本發(fā)明屬于android系統(tǒng)訪問控制領域,特別涉及一種支持android運行時權限機制的第三方應用間通信訪問控制方法。
背景技術:
android是目前市場占有率最高的開源移動平臺操作系統(tǒng),系統(tǒng)采用了軟件疊層架構,由定制的linux內(nèi)核層、中間件層及應用層組成。其中,中間件層提供了大量的系統(tǒng)服務,例如該層中的activitymanager組件包含了對應用間通信進行強制訪問控制的功能。
android系統(tǒng)通過沙箱機制隔離各應用的運行環(huán)境(簽名相同的應用將運行于同一沙箱內(nèi),共享其中的資源與權限);同時,android權限機制利用由其定義的權限標簽以及強制訪問控制機制,控制應用對沙箱外資源的訪問過程。當應用請求訪問沙箱外的資源(包括系統(tǒng)api、其他應用等)時,android權限機制將根據(jù)被訪問者所設定的訪問權限限制要求,對該應用所擁有的權限進行檢查,從而對該訪問進行控制。
android系統(tǒng)將其定義的權限分為普通級(normal),危險級(dangerous),簽名級(signature)和系統(tǒng)/簽名級(signatureorsystem)。其中,普通權限與危險權限是第三方應用普遍使用的權限類別,而危險權限則進一步根據(jù)其功能相關性被分為若干組。由于危險權限涉及通話、短信等敏感服務,更易造成用戶損失,成為了各類基于權限的保護技術的關注重點。此外,從android6.0marshmallow(apilevel23)開始,android系統(tǒng)引入了運行時權限機制。應用在安裝時,其在manifest.xml文件中所聲明的危險權限不會被立即授予,而是在應用運行時發(fā)出權限請求,由用戶以權限組為單位自行決定是否授予。即當用戶根據(jù)應用請求授予其某一危險權限時,系統(tǒng)將自動賦予該應用在manifest.xml文件中聲明的其它同組權限。另外,在系統(tǒng)運行時,用戶可以隨時以組為單位對應用的危險權限進行授予或撤銷操作。
android系統(tǒng)為應用提供了組件間通訊機制(inter-componentcommunitation,icc),為不同應用間的通信與功能重用提供了極大的便利,然而android權限機制由于依賴開發(fā)者自主制定的應用訪問限制策略來實現(xiàn)對應用間通信的控制,因此留下了巨大的安全隱患:一個未被授予相關權限的惡意程序可以通過icc通信調用其它具有相關權限的應用的未受保護的接口,利用后者非法使用相關服務及數(shù)據(jù),從而實現(xiàn)一類特定的權限提升攻擊:混淆代理人攻擊。在android市場中,由于第三方應用的開發(fā)者往往缺乏相應的安全意識,未對其應用設置適當?shù)脑L問策略,因而十分容易成為混淆代理人攻擊的對象。
技術實現(xiàn)要素:
本發(fā)明提出了一種支持android運行時權限機制的第三方應用間通信訪問控制方法,其目的在于,通過增加對通信請求雙方間的訪問控制關系進行合法性計算,依據(jù)合法性計算結果對通信請求進行管理控制,從而避免android系統(tǒng)中發(fā)生的混淆代理人攻擊的問題。
一種支持android運行時權限機制的第三方應用間通信訪問控制方法,其特征在于,首先,通過在android系統(tǒng)中間件層擴展pms服務和擴展activitymanager中的icc監(jiān)控器;其次,構建應用危險權限編碼映射表、訪問控制決策管理器及由其動態(tài)維護的訪問控制信息庫;接著,訪問控制決策管理器實時查詢訪問控制信息庫中通信請求中雙方應用的運行權限,同時更新訪問控制信息庫,拒絕不具有客體應用危險權限的第三方應用所發(fā)起的通信請求,實現(xiàn)對android第三方應用間通信的訪問控制;
所述擴展pms服務是指增加將應用程序最新的危險權限信息與應用uid打包發(fā)送至控制決策管理器的過程語句;所述擴展icc監(jiān)控器是指對checkcomponentpermission()方法增加將通信雙方的應用uid打包發(fā)送至控制決策管理器,并依據(jù)控制決策管理器的決策結果,返回是否允許本次通信;
所述訪問控制信息庫包括訪問控制關系圖和應用危險權限狀態(tài)字集,其中,所述訪問控制關系圖用于記錄應用間的合法通信關系的有向圖,由鄰接矩陣與十字鏈表構成,所述鄰接矩陣記錄應用間訪問控制關系的合法性計算結果,所述十字鏈表記錄應用間的訪問控制關系;
所述應用危險權限狀態(tài)字集為short數(shù)組,其中第i個數(shù)是uid為10000+i的應用的危險權限狀態(tài)字;
pms為packagemanagerservices,icc為應用間組件間通信,uid為標識符;
所述危險權限編碼映射表是指對具有危險權限的應用進行映射編碼;
所述訪問控制決策管理器包括應用權限信息管理模塊和icc通信處理模塊,
應用權限信息管理模塊通過接收來自擴展的pms服務的消息,對訪問控制信息庫進行實時維護;icc通信處理模塊同時通過擴展的icc通信監(jiān)控器實時監(jiān)控android系統(tǒng)中發(fā)起的icc通信。
所述危險權限編碼映射表為hash表結構。提供了將危險權限字符串映射為一個特定整數(shù)編號的查詢功能。其中,屬于同一個group的權限將被分配至同一個狀態(tài)字位號。
進一步地,在系統(tǒng)初次啟動時,對訪問控制信息庫進行初始化,過程如下:
首先,應用權限信息管理模塊在系統(tǒng)啟動時檢查訪問控制信息庫是否已經(jīng)初始化,并返回結果;
若訪問控制信息庫尚未初始化,應用權限信息管理模塊將掃描系統(tǒng)中所有應用的信息,并根據(jù)信息更新訪問控制信息庫中的應用危險權限狀態(tài)字集,同時將訪問控制關系圖進行初始化,十字鏈表初始化為空,并將鄰接矩陣初始化為合法性未計算狀態(tài)。
進一步地,所述訪問控制決策管理器實時查詢訪問控制信息庫中通信請求中雙方應用的運行權限,同時更新訪問控制信息庫的過程如下:
首先,依據(jù)發(fā)起通信請求的應用方查詢鄰接矩陣中通信請求雙方的訪問控制關系是否合法,返回查詢結果;
若所查詢的訪問控制關系合法性尚未計算,則依據(jù)危險權限比較方法計算通信請求雙方的訪問控制關系的合法性,將合法性計算結果返回,并更新鄰接矩陣,且在十字鏈表中增加通信請求雙方間的訪問控制關系節(jié)點。
進一步地,應用權限信息管理模塊對訪問控制信息庫的維護過程如下:
1.1)在系統(tǒng)開機時對訪問控制信息庫進行檢查,若訪問控制信息庫尚未初始化,則調用擴展的pms服務掃描應用信息,通過查詢危險權限編碼映射表將已安裝應用的危險權限狀態(tài)寫入訪問控制信息庫中的應用危險權限狀態(tài)字集中,并將訪問控制關系圖初始化;
1.2)當接收到擴展的pms服務傳來的應用安裝的消息時,獲取待安裝應用的所有權限更新引用危險權限狀態(tài)字集。
進一步地,icc通信處理模塊對通信請求進行監(jiān)測過程如下:
2.1)當接收到來自擴展的icc通信管理機制的消息時,調用擴展后的pms服務,對存放通信雙方應用的mpackage進行掃描,實時獲取雙方應用的flag及uid,依據(jù)flag和uid判斷當前應用中存在非第三方應用,則不對此次通信實施訪問限制,否則,進入步驟2.2);.
2.2)查詢訪問控制信息庫,對鄰接矩陣對應的兩應用間的訪問控制關系進行查找,若其值為1,則認為訪問合法,不對本次訪問進行限制,若值為0,則認為本次訪問不合法,通知icc通信監(jiān)控器拒絕本次訪問,若值為-1或發(fā)生arrayindexoutofboundexception異常,則轉入步驟2.3);
2.3)利用危險權限比較方法判斷訪問主體應用所擁有的危險權限集合是否完全包含訪問客體的危險權限集合,若結果為true則允許本次訪問,若結果為false則拒絕本次訪問,并根據(jù)計算結果更新訪問控制關系圖。
進一步地,所述危險權限比較方法的具體過程如下:
3.1)對icc通信發(fā)起者應用a的危險權限狀態(tài)字與icc通信接受者應用b的危險權限狀態(tài)字進行位或運算,將所得的結果與a的危險權限狀態(tài)字進行比較;
3.2)若步驟3.1)所得的結果為兩者相等,則認為通信合法,返回true;否則,通信不合法,返回false。
所述危險權限以group的形式進行操作。在android系統(tǒng)中被劃分為同組的危險權限在本方法中被視為同一權限進行操作。
采用危險權限狀態(tài)字能夠加快訪問合法性的計算速度;
用十字鏈表+鄰接矩陣來記錄訪問控制關系而不是直接采用十字鏈表,提高了鄰接矩陣更新時的速度(通過查詢十字鏈表避免了更新鄰接矩陣的整行、整列);
當android系統(tǒng)中的應用進行以下操作時,訪問控制決策管理器進行如下控制:
當應用安裝時:
首先,對鄰接矩陣中的應用對應所在的行列進行初始化,將行列上的所有項重新置為未計算的狀態(tài);接著,掃描該應用所擁有的所有權限,更新應用危險權限狀態(tài)字;
當應用卸載時:
首先,查找訪問控制信息庫中的十字鏈表里該應用的對應行鏈表與列鏈表中的所有節(jié)點,對鄰接矩陣中與十字鏈表中節(jié)點對應的項進行初始化,并刪除十字鏈表中的與該應用有關的節(jié)點;接著,對該應用的危險權限狀態(tài)字進行清零處理;
當應用權限增加時:
首先,在十字鏈表結構查找所有已記錄的與該應用發(fā)生過icc通信請求的應用;
接著,根據(jù)在十字鏈表中查詢到的所有結果,查找鄰接矩陣中的對應位置的儲存數(shù)據(jù);
最后,對于查找到的存儲數(shù)據(jù)中所有先前由該應用發(fā)起的不合法的訪問所對應的訪問控制關系,及所有先前以該應用為訪問客體的合法的對應訪問控制關系,采用危險權限比較方法,對查找到的訪問控制關系的合法性進行重新計算并更新鄰接矩陣,同時更新應用危險權限狀態(tài)字;
當應用權限撤銷時:
首先,在十字鏈表結構查找所有已記錄的與該應用發(fā)生過icc通信請求的應用;
接著,根據(jù)在十字鏈表中查詢到的所有結果,查找鄰接矩陣中的對應位置的儲存數(shù)據(jù);
最后,對于所有查找到的先前合法的、由該應用發(fā)起的訪問所對應的訪問控制關系,及所有先前不合法的、以該應用為訪問客體的對應訪問控制關系,通過危險權限比較方法對查找到的訪問控制關系的合法性進行重新計算并更新鄰接矩陣,同時更新應用危險權限狀態(tài)字。
有益效果
本發(fā)明提供了一種支持android運行時權限機制的第三方應用間通信訪問控制方法,該方法根據(jù)通信雙方的所具有的危險權限組對android第三方應用間的通信進行訪問控制,從而防范企圖利用第三方應用危險權限的混淆代理人攻擊,為第三方應用及其相應危險權限提供保護,其優(yōu)點主要體現(xiàn)在以下幾個方面:
1)通過基于訪問者與被訪問者的實時權限進行訪問控制的規(guī)則,實現(xiàn)了在權限動態(tài)變更條件下的訪問控制,避免了因權限變化而導致的權限漏洞與權限傳遞;
2)以組的形式對危險權限進行比較的方法符合用戶的意圖與android權限系統(tǒng)的規(guī)則設計,可以有效降低訪問控制的誤報率;
3)通過嚴格限制應用間通信的權限要求,阻止惡意應用通過將存在漏洞的第三方應用作為混淆代理人從而獲取其所沒有的權限,降低應用間訪問導致混淆代理人攻擊的可能性,從而提高系統(tǒng)的安全性;
4)實現(xiàn)了android6.0以上版本系統(tǒng)動態(tài)權限技術下對權限的實時監(jiān)控及訪問控制關系的動態(tài)更新;
5)通過運用鄰接矩陣與十字鏈表對圖結構進行存儲,并利用已知的權限信息減少權限更新時的重復計算量,使得訪問控制關系圖的讀取、更新的時間復雜度分別降至o(1)與o(m),運行效率大幅提高。
附圖說明
圖1是本發(fā)明所述方法的流程示意圖;
圖2是本發(fā)明中擴展pms服務的主要工作流程示意圖;
圖3是本發(fā)明中訪問控制決策管理器的主要工作流程示意圖。
具體實施方式
以下將結合附圖和實例對本發(fā)明做進一步的說明。
如圖1所示,一種支持android運行時權限機制的第三方應用間通信訪問控制方法,首先,在android系統(tǒng)中間件層擴展packagemanagerservices(pms)服務并擴展activitymanager中的應用間組件間通信(icc)監(jiān)控器,其次,構建應用危險權限編碼映射表、訪問控制決策管理器及由其動態(tài)維護的訪問控制信息庫,此后,訪問控制決策管理器將實時查詢訪問控制信息庫中已保存的計算結果或進一步比較通信雙方運行時權限的方式,拒絕不具有客體應用危險權限的第三方應用所發(fā)起的通信請求,實現(xiàn)對android第三方應用間通信的訪問控制。
所述擴展pms服務是指在若干個系統(tǒng)用于處理應用安裝、刪除及權限變化的函數(shù)中分別增加將應用程序最新的危險權限信息與應用uid打包發(fā)送至控制決策管理器的過程語句,在本例中修改的系統(tǒng)函數(shù)為installnewpackageli()、removepackagelpw()、grantruntimepermission()、revokeruntimepermission()。所述擴展icc監(jiān)控器是指對checkcomponentpermission()方法增加將通信雙方的應用uid打包發(fā)送至控制決策管理器、并依據(jù)控制決策管理器的決策結果,返回是否允許本次通信的過程語句。
如圖2所示,所述訪問控制信息庫中包括訪問控制關系圖、應用危險權限狀態(tài)字集。其中,所述訪問控制關系圖用于記錄應用間的合法通信關系的有向圖,由二維數(shù)組與十字鏈表構成,所述鄰接矩陣用于記錄應用間訪問控制關系的合法性計算結果,十字鏈表用于標記應用與應用間的訪問關系是否被計算過。所述應用危險權限狀態(tài)字集為short數(shù)組,其中第i個數(shù)是uid為10000+i的應用的危險權限狀態(tài)字,反映了應用所擁有的危險權限。
為了節(jié)約存儲資源,在本例具體實現(xiàn)時限定二維數(shù)組的大小為1000乘1000,即僅對uid在10000以上、11000以內(nèi)的應用的訪問關系的計算結果進行存儲,而對超過此范圍的應用的訪問關系每次進行重新計算;而應用危險權限狀態(tài)字集為short數(shù)組,其中第i個數(shù)是uid為10000+i的應用的危險權限狀態(tài)字,反映了應用所擁有的危險權限。在本例中,我們以其每一個二進制位對應一個dangerous權限組的擁有情況,其值為1表示其擁有對應的權限組權限,為0表示其不具有對應的權限組權限或該位不存在對應的危險權限組。
在本例中訪問控制信息庫按照以下要求實現(xiàn):
1.1)為了持久化存儲信息庫,信息庫繼承java提供的serializable接口,將其數(shù)據(jù)通過java輸入輸出流中的fileoutputstream方法以序列化的形式持久存儲于文件中。
1.2)以應用的uid-android.os.process.first_application_uid作為應用在訪問控制關系圖中的節(jié)點編號,用于之后的查詢與修改操作。
1.3)訪問控制關系圖中鄰接矩陣主要用于提供對第三方應用的訪問控制關系的查詢。其中中的每一項的取值為合法、不合法或尚未計算過。為方便表述,我們在下文中以0、1和-1分別表示對應uid為10000+x和10000+y的id之間的訪問不合法、訪問合法或訪問合法性未知。
1.4)訪問控制關系圖中的十字鏈表結構用于提高查找、修改鄰接矩陣中項目的執(zhí)行效率。結構中存儲的形如(x,y)的節(jié)點表示uid為10000+y的應用對uid為10000+y的應用的訪問合法性已經(jīng)計算過并記錄于步驟2)中所述的鄰接矩陣結構中。
所述危險權限編碼映射表是指對具有危險權限的應用進行映射編碼。在本例中,使用hash表結構實現(xiàn)編碼映射。
如圖3所示,所述訪問控制決策管理器包括應用權限信息管理模塊與icc通信處理模塊,其中應用權限信息管理模塊通過接收來自擴展的pms服務的消息,對訪問控制信息庫進行實時維護;icc通信處理模塊同時通過擴展的icc通信監(jiān)控器實時監(jiān)控android系統(tǒng)中發(fā)起的icc通信。
應用權限信息管理模塊通過以下步驟維護訪問控制信息庫:
2.1)在系統(tǒng)開機時對訪問控制數(shù)據(jù)數(shù)據(jù)庫進行檢查,若訪問控制信息庫尚未初始化,則調用擴展的pms服務對存放應用相關信息的mpackage進行掃描,通過查詢危險權限編碼映射表將已安裝應用的危險權限狀態(tài)字寫入訪問控制信息庫中的應用危險權限狀態(tài)字集中,將十字鏈表結構清空,并將鄰接矩陣全部置-1。
2.2)當接收到擴展的pms服務傳來的應用安裝的消息時,對訪問控制信息庫中的鄰接矩陣中的對應行列進行寫入-1的操作,該過程中若發(fā)生越界操作無需額外處理。并從mpackage中讀取該應用所擁有的危險權限列表,針對其擁有的每一危險權限(組),通過查找危險權限編碼映射表得到該權限組所對應的編號,將該應用的危險權限狀態(tài)字的對應位修改為1。
2.3)當接收到擴展的pms服務傳來的應用卸載的消息時,查找訪問控制信息庫中的十字鏈表里的對應行鏈表與列鏈表中的所有節(jié)點,對鄰接矩陣中與十字鏈表中節(jié)點對應的項進行置-1操作,并刪除十字鏈表中的這些節(jié)點,該過程中若發(fā)生越界操作無需額外處理。此后對該應用的危險權限狀態(tài)字進行清零處理。
2.4)當接收到擴展的pms服務傳來的應用權限增加的消息時,通過十字鏈表結構查找所有已記錄的與該應用間發(fā)生過icc通信請求的應用,查找鄰接矩陣中的對應位置的儲存數(shù)據(jù),對于所有取值為0的(即當前認定為不合法的)、由該應用發(fā)起的訪問所對應的訪問控制關系,及所有取值為1的(即當前認定為合法的)、以該應用為訪問客體的對應訪問控制關系,通過危險權限比較方法與危險權限狀態(tài)字集對其進行重新計算并更新鄰接矩陣,并將應用危險權限狀態(tài)字的對應編號位置相應修改為1或0。
2.5)當接收到擴展的pms服務傳來的應用權限撤銷的消息時,通過十字鏈表結構查找所有已記錄的與該應用間發(fā)生過icc通信請求的應用,查找鄰接矩陣中的對應位置的儲存數(shù)據(jù),對于所有取值為1的(即當前認定為合法的)由該應用發(fā)起的訪問所對應的訪問控制關系,及所有取值為0的(即當前認定為不合法的)以該應用為訪問客體的對應訪問控制關系,通過危險權限比較方法與危險權限狀態(tài)字集對其進行重新計算并更新鄰接矩陣,并將應用危險權限狀態(tài)字的對應編號位置相應修改為1或0。
icc通信處理模塊對通信請求進行監(jiān)控并實施訪問控制決策的過程如下:
3.1)當接收到來自擴展的icc通信管理機制的消息時,調用擴展的pms服務,對存放應用相關信息的mpackage進行掃描,實時獲取雙方應用的的flag及uid,若根據(jù)flag和uid判斷當前應用中存在非第三方應用,則不對此次通信實施訪問限制,否則,進入步驟3.2)。
3.2)查詢訪問控制信息庫,對其中訪問控制關系矩陣內(nèi)對應的兩應用間的訪問控制關系進行查找。若其值為1,則認為訪問合法,不對本次訪問進行限制,若值為0,則認為本次訪問不合法,通知icc通信監(jiān)控器拒絕本次訪問,若值為-1或發(fā)生arrayindexoutofboundexception異常,則轉入步驟4)
3.3)利用危險權限比較方法判斷訪問主體應用所擁有的危險權限集合是否完全包含訪問客體的危險權限集合,若結果為true則允許本次訪問,若結果為false則拒絕本次訪問,并根據(jù)計算結果更新訪問控制關系圖
所述的危險權限比較方法按以下步驟進行:
4.1)對icc通信發(fā)起者應用a的危險權限狀態(tài)字與icc通信接受者應用b的危險權限狀態(tài)字進行位或運算,將所得的結果與a的危險權限狀態(tài)字進行比較。
4.2)若步驟1)所得的結果為兩者相等,則意味著a擁有b所擁有的全部危險權限,則認為通信合法,返回true;否則返回false。
為了提高訪問控制決策的效率,對所述危險權限以group的形式進行操作。在android系統(tǒng)中被劃分屬于同組的危險權限在本方法中被視為同一權限進行操作。
所述擴展的icc通信監(jiān)控器實現(xiàn)了對android系統(tǒng)中發(fā)起的icc通信的實時監(jiān)控,擴展后的機制將把本次通信雙方的uid信息打包發(fā)送至訪問控制決策管理器并請求訪問控制決策管理器對第三方應用間的icc通信進行決策,從而根據(jù)訪問控制決策管理器的決策阻止通信發(fā)起方所擁有的危險權限(組)少于通信對象擁有的危險權限(組)的icc通信,具體按以下要求實現(xiàn):
5.1)當應用發(fā)起icc訪問請求時,系統(tǒng)將調用checkcomponentpermission()方法對訪問合法性進行驗證;
5.2)被修改的checkcomponentpermission()方法將在通常的合法性判斷規(guī)則之后,將將要通信的雙方應用的uid信息打包發(fā)送至訪問控制決策管理器,請求訪問控制決策管理器進行進一步的訪問關系合法性計算;
5.3)根據(jù)根據(jù)訪問控制決策管理器返回的決策結果,若允許本次通信則在checkcomponentpermission()中返回允許通信(即android系統(tǒng)中的permission_granted常數(shù)),否則返回拒絕通信(即permission_denied常數(shù))。
5.4)若checkcomponentpermission()返回訪問合法,則系統(tǒng)將允許本次icc通信,否則拒絕本次通信。
當android系統(tǒng)中的應用進行以下操作時,訪問控制決策管理器進行如下控制:
當應用安裝時:
首先,對鄰接矩陣中的應用對應所在的行列進行初始化,將行列上的所有項重新置為未計算的狀態(tài);接著,掃描該應用所擁有的所有權限,更新應用危險權限狀態(tài)字;
當應用卸載時:
首先,查找訪問控制信息庫中的十字鏈表里該應用的對應行鏈表與列鏈表中的所有節(jié)點,對鄰接矩陣中與十字鏈表中節(jié)點對應的項進行初始化,并刪除十字鏈表中的與該應用有關的節(jié)點;接著,對該應用的危險權限狀態(tài)字進行清零處理;
當應用權限增加時:
首先,在十字鏈表結構查找所有已記錄的與該應用發(fā)生過icc通信請求的應用;
接著,根據(jù)在十字鏈表中查詢到的所有結果,查找鄰接矩陣中的對應位置的儲存數(shù)據(jù);
最后,對于查找到的存儲數(shù)據(jù)中所有先前由該應用發(fā)起的不合法的訪問所對應的訪問控制關系,及所有先前以該應用為訪問客體的合法的對應訪問控制關系,采用危險權限比較方法,對查找到的訪問控制關系的合法性進行重新計算并更新鄰接矩陣,同時更新應用危險權限狀態(tài)字;
當應用權限撤銷時:
首先,在十字鏈表結構查找所有已記錄的與該應用發(fā)生過icc通信請求的應用;
接著,根據(jù)在十字鏈表中查詢到的所有結果,查找鄰接矩陣中的對應位置的儲存數(shù)據(jù);
最后,對于所有查找到的先前合法的、由該應用發(fā)起的訪問所對應的訪問控制關系,及所有先前不合法的、以該應用為訪問客體的對應訪問控制關系,通過危險權限比較方法對查找到的訪問控制關系的合法性進行重新計算并更新鄰接矩陣,同時更新應用危險權限狀態(tài)字。
以上內(nèi)容是本發(fā)明具體實施方式的進一步詳細說明,不能認定本發(fā)明的具體實施方式僅限于此,對于本發(fā)明所屬技術領域的普通技術人員來說,在不脫離本發(fā)明構思的前提下,還可以做出若干簡單的推演或替換,都應當視為本發(fā)明由所提交的權利要求書確定的專利保護范圍。