态（secureworld）本核运行的可信计算代理服务，可信计算代理服务触发可信计算主体服务的软中断sgi以发送可信服务请求，可信计算主体服务执行可信服务，采用异步方式通过软中断sgi方式通知主机系统中的服务调用者返回可信服务的执行结果，完成后主动可信计算服务后将cpu状态切换至常态（normalworld）使cpu可以继续执行常态相应程序；

当需要执行资源监控时，通过可信计算主体服务访问计算机的资源获取资源状态，并根据获取的资源状态更新pcr寄存器的同时将监控目标的度量值记录在指定的数据库中；

当需要执行实时干预时，通过主机系统中建立的任务代理agent在建立静态可信链之后通过动态获取监控目标的物理地址以实现对主机系统的动态实时监控，并在发现可信异常后对异常进行记录和报警、并对运行时的主机系统进行干预。

可选地，步骤1）的详细步骤包括：

1.1）在计算机上电后启动存储在安全rom存储器的可信固件bl1，所述可信固件bl1在启动后初始化主动可信计算服务的控制设备，然后验证存储在flash存储器中的可信启动固件bl2，如果可信启动固件bl2验证失败则结束并退出；否则跳转执行下一步；

1.2）启动可信启动固件bl2，所述可信启动固件bl2初始化主动可信计算服务的配置后，分别验证代码bl31、bl32和bl33，其中bl31为用于el3态系统配置的运行环境tee的monitor模式代码；bl32为用于启动安全世界相关代码并对系统进行配置的代码；bl33为用于启动普通世界引导程序并对系统进行配置的代码；如果代码bl31、bl32和bl33任意验证失败则结束并退出；否则跳转执行下一步；

1.3）通过配置cpu划分一个独立的cpu内核s-core用于运行可信计算主体服务，状态设置为只运行在安全态，不能运行在常态，使其无法被主机操作系统所感知；同时，通过普通世界引导程序启动主机系统；

1.4）cpu内核s-core加载并运行可信计算主体服务，并通过传统的静态度量机制建立主机加载模块和主机操作系统的静态可信链；

1.5）主机系统中将设立一个任务代理agent，通过主机系统的指定信息库得到目标模块的地址信息传递给可信计算主体服务，任务代理agent仅负责提供监控目标的物理地址，并不对目标进行实际监控，主在机系统运行后，可信计算代理服务通过任务代理agent将可信计算参数和数据等传递至可信计算主体服务。

可选地，所述任务代理agent将主机系统的内核的代码段作为动态度量的目标，通过/proc/iomem获得linux内核代码段数据段对应的物理地址，通过安全态环境提供的库函数实现了安全态内的虚地址映射，从而实现对代码段的动态读取和度量。

可选地，步骤2）中可信计算主体服务执行可信服务时还包括：在计算过程中，主体服务通过内部独立的时钟，驱动调度程序分时运行主动度量和监控模块，因此可以动态实时的对目标代码段进行持续性度量。

可选地，步骤2）中对运行时的主机系统进行干预包括下述方式中的一种：（1）对cpu切换的控制，包括暂停主机系统的运行或者利用通知方式使主机系统转入关机；（2）通过对内存的控制改写主机系统的内存映射页表，将可疑目标的内存设为不可执行，由主机系统做后续处理；（3）通过修改控制器的权限剥夺对指定关键io的读写操作。

可选地，所述指定关键io包括更改常态软件对io地址的读写权限、或借助trustzone保护控制器直接控制特定io控制器的归属。

此外，本发明还提供一种基于trustzone分核异步执行的主动可信计算系统，包括计算机设备，该计算机设备被编程或配置以执行所述基于trustzone分核异步执行的主动可信计算方法的步骤。

此外，本发明还提供一种基于trustzone分核异步执行的主动可信计算系统，包括计算机设备，该计算机设备的存储器上存储有被编程或配置以执行所述基于trustzone分核异步执行的主动可信计算方法的计算机程序。

此外，本发明还提供一种计算机可读存储介质，该计算机可读存储介质上存储有被编程或配置以执行所述基于trustzone分核异步执行的主动可信计算方法的计算机程序。

和现有技术相比，本发明具有下述优点：本发明在计算机上电后配置并启动主动可信计算系统，在系统启动过程中通过静态度量机制建立主机加载模块和主机操作系统的静态可信链，主动可信计算服务包括可信计算主体服务、可信计算代理服务和可信计算调用接口，所述可信计算主体服务和可信计算代理服务被映射到运行环境tee、所述可信计算调用接口以及主机系统被映射到运行环境ree中，运行环境tee和运行环境ree为基于trustzone技术得到的软硬件资源相互隔离的两个运行环境，然后主动可信计算服务可根据需要执行可信计算、资源监控以及实时干预，本发明基于trustzone技术构建了一个隔离、监控能力、实时干预、影响小不被感知的分核异步执行的主动可信计算系统，能够在trustzone基础服务是以被动执行的基础上实现了新的可信计算架构，能够满足主动防御的可信计算各项需求，充分考虑主动的可信度量和控制问题，能够以简单的方式提供主动运行和资源访问能力，且防止tee过久“占领”cpu，防止主机系统的中断等机制受到超时等影响。

附图说明

图1为本发明实施例方法的基本流程示意图。

图2为本发明实施例中的模块配合示意图。

具体实施方式

如图1所示，本实施例基于trustzone分核异步执行的主动可信计算方法的实施步骤包括：

1）在计算机上电后配置并启动主动可信计算服务，在系统启动过程中通过静态度量机制建立主机加载模块和主机操作系统的静态可信链，所述主动可信计算服务包括可信计算主体服务、可信计算代理服务和可信计算调用接口，所述可信计算主体服务和可信计算代理服务被映射到运行环境tee、所述可信计算调用接口以及主机系统被映射到运行环境ree中，运行环境tee和运行环境ree为基于trustzone技术得到的软硬件资源相互隔离的两个运行环境；

2）主动可信计算服务执行任务，即：

当需要执行可信计算时，如图2所示，主机系统通过可信计算调用接口实施系统管理控制器smc调用，借助trustzone的monitor模式切换至安全态（secureworld）本核运行的可信计算代理服务，可信计算代理服务触发可信计算主体服务的软中断sgi以发送可信服务请求，可信计算主体服务执行可信服务，采用异步方式通过软中断sgi方式通知主机系统中的服务调用者返回可信服务的执行结果，完成后主动可信计算服务后将cpu状态切换至常态（normalworld）使cpu可以继续执行常态相应程序；其中，monitor模式切换n-s切换是指安全态（secureworld，简称为s）、常态（normalworld，简称为n）之间的切换；

当需要执行资源监控时，通过可信计算主体服务访问计算机的资源获取资源状态，并根据获取的资源状态更新pcr寄存器的同时将监控目标的度量值记录在指定的数据库中；

当需要执行实时干预时，通过主机系统中建立的任务代理agent在建立静态可信链之后通过动态获取监控目标的物理地址以实现对主机系统的动态实时监控，并在发现可信异常后对异常进行记录和报警、并对运行时的主机系统进行干预。

本实施例中基于trustzone技术构建了一个隔离、监控能力、实时干预、影响小不被感知的分核异步执行的主动可信计算系统，可为例如指纹识别、安全存储、加解密等实际应用，提供主动可信计算服务。其中，主动可信计算服务被划分为3个部分，包括可信计算主体服务、可信计算代理服务和可信计算调用接口。通过划分一个cpu内核，配置为安全态，运行可信计算主体服务，负责可信计算具体服务，包括加解密、命令执行等，并对主机系统进行实时度量和主动干预。可信计算代理服务和可信计算代理接口可以运行在cpu其他内核，其中可信计算代理服务运行在安全态，负责对调用接口请求转发、数据回传等中间服务。可信计算调用接口，主要是为常态程序提供可信计算调用接口，并将请求转发至可信计算代理服务。trustzone技术提供了tee和ree的硬件隔离和通信，而可信计算代理服务和可信计算主体服务运行在cpu不同内核中，因此也是硬件隔离的。

本实施例中在系统加载前，通过配置cpu，划分一个独立的cpu内核s-core用于运行可信计算主体服务，状态设置为只运行在安全态，不能运行在常态，同时由于主机系统内核在启动cpu核时需要请求运行环境tee服务，因此通过对运行环境tee的服务可以控制cpu内核s-core不能被主机系统所启动不能被cpu的其他内核和状态下所控制，因此也无法被主机操作系统所感知。

本实施例中，cpu内核s-core加载并运行可信计算主体服务程序，并通过传统的静态度量机制建立主机加载模块和主机操作系统的静态可信链，并在每一步更新pcr寄存器的同时得到各目标的度量值记录在另外的数据库中。

本实施例中，提供服务所用的通信方式为软中断（sgi）。可信计算代理服务通过触发一个目标是可信计算主体服务的软中断（sgi），并一同将参数，数据等进行传递。之后通过smc调用，经由monitor模块，将cpu状态切换至常态，则cpu可以继续执行常态相应程序。可信计算主体服务接收到代理服务的请求后，执行相应计算任务，在计算过程中，主体服务通过内部独立的时钟，驱动调度程序分时运行主动度量和监控模块，因此可以动态实时的对目标代码段进行持续性度量。可信计算主体服务执行网相应计算任务后，通过软中断sgi方式通知主机系统中的服务调用者，接收服务结果，最终完成整个调用过程，主体服务继续进入监听状态。

本实施例中，步骤1）的详细步骤包括：

1.1）在计算机上电后启动存储在安全rom存储器的可信固件bl1，所述可信固件bl1在启动后初始化主动可信计算服务的控制设备，然后验证存储在flash存储器中的可信启动固件bl2，如果可信启动固件bl2验证失败则结束并退出；否则跳转执行下一步；

1.2）启动可信启动固件bl2，所述可信启动固件bl2初始化主动可信计算服务的配置后，分别验证代码bl31、bl32和bl33，其中bl31为用于el3态系统配置的运行环境tee的monitor模式代码；bl32为用于启动安全世界相关代码并对系统进行配置的代码；bl33为用于启动普通世界引导程序并对系统进行配置的代码；如果代码bl31、bl32和bl33任意验证失败则结束并退出；否则跳转执行下一步；

1.3）通过配置cpu划分一个独立的cpu内核s-core用于运行可信计算主体服务，状态设置为只运行在安全态，不能运行在常态，使其无法被主机操作系统所感知；同时，通过普通世界引导程序启动主机系统；

1.4）cpu内核s-core加载并运行可信计算主体服务，并通过传统的静态度量机制建立主机加载模块和主机操作系统的静态可信链；

1.5）主机系统中将设立一个任务代理agent，通过主机系统的指定信息库得到目标模块的地址信息传递给可信计算主体服务，任务代理agent仅负责提供监控目标的物理地址，并不对目标进行实际监控，主在机系统运行后，可信计算代理服务通过任务代理agent将可信计算参数和数据等传递至可信计算主体服务。

参见前述记载可知，本实施例中主动可信计算服务的启动包括五个部分：bl1、bl2、bl31、bl32和bl33，分为三个阶段：

bl1阶段：bl1称为aptrustedrom，存储在rom存储器中，用于初始化相应控制器等，并验证bl2镜像的可信性。系统加电后，首先启动bl1，bl1对bl2镜像验证通过后，系统进入bl2阶段。

bl2阶段：bl2称为trustedbootfirmware，存储在flash存储器中，用于初始化系统相应配置等，并验证bl31、bl32和bl33的可信性，bl2启动后，将加载bl31、bl32和bl33。

bl3阶段：执行bl31、bl32和bl33。其中，bl31称为el3runtimesoftware，用于el3态系统配置等，即tee的monitor模式代码；bl32称为secure-el1payload，用于启动安全世界相关代码，并对系统进行配置等；bl33称为non-trustedfirmware，用于启动普通世界引导程序，并系统进行配置等，最后普通世界引导程序启动主机系统。建立静态可信链的过程为在系统加电启动后，首先启动bl1，因bl1是机器出厂时刷写在rom存储器中，是可信的。之后经历bl2、bl31、bl32和bl33，每一步都经历上一步的验证，因此都是可信的。在每一步更新pcr寄存器的同时，将监控目标的度量值记录在另外的数据库中，因此整个过程构成了静态可信链。

为了能够得到主动监控的目标信息，本实施例中主机系统中将设立一个agent任务，通过系统的一些信息库（如/proc文件系统或者/boot目录下的system.map文件）得到目标模块的地址信息传递给可信计算主体服务，agent仅负责提供监控目标的物理地址，并不对目标进行实际监控，因此只需保证初始化阶段的可信性。作为一种具体的实施方式，本实施例中任务代理agent将主机系统的内核的代码段作为动态度量的目标，通过/proc/iomem获得linux内核代码段数据段对应的物理地址，通过安全态环境提供的库函数实现了安全态内的虚地址映射，从而实现对代码段的动态读取和度量。主机系统运行后，可信计算代理服务agent将可信计算参数和数据等传递至可信计算主体服务。

本实施例中，步骤2）中可信计算主体服务执行可信服务时还包括：在计算过程中，主体服务通过内部独立的时钟，驱动调度程序分时运行主动度量和监控模块，因此可以动态实时的对目标代码段进行持续性度量。对于度量过程中，遇到可信异常时，主体服务不仅对异常进行记录和报警，还可以对运行时的主机系统进行干预。

本实施例中，步骤2）中对运行时的主机系统进行干预包括下述方式中的一种：（1）对cpu切换的控制，包括暂停主机系统的运行或者利用通知方式使主机系统转入关机；（2）通过对内存的控制改写主机系统的内存映射页表，将可疑目标的内存设为不可执行（在页表描述项中，包含页面属性的定义，其中的nx位将定义页面中的代码是否被允许执行，trustzone拥有可访问normalworld内存的权限，可以通过修改后者的页表属性设置特定内存不可执行），由主机系统做后续处理；尽管主机系统也有权限修改页面属性的nx位从而能恢复页面的可执行，但可信计算主体服务的监控将提升攻击的难度，并且能通过监视已锁定的页面属性决定是否采取进一步措施；（3）通过修改控制器的权限剥夺对指定关键io的读写操作。本实施例中，指定关键io包括更改常态软件对io地址的读写权限、或借助trustzone保护控制器(trustzoneprotectioncontroller)直接控制特定io控制器的归属。

综上所述，本实施例中基于trustzone技术构建的主动可信计算系统具有下述特点：

运行环境隔离：因trustzone技术本身特点，trustzone提供了软硬件隔离机制，将软硬件资源隔离为两个运行环境（即tee和ree），可信计算主体服务和代理服务运行在tee，而主机系统运行在ree。trustzone机制保证了两个环境各自拥有cpu、物理内存、物理io等资源，并且ree中的软件无法访问tee中的资源，但tee软件有权限访问ree中的资源。同时单独划分一个cpu核用于运行可信计算主体服务，因此该核无法被主机系统所感知，综上保证了可信计算主体服务于主机系统之间的隔离。

具备传统可信服务能力：本发明将可信计算的各项服务机制映射到trustzone的基本结构中，在可信计算主体服务中封装虚拟可信计算的核心服务，包括：密码算法引擎，命令执行引擎，以及安全持久存储等。在可信计算接口封装可信计算调用命令接口，主机系统通过可信计算调用接口，利用trustzone技术，通过smc调用monitor模式，切换至本核运行的代理服务，代理服务之后触发一个目标是可信计算主体服务的软中断（sgi），之后在可信计算主体服务执行具体主动可信计算系统，最终通过异步方式返回计算后的结果，完成整个主动可信计算系统。

具备监控能力：可信计算主体服务运行在tee，tee具有访问计算机所有资源的能力。在系统启动过程中，通过静态度量机制建立主机加载模块和主机操作系统的静态可信链，在每一步更新pcr寄存器的同时将监控目标的度量值记录在另外的数据库中，实现对主机系统的监控能力。

具备实时干预能力：在可信计算主体服务中建立agent任务，agent任务和可信计算具体服务通过分时共享该cpu核，在建立静态可信链之后，agent任务通过动态获取监控目标的物理地址，实现对主机系统的动态实时监控。在发现可信异常后不仅可以实现记录和报警，同时还能说实现对运行时的主机系统的干预。包括暂停主机系统的运行，对可疑目标内存设为不可执行，剥夺可疑目标的关键io读写能力等。

影响小不被感知：首先，ree系统不感知有tee软件的存在。在性能方面，现有的tee服务采用同步方式，服务过程中ree可能挂起，对性能带来不利影响。本发明在系统加电前，通过单独划分cpu核，用于运行可信计算主机服务，因此cpu核不能被系统所感知。在运行过程中，可信计算代理服务接收到主机系统可信计算的请求后，立即将该请求转发到主体服务，之后返回主机系统的ree，自身并不直接执行具体服务，避免了主机系统长时间挂起等待的问题。

综上所述，本实施例对trustzone基础服务的原有被动执行方式进行改进，实现了新的可信计算架构，能够满足主动防御的可信计算各项需求，充分考虑主动的可信度量和控制问题，能够以简单的方式提供主动运行和资源访问能力，且防止tee过久“占领”cpu，防止主机系统的中断等机制受到超时等影响。

此外，本实施例还提供一种基于trustzone分核异步执行的主动可信计算系统，包括计算机设备，该计算机设备被编程或配置以执行前述基于trustzone分核异步执行的主动可信计算方法的步骤。

此外，本实施例还提供一种基于trustzone分核异步执行的主动可信计算系统，包括计算机设备，该计算机设备的存储器上存储有被编程或配置以执行前述基于trustzone分核异步执行的主动可信计算方法的计算机程序。

此外，本实施例还提供一种计算机可读存储介质，该计算机可读存储介质上存储有被编程或配置以执行前述基于trustzone分核异步执行的主动可信计算方法的计算机程序。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质（包括但不限于磁盘存储器、cd-rom、光学存储器等）上实施的计算机程序产品的形式。本申请是参照根据本申请实施例的方法、设备（系统）、和计算机程序产品的流程图和／或方框图来描述的。应理解可由计算机程序指令实现流程图和／或方框图中的每一流程和／或方框、以及流程图和／或方框图中的流程和／或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和／或方框图一个方框或多个方框中指定的功能的步骤。

以上所述仅是本发明的优选实施方式，本发明的保护范围并不仅局限于上述实施例，凡属于本发明思路下的技术方案均属于本发明的保护范围。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理前提下的若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。