本發明公開了一種遺失設備的子密鑰管理方法和系統，所述方法包括：第一設備遺失后，第二設備中的應用客戶端使用綁定第二設備的子密鑰Ka2對賬戶的名稱和第一設備的標識D1進行加密得到加密信息后，向應用服務器發送攜帶所述賬戶的名稱、第二設備的標識D2以及所述加密信息的設備子密鑰停用/刪除/重新激活請求；所述應用服務器根據所述設備子密鑰停用/刪除/重新激活請求中攜帶的所述賬戶的名稱和D2查找到對應的綁定第二設備的子密鑰Ka2后，用查找到的Ka2解密所述加密信息，進而將對應解密得到的所述賬戶的名稱和第一設備的標識D1的子密鑰Ka1停用/刪除/重新激活。本發明能夠讓用戶更為安全、方便地管理遺失設備的密鑰。

技術領域

本發明涉及信息安全傳輸技術領域，特別是指一種遺失設備的子密鑰管理方法和系統。

背景技術

隨著互聯網的飛速發展，每個普通的用戶都開始擁有越來越多的在線賬號、越來越多的計算機設備(PC、智能手機、Pad、物聯網設備等)。在當前多服務多設備的應用場景下，口令的管理對于用戶來說是一個沉重的負擔。由此帶來的口令重用攻擊、口令重置攻擊、釣魚攻擊等給在線賬號的安全帶來了日益嚴重的威脅。

安全密鑰作為更安全的認證模式被推出，首先被銀行以及一些大型的互聯網服務(谷歌、Dropbox、Twitter等)所采用。基于FIDO能夠管理多個在線賬號的安全密鑰，能夠為用戶提供更安全、更便捷的身份認證，有效抵御口令重用攻擊、口令重置攻擊、釣魚攻擊等賬號劫持的攻擊模式。但是，安全密鑰一直以來給用戶帶來的困擾是，密鑰遺失后如何完成身份認證？對遺失的密鑰如何撤銷？丟失的密鑰被找到了，怎么方便地取消掛失？即如何管理遺失設備的密鑰？

對于銀行，大多數一家銀行一個密鑰，如果密鑰丟失，可以到相應的銀行進行線下的掛失補辦。然而，對于大多數在線服務，提供線下服務的成本太高了，其成本是大多數互聯網服務難以接受的。目前的在線服務身份認證最佳實踐者是該技術的領導者谷歌。對于那些對賬號安全性要求高的用戶谷歌給用戶的方案是保留一個備份安全密鑰。如果兩個密鑰都丟失了，那么就需要很長的時間來重置賬號。然而，是否所有的被劫持賬號都能夠被重置，還是一個未知的問題。例如，中國很多用戶的AppleID被盜后，被蘋果公司告知其賬號無法被恢復。

英國劍橋大學也開發了PICO安全密鑰系統，試圖緩解安全密鑰面臨的困境。PICO將認證信息備份到云服務，如果密鑰丟失，可以從云端將認證憑證恢復一個空白的安全密鑰。但是，這種備份模式也給攻擊者帶來了新的機會。當認證憑證丟失時，如何安全的訪問該云服務賬號？這些問題都有待解決。

對于遺失的安全密鑰，可以用PIN或者更強認證策略(可穿戴式設備)來保護，這樣即使有人獲得該安全密鑰，還需要破解該密鑰的認證才能夠訪問密鑰中的認證憑證。然而該方法的缺陷是密鑰中認證憑證還是有效的，如果被破解，還是會導致賬號的安全問題。如何讓用戶方便實時地撤銷丟失的認證憑證，還是一個沒有被有效解決的問題。

因此，有必要提供一種遺失設備的子密鑰管理方法和系統，可以讓用戶更為安全、方便地停用、刪除遺失設備的密鑰，即更為安全、方便地管理遺失設備的密鑰。

發明內容

本發明提出了一種遺失設備的子密鑰管理方法和系統，能夠讓用戶更為安全、方便地管理遺失設備的密鑰。

基于上述目的，本發明提供一種遺失設備的子密鑰管理方法，包括：

第一設備遺失后，第二設備中的應用客戶端使用綁定第二設備的子密鑰Ka2對賬戶的名稱和第一設備的標識D1進行加密得到加密信息后，向應用服務器發送攜帶所述賬戶的名稱、第二設備的標識D2以及所述加密信息的設備子密鑰停用/刪除/重新激活請求；

所述應用服務器根據所述設備子密鑰停用/刪除/重新激活請求中攜帶的所述賬戶的名稱和D2查找到對應的綁定第二設備的子密鑰Ka2后，用查找到的Ka2解密所述加密信息，進而將對應解密得到的所述賬戶的名稱和第一設備的標識D1的子密鑰Ka1停用/刪除/重新激活。