CN106330836B - 一种服务端对客户端的访问控制方法 - Google Patents
一种服务端对客户端的访问控制方法 Download PDFInfo
- Publication number
- CN106330836B CN106330836B CN201510376691.XA CN201510376691A CN106330836B CN 106330836 B CN106330836 B CN 106330836B CN 201510376691 A CN201510376691 A CN 201510376691A CN 106330836 B CN106330836 B CN 106330836B
- Authority
- CN
- China
- Prior art keywords
- address
- client
- public key
- mapping table
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Abstract
本发明涉及一种服务端对客户端的访问控制方法,包括:服务端接收客户端的访问请求;根据该客户端的IP查询预定的IP‑公钥映射表,如果该IP‑公钥映射表中存在对应该客户端的IP的记录,则根据该记录中的公钥查询预定的访问控制表以确定所请求表的表名是否是在允许的表名集合中,如果是则允许该访问请求,否则拒绝该访问请求。其中,当IP‑公钥映射表中没有对应该客户端的IP的记录,则根据该客户端提供的鉴权数据对该客户端执行鉴权处理,并且当鉴权通过时,在IP‑公钥映射表添加对应该客户端的IP的记录。
Description
技术领域
本公开涉及一种服务端对客户端的访问控制方法。
背景技术
传统数据库系统如Oracle、DB2、MySQL等中都有访问控制机制以保证系统的安全性。
HBase是一种面向列的分布式数据库。由于在大规模数据下仍能提供极好的读写性能,且易于水平扩展,已经被很多企业广泛使用,尤其是互联网企业。但是,HBase本身并没有提供权限控制机制,任何人只要知道HBase的连接信息,都可以不受限制地操作HBase中的表,这不利于HBase运维,也有很大安全隐患。
目前,为在一定程度上控制非法客户端访问HBase,降低安全风险或数据误操作风险,生产环境中一般采用以下两种技术手段:
(1)iptables:将已授权客户端的IP地址加入允许访问列表。比如允许某个业务系统运行IP地址为172.17.20.135和172.17.20.136,这样配置后,只有这两台服务器的IP信息包可通过iptables防火墙,其他IP地址的服务器请求被拦截,阻止恶意访问。
(2)Kerberos:通过这种身份认证服务控制对HBase的访问,只有通过身份认证的用户(主机)才能访问HBase集群中的数据。
现有技术存在缺点。采用iptables技术方案的缺点是增大了运维难度,一旦业务系统主机IP地址发生改变,都需要修改HBase集群所有服务器节点的限制列表,有些时候还容易遗漏过期业务系统IP地址。另外,没法对HBase中表数据授权访问,无法做到业务数据之间的隔离。而采用Kerberos的方式,虽然解决了客户端访问授权的问题,但是同样存在很多问题,除运维困难外,当集群需要扩容的时候也很麻烦,所有业务系统客户端还必须安装Kerberos客户端,要达到对HBase中表级别访问进行控制,配置使用方面也特别复杂。
发明内容
为此,本发明的目的是为HBase设计一种切实可行、方便灵活的权限控制方法,保证HBase表数据安全。
本发明针对现有技术方案的具体缺点,设计了一套应用于HBase的权限控制方法,有效解决客户端身份认证和资源访问授权难题,且该方法可插拔,部署和运维方便,同时对客户端使用侵入性极小。
根据本发明,提供一种服务端对客户端的访问控制方法,包括:所述服务端接收所述客户端的访问请求;根据该客户端的IP地址查询预定的IP地址-公钥映射表,如果该IP地址-公钥映射表中存在对应该客户端的IP地址的记录,则根据该记录中的公钥查询预定的访问控制表以确定所请求表的表名是否是在允许的表名集合中,如果是则允许该访问请求,否则拒绝该访问请求。其中,当所述IP地址-公钥映射表中没有对应该客户端的IP地址的记录,则根据该客户端提供的鉴权数据对该客户端执行鉴权处理,并且当鉴权通过时,在所述IP地址-公钥映射表添加对应该客户端的IP地址的记录。其中,所述鉴权数据包括对客户端预先分配的公钥和利用预定分配的私钥加密的IP地址。其中,所述访问控制表包括对各客户端分配的公钥、私钥和该客户端可访问的表名集合。
根据本发明的实施例,其中所述的鉴权处理包括如下步骤:根据所述鉴权数据中的公钥从访问控制表中获得对应的私钥;根据该私钥利用预定算法计算出加密后的IP地址;确定该计算的IP地址与所述客户端发送的加密的IP地址是否一致,当计算的IP地址与所述客户端发送的加密的IP地址相一致,则指示鉴权通过,当不一致,则鉴权不通过。
根据本发明的实施例,其中所述预定算法是BASE64。
根据本发明的优选实施例,其中所述IP地址-公钥映射表和所述访问控制表由协处理器维护。
根据本发明,其中所述访问控制表和所述IP地址-公钥映射表根据预定的规则来更新。
根据本发明的实施例,其中所述IP地址-公钥映射表的记录包含时间信息,所述更新包括,当所述IP地址-公钥映射表中一记录的时间信息指示了超过预设的时间段内该记录未被使用,则删除该记录。
根据本发明的优选实施例,其中所述方法用于HBase系统,所述HBase系统包括多个服务端节点,其中,在一服务端节点更新访问控制表和IP地址-公钥映射表的情况下,当其他服务端节点检测到上述更新时,相应地更新本地的访问控制表和IP地址-公钥映射表。
本发明的方法可用于HBase系统,针对当前HBase系统缺少对客户端的访问控制以及合理资源隔离的问题,设计了一套可插拔的权限控制方法。该方法对业务方代码改动极小,同时经过测试表明,引入权限控制后对原有操作性能影响很小。
附图说明
所附附图示出了本发明的优选实施方式,并且连同上述公开用于提供本发明的技术精神的进一步理解。因此,附图和相应的实施例仅用于示例发明,本发明不应解释为限于附图和具体实施例。其中
图1是实施根据本发明实施例的访问控制的基础环境;
图2是根据本发明实施例的身份认证应用的示意图;
图3是根据本发明实施例的鉴权流程的示意图。
具体实施方式
下文中,将参考所附附图具体描述本公开的优选实施方式。在描述之前,应当理解,说明书和权利要求中使用的术语不应当被理解为受限于一般的和字典的含义,而是应当基于发明人为了最好的阐释而允许适当地限定术语的原则,基于对应于本公开的技术领域的含义和概念进行解释。因此,本文中的描述内容只是用于说明目的的优选示例,而非限定本发明的范围。因此,应当理解,在不偏离本发明的精神和范围的情况下可以对其做出其他等同替换或修改。
HBase权限控制基础环境
在HBase集群系统中,客户端API操作主要涉及到两类接口:
(1)DDL接口,用于建表、删除表和修改表等,客户端通过DDL接口与HBase的HMaster后台进程交互,完成相应功能;
(2)DML接口,用于插入数据、删除数据、查询数据等,客户端通过DML接口与HBase的HRegionServer后台进程交互完成相应功能。
要实现对HBase操作权限的控制,只需控制DDL和DML这两类接口。
根据本发明的实施例,利用HBase的协处理器机制,在所有接口被服务端代码执行之前进行判断,确认是否具有权限。
根据本发明的实施例,实现两类协处理器,分别控制客户端DML操作和DDL操作,基本结构如图1所示。
见图1,HBase分布式数据库集群中的包括集群管理节点HMaster和多个数据存取节点HRegiongServer。作为示例,图1中示出4个数据存取节点HRegiongServer,但实际数目可根据不同的应用而改变。
客户端CLI和HBase集群的各节点HRegiongServer本身都会利用Zookeeper系统提供的分布式协调服务。
根据本发明,在集群管理节点HMaster建立协处理器部分AclMast erObserver,在各个数据存取节点HRegiongServer建立协处理器部分Acl RegionObserver。
这样,当在各节点执行数据操作时,如创建表、删除表、写(put)记录,读(get)记录或扫描(scan)表,要先进行权限过滤,即验证请求执行数据操作的客户端是否具有相应的权限。权限验证成功则可以继续执行对应的操作,不成功则拒绝继续对应的操作。
根据本发明的实施例,协处理器AclMasterObserver继承BaseMaste rObserver,主要用于控制DDL操作。在所有HBaseAdmin API接口前都添加相应的权限检查逻辑。
考虑到实际情况,通常,仅给予管理员建表等操作的权限。这样可简化权限检查逻辑,同时实际生产环境这样做也是很有必要的,防止业务方随意建表及操作HBase集群等。
根据本发明的实施例,协处理器AclRegionObserver继承BaseRegio nObserver,主要控制DML操作。在HTable API接口前添加相应的权限检查逻辑。只有通过授权的业务系统才能访问指定表。
根据本发明的实施例,用于权限控制的权限信息需保持到Zookee per权限节点/hbase/acl的watcher,便于保证权限信息一致性。
根据本发明,提供一种对业务系统的合法身份进行认证以及如何设置权限信息的方法。
图2示出了根据本发明实施例的身份认证应用的示意图。
根据本发明,预先针对每个业务方生成密钥对<accessKey,secre tKey>,并分配给该业务方,同时把密钥对的信息存入访问控制表。这里accessKey表示公钥,secretKey表示私钥。
访问控制表是预先在HBase集群中创建的一个数据表,由HBase运维人员创建和维护。访问控制表中保存了手动生成好的密钥对信息,也保存了分配了该公钥和密钥的业务方所能操作的表名集合。
业务方启动鉴权过程,首先通过向服务端提供(put)鉴权数据,其中包括该业务方的公钥和利用私钥加密的该业务方的IP地址。当通过了服务端的鉴权之后,该业务方才可进行后续的访问请求操作。
访问控制表_ACL_的具体结构如下面的表1所示。
表1_ACL_
另外,还建立IP地址-公钥映射表,具体结构如下面的表2所示。
表2_ACL_IDX_
访问控制表采用HBase表的一般结构,其中包含主键RowKey,以及列簇ColumnFamily:f。
主键是accessKey,表示分配给各业务方的公钥。
列簇可以包含若干个子列,这里是Tables和secretKey,分别表示业务方可操作的表清单和该业务方的私钥。子列名由创建表的时候指定,或者在插入数据的时候指定。HBase检查到如果没有该子列就自动创建。
访问控制表_ACL_表的每个记录包括:业务方的公钥(作为主键)、对应的私钥和该业务方可操作的表的表名列表。即访问控制表_ACL_表的每个记录表示了分配给业务方的密钥对和该业务方可操作的表清单的映射关系。
业务方能操作的表的表名列表以JSON格式表示。
IP地址-公钥映射表_ACL_IDX_的每个记录包括两个数据项:业务方的服务器IP地址(作为主键),和该业务方的公钥。即IP地址-公钥映射表_ACL_IDX_的每个记录表示业务方的IP地址和该业务方的公钥之间的映射关系。
当一个业务方通过了鉴权验证,则相应地在该IP地址-公钥映射表_ACL_IDX_中具有一个记录,表示该业务方的IP地址和该业务方的公钥之间的映射关系。在该业务方后续进行访问请求时,可以不必再提供鉴权数据。HBase系统接收到来自业务方的请求,先查询该映射表_ACL_IDX_,查看是否已经存在该业务方的IP地址对应公钥的映射,如果存在,说明权限已经验证通过。然后根据公钥(accessKey)去_ACL_表中查询可以操作的表名集合,如果请求操作的表在集合里面,则允许操作,否则拒绝操作。
根据本发明的实施例,访问控制表_ACL_表及IP地址-公钥映射表_ACL_IDX_的建立过程可放到某个协处理器初始化部分的代码中。
根据本发明的优选实施例,为保证性能,分别对应于上述两个表_ACL_IDX_和_ACL_,在每个协处理器内部都维持两个内存映射表:一个存放IP地址-公钥关系,表示某个业务方IP地址通过认证;另一个存放公钥-表名集合关系,表示该业务方IP地址可操作哪些表。
根据本发明的实施例,上述两个内存映射表(map)可采用LRUMap方式,通过淘汰机制防止长期未使用的权限信息一直占用HBase节点内存。
根据本发明的实施例,编写好的两个协处理器逻辑及附属代码打包成jar文件,放入Hbase集群每个节点安装目录的lib文件夹中,同时在conf/hbase-site.xml中配置hbase.coprocessor.region.classes登记AclRegionObserver,以及配置hbase.coprocessor.master.classes登记AclMasterObserver。
鉴权(身份认证)流程
业务方客户端启动后,首先需要进行鉴权。图3示出根据本发明实施例的鉴权流程的示意图。
客户端提供鉴权数据给服务端。鉴权数据包括accessKey和使用sercretKey加密后的IP地址以及明文IP地址。也可以不提供明文IP地址,因明文IP地址也可以通过请求的连接地址获取得到。
根据本发明的实施例,上述的加密采用BASE64加密算法对请求方的IP地址进行加密。
当服务端的RegiongServer接收到鉴权请求,交由协处理器AclRegi onObserver处理。AclRegionObserver根据鉴权数据中的accessKey从访问控制表_ACL_中查找SecretKey,再根据该SecretKey利用BASE64算法计算出一个加密后的IP地址,然后确定该计算的IP地址与客户端发送的加密的IP地址是否一致。
当计算的IP地址与客户端发送的加密的IP地址相一致,则指示鉴权通过,并且相应地在IP地址-公钥映射表_ACL_IDX_中添加相应的记录,表示该业务方的IP地址和该业务方的公钥之间的映射关系,并且向该客户端返回鉴权通过的响应。
当计算的IP地址与客户端发送的加密的IP地址不一致,则指示鉴权不通过,不允许该客户端的访问,例如返回AclDeniedException。
当针对该客户端的鉴权过程完成后,该客户端再次访问服务端时,便可不用提供鉴权参数,而直接对某个表进行操作。
相应地,在服务端接收到客户端的访问请求时,AclRegionObserver首先根据该客户端的IP地址查询IP地址-公钥映射表,如果该映射表中有对应该客户端IP地址的映射记录,则表明该客户端已经通过鉴权,然后根据相应的公钥(accessKey)查询访问控制表(accessKey-表名集合映射表或_ACL_表),判断所请求的表是否是在允许的表名集合中。如果是则允许该访问请求,即执行指定操作并向返回客户端查询结果,如果不是则拒绝该访问请求。
如果映射表中没有相应的记录,则需要鉴权处理,即服务端根据客户端提供的包括accessKey和利用secretKey加密的IP地址的鉴权数据查询访问控制表中是否存在accessKey对应的记录,如果有则使用对应的secretKey进行加密获得加密后的IP地址,如果所得到的IP地址和该客户端发送的加密的IP地址相同,则权限通过,并且将客户端的IP地址和对应的accessKey插入到映射表中。
权限修改流程
在实际应用中,需要根据预定的规则对权限控制数据进行更新,例如,权限数据中结合时间戳,系统管理员定期进行检查,把那些长期未使用的权限数据确定为失效数据并删除,或者系统管理员重新确定某个客户端可访问的表集合。
例如,根据本发明的实施例,IP地址-公钥映射表中的记录包含时间信息,并且当所述IP地址-公钥映射表中一记录的时间信息指示了超过预设的时间段内该记录未被使用,则删除该记录。
由于HBase是分布式系统,要控制权限就必须处理好权限更新所带来的一致性问题,否则将给鉴权及权限控制带来很大困难。
根据本发明的实施例,权限更新过程依赖于每个节点的AclRegion Observer中的watcher。当更改指定业务方(accessKey)的权限时,需要及时清除相关节点accessKey-表名集合映射中失效数据。而权限更新操作都是HBase管理员通过AclMasterObserver控制的。
通常,只有系统管理员有权限来更新访问控制数据。
根据本发明的实施例,当AclRegionObserver接收到访问控制数据更新的请求,判断该请求是否来自系统管理员。
当确定该请求不是来自系统管理员,则拒绝该请求。
当确定请求是来自系统管理员,则更新指定的Zookeeper节点中的访问控制表_ACL_和IP地址-公钥映射表。
其他节点中的watcher检测到上述权限更新时,相应地更新本地权限数据,并删除内存中有关的权限数据。
尽管本发明是以有限数量的实施例并结合附图在上文描述的,但是本发明不限于此,应当理解,本领域技术人员可以在本发明的技术精神和权利要求的等同形式的范围内做出各种修改和改变。
Claims (7)
1.一种服务端对客户端的访问控制方法,包括:
所述服务端接收所述客户端的访问请求;
根据该客户端的IP地址查询预定的IP地址-公钥映射表,如果该IP地址-公钥映射表中存在对应该客户端的IP地址的记录,则根据该记录中的公钥查询预定的访问控制表以确定所请求表的表名是否是在允许的表名集合中,如果是则允许该访问请求,否则拒绝该访问请求;
其中,当所述IP地址-公钥映射表中没有对应该客户端的IP地址的记录,则根据该客户端提供的鉴权数据对该客户端执行鉴权处理,并且当鉴权通过时,在所述IP地址-公钥映射表添加对应该客户端的IP地址的记录,
其中,所述鉴权数据包括对客户端预先分配的公钥和利用预定分配的私钥加密的IP地址,
其中,所述访问控制表包括对各客户端分配的公钥、私钥和该客户端可访问的表名集合。
2.根据权利要求1所述的方法,其中所述的鉴权处理包括如下步骤:
根据所述鉴权数据中的公钥从访问控制表中获得对应的私钥;
根据该私钥利用预定算法计算出加密后的IP地址;
确定该计算的IP地址与所述客户端发送的加密的IP地址是否一致,当计算的IP地址与所述客户端发送的加密的IP地址相一致,则指示鉴权通过,当不一致,则鉴权不通过。
3.根据权利要求2所述的方法,其中所述预定算法是BASE64。
4.根据权利要求1所述的方法,其中所述IP地址-公钥映射表和所述访问控制表由协处理器维护。
5.根据权利要求1所述的方法,其中所述访问控制表和所述IP地址-公钥映射表根据预定的规则来更新。
6.根据权利要求5所述的方法,其中所述IP地址-公钥映射表的记录包含时间信息,所述更新包括,当所述IP地址-公钥映射表中一记录的时间信息指示了超过预设的时间段内该记录未被使用,则删除该记录。
7.根据权利要求5所述的方法,其中所述方法用于HBase系统,所述HBase系统包括多个服务端节点,其中,在一服务端节点更新访问控制表和IP地址-公钥映射表的情况下,当其他服务端节点检测到上述更新时,相应地更新本地的访问控制表和IP地址-公钥映射表。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510376691.XA CN106330836B (zh) | 2015-07-01 | 2015-07-01 | 一种服务端对客户端的访问控制方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510376691.XA CN106330836B (zh) | 2015-07-01 | 2015-07-01 | 一种服务端对客户端的访问控制方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106330836A CN106330836A (zh) | 2017-01-11 |
| CN106330836B true CN106330836B (zh) | 2020-09-01 |
Family
ID=57726603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510376691.XA Active CN106330836B (zh) | 2015-07-01 | 2015-07-01 | 一种服务端对客户端的访问控制方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106330836B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109981677B (zh) * | 2019-04-08 | 2021-02-12 | 北京深思数盾科技股份有限公司 | 一种授信管理方法及装置 |
| CN110263553B (zh) * | 2019-05-13 | 2021-07-13 | 清华大学 | 基于公钥验证的数据库访问控制方法、装置及电子设备 |
| CN110888919B (zh) * | 2019-12-04 | 2023-06-30 | 阳光电源股份有限公司 | 基于HBase的对大数据统计分析的方法及装置 |
| CN111131324A (zh) * | 2019-12-31 | 2020-05-08 | 北京网众共创科技有限公司 | 业务系统的登陆方法及装置、存储介质、电子装置 |
| CN113591143A (zh) * | 2021-07-07 | 2021-11-02 | 四川新网银行股份有限公司 | 一种限制客户端IP读写HBase表的控制方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101674309B (zh) * | 2009-09-23 | 2012-05-09 | 中兴通讯股份有限公司 | 一种以太网接入的方法及装置 |
| CN102413105A (zh) * | 2010-09-25 | 2012-04-11 | 杭州华三通信技术有限公司 | 防范cc攻击的方法和装置 |
| CN102255916A (zh) * | 2011-07-26 | 2011-11-23 | 中国科学院计算机网络信息中心 | 接入认证方法、设备、服务器及系统 |
| US10642800B2 (en) * | 2013-10-25 | 2020-05-05 | Vmware, Inc. | Multi-tenant distributed computing and database |
-
2015
- 2015-07-01 CN CN201510376691.XA patent/CN106330836B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN106330836A (zh) | 2017-01-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2019236667B2 (en) | System and method for decentralized identity management, authentication and authorization of applications | |
| US10853805B2 (en) | Data processing system utilising distributed ledger technology | |
| US10367809B2 (en) | Device registration, authentication, and authorization system and method | |
| US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
| JP6675163B2 (ja) | 権限委譲システム、認可サーバの制御方法、認可サーバおよびプログラム | |
| CN106330836B (zh) | 一种服务端对客户端的访问控制方法 | |
| EP4002758A1 (en) | Security token validation | |
| EP3226506B1 (en) | Sophisitcated preparation of an authorization token | |
| US9729538B2 (en) | System, method and process for detecting advanced and targeted attacks with the recoupling of kerberos authentication and authorization | |
| US8739255B2 (en) | Replicating selected secrets to local domain controllers | |
| US10148637B2 (en) | Secure authentication to provide mobile access to shared network resources | |
| AU2020216787B2 (en) | API and encryption key secrets management system and method | |
| WO2021115231A1 (zh) | 一种鉴权方法和相关设备 | |
| US20210144138A1 (en) | Authority transfer system, server and method of controlling the server, and storage medium | |
| EP3373551A1 (en) | Access control in a computer system | |
| JP2010218264A (ja) | 情報処理システム、データベースアクセス方法、及び、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |