一种抵抗物理攻击和系统攻击的密钥保护方法

摘要

本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理器的每个核一个对称主密钥，动态地解密出非对称算法的私钥明文，并通过Intel的TSX(Transactional Synchronization Extensions)扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存操作的原子性，攻击者不能获取明文私钥；进一步，在这种解决方案中，多核处理器的其他核也可以同时进行密码运算，提高了运算效率。

说明书

技术领域

本发明涉及计算机安全领域，特别涉及一种抵抗物理攻击和系统攻击的密钥保护 方法。

背景技术

计算机技术随着信息技术的高速发展，在人类生产和生活中的应用越来越普及， 人们已经变的离不开计算机；但同时，计算机系统存储着个人的各种隐私数据，如果 得不到有效的保护，用户的隐私安全将面临严重威胁。

个人隐私数据可以通过密码学的方法进行保护，而一个密码系统的强度，除了和 所用的密码算法直接相关外，密钥的存储也是尤其重要的。一旦密钥泄露，任何加密 信息将不再机密。

密码算法一般分对称密码算法和公钥密码算法两种。对称密码算法的加密方和解 密方使用的是同一密钥，通信双方必须事先协商并保管好他们共享的密钥，主要用于 会话数据的加解密。公钥密码算法的密钥是成对出现的，包含一个秘密的私钥和一个 公开的公钥，私钥由密钥拥有者独享。在签名系统中，用私钥对消息进行加密，得到 数字签名；用公钥对数字签名进行解密，以验证数字签名。在加密系统中，用公钥对 数据进行加密，得到密文数据；用私钥对密文进行解密，得到明文数据。

和对称密码算法相比，公钥密码算法除了可以提供传统的机密性和完整性保护， 还具有可追究性、不可抵赖性，因此在电子交易活动与电子事务处理领用起着至关重 要的作用。

为了保证电子交易等网络应用的真实性、保密性、完整性以及可追究性等安全特 性，以数字证书为核心的密码技术广泛应用于网络信息系统。数字证书采用了公钥密 码算法，将公钥与持有者的真实身份进行绑定，从而实现了网络用户身份信息的标识， 为网络安全通信提供了电子认证。

但是，这些安全特性的前提是保证数字证书所对应的私钥信息的机密性。一旦私 钥泄露，私钥拥有者的身份将可能被冒充，并且，在SSL（Secure Sockets Layer，安 全套接层）、PGP（Pretty Good Privacy）等应用中，历史的加密数据也将被解密。

一般情况下，在计算机系统中，私钥是放在内存中进行存储和运算的，对私钥的 保护依赖于操作系统的各种安全机制，包括访问控制、进程隔离、虚拟内存、运行级 隔离等。这些机制大大增强了对内存的保护，但是现代操作系统仍然经常出现各种漏 洞，利用这些漏洞，内存中的秘密信息就会很容易被间谍软件获取，我们称这一类攻 击为系统攻击。

对内存中秘密信息的保护还需要考虑另一方面：冷启动攻击（Cold boot attack）可 以完全绕过在系统层，包括操作系统，所施加的保护机制。冷启动攻击是一种物理攻 击，利用了动态随机访问内存（DRAM）的剩余特性（remanence effect），即停止供电 之后存储内容随时间慢慢消失，整个过程持续好几秒，如果利用制冷剂可以将时间延 长到几小时。攻击者需要物理接触运行中或挂起的目标主机，然后用冷却剂冷却目标 主机的内存，接着把其插入一台没有内存清除机制的恶意主机中，最后利用恶意引导 程序，把完整的内存映像复制的恶意主机的磁盘中，这样，攻击者就可以通过各种密 钥恢复算法推测使用的密钥。

可以看出，冷启动攻击代价极小、门槛极低，且具有很强的普遍适用性，对计算 机系统的密钥存储安全带来了严重的威胁。为了防止冷启动攻击可以使用如下机制：

1、使用智能卡、USB Key等硬件设备存储密钥和进行运算，这类方案安全性高， 但是由于需要特殊的硬件设备，在密钥管理、密钥更新、便携型、成本等方面有诸多 不便。

2、使用密码变换算法，比如白盒密码，这类方案中，密钥和算法是捆绑的，通过 查找表混淆，即使攻击者拥有全部内存映像，也无法推测出密钥。这类方案的局限性 在于目前只支持对称加密，不能支持公钥密码算法，计算效率很低，而且，也难以支 持密钥更新。

3、使用无内存的密码实现，即把密钥以及中间的过程变量全部放在CPU的寄存 器中。但是，由于寄存器的容量一般较小，只适合于存储短的对称密钥。但是，随着 支持高级矢量扩展指令集（AVX）的寄存器，如YMM的CPU，开始广泛部署，利用 YMM寄存器的无内存密码实现开始出现，现有技术最多可以支持2048比特的RSA 运算；但是这种方案也有很多不足：（1）可扩展性差，仅仅可以完成基本的运算，如 果要支持更多安全功能，比如抗侧信道攻击，或者支持运算加速，比如中国剩余定理， 将很困难；（2）如果要支持更长的密钥，只能依赖CPU厂商来提供；（3）平台依赖性 大，由于直接操作寄存器，高级语言比如C语言将不能支持；（4）需要禁用AVX或 者SSE(Streaming SIMD Extension)功能，这将对CPU处理数据密集型程序和图形处理 程序的性能产生非常大的影响，因为这些程序需要这些寄存器进行运算加速。

无内存密码实现的另一分支是利用CPU的片上高速缓冲存储器（cache）做密钥 存储和中间过程变量存储。在计算机存储系统的层次结构中，高速缓冲存储器是介于 CPU和主存储器之间的高速小容量存储器。CPU核以及它们独占的cache可以构成一 个相对独立的环境。比起CPU寄存器，cache的存储容量要大得多，足够存放公钥密 码算法的密钥，并且可以提供各种安全增强和运算加速的算法。已有文献用此方法可 以实现4096位的支持CRT的RSA运算，但是在该方案中，同时可以进行密码运算的 核的数量受到cache层次结构的影响，由于现代CPU架构都有一个共享的L3高速缓 冲寄存器，该方案同时只能支持一个核进行密码运算，并需要设置附加的软件保护机 制，如通过软件将其他核设置为no-fill模式。然而，针对现有的此种设置，若操作系 统存在漏洞，恶意进程仍可以通过漏洞导致保护机制失效，使恶意进程可以随便读取 密钥，从而受到系统攻击；并且，由于现有技术的此种方式需要将其他核设置为no-fill 模式，因此，只有一个核可以进行密码运算，效率较低。

系统攻击和物理攻击对计算机系统的密钥安全带来严重的威胁。系统攻击从操作 系统层面，利用系统的软件漏洞，可以直接通过内存访问指令获取密钥。物理攻击则 可以在对目标计算机有物理接触的情况下，获取整个内存的映像。对这两种攻击的防 范，现有机制都有各种不足。

发明内容

针对现有技术中的问题，本发明提供了一种抵抗物理攻击和系统攻击的密钥保护 方法，可以同时抵抗针对内存的系统攻击和物理攻击，以保障公钥密码算法在计算机 系统环境下实现安全性，并提高处理器的工作效率。

为实现上述目的，本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法， 包括：

步骤A：设置多核处理器的每个核使其包含对称主密钥；

步骤B：利用其中任意一个核作为运算核执行公钥密码运算，且私钥明文以及运 算过程中使用的中间数据变量存储于运算核独占的高速缓冲存储器中；

步骤C：清空所述运算核独占的高速缓冲存储器中的私钥明文以及运算过程中使 用的中间数据变量；

其中，当执行步骤B和步骤C时，多核处理器动态记录所述步骤B和步骤C执 行过程中的所有内存访问；

当所述多核处理器其他核线程试图和运算核同时访问同一内存地址，且至少有一 个写操作时，或者运算核独占的高速缓冲存储器空间不够，发生高速缓冲存储器替换 时，运算核放弃已执行的步骤B和步骤C的所有操作，重新执行步骤B和步骤C。

进一步，通过事务内存（Transactional Memory）机制将步骤B和步骤C对应的代 码指定为事务区实现多核处理器动态记录所述步骤B和步骤C执行过程中的所有内存 访问，以及当所述多核处理器其他核线程试图和运算核同时访问同一内存地址，且至 少有一个写操作时，或者运算核独占的高速缓冲存储器空间不够，发生高速缓冲存储 器替换时，运算核放弃已执行的步骤B和步骤C的所有操作，重新执行步骤B和步骤 C。

进一步，通过Intel TSX(Transactional Synchronization Extensions)将步骤B和步骤 C对应的代码指定为事务区实现多核处理器动态记录所述步骤B和步骤C执行过程中 的所有内存访问，以及当所述多核处理器其他核线程试图和运算核同时访问同一内存 地址，且至少有一个写操作时，或者运算核独占的高速缓冲存储器空间不够，发生高 速缓冲存储器替换时，运算核放弃已执行的步骤B和步骤C的所有操作，重新执行步 骤B和步骤C。

进一步，通过Intel TSX的RTM(Restricted Transactional Memory)机制实现当所述 多核处理器其他核线程试图和运算核同时访问同一内存地址，且至少有一个写操作时， 或者运算核独占的高速缓冲存储器空间不够，发生高速缓冲存储器替换时，运算核放 弃已执行的步骤B和步骤C的所有操作，重新执行步骤B和步骤C。

进一步，通过RTM机制中的xbegin指令进入所述事务区，并指定步骤B的开始 为发生所述多核处理器其他核线程试图和运算核同时访问同一内存地址，且至少有一 个写操作时，或者运算核独占的高速缓冲存储器空间不够，发生高速缓冲存储器替换 时的回退入口；当执行完步骤C后，通过xend指令退出所述事务区。

进一步，所述步骤A中设置多核处理器的每个核使其包含对称主密钥的步骤包括：

操作系统启动时弹出提示界面，用户输入口令；

操作系统通过密钥生成算法把口令转化为对称主密钥；

对称主密钥被复制到多核处理器中指定的寄存器中存储。

进一步，所述多核处理器的用于存储对称主密钥的指定的寄存器包括debug寄存 器和性能监控计数器（PMC，Performance Monitor Counter）。

进一步，所述公钥密码运算包括私钥明文获取运算和私钥计算操作运算；

所述私钥明文获取运算包括运算核从硬盘中读取以对称主密钥加密的私钥，并复 制到内存；运算核利用多核处理器中指定的寄存器中的对称主密钥解密以对称主密钥 加密的私钥获得私钥明文，并将私钥明文存储于运算核独占的高速缓冲存储器；

所述私钥计算操作运算包括数字签名和/或解密步骤，其中，利用私钥明文进行数 字签名和/或解密运算，并将计算过程中产生的中间数据变量和计算结果存储于运行核 独占的高速缓冲存储器。

进一步，在执行步骤B之前，还包括禁止操作系统进程调度，并屏蔽本地中断的 步骤；在执行步骤C中清空所述运算核独占的高速缓冲存储器中的数据后，还包括恢 复操作系统进程调度和本地中断的步骤。

进一步，通过清除多核处理器的EFLAGS寄存器的IF位实现禁止操作系统进程 调度，并屏蔽本地中断；通过设置多核处理器的EFLAGS寄存器的IF位实现恢复操 作系统进程调度和本地中断。

进一步，所述私钥明文获取运算通过调用AES-NI指令，使用SSE寄存器解密以 对称主密钥加密的私钥，并把私钥明文复制到高速缓冲存储器中。

进一步，清空所述运算核独占的高速缓冲存储器中的私钥明文以及运算过程中使 用的中间数据变量时，还包括清除SSE寄存器和通用寄存器中数据的步骤。

进一步，在执行步骤B之前，还包括为所述多核处理器中的每个核预留步骤B和 步骤C所访问内存区域的步骤。

采用本发明提供的抵抗物理攻击和系统攻击的密钥保护方法，通过设置多核处理 器的每个核一个对称主密钥，动态的解密出非对称算法的私钥明文，并通过Intel的 TSX扩展指令，从硬件层面上保证私钥以及计算过程中使用的中间变量只存在于该核 独占的高速缓冲存储器中，可以防止攻击者直接从物理内存中窃取私钥信息，从而保 障公钥密码算法在计算机系统环境下实现的安全性；并且，即使操作系统被攻破，攻 击者可以直接读取密钥的内存空间，由于Intel的TSX机制保证了内存提交的原子性， 攻击者永远不能获取私钥明文；进一步，在这种解决方案中，多核处理器的其他核也 可以进行密码运算，提高了运算效率。

