CN106330692A - 轻量级高性能虚拟专用网软件的设计和实现 - Google Patents

轻量级高性能虚拟专用网软件的设计和实现 Download PDF

Info

Publication number
CN106330692A
CN106330692A CN201610764552.9A CN201610764552A CN106330692A CN 106330692 A CN106330692 A CN 106330692A CN 201610764552 A CN201610764552 A CN 201610764552A CN 106330692 A CN106330692 A CN 106330692A
Authority
CN
China
Prior art keywords
message
key
session
secured
exchange
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610764552.9A
Other languages
English (en)
Other versions
CN106330692B (zh
Inventor
陈云川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xi'an Quanxiang Jingzao Construction Technology Co.,Ltd.
Original Assignee
Chengdu Extreme Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Extreme Network Technology Co Ltd filed Critical Chengdu Extreme Network Technology Co Ltd
Priority to CN201610764552.9A priority Critical patent/CN106330692B/zh
Publication of CN106330692A publication Critical patent/CN106330692A/zh
Application granted granted Critical
Publication of CN106330692B publication Critical patent/CN106330692B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种轻量级高性能虚拟专用网软件的设计和实现方法,该方法包括:发送节点I和接收节点R协商生成安全会话SA2,网络层代理网关X、Y作为中间节点与节点I和R共同协商生成安全会话SA1,将与代理网关X、Y相关的协商消息传输到无线链路中。本发明提出了一种轻量级高性能虚拟专用网软件的设计和实现方法,继承虚拟专用网的交换密钥的优点和安全性,适合无线链路特征,减少了数据运算量。

