[发明专利]固定硬件安全单元备份、恢复方法及系统

说明书

技术领域

本发明涉及一种硬件安全系统，尤指一种固定硬件安全单元的备份方法、 恢复方法和固定硬件安全单元的备份系统及恢复系统。

背景技术

基于PC、服务器、手机或其他设备的硬件安全单元，例如TPM(可信根) 或者TCM(可信密码模块)，出于安全性的考虑，在设计之初，就要求硬件 安全单元具有自己的CPU、内存、存储空间。硬件安全单元的空间和计算逻 辑不受其服务的设备例如PC、服务器、手机或其他设备的控制。

硬件安全单元的内部逻辑、程序流程、密钥和口令管理是一个封闭环境， 完全不受其服务的设备例如PC、服务器、手机或其他设备的管理和干扰。由 此，当其服务的设备例如PC、服务器、手机或其他设备被病毒、木马或其他 潜在危险破坏和干扰时，硬件安全单元不受影响，并可以提供正确的安全服 务，作为整个系统的“信任根”，并以此作为系统恢复或安全操作的原点。

但是，正因为硬件安全单元其内部逻辑不受干扰的特点，当用户正常的 恢复或重装操作，例如，一键恢复时，用户只能恢复硬盘的状态，并不能恢 复硬件安全单元的状态。这会导致两者状态的错乱，造成难以解决的问题。

假设在A时刻，硬件安全单元通过信任连的流程，得到平台配置信息 PCRA。在B时刻，用户升级OS操作系统，造成平台配置信息PCR发生改 变，由PCRA＝＞PCRB。在C时刻，用户放弃升级，一键恢复到时刻A。但此 时，硬件安全单元的平台配置信息还是PCRB。状态不对应，会造成和PCR 相关的操作失败。

假设在A时刻，用户使用密钥KeyA加密文件FileA为密文存于硬盘上。 在B时刻，用户删除硬件安全单元里的KeyA和硬盘上的FileA的明密文。在 时刻C，用户反悔，还需要使用FileA，一键恢复到时刻A。此时，硬盘上的 FileA的密文文件被恢复，但硬件安全单元里的KeyA已经被删除，造成状态 不对应，无法解密。

假设在A时刻，用户1把PC交由用户2使用。在B时刻，用户2删除 用户1的相关信息和密钥，全部使用自己的新环境。在C时刻，用户1收回 机器，并且一键恢复到A时刻，此时，硬盘上的A时刻的文件全部找回，但 是，由于硬件安全单元的内部口令、密钥、状态还是B时刻的用户2的信息， 故此时，状态不对应，造成所有的安全服务都无法使用。当系统重装时，也 会出现上述这种情况。

在解决上述问题时，基于硬件安全单元的安全性考虑，因此无法使用简 单的如硬盘恢复的按键解决或简单的命令方式让硬件安全单元进行“同步”恢 复。因为，这种简单的恢复接口，会直接影响到硬件安全单元的坚固程度， 极易给攻击者留出后门，破坏硬件安全单元的现有状态。硬件安全单元的状 态恢复，最简单可靠的方法是依靠另一个同样安全的硬件安全单元。

发明内容

本发明的目的是提供一种固定硬件安全单元恢复方法及系统，用于满足 固定硬件安全单元记录的状态信息与其固化的计算机设备或其他设备的状态 信息相一致。

本发明提供一种固定硬件安全单元备份方法，所述方法包括：

通过固定硬件安全单元和移动硬件安全单元的唯一识别信息的交互，实 现互相绑定；

在所述固定硬件安全单元中记录备份所述固定硬件安全单元被固化的设 备状态对应的第一状态信息，以及所述第一状态信息对应的所述固定硬件安 全单元自身状态的第二状态信息；

通过绑定关系，将所述第一状态信息和所述第二状态信息传送至所述移 动硬件安全单元。

优选地，所述通过绑定关系，将所述第一状态信息和所述第二状态信息 传送至所述移动硬件安全单元，具体为：

通过绑定关系，将所述第一状态信息和所述第二状态信息进行加密，再 发送至所述移动硬件安全单元。

优选地，所述固定硬件安全单元和所述移动硬件安全单元具有足够的空 间记录所述第一状态信息和第二状态信息。

优选地，所述固定硬件安全单元能够生成用于对所述状态信息进行加解 密的密钥。

优选地，检测到所述固定硬件安全单元预设的重要状态发生改变时，自 主记录和备份所述第一状态信息和所述第二状态信息；

或者，所述固定硬件安全单元检测到预先设定的条件满足时，记录和备 份所述第一状态信息和所述第二状态信息。

优选地，按照预先设定的策略校验所述第一状态信息和所述第二状态信 息的备份及迁移。