可信时间网络校准系统及可信时间数字服务
文献发布时间:2023-06-19 18:46:07
技术领域
本发明涉及一种可信时间网络校准系统及可信时间数字服务。
技术背景
可信时间服务在当前互联网领域和生产生活领域有广泛的应用,例如用于电商、测量领域、电子合同、电子文书等的时间戳服务,提供时间戳的设备需要进行可信时间网络校准,同时上述过程中要保证时间的准确性和打时间戳的电子数据内容完整未被篡改。目前可信时间服务存在以下问题:1.相关技术中提供的时间数字校准证书(DCC)一般是纸质或pdf电子版,这是因为纸质和pdf版不易被篡改,安全性较高,但是这种版本不利于计算机系统准确获取DCC证书中的各种数据,只能人工进行处理效率低下。2.提供可信时间装置的数字可信问题,即,一台具有合法时间校准证书的装置,在被校准到提供时间服务的时间段之间如何确保其时间没有被篡改,如何保证该装置的数字身份与时间校准证书的对象一致。3.产品或服务应用可信时间的可追溯可核验问题。当产品或服务从时间装置申请到时间后,如何与该时间关联对象紧密绑定的问题,做到可核验、可追溯。否则申请到的时间可能会存在被篡改的技术漏洞。
专利文献CN104506268A公开了一种实现时间校准的方法,其特征在于,包括:
步骤S1:被校准设备根据请求报文的发送时间生成校准时间请求报文并将其发送给标准时间设备,记录所述请求报文的发送时间;步骤S2:所述被校准设备接收所述标准时间设备返回的响应报文并记录响应报文的接收时间,解析所述响应报文得到请求报文的接收时间和响应报文的发送时间,根据所述请求报文的发送时间、所述响应报文的接收时间、所述请求报文的接收时间和所述响应报文的发送时间,得到所述被校准设备与所述标准时间设备之间的时间差和报文传输延时;步骤S3:所述被校准设备根据所述被校准设备与所述标准时间设备之间的时间差和所述报文传输延时校准内部设置的时钟。
上述相关技术中,只是解决了时间的同步问题,然而相关技术中未解决当前该时间数字校准证书数据不利于计算机读取以及提供时间服务的装置从被校准到提供时间服务的时间段之间无法确保其时间没有被篡改、以及申请时间服务的设备所申请到的时间及其对应的数字校准证书不能做到方便核验、追溯的问题。
名词解释:
DCC:数字校准证书。
NTP:Network Time Protocol,网络时间协议。
NTS:NTP的安全认证机制。
UTC:时间协调时。
UDP(User Datagram Protocol,用户数据报协议)是一个面向数据报的传输层协议。描述UDP的标准文档是RFC768。
SHA256:Secure Hash Algorithm,安全散列算法,长度为256位
SM3:SM3密码杂凑算法是中国国家密码管理局2010年公布的中国商用密码杂凑算法标准。其标准文档为国家密码杂凑算法标准(GB/T 32905-2016)。
DOI:digital object identifier,数字对象唯一标识。
发明内容
本发明要解决的问题是上述相关技术中,时间数字校准证书数据不利于计算机读取以及提供时间服务的装置从被校准到提供时间服务的时间段之间无法确保其时间没有被篡改,以及申请可信时间服务的外部程序其申请到的时间及其对应的数字校准证书不能做到方便核验、追溯的问题,提供一种可信时间网络校准系统和提供可信时间服务的方法,能够提供安全性和不被篡改的、计算机可读取的时间数字校准证书,并保证提供的可信时间的准确性和可靠性,同时让提供的可信时间及其校准证书做到可追溯、可查验。
针对上述存在的局限性,本发明提出了一种可信时间网络校准系统,包括:
溯源至时间协调时UTC的时间源101;
NTP同步服务器102:通过网络连接所述时间源101,提供NTP同步服务,记录服务端NTP同步日志;
时间校准服务器103:提供以下服务:
使用预先保存的设备证书206对数字校准证书205下载请求进行验证,验证通过后,生成和下发数字校准证书205;
根据接收到的验证数字校准证书205的DOI,返回对应的数字校准证书205的有效状态;
可信时间装置501:
网络连接所述NTP同步服务器(102)和时间校准服务器(103);
通过与所述NTP同步服务器(102)同步校准可信时间装置(501)的系统时间(203);通过与所述时间校准服务器数据(103)交互获得所述时间校准服务器(103)生成的数字校准证书(205);
为外部程序301提供带有数字校准证书205的可信时间服务。
进一步地:所述可信时间装置501包括:
NTP同步客户端201:向NTP同步服务器102发出时间同步请求,根据NTP同步服务器102返回的数据校准系统时间(203,并记录装置端NTP同步日志;
时间校准客户端202:向所述时间校准服务器103发送数字校准证书205下载请求,以及装置端NTP同步日志,接收所述时间校准服务器返回的数字校准证书205;所述装置端NTP同步日志使用设备证书206进行加密;所述下载请求使用设备证书206私钥签名,供时间校准服务器103对下载请求进行验证。
进一步地:
所述NTP同步服务器(102):对NTP同步请求进行NTS验证;
所述时间校准服务器(103的所述生成和下发数字校准证书205的方法为:
响应时间校准客户端202的数字校准证书205下载请求,通过分析相应的服务端NTP同步日志、装置端NTP同步日志,计算NTP时间同步的平均时间偏移与不确定度,生成加密的XML格式的数字校准证书205并返回给所述可信时间装置501;
所述可信时间装置501提供的可信时间服务204包括:
可信时间:可信时间装置501的系统BIOS时间;
所述数字校准证书205的DOI;
所述可信时间装置501的设备证书206的ID;所述数字校准证书205的DOI和所述设备证书206的ID用于供外部程序301验证所述数字校准证书205有效性。
进一步地:
所述平均时间偏移的计算方法为:在选定周期内,将所有时间偏移值中去除极值,计算平均值得到平均时间偏移;所述时间偏移值△t计算公式为:
△t=((T2-T1)+(T3-T4))/2
其中,T1为NTP同步客户端(201)向NTP同步服务器(102)发送第一数据包时间,T2为NTP同步服务器(102)接收第一数据包时间,T3为NTP同步服务器(102)发送第二数据包时间,T4为NTP同步客户端(201)接收第二数据包时间;
所述不确定度为去极值后的时间偏移的标准偏差。
一种提供可信时间服务的方法,基于上述的系统,包括:
步骤S101:所述NTP同步服务器102接收可信时间装置501的请求,为可信时间装置501提供可信时间服务204,保存对应于请求可信时间装置501设备ID的服务端NTP日志记录;
步骤S103:可信时间装置501调整系统时间与NTP同步服务器102保持时间同步,并保存装置端NTP日志记录;
步骤S105:可信时间装置501上传加密的装置端NTP同步日志到时间校准服务器103,时间校准服务器103依据服务端NTP日志记录、装置端NTP同步日志、可信时间装置501的数字身份、生成和下发数字校准证书205;
步骤S107:可信时间装置501从时间校准服务器103获取所述数字校准证书205,响应外部程序301的请求,提供可信时间服务204;所述可信时间服务204包括:可信时间装置501的系统时间203、数字校准证书205、设备证书206的ID。
进一步地:
所述NTP同步服务器102的时间源101溯源至时间协调时UTC;
所述可信时间装置501的数字身份包括证书管理机构颁发的时间装置的设备证书206和可信时间装置的设备ID,所述可信时间装置的设备ID用于NTP同步服务器102查找该可信时间装置501对应的服务端NTP日志记录。
进一步地:生成数字校准证书205的步骤包括:
步骤S201:在NTP同步服务器102上,采用标准NTP同步协议在互联网上对外提供时间同步服务,同时开启NTS验证,并记录服务端NTP同步日志;
步骤S203:在可信时间装置501上,与NTP同步服务器102进行时间同步,并记录装置端NTP同步日志;
步骤S205:在可信时间装置501上,分析可信时间装置501客户端的NTP同步日志,得到日志信息,利用设备证书206对日志内容加密,上传到时间校准服务器103;
步骤S207:在时间校准服务器103上,对接收到的NTP客户端日志信息,依据可信时间装置的数字身份,存储在数据库中;
步骤S209:时间校准服务器103根据可信时间装置501的装置端NTP同步日志和服务端NTP同步日志,计算NTP时间同步的平均偏移值与不确定度;生成加密的时间数字校准证书205,并传送给可信时间装置501。
进一步地:所述外部程序301的请求数据包括:
时间请求标识:将所述需要添加时间戳标识的数据用SM3或SHA256方法计算散列值而得到;
外部程序标识:用于可信时间装置501获取请求后在预设的外部程序标识库中查找是否为合法外部程序。
进一步地:
所述可信时间装置501对所述外部程序301的请求数据验证所述时间请求标识是否规范;所述外部程序标识是否为已授权外部程序;并验证是否存在有效的数字校准证书205;验证通过后对返回外部程序301的数据进行数字签名,所述返回外部程序301的数据包括:
所述时间请求标识;
所述外部请求标识;
时间数据:以字符串描述的时间,以及当前时间状态;
可信时间装置(501)设备证书(206)ID,供外部程序(301)向时间校准服务器(103)查询设备证书(206),以及需要时用设备证书(206)公钥进行验签;
数字校准证书205的DOI,供外部程序向时间校准服务器103查询所述数字校准证书205的有效状态。
与相关技术相对比,本发明具有以下优点:
通过连接可溯源的时间源,提高了时间的精确性;
通过数字校准证书采用XML作为内容容器,将时间偏移、时间不确定度和校准的原始数据,按照一定规范,放入XML容器,完成数字校准证书生成,同时该数字证书能被机器读取,从而使得数字校准证书具有机器可处理性,提高了数字校准证书的处理效率。同时对该XML格式的数字校准证书进行加密处理,保证了证书的安全性。
通过分析NTP服务器和可信时间装置的NTP同步日志,计算平均时间偏移和不确定度,生成DCC证书,保证了获得校准和进行服务之间时间数据不被篡改,保证了在DCC证书有效时间段内,提供的可信时间有更高的准确性和可靠性。
通过对为可信时间装置、时间校准服务器设备预先申请设备证书、对可信时间装置与时间校准服务器之间的交互数据进行非对称加密等手段,提高了可信时间校准的准确性和可靠性,通过提供外部程序查验追溯可信时间服务设备的DCC证书进一步提高了可信时间服务的可靠性和数据质量。
附图说明
图1是本发明一个实施例的可信时间网络校准系统与可信时间服务方法结构示意图
图2为本发明一个实施例的可信时间网络校准系统中数字校准证书生成流程图。
图3为本发明一种实施例的可信时间服务方法中可信时间获取流程
图4是本发明一个实施例的可信时间网络校准系统及可信时间服务方法应用示意图
图5是本发明一个实施例的可信时间服务方法的流程图
图6是本发明一个实施例的生成数字校准证书的流程图
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明了,下面对本发明进行进一步详细说明。但是应该理解,此处所描述仅仅用以解释本发明,并不用于限制本发明的范围。
除非另有定义,本文所使用的所有的技术术语和科学术语与属于本发明的技术领域的技术人员通常理解的含义相同,本文中在本发明的说明书中所使用的术语只是为了描述具体的实施例的目的,不是旨在限制本发明。本文中所涉及的表征手段均可参阅现有技术中的相关描述,本文中不再赘述。
为了进一步了解本发明,下面结合最佳实施例对本发明作进一步的详细说明。
实施例1
一种可信时间网络校准系统,包括:
溯源至时间协调时UTC的时间源101;所述UTC(时间协调时),如铯原子钟、氢原子钟,所述UTC基于网络时间协议NTP授时给所述NTP同步服务器。所述时间源还可以为GPS等,但不限于上述形式。以下涉及可溯源时间源均与此相同。
NTP同步服务器102:通过网络连接所述时间源101,提供NTP同步服务,记录服务端NTP同步日志;所述网络连接为有线以太网、WIFI、4G、5G等多种方式且不限于上述方式,只要通过网络进行数据传输的形式均可。以下涉及网络连接均与此相同不再赘述。所述NTP同步服务器采用NTP协议。
时间校准服务器103:提供以下服务:
使用预先保存的设备证书206对数字校准证书205下载请求进行验证,验证通过后,生成和下发数字校准证书205;
根据接收到的验证数字校准证书205的DOI,返回对应的数字校准证书205的有效状态;
可信时间装置501:
网络连接所述NTP同步服务器(102)和时间校准服务器(103);
通过与所述NTP同步服务器(102)同步校准可信时间装置(501)的系统时间(203);通过与所述时间校准服务器数据(103)交互获得所述时间校准服务器(103)生成的数字校准证书(205);
为外部程序301提供带有数字校准证书205的可信时间服务。
进一步地:所述可信时间装置501包括:
NTP同步客户端201:向NTP同步服务器102发出时间同步请求,根据NTP同步服务器102返回的数据校准系统时间203,并记录装置端NTP同步日志;
时间校准客户端202:向所述时间校准服务器103发送数字校准证书205下载请求,以及装置端NTP同步日志,接收所述时间校准服务器返回的数字校准证书205;所述装置端NTP同步日志使用设备证书206进行加密;所述下载请求使用设备证书206私钥签名,供时间校准服务器103对下载请求进行验证。
所述时间校准客户端202申请的数字校准证书可以根据需要以1小时、1天等频率申请,相应的数字校准证书有效期根据申请需要的频率进行设定。
进一步地:
所述NTP同步服务器102:对NTP同步请求进行NTS验证;
所述时间校准服务器103的所述生成和下发数字校准证书205的方法为:
响应时间校准客户端202的数字校准证书205下载请求,通过分析相应的服务端NTP同步日志、装置端NTP同步日志,计算NTP时间同步的平均时间偏移与不确定度,生成加密的XML格式的数字校准证书205并返回给所述可信时间装置501;
所述可信时间装置501提供的可信时间服务204包括:
可信时间:可信时间装置501的系统BIOS时间;
所述数字校准证书205的DOI;
所述可信时间装置501的设备证书206的ID;所述数字校准证书205的DOI和所述设备证书206的ID用于供外部程序301验证所述数字校准证书205有效性。
进一步地:
所述平均时间偏移的计算方法为:在选定周期内,将所有时间偏移值中去除极值,计算平均值得到平均时间偏移;所述时间偏移值计算公式为:
△t=((T2-T1)+(T3-T4))/2
其中,T1为NTP同步客户端(201)向NTP同步服务器(102)发送第一数据包时间,T2为NTP同步服务器(102)接收第一数据包时间,T3为NTP同步服务器(102)发送第二数据包时间,T4为NTP同步客户端(201)接收第二数据包时间;
所述去极值的方法可以为3σ去极值法,但不限于此方法。
所述不确定度为去极值后的时间偏移的标准偏差。
进一步地,通过多次测量获得△t的平均值,就能精确地根据NTP同步服务器102间的时间校准可信服务装置的系统时间。通常情况下,在设置的初始,在5至10分钟有内6次交换。一旦同步后,每10分钟与服务器时间进行一次同步。
进一步地,所述可信服务装置501可以安装在服务器、小型计算机、移动终端、手机、平板等设备上,通过网络连接需要提供可信时间服务204的外部程序301,或者与所述外部程序301安装在同一个设备上。优选的,外部程序301通过以太网连接所述可信服务装置501。
本发明的上述方法具有以下优点:
通过连接可溯源的时间源,提高了时间的精确性;
通过将DCC证书制作为XML格式,保证了数字校准证书的机器可读性,从而提高了证书处理效率,降低了处理成本。
通过分析NTP服务器和可信时间装置的NTP同步日志,计算平均时间偏移和不确定度,生成DCC证书,保证了获得校准和进行服务之间时间数据不被篡改,保证了在DCC证书有效时间段内,提供的可信时间有更高的准确性和可靠性。
通过对为可信时间装置、时间校准服务器设备预先申请CA证书、对可信时间装置与时间校准服务器之间的交互数据进行非对称加密等手段,提高了可信时间校准的准确性和可靠性,通过提供外部程序查验追溯可信时间服务设备的DCC证书进一步提高了可信时间服务的可靠性和数据质量。
实施例2
一种提供可信时间服务的方法,基于上述的系统,包括:
步骤S101:所述NTP同步服务器102接收可信时间装置501的请求,为可信时间装置501提供可信时间服务204,保存对应于请求可信时间装置501设备ID的服务端NTP日志记录;
步骤S103:可信时间装置501调整系统时间与NTP同步服务器102保持时间同步,并保存装置端NTP日志记录;
步骤S105:可信时间装置501上传加密的装置端NTP同步日志到时间校准服务器103,时间校准服务器103依据服务端NTP日志记录、装置端NTP同步日志、可信时间装置501的数字身份、生成和下发数字校准证书205;
步骤S107:可信时间装置501从时间校准服务器103获取所述数字校准证书205,响应外部程序301的请求,提供可信时间服务204;所述可信时间服务204包括:可信时间装置501的系统时间203、数字校准证书205、设备证书206的ID。
进一步地:
所述NTP同步服务器102的时间源101溯源至时间协调时UTC;
所述可信时间装置501的数字身份包括证书管理机构颁发的时间装置的设备证书206和可信时间装置的设备ID,所述可信时间装置的设备ID用于NTP同步服务器102查找该可信时间装置501对应的服务端NTP日志记录。
进一步地:生成数字校准证书205的步骤包括:
步骤S201:在NTP同步服务器102上,采用标准NTP同步协议在互联网上对外提供时间同步服务,同时开启NTS验证,并记录服务端NTP同步日志;
步骤S203:在可信时间装置501上,与NTP同步服务器102进行时间同步,并记录装置端NTP同步日志;
步骤S205:在可信时间装置501上,分析可信时间装置501客户端的NTP同步日志,得到日志信息,利用设备证书206对日志内容加密,上传到时间校准服务器103;
步骤S207:在时间校准服务器103上,对接收到的NTP客户端日志信息,依据可信时间装置的数字身份,存储在数据库中;
步骤S209:时间校准服务器103根据可信时间装置501的装置端NTP同步日志和服务端NTP同步日志,计算NTP时间同步的平均偏移值与不确定度;生成加密的时间数字校准证书205,并传送给可信时间装置501。
进一步地:所述外部程序301的请求数据包括:
时间请求标识:将所述需要添加时间戳标识的数据用SM3或SHA256方法计算散列值而得到;
外部程序标识:用于可信时间装置501获取请求后在预设的外部程序标识库中查找是否为合法外部程序。
进一步地:
所述可信时间装置501对所述外部程序301的请求数据验证所述时间请求标识是否规范;所述外部程序标识是否为已授权外部程序;并验证是否存在有效的数字校准证书205;验证通过后对返回外部程序301的数据进行数字签名,所述返回外部程序301的数据包括:
所述时间请求标识;
所述外部请求标识;
时间数据:以字符串描述的时间,以及当前时间状态;
可信时间装置(501)设备证书(206)ID,供外部程序(301)向时间校准服务器(103)查询设备证书(206),以及需要时用设备证书(206)公钥进行验签;
数字校准证书205的DOI,供外部程序向时间校准服务器103查询所述数字校准证书205的有效状态。
实施例3
为实现上述目的,本发明的一种实施例的可信时间网络校准系统与可信时间服务方法,依次包括如下步骤:
1.提供计量可溯源的时间源(101),作为整个系统的时间来源;
2.向证书管理机构(CA),为时间校准服务器103、可信时间装置501申请设备证书;包括:
A)在可信时间装置501上生成公钥私钥对,并生成CSR(证书请求文件);
B)将CSR文件和当前机构证明文件发给证书管理机构(CA);
C)CA机构返回设备证书,并保存在可信时间装置501中。
3.启动NTP同步服务器102,为系统提供NTP时间同步服务,并保存日志;
4.在可信时间装置501中启动时间同步服务,与NTP同步服务器102保持时间同步,并保存日志记录;
5.可信时间装置501上传NTP同步日志到时间校准服务器103,时间校准服务器103依据日志信息、可信时间装置501的数字身份生成时间数字校准证书(DCC)205;
6.可信时间装置501依据的可信时间装置501的设备证书、系统时间203、DCC证书205对外提供可信时间服务204。
使用本发明系统和数字服务的优势分析如下:
采用能够溯源至国家时间频率基准的具有合法计量机构出具时间校准证书的时间源,从而保证时间源的精准、可靠、计量可溯源。
与相关技术中网络时间校准使用校准证书是纸质或pdf电子版,不利于计算机系统准确获取时间不确定度数值的现状相比,本发明采用基于国际认可和批准的交换格式XML(可扩展标记语言),作为校准证书数字化的容器,保证了校准证书的机器可读。同时,还使用非对称加密保证了DCC证书的不被篡改和可靠性。
提供可信时间服务的可信时间装置,在被校准到提供时间服务的时间段之间能确保其时间不被篡改,保证该装置的数字身份与时间校准证书的对象一致。通过采用权威CA机构为可信时间装置颁发的数字证书和PKI体系,保证了DCC证书不被篡改、需要时间戳的原始数据、请求信息和返回信息等的不被篡改,从而保证了数据的安全性和可靠性。
能保证电子数据不被篡改以及事后可以追溯,本发明采用计算时间关联对象的SM3杂凑值,然后和时间、时间装置ID、DCC证书的ID等相关信息进行组合,利用时间DCC的设备证书进行数字签名,完成时间关联对象、时间、时间装置、时间计量溯源信息的紧密绑定,标识时间身份,防止时间数据的篡改;该时间数字校准证书和设备ID证书基于PKI体系,在互联网上可对其进行核验与追溯。
实施例4
如图1所示,本发明的一种实施例的可信时间网络校准系统与可信时间服务的示意图,包括时间源101、NTP同步服务器102、时间校准服务器103、NTP同步客户端201、时间校准客户端202、系统时间203、可信时间服务204、DCC证书205、设备证书206、外部程序301、互联网401、时间服务接口402。
时间源101:计量可溯源的时间源,为整个系统提供高精度、可靠、计量可溯源的时间源。
NTP同步服务器102:部署在互联网上的服务系统,对外提供NTP同步服务的服务器,有独立的IP地址,提供NTS对NTP进行保护,保证NTP服务的基本安全。
时间校准服务器103:部署在互联网上的服务系统,通过HTTPS对外提供REST接口服务,采用CA机构颁发的证书进行鉴权,在服务器上,保存所有能够合法访问的装置的设备证书206,请求服务的装置持有对应的私钥,利用非对称加密机制(RSA,ECC),对请求进行验证,持有合法证书的请求,才能使用接口;该接口主要提供DCC证书205生成、DCC证书205下载、DCC证书205验证等功能;DCC证书205的生成,依据登录用户的证书,在NTP同步服务器102上查找对应的NTP同步日志,依据同步日志(至少24小时以上的日志数据),生成DCC证书205,并保存在数据库中。DCC证书205的验证,根据请求的DCC证书DOI,查询和返回该DCC证书是否有效。
NTP同步客户端201:运行在可信时间装置501上,通过以太网与NTP同步服务器102进行时间同步,NTP同步客户端201发出时间请求,与NTP同步服务器102交换时间,这个交换的结果是,能计算出时间偏移,并调整与服务器时间同步。时间偏移计算公式为:为:时间偏移=((T2-T1)+(T3-T4))/2,其中T1为客户端的数据包发送时间,T2为服务器端数据包接收时间,T3为服务器端数据包发送时间,T4为客户端数据包接收时间。通常情况下,在设置的初始,在5至10分钟有内6次交换。一旦同步后,每10分钟与服务器时间进行一次同步。交换的频率可以根据实际需要设定,不限于上述例子。可通过对时间的直接修改、或者修改频率校准值来实现对时间的调整。
时间校准客户端202:程序运行在可信时间装置501上,通过以太网,使用基于HTTPS的REST接口,生成该设备的时间DCC证书205。首先,利用预先保存的该可信时间装置501的设备证书206,登入时间校准服务器103系统中,得到会话Token;接着发送该设备标识给时间校准服务器103,生成对应的DCC证书205;最后下载DCC证书205,并保存在系统目录下。
系统时间203:可信时间装置501的系统时间203,该时间由可信时间装置501的系统BIOS提供,即使重新启动或者短时间的停机,也不会对时间有影响。可通过对时间的直接修改、或者修改频率校准值来实现对时间的修改。
可信时间服务204:是可信时间装置501对外服务的程序,提供基于以太网的REST接口服务。
数字校准证书(DCC)205:数字校准证书205在每个计量质量管理体系中都起着决定性作用,数字校准证书205可以做的不只是证明计量溯源性。数字校准证书205基于国际认可和批准的交换格式XML(可扩展标记语言),而且它是可机读的,包括数值校准曲线在内的所有显示能够直接或自动转换为数字支持流程。同时,使用加密签名作为安全程序,确保校准证书的完整性和真实性。
设备证书206:由权威CA机构给可信时间装置501颁发的设备证书206,该设备证书206在数字世界中标识该设备。
外部程序301:需要使用可信时间的第三方程序。第三方独立程序可以安装在独立的硬件设备上,也可以是运行在可信时间装置501里的应用程序。
互联网401:通过互联网401同NTP同步服务器102、时间校准服务器103进行通信,包括多种接入方式:有线以太网、WIFI、4G、5G等多种方式。
时间服务接口402:主要包括以太网的方式对外提供服务,但不限于上述形式。
图2为本发明一个实施例的可信时间网络校准系统中数字校准证书生成流程图。
如图2所示,依据NTP同步客户端201的同步日志和服务器端的同步日志,通过CA证书的数字身份验证,计算得到可信时间装置501的平均时间偏移以及不确定度,生成时间DCC证书205:包括的具体步骤如下:
步骤S301:在NTP同步服务器102上,使用NTPD服务程序,采用标准NTP同步协议(RFC 5905)在互联网上对外提供时间同步服务,同时开启NTS验证,并记录所有的时间同步日志。
步骤S302:在可信时间装置501上,使用NTPD服务程序,采用标准的NTP协议(RFC5905),与NTP同步服务器102进行时间同步,并记录同步日志在文件中。
步骤S303:在可信时间装置501上,分析客户端的NTP同步日志,得到日志信息,内容包括:日期、小时(UTC)、测量来自的IP地址、闰状态、最大延迟、分数、估计的本地时钟误差、对等延迟等,利用设备ID证书206对日志内容加密,上传到时间校准服务器103中,其中,上传到服务器的接口符合RESTful规范。
步骤S304:在时间校准服务器103上,对接收到的NTP客户端日志信息,进行分析和整理,依据可信时间装置501的数字身份,存储在数据库中;针对同一个可信时间装置501,结合NTP客户端日志和NTP服务器端日志,计算NTP时间同步的偏移与不确定度;生成时间DCC证书205,使用加密签名作为安全程序,确保校准证书的完整性和真实性,并传送给可信时间装置501。
所述平均时间偏移计算:计算周期内,在所有时间偏移值中去除极值(3σ去极值)后,计算剩余的时间偏移值的平均值作为平均时间偏移;不确定度为去极值后的时间偏移的标准偏差。
实施例5
如图3所示,是本发明一种实施例的可信时间服务方法中可信时间获取流程,时间装置通过通信接口(网络、管道等)对外提供符合RESTful规范的服务,数据内容采用JSON格式,外部程序采用主动的方式获取可信时间信息,一次请求对应一次回应。
具体的过程如下:
步骤S401:外部程序301通过预先申请获取到授权的外部程序标识,对需要添加时间戳标识的数据,计算杂凑值,得到时间请求标识,然后把外部程序标识组和时间请求标识合成一个JSON数据包,发送给可信时间装置501时间请求包的数据成员如下表:
步骤S402:可信时间装置501对接收到的时间请求包,采用如下的处理规则:1)验证时间请求标识是否符合规范,如果不符合,直接返回错误信息;2)核验外部程序标识是否在授权的外部程序标识库中,如果不在,则直接返回错误信息;3)检查可信时间装置501的设备证书206,主要查验是否存在、是否在有效时间范围、是否被吊销,并得到设备证书206ID标识;4)查验最新DCC证书205,主要检查DCC证书205是否存在、DCC证书205是否有效、DCC证书205的时间偏移和不确定度是否在合理范围内,并得到DCC证书ID。
步骤S403:获取系统时间203,转化为符合ISO 8601规范的字符串,作为当前时间;对时间请求标识、外部程序标识、时间状态、当前时间、设备证书206的ID标识、数字校准证书205的ID的字符串内容按照顺序连接起来,转为UTF-8编码的数据块,使用可信时间装置501的设备证书206,对连接后的数据块进行数字签名,最后,转换为BASE64编码。
步骤S404:对需要返回给外部程序301的信息,组成一个JSON数据包,通过符合RESTful规范的接口返回给外部程序301,时间响应包的数据成员格式如下:
实施例6
如图4所示,本发明一个实施例中可信时间网络校准系统与数字服务方法的应用示意图,展示了VOCs在线监测系统使用可信时间服务204的一个示例。在VOCs采集到的数据上附加可信时间,为VOCs数据的完整性、时间准确性、时间计量可溯源性提供了保障,并为该数据提供了可追溯、可验证的能力。具体过程如下:
步骤A01:VOCs在线监测系统进行数据采集,得到结果数据;
步骤A02:VOCs在线监测系统通过以太网和可信时间装置501连接,针对VOCs结果数据和仪器状态参数,按照约定的顺序,计算数据的杂凑值(使用SM3杂凑算法),将杂凑值作为时间的关联对象,通过RESTful编程接口,从可信时间装置501获取可信时间信息;
步骤A03:将可信时间信息、时间关联对象、原始数据组合成一个时间可信的VOCs数据A03数据对象,保存在文件/数据库中;
步骤A04:公众/监管机构C1查看和下载时间可信的VOCs数据,将该数据通过互联网上传到可信时间装置501,可以核验VOCs数据的完整性,VOCs数据关联时间的准确度、VOCs数据关联时间的计量溯源记录(数字校准证书205)。公众/监管机构通过可信时间装置501获得数字校准证书205的ID,可以在互联网上对数字校准证书205内容进行查询。
在本发明的实施例中,本发明的可信时间校准系统和可信时间服务可以适用于上述应用场景,可以理解本发明不限于上述应用场景,还可以广泛应用于一切对时间的精准度、一致性、计量溯源性有要求的设备和服务中。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换或改进等,均应包含在本发明的保护范围之内。