CN101741547A - 节点间保密通信方法及*** - Google Patents

节点间保密通信方法及*** Download PDF

Info

Publication number
CN101741547A
CN101741547A CN200910219572A CN200910219572A CN101741547A CN 101741547 A CN101741547 A CN 101741547A CN 200910219572 A CN200910219572 A CN 200910219572A CN 200910219572 A CN200910219572 A CN 200910219572A CN 101741547 A CN101741547 A CN 101741547A
Authority
CN
China
Prior art keywords
destination
node
switching equipment
source
last
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN200910219572A
Other languages
English (en)
Other versions
CN101741547B (zh
Inventor
铁满霞
曹军
李琴
葛莉
黄振海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Iwncomm Co Ltd
Original Assignee
China Iwncomm Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Iwncomm Co Ltd filed Critical China Iwncomm Co Ltd
Priority to CN2009102195728A priority Critical patent/CN101741547B/zh
Priority to EP10836951.3A priority patent/EP2515469B1/en
Priority to JP2012543453A priority patent/JP5507705B2/ja
Priority to US13/516,967 priority patent/US8966257B2/en
Priority to PCT/CN2010/073454 priority patent/WO2011072514A1/zh
Priority to KR1020127018958A priority patent/KR101485231B1/ko
Publication of CN101741547A publication Critical patent/CN101741547A/zh
Application granted granted Critical
Publication of CN101741547B publication Critical patent/CN101741547B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0827Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/26Route discovery packet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0471Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/162Implementing security features at a particular protocol layer at the data link layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种节点间保密通信方法及***,该有线局域网节点间保密通信方法包括以下步骤:1)建立共享密钥;2)交换路由探寻;3)数据通信分类;4)节点间保密通信。本发明中提供的节点间保密通信的方法会根据节点间不同的通信情况进行分类,选择合适的保密通信策略;相对于逐跳加密,减少了交换设备的计算负担,缩短了数据包的传输延时;相对于为所有节点之间两两建立站间密钥来保护通信机密性的方法,减少了密钥的数目,简化了密钥管理。

Description

节点间保密通信方法及***
技术领域
本发明属网络安全领域,涉及一种节点间保密通信方法及***。
背景技术
有线局域网一般为广播型网络,一个节点发出的数据,其他节点都能收到。网络上的各个节点共享信道,这给网络带来了极大的安全隐患。攻击者只要接入网络进行监听,就可以捕获网络上所有的数据包。现有国家标准GB/T 15629.3(对应IEEE 802.3或者ISO/IEC 8802-3)定义的局域网LAN(Local AreaNetwork)并不提供数据保密方法,这样就使得攻击者容易窃取到关键信息。
在有线局域网中,IEEE通过对IEEE 802.3进行安全增强来实现链路层的安全。IEEE 802.1AE为保护以太网提供数据加密协议,并采用逐跳加密的安全措施来实现网络节点之间数据的安全传达。但是,逐跳加密的这种安全措施要求交换设备对需要转发的每一个数据包都进行解密再加密再转发的处理过程,无疑给局域网中的交换设备带来了巨大的计算负担,容易引发攻击者对交换设备的攻击;且数据包从发送源节点传递到目的节点的延时也会增大,降低了网络传输效率。
有线局域网的拓扑结构比较复杂,涉及到的节点(这里,用户终端和交换设备被统称为节点)数目也比较多,因此网络中的数据通信比较复杂。若为所有的节点两两建立共享密钥,节点需要保存的共享密钥数目比较巨大;若利用相邻节点之间的共享密钥,使用逐跳加密的安全措施,又会给网络交换设备带来巨大的计算负担。
因此,有必要研究一种方法来解决节点间保密通信的问题,一方面既能保证数据在节点间进行保密传输,另一方面又尽量减少密钥的数目和密钥建立的复杂度,同时还需要考虑节点的加解密能力。
发明内容
为了解决背景技术中存在的上述技术问题,本发明提供了一种以节点间交换路由信息为基础划分数据通信的类型,选择不同的保密通信策略的节点间保密通信方法及***。
本发明的技术解决方案是:本发明提供了一种节点间保密通信方法,其特殊之处在于:所述节点间保密通信方法包括以下四个过程:
1)建立共享密钥;
2)交换路由探寻;
3)数据通信分类;
4)节点间保密通信。
上述过程1)的具体实现方式是:
1.1)为相邻节点之间建立共享密钥,称为单播密钥USK(Unicast SessionKey);
1.2)为交换设备两两之间建立共享密钥,称为交换密钥SWkey(SWitchkey);
1.3)根据本地策略选择,为同一交换设备下两个直连用户终端之间建立共享密钥,称为站间密钥STAkey(STAtion key)。
上述过程2)的具体实现方式是:
从发送源节点NSource到目的节点NDestination的节点间交换路由信息定义为一个标识四元组:所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
其中:
IDSource:表示发送源节点NSource的标识,其中发送源节点NSource是用户终端或交换设备;
IDSW-first:表示从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备SW-first的标识;
IDSW-last:表示从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备SW-last的标识;
IDDestination:表示目的节点NDestination的标识,其中目的节点NDestination是用户终端或交换设备;
其中接收到从发送源节点NSource到目的节点NDestination的数据包但却未出现在交换路由信息标识四元组中的交换设备,称之为中间交换设备。从发送源节点NSource到目的节点NDestination的数据在传输过程中可能不会通过中间交换设备,也可能通过多个中间交换设备。
2.1)发送源节点NSource发送交换路由探寻分组给目的节点NDestination;该分组中主要包含标识四元组,所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
其中:
IDSource:表示发送源节点NSource的标识;
IDSW-first:表示从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备SW-first的标识,若发送源节点NSource为交换设备,则IDSW-first就是IDSource;若发送源节点NSource为终端用户,则IDSW-first就是发送源节点NSource直连交换设备的标识;
IDSW-last:表示从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备SW-last的标识;在交换路由探寻分组中,该字段是未知的;
IDDestination:表示目的节点NDestination的标识;
2.2)目的节点NDestination发送交换路由响应分组给发送源节点NSource
2.3)各节点接收交换路由响应分组。
目的节点NDestination收到来自发送源节点NSource发送的交换路由探寻分组后,上述步骤2.2)的具体实现方式是:
2.2.1)判断从发送源节点NSource发来的数据包经过的最后一个交换设备SW-last的信息:若目的节点NDestination为交换设备,则IDSW-last就是IDDestination;若目的节点NDestination为终端用户,则IDSW-last就是终端用户直连交换设备的标识;
2.2.2)记录下标识四元组,其中IDSource、IDSW-first及IDDestination同接收到的交换路由探寻分组中各字段的值,此时四元组的所有字段值都已明确;所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
2.2.3)构造交换路由响应分组发送给发送源节点NSource,该分组包含已明确所有字段值的标识四元组,所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
各节点收到来自目的节点NDestination发送的交换路由探寻响应分组后,上述步骤2.3)的具体实现方式是:
2.3.1)交换设备收到交换路由响应分组后,若自己的标识在该分组中的标识四元组中,则记录下标识四元组再转发;若自己的标识不在该分组中的标识四元组中则直接转发该分组;所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
2.3.2)发送源节点NSource收到交换路由响应分组后,记录下标识四元组,完成此次交换路由探寻过程,所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
上述过程3)的具体实现方式是:
从发送源节点NSource到目的节点NDestination的数据通信类型是根据得到的交换路由四元组信息进行判断的,所述四元组信息包括IDSource、IDSW-first、IDSW-last以及IDDestination,其具体的判断方式是:
3.1)判断IDSW-first=IDSource是否成立,若成立,则发送源节点NSource是交换设备,执行步骤3.2);否则,发送源节点NSource是用户终端,执行步骤3.4);
3.2)判断IDSW-last=IDDestination是否成立,若成立,则目的节点NDestination是交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到交换设备的通信,属于交换设备到交换设备的通信类型;否则,目的节点NDestination是用户终端,执行步骤3.3);
3.3)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到直连用户终端的通信,属于交换设备到直连用户终端的通信类型;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到不直连用户终端的通信,属于交换设备到不直连用户终端的通信类型;
3.4)判断IDSW-last=IDDestination是否成立,若成立,则目的节点NDestination是交换设备,执行步骤3.5);否则,目的节点NDestination是用户终端,执行步骤3.6);
3.5)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到直连交换设备的通信,属于用户终端到直连交换设备的通信类型;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到不直连交换设备的通信,属于用户终端到不直连交换设备的通信类型;
3.6)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到同一交换设备下其他直连用户终端的通信,属于用户终端到同一交换设备下其他直连用户终端的通信类型;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到不同交换设备下直连的用户终端的通信,属于用户终端到不同交换设备下直连用户终端的通信类型。
上述过程4)的具体实现方式是从发送源节点NSource到目的节点NDestination的节点间数据通信,根据数据通信类型的不同,通信过程中所采用的保密通信策略也将有所不同。
当数据通信交换设备到交换设备的通信类型时,所述其节点间保密通信策略的具体实现方式是:
4.1.1)发送源节点NSource使用与目的节点NDestination之间的交换密钥加密数据包;所述发送源节点NSource为交换设备,该交换设备既是发送源节点NSource,又是第一个交换设备SW-first;所述目的节点NDestination为交换设备,该交换设备既是目的节点NDestination,又是最后一个交换设备SW-last;
4.1.2)若存在中间交换设备,则中间交换设备收到类型为交换设备到交换设备的通信数据包,直接转发;
4.1.3)目的节点NDestination使用与发送源节点NSource之间的交换密钥解密数据包。
当数据通信类型是交换设备到直连用户终端的通信时,所述其节点间保密通信策略的具体实现方式是:
4.2.1)发送源节点NSource使用与目的节点NDestination之间的单播密钥加密数据包;所述发送源节点NSource为交换设备,该交换设备既是发送源节点NSource,又是第一个交换设备SW-first同时还是最后一个交换设备SW-last;所述目的节点NDestination是用户终端;
4.2.2)目的节点NDestination使用与发送源节点NSource之间的单播密钥解密数据包。
当数据通信类型是交换设备到不直连用户终端的通信时,所述其节点间保密通信策略的具体实现方式是:
4.3.1)发送源节点NSource使用与最后一个交换设备SW-last之间的交换密钥加密数据包;所述发送源节点NSource为交换设备,该交换设备既是发送源节点NSource,又是第一个交换设备SW-first;
4.3.2)若存在中间交换设备,则中间交换设备直接转发类型为交换设备到不直连用户终端的通信的数据包;
4.3.3)最后一个交换设备SW-last使用与发送源节点NSource的交换密钥解密数据包,然后使用与目的节点NDestination之间的单播密钥加密数据包,然后转发;所述目的节点NDestination为用户终端;
4.3.4)目的节点NDestination使用与最后一个交换设备SW-last之间的单播密钥解密数据包。
当数据通信类型是用户终端到直连交换设备的通信时,所述其节点间保密通信策略的具体实现方式是:
4.4.1)发送源节点NSource使用与目的节点NDestination之间的单播密钥加密数据包;所述发送源节点NSource为用户终端;所述目的节点NDestination为交换设备,该交换设备既是目的节点NDestination,又是第一个交换设备SW-first,同时还是最后一个交换设备SW-last;
4.4.2)目的节点NDestination使用与发送源节点NSource之间的单播密钥解密数据包。
当数据通信类型是用户终端到不直连交换设备的通信时,所述其节点间保密通信策略的具体实现方式是:
4.5.1)发送源节点NSource使用与第一个交换设备SW-first之间的单播密钥加密数据包;所述发送源节点NSource是用户终端;
4.5.2)第一个交换设备SW-first使用与发送源节点NSource之间的单播密钥解密数据包,然后使用与目的节点NDestination之间的交换密钥加密数据包,然后转发;所述目的节点NDestination为交换设备,该交换设备既是目的节点NDestination,又是最后一个交换设备SW-last;
4.5.3)若存在中间交换设备,则中间交换设备直接转发类型为用户终端到不直连交换设备的通信的数据包;
4.5.4)目的节点NDestination使用与第一个交换设备SW-first之间的交换密钥解密数据包。
当数据通信类型是用户终端到同一交换设备下其他直连用户终端的通信时,所述其节点间保密通信策略的具体实现方式是:
4.6.1)对已经建立站间密钥、类型为用户终端到同一交换设备下其他直连用户终端的通信采用的保密通信策略如下:
4.6.1.1)发送源节点NSource使用与目的节点NDestination之间的站间密钥加密数据包;所述目的节点NDestination是用户终端;
4.6.1.2)第一个交换设备SW-first对于类型用户终端到同一交换设备下其他直连用户终端的通信的数据包,直接转发;所述第一个交换设备SW-first同时是最后一个交换设备SW-last;
4.6.1.3)目的节点NDestination使用与发送源节点NSource之间的站间密钥解密数据包;
4.6.2)对没有建立站间密钥、类型为用户终端到同一交换设备下其他直连用户终端的通信所采用的保密通信如下:
4.6.2.1)发送源节点NSource使用与直连交换设备之间的单播密钥加密数据包;
4.6.2.2)第一个交换设备SW-first使用与发送源节点NSource之间的单播密钥解密数据包,再使用与目的节点NDestination之间的单播密钥加密数据包,再转发;所述第一个交换设备SW-first同时是最后一个交换设备SW-last;
4.6.2.3)目的节点NDestination使用与直连交换设备之间的单播密钥解密数据包。
当节点间通信类型是用户终端到不同交换设备下直连用户终端的通信时,所述其节点间保密通信策略的具体实现方式是:
4.7.1)发送源节点NSource使用与第一个交换设备SW-first之间的单播密钥加密数据包;所述发送源节点NSource是用户终端;
4.7.2)第一个交换设备SW-first使用与发送源节点NSource之间的单播密钥解密数据包,然后使用与最后一个交换设备SW-last之间的交换密钥加密数据包,再转发;
4.7.3)若存在中间交换设备,则中间交换设备直接转发类型为用户终端到不同交换设备下直连用户终端的通信的数据包;
4.7.4)最后一个交换设备SW-last使用与第一个交换设备SW-first之间的交换密钥解密数据包,然后使用与目的节点NDestination之间的单播密钥加密数据包,再转发;所述目的节点NDestination是用户终端;
4.7.5)目的节点NDestination使用与最后一个交换设备SW-last之间的单播密钥解密数据包。
一种节点间保密通信***,其特殊之处在于:所述节点间保密通信***包括向目的节点NDestination发送交换路由探寻分组及加密数据包,接收目的节点NDestination发送的交换路由探寻响应分组并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的发送源节点NSource、转发从发送源节点NDestination到目的节点NDestination的数据包,并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的第一个交换设备SW-first、转发从发送源节点NDestination到目的节点NDestination的数据包,并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的最后一个交换设备SW-last以及接收发送源节点NDestination发送的交换路由探寻分组及加密数据包,向发送源节点NDestination发送交换路由探寻响应分组并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的目的节点NDestination;所述从发送源节点NDestination到目的节点NDestination的交换路由信息包括IDSource、IDSW-first、IDSW-last以及IDDestination
上述节点间保密通信***还包括直接透传从发送源节点NDestination到目的节点NDestination的所有数据包的中间交换设备。
本发明的优点是:本发明所提供的节点间保密通信方法需要为相邻节点之间建立共享密钥、为交换设备两两之间建立共享密钥、为同一个交换设备下的直连用户终端两两之间建立共享密钥,根据交换路由探寻过程得到节点间的交换路由信息,判断两节点之间的数据通信所属的类型,从而选用对应的保密通信策略。本发明所提供的方法以交换路由信息为基础划分数据通信的类型,对于不同类型数据通信采用不同的保密通信策略。
附图说明
图1为本发明所述局域网基本框架示意图;
图2为本发明所述节点间交换路由网络结构示意图;
图3为本发明所述交换路由探寻协议示意图;
图4为本发明所述节点间交换路由探寻过程示意图;
图5为本发明所述节点间数据通信类型判断流程图示意图;
图6-a为本发明所述交换设备到交换设备的通信(相邻)示意图;
图6-b为本发明所述交换设备到交换设备的通信(不相邻)示意图;
图7为本发明所述交换设备到直连用户终端的通信示意图;
图8为本发明所述交换设备到不直连的用户终端的通信示意图;
图9为本发明所述用户终端到直连交换设备的通信示意图;
图10为本发明所述用户终端到不直连的交换设备的通信示意图;
图11-a为本发明所述用户终端到同一交换设备下其他直连用户终端的通信(建立站间密钥)示意图;
图11-b为本发明所述用户终端到同一交换设备下其他直连用户终端的通信(不建立站间密钥)示意图;
图12为本发明所述用户终端到不同交换设备下直连用户终端的通信示意图。
具体实施方式
本发明中的节点N(Node)是指网络中的用户终端STA(STAtion)和交换设备SW(Switch)。集线器(hub)等物理层设备不作为节点处理。
本发明中定义的直连是指交换设备之间或者交换设备和用户终端之间通过网线或者集线器(hub)等物理层设备直接相连的连接关系。通过其他设备进行连接的节点之间不属于直连关系。
参见图1-12,本发明提供的节点保密通信方法主要包括四个过程:建立共享密钥、交换路由探寻、数据通信分类以及节点间保密通信。其具体实施方式如下:
1)建立共享密钥;
1.1)为相邻节点之间建立共享密钥,称为单播密钥USK(Unicast SessionKey);
1.2)为交换设备两两之间建立共享密钥,称为交换密钥SWkey(SWitchkey),其中相邻交换设备之间的单播密钥就是它们之间的交换密钥;
1.3)根据本地策略选择,为同一交换设备下两个直连用户终端之间建立共享密钥,称为站间密钥STAkey(STAtion key)。
局域网基本框架如图1所示。所有相邻的节点之间都有单播密钥USK,如相邻的交换设备SW-A和SW-B之间、相邻的交换设备SW-E与用户终端STA2之间;交换设备两两之间都具有交换密钥SWkey,如相邻的交换设备SW-B与SW-E之间、不相邻的交换设备SW-E和SW-G之间;同一交换设备下直连的用户终端STA之间可建立站间密钥STAkey,如用户终端STA1和STA2之间、用户终端STA7与STA9之间。其中单播密钥和交换密钥是节点成功接入网络时建立的,而站间密钥则是在通信发生时,由发送源节点NSource根据本地策略决定是否建立。一般来说若用户终端STA1发送给同一交换设备下其他直连用户终端STA2的数据量比较大,则需建立站间密钥;若只是简单的数据包信息,则不需建立站间密钥。单播密钥、交换密钥及站间密钥可通过预分发或某种安全机制建立,其建立的具体方法本发明不予限制和定义。
2)交换路由探寻;
从发送源节点NSource到目的节点NDestination的节点间交换路由信息定义为一个标识四元组:
[IDSource,IDSW-first,IDSW-last,IDDestination]
其中:
IDSource:表示发送源节点NSource的标识,其中发送源节点NSource可以是用户终端,也可以是交换设备;
IDSW-first:表示从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备SW-first的标识;
IDSW-last:表示从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备SW-last的标识;
IDDestination:表示目的节点NDestination的标识,其中目的节点NDestination可以是用户终端,也可以是交换设备。
从发送源节点NSource到目的节点NDestination的交换路由信息[IDSource,IDSW-first,IDSW-last,IDDestination]对应的网络结构如图2所示。其中接收到从发送源节点NSource到目的节点NDestination的数据包但却未出现在交换路由信息标识四元组中的交换设备,称之为中间交换设备。从发送源节点NSource到目的节点NDestination的数据在传输过程中可能不会通过中间交换设备,也可能通过多个中间交换设备。
在网络中,当需要知晓从节点NSource到节点NDestination的交换路由信息时,需发起交换路由探寻过程。如图3所示,交换路由探寻包括交换路由探寻分组和交换路由响应分组。交换路由探寻过程具体描述如图4所示。
2.1)发送源节点NSource发送交换路由探寻分组给目的节点NDestination
发送源节点NSource构造交换路由探寻分组发送给目的节点NDestination;该分组中主要包含标识四元组
[IDSource,IDSW-first,IDSW-last,IDDestination]
其中:
IDSource:表示发送源节点NSource的标识;
IDSW-first:表示从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备SW-first的标识,若发送源节点NSource为交换设备,则IDSW-first就是IDSource;若发送源节点NSource为终端用户,则IDSW-first就是发送源节点NSource直连交换设备的标识;
IDSW-last:表示从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备SW-last的标识;在交换路由探寻分组中,该字段是未知的(图4中用问号(‘?’)表示);
IDDestination:表示目的节点NDestination的标识;
2.2)目的节点NDestination发送交换路由响应分组给发送源节点NSource
目的节点NDestination收到来自发送源节点NSource发送的交换路由探寻分组后,进行如下处理:
2.2.1)判断从发送源节点NSource发来的数据包经过的最后一个交换设备SW-last的信息:若目的节点NDestination为交换设备,则IDSW-last就是IDDestination;若目的节点NDestination为终端用户,则IDSW-last就是终端用户直连交换设备的标识;
2.2.2)记录下标识四元组[IDSource,IDSW-first,IDSW-last,IDDestination],其中IDSource、IDSW-first及IDDestination同接收到的交换路由探寻分组中各字段的值,此时四元组的所有字段值都已明确;
2.2.3)构造交换路由响应分组发送给发送源节点NSource,该分组主要包含已明确所有字段值的标识四元组[IDSource,IDSW-first,IDSW-last,IDDestination]。
2.3)各节点接收交换路由响应分组;
2.3.1)交换设备收到交换路由响应分组后,若自己的标识在该分组中的标识四元组中,则记录下标识四元组[IDSource,IDSW-first,IDSW-last,IDDestination],再转发;若自己的标识不在该分组中的标识四元组中则直接转发该分组;
2.3.2)发送源节点NSource收到交换路由响应分组后,记录下标识四元组[IDSource,IDSW-first,IDSW-last,IDDestination],完成此次交换路由探寻过程。
整个网络中只有发送源节点NSource、第一个交换设备SW-first、最后一个交换设备SW-last以及目的节点NDestination需要记录下从发送源节点NSource到目的NDestination的交换路由信息。若发送源节点NSource是交换设备,则从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备SW-first就是它本身,即SW-first就是NSource;若目的节点NDestination是交换设备,则从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备SW-last就是NDestination,即SW-last就是NDestination
3)数据通信类型分类;
从发送源节点NSource到目的节点NDestination的数据保密通信根据节点NSource与NDestination之间的物理连接关系及它们本身的节点类型可划分为如下7种类型:
Type1:交换设备到交换设备的通信;
例如:图1中的SW-A到SW-E、SW-D到SW-B的数据通信;
Type2:交换设备到直连用户终端的通信;
例如:图1中的SW-E到STA1、SW-G到STA9的数据通信;
Type3:交换设备到不直连用户终端的通信;
例如:图1中的SW-A到STA1、SW-D到STA6的数据通信;
Type4:用户终端到直连交换设备的通信;
例如:图1中的STA2到SW-E、STA5到SW-F的数据通信;
Type5:用户终端到不直连交换设备的通信;
例如:图1中的STA2到SW-F、STA5到SW-B的数据通信;
Type6:用户终端到同一交换设备下其他直连用户终端的通信;
例如:图1中的STA2到STA3、STA5到STA6的数据通信;
Type7:用户终端到不同交换设备下直连的用户终端的通信;
例如:图1中的STA2到STA6、STA5到STA9的数据通信;
从发送源节点NSource到目的节点NDestination的数据通信类型是根据得到的交换路由四元组信息[IDSource,IDSW-first,IDSW-last,IDDestination]进行判断的,具体的判断流程如图5所示。流程描述如下:
3.1)判断IDSW-first=IDSource是否成立,若成立,则发送源节点NSource是交换设备,执行步骤3.2);否则,发送源节点NSource是用户终端,执行步骤3.4);
3.2)判断IDSW-last=IDDestination是否成立,若成立,则目的节点NDestination是交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到交换设备的通信,属于类型Type1;否则,目的节点NDestination是用户终端,执行步骤3.3);
3.3)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到直连用户终端的通信,属于类型Type2;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到不直连用户终端的通信,属于类型Type3;
3.4)判断IDSW-last=IDDestination是否成立,若成立,则目的节点NDestintion是交换设备,执行步骤3.5);否则,目的节点NDestination是用户终端,执行步骤3.6);
3.5)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到直连交换设备的通信,属于类型Type4;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到不直连交换设备的通信,属于类型Type5;
3.6)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到同一交换设备下其他直连用户终端的通信,属于类型Type6;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到不同交换设备下直连的用户终端的通信,属于类型Type7。
4)节点间保密通信;
从发送源节点NSource到目的节点NDestination的节点间数据通信,根据数据通信类型的不同,通信过程中所采用的保密通信策略也将有所不同,具体每种通信类型所采用的保密通信策略描述如下:
4.1)Type1:交换设备到交换设备的通信
网络中交换设备两两之间都有交换密钥(交换密钥的建立过程本发明不予定义和限制),类型为Type1的数据通信采用的保密通信策略如下:
4.1.1)发送源节点NSource(此时为交换设备,发送源节点NSource同时是第一个交换设备SW-first)使用与目的节点NDestination(此时为交换设备,目的节点NDestination同时是最后一个交换设备SW-last)之间的交换密钥加密数据包;
4.1.2)若存在中间交换设备,则中间交换设备收到类型为Type1的通信数据包,直接转发。
4.1.3)目的节点NDestination使用与发送源节点NSource之间的交换密钥解密数据包;
交换设备到交换设备的通信包含交换设备到相邻交换设备的通信(如图6-a中交换设备SW-B到交换设备SW-E的通信)、交换设备到不相邻交换设备的通信(如图6-b中交换设备SW-B到交换设备SW-G的通信)。图6-a中直接使用交换密钥SWkeyB-E来加密解密数据包;图6-b中直接使用交换密钥SWkeyB-G来加密解密数据包,中间交换设备(如交换设备SW-A、SW-D)直接转发即可。
4.2)Type2:交换设备到直连用户终端的通信
网络中交换设备与直连用户终端之间有单播密钥(单播密钥的建立过程本发明不予定义和限制),类型为Type2的数据通信采用的保密通信策略如下:
4.2.1)发送源节点NSource(此时为交换设备,发送源节点NSource同时是第一个交换设备SW-first、最后一个交换设备SW-last))使用与目的节点NDestination(此时为用户终端)之间的单播密钥加密数据包;
4.2.2)目的节点NDestination使用与发送源节点NSource之间的单播密钥解密数据包。
如图7所示,交换设备SW-E到用户终端STA3的通信属于Type2,交换设备SW-E作为发送源节点使用单播密钥USK3-E加密数据包,用户终端STA3作为目的节点使用单播密钥USK3-E解密数据包。
4.3)Type3:交换设备到不直连用户终端的通信
网络中交换设备与直连用户终端之间有单播密钥、交换设备之间有交换密钥,类型为Type3的数据通信采用的保密通信策略如下:
4.3.1)发送源节点NSource(此时为交换设备,发送源节点NSource同时是第一个交换设备SW-first)使用与最后一个交换设备SW-last之间的交换密钥加密数据包;
4.3.2)若存在中间交换设备,则中间交换设备直接转发类型为Type3的数据包;
4.3.3)最后一个交换设备SW-last使用与发送源节点NSource的交换密钥解密数据包,然后使用与目的节点NDestination(此时为用户终端)之间的单播密钥加密数据包,然后转发;
4.3.4)目的节点NDestination使用与最后一个交换设备SW-last之间的单播密钥解密数据包。
如图8所示,交换设备SW-A到用户终端STA3的通信属于Type3,SW-E是最后一个交换设备。交换设备SW-A作为发送源节点使用与SW-E之间的交换密钥SWkeyA-E加密数据包;交换设备SW-B属于中间交换设备直接转发数据包;交换设备SW-E作为最后一个交换设备使用交换密钥SWkeyA-E解密数据包,然后用与用户终端STA3之间的单播密钥USK3-E加密数据包,再转发;用户终端STA3作为目的节点使用单播密钥USK3-E解密数据包;
4.4)Type4:用户终端到直连交换设备的通信
网络中用户终端与直连交换设备之间有单播密钥,类型为Type4的数据通信采用的保密通信策略如下:
4.4.1)发送源节点NSource(此时为用户终端)使用与目的节点NDestination(此时为交换设备,目的节点NDestination同时是第一个交换设备SW-first、最后一个交换设备SW-last)之间的单播密钥加密数据包;
4.4.2)目的节点NDestination使用与发送源节点NSource之间的单播密钥解密数据包。
如图9所示,用户终端STA3到交换设备SW-E的通信属于Type4,用户终端STA3作为发送源节点使用单播密钥USK3-E加密数据包;交换设备SW-E作为目的节点使用单播密钥USK3-E解密数据包。类型Type4的通信和类型Type2的通信只是方向不同,都是使用发送源节点与目的节点之间的单播密钥来加密解密数据包。
4.5)Type5:用户终端到不直连交换设备的通信
网络中用户终端与直连交换设备之间有单播密钥、交换设备之间有交换密钥,类型为Type5的数据通信采用的保密通信策略如下:
4.5.1)发送源节点NSource(此时为用户终端)使用与第一个交换设备SW-first之间的单播密钥加密数据包;
4.5.2)第一个交换设备SW-first使用与发送源节点NSource之间的单播密钥解密数据包,然后使用与目的节点NDestination(此时为交换设备,目的节点NDestination同时是最后一个交换设备SW-last)之间的交换密钥加密数据包,然后转发;
4.5.3)若存在中间交换设备,则中间交换设备直接转发类型为Type5的数据包;
4.5.4)目的节点NDestination使用与第一个交换设备SW-first之间的交换密钥解密数据包。
如图10所示,用户终端STA3到交换设备SW-A的通信属于Type5,SW-E是第一个交换设备。用户终端STA3作为发送源节点使用单播密钥USK3-E加密数据包;交换设备SW-E作为第一个交换设备使用单播密钥USK3-E解密数据包,然后用与目的节点SW-A之间的交换密钥SWkeyA-E加密数据包,再转发;交换设备SW-A作为目的节点使用与SW-E之间的交换密钥SWkeyA-E解密数据包。类型Type5的通信和类型Type3的通信只是方向不同,过程相反,中间使用的密钥都是一样的。
3.2.6)Type6:用户终端到同一交换设备下其他直连用户终端的通信
网络中用户终端与直连交换设备之间有单播密钥、同一交换设备下直连的用户终端之间根据本地决策可选择建立站间密钥(站间密钥的建立过程本发明不予定义和限制)。类型为Type6的数据通信根据是否已建立站间密钥,所采用的保密通信有所不同。
4.6.1)对已经建立站间密钥、类型为Type6的数据通信采用的保密通信策略如下:
4.6.1.1)发送源节点NSource使用与目的节点NDestination(此时为用户终端)之间的站间密钥加密数据包;
4.6.1.2)第一个交换设备SW-first(此时,第一个交换设备SW-first同时是最后一个交换设备)对于类型Type6的数据包,直接转发;
4.6.1.3)目的节点NDestination使用与发送源节点NSource之间的站间密钥解密数据包。
4.6.2)对没有建立站间密钥、类型为Type6所采用的保密通信如下:
4.6.2.1)发送源节点NSource使用与直连交换设备之间的单播密钥加密数据包;
4.6.2.2)第一个交换设备SW-first(此时,第一个交换设备SW-first同时是最后一个交换设备)使用与发送源节点NSource之间的单播密钥解密数据包,再使用与目的节点NDestination之间的单播密钥加密数据包,再转发;
4.6.2.3)目的节点NDestination使用与直连交换设备之间的单播密钥解密数据包。
如图11-a、11-b所示,用户终端STA1到STA3之间的数据通信属于类型Type6。
图11-a是已建立了站间密钥的通信图示,用户终端STA1作为发送源节点使用与STA3之间的站间密钥STAkey1-3加密数据包;交换设备SW-E直接转发数据包;用户终端STA3作为目的节点使用与STA1之间的站间密钥STAkey1-3解密数据包。
图11-b是没有建立站间密钥的通信图示,用户终端STA1作为发送源节点使用交换设备SW-E之间的单播密钥USK1-E加密数据包;交换设备SW-E使用单播密钥USK1-E解密数据包,然后用单播密钥USK3-E加密数据包,再转发;用户终端STA3作为目的节点使用单播密钥USK3-E解密数据包。
4.7)Type7:用户终端到不同交换设备下直连的用户终端的通信
网络中用户终端与直连交换设备之间有单播密钥,交换设备之间有交换密钥,类型为Type7的数据通信采用的保密通信策略如下:
4.7.1)发送源节点NSource(此时为用户终端)使用与第一个交换设备SW-first之间的单播密钥加密数据包;
4.7.2)第一个交换设备SW-first使用与发送源节点NSource之间的单播密钥解密数据包,然后使用与最后一个交换设备SW-last之间的交换密钥加密数据包,再转发;
4.7.3)若存在中间交换设备,则中间交换设备直接转发类型为Type7的数据包;
4.7.4)最后一个交换设备SW-last使用与第一个交换设备SW-first之间的交换密钥解密数据包,然后使用与目的节点NDestination(此时为用户终端)之间的单播密钥加密数据包,再转发;
4.7.5)目的节点NDestination使用与最后一个交换设备SW-last之间的单播密钥解密数据包。
如图12所示,用户终端STA3到STA9的通信属于类型Type7。类型Type7的数据通信可以分三段,发送源节点到第一个交换设备、第一个交换设备到最后一个交换设备、最后一个交换设备到目的节点。图12中,用户终端STA3作为发送源节点使用与交换设备SW-E之间的单播密钥USK3-E加密数据包;交换设备SW-E作为第一个交换设备使用与发送源节点之间的单播密钥USK3-E解密数据包,再使用与最后一个交换设备SW-G之间的交换密钥SWkeyE-G加密数据包,再转发;交换设备SW-D、SW-A、SW-D作为中间交换设备直接转发数据包;交换设备SW-G作为最后一个交换设备使用与第一个交换设备SW-E之间的交换密钥SWkeyE-G解密数据包,再使用与目的节点之间的单播密钥USK9-G加密数据包,再转发;用户终端STA9作为目的节点使用与最后一个交换设备SW-G之间的单播密钥USK9-G解密数据包。
本发明的节点间保密通信***包括向目的节点NDestination发送交换路由探寻分组及加密数据包,接收目的节点NDestination发送的交换路由探寻响应分组并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息[IDSource,IDSW-first,IDSW-last,IDDestination]的发送源节点NSource、转发从发送源节点NDestination到目的节点NDestination的数据包,并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息[IDSource,IDSW-first,IDSW-last,IDDestination]的第一个交换设备SW-first、转发从发送源节点NDestination到目的节点NDestination的数据包,并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息[IDSource,IDSW-first,IDSW-last,IDDestination]的最后一个交换设备SW-last以及接收发送源节点NDestination发送的交换路由探寻分组及加密数据包,向发送源节点NDestination发送交换路由探寻响应分组并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息[IDSource,IDSW-first,IDSW-last,IDDestination]的目的节点NDestination
本发明的节点间保密通信***还包括直接透传从发送源节点NDestination到目的节点NDestination的所有数据包的中间交换设备。
本发明中提供的节点间保密通信的方法会根据节点间不同的通信情况进行分类,选择合适的保密通信策略。相对于逐跳加密,减少了交换设备的计算负担,缩短了数据包的传输延时;相对于为所有节点之间两两建立站间密钥来保护通信机密性的方法,减少了密钥的数目,简化了密钥管理。

Claims (15)

1.一种有线局域网节点间保密通信方法,其特征在于:所述有线局域网节点间保密通信方法包括以下步骤:
1)建立共享密钥;
2)交换路由探寻;
3)数据通信分类;
4)节点间保密通信。
2.根据权利要求1所述的有线局域网节点间保密通信方法,其特征在于:所述步骤1)的具体实现方式是:
1.1)为相邻节点之间建立共享密钥,称为单播密钥USK(Unicast SessionKey);
1.2)为局域网交换设备两两之间建立共享密钥,称为交换密钥SWkey(SWitch key);
1.3)根据本地策略选择,为同一交换设备下两个直连用户终端之间建立共享密钥,称为站间密钥STAkey(STAtion key)。
3.根据权利要求1所述的有线局域网节点间保密通信方法,其特征在于:所述步骤2)的具体实现方式是:
从发送源节点NSource到目的节点NDestination的节点间交换路由信息定义为一个标识四元组,所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
其中:
IDSource:表示发送源节点NSource的标识,其中发送源节点NSource是用户终端或交换设备;
IDSW-first:表示从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备SW-first的标识;
IDSW-last:表示从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备SW-last的标识;
IDDestination:表示目的节点NDestination的标识,其中目的节点NDestination是用户终端或交换设备;
其中接收到从发送源节点NSource到目的节点NDestination的数据包但却未出现在交换路由信息标识四元组中的交换设备,称之为中间交换设备;
2.1)发送源节点NSource发送交换路由探寻分组给目的节点NDestination;该分组中主要包含标识四元组,所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
其中:
IDSource:表示发送源节点NSource的标识;
IDSW-first:表示从发送源节点NSource到目的节点NDestination的数据包经过的第一个交换设备SW-first的标识,若发送源节点NSource为交换设备,则IDSW-first就是IDSource;若发送源节点NSource为终端用户,则IDSW-first就是发送源节点NSource直连交换设备的标识;
IDSW-last:表示从发送源节点NSource到目的节点NDestination的数据包经过的最后一个交换设备SW-last的标识;在交换路由探寻分组中,该字段是未知的;
IDDestination:表示目的节点NDestination的标识;
2.2)目的节点NDestination发送交换路由响应分组给发送源节点NSource
2.3)各节点接收交换路由响应分组。
4.根据权利3要求所述的有线局域网节点间保密通信方法,其特征在于:目的节点NDestination收到来自发送源节点NSource发送的交换路由探寻分组后,所述步骤2.2)的具体实现方式是:
2.2.1)判断从发送源节点NSource发来的数据包经过的最后一个交换设备SW-last的信息:若目的节点NDestination为交换设备,则IDSW-last就是IDDestination;若目的节点NDestination为终端用户,则IDSW-last就是终端用户直连交换设备的标识;
2.2.2)记录下标识四元组,其中IDSource、IDSW-first及IDDestination同接收到的交换路由探寻分组中各字段的值,此时四元组的所有字段值都已明确;所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
2.2.3)构造交换路由响应分组发送给发送源节点NSource,该分组包含已明确所有字段值的标识四元组,所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
5.根据权利4要求所述的有线局域网节点间保密通信方法,其特征在于:各节点收到来自目的节点NDestination发送的交换路由探寻响应分组后,所述步骤2.3)的具体实现方式是:
2.3.1)交换设备收到交换路由响应分组后,若自己的标识在该分组中的标识四元组中,则记录下标识四元组再转发;若自己的标识不在该分组中的标识四元组中则直接转发该分组;所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
2.3.2)发送源节点NSource收到交换路由响应分组后,记录下标识四元组,完成此次交换路由探寻过程,所述标识四元组包括IDSource、IDSW-first、IDSW-last以及IDDestination
6.根据权利要求5所述的有线局域网节点间保密通信方法,其特征在于:所述步骤3)的具体实现方式是:
从发送源节点NSource到目的节点NDestination的数据通信类型是根据得到的交换路由四元组信息进行判断的,所述四元组信息包括IDSource、IDSW-first、IDSW-last以及IDDestination,其具体的判断方式是:
3.1)判断IDSW-first=IDSource是否成立,若成立,则发送源节点NSource是交换设备,执行步骤3.2);否则,发送源节点NSource是用户终端,执行步骤3.4);
3.2)判断IDSW-last=IDDestination是否成立,若成立,则目的节点NDestination是交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到交换设备的通信,属于交换设备到交换设备的通信类型;否则,目的节点NDestination是用户终端,执行步骤3.3);
3.3)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到直连用户终端的通信,属于交换设备到直连用户终端的通信类型;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是交换设备到不直连用户终端的通信,属于交换设备到不直连用户终端的通信类型;
3.4)判断IDSW-last=IDDestination是否成立,若成立,则目的节点NDestination是交换设备,执行步骤3.5);否则,目的节点NDestination是用户终端,执行步骤3.6);
3.5)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到直连交换设备的通信,属于用户终端到直连交换设备的通信类型;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到不直连交换设备的通信,属于用户终端到不直连交换设备的通信类型;
3.6)判断IDSW-last=IDSW-first是否成立,若成立,则从发送源节点NSource到目的节点NDestination的数据只经过一个交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到同一交换设备下其他直连用户终端的通信,属于用户终端到同一交换设备下其他直连用户终端的通信类型;否则,从发送源节点NSource到目的节点NDestination的数据经过两个以上的交换设备,从发送源节点NSource到目的节点NDestination的数据通信是用户终端到不同交换设备下直连的用户终端的通信,属于用户终端到不同交换设备下直连用户终端的通信类型。
7.根据权利要求6所述的有线局域网节点间保密通信方法,其特征在于:当数据通信交换设备到交换设备的通信类型时,其节点间保密通信策略的具体实现方式是:
4.1.1)发送源节点NSource使用与目的节点NDestination之间的交换密钥加密数据包;所述发送源节点NSource是交换设备或第一个交换设备SW-first;所述目的节点NDestination是交换设备或是最后一个交换设备SW-last;
4.1.2)若存在中间交换设备,则中间交换设备收到类型为交换设备到交换设备的通信数据包,直接转发;
4.1.3)目的节点NDestination使用与发送源节点NSource之间的交换密钥解密数据包。
8.根据权利要求6所述的有线局域网节点间保密通信方法,其特征在于:当数据通信类型是交换设备到直连用户终端的通信时,其节点间保密通信策略的具体实现方式是:
4.2.1)发送源节点NSource使用与目的节点NDestination之间的单播密钥加密数据包;所述发送源节点NSource是交换设备、第一个交换设备SW-first或是最后一个交换设备SW-last;所述节点NDestination是用户终端;
4.2.2)目的节点NDestination使用与发送源节点NSource之间的单播密钥解密数据包。
9.根据权利要求6所述的有线局域网节点间保密通信方法,其特征在于:当数据通信类型是交换设备到不直连用户终端的通信时,其节点间保密通信策略的具体实现方式是:
4.3.1)发送源节点NSource使用与最后一个交换设备SW-last之间的交换密钥加密数据包;所述发送源节点NSource是交换设备或是第一个交换设备SW-last;
4.3.2)若存在中间交换设备,则中间交换设备直接转发类型为交换设备到不直连用户终端的通信的数据包;
4.3.3)最后一个交换设备SW-last使用与发送源节点NSource的交换密钥解密数据包,然后使用与目的节点NDestination之间的单播密钥加密数据包,然后转发;所述目的节点NDestination是用户终端;
4.3.4)目的节点NDestination使用与最后一个交换设备SW-last之间的单播密钥解密数据包。
10.根据权利要求6所述的有线局域网节点间保密通信方法,其特征在于:当数据通信类型是用户终端到直连交换设备的通信时,其节点间保密通信策略的具体实现方式是:
4.4.1)发送源节点NSource使用与目的节点NDestination之间的单播密钥加密数据包;所述发送源节点NSource是用户终端,所述目的节点NDestination是交换设备、第一个交换设备SW-first或是最后一个交换设备SW-last;
4.4.2)目的节点NDestination使用与发送源节点NSource之间的单播密钥解密数据包。
11.根据权利要求6所述的有线局域网节点间保密通信方法,其特征在于:当数据通信类型是用户终端到不直连交换设备的通信时,其节点间保密通信策略的具体实现方式是:
4.5.1)发送源节点NSource使用与第一个交换设备SW-first之间的单播密钥加密数据包;所述发送源节点NSource是用户终端;
4.5.2)第一个交换设备SW-first使用与发送源节点NSource之间的单播密钥解密数据包,然后使用与目的节点NDestination之间的交换密钥加密数据包,然后转发;所述目的节点NDestination是交换设备或是最后一个交换设备SW-last;
4.5.3)若存在中间交换设备,则中间交换设备直接转发类型为用户终端到不直连交换设备的通信的数据包;
4.5.4)目的节点NDestination使用与第一个交换设备SW-first之间的交换密钥解密数据包。
12.根据权利要求6所述的有线局域网节点间保密通信方法,其特征在于:当数据通信类型是用户终端到同一交换设备下其他直连用户终端的通信时,其节点间保密通信策略的具体实现方式是:
4.6.1)对已经建立站间密钥、类型为用户终端到同一交换设备下其他直连用户终端的通信采用的保密通信策略如下:
4.6.1.1)发送源节点NSource使用与目的节点NDestination之间的站间密钥加密数据包;所述目的节点NDestination是用户终端;
4.6.1.2)第一个交换设备SW-first所有交换设备对于类型用户终端到同一交换设备下其他直连用户终端的通信的数据包,直接转发;所述第一个交换设备SW-first同时是最后一个交换设备SW-last;
4.6.1.3)目的节点NDestination使用与发送源节点NSource之间的站间密钥解密数据包;
4.6.2)对没有建立站间密钥、类型为用户终端到同一交换设备下其他直连用户终端的通信所采用的保密通信如下:
4.6.2.1)发送源节点NSource使用与直连交换设备之间的单播密钥加密数据包;
4.6.2.2)第一个交换设备SW-first交换设备使用与发送源节点NSource之间的单播密钥解密数据包,再使用与目的节点NDestination之间的单播密钥加密数据包,再转发;所述第一个交换设备SW-first同时是最后一个交换设备SW-last;
4.6.2.3)目的节点NDestination使用与直连交换设备之间的单播密钥解密数据包。
13.根据权利要求6所述的有线局域网节点间保密通信方法,其特征在于:当节点间通信类型是用户终端到不同交换设备下直连用户终端的通信时,其节点间保密通信策略的具体实现方式是:
4.7.1)发送源节点NSource使用与第一个交换设备SW-first之间的单播密钥加密数据包;所述发送源节点NSource是用户终端;
4.7.2)第一个交换设备SW-first使用与发送源节点NSource之间的单播密钥解密数据包,然后使用与最后一个交换设备SW-last之间的交换密钥加密数据包,再转发;
4.7.3)若存在中间交换设备,则中间交换设备直接转发类型为用户终端到不同交换设备下直连用户终端的通信的数据包;
4.7.4)最后一个交换设备SW-last使用与第一个交换设备SW-first之间的交换密钥解密数据包,然后使用与目的节点NDestination之间的单播密钥加密数据包,再转发;所述目的节点NDestination是用户终端;
4.7.5)目的节点NDestination使用与最后一个交换设备SW-last之间的单播密钥解密数据包。
14.一种有线局域网节点间保密通信***,其特征在于:所述有线局域网节点间保密通信***包括向目的节点NDestination发送交换路由探寻分组及加密数据包,接收目的节点NDestination发送的交换路由探寻响应分组并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的发送源节点NSource、转发从发送源节点NDestination到目的节点NDestination的数据包,并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的第一个交换设备SW-first、转发从发送源节点NDestination到目的节点NDestination的数据包,并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的最后一个交换设备SW-last以及接收发送源节点NDestination发送的交换路由探寻分组及加密数据包,向发送源节点NDestination发送交换路由探寻响应分组并记录下从发送源节点NDestination到目的节点NDestination的交换路由信息的目的节点NDestination;所述从发送源节点NDestination到目的节点NDestination的交换路由信息包括IDSource、IDSW-first、IDSW-last以及IDDestination
15.根据权利要求14所述的有线局域网节点间保密通信***,其特征在于:所述有线局域网节点间保密通信***还包括直接透传从发送源节点NDestination到目的节点NDestination的所有数据包的中间交换设备。
CN2009102195728A 2009-12-18 2009-12-18 节点间保密通信方法及*** Active CN101741547B (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN2009102195728A CN101741547B (zh) 2009-12-18 2009-12-18 节点间保密通信方法及***
EP10836951.3A EP2515469B1 (en) 2009-12-18 2010-06-02 Method and system for secret communication between nodes
JP2012543453A JP5507705B2 (ja) 2009-12-18 2010-06-02 ノード間秘密保持通信方法およびシステム
US13/516,967 US8966257B2 (en) 2009-12-18 2010-06-02 Method and system for secret communication between nodes
PCT/CN2010/073454 WO2011072514A1 (zh) 2009-12-18 2010-06-02 节点间保密通信方法及***
KR1020127018958A KR101485231B1 (ko) 2009-12-18 2010-06-02 노드 간 보안 통신 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN2009102195728A CN101741547B (zh) 2009-12-18 2009-12-18 节点间保密通信方法及***

Publications (2)

Publication Number Publication Date
CN101741547A true CN101741547A (zh) 2010-06-16
CN101741547B CN101741547B (zh) 2012-05-23

Family

ID=42464488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2009102195728A Active CN101741547B (zh) 2009-12-18 2009-12-18 节点间保密通信方法及***

Country Status (6)

Country Link
US (1) US8966257B2 (zh)
EP (1) EP2515469B1 (zh)
JP (1) JP5507705B2 (zh)
KR (1) KR101485231B1 (zh)
CN (1) CN101741547B (zh)
WO (1) WO2011072514A1 (zh)

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2012019466A1 (zh) * 2010-08-12 2012-02-16 西安西电捷通无线网络通信股份有限公司 邻居用户终端间保密通信方法、终端、交换设备及***
JP2013530642A (ja) * 2010-06-07 2013-07-25 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
CN104145467A (zh) * 2012-03-07 2014-11-12 摩托罗拉移动有限责任公司 使用所需节点路径和加密签名的安全分组传输的策略
CN105553951A (zh) * 2015-12-08 2016-05-04 腾讯科技(深圳)有限公司 数据传输方法和装置
CN107231211A (zh) * 2017-05-22 2017-10-03 四川长虹电器股份有限公司 应用于wdm业务疏导网络中的加密动态恢复方法
US9942036B2 (en) 2014-06-27 2018-04-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10075295B2 (en) 2013-02-12 2018-09-11 Amazon Technologies, Inc. Probabilistic key rotation
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US10313312B2 (en) 2013-06-13 2019-06-04 Amazon Technologies, Inc. Key rotation techniques
US10404670B2 (en) 2013-02-12 2019-09-03 Amazon Technologies, Inc. Data security service
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10666436B2 (en) 2013-02-12 2020-05-26 Amazon Technologies, Inc. Federated key management
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105979570B (zh) * 2016-06-30 2019-02-15 中国传媒大学 一种基于wlan的多跳桥接自动建链的方法
CN113542197A (zh) * 2020-04-17 2021-10-22 西安西电捷通无线网络通信股份有限公司 一种节点间保密通信方法及网络节点
KR102202902B1 (ko) * 2020-09-02 2021-01-15 (주)티에이치엔 차량용 통신 제어 장치의 보안 방법 및 그 장치

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH11239176A (ja) * 1998-02-20 1999-08-31 Nippon Telegr & Teleph Corp <Ntt> アドホックネットワークのパケットルーティング方法
JP3597511B2 (ja) * 2002-02-22 2004-12-08 エヌ・ティ・ティ・コムウェア株式会社 無線装置およびその通信経路制御方法、コンピュータプログラム
GB0220660D0 (en) * 2002-09-05 2002-10-16 Nokia Corp Signal propogation delay routing
EP1475926B1 (en) * 2003-05-05 2009-04-22 Samsung Electronics Co., Ltd. Routing system for establishing optimal route in wireless personal area network (WPAN) and method thereof
JP2005236674A (ja) * 2004-02-19 2005-09-02 Matsushita Electric Ind Co Ltd 無線端末装置、無線通信システム、及び、パケットルーティング方法
CN1599357A (zh) * 2004-07-26 2005-03-23 南京邮电学院 自组网环境下协同能量保护和服务质量保证的模糊选路方法
JP4735157B2 (ja) * 2005-09-22 2011-07-27 ソニー株式会社 無線通信システム、無線通信装置及び無線通信方法、並びにコンピュータ・プログラム
CN101438256B (zh) * 2006-03-07 2011-12-21 索尼株式会社 信息处理设备、信息通信***、信息处理方法
EP1843542A1 (en) * 2006-04-04 2007-10-10 Alcatel Lucent Method for transferring messages comprising extensible markup language information
US7948977B2 (en) * 2006-05-05 2011-05-24 Broadcom Corporation Packet routing with payload analysis, encapsulation and service module vectoring
JP4948054B2 (ja) * 2006-06-16 2012-06-06 三菱電機株式会社 管理装置及び通信端末装置及び通信システム及び通信管理方法
CN101141241B (zh) * 2006-09-06 2010-08-18 华为技术有限公司 实现mac安全的方法以及网络设备
CN101155024A (zh) 2006-09-29 2008-04-02 湖南大学 分簇结构传感器网络的有效密钥管理方法及其运行方法
JP2008104040A (ja) * 2006-10-20 2008-05-01 Fujitsu Ltd 共通鍵生成装置および共通鍵生成方法
JP2008154103A (ja) * 2006-12-19 2008-07-03 Ricoh Co Ltd 通信中継装置
JP4081724B1 (ja) * 2006-12-27 2008-04-30 日本電気株式会社 クライアント端末、中継サーバ、通信システム、及び通信方法
JP2008259148A (ja) * 2007-03-30 2008-10-23 Shimousa Systems:Kk 中継器の負荷を最小限に抑えた高強度暗号通信方式
CN100594691C (zh) * 2007-10-09 2010-03-17 华中科技大学 Manet网络的数据传递加密方法
CN101594271B (zh) * 2008-05-27 2011-08-10 华为技术有限公司 无线自组织网络组建和工作方法以及相关网络和设备
US10264029B2 (en) * 2009-10-30 2019-04-16 Time Warner Cable Enterprises Llc Methods and apparatus for packetized content delivery over a content delivery network

Cited By (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013530642A (ja) * 2010-06-07 2013-07-25 西安西▲電▼捷通▲無▼▲線▼▲網▼▲絡▼通信股▲ふん▼有限公司 安全なアーキテクチャを構築する方法、秘密通信方法及びシステム
US8843748B2 (en) 2010-06-07 2014-09-23 China Iwncomm Co., Ltd. Method for establishing secure network architecture, method and system for secure communication
US8850190B2 (en) 2010-08-12 2014-09-30 China Iwncomm Co., Ltd. Secret communication method and system between neighboring user terminals, terminal, switching equipment
WO2012019466A1 (zh) * 2010-08-12 2012-02-16 西安西电捷通无线网络通信股份有限公司 邻居用户终端间保密通信方法、终端、交换设备及***
CN104145467A (zh) * 2012-03-07 2014-11-12 摩托罗拉移动有限责任公司 使用所需节点路径和加密签名的安全分组传输的策略
CN104145467B (zh) * 2012-03-07 2017-09-19 谷歌技术控股有限责任公司 使用所需节点路径和加密签名的安全分组传输的策略
US10055594B2 (en) 2012-06-07 2018-08-21 Amazon Technologies, Inc. Virtual service provider zones
US10834139B2 (en) 2012-06-07 2020-11-10 Amazon Technologies, Inc. Flexibly configurable data modification services
US10474829B2 (en) 2012-06-07 2019-11-12 Amazon Technologies, Inc. Virtual service provider zones
US10084818B1 (en) 2012-06-07 2018-09-25 Amazon Technologies, Inc. Flexibly configurable data modification services
US10075471B2 (en) 2012-06-07 2018-09-11 Amazon Technologies, Inc. Data loss prevention techniques
US10210341B2 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Delayed data access
US20140229739A1 (en) 2013-02-12 2014-08-14 Amazon Technologies, Inc. Delayed data access
US10075295B2 (en) 2013-02-12 2018-09-11 Amazon Technologies, Inc. Probabilistic key rotation
US11695555B2 (en) 2013-02-12 2023-07-04 Amazon Technologies, Inc. Federated key management
US10211977B1 (en) 2013-02-12 2019-02-19 Amazon Technologies, Inc. Secure management of information using a security module
US11372993B2 (en) 2013-02-12 2022-06-28 Amazon Technologies, Inc. Automatic key rotation
US11036869B2 (en) 2013-02-12 2021-06-15 Amazon Technologies, Inc. Data security with a security module
US10382200B2 (en) 2013-02-12 2019-08-13 Amazon Technologies, Inc. Probabilistic key rotation
US10404670B2 (en) 2013-02-12 2019-09-03 Amazon Technologies, Inc. Data security service
US10467422B1 (en) 2013-02-12 2019-11-05 Amazon Technologies, Inc. Automatic key rotation
US10666436B2 (en) 2013-02-12 2020-05-26 Amazon Technologies, Inc. Federated key management
CN105027130A (zh) * 2013-02-12 2015-11-04 亚马逊技术股份有限公司 延迟数据访问
US10601789B2 (en) 2013-06-13 2020-03-24 Amazon Technologies, Inc. Session negotiations
US10313312B2 (en) 2013-06-13 2019-06-04 Amazon Technologies, Inc. Key rotation techniques
US11470054B2 (en) 2013-06-13 2022-10-11 Amazon Technologies, Inc. Key rotation techniques
US11323479B2 (en) 2013-07-01 2022-05-03 Amazon Technologies, Inc. Data loss prevention techniques
US10721075B2 (en) 2014-05-21 2020-07-21 Amazon Technologies, Inc. Web of trust management in a distributed system
US10587405B2 (en) 2014-06-27 2020-03-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US9942036B2 (en) 2014-06-27 2018-04-10 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US11368300B2 (en) 2014-06-27 2022-06-21 Amazon Technologies, Inc. Supporting a fixed transaction rate with a variably-backed logical cryptographic key
US11626996B2 (en) 2014-09-15 2023-04-11 Amazon Technologies, Inc. Distributed system web of trust provisioning
CN105553951B (zh) * 2015-12-08 2019-11-08 腾讯科技(深圳)有限公司 数据传输方法和装置
CN105553951A (zh) * 2015-12-08 2016-05-04 腾讯科技(深圳)有限公司 数据传输方法和装置
CN107231211A (zh) * 2017-05-22 2017-10-03 四川长虹电器股份有限公司 应用于wdm业务疏导网络中的加密动态恢复方法

Also Published As

Publication number Publication date
WO2011072514A1 (zh) 2011-06-23
US20120278623A1 (en) 2012-11-01
JP2013514682A (ja) 2013-04-25
KR20120106830A (ko) 2012-09-26
CN101741547B (zh) 2012-05-23
EP2515469A1 (en) 2012-10-24
US8966257B2 (en) 2015-02-24
KR101485231B1 (ko) 2015-01-28
JP5507705B2 (ja) 2014-05-28
EP2515469A4 (en) 2017-08-02
EP2515469B1 (en) 2018-08-08

Similar Documents

Publication Publication Date Title
CN101741547B (zh) 节点间保密通信方法及***
CN1976317B (zh) 桥接加密vlan
KR101492179B1 (ko) 사용자 단말기들 사이의 보안 연결을 확립하기 위한 방법 및 시스템
CN101917272B (zh) 一种邻居用户终端间保密通信方法及***
US7703132B2 (en) Bridged cryptographic VLAN
CN101854244B (zh) 一种三段式安全网络架构建立和保密通信方法及其***
CN102130768A (zh) 一种具有链路层加解密能力的终端设备及其数据处理方法
CN111277404B (zh) 一种用于实现量子通信服务区块链的方法
US6487657B1 (en) Data communication network
CN111342952B (zh) 一种安全高效的量子密钥服务方法与***
CN101841413B (zh) 一种端到端安全连接的建立方法及***
CN101741548B (zh) 交换设备间安全连接的建立方法及***
CN104883372A (zh) 一种基于无线自组织网的防欺骗和抗攻击的数据传输方法
Geng et al. A software defined networking-oriented security scheme for vehicle networks
CN101854306B (zh) 一种交换路由探寻方法及***
CN101834722B (zh) 一种加密设备和非加密设备混合组网的通信方法
CN101814987B (zh) 一种节点间密钥的建立方法及***
CN101834862A (zh) 一种节点间安全连接建立方法及***
CN109861974A (zh) 一种数据加密传输装置及方法
CN101964802B (zh) 集中式安全连接建立***及方法
RU2253948C1 (ru) Способ передачи сообщений с обеспечением конфиденциальности идентификационных признаков взаимодействующих объектов в сети связи
CN101917336B (zh) 数据链路层安全通信中交换路由探寻方法
CN116232570A (zh) 保护数据流转安全的方法以及数据管理***
You Study on key distribution scheme for wireless sensor networks
Sin et al. LOCATION BASED KEY MANAGEMENT FOR SECURE COMMUNICATION IN VEHICULAR AD HOC NETEORKS WITH END-TO-END AUTHENTICATION

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant