一种英特网协议安全IPSec协议加密方法和网络设备与流程

本发明实施例涉及通信领域，尤其涉及一种英特网协议安全IPSec协议加密方法和网络设备。

背景技术：

网络越来越普遍，随之而来的网络安全问题备受关注，例如客户端遭受的重播攻击：发送端向接收端发送了一个网络之间互连的协议(Internet Protocol，简称IP)报文，若该IP报文被恶意用户捕获，恶意用户向接收端在重复发送该IP报文，造成网络应用会受到不断重播的数据包的轰炸。英特网协议安全(Internet Protocol Security，简称IPSec)协议的出现解决了这个问题，IPSec协议中定义了一个序列号(Sequence Number，简称SN)字段，用于记录该IP报文的序列号，任何发送端在必须保证同一组SA信息下，发送报文时SN是唯一的，例如，接收端接收了序列号为5的IP报文，当再次接收到序列号为5的IP报文时，拒绝接收该重复发送的报文。

现有技术中，单核设备单个转发线程时，报文按照序列串行依次封装、发送，接收端收到的IPSec封装报文的序列号不会出现乱序情况。对于多核异构网络设备，例如，即数字信号处理(Digital Signal Process，简称DSP)技术+进阶精简指令集机器(Advanced Reduced Instruction Set Computer Machine，简称ARM)、DSP+精简指令集架构的中央处理器(Performance Optimization With Enhanced RISC-Performance Computing，简称POWERPC)等多核异构的集成芯片中，通常使用DSP作业务处理，使用POWERPC或ARM核运行Linux操作系统作为控制业务；对于POWERPC或ARM核处理的控制面数据，通常采用集成芯片的中央处理器(Central Processing Unit，简称CPU)核运行软件加密程序进行加密，而DSP核处理的用户面数据通常采用硬加密模块进行加密。由于多核异构网络设备在处理数据时多个线程并行处理报文，发送IP报文时是在不同的加密模块进行加密的，容易导致接收端收到的IPSec协议封装的IP报文的序列号出现乱序，容易导致该IP报文被认定为重放报文，而被错误的丢弃。

现有技术中，为了解决多核异构网络设备中IP报文的序列号不保序的问题，采用在多核异构网络设备中进行多核之间共享内存，但是异构CPU之间的同步和互斥的额外处理非常麻烦，加大了程序设计的复杂度。因此，亟需一种IPSec加密的方法，以有效解决现有技术中多核异构网络设备发送的IP报文序列号不保序的问题。

技术实现要素：

本发明实施例提供一种英特网协议安全IPSec协议加密方法和网络设备，用于有效解决现有技术中多核异构网络设备发送的IP报文序列号无法保序的问题。

本发明实施例提供一种英特网协议安全IPSec协议加密方法，适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备，该方法包括：网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且网络设备在根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文。

本发明实施例提供一种用于英特网协议安全IPSec协议加密的网络设备，包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核，该网络设备包括：控制面处理器核，用于获取第一IP报文；硬件加密模块，用于在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且在通过控制面处理器核确定第一IP报文需进行硬加密的情况下：为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网卡，用于发送加密后第一IP报文。

本发明实施例中，由于网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文。可见，本发明实施例中，对需进行加密的报文进行进一步的处理，将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密，也就是说，本发明实施例中仅通过一个加密模块对报文进行加密，如此，本发明实施例中可保证报文的序列号保序的目的，避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍。

图1为本发明实施例提供的一种英特网协议安全IPSec协议加密系统的架构示意图；

图2为本发明实施例提供的一种英特网协议安全IPSec协议加密方法的流程示意图；

图3为本发明实施例提供的在另一种英特网协议安全IPSec协议加密方法的流程示意图；

图4为本发明实施例提供的一种用于英特网协议安全IPSec协议加密的网络设备的结构示意图。

具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

图1示例性示出了本发明实施例适用的一种英特网协议安全IPSec协议加密系统架构示意图，该系统架构适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备；如图1所示，该系统架构100包括控制面处理器核110、用户面处理器核120、硬件加密模块130和网卡140；控制面处理器核110包括网络协议栈111、网卡驱动112；网络协议栈111连接网卡驱动112；可选地，控制面处理器核110可连接用户面处理器核120，也可以连接网卡140；进一步地，控制面处理器核110可以通过网卡驱动112连接用户面处理器核120，也可以通过网卡驱动112连接网卡140；可选地，用户面处理器核120连接硬件加密模块130，也可以连接网卡140；硬件加密模块130连接网卡140；其中，控制面处理器核110用于处理控制面数据，用户面处理器核120用于处理用户面数据。可选地，控制面处理器核110可以为POWERPC核，也可以为ARM核；可选地，用户面处理器核120可以为DSP核。

本发明实施例中，一方面，控制面处理器核110中的网络协议栈111处理控制面数据得到的第一IP报文，通过网卡驱动112确定第一IP报文是否需要加密，通过核间通信技术将需要进行加密的第一IP报文发送至用户面处理器核120，再通过用户面处理器核120发送至硬件加密模块130进行加密并分配序列号，之后通过网卡140将加密后第一IP报文发送出去；另一方面，用户面处理器核120处理的用户面数据得到的第二IP报文，发送至硬件加密模块130进行加密并分配序列号，之后通过网卡140将加密后第一IP报文发送出去。

图2示例性示出了本发明实施例提供的一种英特网协议安全IPSec协议加密方法的流程示意图。

基于图1所示的系统架构，如图2所示，本发明实施例提供的一种英特网协议安全IPSec协议加密方法，适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备，该方法包括以下步骤：

步骤S201：网络设备通过控制面处理器核获取第一IP报文；

步骤S202：网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且网络设备在根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；

步骤S203：网络设备通过网卡发送加密后第一IP报文。

基于上述实施例，在步骤S201中，可选地，第一IP报文可为控制面处理器核处理的控制面数据进行封装得到的IP报文。

基于上述实施例，在步骤S202中，可选地，第一IP报文的信息包括：报文中的源IP地址和目的IP地址；可选地，控制面处理器核可以为运行Linux操作系统的核；确定第一IP报文是否需要进行加密有多种方式，一种可选的方式为控制面处理器核中的网络协议栈确定第一IP报文是否需要进行加密；在确定第一IP报文是否需要进行加密的情况下，将第一IP报文发送至网卡驱动；网卡驱动对需要加密的IP报文进行是否需要硬加密的判断；在第一IP报文需要硬加密的情况下，将需要硬加密的第一IP报文通过核间通信(Inter-Processsor Communication，简称IPC)技术发送至用户面处理器核，再通过硬件加密模块为第一IP报文分配序列号并进行硬加密。

基于上述实施例，在步骤S203中，硬件加密模块将加密后第一IP报文通过网卡发送出去。

本发明实施例中，由于网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文。可见，本发明实施例中，对需进行加密的报文进行进一步的处理，将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密，也就是说，本发明实施例中仅通过一个加密模块对报文进行加密，如此，本发明实施例中可保证报文的序列号保序的目的，避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题。

可选地，网络设备根据第一IP报文的信息确定第一IP报文需进行硬加密，需要满足以下两种情况中的任一种：第一种，网络设备在确定第一IP报文为隧道模式的情况下，且确定第一IP报文中的源IP地址为基于IPSec协议进行协商的IP地址，则确定第一IP报文需进行硬加密；第二种，网络设备在确定第一IP报文为传输模式的情况下，获取云端服务器中预设的处于保护状态的IP地址集合，在确定第一IP报文中的目的IP地址为IP地址集合中的一个的情况下，确定第一IP报文需进行硬加密。

本发明实施例中，可选地，第一IP报文的信息包括：报文中的源IP地址和目的IP地址；举个例子，两个网络设备分别为客户端和云端服务器，其中，客户端的IP地址为IP₁₁，云端服务器的IP地址为IP₂₁，客户端和云端服务器开始通信之前，先建立IPSec链路进行收发报文，以客户端向云端服务器发送第一IP报文为例：

针对上述实施例中的第一种情况：在隧道模式的情况下，客户端和云端服务器之间建立IPSec隧道，并基于IPSec协议协商发送报文的IP地址，客户端基于IPSec协议的协商IP地址为IP₁₂，云端服务器基于IPSec协议的协商IP地址为IP₂₂，在客户端向云端服务器发送需要加密的第一IP报文时，将第一报文中源IP地址设为IP₁₂；客户端在确定第一报文中的源IP地址为IP₁₂，则确定第一IP报文需进行硬加密。

针对上述实施例中的第二种情况：在传输模式的情况下，客户端和云端服务器之间建立IPSec链路，云端服务器中预设了处于保护状态的IP地址集合：IP₃₁、IP₃₂、IP₃₃、IP₃₄、IP₃₅、IP₃₆，IP地址集合中每个IP地址对应一个网络设备；客户端和IP地址集合中的一个网络设备进行通信，首先获取IP地址集合，在客户端向云端服务器发送需要加密的第一IP报文时，例如，将客户端的网络协议栈将第一IP报文中的目的IP地址设为IP₃₄，则客户端中的网卡驱动确定第一IP报文中的目的IP地址IP₃₄在IP地址集合：IP₃₁、IP₃₂、IP₃₃、IP₃₄、IP₃₅、IP₃₆中，则确定第一IP报文需进行硬加密。

可选地，网络设备在确定第一IP报文不需进行硬加密包括两种情况：第一种情况，网络设备在确定第一IP报文为隧道模式的情况下，且确定第一IP报文中的源IP地址不为基于IPSec协议进行协商的IP地址，确定第一IP报文不需要进行硬加密；第二种情况，网络设备在确定第一IP报文为传输模式的情况下，获取云端服务器中预设的处于保护状态的IP地址集合，在确定第一IP报文中的目的IP地址不为IP地址集合中的任一个的情况下，确定第一IP报文不需要进行硬加密。

本发明实施例中，可选地，可通过网卡驱动对第一IP报文的信息进行确定，进而确定第一IP报文是否需要硬加密，如此，可以有效确定出需要硬加密的IP报文，并发送至硬件加密模块进行加密，进而避免了第一IP报文直接在控制面处理器核上进行软加密带来的发送报文序列号不保序的问题。

可选地，网络设备通过控制面处理器核获取第一IP报文之后，还包括：网络设备在通过控制面处理器核确定第一IP报文为不需进行加密的第一IP报文的情况下：网络设备通过网卡发送第一IP报文。可选地，控制面处理器核确定第一IP报文为不需进行加密的第一IP报文时，通过普通IP报文的发送接口将第一IP报文发送至网卡驱动；如此，不需要进行加密的IP报文直接通过网卡发送出去，避免了将不需要加密的第一IP报文发送至网卡驱动造成的资源浪费。

可选地，网络设备在确定第一IP报文为需进行加密的第一IP报文的情况之后，还包括：网络设备在根据第一IP报文的信息确定第一IP报文不需进行硬加密的情况下：网络设备通过网卡发送第一IP报文。可选地，可通过网卡驱动确定第一IP报文是否需要进行硬加密，将不需要进行硬加密的第一IP报文直接发送至网卡，如此，避免了将不需要进行硬加密的第一IP报文发送至用户面处理器核而造成的资源浪费。

可选地，英特网协议安全IPSec协议加密方法还包括：网络设备通过用户面处理器核获取第二IP报文；网络设备在根据第二IP报文的信息确定第二IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第二IP报文分配序列号，并进行硬加密，得到加密后第二IP报文；网络设备通过网卡发送加密后第二IP报文。

本发明实施例中，可选地，用户面处理器核处理的用户面数据得到第二IP报文；在第二IP报文需要硬加密的情况下，将需要硬加密的第二IP报文发送至硬件加密模块进行硬加密；在第二IP报文不需要硬加密的情况下，将第二IP报文通过网卡发送出去；因此，控制面处理器核的需要硬加密的第一IP报文和用户面处理器核的需要加密的第二IP报文都发送至硬件加密模块进行加密，如此，多核异构网络设备向外发送的加密IP报文都通过硬件加密模块分配序列号并进行硬加密，一方面，避免了多核异构网络设备中多线程并行加密IP报文导致的序列号不保序的问题；另一方面，多核异构网络设备中多核之间不需要做任何共享内存或其他互斥、同步操作，避免了资源互斥问题。

可选地，通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文，包括：网络设备确定出预设的安全策略路由；其中，安全策略路由中包括至少一个IP地址；网络设备在确定第一IP报文中的目的IP地址属于至少一个IP地址中的一个的情况下，确定第一IP报文为需进行加密的第一IP报文。

可选地，控制面处理器核包括Linux操作系统的网络协议栈；本发明通过对网络协议栈进行修改，确定需要加密的第一IP报文；可选地，网络协议栈预设安全策略路由包括至少一个IP地址对应的安全策略路由；例如，预设安全策略路由中，IP地址为192.168.10.15到192.168.10.30对应一个安全路由，若第一IP报文中的目的IP地址为192.168.10.25，则网络协议栈根据安全策略路由找到IP地址为192.168.10.25对应的安全路由，则确定该第一IP报文为需进行加密的第一IP报文。如此，网络设备通过控制面处理器可以确定第一IP报文是否需要加密，进而将需要加密的报文发送至网卡驱动，进而避免了将需要加密的第一IP报文在控制面处理器核进行软加密，进而避免CPU消耗过多资源进行软加密，达到了提升了系统性能的效果。

可选地，本发明提供一种可选的实现对控制面处理器核上的第一IP报文进行硬加密的方法；控制面处理器核以ARM核为例，用户面处理器核以DSP核为例：在ARM核中网络协议栈中设置xfrm_lookup函数，该xfrm_lookup函数用于识别需要IPSec协议进行加密封装处理，并返回第一IP报文所需要使用的发送接口；例如，在网络协议栈发送第一IP报文时，通过xfrm_lookup函数确定出第一IP报文中的IP地址对应的安全策略，则确定第一IP报文需要加密，则将该第一IP报文通过普通IP报文发送接口发送至网卡驱动程序；网卡驱动程序确定第一IP报文是否需要进行硬加密，若是需要硬加密，则将需要进行硬加密的第一IP报文通过IPC技术发送至DSP核；DSP核将第一IP报文发送至硬件加密模块分配序列号，并进行硬加密；同时，对于DSP核上处理的需要进行硬加密的第二IP报文，DSP核将需要进行硬加密的第二IP报文也发送至硬件加密模块分配序列号，并进行硬加密；如此，保证了核异构网络设备发出的IP报文都是经过硬件加密模块进行分配序列号，并进行硬加密，达到了在多核异构网络设备的单线程加密IP报文的效果，使得硬加密的IP报文的序列号报文有序增长，避免报文被对端的抗重播机制所丢弃的问题。

为了更清楚的介绍上述方法流程，本发明实施例提供以下示例。

图3示例性示出了本发明实施例提供的另一种英特网协议安全IPSec协议加密方法的流程示意图，基于图1所示的系统架构，如图3所示，本发明实施例提供的另一种英特网协议安全IPSec协议加密方法，适用于包括至少一个对控制面数据进行处理的控制面处理器核和至少一个对用户面数据进行处理的用户面处理器核的多核异构网络设备，该方法包括以下步骤：

步骤S301：网络设备通过控制面处理器核获取第一IP报文；

步骤S302：网络设备在控制面处理器核确定第一IP报文中的目的IP地址是否属于预设的安全策略路由中的至少一个IP地址中的一个；若是，则执行步骤S303；若否，则执行步骤S313；

步骤S303：网络设备通过网络协议栈确定第一IP报文为需进行加密的第一IP报文；

步骤S304：网络设备通过网卡驱动确定第一IP报文为隧道模式或传输模式；若是隧道模式，执行步骤S305；若是传输模式，执行步骤S306；

步骤S305：网络设备通过网卡驱动确定第一IP报文中的源IP地址是否为基于IPSec协议进行协商的IP地址；若是，则执行步骤S307；若否，则执行步骤S313；

步骤S306：网络设备获取云端服务器中预设的处于保护状态的IP地址集合，确定第一IP报文中的目的IP地址是否为IP地址集合中的一个；若是，则执行步骤S307；若否，则执行步骤S313；

步骤S307：网络设备确定第一IP报文需进行硬加密；

步骤S308：通过控制面处理器核中的网卡驱动将第一IP报文发送至用户面处理器核；

步骤S309：网络设备通过用户面处理器核获取第二IP报文；

步骤S310：网络设备在根据第二IP报文的信息确定第二IP报文是否需进行硬加密；若是，则执行步骤S311；若否，则执行步骤S314；

步骤S311：网络设备通过用户面处理器核将第一IP报文和第二IP报文发送至硬件加密模块；

步骤S312：网络设备通过硬件加密模块分别为第一IP报文和第二IP报文分配序列号，并分别进行硬加密，得到加密后第一IP报文和加密后第二IP报文；

步骤S313：通过网卡驱动将第一IP报文发送至网卡；

步骤S314：网络设备通过网卡将第一IP报文和加密后第二IP报文发送出去。

从上述内容可以看出：由于网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文；而且，用户面处理器核处理的第二IP报文也通过至硬件加密模块分配序列号并统一进行硬加密；可见，本发明实施例中，对需进行加密的报文进行进一步的处理，将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密，也就是说，本发明实施例中仅通过一个加密模块对报文进行加密，如此，本发明实施例中可保证报文的序列号保序的目的，避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题；而且，在抗重播检测过程中避免了IP报文被丢弃的问题，增加了数据的安全性。进一步，本发明实施例中的方法避免了第一IP报文在控制面处理器核进行软加密造成的系统性能的下降的问题，多核异构网络设备中多核之间不需要做任何共享内存或其他互斥、同步操作，避免了资源互斥问题，大大简化了程序设计。

图4示例性示出了本发明实施例提供的一种用于英特网协议安全IPSec协议加密的网络设备的结构示意图。

基于相同构思，本发明实施例提供的一种用于英特网协议安全IPSec协议加密的网络设备，用于执行上述方法流程，如图4所示，该用于英特网协议安全IPSec协议加密的网络设备400包括控制面处理器核401、硬件加密模块403和网卡404，还包括用户面处理器核402；其中：

控制面处理器核401，用于获取第一IP报文；

硬件加密模块403，用于在通过所述控制面处理器核401确定所述第一IP报文为需进行加密的第一IP报文的情况下，且在通过所述控制面处理器核401确定所述第一IP报文需进行硬加密的情况下：为所述第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；

网卡404，用于发送所述加密后第一IP报文。

可选地，所述控制面处理器核401，用于：在确定所述第一IP报文为隧道模式的情况下，且确定所述第一IP报文中的源IP地址为基于IPSec协议进行协商的IP地址，则确定所述第一IP报文需进行硬加密；在确定所述第一IP报文为传输模式的情况下，获取云端服务器中预设的处于保护状态的IP地址集合，在确定所述第一IP报文中的目的IP地址为所述IP地址集合中的一个的情况下，确定所述第一IP报文需进行硬加密。

可选地，所述网卡404，还用于：在通过所述控制面处理器核401确定所述第一IP报文不需进行硬加密的情况下：发送所述第一IP报文。

可选地，所述网卡404，还用于：在通过所述控制面处理器核401确定所述第一IP报文为不需进行加密的第一IP报文的情况下：所述网络设备通过网卡404发送所述第一IP报文。

可选地，所述网络设备还包括：用户面处理器核402，用于获取第二IP报文；

所述硬件加密模块403，还用于：在通过所述用户面处理器核402确定所述第二IP报文需进行硬加密的情况下：为所述第二IP报文分配序列号，并进行硬加密，得到加密后第二IP报文；所述网卡404，还用于：发送所述加密后第二IP报文。

可选地，所述控制面处理器核401，用于：确定出预设的安全策略路由；其中，所述安全策略路由中包括至少一个IP地址；在确定所述第一IP报文中的目的IP地址属于所述至少一个IP地址中的一个的情况下，确定所述第一IP报文为需进行加密的第一IP报文。

从上述内容可以看出：由于网络设备通过控制面处理器核获取第一IP报文；网络设备在通过控制面处理器核确定第一IP报文为需进行加密的第一IP报文的情况下，且根据第一IP报文的信息确定第一IP报文需进行硬加密的情况下：网络设备通过硬件加密模块为第一IP报文分配序列号，并进行硬加密，得到加密后第一IP报文；网络设备通过网卡发送加密后第一IP报文；而且，用户面处理器核处理的第二IP报文也通过至硬件加密模块分配序列号并统一进行硬加密；可见，本发明实施例中，对需进行加密的报文进行进一步的处理，将需进行加密、且需进行硬加密的报文通过硬件加密模块进行加密，也就是说，本发明实施例中仅通过一个加密模块对报文进行加密，如此，本发明实施例中可保证报文的序列号保序的目的，避免了像现有技术中通过两个加密模块对报文进行加密所导致的报文的序列号不保序的问题；而且，在抗重播检测过程中避免了IP报文被丢弃的问题，增加了数据的安全性。进一步，本发明实施例中的方法避免了第一IP报文在控制面处理器核进行软加密造成的系统性能的下降的问题，多核异构网络设备中多核之间不需要做任何共享内存或其他互斥、同步操作，避免了资源互斥问题，大大简化了程序设计。

本领域内的技术人员应明白，本发明的实施例可提供为方法、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。