一种可信身份认证方法、系统、存储介质、云计算终端与流程

本发明属于身份认证技术领域，尤其涉及一种可信身份认证方法、系统、存储介质、云计算终端。

背景技术：

目前，当两个用户不归属于同一个信任域，即不信任同一个权威认证机构(ca,certificateauthority)时，互相的身份认证就需要跨信任域建立信任关系。传统公钥基础设施(publickeyinfrastructure，pki)的跨域信任关系建立方式是通过两个权威认证机构ca之间事先进行多次互相签名颁发交叉证书，使权威认证机构ca之间相互信任并建立相应的信任模型，通过构建复杂的信任链传递信任关系，完成跨域用户身份的可信认证。

现有网络中包含严格层次、网状、桥型和混合型等多种信任模型，不同公钥基础设施pki之间可能采取相同或不同的信任模型，构建跨域信任关系时需要在不同信任模型的认证机构ca之间互相颁发交叉证书，造成证书信任链路径的搜索十分复杂，无法快速验证证书的有效性和真实性。当参与信任模型的认证机构ca数量增多，可能出现环形信任路径等问题导致无法构建可用信任链，使得跨域身份认证无法正常进行。

通过上述分析，现有技术存在的问题及缺陷为：目前多云、多域融合计算中用户身份的跨域可信认证流程复杂、时间开销大。

解决以上问题及缺陷的难度为：现有网络中包含信任模型种类繁多，不同pki之间可能采取不同的信任模型，跨域场景下构建信任关系十分复杂困难。传统区块链中区块结构固定，随链长增加证书所需额外存储资源消耗增加，且线性逐块查询效率低。

解决以上问题及缺陷的意义为：

(1)本发明提出了基于区块链的多pki融合的分布式认证机制，使用区块链技术在多ca之间建立信任关系，可以在本地完成证书的真实性和有效性查询，简化信任关系的传递流程，完成跨域pki用户之间分布式身份认证的快速响应，实现域内、跨域用户身份的高效可信认证。

(2)本发明提出基于区块链的多域分布式pki证书链融合方法，并对原有区块结构做出改进，认证节点可以在本地完成对跨域用户的数字证书真实性和有效性的验证，保证跨域身份认证的效率。

(3)本发明提出分布式pki区块链的轻量化方法，降低认证节点中瘦节点的存储空间压力，提高查询效率。

技术实现要素：

针对现有技术存在的问题，本发明提供了一种可信身份认证方法、系统、存储介质、云计算终端。

本发明是这样实现的，一种可信身份认证方法，所述可信身份认证方法包括：

多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构之间建立跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链；

分布式公钥基础设施系统中将数字证书及其状态通过区块链技术存储，域中认证机构节点写入区块链后，域内每个认证节点都同步有完整的证书链。当用户实体需要跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信；

在构建跨域认证通道时，各认证机构节点将不同域的证书区块链融合成新链交由所有认证节点同步存储，当认证节点加入多条认证通道后存储多个含有重复证书的区块链。

进一步，所述可信身份认证方法包括：

第一步，分布式的公钥基础设施系统中将数字证书及状态通过区块链技术存储，域中认证机构节点完全控制区块链的写入权限，每个认证节点都从其处同步区块链信息，用户实体请求身份认证时认证节点在本地完成对验证数字证书有效性的验证；

第二步，在多域分布式公钥基础设施身份认证架构中，认证节点采用双重布谷鸟过滤器加快证书有效性的查询速度；

第三步，在多域分布式公钥基础设施架构中，每个区块由区块头和区块体两部分构成，其中其块头存储该区块的特征信息标识一个唯一的区块，区块体中储存区块所包含的数字证书及操作，区块头中特征信息是区块体的消息摘要。

进一步，所述可信身份认证方法的跨域认证总体架构，多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构机构之间建立起一条新的跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链，认证在节点本地完成。

进一步，所述第二步当用户实体跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信，供用户跨域身份认证时验证数字证书的有效性。

