CN109328444A - 保护设备和加密狗及其使用方法 - Google Patents
保护设备和加密狗及其使用方法 Download PDFInfo
- Publication number
- CN109328444A CN109328444A CN201780037586.0A CN201780037586A CN109328444A CN 109328444 A CN109328444 A CN 109328444A CN 201780037586 A CN201780037586 A CN 201780037586A CN 109328444 A CN109328444 A CN 109328444A
- Authority
- CN
- China
- Prior art keywords
- softdog
- public key
- equipment
- signature
- main equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3234—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving additional secure or trusted devices, e.g. TPM, smartcard, USB or software token
-
- G—PHYSICS
- G09—EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
- G09C—CIPHERING OR DECIPHERING APPARATUS FOR CRYPTOGRAPHIC OR OTHER PURPOSES INVOLVING THE NEED FOR SECRECY
- G09C1/00—Apparatus or methods whereby a given sequence of signs, e.g. an intelligible text, is transformed into an unintelligible sequence of signs by transposing the signs or groups of signs or by replacing them by others according to a predetermined system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/006—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols involving public key infrastructure [PKI] trust models
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/14—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/50—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Lock And Its Accessories (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
一种用于暂停由保护设备(2)实现的对象(1)的物理保护的方法,其中主设备(10)接收第一公钥、第二公钥、第三公钥和结合第一公钥和第二公钥的签名的组合标识符,其中签名的组合标识符用第三私钥签名,该第三私钥与第三公钥密码地关联;主设备(10)请求在公共交易目录(12)内搜索与签名的组合标识符相关联的交易;主设备(10)使用签名的组合标识符的签名并使用第三公钥对至少第一公钥和第二公钥进行验证;主设备(10)使用第一公钥和加密狗(6)使用第二公钥验证保护设备(2),并且如果交易目录(12)的搜索产生至少一个交易以及第一和第二公钥,则向加密狗(6)发送解锁请求,保护设备(2)和加密狗(6)是真实的;并且加密狗(6)接收解锁请求,并且作为反应发送控制保护设备(2)的致动器(3)的解锁命令,以暂停受保护对象(1)的物理保护。
Description
技术领域
本发明涉及一种用于暂停由保护设备和用于物理保护对象的套件(即一组相关联的设备)实现的、对象的物理保护的方法。对象可以是产品或产品的包装或者通常是可以物理保护的任何物理项目或项目集合。特别地,该对象可以是安全的容器、门、汽车的起动器或处于特定位置的阀门。
背景技术
在交易产品时,供应商通常必须向潜在客户保证所提供的产品是真实的(例如源自某个生产者)并且合法地获得。对于昂贵和/或其他敏感产品尤其如此。因此,供应商通常会从他们信任的来源获得他们提供的产品并将其锁定在受保护的区域,例如,安全的。客户必须信任供应商采取适当措施以确保所提供产品的真实性和合法性。在实践中,客户通常会依赖特定供应商的声誉。只有在特殊情况下,客户才有额外的方法来验证手头产品的真实性和合法性。例如,可能是与原始生产商或验证第三方签发的所有权证书一起销售的产品的情况。证书本身可能包含防伪措施以确保安全并打击假证书。通过将产品与证书一起提供,供应商可以证明产品是真实的(因为证书是由声称的原始生产者签发的)并且合法获得(否则原始证书将不可用)。
发明内容
然而,如上所述的传统方法存在缺陷,因为客户通常无法验证所提供的产品和证书是否实际相关联。为了证明关联,产品通常标有序列号或类似的识别特征,其然后在证书中反映出来。但是可以再现序列号,从而削弱了建议的关联的可靠性和安全性。
本发明的一个目的是提供一种用于建立货物、产品和其他可物理保护的对象或物品的真实性和(合法)所有权的技术手段。
本发明通过开头所述类型的方法解决了该目的,包括以下步骤:
在保护设备和加密狗之间建立第一数据连接;
在主设备和加密狗之间建立第二数据连接;
在主设备和公共交易目录之间建立第三数据连接;
主设备经由第二数据连接接收至少第一公钥、第二公钥、第三公钥和结合至少第一公钥和第二公钥的签名的组合标识符,其中签名的组合标识符使用第三私钥被签名,该第三私钥与第三公钥密码地相关联;
主设备经由第三数据连接请求在公共交易目录内搜索与签名的组合标识符相关联的交易;
主设备使用签名的组合标识符的签名并使用第三公钥对至少第一公钥和第二公钥进行验证;
主设备使用第一公钥对保护设备进行验证;
主设备使用第二公钥验证加密狗;
如果交易目录的搜索产生至少一个交易并且第一公钥和第二公钥是可信的并且保护设备是可信的并且加密狗是可信的,则主设备经由第二数据连接向加密狗发送解锁请求;
加密狗接收解锁请求,并且作为响应,经由控制保护设备的致动器的第一数据连接发送解锁命令,以暂停受保护对象的物理保护。
当且仅当保护设备本身以及单独的加密狗被发现是真实的并且彼此相关联时,本方法暂停由保护设备实现的对象的物理保护。它使用加密相关的密钥或“密钥对”,这些密钥通常用于非对称密码术(公钥密码术)。公钥和私钥之间的密码关联由以下事实表示:使用公钥加密的消息(即信息)只能使用相应的相关私钥解密,反之亦然。与纸质证书不同,加密狗和保护设备之间的关联可以以加密方式建立和验证,使得对于所有实际目的而言,伪造关联是不可能的。此外,通过基于可信第三方的签名(例如,知名承销商或签字人)对从保护设备和加密狗接收的公钥进行验证来建立产品的真实性。相应地,未能验证保护设备和/或加密狗实际上类似于保护设备和加密狗的整体缺失。在这两种情况下,产品的真实性无法得到证实,并且可能不得不被拒绝。
签名的组合标识符用作由保护设备保护的产品与加密狗和可信第三方(以及可选地生产者和/或合同脚本)的关联的公共证书。因此,它发布在公共交易目录中,并在访问保护设备时查询。优选地,该目录充当一次写入存储器,意味着它被保护以防止修改和删除交易。然而,交易可能被后一“消耗”早期交易的交易所取代,其中后一交易仅在被消耗的早期交易授权的各方清除时才有效。通过在公共交易目录搜索与组合标识符相关联的交易,可以确定相应交易记录的关联是否已被有效的后续交易有效地撤销和/或替换,该有效的后续交易对应于(例如,与不同的加密狗的)新的关联。与传统的纸质证书相比,这具有进一步的优势,例如,丢失的证书可以以可追溯的方式重新建立。作为附加的安全措施,交易包含签名者产生的签名,除了交易目录本身提供的保护方案之外,该签名还可用于识别非法交易。
相应地和相同的优点,本发明用开头所述类型的套件解决了上述目的,包括:
保护设备,具有可控制的致动器,用于参与和解除对象的物理保护;以及
与保护设备相关的加密狗,
其中,保护设备包括内部存储器和用于建立到加密狗的第一数据连接的接口,其中保护设备的内部存储器至少存储第一私钥,
其中,加密狗包括内部存储器、用于建立到保护设备的第一数据连接的第一接口和用于建立到主设备的第二数据连接的第二接口,其中加密狗的内部存储器存储至少第二私钥、第三公钥和签名的组合标识符,
其中,签名的组合标识符结合至少第一公钥和第二公钥,所述第一公钥与所述第一私钥密码地相关联,所述第二公钥与所述第二私钥密码地相关联,并且
其中,签名的组合标识符用第三私钥签名,该第三私钥与第三公钥密码地相关联。
优选地,主设备使用签名的组合标识符的签名和使用第三公钥来验证至少第一公钥和第二公钥的步骤是:
主设备至少从第一公钥和第二公钥计算组合标识符;
主设备将计算出的组合标识符与签名的组合标识符进行比较;
主设备用第三公钥核实签名的组合标识符的签名;
如果两个比较的组合标识符匹配并且签名的核实成功,则主设备验证至少第一公钥和第二公钥。组合标识符的计算遵循预定算法,其结果是可再现的并且遵循固定格式。组合标识符的固定格式确保从任何可能的有效公钥组合计算的组合标识符可用于标识公共交易目录中的交易。因此,选择用于计算组合标识符的计算方法以对应于公共交易目录的形式要求。通过对组合标识符进行签名,控制第三私钥(即签名者或签字者)的一方证明了第一和第二公钥的真实性以及两者之间的合法关联,从而证明了保护设备(控制第一私钥)和加密狗(控制第二私钥)之间的合法关联。
为了确定给定的保护设备是否真实,可以核实它是否确实拥有和控制第一私钥。特别地,主设备验证保护设备的步骤可以如下:
主设备经由从主设备到加密狗的第二数据连接并从那里进一步经由到保护设备的第一数据连接向保护设备发送随机质询;
保护设备使用第一私钥对随机质询进行签名,该第一私钥与第一公钥密码地相关联并被存储在保护设备的内部存储器中;
保护设备经由到加密狗的第一数据连接并从那里经由到主设备的第二数据连接向主设备发送随机质询的签名;
主设备用第一公钥核实签名,并在核实成功时验证保护设备。由于随机质询的内容是事先未知的,因此只能在其生成后并且只有在随机质询的生成和对主设备的应答之间拥有第一私钥时,保护设备才能产生随机质询的有效签名。
类似地并且具有相同的优点,主设备验证加密狗的步骤可以如下:
主设备经由第二数据连接向加密狗发送随机质询;
加密狗使用第二私钥签名随机质询,第二私钥与第二公钥密码地相关联并存储在加密狗的内部存储器中;
加密狗经由第二数据连接将随机质询的签名发送给主设备;
主设备使用第二公钥核实签名,并在核实成功时验证加密狗。
在本发明的一个优选实施例中,加密狗还包括存储的合同脚本,该合同脚本可用于是保护的暂停依赖于附加的前提条件。为此,该方法可以包括步骤:加密狗接收解锁请求并且在反应中执行存储在加密狗的内部存储器中的合同脚本,其中合同脚本评估用于解锁保护设备的至少一个条件,其中加密狗仅当合同脚本成功执行并且合同脚本的至少一个条件得到满足时才发送解锁命令。合同脚本可以例如基于当前日期和时间来评估条件,例如,合同脚本中编码的某个预定义术语是否已失效。它还可以基于经由位置传感器(GPS设备或类似设备)获取的保护设备的当前位置来评估条件。
相应地,本套件的加密狗部分的内部存储器还可以存储如上定义的合同脚本。
优选地,为了提供保护设备与特定合同脚本的耦合,保护设备的内部存储器还可以存储用第二私钥签名的合同脚本的签名。
可选地或另外地,如果加密狗的内部存储器还存储用第一私钥签名的合同脚本的签名,则可以进一步确保加密狗和保护设备之间的相互关联。
避免重复使用保护设备可能是有用的,特别是当保护设备用于保证受保护对象的状况或内容时。在这种情况下,加密狗可以被配置为允许一次且仅一次成功验证,使得执行验证的一方可以确保受保护对象在被加密狗和保护设备证明的交易之后和当前验证之前的时间内没有被篡改。为了提供这些优点并且在一次性使用之后使加密狗和/或保护设备无用,本方法还可以包括在加密狗发送解锁命令之后使其内部存储器和/或保护设备的内部存储器无效或重置的步骤。
有利地,在本方法中,保护设备经由第一数据连接接收第二公钥和合同脚本的签名副本(优选地,如前所述存储在加密狗中的合同脚本),从保护设备的内部存储器加载合同脚本的存储的本地副本,使用第一私钥对本地副本进行签名,将合同脚本的结果自签名副本与合同脚本的接收的签名副本进行比较,并仅在比较的签名的合同脚本是相同的时暂停受保护对象的物理保护。通过以这种方式验证解锁请求,可以确保仅合法解锁请求实际上导致物理保护的暂停并且伪造的解锁请求被忽略。
如果保护设备和/或加密狗的内部存储器是防篡改存储器,则可以增加本方法的安全性。通过使用防篡改存储器,可以避免在保护设备和加密狗内存储的私钥的操作并且特别是提取。如果攻击者成功提取加密狗的私钥,他们原则上可以复制加密狗,从而成功伪造受保护对象或产品的所有权。
在本发明的特定实施例中,第一数据连接可以是有线数据连接,优选地使用I2C协议,和/或第二数据连接可以是无线数据连接,优选地是蓝牙连接。保护设备和加密狗之间的有线数据连接具有以下优点:与无线连接相比,它更容易实现,更便宜并且同时更可靠。此外,当仅通过有线连接等待输入时,保护设备消耗更少的能量。此外,在验证期间拦截有线连接更容易检测,从而提高了方法的安全性。由于加密狗没有连接到受保护的对象或货物,因此更容易充电,因此可以支持无线连接,以便与主设备进行更方便的交互,特别是当后者没有任何有线数据接口时(例如智能手机)。
公共交易目录最好是在线访问,即通过因特网访问。因此,可以通过因特网建立第三数据连接,以便访问最新的交易数据。
当公共交易目录是分布式公共目录,优选比特币块链时,它有益于本方法的可靠性和独立性。这也进一步提高了透明度,并通过透明度信任和最终采用本发明。比特币块链特别适合,因为它提供了广泛接受的安全标准和可靠的框架,可以防止伪造或操纵记录的交易。
附图说明
现在参考附图,其中附图是为了说明本发明而不是为了限制本发明,
图1示意性地示出了根据本发明的用于暂停对象的物理保护所涉及的元件。
图2示意性地示出了根据图1的保护设备的更详细视图;
图3示意性地示出了根据图1的加密狗的更详细视图。
图4示出了根据本发明方法暂停物理保护之前执行的一般步骤的流程图。
图5更详细地示出了用于验证保护设备和加密狗的公钥执行的步骤;
图6更详细地示出了用于验证保护设备或加密狗执行的步骤;
图7更详细地示出了加密狗为实现合同脚本而执行的步骤;
图8更详细地示出了由保护设备执行以便验证解锁请求的步骤。
具体实施方式
图1示出了对象1,其由保护设备2物理地保护。在本实施例中,对象1是盒子,例如封闭产品;或者,对象可以是产品本身。保护设备2具有可控制的致动器3,用于参与和解除对象1的物理保护。为了实现对象1的物理保护,保护设备2包括轭4以形成挂锁。
在本示例中,对象1受到保护,因为穿过对象1上的安装件5的轭4借助于保护设备2并且特别是致动器3被锁定在关闭位置。为了暂停对象1的物理保护,可以控制致动器3以将轭4从其锁定位置解除,然后可以从安装件5上移除。一旦安装件5从轭4解除,形成对象1的盒子可以打开,即对象不再受到物理保护。
保护设备2通过有线数据连接7连接到加密狗6。有线数据连接7形成在保护设备2的第一弹簧连接器8和加密狗6的第二弹簧连接器9之间。有线数据连接7支持I2C计算机总线协议。加密狗6还通过无线数据连接11与主设备10连接,例如,智能手机、平板电脑或个人计算机。无线数据连接11可以是蓝牙连接;可以想到其他无线通信标准或协议,例如,WiFi或NFC连接。最后,主设备10通过经由互联网建立的混合的、部分无线的和部分有线的数据连接13连接到在线公共交易目录12。为简单起见,图1仅示出了混合数据连接13的第一部分,其被指示为无线连接。公共交易目录12表示为单个数据库。实际上,数据库连接到多个附加的分布式数据库,一起形成分布式公共目录。
保护设备2和加密狗6一起形成用于物理保护对象1的套件14。
保护设备2的结构和功能在图2中更详细地示出。如前所述,保护设备2包括致动器3和弹簧连接器8。弹簧连接器8连接到微控制器15。微控制器15连接到密码集成电路(Crypto-IC)16,例如,Atmel公司的“ATECC508A”或类似设备。Crypto-IC 16连接到无线通信集成电路17,特别是连接到NFC-IC,例如NXP半导体的“NT3H1201”。Crypto-IC和NFC-IC安装在柔性电路板上,并配置为使用I2C计算机总线协议进行通信。此外,Crypto-IC 16连接到继电器18,用于控制致动器3。致动器3可以在闭合状态和打开状态之间切换。致动器3包括驱动装置,例如电动机、机械弹簧、压电元件和/或电磁铁。保护设备2的组件可以通过连接到弹簧连接器8的加密狗6或经由NFC-IC 17经由NFC读取器(未示出)的感应场供电。
保护设备2的弹簧连接器8可以替换或与智能卡连接器或无线连接器(例如NFC天线和集成电路)组合,用于提供与加密狗6和/或主设备10的连接。
保护设备2的NFC-IC 17存储与加密狗6相关联的椭圆曲线公钥、智能未来合同的副本以及到用于控制保护设备2和加密狗6的移动电话应用的链接,将要用于在内部防篡改存储器中的校验。因此,加密狗6与保护设备2相关联,因为保护设备2将依赖于存储的公钥,并且仅当它能够证明其拥有相应的私钥时才对加密狗6进行校验。NFC-IC 17为移动电话提供了另一种无线接口,用于校验过程,如下所述。
加密狗6的结构和功能在图3中更详细地示出。加密狗6的弹簧连接器9连接到Crypto-IC(加密-IC)19。Crypto-IC 19可以是Atmel公司的“ATECC508A”。Crypto-IC 19连接到微控制器20(MCU),例如,Atmel公司的“Atmega256rfr2”或“AtSAMD21”。MCU 20可以包括IEEE 802.15.4(WPAN)模块,用于通过无线连接11支持与主设备10的网络连接。MCU 20连接到无线通信模块21,特别是蓝牙模块,例如Adafruit Industries,LLC的“蓝牙低功耗分线板”或NFC模块。
MCU 20通过SPI(MISO、MOSI、SCLK、SS)协议连接到无线通信模块21,并通过I2C协议连接到Crypto-IC 19。MCU通过有线连接7上的I2C计算机总线连接与保护器设备的组件对话。加密狗6还通过有线连接7为保护设备2供电。加密狗使用无线通信模块21的蓝牙广告模式来连接到主设备10,例如移动电话和计算机,以处理校验过程。由于无线通信模块21被实现为动态应答器(MCU也可以对无线通信模块21进行读/写),因此在校验期间或作为校验的结果,可以重写无线通信模块21上的数据。
加密狗6的弹簧连接器9可以替换或与智能卡连接器或无线连接器(例如NFC天线和集成电路)组合,用于提供与保护设备2和/或主设备10的连接。
主设备10包括用于建立无线连接11并与加密狗6通信的无线通信模块(未示出)。主设备10可以访问和运行专用程序应用,以与加密狗6和保护设备2一起执行校验过程,以便暂停对象1的物理保护并使对象1可访问。
结合图4概述了用于暂停对象1的物理保护的优选方法的步骤。在第一步骤22中,通过布线弹簧连接器8、9建立保护设备2和加密狗6之间的有线数据连接7。加密狗6永久地或仅在它连接到保护设备2时通告无线连接的可用性。主设备10建立到加密狗6的无线数据连接11(步骤23)。然后(步骤24),主设备经由无线数据连接11从加密狗6接收保护设备的公钥、加密狗的公钥和签名者的公钥以及至少结合保护设备2和加密狗6的公钥的签名的组合标识符。签名的组合标识符用签名者的私钥签名,该私钥与其公钥密码地相关联。从加密狗6接收的信息存储在MCU 20内的加密狗6的内部存储器中。当建立无线数据连接11时,MCU20将其提供给主设备10。
一旦主设备10访问组合标识符,它就建立或使用预先建立的混合数据连接13来访问公共交易目录12(步骤25)。具体地,它通过混合数据连接13请求在公共交易目录12内搜索与签名的组合标识符相关联的交易。在该请求时,公共交易目录12执行所请求的搜索并返回与提供的标识符匹配的所有交易。
通过评估从公共交易目录12接收的交易并使用签名的组合标识符的签名并且用签名者的公钥核实那个签名,主设备10验证(步骤26)保护设备2和加密狗6的所接收的公钥。由主设备10执行以验证两个公钥的特定步骤在图5中示出。首先(步骤27),主设备等待并评估来自公共交易目录12的响应。如果没有与所提供的组合标识符匹配的注册交易,则发现后者无效并且公钥的验证失败。否则(步骤27'),主设备10计算并从而从两个公钥再现组合的标识符。然后(步骤28),它将计算的组合标识符与签名的组合标识符进行比较,并存储该比较的结果。在下一步骤(步骤29)中,主设备用签名者的公钥核实所提供的签名的组合标识符的签名。具体地,主设备10计算所计算的组合标识符的散列,用公钥加密所提供的签名,并将由加密得到的散列与先前计算的散列进行比较。最后(步骤30),如果两个比较的组合标识符匹配并且比较的散列匹配,则主设备10肯定地验证两个公钥。否则验证失败,校验程序终止(见图4)。
一旦发现公钥是可信的,主设备10就继续(步骤31)使用保护设备的-验证-公钥来验证保护设备2。由主设备10执行以验证保护设备2的特定步骤在图6中示出。具体地,为了通过主设备10验证保护设备2,主设备10首先(步骤32)向保护设备2发送随机质询。质询是使用随机数发生器生成的实际上不可预测的字母或字节串。在生成之后,该质询从主设备10发送到加密狗6并且由加密狗6转发到保护设备2。保护设备2使用嵌入在保护设备2中(即存储在保护设备2的内部防篡改存储器中)的私钥签名(步骤33)从主设备10接收的随机质询。该私钥与保护设备2的公钥密码地相关联,主设备10已经从加密狗6接收该公钥并验证。具体地,保护设备2使用Crypto-IC 16用私钥加密接收的质询,并再次通过加密狗6将随机质询的结果签名发送回主设备10。通过用公钥解密接收的签名并将结果与最初生成的质询进行比较,主设备10核实(步骤34)从保护设备2接收的签名与保护设备的先前验证的公钥。如果(步骤35)质询匹配,则签名的核实成功,并且主设备10肯定地验证保护设备2。
当保护设备2已被成功验证时,主设备10验证加密狗6(图4中的步骤36)。加密狗6的验证类似于保护设备2的验证。因此,参考上面的描述和图6,其类似地适用于加密狗6的验证。
一旦基于真实公钥发现保护设备2和加密狗6都是可信的,则主设备10经由无线数据连接11向加密狗6发送(步骤37)解锁请求。
如图7所示,加密狗6在从主设备10接收到解锁请求(步骤38)之后,作为反应执行(步骤39)合同脚本。合同脚本(contract script)存储在加密狗6的内部存储器中,特别是MCU 20的内部存储器,其还解释和执行合同脚本。合同脚本的内容可以通过保护设备2和加密狗6的相互签名来保护,其可以在执行合同脚本之前由加密狗6交换和核实。通过执行合同脚本,加密狗6评估用于解锁在合同脚本内编码的保护设备2的条件。然后,加密狗6将该评估的结果与预期的积极结果进行比较(步骤40)。如果该比较导致匹配,则加密狗通过有线数据连接7向保护设备2发送(步骤41)解锁命令。解锁命令用加密狗6的私钥签名并与加密狗6的公钥以及用保护设备6的私钥签名的存储的合同脚本的副本一起发送(即,在保护设备和加密狗的初始化期间创建签名并存储在加密狗内)。
可选地,由图7中的步骤42指示,在发送解锁命令之后或同时,加密狗6无效或重置其内部存储器和/或保护设备2的内部存储器(步骤41)。
如图8中更详细所示,保护设备2通过有线数据连接7与解锁命令一起接收(步骤43)加密狗6的公钥和签名的合同脚本。为了确保保护设备仅执行合法的解锁命令,保护设备2通过执行接收的解锁命令和签名的合同脚本的以下校验来核实所接收的解锁命令是否来自可信加密狗。它从其内部存储器加载(步骤44)存储的合同脚本的本地副本。然后它用其私钥签名(步骤45)合同脚本的本地副本。通过将得到的自签名合同脚本与接收的签名合同脚本进行比较,保护设备2校验(步骤46)所接收的签名合同脚本。如果两者相同,则收到的签名合同脚本有效。否则,收到的签名合同脚本无效,解锁程序将被取消。只有当所接收的签名合同脚本的校验成功时,保护设备2才通过控制(步骤47)保护设备2的致动器3来暂停受保护对象1的物理保护,从而触发解锁程序并暂停对受保护物体的物理保护。
为了在如上所述的核实和验证过程中使用,在初始化过程期间初始化保护设备2和加密狗6。
签名者的密钥对、生产者的可选密钥对和未来所有者的可选密钥对被认为是已经存在的初始化过程的先决条件。然后在第一步骤中,加密狗6和保护设备2的Crypto-IC 16、19用于生成两个设备2、6的相应密钥对。生成之后,私钥被安全地存储在防篡改内部存储器并且可以访问公钥。然后,使用所有涉及的公钥,组合标识符由签名者计算并签名以获得签名的组合标识符。然后将该签名的组合标识符发送到加密狗6并存储在其内部存储器中。此外,交易被提交到公共交易目录,例如比特币块链。该交易可以例如将少量比特币从签名者控制的地址转移到从组合标识符导出的地址,从而证明后者的合法性。在这种情况下,所识别的组合可以是从保护设备、加密狗、签名者的公钥,可选地产品的原始生产者和可选的合同脚本散列的公钥计算的多签名地址。作为附加的安全措施,签名者生成的组合标识符的签名可以嵌入到交易中。加密狗6和保护设备2都将签名者的公钥存储在受保护的数据区中以供将来校验。此外,他们还可以存储原始制作人的公钥。如果使用合同脚本,则可以在加密狗6和保护设备2之间交换合同脚本的签名版本以进一步保护安全性。具体来说,合同脚本可能会被散列并签名两次。用加密狗的私钥签名的合同脚本散列被写入保护设备的存储器,并且用保护设备的私钥签名的合同脚本散列被写入加密狗的存储器。然后,加密狗6和保护设备2的Crypto-IC 16、19被锁定,这意味着不再能够重写所存储的密钥和签名。然后将这样准备好的加密狗6和保护设备2传送给生产者,该生产者可以将保护设备2应用于待保护的对象1,并在将受保护的物体分配给供应商或消费者之前激活/锁定对象1上的保护设备2。
Claims (15)
1.一种用于暂停由保护设备(2)实现的对象(1)的物理保护的方法,包括以下步骤:
在保护设备(2)和加密狗(6)之间建立第一数据连接;
在主设备(10)和加密狗(6)之间建立第二数据连接;
在主设备(10)和公共交易目录(12)之间建立第三数据连接;
主设备(10)经由第二数据连接接收至少第一公钥、第二公钥、第三公钥和结合至少第一公钥和第二公钥的签名的组合标识符,其中签名的组合标识符用第三私钥签名,该第三私钥与第三公钥密码地相关联;
主设备(10)经由第三数据连接请求在公共交易目录(12)内搜索与签名的组合标识符相关联的交易;
主设备(10)使用签名的组合标识符的签名并使用第三公钥对至少第一公钥和第二公钥进行验证;
主设备(10)使用第一公钥对保护设备(2)进行验证;
主设备(10)使用第二公钥验证加密狗(6);
如果交易目录(12)的搜索产生至少一个交易并且第一公钥和第二公钥是可信的并且保护设备(2)是可信的以及加密狗(6)是可信的,则主设备(10)经由第二数据连接向加密狗(6)发送解锁请求;
加密狗(6)接收解锁请求,并且作为反应,经由控制保护设备(2)的致动器(3)的第一数据连接发送解锁命令,以暂停受保护对象(1)的物理保护。
2.根据权利要求1所述的方法,其特征在于,由主设备(10)使用签名的组合标识符的签名和使用第三公钥来验证至少第一公钥和第二公钥的步骤是:
主设备(10)根据至少第一公钥和第二公钥计算组合标识符;
主设备(10)将计算出的组合标识符与签名的组合标识符进行比较;
主设备(10)用第三公钥核实签名的组合标识符的签名;
如果两个比较的组合标识符匹配并且签名的核实成功,则主设备(10)验证至少第一公钥和第二公钥。
3.根据权利要求1或2所述的方法,其特征在于,由主设备(10)验证保护设备(2)的步骤是:
主设备(10)经由从主设备到加密狗(6)的第二数据连接并从那里进一步经由到保护设备(2)的第一数据连接向保护设备(2)发送随机质询;
保护设备(2)使用第一私钥对随机质询进行签名,该第一私钥与第一公钥密码地相关联并被存储在保护设备(2)的内部存储器中;
保护设备(2)经由到加密狗(6)的第一数据连接并从那里经由到主设备(10)的第二数据连接向主设备(10)发送随机质询的签名;
主设备(10)用第一公钥核实签名,并在核实成功时验证保护设备(2)。
4.根据前述权利要求之一所述的方法,其特征在于,由主设备(10)验证加密狗(6)的步骤是:
主设备(10)经由第二数据连接向加密狗(6)发送随机质询;
加密狗(6)使用第二私钥对随机质询进行签名,该第二私钥与第二公钥密码地相关联并被存储在加密狗(6)的内部存储器中;
加密狗(6)经由第二数据连接将随机质询的签名发送给主设备(10);
主设备(10)用第二公钥核实签名,并在核实成功时验证加密狗。
5.根据前述权利要求之一所述的方法,其特征在于,加密狗(6)接收解锁请求并且作为反应执行存储在加密狗(6)的内部存储器中的合同脚本,其中合同脚本评估用于解锁保护设备(2)的至少一个条件,其中加密狗(6)仅在合同脚本成功执行并且满足合同脚本的至少一个条件时才发送解锁命令。
6.根据前述权利要求之一所述的方法,其特征在于,在加密狗(6)发送解锁命令之后,它使其内部存储器和/或保护设备(2)的内部存储器无效或重置。
7.根据前述权利要求之一所述的方法,其特征在于,保护设备(2):
经由第一数据连接接收第二公钥和合同脚本的签名的副本,
从保护设备的内部存储器(2)加载合同脚本的存储的本地副本,
使用第一私钥对本地副本进行签名,
将合同脚本的生成的自签名副本与合同脚本的接收的签名的副本进行比较;以及
仅当已比较的签名的合同脚本相同时,暂停受保护对象(1)的物理保护。
8.根据权利要求3至7中任一项所述的方法,其特征在于,保护设备(2)和/或加密狗(6)的内部存储器是防篡改存储器。
9.根据前述权利要求之一所述的方法,其特征在于,第一数据连接是有线数据连接,优选地使用I2C协议,和/或第二数据连接是无线数据连接,优选地是蓝牙连接。
10.根据前述权利要求之一所述的方法,其特征在于,经由互联网建立第三数据连接。
11.根据前述权利要求之一所述的方法,其特征在于,公共交易目录(12)是分布式公共目录,优选地是比特币块链。
12.一种用于物理保护对象(1)的套件(14),包括:
保护设备(2),具有可控制的致动器(3),用于参与和解除对象(1)的物理保护;以及
与保护设备(2)相关联的加密狗(6),
其中,保护设备(2)包括内部存储器和用于建立到加密狗(6)的第一数据连接的接口,其中保护设备(2)的内部存储器至少存储第一私钥,
其中加密狗(6)包括内部存储器、用于建立到保护设备(2)的第一数据连接的第一接口和用于建立到主设备(10)的第二数据连接的第二接口,其中加密狗(6)的内部存储器至少存储第二私钥、第三公钥和签名的组合标识符,
其中,签名的组合标识符结合至少第一公钥和第二公钥,所述第一公钥与所述第一私钥密码地相关联,所述第二公钥与所述第二私钥密码地相关联,并且
其中,签名的组合标识符用第三私钥签名,该第三私钥与第三公钥密码地相关联。
13.根据权利要求12所述的套件(14),其特征在于,加密狗(6)的内部存储器还存储合同脚本。
14.根据权利要求13所述的套件(14),其特征在于,所述保护设备(2)的内部存储器还存储用所述第二私钥签名的合同脚本的签名。
15.根据权利要求13或14所述的套件(14),其特征在于,加密狗(6)的内部存储器还存储用第一私钥签名的合同脚本的签名。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP16174818.1A EP3258660B1 (en) | 2016-06-16 | 2016-06-16 | Protection device and dongle and method for using the same |
| EP16174818.1 | 2016-06-16 | ||
| PCT/EP2017/064777 WO2017216346A1 (en) | 2016-06-16 | 2017-06-16 | Protection device and dongle and method for using the same |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109328444A true CN109328444A (zh) | 2019-02-12 |
| CN109328444B CN109328444B (zh) | 2021-08-10 |
Family
ID=56263514
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780037586.0A Active CN109328444B (zh) | 2016-06-16 | 2017-06-16 | 保护设备和加密狗及其使用方法 |
Country Status (13)
| Country | Link |
|---|---|
| US (2) | US11184172B2 (zh) |
| EP (1) | EP3258660B1 (zh) |
| JP (1) | JP6636674B2 (zh) |
| KR (1) | KR102267979B1 (zh) |
| CN (1) | CN109328444B (zh) |
| AU (2) | AU2017285278B2 (zh) |
| CA (1) | CA3027861C (zh) |
| CY (1) | CY1121082T1 (zh) |
| DK (1) | DK3258660T3 (zh) |
| ES (1) | ES2703707T3 (zh) |
| PL (1) | PL3258660T3 (zh) |
| SG (1) | SG11201810239XA (zh) |
| WO (1) | WO2017216346A1 (zh) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20200228988A1 (en) * | 2017-09-29 | 2020-07-16 | Lg Electronics Inc. | V2x communication device and method for inspecting forgery/falsification of key thereof |
| US20190325408A1 (en) * | 2017-12-30 | 2019-10-24 | Xeeda Inc. | Devices, Systems, and Methods For Securing, Accessing and Transacting Cryptocurrency and Non-Crytptocurrency Assets |
| US11615382B2 (en) * | 2017-12-30 | 2023-03-28 | Xeeda Inc. | Devices, systems, and methods for securing and transacting cryptocurrency assets |
| US11046447B2 (en) * | 2019-04-30 | 2021-06-29 | Bae Systems Information And Electronic Systems Integration Inc. | Systems and methods for supplying and distributing power |
| DE102020111281A1 (de) | 2020-04-24 | 2021-10-28 | Eto Magnetic Gmbh | Kopierschutzverfahren und kopiergeschütztes elektronisches System |
| WO2022087227A1 (en) * | 2020-10-22 | 2022-04-28 | Invue Security Products Inc. | Smart device for authorizing merchandise security keys |
| EP4240245A1 (en) | 2020-11-09 | 2023-09-13 | Riddle & Code GmbH | Method for suspending protection of an object achieved by a protection device |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050144142A1 (en) * | 2002-03-20 | 2005-06-30 | Hisashi Takayama | Mobile settlement system and device |
| US20080133414A1 (en) * | 2006-12-04 | 2008-06-05 | Samsung Electronics Co., Ltd. | System and method for providing extended domain management when a primary device is unavailable |
| CN102298528A (zh) * | 2010-06-28 | 2011-12-28 | 汤姆森特许公司 | 执行软件应用程序的方法、系统以及安全处理器 |
| CN102483787A (zh) * | 2009-09-09 | 2012-05-30 | 苹果公司 | 附件设备认证 |
| CN104735647A (zh) * | 2013-12-20 | 2015-06-24 | 中兴通讯股份有限公司 | 无线终端的锁网方法及系统 |
| US20150310452A1 (en) * | 2014-04-27 | 2015-10-29 | AuthAir, Inc. | Access Control System For Medical And Dental Computer Systems |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6286099B1 (en) * | 1998-07-23 | 2001-09-04 | Hewlett-Packard Company | Determining point of interaction device security properties and ensuring secure transactions in an open networking environment |
| US9858569B2 (en) * | 2014-03-21 | 2018-01-02 | Ramanan Navaratnam | Systems and methods in support of authentication of an item |
| US9600949B2 (en) * | 2014-07-30 | 2017-03-21 | Master Lock Company Llc | Wireless key management for authentication |
| US9781681B2 (en) * | 2015-08-26 | 2017-10-03 | Hand Held Products, Inc. | Fleet power management through information storage sharing |
-
2016
- 2016-06-16 EP EP16174818.1A patent/EP3258660B1/en active Active
- 2016-06-16 DK DK16174818.1T patent/DK3258660T3/en active
- 2016-06-16 ES ES16174818T patent/ES2703707T3/es active Active
- 2016-06-16 PL PL16174818T patent/PL3258660T3/pl unknown
-
2017
- 2017-06-16 US US15/735,523 patent/US11184172B2/en active Active
- 2017-06-16 SG SG11201810239XA patent/SG11201810239XA/en unknown
- 2017-06-16 WO PCT/EP2017/064777 patent/WO2017216346A1/en active Application Filing
- 2017-06-16 CA CA3027861A patent/CA3027861C/en active Active
- 2017-06-16 JP JP2019518133A patent/JP6636674B2/ja active Active
- 2017-06-16 KR KR1020187036118A patent/KR102267979B1/ko active IP Right Grant
- 2017-06-16 AU AU2017285278A patent/AU2017285278B2/en active Active
- 2017-06-16 CN CN201780037586.0A patent/CN109328444B/zh active Active
-
2018
- 2018-12-21 CY CY181101391T patent/CY1121082T1/el unknown
-
2021
- 2021-10-14 US US17/450,982 patent/US20220038287A1/en active Pending
-
2022
- 2022-06-17 AU AU2022204264A patent/AU2022204264A1/en not_active Abandoned
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050144142A1 (en) * | 2002-03-20 | 2005-06-30 | Hisashi Takayama | Mobile settlement system and device |
| US20080133414A1 (en) * | 2006-12-04 | 2008-06-05 | Samsung Electronics Co., Ltd. | System and method for providing extended domain management when a primary device is unavailable |
| CN102483787A (zh) * | 2009-09-09 | 2012-05-30 | 苹果公司 | 附件设备认证 |
| CN102298528A (zh) * | 2010-06-28 | 2011-12-28 | 汤姆森特许公司 | 执行软件应用程序的方法、系统以及安全处理器 |
| CN104735647A (zh) * | 2013-12-20 | 2015-06-24 | 中兴通讯股份有限公司 | 无线终端的锁网方法及系统 |
| US20150310452A1 (en) * | 2014-04-27 | 2015-10-29 | AuthAir, Inc. | Access Control System For Medical And Dental Computer Systems |
Also Published As
| Publication number | Publication date |
|---|---|
| US20190349201A1 (en) | 2019-11-14 |
| AU2022204264A1 (en) | 2022-07-07 |
| DK3258660T3 (en) | 2019-01-21 |
| ES2703707T3 (es) | 2019-03-12 |
| CY1121082T1 (el) | 2019-12-11 |
| CA3027861C (en) | 2021-06-08 |
| KR20190018140A (ko) | 2019-02-21 |
| SG11201810239XA (en) | 2018-12-28 |
| AU2017285278B2 (en) | 2022-03-24 |
| CA3027861A1 (en) | 2017-12-21 |
| PL3258660T3 (pl) | 2019-04-30 |
| EP3258660B1 (en) | 2018-10-03 |
| US20220038287A1 (en) | 2022-02-03 |
| JP6636674B2 (ja) | 2020-01-29 |
| JP2019520779A (ja) | 2019-07-18 |
| AU2017285278A1 (en) | 2018-12-06 |
| WO2017216346A1 (en) | 2017-12-21 |
| CN109328444B (zh) | 2021-08-10 |
| KR102267979B1 (ko) | 2021-06-22 |
| US11184172B2 (en) | 2021-11-23 |
| EP3258660A1 (en) | 2017-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109328444A (zh) | 保护设备和加密狗及其使用方法 | |
| US11572713B1 (en) | Smart lock box | |
| CN105684346B (zh) | 确保移动应用和网关之间空中下载通信安全的方法 | |
| TWI502396B (zh) | 保全應用程式中購買 | |
| AU2015264040B2 (en) | Systems and methods for linking devices to user accounts | |
| JP2004519874A (ja) | 信頼された認証デジタル署名(tads)システム | |
| JP2013512503A (ja) | 安全なモバイル決済処理 | |
| WO2019119541A1 (zh) | 基于区块链的商品确权及所有权转移方法和系统 | |
| CN109285252B (zh) | 车锁控制方法和装置 | |
| JP5661772B2 (ja) | 製品が製品メーカの本物の製品であるかをチェックする方法 | |
| KR101499906B1 (ko) | Otp 생성기능을 구비한 스마트카드 및 otp 인증서버 | |
| US8990887B2 (en) | Secure mechanisms to enable mobile device communication with a security panel | |
| CN108573296A (zh) | 防伪装置、防伪系统和防伪方法 | |
| CN112530053B (zh) | 智能锁的控制方法、系统、锁设备、服务器及存储介质 | |
| TWI770279B (zh) | 憑證驗證輔助裝置、系統及其方法 | |
| US20170330177A1 (en) | Payment terminal authentication | |
| US20150052060A1 (en) | Plagiarism Protection | |
| CN103763007A (zh) | 一种基于近场通信技术的鉴定方法、防伪装置和防伪系统 | |
| JP5386860B2 (ja) | 決済システム、決済処理装置、正当性検証装置、正当性検証要求処理プログラム、正当性検証処理プログラム、及び正当性検証方法 | |
| KR20140119450A (ko) | 보안전자결제 시스템 및 방법 | |
| CN103761655A (zh) | 一种基于近场通信技术的转让方法、防伪装置和防伪系统 | |
| CN103745365A (zh) | 一种基于近场通信技术的注册方法、防伪装置和防伪系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1261938 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |