CN107735788B - 自动供应设备以访问帐户 - Google Patents
自动供应设备以访问帐户 Download PDFInfo
- Publication number
- CN107735788B CN107735788B CN201680033697.XA CN201680033697A CN107735788B CN 107735788 B CN107735788 B CN 107735788B CN 201680033697 A CN201680033697 A CN 201680033697A CN 107735788 B CN107735788 B CN 107735788B
- Authority
- CN
- China
- Prior art keywords
- account
- bootstrap
- target device
- vouching
- account provider
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Databases & Information Systems (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
提供了一种用于设备的自举供应的系统。单证设备被供应以访问自举帐户提供者的自举帐户以及辅助帐户提供者的辅助帐户。自举帐户提供者存储辅助帐户的指示,并且辅助帐户提供者存储验证数据以验证单证设备的证书。目标设备被供应以访问自举帐户提供者的自举帐户。目标设备从自举帐户提供者接收向目标设备供应了辅助帐户提供者的指示。目标设备引导由单证设备对目标设备的目标认证数据的证书的生成。目标设备随后将该证书发送给辅助帐户提供者以实现目标设备的供应以访问辅助帐户。
Description
背景
用户可以使用设备(例如桌面计算机、膝上计算机和智能电话)来访问由各种帐户提供者所提供的许多不同的在线帐户。这些帐户可以包括电子邮件帐户、金融帐户、社交帐户、业务帐户、电子商务帐户等等。因为在这些帐户中存储的信息可能是敏感的(例如银行账号),帐户提供者通常要求严格的认证过程(例如多因子认证)以便设备可以访问帐户。例如,为了访问金融机构的金融帐户,用户可以访问金融机构的网页并提供账号。作为认证过程的第一因子,网页可以询问用户一个问题,用户将很可能知道该问题的答案,但其他人不太可能知道答案,例如“What is your mother's maiden name?(您母亲的娘家姓是什么?)”或“In what year did you open this account?(你是在哪一年开通这个帐户的?)”。作为认证过程的第二因子,金融机构可以将具有安全码的消息发送给与该用户相关联的另一个设备(例如智能电话)或另一个帐户(例如电子邮件帐户),并且网页可以提示用户输入该安全码。如果针对问题的答案正确并且输入的安全码匹配所发送的安全码,则用户被认证。
在用户已经被认证之后,帐户提供者可以要求用户提供用户名和密码以供登录帐户。为了使用该设备登录到帐户,帐户提供者可以再次要求多因子认证。例如,用户可以被要求输入用户名、密码以及被发送给用户的另一个设备的新的安全码。尽管使用多因子认证过程来登录帐户提供了高安全性等级,但许多用户由于各种原因发觉这样的过程是麻烦的。例如,用户可能不具有对安全码所发送到的其他设备的立刻访问。
为了使得登录过程更容易,帐户提供者可以供应设备,使得帐户提供者可以检测到用户通过其登录到帐户的设备先前已经被该用户用于访问该帐户。用于供应设备的常用技术是存储由设备上的帐户提供者所提供的持久cookie。当用户后续使用该设备登录时,该cookie被提供给帐户提供者以标识该设备。
用于供应的更安全的技术可以使用非对称密钥技术作为一个因子。许多设备包括安全密码处理器,其可以是设备的中央处理单元的一个组件。(参见ISO/IEC 11889以及受信计算组织的受信平台模块。)设备的这样的安全密码处理器可以生成公钥/私钥对并将私钥安全地存储在安全密码处理器内。随后,安全密码处理器可以使用私钥来加密数据。公钥,其在密码处理器之外可用,随后可以被用于解密经加密的数据。如果经解密的数据与期望的数据匹配,则公钥的持有者知道数据源自该设备,因为它是使用仅对该设备知晓的私钥来加密的。
一旦帐户提供者具有设备的公钥,该设备被认为是被供应给帐户。当使用该设备登录时,用户可以被提示输入用户名和密码。随后,帐户提供者可以向该设备发送一个安全码(即质询)。该设备的软件组件(例如网页的脚本)可以请求安全密码处理器用密钥加密安全码并可以将经加密的安全码发送给帐户提供者。帐户提供者随后用公钥解密经加密的数据。如果经解密的数据匹配安全码,那么帐户提供者知道安全码由供应的设备加密。
用户可以具有许多设备,通过这些设备用户可能想要访问各种帐户。用户可以具有智能电话、平板、个人膝上计算机、工作膝上计算机、个人桌面计算机以及工作桌面计算机。用户可能想要从每个设备访问许多电子邮件帐户、社交和业务联网帐户、电子商务帐户、金融帐户等等。为了供应每个设备以访问每个帐户,用户可能被要求针对设备和帐户的每个组合都执行多因子认证。
概述
提供了一种供应目标设备以访问帐户提供者的帐户的系统。帐户提供者存储已经被供应以访问帐户的单证设备(vouching device)的验证数据。目标设备使用证明数据引导目标设备的目标认证数据的证书的生成。所述证书指示单证设备证明了目标设备被授权访问帐户,并且证书是可由帐户提供者使用验证数据来验证的。为了供应目标设备以访问帐户,目标设备将证书发送给帐户提供者,使得帐户提供者使用验证数据来验证证书、将目标设备与帐户相关联,以及使用目标认证数据来认证目标设备被授权访问帐户。
提供本概述是为了以精简的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
附图简述
图1是示出在一些示例中的配置用于自动供应以及基于由单证设备所提供的验证数据来自动供应目标设备的交互示图。
图2是示出在一些示例中的配置用于自动供应以及基于由辅助帐户提供者所提供的证明数据来自动供应目标设备的交互示图。
图3提供了示出在一些示例中的单证设备和目标设备的处理的流程图。
图4是示出在一些示例中的自举(bootstrap)帐户提供者的处理的流程图。
图5是示出在一些示例中的辅助帐户提供者的处理的流程图。
图6是示出在一些示例中的自举供应系统的组件的框图。
图7是示出在一些示例中的单证设备的配置自动供应组件的处理的流程图。
图8是示出在一些示例中的单证设备的生成证书组件的处理的流程图。
图9是示出在一些示例中的自举帐户提供者系统的供应设备组件的处理的流程图。
图10是示出在一些示例中的自举帐户提供者系统的记录辅助帐户组件的处理的流程图。
图11是示出在一些示例中的自举帐户提供者系统的过程证明请求组件的处理的流程图。
图12是示出在一些示例中的辅助帐户提供者系统的供应设备组件的处理的流程图。
图13是示出在一些示例中的辅助帐户提供者系统的自动供应设备组件的处理的流程图。
图14是示出在一些示例中的目标设备的供应帐户组件的处理的流程图。
图15是示出在一些示例中的目标设备的登录组件的处理的流程图。
详细描述
自举供应系统被提供用于基于已经被供应给帐户的另一个设备证实其他设备被用户授权访问该帐户来自动供应用户的设备以访问帐户。自动供应可以在设备的初始设置期间(例如作为“即时可用(out-of-the-box)体验”的部分)被执行或稍后被执行。在一些示例中,自举供应系统配置自举帐户提供者的自举帐户以启动基于单证设备的证书的用户的设备自动供应。为了配置自举帐户("BA"),用户的单证设备("VD")与自举帐户提供者("BAP")(例如电子邮件帐户)的自举帐户相关联并与辅助供应提供者("SAP")(例如金融机构)的辅助帐户("SA")相关联。例如,单证设备可以被供应以使用多因子认证访问帐户。单证设备生成认证数据和证明数据(例如公钥/私钥对或对称密钥)并将验证数据(例如公钥或对称密钥)提供给辅助帐户提供者,该辅助帐户提供者将使用验证数据来验证单证设备使用证明数据(例如私钥或对称密钥)做出的证书。单证设备随后通知辅助帐户的自举帐户提供者以启动用户的其他设备到辅助帐户的自动供应。
一旦被配置,自举供应系统允许用户的目标设备("TD")自动供应给辅助帐户。在一些示例中,目标设备与自举帐户相关联。例如,目标设备可以被供应以使用多因子认证访问自举帐户。自举帐户提供者通知目标设备自动供应给辅助帐户被启动。目标设备生成认证数据(例如公钥/密钥对的公钥或对称密钥)并发送给自举帐户提供者一个证明认证数据的请求。自举帐户提供者将该请求发送给单证设备。单证设备使用证明数据(例如通过使用与被发送给辅助帐户提供者的公钥配对的私钥加密或使用被发送给辅助帐户提供者的对称密钥)来证明认证数据,并将认证数据的证书返回给自举帐户提供者。自举帐户提供者随后将证书转发给目标设备,该目标设备将该证书转发给辅助帐户提供者。辅助帐户提供者使用由单证设备提供的验证数据来验证证书以完成目标设备的供应。通过单证设备的证明指示自举帐户提供者已经认证了目标设备被授权访问辅助帐户并且认证数据可以被用于认证该目标设备。
图1是示出在一些示例中的配置用于自动供应以及基于由单证设备所提供的验证数据自动供应目标设备的交互示图。交互101-104表示用于自动供应的配置。在交互101中,单证设备120被供应以访问自举帐户提供者130的自举帐户。在交互102中,单证设备还被供应以访问辅助帐户提供者140的辅助帐户。例如,使用多因子认证,单证设备可以被供应以访问自举帐户和辅助帐户提供者。
单证设备生成了公钥/私钥对并且在交互103中,将公钥转发给辅助帐户提供者。辅助帐户提供者将与单证设备相关联的公钥存储作为用于由单证设备验证证书的验证数据。在交互104中,单证设备向自举帐户提供者发送辅助帐户提供者的标识符。尽管并未示出,但辅助帐户提供者也可以向单证设备提供供应数据(例如使用辅助帐户提供者的私钥的经加密数据),该供应数据要被提供给将要被自动供应以访问辅助帐户的设备。供应数据可以,例如,编码关于设备如何与辅助帐户提供者交互以自动供应该设备的指令。供应数据可以是被执行以控制自动供应的程序。单证设备随后可以将供应数据提供给自举帐户提供者。为了启动对另一个辅助帐户提供者的自动供应,单证设备被供应并提供公钥给其他辅助帐户提供者并向自举帐户提供者通知该其他辅助帐户提供者。自举帐户提供者存储辅助帐户提供者的指示以及与自举帐户相关联的供应数据(如果有的话)。交互101-104发生的顺序可以变化。例如,交互101可以在交互102之后或在交互103之后发生。
交互105-112表示目标设备150自动供应给辅助帐户。在交互105中,目标设备被供应以访问自举帐户。目标设备可以被供应以在完成针对自动供应的配置之前访问自举帐户。在交互106中,自举帐户提供者将辅助帐户的标识符和/或供应数据提供给目标设备。目标设备生成公钥/私钥对用于向辅助帐户提供者认证目标设备。目标设备可以为每个不同的辅助帐户提供者生成不同的公钥/私钥对。在交互107中,目标设备向自举帐户提供者发送请求以使得单证设备证明所述公钥。通过单证设备的证明指示目标设备被授权访问辅助帐户。在交互108中,自举帐户提供者将该证明请求转发给单证设备。如果单证设备当前没有登录到自举帐户,则自举帐户提供者可以将证明请求排队以供稍后发送或可以将证明请求通过文本消息或电子邮件发送给单证设备。当单证设备接收到证明请求时,它知道请求来自被授权访问辅助帐户的设备,因为它是由将完成认证目标设备的自举帐户提供者发送的。通过用单证设备的私钥签名公钥(例如公钥,单证设备生成证书并且在交互109中,发送证书给自举帐户提供者。在交互110中,自举帐户提供者将该证书转发给目标设备。在交互111中,目标设备将该证书转发给辅助帐户提供者。辅助帐户提供者使用在交互103中所提供的单证设备的公钥来验证签名(例如解密公钥)。在交互112中,辅助帐户提供者可以通知目标设备供应完成。辅助帐户提供者也可以发送质询给目标设备以用目标设备的私钥进行加密并被发送回辅助帐户提供者。辅助帐户提供者随后可以解密经加密的质询以验证目标设备的供应。
当目标设备被自动供应时,目标设备可以被允许自动登录到辅助帐户。例如,当目标设备被启动时,目标设备的操作系统可以从用户接收认证信息(例如用户名和密码或生物测定)以登录。操作系统可以将认证信息与本地存储的经加密的认证进行比较以认证用户。或者,操作系统可以向自举帐户提供者提供认证信息以通过自动登录到自举帐户来认证用户。在该用户被认证之后,通过发送登录请求,目标设备可以自动登录到辅助帐户、接收质询、用辅助帐户提供者的私钥加密质询,并将经加密的质询发送给辅助帐户提供者。辅助帐户提供者随后可以使用在自动供应期间所提供的公钥来解密该质询以完成认证。
图2是示出在一些示例中的配置用于自动供应以及基于由辅助帐户提供者所提供的证明数据自动供应目标设备的交互示图。交互201-205表示用于自动供应的配置。在交互201中,单证设备220被供应以访问自举帐户提供者230的自举帐户。在交互202中,单证设备还被供应以访问辅助帐户提供者240的辅助帐户。使用,例如,多因子认证,单证设备可以被供应以访问自举帐户和辅助帐户提供者。单证设备生成了公钥/私钥对,并且在交互203中,将公钥转发给辅助帐户提供者。辅助帐户提供者生成了自举密钥("Bx"),并且在交互204中,将自举密钥转发给单证设备。自举密钥可以是被用作用于证明目标设备250的公钥的证明数据的对称密钥或公钥/私钥对中的公钥。在交互205中,单证设备向自举帐户提供者发送辅助帐户提供者的标识符以及自举密钥。自举帐户提供者存储辅助帐户提供者的指示、自举密钥、以及与自举帐户相关联的其他供应数据(如果有的话)。交互201-205发生的顺序可以变化。例如,交互201可以在交互202之后或在交互203或204之后发生。
交互206-210表示目标设备的自动供应给辅助帐户。在交互206中,目标设备被供应以访问自举帐户。目标设备可以被供应以在完成针对自动供应的配置之前访问自举帐户。在交互207中,自举帐户提供者向目标设备提供标识符、自举密钥、以及辅助帐户的任何其他供应数据。目标设备生成公钥/私钥对,用于向辅助帐户提供者认证目标设备。目标设备可以为每个不同的辅助帐户提供者生成不同的公钥/私钥对。目标设备用自举密钥加密公钥,以作为通过单证设备的证书并且在交互208中将经加密的公钥发送给辅助帐户提供者。辅助帐户提供者使用验证数据(例如自举密钥的私钥或对称密钥)来解密经加密的公钥。在交互209中,辅助帐户提供者可以通知目标设备自举完成。由于单证设备将自举密钥提供给自举帐户提供者以供存储,在自动供应期间目标设备可以在不与单证设备交互的情况下被自动供应。
图3提供了示出在一些示例中的单证设备和目标设备的处理的流程图。单证设备的分支310对自动供应给目标设备的辅助帐户配置进行协调并在自动供应期间提供目标设备的证书。目标设备的分支320对目标设备到辅助帐户的自动供应进行协调。在框311,单证设备将单证设备的供应与自举帐户提供者的自举帐户进行协调。在框312,单证设备协调单证设备的供应以访问辅助帐户提供者的辅助帐户。在框313,单证设备通知自举帐户提供者辅助帐户被启用或被配置用于自动供应。在框321,目标设备协调目标设备的供应以访问自举帐户。自举帐户的标识可以已经由目标设备的用户提供。在框322,目标设备从自举帐户提供者接收辅助帐户的指示。在框323,通过发送证明请求给自举帐户提供者,目标设备引导该目标设备的认证数据(例如公钥)的证书生成。在框314,单证设备从自举帐户提供者接收证明请求、使用辅助帐户提供者的证明数据(例如私钥)生成证书,并将证书发送给自举帐户提供者以供转发给目标设备。在框324,目标设备接收证书并将该证书转发给辅助帐户提供者以完成目标设备的自动供应。
图4是示出在一些示例中的自举帐户提供者的处理的流程图。自举帐户提供者的分支400协调自动供应配置和目标设备的证明。在框401,例如在供应单证设备以访问自举帐户的同时,分支将单证设备与自举帐户关联。在框402,分支接收辅助帐户的通知,其中单证设备被供应给该辅助帐户并且针对该辅助帐户自动供应要被启用。在框403,分支认证目标设备。在框404中,分支将经认证的目标设备与自举帐户关联。在框405中,分支通知目标设备自动供应辅助帐户。该通知可以在目标设备被供应以访问自举帐户时提供或稍后再提供。例如,在目标设备被供应以访问自举帐户之后的某个时刻,单证设备可以被供应以访问辅助帐户。在框406,分支从目标设备接收证明请求并将其转发给单证设备。在框407中,分支从单证设备接收证书并将其转发给目标设备并随后完成。
图5是示出在一些示例中的辅助帐户提供者的处理的流程图。辅助帐户提供者的分支500将单证设备的供应与目标设备的自动供应进行协调。在框501,分支将单证设备供应给辅助帐户,并存储由单证设备所提供的验证数据(例如公钥)。在框502,分支从目标设备接收辅助帐户的指示以及目标设备的认证数据的证书。例如,认证数据可以是目标设备的公钥,该公钥通过单证设备的私钥被证明。在框503,分支检索辅助帐户的验证数据。在框504,分支(例如使用单证设备的公钥)验证证书。在判定框505,如果已经验证了证书,则该分支在框506继续,否则该分支完成。在框506中,分支将认证数据与辅助帐户关联,使得目标设备被供应以访问辅助帐户。分支随后完成。
图6是示出在一些示例中的自举供应系统的组件的框图。自举供应系统可以包括单证设备610、目标设备620、自举帐户提供者系统630以及一个或多个辅助帐户提供者系统640的各组分。单证设备、目标设备、自举帐户提供者系统以及辅助帐户提供者系统可以通过诸如因特网、蜂窝网络等通信网络650而互连。
单证设备包括配置自动供应组件、生成证书组件612以及安全存储613。配置自动供应组件控制自举帐户的配置以自动供应目标设备来访问辅助帐户。生成证书组件证明目标设备要被自动供应以访问辅助帐户的请求。安全存储安全地存储单证设备的验证、证书以及认证数据,例如私钥和对称密钥。安全存储可以被实现为单证设备的安全密码处理器的部分。
目标设备包括供应帐户组件621、登录组件622、以及安全存储623。供应帐户组件控制目标设备到自举帐户的供应以及目标设备到辅助帐户的供应。登录组件控制目标设备对帐户的登录。安全存储安全地存储目标设备的认证数据,例如私钥和对称密钥。安全存储可以被实现为目标设备的安全密码处理器的部分。
自举帐户提供者系统包括供应设备组件631、记录辅助帐户组件632、过程证明请求组件633以及帐户存储634。供应设备组件将设备供应给自举帐户并提供用于自动供应的辅助帐户信息。
记录辅助帐户组件接收用于自动供应的辅助帐户的指示。过程证明请求组件在自动供应期间处理从目标设备接收的证明请求。账号存储组件存储自举帐户的信息,包括所供应的设备的公钥、密码、要被自动供应的辅助帐户等等。
辅助帐户提供者系统包括供应设备组件641、自动供应设备组件642、以及帐户存储643。供应设备组件将设备供应给自举帐户。自动供应设备组件控制目标设备自动供应给辅助帐户。账号存储储存辅助帐户的信息,包括所供应的设备的公钥、密码等等。
