一种卫星数据分布式虚拟化存储的安全防护系统和方法与流程

本发明涉及一种卫星数据存储的安全防护技术领域，特别是一种卫星数据分布式虚拟化存储的安全防护系统和方法。

背景技术：

随着我国卫星应用的不断深入和发展，各相关领域、行业积累了大量数据，大规模卫星数据共享融合和分析挖掘应用需求也不断出现。

目前，卫星数据的存储方式正在从传统的集中统一存储向分布式虚拟化存储转型。由于卫星数据分布式虚拟化存储相比与传统的分布式存储最特殊的一点就是在存储设备和应用层之间加入了虚拟化层，而现有对卫星数据存储的安全防护技术手段主要采用应用层数据加密和认证机制，此类方法没有考虑到虚拟化层的安全防护问题，无法保证卫星数据分布式虚拟化存储系统的机密性、完整性和可信性，尤其容易遭到apt攻击和0day攻击等新型网络攻击对卫星数据的恶意窃取、非法篡改和加密勒索。

技术实现要素：

本发明解决的技术问题是：克服现有技术的不足，提供了一种卫星数据分布式虚拟化存储的安全防护系统和方法，既能满足分布式虚拟化存储的可靠性、灵活性、伸缩性的要求，又能够实现机密性、完整性和可信性，又从而保障卫星数据在安全可靠的分布式虚拟化存储环境下进行共享交互和融合应用。

本发明的技术解决方案是：本发明公开了一种卫星数据分布式虚拟化存储的安全防护系统，包括：平台可信度量模块、数据加密保护模块、安全监控审计模块、可信管理服务器、密钥管理服务器和日志审计服务器；其中，平台可信度量模块、数据加密保护模块和安全监控审计模块设置在宿主机端；可信管理服务器、密钥管理服务器和日志审计服务器设置在安全管理服务器端；

平台可信度量模块与对应的可信管理服务器，用于对卫星数据分布式虚拟化存储进行可信度量；

数据加密保护模块与对应的密钥管理服务器，用于对卫星数据分布式虚拟化存储进行数据加密；

安全监控审计模块与对应的日志审计服务器，用于对卫星数据分布式虚拟化存储进行安全监控与审计。

可选地，还包括：设置在虚拟机端的vtcm报告模块和vtcm度量模块；其中，平台可信度量模块包括：tcm度量子模块、tcm报告子模块和vtcm管理子模块；

tcm度量子模块，用于调用物理tcm对宿主机操作系统和应用程序进行可信度量，得到第一度量结果，并将第一度量结果发送给tcm报告子模块；

tcm报告子模块，用于将第一度量结果通过ssl安全通道发送给可信管理服务器；

vtcm管理子模块，用于生成vtcm实例；

vtcm度量模块，用于调用vtcm管理子模块生成的vtcm实例对虚拟机端的客户操作系统和应用程序、以及存储服务器中的磁盘数据的备份文件进行可信度量，得到第二度量结果，并将第二度量结果发送给vtcm报告模块；

vtcm报告模块，用于将第二度量结果通过ssl安全通道发送给可信管理服务器；

可信管理服务器，用于将接受到第一度量结果和第二度量结果分别与对应的可信度量原始值进行对比；并根据对比结果，进行组件替换恢复。

可选地，数据加密保护模块包括：数据加解密子模块、秘钥请求子模块和密码算法库；

密码算法库，用于存储非对称密码算法；

秘钥请求子模块，用于调用密码算法库中存储的非对称密码算法，生成公钥/私钥的密钥对，并将所述公钥通过ssl安全通道发送给密钥管理服务器；以及，根据虚拟机对应的uuid查找密钥索引，并将封装有所述虚拟机的用户名、密码和所述密钥索引的密钥请求包通过ssl安全通道发送给所述密钥管理服务器；以及，在接收到加密数据后，利用私钥对加密数据进行解密；以及，调用密码算法库的数据加解密函数接口，初始化密钥句柄；

密钥管理服务器，用于接收所述秘钥请求子模块发送的公钥；以及，在接收到所述密钥请求子模块发送的密钥请求包后，对密钥请求包进行合法性验证；在密钥请求包合法性验证通过之后，根据所述密钥请求包中携带的密钥索引查询对应的密钥数据，利用公钥对查询到的对应的密钥数据进行加密，得到加密数据，通过ssl安全通道将加密数据发送给所述密钥请求子模块；

数据加解密子模块，用于挂载虚拟机的加密磁盘，调用密钥句柄执行加密磁盘的数据加/解密操作。

可选地，公钥用于加密虚拟机加密磁盘对应的密钥数据，私钥用于解密加密数据。

可选地，还包括：设置在虚拟机端的审计代理模块；其中，安全监控审计模块包括：日志发送子模块、安全监控子模块和日志采集子模块；

审计代理模块，用于监控虚拟机中所有用户的文件操作行为，并采用syslog日志的形式记录下来，得到第一日志信息；将第一日志信息发送给日志发送子模块；

日志采集子模块，用于监控宿主机操作系统中所有用户的文件操作行为，并采用syslog日志的形式记录下来，得到第二日志信息；将第二日志信息发送给日志发送子模块；

安全监控子模块，用于监控宿主机操作系统和虚拟机中的恶意软件操作行为并采用syslog日志的形式记录下来，得到第三日志信息；将第三日志信息发送给日志发送子模块；

日志发送子模块，用于将接收到的第一日志信息、第二日志信息和第三日志信息转换成json格式的日志数据，并通过syslog协议发送给日志审计服务器；

日志审计服务器，用于对接收到的日志数据进行统计和关联分析，并输出安全事件审计结果。

可选地，虚拟机和宿主机位于分布式虚拟化存储节点下。

本发明还公开了一种卫星数据分布式虚拟化存储的安全防护方法，包括：

调用平台可信度量模块和对应的可信管理服务器，对卫星数据分布式虚拟化存储进行可信度量；

调用数据加密保护模块和对应的密钥管理服务器，对卫星数据分布式虚拟化存储进行数据加密；

调用安全监控审计模块和对应的日志审计服务器，对卫星数据分布式虚拟化存储进行安全监控与审计；

其中，平台可信度量模块、数据加密保护模块和安全监控审计模块设置在宿主机端；可信管理服务器、密钥管理服务器和日志审计服务器设置在安全管理服务器端。

可选地，对卫星数据分布式虚拟化存储进行可信度量包括如下步骤：

通过tcm度量子模块调用物理tcm对宿主机操作系统和应用程序进行可信度量，得到第一度量结果，并将第一度量结果发送给tcm报告子模块；

由tcm报告子模块将第一度量结果通过ssl安全通道发送给可信管理服务器；

通过vtcm度量模块调用vtcm管理子模块生成的vtcm实例对虚拟机端的客户操作系统和应用程序、以及存储服务器中的磁盘数据的备份文件进行可信度量，得到第二度量结果，并将第二度量结果发送给vtcm报告模块；

由vtcm报告模块将第二度量结果通过ssl安全通道发送给可信管理服务器；

通过可信管理服务器将接受到第一度量结果和第二度量结果分别与对应的可信度量原始值进行对比；并根据对比结果，进行组件替换恢复；

其中，平台可信度量模块包括：tcm度量子模块、tcm报告子模块和vtcm管理子模块；vtcm报告模块和vtcm度量模块设置在虚拟机端。

可选地，对卫星数据分布式虚拟化存储进行数据加密包括如下步骤：

通过秘钥请求子模块调用密码算法库中存储的非对称密码算法，生成公钥/私钥的密钥对，并将所述公钥通过ssl安全通道发送给密钥管理服务器；并根据虚拟机对应的uuid查找密钥索引，并将封装有所述虚拟机的用户名、密码和所述密钥索引的密钥请求包通过ssl安全通道发送给所述密钥管理服务器；

由密钥管理服务器接收所述秘钥请求子模块发送的公钥；并在接收到所述密钥请求子模块发送的密钥请求包后，对密钥请求包进行合法性验证，在密钥请求包合法性验证通过之后，根据所述密钥请求包中携带的密钥索引查询对应的密钥数据，利用公钥对查询到的对应的密钥数据进行加密，得到加密数据，通过ssl安全通道将加密数据发送给所述密钥请求子模块；

秘钥请求子模块在接收到加密数据后，利用私钥对加密数据进行解密；并调用密码算法库的数据加解密函数接口，初始化密钥句柄；

由数据加解密子模块挂载虚拟机的加密磁盘，并调用密钥句柄执行加密磁盘的数据加/解密操作；

其中，数据加密保护模块包括：数据加解密子模块、秘钥请求子模块和密码算法库。

可选地，对卫星数据分布式虚拟化存储进行安全监控与审计包括如下步骤：

通过审计代理模块监控虚拟机中所有用户的文件操作行为，并采用syslog日志的形式记录下来，得到第一日志信息；将第一日志信息发送给日志发送子模块；

通过日志采集子模块监控宿主机操作系统中所有用户的文件操作行为，并采用syslog日志的形式记录下来，得到第二日志信息；将第二日志信息发送给日志发送子模块；

通过安全监控子模块监控宿主机操作系统和虚拟机中的恶意软件操作行为并采用syslog日志的形式记录下来，得到第三日志信息；将第三日志信息发送给日志发送子模块；

通过日志发送子模块将接收到的第一日志信息、第二日志信息和第三日志信息转换成json格式的日志数据，并通过syslog协议发送给日志审计服务器；

通过日志审计服务器对接收到的日志数据进行统计和关联分析，并输出安全事件审计结果；

其中，安全监控审计模块包括：日志发送子模块、安全监控子模块和日志采集子模块；审计代理模块设置在虚拟机端。

本发明与现有技术相比的优点在于：

(1)本发明公开了一种卫星数据分布式虚拟化存储的安全防护系统和方法，整合了可信计算技术、虚拟化透明加密技术和虚拟化审计技术的优势，构建了平台可信度量、数据加密保护、安全监控与审计的一体化安全防护机制，尤其能够防御0day攻击和apt攻击等新型网络攻击威胁，确保卫星数据的安全性。

(2)本发明公开了一种卫星数据分布式虚拟化存储的安全防护系统和方法，既能满足分布式虚拟化存储的可靠性、灵活性、伸缩性的要求，又能够实现机密性、完整性和可信性，又从而保障卫星数据在安全可靠的分布式虚拟化存储环境下进行共享交互和融合应用。

附图说明

图1为本发明的一个实施例提供的卫星数据分布式虚拟化存储的安全防护系统的结构示意图；

图2为本发明的一个实施例提供的卫星数据分布式虚拟化存储的安全防护方法的流程图；

图3为本发明的另一个实施例提供的卫星数据分布式虚拟化存储的安全防护方法的流程图；

图4为本发明的又一个实施例提供的卫星数据分布式虚拟化存储的安全防护方法的流程图。

具体实施方式

以下结合附图和实施例对本发明作进一步的详细说明。

实施例1

出于对卫星数据分布式虚拟化存储机密性、完整性和可信性的考虑，本发明实施例公开了一种卫星数据分布式虚拟化存储的安全防护系统，包括：平台可信度量模块、数据加密保护模块、安全监控审计模块、可信管理服务器、密钥管理服务器和日志审计服务器。其中，平台可信度量模块、数据加密保护模块和安全监控审计模块设置在宿主机端；可信管理服务器、密钥管理服务器和日志审计服务器设置在安全管理服务器端。

优选的，平台可信度量模块与对应的可信管理服务器，用于对卫星数据分布式虚拟化存储进行可信度量；数据加密保护模块与对应的密钥管理服务器，用于对卫星数据分布式虚拟化存储进行数据加密；安全监控审计模块与对应的日志审计服务器，用于对卫星数据分布式虚拟化存储进行安全监控与审计。

在本发明实施例中，所述卫星数据分布式虚拟化存储的安全防护系统还包括：设置在虚拟机端的vtcm(virtualtrustedcryptographymodule，vtcm)报告模块和vtcm度量模块；其中，平台可信度量模块包括：tcm(trustedcryptographymodule，tcm)度量子模块、tcm报告子模块和vtcm管理子模块。

优选的，tcm度量子模块，用于调用物理tcm对宿主机操作系统和应用程序进行可信度量，得到第一度量结果，并将第一度量结果发送给tcm报告子模块；tcm报告子模块，用于将第一度量结果通过ssl安全通道发送给可信管理服务器；vtcm管理子模块，用于生成vtcm实例；vtcm度量模块，用于调用vtcm管理子模块生成的vtcm实例对虚拟机端的客户操作系统和应用程序、以及存储服务器中的磁盘数据的备份文件进行可信度量，得到第二度量结果，并将第二度量结果发送给vtcm报告模块；vtcm报告模块，用于将第二度量结果通过ssl安全通道发送给可信管理服务器；可信管理服务器，用于将接受到第一度量结果和第二度量结果分别与对应的可信度量原始值进行对比；并根据对比结果，进行组件替换恢复。

在本发明实施例中，数据加密保护模块包括：数据加解密子模块、秘钥请求子模块和密码算法库。

优选的，密码算法库，用于存储非对称密码算法；秘钥请求子模块，用于调用密码算法库中存储的非对称密码算法，生成公钥/私钥的密钥对，并将所述公钥通过ssl安全通道发送给密钥管理服务器；以及，根据虚拟机对应的uuid查找密钥索引，并将封装有所述虚拟机的用户名、密码和所述密钥索引的密钥请求包通过ssl安全通道发送给所述密钥管理服务器；以及，在接收到加密数据后，利用私钥对加密数据进行解密；以及，调用密码算法库的数据加解密函数接口，初始化密钥句柄；密钥管理服务器，用于接收所述秘钥请求子模块发送的公钥；以及，在接收到所述密钥请求子模块发送的密钥请求包后，对密钥请求包进行合法性验证；在密钥请求包合法性验证通过之后，根据所述密钥请求包中携带的密钥索引查询对应的密钥数据，利用公钥对查询到的对应的密钥数据进行加密，得到加密数据，通过ssl安全通道将加密数据发送给所述密钥请求子模块；数据加解密子模块，用于挂载虚拟机的加密磁盘，调用密钥句柄执行加密磁盘的数据加/解密操作。其中，公钥用于加密虚拟机加密磁盘对应的密钥数据，私钥用于解密加密数据。

在本发明实施例中，所述卫星数据分布式虚拟化存储的安全防护系统，还包括：设置在虚拟机端的审计代理模块。其中，安全监控审计模块包括：日志发送子模块、安全监控子模块和日志采集子模块。

优选的，审计代理模块，用于监控虚拟机中所有用户的文件操作行为，并采用syslog日志的形式记录下来，得到第一日志信息；将第一日志信息发送给日志发送子模块；日志采集子模块，用于监控宿主机操作系统中所有用户的文件操作行为，并采用syslog日志的形式记录下来，得到第二日志信息；将第二日志信息发送给日志发送子模块；安全监控子模块，用于监控宿主机操作系统和虚拟机中的恶意软件操作行为并采用syslog日志的形式记录下来，得到第三日志信息；将第三日志信息发送给日志发送子模块；日志发送子模块，用于将接收到的第一日志信息、第二日志信息和第三日志信息转换成json格式的日志数据，并通过syslog协议发送给日志审计服务器；日志审计服务器，用于对接收到的日志数据进行统计和关联分析，并输出安全事件审计结果。

在本发明实施例中，虚拟机和宿主机位于分布式虚拟化存储节点下。

实施例2

参照图1，为本发明的一个实施例提供的卫星数据分布式虚拟化存储的安全防护系统的结构示意图。在发明中，该卫星数据分布式虚拟化存储的安全防护系统包括分布式虚拟化存储节点100和安全管理服务器200。

具体而言，分布式虚拟化存储节点100具体包括：用于宿主机操作系统20层安全防护的平台可信度量模块21、数据加密保护模块22和安全监控审计模块23，以及用于虚拟机30a层安全防护的vtcm度量模块32a、vtcm报告模块33a和审计代理模块34a。

其中，平台可信度量模块21包括tcm度量子模块211、tcm报告子模块212和vtcm管理子模块213。由于我国自主研发的可信密码模块tcm能够提供的可信根包括可信度量、可信存储和可信报告等安全服务功能，因此，tcm度量子模块211通过调用存储服务器10中内置的物理tcm11的可信度量根的安全服务功能，用于对分布式虚拟化存储平台中的宿主机操作系统20中的系统内核、qemu、libvirt等关键组件和各应用程序进行可信度量，保护宿主机操作系统20的完整性不被恶意篡改。tcm报告子模块212通过调用存储服务器10中内置的物理tcm11的可信报告根的安全服务功能，用于实现对外发送可信度量报告的功能。vtcm管理子模块213提供生成vtcm实例的功能，用于为虚拟机平台提供类似物理tcm功能的逻辑设备，当有新的虚拟机创建的时候就为该虚拟机生成一个对应的vtcm实例，从而实现硬件tcm从宿主机层到虚拟机层vtcm的虚拟可信密码模块的安全服务功能。

数据加密保护模块22包括密码算法库221、密钥请求子模块222和数据加解密子模块223。其中，密码算法库221提供非对称密码算法、对称密码算法和散列密码算法，非对称密码算法采用国家密码管理局发布的sm2算法标准实现，对称密码算法采用国家密码管理局发布的sm4算法标准实现，散列密码算法采用国家密码管理局发布的sm3算法标准实现。密钥请求子模块222用于发送密钥请求和接收密钥数据，并通过调用密码算法库221数据加/解密接口为数据加解密子模块223提供密钥句柄。卫星数据分布式虚拟化存储平台各卫星应用程序需要在不同的虚拟机中运行，当有虚拟机需要启动时，密钥请求子模块就向安全管理服务器200的密钥管理服务器202为该虚拟机请求加密磁盘的加密密钥，由于对卫星数据加密保护采用的是对称密码算法，因此数据加密和解密过程使用的是同一个密钥。数据加解密子模块223对接qemu磁盘读写接口，提供驱动层的透明加解密功能，当虚拟机有数据要写入加密磁盘时，数据加解密子模块223拦截qemu写数据的请求包，将对应的明文数据加密后再发送给qemu写入磁盘，而当虚拟机要从加密磁盘中读取数据时，数据加解密子模块223拦截qemu读数据的请求包，将对应的密文数据解密后再发送给qemu写入内存。密钥请求和数据加解密功能分别由密钥请求子模块222和数据加解密子模块223独立实现，实现了密钥运算和数据读写的分离，提升了系统的安全性。数据据加解密子模块223实现了驱动层的透明加解密功能，对上层应用完全透明，适用于分布式虚拟化存储环境。

安全监控审计模块23包括日志采集子模块231、安全监控子模块232和日志发送子模块233。其中，日志采集子模块231用于监控宿主机操作系统20中所有用户的文件操作行为以syslog日志的形式记录下来，并发送给日志发送子模块233；安全监控子模块232用于监控宿主机操作系统和虚拟机中的恶意软件操作行为以syslog日志的形式记录下来，并发送给所述日志发送子模块233；日志发送子模块233用于将日志信息转换成json格式的日志数据，并通过syslog协议发送给日志审计服务器203。

vtcm度量子模块32a通过调用vtcm管理子模块213生成的vtcm实例的虚拟可信度量根的安全服务功能，用于对客户操作系统31a中的系统内核、中间件、各应用程序以及磁盘数据的备份文件等进行可信度量，保护客户操作系统31a的完整性不被恶意篡改。

vtcm报告子模块33a通过调用vtcm管理子模块213生成的vtcm实例的虚拟可信报告根的安全服务功能，用于实现向安全管理服务器200的可信管理服务器201发送可信度量报告的功能。

审计代理模块34a用于监控虚拟机30a中所有用户的文件操作行为以syslog日志的形式记录下来，并发送给日志发送子模块233。

再如图1所示，本实施例中的安全管理服务器200作为卫星数据分布式虚拟化存储集群的安全管理服务器，包括可信管理服务器201、密钥管理服务器202和日志审计服务器203。

其中，可信管理服务器201作为分布式虚拟化存储集群的可信管理中心，用于存储所有分布式虚拟化存储节点原始的可信度量值和对实时的可信度量值进行对比校验。当接收到tcm报告子模块212和vtcm报告子模块33a的可信度量值时就与其对应组件的原始值进行比对，如果对比结果一致，则不做任何操作；如果对比结果不一致，则将对应的组件进行替换和恢复。

密钥管理服务器202作为分布式虚拟化存储集群的密钥管理中心，用于接收所有分布式虚拟化存储节点的密钥请求。密钥管理服务器202存储着分布式虚拟化存储集群中所有虚拟机加密磁盘对应的密钥数据，当有新的虚拟机创建时，密钥管理服务器202就会为该虚拟机创新一个用于加密虚拟机磁盘的密钥数据。当有虚拟机启动时，密钥管理服务器202就会接收到密钥请求子模块222发送的密钥请求包，并向密钥请求子模块222发送密钥数据。

日志审计服务器203作为分布式虚拟化存储集群的日志审计管理中心，用于接收所有分布式虚拟化存储节点的审计日志数据。由于宿主机操作系统20部署日志采集子模块231、安全监控子模块232，并且在客户操作系统31a部署了审计代理模块34a，在分布式虚拟化存储集群运行过程中日志发送子模块233就会将收到的审计日志数据实时发送给日志审计服务器203。日志审计服务器203将收到的审计日志数据进行统计和关联分析，输出安全事件审计结果。

实施例3

参照图2，为本发明的一个实施例提供的卫星数据分布式虚拟化存储的安全防护方法的流程图，该卫星数据分布式虚拟化存储的安全防护方法具体为平台可信度量方法，包括以下步骤：

步骤s11、tcm度量子模块211调用物理tcm11对宿主机操作系统20和各应用程序进行可信度量，并将度量结果发送到tcm报告子模块212，tcm报告子模块212通过ssl安全通道将度量结果发送给可信管理服务器201；

步骤s12，vtcm度量模块32a调用vtcm管理子模块213生成的vtcm实例对客户操作系统31a和各应用程序进行可信度量，并将度量结果保存到vtcm报告模块33a，vtcm报告模块33a通过ssl安全通道将度量结果发送给可信管理服务器201；

步骤s13，可信管理服务器201将接受到度量结果与可信度量原始值进行对比，如果对比结果不一致，则将不一致的组件进行替换恢复；如果对比结果一致，则不做任何操作；

步骤s14，按照一定时间周期循环执行s11、s12、s13步骤。

实施例4

参照图3，为本发明的另一个实施例提供的卫星数据分布式虚拟化存储的安全防护方法的流程图，该卫星数据分布式虚拟化存储的安全防护方法具体为数据加密保护方法，包括以下步骤：

步骤s21，密钥请求子模块222调用密码算法库221生成公私钥密钥对，并将生成的公钥通过ssl安全通道发送给密钥管理服务器202；

步骤s22，密钥请求子模块222根据虚拟机30a对应的uuid查找密钥索引，并将封装有虚拟机用户名、密码和密钥索引的密钥请求包通过ssl安全通道发送给密钥管理服务器202；

步骤s23，密钥管理服务器202收到密钥请求子模块222的密钥请求包后，验证密钥请求包的合法性，若验证结果合法，则查询密钥索引对应的密钥数据，并利用步骤s21中收到的公钥对密钥数据进行加密后，通过ssl安全通道发送给密钥请求子模块222；否则返回错误信息；

步骤s24，密钥请求子模块222在收到密钥数据后，利用步骤s21中生成的私钥对密钥数据进行解密，并调用密码算法库221的数据加解密函数接口，初始化密钥句柄；

步骤s25，数据加解密子模块223挂载虚拟机30a的加密磁盘，调用密钥请求子模块222初始化好的密钥句柄执行虚拟机磁盘数据的加/解密操作。

实施例5

参照图4，为本发明的又一个实施例提供的卫星数据分布式虚拟化存储的安全防护方法的流程图，该卫星数据分布式虚拟化存储的安全防护方法具体为安全监控与审计方法，包括以下步骤：

步骤s31，审计代理模块34a监控虚拟机30a中所有用户的文件操作行为以syslog日志的形式记录下来，并发送给日志发送子模块233；

步骤s32，日志采集子模块231监控宿主机操作系统20中所有用户的文件操作行为以syslog日志的形式记录下来，并发送给日志发送子模块233；

步骤s33，安全监控子模块232监控宿主机操作系统和虚拟机中的恶意软件操作行为以syslog日志的形式记录下来，并发送给所述日志发送子模块233；

步骤s34，日志发送子模块233将收到的日志信息转换成json格式的日志数据，并通过syslog协议发送给日志审计服务器203；

步骤s35，日志审计服务器203对接收到的日志进行统计和关联分析，并输出安全事件审计结果。

综上所述，本发明实施例提供的一种卫星数据分布式虚拟化存储的安全防护系统和方法，能够为卫星数据分布式虚拟化存储构建平台可信度量、数据加密保护、安全监控与审计的一体化安全防护机制，尤其能够防御0day攻击和apt攻击等新型网络攻击威胁，确保卫星数据的安全性。

以上所述仅为本发明的可选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。