可信时间信息的处理方法、设备和系统与流程

本发明实施例涉及计算机安全技术领域，尤其涉及一种可信时间信息的处理方法、设备和系统。

背景技术：

随着信息化和互联网技术的高速发展，各类数字作品，以及在日常工作、商业活动中产生的商业秘密、著作权、重要会议纪要、财务数据、合同等电子文档，其内容、人物和时间是非常重要的信息，因此，保证上述信息的保密性、完整性、防抵赖等信息安全问题是非常必要的。

目前，为了保证电子信息交互的安全，常用的技术是使用数字证书，即通过数字签名能够保证内容完整性和签发人的抗抵赖性，但仍无法确认行为发生的真实时间、数据生成、发生或接收的真实时间。

由于计算机时钟允许用户自主修改，因此通过该时钟来确定行为或数据操作的真实时间是不可信的。因此，针对计算机时钟信息易篡改的特点，亟需一种对电子文档的可信时间的处理方法。

技术实现要素：

根据本公开实施例的第一方面，提供一种可信时间信息的处理方法，该方法包括：

接收存证设备发送的包含第一数据串的时间标识请求，所述第一数据串至少包含一文件识别符；其中，所述文件识别符由用户终端传送到所述存证设备，并且与用户终端上所保存的一电子文件唯一对应；或者，所述文件识别符与用户终端传送到所述存证设备的电子文件唯一对应；

记录接收到所述请求的可信时间信息，所述可信时间信息来自于标准时间源；

应用签发私钥对所述可信时间信息和所述第一数据串进行数字签名，生 成第二数据串；

向所述存证设备发送针对于所述请求的响应消息，所述响应消息至少包含所述第二数据串；以使所述存证设备应用预先获取的、与所述签发私钥相对应的签发公钥解密所述第二数据串，以获取与所述电子文件对应的可信时间信息。

根据本公开实施例的第二方面，提供了一种签发服务器，包括：

第一接收模块，用于接收存证设备发送的包含第一数据串的时间标识请求，所述第一数据串至少包含一文件识别符；其中，所述文件识别符由用户终端传送到所述存证设备，并且与用户终端上所保存的一电子文件唯一对应；或者，所述文件识别符与用户终端传送到所述存证设备的电子文件唯一对应；

签发模块，用于记录接收到所述请求的可信时间信息；所述可信时间信息来自于标准时间源；

处理模块，用于应用签发私钥对所述可信时间信息和所述第一数据串进行数字签名，生成第二数据串；

第一发送模块，用于向所述存证设备发送针对于所述请求的响应消息，所述响应消息至少包含所述第二数据串；以使所述存证设备应用预先获取的、与所述签发私钥相对应的签发公钥解密所述第二数据串，以获取与所述电子文件对应的可信时间信息。

根据本公开实施例的第三方面，提供了一种可信时间信息的处理系统，包括：

包括：存证设备、用户终端、以及如上所述的签发服务器。

本发明实施例提供的可信时间信息的处理方法、设备和系统，通过签发服务器根据标准时间源获取与第一数据串对应的可信时间信息，所述第一数据串至少包含一文件识别符；其中，所述文件识别符由用户终端传送到所述存证设备，并且与用户终端上所保存的一电子文件唯一对应；或者，所述文件识别符与用户终端传送到所述存证设备的电子文件唯一对应，并应用签发私钥对该可信时间信息和该第一数据串进行数字签名生成第二数据串，然后将该第二数据串发送给存证设备，以使存证设备根据签发公钥解密该第二数据串，获取与电子文件对应的可信时间信息。从而能够根据可信时间信息可靠确认电子文件发生的真实时间、数据生成、发生或接收的真实时间，保证 了上述信息的保密性、完整性、防抵赖等信息安全问题。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

图1为本发明实施例提供的一个可信时间信息的处理方法的流程图；

图2为本发明实施例提供的另一个可信时间信息的处理方法的流程图；

图3为本发明实施例提供的一个签发服务器的结构示意图；

图4为本发明实施例提供的另一个签发服务器的结构示意图；

图5为本发明实施例提供的另一个签发服务器的结构示意图；

图6为本发明实施例提供的另一个签发服务器的结构示意图；

图7为本发明实施例提供的另一个签发服务器的结构示意图；

图8为本发明实施例提供的一个可信时间信息的处理系统的结构示意图；

图9为本发明实施例提供的另一个可信时间信息的处理系统的结构示意图。

具体实施方式

图1为本发明实施例提供的一个可信时间信息的处理方法的流程图，如图1所示，该方法包括：

步骤101，接收存证设备发送的包含第一数据串的时间标识请求，所述第一数据串至少包含一文件识别符；其中，所述文件识别符由用户终端传送到所述存证设备，并且与用户终端上所保存的一电子文件唯一对应；或者，所述文件识别符与用户终端传送到所述存证设备的电子文件唯一对应；

本实施例提供的可信时间信息的处理方法用于能够进行可信时间信息处理的设备，以签发服务器为例进行说明。

用户需要进行可信时间信息处理的电子文件通常包括：文本信息、图片、录音文件、视频文件等，当用户需要对电子文件进行可信时间信息处理时，存证设备首先要获取与待处理的电子文件所对应的文件标识符，该文件标识符是对电子文件进行数学算法处理后获取的与该电子文件唯一对应的第一数 据串，具体的数学算法有很多，举例说明如下：若通过安全哈希算法(Secure Hash Algorithm，SHA)对电子文件进行处理，获取的第一数据串为哈希串，若通过消息摘要算法对电子文件进行处理，获取的第一数据串为MD5码。

存证设备获取与该电子文件唯一对应的第一数据串的方式有很多，可以根据具体的应用场景进行设置，本实施例对此不具体限制，举例说明如下：场景一，用户终端对待进行时间戳处理的电子文件进行摘要算法处理后获取与电子文件唯一对应的第一数据串，再将该第一数据串上传给存证设备；场景二，存证设备接收到用户终端上传的、待进行时间戳处理的电子文件之后，再对该电子文件进行摘要算法处理后获取与电子文件唯一对应的第一数据串。需要注意的是，用户终端上传电子文件的实现方式很多，例如：手机等移动设备可以通过App软件实现对图片、录音、文档、视频的采集和上传，或者web客户端可以通过浏览器、客户端应用软件实现对图片、录音、文档、视频的采集和上传。

当存证设备获取与待进行时间戳处理的电子文件唯一对应的第一数据串之后，向签发服务器发送包含第一数据串的时间标识请求，从而签发服务器对接收到的时间标识请求进行解析，获取待进行可信时间信息处理的第一数据串。

需要说明的是，签发服务器可以通过不同的方式接收存证设备发送的时间标识请求，具体包括：

方式一，通过套接字Socket方式，具体为：签发服务器通过某个端口监听存证设备发送的Socket请求，当存证设备与签发服务器的该端口建立Socket连接后，即可以通过Socket连接将时间标识请求发送给签发服务器。签发服务器也会将产生的时间戳通过这个Socket连接返回给存证设备。

方式二，通过超文本传输协议HTTP方式，具体为：当存证设备与签发服务器预先申请的网页建立连接后，即可以通过HTTP将时间标识请求发送给签发服务器。签发服务器也会将产生的时间戳通过HTTP返回给存证设备。

方式三，通过电子邮件方式，具体为：存证设备使用电子邮件向签发服务器预先指定的电子邮件地址，通过邮件传输协议SMTP将时间标识请求发送给签发服务器。签发服务器也会将产生的时间戳通过SMTP返回给存证设备。

方式四，与所述存证设备建立符合双方预设的通信协议的连接后，通过 该连接接收存证设备发送的所述时间标识请求。

步骤102，记录接收到所述请求的可信时间信息，所述可信时间信息来自于标准时间源；

签发服务器在获取待进行可信时间信息处理的第一数据串之后，记录接收到该请求的可信时间信息，该可信时间信息来自于标准时间源。

作为一种示例，签发服务器将系统时间与标准时间源进行时间同步，从而应用与所述标准时间源进行时间同步后的系统时间，赋予与该请求对应的可信时间信息。

其中，标准时间源就是符合相关标准的权威时间，包括：国家或者国际权威时间部门发布的时间，例如：国家授时中心发布的时间，或者是用国家或者国际权威时间部门认可的时间。

可信时间信息中使用的时间的精度可以根据应用需要进行设置，例如若设置可信时间信息的时间精确到秒，其结构具体为:YYYYMMDDhhmmss，举例说明如下，例如:20150310115625。各个位解释如下：a)YYYY为4位数年份如2015；b)MM为月份，如果月份只有一位数要加上一个前导0，如03、11；c)DD为日，如果只有一位数，要加上前导0，如01、10；d)hh为小时，如果只有一位数，要加上前导0，如03、11；e)mm为分钟，如果只有一位数，要加上前导0，如05、56；f)ss为秒，如果只有一位数，要加上前导0，如01、25，如果需要精确到毫秒、微妙级，应用秒的小数部分表示。

步骤103，应用签发私钥对所述可信时间信息和所述第一数据串进行数字签名，生成第二数据串；

签发服务器获取与该第一数据串对应的可信时间信息之后，应用签发私钥对第一数据串，以及与该第一数据串对应的可信时间信息进行数字签名生成第二数据串。其中，签发私钥是基于非对称的加密算法获取的，用于使签发服务器对其生成的可信时间信息进行加密，以确保该可信时间信息是签发服务器生成且签发的。

步骤104，向所述存证设备发送针对于所述请求的响应消息，所述响应消息至少包含所述第二数据串；以使所述存证设备应用预先获取的、与所述签发私钥相对应的签发公钥解密所述第二数据串，以获取与所述电子文件对应的可信时间信息。

签发服务器应用签发私钥对第一数据串，以及与该第一数据串对应的可信时间信息进行数字签名生成第二数据串之后，向存证设备发送响应消息，其中，该响应消息包含第二数据串。

具体地，存证设备对签发服务器发送的响应消息进行解析获取第二数据串，然后存证设备使用预先获取的签发公钥解密第二数据串，从而获取第一数据串，以及与该第一数据串对应的可信时间信息。其中，签发公钥是基于非对称的加密算法获取的，用于使存证设备应用签发公钥获取可信时间信息。

存证设备根据第一数据串查找与该第一数据串对应的、用户终端上传的电子文件，将与该第一数据串对应的可信时间信息作为该电子文件的可信时间信息，从而存证设备将第一数据串、与该第一数据串对应的电子文件、与该第一数据串对应的可信时间信息的对应关系进行存证。

本实施例提供的可信时间信息的数据处理方法，通过签发服务器接收存证设备发送的包含第一数据串的时间标识请求，根据标准时间源获取与第一数据串对应的可信时间信息，并应用签发私钥对该可信时间信息和该第一数据串进行数字签名生成第二数据串，然后将该第二数据串发送给存证设备，以使存证设备根据签发公钥解密该第二数据串，获取与电子文件对应的可信时间信息。从而能够根据可信时间信息可靠确认电子文件发生的真实时间，保证了上述信息的保密性、完整性、防抵赖等信息安全问题。

进一步地，基于上述实施例，该方法还包括：

根据预先设置的第一白名单，对所述存证设备的合法性进行检查，若不合法，则向所述存证设备发送响应失败消息；和/或，

接收所述存证设备发送的鉴权请求，并针对所述鉴权请求向所述存证设备发送身份信息，以供所述存证设备根据预先设置的第二白名单进行合法性检查。

具体地，存证设备发送时间标识请求的方式正如步骤100中举例所述的内容，包括：套接字Socket方式、超文本传输协议HTTP方式、电子邮件方式等，因此，签发服务器根据预先设置的第一白名单查询存证设备的相关信息是否在白名单之中，若判断获知第一白名单包括存证设备的相关信息，则确定存证设备合法，对存证设备发送的第一数据串进行可信时间信息处理，若判断获知白名单不包括存证设备的相关信息，则确定存证设备不合法，不 能对存证设备发送的第一数据串进行可信时间信息处理，则向存证设备发送响应失败消息签发服务器针对每种请求方式可以设置对应的第一白名单。其中，第一白名单具体为：与套接字Socket发送方式对应的允许访问的服务器的端口号，与超文本传输协议HTTP发送方式对应的允许访问的IP地址、与电子邮件发送方式对应的允许访问的邮箱名称。和/或，

接收存证设备发送的鉴权请求，并针对该鉴权请求向存证设备发送签发服务器的身份信息，从而存证设备根据预先设置的第二白名单进行合法性检查。

本实施例通过签发服务器和存证设备对双发的合法性进行双向认证，提高了时间信息处理的可靠性。

图2为本发明实施例提供的另一个可信时间信息的处理方法的流程图，如图2所示，该方法具体包括：

步骤201，将与所述签发私钥相对应的签发公钥和签发服务器信息发送给验证服务器；

步骤202，接收所述验证服务器通过验证私钥对所述签发公钥和所述签发服务器信息进行加密生成数字证书；

步骤203，向所述存证设备返回所述数字证书，以使所述存证设备应用预先获取的、与所述验证私钥相对应的验证公钥解密所述数字证书获取所述签发公钥。

本实施例提供的签发公钥的生成方式进一步地提高了通信的安全性和可靠性。

步骤204，接收存证设备发送的包含第一数据串的时间标识请求，所述第一数据串至少包含一文件识别符；其中，所述文件识别符由用户终端传送到所述存证设备，并且与用户终端上所保存的一电子文件唯一对应；或者，所述文件识别符与用户终端传送到所述存证设备的电子文件唯一对应；

步骤205，记录接收到所述请求的可信时间信息，所述可信时间信息来自于标准时间源；

步骤206，应用签发私钥对所述可信时间信息和所述第一数据串进行数字签名，生成第二数据串；

步骤207，向所述存证设备发送针对于所述请求的响应消息，所述响应 消息至少包含所述第二数据串；以使所述存证设备应用预先获取的、与所述签发私钥相对应的签发公钥解密所述第二数据串，以获取与所述电子文件对应的可信时间信息。

步骤204-步骤207的具体实施方式参见图1所示实施例，此处不再赘述。

步骤208，将所述第一数据串，以及与所述第一数据串对应的可信时间信息发送给验证服务器，以使所述验证服务器对所述可信时间信息进行验证。

具体地，验证服务器接收签发服务器发送的第一数据串，以及与所述第一数据串对应的可信时间信息并存储，当接收到请求方发送的携带文件识别符的验证请求时，根据待验证的文件识别符查找预先从签发服务器获取的第一数据串与可信时间信息的对应关系，赋予该文件识别符对应的可信时间信息并返回给请求方，以使请求方将验证设备赋予的可信时间信息，与之前签发服务器赋予的可信时间信息进行比较，若两者相同，则验证成功，否则，验证失败。其中，请求方包括：用户终端和存证设备。

本实施例提供的可信时间信息的数据处理方法，通过验证服务器提供的可信时间戳验证。从而能够根据可信时间戳可靠确认电子文件发生的真实时间，保证了上述信息的保密性、完整性、防抵赖等信息安全问题，并且对可信时间戳进行审计，进一步保证可信时间戳的可靠性。

图3为本发明实施例提供的一个签发服务器的结构示意图，如图3所示，该签发服务器包括：第一接收模块11、签发模块12、处理模块13和第一发送模块14，其中，

第一接收模块11，用于接收存证设备发送的包含第一数据串的时间标识请求，所述第一数据串至少包含一文件识别符；其中，所述文件识别符由用户终端传送到所述存证设备，并且与用户终端上所保存的一电子文件唯一对应；或者，所述文件识别符与用户终端传送到所述存证设备的电子文件唯一对应；

其中，所述第一接收模块11，具体用于：

与所述存证设备建立套接字Socket连接后，通过所述Socket连接接收所述存证设备发送的所述时间标识请求；或者，

与所述存证设备建立网页连接后，通过超文本传输协议HTTP；或者，是以安全为目标的HTTP通道HTTPS接收所述存证设备发送的所述时间标识请 求；或者，

与所述存证设备建立电子邮件连接后，通过邮件传输协议SMTP接收所述存证设备发送的所述时间标识请求；或者，

与所述存证设备建立符合双方预设的通信协议的连接后，通过所述连接接收所述存证设备发送的所述时间标识请求。

签发模块12，用于记录接收到所述请求的可信时间信息；所述可信时间信息来自于标准时间源；

处理模块13，用于应用签发私钥对所述可信时间信息和所述第一数据串进行数字签名，生成第二数据串；

第一发送模块14，用于向所述存证设备发送针对于所述请求的响应消息，所述响应消息至少包含所述第二数据串；以使所述存证设备应用预先获取的、与所述签发私钥相对应的签发公钥解密所述第二数据串，以获取与所述电子文件对应的可信时间信息。

本实施例提供的签发服务器中的各模块的实施过程和技术原理可以参见上述所述的方法实施例，此处不再赘述。

本实施例提供的签发服务器，通过签发服务器接收存证设备发送的包含第一数据串的时间标识请求，根据标准时间源获取与第一数据串对应的可信时间信息，并应用签发私钥对该可信时间信息和该第一数据串进行数字签名生成第二数据串，然后将该第二数据串发送给存证设备，以使存证设备根据签发公钥解密该第二数据串，获取与电子文件对应的可信时间信息。从而能够根据可信时间信息可靠确认电子文件发生的真实时间，保证了上述信息的保密性、完整性、防抵赖等信息安全问题。

图4为本发明实施例提供的另一个签发服务器的结构示意图，基于图3所示实施例，如图4所示，该签发服务器还包括：

鉴权模块15，用于根据预先设置的第一白名单，对所述存证设备的合法性进行检查，若不合法，则向所述存证设备发送响应失败消息；和/或，

接收所述存证设备发送的鉴权请求，并针对所述鉴权请求向所述存证设备发送身份信息，以供所述存证设备根据预先设置的第二白名单进行合法性检查。

本实施例提供的签发服务器中的各模块的实施过程和技术原理可以参见 上述所述的方法实施例，此处不再赘述。

本实施例提供的签发服务器，通过签发服务器和存证设备对双发的合法性进行双向认证，提高了时间信息处理的可靠性。

图5为本发明实施例提供的另一个签发服务器的结构示意图，基于图4所示实施例，如图5所示，该签发服务器还包括：同步模块16，

同步模块16，用于将系统时间与所述标准时间源进行时间同步。

签发模块12，具体用于：

应用与所述标准时间源进行时间同步后的系统时间，赋予与所述请求对应的可信时间信息。

本实施例提供的签发服务器中的各模块的实施过程和技术原理可以参见上述所述的方法实施例，此处不再赘述。

本实施例提供的签发服务器，通过系统时间同步时间源的方式记录签发时间，提高了时间信息处理的可靠性。

图6为本发明实施例提供的另一个签发服务器的结构示意图，基于图5所示实施例，如图6所示，该签发服务器还包括：

第二发送模块17，用于将所述第一数据串、以及与所述第一数据串对应的可信时间信息发送给验证服务器，以使所述验证服务器根据所述签发私钥对所述可信时间信息进行验证。

本实施例提供的签发服务器中的各模块的实施过程和技术原理可以参见上述所述的方法实施例，此处不再赘述。

本实施例提供的签发服务器，通过验证服务器提供的可信时间戳验证。从而能够根据可信时间戳可靠确认电子文件发生的真实时间，保证了上述信息的保密性、完整性、防抵赖等信息安全问题，并且对可信时间戳进行审计，进一步保证可信时间戳的可靠性。

图7为本发明实施例提供的另一个签发服务器的结构示意图，基于图6所示实施例，如图7所示，该签发服务器还包括：

第三发送模块18，用于将与所述签发私钥相对应的签发公钥和签发服务器信息发送给验证服务器；

第二接收模块19，用于接收所述验证服务器通过验证私钥对所述签发公钥和所述签发服务器信息进行加密生成数字证书；

所述第一发送模块14，还用于向所述存证设备返回所述数字证书，以使所述存证设备应用预先获取的、与所述验证私钥相对应的验证公钥解密所述数字证书获取所述签发公钥。

本实施例提供的签发服务器中的各模块的实施过程和技术原理可以参见上述所述的方法实施例，此处不再赘述。

本实施例提供的签发服务器，通过数字证书的方式生成签发公钥，进一步地提高了通信的安全性和可靠性。

图8为本发明实施例提供的一个可信时间信息的处理系统的结构示意图，如图8所示，该系统包括：存证设备1、用户终端2、以及签发服务器3，本实施例中的签发服务器3可以采用上述实施例提供的签发服务器，存证设备1和用户终端2可以采用上述实施例提供的存证设备和用户终端。

本实施例提供的可信时间信息的处理系统中的各模块的实施过程和技术原理可以参见上述所述的方法实施例，此处不再赘述。

本实施例提供的可信时间信息的数据处理系统，通过签发服务器接收存证设备发送的包含第一数据串的时间标识请求，根据标准时间源获取与第一数据串对应的可信时间信息，并应用签发私钥对该可信时间信息和该第一数据串进行数字签名生成第二数据串，然后将该第二数据串发送给存证设备，以使存证设备根据签发公钥解密该第二数据串，获取与电子文件对应的可信时间信息。从而能够根据可信时间信息可靠确认电子文件发生的真实时间，保证了上述信息的保密性、完整性、防抵赖等信息安全问题。

图9为本发明实施例提供的另一个可信时间信息的处理系统的结构示意图，基于图8所示实施例，如图9所示，该系统还包括：验证服务器4，所述验证服务器4，用于根据预先从所述签发服务器获取的签发信息，赋予与待验证的文件识别符对应的可信时间信息。

本实施例提供的可信时间信息的处理系统中的各模块的实施过程和技术原理可以参见上述所述的方法实施例，此处不再赘述。

本实施例提供的可信时间信息的数据处理系统，通过验证服务器提供的可信时间戳验证。从而能够根据可信时间戳可靠确认电子文件发生的真实时间，保证了上述信息的保密性、完整性、防抵赖等信息安全问题，并且对可信时间戳进行审计，进一步保证可信时间戳的可靠性。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。