密鑰託管是可備份解密的加密體制,它可讓取得授權者在特定的條件下,利用不止一個持有數據恢復密鑰可靠的委託人的支持進行解密密文,數據恢復密鑰不同於常用的加密、解密密鑰,它只给予確定數據加密/解密的一種方法,而密鑰託管在邏輯上主要包括3種模塊，這些邏輯模塊是密切相關的,對其中的一個進行設計將影響到其他模塊。

1.用戶安全模塊

用戶安全模塊由軟件與硬件組成,有數據加、解密的能力,可進行數據恢復與密鑰託管,其表現在把數據恢復域附加至數據。

2.密鑰託管模塊

密鑰託管模塊受控於密鑰管理组织,主要功能為給DRC給出所需的數據與服務。密鑰託管模塊在給DRC给予像託管密鑰等服務時,服務包括如下部分:

(1)授權過程:對操作或使用DRC的用戶實施身份認證與授權加密數據訪問的證明。

(2)傳送數據恢復密鑰:密鑰與有效期一起傳送,過了有效期後,密鑰將被自動銷毀。

(3)傳送派生密鑰:KEC對DRC給出由數據恢復密鑰推出的另一密鑰,比如受時間限制的密鑰,被加密的數據僅能在特定的有效時間段內被解密。

(4)解密密鑰:KEC僅對DRC發解密密鑰。

(5)執行門限解密:每個託管组织對DRC給出自己的解密結果,由DRC合成這些結果並獲取明文。

(6)數據傳輸:KEC與DRC間，相互數據傳輸人工與電子都行。

此外,KEC還應保護託管的密鑰來防止泄露或丟失,保護手段可以是技術的,程序的或法律的。

3.數據恢復模塊

數據恢復模塊的組成部分有算法、協議與設備,DRC用KEC有的與DRF里含的信息恢復得到數據加密密鑰,進一步解密密文以獲取純文本。僅在指定授權數據恢復時使用。

此外,DRC還用技術、操作與法律等保護措施控制何謂可解密的,比如可對數據恢復進行嚴格的時間限制,這些措施給出了KEC傳送密鑰時規定的限制,且認證组织還可避免DRC用密鑰得到偽消息。