一种安全防护系统及安全防护方法

技术领域

本申请涉及通信技术领域，尤其涉及一种安全防护系统及安全防护方法。

背景技术

随着5G、云计算等网络技术迅速发展，移动远程协同办公逐渐成为业务发展的新趋势，为此要求用户在任何时候、任何地点、使用任何设备都能安全高效地接入业务系统。传统集中式安全业务处理方式越来越难以满足上述要求，迫切需要采用一种更加扁平化的安全业务处理方式，保持系统的简单、高效、可靠的运行，同时具有良好的灵活扩展能力。

目前进行安全业务处理时，是设置一个总部机构，例如总部安全中心，所有业务流量通过私有网络接入到总部安全中心，然后在总部安全中心进行安全业务的集中处理。该业务处理必须由总部安全中心统一处理，不仅网络效率低且专线成本高；而且该方式单点管理失效的可能性很高，需要较高的安全运维保障，且业务灵活扩展性不高。

目前还提供了一种管理和业务处理进行分离的安全业务处理方式，即，安全业务由安全管理平台远程集中管理，而安全业务会由安全管理平台下沉到业务接入点，由业务接入点对业务进行处理。这种管理方式，单点管理失效的可能性也很高，且业务灵活性和扩展性不足；此外，集中式远程管理对网络可靠性要求比较高，且各业务接入点的安全策略难以保持稳定的一致性。

因此，如何提供一种安全防护系统，使得该安全防护系统在实现对安全业务远程管理的情况下，提升安全防护系统的鲁棒性和安全性，避免单点管理失效，提升业务灵活性和扩展性是值得考虑的技术问题之一。

发明内容

有鉴于此，本申请提供一种安全防护系统及安全防护方法，用以实现对安全业务远程管理的情况下，提升安全防护系统的鲁棒性和安全性，避免单点管理失效，提升业务灵活性和扩展性。

具体地，本申请是通过如下技术方案实现的：

根据本申请的第一方面，提供一种安全防护系统，包括多个接入服务节点和维护节点，其中：

所述维护节点，用于控制所述安全防护系统的工作模式，所述工作模式为维护模式或服务模式；当控制所述安全防护系统处于维护模式时，向接入服务节点同步自身的安全策略信息；

每个接入服务节点，用于当所述维护节点控制所述安全防护系统当前处于维护模式时，从所述维护节点获取所述维护节点中的安全策略信息；

所述维护节点，还用于当所述安全防护系统中的节点达到策略同步需求后，将所述安全防护系统的工作模式配置为服务模式；

每个接入服务节点，还用于当所述安全防护系统处于服务模式时，则向与其对应的对象提供安全业务处理服务。

根据本申请的第二方面，提供一种安全防护方法，应用于安全防护系统中的接入服务节点中，所述安全防护系统还包括维护节点，所述方法，包括：

当所述安全防护系统处于维护模式时，获取所述维护节点中的安全策略信息；

根据获取到的安全策略信息更新该接入服务节点的安全策略信息；

当所述安全防护系统处于服务模式时，向与其对应的对象提供安全业务处理服务。

根据本申请的第三方面，提供另一种安全防护方法，应用于安全防护系统中的维护节点，所述安全防护系统还包括多个接入服务节点，所述方法，包括：

控制所述安全防护系统的工作模式，所述工作模式为维护模式或服务模式；

当控制所述安全防护系统处于维护模式时，向接入服务节点同步自身的安全策略信息；

当所述安全防护系统中的节点达到策略同步需求后，将所述安全防护系统的工作模式配置为服务模式。

根据本申请的第四方面，提供一种电子设备，包括处理器和机器可读存储介质，机器可读存储介质存储有能够被处理器执行的计算机程序，处理器被计算机程序促使执行本申请实施例第一方面所提供的方法。

根据本申请的第五方面，提供一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例第一方面所提供的方法。

本申请实施例的有益效果：

本实施例提供的安全防护系统中，通过切换安全防护系统的工作模式，使安全防护系统实现集合集中式安全管理和分布式安全防护模式。在维护模式下采用集中安全管理架构，可高效便捷管理维护整个系统的所有节点；在服务模式下采用分布式防护架构，不仅高效、简洁、灵活可扩展，而且能够避免集中式架构下管理平台容易被攻击及造成单点失效的问题；以及避免了单节点容易被攻击、突破防线等问题的发生，有效提高了整个防护体系的鲁棒性和安全性，从而提升业务灵活性和扩展性。

附图说明

图1是本申请实施例提供的一种安全防护系统的结构示意图；

图2是本申请实施例提供的一种接入服务节点的结构示意图；

图3是本申请实施例提供的一种安全防护方法的流程示意图；

图4是本申请实施例提供的另一种安全防护方法的流程示意图；

图5是本申请实施例提供的一种实施安全防护方法的电子设备的硬件结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反，它们仅是与如本申请的一些方面相一致的装置和方法的例子。

在本申请使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本申请。在本申请中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相对应的列出项目的任何或所有可能组合。

应当理解，尽管在本申请可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本申请范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

下面对本申请提供的安全防护系统及方法进行详细地说明。

参见图1，图1是本申请提供的一种安全防护系统的结构示意图，该安全防护系统包括多个接入服务节点(如图1中的接入服务节点1～接入服务节点N，其中N的数量可变，具体可以根据实际情况而定)和维护节点，其中：

上述维护节点，用于控制上述安全防护系统的工作模式，上述工作模式为维护模式和服务模式；当控制安全防护系统处于维护模式时，向接入服务节点同步自身的安全策略信息；

每个接入服务节点，用于当上述维护节点控制上述安全防护系统当前处于维护模式时，从维护节点同步所述维护节点中的安全策略信息；根据获取到的安全策略信息更新该接入服务节点的安全策略信息；

上述维护节点，还用于当上述安全防护系统中的节点达到策略同步需求后，将上述安全防护系统的工作模式配置为服务模式；

每个接入服务节点，还用于当上述安全防护系统处于服务模式时，向与其对应的对象提供安全业务处理服务。

具体地，维护节点在接入安全防护系统后，就可以来负责安全防护系统的工作模式，安全防护系统的工作模式包括两种，分别为维护模式和服务模式。维护模式下，主要是完成安全防护系统中安全策略的更新和安全防护系统中节点的维护工作；而服务模式下，即正常工作模式下，主要是安全防护系统中接入服务节点承担所有正常安全防护功能。

在此基础上，维护节点可以根据安全防护系统中各接入服务节点安全策略的同步情况来确认是否需要将安全防护系统当前配置为维护模式，例如，当安全防护系统中各节点的安全策略同步情况未达到设定同步条件时，则可以控制安全防护系统处于维护模式，以执行安全防护系统中各节点的安全策略同步操作，进而使得各节点的安全策略同步情况达到设定同步条件。

此外，维护节点还可以在接收到新的安全策略时，也会控制安全防护系统处于维护模式，以使得安全防护系统中各节点能够同步到上述新的安全策略。

具体来说，维护节点在需要更新安全防护系统中各节点的安全策略时，会控制安全防护系统处于维护模式，当将安全防护系统切换到维护模式后，安全防护系统中的所有接入服务节点均处于维护模式；此时，维护节点相当于安全防护系统中的安全策略管理配置中心，会向安全防护系统中的接入服务节点同步自身的安全策略信息，这样也就实现了安全策略的集中式管理。

在此基础上，维护节点会监控当前安全防护系统中安全策略的同步进度，当确认安全防护系统中节点达到策略同步需求时，会将安全防护系统配置为服务模式；这样一来，接入服务节点就会进入服务模式，然后就可以对外提供安全业务处理服务，在服务模式下，各服务节点构建了一个点对点分布式系统，需要安全业务处理的设备通过与接入服务节点交互，就可以实现设备上安全业务的处理。这样，也就实现了分布式的安全业务处理服务，从而避免了集中式架构下管理平台容易被攻击及造成单点失效的问题；以及避免了单节点容易被攻击、突破防线等问题的发生，有效提高了整个防护体系的鲁棒性和安全性。

需要说明的是，当维护节点被配置了新的安全策略时，该新的安全策略对于安全防护系统中的所有节点都是最新的，此时，维护节点会将该新的安全策略的安全策略信息同步给接入服务节点，以使安全防护系统中接入服务节点同步到新的安全策略信息。

可选地，维护节点还可以用于安全策略信息的更新和导入，该维护节点可通过安全通信通道接入安全防护系统。此外，维护节点通过对维护人员论证和审计，保证了安全防护系统的安全性。

值得注意的是，上述接入服务节点，还用于在安全防护系统处于维护模式时，除了从维护节点获取最新的安全策略信息时，还可以与其对应的对象提供安全业务处理服务。

具体地，维护模式下，接入服务节点仍然可以向与其对应的对象提供安全业务处理服务，与服务模式不同的是，维护模式下维护节点可以管理控制每个接入服务节点的配置信息。这样，既可以保证各接入服务节点的安全策略信息的一致性，也不会耽误接入服务节点对外提供服务的功能。

通过提供上述安全防护系统，保持了系统的简单、高效、可靠的运行，同时具有良好的灵活扩展能力。本实施例提供的安全防护系统中，通过切换安全防护系统的工作模式，使安全防护系统实现集合集中式安全管理和分布式安全防护模式。在维护模式下由维护节点控制安全防护系统中各节点的工作模式，从而实现集中式的安全管理架构，在该维护模式下，进行各节点之间安全策略的同步，实现了高效便捷管理维护整个系统的所有节点；在服务模式下，各节点各自为所对接对象提供安全业务处理服务，即实现分布式防护架构，不仅高效、简洁、灵活可扩展，而且能够避免集中式架构下管理平台容易被攻击及造成单点失效的问题；以及避免单节点容易被攻击、突破防线等问题的发生，有效提高了整个防护体系的鲁棒性和安全性。

可选地，本实施例提供的安全防护系统，还包括：论证节点，也请参考图1所示。该论证节点，用于在目标节点接入所述安全防护系统时，对所述目标节点进行认证；在认证通过后，为所述目标节点发送对应的服务权限凭证；上述目标节点为所述维护节点和接入服务节点中的至少一个。

具体地，论证节点用于管理及维护所有节点并为其颁布服务权限凭证。以上述目标节点为接入服务节点为例进行说明，当接入服务节点接入到安全防护系统时，会向论证节点发起节点服务申请请求，论证节点接收到该请求后，就可以对该接入服务节点进行审核认证，然后在认证通过后，会向该接入服务节点发送该接入服务节点对应的服务权限凭证，接入服务节点接收到自己的服务权限凭证后，才可以成功接入到安全防护系统。此外，维护节点的接入过程与接入服务节点的接入过程类似，此处不再一一详细说明。

需要说明的是，不同的节点对应的服务权限凭证不同，即不同的节点对应的服务权限不同；且不同的接入服务节点对应的服务权限凭证也有所不同。值得注意的是，论证节点在向维护节点和接入服务节点下发服务权限凭证时，可以通过安全通信通道进行传输。

通过在安全防护系统中接入论证节点，实现了对安全防护系统中接入服务节点和维护节点的安全认证，保证了安全防护系统中各节点接入的安全性。

此外，上述维护节点，还用于对安全防护系统中的接入服务节点和论证节点进行故障修复和运行检查维。

可选地，基于上述任一实施例，本实施例中，每个接入服务节点，还用于在所述安全防护系统处于服务模式时，从其他节点获取所述其他节点的安全策略信息；根据获取到的其他节点的安全策略信息更新该接入服务节点的安全策略信息。

可选地，每个接入服务节点，具体用于根据从其他节点获取到的安全策略信息，确定获取到相同的安全策略信息的数量；若所述数量大于设定数量，则利用所述相同的安全策略信息更新该接入服务节点的安全策略信息；若不大于，则保持该接入服务节点的安全策略信息不变。

具体地，为了保证安全防护系统中各节点的安全策略信息的同步的准确度及高效性，本实施例提出，每个接入服务节点采用乒乓机制实现安全策略信息的更新，待新的安全策略和配置完成更新校验后，实现整体切换，从而保证了维护模式下不影响系统正常工作。具体来说，在从其他节点获取到安全策略信息时，会确认从其他节点获取到相同的安全策略信息的节点数量(即，上述数量)，当节点数量大于设定数量时，则表明安全防护系统中使用相同的安全策略的节点比较多，则此时可以将自身的安全策略信息更新为上述相同的安全策略信息。否则，确定当前安全防护系统中使用相同的安全策略的节点不够多，则暂时保持自身的安全策略不变。这样，可以就可以实现实时校验节点之间的安全策略信息是否一致，进而保证安全防护系统中各节点的安全策略信息的一致性。

此外，在安全防护系统还处于维护模式时，该系统中的节点可以持续从系统中的其他节点中检验同步安全策略信息，然后再次执行上述流程，直至更新自身的安全策略信息，或者安全防护系统切换到服务模式为止。

同理，维护节点在向安全防护系统中其他节点同步安全策略信息时，可以利用合适的同步共识算法将自身的安全策略信息同步到安全防护系统中的各个节点(各接入服务节点和论证节点)。这样，可以就可以实现实时校验节点之间的安全策略信息是否一致，进而保证安全防护系统中各节点的安全策略信息的一致性。

可选地，每个接入服务节点维护有接入安全防护系统的接入服务节点的接入成员表，该接入成员表包括接入安全防护系统中节点的节点信息。则该接入服务节点，具体用于根据所述接入成员表中的节点信息，利用同步共识算法从对应的节点获取安全策略信息。

具体地，上述接入成员表可以由管理安全防护系统的论证节点分发的。具体来说，论证节点用于管理接入安全防护系统的各个节点，每个节点接入到安全防护系统后，会由论证节点对其进行认证，这样，论证节点可以记录当前接入到安全防护系统中的节点(包括各个接入服务节点、论证节点和维护节点)的节点信息，并将节点信息维护到接入成员表中，然后分发给各个节点。基于此，安全防护系统中的每个节点都会有一份接入成员表。在此基础上，每个接入服务节点在从其他节点获取安全策略信息时，就可以利用该接入成员表，与其它节点建立通信联系，然后采用同步共识算法从其它节点获取安全策略信息，进而保证安全防护系统中节点上安全策略的一致性。

可选地，上述节点信息可以但不限于包括地址信息、类型信息、权限凭证信息、当前状态等节点属性信息。

基于上述任一实施例，本实施例中，每个接入服务节点包括安全管理单元、接口适配模块和多个安全业务单元，请参考图2所示，其中：

上述安全管理单元，用于根据上述接入成员表中的节点信息，利用同步共识算法从对应的接入服务节点获取安全策略信息；并根据获取到的安全策略信息更新该接入服务节点的安全策略信息；

上述安全管理单元，还用于将该接入服务节点更新后的安全策略信息通过上述接口适配模块发送给各个安全业务单元；

每个安全业务单元，用于根据接收到的安全策略信息提供安全业务处理服务。

具体地，每个接入服务节点都包括安全管理单元、接口适配模块和安全业务单元，在此基础上，针对每个接入服务节点，本实施例中，由安全管理单元来维护该接入服务节点的接入成员列表，并执行安全策略信息同步流程，即基于接入成员表利用同步共识算法从其他节点获取对应节点的安全策略信息，然后根据获取到的安全策略信息确认是否更新本地的安全策略信息，同时，安全管理单元也会将本地的安全策略信息同步给其他节点，以完成与其他节点的安全策略信息的同步，从而保证安全防护系统中各节点的安全策略的一致性。

此外，为了实现安全管理单元与安全业务单元之间的解耦，本实施例增加了接口适配模块，即，在安全管理单元与安全业务单元之间增加了接口适配模块，安全管理单元在执行完安全策略信息的更新操作后，会将本地当前的安全策略信息通过接口适配模块发送给安全业务单元，然后由安全业务单元根据安全策略信息提供安全业务处理服务。即，需要安全业务处理的设备会接入安全业务单元，然后由安全业务单元根据安全策略对该设备上的业务执行安全处理操作。

此外，接入服务节点中安全业务单元的数量可扩展，当扩展新的安全业务单元时，只需要由接口适配模块为新的安全业务单元提供通信接口即可，新的安全业务单元就可以利用该通信接口连接与安全管理单元通信。这样，接口适配模块也就能解耦安全管理单元的一些任务，进而实现了接入服务节点中安全业务单元的灵活组合和扩展。

需要说明的是，安全防护系统各节点之间在同步安全策略信息时，可以通过安全虚拟私有网络进行，此外，节点之间还可以采用基于公私钥的双向论证机制。即，在本接入服务节点从其他节点获取安全策略信息时，可以执行校验操作，该校验操作可以但不限于包括其他节点对本接入服务节点进行校验，和/或，本接入服务节点对其他节点进行校验。此外，在进行各节点同步一致性校验时，可以采用哈希值的校验方式。

通过提供上述任一安全防护系统，通过维护节点切换安全防护系统的工作模式，以分别实现集中式安全管理和分布式安全防护的优点，在维护模式下采用集中安全管理架构，可高效便捷管理维护整个安全防护系统的所有节点；在正常服务模式下采用分布式防护架构，不仅可高效地就近提供安全业务服务，还具有上线部署简单，灵活可扩展的能力；此外，新的接入服务节点只要接入网络就能够自主从获得其它节点同步安全策略信息，工作的服务节点受到外部攻击或者内部过失导致安全策略配置错误时，可以自主从其它服务节点同步正确安全策略信息，从而获得恢复，并具有一定的安全自愈能力，攻击者需要同时突破系统中绝大多数服务节点，才有可能突破整个系统，即是安全防护系统中的个别节点被突破，这些节点也可以通过系统的同步机制获得恢复自愈，从而提高了整个安全防护系统的鲁棒性和安全性。

基于同一发明构思，本实施例提供一种安全防护方法，设置于安全防护方法，应用于安全防护系统中的接入服务节点中，所述安全防护系统还包括维护节点，维护节点实施上述方法时，可包括图3所示的步骤：

S301、当所述安全防护系统处于维护模式时，获取所述维护节点中的安全策略信息。

S302、根据获取到的安全策略信息更新该接入服务节点的安全策略信息。

S303、当所述安全防护系统处于服务模式时，向与其对应的对象提供安全业务处理服务。

需要说明的是，步骤S301～S303的实施过程可以参考安全管理系统任一实施例的描述中接入服务节点的实施过程，此处不再一一详细说明。

可选地，基于上述实施例，本实施例提供的安全防护方法，还包括：当所述安全防护系统处于服务模式时，从其他节点获取所述其他节点的安全策略信息；根据获取到的其他节点的安全策略信息更新该接入服务节点的安全策略信息。

可选地，根据获取到的其他节点的安全策略信息更新该接入服务节点的安全策略信息，包括：根据从其他节点获取到的安全策略信息，确定获取到相同的安全策略信息的数量；若所述数量大于设定数量，则利用所述相同的安全策略信息更新该接入服务节点的安全策略信息；若不大于，则保持该接入服务节点的安全策略信息不变。

具体地，本实施例的实施过程可以参考安全管理系统对应实施例的描述中接入服务节点的实施过程，此处不再一一详细说明。

可选地，基于上述任一实施例，本实施例中的接入服务节点维护有接入安全防护系统的接入服务节点的接入成员表，所述接入成员表包括接入安全防护系统的接入服务节点的节点信息；在此基础上，可以按照下述方法从其他节点获取其他节点中的安全策略信息：根据所述接入成员表中的节点信息，利用同步共识算法从对应的接入服务节点获取安全策略信息。

具体地，本实施例的实施过程可以参考安全管理系统对应实施例的描述中接入服务节点的实施过程，此处不再一一详细说明。

通过实施本申请提供的安全防护方法，利用维护节点切换安全防护系统的工作模式，使安全防护系统实现集合集中式安全管理和分布式安全防护模式。在维护模式下采用集中安全管理架构，可高效便捷管理维护整个系统的所有节点；在服务模式下采用分布式防护架构，不仅高效、简洁、灵活可扩展，而且能够避免集中式架构下管理平台容易被攻击及造成单点失效的问题；以及避免单节点容易被攻击、突破防线等问题的发生，有效提高了整个防护体系的鲁棒性和安全性。

基于同一发明构思，本实施例提供一种安全防护方法，应用于安全防护系统中的维护节点中，所述安全防护系统还包括接入服务节点，接入服务节点实施上述方法时，可包括图4所示的步骤：

S401、控制所述安全防护系统的工作模式，所述工作模式为维护模式和服务模式。

S402、当控制所述安全防护系统处于维护模式时，向接入服务节点同步自身的安全策略信息。

S403、当所述安全防护系统中的节点达到策略同步需求后，将所述安全防护系统的工作模式配置为服务模式。

需要说明的是，步骤S401～S403的实施过程可以参考安全管理系统任一实施例的描述中维护节点的实施过程，此处不再一一详细说明。

基于上述实施例，本实施例中，可以按照下述方法实施向接入服务节点同步自身的安全策略信息：利用同步共识算法，向接入服务节点同步自身的安全策略信息。

需要说明的是，本实施例的实施过程可以参考安全管理系统任一实施例的描述中维护节点的实施过程，此处不再一一详细说明。

通过实施本申请提供的安全防护方法，利用维护节点切换安全防护系统的工作模式，使安全防护系统实现集合集中式安全管理和分布式安全防护模式。在维护模式下采用集中安全管理架构，可高效便捷管理维护整个系统的所有节点；在服务模式下采用分布式防护架构，不仅高效、简洁、灵活可扩展，而且能够避免集中式架构下管理平台容易被攻击及造成单点失效的问题；以及避免单节点容易被攻击、突破防线等问题的发生，有效提高了整个防护体系的鲁棒性和安全性。

基于同一发明构思，本申请实施例提供了一种电子设备，该电子设备可以为上述维护节点、接入服务节点或论证节点。如图5所示，该电子设备包括处理器501和机器可读存储介质502，机器可读存储介质502存储有能够被处理器501执行的计算机程序，处理器501被计算机程序促使执行本申请任一实施例所提供的安全防护方法。此外，该电子设备还包括通信接口503和通信总线504，其中，处理器501，通信接口503，机器可读存储介质502通过通信总线504完成相互间的通信。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)、DDR SRAM(Double Data Rate Synchronous Dynamic Random Access Memory，双倍速率同步动态随机存储器)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

另外，本申请实施例提供了一种机器可读存储介质，机器可读存储介质存储有计算机程序，在被处理器调用和执行时，计算机程序促使处理器执行本申请实施例所提供的安全防护方法。

对于电子设备以及机器可读存储介质实施例而言，由于其涉及的方法内容基本相似于前述的方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

上述装置中各个单元/模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元/模块可以是或者也可以不是物理上分开的，作为单元/模块显示的部件可以是或者也可以不是物理单元/模块，即可以位于一个地方，或者也可以分布到多个网络单元/模块上。可以根据实际的需要选择其中的部分或者全部单元/模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅为本申请的较佳实施例而已，并不用以限制本申请，凡在本申请的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本申请保护的范围之内。