本發(fā)明屬于iec61850數(shù)字變電站安全領(lǐng)域，采用報文模板匹配技術(shù)實現(xiàn)smv報文數(shù)據(jù)結(jié)構(gòu)化還原呈現(xiàn)，通過對報文的上下文多級關(guān)聯(lián)分析技術(shù)，實現(xiàn)一種對iec61850智能變電站中的smv數(shù)據(jù)報文的入侵檢測的方法。
背景技術(shù)：
：iec61850是基于通用網(wǎng)絡(luò)通信平臺的變電站自動化系統(tǒng)的國際標準，它可以實現(xiàn)變電站自動化系統(tǒng)產(chǎn)品的互操作性和協(xié)議轉(zhuǎn)換。采用iec61850標準可使變電站自動化設(shè)備具備自描述、自診斷和即插即用的特性，很大程度上使數(shù)字變電站系統(tǒng)的集成變得簡單，減少了變電站自動化系統(tǒng)的開支。iec61850標準也使得智能電網(wǎng)的網(wǎng)絡(luò)形態(tài)正從過去的封閉系統(tǒng)走向半封閉和逐漸開放。這個變化過程加速了變電站智能化的進程的同時，也帶來了智能變電站的安全上的隱患。其中iec61850數(shù)字變電站采用的基于開放標準的網(wǎng)絡(luò)技術(shù)之上，導致系統(tǒng)的安全性降低。具體表現(xiàn)為iec61850協(xié)議本身并沒有考慮任何安全措施，一旦攻擊者繞過物理防護，直接進入調(diào)度中心和變電站網(wǎng)絡(luò)，可直接通過通信協(xié)議實現(xiàn)對智能變電站設(shè)備的控制。iec62351協(xié)議標準實現(xiàn)了對iec61850協(xié)議的安全加固，使得iec61850協(xié)議具有了這些基本的安全功能。這種加固主要包括：1，通過通過數(shù)字簽名，提供節(jié)點的雙向身份認證；2，通過加密，提供傳輸層認證、加密密鑰的機密性；3，通過加密，提供傳輸層及以上層次消息的機密性，防止竊聽；4，通過消息鑒別碼，提供傳輸層及以上層次消息的完整性；5，通過定義傳輸序列號有效性，防止傳輸層的重放和欺騙。由此可見，iec62351協(xié)議對iec61850協(xié)議的安全性加固是建立在加密和信息的數(shù)字驗證基礎(chǔ)之上，而在實際生產(chǎn)環(huán)境中這些安全加固方法無法適用于的iec61850中的smv實時性要求極高的報文。smv（sampledmeasuredvalue）采樣測量值，是一種用于實時傳輸數(shù)字采樣信息的服務(wù)。iec61850數(shù)字變電站中常用smv服務(wù)來傳遞各類測量模擬量，比如變電站中各相電流電壓的數(shù)值，數(shù)字變電站中的各類測量數(shù)據(jù)都以明文形式傳送，很容易被修改或注入非法的smv報文，而非法的變電站測量數(shù)據(jù)會引起主站發(fā)出錯誤的操作指令，引起數(shù)字變電站的智能設(shè)備的錯誤動作。所以，smv報文的安全性變得非常重要，而由于smv報文的實時性要求高的特點，因此iec61850標準中的smv報文的安全加固在實際應(yīng)用中通常無法通過iec62351的加密和數(shù)字驗證的方法來完成，需要重新尋找一套針對智能設(shè)備間smv明文傳輸?shù)膱笪陌踩庸毯腿肭謾z測解決方案，來保護智能變電站的安全運行。技術(shù)實現(xiàn)要素：本發(fā)明提供一種對iec61850數(shù)字變電站smv報文的入侵檢測的實現(xiàn)方法，目的在于解決現(xiàn)有技術(shù)中iec61850標準中的smv報文的安全加固在實際應(yīng)用中通常無法通過iec62351的加密和數(shù)字驗證的方法來完成。本發(fā)明通過以下技術(shù)方案實現(xiàn)：一種對iec61850數(shù)字變電站smv報文的入侵檢測的方法，其特征在于：所述實現(xiàn)方法包括如下步驟；1）smv報文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化：smv報文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化機制是為了在iec61850數(shù)字變電站中網(wǎng)絡(luò)中各類報文中迅速提取出需要進行檢測的smv報文，并對smv報文內(nèi)容進行數(shù)據(jù)結(jié)構(gòu)化處理；2）smv幀報文的數(shù)據(jù)單元的多級關(guān)聯(lián)檢測：smv通過快速過濾和數(shù)據(jù)結(jié)構(gòu)化提取完成后，按照多級檢測項依次檢測報文中的若干數(shù)據(jù)單元項，以完成對smv幀報文數(shù)據(jù)的安全合規(guī)性檢測；3）smv報文的危害性評估：根據(jù)smv報文安全性的檢測方法，可將數(shù)字變電站的smv報文的安全性分為三個級別，安全級別“0”為可信，代表經(jīng)過多級檢測過的smv報文數(shù)據(jù)未包含任何威脅隱患，數(shù)字變電站的smv報文安全級別為“0”級；安全級別“-1”代表數(shù)字變電站中有可疑的smv報文存在，單位時間smv幀報文數(shù)量檢測項中檢測到當前報文流量超過或小于基準流量的30%，而幀報文其它級的檢測都通過時，則數(shù)字變電站的報文安全級別為“-1”，有可疑smv幀報文存在；安全級別“-2”代表變電站存在不可信的smv報文，當前數(shù)字變電站的smv幀報文集只通過單位時間流量范圍的檢測，其它各級別幀報文檢測項的任意一項都未通過，則此數(shù)字變電站的smv報文安全級別為“-2”，存在非合規(guī)報文。本發(fā)明進一步技術(shù)改進方案是：所述步驟2中多級檢測項包括如下部分，1）smv報文的以太網(wǎng)絡(luò)類型及源目標mac地址；2）單位時間的smv幀報文數(shù)量檢測；3）報文采樣計數(shù)器檢測；4）smv幀報文數(shù)據(jù)集中的標識的一致性檢測。本發(fā)明的效益是通過對iec61850-smv報文的結(jié)構(gòu)和廣播通訊機制的研究，總結(jié)出smv報文在通訊過程中的可信狀態(tài)下報文中相關(guān)數(shù)據(jù)項所應(yīng)遵循的規(guī)則，從而建立起可疑和不可信smv幀報文的入侵檢測的機制及方法，從而確保數(shù)字變電站中各智能設(shè)備間的smv報文的安全可信。具體來說，本發(fā)明具有如下效果：一、本發(fā)明提供了iec61850-smv報文的模板格式的定義方法，采用模式樹的匹配技術(shù)，能夠快速從各類協(xié)議報文中提取smv類型報文，并在模式匹配過程中完成報文內(nèi)容數(shù)據(jù)提取的結(jié)構(gòu)化處理，縮短了從報文類型識別到數(shù)據(jù)提取的過程；二、本發(fā)明對完成結(jié)構(gòu)化處理的報文數(shù)據(jù)，設(shè)立了多級和關(guān)聯(lián)的數(shù)據(jù)檢測項，防止各種形式的入侵報文的注入和非法篡改。其中一級檢測是對報文中的源和目標的物理地址采用報文協(xié)議可信匹配機制，通過預(yù)先定義接收smv幀報文中智能設(shè)備的可信源，完成對非可信設(shè)備報文的過濾；三、本發(fā)明建立了smv幀報文內(nèi)部數(shù)據(jù)項的關(guān)聯(lián)合規(guī)檢測機制，例如，smv幀報文中的采樣計數(shù)器的檢測和應(yīng)用協(xié)議單元中數(shù)據(jù)集的標識一致性檢測，能夠及時發(fā)現(xiàn)常見的各種類型的smv報文的暴力入侵、注入和篡改；四、本發(fā)明實現(xiàn)單位時間smv幀報文流量的檢測，通過建立單位時間smv幀流量的基準值，設(shè)置了三類流量檢測方式：一、單位時間未見smv報文，通訊被中斷或報文被截斷攻擊；二、單位時間的smv幀報文流量倍數(shù)高于流量基準值，存在ddos攻擊；三、單位時間幀報文流量高于或小于基準流量的某個百分比，幀報文中存在報文注入與盜劫。附圖說明圖1、iec61850-smv通信協(xié)議棧示意圖；圖2、iec61850-smv報文幀結(jié)構(gòu)示意圖；圖3、iec61850-smv報文入侵檢測方法流程。具體實施方式本發(fā)明提供了一種對iec61850數(shù)字變電站中用于在智能設(shè)備間（ied）傳輸iec61850數(shù)字變電站中傳輸各類模擬測量的smv報文的安全、合規(guī)檢測方法，通過本發(fā)明能夠快速檢測出存在非合規(guī)隱患的各類smv數(shù)據(jù)報文。由圖1、2可見smv服務(wù)的通信協(xié)議棧由應(yīng)用層、傳輸層、網(wǎng)絡(luò)層、數(shù)據(jù)鏈路層和物理層組成，傳輸層和網(wǎng)絡(luò)層均為空。這樣可以縮短smv報文的長度，減少傳輸?shù)难訒r，滿足數(shù)字變電站中測量數(shù)據(jù)的實時傳輸?shù)囊?。?yīng)用層定義了iec61850-smv報文的應(yīng)用協(xié)議單元（apdu），表示層遵循asn.1ber對apdu進行編碼，數(shù)據(jù)鏈路層基于iso/iec8802-3標準設(shè)置報文的傳輸優(yōu)先級、以太網(wǎng)類型、組播地址等。因為iec61850協(xié)議只定義了在變電站網(wǎng)絡(luò)中智能設(shè)備（ied）和應(yīng)用客戶端的通信協(xié)議，沒有考慮協(xié)議的安全性，即使后面推出的iec62351協(xié)議實現(xiàn)了對iec61850協(xié)議的安全加固，但對于實時性要求很高的模擬測量傳輸smv報文無法實現(xiàn)iec62351通過數(shù)據(jù)加密的安全加固，導致這類smv報文中的測量量模擬數(shù)據(jù)極容易通過對數(shù)據(jù)值得修改和非法報文注入實現(xiàn)到對數(shù)字變電站入侵攻擊。本發(fā)明通過對iec61850-smv原報文內(nèi)容的深度結(jié)構(gòu)化數(shù)據(jù)的還原，分析發(fā)現(xiàn)非法的注入或遭到篡改的smv報文。本方法有三個步驟組成,1）smv報文的快速過濾及報文數(shù)據(jù)結(jié)構(gòu)化；2）smv結(jié)構(gòu)化報文數(shù)據(jù)項的多級關(guān)聯(lián)檢測；3）數(shù)字變電站中smv報文的危害評估。1、smv報文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化smv報文的快速過濾及數(shù)據(jù)結(jié)構(gòu)化機制是為了在iec61850數(shù)字變電站中網(wǎng)絡(luò)中各類報文中迅速提取出需要進行檢測的smv報文，并對smv報文內(nèi)容進行數(shù)據(jù)結(jié)構(gòu)化處理。smv報文過濾數(shù)據(jù)提取采用基于報文模板的多模式匹配，一次報文掃描完成smv報文數(shù)據(jù)項的識別和數(shù)據(jù)的結(jié)構(gòu)化處理。本發(fā)明的smv的報文模板可由一系列的數(shù)據(jù)項模板單元組成，每個數(shù)據(jù)項模板單元定義在兩個“@”標識符之間，模板單元由四部分組成，每部分彼此以“：”隔開。第一部分為該數(shù)據(jù)項單元對應(yīng)源報文的原始數(shù)據(jù)類型；第二部分為該數(shù)據(jù)項在源報文中的數(shù)據(jù)長度，數(shù)據(jù)項長度不定時缺省為空；第三部分為該數(shù)據(jù)項結(jié)構(gòu)化后的數(shù)據(jù)類型；第四部分為對應(yīng)報文數(shù)據(jù)項的名稱。前兩部分描述了該數(shù)據(jù)項在源報文中的數(shù)據(jù)形態(tài)，后兩部分表達了數(shù)據(jù)項數(shù)據(jù)結(jié)構(gòu)化處理后的數(shù)據(jù)呈現(xiàn)方式。根據(jù)圖2可將smv報文可分解為下表中的模板單元數(shù)據(jù)項，表中鍵名是報文數(shù)據(jù)鍵值對結(jié)構(gòu)化輸出中的鍵的名字：序號模板數(shù)據(jù)單元數(shù)據(jù)項名稱鍵名1@字節(jié):6:字節(jié):目標地址@目標地址單元macdst2@字節(jié):6:字節(jié):源地址@源地址單元macsrc3@字節(jié):2:字節(jié):tpid@802.1q以太網(wǎng)編碼幀的以太網(wǎng)類型tpid4@字節(jié):2:字節(jié):優(yōu)先級@用戶優(yōu)先級tci5@字節(jié):2:字節(jié):網(wǎng)絡(luò)類型@以太網(wǎng)絡(luò)類型ethertype6@字節(jié):2:字節(jié):應(yīng)用標識@應(yīng)用標識符；appid7@字節(jié):2:整數(shù):長度字節(jié)數(shù)@從appid開始包含在以太網(wǎng)pdu中字節(jié)數(shù)length8@字節(jié):2:字節(jié):保留字@保留字reserve19@字節(jié):2:字節(jié):保留字@保留字reserve211@字節(jié):1493:集合:應(yīng)用協(xié)議單元@smv報文應(yīng)用協(xié)議數(shù)據(jù)單元apdu12@字節(jié)：：填充數(shù)據(jù)@填充數(shù)據(jù)macdata13@字節(jié):4:數(shù)據(jù):校驗數(shù)據(jù)@校驗數(shù)據(jù)crc以上各數(shù)據(jù)項模板單元可組成一個完整的smv幀報文模板：@字節(jié):6:字節(jié):目標地址@@字節(jié):6:字節(jié):源地址@@字節(jié):2:字節(jié):tpid@@字節(jié):2:字節(jié):優(yōu)先級@@字節(jié):2:字節(jié):網(wǎng)絡(luò)類型@@字節(jié):2:字節(jié):應(yīng)用標識@@字節(jié):2:整數(shù):長度字節(jié)數(shù)@@字節(jié):2:字節(jié):保留字@@字節(jié):2:字節(jié):保留字@@字節(jié):1493:集合:應(yīng)用協(xié)議單元@@字節(jié)：：填充數(shù)據(jù)@@字節(jié):4:數(shù)據(jù):校驗數(shù)據(jù)@數(shù)據(jù)項模板單元也可以由若干模板單元集合組成，如組成smv報文應(yīng)用協(xié)議單元（@字節(jié):1493:集合:應(yīng)用協(xié)議單元@）又可以由以下表中模板單元組成:序號模板數(shù)據(jù)單元數(shù)據(jù)項名稱鍵名1@字節(jié):2:字符串:apdu標記@apdu標記savpdu2@字節(jié):2:整型:asdu數(shù)目@asdu數(shù)目noasdu3@字節(jié):2:字節(jié):asdu序列數(shù)目@asdu序列數(shù)目seqasdu4@字節(jié):2:字節(jié):數(shù)據(jù)項標識@asdu數(shù)據(jù)項標識asdu15@字節(jié):34:字符串:采樣值控制塊標識@采樣值控制塊idsvid6@字節(jié):2:整數(shù):采樣計數(shù)器@采樣計數(shù)器smpcnt7@字節(jié):4:整數(shù):配置版本號@配置版本號confrev8@字節(jié):1:布爾:采樣時間同步@采樣時間同步smpsynch9@字節(jié)::整數(shù):采樣值序列@采樣值序列seqdata…………………………smv報文應(yīng)用協(xié)議單元（apdu）完整模板格式如下：@字節(jié):2:字符串:apdu標記@@字節(jié):2:整型:asdu數(shù)目@@字節(jié):2:字節(jié):asdu序列數(shù)目@@字節(jié):2:字節(jié):asdu序列數(shù)目@@字節(jié):2:字節(jié):數(shù)據(jù)項標識@@字節(jié):34:字符串:采樣值控制塊標識@@字節(jié):2:整數(shù):采樣計數(shù)器@@字節(jié):4:整數(shù):配置版本號@@字節(jié):1:布爾:采樣同步@@字節(jié)::整數(shù):采樣值序列@根據(jù)上面定義的smv報文的協(xié)議模板，對smv協(xié)議數(shù)據(jù)包的模板匹配過程采用了“多模式樹模板匹配技術(shù)”，多模式模樹就是根據(jù)報文的模板建立一棵模式匹配樹，樹的節(jié)點就是數(shù)據(jù)項模板單元，每個數(shù)據(jù)項模板單元定義了原始數(shù)據(jù)到結(jié)構(gòu)化數(shù)據(jù)的匹配模式。通過一次smv模板模式樹與協(xié)議數(shù)據(jù)包的掃描交互完成smv報文數(shù)據(jù)單元的匹配結(jié)構(gòu)化處理，極大提高了smv報文數(shù)據(jù)項匹配和數(shù)據(jù)單元提取的效率；提取出的報文數(shù)據(jù)以鍵、值對的形式輸出存儲，供相關(guān)數(shù)據(jù)項的多級關(guān)聯(lián)分析檢測。2、smv幀報文的數(shù)據(jù)單元的多級關(guān)聯(lián)檢測smv通過快速過濾和數(shù)據(jù)結(jié)構(gòu)化提取完成后，按照以下多級檢測項依次檢測報文中的若干數(shù)據(jù)單元項，以完成對smv幀報文數(shù)據(jù)的安全合規(guī)性檢測：1）smv報文的以太網(wǎng)絡(luò)類型及源目標mac地址這部分檢測涉及模板單元有以太網(wǎng)絡(luò)類型（@字節(jié):2:字節(jié):網(wǎng)絡(luò)類型@）、報文目標地址（@字節(jié):6:字節(jié):目標地址@）、報文源地址（@字節(jié):6:字節(jié):源地址@）。對報文源地址的檢測可以判斷smv報文是否來自可信的ied智能設(shè)備，以太網(wǎng)絡(luò)類型的檢測可以提高過濾smv報文的準確性。通過數(shù)字變電站中的各類智能設(shè)備的mac地址，建立起該數(shù)字變電站可信設(shè)備的安全名單，檢測該數(shù)字變電站中各smv幀報文中的源和目標地址，及時發(fā)現(xiàn)非法可疑的smv幀報文。2）單位時間的smv幀報文數(shù)量檢測在數(shù)字變電站中通過對正常工況下數(shù)字變電站中每秒產(chǎn)生的smv幀報文的數(shù)量計數(shù)，生成每秒smv幀報文流量數(shù)的基準值。通過該流量基準值來檢測當前數(shù)字變電站的smv幀報文流量是否異常。當單位時間的smv幀報文數(shù)量超過基準的流量，則當前環(huán)境中存在流量異?？赡堋．斍皥笪牧髁勘稊?shù)超過基準流量，則該數(shù)字變電站存在拒絕服務(wù)的ddos攻擊。當單位時間的smv幀報文數(shù)量大于或小于基準流量的30%，則數(shù)字變電站中存在smv幀報文被非法注入或報文被盜劫的可能當單位時間里沒有發(fā)現(xiàn)任何smv幀報文，則當前數(shù)字變電站環(huán)境中可能出現(xiàn)通訊中斷或smv幀報文被非法截斷的攻擊。3）報文采樣計數(shù)器檢測在smv幀報文模板中應(yīng)用協(xié)議模板單元有一個數(shù)據(jù)項“采樣計數(shù)器”，每次產(chǎn)生一幀新的smv報文，新報文中的該數(shù)據(jù)項就自動加一；該計數(shù)器在兩種情況下會被置0，每次數(shù)字變電站時鐘同步時采樣計數(shù)器置0,計數(shù)器到最大值3999后置0?！安蓸佑嫈?shù)器”檢測由以下步驟組成：“采樣計數(shù)器”數(shù)據(jù)序列檢測：先檢測當前smv幀報文采樣計數(shù)器（@字節(jié):2:整數(shù):采樣計數(shù)器@）的值，將當前smv幀報文的采樣計數(shù)器的值與上一幀報文采樣計數(shù)器的值做比較，如果當前smv幀報文未有采樣時間同步（@字節(jié):1:布爾:采樣時間同步@）發(fā)生，且上一次報文計數(shù)器的值不等于39999，而當前計數(shù)值不等于上次計數(shù)值加一，說明當前smv幀報文為入侵報文?！安蓸佑嫈?shù)器”數(shù)據(jù)合規(guī)檢測：若當前smv幀報文有采樣時間同步發(fā)生，而當前采樣計數(shù)器值若不為0，則當前幀報文為入侵報文；若上一幀smv報文中的采樣計數(shù)器的值為39999，而當前幀報文采樣計數(shù)器的值不為0，則當前報文為入侵報文。4）smv幀報文數(shù)據(jù)集中的標識的一致性檢測smv報文中在合并單元的配置沒有發(fā)生改變的情況下，則具有相同的源地址和目標地址的幀報文中應(yīng)用協(xié)議數(shù)據(jù)單元項中的采樣控制塊id數(shù)據(jù)項和采樣值序列單元的名稱都應(yīng)該相同的。通過對smv幀報文中應(yīng)用協(xié)議數(shù)據(jù)單元中的采樣控制id數(shù)據(jù)項與采樣值序列單元名稱的一致性檢測，即當前報文的相關(guān)標識與上次報文相關(guān)標識的檢測，可以發(fā)現(xiàn)當前報文的是否合規(guī)。若當前報文數(shù)據(jù)項標識一致性檢測失敗，則當前報文為入侵報文。3、smv報文的危害性評估根據(jù)smv報文安全性的檢測方法，可將數(shù)字變電站的smv報文的安全性分為三個級別，安全級別“0”為可信，代表經(jīng)過多級檢測過的smv報文數(shù)據(jù)未包含任何威脅隱患，數(shù)字變電站的smv報文安全級別為“0”級；安全級別“-1”代表數(shù)字變電站中有可疑的smv報文存在，單位時間smv幀報文數(shù)量檢測項中檢測到當前報文流量超過或小于基準流量的30%，而幀報文其它級的檢測都通過時，則數(shù)字變電站的報文安全級別為“-1”，有可疑smv幀報文存在；安全級別“-2”代表變電站存在不可信的smv報文，當前數(shù)字變電站的smv幀報文集只通過單位時間流量范圍的檢測，其它各級別幀報文檢測項的任意一項都未通過，則此數(shù)字變電站的smv報文安全級別為“-2”，存在非合規(guī)報文。結(jié)合圖3就iec61850-smv報文的入侵檢測過程進行詳細描述：1、接收iec61850報文后首先識別smv報文，報文通過smv報文的匹配模板，完成對smv類型報文數(shù)據(jù)項的匹配和數(shù)據(jù)的結(jié)構(gòu)化處理及數(shù)據(jù)的提?。?、完成結(jié)構(gòu)數(shù)據(jù)化處理的smv幀報文進入多級關(guān)聯(lián)的報文檢測過程，第一級檢測為報文的可信度檢測，檢測報文的源和目的物理地址是否匹配定義可信源，實現(xiàn)對非可信設(shè)備報文的過濾；3、可信的smv幀報文進入單位時間的報文流量檢測，當前smv幀報文流量與基準報文流量進行比較，當前幀報文流量倍數(shù)與基準流量，當前數(shù)字變電站存在于拒絕服務(wù)（ddos）的攻擊；單位時間未見可信的smv幀報文，當前環(huán)境中報文通信機制損壞或可信報文遭到非法截斷；單位時間幀報文流量偏移基準流量的一定數(shù)量的百分比，則當前環(huán)境存在smv幀報文的非法注入和盜劫；4、可信的smv幀報文在做流量檢測的同時，進入報文的自身的合法合規(guī)性檢測，合法合規(guī)檢測主要是通過對smv幀報文中的“采樣計數(shù)器”、“采樣控制塊id”和采樣值序列標識符的關(guān)聯(lián)檢測，發(fā)現(xiàn)非法注入和篡改的各類可疑報文；5、報文在經(jīng)過每一個環(huán)節(jié)的檢測過程中，檢測的結(jié)果會進入smv幀報文進入危害度評估系統(tǒng)，評估系統(tǒng)根據(jù)幀報文通過的多級關(guān)聯(lián)流程檢測的結(jié)果評判前數(shù)字變電站環(huán)境中存在的svm幀報文的危害程度，本方法將數(shù)字變電站中報文危害程度分為三級，0級為環(huán)境中的報文無害，-1級為環(huán)境中存在可疑報文，-2為環(huán)境中存在不可信報文。報文的危害性評估過程能夠提供一個對數(shù)字變電站運行安全工況的一個評估判斷的手段和方法。本發(fā)明方案所公開的技術(shù)手段不僅限于上述實施方式所公開的技術(shù)手段，還包括由以上技術(shù)特征任意組合所組成的技術(shù)方案。應(yīng)當指出，對于本
技術(shù)領(lǐng)域：
的普通技術(shù)人員來說，在不脫離本發(fā)明原理的前提下，還可以做出若干改進和潤飾，這些改進和潤飾也視為本發(fā)明的保護范圍。當前第1頁12