一种基于分级加密的设备安全启动及认证方法和装置与流程

1.本发明涉及嵌入式设备安全技术领域，特别是涉及一种基于分级加密的设备安全启动及认证方法和装置。


背景技术：

2.随着嵌入式系统的广泛应用，嵌入式设备的系统安全性越来越受到厂商关注。为防止嵌入式设备系统软件被恶意窜改、保护知识产权，芯片厂商提出了基于soc芯片(soc为system on chip的缩写，称为系统级芯片)的设备安全启动解决方案，方案采用rsa非对称加密技术对所有启动固件做安全校验，由于校验程序固化在soc中的bl0(引导加载程序0)中，存在加密/校验手段单一、灵活性不足的问题。
3.鉴于以上情况，如何克服现有技术所存在的缺陷，解决soc厂商安全策略中所有固件使用同一套校验方式，存在手段单一、灵活性不足、秘钥无法更新、更无法达到设备的区别认证的问题，是本技术领域待解决的难题。


技术实现要素：

4.针对现有技术的以上缺陷或改进需求，本发明提供一种基于分级加密的设备安全启动及认证方法和装置，在bl3(引导加载程序3)中实现对内核及文件系统固件的安全校验，为每台设备新增独有的安全信息文件作为固件的校验依据，到达固件的分级校验及设备的区别认证目的。另外还能实现对bl3的安全校验，解决了加密手段单一的问题，增强了系统的安全性。
5.本发明实施例采用如下技术方案：
6.第一方面，本发明提供了一种基于分级加密的设备安全启动及认证方法，包括：
7.设备上电后，进入soc的引导加载程序，依次拉起引导加载程序bl1、引导加载程序bl2、引导加载程序bl3；
8.通过引导加载程序bl3依次校验设备安全信息文件的有效性、内核固件的有效性以及文件系统固件的有效性；
9.校验全部有效后，引导加载程序bl3拉起内核，并将设备序列号、mac地址传递给内核，以用于设备的网络认证。
10.进一步的，还包括在设备生产阶段，对设备信息进行分级加密，具体的：
11.生成预设对数的私钥以及证书，包括互相对应的第一私钥和第一证书、第二私钥和第二证书、第三私钥和第三证书；
12.根据私钥以及证书生成设备安全信息文件、引导加载程序的加密固件、内核的加密固件以及文件系统的加密固件；
13.将生成的设备安全信息文件以及各个加密固件安装到设备，并将证书以及设备相关信息写入soc中。
14.进一步的，所述将证书以及设备相关信息写入soc中具体包括：
15.将第一证书的哈希值写入soc中的可编程只读存储器；
16.计算设备序列号、mac地址的哈希值，使用aes算法加密该哈希值并写入soc中的可编程只读存储器；
17.引导加载程序bl0将存入可编程只读存储器的加密值通过aes算法解密；
18.将第二证书的哈希值通过aes算法加密后写入引导加载程序bl3中。
19.进一步的，所述设备安全信息文件的构成内容包括：魔术字、设备序列号、mac地址、第三证书的加密值、数字签名以及第二证书中的一项或者多项，其中，所述数字签名的生成具体包括：使用rsa算法和第二私钥对安全信息文件的指定数量个字段进行签名；相对应的，通过引导加载程序bl3校验设备安全信息文件的有效性具体包括：
20.校验第二证书的有效性，将第二证书的哈希值通过aes加密，与引导加载程序bl3中的aes加密值进行比较验证；
21.通过rsa算法和第二证书验证数字签名；
22.计算设备序列号、mac地址的哈希值，并与soc的引导加载程序bl0进行aes解密后的加密值比较校验。
23.进一步的，所述引导加载程序的加密固件的生成具体包括：使用rsa算法和第一私钥对引导加载程序bl1、引导加载程序bl2、引导加载程序bl3三个固件分别签名，并分别加入头部描述信息及第一证书，以生成相应的加密固件。
24.进一步的，所述设备上电后，进入soc的引导加载程序，依次拉起引导加载程序bl1、引导加载程序bl2、引导加载程序bl3具体包括：
25.设备上电后，进入soc的引导加载程序bl0；
26.读取并基于soc芯片策略校验引导加载程序bl1，校验通过后拉起bl1；
27.读取并基于soc芯片策略校验引导加载程序bl2，校验通过后拉起bl2；
28.读取并基于soc芯片策略校验引导加载程序bl3，校验通过后拉起bl3。
29.进一步的，所述内核的加密固件以及文件系统的加密固件的生成具体包括：使用rsa算法和第三私钥对内核和文件系统的固件分别签名，并分别加入头部描述信息及第三证书，以生成相应的加密固件。
30.进一步的，通过引导加载程序bl3校验内核固件的有效性具体包括：
31.解析内核的加密固件的头部描述信息，校验内核的加密固件中的第三证书，将第三证书的哈希值使用aes加密后的加密值与设备安全信息文件中的第三证书的加密值进行比较验证，并使用rsa算法及第三证书验证内核的加密固件的数字签名。
32.进一步的，通过引导加载程序bl3校验文件系统固件的有效性具体包括：
33.解析文件系统的加密固件的头部描述信息，校验文件系统的加密固件中的第三证书，将第三证书的哈希值使用aes加密后的加密值与设备安全信息文件中的第三证书的加密值进行比较验证，并使用rsa算法及第三证书验证文件系统的加密固件的数字签名。
34.另一方面，本发明提供了一种基于分级加密的设备安全启动及认证装置，具体为：包括至少一个处理器和存储器，至少一个处理器和存储器之间通过数据总线连接，存储器存储能被至少一个处理器执行的指令，指令在被处理器执行后，用于完成第一方面中的基于分级加密的设备安全启动及认证方法。
35.与现有技术相比，本发明的有益效果在于：使用多套秘钥，分级加密，有效防止了
对设备信息的窜改，提高了系统安全性，且秘钥对可更换，提高了灵活性。在bl3中实现对内核及文件系统固件的安全校验，为每台设备新增独有的安全信息文件作为固件的校验依据，到达固件的分级校验及设备的区别认证目的，提供了安全可靠的设备认证信息，为设备的网络认证提供可靠支撑，且降低了对soc厂商的依赖度。
附图说明
36.为了更清楚地说明本发明实施例的技术方案，下面将对本发明实施例中所需要使用的附图作简单地介绍。显而易见地，下面所描述的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。
37.图1为本发明实施例1提供的一种基于分级加密的设备安全启动及认证方法的流程图；
38.图2为本发明实施例1提供的设备信息分级加密的流程图；
39.图3为本发明实施例1提供的加密固件的结构示意图；
40.图4为本发明实施例1提供的设备安全信息文件的构成内容示意图；
41.图5为本发明实施例2提供的设备生产阶段流程示意图；
42.图6为本发明实施例2提供的设备启动阶段流程示意图；
43.图7为本发明实施例3提供的一种基于分级加密的设备安全启动及认证装置结构示意图。
具体实施方式
44.为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
45.本发明是一种特定功能系统的体系结构，因此在具体实施例中主要说明各结构模组的功能逻辑关系，并不对具体软件和硬件实施方式做限定。
46.此外，下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。下面就参考附图和实施例结合来详细说明本发明。
47.实施例1：
48.如图1所示，本发明实施例1提供一种基于分级加密的设备安全启动及认证方法，该方法包括如下步骤：
49.步骤100：设备上电后，进入soc的引导加载程序，依次拉起引导加载程序bl1、引导加载程序bl2、引导加载程序bl3。该步骤需要在设备生产阶段就对引导加载程序bl1、引导加载程序bl2、引导加载程序bl3的固件分别进行加密，以生产对应的加密固件，在进入soc的引导加载程序时，首先进入引导加载程序bl0，然后依次验证并拉起引导加载程序bl1、引导加载程序bl2，直到验证并拉起引导加载程序bl3。
50.步骤200：通过引导加载程序bl3依次校验设备安全信息文件的有效性、内核固件的有效性以及文件系统固件的有效性。该步骤是在引导加载程序bl3中对设备安全信息文件、设备内核以及文件系统固件进行有效性校验，其首先需要先在设备生产阶段就对设备
各项信息、设备内核固件以及文件系统固件进行加密，以生产设备安全信息文件、内核的加密固件以及文件系统的加密固件，然后在设备上电并拉起引导加载程序bl3后，分别对设备安全信息文件、设备内核以及文件系统固件进行效验。
51.步骤300：校验全部有效后，引导加载程序bl3拉起内核，并将设备序列号、mac地址传递给内核，以用于设备的网络认证。该步骤是在确定步骤100、步骤200的校验全部有效后才进行，引导加载程序bl3将设备序列号、mac地址传递给内核后，用户可从内核获取设备序列号及mac地址用于设备的网络认证。
52.采用上述步骤，本发明实施例在bl3中实现对内核及文件系统固件的安全校验，为每台设备新增独有的安全信息文件作为固件的校验依据，到达固件的分级校验及设备的区别认证目的，提供了安全可靠的设备认证信息，为设备的网络认证提供可靠支撑，且降低了对soc厂商的依赖度。
53.还需说明的是，上述三个步骤是设备安全启动及认证的步骤，而在此之前，在设备生产阶段还需要对设备信息进行分级加密，具体的，如图2所示，设备信息分级加密步骤具体包括：
54.步骤10：生成预设对数的rsa私钥以及对应证书，包括互相对应的第一私钥和第一证书、第二私钥和第二证书、第三私钥和第三证书。该步骤中，rsa私钥以及证书的对数包括但不限于上述三对，根据需要，还可以增加更多对以实现更多级的加密。还需说明的是，除了使用rsa私钥以及对应证书，本实施例还可以使用其他非对称加密算法替换，例如：dsa、ecc，只需算法满足条件：非对称加密、可加解密数据、支持私钥加密+公钥解密即可。另外，还需要考虑到其他算法的使用方法，在产生加密固件时需要相对应的做一定的修改，例如：ecc加解密依赖椭圆曲线，需要将该曲线新增到加密固件中。本实施例中暂且只以rsa算法为例进行说明。
55.步骤20：根据rsa私钥以及证书生成设备安全信息文件、引导加载程序的加密固件、内核的加密固件以及文件系统的加密固件。该步骤是根据步骤10中设置的rsa私钥以及证书来对设备信息以及各个固件进行加密，具体包括对设备信息的加密以生成设备安全信息文件，对引导加载程序bl1、引导加载程序bl2、引导加载程序bl3的固件进行加密以生成引导加载程序bl1的加密固件、引导加载程序bl2的加密固件、引导加载程序bl3的加密固件，对设备的内核固件进行加密以生成内核的加密固件，对文件系统固件进行加密以生成文件系统的加密固件。
56.步骤30：将生成的设备安全信息文件以及各个加密固件安装到设备，并将证书以及设备相关信息写入soc中。该步骤要将需要用到的证书的哈希值及设备相关信息加密值写入soc中，以供后续校对时调用，还要将步骤20生成的设备安全信息文件以及引导加载程序bl1的加密固件、引导加载程序bl2的加密固件、引导加载程序bl3的加密固件、内核的加密固件、文件系统的加密固件都安装到设备中，以供后续校对时调用。
57.对于本实施例的步骤30，其将证书以及设备相关信息写入soc中具体包括如下过程：将第一证书的哈希值写入soc中的可编程只读存储器；计算设备序列号、mac地址的哈希值，使用aes算法加密该哈希值并写入soc中的可编程只读存储器；引导加载程序bl0将存入可编程只读存储器的加密值通过aes算法解密；将第二证书的哈希值通过aes算法加密后写入引导加载程序bl3中。
58.对于本实施例的步骤20，其引导加载程序的加密固件的生成具体包括：使用rsa算法和第一私钥对引导加载程序bl1、引导加载程序bl2、引导加载程序bl3三个固件分别签名，并分别加入头部描述信息及第一证书，以生成相应的加密固件。也即使用rsa算法和第一私钥对引导加载程序bl1的固件进行签名并加入头部描述信息及第一证书，以生成引导加载程序bl1的加密固件；使用rsa算法和第一私钥对引导加载程序bl2的固件进行签名并加入头部描述信息及第一证书，以生成引导加载程序bl2的加密固件；使用rsa算法和第一私钥对引导加载程序bl3的固件进行签名并加入头部描述信息及第一证书，以生成引导加载程序bl3的加密固件。最后形成的各个加密固件的结构如图3所示，其包括头部描述、原始固件、数字签名、证书这四个信息。需要说明的是，对于引导加载程序bl1、引导加载程序bl2、引导加载程序bl3的加密，也可以使用不同的私钥证书对(例如新增两对不同的私钥证书)来对三者的固件分别进行加密，以使本实施例的分级加密更为复杂可靠，这样的情况下需要引导加载程序bl1、引导加载程序bl2也增加分级校验的能力(类似引导加载程序bl3的能力)。
59.相对应的，本实施例步骤100中“设备上电后，进入soc的引导加载程序，依次拉起引导加载程序bl1、引导加载程序bl2、引导加载程序bl3”具体包括如下过程：设备上电后，进入soc的引导加载程序bl0；读取并基于soc芯片策略校验引导加载程序bl1，校验通过后拉起bl1；读取并基于soc芯片策略校验引导加载程序bl2，校验通过后拉起bl2；读取并基于soc芯片策略校验引导加载程序bl3，校验通过后拉起bl3。对于引导加载程序bl1、引导加载程序bl2、引导加载程序bl3的校验，具体可以使用如下方法。在生产阶段：引导加载程序bl1、引导加载程序bl2、引导加载程序bl3的加密固件会包含：头部描述、原始固件、数字签名、第一证书(参考图3)。在校验阶段：(以引导加载程序bl1为例，引导加载程序bl2、引导加载程序bl3相同)加载加密固件bl1；通过soc中存储的证书哈希值比较验证第一证书；通过rsa算法和第一证书验证数字签名。
60.对于本实施例的步骤20，其生成的设备安全信息文件的构成内容如图4所示，具体包括：魔术字、设备序列号、mac地址、第三证书的加密值(哈希值)、数字签名以及第二证书，其中，第三证书的加密值通过第三证书哈希并使用aes加密后得来；所述数字签名的生成具体包括：使用rsa算法和第二私钥对安全信息文件的指定数量个字段(本实施例是对前4个字段)进行签名。设备安全信息文件的各项构成内容的解释与举例如下。魔术字：用于标记设备安全信息文件的格式，例如：0x7f454c66。设备序列号：设备的硬件序列号，每台设备的序列号都不相同，类似身份证，例如：98328328432。mac地址：网卡的物理地址，例如：8d:2c:3d:56:0c:22。设备序列号和mac地址可唯一标识单台设备。第三证书加密值：第三证书的哈希值使用aes加密后的加密值，用于验证内核加密固件及文件系统加密固件。
61.相对应的，本实施例步骤200中，通过引导加载程序bl3校验设备安全信息文件的有效性具体包括如下过程：校验第二证书的有效性，将第二证书的哈希值通过aes加密，与引导加载程序bl3中的aes加密值进行比较验证；通过rsa算法和第二证书验证数字签名；计算设备序列号、mac地址的哈希值，并通过加载引导程序bl0对soc的可编程只读存储器中存储的设备相关信息进行aes解密后的值比较验证。
62.对于本实施例的步骤20，其内核的加密固件以及文件系统的加密固件的生成具体包括：使用rsa算法和第三私钥对内核和文件系统的固件分别签名，并分别加入头部描述信
息及第三证书，以生成相应的加密固件。也即使用rsa算法和第三私钥对内核的固件签名并加入头部描述信息及第三证书，以生成内核的加密固件；使用rsa算法和第三私钥对文件系统的固件签名并加入头部描述信息及第三证书，以生成文件系统的加密固件。内核的加密固件以及文件系统的加密固件的结构也如图3所示，包括头部描述、原始固件、数字签名、证书这四个信息。需说明的是，本实施例为了实现更多层次的分级校验，还能再增加一组rsa私钥及证书对(第四私钥以及第四证书)，专门用于分级加密校验文件系统固件，也即是说，本实施例中的秘钥对是可扩充和更换的，有利于提高分级加密的灵活性。
63.相对应的，本实施例步骤200中，通过引导加载程序bl3校验内核固件的有效性具体包括如下过程：解析内核的加密固件的头部描述信息，校验内核的加密固件中的第三证书，将第三证书的哈希值使用aes加密后的加密值与设备安全信息文件中的第三证书的加密值进行比较验证，并使用rsa算法及第三证书验证内核的加密固件的数字签名。通过引导加载程序bl3校验文件系统固件的有效性具体包括如下过程：解析文件系统的加密固件的头部描述信息，校验文件系统的加密固件中的第三证书，将第三证书的哈希值使用aes加密后的加密值与设备安全信息文件中的第三证书的加密值进行比较验证，并使用rsa算法及第三证书验证文件系统的加密固件的数字签名。需说明的是，若文件系统在加密时使用的是第四私钥以及第四证书，则在校验时，也是使用第四证书来进行校验。
64.综上所述，通过上述步骤，本发明实施例使用多套秘钥，分级加密，有效防止了对设备信息的窜改，提高了系统安全性，且秘钥对可更换，提高了灵活性。在bl3中实现对内核及文件系统固件的安全校验，为每台设备新增独有的安全信息文件作为固件的校验依据，到达固件的分级校验及设备的区别认证目的，提供了安全可靠的设备认证信息，为设备的网络认证提供可靠支撑，且降低了对soc厂商的依赖度。
65.实施例2：
66.基于实施例1提供的基于分级加密的设备安全启动及认证方法，本实施例2采用对比的方式，进一步体现本发明“基于分级加密的设备安全启动及认证方法”与传统的soc安全策略的区别。
67.某路由器设备的soc厂商安全策略(传统的soc安全策略)如下。
68.设备生产阶段：使用openssl工具生成一对rsa私钥(key)及证书(cert)。使用rsa算法和私钥key对固件进行签名，并加入头部描述信息及证书cert，生成加密固件，可参考图3的加密固件结构。将证书cert的哈希值写入soc芯片的可编程只读存储器(fprom)。将加密后的固件安装到设备。
69.设备启动阶段：设备上电后，进入soc的引导加载程序bl0。读取并校验引导加载程序bl1，校验通过后拉起bl1。同上一步方法，依次校验、拉起后续固件。如果校验失败则停止启动流程。
70.本发明实施例的具体实施方式如下。
71.如图5所示，在设备生产阶段：
72.首先使用openssl工具生成3组rsa私钥(第一私钥key1、第二私钥key2、第三私钥key3)及证书(第一证书cert1、第二证书cert2、第三证书cert3)。需说明，私钥与公钥(证书)是一一对应的关系。例如：key1对应cert1，key2对应cert2，key3对应cert3。私钥与公钥用于加解密数据，例如：私钥key1加密数据，公钥cert1解密数据。在本实施案例中：key1用
于加密bl1、bl2、bl3，cert1用于校验bl1、bl2、bl3；key2用于加密设备安全信息文件，cert2用于校验该文件；key3用于加密内核固件和文件系统，cert3用于校验内核固件和文件系统。
73.生成设备安全信息文件，该安全信息文件包含：魔术字、设备序列号、mac地址(mac)、第三证书cert3的加密值(cert3哈希并使用aes加密)、数字签名、第二证书cert2，其中，数字签名内容具体为：使用rsa算法和第二私钥key2对安全信息文件的前4个字段签名，可参考图2的设备安全信息文件内容。本实施例中的设备安全信息文件可更新，通过更新安全信息文件的方式，可达到对系统固件的rsa秘钥对的更换目的。
74.生成引导加载程序的加密固件：使用rsa算法和第一私钥key1对引导加载程序bl1、引导加载程序bl2、引导加载程序bl3三个固件分别签名，并分别加入头部描述信息及第一证书cert1，生成相应的加密固件，可参考图3的加密固件结构。
75.生成内核和文件系统的加密固件：使用rsa算法和第三私钥key3对内核和文件系统固件分别签名，并分别加入头部描述信息及第三证书cert3，生成相应的加密固件，可参考图3的加密固件结构。
76.将第一证书cert1的哈希值写入soc中的可编程只读存储器(fprom)。
77.计算设备序列号、mac地址的哈希值，使用aes算法加密该哈希值并写入soc中的可编程只读存储器(fprom)。
78.将上述步骤生成的加密固件、加密的设备安全信息文件安装到设备。
79.将第二证书cert2的哈希值通过aes算法加密后写入引导加载程序bl3中。本实施例的引导加载程序bl3需具备解析磁盘安全文件的能力、rsa算法校验的能力、aes算法加密的能力。
80.将存入可编程只读存储器(fprom)的加密值通过aes算法解密。本实施例的引导加载程序bl0需支持aes解密能力。
81.如图6所示，在设备启动阶段：
82.设备上电后，进入soc的引导加载程序bl0。
83.基于soc芯片策略校验引导加载程序bl1有效性，拉起bl1。具体的，读取并校验引导加载程序bl1，校验通过后拉起引导加载程序bl1。
84.基于soc芯片策略校验引导加载程序bl2有效性，拉起bl2。具体的，读取并校验引导加载程序bl2，校验通过后拉起引导加载程序bl2。
85.基于soc芯片策略校验引导加载程序bl3有效性，拉起bl3。具体的，读取并校验引导加载程序bl3，校验通过后拉起引导加载程序bl3。
86.引导加载程序bl3校验设备安全信息文件：校验第二证书cert2的有效性(将第二证书cert2的哈希值通过aes加密，与引导加载程序bl3中的aes加密值比较验证)；通过rsa算法+第二证书cert2验证数字签名；计算设备序列号、mac地址的哈希值并与soc中aes解密的加密值(对应设备生产阶段最后一步)比较校验。
87.引导加载程序bl3校验内核固件的有效性：解析内核的加密固件头部描述信息，校验加密固件中的第三证书cert3(第三证书cert3哈希值使用aes加密后的加密值与设备安全信息文件中的第三证书cert3的加密值比较验证),使用rsa算法及第三证书cert3验证加密固件的数字签名。
88.引导加载程序bl3校验文件系统固件的有效性：解析文件系统的加密固件头部描述信息，校验加密固件中的第三证书cert3(第三证书cert3哈希值使用aes加密后的加密值与设备安全信息文件中的第三证书cert3的加密值比较验证),使用rsa算法及第三证书cert3验证加密固件的数字签名。
89.引导加载程序bl3拉起内核，并将有效的设备序列号、mac地址传递给内核，内核为用户程序提供基于芯片级校验有效的设备序列号及mac地址，用户可从内核获取设备序列号及mac地址用于设备的网络认证。
90.综上所述，本发明实施例通过对引导加载程序bl3的开发及多组rsa秘钥对的使用，实现对固件的分级加密校验能力。本发明实施例可通过更新安全信息文件的方式，达到对系统固件的rsa秘钥对的更换目的。本发明实施例可与soc厂商策略结合，实现基于芯片级的设备认证策略。本发明实施例包括对引导加载程序bl3之后的所有固件实现分级加密校验，例如：增加一组rsa私钥对(第四私钥key4及第四证书cert4)，用于分级加密校验文件系统固件。
91.实施例3：
92.在上述实施例1、实施例2提供的基于分级加密的设备安全启动及认证方法的基础上，本发明还提供了一种可用于实现上述方法的基于分级加密的设备安全启动及认证装置，如图7所示，是本发明实施例的装置架构示意图。本实施例的基于分级加密的设备安全启动及认证装置包括一个或多个处理器21以及存储器22。其中，图7中以一个处理器21为例。
93.处理器21和存储器22可以通过总线或者其它方式连接，图7中以通过总线连接为例。
94.存储器22作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如实施例1、2中的基于分级加密的设备安全启动及认证方法。处理器21通过运行存储在存储器22中的非易失性软件程序、指令以及模块，从而执行基于分级加密的设备安全启动及认证装置的各种功能应用以及数据处理，即实现实施例1、2的基于分级加密的设备安全启动及认证方法。
95.存储器22可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其它非易失性固态存储器件。在一些实施例中，存储器22可选包括相对于处理器21远程设置的存储器，这些远程存储器可以通过网络连接至处理器21。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
96.程序指令/模块存储在存储器22中，当被一个或者多个处理器21执行时，执行上述实施例1、2中的基于分级加密的设备安全启动及认证方法，例如，执行以上描述的图1-图2、图5-图6所示的各个步骤。
97.本领域普通技术人员可以理解实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，该程序可以存储于一计算机可读存储介质中，存储介质可以包括：只读存储器(readonlymemory，简写为：rom)、随机存取存储器(randomaccessmemory，简写为：ram)、磁盘或光盘等。
98.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。本
说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。