基于关系的访问权限控制方法、装置及数据安全访问系统

技术领域

本申请涉及数据库安全运维技术领域，特别是涉及基于关系的访问权限控制方法、装置及数据安全访问系统。

背景技术

访问权限控制在各种数据访问的应用系统和业务领域里广泛应用，通常采用基于角色(RBAC)的访问权限控制方案和基于属性(ABAC)的访问权限控制方案。

其中，基于角色(RBAC)的访问权限控制方案，具体为：一般会设置默认固定的几种角色，不同的角色被赋予不同的目标访问权限。例如数据库管理系统中的角色为：DBA、系统管理员、安全管理员、普通用户；创建用户时会赋予一个或多个角色，因此该用户会获得相应角色对数据库和数据的访问操作权限。这种方案适用于业务组织架构不太复杂，角色不多的场景，例如互联网应用-共享类应用等。该方案存在的缺点为：在大型的业务组织中，需要持续添加很多的角色，赋予不同的权限，容易导致角色爆炸，并且不同角色的权限交叉重叠，会出现难以管理，容易造成错漏，导致权限控制失效等问题。

其中，基于属性(ABAC)的访问权限控制方案指根据访问主体、客体、关联其他对象的属性来赋予访问主体对客体的访问权限。因主体和客体的属性都比较多，可以做到细粒度的访问控制，在一些系统中也有采用。例如：主体的属性就包括：职务，位置，部门，敏感级别，性别，年纪等；客体的属性包括：文件类型，应用类别，数据敏感级别，服务器位置等；还可以根据业务场景定义环境属性，例如数据中心名称，位置，业务类别，生产环境，测试环境等。该方案存在的缺点为：复杂业务的属性特征多，同时权限管控管理要求复杂的系统，进行权限配置变更时，计算权限会耗时高，难以满足对实时权限计算要求严格的场景；另外，ABAC策略如果制定的不好，尤其是存在属性依赖的配置，删除和修改都会比较困难和麻烦，且存在权限控制失效风险。

针对相关技术中存在大型的业务组织中，角色和属性爆炸带来的管理困难和导致权限控制失效的问题，目前还没有提出有效的解决方案。

发明内容

在本实施例中提供了一种基于关系的访问权限控制方法、装置及数据安全访问系统，以解决相关技术中在大型的业务组织中，需要持续添加很多的角色，赋予不同的权限，容易导致角色爆炸，并且不同角色的权限交叉重叠，难以管理，容易造成错漏，导致权限控制失效的问题。

第一个方面，在本实施例中提供了一种基于关系的访问权限控制方法，适用于基于关系的访问权限控制系统，所述系统包括访问控制层和权限控制层；所述方法包括：

在所述权限控制层中，根据主客体关系和三元组配置关系权限；所述三元组的表达式包括主体描述、关系描述以及客体描述；

在访问控制层中的访问控制模块接收到访问请求时，将所述访问请求传输至所述权限控制层中，并接收基于所述关系权限检查访问请求对应的访问者的响应结果，根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体。

在其中的一些实施例中，所述根据主客体关系和三元组配置关系权限，包括：

为主体和客体配置权限，得到主客体关系和三元组；

对所述主客体关系和所述三元组进行关系配置，得到关系权限。

在其中的一些实施例中，所述关系权限为规则、策略以及策略组中的一种；所述策略组包括多个策略；所述策略包括多个规则；所述规则用于控制访问范围。

在其中的一些实施例中，所述根据主客体关系和三元组配置关系权限，包括：

根据主客体关系、所述三元组的扩展处理，配置关系权限。

在其中的一些实施例中，所述方法还包括：

在根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体之后，通过所述访问控制模块返回访问结果至访问者。

在其中的一些实施例中，所述方法还包括：

在所述权限控制层中，基于预设加密传输格式对所述关系权限进行传输，并存储至分布式数据库中。

第二个方面，在本实施例中提供了一种基于关系的访问权限控制装置，适用于基于关系的访问权限控制系统，所述系统包括访问控制层和权限控制层；所述装置包括：配置单元和检查响应单元；

所述配置单元，用于在所述权限控制层中，根据主客体关系和三元组配置关系权限；所述三元组的表达式包括主体描述、关系描述以及客体描述；

所述检查响应单元，用于在访问控制层中的访问控制模块接收到访问请求时，将所述访问请求传输至所述权限控制层中，并接收基于所述关系权限检查访问请求对应的访问者的响应结果，根据所述响应结果决定是否允许或拒绝转发所述访问请求至被访问客体。

第三个方面，在本实施例中提供了一种数据安全访问系统，包括：展示层、应用层以及数据层；所述展示层架设在应用层上，用于提供交互接口；

所述应用层，与所述数据层连接；在所述应用层和所述数据层的配合下，用于执行上述第一个方面所述的基于关系的访问权限控制方法。

第三个方面，在本实施例中提供了一种计算机设备，包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述第一个方面所述的基于关系的访问权限控制方法。

第四个方面，在本实施例中提供了一种存储介质，其上存储有计算机程序，该程序被处理器执行时实现上述第一个方面所述的基于关系的访问权限控制方法。

与相关技术相比，在本实施例中提供的基于关系的访问权限控制方法、装置及数据安全访问系统，通过在权限控制层中，根据主客体关系和三元组配置关系权限；三元组的表达式包括主体描述、关系描述以及客体描述；在访问控制层中的访问控制模块接收到访问请求时，将访问请求传输至权限控制层中，并接收基于关系权限检查访问请求对应的访问者的响应结果，根据响应结果决定是否允许或拒绝转发访问请求至被访问客体，解决了在大型的业务组织中，角色和属性爆炸带来的管理困难和导致权限控制失效的问题，利用在大型的业务组织中数据和数据使用者的关系和组织结构具有有限清晰明确的特点，来确定的关系权限，进而基于关系权限来简化管理难度，从而避免权限控制失效。

本申请的一个或多个实施例的细节在以下附图和描述中提出，以使本申请的其他特征、目的和优点更加简明易懂。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1是本申请一实施例提供的基于关系的访问权限控制方法的终端设备的硬件结构框图；

图2是本申请一实施例提供的基于关系的访问权限控制方法的流程图；

图3是本申请一实施例提供的基于关系的访问权限控制系统的结构框图；

图4是本申请一实施例提供的三元组的表达式的示意图；

图5是本申请一实施例提供的三元组的表达式扩展后的示意图；

图6是本申请一实施例提供的基于关系的访问权限控制装置的结构框图；

图7是本申请一实施例提供的数据安全访问系统的结构框图；

图8是本申请一实施例提供的管理员访问的时序图；

图9是本申请一实施例提供的操作员访问的时序图。

图中：102、处理器；104、存储器；106、传输设备；108、输入输出设备；210、配置单元；220、检查响应单元。

具体实施方式

为更清楚地理解本申请的目的、技术方案和优点，下面结合附图和实施例，对本申请进行了描述和说明。

除另作定义外，本申请所涉及的技术术语或者科学术语应具有本申请所属技术领域具备一般技能的人所理解的一般含义。在本申请中的“一”、“一个”、“一种”、“该”、“这些”等类似的词并不表示数量上的限制，它们可以是单数或者复数。在本申请中所涉及的术语“包括”、“包含”、“具有”及其任何变体，其目的是涵盖不排他的包含；例如，包含一系列步骤或模块(单元)的过程、方法和系统、产品或设备并未限定于列出的步骤或模块(单元)，而可包括未列出的步骤或模块(单元)，或者可包括这些过程、方法、产品或设备固有的其他步骤或模块(单元)。在本申请中所涉及的“连接”、“相连”、“耦接”等类似的词语并不限定于物理的或机械连接，而可以包括电气连接，无论是直接连接还是间接连接。在本申请中所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。通常情况下，字符“/”表示前后关联的对象是一种“或”的关系。在本申请中所涉及的术语“第一”、“第二”、“第三”等，只是对相似对象进行区分，并不代表针对对象的特定排序。

在本实施例中提供的方法实施例可以在终端、计算机或者类似的运算装置中执行。比如在终端上运行，图1是本实施例的基于关系的访问权限控制方法的终端的硬件结构框图。如图1所示，终端可以包括一个或多个(图1中仅示出一个)处理器102和用于存储数据的存储器104，其中，处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置。上述终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解，图1所示的结构仅为示意，其并不对上述终端的结构造成限制。例如，终端还可包括比图1中所示更多或者更少的组件，或者具有与图1所示出的不同配置。

存储器104可用于存储计算机程序，例如，应用软件的软件程序以及模块，如在本实施例中的基于关系的访问权限控制方法对应的计算机程序，处理器102通过运行存储在存储器104内的计算机程序，从而执行各种功能应用以及数据处理，即实现上述的方法。存储器104可包括高速随机存储器，还可包括非易失性存储器，如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中，存储器104可进一步包括相对于处理器102远程设置的存储器，这些远程存储器可以通过网络连接至终端。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

传输设备106用于经由一个网络接收或者发送数据。上述的网络包括终端的通信供应商提供的无线网络。在一个实例中，传输设备106包括一个网络适配器(NetworkInterface Controller，简称为NIC)，其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中，传输设备106可以为射频(Radio Frequency，简称为RF)模块，其用于通过无线方式与互联网进行通讯。

在本实施例中提供了一种基于关系的访问权限控制方法，图2是本实施例的基于关系的访问权限控制方法的流程图，如图2所示，该流程包括如下步骤：

步骤S210，在权限控制层中，根据主客体关系和三元组配置关系权限；三元组的表达式包括主体描述、关系描述以及客体描述；

步骤S220，在访问控制层中的访问控制模块接收到访问请求时，将访问请求传输至权限控制层中，并接收基于关系权限检查访问请求对应的访问者的响应结果，根据响应结果决定是否允许或拒绝转发访问请求至被访问客体。

具体的，方法实施例可以适用于基于关系的访问权限控制系统，该访问权限控制系统描述了主体-关系-客体之间的访问框架；访问权限控制系统包括访问控制层和权限控制层，如图3所示。

其中，主客体关系指的是访问者(主体，数据使用者)与被访问者(客体，数据)的关系；比如：主体是accounting会计部门的员工userA；客体是mysql数据库的工资表salary；关系是拥有着。三元组定义了主体-关系-客体；即包括主体描述、关系描述以及客体描述。此关系权限可以为<主体>-<关系>-<客体>；由于主体和客体在组织结构中具有有限清晰明确的特点，因此配置的关系权限也具有有限清晰明确的特点，不会存在角色和属性爆炸带来的管理困难和导致权限控制失效的问题。也就是说，权限控制层，其可以在系统管理员的参与下，根据主客体关系和三元组配置关系权限；能够实现对关系权限的建立、更新以及管理。

访问请求是访问者(主体，数据使用者)发起的，在访问控制层中的访问控制模块接收到访问请求时，将访问请求传输至权限控制层中并接收基于关系权限检查访问请求对应的访问者的响应结果，根据响应结果决定是否允许或拒绝转发访问请求至被访问客体(客体，数据)。需要说明，在权限控制层中会基于关系权限检查访问请求，并生成响应结果；将再响应结果反馈至访问控制模块中。

通过上述步骤，在权限控制层中，根据主客体关系和三元组配置关系权限；三元组的表达式包括主体描述、关系描述以及客体描述；利用在大型的业务组织中数据和数据使用者的关系和组织结构具有有限清晰明确的特点，来确定的关系权限；在访问控制层中的访问控制模块接收到访问请求时，将访问请求传输至权限控制层中，并接收基于关系权限检查访问请求对应的访问者的响应结果，根据响应结果决定是否允许或拒绝转发访问请求至被访问客体，能够基于关系权限来简化管理难度，从而避免权限控制失效；解决了在大型的业务组织中，角色和属性爆炸带来的管理困难和导致权限控制失效的问题。

下面对上述步骤进行详细说明：

在其中的一些实施例中，步骤S210中的根据主客体关系和三元组配置关系权限，包括如下步骤：

步骤S211，为主体和客体配置权限，得到主客体关系和三元组；

步骤S212，对主客体关系和三元组进行关系配置，得到关系权限。

具体的，主体指的是数据使用者，比如：访问者。客体指的是数据，比如：被访问者。为主体和客体均配置权限，得到主客体关系和三元组。再对主客体关系和三元组进行关系配置，得到关系权限。在其他实施例中，可以将主客体关系存储成主客体关系配置表，将三元组存储成三元组表，再对主客体关系配置表和三元组表进行关系配置，得到关系权限。

在其中的一些实施例中，关系权限为规则、策略以及策略组中的一种；策略组包括多个策略；策略包括多个规则；规则用于控制访问范围。

其中，三元组的表达式可以包括主体表达式、客体表达式以及用户组表达式，并给出了示例。主体表达式可以为<主体>::<用户ID>'<'<用户组>；客体表达式可以为<客体>::<对象ID>'<'<对象域>；用户组表达式可以为<用户组>::<关系>'#'<客体>。在本实施例中，采用的三元组的表达式为<关系三元组>::<主体>'$'<用户组>＝><关系三元组>::<主体>'$'<关系>'#'<客体>，如图4所示。

其中，$表示主客体关系符号；#表示关系作用符号；主客体关系符号之前为主体描述；主客体关系符号和关系作用符号之间为关系描述；关系作用符号之后为客体描述；主体描述中的<为主体关系符号；客体描述中的<为客体关系符号。

运用三元组的表达式构造一个关系权限的范例如下：accounting会计部门的员工userA，是mysql数据库的工资表salary的拥有者，对应的关系权限如下：

userA

该关系权限可以认为是一条规则，那么多个规则可以配置成一个策略，多个策略可以配置成一个策略组；规则适用于简单的业务场景；策略适用于一般复杂的业务场景，策略组适用于复杂的业务场景。利用规则、策略以及策略组的划分适配不同复杂程度的业务场景，方便管理。

具体的，运用三元组的表达式配置部分的典型访问权限控制的规则如表1。

在其中的一些实施例中，步骤S211中的根据主客体关系和三元组配置关系权限，包括如下步骤：

根据主客体关系、三元组的扩展处理，配置关系权限。

具体的，为了解决数据使用者和数据之间一些复杂的权限关系，可以将三元组进行扩展处理。具体的扩展处理，可以对三元组进行并级联，那么对于并级联的三元组的表达式：比如：设置一个包含部门和角色的权限，允许投资部门InvestmentDept下的子部门互联网组的分析师analystA,并且是分析师组AnalystSet1的分析师角色，analystA可仅查询存款业务部门的业务员bankerB所拥有的存款账号数据库depositaccounts中的存款表deposit，以进行潜在的投资人画像分析。具体的表达式如下所示：

analystA$member#AnalystSet1

上述表达式的解析如图5所示。先解析出主体描述(analystA$member#AnalystSet1

在其中的一些实施例中，为了显著提高动态权限计算和权限匹配查询计算的速度，基于关系的访问权限控制方法，还包括如下步骤：

在权限控制层中，基于预设加密传输格式对关系权限进行传输，并存储至分布式数据库中。

具体的，可以使用JSON或XML数据格式来传输和存储关系权限，并通过加密方式提高安全性。

由于分布式数据库主要解决两个问题：一是容量问题，二是性能问题。在现有的RBAC和ABAC等权限控制方案中：对于容量问题，它们的权限配置基本上数据量不会特别巨大，单机数据库可以满足。对于性能问题，它们的权限配置在大型系统中，当系统访问量大的时候，每次访问都要查询数据库中的权限配置来计算是否允许访问，这会拖累系统的响应时间。现有技术中的RBAC和ABAC需要保存在一个数据库的一张表中，并进行动态权限的计算。即使表可以分片存储在分布式数据库中，也仅解决了容量的问题，还是要进行全局的联合查询计算，不能解决性能的问题。而在本实施例中，是按客体ID或者<客体ID：关系>对为主键来存储，适合做分片存储在分布式数据库中，即相对于现有的方案能够进一步降低对容量的需求，解决容量的问题，也解决查表计算的性能问题。并且简单的主键非常适合做索引提高数据库检索速度，也适合做HASH计算保存在缓存中，减少对数据库的访问，提高系统的响应速度，降低系统的计算消耗。

在其中的一些实施例中，基于关系的访问权限控制方法，还包括如下步骤：

在根据响应结果决定是否允许或拒绝转发访问请求至被访问客体之后，通过访问控制模块返回访问结果至访问者。

具体的，访问控制模块作为中间环节，能够将访问请求对应的返回访问结果至访问者；如果是允许转发访问请求，则将访问请求对应的目标数据返回给访问者；如果是拒绝转发访问请求，则返回拒绝信息给访问者。拒绝信息可以包含拒绝原因等。在本实施例中，能够让访问者快速得到返回结果，进一步简化管理难度。

需要说明的是，在上述流程中或者附图的流程图中示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行，并且，虽然在流程图中示出了逻辑顺序，但是在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤。

在本实施例中还提供了一种基于关系的访问权限控制装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。以下所使用的术语“模块”、“单元”、“子单元”等可以实现预定功能的软件和/或硬件的组合。尽管在以下实施例中所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是本实施例的基于关系的访问权限控制装置的结构框图，如图6所示，该装置包括：配置单元210和检查响应单元220；

配置单元210，用于在权限控制层中，根据主客体关系和三元组配置关系权限；三元组的表达式包括主体描述、关系描述以及客体描述；

检查响应单元220，用于在访问控制层中的访问控制模块接收到访问请求时，将访问请求传输至权限控制层中，并接收基于关系权限检查访问请求对应的访问者的响应结果，根据响应结果决定是否允许或拒绝转发访问请求至被访问客体。

通过上述装置，解决了在大型的业务组织中，角色和属性爆炸带来的管理困难和导致权限控制失效的问题，利用在大型的业务组织中数据和数据使用者的关系和组织结构具有有限清晰明确的特点，来确定的关系权限，进而基于关系权限来简化管理难度，从而避免权限控制失效。

在其中的一些实施例中，配置单元210还用于为主体和客体配置权限，得到主客体关系和三元组；

对主客体关系和三元组进行关系配置，得到关系权限。

在其中的一些实施例中，关系权限为规则、策略以及策略组中的一种；策略组包括多个策略；策略包括多个规则；规则用于控制访问范围。

在其中的一些实施例中，配置单元210还用于根据主客体关系、三元组的扩展处理，配置关系权限。

在其中的一些实施例中，基于关系的访问权限控制装置，还包括返回单元；

返回单元，用于在根据响应结果决定是否允许或拒绝转发访问请求至被访问客体之后，通过访问控制模块返回访问结果至访问者。

在其中的一些实施例中，基于关系的访问权限控制装置，还包括传输存储单元；

传输存储单元，用于在权限控制层中，基于预设加密传输格式对关系权限进行传输，并存储至分布式数据库中。

需要说明的是，上述各个模块可以是功能模块也可以是程序模块，既可以通过软件来实现，也可以通过硬件来实现。对于通过硬件来实现的模块而言，上述各个模块可以位于同一处理器中；或者上述各个模块还可以按照任意组合的形式分别位于不同的处理器中。

在本实施例中还提供了一种数据安全访问系统，如图7所示，包括：展示层、应用层以及数据层；展示层架设在应用层上，用于提供交互接口；

应用层，与数据层连接；在应用层和数据层的配合下，用于执行上述任一项方法实施例中的步骤。

具体的，展示层架设在应用层上，其包括Web UI、代理、监控警告以及数据库管理等；用于提供交互接口给访问主体；访问主体包括但不限于浏览器、应用、管理员以及操作员等。应用层包括API网关(具有加密通道)、管理应用、访问应用以及审计应用；管理应用与数据层配合可以实现对关系权限的建立、更新以及管理。访问应用与数据层配合可以实现对访问请求的检查和管控。管理应用包括但不限于系统管理、用户管理、系统监控、数据库托管服务、权限管理服务等；访问应用包括但不限于数据操作服务、权限控制服务等。审计应用包括但不限于仪表盘、报表服务以及审计日志。数据层包括：数据库(托管数据库连接配置信息)、权限配置、权限监控、权限检查、数据库(主客体关系配置表)、数据库(三元组表)、缓存(三元组缓存)、审计日志等。

管理员和操作员可以通过浏览器及应用等通过Web UI进行对已托管的被访问对象的加密访问，并受关系权限控制的检查和管控。管理员通过用户管理创建数据操作员用户，通过数据库托管服务创建和管理纳管的数据中心和数据源。

管理员，通过权限管理服务配置和管理主体用户和被访问数据客体之间的关系，并设置权限。具体的，时序图如图8所示。

管理员通过Web UI将创建/更新访问权限通过加密传输通道传输至权限管理服务；再通过JSON格式将关系权限传输至权限配置；权限配置返回配置结果到权限管理服务，再将配置结果返回给管理员。权限配置解析主客体关系并存到主客体关系数据库；权限配置解析关系权限三元组并存到三元组数据库。权限监控监听主客体关系数据库中的关系配置数据表更新；权限监控监听三元组数据库中的三元组表更新；权限监控以客体ID或<客体ID，关系>对为Key来计算关系权限HASH，保存K-V到缓存表。

数据访问的操作员选择要访问的数据源，通过浏览器或应用，发送访问请求到数据操作服务，数据操作服务在转发访问请求到选定数据源之前，先通过权限控制服务进行权限检查。权限检查优先通过缓存查询权限，如果缓存中不存在，则通过权限监控查询主客体关系配置表和三元组表，并计算出权限HASH值，将检查结果返回给权限检查，权限控制服务收到检查响应后通知数据操作服务，该访问请求是被允许还是被拒绝。权限监控计算新的权限HASH值后更新缓存，以提高访问速度。缓存采用LRU机制提高命中率。时序图如图9所示。

在本实施例中还提供了一种计算机设备，包括存储器和处理器，该存储器中存储有计算机程序，该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。

可选地，上述计算机设备还可以包括传输设备以及输入输出设备，其中，该传输设备和上述处理器连接，该输入输出设备和上述处理器连接。

可选地，在本实施例中，上述处理器可以被设置为通过计算机程序执行以下步骤：

S1，在权限控制层中，根据主客体关系和三元组配置关系权限；三元组的表达式包括主体描述、关系描述以及客体描述；

S2，在访问控制层中的访问控制模块接收到访问请求时，将访问请求传输至权限控制层中，并接收基于关系权限检查访问请求对应的访问者的响应结果，根据响应结果决定是否允许或拒绝转发访问请求至被访问客体。

需要说明的是，在本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例，在本实施例中不再赘述。

此外，结合上述实施例中提供的基于关系的访问权限控制方法，在本实施例中还可以提供一种存储介质来实现。该存储介质上存储有计算机程序；该计算机程序被处理器执行时实现上述实施例中的任意一种基于关系的访问权限控制方法。

应该明白的是，这里描述的具体实施例只是用来解释这个应用，而不是用来对它进行限定。根据本申请提供的实施例，本领域普通技术人员在不进行创造性劳动的情况下得到的所有其它实施例，均属本申请保护范围。

显然，附图只是本申请的一些例子或实施例，对本领域的普通技术人员来说，也可以根据这些附图将本申请适用于其他类似情况，但无需付出创造性劳动。另外，可以理解的是，尽管在此开发过程中所做的工作可能是复杂和漫长的，但是，对于本领域的普通技术人员来说，根据本申请披露的技术内容进行的某些设计、制造或生产等更改仅是常规的技术手段，不应被视为本申请公开的内容不足。

“实施例”一词在本申请中指的是结合实施例描述的具体特征、结构或特性可以包括在本申请的至少一个实施例中。该短语出现在说明书中的各个位置并不一定意味着相同的实施例，也不意味着与其它实施例相互排斥而具有独立性或可供选择。本领域的普通技术人员能够清楚或隐含地理解的是，本申请中描述的实施例在没有冲突的情况下，可以与其它实施例结合。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对专利保护范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请的保护范围应以所附权利要求为准。