一种更新权限的方法及装置与流程

本发明涉及安全技术领域，尤其涉及一种更新权限的方法及装置。

背景技术：

权限认证是系统安全中最重要的问题，只有在进行安全可靠的权限认证的基础上，各种安全产品才能最有效地发挥安全防护作用；也只有完成了权限认证，网络系统才可能安全、高效地开放和共享各种网络资源、系统资源、信息资源。

目前，权限认证主要采用单点登录的方式来实现，例如，当用户第一次访问应用系统1的时候，因为还没有登录，会被引导到认证系统中进行登录；认证系统根据用户提供的登录信息进行身份校验，如果身份校验成功，返回给用户一个认证的凭据－ticket；用户再访问其他应用系统的时候，就会将这个ticket带上，作为自己认证的凭据，其他应用系统接收到请求之后会把ticket发送到认证系统进行身份校验，检查ticket的合法性。如果通过校验，用户就可以在不用再次登录的情况下访问其他应用系统了。

上述方法可以实现权限的认证，但是，由于用户获得认证系统的ticket后，可以访问所有应用系统，安全性较低。

技术实现要素：

鉴于上述问题，提出了本发明，以便提供一种克服上述问题或者至少部分地解决上述问题的一种更新权限的方法和装置。

依据本发明的第一方面，提供了一种更新权限的方法，包括：

业务服务器更新登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

所述业务服务器将更新后的权限令牌发送至认证服务器。

在一个实施方式中，根据本发明的上述实施方式所述的方法，所述业务服务器更新登录终端的标识id的权限令牌之前，所述方法还包括：

所述业务服务器接收所述认证服务器发送的验证请求；

所述业务服务器根据所述验证请求查询所述id与所述业务服务器对应的权限；

所述业务服务器根据查询到的权限结果生成所述权限令牌；

所述业务服务器将所述权限令牌发送至所述认证服务器。

依据本发明的第二方面，提供了一种更新权限的方法，包括：

认证服务器接收业务服务器发送的更新后的登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

所述认证服务器向轻量目录访问协议ldap服务器发送查询请求，所述查询请求用于查询所述id是否为有效id；

所述认证服务器接收到所述ldap服务器发送的确定所述id为有效id的查询响应消息时，将接收到的更新后的权限令牌发送至所述终端。

在一个实施方式中，根据本发明的上述实施方式所述的方法，所述认证服务器接收业务服务器发送的更新后的登录终端的标识id的权限令牌之前，所述方法还包括：

所述认证服务器向所述业务服务器发送验证请求，所述验证请求用于验证采用所述id登录的终端是否具有访问所述业务服务器的应用的权限；

所述认证服务器接收所述业务服务器根据所述验证请求返回的所述权限令牌。

在一些实施方式中，根据本发明的上述任一实施方式所述的方法，所述认证服务器向所述业务服务器发送验证请求之前，所述方法还包括：

所述认证服务器接收所述终端发送的登录请求，根据所述登录请求向所述ldap服务器发送所述查询请求；

所述认证服务器接收所述ldap服务器根据所述查询请求返回的确定所述id为有效id的查询响应消息。

依据本发明的第三方面，提供了一种业务服务器，包括：

权限令牌更新单元，用于更新登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

发送单元，用于将更新后的权限令牌发送至认证服务器。

在一个实施方式中，根据本发明的上述实施方式所述的业务服务器，还包括接收单元、查询单元和权限令牌生成单元，其中：

所述接收单元，用于接收所述认证服务器发送的验证请求；

所述查询单元，用于根据所述验证请求查询所述id与所述业务服务器对应的权限；

所述权限令牌生成单元，用于根据查询到的权限结果生成所述权限令牌；

所述发送单元还用于，将所述权限令牌发送至所述认证服务器。

依据本发明的第四方面，提供了一种认证服务器，包括：

接收单元，用于接收业务服务器发送的更新后的登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

发送单元，用于向轻量目录访问协议ldap服务器发送查询请求，所述查询请求用于查询所述id是否为有效id；

所述接收单元还用于，接收到所述ldap服务器发送的确定所述id为有效id的查询响应消息；

所述发送单元还用于，将接收到的更新后的权限令牌发送至所述终端。

在一个实施方式中，根据本发明的上述实施方式所述的认证服务器，所述发送单元还用于，向所述业务服务器发送验证请求，所述验证请求用于验证采用所述id登录的终端是否具有访问所述业务服务器的应用的权限；

所述接收单元还用于，接收所述业务服务器根据所述验证请求返回的所述权限令牌。

在一些实施方式中，根据本发明的上述任一实施方式所述的认证服务器，所述接收单元还用于，接收所述终端发送的登录请求；

所述发送单元还用于，根据所述登录请求向所述ldap服务器发送所述查询请求；

所述接收单元还用于，接收所述ldap服务器根据所述查询请求返回的确定所述id为有效id的查询响应消息。

本发明实施例中，提出一种更新权限的方法：业务服务器更新登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；所述业务服务器将更新后的权限令牌发送至认证服务器，在该方案中，业务服务器更新权限令牌，发送至认证服务器，终端能否访问业务服务器的权限是由业务服务器自己来控制的，不是认证服务器来控制的，避免终端根据一个权限令牌可以访问多个业务服务器的缺陷，因此，提高了安全性。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是根据本发明的实施例的更新权限的方法的一种流程图；

图2是根据本发明的实施例的更新权限的方法的另一种流程图；

图3是根据本发明的实施例的更新权限的实施例的流程图；

图4是根据本发明的实施例的权限回收的实施例的流程图；

图5是根据本发明的实施例的认证登录的实施例的流程图；

图6是根据本发明的实施例的业务服务器的一种示意图；

图7是根据本发明的实施例的认证服务器的一种示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示意性地示出了根据本发明实施方式的用于更新权限的方法10的流程示意图。如图1所示，该方法可以包括步骤100和110。

步骤100：业务服务器更新登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

步骤110：所述业务服务器将更新后的权限令牌发送至认证服务器。

上述描述的是，业务服务器更新权限的过程，那么在更新权限之前，业务服务器要先生成id的权限令牌，因此，所述业务服务器更新登录终端的标识id的权限令牌之前，所述方法还包括如下操作：

所述业务服务器接收所述认证服务器发送的验证请求；

所述业务服务器根据所述验证请求查询所述id与所述业务服务器对应的权限；

所述业务服务器根据查询到的权限结果生成所述权限令牌；

所述业务服务器将所述权限令牌发送至所述认证服务器。

例如：业务服务器1接收认证服务器发送的验证请求，业务服务器1根据验证请求查询第一id与业务服务器1对应的权限，业务服务器1根据查询到的权限结果生成第一id的第一权限令牌，然后，业务服务器1将第一权限令牌发送至认证服务器，后续，如果业务服务器1更新第一权限令牌生成第二权限令牌的话，业务服务器1将第二权限令牌发送至认证服务器。

本发明实施例中，所述业务服务器将更新后的权限令牌发送至认证服务器之后，所述方法还包括如下操作：

所述业务服务器采用所述更新后的权限令牌与所述终端进行交互。

也就是说，业务服务器未将更新后的权限令牌发送至认证服务器之前，业务服务器跟终端采用未更新的权限令牌进行交互，而当业务服务器将更新后的权限令牌发送至认证服务器之后，业务服务器跟终端采用更新后的权限令牌进行交互。

本发明实施例中，业务服务器可以为面客系统的业务服务器、餐饮系统的业务服务器、居民系统的业务服务器和照护系统的业务服务器中的任意一种业务服务器，当然还可以为提供其他服务的业务服务器，在此不再进行详述。

本发明实施例中，更新权限实际上是指对用户的权限范围进行修改，例如，原来用户只是具有查看数据的权限，后来变更为也具有数据修改的权限；又例如，原来用户具有数据修改的权限，后来变更为只具有查看数据的权限。

在该方案中，业务服务器更新权限令牌，发送至认证服务器，终端能否访问业务服务器的权限是由业务服务器自己来控制的，不是认证服务器来控制的，避免终端根据一个权限令牌可以访问多个业务服务器的缺陷，因此，提高了安全性。

图2示意性地示出了根据本发明实施方式的用于更新权限的方法20的流程示意图。如图2所示，该方法可以包括步骤200、210和220。

步骤200：认证服务器接收业务服务器发送的更新后的登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

步骤210：所述认证服务器向ldap(lightweightdirectoryaccessprotocol，轻量目标访问协议)服务器发送查询请求，所述查询请求用于查询所述id是否为有效id；

步骤220：所述认证服务器接收到所述ldap服务器发送的确定所述id为有效id的查询响应消息时，将接收到的更新后的权限令牌发送至所述终端。

本发明实施例中，进一步的，所述认证服务器接收业务服务器发送的更新后的登录终端的标识id的权限令牌之前，所述方法还包括如下操作：

所述认证服务器向所述业务服务器发送验证请求，所述验证请求用于验证采用所述id登录的终端是否具有访问所述业务服务器的应用的权限；

所述认证服务器接收所述业务服务器根据所述验证请求返回的所述权限令牌。

也就是说，认证服务器验证终端具有访问业务服务器的应用的权限之后，才会接收到业务服务器发送的更新后的登录终端的标识id的权限令牌。

本发明实施例中，进一步的，所述认证服务器向所述业务服务器发送验证请求之前，所述方法还包括如下操作：

所述认证服务器接收所述终端发送的登录请求，根据所述登录请求向所述ldap服务器发送所述查询请求；

所述认证服务器接收所述ldap服务器根据所述查询请求返回的确定所述id为有效id的查询响应消息。

上述描述的是认证服务器接收到的查询响应消息是确定id为有效id的查询响应消息，但是在实际应用中，认证服务器接收到的查询响应消息可能是确定id为无效id的查询响应消息，因此，本发明实施例中，还包括如下操作：

所述认证服务器接收到所述ldap服务器发送的确定所述id为无效id的查询响应消息时，向所述终端发送权限回收消息。

其中，权限回收消息用于撤销用户所具有的权限，例如，用户离职后，需要回收原有的权限。

本发明实施例中，业务服务器可以为面客系统的业务服务器、餐饮系统的业务服务器、居民系统的业务服务器和照护系统的业务服务器，当然还可以为提供其他服务的业务服务器，在此不再进行详述。

本发明实施例中，更新权限实际上是指对用户的权限范围进行修改，例如，原来用户只是具有查看数据的权限，后来变更为也具有数据修改的权限；又例如，原来用户具有数据修改的权限，后来变更为只具有查看数据的权限。

在该方案中，业务服务器更新权限令牌，发送至认证服务器，终端能否访问业务服务器的权限是由业务服务器自己来控制的，不是认证服务器来控制的，避免终端根据一个权限令牌可以访问多个业务服务器的缺陷，因此，提高了安全性。

前面是从业务服务器和认证服务器的角度来描述的，下面从终端的角度来描述更新权限的方法。

本发明实施例中，还提出一种更新权限的方法，包括如下步骤：

步骤a1：终端接收认证服务器发送的更新后的登录所述终端的标识id的权限令牌；

步骤a2：所述终端根据接收到的更新后的权限令牌访问业务服务器所提供的与所述id对应的权限的应用。

步骤a1和a2描述的是，当终端接收到更新后的权限令牌后，访问的应用发生变化。

在有些情况下，业务服务器还可能回收终端的一些权限，因此，所述方法还包括如下操作：

所述终端接收所述认证服务器发送的权限回收消息；

所述终端根据所述权限回收消息删除所述id与所述业务服务器中的应用对应的权限令牌，这样，终端就不能访问删除的权限令牌所对应的应用。

本发明实施例中，终端在接收到更新后的权限令牌之前，要接收到待更新的权限令牌，因此，所述终端接收认证服务器发送的更新后的登录终端的标识id的权限令牌之前，所述方法还包括如下操作：

所述终端向所述认证服务器发送登录请求，并接收所述认证服务器根据所述登录请求返回的所述权限令牌。

例如，终端向认证服务器发送登录请求，并接收认证服务器根据登录请求返回的访问业务服务器1的权限令牌1，此时，终端根据权限令牌1与业务服务器1进行交互，接下来，终端接收到认证服务器发送的权限令牌2，权限令牌2为对权限令牌1更新后的权限令牌，此时，终端根据权限令牌2与业务服务器1进行交互。

也就是说，终端要先进行认证登录之后，业务服务器可以对终端的权限令牌进行更新。

本发明实施例中，还提出一种验证方法，具体过程如下：

步骤b1：ldap服务器接收认证服务器发送的查询请求；

步骤b2：所述ldap服务器根据所述查询请求向所述认证服务器发送确定所述id为有效id或者无效id的查询响应消息。

本发明实施例中，进一步的，所述ldap服务器接收认证服务器发送的查询请求之前，所述方法还包括如下操作：

所述ldap服务器接收查询请求；

根据所述查询请求，基于存储的用户名和密码向所述认证服务器返回确定所述id为有效id的查询响应消息。

本发明实施例中，ldap服务器接收认证服务器发送的自身存储的(只有登录过的id才在认证服务器中存储)对应业务服务器的用户列表，ldap服务器中存储着所有用户的基本信息，如姓名、密码、用户编号等，如果能够找到匹配的，则认为id是有效id。

参阅图3所示，下面对本发明中的所提出的更新权限的方法举例说明。

步骤300：业务服务器1、业务服务器2、业务服务器3、业务服务器4分别将更新后的登录终端的第一id的权限令牌发送至认证服务器；

其中，业务服务器1对应面客系统、业务服务器2对应餐饮系统、业务服务器3对应居民系统、业务服务器4对应照护系统。

步骤310：认证服务器向ldap服务器发送查询请求，所述查询请求用于查询第一id是否为有效id；

步骤320：ldap服务器向认证服务器返回查询响应消息；

步骤330：认证服务器根据查询响应消息确定第一id是否为有效id，若是，认证服务器将接收到的更新后的权限令牌发送至终端；否则，执行步骤340；

在是的情况下，终端和业务服务器做交互的时候，需要一起传递由该业务服务器发送的更新后的权限令牌，使得登录终端的id只能访问有相应权限的应用。

步骤340：认证服务器启动“权限回收”流程。

参阅图4所示，下面对本发明中的所提出的权限回收的方法举例说明。

步骤400：ldap服务器确定id为无效id时，向认证服务器发送确定id为无效id的查询响应消息；

步骤410：认证服务器向终端发送权限回收消息；

步骤420：终端根据权限回收消息删除与业务服务器中对应的权限令牌，使得终端不能访问业务服务器中的应用。

本发明实施例中，在更新权限和回收权限之前，进一步的，需要先认证登录，参阅图5所示，下面对本发明中的所提出的认证登录的方法举例说明。

步骤500：终端向认证服务器发送登录请求；

步骤510：认证服务器接到登录请求，向ldap服务器发送查询请求；

其中步骤510中的查询请求为一级认证；

步骤520：ldap服务器向认证服务器发送查询响应消息；

步骤530：若查询响应消息为确定id为无效id的查询响应消息，则认证服务器将该查询结果反馈至终端；若查询响应消息为确定id为有效id的查询响应消息，则执行步骤540；

步骤540：认证服务器向业务服务器发送验证请求，所述验证请求用于验证采用所述id登录的终端是否具有访问所述业务服务器的应用的权限，此验证请求为第二级认证；

步骤550：业务服务器根据所述验证请求查询所述id与所述业务服务器对应的权限，根据查询到的权限结果生成所述权限令牌；将所述权限令牌发送至所述认证服务器；

步骤560：认证服务器将权限令牌发送至终端。

在该步骤中，终端接收到权限令牌后，只能访问业务服务器中权限令牌所对应的应用，在后续终端和业务服务器进行交互的时候，都需要一起传递由该权限令牌，以供业务服务器验证登录者的权限)。

需要说明的是，终端一旦登录成功，则后续无需再进行对终端进行“认证登录”流程，而通过“更新权限”流程和“权限回收”流程来管理用户权限；这样的好处是无需在每次登录时进行重新验证，系统可记住上次验证的结果，减小系统交互，提高效率。

参阅图6所示，本发明实施例还提出一种业务服务器60的示意图，业务服务器60包括权限令牌更新单元600、发送单元610，其中：

权限令牌更新单元600，用于更新登录终端的id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

发送单元610，用于将更新后的权限令牌发送至认证服务器。

上述描述的是，业务服务器更新权限的过程，那么在更新权限之前，业务服务器要先生成id的权限令牌，因此，进一步的，还包括接收单元620、查询单元630和权限令牌生成单元640，其中：

所述接收单元620，用于接收所述认证服务器发送的验证请求；

所述查询单元630，用于根据所述验证请求查询所述id与所述业务服务器对应的权限；

所述权限令牌生成单元640，用于根据查询到的权限结果生成所述权限令牌；

所述发送单元610还用于，将所述权限令牌发送至所述认证服务器。

例如：接收单元620接收认证服务器发送的验证请求，查询单元630根据验证请求查询第一id与业务服务器1对应的权限，权限令牌生成单元640根据查询到的权限结果生成第一id的第一权限令牌，然后，发送单元610将第一权限令牌发送至认证服务器，后续，如果业务服务器60更新第一权限令牌生成第二权限令牌的话，发送单元610将第二权限令牌发送至认证服务器。

本发明实施例中，所述业务服务器60还包括交互单元650，用于采用所述更新后的权限令牌与所述终端进行交互。

也就是说，发送单元610未将更新后的权限令牌发送至认证服务器之前，交互单元650跟终端采用未更新的权限令牌进行交互，而当发送单元610将更新后的权限令牌发送至认证服务器之后，交互单元650跟终端采用更新后的权限令牌进行交互。

本发明实施例中，业务服务器60可以为面客系统的业务服务器、餐饮系统的业务服务器、居民系统的业务服务器和照护系统的业务服务器中的任意一种业务服务器，当然还可以为提供其他服务的业务服务器，在此不再进行详述。

本发明实施例中，更新权限实际上是指对用户的权限范围进行修改，例如，原来用户只是具有查看数据的权限，后来变更为也具有数据修改的权限；又例如，原来用户具有数据修改的权限，后来变更为只具有查看数据的权限。

在该方案中，业务服务器更新权限令牌，发送至认证服务器，终端能否访问业务服务器的权限是由业务服务器自己来控制的，不是认证服务器来控制的，避免终端根据一个权限令牌可以访问多个业务服务器的缺陷，因此，提高了安全性。

参阅图7所示，本发明实施例还提出一种认证服务器70的示意图，认证服务器70包括接收单元700、发送单元710，其中：

接收单元700，用于接收业务服务器发送的更新后的登录终端的标识id的权限令牌，登录所述终端的任意两个不同的id对应的权限令牌不同；

发送单元710，用于向轻量目录访问协议ldap服务器发送查询请求，所述查询请求用于查询所述id是否为有效id；

所述接收单元700还用于，接收到所述ldap服务器发送的确定所述id为有效id的查询响应消息；

所述发送单元710还用于，将接收到的更新后的权限令牌发送至所述终端。

本发明实施例中，进一步的，所述发送单元710还用于，向所述业务服务器发送验证请求，所述验证请求用于验证采用所述id登录的终端是否具有访问所述业务服务器的应用的权限；

所述接收单元700还用于，接收所述业务服务器根据所述验证请求返回的所述权限令牌。

也就是说，认证服务器70验证终端具有访问业务服务器的应用的权限之后，才会接收到业务服务器发送的更新后的登录终端的标识id的权限令牌。

本发明实施例中，进一步的，所述接收单元700还用于，接收所述终端发送的登录请求；

所述发送单元710还用于，根据所述登录请求向所述ldap服务器发送所述查询请求；

所述接收单元700还用于，接收所述ldap服务器根据所述查询请求返回的确定所述id为有效id的查询响应消息。

上述描述的是接收单元700接收到的查询响应消息是确定id为有效id的查询响应消息，但是在实际应用中，接收单元700接收到的查询响应消息可能是确定id为无效id的查询响应消息，因此，本发明实施例中，接收单元700还用于，接收到所述ldap服务器发送的确定所述id为无效id的查询响应消息；：

所述发送单元710还用于，在所述接收单元700接收到所述ldap服务器发送的确定所述id为无效id的查询响应消息时，向所述终端发送权限回收消息。

其中，权限回收消息用于撤销用户所具有的权限，例如，用户离职后，需要回收原有的权限。

本发明实施例中，业务服务器可以为面客系统的业务服务器、餐饮系统的业务服务器、居民系统的业务服务器和照护系统的业务服务器，当然还可以为提供其他服务的业务服务器，在此不再进行详述。

本发明实施例中，更新权限实际上是指对用户的权限范围进行修改，例如，原来用户只是具有查看数据的权限，后来变更为也具有数据修改的权限；又例如，原来用户具有数据修改的权限，后来变更为只具有查看数据的权限。

在此提供的方法和装置不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的装置中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个装置中。可以把实施例中的若干模块组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者模块中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个装置实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的装置中的一些或者全部模块的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。