一种防止异常动态分析的方法和系统与流程

本发明涉及系统安全技术领域，尤其涉及一种防止系统在动态运行过程中被异常分析的防止异常动态分析的方法和系统。

背景技术：

计算机软硬件的发展，各类方便的产品走入千家万户，而技术的发展使得这些产品基本是带上了一个操作系统以用于运行厂家开发的相关软件。

目前需要对操作系统本身和运行在操作系统上的软件进行保护，防止技术内容被分析，然而现有技术存在以下风险：

1.没有考虑到软件可能存在的安全问题和风险；

2.为了保证软件的运维，从而预留较多的工具进行后续分析；

3.对软件本身的加壳、混淆技术处理的难度较大，且影响软件的运维。

因此需要针对上述风险来对软件进行保护，而目前对软件的保护主要为软件静态防分析技术，但是软件通过web或者实体对外售卖时，本身因软件存在的漏洞问题，经常会被黑客侵入到系统本身，有些甚至可以获取到系统的最高权限，在这种情况下，静态防分析技术就失去了保护能力。

动态分析是一种在动态运行过程中通过系统提供或者附加调试及注入进程等交互手段获取和分析系统运行逻辑和运行数据的一种技术。目前黑客通常采用动态分析对操作系统或运行在操作系统上的软件进行分析，从而使得黑客完全可以通过系统最高权限做任何操作或者在该设备中的操作系统上直接调试加壳的软件或者具备混淆能力的软件，甚至修改整个系统的相关配置，以利于黑客进行攻击操作。

技术实现要素：

针对现有技术中存在的系统在动态运行过程中容易被异常分析的问题，现提供一种防止异常动态分析的方法和系统，从而防止非正常登录后进一步获取和分析系统关键数据，进而提高系统的动态运行安全能力。

具体技术方案如下：

一种防止异常动态分析的方法，其中，包括以下步骤：

对操作系统设置拦截命令，拦截命令用于拦截显示指令、增删改查指令、传输指令、接入指令以及交互指令；

将设置有拦截命令的操作系统植入设备中；

于设备被非正常登录时，执行拦截命令；

于需要对设备进行运维处理时，采用传入到设备中的运维软件停止拦截命令，实现对设备的运维操作，完成运维后删除运维软件并继续执行拦截命令。

优选的，防止异常动态分析的方法，其中，于设备被非正常登录后，具体包括以下步骤中的至少一个：

采用拦截命令通过拦截显示指令以拦截操作界面的显示功能；

采用拦截命令通过拦截传输指令以拦截对数据进行传输的操作；

采用拦截命令通过拦截增删改查指令以拦截对数据进行增删改查的操作；

采用拦截命令通过拦截交互指令以拦截交互操作；

采用拦截命令通过拦截接入指令以拦截非授权软件的接入。

优选的，防止异常动态分析的方法，其中，交互指令包括触摸屏的交互指令、设备按键的交互指令和外设设备的交互指令。

优选的，防止异常动态分析的方法，其中，对设备进行运维处理，具体包括以下步骤：

于需要对设备进行运维处理时，采用外部接口对设备进行非用户登录；

设备拦截非用户登录，并且向用户下发授权请求，以获取用户的返回信息；

于返回信息为授权信息时，继续执行非用户登录；

采用外部接口对设备传入运维软件，设备采用预设的学习策略获取可信任的运维软件后，停止拦截命令；

采用可信任的运维软件对设备进行运维操作，并在完成对设备的运维操作后，删除运维软件，使得设备根据删除动作继续执行拦截命令。

优选的，防止异常动态分析的方法，其中，非正常登录为异常登录者采用非正常授权进入设备。

优选的，防止异常动态分析的方法，其中，应用于一可信任体系中；还具体包括以下步骤：

根据可信任体系创建用于鉴别信任标签的鉴别方法；

将鉴别方法和拦截命令植入操作系统中，并将植入有鉴别方法和拦截命令的操作系统植入设备中；

于可信任体系中，对待鉴别软件设置信任标签；

将待鉴别软件植入到植入有操作系统的设备中；

运行植入有操作系统的设备，操作系统获取用于鉴别信任标签的鉴别文件，使得操作系统采用鉴别方法依照鉴别文件对植入到设备中的待鉴别软件进行鉴别，于鉴别结果为鉴别成功时执行待鉴别软件。

