Cuprins
A. Descriere generală a sistemului
B. Definiţii
C. Accesul la serverele de timp din cadrul proiectului „Sistem informatic, disponibil permanent, pentru furnizarea on-line a Orei Oficiale a României”
D. Cerinţe, condiţii şi recomandări
a. Cerinţe pentru server-ele Stratum 2
b. Condiţii de conectare la server-ele de timp Stratum 1
c. Recomandări
d. Autentificarea informaţiei de timp
A. „Sistem informatic, disponibil permanent, pentru furnizarea on-line a Orei Oficiale a României”: caracteristici principale, componenţa
Sistemul permite accesul la informaţia de timp furnizată de etalonul naţional al României raspunzand astfel cerintelor utilizatorilor de a avea asigurată uniformitatea marcării temporale a tranzacţiilor şi documentelor atât la nivel naţional cât şi internaţional în conformitate cu standardele în vigoare, contribuind la creşterea calităţii serviciilor oferite de societatea informaţionala.
Etalonul naţional este compus din două orologii atomice cu cesiu: un HP 5071 A şi un Agilent 5071A si instalatiile auxiliare. Scara de timp realizată de etalonul naţional este trasabilă la scara internaţională de timp UTC.
Sistemul informatic destinat Furnizării Orei Oficiale a României are în componenţa sa următoarele elemente:
-Nivel Stratum 1, compus din două servere de timp tip Elproma NTS-3000 sincronizate fiecare cu un semnal 1PPS (one Pulse Per Second) etalon furnizat de cele două orologii atomice.
-Nivel Stratum 2, compus dintr-un server cu acces nerestricţionat, trasabil la cele 2 servere Stratum 1
-Sistem de logare ce oferă posibilitatea de căutare/sortare/arhivare a informaţiilor pentru toate componentele sistemului precum şi a evenimentelor survenite.
-Sistem pentru verificarea serverelor NTP (STRATUM 2) capabil să genereze un semnal 1PPS sincron cu serverul NTP care se doreşte a fi verificat/urmărit
-Două circuite de Internet, prin medii de acces distincte (terestru şi radio), asigurate de furnizori diferiţi şi independenţi pentru redundanţa sistemului.
-Sistem de rutare redundant, independent de provider, compus din 2 echipamente router şi 2 switchuri layer 3, la nivelul căruia este implementată şi soluţia de securizare a accesului
-Sistem de electroalimentare de siguranţă, compus din 5 UPS-uri dubla conversie de 1,5 KVA, având o autonomie de funcţionare de până la 6 minute în sarcină maximă şi un grup electrogenerator de 30 KVA, cu comutare automată şi având asigurată o funcţionare de aproximativ 50 de ore.
Arhitectura prezentată mai sus asigură urmatoarele caracteristici funcţionale:
a. Protocoale disponibile: NTPv4 (Network Time Protocol, RFC 1305) si SNTP (Simple Network Time Protocol, RFC 2030)
b. Autentificarea informaţiei de timp: chei simetrice MD5
c. Controlul accesului: liste de acces firewall, după adresele IP aparţinând server-elor Stratum 2 şi portul UDP:123
d. Dispersia parametrului offset (corecţia ceasului local), la nivelul reţelei locale: ± 10 ms
e. Abaterea standard experimentală a parametrului offset, la nivelul reţelei locale: 175 ms
Figura 1 – Arhitectura Sistemului pentru Furnizarea Orei Oficiale si modul de sincronizare a server-elor de timp Stratum 2
B. Definiţii:
NTP (Network Time Protocol): protocol utilizat pentru sincronizarea în timp real a ceasornicelor interne ale calculatoarelor aflate într-o reţea. Standardul NTP, versiunea 3 este descris în RFC 1305. Versiunea curentă (4) nu a fost încă formalizată într-un RFC.
Stratum: Distanţa faţă de orologiu de referinţă (STRATUM 0) în cadrul schemei de ierarhizare NTP.
Stratum 1: server care este direct conectat la un Stratum 0
Politici de acces via NTP pentru servere de timp:
- acces închis (closed acces) – accesul este permis numai în baza unui acord anterior,
- acces restricţionat (restricted acces) – accesul la serverul de timp este permis cu anumite restricţii fără a necesita un acord prealabil,
- acces liber (open acces) – accesul este acordat oricărui utilizator, aflat în orice locaţie, fară restricţii.
C. Accesul la serverele de timp din cadrul proiectului „Sistem informatic, disponibil permanent, pentru furnizarea on-line a Orei Oficiale a României”:
Server Stratum 2 MCTI: acces liber
Servere Stratum 1 : acces închis
Pentru Serverele Stratum 1 accesul se va face în baza unui acord încheiat între solicitantul dreptului de acces, deţinător al unui server de timp care va deveni Stratum 2 şi MCTI.
Acest acord va trebui să cuprindă următoarele prevederi:
- numele instituţiei care solicită dreptul de acces
- motivaţia pentru care se solicită dreptul de acces
- perioada pentru care se încheie
- intervalul de timp la care se doreste interogarea serverelor STRATUM 1
D. Cerinţe tehnice, condiţii şi recomandări pentru accesul la serverele Stratum 1:
a. Cerinţe pentru server-ele Stratum 2
Pentru o funcţionare corespunzătoare a server-ului/clientului de timp Stratum 2 se recomandă următoarele cerinţe minimale:
-
Daca se utilizează firewall, trebuie deschis accesul pentru protocolul UDP, portul 123, pentru următoarele adrese de destinaţie:
§ 194.50.8.7 (kronos1.mcti.ro)
§ 194.50.8.8 (kronos2.mcti.ro)
b. Condiţii de conectare la server-ele de timp Stratum 1
Pentru conectarea la server-ele Stratum 1, clientul trebuie să îndeplineasca următoarele condiţii:
o adresa sau adresele IP ale server-elor de timp Stratum 2, care urmează să fie conectate la server-ele Stratum 1
o Persoana de contact care administrează server-ele Stratum 2 (telefon, fax, E-mail)
server 194.50.8.7 maxpoll <valoare>
server 194.50.8.8 maxpoll <valoare>
keys /etc/ntp/keys.ntp # opţional, dacă se doreşte autentificarea informaţiei
Observaţii:
c. Recomandări
Pentru obţinerea unor performanţe ridicate, se recomandă următoarele:
d. Autentificarea informaţiei de timp
Clienţii Stratum 2 pot opta pentru autentificarea informaţiei de timp, utilizând mecanismul MD5, cu chei simetrice. Pentru acest mod de lucru, în fişierul de configurare al clientului NTP sunt necesare următoarele modificări:
Keys /etc/ntp/keys.ntp # specifică fişierul în care se găsesc cheile pentru autentificare şi corespunde unui server de timp cu sistem de operare Linux
Trustedkey 6 10 # specifică ce chei din fişier sunt utilizabile pentru autentificare
Server kronos1.mcti.ro key 6 # specifică cheia ce va fi folosită pentru un anumit server
Server kronos2.mcti.ro key 10 # specifică cheia ce va fi folosită pentru un anumit server
Formatul fişierului pentru chei este următorul:
6 M nh%4fgtr
10 A Auth10key!
unde:
- Prima coloanã reprezintã identificatorul cheii;
- A doua coloanã reprezintã tipul cheii respective: A reprezintă o cheie în format ASCII, iar M o cheie în format MD5
Fişierul conţinând cheile simetrice (
keys.ntp) va fi furnizat clientului de cãtre responsabilul MCTI/BRML, prin intermediul unui suport de stocare uzual (dischetã, CD, stick memorie), pus la dispoziţie de client.
d. Autentificarea informaţiei de timp
Clienţii Stratum 2 pot opta pentru autentificarea informaţiei de timp, utilizând mecanismul MD5, cu chei simetrice. Pentru acest mod de lucru, în fişierul de configurare al clientului NTP sunt necesare următoarele modificări:
Keys /etc/ntp/keys.ntp # specifică fişierul în care se găsesc cheile pentru autentificare şi corespunde unui server de timp cu sistem de operare Linux
Trustedkey 6 10 # specifică ce chei din fişier sunt utilizabile pentru autentificare
Server kronos1.mcti.ro key 6 # specifică cheia ce va fi folosită pentru un anumit server
Server kronos2.mcti.ro key 10 # specifică cheia ce va fi folosită pentru un anumit server
Formatul fişierului pentru chei este următorul:
6 M nh%4fgtr
10 A Auth10key!
unde:
- Prima coloanã reprezintã identificatorul cheii;
- A doua coloanã reprezintã tipul cheii respective: A reprezintă o cheie în format ASCII, iar M o cheie în format MD5
Fişierul conţinând cheile simetrice (keys.ntp) va fi furnizat clientului de cãtre responsabilul MCTI/BRML, prin intermediul unui suport de stocare uzual (dischetã, CD, stick memorie), pus la dispoziţie de client.