CN111935178A - 一种移动设备双因子离线认证方法、系统及装置 - Google Patents

一种移动设备双因子离线认证方法、系统及装置 Download PDF

Info

Publication number
CN111935178A
CN111935178A CN202011006003.8A CN202011006003A CN111935178A CN 111935178 A CN111935178 A CN 111935178A CN 202011006003 A CN202011006003 A CN 202011006003A CN 111935178 A CN111935178 A CN 111935178A
Authority
CN
China
Prior art keywords
authentication
administrator
radio frequency
time password
frequency card
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202011006003.8A
Other languages
English (en)
Other versions
CN111935178B (zh
Inventor
李昻
吴明
李广辉
杨大力
厉志
王飞
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Safety Technology Co Ltd
Original Assignee
Nanjing Zhongfu Information Technology Co Ltd
Zhongfu Safety Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Zhongfu Information Technology Co Ltd, Zhongfu Safety Technology Co Ltd filed Critical Nanjing Zhongfu Information Technology Co Ltd
Priority to CN202011006003.8A priority Critical patent/CN111935178B/zh
Publication of CN111935178A publication Critical patent/CN111935178A/zh
Application granted granted Critical
Publication of CN111935178B publication Critical patent/CN111935178B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06KGRAPHICAL DATA READING; PRESENTATION OF DATA; RECORD CARRIERS; HANDLING RECORD CARRIERS
    • G06K17/00Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations
    • G06K17/0022Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device
    • G06K17/0029Methods or arrangements for effecting co-operative working between equipments covered by two or more of main groups G06K1/00 - G06K15/00, e.g. automatic card files incorporating conveying and reading operations arrangements or provisious for transferring data to distant stations, e.g. from a sensing device the arrangement being specially adapted for wireless interrogation of grouped or bundled articles tagged with wireless record carriers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/80Services using short range communication, e.g. near-field communication [NFC], radio-frequency identification [RFID] or low energy communication

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Telephonic Communication Services (AREA)
  • Telephone Function (AREA)

Abstract

本发明公开了一种移动设备双因子离线认证方法、系统及装置,方法包括以下步骤:S1、进行在线认证并登录;S2、生成射频卡密钥写入射频卡,登记密钥信息;S3、将射频卡密钥和密钥信息预分享给客户端;S4、客户端接收并保存射频卡密钥和密钥信息;S5、对设备网络通讯功能禁用,注销管理员登录,启用管理员离线认证模块;S6、射频卡进行信息认证;S7、认证通过,获取一次性密码,输入设备中再次认证;S8、S6和S7同时认证通过则通过;S9、解除网络通讯功能禁用。有益效果:通过离线状态下采用射频卡和一次性密码组合的双因子组合方式进行认证,提高了设备认证的安全性,避免了口令泄漏导致的安全问题。

Description

一种移动设备双因子离线认证方法、系统及装置
技术领域
本发明涉及离线认证方法技术领域,具体来说,涉及一种移动设备双因子离线认证方法、系统及装置。
背景技术
现有企业移动设备应用系统中,设备分发给使用人员之前,为保护设备中的商业秘密不被泄漏,系统管理员会使用设备管理模块对设备的网络通讯功能进行禁用处理。但在使用者结束设备使用时,设备已处于通讯功能禁用状态,无法通过网络连接到云端服务器进行管理员权限认证,就无法对设备的通讯功能进行解除禁用。现有方案中,使用的预置管理员密码,在设备离线时,使用预置密码进行认证,该认证方式安全系数较低,目前缺少一种安全的可以离线对管理员进行认证的方法。
发明内容
针对相关技术中的问题,本发明提出一种移动设备双因子离线认证方法、系统及装置,以克服现有相关技术所存在的上述技术问题。
为此,本发明采用的具体技术方案如下:
根据本发明的一个方面,提供了一种移动设备双因子离线认证方法,包括以下步骤:
S1、初始状态下,管理员使用预设的管理员口令进行在线认证,并进行登录;
S2、服务器利用预设原则生成管理员射频卡密钥,并将所述管理员射频卡密钥信息写入射频卡,同时在系统中登记一次性密码生成设备相对应的预分享密钥信息;
S3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给客户端;
S4、客户端利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息;
S5、移动设备交付其他人使用时,管理员利用设备硬件操作模块对所述移动设备的网络通讯功能进行禁用,并注销管理员登录,同时启用管理员离线认证模块;
S6、当其他人使用结束后,需要恢复网络通讯功能时,管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证;
S7、当所述S6认证通过后,再使用所述一次性密码生成设备获取基于时间的一次性密码,并输入所述移动设备中进行再次认证;
S8、当所述S6和所述S7同时认证通过时,则管理员权限认证通过;
S9、管理员便可利用所述设备硬件操作模块解除对所述移动设备网络通讯功能的禁用。
进一步的,所述S1中的初始状态下,移动设备具有连网能力,能够与服务器进行通讯。
进一步的,所述S2中所述射频卡的类型包括但不限于ISO14443A、ISO14443B或ISO15693的标准卡片类型。
进一步的,所述S2中的所述一次性密码生成设备是一种基于时间的一次性密码硬件,每隔固定时间内,密码仅能使用一次,且所述一次性密码生成设备生成一次性密码的计算公式为:
OTP(K,T)= Truncate[A(K,T)];T =(Tn-T0)/X;
其中,K为在认证服务器端以及客户端之间共享的密钥,其密钥长度不低于128位;
T为时间窗口计数;
Tn为当前Unix操作系统的时间;
T0为初始时间;
X为时间窗口时长;
Truncate为截断函数,对A的计算结果进行截断并转换成6位数字;
A为摘要算法,其包含但不限于MD5,SHA-0,SHA-1,SHA-256,SHA-512。
进一步的,所述S2中服务器利用预设原则生成管理员射频卡密钥,并将所述管理员射频卡密钥信息写入射频卡,同时在系统中登记一次性密码生成设备相对应的预分享密钥信息具体包括以下步骤:
S21、服务器通过密钥生成模块使用随机算法生成不低于128位的管理员射频卡密钥;
S22、服务器网站端利用射频卡读写器将所述管理员射频卡密钥信息写入预设的射频卡;
S23、通过在系统中登记一次性密码生成设备相对应的预分享密钥信息,实现对所述一次性密码生成设备的初始化操作。
进一步的,所述S6中管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证具体包括以下步骤:
S61、管理员将所述射频卡放置在所述移动设备的NFC阅读区域,并利用所述移动设备的NFC射频技术对所述射频卡内部的认证信息进行读取;
S62、将所述射频卡内部的认证信息与所述移动设备内预置的认证信息进行比对,若比对结果一致,则认证通过。
进一步的,所述S7中使用所述一次性密码生成设备获取基于时间的一次性密码,并输入所述移动设备中进行再次认证具体包括以下步骤:
S71、管理员使用所述一次性密码生成设备获取基于时间的一次性密码,并将所述一次性密码手动输入所述移动设备中;
S72、所述移动设备使用所述预分享的密钥信息,并基于相同的一次性密码生成算法生成一次性密码;
S73、系统将所述移动设备生成的所述一次性密码与所述管理员输入的所述一次性密码进行比对,若比对结果一致,则认证通过。
根据本发明的另一个方面,提供了一种移动设备双因子离线认证系统,包括服务器、客户端、一次性密码生成设备和射频卡,其中,所述服务器的内部设置有密钥生成模块、设备接入模块、在线认证模块和第一密钥安全传输模块,所述客户端内部设置有第二密钥安全传输模块、设备硬件操作模块、密钥安全存储模块和离线认证模块;
其中,所述第一密钥生成模块用于生成管理员射频卡密钥;
所述设备接入模块用于与移动设备进行通讯连接;
所述在线认证模块用于在线状态下进行管理员权限的认证;
所述密钥安全传输模块用于将管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息预分享给客户端;
所述第二密钥安全传输模块用于接收管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息;
所述设备硬件操作模块用于禁用移动设备的网络通讯功能或解除移动设备网络通讯功能的禁用;
所述密钥安全存储模块用于保存管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息;
所述离线认证模块用于在离线的状态下进行管理员权限的认证。
进一步的,所述离线认证模块包括一次性密码认证模块和NFC读取模块,其中,所述一次性密码认证模块用于一次性密码认证,所述NFC读取模块用于对所述射频卡内部的认证信息进行读取及认证。
根据本发明的又一个方面,提供了一种电子装置,所述电子装置包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的移动设备双因子离线认证程序,所述移动设备双因子离线认证程序被所述处理器执行,以实现上述基于移动设备双因子离线认证方法的步骤。
本发明的有益效果为:通过在离线状态下采用射频卡和一次性密码组合的双因子认证组合方式进行离线认证,使得本发明只有在两种认证方式同时通过的情况下才能进行管理员权限的获取,相比于传统的单一管理员口令的认证方式,本发明有效地提高了移动设备认证的安全性,从而有效地避免了因管理员口令泄漏而导致的安全问题。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据本发明实施例的一种移动设备双因子离线认证方法流程示意图;
图2是根据本发明实施例的一种移动设备双因子离线认证系统结构框图。
图中:
1、服务器;101;密钥生成模块、102、设备接入模块;103、在线认证模块;104、第一密钥安全传输模块;2、客户端;201、第二密钥安全传输模块;202、设备硬件操作模块;203、密钥安全存储模块;204、离线认证模块;2041、一次性密码认证模块;2042、NFC读取模块;3、一次性密码生成设备;4、射频。
具体实施方式
为进一步说明各实施例,本发明提供有附图,这些附图为本发明揭露内容的一部分,其主要用以说明实施例,并可配合说明书的相关描述来解释实施例的运作原理,配合参考这些内容,本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点,图中的组件并未按比例绘制,而类似的组件符号通常用来表示类似的组件。
根据本发明的实施例,提供了一种移动设备双因子离线认证方法、系统及装置。
现结合附图和具体实施方式对本发明进一步说明,如图1所示,根据本发明的一个实施例,提供了一种移动设备双因子离线认证方法,包括以下步骤:
S1、初始状态下,管理员使用预设的管理员口令进行在线认证,并进行登录;具体的,所述S1中的初始状态下,移动设备具有连网能力,能够与服务器进行通讯。
S2、服务器利用预设原则生成管理员射频卡密钥,并将所述管理员射频卡密钥信息写入射频卡,同时在系统中登记一次性密码(OPT)生成设备相对应的预分享密钥信息;具体应用时,所述S2中所述射频卡的类型包括但不限于ISO14443A、ISO14443B或ISO15693的标准卡片类型。
其中,所述S2具体包括以下步骤:
S21、服务器通过密钥生成模块使用随机算法生成不低于128位的管理员射频卡密钥;
S22、服务器网站端利用射频卡读写器将所述管理员射频卡密钥信息写入预设的射频卡;
S23、通过在系统中登记一次性密码生成设备相对应的预分享密钥信息,实现对所述一次性密码生成设备的初始化操作。
具体的,所述S2中的所述一次性密码生成设备是一种基于时间的一次性密码硬件,每隔固定时间内,密码仅能使用一次,且所述一次性密码生成设备生成一次性密码的计算公式为:
OTP(K,T)= Truncate[A(K,T)];T =(Tn-T0)/X;
其中,K为在认证服务器端以及客户端之间共享的密钥,其密钥长度不低于128位;
T为时间窗口计数;
Tn为当前Unix操作系统的时间;
T0为初始时间;
X为时间窗口时长;
Truncate为截断函数,对A的计算结果进行截断并转换成6位数字;
A为摘要算法,其包含但不限于MD5,SHA-0,SHA-1,SHA-256,SHA-512。
S3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给客户端;
S4、客户端利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息;
S5、移动设备交付其他人使用时,管理员利用设备硬件操作模块对所述移动设备的网络通讯功能进行禁用,并注销管理员登录,同时启用管理员离线认证模块;
S6、当其他人使用结束后,需要恢复网络通讯功能时,管理员首先需要将所述射频卡放置在所述移动设备的NFC(近场通信)阅读区域进行信息认证;
其中,所述S6中管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证具体包括以下步骤:
S61、管理员将所述射频卡放置在所述移动设备的NFC阅读区域,并利用所述移动设备的NFC射频技术对所述射频卡内部的认证信息进行读取;
S62、将所述射频卡内部的认证信息与所述移动设备内预置的认证信息进行比对,若比对结果一致,则认证通过。
S7、当所述S6认证通过后,再使用所述一次性密码生成设备获取基于时间的一次性密码,并输入所述移动设备中进行再次认证;
其中,所述S7中使用所述一次性密码生成设备获取基于时间的一次性密码,并输入所述移动设备中进行再次认证具体包括以下步骤:
S71、管理员使用所述一次性密码生成设备获取基于时间的一次性密码,并将所述一次性密码手动输入所述移动设备中;
S72、所述移动设备使用所述预分享的密钥信息,并基于相同的一次性密码生成算法生成一次性密码;
S73、系统将所述移动设备生成的所述一次性密码与所述管理员输入的所述一次性密码进行比对,若比对结果一致,则认证通过。
S8、当所述S6和所述S7同时认证通过时,则管理员权限认证通过;
S9、管理员便可利用所述设备硬件操作模块解除对所述移动设备网络通讯功能的禁用。
为了方便理解本发明的上述技术方案,以下就本发明在实际过程中的具体应用场景进行举例说明。
场景一,离线的门禁系统,由于管理员密码是离线保存的,只要知道管理员密码即可掌控门禁系统,安全系数低。若使用本发明的方法,则解决方案就是一张管理员门禁卡和一次性密码(OTP)双重认证,泄漏其中一种验证方式,并不会对系统造成安全问题。
场景二,针对移动设备(多指Android手机),在离线状态下,管理员需要对设备认证的话,需要先通过手机的NFC功能验证管理员的射频卡(可以理解为门禁卡),NFC认证通过后还需要认证一次性密码(OTP),一次性密码是通过硬件设备生成的,设备和移动设备通过设备接入功能(简单理解初始化功能)预享一次性密码(OTP)生成密钥,两种方式认证都通过后才算认证成功。
根据本发明的另一个实施例,如图2所示,一种移动设备双因子离线认证系统,包括服务器1、客户端2、一次性密码生成设备3和射频卡4,其中,所述服务器1的内部设置有密钥生成模块101、设备接入模块102、在线认证模块103和第一密钥安全传输模块104,所述客户端2内部设置有第二密钥安全传输模块201、设备硬件操作模块202、密钥安全存储模块203和离线认证模块204;
其中,所述第一密钥生成模块101用于生成管理员射频卡密钥;
所述设备接入模块102用于与移动设备进行通讯连接;
所述在线认证模块103用于在线状态下进行管理员权限的认证;
所述密钥安全传输模块104用于将管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息预分享给客户端;
所述第二密钥安全传输模块201用于接收管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息;
所述设备硬件操作模块202用于禁用移动设备的网络通讯功能或解除移动设备网络通讯功能的禁用;
所述密钥安全存储模块203用于保存管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息;
所述离线认证模块204用于在离线的状态下进行管理员权限的认证。
具体的,所述离线认证模块204包括一次性密码认证模块2041和NFC读取模块2042,其中,所述一次性密码认证模块2041用于一次性密码认证,所述NFC读取模块2042用于对所述射频卡内部的认证信息进行读取及认证。
根据本发明的又一个实施例,提供了一种电子装置。
在本实施例中,所述电子装置可以是电脑或服务器。所述电子装置至少包括存储器、处理器、通信总线以及网络接口。
其中,存储器至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、硬盘、多媒体卡、卡型存储器(例如,SD或DX存储器等)、磁性存储器、磁盘、光盘等。存储器在一些实施例中可以是电子装置的内部存储单元,例如所述电子装置的硬盘。存储器在另一些实施例中也可以是电子装置的外部存储设备,例如电子装置上配备的插接式硬盘,智能存储卡(Smart Media Card, SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。进一步地,存储器还可以既包括电子装置的内部存储单元也包括外部存储设备。存储器不仅可以用于存储安装于电子装置的应用软件及各类数据,例如移动设备双因子离线认证程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
处理器在一些实施例中可以是一中央处理器(Central Processing Unit, CPU)、控制器、微控制器、微处理器或其他数据处理芯片,用于运行存储器中存储的程序代码或处理数据。
通信总线用于实现这些组件之间的连接通信。
网络接口可选的可以包括标准的有线接口、无线接口(如WI-FI接口),通常用于在电子装置与其他电子设备之间建立通信连接。
可选地,电子装置还可以包括用户接口,用户接口可以包括显示器(Display)、输入单元比如键盘(Keyboard),可选的用户接口还可以包括标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子装置中处理的信息以及用于显示可视化的用户界面。
所述电子装置包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的移动设备双因子离线认证程序,所述移动设备双因子离线认证程序被所述处理器执行时实现如下步骤:
S1、初始状态下,管理员使用预设的管理员口令进行在线认证,并进行登录;
S2、服务器利用预设原则生成管理员射频卡密钥,并将所述管理员射频卡密钥信息写入射频卡,同时在系统中登记一次性密码生成设备相对应的预分享密钥信息;
S3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给客户端;
S4、客户端利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息;
S5、移动设备交付其他人使用时,管理员利用设备硬件操作模块对所述移动设备的网络通讯功能进行禁用,并注销管理员登录,同时启用管理员离线认证模块;
S6、当其他人使用结束后,需要恢复网络通讯功能时,管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证;
S7、当所述S6认证通过后,再使用所述一次性密码生成设备获取基于时间的一次性密码,并输入所述移动设备中进行再次认证;
S8、当所述S6和所述S7同时认证通过时,则管理员权限认证通过;
S9、管理员便可利用所述设备硬件操作模块解除对所述移动设备网络通讯功能的禁用。
综上所述,借助于本发明的上述技术方案,通过在离线状态下采用射频卡和一次性密码组合的双因子认证组合方式进行离线认证,使得本发明只有在两种认证方式同时通过的情况下才能进行管理员权限的获取,相比于传统的单一管理员口令的认证方式,本发明有效地提高了移动设备认证的安全性,从而有效地避免了因管理员口令泄漏而导致的安全问题。
需要说明的是,上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。并且本文中的术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、装置、物品或者方法不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、装置、物品或者方法所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、装置、物品或者方法中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种移动设备双因子离线认证方法,其特征在于,包括以下步骤:
S1、初始状态下,管理员使用预设的管理员口令进行在线认证,并进行登录;
S2、服务器利用预设原则生成管理员射频卡密钥,并将所述管理员射频卡密钥信息写入射频卡,同时在系统中登记一次性密码生成设备相对应的预分享密钥信息;
S3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给客户端;
S4、客户端利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息;
S5、移动设备交付其他人使用时,管理员利用设备硬件操作模块对所述移动设备的网络通讯功能进行禁用,并注销管理员登录,同时启用管理员离线认证模块;
S6、当其他人使用结束后,需要恢复网络通讯功能时,管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证;
S7、当所述S6认证通过后,再使用所述一次性密码生成设备获取基于时间的一次性密码,并输入所述移动设备中进行再次认证;
S8、当所述S6和所述S7同时认证通过时,则管理员权限认证通过;
S9、管理员便可利用所述设备硬件操作模块解除对所述移动设备网络通讯功能的禁用。
2.根据权利要求1所述的一种移动设备双因子离线认证方法,其特征在于,所述S1中的初始状态下,移动设备具有连网能力,能够与服务器进行通讯。
3.根据权利要求1所述的一种移动设备双因子离线认证方法,其特征在于,所述S2中所述射频卡的类型包括但不限于ISO14443A、ISO14443B或ISO15693的标准卡片类型。
4.根据权利要求1所述的一种移动设备双因子离线认证方法,其特征在于,所述S2中的所述一次性密码生成设备是一种基于时间的一次性密码硬件,每隔固定时间内,密码仅能使用一次,且所述一次性密码生成设备生成一次性密码的计算公式为:
OTP(K,T)= Truncate[A(K,T)];T =(Tn-T0)/X;
其中,K为在认证服务器端以及客户端之间共享的密钥,其密钥长度不低于128位;
T为时间窗口计数;
Tn为当前Unix操作系统的时间;
T0为初始时间;
X为时间窗口时长;
Truncate为截断函数,对A的计算结果进行截断并转换成6位数字;
A为摘要算法,其包含但不限于MD5,SHA-0,SHA-1,SHA-256,SHA-512。
5.根据权利要求1所述的一种移动设备双因子离线认证方法,其特征在于,所述S2中服务器利用预设原则生成管理员射频卡密钥,并将所述管理员射频卡密钥信息写入射频卡,同时在系统中登记一次性密码生成设备相对应的预分享密钥信息具体包括以下步骤:
S21、服务器通过密钥生成模块使用随机算法生成不低于128位的管理员射频卡密钥;
S22、服务器网站端利用射频卡读写器将所述管理员射频卡密钥信息写入预设的射频卡;
S23、通过在系统中登记一次性密码生成设备相对应的预分享密钥信息,实现对所述一次性密码生成设备的初始化操作。
6.根据权利要求1所述的一种移动设备双因子离线认证方法,其特征在于,所述S6中管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证具体包括以下步骤:
S61、管理员将所述射频卡放置在所述移动设备的NFC阅读区域,并利用所述移动设备的NFC射频技术对所述射频卡内部的认证信息进行读取;
S62、将所述射频卡内部的认证信息与所述移动设备内预置的认证信息进行比对,若比对结果一致,则认证通过。
7.根据权利要求1所述的一种移动设备双因子离线认证方法,其特征在于,所述S7中使用所述一次性密码生成设备获取基于时间的一次性密码,并输入所述移动设备中进行再次认证具体包括以下步骤:
S71、管理员使用所述一次性密码生成设备获取基于时间的一次性密码,并将所述一次性密码手动输入所述移动设备中;
S72、所述移动设备使用所述预分享的密钥信息,并基于相同的一次性密码生成算法生成一次性密码;
S73、系统将所述移动设备生成的所述一次性密码与所述管理员输入的所述一次性密码进行比对,若比对结果一致,则认证通过。
8.一种移动设备双因子离线认证系统,其特征在于,包括服务器(1)、客户端(2)、一次性密码生成设备(3)和射频卡(4),其中,所述服务器(1)的内部设置有密钥生成模块(101)、设备接入模块(102)、在线认证模块(103)和第一密钥安全传输模块(104),所述客户端(2)内部设置有第二密钥安全传输模块(201)、设备硬件操作模块(202)、密钥安全存储模块(203)和离线认证模块(204);
其中,所述第一密钥生成模块(101)用于生成管理员射频卡密钥;
所述设备接入模块(102)用于与移动设备进行通讯连接;
所述在线认证模块(103)用于在线状态下进行管理员权限的认证;
所述密钥安全传输模块(104)用于将管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息预分享给客户端;
所述第二密钥安全传输模块(201)用于接收管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息;
所述设备硬件操作模块(202)用于禁用移动设备的网络通讯功能或解除移动设备网络通讯功能的禁用;
所述密钥安全存储模块(203)用于保存管理员射频卡密钥和一次性密码生成设备相对应的预分享密钥信息;
所述离线认证模块(204)用于在离线的状态下进行管理员权限的认证。
9.根据权利要求8所述的一种移动设备双因子离线认证系统,其特征在于,所述离线认证模块(204)包括一次性密码认证模块(2041)和NFC读取模块(2042),其中,所述一次性密码认证模块(2041)用于一次性密码认证,所述NFC读取模块(2042)用于对所述射频卡内部的认证信息进行读取及认证。
10.一种电子装置,其特征在于,所述电子装置包括存储器和处理器,所述存储器上存储有可在所述处理器上运行的移动设备双因子离线认证程序,所述移动设备双因子离线认证程序被所述处理器执行,以实现如权利要求1至7中任一项所述的移动设备双因子离线认证方法的步骤。
CN202011006003.8A 2020-09-23 2020-09-23 一种移动设备双因子离线认证方法、系统及装置 Active CN111935178B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011006003.8A CN111935178B (zh) 2020-09-23 2020-09-23 一种移动设备双因子离线认证方法、系统及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011006003.8A CN111935178B (zh) 2020-09-23 2020-09-23 一种移动设备双因子离线认证方法、系统及装置

Publications (2)

Publication Number Publication Date
CN111935178A true CN111935178A (zh) 2020-11-13
CN111935178B CN111935178B (zh) 2020-12-29

Family

ID=73335074

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011006003.8A Active CN111935178B (zh) 2020-09-23 2020-09-23 一种移动设备双因子离线认证方法、系统及装置

Country Status (1)

Country Link
CN (1) CN111935178B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102804200A (zh) * 2010-10-05 2012-11-28 株式会社希爱思异 双因素用户认证系统及其方法
CN106452777A (zh) * 2015-07-01 2017-02-22 因诺斯韩国有限公司 用于生成随机且唯一的代码的电子设备和方法
CN108521333A (zh) * 2018-04-27 2018-09-11 飞天诚信科技股份有限公司 一种基于动态口令进行离线认证的登录方法及系统
US20190149539A1 (en) * 2017-11-15 2019-05-16 Citrix Systems, Inc. Secure Authentication Of A Device Through Attestation By Another Device
US20200007580A1 (en) * 2018-06-27 2020-01-02 Vmware, Inc. Adaptive offline policy enforcement based on context

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102804200A (zh) * 2010-10-05 2012-11-28 株式会社希爱思异 双因素用户认证系统及其方法
CN106452777A (zh) * 2015-07-01 2017-02-22 因诺斯韩国有限公司 用于生成随机且唯一的代码的电子设备和方法
US20190149539A1 (en) * 2017-11-15 2019-05-16 Citrix Systems, Inc. Secure Authentication Of A Device Through Attestation By Another Device
CN108521333A (zh) * 2018-04-27 2018-09-11 飞天诚信科技股份有限公司 一种基于动态口令进行离线认证的登录方法及系统
US20200007580A1 (en) * 2018-06-27 2020-01-02 Vmware, Inc. Adaptive offline policy enforcement based on context

Also Published As

Publication number Publication date
CN111935178B (zh) 2020-12-29

Similar Documents

Publication Publication Date Title
AU2020316972B2 (en) First factor contactless card authentication system and method
US10567385B2 (en) System and method for provisioning a security token
AU2013101034B4 (en) Registration and authentication of computing devices using a digital skeleton key
US8978152B1 (en) Decentralized token table generation
JP2019083536A (ja) モバイルアプリケーションの安全性を確保する方法および装置
KR100548638B1 (ko) 스마트카드를 이용한 원 타임 패스워드 생성 및 인증방법그리고 이를 위한 스마트카드
US9344896B2 (en) Method and system for delivering a command to a mobile device
WO2015034384A1 (en) Apparatus and method for authenticating a user via multiple user devices
CN109075965B (zh) 使用口令码验证的前向安全密码技术的方法、系统和装置
CN114868123A (zh) 非接触式卡个人标识系统
US20230088837A1 (en) Secure password generation and management using nfc and contactless smart cards
CN108092764B (zh) 一种密码管理方法、设备和具有存储功能的装置
CN114189862A (zh) 无线终端及无线终端在Uboot模式下的接口访问鉴权方法
CN111935178B (zh) 一种移动设备双因子离线认证方法、系统及装置
WO2019224516A1 (en) Authenticating an entity
WO2018017019A1 (en) Personal security device and method
GB2574024A (en) Authenticating an entity
KR20180037169A (ko) Otp를 이용한 사용자 인증 방법 및 시스템
CN206672135U (zh) 一种二维码生成显示设备
EP4082168A1 (en) Secure password generation and management using nfc and contactless smart cards
EP3573305A1 (en) Authenticating an entity
CN115484593A (zh) 密钥找回方法、服务器及用户身份识别卡
CN117251841A (zh) 一种口令保存方法、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant