明实施例一公开的SE设备的一种结构不意图;
[0048]图2是本发明实施例二公开的SE设备的另一种结构示意图;
[0049]图3是本发明实施例三公开的认证服务器的一种结构示意图;
[0050]图4是本发明实施例四公开的认证服务器的另一种结构示意图;
[0051]图5是本发明实施例五公开的BYOD模式控制方法的一种流程图;
[0052]图6是本发明实施例五公开的SE设备与移动设备的连接示意图;
[0053]图7是本发明实施例六公开的BYOD模式控制方法的另一种流程图;
[0054]图8是本发明实施例七公开的移动设备的一种结构不意图;
[0055]图9是本发明实施例七公开的移动设备的另一种结构不意图;
[0056]图10是本发明实施例八公开的BYOD模式控制系统的结构示意图。
【具体实施方式】
[0057]为了引用和清楚起见,下文中使用的技术名词、简写或缩写总结解释如下:
[0058]BYOD:Bring Your Own Device,指携带自己的设备(多数情况下是指移动设备,本专利范围仅限于有NFC (Near Field Communicat1n,距离无线通讯技术)模块的移动设备),进行办公操作,比如登陆企业邮箱,企业在线办公等。BYOD方案需要解决的主要问题是在进行办公的时候为设备提供安全保障功能,一般会在设备上区分生活模式和工作模式,切换到工作模式下的时候,企业数据会受到保护。
[0059]OTG1TG是On-The-Go的缩写,是近年发展起来的技术,2001年12月18日由USBImplementers Forum公布,主要应用于各种不同的设备或移动设备间的联接,进行数据交换。特别是PDA、移动电话、消费类设备。OTG技术就是在没有Host的情况下,实现设备间的数据传送。
[0060]SE: Secure Element,安全附件,有独立的存储和加解密功能,比如银行业广泛使用的U盾就是一种典型的SE设备。
[0061]下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0062]实施例一
[0063]本实施例一公开一种SE设备,参考图1,所述SE设备包括加密模块101和第一发送模块102。
[0064]加密模块101,用于利用预设加密方法对目标信息进行加密,得到用户认证信息;
[0065]第一发送模块102,用于将所述用户认证信息发送至第一目标设备。
[0066]本实施例中,所述目标信息是用户个人信息,例如企业员工的姓名,账号、以及一些其他的基本信息等。则所述加密模块具体包括第一加密单元,其用于利用预置私钥对所述用户个人信息进行加密,得到用户认证信息。
[0067]即具体地,本实施例的SE设备中预置了一私钥及用户个人信息。从而,在需要对用户身份进行认证时,SE设备可利用其内置的私钥对用户个人信息进行加密,保证用户信息的安全性。后续,可由预置了相应公钥的认证服务器对加密后的用户个人信息进行解密及合法认证。
[0068]实施例二
[0069]本实施例二中,参考图2,所述SE设备还可以包括用于对认证服务器进行身份认证的服务器认证模块103,所述服务器认证模块103包括:
[0070]接收单元,用于接收认证服务器的认证请求,所述认证请求包括认证服务器采用预置公钥对服务器随机信息进行加密所得的服务器认证信息,所述服务器随机信息包括随机数以及所述随机数的哈希值;
[0071]第一解密单元,用于利用预置私钥对所述服务器认证信息进行解密,得到服务器随机信息;
[0072]第一认证单元,用于利用预设哈希函数对服务器随机信息中的随机数进行哈希运算,若运算所得的哈希值与接收自认证服务器的哈希值相同,则服务器通过认证,触发加密模块工作;否则,若认证失败,则各模块停止工作。
[0073]为了进一步加强认证的安全级别,本实施例的SE设备增加了对认证服务器进行身份认证的功能,具体地,SE设备接收认证服务器发送的采用其预置公钥所加密的随机数及该随机数的HASH(哈希值)信息,且SE设备采用其内置的私钥解密认证服务器所发送的信息,若解密成功,则表征SE设备的私钥与认证服务器的公钥相互匹配,实现了对服务器进行初步认证;之后,SE设备继续利用其内置的HASH函数对服务器的随机数进行HSAH运算,如果运算所得的HASH与接收自服务器的HASH值相同,则认证服务器通过认证,否则,认证失败。
[0074]相应地,本实施例中,所述目标信息为所述随机数和用户个人信息。则所述加密模块包括:
[0075]第二加密单元,用于利用预设加密算法对所述随机数及所述用户信息的组合信息进行一次加密,得到一次加密结果;
[0076]第三加密单元,用于利用所述预置私钥对所述一次加密结果及所述一次加密结果的哈希值进行二次加密,得到用户认证信息,其中,所述一次加密结果的哈希值为利用所述预设哈希函数对所述一次加密结果进行哈希运算所得的数值。
[0077]即具体地,认证服务器通过认证后,SE设备会通过两次加密过程产生一个响应信息,供认证服务器依据该响应信息认证SE设备用户的合法性。
[0078]本实施例的SE设备有独立的存储和加、解密等能力,能有效防止信息的泄露。相比于实施例一,本实施例的SE设备可与认证服务器进行身份合法性的相互认证,进一步加强了认证的安全级别。
[0079]实施例三
[0080]本实施例三公开一种认证服务器,参考图3,所述认证服务器包括解密模块301、用户认证模块302和第二发送模块303。
[0081]解密模块301,用于利用预设解密方法对接收的用户认证信息进行解密,得到目标信息;
[0082]用户认证模块302,用于利用所述目标信息对用户进行身份认证,得到用户认证结果;
[0083]第二发送模块303,用于将所述用户认证结果发送至第二目标设备。
[0084]本实施例的认证服务器与实施例一的SE设备相对应,其中,所述解密模块包括第二解密单元,用于利用预置公钥对所述用户认证信息进行解密,得到用户个人信息。
[0085]若认证服务器能够利用其内置的公钥对用户认证信息解密成功,且解密后所得的用户个人信息与预先存储的用户个人信息相符,则表征用户身份合法,通过验证;否则,若解密失败或用户个人信息与预先存储的信息不相符,则验证失败。
[0086]实施例四
[0087]相应于实施例二的SE设备,参考图4,本实施例的认证服务器还包括第三发送模块304,用于发出认证请求,所述认证请求包括采用预置公钥对服务器随机信息进行加密所得的服务器认证信息,所述服务器认证信息包括随机数及采用预设哈希函数对所述随机数进行运算所得的哈希值。
[0088]S卩,在对SE设备进行合法认证之前,认证服务器首先向SE设备发出认证请求,由SE设备对认证服务器的合法性进行认证。
[0089]相应地,所述解密模块包括:
[0090]第三解密单元,用于利用预置公钥对用户认证信息进行一次解密,得到随机数和用户个人信息的一次加密结果,及所述一次加密结果的哈希值;
[0091]第四解密单元,用于利用预设解密算法对一次解密后的解密结果进行二次解密,得到随机数和用户个人信息的组合信息。