双因子认证安全管理机登录系统及方法转让专利
申请号 : CN201711004742.1
文献号 : CN107580002B
文献日 : 2020-03-13
发明人 : 刘扬帆 , 范渊
申请人 : 杭州安恒信息技术股份有限公司
摘要 :
本发明涉及一种双因子认证安全管理机登录系统及方法,在安全管理机安装登录插件,将唯一标识发送至服务器,服务器根据唯一标识生成验证信息并返回至安全管理机,安全管理机将该验证信息显示为二维码,用户终端扫描二维码对验证信息进行验证,服务器收到用户终端的验证请求,当该请求与服务器存储的安全管理机的账号、验证信息匹配时将安全管理机标记为已验证通过并发送至安全管理机,安全管理机收到该已验证通过状态完成登录。本发明提供的双因子认证安全管理机登录系统及方法无须额外的硬件,无需记忆双重密码、无需设置复杂规则,成本低,省掉了USBkey等硬件,降低了双因子登录的复杂程度,降低了安全技术的成本。
权利要求 :
1.一种双因子认证安全管理机登录系统,其特征在于,所述双因子认证安全管理机登录系统包括服务器以及与服务器通信连接的用户终端和安全管理机,所述用户终端的账号和所述安全管理机的账号绑定,所述服务器储存有所述安全管理机和用户终端的账号信息;
所述安全管理机用于将唯一标识信息发送至服务器;
所述服务器用于根据接收到的所述唯一标识信息生成与所述安全管理机对应的验证信息,将所述安全管理机账号标记为待验证状态,并将所述验证信息发送至所述安全管理机;
所述安全管理机用于根据接收到的所述验证信息生成二维码;
所述用户终端用于扫描所述二维码,以获取所述验证信息,并将所述验证信息及用户终端的账号信息发送至所述服务器;
所述服务器用于接收所述验证信息和用户终端的账号信息,当接收到的所述用户终端的账号信息和验证信息与预存储的安全管理机的账号信息和验证信息匹配时,将所述验证信息对应的安全管理机账号标记为已验证通过状态;
所述服务器用于将所述已验证通过状态发送至所述安全管理机;
所述安全管理机用于接收服务器发送的所述安全管理机账号的验证通过状态以进行登录。
2.如权利要求1所述的双因子认证安全管理机登录系统,其特征在于,所述安全管理机还用于验证用户输入的账号和密码。
3.如权利要求1所述的双因子认证安全管理机登录系统,其特征在于,所述用户终端用于扫描所述二维码获取所述验证信息,将获取到的验证信息和用户终端的账号信息组合成url访问请求发送至所述服务器。
4.如权利要求1所述的双因子认证安全管理机登录系统,其特征在于,所述服务器还用于在没有接收到用户终端发送的验证信息及用户终端的账号信息时将未验证通过状态发送至安全管理机。
5.如权利要求1所述的双因子认证安全管理机登录系统,其特征在于,所述验证信息还包括表征该验证信息有效时间长短的时效信息。
6.一种双因子认证安全管理机登录方法,其特征在于,所述方法应用于双因子认证安全管理机登录系统,所述双因子认证安全管理机登录系统包括服务器以及与服务器通信连接的用户终端和安全管理机,所述用户终端的账号和所述安全管理机的账号绑定,所述服务器储存有所述安全管理机和用户终端的账号信息,所述方法包括:所述安全管理机将唯一标识信息发送至所述服务器;
所述服务器根据接收到的所述唯一标识信息生成与所述安全管理机对应的验证信息,将所述安全管理机账号标记为待验证状态,并将所述验证信息发送至所述安全管理机;
所述安全管理机根据接收到的所述验证信息生成二维码;
所述用户终端扫描所述二维码以获取所述验证信息,并将所述验证信息及用户终端的账号信息发送至所述服务器;
所述服务器接收所述用户终端发送的验证信息及用户终端的账号信息,当所述用户终端的账号信息和验证信息与预存储的安全管理机的账号信息和验证信息匹配时,将所述验证信息对应的安全管理机账号标记为已验证通过状态;
所述服务器将所述已验证状通过态发送至所述安全管理机;
所述安全管理机接收服务器发送的所述安全管理机账号的验证通过状态以进行登录。
7.如权利要求6所述的双因子认证安全管理机登录方法,其特征在于,在所述安全管理机将唯一标识信息发送至所述服务器之前,所述方法还包括:验证用户输入的账号和密码。
8.如权利要求6所述的双因子认证安全管理机登录方法,其特征在于,所述用户终端扫描所述二维码以获取所述验证信息,并将所述验证信息及用户终端的账号信息发送至所述服务器的步骤包括:用户终端调用摄像头扫描所述二维码以获取验证信息;
用户终端将获取到的验证信息和用户终端的账号信息组合为url访问请求;
用户终端发送所述url访问请求至所述服务器。
9.如权利要求8所述的双因子认证安全管理机登录方法,其特征在于,所述服务器接收所述验证信息和用户终端的账号信息,当接收到的所述用户终端的账号信息和验证信息与预存储的安全管理机的账号信息和验证信息匹配时,将所述验证信息对应的安全管理机账号标记为已验证状态的步骤包括:接收用户终端发送的url访问请求;
提取所述url请求包含的验证信息及用户终端账号信息;
将所述验证信息和所述用户终端账号信息与预存储的安全管理机账号及对应的验证信息进行比对,当用户终端账号信息与预存储的安全管理机账号信息匹配且验证信息与预存储的验证信息匹配时,将所述安全管理机的账号标记为已验证状态。
10.如权利要求6所述的双因子认证安全管理机登录方法,其特征在于,所述验证信息还包括表征该验证信息有效时间长短的时效信息。
说明书 :
双因子认证安全管理机登录系统及方法
技术领域
[0001] 本发明涉及安全技术领域,具体而言,涉及一种双因子认证安全管理机登录系统及方法。
背景技术
[0002] 很多政府、军队、银行等大型企业,他们的服务器上面常常运行着有如堡垒机、安全监测管理平台、态势感知这样的安全服务,它们通过下发指令、修改规则等来监控主机状态,防御系统攻击、保护数据信息,以下将这类服务器称为安全管理机。一旦安全管理机受到攻击,遭到破坏,可能导致企业数据信息丢失、信息泄露、系统瘫痪等损失,保护安全管理机的安全显得非常重要。通常输入系统用户名和密码就可以进入安全管理机,但是这其中存在很大的安全隐患,黑客或非法人员可能会通过如暴力破解、恶意程序解析安全管理机的账户信息文件、渗透内网等技术手段拿到安全管理机的账户密码,进而对安全管理机进行破坏和恶意操作。
[0003] 如果能在输入完安全管理机用户名密码之后再多一次验证,则相当于多了一道进入安全管理机的屏障,增强了安全管理机的安全性,避免部分安全问题的发生,进一步保障企业的网络安全。
[0004] 已有的双因子登录安全管理机验证方案须依赖硬件,安全管理机验证在插入USBKey的情况下,验证key的pin码同安全登录时输入的pin码是否匹配来完成双因子验证。
发明内容
[0005] 有鉴于此,本发明实施例的目的在于提供一种双因子认证安全管理机登录系统,以改善上述的问题。
[0006] 本发明实施例的另一目的在于提供一种双因子认证安全管理机登录方法,以改善上述的问题。
[0007] 本发明采用的技术方案如下:
[0008] 一种双因子认证安全管理机登录系统,所述双因子认证安全管理机登录系统包括服务器以及与服务器通信连接的用户终端和安全管理机,所述用户终端的账号和所述安全管理机的账号绑定,所述服务器储存有所述安全管理机和用户终端的账号信息;所述安全管理机用于将唯一标识信息发送至服务器;所述服务器用于根据接收到的所述唯一标识信息生成与所述安全管理机对应的验证信息,将所述安全管理机账号标记为待验证状态,并将所述验证信息发送至所述安全管理机;所述安全管理机用于根据接收到的所述验证信息生成二维码;所述用户终端用于扫描所述二维码,以获取所述验证信息,并将所述验证信息及用户终端的账号信息发送至所述服务器;所述服务器用于接收所述验证信息和用户终端的账号信息,当接收到的所述用户终端的账号信息和验证信息与预存储的安全管理机的账号信息和验证信息匹配时,将所述验证信息对应的安全管理机账号标记为已验证通过状态;所述服务器用于将所述已验证通过状态发送至所述安全管理机;所述安全管理机用于接收服务器发送的所述安全管理机账号的验证通过状态以进行登录。
[0009] 进一步地,所述安全管理机还用于验证用户输入的账号和密码。
[0010] 进一步地,所述用户终端用于扫描所述二维码获取所述验证信息,将获取到的验证信息和用户终端的账号信息组合成url访问请求发送至所述服务器。
[0011] 进一步地,所述服务器还用于在没有接收到用户终端发送的验证信息及用户终端的账号信息时将未验证通过状态发送至安全管理机。
[0012] 进一步地,所述验证信息还包括表征该验证信息有效时间长短的时效信息。
[0013] 一种双因子认证安全管理机登录方法,所述方法应用于双因子认证安全管理机登录系统,所述双因子认证安全管理机登录系统包括服务器以及与服务器通信连接的用户终端和安全管理机,所述用户终端的账号和所述安全管理机的账号绑定,所述服务器储存有所述安全管理机和用户终端的账号信息,所述方法包括:所述安全管理机将唯一标识信息发送至所述服务器;所述服务器根据接收到的所述唯一标识信息生成与所述安全管理机对应的验证信息,将所述安全管理机账号标记为待验证状态,并将所述验证信息发送至所述安全管理机;所述安全管理机根据接收到的所述验证信息生成二维码;所述用户终端扫描所述二维码以获取所述验证信息,并将所述验证信息及用户终端的账号信息发送至所述服务器;所述服务器接收所述用户终端发送的验证信息及用户终端的账号信息,当所述用户终端的账号信息和验证信息与预存储的安全管理机的账号信息和验证信息匹配时,将所述验证信息对应的安全管理机账号标记为已验证通过状态;所述服务器将所述已验证状通过态发送至所述安全管理机;所述安全管机接收服务器发送的所述安全管理机账号的验证通过状态以进行登录。
[0014] 进一步地,在所述安全管理机将唯一标识信息发送至所述服务器之前,所述方法还包括:验证用户输入的账号和密码。
[0015] 进一步地,所述用户终端扫描所述二维码以获取所述验证信息,并将所述验证信息及用户终端的账号信息发送至所述服务器的步骤包括:用户终端调用摄像头扫描所述二维码以获取验证信息;用户终端将获取到的验证信息和用户终端的账号信息组合为url访问请求;用户终端发送所述url访问请求至所述服务器。
[0016] 进一步地,所述服务器接收所述验证信息和用户终端的账号信息,当接收到的所述用户终端的账号信息和验证信息与预存储的安全管理机的账号信息和验证信息匹配时,将所述验证信息对应的安全管理机账号标记为已验证状态的步骤包括:接收用户终端发送的url访问请求;提取所述url请求包含的验证信息及用户终端账号信息;将所述验证信息和所述用户终端账号信息与预存储的安全管理机账号及对应的验证信息进行比对,当用户终端账号信息与预存储的安全管理机账号信息匹配且验证信息与预存储的验证信息匹配时,将所述安全管理机的账号标记为已验证状态。
[0017] 进一步地,所述验证信息还包括表征该验证信息有效时间长短的时效信息。
[0018] 相对现有技术,本发明具有以下有益效果:
[0019] 本发明提供的一种双因子认证安全管理机登录系统及方法,所述双因子认证安全管理机登录系统包括服务器以及与服务器通信连接的用户终端和安全管理机,所述安全管理机用于将唯一标识信息发送至服务器;所述服务器用于根据接收到的所述唯一标识信息生成与所述安全管理机对应的验证信息,将所述安全管理机账号标记为待验证状态,并将所述验证信息发送至所述安全管理机;所述安全管理机用于根据接收到的所述验证信息生成二维码;所述用户终端用于扫描所述二维码,以获取所述验证信息,并将所述验证信息及用户终端的账号信息发送至所述服务器;所述服务器用于接收所述验证信息和用户终端的账号信息,当接收到的所述用户终端的账号信息和验证信息与预存储的安全管理机的账号信息和验证信息匹配时,将所述验证信息对应的安全管理机账号标记为已验证通过状态;所述服务器用于将所述已验证通过状态发送至所述安全管理机;所述安全管理机用于接收服务器发送的所述安全管理机账号的验证通过状态以进行登录。通过用户终端扫描二维码和安全管理机发送唯一标识信息,实现双因子登录,用户终端和安全管理机的账号相绑定,无须记忆双重密码,无需设置复杂规则,省掉了USBkey等硬件,降低了双因子登录的复杂程度,节约了成本。
[0020] 为使本发明的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
[0021] 为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0022] 图1示出了本发明所提供的一种双因子认证安全管理机登录系统示意图。
[0023] 图2示出了服务器的功能模块示意图。
[0024] 图3示出了用户终端的功能模块示意图。
[0025] 图4示出了双因子认证安全管理机登录方法的流程图。
[0026] 图5示出了步骤S50的子步骤流程图。
[0027] 图6示出了步骤S60的子步骤流程图。
[0028] 图标:100-双因子认证安全管理机登录系统;110-服务器;111-存储模块;113-通信模块;115-生成模块;117-判断模块;120-安全管理机;130-用户终端;131-摄像头调用模块;132-发送模块。
具体实施方式
[0029] 下面将结合本发明实施例中附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围,而是仅仅表示本发明的选定实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0030] 应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要。术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
[0031] 下面结合附图,对本发明的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
[0032] 第一实施例
[0033] 本发明实施例提供了一种双因子认证安全管理机登录系统100,请参阅图1,图1示出了本发明实施例提供的双因子认证安全管理机登录系统100的功能模块示意图。
[0034] 双因子认证安全管理机登录系统100包括服务器110、用户终端130以及安全管理机120。其中与所述用户终端130和所述安全管理机120均通过网络与所述服务器110通信连接。
[0035] 需要说明的是,所述服务器110具有注册账号、存储账号、存储安全管理机120唯一标识信息、以及他们之间的管理关系等信息这样的简单功能。同时,所述服务器110还提供忘记密码找回密码等功能。于本实施例中,所述服务器110可以使用IIS、Apache等软件进行搭建。
[0036] 所述用户终端130安装有至少一个APP,可以调用摄像头进行扫描二维码,以及与所述服务器110进行通信连接,所述APP的账号信息可以存储于所述服务器110。
[0037] 所述安全管理机120安装登录插件,用于验证用户输入的用户名以及密码。以及发送安全管理机120的唯一标识至所述服务器110。
[0038] 于本实施例中,在需要登录的安全管理机120上安装登录插件到系统中。例如在windows系统中可以利用Credential Provider Filters原理,基于com接口开发Windows凭据认证的安全登录插件,修改微软默认的登录流程
[0039] 请参阅图2,所述服务器110包括存储模块111、通信模块113、生成模块115及判断模块117,所述存储模块111用于存储数据,例如安全管理机120的账号、唯一标识信息、验证状态等信息,所述通信模块113用于接收所述安全管理机120发送来的唯一标识信息,所述生成模块115用于根据所述唯一标识信息生成与所述安全管理机120对应的验证信息,并且将所述唯一标识信息对应的安全管理机120所对应的账号标记为待验证状态。所述通信模块113还用于将所述验证信息发送至所述安全管理机120。
[0040] 于本实施例中,所述验证信息可以是根据所述唯一标识信息生成的随机字符串,但不限于此。于本实施例中,所述随机字符串同样具有时效,当超过该随机字符串的有效时间段时,需要重新
[0041] 所述安全管理机120接收到所述验证信息,根据接收到的验证信息,生成二维码并显示。具体地,所述登录插件用于接收所述验证信息,将所述验证信息通过自定义的算法转换为二维码图片。于本实施例中,所述登录插件将所述随机字符串转换为二维码图片,并显示在所述安全管理机120的登录界面上。
[0042] 于本实施例中,所述验证信息包括时效信息,所述时效信息用于表征所述验证信息的有效时间段,当所述二维码显示的时间超过所述有效时间段时,所述登录插件会提示该二维码以过期,并重新获取新的验证信息并转化为二维码进行显示。
[0043] 请参阅图3,所述用户终端130包括摄像头调用模块131及发送模块132,所述摄像头调用模块131用于调用用户终端130的摄像头扫描所述二维码,以获取所述验证信息,所述发送模块132用于与所述服务器110通信连接,将所述验证信息及用户终端130的账号信息发送至所述服务器110。
[0044] 具体地,用户通过安装于用户终端130的App调用摄像头扫描在安全管理机120的登录界面上展示的二维码。此步骤需要保证所述用户终端130的所使用的账号与所述安全管理机120的账号绑定或者使用相同的账号。
[0045] 所述用户终端130扫描获取到所述验证信息后,将所述验证信息以及用户终端130登录所使用的账号组合成一个url请求发送至服务器110。于本实施例中,所述用户终端130将所述扫码获取到的随机字符串以及用户终端130的账号组合成url请求访问至所述服务器110。
[0046] 所述服务器110接收到所述用户终端130发送的url请求,将所述url请求解析获得url请求中包含的验证信息(于本发明实施例中是所述随机字符串)以及所述用户终端130的账号信息。
[0047] 所述服务器110根据所述随机字符串检索,例如,根据账号和安全管理机120的唯一标识可以通过sql语法的select语句在数据库中检索到相应的随机字符串和随机字符串对应的安全管理机120的账号的验证状态。当检索到的随机字符串以及用户终端130的账号信息与预存储的随机字符串以及安全管理机120的账号信息匹配时,所述服务器110的判断模块117将所述安全管理机120对应的账号标记为已验证通过状态。若所述服务器110没有接收到相应的url请求,或所述账号信息以及随机字符串不匹配,将所述安全管理机120对应的账号标记为未验证通过状态。并将所述安全管理机120对应的账号标记为未验证通过状态发送至安全管理机120。
[0048] 所述安全管理机120接收到所述服务器110发送的安全管理机120对应的账号的验证状态,当所述验证状态为以通过验证状态时,登录完成,用户可以进入安全管理机120的操作系统。当所述验证状态为未通过验证状态时,登录失败,用户无法进入所述安全管理机120的操作系统。安全管理机120持续重复获取所述验证状态直至所述二维码失效。
[0049] 第二实施例
[0050] 本实施例提供了一种双因子认证安全管理机登录方法。双因子认证安全管理机登录方法可以应用于第一实施例提供的双因子认证安全管理机登录系统100。
[0051] 需要说明的是,本实施例所提供的双因子认证安全管理机登录方法,其基本原理及产生的技术效果和上述实施例相同,为简要描述,本实施例部分未提及之处,可参考上述的实施例中相应内容。
[0052] 请参阅图4,所述双因子认证安全管理机登录方法包括以下步骤:
[0053] 步骤S10:安全管理机120验证用户输入的账号和密码。
[0054] 首先验证用户输入的账号和密码,特别的,在远程登录安全管理机120且已本地保存登录凭证的场景下,无需输入系统用户名和密码。
[0055] 步骤S20:安全管理机120将唯一标识信息发送至所述服务器110。
[0056] 具体地,安全管理机120包括登录插件,所述登录插件验证账户和密码通过后,将所述安全管理机120的唯一标识信息发送至所述服务器110。
[0057] 步骤S30:所述服务器110根据接收到的所述唯一标识信息生成与所述安全管理机120对应的验证信息,将所述安全管理机120的账号标记为待验证状态,并将所述验证信息发送至所述安全管理机120。
[0058] 于本实施例中,所述验证信息包括时效信息,所述时效信息用于表征所述验证信息的有效时间段,当所述二维码显示的时间超过所述有效时间段时,所述安全插件会提示该二维码以过期,并重新获取新的验证信息并转化为二维码进行显示。
[0059] 步骤S40:所述安全管理机120根据接收到的所述验证信息生成二维码。
[0060] 步骤S50:用户终端130扫描所述二维码以获取所述验证信息,并将所述验证信息及用户终端130的账号信息发送至所述服务器110。
[0061] 于本实施例中,请参阅图5,所述步骤S50包括以下子步骤:
[0062] 步骤S501:用户终端130调用摄像头扫描所述二维码以获取验证信息。
[0063] 步骤S502:用户终端130将获取到的验证信息和用户终端130的账号信息组合为url访问请求。
[0064] 步骤S503:用户终端130发送所述url访问请求至所述服务器110。
[0065] 步骤S60:所述服务器110接收所述用户终端130发送的验证信息及用户终端130的账号信息,将所述验证信息对应的安全管理机120账号标记为已验证通过状态。
[0066] 具体地,当所述用户终端130的账号信息和验证信息与预存储的安全管理机120的账号信息和验证信息匹配时,服务器110将所述验证信息对应的安全管理机120账号标记为已验证通过状态。
[0067] 于本实施例中,请参阅图6,所述步骤S60包括以下子步骤:
[0068] 步骤S601:接收用户终端130发送的url访问请求。
[0069] 可以理解的是,步骤S601可以由服务器110的通信模块113执行。
[0070] 步骤S602:提取所述url请求包含的验证信息及用户终端130账号信息。
[0071] 可以理解的是,步骤S602可以由服务器110的判断模块117进行执行。
[0072] 步骤S603:将所述验证信息和所述用户终端130账号信息与预存储的安全管理机120账号及对应的验证信息进行比对,当用户终端130账号信息与预存储的安全管理机120账号信息匹配且验证信息与预存储的验证信息匹配时,将所述安全管理机120的账号标记为已验证状态。
[0073] 可以理解的是,步骤S603可以由服务器110的判断模块117进行执行。
[0074] 步骤S70:所述服务器110将所述已验证状通过态发送至所述安全管理机120。
[0075] 步骤S80:安全管理机120接收服务器110发送的所述安全管理机120账号的验证通过状态以进行登录。
[0076] 综上所述,本发明提供了一种双因子认证安全管理机登录系统及方法,通过在安全管理机安装登录插件,将安全管理机的唯一标识发送至服务器,服务器根据所述唯一标识生成验证信息并返回至安全管理机,安全管理机将该验证信息显示为二维码,通过手机等用户终端扫描二维码对所述验证信息进行验证,服务器接收到用户终端的验证请求,当所述用户终端请求的验证与服务器预存储的安全管理机的账号、验证信息等匹配时将安全管理机的账号标记为已验证通过状态并发送至安全管理机,安全管理机收到该已验证通过状态时完成登录。本发明提供的双因子认证安全管理机登录系统及方法无须额外的硬件,无需记忆双重密码、无需设置复杂规则,成本低,省掉了USBkey等硬件,降低了双因子登录的复杂程度,降低了安全技术的成本。
[0077] 需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0078] 以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。