[发明专利]一种访问方法及装置

说明书

技术领域

本发明涉及数据安全技术领域，特别是指一种访问方法及装置。

背景技术

目前，企业信息推送(Push)方案中通行构架如图1所示：移动终端通过安全通讯通道访问推送网关，然后由推送网关代理访问各种授权的企业资源服务器，并将结果返回给用户。该模式下，存在一个严重的安全隐患，就是推送网关上必须拥有“以用户的身份去访问企业资源服务器”的权限。下面以企业邮箱作为企业资源为例，来具体说明如何防范上述安全隐患。

方法一：企业的推送网关上保存用户的企业邮箱的用户名和密码。

对于上述方法，因为用户的企业信息系统的密码被保存在网关，所以无论是否采取加密存储(既使加密，加密的相关信息也都存储在网关上)，都存在泄露密码的风险(若加密存储，则可以通过逆过程解密获取)。这对于整个信息系统的安全构成了很严重的威胁。并且一旦该网关被攻破，整个企业邮件用户的密码全部丢失，存在很大风险。

方法二：为企业邮件系统配置一个特权账号，该账户可以代理移动设备的用户去查询企业信息系统的邮件更新。

对于上述方法，因为用户的密码并未保存在企业的推送网关上，所以不存在密码泄露的风险。但是这类系统需要企业邮件系统配置特权账号，对于一些大型企业(特别是跨国公司)，因为IT系统早已成熟部署，面临一个问题就是企业IT部门无法配置特权账号，从而使得推送网关无法部署。

方法三：移动设备每次启动都需要输入用户的企业邮箱密码。

对于上述方法，移动设备每次使用邮件推送服务时都需要输入企业邮箱密码的做法能够最大安全的避免密码泄露风险，但是对于邮件推送服务的易用性则存在很大影响，很少有用户能够接受这种方式。

方法四：移动设备上保存企业邮箱密码(加密存储)。

对于上述方法，存在的风险是设备丢失，密码被窃取。这对于用户来说这还是存在较大威胁。因为通常企业密码是个人最重要的企业身份的标识，仍然可能会导致企业信息泄密等风险。

发明内容

本发明实施例提供一种访问方法及装置，以保证访问设备的身份信息的安全。

本发明实施例提供了一种访问方法，应用于一与访问设备和目标设备连接的中间设备，

当满足预订条件时，从所述访问设备获得所述访问设备的第一信息；

获得第二信息；

处理所述第一信息和所述第二信息，获得所述访问设备的身份信息；

应用所述身份信息访问所述目标设备。

其中，所述满足预订条件包括：

中间设备接收到来自访问设备的访问请求；或者，

中间设备接收到来自目标设备的指示；或者，

中间设备自身决定执行获取第一信息的步骤。

其中，所述访问设备的第一信息包括：所述访问设备的已加密身份识别码以及与所述已加密的身份识别码对应的第一唯一标识。

其中，所述第二信息为解密信息；

所述获得第二信息的步骤包括：

根据所述第一信息获得第二信息，具体包括：

根据已设置的第一唯一标识与解密信息的对应关系，获得与所述第一唯一标识对应的所述访问设备对应的解密信息。

其中，处理所述第一信息和所述第二信息，获得所述访问设备的身份信息的步骤包括：

应用所述解密信息对已加密身份识别码进行解密，获取所述访问设备的身份信息。

其中，所述访问设备的第一信息包括：所述访问设备的已加密身份识别码以及与所述已加密的身份识别码对应的第一唯一标识；

所述已加密身份识别码中包括身份信息和第二唯一标识。

其中，所述第二信息为解密信息；

所述获得第二信息的步骤包括：

根据所述第一信息获得第二信息，具体包括：

根据已设置的唯一标识与解密信息的对应关系，获得与所述第一唯一标识对应的所述访问设备对应的解密信息。

其中，处理所述第一信息和所述第二信息，获得所述访问设备的身份信息的步骤包括：

应用所述解密信息对已加密身份识别码进行解密，获取所述访问设备的身份信息和第二唯一标识；

应用所述解密出的第二唯一标识与之前从所述第一信息中获得的第一唯一标识相比较，若两者一致，则确认获得正确的所述访问设备的身份信息，否则，提示所述访问设备错误。