一种基于自主可控桌面终端深度协同管控的域控管控装置

技术领域

本发明涉及域控管控技术领域，尤其是一种基于自主可控桌面终端深度协同管控的域控管控装置。

背景技术

随着计算机网络的不断发展，用户对于信息的隐私安全保护也越来越重视。在常用的对等网模式下，任何一台电脑只要接入网络，其他机器就都可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解，而通过域控管控装置可以对接入终端进行访问管理。但是相关技术中对于域控管控装置的部署以及管理只能有由网络管理员进行相应的操作，需要一定的人工成本，并且管理效率较低。综合上述，相关技术中存在的技术问题亟需得到解决。

发明内容

有鉴于此，本发明实施例提供一种基于自主可控桌面终端深度协同管控的域控管控装置，以提高域控系统的管控能力。

一方面，本发明提供了一种基于自主可控桌面终端深度协同管控的域控管控装置，所述装置应用于自主可控桌面终端，所述装置包括自主可控操作系统、防护系统和域控系统；

其中，所述防护系统和域控系统部署在所述自主可控操作系统上；

所述域控系统，用于根据轻量级目录访问协议和容器技术，对待接入的终端进行分层级域控处理，得到多层域林；

所述防护系统，用于通过深度融合域控防护技术对所述多层域林进行安全隔离以及感知本地安全态势；

所述自主可控操作系统，用于根据智能化融合架构对所述多层域林与应用进行深度融合。

可选地，所述域控系统包括一个根域控制器和多个子域控制器；

其中，所述跟域控制器，用于通过域控策略下发对总部域进行管控；

所述子域控制器，用于对相应的子域进行管控，所述子域包括不同层级的域。

可选地，所述防护系统包括域控基线核查模块、漏洞补丁自动化模块、策略下发模块、屏幕水印管理模块；

其中，所述域控基线核查模块，用于在不同生命周期阶段对所述多层域林进行基线安全配置检查处理；

所述漏洞补丁自动化模块，用于通过周期性扫描所述多层域林进行缺失补丁的定位，并根据漏洞自动利用生成模型生成补丁文件进行部署处理；

所述策略下发模块，用于对所述多层域林进行安全策略下发处理；

所述屏幕水印管理模块，用于对所述多层域林对应的终端进行屏幕水印管理。

可选地，所述域控基线核查模块，包括：

主机检查单元，用于对所述多层域林的每个终端主机进行安全检查；

数据库检查单元，用于对所述多层域林连接的数据库进行安全检查；

中间件检查单元，用于对所述多层域林接入的中间件进行安全检查；

安全设备检查单元，用于对所述多层域林安装的安全设备进行安全检查。

可选地，所述漏洞补丁自动化模块，包括：

定位单元，用于对所述多层域林进行周期性扫描，定位得到补丁缺失位置；

补丁生成单元，用于根据漏洞自动利用生成模型对所述补丁缺失位置进行补丁生成处理；

补丁部署单元，用于根据所述漏洞自动利用生成模型生成的补丁，对所述补丁缺失位置进行部署处理；

漏洞检测单元，用于对部署后的所述补丁缺失位置进行漏洞检测处理。

可选地，所述策略下发模块，包括：

意图识别单元，用于获取所述多层域林的输入数据，对所述输入数据进行意图识别，得到识别结果；

策略优化模块，用于根据所述识别结果从策略库中选取得到对应的防护策略，并结合网络状态感知对所述防护策略进行优化；

下发单元，用于对优化后的所述防护策略下发到所述多层域林。

可选地，所述屏幕水印管理模块，包括：

水印生成单元，用于对所述多层域林进行屏幕水印生成处理；

水印配置单元，用于对生成的屏幕水印进行内容配置处理；

水印检测单元，用于对所述多层域林进行屏幕扫描检测处理。

可选地，所述自主可控操作系统，包括数据库模块、可视化模块和工具箱模块；

其中，所述数据库模块，用于对所述多层域林的数据进行整合存储；

所述可视化模块，用于对所述数据库模块中存储的综合数据进行可视化展现；

所述工具箱模块，用于通过安全审计工具对所述多层域林进行安全防护处理。

另一方面，本发明实施例还提供了一种基于自主可控桌面终端深度协同管控的域控管控方法，所述方法部署于如前面所述的一种基于自主可控桌面终端深度协同管控的域控管控装置，所述方法包括：

