一种在可信时间基础上的可信时间戳实现方法

摘要

本发明公布了一种在可信时间基础上的可信时间戳实现方法，解决了可认证、可溯源、可控制和防欺骗、篡改和更换的问题。CA认证中心对时间源、授时设备、传输通道和时间戳服务器进行认证，授时设备、时间戳服务器向CA认证中心申请设备身份数字证书；CA认证中心确认无误后制作授时设备和时间戳服务器的数字证书；将数字证书存入第三方数据库。将时间源、授时设备、时间戳服务器用传输通道依次连接起来，数据库与相应时间戳服务器连接，接收和存储时间戳服务器发送来的加盖了时间戳的数据文件。本发明具有可认证、可溯源、可控制和防欺骗和篡改的优点，传输通道采用光纤专用通道或者专用网络通道的方式进行传递，保证时间信息的准确性，保证了数据库电子数据的法律效力。

说明书

技术领域

本发明涉及安全领域，具体涉及一种可信时间基础上的可信时间戳实现方法。

背景技术

目前的时间戳实现方案中，时钟信号采用卫星共视接收机，接收来自国家授时中心的时间源信号。当用户需要时间戳服务时，通过互联网向可信时间戳服务中心申请时间戳服务，可信时间戳服务中心的时间戳服务器将用户申请文件加盖时间戳并作数字签名后，自己留存一份返回给用户一份，这种方式提高了时间服务的可信度和公信力，因为时间戳是由中立的第三方加盖的。但是，这种方式仍然存在着技术缺陷以及作为司法证据的可信度不足的问题，因为技术上时钟源、授时设备、用时终端、通道均未被认证，也不可溯源，更不可控制，即可信时间未得到充分保障，而且时间系统本质上还是自建自用，所用时钟源、授时设备、时间传输通道及时间戳服务器仍然有被更换和修改的可能，因此作为司法证据还是有明显的漏洞，时间戳自己盖自己保存，证据的可信度不足，也就是既当运动员又当裁判员。因此，加盖时间戳的文件公信力不够，作为司法证据的法律效力不完全，可信度存疑。

发明内容

一种在可信时间基础上的可信时间戳实现方法，包括以下步骤：

S1、第三方CA认证中心制作时钟源数字证书、授时设备数字证书、时间戳服务器数字证书，将时钟源的数字证书植入时钟源设备、将授时设备数字证书植入授时设备、时间戳服务器数字证书植入时间戳服务器，时钟源设备、授时设备与时间戳服务器通过加密传输通道形成可信授时链路，完成可信时间传递；

S2、时钟源设备将时间传递给授时设备，授时设备将时间传递给时间戳服务器，可信时间戳服务器收到可信时间成为了可信时间戳服务器，可信时间戳服务器将可信时间加盖在用户需盖时间戳的数据文件上，形成加盖了可信时间戳的数据文件；

S3、第三方数据库与相应时间戳服务器建立通讯，接收和存储时间戳服务器发送来的加盖了可信的时间戳的数据文件。

进一步的，第三方CA认证中心制作时钟源设备数字证书、授时设备数字证书、时间戳服务器数字证书步骤：

a、时钟源设备、授时设备和时间戳服务器将其身份信息和公钥以安全的方式提交给第三方CA认证中心；

b、第三方CA认证中心用本身的私钥对时钟源设备、授时设备和时间戳服务器的公钥和身份ID的混合体进行签名；

c、将签名信息附在公钥和身份ID等信息后，生成一张时钟源设备、授时设备和时间戳服务器身份的数字证书，由公钥、身份ID和第三方CA认证中心的签名三部分组成；

d、第三方CA认证中心将数字证书的一个副本传送给时钟源设备、授时设备和时间戳服务器；

e、第三方CA认证中心将数字证书的一个副本传送到数字证书数据库，由认证机构存档。

进一步的，时钟源用来提供时间信息，授时设备用来传递时间信息，授时设备经过传输通道将时间信息传递到下一级授时设备或用时终端(比如时间戳服务器)，授时设备与下一级授时设备或用时终端之间采用非公开的私有握手协议；如果传输通道中断或被入侵者切入，网管系统会实时在线监测并自动报警，从而保证传输通道的安全。

进一步的，时间源采用能证明身份的东八区时间即北京时间；为了保证用时的合法，选择东八区时间，不能选择GPS时间或不能证明其身份的时钟源作为时间源。

进一步的，传输通道采用专用的网络通道或者更佳的光纤通道；为了保证安全性，采用安全性极高的与互联网完全物理隔离的光纤通道，或者与互联网逻辑隔离的专用网络通道。

本发明的有益效果：通过第三方CA认证中心对时间源、授时设备、传输通道、时间戳服务器进行认证，是时间信息从时间源到时间戳服务器的整个传输过程不会被攻击和篡改，实现了可认证、可溯源、可控制、防欺骗和篡改，保证时间信息的可信度。时间信息采用专用通道方式进行传递，保证时间信息的可信性。通过建立第三方数据库保存加盖了可信时间的电子数据，保证数据库保存的电子数据的法律效力。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的限定。

图1为基于可信时间的可信时间戳实现方案图。

图2为基于可信时间的可信时间戳实现流程图。

具体实施方式

下面结合附图对本发明的实施例进行阐述，本发明的示意性实施方式及其说明仅用于解释本发明，并不作为对本发明的限定。

实施例1

一种在可信时间基础上的可信时间戳实现方法，包括以下步骤：

S1、第三方CA认证中心制作时钟源设备数字证书、授时设备数字证书、时间戳服务器数字证书，将时钟源的数字证书植入时钟源设备、将授时设备数字证书植入授时设备、时间戳服务器数字证书植入时间戳服务器，时钟源设备、授时设备与时间戳服务器通过传输通道形成授时链路；

S2、时间源提供可信时间，授时设备将可信时间经可信传递通道发送给时间戳服务器，时间戳服务器将可信时间加盖在用户传输过来需加盖时间戳的数据文件上，形成加盖了可信时间戳的数据文件；

S3、第三方数据库与相应时间戳服务器建立通讯，接收和存储时间戳服务器发送来的加盖了可信时间戳的数据文件。

实施例2

进一步的，第三方CA认证中心制作时钟源设备数字证书、授时设备数字证书、时间戳服务器数字证书步骤：

a、时钟源设备、授时设备和时间戳服务器将其身份信息和公钥以安全的方式提交给第三方CA认证中心。

b、第三方CA认证中心用本身的私钥对时钟源设备、授时设备和时间戳服务器的公钥和身份ID的混合体进行签名。

c、将签名信息附在公钥和身份ID等信息后，生成一张时钟源设备、授时设备和时间戳服务器身份的数字证书，由公钥、身份ID和第三方CA认证中心的签名三部分组成。

e、第三方CA认证中心将数字证书的一个副本传送给时钟源设备、授时设备和时间戳服务器。

f、第三方CA认证中心将数字证书的一个副本传送到数字证书数据库，由认证机构存档。

实施例3

进一步的，时间源提供可信时间，授时设备用来传递时间信息，授时设备经过传输通道将时间信息传递到下一级授时设备或用时终端设备，授时设备与下一级授时设备或用时终端设备之间采用非公开的私有握手协议；如果传输通道中断或被入侵者切入，网管系统会实时在线监测并自动报警，从而保证传输通道的安全。

实施例4

进一步的，时间源采用能证明身份的东八区时间即北京时间；为了保证用时的合法，选择东八区时间，不能选择GPS时间或不能证明其身份的时钟源作为时间源。

实施例5

进一步的，传输通道采用专用的网络通道或者更佳的光纤通道；为了保证安全性，采用安全性极高的光纤通道，或者与互联网逻辑隔离的专用网络通道。

实施例6

如图1和图2所示的一种在可信时间基础上的可信时间戳实现方法，将时间源、授时设备、时间戳服务器的地址、机房机架、生产厂家、设备型号编号、生产日期和安装日期等详细资料报送给第三方CA认证中心，第三方CA认证中心将到现场仔细核实信息资料，所有信息核实无误后制作设备的CA证书，由设备厂家将数字证书植入对应设备中，然后把设备通过传输通道连接起来。由于该系统可组网实施，因此授时链路中可以采用多个授时设备级联的方式实现长距离传输。数据库可以由第三方CA认证中心或者有公信力最高的政府机构或者政府下属事业单位建立，然后与相应的时间戳服务器连通，即可接收和存储时间戳服务器发送来的加盖了时间戳的数据文件，用户也可以通过互联网来查询数据库中保存的文件，还可以为用户出具具有法律效应的证据。