书籍摘要

《GB/T 20520—2006 信息安全技术 公钥基础设施 时间戳规范》是由中华人民共和国国家质量监督检验检疫总局和中国国家标准化管理委员会于2006年8月30日发布，并于2007年2月1日正式实施的一项国家标准。本标准由全国信息安全标准化技术委员会提出并归口，由中国科学院信息安全国家重点实验室起草，旨在规范公钥基础设施（PKI）中时间戳的产生、管理和使用，确保信息安全和时间戳的权威性与可信度。

一、标准范围

本标准规定了时间戳系统的组成部件、时间戳的管理、时间戳的格式以及时间戳系统的安全管理等方面的要求。适用于时间戳系统的设计与实现，也可作为时间戳系统的测试和产品采购的参考依据。

二、时间戳系统组成

时间戳系统由可信时间源、签名系统和时间戳数据库三部分组成。可信时间源是时间戳系统的时间基准，签名系统负责接收时间戳申请、验证申请合法性以及生成和颁发时间戳，时间戳数据库则用于保存和管理时间戳。

三、时间戳的产生和颁发

时间戳的产生和颁发需遵循严格流程。用户通过电子邮件、文件传输、套接字或HTTP等方式向时间戳机构（TSA）提交申请，TSA验证申请合法性后生成时间戳并签名，随后将时间戳通过对应方式返回给用户。可信时间的获取需来自国家权威时间部门或其认可的硬件和方法，确保时间的精确性和可信度。

四、时间戳的管理

时间戳的管理包括保存、备份、检索、删除和销毁以及查看和验证。时间戳数据库应保存时间戳的详细信息，并定期备份，备份数据需异地存放以确保安全。TSA应为用户提供方便的检索方式，支持通过时间戳入库时间、序列号或完整编码检索。错误的时间戳可由管理员删除并备份，丧失使用价值的时间戳可在TSA证书失效后销毁。此外，TSA应提供查看和验证时间戳的方法，用户可通过验证TSA证书确认时间戳的合法性。

五、时间戳的格式

时间戳格式需满足多项要求，包括包含可信时间值、一次性随机整数（nonce域）、唯一标识符等。时间戳的时间表示应为UTC时间，精度至少到秒。申请和响应消息格式采用特定的结构，申请消息包含版本号、数据散列值、策略标识等，响应消息则包含状态信息和时间戳令牌。时间戳令牌的结构符合RFC2630定义的signedData类型，其中包含时间戳的具体内容。

六、时间戳系统的安全

时间戳系统的安全性至关重要，包括物理安全和软件安全。物理安全需遵循相关国家标准，确保设备和记录介质的安全。软件安全涉及运行环境、可信时间源、签名系统和时间戳数据库的安全要求。TSA的运行环境需达到或高于“系统审计保护级”要求，可信时间源需确保时间信息的完整性和真实性，签名系统需严格控制密钥访问并具备完善的审计功能，时间戳数据库的安全等级也需符合国家标准。此外，审计功能需对关键事件产生记录，并确保审计数据的完整性和可追溯性。

七、总结

《GB/T 20520—2006 信息安全技术 公钥基础设施 时间戳规范》为时间戳系统的设计、实现和管理提供了全面的规范和指导。通过明确时间戳系统的组成、时间戳的产生与管理流程、格式要求以及安全措施，本标准确保了时间戳的可信度和安全性，为信息安全领域提供了重要的技术支持和保障。该标准的实施对于促进信息安全技术的发展和应用具有重要意义。