其上可实现设备的自举供应系统和帐户提供者系统的计算系统可包括中央处理单元、输入设备、输出设备(例如,显示设备和扬声器)、存储设备(例如,存储器和盘驱动器)、网络接口、图形处理单元、加速度计、蜂窝无线电链路接口、全球定位系统设备等等。输入设备可包括键盘、定点设备、触摸屏、手势识别设备(例如,针对空中手势)、头部和眼睛跟踪设备、用于声音识别的话筒等等。计算系统可以包括桌面计算机、膝上计算机、平板、电子书、个人数字助理、智能电话、游戏设备、服务器等等。帐户提供者的计算系统可以包括数据中心的服务器,大规模并行系统等等。计算系统可以访问包括计算机可读存储介质和数据传输介质的计算机可读介质。计算机可读存储介质是不包括储存库、传播信号的有形存储装置。计算机可读存储介质的示例包括诸如主存储器、高速缓存存储器、以及辅助存储器(例如,DVD)之类的存储器,以及其它存储。计算机可读存储介质可在其上记录有实现自举供应系统的计算机可执行指令或逻辑或可以通过所述计算机可执行指令或逻辑被编码。数据传输介质是用于通过暂时的、传播的信号或载波(例如,电磁)经由有线或无线连接传送数据。计算系统可以包括作为中央处理单元的部分,用于生成并安全地存储密钥并使用该密钥加密并解密数据的安全密码处理器。
该自举供应系统可以在诸如程序模块和组件之类的由一个或多个计算机、处理器、或其他设备执行的计算机可执行指令的通用上下文中描述。一般而言,程序模块或组件包括执行特定任务或实现特定数据类型的例程、程序、对象、数据结构等等。通常,程序模块的功能可在各个示例中按需进行组合或分布。自举供应系统的各方面可例如使用应用专用集成电路(ASIC)以硬件来实现。”
图7是示出在一些示例中的单证设备的配置自动供应组件的处理的流程图。分支700控制单证设备的供应以访问自举帐户和辅助帐户,并且通知自举帐户提供者启动辅助帐户的自动供应。在框701,分支对供应单证设备以访问自举帐户进行控制。在框702,分支生成用于在证书中使用的公钥/私钥对。在框703,分支控制供应单证设备以访问辅助帐户提供者的辅助帐户。在框704,分支将公钥发送给辅助帐户提供者以用于由单证设备验证证书。在框705,分支通知自举帐户提供者辅助帐户被配置用于自动供应。分支随后完成。
图8是示出在一些示例中的单证设备的生成证书组件的处理的流程图。分支800证明来自目标设备的访问辅助帐户的请求。在框801中,分支从自举帐户提供者处接收证明请求以证明目标设备的认证数据(例如公钥)。在框802,分支证明认证数据(例如用单证设备的私钥加密)。在框803,分支将认证数据的证书发送给自举帐户提供者并随后完成。
图9是示出在一些示例中的自举帐户提供者系统的供应设备组件的处理的流程图。如果针对辅助帐户启用了自动供应,则分支900供应设备并发送辅助帐户的通知。在框901,分支认证设备。在框902中,分支将设备与自举帐户关联。在判定框903中,如果辅助帐户的自动供应被启用,那么在框904处继续分支,否则该分支完成。在框904,分支将任何辅助帐户的通知发送给设备并随后完成。
图10是示出在一些示例中的自举帐户提供者的记录辅助帐户组件的处理的流程图。分支1000记录与自举帐户相关联的辅助帐户使得自动供应被启用的指示。在框1001中,分支从单证设备接收辅助帐户的通知。在框1002,分支将辅助帐户与单证设备的自举帐户关联,并随后完成。
图11是示出在一些示例中的自举帐户提供者系统的过程证明请求组件的处理的流程图。分支1100接收并转发证明请求以及接收并转发证书。在框1101,分支从目标设备接收证明请求,该目标设备已经被供应给自举帐户。在框1102中,分支将证明请求发送给与自举帐户相关联的单证设备。在框1103,分支从单证设备接收证书。在框1104,分支将证书发送给目标设备并随后完成。
图12是示出在一些示例中的辅助帐户提供者系统的供应设备组件的处理的流程图。分支1200控制设备到辅助帐户的手动供应。在框1201,分支认证设备。在框1202,分支接收设备的公钥。在框1203,通过将公钥存储在辅助帐户提供者系统的帐户存储中,分支将公钥与辅助帐户相关联。分支随后完成。
图13是示出在一些示例中的辅助帐户提供者系统的自动供应设备组件的处理的流程图。分支1300控制目标设备的自动供应以访问辅助帐户。在框1301,分支接收与自举帐户相关联的单证设备的公钥并将该公钥存储在帐户存储中作为启动辅助帐户的自动供应的部分。在框1302中,分支从目标设备接收辅助帐户的标识符。在框1303,分支接收目标设备的认证数据(例如公钥)的证书。在框1304,分支检索单证设备的公钥。在框1305,分支使用单证设备的公钥验证证书。在判定框1306,如果该证书已经被验证,则该分支在框1307继续,否则该分支完成。在框1307,分支将目标设备的公钥与辅助帐户关联,并随后完成。
图14是示出在一些示例中的目标设备的供应帐户组件的处理的流程图。分支1400控制目标设备到一个或多个辅助帐户的自动供应。在框1401,分支对目标设备到自举帐户提供者的自举帐户的供应进行控制。在框1402,分支接收通知以将供应目标设备以访问辅助帐户。在框1403,分支生成公钥/私钥对。在框1404,分支向自举帐户提供者发送证明请求以证明公钥。在框1405,分支从自举帐户提供者接收公钥的证书。在框1406,分支将公钥的证书发送给辅助帐户提供者作为单证设备审核了目标设备的证据。分支随后完成。
图15是示出在一些示例中的目标设备的登录组件的处理的流程图。分支1500控制目标设备对辅助帐户的登录,目标设备已经被自动供应以访问该辅助帐户。在框1501,目标设备的操作系统认证用户。在框1502,分支用目标设备的私钥证明登录请求。在框1503,分支将经证明的登录请求发送给辅助帐户提供者。辅助帐户提供者使用目标设备的公钥来验证登录请求。在框1504,该分支接收登录确认并随后完成。
下面的章节描述了自举供应系统的各方面的各种示例。自举供应系统的一个实现可以使用所述示例的任意组合。
目标设备
在一些示例中,提供了具有用于供应目标设备以访问帐户提供者的帐户的系统的目标设备。单证设备已经被供应以访问帐户,并且帐户提供者具有单证设备的验证数据。目标设备包括存储指令的存储。所述指令使用证明数据引导目标设备的目标认证数据的证书的生成。所述证书指示单证设备证明了目标设备被授权访问帐户,并且证书是可由帐户提供者使用验证数据来验证的。所述指令还供应目标设备以访问帐户。供应包括发送证书给帐户提供者,以便帐户提供者可以使用验证数据来验证该证书、将目标设备与该帐户关联,并使用目标认证数据认证该目标设备被授权访问帐户。目标设备还包括用于执行在存储中存储的指令的处理器。在一些示例中,引导证书的生成的指令包括对于发送单证设备证明目标认证数据的请求并接收包括目标认证数据的证书的响应的指令。在一些示例中,证书数据由帐户提供者提供给单证设备。在一些示例中,证明数据是私钥,并且验证数据是证明公钥/私钥对的公钥。在一些示例中,证明公钥/私钥对由单证设备生成并可以由单证设备的安全密码处理器生成。在一些示例中,通过帐户提供者证明数据被提供给单证设备,并且所述指令还包括接收被提供给单证设备的证明数据的指令并且引导证书的生成的指令通过所接收的证明数据证明目标认证数据。在一些示例中,所述指令还包括供应目标设备以访问自举帐户提供者的自举帐户的指令。单证设备已经被供应以访问自举帐户,并且供应目标设备以访问自举帐户使用多因子认证,在其中多因子认证的一个因子是基于被提供给已经与自举帐户相关联的设备的认证数据,并且所述指令还包括响应于接收到来自自举帐户提供者的单证设备被供应以访问帐户提供者的帐户的指示引导证书的生成的指令。
自举帐户提供者系统
在一些示例中,提供了存储了用于自举帐户提供者的计算机可执行指令的计算机可读存储介质。所述计算机可执行指令包括将自举帐户与单证设备相关联并接收单证设备与辅助帐户提供者的辅助帐户相关联的通知的指令。所述指令还响应于接收到目标设备访问自举帐户的请求执行多因子认证以认证该目标设备被授权访问自举帐户,将自举帐户与目标设备相关联,以及向目标设备提供目标设备要被供应以使用单证设备的证书来访问辅助帐户的指示,该证书指示了该目标设备被授权访问辅助帐户并且辅助帐户提供者可以使用与辅助帐户相关联的验证数据来验证该证书。在一些示例中,执行多因子认证的指令进一步将认证代码发送给与自举帐户相关联的设备,这样,认证代码可以被提供给目标设备并由目标设备发送给自举帐户提供者。在一些示例中,所述通知包括由辅助帐户提供者提供给单证设备的供应数据,并且所述指示包括供应数据。在一些示例中,证书由辅助帐户提供者提供给单证设备的证书数据来证明。在一些示例中,使用是私钥的证明数据证明证书,并且其中验证数据是证明公钥/密钥对的公钥且证明公钥/密钥对可以由单证设备来生成。
单证设备和目标设备
在一些示例中,提供了用于自举供应设备的方法。所述方法包括在单证设备的控制下,供应单证设备以访问自举帐户提供者的自举帐户,供应单证设备以访问辅助帐户提供者的辅助帐户,该辅助帐户提供者具有验证数据以验证单证设备的证书,以及通知自举帐户提供者单证设备已经被供应以访问辅助帐户提供者的辅助帐户。所述方法还包括在目标设备的控制下,使用多因子认证供应目标设备以访问自举帐户提供者的自举帐户,从自举帐户提供者接收向目标设备供应了辅助帐户提供者的指示,引导目标设备的目标认证数据的证书的生成,其中所述证书指示了单证设备证明目标设备被授权访问辅助帐户并且该证书可由辅助帐户提供者使用验证数据来验证,以及将该证书发送给辅助帐户提供者。在一些示例中,引导证书的生成包括发送对于单证设备证明目标认证数据的请求并接收包括目标认证数据的证书的响应。在一些示例中,所述请求被发送给自举帐户提供者以将其转发给单证设备。在一些示例中,该证书由单证设备使用由辅助帐户提供者提供给单证设备的证明数据来证明,并且证明数据可以是对称密钥,而验证数据是对称密钥。在一些示例中,证书由单证设备使用为私钥的证明数据来证明,并且验证数据是由单证设备生成的证明公钥/密钥对。
辅助帐户提供者系统
在一些示例中,提供了一种供应目标设备的系统。该系统包括存储计算机可执行指令的存储,所述指令接收帐户的指示和目标设备的认证数据的证书,检索与所标识的帐户相关联的验证数据,并且使用验证数据来验证认证数据的证书,并响应于证书的验证将目标设备的认证数据与该帐户相关联。所述系统还包括用于执行计算机可执行指令的处理器。
尽管用结构特征和/或动作专用的语言描述了本主题,但可以理解,所附权利要求书中定义的主题不必限于上述具体特征或动作。更确切而言,上述具体特征和动作是作为实现权利要求的示例形式公开的。因此,本发明只受所附权利要求限制。
Claims (22)
1.一种目标设备,具有供应所述目标设备以访问帐户提供者的帐户的系统、已经被供应以访问所述帐户的单证设备,所述帐户提供者具有所述单证设备的验证数据,所述帐户提供者为辅助帐户提供者,所述帐户为所述辅助帐户提供者的辅助帐户,并且所述单证设备与所述辅助帐户提供者的辅助帐户相关联,所述目标设备包括:
存储指令的存储设备,以:
使用证明数据引导所述目标设备的目标认证数据的证书的生成,所述证书指示了所述单证设备证明所述目标设备被授权访问所述帐户并且所述证书可由所述帐户提供者使用所述验证数据来验证;以及
供应所述目标设备以访问所述帐户,所述供应包括将所述证书发送给所述帐户提供者,使得所述帐户提供者可以使用所述验证数据来验证所述证书,将所述目标设备与所述帐户相关联,以及使用所述目标认证数据来认证所述目标设备被授权访问所述帐户;以及
用于执行存储在所述存储设备上的所述指令的处理器。
2.如权利要求1所述的目标设备,其特征在于,其中引导证书的生成的所述指令包括发送对于所述单证设备证明所述目标认证数据的请求并接收包括所述目标认证数据的所述证书的响应的指令。
3.如权利要求2所述的目标设备,其特征在于,其中所述证书数据是由所述帐户提供者提供给所述单证设备的。
4.如权利要求2所述的目标设备,其特征在于,其中所述证明数据是私钥,并且所述验证数据是证明公钥/私钥对的公钥。
5.如权利要求4所述的目标设备,其特征在于,其中所述证明公钥/私钥对是由所述单证设备生成的。
6.如权利要求5所述的目标设备,其特征在于,其中所述证明公钥/私钥对由所述单证设备的安全密码处理器生成。
7.如权利要求2所述的目标设备,其特征在于,其中所述证明数据通过所述帐户提供者来被提供给所述单证设备,并且还包括接收被提供给所述单证设备的所述证明数据的指令,并且其中引导所述证书的生成的指令用所接收的证明数据来证明所述目标认证数据。
8.如权利要求1所述的目标设备,其特征在于,还包括供应所述目标设备以访问自举帐户提供者的自举帐户的指令,所述单证设备已经被供应以访问所述自举帐户,其中供应所述目标设备以访问所述自举帐户使用多因子认证,其中所述多因子认证的一个因子是基于被提供给已经与所述自举帐户相关联的设备的认证数据,并且其中所述指令还包括响应于接收到来自所述自举帐户提供者的所述单证设备被供应以访问所述帐户提供者的所述帐户的指示来引导所述证书的生成的指令。
9.一种存储了用于自举帐户提供者的计算机可执行指令的计算机可读存储介质,所述计算机可执行指令包括下述指令:
将自举帐户与单证设备相关联;
接收所述单证设备与辅助帐户提供者的辅助帐户相关联的通知;以及
响应于接收到对于目标设备访问所述自举帐户的请求,执行多因子认证以认证该目标设备被授权访问所述自举帐户;
将所述自举帐户与所述目标设备相关联;以及
向所述目标设备提供所述目标设备要被供应以使用所述单证设备的证书来访问所述辅助帐户的指示,所述证书指示了所述目标设备被授权访问所述辅助帐户并且所述辅助帐户提供者可以使用与所述辅助帐户相关联的验证数据来验证所述证书。
10.如权利要求9所述的计算机可读存储介质,其中执行所述多因子认证的所述指令进一步将认证代码发送给与所述自举帐户相关联的设备,这样,所述认证代码能够被提供给所述目标设备并由所述目标设备发送给所述自举帐户提供者。
11.如权利要求9所述的计算机可读存储介质,其特征在于,所述通知包括由所述辅助帐户提供者提供给所述单证设备的供应数据,并且所述指示包括所述供应数据。
12.如权利要求9所述的计算机可读存储介质,其特征在于,其中所述证书使用由所述辅助帐户提供者提供给所述单证设备的证明数据来证明。
13.如权利要求9所述的计算机可读存储介质,其特征在于,其中使用是私钥的证明数据证明所述证书,并且其中所述验证数据是证明公钥/密钥对的公钥。
14.如权利要求13所述的计算机可读存储介质,其特征在于,所述证明公钥/密钥对是由所述单证设备生成的。
15.一种自举供应设备的方法,所述方法包括:在单证设备的控制下,
供应所述单证设备以访问自举帐户提供者的自举帐户;
供应所述单证设备以访问辅助帐户提供者的辅助帐户,其中所述辅助帐户提供者具有验证数据以验证所述单证设备的证书,通知所述自举帐户提供者所述单证设备已经被供应以访问所述辅助帐户提供者的所述辅助帐户;以及
在目标设备的控制下,
使用多因子认证来供应所述目标设备以访问所述自举帐户提供者的所述自举帐户;
从所述自举帐户提供者接收向所述目标设备供应了所述辅助帐户提供者的指示;
引导所述目标设备的目标认证数据的证书的生成,所述证书指示了所述单证设备证明所述目标设备被授权访问所述辅助帐户并且所述证书可由所述辅助帐户提供者使用所述验证数据来验证;以及
将所述证书发送给所述辅助帐户提供者。
16.如权利要求15所述的方法,其特征在于,引导所述证书的生成包括发送对于所述单证设备证明所述目标认证数据的请求并接收包括所述目标认证数据的所述证书的响应。
17.如权利要求16所述的方法,其特征在于,所述请求被发送给所述自举帐户提供者以将其转发给所述单证设备。
18.如权利要求16所述的方法,其特征在于,其中所述证书由所述单证设备使用由所述辅助帐户提供者提供给所述单证设备的证明数据来证明。
19.如权利要求18所述的方法,其特征在于,其中所述证明数据是对称密钥,并且所述验证数据是对称密钥。
20.如权利要求16所述的方法,其特征在于,其中所述证书由所述单证设备使用为私钥的证明数据来证明,并且其中所述验证数据是证明公钥/密钥对的公钥,且所述证明公钥/密钥对可以由所述单证设备来生成。
21.一种具有指令的计算机可读存储介质,当所述指令被执行时使得机器执行如权利要求15-20中任一权利要求所述的方法。
22.一种计算机系统,包括用于执行如权利要求15-20中任一权利要求所述的方法的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/733,777 US9614835B2 (en) | 2015-06-08 | 2015-06-08 | Automatic provisioning of a device to access an account |
US14/733,777 | 2015-06-08 | ||
PCT/US2016/035946 WO2016200710A1 (en) | 2015-06-08 | 2016-06-06 | Automatic provisioning of a device to access an account |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107735788A CN107735788A (zh) | 2018-02-23 |
CN107735788B true CN107735788B (zh) | 2021-06-29 |
Family
ID=56178467
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680033697.XA Active CN107735788B (zh) | 2015-06-08 | 2016-06-06 | 自动供应设备以访问帐户 |
Country Status (4)
Country | Link |
---|---|
US (1) | US9614835B2 (zh) |
EP (1) | EP3304390B1 (zh) |
CN (1) | CN107735788B (zh) |
WO (1) | WO2016200710A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10771964B2 (en) * | 2018-11-28 | 2020-09-08 | Jpmorgan Chase Bank, N.A. | Systems and methods for providing encrypted storage within application sandbox |
CN111930846B (zh) * | 2020-09-15 | 2021-02-23 | 支付宝(杭州)信息技术有限公司 | 一种数据处理方法、装置及设备 |
US20220358235A1 (en) * | 2021-05-05 | 2022-11-10 | EMC IP Holding Company LLC | Access Control of Protected Data Using Storage System-Based Multi-Factor Authentication |
US11824972B2 (en) * | 2021-10-14 | 2023-11-21 | Motorola Solutions, Inc. | Method and system for onboarding client devices to a key management server |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102577301A (zh) * | 2009-09-14 | 2012-07-11 | 交互数字专利控股公司 | 用于可信认证和登录的方法和装置 |
CN103873454A (zh) * | 2012-12-18 | 2014-06-18 | 中国移动通信集团山东有限公司 | 一种认证方法及设备 |
Family Cites Families (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6510236B1 (en) | 1998-12-11 | 2003-01-21 | International Business Machines Corporation | Authentication framework for managing authentication requests from multiple authentication devices |
US7590859B2 (en) | 2001-08-24 | 2009-09-15 | Secure Computing Corporation | System and method for accomplishing two-factor user authentication using the internet |
CN100437551C (zh) | 2003-10-28 | 2008-11-26 | 联想(新加坡)私人有限公司 | 使多个用户设备自动登录的方法和设备 |
US7774824B2 (en) | 2004-06-09 | 2010-08-10 | Intel Corporation | Multifactor device authentication |
US7631325B2 (en) * | 2005-11-02 | 2009-12-08 | At&T Intellectual Property I, L.P. | System and method of authorizing a set top box device in an internet protocol television system |
US8245292B2 (en) | 2005-11-16 | 2012-08-14 | Broadcom Corporation | Multi-factor authentication using a smartcard |
US20070136573A1 (en) | 2005-12-05 | 2007-06-14 | Joseph Steinberg | System and method of using two or more multi-factor authentication mechanisms to authenticate online parties |
US8831189B2 (en) * | 2006-06-12 | 2014-09-09 | Microsoft Corporation | Device authentication techniques |
US8655939B2 (en) * | 2007-01-05 | 2014-02-18 | Digital Doors, Inc. | Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor |
US20080271122A1 (en) * | 2007-04-27 | 2008-10-30 | John Edward Nolan | Granulated hardware resource protection in an electronic system |
US20080320566A1 (en) * | 2007-06-25 | 2008-12-25 | Microsoft Corporation | Device provisioning and domain join emulation over non-secured networks |
US8776176B2 (en) | 2008-05-16 | 2014-07-08 | Oracle America, Inc. | Multi-factor password-authenticated key exchange |
CN101834834A (zh) | 2009-03-09 | 2010-09-15 | 华为软件技术有限公司 | 一种鉴权方法、装置及鉴权系统 |
US8509431B2 (en) * | 2010-09-20 | 2013-08-13 | Interdigital Patent Holdings, Inc. | Identity management on a wireless device |
WO2013003535A1 (en) * | 2011-06-28 | 2013-01-03 | Interdigital Patent Holdings, Inc. | Automated negotiation and selection of authentication protocols |
US8806599B2 (en) | 2012-06-11 | 2014-08-12 | Symantec Corporation | Systems and methods for implementing multi-factor authentication |
US9424432B2 (en) * | 2012-09-20 | 2016-08-23 | Nasdaq, Inc. | Systems and methods for secure and persistent retention of sensitive information |
US8904186B2 (en) | 2012-09-28 | 2014-12-02 | Intel Corporation | Multi-factor authentication process |
US9253185B2 (en) * | 2012-12-12 | 2016-02-02 | Nokia Technologies Oy | Cloud centric application trust validation |
US8955081B2 (en) | 2012-12-27 | 2015-02-10 | Motorola Solutions, Inc. | Method and apparatus for single sign-on collaboraton among mobile devices |
US8806205B2 (en) | 2012-12-27 | 2014-08-12 | Motorola Solutions, Inc. | Apparatus for and method of multi-factor authentication among collaborating communication devices |
EP2775417A1 (en) | 2013-03-04 | 2014-09-10 | MFA Informatik AG | Computer implemented multi-factor authentication |
US9397989B1 (en) * | 2013-07-03 | 2016-07-19 | Amazon Technologies, Inc. | Bootstrapping user authentication on devices |
US9705871B2 (en) * | 2013-12-13 | 2017-07-11 | T-Mobile U.S.A., Inc | Identity and access management |
-
2015
- 2015-06-08 US US14/733,777 patent/US9614835B2/en active Active
-
2016
- 2016-06-06 WO PCT/US2016/035946 patent/WO2016200710A1/en active Application Filing
- 2016-06-06 CN CN201680033697.XA patent/CN107735788B/zh active Active
- 2016-06-06 EP EP16731429.3A patent/EP3304390B1/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102577301A (zh) * | 2009-09-14 | 2012-07-11 | 交互数字专利控股公司 | 用于可信认证和登录的方法和装置 |
CN103873454A (zh) * | 2012-12-18 | 2014-06-18 | 中国移动通信集团山东有限公司 | 一种认证方法及设备 |
Also Published As
Publication number | Publication date |
---|---|
WO2016200710A1 (en) | 2016-12-15 |
US20160359844A1 (en) | 2016-12-08 |
EP3304390B1 (en) | 2020-10-21 |
EP3304390A1 (en) | 2018-04-11 |
CN107735788A (zh) | 2018-02-23 |
US9614835B2 (en) | 2017-04-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10904234B2 (en) | Systems and methods of device based customer authentication and authorization | |
US10348715B2 (en) | Computer-implemented systems and methods of device based, internet-centric, authentication | |
CN106664208B (zh) | 使用安全传输协议建立信任的系统和方法 | |
US10574648B2 (en) | Methods and systems for user authentication | |
US9838205B2 (en) | Network authentication method for secure electronic transactions | |
US9231925B1 (en) | Network authentication method for secure electronic transactions | |
US20170244676A1 (en) | Method and system for authentication | |
US10523441B2 (en) | Authentication of access request of a device and protecting confidential information | |
EP3138265B1 (en) | Enhanced security for registration of authentication devices | |
CN106575281B (zh) | 用于实施托管的验证服务的系统和方法 | |
US8935777B2 (en) | Login using QR code | |
US9094212B2 (en) | Multi-server authentication token data exchange | |
US20200280550A1 (en) | System and method for endorsing a new authenticator | |
US11044085B2 (en) | Method employed in user authentication system and information processing apparatus included in user authentication system | |
WO2019226115A1 (en) | Method and apparatus for user authentication | |
CN107735788B (zh) | 自动供应设备以访问帐户 | |
US20230198751A1 (en) | Authentication and validation procedure for improved security in communications systems | |
US20230299958A1 (en) | Methods and systems for authenticating a candidate user of a first and as second electronic service | |
Kreshan | THREE-FACTOR AUTHENTICATION USING SMART PHONE |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |