[发明专利]一种移动设备双因子离线认证方法、系统及装置

权利要求书

1.一种移动设备双因子离线认证方法，其特征在于，包括以下步骤：

S1、初始状态下，管理员使用预设的管理员口令进行在线认证，并进行登录；

S2、服务器利用预设原则生成管理员射频卡密钥，并将所述管理员射频卡密钥信息写入射频卡，同时在系统中登记一次性密码生成设备相对应的预分享密钥信息；

S3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给移动设备；

S4、移动设备利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息；

S5、移动设备交付其他人使用时，管理员利用设备硬件操作模块对所述移动设备的网络通讯功能进行禁用，并注销管理员登录，同时启用管理员离线认证模块；

S6、当其他人使用结束后，需要恢复网络通讯功能时，管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证；

S7、当所述S6认证通过后，再使用所述一次性密码生成设备获取基于时间的一次性密码，并输入所述移动设备中进行再次认证；

S8、当所述S6和所述S7同时认证通过时，则管理员权限认证通过；

S9、管理员便可利用所述设备硬件操作模块解除对所述移动设备网络通讯功能的禁用。

2.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S1中的初始状态下，移动设备具有连网能力，能够与服务器进行通讯。

3.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S2中所述射频卡的类型包括但不限于ISO14443A、ISO14443B或ISO15693的标准卡片类型。

4.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S2中的所述一次性密码生成设备是一种基于时间的一次性密码硬件，每隔固定时间内，密码仅能使用一次，且所述一次性密码生成设备生成一次性密码的计算公式为：

OTP（K，T）= Truncate［A（K，T）］；T =（T_n-T₀）/X；

其中，K为在服务器以及移动设备之间共享的密钥，其密钥长度不低于128位；

T为时间窗口计数；

T_n为当前Unix操作系统的时间；

T₀为初始时间；

X为时间窗口时长；

Truncate为截断函数，对A的计算结果进行截断并转换成6位数字；

A为摘要算法，其包含但不限于MD5，SHA-0，SHA-1，SHA-256，SHA-512。

5.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S2中服务器利用预设原则生成管理员射频卡密钥，并将所述管理员射频卡密钥信息写入射频卡，同时在系统中登记一次性密码生成设备相对应的预分享密钥信息具体包括以下步骤：

S21、服务器通过密钥生成模块使用随机算法生成不低于128位的管理员射频卡密钥；

S22、服务器网站端利用射频卡读写器将所述管理员射频卡密钥信息写入预设的射频卡；

S23、通过在系统中登记一次性密码生成设备相对应的预分享密钥信息，实现对所述一次性密码生成设备的初始化操作。

6.根据权利要求1所述的一种移动设备双因子离线认证方法，其特征在于，所述S6中管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证具体包括以下步骤：

S61、管理员将所述射频卡放置在所述移动设备的NFC阅读区域，并利用所述移动设备的NFC射频技术对所述射频卡内部的认证信息进行读取；

S62、将所述射频卡内部的认证信息与所述移动设备内预置的认证信息进行比对，若比对结果一致，则认证通过。