CN113259111A - 重新提供数字安全证书的方法、系统和计算机程序产品 - Google Patents

重新提供数字安全证书的方法、系统和计算机程序产品 Download PDF

Info

Publication number
CN113259111A
CN113259111A CN202110060971.5A CN202110060971A CN113259111A CN 113259111 A CN113259111 A CN 113259111A CN 202110060971 A CN202110060971 A CN 202110060971A CN 113259111 A CN113259111 A CN 113259111A
Authority
CN
China
Prior art keywords
controller
certificate
rescue
private key
digital security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110060971.5A
Other languages
English (en)
Other versions
CN113259111B (zh
Inventor
芒努斯·埃里克斯森
斯蒂芬·安德松
伏莱德瑞克·胡戈松
杰瑞·奥尔森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Axis AB
Original Assignee
Axis AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Axis AB filed Critical Axis AB
Publication of CN113259111A publication Critical patent/CN113259111A/zh
Application granted granted Critical
Publication of CN113259111B publication Critical patent/CN113259111B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • H04L9/3268Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0877Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0894Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
    • H04L9/3228One-time or temporary data, i.e. information which is sent for every authentication or authorization, e.g. one-time-password, one-time-token or one-time-key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Alarm Systems (AREA)
  • Storage Device Security (AREA)
  • Television Signal Processing For Recording (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)

Abstract

本申请公开了重新提供数字安全证书的方法、系统和计算机程序产品。一种用于在用于用户设备UE(140)的第一数字安全证书已经过期之后重新提供UE(140)的方法,包括在验证第一数字安全证书的有效性之后,通过第一安全通信信道向控制器(130)传送内容数据。一旦意识到第一数字安全证书已经过期,UE(140)就通过非安全信道向控制器(130)发送证书提供请求消息,作为给控制器(130)的提供第二数字安全证书的请求。UE(140)使用用于现在已过期的第一数字安全证书的私钥对证书提供请求消息进行签名。第二数字安全证书在控制器(130)处由救援机密私钥签名并被发送到UE(140),UE(140)用相应的救援机密公钥验证第二数字安全证书的真实性。

Description

重新提供数字安全证书的方法、系统和计算机程序产品
技术领域
本公开涉及自动证书管理,并且更具体地,涉及用于重新提供诸如传输层安全(TLS)证书或安全套接层(SSL)证书的安全证书的方法及其系统和非暂时性计算机程序产品。
背景技术
也称为数字安全证书、自动公钥证书或标识证书的“数字证书”被用于将公钥的权限与该密钥存储在其中的计算装置安全地关联。服务提供商(例如,网站)经常使用数字证书,因此用户装置上的浏览器确信地知道服务提供商实际上是服务提供商声称的那个人。数字证书包括关于持有公钥的装置的信息的公钥标识、原始数据以及与由证书发行方生成的公钥的数字证书相关联的数字签名。
常规地,使用传输层安全(TLS)协议通过由用户设备(UE)的浏览器发起的一系列步骤来建立安全链路。UE的浏览器请求向其提供安全页面(例如,https://...)。然后,网络服务器将其公钥连同网络服务器的证书(描述通过密钥数字绑定的组织细节的数据文件)发送到UE的浏览器。然后,UE的浏览器确认网络服务器的证书是由可信赖方发行的、是依然有效的,并且该证书与网络服务器的网站适当相关。如果一切正常,则UE的浏览器使用从网络服务器发送的公钥来对UE的浏览器独有的随机对称加密密钥以及其它加密的http数据进行加密,并且将其发送到网络服务器。作为响应,网络服务器使用网络服务器的私钥来对UE的公钥(和数据)进行解密。随后,现在具有其建立安全的双向通信信道所需的所有信息的网络服务器随之用由对称密钥加密的数据进行应答。因为UE的浏览器具有与由网络浏览器使用以对发送给它的数据进行加密的公钥配对的私钥,所以网络浏览器能够对应答消息的内容进行解密,并且将信息呈现在显示器上或以对用户有用的另一种方式呈现信息。
使用公钥/私钥对的加密被用于防止消息的内容被当消息在通信信道上发送时可能截取该消息的第三方访问。消息用接收者的公钥进行加密,所以接收者可以用他们的私钥对消息进行解密。公钥/私钥对也可以被用于对消息进行签名。签名的目的不是为了防止消息被截取,而是为了提供消息的源的真实性的证明(即,消息确实是从声称发送它的人发送的)。为了生成签名,通常从明文消息生成散列(hash),然后用发送者的私钥对该散列进行加密,并且之后将加密的散列附加到明文。
发明内容
如本发明人所认识到的,传统系统需要冗长且耗时的过程来在安全证书已经过期之后重新提供安全证书。此外,在第一次提供期间,提供验证网络服务器的真实性的安全证书,并且该安全证书在有限的时间内有效。如果UE频繁地连接到控制器(例如,诸如当将UE插接到使用安全证书在安全信道上与控制器进行通信的本地计算机时),则UE可以使用传统的程序来在安全证书过期之前自动地重新提供证书。然而,如果安全证书已经过期,则没有方便的机制来为UE重新提供新的安全证书,因为安全证书是UE和控制器维持可信的和安全的通信的机制。
鉴于这个问题,本发明人认识到,只要控制器维持与现在已过期的安全证书相关联的UE的最后的公钥的副本,控制器就可以帮助为UE重新提供证书。此外,在UE意识到安全证书已经过期之后,UE向控制器(或其它救援地址)发送救援请求,该救援请求使用用于现在已过期的安全证书的UE的私钥进行签名。响应于该救援请求,控制器利用现在已过期的证书的公钥来验证签名。然后,验证的签名在控制器内触发UE已经自动请求新证书的通知,并且控制器例如通过查看附加到来自UE的诸如图像数据文件的文件的数据的标签来进行响应,该标签表明该文件是在UE的安全证书的期满之前创建的。可替代地,在控制器处给从UE发送的内容数据贴上标签,使得该内容数据被标记为在证书过期之后的时间期间已经被上传。因此,下游过程将被警告该内容数据先前与有效的证书相关联,但该证书在上传内容数据时不再有效。在这种情况下,管理员可以将控制器设置为内容数据被存储的状态,但是之后也可以设置为用于自动检索救援机密的触发器,该救援机密被用于为UE提供新证书的目的。可替代地,对救援地址的请求提示控制器的管理员(或诸如检查批准的和未批准的用户的日志的基于计算机的管理过程)验证管理员希望批准重新提供请求,并且通过输入受保护的密码短语(访问信息的示例)来解锁重新提供信息来这样做。如果控制器决定为UE重新提供新证书,则用与救援地址相关联的私钥签名的新证书被发送到UE,并且UE用在其与控制器的初始设置时被提供给UE的用于控制器的公钥来验证新证书。
根据一个实施例,描述了一种用于在第一数字安全证书已经过期之后为用户设备重新提供第二数字安全证书的方法,该方法包括:在第一数字安全证书已经过期之前,通过第一安全通信信道与控制器通信,第一数字安全证书先前已经用第一公钥/私钥对验证;在控制器处存储救援机密私钥并且在UE处存储救援机密公钥,救援机密私钥和救援机密公钥是不同于第一公钥/私钥对的救援机密公钥/私钥对;确定第一数字安全证书已经过期;通过非安全信道向控制器发送证书提供请求消息,作为给控制器的为UE提供第二数字安全证书的请求,证书提供请求消息由第一公钥/私钥对的私钥签名;在控制器处使用第一公钥/私钥对的公钥来验证证书提供请求消息,并且一旦被验证,就在控制器处通过访问信息的输入来访问救援机密私钥;在控制器处用救援机密私钥对第二数字安全证书进行签名,并将签名后的第二数字安全证书从控制器发送到UE,并且当在UE处对签名后的第二数字安全证书进行验证之后,使用救援机密公钥利用第二数字安全证书通过另一安全通信信道恢复与控制器的通信。
根据另一实施例,一种用户设备(UE)包括:被配置为安装到可移动平台的外壳;包含在外壳中的摄像机,该摄像机包括被配置为捕获内容数据的成像电路系统;存储器,该存储器持有第一公钥/私钥对的私钥和不同于第一公钥/私钥对的救援机密公钥/私钥对的救援机密公钥,其中,救援机密公钥/私钥对的救援机密私钥在控制器处的安全存储器中被持有,并且可通过访问信息的输入来访问;以及电路系统,被配置为确定第一数字安全证书已经过期,这阻止通过第一安全通信信道将内容数据上传到控制器,在电路系统确定第一数字安全证书已经过期之后,用与第一数字安全证书相关联的第一公钥/私钥对的私钥对证书提供请求消息进行签名,并且通过非安全信道向控制器发送签名后的证书提供请求消息,作为给控制器的提供第二数字安全证书的请求,响应于控制器使用访问信息的至少一部分来检索由控制器使用以对第二数字安全证书进行签名的救援机密密钥,从控制器接收第二数字安全证书;以及使用救援机密公钥/私钥对的救援机密公钥来验证第二数字安全证书,并且使用第二数字安全证书通过另一安全通信信道恢复与控制器的安全通信。
根据另一实施例,一种非暂时性计算机可读储存器被描述,并且具有计算机可读指令,该计算机可读指令当由处理器执行时执行一种在第一数字安全证书已经过期之后为用户设备(UE)重新提供第二数字安全证书的方法,该方法包括:在控制器处存储救援机密私钥并且在UE处存储救援机密公钥,救援机密私钥和救援机密公钥是不同于与第一数字安全证书一起使用的第一公钥/私钥对的救援机密公钥/私钥对;
确定第一数字安全证书已经过期,这阻止通过第一安全通信信道将内容数据从UE上传到控制器;通过非安全信道将证书提供请求消息发送到控制器,作为给控制器的提供第二数字安全证书的请求,证书提供请求消息由第一公钥/私钥对的公钥签名;在控制器处使用访问信息的至少一部分来访问救援机密私钥,用救援机密私钥对第二数字安全证书进行签名;并且在UE处使用救援机密公钥来验证第二数字安全证书以在第二安全通信信道上建立通信。
虽然在本文中使用TLS和TLS证书作为示例,但是应理解,安全套接层(SSL)和SSL证书或者认证网站的身份并且帮助保护与该网站的通信信道的其它安全协议和证书也可以被使用而与本发明的教导一致。
附图说明
当结合附图考虑时,通过参考以下详细说明,对本发明及其许多附带优点的更完整的理解将由于其变得更易理解而被容易地获得,附图中:
图1是根据实施例的可以实现本公开的各个方面的示例性网络环境的系统级图;
图2是根据本公开的实施例的客户端可穿戴身体摄像机、行车记录仪或车载摄影机的处理器电路系统的图,该处理器电路系统与控制装置协作以在先前的TLS证书已过期之后自动地重新提供TLS证书;
图3是图示根据本公开的实施例的在各种安全和非安全信道上交换的用于在先前的TLS证书过期之后重新提供TLS证书的消息序列的信号图;
图4是根据实施例执行的重新提供过程的流程图;
图5是根据本公开的实施例的PKCS#10格式的示例性结构;以及
图6是可以在其上实现本系统的实施例的基于计算机的系统的框图。
具体实施方式
如本文中所使用的,以单数形式记载并且以词语“一”引出的元件或步骤应被理解为不排除多个元件或步骤,除非明确地记载这种排除。此外,对本发明的“一个实施例”的引用并不旨在被解释为排除也包含所记载的特征的附加实施例的存在。
本文中描述的方法和系统可以使用包括计算机软件、固件、硬件或其任意组合或子集的计算机编程或工程技术来实现。“被配置为”执行操作的电路系统可用由软件配置以执行操作的一个或一个以上可编程装置(例如,微处理器或图形处理单元等)来完成。同样,可编程装置可以以固件或硬连线(例如,ASIC或PLA)实现以执行操作。
参考在以下详细描述中图示的非限制性实施例,更全面地解释了本文中的实施例及其各种特征和有利细节。省略了对公知部件和处理技术的描述,以免不必要地模糊本文中的实施例。本文中所使用的示例仅旨在促进对可实践本文中的实施例的方式的理解,且进一步使本领域的普通技术人员能够实践本文中的实施例。因此,示例不应被解释为限制本文中的实施例的范围。
如本发明人所认识到的,TLS证书的常规使用存在问题,因为装置和控制器证书具有相同的可能很短的有效期。尽管存在在尚未过期的证书过期之前将尚未过期的证书滚动到另一证书的方法,但这无法解决不经常使用的终端用户遇到的特定问题。此外,当零星的或不经常使用的用户试图向控制器发送安全数据时,他或她存在问题,并且因此当得知证书已过期并且他们的UE被锁定时变得沮丧,因为他们需要在他们能够上传他们的数据之前获得新证书。当证书的有效期被设置为诸如几小时、几天或一周左右的短时间段并且新证书的提供被严格控制时,这种令人沮丧的用户体验是复杂的。而且,如本发明人所认识到的,第一应答者组织(例如,警察、消防和救援或者紧急医疗技术人员(EMT))的管理可能面临鼓励他们的第一应答者在他们的日常活动之后遵守及时上传视频信息的挑战。如果过程是麻烦的,则应答者将不愿意及时地遵守。另一方面,如果管理试图通过去除通过高度安全的通信信道上传图像/音频数据(静止图像以及视频和音频)的要求来简化过程,则存在敏感数据被好做坏事的人损害的可能性。
考虑到这些技术问题和实际问题,本发明人确定了一种方便且安全的方法,用于通过从已过期证书中重定密钥来快速且方便地重新提供已经过期的证书。最初,当提供初始证书时,除了用于与初始证书相关联的常规安全通信的第一私钥/公钥对之外,UE和控制器还建立用于救援情形(即,其中UE需要验证新的数字安全证书,因为旧的数字安全证书已经过期)的第二私钥/公钥对。第二私钥/公钥对直到证书已经过期(即救援情形)才被使用。因此,一旦UE识别出证书已经过期,UE就用已过期证书的私钥对救援请求消息(也称为“证书提供请求消息”)进行签名,并将该请求寻址到控制器(或具有“救援地址”的另一装置)。一旦该请求由UE提出,控制器就通过应用控制器所保留的UE的公钥来验证该请求,尽管与该公钥相关联的证书已经过期。如果控制器决定向UE发行新证书,则管理员(或基于计算机的过程)通过输入受保护的密码短语(或将讨论的其它机制)来批准该请求。随后,控制器发行用来自第二密钥对(用于救援情形的密钥对)的私钥进行签名的新证书。然后,UE通过应用来自第二密钥对的公钥来验证新证书,第二密钥对作为提供原始证书的一部分已被存储在存储器中。然后,UE可以放心地在其与控制器的通信中依赖新证书。
鉴于以上情况,本发明人认识到需要通过在先前使用的数字证书已经过期时从服务器重新提供数字证书来克服传统方法的上述问题。
参考附图,将更详细地描述本公开的上下文。图1图示了可以实现本公开的各种实施例的示例性环境100。如图1中所示,环境100包括UE装置110(UE装置110中的任何一个可以在图1中被单独描述为“UE 110”)、网络120和控制器130。UE 110可以是客户机、膝上型计算机、平板计算机、可穿戴装置、智能电话、行车记录仪、车载摄像机或计算机等。在不限制本公开的范围的情况下,将在本文中描述示例性实施例,其中UE包括由执法人员穿戴的可穿戴摄影机、设置在警车的内舱中的行车记录仪以及安装到车辆(或诸如集成到车辆的车身面板中而在车辆中)的捕获车辆周围的视频的外部摄像机。尽管为了图示的目的,在本文中提供的描述将使用术语“视频”,但是应理解,视频以及更一般地“图像数据”或者简单地“内容数据”可选地包括由UE中的麦克风捕获的音频。此外,视频不必限于可见光谱,并且可以包括红外和/或紫外图像传感器,使得可见光谱之外的图像被捕获。“内容数据”旨在被广义地解释,并且可选地不仅可以包括由UE捕获的图像数据、视频数据和/或音频数据,而且可以包括诸如从捕获的数据中提取的特征的可以从由UE捕获的数据中导出的数据。这种内容数据的非限制性示例是诸如车辆的车牌的从捕获的图像和/或音频数据中检测到的一个或多个对象的指示,或在图像中检测到的人的标识等。可以经由将捕获的信息与在捕获的数据中寻找的特征的存储的文件进行匹配的预先配置的图像和/或音频检测滤波器来提取特征。预定阈值内的匹配导致肯定的检测结果。可替代地或补充地,诸如线性或逻辑回归、决策树、随机森林、K均值聚类的机器学习算法支持向量机(SVM)、朴素贝叶斯(Bayes)和梯度提升(GB)(例如,GB机器、XGBoost、LightGBM和CatBoost)。
作为示例性使用情况,假设执法人员穿戴UE 140(是图1中的UE 110的一个示例),并且UE 140被布置为可穿戴的身体摄像机(2300),如稍后将参考图2所讨论的。警官将UE140附着到他或她的衣服、服务腰带上,或以一些其它方式穿戴,并开启UE 140。UE 140也可以在由各种机制触发时自动开启,这些机制包括在离开站点时与读取器的NFC连接、到警车的接近检测器或到服务无线电的蓝牙连接等。UE 140在诸如对音频/视频的连续记录、诸如当警官距警车或站点房屋预定距离时的接近记录或诸如经由按钮或远程接口(例如,智能电话)被手动开启的间歇模式的若干用户可设置模式中的一种模式下操作。UE 140在整个警官轮班期间记录事件。可选地,UE 140存储带有日期/时间元数据标签的视频记录,日期/时间元数据标签提供何时进行记录的数字记录。这些日期/时间标签可以稍后由控制器130在自动过程中使用,以验证从UE 140提供的文件的真实性,即使安全证书可能已经过期。此外,标签可以被控制器130用作控制器130应肯定地响应从UE 140发送的救援消息请求的验证,以为UE 140提供新证书来替换已过期证书。
由于各种原因,证书在自动重新提供之前过期。例如,警官可能不会立即将当天的视频记录经由网络120上传到控制器130。例如,警官轮班结束时,警官可能被安排在事故现场、在监禁嫌疑犯时可能被安排在监狱或者被安排在接收病人的医院。无论出于何种原因,警官可能不便于在那个时间将数字内容上传到控制器130。假设警官然后有几天的假期,或者有一周左右的办公桌任务。之后,警官返回到他们的节奏并再次使用UE 140。在警官轮班结束时并且当试图将他们的身体摄像机插接到本地计算机(在此示例中统称为UE 140)时,将内容上传到控制器130,也许自上一次上传数字内容以来已经过去了一周多,UE的TLS证书可能已经过期。如果警察部队的管理结构要求使用具有相对短的有效期(例如,在此示例中为1周)的TLS证书,则警官将不能立即上传数字内容,因为UE 140将由于证书已经过期而被锁定。因为警官不经常使用安全TLS信道,所以没有机会将当前未过期的证书自动地滚动到新证书,并且因此警官将面对必须获得新证书以便能够与控制器130通信的情况。可以很容易地想象,这对于警官来说不是令人愉快的活动,特别是在刚刚完成他或她的轮班之后。
鉴于这种情况,并且如将参考其它附图更详细地讨论的,图1中所示的系统的实施例允许警官响应于UE 140被阻止向控制器130上传他或她的视频数据的情况。因此,从警官的角度来看,不管是试图直接从UE 140上传视频文件到控制器130还是经由中间计算机(例如,UE 140经由有线或无线接口插接到的本地主机计算机)上传视频文件到控制器130,警官仅可以通过从已过期的TLS证书调度用UE的私钥签名的证书提供请求消息来重新建立安全连接。
此用例下的假设是UE 140一旦被提供了与控制器相关联的TLS证书,UE 140就仅与该控制器通信。控制器130也可以与其它装置通信,尽管它只接受来自已经配置给它的装置的连接。控制器130不仅保存用于具有当前有效的TLS证书的各种UE的公钥,而且(除了与当前有效的TLS证书一起使用的私钥之外)还保持用于各种UE的另一私钥,以用于在UE的TLS证书已经过期的救援情形下重新提供证书。此外,控制器130在用UE 140的已过期证书的控制器配对公钥验证证书提供请求消息之后,通过发行用不同的私钥(用于救援情形)签名的新证书来响应于由与已过期证书相关联的UE私钥签名的证书提供请求消息,UE 140具有该不同的私钥的匹配公钥,该匹配公钥被保存在存储器中以在救援情形下最终使用。
关于UE 110的部件(图1),它们可以由连续的DC电源供电(例如,诸如用于系绑在由车辆供给的电源上的行车记录仪,或者在摄影机集成到车辆的主体中以捕获车辆的周边的全部或部分的情况下的线束)。在可穿戴摄像机的情况下,使用基于电池的电源,尽管也可以使用诸如到电池组的USB-C连接或诸如太阳能电池板的另一源的替代源。
UE 110可选地包括显示器,例如LCD屏幕或LED屏幕。此外,显示器适于显示传输层安全(TLS)证书的期满状态。如将参考图2所讨论的,UE 110包括允许UE 110物理地或经由诸如蓝牙或近场连接(NFC)的配对无线连接而连接到外部计算机资源的接口(例如,2140),该外部计算机资源提供中继能力以便于与控制器130的通信交换。另外,UE 110可选地包括用于接收来自键盘、操纵杆、鼠标和跟踪球等的输入的外围输入/输出接口。在各种其它实施例中,显示器和输入/输出接口已经被集成到电容触摸或类似的基于触摸的屏幕装置中。
UE 110具有诸如处理器和存储器的进一步的计算能力。在各种实施例中,处理器是但不限于现场可编程门阵列(FPGA)、专用集成电路(ASIC)、通用或基于ARM的处理器中的一种。另外,存储器是但不限于EPROM、EEPROM、随机存取存储器(RAM)和闪存等中的一种。UE110具有非暂时性存储器形式的附加存储能力,该非暂时性存储器包括被加密以安全保存诸如救援机密的数据的安全存储器。另外,存储器存储具有计算机可读指令的应用程序,该计算机可读指令当由处理器执行时,控制装置操作。
UE 110连接到网络120,如图1中所示。网络120是但不限于诸如以太网连接、通用串行总线连接或IEEE 1394(火线)连接等的有线网络中的一种。此外,网络120可以是但不限于无线网络、局域网(LAN)或通过诸如但不限于802.x、蓝牙或ZigBee等的多个协议实现的广域网(WAN)。此外,网络120通过全球移动通信系统(GSM)、公共交换电话网(PSTN)、因特网协议语音和视频会议(VVOIP)提供外部通信。在一个实施例中,网络120是诸如因特网的公共网络,并且网络120由以上描述的连接的各种组合(具有混合的有线/无线段的LAN和/或WAN)构成。
被连接到网络120的还有控制器130。控制器130适于从UE 110接收关于重新提供TLS证书的请求。为了防止干预和/或窃听,在控制器130与UE 110之间建立安全链路。换句话说,在控制器130与UE 110之间建立在至少一个方向上被加密的通信链路,使得机密信息可以在控制器130与UE 110之间传递。另外,UE110可以经由TLS事务与控制器130通信。
图2是图示根据本公开的实施例的UE 140的功能配置示例(其参考图1中的UE 110的一个UE)的说明图。在下文中,将使用图2描述根据本公开的实施例的UE 140的功能配置。UE 140具有包括摄像机2300的外壳2200,摄像机2300包括成像电路系统2100、传感器2120、快门控制2130和接口2140。包括在UE 140的外壳2200中的其它部件包括控制电路系统2150、非暂时性存储装置2160、通信电路系统2170、显示器2180以及电池和电源2190。这些其它部件可以可选地包括在摄像机2300内。
成像电路系统2100包括透镜和图像传感器(例如,CMOS传感器)等,并且根据通过透镜形成在图像传感器的光接收表面上的图像而在预定时段内累积电子。然后,成像电路系统2100根据所累积的电子向控制电路系统2150输出信号。控制电路系统2150使用从成像电路系统2100输出的信号执行成像处理以生成视频流。同样,视频是可见光谱中的静止图像、运动图像(视频)以及可见光谱之外的图像(例如在红外和紫外光谱范围中的图像)中的至少一种。
如前面所讨论的,根据本实施例的UE 140可以在用户启动用户接口(例如,按下快门控制2130,或者经由接口2140)时执行成像处理。
传感器2120包含多个传感器,包括用于拾音的麦克风。此外,传感器2120包括能够在事件期间触发视频记录会话的操作的运动检测器。可选地,传感器2120被连接到车辆控制器,使得当车辆进入预定操作模式(例如,是交通停止等的指示的警报器打开、车辆停止但仍在运行)时,传感器2120触发记录操作。传感器2120被提供为面向与成像电路系统2100的成像方向相同的方向。
传感器2120可以进一步包括位置传感器、加速度传感器、陀螺仪传感器、地磁传感器、温度传感器、大气压力传感器、心跳传感器、计时器和日期/时间记录器。具体地,作为以上描述的位置传感器,例如可以包括全球导航卫星系统(GNSS)接收机和/或通信装置。GNSS可以包括例如全球定位系统(GPS)、全球导航卫星系统(GLONASS)、北斗导航卫星系统(BDS)、准天顶卫星系统(QZSS)和伽利略。定位技术可以包括例如无线LAN、多输入多输出(MIMO)、蜂窝通信(例如,使用移动基站、毫微微蜂窝基站的位置检测)和近场通信(例如,蓝牙低功耗(BLE)、蓝牙。传感器可以进一步包括用于用户的指纹认证、静脉识别、面部检测、视网膜检测和其它机制的生物特征接口传感器。用户的生物特征数据可以是用于解锁以上讨论的救援机密的密码短语的替代或补充。此外,作为证书重新提供过程的一部分,生物特征数据唯一地认证用户,以便释放存储在控制器130中的保存的救援机密。使用生物特征数据(或者诸如保存在区块链中的文件的其它不可破坏的文件)进行认证作为密码短语保护的替代,以解锁救援机密。同样,使用与图像数据一起记录的日期/时间元数据也可以被用于触发救援机密私钥的自动检索,如以上所讨论的,并且还将在下面讨论。
快门控制2130是计算机启动的,尽管提供了另一按钮来响应用户的按压以捕获静止图像。
接口2140包括诸如电力按钮、模式选择按钮或触摸面板的人机接口,以提供UE140的本地控制。接口2140还包括电连接,因此外围装置(例如,存储器、辅助摄像机、辅助电力等)可以被连接到该装置。在行车记录仪的实施例中,接口提供外部DC电力端口。在UE140是附着到或包含在车辆的主体中的摄像机2300的实施例中,接口包括到车辆的线束的总线连接和电力连接,以提供车辆的电源和计算机以及通信资源的电力和数据接口。
控制电路系统2150配置有诸如中央处理单元(CPU)、ROM和RAM的处理器,并且控制UE 140的每个部分的操作。在本实施例中,控制电路系统2150管理来自成像电路系统的图像/音频数据的收集,并且根据需要将其与传感器数据融合,以准备经由通信电路系统2170将视频信息上传到控制器130。
非暂时性存储装置2160配置有例如闪存或另一非易失性存储器。非暂时性存储装置2160存储由执行成像处理的控制电路系统2150生成的图像。
通信电路系统2170通过例如蜂窝通信、Wi-Fi、蓝牙(注册商标)或近场通信(NFC)执行与诸如控制器130或到控制器130的中继计算机或网络上的云服务器的另一设备的无线通信。然而,通信电路系统2150还通过诸如USB-C等的物理接口执行与中继计算机的有线通信。在一个示例中,UE 140可系绑到计算机,其中计算机执行本文中描述的通信步骤以建立安全信道,并且还重新提供本文中描述的TLS证书。
显示器2180是配置有例如液晶显示器、有机EL显示器或LED显示器的显示装置。显示器2180上的显示内容由控制电路系统2150控制。
电池和电源2190配置有可再充电电池,并且向UE 140的每个部分供给电力。
上面已经使用图2描述了根据本公开的实施例的UE 140的功能配置示例。注意,UE140不需要包括图2中图示的整个配置。例如,UE 140不一定包括显示器2180。此外,UE 140可以包括一个或多个不同于图2中图示的结构元件的结构元件。例如,UE 140可以包括用于记录与视频的捕获相关联的(具有增益的)方向性声音的麦克风阵列。
图3是示出从第一安全信道被使用时到TLS证书的期满、到重新提供新的TLS证书、到使用新的TLS证书建立第二安全通信信道在控制器130与UE 140之间传递的消息的信号图。
最初,在第一组消息中(S301),在第一安全信道(安全信道#1)上建立控制器130与UE 140之间的通信。第一安全信道是利用背景技术中讨论的步骤之外的附加步骤建立的。控制器130还在提供将由UE 140和控制器使用的第二密钥对(“救援密钥对”)时进行协调,以在原始TLS证书过期并且UE 140请求新的TLS证书的救援情形下进行协调,如将讨论的。UE 140存储控制器130的公开救援密钥,并且控制器130将其私人救援密钥(“救援机密”的组成部分)存储在安全存储器中,该安全存储器响应于接收到使得能够访问救援机密并且因此访问重新提供过程的密码短语而由在控制器130上执行的管理过程解锁。救援机密和密码短语携手并进,因为提供新证书需要救援机密,并且密码短语的输入解锁对救援机密的访问。因此,术语“救援机密信息”可以被用作包括密码短语和救援机密两者的表述。尽管密码短语被用作一个示例,但是可以使用除了密码短语之外的其它信息,诸如生物特征数据或保存在区块链中的验证数据文件等。在控制器130与UE 140之间的初始设置期间,UE140不仅接收由控制器130的第一私钥签名的TLS证书,而且接收救援机密公钥,当原始TLS证书已经过期并且UE 140经由救援消息请求新证书时,UE 140使用该救援机密公钥从控制器130接收重新提供的TLS证书,如将讨论的。
在第二组消息中(S302),控制器130和UE 140继续经由第一安全信道进行安全通信,例如通过从UE 140上传图像数据。在S302中,原始TLS证书是有效的。此外,UE 140在此时间期间用日期/时间戳对文件加标签,该日期/时间戳稍后可用于验证UE 140的真实性,作为自动重新提供过程的一部分。
在第三消息组中(S303),UE 140发现UE 140不再具有有效的客户端证书,并且因此UE 140上的视频数据被锁定且不能被上传到控制器130。为了重新建立安全通信,另一客户端证书需要被提供。不同于遵循正常的提供过程,在用针对已过期证书的UE的私钥进行签名之后,UE 140可以从UE 140调度(在第四消息组中(S304))PKCS#10请求消息。为了验证请求消息中的签名,控制器130使用与现在已过期的TLS证书相关联使用的公钥的保留副本。通常,公钥不再由控制器130保存,因为与该公钥相关联的证书不再有效。然而,通过UE140保留(针对现在已过期的TLS证书的)私钥以对PKCS#10请求消息进行签名,并且通过控制器130保留(针对现在已过期的TLS证书的)公钥,控制器130能够验证UE 140的真实性。通过能够用保留的公钥对PKCS#10请求消息的签名部分进行解密和解散列来验证签名。
作为响应,在第四组消息中(S305),控制器130从UE 140接收请求消息,检索在原始TLS证书有效时在与该UE 140的通信中先前使用的与该UE相关联的公钥,并且使用该公钥验证来自UE 140的请求消息的真实性。一旦请求消息被控制器130认证,控制器就将UE140的状态标识为处于救援状态。控制器130跟踪由控制器130服务的各种UE的TLS证书的期满状态,并且因此控制器130能够基于UE的证书是否已经过期来识别期望来自特定UE的救援请求是否合理。如果UE的证书已经过期,则控制器130可以提示管理员验证管理员是否希望向UE 140发行新的TLS证书。可替代地,可以执行自动过程,其中在请求消息(或相关消息)中检查来自由UE 140提供的图像文件的元数据标签,以查看文件的日期/时间是否与该UE 140的原始TLS证书仍然有效时的日期/时间匹配。如果是这样,则控制器130可以合理地断定来自UE 140的、由来自已过期的TLS的密钥签名的救援请求是合法请求,该已过期的TLS来自该UE 140。
假设控制器130验证救援请求是合法的,并且控制器处的管理过程同意UE140应接收新的TLS证书,则控制器130然后以来自管理员的输入的形式接收密码短语(例如,字符串,或者诸如二进制串的仅特定数据),来自管理员的输入保护该UE 140的救援密钥。在控制器130确定(1)来自元数据标签的日期/时间与已过期的TLS证书尚未过期时的日期/时间一致,以及(2)救援消息使用与已过期的TLS证书相关联的私钥进行签名之后,救援机密还可以是来自控制器130的控制信号的形式。救援机密的输入提供对救援机密私钥的访问,因此控制器130可以在将新的TLS证书发送到UE 140之前用援救机密私钥对新的TLS证书进行签名。作为应答,在S307的第六组消息中,UE 140通过使用救援机密密钥对的公钥部分来验证证书。结果,UE 140然后已被重新提供用于与控制器130在第二安全信道上提供图像数据上传的新的TLS证书,并且能够以最少的时间和终端用户的参与来这样做。
图4是由UE 140和控制器130实现的过程流程的流程图。该过程开始于步骤S400,其中使用第一公钥/私钥对在UE 140与控制器130之间建立第一安全信道,并且除了向UE提供证书之外,救援机密被创建,在这种情况下,救援机密是上面参考图3所讨论的第二私钥/公钥对(救援机密公钥/私钥对)。控制器130存储救援机密私钥,该救援机密私钥稍后可以在控制器130使用之前的救援机密私钥对新证书进行签名的救援情形下使用,UE然后可以用救援机密密钥对的公钥部分验证该新证书,该救援机密密钥对被保存在UE 140处以便在救援情形下使用。控制器将救援机密私钥连同密码短语(或者诸如生物特征签名或从UE140发送的证实UE 140在证书仍然有效时已经记录了图像文件的元数据标签信息的其它安全解锁机制)一起安全地存储在存储器中,该密码短语用于获得对将在救援情形下用于重新提供UE 140的救援机密私钥的访问。
然后,过程进行到步骤S402,其中UE 140试图将视频和/或图像数据上传到控制器130。然后,在步骤S404中,进行关于UE的TLS证书是否仍然有效(即,尚未过期)的查询。如果它尚未过期,则过程进行到步骤S406,其中通过与供UE140使用的未过期的TLS证书相关联的第一安全信道上传数据。然而,如果对查询的响应是否定的,则过程进行到步骤S408,其中UE 140准备证书提供请求消息,如将参考图5所讨论的。证书提供请求消息可选地包括以上讨论的元数据标签信息,并且之后UE 140利用已过期的TLS证书的私钥对证书提供请求消息进行签名。过程进行到步骤S410,其中UE 140经由非安全信道向控制器130发送消息。
在步骤S410中,控制器130接收证书提供请求消息,并用与已过期证书相关联的UE140的公钥来验证签名。在步骤S412中,进行请求消息是否是用已过期证书的密钥对的私钥部分进行签名(或整个消息是否是用该私钥部分进行加密)的查询。如果对查询的响应是否定的,则过程进行到步骤S414,其中通知UE 140并且停止通信。然而,如果对步骤S412中的查询的响应是肯定的,则过程进行到步骤S416中的查询,其中证书提供请求消息的内容或者由验证UE 140是应当重新提供他或她的证书的实体的管理员评估,或者诸如通过评估UE140的图像数据文件的元数据标签信息以确定图像数据文件是否在原始证书仍然有效时被记录而自动地评估。如果响应是否定的,则在步骤S418中通知UE 140并且停止通信。然而,如果响应是肯定的,则过程进行到步骤S420,其中控制器130使用密码短语(或者由管理员输入,或者使用元数据标签评估的评估结果)访问用于在救援情形下重新提供TLS证书的密钥的私钥部分。在步骤S420中,控制器130在向UE 140发送签名后的TLS证书之前,使用救援机密密钥对的密钥对的私钥部分对新的TLS证书进行签名。然后,该过程进行到步骤S422,其中UE 140使用救援机密密钥对的公钥来验证新的TLS证书,并且恢复在第二安全通信信道上的通信。作为签名的替代,私钥可以被用于对整个证书进行加密。
图5示出根据本公开的实施例的PKCS#10格式的示例性数据结构400。然而,数据结构400的内容可能不是标准的,因为它是用已过期证书的私钥签名的,并且在本实施例中包括与由UE 140记录的图像数据文件相关联的元数据标签信息。控制器130具有已过期证书的公钥,并且因此能够使用它来验证请求消息的签名,并且确定请求消息是有效的。
如图5中所示,该请求包括但不限于具有PKCS#10标准的版本的数据字段。下一数据字段是可分辨的名称(DN),该可分辨的名称是请求证书的实体的名称。公钥算法字段提供所使用的算法的指示符。公钥包含UE 140的公钥。属性字段包含可以与该请求一起包括的属性集合。这里,可以包括与由UE 140记录的图像数据文件相关联的元数据标签信息。签名算法字段标识被用于对证书请求进行签名的算法。签名位串是使用UE 140的私钥创建的签名。在本文中,可能的情况是控制器130可以被连接到适于验证在请求中接收的信息的证书管理器。另外,证书管理器可以访问数据库以找到该实体的公钥和可分辨的名称。此外,公钥和签名由控制器130通过证书管理器进行验证。而且,私钥由控制器130从UE 140请求。
此外,虽然一个或多个操作已被描述为由特定模块、装置或实体执行或以其它方式与特定模块、装置或实体相关,但是操作可以由任何模块、装置或实体执行或以其它方式与任何模块、装置或实体相关。因此,已被描述为由模块执行的任何功能或操作可选地可由不同的服务器、由云计算平台或其组合来执行。应理解,可使用各种技术来实现本公开的技术。例如,本文中描述的方法可以由驻留在合适的计算机可读介质上的一系列计算机可执行指令来实现。合适的计算机可读介质可以包括易失性(例如,RAM)和/或非易失性(例如,ROM、磁盘)存储器、载波和传输介质。示例性载波可以采取沿着本地网络或诸如因特网的公众可访问的网络传送数字数据流的电信号、电磁信号或光信号的形式。
还应理解,除非特别声明,否则如从以下讨论中显而易见的,应认识到,遍及说明书,利用诸如“控制”或“获得”或“计算”或“存储”或“接收”或“确定”等的术语的讨论是指计算机系统或类似的电子计算装置的动作和过程,该计算机系统或类似的电子计算装置将被表示为计算机系统的寄存器和存储器内的物理(电子)量的数据处理和变换为被类似地表示为计算机系统存储器或寄存器或其它这种信息存储、传输或显示装置内的物理量的其它数据。
本公开可以被呈现为系统、方法和/或计算机程序产品。计算机程序产品可以包括计算机可读存储介质,在该计算机可读存储介质上记录有计算机可读程序指令,该计算机可读程序指令可以使一个或多个处理器执行实施例的方面。
计算机可读存储介质可以是有形装置,该有形装置可以存储由指令执行装置(处理器)使用的指令。计算机可读存储介质可以是例如但不限于电子存储装置、磁存储装置、光存储装置、电磁存储装置、半导体存储装置或这些装置的任何适当的组合。计算机可读存储介质的更具体的示例的非穷举列表包括以下项中的每一个(以及适当的组合):软盘、硬盘、固态驱动器(SSD)、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、光盘(CD或CD-ROM)、数字通用盘(DVD)和存储卡或棒。如在本公开中使用的,计算机可读存储介质不被解释为是瞬时信号本身,诸如无线电波或其它自由传播的电磁波、通过波导或其它传输介质传播的电磁波(例如,穿过光纤电缆的光脉冲)或通过导线传输的电信号。
在本公开中描述的计算机可读程序指令可以从计算机可读存储介质下载到适当的计算或处理装置,或者经由全球网络(即因特网)、局域网、广域网和/或无线网络下载到外部计算机或外部存储装置。网络可以包括铜传输缆线、光通信光纤、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算或处理装置中的网络适配卡或网络接口可以从网络接收计算机可读程序指令,并且转发计算机可读程序指令以供存储在计算或处理装置内的计算机可读存储介质中。
用于执行本公开的操作的计算机可读程序指令可以包括机器语言指令和/或微代码,机器语言指令和/或微代码可从以一种或多种编程语言的任意组合编写的源代码编译或解释,编程语言包括汇编语言、Basic、Fortran、Java、Python、R、C、C++、C#或类似的编程语言。计算机可读程序指令可以完全在用户的个人计算机、笔记本计算机、平板计算机或智能电话上执行,完全在远程计算机或计算机服务器上执行,或者在这些计算装置的任意组合上执行。远程计算机或计算机服务器可以通过包括局域网或广域网或全球网络(即因特网)的计算机网络连接到用户的一个或多个装置。在一些实施例中,包括例如可编程逻辑电路系统、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路系统可以通过使用来自计算机可读程序指令的信息来执行计算机可读程序指令,以配置电子电路系统或使电子电路系统个性化,以便执行本公开的方面。
在本文中参考根据本公开的实施例的方法、设备(系统)和计算机程序产品的流程图和框图描述了本公开的方面。本领域的普通技术人员将理解,流程图和框图的每个框以及流程图和框图中的框的组合可以由计算机可读程序指令实现。
可以实现在本公开中描述的系统和方法的计算机可读程序指令可以被提供到通用计算机、专用计算机或其它可编程设备的一个或多个处理器(和/或处理器内的一个或多个核心)以产生机器,使得经由计算机或其它可编程设备的处理器执行的指令创建用于实现在本公开的流程图和框图中指定的功能的系统。这些计算机可读程序指令还可以被存储在计算机可读存储介质中,该计算机可读存储介质可以指示计算机、可编程设备和/或其它装置以特定方式运行,使得其中存储有指令的计算机可读存储介质是包括实现在本公开的流程图和框图中指定的功能的方面的指令的制品。
计算机可读程序指令还可以被加载到计算机、其它可编程设备或其它装置上,以使一系列操作步骤在计算机、其它可编程设备或其它装置上执行,从而产生计算机执行的过程,使得在计算机、其它可编程设备或其它装置上执行的指令实现在本公开的流程图和框图中指定的功能。
图6是图示一个或多个联网计算机和服务器的联网系统800的功能框图。在实施例中,图6中图示的硬件和软件环境可以提供用于实现根据本公开的软件和/或方法的、包括控制器130或连接到UE 140的中继计算机的结构的示例性平台。
参考图6,联网系统800可以包括但不限于计算机805、网络810、远程计算机815、网络服务器820、云存储服务器825和计算机服务器830。在一些实施例中,可以采用图6中图示的功能块中的一个或多个的多个实例。
图6中示出了计算机805的附加细节。在计算机805内图示的功能块仅被提供为建立示例性功能,而不旨在穷举。并且虽然没有提供远程计算机815、网络服务器820、云存储服务器825和计算机服务器830的细节,但是这些其它计算机和装置可以包括与针对计算机805所示的功能类似的功能。
计算机805可以是个人计算机(PC)、台式计算机、膝上型计算机、平板计算机、上网本计算机、个人数字助理(PDA)、智能电话或能够与其它装置在网络810上进行通信的任何其它可编程电子装置。
计算机805可以包括处理器835、总线837、存储器840、非易失性储存器845、网络接口850、外围接口855和显示器接口865。在一些实施例中,可以将这些功能中的每一个实现为单独的电子子系统(集成电路芯片或芯片和相关联的装置的组合),或者在其它实施例中,可以在单个芯片(有时称为片上系统或SoC)上实现功能的一些组合。
处理器835可以是一个或多个单芯片或多芯片微处理器,例如由英特尔公司、超微半导体公司(AMD)、ARM控股公司(Arm)、苹果电脑公司等设计和/或制造的微处理器。微处理器的示例包括来自英特尔公司的Celeron、Pentium、Core i3、Core i5和Core i7;来自AMD的Opteron、Phenom、Athlon、Turion和Ryzen;以及来自Arm的Cortex-A、Cortex-R和Cortex-M。
总线837可以是专有的或工业标准的高速并行或串行外围互连总线,例如ISA、PCI、PCIExpress(PCI-e)和AGP等。
存储器840和非易失性储存器845可以是计算机可读存储介质。存储器840可以包括任何合适的易失性存储装置,诸如动态随机存取存储器(DRAM)和静态随机存取存储器(SRAM)。非易失性储存器845可包括以下项中的一种或多种:软盘、硬盘、固态驱动器(SSD)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或闪存)、光盘(CD或CD-ROM)、数字通用盘(DVD)和存储卡或棒。
程序848可以是存储在非易失性储存器845中的机器可读指令和/或数据的集合,并且被用于创建、管理和控制在本公开的其它地方详细讨论并且在附图中图示的特定软件功能。在一些实施例中,存储器840可以比非易失性储存器845快得多。在这样的实施例中,程序848可以在由处理器835执行之前从非易失性储存器845转移到存储器840。
计算机805能够经由网络810通过网络接口850与其它计算机通信和交互。网络810可以例如是局域网(LAN)、诸如因特网的广域网(WAN)或这两者的组合,并且可以包括有线、无线或光纤连接。一般而言,网络810可以是支持两个或更多个计算机和相关装置之间的通信的连接和协议的任意组合。
外围接口855可以允许与可与计算机805本地连接的其它装置输入和输出数据。例如,外围接口855可以提供到外部装置860的连接。外部装置860可以包括诸如键盘、鼠标、小键盘、触摸屏和/或其它合适的输入装置的装置。外部装置860还可以包括便携式计算机可读存储介质,诸如例如拇指驱动器、便携式光盘或磁盘以及存储卡。被用于实践本公开的实施例的软件和数据(例如,程序848)可以被存储在这样的便携式计算机可读存储介质上。在这样的实施例中,软件可以被加载到非易失性储存器845上,或者可选地,可以经由外围接口855被直接加载到存储器840中。外围接口855可使用诸如RS-232或通用串行总线(USB)的工业标准连接来与外部装置860连接。
显示器接口865可以将计算机805连接到显示器870。在一些实施例中,显示器870可以被用于向计算机805的用户呈现命令行或图形用户界面。显示器接口865可以使用一个或多个诸如VGA、DVI、DisplayPort和HDMI的专有或工业标准连接而连接到显示器870。
如以上所描述的,网络接口850提供与在计算机805外部的其它计算和存储系统或装置的通信。在本文中讨论的软件程序和数据可以通过网络接口850和网络810从例如远程计算机815、网络服务器820、云存储服务器825和计算机服务器830下载到非易失性储存器845。此外,本公开中描述的系统和方法可以由通过网络接口850和网络810连接到计算机805的一个或多个计算机执行。例如,在一些实施例中,本公开中描述的系统和方法可以由远程计算机815、计算机服务器830或网络810上互连的计算机的组合来执行。
本公开中描述的系统和方法的实施例中采用的数据、数据集和/或数据库可以从远程计算机815、网络服务器820、云存储服务器825和计算机服务器830存储和/或下载。
显然,根据以上教导可以对本发明进行多种修改和变更。因此,将理解,在所附权利要求的范围内,本发明可以以不同于本文中具体描述的方式来实践。

Claims (14)

1.一种用于在第一数字安全证书已经过期之后为用户设备UE(140)重新提供由控制器(130)提供的第二数字安全证书的方法,所述方法包括:
在所述控制器(130)与所述UE(140)之间的初始设置期间,执行以下动作:
使用第一公钥/私钥对在所述UE(140)与所述控制器(130)之间建立第一安全信道,
由所述控制器(130)通过所述第一安全信道向所述UE(140)提供所述第一数字安全证书,并且
在所述控制器(130)处存储救援机密私钥,并且在所述UE(140)处存储救援机密公钥,所述救援机密私钥和所述救援机密公钥是不同于所述第一公钥/私钥对的救援机密公钥/私钥对,所述救援机密公钥由所述控制器(130)通过所述第一安全信道提供给所述UE(140);
所述方法进一步包括:
由所述UE(140)确定所述第一数字安全证书已经过期;
由所述UE(140)通过非安全信道向所述控制器(130)发送证书提供请求消息,作为给所述控制器(130)的为所述UE(140)提供所述第二数字安全证书的请求,所述证书提供请求消息由所述第一公钥/私钥对的私钥签名;
在所述控制器(130)处使用所述第一公钥/私钥对的公钥来验证所述证书提供请求消息,并且一旦被验证,就在所述控制器(130)处通过由所述控制器(130)进行的访问信息的输入来访问存储在所述控制器处的安全存储器中的所述救援机密私钥;在所述控制器(130)处用所述救援机密私钥对所述第二数字安全证书进行签名,并将签名后的第二数字安全证书从所述控制器(130)发送到所述UE(140);并且
当在所述UE(140)处使用所述救援机密公钥对所述签名后的第二数字安全证书进行验证之后,所述UE(140)使用所述第二数字安全证书通过另一安全通信信道恢复与所述控制器(130)的通信。
2.根据权利要求1所述的方法,其中,所述第一数字安全证书和所述第二数字安全证书各自是传输层安全TLS证书和安全套接层SSL证书中的一种。
3.根据权利要求1或2所述的方法,其中,所述访问信息包括密码短语和生物特征数据中的至少一种。
4.根据权利要求1所述的方法,其中:
所述访问信息包括由所述UE(140)在捕获存储器中的内容数据时设置的元数据标签,以及
所述访问包括从所述元数据标签中识别所述内容数据是否在所述第一数字安全证书仍然有效时被捕获。
5.根据权利要求1所述的方法,其中,所述恢复包括应用所述救援机密公钥来验证所述第二数字安全证书的签名。
6.根据权利要求1所述的方法,其中,所述访问包括响应于所述访问信息的输入而自动访问所述救援机密私钥。
7.根据权利要求1所述的方法,其中,所述通信包括将内容数据发送到所述控制器(130),所述内容数据包括从由所述UE(140)捕获的数据中提取的图像、视频、音频和特征中的至少一种。
8.根据权利要求1所述的方法,进一步包括:
在所述UE(140)处用摄像机(2300)将内容数据捕获为图像数据,所述图像数据包括可见光谱范围、紫外光谱范围和红外光谱范围中的至少一种中的图像。
9.根据权利要求1所述的方法,其中,所述发送包括以包括内容数据的元数据标签的PKCS#10消息格式(400)发送所述证书提供请求消息。
10.一种用户设备UE(140),包括:
被配置为安装到可移动平台的外壳(2200);
包含在所述外壳中的摄像机(2300),所述摄像机(2300)包括被配置为捕获内容数据的成像电路系统(2100);
存储器(840),所述存储器(840)持有第一公钥/私钥对的私钥和不同于所述第一公钥/私钥对的救援机密公钥/私钥对的救援机密公钥,其中,所述救援机密公钥/私钥对的救援机密私钥在控制器(130)处的安全存储器中被持有,并且可由所述控制器(130)通过在所述控制器(130)处的访问信息的输入来访问;以及
电路系统(2150),被配置为:
确定第一数字安全证书已经过期,并且所述UE(140)无法通过第一安全通信信道向所述控制器(130)上传所述内容数据,
在所述电路系统确定所述第一数字安全证书已经过期之后,用与所述第一数字安全证书相关联的所述第一公钥/私钥对的所述私钥对证书提供请求消息进行签名,并且通过非安全信道向所述控制器(130)发送签名后的证书提供请求消息,作为给所述控制器(130)的提供第二数字安全证书的请求,
响应于所述控制器(130)使用所述访问信息的至少一部分来检索由所述控制器(130)使用以对所述第二数字安全证书进行签名的所述救援机密私钥,从所述控制器(130)接收所述第二数字安全证书,以及
由所述UE(140)用所述救援机密公钥/私钥对的所述救援机密公钥来验证签名后的第二数字安全证书,并且使用所述第二数字安全证书通过另一安全通信信道恢复与所述控制器(130)的安全通信。
11.根据权利要求10所述的UE(140),其中:
所述摄像机(2300)被配置为由执法人员穿戴的可穿戴装置,并且进一步包括在现场使用时向所述UE(140)提供电力的可再充电电池(2190),和/或
所述摄像机(2300)被配置为行车记录仪和车载摄像机中的至少一种,并且被配置为从车辆接收DC电力,和/或
所述摄像机(2300)被配置为捕获可见光谱范围、紫外光谱范围和红外光谱范围中的至少一种中的图像。
12.根据权利要求10或11所述的UE(140),其中
所述访问信息是由所述UE(140)在捕获内容数据时设置的元数据标签,并且所述电路系统(2150)被配置为生成所述元数据标签以识别何时所述内容数据被记录,作为对所述控制器(130)的所述内容数据是否在所述第一数字安全证书的期满之前被记录的指示。
13.根据权利要求10所述的UE(140),其中,所述电路系统(2150)被配置为应用所述救援机密公钥/私钥对的所述救援机密公钥来验证所述第二数字安全证书的签名。
14.根据权利要求10所述的UE(140),其中,所述内容数据包括从由所述UE(140)捕获的数据中提取的图像、视频、音频和特征中的至少一种。
CN202110060971.5A 2020-02-13 2021-01-18 重新提供数字安全证书的方法、系统和计算机程序产品 Active CN113259111B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP20157046.2A EP3866428B1 (en) 2020-02-13 2020-02-13 A method for re-provisioning a digital security certificate and a system and a non-transitory computer program product thereof
EP20157046.2 2020-02-13

Publications (2)

Publication Number Publication Date
CN113259111A true CN113259111A (zh) 2021-08-13
CN113259111B CN113259111B (zh) 2022-08-26

Family

ID=69581976

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110060971.5A Active CN113259111B (zh) 2020-02-13 2021-01-18 重新提供数字安全证书的方法、系统和计算机程序产品

Country Status (6)

Country Link
US (1) US11283791B2 (zh)
EP (1) EP3866428B1 (zh)
JP (1) JP7060729B2 (zh)
KR (1) KR102434285B1 (zh)
CN (1) CN113259111B (zh)
TW (1) TWI770708B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113993134B (zh) * 2021-12-27 2022-03-22 广州优刻谷科技有限公司 一种基于RFID信号的IoT设备安全接入方法及系统
JP2023097974A (ja) * 2021-12-28 2023-07-10 キヤノン株式会社 情報処理装置、情報処理方法およびプログラム
TWI835351B (zh) * 2022-10-14 2024-03-11 財團法人國家實驗研究院 跨網域之安全連線傳輸方法
US20240281461A1 (en) * 2023-02-17 2024-08-22 Getac Technology Corporation Using an asset bucket for correlating assets

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102503A1 (en) * 2003-09-30 2005-05-12 Tatsuya Imai Communication apparatus, communication system, certificate transmission method and program
US20060047951A1 (en) * 2004-08-27 2006-03-02 Michael Reilly Continuing public key infrastructure operation while regenerating a new certification authority keypair and certificate
US20070055865A1 (en) * 2004-07-20 2007-03-08 Hiroshi Kakii Examination apparatus, communication system, examination method, computer-executable program product, and computer-readable recording medium
CN106453330A (zh) * 2016-10-18 2017-02-22 深圳市金立通信设备有限公司 一种身份认证的方法和系统
CN106533689A (zh) * 2015-09-15 2017-03-22 阿里巴巴集团控股有限公司 一种在ssl/tls通信中加载数字证书的方法和装置
US20190074982A1 (en) * 2015-03-25 2019-03-07 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates
US10277406B1 (en) * 2014-09-05 2019-04-30 Digicert, Inc. Authentication process for issuing sequence of short-lived digital certificates

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020144108A1 (en) 2001-03-29 2002-10-03 International Business Machines Corporation Method and system for public-key-based secure authentication to distributed legacy applications
GB0119629D0 (en) 2001-08-10 2001-10-03 Cryptomathic As Data certification method and apparatus
WO2004047358A1 (en) * 2002-11-20 2004-06-03 America Online, Incorporated Method and apparatus for secure instant messaging utilizing server-supervised publication
US7366906B2 (en) 2003-03-19 2008-04-29 Ricoh Company, Ltd. Digital certificate management system, digital certificate management apparatus, digital certificate management method, program and computer readable information recording medium
JP4657643B2 (ja) 2003-07-25 2011-03-23 株式会社リコー 通信装置、通信システム、通信方法及びプログラム
JP4607567B2 (ja) * 2004-01-09 2011-01-05 株式会社リコー 証明書転送方法、証明書転送装置、証明書転送システム、プログラム及び記録媒体
JP4671783B2 (ja) 2004-07-20 2011-04-20 株式会社リコー 通信システム
US20070088660A1 (en) * 2005-10-13 2007-04-19 Abu-Amara Hosame H Digital security for distributing media content to a local area network
JP4835177B2 (ja) 2006-01-31 2011-12-14 ブラザー工業株式会社 証明書発行装置及びプログラム
JP2007329731A (ja) 2006-06-08 2007-12-20 Hitachi Ltd 証明書更新方法、システム及びプログラム
US10652031B2 (en) 2010-04-30 2020-05-12 T-Central, Inc. Using PKI for security and authentication of control devices and their data
US20130339740A1 (en) * 2012-03-08 2013-12-19 Omer Ben-Shalom Multi-factor certificate authority
WO2015193945A1 (ja) 2014-06-16 2015-12-23 富士通株式会社 更新プログラム及び方法、及び、管理プログラム及び方法
KR101816501B1 (ko) 2015-02-10 2018-01-09 박서준 부가 코드를 이용한 전자 기기, 제어 시스템, 기록 매체, 및 그 방법
US20160366183A1 (en) 2015-06-09 2016-12-15 Ned M. Smith System, Apparatus And Method For Access Control List Processing In A Constrained Environment
US10972262B2 (en) 2015-12-30 2021-04-06 T-Mobile Usa, Inc. Persona and device based certificate management
JP6471112B2 (ja) * 2016-02-29 2019-02-13 Kddi株式会社 通信システム、端末装置、通信方法、及びプログラム
AU2018228890B2 (en) 2017-03-01 2020-08-06 Apple Inc. System access using a mobile device
JP7158830B2 (ja) * 2017-06-08 2022-10-24 キヤノン株式会社 情報処理装置、情報処理装置の制御方法、及び、プログラム
JP6644037B2 (ja) 2017-09-08 2020-02-12 株式会社東芝 通信制御システム
US11025408B2 (en) 2017-09-27 2021-06-01 Cable Television Laboratories, Inc. Provisioning systems and methods

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050102503A1 (en) * 2003-09-30 2005-05-12 Tatsuya Imai Communication apparatus, communication system, certificate transmission method and program
US8015399B2 (en) * 2003-09-30 2011-09-06 Ricoh Company, Ltd. Communication apparatus, communication system, certificate transmission method and program
US20070055865A1 (en) * 2004-07-20 2007-03-08 Hiroshi Kakii Examination apparatus, communication system, examination method, computer-executable program product, and computer-readable recording medium
US20060047951A1 (en) * 2004-08-27 2006-03-02 Michael Reilly Continuing public key infrastructure operation while regenerating a new certification authority keypair and certificate
US10277406B1 (en) * 2014-09-05 2019-04-30 Digicert, Inc. Authentication process for issuing sequence of short-lived digital certificates
US20190074982A1 (en) * 2015-03-25 2019-03-07 Sixscape Communications Pte Ltd Apparatus and method for managing digital certificates
CN106533689A (zh) * 2015-09-15 2017-03-22 阿里巴巴集团控股有限公司 一种在ssl/tls通信中加载数字证书的方法和装置
CN106453330A (zh) * 2016-10-18 2017-02-22 深圳市金立通信设备有限公司 一种身份认证的方法和系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
ETSI SECURITY &STANDARDS ASSOCIATES: "1st ISO WD 27099:PKI Practices and policy framework", 《ETSI DRAFT》 *

Also Published As

Publication number Publication date
JP7060729B2 (ja) 2022-04-26
KR102434285B1 (ko) 2022-08-19
US11283791B2 (en) 2022-03-22
EP3866428B1 (en) 2021-12-29
CN113259111B (zh) 2022-08-26
US20210258300A1 (en) 2021-08-19
KR20210103384A (ko) 2021-08-23
EP3866428A1 (en) 2021-08-18
JP2021145331A (ja) 2021-09-24
TWI770708B (zh) 2022-07-11
TW202131714A (zh) 2021-08-16

Similar Documents

Publication Publication Date Title
CN113259111B (zh) 重新提供数字安全证书的方法、系统和计算机程序产品
US9959413B2 (en) Security and data privacy for lighting sensory networks
US9531710B2 (en) Behavioral authentication system using a biometric fingerprint sensor and user behavior for authentication
KR102540090B1 (ko) 전자 장치 및 그의 전자 키 관리 방법
US10650135B2 (en) Authorization method and device for joint account, and authentication method and device for joint account
CN110689460A (zh) 基于区块链的交通事故数据处理方法、装置、设备及介质
TW201610743A (zh) 以臉部爲基礎之安全傳訊技術
US9853955B2 (en) Techniques for securing delivery of an audio message
US10772141B2 (en) System and method for peer-to-peer wireless communication
US20230379403A1 (en) Video kiosk inmate assistance system
CA3057398C (en) Securely performing cryptographic operations
US11936649B2 (en) Multi-factor authentication
US11251941B2 (en) Managing cryptographic keys based on identity information
US11748407B2 (en) Activity level based management and upload of ride monitoring data of rides of a mobility service provider
US12014363B2 (en) Apparatus and methods for non-fungible tokens as universal digital identification
US11941150B2 (en) In-vehicle system for monitoring rides of a mobility service provider
US11994399B2 (en) Management and upload of ride monitoring data of rides of a mobility service provider
CN114980025A (zh) 安全芯片的信息查看方法及安全芯片装置
CN114792003A (zh) 一种验证锁密码的方法、装置及锁设备
US11316680B2 (en) Protected credentials for roaming biometric login profiles

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant