为虚拟VPN提供密码服务的方法、密码设备及虚拟VPN服务系统与流程

本发明属于信息安全技术领域，具体涉及一种为虚拟vpn提供密码服务的方法、密码设备以及虚拟vpn服务系统。

背景技术：

云计算环境中可以采用vpn(virtualprivatenetwork，虚拟专用网络)来实现租户的数据传输保护。在云计算环境中由于硬件设备都是多租户共享的，vpn的实现方式也具有一定的特殊性。可以在物理主机上启动多个虚拟机或者容器，每个虚拟机或容器上面运行一个软件形态的虚拟化的vpn，各自为不同的租户提供vpn服务，即通常所说的vpn即服务。

分布式协调服务系统，如zookeeper或etcd，是基于共识算法的、分布式的应用程序协调服务，为分布式应用服务提供一致性服务，包括配置维护、域名服务、分布式同步、组服务等。分布式协调服务系统是云计算中常用的信息同步方式。

利用虚拟机的快照技术，可以对虚拟化的vpn进行实时备份和动态迁移。这种实现方式由于将安全策略spd和安全关联sad以及相应的密钥等敏感数据存储于内存和快照中，存在很大的安全风险。而且对于抗重放序列号等快速变化的数据，即使快照也不能保障其时效性，一旦在虚拟vpn实时迁移时出现序列号的失步，vpn通道将会中断。

技术实现要素：

有鉴于此，本申请提供一种为虚拟vpn提供密码服务的方法、密码设备以及虚拟vpn服务系统，将密钥等敏感数据的产生和存储、使用等均在安全可靠的密码设备内进行，消除共享物理内存及快照带来的密钥泄露和被篡改的安全风险。

为解决以上技术问题，本发明提供的技术方案是一种为虚拟vpn提供密码服务的方法，应用于密码设备，包括：

接受虚拟vpn的连接申请，与虚拟vpn建立安全连接通道；

通过所述安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥；

通过所述安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务。

优选地，所述方法还包括：

通过分布式协调服务系统将接收的虚拟vpn传输的密钥素材信息、密钥特征信息和密码服务信息与其他密码设备进行信息同步。

优选地，所述密钥特征信息包括虚拟vpn自身的ip地址信息、对端虚拟vpn的ip地址信息、封装协议信息以及安全参数索引信息。

优选地，所述通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥的方法，包括：

为每个虚拟vpn建立独立的密钥存储区，并为每个虚拟vpn分配一个对该虚拟vpn密钥存储区存储的密钥进行加密的主密钥，所述密钥存储区与对应的虚拟vpn自身的ip地址信息相对应；

根据虚拟vpn传输的密钥素材信息产生密钥，并产生密钥id，将所述密钥和所述密钥id对应的存储在密钥存储区；

建立密钥缓存区，将已产生的密钥id存储于密钥缓存区，并将已产生的密钥id与密钥特征信息相对应。

优选地，所述通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务的方法，包括：

通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息；

根据密钥特征信息检索对应的密钥id，根据密钥id调用对应的密钥提供密码服务。

优选地，所述通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务的方法，包括：

通过安全连接通道接收虚拟vpn传输的密码服务信息中的抗重放序列号；

在该虚拟vpn对应的密钥存储区根据密钥id存储并更新抗重放序列号。

本发明还提供一种为虚拟vpn提供密码服务的密码设备，包括：

信息同步模块，用于接受虚拟vpn的连接申请，与虚拟vpn建立安全连接通道；

密钥管理模块，用于通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥；

密码服务模块，用于通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务。

优选地，所述信息同步模块，还用于通过分布式协调服务系统将接收的虚拟vpn传输的密钥素材信息、密钥特征信息和密码服务信息与其他密码设备进行信息同步。

优选地，其特征在于，所述密钥特征信息包括虚拟vpn自身的ip地址信息、对端虚拟vpn的ip地址信息、封装协议信息以及安全参数索引信息。

优选地，所述密钥管理模块用于通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥的方法，包括：

密钥管理模块为每个虚拟vpn建立独立的密钥存储区，并为每个虚拟vpn分配一个对该虚拟vpn密钥存储区存储的密钥进行加密的主密钥，所述密钥存储区与对应的虚拟vpn自身的ip地址信息相对应；

密钥管理模块根据虚拟vpn传输的密钥素材信息产生密钥，并产生密钥id，将所述密钥和所述密钥id对应的存储在密钥存储区；

密钥管理模块建立密钥缓存区，将已产生的密钥id存储于密钥缓存区，并将已产生的密钥id与密钥特征信息相对应。

优选地，所述密码服务模块用于通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务的方法，包括：

密码服务模块通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息；

根据密钥特征信息检索对应的密钥id，根据密钥id调用对应的密钥提供密码服务。

优选地，所述密码服务模块用于通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务的方法，包括：

密码服务模块通过安全连接通道接收虚拟vpn传输的密码服务信息中的抗重放序列号；

在该虚拟vpn对应的密钥存储区根据密钥id存储并更新抗重放序列号。

本发明还提供一种虚拟vpn服务系统，包括分布式协调服务系统、若干个虚拟vpn和若干个上述方案所述的密码设备。

本申请与现有技术相比，其有益效果详细说明如下：本发明实施例提供的虚拟vpn提供密码服务的方法、密码设备以及虚拟vpn服务系统，该方法应用于密码设备，包括接受虚拟vpn的连接申请，与虚拟vpn建立安全连接通道；通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥；通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务。通过上述方法为虚拟vpn提供密钥管理和密码运算服务，密钥等敏感数据的产生和存储、使用等均在安全可靠的密码设备内进行，消除了虚拟vpn共享物理内存及快照带来的密钥泄露和被篡改的安全风险。

附图说明

图1为本发明实施例一为虚拟vpn提供密码服务的方法流程示意图；

图2为本发明实施例一为虚拟vpn提供密钥管理服务的方法流程示意图；

图3为本发明实施例一为虚拟vpn提供密码运算服务的方法流程示意图；

图4为本发明实施例二为为虚拟vpn提供密码服务的方法流程示意图；

图5为本发明实施例三为虚拟vpn提供密码服务的密码设备的结构示意图；

图6为本发明实施例应用的虚拟vpn系统结构图。

具体实施方式

为了使本领域的技术人员更好地理解本发明的技术方案，下面结合附图和具体实施例对本发明作进一步的详细说明。

如图1所示，本发明实施例一提供了一种为虚拟vpn提供密码服务的方法，应用于密码设备，具体包括：

s1：接受虚拟vpn的连接申请，与虚拟vpn建立安全连接通道；

s2：通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥；

s3：通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务。

需要说明的是，步骤s1中，密码设备接受虚拟vpn的连接申请，与虚拟vpn建立安全连接通道。其中，密码设备在zookeeper或etcd等分布式协调服务系统进行注册，建立名字服务节点(nameserviceznode)。具体的，密码设备以自身的ip地址信息进行注册并更新工作状态。接受虚拟vpn的连接申请，与虚拟vpn建立ssl(securesocketslayer安全套接层)安全连接通道。

步骤s2中，密码设备通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥。

其中，密钥特征信息可以包括虚拟vpn自身的ip地址信息、对端虚拟vpn(对端虚拟vpn指和该虚拟vpn进行通信的其他虚拟vpn)的ip地址信息、封装协议信息以及安全参数索引信息。在虚拟vpn与密码设备建立ssl安全连接通道后，虚拟vpn在产生密钥和调用密码运算的时候可以将自身的ip地址信息、对端虚拟vpn的ip地址信息、封装协议信息以及安全参数索引(spi)信息传输给密码设备，作为存储密钥和检索密钥的依据。

如图2所示，密码设备通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥的方法，包括：

s21：为每个虚拟vpn建立独立的密钥存储区，并为每个虚拟vpn分配一个对该虚拟vpn密钥存储区存储的密钥进行加密的主密钥，密钥存储区与对应的虚拟vpn自身的ip地址信息相对应；

s22：根据虚拟vpn传输的密钥素材信息产生密钥，并产生密钥id，将密钥和密钥id对应的存储在密钥存储区；

s23：建立密钥缓存区，将已产生的密钥id存储于密钥缓存区，并将已产生的密钥id与密钥特征信息相对应。

具体的，相关密钥的密钥id由密码设备统一维护，密码设备为每个虚拟vpn建立独立的密钥存储区并使用该虚拟vpn的ip地址信息作为密钥存储区的索引键值，每个密钥存储区存放对应虚拟vpn的设备密钥(公私钥对)，并为该虚拟vpn的每一类密钥(工作密钥skeyid_d，skeyid_a，skeyid_e以及进出两个方向分别用于加密和完整性校验的会话密钥)产生一个单调递增的密钥id，每个密钥id对应一个虚拟vpn的三元组信息(对端虚拟vpn的ip地址存储、封装协议信息以及安全参数索引spi信息)。

其中，密码设备负责产生vpn各阶段的各类型密钥并存储在密钥存储区。ike(internet密钥交换协议)一阶段协商时，虚拟vpn向密码设备传递通信双方的nonce和cookie等参数，密码设备按照协议规定的计算方法合成工作密钥

skeyid_d，skeyid_a，skeyid_e并产生相对应的密钥id存储于密钥存储区；ike第二阶段协商时，虚拟vpn向密码设备传递通信双方的二阶段nonce、cookie和protocol、spi等参数，密码设备按照协议规定的计算方法并结合一阶段存储的工作密钥skeyid_d，skeyid_a，skeyid_e产生会话密钥和密钥id存储于密钥存储区。

密钥存储区以独立的数据库或文件目录形式存在，以虚拟vpn的ip地址信息作为数据库名或目录名，可快速定位。密钥存储区中为不同的对端虚拟vpn建立数据库表或文件，以对端虚拟vpn的ip地址信息作为数据库表名或文件名，可以直接访问。数据库表内的密钥id为主键并随着每次密钥产生或更新单调递增，对应于密钥id存放密钥和spi安全参数索引，每次检索密钥时从最大的密钥id开始倒序查找匹配的spi。

密码设备为每个虚拟vpn分配一个主密钥，用于将对应的虚拟vpn的设备密钥、工作密钥、会话密钥等加密存储在密钥存储区，以实现不同虚拟vpn密钥的隔离。其中，虚拟vpn密钥存储区中的存储内容采用该虚拟vpn的主密钥加密存储在非易失性存储区，同时在密码设备内存中建立键值(key-value)结构的密钥缓存区，将已产生的(使用过的)密钥id存储于密钥缓存区，并采用虚拟vpn自身ip地址信息+对端虚拟vpn的ip地址信息+封装协议信息+安全参数索引(spi)信息作为key值来检索密钥id。密钥缓存区设置有老化机制，一定时间没有使用的条目自动失效删除。密码设备中的密码部件(密码卡)仅在密码设备上电初始化之后从外部导入密钥id和密钥，掉电即丢失。

如图3所示，步骤s3中，密码设备通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务的方法，包括：

s31：通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息；

s32：根据密钥特征信息检索对应的密钥id，根据密钥id调用对应的密钥提供密码服务；

s33：在该虚拟vpn对应的密钥存储区根据密钥id存储并更新抗重放序列号。

其中，虚拟vpn中的ike密钥协商以及ipsec隧道建立和运转过程中的各种对称加解密、非对称加解密、签名验签等密码运算都通过调用密码部件(密码卡)实现。每次调用密码服务时，首先将虚拟vpn自身ip地址信息+对端虚拟vpn的ip地址信息+封装协议信息+安全参数索引(spi)信息作为key在密钥缓存区中查找密钥id，查找成功即将该密钥id作为接口参数调用密码部件；查找不成功则通过调用者虚拟vpn的ip地址信息定位密钥存储区，根据对端虚拟vpn的ip地址信息定位数据库表或文件，然后从最大的密钥id开始倒序查找匹配的spi从而得到密钥，使用虚拟vpn主密钥解密密钥后将密钥id和对应的密钥导入密码部件，并将虚拟vpn自身ip地址信息+对端虚拟vpn的ip地址信息+封装协议信息+安全参数索引(spi)信息作为key以及密钥id作为value存储在键值结构的密钥缓存区。

其中，虚拟vpn在每次进行密码运算的调用时都将实时的抗重放序列号与密钥特征信息一起发往密码设备。密码设备在该虚拟vpn对应的密钥存储区根据查找到的密钥id存储并更新抗重放序列号。虚拟vpn发生迁移时，根据虚拟机快照中的密钥特征信息(虚拟vpn自身ip地址信息+对端虚拟vpn的ip地址信息+封装协议信息+安全参数索引(spi)信息)从密码设备中获取密钥id信息，进一步根据密钥id从密码设备中获取抗重放序列号，恢复正常的vpn通道。

密码设备以客户端和api方式提供对称加解密、非对称加解密、签名验签、密钥产生等密码服务调用接口，并符合国家密码行业相关技术标准。

如图4所示，本发明实施例二提供另一种为虚拟vpn提供密码服务的方法，应用于密码设备，具体包括：

s1：接受虚拟vpn的连接申请，与虚拟vpn建立安全连接通道；

s2：通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥；

s3：通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务；

s4：通过分布式协调服务系统将接收的虚拟vpn传输的密钥素材信息、密钥特征信息和密码服务信息与其他密码设备进行信息同步。

需要说明的是，实施例二比实施例一相比，增加了步骤s4，通过分布式协调服务系统将接收的虚拟vpn传输的密钥素材信息、密钥特征信息和密码服务信息与其他密码设备进行信息同步。

步骤s4中，密码设备通过分布式协调服务系统将接收的虚拟vpn传输的密钥素材信息、密钥特征信息和密码服务信息与其他密码设备进行信息同步。其中，采用密码设备集群为不同的虚拟vpn提供密钥管理和密码运算服务，密码设备集群中的每台密码设备以client的角色注册到zookeeper或etcd等分布式协调服务系统中并建立配置节点(configurationznode)，将该密码设备收到的虚拟vpn在密钥交换过程中产生的密钥素材信息、每次vpn隧道加解密调用的抗重放序列号连同密钥id、虚拟vpn自身ip地址信息和三元组信息(对端虚拟vpn的ip地址信息、封装协议信息和安全参数索引(spi)信息)在密码设备集群中进行实时同步，保障整个密码设备集群存储一致的密钥信息和抗重放序列号信息，以保障虚拟vpn密码运算的高可用性。

如图5所示，本发明实施例三提供了一种为虚拟vpn提供密码服务的密码设备，包括信息同步模块、密钥管理模块和密码服务模块。

其中，信息同步模块，用于接受虚拟vpn的连接申请，与虚拟vpn建立安全连接通道；密钥管理模块，用于通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥；密码服务模块，用于通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务。

这里，密钥特征信息可以包括虚拟vpn自身的ip地址信息、对端虚拟vpn(对端虚拟vpn指和该虚拟vpn进行通信的其他虚拟vpn)的ip地址信息、封装协议信息以及安全参数索引信息。

这里，密钥管理模块用于通过安全连接通道接收虚拟vpn传输的密钥素材信息和密钥特征信息，产生密钥并存储密钥的方法，包括：密钥管理模块为每个虚拟vpn建立独立的密钥存储区，密钥存储区与对应的虚拟vpn自身的ip地址信息相对应；密钥管理模块根据虚拟vpn传输的密钥素材信息产生密钥，并产生密钥id，将密钥和密钥id对应的存储在密钥存储区；密钥管理模块建立密钥缓存区，将已产生的密钥id存储于密钥缓存区，并将已产生的密钥id与密钥特征信息相对应。

这里，密码服务模块用于通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息，检索密钥并调用密码服务的方法，包括：密码服务模块通过安全连接通道接收虚拟vpn传输的密钥特征信息和密码服务信息；根据密钥特征信息检索对应的密钥id，根据密钥id调用对应的密钥提供密码服务。还可以包括：密码服务模块通过安全连接通道接收虚拟vpn传输的密码服务信息中的抗重放序列号，在该虚拟vpn对应的密钥存储区根据密钥id存储并更新抗重放序列号。

更优地，信息同步模块还用于通过分布式协调服务系统将接收的虚拟vpn传输的密钥素材信息、密钥特征信息和密码服务信息与其他密码设备进行信息同步。

如图6所示，本发明实施例四提供了一种虚拟vpn系统，包括分布式协调服务系统、若干个虚拟vpn和由若干个密码设备组成的密码设备集群。采用密码设备集群为不同的虚拟vpn提供密钥管理和密码运算服务。

其中，虚拟vpn位于云主机，是将物理vpn上所运行的ike密钥协商、ipsec隧道处理、网络协议栈以及vpn相关应用程序和管理程序打包成镜像文件，以虚拟机或容器的形式运行。ike密钥协商和ipsec隧道处理中涉及到的签名验签、对称分组加解密、非对称加解密、安全哈希(密码杂凑)等所有的密码服务均通过虚拟vpn的密码设备客户端提供的api调用，并将虚拟vpn自身ip地址信息以及三元组信息(对端虚拟vpn的ip地址信息、封装协议信息和安全参数索引spi信息)作为密钥检索参数。

密码设备客户端运行于虚拟vpn的进程空间中，每个虚拟vpn都拥有一个密码设备客户端进程。密码设备客户端负责与密码设备建立安全并长期存在的ssl连接通道，将虚拟vpn通过api传递的命令及参数、数据通过ssl通道传递给密码设备并传回处理结果。命令传输方式采用rest或soap格式，参数与数据采用json或xml编码。

密码设备客户端通过读取分布式协调服务系统上的名字服务节点内容获取目前在线工作的密码设备列表，并采用轮询(roundrobin)或随机选择的方式实现加解密服务的负载均衡。即与集群中的每个密码设备都建立ssl连接，轮询发命令；或者随机选择一台密码设备建立ssl连接并监控其状态，密码设备故障时重新获取设备列表并选择设备建立连接。密码设备为虚拟vpn产生主密钥，通过证书系统为虚拟vpn签发数字证书，并将虚拟vpn的密钥对(设备密钥)和数字证书导入密码设备。

其中，密码设备中的密钥管理模块，负责产生虚拟vpn各阶段的各类型密钥并存储在密钥存储区。ike(internet密钥交换协议)一阶段协商时，虚拟vpn通过客户端api向密码设备传递通信双方的nonce和cookie等参数，密钥管理模块按照协议规定的计算方法合成工作密钥skeyid_d，skeyid_a，skeyid_e并产生相对应的密钥id存储于密钥存储区；ike第二阶段协商时，虚拟vpn通过客户端api向密码设备传递通信双方的二阶段nonce、cookie和protocol、spi等参数，密钥管理模块按照协议规定的计算方法并结合一阶段存储的工作密钥skeyid_d，

skeyid_a，skeyid_e产生会话密钥和密钥id存储于密钥存储区。

密钥存储区以独立的数据库或文件目录形式存在，以虚拟vpn的ip地址信息作为数据库名或目录名，可快速定位。密钥存储区中为不同的对端虚拟vpn建立数据库表或文件，以对端虚拟vpn的ip地址信息作为数据库表名或文件名，可以直接访问。数据库表内的密钥id为主键并随着每次密钥产生或更新单调递增，对应于密钥id存放密钥和spi安全参数索引，每次检索密钥时从最大的密钥id开始倒序查找匹配的spi。

各虚拟vpn密钥存储区中的内容采用该vpn的主密钥加密存储在非易失性存储区，同时在密码设备内存中建立键值(key-value)结构的密钥缓存区，将使用过的密钥id存储于缓存区，并采用虚拟vpn自身ip地址信息+对端虚拟vpn的ip地址信息+封装协议信息+安全参数索引(spi)信息作为key值来检索密钥id。密钥缓存区有老化机制，一定时间没有使用的条目自动失效删除。密码设备中的密码部件(密码卡)仅在密码设备上电初始化之后从外部导入密钥id和密钥，掉电即丢失。

密码设备中还有密码服务模块，在ike密钥协商以及ipsec隧道建立和运转过程中的各种对称加解密、非对称加解密、签名验签等密码运算都通过密码服务模块调用密码部件(密码卡)实现。每次调用密码服务时，密码服务模块首先将虚拟vpn自身ip地址信息+对端虚拟vpn的ip地址信息+封装协议信息+安全参数索引(spi)信息作为key在密钥缓存区中查找密钥id，查找成功即将该密钥id作为接口参数调用密码部件；查找不成功则通过调用者虚拟vpn的ip地址信息定位密钥存储区，根据对端虚拟vpn的ip地址信息定位数据库表或文件，然后从最大的密钥id开始倒序查找匹配的spi从而得到密钥，使用虚拟vpn主密钥解密密钥后将密钥id和对应的密钥导入密码部件，并将虚拟vpn自身ip地址信息+对端虚拟vpn的ip地址信息+封装协议信息+安全参数索引(spi)信息作为key，以密钥id作为value存储在键值结构的密钥缓存区。

密码设备中的信息同步模块，负责注册密码设备到密码设备集群并在整个集群中同步密钥和抗重放序列号。信息同步模块将密码设备以client的角色注册到zookeeper或etcd等分布式协调服务系统中，并通过到zookeeper或etcd系统建立名字服务节点(nameserviceznode)将密码设备ip地址注册并更新工作健康状态；建立配置节点(configurationznode)，将该密码设备收到的虚拟vpn在密钥交换过程中产生的密钥素材、每次vpn隧道加解密调用的抗重放序列号连同密钥id、虚拟vpn自身ip地址以及对端虚拟vpn的ip地址信息/封装协议信息/安全参数索引(spi)信息三元组信息在密码设备集群中进行实时同步，保障整个密码设备集群存储一致的密钥信息和抗重放序列号信息。密钥的同步通过密钥素材的同步实现，各密码设备仍需要根据密钥素材自己计算产生密钥并按照对应的密钥id存储。

采用密码设备集群为虚拟vpn提供密钥管理和密码运算服务，密钥等敏感数据的产生和存储、使用等均在安全可靠的密码设备内进行，消除在云主机中的虚拟vpn在共享物理内存及快照带来的密钥泄露和被篡改的安全风险，此外抗重放序列号的同步也通过统一的密码设备集群进行，保障了时效性和准确性，虚拟vpn的迁移在以上技术的保障下可以安全快速地进行。

以上仅是本发明的优选实施方式，应当指出的是，上述优选实施方式不应视为对本发明的限制，本发明的保护范围应当以权利要求所限定的范围为准。对于本技术领域的普通技术人员来说，在不脱离本发明的精神和范围内，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。