CN109639650B - 基于分组纵向随机剖分与路径分离传输的保密通信方法 - Google Patents
基于分组纵向随机剖分与路径分离传输的保密通信方法 Download PDFInfo
- Publication number
- CN109639650B CN109639650B CN201811388997.7A CN201811388997A CN109639650B CN 109639650 B CN109639650 B CN 109639650B CN 201811388997 A CN201811388997 A CN 201811388997A CN 109639650 B CN109639650 B CN 109639650B
- Authority
- CN
- China
- Prior art keywords
- vpn
- tunnel
- relay
- transmission
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0485—Networking architectures for enhanced packet encryption processing, e.g. offloading of IPsec packet processing or efficient security association look-up
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于分组纵向随机剖分与路径分离传输的新型高安全保密通信方法,采取分组纵向随机剖分与分离路径传输控制的安全机制来防止敌手通过监听获取完整的密态IP报文,通过影子IP子网机制和三段安全中继隧道的封装传输来隐藏原始IP报文的真实IP地址,使敌手很难通过监听通信数据内容猜测出真实的通信用户。本发明设计的新型高安全保密通信方法,能够在公共互联网上以较低的投资代价建立高安全的保密通信VPN网络,能够防御各种监听手段的安全威胁,并且能够非常有效地对抗具有强大运算能力的量子计算机的破译分析攻击,既可作为机密通信的安全VPN使用,也又可作为具有较高安全需求的商用保密通信的安全VPN使用。
Description
技术领域
本发明涉及一种基于分组纵向随机剖分与路径分离传输的保密通信方法。
背景技术
目前,发达国家都在积极研发量子计算机,预计几年之内将很可能会出现真正意义的大型量子计算机。由于量子比特之间具有叠加与纠缠特性,使得量子计算机的计算能力能够随着量子比特数的增加而呈现指数级的增长,量子计算将对基于传统的组网模式与传输方式的保密通信形成巨大的安全威胁。
在现有的公共互联网中,各种网络设备总是存在一些安全漏洞,容易被敌手通过网络攻击手段植入监听木马,很容易获取VPN子网之间的通信数据。而且即使VPN子网之间基于专用的光缆直接连接,光纤中传输的光信号也容易被监听,通过解码复原出VPN通信数据。
在现有的VPN保密通信网中,在源IP子网接入的密码网关与目的IP子网接入的密码网关之间,采取公共互联网直接建立加密通信隧道连接的模式,即源VPN与目的VPN之间在逻辑上是“直接连接”的,没有隐藏保密通信的源地址与目的地址。此外,在大多数情况下,一个源IP子网与一个目的IP子网之间的流量几乎沿着相同的(MPLS、IPv6)流路径传输,敌手通过网络监听能够获得VPN保密网保护的两个IP子网之间的全部密态通信数据,容易被具有量子计算能力的敌手通过破译分析而恢复出通信的原始明文数据。
即使针对加密分组采用横向随机分段碎片化的多径传输技术,在敌对方监听到全部报文碎片并恢复出完整的加密分组进而恢复出完整的密文数据后,也可能无法抗击算力强大的量子计算的破译分析攻击。
不同于已有的基于报文横向分割的碎片化分段与多径传输方式,我们提出基于报文纵向分割的随机剖分与路径分离传输的新方法,以实现一种高安全的保密通信。
我们提出的基于分组随机剖分与路径分离传输的新型保密通信组网方法,针对要传输的每个密态IP分组,首先采取逐字节随机化剖分,其结果形成两个随机剖分的分组,并且给这两个随机剖分分组封装不同的源IP和目的IP地址,然后经过加密保护后分别从加密设备的两个物理端口上传送出去,在互联网的两个不同的路径上分离传输,各自经由三段隧道加密保护中继后才到达目的IP地址,使得敌手无法通过网络监听获得每个密态IP报文的任何原始片段和完整的数据传输流,也不能通过网络监听获得完整的密文数据,因而能够非常有效地对抗具有强大算力的量子计算机的破译分析攻击。
发明内容
为了增强现有保密通信技术的抗量子计算能力,本发明提供了一种基于分组纵向随机剖分与路径分离传输的新型高安全保密通信方法:首先,将源端加密报文随机纵向剖分并封装为不同的端-端通信IP地址对,隐藏用户之间的真实通信对应关系,以迷惑敌手;其次,以路径分离传输防止敌手通过网络监听获得完整的密态传输报文;然后,通过三次中继封装转发来对抗敌手对数据的源地址和目的地址的追踪;最后,分别通过用户之间的端-端对称加密和逐个中继段的对称加密,为每个随机化剖分报文提供传输保护。
本发明提出的这种新型的高安全的保密通信方法,为用户主机之间的动态密钥分发协议提供了基于报文剖分和路径分离传输的额外保护机制,防止敌手通过网络监听获得完整的密钥分发协议报文,极大地提升了端-端主机密钥分发过程的安全性。
本发明提出的这种新型的高安全的保密通信方法,能够使得敌手获得端用户之间传输的完整密态IP报文极其困难,因而具有对抗敌手运用网络监听和量子计算强大算力实施破译分析攻击的能力。采取本发明提供的技术,能够基于公共互联网建立高安全的保密通信网络。
本发明解决其技术问题所采用的技术方案是基于分组纵向随机剖分与路径分离传输的保密通信方法,包括如下内容:
(一)采用双子网和双链路的网络接入架构
