CN102315996B - 网络准入控制方法及系统 - Google Patents
网络准入控制方法及系统 Download PDFInfo
- Publication number
- CN102315996B CN102315996B CN201110323859.2A CN201110323859A CN102315996B CN 102315996 B CN102315996 B CN 102315996B CN 201110323859 A CN201110323859 A CN 201110323859A CN 102315996 B CN102315996 B CN 102315996B
- Authority
- CN
- China
- Prior art keywords
- packet
- module
- expansion
- main frame
- user side
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明公开了一种网络准入控制方法及系统,该方法包括:生成步骤S210:签名服务器为用户端主机生成数字签名证书;下发步骤|S220:将所述数字签名证书下发到所述用户端主机;以及扩展步骤S230:所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。根据本发明的基于数字签名的ARP扩展协议的网络准入控制方法及系统,可以无需改变或追加硬件就可以可靠地完成企业内部网络的准入控制。
Description
技术领域
本发明涉及一种基于数字签名的ARP扩展协议的网络准入控制方法及系统。
背景技术
随着互联网技术的发展,用户可通过各种接入技术,利用各种操作系统,从世界上的每个角落随时接入企业内部网络。对于试图接入到企业内部网络的可管理或不可管理的设备,网管人员根本无法在其接入网络前知晓它们的来源。面对手段高明的黑客入侵,用户设备很可能在不知不觉间被植入后门或感染致命的病毒。任何此类恶意应用都将威胁到企业的信息资产的安全,并对生产率产生严重影响,从而使企业付出惨重的代价。因此提供一套有效的网络准入控制方案变得十分重要。
目前,已经出现了几种网络准入控制解决方案,例如:802.1x协议技术、Cisco NAC技术等。
关于802.1x协议实现网络准入控制解决方案,IEEE802LAN/WAN委员会为解决无线局域网网络安全问题,提出了802.1x协议。后来,802.1x协议作为一个接入控制机制在以太网中被广泛应用,主要解决以太网内用户认证的问题。802.1x协议是一种基于端口的网络接入控制协议(Port Based Network Access Control)。“基于端口的网络接入控制”是指在局域网认证设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证,就可以访问局域网中的资源;如果不能通过认证,则无法访问局域网中的资源。
关于Cisco NAC实现网络准入控制解决方案,NAC(网络准入控制)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC,客户可以只允许合法的、值得信任的主机接入网络,而不允许其它设备接入。在初始阶段,当主机进入网络时,NAC能够帮助思科路由器实施访问权限控制。
上述网络准入控制技术基本上可以较好的完成对非授信主机的接入限制。但这些方法都和具体的硬件设备相绑定,需要企业采购新式的交换机或路由器。这在无形中,增加了企业的投入成本。我们需要一种纯软件的解决方案,使其不依赖于硬件,完成企业内部网络的准入控制。
发明内容
鉴于上述技术问题,本发明提供一种基于数字签名的ARP扩展协议的网络准入控制方法及系统,其通过纯软件的方法,完成企业内部网络的准入控制。
本发明所涉及的基于数字签名的ARP扩展协议的网络准入控制方法,包括以下步骤:签发步骤:签名服务器为用户端主机签发数字签名证书;下发步骤:将所述数字签名证书下发到所述用户端主机;以及扩展步骤:所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。
在上述的网络准入控制方法中,所述扩展步骤包括:生成步骤,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签名服务器签发的所述数字签名证书。
在上述的网络准入控制方法中,所述扩展步骤还包括数据包发送步骤,用于所述用户端主机发送数据包,所述数据包发送步骤包括:截获步骤,所述证书数据库截获待发送的ARP数据包;计算步骤,计算ARP数据包签名信息;填充步骤,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送步骤,发送所述扩展ARP数据包。
在上述的网络准入控制方法中,所述扩展步骤还包括数据包接收步骤,用于所述用户端主机接收数据包,所述数据包接收步骤包括:接收步骤,所述用户端主机接收ARP数据包;第一判断步骤,对接收到的ARP数据包,判断是否是扩展ARP数据包;验证步骤,当通过所述第一判断步骤中判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原步骤,当通过所述验证步骤验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;以及交付步骤,将所述标准ARP数据包交付给所述用户端主机。
在上述的网络准入控制方法中,所述数据包接收步骤还包括:丢弃步骤,当通过所述验证步骤验证为非法的数字签名时,丢弃所述扩展ARP数据包。
在上述的网络准入控制方法中,所述数据包接收步骤还包括:第二判断步骤,当通过所述第一判断步骤判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,进入所述交付步骤,否则进行丢弃。
本发明所涉及的基于数字签名的ARP扩展协议的网络准入控制系统,包括:签发模块:签名服务器为用户端主机签发数字签名证书;下发模块:将所述数字签名证书下发到所述用户端主机;以及扩展模块:所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。
在上述的网络准入控制系统中,所述扩展模块包括:生成模块,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签名服务器签发的所述数字签名证书。
在上述的网络准入控制系统中,所述扩展模块还包括数据包发送模块,用于所述用户端主机发送数据包,所述数据包发送模块包括:截获模块,所述证书数据库截获待发送的ARP数据包;计算模块,计算ARP数据包签名信息;填充模块,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送模块,发送所述扩展ARP数据包。
在上述的网络准入控制系统中,所述扩展模块还包括数据包接收模块,用于所述用户端主机接收数据包,所述数据包接收模块包括:接收模块,所述用户端主机接收ARP数据包;第一判断模块,对接收到的ARP数据包,判断是否是扩展ARP数据包;验证模块,当通过所述第一判断模块判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原模块,当通过所述验证模块验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;以及交付模块,将所述标准ARP数据包交付给所述用户端主机。
在上述的网络准入控制系统中,所述数据包接收模块还包括:丢弃模块,当通过所述验证模块验证为非法的数字签名时,丢弃所述扩展ARP数据包。
在上述的网络准入控制系统中,所述数据包接收模块还包括:第二判断模块,当通过所述第一判断模块判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,进入所述交付模块,否则进行丢弃。
根据本发明的基于数字签名的ARP扩展协议的网络准入控制方法及方法,可以无需改变或追加硬件就可以可靠地完成企业内部网络的准入控制。
附图说明
当结合附图考虑时,通过参照下面的详细描述,能够更完整更好地理解本发明以及容易得知其中许多伴随的优点,但此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定,其中:
图1是本发明应用部署示意图。
图2是网络准入控制方法的流程图。
图3是扩展ARP的报文格式。
图4是在网络准入控制方法中用户端主机的一例工作流程图。
图5是网络准入控制方法中的用户端主机的数据包发送步骤的流程图。
图6是网络准入控制方法中的用户端主机的数据包接收步骤的流程图。
图7是本发明的基于数字签名的ARP扩展协议的网络准入控制系统的功能框图。
图8是在网络准入控制系统中用户端主机的扩展模块的一例框图。
图9是数据包发送模块的功能框图。
图10是数据包接收模块的功能框图。
具体实施方式
图1是本发明应用部署示意图,如图1所示,本发明所涉及的网络准入控制系统包括:签名服务器100、接入网关200、路由器300和多台用户端主机400。
签名服务器100负责为用户端主机400生成数字证书,用户端主机400在网络通信建立初期(进行地址解析期间)使用服务器100签发的数字证书证明自己的身份。接入网关200是多个网络之间的连接器,不同协议之间的转换器。路由器300是一种转发网络数据包的网络设备。用户端主机400通过在用户端主机部署代理程序,来修改ARP地址解析协议的报文,为其添加数字签名,以在通信过程中证明主机的合法身份。
图2是网络准入控制方法的流程图。如图2所示,包括以下步骤:
签发步骤S210:签名服务器100为用户端主机400签发数字签名证书;
下发步骤S220:将数字签名证书下发到用户端主机400;
扩展步骤S230:用户端主机400使用数字签名证书扩展ARO协议进行网络通信。
图3是扩展ARP的报文格式。如图3所示,操作(扩展码):定义分组类型。ARP请求1,ARP应答2,扩展请求3,扩展应答4。
主机ID:内网主机唯一标识。
签名:对ARP协议数据单元做的签名,例如操作字段值为3或4时有效。
图4是在网络准入控制方法中用户端主机的一例工作流程图,如图4所示,用户端主机400安装有代理程序,通过执行代理程序,执行以下步骤:
生成步骤S410:所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签名服务器签发的所述数字签名证书。
数据包发送步骤S420:用于所述用户端主机发送数据包。负责存储、验证由签名服务器100签发的用户端主机的数字签名证书。
数据包接收步骤S430:用于所述用户端主机接收数据包。将接收到的ARP数据包交付给证书数据库进行验证,丢弃非法数据包,放行合法数据包。
图5是网络准入控制方法中的用户端主机的数据包发送步骤的流程图。如图5所示,数据包发送步骤包括:
截获步骤S510,所述证书数据库截获待发送的ARP数据包;
计算步骤S520,计算ARP数据包签名信息;
填充步骤S530,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及
发送步骤S540,发送所述扩展ARP数据包。
图6是网络准入控制方法中的用户端主机的数据包接收步骤的流程图。如图6所示,数据包接收步骤包括:
接收步骤S610,所述用户端主机接收ARP数据包;
第一判断步骤S620,对接收到的ARP数据包,判断是否是扩展ARP数据包;
第二判断步骤S630,当通过所述第一判断步骤判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,进入所述交付步骤,否则进行丢弃。
验证步骤S640,当通过所述第一判断步骤中判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;
还原步骤S650,当通过所述验证步骤验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;以及
交付步骤S660,将所述标准ARP数据包交付给所述用户端主机。
丢弃步骤S670,当通过所述验证步骤验证为非法的数字签名时,丢弃所述扩展ARP数据包。
图7是本发明的基于数字签名的ARP扩展协议的网络准入控制系统的整体功能框图。如图7所示,网络准入控制系统包括:签发模块710:签名服务器为用户端主机签发数字签名证书;下发模块720:将所述数字签名证书下发到所述用户端主机;以及扩展模块730:所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信。
图8是在网络准入控制系统中用户端主机的扩展模块的一例框图,如图8所示,用户端主机400安装有代理程序,通过执行代理程序,该扩展模块包括:生成模块810,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签名服务器签发的所述数字签名证书;数据包发送模块820:用于所述用户端主机发送数据包,负责存储、验证由签名服务器签发的用户端主机的数字签名证书;数据包接收模块830:用于所述用户端主机接收数据包,将接收到的ARP数据包交付给证书数据库进行验证,丢弃非法数据包,放行合法数据包。
图9是数据包发送模块的功能框图,如图9所示,所述数据包发送模块包括:截获模块910,所述证书数据库截获待发送的ARP数据包;计算模块920,计算ARP数据包签名信息;填充模块930,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及发送模块940,发送所述扩展ARP数据包。
图10是数据包接收模块的功能框图,如图10所示,数据包接收模块包括:接收模块1010,所述用户端主机接收ARP数据包;第一判断模块1020,对接收到的ARP数据包,判断是否是扩展ARP数据包;第二判断模块1030,当通过所述第一判断模块判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,进入交付块,否则进行丢弃验证模块1040,当通过所述第一判断模块判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;还原模块1050,当通过所述验证模块验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;交付模块1060,将所述标准ARP数据包交付给所述用户端主机;丢弃模块1070,当通过所述验证模块验证为非法的数字签名时,丢弃所述扩展ARP数据包。
在TCP/IP网络中,如果两台主机要通信,则必须知道彼此的MAC地址,ARP协议就是被设计用来获取主机MAC地址的。可见,ARP协议是网络通信的第一关,本发明通过扩展ARP协议来实现。
网络准入的根本是要知道接入到网络中的主机的身份是否为可信任的,如果是可信任的就允许接入,否则不允许接入。通过数字签名技术可以对授信主机进行有效的确认。
通过在授信主机上安装代理程序,修改主机通信协议栈的ARP协议部分,为ARP协议增加数字签名字段,这样就可以有效识别出授信主机与非授信主机的网络通信(非授信主机无数字签名信息或签名不合法),从而达到网络准入控制的目的。
如上所述,对本发明的实施例进行了详细地说明,但是只要实质上没有脱离本发明的发明点及效果可以有很多的变形,这对本领域的技术人员来说是显而易见的。因此,这样的变形例也全部包含在本发明的保护范围之内。
Claims (6)
1.一种基于数字签名的ARP扩展协议的网络准入控制方法,包括以下步骤:
签发步骤:签名服务器为用户端主机签发数字签名证书;
下发步骤:将所述数字签名证书下发到所述用户端主机;以及
扩展步骤:所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信,
其中,所述扩展步骤包括:
生成步骤,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签名服务器签发的所述数字签名证书;
数据包发送步骤,用于所述用户端主机发送数据包;以及
数据包接收步骤,用于所述用户端主机接收数据包,
其中,所述数据包发送步骤包括:
截获步骤,所述证书数据库截获待发送的ARP数据包;
计算步骤,计算ARP数据包签名信息;
填充步骤,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及
发送步骤,发送所述扩展ARP数据包,
所述数据包接收步骤包括:
接收步骤,所述用户端主机接收ARP数据包;
第一判断步骤,对接收到的ARP数据包,判断是否是扩展ARP数据包;
验证步骤,当通过所述第一判断步骤中判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;
还原步骤,当通过所述验证步骤验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;以及
交付步骤,将所述标准ARP数据包交付给所述用户端主机。
2.根据权利要求1所述的网络准入控制方法,其中,所述数据包接收步骤还包括:
丢弃步骤,当通过所述验证步骤验证为非法的数字签名时,丢弃所述扩展ARP数据包。
3.根据权利要求1所述的网络准入控制方法,其中,所述数据包接收步骤还包括:
第二判断步骤,当通过所述第一判断步骤判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,进入所述交付步骤,否则进行丢弃。
4.一种基于数字签名的ARP扩展协议的网络准入控制系统,包括:
签发模块:签名服务器为用户端主机签发数字签名证书;
下发模块:将所述数字签名证书下发到所述用户端主机;以及
扩展模块:所述用户端主机使用所述数字签名证书扩展ARP协议进行网络通信,
其中,所述扩展模块包括:
生成模块,所述用户端主机生成证书数据库,所述证书数据库用于存储、验证由所述签名服务器签发的所述数字签名证书;
数据包发送模块,用于所述用户端主机发送数据包;以及
数据包接收模块,用于所述用户端主机接收数据包,
其中,所述数据包发送模块包括:
截获模块,所述证书数据库截获待发送的ARP数据包;
计算模块,计算ARP数据包签名信息;
填充模块,当所述ARP数据包签名信息不是扩展ARP数据包时,填充扩展的主机和签名字段,获得扩展ARP数据包;以及
发送模块,发送所述扩展ARP数据包,
所述数据包接收模块包括:
接收模块,所述用户端主机接收ARP数据包;
第一判断模块,对接收到的ARP数据包,判断是否是扩展ARP数据包;
验证模块,当通过所述第一判断模块判断出是所述扩展ARP数据包时,由所述证书数据库对数字签名是否合法进行验证;
还原模块,当通过所述验证模块验证为合法的数字签名时,将所述扩展ARP数据包还原为标准ARP数据包;以及
交付模块,将所述标准ARP数据包交付给所述用户端主机。
5.根据权利要求4所述的网络准入控制系统,其中,所述数据包接收模块还包括:
丢弃模块,当通过所述验证模块验证为非法的数字签名时,丢弃所述扩展ARP数据包。
6.根据权利要求4所述的网络准入控制系统,其中,所述数据包接收模块还包括:
第二判断模块,当通过所述第一判断模块判断出所述ARP数据包不是扩展ARP数据包时,进一步判断所述ARP数据包是否是网关ARP数据包,当是网关ARP数据包时,交付给所述用户端主机,否则进行丢弃。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110323859.2A CN102315996B (zh) | 2011-10-21 | 2011-10-21 | 网络准入控制方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110323859.2A CN102315996B (zh) | 2011-10-21 | 2011-10-21 | 网络准入控制方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102315996A CN102315996A (zh) | 2012-01-11 |
| CN102315996B true CN102315996B (zh) | 2015-04-01 |
Family
ID=45428832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110323859.2A Expired - Fee Related CN102315996B (zh) | 2011-10-21 | 2011-10-21 | 网络准入控制方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102315996B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9203838B2 (en) * | 2012-10-31 | 2015-12-01 | Google Inc. | Providing network access to a device associated with a user account |
| US9634726B2 (en) | 2012-11-02 | 2017-04-25 | Google Inc. | Seamless tethering setup between phone and laptop using peer-to-peer mechanisms |
| US9980304B2 (en) | 2015-04-03 | 2018-05-22 | Google Llc | Adaptive on-demand tethering |
| CN106060087A (zh) * | 2016-07-26 | 2016-10-26 | 中国南方电网有限责任公司信息中心 | 一种多因素主机安全准入控制系统和方法 |
| CN111147259B (zh) * | 2019-12-26 | 2022-01-14 | 华为技术有限公司 | 鉴权方法和设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1476207A (zh) * | 2003-07-04 | 2004-02-18 | Ip专线计费方法及系统 | |
| CN101540679A (zh) * | 2009-04-30 | 2009-09-23 | 中兴通讯股份有限公司 | 获取无线局域网鉴别和保密基础结构证书的方法及系统 |
-
2011
- 2011-10-21 CN CN201110323859.2A patent/CN102315996B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1476207A (zh) * | 2003-07-04 | 2004-02-18 | Ip专线计费方法及系统 | |
| CN101540679A (zh) * | 2009-04-30 | 2009-09-23 | 中兴通讯股份有限公司 | 获取无线局域网鉴别和保密基础结构证书的方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 一种扩展的ARP协议设计;王小玲 等;《四川理工学院学报(自然科学版)》;20110430;第24卷(第2期);第178-181页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102315996A (zh) | 2012-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8886934B2 (en) | Authorizing physical access-links for secure network connections | |
| AlSa'deh et al. | Secure neighbor discovery: Review, challenges, perspectives, and recommendations | |
| CN100539501C (zh) | 基于域名的统一身份标识和认证方法 | |
| US7298847B2 (en) | Secure key distribution protocol in AAA for mobile IP | |
| US7647623B2 (en) | Application layer ingress filtering | |
| Wu et al. | A source address validation architecture (sava) testbed and deployment experience | |
| CN102315996B (zh) | 网络准入控制方法及系统 | |
| US20120072717A1 (en) | Dynamic identity authentication system | |
| EP3948613A1 (en) | Method, system and apparatuses of network device attestation | |
| WO2015174100A1 (ja) | パケット転送装置、パケット転送システム及びパケット転送方法 | |
| Aura et al. | Reducing reauthentication delay in wireless networks | |
| Jiang et al. | Secure DHCPv6 Using CGAs | |
| Dinu et al. | DHCP server authentication using digital certificates | |
| CN110392128A (zh) | 提供准无地址IPv6公开万维网服务的方法及系统 | |
| CN100512108C (zh) | 入网终端物理唯一性识别方法和终端接入认证系统 | |
| EP1370046A1 (en) | Method based on border gateway protocol message for controlling messages security protection | |
| Alsadeh et al. | Cryptographically Generated Addresses (CGAs): Possible attacks and proposed mitigation approaches | |
| WO2009043304A1 (fr) | Procédé, système, et dispositif permettant la vérification de la relation d'adresse de couche de lien de données et son correspondant de transmission | |
| CN111416824B (zh) | 一种网络接入认证控制系统 | |
| CN117014887A (zh) | 多因素可验证的低功耗蓝牙设备IPv6地址自动配置方法和系统 | |
| CN111490977A (zh) | 一种基于dag区块链的防arp欺骗攻击方法及平台端 | |
| JP2004194196A (ja) | パケット通信認証システム、通信制御装置及び通信端末 | |
| Ahmed et al. | IPv6 cryptographically generated address: Analysis, optimization and protection | |
| CN115801347A (zh) | 一种基于单包授权技术增强网络安全的方法和系统 | |
| CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20150401 Termination date: 20171021 |