一种移动设备双因子离线认证方法、系统及装置制造方法及图纸

本发明专利技术公开了一种移动设备双因子离线认证方法、系统及装置，方法包括以下步骤：S1、进行在线认证并登录；S2、生成射频卡密钥写入射频卡，登记密钥信息；S3、将射频卡密钥和密钥信息预分享给客户端；S4、客户端接收并保存射频卡密钥和密钥信息；S5、对设备网络通讯功能禁用，注销管理员登录，启用管理员离线认证模块；S6、射频卡进行信息认证；S7、认证通过，获取一次性密码，输入设备中再次认证；S8、S6和S7同时认证通过则通过；S9、解除网络通讯功能禁用。有益效果：通过离线状态下采用射频卡和一次性密码组合的双因子组合方式进行认证，提高了设备认证的安全性，避免了口令泄漏导致的安全问题。

A dual factor offline authentication method, system and device for mobile devices

【技术实现步骤摘要】
一种移动设备双因子离线认证方法、系统及装置
本专利技术涉及离线认证方法
，具体来说，涉及一种移动设备双因子离线认证方法、系统及装置。
技术介绍
现有企业移动设备应用系统中，设备分发给使用人员之前，为保护设备中的商业秘密不被泄漏，系统管理员会使用设备管理模块对设备的网络通讯功能进行禁用处理。但在使用者结束设备使用时，设备已处于通讯功能禁用状态，无法通过网络连接到云端服务器进行管理员权限认证，就无法对设备的通讯功能进行解除禁用。现有方案中，使用的预置管理员密码，在设备离线时，使用预置密码进行认证，该认证方式安全系数较低，目前缺少一种安全的可以离线对管理员进行认证的方法。
技术实现思路
针对相关技术中的问题，本专利技术提出一种移动设备双因子离线认证方法、系统及装置，以克服现有相关技术所存在的上述技术问题。为此，本专利技术采用的具体技术方案如下：根据本专利技术的一个方面，提供了一种移动设备双因子离线认证方法，包括以下步骤：S1、初始状态下，管理员使用预设的管理员口令进行在线认证，并进行登录；S2本文档来自技高网...

【技术保护点】
1.一种移动设备双因子离线认证方法，其特征在于，包括以下步骤：/nS1、初始状态下，管理员使用预设的管理员口令进行在线认证，并进行登录；/nS2、服务器利用预设原则生成管理员射频卡密钥，并将所述管理员射频卡密钥信息写入射频卡，同时在系统中登记一次性密码生成设备相对应的预分享密钥信息；/nS3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给客户端；/nS4、客户端利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息；/nS5、移动设备交付其他人使用时，管理员利用...

【技术特征摘要】
1.一种移动设备双因子离线认证方法，其特征在于，包括以下步骤：
S1、初始状态下，管理员使用预设的管理员口令进行在线认证，并进行登录；
S2、服务器利用预设原则生成管理员射频卡密钥，并将所述管理员射频卡密钥信息写入射频卡，同时在系统中登记一次性密码生成设备相对应的预分享密钥信息；
S3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给客户端；
S4、客户端利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息；
S5、移动设备交付其他人使用时，管理员利用设备硬件操作模块对所述移动设备的网络通讯功能进行禁用，并注销管理员登录，同时启用管理员离线认证模块；
S6、当其他人使用结束后，需要恢复网络通讯功能时，管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证；
S7、当所述S6认证通过后，再使用所述一次性密码生成设备获取基于时间的一次性密码，并输入所述移动设备中进行再次认证；
S8、当所述S6和所述S7同时认证通过时，则管理员权限认证通过；
S9、管理员便可利用所述设备硬件操作模块解除对所述移动设备网络通讯功能的禁用。


2.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S1中的初始状态下，移动设备具有连网能力，能够与服务器进行通讯。


3.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S2中所述射频卡的类型包括但不限于ISO14443A、ISO14443B或ISO15693的标准卡片类型。


4.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S2中的所述一次性密码生成设备是一种基于时间的一次性密码硬件，每隔固定时间内，密码仅能使用一次，且所述一次性密码生成设备生成一次性密码的计算公式为：
OTP（K，T）=Truncate［A（K，T）］；T=（Tn-T0）/X；
其中，K为在认证服务器端以及客户端之间共享的密钥，其密钥长度不低于128位；
T为时间窗口计数；
Tn为当前Unix操作系统的时间；
T0为初始时间；
X为时间窗口时长；
Truncate为截断函数，对A的计算结果进行截断并转换成6位数字；
A为摘要算法，其包含但不限于MD5，SHA-0，SHA-1，SHA-256，SHA-512。


5.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S2中服务器利用预设原则生成管理员射频卡密钥，并将所述管理员射频卡密钥信息写入射频卡，同时在系统中登记一次性密码生成设备相对应的预分享密钥信息具体包括以下步骤：
S21、服务器通过密钥生成模块使用随机算法生成不低于128位的管理员射频卡密钥；
S22、服务器网站端利用射频卡读写器将所述管理员射频卡密钥信息写入预设的射频卡；
S23、通过在系统中登记一次性密码生成设备相对应的预分享密钥信息，实现对所述一次性密码生...

【专利技术属性】
技术研发人员：李昻，吴明，李广辉，杨大力，厉志，王飞，
申请(专利权)人：南京中孚信息技术有限公司，中孚安全技术有限公司，
类型：发明
国别省市：江苏;32