SSL证书免部署的方法、装置和系统与流程

ssl证书免部署的方法、装置和系统
技术领域
1.本公开涉及云服务技术领域，具体为云平台技术领域和网络安全技术领域。


背景技术：

2.随着互联网的快速发展，人们对于网络传输安全性的要求也越来越高，https(hyper text transfer protocol over secure socket layer，基于安全套接层的超文本传输协议)协议因此出现，https协议可以认为是http(hyper text transfer protocol，超文本传输协议)协议和ssl(secure socketslayer安全套接层)协议的组合。其中，ssl协议作用在http协议之下，用于对传输的数据进行加密处理，以保证数据在网络上传输的过程中不会被截取或窃听。
3.ssl证书部署时候，需要先将申请成功的ssl证书下载到本地。然后根据需要部署的服务对ssl证书进行对应格式的转换，最后还需要将转换成功的ssl证书发送到对应服务器上重启对应的服务使ssl证书生效。当第二年ssl证书过期申请新证书，还需要重新进行上述操作。


技术实现要素：

4.本公开提供了一种ssl证书免部署的系统、方法、装置、设备以及存储介质。
5.根据本公开的第一方面，提供了一种ssl证书免部署的方法，包括：接收来自浏览器的包括目标网址的https请求；根据目标网址获取ssl证书；根据ssl证书与浏览器进行ssl握手；将https请求转换成http请求后转发至目标网站；接收目标网站返回的http响应后转换成https响应并发送给浏览器。
6.根据本公开的第二方面，提供了一种ssl证书免部署的装置，包括：接收单元，被配置成接收来自浏览器的包括目标网址的https请求；获取单元，被配置成根据目标网址获取ssl证书；握手单元，被配置成根据ssl证书与浏览器进行ssl握手；第一转换单元，被配置成将https请求转换成http请求后转发至目标网站；第二转换单元，被配置成接收目标网站返回的http响应后转换成https响应并发送给浏览器。
7.根据本公开的第一方面，提供了一种ssl证书免部署的系统，包括：浏览器，被配置成向目标网站发送包括目标网址的https请求，与代理服务器进行ssl握手，接收代理服务器转发的来自目标网站的https响应；域名服务器，被配置成将目标网址解析为代理服务器的地址；代理服务器，被配置成接收来自浏览器的https请求，获取ssl证书，根据ssl证书与浏览器进行ssl握手，将https请求转换成http请求后转发至目标网站，接收目标网站返回的http响应后转换成https响应并发送给浏览器；目标网站，被配置成接收代理服务器转发的http请求，生成http响应交由代理服务器转发给浏览器。
8.根据本公开的第四方面，提供了一种ssl证书免部署的电子设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行第二方面中任
一项的方法。
9.根据本公开的第五方面，提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其中，计算机指令用于使计算机执行根据第二方面中任一项的方法。
10.根据本公开的第六方面，提供了一种计算机程序产品，包括计算机程序，计算机程序在被处理器执行时实现根据第二方面中任一项的方法。
11.本公开的实施例提供的ssl证书免部署的系统、方法和装置，将证书部署在代理服务器上，简化了ssl证书的部署流程，降低用户的部署门槛，依赖自身代理服务的稳定性为用户提供高可用的免部署https服务。
12.应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
13.附图用于更好地理解本方案，不构成对本公开的限定。其中：
14.图1是本公开的ssl证书免部署的系统的架构图；
15.图2是根据本公开的ssl证书免部署的方法的一个实施例的流程图；
16.图3是根据本公开的ssl证书免部署的系统的一个应用场景的示意图；
17.图4是根据本公开的ssl证书免部署的系统的另一个应用场景的示意图；
18.图5是根据本公开的ssl证书免部署的装置的一个实施例的结构示意图；
19.图6是用来实现本公开实施例的ssl证书免部署的方法的电子设备的框图。
具体实施方式
20.以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
21.图1示出了可以应用本公开的ssl证书免部署的系统的架构图。
22.如图1所示，ssl证书免部署的系统可以包括：浏览器、域名服务器、代理服务器、目标网站。该系统主要分为三个部分：外网流量侧、内网侧和用户空间。其中，外网流量侧主要涉及网络用户通过浏览器以https方式访问目标网站的过程。内网侧主要涉及目标网站通过代理服务器实现ssl证书免部署的过程。用户空间主要涉及目标网站对代理服务器转发的http请求进行处理的过程。具体介绍如下：
23.1、浏览器，被配置成向目标网站发送包括目标网址的https请求，与代理服务器进行ssl握手，接收代理服务器转发的来自目标网站的https响应。
24.在本实施例中，https在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。ssl协议中使用了非对称加密，对称加密以及hash算法。握手过程的具体描述如下：
25.1)浏览器将自己支持的一套加密规则发送给网站(本申请中由代理服务器代替网站与浏览器握手)。
26.2)网站从中选出一组加密算法与hash算法，并将自己的身份信息以ssl证书(下文
简称为证书)的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息。
27.3)浏览器获得网站证书之后浏览器要做以下工作：a)验证证书的合法性(颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等)，如果证书受信任，则浏览器栏里面会显示一个小锁头，否则会给出证书不受信的提示。b)如果证书受信任，或者是用户接受了不受信的证书，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。c)使用约定好的hash算法计算握手消息，并使用生成的随机数对消息进行加密，最后将之前生成的所有信息发送给网站。
28.4)网站接收浏览器发来的数据之后要做以下的操作：a)使用自己的私钥将信息解密取出密码，使用密码解密浏览器发来的握手消息，并验证hash是否与浏览器发来的一致。b)使用密码加密一段握手消息，发送给浏览器。
29.5)浏览器解密并计算握手消息的hash，如果与服务端发来的hash一致，此时握手过程结束，之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。
30.这里浏览器与网站互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。
31.本申请中浏览器实际想通过https协议访问的是目标网站，但由于ssl证书部署困难等原因，目标网站通过代理服务器来进行https消息交互，只需要在代理服务器上部署ssl证书，目标网站本身不需要部署ssl证书。代理服务器与浏览器之间通过ssl证书保证通信安全。
32.2、域名服务器，被配置成将目标网址解析为代理服务器的地址。
33.在本实施例中，目标网站可向代理服务提供商申请ssl代理业务。代理服务提供商可为目标网站的目标网址在域名服务器中添加cname(别名)，使得对目标网站的地址的解析结果引向代理服务提供商指定的地址。这个地址可以是代理服务器的地址，也可以是负载均衡器的地址。由负载均衡器选择代理服务器。还可以将指定的地址设置成cdn(content delivery network，内容分发网络)的地址。
34.3、代理服务器，被配置成接收来自浏览器的https请求，获取ssl证书，根据ssl证书与浏览器进行ssl握手，将https请求转换成http请求后转发至目标网站，接收目标网站返回的http响应后转换成https响应并发送给浏览器。
35.在本实施例中，代理服务器可直接接收来自浏览器的https请求，也可接收由负载均衡器分发的https请求。代理服务器中预先存储了ssl证书，因此可与浏览器进行ssl握手。然后将https请求转换成http请求，协议的转换过程属于现有技术，在此不再赘述。目标网站接收到http消息后进行处理，生成http响应消息，该过程也是现有技术，在些不再赘述。目标网站将http响应发给代理服务器，由代理服务器转换成https响应后转发给浏览器。
36.代理服务器可为多个网站服务，因此可存储不同的ssl证书。可通过网址查找对应的ssl证书。
37.4、目标网站，被配置成接收代理服务器转发的http请求，生成http响应交由代理服务器转发给浏览器。
38.在本实施例中，目标网站只需要支持http协议即可通过代理服务器实现与浏览器之间的https方式消息交互。目标网站接收http请求并生成http响应的过程是现有技术，在此不再赘述。
39.该系统还可包括数据采集器。用于统计网站的访问量、时延、连接成功次数、连接失败次数等信息，这些可用于按流量对代理服务计费。还可用于进行系统优化。
40.本公开的上述实施例提供的系统，能够将ssl证书部署在代理服务器，无需对网站进行改造部署即可开启https对网站访问进行加密。从而减少人工成本，降低技术门槛、缩短ssl证书更新周期，提高网站的安全性和用户体验。
41.应该理解，图1中的浏览器、域名服务器、代理服务器、目标网站的数目仅仅是示意性的。根据实现需要，可以具有任意数目的浏览器、域名服务器、代理服务器、目标网站。
42.进一步参考图2，其示出了ssl证书免部署的方法的一个实施例的流程200，该方法应用于代理服务器。该ssl证书免部署的方法的流程200，包括以下步骤：
43.步骤201，接收来自浏览器的包括目标网址的https请求。
44.在本实施例中，ssl证书免部署的方法运行于其上的电子设备(例如图1所示的代理服务器)可以通过有线连接方式或者无线连接方式接收来自浏览器的包括目标网址的https请求。该https请求可以是浏览器直接发给代理服务器的，也可以是通过负载均衡器、cdn等转发的。
45.步骤202，根据目标网址获取ssl证书。
46.在本实施例中，代理服务器中可预先存储了ssl证书，不同的网站有自己的ssl证书，因此需要通过目标网站的网址查找到相应的ssl证书。
47.步骤203，根据ssl证书与浏览器进行ssl握手。
48.在本实施例中，握手过程如前文所述，在此不再赘述。
49.步骤204，将https请求转换成http请求后转发至目标网站。
50.在本实施例中，将https请求转换成http请求，协议的转换过程属于现有技术，在此不再赘述。
51.步骤205，接收目标网站返回的http响应后转换成https响应并发送给浏览器。
52.在本实施例中，目标网站接收到http消息后进行处理，生成http响应消息，该过程也是现有技术，在些不再赘述。目标网站将http响应发给代理服务器，由代理服务器转换成https响应后转发给浏览器。
53.本公开的上述实施例提供的方法，能够将ssl证书部署在代理服务器无需对网站进行改造部署即可开启https对网站访问进行加密。从而减少人工成本，降低技术门槛、缩短ssl证书更新周期，提高网站的安全性和用户体验。
54.在本实施例的一些可选的实现方式中，该方法还包括：响应于检测到ssl证书更新，从对象存储服务器拉取更新后的ssl证书。该方法提前下载并存储ssl证书到本地，而不必在接收到https请求时再下载，可以减少时延，提高网站的响应速度。
55.在本实施例的一些可选的实现方式中，根据目标网址获取ssl证书，包括：在预先从对象存储服务器中拉取的元数据信息表中查询目标网址配置的ssl证书的id；根据ssl证书的id确定出预先从对象存储服务器中拉取的ssl证书。通过将代理服务器和数据库解耦，代理服务器不需要依赖数据库，只需要从对象存储服务中下载路由详细数据即可提供服
务。
56.继续参见图3，图3是根据本实施例的ssl证书免部署的系统的应用场景的一个示意图。在图3的应用场景中，userdomain是目标网址，用户server是目标网站(源站)。baidussl.cn是用于cdn加速的服务器地址，baidussl.site是ssl证书代理服务的入口地址。cert
‑
cloud router1、cert
‑
cloud router 2、cert
‑
cloud router 3都是代理服务器。blb是负载均衡器。具体过程如下：浏览器发送了包括userdomain的https请求，经域名服务器查找cname得到了cdn的加速地址(可选)，经cdn加速后回到ssl证书代理服务的入口地址。弹性公网ip(elastic ip)作为一个独立商品为用户提供公网带宽服务。用户可以将eip实例与云服务器、负载均衡、nat网关、vpn网关等实例绑定或解绑，为用户访问公网提供ip地址和公网带宽，做到灵活匹配业务变更，增加用户使用弹性。https请求经负载均衡器分配后到达代理服务器。代理服务器直接对https请求进行代理，与浏览器完成ssl握手后，根据配置的回源地址，将https中的ssl卸载后转成http请求发给源站。
57.在本实施例的一些可选的实现方式中，该系统还包括：管理服务器，被配置成接收目标网站的管理者上传的ssl证书，并根据ssl证书的id、目标网址、回源地址生成元数据信息表，供代理服务器根据目标网址查询ssl证书id和回源地址。代理服务提供商可销售ssl证书，网站管理者可以将ssl证书与代理服务一起购买，这样就不需要网站方提供ssl证书。如果使用的不是代理服务提供商销售的ssl证书，则目标网站的管理者需要自行上传已有的ssl证书，还需要填写目标网址(目标网站的域名)、回源地址(真实ip地址)。管理服务器根据收集的ssl证书的id、目标网址、回源地址生成元数据信息表，供代理服务器根据目标网址查询ssl证书id和回源地址。管理服务器还可在域名服务器中增加针对目标网站的别名(通过云dns方式)。管理服务器提供控制台作为管理接口，还可提供一些运维工具方便用户添加、修改、删除元数据。通过管理服务器，方便管理ssl证书资源，也便于配置网站的相关信息。
58.在本实施例的一些可选的实现方式中，该系统还包括：数据库，被配置成接收管理服务器发送的元数据信息表和ssl证书并存储；对象存储服务器，被配置成接收管理服务器发送的更新后的元数据信息表和更新后的ssl证书并存储，以供代理服务器从对象存储服务器拉取更新后的元数据信息表和更新后的ssl证书。数据库是一种关系型数据库。而对象存储服务器是一种非关系型数据库。代理服务器是直接从对象存储服务器读取数据的，而不是数据库。证书等元数据是直接存储在数据库中的。这是因为数据库的更新效率高，并且通过将代理服务器和数据库解耦，代理服务器不需要依赖数据库，只需要从对象存储服务中下载路由详细数据即可提供服务。
59.在本实施例的一些可选的实现方式中，管理服务器进一步被配置成：响应于检测到元数据信息表更新和/或ssl证书更新，将更新后的元数据信息表和/或ssl证书写入数据库；通过定时扫描检测到数据库更新后，将更新后的元数据信息表和/或ssl证书推送到对象存储服务器。如图4所示。cert
‑
cloud
‑
logic是管理服务器，user是网站的管理者。网站的管理者将ssl包、证书、回源站点、域名等元数据信息上传到管理服务器。管理服务器将接收到的数据存储到数据库中(db instance)。然后管理服务器的工作节点(worker)会定时扫描数据库中的变化，可根据更新日期检测是否有新的数据存入。检测到数据变化后将变化的数据推送给对象存储服务器(bos)。从而能够及时检测到证书更新，减少更新时延，保证
网络安全。
60.在本实施例的一些可选的实现方式中，代理服务器进一步被配置成：从对象存储服务器拉取更新后的元数据信息表和更新后的ssl证书。如图4所示，代理服务器(cert
‑
cloud
‑
router)扫描到bos的更新后，拉取更新后的元数据信息表和更新后的ssl证书。该方法提前下载并存储ssl证书到本地，而不必在接收到https请求时再下载，可以减少时延，提高网站的响应速度。
61.在本实施例的一些可选的实现方式中，代理服务器进一步被配置成：从元数据信息表中查询目标网址配置的ssl证书的id。根据ssl证书的id确定出预先从对象存储服务器中拉取的ssl证书。通过将代理服务器和数据库解耦，代理服务器不需要依赖数据库，只需要从对象存储服务中下载路由详细数据即可提供服务。
62.在本实施例的一些可选的实现方式中，该系统还包括：内容分发网络，被配置成缓存目标网站的资源以加快访问速度。可任意添加、修改、删除cdn，在保证网络安全的同时提高网站访问速度，提升用户体验。
63.进一步参考图5，作为对上述各图所示方法的实现，本公开提供了一种ssl证书免部署的装置的一个实施例，该装置实施例与图2所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。
64.如图5所示，本实施例的ssl证书免部署的装置500包括：接收单元501、获取单元502、握手单元503、第一转换单元504和第二转换单元505。其中，接收单元501，被配置成接收来自浏览器的包括目标网址的https请求；获取单元502，被配置成根据所述目标网址获取ssl证书；握手单元503，被配置成根据所述ssl证书与所述浏览器进行ssl握手；第一转换单元504，被配置成将所述https请求转换成http请求后转发至目标网站；第二转换单元505，被配置成接收所述目标网站返回的http响应后转换成https响应并发送给所述浏览器。
65.在本实施例中，ssl证书免部署的装置500的接收单元501、获取单元502、握手单元503、第一转换单元504和第二转换单元505的具体处理可以参考图2对应实施例中的步骤201、步骤202、步骤203、步骤204和步骤205。
66.在本实施例的一些可选的实现方式中，装置500还包括更新单元(附图中未示出)，被配置成：响应于检测到ssl证书更新，从对象存储服务器拉取更新后的ssl证书。
67.在本实施例的一些可选的实现方式中，获取单元502进一步被配置成：从预先从对象存储服务器中拉取的元数据信息表中查询目标网址配置的ssl证书的id；根据ssl证书的id确定出预先从对象存储服务器中拉取的ssl证书。
68.根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
69.图6示出了可以用来实施本公开的实施例的示例电子设备600的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
70.如图6所示，设备600包括计算单元601，其可以根据存储在只读存储器(rom)602中的计算机程序或者从存储单元608加载到随机访问存储器(ram)603中的计算机程序，来执行各种适当的动作和处理。在ram 603中，还可存储设备600操作所需的各种程序和数据。计算单元601、rom 602以及ram 603通过总线604彼此相连。输入/输出(i/o)接口605也连接至总线604。
71.设备600中的多个部件连接至i/o接口605，包括：输入单元606，例如键盘、鼠标等；输出单元607，例如各种类型的显示器、扬声器等；存储单元608，例如磁盘、光盘等；以及通信单元609，例如网卡、调制解调器、无线通信收发机等。通信单元609允许设备600通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
72.计算单元601可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元601的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元601执行上文所描述的各个方法和处理，例如方法ssl证书免部署。例如，在一些实施例中，方法ssl证书免部署可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元608。在一些实施例中，计算机程序的部分或者全部可以经由rom 602和/或通信单元609而被载入和/或安装到设备600上。当计算机程序加载到ram 603并由计算单元601执行时，可以执行上文描述的方法ssl证书免部署的一个或多个步骤。备选地，在其他实施例中，计算单元601可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行方法ssl证书免部署。
73.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
74.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
75.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd
‑
rom)、光学储存设备、磁储存设备、或
上述内容的任何合适组合。
76.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
77.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
78.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端
‑
服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以为分布式系统的服务器，或者是结合了区块链的服务器。服务器也可以是云服务器，或者是带人工智能技术的智能云计算服务器或智能云主机。服务器可以为分布式系统的服务器，或者是结合了区块链的服务器。服务器也可以是云服务器，或者是带人工智能技术的智能云计算服务器或智能云主机。
79.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
80.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。