一种用于可信执行计算机指令的系统和方法与流程

一种用于可信执行计算机指令的系统和方法


背景技术：

1.在本发明的一些实施例中，本发明涉及一种用于执行多个计算机指令的系统，更具体地但非排他地，涉及一种用于防止在执行所述多个计算机指令时进行恶意干预的系统。
2.为简洁起见，此后使用术语“服务”来表示基于计算机的服务，该服务由基于计算机的系统或设备可能通过执行用于提供基于计算机的服务的代码来提供。如此后使用的，攻击者是实体—个人或组织，试图从中断服务中受益，以及附加地或另选地从获取对服务的非授权访问中受益。
3.服务面临着越来越多的已知风险，即受到攻击者的威胁，攻击者试图从中断服务受益，或者从获取对服务的非授权访问中受益。一些硬件处理器实现可信执行环境(trusted execution environment，tee)，从而提供隔离执行环境，其中加载到tee中的计算机指令和数据不能被由tee外部的处理电路执行的其它计算机指令访问。将计算机指令和数据加载到tee需要认证加载实体、加载计算机指令和数据以及授权加载实体访问tee。tee为计算机指令的执行提供完整性，使得计算机指令的执行不会被其它计算机指令中断，并且计算机指令不会被其它计算机指令改变。此外，tee中的数据是计算机指令的私有数据，其它计算机指令不能访问，既不能读取也不能写入。


技术实现要素：

4.本发明的目的在于提供一种用于安全地执行多个计算机指令的系统和方法。
5.前述和其它目的通过独立权利要求的特征来实现。进一步的实现形式从独立权利要求、说明书和附图中显而易见。
6.根据本发明的第一方面，提供了一种用于执行多个计算机指令的系统，包括：处理电路，所述处理电路具有可信执行环境(trusted execution environment，tee)，用于执行一组安全的计算机指令。根据第一方面，可由所述tee执行的所述一组安全的计算机指令包括：第一组计算机指令，其在一组主要的计算机指令中标识，用于产生第一结果；以及第二组计算机指令，用于产生与由所述处理电路执行所述一组主要的计算机指令的主要结果相关联的辅助结果。根据第一方面，所述处理电路根据所述第一结果产生所述主要结果。
7.根据本发明的第二方面，提供了一种用于执行多个计算机指令的方法，包括：在处理电路的tee中执行一组安全的计算机指令。根据第二方面，可由所述tee执行的所述一组安全的计算机指令包括：第一组计算机指令，其在一组主要的计算机指令中标识，用于产生第一结果；以及第二组计算机指令，用于产生与由所述处理电路执行所述一组主要的计算机指令的主要结果相关联的辅助结果。根据第二方面，所述处理电路根据所述第一结果产生所述主要结果。
8.根据本发明的第三方面，提供了一种非瞬时性计算机可读存储介质，包括程序代码，所述程序代码在由计算机执行时，使得所述计算机执行本发明的第二方面的所述方法。
9.结合第一方面和第二方面，在本发明第一方面和第二方面的第一种可能的实现方
式中，执行所述第一组计算机指令包括访问存储在所述tee中的秘值。可选地，所述秘值选自一组秘值，所述一组秘值包括：密码值、对称加密
‑
解密密钥值、私有解密密钥值、私有加密密钥值、签名密钥值以及零知识证明方法的输入值。可选地，执行所述第一组计算机指令包括执行存储在所述tee中的多个秘密计算机指令。通过访问存储在所述tee中的秘值，以及附加地或另选地通过执行存储在所述tee中的多个秘密计算机指令来执行所述第一组计算机指令，便于向执行所述一组主要的计算机指令的所述主要结果(如签名、加密签名或加密)添加保护，因为所述主要结果是根据执行所述第一组计算机指令的所述第一结果产生的，例如使用所述第一结果来产生所述主要结果或根据所述第一结果产生所述主要结果，从而提高实现本发明的系统的稳定性并提高由所述系统提供的服务的可用性。
10.结合第一方面和第二方面，或者第一方面和第二方面的第一种实现方式，在本发明第一方面和第二方面的第二种可能的实现方式中，执行所述一组主要的计算机指令的所述主要结果包括：指示修改目标值；产生所述第一结果包括使用所述秘值产生用于修改所述目标值的修改指令，所述处理电路根据对所述修改指令应用授权测试的成功结果来指示修改所述目标值；以及产生所述辅助结果包括输出所述修改指令的指示。可选地，所述目标值指示金额。根据对所述修改指令应用授权测试的成功结果来指示修改所述目标值，以及输出所述修改指令的指示，便于监控审计系统，从而降低所述目标值的非授权修改的风险，继而提高系统的稳定性和可靠性。
11.结合第一方面和第二方面，或者第一方面和第二方面的第一种实现方式和第二种实现方式，在本发明第一方面和第二方面的第三种可能的实现方式中，输出所述修改指令的所述指示包括以下一项或多项：将日志条目写入日志储存库，以及生成报告。可选地，所述处理电路还用于将所述修改指令的所述指示发送到另一处理电路。可选地，所述另一处理电路用于：从所述处理电路接收执行所述修改指令的指示；应用审计测试，以在所述修改指令的所述指示中标识执行所述修改指令的所述指示；以及在所述审计测试失败的情况下输出审计指示。应用审计测试以在所述修改指令的所述指示中(例如，在日志储存库中或报告中)标识执行所述修改指令的所述指示，从而降低未检测到所述目标值的非授权修改的概率，继而提高所述系统的可靠性和稳定性。
12.结合第一方面和第二方面，或者第一方面和第二方面的第一种实现方式，在本发明第一方面和第二方面的第四种可能的实现方式中，所述一组主要的计算机指令还用于从请求器接收检索存储在连接到所述处理电路的数据存储器中的私有值的请求；执行所述一组主要的计算机指令的所述主要结果包括响应于所述请求输出所述私有值；产生所述辅助结果包括根据标识的策略，响应于所述请求计算授权值；产生所述第一结果包括根据所述授权值，从所述数据存储器读取所述私有值；以及所述处理电路向所述请求器发送所述私有值，以成功地从所述数据存储器读取并解密所述私有值。向所述请求器发送所述私有值，以成功地从所述数据存储器读取并解密所述私有值，从而提高所述系统的可靠性和稳定性。可选地，产生所述第一结果还包括根据所述授权值使用所述秘值对所述私有值进行解密。可选地，所述私有值是以下各项中的一个：人的图像、人的医学图像、生物特征值、姓名值、个人身份识别值、性别值、年龄值、信用卡号值、账户识别值以及账户访问凭证值。
13.在研究下文附图和详细描述之后，本发明的其它系统、方法、特征和优点对于本领域技术人员来说是或变得显而易见的。希望所有这些其它系统、方法、特征和优点包含在本
说明书中，在本发明的范围内，并且受所附权利要求的保护。
14.除非另有定义，否则本文所用的所有技术和科学术语都具有与本发明普通技术人员公知的含义相同的含义。尽管与本文所描述的方法和材料类似或者相同的方法和材料可以用于本发明实施例的实践或测试，但下文只描述示例性的方法和/或材料。若存在冲突，则以包括定义在内的专利说明书为准。另外，材料、方法以及示例都只是用于说明，并非必要限定。
附图说明
15.此处仅作为示例，结合附图描述了本发明的一些实施例。现在具体结合附图，需要强调的是所示的项目作为示例，为了说明性地讨论本发明的实施例。这样，根据附图说明，如何实践本发明实施例对本领域技术人员而言是显而易见的。
16.在附图中：
17.图1示出了根据本发明的一些实施例提供的示例性系统的示意性框图；
18.图2示出了根据本发明的一些实施例提供的示意地表示可选操作流的流程图；
19.图3示出了根据本发明的一些实施例提供的表示用于产生签名指令的示例性数据流的示意性框图；
20.图4示出了根据本发明的一些实施例提供的表示用于访问私有数据的示例性数据流的示意性框图；
21.图5示出了根据本发明的一些实施例提供的示意地表示用于审计的可选操作流的流程图。
具体实施方式
22.在本发明的一些实施例中，本发明涉及一种用于执行多个计算机指令的系统，更具体地但非排他地，涉及一种用于防止在执行所述多个计算机指令时进行恶意干预的系统。
23.提供服务的系统除了实现所述服务之外，通常还实现一个或多个工具，用于监控所述系统并可能生成关于所述系统的报告。一些系统实现一个或多个工具，用于执行管理对所述系统的访问和所述系统的行为的策略。一些此类工具使系统管理员能够标识对所述系统的攻击。然而，攻击者可能会获得工具的控制权，并使用所述工具来隐藏攻击。例如，当系统包括记录和报告工具时，所述记录和报告工具存储由所述服务执行的每项操作的条目，所述攻击者可以获得对所述记录和报告工具的控制权，并将非授权操作记录为授权操作，以通过比较由所述记录和报告工具生成的报告与由所述非授权操作的目标系统生成的报告来防止所述系统管理员检测到所述非授权操作。例如，在银行系统中，攻击者获得对所述记录和报告工具的控制权可以触发执行使所述攻击者拥有的银行账户受益的非授权金融交易，使得所述非授权金融交易被记录并报告为授权金融交易。另选地，所述攻击者可以移除所述非授权金融交易的记录，使得所述非授权金融交易不会出现在报告中。在另一示例中，在实现策略执行器的系统中，所述攻击者可以获得对策略执行器的控制权，并授权所述执行策略执行器将不予授权的操作。例如，在包括存储私有数据的数据存储器的系统中，所述攻击者可以通过伪造授权过程的结果来访问私有数据值。
24.存在使用tee来保护包括所述tee的计算设备上的内容的系统。现有使用tee的另一示例是例如使用一种或多种生物特征识别方法来认证所述计算设备的用户。然而，存在不能在单个tee中执行的服务，例如包括至少两个处理器之间的数字网络通信的服务。
25.在本发明的一些实施例中，本发明提出了在所述tee中执行所述服务的基本部分和所述服务的辅助部分，其中由所述系统提供的所述服务取决于所述基本部分的执行，并且执行所述辅助部分的辅助结果与由所述系统提供的所述服务相关联。在所述tee中执行所述基本部分和所述辅助部分两者降低了在不执行所述辅助部分的情况下提供所述服务的风险。当所述辅助部分是用于防止对所述系统的攻击的装置的一部分时，在所述tee中执行所述基本部分和所述辅助部分两者降低了攻击者绕过用于防止所述攻击的所述装置的风险，因为在不执行所述辅助部分的情况下可能无法提供所述服务，进而提高了所述系统的可靠性和稳定性以及所述服务的可用性。
26.根据本发明，在一些实施例中，由上升系统提供的所述服务是执行一组主要的计算机指令的主要结果。在此类实施例中，所述基本部分是在所述一组主要的计算机指令中标识的第一组计算机指令，使得根据通过执行所述基本部分产生的第一结果来产生所述主要结果，例如使用所述第一结果来产生所述主要结果或根据所述第一结果来产生所述主要结果。在第一示例中，当所述主要结果包括对请求的响应时，所述基本部分可以包括从数据存储器中读取私有值，并且所述第一结果可以包括所述私有值。在所述第一示例中，使用所述私有值来产生对所述请求的所述响应。在第二示例中，当所述主要结果包括指示修改一个或多个值时，所述基本部分可以包括产生签名修改指令，并且所述第一结果可以包括使用存储在所述tee中的秘密产生的签名。在所述第二示例中，所述修改指令使用所述签名进行签名。可选地，所述签名是加密签名，并且所述修改指令是经过加密签名的修改指令。
27.在根据所述第一结果产生所述主要结果的一些实施例中，可选地，所述第一结果与执行一组辅助的计算机指令的辅助结果相关联。由所述tee执行所述一组辅助的计算机指令以产生所述辅助结果和所述第一组计算机指令为所述第一结果与所述一组辅助的计算机指令的执行之间的关联性提供完整性。由于在此类实施例中，根据所述第一结果产生所述主要结果，由所述tee执行所述一组辅助的计算机指令和所述第一组计算机指令两者为所述主要结果与所述一组辅助的计算机指令的执行之间的关联性提供完整性，使得在没有执行所述一组辅助的计算机指令的情况下不会产生所述主要结果，从而提高所述主要结果的准确性和可靠性，继而提高所述系统的稳定性和可靠性以及所述服务的可用性。
28.在所述第一示例中，当所述主要结果包括对所述请求的所述响应时，所述辅助结果可以包括为发送所述请求的用户计算的授权值。在所述第一示例中，根据所述授权值检索所述私有值，从而根据所述授权值生成所述响应。
29.在所述第二示例中，当所述主要结果包括指示修改所述一个或多个值时，产生所述辅助结果可以包括输出所述修改指令的指示，例如通过将日志条目写入日志储存库。在所述第二示例中，不输出修改所述一个或多个值的另一指令的另一指示，所述另一指示由非所述tee执行的其它计算机指令产生。
30.此外，根据本发明的一些实施例，产生所述辅助结果包括将所述修改指令的指示发送到另一处理电路。可选地，对所述修改指令的所述指示进行签名，可选地通过使用存储在所述tee中的所述秘密。此外，可选地将执行所述修改指令的所述指示发送到所述另一处
environment，tee)111，用于执行一组安全的计算机指令。所述处理电路可以是任何类型的可编程电路或非可编程电路，其用于执行本发明中描述的操作。所述处理电路可以包括硬件以及软件。例如，所述处理电路可以包括一个或多个处理器以及瞬时性存储器或非瞬时性存储器，所述瞬时性存储器或非瞬时性存储器携带程序，当所述程序由所述一个或多个处理器执行时，使所述处理电路执行相应操作。tee的一些示例如下：英特尔软件保护扩展(intel software guard extensions，英特尔sgx)、arm trustzone、超微半导体设备安全加密虚拟化(secure encrypted virtualization，sev)、risc
‑
v keystone以及硬件安全模块(hardware security module，hsm)。
39.为简洁起见，此后使用术语“处理器”来表示“处理电路”。可选地，处理器101连接到数据存储器122，例如用于存储私有数据。可选地，数据存储器122包括日志储存库。可选地，数据存储器122包括非易失性存储器，例如硬盘、网络连接存储器和存储网络中的一个或多个。可选地，tee 111连接到数据存储器122。可选地，处理器101连接到一个或多个数字通信网络接口121，可选地用于从请求器接收一个或多个请求。所述请求器可以是由其它处理器131执行的、可选地连接到处理器101的、可选地经由一个或多个数字通信网络接口121的应用程序。可选地，一个或多个数字通信网络接口121连接到局域网，例如以太网或无线网络。可选地，一个或多个数字通信网络接口121连接到广域网，例如因特网。
40.附加地或另选地，处理器101可选地其它处理器131发送用于修改一个或多个目标值的一个或多个指令。可选地，所述一个或多个修改指令是一个或多个签名指令。进一步附加地或另选地，处理器101可选地向其它处理器131发送一个或多个报告。进一步附加地或另选地，处理器101可选地与其它处理器131通信，用于认证和授权发送一个或多个请求的请求器。可选地，其它处理器131包括多个硬件处理器。
41.处理器101可选地执行一组主要的计算机指令。为了执行所述一组主要的计算机指令，在本发明的一些实施例中，系统100实现以下可选方法。
42.现在还参考图2，其示出了根据本发明的一些实施例提供的示意地表示可选操作流200的流程图。在211中，处理器101可选地从请求器接收请求，可选地从其它处理器131接收请求。可选地，所述请求是检索存储在数据存储器122中的私有值。在201中，处理器101可选地在tee 111中执行一组安全的计算机指令。
43.可选地，执行一组主要的计算机指令具有主要结果。可选地，执行所述一组主要的计算机指令的所述主要结果包括指示修改目标值。例如，所述目标值可以指示金额，例如当系统100是银行系统并且所述目标值是用户的银行账户的余额值时。在该示例中，所述一组主要的计算机指令可以包括处理从一个银行账户向第二银行账户转移确定的金额的请求，以指示修改目标值，可以包括增加源银行账户的余额值或减少目标银行账户的另一余额值。可选地，执行所述一组主要的计算机指令的所述主要结果包括响应于从所述请求器接收的请求输出私有值。私有值的一些示例如下：人的图像、人的医学图像、生物特征值、姓名值、个人身份识别值、性别值、年龄值、信用卡号值、账户识别值(如银行账户或基于计算机的服务账户)以及账户访问凭证值。
44.可选地，在tee 111中执行的所述一组安全的计算机指令包括在所述一组主要的计算机指令中标识的第一组计算机指令，用于产生第一结果。可选地，处理器101根据所述第一结果产生所述主要结果。可选地，产生所述第一结果包括产生用于修改所述目标值的
修改指令，例如当所述主要结果包括指示修改所述目标值时。在该示例中，处理器101根据tee 111产生的所述修改指令来指示修改所述目标值。可选地，执行所述第一组计算机指令包括访问存储在所述tee中的秘值，例如当所述修改指令经过签名并且附加地或另选地经过加密时。秘值的一些示例是密码值、对称加密
‑
解密密钥值、私有解密密钥值、私有加密密钥值、签名密钥值以及零知识证明方法的输入值。可选地，使用所述秘值产生所述修改指令。例如，可选地产生所述修改指令，使得其它处理器131根据对所述修改指令应用授权测试的成功结果来修改所述目标值。可选地，对所述修改指令应用所述授权测试的成功结果取决于所述秘值。
45.可选地，产生所述第一结果包括从数据存储器122读取所述私有值。例如，处理器101可以响应于从所述请求器接收的所述请求输出由tee 111读取的所述私有值。可选地，产生所述第一结果包括使用所述秘值对所述私有值进行解密。可选地，执行所述第一组计算机指令包括执行存储在所述tee中的多个秘密计算机指令，例如用于计算签名或加密签名。多个秘密计算机指令的其它示例包括：加密计算机指令，用于对值进行加密；以及解密计算机指令，用于对加密值进行解密。
46.可选地，在tee 111中执行的所述一组安全的计算机指令包括第二组计算机指令，用于产生辅助结果。可选地，由tee 111执行所述第二组计算机指令产生的所述辅助结果与由处理器101执行所述一组主要的指令产生的所述主要结果相关联。例如，产生所述辅助结果可选地包括在221中发送所述修改指令的指示。因此，在该示例中，指令修改所述目标值的所述主要结果与所述修改指令的所述指示相关联。可选地，产生所述辅助结果包括响应于所述请求计算授权值。可选地，根据标识的策略计算所述授权值。可选地，根据所述授权值产生所述第一结果。例如，tee 111可以根据所述授权值从数据存储器131读取所述私有值。可选地，tee 111使用所述秘值对根据所述授权值从数据存储器131读取的所述私有值进行解密。可选地，处理器101向所述请求器发送所述私有值，以成功地从所述数据存储器读取并解密所述私有值。因此，在一些实施例中，向所述请求器发送所述私有值的主要结果与计算授权值的辅助结果相关联。
47.可选地，在211中输出所述修改指令的所述指示包括将日志条目写入日志储存库，例如存储在数据存储122上的日志储存库或由其它处理器131管理的日志储存库。可选地，输出所述修改指令的所述指示包括生成报告。
48.为了理解由处理器101执行所述一组主要的计算机指令的所述主要结果、在tee 111中执行所述第一组计算机指令的所述第一结果与在tee 111中执行所述第二组计算机指令的所述辅助结果之间的可能关系，现在还参考图3，其示出了根据本发明的一些实施例提供的表示用于产生签名指令的示例性数据流300的示意性框图。在此类实施例中，由处理器101执行所述一组主要的指令的主要结果是产生用于修改目标值的签名指令。对用于修改所述目标值的指令进行签名允许保护所述目标值，使得仅授权实体修改所述目标值。可选地，用于修改所述目标值的所述指令是经过加密签名的。在此类实施例中，tee 111接收未签名的修改指令301，例如由执行所述一组主要的计算机指令中的一些的处理器101产生。可选地，tee111执行所述第一组计算机指令以对修改指令301进行签名，从而产生签名指令302。此外，tee可选地执行所述第二组计算机指令以产生辅助结果可信报告310。可信报告310可选地包括指示签名指令302的数据。由于由所述tee执行所述第二组计算机指令
而在所述tee中产生可信报告310，因此试图产生非授权签名指令的攻击者不能产生相关联的可信报告。
49.由处理器101执行所述一组主要的计算机指令的所述主要结果、在tee 111中执行所述第一组计算机指令的所述第一结果与在tee 111中执行所述第二组计算机指令的所述辅助结果之间的另一可能关系包括监管对存储在数据存储器122中的私有数据的访问。现在还参考图4，其示出了根据本发明的一些实施例提供的表示用于访问私有数据的示例性数据流400的示意性框图。在此类实施例中，tee 101从请求器接收请求401，所述请求器可选地由其它处理器131执行。可选地，请求401是从数据存储器122检索私有数据值。可选地，tee 111执行所述第二组计算机指令以计算授权值，可选地在402中访问标识的策略。可选地，所述标识的策略存储在基于区块链的分类账中。可选地，在402中，tee 111访问实现所述标识的策略的授权服务，例如基于oauth的授权服务。可选地，tee 111执行所述第一组计算机指令，以在420中根据所述授权值读取所述私有值。因此，根据所述标识的策略在420中监管对数据存储器122的访问。tee 111可选地根据所述授权值向所述请求器提供响应411的私有数据值。由于数据存储器122是由tee 111根据所述tee执行所述第二组计算机指令产生的所述授权值执行所述第一组计算机指令进行访问的，因此攻击者不能访问数据存储器122。
50.现在再次参考图2，当处理器101经由tee 111在221中发送所述修改指令的指示时，所述指示可以用于对系统100进行审计。现在还参考图5，其示出了根据本发明的一些实施例提供的示意地表示用于审计的可选操作流500的流程图。在此类实施例中，处理器101向其它处理器131发送所述修改指令的所述指示。在501中，其它处理器131可选地接收执行所述修改指令的指示，例如从处理器101或从用于从处理器101接收所述修改指令的附加处理器接收所述修改指令的指示。在511中，其它处理器131可选地应用审计测试，以在所述修改指令的所述指示中(例如，在日志储存库或报告中)标识执行所述修改指令的所述指示。例如，当目标银行账户的目标余额增加时，其它处理器131可以接收所述增加的指示。在该示例中，处理器131应用所述审计测试，以在用于修改所述目标银行账户的指令中标识所述增加。在所述审计测试失败的情况下，在521中，其它处理器131可选地输出审计指示。例如，在用于修改所述目标银行账户的指令中标识所述增加失败的情况下，其它处理器131可以输出审计指示，以警告管理者所述目标银行账户的所述目标余额中可能存在未经授权的增加。
51.对本发明各个实施例的描述只是为了说明的目的，而这些描述并不旨在穷举或限于所公开的实施例。在不脱离所描述的实施例的范围和精神的情况下，本领域技术人员可以清楚理解许多修改和变化。相比于市场上可找到的技术，选择此处使用的术语可最好地解释本实施例的原理、实际应用或技术进步，或使本领域其他技术人员理解此处公开的实施例。
52.预计在本技术到期的专利的有效期内，将开发许多相关的可信执行环境，术语可信执行环境的范围旨在先验地包括所有此类新技术。
53.本文所使用的术语“约”是指
±
10％。
54.术语“包括”、“包含”、“具有”以及其变化形式表示“包含但不限于”。这个术语包括了术语“由
……
组成”以及“本质上由
……
组成”。
55.短语“主要由
…
组成”意指组成物或方法可以包含额外成分和/或步骤，但前提是所述额外成分和/或步骤不会实质上改变所要求的组成物或方法的基本和新颖特性。
56.除非上下文中另有明确说明，此处使用的单数形式“一个”和“所述”包括复数含义。例如，术语“化合物”或“至少一个化合物”可以包含多个化合物，包含其混合物。
57.此处使用的词“示例性的”表示“作为一个例子、示例或说明”。任何“示例性的”实施例并不一定理解为优先于或优越于其他实施例，和/或并不排除其他实施例特点的结合。
58.此处使用的词语“可选地”表示“在一些实施例中提供且在其他实施例中没有提供”。本发明的任意特定的实施例可以包含多个“可选的”特征，除非这些特征相互矛盾。
59.在整个本技术案中，本发明的各种实施例可以范围格式呈现。应理解，范围格式的描述仅为了方便和简洁起见，并且不应该被解释为对本发明范围的固定限制。因此，对范围的描述应被认为是已经具体地公开所有可能的子范围以及所述范围内的个别数值。例如，对例如从1到6的范围的描述应被认为是已经具体地公开子范围，例如从1到3、从1到4、从1到5、从2到4、从2到6、从3到6等，以及所述范围内的个别数字，例如1、2、3、4、5和6。不管范围的宽度如何，这都适用。
60.当此处指出一个数字范围时，表示包含了在指出的这个范围内的任意所列举的数字(分数或整数)。短语“在第一个所指示的数和第二个所指示的数范围内”以及“从第一个所指示的数到第二个所指示的数范围内”和在这里互换使用，表示包括第一个和第二个所指示的数以及二者之间所有的分数和整数。
61.应了解，为简洁起见在单独实施例的上下文中描述的本发明的某些特征还可以组合提供于单个实施例中。相反地，为简洁起见在单个实施例的上下文中描述的本发明的各个特征也可以单独地或以任何合适的子组合或作为本发明的任何合适的其它实施例提供。在各个实施例的上下文中描述的某些特征未视为那些实施例的基本特征，除非没有这些元素所述实施例无效。
62.此处，本说明书中提及的所有出版物、专利和专利说明书都通过引用本说明书结合在本说明书中，同样，每个单独的出版物、专利或专利说明书也具体且单独地结合在此。此外，对本技术的任何参考的引用或识别不可当做是允许这样的参考在现有技术中优先于本发明。就使用节标题而言，不应该将节标题理解成必要的限定。