[发明专利]用于复制密码机设备的方法和系统及密码机设备

说明书

公开了用于复制密码机设备的方法和系统及密码机设备。该方法包括：确定与目标密码机设备通信耦合的、用于源密码机设备的管理员锁包含用户ID和用于产生共享密钥的种子码，并将其存储在目标密码机设备的加密模块中；向管理员锁和加密模块发送复制请求；接收来自加密模块的第一恢复请求包及来自管理员锁的第二恢复请求包并将其发送给云端并接收来自云端的第一恢复命令包和第二恢复命令包；将第一恢复命令包发送给加密模块且将第二恢复命令包发送给管理员锁；接收来自管理员锁的包含用于产生应用密钥的种子码的种子码包并将该种子码包发送给加密模块，使加密模块进入就绪状态。利用本发明，能够获得与源密码机设备相同的处理功能的目标密码机设备。

技术领域

本发明涉及计算机安全领域，特别涉及用于复制密码机设备(密钥恢复)的方法和系统及密码机设备。

背景技术

在互联网的时代中信息安全越来越受关注，信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等；目前针对企事业单位信息化过程中或互联网企业搭建系统或平台过程中为其提供用于保障认证安全、账号信息安全和数据安全的可靠的硬件设备及配套解决方案应运而生；对于这些硬件加密设备来说，内部的密钥都需要初始化生成，且每台设备生成的密钥都是唯一的，这样就导致了每台设备所加密的业务不同，无法满足用户使用多台设备去处理相同业务的需求。

如果是单台密码机设备，则只能是自己加密自己解密、自己签名自己验签。通过密钥恢复可以得到多台具有相同业务密钥的密码机设备，这些密码机设备中任何一台加密的数据都能被其他密码机设备解密、任何一台签名都能被其他密码机设备验签，这么做的目的是为解决以下问题：横向扩展问题。如果单台密码机设备的计算能力不能满足需求时，可以通过增加密码机设备数量的方式提高整体的计算能力，由于多台密码机设备具有相同的业务密钥，任意选择一台得到的加解密结果、签名和验签结果都是一致的；灾备问题。如果只是使用单台密码机设备，那么风险是比较高的，任何意外致使该密码机设备损坏都会导致业务的异常中止，甚至导致所有经过密码机设备处理的数据无法再被正常使用。

因此，本领域需要一种安全方便地复制密码机设备而使得两台密码机设备内的所有或部分加密模块拥有相同的密钥从而能够处理相同的业务的技术。

发明内容

本发明的目的之一是实现密码机设备的方便、安全的复制或密钥恢复，从而得到能够实现完全相同的功能的密码机设备。

根据本发明的第一方案，提供一种用于复制密码机设备的方法，包括：确定与目标密码机设备通信耦合的、用于源密码机设备的管理员锁包含用户ID和用于产生共享密钥的种子码，并将用户ID和用于产生共享密钥的种子码存储在目标密码机设备的加密模块中；向用于源密码机设备的管理员锁和目标密码机设备的加密模块发送复制请求；接收来自加密模块的包含加密模块ID的第一恢复请求包以及来自管理员锁的包含管理员锁ID和用户ID的第二恢复请求包；将第一恢复请求包和第二恢复请求包发送给云端并接收来自云端的经验证成功而生成的第一恢复命令包和第二恢复命令包；将第一恢复命令包发送给加密模块且将第二恢复命令包发送给管理员锁；接收来自管理员锁的包含用于产生应用密钥的种子码的种子码包并将该种子码包的密文发送给加密模块，使加密模块进入就绪状态。

优选地，所述目标密码机设备包括设备识别模块，所述方法还可以包括，将设备识别模块中的目标密码机设备的设备ID发送给云端进行验证。

优选地，所述目标密码机设备包括设备识别模块，所述方法还可以包括，在将第一恢复命令包发送给加密模块且将第二恢复命令包发送给管理员锁之前，将第一恢复命令包和第二恢复命令包发送给设备识别模块进行验证。