基于零信任技术的身份认证方法及系统

技术领域

本发明涉及身份认证技术领域，具体涉及一种基于零信任技术的身份认证方法及系统。

背景技术

在对用户需要进行身份认证的某些应用场景下，业务服务器会先接收web/移动端发起的资源请求，将请求相关的信息传递给认证服务器进行验证，再由认证服务器负责获取用户数据库中的用户身份信息，和请求信息进行对比校验，最后将认证的结果反馈给业务服务器。整个通信过程以HTTP请求为主要载体，并结合AES等的通信加密方式，以保障通信安全。

但现有的实现方法存在一些问题：基于已有业务系统增加身份认证功能，须向认证服务器开放用户数据和业务系统的服务。身份认证中心需要访问用户的身份信息等数据，当业务服务器等系统已经搭建完成的情况下来增加身份认证服务，对于敏感型的用户数据库向认证服务器开放端口的行为会增加用户数据泄露的风险，并且认证中心直接访问用户数据库和业务服务器的资源会导致项目开发成本较高、组件之间耦合度高等问题。

发明内容

鉴于上述问题，提出了本发明以便提供一种克服上述问题或者至少部分地解决上述问题的基于零信任技术的身份认证方法及系统。

根据本发明的一个方面，提供了一种基于零信任技术的身份认证方法，方法执行于业务服务器，方法包括：

接收业务端发送的身份认证请求，生成动态安全认证因子；

发送轮询请求与认证服务器进行双向验证；双向验证基于动态安全认证因子进行验证；

若双向验证通过，将认证服务器发放的信任令牌以及预存用户因子信息发送给认证服务器，以供认证服务器将预存用户因子信息与采集的实时用户因子信息进行比对；

接收认证服务器返回的比对结果，根据比对结果完成用户身份认证。

根据本发明的另一方面，提供了一种基于零信任技术的身份认证方法，其特征在于，方法执行于认证服务器，方法包括：

接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子；

接收业务服务器的轮询请求，与业务服务器进行双向验证；

若双向验证通过，接收业务服务器发送的预存用户因子信息，与采集的实时用户因子信息进行比对；

返回比对结果给业务服务器，以供业务服务器根据比对结果完成身份认证。

根据本发明的又一方面，提供了一种基于零信任技术的身份认证的业务服务器，其特征在于，包括：

认证因子生成模块，适于接收业务端发送的身份认证请求，生成动态安全认证因子；

第一双向验证模块，适于发送轮询请求与认证服务器进行双向验证；双向验证基于动态安全认证因子进行验证；

因子信息发送模块，适于若第一双向验证模块双向验证通过，将认证服务器发放的信任令牌以及预存用户因子信息发送给认证服务器，以供认证服务器将预存用户因子信息与采集的实时用户因子信息进行比对；

结果接收模块，适于接收认证服务器返回的比对结果，根据比对结果完成用户身份认证。

根据本发明的再一方面，提供了一种基于零信任技术的身份认证的认证服务器，其特征在于，包括：

采集信息接收模块，适于接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子；

第二双向验证模块，适于接收业务服务器的轮询请求，与业务服务器进行双向验证；

比对模块，适于若第二双向验证模块双向验证通过，接收业务服务器发送的预存用户因子信息，与采集的实时用户因子信息进行比对；

结果返回模块，适于返回比对结果给业务服务器，以供业务服务器根据比对结果完成身份认证。

根据本发明的再一方面，提供了一种基于零信任技术的身份认证系统，其特征在于，包括上述的业务服务器，上述的认证服务器和认证因子下发服务器。

根据本发明的再一方面，提供了一种电子设备，包括：处理器、存储器、通信接口和通信总线，所述处理器、所述存储器和所述通信接口通过所述通信总线完成相互间的通信；

所述存储器用于存放至少一可执行指令，所述可执行指令使所述处理器执行上述基于零信任技术的身份认证方法对应的操作。

根据本发明的再一方面，提供了一种计算机存储介质，所述存储介质中存储有至少一可执行指令，所述可执行指令使处理器执行如上述基于零信任技术的身份认证方法对应的操作。

根据本发明的基于零信任技术的身份认证方法及系统，认证服务器无需和用户数据库直接建立连接，在和业务服务器进行双向验证后，建立可信通道，获取身份认证所需的数据进行判断，降低了系统中不同模块的耦合性，同时保护了信息敏感的数据。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了根据本发明一个实施例的基于零信任技术的身份认证方法的流程图；

图2示出了基于零信任技术的身份认证方法的多端交互示意图；

图3示出了根据本发明一个实施例的基于零信任技术的身份认证方法的流程图；

图4示出了根据本发明一个实施例的基于零信任技术的身份认证方法的流程图；

图5示出了根据本发明一个实施例的基于零信任技术的身份认证系统的架构图；

图6示出了根据本发明一个实施例的一种电子设备的结构示意图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施例。虽然附图中显示了本公开的示例性实施例，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反，提供这些实施例是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

图1示出了根据本发明一个实施例的基于零信任技术的身份认证方法的流程图。如图1所示，基于零信任技术的身份认证方法具体包括如下步骤：

步骤S101，接收业务端发送的身份认证请求，业务服务器生成动态安全认证因子。

用户可以在业务端进行操作，如当用户进行登录或者需要高权限等操作时，用户操作触发身份认证，由业务端向业务服务器发起身份认证请求，请求可以以http请求方式发送。业务端具体可以为与用户交互的业务网站，提供给用户各种业务服务，用户通过访问业务端的页面，提供给用户如账号密码登录、资源访问等业务服务，此处不做限定。

业务服务器为业务端提供后台服务，其可以直接访问用户数据库，获取用户预先录入的各种信息，根据业务需要处理数据等。当业务服务器接收到身份认证请求后，由业务服务器生成动态安全认证因子。动态安全认证因子包括第一安全认证因子和第二安全认证因子。动态安全认证因子具有随机性和时效性，可以基于当前时间、用户信息等生成。

第一安全认证因子可以为如短信验证码、语音验证码、认证邮件、软件令牌等各种方式。业务服务器生成第一安全认证因子后，可以从用户数据库中查询得到的第一安全认证因子的发送目的地，如用户信息中包含的手机号码、邮箱地址、应用账号等，可以将第一安全认证因子和发送目的地告知认证因子下发服务器，由认证因子下发服务器下发给用户。认证因子下发服务器为接收业务服务器的http请求的服务器，可以为如短信网关、邮件网关等各种服务器。以短信验证码为例，业务服务器将短信验证码和用户的手机号码告知给认证因子下发服务器，认证因子下发服务器可以为如短信网关等。短信网关下发给手机号码该短信验证码，用户可以接收到第一安全认证因子。

第二安全认证因子可以采用如二维码方式等，根据与用户当前的会话信息等随机生成二维码图片等。业务服务器将第二安全认证因子返回给业务端，业务端在页面中展示第二安全认证因子，用户可以利用如客户端扫描业务端展示的第二安全认证因子，来触发实时用户因子信息的采集等。第二安全认证因子也可以采用其它客户端可以跳转至用户因子信息采集的方式，如可复制的链接信息、条形码等等，此处不做限定。

客户端为用户使用的移动终端，可以接收短信、访问链接、扫描二维码等，以接收动态安全认证因子。客户端通过第二安全认证因子进入到实时用户因子信息采集的操作，在用户授权确认的情况下，由客户端来采集各种实时用户因子信息。实时用户因子信息包括如用户账号信息、用户个人信息、笔迹信息、数字证书信息等。用户账号信息包括如用户登录账号、密码等；用户个人信息包括如用户自身的指纹信息、面部信息、语音信息、虹膜信息、证件信息等。客户端可以实现如接收用户输入的账号密码、摄录面部影像、记录语音信息、签字笔迹等，从而采集到实时用户因子信息。

步骤S102，认证服务器接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子。

客户端采集实时用户因子信息后，上传给认证服务器。考虑到认证服务器直接提供开放式服务端口会增加暴露风险，若采用持续性的端口开放模式，在攻击者进行端口扫描等攻击行为时，会产生暴露的端口。尤其当端口服务面向不确定性较高的客户端开放时，认证服务器暴露在公网上，整个系统面临的风险将大大增加。因此，本实施例在接收客户端上传的实时用户因子信息前，先对客户端进行单包验证。具体的，接收客户端发送的数据包进行单包验证。单包验证具体验证数据包是否按照预设规则发送，如在认证服务器的预设端口监听端口敲击情况，判断客户端是否满足预设敲击方式，然后对数据包的内容进行解析，获取不限于如时间戳、随机字符串、IP地址信息等数据，验证数据包的新鲜程度是否满足预设条件、是否不存在篡改痕迹、是否不存在重放痕迹、是否采用预设加密方式进行加密等，若以上验证均通过，则单包验证通过，通过如配置防火墙规则等对该客户端开放预设端口，接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子。单包验证保障了客户端向认证服务器发送信息过程中的通信安全，能有效隐藏认证服务器的资源服务，避免被其它未单包验证的数据攻击，提高了认证过程中的安全性。

第一安全认证因子可以由客户端通过如输入、读取客户端信息的方式上传给认证服务器；第二安全认证因子在客户端基于业务端展示获取后，将其上传给认证服务器。

步骤S103，业务服务器发送轮询请求与认证服务器进行双向验证。

业务服务器在生成动态安全认证因子后，会发送携带有第二安全认证因子的轮询请求给认证服务器，与认证服务器进行双向验证。双向验证基于动态安全认证因子进行验证，利用动态安全认证因子的随机性、时效性，保障双向验证的安全可靠。

采用轮询请求方式，能有效降低原有业务系统的暴露风险，无需向认证服务器开放业务系统的端口等。轮询请求中携带有生成的第二安全认证因子，当认证服务器接收客户端上传的第二安全认证因子后，将其与轮询请求中携带的第二安全认证因子进行比对，进行第一安全验证。若相同，则第一安全验证通过，认证服务器发送信任令牌以及客户端上传的第一安全认证因子给业务服务器。认证服务器可以使用随机字符串等的信息作为信任令牌，发送给业务服务器，在有效期之内，当通信过程中出现信任令牌即可作为业务服务器的身份标记，给予信通信任。业务服务器接收到认证服务器返回的信任令牌以及第一安全认证因子后，根据认证服务器返回的第一安全认证因子与生成的第一安全因子进行比对，进行第二安全验证。若相同，则第二安全验证通过，可以确定双向验证通过。业务服务器与认证服务器之间建立信任关系双方均为可信任双方。

步骤S104，业务服务器将认证服务器发放的信任令牌以及预存用户因子信息发送给认证服务器，以供认证服务器将预存用户因子信息与采集的实时用户因子信息进行比对。

用户数据库中预先存储了用户信息，可以提供用户登录、身份认证所需的数据。业务服务器可以直接访问用户数据库，获取预存用户因子信息。业务服务器将认证服务器发放的信任令牌以及获取的预存用户因子信息发送给认证服务器。认证服务器将预存用户因子信息与客户端采集上传的实时用户因子信息进行比对，包括如声音识别比对、面部识别比对、指纹识别比对、密码校验比对等等，综合多种因子比对的结果，若全部因子比对结果一致，即预存用户因子信息与采集的实时用户因子信息一致，则确定用户认证成功。

步骤S105，业务服务器接收认证服务器返回的比对结果，根据比对结果完成用户身份认证。

认证服务器将比对结果返回给业务服务器，业务服务器根据比对结果，若比对结果是预存用户因子信息与采集的实时用户因子信息一致，则确定用户身份认证成功，可以告知业务端、客户端对用户进行授权操作等，若比对结果是预存用户因子信息与采集的实时用户因子信息不一致，则确定用户身份认证不成功，可以告知业务端、客户端不对用户进行授权操作等，从而完成用户身份认证。此处，告知客户端可以由业务服务器完成，也可以由认证服务器完成，此处不做限定。

本实施例对于原有业务系统改造的成本较低，技术架构灵活，适用于虚拟专用网络VPN安全接入后的登录过程、登录后敏感操作过程触发的身份认证，可以充分保护现有的VPN安全接入网关资产，并且在用户的登录、操作过程中进行持续的访问控制与审计，便于移植和接入，部署成本低。本实施例可以适用于已有业务系统完备且安全等级要求较高的身份认证流程引入的场景。通过借助客户端如移动终端实现实时用户因子信息采集、采用零信任单包验证技术协助实时用户因子信息收集并保障通信安全。使用客户端进行实时用户因子信息的收集，增加了用户身份认证的可靠性，也增加了攻击的难度，建立客户端和认证服务器的通信通道，并使用零信任领域中的单包验证技术，隐藏认证服务器的服务端口，达到防御扫描行为等目的，也解决了传统的零信任技术访问控制方案无法保留原有的VPN网关资产。进一步，本实施例隔离了认证服务器和敏感性的用户数据库，降低认证服务器与原有业务系统间的耦合度，保护业务网站和用户数据，降低原有业务系统暴露的风险。

图2示出了业务端、客户端、业务服务器、认证服务器、认证因子下发服务器间多端交互的流程图，各交互步骤参见以上各步骤的具体说明，此处不再赘述。

根据本发明提供的基于零信任技术的身份认证方法，认证服务器无需和用户数据库直接建立连接，在和业务服务器进行双向验证后，建立可信通道，获取身份认证所需的数据进行判断，降低了系统中不同模块的耦合性，同时保护了信息敏感的数据。

图3示出了根据本发明一个实施例的基于零信任技术的身份认证方法的流程图。如图3所示，本实施例执行于业务服务器，具体包括如下步骤：

步骤S301，接收业务端发送的身份认证请求，生成动态安全认证因子。

动态安全认证因子包括第一安全认证因子和第二安全认证因子；第一安全认证因子经认证因子下发服务器下发客户端；第二安全认证因子返回给业务端，以供用户根据业务端展示的第二安全认证因子触发实时用户因子信息的采集，并将采集的实时用户因子信息、第一安全认证因子以及第二安全认证因子上传认证服务器。

步骤S302，发送轮询请求与认证服务器进行双向验证；双向验证基于动态安全认证因子进行验证。

可选地，本步骤还包括：

发送携带有第二安全认证因子的轮询请求给认证服务器，以供认证服务器根据第二安全认证因子与客户端上传的第二安全认证因子进行第一安全验证；

若第一安全验证通过，接收认证服务器返回的信任令牌以及第一安全认证因子；根据认证服务器返回的第一安全认证因子与生成的第一安全因子进行第二安全验证；

若第二安全验证通过，则确定双向验证通过。

步骤S303，将认证服务器发放的信任令牌以及预存用户因子信息发送给认证服务器，以供认证服务器将预存用户因子信息与采集的实时用户因子信息进行比对。

步骤S304，接收认证服务器返回的比对结果，根据比对结果完成用户身份认证。

以上各步骤的描述可以参照图1中对应步骤的描述，此处不再赘述。

图4示出了根据本发明一个实施例的基于零信任技术的身份认证方法的流程图。如图4所示，本实施例执行于认证服务器，具体包括如下步骤：

步骤S401，接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子。

可选地，本步骤还包括：

接收客户端发送的数据包进行单包验证；单包验证具体为：验证数据包是否按照预设规则发送；

若单包验证通过，接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子；其中，实时用户因子信息由客户端根据业务端展示的第二安全认证因子触发进行采集。

步骤S402，接收业务服务器的轮询请求，与业务服务器进行双向验证。

步骤S403，接收业务服务器发送的预存用户因子信息，与采集的实时用户因子信息进行比对。

实时用户因子信息包括：用户账户信息、面部信息、语音信息、笔迹信息、短信信息和/或二维码信息；预存用户因子信息为用户数据库中预先认证存储的用户因子信息；

可选地，本步骤还包括：

将业务服务器访问用户数据库获取的预存用户因子信息与采集的实时用户因子信息进行比对；

若比对结果一致，则确定用户认证成功。

步骤S404，返回比对结果给业务服务器，以供业务服务器根据比对结果完成身份认证。

以上各步骤的描述可以参照图1中对应步骤的描述，此处不再赘述。

图5示出了根据本发明一个实施例的基于零信任技术的身份认证系统的架构图。如图5所示，基于零信任技术的身份认证系统包括：业务服务器510，认证服务器520和认证因子下发服务器530。

业务服务器510包括如下模块：

认证因子生成模块511，适于接收业务端发送的身份认证请求，生成动态安全认证因子；

第一双向验证模块512，适于发送轮询请求与认证服务器进行双向验证；双向验证基于动态安全认证因子进行验证；

因子信息发送模块513，适于若第一双向验证模块双向验证通过，将认证服务器发放的信任令牌以及预存用户因子信息发送给认证服务器，以供认证服务器将预存用户因子信息与采集的实时用户因子信息进行比对；

结果接收模块514，适于接收认证服务器返回的比对结果，根据比对结果完成用户身份认证。

可选地，动态安全认证因子包括第一安全认证因子和第二安全认证因子；第一安全认证因子经认证因子下发服务器下发客户端；第二安全认证因子返回给业务端，以供用户根据业务端展示的第二安全认证因子触发实时用户因子信息的采集，并将采集的实时用户因子信息、第一安全认证因子以及第二安全认证因子上传认证服务器；

第一双向验证模块512进一步适于：

发送携带有第二安全认证因子的轮询请求给认证服务器，以供认证服务器根据第二安全认证因子与客户端上传的第二安全认证因子进行第一安全验证；

若第一安全验证通过，接收认证服务器返回的信任令牌以及第一安全认证因子；根据认证服务器返回的第一安全认证因子与生成的第一安全因子进行第二安全验证；

若第二安全验证通过，则确定双向验证通过

认证服务器520包括如下模块：

采集信息接收模块521，适于接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子；

第二双向验证模块522，适于接收业务服务器的轮询请求，与业务服务器进行双向验证；

比对模块523，适于若第二双向验证模块双向验证通过，接收业务服务器发送的预存用户因子信息，与采集的实时用户因子信息进行比对；

结果返回模块524，适于返回比对结果给业务服务器，以供业务服务器根据比对结果完成身份认证。

可选地，采集信息接收模块521进一步适于：

接收客户端发送的数据包进行单包验证；单包验证具体为：验证数据包是否按照预设规则发送；

若单包验证通过，接收客户端上传的实时用户因子信息、第一安全认证因子以及第二安全认证因子；其中，实时用户因子信息由客户端根据业务端展示的第二安全认证因子触发进行采集。

可选地，实时用户因子信息包括：用户账户信息、面部信息、语音信息、笔迹信息、短信信息和/或二维码信息；预存用户因子信息为用户数据库中预先认证存储的用户因子信息；

比对模块523进一步适于：

将业务服务器访问用户数据库获取的预存用户因子信息与采集的实时用户因子信息进行比对；

若比对结果一致，则确定用户认证成功。

以上各模块的描述参照方法实施例中对应的描述，在此不再赘述。

本申请还提供了一种非易失性计算机存储介质，所述计算机存储介质存储有至少一可执行指令，该计算机可执行指令可执行上述任意方法实施例中的基于零信任技术的身份认证方法。

图6示出了根据本发明一个实施例的一种电子设备的结构示意图，本发明具体实施例并不对电子设备的具体实现做限定。

如图6所示，该电子设备可以包括：处理器(processor)602、通信接口(Communications Interface)604、存储器(memory)606、以及通信总线608。

其中：

处理器602、通信接口604、以及存储器606通过通信总线608完成相互间的通信。

通信接口604，用于与其它设备比如客户端或其它服务器等的网元通信。

处理器602，用于执行程序610，具体可以执行上述基于零信任技术的身份认证方法实施例中的相关步骤。

具体地，程序610可以包括程序代码，该程序代码包括计算机操作指令。

处理器602可能是中央处理器CPU，或者是特定集成电路ASIC(ApplicationSpecific Integrated Circuit)，或者是被配置成实施本发明实施例的一个或多个集成电路。电子设备包括的一个或多个处理器，可以是同一类型的处理器，如一个或多个CPU；也可以是不同类型的处理器，如一个或多个CPU以及一个或多个ASIC。

存储器606，用于存放程序610。存储器606可能包含高速RAM存储器，也可能还包括非易失性存储器(non-volatile memory)，例如至少一个磁盘存储器。

程序610具体可以用于使得处理器602执行上述任意方法实施例中的基于零信任技术的身份认证方法。程序610中各步骤的具体实现可以参见上述基于零信任技术的身份认证实施例中的相应步骤和单元中对应的描述，在此不赘述。所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的设备和模块的具体工作过程，可以参考前述方法实施例中的对应过程描述，在此不再赘述。

在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述，构造这类系统所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的基于零信任技术的身份认证装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。