数据权限控制方法、系统、终端以及储存介质与流程

1.本发明涉及数据信息处理技术领域，特别是涉及一种数据权限控制方法、系统、终端以及储存介质。


背景技术：

2.在云计算和云服务时代，为了保障数据安全，统一集中的数据权限管理机制必不可少。当前，已经有访问控制列表、基于角色的访问控制以及亚马逊权限策略等中心权限控制机制。其中，访问控制列表可以精确的定义具体的数据项，但是随着数据量的增加以及不同用户拥有相同权限的情况，会导致访问控制列表变得非常庞大且难以进行维护。
3.而基于角色的访问控制难以进行精确到人的数据权限控制。亚马逊的权限策略功能强大，但在对多级数据权限的控制时会导致策略变得极其复杂，难以编写和维护。


技术实现要素：

4.鉴于以上所述现有技术的缺点，本发明的目的在于提供一种数据权限控制方法、系统、终端以及储存介质，用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护，或者对多级数据权限的控制时会导致策略变得极其复杂，难以编写和维护，进而导致数据权限控制工作效率大幅度降低的问题。
5.为实现上述目的及其他相关目的，本发明提供一种数据权限控制方法，包括：基于一或多个用户或角色的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
6.于本发明的一实施例中，所述权限控制模板策略包括：操作资源模板部分、操作定义部分以及操作决策部分；其中，所述操作资源模板部分，包括：具有固定格式的占位符模板，用于确定操作资源信息，其中，所述操作资源信息包括：操作资源路径、操作对象以及操作资源本体；所述操作定义部分，用于基于所述操作资源信息，定义操作内容；所述操作决策部分，用于确定所属操作内容是否被允许。
7.于本发明的一实施例中，所述权限控制策略模板包括：操作资源部分、操作部分以及决策部分；其中，所述操作资源部分，用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息；所述操作部分，用于基于所述操作定义部分，来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容；所述决策部分，用于基于所述操作决策部分，来确定定义的各用户或角色的操作内容是否被允许。
8.于本发明的一实施例中，所述元数据包括：各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
9.于本发明的一实施例中，所述方法还包括：基于各角色中具有继承关系的各层级的各子类角色的元数据，分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染，以获得用于控制各子类角色的数据操作权限的权限控制策略。
10.于本发明的一实施例中，所述占位符模板包括：操作资源路径、操作对象以及操作
资源本体占位符。
11.为实现上述目的及其他相关目的，本发明提供一种数据权限控制系统，所述系统包括：处理模块，用于基于一或多个用户或角色的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
12.于本发明的一实施例中，所述权限控制模板策略包括：操作资源模板部分、操作定义部分以及操作决策部分；其中，所述操作资源模板部分，包括：具有固定格式的占位符模板，用于确定操作资源信息，其中，所述操作资源信息包括：操作资源路径、操作对象以及操作资源本体；所述操作定义部分，用于基于所述操作资源信息，定义操作内容；所述操作决策部分，用于确定所属操作内容是否被允许。
13.为实现上述目的及其他相关目的，本发明提供一种数据权限控制终端，包括：存储器，用于存储计算机程序；处理器，用于执行所述的数据权限控制方法。
14.为实现上述目的及其他相关目的，本发明提供一种计算机存储介质，存储有计算机程序，所述计算机程序运行时实现所述的数据权限控制方法。
15.如上所述，本发明的一种数据权限控制方法、系统、终端以及储存介质，具有以下有益效果：本发明利用用户或角色的元数据，对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制，进而提高了数据权限控制工作效率。
附图说明
16.图1显示为本发明一实施例中的数据权限控制方法的流程示意图。
17.图2显示为本发明一实施例中的数据权限控制系统的结构示意图。
18.图3显示为本发明一实施例中的数据权限控制终端的结构示意图。
具体实施方式
19.以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。需说明的是，在不冲突的情况下，以下实施例及实施例中的特征可以相互组合。
20.需要说明的是，在下述描述中，参考附图，附图描述了本发明的若干实施例。应当理解，还可使用其他实施例，并且可以在不背离本发明的精神和范围的情况下进行机械组成、结构、电气以及操作上的改变。下面的详细描述不应该被认为是限制性的，并且本发明的实施例的范围仅由公布的专利的权利要求书所限定。这里使用的术语仅是为了描述特定实施例，而并非旨在限制本发明。空间相关的术语，例如“上”、“下”、“左”、“右”、“下面”、“下方”、
““
下部”、“上方”、“上部”等，可在文中使用以便于说明图中所示的一个元件或特征与另一元件或特征的关系。
21.在通篇说明书中，当说某部分与另一部分“连接”时，这不仅包括“直接连接”的情形，也包括在其中间把其它元件置于其间而“间接连接”的情形。另外，当说某种部分“包括”某种构成要素时，只要没有特别相反的记载，则并非将其它构成要素，排除在外，而是意味着可以还包括其它构成要素。
22.其中提到的第一、第二及第三等术语是为了说明多样的部分、成份、区域、层及/或段而使用的，但并非限定于此。这些术语只用于把某部分、成份、区域、层或段区别于其它部分、成份、区域、层或段。因此，以下叙述的第一部分、成份、区域、层或段在不超出本发明范围的范围内，可以言及到第二部分、成份、区域、层或段。
23.再者，如同在本文中所使用的，单数形式“一”、“一个”和“该”旨在也包括复数形式，除非上下文中有相反的指示。应当进一步理解，术语“包含”、“包括”表明存在所述的特征、操作、元件、组件、项目、种类、和/或组，但不排除一个或多个其他特征、操作、元件、组件、项目、种类、和/或组的存在、出现或添加。此处使用的术语“或”和“和/或”被解释为包括性的，或意味着任一个或任何组合。因此，“a、b或c”或者“a、b和/或c”意味着“以下任一个：a；b；c；a和b；a和c；b和c；a、b和c”。仅当元件、功能或操作的组合在某些方式下内在地互相排斥时，才会出现该定义的例外。
24.因此，本发明实施例中提供一种数据权限控制方法，用于解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护，或者对多级数据权限的控制时会导致策略变得极其复杂，难以编写和维护，进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据，对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制，进而提高了数据权限控制工作效率。
25.下面以附图为参考，针对本发明的实施例进行详细说明，以便本发明所述技术领域的技术人员能够容易地实施。本发明可以以多种不同形态体现，并不限于此处说明的实施例。
26.如图1所示，展示本发明实施例中的数据权限控制方法的流程示意图。
27.所述方法包括：
28.步骤s11：基于一或多个用户或角色的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
29.可选的，基于一或多个用户的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各用户的数据操作权限的权限控制策略。
30.或者，
31.基于一或多个角色的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各角色的数据操作权限的权限控制策略。
32.可选的，每个用户或角色对应一或多个权限控制模板策略，其中，每个所述权限控制模板策略包括：操作资源模板部分、操作定义部分以及操作决策部分。
33.所述操作资源模板部分，包括：具有固定格式的占位符模板，用于确定操作资源信息，其中，所述操作资源信息包括：操作资源路径、操作对象以及操作资源本体；
34.所述操作定义部分，用于基于所述操作资源信息，定义操作内容；
35.所述操作决策部分，用于确定所属操作内容是否被允许。
36.举例来说，“博客应用由用户攥写的具有固定编号的文章可以编辑”的权限控制模板策略策略包括：
37.(操作资源模板部分)资源：blog:article/{用户id}/{blog:文章id}
38.(操作定义部分)操作：编辑
39.(操作决策部分)是否允许：是。
40.可选的，所述权限控制策略模板包括：操作资源部分、操作部分以及决策部分；其中，所述操作资源部分，用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息；所述操作部分，用于基于所述操作定义部分，来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容；所述决策部分，用于基于所述操作决策部分，来确定定义的各用户或角色的操作内容是否被允许。
41.举例来说，对于用户张三的元信息包括：[用户id：张三]，[blog:文章id:11]，[blog:文章id：15]，对权限控制模板策略进行渲染：
[0042]
资源：blog:article/{用户id}/{blog:文章id}
[0043]
操作：编辑
[0044]
是否允许：是。
[0045]
获得对应于张三的两个权限控制策略，包括：
[0046]
资源：blog:article/张三/11
[0047]
操作：编辑
[0048]
是否允许：是以及，
[0049]
资源：blog:article/张三/15
[0050]
操作：编辑
[0051]
是否允许：是。
[0052]
可选的，所述操作资源模板部分与所述各用户或角色的元数据相结合，以获得该角色或用户的权限控制策略中的操作资源部分，用于确定所述各用户或角色的操作资源。具体的，利用所述元数据填充所述占位符模板，获得该角色或用户的权限控制策略中的操作资源部分。
[0053]
可选的，所述操作部分，基于所述操作定义部分，来定义所述各用户或角色在所述操作资源路径上的操作内容。需要注意的是，在所述操作资源模板确定的操作资源信息的情况下，所述操作定义部分定义所述各用户或角色在所述操作资源路径上的操作内容。举例来说，所述操作内容包括：编辑或读取等操作，在本技术中不作限定。
[0054]
可选的，所述决策部分，基于所述操作决策部分，用于确定定义的各用户或角色的操作内容是否被允许。优选的，所述操作决策部分在所述操作资源模板确定操作路径以及操作定义部分确定在该操作路径下的操作内容的情况下，确定该操作内容是否被允许。若操作决策部分为允许，所述决策部分也顺延为允许。
[0055]
可选的，所述占位符模板包括：所述占位符模板包括：操作资源路径、操作对象以及操作资源本体占位符。其中，占位符模板遵循【资源路径:资源实体名/限定筛选条件】的规则。
[0056]
举例来说，基于以上占位符模板获得的“用户可以编辑博客中的文章”的操作资源模板部分为：
[0057]
blog:article/{用户id}/{blog:文章id}。
[0058]
可选的，基于占位符模板的操作资源模板与各用户或角色的元数据相结合，以获得权限控制策略中的操作资源部分，用于确定所述各用户或角色的操作资源。
[0059]
可选的，所述元数据包括与用户、角色、以及子角色有关的任意信息，根据所述元数据可以对权限控制模板策略进行渲染。所述元数据的内容在本技术中不作限定。
[0060]
可选的，所述元数据包括：各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
[0061]
可选的，若元数据中对应一个权限控制模板策略具有多个符合条件数据，即进行一次渲染即可，不仅节省了时间还大大提高了效率。
[0062]
可选的，所述元数据对权限控制模板策略中的基于占位符模板的操作资源模板进行渲染，获得权限控制策略中的操作资源部分。所述各用户或角色的名称填充操作资源模板中的占位符模板的用户或角色的名称占位符；同样的，各用户或角色被允许在各操作资源路径上的操作对象填充操作资源模板中的占位符模板的资源路径、以及操作对象占位符。通过以上填充获得对应于各用户或角色权限控制策略中的操作资源部分。
[0063]
举例来说，对于用户张三，其元数据包括：[用户id：张三]，[blog:文章id:11]；权限控制模板策略中的基于占位符模板的操作资源模板部分为：blog:article/{用户id}/{blog:文章 id}。则获得用于控制各用户或角色的数据操作权限的权限控制策略的操作资源部分包括： blog:article/张三/11。
[0064]
可选的，若元数据中各用户或角色被允许在各操作资源路径上的操作对象为多个，若操作对象为一个操作路径，对权限控制模板策略中对应该操作路径的基于占位符模板的操作资源模板进行渲染；若操作对象为不同的操作路径，则分别权限控制模板策略中对应操作路径的基于占位符模板的操作资源模板分别进行渲染。
[0065]
举例来说，对于用户张三，其元数据包括：[用户id：张三]，[blog:文章id:11]，[blog: 文章id：15]，对操作资源模板部分为：blog:article/{用户id}/{blog:文章id}进行渲染，获得权限控制策略的操作资源部分包括blog:article/张三/11和blog:article/张三/15。
[0066]
可选的，若各角色分别包括：具有继承关系各子类角色，其中各子类角色构成具有层级关系的树形结构。所述数据权限控制方法还包括：基于各角色中具有继承关系的各层级的各子类角色的元数据，分别对一或多个权限控制策略进行渲染，以获得用于控制各子类角色的数据操作权限的权限控制策略。
[0067]
具体的，基于一或多个角色的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各角色的数据操作权限的权限控制策略；
[0068]
基于各角色中具有继承关系的各层级的各子类角色的元数据，分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染，以获得用于控制各子类角色的数据操作权限的权限控制策略。
[0069]
由此可知，支持多继承的角色树和基于元数据的模板策略的渲染。
[0070]
举例来说，角色为人事部，子角色包括：人事部实习生。想要获得人事部实习生的权限控制策略，需先基于一或多个权限控制模板策略进行渲染，获得人事部的权限控制策略；再基于人事部实习生的元数据，对获得的人事部的权限控制策略进行渲染，获得用于控制人事部实习生的数据权限控制的权限控制策略。通过该子角色继承角色的权限控制策略进行渲染，来得到在角色的控制权限的基础上再次限制，获得权限更少的子角色的权限控制策略。
[0071]
需要注意的是，所述子类角色的层级为一或多个，具体的，第一级子角色继承作为其父角色的角色的权限控制策略来获得第一级子角色的权限控制策略；第二级子角色继承
作为其的父角色的第一级角色的权限控制策略来获得第二级子角色的权限控制策略，以此规则来实现更上层级的子角色对该父角色的权限控制策略继承，获得该子角色的权限控制策略。
[0072]
可选的，若基于一或多个用户或角色的元数据，分别对权限控制模板策略进行渲染失败，具体的，各用户或角色的元数据中没有对应于权限控制模板策略的操作资源模板部分的填充数据，则将该权限控制模板策略丢弃。
[0073]
与上述实施例原理相似的是，本发明提供一种数据权限控制系统。
[0074]
以下结合附图提供具体实施例：
[0075]
如图2所示展示本发明实施例中的一种数据权限控制系统的结构示意图。
[0076]
所述系统包括：
[0077]
处理模块21，用于基于一或多个用户或角色的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各用户或角色的数据操作权限的一或多个权限控制策略。
[0078]
可选的，基于一或多个用户的元数据，所述处理模块21分别对一或多个权限控制模板策略进行渲染，以获得用于控制各用户的数据操作权限的权限控制策略。
[0079]
或者，
[0080]
基于一或多个角色的元数据，分别对一或多个权限控制模板策略进行渲染，以获得用于控制各角色的数据操作权限的权限控制策略。
[0081]
可选的，每个用户或角色对应一或多个权限控制模板策略，其中，每个所述权限控制模板策略包括：操作资源模板部分、操作定义部分以及操作决策部分。
[0082]
所述操作资源模板部分，包括：具有固定格式的占位符模板，用于确定操作资源信息，其中，所述操作资源信息包括：操作资源路径、操作对象以及操作资源本体；
[0083]
所述操作定义部分，用于基于所述操作资源信息，定义操作内容；
[0084]
所述操作决策部分，用于确定所属操作内容是否被允许。
[0085]
可选的，所述权限控制策略模板包括：操作资源部分、操作部分以及决策部分；其中，所述操作资源部分，用于基于所述操作资源模板部分来定义所述各用户或角色的操作资源信息；所述操作部分，用于基于所述操作定义部分，来定义所述各用户或角色在其对应的所操作资源信息基础上的息的操作内容；所述决策部分，用于基于所述操作决策部分，来确定定义的各用户或角色的操作内容是否被允许。
[0086]
可选的，所述处理模块21将所述操作资源模板部分与所述各用户或角色的元数据相结合，以获得该角色或用户的权限控制策略中的操作资源部分，用于确定所述各用户或角色的操作资源。具体的，利用所述元数据填充所述占位符模板，获得该角色或用户的权限控制策略中的操作资源部分。
[0087]
可选的，所述操作部分，基于所述操作定义部分，所述处理模块21来定义所述各用户或角色在所述操作资源路径上的操作内容。需要注意的是，在所述操作资源模板确定的操作资源信息的情况下，所述操作定义部分定义所述各用户或角色在所述操作资源路径上的操作内容。举例来说，所述操作内容包括：编辑或读取等操作，在本技术中不作限定。
[0088]
可选的，所述决策部分，基于所述操作决策部分，所述处理模块21确定定义的各用户或角色的操作内容是否被允许。优选的，所述操作决策部分在所述操作资源模板确定操
作路径以及操作定义部分确定在该操作路径下的操作内容的情况下，确定该操作内容是否被允许。若操作决策部分为允许，所述决策部分也顺延为允许。
[0089]
可选的，所述占位符模板包括：所述占位符模板包括：操作资源路径、操作对象以及操作资源本体占位符。其中，占位符模板遵循【资源路径:资源实体名/限定筛选条件】的规则。
[0090]
可选的，所述处理模块21令基于占位符模板的操作资源模板与各用户或角色的元数据相结合，以获得权限控制策略中的操作资源部分，用于确定所述各用户或角色的操作资源。
[0091]
可选的，所述元数据包括与用户、角色、以及子角色有关的任意信息，根据所述元数据可以对权限控制模板策略进行渲染。所述元数据的内容在本技术中不作限定。
[0092]
可选的，所述元数据包括：各用户或角色的名称、操作资源路径以及在所述操作资源路径上的操作资源本体。
[0093]
可选的，若元数据中对应一个权限控制模板策略具有多个符合条件数据，即进行一次渲染即可，不仅节省了时间还大大提高了效率。
[0094]
可选的，所述元数据对权限控制模板策略中的基于占位符模板的操作资源模板进行渲染，获得权限控制策略中的操作资源部分。所述各用户或角色的名称填充操作资源模板中的占位符模板的用户或角色的名称占位符；同样的，各用户或角色被允许在各操作资源路径上的操作对象填充操作资源模板中的占位符模板的资源路径、以及操作对象占位符。通过以上填充获得对应于各用户或角色权限控制策略中的操作资源部分。
[0095]
可选的，若元数据中各用户或角色被允许在各操作资源路径上的操作对象为多个，若操作对象为一个操作路径，对权限控制模板策略中对应该操作路径的基于占位符模板的操作资源模板进行渲染；若操作对象为不同的操作路径，则分别权限控制模板策略中对应操作路径的基于占位符模板的操作资源模板分别进行渲染。
[0096]
可选的，若各角色分别包括：具有继承关系各子类角色，其中各子类角色构成具有层级关系的树形结构。所述数据权限控制方法还包括：基于各角色中具有继承关系的各层级的各子类角色的元数据，分别对一或多个权限控制策略进行渲染，以获得用于控制各子类角色的数据操作权限的权限控制策略。
[0097]
具体的，基于一或多个角色的元数据，所述处理模块21分别对一或多个权限控制模板策略进行渲染，以获得用于控制各角色的数据操作权限的权限控制策略；
[0098]
基于各角色中具有继承关系的各层级的各子类角色的元数据，所述处理模块21分别对所述各子类角色的上层的角色或子类角色的权限控制策略进行渲染，以获得用于控制各子类角色的数据操作权限的权限控制策略。
[0099]
由此可知，所述处理模块21支持多继承的角色树和基于元数据的模板策略的渲染。
[0100]
需要注意的是，所述子类角色的层级为一或多个，具体的，第一级子角色继承作为其父角色的角色的权限控制策略来获得第一级子角色的权限控制策略；第二级子角色继承作为其的父角色的第一级角色的权限控制策略来获得第二级子角色的权限控制策略，以此规则来实现更上层级的子角色对该父角色的权限控制策略继承，获得该子角色的权限控制策略。
[0101]
可选的，若基于一或多个用户或角色的元数据，所述处理模块21分别对权限控制模板策略进行渲染失败，具体的，各用户或角色的元数据中没有对应于权限控制模板策略的操作资源模板部分的填充数据，则将该权限控制模板策略丢弃。
[0102]
如图3所示，展示本发明实施例中的数据权限控制终端30的结构示意图。
[0103]
所述数据权限控制终端30包括：存储器31及处理器32所述存储器31用于存储计算机程序；所述处理器32运行计算机程序实现如图1所述的数据权限控制方法。
[0104]
可选的，所述存储器31的数量均可以是一或多个，所述处理器32的数量均可以是一或多个，而图3中均以一个为例。
[0105]
可选的，所述数据权限控制终端30中的处理器32会按照如图1所述的步骤，将一个或多个以应用程序的进程对应的指令加载到存储器31中，并由处理器32来运行存储在第一存储器31中的应用程序，从而实现如图1所述数据权限控制方法中的各种功能。
[0106]
可选的，所述存储器31，可能包括但不限于高速随机存取存储器、非易失性存储器。例如一个或多个磁盘存储设备、闪存设备或其他非易失性固态存储设备；所述处理器32，可能包括但不限于中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signal processing，简称dsp)、专用集成电路 (application specific integrated circuit，简称asic)、现场可编程门阵列(field－programmablegate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0107]
可选的，所述处理器32可以是通用处理器，包括中央处理器(central processing unit，简称cpu)、网络处理器(network processor，简称np)等；还可以是数字信号处理器(digital signalprocessing，简称dsp)、专用集成电路(application specific integrated circuit，简称asic)、现场可编程门阵列(field－programmable gate array，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
[0108]
本发明还提供计算机可读存储介质，存储有计算机程序，所述计算机程序运行时实现如图1所示的数据权限控制方法。所述计算机可读存储介质可包括，但不限于，软盘、光盘、 cd-rom(只读光盘存储器)、磁光盘、rom(只读存储器)、ram(随机存取存储器)、eprom(可擦除可编程只读存储器)、eeprom(电可擦除可编程只读存储器)、磁卡或光卡、闪存、或适于存储机器可执行指令的其他类型的介质/机器可读介质。所述计算机可读存储介质可以是未接入计算机设备的产品，也可以是已接入计算机设备使用的部件。
[0109]
综上所述，本发明数据权限控制方法、系统、终端及介质，解决了解决现有技术中的数据权限管理机制会导致访问控制列表变得非常庞大难以进行维护，或者对多级数据权限的控制时会导致策略变得极其复杂，难以编写和维护，进而导致数据权限控制工作效率大幅度降低的问题。本发明利用用户或角色的元数据，对一或多个权限控制模板策略进行渲染以在私有云环境对复杂数据权限进行中央控制，进而提高了数据权限控制工作效率。所以，本发明有效克服了现有技术中的种种缺点而具高度产业利用价值。
[0110]
上述实施例仅示例性说明本发明的原理及其功效，而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下，对上述实施例进行修饰或改变。因此，但凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变，仍应由本发明的权利要求所涵盖。