衛星母鐘(時間源服務器)高科技設備研製方案
衛星母鐘(時間源服務器)高科技設備研製方案
京準電子原創文章
1 產品概述
1.1 產品簡介
時間戳服務器(以下簡稱TSS)是基於國家標準時間源,採用PKI技術,爲應用系統提供精準、安全和可信時間認證服務的一款高性能、高穩定性,並且具備跨平臺、易擴展和快速部署能力的軟硬件集成化網絡安全設備。
該產品可以廣泛應用於網上交易、電子病歷、網上招投標、政府網上採購、網上申報和數字知識產權保護等電子政務和電子商務活動中,爲業務提供可信時間服務。
1.2 術語和縮略語
縮略語
縮略語 英文 中文
TSA Time Stamp Authority 可信時間戳
2 關鍵技術
- 國產密碼算法實現技術
本項目遵照國密相關密碼算法規範研發的時間戳服務器,支持SM1、SM2、SM3、SM4算法。 - 高併發網絡通信服務技術
服務架構採用全新的NIO模式完成高效的數據處理,以及NIO和普通IO的有效結合,使用少量的工作線程來完成大量的併發業務,減少CPU對線程的調度工作,實現網絡服務的高併發處理能力。
3 產品架構
時間戳服務器主要包括時間戳簽發核心服務模塊和安全管理模塊。時間戳簽發核心服務通過應用端部署的API,接收應用端發送的時間戳簽發服務請求,並返回時間戳或驗證時間戳服務結果。安全管理以B/S方式提供,管理員可以通過WEB瀏覽器直接對各種證書服務和系統進行集中管理和配置。
3.1 業務邏輯圖
在整個使用場景中,TSS一般處在業務系統後方,由業務系統調用,終端用戶將時間戳簽發請求發送給業務系統後,業務系統再將請求發送給TSS,TSS做完處理後,轉發給業務系統,由業務系統將結果展示給終端用戶,系統管理員可以直接訪問TSS,對其進行配置。
3.2 技術架構圖
從技術架構來看,大致分爲以下幾個層次,最上層是客戶端和瀏覽器,方便使用不同編程語言的用戶集成,管理員可以通過瀏覽器對TSS進行配置。
TSS內部大致有四個層次,最上層爲時間戳簽發服務和WEB管理系統,主要使用到的技術包括讀寫XML,網絡IO,Java Cryptography Extension(JCE),Bouncy Castle(BC),Strtus,Spring,tomcat等;再下層是JVM,時間戳簽發服務和WEB管理系統都運行在JVM之中;再向下是JNI層,通過JNI層訪問密碼模塊、時間源,進行時間戳簽發等運算;最下層是支撐所有程序運行的操作系統LINUX。
明顯的分層結構,使用成熟的技術,使TSS安全穩定的運行。
3.3 功能框架圖
從功能框架圖來看,TSS的主要功能存在於業務層,主要分爲兩大類,服務類和管理類。
服務類功能包括時間戳請求、時間戳簽發、時間戳驗證等功能。
管理類功能包括證書配置、系統配置、管理員管理、時間源管理、上傳證書管理、審計日誌等。
3.4 技術標準
在數字簽名技術及相關協議上的標準如下:
(1) 數字證書
X.509 V3。
(2) HASH算法:
算法:SHA-1,SM3;
標準:RFC相關標準;
(3) 時間戳簽發
算法:RSA公鑰算法,SM2算法;
密鑰長度:1024比特、2048比特,256比特;
標準:PKCS#7,RFC3161標準
4 產品功能
4.1 客戶端接口
客戶端接口提供JAVA接口、C接口、COM接口,方便使用不同開發語言的用戶集成。
4.2 服務功能
時間戳服務器可以爲應用服務器提供時間戳請求、時間戳簽發、時間戳驗證等多種安全功能 。
應用功能 詳細說明
時間戳簽發驗證功能 簽發可信時間戳、驗證時間戳有效性
權威國家時間源 內置國家授時中心時間源,權威可靠
負載均衡 支持兩臺機器負載均衡配置
4.3 管理功能
時間戳服務器還提供管理功能,主要包括初始化配置、證書管理、系統管理、高級配置等功能。
4.3.1 初始化配置
應用功能 詳細說明
管理員配置 添加、修改、刪除管理員等操作
服務器證書配置 生成證書請求、導入服務器證書
IP/端口配置 配置IP、網關、端口、連接數、超時時間
4.3.2 證書管理
應用功能 詳細說明
生成證書申請 生成P10服務器證書請求
導入服務器證書 將CA機構頒發的服務器證書導入系統中
直接導入服務器證書 直接導入jks、pfx格式的帶私鑰的服務器證書
4.3.3 系統管理
應用功能 詳細說明
系統狀態查看 查看系統資源佔用情況,CPU、內存使用情況,服務狀態等信息
IP/端口配置 提供服務器IP、網關、服務端口、超時時間、連接數等配置
管理員管理 操作登錄平臺的管理員,對管理員進行添加、修改、刪除操作
服務管理 手動重啓服務
備份恢復 將服務器配置信息備份到PC端,也可以將PC端的備份文件恢復到系統,方便出問題時的儘快恢復
日誌管理 提供日誌下載以及syslog服務器地址配置
上傳證書管理 提供對於外部導入時間戳服務器證書的上傳、查詢、導出等功能
時間源管理 可以查看時間源的時間以及狀態等信息
網絡管理 可以測試時間戳服務器到其他網絡地址的互通狀態
白名單配置 可以讓某個IP或者IP段端訪問服務,而不在白名單內的IP或者IP段不能訪問服務器的服務
審計日誌管理 可以記錄用戶對於系統的關鍵配置過程
5 業務流程
5.1 時間戳簽發流程
簽發業務流程如下:
1,業務系統發起時間戳簽發請求,將數據原文發送到服務端
2,服務器調用密碼模塊進行摘要運算,獲得原文摘要
3,服務器調用時間源模塊接口,獲取標準時間
4,服務器調用密碼模塊,對原文摘要和標準時間進行運算,獲得時間戳
5,服務器將時間戳返回給業務系統
5.2 時間戳驗證流程
驗證業務流程如下:
1,業務系統發起驗證請求,發送數據原文和時間戳到服務端
2,服務器調用密碼模塊驗證時間戳
3,驗證通過後,調用密碼模塊計算原文摘要
4,比較時間戳中解析出的摘要與密碼模塊計算出的原文摘要是否一致
5,返回摘要比對結果,即時間戳驗證結果
6 產品部署
6.1 部署圖
本產品部署在業務系統服務端安全域中,配置相互獨立的核心服務網絡接口和WEB管理服務網絡接口,分別用於時間戳簽發服務和後臺管理服務,可以有效避免外界攻擊。本產品可以同時爲多個WEB應用系統提供服務,並且可以採用雙機並行方式運行,如果採用雙機並行方式,時間戳簽發效率可以提升將近一倍。
區別於傳統的證書應用中間件,時間戳服務器將安全組件、密碼運算庫統一封裝在硬件平臺內,大幅降低了集成工作的複雜性,使產品具備了快速部署應用的能力。
6.2 運行環境
運行環境 詳細說明
部署環境內存 4G
部署環境JDK 1.5以上
瀏覽器 IE7,IE8,IE9
操作系統 WINXP,WIN7-32位,WIN7-64位,WIN8-64位,WINServer2008-64位
6.3 集成方式
一般的集成方式如下:
1,部署客戶端,修改配置文件中的服務器IP和端口信息
2,集成服務端,加入調用TSS生成時間戳請求和時間戳的代碼
3,集成測試
7 產品規格
7.1 產品規格
時間戳服務器TSS500、TSS2000參數:
型號 TSS500 TSS2000
設備高度 1U 2U
尺寸規格 45743044.5mm(長寬高) 50043089mm(長寬高)
網絡接口 2x1000M
電源指標 300W服務器電源 500W服務器電源
設備功耗 150W 150W
簽發效率(RSA) 500次/秒 1000次/秒
驗證效率(RSA) 700次/秒 1300次/秒
簽發效率(SM2) 1000次/秒 2000次/秒
驗證效率(SM2) 500次/秒 1000次/秒
授時精度 0.5-3ms(毫秒)
守時精度 <1ms(72小時)
內置恆溫晶振 日老化率5E-10,秒穩定度優於2E-11,日平均準確度優於1E-12
時間源信號模塊 分別支持CDMA,BD2,GPS
時間同步協議 NTP、SNTP
支持應用平臺 Windows Server;Linux;AIX;Solaris;Unix
支持應用接口 Java、C、COM、WebService
支持算法標準 RSA、SHA1、SM2、SM3
工作溫度 0°C–30°C
工作溼度 5%–95% RH,不凝結
8 典型應用場景
TSS具有廣泛的應用領域,適用於醫療信息化、電子政務、網上招投標、網上交易、知識產權保護等B/S和C/S應用系統的應用安全保障。
醫療系統應用場景如下:
醫療業務中的時效性要求、電子病歷中數字證書的有效性。
醫院本地部署時間戳服務器,電子病歷系統通過時間戳服務接口將病歷數據摘要信息提交到時間戳服務器完成時間戳的簽發。