用于启用网络层声明的访问控制的可信中介

摘要

本发明涉及用于启用网络层声明的访问控制的可信中介。本发明的各实施例提供用于在其中访问控制决策可至少部分地基于声明中提供的信息的系统中使用的可信中介。该中介可代表对其请求访问的网络资源来请求声明，并且提交该声明以获得是准予还是拒绝访问的决策。该决策可至少部分地基于可被预先设置或动态地生成的一个或多个访问控制策略。由于中介请求声明并且提交该声明以进行访问控制决策，因此网络资源(如，服务器应用程序)无需被配置为处理声明信息。

说明书

技术领域

本发明涉及用于访问控制的可信中介，尤其涉及用于基于网络层声明的访 问控制的可信中介。

背景技术

常规地，关于是否准许计算机访问网络的访问控制决策通常至少部分 地基于该计算机是否到达特定系统健康要求。在这方面，未能保持与网络连 接的计算机最新(如，配备有最新的操作系统更新、反病毒签名等)是可危及 网络完整性的最常见的方式之一。例如，未能保持最新的计算机可能容易受到 恶意软件的攻击，当计算机连接至网络时，所述恶意软件可将网络资源暴露于 攻击和/或病毒。由此，网络管理员通常指定计算机必须满足以连接至网络的最 低健康要求。实施这些要求会是困难的，尤其是当给定不同类型的请求访问的 计算机的数目，诸如不受管理员的直接控制的家庭计算机、旅行膝上型计算机 等。

帮助管理员确保访问网络的计算机满足系统健康要求的一个产品是华盛 顿州雷蒙德市的微软公司提供的网络访问保护(NAP)产品。通过NAP， 管理员可定义计算机要连接必须满足的最低健康要求，诸如计算机是否已经安 装最近的操作系统更新、配备有最新的反病毒签名、已经安装并启用了防火墙 软件等。在采用了NAP的系统中，当计算机试图连接至网络时，对其健康状 态进行评估。符合健康要求的计算机被授予对网络的访问，诸如经由发出指示 符合那些要求的证书或使用其他技术。不符合的计算机被拒绝访问，并可进行 自动补救。例如，可使用缺失的软件更新或配置变化对不符合的计算机进行自 动地更新。

图1是描绘在采用了NAP的系统中计算机藉由其试图访问网络的示例过 程的框图。在该过程中，在动作105中，计算机101向健康注册机构(HRA) 103提供与其健康有关的信息，该健康注册机构103随后在动作110中将该信 息传递给健康策略服务器104。健康策略服务器104对由计算机101提供的信 息进行评估以确定其是否符合系统健康策略。在动作115中，该评估的结果随 后被发送给HRA 103。如果计算机101是符合的，则在动作115中HRA 103 从健康证书发出机构106获得用于计算机101的健康证书。在动作125中将该 证书提供给HRA 103，HRA 103随后在动作130中将其发送给计算机101。通 过使用该证书，计算机101可发起与资源102的受保护通信，并对由使用对应 的健康证书对其自身进行认证的其他符合的计算机(图1中未示出)发起的通 信进行响应。

如果计算机101不符合系统健康策略，则健康策略服务器104通知HRA 103该访问将被拒绝，由此HRA 103不会从健康证书发出机构106获得用于计 算机101的证书。因此，计算机101无法发起与资源102的通信。与由健康策 略服务器104向HRA 103提供的信息一起也被包括的是将由计算机101执行 的补救指令，诸如与补救服务器(图1中未示出)进行通信以获得使得计算机 101符合系统健康策略所需的组件。

网际协议(IP)安全(IPSec)是在开放式系统互联(OSI)栈的网络 层使用的用于保证根据IP协议在网络上发生的通信安全的协议套件。采用 NAP和IPsec以保证网络通信安全的系统允许符合健康要求的计算机与网络上 的其他计算机进行连接。在符合的计算机已经成功地连接并获得有效的IP地 址配置之后，使用IPsec的NAP策略的实施将通信限于该符合的计算机的通信。 此外，采用IPsec的系统基于请求访问的设备和/或其用户的身份来控制对网络 资源的访问(如，主机、服务器等)。

发明内容

申请人认识到用于控制对网络层的网络资源的访问的现有方法不够灵 活。例如，如果系统采用网络层安全协议(如IPsec、SSL、另一个协议等)来 实施NAP策略，则请求访问该网络的计算机首先向健康注册机构报告其健康， 该健康注册机构向决定计算机是否符合系统健康策略的健康策略服务器传递 信息。如果符合，则发出证书，计算机在根据网络层安全协议尝试至网络资源 的连接中使用该证书。如果不符合，则访问被拒绝，并且自动的补救可以发生。 如果系统采用网络层安全协议但不实施NAP策略，则访问决策可基于设备和/ 或其用户的身份。在任一情形中，关于是否准予计算机访问的决策在本质上 是二元的(即，是/否)，并且主要基于请求设备和/或其用户的身份和/或 健康，而不是可实现访问控制的更为灵活的方法的其他信息。

在本发明的某些实施例中，通过使用声明中提供的信息来获得与网络层的 访问控制决策有关的附加的灵活性。声明可提供信息作为在网络层制定访问决 策时常规地采用(如，设备身份和/或健康以及用户身份)的补充或替代。例如， 声明可提供关于请求访问的计算机的多种属性中的任一个：代表作出请求的用 户、请求对其的访问的一个或多个资源(如IP地址、端口等)、所请求的访 问的周围的环境(如，请求计算机的位置等)和/或其他信息的信息。可基于 一个或多个访问控制策略对声明中提供的信息进行评估，所述访问控制策略可 被预先设置或动态地生成，并且可用于作出是准予还是拒绝计算机访问的决 策。由此，更详细的信息可用于在网络层作出访问控制决策，从而在创建访问 控制策略和作出访问控制决策中实现更大的灵活性。仅作为一个示例，不满足 系统健康要求的计算机(采用NAP的常规系统由此可不准予访问)可被准予 对网络的受限访问(如，仅能访问由策略指定的某些资源)。由于本发明的各 实施例在此方面不受限制，因此管控对任何资源的访问控制的策略可被灵活地 制定以计及任何性质或类型的信息。

申请人认识到提供将访问控制决策至少部分地基于声明中的信息的能力 可能需要修改网络资源和/或驻留其上或者可访问以启用信息的接收和处理的 应用程序。为了减少或避免用于这样的修改的需求，本发明的某些实施例提供 被配置为处理声明中的信息的中介。该中介可被(如，逻辑地和/或物理地)插 入到请求访问网络资源的计算机和资源本身之间，并且可执行处理以允许至少 部分地基于声明信息来作出访问控制决策，网络资源由此无需被配置为如此执 行。一旦导致访问网络资源的请求被准予的处理结束，中介可将信息(如，访 问请求、由此的推导和/或其他信息)转发到资源，以便计算机的访问可以开始。

以上是对由所附权利要求书所定义的本发明的非限定性的概述。

附图说明

附图不旨在按比例绘制。在附图中，各个附图中示出的每个相同或近乎完 全相同的组件由同样的附图标记来表示。出于简明的目的，不是每个组件在每 张附图中均被标记。在附图中：

图1是描绘根据现有技术的客户机藉由其请求访问网络资源的示例过程 的框图。

图2是描绘根据本发明的各实施例的藉由其使用中介来处理访问网络资 源的客户机请求的采用了声明的示例过程的框图。

图3是描绘根据本发明的各实施例的、藉由其来基于声明中包括的信息对 客户对访问网络资源的请求进行评估的示例过程的活动示图。

图4是描绘其上可实现本发明的某些实施例的示例计算机系统的框图；以 及

图5是描绘其上可存储体现本发明的各方面的指令的示例存储器的框图。

具体实施方式

本发明的某些实施例提供一种中介，该中介与常规技术相比促进就网络 层的访问控制的更灵活的决策制定，而无需修改传统组件以处理使得灵活的 决策制定能进行的信息。在这方面，某些实施例采用声明或“断言”来获得 网络层访问控制决策制定中的灵活性。可被物理地和/或逻辑地插入到请求访问 资源的计算机和资源本身之间的中介可实现对声明中包括的信息的处理，从而 使访问控制决策至少部分地基于该信息，而不需要系统组件(如，资源)被配 置为处理该信息。

在一个示例实现中，根据网络层安全协议(如，IPsec、安全套接字层(SSL)、 另一个网络层安全协议等)由计算机发出的访问网络资源的请求可导致由计算 机发出的用于获得来自一个或多个声明提供方的声明的请求。这些“请求方声 明”可描述计算机的众多属性中的任一种、其用户、围绕访问请求的情况和/ 或其他信息。例如，声明可标识用户的角色、组织从属关系、计算机是否配备 有操作的安全软件、它是家庭还是工作计算机、发出请求的地理位置、计算机 和所请求的资源之间的连接强度(如，除签名、加密强度等以外是否使用了加 密等)和/或其他信息。一旦获得，计算机就可向包括请求方声明的中介发送访 问请求。在这方面，中介可模拟请求对其的访问的资源，以便计算机“感知” 访问请求被发送给资源。

中介可代表资源向与提供请求方声明的相同和/或不同的声明提供方请求 “资源声明”。资源声明可描述资源的各种属性，诸如商业敏感性、部署的阶 段、组织所有权、和/或其他信息。

一旦中介已经获得资源声明，它们可与请求方声明一起被发送给策略决策 点，策略决策点可对声明中的信息进行评估以确定它们是否符合一个或多个访 问策略。如果评估的结果是请求符合访问控制策略，则可准予该访问，如果不 是，则可拒绝对资源的访问。如果准予访问，则中介可随后将访问请求转发到 资源以便处理。如果由计算机发送到中介的访问请求包括请求方声明，则中介 在转发之前将请求方声明移除。中介可执行附加的处理(如，将访问请求从符 合一种通信或安全协议的格式转换为另一种格式，其他处理，或其组合)。作 为由中介执行的处理的结果，资源无需被修改以处理声明信息从而获得声明中 包括的信息允许的灵活的访问控制决策制定。

图2更详细地描绘了其中采用中介的示例过程。在图2所示的示例过程中， 计算机201对访问资源202(如，主机、服务、某个其他组件或过程、或其组 合)的请求(如，由在其上执行的应用程序、某个其他组件或过程、或其组合 来发起)导致在动作210中计算机201向一个或多个声明提供方203发出对请 求方声明的请求。在某些实施例中，在计算机201和资源202两者上实现的传 输协议(在下面进一步描述)为与声明提供方203联系的计算机201提供请求 方声明。

在所描绘的示例中示出了三个声明提供方——标记为声明提供方203A、 203B和203C。然而，应当理解，由于本发明不限于此方面，因此可采用任何 适合的数目的声明提供方。例如，在某些实施例中，各自具有不同的系统和/ 或组织从属关系的多个声明提供方可各自提供不同类型的声明。例如，与对用 户进行认证的系统有关的一个声明提供方可提供描述用户的属性的声明。与对 请求访问的计算机进行验证的系统有关的另一个声明提供方可提供与系统健 康有关的声明。与跟踪请求访问的计算机的物理位置的系统有关的另一个声明 提供方可提供与地理位置有关的声明。由于本发明的各实施例不限于任何特定 的实现，因此在图2所示的示例系统中可采用任何适合的数目的声明提供方和 /或声明类型。

此外，如图2所示，每个声明提供方203可从静态声明储存库204A、动 态声明源204B(如，动态地生成声明的一个或多个自动化过程、计算机201 上的一个或多个储存库、资源202、和/或另一个组件、或某些其他动态声 明源)、从静态和动态源两者、或某些其他源检索将被提供给计算机201 的声明。本发明的各实施例不限于采用任何特定的源以获得声明或其包括的信 息。

在动作215中，声明提供方203向计算机201提供一个或多个请求方声明。 如上简述，声明可描述计算机201的一个或多个属性、其用户、在其中尝试访 问的环境和上下文、和/或其他信息。例如，声明可包括与用户的身份、他/她 在组织中的角色(如，全职员工、合同工、厂商、经理等)、组织从属关系(如， 销售部门、财务等)、和/或任何其他信息有关的信息。本发明的各实施例不限 于声明中可包括的信息的类型。

如果一个或多个请求方声明包括与计算机201有关的信息，则该信息可包 括与计算机的健康有关的信息(如，计算机是否配备有安全和/或反病毒软件、 软件是否被激活、计算机是否采用可操作的防火墙、反病毒签名是否是最新的 等)、设备与请求对其进行访问的资源之间的连接的密码强度(如，经签名和 /或加密的通信是否用于通信、加密的类型等)、计算机的标识符、其角色(如， 台式计算机、数据库服务器、web服务器等)、其组织从属关系(如，由销售 部门、财务部门等操作)及其所有者(如，公司、员工、厂商、公共计算机等) 中的任一个。作为上述列出各项中的任一项或全部的替代或补充，还可提供其 他信息。

如果一个或多个请求方声明包括与计算环境和/或访问请求有关的信息， 则该信息可包括在其中尝试访问的上下文(如，在电信通信时从家里、从工作、 从分公司等)、和/或用户的物理地理位置(如，从其中尝试访问的国家)中的 任一个或多个。作为上述的替代或补充，还可提供其他信息。应当理解，由于 本发明不限于任何特定的实现，因此可在任何数目的请求方声明中提供任何适 合的信息。

在动作220中，计算机201包括发送给中介209的访问请求中的请求方声 明。在某些实施例中，中介209可模拟资源202，以便计算机201“感知”访 问请求被提交给资源202。这可以多种方式中的任一种来实现，并且本发明的 各实施例不限于任何特定的技术。

中介209可以多种方式中的任一种来实现。例如，中介209可以某些其他 方式被实现为运行在任何一个或多个计算机上(如，资源202所驻留的计算机、 或者一个或多个其他计算机)的过程、被实现为硬件装置、虚拟机器、或其组 合。尽管中介209在图2中被描绘为单独的组件，但是根据本发明的各实施例， 任何适合的数目的组件可共同运行作为中介并且执行此处描述的功能。本发明 不限于用任何特定的方式来实现。

在动作225中，中介209代表资源202向声明提供方203A-203C请求资 源声明。如下所述，资源声明可描述资源202而不是中介209的各种属性。在 某些实施例中，中介209受声明提供方203A-203C的信任以代表资源202来行 动。

应当理解，响应于从计算机201接收请求方声明，中介209无需请求资源 声明，因为中介209先前可能已经获得资源声明或其某些子集，并且可将其和 /或其包括的信息以一种便于快速获取的方式进行存储(如，本地)。本发明的 各实施例不限于任何特定的实现。

中介209无需从与计算机201自其处获得声明的那些声明提供方相同的声 明提供方处获得声明。根据本发明的各实施例实现的系统可包括任何适合的数 目的声明提供方，其中每个可将声明提供给任何一个或多个组件或实体。本发 明不限于任何特定的实现。

在示例过程200所示的动作230中，向中介209提供资源声明。当然，本 发明的各实施例不限于按照图2所描绘的方式来执行。例如，在某些实施例中， 可向计算机201提供资源声明，计算机201可将它们提交给中介209。本发明 的各实施例不限于向中介209提供资源声明的任何特定的方式。

在本发明的某些实施例中，一旦接收资源声明，中介209就可执行处理以 确定资源声明是否(或保持)有效。该确定可基于众多标准中的任一种。如果 中介209基于该处理判定所述声明是无效的，则中介209可单方面地拒绝计算 机201对资源202的访问。

在动作230中提供给中介209的资源声明可例如描述资源202的各种属 性，诸如资源的身份、其角色(如，台式计算机、数据库服务器、web服务器 等)、其组织从属关系(如，由销售部门、财务部门等操作)、其所有者(如， 公司、员工、厂商、公共计算机)、其部署的阶段(如，设置、配置、生产等)、 其敏感性(如，高、中等或低商业影响)和/或其他信息。由于本发明不限于以 任何特定的方式来实现，因此资源声明可包括作为以上列出的各项信息的替代 或补充的其他信息。

在图2所描绘的示例过程中，在动作235中，中介209向策略决策点205 提供请求方和资源声明。然而，应当理解，并非本发明的全部实施例均受如此 限制，因为任何组件可向策略决策点205提供请求方和资源声明。例如，计算 机201在从中介209接收声明之后可向策略决策点205提供请求方和资源声明。 本发明的各实施例不限于任何特定的实现。

应当理解，尽管策略决策点205在图2中是以暗示其是在与中介209分开 的物理组件上实现的方式来描绘的，但本发明的各实施例不限于此。策略决策 点205可在任何一个或多个适合的物理组件上来实现，诸如中介209驻留于其 上、资源202驻留于其上、任何其他组件驻留于其上、或其组合驻留于其上的 相同的计算机。本发明的各实施例不限于以任何特定的方式来实现。

一旦接收请求方和资源声明，策略决策点205可就一个或多个策略对声明 中提供的信息进行评估。在所描绘的示例中，在动作240中从策略存储208中 检索一个或多个策略，其包括经由策略创作点207先前定义的策略(在图2中 象征性地定义为动作260；然而，应当理解，在策略的说明和图2中所描绘 的任何其他动作之间不存在时间关系或依赖性)。然而，本发明的各实施例 不限于当接收对访问控制策略决策的请求时包括检索的实现。例如，策略或其 子集先前可能已经被检索、在请求时动态地生成、或在请求策略决策时以外的 时间以其他方式被检索。

可以任何适合的方式定义策略。在本发明的某些实施例中，策略可在任何 适合的粒度级别阐述与访问控制决策有关的标准。例如，策略可指定当由诸如 “厂商”之类的用户角色从诸如“家”之类的位置使用具有诸如“开启反病毒 软件”之类的指定的健康指示的计算机进行请求时，将准予在诸如“生产”之 类的特定部署阶段对具有诸如“中等商业影响”之类的特定敏感度的主机或服 务的访问。当然，策略无需阐述指定如果满足某些标准则进行对访问的准予的 各项，因为它可替换地指定如果满足某些标准则应拒绝访问，或者如果指定或 未指定任一个或多个标准，则发生或不发生任何适合的一个或多个动作。由于 本发明不限于任何特定的实现，因此有关访问控制决策的策略可以任何适合的 方式来说明，并可在任何适合的细节级别上采用声明中或以其他方式提供的任 何适合的信息。

在动作240中，策略决策点205向中介209提供策略决策。例如，基于对 请求方和/或资源声明中包括的信息的评估，策略决策点205可向中介209提供 应当准予或拒绝计算机201对资源202的访问的指示。

如果策略决策点205通知中介209应当准予计算机201对资源202的访问， 则中介209可对在动作220中接收的请求进行修改并在动作265中将已修改的 请求转发到资源202中。可以多种方式中的任一种对请求进行修改，诸如以与 资源202的能力相适合。例如，如果资源202未被配置为或以其他方式无法处 理请求中包括的声明信息，则中介209可在将请求转发给资源202之前从请求 中移除(如，提取)声明信息。中介209还可以，或替换地，根据哪个请求被 发送来修改协议。例如，如果在动作220中发自计算机201的通信符合一种协 议，并且资源202未被配置为处理使用该协议发送的信息，则中介209可将请 求转换为资源202能够识别和处理的协议。可由中介209执行多个修改中的任 一个，本发明的各实施例不限于任何特定的实现。

一旦动作265结束，图2的过程结束。

应当理解，使用请求计算机的健康级别以外的信息来管控访问控制决策的 能力可就网络层访问控制决策向管理员提供相比常规技术提供的而言的更多 的灵活性，以及由此对已准予的访问请求的更强的控制。在这方面，尽管常规 的网络层访问控制决策在本质上是二元的，因为准予或拒绝访问的决策是单独 地基于请求计算机的健康来制定的，但是本发明的各实施例允许使用更多的信 息来制定决策，比当前所采用的在本质上更详细并且提供比当前的方法提供的 更大的决策制定的范围。

在某些实施例中，可根据IPsec协议套件来执行以上参考图2所述的信 息转移中的任一个或全部，且IPsec协议套件可管控认证期间对访问控制的 实施。例如，管控如何传输信息的IPsec的各方面可由组件(如，计算机201、 资源202、和/或其他组件)采用以传递声明和其他信息，管控访问控制决策制 定的IPsec协议套件的各方面可由这些组件中的任一个或全部采用以确定是否 准予访问。作为示例，计算机201和中介209可向根据IPsec担当安全令牌服 务(STS)的一个或多个声明提供方请求声明。计算机可使用其或其用户的身 份向STS认证，并指定其将使用声明的“领域”，诸如与资源202进行连接。 STS可发出声明，以使得当声明被传递至策略决策点时，它们可被验证。声明 可被嵌入在根据IPsec协议被格式化的通信中(如以下所述)，并被发送给资 源202，以使得可作出访问控制决策。

由于本发明不限于此方面，因此声明可以多种方式中的任一种被合并到被 格式化以符合IPsec的通信中。在一个示例实现中，根据IPsec从客户机传送 至服务器的证书可被用于从请求方计算机(如，图2，计算机201)携带信息 至资源(如，资源202)。例如，可将声明信息包括在证书中，该证书可进而 用于生成包括该声明信息的一个或多个人工产物。当证书和/或人工产物由资源 接收时，资源可提取声明信息，并向策略决策点提供该信息以作出访问控制决 策。

在一个示例实现中，可采用被称为“AuthIP(认证IP)”的IPsec的扩展 以启用对Kerberos协议的使用，这对安全和认证领域的技术人员来说是公知 的。在该示例实现中，从声明提供方接收的声明信息可用于生成其中嵌入有声 明信息的Kerberos权证。例如，一个或多个字段可被嵌入至对应每个声明的 Kerberos权证，并根据IPsec从请求方计算机发送到资源。

在又一个示例实现中，可创建新的扩展(如，因特网密钥交换(IKE)扩 展)以允许以不同于上述的方式来发送声明信息。由于本发明不限于此方面， 因此可采用任何适合的类型的扩展。

由前述应当理解，可采用多种技术中的任一种来根据IPsec对声明信息进 行发送和认证，包括上面没有描述的一种或多种技术。本发明的各实施例不限 于任何特定的实现。

应当理解，尽管上述示例实现采用IPsec或其各方面对声明信息进行发送 和认证，但本发明的各实施例不限于此，因为可采用任何一个或多个网络层安 全协议。例如，可在采用安全套接字层(SSL)网络层安全协议、一个或多个 其他网络层安全协议、或其组合的系统中实现本发明的各实施例。

图3是根据本发明的采用IPsec的某些实施例描绘各种组件之间的信息流 的活动图表。具体而言，图3描绘在实现中各组件之间发送的信息，其中使用 IPsec的AuthIP扩展，从而基于从请求计算机传递来的证书生成包括声明信息 的Kerberos权证。一旦生成Kerberos权证，请求计算机可采用该Kerberos权 证来请求对网络资源的访问。图3示出在计算机301、设备状态注册机构302、 密钥分发中心(KDC)认证服务(AS)303、KDC权证准予服务(TGS)304、 资源305、资源STS 306和目标服务307之间传递的信息。

在图3所示的示例过程的开始处，在动作310中，计算机301发送设备状 态评估至设备状态注册机构302(担当声明提供方)。设备状态注册机构302 对设备状态评估进行评估以确定计算机301是否符合策略。在图3所描绘的示 例中，计算机301符合策略，使得在动作320，设备状态注册机构通过向计算 机301提供合并了声明信息的机器证书来进行响应。

在动作330中，通过将在动作320中发送给计算机301的机器证书以及由 用户提供给计算机301的证书发送给KDC AS 303，计算机301寻找其本身及 其用户的混合认证。在动作340中，KDC AS 303通过将权证准予权证(TGT) 发送给计算机301来进行响应，计算机随后在对Kerberos权证的请求中使 用该权证准予权证，该Kerberos权证在动作350中被发送给KDC TGS 304。 在动作360中，KDC TGS 304使用包括声明信息的Kerberos权证来响应该请 求。由于本发明的各实施例在此方面不受限制，因此可以任何适合的方式将声 明信息嵌入至Kerberos权证中。

在动作370中，计算机301将带有在动作320中接收的声明信息的Kerberos 权证发送给中介305，中介305在动作375中提取嵌入的声明信息并代表资源 307向资源STS 306(担当资源声明提供方)请求声明。资源STS 306在动作 380中使用资源声明来进行响应，中介305向策略决策点提供该资源声明以根 据一个或多个访问控制策略进行评估。在动作385中向计算机301提供请求符 合访问控制策略的指示。由此，在动作390中计算机301发起对目标设备307 的访问。图3所示的示例过程随后结束。

应当理解，图2和3所描绘的示例过程可包括那些所示和所述以外的动作。 例如，以上参考图3所述的示例过程不包括对描述计算机301如何连接至目标 服务307的声明的处理，但本发明的其他实施例可包括这样的处理。此外，作 为这些示例过程的一部分执行的动作的顺序可与所示和所述的顺序不同。例 如，可执行其他动作序列，至少部分地串行或并行地执行某些动作，或者可对 所示和所述的示例过程进行其他修改。本发明的各实施例不限于此处描述的特 定实现。

用于实施本发明的各特征的系统和方法的各个方面可被实现在一个或多 个计算机系统上，诸如图4中示出的示例性计算机系统400。计算机系统400 包括输入设备402、输出设备401、处理器403、存储器系统404和存储406， 这些设备全都经由可包括一个或多个总线、交换机、网络和/或任何其他合适互 连的互连机制405来直接或间接地耦合。输入设备402接收来自用户或机器 (如，人类操作者)的输入，并且输出设备401向用户或机器(如，液晶显示 器)显示或传送信息。输入和输出设备主要可用于呈现用户界面。可用于提供 用户界面的输出设备的示例包括用于可视地呈现输出的打印机或显示屏和用 于可听地呈现输出的扬声器或其它声音生成设备。可用于用户界面的输入设备 的示例包括键盘和诸如鼠标、触摸板和数字化输入板等定点设备。作为另一示 例，计算机可以通过语音识别或以其它可听格式来接收输入信息。

处理器403通常执行被称为操作系统(例如，微软Windows系列操作系 统或任何其他合适的操作系统)的计算机程序，操作系统控制其他计算机程序 的执行并提供调度、输入/输出以及其他设备控制、会计、汇编、存储安排、数 据管理、存储器管理、通信以及数据流控制。笼统而言，处理器和操作系统定 义为其编写应用程序和其他计算机程序语言的计算机平台。

处理器403还可执行一个或多个计算机程序以实现各种功能。这些计算机 程序语言可以用任何类型的计算机程序语言来编写，包括过程程序设计语言、 面向对象的程序设计语言、宏语言、或它们的组合。这些计算机程序可存储在 存储系统406中。存储系统406可将信息保持在易失性或非易失性介质上，并 可以是固定或可移动的。在图5中更详细地示出了存储系统406。

存储系统406可包括有形计算机可读和可写非易失性记录介质501，其上 存储有定义计算机程序或要由该程序使用的信息的信号。记录介质例如可以是 盘存储器、闪存、和/或可用于记录和存储信息的任何其它制品。通常，在操作 中，处理器403使得数据从非易失性记录介质501读入允许处理器403比对介 质501进行的更快的信息访问的易失性存储器502(如，随机存取存储器，即 RAM)中。如图4所示，存储器502可位于存储系统406中或位于存储器系统 404中。处理器403一般处理集成电路存储器404、502内的数据，随后在处理 结束之后将这些数据复制到介质501中。已知有各种机制可用于管理介质501 和集成电路存储元件404、502之间的数据移动，并且本发明不限于当前已知 的或以后研发的任何机制。本发明也不限于特定的存储器系统404或存储系统 406。

描述了至少一个实施例的若干方面，可以理解，本领域的技术人员可容易 地想到各种更改、修改和改进。这样的更改、修改和改进旨在是本发明的一部 分，且旨在处于本发明的原理的精神和范围内。从而，上述描述和附图仅用作 示例。

可以多种方式中的任一种来实现本发明的上述实施例。例如，可使用硬件、 软件或其组合来实现各实施例。当使用软件实现时，该软件代码可在无论是在 单个计算机中提供的还是在多个计算机和/或系统之间分布的任何合适的处理 器或处理器的集合上执行。尽管可使用以任何适合的形式的电路来实现处理 器，但这样的处理器可被实现为集成电路，集成电路组件中具有一个或多个处 理器。

应当理解，执行此处描述的功能的任何组件或组件的集合一般可被认为是 控制上述功能的一个或多个控制器。一个或多个控制器可以用众多方式来实 现，诸如用专用硬件、或通过采用使用执行上述功能的微码或软件来编程的一 个或多个处理器。在控制器存储或提供数据以供系统操作的情况下，这些数据 可以存储在中央储存库中、多个储存库中、或其组合。

应当理解，计算机可以用多种形式中的任意一种来具体化，诸如机架式计 算机、台式计算机、膝上型计算机、或平板计算机。此外，计算机可以具体化 在通常不被认为是计算机但具有合适的处理能力的设备中，包括个人数字助理 (PDA)、智能电话、或任何其它适合的便携式或固定电子设备。

同样，计算机可以具有一个或多个输入和输出设备。这些设备主要可用于 呈现用户界面。可用于提供用户界面的输出设备的示例包括用于可视地呈现输 出的打印机或显示屏和用于可听地呈现输出的扬声器或其它声音生成设备。可 用于用户界面的输入设备的示例包括键盘和诸如鼠标、触摸板和数字化输入板 等定点设备。作为另一示例，计算机可以通过语音识别或以其它可听格式来接 收输入信息。

这些计算机可以通过任何合适形式的一个或多个网络来互连，包括作为局 域网或广域网，如企业网络或因特网。这些网络可以基于任何合适的技术并可 以根据任何合适的协议来操作，并且可以包括无线网络、有线网络或光纤网络。

而且，此处略述的各种方法或过程可被编码为可在采用各种操作系统或平 台中任何一种的一个或多个处理器上执行的软件。此外，这样的软件可使用多 种合适的程序设计语言和/或程序设计或脚本工具中的任何一种来编写，而且它 们还可被编译为可执行机器语言代码或在框架或虚拟机上执行的中间代码。

在这方面，本发明可被具体化为用一个或多个程序编码的一个计算机可读 介质(或多个计算机可读介质)(如，计算机存储器、一个或多个软盘、紧致 盘(CD)、光盘、数字视频盘(DVD)、磁带、闪存、现场可编程门阵列或 其他半导体器件中的电路配置、或其他非瞬态的有形计算机可读存储介质)， 当这些程序在一个或多个计算机或其他处理器上执行时，它们执行实现本发明 的上述多个实施例的方法。计算机可读介质或媒体可以是便携的，使得其上存 储的一个或多个程序可被加载到一个或多个不同的计算机或其它处理器上以 实现本发明上述的各个方面。如此处所使用的，术语“非瞬态计算机可读存储 介质”只包含可被认为是产品(即，制品)或机器的计算机可读介质。

此处以一般的意义使用术语“程序”或“软件”来指可被用来对计算机或其 他处理器编程以实现本发明上述的各个方面的任何类型的计算机代码或计算 机可执行指令集。另外，应当理解，根据本实施例的一个方面，当被执行时实 现本发明的方法的一个或多个计算机程序不必驻留在单个计算机或处理器上， 而是可以按模块化的方式分布在多个不同的计算机或处理器之间以实现本发 明的各方面。

计算机可执行指令可以具有可由一个或多个计算机或其他设备执行的各 种形式，诸如程序模块。一般而言，程序模块包括执行特定任务或实现特定抽 象数据类型的例程、程序、对象、组件、数据结构等。通常，程序模块的功能 可以按需在多个实施例中进行组合或分布。

而且，数据结构能以任何适合的形式存储在计算机可读介质上。为简化说 明，数据结构可被示为具有通过该数据结构中的位置而相关的字段。这些关系 同样可以通过对各字段的存储分配传达各字段之间的关系的计算机可读介质 中的位置来得到。然而，可以使用任何适合的机制在数据结构的各字段中的信 息之间建立关系，包括通过使用指针、标签、或在数据元素之间建立关系的其 他机制。

本发明的各个方面可单独、组合或以未在前述实施例中特别讨论的各种安 排来使用，从而并不将其应用限于前述描述中所述或附图形中所示的组件的细 节和安排。例如，可使用任何方式将一个实施例中描述的各方面与其它实施例 中描述的各方面组合。

同样，本发明可被具体化为方法，其示例已经提供。作为该方法的一部分 所执行的动作可以按任何适合的方式来排序。因此，可以构建各个实施例，其 中各动作以与所示的次序所不同的次序执行，不同的次序可包括同时执行某些 动作，即使这些动作在此处描述的各说明性实施例中被示为顺序动作。

在权利要求书中使用诸如“第一”、“第二”、“第三”等序数词来修饰权利要 求元素本身并不意味着一个权利要求元素较之另一个权利要求元素的优先级、 先后次序或顺序、或者方法的各动作执行的时间顺序，而仅用作将具有某一名 字的一个权利要求元素与(若不是使用序数词则)具有同一名字的另一元素区 分开的标签以区分各权利要求元素。

同样，此处所使用的短语和术语是出于描述的目的而不应被认为是限制。 此处对“包括”、“包含”、或“具有”、“含有”、“涉及”及其变型的使用旨在包括 其后所列的项目及其等效物以及其他项目。