CN113067698A - 一种量子城域网中基于队列轮询的端到端密钥生成方法 - Google Patents
一种量子城域网中基于队列轮询的端到端密钥生成方法 Download PDFInfo
- Publication number
- CN113067698A CN113067698A CN202110188450.8A CN202110188450A CN113067698A CN 113067698 A CN113067698 A CN 113067698A CN 202110188450 A CN202110188450 A CN 202110188450A CN 113067698 A CN113067698 A CN 113067698A
- Authority
- CN
- China
- Prior art keywords
- key
- packet
- destination
- initial
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Electromagnetism (AREA)
- Computer Security & Cryptography (AREA)
- Optics & Photonics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明属于量子通信技术领域,公开了一种量子城域网中基于队列轮询的端到端密钥生成方法,所述量子城域网中基于队列轮询的端到端密钥生成方法的源端随机地产生初始密钥并使用唯一的私钥加密,加密的初始密钥在中继节点中经过缓存队列轮询处理,利用量子密钥逐跳加解密,目的端收到加密的通话密钥后,用私钥解密得到初始密钥,经过源端和目的端两重确认生成端到端密钥。本发明涉及一种量子城域网中基于队列轮询的端到端密钥生成方法。本发明可用于量子城域网中产生端到端密钥并对业务进行加密传输,实现源端到目的端的安全通信。用于解决量子城域网中通信时因密钥生成不稳定导致的通信时延抖动增大问题和因可信中继的风险导致的通信不安全的问题。
Description
技术领域
本发明属于量子通信技术领域,尤其涉及一种量子城域网中基于队列轮询的端到端密钥生成方法。
背景技术
量子密钥分发QKD(Quantum Key Distribution)利用量子态对信息进行量子编码并传递,能为通信双方提供理论上无条件安全的共享密钥。其安全性依赖于量子力学基本原理,一旦有窃取密钥者就会被发现。近年来,点到点的量子密钥分发技术已经日益成熟,量子密钥分发网络成为研究重点。
在现有的量子城域网组网方式中,基于可信中继的QKD网络被认为是目前技术条件下实际可行的网络组网方式。该方式是通过受信任的中间节点构建QKD链路,以扩大网络规模。
QKD网络的通信策略主要有逐跳加密策略和端到端加密策略。逐跳加密策略,即明文直接使用中继节点的量子密钥逐跳加解密到达目的端,该策略通信流量需求小,但每个中继节点的加解密过程增大了通信时延,链路密钥不足时易造成通信呼损率增大。
端到端加密策略,即通信双方先建立端到端密钥再加密传输,能有效改善逐跳加密的缺点。端到端加密策略需要密钥中继方式实现,其基本思想是利用相邻节点间共享的量子密钥,对中继密钥进行加解密,实现密钥在节点间加密中转。值得注意的是,中继密钥在中继节点以明文形式存在,中继密钥的存储和纵向传递的安全性都是本领域需要解决的问题。同时,目前还未出现针对QKD网络中可信中继的数据包处理方法,以保证量子业务和经典业务的有序传输。
解决以上问题及缺陷的难度在于,既要尽量降低端到端通信的时延、呼损率,也要保证端到端密钥生成的正确率、安全性。对于规模量子通信网络组网,实现上述要求对网络应用的安全性和通信效率都非常重要。
发明内容
针对现有技术存在的问题,本发明提供了一种量子城域网中基于队列轮询的端到端密钥生成方法。
本发明是这样实现的,一种量子城域网中基于队列轮询的端到端密钥生成方法,源端随机地产生初始密钥并使用唯一的私钥加密,加密的初始密钥在中继节点中经过缓存队列轮询处理,利用量子密钥逐跳加解密,目的端收到私钥加密的初始密钥后,用私钥解密得到初始密钥,经过源端和目的端两重确认生成端到端密钥;该方法的步骤包括如下:
(1)量子城域网中相邻中继节点之间使用光量子系统生成对称的量子密钥;
(2)初始化密钥参数:
(2a)设置数据包单位长度为Unit,根据源端的发送流量和接收流量的比值m:n,设置密钥长度Lk=(m+n)*Unit(Lk长度应小于1472字节);
(2b)设置源端密钥等待确认时间T1,目的端密钥等待时间T2,目的端密钥等待确认时间T3(T1>T2>T3);
(3)源端产生初始密钥包:
(3a)源端随机产生一个长度为Lk的二进制串作为初始密钥,为该初始密钥分配唯一且有序的序列号,将初始密钥按照密钥存储结构且按照序列号顺序放入源端的密钥发送缓冲区B1;
(3b)使用其自身的私钥为初始密钥加密,将加密后的初始密钥进行IP数据报封装,得到初始密钥包,在初始密钥包头部选项字段中分别用不同位置设置标记E和标记其初始密钥的序列号,发送该密钥包到相邻接入节点;
(4)初始密钥包经接入节点、中继节点中队列轮询处理和转发,逐跳到达目的端;
(5)目的端处理初始密钥包:
(5a)目的端舍弃超过目的端密钥等待时间T2仍未接收到的初始密钥包的序列号,更新预期序列号;
(5b)目的端收到初始密钥包,查看该包头部字段获取初始密钥的序列号,解封装得到加密后的初始密钥,使用目的端的私钥对其进行解密,得到初始密钥,将初始密钥按照密钥存储结构且按照密钥序列号顺序放入目的端的密钥接收缓存区B2;
(5c)向源端返回一个确认包,确认包的内容是接收的密钥包序列号;
(6)源端处理确认包:
(6a)源端收到目的端返回的确认包,获得其中的序列号,向目的端返回一个二次确认包,二次确认包的内容为收到的确认包中的序列号;
(6b)判断收到确认包的序列号是否是正确顺序的序列号,若是,从密钥发送缓存区B1取出该密钥,取该密钥前m*Unit字节放入源端的端到端发送密钥中,剩下n*Unit字节放入源端的端到端接收密钥中,否则,在B1中序列号对应的密钥做确认标记;
(6c)判断B1中是否有正确顺序且已确认的密钥,若是,依次按序列号顺序取出这些密钥,每个密钥取前m*Unit字节放入端到端发送密钥中,剩下n*Unit字节放入端到端接收密钥中;
(6d)判断B1中是否有密钥的等待时间超过源端密钥等待确认时间T1,若是,销毁这些密钥;
(7)目的端处理二次确认包:
(7a)目的端收到源端发来的二次确认包,获得其中的序列号,判断该序列号是否是正确顺序的序列号,若是,从密钥接收缓存区B2取出该序列号的密钥,取该密钥前m*Unit字节放入目的端的端到端接收密钥中,剩下n*Unit字节放入目的端的端到端发送密钥中,否则,在B2中序列号对应的密钥做确认标记;
(7b)判断B2中是否有正确顺序且已确认的密钥,若是,依次按序列号顺序取出些密钥,每个密钥取前m*Unit字节放入端到端接收密钥中,剩下n*Unit字节放入端到端发送密钥中;
(7c)判断B2中是否有密钥的等待时间超过了目的端密钥等待确认时间T3,若是,重新向源端发送这些密钥的确认包。
进一步:步骤(1)中所述量子城域网中节点,包括:
中继节点,所述中继节点是连接接入节点的中间设备,中继节点之间都通过经典通信信道和量子信道连接,所有中继节点均包含QKD设备、密钥管理设备和路由模块,QKD设备负责相邻节点的密钥分发,协商出量子密钥,密钥管理设备负责获取与其相连的QKD设备产生的量子密钥并进行管理和存储,路由模块负责收集和维护本地路由信息,并实现路由选择功能;
接入节点,所述接入节点是用户接入量子城域网的设备,结构与中继节点相同,与相邻中继节点通过经典通信信道和量子信道连接,与用户通过经典通信信道相连;
源端,所述源端是经过信任机构认证的量子用户,与接入节点通过经典通信信道连接;源端包含密钥发送缓存区,其作用是缓存已发送的未确认或者乱序的密钥;
目的端,所述目的端是经过信任机构认证的量子用户,与接入节点通过经典通信信道相连;目的端包含密钥接收缓存区,其作用是缓存接收的未确认或者乱序的密钥。
进一步:步骤(3a)中所述密钥存储结构指的是,端到端密钥的保存形式,其结构应包括:序列号,密钥主体,密钥长度,创建时间,是否收到确认的标志位。
进一步:步骤(3b)中所述的使用其自身的私钥为该端到端密钥加密的步骤如下:
第一步,第三方信任机构通过非公开信道给源端和目的端下发用于加密、解密操作的私钥加密设备;
第二步,源端将端到端密钥输入到私钥加密设备中,输出与输入密钥等长度的密钥串。
进一步:步骤(4)中所述的初始密钥包经接入节点、中继节点中队列轮询处理和转发,接入节点与中继节点处理的差别在于,接入节点收到源端发来的初始密钥包,转发时不需要经过解密,直接加密后转发,中继节点是收到上一中继节点的经过量子密钥加密生成的中间密钥包,先解密得到初始密钥包再加密转发。
进一步:步骤(6b)中所述发送密钥和接收密钥指的是,将端到端密钥分为发送密钥和接收密钥,发送密钥是对发送的业务做加密的密钥,接收密钥是对接收的密文做解密的密钥。
进一步,步骤(4)中继节点的队列轮询处理策略:
(1)对中继节点中路由模块的缓存队列进行分类:
中继节点IP层将路由模块的缓存队列分为密钥包队列Q1和业务包队列Q2,设置Q1,Q2长度阈值分别为Th1,Th2,设置Q1,Q2的带宽比为W1∶W2(建议值1∶2),设置数据包在Q1中的最大等待时间Td;
(2)中继节点使用多路径随机路由策略生成路由表R;
(3)数据包入队列:
中继节点查询到达的数据包头部选项字段,判断是否为中间密钥包:若是,记录该包的接收端口和当前入队时间,再判断当前时刻Q1的队列长度是否小于队列长度阈值Th1:若是,将该密钥包放入Q1的尾部,否则,从Q1头部依次取出一半的密钥包,丢弃这些密钥包,再将该密钥包放入Q1的尾部;若是通话密文包,判断当前时刻Q2的队列长度是否小于队列长度阈值Th2,若是,将通话密文包放入业务包队列Q2的尾部,否则,丢弃这个通话密文包;
(4)业务包队列Q2处理通话密文包:
判断Q2长度是否为0,若是,执行步骤(5),否则,根据分配的带宽比计算此次处理Q2的通话密文包个数M,从Q2头部取出通话密文包,查询路由表R,得到下一跳地址,转发该包到下一节点,按照通话密文包在Q2中的排队顺序依次从前往后处理M-1个通话密文包;
(5)密钥包队列Q1轮询处理密钥包:
(5a)设置位置变量i,i的初始值为0,根据分配的带宽比计算此次处理Q1的密钥包的个数K;
(5b)判断K是否为0,若是,回到步骤(4),进入下一轮处理,否则,获取当前时刻密钥包队列Q1的长度,判断该长度是否不为0,若是,执行步骤(5c),否则,回到步骤(4),进入下一轮处理;
(5c)选取Q1第i个密钥包Pki,获得Pki的长度Li和目的IP地址IPi,依据IPi查询R获取下一跳地址数量n,依次获取这些下一跳对应的量子密钥Ki的长度统计n个下一跳中满足大于Li的数量m,如果m大于1,从m个下一跳地址中随机选取一个作为下一跳地址,执行步骤(5d),如果m等于1,将该地址作为下一跳地址,执行步骤(5d),如果m为0,执行步骤(5e);
(5d)将Pki从Q1中取出,根据Pki的接收端口获取本节点与上一节点生成的量子密钥从中取出长度为Li的密钥对Pki进行解密,根据下一跳地址获取本节点与下一节点生成的量子密钥从中取出长度为Li的密钥对Pki进行加密,得到中间密钥包,将中间密钥包转发到下一节点,处理个数K减1,回到步骤(5b);
(5e)Q1轮询密钥包:
获取当前时间T和Pki的入队时间ti,判断T减ti是否大于最大等待时间Td:若是,从Q1中取出Pki并丢弃,再判断此时位置i处密钥包是否存在,若不存在,回到步骤(4),进入下一轮处理,若存在,回到步骤(5c),否则,不处理该密钥包,再判断Q1中当前选取位置的下一个密钥包是否存在,若不存在,回到步骤(4),进入下一轮处理,若存在,位置变量i加1,回到步骤(5c);
进一步:步骤(2)所述多路径随机路由策略生成路由表R,多路径随机路由策略指的是在本节点路由模块处理其他节点发来的路由更新包的策略,该策略是,将路由更新包中到达同一目的地的所有和最优路径跳数相差N跳的路径都加入到路由表中;
步骤(3)中所述中间密钥包指的是,初始密钥包经过中继节点的量子密钥加密,得到中间密钥包;
进一步:步骤(4)中所述根据分配的带宽比计算此次处理Q2的通话密文包个数M是由下式得到:
M=W2÷(W1+W2)*C
其中,W2表示Q2的带宽权重值,W1表示Q1的带宽权重值,C表示中继节点的路由模块在一个处理周期中最大可处理数据包个数。
步骤(5a)中所述根据分配的带宽比计算此次处理Q1的密钥包的个数K是由下式得到:
K=W1÷(W1+W2)*C
其中,W1表示Q1的带宽权重值,W2表示Q2的带宽权重值,C表示中继节点的路由模块在一个处理周期中最大可处理数据包个数。
进一步,量子城域网中基于队列轮询的端到端密钥生成的通信方法,其特征在于,该方法的步骤如下:
(1)源端向目的端发起通话业务请求;
(2)初始化通话参数:
(2a)设置源端发送流量和接收流量比值为m∶n;
(2b)设置数据包单位长度为Unit,端到端密钥建立阈值Lth=N*(m+n)*Unit(N为正整数,建议值20),密钥建立最大等待时间Tw;
(3)建立端到端密钥:
源端产生1.5N个长度为Lk的初始密钥包,发送到目的端,根据权利要求1所述端到端密钥生成方法生成端到端密钥;
(4)源端判断端到端密钥是否建立完成,即判断端到端密钥总长度Lq是否大于Lth,若是,执行步骤(5),否则,再判断是否达到密钥建立最大等待时间Tw,若是,端到端密钥建立失败,结束此次通话,否则,继续等待端到端密钥生成,重复执行步骤(4);
(5)源端和目的端相互通信:
(5a)源端产生通话业务:
产生长度为Ld1=m*Unit的通话业务包,获取源端的端到端发送密钥长度判断是否大于Ld1,若是,源端使用端到端发送密钥加密该通话业务包,得到通话密文包,源端IP层在通话密文包头部选项字段不同位置标记加密该业务包所使用端到端发送密钥的起始位置和长度,发送通话密文包到相邻接入节点,否则,密钥不足,源端和目的端结束此次通话;
(5b)源端产生长度为Lk初始密钥包,根据权利要求1所述端到端密钥生成方法发送到目的端,生成端到端密钥;
(5c)目的端产生通话业务:
产生长度为Ld2=n*Unit的通话业务包,获取目的端的端到端发送密钥长度判断是否大于Ld2,若是,目的端使用端到端发送密钥加密该通话业务包,得到通话密文包,IP层在通话密文包头部选项字段不同位置标记加密该业务包所使用端到端发送密钥的起始位置和长度,发送通话密文包到相邻接入节点,否则,密钥不足,源端和目的端结束此次通话;
(5d)源端和目的端解密得到通话业务数据:
收到通话密文包,从该包头部选项字段获得端到端接收密钥的起始位置和长度,根据起始位置和长度从各自的端到端接收密钥中取出密钥对通话密文包进行解密,得到通话业务数据;
(6)源端判断通话是否结束,若是,双方结束此次通话,否则,继续执行步骤(5)。
结合上述的所有技术方案,本发明所具备的优点及积极效果为:
1.降低通信的时延抖动、呼损率,端到端密钥建立要预先建立一段密钥,通话存在接入延时,但通话消息不需要在每个可信中继进行加解密,即减少了端到端时延抖动;当遇到密钥不足的情况时,可以多次尝试直到之前预先建立的密钥被消耗完,可以降低系统的呼损率;所以本发明适用于对时延抖动敏感的视频、语音业务。
2.保证密钥对称,端到端密钥生成过程中使用了两重确认机制,保证源端和目的端密钥的对称,且保持了网络扩展的灵活性。
3.降低数据包传输延时,可信中继使用缓存队列处理密钥包,在密钥不足情况下不立即丢弃,将密钥包缓存于链表等待密钥量更新,采用轮询策略,让下一跳密钥量足够的端口能正常发包,当链表达到设定的最大缓存长度时,丢弃一半密钥包以减少端口拥堵情况,尽可能地降低了数据包传输的延时。
4.增强密钥生成过程的安全性,端到端密钥生成过程中,使用私钥加密方式和随机路由策略,通话的端到端密钥和消息在整个传输过程都是以密文形式存在的,通信路径上的某个可信中继节点就算被攻破,也只能获取部分与私钥加密后的密钥,无法得到通话密钥,提升量子保密通信的安全性。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图做简单的介绍,显而易见地,下面所描述的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的量子城域网中基于队列轮询的端到端密钥生成方法流程图。
图2是本发明实施例提供的端到端通信方法的流程示意图;
图2中:1、对称私钥下发过程;2、端到端密钥建立过程;3、端到端通信过程。
图3是中继节点队列轮询策略的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
针对现有技术存在的问题,本发明提供了一种量子城域网中基于队列轮询的端到端密钥生成方法,下面结合附图对本发明作详细的描述。
如图1所示,本发明提供的量子城域网中基于队列轮询的端到端密钥生成方法包括以下步骤:
S101:量子城域网中相邻中继节点之间使用光量子系统生成对称的量子密钥;
S102:初始化密钥参数;
S103:源端产生初始密钥包;
S104:初始密钥包经接入节点、中继节点中队列轮询处理和转发,逐跳到达目的端;
S105:目的端处理初始密钥包,向源端返回确认包;
S106:源端处理确认包,向目的端返回二次确认包;
S107:目的端处理二次确认包。
本发明提供的量子城域网中基于队列轮询的端到端密钥生成方法业内的普通技术人员还可以采用其他的步骤实施,图1的本发明提供的量子城域网中基于队列轮询的端到端密钥生成方法仅仅是一个具体实施例而已。
如图2所示,本发明提供的端到端通信方法包括:
对称私钥下发过程1,通信双方通过第三方信任机构的非公开信道取得私钥芯片,即先获得对称的私钥;
端到端密钥建立过程2,在通话业务开始前,建立端到端密钥,源端产生1.5倍阈值个数的初始密钥包,每个初始密钥包发送前经过私钥芯片加密,用逐跳加密的策略在路径上的节点传输,到达可信中继时通过其中的缓存队列和轮询策略的处理,转发时采用随机路由策略,每次选择出随机的下一跳转发实现多条路径到达目的端,目的端使用私钥芯片解密得到初始密钥,经过源端和目的端两重确认生成端到端密钥,源端的端到端密钥达到阈值,则端到端密钥建立成功;
端到端通信过程3,在端到端密钥建立成功后,源端和目的端均可开始发起通话业务,业务包使用各自的端到端密钥加密得到通话密文包,直接通过经典信道传输给对方,收到通话密文包取出各自相应的端到端密钥解密得到通话数据。
下面结合具体实施例对本发明的技术方案作进一步的描述。
本发明提供的量子城域网中基于队列轮询的端到端密钥生成方法具体包括以下步骤:
步骤1,量子城域网中相邻中继节点之间使用光量子系统生成对称的量子密钥。
步骤2,初始化密钥参数。
第一步,设置数据包单位长度为Unit,根据源端的发送流量和接收流量的比值m∶n,设置密钥长度Lk=(m+n)*Unit(Lk长度应小于1472字节)。
第二步,设置源端密钥等待确认时间T1,目的端密钥等待时间T2,目的端密钥等待确认时间T3(T1>T2>T3)。
步骤3,源端产生初始密钥包。
第一步,源端随机产生一个长度为Lk的二进制串作为初始密钥,为该初始密钥分配唯一且有序的序列号,将初始密钥按照密钥存储结构且按照序列号顺序放入源端的密钥发送缓冲区B1。
所述密钥存储结构指的是,端到端密钥的保存形式,其结构应包括:序列号,密钥主体,密钥长度,创建时间,是否收到确认的标志位。
第二步,使用其自身的私钥为初始密钥加密,将加密后的初始密钥进行IP数据报封装,得到初始密钥包,在初始密钥包头部选项字段中分别用不同位置设置标记E和标记其初始密钥的序列号,发送该密钥包到相邻接入节点。
所述的使用其自身的私钥为该端到端密钥加密的步骤如下:
第一步,第三方信任机构通过非公开信道给源端和目的端下发用于加密、解密操作的私钥加密设备;
第二步,源端将端到端密钥输入到私钥加密设备中,输出与输入密钥等长度的密钥串。
步骤4,初始密钥包经接入节点、中继节点中队列轮询处理和转发,逐跳到达目的端。
所述的初始密钥包经接入节点、中继节点中队列轮询处理和转发,接入节点与中继节点处理的差别在于,接入节点收到源端发来的初始密钥包,转发时不需要经过解密,直接加密后转发,中继节点是收到上一中继节点的经过量子密钥加密生成的中间密钥包,先解密得到初始密钥包再加密转发
步骤5,目的端处理初始密钥包。
第一步,目的端舍弃超过目的端密钥等待时间T2仍未接收到的初始密钥包的序列号,更新预期序列号。
第二步,目的端收到初始密钥包,查看该包头部字段获取初始密钥的序列号,解封装得到加密后的初始密钥,使用目的端的私钥对其进行解密,得到初始密钥,将初始密钥按照密钥存储结构且按照密钥序列号顺序放入目的端的密钥接收缓存区B2。
第三步,向源端返回一个确认包,确认包的内容是接收的密钥包序列号。
步骤6,源端处理确认包。
第一步,源端收到目的端返回的确认包,获得其中的序列号,向目的端返回一个二次确认包,二次确认包的内容为收到的确认包中的序列号。
第二步,判断收到确认包的序列号是否是正确顺序的序列号,若是,从密钥发送缓存区B1取出该密钥,取该密钥前m*Unit字节放入源端的端到端发送密钥中,剩下n*Unit字节放入源端的端到端接收密钥中,否则,在B1中序列号对应的密钥做确认标记。
所述发送密钥和接收密钥指的是,将端到端密钥分为发送密钥和接收密钥,发送密钥是对发送的业务做加密的密钥,接收密钥是对接收的密文做解密的密钥。
第三步,判断B1中是否有正确顺序且已确认的密钥,若是,依次按序列号顺序取出这些密钥,每个密钥取前m*Unit字节放入端到端发送密钥中,剩下n*Unit字节放入端到端接收密钥中。
第四步,判断B1中是否有密钥的等待时间超过源端密钥等待确认时间T1,若是,销毁这些密钥;。
步骤7,目的端处理二次确认包。
第一步,目的端收到源端发来的二次确认包,获得其中的序列号,判断该序列号是否是正确顺序的序列号,若是,从密钥接收缓存区B2取出该序列号的密钥,取该密钥前m*Unit字节放入目的端的端到端接收密钥中,剩下n*Unit字节放入目的端的端到端发送密钥中,否则,在B2中序列号对应的密钥做确认标记。
第二步,判断B2中是否有正确顺序且已确认的密钥,若是,依次按序列号顺序取出些密钥,每个密钥取前m*Unit字节放入端到端接收密钥中,剩下n*Unit字节放入端到端发送密钥中。
第三步,判断B2中是否有密钥的等待时间超过了目的端密钥等待确认时间T3,若是,重新向源端发送这些密钥的确认包。
如图3所示,步骤4所述的中继节点队列轮询处理策略步骤如下:
(1)对中继节点中路由模块的缓存队列进行分类:
中继节点IP层将路由模块的缓存队列分为密钥包队列Q1和业务包队列Q2,设置Q1,Q2长度阈值分别为Th1,Th2,设置Q1,Q2的带宽比为W1∶W2(建议值1∶2),设置数据包在Q1中的最大等待时间Td;
(2)中继节点使用多路径随机路由策略生成路由表R;
(3)数据包入队列:
中继节点查询到达的数据包头部选项字段,判断是否为中间密钥包:若是,记录该包的接收端口和当前入队时间,再判断当前时刻Q1的队列长度是否小于队列长度阈值Th1:若是,将该密钥包放入Q1的尾部,否则,从Q1头部依次取出一半的密钥包,丢弃这些密钥包,再将该密钥包放入Q1的尾部;若是通话密文包,判断当前时刻Q2的队列长度是否小于队列长度阈值Th2,若是,将通话密文包放入业务包队列Q2的尾部,否则,丢弃这个通话密文包;
(4)业务包队列Q2处理通话密文包:
判断Q2长度是否为0,若是,执行步骤(5),否则,根据分配的带宽比计算此次处理Q2的通话密文包个数M,从Q2头部取出通话密文包,查询路由表R,得到下一跳地址,转发该包到下一节点,按照通话密文包在Q2中的排队顺序依次从前往后处理M-1个通话密文包;
(5)密钥包队列Q1轮询处理密钥包:
(5a)设置位置变量i,i的初始值为0,根据分配的带宽比计算此次处理Q1的密钥包的个数K;
(5b)判断K是否为0,若是,回到步骤(4),进入下一轮处理,否则,获取当前时刻密钥包队列Q1的长度,判断该长度是否不为0,若是,执行步骤(5c),否则,回到步骤(4),进入下一轮处理;
(5c)选取Q1第i个密钥包Pki,获得Pki的长度Li和目的IP地址IPi,依据IPi查询R获取下一跳地址数量n,依次获取这些下一跳对应的量子密钥Ki的长度统计n个下一跳中满足大于Li的数量m,如果m大于1,从m个下一跳地址中随机选取一个作为下一跳地址,执行步骤(5d),如果m等于1,将该地址作为下一跳地址,执行步骤(5d),如果m为0,执行步骤(5e);
(5d)将Pki从Q1中取出,根据Pki的接收端口获取本节点与上一节点生成的量子密钥从中取出长度为Li的密钥对Pki进行解密,根据下一跳地址获取本节点与下一节点生成的量子密钥从中取出长度为Li的密钥对Pki进行加密,得到中间密钥包,将中间密钥包转发到下一节点,处理个数K减1,回到步骤(5b);
(5e)Q1轮询密钥包:
获取当前时间T和Pki的入队时间ti,判断T减ti是否大于最大等待时间Td:若是,从Q1中取出Pki并丢弃,再判断此时位置i处密钥包是否存在,若不存在,回到步骤(4),进入下一轮处理,若存在,回到步骤(5c),否则,不处理该密钥包,再判断Q1中当前选取位置的下一个密钥包是否存在,若不存在,回到步骤(4),进入下一轮处理,若存在,位置变量i加1,回到步骤(5c);
应当注意,本发明的实施方式可以通过硬件、软件或者软件和硬件的结合来实现。硬件部分可以利用专用逻辑来实现;软件部分可以存储在存储器中,由适当的指令执行系统,例如微处理器或者专用设计硬件来执行。本领域的普通技术人员可以理解上述的设备和方法可以使用计算机可执行指令和/或包含在处理器控制代码中来实现,例如在诸如磁盘、CD或DVD-ROM的载体介质、诸如只读存储器(固件)的可编程的存储器或者诸如光学或电子信号载体的数据载体上提供了这样的代码。本发明的设备及其模块可以由诸如超大规模集成电路或门阵列、诸如逻辑芯片、晶体管等的半导体、或者诸如现场可编程门阵列、可编程逻辑设备等的可编程硬件设备的硬件电路实现,也可以用由各种类型的处理器执行的软件实现,也可以由上述硬件电路和软件的结合例如固件来实现。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于,源端随机地产生初始密钥并使用唯一的私钥加密,加密的初始密钥在中继节点中经过缓存队列轮询处理,利用量子密钥逐跳加解密,目的端收到私钥加密的初始密钥后,用私钥解密得到初始密钥,经过源端和目的端两重确认生成端到端密钥;该方法的步骤包括如下:
(1)量子城域网中相邻中继节点之间使用光量子系统生成对称的量子密钥;
(2)初始化密钥参数:
(2a)设置数据包单位长度为Unit,根据源端的发送流量和接收流量的比值m:n,设置密钥长度Lk=(m+n)*Unit(Lk长度应小于1472字节);
(2b)设置源端密钥等待确认时间T1,目的端密钥等待时间T2,目的端密钥等待确认时间T3(T1>T2>T3);
(3)源端产生初始密钥包:
(3a)源端随机产生一个长度为Lk的二进制串作为初始密钥,为该初始密钥分配唯一且有序的序列号,将初始密钥按照密钥存储结构且按照序列号顺序放入源端的密钥发送缓冲区B1;
(3b)使用其自身的私钥为初始密钥加密,将加密后的初始密钥进行IP数据报封装,得到初始密钥包,在初始密钥包头部选项字段中分别用不同位置设置标记E和标记其初始密钥的序列号,发送该密钥包到相邻接入节点;
(4)初始密钥包经接入节点、中继节点中队列轮询处理和转发,逐跳到达目的端;
(5)目的端处理初始密钥包:
(5a)目的端舍弃超过目的端密钥等待时间T2仍未接收到的初始密钥包的序列号,更新预期序列号;
(5b)目的端收到初始密钥包,查看该包头部字段获取初始密钥的序列号,解封装得到加密后的初始密钥,使用目的端的私钥对其进行解密,得到初始密钥,将初始密钥按照密钥存储结构且按照密钥序列号顺序放入目的端的密钥接收缓存区B2;
(5c)向源端返回一个确认包,确认包的内容是接收的密钥包序列号;
(6)源端处理确认包:
(6a)源端收到目的端返回的确认包,获得其中的序列号,向目的端返回一个二次确认包,二次确认包的内容为收到的确认包中的序列号;
(6b)判断收到确认包的序列号是否是正确顺序的序列号,若是,从密钥发送缓存区B1取出该密钥,取该密钥前m*Unit字节放入源端的端到端发送密钥中,剩下n*Unit字节放入源端的端到端接收密钥中,否则,在B1中序列号对应的密钥做确认标记;
(6c)判断B1中是否有正确顺序且已确认的密钥,若是,依次按序列号顺序取出这些密钥,每个密钥取前m*Unit字节放入端到端发送密钥中,剩下n*Unit字节放入端到端接收密钥中;
(6d)判断B1中是否有密钥的等待时间超过源端密钥等待确认时间T1,若是,销毁这些密钥;
(7)目的端处理二次确认包:
(7a)目的端收到源端发来的二次确认包,获得其中的序列号,判断该序列号是否是正确顺序的序列号,若是,从密钥接收缓存区B2取出该序列号的密钥,取该密钥前m*Unit字节放入目的端的端到端接收密钥中,剩下n*Unit字节放入目的端的端到端发送密钥中,否则,在B2中序列号对应的密钥做确认标记;
(7b)判断B2中是否有正确顺序且已确认的密钥,若是,依次按序列号顺序取出些密钥,每个密钥取前m*Unit字节放入端到端接收密钥中,剩下n*Unit字节放入端到端发送密钥中;
(7c)判断B2中是否有密钥的等待时间超过了目的端密钥等待确认时间T3,若是,重新向源端发送这些密钥的确认包。
2.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于:步骤(1)中所述量子城域网,包括:
中继节点,所述中继节点是连接接入节点的中间设备,中继节点之间都通过经典通信信道和量子信道连接,所有中继节点均包含QKD设备、密钥管理设备和路由模块,QKD设备负责相邻节点的密钥分发,协商出量子密钥,密钥管理设备负责获取与其相连的QKD设备产生的量子密钥并进行管理和存储,路由模块负责收集和维护本地路由信息,并实现路由选择功能;
接入节点,所述接入节点是用户接入量子城域网的设备,结构与中继节点相同,与相邻中继节点通过经典通信信道和量子信道连接,与用户通过经典通信信道相连;
源端,所述源端是经过信任机构认证的量子用户,与接入节点通过经典通信信道连接;源端包含密钥发送缓存区,其作用是缓存已发送的未确认或者乱序的密钥;
目的端,所述目的端是经过信任机构认证的量子用户,与接入节点通过经典通信信道相连;目的端包含密钥接收缓存区,其作用是缓存接收的未确认或者乱序的密钥。
3.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于:步骤(3a)中所述密钥存储结构指的是,端到端密钥的保存形式,其结构应包括:序列号,密钥主体,密钥长度,创建时间,是否收到确认的标志位。
4.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于:步骤(3b)中所述的使用其自身的私钥为该端到端密钥加密的步骤如下:
第一步,第三方信任机构通过非公开信道给源端和目的端下发用于加密、解密操作的私钥加密设备;
第二步,源端将端到端密钥输入到私钥加密设备中,输出与输入密钥等长度的密钥串。
5.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于:步骤(4)中所述的初始密钥包经接入节点、中继节点中队列轮询处理和转发,接入节点与中继节点处理的差别在于,接入节点收到源端发来的初始密钥包,转发时不需要经过解密,直接加密后转发,中继节点是收到上一中继节点的经过量子密钥加密生成的中间密钥包,先解密得到初始密钥包再加密转发。
6.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于:步骤(6b)中所述发送密钥和接收密钥指的是,将端到端密钥分为发送密钥和接收密钥,发送密钥是对发送的业务做加密的密钥,接收密钥是对接收的密文做解密的密钥。
7.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于,步骤(4)中继节点的队列轮询处理策略:
(1)对中继节点中路由模块的缓存队列进行分类:
中继节点IP层将路由模块的缓存队列分为密钥包队列Q1和业务包队列Q2,设置Q1,Q2长度阈值分别为Th1,Th2,设置Q1,Q2的带宽比为W1:W2(建议值1:2),设置数据包在Q1中的最大等待时间Td;
(2)中继节点使用多路径随机路由策略生成路由表R;
(3)数据包入队列:
中继节点查询到达的数据包头部选项字段,判断是否为中间密钥包:若是,记录该包的接收端口和当前入队时间,再判断当前时刻Q1的队列长度是否小于队列长度阈值Th1:若是,将该密钥包放入Q1的尾部,否则,从Q1头部依次取出一半的密钥包,丢弃这些密钥包,再将该密钥包放入Q1的尾部;若是通话密文包,判断当前时刻Q2的队列长度是否小于队列长度阈值Th2,若是,将通话密文包放入业务包队列Q2的尾部,否则,丢弃这个通话密文包;
(4)业务包队列Q2处理通话密文包:
判断Q2长度是否为0,若是,执行步骤(5),否则,根据分配的带宽比计算此次处理Q2的通话密文包个数M,从Q2头部取出通话密文包,查询路由表R,得到下一跳地址,转发该包到下一节点,按照通话密文包在Q2中的排队顺序依次从前往后处理M-1个通话密文包;
(5)密钥包队列Q1轮询处理密钥包:
(5a)设置位置变量i,i的初始值为0,根据分配的带宽比计算此次处理Q1的密钥包的个数K;
(5b)判断K是否为0,若是,回到步骤(4),进入下一轮处理,否则,获取当前时刻密钥包队列Q1的长度,判断该长度是否不为0,若是,执行步骤(5c),否则,回到步骤(4),进入下一轮处理;
(5c)选取Q1第i个密钥包Pki,获得Pki的长度Li和目的IP地址IPi,依据IPi查询R获取下一跳地址数量n,依次获取这些下一跳对应的量子密钥Ki的长度统计n个下一跳中满足大于Li的数量m,如果m大于1,从m个下一跳地址中随机选取一个作为下一跳地址,执行步骤(5d),如果m等于1,将该地址作为下一跳地址,执行步骤(5d),如果m为0,执行步骤(5e);
(5d)将从Q1中取出,根据的接收端口获取本节点与上一节点生成的量子密钥从中取出长度为Li的密钥对Pki进行解密,根据下一跳地址获取本节点与下一节点生成的量子密钥从中取出长度为Li的密钥对Pki进行加密,得到中间密钥包,将中间密钥包转发到下一节点,处理个数K减1,回到步骤(5b);
(5e)Q1轮询密钥包:
获取当前时间T和Pki的入队时间ti,判断T减ti是否大于最大等待时间Td:若是,从Q1中取出Pki并丢弃,再判断此时位置i处密钥包是否存在,若不存在,回到步骤(4),进入下一轮处理,若存在,回到步骤(5c),否则,不处理该密钥包,再判断Q1中当前选取位置的下一个密钥包是否存在,若不存在,回到步骤(4),进入下一轮处理,若存在,位置变量i加1,回到步骤(5c)。
8.根据权利要求7所述的中继节点的队列轮询处理策略,其特征在于:步骤(2)所述多路径随机路由策略生成路由表R,多路径随机路由策略指的是在本节点路由模块处理其他节点发来的路由更新包的策略,该策略是,将路由更新包中到达同一目的地的所有和最优路径跳数相差N跳的路径都加入到路由表中;
步骤(3)中所述中间密钥包指的是,初始密钥包经过中继节点的量子密钥加密,得到中间密钥包。
9.根据权利要求7所述的中继节点的队列轮询处理策略,其特征在于:
步骤(4)中所述根据分配的带宽比计算此次处理Q2的通话密文包个数M是由下式得到:
M=W2÷(W1+W2)*C
其中,W2表示Q2的带宽权重值,W1表示Q1的带宽权重值,C表示中继节点的路由模块在一个处理周期中最大可处理数据包个数。
步骤(5a)中所述根据分配的带宽比计算此次处理Q1的密钥包的个数K是由下式得到:
K=W1÷(W1+W2)*C
其中,W1表示Q1的带宽权重值,W2表示Q2的带宽权重值,C表示中继节点的路由模块在一个处理周期中最大可处理数据包个数。
10.根据权利要求1所述的量子城域网中基于队列轮询的端到端密钥生成方法,其特征在于,量子城域网中基于队列轮询的端到端密钥生成的通信方法,其特征在于,该方法的步骤如下:
(1)源端向目的端发起通话业务请求;
(2)初始化通话参数:
(2a)设置源端发送流量和接收流量比值为m:n;
(2b)设置数据包单位长度为Unit,端到端密钥建立阈值Lth=N*(m+n)*Unit(N为正整数,建议值20),密钥建立最大等待时间Tw;
(3)建立端到端密钥:
源端产生1.5N个长度为Lk的初始密钥包,发送到目的端,根据权利要求1所述端到端密钥生成方法生成端到端密钥;
(4)源端判断端到端密钥是否建立完成,即判断端到端密钥总长度Lq是否大于Lth,若是,执行步骤(5),否则,再判断是否达到密钥建立最大等待时间Tw,若是,端到端密钥建立失败,结束此次通话,否则,继续等待端到端密钥生成,重复执行步骤(4);
(5)源端和目的端相互通信:
(5a)源端产生通话业务:
产生长度为Ld1=m*Unit的通话业务包,获取源端的端到端发送密钥长度判断是否大于Ld1,若是,源端使用端到端发送密钥加密该通话业务包,得到通话密文包,源端IP层在通话密文包头部选项字段不同位置标记加密该业务包所使用端到端发送密钥的起始位置和长度,发送通话密文包到相邻接入节点,否则,密钥不足,源端和目的端结束此次通话;
(5b)源端产生长度为Lk初始密钥包,根据权利要求1所述端到端密钥生成方法发送到目的端,生成端到端密钥;
(5c)目的端产生通话业务:
产生长度为Ld2=n*Unit的通话业务包,获取目的端的端到端发送密钥长度判断是否大于Ld2,若是,目的端使用端到端发送密钥加密该通话业务包,得到通话密文包,IP层在通话密文包头部选项字段不同位置标记加密该业务包所使用端到端发送密钥的起始位置和长度,发送通话密文包到相邻接入节点,否则,密钥不足,源端和目的端结束此次通话;
(5d)源端和目的端解密得到通话业务数据:
收到通话密文包,从该包头部选项字段获得端到端接收密钥的起始位置和长度,根据起始位置和长度从各自的端到端接收密钥中取出密钥对通话密文包进行解密,得到通话业务数据;
(6)源端判断通话是否结束,若是,双方结束此次通话,否则,继续执行步骤(5)。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110188450.8A CN113067698B (zh) | 2021-02-19 | 2021-02-19 | 一种量子城域网中基于队列轮询的端到端密钥生成方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110188450.8A CN113067698B (zh) | 2021-02-19 | 2021-02-19 | 一种量子城域网中基于队列轮询的端到端密钥生成方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113067698A true CN113067698A (zh) | 2021-07-02 |
CN113067698B CN113067698B (zh) | 2022-11-18 |
Family
ID=76558780
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110188450.8A Active CN113067698B (zh) | 2021-02-19 | 2021-02-19 | 一种量子城域网中基于队列轮询的端到端密钥生成方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113067698B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114598462A (zh) * | 2022-02-28 | 2022-06-07 | 西安电子科技大学 | 量子城域网中基于动态调整的端到端密钥生成方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243143A (zh) * | 2013-06-08 | 2014-12-24 | 安徽量子通信技术有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
CN106230582A (zh) * | 2016-07-17 | 2016-12-14 | 西安电子科技大学 | 量子保密通信网络中的随机路由方法 |
CN108768888A (zh) * | 2018-04-20 | 2018-11-06 | 北京国电通网络技术有限公司 | 一种电力系统量子加密业务的队列调度方法 |
US20200358598A1 (en) * | 2019-05-08 | 2020-11-12 | Beijing University Of Posts And Telecommunications | Method, Device of Secret-Key Provisioning and Computer-Readable Storage Medium thereof |
-
2021
- 2021-02-19 CN CN202110188450.8A patent/CN113067698B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104243143A (zh) * | 2013-06-08 | 2014-12-24 | 安徽量子通信技术有限公司 | 一种基于量子密钥分配网络的移动保密通信方法 |
CN106230582A (zh) * | 2016-07-17 | 2016-12-14 | 西安电子科技大学 | 量子保密通信网络中的随机路由方法 |
CN108768888A (zh) * | 2018-04-20 | 2018-11-06 | 北京国电通网络技术有限公司 | 一种电力系统量子加密业务的队列调度方法 |
US20200358598A1 (en) * | 2019-05-08 | 2020-11-12 | Beijing University Of Posts And Telecommunications | Method, Device of Secret-Key Provisioning and Computer-Readable Storage Medium thereof |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114598462A (zh) * | 2022-02-28 | 2022-06-07 | 西安电子科技大学 | 量子城域网中基于动态调整的端到端密钥生成方法 |
CN114598462B (zh) * | 2022-02-28 | 2023-10-17 | 西安电子科技大学 | 量子城域网中基于动态调整的端到端密钥生成方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113067698B (zh) | 2022-11-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11075892B2 (en) | Fully cloaked network communication model for remediation of traffic analysis based network attacks | |
US10033843B2 (en) | Network device and method for processing a session using a packet signature | |
US10084754B2 (en) | Virtual private network aggregation | |
US20070165638A1 (en) | System and method for routing data over an internet protocol security network | |
US8788705B2 (en) | Methods and apparatus for secure routing of data packets | |
CN112887206B (zh) | 量子城域网中基于动态优先级的路由器队列调度方法 | |
JP2009518995A (ja) | デジタル対象物タイトル認証 | |
WO2011121713A1 (ja) | ノード、転送方法、および転送プログラム | |
CN110784321B (zh) | 一种新的基于公私钥密码机制的安全匿名通信方法 | |
Raffo | Security schemes for the OLSR protocol for ad hoc networks | |
WO2012083653A1 (zh) | 支持链路层保密传输的交换设备及其数据处理方法 | |
EP3909196B1 (en) | One-time pads encryption hub | |
CN113067698B (zh) | 一种量子城域网中基于队列轮询的端到端密钥生成方法 | |
Seggelmann et al. | SSH over SCTP—Optimizing a multi-channel protocol by adapting it to SCTP | |
JP2009518973A (ja) | デジタル対象物のタイトルと伝送情報 | |
CN114095423B (zh) | 基于mpls的电力通信骨干网数据安全防护方法及系统 | |
Kuo et al. | Dynamic routing with security considerations | |
US10911419B2 (en) | System and method for secure communication in a network | |
CN114448816B (zh) | 一种基于异构数据链的一体化ip组网方法 | |
Tennekoon et al. | Per-hop data encryption protocol for transmitting data securely over public networks | |
CN114598462B (zh) | 量子城域网中基于动态调整的端到端密钥生成方法 | |
Hohendorf et al. | Secure End-to-End Transport Over SCTP. | |
Kao et al. | Real-time anonymous routing for mobile ad hoc networks | |
JP2693881B2 (ja) | 通信ネットワークで使用される暗号処理装置及び方法 | |
Isci et al. | Ipsec over satellite links: a new flow identification method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |