用于无线车载访问装置认证的方法和设备与流程

示意性实施例总体上涉及一种用于无线车载访问装置认证的方法和设备。

背景技术：

随着个人装置变得“更智能化”和互联化，有机会将更多智能和感应集成到车辆的内部和外部组件。现有的与对车辆内的个人装置定位的能力相结合的即插即用架构允许一些非常强大的用户交互体验，诸如改进的无钥匙进入的实现。

无钥匙进入系统在汽车oem(原始设备制造商)和售后制造商中正变得普遍化。当驾驶员或拥有遥控钥匙的某人接近车辆且足够靠近时，来自遥控钥匙的短程信号自动解锁车门，而无需按压任何按钮。其他解决方案还提出当驾驶员离开或接近车辆时车门、举升式车门以及行李厢盖的自动化锁定-解锁。这些解决方案依靠技术的混合，范围涉及从传统的遥控钥匙到接近传感器或个人装置的使用。

现有的用于锁定和解锁车门的方法容易受到中继攻击的影响。中继攻击(也称为中间人)是特别难以阻止的，这是因为他们可通过仅在认证处理的两端捕获并重发信号来绕过任何加密。

在拥有遥控钥匙的用户接近车辆时车门解锁的无钥匙进入系统是广为人知的且在现今的汽车行业中是普遍的。允许通过同时检测遥控钥匙和特定姿势(诸如，在后保险杠下面的传感器附近晃动脚)来打开车辆行李厢或举升式车门的系统也是普遍的。已经提出的还有实现要求用户仅走到并停在(无需“踢”或“摆姿势”)举升式车门的前方的电容传感器阵列的解决方案。

一些提出的方法还描述了当用户离开该区域时举升式车门或行李厢盖也会如何自动关闭。一种甚至更包容的构思提出视觉、接近度和射频定位追踪的结合，以识别某人接近并停在车辆的举升式车门的前方的运动模式。如果此人也拥有遥控钥匙，则举升式车门自动打开。利用个人装置来认证用户并根据接近和离开自动解锁/锁定车门的许多方法已被公开。这些方法中的大部分使用蓝牙智能或类似的无线技术来检测接近度，在一些情况下，检测接近车辆的路线。

然而，这些解决方案存在一些限制。一些方法将仅能联合遥控钥匙工作。与大多数电容式实施方式类似的一些方法将在用户离开车辆的后方时关闭举升式车门：在物体从例如乘客座椅被转移到行李厢的情况下，这会导致当用户在车辆的前方与后方之间移动时多次打开和关闭盖。所有这些方法还以驾驶员为中心，且当多个乘员一起同行时无法很好地权衡，但最重要的是，这些方法本质上对于窥探来说是不安全的。有恶意意图的人可以容易地“破解”当前的无钥匙进入系统。

技术实现要素：

在第一示意性实施例中，一种系统包括处理器，所述处理器被配置为：从移动装置接收用于激活识别序列的请求。所述处理器还被配置为：响应于所述请求，向移动装置发送多个带有时间戳的识别码。所述处理器还被配置为：在发送正确的识别码之后，接收确认。所述处理器还被配置为：计算正确的识别码的发送与确认被接收之间的时间延迟；在所述时间延迟低于预定义阈值的情况下，向移动装置提供车辆系统访问。

在第二示意性实施例中，一种系统包括移动装置，移动装置具有处理器，处理器被配置为：基于移动装置位于距车辆的预定接近度内，向具有处理器的车辆无线地发送访问请求。移动装置的处理器还被配置为：向车辆请求认证码。移动装置的处理器还被配置为：从车辆无线地接收一系列认证码；当确定来自所述一系列认证码的正确认证码已被接收时，利用确认来回应车辆。

在第三示意性实施例中，提供了一种计算机实现的方法，所述方法包括：从移动装置接收用于激活识别序列的请求。所述方法还包括：响应于所述请求，向移动装置发送多个带有时间戳的识别码。所述方法还包括：在发送正确的识别码之后，接收确认。此外，所述方法包括：计算正确的识别码的发送与确认被接收之间的时间延迟。所述方法还包括：从移动装置接收密钥代码；将所述密钥代码与当移动装置先前出现在车辆内时与移动装置交换的代码进行比较。此外，所述方法包括：测量从移动装置成功接收到的多个无线信号的强度。另外，所述方法包括：在所述时间延迟低于预定义阈值、验证了密钥代码以及测量的所述多个无线信号的信号强度与增强的信号强度的预定义模式相匹配的情况下，向移动装置提供车辆系统访问。

根据本发明的一个实施例，所述方法还包括：如果所述时间延迟不低于所述预定义阈值、所述密钥代码未被验证或者测量的所述多个无线信号的信号强度与增强的信号强度的所述预定义模式不匹配，则向移动装置发送警告。

附图说明

图1示出了示意性的车辆计算系统；

图2示出了用于车辆侧装置认证的示意性处理；

图3示出了用于装置侧认证的示意性处理。

具体实施方式

根据需要，在此公开本发明的具体实施例；然而，应理解的是，所公开的实施例仅为本发明的示例，其可以以多种可替代形式实施。附图无需按比例绘制；可夸大或最小化一些特征以示出特定组件的细节。因此，此处所公开的具体结构和功能细节不应被解释为限制，而仅仅作为用于教导本领域技术人员以多种形式利用本发明的代表性基础。

图1示出了用于车辆31的基于车辆的计算系统(vcs)1的示例框式拓扑图。这种基于车辆的计算系统1的示例为由福特汽车公司制造的sync系统。设置有基于车辆的计算系统的车辆可包含位于车辆中的可视前端界面4。如果所述界面设置有例如触摸敏感屏幕，则用户还能够与所述界面进行交互。在另一示意性实施例中，通过按钮按压或具有自动语音识别和语音合成的口语会话系统来进行交互。

在图1所示的示意性实施例1中，处理器3控制基于车辆的计算系统的至少一部分操作。设置在车辆内的处理器允许对命令和例程进行车载处理。另外，处理器连接到非持久性存储器5和持久性存储器7两者。在此示意性实施例中，非持久性存储器是随机存取存储器(ram)，持久性存储器是硬盘驱动器(hdd)或闪存。一般说来，持久性(非暂时性)存储器可包括当计算机或其它装置掉电时保持数据的所有形式的存储器。这些存储器包括但不限于：hdd、cd、dvd、磁带、固态驱动器、便携式usb驱动器和任何其它适当形式的持久性存储器。

处理器还设置有允许用户与处理器进行交互的若干不同的输入。在此示意性实施例中，麦克风29、辅助输入25(用于输入33)、usb输入23、gps输入24、屏幕4(可为触摸屏显示器)和蓝牙输入15全部被提供。还提供输入选择器51，以允许用户在各种输入之间进行切换。对于麦克风和辅助连接器两者的输入在被传送到处理器之前，由转换器27对所述输入进行模数转换。尽管未示出，但是与vcs进行通信的众多车辆组件和辅助组件可使用车辆网络(诸如但不限于can总线)向vcs(或其组件)传送数据并传送来自vcs(或其组件)的数据。

系统的输出可包括但不限于视觉显示器4以及扬声器13或立体声系统输出。扬声器连接到放大器11，并通过数模转换器9从处理器3接收其信号。还可分别沿19和21所示的双向数据流产生到远程蓝牙装置(诸如个人导航装置(pnd)54)或usb装置(诸如车辆导航装置60)的输出。

在一示意性实施例中，系统1使用蓝牙收发器15与用户的移动装置53(例如，蜂窝电话、智能电话、pda或具有无线远程网络连接能力的任何其它装置)进行通信(17)。移动装置随后可被用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，蜂窝塔57可以是wifi接入点。

移动装置与蓝牙收发器之间的示例性通信由信号14表示。

可通过按钮52或类似的输入来指示移动装置53与蓝牙收发器15进行配对。相应地，cpu被指示使得车载蓝牙收发器将与移动装置中的蓝牙收发器进行配对。

可利用例如与移动装置53关联的数据计划、话上数据或dtmf音在cpu3与网络61之间传送数据。可选地，可期望包括具有天线18的车载调制解调器63以便在cpu3与网络61之间通过语音频带传送数据(16)。移动装置53随后可被用于通过例如与蜂窝塔57的通信(55)来与车辆31外部的网络61进行通信(59)。在一些实施例中，调制解调器63可与蜂窝塔57建立通信20，以与网络61进行通信。作为非限制性示例，调制解调器63可以是usb蜂窝调制解调器，并且通信20可以是蜂窝通信。

在一个示意性实施例中，处理器设置有包括用于与调制解调器应用软件进行通信的api的操作系统。调制解调器应用软件可访问蓝牙收发器上的嵌入式模块或固件，以完成与(诸如在移动装置中发现的)远程蓝牙收发器的无线通信。蓝牙是ieee802pan(个域网)协议的子集。ieee802lan(局域网)协议包括wifi并与ieee802pan具有相当多的交叉功能。两者都适合于车辆内的无线通信。可在该领域使用的另一通信方式是自由空间光通信(诸如irda)和非标准化消费者红外(ir)协议。

在另一实施例中，移动装置53包括用于语音频带或宽带数据通信的调制解调器。在话上数据的实施例中，当移动装置的所有者可在数据被传送的同时通过装置说话时，可实施已知为频分复用的技术。在其它时间，当所有者没有在使用装置时，数据传送可使用整个带宽(在一个示例中是300hz至3.4khz)。尽管频分复用对于车辆与互联网之间的模拟蜂窝通信而言会是常见的并仍在被使用，但其已经很大程度上被用于数字蜂窝通信的码域多址(cdma)、时域多址(tdma)、空域多址(sdma)的混合体所替代。这些都是ituimt-2000(3g)兼容的标准，为静止或步行的用户提供高达2mbps的数据速率，并为在移动的车辆中的用户提供高达385kbps的数据速率。3g标准现在正被imt-advanced(4g)所替代，其中，所述imt-advanced(4g)为在车辆中的用户提供100mbps的数据速率，并为静止的用户提供1gbps的数据速率。如果用户具有与移动装置53关联的数据计划，则所述数据计划可允许宽带传输且系统可使用宽得多的带宽(加速数据传送)。在另一实施例中，移动装置53被安装至车辆31的蜂窝通信装置(未示出)所替代。在另一实施例中，移动装置(nd)53可以是能够通过例如(而不限于)802.11g网络(即wifi)或wimax网络进行通信的无线局域网(lan)装置。

在一个实施例中，传入数据可经由话上数据或数据计划通过移动装置，通过车载蓝牙收发器，并进入车辆的内部处理器3。例如，在某些临时数据的情况下，数据可被存储在hdd或其它存储介质7上，直至不再需要所述数据时为止。

可与车辆进行接口连接的其它的源包括：具有例如usb连接56和/或天线58的个人导航装置54、具有usb62或其它连接的车辆导航装置60、车载gps装置24或具有与网络61的连接的远程导航系统(未示出)。usb是一类串行联网协议中的一种。ieee1394(火线^tm(苹果)、i.link^tm(索尼)和lynx^tm(德州仪器))、eia(电子工业协会)串行协议、ieee1284(centronics端口)、s/pdif(索尼/飞利浦数字互连格式)和usb-if(usb开发者论坛)形成了装置-装置串行标准的骨干。多数协议可针对电通信或光通信来实施。

此外，cpu可与各种其它的辅助装置65进行通信。这些装置可通过无线连接67或有线连接69来连接。辅助装置65可包括但不限于个人媒体播放器、无线保健装置、便携式计算机等。

此外或可选地，可使用例如wifi(ieee803.11)收发器71将cpu连接到基于车辆的无线路由器73。这可允许cpu在本地路由器73的范围内连接到远程网络。

除了由位于车辆中的车辆计算系统执行示例性处理之外，在某些实施例中，还可由与车辆计算系统通信的计算系统来执行示例性处理。这样的系统可包括但不限于：无线装置(例如而非限制，移动电话)或通过无线装置连接的远程计算系统(例如而非限制，服务器)。这样的系统可被统称为与车辆关联的计算系统(vacs)。在某些实施例中，vacs的特定组件可根据系统的特定实施而执行处理的特定部分。通过示例而并非限制的方式，如果处理具有与配对的无线装置进行发送或者接收信息的步骤，则很可能由于无线装置不会与自身进行信息的“发送和接收”而使得无线装置不执行该处理的这一部分。本领域的普通技术人员将理解何时不适合对给定解决方案应用特定的计算系统。

在此讨论的示意性实施例中的每一个实施例中，示出了可由计算系统执行的处理的示例性的、非限制的示例。针对每个处理，执行处理的计算系统可能出于执行处理的有限目的而变成被配置为专用处理器以执行处理。所有的处理不需要全部被执行，并且被理解为可被执行以实现本发明的要素的处理类型的示例。可根据需要向示例性处理添加额外的步骤或从示例性处理去除额外的步骤。

示意性实施例提出了利用物理属性、严格定时和电力签名(powersignature)的改进的远程访问功能(例如，非限制性地，锁定和解锁)。这些示意性示例和类似示例更难以(如果并非不可能的话)利用中继攻击进行复制。

示意性框架可被用于建立更安全的、更加用户友好的交互范例，以用于无钥匙进入和车辆封闭结构(诸如，车门、举升式车门和行李厢盖)的自动锁定-解锁：一次性认证密钥在驾驶员每次进入车辆并驶离时被交换。但是，该方法仍然容易受到中继攻击。中继攻击(也称为中间人)是特别难以阻止的，这是因为他们可通过仅在认证过程处理的两端捕获并重发信号来绕过任何加密。

示意性示例描述了用于安全地认证位于车辆外部的个人装置的方法。安全认证有益于使用个人装置获得对车辆的关键功能(诸如，解锁车门、启动发动机、降低车窗等(由于察觉到恶意复制会允许对车辆的访问或者甚至是车辆的控制，所以这些功能是关键的))的访问权。

示意性实施例采用下面的方法，一旦个人装置被识别为位于车辆内的特定座椅位置且车辆处于移动中，则所述方法使用在个人装置与车辆之间进行交换的一次性加密密钥配对。系统很难“侵入”，这是因为其依赖于信号强度的物理测量，而不是依赖于可能更容易伪造的数字数据包。然而，即使是一次性使用的加密密钥也容易受到有效执行的中继攻击的攻击。

例如，考虑车主和车辆处在分离的位置的情况。车辆附近的盗贼捕获来自车辆的通信信号并通过长距离通信链路将通信信号发送给车主附近的第二个盗贼。第二个盗贼将该信号发送给车主，捕获车主的个人装置响应，并将个人装置响应发送回给第一个盗贼。第一个盗贼将个人装置响应发送到车辆，认证完成，无需破解任何加密。有时候在两个位置之间需要一次以上的循环，但是这不能弥补该问题的严重性。

破解中继攻击的稳健方式是在认证处理中嵌入用于“匹配”与数字加密无关的一些物理参数的要求。这种额外的物理信息可以是定时、信号强度或者其它参数。

示意性示例始于当驾驶员被识别为在车辆内时交换一次性加密代码。除了交换一次性代码，个人装置和车辆安全模块还交换识别令牌。由于被用于检测个人装置的位置的rssi信号在尝试未被检测到的情况下无法被伪造，所以这种交换是安全的。

当驾驶员离开车辆时，认证方法对于中间人攻击来说容易受到攻击。然而，示意性认证方法可检测中继攻击，并成功地阻止其完成。也可向驾驶员和/或警察警告失败的尝试。

当个人装置距车辆短距离时，个人装置请求车辆发起识别序列。此时，车辆从休眠状态唤醒并开始通过ble或者其他通信链路发送识别码的带时间戳的随机序列。由于与经过每个扇区时产生不同符号的纺车(spinningwheel)类似，因此这个阶段可被称作“纺车”。注意到的是，车辆可能被中继攻击“欺骗”而发起识别序列。

个人装置扫描从车辆接收的令牌的识别序列，并且当正确的令牌与一次性令牌匹配时，立即发送确认(ack)。ack消息也可能被中间人攻击捕获。

当车辆从个人装置接收到ack时，车辆计算从正确的令牌最初被发送的时刻到接收到ack的时刻的延迟。该时间间隔必须小于阈值。中间人攻击会导致可能使得该条件失败的延迟，车辆安全模块会知道有人曾试图非法侵入系统，并且消息可被发送给车主和/或警察。

一次性代码自动化访问可被取消，且当车主下一次需要访问车辆时，他/她需要物理地按压个人装置上的按钮。如果该阶段成功完成，则车辆安全模块向个人装置发送其加密密钥。个人装置接收并匹配加密密钥。如果成功，则一次性加密密钥的再次配对被发送到车辆。如果交换的所有数据匹配，则个人装置被认证且被给予对车辆的特定功能的访问权。

为了使得认证过程甚至更加稳健，从个人装置到车辆上的多个模块的消息的信号强度(rssi)可被要求匹配某人走向车辆的签名模式。相反地，装置也可使用从模块发送的消息的电力签名以识别中间人攻击。rssi应随着带有个人装置的车主靠近车辆而增大。该增大应随装置变得越靠近车辆而变得更强。如果发送到车辆安全模块的/从车辆安全模块接收的过滤的信号满足下面三个属性(例如如下)，则信号可被确认：

1、信号应在组合信道的均值上单调增大。

2、信号应在小于预定时间间隔的时间间隔内从阈值1增大到阈值2。

3、信道信号分布应为这两种模式之一：

a、同侧的两个信道比相对侧的两个信道具有一致更大的信号；或者

b、一个信道比两个相邻信道具有更大的信号，且甚至比相对信道具有更大的信号(当以某角度接近时)。

这些rssi模式符合移动装置接近车辆，这与驾驶员正接近的意图是一致的，而与远程源试图伪造信号相悖。

图2示出了用于车辆侧装置认证的示意性处理。针对该附图中描述的示意性实施例，注意到的是，通用处理器可被临时用作专用处理器，以用于执行在此示出的部分或全部示例性方法。当执行提供用于执行所述方法的部分或全部步骤的指令的代码时，处理器可被临时改变用途作为专用处理器，直到方法完成时为止。在另一示例中，在适当的程度上，根据预配置的处理器执行的固件可使处理器充当被提供用于执行所述方法或它的一些合理变型的专用处理器。

在该示意性示例中，当驾驶员接近车辆时处理开始。车辆可通常保持在休眠状态，以防止电池因一直搜索驾驶员装置而耗尽。然而，在该示例中，接收到来自驾驶员装置的请求可使得车辆唤醒以开始认证处理。驾驶员装置可通过例如接收到车辆识别信号或者基于与驾驶员装置坐标比较的已知车辆gps坐标来识别驾驶员装置与车辆的接近度。

在201，当车辆接收到令牌请求或者其他唤醒命令时，认证处理可在车辆侧开始。一旦请求开始，则在203，车辆侧处理生成一系列令牌，将它们发送到车辆。这些令牌中的许多是无效的，用于抵御欺骗尝试的目的而被发送。这些无效令牌将在被驾驶员装置接收时被忽略。针对发送的每个令牌，在205，时间戳被记录。这将用于下面描述的认证处理步骤。

一旦驾驶员装置接收到正确的令牌，而不是被设计为包装攻击者的虚假令牌，则在207驾驶员装置可发送回确认。如果车辆接收到确认，则两个事项可被考虑。首先是针对正确令牌的确认。如果虚假令牌被确认，则处理可将该确认视为恶意访问车辆的尝试，且至少临时禁用远程访问。

然而，更复杂的黑客可能能够例如通过将生成的令牌从车辆附近的装置转发到驾驶员附近的装置来对正确的令牌做出回应。这样模仿了驾驶员在车辆附近，并可以使驾驶员装置对正确的令牌做出回应(正确的令牌随后从驾驶员附近的装置被转发到车辆附近的黑客装置，随后回到车辆)。然而，所有的传输需要一定有限时间段。存在标准时间间隔，在标准时间间隔内驾驶员装置(如果确实在车辆附近)将会回应请求。如果响应于发送的令牌而发送的响应令牌不正确，或者如果在211用于回应正确令牌的时间间隔209太长，则在213，车辆可直接向驾驶员装置、监测服务、安全服务等发送警报。在215，处理还可随后禁用尝试被访问的车辆服务的远程使用，以及其他服务(如果需要)。此时，通过物理地解锁车辆，驾驶员将能够进入(或者使用超驰代码或其他不可复制的安全措施)。

然而，处理不止使用时间间隔以及正确密钥的选择以用于认证。下一个步骤是将第一密钥发送到车辆(217)。这是当移动装置(驾驶员的移动装置)曾在车辆中出现时交换的密钥对的一部分。驾驶员装置验证第一密钥，并且响应地发送第二密钥。在219，该第二密钥被车辆接收，且在221被验证以用于匹配。如果匹配失败，或者如果密钥从未被接收，则处理可假设进行了恶意尝试且采取适当措施。这也可仅在错误的第二密钥被接收到的情况下发生。

密钥处理也可能容易受到中继攻击的影响，通过将第一密钥中继到驾驶员装置附近的装置，随后中继到驾驶员装置，使响应密钥(由驾驶员装置广播的响应密钥)被发送到驾驶员附近的装置，被发送到车辆附近的中继装置，随后被发送到车辆本身。

相应地，rssi信号认证的第三安全措施也在该示例中被采用。由于响应于各种安全措施而从移动装置接收到消息，因此应存在随着驾驶员接近车辆而增大的消息信号强度的可确定模式。该范围应从当唤醒被最初接收到时的非常低的信号变化到当驾驶员接近时强度迅速增大。识别该增强的信号的失败可指示用于访问车辆的恶意尝试正在进行。

在223，如果rssi签名匹配，则在225，处理可进行到将装置认证为被允许访问请求的车辆功能。在227，来自装置的请求的动作可随后由车辆进行处理。

图3示出了用于装置侧认证的示意性处理。针对该附图中描述的示意性实施例，注意到的是，通用处理器可被临时用作专用处理器，以用于执行在此示出的部分或全部示例性方法。当执行提供用于执行所述方法的部分或全部步骤的指令的代码时，处理器可被临时改变用途作为专用处理器，直到方法被完成时为止。在另一示例中，在适当的程度上，根据预配置的处理器执行的固件可使处理器充当被提供用于执行所述方法或它的一些合理变型的专用处理器。

示意性处理表示示意性认证程序的装置侧处理。如注意到的，车辆可处于休眠，直到装置发送用于唤醒车辆的信号。在该示例中，装置可检测车辆的存在(通过低强度信号)，基于gps坐标、持续广播低强度唤醒信号或者当装置位于车辆附近时建立车辆通信的其他适当方法来“知晓”车辆在附近。

在301，一旦与车辆的初始通信已被建立，则在303，处理可向车辆请求令牌。如先前说明地，响应于该请求，车辆可生成多个令牌，且装置应仅回应正确的令牌。该主题的变型(发送用于响应的虚假数据和有效数据)也是可行的。在305，当车辆接收到令牌时，在307，车辆将每一个令牌与已知的、正确的令牌进行比较，查找匹配。

一旦合适的令牌已被匹配，则在309，处理立刻将确认发送到车辆。这是车辆将结合时间戳使用的确认，以确定请求是否在合适的时间段内被接收。

在311，装置随后等待来自车辆的密钥，所述密钥将在车辆确认令牌响应的正确接收的情况下被发送。在313，如果接收到的密钥与当装置在车辆中时由装置先前接收到的密钥匹配，则在319，处理还将在321发送回第二密钥之前检查rssi信号强度变化。这样的话，即使更聪明的黑客正在缓慢接近车辆，同时中继信号，以模拟中继的信号的rssi信号强度，驾驶员装置也不会接收到正确增大的rssi信号(由于中继的消息将从中继装置被接收到，而不是从车辆被接收到)。因此，装置将不会发送第二密钥，从而阻止了认证的最后步骤的发生。所述双侧的、多格式的加密使得使用中继攻击来伪造认证处理变得异常困难(如果不是不可能的话)。在313，如果接收到的密钥与当装置在车辆中时由装置先前接收到的密钥不匹配，则在315，处理警告用户，并且在317，处理禁用系统。

示意性实施例提出了用于认证位于车辆外部的个人装置的改进的方法。该认证被用于访问各种功能，诸如，允许访问车辆、锁定/解锁车门、举升式车门和行李厢盖。该方法利用了在每次个人装置被检测到在车辆内时的关于一次性访问代码的问题。这通过使用以下两者阻止了中间人攻击：1)对车辆安全模块发出的轮换令牌进行及时回应，2)与某人接近车辆的签名相匹配的发送的电力rssi。将物理签名与数字加密进行结合将使得系统更难被暴力和中间人的途径破解。

尽管上面描述了示例性实施例，但并不意在这些实施例描述本发明的所有可能形式。更确切地，说明书中使用的词语为描述性词语而非限制性词语，并且应理解，可在不脱离本发明的精神和范围的情况下做出各种改变。此外，可组合各种实现的实施例的特征以形成本发明进一步的实施例。