用于保护应用中敏感信息的方法、装置、电子设备和介质

摘要

本公开提供了一种用于保护应用中敏感信息的方法，包括：获取所述应用的特征信息；根据所述特征信息生成数字指纹，其中，所述数字指纹包括用于表示所述应用的自身特征的数据；基于所述数字指纹生成加密密钥；以及基于所述加密密钥对所述敏感信息加密，其中，基于所述加密密钥对所述敏感信息加密包括：利用所述加密密钥对所述敏感信息或所述敏感信息的秘密密钥加密。本公开还提供了一种用于保护应用中敏感信息的装置、电子设备和计算机可读存储介质。

说明书

技术领域

本公开涉及计算机技术领域，更具体地，涉及一种用于保护应用中敏感信息的方法、装置、电子设备和介质。

背景技术

应用服务器中通常存储有一些敏感信息，例如访问外部服务的凭证。为了保证凭证的安全，该些凭证通常在被加密后存储在应用服务器中。

在实现本公开构思的过程中，发明人发现相关技术中至少存在如下问题：用于对敏感信息加密的密钥若存储在本地服务器，则该密钥容易被获取，敏感信息容易被泄露；若该密钥存储在远程服务器上，则增加了应用的复杂性。

发明内容

有鉴于此，本公开提供了一种用于保护应用中敏感信息的方法、装置、电子设备和介质。

本公开的一个方面提供了一种用于保护应用中敏感信息的方法，包括：获取所述应用的特征信息；根据所述特征信息生成数字指纹，其中，所述数字指纹包括用于表示所述应用的自身特征的数据；基于所述数字指纹生成加密密钥；以及基于所述加密密钥对所述敏感信息加密，其中，基于所述加密密钥对所述敏感信息加密包括：利用所述加密密钥对所述敏感信息或所述敏感信息的秘密密钥加密。

根据本公开的实施例，应用包括java应用，所述特征信息包括：所述java应用的多个jar文件各自的存储路径；或者所述多个jar文件各自的摘要信息，所述摘要信息是根据摘要算法对所述多个jar文件加密而生成的。

根据本公开的实施例，应用包括java应用，所述特征信息包括：所述java应用的多个jar文件各自的存储路径，所述获取所述应用的特征信息包括：获取所述应用的类加载器；确定所述应用是否被部署于Tomcat容器中；以及在确定所述应用被部署于Tomcat容器中的情况下，从第一种所述类加载器中读取所述多个jar文件的存储路径；或者在确定所述应用未被部署于Tomcat容器中的情况下，从第二种所述类加载器中读取所述多个jar文件的存储路径。

根据本公开的实施例，特征信息包括所述java应用的多个jar文件各自的存储路径，所述根据所述特征信息生成数字指纹包括：将所述多个jar文件的存储路径按照预设规则进行排序，并且将经排序的所述多个jar文件的存储路径合并，以生成数据串；以及利用摘要算法对所述数据串进行加密，以便利用所述数据串生成数字指纹。

根据本公开的实施例，将所述多个jar文件的存储路径按照预设规则进行排序包括：将所述多个jar文件的存储路径按照所述存储路径的字符串的大小进行升序或者降序排列。

根据本公开的实施例，所述基于所述加密密钥对所述敏感信息的秘密密钥加密包括：生成随机数，所述随机数作为所述敏感信息的秘密密钥；利用所述加密密钥对所述秘密密钥进行加密，以生成所述秘密密钥的密文；基于所述秘密密钥对所述敏感信息进行加密；以及存储所述秘密密钥的密文，以便于对所述敏感信息进行解密。

本公开的另一个方面提供了一种用于保护应用中敏感信息的装置，包括：获取模块，用于获取所述应用的特征信息；第一生成模块，用于根据所述特征信息生成数字指纹，其中，所述数字指纹包括用于表示所述应用的自身特征的数据；第二生成模块，用于基于所述数字指纹生成加密密钥；以及加密模块，用于基于所述加密密钥对所述敏感信息加密，其中，基于所述加密密钥对所述敏感信息加密包括：利用所述加密密钥对所述敏感信息或所述敏感信息的秘密密钥加密。

根据本公开的实施例，加密模块包括：第一生成子模块，用于生成随机数，所述随机数作为所述敏感信息的秘密密钥；第二生成子模块，用于利用所述加密密钥对所述秘密密钥进行加密，以生成所述秘密密钥的密文；加密子模块，用于基于所述秘密密钥对所述敏感信息进行加密；以及存储子模块，用于存储所述秘密密钥的密文，以便于对所述敏感信息进行解密。

本公开的另一方面提供了一种电子设备，包括一个或多个处理器；存储装置，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器执行上述任意一顶的方法。

本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现如上所述的方法。

根据本公开的实施例，可以至少部分地解决应用中敏感信息容易泄露的问题，并因此可以实现提高应用中敏感信息的安全性的技术效果。

附图说明

通过以下参照附图对本公开实施例的描述，本公开的上述以及其他目的、特征和优点将更为清楚，在附图中：

图1示意性示出了根据本公开的实施例的用于保护应用中敏感信息的方法的流程图；

图2示意性示出了根据本公开实施例的获取应用的特征信息的方法流程图；

图3示意性示出了根据本公开实施例的根据特征信息生成数字指纹的方法流程图；

图4示意性示出了根据本公开实施例的基于加密密钥对敏感信息的秘密密钥加密的方法流程图；

图5示意性示出了根据本公开实施例的用于保护应用中敏感信息的装置的示意图；以及

图6示意性示出了根据本公开实施例的电子设备的方框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。

本公开的实施例提供了一种用于保护应用中敏感信息的方法，包括：获取应用的特征信息；根据特征信息生成数字指纹，其中，数字指纹包括用于表示应用的自身特征的数据；基于数字指纹生成加密密钥；以及基于加密密钥对所述敏感信息加密。其中，基于加密密钥对敏感信息加密包括：利用加密密钥对敏感信息或敏感信息的秘密密钥加密。

根据本公开的实施例，在应用服务器中，通常需要在配置文件中存放访问外部服务的凭证，例如可以是数据库的账户密码。为了保证凭证等敏感信息的安全，例如可以对敏感信息加密，并且将加密后的密文存储在数据库中。而用于对敏感信息加密的密钥的保护成为保护敏感信息安全的关键。由于密钥本身还需要能够被应用服务用以解密凭证密文(如数据库密码)，因此密钥本身也不能使用例如Secure Hash等不可逆算法。如果对密钥再次使用对称加密保护，那么对密钥加密的密钥又成为保护的对象。这样就形成了一个保护的死循环。在实际的实践中，很多应用服务只是简单的将密钥明文存储在本地文件，并没有对密钥加以保护。如果将密钥存储在远程服务器，会增加应用服务的复杂性，同时产生的外部依赖也降低了应用服务的可用性。因此，在相关技术中无法对应用中的敏感信息进行有效地保护。

图1示意性示出了根据本公开的实施例的用于保护应用中敏感信息的方法的流程图。

如图1所示，该方法包括在操作S101～S104。

在操作S101，获取应用的特征信息。

根据本公开的实施例，应用的特征信息可以是该应用自身所具有的特征，根据该些特征可以唯一地确定出该应用。

根据本公开的实施例，应用例如可以是java应用，特征信息例如可以是java应用的多个jar文件各自的存储路径，或者是多个jar文件各自的摘要信息，摘要信息是根据摘要算法对多个jar文件加密而生成的。

需要理解的是，应用也可以是其他的应用，而不限于是java应用。应用的特征信息可以是该应用所具有的任何特征，而该特征可以是其他应用所不具有的。

在操作S102，根据特征信息生成数字指纹，其中，数字指纹包括用于表示应用的自身特征的数据。

数字指纹例如可以是利用应用自身的特征生成二进制数据，仅和应用自身相关，不同的应用会产生不同的数字指纹。

在操作S103，基于数字指纹生成加密密钥。

根据本公开的实施例，可以将数字指纹直接作为加密密钥。或者，可以是按照预定规则对数字指纹进行变换后的结果作为加密密钥，例如对数字指纹进行加密后的加密结果作为加密密钥。

在操作S104，基于加密密钥对敏感信息加密。其中，基于加密密钥对敏感信息加密包括：利用加密密钥的对敏感信息或敏感信息的秘密密钥。

根据本公开的一个实施例，利用加密密钥直接对敏感信息进行加密。根据本公开的另一个实施例，例如加密密钥对敏感信息的秘密密钥进行加密。其中，秘密密钥是用于对敏感信息进行加密的密钥。

具体地，例如在数字指纹直接作为加密密钥的实施例中，可以将数字指纹作为对敏感信息进行加密的密钥，利用对称加密技术对敏感信息加密。或者，可以将数字指纹作为对秘密密钥进行加密的密钥，利用对称加密技术对秘密密钥进行加密。

根据本公开的实施例，该方法通过根据应用自身的特征生成数字指纹，根据数字指纹生成的加密密钥对敏感信息进行加密，而数字指纹生成的加密密钥不需要落地存储。当需要解密时，服务器可以根据应用自身的特征确定出加密密钥，从而保证了加密密钥不被泄露，提高了敏感信息的安全性。其中，落地存储可以是指将加密密钥存储于存储单元中

图2示意性示出了根据本公开实施例的获取应用的特征信息的方法流程图。

如图2所示，该方法可以包括操作S111～S131。在该方法中，特征信息包括java应用的多个jar文件的存储路径。

在操作S111，获取应用的类加载器。

例如针对java应用的系统类加载器可以通过ClassLoader.getSystemClassLoader()来获取，又例如针对线程类加载器，可以通过Thread.currentThread().getContextClassLoader()来获取。

根据本公开的实施例，例如可以设计一个SDK，通过该SDK获取应用的类加载器。

在操作S121，确定应用是否被部署于Tomcat容器(一种java web服务器)中。

在操作S131，在确定应用被部署于Tomcat容器中的情况下，从第一种类加载器中读取多个jar文件的存储路径；或者在确定应用未被部署于Tomcat容器中的情况下，从第二种类加载器中读取多个jar文件的存储路径。

根据本公开的实施例，若该应用被部署于Tomcat容器，则该应用的多个jar文件可以是被线程类加载器加载的，从而可以从线程类家族器中读取多个jar文件的存储路径。

若该应用未被部署于Tomcat容器中，该应用的多个jar文件可以是被系统类加载器加载的，从而可以从系统类加载器中读取多个jar文件的存储路径。

根据本公开的实施例，SystemClassLoader和ContextClassLoader实际上都是URLClassloader。例如可以使用以下代码获取它们所加载的Jar的URL列表URL[]urls＝((URLClassLoader)ctxl).getURLs()。

根据本公开的实施例，该方法可以针对不同类型的应用，从不同的类加载器中获取到多个jar文件的存储路径。因此，该方法可以适用于被部署于Tomcat容器中的应用和未被部署于Tomcat容器中的应用，扩大了该方法的适用范围。

根据本公开的实施例，特征信息包括java应用的多个jar文件各自的存储路径，根据特征信息生成数字指纹包括：将多个jar文件的存储路径按照预设规则进行排序，并且将经排序的多个jar文件的存储路径合并，以生成数据串；以及利用摘要算法对数据串进行加密，以便利用数据串生成数字指纹。

图3示意性示出了根据本公开实施例的根据特征信息生成数字指纹的方法流程图。

如图3所示，该方法可以包括操作S112～S122。

在操作S112，将多个jar文件的存储路径按照预设规则进行排序，并且将经排序的多个jar文件的存储路径合并，以生成数据串。

根据本公开的实施例，例如可以将多个jar文件的存储路径按照存储路径的字符串的大小进行升序或者降序排列。具体地，例如包括3个jar文件，其存储路径分别为aac、vuk以及kde。将aac、vuk以及kde进行字符串比较，即从字符串最左边第一个字符开始比较，大者为大，小者为小，若相等则继续比较后面的字符。按照字符串比较的大小进行升序排列可以是aac、kde、vuk。将该3个存储路径合并生成的数据串可以是aackdevuk。

需要理解的是，aac、kde、vuk仅仅是为了说明本实施例对进行存储路径的示意性表示，其并不代表实际的存储路径格式。

在操作S122，利用摘要算法对数据串进行加密，以便利用数据串生成数字指纹。

例如可以利用SHA256(Secure Hash Algorithm 2)算法将aackdevuk规范化为16个字节的数字指纹。

图4示意性示出了根据本公开实施例的基于加密密钥对敏感信息的秘密密钥加密的方法流程图。

如图4所示，该方法可以包括操作S114～S144。

在操作S114，生成随机数，所述随机数作为所述敏感信息的秘密密钥。

根据本公开的实施例，随机数例如可以是一个随机的二进制数。该二进制数可以作为敏感信息的秘密密钥。

在操作S124，利用加密密钥对秘密密钥进行加密，以生成秘密密钥的密文。例如可以将该加密密钥作为对秘密密钥进行加密的密钥，利用对称密钥加密算法对秘密密钥进行加密。

在操作S134，基于秘密密钥对所述敏感信息进行加密。例如可以将二进制数作为敏感信息的秘密密钥，利用对称密钥加密算法对敏感信息进行加密。

在操作S144，存储秘密密钥的密文，以便于对所述敏感信息进行解密。例如可以将经过加密后的秘密密钥的密文存储在本地。

根据本公开的实施例，该方法将随机数作为敏感信息的秘密密钥，利用该秘密密钥对敏感信息进行加密而生成敏感信息的密文，而数字指纹生成的加密密钥用于对该秘密密钥进行加密，从而生成该秘密密钥的密文，并且将该秘密密钥的密文存储下来，以便于解密。该方法进一步提高了敏感信息的安全性。

图5示意性示出了根据本公开实施例的用于保护应用中敏感信息的装置500的示意图。

如图5所示，该装置500可以包括获取模块510、第一生成模块520、第二生成模块530和加密模块540。

获取模块510，例如可以执行上文参考图1描述的操作S101，用于获取所述应用的特征信息。

第一生成模块520，例如可以执行上文参考图1描述的操作S102，用于根据所述特征信息生成数字指纹，其中，所述数字指纹包括用于表示所述应用的自身特征的数据。

第二生成模块530，例如可以执行上文参考图1描述的操作S103，用于基于所述数字指纹生成加密密钥。

加密模块540，例如可以执行上文参考图1描述的操作S104，用于基于所述加密密钥对所述敏感信息加密。其中，基于所述加密密钥对所述敏感信息加密包括：利用所述加密密钥对所述敏感信息或所述敏感信息的秘密密钥加密。

根据本公开的实施例，应用包括java应用，所述特征信息包括：所述java应用的多个jar文件各自的存储路径；或者所述多个jar文件各自的摘要信息，所述摘要信息是根据摘要算法对所述多个jar文件加密而生成的。

根据本公开的实施例，特征信息包括所述java应用的多个jar文件的存储路径，所述获取所述应用的特征信息包括：获取所述应用的类加载器；确定所述应用是否被部署于Tomcat容器中；以及在确定所述应用被部署于Tomcat容器中的情况下，从第一所述类加载器中读取所述多个jar文件的存储路径；或者在确定所述应用未被部署于Tomcat容器中的情况下，从第二所述类加载器中读取所述多个jar文件的存储路径。

根据本公开的实施例，特征信息包括所述java应用的多个jar文件各自的存储路径，所述根据所述特征信息生成数字指纹包括：将所述多个jar文件的存储路径按照预设规则进行排序，并且将经排序的所述多个jar文件的存储路径合并，以生成数据串；以及利用摘要算法对所述数据串进行加密，以便利用所述数据串生成数字指纹。

根据本公开的实施例，将所述多个jar文件的存储路径按照预设规则进行排序包括：将所述多个jar文件的存储路径按照所述存储路径的字符串的大小进行升序或者降序排列。

根据本公开的实施例，加密模块包括：第一生成子模块用于生成随机数，所述随机数作为所述敏感信息的秘密密钥；第二生成子模块用于利用所述加密密钥对所述秘密密钥进行加密，以生成所述秘密密钥的密文；加密子模块用于基于所述秘密密钥对所述敏感信息进行加密；以及存储子模块用于存储所述秘密密钥的密文，以便于对所述敏感信息进行解密。

根据本公开的实施例的模块、子模块、单元、子单元中的任意多个、或其中任意多个的至少部分功能可以在一个模块中实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以被拆分成多个模块来实现。根据本公开实施例的模块、子模块、单元、子单元中的任意一个或多个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式的硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，根据本公开实施例的模块、子模块、单元、子单元中的一个或多个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

例如，获取模块510、第一生成模块520、第二生成模块530和加密模块540中的任意多个可以合并在一个模块中实现，或者其中的任意一个模块可以被拆分成多个模块。或者，这些模块中的一个或多个模块的至少部分功能可以与其他模块的至少部分功能相结合，并在一个模块中实现。根据本公开的实施例，获取模块510、第一生成模块520、第二生成模块530和加密模块540中的至少一个可以至少被部分地实现为硬件电路，例如现场可编程门阵列(FPGA)、可编程逻辑阵列(PLA)、片上系统、基板上的系统、封装上的系统、专用集成电路(ASIC)，或可以通过对电路进行集成或封装的任何其他的合理方式等硬件或固件来实现，或以软件、硬件以及固件三种实现方式中任意一种或以其中任意几种的适当组合来实现。或者，获取模块510、第一生成模块520、第二生成模块530和加密模块540中的至少一个可以至少被部分地实现为计算机程序模块，当该计算机程序模块被运行时，可以执行相应的功能。

图6示意性示出了根据本公开实施例的电子设备的方框图。图6示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图6所示，根据本公开实施例的电子设备600包括处理器601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。处理器601例如可以包括通用微处理器(例如CPU)、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器601还可以包括用于缓存用途的板载存储器。处理器601可以包括用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

在RAM 603中，存储有电子设备600操作所需的各种程序和数据。处理器601、ROM602以及RAM 603通过总线604彼此相连。处理器601通过执行ROM 602和/或RAM 603中的程序来执行根据本公开实施例的方法流程的各种操作。需要注意，所述程序也可以存储在除ROM 602和RAM 603以外的一个或多个存储器中。处理器601也可以通过执行存储在所述一个或多个存储器中的程序来执行根据本公开实施例的方法流程的各种操作。

根据本公开的实施例，电子设备600还可以包括输入/输出(I/O)接口605，输入/输出(I/O)接口605也连接至总线604。电子设备600还可以包括连接至I/O接口605的以下部件中的一项或多项：包括键盘、鼠标等的输入部分606；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

根据本公开的实施例，根据本公开实施例的方法流程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被处理器601执行时，执行本公开实施例的系统中限定的上述功能。根据本公开的实施例，上文描述的系统、设备、装置、模块、单元等可以通过计算机程序模块来实现。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

根据本公开的实施例，计算机可读存储介质可以是非易失性的计算机可读存储介质，例如可以包括但不限于：便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。例如，根据本公开的实施例，计算机可读存储介质可以包括上文描述的ROM 602和/或RAM 603和/或ROM 602和RAM 603以外的一个或多个存储器。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合，即使这样的组合或结合没有明确记载于本公开中。特别地，在不脱离本公开精神和教导的情况下，本公开的各个实施例和/或权利要求中记载的特征可以进行多种组合和/或结合。所有这些组合和/或结合均落入本公开的范围。

以上对本公开的实施例进行了描述。但是，这些实施例仅仅是为了说明的目的，而并非为了限制本公开的范围。尽管在以上分别描述了各实施例，但是这并不意味着各个实施例中的措施不能有利地结合使用。本公开的范围由所附权利要求及其等同物限定。不脱离本公开的范围，本领域技术人员可以做出多种替代和修改，这些替代和修改都应落在本公开的范围之内。