[发明专利]用于复制密码机设备的方法和系统及密码机设备

权利要求书

1.一种用于复制密码机设备的方法，包括：

确定与目标密码机设备通信耦合的、用于源密码机设备的管理员锁包含用户ID和用于产生共享密钥的种子码，并将用户ID和用于产生共享密钥的种子码存储在目标密码机设备的加密模块中；

向用于源密码机设备的管理员锁和目标密码机设备的加密模块发送复制请求；

接收来自加密模块的包含加密模块ID的第一恢复请求包以及来自管理员锁的包含管理员锁ID和用户ID的第二恢复请求包；

将第一恢复请求包和第二恢复请求包发送给云端并接收来自云端的经验证成功而生成的第一恢复命令包和第二恢复命令包；

将第一恢复命令包发送给加密模块且将第二恢复命令包发送给管理员锁；

接收来自管理员锁的包含用于产生应用密钥的种子码的种子码包并将该种子码包的密文发送给加密模块，使加密模块进入就绪状态。

2.如权利要求1所述的方法，其中，所述目标密码机设备包括设备识别模块，所述方法还包括，将设备识别模块中的目标密码机设备的设备ID发送给云端进行验证。

3.如权利要求1所述的方法，其中，所述目标密码机设备包括设备识别模块，所述方法还包括，在将第一恢复命令包发送给加密模块且将第二恢复命令包发送给管理员锁之前，将第一恢复命令包和第二恢复命令包发送给设备识别模块进行验证。

4.如权利要求1至3中任一项所述的方法，所述方法还包括，在该种子码包的密文发送给加密模块的同时还将从管理员锁接收到的、管理员锁利用由其中包含的用于产生共享密钥的种子码产生的共享密钥计算得到的消息校验码发送给加密模块，以便加密模块执行对密文的解密处理和消息校验码验证过程，该消息校验码验证过程包括：将加密模块利用由其中包含的用于产生共享密钥的种子码产生的共享密钥计算得到的消息校验码与管理员锁计算得到的消息校验码进行比较并判定两者是否一致。

5.如权利要求2或3所述的方法，所述方法还包括，将第一恢复请求包和第二恢复请求包发送给云端包括将第一恢复请求包和第二恢复请求包连同加密模块证书链、管理员锁证书链、设备识别模块证书链连同一起发送给云端进行验证。

6.如权利要求4所述的方法，所述方法还包括，将第一恢复请求包和第二恢复请求包发送给云端包括将第一恢复请求包和第二恢复请求包连同加密模块证书链、管理员锁证书链、设备识别模块证书链连同一起发送给云端进行验证。

7.一种用于复制密码机设备的系统，包括：

源密码机设备的管理员锁，该管理员锁经初始化过程而包含用户ID和用于产生共享密钥的种子码；

目标密码机设备，包括处理单元和加密模块，目标密码机设备与用于源密码机设备的管理员锁通信耦合；

云端服务器，用于对密码机设备复制过程进行验证，

其中，处理单元被配置成：

将用户ID和用于产生共享密钥的种子码存储在目标密码机设备的加密模块中；

向目标密码机设备的加密模块和源密码机设备的管理员锁发送复制请求，

接收来自加密模块的包含加密模块ID的第一恢复请求包以及来自管理员锁的包含管理员锁ID和用户ID的第二恢复请求包，

将第一恢复请求包和第二恢复请求包发送给云端服务器并接收来自云端服务器的经验证成功而生成的第一恢复命令包和第二恢复命令包，

将第一恢复命令包发送给加密模块且将第二恢复命令包发送给管理员锁，

接收来自管理员锁的包含用于产生应用密钥的种子码的种子码包并将该种子码的密文包发送给加密模块，使加密模块进入就绪状态。

8.如权利要求7所述的系统，其中，所述目标密码机设备还包括设备识别模块，所述处理单元还被配置成，将设备识别模块中的目标密码机设备的设备ID发送给云端服务器进行验证。