[发明专利]一种移动设备双因子离线认证方法、系统及装置

说明书

本发明公开了一种移动设备双因子离线认证方法、系统及装置，方法包括以下步骤：S1、进行在线认证并登录；S2、生成射频卡密钥写入射频卡，登记密钥信息；S3、将射频卡密钥和密钥信息预分享给移动设备；S4、移动设备接收并保存射频卡密钥和密钥信息；S5、对设备网络通讯功能禁用，注销管理员登录，启用管理员离线认证模块；S6、射频卡进行信息认证；S7、认证通过，获取一次性密码，输入设备中再次认证；S8、S6和S7同时认证通过则通过；S9、解除网络通讯功能禁用。有益效果：通过离线状态下采用射频卡和一次性密码组合的双因子组合方式进行认证，提高了设备认证的安全性，避免了口令泄漏导致的安全问题。

技术领域

本发明涉及离线认证方法技术领域，具体来说，涉及一种移动设备双因子离线认证方法、系统及装置。

背景技术

现有企业移动设备应用系统中，设备分发给使用人员之前，为保护设备中的商业秘密不被泄漏，系统管理员会使用设备管理模块对设备的网络通讯功能进行禁用处理。但在使用者结束设备使用时，设备已处于通讯功能禁用状态，无法通过网络连接到云端服务器进行管理员权限认证，就无法对设备的通讯功能进行解除禁用。现有方案中，使用的预置管理员密码，在设备离线时，使用预置密码进行认证，该认证方式安全系数较低，目前缺少一种安全的可以离线对管理员进行认证的方法。

发明内容

针对相关技术中的问题，本发明提出一种移动设备双因子离线认证方法、系统及装置，以克服现有相关技术所存在的上述技术问题。

为此，本发明采用的具体技术方案如下：

根据本发明的一个方面，提供了一种移动设备双因子离线认证方法，包括以下步骤：

S1、初始状态下，管理员使用预设的管理员口令进行在线认证，并进行登录；

S2、服务器利用预设原则生成管理员射频卡密钥，并将所述管理员射频卡密钥信息写入射频卡，同时在系统中登记一次性密码生成设备相对应的预分享密钥信息；

S3、系统利用内置的第一密钥安全传输模块将所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息预分享给移动设备；

S4、移动设备利用内置的第二密钥安全传输模块及密钥安全存储模块接收并保存所述管理员射频卡密钥和所述一次性密码生成设备相对应的预分享密钥信息；

S5、移动设备交付其他人使用时，管理员利用设备硬件操作模块对所述移动设备的网络通讯功能进行禁用，并注销管理员登录，同时启用管理员离线认证模块；

S6、当其他人使用结束后，需要恢复网络通讯功能时，管理员首先需要将所述射频卡放置在所述移动设备的NFC阅读区域进行信息认证；

S7、当所述S6认证通过后，再使用所述一次性密码生成设备获取基于时间的一次性密码，并输入所述移动设备中进行再次认证；

S8、当所述S6和所述S7同时认证通过时，则管理员权限认证通过；

S9、管理员便可利用所述设备硬件操作模块解除对所述移动设备网络通讯功能的禁用。

进一步的，所述S1中的初始状态下，移动设备具有连网能力，能够与服务器进行通讯。

进一步的，所述S2中所述射频卡的类型包括但不限于ISO14443A、ISO14443B或ISO15693的标准卡片类型。

进一步的，所述S2中的所述一次性密码生成设备是一种基于时间的一次性密码硬件，每隔固定时间内，密码仅能使用一次，且所述一次性密码生成设备生成一次性密码的计算公式为：

OTP(K，T)＝Truncate[A(K，T)]；T＝(T_n-T₀)/X；