一种访问控制方法及装置与流程

1.本技术涉及网络安全技术领域，尤其涉及一种访问控制方法及装置。


背景技术：

2.目前基于身份识别的用户在访问网络时，首先，用户接入网络后，防火墙等网络设备会对用户完成身份验证。在验证成功后，该用户成为在线用户，同时设备会记录身份验证通过的用户的登录信息；这样，在线用户在访问网络服务时，上述网络设备可以识别出用户的登录信息，然后根据该登录信息配置该用户的安全策略，然后利用配置的安全策略对该用户的网络访问权限进行控制。
3.但是上述方案中，用户上线时对于网络来说属于个体用户，该用户再次进行网络访问控制时，就需要重新执行身份验证及配置安全策略的步骤。当存在比较多的个体用户时，就会导致访问控制比较繁琐。
4.因此，如何避免用户上线后网络访问的频繁策略配置是值得考虑的技术问题之一。


技术实现要素：

5.有鉴于此，本技术提供一种访问控制方法及装置，用以避免用户上线后网络访问的频繁策略配置。
6.具体地，本技术是通过如下技术方案实现的：
7.根据本技术的第一方面，提供一种访问控制方法，应用于网络安全设备中，所述方法，包括：
8.接收认证请求，所述认证请求包括访问用户的用户信息；
9.将所述认证请求发送给认证服务器；
10.接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的；
11.若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。
12.根据本技术的第二方面，提供一种访问控制装置，设置于网络安全设备中，所述装置，包括：
13.第一接收模块，用于接收认证请求，所述认证请求包括访问用户的用户信息；
14.发送模块，用于将所述认证请求发送给认证服务器；
15.第二接收模块，用于接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的；
16.访问控制模块，用于若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。
17.根据本技术的第三方面，提供一种网络安全设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本技术实施例第一方面所提供的方法。
18.根据本技术的第四方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本技术实施例第一方面所提供的方法。
19.本技术实施例的有益效果：
20.本技术实施例提供的访问控制方法及装置中，网络安全设备在接收到认证请求后，会将所述认证请求发送给认证服务器；然后接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于认证请求中的用户信息对所述访问用户认证通过后发送的；若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。这样，通过设置用户组，网络安全设备可以基于用户所属的用户组对应的安全策略对该用户的网络访问进行控制，从而也就不需要针对每个用户上线时分别配置安全策略，进而大大节省了网络安全设备的处理资源，同时还提升了用户的网络访问速度。
附图说明
21.图1是本技术实施例提供的一种访问控制方法的流程示意图；
22.图2是本技术实施例提供的一种访问控制装置的结构示意图；
23.图3是本技术实施例提供的一种实施访问控制方法的网络安全设备的硬件结构示意图。
具体实施方式
24.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如本技术的一些方面相一致的装置和方法的例子。
25.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。
26.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
27.下面对本技术提供的访问控制方法进行详细地说明。
28.参见图1，图1是本技术提供的一种访问控制方法的流程图，该方法可以应用于网络安全设备中，该网络安全设备可以但不限于为防火墙等设备。上述网络安全设备在实施
上述方法时，可包括如下所示步骤：
29.s101、接收认证请求，所述认证请求包括访问用户的用户信息。
30.本步骤中，上述认证请求可以为用户基于提供登录界面的设备发送的认证请求，访问用户基于该登录界面可以键入用户的用户信息，在键入完成后该登录界面可以提供一个登录控件，该访问用户可以点击该登录控件以触发登录请求，这样，提供登录界面的设备就可以将接收到的认证请求发送给网络安全设备，该网络安全设备就能接收到包含用户信息的认证请求。
31.可选地，上述认证请求可以为用户基于portal服务器发送的，即用户基于portal服务器提供的认证界面输入用户信息，portal服务器接收到该用户信息后，基于该用户信息构建认证请求，并发送给网络安全设备。
32.s102、将所述认证请求发送给认证服务器。
33.本步骤中，为了避免用户每次上线时的频繁验证及策略配置，提升用户的访问效率，本技术提出，网络安全设备将该认证请求转发给认证服务器，以由认证服务器对该访问用户进行身份认证。
34.需要说明的是，上述认证服务器可以但不限于为radius服务器等等。
35.s103、接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的。
36.本步骤中，认证服务器在接收到认证请求后，会从认证请求中解析出访问用户的用户信息，然后基于用户信息对该访问用户进行身份认证，并将认证结果反馈给网络安全设备。具体来说，认证服务器本地记录了允许认证通过的用户的用户信息，这样，在从认证请求中提取出用户信息后，可以判断认证服务器中记录的用户信息中是否存在解析出的用户信息，当存在时，则表明对该访问用户认证通过，从而可以在认证结果中携带认证通过的第一指示信息，否则表明认证不通过，然后可以在认证结果中携带认证不通过的第二指示信息。
37.此外，为了达到避免频繁配置及验证的目的，认证服务器在对访问用户认证通过后，可以确认该访问用户是否存在对应的用户组，当存在时，则将该访问用户对应的用户组的用户组信息携带在认证结果中发送给网络安全设备；而当对访问用户认证不通过时，则该访问用户必然不会存在用户组，则此时只需要携带认证不通过的认证结果即可。具体来说，网络运维人会在认证服务器中预先配置允许认证通过的用户的用户信息及每个用户所属的用户组，这样，认证服务器在解析出用户信息后，就可以根据解析出的用户信息确认该访问用户是否存在对应的用户组。通过设置不同的用户组，网络安全设备就可以基于用户组实现对不同用户组进行对应的安全策略配置，进而实现对不同用户组中的用户进行不同的访问权限控制。
38.s104、若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。
39.本步骤中，为了能够实现针对用户组的安全策略的配置，认证服务器会在认证成功之后将用户组信息及每个用户组所包括的用户信息发送给网络安全设备。这样，网络安全设备就可以基于用户组进行安全策略配置。在此基础上，当网络安全设备在接收到认证
结果后，可以确认是否能够解析出用户组信息，当解析出用户组信息时，然后判断网络安全设备的本地是否存在解析出的用户组信息对应的用户组，当存在时，就可以调用该用户组对应的安全策略对该访问用户的网络访问进行控制。这样一来，也就不需要针对每个用户分配配置安全策略，避免了用户上线后网络访问的频繁策略配置，进而大大节省了策略配置资源，同时降低了网络运维人员的配置工作量。
40.需要说明的是，当认证结果中不包括用户组信息时，则利用目前的安全策略对该访问用户进行网络访问的控制。例如，可以针对“游客”设置一个安全策略，记为普通安全策略，然后将这些未配置用户组的访问用户当作“游客”，利用该普通安全策略对该访问用户进行网络访问控制。
41.此外，当认证结果中包括的用户组信息未在网络安全设备中记录时，则此时网络安全设备也可以利用上述普通安全策略对该访问用户进行网络访问控制。
42.通过实施本技术提供的访问控制方法，网络安全设备在接收到认证请求后，会将所述认证请求发送给认证服务器；然后接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于认证请求中的用户信息对所述访问用户认证通过后发送的；若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。这样，通过设置用户组，网络安全设备可以基于用户所属的用户组对应的安全策略对该用户的网络访问进行控制，从而也就不需要针对每个用户上线时分别配置安全策略，进而大大节省了网络安全设备的处理资源，同时还提升了用户的网络访问速度。
43.可选地，基于上述实施例，本实施例中，认证服务器在向网络安全设备反馈认证结果时，是以报文的形式反馈的，例如认证服务器可以向网络安全设备发送响应报文，该响应报文中携带认证结果。在此基础上，访问用户所属的用户组的用户组信息也会添加到响应报文中，以发送给网络安全设备。具体来说，该用户组信息可以添加到响应报文中的radius标准属性11号对应的字段中。
44.可选地，基于上述任一实施例，本实施例中，网络安全设备可以按照下述过程执行步骤s104中的根据所述用户组对所述访问用户的网络访问进行控制的步骤：若网络安全设备本地记录了所述访问用户的用户信息，则判断所述访问用户的来源与所述用户组信息的来源是否一致；当一致时，则将所述访问用户的用户信息添加到所述用户组中；并根据所述用户组对所述访问用户的网络访问进行控制。
45.具体地，网络安全设备在确认本地记录了认证结果中的用户组信息后，还会进一步判断本地是否记录了访问用户的用户信息，即，判断网络安全设备本地记录的上述用户组中是否包括访问用户的用户信息，当包括时，则确认该用户之前访问过网络安全设备所对接的网络，则此时为了进一步保证网络访问的安全性，网络安全设备可以确认访问用户的来源与用户组信息的来源是否一致，如果一致，则表明用户信息和用户组信息为同一个设备发送给网络安全设备的，否则表明为用户信息用户组信息为从不同设备获取到的。进一步地，当确认来源一致时，由于用户信息未在网络安全设备本地记录的用户组中，则此时将访问用户的用户信息添加到认证结果携带的用户组信息对应的用户组中；同时，根据该用户组对应的安全策略对该访问用户进行网络访问控制。当来源不一致时，则按照前述普通安全策略对该访问用户进行网络访问控制。
46.此外，若网络安全设备本地未记录所述访问用户的用户信息，则将所述访问用户的用户信息添加到所述用户组中；将所述访问用户与所述用户组之间的关系设置为动态关系。
47.需要说明的是，认证服务器同步给网络安全设备的用户组及每个用户组中的用户后，网络安全设备会将认证服务器同步的用户与对应的用户组之间的映射关系设置为非动态关系，网络安全设备会将其他情况获取到的用户及对应的用户组之间的映射关系设置为动态关系。上述非动态关系的生存周期为关系导入到关系删除；而动态关系的生存周期为用户上线到下线，此外，关系相同的情况下，非动态关系可以覆盖动态关系。
48.具体地，基于上述描述，当网络安全设备本地未记录访问用户的用户信息，则表明该用户属于认证服务器反馈的用户组，但是该用户信息不是认证服务器同步给网络安全设备且尚未被网络安全设备记录到用户组里，则此时将访问用户的用户信息添加到网络安全设备中记录的认证结果携带的用户组信息对应的用户组中，以便下次该访问用户访问网络时的网络控制；同时，可以将该用户信息与用户组信息之间的关系设置为动态关系，即dynamic关系，以便后续用户的网络访问控制。
49.进一步地，在执行将用户信息添加到用户组中的步骤时，可以按照下述过程：在确认用户信息的来源与用户组信息的来源一致时，则将访问用户的用户信息添加到认证结果中用户信息对应的用户组中。
50.具体来说，在来源一致时，才表明该访问用户为经过授权访问网络安全设备所接入网络的用户。由于实际应用中，网络安全设备中维护的用户组及用户组中的用户信息可能存在与认证服务器中维护的用户组及用户组中用户信息不同步的情况，因此，为了更进一步的保证网络安全设备所接入网络的安全性，网络安全设备会确认用户信息的来源与用户组信息的来源是否一致，当一致时才会将访问用户的用户信息写入到用户组信息中。
51.需要说明的是，用户组信息的来源为可以但不限于为基于csv文件导入的、本地创建的、服务器发送的，该服务器可以但不限于为认证服务器、ldap服务器、server-imc服务器等等。同理，上述用户信息的来源除了为认证服务器发送的之外，还可以是网络安全设备本地创建的，也可以为其他服务器发送的，还可以为其他方式导入到网络安全设备的，等等。实际应用中，该其他服务器可以但不限于为ldap服务器、server-imc服务器等，上述其他方式可以但不限于为网络安全设备基于csv文件导入的。值得注意的是，同一个用户的情况下，该用户的不同来源不允许覆盖。本技术中用户组的信息的来源与用户信息的来源一致时，才可以建立关系。
52.可选地，基于上述任一实施例，本实施例提供的访问控制方法，还可以包括下述过程：接收访问用户的下线请求，所述下线请求包括所述访问用户的用户信息；将所述下线请求发送给认证服务器；接收所述认证服务器发送的响应结果；若所述响应结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则判断所述访问用户与所述用户组之间的关系是否为动态关系；若为动态关系，则删除所述访问用户与对应用户组之间的映射关系；并执行所述访问用户的下线操作。
53.具体地，当访问用户欲下线时，会触发下线请求，即通过设备提供的登录界面中的下线选项触发上述下线请求，然后该设备会将该下线请求转发给网络安全设备。网络安全设备接收到该访问用户的下行请求后，可以将该下线请求转发给认证服务器，这样，认证服
务器就可以基于下线请求中的用户信息来确认该用户信息是否存在对应的用户组，当存在对应的用户组时，则将该用户组的用户组信息携带在响应结果中发送给网络安全设备。这样，网络安全设备在接收到响应结果后，若从中解析出了用户组信息，则然后判断网络安全设备本地是否存在该用户组信息，当存在时则判断本地存储的用户信息是否在用户组信息对应的用户组内，当不存在时，则允许该访问用户下线，即执行该访问用户的下行动作；而当用户组信息对应的用户组中包括该用户信息时，则再判断用户组信息与用户信息之间的映射关系是否为动态关系，如果为动态关系，则表明该访问用户可能是临时被分配给该用户组，则为了保证网络安全设备所接入网络的安全访问，此时就需要在本地删除该访问用户与对应用户组之间的映射关系，然后执行该访问用户的下线操作。
54.需要说明的是，若用户组信息与用户信息之间的映射关系为非动态关系，则直接执行该访问用户的下线操作，保持该用户组中该访问用户的用户信息不变。
55.需要说明的是，上述提供登录界面的设备可以但不限于为portal服务器等。上述认证服务器可以但不限于为radius服务器。
56.更进一步地，基于上述实施例，本实施例提供的访问控制方法还可以包括下述过程：判断访问用户在所述网络安全设备中存储的用户状态是否为动态；若是，则判断所述访问用户的用户信息是否在在线用户列表中；若不存在，则删除所述网络安全设备记录的所述访问用户的用户信息。
57.具体地，为了更好地保证网络安全设备所接入网络的安全性，网络安全设备还维护了各用户的用户状态，在此基础上，当网络安全设备基于上述任一情况允许访问用户下线时，网络安全设备会判断访问用户的用户状态，当确认该访问用户的用户状态为非动态时，则表明该访问用户为利用固定ip地址进行访问，本次流程结束。而当确认该访问用户的用户状态为动态时，则表明该访问用户可能存在利用不同ip地址进行访问的情况，则此时为了避免该访问用户因利用一个ip地址执行下线操作而导致该访问用户利用其它ip地址访问时的同步下线的情况发生，网络安全设备会维护当前在线的各用户，即维护了一个在线用户列表，然后将在线的各用户的用户写入到在线用户列表中。在此基础之上，当访问用户的用户状态为动态时，则进一步确认该访问用户的用户信息是否在在线用户列表中，当存在时表明该访问用户当前存在利用其它ip地址进行网络访问的情况，则保留该网络安全设备本地记录的该访问用户的用户信息，从而避免了该访问用户的所有访问均下线的情况发生；而当该在线用户列表中不存在该访问用户的用户信息时，则此时表明当前该访问用户不存在利用其它ip地址进行网络访问的情况，则此时可以将网络安全设备本地记录的该访问用户信息删除。
58.需要说明的是，网络安全设备在为用户的用户状态设置动态或非动态时，非动态的优先级高于动态的优先级，即，当一个用户的用户状态先被设置为动态时，后续再导入时发现导入的结果为该用户的用户状态为非动态，则此时网络安全设备需要将该用户的用户状态设置为非动态用户；而当用户的用户状态在网络安全设备中先被设置为非动态时，后续就不会再调整该用户的用户状态。
59.值得注意的是，上述设置为动态的用户的生存周期为用户上线到下线；设置为非动态的用户的生存周期为用户导入到用户信息删除。相同情况下，非动态的用户可以覆盖动态的用户。
60.至此，通过实施上述访问控制方法，使得允许认证通过的用户在认证上线之后自动隶属于用户组，更有利于网络运维人员通过用户组批量管理用户的网络访问控制，解决了安全策略的软件加速场景下的授权用户组的问题。
61.基于同一发明构思，本技术还提供了与上述访问控制方法对应的访问控制装置。该访问控制装置的实施具体可以参考上述对访问控制方法的描述，此处不再一一论述。
62.参见图2，图2是本技术一示例性实施例提供的一种访问控制装置，设置网络安全设备中，所述装置，包括：
63.第一接收模块201，用于接收认证请求，所述认证请求包括访问用户的用户信息；
64.发送模块202，用于将所述认证请求发送给认证服务器；
65.第二接收模块203，用于接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于所述用户信息对所述访问用户认证通过后发送的；
66.访问控制模块204，用于若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。
67.可选地，所述访问控制模块204，具体用于若所述网络安全设备本地记录了所述访问用户的用户信息，则判断所述访问用户的来源与所述用户组信息的来源是否一致；当一致时，则将所述访问用户的用户信息添加到所述用户组中；并根据所述用户组对所述访问用户的网络访问进行控制。
68.可选地，基于上述实施例，本实施例提供的访问控制装置，还包括：
69.添加模块(图中未示出)，用于若所述网络安全设备本地未记录所述访问用户的用户信息，则将所述访问用户的用户信息添加到所述用户组中；
70.设置模块(图中未示出)，用于将所述访问用户与所述用户组之间的关系设置为动态关系。
71.可选地，基于上述任一实施例，本实施例中，所述第一接收模块201，还用于接收所述访问用户的下线请求，所述下线请求包括所述访问用户的用户信息；
72.所述发送模块202，还用于将所述下线请求发送给认证服务器；
73.所述第二接收模块203，还用于接收所述认证服务器发送的响应结果；
74.在此基础上，本实施例提供的访问控制装置，还包括：
75.第一判断模块(图中未示出)，用于若所述响应结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则判断所述访问用户与所述用户组之间的关系是否为动态关系；
76.第一删除模块(图中未示出)，用于若所述判断模块的判断结果为动态关系，则删除所述访问用户与对应用户组之间的映射关系；
77.执行模块(图中未示出)，用于执行所述访问用户的下线操作。
78.进一步地，本实施例提供的访问控制装置，还包括：
79.第二判断模块(图中未示出)，用于判断所述访问用户在所述网络安全设备中存储的用户状态是否为动态；
80.第三判断模块(图中未示出)，用于若所述第二判断模块的判断结果为是，则判断所述访问用户的用户信息是否在在线用户列表中；
81.第二删除模块(图中未示出)，用于若所述第三判断模块的判断结果为不存在，则删除所述网络安全设备记录的所述访问用户的用户信息。
82.通过提供上述访问控制装置，在接收到认证请求后，会将所述认证请求发送给认证服务器；然后接收所述认证服务器发送的认证结果，所述认证结果为所述认证服务器在基于认证请求中的用户信息对所述访问用户认证通过后发送的；若所述认证结果包括所述访问用户的用户组信息，且所述网络安全设备本地存在所述用户组信息对应的用户组，则根据所述用户组对所述访问用户的网络访问进行控制。这样，通过设置用户组，网络安全设备可以基于用户所属的用户组对应的安全策略对该用户的网络访问进行控制，从而也就不需要针对每个用户上线时分别配置安全策略，进而大大节省了网络安全设备的处理资源，同时还提升了用户的网络访问速度。
83.基于同一发明构思，本技术实施例提供了一种网络安全设备，如图3所示，包括处理器301和机器可读存储介质302，机器可读存储介质302存储有能够被处理器301执行的计算机程序，处理器301被计算机程序促使执行本技术任一实施例所提供的访问控制方法。此外，该网络安全设备还包括通信接口303和通信总线304，其中，处理器301，通信接口303，机器可读存储介质302通过通信总线304完成相互间的通信。
84.上述网络安全设备提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
85.通信接口用于上述网络安全设备与其他设备之间的通信。
86.上述机器可读存储介质302可以为存储器，该存储器可以包括随机存取存储器(random access memory，ram)、ddr sram(double data rate synchronous dynamic random access memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。
87.上述的处理器可以是通用处理器，包括中央处理器(central processing unit，cpu)、网络处理器(network processor，np)等；还可以是数字信号处理器(digital signal processor，dsp)、专用集成电路(application specific integrated circuit，asic)、现场可编程门阵列(field-programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
88.对于网络安全设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。
89.需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在
包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
90.上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。
91.对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本技术方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
92.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。