[发明专利]一种基于可信时间戳的数字证书签发方法及系统

说明书

本发明涉及一种基于可信时间戳的数字证书签发方法，该方法包括：事件应用服务器获取事件信息，并通过调用时间戳服务器获取事件发生精确时间；调用证书签发机构的证书签发接口，将事件发生精确时间和事件信息摘要作为参数的一部分，传给证书签发机构；证书签发机构调用时间戳服务器获取证书产生精准时间，根据收到的参数信息签发事件使用的数字证书并返回给事件应用服务器；事件应用服务器对比证书产生精准时间和事件发生精确时间，对比证书中事件信息摘要和本地运算的事件信息摘要，来验证该事件数字证书。本发明将时间信息写入到证书的扩展当中，使得证书的产生时间和事件发生的时间不可更改，可以更有效的验证证书的有效性。

技术领域

本发明涉及时间戳领域，特别涉及一种基于可信时间戳的数字证书签发方法及系统。

背景技术

可信时间戳是由国家授时中心授权，并由权威可信时间戳机构(Time StampAuthority，TSA)签发的一个具有法律效力的能证明数据电文(电子文件)在一个时间点是已经存在的、完整的、可验证的，具备法律效力的电子凭证。任何机构包括时间戳机构自己均不能对时间进行修改以保障时间的权威。可信时间戳主要用于电子文件防篡改和事后抵赖，确定电子文件产生的准确时间。可信时间戳现今广泛应用电子商务、电子公文、知识产权、医疗卫生等领域，用于保障电子数据文件的法律效力问题。在粮食行业使用可信时间戳，同样使得粮食在不同阶段的核心数据不被篡改，还具有法律效力。

当前基于PKI(Public Key Infrastructure，公钥基础设施)技术的数字证书在电子商务、电子政务、网上银行等应用中使用越来越广泛，用户急剧增长。PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。一个完整地PKI系统是由证书签发机构(CA)、密钥管理中心(KMC)、注册机构(RA)、目录服务、以及安全认证应用软件、证书应用服务等部分组成。其中，CA是整个PKI系统的核心，所有数字证书均由CA中心签发，CA根据证书模板的差异可以签发含有不同扩展项的证书，其中自定义扩展可以存储用户指定写入的应用相关的信息。

近年来，针对关键一次性事件的证书签名应用发展迅猛，在保险、P2P、医疗等领域使用较多。由于用户的流动性以及事件发生的不持续性，传统的个人或者企业长期持有数字证书进行业务操作的方式在一次性事件中无法全面展开，可能一个用户执行完关键操作以后就再无类似操作，所以发放USBKEY为载体的数字证书非常不切实际，不利于业务发展。由此，将事件本身作为关注点，用数字证书对事件本身的关键信息进行签名，成为既安全又便捷的方式之一。事件签名的证书中可以包含事件的精确时间、生物特征、密码等多种信息，加上签署中对关键信息的签名操作，使得证书应用具有和传统方式同等的法律效力。虽然事件场景的证书应用非常广泛，但是在申请事件使用的数字证书目前都存在一定的安全漏洞，传递的参数极可能被篡改，导致证书签名失去可信价值。

在目前的诸多厂商的类似应用中，都是在汇集事件所有信息之后，发送个性信息和事件发生时间等参数到CA，CA签发含有上述信息有效期极短的事件数字证书，最后事件应用方用数字证书对事件信息摘要做数字签名并存档。这个过程中，调用CA端签发证书的过程有被截取的风险，这会导致恶意程序篡改发往CA的事件发生时间的参数，导致数字证书的扩展包含的事件发生时间内容与真实情况不符，最终使用证书签名存档后的数据和真实事件发生偏差，事件签名失去意义。

发明内容

鉴于上述问题，提出了本发明，以便提供一种克服上述问题或至少部分地解决上述问题的基于可信时间戳的数字证书签发方法及系统。

根据本发明的一个方面，提供一种基于可信时间戳的数字证书签发方法，该方法包括：

事件应用服务器获取事件信息，并通过调用时间戳服务器获取事件发生精确时间；

事件应用服务器调用证书签发机构的证书签发接口，将事件发生精确时间和事件信息摘要作为参数的一部分，传给证书签发机构；