设备弱口令管理方法及装置与流程

本发明涉及网络管理领域，尤其涉及设备弱口令管理方法及装置。

背景技术：

随着互联网的快速发展和普及，各企业不断加大互联网系统的建设与投入，使得企业网络系统中的终端设备数量不断增加，相应的，网络系统中所保存的企业关键数据量也越来越多。终端账号的登录口令安全作为一个网络系统的重要安全要素，对企业网络信息安全起到举足轻重的作用。如果登录口令的等级设置的太过低，则容易被攻击者猜测到或被破解工具破解，进而会对企业管理系统中保存的数据构成较大的威胁，因此，需要对网络中终端账号的登录口令进行重点管理。

现有技术中，在进行终端登录口令检查时，通常首先利用口令核查工具获取目标网络中各终端账号的登录口令。然后对获取的登录口令进行安全等级进行分析，以确定所获取的登录口令是否为弱口令；如果所获取的登录口令是弱口令，则将登陆口令和设备账号形成分析报告，展示给网络运维人员。最后，网络运维人员根据该分析报告，人工开启设备远程连接工具登陆存在弱口令的终端设备，手动执行口令修改相关指令(如，在centos系统中执行passwd指令)，或者，将编写好的口令修改脚本发送给该终端设备，控制终端设备执行口令修改脚本，以将其终端账号登录口令修改为安全等级高的登录口令。

随着网络中的终端设备不断增多，可能存在的弱口令修复工作也在不断增多，然而，上述采用人工或脚本修复弱口令的方式，却需要依赖于网络运维人员的操作，因此，会造成大量的人工消耗，甚至造成某些设备弱口令修复工作不够及时，影响其设备内部所存储数据的安全性。

技术实现要素：

针对现有技术中的设备弱口令修复工作需要依赖于网络运维人员的问题，本发明实施例提供了一种设备弱口令管理方法及装置。

根据本发明实施例的第一方面，提供了一种设备弱口令管理方法，该方法包括：

根据预设账户登录口令的安全检查标准，获取目标设备中存在的弱口令用户账号；

根据预设密码策略，为所述弱口令用户账号生成符合所述预设密码策略的新登录口令；

将所述新登录口令与弱口令字典中的口令进行比对，判断所述新登录口令是否存在于所述弱口令字典中；

如果所述新登录口令未存在于所述弱口令字典中，则将所述弱口令用户账号的登录口令设置为所述新登录口令。

可选地，所述方法还包括：

获取所述目标设备的密码策略；

将所述密码策略与所述预设密码策略进行比对，判断所述密码策略是否符合所述预设密码策略的要求；

如果所述密码策略不符合所述预设密码策略的要求，则将所述目标设备的密码策略修改为所述预设密码策略。

可选地，获取所述目标设备的密码策略，包括：

获取所述目标设备的密码策略文件；

对所述密码策略文件进行解析，得到所述目标设备的密码策略。

可选地，将所述弱口令用户账号的登录口令设置为所述新登录口令之前，所述方法还包括：

将所述弱口令用户账号的当前的登录口令和所述新登录口令进行存储。

可选地，将所述弱口令用户账号的登录口令设置为所述新登录口令之后，所述方法还包括：

将所述弱口令用户账号和所述新登录口令发送至第三方账号管理系统。

可选地，将所述弱口令用户账号的登录口令设置为所述新登录口令之后，所述方法还包括：

重新获取所述弱口令用户账号的新登录口令；

根据所述预设账户登录口令的安全检查标准，判断所述重新获取的新登录口令是否为弱口令；

如果所述重新获取的新登录口令是弱口令，则为所述弱口令用户账号重新生成符合所述预设密码策略的登录口令。

根据本发明实施例的第二方面，还提供了一种设备弱口令管理装置，所述装置包括：

弱口令账户获取模块：用于根据预设账户登录口令的安全检查标准，获取目标设备中存在的弱口令用户账号；

登录口令生成模块：用于根据预设密码策略，为所述弱口令用户账号生成符合所述预设密码策略的新登录口令；

登录口令验证模块：用于将所述新登录口令与弱口令字典中的口令进行比对，判断所述新登录口令是否存在于所述弱口令字典中；

登录口令设置模块：用于如果所述新登录口令未存在于所述弱口令字典中，则将所述弱口令用户账号的登录口令设置为所述新登录口令。

可选地，所述装置还包括：

密码策略获取模块：用于获取所述目标设备的密码策略；

密码策略分析模块：用于将所述密码策略与所述预设密码策略进行比对，判断所述密码策略是否符合所述预设密码策略的要求；

密码策略修改模块：用于如果所述密码策略不符合所述预设密码策略的要求，则将所述目标设备的密码策略修改为所述预设密码策略。

可选地，所述装置还包括对外接口模块，其中：

所述对外接口模块，用于将所述弱口令用户账号和所述新登录口令发送至第三方账号管理系统。

可选地，所述装置还包括可视化模块，其中：

所述可视化模块，用于将弱口令账户获取模块、登录口令生成模块、登录口令验证模块和登录口令设置模块对数据的处理过程以及处理结果进行展示。

由以上技术方案可见，本发明实施例提供的一种设备弱口令管理方法及装置，根据预设账户登录口令安全检查标准，获取目标设备中存在的弱口令用户账号；然后，根据预设密码策略，为所述弱口令用户账号生成符合所述预设密码策略的新登录口令，并对生成的新登录口令进行弱口令检测，如果不是弱口令，则将所述弱口令用户账号的登录口令设置为所述新登录口令。本实施例提供的方法，可以自动化完成弱口令的检查及自动修复工作，这样不仅可以减轻运维人员的工作，还可以及时的对设备中的弱口令进行修正，在最短的时间内杜绝弱口令在网络系统中的存在，进而避免了因弱口令造成系统数据流失而给企业带来的经济损失。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本发明。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，对于本领域普通技术人员而言，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种设备弱口令管理方法的基本流程示意图；

图2为本发明实施例提供的另一种设备弱口令管理方法的基本流程示意图；

图3为本发明实施例提供的又一种设备弱口令管理方法的基本流程示意图；

图4为本发明实施例提供的一种设备弱口令管理装置的基本结构示意图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本发明相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本发明的一些方面相一致的装置和方法的例子。

针对现有技术中，在进行设备弱口令管理时，有设备弱口令检查的方法，但是现有方法仅能够提供弱口令及用户账好相关的展示功能，不能针对弱口令的问题进行自动修复，而是需要人工编写脚本批量执行或开启设备远程连接工具，手动执行口令修改相关指令方可完成修复工作，即缺乏自动化的技术手段支撑大量重复性的修复工作，导致的修复效率低、修复工作不够及时等问题。本发明实施例提供了一种设备弱口令管理方法及装置，以自动化的完成弱口令的检查及修复工作。

图1为本发明实施例提供的一种设备弱口令管理方法的基本流程示意图。如图1所示，该方法具体包括如下步骤：

s110：根据预设账户登录口令的安全检查标准，获取目标设备中存在的弱口令用户账号。

其中，设备账户的登录口令是指一个字符串，在终端设备用户登录时，需要输入正确的登录口令才能进入该设备系统。其中，上述字符串中字符的种类可以包括：数字、大写字母、小写字母以及特殊字符等。弱口令即是容易被他人猜测到或被破解工具破解的口令，如oracle数据库在安装后system用户的默认密码是“manager”便是弱口令。目标设备可以是网络中的主机、数据库、网络设备、防火墙等设备。

进一步的，本实施例中的用户账号可以为终端设备的普通用户，也可以是系统管理员的高权限用户。相应的，上述登录口令可以为终端设备用户输入的普通用户级登录口令，也可以是系统管理员输入的高权限登录口令，以上两种登录口令仅在登录权限上存在不同，两者的口令组成并无本质无差异。

在本发明实施例中，预设账户登录口令的安全等级检查标准，该安全检查标准是判断用户账号的登录口令是否为弱口令的重要标准，具体的，该预设账户登录口令安全检查标准可以是弱口令字典，但并不限于弱口令字典，例如，还可以弱口令字典结合密码策略等。利用该安全等级检查标准对登录口令的安全等级进行判断，得出判断结果。在具体应用中，该安全等级检查标准可以由设备自行生成，也可以由设备管理员根据目标设备的特点进行人工设置。

具体的，在进行账户弱口令检查时，可以通过telnet、ssh等协议登录到目标设备，向目标设备发送获取登录口令的指令，以获取目标设备返回的登录口令文件；然后，采用离线形式，根据预设账户登录口令的安全等级检查标准，对上述登录口令文件中用户账号的登录口令进行分析。例如，上述预设账户登录口令的安全检查标准为弱口令字典时，则判断上述登录口令文件中的登录口令是否存在于弱口令字典中，如果存在于弱口令字典中，则说明该用户账号的登录口令为弱口令。

另外，如果上述预设账户登录口令的安全检查标准为密码策略结合弱口令字典的方式时，则可以先判断用户账号的登录口令是否符合密码策略，如果不符合密码策略，则说明是弱口令；如果符合密码策略，则继续判断其是否存在于弱口令字典中；如果存在于弱口令字典中，则说明该用户账号的登录口令为弱口令，相反，则不是弱口令。利用上述先用密码策略进行初步判断的方式，与直接利用弱口令字典中判断相比，可以快速确认出一些安全等级低的密码，例如，系统的默认密码等。

其中，进行是否符合密码策略判断时，可以采用如下判断步骤：判断所获取的登录口令的字段长度是否大于预设长度；当该登录口令的字段长度小于或等于所述预设长度时，确认该登录口令为弱口令。相反，当该登录口令的字段长度大于预设长度时，则判断该登录口令是否为连续重复的字符段组成，当该登录口令由连续重复的字符段组成时，确认该登录口令为弱口令。相反，当所述登录口令不是由连续重复的字符段组成时，则判断该登录口令是否均由大写或小写英文字母组成，当所述登录口令均由大写或小写英文字母组成时，确认该登录口令为弱口令。相反，当所述登录口令不是均由大写或小写英文字母组成时，则判断该登录口令是否均由阿拉伯数字组成，当所述登录口令均由阿拉伯数字组成时，确认该登录口令为弱口令；当所述登录口令不是均由阿拉伯数字组成时，确认该登录口令符合密码策略，进而可以进行是否存在于弱口令字典中的判断步骤。

当然，在进行目标设备的弱口令检测时，还可以根据预设账户登录口令的安全检查标准，采用远程连接目标设备反复尝试登录账号口令等方式来获取目标设备中存在弱口令用户账号，或者其它的检查方式，本发明实施例在此不再一一赘述。

s120：根据预设密码策略，为所述弱口令用户账号生成符合所述预设密码策略的新登录口令。

其中，密码策略是设备登录口令安全性的标志，主要包括密码长度限制、密码复杂度限制、密码有效时限、历时密码限制等因素。

s130：将所述新登录口令与弱口令字典中的口令进行比对，判断所述新登录口令是否存在于所述弱口令字典中。

其中，弱口令字典是指若干弱口令的集合。该弱口令字典可以由专门的弱口令字典生成工具制成，充分考虑各种弱口令的组合方式，通过列举和穷举的方式生成弱口令字典文件；当然，还可以根据需要校验的目标设备不同，专门配置有针对性的弱口令字典。

具体的，在进行新登录口令是否存在于弱口令字典中时，为了提升大数据量口令检验的效率，可以采用多线程处理与二分查找法相结合的方式进行检验。首先，将弱口令字典拆分为多个子弱口令字典，每个子弱口令字典对应一个检验线程，只要不超过系统的运算负荷量，可以同时设置上千条线程甚至更多条线程同时进行对比。

然后，将各弱口令字典内的口令按照一定的规律进行排序，例如排序的方法可以为：数值排序(1至9)、字母小写排序(a至z)，字母大小写排序(a至z)，各口令从第一位开始比较，如首位字符相同则比较第二位，如果第二位字符也相同再比较第三位，以此类推，直到可以区分前后顺序为止，形成完整的序列表。

最后，将设置好的多个线程利用其对应的已排序的各子弱口令字典，同时采用二分查找法来进行对比检验。比对时，先从子弱口令字典的中间位置口令比较，如果比对结果在字典列表的上半部分，则定位与上半部分字典的中间位置的口令进行比较，再确认新登录口令所需对比的排序区域，然后再与中间位置的口令进行比较，依次类推。如果新登录口令最终与子弱口令字典中的某个口令一样，则判定该新登录口令存在于弱口令字典中，相反，如果比对整个弱口令字典结束后，未找到相同的口令，则判定该新登录口令不存在于弱口令字典中。

如果该新登录口令不存在于弱口令字典中，则执行步骤是140，相反，则返回执行步骤s120，重新生成新登录口令。

当然，在具体实施过程中，还可以采用其它的方式进行新生成登录口令是否存在于弱口令字典的检验，例如，逐一比对的方式，本发明实施例在此不做具体限定。

s140：如果所述新登录口令未存在于所述弱口令字典中，则将所述弱口令用户账号的登录口令设置为所述新登录口令。

具体的，登录目标设备将弱口令用户账号的登录口令修改为该新登录口令，接收目标设备返回的修改结果，如果返回的修改结果为修改成功，则可以退出目标设备登录，即完成了弱口令用户账号的登录口令自动修复工作，相反，如果返回的修改结果为修改失败，则可以返回步骤s120中进行重新生成新口令。

进一步的，为了提高本发明实施例的安全性与容错能力，将所述弱口令用户账号的登录口令设置为所述新登录口令之前，本发明实施例还提供了如下步骤：将所述弱口令用户账号的当前的登录口令和所述新登录口令进行存储。这样，可以在修改登录密码不成功或者后续登录设备时，能提供出正确的登录口令。

另外，在将所述弱口令用户账号的登录口令设置为所述新登录口令之后，本发明实施例还提供了如下步骤：将所述弱口令用户账号和所述新登录口令发送至第三方账号管理系统。利用上述步骤，可以将修复成功登录口令以接口的形式同步给第三方账好口令管理系统，与现有技术中的人工将新口令录入进账好口令管理系统中的方式相比，可以减少人工运维工作量，例如，将修改后的登录口令发送给4a(authentication、account、authorization、audit，认证、账号、授权、审计)统一安全管理平台系统。

本发明实施例提供的设备弱口令管理方法，利用预设账户登录口令安全检查标准，对目标设备用户账号的登录口令进行安全检查，当用户账号的口令为弱口令时，则自动生成符合所述预设密码策略的新登录口令，以及将存在弱口令用户账号的登录口令设置成新登录口令。由上述过程可见，本实施例提供的方法，可以自动化完成弱口令的检查及自动修复工作，这样不仅可以减轻运维人员的工作，还可以及时的对设备中的弱口令进行修正，在最短的时间内杜绝弱口令在网络系统中的存在，进而避免了因弱口令造成系统数据流失而给企业带来的经济损失。

为了防止目标设备的密码策略的配置较低，而使该目标设备新建用户账号时，所设置的登录密码依然为弱口令，在后续需要重复对该设备的登录口令进行修复的问题。本发明实施例还提供了对目标设备的密码策略进行重新配置的方法。

图2为本发明实施例提供的另一种设备弱口令管理方法的基本流程示意图。如图2所示，在步骤s110之后，该方法还包括如下步骤：

s210：获取所述目标设备的密码策略。

具体的，可以首选，通过telnet、ssh等协议登录到目标设备，执行获取策略文件指令，获取目标设备返回的密码策略文件的具体内容。

以centos系统为例，“/etc/pam.d/system-auth”即是该目标设备的密码策略文件，使用root用户执行“cat/etc/pam.d/system-auth”指令，既可以获取目标设备返回的密码策略文件。

然后，对所述密码策略文件进行解析，得到所述目标设备的密码策略。

具体的，可以解析策略文件中的【密码长度】、【密码复杂度】、【密码有效时限】、【历时密码设置】等相关配置内容。

还是以centos系统为例，获取到的密码策略文件包括如下内容：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-2dcredit＝-1ocredit＝-1”

其中，上述文件中黑色加粗部分即为设备密码策略设置内容，译为：密码必须至少包含一个大写字母(ucredit)，两个小写字母(lcredit)，一个数字(dcredit)和一个标点符号(ocredit)组成。

利用程序通过正则表达式解析出以下内容：

ucredit＝-1

lcredit＝-2

dcredit＝-1

ocredit＝-1

s220：将所述密码策略与所述预设密码策略进行比对，判断所述密码策略是否符合所述预设密码策略的要求。

具体的，可以以用户定义或模块内置的密码策略要求为基准，对设备密码策略设置具体值进行比较，判断当前设备密码策略设置是否安全。

以centos系统为例，当前目标设备密码复杂度设置为：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-1dcredit＝-1”。

用户定义或模块内置的密码策略要求为：

密码必须至少包含一个大写字母，一个小写字母，一个数字和一个标点符号组成。

经过比对，设备上的密码策略没有“一个标点符号(即ocredit＝-1)”的要求，所以鉴定结果为密码策略不安全。

如果目标设备的密码策略符合预设密码策略的要求，则可以执行步骤s120，按照预设的密码策略对目标设备的登录口令进行修改，当然，还可根据该目标设备的密码策略生成新的登录口令，以进行目标设备的登录口令修改工作；相反，则执行步骤s230。

s230：如果所述密码策略不符合所述预设密码策略的要求，则将所述目标设备的密码策略修改为所述预设密码策略。

当判断为策略不安全时，程序自动完成密码策略的修改工作。

以centos系统为例，使用root用户执行如下指令：

“cat/etc/pam.d/system-auth”

程序通过正则表达式解析出以下内容：

“passwordrequisitepam_cracklib.so”的配置项，将原有配置修改为：

“passwordrequisitepam_cracklib.soretry＝3difok＝3minlen＝10ucredit＝-1lcredit＝-2dcredit＝-1ocredit＝-1”。

其中，黑色加粗部分为增加的配置项，其它部分为原有的配置项。

需要说明的是，上述步骤s210并不限于在步骤s110之后执行，在具体实施过程中，还可以在步骤s110之前执行。

进一步的，为了进一步验证在步骤s140中，将弱口令用户账号的登录口令设置为新登录口令的正确性，本发明实施例还提供了根据修复结果，进行修复成功与否的验证的步骤。

图3为本发明实施例提供的又一种设备弱口令管理方法的基本流程示意图，如图3所示，在步骤s140之后，所述方法还包括如下步骤：

s310：重新获取所述弱口令用户账号的新登录口令。

具体的，可以按照步骤s110的方法，获取所述弱口令用户账号的新登录口令。

进一步的，还可以利用上述新登录口令，重新进行所述弱口令用户账号的登录测试，如果登录成功，则说明该新登录口令修改成功，并继续执行步骤s320；相反，如果未登录成功，则说明该新登录口令未修改成功，并重新执行步骤s120。

s320：根据所述预设账户登录口令安全检查标准，判断所述重新获取的新登录口令是否为弱口令。

具体的，可以按照步骤s110的方法，进行所获取登录口令的等级判断，本发实施例在此不再赘述。

s330：如果所述重新获取的新登录口令是弱口令，则为所述弱口令用户账号重新生成符合所述预设密码策略的登录口令。

如果是弱口令，则可以重新执行步骤s120；否则，则说明修复结果有效，结束整个流程。

进一步的，在上述实施例一至三中，在执行弱口令检查、密码策略优化、弱口令修复、修复验证等步骤(即对应步骤s110至s140、s210至s230、以及s310和s320)的过程中，还可以生成相关的运行日志、存储相关的执行结果与数据，并对该运行日志、执行的结果与数据通过可视化模块进行可视化展示，以实现对设备登录口令管理的整个过程进行展现的需求。

基于上述方法，本发明还提供了一种设备弱口令管理装置。图4为本发明实施例提供的一种设备弱口令管理装置的基本结构示意图。如图4所示，该装置400具体包括如下部分：

弱口令账户获取模块410：用于根据预设账户登录口令的安全检查标准，获取目标设备中存在的弱口令用户账号。

登录口令生成模块420：用于根据预设密码策略，为所述弱口令用户账号生成符合所述预设密码策略的新登录口令；

登录口令验证模块430：用于将所述新登录口令与弱口令字典中的口令进行比对，判断所述新登录口令是否存在于所述弱口令字典中；

登录口令设置模块440：如果所述新登录口令未存在于所述弱口令字典中，则将所述弱口令用户账号的登录口令设置为所述新登录口令。

进一步的，为实现对弱口令修复结果进行验证，本发明实施例的装置还包括修复结果验证模块450，其中：

修复结果验证模块450具体用于：重新获取所述弱口令用户账号的新登录口令；根据所述预设账户登录口令的安全检查标准，判断所述重新获取的新登录口令是否为弱口令；如果所述重新获取的新登录口令是弱口令，则为所述弱口令用户账号重新生成符合所述预设密码策略的登录口令。

进一步的，修复结果验证模块450还可以用于：在重新获取所述弱口令用户账号的新登录口令后，利用该新登录口令，进行所述弱口令用户账号的登录测试，如果登录成功，则说明该新登录口令修改成功，并继续进行新登录口令是否为弱口令的检测；相反，如果未登录成功，则说明该新登录口令未修改成功，并重新为该弱口令用户账号生成符合所述预设密码策略的登录口令。

本发明实施例提供的设备弱口令管理装置，利用预设账户登录口令安全检查标准，对目标设备用户账号的登录口令进行安全检查，当用户账号的口令为弱口令时，则自动生成符合所述预设密码策略的新登录口令，以及将存在弱口令用户账号的登录口令设置成新登录口令。由上述过程可见，本实施例提供的装置，可以自动化完成弱口令的检查及自动修复工作，这样不仅可以减轻运维人员的工作，还可以及时的对设备中的弱口令进行修正，在最短的时间内杜绝弱口令在网络系统中的存在，进而避免了因弱口令造成系统数据流失而给企业带来的经济损失。

为了防止目标设备的密码策略的配置较低，而使该目标设备新建用户账号时，所设置的登录密码依然为弱口令，在后续需要重复对该设备的登录口令进行修复的问题。本发明实施例还提供了对目标设备的密码策略进行重新配置的模块，具体包括：

密码策略获取模块510：用于获取所述目标设备的密码策略。

具体的，可以首先获取所述目标设备的密码策略文件，对所述密码策略文件进行解析，得到所述目标设备的密码策略。

密码策略分析模块520：将所述密码策略与所述预设密码策略进行比对，判断所述密码策略是否符合所述预设密码策略的要求；

密码策略修改模块530：如果所述密码策略不符合所述预设密码策略的要求，则将所述目标设备的密码策略修改为所述预设密码策略。

为修复成功登录口令以接口的形式同步给第三方账好口令管理系统，以减少人工运维工作量，所述装置还包括对外接口模块610，其中：

对外接口模块610，用于将所述弱口令用户账号和所述新登录口令发送至第三方账号管理系统。

为实现在弱口令检查、密码策略优化、弱口令修复、修复验证等步骤中，可以生成相关的运行日志、存储相关的执行结果与数据，并对设备登录口令管理的整个过程进行展现，所述装置还包括可视化模块710，其中：

可视化模块710，用于将弱口令账户获取模块、登录口令生成模块、登录口令验证模块和登录口令设置模块对数据的处理过程以及处理结果进行展示。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上仅是本发明的具体实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。