一种确定防火墙策略的方法及装置与流程

本说明书涉及信息安全技术领域，特别涉及一种确定防火墙策略的方法及装置。

背景技术：

现有的防火墙策略的开通都是通过运维人员登录到各个防火墙设备手动配置完成，每台防火墙都有成千上万的策略，每条策略都有多个ip地址构成，由于策略复杂以及条目众多，运维人员在配置之前，经常需要各种分析，人工的判断和尝试，配置错误了，会导致业务中断，特别是当策略之间有堆叠，更是难以处理。

技术实现要素：

为了解决人工配置防火墙策略带来的效率低的技术问题，本说明书提供一种确定防火墙策略的方法、装置、电子设备及存储介质。

为实现上述目的，本说明书实施方式提供一种确定防火墙策略的方法，包括：

获取业务申请；

对所述业务申请进行解析，获得源业务系统的位置信息和主机信息、目的业务系统的位置信息和主机信息；

利用所述源业务系统的位置信息和所述目的业务系统的位置信息确定业务申请所经过的网络路径；

将所述业务申请分解到所述网络路径经过的防火墙节点；

在所述防火墙节点上，根据所述源业务系统的主机信息、所述目的业务系统的主机信息以及所述防火墙节点判断从源业务系统到目的业务系统的访问是否需要进行nat转换；

根据判断结果将所述业务申请对应的业务信息进行策略分解，获得业务申请的策略；

将所述业务申请的策略与数据库中存储的策略进行比对；

根据比对结果确定防火墙策略。

优选地，所述判断结果包括：内网访问外网，则需要做源nat转换；外网访问内网，则需要做目的nat转换；同一网络类型的网络之间的访问，不需要做nat转换。

优选地，所述业务申请的策略包括：如果是同一个类型的网络之间的访问，则需要开通域间策略；如果是内网访问外网，则需要开通域间策略和源nat策略；如果是外网访问内网，则需要开通域间策略和目的nat策略。

优选地，根据比对结果确定防火墙策略的步骤包括：

所述业务申请的策略与所述数据库中存储的策略之间具有包含关系，则所述防火墙策略为数据库中已存储的具有包含关系的策略；

所述业务申请的策略与所述数据库中存储的策略之间相互冲突，则调整策略的优先级来确定防火墙策略或放弃所述业务申请的策略；

所述业务申请的策略与所述数据库中存储的策略之间具有冗余关系，则所述防火墙策略包含数据库中已存储的策略，进行策略合并；

所述业务申请的策略与所述数据库中存储的策略之间具有堆叠关系，则拆分所述业务申请的策略。

优选地，所述位置信息包括：安全域和下一跳信息；所述主机信息包括：网络类型和主机地址。

为实现上述目的，本说明书实施方式提供一种确定防火墙策略的装置，包括：

业务申请获取单元，用于获取业务申请；

解析单元，用于对所述业务申请进行解析，获得源业务系统的位置信息和主机信息、目的业务系统的位置信息和主机信息；

网络路径确定单元，用于利用所述源业务系统的位置信息和所述目的业务系统的位置信息确定业务申请所经过的网络路径；

第一分解单元，用于将所述业务申请分解到所述网络路径经过的防火墙节点；

判断单元，在所述防火墙节点上，根据所述源业务系统的主机信息、所述目的业务系统的主机信息以及所述防火墙节点判断从源业务系统到目的业务系统的访问是否需要进行nat转换；

第二分解单元，用于根据判断结果将所述业务申请对应的业务信息进行策略分解，获得业务申请的策略；

比对单元，用于将所述业务申请的策略与数据库中存储的策略进行比对；

防火墙策略确定单元，用于根据比对结果确定防火墙策略。

优选地，所述判断单元获得的判断结果包括：内网访问外网，则需要做源nat转换；外网访问内网，则需要做目的nat转换；同一类型网络之间的访问时，则不需要进行nat转换。

优选地，所述第二分解单元获得的业务申请的策略包括：如果是同一个类型的网络之间的访问，则需要开通域间策略；如果是内网访问外网，则需要开通域间策略和源nat策略；如果是外网访问内网，则需要开通域间策略和目的nat策略。

优选地，所述防火墙策略确定单元包括：

第一策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间具有包含关系，则所述防火墙策略为数据库中已存储的具有包含关系的策略；

第二策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间相互冲突，则调整策略的优先级来确定防火墙策略或放弃所述业务申请的策略；

第三策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间具有堆叠关系，则拆分所述业务申请的策略；

第四策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间具有冗余关系，则所述防火墙策略包含数据库中已存储的策略，进行策略合并。

优选地，所述解析单元获得的位置信息包括：安全域和下一跳信息；所述解析单元获得的主机信息包括：网络类型和主机地址。

为实现上述目的，本说明书实施方式提供一种电子设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述所述的确定防火墙策略的方法。

为实现上述目的，本说明书实施方式提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现上述所述的确定防火墙策略的方法的步骤。

由上可见，与现有技术相比较，本技术方案基于业务申请进行防火墙策略申请，并将业务申请分解为不同的策略，无需人为参与手动配置，更无需人工分析，提高了策略申请的正确性以及防火墙策略确定的准确性，从而最终提高了配置防火墙策略的效率。

附图说明

为了更清楚地说明本说明书实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书中记载的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书提出的一种确定防火墙策略的方法流程图；

图2为本技术方案的实施例示意图之一；

图3为本技术方案的实施例示意图之二；

图4为本技术方案的实施例示意图之三；

图5为本说明书提出的一种确定防火墙策略的装置功能框图；

图6为本说明书实施例提出的一种电子设备示意图。

具体实施方式

下面将结合附图，对本公开实施例中的技术方案进行清楚、完整地描述参考在附图中示出并在以下描述中详述的非限制性示例实施例，更加全面地说明本公开的示例实施例和它们的多种特征及有利细节。应注意的是，图中示出的特征不是必须按照比例绘制。本公开省略了已知材料、组件和工艺技术的描述，从而不使本公开的示例实施例模糊。所给出的示例仅旨在有利于理解本公开示例实施例的实施，以及进一步使本领域技术人员能够实施示例实施例。因而，这些示例不应被理解为对本公开的实施例的范围的限制。

除非另外特别定义，本公开使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。此外，在本公开各个实施例中，相同或类似的参考标号表示相同或类似的构件。

根据网络中的主机信息和其所属的位置，划分不同的业务系统，业务系统可以包括多个子系统，子系统的主机地址必须是业务系统的主机地址子集，子系统的位置信息和网络类型必须与业务系统一致。业务系统信息包含主机信息和位置信息。其中，主机信息包括网络类型和主机地址，位置信息包括业务系统所属的安全域和下一跳信息。

对于本技术方案来说，生成业务申请，源业务系统需要访问目标业务系统的web服务，向防火墙管理系统提交业务申请。根据业务申请中的位置信息将业务申请分解到不同的防火墙节点上，每个防火墙节点结合业务申请中的主机信息进行判断，利用判断结果对业务申请对应的业务信息进行策略分解。分解获取的策略包含且不限于静态路由、安全策略以及nat(networkaddresstranslation，网络地址转换)策略，并将分解后的策略与数据库中存储的策略进行比对分析，从而最终确定防火墙策略。

基于上述描述，如图1所示，为本说明书提出的一种确定防火墙策略的方法流程图。包括：

步骤101)：获取业务申请。

在本实施例中，业务系统是根据网络现状预先存储相应的数据库的对应区域的。获取到业务申请后，首先查询业务申请中的源业务系统、目的业务系统是否存在，如果不存在，则发出“报错”的提示信息，用于提示源业务系统或者目的业务系统不存在，请相关工作人员进行检查，确定是否业务申请的相关信息有误。如果源业务系统和目的业务系统都存在，则向数据库查询该业务申请是否已经申请过，如果已经申请过业务，则返回提示信息；这样从策略数据库中调用该业务申请已经使用的策略既可。

步骤102)：对所述业务申请进行解析，获得源业务系统的位置信息和主机信息、目的业务系统的位置信息和主机信息。

在本实施例中，如果业务申请是没有申请过的，对业务申请进行解析，获得源业务系统的位置信息和主机信息、目的业务系统的位置信息和主机信息。

步骤103)：利用所述源业务系统的位置信息和所述目的业务系统的位置信息确定业务申请所经过的网络路径。

在本实施例中，则根据源业务系统的位置信息和目的业务系统的位置信息，结合网络拓扑计算出业务申请所经过的网络路径。

步骤104)：将所述业务申请分解到所述网络路径经过的防火墙节点。

步骤105)：在所述防火墙节点上，根据所述源业务系统的主机信息、所述目的业务系统的主机信息以及所述防火墙节点判断从源业务系统到目的业务系统的访问是否需要进行nat转换。

在本实施例中，网络路径经过的每个防火墙节点根据源业务系统的主机信息、目的业务系统的主机信息确定源业务系统和目的业务系统所属网络的属性。即源业务系统和目的业务系统分别属于外网还是内网，以此判断是否需要进行nat转换。如果是内网访问外网，则需要做源nat转换；如果是外网访问内容，则需要做目的nat转换；同一网络类型的网络之间的访问，不需要做nat转换。

步骤106)：根据判断结果将所述业务申请对应的业务信息进行策略分解，获得业务申请的策略。

在本实施例中，所述业务申请的策略包括：如果是同一个类型的网络之间的访问，则需要开通域间策略；如果是内网访问外网，则需要开通域间策略和源nat策略；如果是外网访问内网，则需要开通域间策略和目的nat策略。

步骤107)：将所述业务申请的策略与数据库中存储的策略进行比对。

在本实施例中，将分解获得的策略与数据库中存储的策略进行比较分析，确定分解获得的策略是否存在于数据库中，是否与数据库中存储的策略相冲突，包含，冗余，堆叠等等。

步骤108)：根据比对结果确定防火墙策略。

在本实施例中，比对结果一般包括策略冲突、策略包含、策略冗余、策略堆叠。根据不同的比对结果，有相对应的处理方式。所述业务申请的策略与所述数据库中存储的策略之间具有包含关系，则所述防火墙策略为数据库中已存储的具有包含关系的策略，建议不再重复开通相应的防火墙策略。所述业务申请的策略与所述数据库中存储的策略之间相互冲突，有两种处理方式，一种是放弃所述业务申请的策略，另一种是调整策略的优先级，重新确定防火墙业务的策略；所述业务申请的策略与所述数据库中存储的策略之间具有冗余关系，则所述防火墙策略包含数据库中已存储的策略，进行策略合并。

所述业务申请的策略与所述数据库中存储的策略之间具有堆叠关系，则拆分所述业务申请的策略。

所述的策略关系适用于域间策略、静态路由、源nat策略以及目的nat策略。在实际中，业内关于“域间策略”有很多种叫法，比如：访问控制策略、安全策略等等。

在本实施例中，将确定的防火墙策略推荐给系统的运维人员，由运维人员确认，防火墙管理系统将确定的防火墙策略下发到防火墙设备，并将下发的策略存储至数据库中。最后，所有的策略下发成功后，防火墙管理系统提示业务申请成功。

本技术方案基于业务申请进行防火墙策略申请，并将业务申请分解为不同的策略，无需人为参与手动配置，更无需人工分析，提高了策略申请的正确性以及防火墙策略确定的准确性，从而最终提高了配置防火墙策略的效率。

实施例1

如图2所示，以业务系统a需要访问业务系统b的http服务为例，详细描述本技术方案的实施过程来便于理解本技术方案的内容。

防火墙管理系统首先在业务系统数据库中对业务申请进行查询，确定业务申请中的源业务系统和目的业务系统是否存在，如果不存在，则管理人员需要录入业务申请中的源业务系统和目的业务系统，才能继续以下流程。

防火墙管理系统根据源业务系统a的位置信息和目的业务系统b的位置信息，如图2所示，计算出业务申请在同一个防火墙设备，结合源业务系统和目的业务系统所在的网络类型，在同一个网络中，则判断从源业务系统访问目的业务系统，不需要进行nat转换。以及结合协议端口号业务申请分解为安全策略，并对新提交的业务申请所生成的策略与数据库中的策略进行比对，将分析结果呈现给运维人员。

在实际中，分析结果有如下几种：

a)如果该业务申请正常，则推荐下发；

b)如果与其他的策略冲突，则自动筛选出策略生效所需要进行的调整；

c)如果策略被设备上的现有策略包含，则呈现出包含关系的策略，则给出建议，不进行策略下发；

d)如果待下发的策略包含了设备上的现有策略，则提示策略存在冗余关系，并给出处理建议，进行策略合并；

运维人员结合分析的结果和实际需求，决策是否进行策略的下发或者不下发，如果下发成功，则将策略的信息保存入策略数据库中。同时，业务申请会根据下发的策略信息，同步业务的状态，如果所有的策略都生效，则业务为生效的。

实施例2

如图3所示，以源业务系统c需要访问目的业务系统d的web服务为例，详细描述本技术方案的实施过程来便于理解本技术方案的内容。

防火墙管理系统首先在业务系统数据库中对业务申请进行查询，确定业务申请中的源业务系统和目的业务系统是否存在，如果不存在，则管理人员需要录入业务申请中的源业务系统和目的业务系统，才能继续以下流程。

防火墙管理系统根据源业务系统的位置信息和目的业务系统的位置信息，确定业务系统c与业务系统d之间的业务申请需要经过不同的防火墙设备，并且不属于同一个网络，如图所示，源业务系统c存在于内网，而目的业务系统d存在与外网。根据网络的拓扑结果计算出业务申请所经过的节点。在本实施例中，防火墙节点标识分别为fw1和fw2，业务申请根据计算出的路径信息，将业务分解到所经过的防火墙节点。在防火墙节点fw1上，对应的目的业务系统的位置信息变更为该业务系统所经过的防火墙节点的位置信息，包含新的安全域信息以及网络下一跳信息。同时，根据网络类型获取需要nat转换的nat地址信息。利用需要nat转换的地址信息将业务申请分解为安全策略以及nat策略，在防火墙节点fw2上，将源业务系统变更为网络路径所经过的入接口的安全域，判断源和目的之间不需要进行nat转换，将业务分解为域间策略(访问控制策略)；并对新提交的业务申请所生成的策略与数据库中的策略进行比对，将分析结果呈现给运维人员。

在实际中，分析结果有如下几种：

a)如果该业务申请正常，则推荐下发

b)如果与其他的策略冲突，则自动筛选出策略生效所需要进行的调整

c)如果策略被设备上的现有策略包含，则呈现出包含关系的策略，则给出建议，不进行策略下发；

d)如果待下发的策略包含了设备上的现有策略，则提示策略存在冗余关系，并给出处理建议，进行策略合并；

运维人员结合分析的结果和实际需求，决策是否进行策略的下发或者不下发，如果下发成功，则将策略的信息保存入策略数据库中。同时，业务申请会根据下发的策略信息，同步业务的状态，如果所有的策略都生效，则业务为生效的。

实施例3

如图4所示，以业务系统e的子系统web需要访问业务系统f的dns子系统的myslq服务为例，详细描述本技术方案的实施过程来便于理解本技术方案的内容。在本实施例中，协议号tcp：3306。

防火墙管理系统首先在业务系统数据库中对业务申请进行查询，确定业务申请中的源业务系统和目的业务系统是否存在，如果不存在，则管理人员需要录入业务申请中的源业务系统和目的业务系统，才能继续以下流程。

防火墙管理系统根据源业务系统的位置信息和目的业务系统的位置信息，将业务申请分解为不同的防火墙节点，并查询出子系统的地址信息。根据源业务系统和目的业务系统经过的路径的网络类型，决策将业务申请分解为安全策略，并对新提交的业务申请所生成的策略与数据库中的策略进行比对，将分析结果呈现给运维人员。

在实际中，分析结果有如下几种：

a)如果该业务申请正常，则推荐下发

b)如果与其他的策略冲突，则自动筛选出策略生效所需要进行的调整

c)如果策略被设备上的现有策略包含，则呈现出包含关系的策略，则给出建议，不进行策略下发；

d)如果待下发的策略包含了设备上的现有策略，则提示策略存在冗余关系，并给出处理建议，进行策略合并；

运维人员结合分析的结果和实际需求，决策是否进行策略的下发或者不下发，如果下发成功，则将策略的信息保存入策略数据库中。同时，业务申请会根据下发的策略信息，同步业务的状态，如果所有的策略都生效，则业务为生效的。

本技术方案基于业务申请进行防火墙策略申请，并将业务申请分解为不同的策略，无需人为参与手动配置，更无需人工分析，提高了策略申请的正确性以及防火墙策略确定的准确性，从而最终提高了配置防火墙策略的效率。

如图5所示，为本说明书提出的一种确定防火墙策略的装置功能框图。包括：

业务申请获取单元501，用于获取业务申请；

解析单元502，用于对所述业务申请进行解析，获得源业务系统的位置信息和主机信息、目的业务系统的位置信息和主机信息；

网络路径确定单元503，用于利用所述源业务系统的位置信息和所述目的业务系统的位置信息确定业务申请所经过的网络路径；

第一分解单元504，用于将所述业务申请分解到所述网络路径经过的防火墙节点；

判断单元505，在所述防火墙节点上，根据所述源业务系统的主机信息、所述目的业务系统的主机信息以及所述防火墙节点判断从源业务系统到目的业务系统的访问是否需要进行nat转换；

第二分解单元506，用于根据判断结果将所述业务申请对应的业务信息进行策略分解，获得业务申请的策略；

比对单元507，用于将所述业务申请的策略与数据库中存储的策略进行比对；

防火墙策略确定单元508，用于根据比对结果确定防火墙策略。

在本实施例中，所述判断单元505获得的判断结果包括：内网访问外网，则需要作源nat转换；外网访问内网，则需要作目的nat转换；同一网络类型的网络之间的访问，不需要做nat转换。

在本实施例中，所述第二分解单元506获得的业务申请的策略包括：如果是同一个类型的网络之间的访问，则需要开通域间策略；如果是内网访问外网，则需要开通域间策略和源nat策略；如果是外网访问内网，则需要开通域间策略和目的nat策略。

在本实施例中，所述防火墙策略确定单元508包括：

第一策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间具有包含关系，则所述防火墙策略为数据库中已存储的具有包含关系的策略；

第二策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间相互冲突，则调整策略的优先级来确定防火墙策略或放弃所述业务申请的策略；

第三策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间具有堆叠关系，则拆分所述业务申请的策略；

第四策略确定模块，用于所述业务申请的策略与所述数据库中存储的策略之间具有冗余关系，则所述防火墙策略包含数据库中已存储的策略，进行策略合并。

在本实施例中，所述解析单元502获得的位置信息包括：安全域和下一跳信息；所述解析单元获得的主机信息包括：网络类型和主机地址。

如图6所示，为本说明书实施例提出的一种电子设备示意图。包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述图1所述的确定防火墙策略的方法。

本说明书实施方式提供的确定防火墙策略的方法，其存储器和处理器实现的具体功能，可以与本说明书中的前述实施方式相对照解释，并能够达到前述实施方式的技术效果，这里便不再赘述。

在本实施方式中，所述存储器可以包括用于存储信息的物理装置，通常是将信息数字化后再以利用电、磁或者光学等方法的媒体加以存储。本实施方式所述的存储器又可以包括：利用电能方式存储信息的装置，如ram、rom等；利用磁能方式存储信息的装置，如硬盘、软盘、磁带、磁芯存储器、磁泡存储器、u盘；利用光学方式存储信息的装置，如cd或dvd。当然，还有其他方式的存储器，例如量子存储器、石墨烯存储器等等。

在本实施方式中，所述处理器可以按任何适当的方式实现。例如，所述处理器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(applicationspecificintegratedcircuit，asic)、可编程逻辑控制器和嵌入微控制器的形式等等。

在本实施例中，本说明书实施例还提供一种可读存储介质，其上存储有计算机程序，所述计算机程序被执行时实现上述所述的确定防火墙策略的方法的步骤。

与现有技术相比较，本技术方案基于业务申请进行防火墙策略申请，并将业务申请分解为不同的策略，无需人为参与手动配置，更无需人工分析，提高了策略申请的正确性以及防火墙策略确定的准确性，从而最终提高了配置防火墙策略的效率。

本领域技术人员也知道，除了以纯计算机可读程序代码方式实现客户端和服务器以外，完全可以通过将方法步骤进行逻辑编程来使得客户端和服务器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种客户端和服务器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

本说明书中的各个实施方式均采用递进的方式描述，各个实施方式之间相同相似的部分互相参见即可，每个实施方式重点说明的都是与其他实施方式的不同之处。尤其，针对客户端和服务器的实施方式来说，均可以参照前述方法的实施方式的介绍对照解释。

本说明书可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本说明书，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

虽然本说明书实施例提供了如实施例或流程图所述的方法操作步骤，但基于常规或者无创造性的手段可以包括更多或者更少的操作步骤。实施例中列举的步骤顺序仅仅为众多步骤执行顺序中的一种方式，不代表唯一的执行顺序。在实际中的装置或终端产品执行时，可以按照实施例或者附图所示的方法顺序执行或者并行执行(例如并行处理器或者多线程处理的环境，甚至为分布式数据处理环境)。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、产品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、产品或者设备所固有的要素。在没有更多限制的情况下，并不排除在包括所述要素的过程、方法、产品或者设备中还存在另外的相同或等同要素。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本说明书实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现，也可以将实现同一功能的模块由多个子模块或子单元的组合实现等。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内部包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

虽然通过实施方式描绘了本说明书，本领域普通技术人员知道，本说明书有许多变形和变化而不脱离本说明书的精神，希望所附的权利要求包括这些变形和变化而不脱离本说明书的精神。