一种单点登录方法、登录发起终端、目标终端和验证中心

摘要

本发明公开了一种单点登录方法、登录发起终端、目标终端和验证中心，其中，该单点登录方法包括：登录发起终端获取单点登录的验证信息以及跨域的目标终端对应的会话数据；登录发起终端向目标终端发送包含验证信息和会话数据的访问请求；目标终端根据该访问请求验证会话数据的有效性，并在有效时解析该验证信息并获取登录用户数据；登录用户登录该目标终端。本发明各实施例由于随机生成单点登录的会话数据，因此，能够在跨域的应用部署环境下，抵御单点登录的截获和重发攻击。

说明书

技术领域

本发明涉及通信领域中管理信息系统技术，具体地，涉及一种单点登录方法、登录发起终端、目标终端和验证中心。

背景技术

单点登录是指用户在正确通过一次认证鉴别后，在后续的登录认证过程中不需输入用户名和密码进行身份鉴别，而可以直接访问的技术。一般常见的单点登录技术有密码代填技术和单点登录票据方式。为了实现单点登录功能，不管采用密码代填技术还是票据方式，登录发起终端与目标终端之间都必须传递登录数据。目前通用的单点登录数据传递技术一般有密码代填模式下的数据传递、通过域内Cookie传递票据和通过统一资源定位符(Uniform Resource Locator，以下简称URL)跳转传递票据。其中，在跨域的应用部署环境下，密码代填单点登录方式和通过Cookie传递票据的单点登录方式不可行。

通过URL跳转传递票据可以在跨域的应用部署环境下正常的传递票据数据完成单点登录，但是并不能很好抵御票据截获和重发攻击。申请号为200810105752.9的申请文件公布了一种基于URL跳转传递票据的单点登录方式，能够解决跨域URL跳转传递票据的单点登录过程中所面临的安全问题，该实现方式的缺陷是：在整个网络中都采用安全超文本传输协议(Hypertext Transfer Protocol over Secure Socket Layer，以下简称HTTPS)通信，需要重新评估应用、服务器、网络设备等相关软硬件是否能够承受HTTPS所带来的急增的密码运算及网络通信开销，以及由此可能导致的软硬件升级。

现有技术中的URL跳转传递票据技术有些不能实现跨域的单点登录，有些即使实现了跨域的单点登录但仍存在安全隐患，如不能很好抵御票据截获和重发攻击。

发明内容

本发明的第一目的是提出一种单点登录方法，能够在跨域的应用部署环境下，实现安全的单点登录。

本发明的第二目的是提出一种登录发起终端，能够在跨域的应用部署环境下实现安全的单点登录。

本发明的第三目的是提出一种登录目标终端，能够在跨域的应用部署环境下实现安全的单点登录。

本发明的第四目的是提出一种验证中心，能够在跨域的应用部署环境下实现安全的单点登录。

为实现上述第一目的，根据本发明的一个方面，提供了一种单点登录方法，包括：登录发起终端获取单点登录的验证信息以及跨域的目标终端对应的会话数据；登录发起终端向目标终端发送包含所述验证信息和会话数据的访问请求；目标终端根据访问请求验证会话数据的有效性，并在有效时解析验证信息并获取登录用户的用户数据；登录用户登录目标终端。

优选地，登录发起终端获取单点登录的验证信息以及跨域的目标终端对应的会话数据具体可以包括：登录发起终端向验证中心发送包含目标终端的申请访问请求；验证中心根据申请访问请求随机产生一登录发起终端登录目标终端的会话数据以及会话数据的验证时间信息，验证中心将该会话数据返回给登录发起终端。

优选地，目标终端根据访问请求验证会话数据的有效性具体可以包括：目标终端根据访问请求获得会话数据；目标终端将会话数据发送至验证中心进行验证；当访问请求中的会话数据与验证中心发送的会话数据一致，且在验证时间信息对应的验证时间内时，验证中心验证登录发起终端的会话数据有效，并向目标终端返回为有效的验证结果。

优选地，目标终端根据访问请求验证会话数据的有效性具体还可以包括：目标终端接收验证中心发送的会话数据以及验证时间信息；目标终端根据访问请求获得会话数据，并根据验证中心发送的会话数据以及验证时间信息对访问请求中的会话数据进行有效性验证；当访问请求中的会话数据与验证中心发送的会话数据一致，且在验证时间信息对应的验证时间内时，目标终端验证登录发起终端的会话数据有效。

为实现上述第二目的，根据本发明的另一个方面，提供了一种登录发起终端，包括：获取模块，用于获取单点登录的验证信息以及跨域的目标终端对应的会话数据；发送模块，用于向目标终端发送携带有所述验证信息和会话数据的访问请求。

优选地，还可以包括：打包模块，用于与目标终端约定的协议对验证信息和会话数据进行打包；加密模块，用于通过与目标终端约定的加密算法对打包后的数据进行加密，并将加密后的数据发送至发送模块；约定的协议可以包括PKCS7或XML协议；约定的加密算法可以包括对称加密算法或非对称加密算法或数字信封加密算法等。

为实现上述第三目的，根据本发明的另一个方面，提供了一种登录目标终端，包括：接收模块，用于接收登录发起终端发送的包含验证信息和会话数据的访问请求；验证模块，用于根据访问请求验证会话数据的有效性；解析模块，用于在会话数据有效时，对验证信息进行解析，获取登录用户数据。

优选地，验证模块可以包括：解密子模块，用于通过与登录发起终端约定的加密算法对验证信息和会话数据进行解密；解包子模块，用于通过与登录发起终端约定的协议对解密后的数据进行解包，获得验证信息和会话数据；接口子模块，用于将该会话数据发送至验证中心，并接收验证中心返回的验证结果。

优选地，接收模块还可以用于接收验证中心发送的会话数据和验证时间信息，验证模块还可以用于根据验证中心发送的会话数据和验证时间信息来验证登录发起终端发送的会话数据的有效性。

为实现上述第四目的，根据本发明的另一个方面，提供了一种验证中心，包括：接收模块，用于接收登录发起终端发送的包含目标终端的申请访问请求；生成下发模块，用于根据申请访问请求产生一登录发起终端登录目标终端的会话数据以及会话数据的验证时间信息，并将会话数据发送给登录发起终端。

其中，接收模块还可以接收目标终端发送的会话数据，验证中心还可以包括：验证模块，用于根据生成下发模块验证目标终端发送的会话数据的有效性，并向目标终端返回验证结果。

本发明各实施例的单点登录方法、登录发起终端、目标终端和验证中心，在用户需要登录目标终端，如跨域的目标终端时，由验证中心向登录发起终端下发有关该次登录的会话数据和验证信息(如票据等)，登录发起终端在访问目标终端时，向目标终端发送包含该会话数据和验证信息的访问请求，由目标终端验证会话数据的有效性，只有在会话数据有效时，才解析票据等验证信息获得用户数据，之后用户登录目标终端。本发明可以由验证中心生成每次跳转登录目标终端的会话数据，在验证会话数据有效时才允许用户登录目标终端，既可以满足跨域传递票据的要求，同时满足了通信上的安全性要求。

本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

下面通过附图和实施例，对本发明的技术方案做进一步的详细描述。

附图说明

附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一起用于解释本发明，并不构成对本发明的限制。在附图中：

图1为根据本发明单点登录方法的实施例一流程图；

图2为根据本发明单点登录方法的实施例二流程图；

图3为根据本发明单点登录方法的实施例三流程图；

图4为根据本发明单点登录方法的应用系统架构示意图；

图5为根据本发明登录发起终端实施例的内部结构示意图；

图6为根据本发明登录目标终端实施例的内部结构示意图；

图7为根据本发明登录验证中心实施例的内部结构示意图。

具体实施方式

以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。

图1为根据本发明单点登录方法的实施例一流程图。如图1所示，本实施例包括：

步骤S102、登录发起终端获取单点登录的验证信息以及跨域的目标终端对应的会话数据；

步骤S104、登录发起终端向目标终端发送包含验证信息和会话数据的访问请求；

步骤S106、目标终端根据访问请求验证会话数据的有效性，并在有效时解析验证信息并获取登录用户数据；

步骤S108、登录用户登录目标终端。

本发明的单点登录方法，在用户需要登录目标终端时，由验证中心向登录发起终端下发有关该次登录的会话数据和验证信息，登录发起终端在访问目标终端时，向目标终端发送包含该会话数据和验证信息的访问请求，由目标终端验证会话数据的有效性，只有在会话数据有效时，才解析验证信息获取用户数据，之后用户登录目标终端。本发明实施例在验证会话数据有效时才允许用户登录目标终端，既满足了跨域传递票据的要求，同时满足了通信上的安全性要求。

图2为根据本发明单点登录方法的实施例二流程图。如图2所示，本实施例包括：

步骤S202、登录发起终端获取验证中心下发的验证信息；

在访问登录发起终端之后，用户在需要访问目标终端时，登录发起终端可以通过静态密码认证、动态密码认证或其他方式获取验证中心下发的验证信息，实际应用中，还可以通过证书认证、生物特征认证等方式获取验证信息。在实际应用中，验证中心可以为票据中心，验证信息可以为票据中心签发的票据；

步骤S204、登录发起终端向验证中心发送申请访问请求；

登录发起终端通过该申请访问请求向验证中心请求访问跨域的目标终端对应的会话数据，该申请访问请求中携带有上述验证信息；

步骤S206、验证中心向登录发起终端返回会话数据；

验证中心根据该申请访问请求产生(可以是随机产生)一该登录发起终端登录该目标终端的会话数据和该会话数据的验证时间信息，在本地存储该会话数据和验证时间信息以及两者之间的对应关系，具体存储格式可参见下表1，并将产生的会话数据返回给登录发起终端(也称登录发起方或发起方)。该会话数据可以为数字、字母或其他可见非可见字符组成的不定长度的字符串，验证时间信息是指会话数据的有效时间，比如验证中心针对某单点登录会话数据的创建时间为11时，产生了标识为1234的会话数据，验证中心设置的会话数据的有效期为5分钟，则该会话数据在11时5分之前是有效的，验证中心将存储标识为1234的会话数据和会话数据的创建时间的对应关系，将标识为1234的会话数据返回给登录发起终端；

表1会话数据的存储格式表

步骤S208、登录发起终端对验证信息和会话数据进行打包；

登录发起终端对验证信息和会话数据进行打包，打包可以采用PKCS7或可扩展标记语言(Extensible Markup Language，以下简称XML)等方式，之后可以采用对称、非对称、数字信封或其他与目标终端约定的加密算法对打包数据进行保护；

步骤S210、登录发起终端可以通过HTTP协议向登录目标终端(也称登录目标终端、登录目标方或目标方)发送访问请求；该访问请求中携带有打包加密后的验证信息和会话数据；

步骤S212、目标终端根据与登录发起终端约定的加密算法解密接收到的数据(如数字信封或对称算法等)，获得打包的验证信息和会话数据。通过与发起终端相同的协议进行解包，如通过PKCS7或XML协议对解密后的打包数据进行解包，获得验证信息和会话数据，如通过XML协议中的标记区分数据中哪部分是验证信息，哪部分是会话数据。

目标终端将解包后获得的会话数据发送到验证中心，由验证中心验证会话数据的有效性；

步骤S214、验证中心验证会话数据的有效性，在验证为有效后设置该会话数据无效，如将表1某会话数据中的“SSO_STATUS”设置为“失效”；

当该会话数据与验证中心发送的会话数据一致，且在验证时间信息对应的验证时间内时，验证中心验证该会话数据有效。比如验证中心在11时3分接收到标识为1234的会话数据，验证中心根据存储的对应关系得知在11时5分之前该会话数据都是有效的。

验证中心在验证该会话数据有效之后，将本地存储的该会话数据状态设置为“无效”，这样即使该会话数据被截获，在再次接收到该会话数据时，也可以判定该会话数据无效，有效抵御了会话数据的截获和重发攻击。

验证中心还可以根据会话数据登录目标方的标识和当前会话数据登录发起方的标识等对会话数据进行进一步验证；

步骤S216、验证中心向目标终端返回验证结果；

步骤S218、如果验证结果为“有效”，则目标终端根据验证信息获取用户数据，否则会话数据无效，则目标终端拒绝用户的访问，同时返回“会话数据验证失败”提示给登录发起终端；

目标终端接收到验证中心返回的为“有效”的验证结果后，解析验证信息，获取用户数据，例如验证信息可以是票据中心发送的票据，则发起终端向目标终端的会话数据经验证有效后，对票据进行验证以获取登录用户数据；

步骤S220、用户单点登录成功，之后，用户就可以直接访问目标终端。

本发明实施例提供的单点登录方法在用户需要访问目标终端时，登录发起终端不但从验证中心获取验证信息，同时还获取会话数据，目标终端在验证了会话数据的有效性之后，根据验证信息获取用户身份数据。其中，会话数据在经过验证之后就被设置为无效，并且本实施例还提供了传输过程中打包和加密等过程，从而有效抵御了传递会话数据过程中的被截获数据、重发攻击的安全风险，提高了安全性。本发明提供的单点登录方法可以实现跨域异构平台间的互联互通，具有抗重发攻击、安全性高的特点，并且现有业务系统只需做少量改动即可支持该方法，实施部署方便。

上述实施例步骤212中，目标终端是到在验证中心验证会话数据的有效性，但具体应用时，目标终端还可以直接验证会话数据的有效性，如果由目标终端直接验证会话数据的有效性，验证中心需要把会话数据的相关信息发送给目标终端，具体可参加图3相关说明。

图3为根据本发明单点登录方法的实施例三流程图，本实施例为由目标终端验证会话数据的有效性，具体包括：

步骤S302、登录发起终端获取验证中心下发的验证信息；

在访问登录发起终端之后，用户在需要访问目标终端时，登录发起终端可以通过静态密码认证、动态密码认证或其他方式获取验证中心下发的验证信息。在实际应用中，验证中心可以为票据中心，验证中心下发的验证信息可以为票据中心签发的票据；

步骤S304、登录发起终端向验证中心发送申请访问请求；

登录发起终端通过该申请访问请求向验证中心请求访问跨域的目标终端对应的会话数据，该申请访问请求中携带有上述验证信息；

步骤S306、验证中心向登录发起终端返回会话数据，并向目标终端返回会话数据和验证时间信息；

验证中心根据该申请访问请求产生一该登录发起终端登录该目标终端的会话数据和该会话数据的验证时间信息，在本地存储该会话数据和验证时间信息以及两者之间的对应关系，返回给登录发起终端，具体可参见步骤S206。不同的是，验证中心还需将会话数据以及验证时间信息等返回给目标终端。该会话数据可以为数字、字母或其他可见非可见字符组成的不定长度的字符串，验证时间信息是指会话数据的有效时间，比如验证中心根据表1中会话数据的创建时间，以及验证中心设置的会话数据的有效期(可以为5分钟)，判断会话数据的有效性，验证中心将会话数据返回给登录发起终端，将会话数据以及验证时间信息等(如表1所示的存储数据)发送给目标终端；

步骤S308、登录发起终端对验证信息和会话数据进行打包；

登录发起终端可以采用PKCS7或XML等方式对验证信息和会话数据进行打包，之后可以采用对称、非对称、数字信封或其他与目标终端约定的加密算法对打包数据进行保护；

步骤S310、登录发起终端通过HTTP协议向目标终端发送访问请求；

该访问请求中携带有打包后的验证信息和会话数据；

步骤S312、目标终端验证会话数据的有效性；

目标终端根据与登录发起终端约定的加密算法解密打包后的数据，并按照打包的协议(PKCS7或XML协议)对解密后的数据进行解包，并验证会话数据的有效性，比如目标终端在11时3分接收到标识为1234的会话数据，目标终端根据存储的对应关系得知在11时5分之前该会话数据都是有效的。目标终端在验证该会话数据有效之后，将本地存储的该会话数据状态设置为“无效”，这样即使该会话数据被截获，在再次接收到该会话数据时，也可以判定该会话数据无效，抵御了会话数据的截获和重发攻击；

步骤S314、验证有效后，目标终端解析验证信息，获取用户身份数据；

目标终端在验证了该会话数据的有效性之后，由于可以通过XML解包后获得验证信息，则对验证信息可以进一步验证和解析以获取用户数据(用户名、帐号等用户数据)。例如，验证信息可以为票据中心(验证中心)签发的票据，一般为安全起见，验证信息还可以包括用登录用户私钥加密的电子签名，目标终端验证会话数据有效后，用登录用户的公钥验证电子签名是否正确以进一步抵御非票据用户的安全性攻击，并在电子签名验证正确后获得用户数据，现有技术中对于票据的验证方式有多种，在此不举例说明；

步骤S316、单点登录成功，之后，用户就可以直接访问目标终端。

本发明实施例提供的单点登录方法在用户需要访问目标终端时，登录发起终端不但从验证中心获取验证信息，同时还获取会话数据，目标终端在验证了会话数据的有效性之后，解析验证信息获取用户身份数据。其中，会话数据在经过验证之后就被设置为无效，从而有效抵御了传递会话数据过程中的被截获数据、重发攻击的安全风险。本发明提供的单点登录方法可以实现跨域异构平台间的互联互通，具有抗重发攻击、安全性高的特点，并且现有业务系统只需做少量改动即可支持该方法，实施部署方便。

下面结合图4所示的系统架构对本发明提供的单点登录方法进行详细介绍，如图4所示，有3个跨域的业务系统及票据中心，跨域的业务系统为业务系统1、业务系统2、业务系统3。

根据本发明提供的单点登录方法，用户在通过任一业务系统(登录发起终端)的认证并获得票据中心签发的单点登录票据后，就可直接访问其它业务系统(登录目标终端)，并实现业务系统间的漫游。该单点登录方法流程如下：

1、用户登录业务系统1，认证通过获取了票据中心签发的单点登录票据；

2、用户点击业务系统1页面上的相应链接，请求访问业务系统2；

3、业务系统1携带票据到票据中心，申请访问业务系统2的会话数据；

4、票据中心产生针对业务系统2的会话数据，在本地存储后返回给业务系统1；

5、业务系统1对票据和会话数据打包并加密，携带打包加密后的数据访问业务系统2；

6、业务系统2解密和解包接收到的数据，得到会话数据并到票据中心验证系统1会话数据的有效性，验证成功后用户单点登录成功；

7、用户可点击业务系统2页面上的相应链接，访问业务系统3，以与上述步骤1-6类似的过程实现单点登录漫游。

综上所述，本实施例提供的单点登录方法可支持业务系统间的单点登录漫游，提升了用户体验，方便了业务系统的推广。

图5为根据本发明登录发起终端实施例的内部结构示意图，如图5所示，该登录发起终端包括：

获取模块50，用于获取单点登录的验证信息以及跨域的目标终端对应的会话数据；

发送模块51，用于向目标终端发送携带有上述验证信息和会话数据的访问请求。

其中，本实施的获取模块50进一步可以包括：申请访问请求单元52，用于向验证中心发送包含目标终端的申请访问请求；接收单元53，用于接收验证中心下发的对应该目标终端的会话数据。

本实施还可以包括：打包模块，用于与目标终端约定的协议对获取模块中接收单元53中的验证信息和会话数据进行打包；其中约定的协议可以包括PKCS7或XML协议，具体打包过程可参见图2-图3方法实施例的相关文字说明。

本实施还可以包括：加密模块，用于通过与目标终端约定的加密算法对打包后的数据进行加密，约定的加密算法包括对称加密算法或非对称加密算法或数字信封加密算法等，具体加密过程可参见图2-图3方法实施例的相关文字说明，并将加密后的数据发送至发送模块51。

附加的打包模块和加密模块可以保证数据传输的安全性和可靠性。本实施例提供的登录发起终端在用户需要访问目标终端时，登录发起终端不但从验证中心获取验证信息，同时还获取会话数据。用户在需要访问目标终端时，登录发起终端不仅向目标终端发送验证信息，同时还发送会话数据。会话数据能够有效地抵御信息传递过程中的被截获、重发攻击的安全风险，并且只需要对现有登录发起终端做少量改动即可，实施部署方便。

图6为根据本发明登录目标终端实施例的内部结构示意图，如图6所示，该登录目标终端包括：

接收模块60，用于接收登录发起终端发送的包含验证信息和会话数据的访问请求；

验证模块61，用于根据该访问请求验证会话数据的有效性；

解析模块62，用于在会话数据有效时，对验证信息进行解析，获取登录用户数据。

其中，登录目标终端可以通过验证中心来验证会话数据的有效性，验证模块61进一步可以包括：解密子模块，用于通过与登录发起终端约定的加密算法对验证信息和会话数据进行解密；解包子模块，用于通过与登录发起终端约定的协议对解密后的数据进行解包，获得验证信息和会话数据；接口子模块，用于将会话数据发送至验证中心，并接收验证中心返回的该会话数据的验证结果。

其中，登录目标终端还可以通过图3所示方法实施例方式直接验证会话数据(如会话数据以及会话数据是否在验证时间内)的有效性，此时，接收模块60还用于接收验证中心发送的会话数据和验证时间信息，具体数据可参见表1；验证模块61还可以根据验证中心发送的会话数据和验证时间信息来验证登录发起终端发送的会话数据的有效性。在验证了会话数据为有效后，验证模块61将本地的该会话数据设置为无效，这样即使该会话数据被截获，在再次接收到该会话数据时，也可以判定该会话数据无效，有效抵御了会话数据的截获和重发攻击。

本实施例提供的登录目标终端在用户需要访问目标终端时，接收登录发起终端的访问请求，对登录发起终端的会话数据进行验证，在验证了会话数据的有效性后，才接受用户访问。其中，登录目标终端可以通过验证中心来验证会话数据的有效性，也可以直接验证会话数据的有效性，在验证了会话数据的有效性后，将该会话数据设置为无效，这样能够有效地抵御信息传递过程中的被截获、重发攻击的安全风险。本发明提供的登录目标终端可以实现跨域异构平台间的互联互通，具有抗重发攻击、安全性高的特点，只需要对现有登录目标终端做少量改动即可，实施部署方便。

图7为根据本发明验证中心实施例的内部结构示意图，如图7所示，该验证中心包括：

接收模块70，用于接收登录发起终端发送的包含目标终端的申请访问请求；

生成下发模块71，用于根据申请访问请求产生一登录发起终端登录该目标终端的会话数据以及该会话数据的验证时间信息，并将该会话数据发送给登录发起终端。验证时间信息可以是表1中会话数据的创建时间信息，但实际还可以根据创建时间直接将有效期进行存储，如创建时间为11时，则有效期为当日11时5分，只存储11时5分的有效期，而不是如表1中，存储创建时间11时。

其中，接收模块70还可以接收目标终端发送的会话数据，这时验证中心还可以包括：验证模块72，用于验证该会话数据的有效性，并向目标终端返回验证结果。

其中，验证中心在验证了会话数据为有效后，将该会话数据设置为无效，这样即使该会话数据被截获，在再次接收到该会话数据时，也可以判定该会话数据无效，有效抵御了会话数据的截获和重发攻击。

本发明实施例提供的验证中心在用户需要访问目标终端时，产生一登录发起终端登录该目标终端的会话数据以及该会话数据的验证时间信息，并在接收到登录目标终端发送的会话数据后，根据之前所存储的会话数据以及会话数据的验证时间信息对接收到的会话数据进行验证，在验证了会话数据为有效后，将该会话数据设置为无效，可以有效地抵御信息传递过程中的被截获、重发攻击的安全风险。本发明提供的验证中心可以实现跨域异构平台间的互联互通，具有抗重发攻击、安全性高的特点，只需要对现有验证中心做少量改动即可，实施部署方便。

本发明能有多种不同形式的具体实施方式，上面以图1-图7为例结合附图对本发明的技术方案作举例说明，这并不意味着本发明所应用的具体实例只能局限在特定的流程或实施例结构中，本领域普通技术人员应当了解，上文所提供的具体实施方案只是多种优选用法中的一些示例。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。