基于容器技术的用户无感VPN接入方法.pdf

《基于容器技术的用户无感VPN接入方法.pdf》由会员分享，可在线阅读，更多相关《基于容器技术的用户无感VPN接入方法.pdf（13页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 201910353899.8 (22)申请日 2019.04.29 (71)申请人 电子科技大学 地址 611731 四川省成都市高新区 （西区） 西源大道2006号 (72)发明人 郭秉楠刘坚许都 (74)专利代理机构 成都行之专利代理事务所 (普通合伙) 51220 代理人 温利平 (51)Int.Cl. H04L 12/46(2006.01) H04L 29/06(2006.01) H04L 29/08(2006.01) (54)发明名称 一种基于容器技术的用户无感VPN接。

2、入方法 (57)摘要 本发明公开了一种基于容器技术的用户无 感VPN接入方法， 先进行企业VPN网络信息登记和 终端用户设备的信息登记， 然后开始基于容器技 术的终端接入设备的部署， 当部署完成后， 结合 登记信号实现终端用户设备与企业网络的VPN通 信； 这样使整个接入过程不依赖于用户的使用环 境， 且连接过程简单， 不需要人为配置， 提高工作 效率。 权利要求书2页 说明书6页 附图4页 CN 110113243 A 2019.08.09 CN 110113243 A 1.一种基于容器技术的用户无感VPN接入方法， 其特征在于， 包括以下步骤： ； (1)、 企业VPN网络信息登记 (1.。

3、1)、 企业网络管理员向网络管理平台登记企业VPN网络的以下信息： 企业名、 企业 VPN网关地址、 企业子网地址、 VPN配置信息和连接、 加密方式以及一个VPN口令池； (1.2)、 网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存； (2)、 终端用户设备的信息登记 (2.1)、 判断终端用户设备是否进行了信号登记， 如果已经登记则进入步骤(2.2)， 否 则， 在网络管理平台对该终端用户设备进行信息登记； (2.2)、 判断判断终端用户户设备是否已连接至企业内网， 如果未连接， 则进入步骤 (2.3)， 否则直接跳转至步骤(2.4)； (2.3)、 终端用户在该终端上下载安装。

4、由企业提供的信息采集客户端， 并进行企业内的 身份认证， 待认证通过后跳转至步骤(2.5)； (2.4)、 通过终端信息采集工具自动采集终端用户设备的特征信息， 再发送给网络管理 员； (2.5)、 通过信息采集客户端采集终端用户设备的特征信息， 再发送给网络管理员； (2.6)、 网络管理员接收到特征信息数据后， 将特征信息数据提交到云VPN管理子系统 保存； (3)、 基于容器技术的终端接入设备的部署 (3.1)、 通过DHCP或人工配置方式获得IP地址， 将终端接入设备进行网络的物理接入， 以确保能够与云VPN管理子系统进行通信； 然后， 终端接入设备向云VPN管理子系统发送请求， 启动。

5、交互， 通过终端接入设备的软 硬件信息认证该终端接入设备的合法性； (3.2)、 管理平台下发初始化脚本， 对终端接入设备进行初始化； (3.3)、 当认证通过且初始化成功完成后， 网络管理平台通过扫描终端接入设备的运行 进程和端口， 启动对终端接入设备的安全检查， 确保无异常软件植入、 无异常通信发生， 若 检查不通过， 则返回至步骤(3.2)； (3.4)、 运行容器连接测试， 保证基于容器技术的终端接入设备的部署完毕后能够正确 连接各企业的VPN网关； (4)、 终端用户设备与企业网络的VPN通信 (4.1)、 当终端接入设备接收到用户的接入请求时， 先判断该用户是否已经经过了认 证， 。

6、如果通过了认证， 则将该用户标记为已知用户， 并跳转至步骤(4.3)； 否则将该用户标记 为未知用户， 再进入步骤(4.3)； (4.2)、 终端接入设备将未知用户识别信息发送至云VPN管理子系统， 根据未知用户设 备识别信息获取该用户的镜像信息， 部署相关容器并按照对应口令进行配置， 从而完成该 未知用户的认证， 将该用户标记为已知用户进入步骤(4.3)； 若相关记录中没有找到该未知 用户信息， 则按照常规网关模式进行数据的转发， 并结束； (4.3)、 识别已知用户的目的IP地址， 若不是企业指定的IP， 则按照常规网关模式进行 转发， 并结束； 若是企业指定的IP， 则进入步骤(4.4)。

7、； (4.4)、 将根据步骤(1)、 (2)的信息登记， 将已知用户接入至企业网络： 将已知用户数据 权利要求书 1/2 页 2 CN 110113243 A 2 导入容器， 容器记录当前已知用户的IP地址和端口号， 修改数据包头为容器自身的IP地址 和端口号， 发送至VPN对端； 当数据返回时， 再将返回数据包头改为已知用户当前IP地址和 端口， 并发送给已知用户； (4.5)、 当已知用户超过指定时间未发送和收到数据， 删除该容器， 清空相应数据。 权利要求书 2/2 页 3 CN 110113243 A 3 一种基于容器技术的用户无感VPN接入方法 技术领域 0001 本发明属于网络通信。

8、技术领域， 更为具体地讲， 涉及一种基于容器技术的用户无 感VPN接入方法。 背景技术 0002 虚拟专用网络(Virtual Private Network， VPN)是一种常用于连接中、 大型企业 或团体与团体间的私人网络的通讯方法。 虚拟私人网络的信息透过公用的网络架构(例如： 互联网)来传送内部网的网络信息。 它利用加密的隧道协议来达到保密、 发送端认证、 消息 准确性等私人消息安全效果， 这种技术可以使用不安全的网网络(例如： 互联网)来发送可 靠、 安全的消息。 这种技术的出现满足了企业移动办公人员的需要， 使得他们能够使用认证 信息随时随地访问和管理企业内部网络的资源， 大大提升。

9、了工作效率。 0003 容器是一种有别于虚拟机(也称hypervisor虚拟化技术)的另一种计算资源虚拟 化技术。 本文中所述的容器技术均以Docker作为实现范例。 0004 虚拟机会将虚拟硬件、 内核(即操作系统)以及用户空间打包在新虚拟机当中， 虚 拟机能够利用 “虚拟机管理程序” 运行在物理设备之上。 虚拟机依赖于 hypervisor， 其通常 被安装在 “裸金属” 系统硬件之上， 这导致hypervisor在某些方面被认为是一种操作系统。 一旦hypervisor安装完成， 就可以从系统可用计算资源当中分配虚拟机实例了， 每台虚拟 机都能够获得唯一的操作系统和负载 (应用程序)。 。

10、简言之， 虚拟机先需要虚拟一个物理环 境， 然后构建一个完整的操作系统， 再搭建一层Runtime， 然后供应用程序运行。 0005 对于容器环境来说， 不需要安装主机操作系统， 直接将容器层(比如LXC或 libcontainer)安装在主机操作系统(通常是Linux变种)之上。 在安装完容器层之后， 就可 以从系统可用计算资源当中分配容器实例了， 并且企业应用可以被部署在容器当中。 但是， 每个容器化应用都会共享相同的操作系统(单个主机操作系统)。 容器可以看成一个装好了 一组特定应用的虚拟机， 它直接利用了宿主机的内核， 抽象层比虚拟机更少， 更加轻量化， 启动速度极快 0006 相比于。

11、虚拟机， 容器拥有更高的资源使用效率， 因为它并不需要为每个应用分配 单独的操作系统实例规模更小、 创建和迁移速度也更快。 这意味相比于虚拟机， 单个操 作系统能够承载更多的容器。 云提供商十分热衷于容器技术， 因为在相同的硬件设备当中， 可以部署数量更多的容器实例。 此外， 容器易于迁移， 但是只能被迁移到具有兼容操作系统 内核的其他服务器当中， 这样就会给迁移选择带来限制。 0007 因为容器不像虚拟机那样同样对内核或者虚拟硬件进行打包， 所以每套容器都拥 有自己的隔离化用户空间， 从而使得多套容器能够运行在同一主机系统之上。 我们可以看 到全部操作系统层级的架构都可实现跨容器共享， 惟一。

12、需要独立构建的就是二进制文件与 库。 正因为如此， 容器才拥有极为出色的轻量化特性。 0008 在本文所提供的解决方案中， 容器将扮演VPN隧道端点的角色， 最大程度地利用了 容器的隔离、 轻量化、 启动快速、 删除无痕等特性。 说明书 1/6 页 4 CN 110113243 A 4 0009 尽管目前市面上有许多的VPN服务提供商， 也有许多功能丰富的VPN软件(包括计 算机操作系统内置的VPN网络配置服务)。 但对于移动办公人员， 特别是非计算机网络相关 的企业办公人员而言， 可能并不需要细致入微的VPN 配置和功能。 他们只需要能够访问企 业内网即可， 并不关心自己究竟是如何登入内网的。

13、。 同时， VPN的配置本身可能对于他们而 言就是一项不小的负担。 也就是说， 现有的VPN解决方案均需要依靠用户去手动进行一系列 操作后才能实现， 并且同时依赖于用户的使用环境。 若配置过程出现某些意外状况， 则会使 得连接过程人为地变得复杂， 降低工作效率甚至无法成功。 发明内容 0010 本发明的目的在于克服现有技术的不足， 提供一种基于容器技术的用户无感VPN 接入方法， 通过用户设备软硬件特征提取子系统将自身设备特征信息进行登记， 再物理接 入容器化公共网络接入设备。 0011 为实现上述发明目的， 本发明一种基于容器技术的用户无感VPN接入方法， 其特征 在于， 包括以下步骤： ；。

14、 0012 (1)、 企业VPN网络信息登记 0013 (1.1)、 企业网络管理员向网络管理平台登记企业VPN网络的以下信息： 企业名、 企 业VPN网关地址、 企业子网地址、 VPN配置信息和连接、 加密方式以及一个VPN口令池； 0014 (1.2)、 网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存； 0015 (2)、 终端用户设备的信息登记 0016 (2 .1)、 判断终端用户设备是否进行了信号登记， 如果已经登记则进入步骤 (2.2)， 否则， 在网络管理平台对该终端用户设备进行信息登记； 0017 (2.2)、 判断判断终端用户设备是否已连接至企业内网， 如果未连接。

15、， 则进入步骤 (2.3)， 否则直接跳转至步骤(2.4)； 0018 (2.3)、 终端用户在该终端上下载安装由企业提供的信息采集客户端， 并进行企业 内的身份认证， 待认证通过后跳转至步骤(2.5)； 0019 (2.4)、 通过终端信息采集工具自动采集终端用户设备的特征信息， 再发送给网络 管理员； 0020 (2.5)、 通过信息采集客户端采集终端用户设备的特征信息， 再发送给网络管理 员； 0021 (2.6)、 网络管理员接收到特征信息数据后， 将特征信息数据提交到云VPN 管理子 系统保存； 0022 (3)、 基于容器技术的终端接入设备的部署 0023 (3.1)、 通过DHC。

16、P或人工配置方式获得IP地址， 将终端接入设备进行网络的物理接 入， 以确保能够与云VPN管理子系统进行通信； 0024 然后， 终端接入设备向云VPN管理子系统发送请求， 启动交互， 通过终端接入设备 的软硬件信息认证该终端接入设备的合法性； 0025 (3.2)、 管理平台下发初始化脚本， 对终端接入设备进行初始化； 0026 (3.3)、 当认证通过且初始化成功完成后， 网络管理平台通过扫描终端接入设备的 运行进程和端口， 启动对终端接入设备的安全检查， 确保无异常软件植入、 无异常通信发 说明书 2/6 页 5 CN 110113243 A 5 生， 若检查不通过， 则返回至步骤(3.。

17、2)； 0027 (3.4)、 运行容器连接测试， 保证基于容器技术的终端接入设备的部署完毕后能够 正确连接各企业的VPN网关； 0028 (4)、 终端用户设备与企业网络的VPN通信 0029 (4.1)、 当终端接入设备接收到用户的接入请求时， 先判断该用户是否已经经过了 认证， 如果通过了认证， 则将该用户标记为已知用户， 并跳转至步骤(4.3)； 否则将该用户标 记为未知用户， 再进入步骤(4.2)； 0030 (4.2)、 终端接入设备将未知用户识别信息发送至云VPN管理子系统， 根据未知用 户设备识别信息获取该用户的镜像信息， 部署相关容器并按照对应口令进行配置， 从而完 成该未知。

18、用户的认证， 将该用户标记为已知用户进入步骤 (4.3)； 若相关记录中没有找到 该未知用户信息， 则按照常规网关模式进行数据的转发， 并结束； 0031 (4.3)、 识别已知用户的目的IP地址， 若不是企业指定的IP， 则按照常规网关模式 进行转发， 并结束； 若是企业指定的IP， 则进入步骤(4.4)； 0032 (4.4)、 将根据步骤(1)、 (2)的信息登记， 将已知用户接入至企业网络： 将已知用户 数据导入容器， 容器记录当前已知用户的IP地址和端口号， 修改数据包头为容器自身的IP 地址和端口号， 发送至VPN对端； 当数据返回时， 再将返回数据包头改为已知用户当前IP地 址和。

19、端口， 并发送给已知用户； 0033 (4.5)、 当已知用户超过指定时间未发送和收到数据， 删除该容器， 清空相应数据。 0034 本发明的发明目的是这样实现的： 0035 本发明基于容器技术的用户无感VPN接入方法， 先进行企业VPN网络信息登记和终 端用户设备的信息登记， 然后开始基于容器技术的终端接入设备的部署， 当部署完成后， 结 合登记信号实现终端用户设备与企业网络的VPN通信； 这样使整个接入过程不依赖于用户 的使用环境， 且连接过程简单， 不需要人为配置， 提高工作效率。 0036 同时， 本发明基于容器技术的用户无感VPN接入方法还具有以下有益效果： 0037 (1)、 便捷。

20、性： 用户在部署了该接入设备的环境下接入网络， 可以完全模拟公司网 络环境， 不需再进行任何其他配置即可轻松访问专用网络中的内容。 0038 (2)、 兼容性： 容器的隔离性使得即使多个用户同时接入， 且启用完全不同种类的 VPN， 也不会相互之间产生干扰。 0039 (3)、 安全性： 容器完全由企业定制， 企业可以在允许的范围内为容器加入更多功 能， 如流量清洗等， 进一步强化用户与企业网络之间联系的安全性。 同时， 终端接入设备本 身的认证和安全功能也保证了在用户与接入设备之间的通信是安全的。 附图说明 0040 图1是本发明基于容器技术的用户无感VPN接入系统架构图； 0041 图2是。

21、本发明基于容器技术的用户无感VPN接入系统工作原理图； 0042 图3是终端用户设备的信息登记流程图； 0043 图4是基于容器技术的终端接入设备的部署流程图； 0044 图5是终端用户设备与企业网络的VPN通信流程图。 说明书 3/6 页 6 CN 110113243 A 6 具体实施方式 0045 下面结合附图对本发明的具体实施方式进行描述， 以便本领域的技术人员更好地 理解本发明。 需要特别提醒注意的是， 在以下的描述中， 当已知功能和设计的详细描述也许 会淡化本发明的主要内容时， 这些描述在这里将被忽略。 0046 实施例 0047 在本方案中， 重点解决的问题为： 当用户处于公共网络。

22、中时， 能够无感地、 安全地 访问企业内部网络。 要达到该目的， 在用户设备如笔记本、 手机等移动终端上， 无需任何额 外的联网操作， 所有VPN相关的软件部署、 参数配置等在用户端的网络接入设备上自动完 成。 0048 在本实施例中， 如图1所示， 完整的用户无感VPN接入系统由三部分组成， 它们是： 用户设备软硬件特征提取子系统， 云VPN管理子系统， 容器化公共网络接入设备。 0049 其中， 用户设备软硬件特征提取子系统由企业网络管理员端和移动用户端构成。 企业网络管理员端负责收集用户端发送的软硬件特征信息以生成用户指纹， 并为该用户设 备生成一个证书， 之后将用户指纹与对应的证书提交。

23、至云VPN 管理子系统保存。 用户端负 责采集用户的软硬件特征信息并发送到网络管理员处， 采集过程自动完成。 0050 云VPN管理子系统(以下简称 “管理平台” )中维护一个数据库和一个容器镜像仓 库， 数据库中记录： 企业名-企业VPN网关IP用户指纹-所属企业-证书等。 基于企业提交的 VPN配置信息， 云VPN管理子系统生成可与该内网关口 VPN设备直接挂接的容器镜像， 存入 云VPN管理子系统的镜像库中。 云VPN 管理子系统可以对所生成的容器镜像进行测试， 验证 其运行后与该用户设备所属单位的VPN网关间的连接状况， 以确保其可用性。 0051 容器化公共网络接入设备是由 “用户无。

24、感VPN接入服务商” (以下简称 “服务商” )提 供的公网安全接入设备， 如无线AP， 它是经过安全认证的、 用户可信任的设备， 含有服务商 颁发的证书， 同时满足容器运行的要求， 除用户流量外， 它仅仅与管理平台通信， 同时不提 供直接的人机接口以确保管理平台具有它的唯一管理权限。 0052 通过上述三者构成完整的用户无感VPN接入系统， 其具体的工作原理如图 2所示。 0053 图3是本发明基于容器技术的用户无感VPN接入方法流程图。 0054 在本实施例中， 如图3所示， 本发明一种基于容器技术的用户无感VPN接入方法， 包 括以下步骤： ； 0055 S1、 企业VPN网络信息登记 。

25、0056 S1.1、 企业网络管理员向网络管理平台登记企业VPN网络的以下信息： 企业名、 企 业VPN网关地址、 企业子网地址、 VPN配置信息和连接、 加密方式以及一个VPN口令池； 0057 S1.2、 网络管理平台根据上述信息生成符合该企业要求的容器镜像并保存； 0058 S2、 如图4所示， 终端用户设备进行信息登记 0059 S2.1、 判断终端用户设备是否进行了信号登记， 如果已经登记则进入步骤 S2.2， 否则， 在网络管理平台对该终端用户设备进行信息登记； 0060 S2.2、 判断判断终端用户设备是否已连接至企业内网， 如果未连接， 则进入步骤 S2.3， 否则直接跳转至步。

26、骤S2.4； 0061 S2.3、 终端用户在该终端上下载安装由企业提供的信息采集客户端， 并进行企业 内的身份认证， 待认证通过后跳转至步骤S2.5； 说明书 4/6 页 7 CN 110113243 A 7 0062 S2.4、 通过终端信息采集工具自动采集终端用户设备的特征信息， 再发送给网络 管理员； 0063 S2.5、 通过信息采集客户端采集终端用户设备的特征信息， 再发送给网络管理员； 0064 S2.6、 网络管理员接收到特征信息数据后， 将特征信息数据提交到云VPN 管理子 系统保存； 0065 S3、 如图5所示， 基于容器技术的终端接入设备的部署 0066 S3.1、 通。

27、过DHCP或人工配置方式获得IP地址， 将终端接入设备进行网络的物理接 入， 以确保能够与云VPN管理子系统进行通信； 0067 然后， 终端接入设备向云VPN管理子系统发送请求， 启动交互， 通过终端接入设备 的软硬件信息认证该终端接入设备的合法性； 0068 S3.2、 管理平台下发初始化脚本， 对终端接入设备进行初始化； 0069 S3.3、 当认证通过且初始化成功完成后， 网络管理平台通过扫描终端接入设备的 运行进程和端口， 启动对终端接入设备的安全检查， 确保无异常软件植入、 无异常通信发 生， 若检查不通过， 则返回至步骤S3.2； 0070 S3.4、 运行容器连接测试， 保证基。

28、于容器技术的终端接入设备的部署完毕后能够 正确连接各企业的VPN网关； 0071 S4、 终端用户设备与企业网络的VPN通信 0072 S4.1、 当终端接入设备接收到用户的接入请求时， 先判断该用户是否已经经过了 认证， 如果通过了认证， 则将该用户标记为已知用户， 并跳转至步骤S4.3； 否则将该用户标 记为未知用户， 再进入步骤S4.2； 0073 S4.2、 终端接入设备将未知用户识别信息发送至云VPN管理子系统， 根据未知用户 设备识别信息获取该用户的镜像信息， 部署相关容器并按照对应口令进行配置， 从而完成 该未知用户的认证， 将该用户标记为已知用户进入步骤 S4.3； 若相关记录。

29、中没有找到该未 知用户信息， 则按照常规网关模式进行数据的转发， 并结束； 0074 S4.3、 识别已知用户的目的IP地址， 若不是企业指定的IP， 则按照常规网关模式进 行转发， 并结束； 若是企业指定的IP， 则进入步骤S4.4； 0075 S4.4、 将根据步骤S1、 S2的信息登记， 将已知用户接入至企业网络： 将已知用户数 据导入容器， 容器记录当前已知用户的IP地址和端口号， 修改数据包头为容器自身的IP地 址和端口号， 发送至VPN对端； 当数据返回时， 再将返回数据包头改为已知用户当前IP地址 和端口， 并发送给已知用户； 0076 S4.5、 当已知用户超过指定时间未发送和。

30、收到数据， 删除该容器， 清空相应数据。 0077 实例： 0078 企业B在服务提供商处注册企业信息， 申请该项服务， 向管理平台提供的信息为B- 1 .1 .110.1/16。 并登记企业所使用的VPN种类为SSL VPN， SSL VPN 地址为https:/ 。 0079 用户A持有XIAOMI 5S手机， 系统MIUI 10.1.1.0stable， 基带版本 TH20c1.9- 0926_1622_3a7bd2d， 内核版本 3.18.31-perf-g0bf156d-01143-g2d4873d,WLAN MAC地址 34:80:b3:f8:65:a0。 该设备为新购入， 未连接。

31、过工作单位网络， 故通过用户端软件进行员 工身份认证， 通过后， 开始向企业网络管理员发送上述信息。 说明书 5/6 页 8 CN 110113243 A 8 0080 网络管理员收到上述信息后， 管理员端软件计算得到该用户设备的指纹： 96663 4ebf2fc135707d6753692bf4b1e， 随后， 管理员为该设备分配了一个证书来证明其合法性， 并将指纹与证书通过管理员端软件上传至管理平台。 0081 云管理平台IP地址为220.10.3.7/24.其在企业B注册时已经为其生成了将来所需 的容器镜像并保存于镜像库中。 当网络管理员提交 966634ebf2fc135707d675。

32、3692bf4b1e- 证书时， 管理平台将该指纹-证书对保存在数据库中。 0082 酒店C购买了符合该系统要求的终端接入设备， 并向管理平台提交了设备序列号 和配置文件， 接入Internet后， 该设备获得的IP是125.21.3.31/24.设备首先向220.10.3.7 发起交互请求， 得到响应后， 发送证书开始基于PKI体系的设备认证。 认证通过后， 平台发送 并启动设备自检程序。 自检完毕未发现问题， 向管理平台发送本机序列号， 管理平台根据序 列号找到响应配置文件进行设备初始化配置。 0083 用户A来到酒店C进行移动办公， 当用户A的设备XIAOMI 5S接入终端接入设备时， 。

33、终端接入设备向其分配IP地址192.168.110.1/24.同时， 接入过程也向终端接入设备发送 了设备信息， 终端接入设备根据信息计算得到其指纹应为： 966634ebf2fc135707d675369 2bf4b1e， 随后终端接入设备将指纹发送至管理平台， 管理平台在数据库中检索得到存在该 用户且其对应公司名为B， 向终端接入设备下发镜像和用户设备证书。 终端接入设备中的 Docker Engine利用镜像生成容器， 为其配置IP为192.168.110.2/24. 0084 用户开始发送数据， 终端接入设备将数据进行拦截并分析， 若数据包IP指向 1.1.0.0/16， 则修改发送者。

34、IP为192.168.110.2， 并将数据包送入容器， 再由容器发往企业 VPN网关。 返回数据则再将接受者IP改为192.168.110.1， 送给用户设备， 完成通信过程。 0085 A离开时， 经过一段时间后， 容器被注销。 0086 尽管上面对本发明说明性的具体实施方式进行了描述， 以便于本技术领域的技术 人员理解本发明， 但应该清楚， 本发明不限于具体实施方式的范围， 对本技术领域的普通技 术人员来讲， 只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内， 这些 变化是显而易见的， 一切利用本发明构思的发明创造均在保护之列。 说明书 6/6 页 9 CN 110113243 A 9 图1 图2 说明书附图 1/4 页 10 CN 110113243 A 10 图3 说明书附图 2/4 页 11 CN 110113243 A 11 图4 说明书附图 3/4 页 12 CN 110113243 A 12 图5 说明书附图 4/4 页 13 CN 110113243 A 13 。