本公開涉及信息安全技術(shù)領(lǐng)域，特別涉及一種資源訪問控制方法和裝置。

背景技術(shù)：

隨著計(jì)算機(jī)應(yīng)用技術(shù)的發(fā)展，各種資源，例如，互聯(lián)網(wǎng)絡(luò)中存在的資源、計(jì)算機(jī)設(shè)備中存儲(chǔ)的資源，用戶通過請(qǐng)求進(jìn)行的資源訪問而獲得所需要的資源。

在此資源的訪問中，基于安全性的因素，將通過配置資源的訪問權(quán)限來(lái)實(shí)現(xiàn)資源的訪問控制。被授予訪問權(quán)限的用戶方能夠成功進(jìn)行資源訪問，如果請(qǐng)求進(jìn)行資源訪問的用戶并未被授予訪問權(quán)限，則其資源訪問請(qǐng)求將被拒絕。

現(xiàn)有資源訪問的實(shí)現(xiàn)，僅僅局限于一組資源，而并無(wú)法在跨組實(shí)現(xiàn)統(tǒng)一的資源訪問控制。

例如，所指示的一組資源，可以是互聯(lián)網(wǎng)絡(luò)中某一服務(wù)所提供的資源，擁有訪問權(quán)限的用戶，并無(wú)法同時(shí)訪問其它服務(wù)的資源。如果需要訪問其它服務(wù)的資源，則需要重新獲得授權(quán)。

也就是說，現(xiàn)有的資源訪問控制的實(shí)現(xiàn)，并無(wú)法跨組進(jìn)行，用戶同時(shí)對(duì)兩組以上的資源所請(qǐng)求進(jìn)行的訪問，需要分別進(jìn)行訪問權(quán)限的控制。

換而言之，并無(wú)法針對(duì)跨組資源實(shí)現(xiàn)用戶的批量授權(quán)。

技術(shù)實(shí)現(xiàn)要素：

為了解決相關(guān)技術(shù)中存在的無(wú)法針對(duì)跨組資源實(shí)現(xiàn)用戶的批量授權(quán)，進(jìn)而實(shí)現(xiàn)跨組資源的訪問控制的技術(shù)問題，本公開提供了一種資源訪問控制方法和裝置。

一種資源訪問控制方法，所述方法包括：

接收分組資源訪問指令，所述分組資源訪問指令指示用戶請(qǐng)求訪問的分組資源；

從所述分組資源關(guān)聯(lián)的標(biāo)簽信息得到授予所述用戶的標(biāo)簽信息；

根據(jù)授予所述用戶的標(biāo)簽信息得到所述標(biāo)簽信息關(guān)聯(lián)的訪問權(quán)限；

將所述訪問權(quán)限與所述分組資源的資源權(quán)限進(jìn)行匹配，根據(jù)所述匹配的結(jié)果允許或拒絕所述用戶請(qǐng)求的分組資源訪問。

一種資源訪問控制裝置，所述裝置包括：

訪問指令接收模塊，用于接收分組資源訪問指令，所述分組資源訪問指令指示用戶請(qǐng)求訪問的分組資源；

授權(quán)信息獲得模塊，用于從所述分組資源關(guān)聯(lián)的標(biāo)簽信息得到授予所述用戶的標(biāo)簽信息；

訪問權(quán)限獲得模塊，用于根據(jù)授予所述用戶的標(biāo)簽信息得到所述標(biāo)簽信息關(guān)聯(lián)的訪問權(quán)限；

鑒權(quán)模塊，用于將所述訪問權(quán)限與所述分組資源的資源權(quán)限進(jìn)行匹配，根據(jù)所述匹配的結(jié)果允許或拒絕所述用戶請(qǐng)求的分組資源訪問。

本公開的實(shí)施例提供的技術(shù)方案可以包括以下有益效果：

接收分組資源訪問指令，此分組資源訪問指令指示用戶請(qǐng)求訪問的分組資源，從分組資源關(guān)聯(lián)的標(biāo)簽信息得到授予用戶的標(biāo)簽信息，根據(jù)授予用戶的標(biāo)簽信息得到標(biāo)簽信息關(guān)聯(lián)的權(quán)限，將訪問權(quán)限與分組資源的資源權(quán)限進(jìn)行匹配，根據(jù)匹配的結(jié)果允許或拒絕用戶請(qǐng)求的分組資源訪問，此分組資源的訪問控制是基于標(biāo)簽信息實(shí)現(xiàn)的，一方面，授予用戶的標(biāo)簽信息關(guān)聯(lián)于分組資源，另一方面，授予用戶的標(biāo)簽信息還關(guān)聯(lián)于訪問權(quán)限，由此，便可以在標(biāo)簽信息的作用下實(shí)現(xiàn)分組資源的授權(quán)和用戶的訪問權(quán)限配置，授予用戶的標(biāo)簽信息，可將其關(guān)聯(lián)于兩個(gè)以上分組的分組資源，即可針對(duì)跨組資源實(shí)現(xiàn)用戶的批量授權(quán)，進(jìn)而實(shí)現(xiàn)跨組資源的訪問控制。

應(yīng)當(dāng)理解的是，以上的一般描述和后文的細(xì)節(jié)描述僅是示例性的，并不能限制本公開。

附圖說明

此處的附圖被并入說明書中并構(gòu)成本說明書的一部分，示出了符合本發(fā)明的實(shí)施例，并于說明書一起用于解釋本發(fā)明的原理。

圖1是根據(jù)本公開所涉及的實(shí)施環(huán)境的示意圖；

圖2是根據(jù)一示例性實(shí)施例示出的一種裝置的框圖

圖3是根據(jù)一示例性實(shí)施例示出的一種資源訪問控制方法的流程圖；

圖4是根據(jù)另一個(gè)示例性實(shí)施例示出的一種資源訪問控制方法的流程圖；

圖5是一示例性實(shí)施例示出的對(duì)為分組資源新建標(biāo)簽信息，得到新建的標(biāo)簽信息和分組資源之間的關(guān)聯(lián)關(guān)系步驟的細(xì)節(jié)進(jìn)行描述的流程圖；

圖6是根據(jù)一示例性實(shí)施例示出的對(duì)將訪問權(quán)限與分組資源的資源權(quán)限進(jìn)行匹配，根據(jù)匹配的結(jié)果允許或拒絕用戶請(qǐng)求的分組資源訪問步驟的細(xì)節(jié)進(jìn)行描述的流程圖；

圖7是根據(jù)另一示例性實(shí)施例示出的一種資源訪問控制方法的流程圖；

圖8是根據(jù)一示例性實(shí)施例示出的實(shí)現(xiàn)云服務(wù)資源訪問控制的整體框架示意圖；

圖9是根據(jù)一示例性實(shí)施例示出的基于標(biāo)簽信息所實(shí)現(xiàn)的授權(quán)示意圖；

圖10是根據(jù)一示例性實(shí)施例示出的鑒權(quán)流程圖；

圖11是一示例性實(shí)施例示出的一種資源訪問控制裝置的框圖；

圖12是根據(jù)另一示例性實(shí)施例示出的一種資源訪問控制裝置的框圖；

圖13是圖12對(duì)應(yīng)實(shí)施示出的對(duì)標(biāo)簽資源關(guān)聯(lián)模塊的細(xì)節(jié)進(jìn)行描述的框圖；

圖14是圖11對(duì)應(yīng)實(shí)施例示出的對(duì)鑒權(quán)模塊的細(xì)節(jié)進(jìn)行描述的框圖；

圖15是根據(jù)另一示例性實(shí)施例示出的一種資源訪問控制裝置的框圖。

具體實(shí)施方式

這里將詳細(xì)地對(duì)示例性實(shí)施例執(zhí)行說明，其示例表示在附圖中。下面的描述涉及附圖時(shí)，除非另有表示，不同附圖中的相同數(shù)字表示相同或相似的要素。以下示例性實(shí)施例中所描述的實(shí)施方式并不代表與本發(fā)明相一致的所有實(shí)施方式。相反，它們僅是與如所附權(quán)利要求書中所詳述的、本發(fā)明的一些方面相一致的裝置和方法的例子。

圖1是本公開所涉及的實(shí)現(xiàn)環(huán)境的示意圖。該實(shí)施環(huán)境包括：終端110、控制服務(wù)器130和云服務(wù)器150。

終端110將在控制服務(wù)器130的控制下接入云服務(wù)器150，云服務(wù)器150用于提供各種云服務(wù)，并為各個(gè)云服務(wù)存儲(chǔ)其資源。

控制服務(wù)器150將為終端110實(shí)現(xiàn)控制臺(tái)向?qū)ВM(jìn)而在此控制臺(tái)向?qū)У淖饔孟?，終端110得以進(jìn)行云服務(wù)資源訪問。

也就是說，控制服務(wù)器150將對(duì)終端110發(fā)起的資源訪問實(shí)現(xiàn)資源訪問控制。

圖2是根據(jù)一示例性實(shí)施例示出的一種裝置200的框圖。例如，裝置200可以是圖1所示實(shí)施環(huán)境的控制服務(wù)器150。

該裝置200可因配置或性能不同而產(chǎn)生比較大的差異，可以包括一個(gè)或一個(gè)以上中央處理器(central processing units，CPU)222(例如，一個(gè)或一個(gè)以上處理器)和存儲(chǔ)器232，一個(gè)或一個(gè)以上存儲(chǔ)應(yīng)用程序242或數(shù)據(jù)244的存儲(chǔ)介質(zhì)230(例如一個(gè)或一個(gè)以上海量存儲(chǔ)設(shè)備)。其中，存儲(chǔ)器232和存儲(chǔ)介質(zhì)230可以是短暫存儲(chǔ)或持久存儲(chǔ)。存儲(chǔ)在存儲(chǔ)介質(zhì)230的程序可以包括一個(gè)或一個(gè)以上模塊(圖示未示出)，每個(gè)模塊可以包括對(duì)裝置200中的一系列指令操作。更進(jìn)一步地，中央處理器222可以設(shè)置為與存儲(chǔ)介質(zhì)230通信，在裝置200上執(zhí)行存儲(chǔ)介質(zhì)230中的一系列指令操作。裝置200還可以包括一個(gè)或一個(gè)以上電源226，一個(gè)或一個(gè)以上有線或無(wú)線網(wǎng)絡(luò)接口250，一個(gè)或一個(gè)以上輸入輸出接口258，和/或，一個(gè)或一個(gè)以上操作系統(tǒng)241，例如Windows ServerTM，MacOS XTM，UnixTM，LinuxTM，F(xiàn)reeBSDTM等等。上述圖3、圖4、圖5、圖6和圖7所示實(shí)施例中的步驟可以基于該圖2所示的裝置結(jié)構(gòu)。

圖3是根據(jù)一示例性實(shí)施例示出的一種資源訪問控制方法的流程圖。該資源訪問控制方法適用于圖1所示實(shí)施環(huán)境的控制服務(wù)器130，該控制服務(wù)器130在一個(gè)示例性實(shí)施例中可以是圖2所示的裝置。如圖3所示，該資源訪問控制方法，可以由控制服務(wù)器130執(zhí)行，可以包括以下步驟。

在步驟310中，接收分組資源訪問指令，分組資源訪問指令指示用戶請(qǐng)求訪問的分組資源。

其中，分組資源訪問指令，是由終端所發(fā)起的，用于請(qǐng)求進(jìn)行分組資源訪問的指令。通過此分組資源訪問指令所請(qǐng)求進(jìn)行的分組資源訪問，可以是單一分組的分組資源訪問，也可以是跨組資源訪問，在此不進(jìn)行限定。

與之相對(duì)應(yīng)的，分組資源訪問指令指示用戶請(qǐng)求訪問的分組資源，是歸屬于一個(gè)分組，或者兩個(gè)以上分組的分組資源。

在此應(yīng)當(dāng)補(bǔ)充說明的是，所指的用戶，在一個(gè)示例性實(shí)施例的具體實(shí)現(xiàn)中，是以用戶標(biāo)識(shí)的數(shù)據(jù)形式存在，以此來(lái)唯一標(biāo)示用戶以及所進(jìn)行的資源訪問過程。

例如，在圖1所示的實(shí)施環(huán)境中，通過終端110向控制服務(wù)器130發(fā)送分組資源訪問指令，以向控制服務(wù)器130請(qǐng)求進(jìn)行分組資源的訪問。

在此需要說明的是，對(duì)于所指的分組資源，其是以資源標(biāo)識(shí)或者資源名稱的數(shù)據(jù)形式存在的，并且存儲(chǔ)有其所對(duì)應(yīng)的實(shí)體數(shù)據(jù)。

