CN101600201A - 一种自组织网络安全可控域的建立和管理方法 - Google Patents
一种自组织网络安全可控域的建立和管理方法 Download PDFInfo
- Publication number
- CN101600201A CN101600201A CNA2009100329751A CN200910032975A CN101600201A CN 101600201 A CN101600201 A CN 101600201A CN A2009100329751 A CNA2009100329751 A CN A2009100329751A CN 200910032975 A CN200910032975 A CN 200910032975A CN 101600201 A CN101600201 A CN 101600201A
- Authority
- CN
- China
- Prior art keywords
- node
- management
- backup
- role
- territory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种自组织网络安全可控域的建立和管理方法中,可控域的建立过程包含结点角色确定、密钥分配;该自组织网络可控域的管理过程包括角色调整、域内结点行为管理;设立管理结点、备份结点、普通结点三种角色结点,采用集中管理方式,形成一个自组织、自管理的网络;依据角色确定策略,每个结点加入自组织网时,确定其角色,管理结点可管理控制域内其他结点,与其他结点生成主密钥,实现结点间安全通信;备份结点为管理结点的备份,普通结点为一般结点;管理结点离开自组织网络,则备份结点将转换为管理结点;备份结点离开或转换成为管理结点之后,依据角色调整策略,把某个普通结点转换为备份结点。
Description
技术领域
本发明涉及一种自组织网络安全可控域的建立和控制方法,它属于计算机网络安全技术领域,特别是移动自组织网络、对等网络、互联网接入网络等安全技术领域。
背景技术
随着信息技术及其应用技术的快速发展,人们对网络的需求日渐强烈,计算机网络已经成为一种不可缺少的信息传递和交互系统。这样,许多涉及个人隐私、机构保密的信息需要在计算机网络上传递,使得人们对计算机网络安全能力的要求日益提高。网络安全已经成为计算机网络一个十分活跃的技术领域。
目前已有的网络安全技术主要集中在计算机网络体系结构的网络层、传送层和应用层。其中应用层网络安全技术主要针对特定的网络应用系统,例如电子邮件系统、文件传送系统、万维网系统等进行安全控制,主要采用面向用户的网络安全管理技术,与传统的计算机安全管理技术类似,通过用户注册和登录,实现用户身份验证,访问控制和攻击检测。这类网络安全技术对于不同的网络应用,需要分别设计和实现专用的网络安全技术。
传送层的网络安全技术相对而已比较普及,只要在两个或者多个交互的计算机系统上部署网络安全传送的技术,例如现有的安全套接层(SSL)技术、传送层安全(TLS)技术等,就可以实现在这些计算机系统之上网络安全控制。但是,传送层网络安全技术要求用户在自己的计算机系统上部署和维护相关的网络安全协议软件,而且主要面向两个网络主机之间的安全数据传递,并不能满足大范围进行网络系统安全管理、以及防范网络攻击等安全需求。
网络层的网络安全技术是最为通用的网络安全技术,只要在计算机网络上部署了网络安全协议,就可以实现网络系统内部的数据安全传递。例如现有的国际互联网标准化机构,因特网工程工作组(IETF,http://www.ietf.org)发布的安全IP(IPsec)技术,就是一类网络层的安全控制技术。
由于目前的网络层安全技术需要在网络上较为复杂的密钥管理系统,采用较为复杂的密钥分发和管理协议,并且需要事先设置拟加入网络层安全管理的网络站点的相关信息,使得网络层安全体系建立和部署缺乏灵活性且成本较高,难以满足目前移动自组织网络、对等网络(P2P网络)、互联网接入网络等这类具有网络站点随时加入或者离开、自由选择网络连接方式等自组织网络特征的计算机网络对安全控制的需求。
本发明专利属于网络层安全控制技术,提供了一种自组织网络安全控制域的建立和管理的完整方法,可以弥补目前计算机网络安全技术在大规模、灵活和低成本实现与部署方面的不足。
发明内容
技术问题:鉴于上述原因,本发明提供一种自组织网络安全可控域的建立和管理方法,结合传统网络和移动自组织网络各自优势,建立一个自组织网络安全可控域,在拓扑结构变化的情况下,保证域内结点始终处于可验证、可控管理的状态。
技术方案:本发明采用的一种自组织网络安全可控域的建立和管理方法如下。
2个或者2个以上的相互联网的主机结点自主建立一个网络环境下的安全可控域,该自组织网络安全可控域的建立过程包含结点角色确定、密钥分配;该自组织网络可控域的管理过程包括角色调整、域内结点行为管理;设立管理结点、备份结点、普通结点三种角色结点,采用集中管理方式,形成一个自组织、自管理的网络;依据角色确定策略,每个结点加入自组织网时,确定其角色,管理结点可管理控制域内其他结点,与其他结点生成主密钥,实现结点间安全通信;备份结点为管理结点的备份,普通结点为一般结点;管理结点离开自组织网络,则备份结点将转换为
管理结点;备份结点离开或转换成为管理结点之后,依据角色调整策略,把某个普通结点转换为备份结点。
所述的角色确定的方法为:
a.结点加入自组织网络安全域,若域内没有管理结点,那么该结点角色为管理结点,
b.结点加入自组织网络安全域,若域内已有管理结点,并且该结点满足备份结点的选择策略要求,那么该结点为备份结点,
c.结点加入自组织网络安全域,若安全域中已有管理结点和备份结点,那么该结点为普通结点。
3、根据权利要求1所述的一种自组织网络安全可控域的建立和管理方法,其特征是:所述的密钥分配的方法如下:
d.管理结点与非管理结点包括备份结点和普通结点,在备份结点和普通结点之间,在初始化建立过程中,利用Diffie-Hellman协议产生共享的主密钥,
e.管理结点在初始化建立过程中产生域内通信初始密钥,并且通过主密钥分发给所有非管理结点,
f.非管理结点之间采用三方身份验证方法,通过作为身份验证服务器的管理站点进行身份验证,并且协商后续安全数据传递过程中采用的会话密钥。
4、根据权利要求1所述的一种自组织安全域的建立和控制方法,其特征是:所述的角色调整、域内结点行为管理的方法为:
g.结点加入自组织网络安全域过程中,管理结点为所有非管理结点产生相关信息,包括结点IP地址标识、结点身份标识、以及管理结点与非管理结点的共享主密钥,
h.管理结点利用主密钥可与其他非管理结点进行安全通信,验证其身份真实性,
i.非管理结点跨域与其他结点通信的报文必须经过本地管理结点转发控制,验证域内结点报文的真实性,防止假冒攻击,
j.新结点加入自组织网络安全域,会触发管理结点将所有结点的相关信息发送给备份结点,若管理结点离开本域,则备份结点角色转为管理结点,并且根据普通站点加入自组织网络的时间顺序,将最早加入自组织网络的普通结点角色转为备份结点,
k.若备份结点离开本域,则根据普通站点加入自组织网络的时间顺序,将最早加入自组织网络的普通结点角色转为备份结点,同时通告管理结点,
l.普通结点没有其他权利和义务,只在域内进行自由通信;若普通结点离开安全域,安全域内其他结点身份标识均不变,同时通告管理结点和备份结点。
本发明可以在网络层(例如互联网接入网、移动自组织网络)和应用层(例如对等网络)实现。但要求对网络协议进行相应改造,加入一些相关安全模块,实现安全域建立和监控管理阶段的数据交换。
有益效果:本发明能够增强自组织网络的安全性,提高网络安全技术部署的灵活性,方便大规模安全可控网络技术的实现和部署。本发明的具体特征包括:
(1)自组织安全域所有结点具有相应身份标识,身份标识会随着结点进出安全域而发生切换,这一特征使得该安全域具有灵活的结构组织性。
(2)自组织安全域内管理结点可以灵活有效地对其他结点进行集中管理监控,这一特征使得该安全域具有易管理性。
(3)不同身份标识的结点可以使用不同类型的密钥进行安全的数据通信。这一特征使得该域内结点通信具有较强的安全性,可以较好防范域内网络攻击。
附图说明
下面结合附图和实施实例对本发明进一步说明,
图1是本发明的初始化和结点身份标识流程图,
图2是本发明的密钥管理流程图,
图3是本发明的域内管理结点管理流程图,
图4是本发明的域内备份结点管理流程图,
图5是本发明的域内普通结点管理流程图。
具体实施方式
本发明利用密码技术在拓扑结构变化的自组织域内保证所有结点的安全可控性,采用灵活可变的集中管理方式,形成一个自组织、自管理的网络,包含初始化建立和结点角色确定过程、密钥管理和域内结点行为管理机制。
初始化建立和结点角色确定过程特征描述如下:
(1)结点加入自组织网络安全域,若域内没有管理结点,那么该结点角色为管理结点。
(2)结点加入自组织网络安全域,若域内已有管理结点,并且该结点满足备份结点的选择策略要求,那么该结点为备份结点。
(3)结点加入自组织网络安全域,若安全域中已有管理结点和备份结点,那么该结点为普通结点。
密钥管理方法特征描述如下:
(1)管理结点和非管理结点(包括备份结点和普通结点)之间会在初始化建立过程中利用Diffie-Hellman协议产生共享的主密钥。
(2)管理结点会在初始化建立过程中产生域内通信初始密钥,并且通过主密钥分发给所有非管理结点。
(3)非管理结点之间采用三方身份验证方法,通过作为身份验证服务器的管理站点进行身份验证,并且协商后续安全数据传递过程中采用的会话密钥。
域内结点行为管理机制特征描述如下:
(1)结点加入自组织网络安全域过程中,管理结点为所有非管理结点产生相关信息,包括结点IP地址标识、结点身份标识、以及管理站点与非管理站点之间共享密钥(即主密钥)等。
(2)管理结点利用主密钥可与其他非管理结点进行安全通信,验证其身份真实性。
(3)非管理结点跨域与其他结点通信的报文必须经过本地管理结点转发控制,验证域内结点报文的真实性,防止假冒攻击。
(4)新结点加入自组织网络安全域,会触发管理结点将所有结点的相关信息发送给备份结点。若管理结点离开本域,则备份结点角色转为管理结点,并且根据备份站点选择策略将某普通结点角色转为备份结点。
(5)若备份结点离开本域,则根据备份站点选择策略将某普通结点角色转为备份结点,同时通告管理结点。
(6)普通结点没有其他权利和义务,只在域内进行自由通信。若普通结点离开安全域,安全域内其他结点身份标识均不变,同时通告管理结点和备份结点。
本发明在网络结构变化的局域范围内采用集中控制方法形成安全可控域。在安全域建立过程中,不同结点具有相应的结点身份标识,其中,管理结点具有监控管理非控制结点的权力,使用集中密钥管理方式,分别获得与其他结点的共享密钥(主密钥),并依此传递会话初始密钥,进行安全的通信。备份结点具有结点信息备份的义务,以便管理结点离开后仍然保留有其它结点的数据信息。所有结点均可以随意进入或者退出安全域,包括管理结点。通过域内结点的行为管理,使得任何时候域内维持三类等级的结点存在,相互协调传递相关信息。
实施实例1:本发明所描述的自组织安全域建立和管理方法,主要包括初始化建立和结点身份标识、密钥管理、域内结点管理三个部分。下面分别对三个部分进行具体的描述。
如图1所示,初始化建立和结点身份标识过程描述如下:
(1)主机接入安全域,若安全域内没有管理结点,那么该主机为安全域的管理结点。
(2)主机接入安全域,若安全域中已有管理结点,并且该主机符合备份结点的选择策略,那么该主机为安全域的备份结点。
(3)主机接入安全域,若安全域中已有管理结点和备份结点,那么该主机为安全域的普通结点。
由于管理结点的权限较大,在实施中可以根据一定策略,人为地指派管理结点的选择范围。同样,备份结点也在选择范围之列。
如图2所示,密钥管理方法描述如下:
(1)管理结点和非管理结点(备份结点和普通结点)之间会在初始化建立过程中产生共享的主密钥。
(2)管理结点会在初始化建立过程中产生域内初始密钥,并且通过主密钥分发给所有非控制结点。
(3)非管理结点之间采用三方身份验证方法,通过作为身份验证服务器的管理站点进行身份验证,并且协商后续安全数据传递过程中采用的会话密钥。
管理结点和非管理结点之间建立的共享密钥(主密钥)要求安全可靠、保密性强,因为初始密钥和会话密钥是通过主密钥安全传输的。
如图3所示,域内结点管理步骤描述如下:
(1)管理结点记录所有非管理结点相关信息,利用主密钥监控安全域内所有其他结点通信过程。与安全域外其他结点通信的非管理结点发送的报文必须经过管理结点的身份审核,以防止假冒。管理结点将所有普通结点的相关信息发送给备份结点。若管理结点离开安全域,则备份结点转为管理结点,并且根据一定策略选择某普通结点切换为备份结点。
(2)备份结点周期性与管理结点进行通信,获得安全域内所有普通结点的相关信息。若备份结点离开安全域,则根据一定策略选择某普通结点转为备份结点,同时通告管理结点。
(3)普通结点没有其他权利和义务,只在域内进行自由通信。若普通结点离开安全域,安全域内其他结点身份标识均不变,同时通告管理结点和备份结点。
管理结点和备份结点离开安全域,会引起其他部分结点身份发生切换。此外,三类结点进入或者离开安全域都会引起管理信息的更新。
实施实例2:
同一网段主机形成的局部网络范围内,为了防止数据泄密和数据假冒,可以利用本发明方法,网段内所有主机形成一个自组织安全可控域,可以灵活地进行集中管理控制,保障通信安全。具体实施方法如下。
首先,该网段自组织安全可控域的初始化建立和结点身份标识过程如下:
(1)某主机接入该网段,探测本网段内是否有管理结点,如果没有,并且该主机符合管理结点选择策略,则它标识为管理结点,需要记录其他结点的相关身份信息。
(2)如果网段内已经存在管理结点,则它标识为普通结点。
(3)特别地,如果网段内没有备份结点,并且该主机符合备份结点选择策略,则它切换为备份结点,从管理结点处获得所有其他结点的相关身份信息。否则,仍然为普通结点。
其次,密钥管理产生过程如下:
(1)网段内非管理结点在进入安全域时会与管理结点互相交换数据,各自分别生成共享的主密钥。
(2)管理结点利用主密钥向非管理结点安全传递安全域的初始密钥。
(3)非管理结点之间利用各自与管理站点之间的主密钥,可以验证身份和协商会话密钥。
(4)管理结点和非管理结点使用主密钥进行安全通信。
(5)非管理结点之间使用协商的会话密钥进行安全通信。
最后,域内结点管理控制过程如下:
(1)管理结点离开安全域,通告域内所有结点。备份结点则切换为管理结点,并且通告域内所有结点。最后根据一定策略选择某普通结点切换为备份结点。
(2)备份结点离开安全域,通告管理结点。并且根据一定策略选择某普通结点切换为备份结点。
(3)普通结点离开安全域,通告管理结点和备份结点。
无论该网段内结点如何变化,一直会保证管理结点和备份结点的存在,使得能够灵活地集中管理安全域内的其他结点,保证它们通信数据安全,防范域内假冒攻击。
Claims (4)
1、一种自组织网络安全可控域的建立和管理方法,其特征是:2个或者2个以上的相互联网的主机结点自主建立一个网络环境下的安全可控域,该自组织网络安全可控域的建立过程包含结点角色确定、密钥分配;该自组织网络可控域的管理过程包括角色调整、域内结点行为管理;设立管理结点、备份结点、普通结点三种角色结点,采用集中管理方式,形成一个自组织、自管理的网络;依据角色确定策略,每个结点加入自组织网时,确定其角色,管理结点可管理控制域内其他结点,与其他结点生成主密钥,实现结点间安全通信;备份结点为管理结点的备份,普通结点为一般结点;管理结点离开自组织网络,则备份结点将转换为管理结点;备份结点离开或转换成为管理结点之后,依据角色调整策略,把某个普通结点转换为备份结点。
2、根据权利要求1或2所述的一种自组织网络安全可控域的建立和管理方法,其特征是:所述的角色确定的方法为:
a.结点加入自组织网络安全域,若域内没有管理结点,那么该结点角色为管理结点,
b.结点加入自组织网络安全域,若域内已有管理结点,并且该结点满足备份结点的选择策略要求,那么该结点为备份结点,
c.结点加入自组织网络安全域,若安全域中已有管理结点和备份结点,那么该结点为普通结点。
3、根据权利要求1所述的一种自组织网络安全可控域的建立和管理方法,其特征是:所述的密钥分配的方法如下:
d.管理结点与非管理结点包括备份结点和普通结点,在备份结点和普通结点之间,在初始化建立过程中,利用Diffie-Hellman协议产生共享的主密钥,
e.管理结点在初始化建立过程中产生域内通信初始密钥,并且通过主密钥分发给所有非管理结点,
f.非管理结点之间采用三方身份验证方法,通过作为身份验证服务器的管理站点进行身份验证,并且协商后续安全数据传递过程中采用的会话密钥。
4、根据权利要求1所述的一种自组织安全域的建立和控制方法,其特征是:所述的角色调整、域内结点行为管理的方法为:
g.结点加入自组织网络安全域过程中,管理结点为所有非管理结点产生相关信息,包括结点IP地址标识、结点身份标识、以及管理结点与非管理结点的共享主密钥,
h.管理结点利用主密钥可与其他非管理结点进行安全通信,验证其身份真实性,
i.非管理结点跨域与其他结点通信的报文必须经过本地管理结点转发控制,验证域内结点报文的真实性,防止假冒攻击,
j.新结点加入自组织网络安全域,会触发管理结点将所有结点的相关信息发送给备份结点,若管理结点离开本域,则备份结点角色转为管理结点,并且根据普通站点加入自组织网络的时间顺序,将最早加入自组织网络的普通结点角色转为备份结点,
k.若备份结点离开本域,则根据普通站点加入自组织网络的时间顺序,将最早加入自组织网络的普通结点角色转为备份结点,同时通告管理结点,
