安全认证站点的访问方法、装置及系统

1.一种安全认证站点的访问方法，其特征在于，包括：
认证转码服务器接收终端发送的包括待访问的安全认证站点信息的HTTP访问请求；
所述认证转码服务器根据所述安全认证站点信息获取用于与所述安全认证站点的认证要求适配的认证配置信息；并根据所述认证配置信息生成认证请求，以及将所述认证请求发送至所述安全认证站点；
在所述安全认证站点根据所述认证请求与所述安全认证站点认证成功后，所述认证转码服务器建立安全通道，所述终端与所述安全认证站点通过所述安全通道进行信息交互；
在所述认证转码服务器接收终端发送的包括待访问的安全认证站点信息的HTTP访问请求的步骤之后还包括：
所述认证转码服务器根据所述HTTP访问请求中的终端信息获取与所述终端的显示要求适配的配置信息；
所述认证转码服务器根据所述配置信息确定向所述终端发送信息的数据定制格式。
2.根据权利要求1所述的安全认证站点的访问方法，其特征在于，所述终端与所述安全认证站点通过所述安全通道进行信息交互的步骤包括：
所述认证转码服务器将所述安全认证站点通过所述安全通道传送的返回信息的格式转换为所述数据定制格式，并将转换后的返回信息通过所述安全通道发送至所述终端。
3.根据上述权利要求1-2中任一项所述的安全认证站点的访问方法，其特征在于，所述在所述安全认证站点根据所述认证请求与所述安全认证站点认证成功后，认证转码服务器建立安全通道的步骤包括：
所述认证转码服务器接收所述安全认证站点根据所述认证请求发送的加密算法以及证书；
对所述证书进行验证，并根据所述加密算法确定通信密钥，与所述安全认证站点建立双向安全通道。
4.根据权利要求3所述的安全认证站点的访问方法，其特征在于，所述终端与所述安全认证站点通过所述安全通道进行信息交互的步骤包括：
所述认证转码服务器接收所述终端通过所述双向安全通道传送的访问信息，并根据所述通信密钥对所述访问信息进行加密，以及将加密后的访问信息经所述双向安全通道发送至所述安全认证站点。
5.一种安全认证站点的访问装置，其特征在于，包括：
接收模块，用于接收终端发送的包括待访问的安全认证站点信息的HTTP访问请求；
第一处理模块，用于根据所述安全认证站点信息获取用于与所述安全认证站点的认证要求适配的认证配置信息；并根据所述认证配置信息生成认证请求，以及将所述认证请求发送至所述安全认证站点；
第二处理模块，用于在所述安全认证站点根据所述认证请求与所述安全认证站点认证成功后，建立用于所述终端与所述安全认证站点间信息交互的安全通道；
还包括：
获取模块，用于根据所述HTTP访问请求中的终端信息获取与所述终端的显示要求适配的配置信息；
数据格式模块，用于根据所述配置信息确定向所述终端发送信息的数据定制格式。
6.根据权利要求5所述的安全认证站点的访问装置，其特征在于，所述第二处理模块包括：
第一通道子模块，用于在所述安全认证站点根据所述认证请求与所述安全认证站点认证成功后，建立安全通道；
第一交互子模块，用于将所述安全认证站点通过所述安全通道传送的返回信息的格式转换为所述数据定制格式，并将转换后的返回信息通过所述安全通道发送至所述终端。
7.根据权利要求5或6所述的安全认证站点的访问装置，其特征在于，所述第二处理模块包括：
第二通道子模块，用于接收所述安全认证站点根据所述认证请求发送的加密算法以及证书；对所述证书进行验证，并根据所述加密算法确定通信密钥，与所述安全认证站点建立双向安全通道；
第二交互子模块，用于将所述安全认证站点通过所述双向安全通道传送的返回信息的格式转换为所述数据定制格式，并将转换后的返回信息通过所述双向安全通道发送至所述终端；用于接收所述终端通过所述双向安全通道传送的访问信息，并根据所述通信密钥对所述访问信息进行加密，以及将加密后的访问信息经所述双向安全通道发送至所述安全认证站点。
8.一种安全认证站点的访问系统，其特征在于，包括：
网关，用于转发终端发送的包括待访问的安全认证站点信息的HTTP访问请求；
安全认证站点的访问装置，用于根据所述网关转发的HTTP访问请求中的安全认证站点信息获取用于与所述安全认证站点的认证要求适配的认证配置信息；并根据所述认证配置信息生成认证请求，且将所述认证请求发送至所述安全认证站点，以及在所述安全认证站点根据所述认证请求与所述安全认证站点认证成功后，建立用于所述终端与所述安全认证站点间信息交互的安全通道；
还包括：
终端信息库，用于存储与所述终端的显示要求适配的配置信息，并根据所述访问装置发送的查询请求，将所述配置信息发送至所述访问装置，确定向所述终端发送信息的数据定制格式；
认证配置库，用于存储所述认证配置信息，并根据所述访问装置发送的获取请求，将所述认证配置信息发送至所述访问装置。

安全认证站点的访问方法、装置及系统\n技术领域\n[0001] 本发明涉及数据业务领域，具体涉及一种安全认证站点的访问方法、装置及系统。\n背景技术\n[0002] 随着手机终端能力的增强和互联网业务的发展，手机上网用户不断增加，而且网上银行、网上购物等电子商务业务也飞速发展，大部分服务提供方都提供了WWW/WAP页面等访问渠道，使得通过移动设备访问互联网并进行各种业务的需求越来越多。目前网上购物和网上银行等服务提供方都使用了用户访问时的安全加密技术，用于保护用户信息的安全性。这些安全加密技术的实现需要用户终端的支持和协同，以与服务提供方基于较为复杂的通用或私有安全协议进行交互。\n[0003] 如，在申请号为“200910087630.6”的中国专利申请文件中，公布了一种基于移动终端的安全认证服务平台系统、装置和方法。该方案中的安全认证服务平台系统，包括移动终端、网络应用系统和安全认证服务平台装置，用于接收来自网络应用系统的安全认证请求，对安全认证请求者的身份进行校验，并对安全认证内容进行验证；在校验和验证通过后将安全认证请求提交给移动终端进行数字签名，并对移动终端数字签名进行验证；在验证通过后将数字签名结果和时间戳返回给网络应用系统。其中，该安全认证服务平台装置包括签名服务器，签名服务应用网关，服务手机网关和CA认证中心。具体认证方法包括：网络应用系统的接口模块向签名服务器提交安全认证信息；签名服务器进行身份校验，CA认证中心对其证书进行验证，通过后服务手机网关提交客户端进行数字签名；客户端接到安全认证请求后，根据内容输入私钥密码，取出私钥并进行数字签名，将签名的结果提交给签名服务器；签名服务器验证通过后，将时间戳和结果提交给应用网关；接口模块收到后通知网络应用系统执行交易，安全认证过程结束。其中“在校验和验证通过后将安全认证请求提交给移动终端进行数字签名”、“客户端接到安全认证请求后，根据内容输入私钥密码，取出私钥并进行数字签名，将签名的结果提交给签名服务器”等内容需要客户端实现数字签名、公私钥加密等技术，目前的市场上的主流手机终端和浏览器不经改造无法实现；对于该专利申请中的“在验证通过后将数字签名结果和时间戳返回给网络应用系统”描述内容，因互联网市场上的现有系统采用的鉴权、加密方式各不相同(有的采用W3C的通用加密技术，有的采用专有的插件加密技术)，而采用该专利申请的方式必需要网络应用系统满足对指定数字签名算法予以支持，方可进行交易，即要求服务器针对该发明描述的方法加以改造。\n[0004] 由此可见现有基于终端的安全认证服务方案均需要各服务商支持该方案的改造，并要求移动终端需要支持安全认证功能的交互。然而，现有手机终端处理安全加密技术的能力不足，大部分手机浏览器都采用标准的HTTP协议访问网站，不支持HTTPS页面的交互处理；此外，很多业务网站(如网络银行网站)需要在客户端上安装专有插件，而这些专有插件仅能安装于PC机上的某些特定浏览器上，更大程度地限制了移动终端对电子商务网站的访问。故，现有基于终端的安全认证服务方案难以适用于因硬件和/或软件受限而不支持安全认证服务的终端，可扩展性较差。\n发明内容\n[0005] 本发明的第一目的是提出一种扩展性强的安全认证站点的访问方法。\n[0006] 本发明的第二目的是提出一种扩展性强的安全认证站点的访问装置。\n[0007] 本发明的第三目的是提出一种扩展性强的安全认证站点的访问系统。\n[0008] 为实现上述第一目的，本发明提供了一种安全认证站点的访问方法，包括：接收终端发送的包括待访问的安全认证站点信息的HTTP访问请求；根据安全认证站点信息获取用于与安全认证站点的认证要求适配的认证配置信息；并根据认证配置信息生成认证请求，以及将认证请求发送至安全认证站点；在安全认证站点根据认证请求与安全认证站点认证成功后，建立安全通道，终端与安全认证站点通过安全通道进行信息交互。\n[0009] 为实现上述第二目的，本发明提供了一种安全认证站点的访问装置，包括：接收模块，用于接收终端发送的包括待访问的安全认证站点信息的HTTP访问请求；第一处理模块，用于根据安全认证站点信息获取用于与安全认证站点的认证要求适配的认证配置信息；并根据认证配置信息生成认证请求，以及将认证请求发送至安全认证站点；第二处理模块，用于在安全认证站点根据认证请求与安全认证站点认证成功后，建立用于终端与安全认证站点间信息交互的安全通道。\n[0010] 为实现上述第三目的，本发明提供了一种安全认证站点的访问系统，包括：网关，用于转发终端发送的包括待访问的安全认证站点信息的HTTP访问请求；安全认证站点的访问装置，用于根据网关转发的HTTP访问请求中的安全认证站点信息获取用于与安全认证站点的认证要求适配的认证配置信息；并根据认证配置信息生成认证请求，且将认证请求发送至安全认证站点，以及在安全认证站点根据认证请求与安全认证站点认证成功后，建立用于终端与安全认证站点间信息交互的安全通道。\n[0011] 本发明各个实施例中，通过获取认证配置信息，进而生成与安全认证站点适配的认证请求进行认证操作，实现了终端访问安全认证站点时，不需要进行基础改造，只需要支持标准的HTTP协议即可，提高可扩展性。\n附图说明\n[0012] 附图用来提供对本发明的进一步理解，并且构成说明书的一部分，与本发明的实施例一并用于解释本发明，并不构成对本发明的限制。在附图中：\n[0013] 图1为本发明的安全认证站点的访问方法的实施例一流程图；\n[0014] 图2为本发明的安全认证站点的访问方法及系统的实施例二信令图；\n[0015] 图3为本发明的安全认证站点的访问装置的实施例结构图；\n[0016] 图4为本发明的安全认证站点的访问系统的实施例结构图。\n具体实施方式\n[0017] 以下结合附图对本发明的优选实施例进行说明，应当理解，此处所描述的优选实施例仅用于说明和解释本发明，并不用于限定本发明。\n[0018] 方法实施例\n[0019] 图1为本发明的安全认证站点的访问方法的实施例一流程图。如图1所示，本实施例包括：\n[0020] 步骤102：接收终端发送的包括待访问的安全认证站点信息的HTTP访问请求；\n[0021] 步骤104：根据安全认证站点信息获取用于与安全认证站点的认证要求适配的认证配置信息；并根据认证配置信息生成认证请求，以及将认证请求发送至安全认证站点；\n[0022] 步骤106：在安全认证站点根据认证请求与安全认证站点认证成功后，建立安全通道，终端与安全认证站点通过安全通道进行信息交互。\n[0023] 本实施例通过获取认证配置信息，进而生成与安全认证站点适配的认证请求进行认证操作，实现了终端访问安全认证站点时，不需要进行基础改造，只需要支持标准的HTTP协议即可，提高可扩展性。\n[0024] 图2为本发明的安全认证站点的访问方法的实施例二流程图。本实施例中终端以移动终端为例进行解释说明，本领域技术人员可以理解，本发明各实施例中终端可以为多种移动终端，包括键盘式、触摸屏的智能与非智能手机、移动通信设备(MID)等，还可以包括其他终端，如电脑。如图2所示，包括：\n[0025] 步骤201，移动终端根据用户的操作，利用自带的浏览模块向互联网网关提交包括待访问的安全认证站点信息及终端信息的HTTP访问请求；步骤202，网关将HTTP访问请求转发给认证转码服务器；\n[0026] 步骤203，认证转码服务器根据该HTTP访问请求中的终端信息向终端信息库查询该移动终端的配置信息，该配置信息与该终端的显示要求适配，包括但不限于终端屏幕分辨率、操作系统版本等；本领域技术人员可以理解，在具体操作时，各终端的配置信息也可以预存在该认证转码服务器内；\n[0027] 步骤204，终端信息库将该终端详细配置信息返回给认证转码服务器；步骤205，认证转码服务器根据获取的该终端的配置信息，定制该终端所支持的数据格式，即确定向该终端发送信息的数据定制格式；如通过获知终端分辨率，认证转码服务器可以确定转换的数据格式，以便于终端较好的展示效果；\n[0028] 步骤206，认证转码服务器向安全认证配置库查询与待访问的安全认证站点的认证要求适配的认证配置信息，如该安全认证站点所支持的认证方式和类型等；本领域技术人员可以理解，在具体操作时，各安全认证站点的认证配置信息也可以预存在该认证转码服务器内；\n[0029] 步骤207，安全认证配置库将认证配置信息返回给认证转码服务器；\n[0030] 步骤208，认证转码服务器根据获取的认证配置信息生成认证请求；例如和gmail.com进行交互，获取其认证配置信息为基于标准的“TLS v1.0128bitARC4(1024bit RSA/SHA)”，则认证转码服务器将按照该配置信息进行基于TLSV1.0/ARC4的认证请求；\n[0031] 步骤209，认证转码服务器向安全认证站点发送认证请求，发送给安全认证站点；\n[0032] 步骤210，安全认证站点按照自身所支持类型(如TLS或自有插件格式)，向认证转码服务器返回站点的认证信息(包括但不限于证书及加密算法等)，例如：安全认证站点gmail向转码服务器传送SSL协议的版本号，加密算法的种类，随机数、自身证书以及其他相关信息；\n[0033] 步骤211，认证转码服务器对认证信息，如证书进行验证，与安全认证站点建立双向安全通道；如，针对安全认证站点gmail.com采用的TLS认证方式，转码服务器利用gmail.com传过来的信息验证gmail.com的合法性，安全认证站点的合法性包括：证书是否过期，发行证书的CA是否可靠，发行者证书的公用密钥能否正确解开证书的“发行者的数字签名”，证书上的域名是否和安全认证站点的实际域名相匹配。如果合法性验证没有通过，通讯将断开；如果合法性验证通过，认证转码服务器将通过一系列与安全认证站点gmail.com的交互步骤完成双方之间的安全认证通道建立，并根据接收的加密算法指明后续通讯采用的通信密钥；\n[0034] 本领域技术人员可以理解，具体操作时，可以直接在安全认证站点根据认证请求与认证转码服务器认证成功后建立该安全通道，步骤210-步骤211中，认证转码服务器对认证信息进行验证，并在安全通道中进行加密通信，为优选方案；步骤210-步骤211主要用于说明了认证转码服务器对安全认证站点的认证过程，以建立安全通道，如，认证转码服务器作为客户端对网上银行站点的认证，具体操作时，还可以包括安全认证站点对认证转码服务器的认证过程，由认证转码服务器作为移动终端代理完成认证过程，不再赘述；\n[0035] 步骤212，认证转码服务器将认证结果通过HTTP方式返回给网关；具体地，认证转码服务器根据步骤205中确定的数据定制格式(即终端所支持的数据格式)将安全认证站点返回的内容进行适配处理，并转换成HTTP协议内容；\n[0036] 步骤212中的操作主要是由于认证过程是认证转码服务器和安全认证站点间完成，认证结果完全对网关和移动终端透明，此处的认证结果为对HTTP访问请求的响应，例如：根据用户终端支持的数据定制格式定制，展现gmail.com首页；\n[0037] 步骤213，网关通过HTTP方式将认证结果等响应转发给移动终端；\n[0038] 上述步骤201至213为认证转码服务器根据终端的请求，与安全认证站点建立安全通道的过程；基于该安全通道，即可实现各种终端与安全认证站点进行安全认证流程及进行后续交互流程，提高了基于终端访问安全认证站点的可扩展性；\n[0039] 步骤214，移动终端通过自带的浏览模块通过HTTP方式将访问安全站点的请求(简称访问请求或访问信息，该访问请求为请求实际内容的访问，该访问请求包括且不限于用户输入用户名/密码的Post请求以基于建立的安全通道进行用户认证，以及后续和互联网认证站点的页面访问请求，提交给网关；\n[0040] 步骤215，网关将访问请求转发给认证转码服务器；\n[0041] 步骤216，认证转码服务器利用步骤211中确定的密钥对访问请求进行加密，并提交给安全认证站点，双方建立双向数据交互通道；\n[0042] 本领域技术人员可以理解，步骤216中的加密操作为对应于步骤210-步骤211的优选方案；\n[0043] 步骤217，认证转码服务器根据步骤205中确定的数据定制格式(即终端所支持的数据格式)将安全认证站点返回的内容进行适配处理，并转换成HTTP协议内容；具体如，对WWW页面做元素过滤和重新排版处理，转化为手机易于展现的格式，例如：若移动终端对JavaScript、Flash，Gif图片等元素不支持，则认证转码服务器过滤掉这些元素，并根据移动终端的屏幕宽度进行图片大小的调整、文字重排版等工作，并将处理过的内容转换为HTTP响应发送给移动终端浏览器；\n[0044] 本领域技术人员可以理解，步骤217中根据步骤205确定的数据定制格式实现了安全认证站点返回的内容与终端显示要求的适配，这样，安全认证站点(即互联网服务提供方)无需与各终端相适配，进一步提高了基于终端访问安全认证站点的可扩展性，故步骤217为优选方案，相应地，步骤203-205也为优选方案；\n[0045] 步骤218，认证转码服务器将转换后的内容发送给网关；\n[0046] 步骤219，网关通过HTTP方式将页面内容返回给移动终端；通过步骤213至步骤\n219的重复操作，完成移动终端A对安全认证站点B的多次内容访问与交互操作。\n[0047] 本实施例通过认证转码服务获取认证配置信息，进而生成与安全认证站点适配的认证请求进行认证操作，实现了终端访问安全认证站点时，不需要进行基础改造，只需要支持标准的HTTP协议即可，提高可扩展性；同时，通过认证转码服务获取终端的配置信息，进而根据与终端显示要求适配的数据定制格式返回认证结果等信息，实现了安全认证站点也不需要因终端的限制而进行定制适配，可以沿用原有的认证机制，进一步提高可扩展性。\n[0048] 装置实施例\n[0049] 图3为本发明的安全认证站点的访问装置的实施例结构图。图1及2所示的各方法实施例均可应用于本实施例。本实施例包括：接收模块30，用于接收终端发送的包括待访问的安全认证站点信息的HTTP访问请求；第一处理模块32，用于根据安全认证站点信息获取用于与安全认证站点的认证要求适配的认证配置信息；并根据认证配置信息生成认证请求，以及将认证请求发送至安全认证站点；第二处理模块34，用于在安全认证站点根据认证请求与安全认证站点认证成功后，建立用于终端与安全认证站点间信息交互的安全通道。本领域技术人员可以理解，本实施例的安全认证站点的访问装置可以理解为图2中的认证转码服务器。\n[0050] 具体操作时，该安全认证站点的访问装置还可以包括：获取模块36，用于根据HTTP访问请求中的终端信息获取与终端的显示要求适配的配置信息；数据格式模块38，用于根据配置信息确定向终端发送信息的数据定制格式。\n[0051] 该第二处理模块34还可以包括：\n[0052] 第一通道子模块342，用于在安全认证站点根据认证请求与安全认证站点认证成功后，建立安全通道；\n[0053] 第一交互子模块344，用于将安全认证站点通过该安全通道传送的返回信息的格式转换为数据定制格式，并将转换后的返回信息通过该安全通道发送至终端；\n[0054] 第二通道子模块346，用于接收安全认证站点根据认证请求发送的认证信息(包括但不限于加密算法、证书等)；对认证信息，如证书进行验证，并根据加密算法确定通信密钥，与安全认证站点建立双向安全通道；\n[0055] 第二交互子模块348，用于将安全认证站点通过该双向安全通道传送的返回信息的格式转换为数据定制格式，并将转换后的返回信息通过该双向安全通道发送至终端；用于接收终端通过该双向安全通道传送的访问信息，并根据加通信密钥对访问信息进行加密，以及将加密后的访问信息发送至安全认证站点。\n[0056] 本领域技术人员可以理解，第二通道子模块346及第二交互子模块348分别为第一通道子模块342及第一交互子模块344的优选操作模块，具体操作时可以由第一通道子模块342及第一交互子模块344进行操作，或者由第二通道子模块346及第二交互子模块\n348进行操作，还可以设置选择模块(图未示)用于选择由第一通道子模块342及第一交互子模块344进行操作或者由第二通道子模块346及第二交互子模块348进行操作。\n[0057] 本实施例通过安全认证站点的访问装置作为安全代理与安全认证站点连接，第一处理模块32获取用于与安全认证站点的认证要求适配的认证配置信息，进而生成认证请求进行安全认证以建立安全通道，解决了终端因性能不足而导致无法访问安全认证站点的问题，提升了可扩展性；同时通过第二通道子模块346及第二交互子模块348实现加密通信，进一步提高通信的安全性，此外，通过获取模块36及数据格式模块38实现了根据与终端适配的数据格式为终端返回认证结果及访问内容等信息，实现了针对终端的能力进行内容定制，进一步提升了可扩展性。\n[0058] 系统实施例\n[0059] 图4为本发明的安全认证站点的访问系统的实施例结构图。图1及2所示的各方法实施例均可应用于本实施例。本实施例包括：网关40，用于转发终端发送的包括待访问的安全认证站点信息的HTTP访问请求；安全认证站点的访问装置42，用于根据网关转发的HTTP访问请求中的安全认证站点信息获取用于与安全认证站点的认证要求适配的认证配置信息；并根据认证配置信息生成认证请求，且将认证请求发送至安全认证站点，以及在安全认证站点根据认证请求与安全认证站点认证成功后，建立用于终端与安全认证站点间信息交互的安全通道，进行终端与安全认证站点间的信息交互。\n[0060] 具体操作时，该安全认证站点的访问系统还可以包括：终端信息库44，用于存储与终端的显示要求适配的配置信息，并根据访问装置42发送的查询请求，将配置信息发送至访问装置42，确定向终端发送信息的数据定制格式，该配置信息可以包括终端的操作系统版本、屏幕分辨率、网络传输协议支持等；认证配置库46，用于存储认证配置信息，并根据访问装置42发送的获取请求，将认证配置信息发送至访问装置42，该认证配置信息包括安全认证站点所支持的认证方式、类型和认证机制等。\n[0061] 其中，网关40为与终端连接的常用网关，如与移动终端连接的网关，完成终端型号获取、协议转换、互联网站内容的编解码等功能，并保障与终端的安全通信；\n[0062] 安全认证站点的访问装置42(即认证转码服务器)作为安全代理，一方面接收并响应网关的交互请求，另一方面作为虚拟终端，模拟终端与安全认证站点建立安全链接，实现与安全认证站点的安全通信；具体操作时，该安全认证站点的访问装置42可以包括终端适配模块422(相当于图3中的获取模块36及数据格式模块38)和安全链接模块424(相当于图3中的第一处理模块32)，其中，终端适配模块422接收终端的HTTP访问请求，通过建立终端匹配规则，在终端信息库44中查询终端的详细能力和配置信息，确定终端的适配方式，例如针对不同分辨率的终端排版优化，针对终端能力较弱的提供网页元素过滤等；安全链接模块424根据HTTP访问请求中所访问的安全认证站点，查询安全认证配置库46，获取互安全认证站点的认证配置信息，进而生成认证请求进行认证操作。本领域技术人员可以理解，安全认证站点的访问装置42与网关40可以集成设置。\n[0063] 本发明通过安全认证站点的访问装置42以安全代理方式实现终端访问安全认证站点，实现了在终端不做基础设施改造的情况下，解决因受终端能力限制，无法访问安全认证站点的问题，提高了可扩展性；同时，安全认证站点的访问装置42对终端显示要求适配，实现了在安全认证站点不做基础设施改造的情况下，满足终端显示要求，进一步提高了可扩展性。\n[0064] 最后应说明的是：以上仅为本发明的优选实施例而已，并不用于限制本发明，尽管参照前述实施例对本发明进行了详细的说明，对于本领域的技术人员来说，其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。