CN115348065A - 一种基于可编程数据平面的防火墙绕行冲突检测方法 - Google Patents

一种基于可编程数据平面的防火墙绕行冲突检测方法 Download PDF

Info

Publication number
CN115348065A
CN115348065A CN202210902266.XA CN202210902266A CN115348065A CN 115348065 A CN115348065 A CN 115348065A CN 202210902266 A CN202210902266 A CN 202210902266A CN 115348065 A CN115348065 A CN 115348065A
Authority
CN
China
Prior art keywords
rule
conflict
forwarding
state
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210902266.XA
Other languages
English (en)
Other versions
CN115348065B (zh
Inventor
罗威
龚俊斌
李健
吴静
江昊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Ship Development and Design Centre
Original Assignee
China Ship Development and Design Centre
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Ship Development and Design Centre filed Critical China Ship Development and Design Centre
Priority to CN202210902266.XA priority Critical patent/CN115348065B/zh
Publication of CN115348065A publication Critical patent/CN115348065A/zh
Application granted granted Critical
Publication of CN115348065B publication Critical patent/CN115348065B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于可编程数据平面的防火墙绕行冲突检测方法,包括以下步骤:1)将已有SDN流表规则和待下发SDN流表规则分别表示为别名集简化规则ARR的形式;2)进行首次绕行冲突检测;3)对判断为冲突的待下发流表项进行二次检测,确认初次判断的规则冲突是否存在。本发明包含两重防火墙绕行冲突检测,其既能减少冲突检测的性能开销,又能避免检测中的误判。

Description

一种基于可编程数据平面的防火墙绕行冲突检测方法
技术领域
本发明涉及网络安全技术,尤其涉及一种基于可编程数据平面的防火墙绕行冲突检测方法。
背景技术
防火墙是一种网络安全设备,它对入站和出站的流量进行监控,并根据一组预先定义的安全规则同意或拒绝事件。然而,相较于传统网络,SDN网络除了支持正常的转发和丢弃数据包的操作外,还额外提供了修改动作来方便用户对数据包首部字段进行更改,从而令用户能够实现包括地址转换、匿名通信在内的多种网络功能。修改动作给SDN带来更大灵活性的同时,也引入了新的安全隐患,防火墙规则绕行冲突就是其中之一。
基于别名集的检测算法可以实现对SDN下防火墙规则绕行冲突的检测,该方法将数据包中的地址信息和防火墙的规则都编码为一种名为别名集(Alias reduced rules,ARRs)的表示形式,然后进行比较来发现是否存在策略冲突。这种方法简单高效,但是由于将规则间的关系记录在别名集中,冲突分析没有考虑流程表中的相互依赖性,无法准确跟踪网络流量,导致该方法面对复杂网络配置时会存在误报问题。亟需一种有效的方法,解决可能存在的绕行冲突。
发明内容
本发明要解决的技术问题在于针对现有技术中的缺陷,提供一种基于可编程数据平面的防火墙绕行冲突检测方法。
本发明解决其技术问题所采用的技术方案是:一种基于可编程数据平面的防火墙绕行冲突检测方法,包括以下步骤:
1)将已有SDN流表规则和待下发SDN流表规则分别表示为别名集简化规则ARR的形式;
SDN流表规则为含修改动作的SDN流表规则;
具体过程如下;
1.1)当插入新规则时,将规则中的源信息和目的信息分别放入两个集合中,例如,规则a→b drop可表示为(a)→(b)drop,即丢弃从源地址为a到目的地址为b的数据包;
1.2)如果规则中含有Modify动作,那么将修改后的信息也放入对应的集合中,例如,
Figure BDA0003771301040000021
Figure BDA0003771301040000022
可分别表示为(a,a′)→(c)和(a′)→(c,b);
1.3)将新规则和现有规则转化为新的ARR形式,例如,在以上规则的基础上,a′→bforward可表示为(a,a′)→(c,b)forward;
2)进行首次绕行冲突检测;
判断待下发SDN流表规则的ARR规则cRule是否与现有防火墙已有SDN流表规则的ARR集合fRule存在冲突,过程如下;
2.1)跳过那些无法匹配的cRule和fRule对;
2.2)跳过那些最终操作一致的cRule和fRule对;
2.3)如果cRule的别名集与fRule的别名集相交,则判定为存在冲突;
3)对判断为冲突的待下发流表项进行二次检测;
3.1)将当前网络中的判断为冲突的待下发流表项和其修改动作构成一个转发规则集,根据转发规则集以及待插入的含修改动作的转发规则构建转发图,具体过程如下:
3.1.1)获取当前规则的匹配域信息以及修改后的匹配域信息,并判断该信息是否已存在于转发图中;
3.1.2)如果该信息不存在于转发图中则添加相应的状态节点;否则,获取图中的节点,然后将修改前后的两个状态节点相连并更新它们与Forward或Drop节点间的连接关系;
若该节点存在于转发途中,在更改其前后节点后,使他更新为链接forward节点;
3.1.3)重复执行上述步骤,直至将当前网络中的所有含Modify动作的规则构建为一张转发图;
3.2)利用构建的转发图确认新转发规则是否与已有防火墙规则冲突,具体过程如下:
3.2.1)从转发图的任一更新节点开始,查找数据包的匹配域字段在SDN中的规则匹配和修改转发操作,然后根据转发图中的前向边和后向边分别向下一个状态和上一个状态追溯;
3.2.2)追溯到下一个和上一个状态节点后,更新当前数据包的匹配域信息并将继续向上和向下追溯进行流规则的匹配域的查找;
3.2.3)不断重复过程3.2.2)直到到达起始状态和终止状态,如果终止状态的下一跳不为Forward节点或者当前获得的起始状态和终止状态的匹配字段的源与目的和别名集检测到的冲突规则的相应字段不匹配,认为防火墙绕行冲突不存在,初步检测发生了误判;否则认为初次判断的规则冲突存在。
本发明产生的有益效果是:
本发明包含两重防火墙绕行冲突检测,其既能减少冲突检测的性能开销,又能避免检测中的误判。具体而言,本发明首先通过别名集算法筛选出可能存在的绕行冲突。由于别名集算法忽视了数据包在网络中的实际转发路径,因此可能存在误判的情况,虽然可以通过验证网络路径的可达性改进其准确性,但这类方案的时间开销将无法达到要求。
本发明针对别名集检测的结果进行二次检测,在不损失检测性能的同时,纠正初次检测可能存在的误判。一方面,别名集算法复杂度低,并且可以缩小二次检测的范围,提高检测效率、降低检测开销。同时,由于普通的转发规则并不会导致防火墙规则绕行冲突现象,因此本方法只关注动作为Modify的流表项,这减少了转发规则转化为别名集表示时的集合规模,进一步加快了绕行冲突检测的速度。
另一方面,本发明针对别名集算法的检测结果,使用构建网络转发图的方式对数据包的实际转发路径进行进一步检测,寻找数据包在转发图中的位置并向上和向下进行路径追溯以分析其真实的转发路径并判断是否违反防火墙规则,从而消除别名集算法可能存在的误判,保证检测结果的可信度。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明实施例的SDN防火墙绕行冲突的示意图;
图2是本发明实施例的方法流程图;
图3是本发明实施例的网络转发图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
如图1所示,图1为SDN防火墙绕行冲突示意图,假设该网络拓扑的防火墙中的安全规则为src=10.0.0.1,dst=10.0.0.4,action=deny,网络中交换机各种的转发规则为:
s1:src=10.0.0.1,dst=10.0.0.2,action=modify10.0.0.1→10.0.0.3
s2:src=10.0.0.3,dst=10.0.0.2,action=forward
s3:src=10.0.0.3,dst=10.0.0.2,action=modify10.0.0.2→10.0.0.4
假设有数据包从10.0.0.1发出,此时其目的主机为10.0.0.2,数据包此时并未违反防火墙规则,但是其经过s1交换机时与上述表项匹配,那么它就会根据匹配到的动作将数据包的源IP地址进行修改,接着转发到s2交换机,此时该数据包将匹配到上述表项并转发到s3交换机,在该交换机上继续对数据包的目的IP地址进行修改并最终转发到10.0.0.4的主机。由上述转发过程可知,数据包全程并没有违反防火墙的规则,但是最终10.0.0.1和10.0.0.4的主机绕过了防火墙的规则实现了通信。
如图2所示,一种基于可编程数据平面的防火墙绕行冲突检测方法包括以下步骤:
1)将已有(含修改动作的)SDN流表规则和待下发(含修改动作的)SDN流表规则表示为别名集简化规则(ARR)的形式;
1.1)当插入新规则时,将规则中的源和目的信息分别放入两个集合中,例如,规则a→b drop可表示为(a)→(b)drop,即丢弃从源地址为a到目的地址为b的数据包;
1.2)如果规则中含有Modify动作,那么将修改后的信息也放入对应的集合中,例如,
Figure BDA0003771301040000071
Figure BDA0003771301040000072
可分别表示为(a,a′)→(c)和(a′)→(c,b);
1.3)将新规则和现有规则转化为新的ARR形式,例如,在以上规则的基础上,a′→bforward可表示为(a,a′)→(c,b)forward;
2)利用别名集算法进行首次绕行冲突检测。具体而言,判断新的ARR规则cRule(即待下发流表项)是否与现有防火墙规则的ARR集合fRule存在冲突;
2)进行首次绕行冲突检测。具体而言,判断新的ARR规则cRule(即待下发流表项)是否与现有防火墙规则的ARR集合fRule存在冲突,过程如下;
2.1)跳过那些无法匹配的cRule和fRule对;
2.2)跳过那些最终操作一致的cRule和fRule对;
2.3)如果cRule的别名集与fRule的别名集相交,则判定为冲突;
3)对判断为冲突的待下发流表项进行二次检测。首先,将当前网络中的含修改动作的转发规则集以及待插入的含修改动作的转发规则构建为一个转发图,具体过程如下:
3.1)获取当前规则的匹配域信息以及修改后的匹配域信息,并判断该信息是否已存在于转发图中;
3.2)如果该信息不存在于转发图中则添加相应的状态节点,否则获取图中的节点,然后将修改前后的两个状态节点相连并更新它们与Forward或Drop节点间的连接关系;
3.3)重复执行上述步骤,直至将当前网络中的所有含Modify动作的规则构建为一张转发图;
4)利用构建的转发图确认新转发规则是否与已有防火墙规则冲突,具体过程如下:
4.1)从转发图的更新节点开始,查找数据包的匹配域字段在SDN中的规则匹配和修改转发操作,然后根据转发图中的前向边和后向边分别向下一个状态和上一个状态追溯;
4.2)追溯到下一个和上一个状态节点后,更新当前数据包的匹配域信息并将继续向上和向下追溯进行流规则的匹配域的查找;
4.3)不断重复过程4.2)直到到达起始状态和终止状态,如果终止状态的下一跳不为Forward节点或者当前获得的起始状态和终止状态的匹配字段的源与目的和别名集检测到的冲突规则的相应字段不匹配,说明防火墙绕行冲突不存在,初步检测发生了误判;否则初次判断的规则冲突确实存在。
图3是利用图1所示网络中的流表规则构建的转发图。一个具体的转发图包含Forward节点,Deny节点以及转发节点3种节点:
1)Forward节点:该节点表示最终为转发状态,即数据包在到达该节点后会进行不定次的转发操作,而不会再被修改;
2)Drop节点:该节点表示最终为丢弃状态,即数据包在到达该节点后会不再进行转发和修改,将会被丢弃;
3)状态节点:每个状态节点包含相关转发规则的所有匹配域字段值。如果规则是基于源地址、目的地址、源端口、目的端口和协议号编写的,则每个状态节点都包含与所有这些字段相关的字段。
同时,转发图中包含负责连接任意两个节点的前向边和后向边2种连边:
1)前向边:每个前向边的目的地代表下一个状态,即数据包应该被转发还是被修改。如果前向边的目标节点是Forward节点,则数据包需要在不做修改的情况下被转发,如果目标是Drop节点,则数据包需要在不做修改的情况下被丢弃,如果目标是状态节点,则数据包将在进行报头信息的修改而后被转发,当前节点和它的前向边以及目标节点构成一条Modify流表项;
2)后向边:每个后向边的目的地代表数据包的上一个状态,引入后向边的目的是为了在转发图中实现更快速的查找一个数据包在网络中转发时的起始状态,很显然的一个情况是,如果当前待插入的规则加入到转发图中后,本文可能从当前节点开始查询后发现实际转发路径并不违反规则,而实际上其从起始节点开始的转发路径是违反的,因此需要能够快速的查找到其起始节点,而如果对图中节点进行遍历寻找的话会导致效率低下。
接下来具体介绍图3的构建过程,这里仅将节点描述为源目的IP,当插入s1的规则时,转发图初始化并添加src=10.0.0.1,dst=10.0.0.2以及src=10.0.0.3,dst=10.0.0.2这两个转发节点以及它们的连边,并更新第二个节点连接到Forward节点,然后继续插入s2的规则,由于其为普通转发规则,此时不需要更新转发图,最后,添加s3的规则,此时由src=10.0.0.3,dst=10.0.0.2节点已存在且s1与s3之间有转发规则,只添加src=10.0.0.3,dst=10.0.0.4节点并添加与前一状态节点的连边,并更新与Forward节点的连接关系。
本发明的目的是提供一种用于检测可编程数据平面防火墙绕行冲突检测的方法,其优势是一方面保证冲突判断的准确性,另一方面保证冲突检测的开销小、速度快。该方法具体包括两重冲突检测,1)首次检测使用别名集算法检测所有可能存在冲突带Modify动作的流表项,该算法不考虑考虑流程表中的相互依赖关系,开销小、速度快,但面对复杂网络配置时可能会有误报;2)对所有可能存在冲突流表项,构建相应的转发图,明确数据包的实际转发路径,排除首次检测中的误判情况,保证整个检测过程的准确性。
应当理解的是,对本领域普通技术人员来说,可以根据上述说明加以改进或变换,而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (1)

1.一种基于可编程数据平面的防火墙绕行冲突检测方法,包括以下步骤:
1)将已有SDN流表规则和待下发SDN流表规则分别表示为别名集简化规则ARR的形式;
SDN流表规则为含修改动作的SDN流表规则;
具体过程如下;
1.1)当插入新规则时,将规则中的源信息和目的信息分别放入两个集合中;
1.2)如果规则中含有Modify动作,那么将修改后的信息也放入对应的集合中;
1.3)将新规则和现有规则转化为新的ARR形式;
2)进行首次绕行冲突检测;
判断待下发SDN流表规则的ARR规则cRule是否与现有防火墙已有SDN流表规则的ARR集合fRule存在冲突,过程如下;
2.1)跳过那些无法匹配的cRule和fRule对;
2.2)跳过那些最终操作一致的cRule和fRule对;
2.3)如果cRule的别名集与fRule的别名集相交,则判定为存在冲突;
3)对判断为冲突的待下发流表项进行二次检测;
3.1)将当前网络中的判断为冲突的待下发流表项和其修改动作构成一个转发规则集,根据转发规则集以及待插入的含修改动作的转发规则构建转发图,具体过程如下:
3.1.1)获取当前规则的匹配域信息以及修改后的匹配域信息,并判断该信息是否已存在于转发图中;
3.1.2)如果该信息不存在于转发图中则添加相应的状态节点;否则,获取图中的节点,然后将修改前后的两个状态节点相连并更新它们与Forward或Drop节点间的连接关系;
3.1.3)重复执行上述步骤,直至将当前网络中的所有含Modify动作的规则构建为一张转发图;
3.2)利用构建的转发图确认新转发规则是否与已有防火墙规则冲突,具体过程如下:
3.2.1)从转发图的任一更新节点开始,查找数据包的匹配域字段在SDN中的规则匹配和修改转发操作,然后根据转发图中的前向边和后向边分别向下一个状态和上一个状态追溯;
3.2.2)追溯到下一个和上一个状态节点后,更新当前数据包的匹配域信息并将继续向上和向下追溯进行流规则的匹配域的查找;
3.2.3)不断重复过程3.2.2)直到到达起始状态和终止状态,如果终止状态的下一跳不为Forward节点或者当前获得的起始状态和终止状态的匹配字段的源与目的和别名集检测到的冲突规则的相应字段不匹配,认为防火墙绕行冲突不存在,初步检测发生了误判;否则认为初次判断的规则冲突存在。
CN202210902266.XA 2022-07-29 2022-07-29 一种基于可编程数据平面的防火墙绕行冲突检测方法 Active CN115348065B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210902266.XA CN115348065B (zh) 2022-07-29 2022-07-29 一种基于可编程数据平面的防火墙绕行冲突检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210902266.XA CN115348065B (zh) 2022-07-29 2022-07-29 一种基于可编程数据平面的防火墙绕行冲突检测方法

Publications (2)

Publication Number Publication Date
CN115348065A true CN115348065A (zh) 2022-11-15
CN115348065B CN115348065B (zh) 2024-04-12

Family

ID=83950465

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210902266.XA Active CN115348065B (zh) 2022-07-29 2022-07-29 一种基于可编程数据平面的防火墙绕行冲突检测方法

Country Status (1)

Country Link
CN (1) CN115348065B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104104561A (zh) * 2014-08-11 2014-10-15 武汉大学 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统
WO2015062291A1 (zh) * 2013-10-31 2015-05-07 华为技术有限公司 一种冲突检测及解决的方法、装置
CN106656591A (zh) * 2016-12-15 2017-05-10 西安电子科技大学 一种软件定义网络中多应用间的规则冲突检测与消除方法
CN107196871A (zh) * 2017-04-14 2017-09-22 同济大学 一种基于别名规约树的流规则冲突检测方法及系统
CN108471412A (zh) * 2018-03-19 2018-08-31 武汉华大国家数字化学习工程技术有限公司 一种防火墙规则冲突检测方法
CN111600852A (zh) * 2020-04-27 2020-08-28 中国舰船研究设计中心 一种基于可编程数据平面的防火墙设计方法
CN112261052A (zh) * 2020-10-23 2021-01-22 中国人民解放军战略支援部队信息工程大学 基于流规则分析的sdn数据平面异常行为检测方法及系统

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015062291A1 (zh) * 2013-10-31 2015-05-07 华为技术有限公司 一种冲突检测及解决的方法、装置
CN104104561A (zh) * 2014-08-11 2014-10-15 武汉大学 一种基于OpenFlow协议的SDN防火墙状态检测方法及系统
CN106656591A (zh) * 2016-12-15 2017-05-10 西安电子科技大学 一种软件定义网络中多应用间的规则冲突检测与消除方法
CN107196871A (zh) * 2017-04-14 2017-09-22 同济大学 一种基于别名规约树的流规则冲突检测方法及系统
CN108471412A (zh) * 2018-03-19 2018-08-31 武汉华大国家数字化学习工程技术有限公司 一种防火墙规则冲突检测方法
CN111600852A (zh) * 2020-04-27 2020-08-28 中国舰船研究设计中心 一种基于可编程数据平面的防火墙设计方法
CN112261052A (zh) * 2020-10-23 2021-01-22 中国人民解放军战略支援部队信息工程大学 基于流规则分析的sdn数据平面异常行为检测方法及系统

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
JIAN LI: "SDN-based Stateful Firewall for Cloud", 《2020 IEEE 6TH INTL CONFERENCE ON BIG DATA SECURITY ON CLOUD (BIGDATASECURITY)》, 23 July 2020 (2020-07-23) *
李健, 袁晓红: "网络防火墙技术", 湖南工业职业技术学院学报, no. 01, 30 March 2002 (2002-03-30) *
罗威: "基于可编程数据平面的状态防火墙技术", 《武汉大学学报(工学版)》, 16 April 2021 (2021-04-16) *

Also Published As

Publication number Publication date
CN115348065B (zh) 2024-04-12

Similar Documents

Publication Publication Date Title
Sherwood et al. Discarte: a disjunctive internet cartographer
TWI683587B (zh) 用於唯一枚舉解析樹中的路徑的裝置和方法
US10439926B2 (en) Network analysis
CN107566279B (zh) 一种基于路由信息和Traceroute信息的路由器别名解析方法
EP3905622A1 (en) Botnet detection method and system, and storage medium
CN107707474B (zh) 一种路由分配方法及系统
KR20030021338A (ko) 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
CN112995040B (zh) 一种基于设备标识计算的报文路径溯源方法及装置
CN111245969B (zh) 一种面向ip定位的大规模网络别名解析方法
CN103220255A (zh) 一种实现单播反向路径转发urpf检查的方法及装置
CN110278152B (zh) 一种建立快速转发表的方法及装置
Marder APPLE: alias pruning by path length estimation
CN116938777B (zh) 网络遥测的方法及装置、电子设备和存储介质
CN111953748B (zh) 会话记录生成方法、装置及存储介质
US20230344755A1 (en) Determining flow paths of packets through nodes of a network
CN115514683B (zh) 丢包原因确定方法、装置、交换芯片及存储介质
CN115348065A (zh) 一种基于可编程数据平面的防火墙绕行冲突检测方法
CN110741610A (zh) 具有本地交换的端口扩展器
US20160301658A1 (en) Method, apparatus, and computer-readable medium for efficient subnet identification
CN112437096B (zh) 加速策略查找方法及系统
CN114285624B (zh) 攻击报文识别方法、装置、网络设备和存储介质
US11985055B1 (en) Determining hop count distribution in a network
CN106411748B (zh) 跨网络的动态拓扑维护方法
CN104348725A (zh) 基于流表的数据处理方法和装置
CN111343103B (zh) 一种安全组规则不能立即生效问题的解决方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant