[发明专利]密钥备份、恢复的方法及加密设备

权利要求书

1.一种密钥备份的方法，应用于第一加密设备中，所述方法包括：

所述第一加密设备中的内置服务模块根据接收到的密钥备份请求，从密钥存储区中获取密钥数据，将所述密钥数据打包生成密钥包，并且将所述密钥包发送给所述第一加密设备中的设备识别模块；

所述设备识别模块依据预设加密方式生成临时密钥，并基于所述临时密钥对所述密钥包进行加密，以生成第一备份数据；

所述设备识别模块通过所述内置服务模块从所述第一加密设备的管理员密钥设备中获取管理员密钥，并基于所述管理员密钥对所述临时密钥进行加密，形成第二备份数据。

2.根据权利要求1所述的方法，在生成所述第一备份数据之前，所述方法还包括：

所述设备识别模块通过所述内置服务模块检测所述管理员密钥设备，以判断所述第一加密设备是否处于管理员安全状态；

如果判断是在所述管理员安全状态则允许调用第一加密算法生成所述临时密钥。

3.根据权利要求1所述的方法，所述方法还包括：

所述设备识别模块通过所述内置服务模块将所述第一备份数据和所述第二备份数据存储在备份区或者导出至与所述第一加密设备相连的外部设备中。

4.根据权利要求1所述的方法，所述方法还包括：

所述内置服务模块判断所述密钥数据中是否包括设备密钥，所述设备密钥与所述管理员密钥设备相关联；

当所述密钥数据中包括设备密钥时，单独对所述设备密钥进行打包，生成设备密钥包，以对所述设备密钥包进行单独备份操作。

5.一种加密设备，包括：处理器、存储器和设备识别芯片；

所述存储器，其配置为存储可执行程序；

所述处理器，其配置为执行所述可执行程序，实现权1-权4中任一项所述的内置服务模块所实现的功能；

所述设备识别芯片，与所述处理器通信连接，其被配置为实现权1-权4中任一项所述的设备识别模块所实现的功能。

6.一种密钥备份恢复的方法，应用于第二加密设备，所述方法包括：

所述第二加密设备中的内置服务模块根据密钥恢复请求获取第一备份数据和第二备份数据，所述第一备份数据为待恢复密钥包的密文数据，所述第二备份数据为解密所述密钥包的临时密钥的密文数据；

所述第二加密设备中的设备识别模块通过所述内置服务模块从管理员密钥设备中获取所述第二加密设备对应的管理员密钥，并基于所述管理员密钥对从所述内置服务模块中获取的所述第二备份数据进行解密得到临时密钥；

所述设备识别模块基于所述临时密钥，对从所述内置服务模块获取的所述第一备份数据进行解密得到密钥包，并且将所述密钥包中的密钥数据恢复到所述第二加密设备的密钥存储区中。

7.根据权利要求6所述的方法，所述设备识别模块解密所述第二备份数据之前，所述方法还包括：

所述设备识别模块通过所述内置服务模块检测所述管理员密钥设备，以判断所述第二加密设备是否处于管理员安全状态；

如果判断是在所述管理员安全状态则调用所述管理员密钥，以对所述第二备份数据进行解密。

8.根据权利要求6所述的方法，所述内置服务模块获取所述第一备份数据和第二备份数据包括：

所述内置服务模块从所述第二加密设备的备份区或者从与所述第二加密设备相连的外部设备中获取所述第一备份数据和第二备份数据。

9.根据权利要求6所述的方法，将所述密钥包中的密钥数据恢复到所述第二加密设备的密钥存储区中，包括：

所述设备识别模块通过所述内置服务模块将所述密钥包进行拆包后，将所述密钥数据存储在所述密钥存储区中。

10.一种加密设备，包括：处理器、存储器和设备识别芯片；

所述存储器，其配置为存储可执行程序；

所述处理器，其配置为执行所述可执行程序，实现权6-权9中任一项所述的内置服务模块所实现的功能；

所述设备识别芯片，与所述处理器通信连接，其被配置为实现权6-权9中任一项所述的设备识别模块所实现的功能。