基于速度事件检测对于云应用的未授权访问的方法和系统

摘要

呈现了一种用于基于速度事件检测对云应用的未授权访问的系统和方法。该方法包括：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于第一时间、第二时间、第一位置和第二位置，计算第一访问尝试与第二访问尝试之间的速度；检查计算出的速度是否大于速度阈值；并且当计算出的速度大于速度阈值时，生成速度事件，其中速度事件指示访问尝试是未授权的。

说明书

本申请是国际申请号为PCT/US2016/063703、国际申请日为2016年11月23日、于2018年05月25日进入中国国家阶段、中国国家申请号为201680069110.0、发明名称为“基于速度事件检测对于云应用的未授权访问的方法和系统”的发明专利申请的分案申请。

技术领域

本公开总体上涉及保护在云计算平台中实现的应用，并且更特别地涉及用于实现对这种应用的应用级访问控制的技术。

背景技术

近年来，增长数目的提供者已经开始提供在云中创建计算环境的能力。例如，在2006中，Amazon Web Services

开发、提供或者以其他方式维持基于云的应用的组织和商业机构已经习惯依赖于这些服务，并且实现从复杂网站到被提供为软件即服务(SasS)递送模型的应用和服务的各种类型的环境。这样的服务和应用被统称为“云应用”。

云应用通常地通过用户使用客户端设备经由网络浏览器访问。除了其他方面，云应用包括电子商务应用、社交媒体应用、企业应用、游戏应用、媒体共享应用、存储应用、软件开发应、等等。许多个体用户、商业和企业变为云应用代替本地安装和管理的“传统的”软件应用。例如，企业可以使用用于电子邮件账户的

当对云应用做出较大的依赖时，保护对这样的云应用的访问变得日益重要。例如，对于在基于云的平台中所执行的电子商务应用而言，必须防止任何未授权访问和/或数据失窃以确保对敏感客户和商业信息(诸如例如信用卡号、姓名、地址，等等)的保护。

云计算平台的提供者(例如，Amazon)提供主要被设计为防止其基础设施被网络攻击(例如，Dos、DDoS等)的各种安全能力。然而，云计算平台未被设计为检测对其中托管的云应用的任何未授权和/或不安全的访问。

如果不是全部，则大多数云应用实现常常限于用户名和密码(亦称登录信息)的本地访问控制。更高级的方案将要求使用例如软件认证和/或两步认证的另一层认证。然而，当前可用的认证方案对于用户的设备而言是不可知的。

也就是说，用户可以使用相同证书从任何客户端设备认证并且具有相同的信任级别和对云应用的功能的许可，而不管被用于访问应用的客户端设备。例如，用户可以使用相同的登录信息从他/她的工作计算机和从他/她的家庭计算机二者访问

由于并非所有客户端设备被配置有相同的安全级别，因而获得对云应用的访问的现有方法使企业暴露于明显的漏洞。参考以上示例，工作计算机可以完全地完全，而家庭计算机可能未安装有反恶意软件。如此，从家庭计算机到敏感文件(例如，电子邮件)的任何访问可以由可能存在于家庭计算机中的恶意代码下载和分布。更重要地，黑客可以仅通过偷窃或者揭露合法用户的登录信息而访问云应用的内容。这样的信息可能通过追踪cookies、投射到非安全网络等容易地被揭露或者被泄露。

进一步地，常规的认证方案未在被管理客户端设备与试图访问云应用的未被管理客户端设备之间进行区分。被管理设备通常地由例如组织的IT人员保护，而未被管理设备却不是。参考以上示例，工作计算机是被管理设备，而家庭计算机是未被管理设备。

因此，提供用于检测对云应用的未授权访问尝试的有效方案将是有利的。

发明内容

本公开的多个示例实施例的发明内容如下。本发明内容被提供以便于向读者提供这样的实施例的基本理解，并且未完全定义本公开的宽度。本发明内容不是所有预期实施例的广泛概述，并且旨在既不标识所有实施例的关键元素或者重要元素也不描绘任何或所有方面的范围。其唯一目的是以简化形式将一个或多个实施例的一些概念呈现为稍后呈现的更详细描述的前序。为了方便起见，术语“一些实施例”在此可以被用于指代本公开的单个实施例或者多个实施例。

所公开的实施例包括用于基于速度事件检测对云应用的未授权访问的方法。方法包括：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于第一时间、第二时间、第一位置和第二位置，计算第一访问尝试与第二访问尝试之间的速度；检查计算出的速度是否大于速度阈值；并且当计算的速度大于速度阈值时，生成速度事件，其中速度事件指示第二访问尝试是未授权的。

所公开的实施例还包括用于基于速度事件检测对云应用的未授权访问的方法的系统。系统包括：处理单元；以及存储器，存储器包含指令，所述指令当由处理单元执行时，将系统配置为：标识在第一时间并且从第一位置对云应用的第一访问尝试；标识在第二时间并且从第二位置对云应用的第二访问尝试；基于第一时间、第二时间、第一位置和第二位置，计算第一访问尝试与第二访问尝试之间的速度；检查计算出的速度是否大于速度阈值；并且当计算出的速度大于速度阈值时，生成速度事件，其中速度事件指示第二访问尝试是未授权的。

附图说明

本公开的实施例的前述和其他目标、特征和优点将从结合附图的以下详细描述变得明显。

图1是用于描述所公开的实施例的网络化系统的示意图。

图2是根据一个实施例的图示被管理代理的操作的流程图。

图3是根据实施例的被管理代理的块图。

图4和图5是根据实施例的图示风险得分的计算的决策模型树。

具体实施方式

重要的是，注意在此所公开的实施例仅是在此创新教导的许多有利使用的示例。一般来说，在本申请的说明书中做出的陈述不必限制各种权利要求中的任一项。而且，一些陈述可以适用于一些发明特征而不适用于其他发明特征。一般而言，除非另外指示，否则在不损失一般性的情况下，单数元素可以为复数并且反之亦然。在附图中，相同附图标记贯穿多个视图指代相同部分。

图1是用于描述各种所公开的实施例的网络化系统100的示例性和非限制示图。网络化系统100包括云计算平台110，其可以是私有云、公共云或者混合云，其将计算资源提供到在其中执行的应用或者服务。在示例性图1中，在平台110中执行多个云应用115-1到115-n(在下文中单独地被称为云应用115并且共同地被称为云应用115)。如上所述，除了其他方面，云应用可以包括电子商务应用、协作应用、办公室和消息应用、社交媒体应用、企业应用、游戏应用、媒体共享应用，等等。

网络化系统100还包括被管理代理120、客户端设备130-1和130-2和单点登录(SSO)服务器140，它们通信地连接到网络160。网络160可以是例如广域网(WAN)、局域网(LAN)、因特网等。客户端设备130-1和130-2中的每个客户端设备可以包括例如个人计算机、膝上型电脑、平板计算机、智能电话、可穿戴计算设备或者任何其他计算设备。客户端设备130-1和130-2中的任一个可以是被管理设备或者未被管理设备。客户端设备130-1和130-2可以属于相同用户或者可以是相同设备。仅图示两个客户端设备以在根据两个不同的地理位置并且在没有对所公开的实施例中的任一个的限制的情况下所执行的访问尝试之间进行区分。

应当注意，虽然仅出于简单性的缘故在图1中描绘了两个客户端设备130，但是在此所公开的实施例可以被应用到多个客户端设备。

SSO服务器140允许客户端设备130的用户登录一次并且在不被提示在其中的每一个处再次登录的情况下获得对企业的系统/应用的访问。为此目的，SSO服务器140通常地利用轻量目录访问协议(LDAP)数据库和/或持久cookies。在实施例中，访问任何云应用115的请求从客户端设备130中的任一个被发送到SSO服务器140。在该实施例中，被管理代理120被配置为认证这样的请求，如下面将详细描述的。在某些实现中，Idp供应可以代替SSO服务器140而被使用。

根据所公开的实施例，对云应用115或者其部件中的任一个的访问由被管理代理120控制并且被实施。被管理代理120被配置为支持任何基于令牌的认证协议。这样的协议包括但不限于

根据所公开的实施例，为了访问应用115，客户端设备(诸如例如设备130-1)借助于其网络浏览器接收云应用115的登录网页。然后，客户端设备130-1被引导到SSO服务器140。当用户由SSO服务器140成功地认证时，认证令牌从SSO服务器140被传送到被管理代理120。在一个实现中，SSO服务器140被配置为将客户端设备130-1的浏览器重定向到被管理代理120。如果被管理代理120未授予用户对云应用的访问，则错误页面被返回到用户。在一些实现中，在检测到授权的访问时，仅有限访问(例如，仅查看模式、禁用下载文档等)被授予给应用。

在实施例中，被管理代理120被配置为基于速度事件的标识，确定是否授予客户端设备130-1或130-2对云应用115的访问。速度事件被定义为在给定访问尝试之间的距离中的差未足够长的时间间隔期间由用户对相同应用或者不同应用的两个后续或者访问尝试。访问尝试是可以导致访问云应用115中的信息的任何动作，并且可以是但不限于登录应用、查看文档、上载文件、下载文件，等等。在实施例中，不成功的访问尝试可以出于标识速度事件的目的而被忽略。在实施例中，与用于当前访问尝试的所确定的速度相比较，访问尝试之间的时间长度的足够性可以基于预定义速度(例如，民航班机的速度)。

特别地，被管理代理120被配置为检测速度事件并且基于针对云应用115或者云平台110定义的安全策略来采取保护动作。策略可以阻止对云应用115的访问、提升安全警报、忽略速度事件、仅授予对云应用115的有限访问，等等。每个速度事件表示潜在地未授权的访问。在实施例中，可以部分地基于关于从SSO服务器140接收或者取回的访问尝试的信息，由被管理代理120检测速度事件。

速度事件在两个访问尝试不可能由相同用户执行时被检测。被管理代理120被配置为确定访问尝试的位置之间的差以及访问尝试之间的时间差。基于所确定的距离和时间差，从先前位置成功地行进到后续位置所要求的最小速度被确定。在实施例中，该所要求的速度可以与表示用户的最大可能速度的预定义阈值速度相比较。如果所要求的速度大于预定义阈值速度，则速度事件可以被检测并且对云应用115的访问可以被阻止。

作为检测速度事件的非限制性示例，被管理代理120在纽约在下午1：00接收到关于云应用访问尝试的信息。随后地，被管理代理120还在内华达拉斯维加斯在下午3：00从相同用户接收关于访问尝试的信息。在该示例中，对于用户的预定义阈值速度是450英里每小时(在用户乘在旅行期间平均450英里每小时的商业航线的情况下所得到的速度)。拉斯维加斯与纽约之间的距离被确定为是粗略地2250英里。时间差被确定为是2小时。因此，所要求的速度被确定为是1125英里每小时。由于所要求的速度超过预定义阈值速度，因而被管理代理120确定尝试的访问是非法的并且阻止对云应用的访问。

在实施例中，关于已经执行访问尝试的信息从SSO服务器140被取回。用户可以由用户名、用户ID或者任何其他唯一标识符标识。

在实施例中，被管理代理120被配置为检测跨两个或两个以上不同的网络应用的速度事件(在下文中“跨应用速度事件”)。跨应用速度事件在访问第一云应用115-1的用户试图从相同或者不同的客户端设备130访问另一云应用115-2时发生，使得速度事件被检测。检测可以基于关于从SSO服务器140接收到的两个或两个以上访问尝试的信息。作为非限制性示例，如果用户首先在宾夕法尼亚的费城访问电子邮件应用，并且5分钟之后在加利福尼亚的圣何塞访问云存储应用，则跨应用速度事件可以被检测。

特别地，访问第一云应用115的每个尝试的时间和位置被检测，而不管应用。对上文指出的时间和位置各自确定速度事件。在检测到速度事件时，被管理代理120被配置为基于至少一个规则，采取保护措施。保护措施可以包括但不限于阻止对云应用115的访问、提升安全警报、忽略速度事件或者仅授予对云应用115的有限访问。至少一个规则可以被预定义。在实施例中，在检测到速度事件时，被管理代理120可以从用户已经连接到的应用115登出用户。

跨应用访问尝试的标识基于例如用户名、用户的群组或者部门、尝试访问的时间、正被访问的应用，等等。这样的信息可以从例如SSO服务器140、目录服务(例如，LDAP)等被获得。

作为跨应用访问拒绝的非限制性示例，公司给其员工提供对电子邮件应用和云存储应用的访问。操作客户端设备130-1的用户从NY成功地登录到电子邮件应用。几分钟之后，检测到从NV并且使用相同的用户名对云存储应用115的另一访问尝试。即使对不同的云存储应用115做出尝试，场景也将触发速度事件。

在实施例中，与由用户所执行的成功或者不成功的任何访问尝试有关的属性由被管理代理120采集并且被添加到用户简档。在实施例中，用户简档被用于随时间学习合法用户的行为，从而减少对云应用115的访问的假肯定警报或者拒绝的发生。

在非限制性示例中，风险得分基于用户简档而被计算。风险得分减小假肯定警报的可能性。关于图4下面在此进一步描述了风险得分的示例性确定。

在优选的实施例中，针对速度尝试计算的风险得分可以与某个阈值相比较。阈值可以针对用户和/或针对不同的应用不同。例如，组织的新员工可以被设置有指示用于速度事件的高灵敏度的低阈值，然而资深员工可以被设置有指示对速度事件的低灵敏度的高阈值。进一步地，维持秘密应用的应用可能对于速度事件是较低容忍的(高阈值)。阈值可以被保存在用户简档中。用户可以各自对不同的应用被分配不同的阈值。

在实施例中，风险得分的相应的计算出的速度事件可以由被管理代理120考虑以确定用于云应用115的总体威胁。

在实施例中，用户简档还定义多个用户属性，包括例如用户身份(例如，用户名)、用户组(例如，HR部门)和用户账户历史。用户账户历史各自对由用户账户相关联的过往用户活动(通常地，可疑活动和/或恶意活动)来定义。在实施例中，账户历史包括从其对云应用的过往登录访问已经被执行的位置和/或时间。例如，用户账户历史可以定义在尝试在纽约访问用户的电子邮件之后五分钟发生的在加利福尼亚访问用户的电子邮件的先前尝试。用户账户历史还可以定义用户的习惯，诸如例如登录的时间和频率(例如，上午在9点与下午5点之间用户平均每小时一次访问其电子邮件)、访问云应用的先前次序(例如，用户在访问其云存储账户之前已经先前地访问其电子邮件账户，而不是反之亦然)等。

在实施例中，可以对过往位置进行分类，使得其被认为是客户端设备130的风险的、已知的和/或可靠的位置。位置由例如其源IP地址确定。在实施例中，位置确定还可以基于用于基于IP地址解析位置的一个或多个规则。位置属性可以是基于但不限于以下各项被分配到特定位置的可靠性得分：可疑活动的已知源、用户账户历史中的用户的已知位置等。

应当理解，在此所公开的实施例不限于图1中所图示的特定架构，并且在不脱离所公开的实施例的范围的情况下，其他架构可以被使用。特别地，被管理代理120可以驻留在云计算平台110、不同的云计算平台或者可连接到云计算平台的数据中心中。而且，在实施例中，可以存在多个被管理代理120，其如上文所描述地操作并且被配置为具有作为独立代理的一个，以在故障的情况下采取控制、在他们之间共享负载或者在他们之间分割功能。

应当注意，仅出于示例性目的而非对所公开的实施例的限制示出被管理代理120。在实施例中，代理120可以以其他配置被部署在网络中并且仍然提供所公开的实施例。进一步地，用于检测速度事件的所公开的实施例可以由可互换地连接到云平台110和SSO 140的其他类型的安全系统执行。关于访问尝试的信息和确定速度事件要求的任何信息可以通过应用程序接口(API)从SSO 140和/或云平台110被取回。进一步地，速度警报的任何检测可以通过API而被报告。

图2描绘了根据实施例的图示被管理代理120的操作的示例性和非限制性流程图200。在S210中，第一访问尝试被标识。标识包括确定访问尝试的位置和时间。每个访问尝试可以基于关于从SSO服务器(例如，SSO服务器140)接收或者取回的登录和尝试访问而被检测。访问尝试的位置可以基于例如请求登录的设备的源因特网协议(IP)地址而被确定。第一访问尝试的时间可以在第一访问尝试时被确定并且被记录。

在S220中，第二访问尝试被标识。标识包括确定第二访问尝试的时间和位置。访问尝试的位置可以基于例如请求登录的设备的源因特网协议(IP)地址而被确定。第二访问尝试可以用于与第一尝试相同的应用，或者用于跨应用登录。关于图1上文在此进一步描述了跨应用登录。在S230中，所要求的速度被确定。第一访问尝试的位置与第二访问尝试的位置之间的距离被确定。此外，第一访问事件的时间与第二访问事件的时间之间的时间差被确定。所要求的速度被确定为所确定的距离除以所确定的时间差的商。例如，其中相隔2小时做出访问尝试的位置之间的100英里的距离将产生50英里每小时的所要求的速度。应当注意，在不脱离所公开的实施例的范围的情况下，可以使用用于时间、距离和/或速度的任何测量单位。

在S240中，所要求的速度(VR)与预定义阈值速度(VT)相比较以确定所要求的速度是否超过阈值速度。如果是的话，执行继续进行S250；否则，执行继续进行到S260。

在S250中，在确定所要求的速度超过阈值速度时，速度事件被标识并且检查速度事件是否表示访问云应用的欺骗性尝试。如果是的话，执行继续进行到S270；否则，执行继续进行到S260。

为了确定访问尝试是否是欺骗性的，可以使用决策树计算风险得分。风险得分可以被用于确定速度事件是否是假肯定。不管速度事件的检测如何，假肯定在第二访问尝试不是欺诈性的时发生。作为非限制性示例，不管触发速度事件如何，经由虚拟专用网络(VPN)连接的访问尝试可能不是欺骗性的。风险得分的计算可以基于与如在用户简档中所维持的先前访问尝试有关的信息。关于图4下面在此进一步描述了风险得分的计算。

应当注意，在一些实施例中，风险得分可能不需要被计算。在这样的实施例中，在检测到速度事件时，在未确定速度事件是否是假肯定的情况下，对云应用的访问可以被阻止。

在S260中，如果没有速度事件被检测或者如果所检测的速度事件未与欺骗性的访问尝试相关联，则对云应用的访问被授予。授予的访问可以被限制。在实施例中，对云应用的访问可以仅在风险得分超过预定义阈值的情况下被授予。在另一实施例中，与访问有关的信息可以被存储用于未来使用。这样的未来使用可以包括但不限于基于与授予的访问尝试相关联的属性来确定决策树。

在S270中，访问尝试被标识为欺骗性的并且被阻止。在另一实施例中，S270还可以包括生成关于阻止的访问尝试的警报。在某些实现中，对云应用的限制访问可以被授予，对已记录的应用的访问可以被阻止等。

图3示出了根据实施例构建的被管理代理120的示例性和非限制性块图。被管理代理120可以被部署在云计算平台、数据中心中，或者作为独立网络设备。被管理代理120被配置为基于关于图1如上文更详细描述的访问策略，至少控制并且实施对云服务的访问。

被管理代理120包括耦合到存储器315的处理单元310、应用级访问控制模块320以及存储模块330。存储器315包含指令，其当由处理单元310执行时，将管理代理120配置为执行在此所描述的实施例。

处理单元310可以包括或者是利用一个或多个处理器实现的较大处理系统的部件。一个或多个处理器可以利用以下各项的任何组合被实现：通用微处理器、微控制器、微控制器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、可编程逻辑器件(PLD)、控制器、状态机、门逻辑、分立硬件部件、专用硬件有限状态机或者可以执行信息的计算或者其他操纵的任何其他适合的实体。

处理单元310还可以包括用于存储软件的机器可读介质。软件应当宽广地被解释为意味着任何类型的指令，无论被称为软件、固件、中间件、微代码、硬件描述语言还是以其他方式。指令可以包括代码(例如，以源代码格式、二进制代码格式、可执行代码格式或者代码的任何其他适合的格式)。当由一个或多个处理器执行时，指令使得处理系统310执行在此所描述的各种功能。

访问控制模块320被配置为基于速度来验证对云应用的尝试的未授权的访问。因此，访问控制模块标识每个访问尝试的位置和时间。例如，一个访问尝试可以在下午4：00在新泽西的霍博肯的尝试登录。访问控制模块320还被配置为确定多个访问尝试的位置之间的差以及多个访问尝试之间的时间差。基于所确定的距离和时间差，从先前位置成功地行进到后续位置所要求的最小速度被确定。在实施例中，该所要求的速度可以与表示用户的最大可能速度的预定义阈值速度相比较。如果所要求的速度大于预定义阈值速度，则访问控制模块320检测速度事件并且可以阻止对云应用的尝试的访问。

在实施例中，在检测到速度事件时，访问控制模块320还可以被配置为基于所确定的风险得分，确定检测到的速度事件是假肯定(即，即使速度事件已经被检测到，第二尝试访问也是合法的)。关于图4下面在此进一步描述了风险得分的确定。如果所检测的速度事件是假肯定，则访问控制模块320被配置为授予对云应用的访问。

在实施例中，访问控制模块320还被配置为在接收到访问云应用的请求时，标识在存储模块330中的用户简档中所维持的用户属性。用户属性可以包括例如用户名、用户的群组或者部门、尝试访问的时间、正被访问的应用、过往登录活动、过往登录位置等。存储模块330被配置为至少维持用于每个云应用的多个访问策略。请求可以包括认证令牌。关于图2上文在此更详细地讨论了访问控制模块320的操作。

图4是根据实施例的图示风险得分的计算的示例性和非限制性决策模型树400。决策模型树400可以基于例如与被授予的先前访问尝试相关联的属性。在实施例中，决策模型树400可以基于由用户(例如，企业的系统管理员)被标识为有效访问尝试的指示符的用户属性。在实施例中，决策模型树400可以基于一个或多个速度事件的检测而被自动地开发。在另一实施例中，决策模型树400可以基于用户活动(诸如例如用户访问尝试)而被动态地更新。

树中的每个节点410被配置为将要求“R”与访问尝试的相应的用户属性“a”相比较。关于图1上文在此进一步描述了用户属性。在每个节点410处做出的比较可以是以下各项中的任一项：大于、小于、等于、不等于、恒等，等等。比较可以基于数值、布尔值、字符串，等等。

树400的每个叶420表示风险得分。即，为了确定风险得分，树400从根节点410-1通过其他节点410行进直到到达叶420为止。每个叶420可以基于具有与即时速度事件类似属性的相对数目的先前的真速度事件。例如，如果所标识的速度事件具有与高数目的先前速度事件类似的属性，则速度事件是“真”速度事件(即，非假肯定)的可能性将是高的。因此，在该示例中，由与那些属性相关联的叶420所表示的风险得分将是高的。

作为非限制性示例，分别在410-1、410-2和410-4处比较要求和访问属性对、和。在该示例中，风险得分在从1到9的数值范围内，其中9指示速度事件是真速度事件(即，非假肯定)的高可能性，并且1指示速度事件不是真速度事件(即，其是假肯定)的高可能性。在410-1、410-2和410-4处的比较分别基于用户标识的属性、设备姿态和位置。

在该示例中，通过树400的流在节点的要求“R”被属性“a”满足向左移动，并且在要求“R”未被属性“a”满足时向右移动。要求R1被属性a1满足，从而在节点410-2处触发比较。R2未被a2满足，因为确定设备姿态未指示所要求的安全更新，从而在节点410-4处触发比较。要求R4被属性a4满足，从而导致在叶420-3中所表示的3的风险得分。应当注意，在不脱离所公开的实施例的范围的情况下，其他风险得分可以由叶420-3表示。

在实施例中，由每个叶所表示的风险得分还可能受属性的值和/或由分配到每个节点的加权排名影响。例如，在树400中，节点410-2可以被加权超过节点410-1和410-4。在该示例中，a2满足或者未能满足R2的程度可以更改由叶420-3和420-4所表示的风险得分(例如，增加风险得分、减小风险得分、将风险得分改变到预定得分等)。例如，如果通过客户端设备连接的ISP不是企业ISP而是用户的家庭ISP，则叶420-3的风险得分可以稍微增加(例如，从3到4)。如果设备姿势指示安全更新过时数个版本，则叶20-3的风险得分可以被减小(例如，从3到2)。

图5示出了根据实施例的图示风险得分的计算的示例性和非限制性决策模型树500。应当注意，决策模型树400和500是示例性的并且未限制各种所公开的实施例中的任一实施例。在不脱离所公开的实施例的范围的情况下，可以利用其他组织和树的类型。

在此所公开的各种实施例可以被实现为硬件、固件、软件或其任何组合。此外，软件优选地被实现为有形地被实现在程序存储单元或者包括零件、某些设备和/或设备的组合的计算机可读介质上的应用程序。应用程序可以被上载到包括任何适合的架构的机器并且由机器执行。优选地，机器被实现在具有硬件(诸如一个或多个中央处理单元(“CPU”)、存储器和输入/输出接口)的计算机平台上。计算机平台还可以包括操作系统和微指令代码。在此所描述的各种过程和功能可以是或者微指令代码的一部分或者应用程序的一部分，或者其任何组合，其可以由CPU执行，无论这样的计算机或处理器是否明确地示出。另外，各种其他外围单元可以被连接到计算机平台(诸如附加数据存储单元和打印单元)。此外，非暂态计算机可读介质是除了暂态传播信号之外的任何计算机可读介质。

应当理解，使用诸如“第一”、“第二”等的指示对在此元素的任何引用通常未限制那些元素的数量或者次序。相反，这些指示通常在此被用作在两个或两个以上元素或者元素的实例之间区分的方便方法。因此，对第一元素和第二元素的引用不意味着在那里可以采用仅两个元素或者第一元素必须以某种方式在第二元素之前。而且，除非另外说明，否则元素集包括一个或多个元素。另外，在说明书或者权利要求中使用的形式“A、B或C中的至少一个”或“A、B或C中的一个或多个”或“包括A、B和C的组中的至少一个”或“A、B和C中的至少一个”的术语意味着“这些元素中的A或B或C或任何组合”。例如，该术语可以包括A、或B、或C、或A和B、或A和C、或A和B和C、或2A、或2B、或2C，等等。

在此记载的所有示例和条件语言出于教学目的旨在辅助读者理解所公开的实施例的原理以及发明人对领域贡献的概念，并且将被理解为不限于这样的特别地记载的示例和条件。此外，记载原理、方面和实施例以及其特定示例的在此所有陈述旨在涵盖结构等同物和其功能等同物二者。此外，应当预期到，这样的等同物包括当前已知等同物以及在未来开发的等同物(也即，执行相同功能而不管结构如何的任何开发的元素)二者。