CN112187456B - 一种密钥分层管理与协同恢复系统及方法 - Google Patents

一种密钥分层管理与协同恢复系统及方法 Download PDF

Info

Publication number
CN112187456B
CN112187456B CN202011033520.4A CN202011033520A CN112187456B CN 112187456 B CN112187456 B CN 112187456B CN 202011033520 A CN202011033520 A CN 202011033520A CN 112187456 B CN112187456 B CN 112187456B
Authority
CN
China
Prior art keywords
private key
group
key
data
ciphertext
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011033520.4A
Other languages
English (en)
Other versions
CN112187456A (zh
Inventor
宋金泽
郑姣
李星星
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shanghai Wanxiang Blockchain Inc
Original Assignee
Shanghai Wanxiang Blockchain Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shanghai Wanxiang Blockchain Inc filed Critical Shanghai Wanxiang Blockchain Inc
Priority to CN202011033520.4A priority Critical patent/CN112187456B/zh
Publication of CN112187456A publication Critical patent/CN112187456A/zh
Application granted granted Critical
Publication of CN112187456B publication Critical patent/CN112187456B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0822Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/30Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
    • H04L9/3066Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy involving algebraic varieties, e.g. elliptic or hyper-elliptic curves

Abstract

本发明提供了一种密钥分层管理与协同恢复系统及方法,包括:管理员通过组内私钥管理模块分配组内用户以及企业的公钥,并对数据进行非对称加密;将加密的数据发送到各用户的数据抄送模块,实现数据管理;组内私钥管理模块获取每个用户的私钥密文,将私钥密文通过私钥协同模块将密文下发给信任方依次加密,由组内私钥管理模块管理最终私钥密文;数据抄送模块在发送公钥给服务端后,服务端的人员变更数据保护模块针对发来的公钥进行等级划分,建立用户与业务组关联关系,继承业务组权限,并将等级反馈回数据抄送模块。本发明使企业之间和企业内部业务共享变得方便且安全。

Description

一种密钥分层管理与协同恢复系统及方法
技术领域
本发明涉及私钥管理技术领域,具体地,涉及一种密钥分层管理与协同恢复系统及方法,更为具体地,涉及基于企业之间、企业内部业务组的密钥管理与协同恢复系统及方法。
背景技术
当前由于市场需求,会存在多家企业之间串联的业务组处理共同业务,但是每个企业有自己的私钥进行管理,不便于互通管理,因此在共同业务组中,使用私钥处理业务的时候会带来诸多不便。尤其的当处理各自公司在组内的不可公开的数据时,很容易将数据泄漏到组内的其他公司。在同一家公司,如果本身业务关系层级过深,并且存在不同等级业务成员加入同一个业务组的情况,对于私钥管理同样是一件复杂且容易混乱的事情。因此对于上述问题,业务组总体由组内公钥私钥对作为工具公钥私钥对统一管理,各自业务由企业及用户的公钥私钥对处理。各个密钥对层级清晰,处理业务方便。
当前业界方面还存在以下两大技术难点:
(1)某个业务组成员转移到其他业务组的时候,由于业务存在隐私性,并且该成员本地客户端存在可以解开原有数据的私钥,对隐私业务保护有一定的风险。
(2)小程序项目中如果想使用加解密算法做数据隐私保护,由于加解密算法包体积过大,并且小程序本身对外部JavaScript包有一定的大小限制。因此小程序中直接加入加解密算法包无法实现。
针对困难(1):本发明service中提供等级分配方法。该方法通过人员的公钥,对该人员的业务组和业务可操作性这两个维度,制定该人员等级。当人员离开或加入业务组时,通过等级变更、发放等方法,给人员分配对应等级的可见数据。人员变动中无需替换自己本地私钥。
针对困难(2):本发明提供轻量加解密包,包含SM2P256V1、secp256r1、secp256k1的加解密算法,将各自的加解密算法包中的加密方法、解密方法、签名方法剥离出来,并整合而成一个轻量级加解密包。该包体积小,可用于小程序开发中使用。
专利文献CN106972928B(申请号:201710233783.1)公开了一种堡垒机私钥管理方法、装置及系统,涉及网络安全技术领域。该方法包括:针对堡垒机对应的堡垒机私钥进行第一加密算法运算,生成密文密钥文件和解密密钥,针对解密密钥进行第二加密算法运算,生成解密码集合,存储所述密文密钥文件和第一解密码,第一解密码为解密码集合中的任意一份解密码,当接收到堡垒机发送的访问请求时,识别堡垒机,将密文密钥文件和第一解密码传输至所述堡垒机,供堡垒机根据自身存储的第二解密码和第一解密码对密文密钥文件解密,获得堡垒机私钥。其如果最后一个解密密钥丢失,则无法恢复最终私钥。并且不适合业务层级之间的分层处理。
专利文献CN109510707A(申请号:201910038920.5)公开了一种基于树状结构模型的群组密钥管理方法,包括:建立等级树结构模型;基于所述的等级树结构模型,将密钥种类分为层间密钥和组内密钥;进行层间密钥和组内密钥的生成和下发;通过改变所述等级树结构模型进行密钥的更新。该方法是每一组生成一个密钥K0,然后根据K0计算出每一层的层间密钥,其并不是通过密钥生成算法生成公钥私钥对,公钥私钥对可以灵活使用对称和非对称加解密算法来应对不同场景的业务需求。该方法由一个密钥K0下发密钥进行层级管理,密钥间关联紧密,如若K0丢失,无法找回密钥。
专利文献CN110427768A(申请号:201910733785.6)公开了一种私钥管理方法及系统。该方法包括获取标记有用户身份信息的第一私钥;对第一私钥进行分段处理,得到多个私钥段;获取第二公私钥对;采用第二公钥对每一个私钥段进行签名处理,得到签名后的私钥段;将签名后的私钥段进行组合,得到组合结果;将每一个组合结果发送至不同的数据管理中心,将第二私钥发送至私钥管理中心;根据用户的身份信息获取数据管理中心的组合结果;采用与用户的身份信息对应的第二私钥对数据管理中心的组合结果进行解密,得到解密后的私钥段;根据每一个解密后的私钥段在第一私钥上的位置信息进行顺序排列,得到标记有用户身份信息的第一私钥。其将私钥拆分成私钥段,对每个私钥段加密处理,使用时对每个私钥段进行解密再重组。操作复杂度高,且多次加解密影响系统性能。
发明内容
针对现有技术中的缺陷,本发明的目的是提供一种密钥分层管理与协同恢复系统及方法。
根据本发明提供的一种密钥分层管理与协同恢复系统,包括:组内私钥管理模块M1、数据抄送模块M2、私钥协同恢复模块M3和人员变更数据保护模块M4;
通过组内私钥管理模块分配组内用户以及企业的公钥,并对数据进行非对称加密;
将加密的数据发送到各用户的数据抄送模块,实现数据管理;
组内私钥管理模块获取每个用户的私钥密文,将私钥密文通过私钥协同恢复模块将密文下发给信任方依次加密,由组内私钥管理模块管理最终私钥密文;
数据抄送模块在发送公钥给服务端后,服务端的人员变更数据保护模块针对发来的公钥进行等级划分,建立用户与业务组关联关系,继承业务组权限,并将等级反馈回数据抄送模块。
优选地,所述组内私钥管理模块M1包括:
组内私钥管理模块M1.1:选取加密算法随机生成一对公钥私钥对,作为组内工具公钥私钥对;
组内私钥管理模块M1.2:以管理员身份,将管理员客户端的密码与组内工具私钥做对称加密,获得业务组私钥密文;
组内私钥管理模块M1.3:用户登录本地客户端,从服务器中获取组内工具公钥,并结合客户端的私钥做非对称加密,获得客户端私钥恢复密文;
组内私钥管理模块M1.4:用密码对客户端的私钥进行对称加密,获得客户端私钥密文;
组内私钥管理模块M1.5:利用客户端公钥对公司私钥进行非对称加密,获得公司私钥密文;
组内私钥管理模块M1.6:将客户端私钥恢复密文、客户端私钥密文和公司私钥密文作为用户信息,存储至服务器。
优选地,所述组内私钥管理模块M1.1中加密算法包括:加密算法为公开密钥加密算法,所述公开密钥加密算法包括背包算法、椭圆曲线加密算法或迪菲-赫尔曼密钥交换协议中的公钥加密算法;
所述椭圆曲线加密算法包括SM2P256V1、secp256r1和secp256k1的加解密算法。
优选地,所述加解密算法包括加密方法、解密方法和签名方法;将加密方法、解密方法和签名方法结合底层算法进行单独提取,整合成一个轻量级加解密包。
优选地,所述数据抄送模块M2包括:
数据抄送模块M2.1:对于业务组内的公共业务数据,使用组内公钥对公共业务数据的预设部分进行非对称加密,获得加密密文,并将公共业务数据及加密密文存储到服务器,业务组内拥有所有公共业务数据的解密权;
数据抄送模块M2.2:当有成员组加入业务组时,业务组管理员使用加入的成员组的各用户的个人公钥、加入成员组的企业公钥与公共业务数据的预设部分分别进行非对称加密,将生成的密文存储到加入成员组信息中,实现业务组数据抄送,加入成员登录个人账户使用自己的私钥解密数据,查看组内公共业务数据。
优选地,所述私钥协同恢复模块M3包括:
私钥协同恢复模块M3.1:当成员的个人或企业密码丢失导致私钥无法恢复,根据协同加密顺序,逆序地通知业务组内成员且预设信任方,预设信任方将自己解密得到的私钥密文传递给下一个信任方,最终传递到组管理员进行解密获得私钥;
私钥协同恢复模块M3.2:通过离线方式将私钥传递给私钥恢复成员,恢复成员得到私钥后,重新设定密码,利用重新设定的密码对私钥重新对称加密,获得新的私钥密文并替换原私钥密文。
优选地,所述人员变更数据保护模块M4包括:
人员变更数据保护模块M4.1:当新用户加入成员组时,设置新用户的密钥等级,使用客户端的公钥进行等级记录;根据客户端的公钥等级判断,获取等级对应的数据;通过组管理员客户端解密,再使用新用户公钥加密;
人员变更数据保护模块M4.2:当用户离开成员组时,则设置用户的密钥等级,将等级降低至当前成员组数据不可见等级。
根据本发明提供的一种密钥分层管理与协同恢复方法,包括:
组内私钥管理步骤S1:管理员通过组内私钥管理模块分配组内用户以及企业的公钥,并对数据进行非对称加密;
数据抄送步骤S2:将加密的数据发送到各用户的数据抄送模块,实现数据管理;
私钥协同恢复步骤S3:组内私钥管理模块获取每个用户的私钥密文,将私钥密文通过私钥协同恢复模块将密文下发给信任方依次加密,由组内私钥管理模块管理最终私钥密文;
人员变更数据保护步骤S4:数据抄送模块在发送公钥给服务端后,服务端的人员变更数据保护模块针对发来的公钥进行等级划分,建立用户与业务组关联关系,继承业务组权限,并将等级反馈回数据抄送模块。
优选地,所述组内私钥管理步骤S1包括:
组内私钥管理步骤S1.1:选取加密算法随机生成一对公钥私钥对,作为组内工具公钥私钥对;
组内私钥管理步骤S1.2:以管理员身份,将管理员客户端的密码与组内工具私钥做对称加密,获得业务组私钥密文;
组内私钥管理步骤S1.3:用户登录本地客户端,从服务器中获取组内工具公钥,并结合客户端的私钥做非对称加密,获得客户端私钥恢复密文;
组内私钥管理步骤S1.4:用密码对客户端的私钥进行对称加密,获得客户端私钥密文;
组内私钥管理步骤S1.5:利用客户端公钥对公司私钥进行非对称加密,获得公司私钥密文;
组内私钥管理步骤S1.6:将客户端私钥恢复密文、客户端私钥密文和公司私钥密文作为用户信息,存储至服务器;
所述组内私钥管理步骤S1.1中加密算法包括:加密算法为公开密钥加密算法,所述公开密钥加密算法包括背包算法、椭圆曲线加密算法或迪菲-赫尔曼密钥交换协议中的公钥加密算法;
所述椭圆曲线加密算法包括SM2P256V1、secp256r1和secp256k1的加解密算法;
所述加解密算法包括加密方法、解密方法和签名方法;将加密方法、解密方法和签名方法结合底层算法进行单独提取,整合成一个轻量级加解密包。
优选地,所述数据抄送步骤S2包括:
数据抄送步骤S2.1:对于业务组内的公共业务数据,使用组内公钥对公共业务数据的预设部分进行非对称加密,获得加密密文,并将公共业务数据及加密密文存储到服务器,业务组内拥有所有公共业务数据的解密权;
数据抄送步骤S2.2:当有成员组加入业务组时,业务组管理员使用加入的成员组的各用户的个人公钥、加入成员组的企业公钥与公共业务数据的预设部分分别进行非对称加密,将生成的密文存储到加入成员组信息中,实现业务组数据抄送,加入成员登录个人账户使用自己的私钥解密数据,查看组内公共业务数据;
所述私钥协同恢复步骤S3包括:
私钥协同恢复步骤S3.1:当成员的个人或企业密码丢失导致私钥无法恢复,根据协同加密顺序,逆序地通知业务组内成员且预设信任方,预设信任方将自己解密得到的私钥密文传递给下一个信任方,最终传递到组管理员进行解密获得私钥;
私钥协同恢复步骤S3.2:通过离线方式将私钥传递给私钥恢复成员,恢复成员得到私钥后,重新设定密码,利用重新设定的密码对私钥重新对称加密,获得新的私钥密文并替换原私钥密文;
所述人员变更数据保护步骤S4包括:
人员变更数据保护步骤S4.1:当新用户加入成员组时,设置新用户的密钥等级,使用客户端的公钥进行等级记录;根据客户端的公钥等级判断,获取等级对应的数据;通过组管理员客户端解密,再使用新用户公钥加密;
人员变更数据保护步骤S4.2:当用户离开成员组时,则设置用户的密钥等级,将等级降低至当前成员组数据不可见等级。
与现有技术相比,本发明具有如下的有益效果:
1、本发明针对跨公司业务组以及公司内部业务组,业务操作时的密钥分配管理,同时具有敏感的组内公共数据共享抄送、私钥抄送、密码丢失私钥恢复、人员变动数据安全性保护等功能。使企业之间和企业内部业务共享变得方便且安全。
2、本发明针对跨公司业务组以及公司内部业务组内部的密钥管理,通过对称及非对称加密的技术方式,实现在业务操作时的密钥分配管理的技术效果,包括组内敏感的公共数据组内共享,组内的公司内部敏感数据公司内部共享,组内的某些业务员直接的敏感数据这些业务员直接共享,进而实现这种分层次的密钥管理技术效果。现有的技术对于该部分的密钥管理并没有这种分层次管理的技术特征。本系统通过非对称叠加加密的技术特征,实现密钥恢复的技术效果,现有技术没有对私钥密文中,解密密钥丢失后,对私钥密文进行恢复的方式。本系统通过公钥等级划分的技术特征,实现组内人员流动,对数据安全性保护的技术效果,此种技术特征简单高效。
附图说明
通过阅读参照以下附图对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
图1为私钥及数据抄送时序图;
图2为用户公钥等级变更时序图;
图3为私钥协同恢复时序图。
具体实施方式
下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
实施例1
根据本发明提供的一种密钥分层管理与协同恢复系统,包括:如图1-3所示,
组内私钥管理模块M1、数据抄送模块M2、私钥协同恢复模块M3和人员变更数据保护模块M4;
通过组内私钥管理模块分配组内用户以及企业的公钥,并对数据进行非对称加密;
将加密的数据发送到各用户的数据抄送模块,实现数据管理;
组内私钥管理模块获取每个用户的私钥密文,将私钥密文通过私钥协同恢复模块将密文下发给信任方依次加密,由组内私钥管理模块管理最终私钥密文;
数据抄送模块在发送公钥给服务端后,服务端的人员变更数据保护模块针对发来的公钥进行等级划分,建立用户与业务组关联关系,继承业务组权限,并将等级反馈回数据抄送模块。
组内私钥管理模块和数据抄送模块,都是通过对称和非对称加密算法这一技术特征,达到密钥以及数据的层级管理(组、公司、个人、跨公司)这一技术效果。
私钥协同恢复模块,通过非对称解密这一技术特征,达到找回私钥这一技术效果。
人员变更数据保护模块,通过分配公司及个人的公钥的权限等级,来管理数据的可见权限。
具体地,所述组内私钥管理模块M1包括:
组内私钥管理模块M1.1:业务组内选取加密算法随机生成一对组内使用的公钥私钥对,作为组内工具公钥私钥对;
组内私钥管理模块M1.2:以管理员身份,将管理员客户端的密码与组内工具私钥做对称加密,获得业务组私钥密文,并将加密密文存储到服务器;
组内私钥管理模块M1.3:用户登录本地客户端,从服务器中获取组内工具公钥,并结合客户端的私钥做非对称加密,获得客户端私钥恢复密文;
组内私钥管理模块M1.4:用密码对客户端的私钥进行对称加密,获得客户端私钥密文;
组内私钥管理模块M1.5:利用客户端公钥对公司私钥进行非对称加密,获得公司私钥密文;
组内私钥管理模块M1.6:将客户端私钥恢复密文、客户端私钥密文和公司私钥密文作为用户信息,存储至服务器,作为私钥协同恢复模块的备份密文,和业务操作时可解密私钥密文,获得私钥进行业务操作。
具体地,所述组内私钥管理模块M1.1中加密算法包括:加密算法为公开密钥加密算法,所述公开密钥加密算法包括背包算法、椭圆曲线加密算法或迪菲-赫尔曼密钥交换协议中的公钥加密算法;
所述椭圆曲线加密算法包括SM2P256V1、secp256r1和secp256k1的加解密算法。
具体地,所述加解密算法包括加密方法、解密方法和签名方法;将加密方法、解密方法和签名方法结合底层算法进行单独提取,整合成一个轻量级加解密包。
具体地,所述数据抄送模块M2包括:
数据抄送模块M2.1:组内成员在业务组内做的业务数据(如有涉及加密),使用组内公钥对公共业务数据的预设部分进行非对称加密,获得加密密文,并将公共业务数据及加密密文存储到服务器,业务组内拥有所有公共业务数据的解密权;
数据抄送模块M2.2:当有成员组加入业务组时,业务组管理员使用加入的成员组的各用户的个人公钥、加入成员组的企业公钥与公共业务数据的预设部分分别进行非对称加密,将生成的密文存储到加入成员组信息中,实现业务组数据抄送,加入成员登录个人账户使用自己的私钥解密数据,查看组内公共业务数据。若后期做某些业务操作时,可使用数据抄送模块的配置,选择是否使用组的公钥加密,若不使用,则该操作的数据仅该成员的企业与个人所有,或仅该成员所有。
具体地,所述私钥协同恢复模块M3包括:
私钥协同恢复模块M3.1:当成员的个人或企业密码丢失导致私钥无法恢复,根据协同加密顺序,逆序地通知业务组内成员且预设信任方,预设信任方将自己解密得到的私钥密文传递给下一个信任方,最终传递到组管理员进行解密获得私钥;
私钥协同恢复模块M3.2:通过离线方式将私钥传递给私钥恢复成员,恢复成员得到私钥后,重新设定密码,利用重新设定的密码对私钥重新对称加密,获得新的私钥密文并替换原私钥密文。
具体地,所述人员变更数据保护模块M4包括:
人员变更数据保护模块M4.1:当新用户加入成员组时,设置新用户的密钥等级,使用客户端的公钥进行等级记录;根据客户端的公钥等级判断,获取等级对应的数据;通过组管理员客户端解密,再使用新用户公钥加密;
人员变更数据保护模块M4.2:当用户离开成员组时,则设置用户的密钥等级,将等级降低至当前成员组数据不可见等级。
根据本发明提供的一种密钥分层管理与协同恢复方法,包括:
组内私钥管理步骤S1:管理员通过组内私钥管理模块分配组内用户以及企业的公钥,并对数据进行非对称加密;
数据抄送步骤S2:将加密的数据发送到各用户的数据抄送模块,实现数据管理;
私钥协同恢复步骤S3:组内私钥管理模块获取每个用户的私钥密文,将私钥密文通过私钥协同恢复模块将密文下发给信任方依次加密,由组内私钥管理模块管理最终私钥密文;
人员变更数据保护步骤S4:数据抄送模块在发送公钥给服务端后,服务端的人员变更数据保护模块针对发来的公钥进行等级划分,建立用户与业务组关联关系,继承业务组权限,并将等级反馈回数据抄送模块。
具体地,所述组内私钥管理步骤S1包括:
组内私钥管理步骤S1.1:选取加密算法随机生成一对公钥私钥对,作为组内工具公钥私钥对;
组内私钥管理步骤S1.2:以管理员身份,将管理员客户端的密码与组内工具私钥做对称加密,获得业务组私钥密文;
组内私钥管理步骤S1.3:用户登录本地客户端,从服务器中获取组内工具公钥,并结合客户端的私钥做非对称加密,获得客户端私钥恢复密文;
组内私钥管理步骤S1.4:用密码对客户端的私钥进行对称加密,获得客户端私钥密文;
组内私钥管理步骤S1.5:利用客户端公钥对公司私钥进行非对称加密,获得公司私钥密文;
组内私钥管理步骤S1.6:将客户端私钥恢复密文、客户端私钥密文和公司私钥密文作为用户信息,存储至服务器;
所述组内私钥管理步骤S1.1中加密算法包括:加密算法为公开密钥加密算法,所述公开密钥加密算法包括背包算法、椭圆曲线加密算法或迪菲-赫尔曼密钥交换协议中的公钥加密算法;
所述椭圆曲线加密算法包括SM2P256V1、secp256r1和secp256k1的加解密算法;
所述加解密算法包括加密方法、解密方法和签名方法;将加密方法、解密方法和签名方法结合底层算法进行单独提取,整合成一个轻量级加解密包。
具体地,所述数据抄送步骤S2包括:
数据抄送步骤S2.1:对于业务组内的公共业务数据,使用组内公钥对公共业务数据的预设部分进行非对称加密,获得加密密文,并将公共业务数据及加密密文存储到服务器,业务组内拥有所有公共业务数据的解密权;
数据抄送步骤S2.2:当有成员组加入业务组时,业务组管理员使用加入的成员组的各用户的个人公钥、加入成员组的企业公钥与公共业务数据的预设部分分别进行非对称加密,将生成的密文存储到加入成员组信息中,实现业务组数据抄送,加入成员登录个人账户使用自己的私钥解密数据,查看组内公共业务数据;
所述私钥协同恢复步骤S3包括:
私钥协同恢复步骤S3.1:当成员的个人或企业密码丢失导致私钥无法恢复,根据协同加密顺序,逆序地通知业务组内成员且预设信任方,预设信任方将自己解密得到的私钥密文传递给下一个信任方,最终传递到组管理员进行解密获得私钥;
私钥协同恢复步骤S3.2:通过离线方式将私钥传递给私钥恢复成员,恢复成员得到私钥后,重新设定密码,利用重新设定的密码对私钥重新对称加密,获得新的私钥密文并替换原私钥密文;
所述人员变更数据保护步骤S4包括:用户在业务组中加入某个组时,在系统的service中记录该组的该用户密钥等级,使用客户端的公钥进行等级记录。每次用户登陆的时候,会通过客户端的公钥判定该用户在业务组中的等级,拉取等级对应的数据。当用户切换到其他业务组的时候,service中进行等级变更处理,将等级降低至该组数据不可见等级。同样的,有新用户加入组的时候,由于业务组拥有所有组内公共数据的解密权,所以service中会通过用户等级判定拉取其等级的可见数据密文,通过组管理员客户端解密,再使用新用户公钥加密。
更为具体地,
人员变更数据保护步骤S4.1:当新用户加入成员组时,设置新用户的密钥等级,使用客户端的公钥进行等级记录;根据客户端的公钥等级判断,获取等级对应的数据;通过组管理员客户端解密,再使用新用户公钥加密;
人员变更数据保护步骤S4.2:当用户离开成员组时,则设置用户的密钥等级,将等级降低至当前成员组数据不可见等级。
轻量加解密包:该加解密包包含SM2P256V1、secp256r1、secp256k1的加解密算法,将各自的加解密算法包中的加密方法、解密方法、签名方法剥离出来。SM2P256V1、secp256r1、secp256k1这三个加解密算法包大小一共超过5M,经过常用方法剥离后,总的大小在600KB左右,整合而成一个轻量级加解密包。该包体积小,可用于小程序开发中使用。
实施例2
实施例2是实施例1的变化例
本发明公开了一个基于企业之间和企业内部,各个业务层级人员之间所组成的业务组的私钥管理与恢复系统。该系统包括组内私钥管理模块、数据抄送模块和私钥协同恢复模块、人员变更数据保护模块以及轻量加解密包(整体系统包体积小,适用于小程序开发)。
组内私钥管理模块:本发明兼容SM2P256V1、secp256r1、secp256k1的加解密算法。根据需要选取一种加密算法,生成一对随机公钥私钥对(记为groupPairKeys),作为组内工具公钥私钥对。以业务组管理员身,将管理员客户端的密码与工具私钥(记为groupPrivKey)做对称加密,获得业务组私钥密文(记为groupPrivKeyEnc),将groupPrivKeyEnc存储至服务器。用户登陆自己本地客户端,从服务器中获取组内公钥(记为groupPubKey),并结合客户端的私钥(记为userPrivKey)做非对称加密,获得客户端私钥恢复密文(记为recoverPrivKeyEnc)。对于userPrivKey,用密码对其对称加密,获得客户端私钥密文(记为userPrivKeyEnc)。对于公司私钥(记为companyPrivKey),适用客户端公钥对其进行非对称加密,获得公司私钥密文(记为companyPrivKeyEnc)。将客户端私钥恢复密文recoverPrivKeyEnc、客户端私钥密文userPrivKeyEnc和公司私钥密文companyPrivKeyEnc作为该用户信息,存储至服务器。
该系统提到的加密算法指的是公开密钥加密算法(public-key cryptography)是一种密码学算法类型,常见的公开密钥加密算法有:背包算法、椭圆曲线加密算法(Elliptic Curve Cryptography,ECC)、迪菲-赫尔曼(Diffie-Hellman)密钥交换协议中的公钥加密算法。
数据抄送模块:对于业务组内的公共业务数据,使用groupPubKey(组内公钥)对数据的敏感部分进行非对称加密,获得加密密文,作为数据的一部分,整体存储到服务器。该部分业务数据为组内共享数据,即组内每个成员都拥有对此类数据的查看权。在用户的客户端中,用户登陆时从服务器中获取groupPubKey(组内公钥)、userPrivKeyEnc(客户端私钥密文)和companyPrivKeyEnc(公司私钥密文)。使用客户端密码对userPrivKeyEnc(客户端私钥密文)解密,获得userPrivKey(客户端的私钥),再通过userPrivKey(客户端的私钥)对companyPrivKeyEnc(公司私钥密文)进行解密,获得companyPrivKey(公司私钥)。对于该客户端业务操作,可对操作后的业务数据的敏感部分使用groupPubKey(组内公钥)和/或用户客户端公钥(即userPubKey)和/或companyPubKey(公司公钥)进行非对称加密,所得到的密文数据的查看权拥有方为组内所有成员和/或客户端用户和/或该用户所在的公司。对于客户端用户,如果想把自己公司私钥抄送给公司内部其他人员时,可从服务器中获取被抄送方的公钥,并用该公钥对公司私钥进行非对称加密,将加密后的密文存入服务器,被抄送方可获得该公司私钥密文,用自己客户端私钥进行解密,获得公司私钥。
私钥协同恢复模块:该模块支持多级协同恢复功能,即组管理员为最终恢复方,可结合由同公司同组且信任方业务员(即信任人)协同恢复。对于组内私钥管理模块生成的recoverPrivKeyEnc,可以直接由组管理员解密恢复私钥。可以结合信任人员一起协同处理私钥密文,提高恢复密钥管理安全性。具体的:前期将recoverPrivKeyEnc发送给第一信任人,第一信任人使用自己userPubKey对recoverPrivKeyEnc进行非对称加密,获得recoverPrivKeyEnc-1,将recoverPrivKeyEnc-1替换服务器中的recoverPrivKeyEnc。将recoverPrivKeyEnc-1发送给第二信任人,第二信任人使用自己的userPubKey对recoverPrivKeyEnc-1进行非对称加密,获得recoverPrivKeyEnc-2,将recoverPrivKeyEnc-2替换服务器中的recoverPrivKeyEnc-1,以此类推。参与的信任人越多,对于恢复密钥管理越安全。当恢复的时候。第二信任人(或者根据上述方法的第N信任人,因为上述方法介绍到第二信任人,所以第二信任人作为系统的第N信任人)从服务器中获取recoverPrivKeyEnc-2(或recoverPrivKeyEnc-N),并使用自己的userPrivKey对其解密获得recoverPrivKeyEnc-1。然后将recoverPrivKeyEnc-1发送给第一信任人(此步骤说明:每次发给前一个协同加密人,即第N-1信任人),第一信任人适用自己的userPrivKey对其解密获得recoverPrivKeyEnc。最后将recoverPrivKeyEnc发送给组管理员,组管理员适用groupPrivKey对其解密获得该需要私钥恢复对用户的userPubKey,然后通过线下渠道将userPubKey发送给该用户。该用户通过本模块重新设置新密码对userPubKey对称加密,将新的userPubKeyEnc替换原来的userPubKeyEnc。
人员变更数据保护模块:该模块支持人员和业务组之间的关系变更。系统服务端内置管理员用户权限。管理员用户可以查看所有系统功能,并新建业务组。新建业务组时,可以选择系统不同功能的不同权限(比如:增、删、改、查等)进行关联。当用户加入一个业务组时,系统服务端通过建立用户和所述业务组的关联关系,使用户达到继承所述业务组权限的效果;当用户退出一个业务组时,系统服务端通过删除用户和所述业务组的关联关系,使用户达到禁用所述业务组权限的效果。
轻量加解密包:该加解密包包含SM2P256V1、secp256r1、secp256k1的加解密算法,将各自的加解密算法包中的加密方法、解密方法、签名方法剥离出来。SM2P256V1、secp256r1、secp256k1这三个加解密算法包大小一共超过5M,经过常用方法剥离后,总的大小在600KB左右,整合而成一个轻量级加解密包。该包体积小,可用于小程序开发中使用。
本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以逻辑门、开关、专用集成电路、可编程逻辑控制器以及嵌入式微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本申请的实施例和实施例中的特征可以任意相互组合。

Claims (10)

1.一种密钥分层管理与协同恢复系统,其特征在于,包括:组内私钥管理模块M1、数据抄送模块M2、私钥协同恢复模块M3和人员变更数据保护模块M4;
通过组内私钥管理模块分配组内用户以及企业的公钥,并对数据进行非对称加密;
将加密的数据发送到各用户的数据抄送模块,实现数据管理;
组内私钥管理模块获取每个用户的私钥密文,将私钥密文通过私钥协同恢复模块将密文下发给信任方依次加密,由组内私钥管理模块管理最终私钥密文;
数据抄送模块在发送公钥给服务端后,服务端的人员变更数据保护模块针对发来的公钥进行等级划分,建立用户与业务组关联关系,继承业务组权限,并将等级反馈回数据抄送模块。
2.根据权利要求1所述的密钥分层管理与协同恢复系统,其特征在于,所述组内私钥管理模块M1包括:
组内私钥管理模块M1.1:选取加密算法随机生成一对公钥私钥对,作为组内工具公钥私钥对;
组内私钥管理模块M1.2:以管理员身份,将管理员客户端的密码与组内工具私钥做对称加密,获得业务组私钥密文;
组内私钥管理模块M1.3:用户登录本地客户端,从服务器中获取组内工具公钥,并结合客户端的私钥做非对称加密,获得客户端私钥恢复密文;
组内私钥管理模块M1.4:用密码对客户端的私钥进行对称加密,获得客户端私钥密文;
组内私钥管理模块M1.5:利用客户端公钥对公司私钥进行非对称加密,获得公司私钥密文;
组内私钥管理模块M1.6:将客户端私钥恢复密文、客户端私钥密文和公司私钥密文作为用户信息,存储至服务器。
3.根据权利要求2所述的密钥分层管理与协同恢复系统,其特征在于,所述组内私钥管理模块M1.1中加密算法包括:加密算法为公开密钥加密算法,所述公开密钥加密算法包括背包算法、椭圆曲线加密算法或迪菲-赫尔曼密钥交换协议中的公钥加密算法;
所述椭圆曲线加密算法包括SM2P256V1、secp256r1和secp256k1的加解密算法。
4.根据权利要求3所述的密钥分层管理与协同恢复系统,其特征在于,所述加解密算法包括加密方法、解密方法和签名方法;将加密方法、解密方法和签名方法结合底层算法进行单独提取,整合成一个轻量级加解密包。
5.根据权利要求1所述的密钥分层管理与协同恢复系统,其特征在于,所述数据抄送模块M2包括:
数据抄送模块M2.1:对于业务组内的公共业务数据,使用组内公钥对公共业务数据的预设部分进行非对称加密,获得加密密文,并将公共业务数据及加密密文存储到服务器,业务组内拥有所有公共业务数据的解密权;
数据抄送模块M2.2:当有成员组加入业务组时,业务组管理员使用加入的成员组的各用户的个人公钥、加入成员组的企业公钥与公共业务数据的预设部分分别进行非对称加密,将生成的密文存储到加入成员组信息中,实现业务组数据抄送,加入成员登录个人账户使用自己的私钥解密数据,查看组内公共业务数据。
6.根据权利要求1所述的密钥分层管理与协同恢复系统,其特征在于,所述私钥协同恢复模块M3包括:
私钥协同恢复模块M3.1:当成员的个人或企业密码丢失导致私钥无法恢复,根据协同加密顺序,逆序地通知业务组内成员且预设信任方,预设信任方将自己解密得到的私钥密文传递给下一个信任方,最终传递到组管理员进行解密获得私钥;
私钥协同恢复模块M3.2:通过离线方式将私钥传递给私钥恢复成员,恢复成员得到私钥后,重新设定密码,利用重新设定的密码对私钥重新对称加密,获得新的私钥密文并替换原私钥密文。
7.根据权利要求1所述的密钥分层管理与协同恢复系统,其特征在于,所述人员变更数据保护模块M4包括:
人员变更数据保护模块M4.1:当新用户加入成员组时,设置新用户的密钥等级,使用客户端的公钥进行等级记录;根据客户端的公钥等级判断,获取等级对应的数据;通过组管理员客户端解密,再使用新用户公钥加密;
人员变更数据保护模块M4.2:当用户离开成员组时,则设置用户的密钥等级,将等级降低至当前成员组数据不可见等级。
8.一种密钥分层管理与协同恢复方法,其特征在于,包括:
组内私钥管理步骤S1:管理员通过组内私钥管理模块分配组内用户以及企业的公钥,并对数据进行非对称加密;
数据抄送步骤S2:将加密的数据发送到各用户的数据抄送模块,实现数据管理;
私钥协同恢复步骤S3:组内私钥管理模块获取每个用户的私钥密文,将私钥密文通过私钥协同恢复模块将密文下发给信任方依次加密,由组内私钥管理模块管理最终私钥密文;
人员变更数据保护步骤S4:数据抄送模块在发送公钥给服务端后,服务端的人员变更数据保护模块针对发来的公钥进行等级划分,建立用户与业务组关联关系,继承业务组权限,并将等级反馈回数据抄送模块。
9.根据权利要求8所述的密钥分层管理与协同恢复方法,其特征在于,所述组内私钥管理步骤S1包括:
组内私钥管理步骤S1.1:选取加密算法随机生成一对公钥私钥对,作为组内工具公钥私钥对;
组内私钥管理步骤S1.2:以管理员身份,将管理员客户端的密码与组内工具私钥做对称加密,获得业务组私钥密文;
组内私钥管理步骤S1.3:用户登录本地客户端,从服务器中获取组内工具公钥,并结合客户端的私钥做非对称加密,获得客户端私钥恢复密文;
组内私钥管理步骤S1.4:用密码对客户端的私钥进行对称加密,获得客户端私钥密文;
组内私钥管理步骤S1.5:利用客户端公钥对公司私钥进行非对称加密,获得公司私钥密文;
组内私钥管理步骤S1.6:将客户端私钥恢复密文、客户端私钥密文和公司私钥密文作为用户信息,存储至服务器;
所述组内私钥管理步骤S1.1中加密算法包括:加密算法为公开密钥加密算法,所述公开密钥加密算法包括背包算法、椭圆曲线加密算法或迪菲-赫尔曼密钥交换协议中的公钥加密算法;
所述椭圆曲线加密算法包括SM2P256V1、secp256r1和secp256k1的加解密算法;
所述加解密算法包括加密方法、解密方法和签名方法;将加密方法、解密方法和签名方法结合底层算法进行单独提取,整合成一个轻量级加解密包。
10.根据权利要求8所述的密钥分层管理与协同恢复方法,其特征在于,所述数据抄送步骤S2包括:
数据抄送步骤S2.1:对于业务组内的公共业务数据,使用组内公钥对公共业务数据的预设部分进行非对称加密,获得加密密文,并将公共业务数据及加密密文存储到服务器,业务组内拥有所有公共业务数据的解密权;
数据抄送步骤S2.2:当有成员组加入业务组时,业务组管理员使用加入的成员组的各用户的个人公钥、加入成员组的企业公钥与公共业务数据的预设部分分别进行非对称加密,将生成的密文存储到加入成员组信息中,实现业务组数据抄送,加入成员登录个人账户使用自己的私钥解密数据,查看组内公共业务数据;
所述私钥协同恢复步骤S3包括:
私钥协同恢复步骤S3.1:当成员的个人或企业密码丢失导致私钥无法恢复,根据协同加密顺序,逆序地通知业务组内成员且预设信任方,预设信任方将自己解密得到的私钥密文传递给下一个信任方,最终传递到组管理员进行解密获得私钥;
私钥协同恢复步骤S3.2:通过离线方式将私钥传递给私钥恢复成员,恢复成员得到私钥后,重新设定密码,利用重新设定的密码对私钥重新对称加密,获得新的私钥密文并替换原私钥密文;
所述人员变更数据保护步骤S4包括:
人员变更数据保护步骤S4.1:当新用户加入成员组时,设置新用户的密钥等级,使用客户端的公钥进行等级记录;根据客户端的公钥等级判断,获取等级对应的数据;通过组管理员客户端解密,再使用新用户公钥加密;
人员变更数据保护步骤S4.2:当用户离开成员组时,则设置用户的密钥等级,将等级降低至当前成员组数据不可见等级。
CN202011033520.4A 2020-09-27 2020-09-27 一种密钥分层管理与协同恢复系统及方法 Active CN112187456B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011033520.4A CN112187456B (zh) 2020-09-27 2020-09-27 一种密钥分层管理与协同恢复系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011033520.4A CN112187456B (zh) 2020-09-27 2020-09-27 一种密钥分层管理与协同恢复系统及方法

Publications (2)

Publication Number Publication Date
CN112187456A CN112187456A (zh) 2021-01-05
CN112187456B true CN112187456B (zh) 2022-09-16

Family

ID=73943642

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011033520.4A Active CN112187456B (zh) 2020-09-27 2020-09-27 一种密钥分层管理与协同恢复系统及方法

Country Status (1)

Country Link
CN (1) CN112187456B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113221155B (zh) * 2021-05-29 2022-07-01 合肥学院 一种多层级与多等级加密的云储存系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108111540A (zh) * 2018-01-30 2018-06-01 西安电子科技大学 一种云存储中支持数据共享的分层访问控制系统及方法
CN109040057A (zh) * 2018-07-26 2018-12-18 百色学院 一种基于区块链的多密钥分级保护隐私系统及方法
CN110300112A (zh) * 2019-07-02 2019-10-01 石家庄铁道大学 区块链密钥分层管理方法
CN111639361A (zh) * 2020-05-15 2020-09-08 中国科学院信息工程研究所 一种区块链密钥管理方法、多人共同签名方法及电子装置

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2008121157A2 (en) * 2006-10-12 2008-10-09 Rsa Security Inc. Cryptographic key management system facilitating secure access of data portions to corresponding groups of users
US10778439B2 (en) * 2015-07-14 2020-09-15 Fmr Llc Seed splitting and firmware extension for secure cryptocurrency key backup, restore, and transaction signing platform apparatuses, methods and systems

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108111540A (zh) * 2018-01-30 2018-06-01 西安电子科技大学 一种云存储中支持数据共享的分层访问控制系统及方法
CN109040057A (zh) * 2018-07-26 2018-12-18 百色学院 一种基于区块链的多密钥分级保护隐私系统及方法
CN110300112A (zh) * 2019-07-02 2019-10-01 石家庄铁道大学 区块链密钥分层管理方法
CN111639361A (zh) * 2020-05-15 2020-09-08 中国科学院信息工程研究所 一种区块链密钥管理方法、多人共同签名方法及电子装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Key Indistinguishability versus Strong Key Indistinguishability for Hierarchical Key Assignment Schemes;Arcangelo Castiglione etc;《IEEE》;20150316;全文 *
集群系统群组密钥管理机制研究与实现;刘迪;《中国优秀硕士学位论文全文数据库-信息科技辑》;20150415;全文 *

Also Published As

Publication number Publication date
CN112187456A (zh) 2021-01-05

Similar Documents

Publication Publication Date Title
US6662299B1 (en) Method and apparatus for reconstituting an encryption key based on multiple user responses
US8139770B2 (en) Cryptographic key backup and escrow system
Samanthula et al. A secure data sharing and query processing framework via federation of cloud computing
US5481613A (en) Computer network cryptographic key distribution system
JP3820777B2 (ja) 秘密鍵寄託システムおよび方法
Samanthula et al. An efficient and secure data sharing framework using homomorphic encryption in the cloud
JPH11239124A (ja) 秘密鍵回復方法および装置
CN111431897B (zh) 用于云协助物联网的带追踪的多属性机构属性基加密方法
CN109543434B (zh) 区块链信息加密方法、解密方法、存储方法及装置
CN114826696B (zh) 文件内容分级共享方法、装置、设备及介质
CN106254342A (zh) Android平台下支持文件加密的安全云存储方法
CN111181719B (zh) 云环境下基于属性加密的分层访问控制方法及系统
CN113901512A (zh) 数据共享方法及系统
WO2017126571A1 (ja) 暗号文管理方法、暗号文管理装置及びプログラム
US8161565B1 (en) Key release systems, components and methods
CN112187456B (zh) 一种密钥分层管理与协同恢复系统及方法
CN112054901B (zh) 一种支持多种密钥体系的密钥管理方法及系统
CN112187767A (zh) 基于区块链的多方合同共识系统、方法及介质
CN108173880B (zh) 一种基于第三方密钥管理的文件加密系统
CN108494552B (zh) 支持高效收敛密钥管理的云存储数据去重方法
CN115412236A (zh) 一种密钥管理和密码计算的方法、加密方法及装置
US6823070B1 (en) Method for key escrow in a communication system and apparatus therefor
Ma et al. A secure and efficient data deduplication scheme with dynamic ownership management in cloud computing
CN110474873B (zh) 一种基于知悉范围加密的电子文件访问控制方法和系统
Kamboj et al. DEDUP: Deduplication system for encrypted data in cloud

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant