[发明专利]遗失设备的子密钥管理方法和系统

说明书

本发明公开了一种遗失设备的子密钥管理方法和系统，所述方法包括：第一设备遗失后，第二设备中的应用客户端使用绑定第二设备的子密钥Ka2对账户的名称和第一设备的标识D1进行加密得到加密信息后，向应用服务器发送携带所述账户的名称、第二设备的标识D2以及所述加密信息的设备子密钥停用/删除/重新激活请求；所述应用服务器根据所述设备子密钥停用/删除/重新激活请求中携带的所述账户的名称和D2查找到对应的绑定第二设备的子密钥Ka2后，用查找到的Ka2解密所述加密信息，进而将对应解密得到的所述账户的名称和第一设备的标识D1的子密钥Ka1停用/删除/重新激活。本发明能够让用户更为安全、方便地管理遗失设备的密钥。

技术领域

本发明涉及信息安全传输技术领域，特别是指一种遗失设备的子密钥管理方法和系统。

背景技术

随着互联网的飞速发展，每个普通的用户都开始拥有越来越多的在线账号、越来越多的计算机设备(PC、智能手机、Pad、物联网设备等)。在当前多服务多设备的应用场景下，口令的管理对于用户来说是一个沉重的负担。由此带来的口令重用攻击、口令重置攻击、钓鱼攻击等给在线账号的安全带来了日益严重的威胁。

安全密钥作为更安全的认证模式被推出，首先被银行以及一些大型的互联网服务(谷歌、Dropbox、Twitter等)所采用。基于FIDO能够管理多个在线账号的安全密钥，能够为用户提供更安全、更便捷的身份认证，有效抵御口令重用攻击、口令重置攻击、钓鱼攻击等账号劫持的攻击模式。但是，安全密钥一直以来给用户带来的困扰是，密钥遗失后如何完成身份认证？对遗失的密钥如何撤销？丢失的密钥被找到了，怎么方便地取消挂失？即如何管理遗失设备的密钥？

对于银行，大多数一家银行一个密钥，如果密钥丢失，可以到相应的银行进行线下的挂失补办。然而，对于大多数在线服务，提供线下服务的成本太高了，其成本是大多数互联网服务难以接受的。目前的在线服务身份认证最佳实践者是该技术的领导者谷歌。对于那些对账号安全性要求高的用户谷歌给用户的方案是保留一个备份安全密钥。如果两个密钥都丢失了，那么就需要很长的时间来重置账号。然而，是否所有的被劫持账号都能够被重置，还是一个未知的问题。例如，中国很多用户的AppleID被盗后，被苹果公司告知其账号无法被恢复。

英国剑桥大学也开发了PICO安全密钥系统，试图缓解安全密钥面临的困境。PICO将认证信息备份到云服务，如果密钥丢失，可以从云端将认证凭证恢复一个空白的安全密钥。但是，这种备份模式也给攻击者带来了新的机会。当认证凭证丢失时，如何安全的访问该云服务账号？这些问题都有待解决。

对于遗失的安全密钥，可以用PIN或者更强认证策略(可穿戴式设备)来保护，这样即使有人获得该安全密钥，还需要破解该密钥的认证才能够访问密钥中的认证凭证。然而该方法的缺陷是密钥中认证凭证还是有效的，如果被破解，还是会导致账号的安全问题。如何让用户方便实时地撤销丢失的认证凭证，还是一个没有被有效解决的问题。

因此，有必要提供一种遗失设备的子密钥管理方法和系统，可以让用户更为安全、方便地停用、删除遗失设备的密钥，即更为安全、方便地管理遗失设备的密钥。

发明内容

本发明提出了一种遗失设备的子密钥管理方法和系统，能够让用户更为安全、方便地管理遗失设备的密钥。

基于上述目的，本发明提供一种遗失设备的子密钥管理方法，包括：

第一设备遗失后，第二设备中的应用客户端使用绑定第二设备的子密钥Ka2对账户的名称和第一设备的标识D1进行加密得到加密信息后，向应用服务器发送携带所述账户的名称、第二设备的标识D2以及所述加密信息的设备子密钥停用/删除/重新激活请求；

所述应用服务器根据所述设备子密钥停用/删除/重新激活请求中携带的所述账户的名称和D2查找到对应的绑定第二设备的子密钥Ka2后，用查找到的Ka2解密所述加密信息，进而将对应解密得到的所述账户的名称和第一设备的标识D1的子密钥Ka1停用/删除/重新激活。