技术领域本实用新型涉及网络信息安全领域,特别是指一种云安全网关及云安全系统。
背景技术:
随着信息化进程的深入和互联网的迅速发展,人们的工作、学习和生活方式正在发生巨大变化,效率大为提高,信息资源得到最大程度的共享。但紧随信息化发展而来的网络安全问题日渐凸出,如果不很好的解决这个问题,必将阻碍信息化发展的进程。互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:a)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。b)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。c)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。d)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临恶意攻击而导致损坏和瘫痪,包括国防通信设施、动力控制网、金融系统和政府网站等。当前,制约我国提高网络安全防御能力的主要因素有以下几方面。a)缺乏自主的计算机网络和软件核心技术;b)安全意识淡薄是网络安全的瓶颈;c)运行管理机制的缺陷和不足制约了安全防范的力度;d)缺乏行之有效的安全检查和制度化的防范机制。现有技术中采用的安全方案一般包括:防火墙技术,安全路由器等。但是防火墙技术虽然可以阻断攻击,但是不能消灭攻击源,不能抵抗最新的未设置策略的攻击漏洞,且并发连接数限制容易导致拥塞或者溢出;安全路由器对用户访问的认证存在问题,远程攻击者可以利用此漏洞非授权访问设备,存在极大的安全隐患。
技术实现要素:
本实用新型的目的在于提供一种云安全网关及云安全系统,解决了现有技术中的由于防火墙技术和/或安全路由器存在漏洞而导致的网络安全的问题。为了达到上述目的,本实用新型实施例提供一种云安全网关,包括:内网口,信息处理单元,会话管理单元以及外网口;其中,内网口接收用户设备通过有线网络发送的明文业务数据,然后将接收到的明文业务数据传输给所述信息处理单元,经过所述信息处理单元的加密处理,并由会话管理单元核验用户设备的身份后,得到加密的业务数据,最后将所述加密的业务数据利用有线网络并通过外网口传输至云服务器进行保存。其中,所述信息处理单元包括:与所述内网口连接的网络数据接口;与所述网络数据接口连接的格式转换模块;与所述格式转换模块连接的信息加密单元;其中,网络数据接口接收从所述内网口传输过来的明文业务数据,并将明文业务数据传输给所述格式转换模块,经过所述格式转换模块的格式转换处理得到预设格式的数据,再由所述信息加密单元对所述预设格式的数据进行加密处理得到加密的业务数据。其中,所述云安全网关还包括:与所述用户设备通过总线连接的总线数据接收单元;与所述总线数据接收单元连接的总线协议转换单元;其中,总线数据接收单元接收用户设备通过总线发送的业务数据,并将业务数据传输给所述总线协议转换单元,经过所述总线协议转换单元的转换处理,得到格式与所述网络数据接口输出的数据相同的明文业务数据,并将明文业务数据传输给所述格式转换模块。其中,所述云安全网关还包括:与所述内网口连接的内网感知单元;以及审计单元和日志单元;其中,所述审计单元用于用户设备和云安全网关之间的通信过程的审计;所述日志单元用于用户设备和云安全网关之间的通信过程的日志记录。本实用新型实施例还提供一种云安全系统,包括:云服务器以及基于有线网络的如上所述的云安全网关。本实用新型实施例还提供一种云安全网关,包括:内网口,信息处理单元,会话管理单元以及外网口;其中,外网口接收用户设备通过有线网络发送的数据请求消息,然后将接收到所述数据请求消息传输给所述会话管理单元,经过所述会话管理单元对所述用户设备的身份认证后,由所述信息处理单元从云服务器中获取与所述数据请求消息对应的加密的业务数据,并对所述加密的业务数据进行解密处理得到明文业务数据,最后利用有线网络并通过所述内网口传输至所述用户设备。其中,所述信息处理单元包括:与所述内网口连接的网络数据接口;与所述网络数据接口连接的格式转换模块;与所述格式转换模块连接的信息解密单元;其中,信息解密单元对加密的业务数据进行解密处理,格式转换模块对解密后的业务数据进行格式转换后得到明文业务数据,并从所述网络数据接口将所述明文业务数据传输至所述内网口。其中,所述云安全网关还包括:与所述外网口连接的外网感知单元;以及审计单元和日志单元;其中,所述审计单元用于用户设备和云安全网关之间的通信过程的审计;所述日志单元用于用户设备和云安全网关之间的通信过程的日志记录。本实用新型实施例还提供一种云安全系统,包括云服务器以及基于有线网络的如上所述的云安全网关。本实用新型的上述技术方案至少具有如下有益效果:本实用新型实施例的云安全网关及云安全系统中,通过信息处理单元和会话管理单元实现对用户设备的身份校验和业务数据传输和数据存储全程加密保护;并提供安全的互联网入口,即内网口和外网口,保证业务数据采集和数据输出安全,保护用户网络免受黑客攻击、病毒、蠕虫、木马、恶意代码攻击等混合威胁的侵害,大大提高了网络的安全性能。附图说明图1表示本实用新型实施例提供的云安全网关的原理图;图2表示本实用新型实施例提供的云安全系统的结构图。具体实施方式为使本实用新型要解决的技术问题、技术方案和优点更加清楚,下面将结合附图及具体实施例进行详细描述。第一实施例如图1所示,本实用新型的第一实施例提供一种云安全网关,包括:内网口1,信息处理单元2,会话管理单元3以及外网口4;其中,内网口1用于接收用户设备通过有线网络发送的明文业务数据;信息处理单元2与所述内网口1连接,所述信息处理单元2用于获取所述明文业务数据,并对所述明文业务数据进行加密处理;会话管理单元3与所述信息处理单元2连接,所述会话管理单元3用于核验用户设备的身份,并获得信息处理单元2得到的加密的业务数据;外网口4与所述会话管理单元3连接,所述外网口4用于获取所述加密的业务数据,所述外网口4还通过有线网络与云服务器连接。内网口1接收用户设备通过有线网络发送的明文业务数据,然后将接收到的明文业务数据传输给所述信息处理单元2,经过所述信息处理单元2的加密处理,并由会话管理单元3核验用户设备的身份后,得到加密的业务数据,最后将所述加密的业务数据利用有线网络并通过外网口4传输至云服务器进行保存。具体的,本实用新型的上述实施例中信息处理单元2及会话管理单元3可以为具有上述所限定功能的芯片或者处理器等,在此不具体限定。本实用新型的上述实施例提供一种基于有线网络的云安全网关,通过该云安全网关的内网口1接收数据,外网口4发送数据,保证业务数据采集及数据输出的安全,其中,内网口1和/或外网口4可以是电口,也可以是光口;并通过信息处理单元2对明文业务数据进行加密处理,该信息处理单元2基于高性能芯片的各类加密算法来实现,以保证数据吞吐量和加密强度,同时为不同的用户设备分配不同的密钥等级,从而实现不同密级数据的“押运”;进一步通过会话管理单元3对用户设备进行认证,例如按照规则通信协议的黑白名单,授权用户管理,对所有建立起来的会话通信进行管理、根据认证管理规则,对通信用户进行身份认证等。具体的,本实用新型的第一实施例中针对用于用户的实际情况不同,业务数据使用的密钥等级不同,一般把密钥分为5个等级:绝密、机密、秘密、商密以及明文。云安全网关按照数据管控规则,将业务数据按照指定的加密算法,用协商好的密钥进行数据加密。具体的,本实用新型的第一实施例中所述信息处理单元2包括:与所述内网口1连接的网络数据接口21;与所述网络数据接口21连接的格式转换模块22;与所述格式转换模块22连接的信息加密单元23;其中,网络数据接口21用于接收从所述内网口1传输过来的明文业务数据;所述格式转换模块22用于获取所述明文业务数据,并对所述明文业务数据进行格式转换处理;所述加密单元23用于对格式转换模块22输出的预设格式的数据进行加密处理。网络数据接口21接收从所述内网口1传输过来的明文业务数据,并将明文业务数据传输给所述格式转换模块22,经过所述格式转换模块22的格式转换处理得到预设格式的数据,再由所述信息加密单元23对所述预设格式的数据进行加密处理得到加密的业务数据。具体的,本实用新型的上述实施例中,格式转换模块22及信息加密单元23可以为具有上述所限定功能的芯片或者处理器等,在此不具体限定。本实用新型的上述实施例中,从网路数据接口21处接收到的明文业务数据均为标准网络数据,为了解决数据格式标准化的问题,采用格式转换模块22对明文的业务数据按照国家标准处理,进行标准格式转换。具体的,该格式转换模块22还包括一业务数据缓存模块,业务数据缓存模块主要用于将接收到的来自内网口的数据(如视频、图片类)进行缓存,为格式标准化做好准备;继而通过业务数据格式标准化/数据置换模块对缓存的内容按国家标准处理,进行标准格式转换。将不同格式的数据进行标准化,可得到不同种类的索引。索引包括:信息内容索引、信息长度索引、信息密级索引等,便于数据的管理、查找及存储。具体的,本实用新型的第一实施例中所述会话管理单元3还用于管理所述信息处理单元对明文业务数据进行加密处理过程中的加密密钥。且所述会话管理单元3还用于管理与所述云安全网关建立通信的用户设备的通信数据;所述通信数据包括带宽和数据权限。综上,会话管理单元3用于在数据传输过程中进行会话管理,按照规则通信协议的黑白名单,授权用户管理,对所有建立起来的会话通信进行管理。针对一些特殊应用,可以定制带宽保证,延时保证服务。然后根据密钥管理规则进行数据密钥管理,再根据认证管理规则,对通信用户进行身份认证,或者对云安全网关进行身份认证;最后对建立通信连接的用户进行实时通信使能,带宽管理,数据权限管理等。需要说明的是,本实用新型的第一实施例提供的会话管理单元3的集成在云安全网关上的,实际应用中,该会话管理单元3也可以不集成在云安全网关上,其会话管理单元3可单独设置,也可集成在云服务器或者其他通信设备上,在此不作具体限定;所有能够达到上述作用的会话管理单元均适用于本实用新型实施例,均属于本申请的保护范围。进一步的,本实用新型的第一实施例中所述云安全网关还包括:与所述用户设备通过总线连接的总线数据接收单元5;与所述总线数据接收单元5连接的总线协议转换单元6;其中,总线数据接收单元5用于接收用户设备通过总线发送的业务数据;总线协议转换单元6用于对所述业务数据进行格式转换处理。总线数据接收单元5接收用户设备通过总线发送的业务数据,并将业务数据传输给所述总线协议转换单元6,经过所述总线协议转换单元6的转换处理,得到格式与所述网络数据接口输出的数据相同的明文业务数据,并将明文业务数据传输给所述格式转换模块22。具体的,本实用新型的上述实施例中,总线数据接收单元5及总线协议转换单元6可以为具有上述所限定功能的芯片或者处理器等,在此不具体限定。本实用新型的上述实施例中,用户设备的业务数据除了从内网口传输之外,还可以通过总线传输,例如利用汽车总线CANBUS、工业总线等传输数据,通过信号转接板可以接收到来自于这些网络的数据信号;同时为了方便后续格式标准化、加密处理等过程,需要利用总线协议转换单元6将从总线数据接收单元5处接收到的数据的通信方式从总线转换成基于TCP的通信,如将工业总线(过程现场总线PROFIBUS、MODBUS、地铁总线,医疗设备通信协议DICOM),汽车总线CANBUS等数据,按照标准的规则,转换成标准的网络数据。进一步的,本实用新型的第一实施例提供的基于有线网络的云安全网关的硬件采用高性能的异构架构,在不影响云安全网关的总体性能(数据传输速度、数据质量)的情况下,可以对内网提供感知的运行环境,即所述云安全网关还包括:与所述内网口连接的内网感知单元7;以及分别与所述内网感知单元7连接的审计单元8和日志单元9;其中,所述审计单元8用于用户设备和云安全网关之间的通信过程的审计;所述日志单元9用于用户设备和云安全网关之间的通信过程的日志记录。具体的,本实用新型的上述实施例中,内网感知单元7、审计单元8及日志单元9可以为具有上述所限定功能的芯片或者处理器等,在此不具体限定。本实用新型的上述实施例中,通过内网感知单元7提供内网感知环境,并根据审计的总体要求,通过审计单元8植入审计功能,并通过日志单元9建立整个设备的运行、故障、规则修改等日志操作。即本实用新型的第一实施例提供的云安全网关为用户提供统一地管理各种安全特性及相关日志、报告,大大降低了设备部署、管理和维护的运营成本,实现不同业务信息的互联互通。下面结合图1对用户A将明文业务数据上传至云服务器进行保存的过程进行详细描述:用户A通过有线网络将业务数据以明文信息方式将用户业务数据从内网口(可以是电口,可以是光口)传输至云安全网关的网络数据接口。或者由其他总线传输数据,通过信号转接板,可以接收到来自于这些网络的数据信号,将接收到来自其他总线的数据,按照标准的规则,转换成标准的网络数据。且硬件采用高性能的异构架构,在不影响总体性能的情况下(数据传输速度、数据质量),可以对内网提供感知的运行环境,根据审计的总体要求,植入审计功能,并建立整个设备的运行,故障,规则修改日志操作。紧接着将接收到来自内网的数据(如视频类、图片类)进行缓存,为格式标准化做好准备,并将要传输的内容按国家标准处理,进行标准格式转换,并对用户数据内容进行加密,针对用户的实际情况不同,用户数据使用的密钥等级不同。一般把密钥分为以下5个等级。a)绝密、b)机密、c)秘密、d)商密、e)明文;按照数据管控规则,将数据按照指定的加密算法,用协商好的密钥进行数据加密。传输过程中进行会话管理,按照规则通讯协议的黑白名单,授权用户管理,对所有建立起来的会话通讯进行管理。(针对一些特殊应用,可以定制带宽保证,延时保证服务)。然后根据密钥管理规则进行数据密钥管理,再根据认证管理规则,对通讯用户进行身份认证,或者对网关A进行身份认证。最后,对建立通讯连接的用户进行实时通讯使能,带宽管理,数据权限管理。最后通过云安全网关的外网口将已加密的业务数据通过有线网络上传到云服务器。综上,本实用新型的第一实施例提供云安全网关,具有安全防护功能,避免用户数据受到攻击;具有数据加密功能,防止用户数据泄露,确保数据安全保密传输;具有数据认证功能,防止系统被其他非授权控制控制,上传或者下载数据。同时,为了保证用户设备与云安全网关之间的有线网络连接,云安全网关连接有一有线通信模块,使用RJ45网口,连网方式为同轴电缆、双绞线以及光纤中的一种或多种;且该有线通信模块内置于云安全网关内部,或者有线通信模块可拆卸地固定在云安全网关上。第二实施例为了更好的实现上述目的,如图2所示,本实用新型的第二实施例还提供一种云安全系统,包括:云服务器以及如上所述的基于有线网络的云安全网关。需要说明的是,本实用新型的第二实施例提供的云安全系统是包括上述第一实施例提供的云安全网关的云安全系统,故上述第一实施例的所有实施例均适用于该云安全系统,且均能达到相同或相似的有益效果。第三实施例如图1所示,本实用新型的第三实施例还提供一种云安全网关,包括:内网口1,信息处理单元2,会话管理单元3以及外网口4;其中,外网口4用于接收用户设备通过有线网络发送的数据请求消息;会话管理单元3与所述外网口4连接,所述会话管理单元3用于核验用户设备的身份;信息处理单元2与所述会话管理单元3连接,所述信息处理单元2用于通过有线网络从云服务器中获取与所述数据请求消息对应的加密的业务数据,并对所述加密的业务数据进行解密处理;内网口1与所述信息处理单元2连接,所述内网口用于向用户设备发送信息处理单元2解密得到的明文业务数据,所述内网口1还通过有线网络与用户设备连接。外网口4接收用户设备通过有线网络发送的数据请求消息,然后将接收到所述数据请求消息传输给所述会话管理单元3,经过所述会话管理单元3对所述用户设备的身份认证后,由所述信息处理单元2从云服务器中获取与所述数据请求消息对应的加密的业务数据,并对所述加密的业务数据进行解密处理得到明文业务数据,最后利用有线网络并通过所述内网口1传输至所述用户设备。具体的,本实用新型的上述实施例中信息处理单元2及会话管理单元3可以为具有上述所限定功能的芯片或者处理器等,在此不具体限定。本实用新型的上述实施例提供一种基于有线网络的云安全网关,通过该云安全网关的内网口1接收数据,外网口4发送数据,保证业务数据采集及数据输出的安全,其中,内网口1和/或外网口4可以是电口,也可以是光口;并通过信息处理单元2对加密的业务数据进行解密处理,该信息处理单元2基于高性能芯片的各类加密算法来实现,以保证数据吞吐量,进一步通过会话管理单元3对用户设备进行认证,例如按照规则通信协议的黑白名单,授权用户管理,对所有建立起来的会话通信进行管理、根据认证管理规则,对通信用户进行身份认证等。具体的,所述信息处理单元2包括:与所述内网口1连接的网络数据接口21;与所述网络数据接口21连接的格式转换模块22;与所述格式转换模块22连接的信息解密单元24;其中,信息解密单元24用于对加密的业务数据进行解密处理;所述格式转换模块22用于获取解密得到的业务数据,并对所述业务数据进行格式转换;网络数据接口21用于获取格式转换模块22输出的明文业务数据。信息解密单元24对加密的业务数据进行解密处理,格式转换模块对解密后的业务数据进行格式转换后得到明文业务数据,并从所述网络数据接口21将所述明文业务数据传输至所述内网口1。具体的,本实用新型的上述实施例中,格式转换模块22及信息解密单元24可以为具有上述所限定功能的芯片或者处理器等,在此不具体限定。本实用新型的上述实施例中,从云服务器获取的加密的业务数据可能是标准格式的,也能的非标准格式的;对于标准格式的加密的业务数据,信息解密单元24对其进行解密处理后即可直接从网络数据接口21传输至内网口1;而对于非标准格式的加密的业务数据,信息解密单元24对其进行解密处理后还需经过格式转换模块22的格式转换处理,使其得到标准格式的明文业务数据,再从网络数据接口21传输至内网口1。需要说明的是,与第一实施例相似的是该格式转换模块22也包括一业务数据缓存模块,业务数据缓存模块主要用于将接收到的来自外网口的数据(如视频、图片类)进行缓存,为格式标准化做好准备;继而通过业务数据格式标准化/数据置换模式对缓存的内容按国家标准处理,进行标准格式转换。将不同格式的数据进行标准化,可得到不同种类的索引。索引包括:信息内容索引、信息长度索引、信息密级索引等,便于数据的管理、查找及存储。具体的,本实用新型的第二实施例中所述会话管理单元3还用于管理所述信息处理单元对加密的业务数据进行解密处理过程中的解密密钥。且所述会话管理单元3还用于管理与所述云安全网关建立通信的用户设备的通信数据;所述通信数据包括带宽和数据权限。综上,会话管理单元3用于在数据传输过程中进行会话管理,按照规则通信协议的黑白名单,授权用户管理,对所有建立起来的会话通信进行管理。针对一些特殊应用,可以定制带宽保证,延时保证服务。然后根据密钥管理规则进行数据密钥管理,再根据认证管理规则,对通信用户进行身份认证,或者对云安全网关进行身份认证;最后对建立通信连接的用户进行实时通信使能,带宽管理,数据权限管理等。需要说明的是,本实用新型的第一实施例提供的会话管理单元3的集成在云安全网关上的,实际应用中,该会话管理单元3也可以不集成在云安全网关上,其会话管理单元3可单独设置,也可集成在云服务器或者其他通信设备上,在此不作具体限定;所有能够达到上述作用的会话管理单元均适用于本实用新型实施例,均属于本申请的保护范围。进一步的,本实用新型的第一实施例提供的基于有线网络的云安全网关的硬件采用高性能的异构架构,在不影响云安全网关的总体性能(数据传输速度、数据质量)的情况下,可以对内网提供感知的运行环境,即所述云安全网关还包括:与所述外网口4连接的外网感知单元10;以及分别与所述外网感知单元10连接的审计单元8和日志单元9;其中,所述审计单元8用于用户设备和云安全网关之间的通信过程的审计;所述日志单元9用于用户设备和云安全网关之间的通信过程的日志记录。具体的,本实用新型的上述实施例中,外网感知单元10、审计单元8及日志单元9可以为具有上述所限定功能的芯片或者处理器等,在此不具体限定。本实用新型的上述实施例中,通过外网感知单元10提供外网感知环境,并根据审计的总体要求,通过审计单元8植入审计功能,并通过日志单元9建立整个设备的运行、故障、规则修改等日志操作。即本实用新型的第三实施例提供的云安全网关为用户提供统一地管理各种安全特性及相关日志、报告,大大降低了设备部署、管理和维护的运营成本,实现不同业务信息的互联互通。下面结合图1对用户B获取云服务器上加密的数据的过程进行详细描述:用户B通过有线网络发送信息请求至云安全网关的外网口。由于硬件采用高性能的异构架构,在不影响总体性能的情况下,对外网提供感知的运行环境,根据审计的总体要求,植入审计功能,并建立整个设备的运行,故障,规则修改日志操作。云安全网关进行会话管理,按照规则通讯协议的黑白名单,授权用户管理,对所有建立起来的会话通讯进行管理。(针对一些特殊应用,可以定制带宽保证,延时保证服务)。根据密钥管理规则进行数据密钥管理,再根据认证管理规则,对通讯用户进行身份认证。最后,对建立通讯连接的用户进行实时通讯使能,带宽管理,数据权限管理。认证通过后加密的数据通过有线网络加密传输到达用户B的云安全网关。云安全网关按照数据管控规则,将数据按照指定的解密算法,用协商好的密钥进行数据解密。同时为了解决数据格式标准化问题,需要将接收到来自外网的数据(如视频类、图片类)进行缓存,为格式标准化做好准备。再将要传输的内容按国家标准处理,进行标准格式转换。最后安全网关通过网络数据接口发送已标准化的解密数据,用户B通过有线网络接收云安全网关发送的已标准化的解密数据。综上,本实用新型的第三实施例提供云安全网关,具有安全防护功能,避免用户数据受到攻击;具有数据认证功能,防止系统被其他非授权控制控制,上传或者下载数据。同时,为了保证用户设备与云安全网关之间的有线网络连接,云安全网关连接有一有线通信模块,使用RJ45网口,连网方式为同轴电缆、双绞线以及光纤中的一种或多种;且该有线通信模块内置于云安全网关内部,或者有线通信模块可拆卸地固定在云安全网关上。第四实施例为了更好的实现上述目的,如图2所示,本实用新型的第四实施例还提供一种云安全系统,其特征在于,包括云服务器以及如上所述的基于有线网络的云安全网关。需要说明的是,本实用新型的第四实施例提供的云安全系统是包括上述第三实施例提供的云安全网关的云安全系统,故上述第三实施例的所有实施例均适用于该云安全系统,且均能达到相同或相似的有益效果。应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本实用新型的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。另外,本文中术语“系统”和“网络”在本文中常可互换使用。应理解,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。在本申请所提供的实施例中,应理解,“与A相应的B”表示B与A相关联,根据A可以确定B。但还应理解,根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其它信息确定B。以上所述是本实用新型的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本实用新型所述原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本实用新型的保护范围。