[发明专利]一种种子密钥备份的方法、电子设备和系统

权利要求书

1.一种种子密钥备份的方法，其特征在于，包括将硬件设备种子密钥密文从硬件设备中导出到备份卡的过程，具体包括如下步骤：

步骤S1：客户端向所述备份卡发送获取卡设备公钥证书和卡临时公钥的请求；

步骤S2：所述备份卡生成第一临时密钥对并保存，使用预置的卡设备私钥对第一临时公钥进行签名得到第一签名结果，获取预置的卡设备公钥证书，向所述客户端发送包含卡设备公钥证书、第一临时公钥和第一签名结果的响应；所述第一临时密钥对包含第一临时公钥和第一临时私钥；

步骤S3：所述客户端解析接收到的响应得到卡设备公钥证书、第一临时公钥和第一签名结果并保存，向所述硬件设备发送生成PIN码指令，提示用户输入硬件设备显示的PIN码；

步骤S4：所述客户端接收用户输入的硬件设备显示的PIN码，组织所述硬件设备显示的PIN码、所述卡设备公钥证书、所述第一临时公钥和所述第一签名结果得到第一数据包，向所述硬件设备发送所述第一数据包，接收所述硬件设备发送的第二数据包；所述第二数据包包括硬件设备公钥证书、第二临时公钥、第二签名结果和第一密文数据；

步骤S5：所述客户端提示用户输入卡PIN码，将用户输入的卡PIN码发送给所述备份卡；

步骤S6：所述备份卡接收到所述客户端发送的卡PIN码，对所述卡PIN码进行验证，生成第一验PIN结果，向所述客户端发送所述第一验PIN结果；

步骤S7：所述客户端根据所述备份卡发送的第一验PIN结果判断卡PIN码是否验证成功，当判断卡PIN码验证成功时，将所述第二数据包发送给所述备份卡；

步骤S8：所述备份卡解析所述第二数据包得到硬件设备公钥证书、第二临时公钥、第二签名结果和第一密文数据并保存，分别对硬件设备公钥证书、第二签名结果进行验证，当验证均通过时，根据保存的第一临时私钥和所述第二临时公钥生成第二会话密钥，使用第二会话密钥对第一密文数据进行解密得到硬件设备种子密钥密文并保存。

2.如权利要求1所述的方法，其特征在于，还包括：

步骤W1：所述客户端向所述备份卡发送获取卡设备公钥证书请求；

步骤W2：所述备份卡向所述客户端发送卡设备公钥证书；

步骤W3：所述客户端接收所述备份卡发送的卡设备公钥证书，从所述卡设备公钥证书中获取卡设备公钥，向所述备份卡发送预置的客户端设备公钥证书；

步骤W4：所述备份卡接收所述客户端发送的客户端设备公钥证书，使用预置的客户端根公钥验证所述客户端设备公钥证书，如验证通过，从所述客户端设备公钥证书中提取客户端设备公钥并保存，向所述客户端发送包含接收成功信息的接收响应，如验证未通过，向所述客户端发送包含接收失败信息的接收响应；

步骤W5：所述客户端接收所述备份卡发送的接收响应，当所述接收响应中包含接收成功信息时，生成第五临时密钥对并保存，将第五临时公钥发送给所述备份卡；所述第五临时密钥对包括第五临时公钥和第五临时私钥；

步骤W6：所述备份卡接收所述客户端发送的所述第五临时公钥，根据所述第五临时公钥和所述卡设备私钥生成第一密钥因子，根据所述客户端设备公钥和所述卡设备私钥生成第二密钥因子，根据所述第一密钥因子和所述第二密钥因子生成收条密钥、第五会话密钥、MAC密钥、DEK密钥、验证密钥和收条并保存，将所述收条发送给所述客户端；

步骤W7：所述客户端接收所述备份卡发送的收条并保存，根据所述第五临时私钥和所述卡设备公钥生成第三密钥因子，根据所述客户端设备私钥和所述卡设备公钥生成第四密钥因子，根据所述第三密钥因子和所述第四密钥因子生成收条密钥、第五会话密钥、MAC密钥、DEK密钥和验证密钥并保存。

3.如权利要求2所述的方法，其特征在于，所述将用户输入的卡PIN码发送给所述备份卡，具体为：所述客户端使用所述第五会话密钥对所述卡PIN码进行加密得到卡PIN码密文，使用所述MAC密钥对所述卡PIN码密文进行计算得到卡PIN码密文的MAC值，将所述卡PIN码密文和所述卡PIN码密文的MAC值发送给所述备份卡；

所述对所述卡PIN码进行验证，具体为：所述备份卡使用保存的MAC密钥对接收到的卡PIN码密文的MAC值进行验证，当验证通过时，使用保存的第五会话密钥解密接收到的卡PIN码密文得到卡PIN码，对所述卡PIN码进行验证。