通过域控系统根据轻量级目录访问协议和容器技术，对待接入的终端进行分层级域控处理，得到多层域林；

通过防护系统使用深度融合域控防护技术对所述多层域林进行安全隔离以及感知本地安全态势；

通过自主可控操作系统根据智能化融合架构对所述多层域林与应用进行深度融合。

另一方面，本发明实施例还公开了一种电子设备，包括处理器以及存储器；

所述存储器用于存储程序；

所述处理器执行所述程序实现如前面所述的方法。

另一方面，本发明实施例还公开了一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现如前面所述的方法。

另一方面，本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行前面的方法。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：本发明通过域控系统，用于根据轻量级目录访问协议和容器技术，对待接入的终端进行分层级域控处理，得到多层域林；所述防护系统，用于通过深度融合域控防护技术对所述多层域林进行安全隔离以及感知本地安全态势；所述自主可控操作系统，用于根据智能化融合架构对所述多层域林与应用进行深度融合；能够自动化对接入终端进行访问管理，对多层域林进行防护管控，提高了域控管控装置的管理和防护效率。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本申请实施例提供的一种基于自主可控桌面终端深度协同管控的域控管控装置的结构示意图；

图2是本申请实施例提供的多层域林的结构示意图；

图3是本申请实施例提供的防护系统的结构示意图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

相关技术中的域控管理需要通过管理员手动添加和管理，其安全性和自动化程度降低，管理效率低效。随着等分布式能源业务应用，对网络资源、计算资源、存储资源、操作系统等基础设施需求日益旺盛，相关技术中的域控管理装置难以应对多层域林的管理需求。

有鉴于此，本申请实施例中提供一种基于自主可控桌面终端深度协同管控的域控管控装置，本申请实施例中的域控管控装置，可应用于终端中，也可应用与服务器中，还可以是运行于终端或服务器中的软件等。终端可以是平板电脑、笔记本电脑、台式计算机等，但并不局限于此。服务器可以是独立的物理服务器，也可以是多个物理服务器构成的服务器集群或者分布式系统，还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。

参照图1，本发明实施例提供一种基于自主可控桌面终端深度协同管控的域控管控装置，所述装置应用于自主可控桌面终端，所述装置包括自主可控操作系统、防护系统和域控系统；

其中，所述防护系统和域控系统部署在所述自主可控操作系统上；

所述域控系统，用于根据轻量级目录访问协议和容器技术，对待接入的终端进行分层级域控处理，得到多层域林；

所述防护系统，用于通过深度融合域控防护技术对所述多层域林进行安全隔离以及感知本地安全态势；

所述自主可控操作系统，用于根据智能化融合架构对所述多层域林与应用进行深度融合。

在本发明实施例中，基于自主可控桌面终端深度协同管控的域控管控装置应用于自主可控桌面终端，可适用于电力系统，分布式电源、变电站、充换电站、储能站、数据中心、5G基站、北斗基站等分布式能源业务应用。本发明通过对自主可控桌面终端深度协同管控技术研究与应用，支撑分布式能源业务应用实践。自主可控操作系统下的集团域林技术研究，是实现基于域控架构的终端管控系统的顶层设计，让域控即成为推动新型电力系统发展的驱动力，通过深度融合域控防护技术研究，实现基于集团域林架构研制新型电力系统终端管控防护模块。自主可控桌面终端深度协同管控技术是对域概念的衍生，管理着终端身份认证与入域管控，支撑信创体系下自主可控操作系统和终端的身份认证与入域管控体系。

本发明实施例基于自主可控桌面终端深度协同管控的域控管控装置包括自主可控操作系统、防护系统和域控系统；其中，所述防护系统和域控系统部署在所述自主可控操作系统上；其中，自主可控操作系统用于实现终端域控安全统一合规库标准化，数据综合展现可视化，域控安全审计多维化，推动基础设施智慧融合发展。通过部署在所述自主可控操作系统上的域控系统根据轻量级目录访问协议和容器技术，对待接入的终端进行分层级域控处理，得到多层域林。具体通过通过引入域林概念，基于轻量级目录访问协议(LDAP)、OpenLDAP以及容器技术实现对多个行政管理等级的域进行集团管控，即做到总部、分子公司、单位至少三层的域控集中管理，不同层级的域存在安全隔离关系。通过部署在所述自主可控操作系统上的防护系统通过深度融合域控防护技术对所述多层域林进行安全隔离以及感知本地安全态势，具体通过域控基线核查、漏洞补丁自动化、策略下发、屏幕水印管理的融合可行性，多网切换管控，实现安全管控智能化。自主可控操作系统作为主管并控制计算机操作、运用和运行硬件、软件资源和提供公共服务来组织用户交互的相互关联的系统软件程序，根据智能化融合架构对所述多层域林与应用进行深度融合。

需要补充说明的是，在本申请的各个具体实施方式中，当涉及到需要根据目标对象的信息、目标对象的行为数据、目标对象的历史数据以及目标对象的位置信息等与目标对象身份或特性相关的数据进行相关处理时，都会先获得目标对象的许可或者同意，而且，对这些数据的收集、使用和处理等，都会遵守相关法律法规和标准。此外，当本申请实施例需要获取目标对象的敏感信息时，会通过弹窗或者跳转到确认页面等方式获得目标对象的单独许可或者单独同意，在明确获得目标对象的单独许可或者单独同意之后，再获取用于使本申请实施例能够正常运行的必要的目标对象相关数据。

进一步作为可选的实施方式，所述域控系统包括一个根域控制器和多个子域控制器；

其中，所述跟域控制器，用于通过域控策略下发对总部域进行管控；

所述子域控制器，用于对相应的子域进行管控，所述子域包括不同层级的域。

参照图2，本发明实施例设置总部、分子公司、单位至少三层的域控集中管理，对多个行政管理等级的域进行集团管控，不同层级的域存在安全隔离关系。具体设置了一个根域控制器和多个子域控制器，跟域控制器通过域控策略下发对总部域进行管控，总部域中部署有多台计算机或其他终端，子域控制器对相应的子域进行管控，子域可以包括不同层级的域，如二级单位域、三级单位域等，每个子域内同样部署有多台计算机或其他终端。

进一步作为可选的实施方式，所述防护系统包括域控基线核查模块、漏洞补丁自动化模块、策略下发模块、屏幕水印管理模块；

其中，所述域控基线核查模块，用于在不同生命周期阶段对所述多层域林进行基线安全配置检查处理；

所述漏洞补丁自动化模块，用于通过周期性扫描所述多层域林进行缺失补丁的定位，并根据漏洞自动利用生成模型生成补丁文件进行部署处理；

所述策略下发模块，用于对所述多层域林进行安全策略下发处理；

所述屏幕水印管理模块，用于对所述多层域林对应的终端进行屏幕水印管理。

参照图3，本发明实施例中防护系统包括域控基线核查模块、漏洞补丁自动化模块、策略下发模块、屏幕水印管理模块，通过域控基线核查、漏洞补丁自动化、策略下发、屏幕水印管理的融合可行性，多网切换管控，实现安全管控智能化。该防护系统部署在自主可控操作系统终端上，能够结合自主可控操作系统终端的安全等级保护和安全基线要求对多层域林进行相应的安全防护部署。在一种实施场景中，根据电力安全生产ⅠⅤ至Ⅴ区以及等级保护、安全基线对终端设备的要求，结合终端设备零散部署以及硬件资源极其有限(如弱性能)环境下，研究硬件加速融合架构及优化部署机制，实现计算、存储与网络的一体化融合，提升软硬件兼容能力，完成支持漏洞补丁自动化、策略下发、主动防御技术，有效将已知和未知病毒来实现用户间的隔离，有效提升域控平台感知本地安全态势，满足不同环境场景的域控及终端安全防护数据一体化深度融合。

进一步作为可选的实施方式，所述域控基线核查模块，包括：

主机检查单元，用于对所述多层域林的每个终端主机进行安全检查；

数据库检查单元，用于对所述多层域林连接的数据库进行安全检查；

中间件检查单元，用于对所述多层域林接入的中间件进行安全检查；

安全设备检查单元，用于对所述多层域林安装的安全设备进行安全检查。

在本发明实施例中，基线一般指配置和管理系统的详细描述，或者说是最低的安全要求，包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等。服务器安全基线是指为满足安全规范要求，服务器安全配置必需达到的标准，一般通过检查各安全配置参数是否符合标准来度量。主要包括了账号配置安全、口令配置安全、授权配置、日志配置、IP通信配置等方面内容，这些安全配置直接反映了系统自身的安全脆弱性。具体通过主机检查单元，用于对所述多层域林的每个终端主机，如Windows、Linux等进行安全检查，通过数据库检查单元，用于对所述多层域林连接的数据库，如Oracle、Redis、MySQL等进行安全检查；通过中间件检查单元，用于对所述多层域林接入的中间件，如apache、WebLogic、Tomcat等进行安全检查；通过安全设备检查单元，用于对所述多层域林安装的安全设备，如堡垒机、防火墙、路由器等进行安全检查。本发明实施例的域控基线核查模块通过在系统生命周期不同阶段对目标系统展开各类安全检查，找出不符合基线定义的安全配置项并选择和实施安全措施来控制安全风险，并通过对历史数据的分析获得系统安全状态和变化趋势。

进一步作为可选的实施方式，所述漏洞补丁自动化模块，包括：

定位单元，用于对所述多层域林进行周期性扫描，定位得到补丁缺失位置；

补丁生成单元，用于根据漏洞自动利用生成模型对所述补丁缺失位置进行补丁生成处理；

补丁部署单元，用于根据所述漏洞自动利用生成模型生成的补丁，对所述补丁缺失位置进行部署处理；

漏洞检测单元，用于对部署后的所述补丁缺失位置进行漏洞检测处理。

在本发明实施例中，通过定位单元，对所述多层域林部署的每台计算机或其他终端进行周期性扫描发现缺少的补丁，定位得到补丁缺失位置；然后通过补丁生成单元根据漏洞自动利用生成模型对所述补丁缺失位置进行补丁生成处理；再通过补丁部署单元根据所述漏洞自动利用生成模型生成的补丁，对所述补丁缺失位置进行部署处理；最后利用漏洞检测单元对部署后的所述补丁缺失位置进行漏洞检测处理，掌握补丁部署的任务状态，发现安全风险。本发明实施例中的漏洞补丁自动化模块通过对补丁管理的全过程的自动化：同步漏洞数据库、全面扫描网络、发现缺少的补丁、部署补丁并更新补丁安装状态。补丁自动化要求自动化补丁的测试和审批流程、在短时间内实现成百上千设备的补丁更新，达到节约时间和成本的目的。

进一步作为可选的实施方式，所述策略下发模块，包括：

意图识别单元，用于获取所述多层域林的输入数据，对所述输入数据进行意图识别，得到识别结果；

策略优化模块，用于根据所述识别结果从策略库中选取得到对应的防护策略，并结合网络状态感知对所述防护策略进行优化；

下发单元，用于对优化后的所述防护策略下发到所述多层域林。

在本发明实施例中，用户的意图需要作为多层域林的输入数据，由于用户意图实现的自动化程度与意图实现的场景成反比关系，通过策略下发模块实现绝大部分业务发放、网络部署和维护的自动化,并实现较全面地网络状态感知对多层域林的进行决策下发。具体通过意图识别单元实现深度的网络状态感知、自动网络控制,得到网络意图。通过策略优化模块，根据所述识别结果从预先设定的策略库中选取得到对应的防护策略，并结合网络状态感知对所述防护策略进行优化，在特定的环境，能够实现自主调整网络的防护状态，使多层域林在不同网络环境、网络条件下,网络均能自动适应、自主调整防策略。最后通过下发单元对优化后的所述防护策略下发到多层域林。

进一步作为可选的实施方式，所述屏幕水印管理模块，包括：

水印生成单元，用于对所述多层域林进行屏幕水印生成处理；

水印配置单元，用于对生成的屏幕水印进行内容配置处理；

水印检测单元，用于对所述多层域林进行屏幕扫描检测处理。

在本发明实施例中，当多层域林中部署的计算机或终端需要对域内文件进行访问时，可以通过水印检测单元对所述多层域林中各个终端进行屏幕扫描检测处理，检测是否存在安全泄露问题。可以通过水印配置单元对需要生成或已经生成的屏幕水印进行内容配置处理，如修改水印内容、字体、颜色等，并通过对应的防护策略，结合水印生成单元对多层域林进行屏幕水印生成处理。

进一步作为可选的实施方式，所述自主可控操作系统，包括数据库模块、可视化模块和工具箱模块；

其中，所述数据库模块，用于对所述多层域林的数据进行整合存储；

所述可视化模块，用于对所述数据库模块中存储的综合数据进行可视化展现；

所述工具箱模块，用于通过安全审计工具对所述多层域林进行安全防护处理。

在本发明实施例中，在多层域林中分别部署对应的域数据库以存储每个域的数据，还可以使用一个数据库对多个域数据库的数据进行存储，通过数据库模块对所述多层域林的数据进行整合存储。并且通过可视化模块，对数据库模块中存储的综合数据以图表等形式进行可视化展现，在工具箱模块，还可以使用多种安全审计工具对多层域林进行安全防护处理。

另一方面，本发明实施例还提供了一种基于自主可控桌面终端深度协同管控的域控管控方法，其特征在于，所述方法部署于如前面所述的一种基于自主可控桌面终端深度协同管控的域控管控装置，所述方法包括：

通过域控系统根据轻量级目录访问协议和容器技术，对待接入的终端进行分层级域控处理，得到多层域林；

通过防护系统使用深度融合域控防护技术对所述多层域林进行安全隔离以及感知本地安全态势；

通过自主可控操作系统根据智能化融合架构对所述多层域林与应用进行深度融合。

可以理解的是，上述方法实施例中的内容均适用于本系统实施例中，本系统实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法实施例所达到的有益效果也相同。

另一方面，本发明实施例还提供了一种电子设备，包括处理器以及存储器；所述存储器用于存储程序；所述处理器执行所述程序实现如前面所述的方法。

另一方面，本发明实施例还提供了一种计算机可读存储介质，所述存储介质存储有程序，所述程序被处理器执行实现如前面所述的方法。

本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行如前面所述的方法。

综上所述，本发明实施例具有以下优点：本发明实施例通过引入AD域林概念，基于LDAP轻量级目录访问协议、OpenLDAP以及容器技术实现对多个行政管理等级的域进行集团管控，即做到总部、分子公司、单位至少三层的域控集中管理，不同层级的域存在安全隔离关系。包括自主可控操作系统域控安全统一合规库设计、数据综合可视化展现设计、域控安全审计工具箱设计。提供AD域林与应用的深度融合，支持智能化融合架构，实现双重保障系统可靠性和可用性。

在一些可选择的实施例中，在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如，取决于所涉及的功能/操作，连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外，在本发明的流程图中所呈现和描述的实施例以示例的方式被提供，目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的，其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。

此外，虽然在功能性模块的背景下描述了本发明，但应当理解的是，除非另有相反说明，所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中，或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是，有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说，考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下，在工程师的常规技术内将会了解该模块的实际实现。因此，本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是，所公开的特定概念仅仅是说明性的，并不意在限制本发明的范围，本发明的范围由所附权利要求书及其等同方案的全部范围来决定。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。

计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)，便携式计算机盘盒(磁装置)，随机存取存储器(RAM)，只读存储器(ROM)，可擦除可编辑只读存储器(EPROM或闪速存储器)，光纤装置，以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

以上是对本发明的较佳实施进行了具体说明，但本发明并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。