《应用程序管理装置和应用程序管理方法.pdf》由会员分享,可在线阅读,更多相关《应用程序管理装置和应用程序管理方法.pdf(11页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 103902391 A (43)申请公布日 2014.07.02 CN 103902391 A (21)申请号 201410151007.3 (22)申请日 2014.04.15 G06F 9/54(2006.01) (71)申请人 宇龙计算机通信科技(深圳)有限公 司 地址 518040 广东省深圳市车公庙天安数码 城创新科技广场 B 座 8 楼 (72)发明人 张子敬 (74)专利代理机构 北京友联知识产权代理事务 所 ( 普通合伙 ) 11343 代理人 尚志峰 汪海屏 (54) 发明名称 应用程序管理装置和应用程序管理方法 (57) 摘要 本发明提出了一种应用。
2、程序管理装置, 应用 于终端, 包括 : 处理单元, 当接收到应用程序发送 的多个业务请求时, 根据每个业务请求, 分别在每 个业务和与所述每个业务相对应的卡片应用之间 建立对应的安全逻辑通道, 以使所述每个业务通 过所述对应的安全逻辑通道和所述对应的卡片应 用进行数据交互。 相应地, 本发明还提供了一种应 用程序管理方法。 通过本发明的技术方案, 在应用 程序和智能卡片之间建立多个安全逻辑通道, 当 业务并发时, 各业务使用不同安全逻辑通道进行 数据的传输, 各业务并行处理, 用户无需等待, 提 高效率的同时也增加了用户体验。 (51)Int.Cl. 权利要求书 2 页 说明书 6 页 附图。
3、 2 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书2页 说明书6页 附图2页 (10)申请公布号 CN 103902391 A CN 103902391 A 1/2 页 2 1. 一种应用程序管理装置, 应用于终端, 其特征在于, 包括 : 处理单元, 当接收到应用程序发送的多个业务请求时, 根据每个业务请求, 分别在每个 业务和与所述每个业务相对应的卡片应用之间建立对应的安全逻辑通道, 以使所述每个业 务通过所述对应的安全逻辑通道和所述对应的卡片应用进行数据交互。 2. 根据权利要求 1 所述的应用程序管理装置, 其特征在于, 所述处理单元包括 : 访问接入单元。
4、, 用于在接收到来自所述应用程序的业务请求时, 将所述业务请求发送 至安全访问单元 ; 所述安全访问单元, 根据接收到的所述业务请求和预设的访问控制规则, 判断所述用 户是否有访问权限 ; 基带处理单元, 在所述用户有访问权限时, 允许发送所述业务请求 ; 通道建立单元, 接收所述业务请求, 根据所述业务请求建立所述安全逻辑通道, 以使所 述业务请求对应的业务通过所述安全逻辑通道和对应的卡片应用进行数据交互。 3. 根据权利要求 2 所述的应用程序管理装置, 其特征在于, 所述基带处理单元还用于 : 在所述用户没有访问权限时, 不允许发送所述业务请求, 并返回拒绝信息至所述访问 接入单元。 4。
5、. 根据权利要求 2 所述的应用程序管理装置, 其特征在于, 还包括 : 存储单元, 用于存储所述预设的访问控制规则 ; 所述安全访问单元还用于 : 获取所述预设的访问控制规则, 根据所述访问控制规则, 判断所述用户是否有访问权 限。 5. 根据权利要求 1 至 4 中任一项所述的应用程序管理装置, 其特征在于, 还包括 : 标识单元, 用于在建立与每个业务对应的安全逻辑通道后, 为所述每个安全逻辑通道 添加标识号, 以根据所述安全逻辑通道的标识号在所述每个业务和与其对应的卡片应用之 间进行数据交互。 6. 一种应用程序管理方法, 应用于终端, 其特征在于, 包括 : 处理步骤, 当接收到应用。
6、程序发送的多个业务请求时, 根据每个业务请求, 分别在每个 业务和与所述每个业务相对应的卡片应用之间建立对应的安全逻辑通道, 以使所述每个业 务通过所述对应的安全逻辑通道和所述对应的卡片应用进行数据交互。 7. 根据权利要求 6 所述的应用程序管理方法, 其特征在于, 所述处理步骤包括 : 在接收到来自所述应用程序的业务请求时, 发送所述业务请求 ; 接收所述业务请求, 根据接收到的所述业务请求和预设的访问控制规则, 判断所述用 户是否有访问权限 ; 在所述用户有访问权限时, 允许发送所述业务请求 ; 接收所述业务请求, 根据所述业务请求建立所述安全逻辑通道, 以使所述业务请求对 应的业务通过。
7、所述安全逻辑通道和对应的卡片应用进行数据交互。 8. 根据权利要求 7 所述的应用程序管理方法, 其特征在于, 还包括 : 在所述用户没有访问权限时, 不允许发送所述业务请求, 并返回拒绝信息至所述终端。 9. 根据权利要求 7 所述的应用程序管理方法, 其特征在于, 还包括 : 权 利 要 求 书 CN 103902391 A 2 2/2 页 3 存储所述预设的访问控制规则 ; 获取所述预设的访问控制规则, 根据所述访问控制规则, 判断所述用户是否有访问权 限。 10. 根据权利要求 6 至 9 中任一项所述的应用程序管理方法, 其特征在于, 还包括 : 在建立与每个应用程序对应的安全逻辑通。
8、道后, 为所述每个安全逻辑通道添加标识 号, 以根据所述安全逻辑通道的标识号在所述每个业务和与其对应的卡片应用之间进行数 据交互。 权 利 要 求 书 CN 103902391 A 3 1/6 页 4 应用程序管理装置和应用程序管理方法 技术领域 0001 本发明涉及终端技术领域, 具体而言, 涉及一种应用程序管理装置和一种应用程 序管理方法。 背景技术 0002 现有方案在管理卡片应用时, 会为合法的客户端应用程序访问用户智能卡建立单 一的安全通道, 通过该安全通道, 合法的客户端应用程序可以安全的管理卡片应用。 然而现 有方案仅提供一个安全通道, 当业务并发时只能等待先前的业务处理完成后才。
9、能进行下一 个业务。 通常应用的下载及删除也是比较耗时的, 便会出现用户等待的情况, 处理效率不高 且用户体验差。 0003 因此, 需要一种新的技术方案, 可以满足业务并发的需求, 提高处理效率, 从而提 升用户的使用体验。 发明内容 0004 本发明正是基于上述问题, 提出了一种新的技术方案, 可以满足业务并发的需求, 提高处理效率, 从而提升用户的使用体验。 0005 有鉴于此, 本发明提出了一种应用程序管理装置, 应用于终端, 包括 : 处理单元, 当 接收到应用程序发送的多个业务请求时, 根据每个业务请求, 分别在每个业务和与所述每 个业务相对应的卡片应用之间建立对应的安全逻辑通道,。
10、 以使所述每个业务通过所述对应 的安全逻辑通道和所述对应的卡片应用进行数据交互。 0006 在该技术方案中, 在同时收到应用程序发送的多个业务请求时, 可以为每个业务 请求对应的业务建立一个安全逻辑通道, 从而建立起多个业务对应的多个安全逻辑通道, 通过多个安全逻辑通道进行业务和卡片应用之间的数据交互。这样, 使得应用程序的各个 业务可以并行处理, 无需用户等待, 在提高业务处理效率的同时, 也提高了用户体验。 0007 在上述技术方案中, 优选地, 所述处理单元包括 : 访问接入单元, 用于在接收到来 自所述应用程序的业务请求时, 将所述业务请求发送至安全访问单元 ; 所述安全访问单元, 根。
11、据接收到的所述业务请求和预设的访问控制规则, 判断所述用户是否有访问权限 ; 基带 处理单元, 在所述用户有访问权限时, 允许发送所述业务请求 ; 通道建立单元, 接收所述业 务请求, 根据所述业务请求建立所述安全逻辑通道, 以使所述业务请求对应的业务通过所 述安全逻辑通道和对应的卡片应用进行数据交互。 0008 在该技术方案中, 为了保证业务数据的安全, 阻止对用户的智能卡片中的资源的 非授权访问和非法攻击, 需要对用户智能卡片进行安全访问管理, 即需要对访问的用户进 行鉴权, 只有鉴权通过的用户才能对智能卡片中的数据进行访问。 0009 在上述技术方案中, 优选地, 所述基带处理单元还用于。
12、 : 在所述用户没有访问权限 时, 不允许发送所述业务请求, 并返回拒绝信息至所述访问接入单元。 0010 在该技术方案中, 如果用户鉴权未通过, 则为了业务数据的安全, 将拒绝用户访问 说 明 书 CN 103902391 A 4 2/6 页 5 智能卡片中的数据。 0011 在上述技术方案中, 优选地, 还包括 : 存储单元, 用于存储所述预设的访问控制规 则 ; 所述安全访问单元还用于 : 获取所述预设的访问控制规则, 根据所述访问控制规则, 判 断所述用户是否有访问权限。 0012 在该技术方案中, 安全访问控制的依据是 : 存储在用户智能卡片中的访问控制规 则, 这些访问控制规则定义。
13、了哪个或哪些应用程序可以访问哪个或哪些用户智能卡片的卡 片应用, 也可以定义允许访问的具体指令。 0013 在上述技术方案中, 优选地, 还包括 : 标识单元, 用于在建立与每个应用程序对应 的安全逻辑通道后, 为所述每个安全逻辑通道添加标识号, 以根据所述安全逻辑通道的标 识号在所述每个业务和与其对应的卡片应用之间进行数据交互。 0014 在该技术方案中, 可以为每个安全逻辑通道设置一个标识号, 以便于应用程序和 智能卡片通过对应的标识号找到对应的安全逻辑通道。 0015 根据本发明的另一方面, 还提供了一种应用程序管理方法, 应用于终端, 包括 : 处 理步骤, 当接收到应用程序发送的多个。
14、业务请求时, 根据每个业务请求, 分别在每个业务和 与所述每个业务相对应的卡片应用之间建立对应的安全逻辑通道, 以使所述每个业务通过 所述对应的安全逻辑通道和所述对应的卡片应用进行数据交互。 0016 在该技术方案中, 在同时收到应用程序发送的多个业务请求时, 可以为每个业务 请求对应的业务建立一个安全逻辑通道, 从而建立起多个业务对应的多个安全逻辑通道, 通过多个安全逻辑通道进行业务和卡片应用之间的数据交互。这样, 使得应用程序的各个 业务可以并行处理, 无需用户等待, 在提高业务处理效率的同时, 也提高了用户体验。 0017 在上述技术方案中, 优选地, 所述处理步骤包括 : 在接收到来自。
15、所述应用程序的业 务请求时, 发送所述业务请求 ; 接收所述业务请求, 根据接收到的所述业务请求和预设的访 问控制规则, 判断所述用户是否有访问权限 ; 在所述用户有访问权限时, 允许发送所述业务 请求 ; 接收所述业务请求, 根据所述业务请求建立所述安全逻辑通道, 以使所述业务请求对 应的业务通过所述安全逻辑通道和对应的卡片应用进行数据交互。 0018 在该技术方案中, 为了保证业务数据的安全, 阻止对用户的智能卡片中的资源的 非授权访问和非法攻击, 需要对用户智能卡片进行安全访问管理, 即需要对访问的用户进 行鉴权, 只有鉴权通过的用户才能对智能卡片中的数据进行访问。 0019 在上述技术。
16、方案中, 优选地, 还包括 : 在所述用户没有访问权限时, 不允许发送所 述业务请求, 并返回拒绝信息至所述终端。 0020 在该技术方案中, 如果用户鉴权未通过, 则为了业务数据的安全, 将拒绝用户访问 智能卡片中的数据。 0021 在上述技术方案中, 优选地, 还包括 : 存储所述预设的访问控制规则 ; 获取所述预 设的访问控制规则, 根据所述访问控制规则, 判断所述用户是否有访问权限。 0022 在该技术方案中, 安全访问控制的依据是 : 存储在用户智能卡片中的访问控制规 则, 这些访问控制规则定义了哪个或哪些应用程序可以访问哪个或哪些用户智能卡片的卡 片应用, 也可以定义允许访问的具体。
17、指令。 0023 在上述技术方案中, 优选地, 还包括 : 在建立与每个应用程序对应的安全逻辑通道 后, 为所述每个安全逻辑通道添加标识号, 以根据所述安全逻辑通道的标识号在所述每个 说 明 书 CN 103902391 A 5 3/6 页 6 业务和与其对应的卡片应用之间进行数据交互。 0024 在该技术方案中, 可以为每个安全逻辑通道设置一个标识号, 以便于应用程序和 智能卡片通过对应的标识号找到对应的安全逻辑通道。 0025 通过以上技术方案, 在应用程序和智能卡片之间建立多个安全逻辑通道, 当业务 并发时, 各业务使用不同安全逻辑通道进行数据的传输, 各业务并行处理, 用户无需等待, 。
18、提高效率的同时也增加了用户体验。 附图说明 0026 图 1 示出了根据本发明的实施例的应用程序管理装置的框图 ; 0027 图 2 示出了根据本发明的实施例的应用程序管理方法的流程图 ; 0028 图 3 示出了根据本发明的实施例的应用程序管理装置的结构图。 具体实施方式 0029 为了能够更清楚地理解本发明的上述目的、 特征和优点, 下面结合附图和具体实 施方式对本发明进行进一步的详细描述。 需要说明的是, 在不冲突的情况下, 本申请的实施 例及实施例中的特征可以相互组合。 0030 在下面的描述中阐述了很多具体细节以便于充分理解本发明, 但是, 本发明还可 以采用其他不同于在此描述的其他。
19、方式来实施, 因此, 本发明的保护范围并不受下面公开 的具体实施例的限制。 0031 图 1 示出了根据本发明的实施例的应用程序管理装置的框图。 0032 如图 1 所示, 根据本发明的实施例的应用程序管理装置 100 包括 : 处理单元 102, 当接收到应用程序发送的多个业务请求时, 根据每个业务请求, 分别在每个业务和与所述 每个业务相对应的卡片应用之间建立对应的安全逻辑通道, 以使所述每个业务通过所述对 应的安全逻辑通道和所述对应的卡片应用进行数据交互。 0033 在该技术方案中, 在同时收到应用程序发送的多个业务请求时, 可以为每个业务 请求对应的业务建立一个安全逻辑通道, 从而建立。
20、起多个业务对应的多个安全逻辑通道, 通过多个安全逻辑通道进行业务和卡片应用之间的数据交互。这样, 使得应用程序的各个 业务可以并行处理, 无需用户等待, 在提高业务处理效率的同时, 也提高了用户体验。 0034 在上述技术方案中, 优选地, 所述处理单元 102 包括 : 访问接入单元 1022, 用于在 接收到来自所述应用程序的业务请求时, 将所述业务请求发送至安全访问单元 1024 ; 所述 安全访问单元 1024, 根据接收到的所述业务请求和预设的访问控制规则, 判断所述用户是 否有访问权限 ; 基带处理单元 1026, 在所述用户有访问权限时, 允许发送所述业务请求 ; 通 道建立单元。
21、 1028, 接收所述业务请求, 根据所述业务请求建立所述安全逻辑通道, 以使所述 业务请求对应的业务通过所述安全逻辑通道和对应的卡片应用进行数据交互。 0035 在该技术方案中, 为了保证业务数据的安全, 阻止对用户的智能卡片中的资源的 非授权访问和非法攻击, 需要对用户智能卡片进行安全访问管理, 即需要对访问的用户进 行鉴权, 只有鉴权通过的用户才能对智能卡片中的数据进行访问。 0036 在上述技术方案中, 优选地, 所述基带处理单元 1026 还用于 : 在所述用户没有访 问权限时, 不允许发送所述业务请求, 并返回拒绝信息至所述访问接入单元。 说 明 书 CN 103902391 A 。
22、6 4/6 页 7 0037 在该技术方案中, 如果用户鉴权未通过, 则为了业务数据的安全, 将拒绝用户访问 智能卡片中的数据。 0038 在上述技术方案中, 优选地, 还包括 : 存储单元 104, 用于存储所述预设的访问控 制规则 ; 所述安全访问单元 1024 还用于 : 获取所述预设的访问控制规则, 根据所述访问控 制规则, 判断所述用户是否有访问权限。 0039 在该技术方案中, 安全访问控制的依据是 : 存储在用户智能卡片中的访问控制规 则, 这些访问控制规则定义了哪个或哪些应用程序可以访问哪个或哪些用户智能卡片的卡 片应用, 也可以定义允许访问的具体指令。 0040 在上述技术方。
23、案中, 优选地, 还包括 : 标识单元 106, 用于在建立与每个应用程序 对应的安全逻辑通道后, 为所述每个安全逻辑通道添加标识号, 以根据所述安全逻辑通道 的标识号在所述每个业务和与其对应的卡片应用之间进行数据交互。 0041 在该技术方案中, 可以为每个安全逻辑通道设置一个标识号, 以便于应用程序和 智能卡片通过对应的标识号找到对应的安全逻辑通道。 0042 图 2 示出了根据本发明的实施例的应用程序管理方法的流程图。 0043 如图 2 所示, 根据本发明的实施例的应用程序管理方法, 应用于终端, 包括 : 步骤 202, 当接收到应用程序发送的多个业务请求时, 根据每个业务请求, 分。
24、别在每个业务和与 所述每个业务相对应的卡片应用之间建立对应的安全逻辑通道, 以使所述每个业务通过所 述对应的安全逻辑通道和所述对应的卡片应用进行数据交互。 0044 在该技术方案中, 在同时收到应用程序发送的多个业务请求时, 可以为每个业务 请求对应的业务建立一个安全逻辑通道, 从而建立起多个业务对应的多个安全逻辑通道, 通过多个安全逻辑通道进行业务和卡片应用之间的数据交互。这样, 使得应用程序的各个 业务可以并行处理, 无需用户等待, 在提高业务处理效率的同时, 也提高了用户体验。 0045 在上述技术方案中, 优选地, 所述步骤 202 包括 : 在接收到来自所述应用程序的业 务请求时, 。
25、发送所述业务请求 ; 接收所述业务请求, 根据接收到的所述业务请求和预设的访 问控制规则, 判断所述用户是否有访问权限 ; 在所述用户有访问权限时, 允许发送所述业务 请求 ; 接收所述业务请求, 根据所述业务请求建立所述安全逻辑通道, 以使所述业务请求对 应的业务通过所述安全逻辑通道和对应的卡片应用进行数据交互。 0046 在该技术方案中, 为了保证业务数据的安全, 阻止对用户的智能卡片中的资源的 非授权访问和非法攻击, 需要对用户智能卡片进行安全访问管理, 即需要对访问的用户进 行鉴权, 只有鉴权通过的用户才能对智能卡片中的数据进行访问。 0047 在上述技术方案中, 优选地, 还包括 :。
26、 在所述用户没有访问权限时, 不允许发送所 述业务请求, 并返回拒绝信息至所述终端。 0048 在该技术方案中, 如果用户鉴权未通过, 则为了业务数据的安全, 将拒绝用户访问 智能卡片中的数据。 0049 在上述技术方案中, 优选地, 在所述步骤 202 之前还包括 : 存储所述预设的访问控 制规则 ; 获取所述预设的访问控制规则, 根据所述访问控制规则, 判断所述用户是否有访问 权限。 0050 在该技术方案中, 安全访问控制的依据是 : 存储在用户智能卡片中的访问控制规 则, 这些访问控制规则定义了哪个或哪些应用程序可以访问哪个或哪些用户智能卡片的卡 说 明 书 CN 103902391 。
27、A 7 5/6 页 8 片应用, 也可以定义允许访问的具体指令。 0051 在上述技术方案中, 优选地, 还包括 : 在建立与每个应用程序对应的安全逻辑通道 后, 为所述每个安全逻辑通道添加标识号, 以根据所述安全逻辑通道的标识号在所述每个 业务和与其对应的卡片应用之间进行数据交互。 0052 在该技术方案中, 可以为每个安全逻辑通道设置一个标识号, 以便于应用程序和 智能卡片通过对应的标识号找到对应的安全逻辑通道。 0053 通过以上技术方案, 在应用程序和智能卡片之间建立多个安全逻辑通道, 当业务 并发时, 各业务使用不同安全逻辑通道进行数据的传输, 各业务并行处理, 用户无需等待, 提高。
28、效率的同时也增加了用户体验。 0054 图 3 示出了根据本发明的实施例的应用程序管理装置的结构图。 0055 如图 3 所示, 根据本发明的实施例的应用程序管理装置 300 包括 : 访问接入单元 302, 安全访问控制单元 304, 无线接口层单元 306, 基带处理单元 308 以及用户智能卡单元 310。其中, 访问接入单元 302 向客户端应用程序提供访问用户智能卡的接口, 实现客户端 应用程序与用户智能卡之间的 APDU(Application Protocol Data Unit, 应用协议数据单 元) 命令交互 ; 安全访问控制单元 304 提供对用户智能卡的安全访问管理, 阻。
29、止对用户智能 卡中资源的非授权访问和非法攻击, 保证业务安全 ; 无线接口层单元 306 为客户端应用程 序对基带处理单元的访问提供数据接口, 负责将访问接入单元 302 发送的 APDU 转换为 AT 指令, 发送给基带处理单元 308, 同时将基带处理单元 308 返回的 AT 指令转换为 APDU, 返回 给访问接入单元302, 保证数据的可靠传输。 基带处理单元308实现客户端应用和用户智能 卡之间的数据传输 ; 用户智能卡单元 310 是支持 SWP(Single Wire Protocol, 单线传输协 议) 接口的用户智能卡, 与终端上的基带处理单元308相连, 主要用于存储各类。
30、银行卡、 身份 卡、 门禁卡等金融安全类应用以及用户的敏感数据 (如密钥、 余额等) 。 0056 其中, 图 3 中的双向箭头代表安全逻辑通道, 数字代表安全逻辑通道的标识号 (1, 2.N) 。安全逻辑通道实现客户端应用程序与用户智能卡单元的 APDU 数据的传输, 安全 逻辑通道的标识号用于标识多业务并发时不同业务使用的不同安全逻辑通道。 0057 当客户端应用程序进行业务会话时会调用访问接入单元 302 的接口以发送建立 安全逻辑通道的请求, 经安全访问控制单元 304 的鉴权后通过基带处理单元 308 向用户智 能卡单元 310 发送建立安全逻辑通道的请求, 用户智能卡单元 310 。
31、成功建立安全逻辑通道 后将返回安全逻辑通道标识号, 此安全逻辑通道标识号用于标识该业务使用的安全逻辑信 道, 安全逻辑通道标识号由用户智能卡单元 310 统一管理和分配。业务并发时各业务使用 不同安全逻辑通道进行 APDU 数据的传输, 不同安全逻辑通道用不同安全逻辑通道标识号 进行标识, 以区别各安全逻辑通道。举例如下 : 0058 A 业务 : 是进入电子钱包客户端后输入 PIN 码, 完成鉴权过程。 0059 B 业务 : 是通过电子钱包客户端下载招商银行卡应用。 0060 若应用现有的相关技术, 用户在进入电子钱包客户端后选择列表中的招商银行卡 应用进行下载并安装, 即进行 A 业务。。
32、A 业务需要一定的耗时, 用户在等待的过程中移动终 端会灭屏, 之后用户点击电源键点亮屏幕同时解锁 (如果设置了锁屏的话) , 再次进入电子 钱包时会要求用户输入 PIN 码完成鉴权过程, 即此时开启 B 业务。 0061 如果招商银行卡应用还没有下载完成的话, 此时就存在 A 业务和 B 业务并发的情 说 明 书 CN 103902391 A 8 6/6 页 9 况。而通过本发明的技术方案, A 业务使用安全逻辑通道 1, B 业务使用安全逻辑通道 2, 不 同的安全逻辑信道可以很好的承载不同的业务而不互相干扰。具体地, 安全逻辑通道支持 的总个数由整个系统的处理能力以及实际多业务使用场景的。
33、情况来决定, 通常最大 4 个安 全逻辑信道均能够满足要求。 0062 以上结合附图详细说明了本发明的技术方案, 本发明通过访问接入模块、 安全访 问控制模块, 无线接口层模块, 基带处理模块以及用户智能卡模块来支持多个安全逻辑通 道, 当业务并发时, 各业务使用不同安全逻辑通道进行数据的传输, 各业务并行处理, 用户 无需等待, 提高效率的同时也增加了用户体验。 0063 以上所述仅为本发明的优选实施例而已, 并不用于限制本发明, 对于本领域的技 术人员来说, 本发明可以有各种更改和变化。 凡在本发明的精神和原则之内, 所作的任何修 改、 等同替换、 改进等, 均应包含在本发明的保护范围之内。 说 明 书 CN 103902391 A 9 1/2 页 10 图 1 图 2 说 明 书 附 图 CN 103902391 A 10 2/2 页 11 图 3 说 明 书 附 图 CN 103902391 A 11 。