1、三、NTP的安全機制考慮到 NTP 協議的應用特點，關于時間服務的數據可以公開，因此對數據包的保密性 不做特別要求，NTP協議面臨的安全威脅主要在于攻擊者惡意重放，篡改數據包或假扮合 法服務器為客戶端提供錯誤的時間。所以NTP安全機制更多地考慮數據包的認證性，即進 行源認證和保護數據的完整性。這里我們主要針對NTP協議的客戶端服務器模式的安全機制進行研究。3.1傳送時間戳檢測偽裝和重放NTP數據包中有兩個時間戳：Originate timestamp表示客戶端對服務器的請求離開的本 地時間，Transmit timestamp表示服務器對客戶端的響應離開的本地時間 傳送時間戳是NTP數據包頭部

2、的一個字段，用于檢測數據包的偽裝和復制。它是一個臨時 值，通過在 64 位傳送時間戳的非重要的位中插入隨機數。對于這個時間戳不要求它是正確 的，也不一定是單調遞增的，但必須保證每個傳送時間戳是不同的，無法在0.232ns內被預 測出來，也就是保證入侵者無法提前預測傳送時間戳的值。 如果一個包的傳送時間戳和以前的包的傳送時間戳一樣，則檢測出這個包是復制的，這時丟 棄這個復制品。在客戶端/服務器和對稱模式中，我們比較客戶端請求數據包中的傳送時間 戳和服務器響應數據包的原始的時間戳。如果二者不同，表示這個服務器數據包是偽裝的， 是舊的復本或傳送時丟失的。3.2消息摘要保護數據包的完整性對稱密鑰算法中

3、，客戶端和服務器需要預共享消息密鑰（以下稱為對稱摘要密鑰）來計 算消息摘要。對稱摘要密鑰由密鑰文件定義。當程序啟動時，就裝載一個這樣的文件。每一 行包括密鑰ID, 個摘要算法標識和對稱摘要密鑰。（1）客戶端發送時間請求報文。客戶端自行選擇使用的對稱摘要密鑰，將密鑰 ID 寫 入報文中，用對稱摘要密鑰與NTP請求報文一起算出MAC。MAC = H （symmetric key | NTP packet）（2）服務器發送時間響應報文。服務器對客戶端數據包的完整性認證，服務器根據客戶端的密鑰ID找到對稱摘要密鑰, 驗證客戶端數據包中的MAC。將對稱摘要密鑰與NTP響應報文進行哈希，計算出MAC。MA

4、C = H （symmetric key | NTP packet）（3）客戶端利用對稱摘要密鑰，驗證服務器響應報文中的MAC。3.3 Autokey 模型自動分發對稱摘要密鑰用于生成MAC的對稱摘要密鑰可以不通過密鑰文件定義，而是通過AutoKey協議模型 來實現對稱摘要密鑰的協商，對稱摘要密鑰的協商在 NTP 數據包的擴展域中完成。以下 Autokey 就表示對稱摘要密鑰。331基于Autokey的MAC計算MAC的計算使用擴展域協商對稱摘要密鑰時的MAC是公共值和NTP頭部和擴展域的MD5消息摘 要：MAC = H (public value II NTP packetll extens

5、ion field)使用對稱摘要密鑰進行時間同步服務時MAC是對稱摘要密鑰與NTP頭部的MD5消息 摘要：MAC = H (Autokey | NTP packet)對稱摘要密鑰(Autokey)的計算Autokey = H (Sender-IP II Empfanger-IP II KeylDII Cookie)H ()是MD5消息摘要，結果為16個字節密鑰ID是僅使用一次的偽隨機序列。特殊的0值用于crypto-NAK應答報文中。Cookie的計算Cookie = MSBs32 (H (Client IPII Server IPII 0II Server Seed)服務器使用客戶端和服務器

6、地址和私有值(服務器種子)為這個客戶端生成唯一的 cookie。生成密鑰摘要列表服務器選擇一個隨機的32位種子作為初始的密鑰ID。初始的摘要密鑰使用給定的地址, cookie和初始的密鑰ID構建，摘要密鑰值存儲在密鑰cache中。下一個摘要密鑰使用摘要 密鑰值的前4個字節作為新密鑰ID.服務器生成完整的列表。當密鑰列表中所有密鑰用完后, 就生成新的密鑰列表。Index n+ 1Autokey協議格式（NTP擴展域）Field TypeLengthField TypeLengthAssociation IDTim/怡 nipFilestampValue LengthValueSigmture L

7、engthSignaturePadding (as needed)Value Fields (optional)NTP Extension Field擴展域包括域類型，長度，關聯ID,簽名時間戳，用于驗證密碼媒介的文件戳。關聯 ID是當發起客戶端聯盟時分配的臨時值。3.3.3驗證服務器的身份1、可信證書：服務器發送證書建立從服務器自身到可信機構的證書鏈。如果證書沒有被服務器自身發行，則客戶端繼續請求發行者的證書。如果客戶端最終收 到一個自己生成的證書，則檢查這個證書是否來自可信機構。通過這種方式建立了從服務器 到可信機構的證書鏈認證。2、私有證書：客戶端和服務器有帶有相應私有密鑰的相同證書，與

8、預共享密鑰相似。 但是如果一個組內多個客戶端使用相同私有密鑰，則它們每一個都能向其他客戶端偽裝成服 務器。必須注意的是，私有證書能夠在完成公鑰交換的同時保證身份認證，而在可信證書機制 中，客戶端沒有存儲可信證書列表，如果請求的證書的擴展域中包含“可信根”字段，則客 戶端就認為這個證書來自可信機構。攻擊者很容易偽造這樣的一個證書：。攻擊者的公鑰值。服務器標識符信息（服務器名稱） o有效期（證書的有效時間）。頒發者標識符信息（服務器名稱）。頒發者的數字簽名（攻擊者的公鑰與服務器名稱的綁定） 。在擴展域“X.509v3 Extended Key Usage包含了“trustRoot可見，信任不是由客

9、戶端已經擁有了來自可信機構的證書建立的，所以說通常情況下， 在可信證書交換的以后，還需要使用基于挑戰應答進行身份認證。以下是三種基于挑戰應答 的身份認證機制：1、基于公共參數的挑戰應答：客戶端有服務器的公共參數，客戶端確切地知道這些參 數屬于這個服務器。但是這些參數不需要保密。客戶端發送一個隨機值（挑戰）給服務器。 后者計算一個值證明它擁有作為公共參數一部分的秘密之一。不保密的話，其他人知道不也 能計算嗎？可信代理生成IFF參數，將它們以安全的方式傳送給所有的組成員。IFF身份交換用于 驗證組證書。2、基于簽名程序的挑戰應答：客戶端和服務器需要共享一個秘密，稱為組密鑰，生成 挑戰應答程序驗證應

10、答，與私有證書機制相似，如果幾個客戶端使用相同的組密鑰，則其中 一個客戶端可向其他客戶端偽裝成服務器。可信代理生成GQ參數，以安全的方式將它們傳送給所有的組成員。每個成員生成GQ 公/私鑰對和擴展域中帶有公鑰的證書。GQ身份交換用于驗證組證書。3、基于加密程序的挑戰應答：這個加密程序用于加密廣播，這樣數據可以使用幾個密 鑰進行解密（不同的客戶端的密鑰嗎？好神奇。）方便單獨的密鑰可以被增加或撤銷。步 驟：客戶端發送隨機值給服務器。這個值被服務器加密發送給客戶端。客戶端解密這個值與 原先值進行比較。用于帶有不可信從屬客戶端的服務器。最后的信任取決于可信代理。可信的代理生成參 數和加密私密鑰給服務器

11、組，解密私鑰給客戶端組。 MV 身份交換用于驗證服務器證書 注意客戶端用來驗證服務器的參數需要預先以安全的方式分發好。3.3.4 簽名保證源認證和消息完整性客戶端得到了服務器簽名公鑰，在隨后的消息交換中，就要使用簽名來保證擴展域的完 整性和源認證。在需要身份認證時，保護了擴展域的完整性。在隨后的 cookie 分發中，數 據包中的每個擴展域由服務器簽名私鑰簽名，同時保證了源認證和擴展域的完整性。證書有 生存期，默認為1 年，到期必須重要生成。3.3.5 時間戳抵抗消耗資源的重放攻擊1）簽名時間盡管公鑰簽名保證了服務器的源認證，但是計算簽名需要昂貴的代價。這提供給攻擊者 通過重放舊的消息或發送偽

12、造消息來阻塞客戶端或服務器的機會。接收到這樣消息的客戶端 可能被強迫驗證其中無效的簽名，進而消耗了重要的處理器資源。為了抵抗這樣的攻擊，每個帶簽名的擴展域要帶一個時間戳。在使用任何值或驗證簽名 以前，協議先檢查時間戳，如果是帶有舊的或重復的時間戳或者偽造的時間戳，協議就丟棄 這個擴展域。如果系統時鐘要與一個可信的源進行同步，就會產生一個簽名并攜帶一個有效的非 0時間戳。否則，不會進行簽名，時間戳為0視為無效。（RFC 5906）只有當密碼算法的值被創建或被修改時，才進行簽名計算。攜帶這些簽名的擴展域按需 要復制到消息中，但是不重新計算簽名，有三種簽名形式：（1）Cookie簽名時間戳。服務器創

13、建cookie并發送給客戶端時，對cookie進行簽名并 加上時間戳（2）autokey簽名時間戳。當創建密鑰列表時對autokey值進行簽名，并加上時間戳。（3）公共值簽名時間戳。在系統時鐘第一次與可信源進行同步需要協商公共值（公鑰， 證書和閏秒值），在生成這些公共值或者這些公共值發生變化時，要對它們進行簽名。另外 此后大約每天一次，即使這此值沒有發生變化，也要對它們進行簽名加上時間戳。每個類型接收到的最近的時間戳要被保存下來用于比較。一旦收到了一個帶有有效時間 戳的簽名，那些同類型的且攜帶無效的時間戳或更早有效的時間戳的消息就要在驗證簽名之 前被丟棄。這在廣播模式中最重要，廣播模式容易遭受

14、阻塞攻擊。2）更新密碼媒介時的文件戳協議使用的所有密碼值是時間敏感性的，需要定期更新。特別的，簽名和加密算法使用 的包含密碼值的文件需要重新生成。每個文件都與一個文件戳相關聯，目的是為了讓文件重 新生成時不需要特別地提前警告也不需要提前分配文件內容。盡管加密數據文件沒有特殊的 簽名。保證文件戳是可信數據是很重要的，所以除非生成者與一個可信源同步，否則文件戳不 能被生成。同樣地，NTP子網中的文件戳代表一個局部的所有文件創建的順序，用于刪除 舊的數據，保證新的數據是一致的。數據由服務器向客戶端傳送時，要保存文件戳，包括那 些證書和閏秒值的。帶有舊的文件戳的數據包在驗證簽名前被丟棄文件戳與時間戳可

15、以以任何組合進行比較，使用相同的約定。有時比較它們來確定哪個 更早或更晚很必要。由于這些值以秒為粒度，所以如果這些值是在相同的秒位時，這樣的比 較是模糊的。3）更新時間戳的條件更新時間戳需要滿足以下條件：1、消息類型和關聯 ID 與客戶端關聯值相匹配。這是為了防止中間人復制這個擴展域 給另一個客戶端。2、時間戳比媒質時間戳要晚。防止中間人重放一個早期的擴展域。3、文件戳同媒介文件戳相同或者更晚，為了在更新媒介時強制一個重新活動4、擴展域簽名有效時。如果這些標準沒有達到，則丟棄這個包。如果一段時間內沒有收到有效的數據包，則重 新組建這個聯盟，更新媒介變量。如果服務器的時鐘向后倒退，則它的擴展域會

16、一直被忽略 直到超時。3.4限制數據包到達率抵抗消耗資源的Dos攻擊一個入侵者會發起一個DOS攻擊，用于消耗服務器計算資源。比如，他會以高頻率地 重放偽造但是有效的 cookie 請求數據包。通過昂貴的主機加密和簽名計算來阻塞服務器。 對 DOS 攻擊一個有效的防御是參考實現中的到達率管理規定。限制來自任何客戶端的數據 包的到達率不超過每2 秒一個數據包，多余的數據包不進行密碼計算直接丟棄。3.5基于Autokey模型的NTP協議序列3.5.1 初始關聯（1）客戶端發送關聯請求報文：擴展域類型為關聯。報文包含一個32位的狀態域和客 戶端的對稱摘要密鑰主機名字。（2）服務器發送關聯應答報文：包含

17、一個 32 位的狀態域和服務器的對稱摘要密鑰主機 名字。狀態域：32 位狀態字，十六進制。包含 X.509 名稱（使用哪種證書）和服務器和客戶 端使用的加密算法信息。狀態字的前4 位用于識別使用的認證機制，由服務器決定使用哪個 認證機制。證書交換得到簽名公鑰客戶端發送證書請求 客戶端選擇可用的加密選項，發送證書請求，包含服務器名稱 (證書主體名稱，也 是初始關聯中客戶端從服務器收到的主機名稱)。服務器發送證書基于挑戰應答驗證服務器身份(可選)客戶端發送挑戰 客戶端選擇可用的加密選項，發送帶有擴展域的請求，擴展域類型分別為 IFF, GQ or MV。服務器發送應答 服務器發送相應應答，并進行簽

18、名(防止篡改)客戶端進行驗證 根據認證機制的不同，客戶端利用已經有的公共參數或可信機構的證書，驗證服務器的 身份。客戶端請求 cookie客戶端發送cookie請求報文。報文包含用于加密的客戶端的公共密鑰(RSA)。服務器發送cookie加密報文。服務器利用客戶端IP服務器IP, 0值，服務器種子 計算出cookie，用客戶端的公鑰進行加密，將它放在擴展域中，使用服務器私鑰進行簽名。Cookie = MSBs32 (H (Client IP| Server IP| 0| Server Seed)客戶端接收 cookie客戶端利用服務器公鑰驗證服務器的簽名，使用自己的私鑰進行解密得到cookie

19、。客戶 端驗證了服務器的可靠性并接收到秘密的cookie。注：( 1)服務器種子每天定時更新一次，此時需要重新協商 cookie。這個交換容易受到攻擊。(中間人可以使用它自己的公鑰加密密鑰發送一個客戶端 cookie 請求，見 5(3)以上幾步，雖未得到對稱摘要密鑰，仍然需要計算MACMAC = H (public value| NTP packet| Extension Field)客戶端請求摘要密鑰(1)客戶端發送摘要密鑰請求報文 不需要同步時客戶端發送不帶簽名的 autokey 請求。( 2)服務器發送摘要密鑰應答報文服務器生成密鑰列表：服務器選擇一個隨機的32位種子作為初始的密鑰ID。初始的摘 要密鑰使用給定的地址，cookie和初始的密鑰ID進行哈希，存儲在密鑰cache中。Autokey = H (Sender-IP II Empfanger-IP II KeyIDII Cookie)下一個摘要密鑰的生成：使用摘要密鑰的前4個字節作為新密鑰ID.服務器在擴展域中提供最后的索引號和最后的密鑰ID,并進行