安全策略文件更新方法及装置与流程

本公开涉及计算机技术领域，特别涉及一种安全策略文件更新方法及装置。

背景技术：

Android(安卓)是一种基于Linux的开放源代码的操作系统。目前，Android系统广泛应用于移动终端中。为了增强Android系统的安全性，NSA(The National Security Agency，美国国家安全局)将SELinux(Security-Enhanced Linux)移植到Android系统，形成了SEAndroid(Security-Enhanced Android)。SEAndroid的安全机制的核心之一是在操作系统中预先设置安全策略文件，该安全策略文件包括文件和/或进程对应的权限。当安装有SEAndroid的移动终端升级当前的操作系统时，该移动终端需要对升级前的操作系统中的安全策略文件进行更新，以确定出升级后的操作系统中的各个系统文件对应的权限，保证访问升级后的操作系统中的系统文件的安全性。

相关技术中，移动终端对安全策略文件进行更新，包括：在操作系统升级过程中，对于系统升级包中的每个系统文件，移动终端检测升级前的操作系统中的安全策略文件是否包括该系统文件对应的权限；若安全策略文件不包括该系统文件对应的权限，则在升级后的操作系统启动的过程中，移动终端在启动脚本中将该系统文件对应的权限设置为默认权限，并将该系统文件对应的默认权限添加到安全策略文件中。

技术实现要素：

本公开提供了一种安全策略文件更新方法及装置。

根据本公开实施例的第一方面，提供一种安全策略文件更新方法，该方法包括：

获取系统升级包，该系统升级包包括第一系统文件和第一安全策略文件，该第一安全策略文件包括每个第一系统文件对应的权限，该第一系统文件是升级后的操作系统中的系统文件；

在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件，该第二安全策略文件包括每个第二系统文件对应的权限，该第二系统文件是升级前的操作系统中的系统文件。

可选地，通过第一安全策略文件替换第二安全策略文件，包括：

通过第一安全策略文件替换位于文件系统中的第二安全策略文件，该文件系统中的安全策略文件在操作系统启动时被加载至内核空间，该内核空间是指虚拟内存中用于运行内核、内核扩展以及驱动程序的区块。

可选地，该方法还包括：

在升级后的操作系统启动时，从文件系统中加载第一安全策略文件；

根据第一安全策略文件确定第一系统文件对应的权限。

可选地，获取系统升级包，包括：

通过空中接口接收服务器发送的系统升级包，该系统升级包是空中下载技术OTA升级包，且系统升级包中的第一安全策略文件是由开发者编译并上传至服务器中的。

可选地，获取系统升级包，包括：

利用物理接口接收电子设备发送的系统升级包，该系统升级包中的第一安全策略文件是由开发者在电子设备中编译的，或者是电子设备从服务器中下载的。

根据本公开实施例的第二方面，提供一种安全策略文件更新装置，该装置包括：

获取模块，被配置为获取系统升级包，该系统升级包包括第一系统文件和第一安全策略文件，该第一安全策略文件包括每个第一系统文件对应的权限，该第一系统文件是升级后的操作系统中的系统文件；

替换模块，被配置为在系统升级的过程中，通过获取模块获取到的第一安全策略文件替换第二安全策略文件，该第二安全策略文件包括每个第二系统文件对应的权限，该第二系统文件是升级前的操作系统中的系统文件。

可选地，替换模块，还被配置为：

通过第一安全策略文件替换位于文件系统中的第二安全策略文件，该文件系统中的安全策略文件在操作系统启动时被加载至内核空间，该内核空间是指虚拟内存中用于运行内核、内核扩展以及驱动程序的区块。

可选地，该装置还包括：

加载模块，被配置为在升级后的操作系统启动时，从文件系统中加载第一安全策略文件；

确定模块，被配置为根据加载模块加载的第一安全策略文件确定第一系统文件对应的权限。

可选地，获取模块，还被配置为：

通过空中接口接收服务器发送的系统升级包，该系统升级包是空中下载技术OTA升级包，且系统升级包中的第一安全策略文件是由开发者编译并上传至服务器中的。

可选地，获取模块，还被配置为：

利用物理接口接收电子设备发送的系统升级包，该系统升级包中的第一安全策略文件是由开发者在电子设备中编译的，或者是电子设备从服务器中下载的。

根据本公开实施例的第三方面，提供一种安全策略文件更新装置，该装置包括：

处理器；

用于存储处理器可执行指令的存储器；

其中，处理器被配置为：

获取系统升级包，系统升级包包括第一系统文件和第一安全策略文件，该第一安全策略文件包括每个第一系统文件对应的权限，该第一系统文件是升级后的操作系统中的系统文件；

在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件，该第二安全策略文件包括每个第二系统文件对应的权限，该第二系统文件是升级前的操作系统中的系统文件。

本公开的实施例提供的技术方案可以包括以下有益效果：

通过获取包括第一安全策略文件的系统升级包；在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件；解决了移动终端在升级后的操作系统启动时，在启动脚本中为第一系统文件设置默认权限，并将设置的默认权限添加到第二安全策略文件中，得到更新后的安全策略文件，导致移动终端根据更新后的第二安全策略文件确定出的第一系统文件对应的权限的准确性不高的问题；由于第一安全策略文件包括每个第一系统文件对应的权限，因此，移动终端可以根据该第一安全策略文件准确地确定出每个第一系统文件对应的权限，而不需要自行设置第一系统文件对应的权限，达到了提高移动终端确定第一系统文件对应的权限的准确性的效果。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本公开说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。

图1是根据一示例性实施例示出的一种安全策略文件更新方法的流程图。

图2是根据另一示例性实施例示出的一种安全策略文件更新方法的流程图。

图3是根据一示例性实施例示出的一种安全策略文件更新装置的框图。

图4是根据另一示例性实施例示出的一种安全策略文件更新装置的框图。

图5是根据一示例性实施例示出的一种用于安全策略文件更新的装置的框图。

具体实施方式

这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本公开相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本公开的一些方面相一致的装置和方法的例子。

为了方便理解，先对本发明实施例提及的若干个名词分别作简单介绍，具体如下：

第一系统文件：升级后的操作系统在运行时所需的文件。

第二系统文件：升级前的操作系统在运行时所需的文件。

第一安全策略文件：至少用于存储每个第一系统文件对应的权限。

第二安全策略文件：至少用于存储每个第二系统文件对应的权限。

在实际实现时，本实施实施例不对第一安全策略文件和第二安全策略文件的名称作限定，在一个示例中，第一安全策略文件和第二安全策略文件的名称为file_contexts。

需要说明的是，系统文件对应的权限是指该系统文件被进程或者被其他文件访问的权限，或者，访问其他文件的权限。比如：读、写、执行等权限。

由于相关技术中，在升级后的操作系统启动的过程中，移动终端在启动脚本中为第一系统文件设置对应的默认权限，然后，通过将第一系统文件对应的默认权限添加到第二安全策略文件中实现对该第二安全策略文件的更新。当移动终端设置的默认权限并不是该第一系统文件最适配的权限时，就会导致移动终端根据更新后的第二安全策略文件确定出的第一系统文件对应的权限的准确性不高的问题。基于此技术问题，本公开实施例提供了一种安全策略文件更新方法和基于这个方法的装置，以解决上述相关技术中存在的问题。本公开实施例提供的技术方案如下：在移动终端获取的系统升级包中加入第一安全策略文件，并在操作升级的过程中加载该第一安全策略文件，通过第一安全策略文件整体替换该第二安全策略文件来实现对第二策略文件的更新。由于第一安全策略文件包括了每个第一系统文件对应的权限，因此，无需移动终端自行设置该第一系统文件对应的权限，提高了移动终端确定出的第一系统文件对应的权限的准确性。其中，本实施例不对默认权限的类型及数量作限定，比如：默认权限的数量为两个，分别为读和写。

可选地，本发明实施例提供的方法，各步骤的执行主体为安装有类型为SEAndroid的Android操作系统的移动终端，比如：手机、平板电脑、可穿戴式等，本发明实施例对此不作限定。

图1是根据一示例性实施例示出的一种安全策略文件更新方法的流程图，该方法可以包括如下几个步骤。

在步骤101中，获取系统升级包，该系统升级包包括第一系统文件和第一安全策略文件。

本实施例中，系统升级包中包括第一系统文件和开发者编译的第一安全策略文件。由于该第一安全策略文件包括每个第一系统文件对应的权限，这样，既提高了移动终端确定第一系统文件对应的权限的准确性，也实现了对需要更新权限的第一系统文件的权限的更新。

移动终端可以采用OTA(Over-the-Air Technology，空中下载技术)对操作系统进行升级。OTA升级是Android系统提供的标准软件升级方式，是通过移动通信的空中接口对移动终端中的SIM(Subscriber Identity Module，用户身份识别模块)卡数据及应用进行远程管理的技术。

当移动终端进行OTA升级时，获取系统升级包，包括：通过空中接口接收服务器发送的系统升级包。其中，系统升级包是OTA升级包，空中接口可以采用WAP(Wireless Application Protocol，无线应用协议)、GPRS(General Packet Radio Service，通用分组无线服务技术)、CDMA1X(Code Division Multiple Access1X，Code Division Multiple Access2000的第一阶段)、短消息技术等来实现，本实施例对此不作限定。

可选地，移动终端也可以不采用OTA(Over-the-Air Technology，空中下载技术)对操作系统进行升级。此时，移动终端获取系统升级包，包括：利用物理接口接收电子设备发送的系统升级包，该系统升级包中的第一安全策略文件是由开发者在电子设备中编译的，或者是电子设备从服务器中下载的。其中，物理接口包括但不限于以下几种：USB(Universal Serial Bus，通用串行总线)接口、火线接口(FireWire)、GPIO(General-Purpose Input-Output，通用输入输出)接口。

需要说明的是，本实施例不对移动终端获取系统升级包的时机作限定。

在一个示例中，移动终端在接收到服务器推送的系统升级包时获取该系统升级包。

在另一个实例中，移动终端在接收到升级指令时获取系统升级包。其中，升级指令可以是用户输入的，也可以是移动终端每隔预定时长生成的，本实施例对此不作限定。

在步骤102中，在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件。

本实施例通过在系统升级的过程中，将第一安全策略文件替换第二安全策略文件，使得移动终端不必在升级后的操作系统启动时，在启动脚本中设置第一系统文件对应的权限，提高了移动终端启动升级后的操作系统的速度。其中，系统升级的过程是指移动终端安装升级后的操作系统的过程。

移动终端通过第一安全策略文件替换第二安全策略文件，包括：通过第一安全策略文件替换位于文件系统中的第二安全策略文件，文件系统中的安全策略文件在操作系统启动时被加载至内核空间，内核空间是指虚拟内存中用于运行内核、内核扩展以及驱动程序的区块。由于移动终端每次启动升级后的操作系统时，都需要从文件系统中加载第二安全策略文件，因此，保证了该第二安全策略文件对升级后的操作系统长久有效。

需要说明的是，由于系统升级包中的第一安全策略文件可能通过压缩算法、加密算法、编译等进行了处理，因此，在本步骤之前，移动终端需要对该系统升级包进行解析以得到该第一安全策略文件。移动终端对系统升级包进行解析的方式与开发者将第一安全策略文件添加到系统升级包中的方式相对应，本实施例对此不作限定。比如：压缩算法为zip，对应的解压算法为zip解压算法；加密算法为对称加密算法，对应的解密算法为对称加密逆算法。

综上所述，本公开提供的方法，通过获取包括第一安全策略文件的系统升级包；在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件；解决了移动终端在升级后的操作系统启动时，在启动脚本中为第一系统文件设置默认权限，并将设置的权限添加到第二安全策略文件中，得到更新后的安全策略文件，导致移动终端根据更新后的第二安全策略文件确定出的第一系统文件对应的权限的准确性不高的问题；由于第一安全策略文件包括每个第一系统文件对应的权限，因此，移动终端可以根据该第一安全策略文件准确地确定出每个第一系统文件对应的权限，而不需要自行设置第一系统文件对应的权限，达到了提高移动终端确定第一系统文件对应的权限的准确性的效果。

另外，通过在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件，使得移动终端不必在升级后的操作系统启动时，在启动脚本中设置第一系统文件对应的权限，提高了移动终端启动升级后的操作系统的速度。

图2是根据另一示例性实施例示出的一种安全策略文件更新方法的流程图，在步骤102之后，该方法可以包括如下几个步骤。

在步骤201中，在升级后的操作系统启动时，从文件系统中加载第一安全策略文件。

移动终端中的第二安全策略文件保存在文件系统中，在升级后的操作系统启动的过程中，init进程(操作系统中层级最高的父进程)将文件系统挂载到/sys/fs/selinux/下，SEAndroid内核驱动程序通过该文件系统与用户空间中的应用程序进行通信，此时，该文件系统中的安全策略文件被加载到内核空间。其中，用户空间用于运行应用程序，该应用程序可以为系统应用，也可以为第三方应用。

在步骤202中，根据第一安全策略文件确定第一系统文件对应的权限。

在一个示例中，当存在一个进程或者文件需要访问第一系统文件时，移动终端根据第一安全策略文件确定该第一系统文件对应的权限，若第一安全策略文件指示该第一系统文件具有被该进程或者该文件访问的权限，则允许该进程或者该文件访问该第一系统文件；若第一安全策略文件指示该第一系统文件的权限不具有被该进程或者文件访问的权限，则禁止该进程或者该文件访问该第一系统文件。

比如：第一安全策略文件指示第一系统文件具有被init进程读和写的权限，当init进程需要读取第一系统文件时，移动终端允许init进程读取该第一系统文件；当init进程需要执行第一系统文件时，移动终端禁止init进程读取该第一系统文件。

在另一个示例中，当第一系统文件需要访问其他文件时，移动终端根据第一安全策略文件确定该第一系统文件对应的权限，若第一安全策略文件指示该第一系统文件具有访问其他文件的权限，则允许该第一系统文件访问其他文件；若第一安全策略文件指示该第一系统文件不具有访问其他文件的权限，则禁止该第一系统文件访问其他文件。

比如：第一安全策略文件指示第一系统文件具有读应用程序A的可执行文件的权限，当该第一系统文件需要读取该可执行文件时，移动终端允许第一系统文件读取该可执行文件；当该第一系统文件需要向该可执行文件写入数据时，移动终端禁止第一系统文件向该可执行文件写入数据。

综上所述，本公开实施例提供的方法，通过在升级后的操作系统启动时，从文件系统中加载第一安全策略文件，提高了升级后的操作系统的启动速度。

下述为本公开装置实施例，可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节，请参照本公开方法实施例。

图3是根据一示例性实施例示出的一种安全策略文件更新装置的框图。该装置具有实现上述方法示例的功能，所述功能可以由硬件实现，也可以由硬件执行相应的软件实现。该装置应用于第一终端设备中，该装置可以包括：获取模块310和替换模块320。

获取模块310，被配置为实现上述步骤101。

替换模块320，被配置为实现上述步骤102。

相关细节可参考图1所示的方法实施例。

综上所述，本公开提供的装置，通过获取包括第一安全策略文件的系统升级包；在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件；解决了移动终端在升级后的操作系统启动时，在启动脚本中为第一系统文件设置默认权限，并将设置的权限添加到第二安全策略文件中，得到更新后的安全策略文件，导致移动终端根据更新后的第二安全策略文件确定出的第一系统文件对应的权限的准确性不高的问题；由于第一安全策略文件包括每个第一系统文件对应的权限，因此，移动终端可以根据该第一安全策略文件准确地确定出每个第一系统文件对应的权限，而不需要自行设置第一系统文件对应的权限，达到了提高移动终端确定第一系统文件对应的权限的准确性的效果。

可选地，在基于图3所示实施例提供的另一个可选实施例中，如图4所示，

可选地，替换模块310，还被配置为：通过第一安全策略文件替换位于文件系统中的第二安全策略文件，文件系统中的安全策略文件在操作系统启动时被加载至内核空间，内核空间是指虚拟内存中用于运行内核、内核扩展以及驱动程序的区块。

可选地，该装置还包括：加载模块410和确定模块420。

加载模块410，被配置为实现上述步骤201。

确定模块420，被配置为实现上述步骤202。

可选地，获取模块310，还被配置为：通过空中接口接收服务器发送的系统升级包，系统升级包是空中下载技术OTA升级包，且系统升级包中的第一安全策略文件是由开发者编译并上传至服务器中的。

可选地，获取模块310，还被配置为：利用物理接口接收电子设备发送的系统升级包，系统升级包中的第一安全策略文件是由开发者在电子设备中编译的，或者是电子设备从服务器中下载的。

相关细节可参考图1和图2所示的方法实施例。

需要说明的一点是，上述实施例提供的装置在实现其功能时，仅以上述各个功能模块的划分进行举例说明，实际应用中，可以根据实际需要而将上述功能分配由不同的功能模块完成，即将设备的内容结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

关于上述实施例中的装置，其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述，此处将不做详细阐述说明。

本公开一示例性实施例还提供了一种安全策略文件更新装置，能够实现本公开提供的安全策略文件更新方法，该装置用于第一终端设备中，该装置包括：处理器，以及用于存储处理器的可执行指令的存储器。

其中，处理器被配置为：

获取系统升级包，该系统升级包包括第一系统文件和第一安全策略文件，该第一安全策略文件包括每个第一系统文件对应的权限，该第一系统文件是升级后的操作系统中的系统文件；

在系统升级的过程中，通过第一安全策略文件替换第二安全策略文件，该第二安全策略文件包括每个第二系统文件对应的权限，该第二系统文件是升级前的操作系统中的系统文件。

图5是根据一示例性实施例示出的一种装置500的框图。例如，装置500可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，医疗设备，健身设备，个人数字助理等。

参照图5，装置500可以包括以下一个或多个组件：处理组件502，存储器504，电源组件506，多媒体组件508，音频组件510，输入/输出(I/O)的接口512，传感器组件514，以及通信组件516。

处理组件502通常控制装置500的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件502可以包括一个或多个处理器518来执行指令，以完成上述的方法的全部或部分步骤。此外，处理组件502可以包括一个或多个模块，便于处理组件502和其他组件之间的交互。例如，处理组件502可以包括多媒体模块，以方便多媒体组件508和处理组件502之间的交互。

存储器504被配置为存储各种类型的数据以支持在装置500的操作。这些数据的示例包括用于在装置500上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器504可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(SRAM)，电可擦除可编程只读存储器(EEPROM)，可擦除可编程只读存储器(EPROM)，可编程只读存储器(PROM)，只读存储器(ROM)，磁存储器，快闪存储器，磁盘或光盘。

电源组件506为装置500的各种组件提供电力。电源组件506可以包括电源管理系统，一个或多个电源，及其他与为装置500生成、管理和分配电力相关联的组件。

多媒体组件508包括在所述装置500和使用者之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(LCD)和触摸面板(TP)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自使用者的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件508包括一个前置摄像头和/或后置摄像头。当装置500处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件510被配置为输出和/或输入音频信号。例如，音频组件510包括一个麦克风(MIC)，当装置500处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器504或经由通信组件516发送。在一些实施例中，音频组件510还包括一个扬声器，用于输出音频信号。

I/O接口512为处理组件502和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件514包括一个或多个传感器，用于为装置500提供各个方面的状态评估。例如，传感器组件514可以检测到装置500的打开/关闭状态，组件的相对定位，例如所述组件为装置500的显示器和小键盘，传感器组件514还可以检测装置500或装置500一个组件的位置改变，使用者与装置500接触的存在或不存在，装置500方位或加速/减速和装置500的温度变化。传感器组件514可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件514还可以包括光传感器，如CMOS或CCD图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件514还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件516被配置为便于装置500和其他设备之间有线或无线方式的通信。装置500可以接入基于通信标准的无线网络，如WiFi，2G或3G，或它们的组合。在一个示例性实施例中，通信组件516经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件516还包括近场通信(NFC)模块，以促进短程通信。例如，在NFC模块可基于射频识别(RFID)技术，红外数据协会(IrDA)技术，超宽带(UWB)技术，蓝牙(BT)技术和其他技术来实现。

在示例性实施例中，装置500可以被一个或多个应用专用集成电路(ASIC)、数字信号处理器(DSP)、数字信号处理设备(DSPD)、可编程逻辑器件(PLD)、现场可编程门阵列(FPGA)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述方法。

在示例性实施例中，还提供了一种包括指令的非临时性计算机可读存储介质，例如包括指令的存储器504，上述指令可由装置500的处理器518执行以完成上述方法。例如，所述非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

一种非临时性计算机可读存储介质，当所述存储介质中的指令由装置500的处理器执行时，使得装置500能够执行上述方法。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。

本领域技术人员在考虑说明书及实践这里的公开后，将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由下面的权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限制。