CN108259178A - 一种基于可信时间戳的数字证书签发方法及系统 - Google Patents
一种基于可信时间戳的数字证书签发方法及系统 Download PDFInfo
- Publication number
- CN108259178A CN108259178A CN201611245021.5A CN201611245021A CN108259178A CN 108259178 A CN108259178 A CN 108259178A CN 201611245021 A CN201611245021 A CN 201611245021A CN 108259178 A CN108259178 A CN 108259178A
- Authority
- CN
- China
- Prior art keywords
- event
- certificate
- time
- digital certificate
- application server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明涉及一种基于可信时间戳的数字证书签发方法,该方法包括:事件应用服务器获取事件信息,并通过调用时间戳服务器获取事件发生精确时间;调用证书签发机构的证书签发接口,将事件发生精确时间和事件信息摘要作为参数的一部分,传给证书签发机构;证书签发机构调用时间戳服务器获取证书产生精准时间,根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器;事件应用服务器对比证书产生精准时间和事件发生精确时间,对比证书中事件信息摘要和本地运算的事件信息摘要,来验证该事件数字证书。本发明将时间信息写入到证书的扩展当中,使得证书的产生时间和事件发生的时间不可更改,可以更有效的验证证书的有效性。
Description
技术领域
本发明涉及时间戳领域,特别涉及一种基于可信时间戳的数字证书签发方法及系统。
背景技术
可信时间戳是由国家授时中心授权,并由权威可信时间戳机构(Time StampAuthority,TSA)签发的一个具有法律效力的能证明数据电文(电子文件)在一个时间点是已经存在的、完整的、可验证的,具备法律效力的电子凭证。任何机构包括时间戳机构自己均不能对时间进行修改以保障时间的权威。可信时间戳主要用于电子文件防篡改和事后抵赖,确定电子文件产生的准确时间。可信时间戳现今广泛应用电子商务、电子公文、知识产权、医疗卫生等领域,用于保障电子数据文件的法律效力问题。在粮食行业使用可信时间戳,同样使得粮食在不同阶段的核心数据不被篡改,还具有法律效力。
当前基于PKI(Public Key Infrastructure,公钥基础设施)技术的数字证书在电子商务、电子政务、网上银行等应用中使用越来越广泛,用户急剧增长。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。一个完整地PKI系统是由证书签发机构(CA)、密钥管理中心(KMC)、注册机构(RA)、目录服务、以及安全认证应用软件、证书应用服务等部分组成。其中,CA是整个PKI系统的核心,所有数字证书均由CA中心签发,CA根据证书模板的差异可以签发含有不同扩展项的证书,其中自定义扩展可以存储用户指定写入的应用相关的信息。
近年来,针对关键一次性事件的证书签名应用发展迅猛,在保险、P2P、医疗等领域使用较多。由于用户的流动性以及事件发生的不持续性,传统的个人或者企业长期持有数字证书进行业务操作的方式在一次性事件中无法全面展开,可能一个用户执行完关键操作以后就再无类似操作,所以发放USBKEY为载体的数字证书非常不切实际,不利于业务发展。由此,将事件本身作为关注点,用数字证书对事件本身的关键信息进行签名,成为既安全又便捷的方式之一。事件签名的证书中可以包含事件的精确时间、生物特征、密码等多种信息,加上签署中对关键信息的签名操作,使得证书应用具有和传统方式同等的法律效力。虽然事件场景的证书应用非常广泛,但是在申请事件使用的数字证书目前都存在一定的安全漏洞,传递的参数极可能被篡改,导致证书签名失去可信价值。
在目前的诸多厂商的类似应用中,都是在汇集事件所有信息之后,发送个性信息和事件发生时间等参数到CA,CA签发含有上述信息有效期极短的事件数字证书,最后事件应用方用数字证书对事件信息摘要做数字签名并存档。这个过程中,调用CA端签发证书的过程有被截取的风险,这会导致恶意程序篡改发往CA的事件发生时间的参数,导致数字证书的扩展包含的事件发生时间内容与真实情况不符,最终使用证书签名存档后的数据和真实事件发生偏差,事件签名失去意义。
发明内容
鉴于上述问题,提出了本发明,以便提供一种克服上述问题或至少部分地解决上述问题的基于可信时间戳的数字证书签发方法及系统。
根据本发明的一个方面,提供一种基于可信时间戳的数字证书签发方法,该方法包括:
事件应用服务器获取事件信息,并通过调用时间戳服务器获取事件发生精确时间;
事件应用服务器调用证书签发机构的证书签发接口,将事件发生精确时间和事件信息摘要作为参数的一部分,传给证书签发机构;
证书签发机构获取事件应用服务器发来的参数信息,并调用时间戳服务器获取证书产生精准时间,根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器;
事件应用服务器获得本事件专用的数字证书并解析,获得证书产生精准时间、事件发生精确时间以及事件信息摘要;
事件应用服务器比对证书产生精准时间和事件发生精确时间的时间间隔,若时间间隔未超过设定值,则制作本地事件信息摘要;
事件应用服务器将本地事件信息摘要与获取的数字证书中的事件信息摘要进行比较,完全一致则验证通过。
进一步的,所述参数信息为加密后的参数信息。
进一步的,证书产生精准时间写进证书的自定义扩展中,事件发生精确时间和事件信息摘要写入证书的另一自定义扩展中。
进一步的,所述事件发生精确时间和证书产生精准时间之间的时间间隔小于一分钟。
进一步的,所述方法还包括:事件应用服务器获得通过验证的数字证书后,使用证书私钥对事件重要信息进行签名并归档,公钥证书留存等待验证,结束整个调用过程。
根据本发明的另一方面,还提供一种基于可信时间戳的数字证书签发系统,该系统包括事件应用服务器、证书签发机构,其特征在于,还包括时间戳服务器,其中:
所述事件应用服务器调用所述时间戳服务器获取事件发生精确时间,并将此事件发生精确时间和事件信息摘要作为参数发送给所述证书签发机构,获取事件数字证书;获取该事件数字证书后,对比证书产生精准时间和事件发生精确时间,对比证书中事件信息摘要和本地运算的事件信息摘要,达到验证该事件数字证书的目的;
所述证书签发机构接收到事件应用服务器发来的事件发生精确时间和事件信息摘要,签发的事件数字证书的指定扩展中含有上述信息;同时,调用所述时间戳服务器获取证书产生精准时间,签发的事件数字证书的另一指定扩展中含有此精准时间。
进一步的,所述事件应用服务器将所述参数加密后发给所述证书签发机构。
本发明提出了一种加入时间戳服务器的证书签发方法,同时将时间信息写入到证书的扩展当中,使得证书的产生时间和事件发生的时间不可更改,可以更有效的验证证书的有效性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种实施例的基于可信时间戳的数字证书签发方法的流程示意图。
图2为本发明另一种实施例的基于可信时间戳的数字证书签发系统的结构示意图。
具体实施方式
为便于对本发明实施例的理解,下面将结合附图以几个具体实施例为例作进一步的解释说明,且各个实施例并不构成对本发明实施例的限定。
本发明针对事件证书签名的场景,为了避免事件签名使用的数字证书中包含的事件时间信息被人修改,从而引入时间戳服务器系统。
具体的,根据本发明的一个方面,如图1所示,提供一种基于可信时间戳的数字证书签发方法,该方法包括:
步骤S110,事件应用服务器获取事件信息,并通过调用时间戳服务器获取事件发生精确时间。具体的,事件应用服务器监控下发生可执行事件,事件应用服务器获取事件主体、事件主体生物特征等事件信息,并通过调用时间戳服务器获取事件发生精确时间T2。
步骤S120,事件应用服务器调用证书签发机构(CA)的证书签发接口,将事件发生精确时间T2和事件信息摘要H作为参数的一部分,传给证书签发机构(CA)。进一步的,事件传输的参数可以是加密后的参数。至于是否需要加密,可由事件应用服务器方决定。
步骤S130,证书签发机构(CA)获取事件应用服务器发来的参数信息,并调用时间戳服务器获取证书产生精准时间T1,根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器。进一步的,证书产生精准时间T1写进证书的自定义扩展Ext1中,事件发生精确时间T2和事件信息摘要H写入证书自定义扩展Ext2中。
步骤S140,事件应用服务器获得本事件专用的数字证书并解析,获得证书产生精准时间T1、事件发生精确时间T2以及事件信息摘要H。
步骤S150,事件应用服务器比对证书产生精准时间T1和事件发生精确时间T2的时间间隔,若时间间隔超过设定值,则认为证书签发有误,重新获取证书或者暂停执行;若时间间隔未超过设定值(即时间间隔符合要求),则制作本地事件信息摘要H1。由于从事件需要证书到获取到证书的时间间隔很短,所以事件发生精确时间T2和证书产生精准时间T1之间的时间间隔小于一分钟为宜。
事件应用服务器在传递事件参数给CA后,获取签发的数字证书,而后事件应用服务器解析数字证书,获得证书产生精确时间T1和原先发送给CA的事件发生精确时间T2。事件应用服务器比对两个时间,如果间隔过大,可以认为此事件证书不符合要求,有申请时参数传递被篡改的可能。
步骤S160,事件应用服务器将本地事件信息摘要H1与获取的数字证书中的事件信息摘要H进行比较,完全一致则验证通过,该数字证书符合要求,如果不一致,则重新获取证书或者暂停执行。
作为上述实施例的进一步改进,该方法还包括:事件应用服务器获得通过验证的数字证书后,使用证书私钥对事件重要信息进行签名并归档,公钥证书留存等待验证,结束整个调用过程。事件应用服务器在使用中,会使用从CA获得的证书对指定事件信息摘要签名并存档。传统的方式是不检查数字证书有效性,只要证书主题等信息正确就直接签名,忽略了证书扩展中事件相关内容可能早已被篡改。
本发明通过时间戳服务器精准时间的应用,防止恶意程序篡改事件时间和事件信息摘要,保证了事件证书使用的安全性。
根据本发明的另一方面,如图2所示,还提供一种基于可信时间戳的数字证书签发系统,该系统包括事件应用服务器、证书签发机构CA和时间戳服务器,其中:
事件应用服务器调用时间戳服务器获取事件发生精确时间T2,并将此事件发生精确时间T2和事件信息摘要H作为参数发送给证书签发机构CA,获取事件数字证书;获取事件数字证书后,对比证书产生精准时间T1和事件发生精确时间T2,对比证书中事件信息摘要H和本地运算的事件信息摘要H1,达到验证证书的目的。进一步的,事件应用服务器可将参数加密后再发给所述证书签发机构。
证书签发机构CA接收到事件应用服务器发来的事件发生精确时间T2和事件信息摘要H,签发的事件数字证书的指定扩展中含有上述信息;同时,调用时间戳服务器获取证书产生精准时间T1,签发的事件数字证书的另一指定扩展中含有此精准时间T1。最终,数字证书不仅包含证书产生的时间信息,而且还包含传来的事件发生的信息,支持证书请求方发来的事件发生时间及附加其他信息。
本发明将可信时间戳系统引入到证书签发环境中,一方面CA利用可信的精准时间签发证书,将时间戳系统信息以及精确时间信息保存到证书当中,使得所签证书自产生就带有可信的时间属性;另一方面,由于证书申请方可以传入事件发生的时间参数,使得证书含有自身产生的精准时间和事件发生的精准时间两部分内容,证书使用方可以进行两个时间的比对,两个时间的间隔只有在极短的情况下,此证书才符合事件执行的要求。
本发明的方法和系统主要用于单一事件需要证书签名的场景,可以有效防止恶意程序截取通道向CA乱传或者修改时间参数的情况,保证特殊事件传入的时间是真实的事件发生时间,满足事件证书签名对精准时间的严格要求。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块流程并不一定是实施本发明所必须的。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (7)
1.一种基于可信时间戳的数字证书签发方法,该方法包括:
事件应用服务器获取事件信息,并通过调用时间戳服务器获取事件发生精确时间;
事件应用服务器调用证书签发机构的证书签发接口,将事件发生精确时间(T2)和事件信息摘要(H)作为参数的一部分,传给证书签发机构;
证书签发机构(CA)获取事件应用服务器发来的参数信息,并调用时间戳服务器获取证书产生精准时间(T1),根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器;
事件应用服务器获得本事件专用的数字证书并解析,获得证书产生精准时间(T1)、事件发生精确时间(T2)以及事件信息摘要(H);
事件应用服务器比对证书产生精准时间(T1)和事件发生精确时间(T2)的时间间隔,若时间间隔未超过设定值,则制作本地事件信息摘要(H1);
事件应用服务器将本地事件信息摘要(H1)与获取的数字证书中的事件信息摘要(H)进行比较,完全一致则验证通过。
2.根据权利要求1所述的一种基于可信时间戳的数字证书签发方法,其特征在于:所述参数信息为加密后的参数信息。
3.根据权利要求1所述的一种基于可信时间戳的数字证书签发方法,其特征在于:证书产生精准时间(T1)写进证书的自定义扩展(Ext1)中,事件发生精确时间(T2)和事件信息摘要(H)写入证书的另一自定义扩展(Ext2)中。
4.根据权利要求1所述的一种基于可信时间戳的数字证书签发方法,其特征在于:所述事件发生精确时间(T2)和证书产生精准时间(T1)之间的时间间隔小于一分钟。
5.根据权利要求1所述的一种基于可信时间戳的数字证书签发方法,其特征在于,所述方法还包括:事件应用服务器获得通过验证的数字证书后,使用证书私钥对事件重要信息进行签名并归档,公钥证书留存等待验证,结束整个调用过程。
6.一种基于可信时间戳的数字证书签发系统,该系统包括事件应用服务器、证书签发机构,其特征在于,还包括时间戳服务器,其中:
所述事件应用服务器调用所述时间戳服务器获取事件发生精确时间(T2),并将此事件发生精确时间(T2)和事件信息摘要(H)作为参数发送给所述证书签发机构(CA),获取事件数字证书;获取该事件数字证书后,对比证书产生精准时间(T1)和事件发生精确时间(T2),对比证书中事件信息摘要(H)和本地运算的事件信息摘要(H1),达到验证该事件数字证书的目的;
所述证书签发机构(CA)接收到事件应用服务器发来的事件发生精确时间(T2)和事件信息摘要(H),签发的事件数字证书的指定扩展中含有上述信息;同时,调用所述时间戳服务器获取证书产生精准时间(T1),签发的事件数字证书的另一指定扩展中含有此精准时间(T1)。
7.根据权利要求6所述的一种基于可信时间戳的数字证书签发系统,其特征在于,所述事件应用服务器将所述参数加密后发给所述证书签发机构。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611245021.5A CN108259178B (zh) | 2016-12-29 | 2016-12-29 | 一种基于可信时间戳的数字证书签发方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201611245021.5A CN108259178B (zh) | 2016-12-29 | 2016-12-29 | 一种基于可信时间戳的数字证书签发方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108259178A true CN108259178A (zh) | 2018-07-06 |
CN108259178B CN108259178B (zh) | 2021-03-02 |
Family
ID=62719121
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201611245021.5A Active CN108259178B (zh) | 2016-12-29 | 2016-12-29 | 一种基于可信时间戳的数字证书签发方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108259178B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109034805A (zh) * | 2018-08-09 | 2018-12-18 | 江苏先安科技有限公司 | 一种适用于区块链和嵌入式领域的新型时间戳签名验证方法 |
CN110955868A (zh) * | 2018-09-27 | 2020-04-03 | 千寻位置网络有限公司 | 证书过期的校验方法及装置、终端设备 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101311950A (zh) * | 2007-05-25 | 2008-11-26 | 北京书生国际信息技术有限公司 | 一种电子印章的实现方法和装置 |
CN102289610A (zh) * | 2011-06-08 | 2011-12-21 | 无敌科技(西安)有限公司 | 嵌入式设备离线数字版权管理证书控管系统及其方法 |
CN104253813A (zh) * | 2014-09-05 | 2014-12-31 | 国电南瑞科技股份有限公司 | 一种基于调变一体化系统远程维护的安全防护方法 |
CN104753881A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 |
US20160119147A1 (en) * | 2014-10-24 | 2016-04-28 | Mohammed Mustafa Saidalavi | Method and System of Online Content Review, Authentication, and Certification |
-
2016
- 2016-12-29 CN CN201611245021.5A patent/CN108259178B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101311950A (zh) * | 2007-05-25 | 2008-11-26 | 北京书生国际信息技术有限公司 | 一种电子印章的实现方法和装置 |
CN102289610A (zh) * | 2011-06-08 | 2011-12-21 | 无敌科技(西安)有限公司 | 嵌入式设备离线数字版权管理证书控管系统及其方法 |
CN104753881A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 |
CN104253813A (zh) * | 2014-09-05 | 2014-12-31 | 国电南瑞科技股份有限公司 | 一种基于调变一体化系统远程维护的安全防护方法 |
US20160119147A1 (en) * | 2014-10-24 | 2016-04-28 | Mohammed Mustafa Saidalavi | Method and System of Online Content Review, Authentication, and Certification |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109034805A (zh) * | 2018-08-09 | 2018-12-18 | 江苏先安科技有限公司 | 一种适用于区块链和嵌入式领域的新型时间戳签名验证方法 |
CN110955868A (zh) * | 2018-09-27 | 2020-04-03 | 千寻位置网络有限公司 | 证书过期的校验方法及装置、终端设备 |
Also Published As
Publication number | Publication date |
---|---|
CN108259178B (zh) | 2021-03-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11665006B2 (en) | User authentication with self-signed certificate and identity verification | |
US20190305955A1 (en) | Push notification authentication | |
ES2835025T3 (es) | Sistema y procedimiento de acceso remoto, firma digital remota | |
US9413754B2 (en) | Authenticator device facilitating file security | |
CN104753881B (zh) | 一种基于软件数字证书和时间戳的WebService安全认证访问控制方法 | |
US20150281222A1 (en) | Time-based one time password (totp) for network authentication | |
CN110225050B (zh) | Jwt令牌的管理方法 | |
CN109067766A (zh) | 一种身份认证方法、服务器端和客户端 | |
CN110430065B (zh) | 一种应用服务调用方法、装置及系统 | |
CN108022194A (zh) | 执法记录仪及其数据安全处理方法、服务器及系统 | |
CN106375092A (zh) | 一种面向隐私保护的数字证书签名方法 | |
CN105681470A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
CN107360002A (zh) | 一种数字证书的申请方法 | |
CN109981287A (zh) | 一种代码签名方法及其存储介质 | |
Yildiz et al. | A tutorial on the interoperability of self-sovereign identities | |
CN110490741A (zh) | 一种区块链中数据有效性及可控性管理的装置与方法 | |
CN113569298A (zh) | 一种基于区块链的身份生成方法及身份系统 | |
Yildiz et al. | Towards Interoperable Self-sovereign Identities | |
CN105791294B (zh) | 一种实现用户数据完整性和机密性的方法 | |
CN108259178A (zh) | 一种基于可信时间戳的数字证书签发方法及系统 | |
Rana et al. | Implementation of security and privacy in ePassports and the extended access control infrastructure | |
Wu et al. | Security Architecture for sensitive information systems | |
US20240048361A1 (en) | Key Management for Cryptography-as-a-service and Data Governance Systems | |
CN106254341A (zh) | 针对集中式电子数据保全系统的数据指纹提取方法及系统 | |
CN113722726B (zh) | 基于软硬件协同的加解密方法及系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |