经由AAA策略数据库将非准许移动接入(UMA)用户列入黑名单 |
|||||||
| 申请号 | CN200880007791.3 | 申请日 | 2008-03-06 | 公开(公告)号 | CN101632282B | 公开(公告)日 | 2013-08-07 |
| 申请人 | 思科技术公司; | 发明人 | 凯文·沙茨凯莫尔; 阿南德·K·奥斯瓦尔; 凯西·友恩; 马克·格雷森; | ||||
| 摘要 | 在一个 实施例 中,当连接到网络(110)时,安全性问题可能被检测并与设备(104)相关联。设备可以因安全性问题而被置于黑名单上。黑名单是用来在设备尝试连接时拒绝针对设备的服务的列表。因此,使设备从网络断开连接。设备的标识信息被添加到认证 服务器 (102)处的黑名单中。如果设备尝试重新连接到网络,则 请求 在认证服务器处被接收。认证服务器随后可以检查黑名单并且如果标识信息在黑名单上则拒绝接入网络的请求。该拒绝是在不将请求发送给HLR(108)的情况下确定的,因此,HLR被保护,原因在于来自可能被认为有安全性问题的设备的请求未被发送到HLR。 | ||||||
| 权利要求 | 1.一种用于网络安全性的方法,包括: |
||||||
| 说明书全文 | 经由AAA策略数据库将非准许移动接入(UMA)用户列入黑名单 技术领域[0001] 特定实施例一般涉及网络和安全。 背景技术[0002] 移动节点通过连接到接入设备可以接入数据网络。建立因特网协议(IP)内的安全隧道来与移动节点通信。在建立安全隧道之前,通过认证、授权和计费(AAA)域将移动节点认证到归属位置寄存器(HLR)中。HLR是包括被授权使用网络的每个移动节点和订户的细节的中央数据库。 [0003] 当从移动节点检测到恶意攻击时,接入设备可以终止与该移动节点的会话。在此情况下,安全隧道可能被断开。这使得移动节点从网络断开连接。然而,移动节点可以立即尝试重新连接到网络。这是可能发生的,因为移动节点正在恶意行动或者可能因病毒而是无意的。移动节点可能通过AAA域被HLR再次认证。允许潜在的恶意移动节点重新连接到网络是不希望的。这将HLR暴露给了作为恶意设备/应用的潜在的诸如病毒或蠕虫之类的拒绝服务(DoS)攻击。HLR是网络中最贵重的节点之一。一个原因在于HLR维护订户的个人信息。允许请求联系HLR将HLR暴露给潜在DoS攻击。而且,处理向HLR的请求是昂贵的,因此,让恶意请求联系HLR可能给服务提供商招致不必要的费用。发明内容 [0004] 根据本发明的一个方面,公开了一种方法,包括:在认证服务器处从接入设备接收移动节点的接入网络的请求;将所述请求从所述认证服务器发送给归属位置寄存器HLR,其中所述归属位置寄存器是中央数据库,所述中央数据库具有所述移动节点和与移动节点相关的用户的细节;从所述归属位置寄存器接收应答,所述应答指示所述移动节点是否通过经由所述接入设备接入所述网络的认证,其中,如果所述移动节点通过认证,则所述移动节点被准予接入所述网络;利用元件来检测所述移动节点在所述网络中的恶意行为;基于对所述移动节点在所述网络中的恶意行为的检测,利用所述元件来识别所述移动节点的安全性问题;基于所述元件对所述移动节点的安全性问题的识别来终止所述移动节点对所述网络的接入;因与所述移动节点相关联的安全性问题,在所述移动节点对所述网络的接入被终止后,向所述认证服务器处的黑名单添加所述移动节点的标识信息,从而将所述移动节点置于所述黑名单中,所述黑名单位于所述认证服务器处并且与所述中央数据库分开;以及在被列入所述黑名单的移动节点接入所述网络的后续请求被路由到所述HLR之前在所述认证服务器处拒绝所述后续请求。 附图说明 [0005] 图1示出了用于提供黑名单的系统的一个示例。 [0006] 图2示出了用于认证移动节点的方法的一个示例。 [0007] 图3示出了用于处理安全性问题的方法的一个示例。 [0008] 图4示出了用于处理后续请求的方法的一个示例。 [0009] 图5是UMA网络的一个示例。 [0010] 图6示出了可以用来提供黑名单的另一网络的另一示例。 [0011] 图7示出了接入网关和AAA服务器的更详细示例。 具体实施方式[0012] 概述 [0013] 在一个实施例中,认证服务器从设备接收接入网络的请求。认证服务器将请求发送到归属位置寄存器(HLR)。HLR可以辅助对设备的认证。认证服务器从HLR接收指示设备是否通过了接入网络的认证的应答,并且如果设备已通过认证,则准予设备接入网络。例如,可以在该设备与接入设备之间建立安全隧道。 [0014] 当连接到网络时,安全性问题可以被检测并与该设备相关联。例如,可能判定设备行为不端。在一些情况中,设备可能由于安全性问题被置于黑名单中。黑名单是用来在设备尝试连接时针对该设备拒绝服务的列表。可选地,将设备被拒绝服务的时间段包括在黑名单中。因此,将设备从网络断开连接;例如,认证服务器可以触发安全隧道的断开。设备的标识信息被添加到认证服务器处的黑名单中。如果设备尝试重新连接到网络,则请求在认证服务器处被接收。然后,认证服务器可以检查黑名单,并且如果设备的标识信息在黑名单上则拒绝接入网络的请求。这种拒绝是在不用向HLR发送请求的情况下确定的。因此,HLR被保护,这是因为来自可能被认为有安全性问题的设备的请求不被发送到HLR。此外,发送到HLR的请求可能较昂贵,因此,通过不发送已被列入黑名单的设备的请求来节省费用。 [0015] 示例实施例 [0016] 图1示出了用于提供黑名单的系统的一个示例。如图所示,系统包括AAA服务器102、移动节点104、接入设备106、归属位置寄存器(HLR)108以及网络110。 [0017] 移动节点104可以是希望通过接入设备106连接到网络110的任何设备。例如,TM移动节点104可以是蜂窝电话、膝上型计算机、个人数字助理(PDA)、黑莓 设备、便携式电子邮件设备、口袋式PC、个人计算机等。虽然描述了移动节点,将明白,也可以使用其它节点,例如固定的或不移动的节点(例如,VoIP电话、机顶盒、个人计算机等)。 [0018] 可以将移动节点104与标识信息相关联。例如,移动节点104可以包括到用户识别模块(SIM)卡的接口,SIM卡包括对国际移动用户识别码(IMSI)的存储,这允许将移动节点104与IMSI相关联。IMSI是与网络移动电话用户相关联的唯一编号,并且存储在移动节点104的用户识别模块(SIM)卡中。IMSI可由移动节点104发送到网络,并且用来从HLR108获取移动节点/用户的细节。虽然描述了IMSI,然而将明白,也可以想到移动节点104的其它标识符。而且,将明白,移动节点104可以没有SIM卡,而可以使用用于标识的其它方法。 [0019] 接入设备106是控制对网络110的接入的任何设备。例如,接入设备106可以是UMA/GAN中的安全性网关、3GPP互连-WLAN(I-WLAN)中定义的分组数据网关(PDG)、3GPP2中定义的分组数据互连功能(PDIF)等。 [0020] 接入设备106被配置来建立与移动节点104的安全连接。在一个实施例中,安全连接可以是诸如IPSec隧道之类的安全隧道。IPSec是IP安全性协议,用来通过认证和/或加密数据流中的每个IP分组来确保IP通信的安全。在隧道模式中,整个IP分组被加密。虽然描述了IPSec隧道,然而,将明白,也可以想到通信的其它安全方法,包括完整性保护和/或加密保护的组合。 [0021] AAA服务器102提供认证、授权和/或计费服务。虽然描述了AAA服务器102,然而,将明白,也可以使用提供认证、授权和/或计费的其它认证设备。AAA服务器102可以使用不同的协议进行通信,例如远程认证拨入用户服务(RADIUS)、DIAMETER等。 [0022] HLR 108是中央数据库,其包括了移动节点104以及与移动节点104相关联的用户或订户的细节。例如,HLR 108存储移动节点104的唯一标识符、例如由订户签发的SIM卡的细节。还可以将IMSI与移动节点104的其它细节相关联,其它细节例如是电话号码、移动节点104的位置、帐户偏好等。虽然描述了HLR 108,然而经明白,还可以想到存储移动节点104的信息的任何设备。 [0023] 网络110可以包括移动节点104希望接入的任何网络设备。例如,网络110可以包括非准许移动接入(UMA)网络、通过IP的语音(VoIP)网络等的元件。下面将更详细地描述网络110的元件。 [0024] 当移动节点104希望访问网络110时,其将IPSec启动请求发送给接入设备106。启动请求可以包括移动节点104的标识信息。或者,接入设备106可以请求移动节点104提供其身份信息。接入设备106随后可以将AAA请求发送到AAA服务器102。AAA服务器102随后对移动节点104认证。例如,请求可以被发送给HLR 108。请求可以包括诸如IMSI之类的移动节点104的信息。HLR 108可以辅助对移动节点104进行认证。例如,HLR 108可以存储用来对移动节点104是否可以接入网络110进行认证的三元组信息(triplet information)。在另一实施例中,归属订户服务器(HSS)可以用于基于五重的认证。 [0025] 如果移动节点104通过认证,则AAA服务器102将指示移动节点104已通过认证的应答发送回接入设备106。接入设备106随后可以建立与移动节点104的安全隧道。 [0026] 系统中的元件随后可以检测移动节点104的安全性问题。例如,指示用户/移动节点104行为不端的任何活动都可以被接入设备106、诸如拒绝服务(DoS)检测设备之类的网络110中的设备等检测。在一个示例中,移动节点104可能因蠕虫、病毒或其它恶意行为而是行为不端的。与移动节点104的会话随后可以被结束。例如,安全隧道可以被断开。在另一实施例中,使隧道保持活动,但是使流量“进入黑洞”,即被路由到不存在的目的地。 通过这样做,也减轻了再次建立IPSec隧道的处理。在此实例中,AAA服务器102将不维护黑名单,而是通知接入设备106使该特定订户的流量进入黑洞。在一个实施例中,网络110中的设备向AAA服务器102指示特定设备行为不端。AAA服务器102随后可操作来将消息发送给接入设备106以触发接入设备106与移动节点104之间的隧道的终止。 [0027] 移动节点104被断开连接后可以再次尝试重新连接到网络110。因此,可以再次利用AAA服务器102和HLR 108对移动节点104进行认证。然而,可以将移动节点104的标识信息添加到在AAA服务器102处维护的黑名单中。例如,移动节点104的诸如三元组信息、IMSI等之类的标识信息可以被添加到黑名单中。在另一实施例中,时间值被归属到黑名单条目。 [0028] 一旦标识信息被添加到黑名单并且接收到另一连接,可以拒绝接入。例如,移动节点104可以将请求发送给接入设备106。接入设备106随后可以将具有移动节点104的标识信息的AAA请求发送给AAA服务器102。例如,IMSI可以包括在AAA请求中。AAA服务器102随后可以检查黑名单以查看移动节点104的IMSI是否包括在黑名单上。如果IMSI包括在黑名单上,则AAA服务器102可以拒绝对网络110的接入。这是在未联系HLR 108的情况下完成的。因此,可以保护HLR 108不接受从可能被认为有安全性问题的移动节点发送给它的任何请求。此外,发送到HLR 108的任何请求都可能是昂贵的,因此,来自被认为有安全性问题的移动节点的请求不被发送。这可以节省服务提供商的成本。 [0029] 在另一实施例中,黑名单经由RADIUS直接被发送到具有将该条目存储一段时间的定时器的接入设备106。在此实施例中,还使AAA服务器102摆脱了行为不端设备的请求的负担。而是,接入设备106对黑名单进行管理。 [0030] 图2示出了用于认证移动节点104的方法的一个示例。在步骤202中,AAA服务器102从移动节点104接收接入网络110的请求。请求可以用于建立与接入设备106的连接。 例如,可能需要可以发送语音或数据的安全连接。在一个示例中,通用分组无线业务(GPRS)数据可以通过安全连接来发送。接入设备106随后可以将请求发送给AAA服务器102。 [0031] 在步骤204,AAA服务器102向HLR 108发送对移动节点进行认证的请求。请求可以包括移动节点104的IMSI。HLR 108随后可以利用ISMI对移动节点104认证。认证可以是基于三元组的。 [0032] 步骤206从HLR 108接收指示移动节点104是否已通过认证的应答。 [0033] 在步骤208,AAA服务器102将指示移动节点104是否已通过认证的应答发送给接入网关106。因此,如果移动节点104已通过认证,则接入网关106可以建立与与移动节点104的安全连接。建立安全连接之后,移动节点104可以通过接入设备106与网络110通信。例如,语音、数据等可以通过安全连接来发送。 [0034] 在某个时刻,安全问题可以被确定并与移动节点104相关联。例如,网络110中的设备、接入设备106等可以确定移动节点104存在安全问题。这可能是由于蠕虫、病毒或其它恶意行为被检测到并且与移动节点104相关联。 [0035] 图3示出了用于处理安全性问题的方法的示例。步骤302接收对安全性问题的指示。安全性问题可由系统中的任何元件来检测。 [0036] 步骤304判断安全性问题是否成为了列入黑名单的根据。例如,在进一步的分析之后,检测到的恶意行为可能被认为或可能不被认为是恶意的。行为可能被认为有安全性问题但可能不是蠕虫或病毒结果,从而被忽略。此外,当出现一定数目的可疑安全性问题之后,可能发生将移动节点列入黑名单。例如,移动节点104在安全性问题被第一次检测到时可能不被加入,但是在安全性问题被多次检测到时则可能被加入。 [0037] 如果安全性问题称为列入黑名单的根据,则在步骤306中,移动节点104的诸如三元组信息、IMSI等之类的标识信息被加入黑名单。例如,通知被发送给AAA服务器102,并且AAA服务器102将IMSI加入黑名单以在标识信息列表中提醒该移动节点被列入了黑名单(例如,设置标志)。移动节点104的其它信息也可以被加入黑名单条目。 [0038] 移动节点104可以在某段时间内被列入黑名单。例如,在某段时间之后,可以将移动节点104从黑名单中移除。此外,在某种确认动作之后,例如在用户给服务提供商打电话要求将其信息从黑名单移除之后,移动节点104可以被移除。 [0039] 如果安全性问题未成为列入黑名单的根据,则在步骤308,可以将该事件记入日志。这可以用来判断将来的安全性问题是否成为列入黑名单的根据。 [0040] 当确定了安全性问题之后,与移动节点104的安全连接可能被断开。在某个时刻,移动节点104可以发送连接到网络110的另一请求。图4示出了用于处理后续请求的方法的一个示例。虽然描述了后续请求,然而,请求不必是针对网络的重新连接请求。例如,一旦在单个网络上被检测到,移动节点104就可能在多个网络上被列入黑名单,并且每当请求时,可以被拒绝接入。 [0041] 在步骤402,AAA服务器102接收接入请求。该请求可以是从接入设备106接收的。 [0042] 在步骤404,AAA服务器102判断移动节点104的标识信息是否在黑名单上。如果标识信息不在黑名单上,则在步骤406中,请求可以被发送给HLR 108。在此情况下,如上面关于图2所述的那样来认证移动节点104。 [0043] 如果IMSI在黑名单上,则在步骤408,AAA服务器102确定接入请求应当被拒绝并且将应答发送给接入设备106。在此情况下,针对接入的请求不被发送到HLR 108。因此,如果移动节点104被列入黑名单,则AAA服务器102不联系HLR 108。 [0044] 特定实施例可以与不同网络一起使用,例如非准许移动接入(UMA)网络或者通过无线局域网(LAN)的语音、包括线缆或基于无线的VoIP的任何VoIP网络。图5是UMA网络的一个示例,UMA网络也可以称为通用接入网络(GAN)。UMA网络允许利用同一双模移动节点104进行无缝漫游并且在局域网和广域网之间切换。局域网络可以是基于诸如蓝牙或802.11(WiFi)之类的私有非准许频谱技术的。广域网可以是GSM/GPRS或通用移动电信系统(UMTS)。 [0045] 如图所示,UMA网络包括UMA网络控制器(UNC/GANC)502、移动交换中心(MSC)504以及GPRS网关支持节点(GGSN)506。将明白,还会想出UMA网络的其它元件。 [0046] UNC/GANC 502被配置为转化来自移动节点104的信号以使得好像是来自基站的。因此,当移动节点104从GSN移动到WiFi网络时,对于核心网络来说它就好像是简单地来自不同基站。MSC 504为蜂窝网络提供语音切换功能。 [0047] GGSN 506用作诸如因特网和私有网络之类的数据网络之间的网关。例如,从移动节点104发送和接收的数据可以从GGSN 506被发送到其它网络。 [0048] 移动节点104可以向安全性网关106发送请求。安全性网关106随后可以发送包括来自移动节点104的SIM凭证的RADIUS认证消息。例如,SIM凭证可以包括移动节点104的IMSI。在一个实施例中,RADIUS消息可以是可扩展认证协议(EAP)-SIM消息。虽然描述了RADIUS,然而,将明白,也可以使用其它协议。 [0049] AAA服务器102随后向HLR 108发送SIM身份请求。SIM身份请求中的信息用来检索用户的数据。例如,存储在HLR 108中的数据可以包括用户所请求的或者给予用户的GSM服务、允许用户接入分组服务的GPRS设置、订户的当前位置等。HLR 108随后辅助对移动节点104进行认证。应答被发送回AAA服务器102,AAA服务器102随后可以生成RADIUS应答消息并将其发送给安全性网关106。随后可以建立与移动节点104的安全隧道。 [0050] UMA网络500中的任何设备都可以检测安全性问题。当检测到那种问题时,可以发送给AAA服务器102。AAA服务器102可以将来自SIM凭证的信息添加到黑名单。在被列入黑名单之后,移动节点104可以向安全性网关106发送请求。安全性网关106随后可以发送包括来自移动节点104的SIM凭证的RADIUS认证消息。AAA服务器102检查以查看来自SIM凭证的信息是否在黑名单上,并且如果在,则拒绝接入请求。AAA服务器102可以发送支持EAP通知的EAP应答。Notification Type(通知类型)可选地用来向移动节点104显示消息。例如,该消息可以通知移动节点104的用户认证失败。 [0051] 图6示出了可以用来提供黑名单的另一网络的另一示例。例如,图6中的网络110示出了通过无线LAN的语音。移动节点104可以与接入设备106建立IPSec安全连接。接入设备106可以是分组数据网关或者分组数据询问功能(PDIF)。可以在UMTS/GPRS网络中找到分组数据网关,而可以在码分多址(CDMA)网络中找到PDIF。 [0052] 接入设备106可以与网关GPRS支持节点(GGSN)或归属代理(HA)602建立安全隧道。GGSN/HA 602可以联系AAA服务器102以对移动节点104进行认证。这种通信可以或可以不经过网络110。AAA服务器102随后可以联系HLR 108,并且移动节点104如上所述那样被认证。 [0053] 与移动节点104建立安全隧道之后,图6中的设备可以检测安全性问题。例如,会话边界控制器(SBC)604或代理呼叫会话控制功能(P-CSCF)606可以检测安全性问题。P-CSCF 606可以是IP多媒体子系统(IMS)的一部分。虽然未示出IMS的其它组件,然而,将明白,它们可以被包括并且可以检测安全性问题。 [0054] SBC 604可以接收会话发起协议(SIP)消息。这些是用来建立移动节点104的承载流的控制消息。SBC 604可以询问SIP消息以判断是否产生了任何安全性问题。这在承载流被建立之前检测安全性问题。这可以保护网络不受严重损害,因为不与潜在恶意移动节点104建立连接。 [0055] 而且,P-CSCF 606是SIP代理,并且是针对IMS网络的联系的第一点。因此,P-CSCF606可以分析SIP消息以判定任何安全性攻击。如果SBC 604、P-CSCF 606或任何其它设备检测到安全性问题,则其可以被发送给AAA服务器102以列入黑名单。 [0056] 图7示出了接入网关106和AAA服务器102的更详细示例。连接建立器702从移动节点104接收接入请求。这可能在移动节点104被列入黑名单之后。 [0057] 接入辅助器704被配置为将用于接入的AAA请求发送到AAA服务器102。接入辅助器706接收请求并且可以将其转发给黑名单确定器708。 [0058] 黑名单确定器708判断移动节点104的标识信息是否在黑名单710被找到。如果是,则请求可能被拒绝。接入辅助器706可以将应答发送回接入网关106。连接建立器702随后可以对移动节点104拒绝接入。 [0059] 因此,特定实施例解除从HLR 108到AAA服务器102的处理的负担。这也保护了AAA服务器102与HLR 108之间的链路。因此,可以保护HLR 108不受恶意攻击。此外,通过停止AAA服务器102处的请求来保护网络。另外,发送到HLR 108的请求被认为是昂贵的,因此,避免了可能有安全性问题的移动节点104的不必要请求。 [0060] 虽然针对其特定实施例描述了说明书,然而,这些特定实施例仅仅是说明性的,而非限制性的。虽然描述了AAA服务器,然而将明白,也可以使用其它设备来实施黑名单,并且术语AAA服务器可以包括这些设备。此外,移动节点104可以是可与网络通信的任何设备。 [0061] 包括C、C++、Java、汇编语言等在内的任何合适的编程语言都可以用来实现特定实施例的例程。可以采用诸如过程性的或面向对象的之类的不同编程技术。例程可以在单个处理设备或多个处理器上执行。虽然步骤、操作或计算可能以具体顺序被呈现,然而,在不同特定实施例中这种顺序可以改变。在一些特定实施例中,在本说明书中顺序地示出的多个步骤可以被同时执行。这里所描述的操作的顺序可以被中断、暂停或以其它方式被诸如操作系统、内核等的另外的处理控制。例程可以在操作系统环境中或者作为占用了系统处理的全部或主要部分的单独例程来操作。可以用硬件、软件或它们的组合来执行功能。除非以其他方式说明,否则,还可以全部或部分地手动执行功能。 [0062] 在这里的描述中,提供了诸如组件和/或方法的示例之类的多个具体细节,以提供对特定实施例的透彻理解。然而,相关领域的普通技术人员将认识到,可以不用一个或多个具体细节或者利用其它装置、系统、构件、方法、组件、材料、部分等来实施特定实施例。在其它实例中,未特别示出或详细描述公知的结构、材料或操作,以避免模糊特定实施例的各方面。 [0063] 针对特定实施例的“计算机可读介质”可以是可包含、存储、传输、传播或传送供指令执行系统、装置、系统或设备使用或结合指令执行系统、装置、系统来使用的程序的任何介质。仅作为示例而非限制性地,计算机可读介质可以是电的、磁的、光的、电磁的、红外的或半导体系统、装置、系统、设备、传播介质或计算机存储器。 [0064] 特定实施例可以在软件或硬件或它们的组合中以控制逻辑的形式来实现。控制逻辑在被一个或多个处理器执行时,可操作来执行特定实施例中所描述的内容。 [0065] “处理器”或“处理”包括处理数据、信号或其它信息的任何人、硬件和/或软件系统、机构或组件。处理器可以包括具有通用中央处理单元的系统、多个处理单元、用于实现功能的专用电路或其它系统。处理不必限于地理位置,或者不必具有时间限制。例如,处理器可以以“实时”、“离线”方式、以“批处理模式”等来执行其功能。处理的各部分可以由不同(或相同)处理系统在不同时间和不同位置被执行。 [0066] 在本说明书中对“一个实施例”、“实施例”、“具体实施例”或“特定实施例”的引用指结合特定实施例所描述的特定特征、结构或特性包括在至少一个实施例中而不必在所有特定实施例中。因此,在本说明书中的各个地方分别出现的短语“在特定实施例中”、“在实施例中”或“在具体实施例中”不必指同一实施例。此外,可以以任何合适的方式将任何具体实施例的特定特征、结构或特性与一个或多个其它特定实施例相组合。将明白,根据这里的教导,这里描述和图示的特定实施例的其它变体和修改是可以的,并且被当作精神和范围的一部分。 [0067] 可以利用经编程的通用数字计算机、利用专用集成电路、可编程逻辑器件、现场可编程门阵列来实现特定实施例,可以使用光、化学、生物、量子或纳米工程系统、组件和机构。一般地,特定实施例的功能可以通过本领域公知的任何手段来实现。可以使用分布式的、联网系统、组件和/或电路。数据的传输或传送可以是有线的、无线的或通过任何其它手段。 [0068] 还将理解,在附图/示图中所示的一个或多个元件还可以以更分立或集成的方式来实现,或者被移除或者甚至在某些情况中被呈现为不可操作的,这根据特定应用是有用的。实现可以存储在机器可读介质中以准许计算机执行上述任何方法的程序或代码也在本精神和范围之内。 [0069] 另外,除非以其他方式特别提出,否则附图/示图中的信号箭头应当仅被认为是示例性的而非限制性的。此外,除非以其他方式指示,否则这里所使用的术语“或”一般希望指“和/或”。组件或步骤的组合也被认为已提出,其中,当呈现分离或组合的能力是不清楚时,术语是被预见。 [0070] 如在这里的说明书以及后面的整个权利要求书中所使用的,“一”、“一个”和“所述”包括复数引用,除非上下文以其他方式清楚地指示其他情况。此外,如在这里的说明书以及后面的整个权利要求书中所使用的,“在...中”的含义包括“在...中”和“在...上”,除非上下文以其他方式清楚地指示其他情况。 [0071] 包括摘要所描述的内容在内的对所示特定实施例的前面的描述不希望是排他的或者将本发明限制到这里所公开的精确形式。如相关领域的普通技术人员将认识并理解到的,虽然仅仅为了说明的目的而在这里描述了本发明的具体的特定实施例和示例,然而精神和范围内的各种等同修改也是可能的。如所指示的,这些修改可以是根据所示特定实施例的前面描述来对本发明作出的,并且将包括在精神和范围之内。 [0072] 因此,虽然在这里参考本发明的特定实施例描述了本发明,然而,修改、各种改变和替代的自由被计划在前面的公开中,并且将会理解,在一些实例中,在不脱离所阐述的范围和精神的情况下,将采用特定实施例的一些特征而不相应地使用其它特征。因此,可以作出许多修改以使特定情形或材料适于实质的范围和精神。希望本发明不限于在下面的权利要求书中使用的特定术语和/或作为被构想来执行本发明的最佳实施方式来公开的特定实施例,而是本发明将包括落在所附权利要求的范围内的任何以及所有特定实施例和等同物。 |
||||||
