技術領域

本發明涉及一種硬件安全系統，尤指一種固定硬件安全單元的備份方法、 恢復方法和固定硬件安全單元的備份系統及恢復系統。

背景技術

基于PC、服務器、手機或其他設備的硬件安全單元，例如TPM(可信根) 或者TCM(可信密碼模塊)，出于安全性的考慮，在設計之初，就要求硬件 安全單元具有自己的CPU、內存、存儲空間。硬件安全單元的空間和計算邏 輯不受其服務的設備例如PC、服務器、手機或其他設備的控制。

硬件安全單元的內部邏輯、程序流程、密鑰和口令管理是一個封閉環境， 完全不受其服務的設備例如PC、服務器、手機或其他設備的管理和干擾。由 此，當其服務的設備例如PC、服務器、手機或其他設備被病毒、木馬或其他 潛在危險破壞和干擾時，硬件安全單元不受影響，并可以提供正確的安全服 務，作為整個系統的“信任根”，并以此作為系統恢復或安全操作的原點。

但是，正因為硬件安全單元其內部邏輯不受干擾的特點，當用戶正常的 恢復或重裝操作，例如，一鍵恢復時，用戶只能恢復硬盤的狀態，并不能恢 復硬件安全單元的狀態。這會導致兩者狀態的錯亂，造成難以解決的問題。

假設在A時刻，硬件安全單元通過信任連的流程，得到平臺配置信息 PCRA。在B時刻，用戶升級OS操作系統，造成平臺配置信息PCR發生改 變，由PCRA＝＞PCRB。在C時刻，用戶放棄升級，一鍵恢復到時刻A。但此 時，硬件安全單元的平臺配置信息還是PCRB。狀態不對應，會造成和PCR 相關的操作失敗。

假設在A時刻，用戶使用密鑰KeyA加密文件FileA為密文存于硬盤上。 在B時刻，用戶刪除硬件安全單元里的KeyA和硬盤上的FileA的明密文。在 時刻C，用戶反悔，還需要使用FileA，一鍵恢復到時刻A。此時，硬盤上的 FileA的密文文件被恢復，但硬件安全單元里的KeyA已經被刪除，造成狀態 不對應，無法解密。

假設在A時刻，用戶1把PC交由用戶2使用。在B時刻，用戶2刪除 用戶1的相關信息和密鑰，全部使用自己的新環境。在C時刻，用戶1收回 機器，并且一鍵恢復到A時刻，此時，硬盤上的A時刻的文件全部找回，但 是，由于硬件安全單元的內部口令、密鑰、狀態還是B時刻的用戶2的信息， 故此時，狀態不對應，造成所有的安全服務都無法使用。當系統重裝時，也 會出現上述這種情況。

在解決上述問題時，基于硬件安全單元的安全性考慮，因此無法使用簡 單的如硬盤恢復的按鍵解決或簡單的命令方式讓硬件安全單元進行“同步”恢 復。因為，這種簡單的恢復接口，會直接影響到硬件安全單元的堅固程度， 極易給攻擊者留出后門，破壞硬件安全單元的現有狀態。硬件安全單元的狀 態恢復，最簡單可靠的方法是依靠另一個同樣安全的硬件安全單元。

發明內容

本發明的目的是提供一種固定硬件安全單元恢復方法及系統，用于滿足 固定硬件安全單元記錄的狀態信息與其固化的計算機設備或其他設備的狀態 信息相一致。

本發明提供一種固定硬件安全單元備份方法，所述方法包括：

通過固定硬件安全單元和移動硬件安全單元的唯一識別信息的交互，實 現互相綁定；

在所述固定硬件安全單元中記錄備份所述固定硬件安全單元被固化的設 備狀態對應的第一狀態信息，以及所述第一狀態信息對應的所述固定硬件安 全單元自身狀態的第二狀態信息；

通過綁定關系，將所述第一狀態信息和所述第二狀態信息傳送至所述移 動硬件安全單元。

優選地，所述通過綁定關系，將所述第一狀態信息和所述第二狀態信息 傳送至所述移動硬件安全單元，具體為：

通過綁定關系，將所述第一狀態信息和所述第二狀態信息進行加密，再 發送至所述移動硬件安全單元。

優選地，所述固定硬件安全單元和所述移動硬件安全單元具有足夠的空 間記錄所述第一狀態信息和第二狀態信息。

優選地，所述固定硬件安全單元能夠生成用于對所述狀態信息進行加解 密的密鑰。

優選地，檢測到所述固定硬件安全單元預設的重要狀態發生改變時，自 主記錄和備份所述第一狀態信息和所述第二狀態信息；

或者，所述固定硬件安全單元檢測到預先設定的條件滿足時，記錄和備 份所述第一狀態信息和所述第二狀態信息。

優選地，按照預先設定的策略校驗所述第一狀態信息和所述第二狀態信 息的備份及遷移。