用于监督计算机网络中的连接的方法和执行单元

技术领域

本发明大体上涉及一种监督计算机网络中的连接的方法，计算机网络包括一个或多个客户端单元、一个或多个主机单元和执行单元，更具体地，本发明涉及一种用于计算机网络中的执行单元，其中，客户端计算机可以连接到多个主机计算机。

背景技术

每个在线操作都需要在一个或多个设备与主机服务器之间交换数据，每个设备都包括其IP地址。为了重新映射和保留IP地址，设想了网络地址转换(network addresstranslation，NAT)，NAT包括所有设备的一个外部公共IP地址。当从设备接收到数据包时，NAT会记录发送数据包的设备，并在转发数据包之前用外部公共IP替换设备的地址。NAT向提供商内部网络中的公共地址插入响应数据包。但是NAT并不包括从互联网连接到设备，因为公共IP地址会由于目标是未知的而完全无处可去。数据包丢失也可能在从设备通过网络发送到外部服务器时发生。互联网上的合法连接基于主机名。但是IP地址通过从服务器接收到的响应连接到所需的主机。

预定义的IP地址允许任何人在任何地方直接从互联网连接到设备。其中可能包括网络犯罪分子。预定义的IP地址允许自由流向设备的请求，该传输包括垃圾邮件和控制设备的尝试。预定义的IP地址上的连接通常属于尝试与设备、错误、恶意软件或暗网连接。这些错误可能存在于预定义的IP地址的实现中，也可能存在于设计中。恶意软件尝试连接到已知的远程服务器。预定义的IP地址还可以包括僵尸网络，僵尸网络是远程控制的，并且会用于发起比病毒规模更大的威胁。在这些预定义的IP地址中，安全性不明确，也不监督和执行连接，基于硬编码的IP地址的功能是不需要的，应该被阻止。在机构中，无法根据预定义的IP地址网络流量按主机名执行连接。

因此，在执行计算机网络中的连接时，需要解决现有系统或技术中的上述技术缺陷。

发明内容

本发明的一个目的是提供一种监督计算机网络中的连接的方法，所述计算机网络包括一个或多个客户端单元、一个或多个主机单元和执行单元，所述执行单元用于所述计算机网络中，其中，客户端计算机可以连接到多个主机计算机，同时避免现有技术方法的一个或多个缺点。

该目的是通过独立权利要求的特征来实现的。其它实现方式在从属权利要求、说明书和附图中是显而易见的。

本发明提供了一种监督计算机网络中的连接的方法，计算机网络包括一个或多个客户端单元、一个或多个主机单元和执行单元，执行单元用于计算机网络中，其中，客户端计算机可以连接到多个主机计算机。

根据第一方面，提供了一种监督计算机网络中的连接的方法，所述计算机网络包括一个或多个客户端单元和一个或多个主机单元，执行单元用于监控计算机网络中的连接并根据动态规则集允许或拒绝连接。所述方法包括检测来自地址解析单元的消息，所述消息包括IP地址。所述方法包括从消息中获取IP地址。所述方法包括检查所述消息为响应于来自所述一个或多个客户端单元中的第一客户端单元的请求而发送，所述IP地址对应于所述请求中指定的主机名。所述方法包括在所述动态规则集中添加新规则，所述新规则仅在发现所述消息响应于所述请求并且所述IP地址对应于所述主机名时允许所述第一客户端单元与所述IP地址之间的连接。

所述方法执行请求中的IP地址到主机名的连接。由于错误、暗网或未注册的恶意软件服务器地址，所述连接不包括任何硬编码的IP地址，从而提高安全性。所述方法能够通过添加基于主机名的黑名单和白名单以及DNS服务器黑名单和白名单，以及支持恶意软件防护，进一步提高安全性。

可选地，所述检查包括在所述消息之前所述执行单元已接收到所述请求。

所述新规则包括定义所述新规则有效的时间段的时间框架，所述方法可选地包括在所述时间段之后停用所述新规则的步骤。

所述新规则包括最大数量的数据包，所述方法可选地包括在为所述连接接收到所述最大数量的数据包之后停用所述新规则的步骤。

可选地，所述方法包括在防火墙单元中接收到从客户端计算机到主机的出站数据包时停用新规则的步骤。

所述执行单元可选地位于防火墙单元中，用于监控所述一个或多个客户端单元与所述一个或多个主机单元之间的连接。所述执行单元可以位于所述第一客户端单元中，并且可以用于将新规则实现为发起与主机连接的计算机功能中的钩子。所述执行单元可以位于包括所述一个或多个客户端单元的本地网络中的本地服务器中。

根据第二方面，提供了一种计算机程序产品，用于网络中的监控单元中，其中，客户端设备可以连接到一个或多个主机设备。所布置的监控单元根据动态规则集允许或拒绝连接。计算机程序产品包括计算机可读代码，当所述计算机可读代码在处理器中运行时，所述计算机可读代码将使监控单元执行所述方法。

所述计算机程序产品不需要任何手动干预，因为所述计算机程序产品在所述计算机网络中包括根据动态规则集允许或拒绝连接的自动机制。

可选地，所述计算机程序产品包括非瞬时存储器，所述非瞬时存储器存储所述计算机可读代码。

根据第三方面，提供了一种用于网络中的执行单元，其中，客户端设备可以连接到一个或多个主机设备。所布置的执行单元根据动态规则集允许或拒绝连接。执行单元包括用于执行所述方法的控制单元。

可选地，执行单元用于包括在防火墙单元中，并用于监控客户端计算机与一个或多个主机单元之间的连接。所述控制单元可以用于监控所述客户端计算机与所述一个或多个主机单元之间的连接。

可选地，所述执行单元用于包括在第一客户端计算机中。所述控制单元可以用于将新规则实现为发起与主机连接的计算机功能中的钩子。

可选地，所述执行单元用于包括在包括客户端计算机的本地网络中的本地服务器单元中。所述控制单元可以位于包括所述一个或多个客户端单元的所述本地网络中的所述本地服务器中。

所述执行单元执行请求中的IP地址连接到主机名，从而提高客户端计算机的安全性。所述执行单元能够跟踪来自计算机网络的请求和响应以执行所述方法。

根据第四方面，提供了一种计算机网络，包括一个或多个客户端计算机、一个或多个主机计算机和用于监控所述一个或多个客户端计算机与所述一个或多个主机计算机之间的流量并阻止不需要的流量的防火墙单元。该网络包括用于执行上述方法的执行单元。

解决了现有技术中的技术问题，其中，技术问题是基于预定义的IP地址的互联网连接可能会对组织造成安全风险。

因此，相反，根据本发明中提供的方法和执行单元，能够监督网络中的连接，并执行连接以与主机名连接，从而提高安全性。

本发明的这些和其它方面将从下面描述的实现方式中显而易见。

附图说明

现在将仅通过示例的方式，参考附图描述本发明的实现方式。

图1是根据本发明的实现方式的在计算机网络中使用的执行单元的框图。

图2是根据本发明的实现方式的包括一个或多个客户端计算机、一个或多个主机计算机和防火墙单元的计算机网络的框图。

图3A是根据本发明的实现方式的当执行单元位于客户端计算机中时计算机网络中的信息流的示例性图。

图3B是根据本发明的实现方式的来自执行单元的响应流的示例性图。

图4是根据本发明的实现方式的从计算机网络中的客户端计算机接收的事件流的交互图。

图5是根据本发明的实现方式的监督计算机网络中的连接的方法的流程图。

图6是示例性计算装置的图示，其中可以实现之前的各种实现方式的各种架构和功能。

具体实施方式

本发明的实现方式提供了一种监督计算机网络中的连接的方法，计算机网络包括一个或多个客户端单元、一个或多个主机单元和执行单元，执行单元在计算机网络中用于监督计算机网络中的连接。

为了使本领域技术人员更容易理解本发明的方案，结合附图描述了本发明的以下实现方式。

本发明的发明内容、权利要求和附图中的术语，如“第一”、“第二”、“第三”和“第四”(如果有的话)用于区分类似的物体，而不一定用于描述特定的次序或顺序。应理解，这样使用的术语在适当的情况下是可互换的，因此，例如，本文描述的公开内容的实现方式能够以本文所示或描述的顺序以外的顺序来实现。此外，术语“包括”和“具有”及其任何变体旨在涵盖非排他性包含。例如，包括一系列步骤或单元的过程、方法、系统、产品或设备不一定限于明确列出的步骤或单元，而是可以包括未明确列出的或此类过程、方法、产品或设备固有的其它步骤或单元。

图1是根据本发明的实现方式的用于计算机网络100中的执行单元106的框图。计算机网络100包括客户端计算机102、通信网络104和一个或多个主机计算机/单元108A-N。计算机网络100通信地连接到执行单元106。执行单元106使客户端计算机102能够连接到一个或多个主机计算机108A-N。执行单元106用于根据动态规则集允许或拒绝连接。执行单元106包括控制单元107，控制单元107用于检测来自地址解析单元的消息。该消息包括IP地址。控制单元107用于从消息中获得IP地址。控制单元107用于检查消息为响应于来自一个或多个客户端计算机/单元中的第一客户端计算机(例如客户端计算机102)的请求而发送，IP地址对应于请求中指定的主机名。控制单元107用于在动态规则集中添加新规则。所述新规则仅在发现所述消息响应于所述请求并且所述IP地址对应于所述主机名时允许所述第一客户端计算机与所述IP地址之间的连接。

执行单元106执行请求的IP地址到主机名的连接，并提高安全性，因为仅允许请求的IP地址连接到主机名，并且由于错误、暗网或未注册的恶意软件服务器地址，所述连接不包括任何硬编码的IP。执行单元106通过添加基于主机名的黑名单和白名单以及DNS服务器黑名单和白名单来提高安全性。该机制支持恶意软件防护。执行单元106能够自动处理或监控连接，并能够允许/拒绝客户端计算机102与一个或多个主机单元108A-N之间的连接。

地址解析单元可以是名称服务器或本地文件。该消息可以在没有任何发起的情况下从客户端计算机102恶意接收。主机名可以与一个或多个主机计算机108A-N中的任何一个关联。

控制单元107可选地检查在消息之前执行单元106已接收到请求。该请求可以是请求所请求的主机名的域名系统(domain name system，DNS)请求。该响应可以是响应回执行单元106的域名系统(domain name system，DNS)响应。所请求的主机名可以与一个或多个主机108A-N中的任何一个关联。执行单元106用于跟踪来自或至计算机网络100的DNS请求和DNS响应。

根据DNS响应中的数据，动态规则集是动态的和临时的。新规则也可以是动态的和临时的。新规则可以包括定义新规则有效的时间段的时间框架，并且控制单元107可以在该时间段之后停用新规则。新规则可以包括最大数量的数据包，并且控制单元107可以在已经接收到用于连接的所述最大数量的数据包之后停用新规则。控制单元107可以在防火墙单元接收到出站数据包时停用新规则。出站数据包可以从客户端计算机102到主机。计算机网络100仅为已知并属于主机名的IP地址创建针孔，并执行客户端设备到主机名的连接。

执行单元106可以位于防火墙单元中，并用于监控客户端计算机102与一个或多个主机计算机108A-N之间的连接。客户端计算机102可以通过计算机网络100中的执行单元106连接到一个或多个主机计算机108A-N。执行单元106根据动态规则集允许或拒绝连接。执行单元106包括用于监督连接的控制单元。执行单元106可以使用执行机制来监控和监督连接。执行单元106根据来自计算机网络100的响应允许和拒绝连接。

计算机网络100可以包括一种机制，该机制用于通过嗅探主机名查找来注释所请求的主机名，注释从消息中检测到的响应IP地址，验证响应与请求匹配，更新执行单元106以允许或拒绝连接。该机制使得IP地址能够用主机名或域连接到一个或多个主机计算机108A-N。

执行单元106嗅探来自本地客户端的主机名查找。本地客户端可以是本地DNS服务器。主机名查找可以由防火墙、getaddrinfo中的钩子或本地DNS服务器完成。防火墙的主机名查找包括lptables、Ebpf或netfilter中的任一个。执行单元106可以在基于主机名的连接的基于进程和基于会话的执行以及基于主机名的连接的全局和系统范围的执行中提供不同的粒度和分辨率。执行单元106可以在所有进程中提供详细的级别粒度。

当从本地客户端接收到DNS响应时，执行单元106用消息识别响应IP地址，并更新执行单元106。执行单元106可以用连接和发送到系统调用的防火墙或钩子更新。执行单元106可以位于客户端计算机102中，并用于将新规则实现为发起到主机的连接的计算机功能中的钩子。可选地，执行单元106用于包括在第一客户端计算机中，控制单元107用于执行所述机制。

新规则可以包括特定进程、具有超时或具有匹配限制。超时可以是默认值，也可以是DNS服务器提供的生存时间(time to live，TTL)。匹配限制可以是可以使用所确定的次数的IP地址，也可以是只能使用所确定的会话数量的IP地址。匹配限制支持多种协议，这些协议可以包括传输控制协议(transmission control protocol，TCP)会话或用户数据报协议(user datagram protocol，UDP)会话中的任一种。UDP会话可以使用其五元组检测。

可选地，计算机网络100(其中，客户端计算机102可以连接到一个或多个主机计算机108A-N)中的执行单元106包括用于执行所述机制的控制单元。

可选地，计算机网络100包括一个或多个客户端计算机、一个或多个主机计算机108A-N和用于监控一个或多个客户端计算机与一个或多个主机计算机108A-N之间的流量并阻止不需要的流量的防火墙单元。

图2是根据本发明的实现方式的计算机网络200的框图，计算机网络200包括一个或多个客户端计算机/单元202A-N、一个或多个主机计算机206A-N和防火墙单元208。该框图包括计算机网络200，计算机网络200包括一个或多个客户端计算机202A-N、通信网络204、一个或多个主机计算机206A-N和防火墙单元208。防火墙单元208监控一个或多个客户端计算机202A-N与一个或多个主机计算机206A-N之间的流量，并阻止不需要的流量。计算机网络200还包括执行单元。

图3A是根据本发明的实现方式的当执行单元306位于客户端计算机中时计算机302网络中的信息流的示例性图。示例性图包括客户端计算机302(包括客户端应用程序304和执行单元306)、防火墙单元308、与内部网络314关联的本地DNS服务器310和与外部网络316关联的DNS服务器312。客户端计算机302向计算机网络发送请求。一个或多个客户端可以使用客户端应用程序304向计算机网络发送请求。请求可以是信息或消息，包括IP地址。内部网络314从客户端应用程序304接收请求。内部网络314与本地DNS服务器310和防火墙单元308通信地连接。本地DNS服务器310可以通过防火墙单元308向外部网络316发送请求。防火墙单元308是用于与内部网络314和外部网络316通信的网关。外部网络316与DNS服务器312通信地连接。外部网络316可以向DNS服务器312发送请求，DNS服务器312可以向外部网络316发送对请求的响应。本地DNS服务器310可以向客户端计算机302发送从DNS服务器312接收的响应。客户端计算机302中的执行单元306嗅探请求和响应，以监控连接，并根据动态规则集允许或拒绝连接。

图3B是根据本发明的实现方式的从执行单元306接收的响应流的示例性图。客户端计算机302可以查找主机。主机可以是“server.com”。执行单元306可以执行查找，例如DNS、主机。本地DNS服务器310可以响应于来自客户端计算机302的查找发送IP地址。执行单元306可以在IP地址的动态规则集中创建本地规则，并根据其配置设置触发器。如果规则已经存在，则执行单元306可以更新动态规则集中的规则。执行单元306可以用现有规则覆盖规则。

客户端计算机302可以使用客户端应用程序304向IP地址发送请求。DNS服务器312接收请求并向客户端计算机302发送响应。执行单元306接收来自DNS服务器312的响应，并向客户端应用程序304发送该响应。如果触发条件在本地规则上发生，则执行单元306删除该规则。如果执行单元306删除本地规则，则执行单元306可以丢弃来自本地规则和客户端应用程序304的数据包。

图4是根据本发明的实现方式的来自计算机网络中的客户端计算机401的事件流的交互图。在步骤402中，客户端计算机401用于查找主机，例如“server.com”。在步骤404中，在地址解析单元403处使用DNS服务器或主机中的任一个执行查找。在步骤406中，使客户端计算机401能够连接到执行单元405。地址解析单元403可以使客户端计算机401用IP地址与执行单元405连接。IP地址可以为179.285.71.74。在步骤408中，客户端计算机401通过执行单元405连接到具有该IP地址的主机。在步骤410中，执行单元405用于将新规则添加到动态规则集中。新规则可以包括：Process“Client device”>179.285.71.74:ACCEPT。

在步骤412中，如果动态规则集或新规则的查找包括TTL，则执行单元405设置超时407。在步骤414中，如果DNS记录不包括TTL，则执行单元405在超时407中设置预定义间隔的超时。在步骤416中，客户端计算机401向执行单元405请求IP地址。在步骤418中，执行单元405与IP地址建立连接。在步骤420中，如果没有TTL，则执行单元405删除规则，并且IP地址可以仅使用一次。规则通过以下方式删除：

Delete rule:Process“Client device”>179.285.71.74:ACCEPT。

在步骤422中，执行单元405向服务器409发送对IP地址的请求。在步骤424中，服务器409向执行单元405发送对IP地址的响应。在步骤426中，建立连接，执行单元405向客户端计算机401发送从服务器409接收的对IP地址的响应。在步骤428中，当达到超时407时，规则被删除。在步骤430中，客户端计算机401请求附加数据包的IP地址，并且附加数据包可以在执行单元405丢弃。

图5是根据本发明的实现方式的监督计算机网络中的连接的方法的流程图。计算机网络包括一个或多个客户端单元、一个或多个主机单元和用于监控计算机网络中的连接并根据动态规则集允许或拒绝连接的执行单元。在步骤502中，检测来自地址解析单元的消息。该消息包括IP地址。在步骤504中，从消息中获取IP地址。在步骤506中，检查消息为响应于来自一个或多个客户端单元中的第一客户端单元而发送，IP地址对应于请求中指定的主机名。在步骤508中，在动态规则集中添加新规则。所述新规则仅在发现所述消息响应于所述请求并且所述IP地址对应于所述主机名时允许所述第一客户端单元与所述IP地址之间的连接。

所述方法执行请求中的IP地址到主机名的连接。由于错误、暗网或未注册的恶意软件服务器地址，所述连接不包括任何硬编码的IP地址，从而提高安全性。所述方法能够通过添加基于主机名的黑名单和白名单以及DNS服务器黑名单和白名单，以及支持恶意软件防护，进一步提高安全性。

所述方法能够跟踪来自网络的请求和响应。所述方法不需要任何手动干预，因为所述方法在所述计算机网络中包括根据动态规则集允许或拒绝连接的自动机制。

可选地，所述检查包括在所述消息之前执行单元已接收到所述请求。

所述新规则包括定义所述新规则有效的时间段的时间框架，所述方法可选地包括在所述时间段之后停用所述新规则的步骤。所述新规则包括最大数量的数据包，所述方法可选地包括在为所述连接接收到所述最大数量的数据包之后停用所述新规则的步骤。

可选地，所述方法包括在防火墙单元中接收到从客户端设备到主机的出站数据包时停用新规则的步骤。执行单元位于防火墙单元中，防火墙单元用于监控一个或多个客户端与一个或多个主机之间的连接。

可选地，在初始化期间，计算机网络可以添加外部DNS服务器(即远程主机)以允许传出流量。可选地，以下规则允许本地DNS服务器连接到外部DNS服务器：

lptables-A OUTPUT-d-udp-dport 53-j ACCEPT。

本地DNS服务器向外部DNS服务器转发DNS请求。本地DNS服务器从外部DNS服务器接收对DNS请求的响应。本地DNS服务器用传出流量的特定规则更新本地防火墙，如下所示：

iptables-A OUTPUT-d-j ACCEPT-m owner-pid-owner。

所有者PID可以通过扫描、proc、或net中的任一方式检索，以获取到本地DNS服务器的连接(例如UDP连接)。本地DNS服务器为TTL字段创建计时器，或默认超时。默认超时是本地DNS服务器中和计算机网络中UDP连接保持打开的时间量。通常情况下，默认超时大约可以为60秒。

本地DNS服务器接收到来自外部DNS服务器的响应后，向客户端计算机转发该响应。当客户端计算机连接到远程主机时，响应与新添加的针孔规则匹配。当客户端计算机在同一会话中发送一个或多个附加数据包时，现有连接与动态规则集匹配，计算机网络允许连接。本地DNS服务器可以包括支持匹配限制的netfilter队列处理程序。本地DNS服务器检查netfilter队列处理程序中的一个或多个事件，并在一个或多个附加数据包中的至少一个匹配时从动态规则集中删除相关规则。

执行单元可以使用库函数钩子实现。库函数钩子处理拦截的函数调用、事件或消息中的任一个，以允许或拒绝来自客户端计算机的连接。钩子可以通过getaddrinfo、connect和sendto来实现。connect、sendto和sendmsg中的钩子可以使用seccomp-ebpf。connect和sendto钩子可能需要在ebpf映射中安装IP、PID和超时时间戳。如果该规则已在动态规则集中存在，则计算机网络用相同的规则覆盖该规则。在getaddrinfo中，IP地址查找给定的主机名。对于一次性使用，当没有给出TTL时，IP可以被标记。getaddrinfo向客户端计算机转发IP地址。

客户端计算机通过计算机网络使用钩子连接到DNS服务器。钩子可以是系统调用，例如connect、sendto或sendmsg或操作系统服务。钩子可以安装在系统调用上。计算机网络用于在ebpf映射中查找目的IP地址和PID。如果超时时间戳已过去，则计算机网络可以从动态规则集中删除规则。它可能不匹配，并拒绝连接。如果规则与动态规则集匹配，则计算机网络允许系统调用以允许连接。如果IP地址被标记为一次性使用，则计算机网络可以从ebpf映射中删除IP地址。计算机网络用于，如果一次性IP地址未从ebpf映射中删除，则拒绝系统调用。可以在客户端计算机中添加钩子_退出系统调用，以删除计算机网络中的所有PID规则。

提供了一种用于计算机网络中的监控单元中的计算机程序产品，其中，客户端计算机可以连接到一个或多个主机设备，布置在计算机网络中的监控单元根据动态规则集允许或拒绝连接。计算机程序产品包括计算机可读代码，当所述代码在处理器中运行时，所述代码使监控单元执行所述执行机制。

计算机程序产品可选地包括存储计算机可读代码的非瞬时存储器。

图6是示例性计算装置600的图示，其中可以实现之前的各种实现方式的各种架构和功能。如图所示，计算装置600包括连接到总线602的至少一个处理器604，其中，计算装置600可以使用任何合适的协议来实现，例如外围组件互连(peripheral componentinterconnect，PCI)、PCI-Express、加速图形端口(accelerated graphics port，AGP)、HyperTransport或任何其它总线或点对点通信协议。计算装置600还包括存储器606。

控制逻辑(软件)和数据存储在存储器606中，存储器606可以采取随机存取存储器(random-access memory，RAM)的形式。在本描述中，单个半导体平台可以指唯一的基于单一半导体的集成电路或芯片。需要说明的是，术语“单个半导体平台”还可以指具有增加的连接性的多芯片模块，这些多芯片模块模拟具有增加的连接性、模拟片上操作的片上模块，并且相比于使用传统的中央处理单元(central processing unit，CPU)和总线的实现方式作出实质性改进。当然，根据用户的需要，各种模块也可以单独放置或以半导体平台的各种组合放置。

计算装置600还可以包括辅助存储器610。例如，辅助存储器610包括机械硬盘和可移动存储驱动器，包括软盘驱动器、磁带驱动器、压缩磁盘驱动器、数字多功能磁盘(digital versatiledisk，DVD)驱动器、记录设备、通用串行总线(universal serial bus，USB)闪存。可移动存储驱动器以众所周知的方式从可移动存储单元读取和/或写入可移动存储单元。

计算机程序或计算机控制逻辑算法可以存储在存储器606和辅助存储器610中的至少一个中。当这些计算机程序被执行时，这些计算机程序使计算装置600能够执行如以上所描述的各种功能。存储器606、辅助存储器610和任何其它存储器是计算机可读介质的可能示例。

在一种实现方式中，在之前的各个附图中描述的架构和功能可以在处理器604、耦合到通信接口612的图形处理器、能够具有处理器604和图形处理器的至少一部分能力的集成电路(未示出)、芯片组(即，一组集成电路，设计成作为执行相关功能等的单元工作和销售)的上下文中实现。

此外，在之前的各个附图中描述的架构和功能可以在一般计算机系统、电路板系统、专用于娱乐目的的游戏控制台系统、应用特定的系统的上下文中实现。例如，计算装置600可以采取台式计算机、膝上型计算机、服务器、工作站、游戏机、嵌入式系统的形式。

此外，计算装置600可以采取各种其它设备的形式，包括但不限于个人数字助理(personal digital assistant，PDA)设备、移动电话设备、智能手机、电视等。附加地，尽管未示出，但是计算装置600可以耦合到用于通过I/O接口608通信目的的网络(例如，电信网络、局域网(local area network，LAN)、无线网络、广域网(wide area network，WAN)，例如互联网、点对点网络、电缆网络等)。

应理解，在所描述的附图中示出的组件的布置是示例性的，并且其它布置也是可能的。还应理解，由权利要求定义的、下文描述的并在各种框图中示出的各种系统组件(和部件)代表根据本文公开的主题配置的一些系统中的组件。例如，这些系统组件(和部件)中的一个或多个可以全部或部分地通过在所描述的附图中所示的布置中的组件中的至少一些实现。

此外，虽然这些组件中的至少一个至少部分地实现为电子硬件组件，并因此构成机器，但其它组件可以以软件实现，当该软件包括在执行环境中时，该软件构成机器、硬件或软件和硬件的组合。

虽然本发明及其优点已详细描述，但是应当理解，在不脱离所附权利要求书界定的本发明的精神和范围的情况下，可以作出各种改变、替代和更改。