优选的，防止异常动态分析的方法，其中，鉴别方法具体包括：

于可信任体系中，拦截操作系统的关键函数对待鉴别软件进行软件运行分析和第三方分析，以得到分析结果，使得操作系统根据分析结果依照鉴别文件对植入到设备中的待鉴别软件进行鉴别。

优选的，防止异常动态分析的方法，其中，获取用于鉴别信任标签的鉴别文件的具体步骤包括：

操作系统根据鉴别方法通过内置的可信任体系鉴别待鉴别软件。

还提供一种防止异常动态分析的系统，其中，包括以下步骤：

拦截命令设置模块，对操作系统设置拦截命令，拦截命令用于拦截显示指令、增删改查指令、传输指令、接入指令以及交互指令；

植入模块，将设置有拦截命令的操作系统植入设备中；

拦截模块，于设备被非正常登录时，执行拦截命令；

运维模块，于需要对设备进行运维处理时，采用传入到设备中的运维软件停止拦截命令，实现对设备的运维操作，完成运维后删除运维软件并继续执行拦截命令。

还提供一种电子设备，其中，包括处理器以及用于存储处理器可执行指令的存储器，处理器执行指令时实现上述任一项方法的步骤。

上述技术方案具有如下优点或有益效果：

采用拦截命令在系统动态运行过程中被异常登录者(异常登录者可以为黑客)非正常登录设备时，对操作系统运行过程中的显示指令、增删改查指令、传输指令、接入指令以及交互指令进行拦截，以避免黑客等突破各类对外服务的软件限制或者通过物理方式进入到操作系统后，对操作系统、软件和服务的进一步分析；从而实现在非正常登录系统后对操作系统和软件起到保护作用，进而提高操作系统的动态运行安全能力；

通过拦截命令来防止黑客对操作系统正在运行的软件涉及的依赖或者配置等进行文件目录的分析；

通过拦截命令对操作系统的显示功能进行拦截，使得黑客无法查看软件的进入链接、桌面位置和软件地址等；

通过拦截命令对交互指令进行拦截，使得黑客无法使用交互指令对操作系统正在运行的软件涉及的依赖或者配置等进行文件目录的分析；

通过以上操作，进一步提高操作系统的动态运行安全能力。

采用防止异常动态分析的方法避免黑客突破各类对外服务的软件限制或者通过物理方式进入到操作系统后对操作系统、软件和服务的进一步分析，从而防止黑客非正常登录系统后进一步获取和分析系统关键数据，进而提高系统的动态运行安全能力；

通过可信任的第三方验证系统结合操作系统和软件自身完成防止异常动态分析的能力，其中第三方验证系统可以是设备运营商(即设备的厂商)，其中待鉴别软件可以由设备运营商提供；

通过创建可信任体系，鉴别方法，信任标签等方式可以防止黑客非正常进入系统后分析操作系统的运行情况，但是由于操作系统会给使用者提供交互指令实现对系统正在运行的软件涉及的依赖或者配置等进行文件目录的分析，采用拦截命令来防止黑客非正常进入系统后对系统正在运行的软件涉及的依赖或者配置等进行文件目录的分析。

附图说明

参考所附附图，以更加充分的描述本发明的实施例。然而，所附附图仅用于说明和阐述，并不构成对本发明范围的限制。

图1为本发明防止异常动态分析的方法的实施例一的流程图；

图2为本发明防止异常动态分析的方法的实施例一的运维处理的流程图

图3为本发明防止异常动态分析的方法的实施例二的流程图一；

图4为本发明防止异常动态分析的方法的实施例二的流程图二。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

