一种TLS加密流量识别方法及装置

一种TLS加密流量识别方法及装置

　　技术领域

　　本发明涉及移动通信领域，尤其涉及一种TLS加密流量识别方法及装置。

　　背景技术

　　随着移动宽带和智能终端的不断发展，以及用户信息安全隐私保护的加强，越来越多的iOS及Android应用程序的网络连接采用基于TLS(Transport Layer Security，传输层安全)承载，致使TLS加密流量占比越来越大。电信运营商对用户TLS加密流量进行精确识别的需求场景也越来越多。在电信运营商移动网络中，不管是在P-GW(Packet DataNetwork Gateway)网元、MEC(Mobile Edge Computing，移动边缘计算)服务器，或者其它相关交换机、路由器、防火墙、流量分析器等设备中，都可能会需要基于DPI(Deep PacketInspection，深度报文检测)技术对TLS加密流量进行精确识别。

　　以5G MEC为例，边缘计算为5G终端提供了高带宽、低时延的可靠的移动无线网络，一种可能的典型运营模式是，当网络负荷接近饱和时，MEC设备将为不同应用业务提供不同的QoS保障，尤其是对有合作关系的SP(Service Provider，业务供应商)付费的应用业务提供高优先级QoS保障。所以，通过DPI技术准确识别出合作SP的基于TLS加密的应用业务流量尤为重要。

　　然而，常规DPI技术，通常根据TLS Client Hello消息中SNI(Server NameIndication,服务器名称指示)或TLS Certificate消息中服务器证书CN(Common Name)及SAN(Subject Alternative Name，主题备用名称)或DNS(Domain Name System，域名系统)请求/响应消息中服务器DNS域名，对合作SP的应用业务TLS加密流量进行识别。这类识别方法通常存在缺陷，比如：有些VPN(Virtual Private Network，虚拟专用网)软件利用这类SNI、CN、SAN、DNS等特征，将其VPN流量伪装成电信运营商的合作SP的应用业务流量，从而达到获取高优先级QoS或者逃避计费等目的。

　　目前，一种常见的解决方法是，电信运营商提前获取合作SP的服务器公网IP地址，针对这些指定IP地址的TLS加密流量进行DPI识别。但是，这种方法过于粗放，无法精确识别合作SP的细化业务。

　　目前，另一种常见解决方法是，电信运营商通过合作SP的服务器公网IP地址和一个或多个SNI/CN/SAN/DNS的组合信息对TLS加密流量进行DPI识别。这种方法可以一定程度细化合作SP的应用业务，但是细化程度通常不够理想。而且，IETF(Internet EngineeringTask Force，互联网工程任务组)在TLS 1.3(RFC 8446)协议中已经对Certificate消息进行加密，导致CN/SAN特征失效；以及在DoT(RFC 7858)和DoH(RFC 8484)协议中已经对DNS消息加密，导致DNS特征失效；以及加密SNI的草案已拟定发布讨论，将导致未来SNI特征也会失效。

　　目前需要一种针对电信运营商合作SP的应用业务TLS加密流量的防欺诈的精确细化的可行的DPI识别方法。通过使用本发明的方法，可实现针对电信运营商合作SP的应用业务TLS加密流量的防欺诈的精确细化的DPI识别，减少或防止流量欺诈现象的发生。

　　发明内容

　　以下是对本文详细描述的主题的概述。本概述并非是为了限制权利要求的保护范围。

　　为了使电信运营商精细化识别其合作SP基于TLS加密的应用业务流量，且减少或防止流量欺诈现象的发生，本发明提出一种基于TLS加密流量识别的方法，包括：

　　DPI Server接收来自注册网站的App注册请求信息，并为目标App分配App特征标识信息，且发送回注册网站；

　　DPI Server基于双向验证的TLS连接，与App Server交换该App的App特征验证信息，交换后双方具有相同的App特征标识信息以及App特征验证信息；

　　DPI Server基于双向验证的TLS连接，将该App的App特征标识信息以及App特征验证信息，发送给DPI网元；

　　DPI网元根据所述App特征验证信息验证用户TLS流量中所述App特征标识信息的合法性，并根据所述App特征标识信息识别由该App产生的TLS流量。

　　进一步的，所述App特征验证信息，包含用于DPI识别的App公钥信息、MAC密钥及MAC算法信息、多区间计数器合法范围信息。

　　进一步的，DPI Server与App Server建立的所述TLS连接中，所述App Server的证书与DPI Server的证书，均由合法的第三方证书颁发机构签发。

　　进一步的，所述DPI网元匹配用户App流量信息中的Server Hello消息中的App特征标识信息，识别对应App的流量信息。。

　　进一步的，所述DPI网元根据用户App流量信息中的Server Hello消息中的App特征验证信息，验证对应App特征标识信息的合法性。

　　本发明还提供一种TLS加密流量特征信息管理装置，包括：

　　置于DPI Server中的App注册管理模块，其用于接收来自注册网站的App注册请求信息，并为目标App分配App特征标识信息，且发送回注册网站；

　　置于DPI Server中的App Server更新管理模块，其基于双向验证的TLS连接，与App Server交换该App的App特征验证信息，交换后双方具有相同的App特征标识信息以及App特征验证信息；

　　置于DPI Server中的DPI特征更新管理模块，其基于双向验证的TLS连接，将该App的App特征标识信息以及App特征验证信息，发送给DPI网元。

　　进一步的，所述App特征验证信息，包含用于DPI识别的App公钥信息、MAC密钥及MAC算法信息、多区间计数器合法范围信息。

　　进一步的，App Server更新管理模块与App Server建立的所述TLS连接中，所述App Server的证书与DPI Server的证书，均由合法的第三方证书颁发机构签发。

　　本发明还提供一种服务器，包括：存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求上述任意一项所述TLS加密流量识别的方法。

　　附图说明

　　图1是本发明提供的TLS加密流量识别方法的流程图；

　　图2是本发明提供的TLS加密流量特征信息管理装置结构图；

　　图3是本发明提供的一种服务器的结构图；

　　图4是本发明提供的TLS加密流量识别方法的时序交互图。

　　具体实施方式

　　下文中将结合附图对本发明的实施例进行详细说明。

　　在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行。并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

　　本发明所述的DPI网元，一方面可以指DPI独立网元设备，另一方面也可以指PGW网关、MEC服务器、交换机、路由器、防火墙等内置DPI功能的网元设备。

　　本发明引入DPI Server，为App分配App Token等信息。App业务流量通过ServerHello消息的自定义TLS扩展携带App Token等信息，以供DPI网元准确识别合作SP的基于TLS加密的App业务流量，使得DPI网元可以通过本发明提出的一系列手段防范流量欺诈情况：通过MAC(Message Authentication Code，消息鉴权码)验证相关数据的完整性，通过多区间计数器检查防止重放攻击，通过公钥密码签名验证App身份，通过App Server公网IP地址检查加强特征识别的准确性。

　　如图1所示，本发明实施例提供一种TLS加密流量识别方法。

　　S101，App注册阶段。如图1所示第一步，DPI Server接收到App开发者通过注册网站发来的App注册请求消息并处理。DPI Server通过相应的App注册响应消息返回给注册网站为App开发者提供App注册信息。

　　典型地，App注册请求消息中包含：App名称、SP名称、App Server名称、用于AppServer更新阶段的App Server证书CN/SAN等信息。典型地，App注册响应消息中包括：专用TLS扩展类型ID、App Token、成功分配App Token的日期时间等信息。

　　例如，DPI Server以“SP名称+App名称”为唯一标识，为该SP的该App分配全局唯一的App Token。App Token可以为128位(即16字节)大整数。

　　对于专用TLS扩展类型ID的分配，DPI Server首先确保所选的扩展类型ID不能是IANA(Internet Assigned Numbers Authority，互联网编号管理局)已分配的知名扩展类型ID。IANA(www.iana.org)正式文件《Transport Layer Security(TLS)Extensions》记录着最新的知名扩展类型ID，如0为server_name，1为max_fragment_length，16为application_layer_protocol_negotiation(ALPN)，35为session_ticket，41为pre_shared_key(PSK)，43为supported_versions，等数十个，这些知名扩展类型ID不能被选取。DPI Server可以从目前65000多个“Unassigned”数字中选取扩展类型ID，或者从目前200多个“Reserved for Private Use”数字中选取扩展类型ID。

　　可选的，DPI Server可以支持，App注册请求消息中包含需要排除的TLS扩展类型ID的一个或多个取值范围。App可能会在TLS中加入其它与本发明无关的自定义扩展类型ID，所以DPI Server分配的专用TLS扩展类型ID不能与App的其它自定义扩展类型ID相冲突。典型地，DPI Server在排除IANA知名TLS扩展类型ID，并排除App指定的其它扩展类型ID之后，再为该App分配用于DPI识别的专用TLS扩展类型ID。

　　可选的，为了给流量欺诈行为增加难度和成本，DPI Server在排除IANA知名TLS扩展类型ID后，并且排除App指定的其它扩展类型ID后，可以给不同SP(即“SP名称”)分配相同或不同的专用TLS扩展类型ID；或者，也可以给不同App(即“SP名称+App名称”)分配相同或不同的专用TLS扩展类型ID。

　　典型地，App开发者将通过注册网站获得的专用TLS扩展类型ID、App Token、成功分配App Token的日期时间等信息部署到App Server。App开发者将通过注册网站获得的专用TLS扩展类型ID等信息部署到App Client。

　　在App Client中部署专用TLS扩展类型ID，使得App Client产生TLS流量的ClientHello消息时，携带专用TLS扩展类型ID。

　　在App Server中部署专用TLS扩展类型ID，使得App Server在对含有该扩展类型ID的Client Hello回复Server Hello响应时，携带该扩展类型ID，以及相应的扩展内容。

　　对于TLS 1.0协议、TLS 1.1协议、TLS 1.2协议，Client Hello不加密、ServerHello不加密，本阶段引入的专用TLS扩展可以正常加入Client Hello、Server Hello中。

　　对于TLS 1.3协议，Client Hello不加密、Server Hello不加密，本阶段引入的专用TLS扩展可以正常加入Client Hello、Server Hello中。但是，因为TLS 1.3协议引入了Encrypted Extensions消息用于加密不需要明文传输的扩展，所以在本发明实施时需要确保本阶段引入的专用TLS扩展应加入到Server Hello中，而不是加入到EncryptedExtensions中。典型地，以OpenSSL-1.1.1库为例，通过Open SSL API函数SSL_CTX_add_custom_ext()设置自定义扩展时，通过将该函数的相关参数设置为包含“SSL_EXT_TLS1_3_SERVER_HELLO”而不是包含“SSL_EXT_TLS1_3_ENCRYPTED_EXTENSIONS”，从而使得本阶段引入的专用TLS扩展可以正常加入Server Hello中。

　　S102，App Server更新阶段。如图1所示第二步，DPI Server接收App Server发起的TLS连接建立请求，并采用双向证书验证机制建立TLS连接。DPI Server接收App Server更新请求消息，并处理App Server周期性更新的DPI识别及验证信息，同时DPI Server也通过App Server更新响应消息，将新的DPI识别及验证信息发送给App Server。

　　典型地，App Server更新请求消息包含：App Token、成功分配App Token的日期时间、App Server公网IP地址(可选)、用于DPI识别的App Server公钥信息。App Server更新响应消息包含：多区间计数器合法范围、MAC密钥、MAC算法等信息。

　　典型地，App Server与DPI Server之间的TLS连接采用双向证书验证机制，给流量欺诈行为增加难度和成本。App Server作为TLS客户端将自己的证书通过上行Certificate消息发送给DPI Server，DPI Server作为TLS服务端将自己的证书通过下行Certificate消息发送给App Server。App Server和DPI Server各自的证书，均须由第三方合法CA(Certificate Authority，证书颁发机构)签发，以保证双方能通过对方的证书验证对方的合法身份。其中，DPI Server通过第一步App注册阶段获得的“用于App Server更新阶段的App Server证书CN/SAN”，对App Server通过上行Certificate发送的CN及SAN进行校验，以验证App Server的合法身份。

　　典型地，App Server通过与DPI Server的TLS连接，周期性地发送App Server更新请求消息给DPI Server，将App Server公网IP地址(可选)、用于DPI识别的App Server公钥信息发送给DPI Server；同时，在该消息中携带App Token、成功分配App Token的日期时间，以便于DPI Server关联到第一步App注册阶段所形成的该App的相关信息。

　　例如，在App Server更新请求消息中，包含用于DPI识别的App Server公钥信息。典型地，App Server可以周期性地重新生成该公钥及其配对的私钥，并将最新生成的公钥通过此消息发送给DPI Server。该公钥用于后续第四步DPI特征识别阶段中，DPI网元验证App Server对App Token扩展内容相关部分的签名。

　　可选地，在App Server更新请求消息中，App Server如果能获取其对App Client所提供服务的App Server公网IP地址，则应将这些IP地址上报给DPI Server，以便后续第四步DPI特征识别阶段中，DPI网元加强特征识别精确性。典型地，对于这些IP地址，可以通过多组/多对以“包含”和“对包含进行排除”的方式来描述，比如，以IPv4为例可描述为，包含从X1.X2.X3.X4到Y1.Y2.Y3.Y4范围内的IP地址，并排除该范围内从M1.M2.M3.M4到N1.N2.N3.N4范围内的IP地址，而且包含或排除所描述的内容可以是一个或多个地址范围。

　　典型地，在App Server更新响应消息中，包含DPI Server分配的多区间计数器合法范围。典型地，多区间计数器取值范围可以是从1开始到最大值64位(8字节)的正整数(记为MAX64)。多区间计数器合法范围可以是从1到MAX64之间的一个或多个范围段。

　　例如，在App Server更新响应消息中，包含MAC密钥和MAC算法信息。典型地，MAC算法可以采用HMAC算法(RFC 2104)，在本消息中的算法描述格式可以为“HMAC-MD5”、“HMAC-SHA1”、“HMAC-SHA224”、“HMAC-SHA256”、“HMAC-SHA384”、“HMAC-SHA512”等。

　　S103，DPI特征更新阶段。如图1所示第三步，DPI Server接收DPI网元发起的TLS连接建立请求，并采用双向证书验证机制建立TLS连接。DPI Server接收DPI网元发起的DPI特征更新请求并处理，以及通过相应的DPI特征更新响应为DPI网元提供App的最新DPI特征信息。

　　典型地，DPI特征更新响应消息包含：App名称、SP名称、App Server名称、专用TLS扩展类型ID、App Token、成功分配App Token的日期时间、App Server公网IP地址(可选)、用于DPI识别的App Server公钥、多区间计数器合法范围、MAC密钥、MAC算法等信息。

　　典型地，DPI网元与DPI Server之间的TLS连接采用双向证书验证机制，给流量欺诈行为增加难度和成本。DPI网元作为TLS客户端将自己的证书通过上行Certificate消息发送给DPI Server，DPI Server作为TLS服务端将自己的证书通过下行Certificate消息发送给DPI网元。DPI Server的证书，须由第三方合法CA签发，以保证DPI网元能通过该证书验证DPI Server的合法身份。DPI网元的证书，可由DPI Server作为私有CA为DPI网元签发，预置于DPI网元中，作为DPI网元的合法身份证明。

　　典型地，DPI网元通过与DPI Server的TLS连接，周期性地向DPI Server发送DPI特征更新请求消息，以获取DPI Server中各个App最新的识别特征信息。

　　典型地，DPI Server将上次DPI网元请求之后发生过相关信息更新的各App识别特征信息，通过DPI特征更新响应消息发送给DPI网元。可选地，DPI Server将上次DPI网元请求之后未发生过相关信息更新的各App Token或“SP名称+App名称”置于消息中发送给DPI网元。

　　可选地，DPI网元发送的DPI特征更新请求消息中，可以指定或排除一个或多个AppToken或“SP名称+App名称”。对应地，DPI Server在发送的DPI特征更新响应消息中，只携带相应的App的最新的识别特征信息。

　　S104，DPI特征识别阶段。如图1所示第四步，DPI网元检测App上网流量中的ClientHello、Server Hello消息中的指定扩展类型及其内容，匹配App Token并验证App Server签名及MAC，确认App流量的真实性，从而准确识别App业务流量。

　　典型地，该App业务流量中App Client发出的Client Hello消息内包含：之前分配的专用TLS扩展类型ID且内容为空。该App业务流量中App Server发出的Server Hello消息内包含：之前分配的专用TLS扩展类型ID、该扩展内容包含有App Token、成功分配AppToken的日期时间、多区间计数器合法范围内的一个多区间计数器值、对前部分扩展内容的签名、签名算法、对前部分扩展内容的MAC值、MAC算法等信息。

　　典型地，App Client发出的Client Hello消息中，包含一个自定义TLS扩展，其扩展类型ID为第一步App注册阶段分配的专用TLS扩展类型ID，其扩展内容为空。

　　典型地，App Server发出的Server Hello消息中，包含一个自定义TLS扩展，其扩展类型ID为第一步App注册阶段分配的专用TLS扩展类型ID，其扩展内容如下：

　　具体地，扩展内容1：App Token。该App Token来自于第一步App注册阶段。

　　具体地，扩展内容2：成功分配App Token的日期时间。该日期时间信息来自于第一步App注册阶段。

　　具体地，扩展内容3：多区间计数器合法范围内的一个多区间计数器值。该多区间计数器合法范围来自于第二步App Server更新阶段。典型地，对于同一个App Client用户(以IP地址区分)，App Server在该多区间计数器合法范围内，从小到大取值，对于每个TLS连接的Server Hello消息，其多区间计数器值加1，达到该多区间计数器取值范围的最大值后，再回绕到最小值重新开始。

　　具体地，扩展内容4：对扩展内容1～扩展内容3整体的签名。App Server采用扩展内容5的签名算法对扩展内容1～扩展内容3整体进行签名。典型地，首先对该内容进行哈希以获取固定长度的哈希结果，然后对哈希结果使用第二步App Server更新阶段所生成的用于DPI识别的App Server公钥所对应的私钥进行加密，加密结果即为签名。

　　具体地，扩展内容5：签名算法。该签名算法由App Server决定，包含哈希算法和公钥加密算法，典型地，如“MD5-RSA”、“SHA1-RSA”、“SHA224-RSA”、“SHA256-RSA”、“SHA384-RSA”、“SHA512-RSA”等之一。

　　具体地，扩展内容6：对扩展内容1～扩展内容5整体的MAC值。App Server采用扩展内容7的MAC算法，使用第二步App Server更新阶段从DPI Server获取的MAC密钥，对扩展内容1～扩展内容5整体生成MAC值。

　　具体地，扩展内容7：MAC算法。该MAC算法由App Server决定，从由第二步AppServer更新阶段由DPI Server分配的多个MAC算法中，选择其中一个以使用。

　　典型地，DPI网元检测TLS流量中Client Hello消息是否包含相关的专用TLS扩展类型ID，如果包含，则需要继续对该TLS-TCP(Transmission Control Protocol，传输控制协议)流的Server Hello消息进一步检测；如果不包含，则不需要继续对该TLS-TCP流的Server Hello消息进一步检测。

　　典型地，DPI网元检测TLS流量中Server Hello消息是否包含相关的专用TLS扩展类型ID，如果包含，则继续对该扩展内容进一步检测并验证；如果不包含，则不需要继续对该扩展内容进一步检测并验证。典型地，DPI网元对该扩展内容的检测及验证方法如下：

　　典型地，DPI网元提取扩展内容1，作为App Token。如果后续验证通过，则将该AppToken识别为相应App，即将当前TLS流量准确识别为相应App业务。

　　可选地，DPI网元提取扩展内容2，作为成功分配App Token的日期时间，一方面可以用于对App Token唯一性的验证，另一方面可以用于对App Token版本信息的描述。

　　典型地，DPI网元提取扩展内容3，作为多区间计数器值。DPI网元检测该多区间计数器值是否在多区间计数器合法范围内。如果在合法范围内，则检查对于同一个AppServer(以网络侧IP地址+网络侧PORT区分)下的同一个App Client用户(以用户侧IP地址区分)的不同TLS流的Server Hello消息多区间计数器值是否递增或达最大值回绕，如果是递增或达最大值回绕，则认为该多区间计数器值通过检查，否则认为不通过检查。如果不在合法范围内，则也认为不通过检查。对多区间计数器的合法取值检查，用于防止基于重放攻击的流量欺诈情况。

　　典型地，DPI网元提取扩展内容4，作为App Server对扩展内容1～扩展内容3整体的签名；DPI网元对扩展内容1～扩展内容3整体，使用从扩展内容5提取到的签名算法，以及从第三步DPI特征更新阶段中获取的用于DPI识别的App Server公钥，验证签名。具体地，从扩展内容5提取到的签名算法包括哈希算法和公钥加密算法，采用该哈希算法对扩展内容1～扩展内容3整体进行哈希获取哈希结果；采用该公钥加密算法，使用从第三步DPI特征更新阶段中获取的用于DPI识别的App Server公钥，对扩展内容4进行解密获取解密结果；如果该哈希结果与该解密结果一致，则认为通过签名验证；否则认为未通过签名验证。对扩展的签名验证用于认证App Server的身份合法性，以减少或防止流量欺诈情况。

　　典型地，DPI网元提取扩展内容5，作为验证扩展内容4的签名算法。

　　典型地，DPI网元提取扩展内容6，作为App Server对扩展内容1～扩展内容5整体的MAC值；DPI网元对扩展内容1～扩展内容5整体，使用从扩展内容7提取到的MAC算法，以及从第三步DPI特征更新阶段中获取的MAC密钥，计算生成MAC值；如果生成的MAC值与提取到MAC值一致，则认为MAC校验通过，否则认为MAC校验未通过。对扩展的MAC校验用于确保扩展内容的完整性，降低流量欺诈发生的可能性。

　　典型地，DPI网元提取扩展内容7，作为验证扩展内容6的MAC算法。

　　典型地，DPI网元对于通过多区间计数器检查、签名验证、MAC校验的App Token，则可将该App Token识别为相应App，即将当前TLS流量准确识别为相应App业务。

　　可选地，在上述准确识别App业务的情况下，DPI网元如果从第三步DPI特征更新阶段中，获取到App Server公网IP地址，则可检查当前TLS-TCP流的网络侧IP地址是否在该App Server公网IP地址范围内，如果是，则更可加强识别结果的准确性。

　　如图2所示，本发明实施例还提供一种TLS加密流量特征信息管理装置，包括：

　　设置于DPI Server 200中的App注册管理模块201。App注册管理模块接收来自注册网站的App注册请求信息，并为目标App分配App特征标识信息，且发送回注册网站。

　　设置于DPI Server 200中的App Server更新管理模块202。App Server更新管理模块基于双向验证的TLS连接，与App Server交换该App的App特征验证信息，交换后双方具有相同的App特征标识信息以及App特征验证信息。

　　设置于DPI Server 200中的DPI特征更新管理模块203。DPI特征更新管理模块基于双向验证的TLS连接，将该App的App特征标识信息以及App特征验证信息，发送给DPI网元。

　　如图3所示，本发明实施例还提供一种服务器300，包括：存储器301、处理器302、总线接口303、用户接口304、输出接口305，所述处理器302执行所述TLS加密流量识别方法。

　　本发明不仅仅限于以上实施例，凡依本发明权利要求范围所做的等效变更，皆属于本发明权利要求涵盖范围。

　　本领域普通技术人员可以理解，上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中，在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分；例如，一个物理组件可以具有多个功能，或者一个功能或步骤可以由若干物理组件合作执行。某些组件或所有组件可以被实施为由处理器，如数字信号处理器或微处理器执行的软件，或者被实施为硬件，或者被实施为集成电路，如专用集成电路。这样的软件可以分布在计算机可读介质上，计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的，术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外，本领域普通技术人员公知的是，通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据，并且可包括任何信息递送介质。