CN105764057A - 移动终端的注册方法及服务器平台 - Google Patents

移动终端的注册方法及服务器平台 Download PDF

Info

Publication number
CN105764057A
CN105764057A CN201610250011.4A CN201610250011A CN105764057A CN 105764057 A CN105764057 A CN 105764057A CN 201610250011 A CN201610250011 A CN 201610250011A CN 105764057 A CN105764057 A CN 105764057A
Authority
CN
China
Prior art keywords
mobile terminal
user profile
facility information
server
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610250011.4A
Other languages
English (en)
Inventor
冀胜利
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yuanxin Technology
Original Assignee
Yuanxin Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yuanxin Technology filed Critical Yuanxin Technology
Priority to CN201610250011.4A priority Critical patent/CN105764057A/zh
Publication of CN105764057A publication Critical patent/CN105764057A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security

Abstract

本发明实施例提供了移动终端的注册方法及服务器平台,所述方法包括:接收移动终端发送的设备信息和用户信息;对所述设备信息和用户信息进行合法性验证;若所述设备信息和用户信息的验证结果都为合法,则向所述移动终端返回注册成功消息。本发明实施例中,服务器平台在对移动终端的用户信息进行合法性验证的基础上,增加了对移动终端的设备信息的合法性验证。在网络攻击者无法获取移动终端的设备信息的情况下,即使非法获取到用户信息,也无法通过针对设备信息的合法性验证,无法注册成功;因此可以大大提升移动终端的注册的安全性和可靠性,可以防止移动终端的非法注册,从而可以防止企业信息泄露。

Description

移动终端的注册方法及服务器平台
技术领域
本发明涉及终端注册技术领域,具体而言,本发明涉及一种移动终端的注册方法及服务器平台。
背景技术
随着移动终端的飞速发展,智能手机、平板电脑等移动终端在企业中的使用也是越来越多广泛。网络管理员通常需要对需要接入企业内网的移动终端进行集中管理和控制。需要接入企业内网的移动终端通常包括企业员工的移动终端。
目前,通常利用企业服务器对企业员工的移动终端进行注册。一种移动终端的注册方法包括:网络管理员为新入职的员工在企业服务器上申请用户名和口令;网络管理员将申请到的用户名和口令通过邮件、或文件等形式通知该员工;该员工根据分配得到用户名和口令,通过该员工的移动终端登录企业服务器进行注册;企业服务器接收到移动终端发送的用户名和口令后,若检测出该用户名和口令已记录在本企业服务器中,则确定出该用户名和口令合法,该用户的移动终端注册成功。
然而,一旦企业网络管理员申请的用户名和口令流落到与企业不相关的人员手中,例如黑客、网络攻击者手中;不相关的人员可以根据得到的用户名和口令,利用现有的移动终端的注册方法成功进行注册,从而可以在注册成功后,接入企业的内网窃取企业的机密资料,造成企业信息泄露。因此,现有的移动终端的注册方法的安全性较低,容易导致企业信息泄露,亟待改进。
发明内容
本发明针对现有的移动终端的注册方式的缺点,提出一种移动终端的注册方法及服务器平台,用以解决现有技术存在安全性较低的问题,以提高移动终端的注册方法的安全性,防止泄密。
本发明的实施例根据一个方面,提供了一种移动终端的注册方法,包括:
接收移动终端发送的设备信息和用户信息;
对所述设备信息和用户信息进行合法性验证;
若所述设备信息和用户信息的验证结果都为合法,则向所述移动终端返回注册成功消息。
本发明的实施例根据另一个方面,还提供了一种服务器平台,包括:
企业移动管理服务器,用于接收移动终端发送的设备信息和用户信息;转发所述用户信息,并对所述设备信息进行合法性验证;若所述设备信息的验证结果以及接收的所述用户信息的验证结果都为合法,则向所述移动终端返回注册成功的消息;
用户信息验证服务器,用于接收到所述用户信息后,对所述用户信息进行合法性验证,并返回所述用户信息的验证结果。
本发明的实施例中,服务器平台在对移动终端的用户信息进行合法性验证的基础上,增加了对移动终端的设备信息的合法性验证。在网络攻击者无法获取与用户信息相对应的移动终端的设备信息的情况下,即使非法获取到用户信息,也无法通过针对设备信息的合法性验证,无法注册成功。因此,采用本发明实施例可以大大提升移动终端的注册的安全性和可靠性,可以防止移动终端的非法注册,从而防止通过非法注册的移动终端获取企业信息,可以防止企业信息泄露。
而且,本发明的实施例中,移动终端的设备信息、用户信息,分别由服务器平台中的EMM服务器、用户信息验证服务器进行合法性验证;在网络攻击者仅入侵EMM服务器、或者用户信息验证服务器的情况下,仅能非法篡改设备信息、或者用户信息的合法性验证结果,无法既篡改设备信息的验证结果又篡改用户信息的验证结果,从而可以提升移动终端的注册过程的安全性和可靠性。更优的,本发明实施例中的用户信息验证服务器并未与移动终端直接交互,而是由EMM服务器进行信息中转,大大增加了网络攻击者透过EMM服务器攻击用户信息验证服务器的难度,从而可以保证用户信息的验证过程的安全性和可靠性,从而从整体上提升移动终端的注册的安全性和可靠性。
本发明附加的方面和优点将在下面的描述中部分给出,这些将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
本发明上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解,其中:
图1a和1b都为本发明实施例的移动终端的注册系统的架构示意图;
图2a和2b都为本发明实施例的移动终端与服务器平台建立连接的流程示意图;
图2c为本发明实施例的条形码的一个实例的示意图;
图2d为本发明实施例的二维码的一个实例的示意图;
图3a和3b都为本发明实施例的移动终端的注册方法的流程示意图;
图4为本发明实施例的EMM服务器和用户信息验证服务器的内部结构的框架示意图。
具体实施方式
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件,但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
本技术领域技术人员可以理解,这里所使用的“终端”、“终端设备”既包括无线信号接收器的设备,其仅具备无发射能力的无线信号接收器的设备,又包括接收和发射硬件的设备,其具有能够在双向通信链路上,进行双向通信的接收和发射硬件的设备。这种设备可以包括:蜂窝或其他通信设备,其具有单线路显示器或多线路显示器或没有多线路显示器的蜂窝或其他通信设备;PCS(PersonalCommunicationsService,个人通信系统),其可以组合语音、数据处理、传真和/或数据通信能力;PDA(PersonalDigitalAssistant,个人数字助理),其可以包括射频接收器、寻呼机、互联网/内联网访问、网络浏览器、记事本、日历和/或GPS(GlobalPositioningSystem,全球定位系统)接收器;常规膝上型和/或掌上型计算机或其他设备,其具有和/或包括射频接收器的常规膝上型和/或掌上型计算机或其他设备。这里所使用的“终端”、“终端设备”可以是便携式、可运输、安装在交通工具(航空、海运和/或陆地)中的,或者适合于和/或配置为在本地运行,和/或以分布形式,运行在地球和/或空间的任何其他位置运行。这里所使用的“终端”、“终端设备”还可以是通信终端、上网终端、音乐/视频播放终端,例如可以是PDA、MID(MobileInternetDevice,移动互联网设备)和/或具有音乐/视频播放功能的移动电话,也可以是智能电视、机顶盒等设备。
本发明的发明人考虑到,企业的员工的移动终端,可以是企业分配的,也可以是员工自行购买的;企业的访客的移动终端通常可以是企业分配的。对于企业的网络管理员而言,其可以通过合法途径,预先获取员工、访客等人员(本文后续简称用户)的移动终端的设备信息;并将获取的设备信息进行存储。
本发明的实施例中,用户的移动终端向服务器平台发送本移动终端的设备信息和用户信息;由服务器平台对移动终端的设备信息和用户信息分析进行合法性验证;若设备信息和用户信息的验证结果都为合法,则向该移动终端返回注册成功的消息。可见,本发明实施例的注册方法,除了对用户信息进行验证外,还需要对移动终端的设备信息进行验证。即使网络攻击者非法获取到用户信息,但是网络攻击者的移动终端的设备信息通常与用户的移动终端的设备信息不同,因此无法通过针对设备信息的合法性验证,无法注册成功。因此,本发明实施例的注册方法大大提升了安全性,可以防止企业信息泄露。
下面结合附图具体介绍本发明实施例的技术方案。
本发明实施例提供的移动终端的注册系统的架构示意图如图1a所示,包括:移动终端101、服务器平台102。
其中,移动终端101可以是多个移动终端101。移动终端101是诸如智能手机、平板电脑、电子阅读器或PDA(PersonalDigitalAssistant,个人数据助手)等具有网络通讯功能的终端。
移动终端101可以无线接入互联网。
具体地,移动终端101中可以包括WiFi(WirelessFidelity,无线保真)模块,可以通过WiFi局域网接入互联网。
移动终端101可以包括移动通信模块,可以通过移动通信网络接入互联网。移动通信网络可以至少包括下述网络之一:GRPS(GeneralPacketRadioService,通用分组无线服务)网络、3G(3rd-Generationwirelesstelephonetechnology,第三代无线电话技术)网络、LTE(LongTermEvolution,长期演进)网络。
移动终端101中可以包括蓝牙模块,可以通过蓝牙网络接入AP(AccessPoint,访问接入点)设备,通过AP设备接入互联网。
移动终端101中可以包括近场通讯模块,可以通过NFC(NearFieldCommunication,近场通讯)网络接入AP设备,通过AP设备接入互联网。
本发明实施例的服务器平台102包括:EMM(EnterpriseMobilityManagement,企业移动管理)服务器121和用户信息验证服务器122。
EMM服务器121可以有线接入互联网。例如,EMM服务器121通过光纤接入互联网的广域网或主干网。
本发明实施例中,在移动终端101进行注册之前,企业的网络管理员可以合法获取多个用户的移动终端101的设备信息,并将获取的移动终端101的设备信息存储在EMM服务器121中。
即EMM服务器121中存储有多个移动终端101的设备信息。设备信息可以包括终端标识。终端标识是移动终端101的唯一性标识,不可修改。例如,终端标识可以是移动终端101的SN(SerialNumber,序列号)码。
较佳地,设备信息还可以包括设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息等等。
例如,设备信号可以是lenovoK50-t3s;系统和版本信息包括系统类型信息和版本信息,系统类型信息可以是VIBEUI,版本信息可以是V2.5_1532_5.219.1_ST_K50-t3s;处理器信息可以包括处理器核心数和处理器核心频率;运行内存信息可以包括运行内存的容量;存储信息可以包括存储容量。
较佳地,用户信息验证服务器122可以与EMM服务器121有线连接。
较佳地,用户信息验证服务器122具体可以为LDAP(LightweightDirectoryAccessProtocol,轻量目录访问协议)服务器或者SSO(SingleSignON,单点登录)服务器。SSO服务器用于在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。
本发明实施例中,在移动终端101进行注册之前,企业的网络管理员可以在用户信息验证服务器122中为多个用户分别申请用户信息,并将多个用户的用户信息存储在用户信息验证服务器122中。用户信息中可以包括:用户名和口令。
较佳地,网络管理员可以合法地获取用户的个人信息,将获取的个人信息添加到该用户的用户信息中。用户的个人信息可以至少包括如下一项:姓名、性别、籍贯、民族、最高学历、最高学位、政治面貌、毕业院校、出生日期、身份证号等等。
更优的,如图1b所示,本发明实施例的移动终端的注册系统中包括:移动终端101、服务器平台102。
服务器平台102包括:EMM服务器121、用户信息验证服务器122和VPN(VirtualPrivateNetwork,虚拟专用网络)网关123。
与图1a中的注册系统相比,EMM服务器121不再直接接入互联网,而是有线连接至VPN网关123;VPN网关123有线连接至互联网。VPN网关123预存有包括移动终端101在内的多个移动终端的VPN用户名及相应的口令。
此时,服务器平台102中的EMM服务器121和用户信息验证服务器122处于同一个VPN(VirtualPrivateNetwork,虚拟专用网络)中。
较佳地,VPN网关123可以是支持SSL(SecureSocketLayer,安全套接字层)协议的VPN网关,或者支持IPSec(InternetProtocolSecurity,互联网协议安全)标准框架的VPN网关。
本发明实施例的移动终端101的注册系统,支持多个移动终端101向服务器平台102进行注册。每个移动终端101可以独立地向服务器平台102进行注册。
基于上述如图1a所示的移动终端的注册系统,本发明实施例的移动终端101在向服务器平台102进行注册之前,可以与服务器平台102建立连接,该建立连接的方法的流程示意图如图2a所示,包括如下步骤:
S201:移动终端101向服务器平台102中的EMM服务器121发送连接请求。
具体地,移动终端101接收用户输入的注册指令后,向服务器平台102中的EMM服务器121发送连接请求。
较佳地,移动终端101根据HTTPS(HyperTextTransferProtocolSecure,安全超文本传送协议)向EMM服务器121发送连接请求,以与EMM服务器121建立连接。
HTTPS协议包括HTTP(HyperTextTransferProtocol,超文本传送协议)、以及SSL(SecureSocketLayer,安全套接字层)协议或TLS(TransportLayerSecurity,传输层安全)协议。
移动终端101可以根据HTTPS协议中的TLS握手协议与EMM服务器121建立连接。
S202:EMM服务器121接收到连接请求后,向移动终端101返回本服务器的服务器信息。
具体地,EMM服务器121接收到移动终端101的连接请求后,查找出本服务器的服务器信息,向该移动终端101返回。
服务器信息可以包括服务器的数字证书,简称服务器证书。服务器证书中至少包括下述一项:服务器的域名、服务器的地址、服务器的公钥、公钥的到期日期、数字证书的CA(CertificateAuthority,认证机构)名称、一个唯一的序列号、CA的数字签名。
S203:移动终端101接收到EMM服务器121返回的服务器信息后,进行合法性验证,验证为合法后与EMM服务器121建立连接。
本步骤中,移动终端101接收到EMM服务器121返回的服务器信息后,从中解析出服务器证书,从服务器证书中解析出至少下述一项:服务器的域名、服务器的地址、服务器的公钥、公钥的到期日期、数字证书的CA名称、一个唯一的序列号、CA的数字签名。
移动终端101利用上述解析出的信息对服务器证书进行合法性验证。
具体地,移动终端101将移动终端101当前的系统日期与公钥的到期日期进行比较,若系统日期在到期日期之前,则确认公钥未过期,即公钥的日期合法;将解析出的CA名称,与预存的或者获取的CA名称进行比较,若CA名称为一致,则确定CA可靠,即CA名称合法;将解析出的服务器的域名,与接收的服务器的实际域名相匹配,若匹配结果为一致,则确定服务器的域名合法;利用解析出的服务器的公钥,对CA的数字签名进行解密,若可以正确对CA的数字签名进行解密,则确定服务器的公钥和CA的数字签名都合法。
移动终端101确定出服务器证书的验证结果为合法后,与EMM服务器121建立连接。与EMM服务器121的连接可以是长连接、短连接或其它连接方式,本领域技术人员可以根据实际情况进行选择,本发明实施例不对连接方式进行限定。
事实上,移动终端101确定出服务器证书合法后,可以生成一个随机值作为密钥,并利用服务器证书中的CA的数字签名、或服务器的公钥对该随机值进行加密,将加密后的随机值向EMM服务器121发送。该随机值作为后续注册过程中向EMM服务器121发送内容的加密密钥。
EMM服务器121接收到移动终端101发送的加密后的随机值后,利用本服务器中预存的服务器的私钥,解密出随机值,作为后续注册过程中向该移动终端101返回内容的加密密钥。
在实际操作中,EMM服务器121向移动终端101发送本EMM服务器的服务器信息,使得移动终端101验证该服务器信息的合法性通过后,向EMM服务器121发送移动终端101的设备信息和用户信息。
基于上述如图1b所示的移动终端的注册系统,本发明实施例的移动终端101在向服务器平台102进行注册之前,可以与服务器平台102建立连接,该建立连接的方法的流程示意图如图2b所示,包括如下步骤:
S211:移动终端101向服务器平台102中的VPN网关123发送连接请求。
移动终端101的VPN客户端接收到用户输入的包括VPN用户名及相应的口令的VPN用户信息后,从接收在移动终端101外部的硬件电子钥匙中获取用户证书;将VPN用户名及相应的口令、和用户证书一并携带于连接请求中,向VPN网关123发送。
较佳地,移动终端101可以从连接于本移动终端外部的硬件电子钥匙中获取用户证书和VPN用户名、以及接收用户输入的与VPN用户名对应的口令;将获取的用户证书、和VPN用户名及对应的口令,一并向VPN网关123发送。
硬件电子钥匙,即硬件key具体可以是经硬件加密的TF卡。TF(TransFLash,快闪)存储卡,又称mircoSD卡。
可以理解,将移动终端101的用户证书和VPN用户名等信息存储在硬件电子钥匙中,可以防止移动终端101的用户证书和VPN用户名泄露,可以提升移动终端101的用户证书和VPN用户名的安全性,从而提升移动终端101与VPN网关建立VPN隧道等连接的安全性。
而由用户输入VPN用户名对应的口令,口令可以不保存在移动终端101本地,大大减少口令泄露的几率,从而提升口令的安全性。
S212:VPN网关123对接收的连接请求中的VPN客户信息进行合法性验证,验证为合法后,向移动终端101返回本网关的网关信息。
VPN网关123从接收的连接请求中解析出VPN用户名及相应的口令、和用户证书后,确定接收到针对VPN网关的连接请求。
VPN网关123对VPN用户名和口令进行合法性验证;例如,将VPN用户名和口令分别与预存的VPN用户名和口令进行匹配,若匹配结果为一致,则确认VPN用户名和口令的验证结果为合法。
VPN网关123对用户证书进行合法性验证;例如,确认用户证书是否过期,用户证书的CA名称是否合法,利用VPN网关预存的配套的网关证书是否可以对用户证书中的数字签名进行正确解密等等。
VPN用户名及相应的口令和用户证书的验证结果都为合法后,向移动终端101返回本网关的网关信息。VPN网关123的网关信息与上述步骤S202中的服务器信息类似,此处不再赘述。
S213:移动终端101对接收的网关信息进行合法性验证,验证为合法后,与VPN网关123建立连接。
移动终端101对网关信息进行合法性验证的具体方法,与上述步骤S203中对服务器信息进行的合法性验证的方法类似,此处不再赘述。
较佳地,移动终端101可以与VPN网关123建立VPN隧道连接。
S214:移动终端101向VPN网关123发送针对EMM服务器121的连接请求。
移动终端101可以通过如下至少一种方式获取EMM服务器121的地址信息。
方式一:移动终端101接收用户手动输入的EMM服务器121的地址信息。较佳地,移动终端101可以通过按键、语音、手势、外部设备中的至少一种获取用户输入的EMM服务器121的地址信息。外部设备可以包括与移动终端101连接的手写笔、光笔等等。
方式二:移动终端101通过一维码获取EMM服务器121的地址信息。较佳地,移动终端101通过读取或者扫描条形码获取EMM服务器121的地址信息。例如,移动终端101通过本移动终端中的图像拾取装置,读取如图2c所示的条形码,从读取的条形码中解析出EMM服务器121的地址信息为emm.likesec.com443。
方式三:移动终端101通过二维码获取EMM服务器121的地址信息。例如,移动终端101通过本移动终端中的图像拾取装置,读取或扫描如图2d所示的二维码,从该二维码中解析出EMM服务器121的地址信息为emm.likesec.com443。
通过一维码或二维码获取EMM服务器121的地址信息,可以减少用户的输入操作,可以提升用户的体验。
移动终端101将获取的EMM服务器121的地址信息携带于连接请求中,通过预先建立的连接,向VPN网关123发送。
S215:VPN网关123将针对EMM服务器121的连接请求转发至EMM服务器121。
VPN网关123通过预先建立的连接,接收到移动终端101发送的连接请求后,若从该连接请求中解析出EMM服务器121的地址信息,确认接收到针对EMM服务器121的连接请求,将该连接请求向EMM服务器121转发。
S216:EMM服务器121接收到连接请求后,将针对移动终端101返回的服务器信息发送至VPN网关123。
EMM服务器121接收到连接请求后,将移动终端101的标识或地址信息、与本服务器的服务器信息一并发送至VPN网关123。
S217:VPN网关123将EMM服务器121发送的服务器信息向移动终端101发送。
VPN网关123确定出移动终端101的标识对应的地址信息后,或者直接根据移动终端101的地址信息,将EMM服务器121的服务器信息向移动终端101返回。
S218:移动终端101接收到VPN网关123发送的EMM服务器121的服务器信息后,进行合法性验证,验证为合法后与EMM服务器121建立连接。
移动终端101对服务器信息进行合法性验证的具体方法,与上述步骤S203中对服务器信息进行的合法性验证的方法一致,此处不再赘述。
容易理解,增加VPN网关123与移动终端101之间的双向合法性验证,可以大大提升两者之间建立连接的安全性和可靠性,从而有助于提升后续在该连接(例如VPN隧道连接)基础上的注册过程的安全性和可靠性。
基于上述如图1a所示的移动终端的注册系统,本发明实施例中,移动终端101与EMM服务器建立连接后,移动终端101的注册方法的流程示意图如图3a所示,包括如下步骤:
S301:移动终端101向服务器平台102中的EMM服务器121发送本移动终端的设备信息和用户信息。
移动终端101在上述步骤S203中,验证服务器平台102中的EMM服务器121的服务器信息为合法后,在本步骤中,根据上述步骤中的注册指令,将本移动终端101的设备信息和用户信息,向服务器平台102中的EMM服务器121发送。
其中,移动终端101的设备信息可以包括:移动终端101的终端标识。终端标识是移动终端101的唯一性标识,不可修改。例如,终端标识可以是移动终端101的SN码。
较佳地,移动终端101的设备信息还可以包括设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息等等。
移动终端101的用户信息可以包括:网络管理员配置的用户名和口令。
较佳地,移动终端101的用户信息还可以包括:移动终端101的用户的个人信息。用户的个人信息可以至少包括如下一项:姓名、性别、籍贯、民族、最高学历、最高学位、政治面貌、毕业院校、出生日期、身份证号等等。
移动终端101可以接收用户输入的个人信息,并将个人信息添加到用户信息中。
例如,移动终端101根据注册指令,弹出用户信息的输入界面;用户信息的输入界面接收到用户输入的用户名、口令和个人信息后,确定接收到用户的用户信息。
S302:EMM服务器121接收移动终端101发送的设备信息和用户信息,并转发用户信息。
具体地,服务器平台102中的EMM服务器121接收移动终端101发送的设备信息和用户信息。
EMM服务器121将移动终端101的用户信息向用户信息验证服务器122发送。
S303:EMM服务器121对移动终端101的设备信息进行合法性验证。
具体地,服务器平台102中的EMM服务器121,从接收到的移动终端101的设备信息中解析出终端标识,将解析出的终端标识与本EMM服务器中预存的终端标识进行匹配。若设备信息的终端标识的匹配结果为一致,则确定移动终端101的设备信息的验证结果为合法。若终端标识的匹配为不一致,则确定移动终端101的设备信息的验证结果为不合法。
较佳地,EMM服务器121,从接收到的移动终端101的设备信息中解析出终端标识、以及下述项目中的至少一项:设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息。将解析出的终端标识与本EMM服务器中预存的终端标识进行匹配,并将解析出的设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息中的至少一项,分别与本EMM服务器中预存的终端标识相对应的设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息中的至少一项进行匹配;若终端标识的匹配结果、以及设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息中的至少一项的匹配结果都为一致,则确定移动终端101的设备信息的验证结果为合法。若终端标识、或者设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息中的任一项的匹配结果为不一致,则确定移动终端101的设备信息的验证结果为不合法。
其中,针对移动终端101的设备信息中的设备型号、系统和版本信息、处理器信息、运行内存信息和存储信息,本领域技术人员可以根据实际情况,选择一种或者多种信息进行用户信息的合法性验证。
S304:服务器平台102中的用户信息验证服务器122对移动终端101的用户信息进行合法性验证,并向EMM服务器211返回用户信息的合法性验证结果。
由用户信息验证服务器122对接收的用户信息与预存的用户信息进行匹配,若匹配结果为一致,则确定移动终端101的用户信息的验证结果为合法,并返回用户信息合法的验证结果;若匹配结果为不一致,则确定移动终端101的用户信息的验证结果为不合法,并返回用户信息不合法的验证结果。
具体地,用户信息验证服务器122接收到EMM服务器121发送的用户信息后,从该用户信息中解析出用户名和口令;将解析出的用户名和口令,分别与网络管理员预先对应配置在用户信息验证服务器122中的用户名和口令进行匹配,若用户名和口令的匹配结果都为一致,则确定移动终端101的用户信息的验证结果为合法,并将该验证结果向EMM服务器121返回;若用户名或口令的匹配结果不一致,则确定移动终端101的用户信息的验证结果为不合法,并将该验证结果向EMM服务器121返回。
较佳地,用户信息验证服务器122接收到EMM服务器121发送的用户信息后,从该用户信息中解析出用户名和口令、以及用户的个人信息;将解析出的用户名和口令、以及用户的个人信息,分别与网络管理员预先对应配置在用户信息验证服务器122中的用户名和口令、用户的个人信息进行匹配,若用户名和口令、以及用户的个人信息的匹配结果都为一致,则确定移动终端101的用户信息的验证结果为合法,并将该验证结果向EMM服务器121返回。若用户名、口令、以及用户的个人信息的任一项的匹配结果为不一致,则确定移动终端101的用户信息的验证结果为不合法,并将该验证结果向EMM服务器121返回。
S305:若移动终端101的设备信息和用户信息的验证结果都为合法,则EMM服务器211向移动终端101返回注册成功的消息。
具体地,服务器平台102中的EMM服务器121在上述步骤S303确定出移动终端101的设备信息的验证结果为合法,并在本步骤中接收到用户信息验证服务器122返回的移动终端101的用户信息的验证结果为合法后,确定移动终端101注册成功,并将注册成功的消息向移动终端101返回。
若EMM服务器121在上述步骤S303确定出移动终端101的设备信息的验证结果为不合法,或者在本步骤中接收到用户信息验证服务器122返回的移动终端101的用户信息的验证结果为不合法后,确定移动终端101注册失败,并将注册失败的消息向移动终端101返回。
事实上,本领域技术人员可以根据实际情况,选择步骤S303和S304的执行顺序。具体地,可以同时执行上述步骤S303和步骤S304,可以先执行步骤S303后执行步骤S304,也可以先执行步骤S304后执行步骤S303。
基于上述如图1b所示的移动终端的注册系统,本发明实施例中,移动终端101与EMM服务器建立连接后,移动终端101的注册方法的流程示意图如图3b所示,包括如下步骤:
S311:移动终端101向服务器平台102中的VPN网关123发送本移动终端的设备信息和用户信息、以及EMM服务器211的地址信息或标识。
移动终端的设备信息和用户信息与上述步骤S301中的移动终端的设备信息和用户信息一致,EMM服务器211的地址信息与上述步骤S214中的EMM服务器211的地址信息一致,此处不再赘述。
较佳地,移动终端101可以从本移动终端中获取本移动终端的设备信息、从连接于本移动终端外部的硬件电子钥匙中获取用户信息中的用户名、以及接收用户输入的用户信息中的口令;将获取的设备信息、用户信息,与EMM服务器211的地址信息或标识一并向VPN网关发送。
硬件电子钥匙,即硬件key具体可以是经硬件加密的TF卡。TF存储卡,又称mircoSD卡。
S312:VPN网关123根据接收到的EMM服务器211的地址信息或标识,将接收到的移动终端101的设备信息和用户信息转发至EMM服务器211。
S313:EMM服务器121接收移动终端101的设备信息和用户信息,并转发用户信息。
本步骤的具体方法与上述步骤S302中的具体方法一致,此处不再赘述。
S314:EMM服务器121对移动终端101的设备信息进行合法性验证。
本步骤的具体方法与上述步骤S303中的具体方法一致,此处不再赘述。
S315:服务器平台102中的用户信息验证服务器122对移动终端101的用户信息进行合法性验证,并向EMM服务器211返回用户信息的合法性验证结果。
本步骤的具体方法与上述步骤S304中的具体方法一致,此处不再赘述。
S316:若移动终端101的设备信息和用户信息的验证结果都为合法,则EMM服务器211向VPN网关123发送移动终端101的注册成功的消息。
具体地,服务器平台102中的EMM服务器121在上述步骤S314确定出移动终端101的设备信息的验证结果为合法,并在本步骤中接收到用户信息验证服务器122返回的移动终端101的用户信息的验证结果为合法后,确定移动终端101注册成功;将注册成功的消息、以及预存的移动终端101的标识或地址信息向VPN网关123发送。
若EMM服务器121在上述步骤S314确定出移动终端101的设备信息的验证结果为不合法,或者在本步骤中接收到用户信息验证服务器122返回的移动终端101的用户信息的验证结果为不合法后,确定移动终端101注册失败;将注册失败的消息、以及预存的移动终端101的标识或地址信息向VPN网关123发送。
S317:VPN网关123将注册成功的消息向移动终端101返回。
VPN网关123接收到EMM服务器121发送的注册成功的消息、以及预存的移动终端101的标识或地址信息后,确定出移动终端101的标识对应的地址信息或通信号码,根据移动终端101的地址信息或通信号码,将接收的注册成功的消息向移动终端101返回。同理,可以采用同样的方法向移动终端101返回注册失败的消息。
基于上述移动终端的注册方法,如图1a或图1b所示,本发明实施例中的服务器平台102的EMM服务器121用于接收移动终端101发送的设备信息和用户信息;转发移动终端101的用户信息,并对移动终端101的设备信息进行合法性验证;若移动终端101的设备信息的验证结果以及接收的移动终端101的用户信息的验证结果都为合法,则向移动终端101返回注册成功的消息。
本发明实施例中的服务器平台102的用户信息验证服务器122用于接收到EMM服务器121转发的移动终端101的用户信息后,对移动终端101的用户信息进行合法性验证,并返回移动终端101的用户信息的验证结果。
更优的,本发明实施例的EMM服务器121的内部结构的框架示意图如图4所示,包括:信息收发模块411、设备信息验证模块412和注册模块413。
其中,信息收发模块411用于接收移动终端101发送的设备信息和用户信息;向用户信息验证服务器122转发移动终端101的用户信息。
设备信息验证模块412用于对移动终端101的设备信息进行合法性验证。
具体地,设备信息验证模块412用于将移动终端101的设备信息中的终端标识,与本EMM服务器中预存的终端标识进行匹配;若匹配结果为一致,则确定移动终端101的设备信息的验证结果为合法。
注册模块413用于若移动终端101的设备信息的验证结果以及接收的移动终端101的用户信息的验证结果都为合法,则向移动终端101返回注册成功的消息。
较佳地,移动终端101的用户信息包括用户名和口令。
以及,信息收发模块411具体用于接收移动终端101发送的移动终端101的设备信息、连接在移动终端101外部的硬件电子钥匙中的用户名、以及用户输入的口令。
较佳地,信息收发模块411具体用于通过VPN网关123接收移动终端101发送的设备信息和用户信息。
进一步,VPN网关123还用于在通信收发模块411通过VPN网关123接收移动终端发送的设备信息和用户信息之前,与移动终端101通过双向合法性验证后建立连接。
进一步,VPN网关123用于与移动终端101建立VPN隧道连接。
较佳地,注册模块413还用于若移动终端101的设备信息的验证结果以及接收的移动终端101的用户信息的验证结果都为合法,则通过VPN网关123向移动终端101返回注册成功的消息。
上述信息收发模块411、设备信息验证模块412和注册模块413功能的实现方法,可以参考如上述附图2a、图2b、图3a和图3b所示的流程步骤的具体内容,此处不再赘述。
更优的,本发明实施例的用户信息验证服务器122的内部结构的框架示意图如图4所示,包括:信息接收模块421、用户信息验证模块422和验证结果返回模块423。
其中,信息接收模块421用于接收到EMM服务器121转发的移动终端101的用户信息后,进行转发。
用户信息验证模块422用于接收到信息接收模块501转发的移动终端101的用户信息后,对移动终端101的用户信息进行合法性验证。
具体地,用户信息验证模块422用于对接收的移动终端101的用户信息与预存的用户信息进行匹配;若匹配结果为一致,则确定移动终端101的用户信息的验证结果为合法。
验证结果返回模块423用于向EMM服务器121返回移动终端101的用户信息的验证结果。
上述信息接收模块421、用户信息验证模块422和验证结果返回模块423功能的实现方法,可以参考如上述附图2a、图2b、图3a和图3b所示的流程步骤的具体内容,此处不再赘述。
本领域技术人员可以理解,本发明实施例中的移动终端的注册方法及服务器平台可以应用在企业中,也可以应用在政府机关、有关部门、事业单位、服务型机构和组织团体等工作单位中。
本发明的实施例中,服务器平台在对移动终端的用户信息进行合法性验证的基础上,增加了对移动终端的设备信息的合法性验证。在网络攻击者无法获取与用户信息相对应的移动终端的设备信息的情况下,即使非法获取到用户信息,也无法通过针对设备信息的合法性验证,无法注册成功。因此,采用本发明实施例可以大大提升移动终端的注册的安全性和可靠性,可以防止移动终端的非法注册,从而防止通过非法注册的移动终端获取企业信息,可以防止企业信息泄露。
而且,本发明的实施例中,移动终端的设备信息、用户信息,分别由服务器平台中的EMM服务器、用户信息验证服务器进行合法性验证;在网络攻击者仅入侵EMM服务器、或者用户信息验证服务器的情况下,仅能非法篡改设备信息、或者用户信息的合法性验证结果,无法既篡改设备信息的验证结果又篡改用户信息的验证结果,从而可以提升移动终端的注册过程的安全性和可靠性。更优的,本发明实施例中的用户信息验证服务器并未与移动终端直接交互,而是由EMM服务器进行信息中转,大大增加了网络攻击者透过EMM服务器攻击用户信息验证服务器的难度,从而可以保证用户信息的验证过程的安全性和可靠性,从而从整体上提升移动终端的注册的安全性和可靠性。
进一步,本发明实施例中,对用户信息进行了扩充,除了网络管理员分配的用户名和口令外,还可以包括用户的个人信息。本领域技术人员可以理解,用户通常熟记自身的个人信息,因此移动终端无需记载用户的个人信息,直接接收用户根据记忆输入的个人信息即可。网络攻击者即使非法获取到移动终端的设备信息,但是无法获取用户记忆中的个人信息,自然无法通过用户信息的合法性验证,从而进一步提升移动终端的注册的安全性和可靠性。
此外,本发明实施例中,增加了移动终端与VPN网关之间的双向合法性验证,以提升后续建立VPN连接的安全性和可靠性;进而整体上提升移动终端的注册过程的安全性和可靠性。进一步,移动终端不保存口令而由用户输入,大大降低口令泄露的几率;以及用户证书和用户名等信息存储在硬件key中,可以保证用户证书和用户名等信息的安全性和可靠性;从而进一步提升整个移动终端的注册过程的安全性和可靠性。
本技术领域技术人员可以理解,本发明包括涉及用于执行本申请中所述操作中的一项或多项的设备。这些设备可以为所需的目的而专门设计和制造,或者也可以包括通用计算机中的已知设备。这些设备具有存储在其内的计算机程序,这些计算机程序选择性地激活或重构。这样的计算机程序可以被存储在设备(例如,计算机)可读介质中或者存储在适于存储电子指令并分别耦联到总线的任何类型的介质中,所述计算机可读介质包括但不限于任何类型的盘(包括软盘、硬盘、光盘、CD-ROM、和磁光盘)、ROM(Read-OnlyMemory,只读存储器)、RAM(RandomAccessMemory,随即存储器)、EPROM(ErasableProgrammableRead-OnlyMemory,可擦写可编程只读存储器)、EEPROM(ElectricallyErasableProgrammableRead-OnlyMemory,电可擦可编程只读存储器)、闪存、磁性卡片或光线卡片。也就是,可读介质包括由设备(例如,计算机)以能够读的形式存储或传输信息的任何介质。
本技术领域技术人员可以理解,可以用计算机程序指令来实现这些结构图和/或框图和/或流图中的每个框以及这些结构图和/或框图和/或流图中的框的组合。本技术领域技术人员可以理解,可以将这些计算机程序指令提供给通用计算机、专业计算机或其他可编程数据处理方法的处理器来实现,从而通过计算机或其他可编程数据处理方法的处理器来执行本发明公开的结构图和/或框图和/或流图的框或多个框中指定的方案。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
以上所述仅是本发明的部分实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本发明的保护范围。

Claims (11)

1.一种移动终端的注册方法,其特征在于,包括:
接收移动终端发送的设备信息和用户信息;
对所述设备信息和用户信息进行合法性验证;
若所述设备信息和用户信息的验证结果都为合法,则向所述移动终端返回注册成功消息。
2.根据权利要求1所述的方法,其特征在于,对所述设备信息和用户信息进行合法性验证,包括:
转发所述用户信息,并对所述设备信息进行合法性验证;由用户信息验证服务器对所述用户信息进行合法性验证,并返回所述用户信息的验证结果。
3.根据权利要求1所述的方法,其特征在于,所述用户信息包括用户名和口令;以及
所述接收移动终端发送的设备信息和用户信息,包括:
接收所述移动终端发送的所述移动终端的设备信息、连接在所述移动终端外部的硬件电子钥匙中的用户名、以及用户输入的口令。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述接收移动终端的设备信息和用户信息之前,还包括:
向所述移动终端发送所述企业移动管理服务器的服务器信息,使得所述移动终端验证所述服务器信息为合法后,发送所述设备信息和用户信息。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述接收移动终端发送的设备信息和用户信息,包括:
通过虚拟专用网络的网关接收移动终端发送的设备信息和用户信息。
6.根据权利要求5所述的方法,其特征在于,所述接收移动终端发送的设备信息和用户信息之前,还包括:
虚拟专用网络的网关与所述移动终端通过双向合法性验证后建立连接。
7.一种服务器平台,其特征在于,包括:
企业移动管理服务器,用于接收移动终端发送的设备信息和用户信息;转发所述用户信息,并对所述设备信息进行合法性验证;若所述设备信息的验证结果以及接收的所述用户信息的验证结果都为合法,则向所述移动终端返回注册成功的消息;
用户信息验证服务器,用于接收到所述用户信息后,对所述用户信息进行合法性验证,并返回所述用户信息的验证结果。
8.根据权利要求7所述的服务器平台,其特征在于,所述企业移动管理服务器,具体包括:
信息收发模块,用于接收移动终端发送的设备信息和用户信息;转发所述用户信息;
设备信息验证模块,用于对所述设备信息进行合法性验证;
注册模块,用于若所述设备信息的验证结果以及接收的所述用户信息的验证结果都为合法,则向所述移动终端返回注册成功的消息。
9.根据权利要求8所述的服务器平台,其特征在于,所述用户信息包括用户名和口令;以及
所述信息收发模块具体用于接收所述移动终端发送的所述移动终端的设备信息、连接在所述移动终端外部的硬件电子钥匙中的用户名、以及用户输入的口令。
10.根据权利要求7-9任一项所述的服务器平台,其特征在于,还包括:虚拟专用网络的网关,以及
所述信息收发模块具体用于通过所述虚拟专用网络的网关接收移动终端发送的设备信息和用户信息。
11.根据权利要求10所述的服务器平台,其特征在于,
所述虚拟专用网络的网关还用于在所述通信收发模块通过本虚拟专用网络的网关接收移动终端发送的设备信息和用户信息之前,与所述移动终端通过双向合法性验证后建立连接。
CN201610250011.4A 2016-04-21 2016-04-21 移动终端的注册方法及服务器平台 Pending CN105764057A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610250011.4A CN105764057A (zh) 2016-04-21 2016-04-21 移动终端的注册方法及服务器平台

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610250011.4A CN105764057A (zh) 2016-04-21 2016-04-21 移动终端的注册方法及服务器平台

Publications (1)

Publication Number Publication Date
CN105764057A true CN105764057A (zh) 2016-07-13

Family

ID=56325339

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610250011.4A Pending CN105764057A (zh) 2016-04-21 2016-04-21 移动终端的注册方法及服务器平台

Country Status (1)

Country Link
CN (1) CN105764057A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351612A (zh) * 2017-02-15 2019-10-18 金钱猫科技股份有限公司 一种维护工作简单的onu设备自动注册的方法
WO2022227799A1 (zh) * 2021-04-29 2022-11-03 华为技术有限公司 设备注册方法及装置、计算机设备、存储介质
WO2023178686A1 (zh) * 2022-03-25 2023-09-28 Oppo广东移动通信有限公司 安全实现方法、装置、终端设备、网元、及凭证生成设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104202744A (zh) * 2014-08-14 2014-12-10 腾讯科技(深圳)有限公司 一种智能终端的操作认证方法、终端及系统
CN104202338A (zh) * 2014-09-23 2014-12-10 中国南方电网有限责任公司 一种适用于企业级移动应用的安全接入方法
CN104410622A (zh) * 2014-11-25 2015-03-11 珠海格力电器股份有限公司 登陆Web系统的安全认证方法、客户端及系统
EP2981130A1 (en) * 2013-04-28 2016-02-03 ZTE Corporation Communication managing method and communication system

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2981130A1 (en) * 2013-04-28 2016-02-03 ZTE Corporation Communication managing method and communication system
CN104202744A (zh) * 2014-08-14 2014-12-10 腾讯科技(深圳)有限公司 一种智能终端的操作认证方法、终端及系统
CN104202338A (zh) * 2014-09-23 2014-12-10 中国南方电网有限责任公司 一种适用于企业级移动应用的安全接入方法
CN104410622A (zh) * 2014-11-25 2015-03-11 珠海格力电器股份有限公司 登陆Web系统的安全认证方法、客户端及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110351612A (zh) * 2017-02-15 2019-10-18 金钱猫科技股份有限公司 一种维护工作简单的onu设备自动注册的方法
WO2022227799A1 (zh) * 2021-04-29 2022-11-03 华为技术有限公司 设备注册方法及装置、计算机设备、存储介质
WO2023178686A1 (zh) * 2022-03-25 2023-09-28 Oppo广东移动通信有限公司 安全实现方法、装置、终端设备、网元、及凭证生成设备

Similar Documents

Publication Publication Date Title
KR102220087B1 (ko) 이차원 바코드를 프로세싱하기 위한 방법, 장치, 및 시스템
US8191124B2 (en) Systems and methods for acquiring network credentials
US8549588B2 (en) Systems and methods for obtaining network access
KR101214839B1 (ko) 인증 방법 및 그 시스템
US8196188B2 (en) Systems and methods for providing network credentials
CN101242404B (zh) 一种基于异质网络的验证方法和系统
US9397980B1 (en) Credential management
EP2479957B1 (en) System and method for authenticating remote server access
US8752203B2 (en) System for managing computer data security through portable data access security tokens
US20150106900A1 (en) Mobile network-based multi-factor authentication
JP5276593B2 (ja) ネットワーク信用証明書を獲得するためのシステムおよび方法
JP5167835B2 (ja) 利用者認証システム、および方法、プログラム、媒体
JP2005527909A (ja) 電子メールアドレスとハードウェア情報とを利用したユーザ認証方法及びシステム
CN104160653A (zh) 多因素证书授权机构
CN102577301A (zh) 用于可信认证和登录的方法和装置
CN116438531A (zh) 利用基于浏览器的安全pin认证的did系统及其控制方法
ES2353855T3 (es) Procedimiento y dispositivo de autentificación de usuarios.
KR20080061714A (ko) 이동통신단말기에서 생성되는 일회용 비밀번호를 기반으로한 사용자 인증 방법
US20230105442A1 (en) Digital identity sign-in
JP2009118110A (ja) 認証システムのメタデータプロビジョニング方法、システム、そのプログラムおよび記録媒体
CN105764057A (zh) 移动终端的注册方法及服务器平台
CN104767740A (zh) 用于来自用户平台的可信认证和接入的方法
KR20210108420A (ko) 위치 정보 제공 시스템 및 위치 정보 제공 방법
JP5078675B2 (ja) 会員認証システム及び携帯端末装置
JP5004635B2 (ja) 認証装置、認証システム、放送装置、認証方法、及び放送方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20160713