WO2023142070A1 - 面向云主机和云堡垒机实现云主机权限联动的方法 - Google Patents

Abstract

本发明涉及云计算以及信息安全技术领域，具体涉及一种面向云主机和云堡垒机实现云主机权限联动的方法及装置。本发明通过云计算服务编排技术来部署开源云堡垒机，实现云计算平台与所述云堡垒机的对接；统一管理权限信息；通过建立权限信息自动同步响应规则，实现云堡垒机账号权限自动响应并同步变更；通过获取云主机资源信息授权变化后，自动同步至所述云堡垒机，依次联动授权。本发明解决了传统云主机和云堡垒机的难以权限联动及变更的问题，实现在云平台的统一管理下，不同云租户在其当前权限范围内，对于云堡垒机中云主机的权限同步及更新，在云租户权限变更后，云租户可以直接通过云平台，登入云堡垒机。

Description

面向云主机和云堡垒机实现云主机权限联动的方法 技术领域

本发明涉及云计算以及信息安全技术领域，具体涉及一种面向云主机和云堡垒机实现云主机权限联动的方法。

背景技术

云主机是云计算在基础设施应用上的重要组成部分，位于云计算产业链金字塔底层，产品源自云计算平台。该平台整合了互联网应用三大核心要素：计算、存储、网络，面向用户提供公用化的互联网基础设施服务。云主机是一种类似VPS主机的虚拟化技术，VPS是采用虚拟软件，VZ或VM在一台主机上虚拟出多个类似独立主机的部分，能够实现单机多用户，每个部分都可以做单独的操作系统，管理方法同主机一样。而随着云主机、云计算的发展的网络安全问题也不容忽视。

堡垒机作为云计算平台安全体系重要部件，堡垒机承担着在混合云环境下进行安全合规审计的关键作用，同时也面临许多问题：基础设施高度异构化、分布范围广；云动态资源交付和弹性伸缩情况下的云资源管理。

首先，云计算平台的建设引入了大量不同类型的IT基础设施，包括企业内部的传统物理设备、虚拟化平台、私有云，以及公有云。由于目前云平台采用多组织多租户模式，导致IT资产分布范围广，管理也相对分散，传统堡垒机要根据云计算平台架构进行资源权限划分，人工维护成本高。

其次，云计算平台与传统堡垒机相对孤立，云计算平台租户权限与堡垒机用户权限难以联动，往往需要根据云计算平台资源对应的组织租户账号权限，在堡垒机上创建用户赋予相应资源权限，要投入较高的人工成本。

此外，现有传统堡垒机与云计算平台各自采用不同的身份认证体系，当云计算平台租户权限发生变化时，无法及时与对应的堡垒机用户权限进行调整变更，需要人工进行配置调整，时效性差，云计算平台与传统堡垒机难以实现云主机资源权限联动，两套维护体系存在人为误差因素，同时也加重了人工成本。

因此，面对传统堡垒机存在的门槛高、时效性低的问题，如何解决云计算平台的基础设施高度异构化、分布散乱、云计算平台与传统堡垒机相对孤立性，带来的难以实现权限联动或难以变更权限联动的问题，云租户在云平台上，根据其自身的组织和工作空间，有不同的权限，同时这些权限与他所管理的云主机也有着不同的权限差异，传统堡垒机不能实现与云平台的权限关联，是目前亟待解决的技术问题。

发明内容

面对传统堡垒机存在的门槛高、时效性低的问题，如何解决云计算平台的基础设施高度异构化、分布散乱、云计算平台与传统堡垒机相对孤立性，带来的难以实现权限联动或难以 变更权限联动的问题，云租户在云平台上，根据其自身的组织和工作空间，有不同的权限，同时这些权限与他所管理的云主机也有着不同的权限差异，传统堡垒机不能实现与云平台的权限关联，本发明提供了一种面向云主机和堡垒机实现云主机权限联动的方法。

本发明请求保护以下技术方案：

本发明提供一种面向云主机和堡垒机实现云主机权限联动的方法，包括如下过程：

S1部署并融合开源堡垒机：通过开源堡垒机自身的开放的api接口在云计算平台上对所述堡垒机进行部署，使得所述云堡垒机适用于云计算多云租户和多云资源场景，实现云计算平台与云堡垒机的对接与融合；

S2统一管理权限信息：基于对接后的云计算平台与云堡垒机，在所述云堡垒机中，统一管理云计算平台与云堡垒机的访问授权关系以及访问账号信息，实现安全运维的同时保证所有云主机的使用的安全性；

S3建立权限信息自动同步响应规则：在云堡垒机中建立权限信息自动同步响应规则，当云租户权限发生调整时，云堡垒机账号权限也将自动响应并同步变更，实现云计算平台和云堡垒机的权限信息的自动同步，无需人工干预；

S4联动授权：通过获取云主机资源所属的主要的云主机的操作权限和管理权限的变化，在所述堡垒机中统一管理访问授权关系以及访问账号信息，并自动响应所述权限信息自动同步规则，同步调整所述云堡垒机对应的云主机资源，所述云主机资源授权关系变化后，会自动同步至所述云堡垒机，实现云租户角色和权限与云堡垒机的云主机资源进行联动授权，加强了云租户与云主机资源的自动化同步能力和安全合规性。

进一步的，在所述步骤S2中，所述云堡垒机实现安全运维的同时保证所有云主机的使用的安全性是通过：云主机资源在云平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行，上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险，保证所有云主机的使用的安全性。

进一步的，在所述步骤S1中，还包括：所述云堡垒机，除云堡垒机系统本身可以提供的功能外，还可以实现云平台与堡垒机一体化的效果，将堡垒机登录能力作为云平台服务之一提供给终端云租户，云租户通过云平台可直接跳转使用云堡垒机。

进一步的，所述云租户的云平台管理员可以在管理界面对所关心的云主机资源进行手动同步，此同步会将所有的相关基础信息、权限信息等更新同步至所述云堡垒机。

进一步的，在所述步骤S4中，所述云租户角色和权限是指，云租户在云平台上本身就已经区分的角色和权限，且不同的组织和工作空间内，具有不同的角色和权限。

优选的，所述云堡垒机采用分布式架构，支持多机房跨区域部署，支持横向扩展，无云主机资源数量及并发限制。

本发明还提供一种面向云主机和堡垒机实现云主机权限联动装置，包括：

部署并融合开源堡垒机模块，用于通过开源堡垒机自身的开放的api接口在云计算平台上进行部署，使得所述云堡垒机适用于云计算多云租户和多云资源场景，实现云计算平台与云堡垒机的对接与融合；

权限信息管理模块，用于基于对接后的云计算平台与云堡垒机，在所述云堡垒机中，统一管理云计算平台与云堡垒机的访问授权关系以及访问账号信息，实现安全运维的同时保证所有云主机的使用的安全性；

权限信息自动同步响应模块，用于在云堡垒机中自动同步响应权限信息，当云租户权限发生调整时，云堡垒机账号权限也将自动响应并同步变更，实现云计算平台和云堡垒机的权限信息的自动同步，无需人工干预；

联动授权模块，用于获取云主机资源所属的主要的云主机的操作权限和管理权限的变化，在所述堡垒机中统一管理访问授权关系以及访问账号信息，并自动响应所述权限信息自动同步规则，同步调整所述云堡垒机对应的云主机资源，在所述云主机资源授权关系变化后，自动同步至所述云堡垒机，实现云租户角色和权限与云堡垒机的云主机资源进行联动授权，加强了云租户与云主机资源的自动化同步能力和安全合规性。

本发明还提供一种电子装置，该装置包括存储器、处理器，所述存储器上存储有可在所述处理器上运行所述面向云主机和堡垒机实现云主机权限联动装置的配置程序，所述配置程序被所述处理器执行时可以实现所述的面向云主机和堡垒机实现云主机权限联动的方法。

本发明还提供一种计算机可读存储介质，其特征在于，所述计算机可读的存储介质上存储有所述面向云主机和堡垒机实现云主机权限联动装置的配置程序，所述配置程序可以被一个或多个处理器执行，以实现所述的面向云主机和堡垒机实现云主机权限联动的方法。

与现有技术相比，本发明的优点在于：

本发明实现了在云平台的统一管理下，不同云租户在其当前权限范围内，对于云堡垒机中云主机的权限同步及更新，实现在云租户权限变更后，云租户直接通过云平台，登入云堡垒机。

通过云计算平台整与云堡垒无缝的对接，云计算平台与云堡垒机统一身份认证，实现云计算平台与云堡垒机的云主机资源信息和权限信息的自动同步，云计算平台用户权限与云堡垒机用户权限联动，当云平台租户权限发生调整，云堡垒机账号权限也将同步变更，无需人工干预。

云计算平台的租户角色和权限与云堡垒机的云主机资产进行联动授权，当云平台租户云主机资源发生新增，删除，所属变化等行为时，对应云堡垒机的云主机资源也将同步进行相应调整，并根据云计算平台租户权限进行联动授权。

通过云计算平台与云堡垒机的对接，采用同一套身份认证体系，实现云计算平台与云堡垒机联动授权，既减少了人员维护两套体系系统的运维成本，还解决了人员手工维护可能发生人为误差及时效性差的问题。

附图说明

图1.本发明提供的一种面向云主机和堡垒机实现云主机权限联动的方法步骤。

图2.本发明提供的一种面向云主机和堡垒机实现云主机权限联动的配置程序模块图。

图3.本发明提供的一种面向云主机和堡垒机实现云主机权限联动的方法的实现流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆益不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统，产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

本发明采用方案：

云计算平台通过与开源堡垒机的对接和功能开发，完成了云计算平台和云堡垒机的关于云主机资源信息和权限信息的自动同步；同时，通过统一的身份证和权限管理，实现云计算平台租户、云堡垒机用户的账户权限联动。

通过云计算平台的租户角色和权限与云堡垒机的云主机资源进行联动授权，加强了云租户与云资产的自动化同步能力和安全合规性。

云计算平台与云堡垒机采用一套身份认证体系，统一管理访问授权关系以及访问账号信息，实现云计算平台与堡垒机的无缝衔接、资源纳管以及审计全方位管理。

为使本发明技术方案的优点更加清楚，下面结合附图和实施例对本发明做详细说明。

图1是本发明提供的一种面向云主机和堡垒机实现云主机权限联动的方法步骤。

如图1所示，本发明提供了一种面向云主机和堡垒机实现云主机权限联动的方法，其中，

步骤S1部署并融合开源堡垒机是指：通过开源堡垒机自身的开放的api接口在云计算平台上进行部署，使得所述云堡垒机适用于云计算多云租户和多云资源场景，实现云计算平台与云堡垒机的对接与融合。在本实施例中，部署并融合开源堡垒机包括，利用开源堡垒机结 合云计算平台，在堡垒机中云构建一个适用于云计算多云租户和多云资源场景下的模块。

其中，所述云堡垒机，除云堡垒机系统本身可以提供的功能外，还可以实现云平台与堡垒机一体化的效果，将堡垒机登录能力作为云平台服务之一提供给终端云租户，云租户通过云平台可直接跳转使用云堡垒机。实现了在云平台的统一管理下，不同云租户在其当前权限范围内，对于云堡垒机中云主机的权限同步及更新，实现在云租户权限变更后，云租户直接通过云平台，登入云堡垒机。

所述云堡垒机采用分布式架构，支持多机房跨区域部署，支持横向扩展，无云主机资源数量及并发限制。这里需要注意的是本发明所述的开源堡垒机包括不限于：业界开源的堡垒机产品，如Jumpserver等。

在本实施例中，所述云租户的云平台管理员可以在管理界面对所关心的云主机资源进行手动同步，此同步会将所有的相关基础信息、权限信息等更新同步至所述云堡垒机。

步骤S2统一管理权限信息是指：基于对接后的云计算平台与云堡垒机，在所述云堡垒机中，统一管理云计算平台与云堡垒机的访问授权关系以及访问账号信息，实现安全运维的同时保证所有云主机的使用的安全性。

在本实施例中，这里所述的云堡垒机实现安全运维的同时保证所有云主机的使用的安全性是通过：云主机资源在云平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行，上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险，保证所有云主机的使用的安全性。

步骤S3建立权限信息自动同步响应规则是指：在云堡垒机中建立权限信息自动同步响应规则，当云租户权限发生调整时，云堡垒机账号权限也将自动响应并同步变更，实现云计算平台和云堡垒机的权限信息的自动同步，无需人工干预。

步骤S4联动授权是指：通过获取云主机资源所属的主要的云主机的操作权限和管理权限的变化，在所述堡垒机中统一管理访问授权关系以及访问账号信息，并自动响应所述权限信息自动同步规则，同步调整所述云堡垒机对应的云主机资源，所述云主机资源授权关系变化后，会自动同步至所述云堡垒机，实现云租户角色和权限与云堡垒机的云主机资源进行联动授权，加强了云租户与云主机资源的自动化同步能力和安全合规性。

本实施例中，所述安全合规，例如：云计算资源的云主机账号密码长度、随机性组合、定期更新修改、云租户不掌握云资源超级管理员密码但可以操作并记录留痕等安全合规及可回溯需求。

在本实施例中，这里所述的云租户角色和权限是指，云租户在云平台上本身就已经区分的角色和权限，且不同的组织和工作空间内，具有不同的角色和权限。

当云平台租户云主机资源发生新增，删除，所属变化等行为时，对应云堡垒机的云主机资源也将同步进行相应调整，并根据云计算平台租户权限进行联动授权。

在实际应用中，当一个云主机资源发生新增，例如：在云计算平台中的云租户A申请了一台新的云主机资源B，此时云计算平台会根据自身的算法初始化一个符合合规性要求的密码c，此时若是传统的堡垒机无法完成识别和管理(需要人工手动操作)，如果采用本方法中的云堡垒D，就可以完成新增云资源以及相关基础信息、密码c的联动同步；同时云租户A根据自身在云平台上的权限会有针对该云资源B不同云账户的权限，此时，云堡垒D亦可完成相应的联动同步，确保在云租户权限范围内的堡垒机能力。

本实施例中，与云计算平台对接后的云堡垒机，与云计算平台采用同一套身份认证体系，通过统一管理权限信息后，自动响应权限同步规则，自动实现云计算平台与云堡垒机联动授权，全程无需人工干预，既减少了人员维护两套体系系统的运维成本，还解决了人员手工维护可能发生人为误差及时效性差的问题。

在本实施例中，权限联通的方法还在于，是在云平台后端实现的，无需用户进行操作。云平台管理员可以在管理界面对所关心的云主机资产进行手动同步。此同步会将所有的相关基础信息、权限信息等更新同步至堡垒机。

图2是本发明提供的一种面向云主机和堡垒机实现云主机权限联动的配置程序模块图。如图2所示，包括：

部署并融合开源堡垒机模块101，用于通过开源堡垒机自身的开放的api接口在云计算平台上进行部署，使得所述云堡垒机适用于云计算多云租户和多云资源场景，实现云计算平台与云堡垒机的对接与融合。在本实施例中，所述部署并融合开源堡垒机模块101，是利用开源堡垒机结合云计算平台，在堡垒机中云构建的一个适用于云计算多云租户和多云资源场景下的功能模块。

权限信息管理模块102，用于基于对接后的云计算平台与云堡垒机，在所述云堡垒机中，统一管理云计算平台与云堡垒机的访问授权关系以及访问账号信息，实现安全运维的同时保证所有云主机的使用的安全性。

权限信息自动同步响应模块103，用于在云堡垒机中自动同步响应权限信息，当云租户权限发生调整时，云堡垒机账号权限也将自动响应并同步变更，实现云计算平台和云堡垒机的权限信息的自动同步，无需人工干预。

联动授权模块104，用于获取云主机资源所属的主要的云主机的操作权限和管理权限的变化，在所述堡垒机中统一管理访问授权关系以及访问账号信息，并自动响应所述权限信息自动同步规则，同步调整所述云堡垒机对应的云主机资源，在所述云主机资源授权关系变化后，自动同步至所述云堡垒机，实现云租户角色和权限与云堡垒机的云主机资源进行联动授权，加强了云租户与云主机资源的自动化同步能力和安全合规性。

图3.本发明提供的一种面向云主机和堡垒机实现云主机权限联动的方法的实现流程图。云租户通过登录云平台进入云租户所属的工作空间，在通过堡垒机跳转到相应的云主机时， 若云租户有权限则直接登入云主机；如无权限则会返回至登录界面或直接告知该云租户无权限登入该云主机。

在上述通过堡垒机跳转到相应的云主机过程中，在云计算平台中，已经通过开源堡垒机自身的开放的api接口在云计算平台上对所述堡垒机进行部署，使得所述云堡垒机适用于云计算多云租户和多云资源场景，实现云计算平台与云堡垒机的对接与融合，采用同一套身份认证体系；因此，云组户权限已经(已授予云平台)可以通过云计算平台进行变更或更替。

当云平台租户云主机资源发生新增，删除，所属变化等行为时，发生变更的云资产、云租户权限、云主机权限会同步至对应的云资产信息、云组户权限以及云主机权限信息。通过开发的联动授权模块104，用于获取云主机资源所属的主要的云主机的操作权限和管理权限的变化，在所述堡垒机中统一管理访问授权关系以及访问账号信息，并自动响应所述权限信息自动同步规则，同步调整所述云堡垒机对应的云主机资源，在所述云主机资源授权关系变化后，自动同步至所述云堡垒机；正常执行的情况下，实现云租户角色和权限与云堡垒机的云主机资源进行联动授权，云组户由堡垒机登入云主机，加强了云租户与云主机资源的自动化同步能力和安全合规性。联动授权过程完全不需要手动操作，既减少了人员维护两套体系系统的运维成本，还解决了人员手工维护可能发生人为误差及时效性差的问题。

还需要注意的是，登入异常或失败的情况下，就需要考了是否安全合规，例如，为了满足安全合规及可回溯需求，云计算资源的云主机账号密码长度、随机性组合、定期更新修改、云租户不掌握云资源超级管理员密码，但可以操作并记录留痕等来作为安全保障。本发明所要求保护的异常分析功能或安全合规规则不仅局限于上述过程，应当还包含本领域常规的登录权限的异常分析等情形。

本发明还提供一种电子装置，其中，该装置包括存储器、处理器，所述存储器上存储有可在所述处理器上运行如本实施例所述的装置的配置程序，所述配置程序被所述处理器执行时可以实现如本实施例所述的一种面向云主机和堡垒机实现云主机权限联动的方法。

本发明还提供一种计算机可读存储介质，其特征在于，所述计算机可读的存储介质上存储有如本实施例所述装置的配置程序，所述配置程序可以被一个或多个处理器执行，以实现如本实施例所述的一种面向云主机和堡垒机实现云主机权限联动的方法。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (9)

1. 一种面向云主机和堡垒机实现云主机权限联动的方法，其特征在于，包括如下过程：

   S1部署并融合开源堡垒机：通过开源堡垒机自身的开放的api接口在云计算平台上对所述堡垒机进行部署，使得所述云堡垒机适用于云计算多云租户和多云资源场景，实现云计算平台与云堡垒机的对接与融合；

   S2统一管理权限信息：基于对接后的云计算平台与云堡垒机，在所述云堡垒机中，统一管理云计算平台与云堡垒机的访问授权关系以及访问账号信息，实现安全运维的同时保证所有云主机的使用的安全性；

   S3建立权限信息自动同步响应规则：在云堡垒机中建立权限信息自动同步响应规则，当云租户权限发生调整时，云堡垒机账号权限也将自动响应并同步变更，实现云计算平台和云堡垒机的权限信息的自动同步，无需人工干预；

   S4联动授权：通过获取云主机资源所属的主要的云主机的操作权限和管理权限的变化，在所述堡垒机中统一管理访问授权关系以及访问账号信息，并自动响应所述权限信息自动同步规则，同步调整所述云堡垒机对应的云主机资源，所述云主机资源授权关系变化后，会自动同步至所述云堡垒机，实现云租户角色和权限与云堡垒机的云主机资源进行联动授权，加强了云租户与云主机资源的自动化同步能力和安全合规性。
2. 根据权利要求1所述的云主机权限联动的方法，其特征还在于，在所述步骤S2中，所述云堡垒机实现安全运维的同时保证所有云主机的使用的安全性是通过：云主机资源在云平台上的所有操作将通过云堡垒机统一身份认证和日志记录的基础上进行，上传/下载和复制/粘贴等权限控制能够更好地管控远程办公等场景下的安全运维风险，保证所有云主机的使用的安全性。
3. 根据权利要求1所述的云主机权限联动的方法，其特征还在于，在所述步骤S1中，还包括：所述云堡垒机，除云堡垒机系统本身可以提供的功能外，还可以实现云平台与堡垒机一体化的效果，将堡垒机登录能力作为云平台服务之一提供给终端云租户，云租户通过云平台可直接跳转使用云堡垒机。
4. 根据权利要求1所述的云主机权限联动的方法，其特征还在于，

   所述云租户的云平台管理员可以在管理界面对所关心的云主机资源进行手动同步，此同步会将所有的相关基础信息、权限信息等更新同步至所述云堡垒机。
5. 根据权利要求1所述的云主机权限联动的方法，其特征还在于，

   在所述步骤S4中，所述云租户角色和权限是指，云租户在云平台上本身就已经区分的角色和权限，且不同的组织和工作空间内，具有不同的角色和权限。
6. 根据权利要求1所述的云主机权限联动的方法，其特征还在于，

   所述云堡垒机采用分布式架构，支持多机房跨区域部署，支持横向扩展，无云主机资源 数量及并发限制。
7. 一种面向云主机和堡垒机实现云主机权限联动装置，其特征在于，包括：

   部署并融合开源堡垒机模块，用于利用开源堡垒机自身的开放的api接口在云计算平台上进行部署，使得所述云堡垒机适用于云计算多云租户和多云资源场景，实现云计算平台与云堡垒机的对接与融合；

   权限信息管理模块，用于基于对接后的云计算平台与云堡垒机，在所述云堡垒机中，统一管理云计算平台与云堡垒机的访问授权关系以及访问账号信息，实现安全运维的同时保证所有云主机的使用的安全性；

   权限信息自动同步响应模块，用于在云堡垒机中自动同步响应权限信息，当云租户权限发生调整时，云堡垒机账号权限也将自动响应并同步变更，实现云计算平台和云堡垒机的权限信息的自动同步，无需人工干预；

   联动授权模块，用于获取云主机资源所属的主要的云主机的操作权限和管理权限的变化，在所述堡垒机中统一管理访问授权关系以及访问账号信息，并自动响应所述权限信息自动同步规则，同步调整所述云堡垒机对应的云主机资源，在所述云主机资源授权关系变化后，自动同步至所述云堡垒机，实现云租户角色和权限与云堡垒机的云主机资源进行联动授权，加强了云租户与云主机资源的自动化同步能力和安全合规性。
8. 一种电子装置，其特征在于，该装置包括存储器、处理器，所述存储器上存储有可在所述处理器上运行如权利要求7所述装置的配置程序，所述配置程序被所述处理器执行时可以实现如权利要求1-6所述的一种面向云主机和堡垒机实现云主机权限联动的方法。
9. 一种计算机可读存储介质，其特征在于，所述计算机可读的存储介质上存储有如权利要求7所述装置的配置程序，所述配置程序可以被一个或多个处理器执行，以实现如权利要求1-6所述的一种面向云主机和堡垒机实现云主机权限联动的方法。

Images