一种基于可信时间戳的数字证书签发方法及系统技术方案

本发明专利技术涉及一种基于可信时间戳的数字证书签发方法，该方法包括：事件应用服务器获取事件信息，并通过调用时间戳服务器获取事件发生精确时间；调用证书签发机构的证书签发接口，将事件发生精确时间和事件信息摘要作为参数的一部分，传给证书签发机构；证书签发机构调用时间戳服务器获取证书产生精准时间，根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器；事件应用服务器对比证书产生精准时间和事件发生精确时间，对比证书中事件信息摘要和本地运算的事件信息摘要，来验证该事件数字证书。本发明专利技术将时间信息写入到证书的扩展当中，使得证书的产生时间和事件发生的时间不可更改，可以更有效的验证证书的有效性。

A digital certificate issuing method and system based on trusted timestamp

The invention relates to a method of issuing a digital certificate based on a trusted timestamp. The method includes: the event application server gets the event information and acquires the exact time by calling the timestamp server; the certificate issuing interface of the certificate issuing agency is called, and the exact time and event information are abstracted. A part of the parameter is passed to the certificate issuing agency; the certificate issuing agency calls the timestamp server to obtain the precise time, issue the digital certificate used by the event and return it to the event application server based on the received parameter information; the event application server contrasts the certificate to produce precise time and accurate events. A verification of the event digital certificate is made by comparing the event information summary in the certificate and the summary of the event information in the local operation. The invention writes the time information into the extension of the certificate, making the time of the generation of the certificate and the time of the occurrence of the event not to be changed, and can more effectively verify the validity of the certificate.

【技术实现步骤摘要】
一种基于可信时间戳的数字证书签发方法及系统
本专利技术涉及时间戳领域，特别涉及一种基于可信时间戳的数字证书签发方法及系统。
技术介绍
可信时间戳是由国家授时中心授权，并由权威可信时间戳机构(TimeStampAuthority，TSA)签发的一个具有法律效力的能证明数据电文(电子文件)在一个时间点是已经存在的、完整的、可验证的，具备法律效力的电子凭证。任何机构包括时间戳机构自己均不能对时间进行修改以保障时间的权威。可信时间戳主要用于电子文件防篡改和事后抵赖，确定电子文件产生的准确时间。可信时间戳现今广泛应用电子商务、电子公文、知识产权、医疗卫生等领域，用于保障电子数据文件的法律效力问题。在粮食行业使用可信时间戳，同样使得粮食在不同阶段的核心数据不被篡改，还具有法律效力。当前基于PKI(PublicKeyInfrastructure，公钥基础设施)技术的数字证书在电子商务、电子政务、网上银行等应用中使用越来越广泛，用户急剧增长。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。一个完整地PKI系统是由证书签发机构(CA)、密钥管理中心(KMC)、注册机构(RA)、目录服务、以及安全认证应用软件、证书应用服务等部分组成。其中，CA是整个PKI系统的核心，所有数字证书均由CA中心签发，CA根据证书模板的差异可以签发含有不同扩展项的证书，其中自定义扩展可以存储用户指定写入的应用相关的信息。近年来，针对关键一次性事件的证书签名应用发展迅猛，在保险、P2P、医疗等领域使用较多。由于用户的流动性以及事件发生的不持续性，传统的个人或者企业长期持有数字证书进行业务操作的方式在一次性事件中无法全面展开，可能一个用户执行完关键操作以后就再无类似操作，所以发放USBKEY为载体的数字证书非常不切实际，不利于业务发展。由此，将事件本身作为关注点，用数字证书对事件本身的关键信息进行签名，成为既安全又便捷的方式之一。事件签名的证书中可以包含事件的精确时间、生物特征、密码等多种信息，加上签署中对关键信息的签名操作，使得证书应用具有和传统方式同等的法律效力。虽然事件场景的证书应用非常广泛，但是在申请事件使用的数字证书目前都存在一定的安全漏洞，传递的参数极可能被篡改，导致证书签名失去可信价值。在目前的诸多厂商的类似应用中，都是在汇集事件所有信息之后，发送个性信息和事件发生时间等参数到CA，CA签发含有上述信息有效期极短的事件数字证书，最后事件应用方用数字证书对事件信息摘要做数字签名并存档。这个过程中，调用CA端签发证书的过程有被截取的风险，这会导致恶意程序篡改发往CA的事件发生时间的参数，导致数字证书的扩展包含的事件发生时间内容与真实情况不符，最终使用证书签名存档后的数据和真实事件发生偏差，事件签名失去意义。
技术实现思路
鉴于上述问题，提出了本专利技术，以便提供一种克服上述问题或至少部分地解决上述问题的基于可信时间戳的数字证书签发方法及系统。根据本专利技术的一个方面，提供一种基于可信时间戳的数字证书签发方法，该方法包括：事件应用服务器获取事件信息，并通过调用时间戳服务器获取事件发生精确时间；事件应用服务器调用证书签发机构的证书签发接口，将事件发生精确时间和事件信息摘要作为参数的一部分，传给证书签发机构；证书签发机构获取事件应用服务器发来的参数信息，并调用时间戳服务器获取证书产生精准时间，根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器；事件应用服务器获得本事件专用的数字证书并解析，获得证书产生精准时间、事件发生精确时间以及事件信息摘要；事件应用服务器比对证书产生精准时间和事件发生精确时间的时间间隔，若时间间隔未超过设定值，则制作本地事件信息摘要；事件应用服务器将本地事件信息摘要与获取的数字证书中的事件信息摘要进行比较，完全一致则验证通过。进一步的，所述参数信息为加密后的参数信息。进一步的，证书产生精准时间写进证书的自定义扩展中，事件发生精确时间和事件信息摘要写入证书的另一自定义扩展中。进一步的，所述事件发生精确时间和证书产生精准时间之间的时间间隔小于一分钟。进一步的，所述方法还包括：事件应用服务器获得通过验证的数字证书后，使用证书私钥对事件重要信息进行签名并归档，公钥证书留存等待验证，结束整个调用过程。根据本专利技术的另一方面，还提供一种基于可信时间戳的数字证书签发系统，该系统包括事件应用服务器、证书签发机构，其特征在于，还包括时间戳服务器，其中：所述事件应用服务器调用所述时间戳服务器获取事件发生精确时间，并将此事件发生精确时间和事件信息摘要作为参数发送给所述证书签发机构，获取事件数字证书；获取该事件数字证书后，对比证书产生精准时间和事件发生精确时间，对比证书中事件信息摘要和本地运算的事件信息摘要，达到验证该事件数字证书的目的；所述证书签发机构接收到事件应用服务器发来的事件发生精确时间和事件信息摘要，签发的事件数字证书的指定扩展中含有上述信息；同时，调用所述时间戳服务器获取证书产生精准时间，签发的事件数字证书的另一指定扩展中含有此精准时间。进一步的，所述事件应用服务器将所述参数加密后发给所述证书签发机构。本专利技术提出了一种加入时间戳服务器的证书签发方法，同时将时间信息写入到证书的扩展当中，使得证书的产生时间和事件发生的时间不可更改，可以更有效的验证证书的有效性。附图说明为了更清楚地说明本专利技术实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术一种实施例的基于可信时间戳的数字证书签发方法的流程示意图。图2为本专利技术另一种实施例的基于可信时间戳的数字证书签发系统的结构示意图。具体实施方式为便于对本专利技术实施例的理解，下面将结合附图以几个具体实施例为例作进一步的解释说明，且各个实施例并不构成对本专利技术实施例的限定。本专利技术针对事件证书签名的场景，为了避免事件签名使用的数字证书中包含的事件时间信息被人修改，从而引入时间戳服务器系统。具体的，根据本专利技术的一个方面，如图1所示，提供一种基于可信时间戳的数字证书签发方法，该方法包括：步骤S110，事件应用服务器获取事件信息，并通过调用时间戳服务器获取事件发生精确时间。具体的，事件应用服务器监控下发生可执行事件，事件应用服务器获取事件主体、事件主体生物特征等事件信息，并通过调用时间戳服务器获取事件发生精确时间T2。步骤S120，事件应用服务器调用证书签发机构(CA)的证书签发接口，将事件发生精确时间T2和事件信息摘要H作为参数的一部分，传给证书签发机构(CA)。进一步的，事件传输的参数可以是加密后的参数。至于是否需要加密，可由事件应用服务器方决定。步骤S130，证书签发机构(CA)获取事件应用服务器发来的参数信息，并调用时间戳服务器获取证书产生精准时间T1，根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器。进一步的，证书产生精准时间T1写进证书的自定义扩展Ext1中，事件发生精确时间T2和事件信息摘要H写入证书自定义扩展Ext2中。步骤S140，事件应用服务器获得本事件专用本文档来自技高网...

【技术保护点】
1.一种基于可信时间戳的数字证书签发方法，该方法包括：事件应用服务器获取事件信息，并通过调用时间戳服务器获取事件发生精确时间；事件应用服务器调用证书签发机构的证书签发接口，将事件发生精确时间(T2)和事件信息摘要(H)作为参数的一部分，传给证书签发机构；证书签发机构(CA)获取事件应用服务器发来的参数信息，并调用时间戳服务器获取证书产生精准时间(T1)，根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器；事件应用服务器获得本事件专用的数字证书并解析，获得证书产生精准时间(T1)、事件发生精确时间(T2)以及事件信息摘要(H)；事件应用服务器比对证书产生精准时间(T1)和事件发生精确时间(T2)的时间间隔，若时间间隔未超过设定值，则制作本地事件信息摘要(H1)；事件应用服务器将本地事件信息摘要(H1)与获取的数字证书中的事件信息摘要(H)进行比较，完全一致则验证通过。

【技术特征摘要】
1.一种基于可信时间戳的数字证书签发方法，该方法包括：事件应用服务器获取事件信息，并通过调用时间戳服务器获取事件发生精确时间；事件应用服务器调用证书签发机构的证书签发接口，将事件发生精确时间(T2)和事件信息摘要(H)作为参数的一部分，传给证书签发机构；证书签发机构(CA)获取事件应用服务器发来的参数信息，并调用时间戳服务器获取证书产生精准时间(T1)，根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器；事件应用服务器获得本事件专用的数字证书并解析，获得证书产生精准时间(T1)、事件发生精确时间(T2)以及事件信息摘要(H)；事件应用服务器比对证书产生精准时间(T1)和事件发生精确时间(T2)的时间间隔，若时间间隔未超过设定值，则制作本地事件信息摘要(H1)；事件应用服务器将本地事件信息摘要(H1)与获取的数字证书中的事件信息摘要(H)进行比较，完全一致则验证通过。2.根据权利要求1所述的一种基于可信时间戳的数字证书签发方法，其特征在于：所述参数信息为加密后的参数信息。3.根据权利要求1所述的一种基于可信时间戳的数字证书签发方法，其特征在于：证书产生精准时间(T1)写进证书的自定义扩展(Ext1)中，事件发生精确时间(T2)和事件信息摘要(H)写入证书的另一自定义扩展(Ext2)中。4.根据权利要求1所述的一种基于可信时间戳的数字证书...

【专利技术属性】
技术研发人员：耿方，王申，杜悦琨，梁宵，孟媛媛，张梦，
申请(专利权)人：航天信息股份有限公司，
类型：发明
国别省市：北京,11