CN101626370B - 节点间密钥的分配方法、系统及设备 - Google Patents
节点间密钥的分配方法、系统及设备 Download PDFInfo
- Publication number
- CN101626370B CN101626370B CN2008101305374A CN200810130537A CN101626370B CN 101626370 B CN101626370 B CN 101626370B CN 2008101305374 A CN2008101305374 A CN 2008101305374A CN 200810130537 A CN200810130537 A CN 200810130537A CN 101626370 B CN101626370 B CN 101626370B
- Authority
- CN
- China
- Prior art keywords
- mkd
- group
- pmk
- key
- domain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Abstract
本发明涉及一种节点间密钥的分配方法、系统和设备,所述方法包括:网状密钥分发节点MKD接收本域的本地网状节点MP发送的跨域对等主密钥PMK-MA请求消息,所述请求消息包括:与本地MP相邻的对端MP的标识及对端MP所属MKD的域标识MKDD-ID;所述MKD利用共享组密钥与群组内另一MKD进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD;所述两个MKD分别根据LDK-MKD进行跨域PMK-MA计算,并向对应的MP发送跨域PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识。以解决多MKD下不同域的MP节点间的密钥分配问题。
Description
技术领域
本发明涉及无线通信技术,特别是涉及一种跨域节点间密钥的分配方法、系统及设备。
背景技术
无线Mesh(网状)网络是从移动adhoc网络分离出来的,并承袭了部分无线局域网(WLAN,)技术的新的网络技术。它是由一组呈网状分布的无线接入节点(AP,Access point)构成,AP均采用点对点方式通过无线中继链路互联,将传统WLAN中的无线″热点″扩展为真正大面积覆盖的无线″热区″。作为新一代无线接入技术的Mesh网络在扩大覆盖范围的同时,也实现了各个网络如蜂窝网、电话网的互联。无线Mesh网络的多跳连接将成为下一代无线通信网络发展的必然趋势,可以为用户提供真正的无处不在的连接。
针对无线mesh网络中的安全问题,目前,IEEE 802.11s工作组所设计的mesh网络的安全框架,是采用预共享密钥或上层认证的方法来产生主密钥,该主密钥为下层密钥的派生提供顶层密钥。在无线mesh网络中,每个Mesh节点(MP,Mesh point)和Mesh密钥分发者(MKD,Mesh key distributer)之间建立密钥分发和密钥传输两级密钥层,MKD根据密钥分发级进行计算会话主密钥,并通过密钥传输级为各MP对等分发会话主密钥。该安全机制中MP节点之间链路的安全关联的具体处理过程如下:
如果有新的MP加入无线mesh网络,新加入的MP首先探测是否有可用且已认证过的邻居MP,如果探测到,则和该邻居MP之间建立对等链路。在上述对等链路的建立过程中,认证服务器采用EAP(extend authenticationprotocol,扩展认证协议)-X认证方法对该新加入的MP的身份进行认证,在认证通过后,上述新加入的MP与认证服务器产生相同的主密钥(MSK,MasterSession Key)。认证服务器将所述MSK通过有线分发给所管辖的MKD,上述新加入的MP和MKD使用MSK作为密钥层次中的根密钥建立两级密钥层,并根据新加入的MP的MSK推导计算出对等主密钥的网状认证者(PMK-MA,Pairwise Master Key-Mesh Authenticator)作为这两个MP之间的链路的会话主密钥,已认证过的邻居MP向MKD请求获得该会话主密钥。
当上述新加入的MP欲与该网络中其他MP建立关联链路时,上述新加入的MP和MKD基于它们之间共享的密钥层计算这个关联链路的会话主密钥,MKD通过与MP建立的安全多跳链路传递PMK-MA到上述新加入的MP的对端MP。这样,两个对等节点拥有共享的PMK-MA作为会话主密钥,可以通过四步握手机制产生临时会话密钥,从而在两个对等节点之间建立关联链路。
由此可见,上述新加入的MP按照上述处理过程,可以与无线mesh网络中其他任何一个对端MP建立关联链路,并可作为认证方(authenticator)为其它新加入的MP提供Mesh网络的认证服务。
在实现本发明过程中,发明人发现现有技术中至少存在如下问题:
MP之间建立的链路会话主密钥PMK-MA依赖于为其通过认证服务的MKD,当无线mesh网络中有多个MKD,且多个MKD互不相通,而相邻的MP通过不同的MKD认证入网时,由于MKD之间的互不导相通,导致了不同域下相邻MP之间无法建立安全链路,从而影响了无线mesh网络的互联互通特性。
发明内容
本发明实施例提供一种跨域节点间密钥的分配方法,以解决多MKD下不同域的MP节点间的密钥分配问题,从而提高无线网状网络的互联互通特性。
为解决上述技术问题,本发明是实施例提供一种节点间密钥的分配方法,包括:
网状密钥分发节点MKD接收本域的本地网状节点MP发送的跨域对等主密钥PMK-MA请求消息,所述请求消息包括:与本地MP相邻的对端MP的标识及对端MP所属MKD的域标识MKDD-ID;
所述MKD利用共享组密钥与群组内另一MKD进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD;
所述两个MKD分别根据LDK-MKD进行跨域PMK-MA计算,并向对应的MP发送跨域PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识。
另外,本发明实施例还提供一种网状密钥分发设备,包括:网状射频通信单元、有线通信单元、网络接入服务器、群组密钥管理单元和跨域密钥协商分配单元,其中,
所述网状射频通信单元,用于接收本域内本地MP发送的携带对端域标识的跨域对等主密钥认证PMK-MA请求消息,包括:与本地MP相连的对端MP的标识及对端MP所属MKD的域标识MKDD-ID,并向所述本地MP反馈PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识;
所述有线通信单元,用于与群组管理实体GKM或者接入服务器AS进行通信;
所述网络接入服务器,用于通过有线通信单元获取AS或GKM下发群组组密钥;
所述群组密钥管理单元,用于存储并管理维护NAS获取的群组组密钥;
所述跨域密钥协商分配单元,用于根据网状射频通信单元接收到的PMK-MA请求消息,向所述对端域标识对应的网状密钥分发设备协商本地MP与对端相邻MP间的PMK-MA,并为本地的MP分配所协商的PMK-MA。
此外,本发明实施例还提供一种节点间密钥的分配系统,其特征在于,包括:跨域相邻的第一MP和第二MP,第一MP和第二MP所属的第一MKD和第二MKD,以及与第一MKD和第二MKD相连的GKM,其中,
所述GKM,用于为所述第一MKD和第二MKD发送群组组密钥及其撤销指示;
所述第一MP和第二MP,用于分别向各自归属的第一MKD和第二MKD发起跨域PMK-MA请求消息,所述请求消息包括:与本地第一MP相连的对端第二MP的标识及对端第二MP所属第二MKD的域标识MKDD-ID;或者,与本地第二MP相连的对端第一MP的标识及对端第一MP所属第一MKD的域标识MKDD-ID;
所述第一MKD和第二MKD,用于在接收到所述请求消息后进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD,分别根据所述LDK-MKD生成PMK-MA,并向对应的第一MP和第二MP发送PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识。
由上述技术方案可知,本发明实施例中,当两个相邻的MP发现属于不同的MKD域时,两个相邻的MP都向各自归属的MKD域发起跨域PMK-MA请求消息,该请求消息中携带上对端MP的标识(Peer MP-ID),对端MP所属MKD的域标识MKDD-ID(即PeerMKDD-ID),所述MKD之间进行密钥握手协议,协商双方共享链路分发主密钥LDK-MKD,然后根据LDK-MKD生成PMK-MA,并将所述PMK-MA分配给对应的MP节点。以解决为跨域的MP节点分配密钥,即实现不同MKD域的相邻MP之间建立安全链路以实现跨域通信的问题,从而提高了无线网状网络的互联互通。
附图说明
图1为本发明第一实施例中节点间密钥分配方法的流程图;
图2为本发明第二实施例中节点间密钥分配方法的信令流程图;
图3为图2中PMK-MA请求消息的协议帧格式示意图;
图4为图2中PMK-MA响应消息的协议帧格式示意图;
图5为图2中协商密钥层次的示意图;
图6为图2中MKD之间密钥握手协议的协议帧格式的示意图;
图7为图6中MKD之间握手协议的流程图;
图8为本发明第三实施例跨域MP之间的对等主密钥撤销的信令流程图;
图9为本发明第四实施例中群组密钥更新方法的流程图;
图10为本发明第五实施例中网状密钥分发设备的结构示意图;
图11为本发明第六实施例中节点间密钥分配系统的结构示意图。
具体实施方式
下面我们将结合附图,对本发明的最佳实施方案进行详细描述。
请参阅图1为本发明第一实施例中节点间密钥分配方法的流程图,所述方法包括:
步骤101:网状密钥分发节点MKD接收本域的本地网状节点MP发送的跨域对等主密钥PMK-MA请求消息,所述请求消息包括:与本地MP相邻的对端MP的标识及对端MP所属MKD的域标识MKDD-ID;
步骤102:所述MKD利用共享组密钥与群组内另一MKD进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD;
步骤103:所述两个MKD分别根据LDK-MKD进行跨域PMK-MA计算,并向对应的MP发送跨域PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识。
优选的,所述方法还可以包括:所述另一MKD进行密钥信息交互之前,所述方法还包括:所述另一MKD接收到本域的本地网状节点MP发送的跨域对等主密钥PMK-MA请求消息,所述请求消息包括:与本地MP相邻的对端MP的标识及对端MP所属MKDD-ID。
需要说明的是,本发明实施例中,只有一个MKD接收到所属的MP发送的跨域PMK-MA请求消息,就可以与该请求消息中携带的MKDD-ID对应的MKD尽快协商LDK-MKD,也可以在所述的两个MKD可以都接收到所属的MP发送的跨域PMK-MA请求消息后,再进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD,本发明实施例不对限制。
优选的,在步骤101之前,所述方法还可以包括:如果所述两个本地MP进行协商链路安全信息时,发现属于不同的MKD域,则分别向各自归属的MKD发起跨域对等主密钥认证PMK-MA请求消息。
优选的,在步骤103之后,所述方法还可以包括:所述两个相邻MP分别接收到对应的所述PMK-MA响应消息后,根据所述响应消息中携带的PMK-MA协商该链路的临时会话主密钥PTK。
也就是说,本实施例中,属于两个跨域的相邻MP需要建立关联链路时,所述相邻MP之间发起PLM协商建立安全链路,当两个相邻MP发现属于不同的MKD域时,两个相连MP都向各自归属的MKD域发起PMK-MA请求消息,该请求消息中包括:与本地MP相连的对端(Peer)MP的标识及对端MP所属PeerMKD的域标识PeerMKDD-ID,该消息中还可以包括对端MP的标识Peer MP-ID等参数,也可以包括其他参数,本实施例不作下定。所述两个MKD在接收到所述请求消息后,利用协商好的LDK-MKD生成PMK-MA,并分别将所述PMK-MA分配给对应的MP,以便于跨域的MP在接收到所述PMK-MA后,生成临时会话主密钥PTK,从而使不同域的相邻MP建立安全链路。
需要说明的时,当两个MKD发现没有协商好的LDK-MKD时,可通过共享组密钥GK,双方之间进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD。
为了便于本领域技术人员的理解,下面以具体的实施例来说明。需要说明的是,本发明实施例都以两个不同域的MKD都接收到所属的MP发送的跨域PMK-MA请求消息为例。
请参阅图2,为本发明第二实施例中节点间密钥分配方法的信令流程图,该实施例中包括跨域相邻的MP1和MP2,MP1和MP2分别所属的MKD1和MKD2,所述方法包括:
步骤201:MP1与MP2之间发起PLM进行链路协商,包括协商该链路的对等主密钥PMK-MA,当MP1与MP2发现所属的MKDD-ID不一样时,则MP1与MP2协商该链路的对等主密钥PMK-MA为对方产生的PMK-MA;
其中,对于该步骤中协商的角色可以理解为:在四次握手协议时,两个MP,其中一个MP为认证者authenticator角色向另外一个MP为被请求者supplicant角色发起,也就是这个协议只能是authenticator发起,不能双方同时发起,supplicant也不能发起;为此,PLM中双方会进行角色协商,协商谁是supplicant,谁是authenticator。
步骤202a:MP1向MKD1发送PMK-MA请求消息,所述请求消息包括:MP2的标识及MP2所属MKD2的域标识MKDD-ID2;还可以包括MP1的消息完整性校验(MIC,Message Integrity Check),但并不限于此;
步骤202b:MP2向MKD2发送PMK-MA请求消息,所述请求消息包括:MP1的标识及MP1所属MKD1的域标识MKDD-ID1;还可以包括MP2的MIC,但并不限于此。
步骤202a和步骤202b在时间上没有先后顺序,可以同时,也可以一先一后,本实施例不作限制。
其中,在本实施例中,所述发送PMK-MA请求消息的协议帧格式如图3所示,依次包括:网状协议头(Mesh Hdr)、类型(Category)、行为(Action)、跨域密钥传输字段(CrossDomainKeyTransport)、消息完整性校验码(MIC)。所述跨域密钥传输字段为本发明实施例新增的字段,在该字段的内容包括:Replay Counter、Peer MP-ID、Peer MKDD-ID。所述Replay counter为该帧的序列号,防止重放攻击;所述Peer MP-ID为对端的MP标识;所述PeerMKDD-ID为对端的MKD域标识。需要说明的是,本实施例中的对端,如果本地为MP1,则对端为MP2;如果本地为MP2,则对端为MP1,其他类同,后续不再赘述。
步骤203:两个MKD在收到对应MP的跨域PMK-MA请求后,如果该MKD与对应MP正在协商建立链路的MP所属的MKD没有共用的LDK-MKD,则向对端的MKD发起MKD密钥握手协议(MKD Key HolderHandshake)协议,并根据协商的密钥信息计算双方的LDK-MKD,还可以计算用于MKD之间的临时会话密钥,其公式与LDK-MKD的计算公式相同,具体为:
LDK-MKD||PTK-MKD=PRF-length(GK,min(LocalNonce,PeerNonce)||max(LocalNonce,PeerNonce)||min(LocalMKDD-ID,PeerMKDD-ID)||max(LocalMKDD-ID,PeerMKDD-ID)...)
其中,该公式中LDK-MKD为MKD之间的链路分发主密钥,PTK-MKD为MKD之间安全通信的会话密钥,PRF为伪随机函数,GK为群组的共享组密钥,LocalNonce为本域随机数,PeerNonce为对端随机数,LocalMKDD-ID为本域MKD所属的域标识,PeerMKDD-ID为对端MKD所属的域标识。对于本实施例中具体MKD之间协商双方共享链路分发主密钥LDK-MKD的过程,详见下图6的描述。
该步骤的具体过程为:对于MKD1:MKD1在收到MP1的跨域PMK-MA请求,如果该MKD1与该MP1正在协商建立链路的MP2所属的MKD2没有共用的LDK-MKD,则向对端的MKD2发起MKD Key Holder Handshake,并根据协商的密钥信息计算双方的LDK-MKD;对于MKD2,与此类似,不再详细描述。
步骤203a:MKD1根据所述LDK-MKD在本地计算PMK-MA,其PMK-MA的计算公式为:
PMK-MA=PRF-length(LDK-MKD,min(Local MP-ID,Peer MP-ID),max(Local MP-ID,Peer MP-ID))
其中,PMK-MA为MP之间共享的链路对等主密钥,PRF为伪随机函数,LDK-MKD为MKD之间的链路分发主密钥,Local MP-ID为本地MP1的标识,Peer MP-ID为对端MP2的标识。
步骤203b:MKD2根据所述LDK-MKD在本地计算PMK-MA,其PMK-MA的计算公式与步骤203a中的计算公式相同,不再赘述。
本实施例中,步骤203a和步骤203b在时间上没有先后顺序,也可以同时请求,也可以一先一后,本实施例不作限制。
步骤204a:MKD1向MP1响应PMK-MA应答,所述应答消息中包括:PMK-MA、PMK-MA的标识PMK-MAName和PMK-MA的有效期(lifetime),但并不限于此;
步骤204b:MKD2向MP2响应PMK-MA应答,所述应答消息中包括:PMK-MA、PMK-MA的标识PMK-MAName和PMK-MA的有效期(lifetime),但并不限于此;
其中,所述响应消息的协议帧格式如图4所示,依次包括:Mesh Hdr、Category、Action、密钥传输响应(KeyTransportResponse)、CrossDomainKeyTransport、网状密钥封装(Mesh Wrapped Key)、MIC。所述CrossDomainKeyTransport包括:Replay Counter.Peer MP-ID、Peer MKDD-ID。
步骤205,两个MP在收到各自归属的MKD分发的PMK-MA后,根据步骤201中协商的角色发起四次握手协议,协商该链路的临时会话主密钥PTK。
经过上述步骤,跨域的MP可以获得临时会话主密钥PTK,建立安全链路,其建立安全链路过程中协商密钥的层次为:首先包括:MGK为该群组内MKD分配的GK,然后MKD利用GK生成对应的LDK-MKD和PTK-MKD,以及,MKD根据本地MP和对端MP的标识,以及LDK-MKD生成两个MP之间共享的PMK-MA,具体如图5所示。
还请参阅图6,为本发明实施例中MKD之间密钥握手(MKD Key HolderHandshake)协议的协议帧格式的示意图。所述MKD Key Holder Handshake协议的协议帧格中依次包括:Mesh Hdr、Category、Action、Mesh ID、MKD密钥握手安全字段(MKDHandshakeSecurity)和MIC,其中,所述MKDHandshakeSecurity包括:LocalNonce、PeerNonce、Local MKDD-ID、PeerMKDD-ID、GKID数量(count)、GKID列表(list),还可以包括:要素(Element)、长度(length)和图表类型(subtype)。
其中,subtype有两种类型:
MKDHandshakeRequest和MKDHandkeyResponse。LocalNonce和PeerNonce分别为本域MKD和对端MKD产生的随机数。
请一并参阅图7,为本发明实施例中MKD之间握手协议的流程图,本实施例以MKD1和MKD2为例。其协议的流程包括:
步骤701,MKD1向MKD2发起握手请求,该请求信息中携带本地产生的随机数LocalNonce及双方的域标识MKDD-ID,本域可用的群组组密钥列表,还可以包括本地可用的组密钥标识GKID;
步骤702,MKD2向MKD1发起握手请求消息,该请求消息中携带本地产生的随机数LocalNonce及双方的域标识MKDD-ID,本域可用的群组组密钥列表,还可以包括本地可用的组密钥标识GKID;
步骤703,MKD1向MKD2发起握手响应消息,并计算LDK-MKD和PTK-MKD,该响应消息中携带双方产生的随机数LocalNonce、PeerNonce及双方的域标识MKDD-ID,本地可用的组密钥标识GKID及使用协商的GK产生的PTK-MKD计算的MIC码;
其中,LDK-MKD||PTK-MKD=PRF-length(GK,min(LocalNonce,PeerNonce)||max(LocalNonce,PeerNonce)||min(LocalMKDD-ID,PeerMKDD-ID)||max(LocalMKDD-ID,PeerMKDD-ID)...)
步骤704,MKD2向MKD1发起握手响应消息,其处理同步骤3。
需要说明的是,上述流程中MKD1和MKD2不限定其执行的步骤,即步骤701中MKD1的请求和步骤702中的MKD2的请求是可以竞争并发的,没有时间上的先后顺序。但是,只有MKD1和MKD2都发出请求,都收到响应,整个握手协商才完成。
还请参阅图8,为本发明第三实施例跨域MP之间的对等主密钥撤销的信令流程图。本实施例中MKD可以根据本实体(比如GKM)内上层的管理命令或该群组内其他MKD发送的撤销指示时,对已分发的PMK-MA进行撤销处理,具体过程为:
步骤801:MKD1通知MP1撤销曾分发的PMK-MA,具体包括:
步骤801a:MKD1向要撤销PMK-MA的拥有者MP1发起PMK-MA撤销请求,该请求消息中包含拥有该密钥的对端MP2的标识MP2-ID,要撤销的PMK-MA的标识PMK-MAName及MIC码(Message Integrity Check,消息完整性校验码);
步骤801b:MP1收到该请求后,校验MP1-ID,MIC,若通过,则撤销PMK-MAName标识的PMK-MA,并响应PMK-MA撤销应答,该应答消息包含拥有该密钥的对端MP2的标识MP2-ID,要撤销的PMK-MA的标识PMK-MAName及MIC码;
步骤802,MKD1向群组中的对端MKD2发送密钥撤销notification
步骤802a:MKD1向要撤销的PMK-MA的对端分发者MKD2发送PMK-MA撤销notification请求,该请求中包含欲撤销的密钥PMK-MA的标识PMK-MAName,该密钥的拥有者MP1-ID、MP2-ID及MIC码。
步骤802b:MKD2收到该请求后,校验MP1-ID,MP2-ID,MIC,若通过,则撤销PMK-MAName标识的PMK-MA,并响应PMK-MA撤销notification应答,该应答消息包含欲撤销的密钥PMK-MA的标识PMK-MAName,该密钥的拥有者MP1-ID、MP2-ID及MIC码。
步骤803,MKD2向MP2撤销曾分发的PMK-MA
该步骤中803a和步骤803b与步骤801a和步骤801b类似,在此不再详述。
需说明的是,上述的801、802、803这3个步骤不必完全顺序执行。如步骤801和步骤802是可以同时进行的,也可以先执行步骤802,在执行步骤801。优选的,MKD2在完成步骤802a后即可触发步骤803的发生。
还请参阅图9,为本发明第四实施例中MKD群组的组密钥管理的流程图,需要说明的,按照有效期机制,当群组内的群组组密钥的有效期已经超过预设的有效期(比如超过80%)后,群组需更新群组组密钥GK,GKM随机生成一个随机数,并将所述随机数作为新的群组组密钥,以及在接收到MKD发送群组组密钥重认证请求消息后,为该MKD分配新的群组组密钥。其请求及分配的步骤包括:
步骤901:MKD按照有效期机制,向群组密钥管理实体GKM发送群组组密钥重认证请求消息,该消息中包括:该MKD的标识及其重认证请求标识,比如,MKD中的群组管理单元通过NAS向GKM进行认证;
步骤902:MKD认证通过后,GKM随机产生一个可用的随机数作为群组新的群组密钥GK;
步骤903:GKM向MKD下发新的群组密钥。
需要说明的是,本实施例中,GKM下发群组密钥时,还捎带上该密钥的有效期;按照80/20法则,当密钥的有效期到了80%的时候,MKD就需要向GKM重复步骤901、902,完成GK更新,此时,原旧的GK也可以不马上删除,但当该GK的有效期到时,则必须删除。
另外,如果所述两个MKD都有最新的群组组密钥,在双方进行信息交互时,则只能选择最新的群组组密钥作为双方之间群组组密钥。
由此可知,GKM根据有效期只产生并存储一个有效的GK,MKD之间在某些时候可能有两个可用的GK,各MKD对(Pair MKD)独立协商可用的组密钥,也即允许不同的MKD对之间协商共用的组密钥有可能不一样。具体的MKD之间的密钥协商详见图6。
应当理解,实现本发明固定码书搜索方法的软件可以存储于计算机可读介质中。该软件在执行时,包括如下步骤:群组内的两个网状密钥分发节点MKD分别接收到本域的本地网状节点MP发送的跨域对等主密钥PMK-MA请求消息,所述请求消息包括:与本地MP相邻的对端MP的标识及对端MP所属MKD的域标识PeerMKDD-ID;所述两个MKD利用预先分配的共享组密钥间进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD;所述两个MKD分别根据LDK-MKD进行PMK-MA计算,并向对应的MP发送PMK-MA响应消息,所述响应消息包括:PMK-MA和PMK-MA的标识。所述的可读介质,如:ROM/RAM、磁碟、光盘等。
相应的,本发明第五实施例还提供一种网状密钥分发设备,其结构示意图如图10所示,所述设备包括:网状射频通信单元101、有线通信单元102、网络接入服务器(NAS,Network Access Server)单元103、群组密钥管理单元104(可选)、跨域密钥协商分配单元105,其中,
所述网状射频通信单元101,用于接收本域内本地MP发送的携带对端域标识的跨域对等主密钥认证PMK-MA请求消息,包括:与本地MP相连的对端MP的标识及对端MP所属MKD的域标识PeerMKDD-ID,并向所述本地MP反馈PMK-MA响应消息;
所述有线通信单元102,用于与GKM或者AS进行通信;
所述NAS103,用于通过有线通信单元获取AS或GKM下发群组组密钥;
所述群组密钥管理单元104,用于存储并管理维护NAS获取的群组组密钥;
所述跨域密钥协商分配单元105,用于根据网状射频通信单元接收到的PMK-MA请求消息,利用预先分配的组密钥向所述对端域标识对应的网状密钥分发设备协商本地MP与对端相邻MP间的PMK-MA,并为本域的本地MP分配所协商的PMK-MA。
其中,所述跨域密钥协商分配单元105包括:群组通信单元106和跨域密钥分配单元107。所述群组通信单元106,用于根据所述网状射频通信单元接收到的所述PMK-MA请求消息,通过群组密钥管理单元的群组组密钥,与对端MP所属的MKD中的群组组通信单元进行密钥信息的交互,协商双方共享链路分发主密钥LDK-MKD和对等MKD通信的临时会话密钥PTK-MKD;所述跨域密钥分配单元107,用于根据群组通信单元协商的LDK-MKD生成PMK-MA,并向所述网状射频通信单元发送PMK-MA响应消息,包括:为跨域MP之间链路的分配的PMK-MA、PMK-MA的标识,还可以包括PMK-MA的有效期。
优选的,所述设备还包括:对等主密钥撤销单元,用于在接收到群组中的管理命令或其他MKD发送的撤销指示时,对已分发的PMK-MA进行撤销处理。
所述对等主密钥撤销单元包括:本地MP撤销单元和MKD撤销单元,所述本地MP撤销单元,用于向本地MP发送PMK-MA撤销请求,所述撤销请求包括:与本地MP相邻的对端MP的标识、要撤销的PMK-MA的标识的名称及MIC码;所述MKD撤销单元,用于向与本地MP相邻的对端MP所属的MKD发送PMK-MA撤销通知请求,所述撤销通知请求包括:要撤销的PMK-MA的标识的名称,本地MP的标识、与本地MP相邻的对端MP的标识及MIC码。
优选的,所述设备还包括:群组组密钥更新发送单元和群组组密钥更新接收单元,所述群组组密钥更新发送单元,用于向GKM发送群组组密钥重认证请求消息;所述群组组密钥更新接收单元,用于接收GKM下发的群组组密钥重响应消息,所述响应消息包括:新的群组共享组密钥。
所述设备中各个单元的功能和作用的实现过程详见上述方法中对应的实现过程,在此不再赘述。
本发明第六实施例还提供一种节点间密钥的分配系统,其结构示意图如图11所示,所述系统包括:跨域相邻的第一MP111和第二MP112,第一MP111和第二MP112分别所属的第一MKD121和第二MKD122,以及与第一MKD121和第二MKD122相连的GKM113,其中,
所述GKM,用于为所述第一MKD和第二MKD发送群组组密钥或撤销指示;
所述第一MP和第二MP,用于分别向各自归属的第一MKD和第二MKD发起跨域PMK-MA请求消息,所述请求消息包括:与本地第一MP相连的对端第二MP的标识及对端第二MP所属第二MKD的域标识PeerMKDD-ID;或者,与本地第二MP相连的对端第一MP的标识及对端第一MP所属第一MKD的域标识PeerMKDD-ID;
所述第一MKD和第二MKD,用于在接收到所述请求消息后进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD,分别根据所述LDK-MKD生成PMK-MA,并向对应的第一MP和第二MP发送PMK-MA响应消息,所述响应消息包括:PMK-MA、PMK-MA的标识,还可以包括PMK-MA的有效期。
所述第一MKD和第二MKD分别包括:网状射频通信单元、有线通信单元、NAS、群组密钥管理单元和跨域密钥协商分配单元。
所述系统还包括:对等主密钥撤销单元,其又包括:本地MP撤销单元,MKD撤销单元。
上述系统中各个单元的功能和作用详见上述图10中对应的功能和作用,在此不再赘述。
所述GKM包括:群组组密钥分配单元、群组组密钥更新单元和群组组密钥撤销指示单元。所述群组组密钥分配单元,用于为群组内的MKD分配群组组密钥;所述群组组密钥更新单元,用于按照有效期机制,当群组组密钥有效期达到预设值时,所述预设值小于或等于有效期,生成一个随机数,并将所述随机数作为新的群组组密钥,以及在接收到群组内MKD发送的群组组密钥更新请求消息时;并将指示群组组密钥分配单元将所述新的群组组密钥分配给所述MKD;所述群组组密钥撤销指示单元,用于向群组内的MKD发送群组组密钥撤销指示。
由此可见,本发明实施例,解决了现有技术中,当mesh网络部署有多个MKD节点时,每个MKD及通过其认证的MP构成一个MKDD-ID,每个MKDD-ID的密钥分配由MKD负责为其域内的MP之间分配对等主密钥;当两个邻居MP分别属于不同的MKDD-ID,才是本发明所述技术方案,使MKD间进行密钥信息交互,协商双方的LDK-MKD,并生成PMK-MA,从而使异域的MP之间建立安全链路,实现了跨域通信的问题,提高了mesh网络的互联互通。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以作出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (27)
1.一种节点间密钥的分配方法,其特征在于,包括:
网状密钥分发节点MKD接收本域的本地网状节点MP发送的跨域对等主密钥PMK-MA请求消息,所述请求消息包括:与本地MP相邻的对端MP的标识及对端MP所属MKD的域标识MKDD-ID;
所述MKD利用共享组密钥与群组内另一MKD进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD;
两个所述MKD分别根据LDK-MKD进行跨域PMK-MA计算,并向对应的MP发送跨域PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识。
2.根据权利要求1所述的方法,其特征在于,所述另一MKD进行密钥信息交互之前,所述方法还包括:所述另一MKD接收到本域的本地网状节点MP发送的跨域对等主密钥PMK-MA请求消息,所述请求消息包括:与本地MP相邻的对端MP的标识及对端MP所属MKDD-ID。
3.根据权利要求1或2所述的方法,其特征在于,所述方法还包括:
两个本地MP分别接收到对应的所述PMK-MA响应消息后,根据所述响应消息中携带的PMK-MA协商该链路的临时会话主密钥PTK。
4.根据权利要求2所述的方法,其特征在于,所述方法还包括:
如果两个相邻MP进行协商链路安全信息时,发现所属的MKDD-ID不同时,则分别向各自归属的MKD发起跨域对等主密钥认证PMK-MA请求消息。
5.根据权利要求1、2或4所述的方法,其特征在于,
所述跨域PMK-MA请求消息的请求帧格式包括:跨域密钥传输字段,用于承载所述对端MP的标识和对端MP所属的MKDD-ID。
6.根据权利要求1或2所述的方法,其特征在于,所述MKD利用共享组密钥与群组内另一MKD进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD的过程包括:
所述两个MKD互相发起握手请求消息,所述握手请求消息包括:本地MKD的随机数LocalNonce、本地MKDD-ID以及对端MKDD-ID、本地可用 的群组组密钥列表;
所述两个MKD互相发送握手响应消息,所述握手响应消息都包括:本地MKD的随机数LocalNonce、本地MKDD-ID、对端MKD的LocalNonce、对端MKDD-ID、选择的群组组密钥以及消息完整性校验码MIC;
所述两个MKD分别根据接收到的握手响应消息中携带的参数计算LDK-MKD。
7.根据权利要求6所述的方法,其特征在于,所述两个MKD间进行密钥信息交互的协议帧格式包括:MKD密钥握手安全字段,用于承载本地MKD的LocalNonce、本地MKDD-ID、对端MKD的LocalNonce、对端MKDD-ID、组密钥标识数量、组密钥标识列表和MIC。
8.根据权利要求7所述的方法,其特征在于,所述协议帧格式还包括:要素、长度和类型。
9.根据权利要求3所述的方法,其特征在于,所述方法还包括:
任一MKD在接收到群组中的管理命令或其他MKD发送的撤销指示时,对已分发的PMK-MA进行撤销处理。
10.根据权利要求9所述的方法,其特征在于,所述任一MKD对已分发的PMK-MA进行撤销处理的过程具体包括:
第一MKD向所管辖的MP发送所述PMK-MA的撤销请求,所述撤销请求包括:与本地MP相邻的对端MP的标识、要撤销的PMK-MA的标识的名称及MIC码;
所述第一MKD向第二MKD发送所述PMK-MA的撤销通知请求,所述撤销通知请求包括:要撤销的PMK-MA的标识,本地MP的标识、与本地MP相邻的对端MP的标识及MIC码;第二MKD在接收到第一MKD发送的PMK-MA的撤销通知请求后,向第一MKD发送PMK-MA的撤销通知响应;
所述第二MKD向所管辖的MP发送所述PMK-MA的撤销请求,所述撤销请求包括:对端MP的标识、要撤销的PMK-MA的标识及MIC码;
两个MP分别校验接收到对应所述PMK-MA的撤销请求中对端MP的标识、MIC码,如果校验成功,则所述两个MP分别撤销所述PMK-MA的标识 对应的PMK-MA,并分别向对应MKD发送PMK-MA的撤销响应。
11.根据权利要求10所述的方法,其特征在于,所述撤销处理的过程还包括:
第二MKD对接收到所述PMK-MA的撤销通知请求中的对端MP的标识、对端MP的标识及MIC码进行校验,如果校验成功,则执行向所管辖的MP发送所述PMK-MA的撤销请求的步骤。
12.根据权利要求1或2所述的方法,其特征在于,按照有效期机制,当群组组密钥有效期达到预设值时,所述预设值小于或等于有效期,群组密钥管理实体GKM随机生成一个随机数,并将所述随机数作为新的群组组密钥,所述方法还包括:
所述MKD按照有效期机制,向所述GKM发送群组组密钥重认证请求消息;
如果所述GKM对MKD进行认证通过后,向所述MKD下发群组组密钥重响应消息,所述响应消息包括:新的群组组密钥。
13.根据权利要求12所述方法,其特征在于,所述响应消息还包括:新的群组组密钥的有效期;所述方法还包括:
当所述群组组密钥有效期到之前,所述MKD预先向所述GKM重新申请新的群组组密钥;
所述GKM为MKD重新分配新的群组组密钥;
在原群组组密钥的有效期到之前时,所述MKD使用两个群组组密钥中任一个进行信息交互,直至原群组组密钥的有效期到时,删除原群组组密钥。
14.根据权利要求13所述方法,其特征在于,所述方法还包括:如果所述两个MKD都有最新的群组组密钥,在双方进行信息交互时,则只能选择最新的群组组密钥作为双方之间群组组密钥。
15.一种网状密钥分发设备,其特征在于,包括:网状射频通信单元、有线通信单元、网络接入服务器和跨域密钥协商分配单元,其中,
所述网状射频通信单元,用于接收本域内本地MP发送的携带对端域标识的跨域对等主密钥认证PMK-MA请求消息,包括:与本地MP相连的对端 MP的标识及对端MP所属MKD的域标识MKDD-ID,并向所述本地MP反馈PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识;
所述有线通信单元,用于与群组管理实体GKM或者接入服务器AS进行通信;
所述网络接入服务器,用于通过有线通信单元获取AS或GKM下发群组组密钥;
所述跨域密钥协商分配单元,用于根据网状射频通信单元接收到的PMK-MA请求消息,向所述对端域标识对应的网状密钥分发设备协商本地MP与对端相邻MP间的PMK-MA,并为本地的MP分配所协商的PMK-MA。
16.根据权利要求15所述设备,其特征在于,所述设备还包括:群组密钥管理单元,用于存储并管理维护NAS单元获取的群组组密钥。
17.根据权利要求16所述设备,其特征在于,所述跨域密钥协商分配单元包括:
群组通信单元,用于根据所述网状射频通信单元接收到的所述PMK-MA请求消息,通过群组密钥管理单元的群组组密钥,与对端MP所属的MKD中的群组组通信单元进行密钥信息的交互,协商双方共享链路分发主密钥LDK-MKD和对等MKD通信的临时会话密钥PTK-MKD;
跨域密钥分配单元,用于根据群组通信单元协商的LDK-MKD生成PMK-MA,并向所述网状射频通信单元发送PMK-MA响应消息,包括:为跨域MP之间链路的分配的PMK-MA和PMK-MA的标识。
18.根据权利要求16或17所述设备,其特征在于,所述设备还包括:
对等主密钥撤销单元,用于在接收到群组中的管理命令或其他MKD发送的撤销指示时,对已分发的PMK-MA进行撤销处理。
19.根据权利要求18所述设备,其特征在于,所述对等主密钥撤销单元包括:
本地MP撤销单元,用于向本地MP发送PMK-MA撤销请求,所述撤销 请求包括:与本地MP相邻的对端MP的标识、要撤销的PMK-MA的标识及其对应的PMK-MA以及MIC码;
MKD撤销单元,用于向与本地MP相邻的对端MP所属的MKD发送PMK-MA撤销通知请求,所述撤销通知请求包括:要撤销的PMK-MA的标识及其对应的PMK-MA,本地MP的标识、与本地MP相邻的对端MP的标识及MIC码。
20.根据权利要求15所述设备,其特征在于,所述设备还包括:
群组组密钥更新发送单元,用于向GKM发送群组组密钥重认证请求消息;
群组组密钥更新接收单元,用于接收GKM下发的群组组密钥重响应消息,所述响应消息包括:新的群组共享组密钥。
21.一种节点间密钥的分配系统,其特征在于,包括:跨域相邻的第一MP和第二MP,第一MP和第二MP所属的第一MKD和第二MKD,以及与第一MKD和第二MKD相连的GKM,其中,
所述GKM,用于为所述第一MKD和第二MKD发送群组组密钥及其撤销指示;
所述第一MP和第二MP,用于分别向各自归属的第一MKD和第二MKD发起跨域PMK-MA请求消息,所述请求消息包括:与本地第一MP相连的对端第二MP的标识及对端第二MP所属第二MKD的域标识MKDD-ID;或者,与本地第二MP相连的对端第一MP的标识及对端第一MP所属第一MKD的域标识MKDD-ID;
所述第一MKD和第二MKD,用于在接收到所述请求消息后进行密钥信息交互,协商双方共享链路分发主密钥LDK-MKD,分别根据所述LDK-MKD生成PMK-MA,并向对应的第一MP和第二MP发送PMK-MA响应消息,所述响应消息包括:跨域PMK-MA和跨域PMK-MA的标识。
22.根据权利要求21所述系统,其特征在于,所述第一MKD和第二MKD分别包括:网状射频通信单元、有线通信单元、网络接入服务器NAS、跨域密钥协商分配单元,其中,
所述网状射频通信单元,用于接收本域内本地MP发送的携带对端域标识的跨域对等主密钥认证PMK-MA请求消息,包括:与本地MP相连的对端MP的标识及对端MP所属MKD的域标识MKDD-ID,并向所述MP反馈PMK-MA响应消息;
所述有线通信单元,用于与群组密钥管理实体GKM或者接入服务器AS进行通信;
所述网络接入服务器,用于通过有线通信单元获取AS或GKM下发群组组密钥GK;
所述跨域密钥协商分配单元,用于根据网状射频通信单元接收到的PMK-MA请求消息,向所述对端域标识对应的网状密钥分发设备协商本地MP与对端相邻MP间的PMK-MA,并为本地的MP分配所协商的PMK-MA。
23.根据权利要求22所述系统,其特征在于,所述系统还包括:群组密钥管理单元,用于存储并管理维护NAS获取的群组组密钥。
24.根据权利要求23所述系统,其特征在于,所述跨域密钥协商分配单元包括:
群组通信单元,用于根据所述网状射频通信单元接收到的所述PMK-MA请求消息,通过从群组密钥管理单元中获得的GK,与对端MP所属的MKD中的群组组通信单元进行密钥信息的交互,协商双方共享链路分发主密钥LDK-MKD和对等MKD通信的临时会话密钥PTK-MKD;
跨域密钥分配单元,用于根据群组通信单元协商的LDK-MKD生成PMK-MA,并向所述网状射频通信单元发送PMK-MA响应消息,包括:为跨域MP之间链路的分配的PMK-MA和PMK-MA的标识。
25.根据权利要求21至24任一项所述系统,其特征在于,所述系统还包括:
对等主密钥撤销单元,用于在接收到群组中的管理命令或其他MKD发送的撤销指示时,对已分发的PMK-MA进行撤销处理。
26.根据权利要求25所述系统,其特征在于,所述对等主密钥撤销单元包括:
本地MP撤销单元,用于向本地MP发送PMK-MA撤销请求,所述撤销请求包括:与本地MP相邻的对端MP的标识、要撤销的PMK-MA的标识及其对应的PMK-MA的名称以及MIC码;
MKD撤销单元,用于向与本地MP相邻的对端MP所属的MKD发送PMK-MA撤销通知请求,所述撤销通知请求包括:要撤销的PMK-MA的标识及其对应的PMK-MA,本地MP的标识、与本地MP相邻的对端MP的标识及MIC码。
27.根据权利要求20所述系统,其特征在于,所述GKM包括:
群组组密钥分配单元,用于为群组内的MKD分配群组组密钥;
群组组密钥更新单元,用于按照有效期机制,当群组组密钥有效期达到预设值时,所述预设值小于或等于有效期,生成一个随机数,并将所述随机数作为新的群组组密钥,以及在接收到群组内MKD发送的群组组密钥更新请求消息时;并将指示群组组密钥分配单元将所述新的群组组密钥分配给所述MKD;
群组组密钥撤销指示单元,用于向群组内的MKD发送群组组密钥撤销指示。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101305374A CN101626370B (zh) | 2008-07-07 | 2008-07-07 | 节点间密钥的分配方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101305374A CN101626370B (zh) | 2008-07-07 | 2008-07-07 | 节点间密钥的分配方法、系统及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101626370A CN101626370A (zh) | 2010-01-13 |
| CN101626370B true CN101626370B (zh) | 2012-06-20 |
Family
ID=41522058
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101305374A Expired - Fee Related CN101626370B (zh) | 2008-07-07 | 2008-07-07 | 节点间密钥的分配方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101626370B (zh) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626370B (zh) * | 2008-07-07 | 2012-06-20 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
| CN102170637B (zh) * | 2010-02-26 | 2014-04-02 | 杭州华三通信技术有限公司 | 集中控制式mesh网络中的密钥管理方法、系统和装置 |
| CN101834863B (zh) * | 2010-04-29 | 2012-03-28 | 西安西电捷通无线网络通信股份有限公司 | 一种局域网节点间安全连接建立方法及系统 |
| CN103888941B (zh) * | 2012-12-20 | 2018-03-06 | 新华三技术有限公司 | 一种无线网络密钥协商的方法及装置 |
| WO2015063990A1 (en) * | 2013-10-28 | 2015-05-07 | Nec Corporation | Security management according to location change in proximity based services |
| CN103888453B (zh) * | 2014-03-12 | 2018-02-16 | 天地融科技股份有限公司 | 一种基于协商密钥的数据处理方法 |
| US10142847B2 (en) * | 2014-05-23 | 2018-11-27 | Qualcomm Incorporated | Secure relay of discovery information in wireless networks |
| US10504148B2 (en) | 2014-05-23 | 2019-12-10 | Qualcomm Incorporated | Peer-to-peer relaying of discovery information |
| US9923715B2 (en) * | 2015-06-09 | 2018-03-20 | Intel Corporation | System, apparatus and method for group key distribution for a network |
| US9998431B2 (en) * | 2015-06-09 | 2018-06-12 | Intel Corporation | System, apparatus and method for secure network bridging using a rendezvous service and multiple key distribution servers |
| CN107528857A (zh) * | 2017-09-28 | 2017-12-29 | 北京东土军悦科技有限公司 | 一种基于端口的认证方法、交换机及存储介质 |
| CN111418181B (zh) * | 2018-03-28 | 2021-09-07 | 华为技术有限公司 | 共享数据处理方法、通信装置及通信设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
-
2008
- 2008-07-07 CN CN2008101305374A patent/CN101626370B/zh not_active Expired - Fee Related
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101626370A (zh) * | 2008-07-07 | 2010-01-13 | 华为技术有限公司 | 节点间密钥的分配方法、系统及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101626370A (zh) | 2010-01-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101626370B (zh) | 节点间密钥的分配方法、系统及设备 | |
| CN101222325B (zh) | 一种基于id的无线多跳网络密钥管理方法 | |
| Capkun et al. | Mobility helps peer-to-peer security | |
| CN101375545B (zh) | 用于提供无线网状网的方法和设备 | |
| CN112039872A (zh) | 基于区块链的跨域匿名认证方法及系统 | |
| CN108521875A (zh) | 用于在设备到设备通信网络中在远程ue与中继ue之间建立安全通信的方法和系统 | |
| Kong et al. | Achieve secure handover session key management via mobile relay in LTE-advanced networks | |
| CN102421095B (zh) | 无线网状网的接入认证方法 | |
| CN104205898A (zh) | 用于m2m环境中基于群组的服务引导的方法和系统 | |
| CN102123392B (zh) | 一种分布式无线传感器网络密钥管理方法 | |
| WO2009103214A1 (zh) | 网络认证通信方法及网状网络系统 | |
| CN108882238A (zh) | 一种用于移动自组织网中基于共识算法的轻量级轮转ca认证方法 | |
| CN107205208A (zh) | 鉴权的方法、终端和服务器 | |
| CN102209319B (zh) | 提高mesh网络中的接入控制器控制效率的方法及接入控制器 | |
| CN101778387B (zh) | 抵抗无线局域网接入认证拒绝服务攻击的方法 | |
| CN110572824A (zh) | 基于区块链的异构无线网络切换认证方法及系统 | |
| CN101442749B (zh) | 基于wapi的无线网状网的认证方法 | |
| CN102006595B (zh) | 一种无线传感器网络密钥管理方法 | |
| CN102123393B (zh) | 一种基于单向函数的分布式无线传感器网络密钥管理方法 | |
| CN102487503B (zh) | 一种多级安全动态群组密钥管理方法 | |
| Lin et al. | A role based privacy-aware secure routing protocol for wireless mesh networks | |
| CN101635922B (zh) | 无线网状网络安全通信方法 | |
| CN102056163B (zh) | 分布式mesh网络密钥管理方法和无线接入点设备 | |
| Haddad et al. | Secure and efficient AKA scheme and uniform handover protocol for 5G network using blockchain | |
| CN101702807B (zh) | 一种无线安全接入认证方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120620 Termination date: 20160707 |