使用钥托管服务使得用户在安全服务提供商之间选择的制作方法

分案说明

本申请属于申请日为2012年08月10日的中国发明专利申请201280001114.7的分案申请。

相关申请

本申请请求于2011年9月15日提交的、申请号为61/535,329、标题为“enablinguserstoselectbetweensecureserviceprovidersusingakeyescrowservice”的美国临时专利申请的优先权。上述优先权申请的完整文本通过引用完全在此合并。

目前披露涉及用于使得移动设备用户从可获得信任服务管理器(“tsm”)进行选择用于完成安全交易、通信和其他任务的系统和方法。

背景技术：

当前近场通信(“nfc”)生态系统依赖在通信设备上安装地通常被称为“安全组件”的一个硬件，用于为金融交易、交通票务、识别和身份验证、物理安全访问等功能提供安全的操作环境。安全组件一般在自身的操作环境中包括防干扰微处理器、存储器和操作系统。可信服务管理器(tsm)例如安装、提供和个性化安全组件。安全组件具有一般在制造时安装的一个或多个钥。对应钥由tsm共享，以便tsm可以建立到安全组件的密码安全通道，用于安装、提供和个性化安全组件，并同时具有安全组件的设备由终端用户拥有。通过这种方式，安全组件可以仍然安全，即使设备中的主机cpu已经受损。

当前nfc系统的问题在于：安全组件和tsm之间具有紧密耦合。对于当前部署，仅仅一个tsm访问特定安全组件的钥。因此，终端用户可以选择提供由仅一个tsm提供的安全组件结构。该tsm一般由设备制造商选择。例如，智能手机制造商可在购买智能手机而非最终用户的移动网络运营商(“mno”)(诸如sprint或verizon)的指导下选择智能手机的tsm。因此，提供给最终用户的tsm特性可能不符合最终用户的兴趣。例如，mno可能和仅一个支付服务提供商具有业务关系，诸如mastercard或美国银行。该tsm可使得向安全组件提供来自仅一个支付提供商的支付指令。因此，最终用户将无法访问来自其他支付提供商的服务，诸如visa。

发明概述

在某些示例性实施例中，一种向包括安全组件的网络设备提供安全服务的方法包括对于所述安全组件维护至少一个密钥的计算机。所述至少一个密钥可操作以通过安全通信通道提供对所述安全组件的安全访问。所述计算机从网络设备接收安全服务提供商的选择。所述计算机响应接收所述选择向所选择安全服务提供商传送至少一个密钥。

通过示例性实施例的如下详细描述，本发明的这些和其他方面、目的、特点、优势将对本领域技术人员变得明显，所述示例性实施例包括目前设想的执行本发明的最佳模式。

附图简述

图1描述根据某些示例性实施例的近场通信(“nfc”)系统。

图2是描述根据某些示例性实施例用于在图1的nfc系统中改变安全服务提供商的方法的块流程图。

图3描述根据某些示例性实施例的另一nfc系统。

图4是描述根据某些示例性实施例用于在图3的nfc系统中改变安全服务提供商的方法的块流程图。

发明详述

概述

本文所述方法和系统使得通信设备(诸如移动电话)的终端用户选择安全服务提供商以使用在通信设备上存储的安全组件。在一个实施例中，系统包括钥托管服务，所述钥托管服务管理一个或多个用户以及一个或多个安全服务提供商的密钥。通常，安全组件和安全组件的一个或多个密钥在通信设备被制造时安装在每个用户通信设备上。这些钥或对应钥被提供给钥托管服务。每个用户设备还包括服务提供商选择器(“sps”)模块或使得用户从可获得的安全服务提供商进行选择的软件应用。sps响应用户选择通过安全通道向用户的安全组件传输识别所选择服务提供商的信息。钥托管服务向所选安全服务提供商的可信服务管理器(“tsm”)提供用户安全组件的钥。钥托管服务也从用户之前的安全服务提供商的tsm撤销用户安全组件的钥。此外，sps可以防止未经授权的安全服务提供商(诸如如之前的安全服务提供商)访问安全组件。

在另一个实施例中，中央tsm代表其他安全服务提供商执行业务逻辑和应用提供。并非向所选安全服务提供商分发密钥，中央tsm作为所选安全服务提供商和通信设备上安装的安全组件之间的代理。

本文所述示例性系统和方法克服了传统nfc系统的缺陷：使得用户仅访问一个安全服务提供商的服务。并非受限于由一个安全服务提供商提供的功能和服务，用户可以选择多个安全服务提供商。例如，如果安全服务提供商并没有提供用户希望的服务，诸如通过特定品牌的信用卡进行支付，用户可以选择提供这些服务的安全服务提供商。

示例性实施例的一个或多个方面可包括内嵌本文所述和所示功能的计算机程序，其中计算机程序被实施在计算机系统中，计算机系统包括在机器可读介质上存储的指令以及执行指令的处理器。但是，明显地是：可以许多不同方式在计算机编程中实施示例性实施例，示例性实施例不应理解为限于任何一组计算机程序指令。进一步，本领域程序人员可编写该计算机程序以基于附加流程图和应用文本中的相关描述实施实施例。因此，特定程序代码指令的公开并不认为必要于充分理解如何制造和使用示例性实施例。此外，对计算机执行操作的任何引用不应理解为由一台计算机执行，操作可以由一台以上的计算机执行。结合示出程序流的附图阅读，示例性实施例的功能将在如下描述中更详细地解释。

现在转到附图，其中相同的附图标记在图中指示相同的组件，详细描述示例性实施例。

系统架构

图1描述根据某些示例性实施例的近场通信(“nfc”)系统100。如图1所示，系统100包括一个或多个终端用户网络设备110，一个或多个应用提供商180，钥托管服务150，移动网络运营商(“mno”)130，多个安全服务提供商160。每个应用提供商180，钥托管服务150，以及安全服务提供商160包括经配置以通过互联网140通信的网络设备。例如，每个应用提供商180，密钥托管服务150和安全服务提供商160可包括服务器、台式计算机、笔记本计算机、平板计算机、智能手机、掌上计算机、个人数字助理(pda)、或任何其他有线或无线的处理器驱动设备。在一个实施例中，钥托管服务150包括(或可通信地耦合)用于接收请求以改变(或选择)可获得安全服务提供商160的第一网络通信模块和用于向安全服务提供商160传送密钥120的第二网络通信模块。第一和第二网络通信模块可以是相同或不同的网络通信模块。

终端用户网络设备110可以是手机、智能手机、pda上网本计算机、笔记本计算机、平板计算机或任何其他有线或无线的处理器驱动装置。如图1所示，终端用户网络设备110通过mno130访问互联网140。示例性mno包括verizon、sprint和at&t。mno通过移动网络(未示出)(诸如3g和4g移动通信网络)向终端用户网络设备110提供互联网访问。当然，终端用户网络设备110可以通过其他机制访问互联网140，诸如和因特网提供商连接的wi-fi。

终端用户网络设备110每个包含具有一个或多个密钥120、nfc控制器112、nfc天线113、主机cpu114以及sps115的安全组件111。nfc控制器112和nfc天线113使得终端用户网络设备110与其他nfc使能设备(未示出)通信。例如，终端用户网络设备110可以与nfc使能销售点(pos)设备、票务设备、安全设备和其他终端用户网络设备110通信。

主机cpu114执行在终端用户网络设备110上存储的应用程序。例如，主机cpu114可以执行和nfc控制器112交互的应用，诸如使得用户操作终端用户网络设备110以借助nfc使能pos完成购买的nfc支付应用或使得用户经过nfc使能票务pos输入运输设施或事件的运输或事件票务应用。其他应用程序(包括识别、验证、安全性和优惠券剪辑和偿还应用)也可存储在终端用户网络设备110上，用于由主机cpu114结合nfc控制器112和nfc天线113执行。

每个应用可由各自的应用提供商180提供。例如，信用卡公司可提供信用卡付款应用；运输或其它票务公司可提供票据购买和偿还应用；制造商、零售商或销售产品或服务的其他实体可提供优惠券应用；以及认证公司可提供用户认证应用。

nfc应用程序通常存储在终端用户网络设备110的安全组件111上用于安全目的。安全组件111提供nfc(或其他)应用的安全操作环境。安全组件111的自身操作环境一般包括防干扰微处理器，操作系统，和存储信息(诸如付款证书)的存储器。安全组件111可存在于终端用户网络设备110的固定芯片中，用户识别模块(“sim”)卡，通用集成电路卡片(“uicc”)，可移动智能芯片，或存储卡(诸如，microsd卡)中。安全组件111也可包括存储器控制器用于管理只读存储器(“rom”)、准备访问存储器(“ram”)，和其中安装安全组件111的卡或芯片的eeprom闪存。

一般来说，安全服务提供商160作为中介机构，协助应用提供商180和其他服务提供商安全分发和管理应用和服务，诸如nfc非接触式应用服务。安全服务提供商160的tsm170一般托管应用并将应用安装和提供到安全组件111上。如图1所示，每个tsm170可以接收、存储和利用用户的安全组件111的钥120。通过使用密120，tsm170可以通过安全加密通信通道访问安全组件111以安装、供应和定制安全组件111中的应用。示例性安全服务提供商160包括gemalto和firstdata。

在某些示例性实施例中，安全服务提供商160当与安全组件111通信时绕过主机cpu114和nfc控制器112。例如，在某些uicc/sim安全组件中，安全服务提供商160通过在终端用户网络设备110上安装的无线电cpu(未示出)与安全组件111进行通信。因此，在某些示例性实施例中，nfc控制器112和主机cpu114的包括在安全组件111上提供应用期间是可选的。在某些示例性实施例中，主机cpu114和射频cpu相互作用来协调访问对安全组件111的控制。

钥托管服务150维护安全组件111的钥120。钥托管服务150也例如根据用户选择向tsm170分发钥。例如，如果用户选择从第一安全服务提供商160a切换到第二安全服务提供商160b，钥托管服务150撤销第一tsm170a的钥120并提供到第二tsm170b的钥120。第二tsm170可以然后访问用户网络设备110的安全组件111。

sps115被实施在软件和/或硬件中并允许终端用户网络设备110的用户通过钥托管服务150选择或改变安全服务提供商160。sps115提供允许用户选择安全服务提供商160的用户界面。对用户选择进行响应，sps115向钥托管服务150传送关于所选安全服务提供商160的信息。钥托管服务150也可以通过一个或多个离路径机制确认选择。下文参考图2中所示方法更详细地描述sps115、钥托管服务150和示例性系统100的其他组件。

图3描述根据某些示例性实施例的另一nfc系统300。示例性系统300包括和系统100多个相同组件，包括一个或多个终端用户网络设备110、一个或多个应用提供商180、mno130以及多个安全服务提供商160。然而，并非使用钥托管服务150，系统300包括中央管理tsm350。管理tsm350包括经配置与因特网通信140的网络设备，诸如服务器、台式计算机、笔记本计算机、平板计算机，智能手机、掌上计算机、pda、或其他有线或无线的处理器驱动装置。类似于钥托管服务150，管理tsm350维护安全组件111的密钥120并使得用户操作终端用户网络设备110以在多个安全服务提供商160进行选择。并非向所选tsm170分发钥120，管理tsm350可以代表所选安全服务提供商160与安全组件111交互。即，管理tsm350可以安装，提供并与在安全组件111上安装的应用交互。或者，管理tsm350可以建立(和中断)所选tsm170和安全组件111之间的安全通信通道，以至于所选tsm170可以与安全组件111交互。该安全通信通道可使用和安全组件111不相关的不同钥加密，并可特定于每个安全服务提供商160。管理tsm350也可以代表安全服务提供商160执行业务逻辑。下文参考图4所示方法更详细描述管理tsm350和图3的其他组件。

系统处理

图2是描述用于在图1的nfc系统100中改变安全服务提供商的方法200的块流程图。参考图1所示组件描述方法200。

在步骤205，对安全组件111提供一个或多个安全密钥120。在某些示例性实施例中，安全组件111和其钥120在制造时安装在终端用户网络设备110上。在某些示例性实施例中，安全组件111和其钥120被安装在可移动卡片或芯片上，诸如sim卡或microsd卡，其在以后安装在终端用户网络设备110上。

在步骤210，安全组件111的钥120或相应钥被提供到钥托管服务150。这些钥120使得钥托管服务150(或接收钥120的另一实体)创建安全通信通道，并获得对安全组件111的访问。可选地，钥120也被提供到安全服务提供商160的tsm170。一般来说，安全服务提供商160和安全组件111的tsm170由终端用户网络设备110的制造商通常在购买终端用户网络设备110的mno130的指导下进行选择。在这种情况下，钥120被提供给tsm170。可替换地，钥120仅被提供给钥托管服务150。在这种情况下，操作终端用户网络设备110(或另一实体，诸如mno130)的用户可以使用sps115进行安全服务提供商160的初始选择。

在步骤215，用户使用sps115选择安全服务提供商160，以及因此的tsm170。例如，用户可以使用终端用户网络设备110访问sps115。sps115提供用户界面，列出可获得安全服务提供商160以及可选地由安全服务提供商160支持的服务。例如，sps115可显示非接触事务由每个安全服务提供商160支持的金融机构。在另一个例子中，sps115可显示由每个可获得安全服务提供者160提供并支持的应用。在另一个示例中，sps115可提供搜索功能，允许用户基于他们的特性和服务搜索安全服务提供商160。当用户发现适当的安全服务提供商160，用户可以使用sps115选择该安全服务提供商160。

在步骤220，sps115响应用户选择向钥托管服务150传送使用所选服务提供商160的请求。请求通常包括识别所选安全服务提供商160的信息。对接收请求进行响应，钥托管服务150处理请求。

在步骤225，钥托管服务150执行离路径确认程序以确认用户发起请求以使用所选安全服务提供商160。该步骤225是可选的，并为sps115/密钥托管服务150系统提供进一步的安全级别，例如当终端用户网络设备110丢失或被盗时防止他人访问该特性。

在一个实施例中，离路径确认过程包括钥托管服务150与用户通信，经过和终端用户网络设备110不同的通信通道进行请求。例如，钥托管服务150可向指示请求的用户的移动电话传送sms文本消息。或者，钥托管服务150可向使用消息进行请求的用户进行电话呼叫。如果用户不进行请求，短信或语音信息可指示用户调用特定的电话号码。钥托管服务150也可以要求用户确认请求。例如，文本消息可指示用户响应文本信息，访问钥托管服务150的网站，或呼叫钥托管服务150以确认请求。此外，代码可以在消息中提供给用户，以及可要求用户通过电话或通过网站输入代码以确认请求。

在步骤230，如果另一tsm170处理安全组件115的钥120，钥托管服务150撤销之前tsm170的钥120。在一个实施例中，钥托管服务150向之前tsm170发送消息(例如sms文本消息)，要求tsm丢弃钥120。安全服务提供商160可具有义务履行合同以响应该请求丢弃钥120。

在另一个实施例中，钥托管服务150通过指令安全组件111阻断之前tsm170而撤销之前tsm170的钥120。安全组件111可以包含程序代码，识别试图访问安全组件111的tsm170和可允许和/或阻止tsm170的列表。当tsm170试图访问安全组件111时，安全组件111可以比较识别该tsm170的信息与列表用于确定是否授权访问。该钥托管服务150也可以向之前tsm170发送请求，请求之前tsm丢弃钥120。当然，如果用户再次选择tsm160的安全服务提供商160，阻塞tsm170可以畅通无阻。对于示例中，钥托管服务150可向安全组件111发送消息，请求安全组件110开启tsm170。

在另一个实施例中，钥托管服务150经过使用主钥和tsm特定钥撤销之前tsm170的钥120。tsm特定钥可对于每个可获得tsm或所选tsm170被提供到安全组件111。tsm特定钥也被分发到各自的tsm170。tsm特定钥可以在制造时被加载到安全组件111，或在稍后日期由钥托管服务150安装，或者响应用户选择tsm170由钥托管服务150安装。安全组件111可以控制哪些tsm特定钥有效，以及哪些tsm特定钥无效。例如，如果用户请求从安全服务提供商160a切换到安全服务提供商160b，sps115向安全组件111的钥管理applet或模块(未示出)通信该请求(以及识别所选tsm170b的信息)。该钥管理applet响应请求以激活tsm170b的tsm特定钥并无效tsm170a的tsm特定钥。此时，安全组件111允许访问tsm170b而阻止来自tsm170a的访问。

在步骤235，从安全组件111去除在安全组件111上存储的涉及之前tsm170和/或之前安全服务提供商160的信息。例如，和之前tsm170相关的支付卡证书被存储在安全组件111上，而tsm170正结合安全组件111一起使用。在使得另一tsm170访问安全组件111之前，这些证书被从安全组件111移除。此外，在安全组件111上安装的之前tsm170的任何应用程序被卸载。在某些示例性实施例中，钥托管服务150向安全组件111的applet或模块(诸如卡管理applet)发送命令以删除涉及之前tsm170的信息。

在步骤240，钥托管服务150向所选安全服务提供商160的tsm170传递钥120。这种传输通常通过安全通信通道进行。例如，钥托管服务150通过加密通信通道向所选tsm170发送钥120。在步骤245，所选tsm170接收钥120。

在某些示例性实施例中，钥托管服务150延迟向所选安全服务提供商160的tsm170传送钥120，直到接收到涉及之前tsm170的信息和应用已从安全组件111去除的确认。在一些实施例中，在没有从用户接收用户请求使用所选安全服务提供商160的确认的情况下，钥托管服务150不向所选安全服务提供商160的tsm170传送钥120。

在步骤250，所选安全服务提供商160的tsm170尝试使用所接收钥120创建和安全组件111的安全通信通道。在一个实施例中，tsm170向安全组件111发送加密消息，请求访问安全组件111。tsm170通过使用所接收钥120对消息执行加密算法而加密消息。

在步骤255，安全组件111决定是否批准访问tsm170。在一个实施例中，安全组件111的处理器使用在安全组件111上存储的钥120对所接收消息执行加密算法以确定是否授权访问tsm170。

在某些示例性实施例中，在安全组件111确认tsm170之前，sps115关于是否授予访问tsm170进行初始确定。例如，当终端用户网络设备110接收访问安全组件111的请求时，sps115可以评估请求以确定发出请求的tsm170是否是请求被传递到安全组件111之前用户请求的tsm170。如果sps115确定发出请求的tsm170是所选tsm170，则安全组件111可根据步骤255的操作验证请求。

如果安全组件111授予访问tsm170，方法200沿着“是”分支进行到步骤265。否则，如果安全组件111确定tsm170应该被阻断，方法200沿着“否”分支进行到步骤260。

在步骤260，安全组件111阻断tsm170访问安全组件111。安全组件111也可以向tsm170发送消息，向tsm170通知tsm170没有被授予访问。

在步骤265，tsm170在安全组件111提供服务。tsm170向安全组件111传送一个或多个应用以及这些应用使用的证书。应用可以由用户选择。例如，用户可以请求来自应用提供商180的应用。作为回应，应用提供商180请求tsm170向用户的安全组件111安装应用。应用提供商180也可以向tsm170提供关于用户或用户的账户信息的信息用于存储在安全组件111。例如，信用卡公司可向tsm170提供支付应用和关于用户支付账户的信息用于安装/存储在安全组件111上。在某些示例性实施例中，用户可以请求来自钥托管服务150或安全服务提供商160的应用程序。

在步骤270，用户访问所选安全服务提供商160结合一个或多个应用提供商180所提供的服务。例如，如果应用提供商180是信用卡公司，用户可以在nfc使能pos使用终端用户网络设备110完成购买。nfc控制器112可与安全组件111安全交互，以获得来自安全组件111的支付证书以及经过nfc天线113向nfc使能pos提供这些证书。

在步骤270之后，该方法200结束。当然，用户可以继续访问由所选安全服务提供商160提供的服务或切换到另一个安全服务提供商160。

图4是描述根据某些示例性实施例用于在图3的nfc系统300中改变安全服务提供商的方法400的块流程图。参考图3所示组件描述方法400。

在步骤405，为安全组件111提供一个或多个安全密钥120。在某些示例性实施例中，安全组件111和其钥120在制造时被安装在终端用户网络设备110。在某些示例性实施例中，安全组件111和其钥120被安装在可移动的卡片或芯片商，诸如sim卡或microsd卡，这在以后安装在终端用户网络设备110上。

在步骤410，安全组件111的钥120或相应的密被提供给管理tsm350。这些钥120使得管理tsm350(或接收钥120的另一实体)创建安全通信通道并获得对安全组件111的访问。

在步骤415，用户使用sps115选择安全服务提供商160。该步骤415可以相同或相似于图2中所示及上文所述的步骤215。在步骤420，sps115响应用户选择向管理tsm350传送请求以使用所选服务提供商160。请求通常包括识别所选安全服务提供商160的信息。对接收请求进行响应，管理tsm350处理请求。

在步骤425，管理tsm350执行离路径确认程序以确认用户发起请求使用所选安全服务提供商160。该步骤是可选的，并实质上类似于上述图2所述的步骤225。然而，管理tsm350在步骤425而非钥托管服务150执行离路径确认。

在步骤430，从安全组件111去除在安全组件111上存储的涉及之前tsm170和/或之前安全服务提供商160的信息。例如，和之前tsm170相关的支付卡证书被存储在安全组件111上，而tsm170正结合安全组件111一起使用。在使得另一tsm170访问安全组件111之前，这些证书被从安全组件111移除。此外，在安全组件111上安装的之前tsm170的任何应用程序被卸载。在某些示例性实施例中，管理tsm350向安全组件111的applet或模块(诸如卡管理applet)发送命令以删除涉及之前tsm170的信息。

在步骤435，管理tsm350创建和用户选择的安全服务提供商160的安全通信通道。这个安全通信通道可例如使用不同于钥120的一个或多个钥加密。如得益于目前披露的本领域技术人员可理解的，其他加密技术也可以使用。

在步骤440，管理tsm350通知用户已选择的所选安全服务提供商160以访问该安全服务提供商160的服务。管理tsm350也可以代表用户请求来自安全服务提供商160的一个或多个应用。或者，用户可以请求来自应用提供商180和应用提供商180的一个或多个应用，接下来向安全服务提供商160传送请求以向用户的安全组件111提供一个或多个应用。在步骤445，所选安全服务提供商160向管理tsm350传送请求的应用程序和其他合适信息。例如，该其他合适信息可包括访问安全服务的证书，诸如支付卡证书。

在步骤450，管理tsm350使用一个或多个钥120创建与安全组件111的安全通信通道。在步骤455，管理tsm350提供在安全组件111的服务。管理tsm350向安全组件111传送一个或多个应用以及这些应用使用的证书。管理tsm350也可以向安全组件111提供关于用户或用户账户的信息。例如，信用卡公司可向管理tsm350提供支付应用和关于用户支付账户的信息用于安装/存储在安全组件111上。

在步骤460，这是可选的，管理tsm350执行所选安全服务提供商160的业务逻辑并作为安全服务提供商160之间的代理或中介。管理tsm350执行的业务逻辑的示例包括：验证用户是否拥有合作金融机构的支付卡，验证用户提供的信用卡证书以便信用卡可以提供给安全组件111，验证所选安全服务提供商160是否对终端用户网络设备150通信的mno130上的给定终端用户网络设备150提供所请求服务，从用户接收提供请求并翻译安全组件111的供应指令。

在步骤465，用户访问所选安全服务提供商160结合一个或多个应用提供商180所提供的服务连接与。例如，如果应用提供商180是信用卡公司，用户可以使用nfc使能pos的终端用户网络设备110偿还门票。nfc控制器112可与安全组件111安全地交互以从安全组件111获取交通罚单证书，并经过nfc天线113向nfc使能pos提供这些证书。

在步骤465之后，该方法400结束。当然，用户可以继续访问所选安全服务提供商160提供的服务或切换到另一个安全服务提供商160。

总结

之前呈现实施例中所述的示例性方法和步骤仅仅是示例性的，并在可替换实施例中，在没有背离本发明范围和精神的情况下，某些步骤可以以不同顺序、彼此平行、全部省略而执行，和/或不同示例性方法之间组合，和/或可以执行某些其他步骤。因此，这些可替换实施例都包括在本文所述的本发明中。

本发明可用于计算机硬件和软件以执行上述方法和处理功能。如本领域技术人员可理解地：系统、方法和本文所述程序可以体现在可编程计算机，计算机可执行软件或数字电路。该软件可以存储在计算机可读媒体上。例如，计算机可读媒体可以包括软盘、ram、rom、硬盘、可移动媒体、闪存、记忆棒、光学媒体、磁媒体，cd-rom等。数字电路可以包括集成电路、逻辑闸阵列、构建块、现场可编程门阵列(“fpga”)等等。

尽管已详细描述本发明的特定实施例，但描述只是为了说明。除了以上所述，本领域技术人员可以进行对于示例性实施例的各种修改和对应等效步骤，而不偏离所附权利要求定义的本发明的精神和范围，所附权利要求的范围被赋予最宽泛的解释，以便包含这样的修改和等效结构。