进一步，所述跨域身份为域a和域b，域a和域b之间构建跨域认证通道包括：

(1)认证机构节点a向认证机构节点b提出构建跨域认证通道的请求；

(2)认证机构节点b在本地查询验证域a的权限，若信任域a，则与其建立跨域认证通道，进入下一步；若不与域a相互信任，则拒绝该请求；

(3)认证机构节点b通知认证机构节点a接受其建立跨域认证通道的请求；

(4)认证机构节点a、b相互向对方发送自己域内的区块链上的所有区块；

(5)认证机构节点a、b各自根据接收到的对方区块链和自己的区块链，按照时间顺序将区块重新打包，构建成新的证书区块链；

(6)认证机构节点a、b互相查询对方构建的新区块链，并验证是否与自己构建的链一致，若不一致则删除新认证通道及区块链；

(7)若双方验证一致，则新认证通道构建成功，并通知对方启用；

(8)通知各自域内节点启用新跨域认证通道并同步新区块链；

跨域认证通道建立后，域a中的每个认证节点都维护有至少包含一个域a的域内认证通道和一个域a-域b的跨域认证通道，两个域之间的用户实体凭借原有数字证书进行跨域身份认证时，认证节点在本地完成对跨域用户数字证书的验证。

进一步，所述第三步在多域公钥基础设施融合后的跨域认证通道中，数字证书按照时间顺序重新打包构成区块链，链中多个认证机构所颁发的数字证书交替出现，使逐块遍历区块链需花费额外的查询时间，在区块头中增加同认证机构前区块序列号字段，与本区块ca_id编号相同的、最近区块的序列号，将同一个认证机构所颁发的数字证书连接起来，在查询数字证书有效性时，根据该字段只遍历颁发该证书的认证机构所提交的区块；

所述第四步包括三种针对区块体的轻量化方法：

(1)冗余删除，多域分布式公钥基础设施系统中认证节点选择的加入数个跨域认证通道，将所有的跨域认证通道区块链中属于本域数字证书区块的区块体删除，只保存区块头用于验证证书有效性；

(2)过期删除，删除之前区块链中所有针对该数字证书操作的过期区块体，仅保留针对该证书的最后一个区块的区块体供认证节点查询证书当前状态；

(3)全量删除，(1)和(2)满足多链区块的存储时，删除所有区块的区块体。

本发明的另一目的在于提供一种接收用户输入程序存储介质，所存储的计算机程序使电子设备执行权利要求任意一项所述包括下列步骤：

多公钥基础设施融合的分布式认证机制基于去中心化的公钥基础设施证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在认证机构之间建立跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链；

分布式公钥基础设施系统中将数字证书及其状态通过区块链技术存储，域中认证机构节点写入区块链后，域内每个认证节点都同步有完整的证书链。当用户实体需要跨域身份认证时，认证机构节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信；

在构建跨域认证通道时，各认证机构节点将不同域的证书区块链融合成新链交由所有认证节点同步存储，当认证节点加入多条认证通道后存储多个含有重复证书的区块链。

本发明的另一目的在于提供一种实施所述可信身份认证方法的可信身份认证系统，所述可信身份认证系统包括：

系统构建模块，用于基于区块链的多公钥基础设施融合证书服务系统构建方法，使多个独立的公钥基础设施系统通过区块链的方式完成交叉认证，实现了跨域用户身份的可信认证；

分布式证书验证模块，用于基于区块头节点的数字证书认证查询方法，并设计适用于多域公钥基础设施证书链的区块结构，实现多域场景下的分布式证书验证。

进一步，所述公钥基础设施系统包括：数据存储层、核心服务层、用户层、共识层；

跨域区块链由多个认证机构共同维护，采用联盟链的模式，在共识层使多个认证机构机构达成分布式一致性共识，将颁发/吊销的数字证书写入区块链，供认证节点同步验证。

本发明的另一目的在于提供一种安装有所述可信身份认证系统的云计算终端。

结合上述的所有技术方案，本发明所具备的优点及积极效果为：本发明基于区块链的多pki融合身份认证架构，使用区块链技术在多ca之间建立信任关系，简化信任关系的传递流程，完成跨域pki用户之间分布式身份认证的快速响应。本发明针对多个独立pki跨域身份认证信任链构建复杂且查询时间开销大的问题，提出了基于区块链的多pki融合证书服务系统构建方法，使多个独立的pki系统通过区块链的方式完成交叉认证，实现了跨域用户身份的可信认证。本发明针对多域pki证书链融合导致区块链长度增加给认证节点带来的空间开销压力，提出基于区块头节点的数字证书认证查询方法，并设计适用于多域pki证书链的区块结构，减少长链逐块查询带来的时间开销，实现多域场景下的分布式证书验证。

本发明多pki融合的分布式认证机制基于去中心化的pki证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在ca机构之间建立起一条新的跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链，此后每个节点都存有不同信任域的数字证书，可以在本地完成证书的真实性和有效性查询，保障认证的效率。多域分布式pki架构在去中心化pki架构的数据存储层、核心服务层和用户层的基础上增加了共识层，共识层则采用raft协议使各ca节点达成共识。跨域区块链由多个ca共同维护，采用联盟链的模式，需要在共识层使多个ca机构达成分布式一致性共识，才能够将颁发/吊销的数字证书写入区块链，供认证节点同步验证。

本发明提出基于区块链的多域分布式pki证书链融合方法，保证跨域身份认证的效率。分布式的pki系统中将数字证书及其状态通过区块链技术存储，域中ca节点写入区块链后，域内每个认证节点都同步有完整的证书链。当用户实体需要跨域身份认证时，ca节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信，供用户跨域身份认证时验证数字证书的有效性。跨域认证通道建立后，认证节点可以在本地完成对跨域用户的数字证书真实性和有效性的验证，避免复杂的信任链追溯导致的查询效率低下等问题。为了增加查询效率，针对多域pki融合后区块链长度增加带来的查询效率进一步降低的问题，对原有区块结构做出改进对原有区块结构做出改进，减少时间开销，提升认证节点查询证书有效性的效率。

本发明在构建跨域认证通道时，各ca节点将不同域的证书区块链融合成新链交由所有认证节点同步存储，当认证节点加入多条认证通道后需要存储多个含有重复证书的区块链。针对多区块链证书的交叉冗余与多域pki融合使区块链长度的增加所导致资源开销增大的问题，提出冗余删除、过期删除、全量删除三种分布式pki区块链的轻量化方法，降低认证节点中瘦节点的存储空间压力。

与现有技术相比，本发明具有以下优势：

(1)针对跨域pki交叉认证流程复杂、时间开销大等问题，本发明提出了基于区块链的多pki融合的分布式认证机制，使用区块链技术在多ca之间建立信任关系，可以在本地完成证书的真实性和有效性查询，简化信任关系的传递流程，完成跨域pki用户之间分布式身份认证的快速响应，实现域内、跨域用户身份的高效可信认证。

(2)针对传统pki通过多次互相签名完成跨域交叉认证带来复杂信任链流程与证书链查询带来的时间开销大等问题，本发明提出基于区块链的多域分布式pki证书链融合方法，认证节点可以在本地完成对跨域用户的数字证书真实性和有效性的验证，保证跨域身份认证的效率。针对多域pki融合后区块链长度增加带来的查询效率进一步降低的问题，对原有区块结构做出改进，提升认证节点查询证书有效性的效率。

(3)针对多区块链证书的交叉冗余与多域pki融合使区块链长度的增加所导致资源开销增大的问题，本发明提出分布式pki区块链的轻量化方法，降低认证节点中瘦节点的存储空间压力，提高查询效率。

附图说明

为了更清楚地说明本申请实施例的技术方案，下面将对本申请实施例中所需要使用的附图做简单的介绍，显而易见地，下面所描述的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的可信身份认证方法的流程图。

图2是本发明实施例提供的可信身份认证系统的结构示意图；

图中：1、系统构建模块；2、分布式证书验证模块。

图3是本发明实施例提供的跨域认证体系架构示意图。

图4是本发明实施例提供的单域分布式pki体系示意图。

图5是本发明实施例提供的多域pki区块链融合示意图。

图6是本发明实施例提供的跨域通道建立流程图。

图7是本发明实施例提供的优化区块结构图。

图8是本发明实施例提供的多域证书有效性查询流程图。

图9是本发明实施例提供的冗余删除的区块链轻量化方法示意图。

图10是本发明实施例提供的过期删除的区块链轻量化方法示意图。

图11是本发明实施例提供的全量删除的区块链轻量化方法示意图。

图12是本发明实施例提供的跨节点查询流程图。

图13是本发明实施例提供的单张证书平均空间占用示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对现有技术存在的问题，本发明提供了一种可信身份认证方法、系统、存储介质、云计算终端，下面结合附图对本发明作详细的描述。

如图1所示，本发明提供的可信身份认证方法包括：

s101：分布式的pki系统中将数字证书及状态通过区块链技术存储，域中认证机构ca节点完全控制区块链的写入权限，每个认证节点都从其处同步区块链信息，用户实体请求身份认证时认证节点就可以在本地完成对验证数字证书有效性的验证；

s102：在多域分布式pki身份认证架构中，认证节点同样采用双重布谷鸟过滤器加快证书有效性的查询速度；

s103：在多域分布式pki架构中，每个区块由区块头和区块体两部分构成，其中其块头存储该区块的特征信息标识一个唯一的区块，区块体中储存该区块所包含的数字证书及操作，而区块头中特征信息是区块体的消息摘要。

如图2所示，本发明提供的可信身份认证系统包括：

系统构建模块1，用于基于区块链的多pki融合证书服务系统构建方法，使多个独立的pki系统通过区块链的方式完成交叉认证，实现了跨域用户身份的可信认证。

分布式证书验证模块2，用于基于区块头节点的数字证书认证查询方法，并设计适用于多域pki证书链的区块结构，实现多域场景下的分布式证书验证。

下面结合附图对本发明的技术方案作进一步的描述。

1、跨域认证总体架构，多pki融合的分布式认证机制基于去中心化的pki证书服务体系，在每一个域中采用分布式可信身份认证系统，当两个域达成跨域互信共识后，在ca机构之间建立起一条新的跨域认证通道，并将原有的两条区块链合并成一条新的证书链，在各自信任域内向所有节点广播新通道的产生并通知节点同步区块链，此后的认证就可以在节点本地完成，保障认证的效率，其总体架构如图3所示。

分布式多域pki架构在去中心化pki架构的数据存储层、核心服务层和用户层的基础上增加了共识层，在多域pki融合的场景下，跨域区块链由多个ca共同维护，采用联盟链的模式，需要在共识层使多个ca机构达成分布式一致性共识，才能够将颁发/吊销的数字证书写入区块链，供认证节点同步验证。

2、多域kpi证书链构建方法，分布式的pki系统中将数字证书及其状态通过区块链技术存储，域中ca节点完全控制区块链的写入权限，每个认证节点都从其处同步区块链信息，用户实体请求身份认证时认证节点就可以在本地完成对验证数字证书有效性的验证，其架构如图4所示。

当用户实体需要跨域身份认证时，需要ca节点提前构建新的认证通道，将两个域的区块链融合成新区块链完成相互授信，供用户跨域身份认证时验证数字证书的有效性，区块链融合如图5所示。

本发明的域a和域b之间构建跨域认证通道具体流程如图6所示：

(1)ca节点a向ca节点b提出构建跨域认证通道的请求。

(2)ca节点b在本地查询验证域a的权限，若信任域a，则与其建立跨域认证通道，进入下一步；若不与域a相互信任，则拒绝该请求。

(3)ca节点b通知ca节点a接受其建立跨域认证通道的请求。

(4)ca节点a、b相互向对方发送自己域内的区块链上的所有区块。

(5)ca节点a、b各自根据接收到的对方区块链和自己的区块链，按照时间顺序将区块重新打包，构建成新的证书区块链。

(6)ca节点a、b互相查询对方构建的新区块链，并验证是否与自己构建的链一致，若不一致则删除新认证通道及区块链；

(7)若双方验证一致，则新认证通道构建成功，并通知对方启用；

(8)通知各自域内节点启用新跨域认证通道并同步新区块链。

本发明跨域认证通道建立后，域a中的每个认证节点都维护有至少包含一个域a的域内认证通道和一个域a-b的跨域认证通道，两个域之间的用户实体凭借原有数字证书进行跨域身份认证时，认证节点可以在本地完成对跨域用户的数字证书真实性和有效性的验证，避免复杂的信任链追溯导致的查询效率低下等问题。

3、证书区块结构优化，在多域分布式pki身份认证架构中，认证节点同样采用双重布谷鸟过滤器加快证书有效性的查询速度。针对多域pki融合后区块链长度增加带来的查询效率进一步降低的问题，对原有区块结构做出改进，如图7所示。

在多域pki融合后的跨域认证通道中，数字证书按照时间顺序重新打包构成区块链，链中多个ca所颁发的数字证书交替出现，使逐块遍历区块链需花费额外的查询时间。为了增加查询效率，在区块头中增加同ca前区块序列号字段，即与本区块ca_id编号相同的、最近区块的序列号，将同一个ca所颁发的数字证书连接起来。在查询数字证书有效性时，可以根据该字段只遍历颁发该证书的ca所提交的区块，减少遍历时延，如图8所示。

4、区块链轻量化，在多域分布式pki架构中，每个区块由区块头和区块体两部分构成，其中其块头存储该区块的一些特征信息，用于标识一个唯一的区块，区块体中储存该区块所包含的数字证书及其操作，而区块头中特征信息是区块体的消息摘要，便于快速计算验证区块体内容且空间占用较小，是维持区块链不可或缺的部分。提出以下三种针对区块体的轻量化方法：

(1)冗余删除，多域分布式pki系统中认证节点可选择的加入数个跨域认证通道，由于这些认证通道均与节点所在域构成互信关系，构成这些跨域认证通道的融合区块链中均包含有本域原有的数字证书信息，且这部分数字证书在包括原有的域内认证通道、新建的每个跨域认证通道中都重复存储，为了减少冗余信息带来的空间资源浪费，可以将所有的跨域认证通道区块链中属于本域数字证书区块的区块体删除，只保存区块头用于验证证书有效性，轻量化区块链减少空间占用，如图9所示。

链a-b-c是a、b、c三个域构成的跨域认证通道的区块链，在域a中，所有本域颁发的数字证书的区块体都被删除掉，当来自域a的数字证书需要查询有效性时，可以在域内认证通道中查询，减少冗余证书存储带来的空间占用。

(2)过期删除，由于区块链是一个只能插入不能删除的数据库，所有数字证书的颁发、更新和吊销等行为都通过向区块链尾部添加带有证书操作类型的新区块以覆盖之前过期的旧区块达成，由于每次打包的区块中都存有完整的数字证书及其状态，但只有最后一个针对该证书的区块中所存储的操作类型才代表该证书当前状态，所以可以删除之前区块链中所有针对该数字证书操作的过期区块体，仅保留针对该证书的最后一个区块的区块体供认证节点查询证书当前状态，如图10所示。

链a-b是a、b两个域联合构建的跨域认证通道的区块链，在该链中只保留同一张证书的最后一个操作区块，前面所有过期区块的区块体都被删除掉，当需要查询数字证书甲的有效性时，只需从区块链尾部遍历到最近一个操作证书甲的区块就可以获知其当前的有效性。

(3)全量删除，针对存储空间极为有限的瘦节点，以上两种方式也不能满足多链区块的存储时，可以删除所有区块的区块体以节省空间资源，如图11所示。链a-b是a、b两个域联合构建的跨域认证通道的区块链，在该链中删除了所有区块的区块体，但保留全部的区块头维持区块链的运行。在认证用户实体身份需要查询其数字证书的有效性时，从区块链网络中的其他节点处查询要验证的证书和操作类型，并根据本地存储的区块头中哈希摘要验证查询结果的真实性，避免其他节点伪造区块内容。

5.隐私查询保护，当瘦认证节点采用全量删除区块体的方案轻量化区块链时，请求身份认证的用户实体数字证书真实性可以通过ca公钥校验，而证书的有效性则需要通过网络向其他节点查询，查询流程如图12所示。

(1)用户a向认证节点b提出身份认证请求，并发送自己的数字证书

(2)认证节点b使用ca的公开密钥校验用户a数字证书中的签名，验证证书的真实性

(3)认证节点b采用全量删除区块体的方式轻量化节点，构造查询用户a数字证书有效性的请求包

(4)在信任域内选择一个随机的认证节点x发送查询请求

(5)认证节点x遍历本机存储的区块链，找到节点b所查询的证书区块并发送给节点b

(6)认证节点b收到节点x返回的区块内容，计算区块的哈希摘要值，并与本地存储的区块头比较，验证节点x返回信息的真实性

(7)节点b根据查询结果中用户a数字证书的有效性决定是否认证其身份

在认证节点b向其他节点x查询用户a数字证书有效性时，节点x可能搜集节点b正在认证哪个用户的身份，为了防止其他节点搜集其隐私，节点b在一个查询有效性的请求中放入n个用户的id，将真正要查询的用户a混淆在n个用户之中，隐瞒用户身份保护隐私。

下面结合实验对本发明的技术效果作详细的描述。

在多域分布式可信身份认证系统中，通过测试系统性能，验证所提出区块链轻量化方法的可行性与有效性。

本发明从1张数字证书开始，依次增加证书数量，记录区块链空间占用，每组数据测试三次取平均值，如表1所示：

表1证书空间开销测试数据

分析表数据可以发现，单张数字证书的平均空间占用大小与证书数量多少无关，完全存储状态下，单张证书平均占用空间1.442kb，区块链轻量化后单张证书平均占用空间0.3kb，空间占用大小是未轻量化时的20.8％，证书数量与空间占用关系如图13所示。

本发明一次性生成500张数字证书时，平均每张证书占用空间1.439kb，与已有方案相比，其生成500张数字证书需要占用空间2048kb，单张证书占用空间4.096kb，本发明空间占用减少了64.9％，且本发明证书空间占用大小与证书数量成无关，空间占用更优。在区块链轻量化之后，单个区块空间仅占用0.295kb，比未轻量化区块链空间占用减少79.5％。

应当注意，本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现；软件部分可以存储在存储器中，由适当的指令执行系统，例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现，例如在诸如磁盘、cd或dvd-rom的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现，也可以用由各种类型的处理器执行的软件实现，也可以由上述硬件电路和软件的结合例如固件来实现。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，都应涵盖在本发明的保护范围之内。