Description

轻量级高性能虚拟专用网软件的设计和实现
技术领域
本发明涉及虚拟专用网,特别涉及一种轻量级高性能虚拟专用网软件的设计和实现方法。
背景技术
TCP/IP技术应用于企业移动网络已成为当前企业移动网络的发展趋势。在企业移动网络中,由于高误码、长延迟、上下行链路不对称等特征使得网络传输性能低下。现有技术在无线链路之间部署网络层代理网关,实现增强的IP连接。而VPN技术对IP报文进行整体加密,只有通信双方可以解密数据。而在网络层代理网关中,需要单独读取头。因此这两种技术间存在严重冲突。此外,在密钥交换机制中,现有的方案没有考虑空间链路长延迟和高误码的特点,空间链路上的信息交互次数过多。
发明内容
为解决上述现有技术所存在的问题,本发明提出了一种轻量级高性能虚拟专用网软件的设计和实现方法,包括:
发送节点I和接收节点R协商生成安全会话SA2,网络层代理网关X、Y作为中间节点与节点I和R共同协商生成安全会话SA1,将与代理网关X、Y相关的协商消息传输到无线链路中。
优选地,所述生成安全会话包括初始化,首先分别在I和X、Y和R以及I和R之间建立起3个安全会话,同时I和R之间互相认证并分别对X、Y进行认证,最终得到的是多方共享的SA1以及I和R共享的SA2,SA1和SA2可用于保护会话以及创建子会话。
优选地,所述初始化进一步包括:
(1)待发送消息以R为目的地,X作为中间节点鉴别并读取该条消息,并向I发送一个应答消息;待发送消息和应答消息完成I和X之间加密算法协商、随机值交换,I对X身份认证以及相应密钥创建,在I和X间建立起了一个安全会话,该会话将为I和X的后续交换消息提供保护;
(2)R在收到发送的消息后,向Y发起交换请求,在Y和R间建立起安全会话,该会话将为R和Y的后续交换消息提供保护;中间节点通过使用Cookie交换机制来抵御DOS攻击;
(3)在R和Y间建立起安全会话后,R向I回复完成消息,该消息①发送安全会话报文、随机值和其他协商信息;②发起身份认证;③将Y和R协商生成的密钥元数据SK_dy共享给I;发送I的身份认证信息以及I和X协商生成的密钥元数据SK_dx,完成了I的身份认证和另一个密钥元数据的共享;至此,I和R之间协商建立起了SA1和SA2,并各自拥有了共享密钥元数据,生成相应的密钥对虚拟专用网的会话提供保护;
(4)I和R将协商完成的SA1、共享的密钥元数据SK_dy和SK_dx以及交换的随机数Ni、Nr分别发送给X,Y,该随机数是用于重复使用SK_dy和SK_dx来产生密钥;发送结束后,中间节点X和Y就拥有了安全会话SA1,并根据共享密钥元数据计算出相应的会话密钥;X和Y只要获取安全会话报文就可以识别受到相应会话保护的报文。
优选地,所述初始化过程之后还包括密钥创建,所述密钥创建遵从以下原则,即每个密钥都只用于一种场景;每一方对输入数据和输出数据使用的密钥是不同的,而发送方的输出数据和接收节点的输入数据使用的是相同的密钥;用SK表示的加密报文只有发送方和接收节点相同时,用于加密的SK才相同, 保证交换消息中的保密信息的安全性。
本发明相比现有技术,具有以下优点:
本发明提出了一种轻量级高性能虚拟专用网软件的设计和实现方法,继承虚拟专用网的交换密钥的优点和安全性,适合无线链路特征,减少了数据运算量。
附图说明
图1是根据本发明实施例的轻量级高性能虚拟专用网软件的设计和实现方法的流程图。
具体实施方式
下文与图示本发明原理的附图1起提供对本发明一个或者多个实施例的详细描述。结合这样的实施例描述本发明,但是本发明不限于任何实施例。本发明的范围仅由权利要求书限定,并且本发明涵盖诸多替代、修改和等同物。在下文描述中阐述诸多具体细节以便提供对本发明的透彻理解。出于示例的目的而提供这些细节,并且无这些具体细节中的一些或者所有细节也可以根据权利要求书实现本发明。
本发明的一方面提供了一种轻量级高性能虚拟专用网软件的设计和实现方法。图1是根据本发明实施例的轻量级高性能虚拟专用网软件的设计和实现方法流程图。
本发明提出一个能够实现多方密钥协商的轻量级企业移动网络多方认证方案。用I和R分别为通信的发送节点和接收节点,两者协商生成安全会话SA2,并得到一个双方会话密钥用于保护IP报文,X和Y是网络层代理网关,它们作为密钥交换的可信中间节点与I和R共同协商生成安全会话SA1,并得到一个多方会话密钥用于保护IP头。该方案的总体设计思路是将与X、Y相关的协商 消息传输到无线链路中,X、Y间共享信息的交换以I、R作为中间节点,通过I、R间的交换消息传输到各自链路,再发送给X、Y,这样就减少了在无线网络中的交换消息数目。
本发明的初始化过程首先分别在I和X、Y和R以及I和R之间建立起3个安全会话,同时I和R之间互相认证并分别对X、Y进行认证,最终得到的是多方共享的SA1以及I和R共享的SA2,SA1和SA2可用于保护会话以及创建子会话。初始化过程包括下述四个步骤。
(1)待发送消息以R为目的地,X作为中间节点鉴别并读取该条消息,并向I发送一个应答消息。待发送消息和应答消息完成I和X之间加密算法协商、随机值交换,I对X身份认证以及相应密钥创建的工作,在I和X间建立起了一个安全会话,该会话将为I和X的后续交换消息提供保护。
(2)R在收到发送的消息后,向Y发起交换请求,在Y和R间建立起安全会话,该会话将为R和Y的后续交换消息提供保护。中间节点通过使用Cookie交换机制来抵御DOS攻击。
(3)在R和Y间建立起安全会话后,R向I回复完成消息,该消息①发送安全会话报文、随机值和其他协商信息;②发起身份认证;③将Y和R协商生成的密钥元数据SK_dy共享给I。发送I的身份认证信息以及I和X协商生成的密钥元数据SK_dx,完成了I的身份认证和另一个密钥元数据的共享。至此,I和R之间协商建立起了SA1和SA2,并各自拥有了共享密钥元数据,已经可以生成相应的密钥对虚拟专用网的会话提供保护。
(4)I和R将协商完成的SA1、共享的密钥元数据SK_dy和SK_dx以及交换的随机数Ni、Nr分别发送给X,Y,该随机数是用于重复使用SK_dy和SK_dx来产生密钥;发送结束后,中间节点X和Y就拥有了安全会话SA1,并根据共 享密钥元数据计算出相应的会话密钥。X和Y只要获取安全会话报文就可以识别受到相应会话保护的报文。
在创建子会话时,同样需要协商生成两个新的子会话密钥。在初始化结束后,创建子会话可以由通信双方任意一方来发起。假设交换由I发起,将协商得到的新的子会话密钥和随机数发送给X和Y。
密钥创建遵从以下原则,即每个密钥都只用于一种场景。每一方对输入数据和输出数据使用的密钥是不同的,而发送方的输出数据和接收节点的输入数据使用的是相同的密钥。用SK表示的加密报文只有发送方和接收节点相同时,用于加密的SK才相同,保证交换消息中的保密信息的安全性。
在本发明的初始化中,会生成3个安全会话的密钥和两个子会话密钥。
I和R间的安全会话密钥创建方法如下所示:
{SK_d|SK_ai|SK_ar|SK_ei|SK_ex|SK_pi|SK_pr}=prf(prf(Ni,Nr),Ni|Nr|SPIi|SPIr)
其中,prf是用于生成密钥种子和密钥的散列函数,prf(A,B)的标识以A作为密钥,对数据B使用散列算法计算出散列值;SK_d作为密钥元数据用于生成相应子会话密钥,SK_ai和SK_ar用于作为验证I和R间后续交换的完整性验证;SK_ei和SK_er用于I和R间的身份认证报文AUTH的生成;SK_ei和SK_er用于I和R间后续交换消息的加解密。
Y和R间的安全会话密钥创建方法如下所示:
{SK_dy|SK_ay|SK_er|SK_ey|SK_py}
=prf(prf(Ni,Nr),Ni|Ny|SPIr|SPIy)
其中,SK_dy作为密钥元数据用于生成多方会话密钥,SK_ay和SK_py分别用于Y的消息完整性验证和身份认证;SK_er和SK_ey用于R和Y间后续交 换消息的加解密,Ny为Y产生的随机数。
I和R间的子会话密钥的密钥元数据的生成方法如下:
prf(SK_d,Ni|Nr)
其中,SK_d是由I和R的安全会话协商后生成的。上式中生成的密钥元数据可以根据子会话密钥的需要使用prf函数扩展到所需要的长度,根据规定的顺序截取各个所需要的密钥;截取密钥的顺序如下,首先截取从发送节点到接收节点方向的所有会话对应的所有密钥,再截取从接收节点到发送节点方向的所有会话对应的所有密钥。如果子会话密钥协商了多个VPN协议,则按照在受保护的封装报文中安全协议头出现的顺序截取密钥。如果一个协议同时需要加密密钥和认证密钥,那么先截取加密密钥再截取认证密钥。这就实现了不同方向VPN会话使用不同密钥的机制。
每个安全会话都具有各自的生命周期,一旦生命周期结束,安全会话就失效。VPN的通信双方协商建立新的安全会话;生命周期结束的一方主动向对方发起新的安全会话。生成密钥的方式不变。
综上所述,本发明提出了一种轻量级高性能虚拟专用网软件的设计和实现方法,继承虚拟专用网的交换密钥的优点和安全性,适合无线链路特征,减少了数据运算量。
显然,本领域的技术人员应该理解,上述的本发明的各模块或各步骤可以用通用的计算系统来实现,它们可以集中在单个的计算系统上,或者分布在多个计算系统所组成的网络上,可选地,它们可以用计算系统可执行的程序代码来实现,从而,可以将它们存储在存储系统中由计算系统来执行。这样,本发明不限制于任何特定的硬件和软件结合。
应当理解的是,本发明的上述具体实施方式仅仅用于示例性说明或解释本 发明的原理,而不构成对本发明的限制。因此,在不偏离本发明的精神和范围的情况下所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。此外,本发明所附权利要求旨在涵盖落入所附权利要求范围和边界、或者这种范围和边界的等同形式内的全部变化和修改例。

Claims (4)

1.一种轻量级高性能虚拟专用网软件的设计和实现方法,其特征在于,包括:
发送节点I和接收节点R协商生成安全会话SA2,网络层代理网关X、Y作为中间节点与节点I和R共同协商生成安全会话SA1,将与代理网关X、Y相关的协商消息传输到无线链路中。
2.根据权利要求1所述的方法,其特征在于,所述生成安全会话包括初始化,首先分别在I和X、Y和R以及I和R之间建立起3个安全会话,同时I和R之间互相认证并分别对X、Y进行认证,最终得到的是多方共享的SA1以及I和R共享的SA2,SA1和SA2可用于保护会话以及创建子会话。
3.根据权利要求2所述的方法,其特征在于,所述初始化进一步包括:
(1)待发送消息以R为目的地,X作为中间节点鉴别并读取该条消息,并向I发送一个应答消息;待发送消息和应答消息完成I和X之间加密算法协商、随机值交换,I对X身份认证以及相应密钥创建,在I和X间建立起了一个安全会话,该会话将为I和X的后续交换消息提供保护;
(2)R在收到发送的消息后,向Y发起交换请求,在Y和R间建立起安全会话,该会话将为R和Y的后续交换消息提供保护;中间节点通过使用Cookie交换机制来抵御DOS攻击;
(3)在R和Y间建立起安全会话后,R向I回复完成消息,该消息①发送安全会话报文、随机值和其他协商信息;②发起身份认证;③将Y和R协商生成的密钥元数据SK_dy共享给I;发送I的身份认证信息以及I和X协商生成的密钥元数据SK_dx,完成了I的身份认证和另一个密钥元数据的共享;至此,I和R之间协商建立起了SA1和SA2,并各自拥有了共享密钥元数据,生成相应的密钥对虚拟专用网的会话提供保护;
(4)I和R将协商完成的SA1、共享的密钥元数据SK_dy和SK_dx以及交换的随机数Ni、Nr分别发送给X,Y,该随机数是用于重复使用SK_dy和SK_dx来产生密钥;发送结束后,中间节点X和Y就拥有了安全会话SA1,并根据共享密钥元数据计算出相应的会话密钥;X和Y只要获取安全会话报文就可以识别受到相应会话保护的报文。
4.根据权利要求3所述的方法,其特征在于,所述初始化过程之后还包括密钥创建,所述密钥创建遵从以下原则,即每个密钥都只用于一种场景;每一方对输入数据和输出数据使用的密钥是不同的,而发送方的输出数据和接收节点的输入数据使用的是相同的密钥;用SK表示的加密报文只有发送方和接收节点相同时,用于加密的SK才相同,保证交换消息中的保密信息的安全性。
CN201610764552.9A 2016-08-30 2016-08-30 轻量级高性能虚拟专用网软件的设计和实现 Active CN106330692B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610764552.9A CN106330692B (zh) 2016-08-30 2016-08-30 轻量级高性能虚拟专用网软件的设计和实现

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610764552.9A CN106330692B (zh) 2016-08-30 2016-08-30 轻量级高性能虚拟专用网软件的设计和实现

Publications (2)

Publication Number Publication Date
CN106330692A true CN106330692A (zh) 2017-01-11
CN106330692B CN106330692B (zh) 2019-10-08

Family

ID=57789122

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610764552.9A Active CN106330692B (zh) 2016-08-30 2016-08-30 轻量级高性能虚拟专用网软件的设计和实现

Country Status (1)

Country Link
CN (1) CN106330692B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192834A1 (en) * 2006-01-11 2007-08-16 Samsung Electronics Co., Ltd. Security management method and apparatus in multimedia middleware, and storage medium therefor
CN101969414A (zh) * 2010-10-15 2011-02-09 北京交通大学 一种标识分离映射网络中IPSec网关自动发现的方法
CN102356621A (zh) * 2009-03-16 2012-02-15 法国电信教育集团/巴黎电信学院 一种产生安全数据的方法以及其对应装置和计算机程序
CN103888334A (zh) * 2012-12-20 2014-06-25 兴唐通信科技有限公司 IP分组网中VoIP多层加密方法及系统
CN104660603A (zh) * 2015-02-14 2015-05-27 山东量子科学技术研究院有限公司 IPSec VPN中扩展使用量子密钥的方法及系统

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070192834A1 (en) * 2006-01-11 2007-08-16 Samsung Electronics Co., Ltd. Security management method and apparatus in multimedia middleware, and storage medium therefor
CN102356621A (zh) * 2009-03-16 2012-02-15 法国电信教育集团/巴黎电信学院 一种产生安全数据的方法以及其对应装置和计算机程序
CN101969414A (zh) * 2010-10-15 2011-02-09 北京交通大学 一种标识分离映射网络中IPSec网关自动发现的方法
CN103888334A (zh) * 2012-12-20 2014-06-25 兴唐通信科技有限公司 IP分组网中VoIP多层加密方法及系统
CN104660603A (zh) * 2015-02-14 2015-05-27 山东量子科学技术研究院有限公司 IPSec VPN中扩展使用量子密钥的方法及系统

Also Published As

Publication number Publication date
CN106330692B (zh) 2019-10-08

Similar Documents

Publication Publication Date Title
US11038682B2 (en) Communication method, apparatus and system, electronic device, and computer readable storage medium
Agrawal et al. PASTA: password-based threshold authentication
EP2984782B1 (en) Method and system for accessing device by a user
Wang et al. SDN-based handover authentication scheme for mobile edge computing in cyber-physical systems
WO2018075965A1 (en) Dark virtual private networks and secure services
Tong et al. CCAP: a complete cross-domain authentication based on blockchain for Internet of Things
Maheshwari et al. Secure communication and firewall architecture for IoT applications
CN113364811A (zh) 基于ike协议的网络层安全防护系统及方法
Faisal et al. A secure architecture for TCP/UDP-based cloud communications
CN103716280B (zh) 数据传输方法、服务器及系统
Kumar et al. Design of secure session key using unique addressing and identification scheme for smart home Internet of Things network
Indushree et al. Mobile-Chain: Secure blockchain based decentralized authentication system for global roaming in mobility networks
Akram et al. Blockchain-based privacy-preserving authentication protocol for UAV networks
Braeken Device-to-device group authentication compatible with 5G AKA protocol
Hall-Andersen et al. nQUIC: Noise-based QUIC packet protection
Wang et al. T-IP: A self-trustworthy and secure Internet protocol
Bartlett et al. IKEv2 IPsec Virtual Private Networks: Understanding and Deploying IKEv2, IPsec VPNs, and FlexVPN in Cisco IOS
Thungon et al. A lightweight certificate-based authentication scheme for 6LoWPAN-based internet of things
Pimentel et al. OCP: A protocol for secure communication in federated content networks
Bala et al. Separate session key generation approach for network and application flows in LoRaWAN
CN106330692B (zh) 轻量级高性能虚拟专用网软件的设计和实现
Alhumrani et al. Cryptographic protocols for secure cloud computing
Prakasha et al. Enhanced authentication and key exchange for end to end security in mobile commerce using wireless public key infrastructure
Faisal et al. Graphene: a secure cloud communication architecture
Fuentes-Samaniego et al. An analysis of secure m2m communication in wsns using dtls

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
TA01 Transfer of patent application right

Effective date of registration: 20190911

Address after: 362100 Lancuo 182, Liandi Village, Baiqi Hui Township, Quanzhou Taiwanese Business Investment Zone, Quanzhou City, Fujian Province

Applicant after: Quanzhou investment from Taiwan area Yu Bao commerce and trade Co.,Ltd.

Address before: 610041 Sichuan Province, Chengdu hi tech Zone Tianfu street, No. 1, building 1, unit 14, layer 1403, No.

Applicant before: CHENGDU JIWAN NETWORK TECHNOLOGY CO.,LTD.

TA01 Transfer of patent application right
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: Design and implementation of light-weight high-performance virtual private network

Effective date of registration: 20200117

Granted publication date: 20191008

Pledgee: China Construction Bank Quanzhou Taishang investment zone sub branch

Pledgor: Quanzhou investment from Taiwan area Yu Bao commerce and trade Co.,Ltd.

Registration number: Y2020980000145

PE01 Entry into force of the registration of the contract for pledge of patent right
PC01 Cancellation of the registration of the contract for pledge of patent right

Date of cancellation: 20220606

Granted publication date: 20191008

Pledgee: China Construction Bank Quanzhou Taishang investment zone sub branch

Pledgor: Quanzhou investment from Taiwan area Yu Bao commerce and trade Co.,Ltd.

Registration number: Y2020980000145

PC01 Cancellation of the registration of the contract for pledge of patent right
TR01 Transfer of patent right

Effective date of registration: 20230504

Address after: Room 5-067, 1st Floor, Building 5, Fengdong Science and Technology Industrial Park, No. 106, West Section of Shihua Avenue, Fengdong New City, Xi'an City, Shaanxi Province, 710000

Patentee after: Xi'an Quanxiang Jingzao Construction Technology Co.,Ltd.

Address before: 182 aocuo, Liandai village, Baiqi Hui Township, Quanzhou Taiwan investment zone, Quanzhou City, Fujian Province, 362100

Patentee before: Quanzhou investment from Taiwan area Yu Bao commerce and trade Co.,Ltd.

TR01 Transfer of patent right