CN110719277B - 基于一次性访问凭据的网络设备安全访问的系统和方法 - Google Patents
基于一次性访问凭据的网络设备安全访问的系统和方法 Download PDFInfo
- Publication number
- CN110719277B CN110719277B CN201910944247.1A CN201910944247A CN110719277B CN 110719277 B CN110719277 B CN 110719277B CN 201910944247 A CN201910944247 A CN 201910944247A CN 110719277 B CN110719277 B CN 110719277B
- Authority
- CN
- China
- Prior art keywords
- network equipment
- authentication
- user
- server
- bastion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/08—Protocols specially adapted for terminal emulation, e.g. Telnet
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种基于一次性访问凭据的网络设备安全访问的系统和方法,系统设有:分别改进结构的堡垒机服务器和AAA服务器、日志分析服务器、客户端和被管理的网络设备。本发明系统创新特点是由AAA服务器为每次SSH/Telnet连接实时随机动态生成一次性访问凭据,用于鉴权认证;取代传统的网络设备账号密码和权限设置的本地存储和本地认证模式。且该一次性访问凭据加密传输,每次用后即弃之,网络设备只有通过该一次性访问凭据的鉴权认证后,才允许用户访问,能增强和确保网络设备登录账号密码的安全可靠性能。AAA服务器将分散于众多网络设备的本地认证信息实现集中化管理。还精细划分用户管理权限,将用户行为限制于其合法的管理控制范围内,以确实保障网络设备安全。
Description
技术领域
本发明涉及一种基于一次性访问凭据的网络设备安全访问的系统及其工作方法,用于解决现有IP网络中,现有技术的网络设备账号密码采用本地存储及本地认证的传统机制,造成密码泄露风险大、不可控和难追责的缺陷;而采用堡垒机管理方式时,同样有密码不可控、不同步及可逆的多种缺点。本发明采用AAA身份认证模式取代传统的本地认证模式,且以一次性访问凭据替代传统的用户账号密码,还在AAA服务器中设置用户管理权限,使得用户管理权限的划分更方便,网络设备更安全。属于网络数据通信的技术领域。
背景技术
目前的通信系统中,对于网络设备的管理方法通常有两种:一种为管理员使用各个网络设备的账号密码直接登录相应的网络设备,并执行管理操作。另一种为管理员使用堡垒机的账号密码先登录堡垒机,再通过堡垒机对网络设备进行管理。所述堡垒机是当前在IT网络中使用比较广泛的、基于B/S架构的一种运维操作行为安全审计设备,具备对核心系统中的主机、服务器、网络设备、安全设备等的管理运行维护进行安全、有效、直观的操作审计功能,能够将运维审计由事件审计提升为内容审计,并将身份认证、授权、管理、审计有机地结合,保证只有合法用户才能使用其所拥有的运维权限的关键资源;即堡垒机通过切断终端计算机对网络和服务器资源的直接访问,采用协议代理的方式,接管终端计算机对网络和服务器的访问。
但是,所述两种方法的管控操作过程中,都存在有多处缺陷和问题。
先介绍第一种方法:使用网络设备账号密码直接登录网络设备进行管理的过程操作步骤和存在的问题:
步骤1,连接到需要管理的网络设备:此时,经常使用的方法是直接访问其前端管理界面,或者通过一种创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全的协议SSH(Secure Shell)/远程终端协议Telnet(Internet)访问管理后台。SSH是一种通用的、功能强大的、基于软件的网络安全解决方案。计算机每次向网络发送数据时,SSH都会自动对数据进行加密和压缩。数据到达目的地时,SSH又自动对加密数据进行解压缩和解密;且整个传输过程都是透明的,安装容易、使用简单,故SSH应用广泛。Telnet是一种远程登陆服务的标准协议和主要方式,它支持用户通过用户名/密码登录远程主机,使得本地计算机暂时成为远程主机的一个仿真终端,从而用户能够在本地计算机上完成远程主机工作的能力。
步骤2,输入该需要管理的网络设备对应的账号密码,以登录该网络设备。
步骤3,对网络设备执行包括对账号密码进行管理的各种管控操作:普通用户可修改自己登录网络设备所使用的账号密码,拥有特殊权限的用户(如拥有最高权限的超级管理员)可以修改其他用户的账号密码和新建其他管理员账号等。
随着企事业单位的IT系统不断拓展,网络规模及其网络设备的数量也迅速扩大,对应的网络设备账号密码也同样随之呈现数量日趋庞大的特点。因此,管理员为方便记忆与管理,常常为大量的网络设备设置相同的账号密码,甚至手工记录明文密码。又因为若要逐个对各个网络设备进行密码修改时,不仅操作复杂,还费时费力,所以现在的许多网络设备的账号密码往往是长期使用且保持不变的原始赋值。并且,还经常是由多个管理员使用完全相同的账号密码对多个不同网络设备进行管理。因此,上述这种现有的使用网络设备账号密码直接登录网络设备进行管理的方法存在下述诸多问题:
1,管理员对账号密码的管理不符合网络设备应该采用不同的网络安全等级保护的基本要求;且账号密码很容易泄露,风险较高,且一旦泄露,影响范围大,损失严重。
2,多个用户使用相同的账号密码,造成无法有效控制和区别每个用户是否能够分别管理各自的不同网络设备;且针对同一个网络设备也难于区别与划分不同用户的管理。一旦发生安全事故,难以定位账号的实际使用者和责任人。
3,不同网络设备在进行独立审计时,每个网络设备的审计日志会产生内容不同、深浅不一的现象,无法制定统一的访问审计策略,难以及时发现违规操作行为,并对其进行追查取证。
介绍第二种方法:通过堡垒机登录网络设备进行网络设备管理的过程操作步骤和存在的问题:
先参见图1所示,介绍作为常用的运维审计设备、具备核心系统运维和安全审计两大管控功能的堡垒机与网络设备的连接示意图。
在初次建立堡垒机与网络设备的连接时,需要进行初始化设置操作:
步骤1,将被管理的网络设备的账号密码同步至堡垒机。
步骤2,在堡垒机上创建相应用户,并根据不同的用户、角色、网络设备、时间、应用协议等各种维度设置和划分各个用户账号的相应权限。
参见图2,介绍用户通过堡垒机对网络设备执行的管理操作过程:客户端通过账号密码登录堡垒机,并通过堡垒机选择对应网络设备的账号密码登录该网络设备执行管理操作。在此期间,堡垒机将对客户端的所有操作进行精确录像,对于字符终端则会全程记录所有输入的命令和数据等。
但是,如果仅用堡垒机管理网络设备的账号密码也存在一定的缺陷:
1,密码不可控:由上述第一种管理方法可知,登录网络设备的账号密码是配置在网络设备上,且密码可随时在该网络设备上进行更改。因此,堡垒机无法对网络设备上的所有登录账号密码实现完全的控制。
2,密码不同步:每个网络设备都设置有多组账号密码,且还可能出现新增账号及其密码,堡垒机无法完全掌握各个网络设备的管控权。当密码被更改后,堡垒机中原来存储的账号密码就自然失效,直接丧失对该网络设备的管控。
3,密码不安全。堡垒机中存储有所有核心网络设备的明文账号密码,一旦受到攻击,则密码的泄露风险很大。
因此,如何能够更加安全可靠、灵活简便、区别不同等级授权地管理控制IT网络设备,实现网络设备的安全访问已经成为业内科技人员非常关注的一项重要课题。
发明内容
有鉴于此,本发明的目的是提供一种基于一次性访问凭据的网络设备安全访问的系统及其工作方法,本发明系统组成装置中,增设有结构改进的AAA服务器和堡垒机服务器,其创新特点是以AAA身份认证模式(AAA是指身份的验证(Authentication)、授权(Authorization)和统计(Accounting),用作提供网络认证授权记账的安全协议)取代传统的本地认证模式。在AAA服务器中设置用户管理权限,代替现有技术采用的网络设备账号密码本地存储及本地认证的传统机制,使得用户管理权限的划分更方便,网络设备更安全。该系统是由用户先使用授权账号登录堡垒机服务器,经过AAA服务器鉴权后,再经由堡垒机服务器连接被管理的网络设备,由堡垒机服务器提供安全防护、操作审计等管控功能,进一步保障网络设备的访问安全。因此,本发明系统及其工作方法对于被管控的网络设备的账号密码管理实现了统一化和简便化,网络设备更加安全,且管理员的操作权限的划分更精细、更可靠、更便利。
为了达到上述目的,本发明提供了一种基于一次性访问凭据的网络设备安全访问的系统,包括客户端和被管理的网络设备;其特征在于:所述系统是由分别改进结构的堡垒机服务器和AAA服务器,以及日志分析服务器所组成;其中:
堡垒机服务器,用作为客户端提供单点登录其管控的网络设备、且不再存储任何网络设备账号密码的服务器,还连接日志分析服务器,以便存储工作日志;该堡垒机服务器的组成结构除了包括原来分别连接客户端的虚拟终端模块和连接被管控的网络设备、创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全通信的协议SSH(Secure Shell)/远程终端协议Telnet(Internet)连接模块以外,还增设有:与AAA服务器交互数据的AAA通信接口;
AAA服务器,分别连接堡垒机服务器、日志分析服务器和网络设备,该AAA服务器负责设置用户的不同管理权限,并根据客户端发起的用户登录该系统管控网络设备的系统登录连接请求及其管控网络设备的操作连接请求、以及对应网络设备返回的操作连接认证分别进行鉴权确认;负责根据客户端发起的管控网络设备的操作连接请求生成对应网络设备的一次性访问凭据OTP(One-time Password)、即动态密码,还负责将鉴权验证结果返回对应的客户端或网络设备;该AAA服务器设有:认证协议模块、用户数据库、OTP缓存数据库,以及与堡垒机服务器交互数据的堡垒机通信接口;
日志分析服务器,分别连接堡垒机服务器和AAA服务器,获取该两个服务器的用户系统登录连接请求的认证、用户发起的网络设备操作连接的请求、被管控的网络设备发送的操作连接认证的结果与用户对该网络设备连接操作的全部工作日志,并进行统计分析与安全审计;
客户端,用于连接堡垒机服务器,以便访问其所需连接的网络设备,并对该网络设备进行管理控制的用户终端计算机。
本发明还提供了一种基于一次性访问凭据的网络设备安全访问的系统的工作方法,其特征在于:所述方法包括下列操作步骤:
步骤1,堡垒机服务器的虚拟终端模块接收到客户端的用户系统登录连接请求后,将其转发至AAA服务器进行认证;
步骤2,在认证通过后,堡垒机服务器接收客户端发起的、对其准备管控的网络设备操作连接请求,并将其转发至AAA服务器和相应的网络设备;
步骤3,AAA服务器接收到用户的网络设备操作连接请求后进行鉴权,还在鉴权通过后,依据该操作连接请求生成一次性访问凭据,并将该一次性访问凭据与其对应的客户端信息一并缓存后,再将该一次性访问凭据经由堡垒机服务器转发至该网络设备;
步骤4,该网络设备将包括该客户端的网络设备操作连接请求、以及其用户信息和一次性访问凭据的操作连接认证请求都发送至AAA服务器的认证协议模块进行鉴权认证;
步骤5,AAA服务器对该网络设备的操作连接认证请求执行鉴权认证:由认证协议模块将该接收到的网络设备的操作连接认证请求与OTP缓存数据库中的信息进行对比鉴权,若鉴权通过,则跳转执行步骤7;若鉴权未通过,则顺序执行步骤6;
步骤6,客户端是否重新发起对其准备管控的网络设备操作连接请求,若是,则返回执行步骤2;若否,则操作流程结束;
步骤7,该网络设备接收到AAA服务器的操作连接鉴权认证成功信息后,就与堡垒机服务器的SSH/Telnet连接模块建立连接;然后,客户端通过堡垒机服务器中的虚拟终端模块、SSH/Telnet模块对该网络设备进行管控操作。
本发明系统和方法相对于现有技术而言,所具有的创新优点和改进效果是:
本发明系统和方法提供了一种网络设备账号密码统一管理的网络系统和工作方法:在传统的网络设备管理方式下,每个网络设备拥有多套账号密码,且大量的网络设备共享相同的账号密码;采用堡垒机的管理方式时,存在密码不可控、不同步及可逆的缺点。而本发明系统以一次性访问凭据的鉴权认证模式取代传统的网络设备本地认证模式,堡垒机、AAA服务器与网络设备都不再存储用于认证或直接登录网络设备的任何设备账号密码和权限设置。用户登录堡垒机时,统一都由AAA服务器为每次SSH/Telnet连接实时随机动态生成一次性访问凭据,用于鉴权认证;且该一次性访问凭据加密传输,每次用后即弃之,网络设备只有通过该一次性访问凭据的鉴权认证后,才允许用户访问,能够增强和确保网络设备登录密码的安全可靠和统一与权威的一次性使用功能。
本发明系统是通过AAA服务器对接网络设备,将分散于众多网络设备的本地认证信息实现集中化管理。还通过AAA服务器对用户的网元管理权限进行精细划分,用于取代传统的通过堡垒机划分用户的权限,使得用户在通过鉴权认证后,只能获取到其自身的身份验证结果和有权选择连接的网络设备列表,将用户行为限制于其合法的管理控制范围内,以确实保障网络设备安全。
本发明系统的工作方法增设优先验证机制:采用堡垒机、AAA服务器联合认证的方法,用户先进行身份验证,再获取可选择连接的网络设备列表,然后与网络设备建立SSH/Telnet连接,有效避免攻击猜解作用到网络设备。堡垒机实现零管理配置。本发明系统中的堡垒机服务器提供虚拟终端界面,客户端无需使用第三方连接终端软件。
本发明系统中,用户客户端、网络设备、以及改进的AAA服务器和堡垒机服务器等系统各个组成装置中的所有通信信息都是采用安全的加密传输,且密码不可逆,AAA服务器对用户透明,充分提升了整个网络系统的安全性能。
本发明系统还可以为用户选择登录虚拟终端时,增加多因子认证的操作步骤,用于确保用户身份合法,减少身份盗窃,提高网络设备的安全性能。
本发明系统的组成部件结构简单、清楚,工作方法步骤简明,容易实现;且系统兼容性好,能够将IT网络的交换机、路由器、防火墙、负载均衡器等各种网元设备都兼容纳入统一控制管理,切实保证系统运行维护的操作简便、安全可控。总之,本发明具有很好的推广应用前景。
附图说明
图1是现有技术的堡垒机与网络设备的连接示意图。
图2是现有技术采用由堡垒机对网络设备进行管理的操作步骤示意图。
图3是本发明基于一次性访问凭据的网络设备安全访问的系统结构组成示意图。
图4是本发明基于一次性访问凭据的网络设备安全访问的系统的工作方法操作步骤流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面结合附图对本发明作进一步的详细描述。
本发明系统的一个重要技术创新特点是利用一次性访问凭据OTP、即动态密码来替代原来连接被管理的网络设备时,传统的客户端用户的原账号密码。该动态密码OTP是由AAA服务器根据设定算法针对每个用户的每次管理网络设备的操作连接请求自动生成的、一个不能预测的字符和/或数字的实时随机组合,每个动态密码的使用寿命只有一次,用后即失效。
参见图3,介绍本发明基于一次性访问凭据的网络设备安全访问的系统的结构组成:该系统是由分别改进结构的堡垒机服务器和AAA服务器,以及日志分析服务器所组成;系统还包括客户端和被管理的网络设备。下面分别介绍之:
(一)在现有堡垒机基础上进行结构改进,增设用于和AAA服务器进行数据交互通信接口的堡垒机服务器,用作为客户端提供单点登录其管控的网络设备、且不再存储任何网络设备账号密码的服务器,还连接日志分析服务器,以便存储工作日志;该堡垒机服务器的组成结构除了包括原来分别连接客户端的虚拟终端模块和连接被管控的网络设备、创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全通信的协议SSH(Secure Shell)/远程终端协议Telnet(Internet)连接模块以外,以及增设的:与AAA服务器进行数据交互的AAA通信接口。该堡垒机服务器的各个组成部件的功能分别是:
虚拟终端模块,负责接收来自客户端的用户系统登录连接请求及其管控网络设备的操作连接请求,并对该系统登录连接请求和网络设备的操作连接请求分别进行转换分析,再将对系统登录连接请求的分析结果发送到AAA通信接口,对该网络设备的操作连接请求的分析结果发送到AAA通信接口和SSH/Telnet连接模块,并在AAA服务器对该系统登录连接请求和网络设备的操作连接请求都鉴权认证通过,SSH/Telnet连接模块与网络设备成功建立连接后,该虚拟终端模块为SSH/Telnet连接模块提供前端展示;所述用户的系统登录连接请求中包含该用户的账号密码信息,用于给AAA服务器结合该用户的手机动态密码对该用户进行多因子鉴权认证时的备用选择;该虚拟终端模块还负责接收来自AAA通信接口的、包含为该用户提供的可选连接的网络设备列表的信息,以供用户在客户端直接选择连接,或者由客户端用户自行输入待连接的、准备管控的网络设备IP地址,再由AAA服务器对该网络设备IP地址执行操作连接请求的鉴权认证。
SSH/Telnet连接模块,负责接收来自客户端和经由虚拟终端模块的管理网络设备的操作连接请求,并同时将来自AAA通信接口的一次性访问凭据转发至该待连接的网络设备,该待连接的网络设备向AAA服务器的认证协议模块发送操作连接认证请求;且在对该操作连接认证请求鉴权通过后,该SSH/Telnet连接模块根据SSH/Telnet协议连接用户所选择的该待连接的网络设备,以便执行管控操作。
AAA通信接口,用于分别接收来自虚拟终端模块完成转换分析后的用户系统登录连接请求和网络设备操作连接请求,再转发至AAA服务器的堡垒机通信接口;接收来自AAA服务器的堡垒机通信接口的拒绝连接信息或可选连接的网络设备列表,再经由虚拟终端模块将该列表转发至客户端,供用户选择连接;以及接收AAA服务器生成的一次性访问凭据,并经由SSH/Telnet连接模块转发至待连接的网络设备,该待连接的网络设备向AAA服务器的认证协议模块发送操作连接认证请求进行认证鉴权。
(二)同样改进结构、增设与堡垒机服务器进行数据交互的通信接口,并和网络设备对接的AAA服务器,分别连接堡垒机服务器、日志分析服务器和网络设备,该AAA服务器负责设置用户的不同管理权限,并根据客户端发起的用户登录该系统管控网络设备的系统登录连接请求及其管控网络设备的操作连接请求、以及对应网络设备返回的操作连接认证分别进行鉴权确认;负责根据客户端发起的管控网络设备的操作连接请求生成对应网络设备的一次性访问凭据OTP(One-time Password)、即动态密码,还负责将鉴权验证结果和所有必要的配置信息都返回相应的客户端或网络设备,以便将服务发送到用户。该AAA服务器设有:认证协议模块、用户数据库、OTP缓存数据库,以及与堡垒机服务器交互数据的堡垒机通信接口。该AAA服务器的各个组成部件的功能分别是:
堡垒机通信接口,负责接收由堡垒机服务器转发的用户登录系统的连接请求及其对所需管理的网络设备的操作连接请求,并转发至认证协议模块进行鉴权认证处理,并根据不同鉴权结果执行相应处理:
针对用户登录系统的连接请求时,若鉴权失败,则该堡垒机通信接口接收来自认证协议模块的拒绝登录信息,并转发给堡垒机服务器的AAA通信接口;若鉴权成功,则该堡垒机通信接口接收来自认证协议模块的用户可选连接的网络设备列表,并转发给堡垒机服务器的AAA通信接口;
针对用户对所需管理的网络设备的操作连接请求时,若鉴权失败,则该堡垒机通信接口接收来自认证协议模块的拒绝连接信息,并转发给堡垒机服务器的AAA通信接口;若鉴权成功,则该堡垒机通信接口接收来自认证协议模块的一次性访问凭据,并转发给堡垒机服务器的AAA通信接口。
认证协议模块,作为AAA服务器的操作控制中心,分别连接其他各个组成部件:堡垒机通信接口、用户数据库和OTP缓存数据库以及网络设备,负责接收来自堡垒机通信接口的用户系统登录连接请求,按照协议进行处理,并调取用户数据库中对应用户信息进行鉴权认证;若鉴权成功,该模块将该用户的可选连接的网络设备列表返回给堡垒机通信接口;还负责在接收到来自堡垒机通信接口的、用户对其所需管理的网络设备的操作连接请求时,调取用户数据库信息对用户进行鉴权:若用户有权连接其请求的网络设备,则将根据设定算法随机生成的一次性访问凭据返回至堡垒机通信接口,同时缓存至OTP缓存数据库,否则,返回拒绝连接信息至堡垒机通信接口;负责接收来自该网络设备的操作连接认证报文,提取其中包括用户账号密码、IP地址的客户端信息、被管理的网络设备IP地址及其一次性访问凭据,再与OTP缓存数据库中的相应信息进行对比后,将认证结果报文返回给该网络设备:若该网络设备的操作连接认证成功,则该网络设备与SSH/Telnet模块正式建立连接,客户端通过虚拟终端模块对网络设备进行管理操作;若该网络设备的操作连接认证失败,则该网络设备切断与SSH/Telnet模块的连接;
用户数据库,用于存储用户的账号密码,以及包括该用户可选连接的网络设备列表的网络设备管理权限信息,以便在接收到来自认证协议模块的用户账号密码以及用户发起的该网络设备的操作连接请求时,就与其自身存储的用户数据进行对照比较,并返回相应的验证鉴权结果;
OTP缓存数据库,用于与认证协议模块交互信息,接收和缓存来自认证协议模块每次请求访问网络设备时随机生成的一次性访问凭据,以及包括用户账号密码及其IP地址的对应客户端信息。
(三)日志分析服务器,分别连接堡垒机服务器和AAA服务器,获取该两个服务器的用户系统登录连接请求的认证、用户发起的网络设备操作连接的请求、被管控的网络设备发送的操作连接认证的结果与用户对该网络设备连接操作的全部工作日志,并进行统计分析与安全审计;
(四)客户端,用于连接堡垒机服务器,以便访问其所需连接的网络设备,并对该网络设备进行管理控制的用户终端计算机。
(五)被客户端管理控制的各种网络设备。
参见图4,介绍本发明基于一次性访问凭据的网络设备安全访问的系统的工作方法的具体操作步骤如下:
步骤1,堡垒机服务器的虚拟终端模块接收到客户端的用户系统登录连接请求后,将其转发至AAA服务器进行认证;
步骤2,在认证通过后,堡垒机服务器接收客户端发起的、对其准备管控的网络设备操作连接请求,并将其转发至AAA服务器和相应的网络设备。
步骤3,AAA服务器接收到用户的网络设备操作连接请求后进行鉴权,还在鉴权通过后,依据该操作连接请求生成一次性访问凭据,并将该一次性访问凭据与其对应的客户端信息一并缓存后,再将该一次性访问凭据经由堡垒机服务器转发至该网络设备。该步骤2包括下列操作内容:
(31)AAA服务器的认证协议模块经由堡垒机通信接口接收客户端的准备管控的网络设备操作连接请求,该操作连接请求信息中包括用户账号密码和准备管控的网络设备IP地址信息;
(32)认证协议模块调取用户数据库信息对网络设备操作连接请求进行鉴权认证,判断该用户是否拥有对相应IP地址的网络设备进行管控的权限;若鉴权通过,则进入步骤(33),若鉴权未通过,则返回步骤(31);
(33)认证协议模块随机生成一次性访问凭据,再将该一次性访问凭据与其对应的客户端信息缓存至OTP缓存数据库,同时将该一次性访问凭据顺序经由堡垒机通信接口和堡垒机服务器的AAA通信接口、SSH/Telnet连接模块转发至对应的网络设备。
步骤4,该网络设备将包括该客户端的网络设备操作连接请求、以及其用户信息和一次性访问凭据的操作连接认证请求都发送至AAA服务器的认证协议模块进行鉴权认证;
步骤5,AAA服务器对该网络设备的操作连接认证请求执行鉴权认证:由认证协议模块将该接收到的网络设备的操作连接认证请求与OTP缓存数据库中的信息进行对比鉴权,若鉴权通过,则跳转执行步骤7;若鉴权未通过,则顺序执行步骤6;
步骤6,客户端是否重新发起对其准备管控的网络设备操作连接请求,若是,则返回执行步骤2;若否,则操作流程结束;
步骤7,该网络设备接收到AAA服务器的操作连接鉴权认证成功信息后,就与堡垒机服务器的SSH/Telnet连接模块建立连接;然后,客户端通过堡垒机服务器中的虚拟终端模块、SSH/Telnet模块对该网络设备进行管控操作。
