一种物联网设备、物联网认证平台、认证方法及系统与流程

本发明涉及物联网技术领域，尤其涉及一种物联网设备、物联网认证平台、认证方法及系统。

背景技术：

随着物联网技术的快速发展，物联网设备层出不穷，物联网设备主要通过与物联网管理平台进行通信的方式实现相应的业务和功能。现有技术中，在对物联网设备进行认证时，主要提出了以下两种认证方法：

第一种认证方法：利用物联网设备中的至少一个配件的编号生成物联网设备标识，并将生成的物联网设备标识注册到物联网管理平台，物联网管理平台通过对比两次接收到的物联网设备标识是否一致，判断该物联网设备是否通过认证。在对物联网设备进行认证时，将物联网设备中的配件的编号作为物联网设备的身份证明，仅仅能够保证物联网设备中的该配件的身份，不能有效地检测出物联网设备中的其他配件更替的情况，从而在物联网设备伪造等方面不能实现有效检测，进而，就可能存在通过破解某个伪造的物联网设备而侵入网络的风险。

第二种认证方法：物联网管理平台接收物联网设备发送的携带有经过加密的物联网设备的设备信息和设备身份标识(identity，id)的认证请求，经解密获得物联网设备的设备信息和设备id后，根据获得的设备id向移动设备管理(mobiledevicemanagement，mdm)查询对应的设备信息，从而根据mdm是否查询到对应的设备信息，或者，mdm查询到的设备信息与认证请求中携带的设备信息是否一致，判断该物联网设备是否通过认证。在对物联网设备进行认证时，将物联网设备的设备信息和设备id作为物联网设备的身份证明，仅仅保证了物联网设备的设备信息和设备id的身份，不能保证物联网设备中的各个硬件的完整性和可靠性，而且，由于未对通信消息进行认证，所以，还可能存在安全性问题。

基于上述分析，现有技术中提出的物联网设备的认证方法主要存在以下缺陷：

(1)缺少可靠的身份证明。仅以物联网设备中配件的编号作为物联网设备的身份证明，缺少与物联网设备的物理关联，不足以证明物联网设备的身份。

(2)缺少业务消息的认证。仅对物联网设备中的配件的编号或者物联网设备的设备信息和设备id进行认证，不能保证业务消息来源的可靠性以及物联网设备与业务平台之间通信的安全性。

(3)缺少可靠的通信保障。通信过程中使用固定的密钥和加解密方式，可能存在一个通信消息被拦截破解，其它所有通信消息不再受保护的风险。

技术实现要素：

本发明实施例提供了一种物联网设备、物联网认证平台、认证方法及系统，用以解决现有技术中存在的物联网设备认证效果较差、通信安全性较低的问题。

本发明实施例提供的具体技术方案如下：

一种认证方法，包括：

物联网设备向物联网认证平台发起注册请求，其中，注册请求中至少携带有基于物联网设备的网络信息和物理信息生成的物联网设备的第一设备标识；

物联网设备接收物联网认证平台返回的注册响应，并基于注册响应确定是否注册成功。

一种认证方法，包括：

物联网认证平台接收物联网设备发起的注册请求，其中，注册请求中至少携带有基于物联网设备的设备信息和物理信息生成的物联网设备的第一设备身份标识；

物联网认证平台基于预先保存的物联网设备的设备信息和物理信息，生成物联网设备的第二设备身份标识，并判断第二设备身份标识与第一设备身份标识是否相同；

物联网认证平台基于判断结果确定物联网设备是否注册成功后，向物联网设备返回注册响应。

一种物联网设备，包括：通用认证模块，其中，通用认证模块用于：

向物联网认证平台发起注册请求，其中，注册请求中至少携带有基于物联网设备的网络信息和物理信息生成的物联网设备的第一设备标识；

接收物联网认证平台返回的注册响应，并基于注册响应确定是否注册成功。

一种物联网认证平台，包括：

接收模块，用于接收物联网设备发起的注册请求，其中，注册请求中至少携带有基于物联网设备的设备信息和物理信息生成的物联网设备的第一设备身份标识；

认证模块，用于基于预先保存的物联网设备的设备信息和物理信息，生成物联网设备的第二设备身份标识，并判断第二设备身份标识与第一设备身份标识是否相同；

处理模块，用于基于判断结果确定物联网设备是否注册成功后，向物联网设备返回注册响应。

一种认证系统，包括：物联网设备和物联网认证平台，其中，

物联网设备，用于向物联网认证平台发起注册请求，其中，注册请求中至少携带有基于物联网设备的网络信息和物理信息生成的物联网设备的第一设备标识；接收物联网认证平台返回的注册响应；基于注册响应确定是否注册成功；

物联网认证平台，用于接收到物联网设备发起的注册请求的情况下，基于预先保存的物联网设备的设备信息和物理信息生成物联网设备的第二设备身份标识，并判断第二设备身份标识与第一设备身份标识是否相同，以及基于判断结果确定物联网设备是否注册成功后，向物联网设备返回注册响应。

较佳的，物联网设备还用于：在向物联网认证平台发起注册请求之前，基于第一设备标识和第一预置密钥生成第一校验信息，并将第一校验信息携带在注册请求中；

物联网认证平台还用于：基于第二设备标识和预先保存的第一预置密钥生成第二校验信息，并校验第一校验信息与第二校验信息是否一致。

较佳的，物联网设备进一步用于：在基于注册响应确定注册成功之后，向物联网认证平台发起根密钥初始化请求，并接收物联网认证平台在从hss中获取到鉴权向量的情况下发起的设备认证挑战；基于设备认证挑战中携带的鉴权向量包含的第一参数信息，计算res和第二参数信息，并基于第二参数信息，按照第一预设方式，计算根密钥，以及将res携带在设备认证应答中返回至物联网认证平台；接收物联网认证平台返回的根密钥协商结果，并基于根密钥协商结果确定根密钥协商完成后，基于根密钥，按照第二预设方式，计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥；

物联网认证平台进一步用于：接收到物联网设备发起的根密钥初始化请求的情况下，从hss中获取鉴权向量，并将鉴权向量包含的第一参数信息携带在设备认证挑战中发送至物联网设备；接收到物联网设备返回的设备认证应答的情况下，基于设备认证应答中携带的res与鉴权向量包含的xres是否一致的校验结果，确定物联网设备是否认证通过，并向物联网设备返回根密钥协商结果。

较佳的，物联网认证平台还用于：确定物联网设备认证通过的情况下，基于鉴权向量包含的第二参数信息，按照物联网设备在计算根密钥的过程中采用的第一预设方式，计算根密钥，并基于根密钥，按照物联网设备在计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥的过程中采用的第二预设方式，计算认证通信密钥。

较佳的，物联网设备还用于：在针对第一业务向业务平台发起业务请求之前，执行如下操作：获取到第一业务的业务密钥后，向物联网认证平台发起业务密钥认证请求；接收物联网认证平台返回的业务密钥认证结果，并基于接收到的业务密钥认证结果，确定第一业务的业务密钥认证通过的情况下，基于物联网设备的设备信息和第一业务的业务信息，生成用于对发起第一业务的物联网设备进行认证的业务来源凭证，以及，基于根密钥，按照第三预设方式，计算物联网设备与业务平台在针对第一业务进行通信的过程中用于通信加密的业务通信密钥；

物联网认证平台还用于：接收到物联网设备针对第一业务的业务密钥发起的业务密钥认证请求的情况下，对第一业务的业务密钥进行认证，并向物联网设备返回业务密钥认证结果。

较佳的，认证系统还包括：业务平台，其中，

物联网设备还用于：针对第一业务向业务平台发起业务请求，其中，业务请求中至少携带有第一业务的业务来源凭证；接收业务平台返回的第一业务的业务结果；

业务平台用于：接收到物联网设备针对第一业务向业务平台发起的业务请求的情况下，针对第一业务向物联网认证平台发起业务来源认证请求；接收物联网认证平台返回的业务来源认证结果，并基于业务来源认证结果确定发起第一业务的物联网设备认证通过的情况下，对物联网设备发起的业务请求进行相应处理后，向物联网设备返回业务结果；

物联网认证平台还用于：接收到业务平台针对第一业务发起的业务来源认证请求的情况下，基于业务来源认证请求中携带的第一业务的业务来源凭证，对发起第一业务的物联网设备进行认证，并将业务来源认证结果返回至业务平台。

较佳的，物联网认证平台还用于：确定发起第一业务物联网设备认证通过的情况下，基于根密钥，按照物联网设备在计算物联网设备与业务平台在针对第一业务进行通信的过程中用于通信加密的业务通信密钥的过程中采用的第三预设方式，计算业务通信密钥。

本发明实施例的有益效果如下：

本发明实施例中，利用物联网设备的网络信息和物理信息生成物联网设备的第一设备标识，不仅保证了第一设备标识的唯一性，还使得物联网设备的第一设备标识能够与物联网设备的各个硬件绑定，实现了物联网设备的第一设备标识与物联网设备的各个硬件的物理关联，为后续在物联网设备的注册过程中对物联网设备进行身份认证提供了良好的认证基础。

附图说明

图1为本发明实施例一中认证方法的主要流程示意图；

图2a和图2b为本发明实施例二中认证方法的具体流程示意图；

图3为本发明实施例三中注册阶段的具体流程示意图；

图4为本发明实施例四中业务来源认证阶段的具体流程示意图；

图5为本发明实施例五中物联网设备的功能结构示意图；

图6为本发明实施例六中物联网认证平台的功能结构示意图；

图7为本发明实施例七中认证系统的组成结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，并不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了解决现有技术中存在的物联网设备认证效果较差、通信安全性较低的问题，本发明实施例中，利用物联网设备的网络信息和物理信息，生成物联网设备的不可伪造替换的唯一设备标识，即第一设备标识。在物联网设备向物联网认证平台注册的过程中，通过物联网设备的唯一设备标识，实现对物联网设备的身份认证。在物联网设备向业务平台请求第一业务之前，通过为第一业务申请业务来源凭证，为后续对发起第一业务的物联网设备进行认证提供了有效依据，而在物联网设备针对第一业务向业务平台发起业务请求之后，业务平台可通过物联网认证平台基于第一业务的业务来源凭证对发起第一业务的物联网设备进行认证，从而实现对第一业务的业务来源的认证，保证了第一业务的业务来源的可靠性，提高了物联网设备与业务平台之间通信的安全性。此外，在物联网设备与物联网认证平台进行通信的过程中，可通过协商的认证通信密钥进行通信加密，在物联网设备与业务平台针对第一业务进行通信的过程中，可通过针对第一业务协商的业务通信密钥进行通信加密，从而保证了物联网设备与物联网认证平台和业务平台之间通信的可靠性和安全性。

下面通过具体实施例对本发明方案进行详细描述，当然，本发明并不限于以下实施例。

实施例一

参阅图1所示，本发明实施例一中，认证方法的流程如下：

步骤100：物联网设备向物联网认证平台发起注册请求，其中，该注册请求中至少携带有基于该物联网设备的网络信息和物理信息生成的不可伪造替换的第一设备标识。

步骤101：物联网认证平台接收到物联网设备发起的注册请求的情况下，基于预先保存的该物联网设备的网络信息和物理信息生成第二设备标识，并在确定第二设备标识与第一设备标识相同的情况下，认定物联网设备注册成功，向物联网设备返回注册响应。

步骤102：物联网设备基于物联网认证平台返回的注册响应，确定注册成功的情况下，通过与物联网认证平台的协商，获取物联网设备与物联网认证平台之间的认证通信密钥。这样，后续物联网设备在与物联网认证平台进行通信的过程中，可通过该认证通信密钥进行通信加密，以保证物联网设备与物联网认证平台之间通信的可靠性和安全性。

步骤103：物联网设备通过与物联网认证平台的协作，为第一业务申请业务来源凭证，并通过物联网认证平台基于该业务来源凭证对发起第一业务的物联网设备进行认证，在对发起第一业务的物联网设备进行认证的过程中，通过与物联网认证平台的协商，获取物联网设备与业务平台之间的业务通信密钥。这样，后续在物联网设备针对第一业务与业务平台进行通信的过程中，可通过该业务通信密钥进行通信加密，以保证物联网设备与业务平台之间通信的可靠性和安全性。

本发明实施例一中，认证方法主要包括两个阶段，即注册阶段和业务来源认证阶段。在注册阶段，利用物联网设备的网络信息和物理信息生成物联网设备的第一设备标识，不仅保证了第一设备标识的唯一性，还使得物联网设备的第一设备标识能够与物联网设备的各个硬件绑定，实现了物联网设备的第一设备标识与物联网设备的各个硬件的物理关联，为后续在物联网设备的注册过程中对物联网设备进行身份认证提供了良好的认证基础，而且，物联网设备与物联网认证平台还协商了在物联网设备与物联网认证平台进行通信的过程中用于通信加密的认证通信密钥，从而保证了物联网设备与物联网认证平台之间通信的可靠性和安全性；在业务来源认证阶段，通过为第一业务申请业务来源凭证，为后续对发起第一业务的物联网设备进行认证提供了良好的认证基础，保证了业务来源的可靠性，而且，物联网设备与物联网认证平台还协商了在物联网设备与业务平台针对第一业务进行通信的过程中用于通信加密的业务通信密钥，从而保证了物联网设备与业务平台之间通信的可靠性和安全性。

实施例二

下面对上述实施例中的认证方法作进一步详细说明，参阅图2a和图2b所示，本发明实施例二中，认证方法的具体流程如下：

步骤200：物联网设备向物联网认证平台发起注册请求，其中，该注册请求中至少携带有基于该物联网设备的网络信息和物理信息生成的不可伪造替换的第一设备标识，以及基于第一设备标识和第一预置密钥生成的第一校验信息。

较佳的，物联网设备的网络信息可以是但不限于是以下任意一种或任意组合：入网标识，国际移动用户识别码(internationalmobilesubscriberidentity，imsi)，媒体接入控制(mediumaccesscontrol，mac)地址，以及eid；物联网设备的物理信息可以是但不限于是以下任意一种或任意组合：生产厂商标识(manufactureridentity，mid)，产品标识(productidentity，pid)，序列号(serialnumber，sn)，以及预置的第一随机数。

步骤201：物联网认证平台接收到物联网设备发起的注册请求的情况下，基于预先保存的该物联网设备的网络信息和物理信息生成第二设备标识，并判断生成的第二设备标识与注册请求中携带的第一设备标识是否相同；以及，基于第二设备标识和预先保存的第一预置密钥生成第二校验信息，并校验注册请求中携带的第一校验信息与生成的第二校验信息是否一致。

步骤202：物联网认证平台基于第二设备标识与第一设备标识是否相同的判断结果，以及第一校验信息与第二校验信息是否一致的校验结果，确定物联网设备是否注册成功。

较佳的，为了后续能够根据物联网设备的第一设备标识直接确定物联网设备的相关注册信息，物联网认证平台可以在确定物联网设备是否注册成功后，基于物联网设备的第一设备标识，保存物联网设备是否注册成功的注册信息。

步骤203：物联网认证平台向物联网设备返回注册响应。

步骤204：物联网设备基于物联网认证平台返回的注册响应，确定是否注册成功。

本发明实施例二中，为了保证后续物联网设备与物联网认证平台之间通信的安全性和可靠性，物联网设备基于物联网认证平台返回的注册响应确定注册成功的情况下，还可以通过与物联网认证平台的协商，获取物联网设备与物联网认证平台之间用于通信加密的认证通信密钥。具体地，在获取认证通信密钥时，可以采用但不限于以下方式：

步骤205：物联网设备基于物联网认证平台返回的注册响应确定注册成功的情况下，向物联网认证平台发起根密钥初始化请求，其中，该根密钥初始化请求中至少携带有该物联网设备的第一设备标识。

步骤206：物联网认证平台基于根密钥初始化请求中携带的第一设备标识，获取该物联网设备的注册信息，并基于获得的注册信息，确定该物联网设备注册成功的情况下，向归属签约用户服务器(homesubscriberserver，hss)发起鉴权向量请求，以索要鉴权向量。

步骤207：hss向物联网认证平台返回携带有鉴权向量的鉴权向量响应，其中，鉴权向量至少包含以下五元组：第二随机数，预期用户响应参数(expecteduserresponse，xres)，加密密钥(cipherkey，ck)，完整性保护密钥(integritykey，ik)，鉴权向量凭证(authenticationtoken，autn)。

步骤208：物联网认证平台向物联网设备发起设备认证挑战，其中，该设备认证挑战中至少携带有从hss中获得的鉴权向量包含的第一参数信息(即第二随机数和autn)。

步骤209：物联网设备基于设备认证挑战中携带的第一参数信息(即第二随机数和autn)，计算预期校验码(expectedmessageauthenticationcode，xmac)，并校验xmac与autn包含的校验码(messageauthenticationcode，mac)是否一致。

步骤210：物联网设备确定xmac与mac一致的情况下，认定xmac与mac校验通过，开始计算鉴权响应参数(userresponse，res)和第二参数信息(即ck和ik)，并基于计算出的第二参数信息(即ck和ik)，按照第一预设方式，计算根密钥。

步骤211：物联网设备将计算出的res携带在设备认证应答中返回至物联网认证平台。

步骤212：物联网认证平台校验设备认证应答中携带的res与从hss中获得的鉴权向量包含的xres是否一致，并基于res与xres是否一致的校验结果，确定物联网设备是否认证通过。

步骤213：物联网认证平台向物联网设备返回根密钥协商结果，以通知物联网设备根密钥协商完成。进一步地，物联网认证平台在确定res与xres一致的情况下，认定物联网设备认证通过，可继续执行步骤209。

步骤214：物联网认证平台基于从hss中获得的鉴权向量包含的第二参数信息(即ck和ik)，采用第一预设方式，计算根密钥，以及基于计算出的根密钥、第一预设字符串、第二随机数和物联网设备的第一设备标识，采用第二预设方式，计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥。

步骤215：物联网设备基于物联网认证平台返回的根密钥协商结果，确定根密钥协商完成的情况下，基于计算出的根密钥、第一预设字符串、第二随机数和物联网设备的第一设备标识，采用第二预设方式，计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥。

至此，注册阶段结束。利用物联网设备的网络信息和物理信息生成物联网设备的第一设备标识，不仅保证了第一设备标识的唯一性，还使得物联网设备的第一设备标识能够与物联网设备的各个硬件绑定，实现了物联网设备的第一设备标识与物联网设备的各个硬件的物理关联，为后续在物联网设备的注册过程中对物联网设备进行身份认证提供了良好的认证基础。而且，通过物联网设备与物联网认证平台的协商获取认证通信密钥，后续在物联网设备与物联网认证平台进行通信的过程中，可采用协商的认证通信密钥进行加密，以保证物联网设备与物联网认证平台之间通信的安全性和可靠性。

进一步地，物联网设备还可以通过与业务平台之间的通信实现相应业务，本发明实施例二中，为了能够实现对业务来源的认证，物联网设备可通过与物联网认证平台的协商为业务申请相应的业务来源凭证，并在生成业务来源凭证的过程中获取针对该业务协商的用于物联网设备与业务平台之间进行通信加密的业务通信密钥，以便后续在物联网设备与业务平台针对该业务进行通信的过程中，可采用针对该业务协商的业务通信密钥进行通信加密，从而保证物联网设备与业务平台之间通信的安全性和可靠性。具体地，在对业务进行认证时，可以采用但不限于以下方式：

步骤216：物联网设备获取到第一业务的业务密钥后，向物联网认证平台发起业务密钥认证请求，其中，该业务密钥认证请求中至少携带有物联网设备的第一设备标识，第一业务的业务标识，通过第一业务的业务密钥加密的包含包名和包签名的第一密文，物联网设备生成的第三随机数，以及基于物联网设备的第一设备标识、第一业务的业务标识、包名、包签名和第三随机数生成的第三校验信息。

步骤217：物联网认证平台基于业务密钥认证请求中携带的物联网设备的第一设备标识和第一业务的业务标识，获取第一业务的业务密钥，并利用获得的第一业务的业务密钥，对业务密钥认证请求中携带的第一密文进行解密，以获取包名和包签名，在获取到包名和包签名的情况下，基于物联网设备的第一设备标识、第一业务的业务标识、包名、包签名和第三随机数，生成第四校验信息，并校验业务密钥认证请求中携带的第三校验信息与生成的第四校验信息是否一致。

步骤218：物联网认证平台确定第三校验信息与第四校验信息一致的情况下，认定第三校验信息与第四校验信息校验通过，并基于第三校验信息与第四校验信息校验通过的校验结果、第一业务的业务标识和通过认证通信密钥加密的包含第一业务的业务密钥的第二密文，生成第五校验信息。

步骤219：物联网认证平台向物联网设备返回业务密钥校验结果，其中，该业务密钥校验结果中至少携带有第一业务的业务标识，通过认证通信密钥加密的包含第一业务的业务密钥的第二密文，第三校验信息与第四校验信息校验通过的校验结果，生成的第五校验信息，以及时间戳。

步骤220：物联网设备基于业务密钥校验结果中携带的第三校验信息与第四校验信息校验通过的校验结果、第一业务的业务标识和第二密文，生成第六校验信息，并校验业务密钥校验结果中携带的第五校验信息与生成的第六校验信息是否一致。

步骤221：物联网设备确定第五校验信息与第六校验信息一致的情况下，认定第五校验信息与第六校验信息校验通过，可进一步认定第一业务的业务密钥认证通过。此时，物联网设备可基于第一设备标识的相关信息和mac地址的相关信息等设备信息，以及业务序列号的相关信息和版本相关信息等业务信息，生成用于对发起第一业务的物联网设备进行认证的业务来源凭证，并基于根密钥、第二预设字符串、第三随机数、第一业务的业务标识和物联网设备的第一设备标识，采用第三预设方式，计算在物联网设备与业务平台针对第一业务进行通信的过程中用于通信加密的业务通信密钥。

步骤222：物联网设备针对第一业务向业务平台发起业务请求，其中，该业务请求中至少携带有第一业务的业务来源凭证。

步骤223：业务平台接收到物联网设备针对第一业务发起的业务请求的情况下，向物联网认证平台发起业务来源认证请求，其中，该业务来源认证请求中至少携带有业务平台标识，以及第一业务的业务来源凭证。

步骤224：物联网认证平台基于针对物联网设备预先保存的第一设备标识的相关信息和mac地址的相关信息等设备信息，以及针对第一业务预先保存的业务序列号的相关信息和版本相关信息等业务信息，对业务来源认证请求中携带的第一业务的业务来源凭证进行校验。

步骤225：物联网认证平台确定第一业务的业务来源凭证校验通过的情况下，认定发起第一业务的物联网设备认证通过，并基于根密钥、第二预设字符串、第三随机数、第一业务的业务标识和物联网设备的第一设备标识，采用第三预设方式，计算在物联网设备与业务平台针对第一业务进行通信的过程中用于通信加密的业务通信密钥。

步骤226：物联网认证平台向业务平台返回业务来源认证结果，其中，该业务来源认证结果中至少携带有发起第一业务的物联网设备认证通过的认证结果，物联网设备的第一设备标识，以及第一业务的业务通信密钥。

步骤227：业务平台基于接收到的业务来源认证结果，确定发起第一业务的物联网设备认证通过的情况下，基于物联网设备的第一设备标识对会话进行标记，并对物联网设备发起的业务请求进行相应处理。

步骤228：业务平台向物联网设备返回业务结果。

至此，第一业务的业务来源认证阶段结束。通过为第一业务申请业务来源凭证，为后续对发起第一业务的物联网设备进行认证提供了良好的认证基础，保证了业务来源的可靠性，而且，通过物联网设备与物联网认证平台的协商获取业务通信密钥，后续在物联网设备与业务平台针对第一业务进行通信的过程中，可采用针对第一业务协商的业务通信密钥进行加密，以保证物联网设备与业务平台之间通信的安全性和可靠性。

实施例三

为了能够获取物联网设备的网络信息和物理信息等固有参数信息，以及为了能够与物联网认证平台协商认证通信密钥和业务通信密钥，可以在物联网设备中集成通用认证模块，通过该通用认证模块与物联网认证平台进行通信，以实现上述功能。

下面采用具体的应用场景对注册阶段的实现方式作进一步详细说明，参阅图3所示，本发明实施例三中，注册阶段的具体流程如下：

步骤300：物联网设备的通用认证模块确定满足预设的注册条件的情况下，触发注册流程。比如，物联网设备的通用认证模块监测到物联网设备的基带芯片已激活该物联网设备的情况下，认定满足预设的注册条件，并触发注册流程；又如，物联网设备的通用认证模块接收到物联网设备的基带芯片发送的用于提示该物联网设备已激活的提示信息的情况下，认定满足预设的注册条件，并触发注册流程。

步骤301：物联网设备的通用认证模块获取物联网设备的入网标识、imsi、eid(或mac地址)、mid、pid、sn和预置的随机数rand1(即预置的第一随机数)等参数信息，并基于获得的入网标识、imsi、eid(或mac地址)、mid、pid、sn和rand1等参数信息，生成该物联网设备的不可伪造替换的第一设备标识，以及基于第一设备标识和第一预置密钥，生成校验码hmac(即第一校验信息)。

步骤302：物联网设备的通用认证模块向物联网认证平台发起注册请求，其中，该注册请求中至少携带有该物联网设备的第一设备标识，以及生成的校验码hmac。

步骤303：物联网认证平台接收到注册请求的情况下，基于预先保存的该物联网设备的入网标识、imsi、eid(或mac地址)、mid、pid、sn和rand1等参数信息，生成第二设备标识，并判断生成的第二设备标识与注册请求中携带的第一设备标识是否相同。

步骤304：物联网认证平台确定第二设备标识与第一设备标识相同的情况下，基于第二设备标识和预先保存的第一预置密钥，生成校验码hmac＇(即第二校验信息)，并校验注册请求中携带的校验码hmac与生成的校验码hmac＇是否一致。

步骤305：物联网认证平台确定校验码hmac与校验码hmac＇一致的情况下，认定物联网设备注册成功，并向物联网设备的通用认证模块返回注册响应，以及，基于物联网设备的第一设备标识，保存该物联网设备的注册信息。

步骤306：物联网设备的通用认证模块基于物联网认证平台返回的注册响应，确定注册成功的情况下，向物联网认证平台发起根密钥初始化请求，其中，该根密钥初始化请求中至少携带有该物联网设备的第一设备标识。

步骤307：物联网认证平台基于根密钥初始化请求中携带的第一设备标识，获取该物联网设备的注册信息，并基于获得的注册信息，确定该物联网设备注册成功的情况下，向hss发起鉴权向量请求，以索要鉴权向量。

步骤308：hss向物联网认证平台返回携带有鉴权向量的鉴权向量响应，其中，鉴权向量至少包含以下五元组：随机数rand2(即第二随机数)，xres，ck，ik，autn。

步骤309：物联网认证平台向物联网设备的基带芯片发起设备认证挑战，其中，该设备认证挑战中至少携带有rand2和autn。

步骤310：物联网设备的基带芯片基于rand2和autn，计算xmac，并校验xmac与autn包含的mac是否一致。

步骤311：物联网设备的基带芯片确定xmac与mac一致的情况下，认定xmac与mac校验通过，开始计算res、ck和ik，并基于计算出的ck和ik，按照第一预设方式，计算根密钥ks。

步骤312：物联网设备的基带芯片将计算出的res携带在设备认证应答中返回至物联网认证平台。

步骤313：物联网认证平台校验设备认证应答中携带的res与从hss中获得的鉴权向量包含的xres是否一致，并在确定res与xres一致的情况下，认定物联网设备认证通过。

步骤314：物联网认证平台向物联网设备的通用认证模块返回根密钥协商结果，以通知物联网设备的通用认证模块根密钥协商完成，继续执行步骤315。

步骤315：物联网认证平台基于从hss中获得的鉴权向量包含的ck和ik，采用第一预设方式，计算根密钥ks，以及基于计算出的根密钥ks、第一预设字符串(比如：字符串“gba-me”)、rand2和物联网设备的第一设备标识，采用第二预设方式(比如：kdf算法)，计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥ks_auth，比如：ks_auth＝kdf(ks，“gba-me”，rand2，第一设备标识)。

步骤316：物联网设备的通用认证模块接收到物联网认证平台返回的根密钥协商结果的情况下，确定根密钥协商完成，并向物联网设备的基带芯片发起根密钥获取请求，以获取根密钥ks。

步骤317：物联网设备的基带芯片将根密钥ks返回至物联网设备的通用认证模块，以便物联网设备的通用认证模块根据根密钥ks计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥ks_auth。

步骤318：物联网设备的通用认证模块基于物联网设备的基带芯片返回的根密钥ks、第一预设字符串(比如：字符串“gba-me”)、随机数rand2和物联网设备的第一设备标识，采用第二预设方式(比如：kdf算法)，计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥ks_auth，比如：ks_auth＝kdf(ks，“gba-me”，rand2，第一设备标识)。

至此，物联网设备的注册阶段结束。利用物联网设备的入网标识、imsi、eid(或mac地址)、mid、pid、sn和rand1(即预置的第一随机数)等参数信息，生成物联网设备的第一设备标识，不仅保证了第一设备标识的唯一性，还使得物联网设备的第一设备标识能够与物联网设备的各个硬件绑定，实现了物联网设备的第一设备标识与物联网设备的各个硬件的物理关联，为后续在物联网设备的注册过程中对物联网设备进行身份认证提供了良好的认证基础。而且，通过物联网设备与物联网认证平台的协商获取认证通信密钥，后续在物联网设备与物联网认证平台进行通信的过程中，可采用协商的认证通信密钥ks_auth进行加密，以保证物联网设备与物联网认证平台之间通信的安全性和可靠性。

实施例四

为了保证业务来源的可靠性以及物联网设备与业务平台之间通信的安全性，可以通过为第一业务申请业务来源凭证的方式，给认证第一业务的业务来源提供有效的认证基础，而在为第一业务申请业务来源凭证的过程中，可通过与物联网认证平台的协商，获取第一业务的业务通信密钥，以便后续在物联网设备与业务平台针对第一业务进行通信的过程中，可采用该业务通信密钥进行通信加密，从而保证物联网设备与业务平台之间通信的安全性和可靠性。

下面采用具体的应用场景对业务来源认证阶段的实现方式作进一步详细说明，参阅图4所示，本发明实施例四中，业务来源认证阶段的具体流程如下：

步骤400：物联网设备的业务模块针对第一业务向物联网设备的通用认证模块发起业务来源凭证(下面称业务来源凭证为业务token)请求，其中，该业务token请求中至少携带有第一业务的业务标识appid，通过预先分配的第一业务的业务密钥appkey加密的包含包名package和包签名pksig的第一密文e(appkey，package和pksig)。

步骤401：物联网设备的通用认证模块接收到业务token请求的情况下，获取第一业务的业务密钥appkey，并利用业务密钥appkey对第一密文e(appkey，package和pksig)进行解密，以获取包名package和包签名pksig，以及在生成随机数nonce(即第三随机数)后，基于物联网设备的第一设备标识、第一业务的业务标识appid、包名package、包签名pksig和随机数nonce，生成校验码mac1(即第三校验信息)。

步骤402：物联网设备的通用认证模块向物联网认证平台发起业务密钥认证请求，其中，该业务密钥认证请求中至少携带有物联网设备的第一设备标识，第一业务的业务标识appid，第一密文e(appkey，package和pksig)，随机数nonce，以及生成的校验码mac1。

步骤403：物联网认证平台基于业务密钥认证请求中携带的物联网设备的第一设备标识和第一业务的业务标识appid，获取第一业务的业务密钥appkey，并利用业务密钥appkey，对业务密钥认证请求中携带的第一密文e(appkey，package和pksig)进行解密，获取包名package和包签名pksig，以及基于物联网设备的第一设备标识、第一业务的业务标识appid、包名package、包签名pksig和随机数nonce，生成校验码mac1＇(即第四校验信息)，并校验业务密钥认证请求中携带的校验码mac1与生成的校验码mac1＇是否一致。

步骤404：物联网认证平台确定校验码mac1与校验码mac1＇一致的情况下，认定校验码mac1与校验码mac1＇校验通过，并基于校验码mac1与校验码mac1＇校验通过的校验结果，第一业务的业务标识appid，以及通过认证通信密钥ks_auth加密的包含第一业务的业务密钥appkey的第二密文e(ks_auth，appkey)，生成校验码mac2(即第五校验信息)。

步骤405：物联网认证平台向物联网设备的通用认证模块返回业务密钥校验结果，其中，该业务密钥校验结果中至少携带有第一业务的业务标识appid，第二密文e(ks_auth，appkey)，校验码mac1与校验码mac1＇校验通过的校验结果，生成的校验码mac2，以及时间戳timestamp。

步骤406：物联网设备的通用认证模块基于业务密钥校验结果中携带的校验码mac1与校验码mac1＇校验通过的校验结果、第一业务的业务标识appid和第二密文e(ks_auth，appkey)，生成校验码mac2＇(即第六校验信息)，并校验业务密钥校验结果中携带的校验码mac2与生成的校验码mac2＇是否一致。

步骤407：物联网设备的通用认证模块确定校验码mac2与校验码mac2＇一致的情况下，认定校验码mac2与校验码mac2＇校验通过，并进一步认定第一业务的业务密钥认证通过。此时，物联网设备的通用认证模块可基于第一设备标识的相关信息和mac地址的相关信息等设备信息，以及业务序列号的相关信息和版本相关信息等业务信息，生成用于对发起第一业务的物联网设备进行认证的业务token，并基于根密钥ks、第二预设字符串(比如：字符串“gba-me”)、随机数nonce、第一业务的业务标识appid和物联网设备的第一设备标识，采用第三预设方式(比如：kdf算法)，计算在物联网设备与业务平台针对第一业务进行通信的过程中用于通信加密的业务通信密钥ks_appid，比如：ks_appid＝kdf(ks，“gba-me”，nonce，appid，第一设备标识)。

步骤408：物联网设备的通用认证模块向物联网设备的业务模块返回业务token响应，其中，该业务token响应中至少携带有第一业务的业务token和业务通信密钥ks_appid。

步骤409：物联网设备的业务模块针对第一业务向业务平台发起业务请求，其中，该业务请求中至少携带有第一业务的业务token。

步骤410：业务平台接收到物联网设备的业务模块针对第一业务发起的业务请求的情况下，针对第一业务向物联网认证平台发起业务来源认证请求，其中，该业务来源认证请求中至少携带有业务平台标识sourceid以及第一业务的业务token。

步骤411：物联网认证平台基于针对物联网设备预先保存的第一设备标识的相关信息和mac地址的相关信息等设备信息，以及针对第一业务预先保存的业务序列号的相关信息和版本相关信息等业务信息，对业务来源认证请求中携带的第一业务的业务token进行校验。

步骤412：物联网认证平台确定第一业务的业务token校验通过的情况下，认定发起第一业务的物联网设备认证通过，并基于根密钥ks、第二预设字符串(比如：字符串“gba-me”)、随机数nonce、第一业务的业务标识appid和物联网设备的第一设备标识，采用第三预设方式(比如：kdf算法)，计算在物联网设备与业务平台针对第一业务进行通信的过程中用于通信加密的业务通信密钥ks_appid，比如：ks_appid＝kdf(ks，“gba-me”，nonce，appid，第一设备标识)。

步骤413：物联网认证平台向业务平台返回业务来源认证结果，其中，该业务来源认证结果中至少携带有发起第一业务的物联网设备认证通过的认证结果，物联网设备的第一设备标识，以及第一业务的业务通信密钥ks_appid。

步骤414：业务平台基于接收到的业务来源认证结果，确定发起第一业务的物联网设备认证通过的情况下，基于物联网设备的第一设备标识对会话进行标记，并对物联网设备的业务模块发起的业务请求进行相应处理。

步骤415：业务平台向物联网设备的业务模块返回业务结果。

至此，第一业务的业务来源认证阶段结束。通过为第一业务申请业务来源凭证，为后续对发起第一业务的物联网设备进行认证提供了良好的认证基础，保证了业务来源的可靠性，而且，通过物联网设备与物联网认证平台的协商获取业务通信密钥，后续在物联网设备与业务平台针对第一业务进行通信的过程中，可采用针对第一业务协商的业务通信密钥ks_appid进行加密，以保证物联网设备与业务平台之间通信的安全性和可靠性。

实施例五

基于上述实施例，参阅图5所示，本发明实施例五中，物联网设备500至少包括：通用认证模块501，其中，通用认证模块501用于：

向物联网认证平台发起注册请求，其中，注册请求中至少携带有基于物联网设备的网络信息和物理信息生成的物联网设备的第一设备标识；

接收物联网认证平台返回的注册响应，并基于注册响应确定是否注册成功。

较佳的，向物联网认证平台发起注册请求之前，通用认证模块501还用于：基于第一设备标识和第一预置密钥生成第一校验信息，并将第一校验信息携带在注册请求中。

较佳的，若基于注册响应确定注册成功，则还包括：基带芯片502，其中，

通用认证模块501还用于：基于注册响应确定注册成功的情况下，向物联网认证平台发起根密钥初始化请求；接收到物联网认证平台返回的根密钥协商结果的情况下，基于根密钥协商结果确定根密钥协商完成后，向基带芯片502发起根密钥获取请求，并接收基带芯片502返回的根密钥，以及基于根密钥，按照第二预设方式，计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥；

基带芯片502，用于接收物联网认证平台在从hss中获取到鉴权向量的情况下发起的设备认证挑战；基于设备认证挑战中携带的鉴权向量包含的第一参数信息，计算res和第二参数信息，并基于第二参数信息，按照第一预设方式，计算根密钥，以及将res携带在设备认证应答中返回至物联网认证平台；在接收到通用认证模块501发起的根密钥获取请求的情况下，将计算出的根密钥返回至通用认证模块501。

较佳的，通用认证模块501还用于执行如下操作：

获取到第一业务的业务密钥后，向物联网认证平台发起业务密钥认证请求；

基于接收到的物联网认证平台返回的业务密钥认证结果，确定第一业务的业务密钥认证通过的情况下，基于物联网设备的设备信息和第一业务的业务信息，生成用于对发起第一业务的物联网设备进行认证的业务来源凭证，以及，基于根密钥，按照第三预设方式，计算物联网设备与业务平台在针对第一业务进行通信的过程中用于通信加密的业务通信密钥。

较佳的，物联网设备还包括：业务模块503，其中，业务模块503用于：

针对第一业务向业务平台发起业务请求，其中，业务请求中至少携带有第一业务的业务来源凭证；

接收业务平台返回的业务结果，其中，业务结果是，业务平台通过物联网认证平台基于第一业务的业务来源凭证对发起第一业务的物联网设备进行认证，并确定发起第一业务的物联网设备认证通过的情况下，对业务请求进行相应处理后返回的。

实施例六

基于上述实施例，参阅图6所示，本发明实施例六中，物联网认证平台600至少包括：

接收模块601，用于接收物联网设备发起的注册请求，其中，注册请求中至少携带有基于物联网设备的设备信息和物理信息生成的物联网设备的第一设备身份标识；

认证模块602，用于基于预先保存的物联网设备的设备信息和物理信息，生成物联网设备的第二设备身份标识，并判断第二设备身份标识与第一设备身份标识是否相同；

处理模块603，用于基于判断结果确定物联网设备是否注册成功后，向物联网设备返回注册响应。

较佳的，若注册请求中还携带有物联网设备基于第一设备标识和第一预置密钥生成的第一校验信息，则在处理模块603向物联网设备返回注册响应之前，认证模块602还用于：基于第二设备标识和预先保存的第一预置密钥生成第二校验信息，并校验第一校验信息与第二校验信息是否一致。

较佳的，物联网认证平台还包括：获取模块604，其中，获取模块604，用于接收到物联网设备发起的根密钥初始化请求的情况下，从hss中获取鉴权向量，并将鉴权向量包含的第一参数信息携带在设备认证挑战中发送至物联网设备；接收到物联网设备返回的设备认证应答的情况下，基于设备认证应答中携带的res与鉴权向量包含的xres是否一致的校验结果，确定物联网设备是否认证通过，并向物联网设备返回根密钥协商结果。

较佳的，若确定物联网设备认证通过，则获取模块604还用于：基于鉴权向量包含的第二参数信息，按照物联网设备在计算根密钥的过程中采用的第一预设方式，计算根密钥，并基于根密钥，按照物联网设备在计算物联网设备与物联网认证平台之间用于通信加密的认证通信密钥的过程中采用的第二预设方式，计算认证通信密钥。

较佳的，认证模块602还用于：接收到物联网设备针对第一业务的业务密钥发起的业务密钥认证请求的情况下，对第一业务的业务密钥进行认证，并向物联网设备返回业务密钥认证结果。

较佳的，认证模块602还用于：接收到业务平台针对第一业务发起的业务来源认证请求的情况下，基于业务来源认证请求中携带的第一业务的业务来源凭证，对发起第一业务的物联网设备进行认证，其中，业务来源认证请求是，业务平台接收到物联网设备针对第一业务发起的业务请求的情况下向物联网认证平台发起的；

将业务来源认证结果返回至业务平台，以便业务平台基于业务来源认证结果确定发起第一业务的物联网设备认证通过的情况下，对物联网设备发起的业务请求进行相应处理后，向物联网设备返回业务结果。

较佳的，若认证模块602确定发起第一业务的物联网设备认证通过，则获取模块604还用于：基于根密钥，按照物联网设备在计算物联网设备与业务平台在针对第一业务进行通信的过程中用于通信加密的业务通信密钥的过程中采用的第三预设方式，计算业务通信密钥。

实施例七

基于上述实施例，参阅图7所示，本发明实施例七中，认证系统至少包括：物联网设备500和物联网认证平台600，其中，

物联网设备500，用于向物联网认证平台600发起注册请求，其中，注册请求中至少携带有基于物联网设备500的网络信息和物理信息生成的物联网设备500的第一设备标识；接收物联网认证平台600返回的注册响应；基于注册响应确定是否注册成功；

物联网认证平台600，用于接收到物联网设备500发起的注册请求的情况下，基于预先保存的物联网设备500的设备信息和物理信息生成物联网设备500的第二设备身份标识，并判断第二设备身份标识与第一设备身份标识是否相同，以及基于判断结果确定物联网设备500是否注册成功后，向物联网设备500返回注册响应。

较佳的，物联网设备500还用于：在向物联网认证平台600发起注册请求之前，基于第一设备标识和第一预置密钥生成第一校验信息，并将第一校验信息携带在注册请求中；

物联网认证平台600还用于：基于第二设备标识和预先保存的第一预置密钥生成第二校验信息，并校验第一校验信息与第二校验信息是否一致。

较佳的，物联网设备500进一步用于：在基于注册响应确定注册成功之后，向物联网认证平台600发起根密钥初始化请求，并接收物联网认证平台600在从hss中获取到鉴权向量的情况下发起的设备认证挑战；基于设备认证挑战中携带的鉴权向量包含的第一参数信息，计算res和第二参数信息，并基于第二参数信息，按照第一预设方式，计算根密钥，以及将res携带在设备认证应答中返回至物联网认证平台600；接收物联网认证平台600返回的根密钥协商结果，并基于根密钥协商结果确定根密钥协商完成后，基于根密钥，按照第二预设方式，计算物联网设备500与物联网认证平台600之间用于通信加密的认证通信密钥；

物联网认证平台600进一步用于：接收到物联网设备500发起的根密钥初始化请求的情况下，从hss中获取鉴权向量，并将鉴权向量包含的第一参数信息携带在设备认证挑战中发送至物联网设备500；接收到物联网设备500返回的设备认证应答的情况下，基于设备认证应答中携带的res与鉴权向量包含的xres是否一致的校验结果，确定物联网设备500是否认证通过，并向物联网设备500返回根密钥协商结果。

较佳的，物联网认证平台600还用于：确定物联网设备500认证通过的情况下，基于鉴权向量包含的第二参数信息，按照物联网设备500在计算根密钥的过程中采用的第一预设方式，计算根密钥，并基于根密钥，按照物联网设备500在计算物联网设备500与物联网认证平台600之间用于通信加密的认证通信密钥的过程中采用的第二预设方式，计算认证通信密钥。

较佳的，物联网设备500还用于：在针对第一业务向业务平台700发起业务请求之前，执行如下操作：获取到第一业务的业务密钥后，向物联网认证平台600发起业务密钥认证请求；接收物联网认证平台600返回的业务密钥认证结果，并基于接收到的业务密钥认证结果，确定第一业务的业务密钥认证通过的情况下，基于物联网设备500的设备信息和第一业务的业务信息，生成用于对发起第一业务的物联网设备500进行认证的业务来源凭证，以及，基于根密钥，按照第三预设方式，计算物联网设备500与业务平台700在针对第一业务进行通信的过程中用于通信加密的业务通信密钥；

物联网认证平台600还用于：接收到物联网设备500针对第一业务的业务密钥发起的业务密钥认证请求的情况下，对第一业务的业务密钥进行认证，并向物联网设备500返回业务密钥认证结果。

较佳的，认证系统还包括：业务平台700，其中，

物联网设备500还用于：针对第一业务向业务平台700发起业务请求，其中，业务请求中至少携带有第一业务的业务来源凭证；接收业务平台700返回的第一业务的业务结果；

业务平台700用于：接收到物联网设备500针对第一业务向业务平台700发起的业务请求的情况下，针对第一业务向物联网认证平台600发起业务来源认证请求；接收物联网认证平台600返回的业务来源认证结果，并基于业务来源认证结果确定发起第一业务的物联网设备500认证通过的情况下，对物联网设备500发起的业务请求进行相应处理后，向物联网设备500返回业务结果；

物联网认证平台600还用于：接收到业务平台700针对第一业务发起的业务来源认证请求的情况下，基于业务来源认证请求中携带的第一业务的业务来源凭证，对发起第一业务的物联网设备500进行认证，并将业务来源凭证认证结果返回至业务平台700。

较佳的，物联网认证平台600还用于：确定发起第一业务的物联网设备500认证通过的情况下，基于根密钥，按照物联网设备500在计算物联网设备500与业务平台700在针对第一业务进行通信的过程中用于通信加密的业务通信密钥的过程中采用的第三预设方式，计算业务通信密钥。

综上所述，本发明实施例中，物联网设备向物联网认证平台发起注册请求，其中，注册请求中至少携带有基于物联网设备的网络信息和物理信息生成的物联网设备的第一设备标识；物联网认证平台接收到物联网设备发起的注册请求的情况下，基于预先保存的该物联网设备的网络信息和物理信息生成第二设备标识，并判断生成的第二设备标识与注册请求中携带的第一设备标识是否相同，以及基于第二设备标识与第一设备标识是否相同的判断结果，确定物联网设备是否注册成功后，向物联网设备返回注册响应；物联网设备基于物联网认证平台返回的注册响应，确定是否注册成功。这样，利用物联网设备的网络信息和物理信息生成物联网设备的第一设备标识，不仅保证了第一设备标识的唯一性，还使得物联网设备的第一设备标识能够与物联网设备的各个硬件绑定，保证了物联网设备的第一设备标识与物联网设备的各个硬件的物理关联，为后续在物联网设备的注册过程中对物联网设备进行身份认证提供了良好的认证基础。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管已描述了本发明的优选实施例，但本领域内的技术人员一旦得知了基本创造性概念，则可对这些实施例作出另外的变更和修改。所以，所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。

显然，本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样，倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。