一种提高数据仓库安全性的方法、装置
技术领域
本发明属于数据仓库领域,尤其涉及一种提高数据仓库安全性的方法、装置。
背景技术
现有的数据仓库经常会使用hive(一种基于hadoop的数据仓库)作为抽取、转置、加载(ETL)的工具,为了保证hive服务的高可用,在hive服务端(hiveserver2)部署zookeeper服务,zookeeper通过创建znode节点来存放hiveserver2节点信息从而实现hiveserver2的高可用。为了防止单点故障,用户必须通过第三方客户端(如:JDBC,BEELINE,oozie,hbase)连接高可用的hiveserver2集群,禁止用户直连单个hiveserver2节点。
但是这种基于zookeeper实现的hive高可用系统存在如下缺点:
1、在非kerberos安全模式下,hive在zookeeper上创建的节点/hiveserver2的访问控制列表(ACL)为world,anyone:cdrwa。这表示任一登上zookeeper节点的用户都对hive的znode节点有增、删、改、查、管理权限,可能导致数据仓库服务不可用,大大降低了hive的可用性。
2、任意客户端如hbase或者oozie客户端及任意第三方用户通过jdbc方式连接高可用hiveserver2集群时,可直接访问hiveserver2高可用节点,有可能导致数据数据泄漏。
发明内容
为了解决现有技术的问题,本发明提出了一种提高数据仓库安全性的方法、装置,本方法可以实现未开启kerberos情况下,第三方应用用户或客户端使用hive的高可用hiveserver2集群做抽取、转置、加载(ETL)时,zookeeper上znode节点不会被第三方应用用户或客户端误删、修改,保持数据仓库服务的高可用性。
本发明实施例提供的具体技术方案如下:
第一方面,本发明提供一种提高数据仓库安全性的方法,所述方法包括:
进程守护系统对客户端预先获得的授权凭证进行有效性校验,当有效性校验通过时,客户端向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述验证服务端接收所述znode节点的访问请求和所述授权凭证后,对所述授权凭证进行解析、验证,并将验证结果发送至所述客户端;
当验证结果为允许访问所述znode节点时,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述方法还包括:
认证系统接收用户通过所述客户端发送的针对待访问的znode节点的权限定制请求,根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端。
优选的,所述根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端具体包括:
所述认证系统对所述用户进行资格审核;
当审核通过时,根据所述待访问的znode节点的权限定制请求,生成与所述用户相匹配的授权凭证并发送至所述进程守护系统;
所述进程守护系统将所述授权凭证下发至对应的客户端。
优选的,所述方法还包括:
当所述进程守护系统对客户端预先获得的授权凭证有效性校验不通过时,所述进程守护系统向所述认证系统请求重新发送所述授权凭证。
优选的,所述进程守护系统对客户端预先获得的授权凭证进行有效性校验具体包括:
所述进程守护系统获取所述授权凭证的有效时间期限及系统时间;
判断所述系统时间是否位于所述有效时间期限内,得到判断结果。
优选的,所述对所述授权凭证进行解析、验证具体包括:
所述验证服务端对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
优选的,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库具体包括:
所述客户端通过所述znode节点,获取得到数据仓库的服务端节点;
通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第二方面,本发明还提供一种提高数据仓库安全性的方法,所述方法包括:
当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
接收由所述验证服务端发送的对所述授权凭证进行解析、验证后得到的验证结果;
当验证结果为允许访问所述znode节点时,通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述方法还包括:
向认证系统发送针对待访问的znode节点的权限定制请求;
接收由所述认证系统返回的根据所述待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
优选的,所述接收由所述认证系统返回的根据所述待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证具体包括:
接收由所述认证系统对所述用户资格审核通过时,根据所述待访问的znode节点的权限定制请求,生成并发送至所述进程守护系统,并由所述进程守护系统下发的与所述用户相匹配的授权凭证。
优选的,所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库具体包括:
通过所述znode节点,获取得到数据仓库的服务端节点;
通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第三方面,本发明提供一种提高数据仓库安全性的方法,所述方法包括:
接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由所述客户端发送的针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
对所述授权凭证进行解析、验证,并将验证结果发送至所述客户端;
当验证结果为允许访问所述znode节点时,与所述客户端连接以使所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而便于所述客户端访问数据仓库。
优选的,所述对所述授权凭证进行解析、验证具体包括:
对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
第四方面,本发明提供一种提高数据仓库安全性的装置,所述装置包括:进程守护系统、客户端、验证服务端、数据仓库服务端;
所述进程守护系统用于对客户端预先获得的授权凭证进行有效性校验;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述客户端用于当所述进程守护系统对所述客户端预先获得的授权凭证有效性校验通过时,向所述验证服务端发送针对znode节点的访问请求及所述授权凭证;
所述验证服务端用于接收所述znode节点的访问请求和所述授权凭证,并对所述授权凭证进行解析、验证,将验证结果发送至所述客户端;
所述客户端还用于接收所述验证服务端发送的所述验证结果,当所述验证结果为允许访问所述znode节点时,通过所述znode节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述装置还包括:认证系统;
所述认证系统用于接收用户通过所述客户端发送的针对待访问的znode节点的权限定制请求,根据所述待访问的znode节点的权限定制请求生成与所述用户相匹配的授权凭证并返回至所述客户端;
优选的,所述认证系统具体包括:
管理模块,用于对所述用户进行资格审核;
权限定制模块,用于当审核通过时,根据所述待访问的znode节点的权限定制请求,生成与所述用户相匹配的授权凭证;
所述管理模块还用于将所述授权凭证发送至所述进程守护系统;
所述进程守护系统还用于将所述授权凭证下发至对应的客户端。
优选的,所述进程守护系统还用于当所述进程守护系统对客户端预先获得的授权凭证有效性校验不通过时,向所述认证系统请求重新发送所述授权凭证。
优选的,所述进程守护系统包括:
获取模块,用于获取所述授权凭证的有效时间期限及系统时间;
判断模块,用于判断所述系统时间是否位于所述有效时间期限内,得到判断结果。
优选的,所述验证服务端包括:
解析模块,用于对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
优选的,所述客户端具体用于通过所述znode节点,获取得到数据仓库的服务端节点;
通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第五方面,本发明提供一种客户端,所述客户端包括:发送模块、接收模块、连接模块;
所述发送模块用于当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述接收模块用于接收由所述验证服务端发送的对所述授权凭证进行解析、验证后得到的验证结果;
所述连接模块用于当验证结果为允许访问所述znode节点时,通过所述znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,所述发送模块还用于向认证系统发送针对待访问的znode节点的权限定制请求;
所述接受模块还用于接收由所述认证系统返回的根据所述待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
优选的,所述接受模块具体用于接收由所述认证系统对所述用户资格审核通过时,根据所述待访问的znode节点的权限定制请求,生成并发送至所述进程守护系统,并由所述进程守护系统下发的与所述用户相匹配的授权凭证。
优选的,所述客户端还包括:
获取模块,用于通过所述znode节点,获取得到数据仓库的服务端节点;
所述连接模块具体用于通过所述数据仓库的服务端节点与所述数据仓库服务端建立通信连接,从而访问数据仓库。
第六方面,本发明提供一种服务端,所述服务端包括:发送模块、接收模块、解析模块、连接模块;
所述接收模块用于接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由所述客户端发送的针对znode节点的访问请求及所述授权凭证;其中,所述授权凭证包括用户对所述znode节点的增加、删除、修改、查询、管理权限;
所述解析模块用于对所述授权凭证进行解析、验证;
所述发送模块用于将验证结果发送至所述客户端;
所述连接模块用于当验证结果为允许访问所述znode节点时,与所述客户端连接以使所述客户端通过所述znode节点与数据仓库服务端建立通信连接,从而便于所述客户端访问数据仓库。
优选的,所述解析模块具体用于对所述授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对所述解析结果进行验证,得到验证结果。
本发明实施例具有如下有益效果:
1、本发明为用户设计了授权凭证,通过对授权凭证的有效性校验及解析验证,得到用户的使用权限,避免出现znode节点被误删、修改及误写等导致数据仓库服务不可用的情况发生,提高了数据仓库的高可用性和安全性;
2、本发明实现了针对不同用户的权限定制化,可从多个维度定制用户需求的权限,满足不同层级用户的权限要求;
3、本发明为授权凭证设计了有效期,可以防止授权凭证被盗用导致数据泄漏。
当然,本发明并不一定需要同时满足上述所有效果,只需满足其一即可。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请实施例一提供的一种提高数据仓库安全性的方法的流程图;
图2是本申请实施例一提供的认证系统、进程守护系统和客户端的交互过程图;
图3是本申请实施例二提供的一种提高数据仓库安全性的方法的流程图;
图4是本申请实施例三提供的一种提高数据仓库安全性的方法的流程图;
图5是本申请实施例四提供的一种提高数据仓库安全性的装置的结构图;
图6是本申请实施例五提供的一种客户端结构图;
图7是本申请实施例六提供的一种服务端结构图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现有的数据仓库经常会使用hive作为抽取、转置、加载(ETL)的工具,用户在使用hive时,通过连接hive的hiveserver2集群来实现数据仓库的高可用。但是此连接方式存在弊端:1、在非kerberos安全模式下,任一用户都可以对hive的znode节点进行增、删、改、查、管理,可能导致数据仓库服务不可用;2、任一用户可直接访问hiveserver2节点,导致数据泄露。
本申请为了解决上述问题,为每一个访问的用户设计了授权凭证,在连接数据仓库之前,通过对授权凭证的有效性校验和解析验证,对不同用户的访问权限进行核实,提高了数据仓库服务的可用性及安全性。
实施例一
如图1所示,本申请提供了一种提高数据仓库安全性的方法,具体包括如下步骤:
S12、进程守护系统对客户端预先获得的授权凭证进行有效性校验,当有效性校验通过时,客户端向验证服务端发送针对znode节点的访问请求及授权凭证。
其中,客户端可以为hbase客户端或者oozie客户端,或者采用jdbc、odbc、beeline等方式连接服务端的客户端;进程守护系统可安装在客户端的操作系统中,其独立运行不受客户端控制且一个客户端对应一个进程守护系统;验证服务端为zookeeper服务端,zookeeper通过创建znode节点来存放数据仓库的服务端节点信息以实现数据仓库的高可用,需要说明的是,本方案中的所提到的数据仓库为Hive。
具体的,授权凭证的获取过程包括:
认证系统接收用户通过客户端发送的针对待访问的znode节点的权限定制请求,根据待访问的znode节点的权限定制请求生成与用户相匹配的授权凭证并返回至客户端。
其中,根据待访问的znode节点的权限定制请求生成与用户相匹配的授权凭证并返回至客户端可以包括如下步骤:
1、认证系统对用户进行资格审核;
其中,资格审核的过程可以为:将用户与预存储的用户管理系统进行自动匹配,查询用户是否在用户管理系统中,若存在,则审核通过。
2、当审核通过时,根据待访问的znode节点的权限定制请求,生成与用户相匹配的授权凭证并发送至进程守护系统;
其中,用户按照不同的层级存储在用户管理系统中;因此,在生成授权凭证时,可根据用户层级生成相匹配的授权凭证。授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限。
示例性的,用户A为一级用户,其具有对znode节点的增加、删除、修改、查询、管理权限;用户B为四级用户,其具有对znode节点的查询权限。
通过对不同层级的用户生成不同的授权凭证,可以实现权限定制化,满足用户需求,同时也方便认证系统进行权限管理,从而提高数据仓库的高可用性和安全性。
此外,认证系统通过定时心跳与进程守护系统进行通信,因此认证系统可以定时向进程守护系统发送有效的授权凭证。
3、进程守护系统将授权凭证下发至对应的客户端。
具体参考图2,进程守护系统将不同的授权凭证分发至对应的客户端,保证了授权凭证的有效性。
此外,进程守护系统对客户端预先获得的授权凭证进行有效性校验可以包括如下步骤:
1、进程守护系统获取授权凭证的有效时间期限及系统时间;
2、判断系统时间是否位于有效时间期限内,得到判断结果。
示例性的,若当前授权凭证的生成时间为2019.09.03 8:00am,有效期为24hour,因此当前授权凭证的有效时间期限为:2019.09.03 8:00am~2019.09.048:00am,若当前系统时间为2019.09.03 14:00pm,则系统时间位于有效时间期限内,当前授权凭证有效;若当前系统时间为2019.09.04 9:00am,则系统时间不在有效时间期限内,当前授权凭证无效。
此外,当有效性校验不通过时,进程守护系统向认证系统请求重新发送授权凭证。
具体的,当认证系统接受到请求后,重新生成授权凭证的有效时间期间并通过定时心跳返回至进程守护系统。
S14、验证服务端接收znode节点的访问请求和授权凭证后,对授权凭证进行解析、验证,并将验证结果发送至客户端。
具体的,对授权凭证进行解析、验证可以包括如下步骤:
1、验证服务端对授权凭证进行解析,得到解析结果;
其中,解析结果即为用户对znode节点的增加、删除、修改、查询、管理权限。
2、根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
具体的,将zonde节点的访问控制列表信息与解析结果进行对比、验证,从而核实用户对znode节点的使用权限,进一步保证了数据仓库的安全性。
S16、当验证结果为允许访问znode节点时,客户端通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
在本方案中,数据仓库服务端为Hive服务端。
具体的,该步骤可以包括:
1、客户端系统通过znode节点,获取得到数据仓库的服务端节点;
2、通过数据仓库的服务端节点与数据仓库服务端建立通信连接,从而访问数据仓库。
具体的,在服务端节点中选择任一节点,建立通信连接,从而访问数据仓库。
在建立通信连接后,客户端即可执行Hive查询。
此外,当验证结果为不允许访问znode节点时,验证服务端向客户端发送重新申请znode节点的权限定制指令。
本方案为用户设计了授权凭证,通过对授权凭证的有效性校验及解析验证,得到用户的使用权限,避免出现znode节点被误删、修改及误写等导致数据仓库服务不可用的情况发生,提高了数据仓库的高可用性和安全性;此外,本方案实现了针对不同用户的权限定制化,可从多个维度定制用户需求的权限,满足不同层级用户的权限要求;更进一步地,本方案为授权凭证设计了有效期,可以防止授权凭证被盗用导致数据泄漏。
实施例二
本发明实施例二提供一种提高数据仓库安全性的方法,如图3所示,包括:
S32、当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及授权凭证。
其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限。
在进程守护系统对预先获得的授权凭证有效性校验之前,还可以包括如下步骤:
1、向认证系统发送针对待访问的znode节点的权限定制请求;
2、接收由认证系统返回的根据待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
其中,接收由认证系统返回的根据待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证具体包括:
接收由认证系统对用户资格审核通过时,根据待访问的znode节点的权限定制请求,生成并发送至进程守护系统,并由进程守护系统下发的与用户相匹配的授权凭证。
通过进程守护系统下发与用户相匹配的授权凭证,可以保证授权凭证的有效性。
S34、接收由验证服务端发送的对授权凭证进行解析、验证后得到的验证结果。
S36、当验证结果为允许访问znode节点时,通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
其中,通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库可以包括如下步骤:
1、当验证结果为允许访问znode节点时,通过znode节点,获取得到数据仓库的服务端节点;
2、通过数据仓库的服务端节点与数据仓库服务端建立通信连接,从而访问数据仓库。
具体的,在服务端节点中选择任一节点,建立通信连接,即可访问数据仓库。
此外,当验证结果为不允许访问znode节点时,接收验证服务端发送的重新申请znode节点的权限定制指令。
实施例三
本发明实施例三提供一种提高数据仓库安全性的方法,如图4所示,包括:
S42、接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由客户端发送的针对znode节点的访问请求及授权凭证。
其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限。
S44、对授权凭证进行解析、验证,并将验证结果发送至客户端。
具体的,对授权凭证进行解析、验证具体包括:
1、对授权凭证进行解析,得到解析结果;
2、根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
S46、当验证结果为允许访问znode节点时,与客户端连接以使客户端通过znode节点与数据仓库服务端建立通信连接,从而便于客户端访问数据仓库。
此外,当验证结果为不允许访问znode节点时,向客户端发送重新申请znode节点的权限定制指令。
实施例四
对应上述实施例一的方法,本发明实施例四提供一种提高数据仓库安全性的装置,如图5所示,包括:进程守护系统51、客户端52、验证服务端53、数据仓库服务端54;
进程守护系统51用于对客户端52预先获得的授权凭证进行有效性校验;其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限;
客户端52用于当进程守护系统51对客户端52预先获得的授权凭证有效性校验通过时,向验证服务端53发送针对znode节点的访问请求及授权凭证;
验证服务端53用于接收znode节点的访问请求和授权凭证,并对授权凭证进行解析、验证,将验证结果发送至客户端52;
客户端52还用于接收验证服务端53发送的验证结果,当验证结果为允许访问znode节点时,通过znode节点与数据仓库服务端54建立通信连接,从而访问数据仓库。
优选的,上述装置还包括:认证系统55;
认证系统55用于接收用户通过客户端52发送的针对待访问的znode节点的权限定制请求,根据待访问的znode节点的权限定制请求生成与用户相匹配的授权凭证并返回至客户端52;
优选的,上述认证系统55具体包括:
管理模块551,用于对用户进行资格审核;
权限定制模块552,用于当审核通过时,根据待访问的znode节点的权限定制请求,生成与用户相匹配的授权凭证;
管理模块551还用于将授权凭证发送至进程守护系统51;
进程守护系统51还用于将授权凭证下发至对应的客户端52。
优选的,上述进程守护系统51还用于当进程守护系统51对客户端52预先获得的授权凭证有效性校验不通过时,向认证系统55请求重新发送授权凭证。
优选的,上述进程守护系统51包括:
获取模块511,用于获取授权凭证的有效时间期限及系统时间;
判断模块512,用于判断系统时间是否位于有效时间期限内,得到判断结果。
优选的,上述验证服务端53包括:
解析模块531,用于对授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
优选的,上述客户端52具体用于通过znode节点,获取得到数据仓库的服务端节点;
通过数据仓库的服务端节点与数据仓库服务端54建立通信连接,从而访问数据仓库。
实施例五
对应上述实施例二的方法,本发明实施例五提供一种客户端,如图6所示,客户端包括:发送模块61、接收模块62、连接模块63;
发送模块61用于当进程守护系统对预先获得的授权凭证有效性校验通过时,向验证服务端发送针对znode节点的访问请求及授权凭证;其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限;
接收模块62用于接收由验证服务端发送的对授权凭证进行解析、验证后得到的验证结果;
连接模块63用于当验证结果为允许访问znode节点时,通过znode节点与数据仓库服务端建立通信连接,从而访问数据仓库。
优选的,上述发送模块61还用于向认证系统发送针对待访问的znode节点的权限定制请求;
上述接收模块62还用于接收由认证系统返回的根据待访问的znode节点的权限定制请求生成的与用户相匹配的授权凭证。
优选的,上述接收模块62具体用于接收由认证系统对用户资格审核通过时,根据待访问的znode节点的权限定制请求,生成并发送至进程守护系统,并由进程守护系统下发的与用户相匹配的授权凭证。
优选的,上述客户端还包括:
获取模块64,用于通过znode节点,获取得到数据仓库的服务端节点;
上述连接模块63具体用于通过数据仓库的服务端节点与数据仓库服务端建立通信连接,从而访问数据仓库。
实施例六
对应上述实施例三的方法,本发明实施例六提供一种服务端,如图7所示,包括:发送模块71、接收模块72、解析模块73、连接模块74;
接收模块72用于接收当进程守护系统对客户端预先获得的授权凭证有效性校验通过时,由客户端发送的针对znode节点的访问请求及授权凭证;其中,授权凭证包括用户对znode节点的增加、删除、修改、查询、管理权限;
解析模块73用于对授权凭证进行解析、验证;
发送模块71用于将验证结果发送至客户端;
连接模块74用于当验证结果为允许访问znode节点时,与客户端连接以使客户端通过znode节点与数据仓库服务端建立通信连接,从而便于客户端访问数据仓库。
优选的,上述解析模块73具体用于对授权凭证进行解析,得到解析结果;
根据预存的访问控制列表信息对解析结果进行验证,得到验证结果。
尽管已描述了本发明实施例中的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例中范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。