用户标识系统及注册、业务和路由配置方法转让专利
申请号 : CN200610002874.6
文献号 : CN101018238B
文献日 : 2011-11-02
发明人 : 赵凯 , 苗福友 , 辛阳 , 孙玲玲 , 杨义先
申请人 : 华为技术有限公司 , 北京邮电大学
摘要 :
本发明提供了一种用户标识系统,包括:个人用户代理单元、通用通信标识符数据中心单元、服务器系统代理单元和通用通信标识符管理中心单元,其中,个人用户代理单元与通用通信标识符数据中心单元一一对应。本发明还提供了一种下一代网络的用户标识的注册方法、业务和路由配置方法。本发明在ITU-T和ETSI的已有标准基础之上,建立一套完整的用户标识系统,可以通用于各种接入用户,能够唯一标识用户,保证具备较高的安全性,易于管理和运营,利于新业务的扩展,使用户与设备分离开来,用来标识用户而不受设备物理位置的拘泥。
权利要求 :
1.一种用户标识系统,其特征在于,包括:个人用户代理单元,通用通信标识符数据中心单元、服务器系统代理单元、通用通信标识符管理中心单元,其中,个人用户代理单元与通用通信标识符数据中心单元一一对应,所述个人用户代理单元通过负载网络与具有通用通信标识符信息的用户终端通信,对该用户终端进行初步标识和/或能力协商;
所述通用通信标识符数据中心单元,用于预先存储用户终端的通用通信标识符信息,供所述个人用户代理单元调用及处理;
所述服务器系统代理单元,根据个人用户代理单元的信息提供相应的服务;
所述通用通信标识符管理中心单元,用于统一管理个人用户代理单元,并实现业务及路由管理。
2.如权利要求1所述用户标识系统,其特征在于,该系统通过内部接口实现系统内部信息传输,包括:Uup接口,用于具有通用通信标识符信息的用户终端与个人用户代理单元通信;
Upp接口,用于个人用户代理单元之间通信;
Upi接口,用于个人用户代理单元和通用通信标识符数据中心单元通信;
Ups接口,用于个人用户代理单元和服务器系统代理单元通信;
Ump接口,用于通用通信标识符管理中心单元与个人用户代理单元通信。
3.如权利要求1所述用户标识系统,其特征在于,该系统通过外部接口与外部通信,包括:Upr接口,用于个人用户代理单元与资源访问控制子系统通信;
和/或Upc接口,用于个人用户代理单元与服务呼叫会话控制功能通信;
和/或Usg接口,用于服务器系统代理单元与网关之间通信。
4.如权利要求1所述用户标识系统,其特征在于,所述通用通信标识符信息包括:统一用户编号、用户名和密码。
5.如权利要求1所述用户标识系统,其特征在于,所述能力协商包括:用户终端支持的功能和/或本地网络的负载能力和/或带宽。
6.如权利要求1所述用户标识系统,其特征在于,所述负载网络包括:IP网、和/或移动网、和/或电信网。
说明书 :
用户标识系统及注册、业务和路由配置方法
技术领域
[0001] 本发明涉及网络标识领域,尤其涉及一种用户标识系统及注册、业务和路由配置方法。
背景技术
[0002] NGN(Next Generation Networks,下一带网络)是一个广义范畴,旨在改革现有电信网和信息产业的基础设施,以支持更广泛的业务,该网络可以由固定网、移动网、IP网和接入网等组成,因此,NGN可以支持各种业务,实现与现有网络互通。
[0003] NGN网络按功能划分包括:应用层面、网络控制层面、传输层面和管理层面,不同层面之间可以互相通信。其中,应用层面实现鉴权、计费、目录、安全、浏览、查找、导航和格式转换等功能;应用层面不仅向大众用户提供服务,还向运营支撑系统和业务提供者提供服务支撑;网络控制层面:提供端到端的呼叫/会话控制,并对底层自动交换传送网络的控制以及信令处理功能;传输层面提供一层的交换和传输,二层的转接和交换以及三层的交换和/或路由功能;管理层面提供远程和本地管理功能。
[0004] 虽然,NGN融合了语音数据和多媒体业务,是对传统网络技术的一次革新,但同时也带来了用户管理方面的一些新的特点。比如,如何在NGN网络系统中实施有效的用户接入认证,保障用户业务安全,实施快速有效的用户维护等。
[0005] 然而现有技术中,NGN都是通过设备端口来唯一标识一个用户,就是将每一用户线或端口作为一个用户,并用一个E.164号码标识,用户号码对应物理接口或线。用户和号码不移动时无需要验证,其用户数据分散存储在呼叫服务器中。而NGN系统已经淡化了用户位置信息,所以通过位置信息来标识用户的意义不大。
[0006] 另外,在NGN领域内,现有方案大多是针对设备进行标识,由于NGN网络中的各种网络的互联带来的多种用户设备接入,NGN必须有很好的接入能力,故在ITU-T Y.2001中建议,个体用户通过命名/编号的方法,由命名/编号翻译到一个可路由的有效地址,从而建立传输。这些方法包括E.164编码方式、URL(Uniform Resource Locator,统一资源定位),UNS(UniformName System,统一命名系统)、URI(Uniform Resource Identifier,统一资源标识符)等方式。
[0007] 上述技术把可路由的地址作为设备的标识,在安全方面缺乏保证,比较容易伪装假冒和欺骗;而且,尽管地址和命名作为设备的标识,可以在一定程度上代表用户,但并不能使用户和设备分离开来,不具备较好的移动性和便携性,并且不能在标识上直接附加其它的业务或智能功能。
[0008] 针 对 上 述 设 备 标 识 技 术 的 不 足 之 处,现 有 技 术 中 提 出 了UCI(UniversalCommunications Identifier,通用通信标识符)的概念。用UCI来标识NGN中的用户,并且引入了个人用户代理和服务器系统代理,从而可以不受位置的限制。 [0009] 然而该技术只是针对UCI本身的层次结构和业务流程进行了设计,没有考虑下一代网络全局的组网布局;另外,在NGN用户的注册和认证的过程中存在安全上的不足;此外,对其中的个人用户代理的管理和路由更新等问题也都没有进行讨论。 [0010] 发明内容
[0011] 本发明要解决的问题是提供一种用户标识系统及注册、业务和路由配置方法,以克服现有技术不能通过用户标识进行组网的缺陷。
[0012] 为了解决上述问题,本发明提供了一种用户标识系统,包括:个人用户代理单元,通用通信标识符数据中心单元、服务器系统代理单元、通用通信标识符管理中心单元,其中,个人用户代理单元与通用通信标识符数据中心单元一一对应,
[0013] 所述个人用户代理单元通过负载网络与具有通用通信标识符信息的用户终端通信,对该用户终端进行初步标识和/或能力协商;
[0014] 所述通用通信标识符数据中心单元,用于预先存储用户终端的通用通信标识符信息,供所述个人用户代理单元调用及处理;
[0015] 所述服务器系统代理单元,根据个人用户代理单元的信息提供相应的服务; [0016] 所述通用通信标识符管理中心单元,用于统一管理个人用户代理单元,并实现业务及路由管理。
[0017] 该系统通过内部接口实现系统内部信息传输,包括:
[0018] Uup接口,用于具有通用通信标识符信息的用户终端与个人用户代理单元通信; [0019] Upp接口,用于个人用户代理单元之间通信;
[0020] Upi接口,用于个人用户代理单元和通用通信标识符数据中心单元通信; [0021] Ups接口,用于个人用户代理单元和服务器系统代理单元通信;
[0022] Ump接口,用于通用通信标识符管理中心单元与个人用户代理单元通信。 [0023] 该系统通过外部接口与外部通信,包括:
[0024] Upr接口,用于个人用户代理单元与资源访问控制子系统通信;
[0025] 和/或Upc接口,用于个人用户代理单元与服务呼叫会话控制功能通信; [0026] 和/或Usg接口,用于服务器系统代理单元与网关之间通信。
[0027] 所述通用通信标识符信息包括:统一用户编号、用户名和密码。 [0028] 所述能力协商包括:用户终端支持的功能和/或本地网络的负载能力和/或带宽。 [0029] 所述负载网络包括:IP网、和/或移动网、和/或电信网。
[0030] 本发明还提供了一种用户标识系统中用户终端的注册方法,包括以下步骤: [0031] A、具有通用通信标识符信息的用户终端向个人用户代理单元发送注册请求信息;
[0032] B、所述个人用户代理单元根据所述注册请求信息指定服务器系统代理单元; [0033] C、所述用户终端向该服务器系统代理单元发起绑定请求;
[0034] D、该服务器系统代理单元向个人用户代理单元确认该用户终端。 [0035] 步骤A和步骤B之间还包括:
[0036] 所述个人用户代理单元验证该用户终端的信息。
[0037] 所述用户终端的信息包括用户信息和业务信息。
[0038] 所述用户信息包括统一用户编号、用户名和密码;所述业务信息包括访问特定业务的权限参数。
[0039] 所述访问特定业务的权限参数包括业务标识和业务访问权限标识。 [0040] 步骤B和步骤C之间还包括:
[0041] 个人用户代理单元通知该用户终端注册成功。
[0042] 个人用户代理单元通知该用户终端注册成功之前还包括:个人用户代理单元通知服务器系统代理单元该用户终端即将接入。
[0043] 在用户终端向服务器系统代理单元发送绑定请求之前,设定一个时延,只对该时延内到达的绑定请求进行处理。
[0044] 步骤D之后还包括:
[0045] 该服务器系统代理单元向该用户终端发送绑定成功响应。
[0046] 本发明还提供了一种用户标识系统的业务配置方法,包括以下步骤: [0047] 当通用通信标识符管理中心单元增加一类新业务时;
[0048] 通用通信标识符管理中心单元通知个人用户代理单元注册该业务; [0049] 个人用户代理单元通知服务器系统代理单元配置该业务。
[0050] 本发明还提供了一种用户标识系统的路由配置方法,包括以下步骤: [0051] 当系统中增加新的个人用户代理单元时,该个人用户代理单元通知通用通信标识符管理中心单元;
[0052] 通用通信标识符管理中心单元记录新加入个人用户代理单元的基本信息;通用通信标识符管理中心单元向所有个人用户代理单元广播该个人用户代理单元地址及路由信息。
[0053] 所述个人用户代理单元的基本信息包括:位置、本地网络负载能力和/或使用时间。
[0054] 与现有技术相比,本发明具有以下优点:
[0055] 本发明从以往对于设备的标识,转化到对用户的识别,使得用户可以对应于卡,而不必对应于设备,具有很高的移动性和便携性。在认证过程中,将通用通信标识符的数据放入通用通信标识符数据中心,供个人用户代理调用,将处理功能和存储功能分离开,提高了整个流程的效率;在认证过程中设立通用通信标识符管理中心,用于管理分布式的个人用户代理,使得分布式管理与集中式管理相结合,同时方便进行业务流程管理和路由管理。 [0056] 进一步,由于通用通信标识符卡本身的密码设计和注册流程的合理设计,可以有效保证用户接入的安全性。
[0057] 进一步,个人用户代理和服务器系统代理的协作,方便运营商开展业务,并且增加新的服务等。
[0058] 另外,本发明对各个网络都进行了综合的考虑,不同于对个别地方的身份识别,实现对全局的用户识别;同时为传统的移动网和电信网进行的平滑过渡考虑,在整个识别系统中,更具备实用性。
附图说明
[0059] 图1本发明中用户标识系统的一个具体网络结构;
[0060] 图2是本发明在NGN网络中的系统综合的部署图;
[0061] 图3是图2中用户标识系统的接口结构图;
[0062] 图4是本发明中具有UCI信息的用户终端的注册流程图;
[0063] 图5是UCI管理中心单元的业务配置流程图;
[0064] 图6是UCI管理中心单元的路由配置流程图;
[0065] 图7是利用本发明实现呼叫建立的业务流程图。
具体实施方式
[0066] 下面结合附图对本发明的具体实施例进行描述。
[0067] 本发明将UCI具体化到一种标识卡上,并且在此基础上建立一个统一的标识系统。在该UCI卡上存放一定的数据、参数和密码等,用来唯一的标识用户,并且具备一定的业务交互能力和比较高的安全性。然后具有UCI卡的 用户终端通过各种负载网络接入到本发明的用户标识系统中。
[0068] 本发明中用户标识系统的一个具体网络结构如图1所示,包括:个人用户代理单元1、个人用户代理单元2、个人用户代理单元3、UCI数据中心单元1、UCI数据中心单元2、UCI数据中心单元3、服务器系统代理单元1、服务器系统代理单元2、服务器系统代理单元3、UCI管理中心单元;具有UCI信息的移动终端通过移动网接入到该用户标识系统中的个人用户代理单元1和服务器系统代理单元1、具有UCI信息的PC机通过IP网接入到该用户标识系统中的个人用户代理单元2和服务器系统代理单元2、具有UCI信息的电信网终端通过电信网接入到该用户标识系统中的个人用户代理单元3和服务器系统代理单元3。 [0069] 本实施例中个人用户代理单元、UCI数据中心单元和服务器系统代理单元都是分布式的,即一个人用户代理单元对应一个UCI数据中心单元和一个服务器系统代理单元。
其中,分布式的UCI数据中心单元作为一个数据库,用于预先存储用户终端的通用通信标识符信息,并为个人用户代理单元提供对通用通信标识符信息的增加、删除、更新、查询等原始数据,其中,通用通信标识符信息包括统一用户编号、用户名、密码、位置参数、访问特定业务的权限参数、本地终端能力识别等,其中统一用户编号、用户名、密码是必须具备的,而位置参数、访问特定业务的权限参数、本地终端能力识别是可选的。相对于上述分布式设计,本实施例中设置了一个集中的通用通信标识符管理中心单元,通过该管理中心单元对各个个人用户代理单元的统一管理和变更协调实现了个人用户代理单元的分布式部署和集中式部署的一个结合,可以很方便进行业务流程管理和路由管理。
其中,分布式的UCI数据中心单元作为一个数据库,用于预先存储用户终端的通用通信标识符信息,并为个人用户代理单元提供对通用通信标识符信息的增加、删除、更新、查询等原始数据,其中,通用通信标识符信息包括统一用户编号、用户名、密码、位置参数、访问特定业务的权限参数、本地终端能力识别等,其中统一用户编号、用户名、密码是必须具备的,而位置参数、访问特定业务的权限参数、本地终端能力识别是可选的。相对于上述分布式设计,本实施例中设置了一个集中的通用通信标识符管理中心单元,通过该管理中心单元对各个个人用户代理单元的统一管理和变更协调实现了个人用户代理单元的分布式部署和集中式部署的一个结合,可以很方便进行业务流程管理和路由管理。
[0070] 其中,服务器系统代理单元对应于传统运营商提供的功能;个人用户代理单元主要功能包括对用户终端进行初步标识,与用户进行交互,在此过程中,个人用户代理单元可以与用户终端进行能力协商,确定终端的位置、支持的功能和/或本地网络的负载能力和/或带宽等状况,为用户终端提供一些简单的本地功能(比如用户终端的接入和注册认证等),并且接受一些用户的服务请求(比如业务识别和业务申请等),并为这些服务寻找合适的服务 器系统代理单元,并且将其转发相应的服务器系统代理单元中去;而服务器系统代理单元根据个人用户代理单元发过来的请求,在自己所在的网络中为其匹配相应的服务,并通过个人用户代理单元为用户终端提供这些服务。
[0071] 下面结合NGN,例如IMS(IP多媒体子系统)的结构,对本发明系统进行综合的部署,结构如图2所示。其中用户终端可以认为是UCI的用户持有者;与外部的交互主要是个人用户代理单元与资源访问控制子系统、个人用户代理单元与S-CSCF(服务呼叫会话控制功能)、服务器系统代理单元与网关。
[0072] 图2中CSCF(呼叫会话控制功能)负责资源分配、会话状态、用户业务的次序、查询用户鉴权和业务数据并执行会话处理任务。CSCF分为P-CSCF(代理呼叫会话控制功能)、和归属网络CSCF。P-CSCF是用户在IMS中的第一个联系点,是归属网络CSCF的代理,在归属网络中的CSCF可进一步分为I-CSCF(接入呼叫会话控制功能)和S-CSCF(服务呼叫会话控制功能),I-CSCF是网络的入口,负责分配为用户服务的S-CSCF,而S-CSCF是实际处理会话状态的设备。
[0073] MGCF(Media Gateway Control Function,媒体网关控制功能)通过标准接口提供控制媒体网关的能力,并控制媒体信道连接控制的呼叫状态,资源的分配和解除以及资源的变更。BGCF(Breakout Gateway Control Function,中断网关控制功能)把呼叫接到PSTN(public switched telephone network,公共电话交换网),选择向PSTN出口的网络并在该网络中选择MGCF。BGCF和MGCF可以在任何归属、拜访和第三方的网络中。AS(Application Server,应用服务器)向用户提供增值IP多媒体业务。
[0074] HSS(Home Subscriber Server,本地签署服务器)与UCI数据中心单元虽然都作为用户数据存储的数据库,但是HSS中的用户数据信息多为用户在入网之前已经初设,不存在数据的增删,而只是数据的更新(如业务的定制信息等),并且在对相同的用户的跨网接入和操作上支持不足;而UCI数据中心的数据涉及新用户在获取UCI后的增加和注册识别等一系列的流程,同时,UCI通过向PUA提供数据,可以支持并完成相同用户在多终端上的 跨网接入。
[0075] 在图2中引入接口概念,对本实施例中网络实体的连接关系进行详细说明。根据交互的实体的范围,可以进一步将接口分为内部接口和外部接口,如图3所示: [0076] 包括五个内部参考点:Uup接口、Upp接口、Upi接口、Ups接口和Ump接口,其中, [0077] Uup接口是具有UCI信息的用户终端和个人用户代理单元之间的接口。其功能包括:个人用户代理单元对用户终端的初步标识、位置确定,以及用户终端所处网络和所使用终端与个人用户代理单元的能力协商和交互。
[0078] Upp接口是个人用户代理单元之间交互的接口,其功能主要是彼此间的能力协商和位置的路由,从而为用户终端寻找最恰当的接入。
[0079] Upi接口是个人用户代理单元和UCI数据中心单元的接口,其功能主要是:UCI数据中心单元向个人用户代理单元提供用户信息,供个人用户代理单元处理,而个人用户代理单元调用CUI数据中心单元中的数据对用户终端进行初步标识,并将相关的信息再存入UCI数据中心单元中。
[0080] Ups接口是个人用户代理单元和服务器系统代理单元之间的接口,其功能包括:个人用户代理单元寻找对应的服务器系统代理单元,将与用户协商好的数据提交服务器系统代理单元,个人用户代理单元向服务器系统代理单元进行业务的注册和使用,而服务器系统代理单元则通过负载网络为个人用户代理单元提供相应的服务,在服务过程中,个人用户代理单元与该服务器系统代理单元是处于绑定状态的。
[0081] Ump接口是UCI管理中心单元与个人用户代理单元之间的接口,其功能包括:UCI管理中心单元新增业务定义向所有PUA进行广播;PUA个数的增删向UCI管理中心进行通知,而UCI向其它个人用户代理单元进行广播,并重新配置路由。
[0082] 三个外部接口包括:Upr接口、和/或Upc接口、和/或Usg接口;其中, [0083] Upr接口是个人用户代理单元与资源访问控制子系统之间的接口,其功能包括:个人用户代理单元对资源访问控制子系统中能力协商功能的调用, 以及资源访问控制子系统对个人用户代理单元协商功能的支持,主要是能力交互过程,包括检查资源可用性、接纳控制功能校对被请求的带宽是否与预定的带宽和用户使用的带宽一致等方面。 [0084] Upc接口是个人用户代理单元与与S-CSCF(服务呼叫会话控制功能)之间的接口,其功包括:通信逻辑信道建立后个人用户代理单元向服务CSCF发送通知,而服务CSCF对其进行确认,从而进入会话业务流程,而结束后,会有相反的链路拆除。
[0085] Usg接口是服务器系统代理单元与网关之间的接口,其功能主要是,服务器系统代理单元通过网关接入相应的负载网络,从运营网络那里获取相关的服务,而网络通过网关将服务提供给服务器系统代理单元,从而使得服务可以在服务器系统代理单元处被绑定。 [0086] 为了进一步描述用户标识系统中各实体间的相互功能和协作,本发明借助下面具有UCI信息的用户终端的注册流程图来做更具体的说明,如图4所示,包括以下步骤: [0087] A、具有通用通信标识符信息的用户终端向个人用户代理单元发送注册请求信息;
[0088] B、所述个人用户代理单元验证该用户终端的信息;用户终端在接入网络的过程中,个人用户代理会为其分配一个客户号码,系统将经加密算法后的参数组传送给客户,终端收到参数后,与通用通信标识符存储的统一用户标识经同样算法后对比,结果相同就通过验证。
[0089] C、所述个人用户代理单元根据上述业务信息指定服务器系统代理单元;例如,某用户终端持有通用通信标识符,通过IP设备接入到下一代网络中,想实现与某手机的视频传输功能,本地网络中的个人用户代理处理其请求,并寻找提供此功能的运营网络,并指定该运营网络中的服务器系统代理单元。
[0090] D、个人用户代理单元通知该用户终端注册成功;
[0091] E、所述用户终端向该服务器系统代理单元发起绑定请求;
[0092] F、该服务器系统代理单元验证该绑定请求合法性,通过通用通信标识 符中访问特定业务的权限参数和业务请求进行对照,如业务请求在该权限参数范围之内,则为合法,并向个人用户代理单元确认该用户终端。其中,访问特定业务的权限参数包括业务标识和业务访问权限标识等。
[0093] G、该服务器系统代理单元向该用户终端发送绑定成功响应。
[0094] 其中,个人用户代理单元在确认过程中所需要的数据,都是从UCI数据中心单元的提取的。另外,当个人用户代理单元对用户终端的业务信息进行确认之后,个人用户代理单元除了通知用户终端注册成功之外,还要向服务器系统代理单元发送一条消息通知该用户即将接入。这个过程,在用户终端向服务器系统代理单元发送绑定请求之前进行,可以协定一个时延,只对该时延内到达的绑定请求进行处理,从而提高了服务器系统代理单元的安全性。
[0095] 本发明通过UCI管理中心对用户数据的管理达到了PUA的分布式部署和集中式部署的一个结合,并且可以很方便进行业务流程管理和路由管理。
[0096] UCI管理中心单元对于新的业务(包括由于网络,终端设备能力的提高而产生的新业务,或者对用户资格的调整而产生的新业务资格)具备很好操作的配置能力。图5描述了UCI管理中心单元的业务配置流程:当UCI管理中心单元定义一类新的业务能力时,UCI管理中心单元通知个人用户代理单元注册该业务,从而在用户终端接入时能验证该业务;然后个人用户代理单元通知服务器系统代理单元配置该业务,同时应该配置网络和终端设备能力、用户资格等。例如,原有的UCI管理中心单元定义一种新的移动终端视频业务,通过本业务配置流程,它通知个人用户单元注册该视频业务,并通知服务器系统单元进行配置。
[0097] 在路由发生改变的情况时,比如新的个人用户代理单元加入网络,或者由于各种原因个人用户代理单元中止或退出网络的情况下,UCI管理中心单元可以对路由进行管理。图6表述了UCI管理中心单元路由管理流程:当新的个人用户代理单元加入网络,通知UCI管理中心单元;通用通信标识符管理中心单元记录新加入个人用户代理单元的基本信息,并监控该个人用户代理单元运行状态和更新状况,其中基本信息包括:位置、和/或本地网络负载 能力、和/或使用时间;UCI管理中心单元广播该个人用户代理单元地址,相关个人用户代理单元配置其路由信息。
[0098] 利用本发明实现呼叫建立的业务流程如图7所示,呼叫方具有UCI信息的用户终端1在个人用户代理单元1进行识别;个人用户代理单元1通过对UCI数据中心单元1的数据的提取和处理,对用户终端1进行确认;呼叫方的个人用户代理单元1确认目标用户终端2,并且联系目标用户的个人用户代理单元2;个人用户代理单元2通过对UCI数据中心单元2的数据的调用和处理,对用户终端2进行确认;个人用户代理单元2对个人用户代理单元1做出响应,并提供通道建立和保持的必要信息(如协议的应用和信道的参数等);呼叫方个人用户代理单元1向服务器系统代理单元1提供必要的信息(如权限信息和业务参数等)来保持通道的打开。其中,X、Y、Z为在通道建立之前、之中、以及之后,关于终端和业务的状态都可以在各个实体间进行交互;图中粗实线表示业务通道,细实线表示信令通道。另外,一次完整的业务流程根据不同的情况,可以由一个承载网络完成,也可以由多个承载网络完成。
[0099] 以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。