CN110679129B - 保护第一与第二通信装置之间的通信的方法和通信装置 - Google Patents
保护第一与第二通信装置之间的通信的方法和通信装置 Download PDFInfo
- Publication number
- CN110679129B CN110679129B CN201880033932.2A CN201880033932A CN110679129B CN 110679129 B CN110679129 B CN 110679129B CN 201880033932 A CN201880033932 A CN 201880033932A CN 110679129 B CN110679129 B CN 110679129B
- Authority
- CN
- China
- Prior art keywords
- communication
- data
- communication device
- protection function
- cryptographic protection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000004891 communication Methods 0.000 title claims abstract description 241
- 238000000034 method Methods 0.000 title claims abstract description 32
- 101100408464 Caenorhabditis elegans plc-1 gene Proteins 0.000 claims abstract description 4
- 230000006870 function Effects 0.000 claims description 110
- 238000004519 manufacturing process Methods 0.000 claims description 12
- 238000009795 derivation Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 9
- 238000005516 engineering process Methods 0.000 claims description 5
- 238000003860 storage Methods 0.000 claims description 4
- 238000010348 incorporation Methods 0.000 claims 2
- 239000013589 supplement Substances 0.000 claims 1
- 230000005540 biological transmission Effects 0.000 description 8
- 101100190617 Arabidopsis thaliana PLC2 gene Proteins 0.000 description 7
- 101100408456 Arabidopsis thaliana PLC8 gene Proteins 0.000 description 7
- 101100464304 Caenorhabditis elegans plk-3 gene Proteins 0.000 description 7
- 101100093534 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) RPS1B gene Proteins 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 102100026205 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Human genes 0.000 description 4
- 101000691599 Homo sapiens 1-phosphatidylinositol 4,5-bisphosphate phosphodiesterase gamma-1 Proteins 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 101000997798 Pseudomonas alcaligenes Gentisate 1,2 dioxygenase 1 Proteins 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000001681 protective effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0478—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0464—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/083—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
- H04L9/0833—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
在此,该通信网络具有至少一个网络元件(NE),通过该网络元件来引导属于通信的数据。该方法具有如下步骤:‑借助于第一加密保护功能来保护数据(D),这些数据由至少一个第一通信装置(PLC1)传输到至少一个第二通信装置(PLC2);‑提供第二加密保护功能,该第二加密保护功能保护在通信装置与网络元件之间的消息,这些消息经由该至少一个网络元件从第一通信装置被引导到至少第二通信装置而且这些消息包含这些数据;‑由该至少一个网络元件来提供检查功能,该检查功能依据第二保护功能来检查这些消息的可信性和/或完整性;‑根据该检查功能的检查(4)的结果来继续(6)或者停下(5)通信;‑其中在继续通信的情况下,这些数据借助于第一保护功能保持被保护,直至由至少第二通信装置接收到这些数据。
Description
技术领域
本发明涉及一种用于保护尤其是在工业制造和/或自动化的环境下的优选地有实时能力的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的方法、通信系统、网络元件和通信装置,其中该通信网络具有至少一个网络元件,通过该网络元件来引导属于通信的数据,以及本发明涉及一种所属的计算机程序(产品)。
背景技术
在现代自动化设施中,为了控制制造过程或者各个生产步骤,使用IT系统。为了在这种设施中现场设备、如传感器和执行机构(执行器)可以与自动化设备进行通信,尤其使用所谓的现场总线作为通信总线系统,该现场总线更确切地说是在第2层的协议。对于通信来说存在标准化的协议,例如IEC 61158。存在有实时能力的基于以太网的现场总线,所述现场总线例如在IEC 61784-2标准下被组织。经常使用的有实时能力的现场总线是Profibus和Profinet、Ethercat以及Modbus。在应用层(第7层)存在其它协议,例如OPC-UA、S7、http等等。
工业现场总线协议的安全性对于工业制造环境来说是重要的。对彼此进行通信的组件、如机构或设备的(加密)保护越来越重要,以便可以确保安全的运行。通过加密保护功能,可以实现如组件的完整性、机密性或可信性那样的目标。由此,阻挡蓄意的、目标明确的攻击。
在本说明书的范围内,术语“安全性”基本上涉及数据及其传输的安全性、机密性和/或完整性,而且也涉及在访问相对应的数据时的安全性、机密性和/或完整性。在数据传输时或在数据访问时的认证尤其也属于术语“安全性”。一般,加密功能例如被理解为用于对数据(例如用户数据、控制数据、配置数据或管理数据)进行加密、进行机密性的保护、进行完整性保护和/或进行认证的功能。在此,加密保护功能例如可以包括随后列举的功能中的一个或多个功能:
- 密钥存储
- 系统和/或用户认证
- 证明
- 加密(利用密钥或组密钥)
- 解密
- 计算加密校验和(例如签名)
- 检查加密校验和(例如签名)
- 密钥协商
- 密钥生成
- 生成随机数(例如种子生成)
- 许可
- 辅助系统监控功能(例如篡改保护、系统完整性、SIEM)
- 监控数据
- 使数据生效
- 对数据进行过滤。
在此,所列举的加密功能可以分别重新用另外的/其它的方法或者这些方法的组合来实施。
例如,用于在所提到的组件、即通信装置和网络元件之间的数据传输或通信的数据接口可以是有线或无线接口(例如移动无线电接口(GSM、UMTS、LTE、5G或诸如此类的)、WLAN接口、蓝牙接口、ZigBee接口(尤其是在家装服务中使用)或NFC接口(NFC:近场通信))。在此,数据接口可以被构造和设立为串行或并行数据接口。在组件之间的通信并不限于点对点(端(Peer))通信。也可设想的是分组通信、广播消息或发布/订阅通信模式。
通信(终端)装置可以是现场设备、工业控制装置、工业PC、手提式计算机系统、口袋PC(Pocket-PC)设备、移动无线电设备、智能电话、平板电脑以及其它可计算机辅助地处理数据的通信设备、处理器和其它用于数据处理的电子设备。
保护工业组件和机器的措施是根据它们的可信度和它们的保护需求将它们分成不同的区(区模型)。在这种区之内通常不使用其它保护措施。这些区大多被设计为使得进行在该区之内的组件之间的通信并且只能有条件地与在自己的区之外的组件进行通信。在该区之内的内容或节点或组件受保护而且存在与其它区的专用过渡点。
在将来的工业4.0场景的进程中,这种区保护设计不再适合,因为越来越多地超越区界限地进行通信。这种过渡点常常使数据流延迟而且因此影响实时响应。此外,在这种场景下,这些组件应该能更灵活地使用。借此,静态/物理导向的解决方案不再实用。
在传统的IT网络中,常常使用TLS(Transport Layer Security(传输层安全))或IPSec(Internet Protokoll Security(互联网协议安全)),作为安全协议。如该长名称已经提及的那样,TLS被限定在通信技术中使用的OSI参考模型或者类似的网络模型(诸如TCP/IP栈(Stack))的第4层(Layer 4或传输层)上而IPSec被限定在通信技术中使用的OSI参考模型或者类似的网络模型(诸如TCP/IP栈(Stack))的第3层(网络层)。更确切地说,第4层协议并不适合于分组通信。
与TLS相关联,D. Naylor等人的“Multi-Context TLS (mcTLS): EnablingSecure In-Netzwork Functionality in TLS”(SIGCOMM '15,2015年8月17-21日,伦敦,英国)提出了以多文本TLS(mcTLS)形式的扩展,该多文本TLS支持所谓的中间盒(Middlebox),也称作代理或路径内(in-path)服务,该中间盒可以被临时插入到端对端连接中。该中间盒借助于mcTLS来保护。最后,网络元件接着也必须被认证并且接着一组的成员不符合期望,如下文所阐述的那样。
从US 9348049 B2公知一种安全传输数据的方法或设备。为此,描述了会话概念,该会话概念在应用层使用加密方法。因此,在传统方法中,点对点连接仅仅可以在传输层充分地被保护,而对数据的完整性保护和机密性保护也可以在应用层实现。
到目前为止,逻辑通信路径不通过加密措施来保护。在通信(终端)装置之间的逻辑通信路径可以通过数据包中的标识符来实现。
但是,在将来,这种逻辑通信路径明显可以利用像组密钥和GDOI(RFC 6407)那样的方案来保护。这里,也存在如下问题:不是或也不应该是逻辑通信路径的组的组成部分的网络元件不能检查消息是不是由该组的普通成员发送的。由此,在网络元件上形成所谓的阻断服务攻击向量,该网络元件可以通过在(通信)网络中的通信的消息洪流来排除终端成员或通信装置。在自动化环境下使用这种类型的分段时,这不能接受,因为在运营商那里可用性处于首位。出于该原因,设计出VLN(virtuelle logische Netzwerke(虚拟逻辑网络))架构,其中通过同一物理网络进行通信的成员组虚拟地分离。这些VLN组明显可以用像组密钥和GDOI(RFC 6407)那样的方案来保护,所具有的缺点是:这些网络元件由于知道密钥而表现得像通信装置。该方案以以下机制来扩展,在该机制中这种类型的攻击不再可能。
可能的基于以太网的协议在OSI参考模型的第2层使用。所谓的数据链路层(第2层)通常负责没有错误的数据传输而且必要时负责对发送方侧和接收方侧的数据流控制。通常,消息或数据流被分成块(也称作Frames/帧)。借助于校验和仅能识别有错误的数据传输。不存在防主动篡改的保护。当前的现场总线协议不知道安全措施,除了上面提到的区模型的安全措施之外。
在IEEE标准802.1AE或IEEE 802.IX下描述的MACSEC在第2层上工作,而且按标准只能够实现点对点安全/加密。为了保护分组通信,在网络元件之间的所有单独的点对点连接都必须予以配置。如果MACSEC应该被扩展用于分组通信,这可与在第2层的特定的VLN区比较。不过,利用该方案不能实现多个独立的VLN。此外,这些网络元件是该组的成员而且同样遭受上文提到的问题。
本发明的任务是改善用于在至少两个通信装置之间的通信的安全或保护措施,该通信经由至少一个网络元件来引导。
发明内容
该任务通过专利独立权利要求来解决。有利的扩展方案是从属权利要求的主题。
本发明要求保护一种用于保护尤其是在工业制造和/或自动化的环境下的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的方法,其中该通信网络具有至少一个网络元件,通过该网络元件来引导属于通信的数据,该方法具有如下步骤:
- 借助于第一加密保护功能来保护数据,这些数据由至少一个第一通信装置传输到至少一个第二通信装置;
- 提供第二加密保护功能,该第二加密保护功能保护在通信装置与网络元件之间的消息,这些消息经由该至少一个网络元件从第一通信装置被引导到至少第二通信装置而且这些消息包含这些数据;
- 由该至少一个网络元件来提供检查功能,该检查功能依据第二保护功能来检查这些消息的可信性和/或完整性;
- 根据检查功能的检查的结果来继续或者停下通信;
- 其中在继续通信的情况下,这些数据借助于第一保护功能保持被保护,直至由至少第二通信装置接收到这些数据。
本发明并不限于在组之内的点对点通信,而是也可以服务于一点对多点通信(广播)。也可设想的是:在通信网络中布置有多个检查机构,所述检查机构分别承担针对该通信网络的一个分区的可信性或完整性检查而且必要时由其它上级机构来协调。
本发明的优点在于识别和阻挡攻击,其中未经授权的攻击者想要访问机构或设备。通过网络元件上的附加的优选地独立的认证层,可以监控消息的可信性和/或完整性。
本发明的另一优点在于:本发明并不限于开头阐述的区,而是必要时可以跨多个过渡点地来使用。
本发明的一个扩展方案规定:第二保护功能包括第一保护功能并且与第一保护功能在密码上无关。
本发明的一个扩展方案规定:为了继续通信,包含借助于第一保护功能保持被保护的数据的消息以借助于第二保护功能保护的方式被传导到至少第二通信装置。
本发明的一个扩展方案规定:在所提到的通信装置之间的通信通过虚拟逻辑通信网络来实现。
本发明的一个扩展方案规定:为了在通信装置之间进行通信,采用在通信技术中所使用的OSI参考模型或者类似的网络模型的第2层的通信协议。
本发明的一个扩展方案规定:为了在通信装置之间进行通信,采用在通信技术中所使用的OSI参考模型或者类似的网络模型的第3层、也称作网络层的通信协议。
因此,优选低于第4层的通信协议,其尤其适合于有实时能力的通信网络。
本发明的一个扩展方案规定:第一保护功能使用第一密钥、尤其是第一组密钥。
本发明的一个扩展方案规定:第二保护功能使用第二密钥、尤其是第二组密钥。
本发明的一个扩展方案规定:第一密钥从第二密钥推导出。
本发明的一个扩展方案规定:属于这些通信装置的机密、尤其是组机密加入到密钥推导功能中。
本发明的一个扩展方案规定:在提供第二加密保护功能之前,可以用其它数据(D')来对数据(D)进行补充。接着,这些附加的或其它的数据可以通过通信路径上经授权的网络元件来修改或补充并且通过第二保护功能来保护。
因此,在网络元件层,这些数据在消息中受保护地被传输。
本发明的另一方面规定了一种用于保护尤其是在工业制造和/或自动化的环境下的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的通信系统,其中该通信网络具有至少一个网络元件,通过该网络元件来引导属于通信的数据,该通信系统具有:
- 如下装置,该装置用于借助于第一加密保护功能来保护数据,这些数据由至少一个第一通信装置传输到至少一个第二通信装置;
- 如下装置,该装置用于提供第二加密保护功能,该第二加密保护功能保护在通信装置与网络元件之间的消息,这些消息经由该至少一个网络元件从第一通信装置被引导到至少第二通信装置而且这些消息包含所述数据;
- 如下装置,该装置用于提供检查功能,该检查功能被设计为依据第二保护功能来检查这些消息的可信性和/或完整性;
- 如下装置,该装置用于根据检查功能的检查的结果来继续或者停下通信;
- 其中在继续通信的情况下,这些数据借助于第一保护功能来保持被保护,直至由至少第二通信装置接收到这些数据。
本发明的一个扩展方案规定:在提供第二加密保护功能之前,可以用其它数据(D')来对数据(D)进行补充。接着,这些附加的或其它的数据可以通过通信路径上经授权的网络元件来修改或补充并且通过第二保护功能来保护。
本发明的另一方面规定了一种适合于支持尤其是在工业制造和/或自动化的环境下的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的受保护的通信的网络元件,其中通过该网络元件来传导属于通信的数据,该网络元件具有:
- 如下装置,该装置用于从如下加密保护的消息中读取加密保护的数据,这些加密保护的消息经由该网络元件从第一通信装置被传导到至少第二通信装置;
- 如下装置,该装置用于提供检查功能,该检查功能被设计为检查所读取的消息的可信性和/或完整性;
- 如下装置,该装置用于根据检查功能的检查的结果来继续或者停下通信;
- 其中在继续通信的情况下,所读取的在到达该网络元件之前已借助于第一保护功能来加密保护的数据借助于保护功能来保持被保护,直至由至少第二通信装置接收到这些数据;和
- 如下装置,该装置用于提供第二加密保护功能,该第二加密保护功能在继续通信的情况下保护由该网络元件传输到至少第二通信装置并且包含这些数据的消息。
本发明的一个扩展方案规定:在提供第二加密保护功能之前,可以用其它数据(D')来对数据(D)进行补充。接着,这些附加的或其它的数据可以通过通信路径上经授权的网络元件来修改或补充并且通过第二保护功能来保护。
本发明的另一方面规定了一种用于保护尤其是在工业制造和/或自动化的环境下的通信网络之内的与至少一个其它的通信装置的通信的通信装置,其中该通信网络具有至少一个网络元件,通过该网络元件可以引导属于通信的数据,该通信装置具有:
- 如下装置,该装置用于借助于第一加密保护功能来保护数据,这些数据由该通信装置传输到至少一个第二通信装置;
- 如下装置,该装置用于提供第二加密保护功能,该第二加密保护功能保护在通信装置与网络元件之间的消息,这些消息经由该网络元件被引导到至少第二通信装置而且这些消息包含这些数据;
- 其中根据所保护的消息的可信性和/或完整性检查的结果,在继续通信的情况下,通过第一保护功能来保护的数据借助于第一保护功能保持被保护,直至由至少第二通信装置接收到这些数据。
本发明的一个扩展方案规定:在提供第二加密保护功能之前,可以用其它数据(D')来对数据(D)进行补充。接着,这些附加的或其它的数据可以通过通信路径上经授权的网络元件来修改或补充并且通过第二保护功能来保护。
该系统、装置和网络元件可以根据关于上面提到的方法的实施方式/扩展方案来构造或扩展。
上文提到的单元或装置可以以软件、固件和/或硬件来实现。这些单元或装置可以被理解为一种功能单元,所述功能单元也可以在其功能方面以任意的组合来集成为唯一的单元。
本发明的另一方面可以是计算机程序或具有至少一个计算机程序的计算机程序产品,该计算机程序或该计算机程序产品具有如下装置,所述装置用于当该计算机程序(产品)或该至少一个计算机程序在根据上面描述的类型的通信系统之内分散地被实施时执行该方法及其所提到的设计方案。
上面的装置、系统以及必要时计算机程序(产品)可以基本上类似于该方法及其设计方案或扩展方案地相对应地被构造或扩展。
附图说明
一个或多个实施例:
本发明的其它优点、细节和扩展方案从随后结合附图对实施例的描述中得到。
在此,图1和2示出了按照本发明的用于在两个通信装置之间的逻辑通信连接的可信性和/或完整性检查的方法,其中包含数据的消息通过一个或多个网络元件来传导。
具体实施方式
图1和2分别示出了在例如开头提到的虚拟逻辑网络(VLN)的通信网络之内的攻击场景,其中攻击方A试图攻击通信网络的可能的多个网络元件中的一个网络元件NE。通过在网络元件NE处馈入消息,攻击方A想要干扰在通信装置PLC1与PLC2之间的通信。这些通信装置可以是ICS组件(Industrial Control System(工业控制系统))。在所有到达网络元件的、双倍地受到可信性/完整性保护的消息中,网络元件NE检查认证信息、例如MAC,以便确定是不是通信网络的被认证的组成员的消息。如果情况不是如此,例如因为有攻击方在不能生成正确的认证信息的情况下馈入消息,所涉及的数据包被挑出并且不由网络元件转发。
在图1和2中,指向左/右的书名号(<,>)代表受可信性/完整性保护的消息,而方括号([,])代表可以受机密性保护的数据(包)。
这些数据在端到端或在点对点传输路径上两次受保护(虚线和点线矩形)。
为了保护消息或数据,具有其通信装置PLC1、PLC2等等的组成员具有特殊的认证密钥,但是网络元件也具有特殊的认证密钥。为了提供该认证信息,存在多种可能性,诸如MAC(Message Authentication Code(消息认证码))、HMAC、OMAC或CBC-MAC。
出于该原因,存在两个特定的VLN密钥(K = Key(密钥)),以便保护在确定的VLN之内的通信。K_D_VLNx被用于在通信装置PLC1、PLC2之间的机密性保护和可信性/完整性保护。因为这些网络元件不是VLN中的普通的组成员,所以这些网络元件不需要该密钥。该密钥被保留给终端或组成员。第二密钥K_NE_VLNx被用于保护受保护的消息的可信性/完整性,而且不仅被通信装置需要而且被通信网络中的网络元件需要。
在下文,按照图1,利用步骤1至8来进一步阐述在VLN中发送数据包时的场景。类似地,该场景也适用于图2,其中附加的数据D'通过通信路径上经授权的网络元件、例如NE来修改或补充并且通过第二保护功能来保护。
步骤1:所要寄送的数据D(实线矩形)利用第一保护功能、例如通过应用第一通信装置PLC1的组密钥K_D_VLNx来保护(机密性/可信性/完整性保护)。形成数据包<[D]>(点线矩形)。只有通信网络VLNx的普通的组成员知道密钥K_D_VLNx,而网络元件、例如NE不知道密钥K_D_VLNx。
步骤2:数据包<[D]>通过第二保护功能、例如利用认证密钥K_NE_VLNx予以可信性/完整性保护。形成被寄出(虚线-点线的矩形)的数据包< <[D]> >。不仅普通的组成员的通信装置而且网络元件都知道密钥K_NE_VLNx。
如在图2中示出的那样,附加的数据D'可以通过通信路径上经授权的网络元件、例如PLC1来修改或补充并且通过第二保护功能来保护。在图2中,这示例性地通过虚线-点线的方框来勾画出,该方框包含<D' <D> >。也可能的是:附加的数据D<x>只通过网络元件NE来补充。同样可设想的是:这些附加的数据D' 又通过NE或PLC2重新被除去。
步骤3:网络元件NE包含数据包< <[D]> >并且从消息中读取第二保护功能的认证信息。在此,可选地可以除去外部保护。然而,外部保护通常没有被除去,而是也像通过第一保护功能对数据的保护那样保持不变。
步骤4:依据第二保护功能来检查消息是否可信或完整。也就是说,如图所示,虚线的方框被检查,该方框要么只包含D而且也可以包含D'。
步骤5:如果消息不可信/完整,则数据包被丢弃并且因此使通信停下。
步骤6:如果消息可信,则在步骤3中接收到的消息< <[D]> >或<D' <D> > (虚线-点线的矩形)经由通信网络被(转)发到第二通信装置PLC2。借此,在虚线矩形中的数据一直被保护,直至这些数据到达接收方。只要在步骤3中已除去外部保护,则该消息重新利用第二加密保护功能来保护,其中合理地使用同一认证密钥K_NE_VLNx来进行保护。
在步骤7:通信装置PLC2接收数据包< <[D]> >或<D' <D> >(虚线-点线的矩形)并且检查以及除去数据包的通过K_NE_VLNx予以可信性/完整性保护的部分。
步骤8:通过利用K_D_VLNx来对数据进行解密并且对第一保护功能进行检查,通信装置PLC2获得真正的(有效)数据(实线矩形)并且可以确定包含这些数据的消息来自于组成员。
因此,网络元件、例如NE在数据包通过它们转发之前检查数据包的可信性/完整性。网络元件NE自己不能读取消息的数据或不能生成数据(点线矩形),因为这些数据利用K_D_VLNx来加密保护。
本发明的一个有利的实施方式在于:除了在虚线矩形之内的通信装置的数据之外,对于网络基础设施元件来说所需的(读取访问)或被修改或补充的附加的数据可以被嵌入在虚线矩形之内但是在点线矩形之外,而且因此在传输数据/消息期间可以在网络元件层予以保护。
在本发明的另一实施方式中,K_D_VLNx经由密钥推导功能、例如KDF(S_D、K_NE_VLNx)根据K_NE_VLNx来确定。机密S_D初始一次性地被分发给普通的组成员的通信装置。S_D不一定必须VLNx特定地或组特定地来选择,因为共同的S_D可以被用于所有VLNx/组,而没有失去组特定的密钥、例如K_D_VLNx的特性。K_D_VLNx的差异性由于将组特定的K_NE_VLNx分发给经授权的组成员而形成。那么,在分发组密钥时,不必再在通信装置与网络元件之间进行区分(也就是说只有K_NE_VLNx被传输)。由此简化了密钥管理。
尽管本发明是详细地通过优选的实施例进一步图解说明和描述的,但是本发明并不限于所公开的示例,而且其它变型方案可以由本领域技术人员从中推导出来,而不脱离本发明的保护范围。
上文描述的过程或方法流程的实现方案可以依据如下指令来实现,所述指令存在于计算机可读的存储介质上或者存在于易失性计算机存储器(在下文概括地称为计算机可读的存储器)中。计算机可读的存储器例如是易失性存储器、如缓存、缓冲或RAM,以及非易失性存储器、如可移动磁盘、硬盘,等等。
在此,上面描述的功能或步骤可以以至少一个指令语句的形式存在于计算机可读的存储器上/计算机可读的存储器中。在此,这些功能或步骤没有绑定到确定的指令集上或绑定到指令集的确定形式上或者绑定到确定存储介质上或者绑定到确定存储器上或者绑定到确定实施方案上,而且可以通过软件、固件、微码。硬件、处理器、集成电路等等单独运行地或以任意的组合地来实施。在此,可以使用各种各样的处理策略,例如单个的处理器的串行处理或者多重处理或多任务处理或并行处理等等。
这些指令可以存储在本地存储器中,但是也可能的是,将这些指令存储在远程系统上并且经由网络来访问该远程系统。
术语“处理器”、“中央信号处理装置”、“控制单元”或“数据分析装置”如这里所使用的那样包括广义上的处理装置,即例如服务器、通用处理器、图形处理器、数字信号处理器、专用集成电路(ASIC)、可编程逻辑电路(如FPGA)、分立式模拟或数字电路和它们的任意的组合,包括所有其它本领域技术人员已知的或者在将来研发的处理装置在内。在此,处理器可由一个或多个设备或装置或单元组成。如果一个处理器由多个设备组成,那么这些设备可以被设计或配置用于并行地或串行地处理或实施指令。
Claims (23)
1.一种用于保护通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的方法,其中所述通信网络具有至少一个网络元件(NE),通过所述网络元件来引导属于通信的数据,所述方法具有如下步骤:
- 借助于第一加密保护功能来保护数据(D),所述数据由至少一个第一通信装置(PLC1)传输到至少一个第二通信装置(PLC2);
- 提供第二加密保护功能,所述第二加密保护功能保护在通信装置与网络元件之间的消息,所述消息经由所述至少一个网络元件从所述第一通信装置被引导到至少一个 第二通信装置而且所述消息包含所述数据;
- 由所述至少一个网络元件来提供检查功能,所述检查功能依据所述第二加密保护功能来检查所述消息的可信性和/或完整性;
- 根据所述检查功能的检查的结果来继续或者停下通信;
其中在继续通信的情况下,所述数据借助于所述第一加密保护功能保持被保护,直至由所述至少一个 第二通信装置接收到所述数据,
其中在提供所述第二加密保护功能之前,能用其它数据(D')来对所述数据(D)进行补充,
其中属于所述通信装置的机密加入到密钥推导功能中,以及
其中所述密钥推导功能被用来推导加入到所述第一和/或第二加密保护功能的密钥。
2.根据权利要求1所述的方法,其特征在于,所述第二加密保护功能包括所述第一加密保护功能。
3.根据权利要求1所述的方法,其特征在于,为了继续通信,包含借助于所述第一加密保护功能保持被保护的数据的消息以借助于所述第二加密保护功能保护的方式被传导到所述至少一个 第二通信装置。
4.根据上述权利要求1-3之一所述的方法,其特征在于,在所提到的通信装置之间的通信通过虚拟逻辑通信网络来实现。
5.根据上述权利要求1-3之一所述的方法,其特征在于,为了在所述通信装置之间进行通信,采用在通信技术中所使用的OSI参考模型或者类似的网络模型的第2层的通信协议。
6.根据上述权利要求1-3之一所述的方法,其特征在于,为了在所述通信装置之间进行通信,采用在通信技术中所使用的OSI参考模型或者类似的网络模型的第3层、也称作网络层的通信协议。
7.根据上述权利要求1-3之一所述的方法,其特征在于,所述第一加密保护功能使用第一密钥。
8.根据权利要求7所述的方法,其特征在于,所述第一加密保护功能使用第一组密钥。
9.根据权利要求7所述的方法,其特征在于,所述第二加密保护功能使用第二密钥。
10.根据权利要求9所述的方法,其特征在于,所述第二加密保护功能使用第二组密钥。
11.根据权利要求9所述的方法,其特征在于,所述第一密钥从第二密钥推导出。
12.根据权利要求11所述的方法,其特征在于,组机密加入到密钥推导功能中。
13.根据上述权利要求1-3之一所述的方法,其特征在于,所述通信网络是在工业制造和/或自动化的环境下。
14.一种用于保护通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的通信系统,其中该通信网络具有至少一个网络元件(NE),通过该网络元件来引导属于通信的数据,所述通信系统具有:
- 用于借助于第一加密保护功能来保护数据的装置,所述数据由至少一个第一通信装置传输到至少一个第二通信装置;
- 用于提供第二加密保护功能的装置,所述第二加密保护功能保护在通信装置与网络元件之间的消息,所述消息经由所述至少一个网络元件从所述第一通信装置(PLC1)被引导到至少一个 第二通信装置(PLC2)而且所述消息包含所述数据;
- 用于提供检查功能的装置,所述检查功能被设计为依据第二加密保护功能来检查所述消息的可信性和/或完整性;
- 用于根据所述检查功能的检查的结果来继续或者停下通信的装置,其中在继续通信的情况下,所述数据借助于所述第一加密保护功能保持被保护,直至由所述至少一个 第二通信装置接收到所述数据;
- 用于在提供所述第二加密保护功能之前用其它数据(D')来对所述数据(D)进行补充的装置,
其中属于所述通信装置的机密加入到密钥推导功能中,以及
其中所述密钥推导功能被用来推导加入到所述第一和/或第二加密保护功能的密钥。
15.根据权利要求14所述的通信系统,其特征在于,所述通信网络是在工业制造和/或自动化的环境下。
16.一种适合于支持通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的受保护的通信的网络元件,其中通过所述网络元件来传导属于通信的数据,所述网络元件具有:
- 用于从如下加密保护的消息中读取加密保护的数据的装置,所述加密保护的消息经由所述网络元件从所述第一通信装置被传导到至少一个 第二通信装置;
- 用于提供检查功能的装置,所述检查功能被设计为检查所读取的消息的可信性和/或完整性;
- 用于根据所述检查功能的检查的结果来继续或者停下通信的装置;其中在继续通信的情况下,所读取的在到达所述网络元件之前已借助于第一加密保护功能来加密保护的数据借助于所述第一加密保护功能保持被保护,直至由所述至少一个 第二通信装置接收到所述数据;和
- 用于提供第二加密保护功能的装置,所述第二加密保护功能在继续通信的情况下保护由所述网络元件传输到所述至少一个 第二通信装置并且包含所述数据的消息,
其中所述网络元件被构成为在提供所述第二加密保护功能之前用其它数据(D')来对所述数据(D)进行补充,
其中属于所述通信装置的机密加入到密钥推导功能中,以及
其中所述密钥推导功能被用来推导加入到所述第一和/或第二加密保护功能的密钥。
17.根据权利要求16所述的网络元件,其特征在于,在提供所述第二加密保护功能之前,用其它数据(D')来对所述数据(D)进行补充。
18.根据权利要求16或17所述的网络元件,其特征在于,所述通信网络是在工业制造和/或自动化的环境下。
19.一种用于保护通信网络之内与至少一个其它的通信装置的通信的通信装置,其中所述通信网络具有至少一个网络元件(NE),通过所述网络元件能引导属于通信的数据,所述通信装置具有:
- 用于借助于第一加密保护功能来保护数据的装置,所述数据由所述通信装置传输到至少一个第二通信装置(PLC2);
- 用于提供第二加密保护功能的装置,所述第二加密保护功能保护在通信装置与网络元件之间的消息,所述消息经由所述网络元件被引导到至少一个 第二通信装置而且所述消息包含所述数据;其中根据所保护的消息的可信性和/或完整性检查的结果,在继续通信的情况下,通过第一加密保护功能来保护的数据借助于所述第一加密保护功能保持被保护,直至由所述至少一个 第二通信装置接收到所述数据;以及
- 用于在提供所述第二加密保护功能之前用其它数据(D')来对所述数据(D)进行补充的装置,
其中属于所述通信装置的机密加入到密钥推导功能中,以及
其中所述密钥推导功能被用来推导加入到所述第一和/或第二加密保护功能的密钥。
20.根据权利要求19所述的通信装置,其特征在于,所述第二加密保护功能包括所述第一加密保护功能。
21.根据上述权利要求19或20所述的通信装置,其特征在于,为了继续通信,包含借助于所述第一加密保护功能保持被保护的数据的消息能以借助于所述第二加密保护功能保护的方式被转发到所述至少一个 第二通信装置。
22.根据上述权利要求19或20所述的通信装置,其特征在于,所述通信网络是在工业制造和/或自动化的环境下。
23.一种计算机可读存储介质,其存储有计算机程序,当所述计算机程序在根据上述权利要求19-22之一所述的通信装置之内分散地被实施时执行根据上述权利要求1-13之一所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE102017208735.8A DE102017208735A1 (de) | 2017-05-23 | 2017-05-23 | Verfahren und Vorrichtung zum Schutz einer Kommunikation zwischen mindestens einer ersten Kommunikationseinrichtung und wenigstens einer zweiten Kommunikationseinrichtung insbesondere innerhalb eines Kommunikationsnetzwerkes einer industriellen Fertigung und/oder Automatisierung |
| DE102017208735.8 | 2017-05-23 | ||
| PCT/EP2018/061970 WO2018215209A1 (de) | 2017-05-23 | 2018-05-09 | Verfahren und vorrichtung zum schutz einer kommunikation zwischen mindestens einer ersten kommunikationseinrichtung und wenigstens einer zweiten kommunikationseinrichtung insbesondere innerhalb eines kommunikationsnetzwerkes einer industriellen fertigung und/oder automatisierung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110679129A CN110679129A (zh) | 2020-01-10 |
| CN110679129B true CN110679129B (zh) | 2022-10-21 |
Family
ID=62245233
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201880033932.2A Expired - Fee Related CN110679129B (zh) | 2017-05-23 | 2018-05-09 | 保护第一与第二通信装置之间的通信的方法和通信装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11336657B2 (zh) |
| EP (1) | EP3603012A1 (zh) |
| CN (1) | CN110679129B (zh) |
| DE (1) | DE102017208735A1 (zh) |
| WO (1) | WO2018215209A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210092103A1 (en) * | 2018-10-02 | 2021-03-25 | Arista Networks, Inc. | In-line encryption of network data |
| EP4211871A1 (de) | 2020-09-07 | 2023-07-19 | Hirschmann Automation and Control GmbH | Verfahren zum betreiben eines netzwerks |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102576397A (zh) * | 2009-10-29 | 2012-07-11 | 西门子公司 | 令牌的验证和数据完整性保护 |
| CN103168458A (zh) * | 2010-10-29 | 2013-06-19 | 西门子公司 | 用于防操纵的密钥管理的方法 |
| CN107736047A (zh) * | 2015-07-12 | 2018-02-23 | 高通股份有限公司 | 用于蜂窝物联网的网络安全架构 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6826616B2 (en) * | 1998-10-30 | 2004-11-30 | Science Applications International Corp. | Method for establishing secure communication link between computers of virtual private network |
| US7389529B1 (en) | 2003-05-30 | 2008-06-17 | Cisco Technology, Inc. | Method and apparatus for generating and using nested encapsulation data |
| US8127366B2 (en) * | 2003-09-30 | 2012-02-28 | Guardian Data Storage, Llc | Method and apparatus for transitioning between states of security policies used to secure electronic documents |
| DE102005027232A1 (de) * | 2005-06-13 | 2006-12-14 | Siemens Ag | Verfahren und Anordnung zum sicheren Übertragen von Daten in einem ein Mehrsprungverfahren nutzenden Kommunikationssystem |
| US8607051B2 (en) | 2006-04-11 | 2013-12-10 | Qualcomm Incorporated | Method and apparatus for binding multiple authentications |
| US8776166B1 (en) * | 2006-07-17 | 2014-07-08 | Juniper Networks, Inc. | Plug-in based policy evaluation |
| EP2304918B1 (en) * | 2008-06-16 | 2014-04-09 | Telefonaktiebolaget L M Ericsson (PUBL) | Sending media data via an intermediate node |
| DE102009051383A1 (de) | 2009-10-30 | 2011-05-12 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum sicheren Übertragen von Daten |
| US8935533B2 (en) * | 2011-12-20 | 2015-01-13 | Alcatel Lucent | Method and apparatus for a scalable and secure transport protocol for sensor data collection |
| US9348049B2 (en) | 2012-01-05 | 2016-05-24 | Cgg Services Sa | Simultaneous joint estimation of the P-P and P-S residual statics |
| JP2016513944A (ja) | 2013-03-14 | 2016-05-16 | フィデリス サイバーセキュリティー インコーポレイテッド | ネットワーク通信分析のためにメタデータを抽出及び保持するシステム及び方法 |
| US9374340B2 (en) | 2014-04-21 | 2016-06-21 | Cisco Technology, Inc. | Nested independent virtual private networks with shared rekey and consistency services |
| CN104539573B (zh) * | 2014-10-30 | 2018-07-27 | 北京科技大学 | 一种基于嵌入式系统的工业安全网关的通信方法及装置 |
-
2017
- 2017-05-23 DE DE102017208735.8A patent/DE102017208735A1/de not_active Withdrawn
-
2018
- 2018-05-09 CN CN201880033932.2A patent/CN110679129B/zh not_active Expired - Fee Related
- 2018-05-09 EP EP18727176.2A patent/EP3603012A1/de not_active Withdrawn
- 2018-05-09 WO PCT/EP2018/061970 patent/WO2018215209A1/de unknown
- 2018-05-09 US US16/610,937 patent/US11336657B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102576397A (zh) * | 2009-10-29 | 2012-07-11 | 西门子公司 | 令牌的验证和数据完整性保护 |
| CN103168458A (zh) * | 2010-10-29 | 2013-06-19 | 西门子公司 | 用于防操纵的密钥管理的方法 |
| CN107736047A (zh) * | 2015-07-12 | 2018-02-23 | 高通股份有限公司 | 用于蜂窝物联网的网络安全架构 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102017208735A1 (de) | 2018-11-29 |
| US11336657B2 (en) | 2022-05-17 |
| CN110679129A (zh) | 2020-01-10 |
| EP3603012A1 (de) | 2020-02-05 |
| US20210218752A1 (en) | 2021-07-15 |
| WO2018215209A1 (de) | 2018-11-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11134100B2 (en) | Network device and network system | |
| CN109792450B (zh) | 在有实时能力的通信网络之内提供安全通信的方法和装置 | |
| US8112622B2 (en) | Chaining port scheme for network security | |
| US9300467B2 (en) | Real-time communication security for automation networks | |
| WO2003107626A2 (en) | Method for establishing secure network communications | |
| US20210182347A1 (en) | Policy-based trusted peer-to-peer connections | |
| EP4270867A1 (en) | Secure communication method, apparatus, and system for dc interconnection | |
| JP2017121091A (ja) | Ecu、及び車用ネットワーク装置 | |
| Han et al. | A practical solution to achieve real-time performance in the automotive network by randomizing frame identifier | |
| CN110679129B (zh) | 保护第一与第二通信装置之间的通信的方法和通信装置 | |
| CN105100268A (zh) | 一种物联网设备的安全控制方法、系统及应用服务器 | |
| Agrawal et al. | CAN-FD-Sec: improving security of CAN-FD protocol | |
| Akerberg et al. | Exploring security in PROFINET IO | |
| JP2018182767A (ja) | Ecu、ネットワーク装置、及び車用ネットワーク装置 | |
| CN100596350C (zh) | 工业控制数据的加密解密方法 | |
| US20220231997A1 (en) | Setting device, communication system, and vehicle communication management method | |
| Glanzer et al. | Increasing security and availability in KNX networks | |
| US10499249B1 (en) | Data link layer trust signaling in communication network | |
| Åkerberg et al. | Introducing security modules in profinet io | |
| US11805110B2 (en) | Method for transmitting data packets | |
| US20240171556A1 (en) | Network Time Protocol Key Encryption | |
| JP2020141414A (ja) | Ecu、ネットワーク装置 | |
| JP2023519910A (ja) | 特に自動車におけるデータの異常を処理するための方法 | |
| CN118233120A (zh) | 一种安全通信方法及装置、设备 | |
| CN114365455A (zh) | 用于在自动化网络中处理电报的方法、自动化网络、主用户以及从用户 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20221021 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |