CN114189376B - 一种基于cdn服务平台的云主机状态信息安全监控方法 - Google Patents

一种基于cdn服务平台的云主机状态信息安全监控方法 Download PDF

Info

Publication number
CN114189376B
CN114189376B CN202111484426.5A CN202111484426A CN114189376B CN 114189376 B CN114189376 B CN 114189376B CN 202111484426 A CN202111484426 A CN 202111484426A CN 114189376 B CN114189376 B CN 114189376B
Authority
CN
China
Prior art keywords
server
monitoring
monitoring server
cloud host
cdn
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111484426.5A
Other languages
English (en)
Other versions
CN114189376A (zh
Inventor
过小宇
赵越
吴开均
王雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 30 Research Institute
Original Assignee
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 30 Research Institute filed Critical CETC 30 Research Institute
Priority to CN202111484426.5A priority Critical patent/CN114189376B/zh
Publication of CN114189376A publication Critical patent/CN114189376A/zh
Application granted granted Critical
Publication of CN114189376B publication Critical patent/CN114189376B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明公开了一种基于CDN服务平台的云主机状态信息安全监控方法,包括以下步骤:监控服务器访问云主机对应的URL,DNS系统将URL的解析权交给CNAME指向的CDN专用DNS服务器;DNS服务器将CDN的全局负载均衡设备IP地址返回监控服务器;监控服务器向全局负载均衡设备发起内容URL访问请求;全局负载均衡设备为监控服务器选择一台区域负载均衡设备;区域负载均衡设备为监控服务器选择一台合适的缓存服务器提供服务;全局负载均衡设备把缓存服务器的IP地址返回给监控服务器;监控服务器向缓存服务器发起带有身份认证信息的请求,缓存服务器响应监控服务器请求。本发明可有效实现云主机状态信息的安全监控。

Description

一种基于CDN服务平台的云主机状态信息安全监控方法
技术领域
本发明涉及云主机技术领域,尤其涉及一种基于CDN服务平台的云主机状态信息安全监控方法。
背景技术
云主机具有成本低、易扩展、灵活度高等优点,因此越来越的企业和个人开始使用云主机进行项目开发、网站搭建和软件及应用平台的部署等。在日常使用和维护中,时常要监控主机的运行状态、获取主机的历史性能纪录等。但是常见的云主机状态监测系统或方法在回传时通常不会考虑匿名性和安全性,采用和云主机直接相连的方式获取云主机信息,有些甚至采用明文直传的方式,这样会暴露监测系统与云主机之间的通信关系和身份,攻击者仅需要知道其中一方的地址或身份,就可以获取另一方的地址从而进行网络攻击。假如用户将多个云主机布置为一套较为重要的系统,那么攻击者仅需要知道其中一个云主机或仅知道状态监测系统的地址就可以获得整个系统的云主机的地址信息,从而监控整个系统的运行状况或者对整个系统进行网络攻击。因此如何匿名且安全的获取云主机状态信息,是目前需要解决的重要问题。
为了应对云主机信息回传时面临的各种安全威胁,需要采取一定的措施保证云主机信息回传时的安全性和匿名性,要解决的问题是如何隐藏通信流中的通信关系,可以使用隐蔽传输、流量加密及特征隐藏的方式。对于隐蔽传输,一般采用在通信双方间添加代理服务器进行跳转通信的方式,但是代理服务器也多使用云主机进行搭建,依旧存在暴露通信关系的隐患,同时传输流量的特征也较为明显不利于隐藏流量。
发明内容
针对目前云主机状态信息监控存在的安全问题,本发明设计了一种基于公共CDN服务(例如阿里云CDN、百度云CDN等公共CDN服务平台)和伪装技术的云主机状态信息安全监控方法,实现了云主机状态信息的安全监控。该方法将云主机伪装成常见的网站,将节点状态信息作为网站的动态内容。当监控服务器想要获取某一云主机状态时会访问指定URL,接着会通过公共CDN服务平台进行跳转,利用公共CDN服务平台每天数据吞吐量巨大的特点,将数据回传的通信流量和行为隐藏在海量数据中,使得攻击者难以监控到回传数据,也难以将流量或云主机与监控服务器相关联,有效的实现了云主机状态信息的安全监控。
本发明采用的技术方案如下:
一种基于CDN服务平台的云主机状态信息安全监控方法,包括以下步骤:
S1.监控服务器访问云主机对应的URL,经过本地DNS系统解析,DNS系统会最终将URL的解析权交给CNAME即别名记录指向的CDN专用DNS服务器;
S2.CDN专用DNS服务器将CDN的全局负载均衡设备的IP地址返回监控服务器;
S3.监控服务器向CDN的全局负载均衡设备发起内容URL访问请求;
S4.CDN的全局负载均衡设备根据监控服务器IP地址以及请求的内容URL,选择监控服务器所属区域的一台区域负载均衡设备,告诉监控服务器向这台设备发起请求;
S5.区域负载均衡设备为监控服务器选择一台合适的缓存服务器提供服务;
S6.CDN的全局负载均衡设备把缓存服务器的IP地址返回给监控服务器;
S7.监控服务器向缓存服务器发起带有身份认证信息的请求,缓存服务器响应监控服务器请求。
进一步地,步骤S5中,选择缓存服务器的依据包括:缓存服务器与监控服务器的距离,缓存服务器上是否有监控服务器所需内容,缓存服务器的负载情况。
进一步地,根据监控服务器IP地址来判断缓存服务器与监控服务器的距离。
进一步地,根据监控服务器所请求的URL中携带的内容名称来判断缓存服务器上是否有监控服务器所需内容。
进一步地,步骤S7中,对于监控服务器请求的静态内容,缓存服务器直接传送给监控服务器;对于监控服务器请求的动态内容,缓存服务器将监控服务器发起的带有身份认证信息的请求转发至它的上一级缓存服务器请求内容直至追溯到云主机伪装网站,当认证通过后触发网站脚本获取动态内容,通过缓存服务器转发给监控服务器。
进一步地,步骤S1~S7中建立的所有通信都使用TLS加密的HTTPS通信。
进一步地,云主机内设置有安全监控程序,用于管理系统监听端口,记录网站的运行日志和访问日志监控常见端口,记录尝试连接到这些端口的请求,并根据请求进行事件分类形成端口日志;这些日志会被写入系统数据库,当监控服务器访问时会触发脚本查询数据库中的日志,这些日志随着系统状态信息一同作为动态内容进行回传。
本发明的有益效果在于:
(1)安全性分析
①匿名性。由于公共CDN服务平台每天的数据上传和下载量巨大,因此能够很好地隐藏通信行为,另外监控服务器隐藏在海量互联网用户中,采用与海量用户相同的访问网站的方式并从中获取有用信息,监视者无法准确定位和分析数据传输行为,实现了匿名性。
②不可联系性。由于监控服务器与云主机之间经过了公共CDN平台的跳转,且公共CDN平台每天的数据上传和下载量巨大,这样即使有攻击者监控云主机流量也无法将流量与监控服务器相关联,或者是将云主机与监控服务器相关联,实现了不可联系性。
③能够防范拒绝服务攻击。拒绝服务攻击是指攻击者通过发送大量且无效的认证请求,以此占用接收方的计算资源。公共CDN平台拥有足够多的边缘云主机将来自全网的请求进行分流,可以大大分担拒绝服务攻击的压力。
④提供系统安全日志审计。支持云主机多种系统安全日志的记录及安全回传,可以有效帮助客户对日志进行查询与分析,发现黑客入侵的蛛丝马迹,还原攻击现场。
(2)效率分析
虽然CDN的内部运行流程存在一定的时间损失,但是它会选择距离监控服务器及云主机最近的缓存服务器作为CDN入口,这样也减少了网络延迟,所以本发明的时间损失可以忽略不计。
附图说明
图1是本发明实施例的云主机状态信息安全监控方法示意图。
具体实施方式
为了对本发明的技术特征、目的和效果有更加清楚的理解,现说明本发明的具体实施方式。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明,即所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供了一种基于CDN服务平台的云主机状态信息安全监控方法,可以安全且隐蔽地回传云主机状态信息,即使某一个云主机被监听或被攻击也不会暴露与监控服务器的通信关系。
CDN的基本原理是广泛采用各种缓存服务器,将这些缓存服务器分布到用户访问相对集中的地区或网络中,在用户访问网站时,利用全局负载技术将用户的访问指向距离最近的工作正常的缓存服务器上,由缓存服务器直接响应用户请求。在访问使用了CDN服务的网站时,用户不会与目标网站直接通信,而是经过了CDN平台的跳转,避免了双方的直接通信,并且CDN服务器具有广泛的用户基础和海量的用户流量,因此可以有效隐藏流量信息和通信关系。
CDN目前通常用于缓存网站静态内容,例如图片、视频、网站中的文件(html、css、js)、软件安装包、apk文件、压缩包文件等。但是对于动态内容,CDN每次都需要访问服务器并将获取到动态生成的实时数据返回给用户,也就是说CDN难以缓存实时变化的动态内容,例如网站中的文件(asp、jsp、php、perl、cgi)、API接口、数据库交互请求等。
利用以上特性,可以将云主机伪装成常见的网站站点,任何人都可以通过域名尝试访问该网站,但是只有访问指定URL并通过身份认证才可以获取网站动态内容。身份认证方法使用互联网中常见的基于Token的认证方式,在服务端(云主机)不需要存储用户的登录记录。当监测系统访问指定URL并通过身份认证后会触发脚本检测云主机当前状态,接着云主机状态会被作为动态生成的实时数据经过CDN数据返回给监控服务器。
如图1所示,监控服务器会储存每个云主机对应的URL及身份认证信息,当监控服务器想要获取某一云主机的状态信息时,主要步骤如下:
①监控服务器访问云主机对应的URL,经过本地DNS系统解析,DNS系统会最终将URL的解析权交给CNAME指向的CDN专用DNS服务器。其中,CNAME即别名记录,这种记录允许将多个名字映射到另外一个域名。
②CDN专用DNS服务器将CDN的全局负载均衡设备的IP地址返回监控服务器。
③监控服务器向CDN的全局负载均衡设备发起内容URL访问请求。
④CDN的全局负载均衡设备根据监控服务器IP地址以及请求的内容URL,选择监控服务器所属区域的一台区域负载均衡设备,告诉监控服务器向这台设备发起请求。
⑤区域负载均衡设备为监控服务器选择一台合适的缓存服务器提供服务。其中,选择缓存服务器的依据包括:缓存服务器与监控服务器的距离,缓存服务器上是否有监控服务器所需内容,缓存服务器的负载情况。优选地,可根据监控服务器IP地址来判断缓存服务器与监控服务器的距离,根据监控服务器所请求的URL中携带的内容名称来判断缓存服务器上是否有监控服务器所需内容。
⑥CDN的全局负载均衡设备把缓存服务器的IP地址返回给监控服务器。
⑦监控服务器向缓存服务器发起带有身份认证信息的请求,缓存服务器响应监控服务器请求,将静态内容部分传送到监控服务器终端。对于动态内容(即节点状态信息和安全日志等内容),缓存服务器将监控服务器发起的带有身份认证信息的请求转发至它的上一级缓存服务器请求内容直至追溯到云主机伪装网站,当认证通过后触发网站脚本获取动态内容,通过缓存服务器转发给监控服务器。
以上过程建立的所有通信都使用TLS加密的HTTPS通信,这样就将云主机信息完全包裹在真实的使用TLS加密的HTTPS数据之中。由于HTTPS是整体加密的,外界很难看出具体的请求内容、参数等等,虽然HTTPS也存在固定特征,但是互联网中的HTTPS数据是海量的,监控者难以准确检测到云主机回传流量;同时由于将云主机伪装成了正常网页,云主机信息的获取过程与正常上网行为一致,不会主动向监控服务器发送数据,使得攻击者难以从行为上检测到云主机的回传数据。通过以上技术最终实现了流量伪装。
云主机内的安全监控程序会管理系统监听端口避免系统被肉鸡,用户也可以手动选择信任端口。安全监控程序也记录网站的运行日志和访问日志监控常见端口(例如80、3306和8080等),记录尝试连接到这些端口的请求,并根据请求进行事件分类形成端口日志(端口扫描、恶意注入等)。这些日志会被写入系统数据库,当监控服务器访问时会触发脚本查询数据库中的日志,这些日志随着系统状态信息一同作为动态内容进行回传。
通过安全性分析,本实施例提出的云主机状态信息安全监控方法不仅具有较高的安全性,同时具有较高的实时性。因此,该方法较好提升了云主机信息回传的安全性,期望可以为未来的云主机状态监控系统的安全性设计提供支持与借鉴。
以上所述仅是本发明的优选实施方式,应当理解本发明并非局限于本文所披露的形式,不应看作是对其他实施例的排除,而可用于各种其他组合、修改和环境,并能够在本文所述构想范围内,通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围,则都应在本发明所附权利要求的保护范围内。

Claims (5)

1.一种基于CDN服务平台的云主机状态信息安全监控方法,其特征在于,包括以下步骤:
S1. 监控服务器访问云主机对应的URL,经过本地DNS系统解析,DNS系统会最终将URL的解析权交给CNAME即别名记录指向的CDN专用DNS服务器;
S2. CDN专用DNS服务器将CDN的全局负载均衡设备的IP地址返回监控服务器;
S3. 监控服务器向CDN的全局负载均衡设备发起内容URL访问请求;
S4. CDN的全局负载均衡设备根据监控服务器IP地址以及请求的内容URL,选择监控服务器所属区域的一台区域负载均衡设备,告诉监控服务器向这台设备发起请求;
S5. 区域负载均衡设备为监控服务器选择一台合适的缓存服务器提供服务;
S6. CDN的全局负载均衡设备把缓存服务器的IP地址返回给监控服务器;
S7. 监控服务器向缓存服务器发起带有身份认证信息的请求,缓存服务器响应监控服务器请求;
步骤S5中,选择缓存服务器的依据包括:缓存服务器与监控服务器的距离,缓存服务器上是否有监控服务器所需内容,缓存服务器的负载情况;
步骤S7中,对于监控服务器请求的静态内容,缓存服务器直接传送给监控服务器;对于监控服务器请求的动态内容,缓存服务器将监控服务器发起的带有身份认证信息的请求转发至它的上一级缓存服务器请求内容直至追溯到云主机伪装网站,当认证通过后触发网站脚本获取动态内容,通过缓存服务器转发给监控服务器。
2.根据权利要求1所述的一种基于CDN服务平台的云主机状态信息安全监控方法,其特征在于,根据监控服务器IP地址来判断缓存服务器与监控服务器的距离。
3.根据权利要求1所述的一种基于CDN服务平台的云主机状态信息安全监控方法,其特征在于,根据监控服务器所请求的URL中携带的内容名称来判断缓存服务器上是否有监控服务器所需内容。
4.根据权利要求1-3任一项所述的一种基于CDN服务平台的云主机状态信息安全监控方法,其特征在于,步骤S1~S7中建立的所有通信都使用TLS加密的HTTPS通信。
5.根据权利要求1-3任一项所述的一种基于CDN服务平台的云主机状态信息安全监控方法,其特征在于,云主机内设置有安全监控程序,用于管理系统监听端口,记录网站的运行日志和访问日志监控常见端口,记录尝试连接到这些端口的请求,并根据请求进行事件分类形成端口日志;这些日志会被写入系统数据库,当监控服务器访问时会触发脚本查询数据库中的日志,这些日志随着系统状态信息一同作为动态内容进行回传。
CN202111484426.5A 2021-12-07 2021-12-07 一种基于cdn服务平台的云主机状态信息安全监控方法 Active CN114189376B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111484426.5A CN114189376B (zh) 2021-12-07 2021-12-07 一种基于cdn服务平台的云主机状态信息安全监控方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111484426.5A CN114189376B (zh) 2021-12-07 2021-12-07 一种基于cdn服务平台的云主机状态信息安全监控方法

Publications (2)

Publication Number Publication Date
CN114189376A CN114189376A (zh) 2022-03-15
CN114189376B true CN114189376B (zh) 2023-05-16

Family

ID=80542588

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111484426.5A Active CN114189376B (zh) 2021-12-07 2021-12-07 一种基于cdn服务平台的云主机状态信息安全监控方法

Country Status (1)

Country Link
CN (1) CN114189376B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103716398A (zh) * 2013-12-30 2014-04-09 北京奇虎科技有限公司 Cdn服务器的监控方法和监控系统
CN104506393A (zh) * 2015-01-06 2015-04-08 北京海量数据技术股份有限公司 一种基于云平台的系统监控方法
CN108683685A (zh) * 2018-06-19 2018-10-19 三江学院 一种针对xss攻击的云安全cdn系统及监测方法
CN113037878A (zh) * 2021-05-26 2021-06-25 北京拓课网络科技有限公司 一种cdn数据访问方法、系统及电子设备

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10498626B2 (en) * 2014-10-09 2019-12-03 Telefonaktiebolaget Lm Ericsson (Publ) Method, traffic monitor (TM), request router (RR) and system for monitoring a content delivery network (CDN)
US11461231B2 (en) * 2019-10-18 2022-10-04 International Business Machines Corporation Fractal based content delivery network layouts

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103716398A (zh) * 2013-12-30 2014-04-09 北京奇虎科技有限公司 Cdn服务器的监控方法和监控系统
CN104506393A (zh) * 2015-01-06 2015-04-08 北京海量数据技术股份有限公司 一种基于云平台的系统监控方法
CN108683685A (zh) * 2018-06-19 2018-10-19 三江学院 一种针对xss攻击的云安全cdn系统及监测方法
CN113037878A (zh) * 2021-05-26 2021-06-25 北京拓课网络科技有限公司 一种cdn数据访问方法、系统及电子设备

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
数据驱动的网络多媒体边缘内容分发;朱文武;《 中国科学:信息科学》;全文 *

Also Published As

Publication number Publication date
CN114189376A (zh) 2022-03-15

Similar Documents

Publication Publication Date Title
US20200287925A1 (en) Entity Group Behavior Profiling
US11888897B2 (en) Implementing decoys in a network environment
US10574698B1 (en) Configuration and deployment of decoy content over a network
EP2695358B1 (en) Selection of service nodes for provision of services
US10469514B2 (en) Collaborative and adaptive threat intelligence for computer security
US10097566B1 (en) Identifying targets of network attacks
US10142291B2 (en) System for providing DNS-based policies for devices
JP6315640B2 (ja) 通信先対応関係収集装置、通信先対応関係収集方法及び通信先対応関係収集プログラム
US9712532B2 (en) Optimizing security seals on web pages
US10356153B2 (en) Transferring session data between network applications accessible via different DNS domains
US20100036969A1 (en) Method, System, and Apparatus for Discovering User Agent DNS Settings
US10769000B1 (en) Method and apparatus for transparently enabling compatibility between multiple versions of an application programming interface (API)
US7747780B2 (en) Method, system and apparatus for discovering user agent DNS settings
US20090165124A1 (en) Reducing cross-site scripting attacks by segregating http resources by subdomain
CN114902612A (zh) 基于边缘网络的帐户保护服务
US11496513B2 (en) Method and apparatus for distributed emulation of behavior of a malicious domain
CN114745145B (zh) 业务数据访问方法、装置和设备及计算机存储介质
CN114189376B (zh) 一种基于cdn服务平台的云主机状态信息安全监控方法
CN115190107B (zh) 基于泛域名多子系统管理方法、管理终端及可读存储介质
CN115913583A (zh) 业务数据访问方法、装置和设备及计算机存储介质
Li et al. Mind the amplification: cracking content delivery networks via DDoS attacks
KR101266171B1 (ko) 분산 서비스 거부 공격 방어 방법 및 그 장치
Koch et al. Securing HTTP/3 Web Architecture in the Cloud
CN117135104A (zh) 数据处理方法、装置、计算机设备、存储介质及程序产品

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant