CN112437068A - 认证及密钥协商方法、装置和系统 - Google Patents
认证及密钥协商方法、装置和系统 Download PDFInfo
- Publication number
- CN112437068A CN112437068A CN202011263722.8A CN202011263722A CN112437068A CN 112437068 A CN112437068 A CN 112437068A CN 202011263722 A CN202011263722 A CN 202011263722A CN 112437068 A CN112437068 A CN 112437068A
- Authority
- CN
- China
- Prior art keywords
- authentication
- platform
- ese
- key
- terminal equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Abstract
本申请提供了一种认证及密钥协商方法、装置和系统;其方法包括终端设备发送SE/eSE双向认证数据至认证平台;认证平台根据SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,并进行密钥协商,生成第一应用密钥;认证平台将认证平台双向认证数据发送至终端设备,终端设备对认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥。该方法简化了双向认证流程,提升了双向认证可靠性。且应用密钥通过动态协商生成能有效减小了应用密钥被非法泄露后的影响范围,提升了业务数据的安全性。
Description
技术领域
本申请涉及数据处理技术领域,具体涉及一种认证及密钥协商方法、装置和系统。
背景技术
随着物联网应用越来越广泛,物联网终端设备安全接入物联网数字身份认证平台是物联网安全的关键环节。物联网终端设备通常会集成一颗安全元素(即SE/eSE),SE/eSE中存储一些安全密钥和应用密钥,用于标识物联网终端设备的合法性。物联网终端设备上电时,会主动开启与数字身份认证平台的双向认证、认证及密钥协商以及密钥确认流程。
物联网终端设备接入数字身份认证平台时,网络连接可靠性比较差,网络连接容易断开。目前,大多数的双向认证交互流程复杂,并且基于非对称密钥和证书体系的双向认证流程需要交换证书,数据量比较大,在不可靠的网络连接环境中,容易导致双向认证失败。
申请内容
有鉴于此,本申请实施例中提供了一种认证及密钥协商方法、终端设备和计算机可读存储介质,以克服现有技术中大多数的双向认证交互流程复杂,并且基于非对称密钥和证书体系的双向认证流程需要交换证书,数据量比较大,在不可靠的网络连接环境中,容易导致双向认证失败的问题。
第一方面,本申请实施例提供了一种认证及密钥协商方法,该方法包括:
终端设备发送SE/eSE双向认证数据至认证平台;
所述认证平台根据所述SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,并进行密钥协商,生成第一应用密钥;其中,所述第一应用密钥用在业务平台校验和解密所述终端设备上传的业务数据;
所述认证平台将所述认证平台双向认证数据发送至所述终端设备,所述终端设备对所述认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,所述第二应用密钥用在所述终端设备在采集所述业务数据时对所述业务数据进行校验。
第二方面,本申请实施例提供了一种认证及密钥协商装置,该装置包括:
第一认证数据发送模块,用于终端设备发送SE/eSE双向认证数据至认证平台;
第一信息查找模块,用于所述认证平台根据所述SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息;
第一验证模块,用于根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证;
第一平台认证数据生成模块,用于在验证通过时,生成认证平台双向认证数据;
第一密钥协商模块,用于进行密钥协商,生成第一应用密钥;其中,所述第一应用密钥用在业务平台校验和解密所述终端设备上传的业务数据;
第二认证数据发送模块,用于所述认证平台将所述认证平台双向认证数据发送至所述终端设备;
第二验证模块,用于所述终端设备对所述认证平台双向认证数据进行验证;
第二密钥协商模块,用于在验证通过时,进行密钥协商,生成第二应用密钥,其中,所述第二应用密钥用在所述终端设备在采集所述业务数据时对所述业务数据进行校验。
第三方面,本申请实施例提供了一种认证及密钥协商方法,所述方法包括:
终端设备通过业务平台发送SE/eSE双向认证数据至认证平台;
所述认证平台根据所述SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,并进行密钥协商,生成第一应用密钥;且发送所述认证平台双向认证数据和所述第一应用密钥至所述业务平台;其中,所述第一应用密钥用在业务平台校验和解密所述终端设备上传的业务数据;
所述业务平台将所述认证平台双向认证数据发送至所述终端设备,所述终端设备对所述认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,所述第二应用密钥用在所述终端设备在采集所述业务数据时对所述业务数据进行校验。
第四方面,本申请实施例提供了一种认证及密钥协商装置,所述装置包括:
第三认证数据发送模块,用于终端设备通过业务平台发送SE/eSE双向认证数据至认证平台;
第二信息查找模块,用于所述认证平台根据所述SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息;
第三验证模块,用于根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证;
第二平台认证数据生成模块,用于在验证通过时,生成认证平台双向认证数据;
第三密钥协商模块,用于进行密钥协商,生成第一应用密钥;
认证数据及应用密钥发送模块,用于发送所述认证平台双向认证数据和所述第一应用密钥至所述业务平台;其中,所述第一应用密钥用在业务平台校验和解密所述终端设备上传的业务数据;
第四认证数据发送模块,用于所述业务平台将所述认证平台双向认证数据发送至所述终端设备;
第四验证模块,用于所述终端设备对所述认证平台双向认证数据进行验证
第四密钥协商模块,用于在验证通过时,进行密钥协商,生成第二应用密钥,其中,所述第二应用密钥用在所述终端设备在采集所述业务数据时对所述业务数据进行校验。
第五方面,本申请实施例提供了一种认证及密钥协商系统,包括:终端设备和认证平台,或包括终端设备、业务平台和认证平台;所述终端设备连接所述认证平台,或所述终端设备通过所述业务平台连接所述认证平台;
所述终端设备用于执行第一方面或第三方面提供的方法中所述终端设备所执行的步骤;
所述认证平台用于执行第一方面或第三方面提供的方法中所述认证平台所执行的步骤;
所述业务平台用于执行如第三方面提供的方法中所述业务平台所执行的步骤。
本申请实施例提供的一种认证及密钥协商方法、装置和系统,终端设备发送SE/eSE双向认证数据至认证平台;认证平台根据SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,并进行密钥协商,生成第一应用密钥;其中,第一应用密钥用在业务平台校验和解密终端设备上传的业务数据;认证平台将认证平台双向认证数据发送至终端设备,终端设备对认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,第二应用密钥用在终端设备在采集业务数据时对业务数据进行校验;该方法通过终端设备和认证平台之间的两次认证、密钥协商以及密钥确认,简化了双向认证流程,提升了双向认证可靠性;另外,应用密钥在双向认证过程中动态密钥协商生成,减少了对应用密钥的分发和管理环节,有利于产业化实施,并且能有效减小了应用密钥被非法泄露后的影响范围,提升了业务数据的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请一个实施例提供的认证及密钥协商方法的应用场景(即认证及密钥协商系统)示意图;
图2为申请另一个实施例提供的认证及密钥协商方法的应用场景(即认证及密钥协商系统)示意图;
图3为本申请一个实施例提供的认证及密钥协商方法的流程示意图;
图4为本申请另一个实施例提供的认证及密钥协商方法的流程示意图;
图5为本申请一个实施例提供的认证及密钥协商装置的结构示意图。
具体实施方式
下面将对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为了更详细说明本申请,下面结合附图对本申请提供的一种认证及密钥协商方法、装置和系统,进行具体地描述。
请参考图1,图1示出了本申请实施例提供的认证及密钥协商方法的应用场景的示意图(即认证及密钥协商系统的示意图),该应用场景包括本申请实施例提供的终端设备100和认证平台200,终端设备100可以包括但不限于智能手机和计算机设备。终端设备100可以集成并安装SE/eSE装置或设备,当终端设备100开机时可以获取SE/eSE双向认证数据并将SE/eSE双向认证数据发送至认证平台200。认证平台200可以对SE/eSE双向认证数据进行认证或验证,在验证通过后,生成认证平台双向认证数据和密钥协商生成第一应用密钥,并将认证平台双向认证数据发送至终端设备100,终端设备100可以对认证平台双向认证数据进行认证或验证,在验证通过后,进行密钥协商,生成第二应用密钥。另外,认证平台200可以通过终端设备100等预先接收SE/eSE身份信息,从而来对SE/eSE装置或设备完成注册,从而得到SE/eSE注册身份信息并存储在认证平台的数据库中。
可选地,认证平台200中可以设置有双向认证接口(例如idAuth()),终端设备可以调用该双向认证接口,从而发送发送SE/eSE双向认证数据至认证平台。
SE/eSE装置或设备是由SE制造商制造的,其中SE/eSE装置或设备中包含有SE/eSE身份信息。
请参考图2,在一种可选的实施方式中,该应用场景包括本申请实施例提供的终端设备100和认证平台200之外,还可以业务平台300,其中业务平台300设置在终端设备100与认证平台200之间,可以用来作为终端设备100和认证平台200之间互相数据转发的中间平台。此外,业务平台300也可以用来存储第一应用密钥和业务数据等。
本实施例仅以终端设备100可以是物联网终端设备,认证平台200可以是数字身份认证平台。本实施例仅以一个终端设备、认证平台和业务平台来来举例说明。本领域技术人员可以知晓,上述终端设备、认证平台和业务平台的数量可以更多或更少。比如上述终端设备可以仅为几个,或者上述终端设备为几十个或几百个,或者更多数量,本申请实施例对终端设备的数量和类型不加以限定。
基于此,本申请实施例中提供了一种认证及密钥协商方法。请参阅3,图3示出了本申请实施例提供的一种认证及密钥协商方法的流程示意图,以该方法应用于图1中的认证及密钥协商系统为例进行说明,包括以下步骤:
步骤S110,终端设备发送SE/eSE双向认证数据至认证平台;
在本实施例中以终端设备和认证平台两端为主体来进行描述的。其中,SE/eSE双向认证数据包括:SE/eSE标识信息、认证计数器、SE随机数、SE临时公钥值以及SE签名值。
SE/eSE标识信息,即SEID,是SE/eSE的唯一身份标识。
认证计数器:每次认证,认证计数器必须递增,用于防止同一个双向认证请求数据重复非法请求。
SE随机数是SE生成的,用于增强认证数据的随机性,使得每次进行签名验签计算时,数据元都不同,所计算的签名值也不同。
SE临时公钥值是在指在进行双向认证时,SE临时生成的一对公私钥对,主要用于在认证平台中进行应用密钥协商;
SE签名值是使用SE的私钥对认证数据签名运算得到该签名值。
步骤S120,认证平台根据SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,并进行密钥协商,生成第一应用密钥;其中,第一应用密钥用在业务平台校验和解密终端设备上传的业务数据;
具体地,认证平台根据已注册的SE/eSE身份信息(即SE/eSE注册身份信息)来检验SE/eSE双向认证数据进行验证;通常是校验SE/eSE双向认证数据的合法性,如果不合法则终止双向认证流程,如果合法则表示验证通过,生成认证平台双向认证数据,并且在认证平台中进行密钥协商,动态生成应用密钥,即第一应用密钥。其中,第一应用密钥主要用在业务平台中,以供业务平台在接收终端设备上传的业务数据时对业务数据进行校验和解密处理。
步骤S130,认证平台将认证平台双向认证数据发送至终端设备,终端设备对认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,第二应用密钥用在终端设备在采集业务数据时对业务数据进行校验。
终端设备在接收到认证平台双向数据时,终端设备需要对认证平台双向数据进行验证,通常是检验认证平台双向认证数据的合法性,如果不合法则重新发起双向认证流程,直至达到双向认证重试次数,如果合法则表示验证通过;在验证通过后进行密钥协商,动态生成应用密钥,即第二应用密钥。其中,第二应用密钥用于保护终端设备采集的业务数据进行校验,以保证业务数据的真实性、机密性和完整性。
本申请实施例提供的一种认证及密钥协商方法,终端设备发送SE/eSE双向认证数据至认证平台;认证平台根据SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,并进行密钥协商,生成第一应用密钥;其中,第一应用密钥用在业务平台校验和解密终端设备上传的业务数据;认证平台将认证平台双向认证数据发送至终端设备,终端设备对认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,第二应用密钥用在终端设备在采集业务数据时对业务数据进行校验;该方法通过终端设备和认证平台之间的两次认证、密钥协商以及密钥确认,简化了双向认证流程,提升了双向认证可靠性;另外,应用密钥在双向认证过程中动态密钥协商生成,减少了对应用密钥的分发和管理环节,有利于产业化实施,并且能有效减小了应用密钥被非法泄露后的影响范围,提升了业务数据的安全性。
在一个实施例中,在终端设备发送SE/eSE双向认证数据至认证平台的步骤之前,包括:
终端设备将SE/eSE身份信息发送至认证平台,认证平台对SE/eSE身份信息进行注册,得到SE/eSE注册身份信息并存储。
具体地,在SE制造商制备出SE/eSE装置或设备时,需要在认证平台上对SE/eSE装置或设备进行信息注册,从而生成SE/eSE注册身份信息。
可选地,可以采用终端设备将SE/eSE身份信息发送至认证平台,认证平台根据SE/eSE身份信息进行信息注册,即可以得到SE/eSE注册身份信息。其中,SE/eSE身份信息是指与SE/eSE装置或设备相关的一些信息,包括SE制造商在制备SE/eSE装置或设备时产生的一些数据信息等。
应当理解,在对SE/eSE装置或设备进行信息注册时不限于本实施例中提到的终端设备将SE/eSE身份信息发送至认证平台,根据本发明的技术启示,本领域技术人员还可以采用其他只要认证平台能得到SE/eSE身份信息并对其完成注册即可。
在一些实施例中,SE/eSE身份信息包括SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值,在认证平台对SE/eSE身份信息进行注册,得到SE/eSE注册身份信息并存储的步骤中,包括:
认证平台根据SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值在验证SE制造商身份合法以及注册信息合法时,注册完成,得到SE/eSE注册身份信息并存储。
具体而言,SE/eSE身份信息包括SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值。
其中,SE制造商标识信息,即SE制造商ID,用于标识SE制造商;
SE制造商公钥证书由CI机构签发,用于认证平台校验SE制造商身份的合法性;
SE公钥证书由SE制造商签发,包含SE/eSE的公钥值、SEID和算法标识等,用于校验SE/eSE双向认证数据中的签名值的合法性;
SE身份信息签名值签名值是SE制造商使用自己的私钥对SE制造商标识信息、SE制造商公钥证书和SE公钥证书等数据做签名运算得到的,用于数字身份认证平台验证该注册信息的合法性。
由于SE/eSE身份信息包括SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值这些信息,那么SE/eSE注册身份信息也包括SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值等信息。
在一个实施例中,SE/eSE注册身份信息包括SE公钥证书;SE/eSE双向认证数据包括SE/eSE标识信息、第一认证计数器、SE签名值;在根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证的步骤中,包括:认证平台根据SE/eSE标识信息来查找对应的SE/eSE注册身份信息;
认证平台验证第一认证计数器是否合法;在第一认证计数器合法时,认证平台从对应的SE/eSE注册身份信息的SE公钥证书中提取第一公钥值,并根据第一公钥值来检验SE签名值是否合法;当SE签名值合法时,验证通过。
具体地,认证平台接收到SE/eSE双向认证数据后,认证平台会执行如下认证操作:(1)根据SE/eSE标识信息来查找对应的SE/eSE注册身份信息,即根据SEID搜索SE/eSE是否合法注册,如果是未注册的认证请求则终止双向认证流程;(2)校验第一认证计数器是否合法,如果非法则终止双向认证流程,从而来排除同一个双向认证数据重复非法请求;(3)提取SE公钥证书中的第一公钥值,校验SE签名值是否合法,如果非法则终止双向认证流程;如果合法则表示验证通过。
在一个实施例中,SE/eSE双向认证数据包括SE临时公钥值;在进行密钥协商,生成第一应用密钥的步骤中,包括:认证平台根据SE临时公钥值进行密钥协商,生成第一应用密钥。
具体地,认证平台校验SE/eSE双向认证数据合法性通过之后,认证平台会实施应用密钥动态生成,并生成认证平台双向认证数据,其中主要SE临时公钥值进行密钥协商,生成第一应用密钥。
另外,认证平台双向认证数据包括平台标识信息、认证计数器、平台随机数、平台公钥证书、平台临时公钥和密钥校验值等。
其中平台标识信息,即平台ID,唯一标识服务器身份ID;
认证计数器:同SE/eSE上送的认证计数器;平台随机数是平台生成的,用于增强认证数据的随机性,使得每次进行签名验签计算时,数据元都不同,所计算的签名值也不同;
平台公钥证书是用来检验平台签名值是否合法;
平台临时公钥:用于应用密钥协商,即生成第二应用密钥;
密钥校验值,用于来确认第二应用密钥是否正确;其中密钥校验值可以是应用密钥确认MAC值;
平台签名值:使用数字身份证平台的私钥,对认证证双向数据签名运算得到该签名值。
在一个实施例中,认证平台双向认证数据包括第二认证计数器、CI根公钥、平台公钥证书和平台签名值;终端设备对认证平台双向认证数据进行验证的步骤中,包括:终端设备验证第二认证计数器是否合法;当第二认证计数器合法时,终端设备根据CI根公钥验证平台公钥证书是否合法;
当平台公钥证书合法时,终端设备从平台公钥证书中提取第二公钥值,并根据第二公钥值来检验平台签名值是否合法;当平台签名值合法时,验证通过。
具体地,终端设备在接收到认证平台双向认证数据后,终端设备做以下认证操作:校验第二认证计数器是否合法;在第二认证计数器合法时,使用CI根公钥校验平台公钥证书的合法性,如果合法则提平台公钥证书中的第二公钥值;然后使用第二公钥值校验平台签名值是否合法;当平台签名值合法时,表示验证通过。
在一个实施例中,认证平台双向认证数据包括平台临时公钥值和密钥校验值;进行密钥协商,生成第二应用密钥的步骤中,包括:终端设备根据平台临时公钥值进行密钥协商,生成初始第二应用密钥;终端设备根据密钥校验值检验初始第二应用密钥是否正确,在正确时,生成第二应用密钥。
在验证通过后,终端设备根据双向认证过程中的交互数据实施应用密钥的动态生成;即终端设备根据平台临时公钥值进行密钥协商,生成初始第二应用密钥;终端设备根据密钥校验值检验初始第二应用密钥是否正确,在正确时,生成第二应用密钥。
可选地,根据密钥校验值检验初始第二应用密钥是否正确时,可以采用密钥确认MAC值来确定第二应用密钥校验应用密钥是否正确,如果正确则表示第二应用密钥动态协商成功。
在一种可选的实施方式中,终端设备与认证平台进行应用密钥协商(即计算第二应用密钥)时,密钥协商算法可以是但不限于SM2或者ECC。其中参与密钥协商的数据元包含如下数据元:对方ID、对方公钥、对方临时公钥、己方ID、己方公私钥和己方临时公私钥。
在一些实施例中,终端设备采用MAC值确定第二应用密钥时所使用的数据元,以及SE校验应用密钥确认MAC值时所使用的数据元主要包括如下数据元:SE随机数、平台随机数等。
在一些实施例中,终端设备与认证平台所协商的第二应用密钥的算法类型可以是但不限于TDES、SM4或AES等对称密钥算法类型。
此外,本申请实施例中还提供了一种认证及密钥协商方法。请参阅图4,图4示出了本申请实施例提供的一种文本公式的定位方法的流程示意图,以该方法应用于图2中的服务器为例进行说明,包括以下步骤:
终端设备通过业务平台发送SE/eSE双向认证数据至认证平台;
认证平台根据SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,进行密钥协商并进行密钥协商,生成第一应用密钥;且发送认证平台双向认证数据和第一应用密钥至业务平台;其中,第一应用密钥用在业务平台校验和解密终端设备上传的业务数据;
业务平台将认证平台双向认证数据发送至终端设备,终端设备对认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,第二应用密钥用在终端设备在采集业务数据时对业务数据进行校验。
具体地,在本实施例中以终端设备、业务平台以及认证平台两端为主体来进行描述的。终端设备开机时获取SE/eSE双向认证数据,并将SE/eSE的双向认证数据发送给业务平台;业务平台将SE/eSE的双向认证数据转发给认证平台;认证平台根据已注册的SE/eSE的数字身份认证信息,校验SE/eSE双向认证数据的合法性,如果不合法则终止双向认证流程,如果合法则生成认证平台双向认证数据,并进行密钥协商,动态生成第一应用密钥;认证平台将其认证数据和动态协商的第一应用密钥返回给业务平台,其中,动态协商的应用密钥在接口传输时使用数字身份认证平台和业务平台之间专属的传输密钥保护;业务平台将数字身份认证平台的双向认证数据转发给物联网终端设备,将动态协商的应用密钥存储到数据库,用于校验和解密后续终端设备上送的业务数据;终端设备认证平台双向认证数据的合法性,如果不合法则重新发起双向认证流程,直至达到双向认证重试次数,如果合法则进行密钥协商,动态生成第二应用密钥。
应该理解的是,虽然图3至图4的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,这些步骤可以以其它的顺序执行。而且图3至图4中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,这些子步骤或者阶段的执行顺序也不必然是依次进行,而是可以与其它步骤或者其它步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
上述本申请公开的实施例中详细描述了一种认证及密钥协商方法,对于本申请公开的上述方法可采用多种形式的设备实现,因此本申请还公开了对应上述方法的认证及密钥协商装置,下面给出具体的实施例进行详细说明。
请参阅图5,为本申请实施例公开的一种认证及密钥协商装置,主要包括:
第一认证数据发送模块,用于终端设备发送SE/eSE双向认证数据至认证平台;
第一信息查找模块,用于认证平台根据SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息;
第一验证模块,用于根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证;
第一平台认证数据生成模块,用于在验证通过时,生成认证平台双向认证数据;
第一密钥协商模块,用于进行密钥协商,生成第一应用密钥;其中,第一应用密钥用在业务平台校验和解密终端设备上传的业务数据;
第二认证数据发送模块,用于认证平台将认证平台双向认证数据发送至终端设备;
第二验证模块,用于终端设备对认证平台双向认证数据进行验证;
第二密钥协商模块,用于在验证通过时,进行密钥协商,生成第二应用密钥,其中,第二应用密钥用在终端设备在采集业务数据时对业务数据进行校验。
在一个实施例中,包括:
SE/eSE身份信息发送模块,用于终端设备将SE/eSE身份信息发送至认证平台;
身份信息注册模块,用于认证平台对SE/eSE身份信息进行注册,得到SE/eSE注册身份信息并存储。
在一个实施例中,SE/eSE身份信息包括SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值,身份信息注册模块,还用于认证平台根据SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值在验证SE制造商身份合法以及注册信息合法时,注册完成,得到SE/eSE注册身份信息并存储。
在一个实施例中,SE/eSE注册身份信息包括SE公钥证书;SE/eSE双向认证数据包括SE/eSE标识信息、第一认证计数器、SE签名值;第一验证模块包括:身份信息查找模块、计数器验证模块、第一公钥值提取模块、SE签名值验证模块和第一验证通过模块;
身份信息查找模块,用于认证平台根据SE/eSE标识信息来查找对应的SE/eSE注册身份信息;
计数器验证模块,用于认证平台验证第一认证计数器是否合法;
第一公钥值提取模块,用于在第一认证计数器合法时,认证平台从对应的SE/eSE注册身份信息的SE公钥证书中提取第一公钥值;
SE签名值验证模块,用于根据第一公钥值来检验SE签名值是否合法;
第一验证通过模块,用于当SE签名值合法时,验证通过。
在一个实施例中,SE/eSE双向认证数据包括SE临时公钥值;第一密钥协商模块,还用于认证平台根据SE临时公钥值进行密钥协商,生成第一应用密钥。
在一个实施例中,认证平台双向认证数据包括第二认证计数器、CI根公钥、平台公钥证书和平台签名值;第二验证模块包括第二认证计数器验证模块、平台公钥证书验证模块、第二公钥值提取模块、平台签名值验证模块和第二验证通过模块;
第二认证计数器验证模块,用于终端设备验证第二认证计数器是否合法;
平台公钥证书验证模块,用于当第二认证计数器合法时,终端设备根据CI根公钥验证平台公钥证书是否合法;
第二公钥值提取模块,用于当平台公钥证书合法时,终端设备从平台公钥证书中提取第二公钥值;
平台签名值验证模块,用于根据第二公钥值来检验平台签名值是否合法;
第二验证通过模块,用于当平台签名值合法时,验证通过。
在一个实施例中,认证平台双向认证数据包括平台临时公钥值和密钥校验值;第二密钥协商模块包括初始应用密钥生成模块:
初始应用密钥生成模块,用于终端设备根据平台临时公钥值进行密钥协商,生成初始第二应用密钥;
第二密钥协商模块,还用于终端设备根据密钥校验值检验初始第二应用密钥是否正确,在正确时,生成第二应用密钥。
关于认证及密钥协商装置的具体限定可以参见上文中对于方法(以终端设备和认证平台两端为主体来进行描述的方法)的限定,在此不再赘述。上述装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于终端设备中的处理器中,也可以以软件形式存储于终端设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
上述本申请公开的实施例中详细描述了一种认证及密钥协商方法,对于本申请公开的上述方法可采用多种形式的设备实现,因此本申请还公开了对应上述方法的认证及密钥协商装置,下面给出具体的实施例进行详细说明。
本申请实施例公开的一种认证及密钥协商装置,主要包括:
第三认证数据发送模块,用于终端设备通过业务平台发送SE/eSE双向认证数据至认证平台;
第二信息查找模块,用于认证平台根据SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息;
第三验证模块,用于根据SE/eSE注册身份信息来对SE/eSE双向认证数据进行验证;
第二平台认证数据生成模块,用于在验证通过时,生成认证平台双向认证数据;
第三密钥协商模块,用于进行密钥协商,生成第一应用密钥;
认证数据及应用密钥发送模块,用于发送认证平台双向认证数据和第一应用密钥至业务平台;其中,第一应用密钥用在业务平台校验和解密终端设备上传的业务数据;
第四认证数据发送模块,用于业务平台将认证平台双向认证数据发送至终端设备;
第四验证模块,用于终端设备对认证平台双向认证数据进行验证
第四密钥协商模块,用于在验证通过时,进行密钥协商,生成第二应用密钥,其中,第二应用密钥用在终端设备在采集业务数据时对业务数据进行校验。
关于认证及密钥协商装置的具体限定可以参见上文中对于方法(以终端设备、认证平台和业务平台为主体来进行描述的方法)的限定,在此不再赘述。上述装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于终端设备中的处理器中,也可以以软件形式存储于终端设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
此外,本发明实施例中还提供了一种认证及密钥协商系统。
一种认证及密钥协商系统,包括:终端设备和认证平台,或包括终端设备、业务平台和认证平台;终端设备连接认证平台,或终端设备通过业务平台连接认证平台;
终端设备用于执行认证及密钥协商方法实施例中终端设备所执行的步骤;
认证平台用于执行认证及密钥协商方法实施例中中认证平台所执行的步骤;
业务平台用于执行认证及密钥协商方法实施例中业务平台所执行的步骤。
其中,认证及密钥协商系统可以是图1或图2中提供的系统。本申请实施例提供的系统用于实现前述方法实施例中相应的认证及密钥协商方法,并具有相应的方法实施例的有益效果,在此不再赘述。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
应当理解,尽管在本发明实施例中可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本发明范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种认证及密钥协商方法,其特征在于,所述方法包括:
终端设备发送SE/eSE双向认证数据至认证平台;
所述认证平台根据所述SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,并进行密钥协商,生成第一应用密钥;其中,所述第一应用密钥用在业务平台校验和解密所述终端设备上传的业务数据;
所述认证平台将所述认证平台双向认证数据发送至所述终端设备,所述终端设备对所述认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,所述第二应用密钥用在所述终端设备在采集所述业务数据时对所述业务数据进行校验。
2.根据权利要求1所述的方法,其特征在于,在终端设备发送SE/eSE双向认证数据至认证平台的步骤之前,包括:
所述终端设备将SE/eSE身份信息发送至所述认证平台,所述认证平台对所述SE/eSE身份信息进行注册,得到所述SE/eSE注册身份信息并存储。
3.根据权利要求2所述的方法,其特征在于,所述SE/eSE身份信息包括SE制造商标识信息、SE制造商公钥证书、SE公钥证书和SE身份信息签名值,在所述认证平台对所述SE/eSE身份信息进行注册,得到所述SE/eSE注册身份信息并存储的步骤中,包括:
所述认证平台根据所述SE制造商标识信息、所述SE制造商公钥证书、所述SE公钥证书和所述SE身份信息签名值在验证SE制造商身份合法以及注册信息合法时,注册完成,得到所述SE/eSE注册身份信息并存储。
4.根据权利要求3所述的方法,其特征在于,所述SE/eSE注册身份信息包括SE公钥证书;所述SE/eSE双向认证数据包括SE/eSE标识信息、第一认证计数器、SE签名值;在根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证的步骤中,包括:
所述认证平台根据所述SE/eSE标识信息来查找对应的SE/eSE注册身份信息;
所述认证平台验证所述第一认证计数器是否合法;在所述第一认证计数器合法时,所述认证平台从所述对应的SE/eSE注册身份信息的SE公钥证书中提取第一公钥值,并根据所述第一公钥值来检验所述SE签名值是否合法;
当所述SE签名值合法时,验证通过。
5.根据权利要求4所述的方法,其特征在于,所述SE/eSE双向认证数据包括SE临时公钥值;在进行密钥协商,生成第一应用密钥的步骤中,包括:
所述认证平台根据所述SE临时公钥值进行密钥协商,生成所述第一应用密钥。
6.根据权利要求1-5任一项所述的方法,其特征在于,所述认证平台双向认证数据包括第二认证计数器、CI根公钥、平台公钥证书和平台签名值;所述终端设备对所述认证平台双向认证数据进行验证的步骤中,包括:
所述终端设备验证所述第二认证计数器是否合法;
当所述第二认证计数器合法时,所述终端设备根据所述CI根公钥验证所述平台公钥证书是否合法;
当所述平台公钥证书合法时,所述终端设备从所述平台公钥证书中提取第二公钥值,并根据所述第二公钥值来检验所述平台签名值是否合法;
当所述平台签名值合法时,验证通过。
7.根据权利要求6所述的方法,其特征在于,所述认证平台双向认证数据包括平台临时公钥值和密钥校验值;进行密钥协商,生成第二应用密钥的步骤中,包括:
所述终端设备根据所述平台临时公钥值进行密钥协商,生成初始第二应用密钥;
所述终端设备根据所述密钥校验值检验所述初始第二应用密钥是否正确,在正确时,生成所述第二应用密钥。
8.一种认证及密钥协商方法,其特征在于,所述方法包括:
终端设备通过业务平台发送SE/eSE双向认证数据至认证平台;
所述认证平台根据所述SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息,并根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证,在验证通过时,生成认证平台双向认证数据,进行密钥协商并进行密钥协商,生成第一应用密钥;且发送所述认证平台双向认证数据和所述第一应用密钥至所述业务平台;其中,所述第一应用密钥用在业务平台校验和解密所述终端设备上传的业务数据;
所述业务平台将所述认证平台双向认证数据发送至所述终端设备,所述终端设备对所述认证平台双向认证数据进行验证,在验证通过时,进行密钥协商,生成第二应用密钥,其中,所述第二应用密钥用在所述终端设备在采集所述业务数据时对所述业务数据进行校验。
9.一种认证及密钥协商装置,其特征在于,所述装置包括:
第一认证数据发送模块,用于终端设备发送SE/eSE双向认证数据至认证平台;
第一信息查找模块,用于所述认证平台根据所述SE/eSE双向认证数据来查找对应的SE/eSE注册身份信息;
第一验证模块,用于根据所述SE/eSE注册身份信息来对所述SE/eSE双向认证数据进行验证;
第一平台认证数据生成模块,用于在验证通过时,生成认证平台双向认证数据;
第一密钥协商模块,用于进行密钥协商,生成第一应用密钥;其中,所述第一应用密钥用在业务平台校验和解密所述终端设备上传的业务数据;
第二认证数据发送模块,用于所述认证平台将所述认证平台双向认证数据发送至所述终端设备;
第二验证模块,用于所述终端设备对所述认证平台双向认证数据进行验证;
第二密钥协商模块,用于在验证通过时,进行密钥协商,生成第二应用密钥,其中,所述第二应用密钥用在所述终端设备在采集所述业务数据时对所述业务数据进行校验。
10.一种认证及密钥协商系统,其特征在于,包括:终端设备和认证平台,或包括终端设备、业务平台和认证平台;所述终端设备连接所述认证平台,或所述终端设备通过所述业务平台连接所述认证平台;
所述终端设备用于执行如权利要求1-7任一项或权利要求8所述的方法中所述终端设备所执行的步骤;
所述认证平台用于执行如权利要求1-7任一项或权利要求8所述的方法中所述认证平台所执行的步骤;
所述业务平台用于执行如权利要求8所述的方法中所述业务平台所执行的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011263722.8A CN112437068B (zh) | 2020-11-12 | 2020-11-12 | 认证及密钥协商方法、装置和系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011263722.8A CN112437068B (zh) | 2020-11-12 | 2020-11-12 | 认证及密钥协商方法、装置和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112437068A true CN112437068A (zh) | 2021-03-02 |
CN112437068B CN112437068B (zh) | 2022-07-12 |
Family
ID=74701059
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011263722.8A Active CN112437068B (zh) | 2020-11-12 | 2020-11-12 | 认证及密钥协商方法、装置和系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112437068B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208698A (zh) * | 2022-09-15 | 2022-10-18 | 中国信息通信研究院 | 基于区块链的物联网身份认证方法和装置 |
CN115529127A (zh) * | 2022-09-23 | 2022-12-27 | 中科海川(北京)科技有限公司 | 基于sd-wan场景的设备认证方法、装置、介质、设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101009919A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
CN101052033A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 基于ttp的认证与密钥协商方法及其装置 |
CN101159549A (zh) * | 2007-11-08 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种双向接入认证方法 |
CN107370597A (zh) * | 2017-07-11 | 2017-11-21 | 深圳市雪球科技有限公司 | 基于物联网的安全认证方法以及安全认证系统 |
CN110166453A (zh) * | 2019-05-21 | 2019-08-23 | 广东联合电子服务股份有限公司 | 一种基于se芯片的接口认证方法、系统及存储介质 |
-
2020
- 2020-11-12 CN CN202011263722.8A patent/CN112437068B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101009919A (zh) * | 2006-01-24 | 2007-08-01 | 华为技术有限公司 | 一种基于移动网络端到端通信的认证方法 |
CN101052033A (zh) * | 2006-04-05 | 2007-10-10 | 华为技术有限公司 | 基于ttp的认证与密钥协商方法及其装置 |
CN101159549A (zh) * | 2007-11-08 | 2008-04-09 | 西安西电捷通无线网络通信有限公司 | 一种双向接入认证方法 |
CN107370597A (zh) * | 2017-07-11 | 2017-11-21 | 深圳市雪球科技有限公司 | 基于物联网的安全认证方法以及安全认证系统 |
CN110166453A (zh) * | 2019-05-21 | 2019-08-23 | 广东联合电子服务股份有限公司 | 一种基于se芯片的接口认证方法、系统及存储介质 |
Non-Patent Citations (1)
Title |
---|
王志蓬等: "无线局域网中基于身份签名的接入认证方案", 《计算机工程》 * |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115208698A (zh) * | 2022-09-15 | 2022-10-18 | 中国信息通信研究院 | 基于区块链的物联网身份认证方法和装置 |
CN115208698B (zh) * | 2022-09-15 | 2022-12-09 | 中国信息通信研究院 | 基于区块链的物联网身份认证方法和装置 |
CN115529127A (zh) * | 2022-09-23 | 2022-12-27 | 中科海川(北京)科技有限公司 | 基于sd-wan场景的设备认证方法、装置、介质、设备 |
CN115529127B (zh) * | 2022-09-23 | 2023-10-03 | 中科海川(北京)科技有限公司 | 基于sd-wan场景的设备认证方法、装置、介质、设备 |
Also Published As
Publication number | Publication date |
---|---|
CN112437068B (zh) | 2022-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11258777B2 (en) | Method for carrying out a two-factor authentication | |
WO2018050081A1 (zh) | 设备身份认证的方法、装置、电子设备及存储介质 | |
US8590024B2 (en) | Method for generating digital fingerprint using pseudo random number code | |
CN102201915B (zh) | 一种基于单点登录的终端认证方法和装置 | |
CN110990827A (zh) | 一种身份信息验证方法、服务器及存储介质 | |
US10050791B2 (en) | Method for verifying the identity of a user of a communicating terminal and associated system | |
JP2012530311A5 (zh) | ||
CN106230784A (zh) | 一种设备验证方法及装置 | |
CN101183932A (zh) | 一种无线应用服务的安全认证系统及其注册和登录方法 | |
EP1886204B1 (en) | Transaction method and verification method | |
CN107113613B (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
US9398024B2 (en) | System and method for reliably authenticating an appliance | |
CN111030814A (zh) | 秘钥协商方法及装置 | |
CN103853950A (zh) | 一种基于移动终端的认证方法及移动终端 | |
CN111800377B (zh) | 一种基于安全多方计算的移动终端身份认证系统 | |
CN111538784A (zh) | 一种基于区块链的数字资产交易方法、装置及存储介质 | |
CN112437068B (zh) | 认证及密钥协商方法、装置和系统 | |
US10291614B2 (en) | Method, device, and system for identity authentication | |
CN111800378A (zh) | 一种登录认证方法、装置、系统和存储介质 | |
CN113872989B (zh) | 基于ssl协议的认证方法、装置、计算机设备和存储介质 | |
CN111125665A (zh) | 认证方法及设备 | |
CN106533685B (zh) | 身份认证方法、装置及系统 | |
CN111723347B (zh) | 身份认证方法、装置、电子设备及存储介质 | |
CN109936522B (zh) | 设备认证方法及设备认证系统 | |
CN113079506A (zh) | 网络安全认证方法、装置及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |