基于云的环境中的自主策略管理

摘要

公开了用于管理和提供对许多数字资源的访问的实施例。一个实施例提供了一种方法，所述方法包括接收用以供委托人访问资源的请求，并确定所述委托人所属的一个或多个委托人群组。所述方法还包括获得指示所述资源所属的资源集合的资源集合成员籍信息，并获得用于所述资源所属的资源集合的资源集合访问策略信息。所述方法还包括基于委托人群组成员籍信息和资源集合访问策略信息来确定是否允许委托人访问资源，并且如果允许委托人访问资源，则许可由委托人对资源的访问。

说明书

背景技术

常常通过针对每个资源以及针对每个已授权方单独地定义访问策略来管理对许多数字资源的访问。由于对访问内容的用户授权随时间推移而改变，用于每个受影响方的这样的自主（discretionary）策略可能要求更新以维持期望的安全设定。在某些场景中，诸如在内容服务被多个个体潜在地大规模地从大量潜在无关实体中的每一个访问的情况下，这样的安全设定的维持可能是复杂的且潜在地易于发生错误。

发明内容

公开了用于管理对内容的访问的实施例。一个公开的实施例提供了一种包括接收用于委托人的用以访问资源的请求的方法。所述方法还包括确定所述委托人所属的一个或多个委托人群组，获得指示所述资源所属的资源集合的资源集合成员籍信息，并获得用于所述资源所属的资源集合的资源集合访问策略信息。所述方法还包括确定基于委托人群组成员籍信息和资源集合访问策略信息来确定是否允许委托人访问资源，并且如果允许委托人访问资源，则许可由委托人对资源的访问。

提供本发明内容是为了以简化形式来介绍下面在详细描述中进一步描述的概念的选择。本发明内容并不意图识别要求保护的主题的关键特征或必要特征，其也不意图用来限制要求保护的主题的范围。此外，要求保护的主题不限于解决在本公开的任何部分中指出的任何或所有缺点的实施方式。

附图说明

图1示出了图示出根据本公开的实施例的用于管理自主内容访问策略的示例性系统的示意图。

图2示意性地示出了用于根据本公开的实施例的一种用于表现内容的系统的示例性使用环境。

图3示出了根据本公开的实施例的用于授权对内容的访问的示例性方法。

图4示出了根据本公开的实施例的用于管理用于许多数字资源的安全策略的示例性方法。

图5示意性地示出了根据本公开的实施例的计算设备的示例性实施例。

具体实施方式

如上所述，大规模地在逐个用户且逐个项目的基础上管理对内容的访问可能是困难的。例如，基于云的内容服务（例如，在线游戏服务、软件开发服务等）可被潜在地大量的人从潜在地大量实体中的每个用来访问潜在地大量的资源。在这样的系统中，单独地有效地管理访问策略可能是耗费时间、效率低且易于发生错误的。

作为一个非限制性示例，视频游戏开发服务可以为开发者提供针对在开发和/或β测试中的资源的基于云的存储，并且还提供对存储资源的访问。在这样的系统中，用于在开发中的项目的资源访问策略可被使用来控制针对多个感兴趣方中的每一个的对资源的访问，其包括但不限于开发者、程序经理、其它关键雇员、第三方合伙人、供应商等。在实体具有在开发中的多个项目的情况下，针对多个项目中的每一个管理这样的策略。所述策略可定义例如可利用哪些用户、哪些计算设备、哪些客户端应用等来访问游戏开发内容。术语访问可指代任何适当类型的访问，包括但不限于诸如创建、读取、更新以及删除之类的动作。

在这样的环境中，如果基于单独的用户/单独的资源来管理策略，则授权方面的任何改变（例如，丢失设备、开发队伍变更、新内容等）可能迫使需要修改用于每个受影响方的单独许可。假定开发努力可涉及到具有众多访问授权的数目相对大且可变的用户和资源，在基于云的开发环境中针对这样的资源和用户单独地维持许可可能是困难、耗费时间且易于发生错误的。策略还可以适用于商业合伙人（其中，术语“商业合伙人”可表示网站共同的分组），使得策略系统可提供对一个或多个网站的访问，同时还拒绝对其它网站的访问。还可将策略配置成跨越多个标题。

此外，在这样的环境中，多个服务可具有访问来自特定内容存储库的内容的能力。例如，示例性在线游戏开发服务可包括每个都可访问存储资源的多个分立服务（例如，成就服务、多玩家会话服务、图像服务等）。同样地，每个服务可包括服务特定的访问策略。在这种情况下，对资源访问策略的更新可涉及到针对这样的服务中的每个单独地更新策略。同样地，不能实现这样的改变可影响开发者的安全和/或用户体验。

因此，公开了涉及通过将用户和资源分组成策略被应用的相应组来高效地管理基于云的环境（例如，其中将资源和/或访问策略存储在多租户网络可访问位置中的环境）中的资源访问策略。当确定是否许可对服务所访问的内容的访问时，服务可获得关于内容和请求内容的用户的群组成员籍的信息，并且还可获得访问策略信息。与其中针对访问内容的多个服务中的每个服务管理用于单独用户和单独资源的访问策略的典型方法相比，可更高效地维持和更新这样的群组成员籍和策略。

在更详细地讨论这些实施例之前，对图1进行参考，其示出了描绘用于授权委托人对内容的访问的示例性场景的框图100。如本文所使用的术语“委托人”可指代可以可靠地且安全地用作身份证明的任何唯一标识符。委托人的示例包括但不限于用户识别号、服务识别号、设备识别号以及来自客户端平台上的栏外标题的标题识别。图1示出了由第一用户id104识别的用户形式的第一委托人102、由第二用户id108识别的用户形式的第二委托人106、作为具有第一设备id112的设备110的第三委托人以及作为具有第二设备id116的设备114的第四委托人。

在某些示例性实施例中，委托人可与令牌发行者确立身份证明。在其它实施例中，可不对委托人进行验证、确认等。替代地，可经由私用/公开密钥对来对委托人进行加密。由于可以很容易知道公开密钥，所以这样的配置可使得能够产生被骗委托人，从而潜在地降低总体安全性。然而，由于在某些实施例中潜在委托人的池可能很大（例如，在委托人经由4096随机字节被识别的情况下），所以有效委托人的这样的手动产生可能适当地不太可能。将认识到的是，确立委托人的身份的方法的这些示例出于示例的目的被提出，并且其并不意图以任何方式是限制性的。

图1还图示出被组织成任意数目N的委托人群组（PG）120和122的委托人。如下面更详细地描述的，可以PG作为最小单元来管理与委托人有关的策略。PG可对应于例如软件开发者（如经由PG120所示）、β测试用户、注册开发工具包（如经由PG122所示）和/或任何其它适当的实体或实体类型。虽然所示委托人中的每一个被示为映射到单个PG120或122，但将认识到的是在不脱离本公开的范围的情况下，特定委托人可映射到多个PG。此外，在某些实施例中，用户和设备可不映射到同一PG，而在其它实施例中，这样的委托人可映射到同一PG。将理解的是，可使用任何适当数目的PG来以任何适当方式管理策略。

图1还图示出被组织成资源集合（RS）132和134的资源130。每个RS132和134包括分别地在136和138处示出的一个或多个资源身份，其表示哪些资源是相应库的成员。资源130的示例包括但不限于可下载视频游戏二进制文档、供应元数据（例如，广告等）、游戏中统计/成就（例如，漫游用户简档）、声轨音乐、视频、多玩家会话模板等。在某些实施例中，每个资源可包括可用充分唯一的标识来识别的任何适当类型的内容。将理解的是，在某些实例中可在多个RS中包括资源。

所选RS中的资源可被单个对应服务或者被多个服务访问。此外，可将RS中的资源存储在相同位置或不同位置上。在图1的示例中，将RS示为开发RS132和βRS134，但是将理解的是，可以任何其它适当方式来定义RS。

由于在数字内容的开发中可能使用潜在地大量的资源，所以按群组而不是按单独资源的资源管理可简化用于那些资源的策略的设定和维持。同样地，基于PG成员籍来管理用于委托人的策略对于其中大量的个体可使用内容、从事不同的开发项目或执行其它任务且其中许可可随时间改变的组织而言也可简化策略的设定和维持。

图1进一步图示出指定哪些PG可关于哪些RS执行什么动作的规则形式的策略140。由策略指定的动作的示例可包括但不限于读、写、删除、更新、管理等。术语“写”可在本文中用来表示其中创建或改变策略的任何动作，包括但不限于创建、更新和删除。

所述策略可指定用于访问资源的任何适当条件。例如，在图1的示例中，图示出一个示例性策略，其中所述策略指定PG120的成员可以访问RS1132中的资源。此外，在某些场景中，超过一个PG中的成员籍可以是用于访问RS中的内容的条件。将理解的是，这些策略是出于示例的目的而提出的，并且可使用任何适当类型的策略以及任何适当数目的策略。

策略140可被一个或多个服务访问，所述一个或多个服务用来供委托人访问内容。所述服务然后可利用关于委托人的PG成员籍和资源的RS成员籍的信息来确定是否准予委托人按照任何一个或多个对应策略对资源的访问。以这种方式，策略可针对多个服务被集中管理，而不是在可使用所述策略的每个可能服务处被管理，从而允许方便地跟踪和更新策略规则。此外，如下面所描述的，在某些实例中可以分布式方式存储策略（例如，经由在利用策略的（一个或多个）服务本地的高速缓存器）以获得效率和恢复力。将理解的是，可将策略规则配置成具体地应用于一个或多个所选服务和/或RS，而（一个或多个）其它策略规则可跨服务和/或库全局地应用。

转到图2，示出了用于提供对资源的委托人202访问的示例性系统200。示例性资源被示为位于远程内容存储库206（例如开发者特定内容存储库）中的资源204和资源目录207，资源目录207包括可经由远程基于云的访问管理服务209来访问的资源，远程基于云的访问管理服务209可用来存储访问管理信息，如下面更详细地描述的。将理解的是，可将资源存储在任何适当位置上，并且可将RS中的不同资源存储在不同位置上。将进一步理解的是，所描绘的配置是出于图示的目的而提供的，并且并不意图以任何方式是限制性的。

图2还将授权数据存储库210示为存储关于PG212、RS214、关于RS214的访问的策略216和/或基于云的存储中的其它管理元数据218的授权信息。同样地，系统200可将资源204的提供与关于内容的访问策略的提供和执行解耦。可经由授权管理服务220的访问管理逻辑219来管理授权信息。更具体地，每个PG212和RS214具有“所有者”或管理者，其具有管理所拥有的群组、库以及关联的策略的能力。图2出于示例的目的示出了单个管理者222，但将理解的是，系统200可被许多管理者使用来单独地管理关于许多资源和PG的策略，每个管理者222能够经由授权管理服务220来创建并管理PG、RS以及对应策略。在某些实施例中，可在能够维持高商业影响（“HBI”）信息的一个或多个受保护计算设备（例如，服务）上实现授权管理服务220。

为了创建并管理PG212、RS214以及策略216，管理者222可经由授权管理服务220而访问存储在密钥存储库226处的一个或多个密钥224（例如，策略签署密钥、写入密钥等）。密钥224可被呈现给与授权数据存储库210相关联的授权数据访问层228或者否则被用来与之相交互，从而使得授权管理服务能够访问（例如写入）数据存储库内的信息。在其它实施例中，在不脱离本公开的范围的情况下，可由（一个或多个）附加和/或不同的机制来提供（一个或多个）管理者222访问数据存储库210的授权。

利用系统200，可如下向委托人202提供内容。为了访问内容，委托人可通过提供适当的识别信息来登录到（一个或多个）服务208中。在某些实施例中，在接收到信息后，可将服务208的授权库230配置成经由网络201来联系安全令牌服务234，以检索用于委托人的已签署安全令牌232，从而向服务208认证委托人202。在其它实施例中，可由委托人在没有与远程安全令牌服务相交互的情况下提供安全令牌。在又一些其它实施例中，可使用任何其它适当的认证过程，包括并未利用令牌的（一个或多个）认证过程。

在使用的情况下，可将安全令牌服务234配置成从数据存储库210检索关于与请求委托人202相关联的PG212的信息。用于委托人的PG成员籍信息然后可被附加到或者否则提供有安全令牌232。在某些实施例中，在接收到PG信息后，可将服务208配置成经由本地高速缓存器236来高速缓存信息中的至少一些达到适当的持续时间（例如达到登录会话的持续时间）。这可帮助避免在该使用会话期间针对每个访问策略确定而访问数据存储库210，并且因此可允许比在不使用本地高速缓存器的情况下更高效地做出访问确定。将认识到的是，此配置是出于示例性目的提出的，并且在不脱离本公开的范围的情况下，其它实施例可利用任何适当的（一个或多个）高速缓存机制或者甚至没有高速缓存机制。

还可将授权库230配置成在内容访问运行时实现（一个或多个）资源访问判定。例如，在对（一个或多个）委托人202进行授权后（例如，经由安全令牌服务234，或者以任何其它适当方式），（一个或多个）服务208可从与委托人202相关联的客户端设备接收针对资源204的一个或多个请求，并且作为响应可对所述内容进行定位。授权库230然后可获得关于所请求的（一个或多个）资源所属的RS214的成员籍信息。在确定适当的RS214后，可进一步将授权库230配置成经由授权数据访问层228来获得用于资源所属的RS的RS访问策略信息。授权库230然后可使用这样的策略信息以基于委托人202的PG成员籍和所请求内容的RS群组成员籍来确定请求委托人是否可以访问所请求内容。

在某些实施例中，可经由写通式（write-through）高速缓存器238来高速缓存经由授权数据访问层228访问的信息，再次地以允许高速缓存数据的潜在地更快的未来访问以及提供恢复力，而在其它实施例中，可不提供和/或可经由（一个或多个）其它机制来提供这样的高速缓存。高速缓存器238可充当可用于系统200中的所有服务的基于云的高速缓存器。高速缓存器238可位于与访问其的服务（例如服务208）不同的机器上，仍然提供从本地至授权信息210的低等待时间。在某些实施例中，高速缓存器238可提供跨两个或更多机器的数据的高速缓存；例如，如果两个机器充当“服务x”，并且机器中的一个经由授权数据访问层228来查找某些东西，则当第二机器进行相同查找时，可将所述信息存储在高速缓存器238。

在某些实施例中，可以分布式方式来存储用于系统200的数据。在这样的实施例中，系统200还可包括分区资源管理器（“PRM”）240，其被配置成理解在该处可访问各种资源的（一个或多个）位置。PRM240的使用可帮助确保系统200的鲁棒性。将理解的是，其它实施例可不利用PRM。

如上所述，某些RS214和/或其资源可被（一个或多个）单独服务208访问并被维持。因此，可将这样的资源存储在授权信息数据存储库210之外的（一个或多个）位置（例如，远程内容存储库206）上。同样地，可将在服务之间共享的资源存储在授权信息数据存储库210内。这可帮助减少存储在授权信息数据存储库210上的数据的量，并且因此可帮助降低访问管理服务209的利用。鉴于可由大型面对消费者服务所处理的负荷，这可提供性能优点。因此，系统200可帮助促进基于云的环境中的资源访问策略的高效管理和应用。

此外，由于系统200的分布式性质，在能够支持对HBI信息的要求的环境中不需要托管存储这样的信息的（一个或多个）基于云的存储库（例如，数据存储库210），因为这样的较高安全性由系统200的其它实体（例如，授权管理服务220、密钥存储库226和/或安全令牌服务234）选择性地提供。

附加地，通过提供PG212成员籍、RS214定义以及策略216的基于云的存储，可实现增加的信息恢复力。例如，通过经由数据存储库210的高速缓存器238和/或经由任意一个或多个服务208的高速缓存器236来高速缓存这样的信息中的至少某些，将认识到的是与典型方法相比，所述信息可以是更容易且可靠地可用的。因此，如果诸如数据存储库210之类的一个或多个实体变得经由网络201不可访问（例如，由于调度维持、硬件和/或软件问题等），则可用来确保系统200的完整性的信息仍可经由一个或多个高速缓存机制可用。

图3示出了描绘用于控制对资源的访问的方法300的实施例的流程图。可经由被配置成响应于从与委托人（例如，委托人202）相关联的客户端设备接收到的请求而访问内容的计算设备（例如，提供（一个或多个）服务208的计算设备）来实现方法300。在继续方法300的描述之前，将认识到的是，在某些实施例中可并行地和/或按照不同的次序来执行由方法300提供的任何一个或多个操作。此外，可由单个操作来提供公开操作中的至少某些和/或在各种实施例中可由多个操作来提供单个公开操作。

在302处，方法300包括接收用于供委托人访问资源的请求。请求可被从客户端设备或者从客户端之外的实体（例如，一个或多个中继服务）接收和/或可包括针对RS的请求，其与针对单个资源的请求相反。将认识到的是这些场景是出于示例的目的提出的，并且并不意图以任何方式是限制性的。如上所述，所述资源可包括任何适当类型的资源，包括但不限于内容。

在304处，方法300还包括确定委托人所属的一个或多个PG。如上所描述的，按照任何一个或多个PG中的委托人的成员籍而针对委托人确定访问授权。因此，在某些实施例中，确定304PG可包括从远程存储机器获得306PG信息。作为更特定示例，在某些实施例中，PG信息可被附加到或者否则被提供有从安全令牌服务接收到的安全令牌，其中，所述安全令牌服务从远程存储机器检索PG信息。在其它实施例中，可以任何其它适当方式来获得或提供PG信息。

在某些实施例中，方法300还可以包括在308处本地高速缓存PG信息（例如，经由本地高速缓存器236）。如上所述，在使用会话期间随着委托人请求内容而反复地从远程存储装置获得PG成员籍信息在某些情况下可能是低效的。例如，从其获得这样的信息的远程存储装置与其它的（一个或多个）计算设备、（一个或多个）服务等相比可经历减少的吞吐量。因此，这样的高速缓存可降低这样的远程存储装置被访问的频率。

在310处，方法300还包括获得指示资源所属的RS的RS成员籍信息。例如，从客户端设备接收到的请求可按唯一内容标识符（例如，资源身份136、138）来指定所请求的资源，并且此唯一标识符可用来访问用于所请求资源的RS成员籍信息。例如，在某些实施例中，可从存储PG信息的（一个或多个）数据存储库和/或从其它数据存储库检索这样的成员籍信息。在某些情况下，诸如在请求信息的实体知道资源集合正在被访问的情况下，可省略此步骤。

方法300还包括获得312用于资源和/或委托人分别所属的RS和/或PG的RS访问策略信息。如上所述，RS和PG可表示分别对于资源和委托人而言可以在其上控制访问的最小单位，并且因此访问策略信息可确定需要（一个或多个）什么群组成员籍以获得对资源的访问。

在获得PG、RS以及策略信息后，方法300还包括基于PG成员籍信息和RS访问策略信息（例如，经由一个或多个比较机制）来确定314是否允许委托人访问资源。这样的确定可包括例如识别316所述PG成员籍信息所指示的一个或多个PG，以及识别318所述RS访问策略信息所指示的一个或多个PG。使用此信息，方法300可包括在320处如果PG成员籍信息所指示的一个或多个PG满足RS访问策略信息关于一个或多个PG所指示的规则，则允许委托人访问资源。换言之，如果委托人属于访问资源所需的一个或多个PG，则可在322处基于关联RS中的资源的包括而许可由委托人对资源的访问。另一方面，如果确定委托人不属于RS访问策略信息所识别的一个或多个PG，则访问被拒绝。

代替或附加于PG信息的高速缓存308，在某些实施例中，方法300还可包括利用各种高速缓存机制（未示出）。例如，可经由一个或多个本地和/或远程高速缓存机制（如果可用的话）来获取被用来确定是否将允许访问的各种信息。这样，可在可能时优先地经由（一个或多个）高速缓存机制来获取信息，并且可仅如果信息目前未被高速缓存的话经由（一个或多个）其它机制或（一个或多个）服务来获得信息。在又一些其它实施例中，可在方法300开始后经由一个或多个机制来高速缓存所有这样的信息。虽然这样的配置相比于其它配置而言可能经历增加的初始化时间，但这样的高速缓存仍可提供改善的性能，因为信息具有经由（一个或多个）低等待时间（即，高速缓存）机制为可用的较高概率。

如上文相对于图2所述的，PG、库和策略每个可被所有者/管理者经由授权管理服务来管理。图4示出了描绘方法400的实施例的流程图，方法400用于相对于许多委托人管理用于许多数字资源的安全策略。

方法400包括在402处接收关于一个或多个PG、一个或多个RS以及一个或多个策略规则的所有者的识别信息；并且还可包括使用识别信息来认证404所有者。可例如在授权管理服务处的登录过程期间接收这样的信息。如上所描述的，策略规则按PG来定义针对RS的访问授权，每个PG包括一个或多个委托人，并且每个RS包括一个或多个数字资源。可以任何适当方式来执行作为所有者的管理者的认证。作为一个非限制性示例，识别信息可包括可用来唯一地识别管理者的用户id和/或其它标识。可向远程安全令牌服务（例如，安全令牌服务234）提供唯一识别信息，并且作为响应可返回确认管理者的身份的一个或多个安全令牌。

管理者可能能够作为所有者而修改和/或创建管理者所拥有的任何一个或多个PG、RS和/或策略规则。因此，在406处，方法400包括接收用以向一个或多个RS中的所选RS进行写入的请求（例如通过创建或修改所选RS）。在408处，方法400还包括获得用以向所选RS进行写入的授权。如上所述，存储关于PG、RS和/或策略规则的信息的（一个或多个）存储机器（例如，数据存储库210）可利用一个或多个密钥来确定是否许可用以修改存储信息的授权。因此，在某些实施例中，获得授权可包括获得适当的一个或多个密钥。

一旦已经获得用以向所选RS写入的适当授权，则方法400还可包括在410处向可通过其访问所选RS的远程存储服务发送用以向所选RS进行写入的命令。在某些实施例中，这样的命令的发送可包括与命令一起向远程存储服务提供412用以向所选RS进行写入的授权（例如，经由一个或多个密钥或其它适当机制）。在其它实施例中，在不脱离本公开的范围的情况下，这样的授权可与命令分开地被提供和/或可经由（一个或多个）其它机制来提供。

尽管RS可表示访问可在其上被控制的内容的最小单元，但PG可表示用来做出针对委托人的访问判定的最小单元。因此，方法400还包括在414处接收用以向所选PG进行写入（例如创建、修改、删除）的请求并在416处获得用以向所选PG进行写入的授权。将认识到的是，可经由与用以向所选RS进行写入的授权类似的（一个或多个）机制来获得这样的授权，诸如通过获取一个或多个密钥。一旦已经获取授权，则方法400还包括在418处向远程存储服务发送用以向所选PG进行写入的命令。发送418可包括在420处向远程存储服务提供用以向所选PG进行写入的授权（例如，一个或多个密钥）。将认识到的是，这些场景是出于示例的目的提出的，并且并不意图以任何方式是限制性的。

如上所述，所有者还可具有与也被所述所有者管理的PG和RS有关的一个或多个访问授权策略的所有权。因此，方法400还可包括在422处接收用以向与RS中的一个或多个相关联的一个或多个策略规则（例如通过创建新规则或修改现有规则）中的所选策略规则进行写入的请求，并在424处获得用以向所选策略规则进行写入的授权。方法400还可包括在426处向远程存储服务发送用以向所选策略规则进行写入的命令，其可包括例如向远程存储服务提供428用以向所选策略规则进行写入的授权。

在某些实施例中，所描述的许多数字资源可被多个中继服务（例如，服务208）访问。因此，在某些实施例中，某些策略规则可以是全局策略规则，其适用于所述多个内容服务中的每一个，而其它策略规则可以是适用于一个或多个服务的子集的服务特定策略规则。在基于云的环境中，将认识到的是可由多个管理服务中的每一个来执行方法400，并且这样的管理可针对多个管理者和/或委托人被提供，他们的每一个可被授权来访问和/或修改经由基于云的服务存储的不同数字资源。

公开的实施例与用于管理策略的其它方法和系统相比可提供各种优点，其对于基于云的环境中的大规模的使用而言可能具有挑战性。例如，公开实施例可允许精细地控制对被基于云的服务访问的内容的访问，使得在基于云的服务上托管内容的内容提供者可能能够精细地判定哪些用户和/或设备可以通过PG和RS的使用来访问服务上的内容。同样地，公开实施例还可促进由适用于内容的访问策略的第三方内容所有者进行的多租客存储环境中的自我管理，而没有发现或窜改其它的策略的风险。此外，策略存储和执行的分布式性质可允许在大型面对消费者服务的负荷下的在内容访问运行时的（一个或多个）高效授权判定。附加地，所存储的策略被安全地分布，这可帮助防止在整个系统中的任何点处窜改策略。将认识到的是，可将策略应用于任何类型的内容，只要可以唯一地识别所述内容即可。

在某些实施例中，上面描述的方法和过程可捆绑于一个或多个计算设备的计算系统。特别地，可将这样的方法和过程实现为计算机应用程序或服务、应用编程接口（API）、库和/或其它计算机程序产品。

图5示意性地示出了可以执行上面描述的方法和过程中的一个或多个的计算系统500的非限制性实施例。将理解的是在不脱离本公开的范围的情况下事实上可使用任何计算机架构。在不同实施例中，计算系统500可采取大型计算机、服务器计算机、台式计算机、膝上型计算机、平板计算机、家庭娱乐计算机、网络计算设备、游戏设备、移动计算设备、移动通信设备（例如，智能电话）等形式。

计算系统500包括逻辑子系统502和存储子系统504。计算系统500可以可选地包括显示子系统506、输入子系统508、通信子系统510和/或图5中未示出的其它部件。

逻辑子系统502包括被配置成执行指令的一个或多个物理设备。例如，可将逻辑子系统配置成执行作为一个或多个应用、服务、程序、例程、库、对象、部件、数据结构或其它逻辑结构的一部分的指令。可将这样的指令实现成执行任务、实现数据类型、变换一个或多个部件的状态或者否则达到期望的结果。

逻辑子系统可包括被配置成执行软件指令的一个或多个处理器。附加地或替换地，所述逻辑子系统可包括被配置成执行硬件或固件指令的一个或多个硬件或固件逻辑机器。逻辑子系统的处理器可以是单核或多核的，并且在其上面执行的程序可被配置用于顺序、并行或分布式处理。逻辑子系统可以可选地包括分布在两个或更多设备之间的单独部件，其可以位于远处和/或被配置成用于协调处理。逻辑子系统的各方面可被虚拟化并由以云计算配置被配置的远程可访问的、联网计算设备执行。

存储子系统504包括一个或多个物理、非临时设备，其被配置成保持可由逻辑子系统执行以实现本文所描述的方法和过程的数据和/或指令。当实现这样的方法和过程时，存储子系统504的状态可被变换——例如以保持不同的数据。

存储子系统504可包括可移除媒体和/或内置设备。尤其，存储子系统504可包括光学存储设备（例如，CD、DVD、HD-DVD、蓝光磁盘等）、半导体存储设备（例如，RAM、EPROM、EEPROM等）和/或磁存储设备（例如，硬盘驱动器、软盘驱动器、磁带驱动器、MRAM等）。存储子系统504可包括易失性、非易失性、动态、静态、读/写、只读、随机存取、顺序存取、位置可寻址、文件可寻址和/或内容可寻址设备。

将认识到的是，存储子系统504包括一个或多个物理存储设备。然而，在某些实施例中，与存储设备相反，可经由传输介质用纯信号（例如，电磁信号、光学信号等）来传播本文所描述的指令的方面。此外，可用纯信号来传播关于本公开的数据和/或其它形式的信息。

在某些实施例中，可将逻辑子系统502和存储子系统504的方面一起集成为可通过其执行本文所描述功能性的一个或多个硬件逻辑部件。这样的硬件逻辑部件可包括例如现场可编程门阵列（FPGA）、程序和应用特定集成电路（PASIC/ASIC）、程序和应用特定标准产品（PSSP/ASSP）、片上系统（SOC）系统以及复杂可编程逻辑器件（CPLD）。

将认识到的是，如本文所使用的“服务”可包括跨多个用户会话可执行的应用程序。服务可用于一个或多个系统部件、程序和/或其它服务。在某些实施方式中，服务可在一个或多个服务器计算设备上运行。

当包括时，显示子系统506可用来呈现由存储子系统504保持的数据的视觉表示。所述视觉表示可采取图形用户界面（GUI）的形式。由于本文所描述的方法和过程改变由存储子系统保持的数据，并因此变换存储子系统的状态，所以可同样地将显示子系统506的状态变换成视觉地表示底层数据的改变。显示子系统506可包括实际上利用任何类型的技术的一个或多个显示设备。可在共享外壳中将这样的显示设备与逻辑子系统502和/或存储子系统504组合，或者这样的显示设备可以是外围显示设备。

当包括时，输入子系统508可包括一个或多个用户输入设备或与之对接，诸如键盘、鼠标、触摸屏或游戏控制器。在某些实施例中，输入子系统可包括选择的自然用户输入（NUI）部件或与之对接。这样的部件可以是集成的或外围的，并且可在板上或板外处理输入动作的转换和/或处理。示例性NUI部件可包括用于语音和/或话音识别的麦克风；用于机器视觉和/或手势识别的红外、彩色、立体和/或深度照相机；用于运动检测和/或意图识别的头部跟踪器、眼跟踪器、加速度计和/或陀螺仪；以及用于评估大脑活动的电场传感部件。

当包括时，可将通信子系统510配置成将计算系统500与一个或多个其它计算设备通信地耦合。通信子系统510可包括与一个或多个不同通信协议兼容的有线和/或无线通信设备。作为非限制性示例，可将通信子系统配置成用于经由无线电话网络或有线或无线局域或广域网进行通信。在某些实施例中，通信子系统可允许计算系统500经由诸如因特网之类的网络向和/或从其它设备发送和/或接收消息。

将理解的是，本文所描述的配置和/或方法本质上是示例性的，并且不应在限制性意义上理解这些特定实施例或示例，因为许多变体是可能的。本文所描述的特定例程或方法可表示任何数目的处理策略中的一个或多个。同样地，所示和/或所描述的各种动作可按照所示和/或所描述的顺序、按照其它顺序、并行地被执行或者被省略。同样地，可改变上面描述的过程的次序。

本公开的主题包括本文公开的各种过程、系统和配置、以及其它特征、功能、动作和/或性质的所有新颖和非显而易见的组合和子组合以及其任何和所有等价物。