大数据平台访问方法、装置及大数据平台、电子设备

摘要

本说明书实施例公开了一种大数据平台访问方法、装置及大数据平台、电子设备，通过在大数据平台配置安全网关，安全网关可以拦截任何对引擎系统的访问请求，并对访问请求进行权限验证。当权限验证通过时，对访问请求放行，否则拦截访问请求。

说明书

技术领域

本说明书实施例涉及计算机技术领域，尤其涉及一种大数据平台访问方法、装置及大数据平台、电子设备。

背景技术

大数据是一种规模大到在获取、存储、管理、分析方面大大超出了传统数据库软件工具能力范围的数据集合，具有海量的数据规模、快速的数据流转、多样的数据类型等特征。而大数据平台是指以处理海量大数据存储、计算及不间断流数据实时计算等场景为主的一套基础设施，大数据平台集成了引擎众多，比如Hadoop、Flink、Spark、HBase，来处理数据存储、计算及流转等。

如何确保大数据平台中数据隐私安全，是业界需要考虑的一个课题。

发明内容

有鉴于此，本说明书实施例提供了一种提升大数据平台中数据隐私安全性的大数据平台访问方法、装置及大数据平台、电子设备。

本说明书实施例采用下述技术方案：

本说明书实施例提供一种大数据平台访问方法，应用于大数据平台中配置的安全网关，所述方法包括：

所述安全网关接收对引擎系统中目标引擎的访问请求；

对所述访问请求进行权限验证；

若权限验证通过，则对所述访问请求放行；

若权限验证未通过，则对所述访问请求进行拦截。。

本说明书实施例还提供一种大数据平台，包括：

引擎系统；

安全网关，配置在所述引擎系统的上游，接收对所述引擎系统中的目标引擎的访问请求，对所述访问请求进行权限验证，若权限验证通过，则对所述访问请求放行，若权限验证未通过，则对所述访问请求进行拦截。

本说明书实施例还提供一种大数据平台访问装置，应用于大数据平台中配置的安全网关，所述装置包括：

接收模块，接收对引擎系统中目标引擎的访问请求；

权限验证模块，对所述访问请求进行权限验证；

放行模块，若权限验证通过，则对所述访问请求放行；

拦截模块，若权限验证未通过，则对所述访问请求进行拦截。。

本说明书实施例还提供一种应用于大数据平台中配置的安全网关，所述电子设备包括：

处理器；以及

被配置成存储计算机程序的存储器，所述计算机程序在被执行时使所述处理器执行以下操作：

所述安全网关接收对引擎系统中目标引擎的访问请求；

对所述访问请求进行权限验证；

若权限验证通过，则对所述访问请求放行；

若权限验证未通过，则对所述访问请求进行拦截。。

本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果：

通过在大数据平台配置安全网关，安全网关可以拦截任何对引擎系统的访问请求，并对访问请求进行权限验证。当权限验证通过时，对访问请求放行，否则拦截访问请求。通过安全网关能够突破不同引擎接口语言的限制，实现对引擎系统中所有引擎进行统一隐私安全控制，以免目标引擎中的隐私数据泄露给请求方用户，从而提升大数据平台中的数据隐私安全性。同时，统一安全控制的管控水位能够保持一致，并实现高效控制。

附图说明

此处所说明的附图用来提供对本说明书实施例的进一步理解，构成本说明书实施例的一部分，本说明书的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中：

图1为本说明书实施例提供的一种大数据平台框架图；

图2为本说明书实施例提供的一种大数据平台访问方法的流程图；

图3为本说明书实施例提供的一种大数据平台访问方法的可选实施例的流程图；

图4为本说明书实施例提供的一种大数据平台访问方法的可选实施例的流程图；

图5为本说明书实施例提供的一种大数据平台访问方法的可选实施例的流程图；

图6为本说明书实施例提供的一种安全网关的框架结构图；

图7为本说明书实施例提供的一种大数据平台访问装置的结构图；

图8为本说明书实施例提供的一种大数据平台访问装置的可选实施例的结构图；

图9为本说明书实施例提供的一种大数据平台访问装置的可选实施例的结构图；

图10为本说明书实施例提供的一种大数据平台访问装置的可选实施例的结构图；

图11示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图。

具体实施方式

在对现有技术进行分析时发现，现有技术中，大数据平台中各引擎负责对己方数据隐私安全进行安全管控，各引擎的隐私安全管控水位并不一致。

本说明书实施例提出一种技术方案，通过在引擎系统的上游配置安全网关，安全网关用于对对引擎系统的访问请求进行事先的权限验证，根据权限验证结果确定对访问请求是否放行，避免访问绕过安全网关，造成隐私数据泄露。

为使本申请的目的、技术方案和优点更加清楚，下面将结合本说明书具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本说明书一部分实施例，而不是全部的实施例。基于本说明书中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

以下结合附图，详细说明本说明书各实施例提供的技术方案。

图1为本说明书实施例提供的一种大数据平台框架图，本大数据平台包括：

引擎系统101；

安全网关102，配置在所述引擎系统101的上游，接收对所述引擎系统101中的目标引擎的访问请求，对所述访问请求进行权限验证，若权限验证通过，则对所述访问请求放行，若权限验证未通过，则对所述访问请求进行拦截。

本说明书实施例中，访问请求可以包含数据查询、任务提交、数据流入等，在此不作具体限定。

具体地，引擎系统101配置一系列计算、存储或数据处理等引擎，比如Hadoop、Flink、Spark、Hbase，等等，在此不作具体限定。

图2为本说明书实施例提供的一种大数据平台访问方法的流程图，本方法应用于大数据平台中配置的安全网关，则本方法的执行主体为安全网关，本方法方案具体阐述如下。

步骤202：安全网关接收对引擎系统中目标引擎的访问请求。

步骤204：对所述访问请求进行权限验证。

步骤206：若权限验证通过，则对所述访问请求放行。

步骤208：若权限验证未通过，则对所述访问请求进行拦截。

在本说明书实施例中，访问请求可以来自数据研发平台、数据分析平台、数据建模平台或数据应用平台，在此不作具体限定。

访问请求的格式具体可以是报文或结构化查询语言SQL(Structured QueryLanguage)。报文(message)是网络中交换与传输的数据单元，即站点一次性要发送的数据块，报文包含了将要发送的完整的数据信息。SQL是一种特定目的编程语言，用于管理关系数据库管理系统(RDBMS)，或在关系流数据管理系统(RDSMS)中进行流处理。

访问请求携带目标引擎的标识信息，如目标引擎的接口标识，这样，安全网关可以识别要访问的目标引擎。

其中，对访问请求进行权限验证，可以包括：

对访问请求的请求方进行身份验证。

这样，身份验证结果可以作为权限验证结果。若身份验证通过，则确定权限验证通过，若身份验证未通过，则确定权限验证未通过。

身份验证具体可以是，验证访问请求的请求方的接口信息的真伪，确定请求方的接口是否被冒充。

通过在安全网关存储身份验证策略，从而能够调用该身份验证策略执行身份验证。其中，可以在安全网关配置身份验证插件，由身份验证插件运行身份验证策略。

在另一实施例中，如果身份验证通过，还可以进一步验证所述访问请求请求访问的数据是否在所述目标引擎所配置的访问权限范围内；若是，则确定权限验证通过。在本实施例中，身份验证是访问权限范围验证的前提，身份验证用来验证请求方的身份真实性，而访问权限范围用来验证请求方是否有权限访问目标引擎。

其中，验证访问请求请求访问的数据是否在所述目标引擎所配置的访问权限范围内，可以包括两层情形：

验证请求方的主体权限，也就是请求方本身是否有权限访问目标引擎；

验证请求方请求访问的数据是否在访问权限范围内。

这两者之间可以是递进关系，即前者是后者的前提。在这种情况下，访问权限范围是根据请求方主体具体设置的。

这两者也可以是并列关系。例如，目标引擎对主体权限有限定，而对数据访问范围没有限定。还可以是，目标引擎对主体权限没有限定，而对数据访问权限由限定。

在本说明书实施例中，可以请求数据流转引擎验证所述访问请求请求访问的数据是否在所述目标引擎所配置的访问权限范围内，由数据流转引擎执行验证过程。

在另一实施例中，还可以是安全网关执行验证过程，这包括：

对所述访问请求进行信息解析，以得到请求访问的数据信息；

查询所述请求访问的数据信息的元数据；

从所述元数据提取对所述目标引擎的访问权限。

元数据是描述数据的数据。具体地，元数据是指从数据资源中抽取出来的用于说明其特征、内容的结构化的数据(如题名，版本、出版数据、相关说明，包括检索点等)，用于组织、描述、检索、保存、管理信息和知识资源。

本说明书实施例提到的元数据可以是对所述引擎系统中各引擎的数据资源进行统一元数据得到的。具体地，从所有引擎所的数据资源中抽取元数据并统一存储，从而实现对多引擎的数据进行统一数据权限、数据访问控制支持。

这样，查询所述请求访问的数据信息的元数据，可以包括：

利用目标引擎的引擎标识查询所述请求访问的数据信息的元数据。

利用本说明书实施例的方案，对访问请求放行，也就是安全网关将访问请求转发给引擎系统中的目标引擎。在一种应用场景中，访问请求为存储请求，则安全网关将访问请求中携带的数据发送给目标引擎存储。在另一种应用场景中，访问请求为查询请求，则安全网关将访问请求发送给目标引擎之后，接收目标引擎返回的查询数据，将查询数据转发给请求方。

图3为本说明书实施例提供的一种大数据平台访问方法的流程图。本方法的执行主体可以是安全网关。

步骤301、303分别参考上文步骤202、204，在此不再详述。

步骤305：若权限验证通过，则对所述访问请求进行信息解析，以得到请求访问的数据信息。

步骤307：在所述请求访问的数据信息中识别预设的敏感信息；

若未识别到敏感信息，则执行步骤309：对所述访问请求放行。

若识别到敏感信息，则执行步骤311：生成针对所述敏感信息的提示信息；

执行步骤309：对携带所述提示信息的所述访问请求放行，使所述目标引擎根据所述提示信息对请求访问的数据中包含的所述敏感信息进行脱敏。

提示信息的作用是提示目标引擎对敏感信息脱敏，从而避免请求方在访问对应数据时查看到敏感信息，从而避免敏感信息泄露。

本说明书实施例所记载的敏感信息可以是隐私信息，例如用户身份信息，姓名、手机号、家庭住址等，在此不做具体限定。敏感信息还可以是涉密信息，如商业机密、技术资料或其他机密信息，在此不作具体限定。

具体地，在所述请求访问的数据信息中识别预设的敏感信息，可以包括两种可行实施例。

在一种实施例中，可以将所述请求访问的数据信息发送给风控引擎，使所述风控引擎在所述请求访问的数据信息中识别预设的敏感信息。在这种情况下，安全网关和风控引擎之间通过建立通信连接，安全网关从引擎系统调用风控引擎，实现对敏感信息的即时识别。

在另一种实施例中，利用所述请求访问的数据信息运行所述安全网关中配置的风控插件，使风控插件在所述请求访问的数据信息中识别预设的敏感信息。

在本说明书其他实施例中，参考图4所示：

步骤401：在请求访问的数据信息中识别预设的敏感信息；

如果识别到预设的敏感信息，则执行步骤403：对访问请求中的敏感信息进行脱敏处理；

步骤405：对脱敏处理的访问请求放行；

如果未识别到预设的敏感信息，则执行步骤405。

在本实施例中，安全网关可以自行主动对敏感信息进行脱敏，这样目标引擎可以根据脱敏后的数据信息排除包含敏感信息的访问数据，从而在提供给请求方的访问数据中不包含敏感信息。

其中，数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。脱敏手段包括隐藏、加密或修改。

其中，若访问请求使用SQL格式编写，则通过SQL改写敏感信息，实现匿名化。

图5为本说明书实施例提供的一种大数据平台访问方法的流程图，本方法具体包括如下步骤：

步骤501：接收对引擎系统中至少两个目标引擎的访问请求；

步骤503：对该至少两个目标引擎的访问请求分别进行解析；

步骤505：根据各访问请求解析得到的数据信息生成统一请求消息；

步骤507：对该统一请求信息识别预设的敏感信息；

如果未识别到敏感信息，则执行步骤509：对各访问请求放行。

如果识别到敏感信息，则执行步骤511：对包含敏感信息的访问请求进行脱敏；

基于脱敏后的访问请求执行步骤509。

图6为本说明书实施例提供的一种安全网关的框架结构图，安全网关具体包括：

接入层601，接收对引擎系统600的访问请求；

解析层602，对访问请求进行解析，根据访问请求的具体形式，可以包括报文解析、任务解析、SQL解析或服务解析；

执行层603，配置数据流转插件、风控插件、权限验证插件或其他插件，用于对解析的数据信息执行相应检测，并将执行通过对访问请求发送给引擎系统600。

图7为本说明书实施例提供的一种大数据平台访问装置的结构图，本装置包括：

接收模块701，接收对引擎系统中目标引擎的访问请求；

权限验证模块702，对所述访问请求进行权限验证；

放行模块703，若权限验证通过，则对所述访问请求放行；

拦截模块704，若权限验证未通过，则对所述访问请求进行拦截。

图8为本说明书实施例提供的一种大数据平台访问装置的可选实施例的结构图，本装置与图7所示实施例相比，还可以包括：

解析模块801，若权限验证通过，则对所述访问请求进行信息解析，以得到请求访问的数据信息；

识别模块802，在所述请求访问的数据信息中识别预设的敏感信息；

若未识别到预设的敏感信息，则所述放行模块803对所述访问请求放行。

图9为本说明书实施例提供的一种大数据平台访问装置的可选实施例的结构图，本装置与图8所示实施例相比，还可以包括：

生成模块901，如果识别到预设的敏感信息，则生成针对所述敏感信息的提示信息；

放行模块902，对携带所述提示信息的所述访问请求放行，使所述目标引擎根据所述提示信息对请求访问的数据中包含的所述敏感信息进行脱敏。

图10为本说明书实施例提供的一种大数据平台访问装置的可选实施例的结构图，本装置与图8所示实施例相比，还可以包括：

脱敏模块1001，如果识别到预设的敏感信息，则对所述访问请求中的所述敏感信息进行脱敏处理；

放行模块1002，对脱敏处理的所述访问请求放行。

基于同一个发明构思，本说明书实施例还提供了一种电子设备，包括：

处理器；以及

被配置成存储计算机程序的存储器，所述计算机程序在被执行时使所述处理器执行图2-图6任一实施例的方法。

基于同一发明构思，本说明书实施例中还提供了一种计算机可读存储介质，包括与电子设备结合使用计算机程序，所述计算机程序可被处理器执行以完成图1-图6任一实施例的步骤。

图11示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的CPU(Central Processing Unit，中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit，ASIC)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用ROM(Read Only Memory，只读存储器)、RAM(RandomAccessMemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信，也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

在20世纪90年代，对于一个技术的改进可以很明显地区分是硬件上的改进(例如，对二极管、晶体管、开关等电路结构的改进)还是软件上的改进(对于方法流程的改进)。然而，随着技术的发展，当今的很多方法流程的改进已经可以视为硬件电路结构的直接改进。设计人员几乎都通过将改进的方法流程编程到硬件电路中来得到相应的硬件电路结构。因此，不能说一个方法流程的改进就不能用硬件实体模块来实现。例如，可编程逻辑器件(Programmable Logic Device,PLD)(例如现场可编程门阵列(Field Programmable GateArray，FPGA))就是这样一种集成电路，其逻辑功能由用户对器件编程来确定。由设计人员自行编程来把一个数字系统“集成”在一片PLD上，而不需要请芯片制造厂商来设计和制作专用的集成电路芯片。而且，如今，取代手工地制作集成电路芯片，这种编程也多半改用“逻辑编译器(logic compiler)”软件来实现，它与程序开发撰写时所用的软件编译器相类似，而要编译之前的原始代码也得用特定的编程语言来撰写，此称之为硬件描述语言(Hardware Description Language，HDL)，而HDL也并非仅有一种，而是有许多种，如ABEL(Advanced Boolean Expression Language)、AHDL(Altera Hardware DescriptionLanguage)、Confluence、CUPL(Cornell University Programming Language)、HDCal、JHDL(Java Hardware Description Language)、Lava、Lola、MyHDL、PALASM、RHDL(RubyHardware Description Language)等，目前最普遍使用的是VHDL(Very-High-SpeedIntegrated Circuit Hardware Description Language)与Verilog。本领域技术人员也应该清楚，只需要将方法流程用上述几种硬件描述语言稍作逻辑编程并编程到集成电路中，就可以很容易得到实现该逻辑方法流程的硬件电路。

控制器可以按任何适当的方式实现，例如，控制器可以采取例如微处理器或处理器以及存储可由该(微)处理器执行的计算机可读程序代码(例如软件或固件)的计算机可读介质、逻辑门、开关、专用集成电路(Application Specific Integrated Circuit，ASIC)、可编程逻辑控制器和嵌入微控制器的形式，控制器的例子包括但不限于以下微控制器：ARC 625D、Atmel AT91SAM、Microchip PIC18F26K20以及Silicone Labs C8051F320，存储器控制器还可以被实现为存储器的控制逻辑的一部分。本领域技术人员也知道，除了以纯计算机可读程序代码方式实现控制器以外，完全可以通过将方法步骤进行逻辑编程来使得控制器以逻辑门、开关、专用集成电路、可编程逻辑控制器和嵌入微控制器等的形式来实现相同功能。因此这种控制器可以被认为是一种硬件部件，而对其内包括的用于实现各种功能的装置也可以视为硬件部件内的结构。或者甚至，可以将用于实现各种功能的装置视为既可以是实现方法的软件模块又可以是硬件部件内的结构。

上述实施例阐明的系统、装置、模块或单元，具体可以由计算机芯片或实体实现，或者由具有某种功能的产品来实现。一种典型的实现设备为计算机。具体的，计算机例如可以为个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任何设备的组合。

为了描述的方便，描述以上装置时以功能分为各种单元分别描述。当然，在实施本申请时可以把各单元的功能在同一个或多个软件和/或硬件中实现。

本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

在一个典型的配置中，计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。

内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(RAM)和/或非易失性内存等形式，如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。

计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。按照本文中的界定，计算机可读介质不包括暂存电脑可读媒体(transitory media)，如调制的数据信号和载波。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述，例如程序模块。一般地，程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请，在这些分布式计算环境中，由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中，程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于系统实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

以上所述仅为本申请的实施例而已，并不用于限制本申请。对于本领域技术人员来说，本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等，均应包含在本申请的权利要求范围之内。