物联网安全认证方法及设备与流程

1.本发明涉及物联网技术领域，具体涉及一种物联网安全认证方法及设备。


背景技术：

2.物联网（internet of things，iot）是继计算机、互联网之后世界信息产业发展的第三次浪潮，是新一代信息技术的重要组成部分，其通过智能感知、识别技术与普适计算等技术构建物物相连的互联网。物联网设备依赖于移动运营商提供的无线蜂窝网络进行互联。随着嵌入式通用集成电路卡(embedded universal integrated circuit card，euicc)技术的发展，支持远程码号（profile）下载及网络鉴权功能，即支持嵌入式用户识别模块（embedded subscriber identity module，esim）的euicc已逐渐应用于物联网设备中。
3.随着用户安全意识的不断提高，越来越多的物联网应用场景的安全需求也变得越来越高。如在智能家居、智能门锁、车联网等应用场景中，物联网设备既要支持esim，又要能够完成安全认证。目前物联网设备利用euicc开放的加解密算法的接口进行物联网设备与物联网云平台之间的安全认证，但是无法验证物联网云平台和物联网设备的可信来源，安全性有待提高。


技术实现要素：

4.本发明实施例提供一种物联网安全认证方法及设备，用以解决现有物联网安全认证方法由于无法验证物联网云平台和物联网设备的可信来源，而导致的安全性低的问题。
5.根据第一方面，本发明实施例提供一种物联网安全认证方法，应用于物联网设备，所述物联网设备包括嵌入式通用集成电路卡euicc，所述euicc的安全存储区域包括相互隔离的第一存储区域和第二存储区域，所述euicc的应用层包括相互隔离的第一应用和第二应用，所述第一存储区域用于存储所述物联网设备的设备证书和设备私钥，所述第一应用用于根据所述第一存储区域存储的设备证书和设备私钥进行安全认证，所述第二存储区域用于存储嵌入式用户识别模块esim相关信息，所述第二应用用于根据所述第二存储区域存储的esim相关信息连接网络；所述方法包括：向物联网云平台发送平台认证请求消息，所述平台认证请求消息用于请求由所述物联网设备对所述物联网云平台进行认证；接收所述物联网云平台发送的所述物联网云平台的平台证书和平台根证书；通过运行于所述euicc中的第一应用判断所述平台根证书与设备根证书的证书签发机构是否相同，若不相同，则终止认证过程，若相同，则使用所述设备根证书对所述平台证书进行校验，若检验不通过，则终止认证过程，若校验通过，则确定所述物联网云平台为可信平台；向所述物联网云平台发送设备认证请求消息，所述设备认证请求消息包括所述物联网设备的设备证书，所述设备认证请求消息用于请求由所述物联网云平台对所述物联网设备
进行认证。
6.可选的，所述方法还包括：接收所述物联网云平台发送的会话请求消息，所述会话请求消息包括随机数密文；通过运行于所述euicc中的第一应用根据所述设备私钥和平台公钥采用密钥协商算法生成设备侧会话密钥，采用所述设备侧会话密钥对所述随机数密文进行解密，获取随机数明文，将所述随机数明文与所述物联网设备的标识信息进行拼接，采用所述设备侧会话密钥对拼接后的信息进行加密，生成标识信息密文，所述平台公钥从校验通过的所述平台证书中获得；向所述物联网云平台发送会话应答消息，所述会话应答消息包括所述标识信息密文。
7.可选的，所述方法还包括：采用所述设备侧会话密钥对待传递的数据进行加密，将加密后的数据发送至所述物联网云平台。
8.可选的，所述密钥协商算法包括椭圆曲线密钥协商算法和rsa算法。
9.根据第二方面，本发明实施例提供一种物联网安全认证方法，应用于物联网云平台，所述物联网云平台作为证书签发机构，用于签发平台证书和设备证书；所述方法包括：接收物联网设备发送的平台认证请求消息，所述平台认证请求消息用于请求由所述物联网设备对所述物联网云平台进行认证；根据所述平台认证请求消息向所述物联网设备发送所述物联网云平台的平台证书和平台根证书；接收所述物联网设备发送的设备认证请求消息，所述设备认证请求消息包括所述物联网设备的设备证书，所述设备认证请求消息用于请求由所述物联网云平台对所述物联网设备进行认证；判断所述平台根证书与所述设备证书的证书签发机构是否相同，若不相同，则终止认证过程，若相同，则使用所述平台根证书对所述设备证书进行校验，若检验不通过，则终止认证过程，若校验通过，则确定所述物联网设备为可信设备。
10.可选的，在确定所述物联网设备为可信设备之后，所述方法还包括：根据所述物联网云平台的平台私钥和所述物联网设备的设备公钥采用密钥协商算法生成平台侧会话密钥，所述设备公钥从校验通过的所述设备证书中获得；生成随机数，采用所述平台侧会话密钥对所述随机数进行加密，生成随机数密文；向所述物联网设备发送会话请求消息，所述会话请求消息包括所述随机数密文；接收所述物联网设备发送的会话应答消息，所述会话应答消息包括标识信息密文；采用所述平台侧会话密钥对所述标识信息密文进行解密，获取所述标识信息密文携带的随机数和标识信息；若所述标识信息密文携带的随机数与所述物联网云平台生成的随机数相同，且所述标识信息密文携带的标识信息与所述物联网云平台已导入的设备标识信息相匹配，则完成对所述物联网设备的安全认证。
11.可选的，所述方法还包括：采用所述平台侧会话密钥对待传递的数据进行加密，将加密后的数据发送至所述物联网设备。
12.第三方面，本发明实施例提供一种物联网设备，包括：嵌入式通用集成电路卡
euicc、至少一个处理器和存储器；所述euicc的安全存储区域包括相互隔离的第一存储区域和第二存储区域，所述euicc的应用层包括相互隔离的第一应用和第二应用，所述第一存储区域用于存储所述物联网设备的设备证书和设备私钥，所述第一应用用于根据所述第一存储区域存储的设备证书和设备私钥进行安全认证，所述第二存储区域用于存储嵌入式用户识别模块esim相关信息，所述第二应用用于根据所述第二存储区域存储的esim相关信息连接网络；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如第一方面任一项所述的物联网安全认证方法。
13.第四方面，本发明实施例提供一种物联网云平台，包括：至少一个处理器和存储器；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行如第二方面任一项所述的物联网安全认证方法。
14.第五方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，计算机执行指令被处理器执行时用于实现如第一方面和第二方面任一项所述的物联网安全认证方法。
15.本发明实施例提供的物联网安全认证方法及设备，物联网设备包括嵌入式通用集成电路卡euicc，euicc的安全存储区域包括相互隔离的第一存储区域和第二存储区域，euicc的应用层包括相互隔离的第一应用和第二应用，通过上述euicc的硬件结构，可以最大程度地复用芯片的能力、降低了成本以及减少了设备的空间占用；由于第一存储区域与第二存储区域将物联网设备的设备信息和esim相关信息隔离开来，第一应用和第二应用分别根据第一存储区域与第二存储区域所存储的信息进行计算时也是互相隔离的，这样可以有效增强安全可靠性；并且，通过运行于euicc中的第一应用判断平台根证书与设备根证书的证书签发机构是否相同，并使用设备根证书对平台证书进行校验，判断校验是否通过，在确定物联网云平台为可信平台之后，向物联网云平台发送设备认证请求消息，用于请求由物联网云平台对物联网设备进行认证，实现了物联网设备和物联网云平台之间的双向安全认证，形成了证书的信任链，极大的保证了物联网云平台和物联网设备的可信来源，从而提高了安全性。
附图说明
16.图1为本发明实施例提供的一种euicc的架构示意图；图2为本发明实施例提供的一种物联网安全认证方法的实施例一的流程示意图；图3为本发明实施例提供的一种物联网安全认证方法的实施例二的流程示意图；图4为本发明实施例提供的一种物联网安全认证方法的实施例三的流程示意图。
具体实施方式
17.下面通过具体实施方式结合附图对本发明作进一步详细说明。其中不同实施方式中类似元件采用了相关联的类似的元件标号。在以下的实施方式中，很多细节描述是为了
使得本申请能被更好的理解。然而，本领域技术人员可以毫不费力的认识到，其中部分特征在不同情况下是可以省略的，或者可以由其他元件、材料、方法所替代。在某些情况下，本申请相关的一些操作并没有在说明书中显示或者描述，这是为了避免本申请的核心部分被过多的描述所淹没，而对于本领域技术人员而言，详细描述这些相关操作并不是必要的，他们根据说明书中的描述以及本领域的一般技术知识即可完整了解相关操作。
18.另外，说明书中所描述的特点、操作或者特征可以以任意适当的方式结合形成各种实施方式。同时，方法描述中的各步骤或者动作也可以按照本领域技术人员所能显而易见的方式进行顺序调换或调整。因此，说明书和附图中的各种顺序只是为了清楚描述某一个实施例，并不意味着是必须的顺序，除非另有说明其中某个顺序是必须遵循的。
19.本文中为部件所编序号本身，例如“第一”、“第二”等，仅用于区分所描述的对象，不具有任何顺序或技术含义。而本申请所说“连接”、“联接”，如无特别说明，均包括直接和间接连接（联接）。
20.目前，物联网设备可以利用euicc开放的加解密算法的接口进行物联网设备与物联网云平台之间的安全认证，即基于euicc开放部分的加解密算法接口配合外部实现安全认证，具体过程如下：步骤1：将内嵌于物联网设备的euicc卡的唯一标识（euicc id，eid）、物联网设备的设备信息导入物联网云平台，并根据物联网设备的初始根密钥和eid采取特定分散加密算法生成物联网云平台认可的eid设备接入标识密钥。
21.步骤2：基于euicc实现私有对外接口，开放密钥对生成接口，用来生成非对称密钥对物联网设备上的应用进行加解密运算，外部获取物联网设备的设备信息，然后调用euicc卡内部与物联网云平台相同的算法生成设备接入标识密钥并将物联网设备的设备信息加密。
22.步骤3：物联网设备上报加密后的接入信息，物联网云平台采用步骤1中的方案进行计算和验证，若结果（设备接入标识密钥）相同，则认为物联网设备合法，允许物联网设备接入，完成安全验证功能。
23.但是，上述基于euicc开放的加解密算法的接口配合外部实现安全认证的方法，无法从物理安全上、密钥隔离上、以及根设备可信上解决安全验证问题。由于与原有esim耦合太强，一旦esim被破解，那么安全验证将随之被破解。同时，在上述方法中，基于一些单纯的非对称加解密算法来实现安全验证，存在被重放攻击的风险，且无法验证物联网平台和物联网设备的可信来源，从而导致安全强度较低。
24.为了提高安全性，现有技术中还可以采用euicc和额外的实现安全认证功能的芯片组合使用的方式，实现esim的功能和安全认证的功能。具体的，物联网设备的内部可以焊接两个安全芯片，其中一个单独实现esim功能（即内嵌一张euicc卡），另一个芯片单独实现安全认证功能。但是，上述方法存在以下问题：两个安全芯片的成本高昂，且物联网设备的硬件占用空间大，无法满足物联网设备越来越小的物理空间需求，对于硬件设计的改造成本也较高。
25.为了解决现有技术中的以上问题，本发明实施例提供一种euicc，使得在一个芯片上可以同时实现esim的功能和安全认证的功能。图1为本发明实施例提供的一种euicc的架构示意图，如图1所示，该euicc的安全存储区域包括相互隔离的第一存储区域和第二存储
区域，euicc的应用层包括相互隔离的第一应用和第二应用，第一存储区域用于存储物联网设备的设备证书和设备私钥，第一应用用于根据第一存储区域存储的设备证书和设备私钥进行安全认证，第二存储区域用于存储嵌入式用户识别模块esim相关信息，第二应用用于根据第二存储区域存储的esim相关信息连接网络。具体的，可以在物联网设备的euicc卡的生产出厂环节，将物联网设备的设备证书和设备私钥写入第一存储区域。
26.通过上述euicc的硬件结构，可以最大程度地复用芯片的能力、降低了成本以及减少了设备的空间占用。并且，由于第一存储区域与第二存储区域将物联网设备的设备信息和esim相关信息隔离开来，以及，第一应用和第二应用分别根据第一存储区域与第二存储区域所存储的信息进行计算时，也是互相隔离的，这样可以有效增强安全可靠性。
27.在具体应用时可以使用不同的euicc芯片，采用不同规格和封装形式。这里可以以在智能门锁通信模组移远ec20中应用华大98m25芯片为例进行说明：通信模组预留方形扁平无引脚封装（quad flat no-leads package，qfn）的5*6mm引脚，用于连接华大98m25芯片，该芯片可以采用如图1所示的架构，同时支持esim的功能和安全认证功能，终端应用实现在模组内部、模组和卡通信使用modem（调制解调器）接口收发应用协议数据单元（applicationprotocoldataunit，apdu）；芯片中的esim提供网络连接，芯片支持终端和平台侧之间的证书双向校验，终端应用负责进行卡片和平台侧安全校验的数据转发和组包；华大98m25芯片的空间划分在物理访问地址层面支持，根据操作系统派发不同应用限制访问不同物理地址，同时在应用层处于不用的安全域空间，彼此隔离。
28.图2为本发明实施例提供的一种物联网安全认证方法的实施例一的流程示意图，本发明实施例的执行主体为包括上述图1所示的euicc卡的物联网设备，如图2所示，本实施例的方法可以包括：s101，向物联网云平台发送平台认证请求消息。
29.其中，上述平台认证请求消息用于请求由物联网设备对物联网云平台进行认证。这里由物联网设备对物联网云平台进行认证，指的是物联网设备校验物联网云平台是否为可信平台。
30.具体实现时，由于物联网设备中内嵌的euicc卡所包括的第二应用可以根据第二存储区域存储的esim相关信息连接网络，即可以通过esim卡使得物联网设备与物联网云平台建立通信连接，因此物联网设备可以通过该通信连接，向物联网云平台发送消息。
31.s102，接收物联网云平台发送的物联网云平台的平台证书和平台根证书。
32.具体的，可以由物联网云平台作为自身的证书签发机构签发平台证书。
33.s103，通过运行于euicc中的第一应用判断平台根证书与设备根证书的证书签发机构是否相同。
34.若是，则执行s104；若否，则执行s105。
35.具体的，物联网设备将接收到的数据发送至euicc卡片内部，并由euicc卡片选择第一应用判断平台根证书与设备根证书的证书签发机构是否相同。若平台根证书与设备根证书的证书签发机构相同，则表明物联网设备和物联网云平台归属于同一个根证书签发机构。
36.s104，通过运行于euicc中的第一应用，使用设备根证书对平台证书进行校验，判断校验是否通过。
37.若是，则执行s106；若否，则执行s105。
38.s105，终止认证过程。
39.s106，确定物联网云平台为可信平台，并向物联网云平台发送设备认证请求消息。
40.其中，上述设备认证请求消息可以包括物联网设备的设备证书。具体的，物联网设备的设备证书由物联网云平台作为根证书机构进行签发，并在物联网设备的euicc卡的生产出厂环节写入物联网设备的设备证书。
41.上述设备认证请求消息用于请求由物联网云平台对物联网设备进行认证，这里由物联网云平台对物联网设备进行认证，指的是物联网云平台校验物联网设备是否为可信设备。
42.具体实现时，上述证书校验可以使用x509标准定义的签名和验签算法。
43.本发明实施例提供的物联网安全认证方法，应用于包括嵌入式通用集成电路卡euicc的物联网设备，euicc的安全存储区域包括相互隔离的第一存储区域和第二存储区域，euicc的应用层包括相互隔离的第一应用和第二应用，通过上述euicc的硬件结构，可以最大程度地复用芯片的能力、降低了成本以及减少了设备的空间占用；由于第一存储区域与第二存储区域将物联网设备的设备信息和esim相关信息隔离开来，第一应用和第二应用分别根据第一存储区域与第二存储区域所存储的信息进行计算时也是互相隔离的，这样可以有效增强安全可靠性；并且，通过运行于euicc中的第一应用判断平台根证书与设备根证书的证书签发机构是否相同，并使用设备根证书对平台证书进行校验，判断校验是否通过，在确定物联网云平台为可信平台之后，向物联网云平台发送设备认证请求消息，用于请求由物联网云平台对物联网设备进行认证，实现了物联网设备和物联网云平台之间的双向安全认证，形成了证书的信任链，极大的保证了物联网云平台和物联网设备的可信来源，从而提高了安全性。
44.图3为本发明实施例提供的一种物联网安全认证方法的实施例二的流程示意图，本发明实施例的执行主体为物联网云平台，该物联网云平台作为证书签发机构，用于签发平台证书和设备证书，举例说明，如果想得到设备a的设备证书，设备a应先向证书签发机构提出申请，在证书签发机构判明设备a的身份后，便为设备a分配一个公钥，并且证书签发机构将该公钥与设备a的身份信息绑在一起，并为之签字后，便形成证书发给设备a。如图3所示，本实施例的方法可以包括：s201，接收物联网设备发送的平台认证请求消息。
45.其中，上述平台认证请求消息用于请求由物联网设备对物联网云平台进行认证。
46.s202，根据平台认证请求消息向物联网设备发送物联网云平台的平台证书和平台根证书。
47.s203，接收物联网设备发送的设备认证请求消息。
48.其中，上述设备认证请求消息包括物联网设备的设备证书，设备认证请求消息用于请求由物联网云平台对物联网设备进行认证。
49.s204，判断平台根证书与设备证书的证书签发机构是否相同。
50.若是，则执行s205；若否，则执行s206。
51.若平台根证书与设备根证书的证书签发机构相同，则表明物联网设备和物联网云平台归属于同一个根证书签发机构。
52.s205，使用平台根证书对设备证书进行校验，判断检验是否通过。
53.若是，则执行s207；若否，则执行s206。
54.s206，终止认证过程。
55.s207，确定物联网设备为可信设备。
56.具体实现时，上述证书校验使用x509标准定义的签名和验签算法。
57.本发明实施例提供的物联网安全认证方法，物联网云平台通过接收物联网设备发送的平台认证请求消息，根据平台认证请求消息向物联网设备发送物联网云平台的平台证书和平台根证书，接收物联网设备发送的设备认证请求消息，判断平台根证书与设备证书的证书签发机构是否相同，并使用平台根证书对设备证书进行校验，实现了物联网设备和物联网云平台之间的双向安全认证，形成了证书的信任链，极大的保证了物联网云平台和物联网设备的可信来源，从而提高了安全性。
58.通过上述实施例一中的物联网设备对物联网云平台进行认证，确定物联网云平台为可信平台，以及，通过上述实施例二中的物联网云平台对物联网设备进行认证，确定物联网设备为可信设备，即完成了物联网设备和物联网云平台之间的双向证书校验。在此基础上，物联网设备和物联网云平台可以通过图4所示的方法建立安全数据通道。图4为本发明实施例提供的一种物联网安全认证方法的实施例三的流程示意图，如图4所示，本实施例的方法可以包括：s301，物联网云平台根据物联网云平台的平台私钥和物联网设备的设备公钥，采用密钥协商算法生成平台侧会话密钥。
59.其中，上述设备公钥可以从上述实施例一中校验通过的设备证书中获得。
60.具体实现时，上述密钥协商算法可以包括椭圆曲线密钥协商算法（elliptic curve diffie
–
hellman key exchange，ecdh）和rsa算法。
61.s302，物联网云平台生成随机数，采用平台侧会话密钥对随机数进行加密，生成随机数密文。
62.s303，物联网云平台向物联网设备发送会话请求消息。
63.其中，上述会话请求消息包括随机数密文。
64.s304，物联网设备接收物联网云平台发送的会话请求消息，并通过运行于euicc中的第一应用根据设备私钥和平台公钥采用密钥协商算法生成设备侧会话密钥，采用设备侧会话密钥对随机数密文进行解密，获取随机数明文，将随机数明文与物联网设备的标识信息进行拼接，采用设备侧会话密钥对拼接后的信息进行加密，生成标识信息密文。
65.其中，上述平台公钥可以从上述校验通过的平台证书中获得。
66.s305，物联网设备向物联网云平台发送会话应答消息。
67.其中，上述会话应答消息包括标识信息密文。
68.s306，物联网云平台接收物联网设备发送的会话应答消息，并采用平台侧会话密钥对标识信息密文进行解密，获取标识信息密文携带的随机数和标识信息。
69.s307，若标识信息密文携带的随机数与物联网云平台生成的随机数相同，且标识信息密文携带的标识信息与物联网云平台已导入的设备标识信息相匹配，则完成对物联网设备的安全认证。
70.由于物联网设备的设备证书由物联网云平台作为根证书机构签发，因此物联网云
平台存储有物联网设备的设备标识信息。这里将标识信息密文携带的标识信息与物联网云平台已导入的设备标识信息进行匹配，即为判断预先存储的设备标识信息与标识信息密文携带的标识信息是否相同，若相同，则确定该物联网设备安全。
71.具体实现时，上述数据的加解密过程可以使用x509标准定义的算法。
72.本发明实施例提供的物联网安全认证方法，通过上述密钥协商算法和动态会话密钥交换等机制加强了物联网设备和物联网云平台之间建立数据通道的安全性，可以有效避免信息被克隆、重放攻击等问题。
73.通过上述实施例一中的物联网设备对物联网云平台进行认证，确定物联网云平台为可信平台，以及，通过上述实施例二中的物联网云平台对物联网设备进行认证，确定物联网设备为可信设备，即完成了物联网设备和物联网云平台之间的双向证书校验。在此基础上，物联网设备和物联网云平台通过实施例三中的方法建立安全数据通道。此时，物联网设备和物联网云平台之间可以正常接入与通信，作为一种可以实现的具体方式，在上述实施例三的基础上，建立安全数据通道之后，上述方法还可以包括：物联网设备可以采用设备侧会话密钥对待传递的数据进行加密，将加密后的数据发送至物联网云平台；同时，物联网云平台也可以采用平台侧会话密钥对待传递的数据进行加密，将加密后的数据发送至物联网设备。可以实现对物联网设备和物联网云平台之间的通信数据的加密保护，从而提高了数据传输的安全性。
74.另外，相应于上述实施例所提供的物联网安全认证方法，本发明实施例还提供了一种物联网设备，该物联网设备可以包括：嵌入式通用集成电路卡euicc、至少一个处理器和存储器；所述euicc的安全存储区域包括相互隔离的第一存储区域和第二存储区域，所述euicc的应用层包括相互隔离的第一应用和第二应用，所述第一存储区域用于存储所述物联网设备的设备证书和设备私钥，所述第一应用用于根据所述第一存储区域存储的设备证书和设备私钥进行安全认证，所述第二存储区域用于存储嵌入式用户识别模块esim相关信息，所述第二应用用于根据所述第二存储区域存储的esim相关信息连接网络；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行本发明实施例的物联网安全认证方法的执行主体为物联网设备的所有步骤。
75.另外，相应于上述实施例所提供的物联网安全认证方法，本发明实施例还提供了一种物联网云平台，该物联网云平台可以包括：至少一个处理器和存储器；所述存储器存储计算机执行指令；所述至少一个处理器执行所述存储器存储的计算机执行指令，使得所述至少一个处理器执行本发明实施例的物联网安全认证方法的执行主体为物联网云平台的所有步骤。
76.另外，相应于上述实施例所提供的物联网安全认证方法，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机执行指令，所述计算机执行指令被处理器执行时用于实现本发明实施例的物联网安全认证方法。
77.本领域技术人员可以理解，上述实施方式中各种方法的全部或部分功能可以通过硬件的方式实现，也可以通过计算机程序的方式实现。当上述实施方式中全部或部分功能通过计算机程序的方式实现时，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器、随机存储器、磁盘、光盘、硬盘等，通过计算机执行该程序以实现上述
功能。例如，将程序存储在设备的存储器中，当通过处理器执行存储器中程序，即可实现上述全部或部分功能。另外，当上述实施方式中全部或部分功能通过计算机程序的方式实现时，该程序也可以存储在服务器、另一计算机、磁盘、光盘、闪存盘或移动硬盘等存储介质中，通过下载或复制保存到本地设备的存储器中，或对本地设备的系统进行版本更新，当通过处理器执行存储器中的程序时，即可实现上述实施方式中全部或部分功能。
78.以上应用了具体个例对本发明进行阐述，只是用于帮助理解本发明，并不用以限制本发明。对于本发明所属技术领域的技术人员，依据本发明的思想，还可以做出若干简单推演、变形或替换。