不可靠网络环境下的数字时间戳服务研究

文章编号:1001-9081(2012)01-0060-06 doi:10.3724/SP.J.1087.2012.00060

摘 要:数字时间戳(DTS)技术被广泛用于数字签名、电子商务及各种软硬件产品的专利和产权保护。在一些网络状况差、网速变化大、时断时续的不可靠网络中，缺乏必要的技术手段来保证时间戳服务的正常、有效运行。根据不可靠网络的特点，设计了一个不实时依赖时间戳服务中心(TSA)的时间服务模型，每次进行时间戳服务时不再需要与远程TSA进行通信，而是通过本地可信平台来进行时间戳服务。还提出一种不可靠网络环境下基于可信平台模块(TPM)的数字时间戳服务协议，并对协议进行了安全性分析。结果表明，协议是安全的，协议产生的时间误差是可控的，对不可靠网络有很好的适应性。

关键词:数字时间戳；不可靠网络；可信平台模块；滴答计数器

中图分类号: TP309.2 文献标志码:A

Abstract: The technology of Digital TimeStamping (DTS) is widely used in digital signature, electronic commerce and patents and property right protection of various software and hardware. For some unreliable networks, of which the network situation is poor, the net speed changes greatly and the net links are usually intermittent, there is no necessary technological means to guarantee the normal and effective operation of DTS service. According to the characteristics of the unreliable networks, a new timestamping scheme was proposed. In the scheme, it did not need to communicate with Time Stamp Authority (TSA) each time when a timestamping service was required. The local trusted platform would offer the timestamping service itself. A new DTS service protocol based on Trusted Platform Module (TPM) was also proposed under the circumstances of unreliable networks. The results of the security analysis of the protocol show that the protocol is secure and the time error in the protocol can be kept under control. The adaptability of the protocol for the unreliable network is excellent.

Key words: Digital TimeStamping (DTS); unreliable network; Trusted Platform Module (TPM); tickcounter

0 引言

数字时间戳(Digital TimeStamping, DTS)是一种利用计算机和网络手段为用户电子文档或进行电子交易时提供的可靠的时间证明，是电子投标、电子投票等应用的关键技术之一，也用于防止网络通信时的重放攻击［1-3］。目前，对于数字时间戳的研究与应用主要体现在一般的网络环境中［4－9］下，数字时间戳是通过时间戳服务中心（Time Stamp Authority, TSA）为电子文档或者电子交易提供的时间证明［10-11］。如图1所示。

用户需要进行时间戳服务时，都实时地与可信第三方TSA进行通信，由TSA对用户数据进行时间戳服务后将结果发送回用户计算机。但在一些网络状况差、网速变化大、时断时续的不可靠网络中，TSA的存在会严重恶化网络通信质量和系统可用性。

本文根据不可靠网络的特点，设计了一个不实时依赖TSA的时间服务模型。

1 不实时依赖TSA的时间服务模型

1.1 模型组成

针对不可靠网络时间戳服务出现的问题，本文提出一种不实时依赖TSA的时间服务模型。不同于传统模型，它每次进行时间戳服务时不再需要与远程TSA进行通信，而是通过本地可信平台来进行时间戳服务，可信平台通过定期与TSA交互来获取对可信平台模块(Trusted Platform Module, TPM)模块滴答计数器计数状态的时间戳签名作为时间基准，当用户需要进行时间戳服务时，由本地时间戳生成模块调用TPM模块计算出当前时间信息，并把基准时间戳信息、TPM对当前滴答计数值的签名和当前时间一起作为时间戳信息提供给验证方，进而完成本地时间戳服务。如图2所示。

该模型包括两大部分：一是自带时间戳服务和时钟同步的可信平台；二是传统的可信第三方TSA。不实时依赖TSA的时间服务模型的核心是自带时间戳服务和时钟同步的可信平台，TSA仅仅起到基准时间戳服务的功能，不需要实时与网络相连，当用户需要进行时间戳服务时，将不再实时地发送用户数据摘要给TSA服务器来获取时间戳服务，而是直接在其本地由自带时间戳服务和时钟同步的可信平台来完成。

1）时间戳服务。

为了获取时间戳服务，模型设计了两个服务阶段：基准时间戳获取阶段和时间戳生成阶段。基准时间戳获取阶段是可信平台通过初始化及更新与TSA交互获取基准时间戳信息的过程。时间戳生成阶段是当用户需要对其文件、数据进行时间戳服务时，可信平台通过其存储的基准时间戳信息（TSA的时间戳签名）和TPM模块的当前滴答计数器状态结合对用户文件、数据在本地进行时间戳服务。

2）时钟同步。

可信平台的时钟同步功能是基于时间戳服务功能的。在基准时间戳获取时，基于信息在网络传输的延迟（从发送请求到接收到响应的时间除去TSA服务的时间）的大小设置时间戳可信阈值对于“可信域值”，是“可信域的值”？还是可信阈值？请明确。。当传输延迟小于这一阈值时，可以认为网络状况良好，基于网络时间协议（Network Time Protocol, NTP）可得到标准时间，进而完成时间同步。当传输延迟大于这一阈值时，可使用上一次时钟同步所使用的基准时间与TPM滴答计数器计数增长值相结合来计算标准时间，最后对用户本机时间进行更新同步。时钟同步将在1.3节中进行详细讨论。

1.2 自带时间戳服务的可信平台设计

不实时依赖TSA的时间服务模型的基础是在用户计算机上配置自带时间戳服务的可信平台。通过可信平台实现不可靠网络中在用户本地对用户的时间戳服务和时钟同步，如图3。

可信平台分为三个层次：

底层是密码服务层，包括TPM模块和加密卡。TPM模块为上层提供可信平台服务和可信时钟计数（Tick）服务，加密卡为时间戳签名服务提供密码服务。

中间层提供时间戳服务和时钟同步服务功能。这些功能的实现依赖存储模块、通信模块、时间戳生成模块和时间戳验证模块支撑。

上层是应用层，它依赖中间层实现的时间戳服务和时钟同步模块。

1）TPM模块。

在时间戳生成过程中，TPM通过提取其滴答计数器当前状态值与存储的基准时间戳相结合计算当前时间信息。同时TPM模块在时间戳服务过程中，还对自己滴答计数器当前值签名作为时间戳服务时间信息的一部分。

2）时间戳生成模块。

时间戳生成模块是进行时间戳服务的主控所在。时间戳生成模块通过调度TPM模块、存储模块和加密卡完成时间戳生成服务。

3）时间戳验证模块。

时间戳验证模块的主要作用是对自己或其他用户带有时间戳的文件的时间戳真实性进行检验。本时间戳服务模型的时间戳验证过程由用户在自己本地完成，不必远程地访问其他用户或者是TSA。模型在时间戳生成过程中，对文件加盖的时间戳时间不只是单纯的时间戳服务当前时间，还包括用TPM私钥签名的当时滴答计数器状态和从TSA处得到的基准时间戳信息――TSA的时间戳签名。

4）加密卡。

加密卡是个硬件设备，其保存有自己的密钥信息（包括时间戳服务签名公私钥密钥对、TSA公钥证书等）。时间戳服务过程中，时间戳生成模块用加密卡的签名私钥对数据进行签名验签。

5）存储模块。

存储模块是对每次获取的基准时间戳信息进行保存并对每次进行时间戳服务时的日志进行记录，为在时间戳生成过程中读取基准时间戳信息打下基础。

6）通信模块。

通信模块的主要作用是当系统初始化和更新时为用户计算机平台与可信时间戳服务中心TSA的通信提供通信接口。

1.3 基于可信平台时间戳服务的时钟同步

当可信平台开始工作后，每经过时间周期Tr，可信平台都要通过通信模块与TSA服务器交互来更新存储模块中的基准时间戳信息。在每次更新时TPM都要计算滴答计数器计数差（用γ表示），设β为TSA服务器相应终端请求的时间（包括通信所用时间），则信息传输过程中延迟之和δ可表示为式(1)：

δ=γ*p-β（1）

其中p是滴答计数器的滴答增量比率，也就是两个滴答计数之间对应的物理时间。

假设信息传输过程延时门限为ε（ε>0），当0

TC=TS+δ/2（2）

其中：TC表示当前标准时间，TS表示TSA发送响应的时间。

根据以上分析，基于可信平台时间戳服务的时钟同步可描述如下。

1）每经过时间间隔Tr，可信平台通过通信模块与TSA服务器交互更新基准时间戳信息。更新时，要求TSA服务器附加其发送响应的时间。

2）当可信平台收到TSA响应后，通过解密运算提取TSA时间戳响应中包含的时间戳时间T及响应发送时间TS。计算式(3)~(4)：

β=TS-T（3）

γ=Si-S（4）

其中： β为TSA服务器的服务时间，Si是当前滴答计数器状态，S是时间戳服务系统向TSA发送请求时的滴答计数器状态，γ为滴答计数器计数差，δ信息传输过程中延迟之和。

3）若δ≤ε则进行步骤4）；否则计算从上一次成功时钟同步到本次之间的滴答计数器计数差ω，计算TC=TC-1+ω*p，TC-1是指在上一次更新时的更新时间。使用TC更新用户本机时间，结束。

4）用式（2）计算当前标准时间。

5）使用TC对用户本机时间进行更新。

6）记录时钟同步状态数据，结束。

1.4 不实时依赖TSA的时间服务模型与传统时间戳服务模型比较

本文所设计的不实时依赖TSA的时间服务模型不同于传统的数字时间戳服务系统，它每次进行时间戳服务时不再需要与远程TSA进行通信，而是在用户本地通过自带时间戳服务和时钟同步的可信平台来进行时间戳服务。具体比较如表1。

传统时间戳服务和本文时间戳服务各有其优缺点，具体表现在传统时间戳服务系统在可靠网络下工作良好，能较好地满足用户的服务需求，但在不可靠网络环境中却有很多弊端，有可能因网络中断而导致时间戳服务无法完成。而本文时间戳服务模型在不可靠网络环境中工作表现出很强的适应性，具有很大优势；而在可靠网络中，用户端工作量太大，须配置自带时间戳服务和时钟同步的可信平台，且不如传统系统的时间戳时间准确，故而其在可靠网络中的应用不占优势。表2给出了两种模型的简要优劣势对比。

2 基于TPM的数字时间戳服务协议

2.1 基准时间戳获取协议

基准时间戳的获取，由可信平台（自带时间戳服务和时钟同步模块）与TSA服务器交互来完成的，具体包括：平台初始化时获取基准时间戳和平台定期更新基准时间戳。

2.1.1 初始化过程

初始化过程是在可信平台初始接入到网络中、系统重启或因其他情况需进行系统初始化时进行的。初始化时TPM模块通过通信模块与数字时间戳服务中心TSA进行交互，其目的在于通过交互获取用于时间戳服务的基准时间戳。如图4所示。

初始化一开始，TPM模块的滴答计数器从新的计时区域开始计时，TPM模块生成随机数、提取滴答计数器当前计数值并用自身私钥签名，随后将随机数、签名的滴答计数器当前值以及滴答增量比率作为请求信息通过通信模块发送给时间戳服务器TSA，当接收到来自TSA的时间戳响应后，对响应信息进行验证，验证通过则将TSA的时间戳签名信息作为基准时间戳存储至存储模块，若验证失败，则重新进行初始化。

1）用户计算机在需要进行系统初始化时，TPM模块中的滴答计数器开始新的时间区域，这时滴答计数器开始计数，滴答计数值（Tick Counter Value， TCV）按照滴答增量比率（Tick Increase Ratio， TIR）增加。假设TPM模块滴答计数当前值TCV为S，则TPM模块生成随机数N，然后将随机数N、TIR与TPM用私钥对S的签名{S}K－1TPM一起作为时间戳服务请求通过通信模块发送至时间戳服务器TSA：

TPM模块通信模块:{S}K－1TPM,N,TIR

通信模块TSA:{S}K－1TPM,N,TIR（5）

当时间戳服务器TSA收到由通信模块发送的请求消息｛{S}K－1TPM，N，TIR｝后，对请求消息进行验证，验证通过后，提取当前的时间Time，然后用自己的私钥对消息｛{S}K－1TPM，N，TIR，Time｝进行签名后，将签名后的消息再发送至通信模块，其中K-1TSA为时间戳服务器TSA的私钥：

{S}K－1TPM,N,TIR,{{S}K－1TPM,N,TIR,Time}K－1TSA（6）

2）在时间周期Tr内，若通信模块收到时间戳服务器TSA发回的响应，则通信模块转发该消息至TPM模块，再由TPM模块对发回的响应消息进行验证，此时转入步骤3）；否则超时，TPM模块重新开始初始化，此时返回步骤1）。

通信模块TPM模块:{S}K－1TPM,N,TIR,{{S}K－1TPM,N,TIR,Time}K－1TSA（7）

设置时间周期Tr是为了避免由于网络不可靠等原因而造成的消息丢失等情况，从而提高用户计算机与时间戳服务器TSA之间交互的效率。

3）TPM模块在接收到来自通信模块的消息后，用时间戳服务器TSA的公钥处理收到的消息，如果得到的结果与发送时对滴答计数当前值的签名{S}K－1TPM和随机数N一样，则验证成功；否则验证失败，TPM模块需要重新提取滴答计数器当前值(记为TSN)请补充TSN的中文名称和英文全称。，并生成新的随机数，然后发送新一轮的时间戳服务请求，返回步骤1）。

设KTSA为TSA公钥，验证过程为：

{{{{S}K－1TPM,N,TIR,Time}K－1TSA}KTSA－{TIR,Time}}=?{S}K－1TPM,N（8）

4）TPM模块提取响应中滴答计数器状态S，时间信息Time及TSA签名信息{S,Time,{{S}K－1TPM,N,TIR,Time}K－1TSA}，然后将其存储在系统存储模块中。

5）初始化过程结束。

2.1.2 更新过程

更新过程是在可信平台正式工作后，定时通过通信单元与TSA服务器交互更新存储模块中基准时间戳信息，以确保在为用户提供时间戳服务时存储模块中基准时间戳的可靠有效性。其原因有以下几点。

1）经过一段时间后重新获得基准时间戳信息，可以更有效地保证时间戳服务时基准时间戳的新鲜性、可靠性与可信性。

2）协议是通过基准时间和TPM模块中的滴答计数器增量共同作用，表示时间标记信息的。由于TPM嘀嗒计数器增量表示的时间信息和计算平台时钟精度有关，若长时间不更新基准信息，因滴答计数器累积造成的时间误差将变得不能接受，及时地更新基准时间戳信息可以在一定程度上增加时间标记信息的精确性。

更新过程和初始化过程一致，不同点在于初始化过程是在滴答计数器新的计数区域开始时，更新过程则是之后定期进行的行为。

另外，在不可靠网络中，由于环境的不稳定与不可靠性，消息的响应时间可能会比较长，这对基准时间信息的准确性带来不利影响。鉴于此，在更新中设定一个响应时间误差允许阈值λ，如果响应时间大于λ，则丢弃这次获得的基准时间戳，重新进行更新过程。这样又会面临长期无法得到有效TSA时间戳响应的情况，为了避免这种情况的发生，在此，设立一个机制：在无法获得基准时间戳的次数达到一定的情况下，定义的阈值线性地缓慢升高，以避免因时间过久TPM模块的滴答计数器计数值误差累积得过于庞大。

2.2 时间戳服务协议

时间戳服务包含两个部分：时间戳生成和时间戳验证。时间戳生成是可信平台对用户文件数据提取摘要并加盖时间戳的过程；时间戳验证为用户提供了对于时间戳的验证方法。

2.2.1 时间戳生成协议

在初始化过程结束后，用户就可以向可信平台请求时间戳生成服务。时间戳生成模块在TPM模块及加密卡的辅助下完成时间戳生成过程，如图6所示。

1）当某用户文件A需要进行时间戳生成服务时，时间戳生成模块通过Hash算法生成文件A的数据摘要AN，并将AN发送到TPM模块；

时间戳生成模块TPM模块：AN（9）

2）当TPM模块接收到AN后，提取存储模块中保存的基准时间戳TS以及滴答计数器当前值TSN＝SA，通过TPM模块滴答计数器的原理计算出当前时间TimeA，设基准时间戳对应的滴答计数器计数值为S，则：

ΔS=SA－SΔTime=ΔS/TIRTimeA=Time+ΔTime（10）

其中Time为基准时间戳TS中包含的时间信息。

3）计算出当前时间TimeA后，TPM模块用自己的私钥对当前滴答计数值｛SA｝进行签名，产生{SA}K-1TPM，然后将{AN，TimeA，{SA}K-1TPM，TS}发回至时间戳生成模块；

TPM模块时间戳生成模块：

AN,TimeA,{SA}K－1TPM,TS（11）

4）时间戳生成模块用加密卡的私钥对{AN，TimeA，{SA}K-1TPM，TS}签名。

{AN,TS,TimeA,{SA}K－1TPM}K－1CARD（12）

其中K-1CARD为加密卡的私钥。

5）返回时间戳给用户。

时间戳生成模块用户：AN,{AN,TS,TimeA,{SA}K－1TPM}K－1CARD（13）

6）协议结束。

图7描述了时间戳生成的时序。

2.2.2 时间戳验证协议

当用户接收到文档携带的时间戳信息时，就需要对文件的时间戳进行验证。与传统的时间戳验证不同，由于可信平台在对用户文件数据摘要生成时间戳时，将与时间戳验证的相关信息及基准时间戳信息都附加在了用户的时间戳中，对此进行验证时，不需要再经过可信平台获取验证服务，而只需层层解密对文件时间标记进行计算，并将计算结果与时间戳中包含的文件时间标记做一致性判断，如图8。

1）用户读取文件时间戳签发者可信平台加密卡公钥，使用公钥对文件时间戳解密得到文件摘要AN、基准时间戳TS、文件签发时间TimeA以及TPM对滴答计数状态的签名{SA}K-1TPM。

2）用户对文件A使用与之前相同的哈希算法，提取摘要AM，比较AM=?AN。若相等则继续步骤3）；否则验证失败。

3）用TPM公钥解密{SA}K-1TPM得到SA；用TSA公钥解密基准时间戳TS得到Time，TIR，再使用TPM公钥解密{S}K-1TPM。

4）计算：TimeB=Time+(SA-S)/TIR此处的DIR，应该是TIR吧，图8中是这样描述的，请明确。，判断TimeB=?TimeA。若相等则验证成功，文件的时间戳是可信的；否则验证失败。

3 协议分析与可用性验证

3.1 协议安全与效能定性分析

基于TPM的数字时间戳服务协议与传统的基于TSA时间戳服务协议比较，有以下几个特点。

1）改进的基于TPM模块的时间戳服务协议保持了时间戳服务的基本思想，并仍然维持着原有的时间戳协议的服务思路与性能，只是针对在不可靠网络中这一问题，引入了TPM模块，利用TPM模块中的滴答计数器，在验证了TPM模块的可信性与获得基准时间戳之后，将时间戳服务过程中的一部分功能交予TPM模块来实现。

2）时间戳服务将TPM模块与时间戳服务中心有效地结合起来，有效地减少了消息在不可靠网络中传输的次数，既降低了传输时延，也相应地减少了消息传递过程中受攻击的次数。

3）在安全性方面，引入了TPM模块。首先，由于TPM模块中滴答计数器本身的计数机制，可以在一定程度上抵抗攻击等部分攻击行为，更为此协议提高了安全与可靠性能；另外，由于TPM模块可以提供签名服务与时间服务，所以除定期的时间基准更新以外，不再需要通过不可靠网络进行服务，所以很大程度上避免了不可靠网络的不稳定性对系统性能的影响，这是本协议一大亮点。

4）在计算效率方面分析，由于减少了不可靠网络中的消息交互次数，所以很大程度上降低了时延问题，提高了协议的效率；同样由于在与TPM模块的交互中，为了更加完善地完成协议的各项功能，消息参数的长度有所增加，但是此问题完全可以通过提高硬件性能来解决。总的来说，在计算效率方面，基于TPM模块的时间戳服务协议与原有的协议相比，也是存在着一定的优势的。

5）本文提出的协议中对于时间交互阈值的提出，以及阈值的变化原则，也提高了协议对于不可靠网络的适应性。

3.2 协议可用性实验与分析

1）实验目的。

验证本文提出的基于TPM的数字时间戳服务协议在不可靠网络中的可用性。由于实验条件限制，很难在现有条件下完全模拟不可靠网络。故本文只对本协议的可用性进行原理验证。

2）实验环境。

用户端用2台具有TPM模块的计算平台（普通联想台式机）模拟，选用1想服务器作为TSA硬件支撑平台，选用信大捷安USB智能密码钥匙作为密码模块（卡），密码卡每秒可完成签名≥60次。三台计算机通过交换机连接成一个局域网络.

经测试，网络传输延时小于1ms；台式机的TPM模块时钟误差为万分之一，即每分钟误差6ms。由于台式机和服务器的时钟一般误差较小，在实验时间内（30min），误差可以忽略不计。

3）实验方法。

用1台台式机模拟时间戳服务方，另1台台式机模拟时间戳验证方，二者都配有支持本文所提协议的时间戳服务软件模块。联想服务器模拟可信第三方TSA，配置传统的时间戳服务软件模块。在台式机上配置计时模块。

实验时，通过软件控制TSA的网卡可用(Enable)与否，通过网络连接的通断来模拟不可靠网络。实验初始（记为0时），开始基准时间戳同步，每3min做一次基准时间戳更新同步。初始10s中后，固定每隔30s，时间戳服务方做1次时间戳签名服务。实验分3组，3组实验中TSA停止服务的周期分别是1min、5min、15min，TSA从开始实验5s后开始网络断开周期，每次断开时间是周期的一半。每组实验重复10次，分类记录实测值并取平均。

4）实验结果与讨论。

实验结果如表3所示。

从表3的实验数据可以看出：第1组，网络无法连接的最大时间是1/2=0.5min，时间戳最大误差发生在第12次签名服务，误差为18.04ms；第2组，网络无法连接的最大时间是5/2=2.5min，时间戳最大误差发生在第30次签名服务，误差为36.15ms；第3组，网络无法连接的最大时间是15/2=7.5min，时间戳最大误差发生在第18次签名服务，误差为53.37ms。究其原因，第1组断开时间持续较短，基准时间戳更新同步成功概率大，由此因TPM嘀嗒计数造成的累积误差就比较小；反之，第3组网络持续断开时间最长，当基准时间戳更新同步在长时间不能进行时，就会造成因TPM嘀嗒计数造成的累积误差越来越大。

另一方面，从3组实验均可看出，一旦基准时间戳更新同步完成，即可清除累积误差，提供更精确的时间戳服务。当然，如果网络情况持续恶化，必然会造成误差越来越大，如果超过容忍阈值，则不能提供有效的时间戳服务。

4 结语

本文结合不可靠网络环境的特点提出了一种在网络状况差的条件下进行时间戳服务的方法，设计了一个不实时依赖TSA的时间服务模型。该模型通过本地可信平台来进行时间戳服务，可信平台通过定期与TSA交互来获取对TPM模块滴答计数器计数状态的时间戳签名作为时间基准，当用户需要进行时间戳服务时，由本地时间戳生成模块调用TPM模块计算出当前时间信息，并把基准时间戳信息、TPM对当前滴答计数值的签名和当前时间一起作为时间戳信息提供给验证方，进而完成本地时间戳服务。本文还提出了一种不可靠网络环境下基于TPM的数字时间戳服务协议，并对协议性能和协议安全性进行了分析。结果表明，协议产生的时间误差是可控的；在进行时间戳服务时，协议不再需要计算平台与时间戳服务器TSA之间进行交互，对不可靠网络有很好的适应性。最后，设计和实现了时间戳服务程序。

参考文献:

[1]

邵志远.数字时间戳应用初探［J］.金融电子化,2005(12):65-67.

[2]

MISKINIS R, SMIRNOW D, URBA E, et al. Digital time stamping system based on open source technologies ［J］. IEEE Transactions on Ultrasonics, Ferroelectrics and Frequency Control, 2010, 57(3): 721-727.

[3]

MERKLE R C. A certified digital signature ［C］// Crypto89: Proceedings of Advances in Cryptology, LNCS 1990. Berlin: SpringerVerlag, 1989: 218-238.

[4]

潘娴,郑建立.分层请求时间戳协议［J］.上海理工大学学报，2009,31（1）:90-94.

[5]

GUO WEI, HUA YU, SONG KEXIN. Study on the security of timestamping service architecture ［C］// Proceedings of the 2009 International Conference on Electronic Commerce and Business Intelligence. Washington, DC: IEEE Computer Society, 2009: 28-32.

[6]

郭莉.时间戳技术研究［J］.高性能计算技术,2003,16（2）:30-33.

[7]

谢应科，王建东，祝超，等.网络测量中高精度时间戳研究与实现［J］.计算机研究与发展,2010,47(12)：2049-2058.

[8]

黄卿，王亚弟，韩继红，等.基于事件顺序的时间戳协议处理［J］.计算机工程,2010,36（23）:124-126.

[9]

PAN XIAN, ZHENG J L. Hierarchical timestamp protocol: Acquiring reliable timestamp from local time stamping server ［C］// ISECS09: Proceedings of the Second International Symposium on Electronic Commerce and Security. Washington, DC: IEEE Computer Society, 2009: 251-254.

[10]

IETF. Internet X.509 public key infrastructure timestamp protocol (TSP) RFC time stamping, RFC 3161 ［S/OL］. [2011-03-20]. www.省略/rfc/rfc3161.txt?number=3161.

[11]

MUTIA R I, SADEQUE N, ANDERSSON J A, et al. Timestamping accuracy in virtualized environments ［C］// Proceedings of the 13th International Conference on Advanced Communication Technology. Washington, DC: IEEE Computer Society, 2011: 475-480.

收稿日期:2011-07-26;修回日期:2011-09-09

基金项目:国家863计划项目（2007AA01Z479）

作者简介:常朝稳(1966-)，男，河南滑县人，教授，博士，主要研究方向：可信计算、移动安全接入； 陈俊峰(1985-)，男，陕西咸阳人，硕士研究生，主要研究方向：可信计算； 秦晰(1978-)，女，河南焦作人，讲师，博士研究生，主要研究方向：可信计算。