CN101715009A - 一种安全的地址分配方法、检测装置、设备和系统 - Google Patents
一种安全的地址分配方法、检测装置、设备和系统 Download PDFInfo
- Publication number
- CN101715009A CN101715009A CN200910244094A CN200910244094A CN101715009A CN 101715009 A CN101715009 A CN 101715009A CN 200910244094 A CN200910244094 A CN 200910244094A CN 200910244094 A CN200910244094 A CN 200910244094A CN 101715009 A CN101715009 A CN 101715009A
- Authority
- CN
- China
- Prior art keywords
- authentication
- rule
- user
- address
- dynamic host
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种安全的地址分配方法、检测装置、检测设备、用户设备、DHCP服务器和安全的地址分配系统。本发明实施例通过由检测装置对用户进行定期的身份验证,并可以在每次身份验证时使用不同的身份验证规则,使得非法用户很难判断哪些报文是进行身份验证的报文,以及如何进行身份验证,从而无法冒用合法用户的身份进行网络访问,防止了非法用户盗用合法用户的IP地址和MAC地址进行非法操作。
Description
技术领域
本发明实施例涉及一种安全的地址分配方法、检测装置、检测设备、用户设备、DHCP服务器和安全的地址分配系统,属于数据通信技术领域。
背景技术
动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)是一种用于简化主机IP配置管理的协议标准。通过采用DHCP协议,可以使用DHCP服务器为网络上所有的启用DHCP的客户端进行TCP/IP设置,主要用于自动为用户设置网络因特网协议(Internet Protocol,简称IP)地址、掩码、网关、域名系统(Domain Name System,简称DNS)等网络参数,并且DHCP还可以保证不使用重复地址、可以回收并分配未使用地址等。这样简化了用户网络设置、提高了管理效率。
通常的DHCP申请和分配IP地址信息的流程如下:
1.DHCP客户端发送DISCOVER报文;
2.DHCP服务器收到DISCOVER报文后,回应OFFER报文,其中包含分配的IP地址信息;
3.DHCP客户端向DHCP服务器发送REQUEST报文,请求分配这个IP地址;
4.DHCP服务器回应ACK报文,同意分配这个IP信息。
但是,使用DHCP服务器分配地址来配置网络时,经常会遇到客户端的合法性问题。通常服务器和客户端之间没有认证机制,常见的攻击和破坏方法是冒充DHCP客户端攻击合法的DHCP服务器,例如恶意申请占用大量IP,然后冒充DHCP服务器给其他客户端分配错误的网络配置信息,例如分配错误的DNS服务器,将用户的网络访问引向恶意网站等。另外,DHCP服务器分配给客户端的IP信息,也可能被其他非法客户端截取和盗用,例如采用“中间人”方式,截获分配的I P信息,然后屏蔽真正的客户端,并冒用合法IP和介质访问控制(Media Access Control,简称MAC)地址,以达到侵入网络的目的。
针对上述情况,通常存在多种解决方法,常用的如下:
1.增加DHCP身份认证,常见的是在DHCP报文的选项字段中增加认证信息,客户端在申请地址的时候必须填写身份认证信息,通过认证以后,才能获得分配IP地址;例如专利《实现DHCP地址安全分配的方法和系统》(专利申请号200510069417)公开了一种对DHCP客户端进行认证的方法。
2.在客户端请求DHCP分配IP地址的时候,由DHCP服务器触发客户端发起一个认证,认证通过后再分配;例如专利《基于DHCP实现用户认证的方法及系统》(专利申请号20061012697)通过DHCP中间实体检测到DHCP客户端发送的DHCP报文,并确定是一次新的会话后,触发针对使用所述DHCP客户端的逻辑用户的用户身份信息进行认证处理操作。
3.在客户端通过DHCP分配的地址后,在DHCP服务器和客户端之间维持一个会话连接,用于探测客户端合法性和是否在线;例如专利《通过探测客户端维护DHCP安全特性的方法与装置》(专利申请号200610125734)通过中继器发送探测报文至客户端,若该客户端超时未响应该探测报文则判定客户端不在线,老化该客户端对应的安全特性表项。
4.在网络接入设备上,通过DHCP Snooping(DHCP窥探)方式窥探客户端获得的IP地址,并在网络接入设备上绑定客户端的IP地址和MAC地址,以达到防止假冒IP地址和MAC地址的目的;例如专利《基于Snooping技术的防止DHCP报文攻击的方法》(专利申请号200710172299)基于Snooping技术将所有DHCP报文重定向到本地进行监测,在此过程中根据DHCP报文在交换机本地将硬件地址和IP地址的绑定关系添加到端口。
5.采用链路层接入认证技术,例如采用美国电气电子工程师学会IEEE(Institute of Electrical and Electronic Engineers)802.1x认证,认证通过以后才允许分配地址;
但是上述这些方法在实际应用中并不完善,如果采用盗用IP地址和MAC地址的侵入方式,例如非法设备接在接入设备和客户端设备之间,采用“中间人”方式侦听DHCP分配的网络信息,等待合法客户端分配到IP地址并认证结束,然后直接盗用合法客户端的IP地址和MAC地址,并屏蔽合法客户端,非法设备有时也会有选择放行一些用于保活或认证的信息,上述解决方法无法有效的防止这种非法设备。
目前网络接入设备价格低,在网络接入设备以下,一些用户也常使用低端交换机再进行扩展网络,可以接入更多的用户终端设备。由于网络末端的庞大和复杂,给管理带来了难度,也给非法用户的入侵留下了机会。由于盗用的是合法用户的IP地址和MAC地址,并已经通过了认证,特别是非法用户与合法用户接在接入设备的相同端口下,接入设备根本无法察觉哪些报文是合法用户发来的,哪些报文是非法用户发来的。
例如图1给出了一个网络入侵示意图,图中所示的是一个常用的使用DHCP分配IP地址信息的网络,接入设备下可以连接多个用户设备,但不一定都是合法的用户。在用户设备上运行DHCP客户端,用于申请IP地址等网络配置信息。
非法用户即入侵者可以采用物理侵入的方式,插入在用户设备和接入设备之间,作为中间人侦听用户的报文信息。入侵者平时可以保持静默,透传用户的报文信息,而一旦需要则可以直接冒用用户(例如图1中的用户设备2)的IP和链路层信息(包括MAC地址),并对合法用户进行屏蔽,这样入侵者可以得到合法的用户身份对网络资源进行访问。并且接入设备根本无法发现这个入侵者,所有的检验和绑定等控制都将失效。
如果入侵者的行为更隐蔽一些,不屏蔽用户设备的任何报文,只是“寄生”在用户线路上,完全复制用户的IP地址、MAC地址等信息,利用线路的带宽来传输自己的数据流,这种入侵方式在目前的检测技术下很难被发现。
发明内容
本发明实施例的目的是提供一种安全的地址分配方法、检测装置、检测设备、用户设备、DHCP服务器和安全的地址分配系统,使DHCP服务器可以安全地分配IP地址给DHCP客户端,防止非法用户盗用合法用户的IP地址和MAC地址进行非法操作。
为实现上述目的,本发明实施例提供了一种安全的地址分配方法,所述方法包括:
步骤S1,根据用户的动态主机配置协议DHCP客户端向DHCP服务器发出的IP地址分配请求产生身份验证规则;
步骤S2,将所述身份验证规则返回给DHCP客户端对应的用户;
步骤S3,根据所述身份验证规则对DHCP客户端对应的用户进行身份验证,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复执行步骤S3,否则禁止所述用户访问网络。
为了实现上述目的,本发明实施例还提供了一种检测装置,所述检测装置包括验证规则产生单元、验证规则发送单元和身份验证单元;
所述验证规则产生单元用于根据用户的DHCP客户端向DHCP服务器发出的IP地址分配请求产生身份验证规则;
所述验证规则发送单元与验证规则产生单元连接,用于将所述身份验证规则返回给DHCP客户端对应的用户;
所述身份验证单元与验证规则产生单元连接,用于根据所述身份验证规则对DHCP客户端对应的用户进行身份验证,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复对用户进行身份验证,否则禁止所述用户访问网络。
为了实现上述目的,本发明实施例又提供了一种检测设备,所述检测设备包括上述检测装置。
为了实现上述目的,本发明实施例又提供了一种用户设备,所述用户设备包括地址获取单元和验证用户单元;
所述地址获取单元用于向DHCP服务器发出IP地址分配请求和接收DHCP服务器的IP地址分配响应;
所述验证用户单元用于接收身份验证规则,并根据述所身份验证规则在检测装置上进行身份验证。
为了实现上述目的,本发明实施例又提供了一种DHCP服务器,所述DHCP服务器包括地址分配单元、验证规则请求单元和验证规则返回单元;
所述地址分配单元用于接收DHCP客户端的IP地址分配请求,进行IP地址分配,并向DHCP客户端发送IP地址分配响应;
所述验证规则请求单元与地址分配单元连接,用于根据用户的DHCP客户端发来的IP地址分配请求,向检测装置申请身份验证规则;
所述验证规则返回单元用于接收检测装置发来的身份验证规则,并将所述身份验证规则放在ACK报文中返回给DHCP客户端。
为了实现上述目的,本发明实施例再提供了一种安全的地址分配系统,所述系统包括上述检测设备、用户设备和DHCP服务器。
本发明通过由检测装置对用户进行定期的身份验证,并可以在每次身份验证时使用不同的身份验证规则,使得非法用户很难判断哪些报文是进行身份验证的报文,以及如何进行身份验证,从而无法冒用合法用户的身份进行网络访问,防止了非法用户盗用合法用户的IP地址和MAC地址进行非法操作。
附图说明
图1为网络入侵示意图
图2为本发明一种安全的地址分配方法实施例一示意图
图3为本发明一种安全的地址分配方法实施例二示意图
图4为本发明一种安全的地址分配方法实施例三示意图
图5为本发明一种安全的地址分配方法实施例四示意图
图6为本发明一种安全的地址分配方法实施例五示意图
图7为本发明一种安全的地址分配方法实施例六示意图
图8为本发明一种检测装置实施例一示意图
图9为本发明一种检测装置实施例二示意图
图10为本发明一种检测装置实施例三示意图
图11为本发明一种检测设备实施例示意图
图12为本发明一种用户设备实施例一示意图
图13为本发明一种用户设备实施例二示意图
图14为本发明一种用户设备实施例三示意图
图15为本发明一种DHCP服务器实施例一示意图
图16为本发明一种DHCP服务器实施例二示意图
图17为本发明一种安全的地址分配系统实施例示意图
图18为本发明一种安全的地址分配方法实施例七示意图
具体实施方式
本发明实施例的目的是提供一种安全的地址分配方法、检测装置、检测设备、用户设备、DHCP服务器和安全的地址分配系统,使DHCP服务器可以安全地分配IP地址给DHCP客户端,防止非法用户盗用合法用户的IP地址和MAC地址进行非法操作。
下面结合附图对本发明实施例进行说明,本发明实施例提供了一种安全的地址分配方法,图2给出了本发明一种安全的地址分配方法实施例一示意图,所述方法包括:
步骤S1,根据用户的动态主机配置协议DHCP客户端向DHCP服务器发出的IP地址分配请求产生身份验证规则;
步骤S1具体可以为:根据DHCP服务器发来的DHCP客户端的IP地址分配请求信息,产生身份验证规则。
即可以由DHCP服务器发起产生身份验证规则的请求,从而在原有DHCP协议的基础上加上对用户进行身份验证的过程。
所述身份验证规则可以包括:身份验证使用的通信协议、身份验证的时间窗口、接受身份验证的目的IP地址和通信协议指定的目的端口。
所述通信协议可以为一些已知的协议,如超文本传输协议(HypertextTransfer Protocol,简称HTTP)、文件传输协议(File Transfer Protocol,简称FTP)、网际控制报文协议(Internet Control Message Protocol,简称ICMP)等。
所述时间窗口即为指定的一个可以进行身份验证操作的时间段。
所述身份验证规则还可以包括:身份验证的源端口。
本发明实施例可以利用常用的IP层以上协议,来传递用户身份验证信息。由于IP层以上协议众多,协议类型、目的IP地址、目的端口、源端口都是可变的因子,在身份验证规则中加上这些信息就能保证规则具有足够的随机性,加上对进行身份验证的时间窗口限制,并且规则每次使用后都可以变化,消除了携带安全信息报文的外在网络特征,因此很难被非法用户截获分析和掌握其规律,也具有足够的隐蔽性。也就是说,相同的客户端和检测装置,每次通信的手段都是不同的。如果非法用户无法破解这个检测方法,也就无法盗用合法用户的身份信息。
步骤S2,将所述身份验证规则返回给DHCP客户端对应的用户;
可以对所述身份验证规则加密后返回给DHCP客户端对应的用户。
通过对身份验证规则加密,可以更进一步防止非法用户对合法用户报文的截取和识别。
步骤S2具体可以为:将所述身份验证规则加密后发送给DHCP服务器,并由DHCP服务器放在ACK报文中返回给DHCP客户端。
通过由DHCP服务器转发身份验证规则可充份利用原有的DHCP协议完成身份验证初始阶段的信息传递,此外,通过DHCP服务器的转发,方便DHCP服务器和DHCP客户端进行双向认证。
步骤S3,根据所述身份验证规则对DHCP客户端对应的用户进行身份验证,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复执行步骤S3,否则禁止所述用户访问网络。
所述身份验证规则每一次都可以变化,可以按一定随机算法给出,这样可以避免被掌握规律,更好地防范非法用户。
进行身份验证之后,可以向用户发送响应报文,通知用户是否验证通过,如果验证通过,则报文中携带了下一次身份验证规则;也可以只有在身份验证通过之后才向用户发送响应报文,其中携带下一次身份验证规则,验证失败时不响应用户,这样可以防止非法用户对检测设备进行端口扫描等操作。
本发明实施例通过由检测装置对用户进行定期的身份验证,并可以在每次身份验证时使用不同的身份验证规则,使得非法用户很难判断哪些报文是进行身份验证的报文,以及如何进行身份验证,从而无法冒用合法用户的身份进行网络访问,防止了非法用户盗用合法用户的I P地址和MAC地址进行非法操作。
图3给出了本发明一种安全的地址分配方法实施例二示意图,本实施例除了包括方法实施例一的步骤外,
步骤S 3中所述根据所述身份验证规则对DHCP客户端对应的用户进行身份验证具体可以为:在所述身份验证的时间窗口的时间段内,打开所述通信协议指定的目的端口进行侦听,在收到DHCP客户端对应的用户发来的身份验证信息后,对所述用户进行身份验证,在时间超过所述时间段后关闭侦听并结束通信。
通过指定的通信协议、目的端口和时间窗口等,可以增加身份验证规则的随机性和隐蔽性,防止非法用户发现其规律,其次,只在较短的时间窗口内进行侦听,使得对应的检测装置不易受到扫描攻击。
步骤S3具体可以分为:
步骤S31,在所述身份验证的时间窗口的时间段内,打开所述通信协议指定的目的端口进行侦听;
步骤S32,在收到DHCP客户端对应的用户发来的身份验证信息后,对所述用户进行身份验证,在时间超过所述时间段后关闭侦听并结束通信,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内执行步骤S31,否则禁止所述用户访问网络。
图4给出了本发明一种安全的地址分配方法实施例三示意图,本实施例除了包括方法实施例二的步骤外,还包括步骤S4:所述DHCP客户端对应的用户在所述身份验证的时间窗口的时间段内,以所述通信协议将用户的身份验证信息发送到所述目的IP地址的所述目的端口上。
步骤S4可以在步骤S31之后执行。
图5给出了本发明一种安全的地址分配方法实施例四示意图,本实施例除了包括方法实施例三的步骤外,
所述步骤S2具体可以为:将所述身份验证规则加密后发送给DHCP服务器,并由DHCP服务器放在ACK报文中返回给DHCP客户端。
步骤S2之后还可以包括步骤S5:所述DHCP客户端对应的用户收到所述ACK报文后,解密所述身份验证规则,根据所述身份验证规则是否合法判断DHCP服务器是否合法。
DHCP客户端可以通过检查DHCP服务器发来的ACK报文中是否携带合法的身份验证规则,来判断DHCP服务器是否合法。由于放在ACK报文中的身份验证规则信息是加密的,因此非法的DHCP服务器无法提供这个信息,就容易被识别。
本实施例除了可以在方法实施例三的基础上进行上述扩展外,还可以在方法实施例一或方法实施例二的基础上进行上述扩展。
图6给出了本发明一种安全的地址分配方法实施例五示意图,本实施例除了包括方法实施例四的步骤外,
步骤S3之后还可以包括步骤S6:将验证结果通知DHCP服务器,DHCP服务器根据验证结果进行后续操作。
后续操作可以为:当验证结果为验证通过时,DHCP服务器与DHCP客户端之间进行正常的IP地址分配和维护的通信;而当验证结果为验证失败时,则DHCP服务器可以强行收回分配给DHCP客户端的IP地址。
DHCP服务器可以通过DHCP客户端是否按照指定的身份验证规则完成验证,来判断DHCP客户端的合法性。即使DHCP服务器提供的身份验证规则信息被非法用户截取了,但是由于非法用户无法破解这个加密信息,因此无法按规则完成验证,通过上述方式DHCP服务器可以判断DHCP客户端所在的用户设备的合法性。
本实施例除了可以在方法实施例四的基础上进行上述扩展外,还可以在方法实施例一至方法实施例三的任一方法实施例基础上进行上述扩展。
图7给出了本发明一种安全的地址分配方法实施例六示意图,本实施例除了包括方法实施例五的步骤外,
所述步骤S3之后还可以包括步骤S7:所述DHCP客户端对应的用户如果在规定时间内收到所述下一次身份验证规则,则判断申请IP地址成功,进行IP地址配置,否则重新发出IP地址分配请求。
步骤S7可以在步骤S6之后执行。
本实施例除了可以在方法实施例五的基础上进行上述扩展外,还可以在方法实施例一至方法实施例四的任一方法实施例基础上进行上述扩展。
为了实现上述目的,本发明实施例还提供了一种检测装置,图8给出了本发明一种检测装置实施例一示意图,所述检测装置包括验证规则产生单元M11、验证规则发送单元M12和身份验证单元M13;
所述验证规则产生单元M11用于根据用户的DHCP客户端向DHCP服务器发出的IP地址分配请求产生身份验证规则;
所述验证规则产生单元具体可以用于根据DHCP服务器发来的DHCP客户端的IP地址分配请求信息,产生身份验证规则。
即可以由DHCP服务器发起产生身份验证规则的请求,从而在原有DHCP协议的基础上加上对用户进行身份验证的过程。
所述身份验证规则可以包括:身份验证使用的通信协议、身份验证的时间窗口、接受身份验证的目的IP地址和通信协议指定的目的端口。
所述通信协议可以为一些已知的协议,如超文本传输协议(HypertextTransfer Protocol,简称HTTP)、文件传输协议(File Transfer Protocol,简称FTP)、网际控制报文协议(Internet Control Message Protocol,简称ICMP)等。
所述时间窗口即为指定的一个可以进行身份验证操作的时间段。
所述身份验证规则还可以包括:身份验证的源端口。
本发明实施例可以利用常用的IP层以上协议,来传递用户身份验证信息。由于IP层以上协议众多,协议类型、目的IP地址、目的端口、源端口都是可变的因子,在身份验证规则中加上这些信息就能保证规则具有足够的随机性,加上对进行身份验证的时间窗口限制,并且规则每次使用后都可以变化,消除了携带安全信息报文的外在网络特征,因此很难被非法用户截获分析和掌握其规律,也具有足够的隐蔽性。也就是说,相同的客户端和检测装置,每次通信的手段都是不同的。如果非法用户无法破解这个检测方法,也就无法盗用合法用户的身份信息。
所述验证规则发送单元M12与验证规则产生单元M11连接,用于将所述身份验证规则返回给DHCP客户端对应的用户;
可以对所述身份验证规则加密后返回给DHCP客户端对应的用户。
通过对身份验证规则加密,可以更进一步防止非法用户对合法用户报文的截取和识别。
所述验证规则发送单元具体可以用于将所述身份验证规则加密后发送给DHCP服务器,并由DHCP服务器放在ACK报文中返回给DHCP客户端。
通过由DHCP服务器转发身份验证规则可充份利用原有的DHCP协议完成身份验证初始阶段的信息传递,此外,通过DHCP服务器的转发,方便DHCP服务器和DHCP客户端进行双向认证。
所述身份验证单元M13与验证规则产生单元M11连接,用于根据所述身份验证规则对DHCP客户端对应的用户进行身份验证,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复对用户进行身份验证,否则禁止所述用户访问网络。
所述身份验证规则每一次都可以变化,可以按一定随机算法给出,这样可以避免被掌握规律,更好地防范非法用户。
进行身份验证之后,可以向用户发送响应报文,通知用户是否验证通过,如果验证通过,则报文中携带了下一次身份验证规则;也可以只有在身份验证通过之后才向用户发送响应报文,其中携带下一次身份验证规则,验证失败时不响应用户,这样可以防止非法用户对检测设备进行端口扫描等操作。
图9给出了本发明一种检测装置实施例二示意图,本实施例除了包括检测装置实施例一的结构特征外,所述身份验证单元M13包括侦听验证模块M131和判断执行模块M132;
所述身份验证规则可以包括:身份验证使用的通信协议、身份验证的时间窗口、接受身份验证的目的IP地址和通信协议指定的目的端口。
所述身份验证规则还可以包括:身份验证的源端口。
所述侦听验证模块M131用于在所述身份验证的时间窗口的时间段内,打开所述通信协议指定的目的端口进行侦听,在收到DHCP客户端对应的用户发来的身份验证信息后,对所述用户进行身份验证,在时间超过所述时间段后关闭侦听并结束通信;
所述判断执行模块M132与侦听验证模块M131连接,用于判断是否验证通过,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复对用户进行身份验证,否则禁止所述用户访问网络。
通过指定的通信协议、目的端口和时间窗口等,可以增加身份验证规则的随机性和隐蔽性,防止非法用户发现其规律,其次,只在较短的时间窗口内进行侦听,使得对应的检测装置不易受到扫描攻击。
图10给出了本发明一种检测装置实施例三示意图,本实施例除了包括检测装置实施例一的结构特征外,还包括验证结果通知单元M14,与身份验证单元M13连接,用于将验证结果通知DHCP服务器。
DHCP服务器收到验证结果后,可以根据验证结果进行后续操作。
本实施例除了可以在检测装置实施例一的基础上进行上述扩展外,还可以在检测装置实施例二的基础上进行上述扩展。
本发明实施例又提供了一种检测设备,图11给出了本发明一种检测设备实施例示意图,所述检测设备包括上述检测装置实施例一至实施例三的任一所述检测装置。
所述检测装置可以支持多种IP层以上协议,并能够使用这些协议传输信息,可以使用这些协议进行报文的侦听和回应。
所述检测装置可以支持多个IP地址,并定期进行变换,这样可以在设置下一次的身份验证规则时变换接受身份验证的IP地址,增加身份验证的随机性,更好地防范非法用户,这些IP地址必须是网络内路由可达的IP地址。
所述检测装置可以位于一个单独的设备上,也可以位于DHCP服务器设备上,或者与其它应用程序共用一台设备。所述检测设备可以为一台单独的仅用于检测的设备,也可以为DHCP服务器设备,或者是其它应用程序的相关设备。
检测设备可以部署于网络的汇聚或核心位置,在有防火墙的情况下,可以部署于防火墙的后方。
本发明实施例又提供了一种用户设备,图12给出了本发明一种用户设备实施例一示意图,所述用户设备包括地址获取单元M21和验证用户单元M22;
所述地址获取单元M21用于向DHCP服务器发出IP地址分配请求和接收DHCP服务器的IP地址分配响应;
所述验证用户单元M22,用于接收身份验证规则,并根据述所身份验证规则在检测装置上进行身份验证。
所述验证用户单元M22可以与地址获取单元M21连接。
所述身份验证规则可以包括:身份验证使用的通信协议、身份验证的时间窗口、检测装置接受身份验证的目的IP地址和通信协议指定的目的端口。
所述身份验证规则还可以包括:身份验证的源端口。
所述验证用户单元具体可以用于在所述身份验证的时间窗口的时间段内,以所述通信协议将用户的身份验证信息发送到所述目的IP地址的所述目的端口上。
图13给出了本发明一种用户设备实施例二示意图,本实施例除了包括用户设备实施例一的结构特征外,还可以包括服务器判断单元M23,与地址获取单元M21连接,用于在收到DHCP服务器发来的ACK报文后,解密报文中的身份验证规则,根据所述身份验证规则是否合法判断DHCP服务器是否合法。
此时检测装置将所述身份验证规则加密后发送给DHCP服务器,并由DHCP服务器放在ACK报文中返回给DHCP客户端。
DHCP客户端可以通过检查DHCP服务器发来的ACK报文中是否携带合法的身份验证规则,来判断DHCP服务器是否合法。由于放在ACK报文中的身份验证规则信息是加密的,因此非法的DHCP服务器无法提供这个信息,就容易被识别。
图14给出了本发明一种用户设备实施例三示意图,本实施例除了包括用户设备实施例二的结构特征外,还可以包括验证通过判断单元M24,与验证用户单元M22连接,用于判断是否在规定时间内收到下一次身份验证规则,如果是则判断申请IP地址成功,进行IP地址配置,否则重新发出IP地址分配请求。
本实施例除了可以在用户设备实施例二的基础上进行上述扩展外,还可以在用户设备实施例一的基础上进行上述扩展。
本发明实施例又提供了一种DHCP服务器,图15给出了本发明一种DHCP服务器实施例一示意图,所述DHCP服务器包括地址分配单元M31、验证规则请求单元M32和验证规则返回单元M33;
所述地址分配单元M31用于接收DHCP客户端的IP地址分配请求,进行IP地址分配,并向DHCP客户端发送IP地址分配响应;
所述验证规则请求单元M32与地址分配单元M31连接,用于根据用户的DHCP客户端发来的IP地址分配请求,向检测装置申请身份验证规则;
所述验证规则返回单元M33用于接收检测装置发来的身份验证规则,并将所述身份验证规则放在ACK报文中返回给DHCP客户端。
通过由DHCP服务器转发身份验证规则可充份利用原有的DHCP协议完成身份验证初始阶段的信息传递,此外,通过DHCP服务器的转发,方便DHCP服务器和DHCP客户端进行双向认证。
图16给出了本发明一种DHCP服务器实施例二示意图,本实施例除了包括DHCP服务器实施例一的结构特征外,还可以包括验证结果处理单元M34,用于接收检测装置发来的验证结果,并根据验证结果进行后续操作。
后续操作可以为:当验证结果为验证通过时,DHCP服务器与DHCP客户端之间进行正常的IP地址分配和维护的通信;而当验证结果为验证失败时,则DHCP服务器可以强行收回分配给DHCP客户端的IP地址。
DHCP服务器可以通过DHCP客户端是否按照指定的身份验证规则完成验证,来判断DHCP客户端的合法性。即使DHCP服务器提供的身份验证规则信息被非法用户截取了,但是由于非法用户无法破解这个加密信息,因此无法按规则完成验证,通过上述方式DHCP服务器可以判断DHCP客户端所在的用户设备的合法性。
本发明实施例再提供了一种安全的地址分配系统,图17给出了本发明一种安全的地址分配系统实施例示意图,所述系统包括上述检测设备、用户设备实施例一至实施例三的任一所述用户设备和DHCP服务器实施例一至实施例二的任一所述DHCP服务器。
所述系统除了包括检测设备、用户设备和DHCP服务器之外,还可以包括接入设备、汇聚设备和核心设备。
图18给出了本发明的一个较优实施例,具体步骤如下:
步骤101,用户设备访问网络,其上的DHCP客户端向DHCP服务器发出DISCOVER报文,请求分配IP地址;
步骤102,DHCP服务器接收到DISCPVER报文后,响应OFFER报文,向DHCP客户端提供IP地址配置信息;
步骤103,用户设备的DHCP客户端向DHCP服务器发出REQUEST报文,请求将分配的IP地址供所述用户设备使用;
步骤104,DHCP服务器根据客户端的请求,向检测装置申请一个身份验证规则;
步骤105,检测装置计算并提供出一个身份验证规则,包括(1)检测装置采用的IP地址,即接受身份验证的目的IP地址,(2)身份验证使用的通信协议,(3)通信协议指定的目的端口和源端口,(4)身份验证的时间窗口,并将这个身份验证规则加密后发送给DHCP服务器;
步骤106,DHCP服务器将加密后的身份验证规则信息,放在ACK报文的选项中,返回给DHCP客户端;
步骤107,用户设备的DHCP客户端收到ACK报文后,解密身份验证规则信息,如果没有发现选项中有合法的身份验证规则信息,则认为DHCP服务器非法,重复步骤101至步骤106重新申请IP地址配置信息;
步骤108,检测装置按照身份验证规则,在时间窗口所指定时间段内,在本装置上打开该通信协议针指定目的端口进行侦听,如果超过这个时间段则关闭侦听,结束通信;
步骤109,用户设备在时间窗口所指定的时间段内,以指定的通信协议、目的IP地址、目的端口和源端口,将加密的用户的身份验证信息,作为通信协议报文的数据,发送给检测装置;
步骤110,检测装置收到用户设备按身份验证规则发送的数据,对用户身份进行验证。如果验证通过,则DHCP客户端申请IP地址成功,允许该用户设备访问网络,否则验证失败,不允许该用户设备访问网络;
步骤111,检测装置将验证结果通知DHCP服务器,如果验证通过则计算下一次身份验证规则,并放在响应报文中返回给用户设备,然后结束本次通信;
步骤112,用户设备收到检测装置的响应报文并判断响应报文中有下一次身份验证规则后,即可认为申请IP地址成功,可以使用该IP地址配置,否则重复步骤101至步骤111,重新申请IP地址和进行身份验证;
步骤113,用户设备根据返回的新的身份验证规则,同检测装置在下一个时间段内重复步骤108至步骤112进行身份验证。
本发明实施例具有以下有益效果:
1.安全性高
本发明实施例可以利用常用的IP层以上协议,来传递加密的用户身份验证信息。由于IP层以上协议众多,协议类型、目的IP地址、目的端口、源端口都是可变的因子,在身份验证规则中加上这些信息就能保证规则具有足够的随机性,加上对进行身份验证的时间窗口限制,并且规则每次使用后都可以变化,消除了携带安全信息报文的外在网络特征,因此很难被非法用户截获分析和掌握其规律,也具有足够的隐蔽性。也就是说,相同的客户端和检测装置,每次通信的手段都是不同的。如果非法用户无法破解这个检测方法,也就无法盗用合法用户的身份信息。
2.双向DHCP认证机制
本发明实施例提供了一个DHCP服务器和DHCP客户端的双向认证机制,双方都可以检查对方的合法性,防止假冒的DHCP服务器和假冒的DHCP客户端。
DHCP客户端可以通过检查DHCP服务器发来的ACK报文中是否携带合法的身份验证规则,来判断DHCP服务器是否合法。由于放在ACK报文中的身份验证规则信息是加密的,因此非法的DHCP服务器无法提供这个信息,就容易被识别。
DHCP服务器可以通过DHCP客户端是否按照检测装置指定的身份验证规则完成与检测装置之间的验证,来判断DHCP客户端的合法性。即使DHCP服务器提供的身份验证规则信息被非法用户截取了,但是由于非法用户无法破解这个加密信息,因此无法按规则完成验证,通过上述方式DHCP服务器可以判断DHCP客户端所在的用户设备的合法性。此外,由于身份验证规则规定了验证的时间窗口,因此规则是有时效性的,即使能够破解加密信息,如果破解完成的时间已超时时间窗口规定的时间,也无法完成身份验证。
3.防止IP地址盗用
本发明实施例提供了一个防止窃听和盗用合法IP地址配置信息的方案,由于身份验证信息是以加密形式传输的,可以有效防止泄露。并且,每个身份验证规则只使用一次就作废,可以有效防止被截取重复使用。
本发明实施例提供了一个在线身份验证的机制,由本次身份验证时决定下一次身份验证的规则。这样,即使中间出现非法用户盗用IP地址的情况,非法用户在下一次进行身份验证时就不能通过,因此也不能继续使用盗用的身份,盗用的情况容易被发现。
4.防止物理入侵
本发明实施例可以有效防止采用中间人方式的入侵,由于用户设备和检测装置之间采用的通信IP地址、端口、通信协议每次都是不同的,并且有时间限制,非法用户即入侵者很难判断哪些是包含身份验证信息的报文,用于身份验证的协议与正常应用所使用的协议完全相同,并且检测设备的IP地址可以不断更换,非法用户很难掌握其规律并做有针对性的放行。这样,如果包含身份验证信息的报文被屏蔽,非法用户就无法窃取合法用户的身份。
如果非法用户采用不屏蔽合法用户的报文的方式,现有技术中的检测方式无法检查出来。即使合法用户下线,非法用户也可以在DHCP租期内继续使用这个IP地址。如果存在心跳检测的话,并且是有规律的,非法用户也可以伪造心跳报文,或者使用以前截取并存储的检测报文来欺骗服务器。而使用本发明实施例的方案,即使合法用户设备在线时无法查出“寄生”的非法用户设备,但是一旦合法用户下线,因为无法伪造验证报文,也无法继续使用以前的验证报文,该“寄生”的设备也无法继续使用原来的IP地址了。
5.抗攻击性强
检测设备自身可以不主动发出信息,而是根据身份验证规则,短时间内打开指定的侦听端口来接收身份验证的报文,在验证完毕后立即关闭,因此不易受到扫描攻击。检测设备可以拥有多个IP地址,并且定时地更新使用新的IP,因此也难以被发现和攻击。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (23)
1.一种安全的地址分配方法,其特征在于,所述方法包括:
步骤S1,根据用户的动态主机配置协议DHCP客户端向DHCP服务器发出的IP地址分配请求产生身份验证规则;
步骤S2,将所述身份验证规则返回给DHCP客户端对应的用户;
步骤S3,根据所述身份验证规则对DHCP客户端对应的用户进行身份验证,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复执行步骤S3,否则禁止所述用户访问网络。
2.根据权利要求1所述的方法,其特征在于,所述身份验证规则包括:身份验证使用的通信协议、身份验证的时间窗口、接受身份验证的目的IP地址和通信协议指定的目的端口。
3.根据权利要求2所述的方法,其特征在于,所述身份验证规则还包括:身份验证的源端口。
4.根据权利要求2或3所述的方法,其特征在于,步骤S3中所述根据所述身份验证规则对DHCP客户端对应的用户进行身份验证具体为:在所述身份验证的时间窗口的时间段内,打开所述通信协议指定的目的端口进行侦听,在收到DHCP客户端对应的用户发来的身份验证信息后,对所述用户进行身份验证,在时间超过所述时间段后关闭侦听并结束通信。
5.根据权利要求4所述的方法,其特征在于,还包括:所述DHCP客户端对应的用户在所述身份验证的时间窗口的时间段内,以所述通信协议将用户的身份验证信息发送到所述目的IP地址的所述目的端口上。
6.根据权利要求1-3所述的任一方法,其特征在于,所述步骤S2具体为:将所述身份验证规则加密后发送给DHCP服务器,并由DHCP服务器放在ACK报文中返回给DHCP客户端。
7.根据权利要求6所述的方法,其特征在于,所述步骤S2之后还包括:所述DHCP客户端对应的用户收到所述ACK报文后,解密所述身份验证规则,根据所述身份验证规则是否合法判断DHCP服务器是否合法。
8.根据权利要求1-3所述的任一方法,其特征在于,所述步骤S3之后还包括:将验证结果通知DHCP服务器,DHCP服务器根据验证结果进行后续操作。
9.根据权利要求1-3所述的任一方法,其特征在于,所述步骤S1具体为:根据DHCP服务器发来的DHCP客户端的IP地址分配请求信息,产生身份验证规则。
10.根据权利要求1-3所述的任一方法,其特征在于,所述步骤S3之后还包括:所述DHCP客户端对应的用户如果在规定时间内收到所述下一次身份验证规则,则判断申请IP地址成功,进行IP地址配置,否则重新发出IP地址分配请求。
11.一种检测装置,其特征在于,所述检测装置包括验证规则产生单元、验证规则发送单元和身份验证单元;
所述验证规则产生单元用于根据用户的DHCP客户端向DHCP服务器发出的IP地址分配请求产生身份验证规则;
所述验证规则发送单元与验证规则产生单元连接,用于将所述身份验证规则返回给DHCP客户端对应的用户;
所述身份验证单元与验证规则产生单元连接,用于根据所述身份验证规则对DHCP客户端对应的用户进行身份验证,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复对用户进行身份验证,否则禁止所述用户访问网络。
12.根据权利要求11所述的检测装置,其特征在于,所述身份验证单元包括侦听验证模块和判断执行模块;
所述身份验证规则包括:身份验证使用的通信协议、身份验证的时间窗口、接受身份验证的目的IP地址和通信协议指定的目的端口。
所述侦听验证模块用于在所述身份验证的时间窗口的时间段内,打开所述通信协议指定的目的端口进行侦听,在收到DHCP客户端对应的用户发来的身份验证信息后,对所述用户进行身份验证,在时间超过所述时间段后关闭侦听并结束通信;
所述判断执行模块与侦听验证模块连接,用于判断是否验证通过,如果验证通过,则允许所述用户访问网络,向用户返回下一次身份验证规则,并在规定时间内重复对用户进行身份验证,否则禁止所述用户访问网络。
13.根据权利要求11或12所述的检测装置,其特征在于,所述验证规则发送单元具体用于将所述身份验证规则加密后发送给DHCP服务器,并由DHCP服务器放在ACK报文中返回给DHCP客户端。
14.根据权利要求11或12所述的检测装置,其特征在于,还包括验证结果通知单元,与身份验证单元连接,用于将验证结果通知DHCP服务器。
15.根据权利要求11或12所述的检测装置,其特征在于,所述验证规则产生单元具体用于根据DHCP服务器发来的DHCP客户端的IP地址分配请求信息,产生身份验证规则。
16.一种包括权利要求11-15任一所述检测装置的检测设备。
17.一种用户设备,其特征在于,所述用户设备包括地址获取单元和验证用户单元;
所述地址获取单元用于向DHCP服务器发出IP地址分配请求和接收DHCP服务器的IP地址分配响应;
所述验证用户单元用于接收身份验证规则,并根据述所身份验证规则在检测装置上进行身份验证。
18.根据权利要求17所述的用户设备,其特征在于,
所述身份验证规则包括:身份验证使用的通信协议、身份验证的时间窗口、检测装置接受身份验证的目的IP地址和通信协议指定的目的端口。
所述验证用户单元具体用于在所述身份验证的时间窗口的时间段内,以所述通信协议将用户的身份验证信息发送到所述目的I P地址的所述目的端口上。
19.根据权利要求17或18所述的用户设备,其特征在于,还包括服务器判断单元,用于在收到DHCP服务器发来的ACK报文后,解密报文中的身份验证规则,根据所述身份验证规则是否合法判断DHCP服务器是否合法。
20.根据权利要求17或18所述的用户设备,其特征在于,还包括验证通过判断单元,用于判断是否在规定时间内收到下一次身份验证规则,如果是则判断申请IP地址成功,进行IP地址配置,否则重新发出IP地址分配请求。
21.一种DHCP服务器,其特征在于,所述DHCP服务器包括地址分配单元、验证规则请求单元和验证规则返回单元;
所述地址分配单元用于接收DHCP客户端的IP地址分配请求,进行IP地址分配,并向DHCP客户端发送IP地址分配响应;
所述验证规则请求单元与地址分配单元连接,用于根据用户的DHCP客户端发来的IP地址分配请求,向检测装置申请身份验证规则;
所述验证规则返回单元用于接收检测装置发来的身份验证规则,并将所述身份验证规则放在ACK报文中返回给DHCP客户端。
22.根据权利要求21所述的DHCP服务器,其特征在于,还包括验证结果处理单元,用于接收检测装置发来的验证结果,并根据验证结果进行后续操作。
23.一种安全的地址分配系统,其特征在于,所述系统包括权利要求16所述的检测设备、权利要求17-20任一所述用户设备、权利要求21-22任一所述DHCP服务器。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910244094A CN101715009A (zh) | 2009-12-28 | 2009-12-28 | 一种安全的地址分配方法、检测装置、设备和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN200910244094A CN101715009A (zh) | 2009-12-28 | 2009-12-28 | 一种安全的地址分配方法、检测装置、设备和系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101715009A true CN101715009A (zh) | 2010-05-26 |
Family
ID=42418284
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910244094A Pending CN101715009A (zh) | 2009-12-28 | 2009-12-28 | 一种安全的地址分配方法、检测装置、设备和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101715009A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102710810A (zh) * | 2012-06-11 | 2012-10-03 | 浙江宇视科技有限公司 | 一种自动分配ip地址的方法及一种中继设备 |
CN102970301A (zh) * | 2012-11-29 | 2013-03-13 | 无锡华御信息技术有限公司 | 一种基于dhcp的服务器以及终端准入控制方法及系统 |
CN103188257A (zh) * | 2011-12-28 | 2013-07-03 | 北京东土科技股份有限公司 | 一种实现dhcp客户端与服务器安全交互的装置 |
CN103873434A (zh) * | 2012-12-10 | 2014-06-18 | 台众计算机股份有限公司 | 用以认定网点的发生事件的方法 |
CN105262724A (zh) * | 2015-09-08 | 2016-01-20 | 上海上讯信息技术股份有限公司 | 一种用于身份验证的方法与设备 |
CN109413104A (zh) * | 2018-12-11 | 2019-03-01 | 中国电子科技网络信息安全有限公司 | 一种无状态tcp网络扫描方法 |
CN107493586B (zh) * | 2017-09-07 | 2020-09-11 | 深圳市兆驰数码科技股份有限公司 | 路由器wisp模式下信道自适应修改及断线重连方法 |
CN112328988A (zh) * | 2020-11-27 | 2021-02-05 | 四川长虹电器股份有限公司 | 身份验证信息的接口数据处理方法 |
CN112713991A (zh) * | 2020-12-09 | 2021-04-27 | 天地融科技股份有限公司 | 一种利用定时通讯保护密钥协商的安全通信方法及系统 |
CN113259505A (zh) * | 2021-06-30 | 2021-08-13 | 深圳供电局有限公司 | 一种便于主站网络动态ip地址自动分配系统 |
-
2009
- 2009-12-28 CN CN200910244094A patent/CN101715009A/zh active Pending
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103188257A (zh) * | 2011-12-28 | 2013-07-03 | 北京东土科技股份有限公司 | 一种实现dhcp客户端与服务器安全交互的装置 |
CN102710810A (zh) * | 2012-06-11 | 2012-10-03 | 浙江宇视科技有限公司 | 一种自动分配ip地址的方法及一种中继设备 |
CN102970301B (zh) * | 2012-11-29 | 2015-04-29 | 无锡华御信息技术有限公司 | 一种基于dhcp的服务器以及终端准入控制方法及系统 |
CN102970301A (zh) * | 2012-11-29 | 2013-03-13 | 无锡华御信息技术有限公司 | 一种基于dhcp的服务器以及终端准入控制方法及系统 |
CN103873434B (zh) * | 2012-12-10 | 2017-12-12 | 台众计算机股份有限公司 | 用以认定网点的发生事件的方法 |
CN103873434A (zh) * | 2012-12-10 | 2014-06-18 | 台众计算机股份有限公司 | 用以认定网点的发生事件的方法 |
CN105262724A (zh) * | 2015-09-08 | 2016-01-20 | 上海上讯信息技术股份有限公司 | 一种用于身份验证的方法与设备 |
CN105262724B (zh) * | 2015-09-08 | 2019-05-14 | 上海上讯信息技术股份有限公司 | 一种用于身份验证的方法与设备 |
CN107493586B (zh) * | 2017-09-07 | 2020-09-11 | 深圳市兆驰数码科技股份有限公司 | 路由器wisp模式下信道自适应修改及断线重连方法 |
CN109413104A (zh) * | 2018-12-11 | 2019-03-01 | 中国电子科技网络信息安全有限公司 | 一种无状态tcp网络扫描方法 |
CN112328988A (zh) * | 2020-11-27 | 2021-02-05 | 四川长虹电器股份有限公司 | 身份验证信息的接口数据处理方法 |
CN112713991A (zh) * | 2020-12-09 | 2021-04-27 | 天地融科技股份有限公司 | 一种利用定时通讯保护密钥协商的安全通信方法及系统 |
CN113259505A (zh) * | 2021-06-30 | 2021-08-13 | 深圳供电局有限公司 | 一种便于主站网络动态ip地址自动分配系统 |
CN113259505B (zh) * | 2021-06-30 | 2022-12-13 | 深圳供电局有限公司 | 一种便于主站网络动态ip地址自动分配系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101715009A (zh) | 一种安全的地址分配方法、检测装置、设备和系统 | |
CN101212297B (zh) | 基于web的wlan接入认证方法及系统 | |
US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
CA2422334C (en) | Authentication of network users | |
US20100217975A1 (en) | Method and system for secure online transactions with message-level validation | |
CN101150406B (zh) | 基于802.1x协议的网络设备认证方法及系统及相关装置 | |
CN104767731A (zh) | 一种Restful移动交易系统身份认证防护方法 | |
US20110078784A1 (en) | Vpn system and method of controlling operation of same | |
CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
WO2011037226A1 (ja) | アクセス制御システム、認証サーバシステムおよびアクセス制御プログラム | |
CN105721496A (zh) | 一种轻量级地址自动分配协议安全认证方法 | |
Hossain et al. | Survey of the Protection Mechanisms to the SSL-based Session Hijacking Attacks. | |
CN111935067A (zh) | 一种基于云计算技术的企业用户身份认证系统 | |
CN111818015A (zh) | 一种适用于远程节点访问的安全保护系统 | |
Mallik et al. | Understanding Man-in-the-middle-attack through Survey of Literature | |
CN100589384C (zh) | 一种用户终端接入软交换系统的安全交互方法 | |
CN102075567A (zh) | 认证方法、客户端、服务器、直通服务器及认证系统 | |
JP4768547B2 (ja) | 通信装置の認証システム | |
CN114338218A (zh) | PPPoE拨号的方法 | |
US10079857B2 (en) | Method of slowing down a communication in a network | |
Sharifi et al. | A zero knowledge password proof mutual authentication technique against real-time phishing attacks | |
WO2014073948A1 (en) | System and method for managing public network | |
EP2109284A1 (en) | Protection mechanism against denial-of-service attacks via traffic redirection | |
CN114567479B (zh) | 一种智能设备安全管控加固及监测预警方法 | |
WO2021229749A1 (ja) | Ip通信における認証方法および認証システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
DD01 | Delivery of document by public notice |
Addressee: Zhou Jian Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
C10 | Entry into substantive examination | ||
DD01 | Delivery of document by public notice |
Addressee: Zhou Jian Document name: Notification of Passing Examination on Formalities |
|
SE01 | Entry into force of request for substantive examination | ||
C12 | Rejection of a patent application after its publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100526 |