CN106850549B - 一种分布式加密服务网关及实现方法 - Google Patents
一种分布式加密服务网关及实现方法 Download PDFInfo
- Publication number
- CN106850549B CN106850549B CN201611170421.4A CN201611170421A CN106850549B CN 106850549 B CN106850549 B CN 106850549B CN 201611170421 A CN201611170421 A CN 201611170421A CN 106850549 B CN106850549 B CN 106850549B
- Authority
- CN
- China
- Prior art keywords
- module
- service
- network
- application
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0654—Management of faults, events, alarms or notifications using network fault recovery
- H04L41/0663—Performing the actions predefined by failover planning, e.g. switching to standby network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/069—Management of faults, events, alarms or notifications using logs of notifications; Post-processing of notifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/12—Avoiding congestion; Recovering from congestion
- H04L47/125—Avoiding congestion; Recovering from congestion by balancing the load, e.g. traffic engineering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/104—Peer-to-peer [P2P] networks
- H04L67/1044—Group management mechanisms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Mathematical Physics (AREA)
- Physics & Mathematics (AREA)
- Human Computer Interaction (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种分布式加密服务网关及实现方法,该网关包括相同通讯的基础网络服务子系统、安全服务子系统、通讯服务子系统,基础网络服务子系统、安全服务子系统均通过通讯服务子系统与用户应用相通讯;该方法包括提供基础网关;在基础网关上配置基础网络服务子系统和通讯服务子系统;在基础网关上配置安全服务子系统即得到分布式加密服务网关,安全服务子系统通过远程访问的加密服务器集群为基础网关提供安全服务。本发明通过分布式的软硬件系统模块为用户应用提供安全服务、网络服务、应用服务器的可靠灵活性网关,本发明具备很高的冗余性和扩展性,可以满足大数据时代的互联网应用安全需求,为网络的安全使用和灵活控制提高了可靠的途经。
Description
技术领域
本发明涉及计算机网络和信息安全技术领域,特别涉及一种分布式加密服务网关及实现方法。
背景技术
随着计算机网络技术的发展,特别是大数据和云计算技术的快速发展,网络访问量和数据流量也相应快速增长,与此同时,面临的网络安全问题日益严重,传统的安全解决方案面临冲击,例如硬件安全模式不具备扩展能力而无法灵活适应云模式,本地网关加密技术在大数据环境下无法满足吞吐量的要求。总而言之,传统的解决方案已经难以同时兼顾安全性、部署和扩展灵活性及海量数据处理能力的要求。
现有专利CN201510133710.6公开的一种安全通信方法、网关、网络侧服务器及系统和现有专利CN201410005035.4公开的用于云存储服务的透明加密/解密网关,这两项专利中提供的安全功能是通过网关内部的软件来实现,而且只是在网关的控制软件内部加入一些加解密等安全逻辑,不具备应用接口和网络负载均衡控制等功能,这将无法满足系统对吞吐量和网络数据处理能力的需求;此外,现有专利CN201210060613.5公开的负载均衡方法及负载均衡装置和现有专利CN201010184118.6公开的负载均衡方法和负载均衡器,这两项专利均涉及传统的负载均衡实现方法的创新,但是其不涉及加解密等安全服务,导致安全系数较低,无法为用户提供安全服务网关,无法满足大数据时代的互联网应用安全需求。
同时,传统的安全解决方案需要应用开发者耗费大量的资源和精力在与自身核心业务逻辑无关的技术领域,导致应用开发成本高,开发周期长,同时为了加强网络数据处理能力,客户还需要耗费大量的资源和精力用于设备的管理、配置和维护,进一步提高了开发和运维成本,因此,急需开发一种能够为用户提供安全服务网关,具备安全服务功能、网络服务功能,且具备较高的冗余性和扩展性的分布式加密服务网关及实现方法。
发明内容
为了解决现有网关安全性较低,且无法满足系统对吞吐量和网络数据处理能力的需求,同时网关安全解决方案需要应用开发者耗费大量的资源和精力在与自身核心业务逻辑无关的技术领域,导致应用开发成本高,开发周期长等问题,本发明提供了一种高安全性、高可靠性、高部署灵活性,且可扩展的分布式加密服务网关及实现方法。
本发明具体技术方案如下:
本发明提供了一种分布式加密服务网关,包括相同通讯的基础网络服务子系统、安全服务子系统、通讯服务子系统,所述基础网络服务子系统、所述安全服务子系统均通过所述通讯服务子系统与用户应用相通讯,其中,
所述基础网络服务子系统用于提供基础的网络服务功能,并用于接收所述用户应用通过网络发送的安全服务请求,对所述安全服务请求进行过滤筛选,同时根据筛选通过的所述安全服务请求对网络资源进行负载均衡分配;
所述安全服务子系统用于将分配后的所述安全服务请求进行轮询处理生成指令信息,并将所述指令信息通过可远程访问的加密服务器集群进行响应处理并生成响应结果,同时将生成的响应结果进行解析;
所述通讯服务子系统用于负责各子系统之间通讯链路的建立和数据的透传,并用于将解析后的结果发送至所述用户应用。
进一步的,所述基础网络服务子系统包括相通讯的基础设施模块、控制模块、API接口模块、业务应用模块及接口服务模块;
所述基础设施模块用于负责基于网络数据的处理、转发和收集状态;所述控制模块用于管理网络中的所有设备,并虚拟整个网络资源,实现资源分配;所述API接口模块用于为所述用户应用提供调用接口;所述业务应用模块用于通过所述控制模块的API管理能力控制设备的报文转发功能,同时用于将网络的控制权开放给用户应用;所述接口服务模块用于通过所述控制模块为上层业务应用开放接口,同时使所述业务应用模块能够调用底层的网络资源和能力。
进一步的,所述基础设施模块包括流量监测单元、访问统计单元、负载计算单元、及内存监测单元,所述流量监测单元用于监测网络中所有设备的流量状况信息;所述访问统计单元用于统计网络中所有设备的实际在线人数和实际访问量;所述负载计算单元用于计算网络中所有设备正在处理的所述用户应用的数量和正在下载的数据量;所述内存监测单元用于监测网络中所有设备的内存使用信息和CPU使用信息。
进一步的,所述安全服务子系统包括相通讯的数据I/O模块、指令处理模块、加密服务器集群、安全服务接口模块,所述数据I/O模块用于接收分配后的所述安全服务请求,同时将所述安全服务请求放入请求队列,发送至所述指令处理模块;所述指令处理模块用于对所述安全服务请求进行轮询处理,同时生成指令信息,并将所述指令信息通过所述数据I/O模块发送至所述加密服务器集群,所述加密服务器集群用于对所述指令信息进行响应处理并生成响应结果,发送至所述指令处理模块,所述指令处理模块对所述响应结果进行解析,并将解析后的结果通过所述通讯服务子系统发送至所述用户应用;所述安全服务接口模块用于为所述业务应用模块提供安全服务功能。
进一步的,所述分布式加密服务系统还包括与所述基础网络服务子系统和所述安全服务子系统均相通讯的应用管理服务子系统,所述应用管理服务子系统包括相通讯的系统监测模块、日志服务模块、系统管理模块、策略管理模块、应用接口模块,所述系统监测模块用于对整个系统的运行状态进行监控,若出现影响系统正常运行的异常,则所述系统监测模块切换启用备份系统,若出现不影响系统正常运行的异常,则所述系统监测模块用于向所述日志服务模块发送记录日志的信息,同时以短信或邮件的形式通知系统管理员;所述日志服务模块用于对系统运行的日志进行记录,并能够提供日志的查询、导出;所述系统管理模块用于为用户提供对系统进行配置管理的操作界面;所述策略管理模块用于设定策略配置,所述策略配置包括判断系统异常状态阈值、分配加密服务器规则;所述应用接口模块用于提供与所述用户应用连接的应用接口。
优选的,所述应用管理服务子系统还包括加密服务器监测模块用于实时监控加密服务器集群中若干加密服务器的实时工作状态,实时工作状态包括连接状态、响应时间、设备日志;
优选的,所述加密服务器集群包括相通讯的加密服务器筛选单元、处理单元,所述加密服务器筛选单元接收所述应用管理服务子系统监控的加密服务器集群中若干加密服务器的实时工作状态,并根据所述实时工作状态筛选所述加密服务器;所述处理单元将筛选出的所述加密服务器对所述指令信息进行响应处理,并生成响应结果。
本发明还提供了一种分布式加密服务网关的实现方法,所述方法包括以下步骤:
S1、提供基础网关;
S2、在所述基础网关上配置基础网络服务子系统和通讯服务子系统;
S3、在所述基础网关上继续配置安全服务子系统即得到分布式加密服务网关,所述安全服务子系统通过远程访问的加密服务器集群为所述基础网关提供安全服务。
进一步的,步骤S2中,所述基础网络服务子系统包括相通讯的基础设施模块、控制模块、API接口模块、业务应用模块及接口服务模块;
所述基础设施模块用于负责基于网络数据的处理、转发和收集状态;所述控制模块用于管理网络中的所有设备,并虚拟整个网络资源,实现资源分配;所述API接口模块用于为所述用户应用提供调用接口;所述业务应用模块用于通过所述控制模块的API管理能力控制设备的报文转发功能,同时用于将网络的控制权开放给用户应用;所述接口服务模块用于通过所述控制模块为上层业务应用开放接口,同时使所述业务应用模块能够调用底层的网络资源和能力。
进一步的,步骤S3中,所述安全服务子系统包括相通讯的数据I/O模块、指令处理模块、加密服务器集群、安全服务接口模块,所述数据I/O模块用于接收分配后的所述安全服务请求,同时将所述安全服务请求放入请求队列,发送至所述指令处理模块;所述指令处理模块用于对所述安全服务请求进行轮询处理,同时生成指令信息,并将所述指令信息通过所述数据I/O模块发送至所述加密服务器集群,所述加密服务器集群用于对所述指令信息进行响应处理并生成响应结果,发送至所述指令处理模块,所述指令处理模块对所述响应结果进行解析,并将解析后的结果通过所述通讯服务子系统发送至所述用户应用;所述安全服务接口模块用于为所述业务应用模块提供安全服务功能。
进一步的,所述方法还包括:
S4、步骤S3中实现的分布式加密服务网关还配置有与所述基础网络服务子系统和所述安全服务子系统均相通讯的应用管理服务子系统;
所述应用管理服务子系统包括相通讯的系统监测模块、日志服务模块、系统管理模块、策略管理模块、应用接口模块,所述系统监测模块用于对整个系统的运行状态进行监控,若出现影响系统正常运行的异常,则所述系统监测模块切换启用备份系统,若出现不影响系统正常运行的异常,则所述系统监测模块用于向所述日志服务模块发送记录日志的信息,同时以短信或邮件的形式通知系统管理员;所述日志服务模块用于对系统运行的日志进行记录,并能够提供日志的查询、导出;所述系统管理模块用于为用户提供对系统进行配置管理的操作界面;所述策略管理模块用于设定策略配置,所述策略配置包括判断系统异常状态阈值、分配加密服务器规则;所述应用接口模块用于提供与所述用户应用连接的应用接口。
本发明的有益效果如下:本发明提供的分布式加密服务网关通过分布式方式集成的多种软硬件模块和加密服务器集群为用户应用提供安全服务、网络服务、应用服务器的可靠灵活性网关,其具有很高的冗余性和扩展性,能够满足系统吞吐量和处理能力高速增长的需求;此外,本发明使用加密机集群为网关提供安全服务,网关系统内部整合了负载均衡等网络服务,提供软件形态的应用服务,使得用户无需自己处理安全和网络服务等逻辑,只需要专注自身的业务应用,解决目前应用开发周期长,成本高的问题,此外,本发明提供的网关的实现方法比较简单,便于设置和实施,可以有效满足大数据时代的互联网应用安全需求,为网络的安全使用和灵活控制提高了可靠的途经。
附图说明
图1为实施例1所述的一种分布式加密服务网关的结构示意图;
图2为实施例2所述的一种分布式加密服务网关中基础网络服务子系统的结构框图;
图3为实施例2所述的一种分布式加密服务网关中基础设施模块的结构框图;
图4为实施例3所述的一种分布式加密服务网关中安全服务子系统的结构示意图;
图5为实施例4所述的一种分布式加密服务网关的结构示意图;
图6为实施例4所述的一种分布式加密服务网关中应用管理服务子系统的结构框图;
图7为实施例4所述的一种分布式加密服务网关中加密服务器集群的结构框图;
图8为实施例5所述的一种分布式加密服务网关的实现方法的流程图。
其中:1、基础网络服务子系统;101、基础设施模块;1011、流量监测单元;1012、访问统计单元;1013、负载计算单元;1014、内存监测单元;102、控制模块;103、API接口模块;104、业务应用模块;105、接口服务模块;2、安全服务子系统;201、数据I/O模块;202、指令处理模块;203、加密服务器集群;2031、加密服务器筛选单元;2032、处理单元;204、安全服务接口模块;3、通讯服务子系统;4、应用管理服务子系统;401、系统监测模块;402、日志服务模块;403、系统管理模块;404、策略管理模块;405、应用接口模块;406、加密服务器监测模块。
具体实施方式
下面结合附图和以下实施例对本发明作进一步详细说明。
实施例1
如图1所示,本发明实施例1提供了一种分布式加密服务网关,包括相同通讯的基础网络服务子系统1、安全服务子系统2、通讯服务子系统3,所述基础网络服务子系统1、所述安全服务子系统2均通过所述通讯服务子系统3与用户应用相通讯,其中,
所述基础网络服务子系统1用于提供基础的网络服务功能,并用于接收所述用户应用通过网络发送的安全服务请求,对所述安全服务请求进行过滤筛选,同时根据筛选通过的所述安全服务请求对网络资源进行负载均衡分配。
实际使用时,基础网络服务子系统1用于将传统网络的控制平面与数据转发平面进行分离,通过集中的控制器中的软件平台去实现可编程化控制底层硬件,实现对网络资源灵活的按需调配,基础网络服务子系统1为系统提供基础的网络服务功能。
所述安全服务子系统2用于将分配后的所述安全服务请求进行轮询处理生成指令信息,并将所述指令信息通过可远程访问的加密服务器集群203进行响应处理并生成响应结果,同时将生成的响应结果进行解析;安全服务子系统2通过可远程访问的加密服务器集群203,为加密服务系统提供高可靠性的安全功能,如加解密服务等。
所述通讯服务子系统3用于负责各子系统之间通讯链路的建立和数据的透传,并用于将解析后的结果发送至所述用户应用。通讯服务子系统3用于建立网络服务子系统、安全服务子系统2之间的通讯链路,各个模块之间可以通过通讯服务子系统3进行数据的交互。同时,也可以根据策略配置选择通过安全服务子系统为通讯服务子系统3的通讯链路提供硬件级别的加密保护。
本发明提供的整个安全服务网关以分布式形式整合了处理安全业务逻辑、网络服务相关的软硬件以及其它辅助功能模块,以一个可以无缝接入用户系统的“盒子”形式提供加解密等安全服务以服务的形式提供给用户,具备很高的部署灵活性。
将可远程访问的加密服务器集群203作为安全服务系统的一个分布式模块,为安全业务逻辑提供高可靠的硬件级别的安全保障,其安全级别远高于现有的采用软件加解密的安全网关。此外,对加密服务器集群203的访问操作都在安全服务系统内部实现,其安全业务逻辑在系统内部根据配置策略在系统内自动为用户应用添加处理,用户无需关心其处理逻辑,同时系统内部集成了运行实时监控、备份切换等模块,具备了很高的冗余度。
通过集中的软件控制器实现网络资源的统一管理、整合以及虚拟化后,采用规范化的接口为上层应用提供按需的网络资源及服务,实现网络能力开放,按需提供,可通过扩展增强系统吞吐量。
在本发明为用户应用提供了可靠的安全服务网关,用户应用在开发时只需要关心具体的业务逻辑,不需要关心与其核心业务逻辑无关的流程处理,例如加解密、负载均衡等安全服务,用户应用通过外部的接口调用连接加密服务网关,通过加密服务网关获取相应的安全服务。
本发明提供的分布式加密服务网关在具体使用时,能够实现加密服务的方法包括以下步骤:
首先当用户应用需要安全服务时,用户应用通过网络向系统发送请求,此时系统开始运行,具体方法为:
提供一个加密服务系统即网关,加密服务系统接入网络,用户应用通过B/S方式或者C/S方式,使用外部的应用接口与系统连接,通过通讯链路向系统发送安全服务请求;
S1、接收用户应用通过网络发送的安全服务请求;
S2、对所述安全服务请求进行过滤筛选,例如限流处理、隔离非法请求等;
S3、根据筛选通过的所述安全服务请求对网络资源进行负载均衡分配;
S4、将分配后的所述安全服务请求放入请求队列,并对所述安全服务请求进行轮询处理,同时生成指令信息;
S5、将步骤S4中生成的所述指令信息通过加密服务器集群203进行响应处理并生成响应结果,通过可远程访问的加密服务器集群203完成诸如数据加解密,数字签名,身份验证等功能;
S6、对步骤S5中生成的响应结果进行解析,并将解析后的结果发送至所述用户应用。
实施例2
如图2所示,本发明在实施例1的基础上进一步限定了所述基础网络服务子系统1包括相通讯的基础设施模块101、控制模块102、API接口模块103、业务应用模块104及接口服务模块105;
所述基础设施模块101用于负责基于网络数据的处理、转发和收集状态,所述基础设施模块101还用于采集网络设备的状态信息,所述网络设备优选为若干网络服务器,所述状态信息包括运行数据和性能数据,所述运行数据包括流量状况信息、实际在线人数、和/或正在处理的所述用户应用的数量、和/或正在下载的数据量、和/或实际访问量,所述性能数据包括内存使用信息、CPU使用信息;所述控制模块102用于管理网络中的所有设备,并虚拟整个网络资源,实现资源分配,所述控制子模块还用于根据采集的所述网络设备的状态信息和所述安全服务请求对所述网络设备提供的网络资源进行均衡分配;所述API接口模块103用于为所述用户应用提供调用接口;所述业务应用模块104用于通过所述控制模块102的API管理能力控制设备的报文转发功能,同时用于将网络的控制权开放给用户应用;所述接口服务模块105用于通过所述控制模块102为上层业务应用开放接口,同时使所述业务应用模块104能够调用底层的网络资源和能力。
如图3所示,需要进一步阐述的是,所述基础设施模块101包括流量监测单元1011、访问统计单元1012、负载计算单元1013、及内存监测单元1014,所述流量监测单元1011用于监测网络中所有设备的流量状况信息;所述访问统计单元1012用于统计网络中所有设备的实际在线人数和实际访问量;所述负载计算单元1013用于计算网络中所有设备正在处理的所述用户应用的数量和正在下载的数据量;所述内存监测单元1014用于监测网络中所有设备的内存使用信息和CPU使用信息。
基础网络服务子系统1的控制模块102通过基础设施模块101上述的各个单元检测的状态信息和用户应用的安全服务请求全局化合理分配网络资源,平衡节点负载,实现整体动态平衡。
优选的,所述基础网络服务子系统1还包括过滤模块,所述过滤模块用于对所述安全服务请求进行过滤筛选,判断所述安全服务请求是否为拦截请求;若是,则拦截所述安全服务请求。
在具体应用时,对所述安全服务请求进行过滤筛选,筛选方法包括:根据访问控制规则和安全管理规则使用边界防护防火墙对所述安全服务请求进行过滤筛选,判断所述安全服务请求是否为拦截请求;若是,则拦截所述安全服务请求;其中,所述访问控制规则包括访问黑名单信息,所述安全管理规则包括请求报文格式、请求过滤规则及防火墙端口设置条件。
优选的,判断所述用户应用发送的所述安全服务请求是否为拦截用户应用的步骤包括:
①、获取所述用户应用开启的进程;
②、加载预设的黑名单进程列表和白名单进程列表;
③、判断所述进程是否存在于所述黑名单进程列表或所述白名单进程列表中,若所述黑名单进程列表中存在所述进程时,则判定所述用户应用为拦截用户应用,若所述白名单进程列表中存在所述进程时,则判定该用户应用发送的安全服务请求不为拦截请求。
实施例3
如图4所示,本发明实施例3在实施例1的基础上进一步限定了所述安全服务子系统2包括相通讯的数据I/O模块201、指令处理模块202、加密服务器集群203、安全服务接口模块204,所述数据I/O模块201用于接收分配后的所述安全服务请求,同时将所述安全服务请求放入请求队列,发送至所述指令处理模块202;所述指令处理模块202用于对所述安全服务请求进行轮询处理,同时生成指令信息,并将所述指令信息通过所述数据I/O模块201发送至所述加密服务器集群203,所述加密服务器集群203用于对所述指令信息进行响应处理并生成响应结果,发送至所述指令处理模块202,所述指令处理模块202对所述响应结果进行解析,并将解析后的结果通过所述通讯服务子系统3发送至所述用户应用;所述安全服务接口模块204用于为所述业务应用模块104提供安全服务功能。
在具体应用时,对所述安全服务请求进行轮询处理的方法包括:
S4-1:将对所述安全服务请求进行解析处理。
S4-2:添加预设的安全业务逻辑信息,安全业务逻辑信息为系统预设信息,可以根据用户需求变化而修改安全业务逻辑,根据用户应用类型,系统内部根据预设为用户应用添加安全业务逻辑,比如用户应用需要进行数据对称加密,由系统内部为用户应用实现数据对称加密的业务逻辑,在此过程中,系统自动完成,用户应用不需要进行相应的操作。
S4-3:将解析后的所述安全服务请求与所述安全业务逻辑信息进行封装,并生成封装后的指令信息。指令信息内包含有安全服务请求及指令,所述的指令包括加密指令或解密指令,加密服务器集群203根据指令信息内指令对安全服务请求进行处理。
实施例4
如图5和6所示,本发明实施例4在实施例5的基础上进一步限定了所述分布式加密服务系统还包括与所述基础网络服务子系统1和所述安全服务子系统2均相通讯的应用管理服务子系统4,所述应用管理服务子系统4包括相通讯的系统监测模块401、日志服务模块402、系统管理模块403、策略管理模块404、应用接口模块405,所述系统监测模块401用于对整个系统的运行状态进行监控,若出现影响系统正常运行的异常,则所述系统监测模块401切换启用备份系统,若出现不影响系统正常运行的异常,则所述系统监测模块401用于向所述日志服务模块402发送记录日志的信息,同时以短信或邮件的形式通知系统管理员;所述日志服务模块402用于对系统运行的日志进行记录,并能够提供日志的查询、导出;所述系统管理模块403用于为用户提供对系统进行配置管理的操作界面;所述策略管理模块404用于设定策略配置,所述策略配置包括判断系统异常状态阈值、分配加密服务器规则;所述应用接口模块405用于提供与所述用户应用连接的应用接口。
应用管理服务子系统4为加密服务系统的运行提供管理环境,同时为用户应用与加密服务系统的对接提供了途经。应用管理服务子系统4完全可以根据用户的需求进行定制。
应用管理服务子系统4对系统的运行情况进行实时监测,并根据监测自动采用相应的措施,同时对日志进行记录。
优选的,所述应用管理服务子系统4还包括加密服务器监测模块406用于实时监控加密服务器集群203中若干加密服务器的实时工作状态,实时工作状态包括连接状态、响应时间、设备日志;
如图7所示,优选的,所述加密服务器集群203包括相通讯的加密服务器筛选单元2031、处理单元2032,所述加密服务器筛选单元2031接收所述应用管理服务子系统4监控的加密服务器集群203中若干加密服务器的实时工作状态,并根据所述实时工作状态筛选所述加密服务器;所述处理单元2032将筛选出的所述加密服务器对所述指令信息进行响应处理,并生成响应结果。
在具体应用时,生成的所述指令信息通过加密服务器集群203进行响应处理的方法包括:
S5-1:实时监控加密服务器集群203中若干加密服务器的实时工作状态,实时工作状态包括连接状态、响应时间、设备日志;
S5-2:根据所述实时工作状态筛选所述加密服务器;
S5-3:将筛选出的所述加密服务器对所述指令信息进行响应处理,并生成响应结果。
优选的,根据所述实时工作状态筛选所述加密服务器的方法包括:
根据监控的所述实时工作状态,优先选择当前连接数较少、响应时间较短或设备日志监控正常的所述加密服务器。
加密服务器内内置有若干指令集,根据收到的指令信息进行处理,比如收到一个指令信息是对指令信息中包含的数据进行加密操作,加密服务器就对指令中的数据进行加密处理,生成密文数据。响应结果就是指令的处理结果,生成的密文数据即为响应结果,加密后的密文数据发送给用户应用即可。
实施例5
如图8所示,本发明还提供了一种分布式加密服务网关的实现方法,所述方法包括以下步骤:
S1、提供基础网关;
S2、在所述基础网关上配置基础网络服务子系统1和通讯服务子系统3;
S3、在所述基础网关上继续配置安全服务子系统2即得到分布式加密服务网关,所述安全服务子系统2通过远程访问的加密服务器集群203为所述基础网关提供安全服务。
通过集中的软件控制器实现网络资源的统一管理、整合以及虚拟化后,采用规范化的接口为上层应用提供按需的网络资源及服务,实现网络能力开放,按需提供,可通过扩展增强系统吞吐量。
该分布式加密服务系统核心的加密服务器集群203以及其他软硬件模块,也可按需进行扩展,以增强安全服务的处理能力。
与现有技术相比,本发明提供的网关能够提供负载均衡等网络服务,有效提高网络吞吐量和处理能力,此外,本发明采用加密服务器集群203进行加解密,安全级别较高,此外,本发明通过可扩展的应用服务与用户应用对接,使得用户不必关心该如何处理安全业务及网络传输等环节,可使用户专注于其核心业务逻辑,如需保证敏感数据的安全只需要调用本发明提供的系统即可,大大节省了用户开发应用的时间,降低了应用开发成本和运维成本,此外,该方法采用分布式方式,具备较高的部署灵活性,无论是网络吞吐量还是处理能力的需求增长,均可通过系统内核心的加密服务器集群203和其它软硬件模块的扩展来满足,具备高度的扩展性,非常适应大数据时代的互联网应用安全需求。
实施例6
本发明在实施例5的基础上,进一步限定了步骤S2中,所述基础网络服务子系统1包括相通讯的基础设施模块101、控制模块102、API接口模块103、业务应用模块104及接口服务模块105;
所述基础设施模块101用于负责基于网络数据的处理、转发和收集状态;所述控制模块102用于管理网络中的所有设备,并虚拟整个网络资源,实现资源分配;所述API接口模块103用于为所述用户应用提供调用接口;所述业务应用模块104用于通过所述控制模块102的API管理能力控制设备的报文转发功能,同时用于将网络的控制权开放给用户应用;所述接口服务模块105用于通过所述控制模块102为上层业务应用开放接口,同时使所述业务应用模块104能够调用底层的网络资源和能力。
安全服务网关自身的网络安全防护手段主要依靠基础网络服务子系统1提供,包括基础设施模块101的内外层隔离和安全防护;控制模块102的授权访问控制,实时监控及防护策略;业务应用模块104的安全服务准入规则和可扩展的软件编程接口;以上手段有效兼顾了系统的安全性和扩展性。
需要进一步说明的是,步骤S3中,所述安全服务子系统2包括相通讯的数据I/O模块201、指令处理模块202、加密服务器集群203、安全服务接口模块204,所述数据I/O模块201用于接收分配后的所述安全服务请求,同时将所述安全服务请求放入请求队列,发送至所述指令处理模块202;所述指令处理模块202用于对所述安全服务请求进行轮询处理,同时生成指令信息,并将所述指令信息通过所述数据I/O模块201发送至所述加密服务器集群203,所述加密服务器集群203用于对所述指令信息进行响应处理并生成响应结果,发送至所述指令处理模块202,所述指令处理模块202对所述响应结果进行解析,并将解析后的结果通过所述通讯服务子系统3发送至所述用户应用;所述安全服务接口模块204用于为所述业务应用模块104提供安全服务功能。
为了实现对网关的实时监测和管理,本发明提供的实现安全服务网关的方法还包括:
S4、步骤S3中实现的分布式加密服务网关还配置有与所述基础网络服务子系统1和所述安全服务子系统2均相通讯的应用管理服务子系统4。
所述应用管理服务子系统4包括相通讯的系统监测模块401、日志服务模块402、系统管理模块403、策略管理模块404、应用接口模块405,所述系统监测模块401用于对整个系统的运行状态进行监控,若出现影响系统正常运行的异常,则所述系统监测模块401切换启用备份系统,若出现不影响系统正常运行的异常,则所述系统监测模块401用于向所述日志服务模块402发送记录日志的信息,同时以短信或邮件的形式通知系统管理员;所述日志服务模块402用于对系统运行的日志进行记录,并能够提供日志的查询、导出;所述系统管理模块403用于为用户提供对系统进行配置管理的操作界面;所述策略管理模块404用于设定策略配置,所述策略配置包括判断系统异常状态阈值、分配加密服务器规则;所述应用接口模块405用于提供与所述用户应用连接的应用接口。
本发明不局限于上述最佳实施方式,任何人在本发明的启示下都可得出其他各种形式的产品,但不论在其形状或结构上作任何变化,凡是具有与本申请相同或相近似的技术方案,均落在本发明的保护范围之内。
Claims (8)
1.一种分布式加密服务网关,其特征在于,包括相同通讯的基础网络服务子系统(1)、安全服务子系统(2)、通讯服务子系统(3),所述基础网络服务子系统(1)、所述安全服务子系统(2)均通过所述通讯服务子系统(3)与用户应用相通讯,其中,
所述基础网络服务子系统(1)用于提供基础的网络服务功能,并用于接收所述用户应用通过网络发送的安全服务请求,对所述安全服务请求进行过滤筛选,同时根据筛选通过的所述安全服务请求对网络资源进行负载均衡分配;
所述安全服务子系统(2)用于将分配后的所述安全服务请求进行轮询处理生成指令信息,并将所述指令信息通过可远程访问的加密服务器集群(203)进行响应处理并生成响应结果,同时将生成的响应结果进行解析;
所述通讯服务子系统(3)用于负责各子系统之间通讯链路的建立和数据的透传,并用于将解析后的结果发送至所述用户应用;
所述安全服务子系统(2)包括相通讯的数据I/O模块(201)、指令处理模块(202)、加密服务器集群(203)、安全服务接口模块(204),所述数据I/O模块(201)用于接收分配后的所述安全服务请求,同时将所述安全服务请求放入请求队列,发送至所述指令处理模块(202);所述指令处理模块(202)用于对所述安全服务请求进行轮询处理,同时生成指令信息,并将所述指令信息通过所述数据I/O模块(201)发送至所述加密服务器集群(203),所述加密服务器集群(203)用于对所述指令信息进行响应处理并生成响应结果,发送至所述指令处理模块(202),所述指令处理模块(202)对所述响应结果进行解析,并将解析后的结果通过所述通讯服务子系统(3)发送至所述用户应用;所述安全服务接口模块(204)用于为业务应用模块(104)提供安全服务功能。
2.如权利要求1所述的分布式加密服务网关,其特征在于,所述基础网络服务子系统(1)包括相通讯的基础设施模块(101)、控制模块(102)、API接口模块(103)、业务应用模块(104)及接口服务模块(105);
所述基础设施模块(101)用于负责基于网络数据的处理、转发和收集状态;所述控制模块(102)用于管理网络中的所有设备,并虚拟整个网络资源,实现资源分配;所述API接口模块(103)用于为所述用户应用提供调用接口;所述业务应用模块(104)用于通过所述控制模块(102)的API管理能力控制设备的报文转发功能,同时用于将网络的控制权开放给用户应用;所述接口服务模块(105)用于通过所述控制模块(102)为上层业务应用开放接口,同时使所述业务应用模块(104)能够调用底层的网络资源和能力。
3.如权利要求2所述的分布式加密服务网关,其特征在于,所述基础设施模块(101)包括流量监测单元(1011)、访问统计单元(1012)、负载计算单元(1013)、及内存监测单元(1014),所述流量监测单元(1011)用于监测网络中所有设备的流量状况信息;所述访问统计单元(1012)用于统计网络中所有设备的实际在线人数和实际访问量;所述负载计算单元(1013)用于计算网络中所有设备正在处理的所述用户应用的数量和正在下载的数据量;所述内存监测单元(1014)用于监测网络中所有设备的内存使用信息和CPU使用信息。
4.如权利要求1所述的分布式加密服务网关,其特征在于,分布式加密服务系统还包括与所述基础网络服务子系统(1)和所述安全服务子系统(2)均相通讯的应用管理服务子系统(4),所述应用管理服务子系统(4)包括相通讯的系统监测模块(401)、日志服务模块(402)、系统管理模块(403)、策略管理模块(404)、应用接口模块(405),所述系统监测模块(401)用于对整个系统的运行状态进行监控,若出现影响系统正常运行的异常,则所述系统监测模块(401)切换启用备份系统,若出现不影响系统正常运行的异常,则所述系统监测模块(401)用于向所述日志服务模块(402)发送记录日志的信息,同时以短信或邮件的形式通知系统管理员;所述日志服务模块(402)用于对系统运行的日志进行记录,并能够提供日志的查询、导出;所述系统管理模块(403)用于为用户提供对系统进行配置管理的操作界面;所述策略管理模块(404)用于设定策略配置,所述策略配置包括判断系统异常状态阈值、分配加密服务器规则;所述应用接口模块(405)用于提供与所述用户应用连接的应用接口。
5.如权利要求4所述的分布式加密服务网关,其特征在于,所述应用管理服务子系统(4)还包括加密服务器监测模块(406)用于实时监控加密服务器集群(203)中若干加密服务器的实时工作状态,实时工作状态包括连接状态、响应时间、设备日志;
所述加密服务器集群(203)包括相通讯的加密服务器筛选单元(2031)、处理单元(2032),所述加密服务器筛选单元(2031)接收所述应用管理服务子系统(4)监控的加密服务器集群(203)中若干加密服务器的实时工作状态,并根据所述实时工作状态筛选所述加密服务器;所述处理单元(2032)将筛选出的所述加密服务器对所述指令信息进行响应处理,并生成响应结果。
6.一种分布式加密服务网关的实现方法,其特征在于,所述方法包括以下步骤:
S1、提供基础网关;
S2、在所述基础网关上配置基础网络服务子系统(1)和通讯服务子系统(3);
S3、在所述基础网关上继续配置安全服务子系统(2)即得到分布式加密服务网关,所述安全服务子系统(2)通过远程访问的加密服务器集群(203)为所述基础网关提供安全服务;
步骤S3中,所述安全服务子系统(2)包括相通讯的数据I/O模块(201)、指令处理模块(202)、加密服务器集群(203)、安全服务接口模块(204),所述数据I/O模块(201)用于接收分配后的安全服务请求,同时将所述安全服务请求放入请求队列,发送至所述指令处理模块(202);所述指令处理模块(202)用于对所述安全服务请求进行轮询处理,同时生成指令信息,并将所述指令信息通过所述数据I/O模块(201)发送至所述加密服务器集群(203),所述加密服务器集群(203)用于对所述指令信息进行响应处理并生成响应结果,发送至所述指令处理模块(202),所述指令处理模块(202)对所述响应结果进行解析,并将解析后的结果通过所述通讯服务子系统(3)发送至用户应用;所述安全服务接口模块(204)用于为业务应用模块(104)提供安全服务功能。
7.如权利要求6所述的分布式加密服务网关的实现方法,其特征在于,步骤S2中,所述基础网络服务子系统(1)包括相通讯的基础设施模块(101)、控制模块(102)、API接口模块(103)、业务应用模块(104)及接口服务模块(105);
所述基础设施模块(101)用于负责基于网络数据的处理、转发和收集状态;所述控制模块(102)用于管理网络中的所有设备,并虚拟整个网络资源,实现资源分配;所述API接口模块(103)用于为用户应用提供调用接口;所述业务应用模块(104)用于通过所述控制模块(102)的API管理能力控制设备的报文转发功能,同时用于将网络的控制权开放给用户应用;所述接口服务模块(105)用于通过所述控制模块(102)为上层业务应用开放接口,同时使所述业务应用模块(104)能够调用底层的网络资源和能力。
8.如权利要求6所述的分布式加密服务网关的实现方法,其特征在于,所述方法还包括:
S4、步骤S3中实现的分布式加密服务网关还配置有与所述基础网络服务子系统(1)和所述安全服务子系统(2)均相通讯的应用管理服务子系统(4);
所述应用管理服务子系统(4)包括相通讯的系统监测模块(401)、日志服务模块(402)、系统管理模块(403)、策略管理模块(404)、应用接口模块(405),所述系统监测模块(401)用于对整个系统的运行状态进行监控,若出现影响系统正常运行的异常,则所述系统监测模块(401)切换启用备份系统,若出现不影响系统正常运行的异常,则所述系统监测模块(401)用于向所述日志服务模块(402)发送记录日志的信息,同时以短信或邮件的形式通知系统管理员;所述日志服务模块(402)用于对系统运行的日志进行记录,并能够提供日志的查询、导出;所述系统管理模块(403)用于为用户提供对系统进行配置管理的操作界面;所述策略管理模块(404)用于设定策略配置,所述策略配置包括判断系统异常状态阈值、分配加密服务器规则;所述应用接口模块(405)用于提供与所述用户应用连接的应用接口。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611170421.4A CN106850549B (zh) | 2016-12-16 | 2016-12-16 | 一种分布式加密服务网关及实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611170421.4A CN106850549B (zh) | 2016-12-16 | 2016-12-16 | 一种分布式加密服务网关及实现方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106850549A CN106850549A (zh) | 2017-06-13 |
CN106850549B true CN106850549B (zh) | 2020-08-21 |
Family
ID=59140170
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611170421.4A Active CN106850549B (zh) | 2016-12-16 | 2016-12-16 | 一种分布式加密服务网关及实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106850549B (zh) |
Families Citing this family (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10616193B2 (en) * | 2017-08-01 | 2020-04-07 | Blackberry Limited | Processing resource requests on a mobile device |
CN107786641B (zh) * | 2017-09-30 | 2020-10-27 | 南威软件股份有限公司 | 一种分布式多系统用户行为日志的采集方法 |
CN109246002B (zh) * | 2018-09-17 | 2020-10-30 | 武汉思普崚技术有限公司 | 一种深度安全网关与网元设备 |
CN109413167A (zh) * | 2018-10-12 | 2019-03-01 | 北京知道创宇信息技术有限公司 | 一种数据处理方法、装置、电子设备及存储介质 |
CN112217882B (zh) * | 2020-09-25 | 2024-03-26 | 航天信息股份有限公司 | 一种用于服务开放的分布式网关系统 |
CN112910770B (zh) * | 2021-03-23 | 2022-11-29 | 深圳前海联动云软件科技有限公司 | 一种基于泛化调用的分布式服务网关设计方法及系统 |
CN113923021B (zh) * | 2021-10-09 | 2023-09-22 | 中国联合网络通信集团有限公司 | 基于沙箱的加密流量处理方法、系统、设备及介质 |
CN114760181A (zh) * | 2022-03-16 | 2022-07-15 | 山东省大数据中心 | 一种基于分布式集群架构实现集群动态伸缩的系统和方法 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101431404A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可使通信终端实现软接入点功能的加密装置 |
CN102694781A (zh) * | 2011-03-24 | 2012-09-26 | 中国银联股份有限公司 | 基于互联网的安全性信息交互系统及方法 |
CN104023082A (zh) * | 2014-06-23 | 2014-09-03 | 浪潮电子信息产业股份有限公司 | 一种集群负载均衡的实现方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9392053B2 (en) * | 2014-02-21 | 2016-07-12 | Dell Products L.P. | Generic transcoding service with library attachment |
-
2016
- 2016-12-16 CN CN201611170421.4A patent/CN106850549B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101431404A (zh) * | 2007-11-09 | 2009-05-13 | 北京华旗资讯数码科技有限公司 | 可使通信终端实现软接入点功能的加密装置 |
CN102694781A (zh) * | 2011-03-24 | 2012-09-26 | 中国银联股份有限公司 | 基于互联网的安全性信息交互系统及方法 |
CN104023082A (zh) * | 2014-06-23 | 2014-09-03 | 浪潮电子信息产业股份有限公司 | 一种集群负载均衡的实现方法 |
Non-Patent Citations (2)
Title |
---|
基于IXP425网络处理器的VPN安全网关构建;季博;《中国优秀硕士学位论文全文数据库 信息科技辑》;20060915(第9期);I139-58 * |
基于LINUX分布式复合网关安全原型的研究与设计;庹琴;《中国优秀硕士学位论文全文数据库 信息科技辑》;20041215(第4期);I139-186 * |
Also Published As
Publication number | Publication date |
---|---|
CN106850549A (zh) | 2017-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106850549B (zh) | 一种分布式加密服务网关及实现方法 | |
US11388200B2 (en) | Scalable network security detection and prevention platform | |
CN110572448B (zh) | 一种分布式边缘云系统架构 | |
Zhang et al. | Cloud computing: state-of-the-art and research challenges | |
US9128773B2 (en) | Data processing environment event correlation | |
EP3714583B1 (en) | Apparatus, system and method for security management based on event correlation in a distributed multi-layered cloud environment | |
US7644161B1 (en) | Topology for a hierarchy of control plug-ins used in a control system | |
CN103119907B (zh) | 提供用于访问控制的智能组的系统和方法 | |
CN101069169B (zh) | 在网络元件处缓存内容和状态数据 | |
KR102050188B1 (ko) | 마이크로서비스 시스템 및 방법 | |
US20170293501A1 (en) | Method and system that extends a private data center to encompass infrastructure allocated from a remote cloud-computing facility | |
US20090328193A1 (en) | System and Method for Implementing a Virtualized Security Platform | |
CN109314724A (zh) | 云计算系统中虚拟机访问物理服务器的方法、装置和系统 | |
KR101408037B1 (ko) | 클라우드 시스템에서의 가상 머신 통합 모니터링 장치 및 방법 | |
TW201423398A (zh) | 虛擬機至實體機之間相關性能問題的根源分析的方法與系統 | |
CN112766672A (zh) | 一种基于全面评估的网络安全保障方法及系统 | |
US9667509B1 (en) | System, method, and computer program for secluding a service in a network based on network function virtualization (NFV) | |
WO2012125144A1 (en) | Systems and methods for sizing resources in a cloud-based environment | |
CN110245031B (zh) | 一种ai服务开放中台及方法 | |
TW201243617A (en) | Cloud computing-based service management system | |
CN116305136A (zh) | 用于微服务体系结构的来源审核跟踪 | |
CN115827223A (zh) | 一种基于云原生平台的服务网格托管方法和系统 | |
CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
US11838169B1 (en) | Remote logging management in multi-vendor O-RAN networks | |
CN111641652A (zh) | 一种基于云计算的应用安全服务平台 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |