基于非对称密钥分散的移动证书参考实现、TEE SE的移动证书参考实现.pdfVIP

JR/T0340—2025

附录A

（资料性）

基于非对称密钥分散的移动证书参考实现

为解决非对称密钥的私钥在单一节点存储所带来的安全隐患，将私钥分量分布在不同的设备中，以

避免全部私钥信息的直接存储和使用。签名时，各设备的私钥分量进行协同签名运算。例如在移动互联

网环境下，云端与终端分别存储部分私钥分量，使用时进行协同计算，完整私钥不在任何一方完整出现。

基于非对称密钥分散的移动证书参考实现满足以下条件。

a）在涉及密钥运算的操作中（例如公钥初始化、签名计算等），私钥不在任何参与方以完整的形

式出现。

b）由协同签名的交互数据不能逆向推测私钥，包括但不限于过程随机数。

基于非对称密钥分散的移动证书应用技术框架如下图所示。

图基于非对称密钥分散的移动证书应用技术框架

基于非对称密钥分散的移动证书应用的主要流程如下。

a）证书下载：