跨去中心化身份和中心化身份的认证的制作方法

跨去中心化身份和中心化身份的认证


背景技术：

1.目前使用的证明身份的文档或记录大多由中心化组织发布，诸如政府、学校、雇主或其他服务中心或监管组织。这些组织通常在中心化身份管理系统中维护每个成员的身份。中心化身份管理系统是中心化信息系统，其被用于组织来管理已发布的身份、他们的认证、授权、角色和特权。中心化身份管理系统已经被认为是安全的，因为它们通常使用专业维护的硬件和软件。通常地，身份发布组织设置用于向该组织登记人员的条款和要求。最后，当一方需要验证另一方的身份时，验证方通常需要经过中心化身份管理系统来获取验证和/或认证另一方身份的信息。
2.去中心化标识符(did)是一种新类型的标识符，其独立于任何中心化登记处、身份提供方或证书机构。分布式账本技术(诸如区块链)提供了使用完全去中心化标识符的机会。分布式账本技术使用全局分布式账本以可验证的方式来记录双方或多方之间的交易。一旦交易被记录，在没有改变账本的所有后续部分时，账本的该部分中的数据就不能被追溯地改变，这提供了相当安全的平台。在更广泛的意义上，did可以进一步包括did方法，该did方法指定客户端可以如何登记、替换、旋转和/或恢复密钥。did方法还可以设置密钥的过期日期。
3.本文要求保护的主题不限于解决任何缺点或仅在诸如如上所述的环境中操作的实施例。相反，提供该背景只是为了说明一个示例性的技术领域，可以在其中实践本文描述的一些实施例。


技术实现要素：

4.这里描述的至少一些实施例涉及准许去中心化身份代表中心化身份向中心化身份系统进行认证，和/或准许中心化身份代表去中心化身份向去中心化身份系统进行认证。因此，本文描述的原理准许跨去中心化域和中心化域的认证。
5.在去中心化身份作为中心化身份进行认证的情况下，中心化身份系统接收并且登记去中心化身份作为中心化身份进行认证的委托。此后，当中心化身份系统从去中心化身份接收用以访问由中心化身份拥有的资源的通信时，中心化身份系统访问登记，以确定去中心化身份被授权作为中心化身份进行认证。响应于该确定，中心化身份系统与去中心化身份交互，以将去中心化身份认证为中心化身份。一旦认证成功，去中心化身份就被授权访问由中心化身份拥有的资源。由于传统身份系统是中心化身份系统，这允许去中心化身份与传统身份系统一起被使用，而无需等待身份系统被修改成为去中心化身份系统。
6.在中心化身份作为去中心化身份进行认证的情况下，去中心化身份系统接收并且登记中心化身份作为去中心化身份进行认证的委托。此后，当去中心化身份系统从中心化身份接收用以访问由去中心化身份拥有的资源的通信时，去中心化身份系统访问登记，以确定该中心化身份被授权作为去中心化身份进行认证。响应于该确定，去中心化身份系统与中心化身份交互，以将中心化身份认证为去中心化身份。一旦认证成功，中心化身份就被授权访问由去中心化身份拥有的资源。因此，用户可以具有中心化身份和去中心化身份两
者，并且准许这种身份与中心化身份系统和去中心化身份系统两者一起工作。
7.本发明内容被提供以便以简化的形式介绍概念的选择，该概念的选择将在以下具体实施方式中进一步被描述。本发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在用于帮助确定所要求保护的主题的范围。
附图说明
8.为了描述可以获取本发明的上述和其他优点和特征的方式，将通过参考本发明的具体实施例来呈现对上面简要描述的本发明的更具体的描述，具体实施例在附图中被图示。应当理解，这些附图仅描绘了本发明的典型实施例并且因此不被认为限制其范围，将通过使用附图以附加的特性和细节来描述和解释本发明，其中：
9.图1图示了根据本文描述的第一实施例的方法的流程图，该方法用于准许去中心化身份代表中心化身份向中心化身份系统进行认证；
10.图2图示了中心化身份环境，其中去中心化身份代表中心化身份向中心化身份系统进行认证，并且是图1的方法可以在其中操作的环境的示例；
11.图3图示了根据本文描述的第二实施例的方法的流程图，该方法用于准许中心化身份代表去中心化身份向去中心化身份系统进行认证；
12.图4图示了去中心化身份环境，其中中心化身份代表去中心化身份向去中心化身份系统进行认证，并且是图3的方法可以在其中操作的环境的示例；以及
13.图5图示了其中可以采用本文描述的原理的示例计算机系统。
具体实施方式
14.这里描述的至少一些实施例涉及准许去中心化身份代表中心化身份向中心化身份系统进行认证，和/或准许中心化身份代表去中心化身份向去中心化身份系统进行认证。因此，本文描述的原理准许跨去中心化域和中心化域的认证。身份系统接收并且登记针对第一身份作为第二身份进行认证的委托，其中身份中的一个身份是去中心化身份，一个身份是中心化身份。此后，当身份系统从第一身份接收用以访问由第二身份拥有的资源的通信时，身份系统访问登记以确定第一身份被授权作为第二身份进行认证，将第一身份认证为第二身份，并且授权第一身份访问由第二身份拥有的资源。
15.在去中心化身份作为中心化身份进行认证的情况下，中心化身份系统接收并且登记去中心化身份作为中心化身份进行认证的委托。此后，当中心化身份系统从去中心化身份接收用以访问由中心化身份拥有的资源的通信时，中心化身份系统访问登记，来确定去中心化身份被授权作为中心化身份进行认证。响应于该确定，中心化身份系统与去中心化身份交互以将去中心化身份认证为中心化身份。一旦认证成功，去中心化身份就被授权访问由中心化身份拥有的资源。由于传统身份系统是中心化身份系统，这允许去中心化身份与传统身份系统一起被使用，而无需等待身份系统被修改成为去中心化身份系统。
16.在中心化身份作为去中心化身份进行认证的情况下，去中心化身份系统接收并且登记中心化身份作为去中心化身份进行认证的委托。此后，当去中心化身份系统从中心化身份接收用以访问由去中心化身份拥有的资源的通信时，去中心化身份系统访问登记，以确定该中心化身份被授权作为去中心化身份进行认证。响应于该确定，去中心化身份系统
与中心化身份交互，以将中心化身份认证为去中心化身份。一旦认证成功，中心化身份就被授权访问由去中心化身份拥有的资源。因此，用户可以具有中心化身份和去中心化身份两者，并且准许这种身份与中心化身份系统和去中心化身份系统两者一起工作。
17.常规的身份管理系统是基于中心化机构的，诸如公司名录服务、证书机构或域名登记处。从加密信任验证的角度来看，这些中心化机构中的每个机构充当其自己的信任根。中心化身份是依赖于这种中心化机构而存在的身份。因此，这种中心化机构是如本文所使用的术语“中心化身份系统”。在图中，中心化身份系统用在图右上角向下指向的三角形表示。
18.相比之下，在去中心化身份系统中，去中心化身份被用于标识实体。与中心化标识符相反，去中心化身份受其标识的实体的控制，而独立于任何中心化机构。在对该去中心化身份的加密信任的验证中，实体可以自由使用任何共享的信任根。全局分布式账本(或提供类似功能的去中心化p2p网络)提供了一种管理信任根的手段，既没有中心化机构，也没有单点故障。这种分布式账本或网络是本文使用的术语“去中心化身份系统”的示例。更广泛地，去中心化身份系统是管理由去中心化身份拥有的资源的任何分布式系统。在图中，去中心化身份系统用在图右上角的圆圈表示。
19.图1图示了根据本文描述的第一实施例的方法100的流程图，该方法用于准许去中心化身份代表中心化身份向中心化身份系统进行认证。图2图示了中心化身份环境200，其中去中心化身份201代表中心化身份202向中心化身份系统210进行认证。在图中，去中心化身份由向下指向的三角形表示，并且中心化身份由圆圈表示。
20.图1的方法100可以在图1的中心化身份环境200内被执行。因此，现在将频繁地相互参考来描述图1和图2。图2图示了三个主要组件，去中心化身份201、中心化身份202和中心化身份系统210。在图1中，由中心化身份202(或更具体地，由中心化身份202操作的计算系统)执行的动作在图1的左栏中的标题“中心化身份”下被列出。由去中心化身份201(或更具体地，由去中心化身份201操作的计算系统)执行的动作在图1的中间栏中的标题“去中心化身份”下被列出。由中心化身份系统210执行的动作在图1的右栏中的标题“中心化身份系统”下被列出。
21.中心化身份系统210将中心化身份202识别为拥有由中心化身份系统210管理的资源的身份中的一个身份。例如，中心化身份系统210识别中心化身份202拥有资源212。因此，如果中心化身份202要请求对资源212的某些访问，则中心化身份系统210将一旦认证中心化身份202，就授权该访问。然而，在该示例中，中心化身份202现在希望允许去中心化身份201代表中心化身份202进行认证，使得去中心化身份201能够像中心化身份202那样访问资源212。
22.因此，参考图1，中心化身份202向中心化身份系统210发送委托，用于去中心化身份201作为中心化身份进行认证(动作101)。在图2中这由箭头221表示。因此，中心化身份系统210接收委托(动作111)。在一个实施例中，使用中心化身份协议进行这种通信。这由具有由间断三角形组成的线的箭头221表示。
23.中心化身份协议是由中心化身份系统用于认证的目的而识别的通信协议。作为示例，开放id连接是中心化身份协议。例如，委托可以使用中心化身份协议的扩展。在开放id连接协议的示例中，这种扩展可以由中心化身份执行，建立自发布声明或范围，其中中心化
身份做出可执行声明：去中心化身份可以代表中心化身份进行认证。
24.然后，中心化身份系统210登记该委托，使得以后在执行该委托的时间到来时，该委托可以被参考(动作112)。在此后每次从去中心化身份201接收用以访问由中心化身份202拥有的资源的通信时，可以执行方法100的其余部分。例如，假设此后去中心化身份201向中心化身份系统210发送通信，请求访问由中心化身份202拥有的资源212(动作121)。然后，中心化身份系统210将接收该请求通信(动作113)。该通信在图2中由箭头222表示，并且还可以根据中心化身份协议，中心化身份协议通过由间断三角形组成的箭头222的线表示。
25.响应于该通信(动作113)，中心化身份系统210访问登记以确定去中心化身份201被授权作为中心化身份202进行认证(动作114)。否则，中心化身份系统210可以简单地拒绝该请求，而不给予去中心化身份201进行认证的机会。
26.响应于确定去中心化身份201已经被给予代表中心化身份202进行认证的准许(动作114)，用于允许去中心化身份201尝试认证的目的，中心化身份系统210与去中心化身份201交互(动作115和动作122)。这在图2中由双向箭头223表示。该交互也可以根据中心化身份协议，如通过具有由间断三角形组成的线的箭头223表示的。作为示例，如果中心化身份系统210期望针对中心化身份202的用户名和密码，则去中心化身份201可以代替提供该相同的用户名和密码。如果中心化身份系统210期望针对中心化身份202的特定证书，则去中心化身份201可以代替提供该相同的证书。
27.完成方法100，响应于成功的认证(动作115)，中心化身份系统210授权去中心化身份201访问由中心化身份202拥有的资源212(动作116)。因此，如果用户拥有去中心化身份201和中心化身份202两者，则用户可以使用其去中心化身份201来访问由该中心化身份系统或任何其他中心化身份系统管理的所有资源。因此，本文描述的原理可以被用于允许去中心化身份访问由传统中心化身份管理系统管理的资源。
28.在第二实施例中，中心化身份和去中心化身份的角色被颠倒，并且现在向去中心化身份系统进行认证。具体地，去中心化身份将权力委托给中心化身份，以代表去中心化身份向去中心化身份系统进行认证。
29.图3图示了根据本文描述的第二实施例的方法300的流程图，用于准许中心化身份代表去中心化身份向去中心化身份系统进行认证。图4图示了去中心化身份环境400，其中中心化身份402代表去中心化身份401向去中心化身份系统410进行认证。图3和图4分别类似于图1和2，除了去中心化身份和中心化身份的角色被颠倒。此外，如图4中所示，多个身份与去中心化身份系统410交互，而不是与中心化身份系统210交互。因此，在图3中，图3的右栏中存在标题“去中心化身份系统”。身份401和身份402可以但不必是与图2的相应身份201和身份202相同的身份。
30.去中心化身份系统410将去中心化身份401识别为拥有由去中心化身份系统410管理的资源的身份中的一个身份。例如，去中心化身份系统410识别去中心化身份401拥有资源411。因此，如果去中心化身份401要请求对资源411的某些访问，则去中心化身份系统410将一旦认证去中心化身份401，就授权该访问。然而，在该示例中，去中心化身份401现在希望允许中心化身份402代表去中心化身份401进行认证，使得中心化身份402能够像去中心化身份401一样访问资源411。
31.因此，参考图3，去中心化身份401向去中心化身份系统410发送委托，用于中心化
身份402作为去中心化身份进行认证(动作301)。这在图4中由箭头421表示。因此，去中心化身份系统410接收委托(动作311)。在一个实施例中，使用去中心化身份协议进行该通信。这通过具有由间断圆圈组成的线的箭头421表示。
32.去中心化身份协议是由去中心化身份系统出于认证的目的而识别的通信协议。作为示例，去中心化标识符(did)是一种去中心化身份协议，它定义了用于去中心化标识符的数据模型和句法。例如，委托可以使用去中心化身份协议的扩展。在did协议的示例中，这种扩展可以由去中心化身份执行，从而在did文档内建立声明，该did文档做出可执行声明：中心化身份可以代表去中心化身份进行认证。
33.然后，去中心化身份系统410登记该委托，使得以后在执行委托的时间到来时，该委托可以被参考(动作312)。此后，可以在每次从中心化身份402接收用以访问由去中心化身份401拥有的资源的通信时，执行方法300的其余部分。例如，假设此后中心化身份402向去中心化身份系统410发送通信，请求访问由去中心化身份401拥有的资源411(动作321)。去中心化身份系统410然后将接收该请求通信(动作313)。该通信在图2中由箭头422表示，并且也可以根据去中心化身份协议，去中心化身份协议通过由间断圆圈组成的箭头422的线表示。
34.响应于该通信(动作313)，去中心化身份系统410访问登记以确定中心化身份402被授权作为去中心化身份401进行认证(动作314)。否则，去中心化身份系统410可以简单地拒绝该请求，而不给中心化身份402进行认证的机会。
35.响应于确定中心化身份402已经被给予代表去中心化身份401进行认证的准许(动作314)，用于允许中心化身份402尝试认证的目的，去中心化身份系统410与中心化身份402交互(动作315和动作322)。这在图4中由双向箭头423表示。该交互也可以根据去中心化身份协议，如具有由间断圆圈组成的线的箭头423表示的。作为示例，如果去中心化身份系统410期望由去中心化身份401的特定私钥签名的证书，则中心化身份402可以代替提供由去中心化身份401的私钥签名的该相同证书。
36.完成方法300，响应于成功的认证(动作315)，去中心化身份系统410授权中心化身份402访问由去中心化身份401拥有的资源411(动作316)。因此，如果用户拥有去中心化身份401和中心化身份402两者，则用户可以使用其身份中的任一身份来向任何身份系统进行认证，无论是否是中心化的。
37.中心化身份系统210可以是计算系统。此外，去中心化身份系统410可以是分布式计算系统的集合。此外，去中心化身份201和去中心化身份401，以及中心化身份202和中心化身份402可以在计算系统的帮助下操作。这种计算系统可以如下文针对图5的计算系统500描述的那样构造。此外，对于本文描述的方法100和方法300，这种方法可以完全或部分地由执行结构化的计算机可执行指令的计算系统执行，使得当由计算系统的一个或多个处理器执行时，使计算系统操作。这种计算机可执行指令可以被包括在计算机程序产品内。因此，现在将关于图5描述计算系统500。
38.计算系统现在越来越多地采取各种各样的形式。计算系统可以是例如手持式设备、电器、膝上型计算机、台式计算机、大型机、分布式计算系统、数据中心、或甚至是常规上不被认为是计算系统的设备，诸如可穿戴设备(例如，眼镜、手表、手环等)。在本描述和权利要求书中，将术语“计算系统”广义地定义为包括任何设备或系统(或其组合)，设备或系统
包括至少一个物理和有形的处理器，并且物理和有形的存储器能够具有其上可以由处理器执行的计算机可执行指令。存储器可以采取任何形式，并且可以取决于计算系统的性质和形式。计算系统可以跨网络环境分布，并且可以包括多个组成计算系统。
39.如图5中所示，在其最基本的配置中，计算系统500通常包括至少一个硬件处理单元502和存储器504。存储器504可以是物理系统存储器，其可以是易失性的、非易失性的或两者的一些组合。本文所使用的术语“存储器”可以指诸如物理存储介质的非易失性大容量存储装置。如果计算系统是分布式的，则处理、存储器和/或存储能力也可以是分布式的。
40.在计算系统500上具有经常被称为“可执行组件”的多个结构。例如，计算系统500的存储器504被图示为包括可执行组件506。术语“可执行组件”是计算领域中的普通技术人员所理解的结构的名称，该结构可以是软件、硬件或其组合。例如，当在软件中实施时，本领域的普通技术人员应当理解，可执行组件的结构可以包括可以在计算系统上执行的软件对象、例程、方法，无论这种可执行组件是否存在于计算系统的堆中，或者无论该可执行组件是否存在于计算机可读存储介质上。
41.在这种情况下，本领域技术人员将认识到，可执行组件的结构存在于计算机可读介质上，使得当由计算系统的一个或多个处理器(例如，由处理器线程)解释时，使计算系统执行功能。这种结构可以是直接由处理器计算机可读的(如果可执行组件是二进制的，则是这种情况)。备选地，该结构可以被结构化为可解释的和/或编译的(无论是在单个阶段中还是在多个阶段中)，以便生成由处理器直接可解释的这种二进制。当使用术语“可执行组件”时，对可执行组件的示例结构的这种理解完全在计算领域的普通技术人员的理解范围内。
42.术语“可执行组件”也被普通技术人员很好地理解为包括在硬件中排他地或几乎排他地实现的结构，诸如在现场可编程门阵列(fpga)、专用集成电路(asic)或任何其他专用电路内。因此，术语“可执行组件”是用于计算领域的普通技术人员所熟知的结构的术语，无论以软件、硬件或组合来实现。在本描述中，还可以使用术语“组件”或“顶点(vertex)”。如在本描述和案例中使用的，该术语(无论该术语是否用一个或多个修饰符修饰)也旨在与术语“可执行组件”同义，或者是这种“可执行组件”的具体的类型，并且因此也具有由计算领域的普通技术人员很好理解的结构。
43.在以下描述中，参考由一个或多个计算系统执行的动作来描述实施例。如果这种动作在软件中实现，则一个或多个处理器(执行该动作的相关联的计算系统的)响应于已经执行了构成可执行组件的计算机可执行指令，来指导计算系统的操作。例如，这种计算机可执行指令可以被具化在形成计算机程序产品的一个或多个计算机可读介质上。这种操作的示例涉及数据的操纵。
44.计算机可执行指令(和所操纵的数据)可以被存储在计算系统500的存储器504中。计算系统500也可以包含允许计算系统500通过例如网络510与其他计算系统通信的通信通道508。
45.虽然不是所有的计算系统都需要用户界面，但是在一些实施例中，计算系统500包括用于与用户接合的用户界面512。用户界面512可以包括输出机构512a以及输入机构512b。本文所述的原理不限于精确的输出机构512a或输入机构512b，因为这将取决于设备的性质。然而，输出机构512a可以包括例如扬声器、显示器、触觉输出、全息图、虚拟现实等。输入机构512b的示例可以包括例如麦克风、触摸屏、全息图、虚拟现实、相机、键盘、鼠标或
其它指针输入、任何类型的传感器等。
46.本文描述的实施例可以包括或利用特殊目的或者通用计算系统，其包括计算机硬件，诸如例如一个或多个处理器和系统存储器，如以下更详细讨论的。本文描述的实施例也包括用于承载或者存储计算机可执行指令和/或数据结构的物理的和其它的计算机可读介质。这种计算机可读介质可以是可以由通用或者专用计算系统访问的任何可用介质。存储计算机可执行指令的计算机可读介质是物理存储介质。承载计算机可执行指令的计算机可读介质是传输介质。因此，作为示例而非限制，实施例可包括至少两种明显不同种类的计算机可读介质：存储介质和传输介质。
47.计算机可读存储介质包括ram、rom、eeprom、cd
‑
rom或其它光盘存储装置、磁盘存储装置或其它磁存储设备、或者可以被用于以计算机可执行指令或者数据结构的形式存储所需程序代码部件并且可以由通用或专用的计算系统访问的任何其他物理和有形存储介质。
[0048]“网络”被定义为一个或多个数据链路，其能够在计算系统和/或组件和/或其他电子设备之间传输电子数据。当信息通过网络或其他通信连接(硬连线的、无线或硬连线或无线的组合)传输或提供到计算系统时，计算系统适当地将该连接视为传输介质。传输介质可以包括网络和/或数据链路，网络和/或数据链路可以被用于承载计算机可执行指令或者数据结构形式的所需程序代码部件，并且可以由通用或专用的计算系统访问。上述的组合也应当被包括在计算机可读介质的范围内。
[0049]
此外，在到达各种计算系统组件时，计算机可执行指令或者数据结构形式的程序代码部件可以被自动地从传输介质传输到存储介质(或者反之亦然)。例如，通过网络或数据链路接收的计算机可执行指令或者数据结构可以被缓冲在网络接口组件(例如，“nic”)内的ram中，并且然后最终被传输到计算系统ram和/或计算系统处的较不易失的存储介质。因此，应当理解，可读介质可以被包括在计算系统组件中，计算系统组件也(或者甚至主要)利用传输介质。
[0050]
计算机可执行指令包括例如指令和数据，当其在处理器处执行时，使通用计算系统、专用计算系统或专用处理设备执行特定功能或功能组。备选地或附加地，计算机可执行指令可以配置计算系统以执行特定功能或功能组。计算机可执行指令可以是，例如在由处理器直接执行之前、经历某种翻译(诸如编译)的二进制文件或者甚至指令，诸如中间格式指令，诸如汇编语言或者甚至源代码。
[0051]
本领域的技术人员应当理解，本发明可以在具有多种类型的计算系统配置的网络计算环境中被实践，包括个人计算机、台式计算机、膝上型计算机、消息处理器、手持式设备、多处理器系统、基于微处理器的或可编程的消费电子产品、网络pc、小型计算机、大型计算机、移动电话、pda、寻呼机、路由器、交换机、数据中心、可穿戴设备(诸如眼镜或手表)等。本发明还可以在分布式系统环境中被实践，其中通过网络链接(通过硬连线数据链路、无线数据链路或通过硬连线和无线数据链路的组合)的本地和远程计算系统两者都执行任务。在分布式系统环境中，程序组件可以位于本地和远程存储器存储设备两者中。
[0052]
本领域技术人员还应当理解，本发明可以在由一个或多个数据中心或其部分支持的云计算环境中被实践。云计算环境可以是分布式的，尽管这不是必需的。当分布式时，云计算环境可以在组织内国际性地分布和/或具有跨多个组织拥有的组件。
[0053]
在本描述和以下权利要求中，“云计算”被定义为用于实现对可配置计算资源(例如，网络、服务器、存储装置、应用和服务)的共享池的按需网络访问的模型。“云计算”的定义不限于当正确部署时可以从这种模型中获取的其他众多优势中的任何一个。
[0054]
例如，云计算当前在市场中被部署，以便提供对可配置计算资源的共享池的普遍存在的并且方便的按需访问。此外，可配置计算资源的共享池可以经由虚拟化来快速提供，并且以低管理努力或者服务提供商交互来释放，并且然后相应地扩展。
[0055]
云计算模型可以由各种特性组成，诸如按需、自助、广泛的网络访问、资源池、快速弹性、测量服务等。云计算模型还可以以各种应用服务模型的形式出现，诸如，软件即服务(“saas”)、平台即服务(“paas”)和基础设施即服务(“iaas”)。还可以使用不同的部署模型来部署云计算模型，诸如私有云、社区云、公共云、混合云等。在本描述和权利要求中，“云计算环境”是其中部署云计算的环境。
[0056]
传统上，身份管理系统通常建立在中心化机构上，包括但不限于雇主名录、政府组织、电子邮件服务、证书机构和/或域名登记处。另一方面，去中心化身份是可以在去中心化系统中对其执行认证的身份。这种去中心化系统的示例包括分布式账本，在分布式账本中可以记录去中心化身份。去中心化系统的另一示例包括点对点系统，其中在点对点系统内执行认证，允许点对点系统内的计算系统然后基于该认证来采取行动。
[0057]
在不脱离其精神或本质特征的情况下，本发明可以以其他具体形式来被实现。所描述的实施例在所有方面都应当被视为说明性而非限制性的。因此，本发明的范围由所附权利要求而不是由前述说明指示。在权利要求的等效含义和范围之内的所有变化都被包含在其范围内。