基于移动终端的数字签名方法、装置以及移动终端与流程

本发明涉及信息安全技术领域，尤其涉及一种基于移动终端的数字签名方法、装置以及移动终端。

背景技术：

随着互联设备的移动和消费市场日益成熟、不断壮大，安全性成为越来越引起人们关注的问题。2015年到2016年，网上银行的转帐比例从35％下降到19％，但从整体来看，2016年全年网银交易额将近2000万亿，其交易规模远超过手机银行，大额转账、复杂交易以及特殊授权业务等依然着力于个人网银。因此，鉴于手机银行的不安全性与网银U盾的携带不方便，握奇在2014年提出了PC端U盾向手机盾迁移。目前，在手机上实现盾功能主要采用蓝牙Key、音频Key等方式。基于硬件实现的方式，需要用户购买相关的硬件，需要手机银行修改相关接口和该硬件进行通信，造成一定的开发难度并增加了用户成本。

技术实现要素：

有鉴于此，本发明要解决的一个技术问题是提供一种基于移动终端的数字签名方法、装置以及移动终端。

根据本发明的一个方面，提供一种基于移动终端的数字签名方法，包括：接收到业务应用或外部设备通过数字签名服务应用发送的待签名业务数据其中，数字签名服务应用用于提供统一的数字证书签名接口；根据移动终端设备环境确定与所述待签名业务数据相对应的数字签名证书的部署方式；其中，所述数字签名证书的部署方式包括：数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中；根据所述部署方式获取所述数字签名证书，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理；所述业务应用或外部设备通过所述数字签名服务应用接收签名处理结果。

可选地，所述根据所述部署方式获取数字签名证书接口、使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：将所述数字证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中；在进行签名服务时，基于分布式运算方式对所述待签名业务数据分别进行签名运算，将签名结果通过所述数字签名服务应用返回给所述业务应用或外部设备。

可选地，所述数字签名服务应用在其内部存储所述数字证书的第一部分，所述证书管理系统中存储所述数字证书的第二部分；所述数字签名证书的第一部分包括：私钥的第一部分；所述数字签名证书的第二部分包括：私钥的第二部分。

可选地，所述根据所述部署方式获取数字签名证书接口、使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：如果所述数字签名证书存储在数字签名TA中时，所述业务应用或外部设备将待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，业务应用或外部设备通过数字签名服务应用接收签名结果。

可选地，所述数字签名服务应用对于所述数字签名证书存储在TEE系统的可信应用TA中的部署方式提供相应的功能；证书管理系统通过所述数字签名服务应用对所述数字签名TA中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书；TAM系统通过所述数字签名服务应用对所述数字签名TA进行管理，包括：安装、更新、删除数字签名TA。

可选地，所述根据所述部署方式获取数字签名证书接口，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理包括：如果所述数字签名证书存储在所述Applet中时，所述数字签名服务应用对于所述数字签名证书存储在Applet中的部署方式提供相应的功能；所述业务应用或外部设备将所述待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA将所述待签名业务数据发送给所述Applet；所述Applet获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，并将签名结果返回所述数字签名TA。

可选地，如果所述数字签名证书存储在所述Applet中，REE侧的业务应用和所述Applet通信进行数字签名处理；其中，所述Applet获取在其内部存储的所述数字签名证书并基于所述数字签名证书对REE侧的业务应用发送的待签名业务数据进行签名处理，并将签名结果返回给REE侧的业务应用。

可选地，证书管理系统通过所述数字签名服务应用和所述数字签名TA对所述Applet中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书；TSM系统通过所述数字签名服务应用和所述数字签名TA对所述Applet进行管理，包括：进行个人化，安装、更新、卸载Applet。

根据本发明的另一方面，提供一种基于移动终端的数字签名装置，包括：数据接收模块，用于接收业务应用或外部设备通过数字签名服务应用发送的待签名业务数据；其中，数字签名服务应用用于提供统一的数字证书签名接口；部署方式选择模块，根据移动终端设备环境确定与所述待签名业务数据相对应的数字签名证书的部署方式；其中，所述数字签名证书的部署方式包括：数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中；数字签名服务应用，用于根据所述部署方式获取所述数字签名证书，使用所述数字签名证书对所述待签名业务数据进行相应地签名处理；其中，所述业务应用或外部设备通过所述数字签名服务应用接收签名处理结果。

可选地，将所述数字证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中；在进行签名服务时，基于分布式运算方式对所述待签名业务数据分别进行签名运算；将签名结果通过所述数字签名服务应用返回给所述业务应用或外部设备。

可选地，所述数字签名服务应用在其内部存储所述数字证书的第一部分，所述证书管理系统中存储所述数字证书的第二部分；所述数字签名证书的第一部分包括：私钥的第一部分；所述数字签名证书的第二部分包括：私钥的第二部分。

可选地，还包括：数字签名TA；所述数字签名服务应用，用于如果所述数字签名证书存储在所述数字签名TA中时，将所述待签名业务数据发送给所述数字签名TA；所述数字签名TA，用于获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，其中，所述业务应用或外部设备将所述待签名业务数据发送给所述数字签名服务应用，并通过所述数字签名服务应用接收签名结果。

可选地，所述数字签名服务应用对于所述数字签名证书存储在TEE系统的可信应用TA中的部署方式提供相应的功能，通过所述数字签名服务应用对所述数字签名TA中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书TAM系统通过所述数字签名服务应用对所述数字签名TA进行管理，包括：安装、更新、删除数字签名TA。

可选地，还包括：运行在eSE中的Applet；所述数字签名服务应用，用于如果所述数字签名证书存储在所述Applet中时，所述数字签名服务应用对于所述数字签名证书存储在Applet中的部署方式提供相应的功能；所述业务应用或外部设备将所述待签名业务数据通过数字签名服务应用发送给所述数字签名TA；所述数字签名TA，用于将所述待签名业务数据发送给所述Applet；所述Applet，用于获取在其内部存储的所述数字签名证书并基于所述数字签名证书对所述待签名业务数据进行签名处理，并将签名结果返回所述数字签名TA。

可选地，如果所述数字签名证书存储在所述Applet中，REE侧的业务应用和所述Applet通信进行数字签名处理；所述Applet，用于获取在其内部存储的所述数字签名证书并基于所述数字签名证书对REE侧的业务应用发送的待签名业务数据进行签名处理，并将签名结果返回给REE侧的业务应用。

可选地，证书管理系统通过所述数字签名服务应用和所述数字签名TA对所述Applet中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名；TSM系统通过所述数字签名服务应用和所述数字签名TA对所述Applet进行管理，包括：进行个人化，安装、更新、卸载Applet。

根据本发明的又一方面，提供一种移动终端，包括如上所述的可信执行环境基于移动终端的数字签名装置。

根据本发明的再一方面，提供一种可信执行环境基于移动终端的数字签名装置，包括：存储器；以及耦接至所述存储器的处理器，所述处理器被配置为基于存储在所述存储器中的指令，执行如上任一项所述的可信执行环境基于移动终端的数字签名方法。

本发明的基于移动终端的数字签名方法、装置以及移动终端，确定与待签名业务数据相对应的数字签名证书的部署方式，根据部署方式获取数字签名证书，使用数字签名证书对待签名业务数据进行相应地签名处理；将数字签名证书应用与移动终端相结合，利用移动终端中的软硬件保护方法安全地存储数字签名证书，根据用户移动智能终端的系统环境，采用不同安全级别的移动智能终端数字签名部署方案，为用户提供一站式、用户体验无差别、尽可能安全的移动智能终端数字签名产品；可以显著的提升移动智能终端数字签名应用的安全性、便捷性、易部署性，同时节省用户购买额外硬件U盾的成本。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明的基于移动终端的数字签名方法的一个实施例的流程示意图；

图2、图3、图3A和图4分别为纯软盾、TEE盾、APPLET和TEE+SE盾的数字签名证书部署方式的示意图；

图5为根据本发明的基于移动终端的数字签名装置的一个实施例的模块示意图；

图6为根据本发明的基于移动终端的数字签名装置的另一个实施例的模块示意图。

具体实施方式

现在将参照附图来详细描述本发明的各种示例性实施例。应注意到：除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本发明的范围。

同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。

以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本发明及其应用或使用的任何限制。

对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为说明书的一部分。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

本发明实施例可以应用于计算机系统/服务器，其可与众多其它通用或专用计算系统环境或配置一起操作。适于与计算机系统/服务器一起使用的众所周知的计算系统、环境和/或配置的例子包括但不限于：智能手机、个人计算机系统、服务器计算机系统、瘦客户机、厚客户机、手持或膝上设备、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人电脑、小型计算机系统﹑大型计算机系统和包括上述任何系统的分布式云计算技术环境，等等。

计算机系统/服务器可以在由计算机系统执行的计算机系统可执行指令(诸如程序模块)的一般语境下描述。通常，程序模块可以包括例程、程序、目标程序、组件、逻辑、数据结构等等，它们执行特定的任务或者实现特定的抽象数据类型。计算机系统/服务器可以在分布式云计算环境中实施，分布式云计算环境中，任务是由通过通信网络链接的远程处理设备执行的。在分布式云计算环境中，程序模块可以位于包括存储设备的本地或远程计算系统存储介质上。

下文中的“第一”、“第二”等仅用于描述上相区别，并没有其它特殊的含义。

图1为根据本发明的基于移动终端的数字签名方法的一个实施例的流程示意图，如图1所示：

步骤101，接收到业务应用或外部设备通过数字签名服务应用发送的待签名业务数据，数字签名服务应用用于提供统一的数字证书签名接口。

业务应用可以为移动终端中的业务应用，例如购物、网银等业务应用等，外部设备可以为电商服务器、网银服务器等。待签名业务数据可以为待签名的交易数据等。

步骤102，确定与待签名业务数据相对应的数字签名证书的部署方式。

数字签名证书的部署方式可以有多种。例如，数字签名证书基于分布式存储方式存储在移动终端本地和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中等。对于不同的业务数据进行签名的数字签名证书可以有不同的部署方式。

TEE(Trusted Execution Environment,可信执行环境)是一种隔离的执行环境，TEE与富操作系统(REE，Rich Execution Environment)并行运行，并为富环境提供安全服务，可以对富环境下的软硬件安全资源和应用程序，实现隔离访问和保护。

安全元件SE可以是软硬件及相关协议结合的安全模块，可嵌入使用的智能卡级应用程序，如UICC、嵌入式SE、可插拔内存卡等。Applet是一种运行在SE中的程序。数字签名证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。例如，最简单的数字签名证书包含一个公开密钥、名称以及证书授权中心的数字签名。

在一个实施例中，数字签名部署方案会根据当前系统环境的区别，放置到尽可能安全的环境中。纯软盾部署方式：数字签名证书采用分布式的存储方式存储在移动终端应用和证书管理系统中，共同实现对用户业务数据的数字签名。TEE盾部署方式：数字签名证书存储在移动终端TEE系统的TA中，通过移动智能应用调用TA，在TA中完成对用户业务数据的数字签名。TEE+SE盾部署方式：数字签名证书存储在移动终端SE的Applet中，通过移动终端应用调用TA，TA调用Applet，在Applet中完成对用户业务数据的数字签名。根据不同的移动智能终端系统环境选择不同的部署方案如下表1所示：

表1-数字签名证书的部署方案表

步骤103，根据部署方式获取数字签名证书，使用数字签名证书对待签名业务数据进行相应地签名处理。

步骤104，所述业务应用或外部设备通过所述数字签名服务应用接收签名处理结果。

上述实施例中的基于移动终端的数字签名方法，不增加任何外部硬件，根据用户的移动智能终端系统环境，采用不同的解决方案，在移动智能终端中实现不同安全级别的数字签名证书应用；采用不同安全级别的移动智能终端数字签名部署方案，为用户提供一站式、用户体验无差别、尽可能安全的移动智能终端数字签名产品。

在一个实施例中，将数字证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中；在进行签名服务时，基于分布式运算方式对待签名业务数据分别进行签名运算，将签名结果返回给业务应用或外部设备。

当确定数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中时，数字签名服务应用在其内部存储数字签名证书的第一部分，证书管理系统中存储数字签名证书的第二部分。数字签名证书的第一部分可以包括：私钥的第一部分，数字签名证书的第二部分可以包括：私钥的第二部分。

数字签名服务应用基于数字签名证书的第一部分和第二部分对待签名业务数据进行签名处理，并将签名处理结果返回业务应用或外部设备。基于数字签名证书的第一部分和第二部分对待签名业务数据进行签名处理可以采用现有的签名处理方法，例如，签名时先在数字签名服务应用中验证口令并用私钥的第一部分对交易信息做第一次签名，数字签名服务应用将签名结果发送证书管理系统用私钥的第二部分做第二次签名，数字签名服务应用将最终得到的签名结果返回。数字签名服务应用可以运行在REE中。

对于纯软盾部署方式，如图2所示，数字签名服务主要用于提供数字签名证书签名接口，由于移动终端不安全，所以将私钥分布式存放，一部分存储在证书管理系统端，另一部分存储在数字签名服务应用中，需要两者共同运算才会形成完整签名。

在一个实施例中，如果数字签名证书存储在数字签名TA中时，数字签名服务应用将待签名业务数据发送给数字签名TA。数字签名TA获取在其内部存储的数字签名证书并基于数字签名证书对待签名业务数据进行签名处理，并将签名结果返回数字签名服务应用。

证书管理系统通过数字签名服务应用对数字签名TA中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书等。TAM(Trusted Application Management，可信应用管理)系统通过数字签名服务应用对数字签名TA进行管理，包括：安装、更新、删除数字签名TA。

对于TEE盾部署方式，如图3所示，对于支持TEE的移动智能终端，将数字签名证书放置在TEE的TA中，对于TA的管理包括安装、更新、删除等，可以通过TAM系统完成。对于TA中的数字签名证书的管理，包括：安装、更新、删除等，可以通过证书管理系统完成。移动终端中如果有TEE而没有SE，则TA作为数字签名证书的保存和处理单元，如果有SE，则SE作为保存和处理数字签名证书的单元，则TA只作为通信、TUI显示单元。

在一个实施例中，如图3A所示，如果数字签名证书存储在Applet中时，数字签名服务应用将待签名业务数据发送给数字签名TA。数字签名TA将待签名业务数据发送给Applet。Applet获取在其内部存储的数字签名证书并基于数字签名证书对待签名业务数据进行签名处理，并将签名结果返回数字签名TA。数字签名TA将签名结果返回数字签名服务应用。数字签名服务既可以以一个独立模块的形式提供，也可以以接口jar的形式提供。主要目的就是对外提供统一接口。

如果数字签名证书存储在Applet中，REE侧的业务应用也可以和Applet通信进行数字签名处理。Applet获取在其内部存储的数字签名证书并基于数字签名证书对REE侧的业务应用发送的待签名业务数据进行签名处理，并将签名结果返回给REE侧的业务应用。

证书管理系统通过数字签名服务应用和数字签名TA对Applet中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书等。TSM(Trusted Service Manager，可信应用服务管理)系统通过数字签名服务应用和数字签名TA对Applet进行管理，包括：进行个人化，安装、更新、卸载Applet等。如果移动终端中有SE，则在SE中内置Applet，该单元位于最安全层，用于保存和处理数字签名证书。

对于TEE+SE盾部署方式，如图4所示，对于支持SE的移动终端，将数字签名证书的保存放置到SE中的Applet应用中。TSM系统用于管理SE中的Applet应用，包括进行个人化，安装、更新、卸载等管理。对于Applet中的数字签名证书的管理，包括安装、更新、删除等，可以通过证书管理系统完成。证书管理系统在完成TA、Applet的部署后，对数字签名证书进行个人化的相关更新、废止等管理。

在一个实施例中，数字签名服务应用可以为上层业务应用提供的功能有多种，例如：证书管理(安装、更新、删除)、交易签名、数字签名证书口令管理、获取证书列表及证书信息等。对于纯软盾部署方式，采用在数字签名服务应用的APK中保存部分数字签名证书，另一部分数字签名证书在证书管理系统中，对于交易签名需要APK和证书管理系统分别进行签名后才能算完整签名。

对于有TEE或SE的终端，数字签名服务应用主要和TA和Applet通信，为上层提供相关服务接口，不管底层以何种形式提供数字签名证书相关功能，对上层业务应用提供的接口保持不变。对于TSM系统、TAM系统、证书管理系统等，可以合并部署，也可以分别部署。

本发明能够提供移动智能终端数字签名的整体解决方案，包括了纯软盾、TEE盾、TEE+SE盾等多种部署配置，可以提供一站式集成界面、无差别的用户体验，为不同软硬件配置的移动智能终端提供其最适用的安全级别的防护。

在一个实施例中，如图5所示，本发明提供一种基于移动终端的数字签名装置50，包括：数据接收模块51、部署方式选择模块52、数字签名服务应用53、数字签名TA 54和运行在SE中的Applet 55。

数据接收模块51接收业务应用或外部设备发通过数字签名服务应用53送的待签名业务数据。数字签名服务应用53用于提供统一的数字证书签名接口。部署方式选择模块52根据移动终端设备环境选择与待签名业务数据相对应的数字签名证书的部署方式。数字签名证书的部署方式包括：数字签名证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中、数字签名证书存储在TEE系统的可信应用TA中、数字签名证书存储在eSE的Applet中等。数字签名服务应用53用于根据部署方式获取数字签名证书，使用数字签名证书对待签名业务数据进行相应地签名处理；其中，业务应用或外部设备通过数字签名服务应用53接收签名处理结果。

在一个实施例中，数字签名服务应用53将数字证书基于分布式存储方式存储在数字签名服务应用和证书管理系统中。在进行签名服务时，数字签名服务应用53基于分布式运算方式对待签名业务数据分别进行签名运算。签名结果通过数字签名服务应用53返回给业务应用或外部设备。数字签名服务应用53在其内部存储数字证书的第一部分，证书管理系统中存储数字证书的第二部分；数字签名证书的第一部分包括：私钥的第一部分；数字签名证书的第二部分包括：私钥的第二部分。

在一个实施例中，如果数字签名证书存储在数字签名TA 54中时，数字签名服务应用53将待签名业务数据发送给数字签名TA 54。数字签名TA 54获取在其内部存储的数字签名证书并基于数字签名证书对待签名业务数据进行签名处理。业务应用或外部设备将待签名业务数据通过数字签名服务应用53发送给数字签名TA 54，通过数字签名服务应用53接收签名结果。

数字签名服务应用53对于数字签名证书存储在TEE系统的可信应用TA中的部署方式提供相应的功能。证书管理系统通过数字签名服务应用53对数字签名TA 54中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名证书等。TAM系统通过数字签名服务应用对数字签名TA 54进行管理，包括：安装、更新、删除数字签名TA等。

在一个实施例中，如果数字签名证书存储在Applet 55中时，数字签名服务应用53对于数字签名证书存储在Applet中的部署方式提供相应的功能。业务应用或外部设备将待签名业务数据通过数字签名服务应用53发送给数字签名TA 55。数字签名TA 54将待签名业务数据发送给Applet 55。

Applet 55获取在其内部存储的数字签名证书并基于数字签名证书对待签名业务数据进行签名处理，并将签名结果返回数字签名TA 54。如果数字签名证书存储在Applet 55中，REE侧的业务应用和Applet 55通信进行数字签名处理。Applet 55获取在其内部存储的数字签名证书并基于数字签名证书对REE侧的业务应用发送的待签名业务数据进行签名处理，并将签名结果返回给REE侧的业务应用。

证书管理系统通过数字签名服务应用53和数字签名TA 54对Applet 55中存储的数字签名证书进行管理，包括：安装、更新、删除数字签名等。TSM系统通过数字签名服务应用和数字签名TA 54对Applet 55进行管理，包括：进行个人化，安装、更新、卸载Applet等。

在一个实施例中，本发明提供一种移动终端，包括如上任一实施例中的基于移动终端的数字签名装置。移动终端包括智能手机、PAD等。

图6为根据本发明的基于移动终端的数字签名方法装置的另一个实施例的模块示意图。如图6所示，该装置可包括存储器61、处理器62、通信接口63。存储器61用于存储指令，处理器62耦合到存储器61，处理器62被配置为基于存储器61存储的指令执行实现上述的基于移动终端的数字签名方法。存储器61可以为高速RAM存储器、非易失性存储器(NoN-volatile memory)等，存储器61也可以是存储器阵列。处理器62可以为中央处理器CPU等。

上述实施例中的基于移动终端的数字签名方法、装置以及移动终端，确定与待签名业务数据相对应的数字签名证书的部署方式，根据部署方式获取数字签名证书，使用数字签名证书对待签名业务数据进行相应地签名处理；将数字签名证书应用与移动终端相结合，利用移动终端中的软硬件保护方法安全地存储数字签名证书，并在安全环境下用数字签名证书对交易数据做数字签名，供用户业务后台来鉴别交易的真实性与用户身份；根据用户移动智能终端的系统环境，采用不同安全级别的移动智能终端数字签名部署方案，为用户提供一站式、用户体验无差别、尽可能安全的移动智能终端数字签名产品；可以显著的提升移动智能终端数字签名应用的安全性、便捷性、易部署性，同时节省用户购买额外硬件U盾的成本。

可能以许多方式来实现本发明的方法和系统。例如，可通过软件、硬件、固件或者软件、硬件、固件的任何组合来实现本发明的方法和系统。用于方法的步骤的上述顺序仅是为了进行说明，本发明的方法的步骤不限于以上具体描述的顺序，除非以其它方式特别说明。此外，在一些实施例中，还可将本发明实施为记录在记录介质中的程序，这些程序包括用于实现根据本发明的方法的机器可读指令。因而，本发明还覆盖存储用于执行根据本发明的方法的程序的记录介质。

本发明的描述是为了示例和描述起见而给出的，而并不是无遗漏的或者将本发明限于所公开的形式。很多修改和变化对于本领域的普通技术人员而言是显然的。选择和描述实施例是为了更好说明本发明的原理和实际应用，并且使本领域的普通技术人员能够理解本发明从而设计适于特定用途的带有各种修改的各种实施例。