CN1996939A - 报文访问控制的方法、转发引擎和通信设备 - Google Patents
报文访问控制的方法、转发引擎和通信设备 Download PDFInfo
- Publication number
- CN1996939A CN1996939A CNA200610064671XA CN200610064671A CN1996939A CN 1996939 A CN1996939 A CN 1996939A CN A200610064671X A CNA200610064671X A CN A200610064671XA CN 200610064671 A CN200610064671 A CN 200610064671A CN 1996939 A CN1996939 A CN 1996939A
- Authority
- CN
- China
- Prior art keywords
- module
- message
- access control
- forwarding
- bandwidth parameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 title claims abstract description 24
- 238000000034 method Methods 0.000 title claims abstract description 21
- 238000012545 processing Methods 0.000 claims description 39
- 230000000875 corresponding effect Effects 0.000 claims description 23
- 230000009471 action Effects 0.000 claims description 9
- 238000012546 transfer Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 239000000203 mixture Substances 0.000 description 4
- 230000009467 reduction Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000004308 accommodation Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000007430 reference method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种报文访问控制的方法,在本方法中,转发引擎设置第一带宽参数,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至控制平面。同时,本发明还提供了一种报文转发引擎和通信设备,利用本发明提供的方法、报文转发引擎和通信设备,均可以同时兼顾精细控制和保证业务运行稳定,有效地提高设备的稳定性和整个网络的可用性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种报文访问控制的方法、转发引擎和一种通信设备。
背景技术
由于Internet网络流量越来越大,对数据通信网络设备的性能要求越来越高。纯软件转发的网络设备逐渐被淘汰,更多的设备采用硬件转发来提高性能。
相对于软件转发来说,硬件转发的灵活性较差,如果仅仅依靠硬件转发引擎,如ASIC(Application-Specific Integrated Circuit,特定用途集成电路)和NPU(Network Processing Unit,网络处理器)等,许多功能都将无法实现或很难实现。因此,一般的网络设备在提供硬件转发的同时,还提供CPU等用于完成转发引擎难以完成的功能,以兼顾性能和灵活性。在数据通信设备中,包含有称之为数据平面和控制平面的部分,前者主要包含硬件转发引擎和交换网、物理层接口等,用于完成大部分数据报文的转发;后者主要包含CPU及其周边设备(如内存等),用于完成设备的管理和控制、需要软件参与的数据报文(如路由协议报文、网管交互报文等)的处理等任务。
如图1所示的典型的集中式数据通信网络设备的结构和如图2所示的典型的分布式数据通信网络设备的结构,其中实线为数据报文的转发路径,虚线为控制报文/控制消息的通道。
一般情况下,网络设备收到的大部分数据报文都会在数据平面内部直接找到目的地并发送出去,但部分数据报文仍需要控制平面的参与,比如:网络设备之间交互的协议报文(最常见的是路由协议报文);其他终端或设备发给本设备的报文(如网管发过来的配置请求等)和途经本设备,但需要特殊处理的报文(如IP报文,TTL(time to live,生存时间)超时报文等)。
这些数据报文在被转发引擎识别出来之后,通过转发引擎和CPU之间的通道(以下简称控制通道)上送给CPU进行处理,同样,CPU也会有一些报文通过该通道从转发引擎转发出去。需要说明的是,对图2所示的典型的分布式数据通信网络设备来说,控制平面不仅包括线路卡上的CPU,还包括控制卡上的CPU。因此,通道不仅包含线路卡上的转发引擎和CPU之间的通道,还包括线路卡和控制卡CPU之间的通道。
在这样的架构下,由于CPU自身处理能力和控制通道带宽的限制,网络设备很容易受到有意或无意的拒绝服务(Denial of Service,DOS)攻击(无意的攻击可能的来源有蠕虫病毒、网络风暴等),如果数据平面短时间内上送的流量过大,会造成控制通道拥塞,导致上送的部分报文丢包;如果上送流量过大,CPU忙于处理上送的某种报文,便会无暇进行其他处理。
上述这两种后果都可能造成设备或网络故障。如何防范此类攻击是网络设备必须要考虑的问题。
通常,转发引擎判断某个报文是否需要上送是基于报文内容的某些字段,比如目的IP地址、协议号、端口号等。但它判断出来需要上送的报文,对于控制平面来说,可能是没用的,也就是说,本来无需上送(将这种对控制平面无用的报文称为垃圾报文)。并且垃圾报文被上送的情况是普遍存在的,在上送报文总流量中占据了较大的比例。
出现这种情况的原因在于:虽然网络设备支持众多功能,但在某个具体的应用场景中,可能仅仅使用了该设备的很小一部分功能,属于其他未用功能的报文上送控制平面后,经过一些处理,最终会发现报文无用而将其丢弃。但这些报文既占用了控制通道的带宽,又占用的CPU的处理时间。一旦这些报文流量过大,就可能造成其他正常报文无法上送或正常业务来不及处理,出现前述的DOS攻击结果。
在现有技术中,有一种做法是转发引擎将可能上送的报文进行分类,在每种报文上送前进行带宽限制,并且该带宽是可配置的。一旦发现某设备中某种报文上送流量较大,并且根据设备当前配置,该种报文对于当前业务来说是无用的,这时便可以通过更改带宽配置限制该种报文的上送,以避免出现DOS攻击。
但是,为了不影响正常业务,针对不同类别的报文设置的缺省带宽参数都比较大,以避免在使用该类报文对应的业务时出现问题。使用缺省参数处理上送报文,仍会出现垃圾报文占用较多控制通道带宽;并且,仅仅根据报文分类,就很难做到比如限制只有某个源地址发送过来的某种报文才上送这样的精细控制。
针对这一问题,现有技术的另一种做法就是手工配置访问控制列表(ACL,Access Control List),在转发引擎将报文上送控制通道前,查询设备配置的特定ACL规则,根据命中的规则对应的动作进行处理,可能将报文丢弃,也可能限制该类报文的带宽。其中比较常用的做法是在ACL中配置需要丢弃的报文信息,而这种情况下,需要设备维护人员对设备具体实现细节了解较多,配置成本高,且容易出错,往往会使得部分垃圾报文仍然被上送到CPU,仍旧难以有效解决垃圾报文过多占用控制通道带宽的问题,做不到精细控制;另一种作法便是在ACL中配置需要上送CPU处理的报文信息,未配置的报文则被丢弃,在这种情况下,由于需要手工配置,则对配置者要求较高,一些与业务实现有关的报文可能会被错误地配置,导致错误丢弃,使得业务运行不正常,而在新的业务建立或者连接建立的情况下,如果未事先配置ACL规则,则还需要再次配置ACL,影响了业务运行的效率。
发明内容
为了解决现有技术中在降低垃圾报文对设备控制平面造成的影响的情况下,不能同时兼顾精细控制和保证业务运行稳定的问题,本发明实施例的主要目的在于提供一种报文访问控制的方法、转发引擎和一种通信设备。
为达到上述目的,本发明实施例的技术方案是这样实现的:
本发明实施例公开了一种报文访问控制的方法,包括以下步骤:
步骤A1:转发引擎设置第一带宽参数,在报文到来时,根据报文的类型判断所述报文是否需要转发,如果不需要转发,则执行步骤A2;
步骤A2:根据所述报文的信息查询访问控制表,如果命中,则执行步骤A3,否则执行步骤A4;
所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;
步骤A3:执行所述访问控制表中相应动作;
步骤A4:给所述报文应用所述第一带宽参数,上送至所述控制平面。
还公开了一种报文转发引擎,包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中:
设置模块,用于设置第一带宽参数;
存储模块,用于存储并更新访问控制表;
接收模块,用于接收报文;
转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;
访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制表规则,所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;
处理模块,当所述访问控制模块的分析结果为命中所述访问控制表规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
同时,本发明实施例还公开了一种通信设备,包括控制单元和数据单元,其中:
控制单元,用于配置访问控制表和处理报文;
数据单元,用于设置第一带宽参数,在报文到来时,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述控制单元配置并下发的访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至所述控制单元。
利用本发明实施例所提供的报文访问控制的方法、报文转发引擎和通信设备,由于对报文访问控制采取了事先的配置,并且对未命中访问控制表规则的报文配置一个带宽参数,可以在降低已知垃圾报文对设备控制平面造成的影响的同时,防止对业务实现所必需的报文不被遗漏丢弃,保证业务的正常运行,有效地提高设备的稳定性和整个网络的可用性。
附图说明
图1为现有技术中典型集中式数据通信网络设备结构示意图;
图2为现有技术中典型分布式式数据通信网络设备结构示意图;
图3为本发明提供的报文访问控制的方法的一个实施例的流程图;
图4为本发明提供的报文转发引擎的一个实施例的示意图;
图5为本发明提供的通信设备的一个实施例的示意图。
具体实施方式
本发明所提供的实施例中,转发引擎根据报文的信息查询访问控制表,如果命中访问控制表规则,就执行相应的动作;否则,就给报文配置一个带宽参数,上送至控制平面,例如CPU。
访问控制表可以包括普通意义上的访问控制列表ACL和特殊的ACL,所谓普通的访问控制列表则是包含五元组信息(源IP地址、目的IP地址、源端口、目的端口、协议号)的访问控制表,而特殊的访问控制表则是只包含五元组中部分字段的访问控制列表,比如只包含源端口或者源IP地址等字段信息。
在本发明所提供的一个实施例中,转发引擎需要设置一个第一带宽参数,对于未在访问控制表中配置,而对业务实现是必需的报文,不会因为报文未命中访问控制表而被错误丢弃,造成业务运行的不正常,而这个第一带宽参数则可以任意设置,优选的是,将该参数设置成小于总带宽的一半。同时,还可以进一步设置第二带宽参数,在报文命中访问控制表需要上送控制平面的情况下,可以应用第二带宽参数上送,这个第二带宽参数可以比第一带宽参数大,以使得命中访问控制表而需要上送的报文获得比未命中访问控制表的报文更大的带宽。
而访问控制表的配置则可以有多种方法,可以手工配置该访问控制表,也可以在设备的运行过程中,由设备对访问控制表进行再配置或者更新原先的访问控制表。在这里,正是由于未命中访问控制表规则的报文仍然可以获得一个带宽,从而保证了新的业务或者连接成功建立的时候,原先不在访问控制表中配置的报文仍然可以上送到控制平面进行处理,尤其是上送到CPU。例如,该通信设备根据当前配置的业务或者和其他设备或终端之间建立的会话,进行配置访问控制表规则及其动作的下发或删除等处理。
当设备在配置某种新的业务时,如果与新的业务相关的报文并没有事先在访问控制表表中进行配置,所以,报文会以第一带宽参数所提供的带宽上送到控制平面中进行处理,判断该种报文是否与特定业务相关,即,是否需要一直由控制平面对这些类型的报文进行处理,如果需要,则下发相应的访问控制表规则,或者同时根据该业务的重要性下发该类报文对应的优先级等信息,更新原有的访问控制表。比如,设备可以允许终端通过远程登陆的方式管理该设备,为实现该功能,需要通过配置使能设备的Telnet的服务,并限制某个或某些终端才能登陆设备(防止非法用户登陆)。根据Telnet报文的特点(目的端口号为23,协议号为TCP(Transfer Control Protocol,传输控制协议)),以及限制的终端IP地址信息,提取五元组中的三个信息:源IP地址、目的端口、协议号,组成相应的访问控制表规则下发到转发平面中。
在控制平面所在的网络设备和其他设备/终端动态建立会话(如TCP连接)的情况下,如果控制平面根据当前会话的信息分析该会话建立成功,则会下发相应的访问控制表规则,或者同时根据该会话的重要性下发该类报文对应的优先级等信息,更新原有的访问控制表。比如,两个路由器A和B通过某种路由协议交互路由信息,在正式交互路由信息之前,需要相互进行认证,以防止其他非法终端仿冒。这个认证的过程一般需要几次握手交互,在这几次握手过程中,A和B相互将自己的信息告知对方,可能包括需要认证的密码等加密信息。在相互认可对方后,两个设备之间的会话(连接)才正式建立,在协议连接建立后,设备控制层面将标识连接的元素(比如五元组:源IP地址、目的IP地址、源端口、目的端口、协议号)组成相应的访问控制表规则下发到转发平面。
当然,在以上所说的几种配置访问控制表的方法中,五元组中的信息,即源IP地址、目的IP地址、源端口、目的端口、协议号,可以单独或者任意组合,即形成普通意义上的访问控制表规则或特殊的访问控制表规则,并根据该访问控制表配置相应的动作,或者同时根据该业务或者会话的重要性下发该类报文对应的优先级等信息,或者还可以配置成只要与访问控制表匹配便丢弃报文。
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举较佳实施例,对本发明进一步详细说明。
在本发明所提供的报文访问控制的方法的一个实施例中,可以事先设置好各种参数,访问控制表可以事先配置,也可以不必事先配置,不需要转发的报文都应用第一带宽参数上送到控制平面,在如图3所示的报文访问控制的方法的一个实施例的流程图中:
步骤101:转发引擎可以首先根据报文类型判断所述报文是否需要转发,如果不需要转发,则执行步骤103,否则执行步骤102。
一般而言,可以对如下几种情况的报文采取分析:
1)目的是本设备的报文需要上送,如FTP、Telnet等报文;
2)目的为广播/组播的协议报文需要上送,如路由协议报文、ARP请求报文等;
3)途经本设备的报文在处理过程中发现有错,需通知报文源时需要上送,如目的不可达时。
转发引擎可以通过查询特定表的形式进行该判断,如,当涉及到IP报文转发时,转发引擎可以查询转发表,如果可以直接转发,则无需再上送控制平面进行处理,否则就要继续本流程。
步骤102:报文进行正常转发处理。
步骤103:转发引擎根据报文的信息查询访问控制表。
当然,这里也可以再增加一个步骤,即在报文需要上送控制平面时,先查询一下有无访问控制表存在,如果存在访问控制表,则按照步骤103进行查询,如果不存在访问控制表,则报文仍然会上送到控制平面,只是为了防止占用全部带宽,报文会应用一个第一带宽参数。
步骤104:根据访问控制表表中内容判断是否命中规则。
步骤105:如果没有命中,则给报文应用第一带宽参数,上送到控制平面,比如CPU。通常可以将第一带宽参数设置成小于总带宽的一半,也就是给报文配置的带宽比较小。
步骤106:如果命中访问控制表规则,则判断相应的动作是否是丢弃报文,如果是的话,则执行步骤107,否则执行步骤108。当然,如果没有设置丢弃的动作,也可以省略该步骤,只要命中访问控制表规则就执行步骤108。
步骤107:丢弃报文。
步骤108:将报文上送至控制平面,比如CPU。在本步骤中,报文应用第二带宽参数上送,同时还可以根据设置的优先级大小再进行上送。优先级大的报文优先使用第二带宽参数上送至CPU。优选地,第二带宽参数可以大于第一带宽参数,这样就保证了命中规则的报文可以获得较大的带宽,而未命中规则的报文则获得较小的带宽。
如果以第一带宽参数上送的报文经过控制平面的分析,认为需要继续上送的,则根据报文的信息下发访问控制表规则,同时规定具体的动作,将这些信息再下发到转发引擎中,更新原有的访问控制表,将报文的相关信息以及所对应的具体动作加入到访问控制表中。尤其是,当原先并不存在访问控制表时,这时就会根据控制平面的处理,生成访问控制表并下发到转发引擎。
最后,如果在取消某种业务的配置或拆除会话时,也可以相应地删除对应的访问控制表规则。
在本实施例中,步骤序号仅仅是为了介绍本实施例的方便而设置,并不表示各步骤需按照序号的顺序进行。
在本发明的实施例中,在未命中访问控制表,或者在设备本身未存储访问控制表的情况下,报文仍然还可以以第一带宽参数上送到控制平面处理,这样就可以很好地解决现有技术中不能同时兼顾精细控制和保证业务运行稳定的问题,可以有效地对访问控制表形成补充,防止一些对业务实现所必需的报文不会因为可能未命中访问控制表而被错误丢弃,造成业务运行的不正常,在这个意义上,可以有效地提高设备的稳定性和整个网络的可用性,保证了业务的正常运行。
本发明的实施例还提供了一种报文转发引擎,其中一个实施例的组成示意图如图4所示。转发引擎可以包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中:
设置模块,用于设置第一带宽参数;当然,设置模块还可以用于设置第二带宽参数;具体参数的设置以及目的可以参照方法实施例的介绍,在此就不再赘述。
存储模块,用于存储并更新访问控制表;
接收模块,用于接收报文;
转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;
访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制表规则;
处理模块,当所述访问控制模块的分析结果为命中所述访问控制表规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
一般而言,可以由源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个组成报文信息。
而访问控制模块还可以包括查询模块和判断模块,其中:
查询模块,当所述转发判断模块判断的结果为不需要转发时,用于查询所述存储模块中是否存储有所述访问控制表;在本发明实施例中,并不必然要求对访问控制表进行事先配置。
判断模块,当所述查询模块的查询结果为存在所述访问控制表时,根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制表规则;
当所述查询模块的查询结果为不存在所述访问控制表时,所述处理模块还用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。也就是说,在不存在访问控制表的情况下,报文仍旧可以直接上送到控制平面,但是会应用一个第一带宽参数,在上送到控制平面以后,再根据相应的分析,下发访问控制表至转发引擎。
处理模块还可以包括转发模块,在转发判断模块判断的结果为需要转发时,用于正常转发所述接收模块接收的所述报文。
而处理模块还可以包括丢弃模块和上送模块,其中丢弃模块用于丢弃所述接收模块接收的所述报文;上送模块用于将所述接收模块接收的所述报文上送至所述控制平面。
上送模块还可以包括加工模块和输出模块,其中加工模块,在所述访问控制模块的分析结果为命中所述存储模块中存储的所述访问控制表规则时,用于给所述接收模块接收的报文应用所述设置模块设置的第二带宽参数,当然前提是设置模块还设置了第二带宽参数;而在不存在访问控制表或者是未命中访问控制表时,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数;
输出模块,用于将经过所述加工模块加工的所述报文上送至控制平面。
该引擎可以在降低已知垃圾报文对设备控制平面造成的影响的同时,防止对业务实现所必需的报文不被遗漏丢弃,保证业务的正常运行,有效地提高设备的稳定性和整个网络的可用性。
同时,本发明还公开了一种通信设备,其中一个实施例的组成示意图如图5所示,包括控制单元和数据单元,其中控制单元,用于配置访问控制表和处理报文;而数据单元,用于设置第一带宽参数,在报文到来时,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述控制单元配置并下发的访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至所述控制单元。
尤其是,数据单元中还可以包括本发明提供的报文转发引擎。而且,如果以第一带宽参数上送的报文经过控制单元的分析,认为在以后还需要继续上送的,则根据报文的信息下发ACL访问控制表规则,同时规定具体的动作,认为不再需要上送的,也可以同样下发ACL访问控制表,只是将动作规定为丢弃报文,然后,将这些信息再下发到转发引擎中的存储模块,更新原有存储模块中存储的ACL访问控制表,如果原先并不存在ACL访问控制表的话,则根据这些信息建立一个ACL访问控制表,保存在转发引擎中。
该设备由于包含了本发明实施例所提供的转发引擎,对未命中访问控制表规则的报文配置一个带宽参数,加之对报文访问控制的配置,可以在降低已知垃圾报文对设备控制平面造成的影响的同时,防止对业务实现所必需的报文不被遗漏丢弃,保证业务的正常运行,有效地提高设备的稳定性和整个网络的可用性。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。
Claims (16)
1、一种报文访问控制的方法,其特征在于,包括以下步骤:
步骤A1:转发引擎设置第一带宽参数,在报文到来时,根据报文的类型判断所述报文是否需要转发,如果不需要转发,则执行步骤A2;
步骤A2:根据所述报文的信息查询访问控制表,如果命中,则执行步骤A3,否则执行步骤A4;
所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;
步骤A3:执行所述访问控制表中相应动作;
步骤A4:给所述报文应用所述第一带宽参数,上送至所述控制平面。
2、如权利要求1所述的方法,其特征在于,步骤A2具体包括:
步骤A2:判断是否存在访问控制表,如果存在,根据所述报文的信息查询所述访问控制表,如果命中,则执行步骤A3,如果未命中或者不存在所述访问控制表,则执行步骤A4。
3、如权利要求1或2所述的方法,其特征在于,当所述动作为将所述报文上送至所述控制平面时,具体为:为所述报文配置优先级参数,并根据所述优先级参数上送至所述控制平面。
4、如权利要求1或2所述的方法,其特征在于,在步骤A4后进一步包括:若所述报文与所述转发引擎所在的网络设备所配置的业务相关,或者所述报文为所述转发引擎所在的网络设备与第二网络设备或终端设备动态建立会话连接成功的报文时,则根据与所述业务或者会话相关的报文的信息,配置所述报文的访问控制规则,并对命中所述规则的所述报文应执行的动作进行规定,将所述访问控制规则和所述规定发送至所述转发引擎,更新所述访问控制表。
5、如权利要求1所述的方法,其特征在于,在步骤A1中还进一步包括:转发引擎设置第二带宽参数;
当所述动作为将所述报文上送至所述控制平面时,具体包括:所述报文应用第二带宽参数上送至控制平面。
6、一种报文转发引擎,其特征在于,包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中:
设置模块,用于设置第一带宽参数;
存储模块,用于存储并更新访问控制表;
接收模块,用于接收报文;
转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;
访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则,所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;
处理模块,当所述访问控制模块的分析结果为命中所述访问控制规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
7、如权利要求6所述的报文转发引擎,其特征在于,所述访问控制模块包括查询模块和判断模块,其中:
查询模块,当所述转发判断模块判断的结果为不需要转发时,用于查询所述存储模块中是否存储有所述访问控制表;
判断模块,当所述查询模块的查询结果为存在所述访问控制表时,根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则;
当所述查询模块的查询结果为不存在所述访问控制表时,所述处理模块还用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
8、如权利要求6或7所述的报文转发引擎,其特征在于,所述处理模块包括转发模块,在转发判断模块判断的结果为需要转发时,用于正常转发所述接收模块接收的所述报文。
9、如权利要求6或7所述的报文转发引擎,其特征在于,所述处理模块还包括丢弃模块和上送模块,其中:
丢弃模块用于丢弃所述接收模块接收的所述报文;
上送模块用于将所述接收模块接收的所述报文上送至所述控制平面。
10、如权利要求9所述的报文转发引擎,其特征在于,所述设置模块还用于设置第二带宽参数;
所述上送模块包括加工模块和输出模块,其中:
加工模块,用于给所述接收模块接收的报文应用所述设置模块设置的第二带宽参数或者第一带宽参数;
输出模块,用于将经过所述加工模块加工的所述报文上送至所述控制平面。
11、一种通信设备,其特征在于,包括控制单元和数据单元,其中:
控制单元,用于配置访问控制表和处理报文;
数据单元,用于设置第一带宽参数,在报文到来时,根据报文类型判断所述报文是否需要转发,如果不需要转发,则根据所述报文的信息查询所述控制单元配置并下发的访问控制表,如果命中,则执行相应动作;否则,给所述报文应用第一带宽参数,上送至所述控制单元。
12、如权利要求11所述的通信设备,其特征在于,所述数据单元包括报文转发引擎,所述报文转发引擎包括设置模块、存储模块、接收模块、转发判断模块、访问控制模块和处理模块,其中:
设置模块,用于设置第一带宽参数;
存储模块,用于存储并更新所述控制单元下发的访问控制表;
接收模块,用于接收报文;
转发判断模块,用于根据所述接收模块接收的所述报文的报文类型,判断是否需要转发;
访问控制模块,当所述转发判断模块判断的结果为不需要转发时,用于根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则,所述报文的信息包括源IP地址、目的IP地址、源端口、目的端口、协议号中的一个或者多个;
处理模块,当所述访问控制模块的分析结果为命中所述访问控制规则时,用于执行相应动作;否则,用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
13、如权利要求12所述的通信设备,其特征在于,所述访问控制模块包括查询模块和判断模块,其中:
查询模块,当所述转发判断模块判断的结果为不需要转发时,用于查询所述存储模块中是否存储有所述访问控制表;
判断模块,当所述查询模块的查询结果为存在所述访问控制表时,根据所述接收模块接收的所述报文的信息,查询所述存储模块中存储的所述访问控制规则;
当所述查询模块的查询结果为不存在所述访问控制表时,所述处理模块还用于给所述接收模块接收的报文应用所述设置模块设置的第一带宽参数,上送至控制平面。
14、如权利要求12或13所述的通信设备,其特征在于,所述报文转发引擎还包括转发模块,在转发判断模块判断的结果为需要转发时,用于正常转发所述接收模块接收的所述报文。
15、如权利要求12或者13所述的通信设备,其特征在于,所述处理模块还包括丢弃模块和上送模块,其中:
丢弃模块用于丢弃所述接收模块接收的所述报文;
上送模块用于将所述接收模块接收的所述报文上送至所述控制平面。
16、如权利要求15所述的通信设备,其特征在于,所述设置模块还用于设置第二带宽参数;
所述上送模块包括加工模块和输出模块,其中:
加工模块,用于给所述接收模块接收的报文应用所述设置模块设置的第二带宽参数或者第一带宽参数;
输出模块,用于将经过所述加工模块加工的所述报文上送至控制平面。
Priority Applications (4)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB200610064671XA CN100555991C (zh) | 2006-12-29 | 2006-12-29 | 报文访问控制的方法、转发引擎装置和通信设备 |
EP07785448.7A EP2093943B1 (en) | 2006-12-29 | 2007-08-24 | A method, forwarding engine and communication device for message acces control |
PCT/CN2007/070551 WO2008080314A1 (fr) | 2006-12-29 | 2007-08-24 | Procédé, moteur de retransmission et dispositif de communication pour la commande d'accès aux messages |
US12/493,879 US20090257434A1 (en) | 2006-12-29 | 2009-06-29 | Packet access control method, forwarding engine, and communication apparatus |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB200610064671XA CN100555991C (zh) | 2006-12-29 | 2006-12-29 | 报文访问控制的方法、转发引擎装置和通信设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1996939A true CN1996939A (zh) | 2007-07-11 |
CN100555991C CN100555991C (zh) | 2009-10-28 |
Family
ID=38251881
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB200610064671XA Expired - Fee Related CN100555991C (zh) | 2006-12-29 | 2006-12-29 | 报文访问控制的方法、转发引擎装置和通信设备 |
Country Status (4)
Country | Link |
---|---|
US (1) | US20090257434A1 (zh) |
EP (1) | EP2093943B1 (zh) |
CN (1) | CN100555991C (zh) |
WO (1) | WO2008080314A1 (zh) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008080314A1 (fr) * | 2006-12-29 | 2008-07-10 | Huawei Technologies Co., Ltd. | Procédé, moteur de retransmission et dispositif de communication pour la commande d'accès aux messages |
WO2012167697A1 (zh) * | 2011-06-08 | 2012-12-13 | 中兴通讯股份有限公司 | 抑制网络风暴的方法及处理器 |
CN103200123A (zh) * | 2013-03-06 | 2013-07-10 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
WO2014032413A1 (zh) * | 2012-08-31 | 2014-03-06 | 华为技术有限公司 | 数据包的处理方法、控制器及系统 |
CN106254266A (zh) * | 2016-08-17 | 2016-12-21 | 中国联合网络通信集团有限公司 | 一种报文处理方法及网络设备 |
CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
WO2020134415A1 (zh) * | 2018-12-25 | 2020-07-02 | 深圳市中兴微电子技术有限公司 | 一种通过硬件、软件快速报文转发的方法和系统 |
CN114157611A (zh) * | 2021-12-15 | 2022-03-08 | 苏州盛科通信股份有限公司 | 一种报文去重方法、装置及存储介质 |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8326296B1 (en) | 2006-07-12 | 2012-12-04 | At&T Intellectual Property I, L.P. | Pico-cell extension for cellular network |
CN100579004C (zh) * | 2007-08-08 | 2010-01-06 | 华为技术有限公司 | 防范无效报文攻击的方法和网络设备 |
US8626223B2 (en) | 2008-05-07 | 2014-01-07 | At&T Mobility Ii Llc | Femto cell signaling gating |
US8719420B2 (en) | 2008-05-13 | 2014-05-06 | At&T Mobility Ii Llc | Administration of access lists for femtocell service |
US20090286544A1 (en) | 2008-05-13 | 2009-11-19 | At&T Mobility Ii Llc | Administration of an access control list to femto cell coverage |
US8743776B2 (en) | 2008-06-12 | 2014-06-03 | At&T Mobility Ii Llc | Point of sales and customer support for femtocell service and equipment |
US8510801B2 (en) | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
CN102014064B (zh) * | 2010-12-07 | 2015-01-28 | 中兴通讯股份有限公司 | 基于Linux系统的报文转发方法和装置 |
CN102055679B (zh) * | 2011-01-28 | 2012-09-19 | 中国人民解放军国防科学技术大学 | 转发引擎中功耗控制的报文调度方法 |
CN103746918B (zh) * | 2014-01-06 | 2018-01-12 | 深圳市星盾网络技术有限公司 | 报文转发系统和报文转发方法 |
CN105337890B (zh) * | 2014-07-16 | 2019-03-15 | 杭州迪普科技股份有限公司 | 一种控制策略生成方法以及装置 |
CN106034054B (zh) * | 2015-03-17 | 2019-07-05 | 阿里巴巴集团控股有限公司 | 冗余访问控制列表acl规则文件检测方法和装置 |
US10103995B1 (en) * | 2015-04-01 | 2018-10-16 | Cisco Technology, Inc. | System and method for automated policy-based routing |
US9575689B2 (en) * | 2015-06-26 | 2017-02-21 | EMC IP Holding Company LLC | Data storage system having segregated control plane and/or segregated data plane architecture |
CN106131086B (zh) * | 2016-08-31 | 2019-10-11 | 迈普通信技术股份有限公司 | 一种访问控制列表的匹配方法及装置 |
CN108093051B (zh) * | 2017-12-20 | 2021-02-05 | 迈普通信技术股份有限公司 | 报文复制方法及装置 |
Family Cites Families (44)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5864554A (en) * | 1993-10-20 | 1999-01-26 | Lsi Logic Corporation | Multi-port network adapter |
US6041058A (en) * | 1997-09-11 | 2000-03-21 | 3Com Corporation | Hardware filtering method and apparatus |
US6570876B1 (en) * | 1998-04-01 | 2003-05-27 | Hitachi, Ltd. | Packet switch and switching method for switching variable length packets |
US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
JP3403971B2 (ja) * | 1999-06-02 | 2003-05-06 | 富士通株式会社 | パケット転送装置 |
US6633565B1 (en) * | 1999-06-29 | 2003-10-14 | 3Com Corporation | Apparatus for and method of flow switching in a data communications network |
US6751191B1 (en) * | 1999-06-29 | 2004-06-15 | Cisco Technology, Inc. | Load sharing and redundancy scheme |
US6854063B1 (en) * | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
WO2002035374A1 (en) * | 2000-09-12 | 2002-05-02 | Arris International, Inc | Utilization of connection admission control check on physical interface connections bearing traffic from multiple internet service providers |
KR20020055287A (ko) * | 2000-12-28 | 2002-07-08 | 구자홍 | 라우터 장치의 패킷 라우팅 방법 |
US7131140B1 (en) * | 2000-12-29 | 2006-10-31 | Cisco Technology, Inc. | Method for protecting a firewall load balancer from a denial of service attack |
US7089586B2 (en) * | 2001-05-02 | 2006-08-08 | Ipr Licensing, Inc. | Firewall protection for wireless users |
US7200144B2 (en) * | 2001-10-18 | 2007-04-03 | Qlogic, Corp. | Router and methods using network addresses for virtualization |
EP1317110B1 (en) * | 2001-11-30 | 2003-07-16 | Alcatel | IP platform for advanced multipoint access systems |
WO2003067383A2 (en) * | 2002-02-04 | 2003-08-14 | Intel Corporation | Services processor having a packet editing unit |
JP2003333050A (ja) * | 2002-05-10 | 2003-11-21 | Matsushita Electric Ind Co Ltd | データ送信方法 |
US7327727B2 (en) * | 2002-06-04 | 2008-02-05 | Lucent Technologies Inc. | Atomic lookup rule set transition |
US7543053B2 (en) * | 2003-03-03 | 2009-06-02 | Microsoft Corporation | Intelligent quarantining for spam prevention |
CN1531282A (zh) * | 2003-03-12 | 2004-09-22 | ���µ�����ҵ��ʽ���� | 分组中继装置 |
US20040236966A1 (en) * | 2003-05-19 | 2004-11-25 | Alcatel | Queuing methods for mitigation of packet spoofing |
US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7953088B2 (en) * | 2003-06-10 | 2011-05-31 | Cisco Technology, Inc. | Method and apparatus for packet classification and rewriting |
US8146148B2 (en) * | 2003-11-19 | 2012-03-27 | Cisco Technology, Inc. | Tunneled security groups |
US7474653B2 (en) * | 2003-12-05 | 2009-01-06 | Hewlett-Packard Development Company, L.P. | Decision cache using multi-key lookup |
US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
US7920577B2 (en) * | 2004-07-08 | 2011-04-05 | Avaya Communication Israel Ltd. | Power saving in wireless packet based networks |
CN100426786C (zh) * | 2004-08-18 | 2008-10-15 | 华为技术有限公司 | 基于访问控制列表的网络访问控制方法 |
US7660259B1 (en) * | 2004-10-20 | 2010-02-09 | Extreme Networks, Inc. | Methods and systems for hybrid hardware- and software-base media access control (MAC) address learning |
WO2006069041A2 (en) | 2004-12-21 | 2006-06-29 | Mistletoe Technologies, Inc. | Network interface and firewall device |
US7474654B2 (en) * | 2005-01-26 | 2009-01-06 | Cisco Technology, Inc. | Method and system for classification of packets based on meta-rules |
US20060182143A1 (en) * | 2005-02-11 | 2006-08-17 | Lu Hongqian K | System and method for filtering communications packets on electronic devices |
WO2006119508A2 (en) * | 2005-05-05 | 2006-11-09 | Ironport Systems, Inc. | Detecting unwanted electronic mail messages based on probabilistic analysis of referenced resources |
US20060268866A1 (en) * | 2005-05-17 | 2006-11-30 | Simon Lok | Out-of-order superscalar IP packet analysis |
US7764612B2 (en) * | 2005-06-16 | 2010-07-27 | Acme Packet, Inc. | Controlling access to a host processor in a session border controller |
US7624436B2 (en) * | 2005-06-30 | 2009-11-24 | Intel Corporation | Multi-pattern packet content inspection mechanisms employing tagged values |
US20070083930A1 (en) * | 2005-10-11 | 2007-04-12 | Jim Dumont | Method, telecommunications node, and computer data signal message for optimizing virus scanning |
KR100723864B1 (ko) * | 2005-11-12 | 2007-05-31 | 한국전자통신연구원 | 패킷에 포함된 정보를 이용하여 네트워크 공격을 차단하는방법 및 그 장치 |
CN100466613C (zh) * | 2005-11-21 | 2009-03-04 | 华为技术有限公司 | 一种业务处理方法 |
CN100446508C (zh) * | 2005-12-30 | 2008-12-24 | 华为技术有限公司 | 一种实现报文转发的装置及方法 |
US7616643B2 (en) * | 2006-04-19 | 2009-11-10 | Cisco Technology, Inc. | Techniques for integrated routing of call circuit signaling and the internet protocol |
US7747737B1 (en) * | 2006-05-12 | 2010-06-29 | Juniper Networks, Inc. | Network device having service card for dynamic flow capture and monitoring of packet flows |
ATE479254T1 (de) * | 2006-09-04 | 2010-09-15 | Ericsson Telefon Ab L M | Ethernet-switching |
US7974286B2 (en) * | 2006-12-04 | 2011-07-05 | International Business Machines Corporation | Reduced redundant security screening |
CN100555991C (zh) * | 2006-12-29 | 2009-10-28 | 华为技术有限公司 | 报文访问控制的方法、转发引擎装置和通信设备 |
-
2006
- 2006-12-29 CN CNB200610064671XA patent/CN100555991C/zh not_active Expired - Fee Related
-
2007
- 2007-08-24 EP EP07785448.7A patent/EP2093943B1/en not_active Not-in-force
- 2007-08-24 WO PCT/CN2007/070551 patent/WO2008080314A1/zh active Application Filing
-
2009
- 2009-06-29 US US12/493,879 patent/US20090257434A1/en not_active Abandoned
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2008080314A1 (fr) * | 2006-12-29 | 2008-07-10 | Huawei Technologies Co., Ltd. | Procédé, moteur de retransmission et dispositif de communication pour la commande d'accès aux messages |
WO2012167697A1 (zh) * | 2011-06-08 | 2012-12-13 | 中兴通讯股份有限公司 | 抑制网络风暴的方法及处理器 |
CN103685009B (zh) * | 2012-08-31 | 2017-04-26 | 华为技术有限公司 | 数据包的处理方法、控制器及系统 |
WO2014032413A1 (zh) * | 2012-08-31 | 2014-03-06 | 华为技术有限公司 | 数据包的处理方法、控制器及系统 |
CN103685009A (zh) * | 2012-08-31 | 2014-03-26 | 华为技术有限公司 | 数据包的处理方法、控制器及系统 |
US9571382B2 (en) | 2012-08-31 | 2017-02-14 | Huawei Technologies Co., Ltd. | Method, controller, and system for processing data packet |
CN103200123A (zh) * | 2013-03-06 | 2013-07-10 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
CN103200123B (zh) * | 2013-03-06 | 2016-01-20 | 深圳市新格林耐特通信技术有限公司 | 一种交换机端口安全控制方法 |
CN107690004A (zh) * | 2016-08-04 | 2018-02-13 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
CN107690004B (zh) * | 2016-08-04 | 2021-10-08 | 中兴通讯股份有限公司 | 地址解析协议报文的处理方法及装置 |
CN106254266A (zh) * | 2016-08-17 | 2016-12-21 | 中国联合网络通信集团有限公司 | 一种报文处理方法及网络设备 |
CN106254266B (zh) * | 2016-08-17 | 2020-02-04 | 中国联合网络通信集团有限公司 | 一种报文处理方法及网络设备 |
WO2020134415A1 (zh) * | 2018-12-25 | 2020-07-02 | 深圳市中兴微电子技术有限公司 | 一种通过硬件、软件快速报文转发的方法和系统 |
CN114157611A (zh) * | 2021-12-15 | 2022-03-08 | 苏州盛科通信股份有限公司 | 一种报文去重方法、装置及存储介质 |
CN114157611B (zh) * | 2021-12-15 | 2023-12-08 | 苏州盛科通信股份有限公司 | 一种报文去重方法、装置及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN100555991C (zh) | 2009-10-28 |
US20090257434A1 (en) | 2009-10-15 |
WO2008080314A1 (fr) | 2008-07-10 |
EP2093943A4 (en) | 2010-03-24 |
EP2093943B1 (en) | 2013-04-10 |
EP2093943A1 (en) | 2009-08-26 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100555991C (zh) | 报文访问控制的方法、转发引擎装置和通信设备 | |
US9276852B2 (en) | Communication system, forwarding node, received packet process method, and program | |
US8971339B2 (en) | Contents base switching system and contents base switching method | |
KR102536676B1 (ko) | 패킷 처리 방법 및 장치, 및 관련 디바이스들 | |
CN101106518B (zh) | 为中央处理器提供负载保护的拒绝服务方法 | |
JP2008523735A (ja) | ネットワーク装置を有する電子メッセージ配信システム | |
EP3982600A1 (en) | Qos policy method, device, and computing device for service configuration | |
US8630296B2 (en) | Shared and separate network stack instances | |
US9800479B2 (en) | Packet processing method, forwarder, packet processing device, and packet processing system | |
US20130275620A1 (en) | Communication system, control apparatus, communication method, and program | |
CN110278152B (zh) | 一种建立快速转发表的方法及装置 | |
EP1830520B1 (en) | Method and system for redirecting of the client | |
US20080168563A1 (en) | Storage medium storing terminal identifying program terminal identifying apparatus, and mail system | |
CN110602110A (zh) | 一种全网端口隔离方法、装置、设备及存储介质 | |
US7409458B2 (en) | Network system with shared filtering information | |
CN1996960A (zh) | 一种即时通信消息的过滤方法及即时通信系统 | |
Cisco | IP Services Commands | |
JP2005354410A (ja) | パケットフィルタ設定方法およびパケットフィルタ設定システム | |
JP5313112B2 (ja) | Ipマルチキャスト接続許可制御システムおよび方法 | |
JP3841417B2 (ja) | 通信接続方法、サーバ計算機、および、プログラム | |
EP4391449A1 (en) | Wireless client group isolation within a network | |
JP2006050361A (ja) | フロー制御機能を有する通信システム及びそのネットワーク機器 | |
WO2022231553A1 (en) | Network management system which accelerates the tcp traffic at the level of transport layer | |
CN115914348A (zh) | 控制平面与用户平面之间的多状态控制接口 | |
CN102546431A (zh) | 一种路由器公告安全接入方法、系统及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091028 |