CN109039841A - 加入级联组网的方法、装置及刀箱 - Google Patents
加入级联组网的方法、装置及刀箱 Download PDFInfo
- Publication number
- CN109039841A CN109039841A CN201810999186.4A CN201810999186A CN109039841A CN 109039841 A CN109039841 A CN 109039841A CN 201810999186 A CN201810999186 A CN 201810999186A CN 109039841 A CN109039841 A CN 109039841A
- Authority
- CN
- China
- Prior art keywords
- cascade
- girff
- message
- lldp
- confirmation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本公开提供了一种加入级联组网的方法、装置及刀箱,涉及刀箱服务器的技术领域,该方法包括:构建第一LLDP报文;对第一LLDP报文进行加密得到密文;构建第二LLDP报文;第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;发送第二LLDP报文至级联组网,以使级联组网中的刀箱解密密文得到第一级联确认信息,并通过比对第一级联确认信息和第二级联确认信息对第一刀箱进行认证以及,在认证通过后,允许第一刀箱加入级联组网。本公开提供的加入级联组网的方法、装置及刀箱,通过认证的过程,有效保证了级联信息交互的安全性,同时也降低了级联组网环境被恶意攻击的风险。
Description
技术领域
本公开涉及刀箱服务器的技术领域,尤其是涉及一种加入级联组网的方法、装置及刀箱。
背景技术
刀箱,也称刀片机箱,是一种高可用、高密度、低成本的服务器平台,一般包括管理板、网板(或者网络交换机)和多个刀片服务器。管理板是刀箱的管理模块,其作用是管理机箱中的所有硬件设备。管理板与网板、刀片服务器等通过背板的通道连接,可以实现刀箱内各硬件设备的基础信息的获取和维护。
随着刀箱技术的发展,出现了级联刀箱,级联刀箱中的每个刀箱的硬件管理通常需要相互独立,而级联刀箱之间互联,能够相互发送业务报文,刀箱级联方案提出了将刀箱管理板的管理口(MGMT)和级联口(STACK)进行组合,搭建具有双成员口的聚合级联通道,管理板通过级联通道向上层发送各自的级联信息到顶端的刀箱,并在该刀箱内汇聚成级联拓扑。
发明内容
有鉴于此,本公开的目的在于提供一种加入级联组网的方法、装置及刀箱,以保障级联网络中各刀箱的正常运行。
第一方面,本公开实施方式提供了一种加入级联组网的方法,该方法应用于第一刀箱,第一刀箱为待加入级联组网的刀箱,该方法包括:构建第一LLDP报文;第一LLDP报文携带有第一刀箱的第一级联确认信息;对第一LLDP报文进行加密得到密文;构建第二LLDP报文;第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;发送第二LLDP报文至级联组网,以使级联组网中的刀箱解密密文得到第一级联确认信息,并通过比对第一级联确认信息和第二级联确认信息对第一刀箱进行认证,以及,在认证通过后,允许第一刀箱加入级联组网。
第二方面,本公开实施方式还提供一种加入级联组网的方法,该方法应用于第二刀箱,其中,第二刀箱为级联组网中的刀箱,该方法包括:接收第一刀箱发送的第二LLDP报文;其中,第一刀箱为待加入级联组网的刀箱,第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;密文为对第一LLDP报文进行加密得到的密文;第一LLDP报文携带有第一刀箱的第一级联确认信息;对密文进行解密,得到第一级联确认信息;根据第一级联确认信息和第二级联确认信息对第一刀箱进行认证,并在认证通过后,允许第一刀箱加入级联组网。
第三方面,本公开实施方式还提供了一种加入级联组网的装置,该装置设置于第一刀箱,第一刀箱为待加入级联组网的刀箱,该装置包括:第一构建模块,用于构建第一LLDP报文;第一LLDP报文携带有第一刀箱的第一级联确认信息;加密模块,用于对第一LLDP报文进行加密得到密文;第二构建模块,用于构建第二LLDP报文;第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;发送模块,用于发送第二LLDP报文至级联组网,以使级联组网中的刀箱解密密文得到第一级联确认信息,并通过比对第一级联确认信息和第二级联确认信息对刀箱进行认证,以及,在认证通过后,允许第一刀箱加入级联组网。
第四方面,本公开实施方式还提供了一种加入级联组网的装置,该装置设置于第二刀箱,其中,第二刀箱为级联组网中的刀箱,该装置包括:接收模块,用于接收第一刀箱发送的第二LLDP报文;其中,第一刀箱为待加入级联组网的刀箱,第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;密文为对第一LLDP报文进行加密得到的密文;第一LLDP报文携带有第一刀箱的第一级联确认信息;解密模块,用于对密文进行解密,得到第一级联确认信息;认证模块,用于根据第一级联确认信息和第二级联确认信息对第一刀箱进行认证,并在认证通过后,允许第一刀箱加入级联组网。
第五方面,本公开实施方式提供了一种刀箱,该刀箱包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行机器可执行指令以实现第一方面和第二方面所述的方法。
本公开实施方式带来了以下有益效果:
本公开实施方式提供的一种加入级联组网的方法、装置及刀箱,可以在第一刀箱申请加入级联组网时,构建携带有第一级联确认信息的第一LLDP报文,并对该第一LLDP报文进行加密得到密文,进而构建携带有第二级联确认信息和密文的第二LLDP报文,并发送至级联组网进行认证,上述对第一LLDP报文进行加密的方式,使刀箱的级联端口有了认证的过程,有效保证了级联信息交互的安全性,同时也降低了级联组网环境被恶意攻击的风险。
本公开的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施方式,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本公开具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本公开的一些实施方式,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为一种现有技术中的刀箱级联组网拓扑示意图;
图2为本公开实施方式提供的一种加入级联组网的方法的流程图;
图3为本公开实施方式提供的一种LLDP报文的示意图;
图4为本公开实施方式提供的一种级联确认信息的格式示意图;
图5为本公开实施方式提供的一种TLV的格式示意图;
图6为本公开实施方式提供的另一种加入级联组网的方法的流程图;
图7为本公开实施方式提供的一种惩罚值的变化规律示意图;
图8为本公开实施方式提供的一种加入级联组网的装置的结构示意图;
图9为本公开实施方式提供的另一种加入级联组网的装置的结构示意图;
图10为本公开实施方式提供的另一种加入级联组网的装置的结构示意图;
图11为本公开实施方式提供的一种刀箱的结构示意图。
具体实施方式
为使本公开实施方式的目的、技术方案和优点更加清楚,下面将结合附图对本公开的技术方案进行清楚、完整地描述,显然,所描述的实施方式是本公开一部分实施方式,而不是全部的实施方式。基于本公开中的实施方式,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施方式,都属于本公开保护的范围。
图1示出了一种现有技术中的刀箱级联组网拓扑示意图,以该级联组网中包括级联刀箱USI9000 1、USI9000 2,以及USI9000n为例进行说明,其中,每个级联刀箱的端口S为级联口(STACK),端口M为管理口(MGMT),通常,上述端口均设置在对应的管理板上,端口M和端口S的管理板采用的是内部堆叠方式,形成IRF(Intelligent Resilient Framework,智能弹性架构)物理链路,其中,Master为主用主控板,负责处理业务,Slave为备用主控板,作为Master的备份,随时与Master保持同步。当Master工作异常时,IRF将选择其中一台Slave成为新的Master,所以可以通过IRF连接。局域网交换机的设置,可以为管理员提供多个接入通道。
对于多层刀箱的级联组网,通常,采用串行组网的方式,第n层刀箱(即底层刀箱)的管理板可以创建一个单刀箱级联信息,用于存储本刀箱的级联信息,包括但不限于级联编号(默认为0)、刀箱名称(如UIS9000n)和管理板IP地址(如192.168.1.N)等。第n层刀箱将通过管理板上的上行级联聚合口将本刀箱的级联信息上传至第n-1层刀箱,第n-1层刀箱的下行级联聚合口通过接收级联信息。以第2层刀箱(UIS9000 2)为当前刀箱为例,如果当前刀箱接收到下一层刀箱发送的级联信息,将接收到的级联信息与当前刀箱的级联信息整合为当前层级联信息,同时,第2层刀箱还可以通过管理板上的上行级联聚合口将级联信息上传至第1层刀箱,使得第一层刀箱的级联信息包括下层所有级联刀箱的信息。
基于图1所示的刀箱级联组网拓扑示意图,当前刀箱级联方案中通过上层级联刀箱的级联口与下层级联刀箱的管理口相连组成一个级联通道,其中,级联通道以聚合口的形式存在,分为单成员口和双成员口两种类型,所有级联信息只在级联通道中转发。在整个级联拓扑中,与管理员相连的作为主级联刀箱,但是每个刀箱对于自身来说也可称为主刀箱,但是与管理员相连的刀箱处于整个级联拓扑网络中的最顶端。
通常,级联刀箱的管理板会周期性的向邻居刀箱管理板发送LLDP(Link LayerDiscover Protocol链路层发现协议)报文,如果管理板的本地配置发生变化则立即发送LLDP报文,当邻居刀箱管理板接收到LLDP报文后,将对其进行有效性检查,通过后再更新邻居信息。LLDP协议在拓扑发现上发挥了巨大的作用,在刀箱服务器级联组网下,级联刀箱的加入和离开可通过该LLDP协议实现。
在LLDP报文交互过程中,级联刀箱的加入和离开,报文中没有相应的认证或加密方式保护,难以实现刀箱级联信息的保护功能,但在复杂网络环境下刀箱级联信息的安全传递是不可忽视的问题,特别是在刀箱进行报文协议交互过程中,如果有其它网络接入级联网络,伪造级联刀箱信息,则会造成级联刀箱信息泄露,威胁级联网络中各刀箱的正常运行。
基于此,本公开实施方式提供的一种加入级联组网的方法、装置及刀箱,可以缓解上述威胁级联网络中各刀箱的正常运行的技术问题。
为便于对本实施方式进行理解,首先对本公开实施方式所公开的一种加入级联组网的方法进行详细介绍。
本公开实施方式提供的加入级联组网的方法,可以应用于第一刀箱,如图2所示的一种加入级联组网的方法的流程图,该方法包括以下步骤:
步骤S202,构建第一LLDP报文;第一LLDP报文携带有第一刀箱的第一级联确认信息;
具体地,通常构建该第一LLDP报文的过程,是在第一刀箱申请加入级联组网时进行,该第一LLDP报文中是基于LLDP协议的报文,该LLDP协议的报文提供了一种标准的链路层发现方式,可以将本端设备(申请加入级联组网的刀箱)的主要能力、管理地址、设备标识、接口标识等信息组织成不同的TLV(Type/Length/Value,类型/长度/值),并封装在LLDPDU(Link Layer Discovery Protocol Data Unit,链路层发现协议数据单元)中。
步骤S204,对第一LLDP报文进行加密得到密文;
通常,对第一LLDP报文进行加密的过程,可以通过AES(Advanced EncryptionStandard,AES,高级加密标准)技术实现,例如,假设AES加密函数为F,则C=F(K,P),其中C为密文,K为密钥,P为明文,即上述第一LLDP报文。
步骤S206,构建第二LLDP报文;第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;
通常,该第二级联确认信息,也可以包括本端设备的主要能力、管理地址、设备标识、接口标识等信息,这些信息可以组织成不同的TLV,并封装在LLDPDU中,除携带这些信息外,该第二LLDP报文还包括上述密文,因此,该第二LLDP报文为携带密文的LLDP报文。
步骤S208,发送第二LLDP报文至级联组网,以使级联组网中的刀箱解密上述密文得到第一级联确认信息,并通过比对第一级联确认信息和第二级联确认信息对刀箱进行认证,以及,在认证通过后,允许第一刀箱加入级联组网。
具体实现时,级联组网中解密上述密文的刀箱通常为级联组网中的最底层的刀箱,上述第二LLDP报文通常也发送至该最底层的刀箱进行认证。以图1所示的刀箱级联组网拓扑示意图为例,如果第一刀箱申请加入级联组网,可以将第二LLDP报文发送至级联组网中的刀箱USI9000n,刀箱USI9000n解密上述密文得到第一级联确认信息后,通过比对第一级联确认信息和第二级联确认信息,以对第一刀箱进行认证。
本公开实施方式提供的一种加入级联组网的方法,可以在第一刀箱申请加入级联组网时,构建携带有第一级联确认信息的第一LLDP报文,并对该第一LLDP报文进行加密得到密文,进而构建携带有第二级联确认信息和密文的第二LLDP报文,并发送至级联组网进行认证,上述对第一LLDP报文进行加密的方式,使刀箱的级联端口有了认证的过程,有效保证了级联信息交互的安全性,同时也降低了级联组网环境被恶意攻击的风险。
具体实现时,上述第一LLDP报文和第二LLDP报文为封装有LLDPDU的LLDP报文,通常,其封装格式有两种:Ethernet II和SNAP(Subnetwork Access Protocol,子网访问协议),以Ethernet II为例,图3示出了一种Ethernet II格式的LLDP报文的示意图,其中各字段的含义如下:Destination MAC address:目的MAC地址;Source MAC address:源MAC地址;Type:报文类型;Data:数据内容;FCS:帧检验序列,用来对报文进行校验。
具体地,上述LLDPDU是封装在LLDP报文中数据内容部分的数据单元,在组成LLDPDU之前,刀箱先将本地信息封装成TLV格式,再由若干个TLV组合成一个LLDPDU封装在LLDP报文的数据内容部分进行传送。
基于上述LLDP报文的格式,本公开实施方式中构建第一LLDP报文的步骤,可以包括以下过程:(1)构建包含有第一基础字段和第一扩展字段的第一LLDP报文;(2)将第一刀箱的第一级联确认信息中的级联确认基础信息填充至第一基础字段,将第一级联确认信息中的级联版本标识信息填充至第一扩展字段。
上述构建第二LLDP报文的步骤可以包括以下过程:(1)构建包含有第二基础字段和第二扩展字段的第二LLDP报文;(2)将第一刀箱的第二级联确认信息中的级联确认基础信息填充至第二基础字段,将上述密文填充至第二扩展字段。
具体地,上述第一基础字段和第一扩展字段,以及,第二基础字段和第二扩展字段可以是多个TLV的组合,以第一LLDP报文为例,多个TLV组合组成一个LLDPDU封装在第一LLDP报文中,上述级联确认基础信息通常可以包括第一刀箱的本地信息,如主要能力、管理地址、设备标识和接口标识等信息,上述级联版本标识信息通常为第一刀箱当前软件版本支持级联的版本序列等信息。
为了便于理解,图4示出了一种级联确认信息的格式示意图,具体地,以图4为封装在第一LLDP报文中的LLDPDU的格式为例进行说明,该LLDPDU包括多个TLV,下述表1为各个TLV的定义表,如表1所示:
表1:
通常,上述第一基础字段和第二基础字段可以包括表1中除Cascade Confirm字段以外的其他TLV信息,第一扩展字段的TLV可以包括上述Cascade Confirm包含的信息,第二扩展字段的TLV填充上述密文。
具体地,携带Cascade Confirm信息的TLV,可以通过在原有LLDPDU中新增TLV的方式实现,也可以将Cascade Confirm信息合并到原有的一个TLV中,其中,图4所示的级联确认信息的格式示意图为在原有LLDPDU中新增TLV的方式,具体地,将新增TLV设置在原有LLDPDU的末端,形成Cascade Confirm TLV,在实际使用过程中,上述新增TLV还可以设置在其他位置,具体以实际情况为准,本公开实施方式对此不进行限制。
图5示出了一种TLV的格式示意图,如图5所示,以该新增TLV为Cascade ConfirmTLV为例进行说明,其中,Type字段的长度为1个字节,Length字段的长度为2个字节,Value字段的长度由Length字段决定。
具体地,上述第一扩展字段的TLV,也可以是图5所示的TLV的格式,上述将级联版本标识信息填充至第一扩展字段的过程,可以包括:将第一级联确认信息中的级联版本标识信息填充至Value字段,计算此时第一LLDP报文的长度,回填至TLV的Length字段,形成第一LLDP报文。对该第一LLDP报文进行加密,就可以得到对应的密文,继续将该密文回填至新增TLV的Value字段,替换Value字段中填充的级联版本标识信息,即可得到携带有第二级联确认信息和密文的第二LLDP报文,此时,第一刀箱可以发送该第二LLDP报文至级联组网,以使级联组网中的刀箱解密密文得到第一级联确认信息,并通过比对第一级联确认信息和第二级联确认信息对该第一刀箱进行认证。
通常,在正常网络下第一刀箱申请加入级联组网过程中发送的第二LLDP报文携带的第二级联确认信息与解密得到的第一级联确认信息是一样的,此时可以认证通过,允许第一刀箱加入级联组网。如果第二LLDP报文传输过程中,有其他网络接入,出现伪造级联刀箱的信息,就会出现第二级联确认信息被篡改的现象,使得第二级联确认信息中的第二基础字段就会发生改变,例如,桥MAC地址发生篡改等等,但是由于第一级联确认信息是加密的密文,就不会变化,仍然保持原有的信息,通过比对,就会发现上述第二级联信息与原始的信息是不一样的,此时认证不通过,就不会允许第一刀箱加入到级联网络。
在实际使用时,上述对密文进行解密,比对第一级联确认信息和第二级联确认信息,以及认证的过程,都在级联组网中的刀箱上进行,因此,对应于上述应用于第一刀箱的加入级联组网的方法,本公开实施方式还提供了另一种加入级联组网的方法,该方法应用于第二刀箱,具体地,该第二刀箱为级联组网中的刀箱,如图6所示的另一种加入级联组网的方法的流程图,包括以下步骤:
步骤S602,接收第一刀箱发送的第二LLDP报文;
其中,第一刀箱为待加入级联组网的刀箱,第二LLDP报文携带有第一刀箱的第二级联确认信息和密文。
具体地,上述密文为对第一LLDP报文进行加密得到的密文;第一LLDP报文携带有第一刀箱的第一级联确认信息;
对于上述步骤中的接收过程,可以通过级联组网中的最底层刀箱实现,此时,级联组网中的最底层刀箱,可以看做是第一刀箱的上层级联设备,当该上层级联设备收到对端(第一刀箱)发送的第二LLDP报文后,需要对该第二LLDP报文进行一系列校验,才能决定该第一刀箱是否加入到该级联网络。具体的校验过程,可以通过下述步骤实现。
步骤S604,对该密文进行解密,得到第一级联确认信息;
具体地,解密之后可以得到第一LLDP报文;该第一LLDP报文携带有第一刀箱的第一级联确认信息。
与上述加密的过程相对应,该步骤中的解密过程,也可以通过AES技术实现,具体地,假设AES解密函数为R,则P=R(K,C),其中P为明文,K为密钥,C为提取到的上述密文。
此时解密得到的明文,即为上述第一LLDP报文,该第一LLDP报文携带有第一刀箱的第一级联确认信息。
步骤S606,根据第一级联确认信息和第二级联确认信息对第一刀箱进行认证,并在认证通过后,允许第一刀箱加入级联组网。
具体实现时,上述第一LLDP报文包含有第一基础字段和第一扩展字段;上述第一基础字段携带有第一刀箱的第一级联确认信息中的级联确认基础信息,第一扩展字段携带有第一级联确认信息中的级联版本标识信息;第二LLDP报文包含有第二基础字段和第二扩展字段;第二基础字段携带有上述第一刀箱的第二级联确认信息中的级联确认基础信息,第二扩展字段携带有上述密文。
因此,上述步骤S606中,根据第一级联确认信息和第二级联确认信息对第一刀箱进行认证的过程,可以通过匹配级联确认基础信息,以及级联版本标识信息实现,具体地,可以包括以下步骤:
(1)比对第一级联确认信息中的级联确认基础信息与第二级联确认信息中的级联确认基础信息是否匹配;
通常,对级联确认基础信息的匹配,可以通过匹配桥MAC地址的方式实现,具体地,可以匹配第二LLDP报文中的桥MAC(或者源MAC)与解密得到的第一LLDP报文的桥MAC是否一致的方式,来判断级联确认基础信息是否匹配,以防止第二LLDP报文传递过程中桥MAC地址被篡改,如果不匹配,则说明在第二LLDP报文传输过程中,MAC地址被篡改,此时,可以确定匹配失败,后续流程不再处理;
(2)如果匹配,判断第二刀箱的级联版本标识信息是否与第一级联确认信息中的级联版本标识信息匹配;
具体地,该步骤中,可以判断出当前第一刀箱支持级联的版本序列与级联组网中的第二刀箱的版本是否匹配,避免出现软件版本不兼容的问题。如果不匹配,此时第一刀箱不能加入到级联组网,上述发送第二LLDP报文的端口也无法加入到级联聚合组中,如果匹配成功,则还需进行后续的匹配流程,如,继续进行表5中示出的端口的描述和设备的名称匹配等,以判断第一刀箱的端口应加入端口M的聚合组还是端口S的聚合组。
(3)如果匹配,确定第一刀箱通过认证。
具体实现时,如果第二刀箱的级联端口一直接收未通过认证的第一刀箱发送的第二LLDP报文,可能会导致级联端口的带宽一直被占用,且需要第二刀箱一直判断第二LLDP报文中携带的级联信息是否匹配等,会造成第二刀箱的CPU资源的浪费,因此,为了避免上述事件发生,可以为第二刀箱的级联端口设置防御功能,具体地,如果第一刀箱未通过认证,为接收第二LLDP报文的端口设置惩罚值;按照设定的衰减方式调整该惩罚值;按照端口当前的惩罚值调整端口的报文接收策略。
通常,第二刀箱的每个级联端口都可以对应一个惩罚值,假设该惩罚值的初始值为0,当有一个携带未认证的第二LLDP报文进入该级联端口时,惩罚值可以增加100。同时,惩罚值随时间推移自动减少,满足半衰期衰减规律:完全衰减时(假如没有未认证LLDP报文攻击),经过一个半衰周期,惩罚值减少为原来值的一半。
如果该级联端口持续接收到未认证的第二LLDP报文,其惩罚值将会逐渐增加,当惩罚值达到预先设置的最大惩罚值后,惩罚值将不再增加,此时,级联端口进入抑制状态,当该抑制的时间超过最大抑制时间时,惩罚值进入完全半衰期(在抑制状态的阶段,级联端口也不会增加惩罚值),直到惩罚值小于启用值时,不再抑制该级联接口,此时,虽然级联端口处于完全半衰期,但该级联接口仍然处于抑制状态。
具体实现时,为了调整上述级联端口的报文接收策略,在该防御功能中,还设置有抑制值、启用值,以及最大抑制时间等参数。具体地,当上述惩罚值大于或等于抑制值的门限时,抑制该级联端口,即当该级联端口再收到第二LLDP报文时,不上送CPU处理,不对其中的信息进行认证判断,仅产生对应的日志信息。如果级联端口一直收到非法LLDP报文(如,未认证的第二LLDP报文)攻击,也不能一直对级联端口进行抑制,此时,可以设定最大抑制时间,当抑制时间达到最大抑制时间后,惩罚值进入完全半衰期。
具体实现时,上述抑制值、最大惩罚值、最大抑制时间、半衰期、启用值之间可以满足以下关系:
最大惩罚值=2(最大抑制时间/半衰期)×启用值;其中该最大惩罚值不可进行配置;
抑制值的配置值≤最大惩罚值≤抑制值可配置的最大值。
为了便于理解,图7示出了一种惩罚值的变化规律示意图,该示意图中,以时间为横坐标,以惩罚值为纵坐标,上述最大惩罚值、抑制值和启用值如图中所示,其中,t0为抑制开始时间,从t0开始经过最大抑制时间后达到t1,t2为抑制结束时间。t0至t2段对应级联端口的抑制期,t0至t1段对应最大抑制时间,t1至t2段对应完全半衰期(此阶段惩罚值不再增加)。
在实际使用过程中,上述防御功能为级联端口提供了必要的保护机制,进一步保证了第二刀箱所在的级联组网的稳定性。
应当理解,上述防御功能的保护机制,仅仅是本公开实施方式提供的一种优选的形式,在实际使用时,其衰减方式,以及上述报文接收策略,以及涉及的各个参数,都可以根据实际使用情况进行设置,本公开实施方式对此不进行限制。
本公开实施方式提供的上述加入级联组网的方法,能够结合加密算法对第一LLDP报文进行加密,并构建第二LLDP报文,发送至第二刀箱进行认证,能够增加LLDP报文在交互过程中数据传输的安全性,并结合级联端口的防御功能抵御非法LLDP报文攻击,有助于确保级联组网的稳定性和安全性。
对应于上述实施方式提供的加入级联组网的方法,本公开实施方式还提供了一种加入级联组网的装置,该装置设置于第一刀箱,如图8所示的一种加入级联组网的装置的结构示意图,该装置包括:
第一构建模块80,用于构建第一LLDP报文;第一LLDP报文携带有第一刀箱的第一级联确认信息;
加密模块82,用于对第一LLDP报文进行加密得到密文;
第二构建模块84,用于构建第二LLDP报文;第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;
发送模块86,用于发送第二LLDP报文至级联组网,以使级联组网中的刀箱解密密文得到第一级联确认信息,并通过比对第一级联确认信息和第二级联确认信息对第一刀箱进行认证,以及,在认证通过后,允许第一刀箱加入级联组网。
本公开实施方式还提供了另一种加入级联组网的装置,该装置设置于第二刀箱,其中,第二刀箱为级联组网中的刀箱,如图9所示的另一种加入级联组网的装置的结构示意图,该装置包括:
接收模块90,用于接收第一刀箱发送的第二LLDP报文;其中,第一刀箱为待加入级联组网的刀箱,第二LLDP报文携带有第一刀箱的第二级联确认信息和密文;该密文为对第一LLDP报文进行加密得到的密文;第一LLDP报文携带有第一刀箱的第一级联确认信息;
解密模块92,用于对密文进行解密,得到第一级联确认信息;
认证模块94,用于根据第一级联确认信息和第二级联确认信息对第一刀箱进行认证,并在认证通过后,允许第一刀箱加入级联组网。
在图9的基础上,图10示出了另一种加入级联组网的装置的结构示意图,除图9所示的结构,上述装置还包括:
设置模块96,用于如果第一刀箱未通过认证,为接收第二LLDP报文的端口设置惩罚值;
第一调整模块97,用于按照设定的衰减方式调整惩罚值;
第二调整模块98,按照端口当前的惩罚值调整端口的报文接收策略。
本公开实施方式提供的加入级联组网的装置,与上述实施方式提供的加入级联组网的方法具有相同的技术特征,所以也能解决相同的技术问题,达到相同的技术效果。
本公开实施方式还提供了一种刀箱,该刀箱包括处理器和存储器,存储器存储有能够被处理器执行的机器可执行指令,处理器执行所述机器可执行指令以实现前述加入级联组网的方法。
进一步,本公开实施方式还提供了一种机器可读存储介质,该机器可读存储介质存储有机器可执行指令,机器可执行指令在被处理器调用和执行时,机器可执行指令促使处理器实现前述实施方式所述的加入级联组网的方法。
参见图11,本公开实施方式还提供一种刀箱的结构示意图,包括:处理器100,存储器101,总线102和通信接口103,所述处理器100、通信接口103和存储器101通过总线102连接;处理器100用于执行存储器101中存储的可执行模块,例如计算机程序。
其中,存储器101可能包含高速随机存取存储器(RAM,Random Access Memory),也可能还包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网,广域网,本地网,城域网等。
总线102可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一个双向箭头表示,但并不表示仅有一根总线或一种类型的总线。
其中,存储器101用于存储程序,处理器100在接收到执行指令后,执行所述程序,前述本公开任一实施方式揭示的加入级联组网的装置所执行的方法可以应用于处理器100中,或者由处理器100实现。
