系统登录器的验证方法和装置、计算设备和可读存储介质与流程

1.本发明涉及计算系统安全登录技术领域，尤其涉及一种系统登录器的验证方法和装置、计算设备和可读存储介质。


背景技术：

2.在计算机系统中，用户通过不可信的中间应用层和操作系统相互作用。在用户登录，在操作系统中定义安全属性或改变文件安全等级等操作时，用户必须确保与安全核心通信，而不是与特洛伊木马病毒交互。
3.目前实现该目标的技术为：构造可信路径，以保障用户与内核之间的通信不被窃取、更改，以此防止特洛伊木马病毒模仿登录过程、窃取用户口令信息，也可保证特权用户在进行特权操作的时候，输出到终端上的信息是正确可信的。
4.以linux系统为例，为了确保用户的用户名和口令信息不被窃取，系统提供了安全确认键sak。sak是一个键或一组键，在被按下后，能保证用户看到的是真正的系统登录器，而非特洛伊木马病毒伪造的登录模拟器。其中，系统登录器是登录桌面操作系统的验证界面，需要校验输入的用户名和口令值。
5.安全确认键sak虽然是通过内核来响应，但还是无法完全实现可信路径。尽管它在响应时会杀死监听终端设备的登录模拟器，但在按下sak后，并没有任何方式能够阻止其他登录模拟器开始监听终端设备杀死登录模拟器进程的动作并启动自身，因此无法保障在按下sak后启动的登录模拟器被准确识别并阻止。


技术实现要素：

6.为此，本发明提供了一种系统登录器的验证方法和装置、计算设备和可读存储介质，以力图解决或者至少缓解上面存在的至少一个问题。
7.根据本发明的第一方面，提供了一种系统登录器的验证方法，包括：对当前启动的系统登录器进行度量操作，获取所述系统登录器的当前度量值；判断是否能从安全芯片的密封对象中取出基准度量值；如果能，则判断所述当前度量值与所述基准度量值是否一致；若一致，则允许当前启动的系统登录器启动；若不一致，则拒绝当前启动的系统登录器启动。
8.可选地，在本发明的方法中，所述基准度量值是对可信的系统登录器进行度量操作获得的度量值，并存放在所述安全芯片中的密封对象内。
9.可选地，在本发明的方法中，所述判断是否能从安全芯片的密封对象中取出基准度量值的步骤包括：基于所述安全芯片中平台配置寄存器中的扩展度量值，获取密封对象中的基准度量值；所述扩展度量值是将所述基准度量值扩展到平台配置寄存器中的可用位中的扩展值，且所述扩展度量值与所述密封对象绑定；如果所述平台配置寄存器中的扩展度量值未改变，则能够从所述安全芯片的密封对象中取出基准度量值。
10.可选地，在本发明的方法中，所述扩展度量值绑定在所述密封对象的扩展属性中。
11.可选地，在本发明的方法中，响应于所述可信的系统登录器的可执行程序的变化，接收可信的系统登录器的更新包的验签结果；如果所述更新包是官方签发的，则更新所述基准度量值。
12.可选地，在本发明的方法中，从所述安全芯片的密封对象中取出基准度量值的步骤还包括：若不能，则判断所述系统登录器已被非法篡改。
13.可选地，在本发明的方法中，所述平台配置寄存器中的可用位是所述平台配置寄存器中的第十位。
14.可选地，在本发明的方法中，对当前启动的系统登录器进行度量操作的步骤还包括：响应于安全确认键的启动，对当前启动的系统登录器进行度量操作。
15.根据本发明的第二方面，提供了一种系统登录器的验证装置，包括：度量模块，用于对当前启动的系统登录器进行度量操作，获取所述系统登录器的当前度量值；第一判断模块，用于判断是否能从安全芯片的密封对象中取出基准度量值；第一判断模块，用于在能从安全芯片的密封对象中取出基准度量值的情况下，判断所述当前度量值与所述基准度量值是否一致；启动模块，用于在所述当前度量值与所述基准度量值一致的情况下，允许当前启动的系统登录器启动；若不一致，则拒绝当前启动的系统登录器启动。
16.根据本发明的第三方面，提供了一种计算设备，包括：至少一个处理器和存储有程序指令的存储器；当所述程序指令被所述处理器读取并执行时，使得所述计算设备执行如上所述的方法。
17.根据本发明的第四方面，提供了一种存储有程序指令的可读存储介质，当所述程序指令被计算设备读取并执行时，使得所述计算设备执行如上所述的方法。
18.根据本发明技术方案，可确保构建可信路径响应出的登录器是可证明验证的。
附图说明
19.为了实现上述以及相关目的，本文结合下面的描述和附图来描述某些说明性方面，这些方面指示了可以实践本文所公开的原理的各种方式，并且所有方面及其等效方面旨在落入所要求保护的主题的范围内。通过结合附图阅读下面的详细描述，本公开的上述以及其它目的、特征和优势将变得更加明显。遍及本公开，相同的附图标记通常指代相同的部件或元素。
20.图1示出了根据本发明实施方式的用于系统登录器的可信登录基准值创建方法的架构图。
21.图2示出了根据本发明实施方式的用于系统登录器的可信登录基准值创建方法的一个示例性处理的流程图。
22.图3示出了根据本发明实施方式的系统登录器的验证方法的架构图。
23.图4示出了根据本发明实施方式的系统登录器的验证方法的一个示例性处理的流程图。
24.图5示出了根据本发明实施方式的系统登录器监控方法的架构图。
25.图6示出了根据本发明实施方式的系统登录器监控方法的一个示例性处理的流程图。
26.图7示出根据本发明实施方式的系统登录更新方法的架构图。
27.图8示出根据本发明实施方式的系统登录更新方法的一个示例性处理的流程图。
28.图9示出了根据本发明实施方式的用于系统登录器的可信登录基准值创建装置的一种示例结构的示意性框图。
29.图10示出了根据本发明实施方式的系统登录器验证装置的一种示例结构的示意性框图。
30.图11示出了根据本发明实施方式的系统登录器监控装置的一种示例结构的示意性框图。
31.图12示出了根据本发明实施方式的系统登录器更新装置的一种示例结构的示意性框图。
32.图13示出了根据本发明一个实施方式的计算设备的示意图。
具体实施方式
33.下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式，然而应当理解，可以以各种形式实现本公开，且本公开不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本公开，并且能够将本公开的范围完整地传达给本领域的技术人员。
34.本发明技术方案的总体思路为：通过固件srtm(静态可信根度量，即为开机时的可信度量)进行确认，使用ima(integrity measurement architecture，完整性度量架构)度量内存中的系统登录器程序，将系统登录器程序的度量值扩展到安全芯片的pcr(可以理解为将md5值写入pcr中)，之后在按下安全确认键后，使用ima度量所启动的应用进程，来检查新度量的值与之前扩展的度量值是否一致，以此防止系统登录器响应前被拦截篡改，从而构造出结合硬件安全芯片的可信路径。其中，ima是内核的一个功能，目标是检测文件是否在远程和本地被意外或恶意更改，根据存储为扩展属性的“良好”值评估文件的度量，并强制执行本地文件完整性。pcr是平台配置寄存器，是安全芯片中用来记录系统运行状态的寄存器。
35.下面描述根据本发明实施方式的用于系统登录器的可信登录基准值创建方法。该创建方法以及下面描述的验证方法、监控方法、更新方法等皆由ima调用来执行。图1示出该方法的架构图。如图1所示，对用户判断为可信的系统登录器进行度量操作，将度量值扩展到pcr中的可用位。可信的系统登录器比如是windows系统开机时的登录界面，由用户判断为可信，且作为以后进行验证操作、监控操作等的可信基础。可选地，可以将度量值扩展到pcr第十位(pcr 10)，也就是将度量值写入pcr 10，pcr第十位一般处于不被进程占用的状态，扩展到第十位比较安全，不会对系统性能、进程运行带来负面影响。除了pcr第十位，也可以写到不会导致带来对计算系统负面影响的其他位，本发明在此不受限制。度量操作即哈希计算，度量值是对哈希值进行了完整性的更改。方法调用安全芯片中的自动功能，来执行在pcr可用位中构建pcr授权策略的过程，以该授权策略作为密钥机密的身份验证机制，从而保证写到寄存器pcr的值不能随便更改，只能由特定用户更改。在安全芯片上创建密封对象，将其与pcr可用位上的度量值进行绑定，即将扩展值绑定到密封对象(即密钥)的扩展属性里，并把可信系统登录器的度量值密封在创建的对象内，即用密封对象保护度量值。此外，还可以将该度量值持久性保存在安全芯片的非易失性存储器中。图1中的xxxxxxx即为
扩展值。policy.pcr是授权策略文件。
36.图2示出根据本发明实施方式的可信登录基准值创建方法的一个示例的示意性流程图。如图2所示，在该示例中，该方法包括步骤s210-s250。下面描述各步骤。
37.在步骤s210中，对可信的系统登录器进行度量操作，以获得可信的系统登录器的度量值，可信的系统登录器由用户判断为可信。
38.在步骤s220中，将系统登录器的度量值扩展到平台配置寄存器的可用位，以用作可信登录基准值，也可称之为扩展度量值。
39.在步骤s230中，在平台配置寄存器中构建平台配置寄存器的授权策略。
40.在步骤s240中，在安全芯片上创建密封对象，并将密封对象与平台配置寄存器的可用位中的度量值绑定。
41.在步骤s250中，将可信的系统登录器的度量值密封在密封对象内，作为基准度量值。
42.在另一个示例中，该可信登录基准值创建方法还可以包括如下步骤：将上述度量值存储在安全芯片的非易失性存储器中。这样，通过将上述度量值存入非易失性存储器，在没有密钥的情况下无法解开硬件中的信息，可以防止外界任意获取，并且在开启重启或程序退出后、pcr可用位的值清零的情况下，非易失性存储器中的值也不会清零，从而能够增加该方法的安全性。
43.以上创建方法的示例结合硬件(即安全芯片)来执行，通过硬件提供了一层针对攻击的保护，由此能够增加如图1和图2所示方法的安全性。
44.此外，除了将度量值扩展并密封到安全芯片外，还可以将度量值写入文件的扩展属性中。文件可以存于计算系统任何位置，可以是任何格式。在这种情况下，不需要使用安全芯片。
45.下面，参考图3来描述根据本发明实施方式的系统登录器的验证方法的一个示例性处理，该示例性处理使用如上所述的可信登录基准值创建方法创建的基准值，从而可以验证响应于安全确认键启动的应用程序是否被非法篡改。
46.如图3所示，按下安全确认键(以linux系统为例，为sak键)后，将杀掉所有与当前控制台相关的全部进程。在触发安全确认键之后，有的程序监控到内核发出的信号，会立即启动。需要确定启动的程序是真实的登录器还是木马病毒伪造的登录，从而防止恶意登录程序获取用户名和密码。响应于检测到安全确认键被触发，ima开始对当前启动的所有应用进程进行度量操作。通过上述pcr授权策略(policy.pcr)将密封在安全芯片的密封对象中的度量值取出。可选地，如果无法取出，可能证明扩展到pcr可用位上的值已经变更，这表示可信的系统登录器已被非法篡改。这是因为扩展的度量值正确，才能获取密封对象里的度量值，才能进行正确的登录。如果扩展的度量值发生变化，就无法取出密封对象里的度量值。需要对可信的登录器程序进行恢复操作才能正常启动。如果可以正常取出，则将取出的度量值与图3所示当前启动的应用进程的度量值进行比对，比对一致即放行启动并结束度量，比对不一致即拒绝启动，且继续下一个度量和比对操作。
47.图4示出根据本发明实施方式的系统登录器的验证方法的一个示例性处理的示意性流程图。如图4所示，该示例性处理包括步骤s410-s450，下面描述各步骤。
48.在步骤s410中，对当前启动的系统登录器进行度量操作，获取系统登录器的当前
度量值。
49.作为示例，该步骤可以响应于安全确认键的启动而执行，或者也可以定期执行。
50.在步骤s420中，判断是否能从安全芯片的密封对象中取出基准度量值。基准度量值是对可信的系统登录器进行度量操作获得的度量值，并存放在安全芯片中的密封对象内。
51.作为示例，判断是否能从安全芯片的密封对象中取出基准度量值的步骤可以包括：基于安全芯片中平台配置寄存器中的扩展度量值，获取密封对象中的基准度量值；如果平台配置寄存器中的扩展度量值未改变，则判定能够从安全芯片的密封对象中取出基准度量值。
52.其中，扩展度量值是将上述基准度量值扩展到平台配置寄存器中的可用位中的扩展值，且扩展度量值与密封对象绑定。
53.若在步骤s420中判定能够从安全芯片的密封对象中取出基准度量值，则在步骤s430中继续判断当前度量值与基准度量值是否一致。
54.作为示例，若在步骤s420中判定不能从安全芯片的密封对象中取出其密封的度量值，则可以判定可信的系统登录器已被非法篡改。
55.如图4所示，若步骤s430判定当前度量值与基准度量值一致，则执行步骤s440，允许当前启动的系统登录器启动。
56.而若步骤s430判定当前度量值与基准度量值不一致，则执行步骤s450，拒绝当前启动的系统登录器启动。
57.作为示例，在将度量值扩展到文件的扩展属性中的情况下，不需要从密封对象中获取度量值，直接将文件扩展属性中的度量值调取出来进行比对即可，比对一致即通过，比对不一致即拒绝启动。
58.作为示例，图4所示的示例性处理还可以包括如下步骤：响应于可信的系统登录器的可执行程序的变化，接收可信的系统登录器的更新包的验签结果；如果上述更新包是官方签发的，则更新上述基准度量值。由此，通过该步骤能够根据更新后的基准度量值进行系统登录器的验证操作。
59.图5示出了根据本发明实施方式的系统登录器监控方法的架构图。
60.如图5所示，系统设计有在后台运行的监控程序，该监控程序可以以systemd daemon服务的形式存在，用于监控可信的系统登录器的可执行程序变化情况，并将变化情况发送给ima，其中该变化可能是恶意篡改也可能是正常的更新操作。ima对系统登录器进行重新度量，并重新对pcr可用位或文件扩展属性上的值进行扩展操作。
61.图6示出了上述系统登录器监控方法的一个示例性处理的示意性流程图。如图6所示，该示例性处理包括步骤s610-s630，下面描述各步骤。
62.在步骤s610中，监控可信的系统登录器的可执行程序变化情况。
63.在步骤s620中，响应于发生变化，对密封对象和平台配置寄存器的可用位进行清零操作。
64.在步骤s630中，执行可信登录基准值创建过程，如下：对变化后的系统登录器进行度量操作；将变化后的系统登录器的度量值扩展到平台配置寄存器中的可用位中，以用作可信登录基准值；在平台配置寄存器中构建平台配置寄存器的授权策略；在安全芯片上创
建密封对象，并将密封对象与平台配置寄存器的可用位中的度量值绑定；将变化后的系统登录器的度量值密封在密封对象内。
65.此外，图7示出了根据本发明实施方式的系统登录器更新方法的架构图。
66.如图7所示，可信系统登录器的更新包是以deb包格式封装的，其来自于可信源。存在于可信源内的包，都是经过签名认证的。系统中默认有内置证书，所以在安装时，首先会验证这个包是否为官方签发。验证通过，会将基准值创建过程中创建的pcr寄存器值和密封对象分别进行清零和移除操作，再重新度量更新后的系统登录器的度量值，再执行一遍可信登录基准值创建过程。
67.图8示出了根据本发明实施方式的系统登录器更新方法的一个示例性处理的流程图。如图8所示，该示例性处理包括步骤s810-s830，下面描述各步骤。
68.在步骤s810中，接收验证结果，该验证结果表明：可信的系统登录器的更新包是官方签发的。
69.在步骤s820中，响应于接收到可信的系统登录器的更新包是官方签发的验证结果，对上述密封对象和平台配置寄存器的可用位进行清零操作。
70.在步骤s830中，执行可信登录基准值创建过程，如下：对更新后的系统登录器进行度量操作；将更新后的系统登录器的度量值扩展到平台配置寄存器中的可用位中，以用作可信登录基准值；在平台配置寄存器中构建平台配置寄存器的授权策略；在安全芯片上创建密封对象，并将密封对象与平台配置寄存器的可用位中的度量值绑定；将可信的系统登录器的度量值密封在密封对象内。
71.通过以上可信登录基准值创建过程，可保证在下次构建可信路径响应过程中，有个基准值可用来验证出现在屏幕上的登录信息是安全可信的；系统登录器的验证方法可用来确保构建可信路径响应出的登录器是可证明验证的；系统登录器监控过程能保证系统登录器在被意外篡改等之后不会通过验证；系统登录器更新过程保证了系统中安装的系统登录器是经过官方安全认证的。
72.其中，上述“构建可信路径响应出的登录器”即指，响应于“构建可信路径”这个操作(或称动作)而启动的登录器。此外，“构建可信路径响应出的登录器是可证明验证的”是指，响应于“构建可信路径”而启动的登录器能够被验证是否曾被恶意或意外篡改。
73.根据本发明实施方式，还提供一种可信登录基准值创建装置。如图9所示，该装置包括度量模块910、扩展模块920、构建模块930、创建模块940和密封模块950。下面描述各模块。
74.度量模块910用于对可信的系统登录器进行度量操作，以获得可信的系统登录器的度量值，其中可信的系统登录器由用户判断为可信。
75.扩展模块920用于将可信的系统登录器的度量值扩展到平台配置寄存器的可用位，以用作可信登录基准值，也称之为扩展度量值。
76.构建模块930用于在上述平台配置寄存器中构建平台配置寄存器的授权策略。
77.创建模块940用于在安全芯片上创建密封对象，并将密封对象与平台配置寄存器的可用位中的度量值绑定。
78.密封模块950用于将可信的系统登录器的度量值密封在密封对象内，作为基准度量值。
79.该可信登录基准值创建装置还可以包括：存储模块，用于将上述度量值存储在安全芯片的非易失性存储器中。这样，通过将上述度量值存入非易失性存储器，在没有密钥的情况下无法解开硬件中的信息，可以防止外界任意获取，并且在开启重启或程序退出后、pcr可用位的值清零的情况下，非易失性存储器中的值也不会清零，从而能够增加该方法的安全性
80.另外，除了将度量值扩展并密封到安全芯片之外，扩展模块920还可以将度量值写入文件的扩展属性中。文件可以存于计算系统任何位置，可以是任何格式。在这种情况下，不再需要使用安全芯片，也不需要构建模块930、创建模块940和密封模块950。
81.根据本发明实施方式，还提供一种系统登录器验证装置。如图10所示，该装置包括度量值获取模块1010、第一判断模块1020、第二判断模块1030和启动模块1040。下面描述各模块。
82.度量值获取模块1010用于对当前启动的系统登录器进行度量操作，获取系统登录器的当前度量值。
83.第一判断模块1020用于判断是否能从安全芯片的密封对象中取出基准度量值。
84.第二判断模块1030用于在能从安全芯片的密封对象中取出基准度量值的情况下，判断当前度量值与基准度量值是否一致。
85.启动模块1040用于在当前度量值与基准度量值一致的情况下，允许当前启动的系统登录器启动，若不一致，则拒绝当前启动的系统登录器启动。
86.另外，在将度量值扩展到文件的扩展属性中的情况下，不需要从密封对象中获取度量值，第二判断模块1030直接将文件扩展属性中的度量值调取出来与当前度量值进行比对即可，比对一致即允许系统登录器启动，比对不一致即拒绝启动。
87.图10的装置还可以包括：更新模块，用于响应于可信的系统登录器的可执行程序的变化，接收可信的系统登录器的更新包的验签结果；如果更新包是官方签发的，则更新基准度量值。这样就可以根据更新后的基准度量值进行系统登录器的验证操作。
88.根据本发明实施方式，还提供一种系统登录器监控装置。如图11所示，该装置包括监控模块1110、清零模块1120和可信登录基准值创建模块1130。下面描述各模块。
89.监控模块1110用于监控可信的系统登录器的可执行程序变化情况。
90.清零模块1120用于响应于发生变化，对密封对象和平台配置寄存器的可用位进行清零操作。
91.可信登录基准值创建模块1130包括：度量模块1130-1，用于对变化后的系统登录器进行度量操作；扩展模块1130-2，用于将变化后的系统登录器的度量值扩展到平台配置寄存器中的可用位中，以用作可信登录基准值；构建模块1130-3，用于在平台配置寄存器中构建平台配置寄存器的授权策略；创建模块1130-4用于在安全芯片上创建密封对象，并将密封对象与平台配置寄存器的可用位中的度量值绑定；密封模块1130-5，用于将变化后的系统登录器的度量值密封在上述密封对象内。
92.根据本发明实施方式，还提供一种系统登录器更新装置。如图12所示，该装置包括清零模块1210和可信登录基准值创建模块1220。下面描述各模块。
93.清零模块1210用于接收可信的系统登录器的更新包是官方签发的验证结果，并响应于此，对上述密封对象和平台配置寄存器的可用位进行清零操作。
94.可信登录基准值创建模块1220包括：度量模块1220-1，用于对更新后的系统登录器进行度量操作；扩展模块1220-2，用于将更新后的系统登录器的度量值扩展到平台配置寄存器中的可用位中，以用作可信登录基准值；构建模块1220-3，用于在平台配置寄存器中构建平台配置寄存器的授权策略；创建模块1220-4，用于在安全芯片上创建密封对象，并将密封对象与平台配置寄存器的可用位中的度量值绑定；密封模块1220-5，用于将上述可信的系统登录器的度量值密封在所述密封对象内。
95.本发明的方法可以在计算设备中执行。计算设备可以是具有存储和计算能力的任意设备，其例如可以实现为服务器、工作站等，也可以实现为桌面计算机、笔记本计算机等个人配置的计算机，或者实现为手机、平板电脑、智能可穿戴设备、物联网设备等终端设备，但不限于此。
96.图13示出了根据本发明一个实施方式的计算设备的示意图。需要说明的是，图13所示的计算设备仅为一个示例，在实践中，用于实施本发明的方法的计算设备可以是任意型号的设备，其硬件配置情况可以与图13所示的计算设备相同，也可以与图13所示的计算设备不同。相对于图13所示的计算设备的硬件组件，实践中用于实施本发明的方法的计算设备的硬件组件可以有所增加或删减。本发明对计算设备的具体硬件配置情况不做限制。
97.如图13所示，该设备可以包括：处理器1310、存储器1320、输入/输出接口1330、通信接口1340和总线1350。其中处理器1310、存储器1320、输入/输出接口1330和通信接口1340通过总线1350实现彼此之间在设备内部的通信连接。
98.处理器1310可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
99.存储器1320可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1320可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1320中，并由处理器1310来调用执行。
100.输入/输出接口1330用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
101.通信接口1340用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
102.总线1350包括一通路，在设备的各个组件(例如处理器1310、存储器1320、输入/输出接口1330和通信接口1340)之间传输信息。
103.需要说明的是，尽管上述设备仅示出了处理器1310、存储器1320、输入/输出接口1330、通信接口1340以及总线1350，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
104.本发明实施方式还提供一种非暂态可读存储介质，其存储有指令，所述指令用于使所述计算设备执行根据本发明实施方式的方法。本实施例的可读介质包括永久性和非永久性、可移动和非可移动介质，可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。可读存储介质的例子包括但不限于：相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带、磁带磁盘存储等。
105.在此处所提供的说明书中，算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与本发明的示例一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的优选实施方式。
106.在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施方式可以在没有这些具体细节的情况下被实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。
107.类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施方式的描述中，本发明的各个特征有时被一起分组到单个实施方式、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。本领域技术人员应当理解在本文所公开的示例中的设备的模块或单元或组件可以布置在如该实施方式中所描述的设备中，或者可替换地可以定位在与该示例中的设备不同的一个或多个设备中。前述示例中的模块可以组合为一个模块或者此外可以分成多个子模块。
108.本领域技术人员可以理解，可以对实施方式中的设备中的模块进行自适应性地改变并且把它们设置在与该实施方式不同的一个或多个设备中。可以把实施方式中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除非这样的特征和/或过程或者单元中的至少一些相互排斥，否则可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
109.此外，本领域的技术人员能够理解，尽管在此所述的一些实施方式包括其它实施方式中所包括的某些特征而不是其它特征，但是不同实施方式的特征的组合意味着处于本发明的范围之内并且形成不同的实施方式。此外，所述实施方式中的一些在此被描述成可以由计算机系统的处理器或者由执行所述功能的其它装置实施的方法或方法元素的组合。因此，具有用于实施所述方法或方法元素的必要指令的处理器形成用于实施该方法或方法元素的装置。
110.如在此所使用的那样，除非另行规定，使用序数词“第一”、“第二”、“第三”等等来描述普通对象仅仅表示涉及类似对象的不同实例，并且并不意图暗示这样被描述的对象必
须具有时间上、空间上、排序方面或者以任意其它方式的给定顺序。
111.尽管根据有限数量的实施方式描述了本发明，但是受益于上面的描述，本技术领域内的技术人员明白，在由此描述的本发明的范围内，可以设想其它实施方式。此外，应当注意，本说明书中使用的语言主要是为了可读性和教导的目的而选择的，而不是为了解释或者限定本发明的主题而选择的。