本發(fā)明涉及信息安全和安防等技術領域,特別涉及一種持續(xù)認證安全防護系統(tǒng)及其方法。
背景技術:
隨著計算機網絡和通信技術的發(fā)展�,網絡信息安全����、知識產權保護和身份認證等問題成為一個重要而緊迫的研究課題?,F(xiàn)有技術中,常見的數據安全保護技術主要是通過密碼和外置密鑰(如:U盤���、加密狗等)對電子信息數據進行加/解密��。在采用密碼的保護機制中�����,對數據的保密效果有限��,所采用的密碼被破解的幾率很高�����,而且不便于記憶��;在采用外置密鑰的保護機制中��,利用實物即外置密鑰作為身份憑證來取代密碼記憶�����,雖然不易破解���,不用記憶,但是一旦該外置密鑰丟失或被盜取���,使用者就會顯得束手無策���,同時一旦權限被授予了��,就很難在系統(tǒng)或軟件的使用過程中被取消或中斷����,一旦密文被解密����,就很難讓明文恢復成密文。
為了解決上述兩種保護機制存在的問題���,現(xiàn)有技術還提供一種利用人臉特征進行數據保護的方案�。由于人臉特征信息具有唯一性����,不用刻意攜帶,不會丟失���,難以偽造和竊取等優(yōu)點�,該方案通過將密碼和人臉特征的模板數據存放在計算機中�����,當使用者使用該計算機進行數據加/解密時,可以通過使用者的人臉特征來檢驗使用者的合法性�,從而達到數據保護的目的?����;谌四樧R別技術的身份認證方法��,克服了傳統(tǒng)的身份認證方法存在的弊端�,具備了較高的安全性、可靠性和有效性�����,越來越受到人們的重視���,并逐漸進入到社會生活的各個領域�。
但是�����,目前的基于人臉識別技術的身份認證方法一般僅適用于用戶注冊和用戶登錄階段�,采取一次性方式進行用戶身份識別和認證,至于用戶登錄后的認證卻沒有涉及�����,給網絡黑客留下了可乘之機��,給用戶的數據信息安全帶來很大隱患?��,F(xiàn)有技術有待改進和提高����。
技術實現(xiàn)要素:
本發(fā)明所要解決的技術問題在于��,提供一種持續(xù)認證安全防護系統(tǒng)及其方法�����,持續(xù)保護用戶終端���、資源和信息的安全��,提高客戶端終端��、資源和數據的安全性���。
本發(fā)明是這樣實現(xiàn)的�,提供一種持續(xù)認證安全防護系統(tǒng)��,安裝在客戶端上����,包括人臉圖像實時獲取子系統(tǒng)、人臉識別子系統(tǒng)����、人臉持續(xù)識別子系統(tǒng)和持續(xù)權限執(zhí)行子系統(tǒng),具體包括如下內容:
用戶通過所述人臉圖像實時獲取系統(tǒng)和人臉識別系統(tǒng)進行人臉登錄認證過程�;如果登錄認證結果為成功,該人臉持續(xù)認證系統(tǒng)真正啟動���,用戶獲得客戶端被保護對象的使用權或控制權��,并執(zhí)行人臉持續(xù)識別子系統(tǒng)�����;如果登錄認證結果為失敗�,則重復進行人臉登錄認證過程�����。
所述人臉持續(xù)識別子系統(tǒng)自動地在設定時間間隔內持續(xù)地進行用戶人臉實時識別認證���;如果人臉認證結果為成功����,所述持續(xù)權限執(zhí)行子系統(tǒng)給用戶分配一定時間段的客戶端被保護對象的使用權�����,被保護對象可以正常使用���;如果人臉認證結果為失敗��,且失敗超過規(guī)定的時間間隔�����,則所述持續(xù)權限執(zhí)行子系統(tǒng)不分配給和取消用戶的被保護對象的使用權���,用戶對客戶端被保護對象的使用權被暫時中斷,用戶不能正常使用客戶端中被保護的對象��;在這個過程中,人臉持續(xù)認證沒有中斷����,還在持續(xù)地進行中,分配和/或取消權限對被保護的對象的狀態(tài)無任何直接影響����。
其中,所述人臉持續(xù)識別子系統(tǒng)自動地在設定時間間隔內持續(xù)地進行用戶人臉實時識別認證��,無論認證成功還是認證失敗����,認證都在進行中。
進一步地���,所述持續(xù)認證安全防護系統(tǒng)還包括人臉學習及訓練子系統(tǒng)�,所述人臉學習及訓練子系統(tǒng)是通過用戶的人臉視頻和/或人臉圖像和/或人臉相片��,收集使用客戶端用戶的人臉圖像原始信息�,并在此基礎上產生用戶人臉識別模型訓練所需要的訓練素材,通過訓練程序��,提取用戶的人臉特征���,形成用戶的人臉識別模型�����,以便人臉持續(xù)識別子系統(tǒng)進行人臉持續(xù)識別認證����。
進一步地���,所述人臉圖像實時獲取子系統(tǒng)通過安裝在客戶端的攝像設備實時獲取用戶的人臉視頻��,為用戶人臉注冊���、用戶人臉登錄認證以及用戶人臉持續(xù)識別子系統(tǒng)提供適合的人臉圖像;所述人臉識別子系統(tǒng)自動從人臉圖像實時獲取子系統(tǒng)獲取的用戶的人臉視頻中抓取最適合的人臉圖像并進行識別���,為在用戶注冊和用戶登錄階段提供人臉圖像識別認證��,并反饋和顯示識別結果���。
進一步地,所述人臉持續(xù)識別子系統(tǒng)還包括完成實時持續(xù)的人臉檢測���、關鍵點定位���、人臉圖像預處理���、人臉識別及認證、人臉跟蹤的功能過程���,還包括為安全管理員提供用戶管理���、日志審計以及安全參數配置的操作接口;所述人臉持續(xù)識別子系統(tǒng)利用實時獲取的用戶人臉圖像來識別用戶是否正在觀看客戶端界面還是離開未使用客戶端��。
進一步地�����,所述持續(xù)權限執(zhí)行子系統(tǒng)包括完成實時持續(xù)權限執(zhí)行及訪問控制功能的過程�����,還包括為安全管理員提供資源使用管理�、日志審計以及安全參數配置的操作接口;所述持續(xù)權限執(zhí)行子系統(tǒng)根據人臉持續(xù)識別子系統(tǒng)的識別認證結果及時地對客戶端用戶使用權限進行再分配。
進一步地����,所述對客戶端用戶使用權限進行再分配包括人臉認證成功權限分配以及人臉認證失敗權限分配;所述持續(xù)權限執(zhí)行子系統(tǒng)根據人臉認證結果在成功權限和失敗權限的兩種狀態(tài)中無縫自動切換�,被保護的對象不會因為這種切換而發(fā)生出錯和/或退出問題。所述持續(xù)權限執(zhí)行子系統(tǒng)的對客戶端用戶使用權限進行再分配包括是否限制用戶訪問客戶端��、資源���、軟件和信息,以及是否限制利用客戶端訪問服務器及其服務和軟件和數據庫資源���。
進一步地�,所述對客戶端用戶使用權限進行再分配內容包括但不限于鍵盤無法/可以使用��、屏幕顯示亂碼/正確��、軟件/服務無法/可以使用���、敏感信息加解密失敗/成功�����、加密文件/目錄/文件系統(tǒng)/固定硬盤/移動硬盤/無法/可以使用����、防火墻規(guī)則開啟/關閉、USB/Wifi/網卡無法/可以使用和打印機打印不正確/正確����。
本發(fā)明是這樣實現(xiàn)的,還提供一種持續(xù)認證安全防護方法��,包括人臉圖像實時獲取方法�����、人臉識別方法�����、人臉持續(xù)識別方法和持續(xù)權限執(zhí)行方法�����,具體包括如下步驟:
步驟一����,用戶通過所述人臉圖像實時獲取方法和人臉識別方法進行人臉登錄認證過程����;如果登錄認證結果為成功����,該人臉持續(xù)認證系統(tǒng)真正啟動,用戶獲得客戶端被保護對象的使用權或控制權����,并進入下一步驟;如果登錄認證結果為失敗���,則重復進行人臉登錄認證過程���。
步驟二���,客戶端在設定時間間隔內�����,自動地利用所述人臉持續(xù)識別方法持續(xù)地進行用戶人臉實時識別認證���;如果人臉認證結果為成功,按照所述持續(xù)權限執(zhí)行方法給用戶分配客戶端被保護對象的使用權,被保護對象可以正常使用����;如果人臉認證結果為失敗,且失敗超過規(guī)定的時間間隔���,則所述持續(xù)權限執(zhí)行不分配給和取消用戶的被保護對象的使用權���,用戶對客戶端的使用權被暫時中斷,用戶不能正常使用客戶端被保護的對象��;在這個過程中�����,人臉持續(xù)認證沒有中斷�,還在持續(xù)地進行中,分配和/或取消權限對被保護的對象的狀態(tài)無任何直接影響����。其中,所述人臉持續(xù)識別方法自動地在設定時間間隔內持續(xù)地進行用戶人臉實時識別認證���,無論認證成功還是認證失敗�,認證都在進行中。
進一步地�����,所述持續(xù)認證安全防護方法還包括人臉學習及訓練方法���,所述人臉學習及訓練方法包括通過用戶的人臉視頻和/或人臉圖像和/或人臉相片�����,收集使用客戶端用戶的人臉圖像原始信息����,并在此基礎上產生用戶人臉識別模型訓練所需要的訓練素材�,通過訓練程序,提取用戶的人臉特征�����,形成用戶的人臉識別模型����,以便人臉持續(xù)識別方法進行人臉持續(xù)識別認證����。
進一步地����,所述人臉持續(xù)識別方法利用實時獲取的用戶人臉圖像來識別用戶是否正在觀看客戶端界面還是離開未使用客戶端����;所述持續(xù)權限執(zhí)行方法根據人臉持續(xù)識別方法的識別認證結果及時地對客戶端用戶使用權限進行再分配和/或調整。所述持續(xù)權限執(zhí)行方法的對客戶端用戶使用權限進行再分配方法包括是否限制用戶訪問客戶端被保護對象的方法�����,以及是否限制利用客戶端訪問服務器��、數據庫資源及其服務的方法�。
進一步地,所述對客戶端用戶使用權限進行再分配包括人臉認證成功權限分配以及人臉認證失敗權限分配����;所述持續(xù)權限執(zhí)行方法根據人臉認證結果在成功權限和失敗權限的兩種狀態(tài)中無縫自動切換,被保護的系統(tǒng)���、子系統(tǒng)和/或相關軟件��、硬件不會因為這種切換而發(fā)生出錯和/或退出問題���,不造成系統(tǒng)���、子系統(tǒng)以及相關軟件、硬件出錯和/或退出��。
進一步地���,所述對客戶端用戶使用權限進行再分配內容包括但不限于鍵盤無法/可以使用�����、屏幕顯示亂碼/正確��、軟件/服務無法/可以使用��、敏感信息加解密失敗/成功���、加密文件/目錄/文件系統(tǒng)/固定硬盤/移動硬盤/無法/可以使用、防火墻規(guī)則開啟/關閉�����、USB/Wifi/網卡無法/可以使用和打印機打印不正確/正確����。
本發(fā)明是這樣實現(xiàn)的,還提供一種如前述的持續(xù)認證安全防護系統(tǒng)的應用�����,該持續(xù)認證安全防護系統(tǒng)推廣應用到其它持續(xù)身份認證和權限管理的場合�,這些應用包括但不限于用藍牙設備、點對點Wifi設備�����、點對點聲音設備�、NFC設備、IC卡設備�、指紋設備和第三方網絡持續(xù)認證服務來代替人臉在系統(tǒng)中的功能。
與現(xiàn)有技術相比��,本發(fā)明的持續(xù)認證安全防護系統(tǒng)及其方法���,通過人臉圖像實時獲取子系統(tǒng)��、人臉識別子系統(tǒng)�、人臉持續(xù)識別子系統(tǒng)和持續(xù)權限執(zhí)行子系統(tǒng)���,給客戶端提供持續(xù)身份識別認證����,不管用戶是短時間不使用客戶端,還是臨時離開客戶端��,只要用戶不在客戶端前面����,本發(fā)明都可以馬上對客戶端信息和數據進行權限分配,對客戶端資源和信息進行保護���,其他人無法獲知客戶端的界面信息和內部數據��。只有等用戶重新回到客戶端前�����,并被人臉持續(xù)識別子系統(tǒng)實時識別到���,客戶端的權限立即無縫切換,用戶正常使用客戶端�,從而能夠持續(xù)保護客戶端數據的安全性。
附圖說明
圖1為本發(fā)明的持續(xù)認證安全防護系統(tǒng)一較佳實施例的原理示意圖。
具體實施方式
為了使本發(fā)明所要解決的技術問題�����、技術方案及有益效果更加清楚明白���,以下結合附圖及實施例,對本發(fā)明進行進一步詳細說明����。應當理解,此處所描述的具體實施例僅僅用以解釋本發(fā)明����,并不用于限定本發(fā)明。
請參照圖1所示����,本發(fā)明的持續(xù)認證安全防護系統(tǒng)較佳實施例。該持續(xù)認證安全防護系統(tǒng)安裝在客戶端上����,包括人臉圖像實時獲取子系統(tǒng)S10、人臉識別子系統(tǒng)S30����、人臉持續(xù)識別子系統(tǒng)S50�、持續(xù)權限執(zhí)行子系統(tǒng)S70和人臉學習及訓練子系統(tǒng)S20���,具體包括如下內容:
用戶通過所述人臉圖像實時獲取系統(tǒng)和人臉識別系統(tǒng)進行人臉登錄認證過程��;如果登錄認證結果S40為成功�����,用戶獲得客戶端被保護對象的使用權或控制權����,則執(zhí)行人臉持續(xù)識別子系統(tǒng)S50���;如果登錄認證結果S40為失敗��,則重復進行人臉登錄認證過程�����。
所述人臉持續(xù)識別子系統(tǒng)S50自動地在設定時間間隔內持續(xù)地進行用戶人臉實時識別認證��;如果人臉認證結果S60為成功��,所述持續(xù)權限執(zhí)行子系統(tǒng)S70給用戶分配客戶端被保護對象的使用權�,用戶對客戶端的使用權繼續(xù)延續(xù),不影響用戶正常使用�;如果人臉認證結果S60為失敗,且失敗超過規(guī)定的時間間隔��,則所述持續(xù)權限執(zhí)行子系統(tǒng)S70不給用戶分配和取消暫?����?蛻舳说氖褂脵?���,用戶對客戶端的使用權被中斷�,用戶不能正常使用客戶端被保護的對象。其中����,所述人臉持續(xù)識別子系統(tǒng)S50自動地在設定時間間隔內持續(xù)地進行用戶人臉實時識別認證。
所述人臉圖像實時獲取子系統(tǒng)S10通過安裝在客戶端的攝像設備實時獲取用戶的人臉視頻���,為用戶人臉注冊�、用戶人臉登錄認證以及用戶人臉持續(xù)識別子系統(tǒng)S50提供適合的人臉圖像��。所述人臉識別子系統(tǒng)S30自動從人臉圖像實時獲取子系統(tǒng)S10獲取的用戶的人臉視頻中抓取最適合的人臉圖像并進行識別,為在用戶注冊和用戶登錄階段提供人臉圖像識別認證�,并反饋和顯示識別結果。
所述人臉持續(xù)識別子系統(tǒng)S50還包括完成實時持續(xù)的人臉檢測�、關鍵點定位、人臉圖像預處理����、人臉識別及認證、人臉跟蹤的功能過程��,還包括為安全管理員提供用戶管理����、日志審計以及安全參數配置的操作接口。所述人臉持續(xù)識別子系統(tǒng)S50利用實時獲取的用戶人臉圖像來識別用戶是否正在觀看客戶端界面還是離開未使用客戶端����。人臉持續(xù)識別子系統(tǒng)S50在設定時間間隔內多次、持續(xù)地自動啟動��,自動完成用戶人臉實時識別認證����。該設定的時間間隔用戶可以情況在客戶端任意設定。該設定時間間隔一般設定為1秒~10分鐘�����。
所述持續(xù)權限執(zhí)行子系統(tǒng)S70根據人臉持續(xù)識別子系統(tǒng)S50的識別認證結果及時地對客戶端用戶使用權限進行再分配,對客戶端資源和信息進行保護����,為客戶端提供持續(xù)性地安全防護。在人臉持續(xù)識別子系統(tǒng)S50對用戶人臉身份識別失敗超過規(guī)定的時間間隔后�,客戶端自動啟動并執(zhí)行持續(xù)權限執(zhí)行子系統(tǒng)S70,對客戶端數據進行保護�����。該規(guī)定的時間間隔用戶可以情況在客戶端任意設定���。該規(guī)定的時間間隔一般設定為3秒~5分鐘。該規(guī)定的時間間隔比前面提到的人臉持續(xù)識別子系統(tǒng)S50自動啟動的設定時間間隔稍長一些�����。
所述對客戶端用戶使用權限進行再分配包括人臉認證成功權限分配以及人臉認證失敗權限分配���;所述持續(xù)權限執(zhí)行子系統(tǒng)S70根據人臉認證結果S60在成功權限和失敗權限的兩種狀態(tài)中無縫自動切換���。被保護客戶端資源根據實時認證結果可以在兩種狀態(tài)中無縫切換��,不導致無法使用的情況���。被保護的系統(tǒng)、子系統(tǒng)和/或相關軟件��、硬件不會因為這種切換而發(fā)生出錯和/或退出問題�,不造成系統(tǒng)、子系統(tǒng)以及相關軟件�����、硬件出錯和/或退出����。
所述持續(xù)權限執(zhí)行子系統(tǒng)S70包括完成實時持續(xù)權限執(zhí)行及訪問控制功能的過程,還包括為安全管理員提供資源使用管理�、日志審計以及安全參數配置的操作接口。所述持續(xù)權限執(zhí)行子系統(tǒng)S70的對客戶端用戶使用權限進行再分配包括是否限制用戶訪問客戶端資源和信息��,以及是否限制利用客戶端訪問服務器和數據庫資源�。
所述對客戶端用戶使用權限進行再分配內容包括但不限于鍵盤無法/可以使用、屏幕顯示亂碼/正確���、軟件/服務無法/可以使用�����、敏感信息加解密失敗/成功�、加密文件/目錄/文件系統(tǒng)/固定硬盤/移動硬盤/無法/可以使用、防火墻規(guī)則開啟/關閉����、USB/Wifi/網卡無法/可以使用和打印機打印不正確/正確,這些權限我們稱之為被保護對象���。如果人臉認證結果S60為成功�����,則用戶使用權限包括鍵盤可以使用����、屏幕顯示正確�、軟件可以使用�、敏感信息加解密成功、加密文件/目錄可以使用��、USB/Wifi/網卡可以使用和打印機打印正確���,等等����。如果人臉認證結果S60為失敗,則用戶使用權限包括鍵盤無法使用����、屏幕顯示亂碼、軟件無法使用���、敏感信息加解密失敗�、加密文件/目錄無法使用�����、USB/Wifi/網卡無法使用����、打印機打印不正確,等等����。
所述人臉學習及訓練子系統(tǒng)S20是通過用戶的人臉視頻和/或人臉圖像和/或人臉相片,收集使用客戶端用戶的人臉圖像原始信息,并在此基礎上產生用戶人臉識別模型訓練所需要的訓練素材�,通過訓練程序,提取用戶的人臉特征���,形成用戶的人臉識別模型��,以便人臉持續(xù)識別子系統(tǒng)S50進行人臉持續(xù)識別認證����。用戶在客戶端進行多種使用狀態(tài)下的人臉特征獲取并把獲取到的用戶人臉特征信息存儲在數據庫中�����。
本發(fā)明還提供一種持續(xù)認證安全防護方法���,包括人臉圖像實時獲取方法���、人臉識別方法、人臉持續(xù)識別方法����、持續(xù)權限執(zhí)行方法和人臉學習及訓練方法���,具體包括如下步驟:
步驟一�,用戶通過所述人臉圖像實時獲取方法和人臉識別方法進行人臉登錄認證過程;如果登錄認證結果S40為成功���,用戶獲得客戶端的使用權或控制權�����,則進入下一步驟��;如果登錄認證結果S40為失敗��,則重復進行人臉登錄認證過程��。
