安全数据交换系统、方法、电子设备及存储介质

技术领域

本公开涉及电子设备技术领域，尤其涉及一种安全数据交换系统、方法、电子设备及存储介质。

背景技术

目前，通常在涉密要求高的领域采用物理隔离，使用光闸或网闸对涉密网络进行保护，在部署物理隔离的网闸或光闸的涉密系统中通常把网络严格分为内外网，不允许内外网直接通信，数据只能单向从低密级网络流向高密级网络。现在的网闸缺乏信赖，需要使用依赖于光的单向传输特性的光闸来保证传输的可靠性，而且从低密级网络的数据需要严格检查以便发现一些有害数据。因为网络的安全依赖于网络设备的位置，因此数据从高密级网络流向低密级网络是不允许的，这就为统一内外网管理带来不便，特别是在多部门协作需要涉及共享某些数据的情况。

发明内容

基于此，有必要针对上述技术问题，提供一种安全数据交换系统、方法、电子设备及存储介质。可以有效提升网络中数据交换的安全性和可靠性。

本申请第一方面的实施例提供了一种安全数据交换系统，包括：

前置网关，所述前置网关部署在低密级网络中，所述前置网关是基于零信任架构设计的，所述前置网关用于对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换；

物理网络隔离设备，所述物理网络隔离设备与所述前置网关相连，用于对来自所述前置网关的数据进行单包验证，并在单包验证通过后，向所述前置网关开放通信接口，以便将所述访问者通过所述低密级网络向高密级网络交换数据。

在一些示例中，所述前置网关包括：

API网关，所述API网关与所述物理网络隔离设备连接，用于执行访问者的访问的零信任安全策略的功能；

安全执行网关，所述安全执行网关与所述物理网络隔离设备相连，用于为访问所述低密级网络的应用服务提供隐藏和安全代理功能，其中，所述安全代理是基于访问者的权限策略与信任确定的。

在一些示例中，所述API网关包括第一API网关、第二API网关和第三API网关，所述第一API网关用于连接所述物理网络隔离设备，向所述物理网络隔离设备发送网络信息和身份信息，以便所述物理网络隔离设备进行单包验证，所述第二API网关用于接收访问者的调用，为所述访问者提供API合法性校验和熔断限流服务，所述第三API网关用于对所述第一API网关、第二API网关和第三API网关进行工作协调和对所述第一API网关、第二API网关和第三API网关进行管理。

在一些示例中，所述前置网关包括：

API网关和安全执行网关，所述API网关通过所述安全执行网关与所述物理网络隔离设备连接，

其中，所述API网关作为数据交换网关，所述API网关具有据调用账户与安全接入策略网关的设备接入账户，所述API网关为对访问者进行单包验证，并在验证通过后，通过所述安全执行网关对访问者的访问通过零信任安全策略进行分流和持续检查。

在一些示例中，所述API网关包括第一API网关、第二API网关和第三API网关，所述第一API网关用于连接所述安全执行网关，向所述安全执行网关发送网络信息和身份信息，以便所述安全执行网关进行单包验证，所述第二API网关用于接收访问者的调用，为所述访问者提供API合法性校验和熔断限流服务，所述第三API网关用于对所述第一API网关、第二API网关和第三API网关进行工作协调和对所述第一API网关、第二API网关和第三API网关进行管理。

在一些示例中，所述物理网络隔离设备包括第一单向光闸和第二单向光闸，其中，所述第一单向光闸用于将所述低密级网络的数据发送至所述高密级网络，所述第二单向光闸用于将所述高密级网络的数据发送至所述低密级网络。

本申请第二方面的实施例提供了一种安全数据交换方法，包括：

前置网关对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换；

在所述前置网关对访问者的访问通过零信任安全策略进行分流和持续检查通过后，物理网络隔离设备对来自所述前置网关的数据进行单包验证，并在单包验证通过后，向所述前置网关开放通信接口，以便将所述访问者通过所述低密级网络向高密级网络交换数。

本申请第三方面的实施例提供了一种电子设备，包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述指令、所述程序、所述代码集或所述指令集由所述处理器加载并执行以实现本申请上述的第二方面的实施例所提供的安全数据交换方法的步骤。

本申请第四方面的实施例提供了一种非临时性计算机可读存储介质，当所述存储介质中的指令由移动终端的处理器执行时，使得移动终端能够执行时实现本申请上述的第二方面的实施例所提供的安全数据交换方法的步骤。

本申请第五方面的实施例提供了一种计算机程序产品，当所述计算机程序产品中的指令由移动终端的处理器执行时，使得移动终端能够执行实现本申请上述的第二方面的实施例所提供的安全数据交换方法的步骤。

本申请实施例所提供的安全数据交换系统、方法、电子设备及存储介质，通过将前置网关部署在低密级网络中，前置网关是基于零信任架构设计的，前置网关用于对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换，物理网络隔离设备与前置网关相连，对来自前置网关的数据进行单包验证，并在单包验证通过后，向前置网关开放通信接口，以便将访问者通过所述低密级网络向高密级网络交换数据。具有以下优点：把网闸/光闸的数据交换流程做了纵深防御，增加了前置API网关或安全策略网关，并对API网关/安全策略网关做了单包验证处理，比起直接限制IP的好处是避免了攻击者或利用IP仿冒连接入网络隔离设备，单包验证发送的ID是根据设备特征生成的，也避免了盗取用户名与密码连接网络隔离设备的可能，如果没有前置网关设备ID与密码，不能够连上网络隔离设备，这样把攻击者挡在API网关/安全策略执行网关，前置网关是依据零信任架构进行处理的，不同的调用者账户有不同的安全策略，这样就把数据交换的种类分开了，只有零信任相关的信令和数据才能使用往外传输的网络隔离设备向外传，也只有零信任相关的信令和数据能传到相关的零信任组件，避免了其它机密数据外传的可能，API网关对数据内容检查和调用token检查是持续的，安全策略执行网关对API网关的接入也实现单包验证和账户权限持续验证，保证了数据交换的安全问题。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本发明的实施例，并与说明书一起用于解释本发明的原理。

图1为一个实施例中安全数据交换系统的结构示意图；

图2为一个实施例中安全数据交换系统的示意图；

图3为另一个实施例中安全数据交换系统的示意图；

图4为一个实施例的API网关的结构示意图；

图5为API网关账户开通流程示意图；

图6为一个实施例的数据发送流程示意图；

图7为一个实施例的数据接收流程示意图；

图8为另一个实施例的API网关的结构示意图；

图9为另一个实施例的数据发送流程示意图；

图10为另一个实施例的数据接收流程示意图；

图11为一个实施例中电子设备的内部结构图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

以下结合附图描述根据本发明实施例的安全数据交换系统、方法、电子设备及存储介质。

图1是根据本发明一个实施例的安全数据交换系统的结构框图。如图1所示，根据本发明一个实施例的安全数据交换系统，包括：前置网关110和物理网络隔离设备120，其中：

前置网关110部署在低密级网络中，前置网关110是基于零信任架构设计的，前置网关110用于对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换；物理网络隔离设备120与所述前置网关110相连，用于对来自所述前置网关110的数据进行单包验证，并在单包验证通过后，向所述前置网关110开放通信接口，以便将所述访问者通过所述低密级网络向高密级网络交换数据。

结合图2和图3所示，安全数据交换系统包括API网关(即：前置网关110的一部分)、API网关集群管理、零信任安全组件((即：前置网关110的一部分)、消息系统、数据库系统、光闸/网闸设备(即：物理网络隔离设备120)，其中，零信任安全组件包括身份存取、统一策略、信任评估、安全执行网关、安全管理中心。

在一个具体示例中，前置网关包括：API网关，所述API网关与所述物理网络隔离设备连接，用于执行访问者的访问的零信任安全策略的功能；安全执行网关，所述安全执行网关与所述物理网络隔离设备相连，用于为访问所述低密级网络的应用服务提供隐藏和安全代理功能，其中，所述安全代理是基于访问者的权限策略与信任确定的。该示例中，API网关包括第一API网关、第二API网关和第三API网关，所述第一API网关用于连接所述物理网络隔离设备，向所述物理网络隔离设备发送网络信息和身份信息，以便所述物理网络隔离设备进行单包验证，所述第二API网关用于接收访问者的调用，为所述访问者提供API合法性校验和熔断限流服务，所述第三API网关用于对所述第一API网关、第二API网关和第三API网关进行工作协调和对所述第一API网关、第二API网关和第三API网关进行管理。

具体来说，结合图2所示，API网关与网络隔离设备直连。安全执行网关这里作为一个零信任安全组件，用来提供访问低密级访问区的应用服务具备隐藏应用和安全代理功能，安全代理是基于用户权限策略与信任评估。API网关的功能是作为前置防护设备与安全策略执行设备来对数据执行合法性检查和安全性检查，实现数据交换。

在另一示例中，前置网关包括：API网关和安全执行网关，所述API网关通过所述安全执行网关与所述物理网络隔离设备连接，其中，所述API网关作为数据交换网关，所述API网关具有据调用账户与安全接入策略网关的设备接入账户，所述API网关为对访问者进行单包验证，并在验证通过后，通过所述安全执行网关对访问者的访问通过零信任安全策略进行分流和持续检查。该示例中，API网关包括第一API网关、第二API网关和第三API网关，所述第一API网关用于连接所述安全执行网关，向所述安全执行网关发送网络信息和身份信息，以便所述安全执行网关进行单包验证，所述第二API网关用于接收访问者的调用，为所述访问者提供API合法性校验和熔断限流服务，所述第三API网关用于对所述第一API网关、第二API网关和第三API网关进行工作协调和对所述第一API网关、第二API网关和第三API网关进行管理。

具体地说，结合图3所示，API网关部署在远端，API网关通过互联网等其它网络连接到低密级访问区(即：低密级网络)，然后通过零信任的安全策略执行网关连接到屋里网络隔离设备(光闸或网闸)，安全策略执行网关是作为API的网关接入代理来使用的，也能执行数据访问策略，API网关是作为安全策略执行网关的客户端代理来工作的，这种方式好处就是在经过广域网更安全，因为API网关到安全策略执行网关之间也使用了单包验证与加密通道，避免来自广域网的网络攻击。

结合图2和图3所示，物理网络隔离设备包括第一单向光闸和第二单向光闸，其中，所述第一单向光闸用于将所述低密级网络的数据发送至所述高密级网络，所述第二单向光闸用于将所述高密级网络的数据发送至所述低密级网络。即：为了达到双向传输数据的目标，首先在内外网之间架设一个对内的传输数据的单向光闸/网闸。一个对外传输数据的单向光闸，对外单向的光闸信任端对接一个零信任核心组件网络。对内的光闸/网闸利用API网关或安全策略执行网关(即：前置网关)的设备用户权限策略把通信的专有数据或信令与其它数据分开传输(这个是利用不同的账户取不同的数据的策略)，专有数据和信令直接对接零信任组件。

对光闸的非信任端和信任端做出功能调整，信任端和非信任端的接入是通过单包验证的系统，没有通过单包验证的任何系统不能访问网络服务端口，访问数据必须是由通过单包验证的API网关或安全策略执行网关(这里统称为前置网关)进行。网络物理隔离设备在管理端为前置网关都分配有唯一的ID与密码，注意这个ID是根据前置网关特征生成，在安装前置网关的安全代理时和前置网关管理界面可以提示看到，这个ID与密码在光闸的各端的小型数据库中保存能在信任端与非信任端的管理界面维护，前置网关在连接光闸之间必须先通过单包验证之后才能连接光闸，前置网关内置有一个安全代理客户端，实现持续发单包验证给物理隔离设备功能以保证前置网关的可信，本申请的单包验证技术采用携带发起者的网络信息与身份信息以及一个随机数，然后与共享密钥进行单向摘要，再把摘要与网络与身份信息和随机数一起发给接收端以实现网络与身份的可信。只有可信的设备才可以连上网络物理隔离设备，相对于以前那种单纯采用IP限定的方式，这种持续发单包验证的方式杜绝了未经批准数据泄露的风险。

以下分别对API网关与网络隔离设备直连的方式，以及API网关通过安全执行网关与网络隔离设备连接的方式的工作过程进行详细描述。

如图2所示，在API网关与网络隔离设备直连的方式中，API网关作用与关键设计，API网关的功能是用来隔离直接访问网络物理隔离设备，执行访问数据安全策略的功能。API网关程序分为三部分，一部分是作为终端连接上光闸/网闸、采集网络信息和身份信息发送单包验证包，一部分是作为服务器接收其它用户的调用,提供API合法性校验和熔断限流服务。一部分为集群和集群管理部分，主要负责各个API网关之间工作协调和接口管理与状态管理，如图4所示，API网关的策略设计是依据不同的账户交换不同的数据。这样保证传输数据安全隔离，API交换数据的验证是持续验证的。并且这三部分是一个整体，这个程序挂掉那么所有部分都不工作，其API设备ID需要接入网络物理隔离设备，API网关的调用账户接入的是零信任的统一身份体系。API网关账户开通流程如图5所示，整个数据交换流程是数据从调用者发起数据请求经过API网关，如果中间有数据安全代理则经过数据安全代理然后进入网络物理隔离设备，发送数据调用流程如图6所示，接收请求流程如图7所示，此处API网关帐户校验同步是使用https远程调用身份存取服务器中的数据。单包验证是持续发送的，并且是有一定时间有效期，如果接入设备一定时间内不发单包验证，则此设备IP从网络隔离设备的接入白名单剔除。

如图3所示，对API网关通过安全执行网关与网络隔离设备连接的方式中，API网关作用是在调用者本地充当数据交换网关，拥有数据调用账户与安全接入策略网关的设备接入账户，也是接入零信任安全体系的，多种零信任产品配合、必须产品是统一身份、统一权限策略、信任与评估系统、安全策略执行网关,多个访问入口，第一种API网关是开放式web访问不能防止DDOS攻击，防DDOS的入口需要实现单包验证来访问，,系统内使用统一身份与统一权限接入,实现安全策略。,实现终端安全代理需要实现单包验证,充当客户端多点接入安全策略执行网关。,数据合法性检查。，实现API网关集群，分担流量实现统一策略的调度与隔断攻击。一部分是作为终端连接上安全策略执行网关、采集网络信息和身份信息发送单包验证包，一部分是作为服务器接收其它用户的调用,提供API数据合法性校验和熔断限流服务。一部分为集群和集群管理部分，主要负责各个API网关之间工作协调和接口管理与状态管理，其工作方式同直连的原理相似，但是它的上一级连的是安全策略执行网关，它的设备账户与调用账户接入的是零信任的统一身份其结构如图8所示，对外网络物理隔离设备的内网连接端不只允许连接内网而是直接连接授信的前置网关集群，这个集群只连接需要传递零信任指令消息网关，传递的数据是有限的，只有零信任的执行策略、密钥证书、令牌，这些信息不涉及机密数据，只涉及零信任的管理，内网的用户信息就是用此中国方式同步的。

整个数据交换流程是数据从调用者发起数据请求经过API网关，如果中间有数据安全代理则经过数据安全代理然后进入网络物理隔离设备，发送数据调用流程如图9所示，接收请求流程如图10所示，此处API网关帐户校验同步是使用https远程调用身份存取服务器中的数据。

本发明实施例的安全数据交换系统，通过将前置网关部署在低密级网络中，前置网关是基于零信任架构设计的，前置网关用于对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换，物理网络隔离设备与前置网关相连，对来自前置网关的数据进行单包验证，并在单包验证通过后，向前置网关开放通信接口，以便将访问者通过所述低密级网络向高密级网络交换数据。

具有以下优点：把网闸/光闸的数据交换流程做了纵深防御，增加了前置API网关或安全策略网关，并对API网关/安全策略网关做了单包验证处理，比起直接限制IP的好处是避免了攻击者或利用IP仿冒连接入网络隔离设备，单包验证发送的ID是根据设备特征生成的，也避免了盗取用户名与密码连接网络隔离设备的可能，如果没有前置网关设备ID与密码，不能够连上网络隔离设备，这样把攻击者挡在API网关/安全策略执行网关，前置网关是依据零信任架构进行处理的，不同的调用者账户有不同的安全策略，这样就把数据交换的种类分开了，只有零信任相关的信令和数据才能使用往外传输的网络隔离设备向外传，也只有零信任相关的信令和数据能传到相关的零信任组件，避免了其它机密数据外传的可能，API网关对数据内容检查和调用token检查是持续的，安全策略执行网关对API网关的接入也实现单包验证和账户权限持续验证，保证了数据交换的安全问题。

在以上描述中，零信任:代表了新一代的网络安全防护理念，它的关键在于打破默认的“信任”，用一句通俗的话来概括，就是“持续验证，永不信任”。默认不信任企业网络内外的任何人、设备和系统，基于身份认证和授权重新构建访问控制的信任基础，从而确保身份可信、设备可信、应用可信和链路可信。基于零信任原则，可以系统的三个“安全”：终端安全、链路安全和访问控制安全。

单向光闸：英文简称FGAP，是一种由安全隔离网闸(GAP)基础上发展而成、基于光的单向性的单向隔离软硬件系统。实现网络上的物理隔断。用于对安全性要求极高的网络的数据交换场景，如涉密网络与非涉密网络之间，行业内网与公共网络之间。

单包验证(Single Packet Authorization)：主要作用在通过默认关闭服务端口，使服务实现网络隐身，从网络上无法连接、无法扫描。如果需要使用服务，则通过特定客户端发送认证报文信息给服务器，服务器认证该报文后，将对该IP地址打开相关的服务，这个验证方式称为单包验证。

服务端口：这里指的是网络服务提供的通道入口。

SDP：全称是Software Defined Perimeter,软件定义边界，由于移动办公越来越流行，终端使用者使用的网络环境随时变化，原有内外、外网的之类的边界越来越变得模糊，我们需要新的方式来自动调整网路边界，以更好的保护我们的应用，这种用软件来定义边界方式我们称之为SDP。

DDOS：(Distributed Denial of Service)的缩写，即分布式阻断服务，黑客利用DDOS攻击器控制多台机器同时攻击来达到“妨碍正常使用者使用服务”的目的，这样就形成了DDOS攻击。

JWT认证：就是使用JWT来认证鉴权的一种通信方式，JWT(Json Web Token)JWT是由三段信息构成的，将这三段信息文本用.链接一起就构成了jwt字符串，第一部分我们称它为头部(header),第二部分我们称其为载荷(payload,类似于飞机上承载的物品)，第三部分是签证(signature)。

进一步地，本发明的实施例提供了一种安全数据交换方法，包括：前置网关对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换；在所述前置网关对访问者的访问通过零信任安全策略进行分流和持续检查通过后，物理网络隔离设备对来自所述前置网关的数据进行单包验证，并在单包验证通过后，向所述前置网关开放通信接口，以便将所述访问者通过所述低密级网络向高密级网络交换数据。

根据本发明实施例的安全数据交换方法，把网闸/光闸的数据交换流程做了纵深防御，增加了前置API网关或安全策略网关，并对API网关/安全策略网关做了单包验证处理，比起直接限制IP的好处是避免了攻击者或利用IP仿冒连接入网络隔离设备，单包验证发送的ID是根据设备特征生成的，也避免了盗取用户名与密码连接网络隔离设备的可能，如果没有前置网关设备ID与密码，不能够连上网络隔离设备，这样把攻击者挡在API网关/安全策略执行网关，前置网关是依据零信任架构进行处理的，不同的调用者账户有不同的安全策略，这样就把数据交换的种类分开了，只有零信任相关的信令和数据才能使用往外传输的网络隔离设备向外传，也只有零信任相关的信令和数据能传到相关的零信任组件，避免了其它机密数据外传的可能，API网关对数据内容检查和调用token检查是持续的，安全策略执行网关对API网关的接入也实现单包验证和账户权限持续验证，保证了数据交换的安全问题。

关于安全数据交换方法的具体限定可以参见上文中对于安全数据交换系统的限定，在此不再赘述。上述安全数据交换系统中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

在一个实施例中，提供了一种电子设备，该电子设备可以是终端，其内部结构图可以如图11所示。该电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过WIFI、运营商网络、近场通信(NFC)或其他技术实现。该计算机程序被处理器执行时以实现一种安全数据交换方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该计算机设备的输入装置可以是显示屏上覆盖的触摸层，也可以是计算机设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。

本领域技术人员可以理解，图11中示出的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

在一个实施例中，本申请提供的安全数据交换装置可以实现为一种计算机程序的形式，计算机程序可在如图11所示的电子设备上运行。电子设备的存储器中可存储组成该安全数据交换装置的各个程序模块。

该电子设备中的存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述指令、所述程序、所述代码集或所述指令集由所述处理器加载并执行以实现根据上述任意一个实施例所述的安全数据交换方法。例如实现安全数据交换方法，包括：前置网关对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换；在所述前置网关对访问者的访问通过零信任安全策略进行分流和持续检查通过后，物理网络隔离设备对来自所述前置网关的数据进行单包验证，并在单包验证通过后，向所述前置网关开放通信接口，以便将所述访问者通过所述低密级网络向高密级网络交换数据。

在一个实施例中，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现以下步骤：前置网关对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换；在所述前置网关对访问者的访问通过零信任安全策略进行分流和持续检查通过后，物理网络隔离设备对来自所述前置网关的数据进行单包验证，并在单包验证通过后，向所述前置网关开放通信接口，以便将所述访问者通过所述低密级网络向高密级网络交换数据。

在一个实施例中，提供了一种计算机程序产品，当计算机程序产品中的指令由移动终端的处理器执行时，使得移动终端能够执行以下步骤：前置网关对访问者的访问通过零信任安全策略进行分流和持续检查，以实现数据交换；在所述前置网关对访问者的访问通过零信任安全策略进行分流和持续检查通过后，物理网络隔离设备对来自所述前置网关的数据进行单包验证，并在单包验证通过后，向所述前置网关开放通信接口，以便将所述访问者通过所述低密级网络向高密级网络交换数据。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成的，计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、数据库或其它介质的任何引用，均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-OnlyMemory，ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory，RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，比如静态随机存取存储器(Static Random Access Memory，SRAM)和动态随机存取存储器(Dynamic Random Access Memory，DRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个的技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

以上实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。