用于在TEE中提供数字证书功能的方法、系统与流程

本发明涉及信息安全技术领域，尤其涉及一种用于在tee中提供数字证书功能的方法、系统。

背景技术：

随着互联设备的移动和消费市场日益成熟、不断壮大，安全性成为越来越引起人们关注的问题。数字证书技术用于银行交易签名，也可以用于内容加密，在移动终端中对于银行交易签名、内容加密等业务提供数字证书服务。目前通常采用两种方式。1、tui+se方式：将敏感数据都存入安全元件se(secureelement)硬件模块中，敏感数据包括私钥、数字证书、序列号等，tee中的可信应用ta主要提供tui功能和se的通道功能，将接收到的交易报文等发送给se进行签名、加解密等处理。tee是基于arm芯片trustzone机制的系统软件，为实现安全目标并同时满足重要利益相关方的需要提供了最佳的路径。但是，此种提供数字证书功能的方式对硬件要求较高，需要设备配置有se芯片模块。2、在纯富操作系统ree中提供数字证书功能，在ree中对交易报文等进行签名、加解密等处理，但是ree存在一定的安全风险，安全性较低。

技术实现要素：

有鉴于此，本发明要解决的一个技术问题是提供一种用于在tee中提供数字证书功能的方法、系统。

根据本发明的一个方面，提供一种用于在tee中提供数字证书功能的系统，包括：在移动终端中配置可信执行环境tee；向tam服务器发送可信应用ta安装请求消息，通过所述tam服务器在所述tee中安装ta；所述ta向tsm服务器发送数字证书个人化请求，接收所述tsm服务器下发的数字证书并存储在所述ta中；所述ta基于所述数字证书对接收到的待处理数据进行相应地处理。

可选地，如果确定所述tee支持创建安全域sd，则在向所述tam服务器发送所述ta安装请求消息时，向所述tam服务器发送安全域sd创建请求，通过所述tam服务器在所述tee中创建sd并安装所述ta。

可选地，在移动终端中配置富执行环境ree；对运行在所述ree中的app应用设置能够对所述tee进行访问的系统权限；所述app应用使用tee客户端api与所述ta进行数据交互。

可选地，所述tam服务器通过所述app应用对所述ta进行管理，包括：安装、更新、删除ta；所述ta通过所述app应用向所述tsm服务器发送数字证书个人化请求，通过所述app应用接收所述tsm服务器下发的数字证书。

可选地，在所述tam服务器部署时，生成tam公私钥对并自签tam公钥证书；所述tam服务器使用所述tam公私钥对的私钥签发oem公钥证书；其中,oem服务器使用oem公私钥对的私钥签发设备公钥证书；所述oem服务器向所述移动终端下发与所述tee相对应的设备公钥证书以及所述oem公钥证书和所述tam公钥证书。

可选地，所述oem服务器向所述移动终端下发与所述tee相对应的设备公钥证书以及所述oem公钥证书和所述tam公钥证书包括：如果对于所述tee采用ota部署方式，在所述tam服务器和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道，其中，所述第一安全通道的建立方式包括：采用白盒加密方式建立安全通道；所述移动终端生成与所述tee相对应的公私钥对，并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述tam服务器，用以生成与所述tee相对应的设备公钥证书；所述tam服务器通过所述第一安全通道或第二安全通道向所述移动终端下发与所述tee相对应的设备公钥证书以及ota公钥证书和所述tam公钥证书。

可选地，所述tsm服务器向签证服务器发送证书申请，从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书，其中，所述数字证书包括：签名证书、加解密公私钥对及其公钥证书；所述ta接收所述tsm服务器发送的所述数字证书，基于所述数字证书对所述待处理数据进行相应的业务处理，包括：签名处理、加解密处理。

可选地，所述tsm服务器获取与所述ta相对应的初始密钥；在进行数字证书个人化处理时，所述tsm将所述初始密钥更换为设备密钥，并基于所述设备密钥在所述tsm服务器与所述移动终端之间建立第三安全通道；所述tsm服务器通过所述第三安全通道向所述ta发送与业务处理相对应的序列号和初始pin码；所述tsm服务器从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述ta发送。

可选地，所述ta接收到所述待处理数据，基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息；所述ta将所述业务确认信息和提示信息发送给可信用户接口tui进行显示；所述ta在确定用户对所述业务确认信息进行确认后，获取用户通过所述tui输入的认证信息，在对所述认证信息验证成功后，基于所述数字证书对所述待处理数据进行相应的业务处理。

根据本发明的另一方面，提供一种用于在tee中提供数字证书功能的系统，包括：移动终端、tam服务器和tsm服务器；所述移动终端，用于配置可信执行环境tee，向tam服务器发送可信应用ta安装请求消息，通过所述tam服务器在所述tee中安装ta；所述ta向tsm服务器发送数字证书个人化请求，接收所述tsm服务器下发的数字证书并存储在所述ta中；所述ta基于所述数字证书对接收到的待处理数据进行相应地处理。

可选地，所述移动终端，用于如果确定所述tee支持创建安全域sd，则在向所述tam服务器发送所述ta安装请求消息时，向所述tam服务器发送安全域sd创建请求，通过所述tam服务器在所述tee中创建sd并安装所述ta。

可选地，所述移动终端，用于配置富执行环境ree，对运行在所述ree中的app应用设置能够对所述tee进行访问的系统权限，通过所述app应用使用tee客户端api与所述ta进行数据交互。

可选地，所述tam服务器通过所述app应用对所述ta进行管理，包括：安装、更新、删除ta；所述ta通过所述app应用向所述tsm服务器发送数字证书个人化请求，通过所述app应用接收所述tsm服务器下发的数字证书。

可选地，所述tam服务器，用于在其进行部署时，生成tam公私钥对并自签tam公钥证书，使用所述tam公私钥对的私钥签发oem公钥证书；其中，所述oem服务器使用oem公私钥对的私钥签发设备公钥证书；所述oem服务器，用于向所述移动终端下发与所述tee相对应的设备公钥证书以及所述oem公钥证书和所述tam公钥证书。

可选地，所述tam服务器，用于如果对于所述tee采用ota部署方式，在其和所述移动终端之间建立第一安全通道或使用第三方提供的第二安全通道，其中，所述第一安全通道的建立方式包括：采用白盒加密方式建立安全通道；所述移动终端，用于生成与所述tee相对应的公私钥对，并将所述公私钥对中的公钥通过所述第一安全通道或第二安全通道发送给所述tam服务器，用以生成与所述tee相对应的设备公钥证书；所述tam服务器还用于通过所述第一安全通道或第二安全通道向所述移动终端下发与所述tee相对应的设备公钥证书以及ota公钥证书和所述tam公钥证书。

可选地，所述tsm服务器，用于向签证服务器发送证书申请，从所述签证服务器获取与所述数字证书个人化请求相对应的数字证书，其中，所述数字证书包括：签名证书、加解密公私钥对及其公钥证书；所述ta接收所述tsm服务器发送的所述数字证书，基于所述数字证书对所述待处理数据进行相应的业务处理，包括：签名处理、加解密处理。

可选地，所述tsm服务器，用于获取所述ta的初始密钥；在进行数字证书个人化处理时，将所述初始密钥更换为设备密钥，并基于所述设备密钥在所述tsm服务器与所述移动终端之间建立第三安全通道；通过所述第三安全通道向所述ta发送与业务处理相对应的序列号和初始pin码；从所述签证服务器获取所述数字证书并通过所述第三安全通道向所述ta发送。

可选地，所述ta接收到所述待处理数据，基于所述待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息；所述ta将所述业务确认信息和提示信息发送给可信用户接口tui进行显示；所述ta在确定用户对所述业务确认信息进行确认后，获取用户通过所述tui输入的认证信息，在对所述认证信息验证成功后，基于所述数字证书对所述待处理数据进行相应的业务处理。

本发明的用于在tee中提供数字证书功能的方法、系统，向tam服务器发送ta安装请求消息，通过tam服务器在移动终端中配置的tee中安装ta；向tsm服务器发送数字证书个人化请求，接收tsm服务器下发的数字证书；完成个人化后，ta基于数字证书对接收到的待处理数据进行相应地处理，提供相应的服务；在tee中提供的数字证书功能对硬件要求较低，不需要设备配置有se芯片模块等，数据存储和算法运算都在tee中实现，而且通过tui与用户交互，可以保证业务所需的安全性，可以显著的提升移动终端数字签名应用的便捷性、易部署性，为数字证书方案在移动终端中的推广提供了极大的便利。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明的用于在tee中提供数字证书功能的方法的一个实施例的流程示意图；

图2为根据本发明的用于在tee中提供数字证书功能的方法的一个实施例中的部件拓扑示意图；

图3为根据本发明的用于在tee中提供数字证书功能的方法的一个实施例中的tam服务器架构示意图；

图4为根据本发明的用于在tee中提供数字证书功能的方法的一个实施例中的tsm服务器架构示意图；

图5为根据本发明的基于移动终端的数字签名系统的一个实施例的模块示意图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

本发明实施例可以应用于计算机系统/服务器，其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于：智能手机、个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境，等等。

计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。

下文中的“第一”、“第二”等仅用于描述上相区别，并没有其它特殊的含义。

图1为根据本发明的用于在tee中提供数字证书功能的方法的一个实施例的流程示意图，如图1所示：

步骤101，在移动终端中配置可信执行环境tee。

移动终端可以是智能手机、平板电脑等多种移动设备。tee(trustedexecutionenvironment,可信执行环境)是一种隔离的执行环境，tee与富操作系统(ree，richexecutionenvironment)并行运行，并为富环境提供安全服务，可以对富环境下的软硬件安全资源和应用程序，实现隔离访问和保护。tee由可信应用ta(trustedapplication)以及可信操作系统trustedos(trustedoperatingsystem)组成。

步骤102，移动终端向tam(trustedapplicationmanagement，可信应用管理)服务器发送可信应用ta安装请求消息，通过tam服务器在tee中安装ta。

步骤103，ta向tsm(trustedservicemanager，可信服务管理)服务器发送数字证书个人化请求，接收tsm服务器下发的数字证书并存储在ta中。

步骤104，ta基于数字证书对接收到的待处理数据进行相应地处理。

如果确定tee支持创建安全域sd(securitydomain)，则在向tam服务器发送ta安装请求消息时，向tam服务器发送安全域sd创建请求，通过tam服务器在tee中创建sd并安装ta。

移动终端配置有tee环境，向tam服务器申请创建sd和安装ta。在ta安装后，移动终端可以向tsm服务器申请数字证书个人化，颁发签名证书和加密证书，完成个人化后，移动终端可以提供签名服务和/或加解密服务。

在一个实施例中，如果tee不支持创建sd，可以直接安装ta。如果移动终端没有与其配套的tam服务器，可以采用预置ta的方式或者与之等效的方式部署ta。在个人化过程中，可以只向ta颁发一个证书，从而只提供一种服务，也可以向ta颁发两个以上的证书，通过证书标识选中某个证书，提供相应的签名服务或者解密服务等。

如图2所示，在tee中安装的ta包括：nativeta和javata。javatee基于nativetee实现，nativeta在nativetee上运行，javata在javatee上运行。在tee环境中，javatee基于nativetee实现，ta分为nativeta和javata两类，nativeta在nativetee之上运行，javata在javatee之上运行。

nativeta可以与javatee并列，互相不关联。nativeta也可以嵌入到javatee内部，作为javatee的预置ta而存在。javatee具有ta管理功能，用于管理在其之上运行的javata，或嵌入javatee中的nativeta。由于javatee配置有java虚拟机和javaapi，在其上运行的javata具有很好的兼容性，编译后的javata可以在任何配置有javatee的设备上运行。

在一个实施例中，在ree环境中，底层的teeclient驱动负责与tee通信，系统服务处理权限问题。app基于sdk而实现，sdk封装了tee操作流程接口及各个服务器的操作流程接口，包括tee服务接口、tam服务接口、tsm服务接口等。系统服务处理的权限问题包括：android中的selinux权限、驱动文件的读写权限、app对tee的访问控制等。为系统服务配置所需的selinux权限，以避免app访问tee时因缺少相关的selinux权限而出现功能异常。

teeclient驱动可以为驱动文件形式，驱动文件的读写操作一般不会对其它用户开放，通过系统服务(系统用户)，app可以访问驱动文件。同时，为了有效控制app对tee的访问，系统服务可以与tee配合以实现tee访问控制。移动终端也可以采用与javatee等效的其它中间件，以实现ta的跨平台性。

如果移动设备没有部署javatee或等效的其它中间件，则tee环境中的ta均为nativeta。如果移动设备没有部署相关的系统服务，则需开放app相关的selinux权限和驱动文件读写权限，或者通过一定的手段提升app的权限(例如：通过厂商签名，为app分配系统用户角色)。如果app通过了所需的审核(例如不会非法访问其它ta)，并进行了厂商签名，则系统服务可以不做tee访问控制。

在移动终端中配置ree，对运行在ree中的app应用设置能够对tee进行访问的系统权限，app应用使用tee客户端api与ta进行数据交互，并可通过广域网向各个服务器申请相应的服务。例如，tam服务器通过app应用对ta进行管理，包括：安装、更新、删除ta等。ta通过app应用向tsm服务器发送数字证书个人化请求，通过app应用接收tsm服务器下发的数字证书等。

在一个实施例中，如图3所示，tam服务器负责ta的管理，同时具备签发oem公钥证书和sp公钥证书的能力，且有能力替sp管理其sd和ta。tam服务器被部署时，生成tam公私钥对并自签tam公钥证书，以此作为根证书。tam服务器用tam私钥签发oem公钥证书和sp公钥证书。

对于oem产线服务器部署方式：oem产线服务器生成公私钥对，tam服务器为oem产线签发公钥证书并发放tam公钥证书。移动终端生成公私钥对并导出公钥，oem产线服务器为移动终端签发公钥证书，并下发oem公钥证书与tam公钥证书，可以通过oem服务器向移动终端下发与tee相对应的设备公钥证书以及oem公钥证书和tam公钥证书。

移动终端采用三级证书链(certificatepath)的认证方式，tam公钥证书是根证书，oem公钥证书或ota证书是二级证书，设备证书是末级证书。如果sp委托tam服务器管理其sd和ta，则tam服务器生成sp公私钥对，并替sp为ta镜像做签名。如果sp自行管理sp私钥，则tam服务器不再部署sp私钥，而只存有sp公钥证书。

如果需要支持ota方式部署移动设备，tam服务器还需要生成ota公私钥对，并签发ota公钥证书。在tam服务器和移动终端之间建立第一安全通道或使用第三方提供的第二安全通道，第一安全通道的建立方式包括：采用白盒加密方式建立安全通道。例如，在tam服务器和移动终端上分别部署互相配套的白盒加密库，建立起第一安全通道。第二安全通道可以为银行的个人账户管理通道、电信运营商的个人账户通道、移动设备厂商的个人账户通道等。

tam服务器生成ota白盒加密库，tam服务器生成ota公私钥对并签发ota公钥证书。tee版本发布者通过安全的方式向tam服务器申请ota白盒加密库。基于ota白盒加密库，在移动终端与tam服务器之间建立起第一安全通道。移动终端生成与tee相对应的公私钥对，并将公私钥对中的公钥通过第一安全通道或第二安全通道发送给tam服务器，用以生成与tee相对应的设备公钥证书。tam服务器为移动终端签发设备公钥证书并通过第一安全通道或第二安全通道下发ota公钥证书与tam公钥证书。

如果移动终端中的tee不支持sd的创建，则可以将ta安装到tee发行者的sd下。如果tee平台不支持对ta进行预个人化，则ta的初始密钥可以用白盒加密库实现。如果tee平台既不支持sd的创建，也不支持发行者sd，则可以通过预置的方式部署ta，ta的初始密钥可以用白盒加密库实现。

在一个实施例中，如图4所示，tsm服务器主要用于处理个人化流程和交易流程。tsm服务器在部署时，进行组织个人化数据，录入设备根密钥，录入设备初始密钥等操作。移动终端的设备解密私钥用作备份，可以用于恢复移动终端上的密文数据。移动终端的初始密钥只是用作传输密钥，在个人化流程中，初始密钥会被更换为正式的一机一密的设备密钥。设备密钥用于建立tsm服务器与移动终端之间的第三安全通道。

tsm服务器获取与ta相对应的初始密钥，在进行数字证书个人化处理时，tsm将初始密钥更换为设备密钥，并基于设备密钥在tsm服务器与移动终端之间建立第三安全通道，tsm通过第三安全通道向ta发送与业务处理相对应的序列号和初始pin码。在个人化流程中，生成公私钥对，组织pkcs10证书申请报文并签名，下发pkcs7证书，并发放加解密公私钥对及其公钥证书，以及下发tui定制图片。如果采用预置方式部署ta，或者tam服务器不支持ta预个人化功能，则可以在tsm服务器上录入与ta的白盒加密库版本对应的白盒加密库，以替代设备初始密钥的作用，从而据此建立起tsm与ta之间的安全通道。

签证服务器负责签发签名证书，以及发放加解密公私钥对及其公钥证书，并定期向tsm服务器通报证书废止清单。如果业务只支持签名证书，则tsm服务器上不保存移动终端的加解密公私钥与公钥证书，并无需发放加解密公私钥对及其公钥证书。如果不下发tui定制图片，则移动终端上的tui界面将采用默认图片。为了实现pin码对私钥的访问控制，例如基于pin码对私钥进行加密存储处理，pin码(默认值)需要优先于相关敏感数据被下发到移动终端，如果pin码不影响私钥等敏感数据的存储，则pin码的下发可以延后。序列号、私钥等个人化数据一般被存储到tee的永久对象中，如果tee提供了rpmbapi接口，则此类个人化数据也可以存储到rpmb分区。

在一个实施例中，tsm服务器向签证服务器发送证书申请，从签证服务器获取与数字证书个人化请求相对应的数字证书，数字证书包括：签名证书、加解密公私钥对及其公钥证书等。ta接收tsm服务器发送的数字证书，基于数字证书对待处理数据进行相应的业务处理，包括：签名处理、加解密处理。

ta接收到待处理数据，基于待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息。ta将业务确认信息和提示信息发送给可信用户接口tui进行显示。ta在确定用户对业务确认信息进行确认后，获取用户通过tui输入的认证信息，在对认证信息验证成功后，基于数字证书对待处理数据进行相应的业务处理。

在一个实施例中，如图5所示，本发明提供一种用于在tee中提供数字证书功能的系统，包括：移动终端51、tam服务器52、tsm服务器54以及签证服务器54。移动终端51配置可信执行环境tee，向tam服务器52发送可信应用ta安装请求消息，通过tam服务器在tee中安装ta511。ta511向tsm服务器53发送数字证书个人化请求，接收tsm服务器53下发的数字证书并存储。ta511基于数字证书对接收到的待处理数据进行相应地处理。

移动终端51如果确定tee支持创建安全域sd，则在向tam服务器52发送ta安装请求消息时，向tam服务器52发送安全域sd创建请求，通过tam服务器52在tee中创建sd并安装ta511。

在tee中安装的ta511包括：nativeta和javata。javatee基于nativetee实现，nativeta在nativetee上运行，javata在javatee上运行。可以将nativeta嵌入javatee内，作为javatee的预置ta；通过javatee对在其上运行的javata和预置ta进行管理。

移动终端51配置富执行环境ree，对运行在ree中的app应用512设置能够对tee进行访问的系统权限，通过app应用512使用tee客户端api与ta511进行数据交互。tam服务器52通过app应用512对ta511进行管理，包括：安装、更新、删除ta等。ta511通过app应用512向tsm服务器53发送数字证书个人化请求，通过app应用511接收tsm服务器53下发的数字证书。

tam服务器52在其进行部署时，生成tam公私钥对并自签tam公钥证书，使用tam公私钥对的私钥签发oem公钥证书，然后再由oem服务器向移动终端51下发与tee相对应的设备公钥证书以及oem公钥证书和tam公钥证书。

如果对于tee采用ota部署方式，tam服务器52在其和移动终端51之间建立第一安全通道或使用第三方提供的第二安全通道。第一安全通道的建立方式包括：采用白盒加密方式建立安全通道等。移动终端51生成与tee相对应的公私钥对，并将公私钥对中的公钥通过第一安全通道或第二安全通道发送给tam服务器52，用以生成与tee相对应的设备公钥证书。tam服务器52通过第一安全通道或第二安全通道向移动终端51下发与tee相对应的设备公钥证书以及ota公钥证书和tam公钥证书。

tsm服务器53向签证服务器54发送证书申请，从签证服务器54获取与数字证书个人化请求相对应的数字证书，数字证书包括：签名证书、加解密公私钥对及其公钥证书等。ta511接收tsm服务器53发送的数字证书，基于数字证书对待处理数据进行相应的业务处理，包括：签名处理、加解密处理等。

tsm服务器53获取移动终端51的初始密钥，在进行数字证书个人化处理时，将初始密钥更换为设备密钥，并基于设备密钥在tsm服务器53与移动终端51之间建立第三安全通道，通过第三安全通道向ta511发送与业务处理相对应的序列号和初始pin码。tsm服务器53从签证服务器54获取数字证书并通过第三安全通道向ta511发送。

ta511接收到待处理数据，基于待处理数据生成业务确认信息以及用于提示输入认证信息的提示信息。ta511将业务确认信息和提示信息发送给可信用户接口tui进行显示。ta511在确定用户对业务确认信息进行确认后，获取用户通过tui输入的认证信息，在对认证信息验证成功后，基于数字证书对待处理数据进行相应的业务处理。

上述实施例中的用于在tee中提供数字证书功能的方法、系统，向tam服务器发送ta安装请求消息，通过tam服务器在移动终端中配置的tee中安装ta；向tsm服务器发送数字证书个人化请求，接收tsm服务器下发的数字证书；完成个人化后，ta基于数字证书对接收到的待处理数据进行相应地处理，提供相应的服务；在tee中提供的数字证书功能对硬件要求较低，不需要设备配置有se芯片模块等，数据存储和算法运算都在tee中实现，而且通过tui与用户交互，可以保证业务所需的安全性，可以显著的提升移动终端数字签名应用的便捷性、易部署性，同时节省用户购买额外硬件的成本，为数字证书方案在移动终端中的推广提供了极大的便利。

可能以许多方式来实现本发明的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。