本發(fā)明涉及一種基于可信時(shí)間戳的數(shù)字證書簽發(fā)方法，該方法包括：事件應(yīng)用服務(wù)器獲取事件信息，并通過調(diào)用時(shí)間戳服務(wù)器獲取事件發(fā)生精確時(shí)間；調(diào)用證書簽發(fā)機(jī)構(gòu)的證書簽發(fā)接口，將事件發(fā)生精確時(shí)間和事件信息摘要作為參數(shù)的一部分，傳給證書簽發(fā)機(jī)構(gòu)；證書簽發(fā)機(jī)構(gòu)調(diào)用時(shí)間戳服務(wù)器獲取證書產(chǎn)生精準(zhǔn)時(shí)間，根據(jù)收到的參數(shù)信息簽發(fā)事件使用的數(shù)字證書并返回給事件應(yīng)用服務(wù)器；事件應(yīng)用服務(wù)器對(duì)比證書產(chǎn)生精準(zhǔn)時(shí)間和事件發(fā)生精確時(shí)間，對(duì)比證書中事件信息摘要和本地運(yùn)算的事件信息摘要，來驗(yàn)證該事件數(shù)字證書。本發(fā)明將時(shí)間信息寫入到證書的擴(kuò)展當(dāng)中，使得證書的產(chǎn)生時(shí)間和事件發(fā)生的時(shí)間不可更改，可以更有效的驗(yàn)證證書的有效性。

技術(shù)領(lǐng)域

本發(fā)明涉及時(shí)間戳領(lǐng)域，特別涉及一種基于可信時(shí)間戳的數(shù)字證書簽發(fā)方法及系統(tǒng)。

背景技術(shù)

可信時(shí)間戳是由國(guó)家授時(shí)中心授權(quán)，并由權(quán)威可信時(shí)間戳機(jī)構(gòu)(Time StampAuthority，TSA)簽發(fā)的一個(gè)具有法律效力的能證明數(shù)據(jù)電文(電子文件)在一個(gè)時(shí)間點(diǎn)是已經(jīng)存在的、完整的、可驗(yàn)證的，具備法律效力的電子憑證。任何機(jī)構(gòu)包括時(shí)間戳機(jī)構(gòu)自己均不能對(duì)時(shí)間進(jìn)行修改以保障時(shí)間的權(quán)威。可信時(shí)間戳主要用于電子文件防篡改和事后抵賴，確定電子文件產(chǎn)生的準(zhǔn)確時(shí)間。可信時(shí)間戳現(xiàn)今廣泛應(yīng)用電子商務(wù)、電子公文、知識(shí)產(chǎn)權(quán)、醫(yī)療衛(wèi)生等領(lǐng)域，用于保障電子數(shù)據(jù)文件的法律效力問題。在糧食行業(yè)使用可信時(shí)間戳，同樣使得糧食在不同階段的核心數(shù)據(jù)不被篡改，還具有法律效力。

當(dāng)前基于PKI(Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施)技術(shù)的數(shù)字證書在電子商務(wù)、電子政務(wù)、網(wǎng)上銀行等應(yīng)用中使用越來越廣泛，用戶急劇增長(zhǎng)。PKI是通過使用公開密鑰技術(shù)和數(shù)字證書來確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書持有者身份的一種體系。一個(gè)完整地PKI系統(tǒng)是由證書簽發(fā)機(jī)構(gòu)(CA)、密鑰管理中心(KMC)、注冊(cè)機(jī)構(gòu)(RA)、目錄服務(wù)、以及安全認(rèn)證應(yīng)用軟件、證書應(yīng)用服務(wù)等部分組成。其中，CA是整個(gè)PKI系統(tǒng)的核心，所有數(shù)字證書均由CA中心簽發(fā)，CA根據(jù)證書模板的差異可以簽發(fā)含有不同擴(kuò)展項(xiàng)的證書，其中自定義擴(kuò)展可以存儲(chǔ)用戶指定寫入的應(yīng)用相關(guān)的信息。

近年來，針對(duì)關(guān)鍵一次性事件的證書簽名應(yīng)用發(fā)展迅猛，在保險(xiǎn)、P2P、醫(yī)療等領(lǐng)域使用較多。由于用戶的流動(dòng)性以及事件發(fā)生的不持續(xù)性，傳統(tǒng)的個(gè)人或者企業(yè)長(zhǎng)期持有數(shù)字證書進(jìn)行業(yè)務(wù)操作的方式在一次性事件中無法全面展開，可能一個(gè)用戶執(zhí)行完關(guān)鍵操作以后就再無類似操作，所以發(fā)放USBKEY為載體的數(shù)字證書非常不切實(shí)際，不利于業(yè)務(wù)發(fā)展。由此，將事件本身作為關(guān)注點(diǎn)，用數(shù)字證書對(duì)事件本身的關(guān)鍵信息進(jìn)行簽名，成為既安全又便捷的方式之一。事件簽名的證書中可以包含事件的精確時(shí)間、生物特征、密碼等多種信息，加上簽署中對(duì)關(guān)鍵信息的簽名操作，使得證書應(yīng)用具有和傳統(tǒng)方式同等的法律效力。雖然事件場(chǎng)景的證書應(yīng)用非常廣泛，但是在申請(qǐng)事件使用的數(shù)字證書目前都存在一定的安全漏洞，傳遞的參數(shù)極可能被篡改，導(dǎo)致證書簽名失去可信價(jià)值。

在目前的諸多廠商的類似應(yīng)用中，都是在匯集事件所有信息之后，發(fā)送個(gè)性信息和事件發(fā)生時(shí)間等參數(shù)到CA，CA簽發(fā)含有上述信息有效期極短的事件數(shù)字證書，最后事件應(yīng)用方用數(shù)字證書對(duì)事件信息摘要做數(shù)字簽名并存檔。這個(gè)過程中，調(diào)用CA端簽發(fā)證書的過程有被截取的風(fēng)險(xiǎn)，這會(huì)導(dǎo)致惡意程序篡改發(fā)往CA的事件發(fā)生時(shí)間的參數(shù)，導(dǎo)致數(shù)字證書的擴(kuò)展包含的事件發(fā)生時(shí)間內(nèi)容與真實(shí)情況不符，最終使用證書簽名存檔后的數(shù)據(jù)和真實(shí)事件發(fā)生偏差，事件簽名失去意義。

發(fā)明內(nèi)容

鑒于上述問題，提出了本發(fā)明，以便提供一種克服上述問題或至少部分地解決上述問題的基于可信時(shí)間戳的數(shù)字證書簽發(fā)方法及系統(tǒng)。

根據(jù)本發(fā)明的一個(gè)方面，提供一種基于可信時(shí)間戳的數(shù)字證書簽發(fā)方法，該方法包括：

事件應(yīng)用服務(wù)器獲取事件信息，并通過調(diào)用時(shí)間戳服務(wù)器獲取事件發(fā)生精確時(shí)間；

事件應(yīng)用服務(wù)器調(diào)用證書簽發(fā)機(jī)構(gòu)的證書簽發(fā)接口，將事件發(fā)生精確時(shí)間和事件信息摘要作為參數(shù)的一部分，傳給證書簽發(fā)機(jī)構(gòu)；