步驟二��,客戶端在設定時間間隔內����,自動地利用所述人臉持續(xù)識別方法持續(xù)地進行用戶人臉實時識別認證����;如果人臉認證結果S60為成功,按照所述持續(xù)權限執(zhí)行方法給用戶分配客戶端被保護對象的使用權����,被保護對象可以正常使用��,用戶對客戶端的使用權繼續(xù)延續(xù)��,不影響用戶正常使用����;如果人臉認證結果S60為失敗�����,且失敗超過規(guī)定的時間間隔��,則所述持續(xù)權限執(zhí)行方法��,不再分配�、取消和暫停授予給用戶客戶端被保護對象的使用權,����,用戶對客戶端的使用權被中斷,用戶不能正常使用客戶端被保護的對象��。在這個過程中�,人臉持續(xù)認證沒有中斷�����,還在持續(xù)地進行中。其中�,所述人臉持續(xù)識別方法自動地在設定時間間隔內持續(xù)地進行用戶人臉實時識別認證,無論認證成功還是認證失敗�����,認證都在進行中����,分配和/或取消權限對被保護的對象的狀態(tài)無任何直接影響。
所述人臉圖像實時獲取方法包括通過安裝在客戶端的攝像設備實時獲取用戶的人臉視頻�,為用戶人臉注冊、用戶人臉登錄認證以及用戶人臉持續(xù)識別方法提供適合的人臉圖像的過程�。
所述人臉識別方法包括自動從人臉圖像實時獲取子系統(tǒng)S10獲取的用戶的人臉視頻中抓取最適合的人臉圖像并進行識別,為在用戶注冊和用戶登錄階段提供人臉圖像識別認證����,并反饋和顯示識別結果的過程。
所述人臉持續(xù)識別方法包括自動地在設定時間間隔內持續(xù)地進行用戶人臉實時識別認證��,利用實時獲取的用戶人臉圖像來識別用戶是否正在觀看客戶端界面還是離開未使用客戶端�����。
所述持續(xù)權限執(zhí)行方法包括統(tǒng)根據人臉持續(xù)識別方法的識別認證結果及時地對客戶端用戶使用權限進行再分配方法,對客戶端資源和信息進行保護��,為客戶端提供持續(xù)性地安全防護�。
所述人臉學習及訓練方法包括通過用戶的人臉視頻和/或人臉圖像和/或人臉相片,收集使用客戶端用戶的人臉圖像原始信息��,并在此基礎上產生用戶人臉識別模型訓練所需要的訓練素材���,通過訓練程序���,提取用戶的人臉特征,形成用戶的人臉識別模型��,以便人臉持續(xù)識別方法進行人臉持續(xù)識別認證����。
所述人臉持續(xù)識別方法利用實時獲取的用戶人臉圖像來識別用戶是否正在觀看客戶端界面還是離開未使用客戶端;所述持續(xù)權限執(zhí)行方法根據人臉持續(xù)識別方法的識別認證結果及時地對客戶端用戶使用權限進行再分配��。所述持續(xù)權限執(zhí)行方法的對客戶端用戶使用權限進行再分配方法包括是否限制用戶訪問客戶端資源和信息的方法��,以及是否限制利用客戶端訪問服務器和數據庫資源的方法�。
所述對客戶端用戶使用權限進行再分配包括人臉認證成功權限分配以及人臉認證失敗權限分配�����;所述持續(xù)權限執(zhí)行方法根據人臉認證結果S60在成功權限和失敗權限的兩種狀態(tài)中無縫自動切換�����。
所述對客戶端用戶使用權限進行再分配內容包括但不限于鍵盤無法/可以使用、屏幕顯示亂碼/正確�、軟件/服務無法/可以使用、敏感信息加解密失敗/成功�、加密文件/目錄/文件系統(tǒng)/固定硬盤/移動硬盤/無法/可以使用、防火墻規(guī)則開啟/關閉��、USB/Wifi/網卡無法/可以使用和打印機打印不正確/正確��。
本發(fā)明還提供一種如前述的持續(xù)認證安全防護系統(tǒng)的推廣應用��,該持續(xù)認證安全防護系統(tǒng)推廣應用到其它持續(xù)身份認證和權限管理的場合�����,這些應用包括但不限于用藍牙設備�����、點對點Wifi設備、點對點聲音設備���、NFC設備����、IC卡設備�����、指紋設備和第三方網絡持續(xù)認證服務替換人臉在系統(tǒng)中的功能��。本發(fā)明具有良好的應用前景�����。
以上所述僅為本發(fā)明的較佳實施例而已�����,并不用以限制本發(fā)明����,凡在本發(fā)明的精神和原則之內所作的任何修改、等同替換和改進等���,均應包含在本發(fā)明的保護范圍之內�����。