l.普通结点没有其他权利和义务,只在域内进行自由通信;若普通结点离开安全域,安全域内其他结点身份标识均不变,同时通告管理结点和备份结点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100329751A CN101600201B (zh) | 2009-06-03 | 2009-06-03 | 一种自组织网络安全可控域的建立和管理方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2009100329751A CN101600201B (zh) | 2009-06-03 | 2009-06-03 | 一种自组织网络安全可控域的建立和管理方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101600201A true CN101600201A (zh) | 2009-12-09 |
CN101600201B CN101600201B (zh) | 2010-12-08 |
Family
ID=41421394
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2009100329751A Expired - Fee Related CN101600201B (zh) | 2009-06-03 | 2009-06-03 | 一种自组织网络安全可控域的建立和管理方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101600201B (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101997875A (zh) * | 2010-10-29 | 2011-03-30 | 北京大学 | 一种安全的多方网络通信平台及其构建方法、通信方法 |
CN103129750A (zh) * | 2013-01-25 | 2013-06-05 | 航天东方红卫星有限公司 | 基于状态感知的分离模块航天器系统和自组网方法 |
CN107241728A (zh) * | 2017-08-14 | 2017-10-10 | 安捷光通科技成都有限公司 | 一种基于集中管控和分散自律的安全无线传感网络 |
CN111342984A (zh) * | 2018-12-18 | 2020-06-26 | 电信科学技术研究院有限公司 | 一种信息处理方法、系统及装置 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1848724B (zh) * | 2005-04-05 | 2010-04-28 | 华为技术有限公司 | 一种实现移动自组织网络中密钥协商的方法 |
CN101360033B (zh) * | 2008-09-28 | 2010-11-17 | 熊猫电子集团有限公司 | 基于状态机制的移动自组织网络分簇方法 |
-
2009
- 2009-06-03 CN CN2009100329751A patent/CN101600201B/zh not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101997875A (zh) * | 2010-10-29 | 2011-03-30 | 北京大学 | 一种安全的多方网络通信平台及其构建方法、通信方法 |
CN101997875B (zh) * | 2010-10-29 | 2013-05-29 | 北京大学 | 一种安全的多方网络通信平台及其构建方法、通信方法 |
CN103129750A (zh) * | 2013-01-25 | 2013-06-05 | 航天东方红卫星有限公司 | 基于状态感知的分离模块航天器系统和自组网方法 |
CN103129750B (zh) * | 2013-01-25 | 2015-11-25 | 航天东方红卫星有限公司 | 基于状态感知的分离模块航天器系统和自组网方法 |
CN107241728A (zh) * | 2017-08-14 | 2017-10-10 | 安捷光通科技成都有限公司 | 一种基于集中管控和分散自律的安全无线传感网络 |
CN107241728B (zh) * | 2017-08-14 | 2020-05-15 | 安捷光通科技成都有限公司 | 一种基于集中管控和分散自律的安全无线传感网络 |
CN111342984A (zh) * | 2018-12-18 | 2020-06-26 | 电信科学技术研究院有限公司 | 一种信息处理方法、系统及装置 |
CN111342984B (zh) * | 2018-12-18 | 2021-08-10 | 大唐移动通信设备有限公司 | 一种信息处理方法、系统及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN101600201B (zh) | 2010-12-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Shen et al. | Secure data uploading scheme for a smart home system | |
CN109918878B (zh) | 一种基于区块链的工业物联网设备身份认证及安全交互方法 | |
CN101232378B (zh) | 一种无线多跳网络的认证接入方法 | |
Omar et al. | Reliable and fully distributed trust model for mobile ad hoc networks | |
CN107895111A (zh) | 物联网设备供应链信任体系管理方法、计算机程序、计算机 | |
CN107819848A (zh) | 一种基于区块链的物联网设备自治互联方法 | |
CN102170636B (zh) | 用于计算共享加密密钥的方法和设备 | |
EP1396979A3 (en) | System and method for secure group communications | |
KR20100059953A (ko) | 네트워크 및 안전한 네트워크를 확립하기 위한 방법 | |
WO2020052140A1 (zh) | 能源互联网系统和信息处理方法 | |
CN111931215B (zh) | 数据管理方法和装置及存储介质 | |
Tian et al. | Robust and privacy-preserving decentralized deep federated learning training: Focusing on digital healthcare applications | |
CN101600201B (zh) | 一种自组织网络安全可控域的建立和管理方法 | |
CN106535089A (zh) | 机器对机器虚拟私有网络 | |
CN108833113A (zh) | 一种基于雾计算的增强通讯安全的认证方法及系统 | |
Singh et al. | Authenticated key agreement scheme for IoT networks exploiting lightweight linear algebraic computations | |
Han et al. | A secure trust-based key distribution with self-healing for internet of things | |
CN109842442A (zh) | 一种以机场为区域中心的量子密钥服务网络与方法 | |
Oleiwi et al. | A survey of the blockchain concept and mitigation challenges in different networks | |
CN101997875A (zh) | 一种安全的多方网络通信平台及其构建方法、通信方法 | |
Adebayo et al. | Blockchain Technology: A Panacea for IoT Security Challenge | |
CN103096318A (zh) | 一种基于身份隐替机制的无线异构网络统一接入认证方法 | |
CN106357595A (zh) | 一种基于sim卡的加密方法和加密系统 | |
CN102624748A (zh) | 一种对等网络的访问控制方法 | |
EP2634988A1 (en) | A method and a system for performing a security update in a smart grid network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101208 Termination date: 20160603 |