处理器100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器100可以是通用处理器,包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DigitalSignal Processing,简称DSP)、专用集成电路(Application Specific IntegratedCircuit,简称ASIC)、现成可编程门阵列(Field-Programmable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本公开实施方式中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本公开实施方式所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器101,处理器100读取存储器101中的信息,结合其硬件完成上述方法的步骤。
本公开实施方式所提供的加入级联组网的方法、装置及刀箱的计算机程序产品,包括存储了程序代码的计算机可读存储介质,所述程序代码包括的指令可用于执行前面方法实施方式中所述的方法,具体实现可参见方法实施方式,在此不再赘述。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的刀箱和装置的具体工作过程,可以参考前述方法实施方式中的对应过程,在此不再赘述。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本公开的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本公开各个实施方式所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
最后应说明的是:以上实施方式,仅为本公开的具体实施方式,用以说明本公开的技术方案,而非对其限制,本公开的保护范围并不局限于此,尽管参照前述实施方式对本公开进行了详细的说明,本领域技术人员应当理解:任何熟悉本技术领域的技术人员在本公开揭露的技术范围内,其依然可以对前述实施方式所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本公开实施方式技术方案的精神和范围,都应涵盖在本公开的保护范围之内。因此,本公开的保护范围应以权利要求的保护范围为准。
Claims (11)
1.一种加入级联组网的方法,其特征在于,所述方法应用于第一刀箱,所述第一刀箱为待加入级联组网的刀箱,所述方法包括:
构建第一LLDP报文;所述第一LLDP报文携带有所述第一刀箱的第一级联确认信息;
对所述第一LLDP报文进行加密得到密文;
构建第二LLDP报文;所述第二LLDP报文携带有所述第一刀箱的第二级联确认信息和所述密文;
发送所述第二LLDP报文至所述级联组网,以使所述级联组网中的刀箱解密所述密文得到所述第一级联确认信息,并通过比对所述第一级联确认信息和所述第二级联确认信息对所述第一刀箱进行认证,以及,在认证通过后,允许所述第一刀箱加入所述级联组网。
2.根据权利要求1所述的方法,其特征在于,所述构建第一LLDP报文的步骤,包括:
构建包含有第一基础字段和第一扩展字段的第一LLDP报文;
将所述第一刀箱的第一级联确认信息中的级联确认基础信息填充至所述第一基础字段,将所述第一级联确认信息中的级联版本标识信息填充至所述第一扩展字段。
3.根据权利要求1所述的方法,其特征在于,所述构建第二LLDP报文的步骤包括:
构建包含有第二基础字段和第二扩展字段的第二LLDP报文;
将所述第一刀箱的第二级联确认信息中的级联确认基础信息填充至所述第二基础字段,将所述密文填充至所述第二扩展字段。
4.一种加入级联组网的方法,其特征在于,所述方法应用于第二刀箱,其中,所述第二刀箱为级联组网中的刀箱,所述方法包括:
接收第一刀箱发送的第二LLDP报文;其中,所述第一刀箱为待加入级联组网的刀箱,所述第二LLDP报文携带有所述第一刀箱的第二级联确认信息和密文;所述密文为对第一LLDP报文进行加密得到的密文;所述第一LLDP报文携带有所述第一刀箱的第一级联确认信息;
对所述密文进行解密,得到所述第一级联确认信息;
根据所述第一级联确认信息和所述第二级联确认信息对所述第一刀箱进行认证,并在认证通过后,允许所述第一刀箱加入所述级联组网。
5.根据权利要求4所述的方法,其特征在于,所述第一LLDP报文包含有第一基础字段和第一扩展字段;所述第一基础字段携带有所述第一刀箱的第一级联确认信息中的级联确认基础信息,所述第一扩展字段携带有所述第一级联确认信息中的级联版本标识信息;
所述第二LLDP报文包含有第二基础字段和第二扩展字段;所述第二基础字段携带有所述第一刀箱的第二级联确认信息中的级联确认基础信息,所述第二扩展字段携带有所述密文。
6.根据权利要求5所述的方法,其特征在于,根据所述第一级联确认信息和所述第二级联确认信息对所述第一刀箱进行认证的步骤,包括:
比对所述第一级联确认信息中的级联确认基础信息与所述第二级联确认信息中的级联确认基础信息是否匹配;
如果匹配,判断所述第二刀箱的级联版本标识信息是否与所述第一级联确认信息中的级联版本标识信息匹配;
如果匹配,确定所述第一刀箱通过认证。
7.根据权利要求4所述的方法,其特征在于,所述方法还包括:
如果所述第一刀箱未通过认证,为接收所述第二LLDP报文的端口设置惩罚值;
按照设定的衰减方式调整所述惩罚值;
按照所述端口当前的惩罚值调整所述端口的报文接收策略。
8.一种加入级联组网的装置,其特征在于,所述装置设置于第一刀箱,所述第一刀箱为待加入级联组网的刀箱,所述装置包括:
第一构建模块,用于构建第一LLDP报文;所述第一LLDP报文携带有所述第一刀箱的第一级联确认信息;
加密模块,用于对所述第一LLDP报文进行加密得到密文;
第二构建模块,用于构建第二LLDP报文;所述第二LLDP报文携带有所述第一刀箱的第二级联确认信息和所述密文;
发送模块,用于发送所述第二LLDP报文至所述级联组网,以使所述级联组网中的刀箱解密所述密文得到所述第一级联确认信息,并通过比对所述第一级联确认信息和所述第二级联确认信息对所述第一刀箱进行认证,以及,在认证通过后,允许所述第一刀箱加入所述级联组网。
9.一种加入级联组网的装置,其特征在于,所述装置设置于第二刀箱,其中,所述第二刀箱为级联组网中的刀箱,所述装置包括:
接收模块,用于接收第一刀箱发送的第二LLDP报文;其中,所述第一刀箱为待加入级联组网的刀箱,所述第二LLDP报文携带有所述第一刀箱的第二级联确认信息和密文;所述密文为对第一LLDP报文进行加密得到的密文;所述第一LLDP报文携带有所述第一刀箱的第一级联确认信息;
解密模块,用于对所述密文进行解密,得到所述第一级联确认信息;
认证模块,用于根据所述第一级联确认信息和所述第二级联确认信息对所述第一刀箱进行认证,并在认证通过后,允许所述第一刀箱加入所述级联组网。
10.根据权利要求9所述的装置,其特征在于,所述装置还包括:
设置模块,用于如果所述第一刀箱未通过认证,为接收所述第二LLDP报文的端口设置惩罚值;
第一调整模块,用于按照设定的衰减方式调整所述惩罚值;
第二调整模块,按照所述端口当前的惩罚值调整所述端口的报文接收策略。
11.一种刀箱,其特征在于,所述刀箱包括处理器和存储器,所述存储器存储有能够被所述处理器执行的机器可执行指令,所述处理器执行所述机器可执行指令以实现权利要求1或4所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810999186.4A CN109039841B (zh) | 2018-08-29 | 2018-08-29 | 加入级联组网的方法、装置及刀箱 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810999186.4A CN109039841B (zh) | 2018-08-29 | 2018-08-29 | 加入级联组网的方法、装置及刀箱 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109039841A true CN109039841A (zh) | 2018-12-18 |
| CN109039841B CN109039841B (zh) | 2021-01-01 |
Family
ID=64626070
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810999186.4A Active CN109039841B (zh) | 2018-08-29 | 2018-08-29 | 加入级联组网的方法、装置及刀箱 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109039841B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639699A (zh) * | 2018-12-24 | 2019-04-16 | 华为技术有限公司 | 一种网络管理方法和装置 |
| CN109739722A (zh) * | 2018-12-24 | 2019-05-10 | 新华三技术有限公司 | 数据收集方法和刀箱 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101174289A (zh) * | 2006-11-02 | 2008-05-07 | 国际商业机器公司 | 有选择地启动加电口令的设备、系统和方法 |
| CN101277214A (zh) * | 2007-03-28 | 2008-10-01 | 联想(北京)有限公司 | 一种管理刀片式服务器的方法及系统 |
| CN101605050A (zh) * | 2008-06-13 | 2009-12-16 | 米特尔网络公司 | 用于基于邻近性来调整应用的方法、装置和系统 |
| US20150319231A1 (en) * | 2014-04-30 | 2015-11-05 | Ygdal Naouri | Minimizing on-die memory in pull mode switches |
| US9590972B2 (en) * | 2013-10-31 | 2017-03-07 | Aruba Networks, Inc. | Application authentication using network authentication information |
-
2018
- 2018-08-29 CN CN201810999186.4A patent/CN109039841B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101174289A (zh) * | 2006-11-02 | 2008-05-07 | 国际商业机器公司 | 有选择地启动加电口令的设备、系统和方法 |
| CN101277214A (zh) * | 2007-03-28 | 2008-10-01 | 联想(北京)有限公司 | 一种管理刀片式服务器的方法及系统 |
| CN101605050A (zh) * | 2008-06-13 | 2009-12-16 | 米特尔网络公司 | 用于基于邻近性来调整应用的方法、装置和系统 |
| US9590972B2 (en) * | 2013-10-31 | 2017-03-07 | Aruba Networks, Inc. | Application authentication using network authentication information |
| US20150319231A1 (en) * | 2014-04-30 | 2015-11-05 | Ygdal Naouri | Minimizing on-die memory in pull mode switches |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109639699A (zh) * | 2018-12-24 | 2019-04-16 | 华为技术有限公司 | 一种网络管理方法和装置 |
| CN109739722A (zh) * | 2018-12-24 | 2019-05-10 | 新华三技术有限公司 | 数据收集方法和刀箱 |
| CN109639699B (zh) * | 2018-12-24 | 2020-01-03 | 华为技术有限公司 | 一种网络管理方法和装置 |
| CN109739722B (zh) * | 2018-12-24 | 2023-04-07 | 新华三技术有限公司 | 数据收集方法和刀箱 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109039841B (zh) | 2021-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103595530B (zh) | 软件密钥更新方法和装置 | |
| CN103686717B (zh) | 一种物联网传感系统的密钥管理方法 | |
| CN101409619B (zh) | 闪存卡及虚拟专用网密钥交换的实现方法 | |
| CN101610150B (zh) | 第三方数字签名方法和数据传输系统 | |
| Sani et al. | Xyreum: A high-performance and scalable blockchain for iiot security and privacy | |
| CN101867473B (zh) | 抗阻塞攻击的共享媒体终端连接建立方法和接入认证系统 | |
| CN101808142B (zh) | 通过路由器或交换机实现可信网络连接的方法和装置 | |
| CN102752269A (zh) | 基于云计算的身份认证的方法、系统及云端服务器 | |
| CN114867014B (zh) | 一种车联网访问控制方法、系统、介质、设备及终端 | |
| CN114024698A (zh) | 一种基于国密算法的配电物联网业务安全交互方法及系统 | |
| CN110602083B (zh) | 一种数字身份认证数据的安全传输与存储方法 | |
| CN1848722B (zh) | 建立可信虚拟专用网连接的方法和系统 | |
| CN109039841A (zh) | 加入级联组网的方法、装置及刀箱 | |
| CN104010310B (zh) | 基于物理层安全的异构网络统一认证方法 | |
| CN115967941A (zh) | 电力5g终端认证方法及认证系统 | |
| CN107395627A (zh) | 一种基于单向函数的轻量级认证协议 | |
| CN106603512A (zh) | 一种基于sdn架构的is‑is路由协议的可信认证方法 | |
| CN114172930A (zh) | 一种大规模物联网服务域隔离通信方法、装置、电子设备及存储介质 | |
| CN112948868A (zh) | 一种基于区块链的电力数据存储方法及电力数据共享方法 | |
| WO2023236551A1 (zh) | 一种面向蜂窝基站的去中心化可信接入方法 | |
| CN101834852B (zh) | 一种保护平台信息的可信OpenSSH的实现方法 | |
| CN111314391A (zh) | 基于区块链的卫星网络安全路由方法 | |
| CN104486082A (zh) | 认证方法和路由器 | |
| CN114614984A (zh) | 一种基于国密算法的时间敏感网络安全通信方法 | |
| CN101827079A (zh) | 抗阻塞攻击的终端连接建立方法和终端访问认证系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310000 11/F, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant after: Xinhua Sanxin Information Technology Co., Ltd. Address before: 310000 11/F, 466 Changhe Road, Binjiang District, Hangzhou City, Zhejiang Province Applicant before: Huashan Information Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |