一种远程下载认证应用证书的方法及系统

本发明涉及智能卡技术领域，尤其涉及一种远程下载认证应用证书的方法及系统。

随着国家加快“新基建”步伐，5G通信网络也将日益融入社会管理的方方面面。系列5G应用场景都对信息安全提出比传统互联网更高的要求，尤其在工业物联网领域，泛在连接场景下的海量多样化终端易被攻击利用，对网络运行安全造成威胁，由于终端能力差异很大，弱终端由于资源、能力受限，终端自身安全防护能力也较弱，容易成为受攻击、受控对象。另一方面，作为移动通信网络基础入口的智能卡也逐渐从移动通信的生产部件发展成为移动通信业务和服务创新的重要载体，成为移动信息化的重要平台。

基于智能卡在移动通信网络中的重要位置和安全属性，业界提出了基于智能卡的身份认证解决方案，将智能卡作为用户端的安全承载模块，存放认证应用以及证书、密钥等敏感数据，终端通过认证应用与认证服务器交互以进行身份认证。

然而，现有的基于智能卡的安全认证解决方案为私有解决方案，通常需要与指定卡商及运营商合作，在制卡时预置指定认证应用以及证书、密钥等敏感数据，建立私有封闭的安全体系，或通过私有接口进行数据传递，只适用于其特定范围内的用户。因此这些解决方案对商业模式、产品种类、受众用户都有诸多限制。

本发明所要解决的技术问题是针对现有技术的上述不足，提供一种远程下载认证应用证书的方法及系统，用以解决现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。

第一方面，本发明实施例提供一种远程下载认证应用证书的方法，应用于嵌入式通用集成电路卡eUICC，所述方法包括：

与签约关系管理平台安全路由网元SM-SR建立安全通道；

使用所述安全通道向所述SM-SR发送认证应用证书申请请求，所述认证应用证书申请请求用于触发所述SM-SR在判断出所述认证应用证书申请请求通过合法性验证后，向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；

接收所述SM-SR通过所述安全通道发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；

从所述认证应用证书响应消息中提取并存储所述认证应用证书。

优选地，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：

生成认证应用公私钥对；

根据预设算法生成第一RC；

用预存的认证平台公钥加密所述认证应用公私钥对中的认证应用公钥；

用eUICC的私钥对所述第一RC和加密的认证应用公钥进行签名，得到第一签名；

所述认证应用证书申请请求携带所述第一RC、加密的认证应用公钥及第一签名。

优选地，所述认证应用证书响应消息还携带第二RC和第二签名，所述第二签名为所述认证平台使用自身私钥对所述第二RC和认证应用证书的签名，

所述从所述认证应用证书响应消息中提取并存储所述认证应用证书，包括：

用所述认证平台公钥对所述第二签名进行验证；

若验证通过，则进一步判断所述第一RC是否与第二RC相同；

若相同，则从所述认证应用证书响应消息中提取并存储所述认证应用证书。

优选地，所述使用所述安全通道向所述SM-SR发送认证应用证书申请请求之前，所述方法还包括：

使用所述安全通道接收所述SM-SR发送的认证应用下载安装请求，所述认证应用下载安装请求携带认证应用安装文件；

根据所述认证应用安装文件将所述认证应用安装在所述eUICC的控制安全域ECASD中。

第二方面，本发明实施例提供一种远程下载认证应用证书的方法，应用于签约关系管理平台安全路由网元SM-SR，所述方法包括：

与eUICC建立安全通道，并使用所述安全通道接收所述eUICC发送的认证应用证书申请请求；

对所述认证应用证书申请请求进行合法性验证；

若验证通过，则向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书；

接收所述认证平台发送的认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书；

通过所述安全通道向eUICC转发所述认证应用证书响应消息，以使所述eUICC从所述认证应用证书响应消息中提取并存储所述认证应用证书。

优选地，向认证平台转发的所述认证应用证书申请请求中携带所述eUICC的eUICC标识EID；

所述向认证平台转发所述认证应用证书申请请求之后，所述方法还包括：

接收认证平台发送的eUICC证书申请请求，所述eUICC证书申请请求携带所述EID；

根据所述EID获取对应的eUICC的eUICC卡信息集EIS信息；

从所述EIS信息中获取所述EID对应的eUICC证书；

向所述认证平台返回所述eUICC的证书。

第三方面，本发明实施例提供一种远程下载认证应用证书的方法，应用于认证平台，所述方法包括：

接收SM-SR在判断出通过安全通道接收到的eUICC发送的认证应用证书申请请求通过合法性验证后转发的所述认证应用证书申请请求；

根据所述认证应用证书申请请求生成认证应用证书；

向所述SM-SR发送认证应用证书响应消息，所述认证应用证书响应消息携带所述认证应用证书。

优选地，所述认证应用证书申请请求中携带所述eUICC的EID；

所述接收SM-SR在判断出通过安全通道接收到的eUICC发送的认证应用证书申请请求通过合法性验证后转发的所述认证应用证书申请请求之后，所述方法还包括：

根据所述EID判断是否具有所述EID对应的所述eUICC的eUICC证书；

若否，则向SM-SR发送eUICC证书申请请求，所述eUICC证书申请请求携带所述EID；

接收所述SM-SR返回的所述eUICC的eUICC证书。

优选地，所述认证应用证书申请请求还携带第一RC、加密的认证应用公钥及第一签名；

所述根据所述认证应用证书申请请求生成认证应用证书，包括：

从所述eUICC证书中提取eUICC公钥；

用所述eUICC公钥对所述第一签名进行验证；

若验证通过，则生成所述认证应用证书；

所述认证应用证书响应消息中还携带与所述第一RC相同的第二RC以及第二签名，所述生成所述认证应用证书之后，所述方法还包括：

用自身的私钥对所述加密的认证应用公钥进行解密，并存储解密后的认证应用公钥；

用自身的私钥对所述第二RC和认证应用证书进行签名，得到第二签名。

第四方面，本发明实施例提供一种远程下载认证应用证书的系统，包括：eUICC、SM-SR和认证平台；

所述eUICC用于执行第一方面所述的远程下载认证应用证书的方法；

所述SM-SR用于执行第二方面所述的远程下载认证应用证书的方法；

所述认证平台用于执行第三方面所述的远程下载认证应用证书的方法。

本发明实施例提供的远程下载认证应用证书的方法及系统，利用eUICC体系的安全架构，通过在eUICC与SM-SR之间建立安全通道，能够将认证应用证书从认证平台中实时安全的下载到eUICC中，从而无需为移动身份认证业务额外配置一套私有的安全体系，通过利用eUICC的安全体系保证传输安全，避免在工厂制卡时预先写入认证应用证书等敏感数据，可在发卡后根据认证应用的安装、业务的实际需求等实时申请和下载认证业务所需的认证应用证书，可支持灵活的商业模式，有利于建设开放的移动身份认证生态环境，解决了现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。

图1：为本发明实施例1的一种远程下载认证应用证书的方法的流程图；

图2：为本发明实施例的一种远程下载认证应用证书的交互示意图；

图3：为本发明实施例2的一种远程下载认证应用证书的方法的流程图；

图4：为本发明实施例3的一种远程下载认证应用证书的方法的流程图。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

为了使本技术领域的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。

实施例1：

本实施例提供一种远程下载认证应用证书的方法，应用于eUICC(EmbeddedUniversal Integrated Circuit Card，嵌入式通用集成电路卡)，如图1所示，该方法包括：

步骤S102：与签约关系管理平台安全路由网元SM-SR(Subscription ManagerSecurity Routing)建立安全通道。

步骤S104：使用所述安全通道向所述SM-SR发送认证应用证书申请请求，所述认证应用证书申请请求用于触发所述SM-SR在判断出所述认证应用证书申请请求通过合法性验证后，向认证平台转发所述认证应用证书申请请求，以使所述认证平台根据所述认证应用证书申请请求生成认证应用证书。

需要说明的是，本发明主要利用eUICC体系架构的安全通道远程下载认证应用证书，该eUICC体系架构主要包括SM-SR、根安全域ISD-R(Issuer Security Domain Root)和控制安全域ECASD(eUICC Controlling Authority Security Domain)，完整的eUICC体系架构还可以包括其他网元，并不以此为限制。

在本实施例中，eUICC可以通过ES5接口与SM-SR建立安全通道，安全通道可以使用SMS(Short Messaging Service，短消息业务)传输协议，或其他支持ES5接口的传输协议。

在本实施例中，eUICC的ECASD中已通过预置或远程下载安装了认证应用，认证应用已通过预置或配置获得了认证平台的公钥PK.AuServer.ECDSA，可以由eUICC中的认证应用主动向认证平台申请认证应用证书。其中，认证平台的证书CERT.AuServer.ECDSA由CI或SM-SR进行签发，认证平台中已预置CI根证书。

可选地，使用安全通道向SM-SR发送认证应用证书申请请求之前，方法还可以包括：

生成认证应用公私钥对；

根据预设算法生成第一RC；

用预存的认证平台公钥加密认证应用公私钥对中的认证应用公钥；

用eUICC的私钥对第一RC和加密的认证应用公钥进行签名，得到第一签名；

认证应用证书申请请求携带第一RC、加密的认证应用公钥及第一签名。

在本实施例中，认证应用首次安装完成、或者根据业务的实际需求等需要实时申请和下载认证业务所需的认证应用证书，则可以由eUICC中的认证应用生成公私钥对，同时，为了进一步保证传输的安全，根据预设算法生成第一随机挑战RC，并用认证平台公钥加密认证应用的公钥，再由认证应用向ECASD发送携带有第一RC和加密的认证应用公钥的认证应用证书申请请求；ECASD在接收到该认证应用证书申请请求后，用eUICC的私钥对第一RC和加密的认证应用公钥进行签名，得到第一签名，并向ISD-R发送携带有第一RC、加密的认证应用公钥及第一签名的认证应用证书申请请求，由ISD-R向SM-SR转发所述认证应用证书申请请求。

步骤S106：接收SM-SR通过安全通道发送的认证应用证书响应消息，认证应用证书响应消息携带认证应用证书。

在本实施例中，SM-SR接收到该认证应用证书申请请求后，对该认证应用证书申请请求进行合法性验证，并在验证通过后，向认证平台转发该认证应用证书申请请求。认证平台接收到该认证应用证书申请请求后生成认证应用证书，并向SM-SR发送携带有该认证应用证书的认证应用证书响应消息。

步骤S108：从认证应用证书响应消息中提取并存储认证应用证书。

可选地，认证应用证书响应消息还携带第二RC和第二签名，第二签名为认证平台使用自身私钥对第二RC和认证应用证书进行签名生成，从认证应用证书响应消息中提取并存储认证应用证书，可以包括：

用认证平台公钥对第二签名进行验证；

若验证通过，则进一步判断第一RC是否与第二RC相同；

若相同，则从认证应用证书响应消息中提取并存储认证应用证书。

在本实施例中，通过比对第一RC和第二RC来校验数据在网络传输过程中是否被篡改，从而进一步保证了数据传输的正确性，在判断第一RC与第二RC相同时，认证应用从认证应用证书响应消息中提取并存储认证应用证书。

可选地，使用安全通道向SM-SR发送认证应用证书申请请求之前，方法还可以包括：

使用安全通道接收SM-SR发送的认证应用下载安装请求，认证应用下载安装请求携带认证应用安装文件；

根据认证应用安装文件将认证应用安装在eUICC的控制安全域ECASD中。

在本实施例中，eUICC在向SM-SR发送认证应用证书申请请求之前，可以先通过SM-SR发送的认证应用下载安装请求将认证应用安装在eUICC的控制安全域ECASD中。具体地，终端首次使用认证业务，或者业务提供商需要对其购买或管理的终端安装认证应用，则可以由业务平台向认证平台发送认证应用申请请求，认证平台接收到该认证应用申请请求后可以对业务平台进行资质审核，并在审核通过后，向SM-SR发送认证应用下载安装请求；从而SM-SR在接收到该认证应用下载安装请求后通过安全通道向eUICC转发所述认证应用下载安装请求，以使eUICC将认证应用远程下载并安装在ECASD中。

本实施例提供的远程下载认证应用证书的方法，利用eUICC体系的安全架构，通过在eUICC与SM-SR之间建立安全通道，能够将认证应用证书从认证平台中实时安全的下载到eUICC中，从而无需为移动身份认证业务额外配置一套私有的安全体系，通过利用eUICC的安全体系保证传输安全，避免在工厂制卡时预先写入认证应用证书等敏感数据，可在发卡后根据认证应用的安装、业务的实际需求等实时申请和下载认证业务所需的认证应用证书，可支持灵活的商业模式，有利于建设开放的移动身份认证生态环境，解决了现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。

具体地，参考图2，示出了本发明实施例提供的一种远程下载认证应用证书的交互示意图，其中，认证平台可以提供认证服务。认证平台与eUICC远程管理平台的SM-SR的新增接口连接，SM-SR是eUICC远程管理平台的一个重要网元。SM-SR通过ES5接口与eUICC的ISD-R连接，eUICC的ECASD中已通过预置或远程下载安装了认证应用。在本实施例中，包括如下步骤：

步骤S01：认证应用生成公私钥对，同时生成RC，用认证平台公钥加密认证应用的公钥。

具体地，认证应用新安装，或者根据设置的认证应用策略需要申请并获取认证应用证书，则认证应用先生成公私钥对：PK.AuApplet.ECDSA和SK.AuApplet.ECDSA。同时，为了进一步保证传输的安全，根据预设算法生成随机挑战RC，具体生成算法不做规定可任意，再用认证平台的公钥PK.AuServer.ECDSA加密认证应用的公钥PK.AuApplet.ECDSA。

步骤S02：认证应用向ECASD发送认证应用证书申请请求。

具体地，认证应用向ECASD发送认证应用证书申请请求，该认证应用证书申请请求携带RC和加密的认证应用公钥PK.AuApplet.ECDSA。

步骤S03：ECASD用eUICC的私钥对RC和加密的认证应用公钥进行签名。

具体地，ECASD用eUICC的私钥：SK.ECASD.ECKA对RC、加密后的PK.AuApplet.ECDSA进行签名。

步骤S04：ECASD向ISD-R发送认证应用证书申请请求；

具体地，该认证应用证书申请请求携带认证平台标识AuServer-id、认证应用标识AuApplet-aid、RC、加密的认证应用公钥及签名。其中，认证平台标识，用于标识该认证应用归属的服务器，即认证平台。

步骤S05：ISD-R向SM-SR发送所述认证应用证书申请请求；

具体地，ISD-R通过安全通道向SM-SR发送认证应用证书申请请求，该认证应用证书申请请求携带认证平台标识AuServer-id、认证应用标识AuApplet-aid、RC、加密的认证应用公钥及签名。

步骤S06：SM-SR对该认证应用证书申请请求进行合法性验证。

具体地，SM-SR对该认证应用证书申请请求进行合法性验证，具体验证方式不做规定可任意，比如，可以通过证书方式进行验证，或进一步通过其他商业约定进行验证。如验证不通过，SM-SR向eUICC发送验证失败通知，流程结束。

步骤S07：验证通过，SM-SR向认证平台发送认证应用证书申请请求。

具体地，SM-SR根据认证平台标识AuServer-id路由认证平台，向该认证应用归属的认证平台发送认证应用证书申请请求，该认证应用证书申请请求携带eUICC标识EID，认证应用标识AuApplet-aid、RC、加密的认证应用公钥及签名。

步骤S08：认证平台根据认证应用证书申请请求判断是否已有该eUICC的证书。

具体地，认证平台收到认证应用证书申请请求，判断是否已有该eUICC的证书：CERT.ECASD.ECKA。如没有则进入下一步。如已有，则直接进入步骤S12。

步骤S09：认证平台向SM-SR发送eUICC证书申请请求，该请求中携带EID；

步骤S10：SM-SR查询EIS信息。

具体地，SM-SR根据EID查询对应eUICC的eUICC卡信息集EIS(eUICC InformationSet)信息。其中，SM-SR事先存储有所有eUICC的EIS，该EIS包括一系列的eUICC的信息，比如，eUICC证书。

步骤S11：SM-SR向认证平台反馈该eUICC的证书：CERT.ECASD.ECKA。

步骤S12：认证平台对签名进行验证，以及在验证通过后生成认证应用的证书，并对RC和认证应用的证书进行签名。

具体地，认证平台从eUICC的证书中提取eUICC公钥PK.ECASD.ECKA，并对认证应用证书申请请求中的签名进行验证。若验签失败，则向eUICC返回失败结果，流程结束。若验签通过，则解密认证应用的公钥PK.AuApplet.ECDSA,用认证平台的私钥：SK.AuServer.ECDSA生成认证应用的证书CERT.AuApplet.ECDSA，对RC和CERT.AuApplet.ECDSA进行签名。

步骤S13：认证平台向SM-SR发送认证应用证书响应消息。

具体地，认证平台向SM-SR发送认证应用证书响应消息，该认证应用证书响应消息中携带EID、认证应用标识AuApplet-aid、认证应用证书CERT.AuApplet.ECDSA、RC、及签名。

步骤S14：SM-SR向ISD-R发送认证应用证书响应消息；

具体地，SM-SR通过ES5接口向对应的ISD-R发送认证应用证书响应消息，该认证应用证书响应消息携带认证平台标识AuServer-id、认证应用标识AuApplet-aid、认证应用证书CERT.AuApplet.ECDSA、RC、及签名。

步骤S15：ISD-R向ECASD转发所述认证应用证书响应消息；

具体地，ISD-R根据认证应用标识AuApplet-aid向ECASD转发认证应用证书响应消息，该认证应用证书响应消息携带认证平台标识AuServer-id、认证应用标识AuApplet-aid、认证应用证书CERT.AuApplet.ECDSA、RC、及签名，该AuApplet-aid用于确认具体是哪个认证应用。

步骤S16：ECASD向对应的认证应用发送认证应用证书下载指令。

具体地，ECASD根据接收到的认证应用证书响应消息，向对应的认证应用发送认证应用证书下载指令，该认证应用证书下载指令包括认证应用证书CERT.AuApplet.ECDSA、RC、及签名。

步骤S17：认证应用对签名进行验证，并比对RC,若验证通过且RC一致则存储该认证应用证书。

具体地，认证应用接收到认证应用证书下载指令后，使用认证平台的公钥PK.AuServer.ECDSA对签名进行验证，并比对RC，即将之前生成的RC与接收到的RC进行比对，若一致，且签名验证通过，则提取认证应用证书下载指令中的认证应用证书并存储该证书，以便于后续认证。后续可以依次通过ECASD、ISD-R、SM-SR向认证平台返回下载结果。如验证失败，eUICC侧也将反馈失败结果。

本发明利用eUICC体系的安全架构，无需为移动身份认证业务额外配置一套私有的安全体系，能够保障认证应用证书的安全传输，还通过双向验证进一步防止中间人对移动终端的攻击，尤其适用于5G时代工业物联网的建设。

本发明中，认证服务提供商与运营商和智能卡生产厂商相互独立，认证平台通过eUICC体系架构将认证应用证书实时下载到eUICC中。通过本发明，无需在工厂制卡时预先写入认证应用证书等敏感数据，可在发卡后根据认证应用的安装、业务的实际需求等实时申请和下载认证业务所需的认证应用证书，可支持灵活的商业模式，有利于建设开放的移动身份认证生态环境。

实施例2：

参考图3，本实施例提供一种远程下载认证应用证书的方法，应用于SM-SR，所述方法包括：

步骤S202：与eUICC建立安全通道，并使用安全通道接收eUICC发送的认证应用证书申请请求；

步骤S204：对认证应用证书申请请求进行合法性验证；

步骤S206：若验证通过，则向认证平台转发认证应用证书申请请求，以使认证平台根据认证应用证书申请请求生成认证应用证书；

步骤S208：接收认证平台发送的认证应用证书响应消息，认证应用证书响应消息携带认证应用证书；

步骤S210：通过安全通道向eUICC转发认证应用证书响应消息，以使eUICC从认证应用证书响应消息中提取并存储认证应用证书。

优选地，向认证平台转发的认证应用证书申请请求中携带eUICC的eUICC标识EID，

向认证平台转发认证应用证书申请请求之后，方法还可以包括：

接收认证平台发送的eUICC证书申请请求，eUICC证书申请请求携带EID；

根据EID获取对应的eUICC的eUICC卡信息集EIS信息；

从EIS信息中获取EID对应的eUICC证书；

向认证平台返回eUICC的证书。

实施例3：

参考图4，本实施例提供一种远程下载认证应用证书的方法，应用于认证平台，所述方法包括：

步骤S302：接收SM-SR在判断出通过安全通道接收到的eUICC发送的认证应用证书申请请求通过合法性验证后转发的认证应用证书申请请求；

步骤S304：根据认证应用证书申请请求生成认证应用证书；

步骤S306：向SM-SR发送认证应用证书响应消息，认证应用证书响应消息携带认证应用证书。

优选地，认证应用证书申请请求中携带eUICC的EID，

接收SM-SR在判断出通过安全通道接收到的eUICC发送的认证应用证书申请请求通过合法性验证后转发的认证应用证书申请请求之后，方法还可以包括：

根据EID判断是否具有EID对应的eUICC的eUICC证书；

若否，则向SM-SR发送eUICC证书申请请求，eUICC证书申请请求携带EID；

接收SM-SR返回的eUICC的eUICC证书。

优选地，认证应用证书申请请求还携带第一RC、加密的认证应用公钥及第一签名，

根据认证应用证书申请请求生成认证应用证书，可以包括：

从eUICC证书中提取eUICC公钥；

用eUICC公钥对第一签名进行验证；

若验证通过，则生成认证应用证书；

认证应用证书响应消息中还携带与第一RC相同的第二RC以及第二签名，生成认证应用证书之后，方法还可以包括：

用自身的私钥对加密的认证应用公钥进行解密，并存储解密后的认证应用公钥；

用自身的私钥对第二RC和认证应用证书进行签名，得到第二签名。

实施例4：

本实施例提供一种远程下载认证应用证书的系统，包括：eUICC、SM-SR和认证平台；

eUICC用于执行实施例1所述的远程下载认证应用证书的方法；

SM-SR用于执行实施例2所述的远程下载认证应用证书的方法；

认证平台用于执行实施例3所述的远程下载认证应用证书的方法。

实施例2至实施例4提供的远程下载认证应用证书的方法及系统，利用eUICC体系的安全架构，通过在eUICC与SM-SR之间建立安全通道，能够将认证应用证书从认证平台中实时安全的下载到eUICC中，从而无需为移动身份认证业务额外配置一套私有的安全体系，通过利用eUICC的安全体系保证传输安全，避免在工厂制卡时预先写入认证应用证书等敏感数据，可在发卡后根据认证应用的安装、业务的实际需求等实时申请和下载认证业务所需的认证应用证书，可支持灵活的商业模式，有利于建设开放的移动身份认证生态环境，解决了现有的基于智能卡的私有解决方案，通常需要与指定卡商及运营商合作，在制卡时需要预置指定认证应用以及证书、密钥等敏感数据，只能适用于特定范围内的用户，无法实时远程下载认证应用证书的问题。

可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。