[发明专利]用于加密密钥的迁移的方法和设备

权利要求书

1.一种用于加密密钥的迁移的方法，其特征在于，包括：

将主密钥存储于非易失性存储器中；

使用计算服务器上的通信电路，

使用从所述主密钥导出的第一密钥和存储于第一网络通信装置上的第一组密钥导出数据认证数据网络中的第一网络通信装置，以及

接收来自所述数据网络中的第二网络通信装置的数据迁移请求，所述数据迁移请求指定所述第一组密钥导出数据并指定存储于所述第二网络通信装置处的第二组密钥导出数据；

响应于接收所述数据迁移请求，使用所述计算服务器上的处理电路以

基于所述第一组导出数据和所述第二组导出数据以及所述主密钥，确定供所述第二网络通信装置使用的临时密钥，且

基于所述主密钥和所述第二组密钥导出数据生成第二密钥；且

使用所述通信电路

通过使用所述临时密钥建立的安全通信信道将所述第二密钥提供到所述第二网络通信装置，且

使用所述第二密钥认证所述第二网络通信装置。

2.根据权利要求1所述的方法，其特征在于，另外包括：

使用计算服务器的所述通信电路，从连接到所述通信电路的数据网络中的所述第一网络通信装置接收第一组密钥导出数据；且

使用所述计算服务器的所述处理电路，基于主密钥和所述第一组密钥导出数据生成所述第一密钥。

3.根据权利要求1所述的方法，其特征在于

供所述第二网络通信装置使用的所述临时密钥通过使用第一密钥和所述第二组导出数据由所述第一网络通信装置生成；且

所述临时密钥的所述确定包括

从所述数据迁移请求中的所述第一组导出数据中和所述主密钥中导出所述第一密钥，且

从所述第一密钥和所述第二组密钥导出数据中导出所述临时密钥。

4.根据权利要求1所述的方法，其特征在于，另外包括

使用所述处理电路，从所述数据迁移请求中的所述第一组导出数据中和所述主密钥中导出所述第一密钥；

其中从所述第二网络通信装置接收的所述数据迁移请求包括

采用非对称密钥对的公钥对所述临时密钥进行编码，和

通过使用所述第一密钥、所述第二组密钥导出数据和所述经编码临时密钥由所述第一网络通信装置生成的认证数据值；且

其中响应于使用所述经导出第一密钥验证所述数据迁移请求中的所述认证数据值而执行所述将所述第二密钥提供到所述第二网络通信装置。

5.根据权利要求1所述的方法，其特征在于，另外包括响应于认证所述第一网络通信装置，通过安全通信信道将由所述计算服务器存储的受保护数据组提供到第一网络通信装置。

6.根据权利要求1所述的方法，其特征在于，另外包括响应于认证所述第一网络通信装置，执行用于所述第一网络通信装置的密钥受限的操作组。

7.一种用于加密密钥的迁移的方法，其特征在于，包括：

使用数据网络中连接的第一网络通信装置的通信电路，

通过所述数据网络将第一组密钥导出数据提供到连接到所述通信电路的第二网络通信装置，所述第二网络通信装置被配置成与使用用于认证的第一密钥的所述数据网络中连接的计算服务器通信，所述第一密钥从所述计算服务器处存储的主密钥中以及从所述第二网络通信装置处存储的第二组密钥导出数据中导出，

从所述第二网络通信装置接收通过使用单向函数从所述第一密钥和所述第一组密钥导出数据导出的授权数据，且

从所述第二网络通信装置接收所述第二组密钥导出数据；

使用第一网络通信装置的处理电路，

确定临时密钥，且

生成数据迁移请求，所述数据迁移请求包括验证数据，从所述验证数据中，可使用所述主密钥确定所述临时密钥且可通过所述第二网络通信装置验证授权，所述验证数据包括所述第一组密钥导出数据和所述第二组密钥导出数据；且

使用所述通信电路，

将所述数据迁移请求提供到所述计算服务器，

通过使用所述临时密钥建立的安全通信信道从所述计算服务器接收第二密钥；且

使用用于认证的所述第二密钥与所述计算服务器通信。