本发明的网络设备安全访问系统和方法已经在北京邮电大学校园网中进行了一段时间的试验设施,简要说明该试验设施的系统基本概况:
北京邮电大学的校园网中,囊括有9个厂商、50余个型号,数量近1000个不同种类的网络设备。使用本发明基于一次性访问凭据的网络设备安全访问的系统对校园网中的所有网络设备的口令、登录进行统一管理的实施试验,彻底关闭传统Telnet方式,只允许使用SSH连接网络设备。其中的系统管理员用户主要分为三组:普通用户组、特权用户组和网管系统组,分别设置相应的不同管理权限。用户通过客户端登录堡垒机,选择待连接的网络设备及连接方式,再由AAA服务器对其进行鉴权认证,只有通过鉴权认证后,该用户才可对其有权访问的网络设备进行管理和控制的相应操作。而且,用户的登录日志、网络设备鉴权日志以及堡垒机的操作日志都记录于系统中。长达数月的实施例的实施试验是成功的,实现了发明目的。
Claims (7)
1.一种基于一次性访问凭据的网络设备安全访问的系统,包括客户端和被管理的网络设备;其特征在于:所述系统是由分别改进结构的堡垒机服务器和AAA服务器,以及日志分析服务器所组成;其中:
堡垒机服务器,用作为客户端提供单点登录其管控的网络设备、且不再存储任何网络设备账号密码的服务器,还连接日志分析服务器,以便存储工作日志;该堡垒机服务器的组成结构除了包括原来分别连接客户端的虚拟终端模块和连接被管控的网络设备、创建在应用层和传输层的基础上、专为远程登录会话和其他网络服务提供安全通信的协议SSH(Secure Shell)和/或远程终端协议Telnet(Intemet)连接模块以外,还增设有:与AAA服务器交互数据的AAA通信接口;堡垒机服务器的虚拟终端模块接收到客户端的用户系统登录连接请求后,将其转发至AAA服务器进行认证;在认证通过后,堡垒机服务器发送给客户端网络设备的列表,接收客户端发起的、对其准备管控的网络设备操作连接请求,并将其转发至AAA服务器和相应的网络设备;堡垒机服务器接收AAA服务器生成的一次性访问凭据,并转发至网络设备,该网络设备将包括该客户端的网络设备操作连接请求、以及其用户信息和一次性访问凭据的操作连接认证请求都发送至AAA服务器的认证协议模块进行鉴权认证;在鉴权认证通过后,堡垒机服务器基于该一次性访问凭据实现网络设备的登录;
AAA服务器,分别连接堡垒机服务器、日志分析服务器和网络设备,该AAA服务器负责设置用户的不同管理权限,并根据客户端发起的用户登录该系统管控网络设备的系统登录连接请求及其管控网络设备的操作连接请求、以及对应网络设备返回的操作连接认证分别进行鉴权确认;负责根据客户端发起的管控网络设备的操作连接请求生成对应网络设备的一次性访问凭据OTP(One-time Password)、即动态密码,还负责将鉴权验证结果返回对应的客户端或网络设备;该AAA服务器设有:认证协议模块、用户数据库、OTP缓存数据库,以及与堡垒机服务器交互数据的堡垒机通信接口;
日志分析服务器,分别连接堡垒机服务器和AAA服务器,获取该两个服务器的用户系统登录连接请求的认证、用户发起的网络设备操作连接的请求、被管控的网络设备发送的操作连接认证的结果与用户对该网络设备连接操作的全部工作日志,并进行统计分析与安全审计;
客户端,用于连接堡垒机服务器,以便访问其所需连接的网络设备,并对该网络设备进行管理控制的用户终端计算机。
2.根据权利要求1所述的系统,其特征在于:所述一次性访问凭据OTP、即动态密码是由AAA服务器根据设定算法针对每个用户的每次管理网络设备的操作连接请求生成的、一个不能预测的字符和/或数字的随机组合,每个动态密码的使用寿命只有一次,用后即失效;该动态密码用于替代连接被管理的网络设备时,传统的客户端用户的原账号密码。
3.根据权利要求1所述的系统,其特征在于:所述堡垒机服务器的各个组成部件的功能分别是:
虚拟终端模块,负责接收来自客户端的用户系统登录连接请求及其管控网络设备的操作连接请求,并对该系统登录连接请求和网络设备的操作连接请求分别进行转换分析,再将对系统登录连接请求的分析结果发送到AAA通信接口,对该网络设备的操作连接请求的分析结果发送到AAA通信接口和SSH/Telnet连接模块,并在AAA服务器对该系统登录连接请求和网络设备的操作连接请求都鉴权认证通过,SSH/Telnet连接模块与网络设备成功建立连接后,该虚拟终端模块为SSH/Telnet连接模块提供前端展示;所述用户的系统登录连接请求中包含该用户的账号密码信息,用于给AAA服务器结合该用户的手机动态密码对该用户进行多因子鉴权认证时的备用选择;该虚拟终端模块还负责接收来自AAA通信接口的、包含为该用户提供的可选连接的网络设备列表的信息,以供用户在客户端直接选择连接,或者由客户端用户自行输入待连接的、准备管控的网络设备IP地址,再由AAA服务器对该网络设备IP地址执行操作连接请求的鉴权认证;
SSH/Telnet连接模块,负责接收来自客户端、经由虚拟终端模块的管理网络设备的操作连接请求,并同时将来自AAA通信接口的一次性访问凭据转发至该待连接的网络设备,该待连接的网络设备向AAA服务器的认证协议模块发送操作连接认证请求;且在对该操作连接认证请求鉴权通过后,该SSH/Telnet连接模块根据SSH/Telnet协议连接用户所选择的该待连接的网络设备,以便执行管控操作;
AAA通信接口,用于分别接收来自虚拟终端模块完成转换分析后的用户系统登录连接请求和网络设备操作连接请求,再转发至AAA服务器的堡垒机通信接口;接收来自AAA服务器的堡垒机通信接口的拒绝连接信息或可选连接的网络设备列表,再经由虚拟终端模块将该列表转发至客户端,供用户选择连接;以及接收AAA服务器生成的一次性访问凭据,并经由SSH/Telnet连接模块转发至待连接的网络设备,该待连接的网络设备向AAA服务器的认证协议模块发送操作连接认证请求进行认证鉴权。
4.根据权利要求1所述的系统,其特征在于:所述AAA服务器的各个组成部件的功能分别是:
堡垒机通信接口,负责接收由堡垒机服务器转发的用户登录系统的连接请求及其对所需管理的网络设备的操作连接请求,并转发至认证协议模块进行鉴权认证处理,并根据不同鉴权结果执行相应处理:
针对用户登录系统的连接请求时,若鉴权失败,则该堡垒机通信接口接收来自认证协议模块的拒绝登录信息,并转发给堡垒机服务器的AAA通信接口;若鉴权成功,则该堡垒机通信接口接收来自认证协议模块的用户可选连接的网络设备列表,并转发给堡垒机服务器的AAA通信接口;
针对用户对所需管理的网络设备的操作连接请求时,若鉴权失败,则该堡垒机通信接口接收来自认证协议模块的拒绝连接信息,并转发给堡垒机服务器的AAA通信接口;若鉴权成功,则该堡垒机通信接口接收来自认证协议模块的一次性访问凭据,并转发给堡垒机服务器的AAA通信接口;
认证协议模块,作为AAA服务器的操作控制中心,分别连接其他各个组成部件:堡垒机通信接口、用户数据库和OTP缓存数据库以及网络设备,负责接收来自堡垒机通信接口的用户系统登录连接请求,按照协议进行处理,并调取用户数据库中对应用户信息进行鉴权认证;若鉴权成功,该模块将该用户的可选连接的网络设备列表返回给堡垒机通信接口;还负责在接收到来自堡垒机通信接口的、用户对其所需管理的网络设备的操作连接请求时,调取用户数据库信息对用户进行鉴权:若用户有权连接其请求的网络设备,则将根据设定算法随机生成的一次性访问凭据返回至堡垒机通信接口,同时缓存至OTP缓存数据库,否则,返回拒绝连接信息至堡垒机通信接口;负责接收来自该网络设备的操作连接认证报文,提取其中包括用户账号密码、IP地址的客户端信息、被管理的网络设备IP地址及其一次性访问凭据,再与OTP缓存数据库中的相应信息进行对比后,将认证结果报文返回给该网络设备:若该网络设备的操作连接认证成功,则该网络设备与SSH/Telnet模块正式建立连接,客户端通过虚拟终端模块对网络设备进行管理操作;若该网络设备的操作连接认证失败,则网络设备切断与SSH/Telnet模块的连接;
用户数据库,用于存储用户的账号密码,以及包括该用户可选连接的网络设备列表的网络设备管理权限信息,以便在接收到来自认证协议模块的用户账号密码以及用户发起的该网络设备的操作连接请求时,就与其自身存储的用户数据进行对照比较,并返回相应的验证鉴权结果;
OTP缓存数据库,用于与认证协议模块交互信息,接收和缓存来自认证协议模块每次请求访问网络设备随机生成的一次性访问凭据,以及对应的客户端包括用户账号密码及其IP地址的信息。
5.一种根据权利要求1所述的基于一次性访问凭据的网络设备安全访问的系统的工作方法,其特征在于:所述方法包括下列操作步骤:
步骤1,堡垒机服务器的虚拟终端模块接收到客户端的用户系统登录连接请求后,将其转发至AAA服务器进行认证;
步骤2,在认证通过后,堡垒机服务器接收客户端发起的、对其准备管控的网络设备操作连接请求,并将其转发至AAA服务器和相应的网络设备;
步骤3,AAA服务器接收到用户的网络设备操作连接请求后进行鉴权,还在鉴权通过后,依据该操作连接请求生成一次性访问凭据,并将该一次性访问凭据与其对应的客户端信息一并缓存后,再将该一次性访问凭据经由堡垒机服务器转发至该网络设备;
步骤4,该网络设备将包括该客户端的网络设备操作连接请求、以及其用户信息和一次性访问凭据的操作连接认证请求都发送至AAA服务器的认证协议模块进行鉴权认证;
步骤5,AAA服务器对该网络设备的操作连接认证请求执行鉴权认证:由认证协议模块将该接收到的网络设备的操作连接认证请求与OTP缓存数据库中的信息进行对比鉴权,若鉴权通过,则跳转执行步骤7;若鉴权未通过,则顺序执行步骤6;
步骤6,客户端是否重新发起对其准备管控的网络设备操作连接请求,若是,则返回执行步骤2;若否,则操作流程结束;
步骤7,该网络设备接收到AAA服务器的操作连接鉴权认证成功信息后,就与堡垒机服务器的SSH/Telnet连接模块建立连接;然后,客户端通过堡垒机服务器中的虚拟终端模块、SSH/Telnet模块对该网络设备进行管控操作。
6.根据权利要求5所述的系统的工作方法,其特征在于:所述步骤3包括下列操作内容:
(31)AAA服务器的认证协议模块经由堡垒机通信接口接收客户端的准备管控的网络设备操作连接请求,该操作连接请求信息中包括用户账号密码和准备管控的网络设备IP地址信息;
(32)认证协议模块调取用户数据库信息对网络设备操作连接请求进行鉴权认证,判断该用户是否拥有对相应IP地址的网络设备进行管控的权限;若鉴权通过,则进入步骤(33),若鉴权未通过,则返回步骤(31);
(33)认证协议模块随机生成一次性访问凭据,再将该一次性访问凭据与其对应的客户端信息缓存至OTP缓存数据库,同时将该一次性访问凭据顺序经由堡垒机通信接口和堡垒机服务器的AAA通信接口、SSH/Telnet连接模块转发至对应的网络设备。
7.根据权利要求5所述的系统的工作方法,其特征在于:所述系统各个操作步骤中,用户客户端、AAA服务器、堡垒器服务器和网络设备之间的所有通信交互都采用加密通信,且密码不可逆。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910944247.1A CN110719277B (zh) | 2019-09-30 | 2019-09-30 | 基于一次性访问凭据的网络设备安全访问的系统和方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910944247.1A CN110719277B (zh) | 2019-09-30 | 2019-09-30 | 基于一次性访问凭据的网络设备安全访问的系统和方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110719277A CN110719277A (zh) | 2020-01-21 |
| CN110719277B true CN110719277B (zh) | 2022-01-04 |
Family
ID=69211283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910944247.1A Active CN110719277B (zh) | 2019-09-30 | 2019-09-30 | 基于一次性访问凭据的网络设备安全访问的系统和方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110719277B (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756729B (zh) * | 2020-06-23 | 2022-06-17 | 北京网瑞达科技有限公司 | 网络资源访问方法、装置、计算机设备和存储介质 |
| CN114157438A (zh) * | 2020-08-18 | 2022-03-08 | 深圳富桂精密工业有限公司 | 网络设备管理方法、装置及计算机可读存储介质 |
| CN113079164B (zh) * | 2021-04-02 | 2023-03-24 | 江苏保旺达软件技术有限公司 | 堡垒机资源的远程控制方法、装置、存储介质及终端设备 |
| CN114006751B (zh) * | 2021-10-29 | 2024-06-11 | 广东宜教通教育有限公司 | 一种使用临时认证码的校园系统单点登录方法 |
| CN114257436B (zh) * | 2021-12-16 | 2024-02-09 | 杭州乒乓智能技术有限公司 | 适用于堡垒机的访问安全管理方法、系统、电子设备和可读存储介质 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333090A (zh) * | 2011-09-28 | 2012-01-25 | 辽宁国兴科技有限公司 | 一种内控堡垒主机及安全访问内网资源的方法 |
| CN102857520A (zh) * | 2012-10-11 | 2013-01-02 | 德讯科技股份有限公司 | 一种字符终端Telnet协议安全访问系统及方法 |
| CN105847307A (zh) * | 2015-01-12 | 2016-08-10 | 北京神州泰岳信息安全技术有限公司 | 一体化运维方法及系统 |
| CN106657011A (zh) * | 2016-11-22 | 2017-05-10 | 深圳市掌世界网络科技有限公司 | 一种业务服务器授权安全访问方法 |
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN106888084A (zh) * | 2017-01-04 | 2017-06-23 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
| CN106936817A (zh) * | 2017-02-16 | 2017-07-07 | 上海帝联信息科技股份有限公司 | 操作执行方法、跳板机、集群认证服务器和堡垒机系统 |
| CN109818938A (zh) * | 2018-12-29 | 2019-05-28 | 广东电网有限责任公司 | 一种it运维双因素认证系统及方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001069417A2 (en) * | 2000-03-17 | 2001-09-20 | Siemens Aktiengesellschaft | Plant maintenance technology architecture |
-
2019
- 2019-09-30 CN CN201910944247.1A patent/CN110719277B/zh active Active
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102333090A (zh) * | 2011-09-28 | 2012-01-25 | 辽宁国兴科技有限公司 | 一种内控堡垒主机及安全访问内网资源的方法 |
| CN102857520A (zh) * | 2012-10-11 | 2013-01-02 | 德讯科技股份有限公司 | 一种字符终端Telnet协议安全访问系统及方法 |
| CN105847307A (zh) * | 2015-01-12 | 2016-08-10 | 北京神州泰岳信息安全技术有限公司 | 一体化运维方法及系统 |
| CN106657011A (zh) * | 2016-11-22 | 2017-05-10 | 深圳市掌世界网络科技有限公司 | 一种业务服务器授权安全访问方法 |
| CN106789029A (zh) * | 2017-01-04 | 2017-05-31 | 浙江神州量子网络科技有限公司 | 一种基于量子堡垒机的审计系统和审计方法以及量子堡垒机系统 |
| CN106888084A (zh) * | 2017-01-04 | 2017-06-23 | 浙江神州量子网络科技有限公司 | 一种量子堡垒机系统及其认证方法 |
| CN106936817A (zh) * | 2017-02-16 | 2017-07-07 | 上海帝联信息科技股份有限公司 | 操作执行方法、跳板机、集群认证服务器和堡垒机系统 |
| CN109818938A (zh) * | 2018-12-29 | 2019-05-28 | 广东电网有限责任公司 | 一种it运维双因素认证系统及方法 |
Non-Patent Citations (5)
| Title |
|---|
| "Bridging the Cloud Trust Gap: Using ORCON Policy to Manage Consumer Trust between Different Clouds";S. S. Kirkman and R. Newman;《2017 IEEE International Conference on Edge Computing (EDGE), Honolulu, HI, USA》;20171231;82-89页 * |
| "Cloud-based Mission Observation, Response, Exploitation (CMORE) System";P. Hershey, C. B. Silio, A. Narayan and S. Rao;《2014 IEEE International Systems Conference Proceedings, Ottawa, ON, Canada》;20141231;317-324页 * |
| "基于权限细分的安全云计算服务关键技术与系统";崔冬;《中国优秀硕士论文全文数据库(电子期刊)信息科技辑》;20180415(第4期);I139-289页 * |
| 基于应用代理的运维堡垒机研究;吴耀芳等;《微型电脑应用》;20130820(第08期);38-40页 * |
| 运维安全管理系统设计;吕宗健;《信息系统工程》;20150220(第02期);70-71页 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110719277A (zh) | 2020-01-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110719276B (zh) | 基于缓存密码的网络设备安全访问的系统及其工作方法 | |
| CN110719277B (zh) | 基于一次性访问凭据的网络设备安全访问的系统和方法 | |
| CN109120620B (zh) | 一种服务器管理方法及系统 | |
| CN108901022B (zh) | 一种微服务统一鉴权方法及网关 | |
| CN106330816B (zh) | 一种登录云桌面的方法和系统 | |
| CN105027493B (zh) | 安全移动应用连接总线 | |
| JP6121049B2 (ja) | プロキシを使用したリソースへの安全なアクセス | |
| CN100596361C (zh) | 信息系统或设备的安全防护系统及其工作方法 | |
| CN107122674B (zh) | 一种应用于运维审计系统的oracle数据库的访问方法 | |
| US7334126B1 (en) | Method and apparatus for secure remote access to an internal web server | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| CN102065059A (zh) | 安全访问控制方法、客户端及系统 | |
| US11784993B2 (en) | Cross site request forgery (CSRF) protection for web browsers | |
| CN109547402B (zh) | 数据保护方法、装置、电子设备和可读存储介质 | |
| CN111277607A (zh) | 通信隧道模块、应用监控模块及移动终端安全接入系统 | |
| CN112039873A (zh) | 一种单点登录访问业务系统的方法 | |
| US20210377224A1 (en) | Secure and auditable proxy technology using trusted execution environments | |
| CN111526150A (zh) | 关于单集群或多集群云电脑远程运维端口零信任自动化规则放行平台及放行方法 | |
| US10931662B1 (en) | Methods for ephemeral authentication screening and devices thereof | |
| Chi et al. | Design and implementation of OpenStack cloud platform identity management scheme | |
| CN113114464B (zh) | 统一安全管理系统及身份认证方法 | |
| KR101404537B1 (ko) | 패스워드 자동 변경을 통한 서버 접근 통제 시스템 및 그 방법 | |
| CN114900372B (zh) | 基于零信任安全哨兵体系的资源防护系统 | |
| You et al. | Research and design of web single sign-on scheme | |
| KR100640106B1 (ko) | 네트워크 가드 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Wang Daojia Inventor after: Wang Junyan Inventor after: Cluster Inventor before: Wang Daojia Inventor before: Weng Yuan Inventor before: Cluster |
|
| CB03 | Change of inventor or designer information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Deng Yuting Inventor after: Wang Peng Inventor after: Wang Daojia Inventor after: Wang Junyan Inventor after: Cluster Inventor before: Wang Daojia Inventor before: Wang Junyan Inventor before: Cluster |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |