本发明专利技术公开了一种桌面可信时间接入系统,包括时间服务器、CA认证中心、计算机网络、可信时间插卡和客户端,时间服务器通过计算机网络与客户端相连,客户端通过其内部的PCIe接口与可信时间插卡连接;时间服务器用于从参考时钟读取实际时间并使用计算机网络将其分发给客户端;CA认证中心用于发放和管理数字证书和检验公钥体系中公钥的合法性,以及完成对时间服务器、可信时间插卡的电子身份认证;可信时间插卡用于为客户端提供可信时间信息;本发明专利技术还公开了一种桌面可信时间接入系统的通信方法,本发明专利技术适用于为部署在多个地点的计算机或者应用服务器提供统一的可信时间,为多个网络用户提供高精度的授时。户提供高精度的授时。户提供高精度的授时。
【技术实现步骤摘要】
桌面可信时间接入系统及其通信方法
[0001]本专利技术涉及通信
,特别是一种桌面可信时间接入系统及其通信方法。
技术介绍
[0002]由计算机网络系统组成的分布式系统,如果要协调一致进行IT行业的“整点开拍”、“秒杀”之类的业务处理,那么需要毫秒级甚至微秒级的时间同步。随着计算机应用程序的扩展和IT运营遍布全球,保持广域网和局域网不同计算机之间的时间同步,以及保持数据中心内不同服务器之间的数据同步,或者跨大陆的不同数据中心之间的数据同步,变得更加重要和困难。因此,时间同步技术是网络应用的关键支撑技术之一。
[0003]日常使用的计算机在出厂时,会根据UTC时间将出厂时间写入到芯片中存储起来。此值是默认的不可修改的值。时间芯片由一个小电池供电,维持时间的计时,为计算机提供本地时间。即使计算机断电了,时间也能够持续地计时。当前计算机系统时间基本由网络时间或者主板时钟芯片提供,极易导致时间误差大、精度低。如果时间不准确或者出错,那么计算机可以通过联网进行时间矫正,从时间服务器获取准确的时间并设置本地计算机的当前时间。在计算机网络中,主流的时间同步协议是NTP(Network Time Protocol)协议。NTP协议以其本身良好的设计架构已成为时间同步的主流协议。国家授时中心把北京时间广播给时间服务器。时间服务器是针对计算机、自动化装置等进行校时的专用设备,可从北斗/GPS卫星、B码接口、PTP上获取标准的时间信号,将这些信号通过各种接口(NTP、串口、B码、PTP、脉冲)传输给网络中需要时间信息的设备(计算机、应用服务器等),这样网络系统中就有了一个标准的时间源,从而达到整个系统的时间一致。计算机通过NTP协议完成和时间服务器的自动同步校准,就可以获取到准确的时间。典型的NTP时间同步系统如图1所示,主要由时间服务器、网络基础设施(广域网/局域网)、计算机终端或者应用服务器的NTP软件组成。计算机与时间服务器通过NTP协议保持同步,这个时间误差在广域网下是10ms
‑
500ms,在局域网下通常小于10ms。在NTP广泛应用的同时,其协议的安全性也逐渐受到人们的关注。由于协议的开放性,其在无安全防护的情况下极易受到网络攻击,这给需要高安全的客户带来潜在的风险。由于NTP是一种基于用户数据报协议(UDP)的网络时间协议,客户端通过向服务器发送时间同步请求,利用接收的数据包时间戳解算获得时间同步,因此,其无连接的协议特征使得在没有防护措施的网络中有着较高的安全风险。目前,对于无防护的NTP,攻击者可以伪造服务器欺骗客户端,通过中间人攻击截取数据包后修改时间戳,使得收到该数据包的客户端会同步至错误的时间。
[0004]这种计算机通过NTP协议完成和时间服务器的自动同步校准获取时间的方式,存在两个不足之处:(1)时间同步误差较大,只能达到毫秒(ms)量级;(2)时间可信度无法完全保证,NTP协议的数据包在网络传输过程中可能受到欺骗和篡改。
[0005]目前主要采用消息摘要算法MD5来提高NTP协议的安全性。MD5算法是一类Hash函数,其以512bit分组来处理输入的信息,且每一分组又被划分为16个32bi t子分组。经过一系列的处理后,算法的输出由4个32bi t分组组成,将这4个32bit分组级联后将生成一个
128bit散列值。由于函数的单向映射性,使得在得到消息摘要后反推原文几乎是不可行的,且对于不同的明文,其映射结果不同,因此可以用于验证数据报文的完整性。如果数据在传输等过程中受到恶意篡改,那么可以通过校验其消息摘要来验证合法性,从而防止网络攻击。
[0006]随着互联网的发展,越来越多的行业客户和应用领域对时间同步的精度提出了更高的要求,NTP已经不能满足某些行业和领域的高精度、高安全性的时间传输需求。当前计算机系统的时间基本由网络时间或者主板时钟芯片提供,极易导致时间误差大、精度低、可信度无法保证,在某些特殊行业和领域(例如数据测量、工业控制、金融交易等)无法完成特定任务。因此,迫切需要研发一款既能基于国产密码加密,又能提供高精度时间的高精度可信时间插卡用于计算机和应用服务器的授时。
技术实现思路
[0007]为了解决现有技术中存在的问题,本专利技术的目的是提供一种桌面可信时间接入系统及其通信方法,本专利技术适用于为部署在多个地点的计算机或者应用服务器提供统一的可信时间,为多个网络用户提供高精度的授时。
[0008]为实现上述目的,本专利技术采用的技术方案是:一种桌面可信时间接入系统,包括时间服务器、CA认证中心、计算机网络、可信时间插卡和客户端,所述时间服务器通过所述计算机网络与客户端相连,所述客户端通过其内部的PCIe接口与所述可信时间插卡连接;其中:
[0009]时间服务器用于从参考时钟读取实际时间并使用计算机网络将其分发给客户端;
[0010]CA认证中心用于发放和管理数字证书和检验公钥体系中公钥的合法性,以及完成对时间服务器、可信时间插卡的电子身份认证,登记确认时间服务器、可信时间插卡的所有信息;
[0011]可信时间插卡用于为客户端提供可信时间信息。
[0012]作为本专利技术的进一步改进,所述可信时间插卡包括与以太网连接的PHY芯片、内置TCP/IP协议的FPGA芯片、内置有PTP协议和数据加密处理算法的CPU芯片、电源转换芯片、PCIe总线接口芯片和存储器;所述CPU芯片用于控制整个可信时间插卡的工作,内置的PTP协议用于对PTP数据包进行处理,数据加密处理算法用于实现对PTP数据包进行加密;CPU芯片通过总线与所述存储器相连,存储器用于存储程序指令,CPU芯片执行存储器中的程序指令时,实现可信时间授时功能的PCIe接口插卡;所述FPGA芯片内置TCP/IP协议,用于对普通网络的以太网数据包进行处理;所述PHY芯片用于收发网络数据;所述电源转换芯片用于将PCIe接口上输出的客户端主板电源转换为适合可信时间插卡内部其它器件工作的电源,为各模块供电;PCIe总线接口芯片用于使可信时间插卡插入客户端的PCIe插槽的接口,由CPU芯片对其进行控制来达到使可信时间插卡与客户端通信的目的。
[0013]本专利技术还提供一种如上所述的桌面可信时间接入系统的通信方法,包括以下步骤:
[0014]步骤1、CA认证中心生成公钥ca_KeyPub和私钥ca_KeyPri,以及基本信息表ca_Info,CA认证中心再采用哈希算法对公钥ca_KeyPub和基本信息表ca_Info进行散列运算,得到散列值ca_Hash,CA认证中心采用加密算法使用其私钥ca_KeyPri对散列值ca_Hash进
行加密,得到加密的散列值enc_ca_Hash,即数字签名;CA认证中心将公钥ca_KeyPub、基本信息表ca_Info和散列值enc_ca_Hash组合生成自签名的数字证书ca_Cert,并将数字证书ca_Cert颁发给可信时间插卡;
[0015]步骤2、时间服务器生成公钥s_KeyPub和私钥s_KeyPri,以及基本信息表s_In本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种桌面可信时间接入系统,其特征在于,包括时间服务器、CA认证中心、计算机网络、可信时间插卡和客户端,所述时间服务器通过所述计算机网络与客户端相连,所述客户端通过其内部的PCIe接口与所述可信时间插卡连接;其中:时间服务器用于从参考时钟读取实际时间并使用计算机网络将其分发给客户端;CA认证中心用于发放和管理数字证书和检验公钥体系中公钥的合法性,以及完成对时间服务器、可信时间插卡的电子身份认证,登记确认时间服务器、可信时间插卡的所有信息;可信时间插卡用于为客户端提供可信时间信息。2.根据权利要求1所述的桌面可信时间接入系统,其特征在于,所述可信时间插卡包括与以太网连接的PHY芯片、内置TCP/IP协议的FPGA芯片、内置有PTP协议和数据加密处理算法的CPU芯片、电源转换芯片、PCIe总线接口芯片和存储器;所述CPU芯片用于控制整个可信时间插卡的工作,内置的PTP协议用于对PTP数据包进行处理,数据加密处理算法用于实现对PTP数据包进行加密;CPU芯片通过总线与所述存储器相连,存储器用于存储程序指令,CPU芯片执行存储器中的程序指令时,实现可信时间授时功能的PCIe接口插卡;所述FPGA芯片内置TCP/IP协议,用于对普通网络的以太网数据包进行处理;所述PHY芯片用于收发网络数据;所述电源转换芯片用于将PCIe接口上输出的客户端主板电源转换为适合可信时间插卡内部其它器件工作的电源,为各模块供电;PCIe总线接口芯片用于使可信时间插卡插入客户端的PCIe插槽的接口,由CPU芯片对其进行控制来达到使可信时间插卡与客户端通信的目的。3.一种如权利要求1或2所述的桌面可信时间接入系统的通信方法,其特征在于,包括以下步骤:步骤1、CA认证中心生成公钥ca_KeyPub和私钥ca_KeyPri,以及基本信息表ca_Info,CA认证中心再采用哈希算法对公钥ca_KeyPub和基本信息表ca_Info进行散列运算,得到散列值ca_Hash,CA认证中心采用加密算法使用其私钥ca_KeyPri对散列值ca_Hash进行加密,得到加密的散列值enc_ca_Hash,即数字签名;CA认证中心将公钥ca_KeyPub、基本信息表ca_Info和散列值enc_ca_Hash组合生成自签名的数字证书ca_Cert,并将数字证书ca_Cert颁发给可信时间插卡;...
【专利技术属性】
技术研发人员:彭良福,李有生,李霖,郝东,侯丙安,李高峰,
申请(专利权)人:四川泰富地面北斗科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。