一种安全状态的评估方法、装置及系统

暂无

技术领域\n本发明涉及网络及通信领域，特别是涉及一种安全状态的评估方法、装置及系统。 \n背景技术\n随着互联网在全球的快速发展，应用层的安全威胁，比如病毒，黑客攻击等层出不穷。这主要源于IP技术的开放架构和其本身安全保护的缺乏。网络端点评估NEA(Network Endpoint Assessment)的目的是保护网络不受来自不安全网络端点的威胁。这些不安全网络端点包括已经被病毒感染或存在某些安全漏洞的网络端点。 \nNEA体系中，网络管理者通过设置在试图接入网络的网络端点上的代理客户端，收集该网络端点的系统状态信息并进行评估，以及根据评估结果决定是否允许该网络端点接入网络。若评估结果表明符合网络安全策略，则允许该网络端点接入网络。若评估结果表明不符合网络安全策略，则不允许该网络端点接入网络，同时还可以将更新途径通知该网络端点。 \n现有技术中的一种网络端点评估实现方式，参见图1所示，包括下列步骤： \n1、由网络侧的代理服务器向网络端点中的代理客户端发送查询请求消息，该查询请求消息中携带有需要代理客户端提供的安全状态信息； \n2、代理客户端通过查询结果消息将相应的安全状态信息发送给代理服务器； \n3、代理服务器对查询结果消息中携带的安全状态信息进行评估，并根据评估结果做出是否允许该网络端点接入网络的决定； \n若允许该网络端点接入网络，则直接通过授权/更新消息将评估授权决定发给该网络端点中的代理客户端；否则通过授权/更新消息将评估授权决定和更新途径发给该网络端点中的代理客户端。 \n现有技术中的另一种网络端点评估实现方式，参见图2所示，包括下列步骤： \n1、由网络侧的代理服务器向网络端点中的代理客户端发送策略信息消息，代理服务器通过该消息将评估时所需要的安全策略发送到代理客户端； \n2、代理客户端依据安全策略对其所属的网络端点的安全状态进行评估，并将评估结果消息发送到代理服务器； \n3、代理服务器对该代理客户端上报的评估结果进行分析，并做出是否允许该网络端点接入网络的决定； \n若允许该网络端点接入网络，则直接通过授权/更新消息将评估授权决定发给该网络端点中的代理客户端；否则通过授权/更新消息将评估授权决定和更新途径发给该网络端点中的代理客户端。 \n发明人在发明过程中发现，上述两种网络端点评估实现方式中，对安全状态的评估只是针对希望接入网络的网络端点，但无法向网络端点保证其欲接入的网络是安全的。 \n发明内容\n本发明实施例提供一种安全状态的评估方法、装置及系统，以实现通过安全状态评估过程，保证交互双方均安全。 \n本发明实施例的方法包括：第一网络实体接收来自第二网络实体的对第一网络实体进行安全状态评估的请求消息；第一网络实体根据所述请求消息向第二网络实体返回对第一网络实体进行安全状态评估所需的信息；第一网络实体向第二网络实体发送对第二网络实体进行安全状态评估的请求消息；第一网络实体接收第二网络实体返回的安全状态评估结果以及对第二网络实体进行安全状态评估所需的信息；第一网络实体根据所述对第二网络实体进行安全状态 评估所需的信息对第二网络实体进行安全评估，向第二网络实体返回安全状态评估授权决定； \n其中，所述对第一网络实体进行安全状态评估的请求消息包括：对第一网络实体安全状态的查询消息；所述对第一网络实体进行安全状态评估所需的信息包括：第一网络实体的安全状态信息；所述对第二网络实体进行安全状态评估的请求消息包括：携带对第二网络实体进行安全状态评估所用策略的消息；所述对第二网络实体进行安全状态评估所需的信息包括：根据所述对第二网络实体进行安全状态评估所用策略，对第二网络实体进行安全状态评估的评估结果；或者， \n所述对第一网络实体进行安全状态评估的请求消息包括：携带对第一网络实体进行安全状态评估所用策略的消息；所述对第一网络实体进行安全状态评估所需的信息包括：根据所述对第一网络实体进行安全状态评估所用策略，对第一网络实体进行安全状态评估的评估结果；所述对第二网络实体进行安全状态评估的请求消息包括：对第二网络实体安全状态的查询消息；所述对第二网络实体进行安全状态评估所需的信息包括：第二网络实体的安全状态信息；或者， \n所述对第一网络实体进行安全状态评估的请求消息包括：携带对第一网络实体进行安全状态评估所用策略的消息；所述对第一网络实体进行安全状态评估所需的信息包括：根据所述对第一网络实体进行安全状态评估所用策略，对第一网络实体进行安全状态评估的评估结果；所述对第二网络实体进行安全状态评估的请求消息包括：携带对第二网络实体进行安全状态评估所用策略的消息；所述对第二网络实体进行安全状态评估所需的信息包括：根据所述对第二网络实体进行安全状态评估所用策略，对第二网络实体进行安全状态评估的评估结果。 \n本发明实施例的网络实体，包括：接收单元、反馈单元和安全状态评估单元；所述接收单元，用于接收对该网络实体进行安全状态评估的请求消息；接 收评估授权决定，以及进行安全状态评估所需的信息；所述反馈单元，用于返回对该网络实体进行安全状态评估所需的信息，以及进行安全状态评估的请求消息；返回安全状态评估单元得出的评估授权决定；所述安全状态评估单元，用于根据接收单元收到的进行安全状态评估所需的信息，进行安全评估； \n其中，所述接收单元接收的对该网络实体进行安全状态评估的请求消息包括：对该网络实体安全状态的查询消息；所述反馈单元返回的对该网络实体进行安全状态评估所需的信息包括：该网络实体的安全状态信息；所述反馈单元返回的进行安全状态评估的请求消息包括：携带对另一网络实体进行安全状态评估所用策略的消息；所述接收单元接收的进行安全状态评估所需的信息包括：根据所述对另一网络实体进行安全状态评估所用策略，对另一网络实体进行安全状态评估的评估结果；或者， \n所述接收单元接收的对该网络实体进行安全状态评估的请求消息包括：携带对该网络实体进行安全状态评估所用策略的消息；所述反馈单元返回的对该网络实体进行安全状态评估所需的信息包括：根据所述对该网络实体进行安全状态评估所用策略，对该网络实体进行安全状态评估的评估结果；所述反馈单元返回的进行安全状态评估的请求消息包括：对另一网络实体安全状态的查询消息；所述接收单元接收的进行安全状态评估所需的信息包括：另一网络实体的安全状态信息；或者， \n所述接收单元接收的对该网络实体进行安全状态评估的请求消息包括：携带对该网络实体进行安全状态评估所用策略的消息；所述反馈单元返回的对该网络实体进行安全状态评估所需的信息包括：根据所述对该网络实体进行安全状态评估所用策略，对该网络实体进行安全状态评估的评估结果；所述反馈单元返回的进行安全状态评估的请求消息包括：携带对另一网络实体进行安全状态评估所用策略的消息；所述接收单元接收的进行安全状态评估所需的信息包括：根据所述对另一网络实体进行安全状态评估所用策略，对另一网络实体进行安全状态评估的评估结果。 \n本发明实施例的安全状态的评估系统，包括：第一网络实体和第二网络实体；所述第一网络实体与第二网络实体进行信息交互，相互进行安全状态评估，根据安全状态评估结果向对方返回评估授权决定；其中，所述第一网络实体，用于接收第二网络实体发来的对第一网络实体进行安全状态评估的请求消息；向第二网络实体返回对第一网络实体进行安全状态评估所需的信息，以及向第二网络实体发送对第二网络实体进行安全状态评估的请求消息；接收第二网络实体返回的评估授权决定以及对第二网络实体进行安全状态评估所需的信息；根据所述对第二网络实体进行安全状态评估所需的信息对第二网络实体进行安全评估，并向第二网络实体返回评估授权决定； \n所述第二网络实体，用于向第一网络实体发出对第一网络实体进行安全状态评估的请求消息；接收第一网络实体发来的对第一网络实体进行安全状态评估所需的信息，以及对第二网络实体进行安全状态评估的请求消息；根据所述对第一网络实体进行安全状态评估所需的信息对第一网络实体进行安全评估，并向第一网络实体返回评估授权决定，以及向第一网络实体返回对第二网络实体进行安全状态评估所需的信息； \n其中，所述对第一网络实体进行安全状态评估的请求消息包括：对第一网络实体安全状态的查询消息；所述对第一网络实体进行安全状态评估所需的信息包括：第一网络实体的安全状态信息；所述对第二网络实体进行安全状态评估的请求消息包括：携带对第二网络实体进行安全状态评估所用策略的消息；所述对第二网络实体进行安全状态评估所需的信息包括：根据所述对第二网络实体进行安全状态评估所用策略，对第二网络实体进行安全状态评估的评估结果；或者， \n所述对第一网络实体进行安全状态评估的请求消息包括：携带对第一网络实体进行安全状态评估所用策略的消息；所述对第一网络实体进行安全状态评估所需的信息包括：根据所述对第一网络实体进行安全状态评估所用策略，对第一网络实体进行安全状态评估的评估结果；所述对第二网络实体进行安全状 态评估的请求消息包括：对第二网络实体安全状态的查询消息；所述对第二网络实体进行安全状态评估所需的信息包括：第二网络实体的安全状态信息；或者， \n所述对第一网络实体进行安全状态评估的请求消息包括：携带对第一网络实体进行安全状态评估所用策略的消息；所述对第一网络实体进行安全状态评估所需的信息包括：根据所述对第一网络实体进行安全状态评估所用策略，对第一网络实体进行安全状态评估的评估结果；所述对第二网络实体进行安全状态评估的请求消息包括：携带对第二网络实体进行安全状态评估所用策略的消息；所述对第二网络实体进行安全状态评估所需的信息包括：根据所述对第二网络实体进行安全状态评估所用策略，对第二网络实体进行安全状态评估的评估结果。 \n本发明实施例中，由于第一网络实体与第二网络实体相互请求评估对端的安全状态，并相互作出评估授权决定，从而实现通过安全状态评估过程，保证交互双方均安全。 \n附图说明\n图1为现有技术中的一种网络端点评估实现方式的流程图； \n图2为现有技术中的另一种网络端点评估实现方式的流程图； \n图3为本发明实施例的方法步骤流程图； \n图4为本发明实施例的网络实体结构示意图； \n图5为本发明实施例的系统结构示意图； \n图6为本发明实施例1的流程图； \n图7为本发明实施例2的流程图； \n图8为本发明实施例3的流程图； \n图9为本发明实施例4的流程图。 \n具体实施方式\n为了实现通过安全状态评估过程，保证交互双方均安全，在两个网络实体间进行双向的操作之前，首先进行双向的安全评估。每个网络实体既能够完成针对对端的安全评估，也可以协助对端完成针对自己的安全评估。通过这一机制，每个网络实体都可以根据对将要与其进行各种操作的对端所进行的安全评估，来决定是否与该对端继续进一步的交互。 \n因此，本发明实施例提供了一种安全状态的评估方法，参见图3所示，包括下列主要步骤： \nS1、第一网络实体接收来自第二网络实体的对第一网络实体进行安全状态评估的请求消息。 \n其中，所述对第一网络实体进行安全状态评估的请求消息包括：对第一网络实体安全状态的查询消息，或者对第一网络实体进行安全状态评估所用策略的消息。 \nS2、第一网络实体根据所述请求消息向第二网络实体返回对第一网络实体进行安全状态评估所需的信息，向第二网络实体发送对第二网络实体进行安全状态评估的请求消息。 \n其中，所述对第一网络实体进行安全状态评估所需的信息包括：第一网络实体的安全状态信息；或者根据所述对第一网络实体进行安全状态评估所用策略，对第一网络实体进行安全状态评估的评估结果。 \n所述对第二网络实体进行安全状态评估的请求消息包括：对第二网络实体安全状态的查询消息，或者对第二网络实体进行安全状态评估所用策略的消息。 \nS3、第一网络实体接收第二网络实体返回的安全状态评估结果以及对第二网络实体进行安全状态评估所需的信息。 \n其中，所述对第二网络实体进行安全状态评估所需的信息包括：第二网络实体的安全状态信息；或者根据所述对第二网络实体进行安全状态评估所用策 略，对第二网络实体进行安全状态评估的评估结果。 \n若第二网络实体返回的评估授权决定指示不允许第一网络实体接入，则第二网络实体还可以返回更新安全状态可采用的方式(更新途径)，使第一网络实体根据可采用的方式进行安全状态更新，从而使第一网络实体在进行安全状态更新之后与第二网络实体的安全评估策略一致。 \nS4、第一网络实体根据所述对第二网络实体进行安全状态评估所需的信息对第二网络实体进行安全评估，向第二网络实体返回安全状态评估授权决定。 \n若第一网络实体返回的评估授权决定指示不允许第二网络实体接入，则第一网络实体还可以返回更新安全状态可采用的方式(更新途径)，使第二网络实体根据可采用的方式进行安全状态更新，从而使第二网络实体在进行安全状态更新之后与第一网络实体的安全评估策略一致。 \n本发明实施例还提供了一种网络实体，该网络实体可为网路端点(如：个人计算机PC，移动终端等)，也可为网络侧的服务器(如：路由器、网关或认证服务器等)。参见图4所示，包括：接收单元、反馈单元和安全状态评估单元；进一步还可包括：更新单元。上述各个单元可以相互独立，也可集成在一起称之为安全代理。 \n所述接收单元，用于接收对该网络实体进行安全状态评估的请求消息；接收评估授权决定，以及进行安全状态评估所需的信息； \n所述反馈单元，用于返回对该网络实体进行安全状态评估所需的信息，以及进行安全状态评估的请求消息；返回安全状态评估单元得出的评估授权决定。 \n所述安全状态评估单元，用于根据接收单元收到的进行安全状态评估所需的信息，进行安全评估。 \n更新单元，用于在安全状态评估单元得出的评估授权决定指示不允许对端接入时，返回包括更新安全状态可采用的方式的消息。 \n本发明实施例还提供了一种通信系统，参见图5所示，其包括：第一网络 实体和第二网络实体。 \n所述第一网络实体与第二网络实体进行信息交互，相互进行安全状态评估，根据安全状态评估结果向对方返回评估授权决定。具体可通过网络实体中包含的安全代理进行信息交互，完成对本端和对方的安全评估。 \n更为具体的，所述第一网络实体可为网路端点(如：PC，移动终端等)，也可为网络侧的服务器(如：路由器、网关或认证服务器等)；所述第二网络实体可为网路端点(如：PC，移动终端等)，也可为网络侧的服务器(如：路由器、网关或认证服务器等)。经过组合，所述系统可为非对等系统(即包含网路端点和服务器)；所述系统可为对等系统(即包含相互之间处于同等地位的网路端点)，例如：点对点P2P传输系统，其中的各个网路端点既作为节点，又作为对端的服务器。 \n所述第一网络实体，用于接收第二网络实体发来的对第一网络实体进行安全状态评估的请求消息；向第二网络实体返回对第一网络实体进行安全状态评估所需的信息，以及向第二网络实体发送对第二网络实体进行安全状态评估的请求消息；接收第二网络实体返回的评估授权决定以及对第二网络实体进行安全状态评估所需的信息；根据所述对第二网络实体进行安全状态评估所需的信息对第二网络实体进行安全评估，并向第二网络实体返回评估授权决定； \n所述第二网络实体，用于向第一网络实体发出对第一网络实体进行安全状态评估的请求消息；接收第一网络实体发来的对第一网络实体进行安全状态评估所需的信息，以及对第二网络实体进行安全状态评估的请求消息；根据所述对第一网络实体进行安全状态评估所需的信息对第一网络实体进行安全评估，并向第一网络实体返回评估授权决定，以及向第一网络实体返回对第二网络实体进行安全状态评估所需的信息。 \n其中，网络实体得出的评估授权决定指示不允许对端接入，则该网络实体还返回更新安全状态可采用的方式。 \n其中，第二网络实体发出的对第一网络实体进行安全状态评估的请求消息 包括：对第一网络实体安全状态的查询消息，或者对第一网络实体进行安全状态评估所用策略的消息； \n第一网络实体发出的对第二网络实体进行安全状态评估的请求消息包括：对第二网络实体安全状态的查询消息，或者对第二网络实体进行安全状态评估所用策略的消息。 \n其中，第一网络实体向第二网络实体返回的对第一网络实体进行安全状态评估所需的信息包括：第一网络实体的安全状态信息；或者第一网络实体根据所述对第一网络实体进行安全状态评估所用策略，对第一网络实体进行安全状态评估的评估结果； \n第二网络实体向第一网络实体返回的对第二网络实体进行安全状态评估所需的信息包括：第二网络实体的安全状态信息；或者第二网络实体根据所述对第二网络实体进行安全状态评估所用策略，对第二网络实体进行安全状态评估的评估结果。 \n以下通过4个实施例具体描述。 \n实施例1、两个对等的网络实体(例如：两个PC机)均采用查询方式进行安全评估。参见图6所示，包括下列步骤： \n1、由网络实体2中的安全代理2向网络实体1中的安全代理1发送查询请求消息，安全代理2在该查询请求消息中携带有需要安全代理1提供的安全状态信息。 \n2、安全代理1将网络实体1当前的安全状态信息和针对网络实体2的查询请求发送给安全代理2； \n其中，网络实体1当前的安全状态信息可携带于针对网络实体2的查询请求消息中；具体的可将安全状态信息携带于查询请求消息中的特定属性字段中。 \n若通过查询请求响应消息返回网络实体1当前的安全状态信息，则可在该查询请求响应消息中携带针对网络实体2的查询请求信息；具体的可将查询请 求信息携带于查询请求响应消息中的特定属性字段中。 \n也可通过两条消息分别将网络实体1当前的安全状态信息和针对网络实体2的查询请求信息发送给安全代理2。 \n3、安全代理2根据自身的策略对网络实体1当前的安全状态信息进行评估，并根据评估的结果做出是否允许网络实体1与其继续交互的决定。 \n若允许网络实体1与其继续交互，则直接将评估授权决定和网络实体2当前的安全状态信息发送到安全代理1；否则将评估授权决定、网络实体2当前的安全状态信息，以及更新安全状态可采用的方式(可选)发送到安全代理1。 \n其中，评估授权决定和网络实体2当前的安全状态信息可通过一条或两条消息发送到安全代理1。 \n4、安全代理1根据自身的策略对网络实体2当前的安全状态信息进行评估，并根据评估的结果做出是否允许网络实体2与其继续交互的决定。 \n若允许网络实体2与其继续交互，则直接将评估授权决定发送到安全代理2；否则将评估授权决定，以及更新安全状态可采用的方式(可选)发送到安全代理2。 \n实施例2、两个非对等的网络实体(例如：网络实体1为PC机，网络实体2为网络侧的服务器)均采用下发策略的方式进行安全评估。参见图7所示，包括下列步骤： \n1、由网络实体2中的安全代理2向网络实体1中的安全代理1发送策略信息消息，安全代理2通过该消息将安全代理1对网络实体1进行安全状态评估所需的策略下发到安全代理1；即安全代理2将自身的策略下发到安全代理1，要求安全代理1按照该策略进行安全状态评估。 \n2、安全代理1根据安全代理2发来的策略对网络实体1当前的安全状态信息进行评估，并将评估结果和针对网络实体2进行安全状态评估所需的策略发送给安全代理2； \n其中，评估结果和针对网络实体2进行安全状态评估所需的策略通过一条 或两条消息发送。 \n3、安全代理2分析安全代理1对网络实体1做出的评估结果，并做出是否允许网络实体1与其继续交互的决定；以及安全代理2根据安全代理1发来的策略对网络实体2当前的安全状态信息进行评估。 \n若允许网络实体1与其继续交互，则直接将评估授权决定和针对网络实体2的评估结果发送到安全代理1；否则将评估授权决定、针对网络实体2的评估结果，以及更新安全状态可采用的方式(可选)发送到安全代理1。 \n其中，评估授权决定和针对网络实体2的评估结果可通过一条或两条消息发送到安全代理1。 \n4、安全代理1分析安全代理2对网络实体2做出的评估结果，并做出是否允许网络实体2与其继续交互的决定。 \n若允许网络实体2与其继续交互，则直接将评估授权决定发送到安全代理2；否则将评估授权决定，以及更新安全状态可采用的方式(可选)发送到安全代理2。 \n实施例3、两个对等的网络实体(例如：两个PC机)采用不同的安全评估方式进行安全评估。参见图8所示，包括下列步骤： \n1、由网络实体2中的安全代理2向网络实体1中的安全代理1发送查询请求消息，安全代理2在该查询请求消息中携带有需要安全代理1提供的安全状态信息。 \n2、安全代理1将网络实体1当前的安全状态信息和针对网络实体2进行安全状态评估所需的策略发送给安全代理2； \n其中，网络实体1当前的安全状态信息和针对网络实体2进行安全状态评估所需的策略通过一条或两条消息发送。 \n3、安全代理2根据自身的策略对网络实体1当前的安全状态信息进行评估，并根据评估的结果做出是否允许网络实体1与其继续交互的决定；以及安全代理2根据安全代理1发来的策略对网络实体2当前的安全状态信息进行评 估。 \n若允许网络实体1与其继续交互，则直接将评估授权决定和针对网络实体2的评估结果发送到安全代理1；否则将评估授权决定、针对网络实体2的评估结果，以及更新安全状态可采用的方式(可选)发送到安全代理1。 \n其中，评估授权决定和针对网络实体2的评估结果可通过一条或两条消息发送到安全代理1。 \n4、安全代理1分析安全代理2对网络实体2做出的评估结果，并做出是否允许网络实体2与其继续交互的决定。 \n若允许网络实体2与其继续交互，则直接将评估授权决定发送到安全代理2；否则将评估授权决定，以及更新安全状态可采用的方式(可选)发送到安全代理2。 \n实施例4、两个非对等的网络实体(例如：网络实体1为PC机，网络实体2为网络侧的服务器)采用不同的安全评估方式进行安全评估。参见图9所示，包括下列步骤： \n1、由网络实体2中的安全代理2向网络实体1中的安全代理1发送策略信息消息，安全代理2通过该消息将安全代理1对网络实体1进行安全状态评估所需的策略下发到安全代理1；即安全代理2将自身的策略下发到安全代理1，要求安全代理1按照该策略进行安全状态评估。 \n2、安全代理1根据安全代理2发来的策略对网络实体1当前的安全状态信息进行评估，并将评估结果和针对网络实体2的查询请求发送给安全代理2； \n其中，针对网络实体1的评估结果和针对网络实体2的查询请求通过一条或两条消息发送。 \n3、安全代理2分析安全代理1对网络实体1做出的评估结果，并做出是否允许网络实体1与其继续交互的决定； \n若允许网络实体1与其继续交互，则直接将评估授权决定和网络实体2当前的安全状态信息发送到安全代理1；否则将评估授权决定、网络实体2当前 的安全状态信息，以及更新安全状态可采用的方式(可选)发送到安全代理1。 \n其中，评估授权决定和网络实体2当前的安全状态信息可通过一条或两条消息发送到安全代理1。 \n4、安全代理1根据自身的策略对网络实体2当前的安全状态信息进行评估，并根据评估的结果做出是否允许网络实体2与其继续交互的决定。 \n若允许网络实体2与其继续交互，则直接将评估授权决定发送到安全代理2；否则将评估授权决定，以及更新安全状态可采用的方式(可选)发送到安全代理2。 \n综上所述，本发明实施例中，第一网络实体中的第一安全代理接收第二网络实体中的第二安全代理发来的请求对第一网络实体进行安全状态评估的消息；第一安全代理向第二安全代理返回对第一网络实体进行安全状态评估所需的信息，并向第二安全代理发送请求对第二网络实体进行安全状态评估的消息；第一安全代理接收第二安全代理返回的评估授权决定以及对第二网络实体进行安全状态评估所需的信息；第一安全代理根据所述对第二网络实体进行安全状态评估所需的信息对第二网络实体进行安全评估，并向第二安全代理返回评估授权决定。从而实现通过安全状态评估过程，保证交互双方均安全。 \n进一步，若第一网络实体与第二网络实体非对等，例如：第一网络实体为PC机，第二网络实体为网络侧的服务器，则不但可像现有技术那样保证网络侧的服务器的安全，而且还可保证接入网络的PC机的安全。 \n进一步，若第一网络实体与第二网络实体对等，即系统由对等的网络实体组成(例如P2P系统)，则其中任何一个网络实体都可以作为另一个网络实体的客户端和服务器，而且安全评估的策略也可以由各个网络实体自行设置。基于这种系统，更需要交互双方分别对对端进行安全评估。通过本发明的实施例，可保证每一对等网络实体的安全。 \n显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。