鉴权方法及鉴权装置与流程

本申请涉及计算机技术领域，特别涉及一种鉴权方法及鉴权装置。

背景技术：

权限管理，一般指根据系统设置的安全规则或者安全策略，用户可以访问而且只能访问自己被授权的资源。权限管理技术是管理应用系统中的主体访问客体的权限的技术，其可以应用与任何通过用户账户及密码进行登陆的应用系统中。

现有技术中，上述主体可以是各个用户，上述客体可以是系统中的各种资源，如：各个模块下的资源、数据服务资源等。应用系统通过预先为每个用户分配相应的权限信息，并将这些权限信息与各个用户的ID进行映射并存储，从而在系统鉴权的过程中，根据用户登陆的ID查询到该用户所具备的权限信息，实现权限管理。

在一些特殊的应用系统(如：大数据平台)中，一般还可以根据实际需求，系统中可以根据实际需求设置其他的主体，比如：租户、项目等。在这些包括多种主体的应用系统中，可以将各个用户划分到相应的项目或租户中来实现管理，对于不同的项目、或租户而言，访问系统资源的权限也不尽相同。

在实现本申请的过程中，发明人发现现有技术至少存在以下问题：

目前还没有实现包括多种主体的应用系统的权限管理的技术。

技术实现要素：

本申请实施例的目的是提供一种鉴权方法及鉴权装置，以实现解决现有技术无法实现包括多种主体的应用系统的权限管理的问题。

为解决上述技术问题，本申请实施例提供的鉴权方法及装置是这样实现的：

一种鉴权方法，包括：

接收终端发送的携带用户信息及待鉴权的权限点信息的鉴权请求；

确定与所述用户信息相关联的至少一个上层主体信息；

根据所述用户信息，获取与该用户信息对应的包含至少一个权限点信息的第一集合；

根据所述至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合；

将所述第一集合与所述第二集合的交集确定为鉴权集合；

判断所述待鉴权的权限点信息是否在所述鉴权集合中；

若是，则判定鉴权通过。

一种鉴权方法，包括：

接收终端发送的携带用户信息及待鉴权信息集合的鉴权请求；其中，所述待鉴权信息集合包含至少一个待鉴权的权限点信息；

确定与所述用户信息相关联的至少一个上层主体信息；

根据所述用户信息，获取与该用户信息对应的包含至少一个权限点信息的第一集合；

根据所述至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合；

将所述第一集合与所述第二集合的交集确定为鉴权集合；

判断所述待鉴权信息集合与所述鉴权集合是否有交集；

若是，将所述待鉴权信息集合与所述鉴权集合的交集确定为与当前的鉴权请求对应的鉴权通过的权限点信息的集合。

一种鉴权装置，包括：

接收单元，用于接收终端发送的携带用户信息及待鉴权的权限点信息的鉴 权请求；

第一确定单元，用于确定与所述用户信息相关联的至少一个上层主体信息；

第一获取单元，用于根据所述用户信息，获取与该用户信息对应的包含至少一个权限点信息的第一集合；

第二获取单元，用于根据所述至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合；

第二确定单元，用于将所述第一集合与所述第二集合的交集确定为鉴权集合；

判断单元，用于判断所述待鉴权的权限点信息是否在所述鉴权集合中，若是，则判定鉴权通过。

一种鉴权装置，包括：

接收单元，用于接收终端发送的携带用户信息及待鉴权信息集合的鉴权请求；其中，所述待鉴权信息集合包含至少一个待鉴权的权限点信息；

第一确定单元，用于确定与所述用户信息相关联的至少一个上层主体信息；

第一获取单元，用于根据所述用户信息，获取与该用户信息对应的包含至少一个权限点信息的第一集合；

第二获取单元，用于根据所述至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合；

第二确定单元，用于将所述第一集合与所述第二集合的交集确定为鉴权集合；

鉴权确定单元，用于判断所述待鉴权信息集合与所述鉴权集合是否有交集；若是，将所述待鉴权信息集合与所述鉴权集合的交集确定为与当前的鉴权请求对应的鉴权通过的权限点信息的集合。

由以上本申请实施例提供的技术方案可见，本申请实施例通过接收终端发 送的包含用户信息的鉴权请求，根据用户信息获取与该用户信息对应的包含至少一个权限点信息的第一集合；之后确定与上述用户信息相关联的至少一个上层主体信息，并获取与该该上层主体信息对应的包含至少一个权限点信息的第二集合；最终，根据获取到的第一集合和第二集合，将第一集合、第二集合的交集确定为鉴权集合，根据该鉴权集合来判定终端发送的鉴权请求是否通过。从而基于以上过程，本申请实施例可以实现包含多个主体的应用的权限管理。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为示出了本申请实施例中包含多个主体的应用系统的架构；

图2为本申请一实施例中鉴权方法的流程图；

图3为本申请另一实施例中鉴权方法的流程图；

图4为本申请一实施例中鉴权装置的模块图；

图5为本申请另一实施例中鉴权装置的模块图。

具体实施方式

为了使本技术领域的人员更好地理解本申请中的技术方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

图1为示出了本申请实施例中包含多个主体的应用系统的架构，该架构的主体可以包括用户及与各个用户对应的上层主体，这些上层主体可以是租户、 或项目。在系统架构中，还可以包括平台管理级的主体，比如：平台管理人员。一般地，这个应用系统可以包含一个或多个租户，每个租户下可以包含一个或多个项目，每个项目中又可以包含一个或多个用户。其中，定义上述租户是使用上述应用系统的资源(可以是存储资源、运算资源、开发资源等)的客户群体(如：公司)，定义上述项目是从属于上述租户的子群体，每个项目可以对应于一个项目空间，该项目空间可以定义为用户对数据进行加工处理的场所，用户可以按照不同的产品线来划分不同的项目空间。

通常，应用系统可以为系统中的每个主体分配相应的角色。这些角色可以包括用户的角色、项目的角色、租户的角色及管理级成员的角色。其中，用户的角色还可以根据该用户所属的项目和租户，分为用户在项目级的角色、用户在租户级的角色。举例而言，在图1中，每个租户中的角色包括租户的拥有者、管理员及各个成员，成员的角色可以包括租户级经理、租户级科长、租户级工程师等，成员的角色可以由管理员来管理，租户的拥有者可以添加/删除管理员。每个租户可以创建项目，每个项目中的角色也可以包括项目的拥有者、管理员及各个成员，成员的角色可以包括项目级经理、项目级科长、项目级工程师等，成员的角色可以由管理员来管理，租户的拥有者可以添加/删除管理员。此外，平台管理级的成员的角色可以包括平台管理员等，平台管理员可以管理平台级的角色和管理权限点信息。所谓权限点信息是由客体(资源)+操作组成，例如：管理员的创建操作、管理员列表的查看操作、项目的创建操作、SQL的发布操作、用户自定义函数的发布操作、某个数据服务的使用操作等。

在上述应用系统中，每个租户、项目作为一个群体，也具备相应的角色。比如：应用系统包括1000个租户，可以根据租户的级别划分租户的角色，租户的角色可以包括：{ZHRole 1、ZHRole 2、……、ZHRole n}，那么可以根据租户的级别将上述1000个租户分别与这n个租户的角色：{ZHRole 1、ZHRole 2、……、ZHRole n}进行映射。同理，租户也可以根据需要为其下的各个项目划分相应的权限。假设某个租户包括100个项目，项目的角色可以包括： {XMRole 1、XMRole 2、……、XMRole m}，那么可以将上述100个项目分别与这m个项目的角色：{XMRole 1、XMRole 2、……、XMRole m}进行映射。当然，应用平台上的其他租户下的项目也可以与上述项目的角色：{XMRole 1、XMRole 2、……、XMRole m}进行映射。

上述应用平台可以根据将角色信息与相应的一个或多个权限点信息(本文可以称包含至少一个权限点信息的集合)进行映射。对于各个租户而言，应用系统的服务器上可以存储各个租户信息与相应的租户角色信息的映射关系，以及各个租户角色信息与一个或多个权限点信息的映射关系。对于各个项目而言，应用系统的服务器上可以存储各个项目信息与相应的项目角色信息的映射关系，以及各个项目角色信息与一个或多个权限点信息的映射关系。对应各个用户而言，应用系统的服务器上可以存储各个用户信息与用户角色信息的映射关系(包括用户在项目级别的角色信息、用户在租户级别的角色信息)，以及各个用户角色信息与一个或多个权限点信息的映射关系。

值得提及的是，本申请的上层主体并不限于上述实施例介绍的租户或项目，还可以是其他形式的主体，如：集团、归属于该集团下的至少一个子公司、归属于上述至少一个子公司下的至少一个部门等，并且，该应用系统包括的主体的数目也不受限制，如：可以包括三层主体或三层以上的主体。本文将以两层上层主体为例来介绍本申请的技术方案。

图2为本申请一实施例中鉴权方法的流程图。上述鉴权方法的执行主体可以是应用系统的服务器。基于上述应用系统的架构，本实施例的鉴权方法包括：

S101：接收终端发送的携带用户信息及待鉴权的权限点信息的鉴权请求。

上述终端可以是访问上述服务器的电脑、或智能无线终端、或服务器等。

用户可以通过上述终端采用用户信息及密码的形式进行登陆，登陆成功后，根据登陆的用户信息向服务器发送包含该用户信息及待鉴权的权限点信息的鉴权请求。其中，待鉴权的权限点信息可以根据用户信息来确定，该权限点信息可以是一个或者多个。当然，待鉴权的权限点信息也可以根据用户的具体 操作来确定，如：登陆终端的用户在尝试执行某个操作时，需通过鉴权过程来确定当前用户是否具备这样操作的权限。

S102：确定与用户信息相关联的至少一个上层主体信息。

举例而言，若所述上层主体信息包括两个，分别是租户信息、项目信息，则上述步骤S102可以具体包括：

确定与所述用户信息相关联的租户信息；

确定与所述用户信息相关联的、且归属于所述租户信息下的项目信息；

在上述应用系统中，每个用户会预先被划分到相应的上层主体(租户、项目)下。例如：用户信息可以是：“张三”，该用户信息“张三”所归属的上层主体信息可以是：“X租户”、“X租户下的Y项目”。

S103：根据用户信息获取与该用户信息对应的包含至少一个权限点信息的第一集合。

本实施例中，所述第一集合A所包含的权限点信息可以对应于各个用户的权限，即权限主体的是用户。

如上所述，该步骤S103可以具体包括：

查询与所述用户信息映射的第一角色信息；其中，所述第一角色信息用以标识所述用户信息对应的用户在所述上层主体信息对应的上层主体中的角色；

查询与所述第一角色信息映射的包含至少一个权限点信息的第一集合A。

举例而言，对于上述包括租户、项目的应用系统而言，与用户信息相映射的第一角色信息可以包括该用户在租户级的用户角色、及该用户在项目级的用户角色。假设根据用户信息：“张三”，确定到该用户在租户级的用户角色例如是：“租户级的经理”，确定到该用户在项目级的用户角色例如是：“项目总监”。根据上述用户在不同的上层主体中的用户角色：“租户级的经理”和“项目总监”，可以分别通过查询得到与上述用户角色对应的两个包含至少一个权限点信息的集合A1和A2，也就是说，这两个集合A1、A2分别表示该用户在租户级别、项目级别所拥有的权限。其中，第一集合A可以是上述两个集合A1和 A2的交集。假设A1＝{权限点Q1、权限点Q2、权限点Q3、权限点Q4}，A2＝{权限点Q1、权限点Q3、权限点Q5、权限点Q4}，则通过取交集，可以得到第一集合A＝A1∩A2＝{权限点Q1、权限点Q3、权限点Q4}。

值得述及的是，本申请其他实施例中，应用系统中的上层主体可以只是租户，而租户下面没有划分项目，则只需获取用户在该租户级别的角色信息及其相应的权限集合即可。另外，若应用系统包含较多数量的上层主体，当其中一个或多个上层主体空缺后，为确保最终得到的权限交集不为空集，上述空缺的一个或多个上层主体所对应的权限集合中可以包含所有可能拥有的权限点。

S104：根据至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合。

如上所述，对于应用系统中的各个上层主体而言，其也具备相应的权限。本申请实施例中，若所述上层主体信息包括至少两个，则上述步骤S104包括：

分别获取与各个上层主体信息对应的包括至少一个权限点信息的权限集合；并将与各个上层主体信息对应的权限集合的交集确定为所述第二集合。

本申请实施例中，该步骤S104可以具体包括：

查询与所述上层主体信息映射的第二角色信息；其中，所述第二角色信息用以标识该上层主体信息对应的上层主体在应用系统中的角色；

查询与所述第二角色信息映射的包含至少一个权限点信息的第二集合B。

对于包含租户、项目的应用系统而言，上层主体信息可以包括租户信息、项目信息，则相应的第二角色信息也包括该租户在应用系统中角色信息、及该项目在应用系统中角色信息。则，获取上述第二集合B的具体过程可以包括：

获取与所述租户信息对应的包含至少一个权限点信息的权限集合B1；

获取与所述项目信息对应的包含至少一个权限点信息的权限集合B2；

将权限集合B1与权限集合B2的交集确定为所述第二集合B。

举例而言，对于用户信息：“张三”，通过查询用户-上层主体映射表，可以得到其对应的项目信息例如是：“X租户下的Y项目”，其对应的租户信息 例如是：“X租户”。通过查询上层主体-主体角色映射表，可以得到上述项目信息：“X租户下的Y项目”对应的角色信息是：“XMRole 11”，得到上述租户信息：“X租户”对应的角色信息是：“ZHRole 12”。最终，通过查询主体角色信息-权限点信息的映射表，可以得到上述角色信息：“XMRole 11”对应的权限集合B1＝{权限点Q1、权限点Q2、权限点Q3、权限点Q4、权限点Q5、权限点Q6、权限点Q8、权限点Q10}，得到上述角色信息“ZHRole 12”对应的权限集合B2＝{权限点Q2、权限点Q3、权限点Q4、权限点Q5、权限点Q6、权限点Q9、权限点Q10}，则，通过取交集，得到第二集合B＝B1∩B2＝{权限点Q2、权限点Q3、权限点Q4、权限点Q5、权限点Q6、权限点Q10}。

S105：将第一集合A与第二集合B的交集A∩B确定为鉴权集合C。

本申请实施例中，第一集合A表示用户在各个上层主体中的权限点信息集合。第二集合B表示用户所属的各个上层主体所具备的权限点信息集合。由于在上述应用系统的权限管理机制中，下层主体所对应的权限点信息集合可以是上层主体所对应的权限点信息集合的子集。举例而言，用户是项目、租户的下层主体，项目、租户是用户的上层主体，则用户所对应的权限点信息集合是各个租户、项目所对应的权限点信息集合的子集。故，需要通过将第一集合A与第二集合B的交集A∩B确定为鉴权集合C，以确定该用户最终能够拥有的权限。

S106：判断待鉴权的权限点信息是否在鉴权集合C中。

继续沿用上述例子，假设第一集合A＝{权限点Q1、权限点Q3、权限点Q4}，第二集合B＝{权限点Q2、权限点Q3、权限点Q4、权限点Q5、权限点Q6、权限点Q10}，则确定的鉴权集合C＝A∩B＝{权限点Q3、权限点Q4}。

若终端发送的鉴权请求中携带的待鉴权的权限点信息是：Q3、或Q4、或{Q3、Q4}，由于这些权限点信息在鉴权集合C中，则判定鉴权通过，该终端的用户具备相应的访问应用系统的资源的权限。相反地，若终端发送的鉴权信息中携带的待鉴权的权限点信息不在上述鉴权集合C中，如：Q5，则判定鉴 权不通过，该终端的用户不具备相应的访问应用系统的资源的权限。

图3为本申请另一实施例中鉴权方法的流程图。上述鉴权方法的执行主体可以是应用系统的服务器。基于上述应用系统的架构，本实施例的鉴权方法包括：

S201：接收终端发送的携带用户信息及待鉴权信息集合的鉴权请求；其中，所述待鉴权信息集合包含至少一个待鉴权的权限点信息。

S202：根据用户信息，获取与该用户信息对应的包含至少一个权限点信息的第一集合A。

S203：确定与用户信息相关联的至少一个上层主体信息。

S204：根据至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合B。

S205：将第一集合A与第二集合B的交集确定为鉴权集合C。

上述步骤S201～S205可以参照上述步骤S101～S105的内容，定义该待鉴权信息集合D。

S206：判断待鉴权信息集合D与所述鉴权集合C是否有交集。

S207：若是，将所述待鉴权信息集合D与所述鉴权集C合的交集确定为与当前的鉴权请求对应的鉴权通过的权限点信息的集合E。

本申请实施例中，若集合E＝D∩C＝D，则表明待鉴权信息集合D是鉴权集C的一个子集，也就是说，待鉴权信息集合D包含的各个待鉴权的权限点信息全部落在最终确定的鉴权集合C中，可以判定鉴权完全通过；若集合E＝D∩C＝空集，则表明待鉴权信息集合D包含的各个待鉴权的权限点信息没有一个落在最终确定的鉴权集合C中，可以判定鉴权完全不通过；若集合E＝D∩C不是空集，而是集合D的子集，则表明待鉴权信息集合D包含的各个待鉴权的权限点信息部分落在最终确定的鉴权集合C中，可以判定鉴权部分通过。

通过上述过程，可以根据集合E＝D∩C所包含的权限点信息，来确定使用终端的用户最终鉴权通过的权限。

图4为本申请一实施例中鉴权装置的模块图。本实施例的鉴权装置，包括：

接收单元301，用于接收终端发送的携带用户信息及待鉴权的权限点信息的鉴权请求；

第一确定单元302，用于确定与所述用户信息相关联的至少一个上层主体信息；

第一获取单元303，用于根据所述用户信息，获取与该用户信息对应的包含至少一个权限点信息的第一集合；

第二获取单元304，用于根据所述至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合；

第二确定单元305，用于将所述第一集合与所述第二集合的交集确定为鉴权集合；

判断单元306，用于判断所述待鉴权的权限点信息是否在所述鉴权集合中，若是，则判定鉴权通过。

本申请实施例中，所述第二获取单元304具体用于：

若所述上层主体信息包括至少两个，则分别获取与各个上层主体信息对应的包括至少一个权限点信息的权限集合；

将与各个上层主体信息对应的权限集合的交集确定为所述第二集合。

本申请实施例中，若所述上层主体信息包括租户信息、项目信息，则，所述第一确定单元302具体用于：

确定与所述用户信息相关联的租户信息；

确定与所述用户信息相关联的、且归属于所述租户信息下的项目信息；

则，所述第二获取单元304具体用于：

获取与所述租户信息对应的包含至少一个权限点信息的权限集合；

获取与所述项目信息对应的包含至少一个权限点信息的权限集合；

将所述租户信息对应的的权限集合与所述项目信息对应的权限集合的交集确定为所述第二集合。

本申请实施例中，所述第一获取单元302具体用于：

查询与所述用户信息映射的第一角色信息；其中，所述第一角色信息用以标识所述用户信息对应的用户在所述上层主体信息对应的上层主体中的角色；

查询与所述第一角色信息映射的包含至少一个权限点信息的第一集合；

所述第二获取单元304具体用于：

查询与至少一个上层主体信息映射的至少一个第二角色信息；其中，所述第二角色信息用以标识该上层主体信息对应的上层主体在应用系统中的角色；

查询与至少一个第二角色信息映射的包含至少一个权限点信息的第二集合。

图5为本申请另一实施例中鉴权装置的模块图。本实施例的鉴权装置，包括：

接收单元401，用于接收终端发送的携带用户信息及待鉴权信息集合的鉴权请求；其中，所述待鉴权信息集合包含至少一个待鉴权的权限点信息；

第一确定单元402，用于确定与所述用户信息相关联的至少一个上层主体信息；

第一获取单元403，用于根据所述用户信息，获取与该用户信息对应的包含至少一个权限点信息的第一集合；

第二获取单元404，用于根据所述至少一个上层主体信息，获取与该上层主体信息对应的包含至少一个权限点信息的第二集合；

第二确定单元405，用于将所述第一集合与所述第二集合的交集确定为鉴权集合；

鉴权确定单元406，用于判断所述待鉴权信息集合与所述鉴权集合是否有交集；若是，将所述待鉴权信息集合与所述鉴权集合的交集确定为与当前的鉴权请求对应的鉴权通过的权限点信息的集合。

本申请实施例中，所述第二获取单元304具体用于：

若所述上层主体信息包括至少两个，则分别获取与各个上层主体信息对应 的包括至少一个权限点信息的权限集合；

将与各个上层主体信息对应的权限集合的交集确定为所述第二集合。

本申请实施例中，若所述上层主体信息包括租户信息、项目信息，则，所述第一确定单元302具体用于：

确定与所述用户信息相关联的租户信息；

确定与所述用户信息相关联的、且归属于所述租户信息下的项目信息；

则，所述第二获取单元304具体用于：

获取与所述租户信息对应的包含至少一个权限点信息的权限集合；

获取与所述项目信息对应的包含至少一个权限点信息的权限集合；

将所述租户信息对应的的权限集合与所述项目信息对应的权限集合的交集确定为所述第二集合。

本申请实施例中，所述第一获取单元302具体用于：

查询与所述用户信息映射的第一角色信息；其中，所述第一角色信息用以标识所述用户信息对应的用户在所述上层主体信息对应的上层主体中的角色；

查询与所述第一角色信息映射的包含至少一个权限点信息的第一集合；

所述第二获取单元304具体用于：

查询与至少一个上层主体信息映射的至少一个第二角色信息；其中，所述第二角色信息用以标识该上层主体信息对应的上层主体在应用系统中的角色；

查询与至少一个第二角色信息映射的包含至少一个权限点信息的第二集合。

综上，本申请实施例通过接收终端发送的包含用户信息的鉴权请求，根据用户信息获取与该用户信息对应的包含至少一个权限点信息的第一集合；之后确定与上述用户信息相关联的至少一个上层主体信息，并获取与该该上层主体信息对应的包含至少一个权限点信息的第二集合；最终，根据获取到的第一集合和第二集合，将第一集合、第二集合的交集确定为鉴权集合，根据该鉴权集合来判定终端发送的鉴权请求是否通过。从而基于以上过程，本申请实施例可 以实现包含多个主体的应用的权限管理。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、 方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本申请的实施例可提供为方法、系统或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。