实施例一：

本发明包括一种防止异常动态分析的方法，如图1所示，包括以下步骤：

步骤s1，对操作系统设置用于拦截显示功能，增删改查和传输能力，接入能力以及交互指令的拦截命令；

步骤s2，将设置有拦截命令的操作系统植入设备中；

步骤s3，于设备被非正常登录时，采用拦截命令拦截操作系统的显示功能，增删改查和传输能力，接入能力以及交互指令；

步骤s4，于需要对设备进行运维处理时，采用传入设备的运维软件停止拦截命令，实现对设备的运维操作，完成运维后删除运维软件并继续执行拦截命令。

在上述实施例中，采用拦截命令在异常登录者(异常登录者可以为黑客)非正常登录设备时，对操作系统运行过程中的显示指令、增删改查指令、传输指令、接入指令以及交互指令进行拦截，以避免黑客等突破各类对外服务的软件限制或者通过物理方式进入到操作系统后，对操作系统、软件和服务的进一步分析；从而实现在非正常登录系统后对操作系统和软件起到保护作用，进而提高操作系统的动态运行安全能力。

其中，非正常登录为采用非正常授权进入设备。

在上述实施例中，通过拦截命令来防止黑客非正常登录系统后，对操作系统的所有文件系统数据的增删改查及传输能力，以及动态运行软件的能力，还包括对磁盘/文件系统和正在运行的软件本身/运行数据、及其所涉及的依赖或者配置等进行分析的能力。

需要说明的是，本申请中上述步骤可以顺序执行，如图1所示，在其他实施例中并不一定按照本说明书示出和描述的顺序来执行相应方法的步骤。在一些其他实施例中，其方法所包括的步骤可以比本说明书所描述的更多或更少。此外，本说明书中所描述的单个步骤，在其他实施例中可能被分解为多个步骤进行描述；而本说明书中所描述的多个步骤，在其他实施例中也可能被合并为单个步骤进行描述。

进一步地，在上述实施例中，于设备被非正常登录后，具体包括以下步骤中的至少一个：

采用拦截命令通过拦截显示指令以拦截操作界面的显示功能；

采用拦截命令通过拦截传输指令以拦截对数据进行传输的操作，从而防止非正常登录后，黑客通过传输功能来获取和分析系统关键数据；进一步提高操作系统的动态运行安全能；

采用拦截命令通过拦截增删改查指令以拦截对数据进行增删改查的操作，从而防止非正常登录后，黑客通过增删改查功能来获取和分析系统关键数据；进一步提高操作系统的动态运行安全能；

采用拦截命令通过拦截交互指令以拦截交互操作，从而防止非正常登录后，黑客通过交互指令来获取和分析系统关键数据；进一步提高操作系统的动态运行安全能；

采用拦截命令通过拦截接入指令以拦截非授权软件的接入，从而防止非正常登录后，黑客通过接入指令来获取和分析系统关键数据；进一步提高操作系统的动态运行安全能。

作为优选的实施方式，显示功能可以为文件系统数据的进入链接、桌面位置和地址等。

即黑客进入操作系统后，由于本申请的拦截命令对显示指令进行拦截，从而对操作系统的显示功能进行拦截，使得黑客无法查看或者查看到错误的文件系统数据的进入链接、桌面位置和地址等，从而防止非正常登录后，黑客通过显示功能来获取和分析系统关键数据；进一步提高操作系统的动态运行安全能力。

例如，当异常登录者采用非正常授权进入设备前，桌面设置有各种文件系统数据对应的快捷方式，而当异常登录者采用非正常授权进入设备时，假设此时黑客进入操作系统，此时桌面可以一片空白，没有任何文件系统数据对应的快捷方式。

进一步地，在上述实施例中，交互指令包括触摸屏的交互指令、设备按键的交互指令和外设设备的交互指令。

作为优选的实施方式，外设设备可以为鼠标和键盘。

例如交互指令为键盘快捷指令，在linux操作系统中，当正常登录设备时，键盘tab键是可以补全查看操作系统的文件目录和文件的指令，而当设备被非正常登录时，假设此时黑客进入操作系统，此时黑客采用键盘tab键也无法补全系统查看操作系统的文件目录和文件的指令。

作为优选的实施方式，拦截交互指令的拦截命令可以通过拦截操作系统中关联与交互指令的关键函数实现。

在上述实施例中，通过拦截操作系统中关联与交互指令的关键函数来禁止对交互指令的使用。

进一步地，在上述实施例中，如图2所示，步骤s4具体包括：

步骤s41，于需要对设备进行运维处理时，采用外部接口对设备进行非用户登录；

步骤s42，设备拦截非用户登录，并且向用户下发授权请求，以获取用户的返回信息；

于返回信息为授权信息时，继续执行非用户登录；

步骤s43，采用外部接口对设备传入运维软件，设备采用预设的学习策略获取可信任的运维软件后，停止拦截命令；

步骤s44，采用可信任的运维软件对设备进行运维操作，并在完成对设备的运维操作后，删除运维软件，使得设备根据删除动作继续执行拦截命令。

需要说明的是，对设备进行运维处理时的设备处于正常状态；

在上述实施例中，当需要对设备进行运维处理时，此时需要第三方验证系统介入，第三方验证系统可以采用外部接口(其中，此处的外部接口可以包括设备自带的可用于登录操作系统的硬件设备或软件接口，例如：ssh，接口软件和串口等)对设备进行非用户登录，此时，设备会对进行非用户登录的第三方验证系统的登录请求进行拦截，并且通过用户接口向用户提示上述非用户登录的行为，从而获取用户的用于表示授权情况的返回信息，当返回信息为对上述非用户登录进行授权的授权信息时，继续执行第三方验证系统的非用户登录，当返回信息为拒绝授权的拒绝信息时，设备停止第三方验证系统的上述非用户登录操作；

当返回信息为对上述非用户登录进行授权的授权信息时，继续执行第三方验证系统的非用户登录，对设备进行执行操作，设备对第三方验证系统的执行操作的进行记录，并将记录进行存储，方便后续用户自行查询或者打印执行操作的记录纸质报告；

第三方验证系统通过上述外部接口对设备传入可信任的运维软件，其中第三方验证系统的传入传出动作需要验证是否与执行操作一致，并根据验证结果判断是否继续执行上述传入传出操作；

随后，第三方验证系统开始进行运维操作，设备会学习运维操作是否可信，其中，设备学习判断是否正常运维操作方式有很多，本处提供一种方式为：操作设备的非用户数据的敏感区域被设备放行，使得设备可以查看系统进程和程序堆栈等，这些操作正常是被信任体系拦截的，此时学习完成如果判断正常运维操作，设备会取消拦截命令，即此时的交互指令可以被执行；

采用可信任的运维软件对设备进行运维操作，并在完成对设备的运维操作后，第三方验证系统删除运维软件，使得设备根据删除动作继续执行拦截命令，并且向用户发送运维完成指令。

需要说明的是，运维软件都是由可信任体系临时生成的，因此可以对运维软件设置使用时效，即使忘记删除，设备可以采用预设的学习策略确定超出使用时效的运维软件为不可信任的运维软件，设备不执行运维软件；

其中，于进行运维操作的运维软件超出使用时效时，删除运维软件。

实施例二：

一种防止异常动态分析的方法，应用于第三方验证系统，并且应用于一可信任体系中，防止异常动态分析的方法包括以下步骤，如图3-4所示：

步骤a1，构建一可信任体系，根据可信任体系创建用于鉴别信任标签的鉴别方法；

步骤a2，对操作系统设置拦截命令，拦截命令用于拦截显示指令，增删指令，传输指令，接入指令以及交互指令；

步骤a3，将鉴别方法和拦截命令植入操作系统中，并将植入有鉴别方法和拦截命令的操作系统植入设备中；

步骤a4，于可信任体系中，对待鉴别软件设置信任标签；

步骤a5，将待鉴别软件植入到植入有操作系统的设备中；

步骤a6，运行植入有操作系统的设备，操作系统获取用于鉴别信任标签的鉴别文件，使得操作系统采用鉴别方法依照鉴别文件对植入到设备中的待鉴别软件进行鉴别，于鉴别结果为鉴别成功时执行待鉴别软件；

其中，需要说明的是，上述除了设置拦截命令和将拦截命令进行植入的步骤可以有效防止黑客(非法访问行为)进入系统后分析操作系统的运行情况，但无法阻止黑客对系统正在运行的软件涉及的依赖或者配置等进行文件目录的分析；因此需要拦截命令阻止黑客在非正常登录系统后进一步获取和分析系统关键数据；如何使用拦截命令，具体包括以下步骤：

步骤a7，于设备被非正常登录时，执行拦截命令；

步骤a8，于需要对设备进行运维处理时，采用外部接口对设备进行非用户登录，根据设备获取的授权信息完成非用户登录后对设备传入运维软件，并采用运维软件停止拦截命令，实现对设备的运维操作，完成运维后删除运维软件并继续执行拦截命令。

在上述实施例中，采用防止异常动态分析的方法避免黑客突破各类对外服务的软件限制或者通过物理方式进入到操作系统后对操作系统、软件和服务的进一步分析，从而起到对操作系统和软件的保护作用，进而提高操作系统和软件的安全性。

在上述实施例中，通过可信任的第三方验证系统结合操作系统和软件自身完成对软件防止异常动态分析的能力，其中第三方验证系统可以是设备运营商(即设备的厂商)，其中待鉴别软件可以由设备运营商提供。

在上述实施例中，通过创建可信任体系，鉴别方法，信任标签等方式可以放置黑客进入后分析操作系统的运行情况，但是由于操作系统会给使用者提供交互指令实现对系统正在运行的软件涉及的依赖或者配置等进行文件目录的分析，采用拦截命令防止黑客非正常登录系统后进一步获取和分析系统关键数据，进而提高系统的动态运行安全能力。

进一步地，在上述实施例中，鉴别方法具体包括：

于可信任体系中，对鉴别软件进行软件运行分析和第三方分析，以得到分析结果，使得操作系统根据分析结果依照鉴别文件对植入到设备中的待鉴别软件进行鉴别。

在上述实施例中，运行植入有操作系统的设备，同时运行设置在设备上的操作系统；

操作系统获取用于鉴别信任标签的鉴别文件；

第三方验证系统在建立好的可信任体系中对鉴别软件进行软件运行分析和第三方分析，以得到分析结果；

操作系统根据分析结果依照鉴别文件对植入到设备中的待鉴别软件进行鉴别，于鉴别结果为鉴别成功时执行待鉴别软件，于鉴别结果为鉴别失败时，拒绝执行当前的待鉴别软件。

进一步地，在上述实施例中，可信任体系为通用的证书信任体系。

在上述实施例中，可信任体系可以由第三方验证系统进行创建，第三方验证系统可以为设备运营商和软件运营商中的至少一种，其中设备运营商也可以同时是软件运营商。

在上述实施例中，可信任体系可以为通用的证书信任体系也可以由第三方验证系统自定义设置的可信任体系。

在上述实施例中，可信任体系具备向待鉴别软件设置信任标签的能力，从而实现第三方验证系统在可信任体系中对待鉴别软件设置信任标签。

作为优选的实施方式，获取用于鉴别信任标签的鉴别文件的具体步骤包括：

操作系统根据鉴别方法远程连接可信任体系，以获取鉴别文件。

在上述实施例中，运行植入有操作系统的设备，同时运行设置在设备上的操作系统；

操作系统根据内置的鉴别方法以安全传输方式远程连接第三方验证系统建立的可信任体系，以获取用于鉴别信任标签的鉴别文件；通过远程方式获取鉴别文件，可以实现对鉴别文件的自动更新。

作为优选的实施方式，获取用于鉴别信任标签的鉴别文件的具体步骤包括：

将鉴别文件植入到设备中，操作系统直接从设备中获取上述鉴别文件，从而实现在无网环境中获取鉴别文件，但是在无网环境中，需要对植入到设备中的鉴别文件进行定时更换，或者在特殊情况下对植入到设备中的鉴别文件进行更换。

其中，特殊情况可以包括植入到设备的可信任体系失效了，此时涉及对可信任体系的更新，在此不做赘述。

作为具体的实施方式，以操作系统为linux系统为例，以第三方验证系统为设备运营商为例；

设备运营商自行建立一套可信任体系，可信任体系对外是保密的，可信任体系具备对linux文件(linux文件为待鉴别软件)设置信任标签的能力，同时赋予一种外部可以鉴别信任标签真伪的能力。

设备运营商可以在生产设备时并向设备植入linux操作系统，会执行如下步骤：

将鉴别方法植入到linux操作系统中，本实施例采用ko方式将鉴别方法独立植入到linux操作系统中；

需要说明的是，到这一步时，本实施例可以有效防止黑客进行linux操作系统后对系统的运行情况进行分析，但是无法防止黑客对linux操作系统正在运行的软件进行分析；

针对上述问题，可以对linux操作系统继续加入用于拦截显示功能，增删改查和传输能力，接入能力以及交互指令的拦截命令，从而实现可以根据植入的鉴别方法在实际运行过程中的拦截和未被授权的软件，其中拦截命令可以自动识别是否需要对当前的交互指令进行拦截；

将设置有拦截命令的linux操作系统植入到设备中；

设备运营商在向设备灌输自行开发或者通用的linux软件(如cat、ls等)时，需要软件送入可信任体系中，对上述待鉴别的软件设置信任标签，需要说明的是，此步骤可以通过接口连接等形式实现；

需要说明的是，对待鉴别软件设备信任标签，将鉴别方法植入到操作系统中，和将拦截命令植入到操作系统中这三个步骤可以同时在编译过程一起完成；

随后，设备出厂开机，使得linux操作系统运行，linux操作系统根据内置的鉴别方法，以安全传输方式远程连接可信任体系，获取鉴别文件需要说明的是，在无网络的环境中，上述鉴别文件可以内置于设备中，但需要在特殊情况下更换或者定时更换；

然后，操作系统采用鉴别方法并利用鉴别文件对待鉴别软件进行鉴别，于鉴别结果为鉴别失败时，拒绝执行当前的待鉴别软件，并判断重新启动设备；于鉴别结果为鉴别成功时，执行待鉴别软件，并继续鉴别下一个鉴别软件，直到完成对所有鉴别软件的鉴别，当完成对所有待鉴别软件的鉴别时，确定设备完全启动，对外正常服务；

当黑客非正常登录设备时，采用拦截命令拦截操作系统的显示指令、增删改查指令、传输、接入指令以及交互指令对应的功能；

需要对设备进行运维处理时，需要设备运营商介入，设备运营商采用外部接口对设备进行非用户登录，此时，设备会对进行非用户登录的设备运营商的登录请求进行拦截，并且通过用户接口向用户提示上述非用户登录的行为，从而获取用户的用于表示授权情况的返回信息，当返回信息为对上述非用户登录进行授权的授权信息时，继续执行设备运营商的非用户登录，当返回信息为拒绝授权的拒绝信时，设备停止设备运营商的上述非用户登录操作；

当返回信息为对上述非用户登录进行授权的授权信息时，继续执行设备运营商的非用户登录，对设备进行执行操作，设备对设备运营商的执行操作的进行记录，并将记录进行存储，方便后续用户自行查询或者打印执行操作的记录纸质报告；

设备运营商通过上述外部接口对设备传入可信任的运维软件，其中传入传出动作需要验证是否与执行操作一致，并根据验证结果判断是否继续执行上述传入传出操作；

随后，设备运营商开始进行运维操作，设备会学习运维操作是否可信，其中，设备学习判断是否正常运维操作方式有很多，在此不做赘述；采用可信任的运维软件对设备进行运维操作，并在完成对设备的运维操作后，设备运营商删除运维软件，使得设备根据删除动作继续执行拦截命令，并且向用户发送运维完成指令。

还提供一种防止异常动态分析的系统，其中，包括以下步骤：

拦截命令设置模块，对操作系统设置拦截命令，拦截命令用于拦截显示指令、增删改查指令、传输指令、接入指令以及交互指令；

植入模块，将设置有拦截命令的操作系统植入设备中；

拦截模块，于设备被非正常登录时，采用拦截命令；

运维模块，于需要对设备进行运维处理时，采用传入到设备中的运维软件停止拦截命令，实现对设备的运维操作，完成运维后删除运维软件并继续执行拦截命令。

本发明计算机防止异常动态分析的系统的具体实施方式与上述防止异常动态分析的方法各实施例基本相同，在此不再赘述。

还提供一种电子设备，包括处理器以及用于存储处理器可执行指令的存储器，处理器执行指令时实现上述任一项方法的步骤。

本发明电子设备的具体实施方式与上述防止异常动态分析的方法各实施例基本相同，在此不再赘述。

以上仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。