基于白盒密钥的物联网信息数据传输方法

技术领域

本发明实施例涉及交互技术领域，尤其涉及一种基于白盒密钥的物联网信息数据传输方法。

背景技术

随着物联网相关技术的快速推广应用，相关的数据安全问题受到了广泛关注，主要体现在：无线网络的脆弱性造成传递的信息易暴露；业务应用的隐私问题等。如何在受限的物联网环境下，仍保证其传输的安全性与隐私性引起学术界和工业界的广泛关注。

物联网指通过信息传感设备把所有可接入的电子设备与互联网连接，以实现信息交换和智能化识别与管理。随着产业技术的不断成熟，物联网标准化体系框架已基本建立，物联网呈现产业规模化、服务平台化、连接泛在化和终端智能化。在这种背景下，物联网互联互通的复杂网络体系结构面临着日益突出的安全与效率问题，越来越多针对物联网的安全攻击行为，给物联网用户带来大量损失。

物联网分布范围广，通常部署在无人监控的区域，由于节点的计算能力有限，传统的安全防护技术无法直接应用于环境复杂且数量众多的物联网系统中，因此，物联网基础设施无法构建完善的安全防护体系，面临着诸多威胁。结合物联网的三层架构，具体遇到威胁如下：应用层易受蠕虫、木马、病毒等网络安全攻击，引起系统宕机、用户隐私泄露等威胁；传输层在数据传输与发送请求过程，容易遭受恶意攻击的网络攻击，包括：拒绝服务攻击、中间人攻击、重放攻击等威胁；感知层的传感器节点易被俘获、仿冒等，面临隐私泄露、僵尸网络等问题，主要容易遭受物理攻击、信道攻击、仿照攻击等。

当前物联网的安全威胁包括两方面。首先，由于物联网的基础是互联网，传统互联网所面临的安全问题，在物联网环境中也存在。其次，就是物联网系统自身的安全问题，主要体现在物联网的感知层。感知层处于最底层最基础的层面，该层面最容易受到威胁。当物联网传感器接收信息时，需要大量传感器节点，这些节点往往暴露在公共场合中，处于白盒攻击环境下，缺乏有效的保护，容易被实施信号干扰或节点捕获。总而言之，现有技术无法对物联网信息数据进行传输保护。

发明内容

有鉴于此，本发明实施例提供一种基于白盒密钥的物联网信息数据传输方法，以至少部分解决上述问题。

根据本发明实施例的第一方面，提供了一种基于白盒密钥的物联网信息数据传输方法，包括：根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据；通过虚拟专用网将所述物联网加密信息数据传输至服务端；所述服务端将所述物联网加密信息数据传输至密服系统；所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据。

在本发明的另一实现方式中，所述根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据，包括：通过PSK协议，获取密服系统中白盒密钥；根据所述白盒密钥对所述物联网信息数据进行加密，得到物联网加密传输数据。

在本发明的另一实现方式中，所述方法还包括：获取所述密服系统中的客户端验证密钥；根据所述客户端验证密钥对客户端信息进行验证；当所述客户端信息符合验证时，所述客户端通过所述白盒密钥对所述物联网信息数据进行加密，得到物联网加密传输数据。

在本发明的另一实现方式中，所述方法还包括：密服系统获取客户端设备信息；根据所述客户端设备信息，得到客户端验证密钥；所述客户端通过白盒密钥对所述物联网信息数据和所述客户端验证密钥进行加密，得到物联网加密传输数据。

在本发明的另一实现方式中，所述服务端将所述物联网加密信息数据传输至密服系统，包括：获取所述密服系统中的服务端验证密钥；根据所述服务端验证密钥对服务端信息进行验证；当所述服务端信息符合验证时，所述服务端将所述物联网加密信息数据传输至密服系统。

在本发明的另一实现方式中，所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据，包括：所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据和解密结果；所述密服系统将所述解密后的物联网信息数据和解密结果传输至所述服务端；所述服务端根据本地密钥对所述解密结果进行加密，得到并传输加密返回结果至客户端。

在本发明的另一实现方式中，所述方法还包括：所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据、客户端验证信息以及解密结果；对所述客户端验证信息进行验证，当所述客户端验证信息符合验证时，所述密服系统将所述解密后的物联网信息数据和解密结果传输至所述服务端。

根据本发明实施例的第二方面，提供了一种基于白盒密钥的物联网信息数据传输装置，包括：加密模块，用于根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据；第一传输模块，用于通过虚拟专用网将所述物联网加密信息数据传输至服务端；第二传输模块，用于所述服务端将所述物联网加密信息数据传输至密服系统；解密模块，用于所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据。

根据本发明实施例的第三方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，处理器、存储器和通信接口通过通信总线完成相互间的通信；存储器用于存放至少一可执行指令，可执行指令使处理器执行如第一方面所述的方法对应的操作。

根据本发明实施例的第四方面，提供了一种计算机存储介质，其上存储有计算机程序，该程序被处理器执行时实现如第一方面所述的方法。

在本发明实施例的方案中，根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据；通过虚拟专用网将所述物联网加密信息数据传输至服务端；所述服务端将所述物联网加密信息数据传输至密服系统；所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据。通过上述步骤，可以通过白盒密钥加密和虚拟专用网传输，对物联网信息数据进行传输保护，保证物联网信息的数据安全。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明实施例中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为一个示例的用户体验系统示意性框图。

图2A为根据本发明的一个实施例的物联网信息数据传输方法的步骤流程图。

图2B为根据本发明的一个实施例的密服系统框图。

图2C为根据本发明的一个实施例的物联网信息数据传输流程图。

图2D为根据本发明的一个实施例的物联网信息数据传输流程图。

图2E为根据本发明的一个实施例的物联网信息数据传输方法的步骤流程图。

图2F为根据本发明的一个实施例的物联网信息数据传输方法的步骤流程图。

图3为根据本发明的一个实施例的物联网信息数据传输装置的示意性框图。

图4为根据本发明的一个实施例的电子设备的结构示意图。

具体实施方式

为了使本领域的人员更好地理解本发明实施例中的技术方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、详细地描述，显然，所描述的实施例仅是本发明实施例一部分实施例，而不是全部的实施例。基于本发明实施例中的实施例，本领域普通技术人员所获得的所有其他实施例，都应当属于本发明实施例保护的范围。

应当理解，本披露的权利要求、说明书及附图中的术语“第一”、“第二”和“第三”等是用于区别不同对象，而不是用于描述特定顺序。本披露的说明书和权利要求书中使用的术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。

还应当理解，在此本披露说明书中所使用的术语仅仅是出于描述特定实施例的目的，而并不意在限定本披露。如在本披露说明书和权利要求书中所使用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个”及“该”意在包括复数形式。还应当进一步理解，在本披露说明书和权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且包括这些组合。

图1为一个示例的物联网信息数据传输方法的示意性框图。本示例的物联网信息数据传输方法包括：采集温湿度数据和视频监控数据；通过VPN协议对采集温湿度数据和视频监控数据进行信息交换；获取信息交换中的温湿度信息和视频监控数据。

物联网信息数据主要是视频监控数据和传感器采集数据，其中视频监控目前广泛应用于金融，公安，交通等各个关键领域，在日常的生产生活中发挥重要作用。在远程监控的过程中，由于视频监控内容的敏感性和保密性，需要保证视频内容的安全性和准确性，但现有的监控系统中远程传输安全性较低，视频数据在网络传输过程中易被窃取和篡改，造成信息泄露。随着大量物联网进行信息交换和信息通信的过程中暴露出的身份认证、数据传输、单点故障等安全问题,低数据流物联网安全问题是物联网技术所面临的挑战。物联网具有三层结构，包括感知层、网络层和服务层。相应的物联网安全也包括三层分别为感知层安全、网络层安全和服务层安全。低数据流物联网设备，如温湿度等，在日常生活中的应用越来越广泛。

本示例的物联网信息数据传输在数据传输中具有比较优良的效果，但是，由于温湿度等数据的敏感性和保密性，在数据传输过程中需要保证数据的完整性和保密性。而温湿度传感器，并不会对采集的温湿度数据进行加密处理。针对以上会遇到的威胁，需要设计完善的身份认证方案和密钥管理方案，采用合适的密码算法和消息认证技术，提高物联网设备在不可信的环境中的安全性。并且当前工业物联网在公共设施及能源、物流服务、智慧城市等领域应用广泛，随之而来的安全问题也日益凸显，数据的所有权与安全性是工业物联网应用的主要挑战。

为了解决数据安全通信，现有技术通常通过IPSec，SSL等协议进行安全加固，但由于物联网设备具有终端数量多、软硬件不统一、计算能力弱等特点，采用VPN类型的网关形式，通过消息汇聚的方式集中实现物联网终端到服务器的安全数据透明化传输，能有效弥补物联网设备的不足。

尽管VPN协议已经比较成熟，GM/T 0024中也定义了基于国密算法的IPSec/SSLVPN标准，但由于IPSec/SSL VPN需要客户端与服务端进行双向认证，实际应用中需提供公钥证书服务，公钥证书服务包括证书生成、分发、撤销等复杂机制，仅有内网的环境下的物联网应用的兼容性和复杂性较差。较为广泛对数据进行加密方式是使用传统密码算法，但传统加密算法不考虑密钥本身的安全保护，在应用中通常使用密码机、专用VPN设备等方式对密钥加以保护，成本较高。

图2A示出了本发明的一个实施例的基于白盒密钥的物联网信息数据传输方法的示例性流程。本实施例的基于白盒密钥的物联网信息数据传输方法包括：

S210：根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据。

需要说明的是，此处的白盒密钥指的基于国密SM4用于抵抗白盒攻击的加密算法。此处的白盒密钥由密服系统分发得到。

如图2B所示，此处的密服系统包括SM3算法模块：用于验证消息是否被篡改；SM4算法模块：用于对通信信息进行加解密操作，包括用于白盒国密网关防篡改模式；白盒SM4算法模块：基于国密SM4标准，实现白盒环境下可证明安全的白盒SM4算法，提供白盒密钥生成操作，CBC模式加密，CBC模式解密。此外，密服系统该包括，密钥分发模块：利用白盒密钥库中封装接口，生成白盒加/解密密钥表文件，并通过HTTPS通道分发白盒密钥至白盒国密网关；身份验证模块：验证接入的白盒国密网关身份，验证身份是否有效，有效方方可进行获取密钥操作；密钥管理模块：对接入的白盒国密网关身份进行管理，对所有由白盒密服系统生成的密钥进行管理；SM4加解密模块：对接入的白盒国密网关服务端传输的加密数据和身份序列，查询云安全存储的相关通信密钥，对消息进行解密操作，并将解密数据返还至白盒国密网关服务端。

需要说明的是，密服系统本身较TLS具有快捷轻便易部署的特点，运用密服系统来保障物联网通信的数据安全能很好地避开以上TLS存在的问题，更迎合物联网资源有限背景下对安全的需求。其次，利用密服系统的白盒密钥进行加解密操作，解决了物联网客户端上密钥存储不安全的问题。

S220：通过虚拟专用网将所述物联网加密信息数据传输至服务端。

需要说明的是，此处的虚拟专用网指是在公用网络上建立专用网络的技术，简称VPN。其之所以称为虚拟网，主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如Internet、ATM(异步传输模式)、Frame Relay(帧中继)等之上的逻辑网络，用户数据在逻辑链路中传输。此处的服务端是为客户端服务的，服务的内容诸如向客户端提供资源，保存客户端数据。优选地，此处的虚拟专用网为OpenVPN，它是一个基于OpenSSL库的应用层VPN。

具体地，如图2C所示，物联网信息数据可以包括摄像头采集数据，通过RTMP协议将采集数据发送给服务端，用户通过服务端查看采集数据。其中，树莓派切入摄像头和服务端之间的网络通信，树莓派和服务端之间通过白盒密钥建立数据传输，树莓派对摄像头建立NAT路由接入，即摄像头与路由器直连，路由器和树莓派直连。采集数据由摄像头基于RTMP协议自主推送至服务端，推送过程途径路由器和树莓派，树莓派作为客户端将采集数据进行白盒密钥加密后，通过OpenVPN推送至服务端，服务端解密得视频流数据，服务端端分配多个端口号用于接收不同采集数据，用户基于HTTP协议从服务端查看采集数据。

其中，如图2D所示，可以在树莓派搭建MQTT服务，修改物联网配置将MQTT数据发送到树莓派，再通过客户端加密。物联网设备依照MQTT协议将物联网信息数据发送到树莓派上的MQTT服务；客户端从树莓派上的MQTT读取数据，加密后发送给服务端，服务端解密后，将物联网信息数据写入服务端的MQTT服务和数据库。服务端可以从数据库中读取物联网信息数据。

S230：所述服务端将所述物联网加密信息数据传输至密服系统。

需要说明的是，由于添加的白盒SM4算法有CBC模式和GCM模式，CBC模式能适配原本vpn的PSK认证模式，GCM模式在原本vpn里只能用于证书认证模式，不能适配PSK认证模式。因此，可以根据vpn的证书认证模式里对加密算法的GCM模式接口调用情况，在PSK认证模式上增加了类似调用的接口，使得改造后的vpn能调用白盒密钥SM4算法的GCM模式。

服务端与密服系统之间基于http协议传输数据，由于运用socket技术与密服系统连接会比websocket技术更加耗时，且websocket技术能快捷高效地实现http长连接功能，进一步提升性能，因此选择在服务端上用websocket技术与密服系统传输明密文。

S240：所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据。

在本发明实施例的方案中，根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据；通过虚拟专用网将所述物联网加密信息数据传输至服务端；所述服务端将所述物联网加密信息数据传输至密服系统；所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据。通过上述步骤，可以通过白盒密钥加密和虚拟专用网传输，对物联网信息数据进行传输保护，保证物联网信息的数据安全。

在一种可能的实现方式中，所述根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据，包括：通过PSK协议，获取密服系统中白盒密钥；根据所述白盒密钥对所述物联网信息数据进行加密，得到物联网加密传输数据。

需要说明的是，此处的PSK全名pre-shared key，又称预共享密钥模式。客户端与服务端从密服系统申请密钥。密钥包含了白盒密钥和验证密钥，以ASCII文本形式存储于客户端和服务端。

优选地，为解决使用复杂，证书吊销困难等问题。在本发明中，为客户端分配验证身份Token值，只有携带有效且验证通过的Token值的客户端才能访问密服系统。此外，本发明还可以通过密服系统会定期更新身份验证的Token值，对于被移除或失效的客户端，失效其token值，或使每个客户端或服务端仅能获得白盒加密表或白盒解密表，且密钥表也会定期更新，从而根据白盒加密表得出的白盒密钥也会定期更新。通过上述方式，可以提高物联网信息数据在不可信的环境中传输的安全性。

在一种可能的实现方式中，所述方法还包括：获取所述密服系统中的客户端验证密钥；根据所述客户端验证密钥对客户端信息进行验证；当所述客户端信息符合验证时，所述客户端通过所述白盒密钥对所述物联网信息数据进行加密，得到物联网加密传输数据。

需要说明的是，在验证身份时，客户端根据MAC地址生成密文，附带该设备MAC地址的哈希值一起发送给服务端，服务端解密密文并生成哈希值，与发送来的哈希值做比对，相同则表示双方持有相同密钥，通过身份认证。通过上述方式，可以提高物联网信息数据在不可信的环境中传输的安全性。

在一种可能的实现方式中，所述方法还包括：密服系统获取客户端设备信息；根据所述客户端设备信息，得到客户端验证密钥；所述客户端通过白盒密钥对所述物联网信息数据和所述客户端验证密钥进行加密，得到物联网加密传输数据。

优选地，此处的客户端和服务端采用正/反向代理或n2n开源隧道技术，在客户端和服务端建立安全传输隧道。客户端和服务端通过客户端验证密钥完成身份认证工作，通过白盒密钥对通道内物联网信息数据加解密，通过在网络层或应用层建立隧道以实现物联网信息数据的传输。此处的白盒密钥为SM4对称加密算法，并且通过CBC模式和GCM模式对隧道内的应用数据包或IP数据包进行加解密，并通过CBC TAG或GCM TAG等方式对数据包进行完整性校验。此处的客户端验证密钥从密服系统获取，通过验证密钥可以完成客户端和服务端身份认证工作和数据加解密工作。通过上述方式，可以提高物联网信息数据在不可信的环境中传输的安全性。

在一种可能的实现方式中，所述服务端将所述物联网加密信息数据传输至密服系统，包括：获取所述密服系统中的服务端验证密钥；根据所述服务端验证密钥对服务端信息进行验证；当所述服务端信息符合验证时，所述服务端将所述物联网加密信息数据传输至密服系统。

需要说明的是，通过上述方式，可以提高物联网信息数据在不可信的环境中传输的安全性。

在一种可能的实现方式中，所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据，包括：所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据和解密结果；所述密服系统将所述解密后的物联网信息数据和解密结果传输至所述服务端；所述服务端根据本地密钥对所述解密结果进行加密，得到并传输加密返回结果至客户端。

优选地，如图2E所示，服务端向客户端传送诸如隧道建立、隧道保持等非关键消息数据，则使用本地白盒密钥执行加密操作，客户端使用与服务端相同的本地白盒密钥执行解密操作。通过上述方式，可以提高物联网信息数据在不可信的环境中传输的安全性。

在一种可能的实现方式中，所述方法还包括：所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据、客户端验证信息以及解密结果；对所述客户端验证信息进行验证，当所述客户端验证信息符合验证时，所述密服系统将所述解密后的物联网信息数据和解密结果传输至所述服务端。

优选地，如图2F所示，客户端向密服系统提交与服务端连接申请，密服系统对服务端信息进行验证，通过后返回服务端虚拟IP地址和客户端验证信息，客户端使用白盒密钥对数据以及客户端验证信息进行加密操作，并将密文传输给服务端。服务端把密文递交给密服系统进行解密，密服系统解密后验证客户端验证信息，验证通过后将明文传输返回给服务端。服务端用本地密钥对解密结果进行加密，并发送给客户端。通过上述方式，可以提高物联网信息数据在不可信的环境中传输的安全性。

图3为根据本发明的另一实施例的基于白盒密钥的物联网信息数据传输装置的示意性框图。本发明实施例的方案可以应用于电子设备，包括但不限于：具有通信功能的终端设备或具有交互行为能力的电子设备等。

本实施例的基于白盒密钥的物联网信息数据传输装置，包括：加密模块310，用于根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据；第一传输模块320，用于通过虚拟专用网将所述物联网加密信息数据传输至服务端；第二传输模块330，用于所述服务端将所述物联网加密信息数据传输至密服系统；解密模块340，用于所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据。

在另一些示例中，加密模块，具体用于：通过PSK协议，获取密服系统中白盒密钥；根据所述白盒密钥对所述物联网信息数据进行加密，得到物联网加密传输数据。

在另一些示例中，加密模块，具体用于：获取所述密服系统中的客户端验证密钥；根据所述客户端验证密钥对客户端信息进行验证；当所述客户端信息符合验证时，所述客户端通过所述白盒密钥对所述物联网信息数据进行加密，得到物联网加密传输数据。

在另一些示例中，加密模块，具体用于：密服系统获取客户端设备信息；根据所述客户端设备信息，得到客户端验证密钥；所述客户端通过白盒密钥对所述物联网信息数据和所述客户端验证密钥进行加密，得到物联网加密传输数据。

在另一些示例中，第二传输模块，具体用于：获取所述密服系统中的服务端验证密钥；根据所述服务端验证密钥对服务端信息进行验证；当所述服务端信息符合验证时，所述服务端将所述物联网加密信息数据传输至密服系统。

在另一些示例中，解密模块，具体用于：所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据和解密结果；所述密服系统将所述解密后的物联网信息数据和解密结果传输至所述服务端；所述服务端根据本地密钥对所述解密结果进行加密，得到并传输加密返回结果至客户端。

在另一些示例中，解密模块，具体用于：所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据、客户端验证信息以及解密结果；对所述客户端验证信息进行验证，当所述客户端验证信息符合验证时，所述密服系统将所述解密后的物联网信息数据和解密结果传输至所述服务端。

参照图4，示出了根据本发明的另一实施例的电子设备的结构示意图，本发明具体实施例并不对电子设备的具体实现做限定。

如图4所示，该电子设备可以包括：处理器(processor)402、通信接口(Communications Interface)404、存储有程序410的存储器(memory)406、以及通信总线408。

处理器、通信接口、以及存储器通过通信总线完成相互间的通信。通信接口，用于与其它电子设备或服务器进行通信。处理器，用于执行程序，具体可以执行上述方法实施例中的相关步骤。具体地，程序可以包括程序代码，该程序代码包括计算机操作指令。

处理器可能是处理器CPU，或者是特定集成电路ASIC(Application SpecificIntegrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。智能设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个CPU；也可以是不同类型的处理器，如一个或多个CPU以及一个或多个ASIC。

存储器，用于存放程序。存储器可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

程序具体可以用于使得处理器执行操作：根据白盒密钥对物联网信息数据进行加密，得到物联网加密信息数据；通过虚拟专用网将所述物联网加密信息数据传输至服务端；所述服务端将所述物联网加密信息数据传输至密服系统；所述密服系统对所述物联网加密信息数据进行解密，得到解密后的物联网信息数据。

以上实施方式仅用于说明本发明实施例，而并非对本发明实施例的限制，有关技术领域的普通技术人员，在不脱离本发明实施例的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明实施例的范畴，本发明实施例的专利保护范围应由权利要求限定。上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本发明时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指5令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。

本领域技术人员应明白，本发明的实施例可提供为方法、系统或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定事务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本发明，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行事务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。