一種數(shù)字文件的防偽方法及系統(tǒng)的制作方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及密碼學(xué)����、產(chǎn)品防偽、食品藥品和計(jì)算機(jī)網(wǎng)絡(luò)安全領(lǐng)域,具體的說�,本發(fā)明給出了一種數(shù)字文件的防偽方法及系統(tǒng)。
【背景技術(shù)】
[0002]PKI (Public Key Infrastructure)即〃公鑰基礎(chǔ)設(shè)施〃,是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺����,它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書管理體系�����,簡單來說���,PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施�����。PKI技術(shù)是信息安全技術(shù)的核心��,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)����。
[0003]PKI技術(shù)采用證書管理公鑰,通過第三方的可信任機(jī)構(gòu)一CA (CertificateAuthority)認(rèn)證中心把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起�����,在互聯(lián)網(wǎng)上驗(yàn)證用戶的身份��。目前�����,通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書�����,通過把要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名����,保證信息傳輸?shù)臋C(jī)密性����、真實(shí)性���、完整性和不可否認(rèn)性����,從而保證信息的安全傳輸�����。PKI是基于公鑰算法和技術(shù)��,為網(wǎng)上通信提供安全服務(wù)的基礎(chǔ)設(shè)施�����,是創(chuàng)建���、頒發(fā)、管理�����、注銷公鑰證書所涉及到的所有軟件、硬件的集合體�����。其核心元素是數(shù)字證書���,核心執(zhí)行者是CA認(rèn)證機(jī)構(gòu)���。PKI技術(shù)是信息安全技術(shù)的核心,也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)���。
[0004]完整的PKI系統(tǒng)必須具有權(quán)威認(rèn)證機(jī)構(gòu)(CA)�����、數(shù)字證書庫�����、密鑰備份及恢復(fù)系統(tǒng)�����、證書作廢系統(tǒng)�����、應(yīng)用接口(API)等基本構(gòu)成部分��,構(gòu)建PKI也將圍繞著這五大系統(tǒng)來著手構(gòu)建����。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名��、數(shù)據(jù)完整性機(jī)制��、數(shù)字信封�、雙重?cái)?shù)字簽名等���。一個典型�、完整�����、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分:
[0005].公鑰密碼證書管理�����。
[0006].黑名單的發(fā)布和管理。
[0007]?密鑰的備份和恢復(fù)���。
[0008].自動更新密鑰����。
[0009].自動管理歷史密鑰��。
[0010].支持交叉認(rèn)證�。
[0011 ] 數(shù)字簽名,也稱公鑰數(shù)字簽名����,是指附加在某一電子文檔中的一組特定的符號或代碼,它是利用數(shù)學(xué)方法和密碼算法對該電子文檔進(jìn)行關(guān)鍵信息提取并進(jìn)行加密而形成的���,用于標(biāo)識簽發(fā)者的身份以及簽發(fā)者對電子文檔的認(rèn)可����,并能被接收者用來驗(yàn)證該電子文檔在傳輸過程中是否被篡改或偽造���。數(shù)字簽名操作具體過程如下:發(fā)送方對被簽名的電子文件(《電子簽名法》中稱數(shù)據(jù)電文)用哈希算法做數(shù)字摘要�,再對數(shù)字摘要用簽名私鑰做非對稱加密,即做數(shù)字簽名��,之后是將以上的簽名和電子文件原文以及簽名證書的公鑰加在一起形成簽名結(jié)果發(fā)送給收方����,待收方驗(yàn)證。接收方收到數(shù)據(jù)后����,首先用發(fā)送方的公鑰解密數(shù)字簽名,導(dǎo)出數(shù)字摘要����,并對電子文件原文做同樣的哈希算法,得到一個新的數(shù)字摘要�����,將兩個摘要的哈希值進(jìn)行結(jié)果比較����,結(jié)果如果相同����,簽名得到驗(yàn)證,否則簽名無效。
[0012]HASH,即散歹(J,也稱哈希�,即把任意長度的輸入(又叫做預(yù)映射,pre-1mage),通過HASH算法����,變換成固定長度的輸出,該輸出就是HASH值����。這種轉(zhuǎn)換是一種壓縮映射,即散列HASH值的空間通常遠(yuǎn)小于輸入的空間����,不同的輸入可能會生成相同的輸出,但不可能從散列值來唯一的確定輸入值�����。
[0013]可信時間戳是由權(quán)威可信時間戳服務(wù)中心根據(jù)國際時間戳標(biāo)準(zhǔn)《RFC3161》簽發(fā)的一個能證明數(shù)據(jù)電文(電子文件)在一個時間點(diǎn)是已經(jīng)存在的�、完整的、可驗(yàn)證的���,具備法律效力的電子憑證�����,可信時間戳主要用于電子文件防篡改和事后抵賴�,確定電子文件產(chǎn)生的準(zhǔn)確時間?��?尚艜r間戳(time-stamp)是一個經(jīng)加密后形成的憑證文檔�,它包括三個部分:
[0014](I)需加時間戳的文件的數(shù)字摘要(digest)����;
[0015](2)可信時間戳服務(wù)器收到文件的日期和時間;
[0016](3)可信時間戳服務(wù)器的數(shù)字簽名(根據(jù)⑴和(2)內(nèi)容生成)�。
[0017]隨著計(jì)算機(jī)安全技術(shù)的發(fā)展,公鑰基礎(chǔ)設(shè)施——PKI (Public KeyInfrastructure)在國內(nèi)外已得到廣泛的應(yīng)用����。如安全電子郵件、Web訪問�����、虛擬專用網(wǎng)絡(luò)和本地簡單登錄認(rèn)證以及電子商務(wù)����、電子政務(wù)����、網(wǎng)上銀行的各個環(huán)節(jié)都普遍應(yīng)用了 PKI���。可信時間戳服務(wù)器是一種基于PKI (公鑰密碼基礎(chǔ)設(shè)施)技術(shù)的時間戳權(quán)威系統(tǒng)���,對外提供精確可信的時間戳服務(wù)����。它采用精確的時間源�����、高強(qiáng)度高標(biāo)準(zhǔn)的安全機(jī)制���,以確認(rèn)系統(tǒng)處理數(shù)據(jù)在某一時間的存在性和相關(guān)操作的相對時間順序���,為信息系統(tǒng)中的時間防抵賴提供基礎(chǔ)服務(wù)。
[0018]通常����,數(shù)字文件制作方向傳統(tǒng)的可信時間戳服務(wù)器申請可信時間戳來證明數(shù)字文件的產(chǎn)生時間,但無法證明數(shù)字文件制作者的身份����。而為了證明數(shù)字文件制作者的身份���,需要向數(shù)字證書中心CA申請數(shù)字證書,并且不得不支付較高的費(fèi)用�。本專利在傳統(tǒng)可信時間戳的基礎(chǔ)上提出了可信身份時間戳。與傳統(tǒng)可信時間戳的不同特征在于�����,可信身份時間戳增加了身份信息��,即由四部分組成:
[0019](I)需加時間戳的文件的數(shù)字摘要(digest)���;
[0020](2)需加時間戳的文件的擁有者的經(jīng)過核實(shí)的身份信息�;
[0021](3)可信時間戳服務(wù)器收到文件的日期和時間�;
[0022](4)可信時間戳服務(wù)器的數(shù)字簽名(根據(jù)⑴,(2)和(3)內(nèi)容生成)����。
[0023]與可信時間戳相比,可信身份時間戳不僅可用于數(shù)字文件防篡改和事后抵賴��,確定數(shù)字文件產(chǎn)生的準(zhǔn)確時間�����,而且可以驗(yàn)證數(shù)字文件制作方的身份���。因此����,可信身份時間戳可以適用于任意形式的數(shù)字文件�����,如電子合同��,電子保單���,電子病例����,二維碼等�����。
[0024]與可信時間戳服務(wù)器相比�����,可信身份時間戳服務(wù)器需要增加對可信身份時間戳申請者的身份審核功能,并可以對注冊的申請者信息進(jìn)行管理和維護(hù)�。
【發(fā)明內(nèi)容】
[0025]本發(fā)明的目的在于提供一種數(shù)字文件的防偽方法及系統(tǒng),旨在解決現(xiàn)有技術(shù)的不兀吾�����。
[0026]本發(fā)明的目的還在于提供一種數(shù)字文件的防偽方法及系統(tǒng)����,以更好的解決現(xiàn)有技術(shù)存在的問題。
[0027]為了防止數(shù)字文件內(nèi)容被篡改以及生成時間和制作者身份的不可否認(rèn)的目的����,本專利在可信時間戳的基礎(chǔ)上提出了可信身份時間戳。與傳統(tǒng)可信時間戳的不同特征在于�����,可信身份時間戳增加了身份信息�,即由四部分組成:
[0028](I)需加時間戳的文件的數(shù)字摘要(digest);
[0029](2)需加時間戳的文件的擁有者的經(jīng)過認(rèn)證的身份信息�;
[0030](3)可信時間戳服務(wù)器收到文件的日期和時間;
[0031](4)可信時間戳服務(wù)器的數(shù)字簽名(根據(jù)⑴�,(2)和(3)內(nèi)容生成)�。
[0032]為了實(shí)現(xiàn)發(fā)明的目的���,所述的防偽方法包括以步驟:
[0033]步驟一:數(shù)字文件制作方向可信身份時間戳認(rèn)證中心申請可信身份時間戳,可信身份時間戳認(rèn)證中心核實(shí)數(shù)字文件制作方的身份����;
[0034]步驟二:可信身份時間戳認(rèn)證中心為數(shù)字文件生成可信身份時間戳;
[0035]步驟三:數(shù)字文件生成模塊根據(jù)數(shù)字文件原始信息����、可信身份時間戳信息,生成可信數(shù)字文件�;
[0036]步驟四:在使用或驗(yàn)證數(shù)字文件時,通過數(shù)字文件識讀模塊對數(shù)字文件進(jìn)行正確識讀���,提取其中的信息�,并將其輸出到可信身份時間戳驗(yàn)證模塊����;
[0037]步驟五:可信身份時間戳驗(yàn)證模塊從識讀信息中獲取時間戳信息并對其驗(yàn)證,如果驗(yàn)證通過����,則表明數(shù)字文件內(nèi)容完整有效��,并且數(shù)字文件制作方身份可信��。
[0038]所述步驟一所述可信身份時間戳認(rèn)證中心能夠?qū)尚派矸輹r間戳申請者的身份進(jìn)行審核�����;
[0039]所述步驟二所述可信身份時間戳認(rèn)證中心根據(jù)數(shù)字文件制作方提供的數(shù)字文件原始信息��、或者數(shù)字文件原始信息以及數(shù)字文件制作方的身份信息所生成的數(shù)字摘要���,經(jīng)過審核的數(shù)字文件制作方的身份信息,以及來自權(quán)威時間源的準(zhǔn)確日期/時間��,進(jìn)行數(shù)字簽名后生成可信身份時間戳�;
[0040]所述步驟五中可信身份時間戳驗(yàn)證模塊從識讀信息中獲取可信身份時間戳信息,通過驗(yàn)證可信身份時間戳中的數(shù)字簽名����,確認(rèn)可信身份時間戳的完整性和有效性;
[0041]所述步驟五中可信身份時間戳驗(yàn)證模塊從識讀信息中獲取可信身份時間戳信息��,如果被驗(yàn)證數(shù)字文件中包含數(shù)字文件制作方的身份信息�,則比較可信身份時間戳中的身份信息和被驗(yàn)證數(shù)字文件中的身份信息,如果內(nèi)容一致,則數(shù)字文件制作方的身份可信���,否則不可信��;
[0042]所述步驟五中可信身份時間戳驗(yàn)證模塊從識讀信息中獲取可信身份時間戳信息����,比對可信身份時間戳中的數(shù)字摘要和根據(jù)被驗(yàn)證數(shù)字文件的內(nèi)容生成的數(shù)字摘要��,如果內(nèi)容一致