企業或網路上眾多電腦時間如何同步

企業或網路上眾多電腦時間如何同步 ? Network Time Protocol (NTP) 提供一個網路效時的方式. 提供標準時間的電腦稱為 NTP server, 想要取得NTP Server 時間的電腦稱為NTP Client, 那麼這台NTP Server的時間又從何而來 ? 它必需再跟上一層的NTP Server校時, 或是連接 GPS 衛星所得的全球標準時間.
我們提供這一台物美價廉的NTP Server:
--即插即用(Ready-to-operate) NTP Time Server, 提供網路上各種電腦設備校時的基礎
--支援標準NTP, SNTP 相容之NTP Clients
--網路介面 (RJ-45, 10/100 Mb), 標準 1-U 大小的IP network Appliance
--網路視窗化的管理與設定介面
--前方面版顯示時間及衛星狀態
--內含GPS接收天線. 可同時追蹤12顆衛星
--系統錯誤報告功能 (Syslog Reporting)
--安全的專屬作業系統, 阻隔駭客與病毒攻擊
--Flash 記憶體設計, 可軟體更新版本
--時間準確度: Network in +/- 5 milliseconds; GPS: 1 microseconds
--提供三年保固

技術規格
接收器: Active Antenna GPS 12 channel
設備體積: 19'' case (1U)
螢幕: LC-display,2x20 characters,with backlight
網路介面: RJ-45 Network Connection 10/100 MBit
電源: 85...260V, 47...63Hz
溫度: 0…50°C
濕度: Max. 85%
時間準確度• Network: +/- 5 milliseconds• GPS: 1 microseconds

連絡電話:(02)77128295
玉山科技股份有限公司
http://www.asiapeak.com

電子時戳標準規範--RFC3161

摘要

本文件描述TSA(Time Stamp Authority) 接收時戳要求與回應時戳的格式，以及TSA運行時相關的安全要求。

介紹

時戳服務提供證明某一文件或資料在某一時點就已存在的事實，TSA可以由公正第三機構(Trusted Third Party, TTP)來運行，也可以其它方式來實行，例如組織可以自行建立TSA做為內部使用之時戳服務。

TSA就是提供時戳服務的公正機構, 也就是要來提供某一資料在某一時點就已存在的證明。

TSA的角色是要去為一份資料「押時戳」以建立該資料在某一時點就已存在的證據，可驗證雖已失效的憑證其之前所簽署的文件，此為PKI運作之重要特性。在截止時間是非常重要的情況下, TSA用來可表示交付時間，或在交易日誌裡, TSA用來表示每一項記錄的時間。

此份標準並不是要建立TSA運作上所有的安全要，正如其他PKIX標準並不是要建立CA運作的所有要求，而是要讓時戳的使用者了解產生準確時戳的政策，使用者了解並滿足其需求後, 也就能充分使用TSA提供的時戳服務。

TSA

TSA 是一個產生時戳標記(Time Stamp Token)的公正機構, 此標記能指證某一資料在某一時點就已存在。

TSA 的需求

(1) 使用可信任的時間源(Time Source)
(2) 每一個時戳標記應包括一個可信任的時間值(Time Value)
(3) 每一個新產生的時戳標記應包括一個唯一的整數值
(4) 一收到時戳需求就要立即產生一個時戳標記
(5) 每一個時戳標記要包含一個唯一的識別碼(ID)代表此標記產生時的安全政策
(6) 對代表此資料之湊雜值(Hash)即資料印記(Imprint)做一時間戳記(time-stamp)
(7) 檢查Hash function的OID及湊雜值長度是否無誤
(8) 不用檢查Imprint內容 (除了長度外)
(9) 時戳標記不要包括其它代表需求端的識別碼
(10) 使用為時戳目的的憑證的金鑰來簽署(sign)此時戳標記
(11) 時戳標記可以有TSA支援的延伸欄位, 必要時可以在此放額外資訊。

TSA處理 (Transaction)

此機制的第一個訊息為需求端(Requesting Entity)為取得時戳標記而送給TSA的需要訊息(Request), 此可以是或包括TimeStampReq. 第二個訊息為TSA回應給需求端的回應訊息(Response), 此可以是或包括TimeStampResp。

一旦收到回應(是或包括TimeStampResp, 通常包含TimeStampToken[TST])在內)，需求端應該檢查回應訊息狀態是否有錯誤，然後檢查TST內的欄位, 再驗證TST的數位簽章，特別要確認回應與要求的對應。需求端要確認 TST裡包含的TSA的憑證代號、資料印記、Hash function的OID。然後檢查回應的及時性(可比對回應訊息內的時間, 或檢查需求訊息與回應訊息內的nonce值), 其它關於如何偵測重播供擊(Replay Attack)可參看後文安全考量項目。如果以上任何檢查有誤，應拒絕此TST。

因為TSA的憑證可能無效(過時或被取消)，必須檢查憑證的有效性。

需求端還應檢查TST的Policy 欄位是否符何合要求。

TSA 身份識別

TSA 必須用此特定目的的金鑰來簽署所有發出的時戳訊息，TSA 可以有各種不同的私鑰以符不同的要求，例如：不同政策(Policy)、不同演算法、不同私鑰長度等。其對應的憑證必須包含剛好一個延伸的金鑰使用標的的欄位，內含此值：
id-kp-timeStamping

RFC 3161 原文資料: http://www.ietf.org/rfc/rfc3161.txt

電子簽章一定要有時戳(Timestamp)

由受信任的公正第三機構來提供時戳(Time Stamp)服務, 可以提供某一文件在某一時間點即已存在的證明.

電子簽章(Digital Signature)是將某一文件或交易與簽章人連結起來形成唯一的特徵. 電子簽章要確保「不可否認性」必需做到兩點: 第一是簽章與文件內容的唯一性, 第二是簽章人的憑證(Certificate)必須有效.

電子簽章(Digital Signature)是將某一文件或交易與簽章人連結起來形成唯一的特徵. 電子簽章要確保「不可否認性」必需做到兩點: 第一是簽章與文件內容的唯一性, 第二是簽章人的憑證(Certificate)必須有效.

為電子簽章證明時間

憑證可能被取銷(Revoked)或過期失效(Expired), 這雖然不會影響憑證失效前的的所有簽章, 但若缺乏可信賴的時戳, 將無法證明簽章是在憑證有效期內所為. 這會是一個重要的法律問題.
下面這個例子可說明某A如何否認他發出的電子簽章文件.
A在十二月一日送一封他簽名的信件給B, 承認他欠B一筆錢, 並承諾會在聖誕節時還給B
B在當天收到這封信, 經驗證電子簽章, 確為A所發出, 且內容無誤, 於是B就期待聖誕節到時A會還錢給他.
A在次日將其個人憑證撤銷
聖誕節到時, B向A要錢, 並出示A之前發給B的信件
A 拒絕承認此事, 並宣稱該信件簽章是假的
B無法證明該信件是在A憑證撤銷前所簽章的. 法院可能判B敗訴
上述問題的關鍵在, 無法證明文件的數位簽章是在該憑證有效期內所簽署的
如果當時B要求A的文件必須包括電子時戳的話, 除了驗明正身(Who & What) 還包括了A簽署這文件的時間 (When)
事後法院可以根據電子時戳來證明這文件是在A的憑藉撤銷前做的, A就無法否認這事了

時戳服務中心(TSA, Time Stamp Authority)

是一個提供大家信任的時戳機構, 它是一個被授權的第三方.

程式碼簽章 (Code Signing)

要確保軟體程式的完整性與可鑑識性, 尤其在經由網際網路下載的軟體, 更需要一個機制來確認軟體的身份與正確性, 以免使用到假冒的軟體或被竄改過的軟體(植入病毒或木馬), 所以軟體必須被簽章以證明身份與完整性, 簽章的有效性與其憑證是關連的, 如果憑證過期, 就無法證明軟體的身份與完整性, 這軟體就不值得信任, 軟體的發行者必須被迫使用新的憑證來簽章該軟體.
如果能在為軟體簽章時就使用電子時戳, 就能確認即使該簽章憑證已過期, 軟體仍然是可信任的.

與TSA有關的標準協議

1. Time Stamp Protocol: RFC 3161 協議裡定義了TSA的角色, 其服務的要求項目, 時戳需求(Request)與回復(Response)的格式與傳輸的協議
2. Network Time Protocol: RFC 1305 規定網路校時的方式 (NTP)
3. Simple Network Time Protocol: RFC 2030 (SNTP)

如何快速建置一個時戳伺服器?
http://www.asiapeak.com/ 玉山科技