[发明专利]恢复加密机管理员锁的方法以及加密机

说明书

本发明涉及一种恢复加密机管理员锁的方法以及加密机。所述方法包括：步骤S1，获取所述管理员锁生成的含有管理员锁ID的第一恢复请求包；步骤S2，向所述加密模块发送所述第一恢复请求包，以获取第二恢复请求包；步骤S3，向所述控制锁发送所述第二恢复请求包，以获取第一恢复命令包；步骤S4，向所述加密模块发送所述第一恢复命令包，以获取第二恢复命令包；步骤S5，向所述管理员锁发送所述第二恢复命令包，以使所述管理员锁基于所述第二恢复命令包进行恢复操作以恢复到就绪状态，在该就绪状态下，所述管理员锁中保存有所述管理员锁ID、所述用户ID、所述种子码以及根据所述种子码生成的密钥。该方法能够实现对加密机管理员锁的恢复，以应对管理员锁丢失和损坏的情况。

技术领域

本发明涉及信息安全技术领域，具体涉及一种恢复加密机管理员锁的方法以及加密机。

背景技术

加密机是一种专用的安全加密设备。一般地，加密机厂商在将加密机出售给客户时会附带几把配套的管理员锁。加密机的管理员锁代表了管理员身份，加密机只有在接入了管理员锁的情况下才可以执行一系列的管理操作。但是，如果发生意外导致客户的管理员锁全部丢失或损坏，则客户无法再对加密机进行管理操作。

为此，亟需提出一种恢复加密机管理员锁的方案。

发明内容

针对现有技术的上述缺陷，本发明一方面提供了一种恢复加密机管理员锁的方法。其中所述加密机包括加密模块，并且在所述方法被执行期间所述管理员锁和厂商侧的控制锁分别与所述加密机通信地耦合，所述方法包括：步骤S1，获取所述管理员锁生成的含有管理员锁ID的第一恢复请求包；步骤S2，向所述加密模块发送所述第一恢复请求包，以获取所述加密模块基于所述第一恢复请求包生成的含有加密模块ID和所述管理员锁ID的第二恢复请求包；步骤S3，向所述控制锁发送所述第二恢复请求包，以获取所述控制锁基于所述第二恢复请求包生成的含有所述加密模块ID和所述管理员锁ID的第一恢复命令包；步骤S4，向所述加密模块发送所述第一恢复命令包，以获取所述加密模块基于所述第一恢复命令包生成的含有所述管理员锁ID、用户ID以及种子码的第二恢复命令包；步骤S5，向所述管理员锁发送所述第二恢复命令包，以使所述管理员锁基于所述第二恢复命令包进行恢复操作以恢复到就绪状态，在该就绪状态下，所述管理员锁中保存有所述管理员锁ID、所述用户ID、所述种子码以及根据所述种子码生成的密钥。

在本发明的一个实施例中，所述第一恢复请求包由所述管理员锁利用其自身预埋的管理员锁私钥进行签名，并且在步骤S1中，进一步包括：从所述管理员锁获取管理员锁证书链，所述管理员锁证书链包括根CA证书、设备CA证书和管理员锁公钥证书；并且在步骤S2中，进一步包括：向所述加密模块发送所述管理员锁证书链，以使所述加密模块根据所述管理员锁证书链验证所述第一恢复请求包的合法性，并且在该验证通过后从所述加密模块获取所述第二恢复请求包和加密模块证书链，所述加密模块证书链包括根CA证书、设备CA证书和加密模块公钥证书。

在本发明的一个实施例中，在步骤S2中，向所述加密模块发送所述管理员锁证书链，以使所述加密模块在验证所述第一恢复请求包的合法性之前，还根据自身预埋的根CA证书验证所述管理员锁证书链的合法性。

在本发明的一个实施例中，所述第二恢复请求包由所述加密模块利用其自身预埋的加密模块私钥进行签名，并且在步骤S3中，进一步包括：向所述控制锁发送所述加密模块证书链，以使所述控制锁根据所述加密模块证书链验证所述第二恢复请求包的合法性，并在该验证通过后从所述控制锁获取所述第一恢复命令包和控制锁证书链，所述控制锁证书链包括根CA证书、系统CA证书和控制锁公钥证书。

在本发明的一个实施例中，所述第一恢复命令包由所述控制锁利用其自身预埋的控制锁私钥进行签名；并且在步骤S4中，进一步包括：向所述加密模块发送所述控制锁证书链，以使所述加密模块根据所述控制锁证书链验证所述第一恢复命令包的合法性，并在该验证通过后从所述加密模块获取所述第二恢复命令包。