一种访问控制方法、装置、电子设备及存储介质与流程

1.本发明涉及信息安全技术领域，特别涉及一种访问控制方法、装置、电子设备及存储介质。


背景技术：

2.访问控制，是按用户身份及其所归属的某项定义组来限制用户对某些信息项的访问，或限制对某些控制功能的使用的一种技术。访问控制通常的做法是为用户分配角色，为角色分配权限，从而根据角色对用户行为进行限制。
3.根据角色对用户行为进行限制，只适用较为简单的应用场景，对于比较复杂的应用场景则不适用，例如无法在同种角色不同业务权限的应用场景中实现对用户的行为限制。


技术实现要素：

4.有鉴于此，本发明的目的在于提供了一种访问控制方法、装置、电子设备及存储介质，能够在同种角色不同业务权限的应用场景中实现对用户的行为限制。
5.为了达到上述目的，本发明提供了如下技术方案：
6.一种访问控制方法，包括：
7.根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息；
8.在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体，并记录该用户所属用户群体；
9.在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
10.一种访问控制装置，包括：
11.配置单元，用于根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息；
12.记录单元，在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体，并记录该用户所属用户群体；
13.处理单元，在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
14.一种电子设备，包括：至少一个处理器，以及与所述至少一个处理器通过总线相连的存储器；所述存储器存储有可被所述至少一个处理器执行的一个或多个计算机程序；所述至少一个处理器执行所述一个或多个计算机程序时实现上述访问控制方法中的步骤。
15.一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个计算机程序，所述一个或多个计算机程序被处理器执行时实现上述访问控制方法中的步骤。
16.由上面的技术方案可知，本发明中，根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息；从而在用户登录到访问控制系统时，可以根据所述行为过滤规则确定该用户所属用户群体；而在用户登录到访问控制系统后，在接收到该用户针对任一业务类型的访问请求时，也可以根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，并据此对所述访问请求进行访问控制。可以看出，本发明中，通过用户群体的划分，使得属于同种角色的用户因业务权限不同而被划分到不同用户群体，从而可以根据用户所属用户群体的业务权限对用户的访问请求进行访问控制，而不是根据用户角色的业务权限对用户的访问请求进行访问控制，因而能够在同种角色不同业务权限的应用场景中实现对用户的行为限制。
附图说明
17.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
18.图1是本发明实施例一提供的访问控制方法流程图；
19.图2是本发明实施例二提供的访问控制方法流程图；
20.图3是本发明实施例三提供的访问控制方法流程图；
21.图4是本发明实施例四提供的访问控制方法流程图；
22.图5是本发明实施例提供的访问控制装置的结构示意图；
23.图6是本发明实施例一提供的电子设备的结构示意图。
具体实施方式
24.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
25.本发明实施例中，对于同角色不同业务权限的应用场景，通过基于角色和业务权限划分用户群体，使得属于同种角色的用户因业务权限不同而被划分到不同用户群体，从而可以根据用户所属用户群体的业务权限对用户的访问请求进行访问控制，从而能够实现对同角色不同业务权限的用户的行为限制。
26.参见图1，图1是本发明实施例一提供的访问控制方法流程图，如图1所示，该方法主要包括以下步骤：
27.步骤101、根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息。
28.本实施例中，角色，即用户在访问控制系统所承担的角色，例如在关于医疗服务的
访问控制系统中，病人是一种角色，医生是另外一种角色。
29.本实施例中，根据角色和业务权限划分用户群体，使得属于相同角色相同业务权限的用户构成的一个用户群体。
30.步骤102、在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体，并记录该用户所属用户群体。
31.步骤103、在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
32.从图1所示方法可以看出，本实施例中，根据角色和业务权限划分用户群体，通过为每一用户群体配置行为过滤规则，使得同角色不同业务权限的用户登录到访问控制系统时被划分到不同用户群体，通过为每一业务类型配置对应于每一用户群体的业务权限信息，使得在接收到用户针对任一业务类型的访问请求时可以根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，并据此对所述访问请求进行访问控制，从而可以在同种角色不同业务权限的应用场景中实现对用户的行为限制。
33.参见图2，图2是本发明实施例二提供的访问控制方法流程图，如图2所示，该方法主要包括以下步骤：
34.步骤201、根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息；
35.本实施例中，为每一用户群体配置的行为过滤规则，包括至少以下一种：
36.规则1：针对该用户群体设定的登录方式，即通过针对该用户群体设定的登录方式登录到访问控制系统的用户属于该用户群体；
37.规则2：已知属于该用户群体的用户信息列表，即用户信息位于已知属于该用户群体的用户信息列表的用户属于该用户群体；
38.规则3：指定属于该用户群体的用户信息列表，即用户信息位于指定属于该用户群体的用户信息列表的用户属于该用户群体。
39.步骤2021、在用户登录到访问控制系统时，对于每一用户群体，执行以下步骤2022至步骤2024：
40.步骤2022、当为该用户群体配置的行为过滤规则中包括针对该用户群体设定的登录方式时，确定该用户的登录方式，如果该用户的登录方式与针对该用户群体设定的登录方式相同，则确定该用户属于该用户群体；
41.步骤2023、当为该用户群体配置的行为过滤规则中包括已知属于该用户群体的用户信息列表时，如果该用户信息位于已知属于该用户群体的用户信息列表中，则确定该用户属于该用户群体；
42.步骤2024、当为该用户群体配置的行为过滤规则中包括指定属于该用户群体的用户信息列表时，如果该用户信息位于指定属于该用户群体的用户信息列表中，则确定该用户属于该用户群体。
43.本实施例中，当对某个用户群体执行步骤2022至步骤2024的操作，均未确定该用
户属于该用户群体，则可以确定该用户不属于该用户群体。
44.本实施例中，通过对每一用户群体执行步骤2022至步骤2024的操作，最终可以确定用户所属用户群体。
45.以上步骤2021至步骤2024是图1所示步骤102中“在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体”的具体细化。
46.步骤2025、记录该用户所属用户群体。
47.步骤203、在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
48.从图2所示方法可以看出，本实施例中，根据角色和业务权限划分用户群体，通过为每一用户群体配置行为过滤规则，并根据具体的行为过滤规则所包括的具体内容将登录到访问控制系统的用户划分到不同用户群体，通过为每一业务类型配置对应于每一用户群体的业务权限信息，使得在接收到用户针对任一业务类型的访问请求时可以根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，并据此对所述访问请求进行访问控制，从而可以在同种角色不同业务权限的应用场景中实现对用户的行为限制。
49.参见图3，图3是本发明实施例三提供的访问控制方法流程图，如图3所示，该方法主要包括以下步骤：
50.步骤301、根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息。
51.在实际应用中，业务权限可以有多种，例如对业务的各种操作权限。
52.本实施例中，为每一业务类型配置的对应于每一用户群体的业务权限信息，包括用户群体标识和访问权限；其中，所述访问权限包括允许访问和禁止访问。
53.步骤302、在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体，并将该用户所属用户群体标识添加到该用户信息中。
54.本实施例中，根据所述行为过滤规则确定用户所属用户群体后，可以记录用户所属用户群体，可以使得后续可以基于对用户所属用户群体的记录确定用户所属群体，不需要再次根据所述行为过滤规则确定用户所属群体。
55.本实施例中，所述记录该用户所属用户群体，具体包括：将该用户所属用户群体标识添加到该用户信息中。这里，将该用户所属用户群体标识添加到该用户信息中，即将用户所属用户群体标识作为用户信息中包括的一项信息，从而后续只需要根据用户信息中包括的用户群体标识即可确定用户所属用户群体。
56.以上步骤302是图1所示步骤102的具体细化。
57.步骤3031、在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求。
58.步骤3032、在为该业务类型配置的业务权限信息中查找用户群体标识为该用户信息中的用户群体标识的业务权限信息。
59.步骤3033、将查找到的业务权限信息中的访问权限确定为该用户对该业务类型的
业务权限。
60.以上步骤3032至步骤3033是图1所示步骤103中“根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限”的具体细化。
61.步骤3034、根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
62.本实施例中，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制，具体包括：
63.如果该用户对该业务类型的业务权限是允许访问，则根据所述访问请求进行业务处理，并返回业务处理结果；
64.如果该用户对该业务类型的业务权限是禁止访问，则返回携带指示禁止访问信息的访问响应。
65.从图3所示方法可以看出，本实施例中，根据角色和业务权限划分用户群体；通过为每一用户群体配置行为过滤规则，使得同角色不同业务权限的用户登录到访问控制系统时被划分到不同用户群体，并记录用户所属用户群体标识添加到用户信息；通过为每一业务类型配置对应于每一用户群体的业务权限信息，使得在接收到用户针对任一业务类型的访问请求时可以根据为该业务类型配置的业务权限信息和该用户信息中的用户群体标识确定该用户对该业务类型的业务权限，并据此对所述访问请求进行访问控制，从而可以在同种角色不同业务权限的应用场景中实现对用户的行为限制。
66.参见图4，图4是本发明实施例四提供的访问控制方法流程图，如图4所示，该方法主要包括以下步骤：
67.步骤401、根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息。
68.在实际应用中，业务权限可以有多种，例如对业务的各种操作权限。
69.本实施例中，为每一业务类型配置的对应于每一用户群体的业务权限信息，包括用户群体标识和访问权限；其中，所述访问权限包括允许访问和禁止访问。
70.步骤402、在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体，并将该用户信息添加到该用户所属用户群体的用户信息列表中。
71.本实施例中，根据所述行为过滤规则确定用户所属用户群体后，可以记录用户所属用户群体，可以使得后续可以基于对用户所属用户群体的记录确定用户所属群体，不需要再次根据所述行为过滤规则确定用户所属群体。
72.本实施例中，所述记录该用户所属用户群体，具体包括：将该用户信息添加到该用户所属用户群体的用户信息列表中。
73.以上步骤402是图1所示步骤102的具体细化。
74.步骤4031、在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求。
75.步骤4032、对为该业务类型配置的业务权限信息中的访问权限进行判断，如果为该业务类型配置的业务权限信息中的访问权限均为允许访问，则执行步骤4033，如果为该业务类型配置的业务权限信息中的访问权限均为禁止访问，则执行步骤4034，如果不属于以上两种情况，则执行步骤4035。
76.步骤4033、确定该用户对该业务类型的业务权限为允许访问；
77.步骤4034、确定该用户对该业务类型的业务权限为禁止访问；
78.步骤4035、确定为该业务类型配置的业务权限信息中访问权限为允许访问的业务权限信息，在访问权限为允许访问的业务权限信息对应的用户群体的用户信息列表中查找该用户信息，如果查找到，则确定该用户对该业务类型的业务权限为允许访问，否则，确定该用户对该业务类型的业务权限为禁止访问。
79.以上步骤4032至步骤4035是图1所示步骤103中“根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限”的具体细化。
80.步骤4036、根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
81.本实施例中，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制，具体包括：
82.如果该用户对该业务类型的业务权限是允许访问，则根据所述访问请求进行业务处理，并返回业务处理结果；
83.如果该用户对该业务类型的业务权限是禁止访问，则返回携带指示禁止访问信息的访问响应。
84.从图4所示方法可以看出，本实施例中，根据角色和业务权限划分用户群体；通过为每一用户群体配置行为过滤规则，使得同角色不同业务权限的用户登录到访问控制系统时被划分到不同用户群体，并将用户信息添加到用户所属用户群体的用户信息列表中；通过为每一业务类型配置对应于每一用户群体的业务权限信息，使得在接收到用户针对任一业务类型的访问请求时可以根据为该业务类型配置的业务权限信息和该用户所属用户群体的用户信息列表确定该用户对该业务类型的业务权限，并据此对所述访问请求进行访问控制，从而可以在同种角色不同业务权限的应用场景中实现对用户的行为限制。
85.以上对本发明实施例访问控制方法进行了详细说明，以下结合具体的例子进行说明：
86.假设某公司开发了一个关于医疗服务的访问控制系统，该访问控制系统可以对病人提供医疗服务，其中对患过某种特定疾病(如新冠肺炎)的病人可以提供同角色不同业务权限的医疗服务，例如，将患过该种特定疾病的病人视为同一角色，但是在提供医疗服务时，可以对于属于该角色且符合特定条件的病人提供特定医疗服务，对于属于该角色但不符合特定条件的病人则不提供特定医疗服务，这种情况下就会出现同角色不同业务权限的情况。
87.对于上述情况，可以采用以上本发明实施例提供的访问控制方法，实现对患过该种特定疾病的病人的行为限制，具体实现过程如下：
88.步骤s1、根据角色和业务权限划分用户群体。
89.具体地，对于患过该种特定疾病的病人，根据是否享受特定医疗服务分为两个用户群体，其中一个用户群体(以下称为用户群体1)中的用户享受特定医疗服务，另一用户群体(以下称为用户群体2)中的用户不享受特定医疗服务。
90.另外，对于患有或患过其它疾病的病人，也采用与步骤s1同样的处理方法，此处以及后续均不再赘述。
91.步骤s2，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息。
92.具体地，为用户群体1配置的行为过滤规则，具体包括：通过扫描医生提供的二维码完成注册登录的患过该特定疾病的病人、已知位于某地的患过该特定疾病的用户信息列表(以下称为用户信息列表1)中的病人、该公司提供的患过该特定疾病的用户信息列表(以下称为用户信息列表2)中的病人。为用户群体2配置的行为过滤规则为：利用为用户群体1配置的行为过滤规则过滤掉的患过该特定疾病的病人。
93.另外，假设有业务1和业务2，其中业务1是特定医疗服务，业务2不是特定医疗服务。则为两种业务配置的业务权限信息如下：
94.1)为业务1配置的对应于用户群体1的业务权限信息，包括：用户群体1的标识和允许访问；为业务1配置的对应于用户群体2的业务权限信息包括：用户群体2的标识和禁止访问。
95.2)为业务2配置的对应于用户群体1的业务权限信息，包括：用户群体1的标识和允许访问；为业务2配置的对应于用户群体2的业务权限信息包括：用户群体2的标识和允许访问。
96.步骤s3、在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体，并记录该用户所属用户群体。
97.患过该种特定疾病的病人登录到访问控制系统时，如果是通过扫描医生提供的二维码完成注册登录的患过该特定疾病的病人，或者是用户信息列表1或用户信息列表2中的病人，则可以确定病人属于用户群体1，可以将病人加入到用户群体1的用户信息列表中，否则，确定病人属于用户群体2，可以将病人加入到用户群体2的用户信息列表中。
98.步骤s4、在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
99.患过该种特定疾病的病人登录到访问控制系统后，如果想要访问业务1，则会触发针对业务1的访问请求，访问控制系统接收到该访问请求后，确定仅用户群体1中的病人可以访问业务1，因此在用户群体1的用户信息列表查找病人的信息，如果查找到，则确定允许病人访问业务1，从而对该访问请求进行业务处理，如果未查找到，则确定禁止病人访问业务1，从而可以返回携带指示禁止访问信息的访问响应，使得病人获知不能访问业务1。
100.患过该种特定疾病的病人登录到访问控制系统后，如果想要访问业务2，则会触发针对业务2的访问请求，访问控制系统接收到该访问请求后，确定用户群体1和用户群体2中的病人均可以访问业务2，因此确定病人可以访问业务2，从而对该访问请求进行业务处理。
101.从以上例子可以看出，根据对业务1和业务2的不同访问权限将患过该种特定疾病的病人划分为两个用户群体，通过为两个用户群体配置行为过滤规则，使得病人登录到访问控制系统时被划分到两个用户群体中的一个用户群体中；通过为业务1和业务2分别配置对应于每一用户群体的业务权限信息，使得在接收到病人针对业务1或业务2的访问请求时可以根据为业务1或业务2配置的业务权限信息和对该病人所属用户群体的记录确定该病人对该业务类型的业务权限，并据此对所述访问请求进行访问控制，从而实现对患过该种
特定疾病的病人的行为控制。
102.本发明实施例还提供了一种访问控制装置，如图5所示，该装置包括：
103.配置单元501，用于根据角色和业务权限划分用户群体，为每一用户群体配置行为过滤规则，并为每一业务类型配置对应于每一用户群体的业务权限信息；
104.记录单元502，在用户登录到访问控制系统时，根据所述行为过滤规则确定该用户所属用户群体，并记录该用户所属用户群体；
105.处理单元503，在用户登录到访问控制系统后，接收该用户针对任一业务类型的访问请求，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制。
106.图5所示装置中，
107.为每一用户群体配置的行为过滤规则，包括至少以下一种：针对该用户群体设定的登录方式、已知属于该用户群体的用户信息列表、指定属于该用户群体的用户信息列表；
108.所述记录单元502，根据所述行为过滤规则确定该用户所属用户群体，并记录该用户所属用户群体，包括：
109.对于每一用户群体，
110.当为该用户群体配置的行为过滤规则中包括针对该用户群体设定的登录方式时，确定该用户的登录方式，如果该用户的登录方式与针对该用户群体设定的登录方式相同，则确定该用户属于该用户群体；
111.当为该用户群体配置的行为过滤规则中包括已知属于该用户群体的用户信息列表时，如果该用户信息位于已知属于该用户群体的用户信息列表中，则确定该用户属于该用户群体；
112.当为该用户群体配置的行为过滤规则中包括指定属于该用户群体的用户信息列表时，如果该用户信息位于指定属于该用户群体的用户信息列表中，则确定该用户属于该用户群体。
113.图5所示装置中，
114.为每一业务类型配置的对应于每一用户群体的业务权限信息，包括用户群体标识和访问权限；所述访问权限包括允许访问和禁止访问；
115.所述记录单元502，记录该用户所属用户群体，包括：将该用户所属用户群体标识添加到该用户信息中；
116.所述处理单元503，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，包括：
117.在为该业务类型配置的业务权限信息中查找用户群体标识为该用户信息中的用户群体标识的业务权限信息；
118.将查找到的业务权限信息中的访问权限确定为该用户对该业务类型的业务权限。
119.图5所示装置中，
120.为每一业务类型配置的对应于每一用户群体的业务权限信息，包括用户群体标识和访问权限；所述访问权限包括允许访问和禁止访问；
121.所述记录单元502，记录该用户所属用户群体，包括：将该用户信息添加到该用户
所属用户群体的用户信息列表中；
122.所述处理单元503，根据为该业务类型配置的业务权限信息和对该用户所属用户群体的记录确定该用户对该业务类型的业务权限，包括：
123.如果为该业务类型配置的业务权限信息中的访问权限均为允许访问，则确定该用户对该业务类型的业务权限为允许访问；
124.如果为该业务类型配置的业务权限信息中的访问权限均为禁止访问，则确定该用户对该业务类型的业务权限为禁止访问；
125.如果不属于以上两种情况，则确定为该业务类型配置的业务权限信息中访问权限为允许访问的业务权限信息，在访问权限为允许访问的业务权限信息对应的用户群体的用户信息列表中查找该用户信息，如果查找到，则确定该用户对该业务类型的业务权限为允许访问，否则，确定该用户对该业务类型的业务权限为禁止访问。
126.图5所示装置中，
127.所述处理单元503，根据该用户对该业务类型的业务权限对所述访问请求进行访问控制，包括：
128.如果该用户对该业务类型的业务权限是允许访问，则根据所述访问请求进行业务处理，并返回业务处理结果；
129.如果该用户对该业务类型的业务权限是禁止访问，则返回携带指示禁止访问信息的访问响应。
130.本发明实施例还提供了一种电子设备，如图6所示，该电子设备包括：至少一个处理器601，以及与所述至少一个处理器601通过总线相连的存储器602；所述存储器602存储有可被所述至少一个处理器601执行的一个或多个计算机程序；所述至少一个处理器601执行所述一个或多个计算机程序时实现图1
‑
4中任一流程图所示的访问控制方法中的步骤。
131.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质存储一个或多个计算机程序，所述一个或多个计算机程序被处理器执行时实现图1
‑
4中任一流程图所示的访问控制方法中的步骤。
132.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。