SURE时间戳服务器SURE Time Stamping Authority Server技术白皮书山东确信信息产业股份有限公司ShanDong Sure Information Industry Inc二零一零年知识产权声明：本白皮书中的内容是山东确信信息产业股份有限公司SURE时间戳服务器技术说明书。

相关权利归山东确信信息产业股份有限公司所有。

白皮书中的任何部分未经本公司许可，不得转印、影印或复印及传播。

山东确信信息产业股份有限公司山东省济南市高新区舜华路2000号舜泰广场11号楼北区2层电话：（86-0531）6659 0661传真：（86-0531）8811 3370网址：电子信箱：********************目录第一章产品概述 (4)1.1公司简介 (4)1.2产品体系介绍 (5)1.3产品背景 (5)第二章术语及定义 (6)第三章 SURE时间戳服务器概述 (7)3.1概述 (7)3.2网络部署 (7)3.3功能描述 (8)1、服务器端功能（TSA Server） (8)2、客户端应用接口（TSA Client API）功能 (9)3.4产品特点 (9)第四章产品运行环境 (11)4.1硬件环境 (11)4.2软件环境 (11)1、 TSA Server (11)2、客户端接口（Client API） (11)第五章技术指标 (12)第一章产品概述随着全球经济一体化速度的加快和信息安全领域的快速发展，这对我国所有的企业来说面临着机遇和挑战。

信息化浪潮的到来，提高了企业的工作效率，增强了核心竞争力，为企业能够迅速把握住相关信息并转化为经济效益提供了有效地帮助。

目前，各单位的日常办公与网络密不可分，网上办公系统（OA）、ERP、财务系统、审批系统等逐步与日常业务密切结合，成为日常工作中不可或缺的一部分。

但网络欺诈、信息泄密、信息抵赖等问题普遍存在，对信息安全提出了严峻的考验。

如何解决安全应用问题越来越被人们所重视，因此，解决信息化过程中的安全问题逐步成为目前信息化工作的重点。

在虚拟的网络环境中，对于信息安全的需求如下：1、保密性一个安全的应用环境中，在其内部传递的关键信息，对于第三方来说，应当是保密的，即应确保数据能够保持私有或保存为一个秘密的格式，不被第三方轻易地获取。

2、完整性在应用环境中传递的信息，应保证通讯过程中，一方所收到的正是另一方所发出的，过程中未被篡改或替换，确保信息的完整。

3、访问控制对应用环境中的信息系统有一种有效的授权方法，使需要访问相关资源的人可以访问那些私有的或秘密的数据，实现对权限的严格控制。

4、真实性在传递的数据或信息能够确认事件发起人的真实身份，不被恶意的替换，防止欺诈行为。

5、不可否认性信息的传递能够确认并唯一认证信息的发送者，且一方有能力证明另一方的所作所为，实现信息传递的不可否认。

1.1公司简介山东确信信息产业股份有限公司成立于2003年3月，是专门从事PKI（Public Key Infrastructure公钥基础设施）安全产品和安全应用中间件研发、生产、销售及提供信息安全服务的高新科技企业，是政府认定的高新技术企业和双软企业，同时也是济南市高新技术开发区重点扶持和推荐的新三板上市企业，是国家密码管理局指定的商用密码产品生产定点单位和商用密码产品销售单位。

公司致力于为政府、行业和广大企事业单位提供基于PKI技术的系列安全应用产品及解决方案，用户涉及政府、医疗卫生、电信、金融、石油石化、烟草等领域的大型企事业单位。

通过不断的努力，我们积累了丰富的涉密信息系统研发和应用集成经验，并具有众多典型案例，建立了完善的售后服务体系，为用户提供持续、可靠、贴心的售后服务。

通过企业自建CA或采用第三方数字证书来实现数字证书的发放和管理，结合我公司自主研发的基于PKI技术的密码类应用产品（如：企业级CA、电子签章、身份认证网关、签名认证服务器和时间戳服务器等），可实现企业信息系统中的身份安全认证、签名验证、数据加密、授权管理等功能，全面解决企业信息化过程中所面临的信息安全问题，为企业信息系统安全、高效的运行保驾护航。

1.2产品体系介绍山东确信信息产业股份有限公司是经国家密码管理局授权的商用密码产品定点生产单位和销售单位，具备商用密码产品的研发、生产、销售资质。

经过多年的努力和积累，山东确信信息产业股份有限公司目前已经形成了三个方面，十余种产品的产品体系。

山东确信信息产业股份有限公司所涉及的业务范围包括：安全系统集成、商用密码产品及安全应用解决方案、流程管理软件等多个方面。

1、安全系统集成根据用户需求，专业提供基于Internet的各种应用安全解决方案，VPN、防火墙、IDS （IPS）、UTM、内网安全产品、IP视频会议系统等，并提供专业的安全审计、咨询服务。

2、商用密码产品及安全应用解决方案专业提供基于PKI技术的信息安全解决方案。

商密产品包括身份认证系统（企业级CA）、电子签章系统、身份认证网关、签名认证服务器、时间戳服务器、授权管理系统等多方面的商用密码应用产品，并根据用户需求，量身定做信息安全解决方案。

3、流程管理软件公司于2008年1月与占据全球BPM软件市场份额首位的美国Ultimus公司建立战略合作关系，成为Ultimus公司在华东地区的战略合作伙伴，将基于Ultimus BPM Suite向政府机关、企业、事业单位提供管理流程解决方案和实施服务。

1.3产品背景随着国内信息化进程的深入和互联网的迅速发展，我国的信息化的进入了高速发展阶段。

电子政务和电子商务中的行政文件、书面合同等电子化文件逐步发挥了它们更大的作用。

此类文件中的内容、人物和时间是整个事务的核心组成部分，如何保证以上信息的安全已经成为电子政务和电子商务活动中的重点。

目前，在电子政务和电子商务中，为了解决保密性、完整性、防抵赖等信息安全问题，已经开始启用个人数字证书。

在信息交换的过程中，通过数字签名能够保证内容和签发人的不可抵赖性，但仍缺少对时间因素的防抵赖。

为了解决电子政务和电子商务过程中的时间抵赖问题，山东确信信息产业股份有限公司基于PKI技术研究开发了SURE时间戳服务器。

SURE时间戳服务器是一套基于PKI技术的时间戳权威系统，对外提供精确可信的时间戳服务。

它采用精确的时间源、高强度高标准的安全机制，以确认系统处理数据在某一时间（之前）的存在性和相关操作的相对时间顺序，为实现系统数据处理的防抵赖性提供基础。

第二章术语及定义条目描述/详述PKI “公钥基础设施"，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系， PKI就是利用公钥理论和技术建立的提供安全服务的基础设施，也是信息安全技术的核心和电子商务的关键及基础技术。

数字证书由认证权威数字签名的包含公开密钥拥有者信息、公开密钥、签发者信息、有效期以及一些扩展信息的数字文件。

第三方认证中心第三方认证中心，即证书授权中心，是具有权威性、信赖性及公正性的第三方机构。

通过采用PKI（Public Key Infrastructure）公开密钥基础架构技术，专门提供网络身份认证服务。

摘要（哈希）通过对原文进行单向哈希函数运算得到的定长字符串，原文不同哈希值就不同，通过哈希值无法还原出原文。

身份认证与传统信息交换不同，参与网上信息交换的各方没有实际见面，任何一方存在被冒充的可能，所以安全的网络系统必须采用某种机制，使能够确认对方的身份。

数字签名被签名数据的哈希值经过私钥加密后的结果。

智能卡（key）安全电子签名生成设备。

在智能卡中存放电子签名制作数据及电子签名验证数据（私钥和数字证书），并在智能卡中实现与私钥有关的运算，在签名过程中，私钥不能读出智能卡，保证了私钥的安全。

身份认证系统（企业级CA）企业级证书认证系统，负责企业内部数字证书的发放和管理，实现网上用户的身份确认。

时间戳时间戳能提供电子文件的日期和时间信息的安全保护。

电子签章系统电子签名的一种表现形式，利用图像处理技术将电子签名操作转化为与纸质文件盖章操作相同的可视效果，同时利用电子签名技术保障电子信息的真实性和完整性以及签名人的不可否认性。

身份认证网关提供内部网络的访问控制以及对访问用户进行强身份认证和审计服务，解决用户使用应用系统时涉及的身份验证、信息保密、权限控制等安全问题。

签名认证服务器提供数字签名服务及对数据验证其数字签名的真实性和有效性的服务系统。

授权管理系统通过对用户的授权管理，实现对不同角色赋予不同权限，并根据相应权限进行资源的访问和操作，可对所有访问行为进行安全审计。

第三章SURE时间戳服务器概述3.1概述SURE时间戳服务器是可信的时间认证权威，是一款利用PKI、数字签名技术来检测网上行为时间可信性的安全产品，它将硬件加密设备(服务器密码机、密码卡)、组件技术、PKI 技术以及可信时间同步等技术结合，保证了网上行为中发生事件的时间的不可否认性。

SURE时间戳服务器采用客户/服务器模式，服务器端为基于Linux内核的硬件设备，具备极高的稳定性，可与第三方授时中心进行时间同步；客户端程序为API接口，能够与各类应用系统进行无缝的对接。

SURE时间戳服务器适用于网上交易、网上审批、ERP、OA、电子合同等多方面的电子政务、电子商务系统。

3.2网络部署时间戳服务器在网络中的部署示意图如下：时间戳服务器授时中心应用服务器组用户组Internet时间戳服务远程用户时间同步API 接口如上图所示，SURE 时间戳服务器及其应用主要由时间戳服务器、可信时间源、应用API 接口三部分组成，具有同步可信时间、签发可信时间戳、验证有效时间戳等功能，在下边的内容中，将逐步阐述。

3.3功能描述1、服务器端功能（TSA Server ）➢ 签发时间戳用户将需要加盖时间戳的数据，经过消息摘要后发送至时间戳服务器，由时间戳服务器返回的包含时间元素的信息包给客户端，完成时间戳的签发。

➢ 密钥管理时间戳服务器提供专用的密钥管理工具，保证自身签名证书的密钥安全保存、恢复和使用。

➢ 日志管理管理时间戳服务器的访问日志和系统日志。

➢ 数据库管理支持外置MySql、MSSQLServer、Oracle等数据库，对加盖时间戳的IP地址、时间戳进行记录。

➢同步可信时间支持NPT协议，能够与第三方授时中心、卫星授权时间源进行时间同步，确保所签发时间戳时所获取的时间的有效性。

➢硬件加密设备支持经过国家密码管理局鉴定的密码卡设备（SJK0930-B），可进行时间戳根密钥的生成和管理。

2、客户端应用接口（TSA Client API）功能➢验证时间戳用户将时间戳服务器签发的包含时间元素的信息包进行验证。