实现移动终端签名密钥生成与保护的系统及其方法与流程

1.本发明涉及信息网络安全技术领域，尤其涉及密码技术领域，具体是指一种实现移动终端签名密钥生成与保护功能的系统、方法、装置、处理器及其计算机可读存储介质。


背景技术：

2.数字签名技术广泛应用于移动终端应用程序(app)的用户身份认证和操作行为确认等方面，其中签名密钥的生成与保护是确保操作安全的基础。现有移动终端签名密钥主要有硬件外设生成、内嵌硬件生成和软件生成三种方式。其中，硬件外设主要为具有蓝牙接口、音频接口、近场通信接口、sim接口等硬件安全模块(hardware security module，hsm)，可通过移动终端相应的接口访问，主要问题是成本较高、携带不便且操作复杂；移动终端的内嵌硬件主要有安全单元(secure element，se)和可信执行环境(tee，trusted execution environment)，由于集成在移动终端内部，携带及操作方便，主要问题是非定制的内嵌硬件接口与app关联性差，而对内嵌硬件定制接口则需移动终端厂商支持，成本很高；软件生成主要在app内部集成软件安全模块，保存完整签名密钥或部分签名密钥(协同签名)，其成本最低、方便性和集成度好，主要问题是安全强度低、难以防复制。


技术实现要素：

3.本发明的目的是克服了上述现有技术的缺点，提供了一种满足安全强度高、应用成本低、适用范围较为广泛的实现移动终端签名密钥生成与保护功能的系统、方法、装置、处理器及其计算机可读存储介质。
4.为了实现上述目的，本发明的实现移动终端签名密钥生成与保护功能的系统、方法、装置、处理器及其计算机可读存储介质如下：
5.该实现移动终端签名密钥生成与保护功能的系统，其主要特点是，所述的系统包括安全存储区、安全模块区和云端服务区；
6.所述的安全存储区，用于生成和存储移动终端设备签名密钥，所述的移动终端设备签名密钥包括一对公钥密码算法公私钥对；
7.所述的安全模块区，与所述的安全存储区相连接，一个安全存储区与多个安全模块区对应，所述的安全模块区用于生成和存储移动终端用户签名密钥，并生成或协同生成移动终端安全模块认证密钥，所述的移动终端用户签名密钥包括一对公钥密码算法公私钥对；
8.所述的云端服务区，与所述的安全模块区和安全存储区相连接，包括app后台服务模块和数字证书认证模块，所述的app后台服务模块用于提供云端app后台服务，所述的数字证书认证模块为移动终端签名密钥提供数字证书服务，所述的安全模块区与云端服务区建立双向认证建立安全通道，签发移动终端签名数字证书。
9.较佳地，所述的系统生成移动终端设备签名密钥，具体包括以下步骤：
10.(1.1)安全模块区向安全存储区发出设备签名密钥生成指令；
11.(1.2)安全存储区采用公钥密码算法生成移动终端设备签名公私钥对，将公钥返回安全模块区；
12.(1.3)安全模块区根据生成的移动终端设备签名数字证书签发请求，包含设备签名私钥的签名。
13.较佳地，所述的系统生成移动终端用户签名密钥，具体包括以下步骤：
14.(2.1)安全模块区采用公钥密码算法生成公私钥对；
15.(2.2)生成用户签名数字证书签发请求，包含用户签名私钥的签名。
16.较佳地，所述的系统签发移动终端签名数字证书，具体包括以下步骤：
17.(3.1)安全模块区将设备签名数字证书签发请求和用户签名数字证书签发请求打包；
18.(3.2)安全模块区基于移动终端安全模块认证密钥与云端服务区完成双向认证建立安全通道；
19.(3.3)将打包后的设备签名数字证书签发请求和用户签名数字证书签发请求发送给云端服务区的数字证书认证系统；
20.(3.4)数字证书认证系统根据收到的请求，进行设备签名数字证书和用户签名数字证书的签发。
21.较佳地，所述的系统对移动终端用户签名密钥进行存储保护，具体包括以下处理过程：
22.(4.1)安全模块区向安全存储区发出加密指令；
23.(4.2)使用安全存储区中的设备签名公私钥对的私钥对移动终端用户签名公私钥对的私钥进行加密；
24.(4.3)加密安全模块区中存储的移动终端用户签名公私钥对的私钥。
25.该基于所述的系统实现移动终端签名密钥生成与保护处理的方法，其主要特点是，所述的方法包括生成移动终端签名密钥的步骤，具体包括以下处理过程：
26.(1)生成移动终端设备签名密钥；
27.(2)生成移动终端用户签名密钥；
28.(3)签发移动终端签名数字证书。
29.较佳地，所述的步骤(1)具体包括以下步骤：
30.(1.1)安全模块区向安全存储区发出设备签名密钥生成指令；
31.(1.2)安全存储区采用公钥密码算法生成移动终端设备签名公私钥对，将公钥返回安全模块区；
32.(1.3)安全模块区根据生成的移动终端设备签名数字证书签发请求，包含设备签名私钥的签名。
33.较佳地，所述的步骤(2)具体包括以下步骤：
34.(2.1)安全模块区采用公钥密码算法生成公私钥对；
35.(2.2)生成用户签名数字证书签发请求，包含用户签名私钥的签名。
36.较佳地，所述的步骤(3)具体包括以下步骤：
37.(3.1)安全模块区将设备签名数字证书签发请求和用户签名数字证书签发请求打包；
38.(3.2)安全模块区基于移动终端安全模块认证密钥与云端服务区完成双向认证建立安全通道；
39.(3.3)将打包后的设备签名数字证书签发请求和用户签名数字证书签发请求发送给云端服务区的数字证书认证系统；
40.(3.4)数字证书认证系统根据收到的请求，进行设备签名数字证书和用户签名数字证书的签发。
41.较佳地，所述的方法还包括对移动终端用户签名密钥进行存储保护的步骤，具体包括以下处理过程：
42.(4.1)安全模块区向安全存储区发出加密指令；
43.(4.2)使用安全存储区中的设备签名公私钥对的私钥对移动终端用户签名公私钥对的私钥进行加密；
44.(4.3)加密安全模块区中存储的移动终端用户签名公私钥对的私钥。
45.该用于实现移动终端签名密钥生成与保护处理的装置，其主要特点是，所述的装置包括：
46.处理器，被配置成执行计算机可执行指令；
47.存储器，存储一个或多个计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现上述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。
48.该用于实现移动终端签名密钥生成与保护处理的处理器，其主要特点是，所述的处理器被配置成执行计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现上述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。
49.该计算机可读存储介质，其主要特点是，其上存储有计算机程序，所述的计算机程序可被处理器执行以实现上述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。
50.采用了本发明的实现移动终端签名密钥生成与保护功能的系统、方法、装置、处理器及其计算机可读存储介质，实现移动终端签名密钥的安全生成、存储和保护，能够解决现有移动终端签名密钥生成方式存在的成本较高、携带不便、操作复杂、与app关联性差、安全强度低、难以防复制等问题。本发明提出了移动终端签名密钥生成与保护的创新方法，有效提升了移动终端签名密钥的安全强度和易用程度，并且便于与app集成、无需额外硬件，可有效降低应用成本，便于大规模推广应用。
附图说明
51.图1为本发明的实现移动终端签名密钥生成与保护功能的系统的架构示意图。
52.图2为本发明的实现移动终端签名密钥生成与保护处理的方法的流程图。
具体实施方式
53.为了能够更清楚地描述本发明的技术内容，下面结合具体实施例来进行进一步的描述。
54.本发明的该实现移动终端签名密钥生成与保护功能的系统，其中包括安全存储区、安全模块区和云端服务区；
55.所述的安全存储区，用于生成和存储移动终端设备签名密钥，所述的移动终端设备签名密钥包括一对公钥密码算法公私钥对；
56.所述的安全模块区，与所述的安全存储区相连接，一个安全存储区与多个安全模块区对应，所述的安全模块区用于生成和存储移动终端用户签名密钥，并生成或协同生成移动终端安全模块认证密钥，所述的移动终端用户签名密钥包括一对公钥密码算法公私钥对；
57.所述的云端服务区，与所述的安全模块区和安全存储区相连接，包括app后台服务模块和数字证书认证模块，所述的app后台服务模块用于提供云端app后台服务，所述的数字证书认证模块为移动终端签名密钥提供数字证书服务，所述的安全模块区与云端服务区建立双向认证建立安全通道，签发移动终端签名数字证书。
58.作为本发明的优选实施方式，所述的系统生成移动终端设备签名密钥，具体包括以下步骤：
59.(1.1)安全模块区向安全存储区发出设备签名密钥生成指令；
60.(1.2)安全存储区采用公钥密码算法生成移动终端设备签名公私钥对，将公钥返回安全模块区；
61.(1.3)安全模块区根据生成的移动终端设备签名数字证书签发请求，包含设备签名私钥的签名。
62.作为本发明的优选实施方式，所述的系统生成移动终端用户签名密钥，具体包括以下步骤：
63.(2.1)安全模块区采用公钥密码算法生成公私钥对；
64.(2.2)生成用户签名数字证书签发请求，包含用户签名私钥的签名。
65.作为本发明的优选实施方式，所述的系统签发移动终端签名数字证书，具体包括以下步骤：
66.(3.1)安全模块区将设备签名数字证书签发请求和用户签名数字证书签发请求打包；
67.(3.2)安全模块区基于移动终端安全模块认证密钥与云端服务区完成双向认证建立安全通道；
68.(3.3)将打包后的设备签名数字证书签发请求和用户签名数字证书签发请求发送给云端服务区的数字证书认证系统；
69.(3.4)数字证书认证系统根据收到的请求，进行设备签名数字证书和用户签名数字证书的签发。
70.作为本发明的优选实施方式，所述的系统对移动终端用户签名密钥进行存储保护，具体包括以下处理过程：
71.(4.1)安全模块区向安全存储区发出加密指令；
72.(4.2)使用安全存储区中的设备签名公私钥对的私钥对移动终端用户签名公私钥对的私钥进行加密；
73.(4.3)加密安全模块区中存储的移动终端用户签名公私钥对的私钥。
74.本发明的该基于权利要求1所述的系统实现移动终端签名密钥生成与保护处理的方法，其中所述的方法包括生成移动终端签名密钥的步骤，具体包括以下处理过程：
75.(1)生成移动终端设备签名密钥；
76.(2)生成移动终端用户签名密钥；
77.(3)签发移动终端签名数字证书。
78.作为本发明的优选实施方式，所述的步骤(1)具体包括以下步骤：
79.(1.1)安全模块区向安全存储区发出设备签名密钥生成指令；
80.(1.2)安全存储区采用公钥密码算法生成移动终端设备签名公私钥对，将公钥返回安全模块区；
81.(1.3)安全模块区根据生成的移动终端设备签名数字证书签发请求，包含设备签名私钥的签名。
82.作为本发明的优选实施方式，所述的步骤(2)具体包括以下步骤：
83.(2.1)安全模块区采用公钥密码算法生成公私钥对；
84.(2.2)生成用户签名数字证书签发请求，包含用户签名私钥的签名。
85.作为本发明的优选实施方式，所述的步骤(3)具体包括以下步骤：
86.(3.1)安全模块区将设备签名数字证书签发请求和用户签名数字证书签发请求打包；
87.(3.2)安全模块区基于移动终端安全模块认证密钥与云端服务区完成双向认证建立安全通道；
88.(3.3)将打包后的设备签名数字证书签发请求和用户签名数字证书签发请求发送给云端服务区的数字证书认证系统；
89.(3.4)数字证书认证系统根据收到的请求，进行设备签名数字证书和用户签名数字证书的签发。
90.作为本发明的优选实施方式，所述的方法还包括对移动终端用户签名密钥进行存储保护的步骤，具体包括以下处理过程：
91.(4.1)安全模块区向安全存储区发出加密指令；
92.(4.2)使用安全存储区中的设备签名公私钥对的私钥对移动终端用户签名公私钥对的私钥进行加密；
93.(4.3)加密安全模块区中存储的移动终端用户签名公私钥对的私钥。
94.本发明的该用于实现移动终端签名密钥生成与保护处理的装置，其中所述的装置包括：
95.处理器，被配置成执行计算机可执行指令；
96.存储器，存储一个或多个计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现上述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。
97.本发明的该用于实现移动终端签名密钥生成与保护处理的处理器，其中所述的处理器被配置成执行计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现上述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。
98.本发明的该计算机可读存储介质，其上存储有计算机程序，所述的计算机程序可被处理器执行以实现上述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。
99.本发明目的是针对当前移动终端用户身份认证和操作行为确认问题，提出高效安全的移动终端签名密钥生成与保护方法。现有移动终端签名密钥的硬件外设生成、内嵌硬
件生成和软件生成三种方式，分别存在着成本较高、携带不便、操作复杂、与app关联性差、安全强度低、难以防复制等问题。
100.本发明提出建立由安全存储区、安全模块区、云端服务区构成的移动终端签名密钥架构，充分利用现有移动终端软硬件资源生成和存储密钥，有效保障了移动终端签名密钥整个生命周期的安全可控；移动终端签名密钥生成方法，用以实现移动终端签名密钥的安全生成以及移动终端签名数字证书签发；移动终端签名密钥保护方法，用以实现移动终端用户签名密钥的高效安全存储保护和操作控制；从而有效提升移动终端签名密钥的安全强度和易用程度，并且降低应用成本。
101.本发明的具体实施方式中，包括移动终端签名密钥架构、移动终端签名密钥生成方法、移动终端签名密钥保护方法。
102.所述的移动终端签名密钥架构，主要包括移动终端设备签名密钥、移动终端用户签名密钥、移动终端安全模块认证密钥，由安全存储区、安全模块区、云端服务区组成，如图1所示。
103.所述的移动终端设备签名密钥，指代表移动终端设备的签名密钥，主要包括一对公钥密码算法公私钥对，如椭圆曲线密码算法；
104.所述的移动终端用户签名密钥，指代表移动终端app用户的签名密钥，主要包括一对公钥密码算法公私钥对，如椭圆曲线密码算法；
105.所述的移动终端安全模块认证密钥，指用于移动终端中app内部集成的软件安全模块与云端服务区安全认证的密钥，软件安全模块内部生成或采用协同签名方法与云端协作方协同生成公私钥对；
106.所述的安全存储区，指移动终端中基于硬件保护的安全存储环境，如安全单元se、可信执行环境tee，生成和存储移动终端设备签名密钥；
107.所述的安全模块区，指移动终端中app内部集成的软件安全模块区域，生成和存储移动终端用户签名密钥，安全模块区与安全存储区之间为n：1(n≧1)关系，即对于同一安全存储区，安全模块区可以有多个；
108.所述的云端服务区，指位于云端的app后台服务及数字证书认证系统；所述的数字证书认证系统，指为域内所有移动终端的签名密钥提供数字证书服务的系统。
109.所述的移动终端签名密钥生成方法如图2的1.1-3.3所示：
110.包括移动终端设备签名密钥生成、移动终端用户签名密钥生成、移动终端签名数字证书签发；
111.移动终端设备签名密钥生成，指安全模块区向安全存储区发出设备签名密钥生成指令，安全存储区采用公钥密码算法生成设备签名公私钥对(其中私钥只在受硬件保护的安全存储区中存储和运算)，将公钥返回安全模块区，安全模块区据此生成设备签名数字证书签发请求，其中包含设备签名私钥的签名；
112.移动终端用户签名密钥生成，指安全模块区内部采用公钥密码算法生成公私钥对，并生成用户签名数字证书签发请求，其中包含用户签名私钥的签名；
113.移动终端签名数字证书签发，指在安全模块区将设备签名数字证书签发请求和用户签名数字证书签发请求打包，基于移动终端安全模块认证密钥与云端服务区完成双向认证建立安全通道，发送给云端服务区的数字证书认证系统，数字证书认证系统根据收到的
请求，完成设备签名数字证书和用户签名数字证书的签发。
114.所述的移动终端签名密钥保护方法，指移动终端用户签名密钥的保护方法，包括移动终端用户签名密钥存储保护、移动终端用户签名密钥操作控制；
115.所述的移动终端用户签名密钥存储保护，如图2的4.1-4.3所示，指由安全模块区向安全存储区发出加密指令，使用安全存储区中的设备签名公私钥对的私钥对移动终端用户签名公私钥对的私钥进行加密，使得安全模块区中存储的移动终端用户签名公私钥对的私钥处于加密保护状态；
116.所述的移动终端用户签名密钥操作控制，指app使用安全模块区的用户签名密钥进行签名或加密操作时，需输入口令或令牌，与云端服务区中预先设置的口令或令牌比对一致后，方可进行操作。
117.本技术方案旨在解决移动终端签名密钥生成与保护上存在的问题。本案涉及的密钥和证书有一对设备签名密钥及对应证书、一对用户签名密钥及对应证书、安全模块认证密钥。本案移动终端设备签名密钥及由安全存储区生成，移动终端用户签名密钥和移动终端安全模块认证密钥由安全模块区生成或协商生成。本案密钥分别存储在移动终端设备的安全存储区和安全模块区，云端不存储。本案密钥保护采用基于硬件保护的安全存储环境和移动终端设备签名密钥加密存储等方式，且不存在私钥的传输。本案密钥生成后长期使用。本案云端采用的是公钥密码算法的验签算法进行验签的。
118.本实施例的具体实现方案可以参见上述实施例中的相关说明，此处不再赘述。
119.可以理解的是，上述各实施例中相同或相似部分可以相互参考，在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
120.需要说明的是，在本发明的描述中，术语“第一”、“第二”等仅用于描述目的，而不能理解为指示或暗示相对重要性。此外，在本发明的描述中，除非另有说明，“多个”的含义是指至少两个。
121.流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。
122.应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行装置执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(pga)，现场可编程门阵列(fpga)等。
123.本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，相应的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。
124.此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模
块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。
125.上述提到的存储介质可以是只读存储器，磁盘或光盘等。
126.在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
127.采用了本发明的实现移动终端签名密钥生成与保护功能的系统、方法、装置、处理器及其计算机可读存储介质，实现移动终端签名密钥的安全生成、存储和保护，能够解决现有移动终端签名密钥生成方式存在的成本较高、携带不便、操作复杂、与app关联性差、安全强度低、难以防复制等问题。本发明提出了移动终端签名密钥生成与保护的创新方法，有效提升了移动终端签名密钥的安全强度和易用程度，并且便于与app集成、无需额外硬件，可有效降低应用成本，便于大规模推广应用。
128.在此说明书中，本发明已参照其特定的实施例作了描述。但是，很显然仍可以作出各种修改和变换而不背离本发明的精神和范围。因此，说明书和附图应被认为是说明性的而非限制性的。

技术特征：
1.一种实现移动终端签名密钥生成与保护功能的系统，其特征在于，所述的系统包括安全存储区、安全模块区和云端服务区；所述的安全存储区，用于生成和存储移动终端设备签名密钥，所述的移动终端设备签名密钥包括一对公钥密码算法公私钥对；所述的安全模块区，与所述的安全存储区相连接，一个安全存储区与多个安全模块区对应，所述的安全模块区用于生成和存储移动终端用户签名密钥，并生成或协同生成移动终端安全模块认证密钥，所述的移动终端用户签名密钥包括一对公钥密码算法公私钥对；所述的云端服务区，与所述的安全模块区和安全存储区相连接，包括app后台服务模块和数字证书认证模块，所述的app后台服务模块用于提供云端app后台服务，所述的数字证书认证模块为移动终端签名密钥提供数字证书服务，所述的安全模块区与云端服务区建立双向认证建立安全通道，签发移动终端签名数字证书。2.根据权利要求1所述的实现移动终端签名密钥生成与保护功能的系统，其特征在于，所述的系统生成移动终端设备签名密钥，具体包括以下步骤：(1.1)安全模块区向安全存储区发出设备签名密钥生成指令；(1.2)安全存储区采用公钥密码算法生成移动终端设备签名公私钥对，将公钥返回安全模块区；(1.3)安全模块区根据生成的移动终端设备签名数字证书签发请求，包含设备签名私钥的签名。3.根据权利要求1所述的实现移动终端签名密钥生成与保护功能的系统，其特征在于，所述的系统生成移动终端用户签名密钥，具体包括以下步骤：(2.1)安全模块区采用公钥密码算法生成公私钥对；(2.2)生成用户签名数字证书签发请求，包含用户签名私钥的签名。4.根据权利要求1所述的实现移动终端签名密钥生成与保护功能的系统，其特征在于，所述的系统签发移动终端签名数字证书，具体包括以下步骤：(3.1)安全模块区将设备签名数字证书签发请求和用户签名数字证书签发请求打包；(3.2)安全模块区基于移动终端安全模块认证密钥与云端服务区完成双向认证建立安全通道；(3.3)将打包后的设备签名数字证书签发请求和用户签名数字证书签发请求发送给云端服务区的数字证书认证系统；(3.4)数字证书认证系统根据收到的请求，进行设备签名数字证书和用户签名数字证书的签发。5.根据权利要求1所述的实现移动终端签名密钥生成与保护功能的系统，其特征在于，所述的系统对移动终端用户签名密钥进行存储保护，具体包括以下处理过程：(4.1)安全模块区向安全存储区发出加密指令；(4.2)使用安全存储区中的设备签名公私钥对的私钥对移动终端用户签名公私钥对的私钥进行加密；(4.3)加密安全模块区中存储的移动终端用户签名公私钥对的私钥。6.一种基于权利要求1所述的系统实现移动终端签名密钥生成与保护处理的方法，其特征在于，所述的方法包括生成移动终端签名密钥的步骤，具体包括以下处理过程：
(1)生成移动终端设备签名密钥；(2)生成移动终端用户签名密钥；(3)签发移动终端签名数字证书。7.根据权利要求6所述的实现移动终端签名密钥生成与保护处理的方法，其特征在于，所述的步骤(1)具体包括以下步骤：(1.1)安全模块区向安全存储区发出设备签名密钥生成指令；(1.2)安全存储区采用公钥密码算法生成移动终端设备签名公私钥对，将公钥返回安全模块区；(1.3)安全模块区根据生成的移动终端设备签名数字证书签发请求，包含设备签名私钥的签名。8.根据权利要求6所述的实现移动终端签名密钥生成与保护处理的方法，其特征在于，所述的步骤(2)具体包括以下步骤：(2.1)安全模块区采用公钥密码算法生成公私钥对；(2.2)生成用户签名数字证书签发请求，包含用户签名私钥的签名。9.根据权利要求6所述的实现移动终端签名密钥生成与保护处理的方法，其特征在于，所述的步骤(3)具体包括以下步骤：(3.1)安全模块区将设备签名数字证书签发请求和用户签名数字证书签发请求打包；(3.2)安全模块区基于移动终端安全模块认证密钥与云端服务区完成双向认证建立安全通道；(3.3)将打包后的设备签名数字证书签发请求和用户签名数字证书签发请求发送给云端服务区的数字证书认证系统；(3.4)数字证书认证系统根据收到的请求，进行设备签名数字证书和用户签名数字证书的签发。10.根据权利要求6所述的实现移动终端签名密钥生成与保护处理的方法，其特征在于，所述的方法还包括对移动终端用户签名密钥进行存储保护的步骤，具体包括以下处理过程：(4.1)安全模块区向安全存储区发出加密指令；(4.2)使用安全存储区中的设备签名公私钥对的私钥对移动终端用户签名公私钥对的私钥进行加密；(4.3)加密安全模块区中存储的移动终端用户签名公私钥对的私钥。11.一种用于实现移动终端签名密钥生成与保护处理的装置，其特征在于，所述的装置包括：处理器，被配置成执行计算机可执行指令；存储器，存储一个或多个计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现权利要求6至10中任一项所述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。12.一种用于实现移动终端签名密钥生成与保护处理的处理器，其特征在于，所述的处理器被配置成执行计算机可执行指令，所述的计算机可执行指令被所述的处理器执行时，实现权利要求6至10中任一项所述的实现移动终端签名密钥生成与保护处理的方法的各个
步骤。13.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述的计算机程序可被处理器执行以实现权利要求6至10中任一项所述的实现移动终端签名密钥生成与保护处理的方法的各个步骤。

技术总结
本发明涉及一种实现移动终端签名密钥生成与保护功能的系统，包括安全存储区，用于生成和存储移动终端设备签名密钥；安全模块区用于生成和存储移动终端用户签名密钥，并生成或协同生成移动终端安全模块认证密钥；云端服务区，与安全模块区建立双向认证建立安全通道，签发移动终端签名数字证书。本发明还涉及一种实现移动终端签名密钥生成与保护处理的方法、装置、处理器及其存储介质。采用了本发明的实现移动终端签名密钥生成与保护功能的系统、方法、装置、处理器及其计算机可读存储介质，实现移动终端签名密钥的安全生成、存储和保护，能够解决现有移动终端签名密钥生成方式存在的成本较高、携带不便、操作复杂、安全强度低、难以防复制等问题。以防复制等问题。以防复制等问题。


技术研发人员：邹翔 梁皓 陈兵 戴聪 张成威 倪力舜
受保护的技术使用者：公安部第三研究所
技术研发日：2023.05.17
技术公布日：2023/8/1