附图说明

图1为本发明抵抗物理攻击和系统攻击的密钥保护方法的流程示意图；

图2为本发明中设置事务区及内存访问冲突时动作的流程示意图；

图3-图6为本发明典型实施例的流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下参照附图并举实 施例，对本发明作进一步详细说明。

本发明是基于以下考虑实现的：

对内存存在各种系统层面的攻击，目前的操作系统对敏感内存有一定的保护，但 是，一旦攻击者利用一些漏洞，可以直接访问敏感的内存区域，敏感数据就泄露。本 发明通过硬件机制，动态监控敏感数据区，使得任何对其直接的访问都只能获取写入 敏感数据前的非敏感密文版本，大大提高了对内存系统攻击的难度。

而冷启动作为一种物理攻击，针对的是物理的内存模块，而片上的高速缓冲存储 器通常在中央处理器（CPU）中集成，因此，现有技术中已提出的利用CPU的片上高 速缓冲存储器存储密钥和中间过程变量的密钥保护过程是十分有效的。但是，为了实 现上述过程，就需要设置附加的软件保护机制，而当操作系统存在漏洞，恶意进程可 通过漏洞导致保护机制失效；并且，由于现有技术的方案同时只能支持一个核进行密 码运算，且由于附加的保护机制，对于多核处理器而言，其他核不能同时进行其他的 密码运算，进而影响了整体CPU的处理速度，本发明的另一个目的即在于在实现利用 CPU的片上高速缓冲存储器存储密钥和中间过程变量的方式实现防止冷启动攻击，并 且避免CPU处理速度的降低。

为了提高CPU的效率就需要采用任务并行的方式，而采用任务并行时必须考虑线 程间同步的问题。Transactional Memory（事务内存）正是现行技术中为了解决线程间 同步而提出的技术，其允许一个线程独立完成对共享内存的修改，完全忽略可能会有 其它的线程存在，但是线程在日志中记录对共享内容的每一个读写动作。其他的并发 控制一般是在进行写操作时来保证与其他事务的一致性（不能修改已经被别的事务修 改过的共享数据），在完成一个事务之后，再验证其它线程有没有并发的对共享内存进 行或修改，从而保证事务是完整的。

Transactional Memory技术的代表之一为Intel TSX（Transactional Synchronization  Extensions，事务性同步扩展指令集），在Intel的第四代酷睿Haswell架构中首次引入， 实现了硬件的事务内存（Transactional Memory）。其编程接口可以用来提高多线程应 用程序对现代CPU多核的利用率。

在传统的多线程编程中，对于潜在的数据共享，一般是通过锁机制实现的，结果 不管两个线程是否会真的同时操作同一个数据变量，这些操作都被串行起来。细粒度 的锁对性能影响小，但是容易出错，编程困难；粗粒度的锁则容易实现，但是无法充 分利用多线程的优势，导致效率下降。

Intel TSX技术的核是事务内存，程序通过指定一段代码段作为事务区 （transactional region），可以记录该段代码所有的内存访问，如果发现内存访问冲突， 就会发生abortion：放弃之前的所有操作，把CPU的状态恢复到进入事务区之前的状 态，然后，对于Restricted Transactional Memory（RTM）而言，就会直接转跳到指定 的代码区，或者对于Hardware Lock Elision（HLE）而言，就会真正加锁后重新执行。 如果没有发现内存访问冲突，则原子地提交所有对内存和寄存器的更新。这样，在更 新完成之前，其他核对该段内存的访问只能访问其旧的数据，并且会使更新失败，造 成abortion。访问冲突是指外部线程读取了一个之前在事务区中写过的内存地址，或 者外部线程写了一个之前在事务区读或写过的内存地址。

事务内存的实现基础是CPU的cache一致性协议。在事务区的所有内存访问将只 在运算核的cache中发生，如果其他核访问了在事务区记录的内存地址，或者运算核 cache由于空间不够而必须把cache中的数据同步到内存，就会被cache一致性协议 发现，并根据策略产生abortion。

本发明正是利用上述Intel TSX技术的事务区，实现高速缓冲存储器中存储的敏感 数据如私钥明文不被同步到内存，并且由于TSX保证内存提交的原子性，可以防止系 统层的恶意软件攻击。

具体的，本发明提供了一种抵抗物理攻击和系统攻击的密钥保护方法，如图1和 图2所示，包括：

步骤A：设置多核处理器的每个核使其包含对称主密钥；

步骤B：利用其中任意一个核作为运算核执行公钥密码运算，且私钥明文以及运 算过程中使用的中间数据变量存储于运算核独占的高速缓冲存储器中；

步骤C：清空所述运算核独占的高速缓冲存储器中的私钥明文以及运算过程中使 用的中间数据变量；

当执行步骤B和步骤C时，多核处理器动态记录所述步骤B和步骤C执行过程 中的所有内存访问；

当所述多核处理器其他核线程试图和运算核同时访问同一内存地址，且至少有一 个写操作时，或者运算核独占的高速缓冲存储器空间不够，发生高速缓冲存储器替换 时，运算核放弃已执行的步骤B和步骤C的所有操作，重新执行步骤B和步骤C，直 至步骤B和步骤C执行完成，退出事务区提交内存。

为了更好的对本发明进行阐述，下面以在Intel Haswell处理器进行RSA公钥密码 运算为例。在本实施例中，处理器为拥有4核的intel i74770S，使用的RSA算法可通 过中国剩余定理加速、蒙哥马利模乘加速以及滑动窗口实现；其中，使用的滑动窗口 大小为32，RSA计算中用到的最大内存为4708字节；

首先，执行步骤A，设置多核处理器的每个核使其包含对称主密钥，具体包括：

如图3所示，步骤A1：操作系统启动时弹出提示界面，用户输入口令；操作系统 通过密钥生成算法把口令转化为对称主密钥；

步骤A2：对称主密钥被复制到多核处理器中指定的寄存器中存储，以便用于公钥 密码运算，其中可以选择debug寄存器或性能监控计数器（PMC，Performance Monitor  Counter）。

然后，执行步骤B：利用其中任意一个核作为运算核执行公钥密码运算，且私钥 明文以及运算过程中使用的中间数据变量存储于运算核独占的高速缓冲存储器中；其 中，公钥密码运算包括私钥明文获取运算和私钥计算操作运算；

私钥明文获取运算时，参照图3，步骤B1：运算核从硬盘中读取以对称主密钥加 密的私钥，并复制到内存；运算核利用多核处理器中指定的寄存器中的对称主密钥解 密以对称主密钥加密的私钥获得私钥明文，并将私钥明文存储于运算核独占的高速缓 冲存储器。在实现上述过程时，在本实施例中，如图4所示，步骤B2：可将debug寄 存器或性能监控计数器PMC中的对称主密钥写入高速缓冲存储器中，通过调用 AES-NI指令，使用SSE寄存器解密以对称主密钥加密的私钥，并把私钥明文复制到 高速缓冲存储器中；

私钥计算操作运算时，如图5所示，步骤1：运算核利用私钥明文进行数字签名 和/或解密运算；步骤2：将计算过程中产生的中间数据变量存储于运算核独占的高速 缓冲存储器；步骤3：将计算结果存储于运行核独占的高速缓冲存储器；

最后执行步骤C：参照图6，清空所述运算核独占的高速缓冲存储器中的私钥明 文以及运算过程中使用的中间数据变量，只留下运算结果；

其中，当执行步骤B和步骤C时，多核处理器动态记录所述步骤B和步骤C执 行过程中的所有内存访问；

当所述多核处理器其他核线程试图和运算核同时访问同一内存地址，且至少有一 个写操作时，或者运算核独占的高速缓冲存储器空间不够，发生高速缓冲存储器替换 时，运算核放弃已执行的步骤B和步骤C的所有操作，重新执行步骤B和步骤C。

其中，可通过Transactional Memory机制，如通过Intel TSX机制实现将步骤B和 步骤C对应的代码指定为事务区，当进入该事务区后，多核处理器动态记录事务区内 代码的所有内存访问；换而言之，即记录执行步骤B和步骤C时的所有内存访问；具 体地，可以利用Intel TSX机制的RTM实现当多核处理器其他核线程与多核处理器动 态记录的所有内存访问发生内存访问冲突时，或者，当运算核独占的高速缓冲存储器 空间不够，而将数据同步到内存时，运算核放弃已执行的步骤B和步骤C的所有操作， 重新执行步骤B和步骤C。

由此可见，由于当发生内存访问冲突或高速缓冲存储器空间不够时，运算核放弃 操作后跳转到指定的代码区，因此可使密码运算过程中一切内存写操作都只发生在高 速缓冲存储器中，由此可防止存储在高速缓冲存储器中的数据被同步到内存，从而从 根源上防止了冷启动攻击；而且其他核读取密钥时，将导致重新执行，而不能获取密 钥信息。在本申请中，没有通过限制多核处理器其他核的进程使用高速缓存，并且可 以支持多核处理器的每个核均可以进行不同的密码运算，从而提高了多核处理器的工 作效率。

进一步，为了尽可能增加公钥密码运算的成功率，在执行步骤B之前，即进入事 务区之前，在本实施例中还可包括禁止操作系统进程调度，并屏蔽本地中断的步骤； 在清空所述运算核独占的高速缓冲存储器中的数据后，即退出事务区之后，还包括恢 复操作系统进程调度和本地中断的步骤。其中，可通过清除多核处理器的EFLAGS寄 存器的IF位实现禁止操作系统进程调度，并屏蔽本地中断；以及，通过设置多核处理 器的EFLAGS寄存器的IF位实现恢复操作系统进程调度和本地中断。

由于在设定事务区及后续的处理都利用了Intel TSX技术，事务区中的代码（即私 钥明文获取运算和私钥计算操作运算对应的代码）所有的内存访问均被记录，如果发 现其他非运算核的内存访问与事务区记录的内存访问发生冲突，就会发生abortion： 运算核放弃前面的操作，把运算核的状态恢复到进入事务区之前的状态，然后直接转 跳到指定的代码区（在使用RTM情况下），由此使得进入这个事务区后，即开始执行 步骤B和C时，运算核一切内存写操作都将发生在运算核的高速缓冲存储器中，从而 实现了整个密钥保护过程中使用的私钥明文以及运算时生成的中间变量均不会从运算 核独占的高速缓冲存储器同步到内存中去，且利用Intel TSX的机制，使得非运算核的 进程的运行速度不被影响。

进一步，由于运算核在进行运算过程中会使用SSE寄存器和通用寄存器，因此， 清空运算核独占的高速缓冲存储器中的私钥明文以及运算过程中使用的中间数据变量 时，还包括清除SSE寄存器和通用寄存器中数据的步骤。在本实施例中，可通过memset 函数清空运算核独占的高速缓冲存储器中的数据，通过XOR指令清除SSE寄存器和 通用寄存器。

进一步，为了避免非运算核的进程频繁地访问事务区所访问的内存，导致上述事 务区代码频繁地发生abortion，因此，在本实施例中优选地，执行步骤B之前，即在 进入事务区之前，该方法还包括为多核处理器中的每个核预留步骤B和步骤C所访问 内存区域的步骤，通过该设定使得多核处理器的每个核均在固定的内存区域内进行访 问，从而防止其他核的内存访问与运算核事务区所访问的内存发成冲突，使私钥明文 获取运算和私钥计算操作运算得以顺利执行。

综上所述，采用本发明提供的密钥保护方法，通过设置多核处理器的每个核的寄 存器一个对称主密钥，动态解密出明文的非对称私钥，并通过Intel的TSX扩展指令， 硬件上保证私钥以及计算过程中使用的中间变量只存在于该核独占的高速缓冲存储器 中，可以防止攻击者直接从物理内存中窃取私钥信息或者通过恶意软件读取私钥信息， 从而保障公钥密码算法在计算机系统环境下实现的安全性，并且利用Intel TSX的机 制，使得多核处理器的其他核也可以进行密码运算，提高了运算效率。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精 神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围 之内。