本發(fā)明涉及通信領(lǐng)域，尤其涉及一種基于STiP(安全可信網(wǎng)絡(luò)協(xié)議，Secure and Trusted internet Protocol)模型的通信方法及系統(tǒng)。

背景技術(shù)：

隨著人們對(duì)于終端可移動(dòng)性的需求的日益增長(zhǎng)，可移動(dòng)設(shè)備被越來(lái)越廣泛的被使用，例如筆記本電腦、智能手機(jī)以及平板電腦等設(shè)備。同時(shí)，為了避免有線網(wǎng)絡(luò)連接的局限性，無(wú)線網(wǎng)絡(luò)也日益普及。而隨著可移動(dòng)設(shè)備越來(lái)越廣泛的被使用，伴隨而來(lái)的是可移動(dòng)設(shè)備由于其移動(dòng)性帶來(lái)的安全隱患，同時(shí)，由于現(xiàn)有的TCP/IP協(xié)議不具備地址真實(shí)性鑒別等內(nèi)在的安全機(jī)制，導(dǎo)致攻擊源頭和攻擊者身份難以追查。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明旨在至少克服上述缺陷之一提供一種基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法及系統(tǒng)，以保證本端終端主機(jī)接入的安全性。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案具體是這樣實(shí)現(xiàn)的：

本發(fā)明的一個(gè)方面提供了一種基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法，包括：本端終端主機(jī)利用本端終端主機(jī)的私鑰將包含有源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符的數(shù)據(jù)包原文進(jìn)行簽名，得到待發(fā)送數(shù)據(jù)包，將待發(fā)送數(shù)據(jù)包發(fā)送至接入認(rèn)證服務(wù)器，其中，待發(fā)送數(shù)據(jù)包包括數(shù)據(jù)包原文以及簽名，源安全主機(jī)標(biāo)識(shí)符為本端終端主機(jī)的唯一標(biāo)識(shí)，目的安全主機(jī)標(biāo)識(shí)符為對(duì)端終端主機(jī)的唯一標(biāo)識(shí)；接入認(rèn)證服務(wù)器接收待發(fā)送數(shù)據(jù)包，在本地映射緩存表中未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器發(fā)送查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括源安全主機(jī)標(biāo)識(shí)符、與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及本端終端主機(jī)接入的本端接入路由器的路由位置標(biāo)識(shí)；本地映射解析器解析查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器進(jìn)行迭代查詢，并從權(quán)限映射解析器獲取與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至接入認(rèn)證服務(wù)器；接入認(rèn)證服務(wù)器接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，利用與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰驗(yàn)證待發(fā)送數(shù)據(jù)包的真?zhèn)?，若檢驗(yàn)通過(guò)，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器，其中，待轉(zhuǎn)發(fā)數(shù)據(jù)包至少包括數(shù)據(jù)包原文；本端接入路由器接收待轉(zhuǎn)發(fā)數(shù)據(jù)包，在本地映射緩存表中未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器發(fā)送查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括目的安全主機(jī)標(biāo)識(shí)符、與目的安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及對(duì)端終端主機(jī)接入的對(duì)端接入路由器的路由位置標(biāo)識(shí)；本地映射解析器解析查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器進(jìn)行迭代查詢，并從權(quán)限映射解析器獲取與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至本端接入路由器；本端接入路由器將源路由位置標(biāo)識(shí)以及目的路由位置標(biāo)識(shí)封裝到待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端接入路由器，其中，源路由位置標(biāo)識(shí)為本端接入路由器的路由位置標(biāo)識(shí)，目的路由位置標(biāo)識(shí)為對(duì)端接入路由器的路由位置標(biāo)識(shí)；對(duì)端接入路由器接收封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行解封裝，得到待轉(zhuǎn)發(fā)數(shù)據(jù)包，并將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端終端主機(jī)。

另外，接入認(rèn)證服務(wù)器接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息之后，方法還包括：接入認(rèn)證服務(wù)器將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息保存在本地映射緩存表中。

另外，本地映射緩存表中還存儲(chǔ)有與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的緩存時(shí)間長(zhǎng)度；方法還包括：接入認(rèn)證服務(wù)器在緩存時(shí)間長(zhǎng)度到時(shí)后，刪除與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息。

另外，源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符是按照預(yù)設(shè)結(jié)構(gòu)命名的。

另外，根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器組成樹(shù)狀的拓?fù)浣Y(jié)構(gòu)。

另外，根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器組成去中心化的拓?fù)浣Y(jié)構(gòu)。

另外，接入認(rèn)證服務(wù)器接收待發(fā)送數(shù)據(jù)包之后，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器之前，方法還包括：接入認(rèn)證服務(wù)器使用哈希算法對(duì)源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符進(jìn)行運(yùn)算，獲得源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽，將源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽替換數(shù)據(jù)包原文中的源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符。

本發(fā)明另一方面提供了一種基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證系統(tǒng)，包括：本端終端主機(jī)，用于利用本端終端主機(jī)的私鑰將包含有源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符的數(shù)據(jù)包原文進(jìn)行簽名，得到待發(fā)送數(shù)據(jù)包，將待發(fā)送數(shù)據(jù)包發(fā)送至接入認(rèn)證服務(wù)器，其中，待發(fā)送數(shù)據(jù)包包括數(shù)據(jù)包原文以及簽名，源安全主機(jī)標(biāo)識(shí)符為本端終端主機(jī)的唯一標(biāo)識(shí)，目的安全主機(jī)標(biāo)識(shí)符為對(duì)端終端主機(jī)的唯一標(biāo)識(shí)；接入認(rèn)證服務(wù)器，用于接收待發(fā)送數(shù)據(jù)包，在本地映射緩存表中未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器發(fā)送查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括源安全主機(jī)標(biāo)識(shí)符、與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及本端終端主機(jī)接入的本端接入路由器的路由位置標(biāo)識(shí)；本地映射解析器，用于解析查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器進(jìn)行迭代查詢，并從權(quán)限映射解析器獲取與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至接入認(rèn)證服務(wù)器；接入認(rèn)證服務(wù)器，還用于接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，利用與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰驗(yàn)證待發(fā)送數(shù)據(jù)包的真?zhèn)?，若檢驗(yàn)通過(guò)，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器，其中，待轉(zhuǎn)發(fā)數(shù)據(jù)包至少包括數(shù)據(jù)包原文；本端接入路由器，用于接收待轉(zhuǎn)發(fā)數(shù)據(jù)包，在本地映射緩存表中未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器發(fā)送查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括目的安全主機(jī)標(biāo)識(shí)符、與目的安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及對(duì)端終端主機(jī)接入的對(duì)端接入路由器的路由位置標(biāo)識(shí)；本地映射解析器，還用于解析查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器進(jìn)行迭代查詢，并從權(quán)限映射解析器獲取與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至本端接入路由器；本端接入路由器，還用于將源路由位置標(biāo)識(shí)以及目的路由位置標(biāo)識(shí)封裝到待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端接入路由器，其中，源路由位置標(biāo)識(shí)為本端接入路由器的路由位置標(biāo)識(shí)，目的路由位置標(biāo)識(shí)為對(duì)端接入路由器的路由位置標(biāo)識(shí)；對(duì)端接入路由器，用于接收封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行解封裝，得到待轉(zhuǎn)發(fā)數(shù)據(jù)包，并將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端終端主機(jī)。

另外，接入認(rèn)證服務(wù)器，還用于在接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息之后，將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息保存在本地映射緩存表中。

另外，本地映射緩存表中還存儲(chǔ)有與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的緩存時(shí)間長(zhǎng)度；接入認(rèn)證服務(wù)器，還用于在緩存時(shí)間長(zhǎng)度到時(shí)后，刪除與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息。

另外，源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符是按照預(yù)設(shè)結(jié)構(gòu)命名的。

另外，根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器組成樹(shù)狀的拓?fù)浣Y(jié)構(gòu)。

另外，根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器組成去中心化的拓?fù)浣Y(jié)構(gòu)。

另外，接入認(rèn)證服務(wù)器，還用于在接收待發(fā)送數(shù)據(jù)包之后，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器之前，使用哈希算法對(duì)源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符進(jìn)行運(yùn)算，獲得源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽，將源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽替換數(shù)據(jù)包原文中的源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符。

由上述本發(fā)明提供的技術(shù)方案可以看出，通過(guò)本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法及系統(tǒng)，可以從源頭上解決源地址欺騙、身份安全等網(wǎng)絡(luò)安全問(wèn)題，從而有利于構(gòu)建自主可控、安全可信的互聯(lián)網(wǎng)環(huán)境。

附圖說(shuō)明

為了更清楚地說(shuō)明本發(fā)明實(shí)施例的技術(shù)方案，下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見(jiàn)地，下面描述中的附圖僅僅是本發(fā)明的一些實(shí)施例，對(duì)于本領(lǐng)域的普通技術(shù)人員來(lái)講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他附圖。

圖1為本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖；

圖2為本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法的流程圖。

具體實(shí)施方式

下面結(jié)合附圖對(duì)本發(fā)明的實(shí)施方式進(jìn)行詳細(xì)說(shuō)明。

圖1示出了本發(fā)明實(shí)施例提供的一種基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證系統(tǒng)的結(jié)構(gòu)示意圖，參見(jiàn)圖1，本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證系統(tǒng)，包括：IP地址相互獨(dú)立的接入網(wǎng)10以及骨干網(wǎng)20，其中，接入網(wǎng)10包括多個(gè)終端主機(jī)(其中至少包括本端終端主機(jī)101以及對(duì)端終端主機(jī)103)以及至少一個(gè)接入認(rèn)證服務(wù)器(其中至少包括與本端終端主機(jī)101連接的本端接入認(rèn)證服務(wù)器102)。當(dāng)然作為本發(fā)明的一種可選實(shí)施方式，至少一個(gè)接入認(rèn)證服務(wù)器還還可以包括與對(duì)端終端主機(jī)103連接的對(duì)端接入認(rèn)證服務(wù)器(圖中未示出)。骨干網(wǎng)20包括多個(gè)接入路由器(其中至少包括本端接入路由器201以及對(duì)端接入路由器202)、本地映射解析器203、根映射解析器204、頂級(jí)映射解析器205以及權(quán)限映射解析器206，本端接入路由器201連接本端接入認(rèn)證服務(wù)器102，對(duì)端接入路由器202連接對(duì)端終端主機(jī)103(在具有對(duì)端接入認(rèn)證服務(wù)器的情況下，對(duì)端接入路由器202連接對(duì)端接入認(rèn)證服務(wù)器)，本地映射解析器203、根映射解析器204、頂級(jí)映射解析器205以及權(quán)限映射解析器206依次連接。本領(lǐng)域技術(shù)人員可以理解的是，上述連接可以為有線連接也可以為無(wú)線連接，這在本發(fā)明中不做具體限制。以下，對(duì)本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證系統(tǒng)進(jìn)行詳細(xì)說(shuō)明：

本端終端主機(jī)101，用于利用本端終端主機(jī)的私鑰將包含有源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符的數(shù)據(jù)包原文進(jìn)行簽名，得到待發(fā)送數(shù)據(jù)包，將待發(fā)送數(shù)據(jù)包發(fā)送至接入認(rèn)證服務(wù)器102，其中，待發(fā)送數(shù)據(jù)包包括數(shù)據(jù)包原文以及簽名，源安全主機(jī)標(biāo)識(shí)符為本端終端主機(jī)101的唯一標(biāo)識(shí)，目的安全主機(jī)標(biāo)識(shí)符為對(duì)端終端主機(jī)103的唯一標(biāo)識(shí)；

接入認(rèn)證服務(wù)器102，用于接收待發(fā)送數(shù)據(jù)包，在本地映射緩存表中未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器203發(fā)送查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括源安全主機(jī)標(biāo)識(shí)符、與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及本端終端主機(jī)接入的本端接入路由器201的路由位置標(biāo)識(shí)；

本地映射解析器203，用于解析查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器204、頂級(jí)映射解析器205以及權(quán)限映射解析器206進(jìn)行迭代查詢，并從權(quán)限映射解析器206獲取與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至接入認(rèn)證服務(wù)器102；

接入認(rèn)證服務(wù)器102，還用于接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，利用與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰驗(yàn)證待發(fā)送數(shù)據(jù)包的真?zhèn)?，若檢驗(yàn)通過(guò)，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器201，其中，待轉(zhuǎn)發(fā)數(shù)據(jù)包至少包括數(shù)據(jù)包原文；

本端接入路由器201，用于接收待轉(zhuǎn)發(fā)數(shù)據(jù)包，在本地映射緩存表中未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器203發(fā)送查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括目的安全主機(jī)標(biāo)識(shí)符、與目的安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及對(duì)端終端主機(jī)接入的對(duì)端接入路由器的路由位置標(biāo)識(shí)；

本地映射解析器203，還用于解析查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器204、頂級(jí)映射解析器205以及權(quán)限映射解析器206進(jìn)行迭代查詢，并從權(quán)限映射解析器獲取與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至本端接入路由器201；

本端接入路由器201，還用于將源路由位置標(biāo)識(shí)以及目的路由位置標(biāo)識(shí)封裝到待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端接入路由器202，其中，源路由位置標(biāo)識(shí)為本端接入路由器201的路由位置標(biāo)識(shí)，目的路由位置標(biāo)識(shí)為對(duì)端接入路由器202的路由位置標(biāo)識(shí)；

對(duì)端接入路由器202，用于接收封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行解封裝，得到待轉(zhuǎn)發(fā)數(shù)據(jù)包，并將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端終端主機(jī)103。

由此可見(jiàn)，通過(guò)本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證系統(tǒng)，可以從源頭上解決源地址欺騙、身份安全等網(wǎng)絡(luò)安全問(wèn)題，從而有利于構(gòu)建自主可控、安全可信的互聯(lián)網(wǎng)環(huán)境。

具體地，接入網(wǎng)10可以完成終端主機(jī)的接入，在本發(fā)明實(shí)施例提供的STiP模型基礎(chǔ)上，使用全局唯一的SHI(安全主機(jī)標(biāo)識(shí)符，Secure Host Identifier)來(lái)標(biāo)識(shí)網(wǎng)絡(luò)中接入的每臺(tái)終端主機(jī)，該安全主機(jī)標(biāo)識(shí)不參與全局路由。骨干網(wǎng)20可以實(shí)現(xiàn)數(shù)據(jù)路由，本地映射解析器203、根映射解析器204、頂級(jí)映射解析器205以及權(quán)限映射解析器206可以配置為一個(gè)服務(wù)器，例如一個(gè)映射服務(wù)器，也可以配置為一個(gè)服務(wù)器集群，這在本發(fā)明中不做限制。

同時(shí)，接入網(wǎng)10與骨干網(wǎng)20使用獨(dú)立的地址空間：接入網(wǎng)10使用安全終端標(biāo)識(shí)符轉(zhuǎn)發(fā)數(shù)據(jù)，骨干網(wǎng)20使用IP地址路由和轉(zhuǎn)發(fā)數(shù)據(jù)包。由于終端主機(jī)不能直接訪問(wèn)接入路由器，因此，可有效防止終端主機(jī)對(duì)接入路由器的攻擊。從而使得本發(fā)明實(shí)施例提供的STiP模型中接入網(wǎng)10和骨干網(wǎng)20分離架構(gòu)這一設(shè)計(jì)可保證未來(lái)終端接入技術(shù)與骨干網(wǎng)架構(gòu)分別獨(dú)立地演進(jìn)。

在接入網(wǎng)10中，由接入認(rèn)證服務(wù)器來(lái)驗(yàn)證終端主機(jī)的真實(shí)性。具體地，在使用前，各個(gè)終端主機(jī)會(huì)被例如映射服務(wù)器分配一對(duì)公私鑰，該公私鑰與終端主機(jī)標(biāo)識(shí)進(jìn)行綁定，即公私鑰與SHI進(jìn)行綁定，同時(shí)，還將SHI與接入路由器的RLOC(路由位置標(biāo)識(shí)，Routing Locator)進(jìn)行綁定，即，映射服務(wù)器可以記錄為各個(gè)終端主機(jī)綁定的三元組，該三元組包括SHI、與SHI綁定的公鑰，SHI接入的接入路由器的RLOC。源終端主機(jī)使用私鑰對(duì)數(shù)據(jù)包進(jìn)行簽名，接入認(rèn)證服務(wù)器可以通過(guò)查詢例如映射服務(wù)器獲取和源SHI綁定的公鑰，對(duì)來(lái)自源終端主機(jī)的數(shù)據(jù)包進(jìn)行鑒別。以下提供一種具體實(shí)現(xiàn)方案，但本發(fā)明并不局限于此，在STiP模型中，當(dāng)一個(gè)站點(diǎn)的終端主機(jī)向另外一個(gè)站點(diǎn)的終端主機(jī)發(fā)送數(shù)據(jù)時(shí)，即當(dāng)本端終端主機(jī)101向?qū)Χ私K端主機(jī)103發(fā)送數(shù)據(jù)時(shí)，當(dāng)數(shù)據(jù)到達(dá)接入認(rèn)證服務(wù)器102后，如果在本端接入認(rèn)證服務(wù)器的本地映射緩存表中沒(méi)有找到SHI-to-RLOC(即本端終端主機(jī)的安全主機(jī)標(biāo)識(shí)符與本端接入路由的路由位置標(biāo)識(shí)的映射關(guān)系)的映射表項(xiàng)，會(huì)向LMR(本地映射解析器，Local Map Resolver)發(fā)送報(bào)文，請(qǐng)求獲取SHI-to-RLOC的映射關(guān)系；LMR收到接入認(rèn)證服務(wù)器102的請(qǐng)求后開(kāi)始解析該請(qǐng)求報(bào)文，首先在本地查找與本端終端主機(jī)的SHI綁定的綁定信息，如果SHI記錄不存在，LMR會(huì)向RMR(根映射解析器，Root Map Resolver)發(fā)起迭代查詢，本地映射解析器經(jīng)過(guò)根映射解析器、TMR(頂級(jí)映射解析器，Top-level Map Resolver)和AMR(權(quán)限映射解析器，Authoritative Map Resolver)的三次迭代查詢后從權(quán)限映射解析器得到接入認(rèn)證服務(wù)器102查詢的SHI的綁定信息，即SHI-Public Key-RLOC(與SHI綁定的公鑰)。在接入認(rèn)證服務(wù)器102將數(shù)據(jù)包發(fā)送至本端接入路由器201后，本端接入路由器201獲取對(duì)端終端主機(jī)103的SHI綁定的RLOC地址，然后本端接入路由器201以自己的RLOC為源地址，以對(duì)端接入路由器202的RLOC為目的地址封裝報(bào)文。對(duì)端接入路由器202接收到數(shù)據(jù)包后解封裝報(bào)文，再將報(bào)文發(fā)送到對(duì)端終端主機(jī)103。

接入網(wǎng)20中接入認(rèn)證服務(wù)器102要驗(yàn)證接入的終端主機(jī)不是偽造和冒充的具體可以通過(guò)如下方式實(shí)現(xiàn)：本端終端主機(jī)101將報(bào)文X經(jīng)過(guò)摘要運(yùn)算后得到很短的報(bào)文摘要H1，再用自己的私鑰對(duì)H1進(jìn)行D運(yùn)算，即數(shù)字簽名。得出簽名D(H1)后，將其附加在報(bào)文X后面發(fā)送出去，接入認(rèn)證服務(wù)器102收到報(bào)文后首先把簽名D(H1)和報(bào)文X分離，再用本端終端主機(jī)101的公鑰對(duì)D(H1)進(jìn)行E運(yùn)算，得出報(bào)文摘要H1，再對(duì)報(bào)文X進(jìn)行摘要運(yùn)算，得出報(bào)文摘要H2。如果H1等于H2，接入認(rèn)證服務(wù)器102就能斷定收到的報(bào)文是真實(shí)的；否則就不是。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，接入認(rèn)證服務(wù)器102，還用于在接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息之后，將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息保存在本地映射緩存表中。具體地，接入認(rèn)證服務(wù)器102每次查詢請(qǐng)求得到響應(yīng)后，會(huì)將響應(yīng)報(bào)文中攜帶的綁定信息保存在本地映射緩存表中，以方便后續(xù)使用而無(wú)需再次去查詢，提高處理效率。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，本地映射緩存表中還存儲(chǔ)有與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的緩存時(shí)間長(zhǎng)度；接入認(rèn)證服務(wù)器，還用于在緩存時(shí)間長(zhǎng)度到時(shí)后，刪除與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息。具體地，在本地映射緩存表存儲(chǔ)的緩存記錄可以設(shè)置一個(gè)TTL(Time-To-Live)值，即一條綁定信息緩存的時(shí)間長(zhǎng)度，從而保證在一定時(shí)間內(nèi)提高效率的同時(shí)，在超出該時(shí)間內(nèi)需要重新獲取綁定信息以提高安全性。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符是按照預(yù)設(shè)結(jié)構(gòu)命名的。具體地，本發(fā)明實(shí)施例提供的安全主機(jī)標(biāo)識(shí)符均可以采用有層次結(jié)構(gòu)的主機(jī)標(biāo)識(shí)命名方案來(lái)命名，從而可以保證SHI的全局唯一性和聚合性。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，根映射解析器204、頂級(jí)映射解析器205以及權(quán)限映射解析器206組成樹(shù)狀的拓?fù)浣Y(jié)構(gòu)。由此，從頂至下的迭代查詢可保證每一次的映射解析都是最短搜索路徑，這樣既可以保證SHI的全局唯一性和聚合性，也可以控制每一層映射解析器的映射表規(guī)模。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，根映射解析器204、頂級(jí)映射解析器205以及權(quán)限映射解析器206組成去中心化的拓?fù)浣Y(jié)構(gòu)。由于映射關(guān)系的更新頻率主要受終端主機(jī)位置移動(dòng)和可達(dá)狀態(tài)的影響，本發(fā)明通過(guò)建立的層次樹(shù)狀的映射解析體系可以快速響應(yīng)映射關(guān)系的注冊(cè)、更新、查詢和刪除請(qǐng)求，映射關(guān)系的更新頻率和更新消息的通信量不會(huì)成為各層映射解析器的性能瓶頸，因?yàn)橛成潢P(guān)系的維護(hù)是狀態(tài)收斂的，映射查詢延遲和映射狀態(tài)規(guī)模是可控的。

具體地，例如SHI名字結(jié)構(gòu)示例如下：facility.scheme.bistu.edu.cn，解析facility.scheme.bistu.edu.cn的映射關(guān)系的迭代查詢步驟如下：

A、本地映射解析器分析全名，確定需要對(duì)cn映射解析器具有權(quán)威性控制的服務(wù)器的位置，請(qǐng)求并獲取響應(yīng)；

B、請(qǐng)求對(duì)cn映射解析器查詢獲取edu.cn服務(wù)器的參考信息；

C、請(qǐng)求對(duì)edu.cn映射解析器查詢獲取bistu.edu.cn服務(wù)器的參考信息；

D、請(qǐng)求bistu.edu.cn映射解析器，獲取scheme.bistu.edu.cn的服務(wù)器的參考信息；

E、請(qǐng)求scheme.bistu.edu.cn映射解析器，獲取facility.scheme.bistu.edu.cn的綁定信息響應(yīng)。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，接入認(rèn)證服務(wù)器102，還用于在接收待發(fā)送數(shù)據(jù)包之后，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器201之前，使用哈希算法對(duì)源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符進(jìn)行運(yùn)算，獲得源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽，將源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽替換數(shù)據(jù)包原文中的源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符。由于安全主機(jī)標(biāo)識(shí)符SHI是全局唯一的，為了增加骨干網(wǎng)20內(nèi)傳輸?shù)臄?shù)據(jù)包中源主機(jī)標(biāo)識(shí)符的私密性，具體實(shí)現(xiàn)中可以考慮在接入認(rèn)證服務(wù)器102使用哈希算法對(duì)不定長(zhǎng)的安全主機(jī)標(biāo)識(shí)符生成固定長(zhǎng)度的SHIT(安全主機(jī)標(biāo)識(shí)標(biāo)簽，Secure Host Identifier Tag)，然后將原始數(shù)據(jù)包中的源主機(jī)標(biāo)識(shí)符替換為該哈希值。

圖2示出了本發(fā)明實(shí)施例提供的一種基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法的流程圖，本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法應(yīng)用于上述系統(tǒng)，以下僅對(duì)本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法進(jìn)行簡(jiǎn)單說(shuō)明，其他未盡事宜，具體參見(jiàn)上述系統(tǒng)的相關(guān)說(shuō)明。參見(jiàn)圖2，本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法包括：

S201，本端終端主機(jī)利用本端終端主機(jī)的私鑰將包含有源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符的數(shù)據(jù)包原文進(jìn)行簽名，得到待發(fā)送數(shù)據(jù)包，將待發(fā)送數(shù)據(jù)包發(fā)送至接入認(rèn)證服務(wù)器，其中，待發(fā)送數(shù)據(jù)包包括數(shù)據(jù)包原文以及簽名，源安全主機(jī)標(biāo)識(shí)符為本端終端主機(jī)的唯一標(biāo)識(shí)，目的安全主機(jī)標(biāo)識(shí)符為對(duì)端終端主機(jī)的唯一標(biāo)識(shí)；

S202，接入認(rèn)證服務(wù)器接收待發(fā)送數(shù)據(jù)包，在本地映射緩存表中未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器發(fā)送查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括源安全主機(jī)標(biāo)識(shí)符、與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及本端終端主機(jī)接入的本端接入路由器的路由位置標(biāo)識(shí)；

S203，本地映射解析器解析查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器進(jìn)行迭代查詢，并從權(quán)限映射解析器獲取與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至接入認(rèn)證服務(wù)器；

S204，接入認(rèn)證服務(wù)器接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，利用與源安全主機(jī)標(biāo)識(shí)符綁定的公鑰驗(yàn)證待發(fā)送數(shù)據(jù)包的真?zhèn)危魴z驗(yàn)通過(guò)，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器，其中，待轉(zhuǎn)發(fā)數(shù)據(jù)包至少包括數(shù)據(jù)包原文；

S205，本端接入路由器接收待轉(zhuǎn)發(fā)數(shù)據(jù)包，在本地映射緩存表中未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，向本地映射解析器發(fā)送查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，其中，與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息至少包括目的安全主機(jī)標(biāo)識(shí)符、與目的安全主機(jī)標(biāo)識(shí)符綁定的公鑰以及對(duì)端終端主機(jī)接入的對(duì)端接入路由器的路由位置標(biāo)識(shí)；

S206，本地映射解析器解析查詢與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的請(qǐng)求，在本地查詢與與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，在本地映射解析器未查找到與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的情況下，依次向根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器進(jìn)行迭代查詢，并從權(quán)限映射解析器獲取與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息，并將與目的安全主機(jī)標(biāo)識(shí)符綁定的綁定信息發(fā)送至本端接入路由器；

S207，本端接入路由器將源路由位置標(biāo)識(shí)以及目的路由位置標(biāo)識(shí)封裝到待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端接入路由器，其中，源路由位置標(biāo)識(shí)為本端接入路由器的路由位置標(biāo)識(shí)，目的路由位置標(biāo)識(shí)為對(duì)端接入路由器的路由位置標(biāo)識(shí)；

S208，對(duì)端接入路由器接收封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包，將封裝后的待轉(zhuǎn)發(fā)數(shù)據(jù)包進(jìn)行解封裝，得到待轉(zhuǎn)發(fā)數(shù)據(jù)包，并將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至對(duì)端終端主機(jī)。

由此可見(jiàn)，通過(guò)本發(fā)明實(shí)施例提供的基于STiP模型的安全終端標(biāo)識(shí)及認(rèn)證方法，可以從源頭上解決源地址欺騙、身份安全等網(wǎng)絡(luò)安全問(wèn)題，從而有利于構(gòu)建自主可控、安全可信的互聯(lián)網(wǎng)環(huán)境。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，接入認(rèn)證服務(wù)器接收與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息之后，方法還包括：接入認(rèn)證服務(wù)器將與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息保存在本地映射緩存表中。具體地，接入認(rèn)證服務(wù)器每次查詢請(qǐng)求得到響應(yīng)后，會(huì)將響應(yīng)報(bào)文中攜帶的綁定信息保存在本地映射緩存表中，以方便后續(xù)使用而無(wú)需再次去查詢，提高處理效率。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，本地映射緩存表中還存儲(chǔ)有與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息的緩存時(shí)間長(zhǎng)度；方法還包括：接入認(rèn)證服務(wù)器在緩存時(shí)間長(zhǎng)度到時(shí)后，刪除與源安全主機(jī)標(biāo)識(shí)符綁定的綁定信息。具體地，在本地映射緩存表存儲(chǔ)的緩存記錄可以設(shè)置一個(gè)TTL(Time-To-Live)值，即一條綁定信息緩存的時(shí)間長(zhǎng)度，從而保證在一定時(shí)間內(nèi)提高效率的同時(shí)，在超出該時(shí)間內(nèi)需要重新獲取綁定信息以提高安全性。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符是按照預(yù)設(shè)結(jié)構(gòu)命名的。具體地，本發(fā)明實(shí)施例提供的安全主機(jī)標(biāo)識(shí)符均可以采用有層次結(jié)構(gòu)的主機(jī)標(biāo)識(shí)命名方案來(lái)命名，從而可以保證SHI的全局唯一性和聚合性。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器組成樹(shù)狀的拓?fù)浣Y(jié)構(gòu)。由此，從頂至下的迭代查詢可保證每一次的映射解析都是最短搜索路徑，這樣既可以保證SHI的全局唯一性和聚合性，也可以控制每一層映射解析器的映射表規(guī)模。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，根映射解析器、頂級(jí)映射解析器以及權(quán)限映射解析器組成去中心化的拓?fù)浣Y(jié)構(gòu)。由于映射關(guān)系的更新頻率主要受終端主機(jī)位置移動(dòng)和可達(dá)狀態(tài)的影響，本發(fā)明通過(guò)建立的層次樹(shù)狀的映射解析體系可以快速響應(yīng)映射關(guān)系的注冊(cè)、更新、查詢和刪除請(qǐng)求，映射關(guān)系的更新頻率和更新消息的通信量不會(huì)成為各層映射解析器的性能瓶頸，因?yàn)橛成潢P(guān)系的維護(hù)是狀態(tài)收斂的，映射查詢延遲和映射狀態(tài)規(guī)模是可控的。

作為本發(fā)明實(shí)施例的一個(gè)可選實(shí)施方式，接入認(rèn)證服務(wù)器接收待發(fā)送數(shù)據(jù)包之后，將待轉(zhuǎn)發(fā)數(shù)據(jù)包發(fā)送至本端接入路由器之前，方法還包括：接入認(rèn)證服務(wù)器使用哈希算法對(duì)源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符進(jìn)行運(yùn)算，獲得源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽，將源安全主機(jī)標(biāo)識(shí)標(biāo)簽和目的安全主機(jī)標(biāo)識(shí)標(biāo)簽替換數(shù)據(jù)包原文中的源安全主機(jī)標(biāo)識(shí)符和目的安全主機(jī)標(biāo)識(shí)符。由于安全主機(jī)標(biāo)識(shí)符SHI是全局唯一的，為了增加骨干網(wǎng)20內(nèi)傳輸?shù)臄?shù)據(jù)包中源主機(jī)標(biāo)識(shí)符的私密性，具體實(shí)現(xiàn)中可以考慮在接入認(rèn)證服務(wù)器102使用哈希算法對(duì)不定長(zhǎng)的安全主機(jī)標(biāo)識(shí)符生成固定長(zhǎng)度的SHIT(安全主機(jī)標(biāo)識(shí)標(biāo)簽，Secure Host Identifier Tag)，然后將原始數(shù)據(jù)包中的源主機(jī)標(biāo)識(shí)符替換為該哈希值。

流程圖中或在此以其他方式描述的任何過(guò)程或方法描述可以被理解為，表示包括一個(gè)或更多個(gè)用于實(shí)現(xiàn)特定邏輯功能或過(guò)程的步驟的可執(zhí)行指令的代碼的模塊、片段或部分，并且本發(fā)明的優(yōu)選實(shí)施方式的范圍包括另外的實(shí)現(xiàn)，其中可以不按所示出或討論的順序，包括根據(jù)所涉及的功能按基本同時(shí)的方式或按相反的順序，來(lái)執(zhí)行功能，這應(yīng)被本發(fā)明的實(shí)施例所屬技術(shù)領(lǐng)域的技術(shù)人員所理解。

本技術(shù)領(lǐng)域的普通技術(shù)人員可以理解實(shí)現(xiàn)上述實(shí)施例方法攜帶的全部或部分步驟是可以通過(guò)程序來(lái)指令相關(guān)的硬件完成，所述的程序可以存儲(chǔ)于一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)中，該程序在執(zhí)行時(shí)，包括方法實(shí)施例的步驟之一或其組合。

在本說(shuō)明書(shū)的描述中，參考術(shù)語(yǔ)“一個(gè)實(shí)施例”、“一些實(shí)施例”、“示例”、“具體示例”、或“一些示例”等的描述意指結(jié)合該實(shí)施例或示例描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)包含于本發(fā)明的至少一個(gè)實(shí)施例或示例中。在本說(shuō)明書(shū)中，對(duì)上述術(shù)語(yǔ)的示意性表述不一定指的是相同的實(shí)施例或示例。而且，描述的具體特征、結(jié)構(gòu)、材料或者特點(diǎn)可以在任何的一個(gè)或多個(gè)實(shí)施例或示例中以合適的方式結(jié)合。

以上的實(shí)施例僅是對(duì)本發(fā)明的優(yōu)選實(shí)施方式進(jìn)行描述，并非對(duì)本發(fā)明的范圍進(jìn)行限定，在不脫離本發(fā)明設(shè)計(jì)精神的前提下，本領(lǐng)域普通工程技術(shù)人員對(duì)本發(fā)明的技術(shù)方案做出的各種變形和改進(jìn)，均應(yīng)落入本發(fā)明的權(quán)利要求書(shū)確定的保護(hù)范圍內(nèi)。