一种配电终端安全加密方法及系统与流程

1.本发明属于配电终端和信息安全领域，具体涉及一种配电终端安全加密方法及系统。


背景技术：

2.随着物联网、人工智能、5g技术的不断进步，配电业务的不断扩张，对配电终端的身份认证、数据安全传输等方面提出了新的要求。终端身份认证是证实终端的真实身份与其所声明的身份信息是否相符的过程，通过验证终端的身份，以防止非系统管理的终端进入造成安全问题。随着电力物联网建设任务的不断推进，具备边缘计算能力的各种配电业务终端接入配电物联网中的数量越来越多。而业务终端对配电网的监测、保护、控制和管理至关重要，因此业务终端的数据安全和隐私保护成为了亟需解决的问题。通常配电主站与配电终端通过无线公网或电力专网进行通信，配电终端到配电终端的上下行通信信息都有可能泄漏并造成生产事故。因此，需要在终端与主站的通信链路上进行加密。
3.传统的加密方式主要有两种：链路加密和节点加密。其中，链路加密的传输效率不高；节点加密的过程容易造成信息泄露。因此，为了保护配电网数据传输中所包含的大量用户敏感信息，加强配电自动化系统安全防护，保障电力监控系统的安全，急需提出一种更安全的加密方法。


技术实现要素：

4.为克服上述现有技术的不足，本发明提出一种配电终端安全加密方法，包括：
5.采用非对称安全加密方法，基于加密机和加密芯片生成的非对称安全加密密钥，对配电主站和配电终端进行双向身份认证；
6.采用对称安全加密方法，基于加密机或加密芯片生成的对称安全加密密钥，在双向身份认证成功的配电主站和配电终端间进行数据传输；
7.其中，进行双向身份认证的配电主站和配电终端，通过预先建立的链路通信。
8.优选的，所述采用非对称安全加密方法，基于加密机和加密芯片生成的非对称安全加密密钥，对配电主站和配电终端进行双向身份认证，包括：
9.利用加密机生成的非对称安全加密密钥向配电终端下发认证信息，并利用加密机和加密芯片生成的非对称安全加密密钥向配电主站上传认证响应信息；
10.基于所述认证响应信息，利用加密机和加密芯片生成的非对称安全加密密钥，完成配电主站和配电终端的双向身份认证；
11.其中，所述加密机生成的非对称安全加密密钥，包括配电主站公钥和配电主站私钥；所述加密芯片生成的非对称安全加密密钥，包括配电终端公钥和配电终端私钥。
12.优选的，所述利用加密机生成的密钥向配电终端下发认证信息，并利用加密机和加密芯片生成的密钥向配电主站上传认证响应信息，包括：
13.利用配电终端公钥，对预先获取的配电主站随机数进行加密，并下发至配电终端；
14.利用配电终端私钥，对配电主站下发的配电主站随机数进行解密并保存；
15.对解密得到的配电主站随机数和预先获取的配电终端随机数进行签名，得到带签名的双随机数；
16.利用配电主站公钥，对所述带签名的双随机数进行加密，并上传至配电主站。
17.优选的，所述基于所述认证响应信息，利用加密机和加密芯片生成的非对称安全加密密钥，完成配电主站和配电终端的双向身份认证，包括：
18.s1利用配电主站私钥，对配电终端上传的带签名的双随机数进行解密，并进行签名认证；若认证通过，则执行s2；否则向配电终端下发认证失败信息；
19.s2对解密得到的配电终端随机数进行签名，并利用配电终端公钥对带签名的配电终端随机数进行加密；
20.s3将认证通过结果和带签名的配电终端随机数下发至配电终端；
21.s4利用配电终端私钥对配电主站下发的带签名的配电终端随机数进行解密，并进行签名认证；若认证通过，则向配电主站上传认证通过信息；否则向配电主站上传认证失败信息。
22.优选的，所述将认证通过信息上传至配电主站之后，还包括：
23.接收认证通过信息，并向配电终端下发读取加密芯片序列号的报文；
24.接收读取加密芯片序列号的报文，并向配电主站上传加密芯片的序列号；
25.接收加密芯片的序列号，并向配电终端下发读取加密芯片中密钥版本的报文；
26.接收读取加密芯片中密钥版本的报文，并向配电主站上传加密芯片中的密钥版本号。
27.优选的，所述利用加密机生成的非对称安全加密密钥向配电终端下发认证信息之前，还包括：
28.将配电主站公钥发送至加密芯片；将配电终端公钥发送至加密机。
29.优选的，所述采用对称安全加密方法，基于加密机或加密芯片生成的对称安全加密密钥，在双向身份认证成功的配电主站和配电终端间进行数据传输，包括：
30.利用对称安全加密密钥主动向配电主站上传数据；
31.利用对称安全加密密钥向配电终端下发数据传输命令，并根据所述数据传输命令利用所述对称安全加密密钥上传数据；
32.其中，所述对称安全加密密钥，为加密机和加密芯片共享，包括加密机密钥或加密芯片密钥中的任一个。
33.优选的，所述利用对称安全加密密钥主动向配电主站上传数据，包括：
34.利用对称安全加密密钥，对需要上传的数据进行加密，并将加密后的数据和预先获取的消息认证码上传至配电主站；
35.接收并验证消息认证码的正确性；若验证通过，则利用对称安全加密密钥对接收的数据进行解密，得到配电终端上传的数据；否则退出。
36.优选的，所述利用对称安全加密密钥向配电终端下发数据传输命令，并根据所述数据传输命令利用所述对称安全加密密钥上传数据，包括：
37.对数据传输命令进行签名，利用对称安全加密密钥对带签名的数据传输命令进行加密并下发至配电终端；
38.利用对称安全加密密钥，对配电主站下发的带签名的数据传输命令进行解密，并对所述带签名的数据传输命令进行验证；若验证通过，则利用对称安全加密密钥，将预先获取的消息认证码和根据传输命令提供的数据进行加密，并上传至配电主站；否则向配电主站上传验证失败的信息；
39.利用对称安全加密密钥，对配电终端上传的数据进行解密，并验证消息认证码；若验证通过，则保存配电终端上传的数据；否则向配电终端下发验证失败的信息。
40.优选的，所述利用对称安全加密密钥，对配电主站下发的带签名的数据传输命令进行解密，并对所述带签名的数据传输命令进行验证；若验证通过，则利用对称安全加密密钥，将预先获取的消息认证码和根据传输命令提供的数据进行加密，并上传至配电主站；否则向配电主站上传验证失败的信息，包括：
41.接收并利用对称安全加密密钥对带签名的数据传输命令进行解密，得到数据传输命令和签名；
42.判断所述数据传输命令的有效性，若判断有效，则执行签名正确性的验证步骤；否则向配电主站上传命令无效的信息。
43.优选的，所述签名正确性的验证步骤，包括：
44.验证所述签名的正确性；若验证通过，则利用对称安全加密密钥，将预先获取的消息认证码和根据传输命令提供的数据进行加密，并上传至配电主站；否则向配电主站上传验证错误的信息。
45.基于同一发明构思，本发明还提供了一种配电终端安全加密系统，包括：配电主站、配电终端、加密机和加密芯片；
46.所述配电主站通过内网与加密机连接，用于基于加密机和加密芯片生成的非对称安全加密密钥，与配电终端进行双向身份认证；和用于基于加密机或加密芯片生成的对称安全加密密钥，与双向身份认证成功的配电终端进行数据传输；
47.所述配电终端内嵌加密芯片，用于基于加密机和加密芯片生成的非对称安全加密密钥，与配电主站进行双向身份认证；和用于基于加密机或加密芯片生成的对称安全加密密钥，与双向身份认证成功的配电主站进行数据传输；
48.所述配电主站和配电终端，采用链路通过公网或专网进行连接。
49.优选的，所述链路，包括下述中的任一项：
50.4g通信模块、5g通信模块和光纤。
51.与最接近的现有技术相比，本发明具有的有益效果如下：
52.本发明提供了一种配电终端安全加密方法及系统，包括：采用非对称安全加密方法，基于加密机和加密芯片生成的非对称安全加密密钥，对配电主站和配电终端进行双向身份认证；采用对称安全加密方法，基于加密机或加密芯片生成的对称安全加密密钥，在双向身份认证成功的配电主站和配电终端间进行数据传输；其中，进行双向身份认证的配电主站和配电终端，通过预先建立的链路通信；本发明采用非对称安全加密方法对配电主站和配电终端进行双向身份认证，极大程度提高了加密的安全性；采用对称安全加密方法在配电主站和配电终端间进行数据传输，能够在保证一定安全性的同时提高数据的传输效率。
53.本发明采用端到端加密方法，进行配电终端与配电主站间的双向身份认证和数据
传输，为配电终端的接入与配电主站的监控提供了安全保障；本发明提供的方法还可以为数据的跨域共享提供安全可信机制。
附图说明
54.图1为本发明提供的一种配电终端安全加密方法流程示意图；
55.图2为本发明提供的一种配电终端安全加密方法的双向身份认证通信时序图；
56.图3为本发明提供的一种配电终端安全加密方法的配电终端主动上报数据到配电主站的通信时序图；
57.图4为本发明提供的一种配电终端安全加密方法的配电主站发起数据传输命令到配电终端的通信时序图；
58.图5为本发明提供的一个配电终端安全加密方法实施例的配电主站与终端之间程序远程升级报文安全交互通信时序图；
59.图6为本发明提供的一个配电终端安全加密系统的结构示意图。
具体实施方式
60.配电终端与配电主站的数据加密在通信方面主要有三个方面：链路加密、节点加密和端到端加密。
61.其中，链路加密是将所要传输数据报文的每一个比特位都加密，所有数据在被传输之前都需加密，转发之前先解密再加密，在到达目的地址之前，数据可能经过很多通信链路的传输，效率不高；节点对节点加密则是为了解决在节点中的数据是明文的缺点，在中间节点里装有用于加、解密的保护装置(即由这个装置来完成一个密钥向另一个密钥的变换)。尽管节点加密能给网络数据提供较高的安全性，但它在操作方式上与链路加密是类似的：两者均在通信链路上为传输的消息提供安全性；都在中间节点先对消息进行解密，然后进行加密。因为要对所有传输的数据进行加密，所以加密过程对用户是透明的。而端对端加密(也称为面向协议的加密方式)可以解决链路加密方式和节点对节点加密方式的不足。端对端加密方式中加密、解密只是在源节点和目的节点进行，因此能够对整个网络系统采用保护措施。端到端加密允许数据在从源点到终点的传输过程中始终以密文形式存在。采用端到端加密，数据在被传输时到达终点之前不进行解密，因为数据在整个传输过程中均受到保护，所以即使有节点被损坏也不会使消息泄露。
62.为了保护配电网中传输数据所包含的大量用户敏感信息，加强配电自动化系统安全防护，保障电力监控系统的安全，本发明采用端到端的加密方式，在配电主站与配电终端之间采用基于数字证书的认证技术及基于国产商用密码算法的加密技术进行安全防护，采用非对称与对称加密两种方法。非对称加密方法有两个密钥，即公钥和私钥，公钥相当于锁，私钥是钥匙。对称加密方法只有一个密钥，用于加密和解密。由上述两种方法的特点可以看出，对称加密方法的安全性较差，但加密解密的速度快，耗时短，适用于大量数据的传输；而非对称加密方法的安全性好，但加密解密的速度慢，耗时长，不适于大量数据传输。因此，本发明对配电主站与配电终端间的双向身份认证，采用非对称安全加密方法；数据传输安全，采用对称安全加密方法。
63.下面结合附图对本发明的具体实施方式做进一步的详细说明。
64.实施例1：
65.本发明提供的一种配电终端安全加密方法，其流程示意图如图1所示，包括：
66.步骤1：采用非对称安全加密方法，基于加密机和加密芯片生成的非对称安全加密密钥，对配电主站和配电终端进行双向身份认证；
67.步骤2：采用对称安全加密方法，基于加密机或加密芯片生成的对称安全加密密钥，在双向身份认证成功的配电主站和配电终端间进行数据传输；
68.其中，进行双向身份认证的配电主站和配电终端，通过预先建立的链路通信。
69.本发明中步骤1为配电终端认证方法，即在配电主站和配电终端之间建立链路后，应用数据报文传输之前，进行双向身份认证。身份认证由主站发起，终端被动响应，任何一方对另一方认证失败，返回认证失败信息，不响应对方数据。在进行双向身份认证前，加密机会先生成配电主站的公钥和私钥，加密芯片也会先生成配电终端的公钥和私钥。随后加密机和加密芯片将各自的公钥发送给对方，私钥则自己保存。双向身份认证通信时序图如图2所示，步骤1具体包括：
70.利用加密机生成的非对称安全加密密钥向配电终端下发认证信息，并利用加密机和加密芯片生成的非对称安全加密密钥向配电主站上传认证响应信息；
71.所述加密机生成的非对称安全加密密钥，包括配电主站公钥和配电主站私钥；所述加密芯片生成的非对称安全加密密钥，包括配电终端公钥和配电终端私钥。
72.步骤1-1：利用配电终端公钥，对预先获取的配电主站随机数进行加密，并下发至配电终端；
73.配电主站生成配电主站随机数rn1(为认证标识，用于进行身份认证，rn2用途同rn1)，再通过加密机利用加密芯片发送的公钥对rn1加密，并发送给配电终端。
74.步骤1-2：利用配电终端私钥，对配电主站下发的配电主站随机数进行解密并保存；对解密得到的配电主站随机数和预先获取的配电终端随机数进行签名，得到带签名的双随机数；利用配电主站公钥，对所述带签名的双随机数进行加密，并上传至配电主站；
75.配电终端生成配电终端随机数rn2，通过加密芯片利用私钥对rn1解密，再对“rn1 rn2”签名，通过加密芯片利用加密机发送的公钥对“rn1 rn2”签名进行加密，然后发送给配电主站，同时配电终端保存随机数rn1。
76.基于所述认证响应信息，利用加密机和加密芯片生成的非对称安全加密密钥，完成配电主站和配电终端的双向身份认证；
77.步骤1-3：利用配电主站私钥，对配电终端上传的带签名的双随机数进行解密，并进行签名认证；若认证通过，则执行步骤1-4；否则向配电终端下发认证失败信息；
78.配电主站获取加密的“rn1 rn2”签名，通过加密机利用私钥对rn1 rn2签名解密，通过配电主站验证配电终端“rn1 rn2”签名的有效性。
79.步骤1-4：对解密得到的配电终端随机数进行签名，并利用配电终端公钥对带签名的配电终端随机数进行加密；
80.如果验证通过，则完成配电主站对配电终端的身份认证；同时配电主站对配电终端随机数rn2签名，并通过加密机利用加密芯片发送的公钥对rn2签名加密。
81.步骤1-5：将认证通过结果和带签名的配电终端随机数下发至配电终端；
82.配电主站将“rn1 rn2”签名的认证成功结果，和加密的rn2签名结果发送给配电终
端。
83.步骤1-6：利用配电终端私钥对配电主站下发的带签名的配电终端随机数进行解密，并进行签名认证；若认证通过，则向配电主站上传认证通过信息；否则向配电主站上传认证失败信息；
84.配电终端获取rn2签名，通过加密芯片利用私钥对rn2签名解密，通过配电终端验证rn2签名的正确性；如果验证通过，则完成配电终端对配电主站的身份认证并返回认证通过的确认信息；否则向配电主站发送认证失败信息。
85.双向身份认证通过后进行下述步骤：
86.步骤1-7：配电主站接收认证通过信息，并向配电终端下发读取加密芯片序列号的报文；
87.步骤1-8：配电终端接收读取加密芯片序列号的报文，并向配电主站上传加密芯片的序列号；
88.步骤1-9：配电主站接收加密芯片的序列号，并向配电终端下发读取加密芯片中密钥版本的报文；
89.步骤1-10：配电终端接收读取加密芯片中密钥版本的报文，并向配电主站上传加密芯片中的密钥版本号。
90.本发明中步骤2为配电终端数据传输安全加密方法，主要包括两种通信过程，一个是配电终端发起上报数据到配电主站的通信流程；另一个则是配电主站发起下发业务指令到配电终端的通信流程。配电终端数据传输安全加密方法中，首先加密机或加密芯片中的任意一方生成密钥，并将生成的密钥发送至另一方共享。步骤2具体包括：
91.步骤2.1：配电终端发起上报数据到配电主站的通信流程。即利用对称安全加密密钥主动向配电主站上传数据，其通信时序图如图3所示；
92.步骤2.1-1：利用对称安全加密密钥，对需要上传的数据进行加密，并将加密后的数据和预先获取的消息认证码上传至配电主站；
93.配电终端将要上传的数据，通过加密芯片利用对称安全加密密钥进行加密，并生成消息认证码mac，将“密文数据 mac”作为上行报文的数据，发送给配电主站。
94.步骤2.1-2：接收并验证消息认证码的正确性；若验证通过，则利用对称安全加密密钥对接收的数据进行解密，得到配电终端上传的数据；否则退出；
95.配电主站接收数据后，先验证数据的完整性(即验证mac的正确性)，并通过加密机利用对称安全加密密钥解密获得明文数据。
96.步骤2.2：配电主站发起的下发业务指令到配电终端的通信流程。即利用对称安全加密密钥向配电终端下发数据传输命令，并根据所述数据传输命令利用所述对称安全加密密钥上传数据，其通信时序图如图4所示；
97.步骤2.2-1：对数据传输命令进行签名，利用对称安全加密密钥对带签名的数据传输命令进行加密并下发至配电终端；
98.配电主站对要下发的业务命令报文进行签名，将带签名的业务命令报文，通过加密机利用对称安全加密密钥进行加密后发送给配电终端。
99.步骤2.2-2：利用对称安全加密密钥，对配电主站下发的带签名的数据传输命令进行解密，并对所述带签名的数据传输命令进行验证；若验证通过，则利用对称安全加密密
钥，将预先获取的消息认证码和根据传输命令提供的数据进行加密，并上传至配电主站；否则向配电主站上传验证失败的信息；
100.配电终端接收到数据传输命令之后，首先通过加密芯片利用密钥进行解密，获得命令原文和签名。随后由配电终端先判断命令的有效性，再验证配电主站签名的正确性，无效或不正确时返回配电主站错误信息；如果有效且正确则按照命令执行相关业务操作(发送数据)，并生成mac，将mac和数据通过加密芯片利用对称安全加密密钥加密后发送给配电主站。
101.步骤2.2-3：利用对称安全加密密钥，对配电终端上传的数据进行解密，并验证消息认证码；若验证通过，则保存配电终端上传的数据；否则向配电终端下发验证失败的信息；
102.配电主站通过加密机利用对称安全加密密钥对配电终端数据进行解密，得到数据和mac，并验证mac。若mac验证通过则保存数据，否则向配电终端下发验证失败的信息。
103.本发明为配电终端的接入与配电主站的监控提供了安全保障；本发明还为数据的跨域共享提供安全可信机制。
104.实施例2：
105.本实施例为配电主站和配电终端的程序版本管控安全方法，作为一种配电终端安全加密方法具体实现过程的介绍，本实施例采用了本发明提供的，基于非对称安全加密方法的配电主站与配电终端间的双向身份认证方法，和基于对称安全加密方法的数据安全传输方法。
106.本实施例所述配电终端程序版本管控安全方法，可实现配电终端的程序版本可控与远程升级安全。配电主站通过与配电终端进行双向身份认证，实现对配电终端内部署程序的合法性验证。此外，如果需要对终端进行程序版本远程升级，也需要进行同样的合法性验证，验证正确后，才可以进行升级程序包下发，配电主站与配电终端之间的程序远程升级报文安全交互通信时序图如图5所示，其具体操作步骤如下：
107.步骤3-1：配电主站对要下发的升级启动命令报文进行签名，获得签名结果，通过加密机利用加密芯片发送的公钥对“升级启动命令报文 签名结果”进行加密，随后由配电主站发送给配电终端；
108.步骤3-2：配电终端接收到数据之后，首先通过加密芯片利用私钥进行解密，获得升级启动命令报文和签名，配电终端验证配电主站签名的正确性。正确则执行相关操作，并取配电终端随机数rn，通过加密芯片利用加密机提供的公钥对升级启动的确认信息 配电终端随机数rn进行加密，随后由配电终端上传给配电主站；不正确则返回配电主站错误信息；
109.步骤3-3：配电主站通过加密机利用私钥对配电终端上传的数据解密，验证并保存配电终端随机数rn，验证正确后，配电主站将程序升级包分帧加密(利用加密机或加密芯片生成的密钥进行加密，在本实施例中后续步骤中加密和解密所需的密钥简称为“密钥”)的方式下发给配电终端；
110.步骤3-4：配电终端通过加密芯片利用密钥对程序升级包的每帧数据进行解密，得到分帧的升级数据，将升级数据形成程序升级包；并回复配电主站传输完毕；
111.步骤3-5：配电主站收到传输完毕信息，采用哈希算法md5对程序升级包计算摘要
结果h1，对要下发的程序升级包摘要结果“h1 时间 配电终端随机数rn”进行签名，得到带签名的结果s2，再将带签名的结果s2，通过加密机利用密钥进行加密后发送给配电终端；
112.步骤3-6：配电终端通过加密芯片利用密钥解密，随后使用与配电主站相同的摘要计算算法对程序升级包进行摘要计算，并验证s2的签名；若验证无误，进行程序升级，并向配电主站发送升级完成的信息；否则返回错误信息；
113.步骤3-7：配电主站接收到升级完成的信息后，向配电终端发送读取软件版本的信息；
114.步骤3-8：配电终端接收读取软件版本的信息后，返回配电主站软件版本信息；
115.步骤3-9：配电主站根据配电终端发送的软件版本信息，判断与下发的升级程序版本是否一致，一致则说明程序升级成功；否则向配电终端发送升级失败信息。
116.图5中包括了程序升级步骤，若仅进行版本校验，不进行升级也是可以的，步骤在此图基础上简化一些即可，不再另行给出。
117.本发明适用于10kv及以下电压等级配电终端的安全防护，也可适用于配电终端安全性检测和管理，权利要求与具体实施方式一致。
118.实施例3：
119.基于同一发明构思，本发明还提供了一种配电终端安全加密系统，其结构示意图如图6所示，包括：配电主站、配电终端、加密机和加密芯片；
120.所述配电主站通过内网与加密机连接，用于基于加密机和加密芯片生成的非对称安全加密密钥，与配电终端进行双向身份认证；和用于基于加密机或加密芯片生成的对称安全加密密钥，与双向身份认证成功的配电终端进行数据传输；本发明所述配电主站具备基于数字证书的认证技术及基于国产商用密码算法的加密技术的安全防护功能；配电主站可实现对多个配电终端进行安全加密；
121.所述配电终端内嵌加密芯片，用于基于加密机和加密芯片生成的非对称安全加密密钥，与配电主站进行双向身份认证；和用于基于加密机或加密芯片生成的对称安全加密密钥，与双向身份认证成功的配电主站进行数据传输；
122.所述配电主站和配电终端，采用链路通过公网或专网进行连接。
123.所述链路，包括下述中的任一项：4g通信模块、5g通信模块和光纤。
124.本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
125.本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
126.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特
定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
127.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
128.最后应当说明的是：以上实施例仅用于说明本发明的技术方案而非对其保护范围的限制，尽管参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：本领域技术人员阅读本发明后依然可对发明的具体实施方式进行种种变更、修改或者等同替换，但这些变更、修改或者等同替换，均在发明待批的权利要求保护范围之内。