每个VPN密码机通过两条链路分别接入互联网中两个不同的路由器,每个密码机通过以太网接口连接了一个用户物理IP子网。每个物理IP子网与一个影子IP子网一一映射,为密码机连接的用户物理IP子网接口和影子IP子网接口各自分别配置一个IP子网地址。物理IP子网和影子IP子网独自通过不同的链路接入互联网,在逻辑上是两个不同的IP子网通过各自的链路接入公共互联网。并且在密码机接入互联网的两个路由器中,分别将这两个IP子网的路由信息散布到互联网上。
(二)采用报文随机剖分的高安全防护机制
随机剖分机制将主机要发送的密态IP报文,基于实时动态产生的与报文长度相同的随机数,逐字节进行剖分运算,获得两个纵向剖分的剥离分组,并在其前面添加纵向剖分分组序号与不同的剖分标识值。对报文的纵向随机剖分彻底“破坏”了端用户发送的原始密态IP报文的完整性,而且同一个原始密态IP报文经纵向剖分得到的两个剖分分组,将分别经由两条不同的分离路径独自进行传输,使得敌手无法通过传输路径监听获得完整的原始密态IP报文。
(三)采用传输路径分离控制的高安全防护机制
通过预先为每一条传输路径设置的第一跳和第二跳中继VPN配置表,为每一对VPN节点之间的安全传输指定了两条不交叉的分离的传输路径。其中,在指定的第一条路径上,源-目的地VPN密码机的物理IP子网接口之间建立起三段安全中继隧道链接(物理逻辑路径);在指定的第二条路径上,源-目的地VPN密码机的影子IP子网接口之间也建立另外的三段安全中继隧道链接(影子逻辑路径)。通过为每个路径预置的第一跳中继VPN配置表和第二跳中继VPN配置表实施路径分离的传输控制。两条分离路径上各自具有不同的第一跳中继VPN地址和不同的第二跳中继VPN地址,使这两条路径避免出现交叉的现象。
路径源端VPN密码机不仅为剖分分组选择了不同的第一跳中继VPN来建立第一段安全中继隧道,并且在安全中继隧道封装的VPN安全隧道传输分组头中,还填充了分离路径上的第二次中继VPN的首选地址和3个备选地址(物理IP子网和影子IP子网的“接口”地址),以此实施能确保两个同源的剖分分组传输路径分离的控制。由产生剖分分组的源端VPN密码机根据预置的第一跳中继VPN配置表项,实施对剖分分组在分离路径上的第一跳中继VPN的选择控制;由执行第一次中继的VPN密码机,根据VPN安全隧道传输分组头中包含的第二次中继VPN的首选地址和3个备选地址,实施对剖分分组在分离路径上的第二跳中继VPN的选择控制。
(四)采取三重安全隧道封装和三段安全隧道中继的加密保护
第一层安全隧道是通信主机之间的端-端IP加密隧道,采取对称加密算法,其数据加密密钥由源IP主机与目的IP主机之间基于动态密钥分发协议直接协商,并且密钥分发协议报文由分组纵向随机剖分、分离路径传输、VPN隧道以及中继隧道机制提供安全保护;第二层安全隧道是源VPN密码机与目的VPN密码机之间的VPN安全加密隧道,采取对称加密算法,其数据加密密钥由源VPN密码机与目的VPN密码机之间基于动态密钥分发协议直接协商,并且VPN密码机为(物理逻辑路径上)物理IP子网之间和(影子逻辑路径上)影子IP子网之间的第二层安全隧道分别协商不同的隧道加密密钥。第三层安全隧道是每段中继隧道两端VPN密码机之间的加密隧道,采取对称加密算法,其数据加密密钥由中继隧道两端VPN密码机之间基于动态密钥分发协议直接协商。
(五)隐藏通信地址的安全保护机制
源-目的地VPN密码机之间每条路径上的VPN安全隧道加密报文流传输,都要经过安全中继隧道的两次中继封装转发,即经过了三段第三层隧道的加密封装中继传输过程,每一段中继隧道封装传输的IP报文的源-目的IP地址都完全不相同,其源IP和目的IP经过了两次改变,掩盖和隐藏了进行通信的VPN接入子网之间通信的原始数据报文的真实地址。此外,两条分离路径上建立的第二层VPN安全隧道的源-目的地IP地址完全不同,具有迷惑敌手的作用。
整个密态IP报文经过纵向随机剖分后,在分离的传输路径上,即使敌手破译了第二层和第三层的隧道加密,仅凭所获取的一半密态剖分报文,也无法知道其真实的源-目的地主机的IP地址。
(六)基于随机剖分与分离传输的主机密钥协商的安全保护机制
对于用户主机之间的数据通信保护密钥的协商过程,额外地增加了报文纵向随机剖分和路径分离传输以及隧道加密封装的安全防护,密钥协商协议的剖分分组分别经由物理逻辑路径和影子逻辑路径传输,极大地提升了主机之间密钥协商报文的传输安全性。主机之间密钥协商过程启动了两条分离传输路径上的第二层与第三层安全隧道的密钥协商与安全关联的建立过程。
(七)VPN安全隧道密钥协商报文识别机制
为了识别出安全隧道上传输的VPN密码机之间的密钥协商报文,将封装密钥协商协议报文的标准IP头内的协议代码字段设置为UDP协议的协议代码。而对VPN密码机传输/中继转发的主机业务流报文,将其安全隧道上封装传输的标准IP头内的协议代码字段设置为TCP协议的协议代码。
与现有技术相比,本发明的积极效果是:
在现有的公共互联网中,各种网络设备总是存在一些安全漏洞,容易被敌手通过网络攻击手段植入监听木马,很容易获取VPN子网之间的通信数据。而且即使VPN子网之间基于专用的光缆直接连接,光纤中传输的光信号也容易被监听,通过解码复原出VPN之间的通信数据。
本发明设计的新型高安全保密通信方法,采取分组纵向随机剖分与分离路径传输控制的安全机制来防止敌手通过监听获取完整的密态IP报文,能够极大地提高用户主机之间的密钥分发协议报文与加密数据报文的传输安全性,为保密通信网络额外地增加了一种安全防护手段,通过三段安全中继隧道的封装传输来隐藏原始IP报文的真实IP地址,使敌手很难通过监听通信数据内容猜测出真实的通信用户。
本发明设计的新型高安全保密通信方法,能够在公共互联网上以较低的投资代价建立高安全的保密通信VPN网络,能够防御各种监听手段的安全威胁,并且能够非常有效地对抗具有强大运算能力的量子计算机对保密通信内容的破译分析攻击,既可作为机密通信的安全VPN使用,也又可作为具有较高安全需求的商用保密通信的安全VPN使用。
附图说明
本发明将通过例子并参照附图的方式说明,其中:
图1为高安全保密通信网架构示意图;
图2为用户密态报文字节的纵向随机剖分原理图;
图3为三重安全隧道封装结构图。
具体实施方式
(一)技术原理方案
本发明提出的新型高安全保密通信方法,其核心理念主要为基于分组纵向随机剖分与路径分离传输控制技术,并且采取三重安全隧道封装和三段安全隧道中继。对于每个IP明文分组,分别进行了源-目的主机之间的端-端安全隧道的加密保护、用户端密态IP报文的纵向随机剖分、源-目的地VPN安全隧道的通信加密保护、路径分离传输以及每段安全中继隧道的加密保护,共五种安全保密通信防护机制。并且通过纵向随机剖分和路径分离传输控制机制,额外提高了用户主机之间的端-端密钥分发协议的安全性。通过采取这种新型的安全通信技术,既能防止敌手通过网络监听获取VPN用户之间完整的保密通信数据,又能为进行通信的用户身份提供隐藏保护。
本发明不涉及VPN保密子网IP主机之间的动态密钥协商、VPN密码机之间的安全中继隧道上的动态密钥协商的具体实现。
1、采用双子网和双链路的网络接入架构
本发明提出的新型高安全保密通信方法中,其保密通信网络架构如图1所示。保护用户IP子网的每个VPN密码机,将通过两条链路分别接入互联网中两个不同的路由器。每个密码机通过以太网接口连接了一个用户IP接入子网(物理IP子网),并且每个物理IP子网与一个虚拟的、实际不存在的影子IP子网一一映射对应。物理IP子网和影子IP子网与接入互联网的两条不同的链路一一对应,在逻辑上是两个不同的IP子网通过各自的链路接入公共互联网。影子IP子网的作用是隐藏VPN子网之间的真实通信,以影子子网之间的IP通信来迷惑敌手的网络监听。密码机的用户物理IP子网接口和实际上不存在的影子IP子网“接口”各自分别配置了一个IP地址,并且在密码机接入互联网的两个路由器中,分别将这两个一真一假的IP子网的路由信息散布到互联网上。
2、报文纵向随机剖分的高安全防护机制
本发明提出的新型高安全保密通信方法,其核心是基于分组纵向随机剖分与路径分离传输的设计思想,其报文纵向随机剖分的方法如图2所示。纵向随机剖分机制将主机要发送的密态IP报文,基于实时动态产生的与报文长度相同的随机数,逐字节进行剖分运算,获得两个纵向剖分的剥离分组,并在其前面添加一个递增的纵向剖分分组序号值与剖分标识值,避免纵向剖分分组乱序和防御报文重放攻击。对用户的密态IP报文实施纵向随机剖分,故意“破坏”原始密态IP报文的数据完整性。当具有相同纵向剖分分组序号且剖分标识值不同的两个随机剖分分组到达目的VPN密码机时,通过或运算就能快速恢复出原始的用户密态IP报文,通过物理IP子网接口转发给目的IP子网用户。
3、随机剖分报文传输路径分离控制的高安全防护机制
在VPN安全网络部署时,分别为每对VPN子网之间的安全保密通信规划两条分离的传输路径,并且通过预置的第一跳和第二跳中继VPN配置表分别指定了每条路径上的第一跳和第二跳中继VPN密码机的地址。这两条分离的传输路径,一条全部由VPN物理IP子网接口之间建立的三段安全中继隧道链接而成(物理逻辑路径),另一条全部由VPN影子IP子网“接口”之间建立的三段安全中继隧道链接而成(影子逻辑路径)。在每个分离的传输路径上,路径源端VPN密码机通过预先设置的第一跳中继VPN配置表,确定其下一跳中继VPN密码机地址。源端VPN产生的VPN安全隧道传输分组头中,填充了第二跳中继VPN配置表中预置的第二次中继VPN的首选地址和3个备选地址(物理IP子网接口地址/影子IP子网的“接口”地址)。由于为这两条路径预置了不同的第一跳中继VPN地址和不同的第二跳中继VPN地址,因而能够分别在源-目的地VPN物理IP子网接口之间的三段中继隧道和影子IP子网“接口”之间的三段中继隧道链接建立两条分离的传输路径,这种控制机制能够确保源-目的地VPN之间的两条传输路径尽可能地保持分离的状态,确保两个同源剖分的IP密态报文在分离开的路径上传输,所以能够尽量避免发生路径交叉的情况。
由纵向随机剖分剥离获得的两个同源剖分分组(剖分序号相同,但剖分标识值不同),将分别通过两条不同的分离路径进行传输。通过为每个路径预置的第一跳中继VPN配置表和第二跳中继VPN配置表实施路径分离的传输控制。
表1分离传输路径的第一跳、第二跳中继VPN配置表
4、基于三重安全隧道的加密保护机制
本发明提出的新型高安全保密通信方法,采取三重安全保密防护隧道,如图3所示。第一层安全隧道是通信主机之间的端-端IP加密隧道,采取对称加密算法,其数据加密密钥由源IP主机与目的IP主机之间基于动态密钥分发协议直接协商,由纵向随机剖分、传输路径分离控制以及隧道加密机制提高密钥分发协议报文的传输安全性,并且端-端主机之间密钥分发过程将触发两条分离路径上的源-目的地VPN安全隧道和三段中继隧道的密钥分发与安全管理的建立过程;第二层安全隧道是源VPN密码机与目的VPN密码机之间的VPN加密隧道,采取对称加密算法,其数据加密密钥由源VPN密码机与目的VPN密码机之间基于动态密钥分发协议直接协商;第三层安全隧道是中继隧道两端VPN密码机之间的加密隧道,采取对称加密算法,其数据加密密钥由中继隧道两端VPN密码机之间基于动态密钥分发协议直接协商。VPN密码机为物理IP子网之间和影子IP子网之间的第二层安全隧道分别协商不同的隧道加密密钥。
中继隧道封装IP头字段采取标准的IP协议封装格式。源-目的地VPN安全隧道传输封装头字段为24字节,内含有VPN安全隧道的源VPN地址、VPN安全隧道的目的VPN地址、中继路径上第二跳VPN首选地址以及3个第二跳VPN备选地址。纵向剖分分组序号字段为4个字节,其中31bit用作源-目的地之间的VPN安全隧道传输的剖分分组的序号,余下1bit用作标识纵向随机剖分出的两个不同的分组,“0”值标识的剖分分组经由物理逻辑路径传输,“1”值标识的剖分分组经由影子逻辑路径传输。
为了使经过三重隧道封装后的中继报文总长度部不超过1480字节,需要对源主机产生的密态IP长度进行限制。
5、隐藏通信地址的安全保护机制
在本发明提出的新型高安全保密通信方法中,源-目的地VPN密码机之间每条路径上的加密报文流传输都经过安全隧道的两次中继封装转发,即经过了三段第三层隧道的加密封装传输过程,每一段隧道封装传输的IP报文的源-目的IP地址都完全不相同,其源IP和目的IP经过了三次改变,掩盖和隐藏了进行通信的VPN接入子网之间通信的原始数据报文的真实地址。
整个密态IP报文经过纵向随机剖分后,在分离的传输路径上,即使敌手破译了第二层和第三层的隧道加密,仅凭所获取的一半密态剖分报文,也无法知道其真实的源-目的地主机的IP地址。
6、为主机密钥协商通信提供额外的高安全保护机制
在本发明提出的新型高安全保密通信方法中,为主机之间的数据通信保护密钥的协商过程,额外地增加了报文纵向随机剖分和路径分离传输以及隧道加密封装的安全防护,分别经由物理逻辑路径和影子逻辑路径传输,极大地提升了主机之间密钥协商报文的传输安全性。主机之间密钥协商过程启动了两条分离传输路径上的所有安全隧道的密钥协商与安全关联的建立过程。
7、VPN安全隧道密钥协商报文识别机制
为了识别出安全(中继)隧道上传输的VPN密码机之间的密钥协商报文,将封装密钥协商协议报文的中继隧道封装传输的标准IP头内的协议代码字段设置为UDP协议的协议代码。而对VPN密码机传输/中继转发的主机业务流报文,将其安全隧道上封装传输的标准IP头内的协议代码字段设置为TCP协议的协议代码。
(二)工作流程
对于主机之间传输的用户业务流报文,采取下面描述的安全隧道传输、安全中继隧道转发以及安全隧道接收的处理流程。
1、源VPN密码机采取的安全传输处理流程
当一个VPN密码机在其本地IP子网接口接收到某个主机的密态IP报文时,采取以下处理步骤:
第一步:源VPN密码机根据主机密态IP报文的目的IP地址,首先确定其传输路径上的目的地VPN密码机地址,然后判断与其目的地VPN密码机之间是否建立有(第二层)VPN安全隧道的安全关联。若未建立有安全关联,则分别在两条传输路径上启动动态密钥分发协议,与目的地VPN密码机直接协商两条传输路径上的数据加密密钥,并完成各自的安全关联,建立源VPN密码机与目的地VPN密码机之间在两条传输路径上的VPN安全传输隧道。如果在任何一条分离路径上,不能与目的地VPN密码机之间建立起安全关联,则丢弃该主机密态IP报文并结束处理流程。
第二步:针对目的地VPN分配一个31bit的递增的纵向剖分分组序号与剖分标识,并分别封装在报文头前面的纵向剖分分组序号字段与剖分标识内;
第三步:对主机的密态IP报文进行逐字节的随机剖分,形成两个包含密态剖分的数据分组的VPN安全隧道传输分组的载荷域;
第四步:基于两条传输路径的安全关联对应的工作密钥,分别对两个VPN安全隧道传输分组载荷域执行加密运算,并封装形成两个源-目的地VPN安全隧道传输分组;
第五步:根据其传输路径上的目的地VPN密码机地址,在各自对应的第二跳中继VPN配置表中分别查找到第二跳中继VPN的首选与3个备用地址,并分别封装填充到其对应的分离路径上的VPN安全隧道传输分组的源-目的地VPN安全隧道传输封装头字段内;
第六步:分别针对每个分离的传输路径,根据其目的VPN地址对应的第一跳中继VPN配置表项中预置的四个第一跳中继VPN地址判断,如果与它们中的任何一个VPN密码机之间都没有建立安全关联,则VPN密码机依次按照首选与备选顺序,启动动态密钥分发协议与其第一跳中继VPN密码机直接协商数据加密密钥,实现与其第一跳中继VPN密码机之间的安全关联,为每个分离路径建立起第一段安全中继传输隧道。如果,与这4个第一跳中继VPN之间都不能完成安全关联,则丢弃主机密态IP报文及其两个剖分分组,并结束处理流程;
第七步:分别基于第一段安全中继隧道的安全关联中的工作密钥,对两个VPN隧道传输分组执行中继隧道加密运算,然后进行安全中继隧道传输的IP封装,形成新的标准IP报文,通过相应的互联网链路向下一跳中继VPN密码机发送。
至此,源VPN密码机就完成了对本地IP子网主机产生的一个密态IP报文的传输安全处理流程。
2、第一跳中继VPN密码机的安全中继传输处理流程
当第一跳(第一次)中继VPN密码机接收到第一段安全中继隧道封装传输的IP加密报文时,采取以下步骤:
第一步:根据中继隧道封装IP报文头的源IP地址,查找并获得与该源IP地址对应的中继隧道段的源VPN密码机之间建立的安全关联信息,对中继隧道封装的IP密文载荷执行解密,获得其中封装载送的VPN安全隧道传输分组;
第二步:根据VPN安全隧道传输分组内封装的源VPN地址进行判断,若其源VPN地址与该安全中继隧道对端的VPN地址(即中继隧道封装IP报文头的源地址)相同,则确定本VPN为第一跳安全中继节点;
第三步:根据安全隧道传输分组头中包含的4个第二跳中继VPN地址判断,如果与它们中的任何一个VPN密码机之间都还没有建立安全关联,则VPN密码机启动动态密钥分发协议,按首选和备选的顺序依次尝试与其中的一个第二跳中继VPN密码机直接协商数据加密密钥,实现与第二跳中继VPN密码机之间的安全关联,建立起第二段安全中继传输隧道。若第二段中继传输隧道上的安全关联建立失败,则丢弃该安全隧道传输分组,结束处理流程;
第四步:以在第二段安全中继传输隧道上的安全关联中的工作密钥,基于预定的加密算法,对这个VPN安全隧道传输分组执行加密运算,然后进行VPN安全中继隧道传输IP封装,形成新的标准IP报文,经由公共互联网传输到第二段安全中继传输隧道对端的VPN密码机。
至此,第一跳中继VPN密码机就完成了对VPN安全隧道传输分组的第一跳安全中继处理流程。
3、第二跳中继VPN密码机的安全中继传输处理流程
当第二跳(第二次)中继VPN密码机接收到第二段安全中继隧道封装传输的IP加密报文时,采取以下步骤:
第一步:根据中继隧道封装IP报文头的源IP地址,查找并获得与该源IP地址对应的中继隧道段(第二段)的源VPN密码机之间建立的安全关联信息,对其安全中继隧道封装的IP密文载荷执行解密,获得其中封装载送的VPN安全隧道传输分组;
第二步:根据VPN安全隧道传输分组内封装的源-目的地VPN地址进行判断,若其源VPN地址与该安全中继隧道对端的VPN地址(即中继隧道封装IP报文头的源地址)不相同且其目的地VPN地址与本地VPN地址也不相同,则确定本VPN为第二跳安全中继节点;
第三步:根据VPN安全隧道传输分组包含的目的VPN地址判断,若没有建立安全关联,则VPN密码机启动动态密钥分发协议与其目的VPN密码机直接协商数据加密密钥,并完成安全关联,建立本VPN密码机与该目的VPN密码机之间的安全中继传输隧道;若第三段中继传输隧道上的安全关联建立失败,则丢弃该安全隧道传输分组,结束处理流程;
第四步:以第三段安全中继传输隧道上协商的工作密钥,基于预定的对称加密算法,对这个VPN安全隧道传输分组执行对称加密运算,然后封装为VPN安全中继隧道传输的IP加密报文,形成新的标准IP报文,经由对应的公共互联网接入链路传输到第三段安全中继传输隧道对端的VPN密码机。
至此,第二跳中继VPN密码机就完成了对VPN安全隧道传输分组的第二跳安全中继处理流程。
4、目的地VPN密码机的安全接收处理流程
当目的地VPN密码机接收到一个安全中继隧道封装传输的IP加密报文时,采取以下步骤:
第一步:根据中继隧道封装IP报文头的源IP地址,查找并获得与该源IP地址对应的中继隧道段(第三段)的源VPN密码机之间建立的安全关联信息,对第三段安全中继隧道封装的IP密文载荷执行解密,获得其中封装载送的VPN安全隧道封装传输的分组;
第二步:根据VPN安全隧道传输分组内封装的目的VPN地址进行判断,若其目的VPN地址与本地VPN密码机子网接口IP地址相同,则安全隧道传输分组已到达目的VPN密码机;
第三步:根据源-目的地VPN安全隧道的安全关联信息,对VPN安全隧道传输分组的载荷域执行解密运算;
第四步:根据其源VPN地址、纵向剖分分组序号以及剖分标识进行判断,若首次接收到源VPN的该剖分序号的剖分数据分组,则暂时保存;若根据分组剖分标识值确定已收齐该密态IP报文的两个剖分分组,则剥离源-目的地VPN隧道封装头和纵向剖分分组序号与剖分标识域字段,并基于或运算合并恢复出原始的主机密态IP报文,经由本地物理IP子网的接入接口转发给本地IP子网内的目的主机。
至此,目的VPN密码机就完成了对一个VPN安全隧道传输分组的接收处理流程。
Claims (5)
1.一种基于分组纵向随机剖分与路径分离传输的保密通信系统,其特征在于:包括如下内容:
(一)采用双子网和双链路的网络接入架构
每个VPN密码机通过两条链路分别接入互联网中两个不同的路由器,每个密码机通过以太网接口连接了一个用户物理IP子网;每个物理IP子网与一个影子IP子网一一映射,为密码机连接的用户物理IP子网接口和影子IP子网接口各自分别配置一个IP子网地址;物理IP子网和影子IP子网独自通过不同的链路接入互联网,在逻辑上是两个不同的IP子网通过各自的链路接入公共互联网,并且在密码机接入互联网的两个路由器中,分别将这两个IP子网的路由信息散布到互联网上;
(二)采用报文随机剖分的高安全防护机制
随机剖分机制将主机要发送的密态IP报文,基于实时动态产生的与报文长度相同的随机数,逐字节进行剖分运算,获得两个纵向剖分的剥离分组,并在其前面添加纵向剖分分组序号与不同的剖分标识值;
(三)采用传输路径分离控制的高安全防护机制
通过预先为每一条传输路径设置的第一跳和第二跳中继VPN配置表,为每一对VPN节点之间的安全传输指定了两条不交叉的分离的传输路径;通过为每个路径预置的第一跳中继VPN配置表和第二跳中继VPN配置表实施路径分离的传输控制;
路径源端VPN密码机不仅为剖分分组选择了不同的第一跳中继VPN来建立第一段安全中继隧道,并且在安全中继隧道封装的VPN安全隧道传输分组头中,还填充了分离路径上的第二次中继VPN的首选地址和3个备选地址,以确保两个同源的剖分分组传输路径分离的控制;
(四)采取三重安全隧道封装和三段安全隧道中继的加密保护
第一层安全隧道是通信主机之间的端-端IP加密隧道,采取对称加密算法,其数据加密密钥由源IP主机与目的IP主机之间基于动态密钥分发协议直接协商,并且密钥分发协议报文由分组纵向随机剖分、分离路径传输、VPN隧道以及中继隧道机制提供安全保护;第二层安全隧道是源VPN密码机与目的VPN密码机之间的VPN安全加密隧道,采取对称加密算法,其数据加密密钥由源VPN密码机与目的VPN密码机之间基于动态密钥分发协议直接协商,并且VPN密码机为物理IP子网之间和影子IP子网之间的第二层安全隧道分别协商不同的隧道加密密钥;第三层安全隧道是每段中继隧道两端VPN密码机之间的加密隧道,采取对称加密算法,其数据加密密钥由中继隧道两端VPN密码机之间基于动态密钥分发协议直接协商;
(五)隐藏通信地址的安全保护机制
源-目的地VPN密码机之间每条路径上的VPN安全隧道加密报文流传输,都要经过安全中继隧道的两次中继封装转发,每一段中继隧道封装传输的IP报文的源-目的IP地址均不相同,且两条分离路径上建立的第二层VPN安全隧道的源-目的地IP地址亦不同;
(六)基于随机剖分与分离传输的主机密钥协商的安全保护机制
对于用户主机之间的数据通信保护密钥的协商过程,额外地增加了报文纵向随机剖分和路径分离传输以及隧道加密封装的安全防护,密钥协商协议的剖分分组分别经由物理逻辑路径和影子逻辑路径传输;主机之间密钥协商过程启动了两条分离传输路径上的第二层与第三层安全隧道的密钥协商与安全关联的建立过程;
(七)VPN安全隧道密钥协商报文识别机制
将封装密钥协商协议报文的标准IP头内的协议代码字段设置为UDP协议的协议代码;对于VPN密码机传输/中继转发的主机业务流报文,将其安全隧道上封装传输的标准IP头内的协议代码字段设置为TCP协议的协议代码。
2.根据权利要求1所述的基于分组纵向随机剖分与路径分离传输的保密通信系统,其特征在于:所述源VPN密码机对本地IP子网主机产生的密态IP报文的安全传输处理流程包括:
第一步:源VPN密码机根据主机密态IP报文的目的IP地址,确定其传输路径上的目的地VPN密码机地址,判断与其目的地VPN密码机之间是否建立有第二层VPN安全隧道的安全关联:若未建立,则分别在两条传输路径上启动动态密钥分发协议,与目的地VPN密码机直接协商两条传输路径上的数据加密密钥,并完成各自的安全关联,建立源VPN密码机与目的地VPN密码机之间在两条传输路径上的VPN安全传输隧道;如果在任何一条分离路径上,不能与目的地VPN密码机之间建立起安全关联,则丢弃该主机密态IP报文并结束处理流程;
第二步:针对目的地VPN分配一个31bit的递增的纵向剖分分组序号与剖分标识,并分别封装在报文头前面的纵向剖分分组序号字段与剖分标识内;
第三步:对主机的密态IP报文进行逐字节的随机剖分,形成两个包含密态剖分的数据分组的VPN安全隧道传输分组的载荷域;
第四步:基于两条传输路径的安全关联对应的工作密钥,分别对两个VPN安全隧道传输分组载荷域执行加密运算,并封装形成两个源-目的地VPN安全隧道传输分组;
第五步:根据其传输路径上的目的地VPN密码机地址,在各自对应的第二跳中继VPN配置表中分别查找到第二跳中继VPN的首选与3个备用地址,并分别封装填充到其对应的分离路径上的VPN安全隧道传输分组的源-目的地VPN安全隧道传输封装头字段内;
第六步:分别针对每个分离的传输路径,根据其目的VPN地址对应的第一跳中继VPN配置表项中预置的四个第一跳中继VPN地址判断,如果与其中任何一个VPN密码机之间都没有建立安全关联,则VPN密码机依次按照首选与备选顺序,启动动态密钥分发协议与其第一跳中继VPN密码机直接协商数据加密密钥,实现与其第一跳中继VPN密码机之间的安全关联,为每个分离路径建立起第一段安全中继传输隧道;如果与这4个第一跳中继VPN之间都不能完成安全关联,则丢弃主机密态IP报文及其两个剖分分组,并结束处理流程;
第七步:分别基于第一段安全中继隧道的安全关联中的工作密钥,对两个VPN隧道传输分组执行中继隧道加密运算,然后进行安全中继隧道传输的IP封装,形成新的标准IP报文,通过相应的互联网链路向下一跳中继VPN密码机发送。
3.根据权利要求2所述的基于分组纵向随机剖分与路径分离传输的保密通信系统,其特征在于:第一跳安全中继VPN密码机接收到VPN安全中继隧道封装传输的密态IP报文时,执行的安全中继处理流程包括:
第一步:根据中继隧道封装IP报文头的源IP地址,查找并获得与该源IP地址对应的中继隧道段的源VPN密码机之间建立的安全关联信息,对中继隧道封装的IP密文载荷执行解密,获得其中封装载送的VPN安全隧道传输分组;
第二步:根据VPN安全隧道传输分组内封装的源VPN地址进行判断,若其源VPN地址与该安全中继隧道对端的VPN地址相同,则确定本VPN为第一跳安全中继节点;
第三步:根据安全隧道传输分组头中包含的4个第二跳中继VPN地址判断,如果与其中任何一个VPN密码机之间均未建立安全关联,则VPN密码机启动动态密钥分发协议,按首选和备选的顺序依次尝试与其中的一个第二跳中继VPN密码机直接协商数据加密密钥,实现与第二跳中继VPN密码机之间的安全关联,建立起第二段安全中继传输隧道;若第二段中继传输隧道上的安全关联建立失败,则丢弃该安全隧道传输分组,结束处理流程;
第四步:以在第二段安全中继传输隧道上的安全关联中的工作密钥,基于预定的加密算法,对这个VPN安全隧道传输分组执行加密运算,然后进行VPN安全中继隧道传输IP封装,形成新的标准IP报文,经由公共互联网传输到第二段安全中继传输隧道对端的VPN密码机。
4.根据权利要求3所述的基于分组纵向随机剖分与路径分离传输的保密通信系统,其特征在于:第二跳安全中继VPN密码机接收到VPN安全中继隧道封装传输的密态IP报文时,执行的安全中继处理流程包括:
第一步:根据中继隧道封装IP报文头的源IP地址,查找并获得与该源IP地址对应的中继隧道段的源VPN密码机之间建立的安全关联信息,对其安全中继隧道封装的IP密文载荷执行解密,获得其中封装载送的VPN安全隧道传输分组;
第二步:根据VPN安全隧道传输分组内封装的源-目的地VPN地址进行判断,若其源VPN地址与该安全中继隧道对端的VPN地址不相同且其目的地VPN地址与本地VPN地址也不相同,则确定本VPN为第二跳安全中继节点;
第三步:根据VPN安全隧道传输分组包含的目的VPN地址判断,若没有建立安全关联,则VPN密码机启动动态密钥分发协议与其目的VPN密码机直接协商数据加密密钥,并完成安全关联,建立本VPN密码机与该目的VPN密码机之间的安全中继传输隧道;若第三段中继传输隧道上的安全关联建立失败,则丢弃该安全隧道传输分组,结束处理流程;
第五步:以第三段安全中继传输隧道上协商的工作密钥,基于预定的对称加密算法,对这个VPN安全隧道传输分组执行对称加密运算,然后封装为VPN安全中继隧道传输的IP加密报文,形成新的标准IP报文,经由对应的公共互联网接入链路传输到第三段安全中继传输隧道对端的VPN密码机。
5.根据权利要求4所述的基于分组纵向随机剖分与路径分离传输的保密通信系统,其特征在于:目的地VPN密码机接收到VPN安全中继隧道封装传输的密态IP报文时,执行的安全接收处理流程包括:
第一步:根据中继隧道封装IP报文头的源IP地址,查找并获得与该源IP地址对应的中继隧道段的源VPN密码机之间建立的安全关联信息,对第三段安全中继隧道封装的IP密文载荷执行解密,获得其中封装载送的VPN安全隧道封装传输的分组;
第二步:根据VPN安全隧道传输分组内封装的目的VPN地址进行判断,若其目的VPN地址与本地VPN密码机子网接口地址相同,则安全隧道传输分组已到达目的VPN密码机;
第三步:根据源-目的地VPN安全隧道的安全关联信息,对VPN安全隧道传输分组的载荷域执行解密运算;
第四步:根据其源VPN地址、纵向剖分分组序号以及剖分标识进行判断,若首次接收到源VPN的该剖分序号的剖分数据分组,则暂时保存;若根据分组剖分标识值确定已收齐该密态IP报文的两个剖分分组,则剥离源-目的地VPN隧道封装头和纵向剖分分组序号与剖分标识域字段,并基于或运算合并恢复出原始的主机密态IP报文,经由本地物理IP子网的接入接口转发给本地IP子网内的目的主机。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811388997.7A CN109639650B (zh) | 2018-11-21 | 2018-11-21 | 基于分组纵向随机剖分与路径分离传输的保密通信方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811388997.7A CN109639650B (zh) | 2018-11-21 | 2018-11-21 | 基于分组纵向随机剖分与路径分离传输的保密通信方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109639650A CN109639650A (zh) | 2019-04-16 |
| CN109639650B true CN109639650B (zh) | 2021-04-13 |
Family
ID=66068735
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811388997.7A Active CN109639650B (zh) | 2018-11-21 | 2018-11-21 | 基于分组纵向随机剖分与路径分离传输的保密通信方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109639650B (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110233827A (zh) * | 2019-05-10 | 2019-09-13 | 匿名科技(重庆)集团有限公司 | 一种服务器的单层和多层防御系统 |
| CN110213257B (zh) * | 2019-05-28 | 2021-07-09 | 中国电子科技集团公司第三十研究所 | 基于真随机流异或加密的高安全ip保密通信方法 |
| CN113542197A (zh) * | 2020-04-17 | 2021-10-22 | 西安西电捷通无线网络通信股份有限公司 | 一种节点间保密通信方法及网络节点 |
| CN111669317B (zh) * | 2020-05-29 | 2022-11-04 | 深圳市风云实业有限公司 | 一种基于暗网寻路的跨域安全通信传输系统和方法 |
| US20220393981A1 (en) * | 2021-06-07 | 2022-12-08 | Vmware, Inc. | End-to-end qos provisioning for traffic over vpn gateway |
| US20230143157A1 (en) * | 2021-11-08 | 2023-05-11 | Vmware, Inc. | Logical switch level load balancing of l2vpn traffic |
| CN114244621B (zh) * | 2021-12-24 | 2023-11-28 | 北京科电航宇空间技术有限公司 | 一种多层级碎片化的高安全强度通信系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104821874A (zh) * | 2015-05-15 | 2015-08-05 | 长春大学 | 一种量子密钥应用于物联网数据加密传输的方法 |
| CN107241188A (zh) * | 2017-06-02 | 2017-10-10 | 丁爱民 | 一种量子存储数据编解码方法、装置及系统 |
| CN107453869A (zh) * | 2017-09-01 | 2017-12-08 | 中国电子科技集团公司第三十研究所 | 一种实现量子安全的IPSecVPN的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6754450B2 (en) * | 2001-01-30 | 2004-06-22 | The Regents Of The University Of California | Optical layer multicasting using a single sub-carrier header with active header detection, deletion, and new header insertion via opto-electrical processing |
| US20050063547A1 (en) * | 2003-09-19 | 2005-03-24 | Audrius Berzanskis | Standards-compliant encryption with QKD |
-
2018
- 2018-11-21 CN CN201811388997.7A patent/CN109639650B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104821874A (zh) * | 2015-05-15 | 2015-08-05 | 长春大学 | 一种量子密钥应用于物联网数据加密传输的方法 |
| CN107241188A (zh) * | 2017-06-02 | 2017-10-10 | 丁爱民 | 一种量子存储数据编解码方法、装置及系统 |
| CN107453869A (zh) * | 2017-09-01 | 2017-12-08 | 中国电子科技集团公司第三十研究所 | 一种实现量子安全的IPSecVPN的方法 |
Non-Patent Citations (2)
| Title |
|---|
| "VPN Service Provisioning via Virtual Router Deployment and Quantum Key Distribution";A. Aguado;《IEEE》;20180614;全文 * |
| "基于量子密钥的VPN密钥管理模型研究";赵菁;《万方》;20140505;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN109639650A (zh) | 2019-04-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109639650B (zh) | 基于分组纵向随机剖分与路径分离传输的保密通信方法 | |
| US11283772B2 (en) | Method and system for sending a message through a secure connection | |
| US11075892B2 (en) | Fully cloaked network communication model for remediation of traffic analysis based network attacks | |
| US8301789B2 (en) | Techniques for port hopping | |
| US7739497B1 (en) | Method and apparatus for anonymous IP datagram exchange using dynamic network address translation | |
| US20020042875A1 (en) | Method and apparatus for end-to-end secure data communication | |
| US8181014B2 (en) | Method and apparatus for protecting the routing of data packets | |
| US6826684B1 (en) | Sliding scale adaptive self-synchronized dynamic address translation | |
| US20020062344A1 (en) | Method and arrangement for secure tunneling of data between virtual routers | |
| CN103188351B (zh) | IPv6环境下IPSec VPN通信业务处理方法与系统 | |
| Datta et al. | {spine}: Surveillance protection in the network elements | |
| CN112470427A (zh) | 加密业务的安全业务可见性和分析法 | |
| JP2008104040A (ja) | 共通鍵生成装置および共通鍵生成方法 | |
| CN105072025B (zh) | 针对现代工业控制系统网络通信的安全防护网关及系统 | |
| CN101529805A (zh) | 中间设备 | |
| CN110011786B (zh) | 一种高安全的ip保密通信方法 | |
| CN110071943B (zh) | 密钥真随机变化的复合型高安全ip保密通信方法 | |
| CN103458046B (zh) | 一种基于核心网络的数据秘密共享系统及方法 | |
| CN111194541B (zh) | 用于数据传输的装置和方法 | |
| CN102833271B (zh) | 虚拟专用网络中安全隐患的解决方法 | |
| Farinacci et al. | Locator/ID separation protocol (LISP) data-plane confidentiality | |
| CN111683093A (zh) | 基于IPv6网络的动态隐蔽通信方法 | |
| Meier et al. | itap: In-network traffic analysis prevention using software-defined networks | |
| CN115348118B (zh) | 一种基于密码技术的网络地址和端口号隐藏方法 | |
| WO2019165235A1 (en) | Secure encrypted network tunnels using osi layer 2 protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |