本發明涉及信息安全技術領域，具體設計密鑰簽名方法技術領域，特別涉及一種SM2算法密鑰分割簽名系統及方法。其系統結構包括移動設備、云端密碼服務和第三方CA中心，所述的移動設備和云端密碼服務各自產生隨機數，并在移動設備一端完成SM2密鑰的合法性驗證，確認生成SM2密鑰；所述的移動設備和云端密碼服務各自完成SM2算法數字簽名的一部分，并最終在移動設備一端生成數字簽名；本發明的一種SM2算法密鑰分割簽名方法，實現了基于SM2密鑰分割的簽名算法，由移動設備和云端共同完成數字簽名，保證了簽名過程密鑰不被泄露，并能有效的保護移動設備端的密鑰安全性。

技術領域

本發明涉及信息安全技術領域，具體設計密鑰簽名方法技術領域，特別涉及一種SM2算法密鑰分割簽名系統及方法。

背景技術

近年來，網絡安全事件頻發，網絡攻擊已經從信息泄露、資金竊取、電信詐騙及釣魚網站等個人事件，上升到全社會的安全事件，會影響我們的生活、影響政府的服務、社會穩定甚至社會安全。密碼技術是網絡信息安全的核心技術，在互聯網全球化的大環境下，國產密碼技術在國家安全戰略上有著重要的地位，是實現國家網絡信息自主可控的基礎，可以廣泛用于電子政務、能源、交通、衛生、教育等涉及民生和基礎信息資源的行業系統。

SM2算法是國家密碼管理局于2010年12月17日發布的橢圓曲線公鑰密碼算法，SM2算法與RSA算法相比在同等密鑰強度下，具有安全性高、計算速度快、存儲空間小的優點，同時，相對于國際標準的ECC算法，SM2算法在初始狀態編碼、加密計算效率上都要更好。

隨著移動互聯網的發展，移動設備成為改變傳統計算的一個根本趨勢，移動設備已經步入智能化時代，移動智能終端的普及率越來越高。人們利用碎片化的時間來上網，移動辦公、移動電子商務、移動電子政務有了巨大的發展，隨之而來的是安全問題，需要解決移動端的身份認證和數字簽名。在這種情況下，如何能高效的利用移動設備并結合國產密碼算法實現數字簽名成為一個亟需解決的問題。

發明內容

為了解決現有技術的問題，本發明提供了一種SM2算法密鑰分割簽名系統及方法，其結合移動端的特點，利用移動設備和云端密碼服務共同產生SM2密鑰，并將密鑰分割為兩部分，分別由移動設備端和云端密碼服務器各自保存，本方法實現了基于SM2密鑰分割的簽名算法，由移動設備和云端共同完成數字簽名，保證了簽名過程密鑰不被泄露，并能有效的保護移動設備端的密鑰安全性。

本發明所采用的技術方案如下：

一種SM2算法密鑰分割簽名系統，包括移動設備、云端密碼服務和第三方CA中心，所述的移動設備和云端密碼服務各自產生隨機數，并在移動設備一端完成SM2密鑰的合法性驗證，確認生成SM2密鑰；所述的移動設備和云端密碼服務各自完成SM2算法數字簽名的一部分，并最終在移動設備一端生成數字簽名；

所述的移動設備負責生成隨機數、完成SM2密鑰的合法性驗證以及生成SM2數字簽名的部分計算，另外，移動設備會產生臨時密鑰，用于與云端加密服務的通信；

所述的云端密碼服務負責生成隨機數，與移動設備端的加密認證數據傳輸以及實現SM2 簽名算法的部分計算；

所述的第三方CA中心負責數字證書的簽發，一方面為云端密碼服務簽發證書，確保云端密碼服務的合法身份，另一方面為移動設備頒發數字證書，為移動設備的密碼應用提供合法身份認證。

移動設備采用外接硬件加密終端設備。

云端密碼服務采用硬件密碼機，或使用云密碼機來完成加密簽名操作。

一種SM2算法密鑰分割簽名方法，包括分割密鑰生成的方法和完成數字簽名的方法，其中，分割密鑰生成的方法包括：

步驟101、第三方CA中心為云端密碼服務頒發數字證書；

步驟102、移動設備生成臨時密鑰對，向所述的云端密碼服務提出分割密鑰生成請求；