基于容器的任务处理方法、装置、设备、介质及产品与流程

1.本公开涉及计算机技术领域，尤其涉及轻量级虚拟化技术中的信息安全技术领域。


背景技术：

2.容器(docker)技术是一种虚拟化技术，是一种基于进程的轻量级虚拟化技术。容器技术中，每一个容器相当于一个虚拟机，将数据存储在不同的容器内部，并通过隔离容器以隔离资源与进程，实现轻量级虚拟化。
3.为了保证隔离域执行环境中容器的数据安全，可以采用安全组、虚拟私有云(virtual private cloud，vpc)的方式以及账号密码的方式。其中，多服务器之间采用安全组，保障非安全组外无法访问隔离域执行环境容器。vpc实现网络的物理隔离。账号密码实现授权访问。


技术实现要素：

4.本公开提供了一种基于容器的任务处理方法、装置、设备、介质及产品。
5.根据本公开的一方面，提供了一种基于容器的任务处理方法，包括：
6.响应于启动容器，在所述容器内部启动监控服务；在所述监控服务启动完成后，启动执行所述容器内待执行的任务；通过所述监控服务监控所述任务。
7.根据本公开的另一方面，提供了一种基于容器的任务处理装置，包括：
8.启动单元，用于响应于启动容器，在所述容器内部启动监控服务，并在所述监控服务启动完成后，启动执行所述容器内待执行的任务；监控单元，用于通过所述监控服务监控所述任务。
9.根据本公开的另一方面，提供了一种电子设备，包括：
10.至少一个处理器；以及
11.与所述至少一个处理器通信连接的存储器；其中，
12.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述涉及的方法。
13.根据本公开的另一方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，所述计算机指令用于使所述计算机执行上述涉及的方法。
14.根据本公开的另一方面，提供了一种计算机程序产品，包括计算机程序，所述计算机程序在被处理器执行时实现上述涉及的方法。
15.本公开提供的基于容器的任务处理方法，在容器内部启动监控服务，能够保证容器内的数据安全性。
16.应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
17.附图用于更好地理解本方案，不构成对本公开的限定。其中：
18.图1是根据本公开一示例性实施方式提供的一种基于容器的任务处理方法的流程示意图；
19.图2是根据本公开一示例性实施方式提供的一种基于容器的任务处理方法的流程示意图；
20.图3是根据本公开一示例性实施方式提供的一种监控服务在监控容器内监控任务的示意图；
21.图4是根据本公开一示例性实施方式提供的一种销毁容器的方法流程图；
22.图5是根据本公开一示例性实施方式提供的一种基于容器内监控服务监控任务并执行任务的过程示意图；
23.图6是根据本公开一示例性实施方式提供的一种基于容器的任务处理装置的框图；
24.图7是用来实现本公开实施例的基于容器的任务处理方法的电子设备的框图。
具体实施方式
25.以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
26.本公开提供的基于容器的任务处理方法，应用于基于隔离域执行环境进行数据安全处理的场景中。其中，隔离域执行环境中，通过将数据存储在不同的容器内部，并通过隔离容器的方式实现数据执行环境的隔离。
27.相关技术中，在隔离域执行环境中为保证基于容器进行的任务处理中任务的数据安全，通常采用从容器外部进行访问控制，例如采用安全组、vpc的方式以及账号密码的方式等。此种通过从容器外部进行访问控制可以保证容器外部的非安全因素不能访问容器内部，但是如果容器内部存在不安全因素，例如存在目标代码，很可能会造成容器内部敏感数据传递到容器外部，导致隔离域执行环境中数据安全无法得到保证。
28.有鉴于此，本公开提供一种基于容器的任务处理方法，在该方法中，在容器内部进行数据安全监控，以保证容器内部数据的安全性。
29.一种实施方式中，本公开在容器内部设置监控服务，并通过该监控服务对容器内执行的任务进行监控，以保证容器内部执行的任务的安全性。
30.本公开中在容器内启动的监控服务为具有数据监测功能的服务，该服务可以对容器内的任务基于预设的监测项进行监控，以确定任务是否为安全执行的或任务。其中，服务的形式具体不进行限定，例如可以是应用程序。
31.进一步可以理解的是，本公开中涉及的任务可以是进行数据处理的过程，也可以理解为是数据，或者还可以理解为是进程。
32.作为一示例性实施方式，图1示出了本公开一示例性实施方式中提供的一种基于容器的任务处理方法。参阅图1所示，该基于容器的任务处理方法包括以下步骤s101至步骤
s103。
33.在步骤s101中，响应于启动容器，在容器内部启动监控服务。
34.在步骤s102中，在监控服务启动完成后，启动执行容器内待执行的任务。
35.在步骤s103中，通过启动的监控服务，监控容器内执行的任务。
36.本公开中，在确定存储数据并执行任务的容器启动的情况下，在容器内部启动监控服务，并在确定监控服务启动完成后启动执行容器内待执行的任务，也可以理解为是在容器启动后需要首先在容器内部启动监控服务，然后再启动容器内待执行的任务。
37.本公开实施例中，通过在容器启动后首先启动监控服务，然后再启动容器内待执行的任务的方式，能够保证监控服务对容器内部执行的所有任务都进行监控，提高容器内部执行任务的数据安全性。
38.本公开一示例性实施方式中，通过容器内部启动的监控服务对容器内启动执行的任务进行监控，可以监控该任务是异常任务或者正常任务。其中，异常任务可以理解为是对数据安全有影响的不安全任务。正常任务可以理解为是对数据安全不会造成影响能够安全执行的任务。
39.其中，本公开中可以针对监控服务监控到的任务为异常任务或者正常任务，采用不同的处理方式。
40.作为一示例性实施方式，图2示出了本公开一示例性实施方式中提供的一种基于容器的任务处理方法。参阅图2所示，该基于容器的任务处理方法包括以下步骤s201、步骤s202a，步骤s202b。
41.在步骤s201中，通过容器内启动的监控服务对监控的任务进行校验。
42.其中，本公开中可以通过监控服务校验监控到的任务是否为异常任务，即校验任务是异常任务还是正常任务。若监控服务监控到的任务为正常任务则执行步骤s202a。若监控服务监控到的任务为异常任务，则执行步骤s202b。
43.在步骤s202a中，若监控到任务为异常任务，则中止执行异常任务，并销毁容器。
44.本公开中，在监控服务监控到任务为异常任务时，中止执行异常任务，例如可以是阻断该任务进行数据访问，避免异常任务访问数据，造成数据泄露，导致数据不安全。
45.其中，本公开中涉及的销毁容器可以理解为是将该异常任务所属的容器进行清除，以便能够对该容器内的所有数据进行安全保证。例如，终止执行的任务，删除异常任务相关联的数据，停止容器的数据访问等。
46.在步骤s202b中，若监控到任务为正常任务，则执行正常任务，并在执行正常任务过程中持续监控正常任务，直至任务执行结束。
47.本公开中，在监控到任务为异常任务时，中止异常任务并销毁容器，也可以理解为是任务结束。故，本公开中通过监控服务进行容器内任务的监控，可以理解为是对容器内的任务从启动执行到执行结束的全过程进行监控，能够保证任务执行全过程中的安全性。
48.本公开一示例性实施方式中，在通过监控服务进行容器内任务监控时，可以预定义一个或多个监控项，通过监控该预定义的监控项，确定监控的任务是正常任务还是异常任务。
49.本公开中预定义的监控项可以是基于任务执行过程中进行数据访问时涉及的内容进行定义。例如，本公开中可以基于数据访问时涉及的端口、通信协议等进行预定义。
50.一示例中，本公开中预定义的监控项可以是传输控制协议(transmission control protocol，tcp)链接，用户数据包协议(user datagram protocol，udp)监控，文件传输协议(file transfer protocol，ftp)，超文本传输协议(hyper text transfer protocol，http)/基于安全数据层的超文本传输协议(hyper text transfer protocol over securesocket layer，https)，安全外壳协议(secure shell，ssh)等。
51.进一步的，本公开中预定义的监控项可以是支持扩展的，可以随时进行监控项的新定义，以扩展需要监控的监控项。
52.本公开中在通过监控服务监控容器内的任务是否异常任务时，需要获取预定义的监控项，并且需要对预定义的全部监控项进行监控，以确定监控的任务是否为异常任务。
53.例如，预定义监控项包括tcp链接，udp监控，ftp，http/https，ssh以及扩展的监控项，可以采用如图3所示的方式进行任务监控。图3示出了本公开一示例性实施方式中通过监控服务进行监控项监测的示意图。如图3所示，监控服务在监控容器内的任务时，需要对tcp链接监控，udp监控，ftp，http/https，ssh以及扩展监控项全部都进行监控。
54.其中，本公开中，在对预定义的一个或多个监控项进行监控时，若该一个或多个监控项中存在有异常监控项，则确定任务为异常任务。换言之，本公开实施例中，只要监控到存在有异常监控项，则可确定监测的任务为异常任务。其中，监控到的异常监控项可以是一个也可以是多个。其中，若一个或多个监控项中的全部监控项都为非异常监控项，则确定任务为正常任务。
55.本公开中，确定监控的监控项是否为异常监控项时，可以采用诸如许可的方式确定。并且，针对不同的监控项可以采用不同的方式。例如：
56.tcp链接：采用白名单和/或黑名单方式。在白名单中的tcp链接为非异常监控项，为许可的访问链接。未在白名单中的tcp链接为异常监控项，为不允许的访问链接。或者，在黑名单中的tcp链接为异常监控项，为不允许的访问链接。未在黑名单中的tcp链接为异常监控项，为许可的访问链接。
57.udp监控：设置许可udp。允许许可udp向外发送udp数据通讯。若向外发送数据的udp为许可udp，则该udp为非异常监控项，若向外发送数据的udp不是许可udp，则该udp为异常监控项。
58.ftp：设置许可文件。其中，允许许可文件上传和下载。若上传和下载的文件为许可文件，则上传和下载文件的ftp为非异常监控项，若上传和下载的文件不是许可文件，则上传和下载文件的ftp为异常监控项。
59.http/https：设置许可统一资源定位符(uniform resource locator，url)。允许运行许可的url访问。若进行数据访问的url为许可的url，则访问数据的url为非异常监控项，若进行数据访问的url不是许可文件，则进行数据访问的url为异常监控项。
60.ssh：设置许可账号。允许认可账号登录。若登录的账号为许可账号，则登录的账号为非异常监控项，若登录的账号不是许可账号，则登录的账号为异常监控项。
61.本公开中，通过预定义监控项，并对预定义的监控项进行是否为异常任务的监控，能够基于任务的实际执行情况进行异常任务的监测，并覆盖产生不安全因素的各种情形，提高容器内任务监测的覆盖面，并保证容器内任务的数据安全。
62.其中，容器内部存在异常任务的情况下，需要中止异常任务，阻断异常任务进行数
据访问，并销毁容器。
63.一种实施方式中，本公开中若监控到任务为异常任务，则可以为该监测到的异常任务添加表征任务为异常任务的标签。后续通过该标签可以监控到该异常任务，进而可以阻断该异常任务进行数据访问。
64.本公开实施例以下对监控到异常任务，销毁容器的执行过程进行说明。
65.本公开中为了能够在销毁容器时，终止执行容器内的任务，可以在容器的外部访问资源库中设置监控点，以在监控点进行任务的终止，避免在容器内部不能进行任务的终止。
66.作为一示例性实施方式，图4示出了本公开一示例性实施方式中提供的一种销毁容器的方法流程图。参阅图4所示，该销毁容器的方法包括以下步骤s301至步骤s302。
67.在步骤s301中，确定在容器的外部访问资源库中设置的监控点。
68.其中，本公开中监控点可以是预设的。
69.本公开中，可以在监控点监测是否存在异常任务访问外部访问资源库。
70.在步骤s302中，若确定在监控点监测到异常任务，则在该监控点终止执行容器内执行的任务，并删除与异常任务相关联的数据，以及停止容器的外部数据访问许可，并停止外部数据访问容器。
71.其中，本公开中，若在监控到任务为异常任务时为异常任务添加表征任务为异常任务的标签，则在监控点可以通过监测该表征异常任务的标签，进而确定是否监测到异常任务。其中，若在监控点监测到标签，则确定在监控点监测到异常任务。若在监控点未监测到标签，则确定在监控点未监测到异常任务。通过标签监测访问外部访问资源库的任务是否为异常任务，可以使监测任务执行更为简单高效。
72.本公开中，在监控点监测到异常任务，则可以在该监控点终止执行容器内执行的任务。其中，该终止执行的任务可以包括执行的异常任务以及正常任务。其中，在监控点终止执行容器内的任务，可以理解为是一种强制停止执行容器内执行的任务。其中，该容器内执行的任务可以是在监控到异常任务之后需要执行的任务。
73.本公开中，在监控点监测到异常任务时，需要删除与异常任务相关联的数据。其中，该与异常任务相关联的数据包括有异常任务的源数据以及执行该异常任务所产生的中间数据，即，本公开中将可能造成暴露至容器外部的内部敏感数据进行删除，以确保容器内部数据安全。
74.本公开中，在监控点监测到异常任务时，需要停止容器的外部数据访问许可，并停止外部数据访问容器，以进一步保证容器内部数据访问的安全性。
75.本公开中提供的基于容器的任务处理方法中，在确定容器内部的监控服务监控到异常任务时，强制停止正在执行的任务，并停止数据访问，以及删除敏感数据，实现了容器的自销毁，完成容器内程序的清理，以确保容器内部的数据安全。
76.进一步的，本公开中容器可以是基于服务器等宿主机搭建的虚拟机，故在进行了容器自销毁之后，可以向服务器等宿主机反馈容器错误信息，以使宿主机进行后续的进程维护，例如进行容器切换等。
77.可以理解的是，本公开中容器内执行的任务可以是一个，也可以是多个，当容器内的任务为多个时，需要针对多个任务中的每个任务采用本公开上述涉及的任务处理方法进
行任务监测，直至容器内全部任务执行结束。
78.作为一示例性实施方式，图5示出了本公开一示例性实施方式中提供的一种基于容器内监控服务监控任务并执行任务的过程示意图。参阅图5所示，在容器启动后，启动容器内部的监控程序，并通过该监控程序进行tcp监控、udp监控，ftp监控，http监控，ssh监控，以确定监控的任务是否为异常链接和异常数据。其中，针对任务1确定是否为正常链接和正常数据，若任务1为正常数据和正常链接，则执行正常任务1。若任务1为异常链接和/或异常数据，则中止异常任务，删除异常任务关联数据、停止正常任务以销毁容器，反馈容器异常的错误信息。针对任务2确定是否为正常链接和正常数据，若任务2为正常数据和正常链接，则执行正常任务2。若任务2为异常链接和/或异常数据，则中止异常任务，删除异常任务关联数据、停止正常任务以销毁容器，反馈容器异常的错误信息。针对任务3确定是否为正常链接和正常数据，若任务3为正常数据和正常链接，则执行正常任务3。若任务3为异常链接和/或异常数据，则中止异常任务，删除异常任务关联数据、停止正常任务以销毁容器，反馈容器异常的错误信息。以此类推，直至完成针对任务n的监测。
79.本公开提供的基于容器的任务处理方法可以理解为是隔离域执行环境容器中非授权数据的通信方法，如果在容器内部监控到有非授权数据，就立即终止任务执行，清理数据，并进行容器的自销毁，避免容器内数据泄露至容器外，保证隔离域执行环境容器内数据安全性。
80.基于相同的构思，本公开实施例还提供一种基于容器的任务处理装置。
81.可以理解的是，本公开实施例提供的基于容器的任务处理装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。结合本公开实施例中所公开的各示例的单元及算法步骤，本公开实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同的方法来实现所描述的功能，但是这种实现不应认为超出本公开实施例的技术方案的范围。
82.作为示例性的实施方式，图6是根据本公开提供的一种基于容器的任务处理装置的框图。参阅图6所示，本公开提供的基于容器的任务处理装置600包括启动单元601和监控单元602。
83.其中，启动单元601，用于响应于启动容器，在容器内部启动监控服务，并在监控服务启动完成后，启动执行容器内待执行的任务。监控单元602，用于通过监控服务监控任务。
84.其中，监控单元602还用于：若监控到任务为异常任务，则中止执行异常任务，并销毁容器。若监控到任务为正常任务，则执行任务，并在执行任务过程中持续监控任务，直至任务执行结束。
85.其中，监控单元602采用如下方式销毁容器：
86.确定在容器的外部访问资源库中设置的监控点。若确定在监控点监测到异常任务，则终止执行容器内执行的任务，并删除与异常任务相关联的数据，以及停止容器的外部数据访问许可，并停止外部数据访问容器。
87.其中，监控单元602采用如下方式通过监控服务监控任务：
88.获取预定义的一个或多个监控项。通过监控服务监控一个或多个监控项。若一个或多个监控项中存在有异常监控项，则确定任务为异常任务。若一个或多个监控项中的全
部监控项都为非异常监控项，则确定任务为正常任务。
89.其中，监控单元602还用于：若监控到任务为异常任务，则为异常任务添加表征任务为异常任务的标签。
90.监控单元602若在监控点监测到标签，则确定在监控点监测到异常任务。
91.关于本公开上述涉及的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。
92.本公开的技术方案中，所涉及的用户个人信息的获取，存储和应用等，均符合相关法律法规的规定，且不违背公序良俗。
93.根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
94.图7示出了可以用来实施本公开的实施例的示例电子设备700的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
95.如图7所示，设备700包括计算单元701，其可以根据存储在只读存储器(rom)702中的计算机程序或者从存储单元708加载到随机访问存储器(ram)703中的计算机程序，来执行各种适当的动作和处理。在ram703中，还可存储设备700操作所需的各种程序和数据。计算单元701、rom 702以及ram 703通过总线704彼此相连。输入/输出(i/o)接口705也连接至总线704。
96.设备700中的多个部件连接至i/o接口705，包括：输入单元706，例如键盘、鼠标等；输出单元707，例如各种类型的显示器、扬声器等；存储单元708，例如磁盘、光盘等；以及通信单元709，例如网卡、调制解调器、无线通信收发机等。通信单元709允许设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
97.计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理，例如上述涉及的基于容器的任务处理方法。例如，在一些实施例中，上述涉及的基于容器的任务处理方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元708。在一些实施例中，计算机程序的部分或者全部可以经由rom 702和/或通信单元709而被载入和/或安装到设备700上。当计算机程序加载到ram 703并由计算单元701执行时，可以执行上文描述的上述涉及的基于容器的任务处理方法的一个或多个步骤。备选地，在其他实施例中，计算单元701可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行上述涉及的基于容器的任务处理方法。
98.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实
现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
99.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
100.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
101.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
102.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
103.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
104.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
105.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明
白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。