本发明涉及网络访问安全验证技术领域,尤其涉及一种基于工业组态和HMI人机界面的远程安全访问方法、装置、终端设备及存储介质。
背景技术:
安全性保证,是当今通过互联网(WEB、手机APP等)对某种设备、服务进行远程访问和控制时的基本保证。
现有市场上提供远程访问的方案,都是仅仅提供用户名和密码即可访问,这种情况下,一旦出现密码外泄,或者密码被人猜出,则设备和服务就会被他人控制和使用,带来不可估量的安全问题。
现有的远程访问安全验证方法,其原理一般是为:
(1)通过域名和IP连接设备或服务,或者通过账号密码登录云服务;
(2)输入远程访问用户及密码,或者只需要输入密码;
(3)获得设备的远程访问和控制权限,可以进行操作。
这样的缺点是,安全机制过于简单,若账号密码泄露,即可让其它持有该账号密码的访问者随意访问和控制;并且,还无法控制访问者的访问时长,也无法控制访问者的来访设备。使得对安全性有高要求的设备,例如工业设备服务、数据服务无法轻易使用远程控制功能,进而导致企业失去了远程控制的方便性和及时性。
技术实现要素:
针对上述的技术问题,克服现有技术存在的不足,本发明提供一种基于云端的远程安全访问的方法、装置以及系统;通过对访问设备访问受访设备时设置双重验证机制,使得即使泄露管理员的账号密码,访问设备也不能对受访设备进行随意读取或数据更改,大幅度提升了安全性,确保了受访设备只会被可信的人远程访问和控制。
具体的,本发明提供了一种基于云端的远程安全访问的方法,包括以下步骤,
访问设备发送绑定请求至云端;所述绑定请求包括在所述访问设备中登录的外部账户的信息、所述访问设备的设备信息以及所述外部账户欲访问的受访设备信息;
所述云端将该绑定请求发送至第一管理账户和第二管理账户;
所述第一管理账户和所述第二管理账户对所述绑定请求进行审核;
若所述第一管理账户和所述第二管理账户均同意所述绑定请求,则所述受访设备接受与所述外部账户绑定,并将所述外部账户添加为访客账户,所述云端存储所述访问设备的设备信息,其中所述设备信息与所述访客账户建立第一映射关系;
所述云端接收所述访问设备的访问请求;所述访问请求包括所述访问设备的设备信息、所述受访设备的信息、在所述访问设备中登录的所述访客账户的信息;
所述云端判断所述访问设备的设备信息是否存在于所述云端,若存在,则根据所述第一映射关系,允许所述访客账户直接访问所述受访设备;
若不存在,所述云端将该访问请求发送至所述第一管理账户和所述第二管理账户,所述第一管理账户和所述第二管理账户对所述访问请求进行审核;当所述第一管理账户和所述第二管理账户中的至少一个同意该访问请求时,所述受访设备接受所述访客账户的访问。
作为进一步改进,执行所述“当所述第一管理账户和所述第二管理账户中的至少一个同意该访问请求时,所述受访设备接受所述访客账户的访问”步骤的同时,将该次登录的访问设备的设备信息存储至所述云端并将该设备信息与所述访客账户之间的映射关系补充至所述第一映射关系中。
作为进一步改进,在所述云端接收所述访问设备的绑定请求后,所述云端优先检测所述受访设备中是否存在所述第一管理账户;若否,则所述受访设备接收所述云端发送的第一管理账户设置请求;
所述受访设备确认所述第一管理账户设置请求,所述云端根据所述受访设备的确认将所述访问设备的登录账号添加为所述第一管理账户;
所述云端存储所述第一管理账户的设备信息,其中所述设备信息与所述第一管理账户建立第二映射关系。
作为进一步改进,包括以下步骤,
在所述云端接收所述访问设备的绑定请求后,所述云端先检测所述受访设备中是否添加有所述第一管理账户和所述第二管理账户;
当添加有所述第一管理账户而未添加所述第二管理账户时,所述云端将欲访问所述受访设备的所述外部账户的绑定请求发送至所述第一管理账户;
若所述第一管理账户同意所述欲访问所述受访设备的所述外部账户的绑定请求,则所述云端将所述外部账户添加为访客账户;
若所述第一管理账户同意所述欲访问所述受访设备的所述外部账户的绑定请求并指令将其设置为第二管理账户,则所述云端添加所述外部账户为所述第二管理账户;所述云端存储所述第二管理账户的设备信息,其中所述设备信息与所述第二管理账户建立第三映射关系。
作为进一步改进,所述访问请求进一步包括预设访问时长;在所述云端接收所述访问请求时,将所述预设访问时长存储至所述云端,建立所述访问请求的设备信息与所述预设访问时长之间的第四映射关系。
作为进一步改进,包括以下步骤,在所述第一管理账户和所述第二管理账户对所述访问请求进行审核时,所述第一管理账户或第二管理账户根据所述访问请求中的设备信息,提供所述访问设备的配置访问时长,用所述配置访问时长替换所述预设访问时长并将该配置访问时长存储至所述云端;建立所述访问请求的设备信息与所述配置访问时长之间的第五映射关系。
作为进一步改进,所述第一管理账户能够将任一访客账户升级为第二管理账户;
当需所述第二管理账户审核时,任意一个第二管理账户同意则表示全部所述第二管理账户同意。
作为进一步改进,任一管理账户访问所述受访设备时,所述云端发送审批请求至其他管理账户,当所述其他管理账户均同意时则同意所述管理账户登录。
本发明提供一种基于云端的远程安全访问的装置,包括:
访问设备,所述访问设备用于发送绑定请求至云端;所述绑定请求包括在所述访问设备中登录的外部账户的信息、所述访问设备的设备信息以及所述外部账户欲访问的受访设备信息;
所述云端用于将该绑定请求发送至第一管理账户和第二管理账户;
所述第一管理账户和所述第二管理账户对所述绑定请求进行审核;
若所述第一管理账户和所述第二管理账户均同意所述绑定请求,则受访设备接受与所述外部账户绑定,所述云端将所述外部账户添加为访客账户,所述云端进一步用于存储所述访问设备的设备信息,其中所述设备信息与所述访客账户建立第一映射关系;
所述云端进一步用于接收所述访问设备的访问请求;所述访问请求包括所述访问设备的设备信息、所述受访设备的信息、在所述访问设备中登录的所述访客账户的信息;
所述云端判断所述访问设备的设备信息是否存在于所述云端,若存在,则根据所述第一映射关系,允许所述访客账户直接访问所述受访设备;
若不存在,所述云端将该访问请求发送至所述第一管理账户和所述第二管理账户;所述第一管理账户和所述第二管理账户对所述访问请求进行审核;当所述第一管理账户和所述第二管理账户中的至少一个同意该访问请求时,所述受访设备接受所述访客账户的访问;
所述云端进一步用于,当执行所述“当所述第一管理账户和所述第二管理账户中的至少一个同意该访问请求时,所述受访设备接受所述访客账户的访问”步骤的同时,将该次登录的访问设备的设备信息存储至所述云端,并将该设备信息与所述访客账户之间的映射关系补充至所述第一映射关系中。
在所述云端接收所述访问设备的绑定请求后,所述云端进一步用于优先检测所述受访设备中是否存在所述第一管理账户;若否,则所述受访设备接收所述云端发送的第一管理账户设置请求;
所述受访设备进一步用于确认所述第一管理账户设置请求,所述云端根据所述受访设备的确认将所述访问设备的登录账号添加为所述第一管理账户;
所述云端存储所述第一管理账户的设备信息,其中所述设备信息与所述第一管理账户建立第二映射关系。
在所述云端接收所述访问设备的绑定请求后,所述云端先检测所述受访设备中是否添加有所述第一管理账户和所述第二管理账户;
当添加有所述第一管理账户而未添加所述第二管理账户时,所述云端进一步用于将欲访问所述受访设备的所述外部账户的绑定请求发送至所述第一管理账户;
若所述第一管理账户同意所述欲访问所述受访设备的所述外部账户的绑定请求,则所述云端将所述外部账户添加为访客账户;
若所述第一管理账户同意所述欲访问所述受访设备的所述外部账户的绑定请求并指令将其设置为第二管理账户,则所述云端添加所述外部账户为所述第二管理账户;所述云端存储所述第二管理账户的设备信息,其中所述设备信息与所述第二管理账户建立第三映射关系。
所述访问请求进一步包括预设访问时长;在所述云端接收所述访问请求时,所述云端将所述预设访问时长存储,建立所述访问请求的设备信息与所述预设访问时长之间的第四映射关系。
在所述第一管理账户和所述第二管理账户对所述访问请求进行审核时,所述第一管理账户或第二管理账户根据所述访问请求中的设备信息,提供所述访问设备的配置访问时长,所述云端进一步用于将所述配置访问时长替换所述预设访问时长并将该配置访问时长存储,建立所述访问请求的设备信息与所述配置访问时长之间的第五映射关系。
本发明提供一种基于云端的远程安全访问的系统,包括处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上述的方法。
附图说明
为了更清楚地说明本发明的技术方案,下面将对实施方式中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明第一实施例的流程示意图。
图2是本发明第一实施例中的映射关系示意图。
图3是本发明第二实施例的流程示意图。
图4是本发明第三实施例的流程示意图。
图5是本发明第四实施例的装置示意图。
图6是本发明第五实施例的装置示意图。
图7是本发明第六实施例的设备示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供多种实施例,具体的,请参阅图1-图2,图1-图2为本发明的第一种实施例,包括以下步骤:
S10,访问设备发送绑定请求至云端;绑定请求包括在访问设备中登录的外部账户的信息、访问设备的设备信息以及外部账户欲访问的受访设备信息;
在云安全访问的系统中包括了若个受访设备,例如,受访设备A、受访设备B、受访设备C;也包括了若干外部账户,例如外部账户A、外部账户B、外部账户C;每个受访设备存储的数据内容不同,例如,受访设备A存储账单信息、受访设备B存储人员信息、受访设备C存储物流信息;每个外部账户使用人员的部门不同,例如外部账户A的使用者为账单部门、外部账户B的使用者为人员部门、外部账户C的使用者为物流部门;为了防止类似于受访设备A存储的数据信息被外部账户B、外部账户C获取的情况发生;外部账户欲访问受访设备时需先与受访设备进行绑定,确定该外部账户在受访设备中的权限;值得注意的是,访问设备本身是外部账户的一个登录载体,换言之,在登录时其身份信息仍为外部账户的身份信息,改变的是访问设备的设备信息,例如,外部账户B使用访问设备A进行登录访问时,其对应的登录身份信息依旧为外部账户B,访问设备的信息为设备A;在本实施例中,为避免访问设备的重复定义,清楚准确的识别每个设备信息对应的受访设备,对于类型为移动设备的受访设备可以采用每个移动设备独有的IMIEI(国际移动设备身份码)进行标记与存储,例如受访设备A的设备信息为865620024270778、受访设备B的设备信息为964871014209062;对于类型为计算机类的受访设备可以采用MAC code进行标记存储。
S20,云端将该绑定请求发送至第一管理账户和第二管理账户;
S30,第一管理账户和第二管理账户对绑定请求进行审核;若第一管理账户和第二管理账户均同意绑定请求,则受访设备接受与外部账户绑定,并将外部账户添加为访客账户,云端存储访问设备的设备信息,其中设备信息与访客账户建立第一映射关系;
第一管理账户、第二管理账户均存在账户密码泄露的可能,若仅一个管理账户通过了绑定请求就能绑定成功,当第一管理账户、第二管理账户账号外泄时,其对应的受访设备信息的安全保密程度大幅度降低;在本实施例中,外部账户的绑定请求必须得到第一管理账户和第二管理账户的同意,缺一不可;即使在某一管理账号被窃时,也不会轻易使得任一外部账户与受访设备相绑定;在外部账户得到第一管理账户以及第二管理账户的许可后,云端将外部账户添加为访客账户,并且将访客账户与其绑定请求中的设备信息建立第一映射关系,例如,访客账户A的历史登录设备访问设备A。
S40,云端接收访问设备的访问请求;访问请求包括访问设备的设备信息、受访设备的信息、在访问设备中登录的访客账户的信息;
值得注意的是,这里所指的访问设备的设备信息指的是访客账户该次登录的访问设备的设备信息,并非一定是绑定时的访问设备的设备信息。
S50,云端判断访问设备的设备信息是否存在于云端,若存在,则根据第一映射关系,允许访客账户直接访问受访设备;
若不存在,云端将该访问请求发送至第一管理账户和第二管理账户,第一管理账户和第二管理账户对访问请求进行审核;当第一管理账户和第二管理账户中的至少一个同意该访问请求时,受访设备接受访客账户的访问。
如图2所示,例如,访客账户A在绑定时其登陆载体—访问设备A与访问账户A建立了第一映射关系,云端将访问设备A存储为访客账户A的历史登陆设备,当访客账户A采用访问设备A进行登录时,因其符合第一映射关系则可直接访问受访设备;若访客账户A在登陆时采用访问设备B进行登陆,因其不满足第一映射关系,存在访客账户A泄露被盗的风险则访客账户A的该次登陆需要得到管理账户的认证,若认证通过(可能是访客账户A换了新手机,或借用别人手机登陆),则将访问设备B的设备信息与所述访客账户A的映射关系补充至所述第一映射关系中。
请参阅图3,图3为本发明的第二种实施例,在第一实施例的基础上,在S10后进一步包括S11以及S12,
S11,在云端接收访问设备的绑定请求后,云端优先检测受访设备中是否存在第一管理账户;
若否,则受访设备接收所述云端发送的第一管理账户设置请求;
S12,受访设备确认第一管理账户的设置请求;
云端添加外部账户为受访设备的第一管理账户。
这里值得注意的是,每个受访设备必须设有第一管理账户,若无第一管理账户则该受访设备无法被访问,确保受访设备的数据安全,防止受访设备可被任一外部账户所访问。以下例举一种受访设备添加第一管理账户的方式,
外部账户A在手机上扫描受访设备A的二维码(或输入D1的设备码),获取受访设备A的设备码;受访设备A的设备码为外部账户欲访问的受访设备信息;将受访设备A的设备码上传到云端进行验证,当云端检测到受访设备A不存在第一管理账户时,则通知受访设备A并弹出确认添加第一管理账户的提示,外部账户A的持有者在受访设备A上确认第一管理账户的设置请求,成功将外部账户A设置为第一管理账户。受访设备的确认方式根据受访设备的硬件设施决定,其可通过显示屏幕触摸确认也可通过指示灯等方式进行确认。
请参阅图4,图4为本发明第三种实施例,在第一实施例的基础上,在S10后进一步包括S11’以及S12’,
S11’,在云端接收访问设备的绑定请求后,云端先检测受访设备中是否添加有第一管理账户和第二管理账户;当添加有第一管理账户而未添加第二管理账户时,云端将欲访问受访设备的外部账户的绑定请求发送至第一管理账户。
S12’,若第一管理账户同意欲访问受访设备的外部账户的绑定请求,则云端将外部账户添加为访客账户;若第一管理账户同意欲访问受访设备的外部账户的绑定请求并指令将其设置为第二管理账户,则云端添加外部账户为第二管理账户;云端存储第二管理账户的设备信息,其中设备信息与第二管理账户建立第三映射关系。
请参阅图5,图5为本发明第四种实施例,在第一实施例的基础上,访问请求进一步包括预设访问时长;在S50中进一步包括S51、S52,若访客账户直接访问受访设备时,执行S51,在云端接收访问请求时,将预设访问时长存储至云端,建立访问请求的设备信息与预设访问时长之间的第四映射关系。
这里例举两种预设访问时长的设置方式:其一,可以是访客账户自行设定的取决于访客账户本身;其二,可以是在云端内设置一个预设访问时长的阈值,例如是10分钟,当云端检测到访问请求中的访问时长类型为预设访问时长时,则统一配置10分钟的访问时长至访问设备。为保证设备安全,每个访问设备信息均有一个对应的访问时长作为访问限制;对于预设访问时长,管理者可以通过校正云端中的每一设备信息的预设访问时长,为其设置一个专属的访问时长。
在第一管理账户和第二管理账户对访问请求进行审核时则执行S52,第一管理账户或第二管理账户根据访问请求中的设备信息,提供访问设备的配置访问时长,用配置访问时长替换预设访问时长并将该配置访问时长存储至云端;建立访问请求的设备信息与配置访问时长之间的第五映射关系。
请参阅图6,图6为本发明第五种实施例,提供一种基于云端的远程安全访问的装置,包括
访问设备,所述访问设备用于发送绑定请求至云端;所述绑定请求包括在所述访问设备中登录的外部账户的信息、所述访问设备的设备信息以及所述外部账户欲访问的受访设备信息;
所述云端用于将该绑定请求发送至第一管理账户和第二管理账户;
所述第一管理账户和所述第二管理账户对所述绑定请求进行审核;
若所述第一管理账户和所述第二管理账户均同意所述绑定请求,则受访设备接受与所述外部账户绑定,所述云端将所述外部账户添加为访客账户,所述云端进一步用于存储所述访问设备的设备信息,其中所述设备信息与所述访客账户建立第一映射关系;
所述云端进一步用于接收所述访问设备的访问请求;所述访问请求包括所述访问设备的设备信息、所述受访设备的信息、在所述访问设备中登录的所述访客账户的信息;
所述云端判断所述访问设备的设备信息是否存在于所述云端,若存在,则根据所述第一映射关系,允许所述访客账户直接访问所述受访设备;
若不存在,所述云端将该访问请求发送至所述第一管理账户和所述第二管理账户;所述第一管理账户和所述第二管理账户对所述访问请求进行审核;当所述第一管理账户和所述第二管理账户中的至少一个同意该访问请求时,所述受访设备接受所述访客账户的访问;
所述云端进一步用于,当执行所述“当所述第一管理账户和所述第二管理账户中的至少一个同意该访问请求时,所述受访设备接受所述访客账户的访问”步骤的同时,将该次登录的访问设备的设备信息存储至云端,并将该设备信息与所述访客账户之间的映射关系补充至所述第一映射关系中。
在所述云端接收所述访问设备的绑定请求后,所述云端进一步用于优先检测所述受访设备中是否存在所述第一管理账户;若否,则所述受访设备接收所述云端发送的第一管理账户设置请求;
所述受访设备进一步用于确认所述第一管理账户设置请求,所述云端根据所述受访设备的确认将所述访问设备的登录账号添加为所述第一管理账户;
所述云端存储所述第一管理账户的设备信息,其中所述设备信息与所述第一管理账户建立第二映射关系。
在所述云端接收所述访问设备的绑定请求后,所述云端先检测所述受访设备中是否添加有所述第一管理账户和所述第二管理账户;
当添加有所述第一管理账户而未添加所述第二管理账户时,所述云端进一步用于将欲访问所述受访设备的所述外部账户的绑定请求发送至所述第一管理账户;
若所述第一管理账户同意所述欲访问所述受访设备的所述外部账户的绑定请求,则所述云端将所述外部账户添加为访客账户;
若所述第一管理账户同意所述欲访问所述受访设备的所述外部账户的绑定请求并指令将其设置为第二管理账户,则所述云端添加所述外部账户为所述第二管理账户;所述云端存储所述第二管理账户的设备信息,其中所述设备信息与所述第二管理账户建立第三映射关系。
所述访问请求进一步包括预设访问时长;在所述云端接收所述访问请求时,所述云端将所述预设访问时长存储,建立所述访问请求的设备信息与所述预设访问时长之间的第四映射关系。
在所述第一管理账户和所述第二管理账户对所述访问请求进行审核时,所述第一管理账户或第二管理账户根据所述访问请求中的设备信息,提供所述访问设备的配置访问时长,所述云端进一步用于将所述配置访问时长替换所述预设访问时长并将该配置访问时长存储,建立所述访问请求的设备信息与所述配置访问时长之间的第五映射关系。
图7为本发明第六种实施例示意图,该实施例提供了一种基于云端的安全访问的系统包括,处理器、存储器以及存储在所述存储器中且被配置为由所述处理器执行的计算机程序,所述处理器执行所述计算机程序,例如基于云端的远程安全访问的程序;
示例性的,所述计算机程序可以被分割成一个或多个模块,所述一个或者多个模块被存储在所述存储器中,并由所述处理器执行,以完成本实施例。所述一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段,该指令段用于描述所述计算机程序在多屏显示系统的控制方法终端设备中的执行过程。
所述基于云端的远程安全访问系统可以是桌上型计算机、笔记本、掌上电脑及云端服务器等计算设备。
所述基于云端的远程安全访问系统可包括,但不仅限于,处理器、存储器、显示器。本领域技术人员可以理解,所述示意图仅仅是基于云端的远程安全访问系统的示例,并不构成对基于云端的远程安全访问系统设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如基于云端的远程安全访问系统还可以包括输入输出设备、网络接入设备、总线等。
所称处理器可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现成可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,所述处理器是基于云端的远程安全访问系统的控制中心,利用各种接口和线路连接整个基于云端的远程安全访问系统的各个部分。
所述存储器可用于存储所述计算机程序和/或模块,所述处理器通过运行或执行存储在所述存储器内的计算机程序和/或模块,以及调用存储在存储器内的数据,实现基于云端的远程安全访问系统的各种功能。所述存储器可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、文字转换功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、文字消息数据等)等。此外,存储器可以包括高速随机存取存储器,还可以包括非易失性存储器,例如硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
其中,基于云端的远程安全访问系统集成的模块如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一个计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。需要说明的是,所述计算机可读介质包含的内容可以根据司法管辖区内立法和专利实践的要求进行适当的增减,例如在某些司法管辖区,根据立法和专利实践,计算机可读介质不包括电载波信号和电信信号。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。