CN100454897C - 一种网络设备有效防攻击的方法 - Google Patents

一种网络设备有效防攻击的方法 Download PDF

Info

Publication number
CN100454897C
CN100454897C CNB2005100930798A CN200510093079A CN100454897C CN 100454897 C CN100454897 C CN 100454897C CN B2005100930798 A CNB2005100930798 A CN B2005100930798A CN 200510093079 A CN200510093079 A CN 200510093079A CN 100454897 C CN100454897 C CN 100454897C
Authority
CN
China
Prior art keywords
token bucket
token
message
bucket
group
Prior art date
Application number
CNB2005100930798A
Other languages
English (en)
Other versions
CN1852227A (zh
Inventor
任广涛
Original Assignee
华为技术有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 华为技术有限公司 filed Critical 华为技术有限公司
Priority to CNB2005100930798A priority Critical patent/CN100454897C/zh
Publication of CN1852227A publication Critical patent/CN1852227A/zh
Application granted granted Critical
Publication of CN100454897C publication Critical patent/CN100454897C/zh

Links

Abstract

本发明公开了一种网络设备有效防攻击的方法,设置令牌桶及令牌桶参数,该方法还包括以下步骤:A、当报文到达令牌桶时,向相应令牌桶内注入令牌;B、判断所述令牌桶是否溢出,如果溢出,则丢弃溢出报文,进入步骤C;否则,直接进入步骤C;C、判断所述令牌桶内是否有足够的令牌,如果有,则报文领取令牌通过令牌桶;否则,丢弃报文;D、更新令牌桶参数。本发明使用令牌桶模型对转发平面上送给控制平面的报文进行限流,并利用报文到来作为向令牌桶注入令牌的触发条件,控制转发平面到控制平面上送报文流量。另外,又将转发平面到控制平面之间的通道划分为逻辑通道,根据报文特征将逻辑通道设置为令牌桶,报文根据自身特征进入不同的令牌桶。

Description

一种网络设备有效防攻击的方法

技术领域

本发明涉及网络安全技术,尤指 一种网络设备有效防攻击的方法。 背景技术

分布式网络设备中的转发平面和控制平面是分开的,控制平面由分布式

网络设备中的CPU实现;转发平面由分布式网络设备中的转发引擎实现。 其中,分布式网络设备可以是三层交换机、路由器等。分布式网络设备将需 要处理的报文由转发平面上送给控制平面进行处理,然后再由控制平面下发 转发表项给转发平面,供转发平面进行报文的转发。在分布式网络设备中, 转发平面和控制平面之间报文传输通道只有一条,在由转发平面上送报文给 控制平面的传输过程中,常常由于一种协议报文的泛滥所造成的网络攻击, 会导致整个转发平面到控制平面之间报文传输通道瘫痪,报文转发不通、协 议断链、CPU占用率高等问题。以下,将转发平面和控制平面之间报文传输 通道简称为通道。

现有技"术中, 一般采'用在分希式网络设备中配置服务质量(QOS, Quality of Service)规则的方法来实现分布式网络设备的有效防攻击。QOS规则由 两部分组成:规则和动作。在分布式网络设备中,对每种协议报文配置相应 的规则,然后配置相应流量限制的动作,进而避免由于一种协议报文的泛滥 而造成的网络攻击。例如,当转发平面收到一个开放最短路径优先(OSPF, Open Shortest Path First)协议报文,首先判断该协议报文的协议类型,然后 依照具体协议报文所设置的流量限制的动作,比如,限制该协议报文的速率、 丢弃该协议报文等,依靠执行相应的动作,限制转发平面到控制平面的流量, 从而实现分布式网络设备有效防攻^i的方';^。但是,由于QOS规则是使用

报文的五元组进行相应规则的查找,因此在对二层协议报文配置QOS规则 时,需要将二层协议与所对应的三层IP地址联系起来,因此配置过程十分 复杂;并且由于QOS资源的有限性,当分布式网络设备运行多种网络协议 时,针对每一个不同的网络协议则需要配置不同的QOS规则,这样极大地 占用了 QOS资源,使QOS无法有效地为整个网络系统服务。

为了有效的防止分布式网络设备遭受攻击,就需要对转发平面上送给控 制平面的报文进行限流,由于互联网的流量基本是属于突发模式,现有技术 中针对突发模式限流的方法, 一般采用令牌桶模型来实现。 一般情况下,在 令牌桶模型中网络设备通过定时中断向令牌桶内添加令牌,报文依靠在令牌 桶内领取足够的令牌通过令牌桶。此时,即使令牌桶长时间没有报文到来, 系统也会定时向令牌桶内注入令牌,这样,极大地浪费了系统的资源。同时, 在令牌桶数目较多时,由于系统采用定时中断的方式向多个不同的令牌桶注 入令牌,这样势必会导致系统负担加重,从而影响系统性能,给攻击者可趁 之机。

发明内容

有鉴于此,本发明的主要目的在于提供一种网络设备有效防攻击的方 法,该方式能够在有效限制报文流量的同时,节约系统资源。

为达到上述目的,本发明的技术方案是这样实现的:

一种网络设备有效防攻击的方法,设置令牌桶及令牌桶参数,,其中设置令 牌桶包括:根据接收报文的第一特征设置至少一个令牌桶组,令牌桶组中包括 至少一个令牌桶,并设置令牌桶组的组标识;再根据报文的第二特征对令牌桶 组中的每个令牌桶设置桶标识,该方法还包括以下步骤:

A、 当收到报文时,根据报文的第一特征获得令牌桶组的组标识,并根据 报文的第二特征获得组中令牌桶的桶标识,得到由组标识和桶标识确定的令牌 桶,向该令牌桶注入令牌;

B、 判断所述令牌桶是否溢出,如果溢出,则丟弃溢出令牌,进入步骤C;

否则,直接进入步骤C;

C、 判断所述令牌桶内是否有足够的令牌,如果有,则报文领取令牌通过 令牌桶;否则,丢弃报文;

D、 更新令牌桶参数。

其中,所述令牌桶参数包括:桶内令牌数、时戳标记、令牌桶高度和限流速率。

其中,步骤A具体为:根据报文到达令牌桶时间向相应令牌桶中注入令牌。

其中,步骤A向令牌桶内注入的令牌数为:将当前报文到达令牌桶时间减 去上一报文到达时间的差乘以限流速率得到向令牌桶注入的令牌数。

其中,步骤B中所述判断令牌桶是否溢出为:判断当前令牌桶内的令牌数 是否大于令牌桶高度,如果大于,则令牌桶溢出;否则,令牌桶没有溢出。

其中,步骤C中所述判断令牌桶内是否有足够的令牌为:判断报文长度是 否大于令牌桶内的当前令牌数,如果大于,则没有足够的令牌数;否则,有足 够的令牌数。

其中,步骤D中所述更新令牌桶参数为:更新桶内令牌数为,当前报 文进入令牌桶后令牌桶内的令牌数;更新时戳标记为当前报文进入令牌桶的 时间。

本发明所提供的 一种网络设备有效防攻击的方法,使用令牌桶模型对转 发平面上送给控制平面的报文进行限流,并利用报文到来作为向令牌桶注入 令牌的触发条件,极大地节约了系统资源,控制了转发平面到控制平面上送 报文的流量。另外,本发明又将转发平面到控制平面之间的通道划分为一个 或一个以上的逻辑通道,并根据报文的特征将这些逻辑通道分层设置为不同 的令牌桶。当报文到来时,报文根据自身的特征进入不同的令牌桶,使得分 布式网络设备能够根据报文的特征更加高效的、可靠的对报文进行限流,有 效地防止攻击;同时由于采用根据报文的特征这种有针对性的限流方法,极 大地节约了系统资源。

附图说明

图1为本发明一实施例流程图; 图2为本发明另一实施例流程图。

具体实施方式

本发明的具体实施过程是:先设置令牌桶及令牌桶参数,在报文到达令 牌桶时,记录报文到达时间,计算需注入令牌桶的令牌数;向令牌桶注入所 需令牌之后,判断令牌桶是否溢出,如果溢出,则在丟弃溢出令牌后,判断 是否有足够的令牌供报文领取;如果没有溢出,则直接判断是否有足够的令 牌供报文领取;在判断是否有足够的令牌供报文领取时,如果有足够的令牌 供报文领取,则报文领取令牌,通过令牌桶;否则丢弃报文。

其中,设置令牌桶参数包括,设置两个变量:桶内令牌数BT、时戳标 记Tp;设置两个常量:令牌桶高度H,限流速率V。桶内令牌数BT表示报 文在进入令牌桶之前,令牌桶中的当前令牌数;时戳标记Tp表示报文在进 入令牌桶之前,令牌桶记录的上一报文到达令牌桶时间;令牌桶高度H表 示令牌桶所能容纳的最多令牌数;限流速率v表示令牌桶的限流速率,也 就是令牌注入令牌桶的速率,这两个变量和两个常量的单位均为字节。

令牌桶常量可以根据分布式网络设备控制平面的处理能力进行设定。比 如,如果分布式网络设备控制平面的处理能力强,则设置相应较高的H和V; 如果分布式网络设备控制平面的处理能力弱,则设置相应较低的H和V。

实施例一

将转发平面与控制平面之间的通道设置为 一个令牌桶,配置令牌桶参数 H和V,利用报文到达令牌桶作为向令牌桶注入令牌的触发条件,当一个报

是:首先计算需向令牌桶注入令牌的令牌数,然后向令牌桶注入相应令牌数 的令牌,具体过程如图l所示:

步骤101:转发引擎记录当前要上送的报文到达令牌桶的时间Tn及报

文长度S;同时读取配置好的H和V,以及当前的BT和Tp。

步骤102:计算当前报文与上一报文进入令牌桶的时间差dT: dT=Tn-Tp, 其中Tp为令牌桶记录的上一报文到达令牌桶时间,并根据时间差dT计算 需要向令牌桶注入的令牌数:VxdT;然后向令牌桶注入VxdT个令牌,得 到注入令牌后的令牌桶内令牌数BTn=BT+VxdT,同时记录新的时戳标记 为:Tp=Tn,其中BT为当前要上送报文在进入令牌桶之前,令牌桶中的令 牌数。BTn为注入令牌后的令牌桶内当前令牌数。

步骤103〜104:判断令牌桶内当前令牌数BTn是否大于令牌桶高度H, 如果BTn〉H,则令牌桶溢出,丢弃令牌桶中溢出的BTn-H个令牌,使当前 桶内令牌数为H,进入步骤105;如果BTnSH,则令牌桶没有溢出,直4妄进 入步骤105。

步骤105~107:判断到达令牌桶的报文的报文长度是否大于令牌桶内的 当前令牌数,如果S〉BTn,则令牌桶内当前没有足够的令牌,转发引擎则丢 弃报文;如果S^BTn,则令牌桶内当前有足够的令牌,报文根据自身的长度 在令牌桶内领取令牌后,通过令牌桶,即转发引擎将到达令牌桶的报文上送

给控制平面,并记录新的桶内令牌数:BT=BTn-S。

步骤108:更新令牌桶参数,即:将桶内令牌数BT和时戳标记Tp更新 为记录的新的时戳标记和新的桶内令牌数。

实施例二

本实施例中,转发《I擎根据报文的不同特征将转发平面到控制平面之间 的通道划分为一个以上的逻辑通道,并设置每个逻辑通道为令牌桶,设置令 牌桶参数以及令牌桶标识(ID )。在划分逻辑通道时,可使一个或一个以上 的逻辑通道对应才艮文的同 一个特征。

例如,在分布式网络设备中,上送报文主要有四种协议类型,则可以设 置五个令牌桶,其中四个令牌桶分别对应四种类型的协议报文,另外一个令 牌桶则为默认令牌桶,对应不常用的、或无法识别的、或除这四种之外的协 议报文。转发引擎则可将通道划分为五个逻辑通道,根据报文协议类型的这

个特征分别设置每个逻辑通道对应一个令牌桶,同时分别设置令牌桶参数以 及令牌桶ID。除了以上设置令牌桶的方法之外,也可以根据报文的四种协 议类型,设置七个令牌桶,其中四个令牌桶对应一种类型的协议报文,另外 三个令牌桶分别对应于其他三种类型的协议报文。在这种情况下,转发引擎 则可将通道划分为七个逻辑通道,并设置每个逻辑通道为一个令牌桶,同时

分别设置令牌桶参数以及令牌桶ID。

这里,还可以根据报文的特征分层设置令牌桶,首先根据报文的某一个 特征划分多个逻辑通道,并设置为相应的令牌桶以及同时设置令牌桶参凌丈, 将根据报文同 一特征划分出来的至少一个令牌桶组成令牌桶组,为该令牌桶

组设置组ID;然后,再根据报文的另一特征,对同一令牌桶组中的令牌桶 分别设置桶ID。在这种情况下,令牌桶ID由组ID和桶ID组成。这时,上 送报文根据它的某一特征进入对应的令牌桶组,然后再根据报文的另一特征 进入具体的令牌桶。这里,用于划分令牌桶组的特征可称为报文的第一特4i, 根据报文第一特征划分的令牌桶组称为第一层令牌桶;用于划分每个令牌桶 组中不同令牌桶的特征可称为报文的第二特征,在同 一个令牌桶组内根据报 文第二特征划分的令牌桶称为第二层令牌桶。

例如,报文的某个特征为报文的协议类型,报文的另一特征为报文来自 的虚拟专用网(VPN)。假设,在分布式网络设备中,上送报文主要有四种 协议类型,并且,上送报文分别来自于三个不同的VPN,那么,可针对报 文的协议类型设置五个令牌桶组,并分别分配相应的组ID;针对报文来自 于的不同VPN在每个令牌桶组中进一步设置三个令牌桶,并分别分配相应 的桶ID。其中,设置的五个令牌桶组中,四个令牌桶组分别对应于四种不 同的协议类型,另外一个为默认令牌桶组,用于不常用的、或无法识别的、 或除这四种之外的报文;在每个令牌桶组中设置的三个令牌桶,分别对应于 同一协议类型报文中三个不同的VPN。这样,将所有令牌桶组中所包含的 所有令牌桶个数求和,就可以得到需要划分的逻辑通道个数。

在设置了令牌桶组的情况下,也可以设置一个或一个以上的令牌桶组对

应报文的一个特征;在一个令牌桶组中,也可以设置一个成一个以上的令牌 桶对应报文的一个特征。

这里,所述的报文的特征包括:报文的协议类型,报文来自的虛拟专用 网、或虚拟局域网、或端口的种类。

以上根据报文的特征分层设置令牌桶的例子为设置两层,包括设置令牌 桶组和令牌桶;另外,还可以根据报文特征的不断细分,将令牌桶设置为三 层,包括设置令牌桶群、令牌桶组和令牌桶,其中,每个令牌桶群由对应于 报文同一特征的至少一个令牌桶组所组成,同时设置相应的群ID。此时, 令牌桶ID由群ID、组ID和桶ID组成。上送报文根据报文的某一特征进入 令牌桶群;再根据另一个特征进入令牌桶群的中某一令牌桶组;最后,冲艮据

报文的又一特征进入令牌桶組的中具体某一令牌桶。当然,在实际应用中, 可以根据上述思想,进一步设置三层以上令牌桶。

这里,在设置令牌桶限流速率V的时候,还可以根据分布式网络设备 所处的位置来设置,例如,如果分布式网络设备处于网络接入侧时,由于不 需要处理开放最短路径优先(OSPF, Open Shortest Path First),则在为OSPF 设置了令牌桶的前提下,可设置该令牌桶的限流速率为0;而此时,分布式 网络设备需要处理大量的地址解析协议(ARP, Address Resolution Protocol) 报文,因此可以设置较大的令牌桶限流速率。

当一个报文需要通过转发平面上送到控制平面时,同样利用报文到达令 牌桶作为向令牌桶注入令牌的触发条件,与实施例一不同的是:在向令牌桶

注入令牌之前,增加了根据报文的特征查找相应令牌桶的过程,具体步骤如 图2所示:

步骤201:依照转发引擎预先设置的令牌桶,根据报文的特征找到相对 应的令牌桶,进入该令牌桶。

例如,转发引擎根据报文的某一特征,如报文的协议类型,为该报文配 置相应的令牌桶ID。报文通过转发引擎根据该令牌桶ID查找得到相应的令 牌桶,进入步骤202。如果转发引擎设置了令牌桶组,则转发引擎根据报文的某一特征,如报文的协议类型,找到该报文对应的令牌桶组,并为该报丈

配置相应的组ID;在令牌桶组中,转发引擎再根据该报文的另一特征配置 桶ID,如报文源目的地址所在的VPN,报文则可通过获得的组ID和桶ID 组成的令牌桶ID,由转发引擎查找得到对应的令牌桶后,进入步骤202。如 果转发引擎设置的是令牌桶群,则可以根据同样的方法找到相对应的令牌桶 后,进入步骤202。

步骤202〜209:具体实施过程与实施例一中步骤101-108相同,在此不 再详述。

以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (7)

1、一种网络设备有效防攻击的方法,其特征在于,设置令牌桶及令牌桶参数,其中设置令牌桶包括:根据接收报文的第一特征设置至少一个令牌桶组,令牌桶组中包括至少一个令牌桶,并设置令牌桶组的组标识;再根据报文的第二特征对令牌桶组中的每个令牌桶设置桶标识,该方法还包括以下步骤: A、当收到报文时,根据报文的第一特征获得令牌桶组的组标识,并根据报文的第二特征获得组中令牌桶的桶标识,得到由组标识和桶标识确定的令牌桶,向该令牌桶注入令牌; B、判断所述令牌桶是否溢出,如果溢出,则丢弃溢出令牌,进入步骤C;否则,直接进入步骤C; C、判断所述令牌桶内是否有足够的令牌,如果有,则报文领取令牌通过令牌桶;否则,丢弃报文; D、更新令牌桶参数。
2、 根据权利要求1所述的方法,其特征在于,所述令牌桶参数包括:桶内 令牌数、时戳标记、令牌桶高度和限流速率。
3、 根据权利要求2所述的方法,其特征在于,步骤A具体为:根据报文 到达令牌桶时间向相应令牌桶中注入令牌。
4、 根据权利要求3所述的方法,其特征在于,步骤A向令牌桶内注入的 令牌数为:将当前报文到达令牌桶时间減去上一报文到达时间的差乘以限流速 率得到向令牌桶注入的令牌数。
5、 根据权利要求2所述的方法,其特征在于,步骤B中所述判断令牌桶 是否溢出为:判断当前令牌桶内的令牌数是否大于令牌桶高度,如果大于,则 令牌桶溢出;否则,令牌桶没有溢出。
6、 根据权利要求2所述的方法,其特征在于,步骤C中所述判断令牌桶 内是否有足够的令牌为:判断报文长度是否大于令牌桶内的当前令牌数,如果 大于,则没有足够的令牌数;否则,有足够的令牌数。
7、根据权利要求2所述的方法,其特征在于,步骤D中所述更新令牌桶参数为:更新桶内令牌数为,当前报文进入令牌桶后令牌桶内的令牌数;更新时戳标记为当前报文进入令牌桶的时间。
CNB2005100930798A 2005-08-25 2005-08-25 一种网络设备有效防攻击的方法 CN100454897C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2005100930798A CN100454897C (zh) 2005-08-25 2005-08-25 一种网络设备有效防攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2005100930798A CN100454897C (zh) 2005-08-25 2005-08-25 一种网络设备有效防攻击的方法

Publications (2)

Publication Number Publication Date
CN1852227A CN1852227A (zh) 2006-10-25
CN100454897C true CN100454897C (zh) 2009-01-21

Family

ID=37133696

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2005100930798A CN100454897C (zh) 2005-08-25 2005-08-25 一种网络设备有效防攻击的方法

Country Status (1)

Country Link
CN (1) CN100454897C (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101841461B (zh) * 2010-02-11 2012-05-30 北京星网锐捷网络技术有限公司 一种控制令牌桶更新的方法和装置
WO2014071636A1 (zh) * 2012-11-12 2014-05-15 华为技术有限公司 一种发送报文的方法和设备
CN104519021B (zh) * 2013-09-29 2018-07-20 新华三技术有限公司 防止恶意流量攻击的方法及装置

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040008625A1 (en) * 2002-04-24 2004-01-15 Jae-Hwoon Lee Method for monitoring traffic in packet switched network
CN1536815A (zh) * 2003-04-03 2004-10-13 华为技术有限公司 采用令牌漏桶进行报文限流的方法
JP2004336549A (ja) * 2003-05-09 2004-11-25 Furukawa Electric Co Ltd:The 帯域制御方法およびその帯域制御装置
US6829649B1 (en) * 2000-11-10 2004-12-07 International Business Machines Corporation Method an congestion control system to allocate bandwidth of a link to dataflows
CN1607767A (zh) * 2003-10-16 2005-04-20 中兴通讯股份有限公司 基于网络处理器的流量控制方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6829649B1 (en) * 2000-11-10 2004-12-07 International Business Machines Corporation Method an congestion control system to allocate bandwidth of a link to dataflows
US20040008625A1 (en) * 2002-04-24 2004-01-15 Jae-Hwoon Lee Method for monitoring traffic in packet switched network
CN1536815A (zh) * 2003-04-03 2004-10-13 华为技术有限公司 采用令牌漏桶进行报文限流的方法
JP2004336549A (ja) * 2003-05-09 2004-11-25 Furukawa Electric Co Ltd:The 帯域制御方法およびその帯域制御装置
CN1607767A (zh) * 2003-10-16 2005-04-20 中兴通讯股份有限公司 基于网络处理器的流量控制方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
用户系统基于流的QoS调度. 陈彪,姚庆栋.电路与系统学报,第8卷第6期. 2003
用户系统基于流的QoS调度. 陈彪,姚庆栋.电路与系统学报,第8卷第6期. 2003 *

Also Published As

Publication number Publication date
CN1852227A (zh) 2006-10-25

Similar Documents

Publication Publication Date Title
US10033641B2 (en) Deterministic and optimized bit index explicit replication (BIER) forwarding
CN106605392B (zh) 用于使用控制器在网络上进行操作的系统和方法
US9819551B2 (en) Systems and methods for testing networks with a controller
EP2451127B1 (en) Progressive adaptive routing in a dragonfly processor interconnect network
US6003089A (en) Method for constructing adaptive packet lengths in a congested network
KR101104004B1 (ko) 데이터 센터 이더넷 아키텍처를 위한 가상 레인들 상의 적응식 혼잡 제어 방법, 시스템, 및 컴퓨터 프로그램 제품
US9042216B2 (en) Loop prevention mechanism for ethernet ring protection
US6947983B2 (en) Method and system for exploiting likelihood in filter rule enforcement
US7292589B2 (en) Flow based dynamic load balancing for cost effective switching systems
Bhattacharyya et al. Pop-level and access-link-level traffic dynamics in a tier-1 POP
CN106991607B (zh) 一种基于区块链账户模型的无序交易控制方法
ES2614614T3 (es) Igualación de carga en dominios de capa-2
US20150156112A1 (en) Filtering and route lookup in a switching device
US8085775B1 (en) Identifying flows based on behavior characteristics and applying user-defined actions
CN100596096C (zh) 具有通信质量控制功能的包中继装置及其执行的包发送方法
US6973270B2 (en) Reflection routing method in optical packet switching network and optical packet switch for reflection routing
CN100514921C (zh) 一种网络流量异常检测方法和系统
CA2375397C (en) Packet processing unit
US7586909B1 (en) Striping algorithm for switching fabric
US7126910B1 (en) Load balancing technique for a resilient packet ring
Estan et al. Building a better NetFlow
US7031313B2 (en) Packet transfer apparatus with the function of flow detection and flow management method
US8169910B1 (en) Network traffic analysis using a flow table
US7660235B2 (en) Low latency shared data path allocation
CA1245327A (en) Path oriented routing system and method for packet switching networks

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
EXPY Termination of patent right or utility model
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090121

Termination date: 20150825