本申請實施例提供了密鑰備份、恢復方法及裝置，應用于密鑰發行器。所述方法包括：獲得待存儲至第一存儲卡的第一加密結果和第一密鑰組，其中第一加密結果為對第一子密鑰進行加密后得到的加密結果，第一子密鑰為從根密鑰中獲得的子密鑰；獲得針對所述第一存儲卡的第一口令；將第一口令發送至母卡，以使母卡以第一約定密鑰對第一口令進行加密并獲得第一加密串；接收母卡發送的第一加密串，并將第一加密串發送至第一存儲卡，以使第一存儲卡根據第一加密串獲得并存儲第一口令；將第一加密結果和第一密鑰組發送至第一存儲卡，以使第一存儲卡存儲第一加密結果和第一密鑰組。應用本申請實施例提供的方案，能夠提高密鑰的安全性。

技術領域

本申請涉及通信技術領域，特別是涉及一種密鑰備份、恢復方法及裝置。

背景技術

在IC卡、智能卡等一卡通安防應用領域中，經常遇到如何把公司密鑰系統中最高級別的根密鑰，通過某種方式備份至載體上，即存儲至載體上，以便后續在需要使用該根密鑰時，可以從上述載體中獲取。上述載體可以是IC卡、智能卡等存儲卡。

現有技術中，在備份根密鑰時，通常可以將根密鑰明文打印至一套信封內，后續在需要使用該根密鑰時，便可以由信封持有人打開信封，將根密鑰輸入相應軟件的界面中。為了提高安全性，還可以將根密鑰拆分成幾部分，分別存儲在不同的信封中，由不同的人員分持。在使用時，需要持有信封的人員分別一一輸入密鑰。

利用上述密鑰備份方式存儲密鑰后，在使用過程中通常可以保證根密鑰的安全性。但是，一旦用于備份根密鑰的信封被非法獲取或丟失，那么根密鑰的安全性將受到威脅。

發明內容

本申請實施例的目的在于提供了密鑰備份、恢復方法及裝置，以提高密鑰的安全性。具體的技術方案如下。

為了達到上述目的，本申請實施例公開了一種密鑰備份方法，應用于密鑰發行器，所述方法包括：

獲得待存儲至第一存儲卡的第一加密結果和第一密鑰組；其中，所述第一存儲卡為用于備份根密鑰的存儲卡中的一個，所述第一加密結果為對第一子密鑰進行加密后得到的加密結果，所述第一子密鑰為從所述根密鑰中獲得的子密鑰，用于備份所述根密鑰的存儲卡中要存儲的加密結果對應所述根密鑰的不同子密鑰，所述第一密鑰組包含用于加密除所述第一子密鑰之外的其他子密鑰的密鑰；

獲得針對所述第一存儲卡的第一口令；其中，所述第一口令用于限定針對所述第一加密結果和第一密鑰組的讀取權限；

將所述第一口令發送至母卡，以使所述母卡以第一約定密鑰對所述第一口令進行加密并獲得第一加密串；其中，所述第一約定密鑰為所述母卡與第一存儲卡之間約定的密鑰；

接收所述母卡發送的第一加密串，并將所述第一加密串發送至所述第一存儲卡，以使所述第一存儲卡根據所述第一加密串獲得并存儲所述第一口令；

將所述第一加密結果和第一密鑰組發送至所述第一存儲卡，以使所述第一存儲卡存儲所述第一加密結果和第一密鑰組。

可選的，所述將所述第一口令發送至母卡的步驟，包括：

根據母卡中存儲的第二約定密鑰，對所述第一存儲卡進行認證，獲得對所述第一存儲卡的改寫權限；

在獲得所述改寫權限之后，將所述第一口令發送至母卡。

可選的，所述根據母卡中存儲的第二約定密鑰，對所述第一存儲卡進行認證，獲得對所述第一存儲卡的改寫權限的步驟，包括：

向所述第一存儲卡發送隨機數獲取請求，并獲得所述第一存儲卡根據所述隨機數獲取請求確定的隨機數；

將所述隨機數發送至母卡，以使所述母卡以所述第二約定密鑰對所述隨機數進行加密并獲得第二加密串；

接收所述母卡發送的第二加密串，并將所述第二加密串發送至所述第一存儲卡；