虚拟机加解密方法、装置及计算机设备与流程

1.本发明实施例涉及计算机技术领域，尤其涉及一种虚拟机加解密方法、装置及计算机设备。


背景技术：

2.在虚拟化技术的发展进程中，虚拟机的应用尤为重要，然而在面对二十一世纪的高科技快速发展过程中，如何预防用户资源被非法攻击，保障数据的安全性十分重要。
3.现有的一些传统的虚拟化技术产品中，对虚拟机的加解密使用控制是通过密码卡来实现的，每个inode配置一块密码卡。为完成对虚拟机的加密，需要在每个inode上安装密码卡，当不需要对虚拟机加密时，还需要手动拔出密码卡。操作十分繁琐费力，尤其当inode数量极大时，更是耗费人工成本和时间成本。


技术实现要素：

4.本技术提供了一种虚拟机加解密方法、装置及计算机设备，以解决现有技术中的上述技术问题。
5.第一方面，本技术提供了一种虚拟机加解密方法，该方法由inode执行，包括：
6.接收虚拟化管理平台发送的启动虚拟机的控制消息，其中，控制消息中包括待启动的虚拟机标识信息，以及对虚拟机待执行操作对应的控制指令；
7.根据控制消息，启动与控制消息对应的虚拟机；
8.将虚拟机的标识信息发送至密码管理系统(key management service，简称kms)；
9.获取kms发送的与标识信息对应的密钥；
10.根据密钥和控制指令，对虚拟机执行加密或解密操作。
11.第二方面，本技术提供了一种虚拟机加解密方法，该方法由虚拟化管理平台执行，包括：
12.获取许可验证信息；
13.当确定许可验证信息的等级为预设等级时，启动虚拟机加密或解密触发操作；
14.根据触发操作，获取kms配置信息；
15.当确定kms的配置信息合法时，将kms的配置信息分发至与虚拟化管理平台建立通信连接的每一个inode中。
16.第三方面，本技术提供了一种虚拟机加解密装置，该装置包括：
17.接收模块，用于接收虚拟化管理平台发送的启动虚拟机的控制消息，其中，控制消息中包括待启动的虚拟机标识信息，以及对虚拟机待执行操作对应的控制指令；
18.启动模块，用于根据控制消息，启动与控制消息对应的虚拟机；
19.发送模块，用于将虚拟机的标识信息发送至密码管理系统kms；
20.获取模块，用于获取kms发送的与标识信息对应的密钥；
21.加解密模块，用于根据密钥和控制指令，对虚拟机执行加密或解密操作。
22.第四方面，本技术提供了一种虚拟机加解密装置，该装置包括：
23.获取模块，用于获取许可验证信息；
24.启动模块，用于当确定许可验证信息的等级为预设等级时，启动虚拟机加密或解密触发操作；
25.获取模块，还用于根据触发操作，获取kms配置信息；
26.发送模块，用于当确定kms的配置信息合法时，将kms的配置信息分发至与虚拟化管理平台建立通信连接的每一个inode中。
27.第五方面，提供了一种计算机设备，该计算机设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信；
28.存储器，用于存放计算机程序；
29.处理器，用于执行存储器上所存放的程序时，实现第一方面任一项实施例的虚拟机加解密方法的步骤；
30.或者，实现第二方面任一项实施例的虚拟机加解密方法的步骤。
31.第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被计算机设备执行时实现如第一方面任一项实施例的虚拟机加解密方法的步骤；
32.或者，实现如第二方面任一项实施例的虚拟机加解密方法的步骤。
33.本技术实施例提供的上述技术方案与现有技术相比具有如下优点：
34.本技术实施例提供的该方法，接收虚拟化管理平台发送的启动虚拟机的控制消息。根据控制消息，启动与该控制消息对应的虚拟机。然后将虚拟机的标识信息发送至kms，并获取kms发送的与该标识信息对应的密钥，根据密钥对虚拟机进行加密或解密操作。整个过程中，省去在inode上插拔密码卡的操作。对于虚拟机的加密工作完全是通过软件形式实现。而且操作过程是通过虚拟化管理平台、inode，以及kms之间的通信交互完成。省去人为干预的过程，大大节省人力和时间成本。尤其在inode数量巨大的情况下，该效果体现的更为明显。
附图说明
35.图1为本发明实施例提供的一种虚拟机加解密方法流程示意图；
36.图2为本发明提供的虚拟化管理平台一侧所执行的方法流程示意图；
37.图3为本发明提供的生成许可证的方法流程示意图；
38.图4为本发明提供的对kms配置信息进行校验的方法流程示意图；
39.图5为本发明提供的虚拟化管理平台、inode，以及kms之间进行信息交互，以完成对虚拟机的加解密的局部方法流程示意图；
40.图6为本发明实施例提供的另一种虚拟机加解密方法流程示意图；
41.图7为本发明实施例提供的一种虚拟机加解密装置结构示意图；
42.图8为本发明实施例提供的另一种虚拟机加解密装置结构示意图；
43.图9为本发明实施例提供一种计算机设备结构示意图。
具体实施方式
44.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例
中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
45.为便于对本发明实施例的理解，下面将结合附图以具体实施例做进一步的解释说明，实施例并不构成对本发明实施例的限定。
46.图1为本发明实施例提供的一种虚拟机加解密方法流程示意图。该方法由inode执行。在介绍本发明实施例提供的虚拟机加解密方法流程之前，首先说明inode所属的虚拟机加解密系统。该系统包括：虚拟化管理平台、inode，以及kms。
47.首先，需要工作人员在服务器中部署虚拟化平台系统。包括提供虚拟机运行所需的所有虚拟硬件资源，例如涵盖计算机虚拟化、存储虚拟化和网络虚拟化等所需要的功能。
48.虚拟化平台系统可以自动生成许可证密钥。
49.具体的过程例如可以包括：根据机器码和序列号生成许可证。
50.其中，机器码为系统装机完成后自动生成，且生成的机器码为唯一的标识码。
51.机器码的生成逻辑为：获取物理机的媒体访问控制(media access control，简称mac)地址信息并将其写入待保护的加密文件中，机器码即为从该密文件中获取到的最小mac地址信息，通过算法生成机器码。
52.其中，生成机器码算法为：从加密文件中获取mac地址，取外部设备互联标准(peripheral component interconnect，简称pci)地址最小的一块，使用sha-256值加密，加密后每位数都对应一个索引变量值i，将每个变量值i转为二进制数为m；取固定数值10，将10转换为二进制数，转换二进制后的值为1010；最后将m值与1010进行逻辑&与操作后，再次转为16进制字符串即为机器码。
53.序列号，则是通过序列号管理系统为用户提供的特殊标识的一系列加密字符。
54.由上述生成的机器码和序列号来通过序列号管理系统共同激活的码则为许可证密钥。
55.许可证，包括标准版本许可证和安全版本许可证。标准版许可证控制除配置kms及虚拟机磁盘加密解密等功能外的其他软件功能；安全版许可证控制包含配置kms及虚拟机磁盘加密解密在内的软件功能。在本技术实施例中国，主要采用的是安全版本许可证。
56.标准版许可证只有默认管理员admin，具有基础功能。
57.基于安全版本许可证，可以在虚拟化平台系统中配置多种角色，用以满足更高级的安全要求。例如，可以配置系统管理员、安全保密管理员，以及安全审计管理员。
58.其中，系统管理员：控制计算池、虚拟机、存储池、网络池等资源管理；
59.安全保密管理员：控制用户、角色、权限管理、资源分配、安全策略管理等；
60.安全审计管理员：控制任务日志审计相关功能。
61.安全保密管理员可以配置kms信息，系统管理员可以配置哪些文件执行加解密操作。而安全审计管理员则可以查看相关的操作日志。
62.当系统中导入许可证后，可以通过虚拟化管理平台可以根据许可证书的类型，确定后续执行的操作。例如，当确定许可证书的类型为安全版本许可证书，则可以启动配置kms及虚拟机磁盘加解密等的功能。
63.对于许可证书类型的判断，可以根据许可证系统的类型划分，具体的导入许可证
书的同时，会标识生成该许可证书的系统类型。
64.对许可证书的校验可以包括校验证书的真伪，以及校验证书的完整性等。具体的校验过程为现有技术，这里不做过多说明，举例而言，可以通过计算许可证书的md5值，来确定许可证书的真伪，以及完整性等。同时，校验许可证书的密码是否准确等。
65.当确定许可证书为合法证书，且证书完整后，则可以启动创建磁盘加密虚拟机(创建适用于安全版本的虚拟机)，和/或编辑非磁盘加密虚拟机转换为加密虚拟机(考虑到原有的虚拟机可能使用的是标准版本，现切换为安全版本)等操作。同时，虚拟化管理平台还会将许可证书和与许可证书绑定的密码，下发至各个inode节点，用以inode节点执行如图1所对应的实施例的相关操作。
66.可选的，在执行完对许可证书的校验工作后，安全管理员还可以对加密虚拟机进行加密标识区分。
67.例如，可以根据自身需求将虚拟机划分为：无、秘密、机密和绝密等不同的等级。
68.具体的，上述操作过程可以参见图2和图3所对应的方法流程示意图。图2中示意出虚拟化管理平台一侧所执行的方法流程，包括根据创建许可证、验证许可证的类型，根据许可证的类型执行操作，以及校验kms证书，并完成校验，以及后续加密虚拟机的创建、配置加密等级等等。详细过程已经在上文中做了具体介绍，这里不再过多说明。图3则示意生成许可证的方法流程，同样的，具体操作过程已经在上文中做了详细描述，这里不再赘述。
69.下面，将介绍本发明实施例提供的一种虚拟机加解密方法，具体参见图1所示，可以包括如下步骤：
70.步骤110，接收虚拟化管理平台发送的启动虚拟机的控制消息。
71.步骤120，根据控制消息，启动与控制消息对应的虚拟机。
72.具体的，控制消息中包括待启动的虚拟机标识信息，以及对虚拟机待执行操作对应的控制指令。例如对与标识信息对应的虚拟机执行加密操作或解密操作等。以便inode可以根据标识信息，确定待启动的虚拟机。
73.可选的，在执行该操作之前，该方法还可以包括如下操作步骤，具体参见图4所示，图4示出了对kms配置信息进行校验的方法流程。
74.步骤410，获取虚拟化管理平台发送的kms的配置信息。
75.步骤420，将配置信息传递至虚拟化管理平台。
76.具体的，工作人员事先可以在虚拟化管理系统，更具体的来说，是在虚拟化管理平台配置kms信息，例如可以包括但不限于如下信息，kms的端口信息、ip地址信息，kms的证书，以及证书绑定的密码等。
77.然后将kms的配置信息下发到每一个inode节点。inode节点接收到该kms配置信息后，再反馈至虚拟化管理平台。用以虚拟化管理平台验证inode接收到的kms配置信息与自身下发的kms信息是否相同，若相同，则说明对kms配置信息验证成功。
78.那么，此时则可以生成控制消息，并发送控制消息至inode。用以inode可以根据控制消息识别待加密或解密的虚拟机。
79.步骤130，将虚拟机的标识信息发送至密码管理系统kms。
80.步骤140，获取kms发送的与标识信息对应的密钥。
81.可选的，在执行步骤110之后，该方法还可以包括：创建与kms之间的通信安全通
道。
82.创建与kms之间的通信安全通道，是为了方便后续可以与kms进行信息交互。例如步骤130中的将虚拟机的标识信息发送至密码管理系统kms。以及步骤140中的获取kms发送的与标识信息对应的密钥。
83.密钥为kms根据标识信息生成的密钥。具体的，虚拟机的标识信息是一种唯一标识码。kms可以根据唯一标识码生成sm4密钥，并将sm4密钥反馈至inode。
84.sm4密钥，即通过国家密码局认定的国产密码算法sm4生成的密钥，在密码学中，sm4即为分组加密，又称分块加密或块密码，是一种对称密钥算法。它将明文分成多个等长的模块，使用确定的算法和对称密钥对每组分别加密解密。
85.步骤150，根据密钥和控制指令，对虚拟机执行加密或解密操作。
86.具体的，主要是对虚拟机的各io端口进行加密或解密操作。
87.图5示意出了虚拟化管理平台、inode，以及kms之间进行信息交互，以完成对虚拟机的加解密的局部方法流程示意图。具体操作过程均已在上文做了详细描述，因此这里不再过多赘述。
88.参见图5也可看出，获取密钥过程中，主要交互为inode和kms之间的交互，相较于现有技术，可以减少虚拟化管理平台和inode之间的交互，降低虚拟化管理平台的工作量，大大提升虚拟化管理平台的性能。
89.本发明实施例提供的虚拟机加解密方法，接收虚拟化管理平台发送的启动虚拟机的控制消息。根据控制消息，启动与该控制消息对应的虚拟机。然后将虚拟机的标识信息发送至kms，并获取kms发送的与该标识信息对应的密钥，根据密钥对虚拟机进行加密或解密操作。整个过程中，省去在inode上插拔密码卡的操作。对于虚拟机的加密工作完全是通过软件形式实现。而且操作过程是通过虚拟化管理平台、inode，以及kms之间的通信交互完成。省去人为干预的过程，大大节省人力和时间成本。尤其在inode数量巨大的情况下，该效果体现的更为明显。
90.图6为本发明实施例提供的另一种虚拟机加解密方法流程示意图，该方法由虚拟化管理平台执行，该方法步骤包括：
91.步骤610，获取许可验证信息。
92.在一个具体的例子中，许可验证信息可以指代上文中所提及的许可证书。而具体获取许可验证信息的方法步骤也可以参见上文描述，这里不再赘述。
93.步骤620，当确定许可验证信息的等级为预设等级时，启动虚拟机加密或解密触发操作。
94.在一个可选的例子中，许可验证信息的等级包括标准等级和安全等级，预设等级为安全等级。当许可验证信息为许可证书时，那么许可验证信息的等级，则对应上文所提及的标准版本和安全版本。也即是，只有安全版本的许可证书，才能够具有配置kms及虚拟机磁盘加密解密在内的软件功能。因此，在确定许可验证信息的等级为预设等级时，启动虚拟机加密或解密触发操作。
95.具体的，虚拟机加解密的配置操作可以包括但不限于对kms的配置操作，以及启动创建磁盘加密虚拟机或编辑非磁盘加密虚拟机转加密虚拟机。
96.步骤630，根据触发操作，获取kms配置信息。
97.具体的，kms配置信息包括但不限于如下内容：kms的ip地址信息、端口信息、kms的证书，以及证书绑定的密码。
98.步骤640，当确定kms的配置信息合法时，将kms的配置信息分发至与虚拟化管理平台建立通信连接的每一个inode中。
99.此外，还包括发送控制消息至inode，该控制消息中待启动的虚拟机标识信息，以及对虚拟机待执行操作对应的控制指令。
100.具体的验证kms的配置信息是否合法也已经在上文中做了详细介绍，而将kms的配置信息分发至与虚拟化管理平台建立通信连接的每一个inode中，也是为了方便后续每一个inode可以更好的和kms进行交互，以获取密钥，对虚拟机进行加解密等。
101.以上操作过程的详细内容，均已在本发明具体实施方式的开头部分做了详细的解释说明，因此这里仅是简略介绍，不做过多赘述。
102.在一个具体的例子中，例如存在三台物理机a、b、c，a台物理机安装管理节点即虚拟化管理平台，设置管理节点ip地址为d，此ip地址d即为虚拟化管理平台登录地址，b、c物理机安装计算节点inode；
103.根据虚拟化管理平台系统的机器码和序列号生成许可证，包括：登录虚拟化管理平台地址d，获取机器码，根据机器码和已获取的序列号生成许可证e，e为安全版许可证。
104.划分许可证类型，进行逻辑判断(类型判断)，启动所需kms信息配置操作；
105.根据许可证e的类型进行校验，由于安全版许可证控制包含配置kms及虚拟机磁盘加密解密在内的软件功能，满足校验规则，则在虚拟化管理平台系统d中，启动安全保密管理员配置kms信息，并上传证书文件和证书绑定密码，分发至各inode节点。
106.对上传证书文件完整性进行校验，启动创建磁盘加密虚拟机或编辑非磁盘加密虚拟机转加密虚拟机；
107.本步骤以启动创建磁盘加密虚拟机为例：当kms信息相关操作已部署完毕，上传证书和证书绑定密码文件，根据文件的sha-256值进行完整性校验，若无告警通知，则启动创建虚拟机操作。
108.再者，还可以包括启动对加密虚拟机进行加密标识区分。假设创建虚拟机为f,待创建完成可编辑虚拟机的密级标识，标记为机密等。
109.本发明实施例提供的一种虚拟机加解密方法，首先获取许可验证信息，然后确定许可验证信息为安全等级的情况下，启动虚拟机加密或解密触发操作，根据触发操作，获取kms配置信息，然后在确定kms配置信息合法时，将kms配置信息分发至于虚拟化管理平台建立通信连接的每一个inode中，以便于后续inode可以根据配置信息建立与kms之间的通信连接，完成交互过程，获取针对虚拟机的加解密操作的密钥。通过密钥完成对虚拟机的加解密操作。该过程中，省去在inode上插拔密码卡的操作。对于虚拟机的加密工作完全是通过软件形式实现。而且操作过程是通过虚拟化管理平台、inode，以及kms之间的通信交互完成。省去人为干预的过程，大大节省人力和时间成本。尤其在inode数量巨大的情况下，该效果体现的更为明显。
110.图7为本发明实施例提供的一种虚拟机加解密装置，该装置包括：接收模块701、启动模块702、发送模块703，以及获取模块704。
111.接收模块701，用于接收虚拟化管理平台发送的启动虚拟机的控制消息，其中，控
制消息中包括待启动的虚拟机标识信息，以及对虚拟机待执行操作对应的控制指令；
112.启动模块702，用于根据控制消息，启动与控制消息对应的虚拟机；
113.发送模块703，用于将虚拟机的标识信息发送至密码管理系统kms；
114.获取模块704，用于获取kms发送的与标识信息对应的密钥；
115.加解密模块，用于根据密钥和控制指令，对虚拟机执行加密或解密操作。
116.可选的，获取模块704，还用于获取虚拟化管理平台发送的kms的配置信息；
117.发送模块703，还用于将配置信息传递至虚拟化管理平台，以便虚拟化管理平台验证inode反馈的配置信息准确后，生成并发送控制消息至inode。
118.可选的，该装置还包括：创建模块705。
119.创建模块705，用于创建与kms之间的通信安全通道，以便通过通信安全通道，完成与kms之间的信息交互。
120.可选的，kms的配置信息，包括kms的ip地址信息、端口信息、kms的证书，以及证书绑定的密码。
121.本发明实施例提供的一种虚拟机加解密装置，接收虚拟化管理平台发送的启动虚拟机的控制消息。根据控制消息，启动与该控制消息对应的虚拟机。然后将虚拟机的标识信息发送至kms，并获取kms发送的与该标识信息对应的密钥，根据密钥对虚拟机进行加密或解密操作。整个过程中，省去在inode上插拔密码卡的操作。对于虚拟机的加密工作完全是通过软件形式实现。而且操作过程是通过虚拟化管理平台、inode，以及kms之间的通信交互完成。省去人为干预的过程，大大节省人力和时间成本。尤其在inode数量巨大的情况下，该效果体现的更为明显。
122.图8为本发明实施例提供的另一种虚拟机加解密装置结构示意图，该装置包括：获取模块801、启动模块802，以及发送模块803。
123.获取模块801，用于获取许可验证信息；
124.启动模块802，用于当确定许可验证信息的等级为预设等级时，启动虚拟机加密或解密触发操作；
125.获取模块801，还用于根据触发操作，获取kms配置信息；
126.发送模块803，用于当确定kms的配置信息合法时，将kms的配置信息分发至与虚拟化管理平台建立通信连接的每一个inode中。
127.可选的，许可验证信息的等级包括标准等级和安全等级，预设等级为安全等级。
128.本发明实施例提供的一种虚拟机加解密装置，首先获取许可验证信息，然后确定许可验证信息为安全等级的情况下，启动虚拟机加密或解密触发操作，根据触发操作，获取kms配置信息，然后在确定kms配置信息合法时，将kms配置信息分发至于虚拟化管理平台建立通信连接的每一个inode中，以便于后续inode可以根据配置信息建立与kms之间的通信连接，完成交互过程，获取针对虚拟机的加解密操作的密钥。通过密钥完成对虚拟机的加解密操作。该过程中，省去在inode上插拔密码卡的操作。对于虚拟机的加密工作完全是通过软件形式实现。而且操作过程是通过虚拟化管理平台、inode，以及kms之间的通信交互完成。省去人为干预的过程，大大节省人力和时间成本。尤其在inode数量巨大的情况下，该效果体现的更为明显。
129.如图9所示，本技术实施例提供了一种计算机设备，该计算机设备可以作为inode，
执行inode的所有操作；或者，作为虚拟化管理平台，执行虚拟化管理平台的所有操作。当然，一个计算机设备在本实施例中在同一时刻，仅执行一种功能。所以，在整个虚拟化平台系统中包括多个计算机设备。
130.每一个计算机设备，包括处理器111、通信接口112、存储器113和通信总线114，其中，处理器111，通信接口112，存储器113通过通信总线114完成相互间的通信，
131.存储器113，用于存放计算机程序；
132.在本技术一个实施例中，处理器111，用于执行存储器113上所存放的程序时，实现图1所对应的方法实施例提供的虚拟机加解密方法，包括：
133.接收虚拟化管理平台发送的启动虚拟机的控制消息，其中，控制消息中包括待启动的虚拟机标识信息，以及对虚拟机待执行操作对应的控制指令；
134.根据控制消息，启动与控制消息对应的虚拟机；
135.将虚拟机的标识信息发送至密码管理系统kms；
136.获取kms发送的与标识信息对应的密钥；
137.根据密钥和控制指令，对虚拟机执行加密或解密操作。
138.可选的，接收虚拟化管理平台发送的启动虚拟机的控制消息，其中，控制消息中包括待启动的虚拟机标识信息，以及对虚拟机待执行操作对应的控制指令之前，还包括：
139.获取虚拟化管理平台发送的kms的配置信息；
140.将配置信息传递至虚拟化管理平台，以便虚拟化管理平台验证inode反馈的配置信息准确后，生成并发送控制消息至inode。
141.可选的，获取虚拟化管理平台发送的kms的配置信息后，还包括：创建与kms之间的通信安全通道，以便通过通信安全通道，完成与kms之间的信息交互。
142.可选的，kms的配置信息，包括kms的ip地址信息、端口信息、kms的证书，以及证书绑定的密码。
143.在本技术另一个实施例中，处理器111，用于执行存储器113上所存放的程序时，实现前述图6所对应的方法实施例提供的虚拟机加解密方法，包括：
144.获取许可验证信息；
145.当确定许可验证信息的等级为预设等级时，启动虚拟机加密或解密触发操作；
146.根据触发操作，获取kms配置信息；
147.当确定kms的配置信息合法时，将kms的配置信息分发至与虚拟化管理平台建立通信连接的每一个inode中。
148.可选的，许可验证信息的等级包括标准等级和安全等级，预设等级为安全等级。
149.本技术实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，计算机程序被计算机设备执行时实现如图1所对应的方法实施例提供的虚拟机加解密方法的步骤；或者，实现如图6所对应的方法实施例提供的虚拟机加解密方法的步骤。
150.需要说明的是，在本文中，诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设
备所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
151.以上仅是本发明的具体实施方式，使本领域技术人员能够理解或实现本发明。对这些实施例的多种修改对本领域的技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所申请的原理和新颖特点相一致的最宽的范围。