校园隔离网中关于时间的一些事情 论文

校园隔离网中关于时间的一些摘要：针对隔离网中关键设备时间同步的需求，本文以校园网为例，尝试使用较高性价比、较强可操作性的方法解决内网授时问题，在保障隔离内网相对安全的前提下，保证内网设备时间与标准时间的统一性，。关键词：隔离网，校园网，时间服务，NTP协议，网络安全引言：随着智慧校园建设的逐步强化，校园内安防网、广播网、互联网全面发展，他们构成了整个智慧校园的坚实基础。其中，安防网络主要包括视频监控、防盗报警、巡更夜查、火灾预警等设备；广播网络以数字广播主机、复合终端、模拟备用主机、多型号功放等音频设备为主，这两个网络出于信息安全与政治影响考虑，是处于封闭的内网之中的，不允许直接访问互联网，但这两类设备又是时间敏感性极强的，对当前动辄三五千学生的学校，定时铃声慢五分钟，可能会造成较大的混乱，同理，监控主机对采集的数据打上的时间戳，如果跟标准时间不同步，对后期事件还原又会带来很多麻烦。因此，保证这些内网设备时间与标准北京时间的统一，是件十分重要的事情。下面我们从原理、关键设备、实现三个方面对这一问题展开初步论述。一、时间同步1．时间的表示形式我们平时看到的时间，都是以年/月/日/时/分/秒这种形式呈现的，而实际上时间在电脑和通信设备里是以一个较大十进制十位数表示的，这个值是以格林威治1970年1月1日0时0分0秒作为基准0，然后依次累加的秒数，比如2021年5月31日8点20时59秒，他的值应该是1622391659，加上与我们北京东八区相差的8个时区差值28800秒，其值为1622420459。2．NTP协议在当前信息化环境下，时间同步主要通过网络来进行，而网络授时与同步主要依靠的协议叫NTP，全称为网络时间协议NetworkTimeProcotol），其原理是在网络提供一个可靠的主机作为时钟源，借助特定的网络报文，为其他在网用户提供高精度授时服务。NTP从1982年最初提出，至今已发展至2001年的第4版，精度也已经达到了200MS（1秒=1000毫秒）。目前，主流设备都支持NTPV3版。二、关键设当前校园网内，需要保持时间准确的设备主要有：广播系统、安防系统、网络设备、服务器等。1．广播系统广播系统时间准确的重要性其实不言而喻，一个三千人左右的学校，只要放学时间出现五分钟左右的延迟，使得错峰放学不能正常进行，那对周边主干道的交通将产生非常严重的影响，进而对学生、家长及周边住户的生活节奏产生影响，所以，保持广播系统与标准时间一致性是非常必要的。2．安防系统安防系统作为学校兜底的安全保障系统，其对网络的稳定性与数据实时性要求是较高的，以监控系统为例，摄像机本身的时间，存储主机的时间，如果不一致，那其采集的数据传输至存储中心打时间戳时就会有时间差异，如果这个时间和标准时间有较大误差，在后续的查询使用中就难于准确定位视频数据位置，造成障碍，影响业务效率。此外，为了保护系统的稳定性，一些核心设备都会在一定非重要时间点进行重启性自清理，如果基准参考时间出问题，在关键时间点上设备出现了重启，那就会形成生产事故。举个例子，我们校内的白板会在放学后18点定时自动关机，而一（9）班的白板系统时间被学生误调快了10个小时，导致上午8点老师在上公开课时突然关机。3．网络设备与服务器网络设备在定时任务与日志分析时，需要统一的参考时间线，否则计划任务的执行就会混乱。内网的服务器集群在维护与运营过程中，也会有定期计划任务，比如数据库的定时增量备份，此外，当系统出现故障，在故障溯源与日志分析时，准确的时间线会降低追踪故障点的难度。三、具体实由于NTP协议在常用的操作系统中是直接封装的，默认都处于开启状态，所以，同步授时的客户端基本不需要做什么深度的设置或开发，最多只需要设置下同步源的IP或者域名。相对来说，难点在于提供精准时间服务的数据源，总体而言，目前民用时间源可以有以下几类。1．卫星时间源这类设备采用实时接收GPS或北斗定位卫星的时间参数，精度高，稳定性强，在较高等级要求的隔离网中使用普遍，其价格单台也就在2000元左右。在中大型或者隔离要求等级较高的内网中推荐使用这种方案。2．手机时间源由于目前普遍使用的Android手机具有自动同步时间功能，无论是自带的同步服务器，还是使用通信运营商USIM卡授时机制，都能通过WIFI或同步心跳方法同步时间，因此，智能手机可以作为一个可靠的信号源。那如何将手机的时间共享给其他设备呢？Android的内核本质上与Linux同源，只需要做适当设置，即可开启NTP授时服务，然后通过内网无线网络与手机建立通讯，实现时间的实时同步。限于篇幅，本文不展开详述，请根据参考文献[4]和[5]自行测试。3．互联网时间源这种模式是我们今天着重讨论的一种方式，因为这种方式最具有操作性，且实现成本最小。原理上是利用一台干净且安全防御等级较高的内网计算机做时间同步的跳板，对外，他作为被授时机，向权威的授时服务器请求同步数据，保持自己时间的精准性；对内，他作为授时者，对内网设备提供可靠的时间服务。为了方便操作，我们以Windows系统为例，本例中我们使用Windows7作为实验的服务器。这台机器有一块有线网卡和一块无线网卡，其中有线网卡接在内网，其分配的IP为52，无线网卡接外网，IP地址为DHCP动态获取。具体实现过程操作如下。（1）找到可用的精准时间源首先要找到一个可靠的信号源，国内目前稳定性好，延时小的NTP服务器主要有以下几个：在控制面板里找到时间和日期，选择“Internet时间”，单击更改设置，服务器地址里填入上表中任意一个服务器域名，点击立即更新，测试一下服务器是否可用。系统默认与服务器的同步频率为七天即一周，为了提高精度，减小因本地时钟故障导致的快慢偏差，我们将同步间隔缩小到每24小时同步一次。需要借用注册表对系统参数进行修改。打开注册表编辑器，定位到[HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]分支下，将SpecialPollInterval键值由十进制604800修改为86400，其中修改的数值表示秒数，1天*24小时*60分*60秒等于86400秒。（2）架设授时服务完成以上工作后，本台服务器接收时间的工作已经做完了，下面我们把这台机器作为时间发送方的功能搭建起来。首先，在运行中输入services.msc启动服务管理器，服务中找到WindowsTime服务，将他的启动类型改为自动。然后，打开注册表编辑器修改两处值。[HKLM\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer]，将Enabled键值由0改为1，启用服务。[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]，将AnnounceFlags键值由10改为5，宣告本机为可信源。（3）客户端设置。内网中需要较时的机器，只需要把Internet时间中的服务器地址填上52，然后点立即同步进行测试。然后，根据图4的操作，把同步频率改成需要的值，在有些特殊时间点，比如中高考这种节点，建议同步间隔改为3600秒，即每一小时同步一次。至此，一套内网授时服务器的搭建与同步时间设置操作完成。四、改进建1.提高同步稳定性正常情况下，Windows系统会按照我们设置的同步频率周期性的主动同步时间，但由于应用环境的复杂性，为了保证系统同步动作的100%执行，我们还需要加一组计划任务，以求得任务的冗余，具体操作如下。（1）构建timesync.bat，放在c：\，文件内容为：netstopw32timenetstartw32timew32tm/resync（2）在控制面板->管理工具->任务计划程序中增加一项计划任务，指定任务名称为“时间同步”，执行周期“每日”的8：00操作为启动程序，在程序脚c：\timesync.bat。2．使用树莓派作时间服务器上文中我们着重说明的是用普通计算机作为服务器，从构建过程的可操作性上来说是非常好的，但从环保节能的角度来说，这种方案还是挺浪费电的，毕竟单台计算机至少在200W左右，所以，如果有一种低功耗的设备来代替windows服务器就更好了。树莓派（Raspberry）是英国一项开源硬件计划推出的产品，其设计的初衷是为了让世界上欠发达国家的青少年都能学习计算机科学，因此，他的售价非常低，以笔者手中的3B+型号为例，一台配置完整的系统才不到300块钱，功耗只有5W左右，整合有一个有线网口和一个无线网卡，体积只比银行卡大一点点，是非常理想的授时服务器。笔者这台安装的是CentOS系统，搭建NTP服务只需要几条指令，非常灵活。五、总结我们每天都在与时间同行，时间也在每个滴答中离我们远去，如何让时间准确的服务于我们的业务，让我们每一个人都能高度与北京时间保持一致，是个有趣而又严谨的事情，如果本文提到的思路与方法能给大家带来一点启发，那将是我个人莫大的荣幸。参考文献[1][美]RichardStevens著，《TCP/IPIl