卫星母钟(时间源服务器)高科技设备研制方案
卫星母钟(时间源服务器)高科技设备研制方案
京准电子原创文章
1 产品概述
1.1 产品简介
时间戳服务器(以下简称TSS)是基于国家标准时间源,采用PKI技术,为应用系统提供精准、安全和可信时间认证服务的一款高性能、高稳定性,并且具备跨平台、易扩展和快速部署能力的软硬件集成化网络安全设备。
该产品可以广泛应用于网上交易、电子病历、网上招投标、政府网上采购、网上申报和数字知识产权保护等电子政务和电子商务活动中,为业务提供可信时间服务。
1.2 术语和缩略语
缩略语
缩略语 英文 中文
TSA Time Stamp Authority 可信时间戳
2 关键技术
- 国产密码算法实现技术
本项目遵照国密相关密码算法规范研发的时间戳服务器,支持SM1、SM2、SM3、SM4算法。 - 高并发网络通信服务技术
服务架构采用全新的NIO模式完成高效的数据处理,以及NIO和普通IO的有效结合,使用少量的工作线程来完成大量的并发业务,减少CPU对线程的调度工作,实现网络服务的高并发处理能力。
3 产品架构
时间戳服务器主要包括时间戳签发核心服务模块和安全管理模块。时间戳签发核心服务通过应用端部署的API,接收应用端发送的时间戳签发服务请求,并返回时间戳或验证时间戳服务结果。安全管理以B/S方式提供,管理员可以通过WEB浏览器直接对各种证书服务和系统进行集中管理和配置。
3.1 业务逻辑图
在整个使用场景中,TSS一般处在业务系统后方,由业务系统调用,终端用户将时间戳签发请求发送给业务系统后,业务系统再将请求发送给TSS,TSS做完处理后,转发给业务系统,由业务系统将结果展示给终端用户,系统管理员可以直接访问TSS,对其进行配置。
3.2 技术架构图
从技术架构来看,大致分为以下几个层次,最上层是客户端和浏览器,方便使用不同编程语言的用户集成,管理员可以通过浏览器对TSS进行配置。
TSS内部大致有四个层次,最上层为时间戳签发服务和WEB管理系统,主要使用到的技术包括读写XML,网络IO,Java Cryptography Extension(JCE),Bouncy Castle(BC),Strtus,Spring,tomcat等;再下层是JVM,时间戳签发服务和WEB管理系统都运行在JVM之中;再向下是JNI层,通过JNI层访问密码模块、时间源,进行时间戳签发等运算;最下层是支撑所有程序运行的操作系统LINUX。
明显的分层结构,使用成熟的技术,使TSS安全稳定的运行。
3.3 功能框架图
从功能框架图来看,TSS的主要功能存在于业务层,主要分为两大类,服务类和管理类。
服务类功能包括时间戳请求、时间戳签发、时间戳验证等功能。
管理类功能包括证书配置、系统配置、管理员管理、时间源管理、上传证书管理、审计日志等。
3.4 技术标准
在数字签名技术及相关协议上的标准如下:
(1) 数字证书
X.509 V3。
(2) HASH算法:
算法:SHA-1,SM3;
标准:RFC相关标准;
(3) 时间戳签发
算法:RSA公钥算法,SM2算法;
密钥长度:1024比特、2048比特,256比特;
标准:PKCS#7,RFC3161标准
4 产品功能
4.1 客户端接口
客户端接口提供JAVA接口、C接口、COM接口,方便使用不同开发语言的用户集成。
4.2 服务功能
时间戳服务器可以为应用服务器提供时间戳请求、时间戳签发、时间戳验证等多种安全功能 。
应用功能 详细说明
时间戳签发验证功能 签发可信时间戳、验证时间戳有效性
权威国家时间源 内置国家授时中心时间源,权威可靠
负载均衡 支持两台机器负载均衡配置
4.3 管理功能
时间戳服务器还提供管理功能,主要包括初始化配置、证书管理、系统管理、高级配置等功能。
4.3.1 初始化配置
应用功能 详细说明
管理员配置 添加、修改、删除管理员等操作
服务器证书配置 生成证书请求、导入服务器证书
IP/端口配置 配置IP、网关、端口、连接数、超时时间
4.3.2 证书管理
应用功能 详细说明
生成证书申请 生成P10服务器证书请求
导入服务器证书 将CA机构颁发的服务器证书导入系统中
直接导入服务器证书 直接导入jks、pfx格式的带私钥的服务器证书
4.3.3 系统管理
应用功能 详细说明
系统状态查看 查看系统资源占用情况,CPU、内存使用情况,服务状态等信息
IP/端口配置 提供服务器IP、网关、服务端口、超时时间、连接数等配置
管理员管理 操作登录平台的管理员,对管理员进行添加、修改、删除操作
服务管理 手动重启服务
备份恢复 将服务器配置信息备份到PC端,也可以将PC端的备份文件恢复到系统,方便出问题时的尽快恢复
日志管理 提供日志下载以及syslog服务器地址配置
上传证书管理 提供对于外部导入时间戳服务器证书的上传、查询、导出等功能
时间源管理 可以查看时间源的时间以及状态等信息
网络管理 可以测试时间戳服务器到其他网络地址的互通状态
白名单配置 可以让某个IP或者IP段端访问服务,而不在白名单内的IP或者IP段不能访问服务器的服务
审计日志管理 可以记录用户对于系统的关键配置过程
5 业务流程
5.1 时间戳签发流程
签发业务流程如下:
1,业务系统发起时间戳签发请求,将数据原文发送到服务端
2,服务器调用密码模块进行摘要运算,获得原文摘要
3,服务器调用时间源模块接口,获取标准时间
4,服务器调用密码模块,对原文摘要和标准时间进行运算,获得时间戳
5,服务器将时间戳返回给业务系统
5.2 时间戳验证流程
验证业务流程如下:
1,业务系统发起验证请求,发送数据原文和时间戳到服务端
2,服务器调用密码模块验证时间戳
3,验证通过后,调用密码模块计算原文摘要
4,比较时间戳中解析出的摘要与密码模块计算出的原文摘要是否一致
5,返回摘要比对结果,即时间戳验证结果
6 产品部署
6.1 部署图
本产品部署在业务系统服务端安全域中,配置相互独立的核心服务网络接口和WEB管理服务网络接口,分别用于时间戳签发服务和后台管理服务,可以有效避免外界攻击。本产品可以同时为多个WEB应用系统提供服务,并且可以采用双机并行方式运行,如果采用双机并行方式,时间戳签发效率可以提升将近一倍。
区别于传统的证书应用中间件,时间戳服务器将安全组件、密码运算库统一封装在硬件平台内,大幅降低了集成工作的复杂性,使产品具备了快速部署应用的能力。
6.2 运行环境
运行环境 详细说明
部署环境内存 4G
部署环境JDK 1.5以上
浏览器 IE7,IE8,IE9
操作系统 WINXP,WIN7-32位,WIN7-64位,WIN8-64位,WINServer2008-64位
6.3 集成方式
一般的集成方式如下:
1,部署客户端,修改配置文件中的服务器IP和端口信息
2,集成服务端,加入调用TSS生成时间戳请求和时间戳的代码
3,集成测试
7 产品规格
7.1 产品规格
时间戳服务器TSS500、TSS2000参数:
型号 TSS500 TSS2000
设备高度 1U 2U
尺寸规格 45743044.5mm(长宽高) 50043089mm(长宽高)
网络接口 2x1000M
电源指标 300W服务器电源 500W服务器电源
设备功耗 150W 150W
签发效率(RSA) 500次/秒 1000次/秒
验证效率(RSA) 700次/秒 1300次/秒
签发效率(SM2) 1000次/秒 2000次/秒
验证效率(SM2) 500次/秒 1000次/秒
授时精度 0.5-3ms(毫秒)
守时精度 <1ms(72小时)
内置恒温晶振 日老化率5E-10,秒稳定度优于2E-11,日平均准确度优于1E-12
时间源信号模块 分别支持CDMA,BD2,GPS
时间同步协议 NTP、SNTP
支持应用平台 Windows Server;Linux;AIX;Solaris;Unix
支持应用接口 Java、C、COM、WebService
支持算法标准 RSA、SHA1、SM2、SM3
工作温度 0°C–30°C
工作湿度 5%–95% RH,不凝结
8 典型应用场景
TSS具有广泛的应用领域,适用于医疗信息化、电子政务、网上招投标、网上交易、知识产权保护等B/S和C/S应用系统的应用安全保障。
医疗系统应用场景如下:
医疗业务中的时效性要求、电子病历中数字证书的有效性。
医院本地部署时间戳服务器,电子病历系统通过时间戳服务接口将病历数据摘要信息提交到时间戳服务器完成时间戳的签发。