時間戳

時間戳的主要目的在於通過一定的技術手段，對數據產生的時間進行認證，從而驗證這段數據在產生後是否經過篡改。所以時間戳服務的提供者必須證明服務中使用的時間源是可信的，所提供的時間戳服務是安全的。下面介紹最常見的幾種時間戳協議，並對各個協議的原理進行分析。 ^[3] 

在使用時間戳服務時，所涉及到的角色一般有以下幾種：提供時間戳服務的機構（Time-Stamping Authoritor），申請時間戳服務的用户（Subscriber）和時間戳證書的驗證者（Relying Party）。時間戳機構的主要職責是為一段數據申請時間戳證書，證明這段數據在申請時間戳證書的時間點之前真實存在，在這個時間點之後對數據的更改都是可以追查的，這樣就可以防止偽造數據來進行欺騙。證書持有者把需要申請時間戳證書的數據發送給時間戳機構，時間戳機構將生成時間戳證書發送給證書持有者。在需要證明該數據未被篡改時，證書持有者展示數據所對應的時間戳證書，時間戳證書的驗證者來驗證它的真實性，而從確認該數據是否經過篡改。 ^[3] 

最基本的時間戳協議的工作流程如下；申請時間戳服務的用户將需要認證的數據傳輸給時間戳服務的提供者；時間戳服務的提供者將經過認證後的時間戳證書返還給用户。 ^[3] 

簡單時間戳協議的工作流程如圖1所示：用户將需要認證的數據傳輸給時間戳機構，數據經過 Hash運算得到 m=Hash（M），時間戳機構將 m 和收到數據的時間 t 一起進行數字簽名，然後將生成的時間戳證書 Sign（m，t）返還給用户。在需要驗證時間戳證書時，首先驗證時間戳證書 Sign（m，t）是否為時間戳機構簽發的，其次驗證 m 是否為用户數據經過Hash 運算得到的結果。如果兩項驗證中有任何一項不通過，就證明用户的數據經過了篡改；如果都通過，説明用户的數據在時間 t 之後沒有進行過任何修改。這個方法通過對數據進行 Hash 運算，保護了用户數據的隱私，在另一方面也減少了時間戳機構的存儲容量，為時間戳機構削減了成本。 ^[3] 

線性鏈接協議是為了解決時間戳機構必須完全信任這一問題而提出的。 ^[3] 

這個協議的設計思想是為了建立起時間戳證書之間的緊密聯繫，像鏈表一樣將用户申請的時間戳證書按照順序鏈接起來。時間戳機構將收到的數據的Hash值用鏈表鏈接起來，把第n組數據的時間戳證書鏈表鏈接到第n-1組數據的時間戳證書鏈表之後。 ^[3] 

為了驗證時間戳機構是否存在欺騙行為，機構設定一個固定的時間，通過不同渠道將最近通過的時間戳證書列表公佈出來。任何人都可以通過時間戳機構公佈的證書列表來驗證時間戳鏈表的有效性，從而確定時間戳機構是否公正可靠。 ^[3] 

圖2給出了8個數據的時間戳鏈表的結構示意圖，通過這種方法，時間戳機構將不同用户的時間戳證書按照申請服務的順序鏈接起來，從而得到了一條完整的時間戳證書鏈接。一方面，時間戳機構就可以通過完整的時間戳證書鏈接來確認兩個數據申請時間戳服務的先後順序；另一方面，由於用户的時間戳證書中會包含前一個用户申請時間戳證書時的部分信息，而時間戳機構也無法決定用户申請時間戳服務的次序，所以即便時間戳機構與用户相互串通，也無法改變整個時間戳證書鏈接中用户證書的位置。 ^[3] 

樹型協議是線性鏈接協議的優化協議，這個協議把時間戳證書鏈接分解成很多小的組。在每組中，時間戳服務的使用者可以向TSA提出時間戳證書申請。可以通過建立一棵樹型結構實現整個流程，其中樹型結構的葉子是使用者的時間戳證書申請，TSA使用一個安全的Hash函數來計算樹型結構中的節點值。樹型結構如圖3所示。 ^[3] 

樹型協議減少了時間戳機構中時間戳證書的存儲數量。要驗證H_ni是否是在第n輪中申請的時間戳證書，只需要驗證能否通過H_ni推算出N_i。同時此協議還可以防止對時間戳證書的篡改，用户要同TSA互相串通，才可能對第n組中的某個時間戳證書進行篡改。但第n組的信息包含在了n+1組的時間戳中，所以可以通過n+1組的時間戳審查第n組的時間戳是否正確。 ^[3] 

但是樹型協議也有它自己的問題。樹型協議不能驗證同組中兩個時間戳證書的相對次序，因為同組的時間戳證書都是在第n組結束時發佈，但他們卻不是同時被時間戳機構收到的。所以樹型協議無法確定同一組中時間戳證書的正確順序。除非絕對相信TSA能夠保持同一組時間戳的正確次序或者減少每一組內的數據個數，但如果個數太少，系統的效率就會隨之降低。同線性鏈接協議相同，如果待驗證的時間戳證書與參考的時間戳證書中存在的時間戳證書較多時，可用性就會大大降低。 ^[3] 

在線性鏈接協議的基礎上，人們又提出了二進制鏈接協議。相比於線性鏈接協議，二進制鏈接協議更具有建設性，並且實際可用。二進制鏈接協議可以定義為一個有向無環的鏈接圖。圖4給出了構造一個二進制鏈接圖H_k的步驟： ^[3] 

為了更直觀的看出二進制鏈接圖的構造過程，通過例子來説明，如圖5所示，就是一個二進制鏈接圖H5的構建過程： ^[3] 

對於任意的兩個頂點a和b，若k>2，且0 < # ≤ % < 2_k， 如果l(a,b)是從b到a的最短驗證路徑，則有l a,b ≤ 3k − 5 。 ^[3] 

因為二進制鏈接協議由一個常數來劃分組，然後按照上述方案來構造各個組之間的時間戳證書鏈接。所以，在驗證鏈接有效性時，二進制鏈接協議的時間複雜度要遠遠小於線性鏈接協議的時間複雜度，它的時間複雜度僅為O(logn)。 ^[3] 

圖6顯示的是線索認證樹協議[[W₃]]的構建過程，W₃鏈接很簡單，由樹的後序遍歷可 得 2 → 3 → 10 → 4 → 5 → 11 → 14 → 6 → 7 → 12 → 8 → 9 → 13 → 15 → 16 ， 那麼ℎead(4) = (1,4,10) ，tail(4)=(5,15)，ℎead(8)= (1, 8, 12,14) ，tail(8)=(9)，則單一的時間戳為sign(4)= (4;L₁,L₄,L₁₀;L₅,L₁₅)，sign(8)= (8;L₁,L₈,L₁₂,L₁₄;L₉)。 ^[3] 

與二進制鏈接協議相比，線索認證樹協議的時間戳長度為klog_n2，二進制鏈接協議為6klog_n2。相比之下，線索認證樹協議大大減小了單個時間戳的大小。所以線索認證樹協議有着高效的驗證效率。但該協議存在的問題和二進制鏈接協議一樣，由於協議所使用的算法很複雜，所以在工程實現上具有一定的難度。 ^[3] 

分佈式協議的設計思想為在整個申請時間戳證書的工作流程中，涉及到了以下幾種角色：一組自願的時間戳證書籤發者、一個安全的Hash算法和一個隨機挑選簽發人員的隨機算法。 ^[3] 

當用户想對數據申請時間戳證書時，用户先用Hash算法計算數據的Hash值，得到一個隨機數；在用隨機算法挑選隨機的簽發者。然後用户將計算出的Hash值發送給通過算法隨機得到的各個簽發者。等簽發者收到用户發來的Hash值後將收到數據的時間添加到Hash值後面，再對Hash值和時間整體進行簽名，返回簽名結果給用户，用户把所有的簽名作為時間戳證書存儲起來。 ^[3] 

在此協議中，由於所有對數據Hash值進行簽名的簽發者是通過算法隨機產生的，所以對於隨機選出的簽發者，用户一般不可能與之串通偽造時間戳，除非所有人都與用户串通，但這顯然是不可能的。 ^[3] 

在此協議的使用過程中，用户必須要與所有選出的簽發者進行實時聯繫，及時瞭解簽發者發生變動的情況。當簽發者無法即時對數據簽名時，需要有一種備用機制進行處理。在此協議中，別的協議中必須的時間戳機構是不存在的。每一個用户在自願的情況下都可以當做簽發者使用。 ^[3] 

分佈式協議的描述如下： ^[3] 

此協議的優點是不可能提前知道進行簽名的簽發組G(m)。為了偽造一個時間戳，用户不可能為了偽造一個時間戳，就能與k個隨機選取的簽發者串通。但是另一方面，分佈式方案也有很明顯的缺點。第一、需要提前建立簽發組，而且只能從預先建立的簽發者集合中使用算法隨機選出簽發者。第二、網絡帶寬要求k倍於簡單時間戳協議。第三、如何在法律層面定義不同時間源的時間認證和可信度也是一個棘手的問題。因此，分佈式時間戳協議如果實現仍存在相當大的難度。 ^[3] 

通俗的講，時間戳是一份能夠表示一份數據在一個特定時間點已經存在的完整的可驗證的數據。它的提出主要是為用户提供一份電子證據，以證明用户的某些數據的產生時間。在實際應用上，它可以使用在包括電子商務、金融活動的各個方面，尤其可以用來支撐公開密鑰基礎設施的“不可否認”服務。 ^[1] 

時間戳服務的本質是將用户的數據和當前準確時間綁定，在此基礎上用時間戳系統的數字證書進行簽名，憑藉時間戳系統在法律上的權威授權地位，產生可用於法律證據的時間戳，用來證明用户數據的產生時間，達到“不可否認”或“抗抵賴”的目標。時間戳系統的組成主要包括三個部分：可信時間源、簽名系統和時間戳數據庫： ^[1] 

(1) 可信時間源就是時間戳系統的時間來源，TSA系統中的所有部件的時間都必須以這個可信時間源為標準，尤其在頒發的時間戳中填寫的時間必須嚴格按照可信時間源填寫。而作為可信時間源自身，其或者就是國家權威時間部門發佈的時間，或者是用國家權威時間部門認可的硬件和方法獲得的時間。 ^[1] 

(2) 簽名系統負責接收時間戳申請、驗證申請合法性以及產生和頒發時間戳，最後將時間戳存儲到數據庫中。這個過程中，申請消息和頒發時間戳格式、時間戳的產生和頒發都必須符合規範中給出的要求。用户向簽名系統發起時間戳申請，簽名系統獲取用户的文件數據摘要後，再驗證申請的合法性，最後將當前時間和文件摘要按一定格式綁定後簽名返回，並保存在數據庫中。 ^[1] 

(3) 時間戳數據庫負責保存TSA系統頒發的時間戳，而且必須定期備份，以便用户需要時可以申請從中取得時間戳。對時間戳數據庫的存儲、備份和檢索也要求符合規範中給出的規定。 ^[1] 

標準中規定了時間戳的申請和頒發方式、可信時間的產生方法、時間的同步和申請和頒發過程。 ^[1] 

TSA可以通過不同的方式接收時間戳申請和頒發時間戳，但應至少支持下列四種方式的其中一種： ^[1] 

TSA應明確指出其支持的申請方式，用户只能在此範圍內選擇如何申請。一般來説，由於WEB服務在網絡中應用的普及，TSA 最少應支持用户通過 HTTP 申請時間戳。無論 TSA 支持哪種申請方式，《時間戳規範》規定了整個申請和頒發時間戳的過程至少應該包括的一系列基本過程。TSA在產生時間戳時，可信時間源是整個系統工作的基礎。可信時間的源頭可以使用以下的一種或多種方法獲得： ^[1] 

TSA也可以使用多種方法產生可信時間，以保證時間的精確度。通過多種方法產生最終可信時間應該是產生的多個可信時間的折衷。由於 TSA 系統可能由多個部件組成，各部件還應根據可信時間同步部件自身的時間。在同步過程中，《時間戳規範》規定了部件同步應滿足的一系列條件。 ^[1] 

標準中規定了對TSA的要求、密鑰標識、時間的表示格式、時間戳申請和響應消息格式、保存文件、所用MIME對象定義和時間戳格式的安全考慮。時間戳的格式是此標準的重點內容，主要參考了RFC3161。對 TSA 的要求，標準中明確了時間戳中由 TSA 滿足的一系列信息項要求。 ^[1] 

TSA 應有專門的密鑰對時間戳消息簽名，但一個TSA可以有許多不同的私鑰以適應不同的要求，標準中規定了密鑰標識的格式。在每一個時間戳裏都包含一個可信時間值，這個時間值的表示格式也在標準中進行了規定。時間戳的申請消息和相應消息是最基本的消息，標準中規定了這兩個消息的格式，並解釋了格式中的各數據項。標準還規定了時間戳申請和響應消息以文件方式保存時對文件的要求。 ^[1] 

當 TSA 支持通過電子郵件或者HTTP 申請時間戳時，標準規定了其申請和相應消息的MIME對象定義。時間戳格式在使用時應該進行的安全考慮也在標準中進行了要求 ^[1] 

《時間戳規範》的標準中規定了時間戳的保存、 時間戳的備份、 時間戳的檢索、 時間戳的刪除和銷燬、 時間戳的查看和驗證。 ^[1] 

時間戳的保存包括在TSA （時間戳機構）方的保存和在用户方的保存。 在TSA方的保存涉及到時間戳數據庫的管理和時間戳記錄應當包含的信息項， 一般最少應包括入庫時間、 序列號、 完整編碼等。 時間戳在用户方一般由用户自行保存。 ^[1] 

時間戳的備份在標準中規定了一系列要求， 如定期備份、 備份介質等。 ^[1] 

時間戳的檢索在標準中規定了至少三種檢索方式， 包括分別按照入庫時間、 序列號、 完整編碼檢索。 ^[1] 

當 TSA系統由於內部錯誤或者外部攻擊導致產生錯誤的時間戳時， 標準規定了刪除時應遵循的要求。 在確定某時間戳已經喪失其價值後， 標準規定了銷燬時應遵循的要求。 ^[1] 

時間戳的查看和驗證在標準中規定了TSA應該給用户提供一個方便安全的方法查看其頒發的時間戳， 例如提供一個查看軟件等。 TSA還應該給用户提供一個方便安全的方法對其頒發的時間戳進行驗證， 例如提供一個驗證軟件或者通過互聯網驗證等。 ^[1] 

由於時間戳在電子取證中的重要作用及其法律地位，時間戳系統必須擁有極高的安全級別， 安全保護應包括物理環境安全和軟件安全。 ^[1] 

物理環境安全包括機房安全、 設備安全和記錄介質安全。軟件安全包括運行環境、 可信時間源、 簽名系統、 時間戳數據庫和審計。 其中， 審計對於錯誤的查找和責任的跟蹤具有重要作用， 標準中詳細的規定了審計數據產生、審計查閲、 審計事件存儲、 可信時間、 審計日誌簽名的要求。 對於證書和密鑰的管理應按國家密碼管理部門相關標準與規定執行。 ^[1]