服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 准确的,无延时的时间源
Intereting Posts
将多个IPv6地址分配给单个接口 kickstart%include不能打开文件 Linux:测量每个远程主机的networking消耗 脚本删除每个用户的桌面上的快捷方式 如何在科学Linux上获得ldapsearch? 覆盖整个IISconfiguration 如何在Windows Server 2k8 R2上“解锁”会话或允许RDS中的“快速用户切换” 共享打印机内部networking Mediawikimath扩展它从命令行,但不是从PHP工作 用github-pull应用程序创buildAWS Linux实例 Procurve主VLAN isc-dhcpd静态ip范围内 测量每个Citrix会话的networkingstream量 相同的证书以不同的价格出售? Nagios:有可能有一个主机的多个IP?

准确的,无延时的时间源

我需要一个无懈可击的准确的时间源。

没有build立我自己的primefaces钟(除非这比听起来容易),我怎么能做到这一点?

这并不是我不相信NTP池, 我无法确定我在跟谁说话。

之前的答案之一提到了MD5authentication,但没有提到NTP4中可用的pubkeyauthentication。 许多国家实验室提供md5 /自动启用时间服务。

我不明白你的威胁模式是什么; 如果有人有能力也愿意欺骗你的GPS信号,那么你有更多的问题比什么时候。 这就是说,你可以结合使用GPS或CDMA的本地反时钟,然后用来自提供authentication的时间服务的一些国家实验室的authentication时间来增加这个时间信号。 这样,如果您的GPS信号被欺骗,您仍然可以依靠来自国家实验室的authentication时间。

全球定位系统:

只需40美元和一些焊接,您就可以使用Sure Electronics GPS评估板设置本地GPS + PPS时间源。 偶尔你可以find一个CDMA refclock在ebay上相当便宜,如果你不能在你的数据中心接收GPS信号。

经过身份validation的NTP服务:

NIST,NRC和INRIM(美国,加拿大和意大利的国家实验室)提供MD5authentication的时间服务。 与NIST和INRIM不同,CRC md5服务不是免费的。 自动钥匙authentication的时间服务可从OBSPM和INRIM(法国和意大利的国家实验室)获得,他们免费提供这项服务。 当然有其他国家实验室authentication的时间,但你将需要为他们的谷歌。

来自国家实验室authentication时间的链接:

NIST:

http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm

NRC:

http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated

OBSPM:

http://syrte.obspm.fr/informatique/ntp_infos.php

https://syrte.obspm.fr/informatique/ntp_keys.php

INRIM:

http://www.inrim.it/ntp/

http://www.inrim.it/ntp/auth_i.shtml

我的build议是信任NTP – 这绝对不是安全的,但我不知道有任何主要的攻击媒介,它和你select的同行一样安全(它们与你的DNSparsing和路由一样安全)表)。

如果你需要考虑其他的select这里有一些(括号内的准确性/安全性):

  1. 你自己的primefaces钟作为PPS来源。 (关于acurate。该死的近无形的)
    (这些都可以在eBay上find,build立起来也不是不可能的 – 有很多时间,而你的NTP守护进程可以用它作为时间源,你需要处理闰秒。

  2. 一个GPS接收器。 (超级准确,很难欺骗)。
    (GPS信号可以被覆盖/欺骗,但是这是一个需要一些努力才能执行的专家攻击.GPS系统的完全失效是不可能的,因为完全closures)。

  3. NTP (非常准确,有些努力可以欺骗)
    (通过你的时间源攻击你的机会非常渺茫,如果你configuration你的NTP守护进程对几个池服务器,任何exception值或错误代码将被丢弃。
    请注意,这假定您至less信任您的DNS,尽可能放弃它。)

  4. 稳定的石英振荡器作为PPS源。 (不是很准确,该死的靠近无形的)
    (根据振荡器的不同,这可能不会比计算机的时钟更准确,但是需要定期更正时间,并且需要处理闰秒。)

  5. 你的电脑的内部时钟。 (比沙漏更准确,该死的近乎无形的)
    (对于任何关心时间的现代应用来说,这几乎是不可用的。)

NTP不是一个安全的协议(好吧,有一个authentication机制,但没有被广泛使用,而MD5authentication并不是非常安全的) – 无论你使用什么互联网时间服务器,你都不知道你在跟他们说话 不要把游泳池的可靠性放在一边(我不喜欢它们,因为它们的层次都很到位, NIST有很好的互联网NTP 来源 ),互联网NTP不符合你的要求。

本地networking上的硬件时钟确实是确保连接不被拦截的唯一方式 – 即使这样,只有当您的局域网的安全性能够向您保证。

那么,购买GPS同步的meinberg。 那些不是太贵。 你应该能够在一定程度上相信这一点。 http://www.meinberg.de 。 或者只是购买一个GPS同步设备,并将其挂接到服务器。

互联网上有许多安全的时间源。 他们大多数是这样工作的:

  1. 你生成一个随机的挑战。

  2. 您将挑战发送到时间源。

  3. 时间源为您的挑战添加一个时间戳,用他们熟知的私钥对其进行签名,然后将其发回给您。

  4. 您用他们的公钥确认签名。

  5. 您现在知道,假设您可以信任此源,则时间戳中的时间反映了您生成挑战和收到回复之间的某个时间。

Verisign通过HTTPS运行这样的服务。 该URL是http://timestamp.verisign.com/scripts/timstamp.dll 。 Globalsign也运行一个,URL是http://timestamp.globalsign.com/scripts/timstamp.dll 。 该协议在RFC 3161中指定,并在OpenSSL中实现。