CN110383281A - 非对称系统与网络体系结构 - Google Patents

非对称系统与网络体系结构 Download PDF

Info

Publication number
CN110383281A
CN110383281A CN201780087854.XA CN201780087854A CN110383281A CN 110383281 A CN110383281 A CN 110383281A CN 201780087854 A CN201780087854 A CN 201780087854A CN 110383281 A CN110383281 A CN 110383281A
Authority
CN
China
Prior art keywords
equipment
user device
network
portal
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201780087854.XA
Other languages
English (en)
Inventor
格哈德·施瓦茨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of CN110383281A publication Critical patent/CN110383281A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/107Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/76Architectures of general purpose stored program computers
    • G06F2015/761Indexing scheme relating to architectures of general purpose stored programme computers
    • G06F2015/763ASIC
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • G06F21/76Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information in application-specific integrated circuits [ASIC] or field-programmable devices, e.g. field-programmable gate arrays [FPGA] or programmable logic devices [PLD]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明涉及一种新颖的系统和网络体系结构,其由于降低了所述用户使用的基础设施的复杂性而减轻了最终用户的负担。由于省略了用户端的处理器、操作系统和常规软件,因此简化了IT的使用,并且防止恶意软件渗透到属于最终用户的设备中。此外,该新结构使得甚至可以建立与IoT和工业4.0以及新业务模型相关的安全且更高效的网络,并且支持常规技术与该新结构的共存和转移。

Description

非对称系统与网络体系结构
背景技术
如今用于IT通信的网络通常基于根据TCP/IP标准对消息分组的处理,因此需要所参与的系统之间的对称协议栈。
这导致在软件中的大部分映射的功能对称性,从而导致相对高的复杂性以及对于与IT安全性相关的错误和弱点的许多可能性,尤其是在最终用户端。对使用的软件的频繁更改使整体情况复杂化。
许多最终用户通常无法完全理解该复杂性,并无法对各种错误作出适当的反应-这对丰富的知识支助有很高的要求,而往往没有提供足够水平的支助。这反过来又会严重影响应用的使用。
甚至比偶尔的故障更具损害性,并且所造成的代价是严重的IT安全事件,这可能导致非常高程度的损害和严重的声誉损失。在某些情况下(例如,通过工业间谍或破坏生产过程的专有技术排水),有关公司的存在可能受到威胁,并且会担心在关键的基础设施中(例如在能源供应环境中)产生更严重的影响。
即使训练有素的最终用户也只能在某种程度上检测到安全威胁,并且通常无法抵御有针对性的攻击,例如,由精明的网络犯罪分子或国家情报专家进行的攻击。如果关于打开所附文档或点击链接的通常警告不起作用,则尤其如此,因为给定的工作流程确实需要这样的操作。
主题“工业4.0”和“物联网”导致了与IT安全相关的进一步问题,这特别是由于大量的不同“物品”连接起来导致的。出于成本原因,这些物品具有的内部处理能力往往有限,这通常会阻碍更强大的安全措施的实施。另一个限制因素是大量缺失对这类“物品”的活动的人为控制。
从历史上看,互联网的发展主要集中在有限数量的善意、信任和合作的用户群体之间的通信。在全球的、高度异质和事实上不可信赖的环境中,缺乏适当的程序来可靠地管理和保护多样且复杂的通信过程。
如今,(常规的或基于云的)中央IT基础设施通常使用源自最终用户设备的标准技术来实现。这最初只需要相对较少的投资,但从操作方面,尤其是从IT安全角度来看,存在相当大的风险。考虑到这点,运行IT基础设施的总成本相当昂贵。
发明内容
本公开的主题是用于电子通信网络的构造和操作的非对称系统和网络体系结构,其提供更高的操作可靠性和提供更好的防止间谍和操纵的保护。此外,通过使用这种结构,大大降低了复杂性。这特别适用于最终用户设备领域,因此还自然具有更高的可靠性、更高的用户接受度和更低的操作成本。当点击受感染的链接或附件时,最终用户在很大程度上可以免于承担保护端点免受恶意软件侵害的责任,从而不会导致永久性的不利影响。
非对称系统和网络体系结构的基本特征是功能非对称性,这是由于各种功能从最终用户设备到受保护的中心节点(“主机”)的广泛重新定位,这些节点还可以被复制(可能多次),以便提高操作弹性。
另一方面,在该结构中,网络中的最终用户设备或端点的功能是受限的。它们仅包含与它们作为浏览器终端的操作所需的功能一样多的功能、或者与它们作为结合一些适当的中央应用的集中器/转换器的操作所需的功能一样多的功能。另外,在人工操作的终端设备的情况下,可以实现简单标准化的本地应用程序,诸如文字处理、电子表格、图像编辑、演示创建、地址和电话簿注册、中央密码管理、电子邮件、时钟和日历、聊天/社交网络、紧急呼叫、音频/视频应用、导航(用于移动设备)和类似的用途。
网络的端点通常用于连接设备,或者根据(34)为人类使用的安全最终用户设备,或者根据(46)为“物联网”(IoT)上的技术设备的无人值守操作提供的安全端点设备。混合形式和附加功能是可能的,例如,具有WLAN功能的特定组合的路由设备、DECT电话和用于家庭自动化的设备的ZigBee接口。
安全最终用户设备或安全端点的功能和应用在只读存储器中是被硬编码的,并且不能被远程地更改,例如,通过下载内容(诸如补丁、应用程序或插件)或固件更新来更改。因此,在非对称系统和网络体系结构中描述的安全最终用户设备和安全端点被保护免受恶意软件的在线攻击。当然,数据内容可以自由地传输。
为了在所述设备上进行功能上的改变和扩展,需要执行对只读存储器组件的本地更换。
采取保护措施以防止操纵和未经授权地更换这些存储器组件,例如,通过将存储器组件安装在设备内部或通过密封这些存储器组件的插槽。
此外,新的只读存储器组件的插入被自动地检测并记录,并且还显示在设备上。
网络体系结构提供了在端点与网络和/或主机基础设施之间使用若干、可能还不同的通信路径(例如,有线、无线或光纤)。通过由此实现的冗余,即使在通信路径和节点发生故障的情况下,该结构也允许连续的操作,并且支持不同的操作特性。
此外,上述通用设计还允许轻松转移到新的操作模式或协议,并且如果需要,允许简单地切换回先前的状态(“回退能力”)。
除了标准TCP/IP通信之外,该结构可选地或可替代地允许端点设备与网络元件或主机之间的点对点或多点连接,从而例如建立与用户数据流量并行的专用控制和消息信道,或提供具有短传播延迟或特定安全特性的连接。
通过特定网络元件,也可以在可用的连接路径(多路复用)内选择传输信道,或者切换临时或专用连接。从应用的角度来看,与经由TCP/IP的分组交换相比,可以具有显著的益处(例如,更低的延迟或更好的数据安全性)。这种措施还可以避免“分布式拒绝服务(DDoS)”对“域名系统(DNS)”的攻击。
如果配置允许,则支持将终端设备连接重定向到另一主机。
根据其设计,终端设备可以具有多个主机连接,并且可以处理不同区域(例如,屏幕窗口)中的数据,并且还可以在这些区域之间(例如,经由“复制和粘贴”)传输数据。
主机/门户功能优选地保存在安全环境中的单独的计算机上。它提供对更高级别IT系统的访问,所述更高级别IT系统诸如ERP或中央会计系统、消息或预订系统等,或者将流量转发到基于云的服务。
此外,安全最终用户设备或端点还可以可选地支持本地“离线主机”的直接连接,这些本地“离线主机”可以在现场提供额外的功能而无需将这些计算机直接连接到互联网。安全端点或最终用户终端提供安全的数据交换,但将离线主机与直接的外部访问隔离开。
可以通过使用具有用户ID、密码、系统-特定加密参数和应用-特定加密参数、应用-特定功能信息/参数等的适当令牌(例如芯片卡)来个性化终端或端点。这些令牌也可用于存储用户数据并将该数据传输到其他安全设备。
加密过程(优选为端到端,或仅用于网络的某些部分)由该结构来提供和支持。
安全最终用户设备和安全端点经由以下来控制:诸如ASIC或嵌入式控制器之类的硬件组件;以及包含在ROM(只读存储器)设备中的相关硬编码指令,其如已在(14)中所述的只能在本地交换。
安全最终用户设备和安全端点,以及用于控制它们的ROM,各自包含单独的标识物和版本信息,以监控所使用的安全设备或端点及它们当前部署的功能。
此外,经由诸如芯片卡或类似工具之类的令牌进行的个性化或认证/授权,可以支持诸如生物标识方法之类的其他变体。
对于其他应用(诸如使用搜索引擎、纯信息服务等),如果在相应配置中允许,则可以支持非个性化(匿名)操作。
安全最终用户设备可以支持各种使用模式,诸如移动操作,它们通常是支持多媒体的,可以支持消息系统并且可以包含如(11)中所述的本地用户功能。这些也可以在在线模式中使用,例如支持在本地表格结构中显示在线数据。
安全最终用户设备的物理形式可能由于各自的预期用途配置文件而有所不同,除了常规的桌面设备之外,诸如膝上型电脑、平板电脑和手持设备以及体戴式设备(例如,“智能手表”)之类的更多形式因素是可行的。所使用的协议和数据格式在这些形式因素之间是兼容的,并且由服务器端软件门户所支持。
安全最终用户设备和安全端点可以通过各种方式,诸如有线、无线或光学连接,而连接到外围设备,例如打印机、扫描仪、外部数据存储或多媒体设备。
作为根据权利要求1的安全最终用户设备的常规示例,图1示出了常规的便携式用户设备(“膝上型电脑”),其不包含常规的通用微处理器,也不包含诸如Windows或Linux之类的操作系统。这些设备的功能经由硬件实现,所述硬件诸如保存在只读存储器(ROM)中的固定程序、嵌入式处理器以及专用电路(ASIC)之类。
只能通过本地干预来更改基于硬件的设备功能(“更新”),并且可能需要破坏密封。插入新ROM需要签名验证,并且在设备内检测并在设备上显示,并且如果需要,可以发信号给一个或多个门户和/或网络节点。
通常,安全最终用户设备或安全端点除了包含控制与门户和网络节点的通信的设备ROM之外,还将包含其他基于ROM的程序,该程序可由设备供应商、相应的用户组织或由经认证的第三方产品供应商或服务提供商提供。
设备ROM和应用ROM的形式因素和技术接口可以是不同的,并且也可以与如今常用的存储卡不同,以便防止处理错误并降低本地攻击的风险。
令牌的形式因素(这里示出了个人芯片卡的示例)还应当设计为与通常的银行卡格式不同-例如,可以使用棒形或钥匙形的令牌。
令牌还可以存储用户数据,从而例如允许将文档传输到其他安全最终用户设备,而不必求助于可能不安全的云服务。
此外,令牌还可以包含用于认证和数据加密的签名、密码和其他参数。
经由安全最终用户设备或安全端点,还可以执行支付功能。图1中的图示示出了银行卡槽的示例,其中可以引入(通常配备有芯片的)借记卡或信用卡。
通常经由LAN或WLAN进行与安全最终用户设备和安全端点的通信。这些中的每个的两个连接在图1中示出,其可用于冗余操作模式。此外,还显示了两个USB端口以用于连接外围设备。这只是一个示例,可以有更多端口和可能的其他类型的连接(例如蓝牙)。
虽然可以使用可信平台模块(TPM),但这可能会被一些专家视为是有问题的,并且在这种环境中几乎不会提供附加价值。这同样适用于英特尔主动管理技术,由于集成管理引擎可能被滥用作外部攻击的“后门”,因此这会引发安全问题。
与如今流行的技术相比,非对称系统和网络体系结构所定义的安全设备由于其内部结构和功能而远不那么复杂,并且提供了更高的操作可靠性。可以经由相邻网络节点或关联的门户而轻易禁用有缺陷或丢失的设备。
系统管理变的更简单,而且是门户、网络节点和安全设备之间的协议的组成部分。通常不需要单独的设备管理功能。
在该结构中,人员使用的安全最终用户设备在功能上等同于安全端点设备,并且可以与安全端点设备共同操作,所述安全端点设备利用包括诸如家庭自动化和车联网之类的应用领域的工业环境(机器对机器,M2M)和“物联网”(IoT)中的通信而连接到机器、传感器和其他器具。
安全端点设备可以被特定设计用于相应的任务,例如作为连接气象测量站的简单适配器,或作为例如与工业厂房或大型机器结合使用地部署的较大单元,从而服务于大量传感器、执行器和控制设备。这些特定设计还可以集成到车辆、家庭自动化系统和其他与IoT相关的产品和环境中。
安全端点设备还可以包含服务于所连接的设备(例如传感器、控制设备、开关、灯等)的附加功能,其中这些功能无法以经济可行的方式在所述设备中实现。这些功能可包括例如特定应用的自定义或加密以及其他安全性特征。安全端点可以通过智能卡或类似工具“个性化”(即配置),以便支持所连接的设备的操作。
因此,连接到安全端点设备的“物品”(即设备)不需要通用微处理器和自己的操作系统,诸如Linux,并且不需要支持TCP/IP或其他互联网协议。因此,这种设备具有较低的生产和支持成本,并且不易受恶意软件的攻击,大大减少了IoT/工业4.0环境中的受攻击面。
这还降低了经由影响其他网络用户的“僵尸网络”(经由恶意软件劫持的设备组)进行攻击的风险。
图2示出了设计用于在IoT和工业4.0应用环境中的机器对机器(M2M)通信的安全端点设备的示例。
对于关键应用,这种安全端点通常将在冗余设置中进行操作。因此,该图显示了两个这样的设备,所述设备设计为在工业19”-机架内操作。安全设备和端点的协议支持在故障情况下的自动切换和冗余配置。
用于安全端点的组件与安全最终用户设备的组件大致相同。然而,它们的操作模式不同,因此在相应的ROM程序中也存在一些不同。
对于较大的任务,诸如对汽车工厂内的生产单元的控制,将需要更多且可能还不同的外部设备连接,诸如用于Profibus或Modbus之类的各种工业现场总线系统。这些特征可以集成到安全端点设备中,也可以由连接的自动化设备(如可编程的控制器)覆盖。
图2示出了具有四个LAN端口的安全端点,例如服务于两个端口,每个端口用于冗余访问外部网络和单独的内部生产网络。
内部生产网络还可以具有连接到它的本地(“离线”)主计算机,该本地主计算机不能从外部网络进行访问。该本地离线主机将通过其所连接的安全端点内的离线主机耦合功能与外部网络中的其他主机或安全最终用户设备或安全端点进行通信。该安全端点充当网关,即它在所涉及的实体之间安全地传输数据,并且在功能上被视为来自离线主机和来自外部网络二者的安全最终用户设备。
图2未显示任何内部WLAN连接,因为对于金属设备机柜内的19”机架而言,这些内部WLAN连接不太实用。这些WLAN连接很可能通过外部WLAN设备来实现。
同样,这里没有示出银行卡,因为在这样的环境中的任何支付功能可能以其他方式实现。
安全端点设备经由一个或多个ASIC/嵌入式处理器和永久存储在ROM组件中的固定程序来控制。
图2所示的ASIC在功能上与图1所示的组件相当,屏幕和键盘控制的功能可以用于驱动此处未示出的外部控制台设备。它可以经由冗余控制台总线对而连接到在一个或多个设备机柜内的多个安全端点设备。
与安全最终用户设备类似,安全端点设备内使用的各种参数和代码保存在诸如此处所示的芯片卡之类的令牌中。
除了前面描述的门户功能和安全最终用户设备以及安全端点功能之外,非对称系统和网络体系结构还包含网络元件(节点),它们中的一些提供基本的控制功能。
这些功能是用于处理标准的面向分组的TCP/IP流量的常见路由器功能,但此外还控制特定连接元件、多路复用器等,以提供临时或永久通信信道(有线/无线/光纤)。
这些功能还可以组合在网络节点中,例如用于使用多协议标签交换(MPLS)和其他高级网络功能。
这还允许创建专用连接以支持某些标准,诸如高级别的隐私或某些延迟要求。这些专用连接通常跟随例如经由辅助信道的连接请求,或者是永久设置的,或者是由网络临时创建的。
所描述的非对称系统和网络体系结构中的门户和网络元件可以采取适当的预防措施对抗外部攻击,例如,通过使用具有非常稳固的主存储器管理的操作系统,来防止覆写其他存储区域(“缓冲区溢出攻击”)。
此外,通过使用不涉及所谓的后门、投机处理、物理弱点和其他潜在漏洞的安全半导体技术,可以在门户和网络元件领域获得IT安全。
图3示出了非对称系统和网络体系结构的实现的示例,显示了其与常规互联网技术的共存。主机和网络节点可以通过常规的分组交换进行通信,以及通过其他连接或信道相互通信,以及可以通过安全最终用户设备和安全端点进行通信。多协议标签交换(MPLS)只是一种可以部署的方法。
作为应用示例,图3在左下方示出了小型用户组,其具有两种安全最终用户设备(分别是台式机形式和膝上型电脑形式),以及用于M2M通信的安全端点设备。
这些设备使用经由硬件或软件切换到下一网络节点的连接,并经由其他交换连接和网络节点与远程主机进行通信。本地(“离线”)主机经由安全端点连接,并且可以本地地访问,但从网络中不可见。具有本地设备和远程站点的数据流量在离线主机的控制下经由安全端点设备内的耦合功能来执行。
另外,安全最终用户设备可以经由常规的分组交换或经由与其他伙伴的交换连接(例如其他外部主机或基于云的产品提供的服务)进行通信。
所示的示例可以表示生产站点,所述生产站点使用本地主机进行生产控制,并且还与公司总部中的其他远程主机进行通信。本地主机在网路中不可见(“离线”)。远程维护操作(也用于机器和其他生产设备)可以经由安全端点进行路由,并且可以在离线主机的控制下被启动和执行。
为了确保高可用性,主机、网络和设备级别上的各种冗余是可能的,并且被非对称系统和网络体系结构的协议所支持。为了更清楚起见,图3中未示出这种冗余。
安全最终用户设备和安全端点支持(63)和(64)中描述的(经由硬件或软件的方式的)交换连接以及互联网上的常规分组交换,从而实现软转移。
在非对称系统和网络体系结构中操作安全最终用户设备和安全端点的一个重要的要求是使用适当设计的服务器端软件门户,提供与该结构中所述的安全最终用户设备和安全端点中的基于硬件的控制和功能一起工作的协议和接口。
参考文献
以下是选择的与当今系统和网络中发现的恶意软件相关的主题文章(部分是德语)的一小部分样本:
http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/Studien/it- sicherheitsmarkt-in-deutschland
http://www.computerwoche.de/a/wirkungslose-it-sicherheits- massnahmen.3229874
http://thehackernews.com/2013/11/Linux-ELF-malware-php-cgi- vulnerability.html
http://www.linux-magazine.com/Online/News/New-Worm-Attacks-Linux- Devices
http://thehackernews.com/2016/03/internet-of-thing-malware.html
http://www.eweek.com/security/stealthy-apache-exploit-redirects- victims-to-blackhole-rnalware
https://www.virusbulletin.com/virusbulletin/2014/07/mayhem-hidden- threat-nix-web-servers
https://www.akamai.com/de/de/about/news/press/2015-press/xor-ddos- botnet-attacking-linux-machines.isp
http://www.spiegel.de/international/world/regin-malware-unmasked-as- nsa-tool-after-spieeel-publishes-source-code-a-1015255.html
https://www.neowin.net/news/mamba-ransomware-encrypts-your-hard- drive-manipulates-the-boot-process
https://www.technologyreview.com/s/534516/holding-data-hostage-the- perfect-internet-crime/
https://en.wikipedia.ore/wiki/Denial-of-service attack
https://www.us-cert.gov/ncas/tips/ST04-015
http://ieeexplore.ieee.org/document/6158635/?arnumber=6158635
https://www.heise.de/newsticker/meldung/31C3-Warnung-vor-Secure-Boot- und-Trusted-Computing-2507013.html
https://www.oeffentliche-it.de/trendsonar
httn://thehackernewscom/2013/11/linux-FLF-malware-nhn-cgi- vulnerahility.html
http://www.linux-magazine.com/Online/News/New-Worm-Attacks-Linux- Devices
http://thehackernews.com/2016/03/internet-of-thing-malware.html
http://www.eweek.com/security/stealthy-apache-exploit-redirects- victims-to-blackhole-malware
https://www.virusbulletin.com/virusbulletin/2014/07/mayhem-hidden- threat-nix-web-servers
https://www.akamai.com/de/de/about/news/oress/2015-press/xor-ddos- botnet-attacking-linux-machines.isp

Claims (15)

1.安全最终用户设备,所述安全最终用户设备被限定作为新的非对称系统和网络体系结构的一部分,所述设备的特征在于将常见的个人计算机、工作站、膝上型电脑/笔记本电脑、平板电脑、智能手机、智能手表等的已知功能提供给最终用户,但是所述设备不包含常规的软件控制的通用微处理器,所述安全最终用户设备的功能基于硬件例如专用ASIC(专用集成电路)、以及包含在只读存储器模块中的固件,从而控制所述设备的功能和基于设备的固定应用程序,所述只读存储器模块的内容不能在线修改,功能改变或功能增强需要在本地对所述设备的物理访问,例如替换只读存储卡之类,任何此类功能修改都将被自动地记录,并将产生在所述设备上显示警告消息,在所述安全最终用户设备中,代码和数据内容被严格地分开,从外部将功能和应用程序下载到所述安全最终用户设备上是不可能的。
2.根据权利要求1所述的安全最终用户设备的对应设备,所述非对称系统和网络体系结构(ASNA)使用相关的门户软件(以下称为“门户”),所述门户软件运行于主机(10)上,并且支持硬件控制的所述最终用户设备的操作;通过结合,它们执行常规浏览器的功能并且为所述安全最终用户设备中可用的固定应用程序提供接口;所述门户软件连接到中央应用程序(例如ERP和CRM系统、预订和预约系统、支付系统、消息系统等),并且提供软件接口(API),从而允许软件供应商能够经由所述安全最终用户设备而使其产品可用;所述门户还允许转换页面内容,以使所述安全设备能够与现有网站进行通信;此外,所述门户支持能够联合处理安全最终用户设备和用于参见权利要求7的“物联网”的安全端点的统一协议。
3.根据权利要求1所述的安全最终用户设备,其特征在于,所述安全最终用户设备具有固定的、不可改变的设备标识、加上具有可用的若干存储插槽的任何已安装的固件和固定的应用程序的许可证标识和版本标识、以及经由诸如芯片卡或电子笔等令牌实现的当前活动的用户的安全标识;所述令牌对用户进行标识并为数据加密(例如端到端加密和VPN功能)提供控制信息,此外,所述令牌还能够被用来对设备和用户配置文件进行个性化;此外,所述令牌包含所述用户能自由使用的数据空间,例如以允许在不同的安全最终用户设备之间轻松地传输文档;在特定设备配置的情况下,安全最终用户设备能够允许没有令牌的操作,例如匿名从公共网站检索内容;交易通常需要经由令牌进行用户标识;支付能够要求使用额外的组件(例如带有芯片或磁条的银行卡)和相应的插槽;或者,在使用移动安全最终用户设备时,非接触式支付例如经由NFC支付是可能的,并且特别有用。
4.非对称系统和网络体系结构,其特征在于,能够经由两个或更多个单独的通信信道来连接根据权利要求1所述的安全最终用户设备,所述通信信道能使用不同的模式、协议和传输介质;由此能够包括支持常规的分组交换(TCP/IP)和临时或永久使用的点对点或多点连接;最终设备也能够同时使用不同的信道,例如用于标准数据通信的TCP/IP和用于控制和信令目的的交换连接;为了冗余,每个设备能够具有若干能服务于相同目的信道,所述体系结构支持在线操作期间的流量交换(例如,在主机系统故障时通过连接到其他主机,或者在线路故障时通过切换到蜂窝网络);由此还允许在分组交换和专用连接之间移动,并为软转移提供其他选项,如(17)、(18)和(19)。
5.根据权利要求1所述的安全最终用户设备,其特征在于,能够同时支持若干通信流到不同的主机,例如在不同的屏幕窗口中显示不同的内容,并在这些窗口之间传输内容(“复制和粘贴”);然而,与当前体系结构不同的是,能够以可靠和非常精细的方式对待使用的可用通道/窗口的数量以及应用程序和功能的类型进行个性化;最终用户的角色和权限能够通过所述令牌的中心个性化来精确限定,所述门户能够经由诸如白名单之类的适当措施来确保所述最终用户设备按照限定的策略正确使用;对于私人最终用户,通常使用公共通信提供商的门户,能够提供用于提供各种功能和资费选项的不同计划,也允许与其他安全最终用户设备一起使用个性化令牌;例如,这种私人资费计划能够指定与其供应商的门户的专用连接,所述门户也将根据需要连接到其他门户的明确限定的子集(例如订户银行的门户);这样的计划将提供非常高程度的保护,以防止窥探和操纵。
6.根据权利要求1所述的安全最终用户设备、以及根据权利要求7所述的安全端点,其特征在于,尽管缺乏通用微处理器和常规操作系统,但是通过利用硬件驻存功能,所述安全设备能够通过诸如USB或蓝牙之类的标准有线或者无线接口来处理诸如打印机、扫描仪、外部存储设备、音频/视频设备、家庭自动化设备和类似设备之类的外围设备。
7.非对称系统和网络体系结构,其特征在于,根据权利要求1所述的安全最终用户设备以及支持物联网功能且通常连接到无人值守设备的安全端点、传感器和类似设备都通过利用相同的协议集而与服务器端门户进行通信;所述安全最终用户设备和安全端点是以同样的方式“个性化”的,所述安全最终用户设备和安全端点都利用不可变的设备标识物及固件和固定程序的许可证和版本标识、以及经由物理令牌(如芯片卡)的当前用户/进程安全识别,并且使用类似的具有不同密钥的加密方法;安全端点还能够执行集中器功能,例如用于将许多传感器或致动器连接到端点,或者经由较少数量的共享通信信道为若干或许多安全最终用户设备服务;对于与安全端点的连接,能够利用两个现有接口(例如由工业控制器使用的标准总线系统)和新限定的接口;为了提高可靠性,能利用冗余方案例如以支持用于安全最终用户设备和安全端点二者的相同网络连接选项。
8.非对称系统和网络体系结构,其特征在于,基于互联网协议的常规分组交换与安全高效的线路或信道交换方法共存;能够建立一个混合通信环境,利用依目的构建的混合网络元件,为安全最终用户设备和安全端点提供服务;所述设备还能用作为“离线主机”的安全网关,允许网络与这种离线主机之间的数据交换,而不使所述离线主机从网络可见及可访问。
9.非对称系统和网络体系结构,其特征在于,如在权利要求2中所述门户执行的专用初始化能被指定用于连接权利要求1所描述的安全最终用户设备和根据权利要求7所描述的安全端点,以允许所述安全最终用户设备和安全端点经由网络进行通信,这包括在权利要求3中描述的设备标识的认证和注册,可选地还将网络使用限制到能够与该特定设备结合使用的一个或多个特定令牌;对于TCP/IP操作,通常将固定网络地址分配给所述设备或从属功能单元,根据(19),这些地址在经由相邻网络元件的操作期间被永久地检查,由此阻止由未注册单元发送的通信分组的转发;可选地,能利用一些地理围栏的方法,例如利用最终用户设备内的GPS接收器电路、端点或从属外围设备/IoT设备来防止被盗设备的未经授权的使用;对于安全最终用户设备或安全端点的调试,可选地,能够指定所述安全最终用户设备或安全端点的安装只能通过已经注册的移动安全最终用户设备来执行,这也能够提供地理围栏来保护。
10.在线路或信道切换的操作模式下的非对称系统和网络体系结构,其特征在于,临时或永久连接是由权利要求2中所描述的网络或门户集中控制的,其中有相关网络元件的参与;可选地,能够使用轮询方法,所述轮询方法能够提供流控制以防止网络或主机过载;通过使用专用连接能够提高通信质量(例如,快速和稳定的传输时间,增加的防止滥用间谍或通信转移(所谓的“中间人”攻击)的安全性)。
11.非对称系统和网络体系结构,其特征在于,具有内置的管理、监控和恢复功能,所述内置的管理、监控和恢复功能在故障或过载的情况下(通常通过启动备份或附加连接)提供自动校正,并且将相关的状态信息发送到网络控制中心;这能涉及关于网络和应用等级的响应时间监控,以及网络元件、主机与端点/设备之间的单独控制和信令连接;这些功能还能够用于对分组交换模式下的操作进行优化。
12.非对称系统和网络体系结构,其特征在于,具有用于混合操作(例如,在国际领域中的常规分组交换操作,其中,在具有更严格的数据保护规则的国家的专用连接上转发数据流量)以及用于与使用相应的门户或网络元件的公共和私有云系统的互操作性的设计。
13.非对称系统和网络体系结构内的中央计算机系统(主机),其特征在于,具有代表中央计算机系统(主机)在主机端门户中执行的特定功能,用以支持安全最终用户设备和安全端点设备及其基于硬件的操作模式;除了用于网站访问的常规浏览器功能之外,所述安全最终用户设备和安全端点设备中的固定程序能够帮助编辑和显示内容(例如,用于文档的内容),并且还能够与代表门户中或主机端上的安全设备所保持的应用程序一起工作;这种程序在功能上等同于所谓的“应用程序”,所述应用程序不能在所述安全设备上本地地运行;另外,所述门户提供与基于主机或基于云的应用程序的连接,并且支持安全功能,例如安全设备及其相应用户的身份验证以及数据流量或所述数据流量的部分的加密;此外,通过与网络结合,例如在停机或过载情况下被需要时,所述门户支持路由和恢复功能。
14.非对称系统和网络体系结构,其特征在于,门户和网络节点还能够被选择性地设计成用于通过使用特定的处理器硬件和操作系统以及通过不部署虚拟化方法(“裸机”操作)来提高安全性;这种措施将提高关键基础设施针对外部恶意软件攻击的稳固性。
15.非对称系统和网络体系结构的操作概念,其特征在于,为软件供应商、系统集成商和用户组织提供编程接口(API)和集中提供开发和测试工具,由此减少了对这种体系结构的进入障碍,并且还有助于改进权利要求14中概述的总体安全性;门户和网络节点将由数量有限的最大型知名组织来部署,由此降低攻击的风险。
CN201780087854.XA 2017-01-04 2017-01-04 非对称系统与网络体系结构 Pending CN110383281A (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/EP2017/050130 WO2018127278A1 (de) 2017-01-04 2017-01-04 Asymmetrische system- und netzwerkarchitektur

Publications (1)

Publication Number Publication Date
CN110383281A true CN110383281A (zh) 2019-10-25

Family

ID=58228063

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201780087854.XA Pending CN110383281A (zh) 2017-01-04 2017-01-04 非对称系统与网络体系结构

Country Status (6)

Country Link
US (1) US11373010B2 (zh)
EP (1) EP3566169B1 (zh)
JP (1) JP2020506490A (zh)
KR (1) KR20190103292A (zh)
CN (1) CN110383281A (zh)
WO (1) WO2018127278A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11528267B2 (en) * 2019-12-06 2022-12-13 Bank Of America Corporation System for automated image authentication and external database verification

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5799086A (en) * 1994-01-13 1998-08-25 Certco Llc Enhanced cryptographic system and method with key escrow feature
US20070083916A1 (en) * 2005-10-07 2007-04-12 William Coyle System for authentication of electronic devices
CN101394401A (zh) * 2002-05-17 2009-03-25 西蒙公司 提供通用非特指的数字和计算服务的系统和方法
US20090198618A1 (en) * 2008-01-15 2009-08-06 Yuen Wah Eva Chan Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce
CN202135171U (zh) * 2011-07-14 2012-02-01 邱丽芳 一种嵌入式远程智能升级装置
US20120233656A1 (en) * 2011-03-11 2012-09-13 Openet Methods, Systems and Devices for the Detection and Prevention of Malware Within a Network
WO2012130918A2 (de) * 2011-03-31 2012-10-04 Advanced Micro Devices, Inc. Schaltungsanordnung zum steuern eines elektronischen geräts und verfahren zu deren herstellung
JP2015091070A (ja) * 2013-11-07 2015-05-11 株式会社日立製作所 半導体素子、情報端末および半導体素子の制御方法、情報端末の制御方法
US20160063056A1 (en) * 2014-08-29 2016-03-03 Sap Se Generic utilization of on-premise query frameworks by new on-demand applications

Family Cites Families (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6792523B1 (en) * 1995-12-19 2004-09-14 Intel Corporation Processor with instructions that operate on different data types stored in the same single logical register file
US5940859A (en) * 1995-12-19 1999-08-17 Intel Corporation Emptying packed data state during execution of packed data instructions
US5883956A (en) * 1996-03-28 1999-03-16 National Semiconductor Corporation Dynamic configuration of a secure processing unit for operations in various environments
JP3701866B2 (ja) 2000-07-24 2005-10-05 株式会社エヌ・ティ・ティ・ドコモ 中継装置、通信端末、及びサーバ装置
US8659615B2 (en) * 2003-01-31 2014-02-25 Nvidia Corporation System and method for providing transparent windows of a display
US20050172280A1 (en) * 2004-01-29 2005-08-04 Ziegler Jeremy R. System and method for preintegration of updates to an operating system
US7581253B2 (en) * 2004-07-20 2009-08-25 Lenovo (Singapore) Pte. Ltd. Secure storage tracking for anti-virus speed-up
US20060053492A1 (en) * 2004-09-07 2006-03-09 Wallace David R Software tracking protection system
US7748031B2 (en) * 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
US9177153B1 (en) * 2005-10-07 2015-11-03 Carnegie Mellon University Verifying integrity and guaranteeing execution of code on untrusted computer platform
US7395394B2 (en) * 2006-02-03 2008-07-01 Hewlett-Packard Development Company, L.P. Computer operating system with selective restriction of memory write operations
US7904278B2 (en) * 2006-05-02 2011-03-08 The Johns Hopkins University Methods and system for program execution integrity measurement
US7613872B2 (en) * 2006-11-28 2009-11-03 International Business Machines Corporation Providing core root of trust measurement (CRTM) for systems using a backup copy of basic input/output system (BIOS)
JP2009038598A (ja) 2007-08-01 2009-02-19 Toshiba Corp 電子装置、携帯端末機器、携帯通信システム及びデータ移行プログラム
US20090204964A1 (en) * 2007-10-12 2009-08-13 Foley Peter F Distributed trusted virtualization platform
US20090205044A1 (en) * 2008-02-07 2009-08-13 David Carroll Challener Apparatus, system, and method for secure hard drive signed audit
US8650399B2 (en) * 2008-02-29 2014-02-11 Spansion Llc Memory device and chip set processor pairing
US9576272B2 (en) * 2009-02-10 2017-02-21 Kofax, Inc. Systems, methods and computer program products for determining document validity
WO2010092830A1 (ja) * 2009-02-16 2010-08-19 パナソニック株式会社 改竄監視システム、管理装置及び改竄管理方法
US9805196B2 (en) * 2009-02-27 2017-10-31 Microsoft Technology Licensing, Llc Trusted entity based anti-cheating mechanism
US10177934B1 (en) * 2009-09-04 2019-01-08 Amazon Technologies, Inc. Firmware updates inaccessible to guests
US9565207B1 (en) * 2009-09-04 2017-02-07 Amazon Technologies, Inc. Firmware updates from an external channel
US20110113230A1 (en) * 2009-11-12 2011-05-12 Daniel Kaminsky Apparatus and method for securing and isolating operational nodes in a computer network
US9256745B2 (en) * 2011-03-01 2016-02-09 Microsoft Technology Licensing, Llc Protecting operating system configuration values using a policy identifying operating system configuration settings
US9202059B2 (en) * 2011-03-01 2015-12-01 Apurva M. Bhansali Methods, systems, and apparatuses for managing a hard drive security system
US8601580B2 (en) * 2011-12-14 2013-12-03 Robert S. Hansen Secure operating system/web server systems and methods
JP2013179522A (ja) 2012-02-29 2013-09-09 Sharp Corp 電子機器
US9003346B1 (en) * 2012-05-17 2015-04-07 Cypress Semiconductor Corporation Stability improvements for timing-driven place and route
US9792439B2 (en) * 2012-09-19 2017-10-17 Nxp B.V. Method and system for securely updating firmware in a computing device
US8706081B1 (en) * 2012-12-18 2014-04-22 Google Inc. Packet inspection in near field communication controller for secure element protection
US9836418B2 (en) * 2013-03-13 2017-12-05 Dornerworks, Ltd. System and method for deterministic time partitioning of asynchronous tasks in a computing environment
JP6067449B2 (ja) * 2013-03-26 2017-01-25 株式会社東芝 情報処理装置、情報処理プログラム
US20150052616A1 (en) * 2013-08-14 2015-02-19 L-3 Communications Corporation Protected mode for securing computing devices
US9100175B2 (en) * 2013-11-19 2015-08-04 M2M And Iot Technologies, Llc Embedded universal integrated circuit card supporting two-factor authentication
US9530007B1 (en) * 2014-08-26 2016-12-27 Amazon Technologies, Inc. Identifying tamper-resistant characteristics for kernel data structures
US20160350534A1 (en) * 2015-05-29 2016-12-01 Intel Corporation System, apparatus and method for controlling multiple trusted execution environments in a system
US9826100B2 (en) * 2015-06-10 2017-11-21 Flexera Software Llc Usage tracking for software as a service (SaaS) applications
CN107615293B (zh) * 2015-06-17 2022-01-04 英特尔公司 包括期满检测的平台管理方法和装备
US20160378633A1 (en) * 2015-06-27 2016-12-29 Intel Corporation Repair of failed firmware through an unmodified dual-role communication port
JP6595822B2 (ja) * 2015-07-07 2019-10-23 キヤノン株式会社 情報処理装置及びその制御方法
US9935945B2 (en) * 2015-11-05 2018-04-03 Quanta Computer Inc. Trusted management controller firmware
US10009766B2 (en) * 2015-11-09 2018-06-26 Dell Products, Lp System and method for providing a wireless device connection in a server rack of a data center
US9779248B1 (en) * 2016-03-30 2017-10-03 Microsoft Technology Licensing, Llc Protection of secured boot secrets for operating system reboot
US10255072B2 (en) * 2016-07-01 2019-04-09 Intel Corporation Architectural register replacement for instructions that use multiple architectural registers
US20180054458A1 (en) * 2016-08-19 2018-02-22 Ddos Net, Inc. System and method for mitigating distributed denial of service attacks in a cloud environment

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5799086A (en) * 1994-01-13 1998-08-25 Certco Llc Enhanced cryptographic system and method with key escrow feature
CN101394401A (zh) * 2002-05-17 2009-03-25 西蒙公司 提供通用非特指的数字和计算服务的系统和方法
US20070083916A1 (en) * 2005-10-07 2007-04-12 William Coyle System for authentication of electronic devices
US20090198618A1 (en) * 2008-01-15 2009-08-06 Yuen Wah Eva Chan Device and method for loading managing and using smartcard authentication token and digital certificates in e-commerce
US20120233656A1 (en) * 2011-03-11 2012-09-13 Openet Methods, Systems and Devices for the Detection and Prevention of Malware Within a Network
WO2012130918A2 (de) * 2011-03-31 2012-10-04 Advanced Micro Devices, Inc. Schaltungsanordnung zum steuern eines elektronischen geräts und verfahren zu deren herstellung
CN202135171U (zh) * 2011-07-14 2012-02-01 邱丽芳 一种嵌入式远程智能升级装置
JP2015091070A (ja) * 2013-11-07 2015-05-11 株式会社日立製作所 半導体素子、情報端末および半導体素子の制御方法、情報端末の制御方法
US20160063056A1 (en) * 2014-08-29 2016-03-03 Sap Se Generic utilization of on-premise query frameworks by new on-demand applications

Also Published As

Publication number Publication date
WO2018127278A1 (de) 2018-07-12
EP3566169B1 (de) 2021-06-30
JP2020506490A (ja) 2020-02-27
EP3566169A1 (de) 2019-11-13
US20200285776A1 (en) 2020-09-10
KR20190103292A (ko) 2019-09-04
US11373010B2 (en) 2022-06-28

Similar Documents

Publication Publication Date Title
Al‐Turjman et al. An overview of security and privacy in smart cities' IoT communications
US10812526B2 (en) Moving target defense for securing internet of things (IoT)
Andrea et al. Internet of Things: Security vulnerabilities and challenges
Swamy et al. Security threats in the application layer in IOT applications
Nawir et al. Internet of Things (IoT): Taxonomy of security attacks
Zillner et al. ZigBee exploited: The good, the bad and the ugly
Yousuf et al. Internet of things (IoT) security: current status, challenges and countermeasures
Kim Security and vulnerability of SCADA systems over IP-based wireless sensor networks
Razouk et al. A new security middleware architecture based on fog computing and cloud to support IoT constrained devices
Samaila et al. Security challenges of the Internet of Things
Šarac et al. Increasing privacy and security by integrating a blockchain secure interface into an IoT device security gateway architecture
Cynthia et al. Security protocols for IoT
Rahouti et al. Secure software-defined networking communication systems for smart cities: current status, challenges, and trends
US20130332724A1 (en) User-Space Enabled Virtual Private Network
CN101802837A (zh) 通过对设备的动态地址隔离来提供网络和计算机防火墙保护的系统和方法
Islam et al. An analysis of cybersecurity attacks against internet of things and security solutions
Sedrati et al. A survey of security challenges in internet of things
CN110198297A (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
CN103457948A (zh) 工业控制系统及其安全装置
Moganedi et al. Beyond the convenience of the internet of things: Security and privacy concerns
Tawfik et al. A review: the risks and weakness security on the IoT
Poonia Internet of Things (IoT) security challenges
CN110383281A (zh) 非对称系统与网络体系结构
Sauter et al. IoT-enabled sensors in automation systems and their security challenges
Doghramachi et al. Iot threats and solutions with blockchain and context-aware security design: A review

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
REG Reference to a national code

Ref country code: HK

Ref legal event code: DE

Ref document number: 40016070

Country of ref document: HK

WD01 Invention patent application deemed withdrawn after publication
WD01 Invention patent application deemed withdrawn after publication

Application publication date: 20191025