文件加密移动存储方法、系统及存储介质、电子设备

技术领域

本发明涉及信息与网络安全领域，尤其涉及一种文件加密移动存储方法、系统及存储介质、电子设备。

背景技术

随着电子政务、网上交易、招投标、电力交易等互联网线上交易越来越频繁，系统交易中产生商业数据、用户信息等重要数据安全问题日益突出。

相关技术，普遍采用PKI（公钥基础设施，Public Key Infrastructure）技术和数字证书认证技术，客户端插入USBKEY输入PIN码登录互联网线上交易系统，调用第三方CA（Certification Authority，认证机构）进行用户身份认证，该方式口令容易被破解。同时，互联网线上交易系统填报的重要文件，基本保存在公网下的电脑中，阶段性按照单位要求进行备份，备份期间很难保障重要信息不被泄露。

发明内容

本发明旨在至少在一定程度上解决相关技术中的技术问题之一。为此，本发明的一个目的在于提出一种文件加密移动存储方法，大大提高了互联网线上交易以及交易时产生的目标文件安全性。

本发明的第二个目的在于提出一种计算机可读存储介质。

本发明的第三个目的在于提出一种电子设备。

本发明的第四个目的在于提出一种移动存储系统。

为达到上述目的，本发明第一方面实施例提出一种文件加密移动存储方法，所述方法包括：通过移动存储装置获取用户的第一身份信息，并根据所述第一身份信息对所述用户进行第一次认证；第一次认证成功后，从所述移动存储装置读取数字证书和第一密钥，并利用所述数字证书和所述第一密钥对所述用户进行第二次认证；第二次认证成功后，通过预设业务系统接受填报的业务信息，并根据所述业务信息生成目标文件；对所述目标文件进行加密，并存储至所述移动存储装置。

根据本发明实施例的文件加密移动存储方法，通过移动存储装置对用户进行第一次认证，在第一次认证成功后，放开该用户对应数字证书和第一密钥的使用权限，再基于数字证书和第一密钥对用户进行第二次认证。在第二次认证成功后，对用户通过预设业务系统填报业务信息生成的目标文件进行加密存储至移动存储装置，大大提高了互联网线上交易以及交易时产生的目标文件安全性。

另外，根据本发明上述实施例提出的文件加密移动存储方法还可以具有如下附加的技术特征：

根据本发明的一个实施例，所述第一身份信息包括指纹特征图像，所述根据所述第一身份信息对所述用户进行第一次认证，包括：基于预设指纹对比算法，将所述指纹特征图像与预先注册的指纹特征模板进行比对；若对比成功，则判定第一次认证成功，否则反馈第一认证失败信息。

根据本发明的一个实施例，利用所述数字证书和所述第一密钥对所述用户进行第二次认证，包括：调用所述移动存储装置中的安全芯片生成第一随机数；利用所述第一密钥中的私钥对所述第一随机数进行签名，生成签名值；将所述签名值、所述第一随机数和所述数字证书发送至第三方CA机构，以使所述第三方CA机构利用所述第一密钥中的公钥对所述签名值和所述数字证书进行验签，生成第二随机数，并所述第一随机数与所述第二随机数进行对比；若对比通过，则判定第二次认证成功，否则反馈第二认证失败信息。

根据本发明的一个实施例，所述预设业务系统至少包括电子政务、招投标或电力交易中的一者，所述目标文件包括商业数据和用户信息，所述方法还包括：利用电子签章对所述目标文件进行电子签名，其中，所述电子签章至少包括印章授权、获取短信码、基于坐标和关键字PDF签章、基于坐标和关键字OFD签章、骑缝章、文件验签接口实现企业公章、合同章、财务章中的一者。

根据本发明的一个实施例，对所述目标文件进行加密，并存储至所述移动存储装置，包括：将所述目标文件拖入到所述移动存储装置中的文件存储区；调用所述移动存储装置中安全芯片生成的第二密钥对所述目标文件进行加密，以使所述目标文件以密文的形式存储在所述文件存储区。

根据本发明的一个实施例，所述方法还包括：通过所述移动存储装置获取所述用户的第一身份信息，并根据所述第一身份信息对所述用户进行第一次认证；第一次认证成功后，从所述移动存储装置读取所述数字证书和所述第一密钥，并利用所述数字证书和所述第一密钥对所述用户进行第二次认证；第二次认证成功后，将加密后的目标文件拖出所述移动存储装置中的文件存储区；调用所述移动存储装置中安全芯片生成的所述第二密钥对所述加密后的目标文件进行解密，以使所述目标文件以明文的形式显示。

根据本发明的一个实施例，所述方法还包括：使用所述第一密钥中的私钥对所述第二密钥进行加密，得到密文；将所述密文和所述数字证书通过服务端安全加密发给第三方CA机构；调用所述第三方CA机构根据所述第一密钥中的公钥对所述密文进行解密，得到所述第二密钥；利用所述第三方CA机构将所述第二密钥加密保存到密钥数据库。

根据本发明的一个实施例，所述方法还包括：调用所述第三方CA机构根据密钥标识定位到所述密钥数据库存储的第二密钥，其中，所述密钥标识由所述第一密钥中的私钥确定；利用所述第一密钥中的公钥加密所述第二密钥，并通过服务端安全加密通道接收所述第二密钥中密文的Base64编码；利用所述安全芯片和所述第一密钥中的私钥获取所述第二密钥，将所述第二密钥恢复到密钥备份区。

为达到上述目的，本发明第二方面实施例提出了一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如本发明第一方面实施例提出的文件加密移动存储方法。

为达到上述目的，本发明第三方面实施例提出了一种电子设备，包括存储器、处理器，所述存储器上存储有计算机程序，所述计算机程序被所述处理器执行时，实现如本发明第一方面实施例提出的文件加密移动存储方法。

为达到上述目的，本发明第四方面实施例提出了一种移动存储系统，包括：移动存储装置和如本发明第三方面实施例提出的电子设备。

附图说明

图1是本发明一个实施例的文件加密移动存储方法的流程图；

图2是本发明一个实施例的对用户进行第一次认证的流程图；

图3是本发明一个实施例的对用户进行第二次认证的流程图；

图4是本发明一个实施例的对目标文件进行加密存储的流程图；

图5是本发明一个实施例的预览或获取目标文件的流程图；

图6是本发明一个实施例的目标文件加密和解密的流程图；

图7是本发明一个实施例的对第二密钥进行备份的流程图；

图8是本发明一个实施例的对备份的第二密钥进行恢复的流程图；

图9是本发明一个实施例的电子设备的结构框图；

图10是本发明一个实施例的移动存储系统的示意图。

具体实施方式

下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本发明，而不能理解为对本发明的限制。

下面结合说明书附图1-附图10以及具体的实施方式对本发明实施例的文件加密移动存储方法、系统及存储介质、电子设备进行详细说明。

图1是本发明一个实施例的文件加密移动存储方法的流程图。如图1所示，文件加密移动存储方法可包括：

S101，通过移动存储装置获取用户的第一身份信息，并根据第一身份信息对用户进行第一次认证；

S102，第一次认证成功后，从移动存储装置读取数字证书和第一密钥，并利用数字证书和第一密钥对用户进行第二次认证；

S103，第二次认证成功后，通过预设业务系统接受填报的业务信息，并根据业务信息生成目标文件；

S104，对目标文件进行加密，并存储至移动存储装置。

为提高互联网线上交易中生成的重要文件的安全性，本发明实施例在进行互联网线上交易时，将移动存储装置与进行互联网线上交易的设备端，如电脑，连接，通过移动存储装置获取用户的第一身份信息，根据第一身份信息对用户进行第一次认证。在第一次认证成功后，开放与该用户对应的数字证书和第一密钥的使用权限。设备端的业务系统从移动存储装置读取数字证书和第一密钥，并基于数字证书和第一密钥对用户进行第二次认证，以确定是否允许该用户登录业务系统。在第二次认证成功后，设备端的业务系统允许该用户登录业务系统，通过预设业务系统接受用户填报的业务信息，并根据用户填报的业务信息生成目标文件。为提高生成的目标文件的安全性，防止目标文件泄露，对目标文件进行加密，并将加密的目标文件存储至移动存储装置。

本发明实施例的文件加密移动存储方法，通过移动存储装置对用户进行第一次认证，在第一次认证成功后，放开该用户对应数字证书和第一密钥的使用权限，再基于数字证书和第一密钥对用户进行第二次认证。在第二次认证成功后，对用户通过预设业务系统填报业务信息生成的目标文件进行加密存储至移动存储装置，大大提高了互联网线上交易以及交易时产生的目标文件安全性。

在本发明的一个实施例中，预设业务系统至少包括电子政务、招投标或电力交易中的一者，目标文件包括商业数据和用户信息，文件加密移动存储方法还可包括：

利用电子签章对目标文件进行电子签名，其中，电子签章至少包括印章授权、获取短信码、基于坐标和关键字PDF签章、基于坐标和关键字OFD签章、骑缝章、文件验签接口实现企业公章、合同章、财务章中的一者。

具体地，第一次认证和第二次认证均成功后，用户通过电子政务系统、招投标系统、电力交易系统或其他预设业务系统填报的业务信息，生成包括商业数据和用户信息等数据或信息的目标文件。在生成目标文件后，可调用印章授权、获取短信码、基于坐标和关键字PDF签章、基于坐标和关键字OFD签章、骑缝章、文件验签接口实现企业公章、合同章、财务章等电子签章对目标文件进行电子签名。利用电子签章对目标文件进行电子签名，可以保障本次商务活动的真实性和完整性以及签名人的不可否认性。

需要说明的是，利用电子签章对目标文件进行电子签名，可将电子签名操作转化为与纸质文件盖章操作相同的可视效果。

在本发明的实施例中，对用户进行的第一次认证可为生物信息认证，如对用户的指纹信息进行认证。

作为一个具体地实施例中，如图2所示，第一身份信息包括指纹特征图像，根据第一身份信息对用户进行第一次认证，可包括：

S201，基于预设指纹对比算法，将指纹特征图像与预先注册的指纹特征模板进行比对；

S202，若对比成功，则判定第一次认证成功，否则反馈第一认证失败信息。

可实施的，可通过移动存储装置的传感器模块多次采集用户的指纹特征图像，获取用户的指纹特征图像。基于预设指纹对比算法，将获取到的指纹特征图像与预先注册的指纹特征模板进行比对。若对比成功，则判定第一次认证成功，向设备端开放与指纹特征模板对应的数字证书和密钥文件的使用权限。若对比失败，则判定第一认证失败。当第一认证失败时，反馈第一认证失败信息，如指纹验证失败。

在本发明的一个实施例中，如图3所示，利用数字证书和第一密钥对用户进行第二次认证，包括：

S301，调用移动存储装置中的安全芯片生成第一随机数；

S302，利用第一密钥中的私钥对第一随机数进行签名，生成签名值；

S303，将签名值、第一随机数和数字证书发送至第三方CA机构，以使第三方CA机构利用第一密钥中的公钥对签名值进行验签，生成第二随机数，并将第一随机数与第二随机数进行对比；

S304，若对比通过，则判定第二次认证成功，否则反馈第二认证失败信息。

在本发明的实施例中，在第一次认证后，即在移动存储装置向设备端开放与指纹特征模板对应的数字证书和密钥文件的使用权限后，设备端基于移动存储装置开放的数字证书和第一密钥对用户进行第二次认证。

具体地，登录业务系统，对用户进行第二次认证时，设备端通过业务系统调用移动存储装置中的安全芯片生成第一随机数，并调用移动存储装置中第一密钥的私钥对第一随机数进行签名，生成签名值。设备端通过业务系统将签名值、第一随机数和数字证书发送至第三方CA机构，以使第三方CA机构根据第一密钥中的公钥对签名值和数字证书进行验签，验签通过后则生成第二随机数。第三方CA机构的统一密码服务平台将第一随机数与第二随机数进行对比。若对比通过，则判定第二次认证成功，允许该用户登录业务系统。若对比未通过，则判定第二次认证失败，不允许该用户登录业务系统。在第二次认证失败时，反馈第二认证失败信息，如登录失败。在反馈登录失败时还可进一步提示登陆错误的原因，以提醒用户。

在本发明的一个实施例中，如图4和图6所示，对目标文件进行加密，并存储至移动存储装置，包括：

S401，将目标文件拖入到移动存储装置中的文件存储区；

S402，调用移动存储装置中安全芯片生成的第二密钥对目标文件进行加密，以使目标文件以密文的形式存储在文件存储区。

具体地，对目标文件进行加密存储时，将生成的目标文件拖入到移动存储装置中的文件存储区，调用移动存储装置中安全芯片生成的第二密钥（SM1）对目标文件进行加密，以使目标文件以密文的形式存储在文件存储区。

在本发明的实施例中，第二密钥可为对称密钥。

在本发明的一个实施例中，如图5和图6所示，文件加密移动存储方法还可包括：

S501，通过移动存储装置获取用户的第一身份信息，并根据第一身份信息对用户进行第一次认证；

S502，第一次认证成功后，从移动存储装置读取数字证书和第一密钥，并利用数字证书和第一密钥对用户进行第二次认证；

S503，第二次认证成功后，将加密后的目标文件拖出移动存储装置中的文件存储区；

S504，调用移动存储装置中安全芯片生成的第二密钥对加密后的目标文件进行解密，以使目标文件以明文的形式显示。

在本发明的实施例中，在预览或获取目标文件时，将目标文件从移动存储装置中的文件存储区拖出并进行解密，以预览或获取目标文件。

具体地，将目标文件从移动存储装置中的文件存储区拖出前，需对用户进行第一次认证和第二次认证，其中，第一次认证和第二次认证的认证过程如上所述，在此不再赘述。在第一次认证和第二次认证均成功后，将加密后的目标文件从移动存储装置中的文件存储区拖出，同时调用移动存储装置中安全芯片生成的第二密钥对加密后的目标文件进行解密，以使目标拖出文件存储区，以明文形式显示，或进行在线预览。

在本发明的实施例中，移动存储装置在第一次认证失败，如指纹认证超过三次时，在预设时间内，如一个小时内无法再次进行第一次认证。多次第一次认证，如指纹认证无果后，恢复出厂设置重新设置第一身份信息，如指纹特征图像的采集。

在本发明的实施例中，移动存储装置中第一密钥由移动存储装置根据初始密钥向第三方CA机构或安全芯片申请得到。其中，初始密钥在移动存储装置出厂时由第三方CA机构通过业务系统向移动存储装置灌装得到。

具体地，移动存储装置在根据初始密钥向第三方CA机构申请得到第一密钥时，移动存储装置通过业务系统调用的密钥生成接口向第三方CA机构发送数字签名、序列号和数字证书（其中，数字签名由移动存储装置申请得到数字证书后，利用数字证书对移动存储装置的序列号进行签名得到）。第三方CA机构利用初始密钥中的公钥对数字签名和数字证书进行验证，验证通过后，将序列号分散成第一密钥，并利用数字证书对第一密钥进行加密。加密后的第一密钥通过业务系统返回给移动存储装置。移动存储装置对加密后的第一密钥进行解密，并保存解密后的第一密钥。

具体地，移动存储装置在根据初始密钥向安全芯片申请得到第一密钥时，移动存储装置通过业务系统调用的密钥生成接口向安全芯片发送数字签名、序列号和数字证书。安全芯片利用初始密钥中的公钥对数字签名和数字证书进行验证，验证通过后，将序列号分散成第一密钥，并利用数字证书对第一密钥进行加密。加密后的第一密钥通过业务系统返回给移动存储装置。移动存储装置对加密后的第一密钥进行解密，并保存解密后的第一密钥。

在本发明的实施例中，移动存储装置中的数字证书（SM2、SM3）由移动存储装置向第三方CA机构申请得到。其中，移动存储装置在向第三方CA机构申请数字证书时，利用初始密钥中的私钥签名生成的数字证书申请请求P10文件。P10文件通过业务系统调用的证书申请接口发送到第三方CA机构，第三方CA机构利用初始密钥中的公钥对P10文件中的私钥进行验证，以验证业务系统接入用户的身份。在验证通过后签发数字证书，并通过业务系统将签发的数字证书发送给移动存储装置。

在本发明的实施例中，第一密钥起到保护移动存储装置中安全芯片生成的第二密钥的作用。

在本发明的实施例中，第一密钥可按时间定期进行密钥的更新。

在本发明的实施例中，移动存储装置中的数字证书和第一密钥，以及移动存储装置中安全芯片产生的第二密钥，存储在移动存储装置中密钥存储区。其中，第二密钥以密文的形式存储在移动存储装置中密钥存储区，其中，密文由第一密钥对第二密钥加密得到。

在本发明的一个实施例中，如图7所示，文件加密移动存储方法还可包括：

S601，使用第一密钥中的私钥对第二密钥进行加密，得到密文；

S602，将密文和数字证书通过服务端安全加密发给第三方CA机构；

S603，调用第三方CA机构根据第一密钥中的公钥对密文进行解密，得到第二密钥；

S604，利用第三方CA机构将第二密钥加密保存到密钥数据库。

在本发明的实施例，为防止第二密钥丢失，对第二密钥进行备份。

具体地，对第二密钥进行备份前，需要对用户进行第一次认证和第二次认证，在第一次认证和第二次认证均成功后，设备端通过业务系统调用移动存储装置中第一密钥的私钥对第二密钥进行加密，得到第二密钥的加密密文。业务系统将密文和数字证书通过服务端安全加密发给第三方CA机构，以调用第三方CA机构根据第一密钥中的公钥对密文解密，得到第二密钥。业务系统利用第三方CA机构将第二密钥加密保存到密钥数据库，完成对第二密钥的备份。

在本发明的一个实施例中，如图8所示，文件加密移动存储方法还可包括：

S701，调用第三方CA机构根据密钥标识定位到密钥数据库存储的第二密钥，其中，密钥标识由第一密钥中的私钥确定；

S702，利用第一密钥中的公钥加密第二密钥，并通过服务端安全加密通道接收第二密钥中密文的Base64编码；

S703，利用安全芯片和第一密钥中的私钥获取第二密钥，将第二密钥恢复到密钥备份区。

在本发明的实施例，在第二密钥丢失时，对备份的第二密钥进行恢复。

具体地，对备份的第二密钥进行恢复前，需要对用户进行第一次认证和第二次认证。在第一次认证和第二次认证均成功后，设备端通过业务系统调用第三方CA机构根据第一密钥中的私钥确定密钥标识，并基于密钥标识准确定位到密钥数据库存储的第二密钥。设备端通过业务系统调用第三方CA机构，使第三方CA机构利用第一密钥的公钥对第二密钥进行加密，并通过服务端安全加密通道接收第二密钥中密文的Base64编码，设备端通过业务系统获取到第二密钥中密文的Base64编码后，调用移动存储装置安全芯片和第一密钥的私钥获取第二密钥。设备端通过业务系统获取到第二密钥后，将第二密钥恢复到移动存储装置的密钥备份区，以解密相关加密的目标文件。

本发明实施例的文件加密移动存储方法，结合生物识别技术和PKI技术于一体，使用指纹认证对第二密钥进行保护，此验证方式更便捷，实现系统登陆用户身份识别；采用高性能安全芯片对目标文件对称加解密的方法，保证系统填报的重要文件阶段性存储的安全性；对第二密钥（对称密钥）进行备份与恢复，解决第二密钥管理与分配难的问题。

本发明提供一种计算机可读存储介质。

在该实施例中，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现如上述的文件加密移动存储方法。

本发明提供一种电子设备。

在该实施例中，电子设备可包括存储器、处理器，存储器上存储有计算机程序，计算机程序被处理器执行时，实现如上述的文件加密移动存储方法。

图9是本发明一个实施例的电子设备的结构框图。

如图9所示，电子设备500包括：处理器501和存储器503。其中，处理器501和存储器503相连，如通过总线502相连。可选地，电子设备500还可以包括收发器504。需要说明的是，实际应用中收发器504不限于一个，该电子设备500的结构并不构成对本发明实施例的限定。

处理器501可以是CPU（Central Processing Unit，中央处理器），通用处理器，DSP（Digital Signal Processor，数据信号处理器），ASIC（Application SpecificIntegrated Circuit，专用集成电路），FPGA（Field Programmable Gate Array，现场可编程门阵列）或者其他可编程逻辑器件、晶体管逻辑器件、硬件部件或者其任意组合。其可以实现或执行结合本发明公开内容所描述的各种示例性的逻辑方框、模块和电路。处理器501也可以是实现计算功能的组合，例如包含一个或多个微处理器组合，DSP和微处理器的组合等。

总线502可包括一通路，在上述组件之间传送信息。总线502可以是PCI（Peripheral Component Interconnect，外设部件互连标准）总线或EISA（ExtendedIndustry Standard Architecture，扩展工业标准结构）总线等。总线502可以分为地址总线、数据总线、控制总线等。为便于表示，图9中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

存储器503用于存储与本发明上述实施例的文件加密移动存储方法对应的计算机程序，该计算机程序由处理器501来控制执行。处理器501用于执行存储器503中存储的计算机程序，以实现前述方法实施例所示的内容。图9示出的电子设备500仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

本发明提供一种移动存储系统。

图10是本发明一个实施例的移动存储系统的示意图。如图10所示，移动存储系统1000可包括移动存储装置400和如上述的电子设备500。

本发明实施例的计算机可读存储介质、电子设备和移动存储系统，利用如上文件加密移动存储方法，大大提高了互联网线上交易以及交易时产生的目标文件安全性。

需要说明的是，在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备（如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统）使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例（非穷尽性列表）包括以下：具有一个或多个布线的电连接部（电子装置），便携式计算机盘盒（磁装置），随机存取存储器（RAM），只读存储器（ROM），可擦除可编辑只读存储器（EPROM或闪速存储器），光纤装置，以及便携式光盘只读存储器（CDROM）。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列（PGA），现场可编程门阵列（FPGA）等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

在本发明的描述中，需要理解的是，术语“中心”、“纵向”、“横向”、“长度”、“宽度”、“厚度”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”、“顺时针”、“逆时针”、“轴向”、“径向”、“周向”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中，“多个”的含义是至少两个，例如两个，三个等，除非另有明确具体的限定。

在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系，除非另有明确的限定。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。