本發明公開了一種SM2密鑰生成、簽名方法、終端、服務器和存儲介質，涉及信息安全領域。本發明通過由預設數量私鑰因子組成私鑰，私鑰因子分別存儲在不同的設備中，所述設備包括終端和服務器，有效的解決了私鑰文件易被竊取的問題，將私鑰因子分散存儲在終端和服務器上，攻擊者無法從終端上獲得完整的私鑰。同時，簽名計算過程需要在終端設備和服務端分步進行，私鑰不會完整的出現在終端設備內存中，有效的解決了私鑰文件以明文的方式出現在終端內存中易泄露的問題，使得私鑰的存儲更加安全。

技術領域

本發明涉及信息安全領域，尤其是一種SM2密鑰生成、簽名方法、終端、服務器和存儲介質。

背景技術

SM2橢圓曲線公鑰密碼算法(簡稱SM2算法)于2010年12月首次公開發布,2012年成為中國商用密碼標準(標準號為GM/T 0003—2012),2016年成為中國國家密碼標準(標準號為GB/T 32918—2016)。對于SM2軟證書及私鑰的安全管理和使用，主要通過對SM2私鑰進行加密保護。即SM2私鑰以文件的方式保存在終端設備的存儲器中，以一個固定的加密密鑰進行加密，在需要訪問私鑰時，則使用加密密鑰對該密鑰文件進行解密后得到SM2私鑰，加密密鑰可以是一個預先設置的字符串、設備信息、用戶PIN碼等。

然而，現有的SM2軟證書存在加密密鑰易泄露、加密密鑰和加密后的SM2私鑰文件易被竊取、在進行簽名/加解密計算的過程中，私鑰都會以明文的方式出現在設備的內存中，攻擊者也可能通過相關手段(如內存監聽、通過調試器運行等)直接獲取設備內存中的私鑰明文，導致私鑰泄露的問題，因為有必要發明一種方法以解決上述問題。

發明內容

本發明旨在至少在一定程度上解決相關技術中的技術問題之一。為此，本發明的一個目的是提供一種安全性高、防止泄露的一種SM2密鑰生成方法。

本發明的第二個目的是提供一種安全性高、防止泄露SM2密鑰簽名方法。

本發明的第三個目的是提供一種安全性高、防止密鑰泄露的智能終端。

本發明的第四個目的是提供一種安全性高、防止密鑰泄露的終端。

本發明的第五個目的是提供一種用于存儲安全性高、防止泄露SM2密鑰生成和簽名方法的計算機可讀存儲介質。

本發明所采用的技術方案是：

第一方面，本發明提供一種SM2密鑰生成方法，由預設數量私鑰因子組成私鑰，所述私鑰因子分別存儲在不同的設備中，所述設備包括終端和服務器。

進一步地，所述私鑰因子包括第一私鑰因子d₁和第二私鑰因子d₂，所述方法還包括如下步驟：

接收密鑰生成指令，生成第一私鑰因子d₁和第一臨時私鑰變量tKey1，其中，tKey1＝[d₁]G，G為SM2橢圓曲線公鑰密碼算法，其階為素數，[d₁]G為橢圓曲線上點G的k倍點；

發送密鑰對生成請求和所述第一臨時私鑰變量tKey1到服務器；

接收服務器發送的公鑰(x,y)、第一密鑰分散因子W₁和第二密鑰分散因子W₂；

驗證所述公鑰(x,y)，若通過，則存儲所述第一私鑰因子d₁、所述公鑰(x,y)、所述第一密鑰分散因子W₁和所述第二密鑰分散因子W₂。

進一步地，包括如下步驟：

包括如下步驟：

接收終端發送的密鑰對生成請求和第一臨時私鑰變量tKey1，并對所述密鑰對進行合法性校驗；