安全网关器的加/解密模块动态更新系统及方法.pdf

一种安全网关器的加/解密模块动态更新系统及方法，适用于该安全网关器中，且该安全网关器如一符合IPSEC通讯协议的虚拟私有网络网关器，并连接于至少一使用端计算机系统与一网络系统之间。前述加/解密模块动态更新系统至少包括：一网络接口、一模块动态更新单元、一自定模块单元及一延伸函数库。通过该网络接口及模块动态更新单元，可让使用者轻易地单独更新或新增该网关器的延伸函数库内的加/解密码模块，而无需再连同整个核心码固件一起更新，故能节省装设时间、提升操作效率，并降低维护成本，且能提升安全网关器的加/解密码模块的可扩充性，使网络传输更安全。

1.  一种安全网关器的加/解密模块动态更新系统，且该安全网关器连接于一使用端计算机系统与一网络系统之间，其中加/解密模块动态更新系统包括：
一网络接口，在该使用端计算机系统产生至少一具有加/解密模块动态更新机制的窗口画面，以供使用者经此接口仅能上传一新版的加/解密模块至该安全网关器中；
一模块动态更新单元，依据上传该安全网关器的新版加/解密模块，动态更新一延伸函数库中相对应的现有加/解密模块或新增此上传的加/解密模块至该延伸函数库中存放；以及
该延伸函数库，用于收容加/解密模块。

2.  如权利要求1所述的加/解密模块动态更新系统，其中该安全网关器为一符合IPSEC通讯协议的虚拟私有网络网关器。

3.  如权利要求1所述的加/解密模块动态更新系统，其中该安全网关器至少具有一工作函数库、一核心作业程序，以及一工作排程单元，其中模块动态更新单元即位于该工作函数库中。

4.  如权利要求1所述的加/解密模块动态更新系统，其中该网络接口的窗口画面的加/解密模块动态更新机制还包括一机制，可提供更新该安全网关器中现有的加/解密模块。

5.  如权利要求4所述的加/解密模块动态更新系统，其中该网络接口的窗口画面的加/解密模块动态更新机制还包括另一机制，可提供新增一组自定的加/解密模块至该安全网关器中存放。

6.  如权利要求5所述的加/解密模块动态更新系统，进一步包括一自定模块单元，与网络接口的自定加/解密模块机制相连接，由此产生一所属窗口画面，供使用者依此画面指示填入欲自定的加/解密模块的描述结构。

7.  如权利要求6所述的加/解密模块动态更新系统，其中自定加/解密模块的描述结构至少包括：算法形态、算法识别码、数据加密区块大小、金钥长度大小及加/解密执行函数，其中该加/解密执行函数的参数进一步包括数据区块地址、数据区块大小、金钥内容、金钥长度、初始向量、加解密标记等。

8.  如权利要求1所述的加/解密模块动态更新系统，其中该模块动态更新单元，依据此新版加/解密模块的类型，选择动态更新一延伸函数库中相对应的现有加/解密模块或新增此上传的加/解密模块至该延伸函数库中存放。

9.  如权利要求2所述的加/解密模块动态更新系统，进一步具有一延伸函数库接口，辅助该延伸函数库分别与该工作函数库、核心作业程序作数据沟通。

10.  如权利要求1所述的加/解密模块动态更新系统，进一步具有一组态设定单元，为一种系统文件，用于设定符合IPSEC通讯协议的执行流程，故当一加/解密模块进行更新或新增后，其现有的网络金钥交换的金钥交换程序也会接着更新。

11.  一种安全网关器的加/解密模块动态更新方法，且该安全网关器连接于一使用端计算机系统与一网络系统之间，其中加/解密模块动态更新方法包括：
自该使用端计算机系统经此网络系统下载一新版的加/解密模块至该使用端计算机系统中；
激活该安全网关器的一网络接口，以在该使用端计算机系统上产生至少一具有加/解密模块动态更新机制的窗口画面；
自该网络接口提供的窗口画面中，选择要上传的新版加/解密模块；
将所选的新版加/解密模块上传至该安全网关器中；
使安全网关器的一模块动态更新单元依据该上传的加/解密模块的类型，动态更新一延伸函数库中相对应的现有加/解密模块或新增此上传的加/解密模块至该延伸函数库中存放；以及
更新安全网关器的网络金钥交换协议的金钥交换流程；

12.  如权利要求11所述的加/解密模块动态更新方法，其中该网络接口的窗口画面的加/解密模块动态更新机制还包括一机制，可提供使用者更新该安全网关器中现有的加/解密模块。

13.  如权利要求12所述的加/解密模块动态更新方法，其中该网络接口的窗口画面的加/解密模块动态更新机制还包括另一机制，可提供使用者新增一组自定的加/解密模块至该安全网关器中存放。

14.  如权利要求13所述的加/解密模块动态更新方法，进一步包括：当自定的加/解密模块机制被激活时，会产生一窗口画面供使用者依此画面指示填入欲自定的加/解密模块的描述结构。

15.  如权利要求14所述的加/解密模块动态更新方法，其中自定加/解密模块的描述结构至少包括：算法形态、算法识别码、数据加密区块大小、金钥长度大小及加/解密执行函数，其中该加/解密执行函数的参数进一步包括数据区块地址、数据区块大小、金钥内容、金钥长度、初始向量、加解密标记等。

16.  如权利要求11所述的加/解密模块动态更新方法，进一步包括：使该安全网关器执行更新过后的金钥交换流程。

17.  一种安全网关器的网络金钥交换协议的金钥交换流程，包括：
(a)初始化该安全网关器的现有IPSEC协议的安全参数索引；
(b)进行网络金钥交换形态1；
(c)当未在该安全网关器的工作函数库中发现一适当的加/解密模块时，进一步自该安全网关器的一延伸函数库中取用至少一适当的加/解密模块；
(d)进行网络金钥交换形态2；
(e)重复步骤(c)的相同动作；
(f)完成网络金钥交换形态1及2的金钥交换流程；以及
(g)通知该安全网关器的网络核心进行更新现有IPSEC协议的安全参数索引。

安全网关器的加/解密模块动态更新系统及方法
技术领域
本发明涉及一种加/解密模块更新系统及方法，特别是一种可运用于安全网关器的加/解密模块动态更新系统及方法。
背景技术
目前市面上最热门的安全网关器是一种称为虚拟私有网络网关器(VirtualPrivate Network Gateway，VPN Gateway)，其中所谓的虚拟私有网络是供使用者可在全球任何一远程地点进入公众网络环境如网际网络(Internet)或异步传输(ATM)网络，但就使用环境上如同是进入公司内部的局域网络如Intranet或Extranet一样，故能同时兼顾公众网络的便利性及内部网络的安全性。正因为如此，利用此类虚拟私有网络，经授权的远程使用者可通过连接网际网络与其它使用者、公司、分支机构、经销商、客户群建立专属的连接信道，以传递彼此之间重要的信息。如本发明图1，即显示一种常见的虚拟私有网络结构，其中数个分散于远程的使用端计算机系统10，30及40(可位于一局域网络中)利用各自配置的虚拟私有网络网关器104，304，404经过一网际网络50建立起VPN信道602，以彼此传送重要的数据。当其中任一远程的使用端计算机系统10，30及40欲自外部进入公司内部计算机系统如一服务器计算机系统20时，同样可利用各自所属的虚拟私有网络网关器104，304，404建立VPN信道以进行远程数据存取(Remote Data Access)。
上述虚拟私有网络(VPN)的原理是利用一种信道技术(Tunneling)，其采用常见的IPSEC、PPTP、L2TP等三种通讯协议其中之一，在公众网络如网际网络中构筑出一条如同使用在内部网络环境中的安全信道，并以包装形式(Encapsulation)保护使用端传送的私密数据的数据封包(Packet)，防止在传送数据予接收端的过程中遭外人如骇客入侵窃取，同时该私密数据的传送还可配合其它机制如安全认证、身分辨识(ID Authentication)或加/解密机制(Decryption/Encryption)等，故使该VPN网关器地功能更趋于多样化、安全性高及完整。
上述虚拟私有网络的加/解密机制大多以下两种编码型式：一种为对称式的密钥编码(Secret key cryptography)；以及另一种非对称式的公钥编码(Publickey cryptography)。例如在前述IPSEC通讯协议中，即使用一种网络金钥交换(Internet key exchange，IKE)协议，其包括在网络金钥交换型态1及2(IKEPhases 1&2)过程中，产生一公钥保护一密钥传给该接收端，以使该接收端使用该密钥解开随后传来的加密数据。该网络金钥交换(IKE)协议的用途在于建立、认证及交换一安全参数索引(Security Association，SA)，以辨识数据双方的身份、沟通要共享的加/解密算法、以及彼此产生、交换、和建立金钥。关于建立虚拟私有网络(VPN)的金钥长度、加/解密演算形态、及加/解密执行函数等描述结构皆记录在每一台VPN网关器的一加/解密模块中。
虽然目前大部份VPN网关器制造厂商多有提供各自设计并符合行业标准的加/解密模块，如符合前述IPSEC通讯协议的加/解密模块。然而，为考虑到整体系统的安全性、稳定性、执行效率、以及互通性问题，此类加/解密模块的更新机制往往与整个VPN网关器的核心码固件(kernel firmware)的更新机制结合在一起，也就是当只有加/解密模块需要改版或更新时，仍然必须先将整个核心码固件一起更新。目前已知的更新方式如本发明图3所示，首先进行步骤S200，即一使用端计算机系统(如图1所示编码10)经过其网络浏览器(Browser)、网际网络联机至VPN网关器厂商的服务器端计算机系统的网站(如图1所示编码20)；步骤S210，开始下载整个新的核心码固件至该使用端计算机系统的储存装置(如图1所示编码102)中；然后步骤220及S230，再通过VPN网关器104′本身的使用者接口(GUI)114′(见图2)上传该新的核心码固件至网关器104′中；步骤S240，利用VPN网关器104′的工作函数库124′中的核心更新模块126′(见图2)以新的核心码固件开始更新其核心作业程序134′；接着步骤S250，在核心更新模块126′更新核心码固件的过程中，包括在工作函数库124′中更新其加/解密模块128′(见图2)；之后如步骤S260，重新激活(Rebooting)VPN网关器104′，即可达到步骤S270所示，完成新的加/解密模块的更新工作。
所以，上述公知技术具有下列数个缺点：
(1)虽然每个加/解密码模块只是占整个VPN网关器中极小部分的程序代码之一，但对VPN网关器而言，该加/解密码模块所提供的安全性功能极为重要，不能缺少；可是每一VPN网关器厂商所提供的加/解密码模块又未必能涵盖或满足所有使用者的需求。就目前公知的做法，一台VPN网关器出厂时的原始组态设定即是将加/解密模块永久固定放置于VPN网关器的工作函数库(Current Library)中，因此使用者如果要使用到不同的加/解密模块，势必每次要将整个机器的核心码固件一起下载更新，且如此一来厂商为了根据使用上的各种可能性需求，就必须准备包含各种不同组合版本的加/解密模块的核心码固件，如此不但下载费时、没有效率且欠缺弹性，也容易发生错误；对厂商维护产品的版本而言，成本也过高。
(2)公知技术欠缺目前所需要的一种功能，即VPN产品的使用者可依其需要自行开发及装设属于他们自己的加/解密模块，而非一定要使用行业的标准模块或厂商提供的标准模块。所以，如果该VPN网关器产品可以提供方法，让使用者自行更新或新增加/解密模块，如此弹性的设计可以说是大大地增加了潜在的客户群，且也可大幅提升VPN网关器对加/解密码模块的扩充性。
发明内容
为解决上述公知技术的缺点，本发明的一主要目的在于提供一种安全网关器的加/解密模块动态更新系统及方法，通过一模块动态更新单元，可让该网关器的使用者每次仅需单纯地更新该网关器的延伸函数库(Extended library)中的加/解密码模块，而无需再连同整个核心码固件一起更新，由此能节省装设时间、提升操作效率，并降低维护成本。
其次，本发明的另一目的在于提供一种安全网关器的加/解密模块动态更新系统及方法，通过一自定模块单元及一模块动态更新单元，方便让该网关器的使用者自定所需的加/解密码模块，并将新增的自定加/解密模块置于一延伸函数库(Extended library)中，方便供日后修改更新，由此提升安全网关器的加/解密码模块的可扩充性，使网络传输更安全。
本发明的再一目的在于提供一种安全网关器的加/解密模块动态更新系统及方法，通过一网络接口(Web GUI)，方便该安全网关器的使用者在窗口(Window)上轻易选择所需要的加/解密码模块，以将新增或更新的密码模块置于延伸函数库(Extended library)中，故能兼顾操作的方便性及系统运行的效率。
为达到上述发明目的，依据本发明的一种安全网关器的加/解密模块动态更新系统，装设于该安全网关器中，且该安全网关器如一符合IPSEC通讯协议的虚拟私有网络网关器，其具有一工作函数库、一核心作业程序(Kernel)，以及一工作排程单元，并连接于至少一使用端计算机系统与一网络系统之间。
上述加/解密模块动态更新系统包括：一网络接口、一模块动态更新单元、一自定模块单元、一延伸函数库、一延伸函数库接口及一组态设定单元。其中该网络接口，可在该使用端计算机系统产生至少一具有加/解密模块动态更新机制的窗口画面，以供使用者经此接口依需要选择性上传一新版的加/解密模块至该安全网关器中。该模块动态更新单元，设于该工作函数库中，其依据上传至该安全网关器的新版加/解密模块的形态，动态更新一延伸函数库中相对应的现有加/解密模块或新增此上传的加/解密模块至该延伸函数库中存放。该延伸函数库，用于收容前述加/解密模块。该延伸函数库接口，辅助前述该延伸函数库分别与该工作函数库、核心作业程序作数据沟通。以及该组态设定单元，为一种系统文件，用于设定符合IPSEC通讯协议的执行流程，故当一加/解密模块进行更新或新增后，其现有的网络金钥交换(IKE)的金钥交换流程也会接着更新。
此外，依据本发明的一种安全网关器的加/解密模块动态更新系统，适用于该安全网关器中，且该安全网关器连接于至少一使用端计算机系统与一网络系统之间，上述加/解密模块动态更新方法至少包括：
自该使用端计算机系统的网络浏览器经此网络系统联机至网关器厂商的网站，以下载一新版的加/解密模块的程序代码至该使用端计算机系统中；
激活该安全网关器的一网络接口，以在该使用端计算机系统上产生至少一具有加/解密模块动态更新机制的窗口画面；
自该网络接口提供的窗口画面中，选择要上传的新版加/解密模块如增加一自定的加/解密模块；
将所选的新版加/解密模块上传至该安全网关器中；
使安全网关器的一模块动态更新单元依据该上传的加/解密模块的类型，动态更新一延伸函数库中相对应的现有加/解密模块或新增此上传的加/解密模块至该延伸函数库中存放；
更新安全网关器的网络金钥交换(IKE)协议的金钥交换流程；以及
使该安全网关器重新开机以执行更新过后的金钥交换流程。
一种安全网关器的网络金钥交换(IKE)协议的金钥交换流程，包括：
(a)初始化该安全网关器的现有IPSEC协议的安全参数索引(SA)；
(b)进行网络金钥交换形态1(IKE Phase 1)；
(c)当未在该安全网关器的工作函数库中发现一适当的加/解密模块时，进一步自该安全网关器的一延伸函数库中取用至少一适当的加/解密模块；
(d)进行网络金钥交换形态2(IKE Phase 2)；
(e)重复前述步骤(c)的相同动作；
(f)完成网络金钥交换型态1及2的金钥交换流程；以及
(g)通知该安全网关器的网络核心(kernel)进行更新现有IPSEC协议的安全参数索引(SA)。
为使本发明的上述目的、特征和优点能更明显易懂，特举实施例，并配合附图，详细说明如下。
附图说明
图1为显示依据本发明较佳实施例的一种安全网关器运用于网络系统上的结构示意图；
图2为显示一具有加/解密模块的公知安全网关器结构示意图；
图3为显示依据上述图2的公知安全网关器的加/解密模块的更新流程图；
图4为显示依据本发明较佳实施例的安全网关器的加/解密模块动态更新系统的结构示意图；
图5为显示依据本发明实施例的安全网关器的加/解密模块动态更新方法的流程图；以及
图6为显示依据本发明实施例的安全网关器的网络金钥交换(IKE)协议的金钥交换流程的流程图。
其中，附图标记说明如下：
10，30，40使用端计算机系统        20服务器端计算机系统
50网络系统                        102储存系统
104，304，404，104′安全网关器    110加/解密模块动态更新系统
114，114′网络接口                124工作函数库
126模块动态更新单元                 128自定模块单元
134，124′延伸函数库                144延伸函数库接口
154组态设定单元                     164，134′核心作业程序
134延伸函数库                       144延伸函数库接口
174，144′工作排程                  602虚拟私有网络信道
126′核心更新模块                   128′加/解密模块
S200，S210，S220，S230，S240，S250，S260，S270，S300，S302，S304，S306，S308，S310，S312，S314，S316，S317，S318，S320，S400，S410，S420，S422，S430，S440，S450，S455，S460，S462，S470，S480为操作步骤
具体实施方式
首先请见图4，为依据本发明的较佳实施例的一种安全网关器的加/解密模块动态更新系统110，其装设于一网络安全网关器104中，且该安全网关器104如图1所示，为一连接网际网络50的虚拟私有网络网关器(VPN Gateway)，其符合IPSEC通讯协议，以供一使用端计算机系统10建立一虚拟私有网络信道来安全传递私密数据予其它使用端计算机系统30及40。此外，该安全网关器104至少具有一工作函数库(Current Library)124，其内可设置有一固定(default)的加/解密模块A、一核心作业程序(Kernel)164为该安全网关器104的操作系统，以及一工作排程单元(Daemon)174，用于依序安排整个网关器需要处理的工作如储存数据、发送数据、更新加/解密模块等。
上述加/解密模块动态更新系统110至少包括：一网络接口114、一模块动态更新单元126、一自定模块单元128、一延伸函数库134、一延伸函数库接口144及一组态设定单元154。其中该网络接口114，在该使用端计算机系统10上产生至少一具有多个加/解密模块动态更新机制的窗口画面，以方便使用者轻易操作或设定该安全网关器104，如其中一机制，提供更新该安全网关器104中现有的加/解密模块，或如另一机制，提供使用者可以额外新增一组自定的加/解密模块至该安全网关器104中存放。当然，使用者在激活该网络接口114以进行安全网关器104的加/解密模块更新前，一样必须先经网际网络联机至该安全网关器厂商的网站(如图1所示编码20)，但仅需下载一新的加/解密模块的程序代码至该使用端计算机系统中即可，故不同于公知技术需要每次下载全部核心码固件。
该模块动态更新单元126装设于该安全网关器104的工作函数库(CurrentLibrary)124中，并依据使用者自前述网络接口114上传的一加/解密模块类型，动态更新或新增此加/解密模块至该延伸函数库134中存放。所以，该延伸函数库134中可以同时放置数组加/解密模块，如一组更新版的加/解密模块B及另一组自定的加/解密模块C。
该自定模块单元128装设于该安全网关器104的工作函数库(CurrentLibrary)124中，并与前述该网络接口114的具自定加/解密模块机制相连接，由此产生该自定模块单元128的所属窗口画面(未显示)，以方便使用者依据此画面指示，依序填入欲自定的加/解密模块的描述结构于该窗口的空白字段内。这些描述结构包括算法形态、算法识别码、数据加密区块大小、金钥长度大小、加/解密执行函数。其中该加/解密执行函数的参数进一步包括数据区块地址、数据区块大小、金钥内容、金钥长度、初始向量、加解密标记等。
当该自定模块单元128完成自定的加/解密模块C时，必须同样通过前述网络接口114上传自定的加/解密模块C，以供该模块动态更新单元126新增此自定的加/解密模块C至该延伸函数库134中存放。其中该延伸函数库接口144，用于辅助前述该延伸函数库分别与该安全网关器104的工作函数库124、核心作业程序164作数据沟通。
该组态设定单元154，如一种系统文件，用于设定符合IPSEC通讯协议的执行流程，故当一加/解密模块进行更新或新增后，其现有的网络金钥交换(Internet key exchange，IKE)协议的金钥交换程序也会接着更新成如下步骤：(1)在每一网络金钥交换形态1或2(IKE Phase 1 or 2)中皆先判断该工作函数库124是否具有固定(Default)的加/解密模块；(2)如无，则再进一步判断该延伸函数库134中是否具有任何新增或更新的加/解密模块，直到选择出一组加/解密模块的金钥进行交换；以及(3)当该网络金钥交换形态(IKE)完成所有的金钥交换流程之后，接着通知网络核心(kernel)164进行现有IPSEC协议的安全参数索引(SA)更新。
此外，请见图5为依据本发明的较佳实施例的一种安全网关器的加/解密模块动态更新方法，其步骤包括：
首先进行步骤S300，自一使用端计算机系统(如图1所示编码10)的网络浏览器(Browser)经过网际网络联机至安全网关器厂商所属服务器端计算机系统的网站(如图1所示编码20)；
步骤S302，开始下载新版的加/解密模块至该使用端计算机系统的储存装置(如图1所示编码102)中；
步骤S304，激活安全网关器104的网络接口(GUI)114；
步骤S306，自该网络接口(GUI)114所提供的窗口画面中选择要上传的加/解密模块。若选择自定加/解密模块C，则进行步骤S308，即激活一自定模块单元128的窗口画面，以供使用者开始依该画面指示输入此自定加/解密模块的描述结构，包括如算法形态、算法识别码、数据加密区块大小、金钥长度大小、加/解密执行函数，其中该加/解密执行函数的参数进一步包括数据区块地址、数据区块大小、金钥内容、金钥长度、初始向量、加解密标记等。待确认其输入的自定加/解密模块C的参数无误后，进行步骤S310，即上传此新增的加/解密模块C至安全网关器104中；反之，若选择前述步骤S304的更新版加/解密模块B，则在步骤S310中会直接上传此更新版的加/解密模块B至安全网关器104中；
步骤S312，使安全网关器104的模块动态更新单元126判断该上传的加/解密模块为更新的加/解密模块或为新增的自定加/解密模块。若判断结果为更新的加/解密模块，则进行步骤S316，对延伸函数库134中相对应的先前版加/解密模块进行更新；反之，若判断结果为自定的加/解密模块，则进行步骤S314，即将此自定的加/解密模块放置于该延伸函数库134中；
接着步骤S317，更新安全网关器104的组态设定单元154中有关网络金钥交换(IKE)协议的金钥交换流程(待后详述)；
接着步骤S318，重新激活(Rebooting)此安全网关器104，使该安全网关器104执行更新过后的金钥交换流程；以及
最后即步骤S320所示，即完成加/解密模块的更新工作。
请进一步见图6，依据图5步骤S318的一经更新过后的网络金钥交换(IKE)协议的金钥交换流程方法，其运用于一接收端及一发出端(如图1所示的使用端计算机系统10及30)之间有关私密数据传送的先期沟通，其步骤包括：
步骤S400，安全网关器104的现有IPSEC安全参数索引(IPSEC SA)进行初始化；
步骤S410，进行网络金钥交换形态1(IKE Phase 1)；
步骤S420，判断该工作函数库124中是否存在一适当加/解密模块，如一固定(Default)的加/解密模块。如果是，则进行步骤S430，即选用该固定的加/解密模块的金钥及运算逻辑来与对方如接收端沟通；反之，若在工作函数库124未发现任何一组可被接受的加/解密模块时，则进行步骤S422，即进一步判断该延伸函数库134中是否存在一组适当加/解密模块，如一新增或更新的加/解密模块。如果是，则进行步骤S430，即选用该新增或更新的加/解密模块来与对方如接收端沟通；
接着步骤S440，进行网络金钥交换形态2(IKE Phase 2)；
步骤S450、S455及S460分别重复前述步骤S420、S422至S430的相同操作。倘若在步骤S422或S455中未发现任何适当的加/解密模块，则进行至步骤S462，即系统产生一错误信息；
最后步骤S470，完成该网络金钥交换型态1及2的所有的金钥交换流程；以及
接着步骤S480，通知该安全网关器104的网络核心(kernel)164以更新现有IPSEC协议的安全参数索引(SA)。
基于前述，可知依据本发明的安全网关器的加/解密模块动态更新系统及方法，通过一模块动态更新单元，使该网关器的使用者每次仅需单纯地更新或新增该网关器的延伸函数库的加/解密码模块，而无需再同如公知技术将整个核心码固件一起更新，故能节省装设时间、提升操作效率，并降低厂商维护产品的成本。此外，依据本发明的自定模块单元及接口(GUI)，可方便让使用者自定所需的加/解密码模块，由此可提升安全网关器的加/解密码模块的可扩充性。
虽然本发明已以较佳实施例揭示如上，然其并非用以限定本发明，任何熟悉此项技术人员，在不脱离本发明的精神和范围内，所做些许更动与润饰，均应属于本发明专利权利要求书所要求保护的范围内。