在步驟330中，從分組資源關(guān)聯(lián)的標(biāo)簽信息得到授予用戶的標(biāo)簽信息。

其中，標(biāo)簽信息用于實(shí)現(xiàn)唯一存在的標(biāo)簽。換而言之，標(biāo)簽信息具備唯一性，對(duì)于授予用戶的標(biāo)簽信息而言，其可唯一標(biāo)識(shí)用戶或者用戶集合。

如前所述的，用戶請(qǐng)求訪問的分組資源，是歸屬于一個(gè)或者兩個(gè)以上分組的。因此，需要從歸屬于一個(gè)或者兩個(gè)以上分組的分組資源所關(guān)聯(lián)的標(biāo)簽信息中獲得授予用戶的標(biāo)簽信息。

在步驟350中，根據(jù)授予用戶的標(biāo)簽信息得到標(biāo)簽信息關(guān)聯(lián)的訪問權(quán)限。

其中，標(biāo)簽信息除了與分組資源存在著關(guān)聯(lián)關(guān)系之外，還與訪問權(quán)限存在著關(guān)聯(lián)關(guān)系。訪問權(quán)限用于指示可訪問的資源以及訪問的方式，例如，指示何種用戶操作可以進(jìn)行資源的訪問。

在通過前述步驟獲得授予用戶的標(biāo)簽信息之后，便由標(biāo)簽信息和訪問權(quán)限之間的關(guān)聯(lián)關(guān)系，得到授予用戶的標(biāo)簽信息所關(guān)聯(lián)的訪問權(quán)限，此訪問權(quán)限即為用戶被授予的訪問權(quán)限。

在步驟370中，將訪問權(quán)限與分組資源的資源權(quán)限進(jìn)行匹配，根據(jù)匹配的結(jié)果允許或拒絕用戶請(qǐng)求的分組資源訪問。

其中，分組資源的資源權(quán)限，是指分組資源訪問所需要具備的訪問權(quán)限，只有用戶被授予的訪問權(quán)限與此相一致時(shí)，方可允許進(jìn)行用戶所請(qǐng)求的分組資源訪問，反之，則拒絕用戶請(qǐng)求的分組資源訪問。

在如上所述的資源訪問控制的實(shí)現(xiàn)中，通過標(biāo)簽信息銜接用戶和分組資源，一方面，通過標(biāo)簽信息向用戶的授予，由此標(biāo)簽信息關(guān)聯(lián)于分組資源和訪問權(quán)限，可實(shí)現(xiàn)用戶的授權(quán)；另一方面，通過標(biāo)簽信息，也可直接實(shí)現(xiàn)資源的訪問控制，進(jìn)而在用戶具備訪問權(quán)限的條件下允許其訪問分組資源，既提高了授權(quán)效率，又在標(biāo)簽信息的作用下，可以使得用戶請(qǐng)求訪問的分組資源不再局限于一個(gè)分組，而是可以針對(duì)跨組資源實(shí)現(xiàn)訪問控制，授予用戶的標(biāo)簽信息關(guān)聯(lián)于兩個(gè)以上分組的分組資源即可。

綜上所述，通過如上所述的資源訪問控制的實(shí)現(xiàn)，可以為兩個(gè)以上分組的分組資源實(shí)現(xiàn)跨組的資源訪問，換而言之，通過如上所述的資源訪問控制，可以為存在的兩個(gè)以上分組的分組資源實(shí)現(xiàn)一訪問控制平臺(tái)，在此訪問控制平臺(tái)將為眾多分組的分組資源提供統(tǒng)一的訪問控制。

對(duì)于用戶而言，通過此訪問控制平臺(tái)，通過其所進(jìn)行的一次資源的訪問請(qǐng)求，即可進(jìn)行跨組的資源訪問，獲得兩個(gè)以上分組的分組資源，實(shí)現(xiàn)了跨組資源的訪問控制。

在一個(gè)示例性實(shí)施例中，分組資源訪問指令為跨組資源訪問指令，步驟130，可以包括以下步驟。

從分組資源和標(biāo)簽信息之間的關(guān)聯(lián)關(guān)系得到用戶請(qǐng)求訪問的分組資源關(guān)聯(lián)且授予用戶的標(biāo)簽信息，用戶請(qǐng)求的分組資源歸屬于兩個(gè)以上的分組。

其中，跨組資源訪問指令用于發(fā)起兩個(gè)以上分組的分組資源訪問請(qǐng)求。用戶通過跨組資源訪問指令而請(qǐng)求進(jìn)行跨組的分組資源訪問。

需要說明的是，在用戶或者用戶集合的授權(quán)過程中，構(gòu)建了分組資源和標(biāo)簽信息之間的關(guān)聯(lián)關(guān)系，并且將此標(biāo)簽信息授予用戶。

而分組資源和標(biāo)簽信息之間的關(guān)聯(lián)關(guān)系，對(duì)于一標(biāo)簽信息而言，其可以與與個(gè)分組或者兩個(gè)以上分組的分組資源存在關(guān)聯(lián)；對(duì)于分組資源而言，其所關(guān)聯(lián)的標(biāo)簽信息數(shù)量不限。

由此，用戶請(qǐng)求訪問的分組資源，可能存在著一個(gè)或者兩個(gè)以上的標(biāo)簽信息與其關(guān)聯(lián)，在此標(biāo)簽信息中，獲得授予用戶的標(biāo)簽信息。

通過如上所述的過程，為用戶請(qǐng)求進(jìn)行的跨組資源訪問中授予用戶的標(biāo)簽信息的獲得提供了具體實(shí)現(xiàn)，進(jìn)而使得后續(xù)所進(jìn)行權(quán)限控制必然是針對(duì)跨組資源，即兩個(gè)以上分組的分組資源實(shí)現(xiàn)的，即在授予用戶的標(biāo)簽信息，以及此標(biāo)簽信息所關(guān)聯(lián)的兩個(gè)以上分組的分組資源的作用下，使得本次用戶的資源訪問能夠同時(shí)針對(duì)兩個(gè)以上分組的分組資源進(jìn)行，歸屬于不同分組的分組資源的訪問，不再需要逐一進(jìn)行鑒權(quán)，提高了資源訪問效率。

在一個(gè)示例性實(shí)施例中，步驟150，可以包括以下步驟。

從標(biāo)簽信息和訪問權(quán)限之間的關(guān)聯(lián)關(guān)系得到用戶請(qǐng)求進(jìn)行的分組資源訪問中授予用戶的標(biāo)簽信息所關(guān)聯(lián)的訪問權(quán)限。

其中，在為用戶或者用戶集合實(shí)現(xiàn)授權(quán)的過程中，還構(gòu)建了標(biāo)簽信息和訪問權(quán)限之間的關(guān)聯(lián)關(guān)系。如前所述，授予用戶的標(biāo)簽信息，起到唯一標(biāo)識(shí)此用戶的作用，而授予用戶的標(biāo)簽信息所關(guān)聯(lián)的訪問權(quán)限，則為授予用戶的訪問權(quán)限，其指定了用戶在所進(jìn)行的資源訪問中，有權(quán)限觸發(fā)的用戶操作。

從構(gòu)建的眾多關(guān)聯(lián)信息中，根據(jù)圖1對(duì)應(yīng)實(shí)施例中步驟130所獲得的授予用戶的標(biāo)簽信息，獲得用戶請(qǐng)求進(jìn)行的分組資源訪問中授予用戶的標(biāo)簽信息所關(guān)聯(lián)的訪問權(quán)限。

可以理解，所指的用戶請(qǐng)求進(jìn)行的分組資源訪問，可以是一分組的分組資源訪問，也可以是跨組的資源訪問。與之相對(duì)應(yīng)的，所獲得的訪問權(quán)限，是用戶訪問一分組的分組資源訪問權(quán)限，也可以是跨組的資源訪問權(quán)限，即對(duì)兩個(gè)以上分組的分組資源的訪問權(quán)限。

圖4是根據(jù)一個(gè)示例性實(shí)施例示出的一種資源訪問控制方法的流程圖。該資源訪問控制方法，如圖4所示，可以包括以下步驟。

在步驟410中，接收分組資源的授權(quán)指令，分組資源的授權(quán)指令指示請(qǐng)求授權(quán)的用戶和分組資源。

其中，分組資源的授權(quán)指令，是用戶或者一管理員身份的用戶所在終端發(fā)起的，用于請(qǐng)求為一用戶或者用戶集合對(duì)一個(gè)或者兩個(gè)以上分組的分組資源訪問授予權(quán)限。因此，分組資源的授權(quán)指令中，指示了請(qǐng)求授權(quán)的用戶和分組資源，此分組資源歸屬于一個(gè)或者兩個(gè)以上的分組。分組資源的授權(quán)指令中指示請(qǐng)求授權(quán)的用戶，并不限于一個(gè)用戶，也可以是多個(gè)用戶所構(gòu)成的用戶集合，在此不進(jìn)行限定。

為實(shí)現(xiàn)圖1所示實(shí)施例所示分組資源訪問涉及的鑒權(quán)過程，通過分組資源的授權(quán)指令來(lái)發(fā)起授權(quán)過程，通過此授權(quán)過程可以實(shí)現(xiàn)批量用戶授權(quán)，也可以為用戶授予批量分組資源的訪問權(quán)限。

在步驟430中，為分組資源新建標(biāo)簽信息，得到新建的標(biāo)簽信息和分組資源之間的關(guān)聯(lián)關(guān)系。

其中，標(biāo)簽信息具體唯一性，其可用于形成分組資源的標(biāo)簽(tag)，以使得對(duì)應(yīng)于此標(biāo)簽信息的一個(gè)或者兩個(gè)以上分組的分組資源構(gòu)成一個(gè)整體。

標(biāo)簽信息可以是任意形式的，例如，可以將標(biāo)簽信息描述為標(biāo)簽名加鍵值的方式等，在此不進(jìn)行限定。

所進(jìn)行的標(biāo)簽信息新建過程，是針對(duì)授權(quán)指令中指示的分組資源進(jìn)行的，具體而言，將為一個(gè)分組或者兩個(gè)以上分組的分組資源構(gòu)建一標(biāo)簽信息，進(jìn)而建立此標(biāo)簽信息和一個(gè)分組或者兩個(gè)以上分組的分組資源之間的關(guān)聯(lián)關(guān)系，即，標(biāo)簽信息和分組資源信息之間，是一對(duì)一或者一對(duì)多的關(guān)聯(lián)關(guān)系。

在步驟450中，對(duì)新建的標(biāo)簽信息配置訪問權(quán)限，并建立標(biāo)簽信息和訪問權(quán)限之間的關(guān)聯(lián)關(guān)系。

其中，根據(jù)前述描述，新建的標(biāo)簽信息最終必將授權(quán)給相應(yīng)的用戶進(jìn)而完成用戶的授權(quán)過程。因此，需要為新建的標(biāo)簽信息配置訪問權(quán)限，即此標(biāo)簽信息所關(guān)聯(lián)的用戶操作，以此來(lái)控制用戶在進(jìn)行分組資源的訪問中所執(zhí)行的用戶操作，進(jìn)而保障分組資源的安全性。

所建立的標(biāo)簽信息和訪問權(quán)限之間的關(guān)聯(lián)關(guān)系，在一個(gè)示例性實(shí)施例的具體實(shí)現(xiàn)中，為標(biāo)簽信息和用戶操作之間的關(guān)聯(lián)關(guān)系，在此用戶操作數(shù)量為多個(gè)的情況下，即為標(biāo)簽信息和用戶操作集合之間的關(guān)聯(lián)關(guān)系，在此不進(jìn)行限定。

在步驟470中，將與訪問權(quán)限建立關(guān)聯(lián)關(guān)系的標(biāo)簽信息授予請(qǐng)求授權(quán)的用戶。

在如上所述的過程中，對(duì)建立的關(guān)聯(lián)關(guān)系予以存儲(chǔ)，并將新建的標(biāo)簽信息授予通過終端發(fā)起授權(quán)指令而請(qǐng)求授權(quán)的用戶，由此，便完成了用戶的授權(quán)過程，通過授予用戶權(quán)限來(lái)幫助用戶安全的控制其對(duì)分組資源的訪問權(quán)限控制，例如，控制了哪些用戶可以訪問分組資源，以及可以訪問的分組資源和訪問的方式等。

通過如上所述的過程，能夠?qū)崿F(xiàn)批量用戶的快速授權(quán)，并且授權(quán)予以訪問的分組資源可以歸屬于兩個(gè)以上的分組，因此，快速實(shí)現(xiàn)了跨組的分組資源的批量授權(quán)，極大提高用戶的授權(quán)效率。

通過如上所述的過程，能夠通過所搭建的訪問控制來(lái)實(shí)現(xiàn)跨組的分組資源授權(quán)，進(jìn)行在存在多個(gè)分組的分組資源情況下，不需要逐一通過分組所存在的平臺(tái)獲得授權(quán)，為分散存在的分組資源的訪問和授權(quán)控制進(jìn)行了統(tǒng)一有效的管理。

圖5是一示例性實(shí)施例示出的對(duì)步驟430的細(xì)節(jié)進(jìn)行描述的流程圖。請(qǐng)求的分組資源歸屬于兩個(gè)以上分組，在步驟430中，如圖5所示，可以包括以下步驟。

在步驟431中，新建標(biāo)簽信息。

在步驟433中，將標(biāo)簽信息分別關(guān)聯(lián)于歸屬于兩個(gè)以上分組的分組資源，建立標(biāo)簽信息與每一分組的分組資源二者之間的關(guān)聯(lián)關(guān)系。

其中，根據(jù)圖4對(duì)應(yīng)實(shí)施例，通過步驟410接收得到針對(duì)一個(gè)分組或者兩個(gè)以上分組的分組資源發(fā)起的授權(quán)指令之后，按照授權(quán)指令中指示的分組資源，進(jìn)行新建的標(biāo)簽信息和分組資源二者之間的關(guān)聯(lián)關(guān)系構(gòu)建。

在請(qǐng)求的分組資源歸屬于兩個(gè)以上分組的情況下，建立標(biāo)簽信息與每一分組的分組資源二者之間的關(guān)聯(lián)關(guān)系，由此便得到此標(biāo)簽信息和分組資源之間一對(duì)多的關(guān)聯(lián)關(guān)系。

通過如上所述的過程，為授權(quán)過程中，授權(quán)指令中指示的分組資源打上標(biāo)簽，以便于后續(xù)過程中將此分組資源的訪問權(quán)限授予用戶的實(shí)現(xiàn)。

在一個(gè)示例性實(shí)施例中，步驟410之前，該資源訪問控制方法還包括以下步驟。

觸發(fā)進(jìn)行分組資源的權(quán)限配置，在分組資源的描述信息或者權(quán)限策略的條件元素中寫入標(biāo)簽信息，標(biāo)簽信息關(guān)聯(lián)于訪問權(quán)限。

其中，所指的分組資源的權(quán)限配置，是指配置可進(jìn)行此分組資源訪問的用戶和用戶操作。分組資源權(quán)限的配置，實(shí)質(zhì)為分組資源的權(quán)限策略配置過程。

因此，其所配置的信息，可以寫入分組資源的權(quán)限策略中，但也可以寫入相應(yīng)的描述信息中。

根據(jù)前述描述，標(biāo)簽信息，都有其所關(guān)聯(lián)的訪問權(quán)限，即每一標(biāo)簽信息都與相應(yīng)的訪問權(quán)限存在著關(guān)聯(lián)關(guān)系。

對(duì)于分組資源的權(quán)限配置而言，可在確定了其所直接關(guān)聯(lián)的標(biāo)簽信息，便也配置了可進(jìn)行此分組資源訪問的用戶和用戶操作。

因此，將標(biāo)簽信息作為一參數(shù)寫入分組資源的描述信息或者權(quán)限策略的條件元素中，以此來(lái)完成分組資源的權(quán)限配置過程。

通過標(biāo)簽信息作為一參數(shù)來(lái)實(shí)現(xiàn)授予過程，可以非常靈活的控制分組的權(quán)限處理，不需要修改權(quán)限策略，僅通過標(biāo)簽的變更即可自動(dòng)實(shí)現(xiàn)對(duì)資源的自動(dòng)授權(quán)。

具體而言，如上所述的過程，可以通過以下三種方式來(lái)實(shí)現(xiàn)授權(quán)過程：(1)采用原生的授權(quán)語(yǔ)法實(shí)現(xiàn)；(2)通過授權(quán)接口函數(shù)實(shí)現(xiàn)；(3)通過訪問控制平臺(tái)實(shí)現(xiàn)。

進(jìn)一步的，對(duì)于方式(1)，通過授權(quán)語(yǔ)法定義用戶集合、授權(quán)的用戶操作集合、資源集合以及上下文條件來(lái)實(shí)現(xiàn)授權(quán)，上下文條件和資源集合中標(biāo)簽信息的寫入即可實(shí)現(xiàn)權(quán)限策略的配置，標(biāo)簽信息作為條件寫入其中，即可實(shí)現(xiàn)了跨組的授權(quán)。

對(duì)于方式(2)，采用授權(quán)接口函數(shù)完成授權(quán)，其標(biāo)簽信息將作為參數(shù)傳入。

對(duì)于方式(3)訪問控制平臺(tái)中實(shí)現(xiàn)標(biāo)簽授權(quán)向?qū)?，以通過此標(biāo)簽授權(quán)向?qū)У慕换?lái)引導(dǎo)授權(quán)過程，此授權(quán)過程，也是基于標(biāo)簽信息的寫入的。例如，通過向?qū)Р襟E，在設(shè)置資源的描述信息時(shí)，選擇相應(yīng)的標(biāo)簽信息，在設(shè)置權(quán)限策略中的條件元素時(shí)，選擇相應(yīng)的標(biāo)簽信息作為條件。

通過如上所述的過程，便完成了分組資源的授權(quán)，并且在標(biāo)簽信息的作用下能夠?qū)Χ鄠€(gè)分組的分組資源實(shí)現(xiàn)靈活授權(quán)，提高了分組資源管理的可控性。

圖6是根據(jù)一示例性實(shí)施例示出的對(duì)步驟370的細(xì)節(jié)進(jìn)行描述的流程圖。該步驟370，如圖6所示，可以包括以下步驟。

在步驟371中，從分組資源的描述信息或權(quán)限策略提取標(biāo)簽信息，根據(jù)標(biāo)簽信息得到關(guān)聯(lián)的訪問權(quán)限，該訪問權(quán)限即為分組資源的資源權(quán)限。

在步驟373中，匹配資源權(quán)限和授予用戶的訪問權(quán)限，判斷二者之間是否匹配，如果為是，則執(zhí)行步驟375，如果為否，則執(zhí)行步驟377。

在步驟375中，允許用戶請(qǐng)求的分組資源訪問。

在步驟377中，拒絕用戶請(qǐng)求的分組資源訪問。

其中，在分組資源的描述信息或者權(quán)限策略中，以標(biāo)簽信息作為參數(shù)實(shí)現(xiàn)了權(quán)限配置。因此，與之相對(duì)應(yīng)的，也將由描述信息或權(quán)限策略中寫入的標(biāo)簽信息獲得分組資源的權(quán)限。

圖7是根據(jù)另一示例性實(shí)施例示出的一種資源訪問控制方法的流程圖。該資源訪問控制方法，如圖7所示，可以包括以下步驟。

在步驟510中，接收用戶的訪問權(quán)限調(diào)整指令，訪問權(quán)限調(diào)整指令指示新增或刪減用戶授權(quán)訪問的分組資源。

其中，用戶的訪問權(quán)限調(diào)整指令，是指對(duì)此用戶進(jìn)行訪問權(quán)限調(diào)整的指令，以通過此指令新增此用戶所能夠訪問的分組資源，或者刪減此用戶所能夠訪問的分組資源。

用戶的訪問權(quán)限調(diào)整，是針對(duì)已經(jīng)具備某此分組資源的訪問權(quán)限的用戶進(jìn)行的。

在步驟530中，根據(jù)用戶的訪問權(quán)限調(diào)整指令，將授予用戶的標(biāo)簽信息關(guān)聯(lián)于新增的分組資源，或者從關(guān)聯(lián)的分組資源解除刪減的分組資源與授予用戶的標(biāo)簽信息之間的關(guān)聯(lián)關(guān)系。

其中，根據(jù)前述描述可知，授予此用戶的標(biāo)簽信息，與訪問權(quán)限、分組資源均存在著關(guān)聯(lián)關(guān)系，在接收到訪問權(quán)限調(diào)整指令之后，可對(duì)其所關(guān)聯(lián)的分組資源進(jìn)行相應(yīng)調(diào)整，由此在標(biāo)簽信息的作用下即可實(shí)現(xiàn)權(quán)限的有效管理。

在一個(gè)示例性實(shí)施例的具體實(shí)現(xiàn)中，標(biāo)簽信息和分組資源之間的關(guān)聯(lián)關(guān)系，分別以標(biāo)簽信息和分組資源進(jìn)行雙向索引實(shí)現(xiàn)。

具體的，所指的雙向索引，包括從標(biāo)簽信息到分組資源的索引，以及從分組資源到標(biāo)簽信息的索引。

相對(duì)應(yīng)于，在所進(jìn)行的關(guān)聯(lián)關(guān)系調(diào)整更新中，必須同時(shí)更新這兩個(gè)索引，以此方能夠方便快捷的實(shí)現(xiàn)訪問權(quán)限的調(diào)整。

通過如上所述的過程，將使得標(biāo)簽信息所關(guān)聯(lián)的分組資源，并不受限于某個(gè)特定分組，可以根據(jù)需要關(guān)聯(lián)不同的分組，并且也可以根據(jù)需要減少所關(guān)聯(lián)的分組。

綜上所述，通過本公開所實(shí)現(xiàn)的資源訪問控制，可以應(yīng)用于包括云服務(wù)在內(nèi)的各種web服務(wù)的資源管控，也可以應(yīng)用于存儲(chǔ)于計(jì)算機(jī)設(shè)備中各種大型項(xiàng)目的資源管控，在此不進(jìn)行限定。

以云服務(wù)的資源訪問控制為例，結(jié)合具體應(yīng)用場(chǎng)景，描述該資源訪問控制方法。在此應(yīng)用場(chǎng)景中，一云服務(wù)資源，即為一個(gè)分組的分組資源，通過該資源訪問控制方法所實(shí)現(xiàn)的跨組資源訪問和授權(quán)，即為跨服務(wù)的資源訪問和授權(quán)。

也就是說，對(duì)于所存在的眾多云服務(wù)，可通過該資源訪問控制方法，實(shí)現(xiàn)跨服務(wù)的資源訪問，與之相對(duì)應(yīng)的，其授權(quán)過程，也可以是針對(duì)兩個(gè)以上的云服務(wù)批量進(jìn)行的。

需要說明的是，現(xiàn)有的某一云服務(wù)，其可支持標(biāo)簽功能，但是并非是所有的云服務(wù)都能夠支持標(biāo)簽功能，而通過本公開的資源訪問控制方法，將為從多的動(dòng)服務(wù)提供了一個(gè)統(tǒng)一的訪問控制平臺(tái)，不需要云服務(wù)支持標(biāo)簽功能也能夠?qū)崿F(xiàn)基于標(biāo)簽的資源訪問控制。

并且對(duì)于支持標(biāo)簽功能的云服務(wù)，也將不再需要逐個(gè)對(duì)各個(gè)云服務(wù)下標(biāo)簽而進(jìn)行單獨(dú)的授權(quán)管理，有效降低了操作成本。

具體而言，圖8是根據(jù)一示例性實(shí)施例示出的實(shí)現(xiàn)云服務(wù)資源訪問控制的整體框架示意圖。如圖8所示的，整個(gè)框架包括標(biāo)簽管理系統(tǒng)610和權(quán)限系統(tǒng)630兩大部分，以此來(lái)接入云服務(wù)的資源。

標(biāo)簽管理系統(tǒng)610，用于構(gòu)建和維護(hù)標(biāo)簽信息和云服務(wù)資源之間的關(guān)聯(lián)關(guān)系，并對(duì)其進(jìn)行存儲(chǔ)。

權(quán)限系統(tǒng)630，用于構(gòu)建和維護(hù)標(biāo)簽信息和用戶操作之間的關(guān)聯(lián)關(guān)系，并通過此關(guān)聯(lián)關(guān)系進(jìn)行存儲(chǔ)。此關(guān)聯(lián)關(guān)系中的用戶操作，用于表征訪問權(quán)限，具體而言，權(quán)限系統(tǒng)630中維護(hù)的標(biāo)簽信息和用戶標(biāo)識(shí)之間的關(guān)聯(lián)關(guān)系，是通過授權(quán)接口函數(shù)或者訪問控制平臺(tái)寫入或者更新的。

通過該實(shí)現(xiàn)云服務(wù)資源訪問控制的整體框架，所實(shí)現(xiàn)的流程將包括標(biāo)簽管理、權(quán)限管理和鑒權(quán)三大部分。

首先，對(duì)于標(biāo)簽管理，包括了標(biāo)簽信息和云服務(wù)資源之間關(guān)聯(lián)關(guān)系的構(gòu)建，以及調(diào)整。

具體的，構(gòu)建的標(biāo)簽信息和云服務(wù)資源之間的關(guān)聯(lián)關(guān)系的同時(shí)，也將標(biāo)簽信息授權(quán)給相應(yīng)的用戶，以此來(lái)實(shí)現(xiàn)授權(quán)。

圖9是根據(jù)一示例性實(shí)施例示出的基于標(biāo)簽信息所實(shí)現(xiàn)的授權(quán)示意圖。云服務(wù)資源包括云服務(wù)器資源CVM1、云服務(wù)器資源CVM2、CDN服務(wù)的資源CDN1、CDN服務(wù)的資源CDN2、LB1和LB2等等。

如圖9所示，tag1和tag2為兩個(gè)標(biāo)簽，用于分別表征不同的標(biāo)簽信息。在此示例性實(shí)施例中，將CVM1、CDN1和LB1作為一類資源，以授權(quán)給一類用戶訪問，將CVM1、LB1和LB2作為一類資源。

基于此，即對(duì)CVM1、CDN1和LB1打上標(biāo)簽tag1，并將標(biāo)簽tag1授權(quán)給用戶，對(duì)CVM1、LB1和LB2打上標(biāo)簽tag2。

由此，使形成tag1和CVM1、CDN1、LB1之間的關(guān)聯(lián)關(guān)系，即如圖9所框選的關(guān)聯(lián)關(guān)系710，相對(duì)應(yīng)的，也形成tag2和CVM1、LB1和LB2之間的關(guān)聯(lián)關(guān)系，即如圖9所框選的關(guān)聯(lián)關(guān)系730。

此關(guān)聯(lián)關(guān)系是分別以標(biāo)簽和云服務(wù)資源二者為索引實(shí)現(xiàn)的，即雙向索引，以便于應(yīng)用于授權(quán)過程。

通過建立的關(guān)聯(lián)關(guān)系得到區(qū)域750所示的各個(gè)云服務(wù)資源所存在的與標(biāo)簽之間的關(guān)聯(lián)關(guān)系，此時(shí)，將標(biāo)簽授權(quán)給用戶即完成了授權(quán)過程。

在標(biāo)簽管理的實(shí)現(xiàn)中，除了實(shí)現(xiàn)如上所述的授權(quán)，還通過更新標(biāo)簽和云服務(wù)資源之間的關(guān)聯(lián)關(guān)系來(lái)實(shí)現(xiàn)相應(yīng)用戶可訪問資源的新增和刪減。

其次，對(duì)于權(quán)限管理流程，將用以實(shí)現(xiàn)云服務(wù)資源的權(quán)限配置。具體的，為授予用戶的標(biāo)簽建立其與訪問權(quán)限之間的關(guān)聯(lián)關(guān)系，訪問權(quán)限指示了用戶針對(duì)云服務(wù)資源可以觸發(fā)的用戶操作。

以標(biāo)簽為參數(shù)，來(lái)配置訪問云服務(wù)資源而必須的訪問權(quán)限，進(jìn)而以此為基礎(chǔ)實(shí)現(xiàn)后續(xù)的鑒權(quán)過程。

最后，對(duì)于鑒權(quán)，因?yàn)闃?biāo)簽的存在，鑒權(quán)匹配的權(quán)限，包括資源級(jí)權(quán)限和標(biāo)簽級(jí)權(quán)限，其中，資源級(jí)權(quán)限即為資源權(quán)限，標(biāo)簽級(jí)權(quán)限為授予用戶的訪問權(quán)限。

圖10是根據(jù)一示例性實(shí)施例示出的鑒權(quán)流程圖。在用戶發(fā)起鑒權(quán)之后，針對(duì)所發(fā)生的操作資源，將獲取授予用戶的標(biāo)簽，即執(zhí)行步驟810，并執(zhí)行步驟830，獲得根據(jù)關(guān)聯(lián)關(guān)系獲得標(biāo)簽級(jí)權(quán)限。

另一方面，也將由操作的資源所寫入的標(biāo)簽，獲得資源級(jí)權(quán)限，即執(zhí)行步驟850。

至此，即可進(jìn)行權(quán)限匹配，進(jìn)而決定操作是否允許執(zhí)行。

通過如上所述簡(jiǎn)明的實(shí)現(xiàn)方法，來(lái)進(jìn)行基于標(biāo)簽的跨服務(wù)授權(quán)，可以極大提升用戶的授權(quán)效率，授權(quán)策略也更為靈活，更易于理解和表達(dá)，可以很好的滿足很多云服務(wù)用戶尤其是高端云用戶的鑒權(quán)需求。

下述為本公開裝置實(shí)施例，可以用于執(zhí)行本公開上述控制服務(wù)器130執(zhí)行的資源訪問控制方法實(shí)施例。對(duì)于本公開裝置實(shí)施例中未披露的細(xì)節(jié)，請(qǐng)參照本公開資源訪問控制方法實(shí)施例。

圖11是一示例性實(shí)施例示出的一種資源訪問控制裝置的框圖。該資源訪問控制裝置可以用于圖1所示的實(shí)施環(huán)境中，執(zhí)行圖3所示的資源訪問控制方法的全部步驟。如圖11所示，該資源訪問控制裝置，包括但不限于：訪問指令接收模塊910、授權(quán)信息獲得模塊930、訪問權(quán)限獲得模塊950和鑒權(quán)模塊970。

訪問指令接收模塊910，用于接收分組資源訪問指令，分組資源訪問指令指示用戶請(qǐng)求訪問的分組資源。

授權(quán)信息獲得模塊930，用于從分組資源關(guān)聯(lián)的標(biāo)簽信息得到授予用戶的標(biāo)簽信息。

訪問權(quán)限獲得模塊950，用于根據(jù)授予用戶的標(biāo)簽信息得到標(biāo)簽信息關(guān)聯(lián)的訪問權(quán)限。

鑒權(quán)模塊970，用于將訪問權(quán)限與分組資源的資源權(quán)限進(jìn)行匹配，根據(jù)匹配的結(jié)果允許或拒絕用戶請(qǐng)求的分組資源訪問。

在一個(gè)示例性實(shí)施例中，分組資源訪問指令為跨組資源訪問指令，授權(quán)信息獲得模塊930進(jìn)一步用于從分組資源和標(biāo)簽信息之間的關(guān)聯(lián)關(guān)系得到所述用戶請(qǐng)求訪問的分組資源關(guān)聯(lián)且授予用戶的標(biāo)簽信息，用戶請(qǐng)求的分組資源歸屬于兩個(gè)以上的分組。

在一個(gè)示例性實(shí)施例中，訪問權(quán)限獲得模塊950進(jìn)一步用于從標(biāo)簽信息和訪問權(quán)限之間的關(guān)聯(lián)關(guān)系得到用戶請(qǐng)求進(jìn)行的分組資源訪問中授予用戶的標(biāo)簽信息所關(guān)聯(lián)的訪問權(quán)限。

圖12是根據(jù)另一示例性實(shí)施例示出的一種資源訪問控制裝置的框圖。該資源訪問控制裝置，如圖12所示，還包括但不限于：授權(quán)指令接收模塊1010、標(biāo)簽資源關(guān)聯(lián)模塊1030、標(biāo)簽權(quán)限關(guān)聯(lián)模塊1050和標(biāo)簽授予模塊1070。

授權(quán)指令接收模塊1010，用于接收分組資源的授權(quán)指令，分組資源的授權(quán)指令指示請(qǐng)求授權(quán)的用戶和分組資源。

標(biāo)簽資源關(guān)聯(lián)模塊1030，用于為分組資源新建標(biāo)簽信息，得到新建的標(biāo)簽信息和分組資源之間的關(guān)聯(lián)關(guān)系。

標(biāo)簽權(quán)限關(guān)聯(lián)模塊1050，用于對(duì)新建的標(biāo)簽信息配置訪問權(quán)限，并建立標(biāo)簽信息和訪問權(quán)限之間的關(guān)聯(lián)關(guān)系。

標(biāo)簽授予模塊1070，用于將與訪問權(quán)限建立關(guān)聯(lián)關(guān)系的標(biāo)簽信息授予請(qǐng)求授權(quán)的用戶。

圖13是圖12對(duì)應(yīng)實(shí)施示出的對(duì)標(biāo)簽資源關(guān)聯(lián)模塊的細(xì)節(jié)進(jìn)行描述的框圖。請(qǐng)求授權(quán)的分組資源歸屬于兩個(gè)以上分組，如圖13所示，該標(biāo)簽資源關(guān)聯(lián)模塊1030，包括標(biāo)簽新建單元1031和資源關(guān)聯(lián)單元1033。

標(biāo)簽新建單元1031，用于新建標(biāo)簽信息。

資源關(guān)聯(lián)單元1033，用于將標(biāo)簽信息分別關(guān)聯(lián)于歸屬于兩個(gè)以上分組的分組資源，建立標(biāo)簽信息與每一分組的分組資源二者之間的關(guān)聯(lián)關(guān)系。

在一個(gè)示例性實(shí)施例中，該資源訪問控制裝置還包括：權(quán)限配置模塊。

該權(quán)限配置模塊用于觸發(fā)進(jìn)行分組資源的權(quán)限配置，在分組資源的描述信息或者權(quán)限策略的條件元素中寫入標(biāo)簽信息，標(biāo)簽信息關(guān)聯(lián)于訪問權(quán)限。

圖14是圖11對(duì)應(yīng)實(shí)施例示出的對(duì)鑒權(quán)模塊的細(xì)節(jié)進(jìn)行描述的框圖。該鑒權(quán)模塊970，如圖14所示，包括提取單元971和匹配單元973。

提取單元971，用于從分組資源的描述信息或權(quán)限策略提取標(biāo)簽信息，根據(jù)標(biāo)簽信息得到關(guān)聯(lián)的訪問權(quán)限，訪問權(quán)限即為分組資源的資源權(quán)限。

匹配單元973，用于匹配資源權(quán)限和授予用戶的訪問權(quán)限，判斷二者之間是否匹配，如果為是，則允許用戶請(qǐng)求的分組資源訪問，如果為否，則拒絕用戶請(qǐng)求的分組資源訪問。

圖15是根據(jù)另一示例性實(shí)施例示出的一種資源訪問控制裝置的框圖。該資源訪問控制裝置，如圖15所示，可以包括調(diào)整指令接收模塊1110和調(diào)整模塊1130。

調(diào)整指令接收模塊1110，用于接收用戶的訪問權(quán)限調(diào)整指望，訪問權(quán)限調(diào)整指令指示新增或刪減用戶授權(quán)訪問的分組資源。

調(diào)整模塊1030，用于根據(jù)用戶的訪問權(quán)限調(diào)整指令，將授予用戶的標(biāo)簽信息關(guān)聯(lián)于新增的分組資源，或者從關(guān)聯(lián)的分組資源解除刪減的分組資源與授予用戶的標(biāo)簽信息之間的關(guān)聯(lián)關(guān)系。

可選的，本公開還提供一種控制服務(wù)器，該控制服務(wù)器可以用于圖1所示實(shí)施環(huán)境中，執(zhí)行圖3、圖4、圖5、圖6和圖7任一所示的資源訪問控制方法的全部或者部分步驟。所述裝置包括：

處理器；

用于存儲(chǔ)處理器可執(zhí)行指令的存儲(chǔ)器；

其中，所述處理器被配置為執(zhí)行：

接收分組資源訪問指令，所述分組資源訪問指令指示用戶請(qǐng)求訪問的分組資源；

從所述分組資源關(guān)聯(lián)的標(biāo)簽信息得到授予所述用戶的標(biāo)簽信息；

根據(jù)授予所述用戶的標(biāo)簽信息得到所述標(biāo)簽信息關(guān)聯(lián)的訪問權(quán)限；

將所述訪問權(quán)限與所述分組資源的資源權(quán)限進(jìn)行匹配，根據(jù)所述匹配的結(jié)果允許或拒絕所述用戶請(qǐng)求的分組資源訪問。

該實(shí)施例中的裝置的處理器執(zhí)行操作的具體方式已經(jīng)在有關(guān)該資源訪問控制方法的實(shí)施例中執(zhí)行了詳細(xì)描述，此處將不做詳細(xì)闡述說明。

應(yīng)當(dāng)理解的是，本發(fā)明并不局限于上面已經(jīng)描述并在附圖中示出的精確結(jié)構(gòu)，并且可以在不脫離其范圍執(zhí)行各種修改和改變。本發(fā)明的范圍僅由所附的權(quán)利要求來(lái)限制。