CN116232683A - 一种工业微服务系统的认证方法、装置和计算机介质 - Google Patents
一种工业微服务系统的认证方法、装置和计算机介质 Download PDFInfo
- Publication number
- CN116232683A CN116232683A CN202310006810.7A CN202310006810A CN116232683A CN 116232683 A CN116232683 A CN 116232683A CN 202310006810 A CN202310006810 A CN 202310006810A CN 116232683 A CN116232683 A CN 116232683A
- Authority
- CN
- China
- Prior art keywords
- access token
- port number
- address
- industrial
- communication port
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
- H04L69/163—In-band adaptation of TCP data exchange; In-band control procedures
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种工业微服务系统的认证方法,涉及计算机领域,应用于工业微服务系统中的请求客户端,统一授权服务器生成访问令牌,目标工业服务端基于访问令牌中的IP地址和通讯端口号对请求客户端进行身份验证,通过IP地址和通讯端口号对请求客户端进行身份验证可以有效避免访问令牌泄露后被第三方系统使用的问题,并且访问令牌的有效期不会因此受到限制,不会存在需要频繁发起令牌更新请求等情况,在不增加系统负荷的前提下有效避免了令牌泄露造成的信息泄露等问题,确保了工业微服务系统的认证过程的安全性和可靠性。本发明还公开了一种工业微服务系统的认证装置和计算机介质,具有与上述工业微服务系统的认证方法相同的有益效果。
Description
技术领域
本发明涉及计算机领域,特别是涉及一种工业微服务系统的认证方法。本发明还涉及一种工业微服务系统的认证装置和计算机介质。
背景技术
工业微服务是工业互联网平台的载体,是以单一功能组件为基础,通过模块化组合方式实现“松耦合”应用开发的软件架构。一个工业微服务就是一个面向单一功能、能够独立部署的小型应用,在应用时,可以将多个不同功能、相互隔离的工业微服务按需组合在一起并通过API(Application Programming Interface,应用程序编程接口)等方式实现相互通信,这样就构成了一个功能完整的大型应用系统。在工业微服务系统中,普通使用Token(令牌)认证的方式来实现各自之间的相互通信和受信交互等,Token自身包含了身份验证所需要的所有信息,使得所应用的服务器无需存储相关信息,增加了系统的可用性和伸缩性,大大减轻了服务器的压力。
当前工业微服务之间的认证普遍都基于这种客户端Token的方案,具体实现步骤大概是在用户认证成功后,服务端生成一个访问令牌发给作为请求客户端的工业微服务;请求客户端存储访问令牌,并在每次请求时带上访问令牌;目标工业服务端收到访问令牌且通过验证后即可确认用户身份,完成认证过程,同时服务端生成的返回给请求客户端的访问令牌包含了一个有效期,若超过有效期则访问令牌会因为过期从而导致无效。但是由于Token应用在认证过程中的无状态,导致这种认证方式存在Token泄露的风险,在有效期内Token可能会被其它第三方应用系统使用,若泄露的访问令牌在有效期内,则第三方应用系统可以使用该访问令牌直到有效期结束;如何避免第三方应用系统使用泄露的访问令牌发起业务请求是目前急需解决的技术问题。
现有技术中,主要通过缩短访问令牌的有效期来避免这种情况,通过缩短访问令牌的有效期从而降低由于访问令牌泄露导致的一些风险,但是这种方式依旧存在泄露后访问令牌被第三方系统使用的问题,无法有效避免信息泄露的风险,而且由于缩短了访问令牌的有效期,也会导致正常服务过程中,需要频繁发起令牌更新请求,增加系统的整体负荷的问题。
发明内容
本发明的目的是提供一种工业微服务系统的认证方法、装置和计算机介质,通过IP地址和通讯端口号对请求客户端进行身份验证有效避免了访问令牌泄露后被第三方系统使用的问题,并且访问令牌的有效期不会因此受到限制,不会存在需要频繁发起令牌更新请求等情况,在不增加系统负荷的前提下有效避免了令牌泄露造成的信息泄露等问题,确保了工业微服务系统的认证过程的安全性和可靠性。
为解决上述技术问题,本发明提供了一种工业微服务系统的认证方法,应用于请求客户端,该方法包括:
向所述统一授权服务器发送所述请求客户端的IP地址和通讯端口号,以使所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌,所述访问令牌包括所述IP地址和所述通讯端口号;
获取所述统一授权服务器生成的访问令牌;
基于所述访问令牌与目标工业服务端建立TCP连接,以使所述目标工业服务端基于所述访问令牌中的所述IP地址和所述通讯端口号对所述请求客户端进行身份验证。
优选地,向所述统一授权服务器发送所述请求客户端的IP地址和通讯端口号,包括:
基于所述请求客户端的IP地址和通讯端口号与所述统一授权服务器建立TCP连接;
将所述IP地址和所述通讯端口号传输至所述统一授权服务器。
优选地,在所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌之前,还包括:
所述统一授权服务器将所述通讯端口号加上随机数得到授权访问端口号;
对应地,所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌,包括:
所述统一授权服务器基于所述IP地址、所述授权访问端口号及预设加密方式生成访问令牌,所述访问令牌包括所述IP地址和所述授权访问端口号。
优选地,所述目标工业服务端基于所述访问令牌中的所述IP地址和所述通讯端口号对所述请求客户端进行身份验证,包括:
所述目标工业服务端通过TCP连接获取所述请求客户端的来源IP,来源端口号和所述访问令牌;
基于与所述预设加密方式对应的预设解密方式对所述访问令牌进行解密;
若解密成功,判断所述访问令牌中的IP地址是否与所述来源IP一致,所述访问令牌中的通讯端口号是否与所述来源端口号一致;
若所述访问令牌中的IP地址与所述来源IP一致且所述访问令牌中的通讯端口号与所述来源端口号一致,则判定所述请求客户端的身份验证通过。
优选地,所述访问令牌还包括有效期,在判定所述请求客户端的身份验证通过之前,还包括:
判断所述访问令牌是否处于有效期内;
若是,则进入判定所述请求客户端身份验证通过的步骤。
优选地,
所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌,包括:
所述统一授权服务器基于所述IP地址、所述通讯端口号及私钥生成访问令牌;
对应地,基于与所述预设加密方式对应的预设解密方式对所述访问令牌进行解密,包括:
使用与所述私钥对应的公钥对所述访问令牌进行解密。
优选地,在所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌之前,还包括:
接收所述请求客户端的登录信息和访问申请;
判断所述请求客户端的登录信息是否有效;
若是,则判定所述请求客户端的访问申请通过,进入所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌的步骤。
为解决上述技术问题,本发明还提供了一种工业微服务系统的认证方法,应用于目标工业服务端,该方法包括:
基于请求客户端发送的访问令牌与所述请求客户端建立TCP连接,所述访问令牌是统一授权服务器基于所述请求客户端的IP地址、所述请求客户端的通讯端口号及预设加密方式生成的;
基于所述访问令牌中的所述IP地址和所述通讯端口号对所述请求客户端进行身份验证。
为解决上述技术问题,本发明还提供了一种工业微服务系统的认证装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现上述所述工业微服务系统的认证方法的步骤。
为解决上述技术问题,本发明还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述所述工业微服务系统的认证方法的步骤。
本发明提供了一种工业微服务系统的认证方法,应用于工业微服务系统中的请求客户端,工业微服务系统中的统一授权服务器基于预设加密方式生成访问令牌,访问令牌包括了请求客户端的IP地址和通讯端口号,后续请求客户端在与目标工业服务端的认证过程中通过该访问令牌进行业务请求等操作,目标工业服务端基于访问令牌中的IP地址和通讯端口号对请求客户端进行身份验证,而局域网中每台服务器的IP地址是唯一的,若存在两台及其以上相同的服务器的IP地址则会提示地址冲突,出现地址冲突后,服务器无法进行网络通信;并且同一台电脑中一个通讯端口号只能同时被一个TCP连接绑定,存在尝试再次绑定的情况时则会失败;利用TCP连接的特性实现对工业微服务的身份的绑定,通过IP地址和通讯端口号对请求客户端进行身份验证可以有效避免访问令牌泄露后被第三方系统使用的问题,并且访问令牌的有效期不会因此受到限制,不会存在需要频繁发起令牌更新请求等情况,在不增加系统负荷的前提下有效避免了令牌泄露造成的信息泄露等问题,确保了工业微服务系统的认证过程的安全性和可靠性。
本发明还提供了一种工业微服务系统的认证方法、装置和计算机可读存储介质,具有与上述工业微服务系统的认证方法相同的有益效果。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明提供的一种工业微服务系统的认证方法的流程示意图;
图2为本发明提供的一种统一授权服务器生成访问令牌的流程示意图;
图3为本发明提供的一种目标工业服务端进行身份验证的流程示意图;
图4为本发明提供的另一种工业微服务系统的认证方法的流程示意图;
图5为本发明提供的一种工业微服务系统的认证装置的结构示意图。
具体实施方式
本发明的核心是提供一种工业微服务系统的认证方法、装置和计算机介质,通过IP地址和通讯端口号对请求客户端进行身份验证有效避免了访问令牌泄露后被第三方系统使用的问题,并且访问令牌的有效期不会因此受到限制,不会存在需要频繁发起令牌更新请求等情况,在不增加系统负荷的前提下有效避免了令牌泄露造成的信息泄露等问题,确保了工业微服务系统的认证过程的安全性和可靠性。
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明提供的一种工业微服务系统的认证方法主要应用于工业微服务系统,涉及计算机系统、工业控制以及大数据等相关领域,主要针对的是工业互联网架构即工业微服务系统中各个工业微服务的安全认证,可以实现工业微服务之间的受信交互,有效避免第三方应用系统使用泄露的访问令牌发起业务请求的风险。对于工业微服务系统的具体实现方式以及各个工业微服务的具体实现方式等本申请在此不做特别的限定,可以根据用户需求以及实际应用环境等进行调整。具体实施方式详见下文。
请参照图1,图1为本发明提供的一种工业微服务系统的认证方法的流程示意图;
为解决上述技术问题,本发明提供了一种工业微服务系统的认证方法,应用于请求客户端,该方法包括:
S11:向统一授权服务器发送请求客户端的IP地址和通讯端口号,以使统一授权服务器基于IP地址、通讯端口号及预设加密方式生成访问令牌,访问令牌包括IP地址和通讯端口号;
可以理解的是,访问令牌是统一授权服务器生成的,需要请求客户端提供生成访问令牌所需要的请求客户端的IP地址(Internet Protocol Address,互联网协议地址)和通讯端口号,在获取了请求客户端的IP地址和通讯端口号后,统一授权服务器会通过预设加密方式生成包括了请求客户端的IP地址和通讯端口号的加密的访问令牌,对于访问令牌的加密方式也存在多种选择,可以通过秘钥对的方式实现,本申请在此不做特别的限定。
具体地,请求客户端与统一授权服务器之间的连接关系及具体通信方式等本申请在此不做特别的限定,两者之间的数据交换可以通过多种方式实现,访问令牌可以是基于JWT(Json Web Token)生成的,JWT是一种基于JSON(JavaScript Object Notation,JS对象简谱)用于在网络上声明某种主张的令牌,对于生成访问令牌的具体实现方式等本申请在此不做特别的限定,可以根据实际应用需求进行调整,对于访问令牌中的其他内容等本申请在此不做特别的限定,具体取决于用户需求等因素。
具体过程生成访问令牌的过程可以是首先通过获取授权的访问请求的底层TCP连接,绑定请求客户端的主机IP,然后在该请求连接的来源端口的基础上生成一个随机的通讯端口,进一步绑定待授权的工业微服务的请求连接信息,最后通过私钥将工业微服务的请求连接信息和其它信息一起打包进行签名、加密生成一个访问令牌,返回给等待授权的作为请求客户端的工业微服务。
一般地,请求客户端的IP地址指的是作为请求客户端的工业微服务所在的服务器的IP地址,通讯端口号一般是请求客户端随机选择的所在服务器上的一个通讯端口的信息,对于一个工业微服务而言,其对应的IP地址和通讯端口号都是唯一的,在工业微服务系统中,大量的工业微服务集中部署于后端服务器集群,构成了一个局域网环境,而局域网中每台服务器的IP是唯一的,若存在两台及其以上相同的服务器IP则会提示地址冲突,出现地址冲突后,服务器无法进行网络通信。而且同一台电脑中一个通讯端口只能同时被一个TCP连接绑定,当尝试再次绑定时则会失败。这也就实现了请求客户端与IP地址和通讯端口号的绑定,第三方软件无法通过伪造IP地址和通讯端口号等操作来进行业务请求,从而通过对应的访问令牌实现了请求客户端的身份的绑定,从而完善了后续的身份验证的过程。对于请求客户端发送的通讯端口号的具体选择逻辑以及实现方式等本申请在此不做特别的限定。
S12:获取统一授权服务器生成的访问令牌;
可以理解的是,请求客户端在与其他工业微服务进行数据通信等操作时需要携带访问令牌,必须通过访问令牌中IP地址和通讯端口去请求其它工业微服务。请求客户端需要获取统一授权服务器生成的访问令牌之后,才能进行后续的业务请求等操作,并通过访问令牌完成与其他工业微服务之间的身份验证,从而实现工业微服务系统的认证过程。
具体地,请求客户端从统一授权服务器获取访问令牌的方式有很多种,可以通过建立TCP(Transmission Control Protocol,传输控制协议)连接实现,也可以通过其他的数据传输方式实现,对于获取访问令牌的具体实现方式等本申请在此不做特别的限定。
S13:基于访问令牌与目标工业服务端建立TCP连接,以使目标工业服务端基于访问令牌中的IP地址和通讯端口号对请求客户端进行身份验证。
具体地,请求客户端可以携带访问令牌与目标工业服务端之间进行信息交互,可以携带访问令牌向目标工业服务端发起业务请求,目标工业服务端在接收到业务请求信号时,会通过访问令牌中的请求客户端的IP地址和通讯端口号与请求客户端建立TCP连接,再通过该TCP连接对请求客户端进行身份验证,以确保建立连接的请求客户端和访问令牌对应的请求客户端一致,才能证明建立连接的请求客户端是正确的需要进行该业务请求的请求客户端,身份验证的具体实现过程也包含多个步骤,本申请在此不做特别的限定。
这种身份验证方法可以在基于TCP连接的RPC(Remote Procedure Call,远程过程调用)通信框架下,通过在访问令牌中绑定请求IP和请求端口的方式,利用TCP连接特性实现对工业微服务身份的绑定,从而确保身份验证过程的准确性和可靠性,RPC是一种通过网络从远程计算机程序上请求服务,而不需要了解底层网络技术的协议。
可以理解的是,目标工业服务端指的是请求客户端发起业务请求的目标端,会在与请求客户端建立连接后对其进行身份验证,如果身份验证通过,则会根据获取的从请求客户端发送的业务请求进行对应的业务处理操作;如果身份验证没有通过,则证明建立连接的请求客户端不是发送该业务请求的正确的请求客户端,直接返回无效信号或不进行对应的操作即可。
具体地,S11-S13这三个步骤的执行主体都是请求客户端,请求客户端指的就是工业微服务系统中作为发起业务请求的工业微服务,对于请求客户端,统一授权服务器以及目标工业服务端的具体选择和实现方式等本申请在此不做特别的限定,同一个请求客户端可以向多个目标工业服务端发起业务请求,对于具体实现过程等本申请在此不做特别的限定。
本发明提供的工业微服务系统的认证方法中,工业微服务间采用基于TCP的RPC通讯框架,各工业微服务通过携带访问令牌从而实现数据之间的相互调用,访问令牌可以通过统一授权服务使用私钥基于JWT生成,其额外携带IP地址和通讯端口号作为工业微服务的凭证,当其中一个工业微服务通过访问令牌向另外一个工业微服务发起业务请求时,被调用的工业微服务作为目标工业服务端可以通过公钥验证访问令牌的有效性后,再次验证发起业务请求的TCP连接的来源IP以及来源端口与访问令牌中的登记是否一致,若一致则验证通过,若不一致说明连接无效,则验证不通过。
通过绑定IP地址和通讯端口号,其它APP(application,应用软件)使用泄露的访问令牌时,若其在局域网中通过修改IP地址发起请求则会导致IP冲突,若其在同一台主机上使用同一个端口发起请求则会因为端口已使用从而绑定失败导致无法发送请求,最终实现防止其它APP通过泄露的访问令牌发起业务请求的风险。
本发明提供了一种工业微服务系统的认证方法,应用于工业微服务系统中的请求客户端,工业微服务系统中的统一授权服务器基于预设加密方式生成访问令牌,访问令牌包括了请求客户端的IP地址和通讯端口号,后续请求客户端在与目标工业服务端的认证过程中通过该访问令牌进行业务请求等操作,目标工业服务端基于访问令牌中的IP地址和通讯端口号对请求客户端进行身份验证,而局域网中每台服务器的IP地址是唯一的,若存在两台及其以上相同的服务器的IP地址则会提示地址冲突,出现地址冲突后,服务器无法进行网络通信;并且同一台电脑中一个通讯端口号只能同时被一个TCP连接绑定,存在尝试再次绑定的情况时则会失败;利用TCP连接的特性实现对工业微服务的身份的绑定,通过IP地址和通讯端口号对请求客户端进行身份验证可以有效避免访问令牌泄露后被第三方系统使用的问题,并且访问令牌的有效期不会因此受到限制,不会存在需要频繁发起令牌更新请求等情况,在不增加系统负荷的前提下有效避免了令牌泄露造成的信息泄露等问题,确保了工业微服务系统的认证过程的安全性和可靠性。
在上述实施例的基础上,
作为一种优选地实施例,向统一授权服务器发送请求客户端的IP地址和通讯端口号,包括:
基于请求客户端的IP地址和通讯端口号与统一授权服务器建立TCP连接;
将IP地址和通讯端口号传输至统一授权服务器。
可以理解的是,为了生成访问令牌,请求客户端需要向统一授权服务器发送请求客户端的IP地址和通讯端口号,统一授权服务器可以直接通过获取的请求客户端的IP地址和通讯端口号与请求客户端之间建立TCP连接,从而便于IP地址和通讯端口号的传输过程。同时,后续请求客户端对于访问令牌的获取过程也可以直接通过此时建立的TCP连接实现,方便快捷,安全可靠。
具体地,统一授权服务器可以直接利用需要获取的请求客户端的IP地址和通讯端口号与请求客户端直接建立TCP连接,从而便于后续对IP地址和通讯端口号的传输过程,并且由于TCP连接的确认机制和重传机制的存在,保证传输过程可靠稳定,并且在数据传输的过程中会有窗口机制来决定传输数据的大小,以达到拥塞控制的效果,在数据传输完毕后会断开连接来释放系统资源,有效地实现了请求客户端与统一授权服务器之间的数据连接,可靠稳定,有利于后续工业微服务系统的认证过程的准确进行。
作为一种优选地实施例,在统一授权服务器基于IP地址、通讯端口号及预设加密方式生成访问令牌之前,还包括:
统一授权服务器将通讯端口号加上随机数得到授权访问端口号;
对应地,统一授权服务器基于IP地址、通讯端口号及预设加密方式生成访问令牌,包括:
统一授权服务器基于IP地址、授权访问端口号及预设加密方式生成访问令牌,访问令牌包括IP地址和授权访问端口号。
考虑到请求客户端与统一授权服务器之间建立TCP连接后,发送到统一授权服务器的通讯端口号会被请求客户端与统一授权服务器之间的TCP连接暂时占用,为了防止请求客户端与目标工业服务端后续进行TCP连接时可能存在的端口冲突的问题,在生成访问令牌之前,统一授权服务器将通讯端口号加上随机数得到一个授权访问端口号,一般是选择100以内的随机数,再基于IP地址、授权访问端口号及预设加密方式生成访问令牌,后续请求客户端与目标工业服务端之间的TCP连接通过该授权访问端口实现。可以理解的是,获取授权访问端口号的方式不止上述一种,也可以采用其他方式,本申请在此不做特别的限定。
为了防止请求客户端与目标工业服务端后续进行TCP连接时可能存在的端口冲突的问题,在生成访问令牌之前,统一授权服务器会获取一个授权访问端口号,再基于IP地址、授权访问端口号及预设加密方式生成访问令牌,后续将该授权访问端口作为请求客户端与目标工业服务端之间TCP连接所用的通讯端口,避免了请求客户端与统一授权服务器和目标工业服务端建立TCP连接时可能存在的端口冲突的问题,有利于后续目标工业服务端的身份验证过程的正确进行,进一步确保工业微服务系统的认证过程的实现。
作为一种优选地实施例,目标工业服务端基于访问令牌中的IP地址和通讯端口号对请求客户端进行身份验证,包括:
目标工业服务端通过TCP连接获取请求客户端的来源IP,来源端口号和访问令牌;
基于与预设加密方式对应的预设解密方式对访问令牌进行解密;
若解密成功,判断访问令牌中的IP地址是否与来源IP一致,访问令牌中的通讯端口号是否与来源端口号一致;
若访问令牌中的IP地址与来源IP一致且访问令牌中的通讯端口号与来源端口号一致,则判定请求客户端的身份验证通过。
具体地,目标工业服务端对请求客户端的身份验证过程包括多个步骤,首先是需要通过与预设加密方式对应的预设解密方式对访问令牌进行解密,以完成对访问令牌的有效性的验证,若解密失败,则证明该访问令牌无效,直接返回无效信息或执行其他操作,若解密成功,则该访问令牌是有效的,可以继续进行后续的身份验证;解密成功后,可以通过访问令牌中的IP地址和通讯端口号判断该访问令牌中的IP地址是否与来源IP一致,访问令牌中的通讯端口号是否与来源端口号一致,如果存在不一致的情况,则说明建立连接的请求客户端与访问令牌对应的请求客户端不一致,此时建立连接的请求客户端不是正确的请求客户端,身份验证无法通过,可以直接给此时的请求客户端返回无效操作或直接执行其他操作;只有当访问令牌中的IP地址与来源IP一致且访问令牌中的通讯端口号与来源端口号一致时,表示此时建立连接的请求客户端是正确的请求客户端,可以判定请求客户端的身份验证通过,以便后续的业务请求等处理过程的进行。
可以理解的是,来源IP和来源端口号指的是此时建立连接的请求客户端的IP地址和通讯端口号,通过对比IP地址和通讯端口号,可以确认绑定访问令牌的请求客户端是否与此时建立连接的请求客户端是一致的,从而实现对请求客户端的身份验证过程。
具体地,目标工业服务端对请求客户端的身份验证过程包括多个步骤,通过预设加密方式,IP地址和通讯端口号的对比过程实现对请求客户端的身份验证,通过在访问令牌中绑定IP地址和通讯端口号的方式,利用TCP连接特性实现对工业微服务身份的绑定,从而解决了泄露访问令牌后第三方应用系统使用访问令牌的问题,避免了访问令牌泄露的风险,通过多重验证过程,确保了请求客户端的正确性,避免了信息泄露的风险,完善了工业微服务系统的认证过程,确保认证过程的准确性,提高了认证过程的安全性和可靠性。
作为一种优选地实施例,访问令牌还包括有效期,在判定请求客户端的身份验证通过之前,还包括:
判断访问令牌是否处于有效期内;
若是,则进入判定请求客户端身份验证通过的步骤。
考虑到在访问令牌的应用过程中,通常会设置有效期来提高系统的安全性,所以访问令牌中还包括了访问令牌的有效期,同时增加了目标工业服务端对访问令牌的有效期的验证过程,确保该访问令牌是在有效期内的有效的访问令牌。对于访问令牌的有效期的设置方法和具体实现方式等本申请在此不做特别的限定,可以根据不同的业务请求信息和用户需求等设置不同种类和不同期限的有效期。
考虑到在访问令牌的应用过程中,通常会设置有效期来提高系统的安全性,增加了目标工业服务端对访问令牌的有效期的验证过程,进一步确保该访问令牌是在有效期内的有效的访问令牌,提高了目标工业服务端对请求客户端的身份验证过程的安全性和可靠性,完善了工业微服务系统的认证过程,确保认证过程的准确性,进一步提高了认证过程的安全性和可靠性。
作为一种优选地实施例,
统一授权服务器基于IP地址、通讯端口号及预设加密方式生成访问令牌,包括:
统一授权服务器基于IP地址、通讯端口号及私钥生成访问令牌;
对应地,基于与预设加密方式对应的预设解密方式对访问令牌进行解密,包括:
使用与私钥对应的公钥对访问令牌进行解密。
可以理解的是,可以使用非对称加密算法实现对访问令牌的加密过程,统一授权服务器通过私钥对访问令牌进行加密,作为目标工业服务端的各个工业微服务通过对应的公钥进行解密,从而实现访问令牌有效性的验证。对于私钥和公钥的设置方法和具体实现方式等本申请在此不做特别的限定。
具体地,使用非对称加密算法实现对访问令牌的加密过程,统一授权服务器通过私钥对访问令牌进行加密,作为目标工业服务端的各个工业微服务通过对应的公钥进行解密,实现了对访问令牌的有效性的验证,加密和解密使用的是两个不同的密钥,保密性好,安全性高,进一步提高了身份验证过程的准确性,保证了目标工业服务端对请求客户端的身份验证过程的安全性和可靠性,完善了工业微服务系统的认证过程,确保认证过程的准确性,保证了认证过程的安全性和可靠性。
作为一种优选地实施例,在统一授权服务器基于IP地址、通讯端口号及预设加密方式生成访问令牌之前,还包括:
接收请求客户端的登录信息和访问申请;
判断请求客户端的登录信息是否有效;
若是,则判定请求客户端的访问申请通过,进入统一授权服务器基于IP地址、通讯端口号及预设加密方式生成访问令牌的步骤。
可以理解的是,统一授权服务器也需要对请求客户端进行登录验证,请求客户端在发送需要授权的对其他工业微服务的访问申请时携带自身的登录信息,包括AppID以及AppSecret等,统一授权服务器在接收到请求客户端的访问申请时,解析请求内容中的AppID以及AppSecret,并验证其是否有效,若无效则直接返回,登录验证失败,若有效则继续生成访问令牌的操作。
具体地,增加了统一授权服务器对请求客户端进行登录验证的过程,通过请求客户端在发送需要授权的访问申请时携带的自身的登录信息判定请求客户端是否有效,以确保请求客户端的有效性,完善了工业微服务系统的认证过程,确保认证过程的准确性,保证了认证过程的安全性和可靠性。
请参照图2,图2为本发明提供的一种统一授权服务器生成访问令牌的流程示意图;访问令牌生成的大致步骤如下文所述;
统一授权服务器在接收到请求客户端的授权请求后,通过请求客户端与统一授权服务器之间建立的TCP连接获取请求来源IP和端口,也就是请求客户端的IP地址以及绑定的通讯端口;之后解析请求内容中请求客户端的AppID以及AppSecret,并验证其是否有效,若无效则直接返回未授权的工业微服务,该请求客户端授权失败,若有效则继续生成访问令牌;根据请求客户端的通讯端口,加上一个100以内的随机数生成一个有效的新端口作为授权访问端口;使用请求客户端的IP地址以及生成的授权访问端口作为工业微服务的唯一识别码使用私钥生成一个访问令牌,后续作为请求客户端的工业微服务必须使用该IP和端口去访问其它工业微服务,从而有效防止访问令牌泄露后被其它App使用的情况;访问令牌生成后就可以将生成的访问令牌返回请求客户端。
请参照图3,图3为本发明提供的一种目标工业服务端进行身份验证的流程示意图;大致步骤如下文所述;
作为请求客户端的工业微服务在建立连接后发起业务请求,此时被调用的工业微服务作为目标工业服务端发起访问令牌的身份验证流程,被调用的工业微服务接收到业务请求后,通过建立的TCP连接获取对应的请求来源IP以及请求来源端口;同时也会获取访问令牌并使用公钥进行解密判断访问令牌是否有效;若访问令牌无效则直接返回该请求客户端,若有效则继续判断访问令牌中登记的请求来源IP和请求来源端口与本次实际建立的TCP连接中的链接信息,包括请求来源IP以及请求来源端口是否一致,访问令牌中登记的请求来源IP和请求来源端口也就是生成访问令牌时的IP地址和通讯端口,若不一致则返回无效的请求客户端并与其断开连接,若一致则继续验证令牌是否过期;继续验证访问令牌的有效期,若过期则返回无效的请求客户端,若有效则继续处理对应的业务请求,然后返回最终的业务处理结果。
请参照图4,图4为本发明提供的另一种工业微服务系统的认证方法的流程示意图;其中工业微服务A指的是作为请求客户端的工业微服务,工业微服务B指的是作为目标工业服务端的工业微服务,工业微服务系统的认证方法包括如图所示的十个步骤。
为解决上述技术问题,本发明还提供了一种工业微服务系统的认证方法,应用于目标工业服务端,该方法包括:
基于请求客户端发送的访问令牌与请求客户端建立TCP连接,访问令牌是统一授权服务器基于请求客户端的IP地址、请求客户端的通讯端口号及预设加密方式生成的;
基于访问令牌中的IP地址和通讯端口号对请求客户端进行身份验证。
可以理解的是,本实施例是以目标工业服务端作为执行主体对工业微服务系统的认证方法的介绍,从目标工业服务端的角度进一步完善了工业微服务系统的认证过程,确保工业微服务系统的认证方法的准确应用,进一步完善了工业微服务系统的认证过程,确保认证过程的准确性,保证了认证过程的安全性和可靠性。
对于本发明提供的一种工业微服务系统的认证方法的介绍请参照上述方法实施例,本发明在此不再赘述。
请参照图5,图5为本发明提供的一种工业微服务系统的认证装置的结构示意图。
为解决上述技术问题,本发明还提供了一种工业微服务系统的认证装置,包括:
存储器1,用于存储计算机程序;
处理器2,用于执行计算机程序时实现上述工业微服务系统的认证方法的步骤。
其中,处理器2可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器2可以采用DSP(Digital Signal Processor,数字信号处理器)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器2也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称中央处理器;协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器2可以集成GPU(graphics processing unit,图形处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器2还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
存储器1可以包括一个或多个计算机可读存储介质,该计算机可读存储介质可以是非暂态的。存储器1还可包括高速随机存取存储器,以及非易失性存储器,比如一个或多个磁盘存储设备、闪存存储设备。本实施例中,存储器1至少用于存储以下计算机程序,其中,该计算机程序被处理器2加载并执行之后,能够实现前述任意一个实施例公开的工业微服务系统的认证方法的相关步骤。另外,存储器1所存储的资源还可以包括操作系统和数据等,存储方式可以是短暂存储或者永久存储。其中,操作系统可以包括Windows、Unix、Linux等。数据可以包括但不限于工业微服务系统的认证方法的数据等。
在一些实施例中,工业微服务系统的认证装置还可包括有显示屏、输入输出接口、通信接口、电源以及通信总线。
本领域技术人员可以理解的是,图5中示出的结构并不构成对工业微服务系统的认证装置的限定,可以包括比图示更多或更少的组件。
对于本发明提供的一种工业微服务系统的认证装置的介绍请参照上述方法实施例,本发明在此不再赘述。
为解决上述技术问题,本发明还提供了一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,计算机程序被处理器执行时实现上述工业微服务系统的认证方法的步骤。
可以理解的是,如果上述实施例中的方法以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,执行本申请各个实施例所述方法的全部或部分步骤。具体地,计算机可读存储介质可以包括但不限于任何类型的盘,包括软盘、光盘及移动硬盘等,或适合于存储指令、数据的任何类型的媒介或设备等等,本申请在此不做特别的限定。
对于本发明提供的一种计算机可读存储介质的介绍请参照上述方法实施例,本发明在此不再赘述。
为解决上述技术问题,本发明还提供了一种工业微服务系统的认证系统,应用于请求客户端,该系统包括:
生成令牌单元,用于向统一授权服务器发送请求客户端的IP地址和通讯端口号,以使统一授权服务器基于IP地址、通讯端口号及预设加密方式生成访问令牌,访问令牌包括IP地址和通讯端口号;
获取令牌单元,用于获取统一授权服务器生成的访问令牌;
身份验证单元,用于基于访问令牌与目标工业服务端建立TCP连接,以使目标工业服务端基于访问令牌中的IP地址和通讯端口号对请求客户端进行身份验证。
作为一种优选地实施例,生成令牌单元包括:
建立连接单元,用于基于请求客户端的IP地址和通讯端口号与统一授权服务器建立TCP连接;
传输单元,用于将IP地址和通讯端口号传输至统一授权服务器。
作为一种优选地实施例,统一授权服务器中包括:
生成授权端口单元,用于将通讯端口号加上随机数得到授权访问端口号;
生成令牌子单元,用于基于IP地址、授权访问端口号及预设加密方式生成访问令牌,访问令牌包括IP地址和授权访问端口号。
作为一种优选地实施例,目标工业服务端中包括:
获取来源单元,用于通过TCP连接获取请求客户端的来源IP,来源端口号和访问令牌;
解密单元,用于基于与预设加密方式对应的预设解密方式对访问令牌进行解密,若解密成功,触发判断单元;
判断单元,用于判断访问令牌中的IP地址是否与来源IP一致,访问令牌中的通讯端口号是否与来源端口号一致,若访问令牌中的IP地址与来源IP一致且访问令牌中的通讯端口号与来源端口号一致,触发身份验证通过单元;
身份验证通过单元,用于判定请求客户端的身份验证通过。
作为一种优选地实施例,访问令牌还包括有效期,目标工业服务端中还包括:
有效期判断单元,用于判断访问令牌是否处于有效期内,若是,则触发身份验证通过单元。
对于本发明提供的一种工业微服务系统的认证系统的介绍请参照上述方法实施例,本发明在此不再赘述。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下,在其他实施例中实现。因此,本发明将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种工业微服务系统的认证方法,其特征在于,应用于请求客户端,该方法包括:
向所述统一授权服务器发送所述请求客户端的IP地址和通讯端口号,以使所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌,所述访问令牌包括所述IP地址和所述通讯端口号;
获取所述统一授权服务器生成的访问令牌;
基于所述访问令牌与目标工业服务端建立TCP连接,以使所述目标工业服务端基于所述访问令牌中的所述IP地址和所述通讯端口号对所述请求客户端进行身份验证。
2.如权利要求1所述的工业微服务系统的认证方法,其特征在于,向所述统一授权服务器发送所述请求客户端的IP地址和通讯端口号,包括:
基于所述请求客户端的IP地址和通讯端口号与所述统一授权服务器建立TCP连接;
将所述IP地址和所述通讯端口号传输至所述统一授权服务器。
3.如权利要求2所述的工业微服务系统的认证方法,其特征在于,在所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌之前,还包括:
所述统一授权服务器将所述通讯端口号加上随机数得到授权访问端口号;
对应地,所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌,包括:
所述统一授权服务器基于所述IP地址、所述授权访问端口号及预设加密方式生成访问令牌,所述访问令牌包括所述IP地址和所述授权访问端口号。
4.如权利要求1所述的工业微服务系统的认证方法,其特征在于,所述目标工业服务端基于所述访问令牌中的所述IP地址和所述通讯端口号对所述请求客户端进行身份验证,包括:
所述目标工业服务端通过TCP连接获取所述请求客户端的来源IP,来源端口号和所述访问令牌;
基于与所述预设加密方式对应的预设解密方式对所述访问令牌进行解密;
若解密成功,判断所述访问令牌中的IP地址是否与所述来源IP一致,所述访问令牌中的通讯端口号是否与所述来源端口号一致;
若所述访问令牌中的IP地址与所述来源IP一致且所述访问令牌中的通讯端口号与所述来源端口号一致,则判定所述请求客户端的身份验证通过。
5.如权利要求4所述的工业微服务系统的认证方法,其特征在于,所述访问令牌还包括有效期,在判定所述请求客户端的身份验证通过之前,还包括:
判断所述访问令牌是否处于有效期内;
若是,则进入判定所述请求客户端身份验证通过的步骤。
6.如权利要求4所述的工业微服务系统的认证方法,其特征在于,
所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌,包括:
所述统一授权服务器基于所述IP地址、所述通讯端口号及私钥生成访问令牌;
对应地,基于与所述预设加密方式对应的预设解密方式对所述访问令牌进行解密,包括:
使用与所述私钥对应的公钥对所述访问令牌进行解密。
7.如权利要求1至6任一项所述的工业微服务系统的认证方法,其特征在于,在所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌之前,还包括:
接收所述请求客户端的登录信息和访问申请;
判断所述请求客户端的登录信息是否有效;
若是,则判定所述请求客户端的访问申请通过,进入所述统一授权服务器基于所述IP地址、所述通讯端口号及预设加密方式生成访问令牌的步骤。
8.一种工业微服务系统的认证方法,其特征在于,应用于目标工业服务端,该方法包括:
基于请求客户端发送的访问令牌与所述请求客户端建立TCP连接,所述访问令牌是统一授权服务器基于所述请求客户端的IP地址、所述请求客户端的通讯端口号及预设加密方式生成的;
基于所述访问令牌中的所述IP地址和所述通讯端口号对所述请求客户端进行身份验证。
9.一种工业微服务系统的认证装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至8任一项所述工业微服务系统的认证方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至8任一项所述工业微服务系统的认证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310006810.7A CN116232683A (zh) | 2023-01-04 | 2023-01-04 | 一种工业微服务系统的认证方法、装置和计算机介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310006810.7A CN116232683A (zh) | 2023-01-04 | 2023-01-04 | 一种工业微服务系统的认证方法、装置和计算机介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116232683A true CN116232683A (zh) | 2023-06-06 |
Family
ID=86588387
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310006810.7A Pending CN116232683A (zh) | 2023-01-04 | 2023-01-04 | 一种工业微服务系统的认证方法、装置和计算机介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116232683A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117668920A (zh) * | 2024-02-02 | 2024-03-08 | 杭州高特电子设备股份有限公司 | 基于内部储能系统的安全访问方法及系统、设备及介质 |
-
2023
- 2023-01-04 CN CN202310006810.7A patent/CN116232683A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117668920A (zh) * | 2024-02-02 | 2024-03-08 | 杭州高特电子设备股份有限公司 | 基于内部储能系统的安全访问方法及系统、设备及介质 |
| CN117668920B (zh) * | 2024-02-02 | 2024-05-03 | 杭州高特电子设备股份有限公司 | 基于内部储能系统的安全访问方法及系统、设备及介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2022206349A1 (zh) | 一种信息验证的方法、相关装置、设备以及存储介质 | |
| CN110636062B (zh) | 设备的安全交互控制方法、装置、电子设备及存储介质 | |
| EP3661120B1 (en) | Method and apparatus for security authentication | |
| CN110380852B (zh) | 双向认证方法及通信系统 | |
| JP6687641B2 (ja) | サーバまたは他の装置からのエントロピーに基づくクライアント装置の認証 | |
| US20200092108A1 (en) | Data communication method, device and apparatus, and storage medium | |
| CN109728909B (zh) | 基于USBKey的身份认证方法和系统 | |
| JP6121049B2 (ja) | プロキシを使用したリソースへの安全なアクセス | |
| CN102595404B (zh) | 用于存储和执行访问控制客户端的方法及装置 | |
| US20180330368A1 (en) | Secure authenticated passwordless communications between networked devices | |
| US20220255931A1 (en) | Domain unrestricted mobile initiated login | |
| US20130219166A1 (en) | Hardware based identity manager | |
| CN103166931A (zh) | 一种安全传输数据方法,装置和系统 | |
| CN112714053B (zh) | 通信连接方法及装置 | |
| CN112235235A (zh) | 一种基于国密算法的sdp认证协议实现方法 | |
| US10257171B2 (en) | Server public key pinning by URL | |
| CN110933484A (zh) | 一种无线投屏设备的管理方法及装置 | |
| US9672367B2 (en) | Method and apparatus for inputting data | |
| CN110635901A (zh) | 用于物联网设备的本地蓝牙动态认证方法和系统 | |
| CN113411187A (zh) | 身份认证方法和系统、存储介质及处理器 | |
| US10148629B1 (en) | User-friendly multifactor authentication | |
| CN116232683A (zh) | 一种工业微服务系统的认证方法、装置和计算机介质 | |
| JP6465426B1 (ja) | 電子署名システム、証明書発行システム、鍵管理システム及び電子証明書発行方法 | |
| US20210377239A1 (en) | Method for distributed application segmentation through authorization | |
| CN113505353A (zh) | 一种认证方法、装置、设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |