WO2021103599A1

WO2021103599A1 - 一种签约信息的处理方法、装置及设备

Info

Publication number: WO2021103599A1
Application number: PCT/CN2020/103739
Authority: WO
Inventors: 李世昆; 胡力; 靳维生; 曾正洋
Original assignee: 华为技术有限公司
Priority date: 2019-11-26
Filing date: 2020-07-23
Publication date: 2021-06-03
Also published as: EP4047968A1; CN112954694A; CN112954694B; EP4047968A4; US20220286855A1

Abstract

本申请公开了一种签约信息的处理方法、装置及设备，包括：接入控制设备获取来自目标网络设备的授权信息，授权信息包括第一终端的标识以及针对于签约信息的授权操作指示信息；并获取来自第二终端的签约信息处理请求，签约信息处理请求包括第二终端的标识；当第一终端的标识与第二终端的标识相匹配时，接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息进行处理。在目标网络设备给予授权信息的情况下，接入控制设备才对第二终端的签约信息进行相应处理，这样，可以提高处理终端的签约信息时的合法性。

Description

一种签约信息的处理方法、装置及设备

本申请要求于2019年11月26日递交中国专利局、申请号为201911176692.4，发明名称为“一种签约信息的处理方法、装置及设备”的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本申请涉及通信技术领域，特别是涉及一种签约信息的处理方法、装置及设备。

背景技术

在第三代合作伙伴计划(3rd generation partnership project，3GPP)、MulteFire、未授权频带上的长期演进(long term evolution-unlicensed，LTE-U)等制式通信系统中，终端是否能够接入网络以及终端接入网络后所享受到的服务质量，通常取决于终端与该网络之间的签约信息。比如，当终端不具有与该网络之间的签约信息时，终端可能无法接入该网络；或者，当终端与该网络之间的签约信息表征该网络为终端提供10M(兆)带宽时，该网络最多为该终端提供10M带宽对应的服务，而无法享受更高带宽对应的服务。

当终端与网络之间的签约信息需要发生变动时，该签约信息变动的合法性是目前需要重点关注的问题。

发明内容

本申请实施例提供了一种签约信息的处理方法，以提高签约信息的变动时的合法性。

第一方面，本申请实施例提供了一种签约信息的处理方法，所述方法包括：接入控制设备获取来自目标网络设备的授权信息，所述授权信息包括所述第一终端的标识以及针对于所述第一终端的签约信息的授权操作指示信息；所述接入控制设备获取来自第二终端的签约信息处理请求，所述签约信息处理请求包括所述第二终端的标识；当所述第一终端的标识与所述第二终端的标识相匹配时，所述接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息进行处理，所述第二终端的标识对应的签约信息预先存储于所述接入控制设备。在该实施方式中，在目标网络设备给予授权信息的情况下，接入控制设备才对第二终端的签约信息进行相应处理，这样，即使终端被非法盗用，并单方面的请求对该终端的签约信息进行处理，由于该终端当前的操作者无法触发目标网络设备向接入控制设备发送针对于该终端的签约信息，因此，接入控制设备仅基于终端单方面的请求并不会对该终端对应的签约信息进行处理，从而可以提高处理终端的签约信息时的合法性。

在一种可能的实施方式中，所述方法还包括：所述接入控制设备对所述第二终端进行身份验证；则当所述第一终端的标识与所述第二终端的标识相匹配时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理，具体为：当所述第一终端的标识与所述第二终端的标识相匹配，并且，所述第二终端通过身份验证时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。在该实施方式中，接入控制设备在对第二终端的签约信息进行处理之前，还可以验证第二终端的身份是否合法，并且，在第二终端通过身份验证的情况下，才对第二终端的签约信息进行处理，这样可以避免请求处理签约信息的终端不合法时对第二终端的签约信息进行处理，比如，非法终端请求接入控制设备对第二终端的签约信息进行处理等。

在一种可能的实施方式中，所述接入控制设备对所述第二终端进行身份验证，包括：所述接入控制设备向所述第二终端发送第一挑战值以及第二随机数，所述第一挑战值由所述接入控制设备根据第一关键值以及来自所述第二终端的第一随机数计算得到，所述第一关键值由所述接入控制设备根据来自所述第二终端的标识进行确定；所述接入控制设备根据所述第一关键值以及所述第二随机值计算出响应值；当所述响应值与来自所述第二终端的第二挑战值相同时，所述接入控制设备确定所述第二终端通过身份验证，所述第二挑战值是基于所述第二终端上的第二关键值与所述第二随机数计算得到。在该实施方式中，接入控制设备具体可以是采用挑战-应答的方式对第二终端的合法性进行验证，可以实现第二终端与接入控制设备之间的双向验证，当第二终端与接入控制设备之间存在任何一方的合法性出现问题时，该第二终端的签约信息均无法被处理，从而可以进一步提高处理签约信息的安全性。

在一种可能的实施方式中，当所述第一终端的标识与所述第二终端的标识相匹配时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理，具体为：当所述第一终端的标识与所述第二终端的标识相匹配，且，所述接入控制设备接收所述授权信息的时长不超过所述授权信息的有效时长时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。在该实施方式中，授权信息具有一定的有效期，在该授权信息的有效期内，接入控制设备可以对该相应终端的签约信息进行处理，而当该授权信息超出有效时长后，该接入控制设备可以拒绝对该终端的签约信息进行处理，从而可以避免第二终端一次请求对签约信息进行处理后，后期可能在不合法的情况下仍然能够对签约信息进行处理。

在一种可能的实施方式中，所述授权操作指示信息用于指示对所述第一终端的签约信息进行删除或更新。

在一种可能的实施方式中，当所述授权操作指示信息用于指示对所述第一终端的签约信息进行更新时，所述授权信息还包括更新的签约信息。在该实施方式中，接入控制设备可以从接收到的授权信息中解析出更新的签约信息，从而利用该更新的签约信息对已保存的签约信息进行更新。

在一种可能的实施方式中，所述方法还包括：当所述接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息的处理完成时，所述接入控制设备删除所述来自目标网络设备的授权信息。在该实施方式中，当接入控制完成签约信息的处理后，可以将接收到的授权信息进行删除，这样，当第二终端再次请求对该第二终端的签约信息进行处理时，若没有目标网络设备的再次授权，接入控制设备可以拒绝处理该签约信息，从而可以避免第二终端的非法使用者请求对该第二终端的签约信息进行非法操作。

第二方面，本申请实施例还提供了一种签约信息的处理装置，所述装置应用于接入控制设备，所述装置包括：

第一获取模块，用于获取来自目标网络设备的授权信息，所述授权信息包括所述第一终端的标识以及针对于所述第一终端的签约信息的授权操作指示信息；第二获取模块，用于获取来自接入网设备的处理请求，所述处理请求包括针对于第二终端的标识；处理模块，用于当所述第一终端的标识与所述第二终端的标识相匹配时，基于所述授权操作指示信息对所述第二终端的标识对应的签约信息进行处理，所述第二终端的标识对应的签约信息预先存储于所述接入控制设备。

在一种可能的实施方式中，所述装置还包括：验证模块，用于对所述第二终端进行身份验证；则所述处理模块，具体用于当所述第一终端的标识与所述第二终端的标识相匹配，并且，所述第二终端通过身份验证时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。

在一种可能的实施方式中，所述验证模块，包括：发送单元，用于向所述第二终端发送第一挑战值以及第二随机数，所述第一挑战值由所述接入控制设备根据第一关键值以及来自所述第二终端的第一随机数计算得到，所述第一关键值由所述接入控制设备根据来自所述第二终端的标识进行确定；计算单元，用于根据所述第一关键值以及所述第二随机值计算出响应值；确定单元，用于当所述响应值与来自所述第二终端的第二挑战值相同时，所述接入控制设备确定所述第二终端通过身份验证，所述第二挑战值是基于所述第二终端上的第二关键值与所述第二随机数计算得到。

在一种可能的实施方式中，所述处理模块，具体用于当所述第一终端的标识与所述第二终端的标识相匹配，且，所述接入控制设备接收所述授权信息的时长不超过所述授权信息的有效时长时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。

在一种可能的实施方式中，当所述授权操作指示信息用于指示对所述第一终端的签约信息进行更新时，所述授权信息还包括更新的签约信息。

在一种可能的实施方式中，所述装置还包括：删除模块，用于当所述接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息的处理完成时，删除所述来自目标网络设备的授权信息。

由于第二方面提供的签约信息的处理装置，对应于第一方面提供的签约信息的处理方法，故第二方面提供的签约信息的处理装置的各种可能的实施方式，可以参照第一方面提供的签约信息的处理方法的各种可能的实施方式。

第三方面，本申请实施例还提供了一种设备，所述设备包括处理器和存储器，所述处理器与存储器耦合；所述存储器用于存储计算机程序或指令；所述处理器用于执行所述计算机程序或指令，使得上述第一方面中任一种可能的实施方式所述的签约信息的处理方法被执行。

第四方面，本申请实施例还提供了一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行上述第一方面中任一种可能的实施方式所述的签约信息的处理方法。

第五方面，本申请实施例还提供了一种计算机可读存储介质，存储有用于实现上述第一方面中任一种可能的实施方式所述的签约信息的处理方法的程序。例如，当该程序在接入控制设备而中运行时，使得该接入控制设备执行第一方面中任一种可能的实施方式所述的签约信息的处理方法。

第六方面，本申请实施例提供了一种计算机程序产品，该程序产品包括程序，当该程序被运行时，使得上述第一方面中任一种可能的实施方式所述的签约信息的处理方法被执行。

在本申请实施例的上述实现方式中，在对终端的签约信息进行处理之前，接入控制设备可以获取来自目标网络设备的授权信息，该授权信息包括第一终端的标识以及针对于该第一终端的签约信息的授权操作指示信息，这样，接入控制设备基于该授权信息可以确定当前允许对第一终端的签约进行相应的处理；然后，接入控制设备可以获取来自第二终端的签约信息处理请求，该处理请求包括第二终端的标识；接着，当签约信息处理请求中的第二终端的标识与授权信息中的第一终端的标识相匹配时，表明第一终端与第二终端是同一终端，从而接入控制设备对该第二终端的签约信息执行的处理操作为合法的操作，此时，接入控制设备可以基于该授权操作指示信息对该第二终端的标识对应的签约信息进行处理，该第二终端的标识对应的签约信息预先存储于该接入控制设备。可见，本实施例中，在目标网络设备给予授权信息的情况下，接入控制设备才对第二终端的签约信息进行相应处理，这样，即使终端被非法盗用，并单方面的请求对该终端的签约信息进行处理，由于该终端当前的操作者无法触发目标网络设备向接入控制设备发送针对于该终端的签约信息，因此，接入控制设备仅基于终端单方面的请求并不会对该终端对应的签约信息进行处理，从而可以提高处理终端的签约信息时的合法性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1为本申请实施例中一种示例性应用场景的结构示意图；

图2为本申请实施例中一种签约信息的处理方法的流程示意图；

图3为本申请实施例中一种结合一示例性场景的签约信息的处理方法的信令交互示意图；

图4为本申请实施例中一种结合另一示例性场景的签约信息的处理方法的信令交互示意图；

图5为本申请实施例中一种签约信息的处理装置的结构示意图；

图6为本申请实施例中一种设备的硬件结构示意图。

具体实施方式

接入网络的终端，通常会在网络中存储有相应的签约信息，该签约信息可以使得终端具有接入该网络的权限以及网络为该终端提供相应质量的服务。而实际应用的众多场景中，该终端与网络之间的签约信息可能需要发生变动，比如，当企业回收终端时，可能会对该终端进行复位处理，相应的，网络需要针对于该经过复位处理后的终端,删除其在网络中已存储的签约信息。

但是，发明人经研究发现，直接复位终端使得网络删除该终端对应的签约信息，存在一定的安全隐患。比如，当存在非法用户盗用该终端，并且直接对该终端进行复位后，若网络基于该操作删除该终端的签约信息，则可能会使得非法用户能够开始使用该终端，或者用于其它用途。因此，当终端的签约信息需要发生变动时，其合法性需要予以关注。

基于此，本申请实施例提供了一种签约信息的处理方法，旨在提高处理终端的签约信息时的合法性。具体的，在对终端的签约信息进行处理之前，接入控制设备可以获取来自目标网络设备的授权信息，该授权信息包括第一终端的标识以及针对于该第一终端的签约信息的授权操作指示信息，这样，接入控制设备基于该授权信息可以确定当前允许对第一终端的签约进行相应的处理；然后，接入控制设备可以获取来自第二终端的签约信息处理请求，该处理请求包括第二终端的标识；接着，当签约信息处理请求中的第二终端的标识与授权信息中的第一终端的标识相匹配时，表明第一终端与第二终端是同一终端，从而接入控制设备对该第二终端的签约信息执行的处理操作为合法的操作，此时，接入控制设备可以基于该授权操作指示信息对该第二终端的标识对应的签约信息进行处理，该第二终端的标识对应的签约信息预先存储于该接入控制设备。可见，本实施例中，在目标网络设备给予授权信息的情况下，接入控制设备才对第二终端的签约信息进行相应处理，这样，即使终端被非法盗用，并单方面的请求对该终端的签约信息进行处理，由于该终端当前的操作者无法触发目标网络设备向接入控制设备发送针对于该终端的签约信息，因此，接入控制设备仅基于终端单方面的请求并不会对该终端对应的签约信息进行处理，从而可以提高处理终端的签约信息时的合法性。

作为一种示例，本申请实施例的技术方案可以应用于如图1所示的类似无线局域网(wireless local area network，WLAN)瘦AP(接入点)+AC(接入控制器)极简部署架构/协议的示例性通信系统。在该通信系统100中，宽带接入控制器(wide-band access point controller，WBAC)101可以与多个宽带接入点(wide-band access point，WBAP)进行连接，如图1所示，WBAC101可以分别与WBAP1021、WBAP1022、WBAP1023通过有线或者无线进行连接，每个WBAP均可以接入宽带客户终端设备(wide-band customer premises equipment，WBCPE)，图1中以WBAP1021接入WBCPE103作为示例，同时，WBAC101可以与运营商(如通信运营商或者行业运营商等)服务器104进行连接。

在WBAC101处理该WBCPE103对应的签约信息之前，运营商服务器104可以向WBAC101发送授权信息，该授权信息包括允许处理的签约信息所对应的WBCPE的标识以及针对于该WBCPE的签约信息的授权操作指示信息；同时，WBCPE103也可以是通过WBAP1021向WBAC101发送签约信息处理请求，该签约信息处理请求中包括有该WBCPE103标识；WBAC101在接收该授权信息以及签约信息处理请求后，若确定该签约信息处理请求中所包括的WBCPE103标识，与授权信息中包括的允许处理的签约信息所对应的WBCPE的标识相匹配，则WBAC101可以基于该授权操作指示信息对该WBCPE103的标识对应的签约信息进行相应处理，当然，该WBCPE103的标识所对应的签约信息预先存储于WBAC101上。

值得注意的是，本申请实施例可以应用于任何可适用的通信系统中，而不局限于上述示例。比如，在其它可能的通信系统中，WBAC101与运营商服务器104之间可以通过一个或者多个中间节点实现连接等。总之，本申请实施例可以应用于任何可适用的通信中，而不局限于上述场景示例。

为使本申请的上述目的、特征和优点能够更加明显易懂，下面将结合附图对本申请实施例中的各种非限定性实施方式进行示例性说明。显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

参阅图2，图2示出了本申请实施例中一种签约信息的处理方法流程示意图。该方法具体可以包括：

S201：目标网络设备向接入控制设备发送授权信息，该授权信息包括第一终端的标识以及针对于该第一终端的签约信息的授权操作指示信息。

本实施例中，在接入控制设备处理终端的签约信息之前，目标网络设备可以向接入控制设备发送授权信息，该授权信息可以用于通知接入控制设备当前对哪些终端的签约信息进行操作是合法的(即是经过授权的)，以及对这些签约信息所允许执行的具体授权操作。具体实现时，该授权信息可以包括第一终端的标识，该第一终端的标识用于通知接入控制设备当前允许对该标识对应的第一终端的签约信息进行处理；同时，该授权信息还可以包括针对于该第一终端的签约信息的授权操作指示信息，该授权操作指示信息可以用于通知接入控制设备可以对该终端的签约信息具体进行哪种操作。其中，该授权操作指示信息，具体可以是用于指示针对第一终端的签约信息的操作信息，如对签约信息进行删除的信息，或者对签约信息进行更新的信息等，其中，当授权操作指示信息用于指示对第一终端的签约进行更新时，该授权信息中还可以包括更新的签约信息，以便于接入控制设备将该第一终端的签约信息更新为该授权信息中所携带的签约信息。值得注意的是，该授权操作指示信息也可以是模式指示信息，如指示对该终端进行复位的模式等，由于终端不同的模式可以对应于不同的操作，如复位模式可以对应于对签约信息的删除操作，更新模式可以对应于对签约信息的更新等，因此，接入控制设备基于该模式指示信息也可以是确定出对签约信息进行何种操作。同样，当授权操作指示信息具体为更新模式时，该授权信息也可以携带更新的签约信息。

需要说明的是，本实施例中的目标网络设备可以是可信的合法设备，如第三方运营商的服务器等，即接入控制设备可以默认基于该目标网络设备所发送的指令等信息，是合法的信息，从而接入控制设备基于该信息所执行的后续操作，也是合法的操作。在一些可能的实施方式中，为了使得该目标网络设备具备合法性，可以是通过账号登录等方式验证该目标网络设备向接入控制设备发送信息的合法性。具体实现时，可以第三方运营商的工作人员(如开户人员等)可以利用特定的账号和密码(如管理员账号和密码等)进行登录，若登录成功，则通过对工作人员的身份认证，从而目标网络设备响应该工作人员的相关操作而向接入控制设备下发的信息为合法信息，当然，若该工作人员的账号登录失败，则目标网络设备可以拒绝响应该工作人员的操作请求。

实际应用中，该目标网络设备向接入控制设备发送的第一终端的标识，可以是工作人员利用相关设备对第一终端的二维码进行扫描得到的(如利用该设备上的应用程序对该二维码进行扫描得到)，该第一终端的二维码上可以承载有该第一终端的标识，如国际移动设备识别码(international mobile equipment identity，IMEI)等，当然，也可以是由工作人员直接将该第一终端的标识输入至该相关设备中，然后，由该相关设备将第一终端的标识发送给目标网络设备，以便目标网络设备将该第一终端的标识发送给接入控制设备。而该目标网络设备向接入控制设备发送的授权操作指示信息，可以是由该相关设备响应工作人员的特定操作而生成并发送给目标网络设备的。

在进一步可能的实施方式中，该授权信息可以具有一定时长的有效期(比如30分钟、1小时等)，即当该授权信息在接入控制设备上保存的时长达到预设时长时，该授权信息发生失效。而当该授权信息发生失效时，接入控制设备可以拒绝处理该第一终端的签约信息。

S202：接入控制设备获取来自第二终端的签约信息处理请求，该签约信息处理请求包括第二终端的标识。

本实施例中，当需要对第二终端的签约信息进行相应的处理时，第二终端可以向接入控制设备发送签约信息处理请求，以请求接入控制设备对该第二终端的签约信息进行处理。其中，该签约信息处理请求中携带的第二终端的标识，用于指示接入控制设备对哪个终端的签约信息进行处理。

S203：当第一终端的标识与第二终端的标识相匹配时，接入控制设备基于该授权操作指示信息对第二终端的标识对应的签约信息进行处理，该第二终端的标识对应的签约信息预先存储于接入控制设备。

本实施例中，接入控制设备在接收到目标网络设备发送的授权信息以及第二终端发送的签约信息处理请求后，可以先确定请求处理签约信息的第二终端与已授权处理签约信息的第一终端是否为一个终端，具体实现时，可以判断第一终端的标识与第二终端的标识是否相同，若相同，表明该第二终端预先已经被授权允许对该第二终端的签约信息进行处理，则接入控制设备可以根据来自目标网络设备的授权操作指示信息对第二终端的签约信息进行处理，也即为对第二终端的标识所对应的签约信息进行处理。而若第一终端的标识与第二终端的标识不相同，表明第二终端并没有获得对签约信息进行处理的授权，则接入控制设备可以拒绝对该第二终端的签约信息进行处理。其中，第二终端的标识与第二终端的签约信息可以对应的预先保存于接入控制设备中，比如，在第二终端初始接入网络之前，目标网络设备可以进行第二终端签约信息的注册，由接入控制设备将第二终端的标识以及该第二终端的标识对应的签约信息进行保存，以便后续对该第二终端的签约信息进行处理。

本实施例中，第二终端的签约信息具体可以是第二终端的服务质量(quality of service，QoS)和/或组ID(identity)等。当然，也可以是其它信息，本实施例对此并不进行限定。

值得注意的是，接入控制设备上保存的授权信息可以具有有效期，则接入控制设备在确定第一终端的标识与第二终端的标识一致，并且，接收到该授权信息的时长不超过授权信息的有效时长时，该接入控制设备才基于该操作指示信息对第二终端的签约信息进行处理。而当该授权信息超出有效时长时，该第一终端的签约信息不具有被处理的权限，此时，即使与第一终端为同一终端的第二终端再次请求对签约信息进行处理，接入控制设备可以拒绝处理该第二终端的签约信息。

在进一步可能的实施方式中，接入控制设备在接收到第二终端的签约信息处理请求时，还可以对该第二终端进行身份验证，并且，只有当第二终端通过身份认证后，接入控制设备才对该第二终端的签约信息进行处理。此时，在确定第一终端的标识与第二终端的标识相同，并且，该第二终端也通过身份认证时，接入控制设备才对第二终端的标识对应的签约信息进行处理。

作为一种验证第二终端的身份的示例，第二终端可以预先通过预配的证书与接入控制设备之间基于超文本传输安全协议(hyper text transfer protocol over securesocket layer，HTTPS)等协议建立安全连接，其中，该连接可以是第二终端通过接入点与接入控制设备实现间接连接，在一些可能的实施方式中，也可以是第二终端与接入控制设备之间的直接连接(即，在第二终端与接入控制设备之间存在单独设置的直连通道)。然后，第二终端可以基于已建立的安全连接向接入控制设备发送第二终端的标识以及第二终端所生成的第一随机数。接入控制设备可以根据该第二终端的标识，确定与该第二终端的标识所对应的第一关键值，该第一关键值可以预先与第二终端进行协商而确定的，在接入控制设备上均保存有该第一关键值，在第二终端上保存有相同的关键值(为便于描述，以下称之为第二关键值)。然后，接入控制设备可以根据该第一关键之值与该第一随机数计算出第一挑战值，同时，接入控制设备还可以生成第二随机数，并将该第一挑战值与第二随机数发送给第二终端。第二终端利用其上保存的第二关键值与第一随机数对接收到的第一挑战值进行校验，具体可以是根据第二关键值与第一随机数计算得到一个值，并将该值与第一挑战值进行比对；若两个值相同，则通过对第一挑战值的校验，也即为第二终端通过对网络的认证，当然，若两个值不相同，则第一挑战值未通过校验。当第一挑战值校验通过后，第二终端可以基于第二关键值与第二随机数计算出第二挑战值，并将该第二挑战值发送给接入控制设备。接入控制设备可以利用第一关键值与第二随机数对该第二挑战值进行校验，具体是根据该第一关键值与第二随机数计算出一个值，并将该值与第二挑战值进行比对，若该值与第二挑战值一致，则接入控制设备通过对该第二终端的认证，当然，若两个值不一致，则第二终端未通过认证。

需要说明的是，上述实施方式中，是以第二终端与接入控制设备进行双向验证为例对验证过程进行示例性说明，在其他可能的实施方式中，也可以是接入控制设备对第二终端进行单向验证。比如，第二终端可以利用自身存储的第二关键值与第一随机数生成挑战值，并将该挑战值与第一随机数发送给接入控制设备；接入控制设备可以利用自身存储的第一关键值(根据第二终端的表示进行确定)与接收到的第一随机数计算出一个值，并将该值与接收到的挑战值进行比对，若两个值相同，则接入控制设备通过对该第二终端的认证，而若两个值不相同，则第二终端未通过验证。

进一步的，当接入控制设备完成对第二终端的签约信息的处理后，接入控制设备可以删除来自目标网络设备的授权信息。这样，可以避免使用第二终端的非法用户对该第二终端的签约信息进行非法操作。当然，实际应用中，接入控制设备也可以是在授权信息达到有效期时，将临时存储的授权信息进行删除。

本实施例中，在对终端的签约信息进行处理之前，接入控制设备可以获取来自目标网络设备的授权信息，该授权信息包括第一终端的标识以及针对于该第一终端的签约信息的授权操作指示信息，这样，接入控制设备基于该授权信息可以确定当前允许对第一终端的签约进行相应的处理；然后，接入控制设备可以获取来自第二终端的签约信息处理请求，该处理请求包括第二终端的标识；接着，当签约信息处理请求中的第二终端的标识与授权信息中的第一终端的标识相匹配时，表明第一终端与第二终端是同一终端，从而接入控制设备对该第二终端的签约信息执行的处理操作为合法的操作，此时，接入控制设备可以基于该授权操作指示信息对该第二终端的标识对应的签约信息进行处理，该第二终端的标识对应的签约信息预先存储于该接入控制设备。可见，本实施例中，在目标网络设备给予授权信息的情况下，接入控制设备才对第二终端的签约信息进行相应处理，这样，即使终端被非法盗用，并单方面的请求对该终端的签约信息进行处理，由于该终端当前的操作者无法触发目标网络设备向接入控制设备发送针对于该终端的签约信息，因此，接入控制设备仅基于终端单方面的请求并不会对该终端对应的签约信息进行处理，从而可以提高处理终端的签约信息时的合法性。

为了便于理解本发明的技术方案，下面结合复位WBCPE的具体场景示例本申请实施例的技术方案进行详细描述。参阅图3，图3示出了本申请实施例中一种签约信息的处理方法的信令交互示意图。在下述场景实施例中，WBCPE(上述方法实施例中的第二终端)请求WBAC(上述方法实施例中的接入控制设备)对该WBCPE的签约信息进行删除，该方法具体可以包括：

S301：WBCPE接入网络，与WBAP连接。

S302：相关设备获取WBCPE的IMEI信息，并在成功登录特定账号的情况下，将IMEI信息以及复位指示发送给运营商服务器。

本实施例中，工作人员可以在该相关设备上手动输入WBCPE的IMEI信息，也可以是通过该相关设备上的应用程序对WBCPE上承载有IMEI信息的二维码进行扫描，得到该WBCPE的IMEI信息。同时，当工作人员在相关设备上将操作菜单调整至复位模式时，相关设备可以生成相应的复位指示。当工作人员成功登录特定的账号时，则可以认为该工作人员的身份合法，其在利用相关设备所触发的操作也为合法操作，从而相关设备可以将其与IMEI信息一起发送至运营商服务器。

S303：运营商服务器将接收到的WBCPE的IMEI信息以及复位指示转发给WBAC。

S304：WBCPE通过WBAP向WBAC发送WBCPE的IMEI信息以及随机数rand1，其中，该rand1由WBCPE生成。

本实施例中，WBCPE使用预配的证书通过HTTPS协议与WBAC中的OSU建立安全连接，这样，WBCPE通过WBAP与WBAC进行通信。然后，WBCPE可以采用一定的随机算法生成随机数rand1，并将该rand1与WBCPE的IMEI信息通过已建立的安全连接一起发送给WBAC。

S305：WBAC中的OSU根据IMEI信息获得预先存储的关键值Key1，并根据该Key1与接收到的rand1计算出期望挑战值XRES1。

本实施例中，WBAC可以预先对应保存WBCPE的IMEI信息与关键值Key1，比如，可以是WBAC在WBCPE初始接入网络时为该WBCPE分配Key1，并对应保存Key1与该WBCPE的IMEI信息。

值得注意的是，WBAC中具体可以包括在线签约单元(online signing unit，OSU)以及统一认证授权单元(authentication、authorization、accounting，AAA)。其中，OSU可以执行与其它设备之间的通信、验证等操作，AAA可以执行针对于签约信息的处理等操作。

S306：WBAC中的OSU生成随机数rand2，并将rand2与XRES1通过WBAP发送至WBCPE。

S307：WBCPE根据自身存储的Key2与rand1对接收到的XRES1进行验证。

具体实现时，WBCPE可以根据Key2与rand1计算出一个响应值RES1，并将RES1与接收到的XRES1进行比对，若RES1与XRES1相同，则WBCPE通过对XRES1的认证，也即为WBCPE通过对接入网络的认证。当然，若RES1与XRES1不相同，则XRES1未通过认证，相应的，WBCPE可以停止执行后续步骤。进一步的，当XRES1未通过认证时，WBCPE可以进行报错等。

S308：当XRES1通过认证时，WBCPE根据Key2与接收到的rand2计算出期望挑战值XRES2，并将该XRES2发送给WBAC中的OSU。

S309：WBAC中的OSU根据Key1与rand2对XRES2进行认证。

具体实现时，OSU可以根据Key1与rand2计算出一个响应值RES2，并将RES2与接收到的XRES2进行比对，若RES2与XRES2相同，则OSU通过对XRES2的认证，也即为OSU通过对WBCPE的认证。

S310：当XRES2通过认证时，OSU根据接收到的复位指示，向AAA下发复位确定指示。

S311：AAA根据该复位确认指示，删除WBCPE的签约信息。

进一步的，AAA还可以删除WBCPE接入网络的相关凭证信息等。

上述场景实施例中，是以对签约信息进行删除为例进行示例性说明。在其它场景实施例中，也可以是对签约信息进行更新。参阅图4，图4示出了又一种签约信息的处理方法的信令交互示意图，在下述场景实施例中，WBCPE请求WBAC对该WBCPE的签约信息进行更新，该方法具体可以包括：

S401：WBCPE接入网络，与WBAP连接。

S402：相关设备获取WBCPE的IMEI信息，并在成功登录特定账号的情况下，将IMEI信息、更新的签约信息以及更新指示发送给运营商服务器。

与上一实施例不同的是，本实施例中，由于是对WBCPE的签约信息进行更新，因此，相关设备还可以将更新的签约信息随IMEI信息以及更新指示一起发送给运营商服务器，以便后续由运营商服务器将这些信息转发给WBAC。

S403：运营商服务器将接收到的IMEI信息、更新的签约信息以及复位指示转发给WBAC。

S404：WBCPE通过WBAP向WBAC发送WBCPE的IMEI信息以及随机数rand1，其中，该rand1由WBCPE生成。

S405：WBAC中的OSU根据IMEI信息获得预先存储的关键值Key1，并根据该Key1与接收到的rand1计算出期望挑战值XRES1。

S406：WBAC中的OSU生成随机数rand2，并将rand2与XRES1通过WBAP发送至WBCPE。

S407：WBCPE根据自身存储的Key2与rand1对接收到的XRES1进行验证。

S408：当XRES1通过认证时，WBCPE根据Key2与接收到的rand2计算出期望挑战值XRES2，并将该XRES2发送给WBAC中的OSU。

S409：WBAC中的OSU根据Key1与rand2对XRES2进行认证。

本实施例中，步骤S401至步骤S409的具体实施方式，与前述实施例中步骤S301至步骤S309的具体实施方式类似，可参见前述相关之处的描述，在此不做赘述。

S410：当XRES2通过认证时，OSU根据接收到的更新指示，向AAA下发更新确定指示。

S411：AAA根据该更新确认指示，利用接收到的更新的签约信息对已有的签约信息进行更新。

第二方面，本申请实施例还提供了一种签约信息的处理装置。参阅图5，图5示出了本申请实施例中一种签约信息的处理装置的结构示意图，该装置500可以应用于接入控设备，所述装置500包括：

第一获取模块501，用于获取来自目标网络设备的授权信息，所述授权信息包括所述第一终端的标识以及针对于所述第一终端的签约信息的授权操作指示信息；

第二获取模块502，用于获取来自接入网设备的处理请求，所述处理请求包括针对于第二终端的标识；

处理模块503，用于当所述第一终端的标识与所述第二终端的标识相匹配时，基于所述授权操作指示信息对所述第二终端的标识对应的签约信息进行处理，所述第二终端的标识对应的签约信息预先存储于所述接入控制器。

在一种可能的实施方式中，所述装置500还包括：

验证模块，用于对所述第二终端进行身份验证；

则所述处理模块503，具体用于当所述第一终端的标识与所述第二终端的标识相匹配，并且，所述第二终端通过身份验证时，所述接入控制器基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。

在一种可能的实施方式中，所述验证模块，包括：

发送单元，用于向所述第二终端发送第一挑战值以及第二随机数，所述第一挑战值由所述接入控制器根据第一关键值以及来自所述第二终端的第一随机数计算得到，所述第一关键值由所述接入控制器根据来自所述第二终端的标识进行确定；

计算单元，用于根据所述第一关键值以及所述第二随机值计算出响应值；

确定单元，用于当所述响应值与来自所述第二终端的第二挑战值相同时，所述接入控制器确定所述第二终端通过身份验证，所述第二挑战值是基于所述第二终端上的第二关键值与所述第二随机数计算得到。

在一种可能的实施方式中，所述处理模块503，

具体用于当所述第一终端的标识与所述第二终端的标识相匹配，且，所述接入控制器接收所述授权信息的时长不超过所述授权信息的有效时长时，所述接入控制器基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。

在一种可能的实施方式中，所述装置500还包括：

删除模块，用于当所述接入控制器基于所述授权操作指示信息对所述第二终端的标识对应的签约信息的处理完成时，删除所述来自目标网络设备的授权信息。

需要说明的是，上述装置各模块/单元之间的信息交互、执行过程等内容，由于与本申请实施例中方法实施例基于同一构思，其带来的技术效果与本申请实施例中方法实施例相同，具体内容可参见本申请实施例前述所示的方法实施例中的叙述，此处不再赘述。

此外，本申请实施例还提供了一种设备。其中，该设备可以应用于上述方法实施例中所提及的接入控制设备。

该设备可以包括处理器，所述处理器与存储器耦合；

所述存储器用于存储计算机程序或指令；

所述处理器用于执行所述计算机程序或指令，使得上述方法实施例中接入控制设备所执行的签约信息的处理方法。

图5是一种设备的硬件结构示意图，可以应用于本申请实施例中的接入控制设备。该设备包括至少一个处理器111、至少一个存储器112和至少一个网络接口113。处理器111、存储器112与网络接口113相连，例如通过总线相连，在本申请实施例中，所述连接可包括各类接口、传输线或总线等，本实施例对此不做限定。网络接口113用于使得该设备通过通信链路，与其它通信设备相连。

其中，图5中所示的处理器111具体可以完成上述方法中接入控制设备处理的动作，存储器112可以完成上述方法中存储的动作，网络接口113可以完成上述方法中与其它设备之间进行交互的动作，下面以图5所示的设备为接入控制设备为例进行示例性的说明：

处理器111可以所述第一终端的标识与所述第二终端的标识相匹配时，所述接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息进行处理，所述第二终端的标识对应的签约信息预先存储于所述接入控制设备。网络接口113可以获取来自目标网络设备的授权信息，以及来自第二终端的签约信息处理请求，所述授权信息包括所述第一终端的标识以及针对于所述第一终端的签约信息的授权操作指示信息，所述签约信息处理请求包括所述第二终端的标识；存储器112可以存储该授权信息以及签约信息处理请求等。

在一些可能的实施方式中，处理器111还可以是对所述第二终端进行身份验证，并当所述第一终端的标识与所述第二终端的标识相匹配，并且，所述第二终端通过身份验证时，具体基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。

在一些可能的实施方式中，处理器111具体可以是向所述第二终端发送第一挑战值以及第二随机数，所述第一挑战值由所述接入控制设备根据第一关键值以及来自所述第二终端的第一随机数计算得到，所述第一关键值由所述接入控制设备根据来自所述第二终端的标识进行确定；所述接入控制设备根据所述第一关键值以及所述第二随机值计算出响应值；当所述响应值与来自所述第二终端的第二挑战值相同时，所述接入控制设备确定所述第二终端通过身份验证，所述第二挑战值是基于所述第二终端上的第二关键值与所述第二随机数计算得到。

在一些可能的实施方式中，所述处理器111具体可以是当所述第一终端的标识与所述第二终端的标识相匹配，且，所述接入控制设备接收所述授权信息的时长不超过所述授权信息的有效时长时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。

在一些可能的实施方式中，所述处理器111还可以当所述接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息的处理完成时，所述接入控制设备删除所述来自目标网络设备的授权信息。

本申请实施例中的处理器，例如处理器111，可以包括但不限于以下至少一种：中央处理单元(central processing unit，CPU)、微处理器、数字信号处理器(DSP)、微控制器(microcontroller unit，MCU)、或人工智能处理器等各类运行软件的计算设备，每种计算设备可包括一个或多个用于执行软件指令以进行运算或处理的核。该处理器可以是个单独的半导体芯片，也可以跟其他电路一起集成为一个半导体芯片，例如，可以跟其他电路(如编解码电路、硬件加速电路或各种总线和接口电路)构成一个SoC(片上系统)，或者也可以作为一个ASIC的内置处理器集成在所述ASIC当中，该集成了处理器的ASIC可以单独封装或者也可以跟其他电路封装在一起。该处理器除了包括用于执行软件指令以进行运算或处理的核外，还可进一步包括必要的硬件加速器，如现场可编程门阵列(field programmable gate array，FPGA)、PLD(可编程逻辑器件)、或者实现专用逻辑运算的逻辑电路。

本申请实施例中的存储器，可以包括如下至少一种类型：只读存储器(read-only memory，ROM)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(random access memory，RAM)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(Electrically erasable programmabler-only memory，EEPROM)。在某些场景下，存储器还可以是只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。

存储器112可以是独立存在，与处理器111相连。可选的，存储器112可以和处理器111集成在一起，例如集成在一个芯片之内。其中，存储器112能够存储执行本申请实施例的技术方案的程序代码，并由处理器111来控制执行，被执行的各类计算机程序代码也可被视为是处理器111的驱动程序。例如，处理器111用于执行存储器112中存储的计算机程序代码，从而实现本申请实施例中的技术方案。

在上述实施例中，存储器存储的供处理器执行的指令可以以计算机程序产品的形式实现。计算机程序产品可以是事先写入在存储器中，也可以是以软件形式下载并安装在存储器中。

计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包括一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘solid state disk，SSD)等。

本申请实施例还提供了一种计算机可读存储介质。上述实施例中描述的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。如果在软件中实现，则功能可以作为一个或多个指令或代码存储在计算机可读介质上或者在计算机可读介质上传输。计算机可读介质可以包括计算机存储介质和通信介质，还可以包括任何可以将计算机程序从一个地方传送到另一个地方的介质。存储介质可以是可由计算机访问的任何目标介质。

作为一种可选的设计，计算机可读介质可以包括RAM，ROM，EEPROM，CD-ROM或其它光盘存储器，磁盘存储器或其它磁存储设备，或目标于承载的任何其它介质或以指令或数据结构的形式存储所需的程序代码，并且可由计算机访问。而且，任何连接被适当地称为计算机可读介质。例如，如果使用同轴电缆，光纤电缆，双绞线，数字用户线(DSL)或无线技术(如红外，无线电和微波)从网站，服务器或其它远程源传输软件，则同轴电缆，光纤电缆，双绞线，DSL或诸如红外，无线电和微波之类的无线技术包括在介质的定义中。如本文所使用的磁盘和光盘包括光盘(CD)，激光盘，光盘，数字通用光盘(DVD)，软盘和蓝光盘，其中磁盘通常以磁性方式再现数据，而光盘利用激光光学地再现数据。上述的组合也应包括在计算机可读介质的范围内。

需要说明的是，本申请中“的(英文：of)”，相应的“(英文corresponding，relevant)”和“对应的(英文：corresponding)”有时可以混用，应当指出的是，在不强调其区别时，其所要表达的含义是一致的。

需要说明的是，本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请中，“至少一个”是指一个或者多个。“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在 A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到上述实施例方法中的全部或部分步骤可借助软件加通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如只读存储器(英文：read-only memory，ROM)/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者诸如路由器等网络通信设备)执行本申请各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中作为分离部件说明的模块可以是或者也可以不是物理上分开的，作为模块显示的部件可以是或者也可以不是物理模块，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述仅是本申请示例性的实施方式，并非用于限定本申请的保护范围。

Claims

一种签约信息的处理方法，其特征在于，所述方法包括：

接入控制设备获取来自目标网络设备的授权信息，所述授权信息包括所述第一终端的标识以及针对于所述第一终端的签约信息的授权操作指示信息；

所述接入控制设备获取来自第二终端的签约信息处理请求，所述签约信息处理请求包括所述第二终端的标识；

当所述第一终端的标识与所述第二终端的标识相匹配时，所述接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息进行处理，所述第二终端的标识对应的签约信息预先存储于所述接入控制设备。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

所述接入控制设备对所述第二终端进行身份验证；

则当所述第一终端的标识与所述第二终端的标识相匹配时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理，具体为：

当所述第一终端的标识与所述第二终端的标识相匹配，并且，所述第二终端通过身份验证时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。
根据权利要求2所述的方法，其特征在于，所述接入控制设备对所述第二终端进行身份验证，包括：

所述接入控制设备向所述第二终端发送第一挑战值以及第二随机数，所述第一挑战值由所述接入控制设备根据第一关键值以及来自所述第二终端的第一随机数计算得到，所述第一关键值由所述接入控制设备根据来自所述第二终端的标识进行确定；

所述接入控制设备根据所述第一关键值以及所述第二随机值计算出响应值；

当所述响应值与来自所述第二终端的第二挑战值相同时，所述接入控制设备确定所述第二终端通过身份验证，所述第二挑战值是基于所述第二终端上的第二关键值与所述第二随机数计算得到。
根据权利要求1所述的方法，其特征在于，当所述第一终端的标识与所述第二终端的标识相匹配时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理，具体为：

当所述第一终端的标识与所述第二终端的标识相匹配，且，所述接入控制设备接收所述授权信息的时长不超过所述授权信息的有效时长时，所述接入控制设备基于所述操作指示信息对所述第二终端的标识对应的签约信息进行处理。
根据权利要求1至4任一项所述的方法，其特征在于，所述授权操作指示信息用于指示对所述第一终端的签约信息进行删除或更新。
根据权利要求5所述的方法，其特征在于，当所述授权操作指示信息用于指示对所述第一终端的签约信息进行更新时，所述授权信息还包括更新的签约信息。
根据权利要求1所述的方法，其特征在于，所述方法还包括：

当所述接入控制设备基于所述授权操作指示信息对所述第二终端的标识对应的签约信息的处理完成时，所述接入控制设备删除所述来自目标网络设备的授权信息。
一种签约信息的处理装置，其特征在于，所述装置应用于接入控制设备，所述装置包括：

第一获取模块，用于获取来自目标网络设备的授权信息，所述授权信息包括所述第一终端的标识以及针对于所述第一终端的签约信息的授权操作指示信息；

第二获取模块，用于获取来自接入网设备的处理请求，所述处理请求包括针对于第二终端的标识；

处理模块，用于当所述第一终端的标识与所述第二终端的标识相匹配时，基于所述授权操作指示信息对所述第二终端的标识对应的签约信息进行处理，所述第二终端的标识对应的签约信息预先存储于所述接入控制设备。
一种设备，其特征在于，所述设备包括处理器和存储器，所述处理器与存储器耦合；

所述存储器用于存储计算机程序或指令；

所述处理器用于执行所述计算机程序或指令，使得如权利要求1至7任一所述的方法被执行。
一种计算机可读存储介质，包括指令，当其在计算机上运行时，使得计算机执行如权利要求1至7任一所述的方法。