一种安全策略的校验方法、装置、电子设备及介质与流程

1.本技术涉及网络安全技术领域，尤其涉及一种安全策略的校验方法、装置、电子设备及介质。


背景技术：

2.安全策略是根据报文的属性信息对报文进行转发控制和dpi(deep packet inspection，深度报文检测)深度安全检测的防控策略。安全策略对报文的控制是通过安全策略规则实现的，规则中可以设置匹配报文的过滤条件。
3.但是目前在网络安全设备中配置的安全策略的完整性无法保证，只能靠网络运维人员的经验进行更改，从而导致配置的安全策略不能满足实际需求。此外，一旦配置了不完整的安全策略，可能会造成流量的误放行或者流量的误阻断，进而带来了安全隐患。
4.因此，如何对网络安全设备中配置的安全策略进行完整性校验，解决流量的误放行或误阻断的问题是值得考虑的技术问题之一。


技术实现要素：

5.有鉴于此，本技术提供一种安全策略的校验方法、装置、电子设备及介质，用以对网络安全设备中配置的安全策略进行完整性校验，解决流量的误放行或误阻断的问题。
6.具体地，本技术是通过如下技术方案实现的：
7.根据本技术的第一方面，提供一种安全策略的校验方法，包括：
8.针对当前创建的安全策略，若为所述安全策略配置了普通策略模板，则确认所述安全策略与所述普通策略模板的第一配置内容是否相匹配；
9.若匹配，则对所述安全策略的完整性校验通过；
10.若不匹配，则对所述安全策略的完整性校验不通过；
11.若未对所述安全策略配置了普通策略模板，则当确认当前启用了全局策略模板，则确认所述安全策略与当前应用的全局策略模板的第二配置内容是否相匹配；
12.若相匹配，则对所述安全策略的完整性校验通过。
13.根据本技术的第二方面，提供一种安全策略的校验装置，包括：
14.第一判断模块，用于针对当前创建的安全策略，若为所述安全策略配置了普通策略模板，则确认所述安全策略与所述普通策略模板的第一配置内容是否相匹配；
15.第一确定模块，用于若所述第一判断模块的判断结果为匹配，则对所述安全策略的完整性校验通过；
16.所述第一确定模块，还用于若所述第一判断模块的判断结果为不匹配，则对所述安全策略的完整性校验不通过；
17.第二判断模块，用于若未对所述安全策略配置了普通策略模板，则当确认当前启用了全局策略模板，则确认所述安全策略与当前应用的全局策略模板的第二配置内容是否相匹配；
18.第二确定模块，用于若所述第二判断模块的判断结果为相匹配，则对所述安全策略的完整性校验通过。
19.根据本技术的第三方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本技术实施例第一方面所提供的方法。
20.根据本技术的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例第一方面所提供的方法。
21.本技术实施例的有益效果：
22.本技术实施例提供的安全策略的校验方法及装置中，针对当前创建的安全策略，若为所述安全策略配置了普通策略模板，则确认所述安全策略与所述普通策略模板的第一配置内容是否相匹配；若匹配，则对所述安全策略的完整性校验通过；若不匹配，则对所述安全策略的完整性校验不通过；若未对所述安全策略配置了普通策略模板，则当确认当前启用了全局策略模板，则确认所述安全策略与当前应用的全局策略模板的第二配置内容是否相匹配；若相匹配，则对所述安全策略的完整性校验通过。
23.通过配置普通策略模板和全局策略模板，实现了对安全策略的完整性校验，从而解决了流量的误放行或误阻断的问题；此外，上述普通策略模板和全局策略模板为用户根据网络安全设备所处实际场景的需求进行配置的，由此一来，校验通过的安全策略更能够满足用户的实际需求及特殊应用场景的个性化需求，提高了安全策略校验方法的通用性及特殊场景的适用性。
附图说明
24.图1是本技术实施例提供的一种安全策略的校验方法的流程示意图；
25.图2是本技术实施例提供的一种安全策略的校验装置的结构示意图；
26.图3是本技术实施例提供的一种实施安全策略的校验方法的电子设备的硬件结构示意图。
具体实施方式
27.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如本技术的一些方面相一致的装置和方法的例子。
28.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
29.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第
一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
30.下面对本技术提供的安全策略的校验方法进行详细地说明。
31.参见图1，图1是本技术提供的一种安全策略的校验方法的流程图，该方法可以应用于网络安全设备中，该网络安全设备可以但不限于为防火墙设备等等。网络安全设备在实施该方法时，可包括如下所示步骤：
32.s101、针对当前创建的安全策略，判断是否为所述安全策略配置了普通策略模板；若是，则执行步骤s102；若否，则执行步骤s104。
33.本步骤中，为了实现对安全策略的完整性检查，本技术会预先配置普通策略模板，由于并不是对所有安全策略均配置普通策略模板，因此，在创建一个安全策略后，需要判断是否为该安全策略配置了普通策略模板，当配置了，则执行步骤s102；否则，执行步骤s104。
34.值得注意的是，为了实现对安全策略的个性化创建及对应安全策略的完整性检查，本技术可以配置多个普通策略模板，然后不同的安全策略对应不同的普通策略模板。
35.具体地，在确认是否配置了普通策略模板时，可以按照下述方法判断：判断是否接收到普通策略模板的键入指令，当接收到该键入指令后，则确认为该安全策略配置了普通策略模板，否则，则确认未为该安全策略配置普通策略模板。
36.具体来说，若需要利用配置的普通策略模板对该安全策略进行完整性检查时，用户会在该安全策略创建完成后，键入该安全策略对应的普通策略模板，这样，当安全网络设备接收到该键入指令后，就可以确认为该安全策略配置了普通策略模板，然后需要利用该普通策略模板对该安全策略进行完整性检查，即执行步骤s102；否则，确认不需要基于普通策略模板对该安全策略进行完整性检查。
37.s102、确认所述安全策略与所述普通策略模板的第一配置内容是否相匹配；若相匹配，则执行步骤s103；若不匹配，则执行步骤s105。
38.本步骤中，上述第一配置内容可以为在该普通策略模板中定义的待检查的安全策略所必须配置的选项。在此基础上，网络安全设备利用该定义了选项的普通策略模板去匹配当前创建的安全策略，当安全策略中包括普通策略模板中的选项时，则确认该安全策略与该普通策略模板相匹配，同时表明创建的安全策略满足了用户的需求，进而能够满足网络安全设备启用该安全策略时所能达到的安全检测目的，这样也就可以确认对该安全策略的完整性校验通过，即执行步骤s103。当安全策略不包括该普通策略模板中的选项时，则表明该安全策略目前不满足用户的需求，即使利用该安全策略进行报文检查时也达不到用户的要求，则此时可以确认该安全策略与普通策略模板不匹配，进而得出对该安全策略的完整性校验不通过，即执行步骤s105。
39.s103、对所述安全策略的完整性校验通过。
40.s104、当确认当前启用了全局策略模板，则确认所述安全策略与当前应用的全局策略模板的第二配置内容是否相匹配，若匹配，则执行步骤s103；若不匹配，则执行步骤s105。
41.本步骤中，由于并不是对所有安全策略都配置普通策略模板，因此，为了对未配置普通策略模板的安全策略的完整性检查，本步骤提出，判断当前是否启用了全局策略模板，若确认当前配置了全局策略模板，则利用该全局策略模板对该安全策略进行完整性检查，
即判断该安全策略是否与该全局策略模板的第二配置内容是否相匹配，当匹配时，则确认该安全策略满足基本的报文检查需求，由于未对该安全策略配置普通策略模板，则此时直接可以基于全局策略模板对该安全策略的完整性校验通过，即执行步骤s103。而当该安全策略与全局策略模板的第二配置内容不匹配时，则确认该安全策略不满足基本的报文检查需求，即使利用该安全策略进行报文检查时也达不到用户的需求，则确认对该安全策略的完整性校验不通过，即步骤s105，表明当前创建的该安全策略的配置不完整。
42.s105、对所述安全策略的完整性校验不通过。
43.通过实施本技术提供的安全策略的校验方法，针对当前创建的安全策略，若为所述安全策略配置了普通策略模板，则确认所述安全策略与所述普通策略模板的第一配置内容是否相匹配；若匹配，则对所述安全策略的完整性校验通过；若不匹配，则对所述安全策略的完整性校验不通过；若未对所述安全策略配置了普通策略模板，则当确认当前启用了全局策略模板，则确认所述安全策略与当前应用的全局策略模板的第二配置内容是否相匹配；若相匹配，则对所述安全策略的完整性校验通过。通过配置普通策略模板和全局策略模板，实现了对安全策略的完整性校验，从而解决了流量的误放行或误阻断的问题；此外，上述普通策略模板和全局策略模板为用户根据网络安全设备所处实际场景的需求进行配置的，由此一来，校验通过的安全策略更能够满足用户的实际需求及特殊应用场景的个性化需求，提高了安全策略校验方法的通用性及特殊场景的适用性。
44.基于上述实施例，本实施例中，在为安全策略配置普通策略模板时，该普通策略模板需要根据用户的实际需求来配置，即，需要网络安全设备中启用的安全策略可以对不同场景下的哪些报文进行放行或过滤，基于此原则来配置普通策略模板。实际应用中，可以按照下述命令来创建普通策略模板，然后用户可以根据自己的需求添加完整性约束。
45.security-policy template name xxx
46.……
47.可选地，普通策略模板中包括的选项可以但不限于为源地址、目的地址、源安全域、目的安全域、用户、用户组、ap、ap组、ssid、应用、应用组、终端、终端组、地区、地区组、url过滤分类、vpn和服务等等。
48.为了方便理解，可以以数据库场景为例进行说明，在该场景下所需要的安全策略必须配置源地址、目的地址和服务，则为了能够对该安全策略进行完整性检查，则为该安全策略配置的普通策略模板可以为：
[0049][0050]
此外，若在特殊场景下，用户需要定义某些安全策略不配置任何过滤条件，则此时配置的普通策略模板则可以表示为：security-policy template name not-limit。
[0051]
需要说明的是，上述配置普通策略模板的过程仅是一个示例，并不构成对普通策略模板的配置过程的限定。实际应用中，可以根据所在应用场景及用户需求进行设定。
[0052]
可选地，基于上述任一实施例，本实施例中，在配置全局策略模板时，在配置全局策略模板时，网络安全设备可以根据用户的实际需求进行创建。具体来说，安全策略在启动后，网络安全设备会自动创建一个default的全局策略模板，该全局策略模板缺省无内容，然后用户就可以基于该全局策略模板写入自己需要添加的完整性检查所需要的约束内容，即上述第二配置内容。该第二配置内容即为该网络安全设备在所接入网络环境下所需要检查的一些基本选项，可以但不限于包括以下至少一项：源安全域、目的安全域、源地址、目的地址和服务等等。实际应用中，可以按照下述命令来创建全局策略模板，然后用户可以根据自己的需求添加完整性约束。网络安全设备自动创建的default的全局策略模板如下所示：security-policy template name default
[0053]
在此基础上，用户可以基于该缺省无内容的全局策略模板定义自己所需要的全局策略模板，例如，用户期望安全策略必须配置源安全域、目的安全域、源地址、目的地址和服务，则此时得到的配置了第二配置内容的全局策略模板可以表示为：
[0054][0055]
需要说明的是，上述配置全局策略模板的过程仅是一个示例，并不构成对全局策略模板的配置过程的限定。实际应用中，可以根据所在应用场景及用户需求进行设定。
[0056]
在此基础上，在应用全局策略模板时，可以在系统视图下应用生效。
[0057]
可选地，基于上述任一实施例，本实施例提供的安全策略的校验方法，还可以包括下述过程：若与所述普通策略模板未匹配，则输出所述安全策略的第一匹配详情信息，以使用户根据所述第一匹配详情信息确认是否对所述安全策略进行调整；若与当前应用的全局策略模板不匹配，则对所述安全策略的完整性校验不通过；并输出所述安全策略的第二匹配详情信息，以使用户根据所述第二匹配详情信息确认是否对所述安全策略进行调整。
[0058]
具体地，本实施例在确认出当前的安全策略与普通策略模板不匹配时，表明对该安全策略的完整性校验不通过，则不会启用该安全策略；为了能够保证该安全策略的及时调整，本实施例提出，会输出该安全策略的第一匹配详情信息，这样，用户获取到该第一匹配详情信息后，就可以获知该安全策略所存在的问题，进而根据该第一匹配详情信息对该安全策略进行适应性修改，以使得该安全策略与该普通策略模板相匹配，进而保证该修改后的安全策略的完整性校验通过。
[0059]
此外，有些安全策略可能不需要配置普通策略模板，只配置了全局策略模板，此时，若基于全局策略模板对该安全策略的完整性校验不通过，则此时为了保证网络安全设备中启用的安全策略的完整性，此时不会启用校验不通过的安全策略，同时输出第二匹配详细信息，以指示用户根据该第二详情信息所指示的内容对该校验不通过的安全策略进行
调整。
[0060]
需要说明的是，第一匹配详情信息和第二匹配详情信息可以分别但不限于包括安全策略的标识、安全策略缺省的选项、安全策略无效的结果等等。
[0061]
需要说明的是，用户可以通过命令行的形式查询安全策略的完整性校验结果，当输出查询指令后，网络安全设备就可以输出上述第一匹配详情信息或第二匹配详情信息。具体地，用户可以使用下述命令来查询当前存在的不完整的安全策略：display security-policy incomplete。
[0062]
当然，当基于图1所示的流程，对安全策略的完整性校验通过时，也可以输出匹配详情信息，例如，当基于普通策略模板对安全策略校验通过时，同样输出第一匹配详细信息，只不过第一匹配详情信息包括安全策略有效的匹配结果；同理，当基于全局策略模板对安全策略校验通过时，同样可以输出第二匹配详情信息，而此时第二匹配详情信息包括安全策略有效的匹配结果。
[0063]
为了更好地理解上述实施例，以当前创建的安全策略为rule 0为例进行说明，rule 0包括：
[0064]
rule 0 name 0
[0065]
source-ip xxx
[0066]
service xxx
[0067]
而为rule 0配置的普通策略模板为：
[0068][0069]
则在匹配时，则可以发现rule 0未包括destination-ip，则此时输出的第一匹配详情信息可以为：
[0070]
rule 0 invalid
[0071]
destination-ip is must！
[0072]
需要说明的是，基于全局策略模板进行安全策略的完整性检查时，输出的第二匹配详情信息可以参考上述第一匹配详细信息的实例，此处不再一一详细说明。值得注意的是，上述第一匹配详情信息仅是一个示例，并不构成对第一详情信息的内容及格式的具体限定。
[0073]
需要说明的是，针对任一安全策略，当既为该安全策略配置了普通策略模板，又配置了全局策略模板时，由于普通策略模板的优先级高于全局策略模板的优先级，则此时只需要利用普通策略模板对安全策略进行完整性校验，不需要再用全局策略模板对安全策略进行完整性校验。
[0074]
可选地，创建全局策略模板的过程和创建安全策略的过程可能不是同步的，因此，在创建完全局策略模板之后，可能存在网络安全设备中已创建了若干安全策略的情况，在此基础上，首次应用全局策略模板时，可以按照下述过程实施：在首次应用全局策略模板过
程中，检查当前已启用的每个目标安全策略与该全局策略模板中的第三配置内容是否相匹配；若匹配，则对该目标安全策略的完整性校验通过；若不匹配，则输出该目标安全策略的第三匹配详情信息，以指示用户根据所述第三匹配详情信息确认是否调整该目标安全策略或该全局策略模板。
[0075]
具体来说，在首次应用全局策略模板时，可以检查对当前已启用的每个目标安全策略进行检查，即，针对每个目标安全策略，判断该目标安全策略中的内容与当前的全局策略模板中的第三配置内容是否相匹配，当匹配时，则表明该目标安全策略满足用户的需求，即，对该目标安全策略的完整性校验通过；当不相匹配时，则表明已启用的该目标安全策略与全局策略模板不匹配，则可以表明该目标安全策略可能不满足用户的需求，则此时，可以输出第三匹配详情信息，此时一方面可能是启用的目标安全策略存在问题，也可能存在由于首次启用全局策略模板而存在的全局策略模板配置错误的问题，此时，用户可以基于第三匹配详情信息确认调整目标安全策略或全局策略模板。
[0076]
为了更好地理解上述实施例，本实施例中，以配置的全局策略模板下述所示：
[0077]
security-policy template name default
[0078]
service #服务
[0079]
然后用户通过输入启用指令(命令行)以启用该全局策略模板，网络安全设备在接收到该启用指令“security-policy template apply default”后，就可以对5当前已启用的目标安全策略进行完整性校验。若当前已启用的目标安全策略为如下所示：
[0080][0081]
在此基础之上，可以确认rule 1包括全局策略模板中的服务，而rule2和rule3不包括服务，则此时输出的第三匹配详情信息可以包括如下所示内容：
[0082]
the incomplete security-policy list：
[0083]
rule 2 name 2
[0084]
rule 3 name 3
[0085]
由此可以获知，当前启用的3个目标策略模板与全局策略模板不是完全匹配，则此时可以通过输出上述第三匹配详情信息让用户确认调整全局策略模板还是目标安全策略，当需要调整全局策略模板时，则待调整后再次执行前述首次启用全局策略模板时的匹配流程。若需要调整目标策略模板，则根据第三匹配详情信息先暂停需要调整的目标安全策略，然后再编辑该目标安全策略，以让调整后的目标安全策略与全局策略模板相匹配；若当前
各目标安全策略与全局策略模板均匹配时，则启用该全局策略模板。
[0086]
而当基于当前启用的各个目标安全策略与该全局策略模板中的第三配置内容均匹配时，则可以直接启用该全局策略模板。
[0087]
需要说明的是，上述目标安全策略可以指当前已启用的安全策略。
[0088]
通过实施上述任一实施例所提供的安全策略的校验方法，不仅实现了安全策略的自动完整性校验，对不完整的安全策略不启用该安全策略，从而规避系统安全风险。
[0089]
基于同一发明构思，本技术还提供了与上述安全策略的校验方法对应的安全策略的校验装置。该安全策略的校验装置的实施具体可以参考上述对安全策略的校验方法的描述，此处不再一一论述。
[0090]
参见图2，图2是本技术一示例性实施例提供的一种安全策略的校验装置，包括：
[0091]
第一判断模块201，用于针对当前创建的安全策略，若为所述安全策略配置了普通策略模板，则确认所述安全策略与所述普通策略模板的第一配置内容是否相匹配；
[0092]
第一确定模块202，用于若所述第一判断模块201的判断结果为匹配，则对所述安全策略的完整性校验通过；
[0093]
所述第一确定模块202，还用于若所述第一判断模块201的判断结果为不匹配，则对所述安全策略的完整性校验不通过；
[0094]
第二判断模块203，用于若未对所述安全策略配置了普通策略模板，则当确认当前启用了全局策略模板，则确认所述安全策略与当前应用的全局策略模板的第二配置内容是否相匹配；
[0095]
第二确定模块204，用于若所述第二判断模块203的判断结果为相匹配，则对所述安全策略的完整性校验通过。
[0096]
可选地，基于上述实施例，本实施例中提供的安全策略的校验装置，还包括：
[0097]
第一输出模块(图中未示出)，用于若所述第一判断模块201的判断结果为与所述普通策略模板未匹配，则输出所述安全策略的第一匹配详情信息，以使用户根据所述第一匹配详情信息确认是否对所述安全策略进行调整；
[0098]
所述第二确定模块204，还用于若所述第二判断模块203的判断结果为与当前应用的全局策略模板不匹配，则对所述安全策略的完整性校验不通过；
[0099]
第二输出模块(图中未示出)，用于若所述第二判断模块203的判断结果为与当前应用的全局策略模板不匹配，则输出所述安全策略的第二匹配详情信息，以使用户根据所述第二匹配详情信息确认是否对所述安全策略进行调整。
[0100]
可选地，基于上述任一实施例，本实施例提供的安全策略的校验装置，还包括：
[0101]
检查模块(图中未示出)，用于在首次应用全局策略模板过程中，检查当前已启用的每个目标安全策略与该全局策略模板中的第三配置内容是否相匹配；
[0102]
第三确定模块(图中未示出)，用于若所述检查模块的判断结果为匹配，则对该目标安全策略的完整性校验通过；
[0103]
第三输出模块(图中未示出)，用于若所述检查模块的判断结果为不匹配，则输出该目标安全策略的第三匹配详情信息，以指示用户根据所述第三匹配详情信息确认是否调整该目标安全策略或该全局策略模板。
[0104]
可选地，基于上述任一实施例，本实施例提供的安全策略的校验装置，还包括：
[0105]
启用模块(图中未示出)，用于若所述检查模块基于当前启用的各个目标安全策略与该全局策略模板中的第三配置内容均匹配，则启用该全局策略模板。
[0106]
基于上述任一实施例提供的安全策略的校验装置，通过配置普通策略模板和全局策略模板，实现了对安全策略的完整性校验，从而解决了流量的误放行或误阻断的问题；此外，上述普通策略模板和全局策略模板为用户根据网络安全设备所处实际场景的需求进行配置的，由此一来，校验通过的安全策略更能够满足用户的实际需求及特殊应用场景的个性化需求，提高了安全策略校验方法的通用性及特殊场景的适用性。
[0107]
基于同一发明构思，本技术实施例提供了一种电子设备，该电子设备可以但不限于为上述网络安全设备。如图3所示，包括处理器301和机器可读存储介质302，机器可读存储介质302存储有能够被处理器301执行的计算机程序，处理器301被计算机程序促使执行本技术任一实施例所提供的安全策略的校验方法。此外，该电子设备还包括通信接口303和通信总线304，其中，处理器301，通信接口303，机器可读存储介质302通过通信总线304完成相互间的通信。
[0108]
上述电子设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0109]
通信接口用于上述电子设备与其他设备之间的通信。
[0110]
上述机器可读存储介质302可以为存储器，该存储器可以包括随机存取存储器(random access memory，ram)、ddr sram(double data rate synchronous dynamic random access memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
[0111]
上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0112]
对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
[0113]
需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0114]
上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
[0115]
对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
[0116]
以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。