互联网工程任务组提出网络时间安全标准

互联网工程任务组（IETF）公布新提案，建议增加网络时间安全性。

互联网工程任务组（IETF）提出网络时间安全（NTS）标准RFC8915。这份提案历经五年编撰，旨在解决当前网络时间协议（NTP）中存在的问题和漏洞。

通过数据包交换、可变延迟数据网络在不同计算机之间准确同步时间至关重要。进入第四次工业革命时代，不同过程的准确时序相当关键，因而精确同步变得更加重要。自1985年推出以来，NTP一直很好地服务于这一目的。然而，35年来，NTP的各种漏洞和问题逐渐暴露出来，这个协议显然需要提高安全级别了。NTS的出现就是为了带来NTP所欠缺的安全。

影响基础NTP的现有问题包括DDoS放大、数据包篡改和重放攻击，其中后两者由可伪造消息和篡改时间的中间人（MiTM）攻击实现。

一直以来的主要解决方案是在初始服务器身份认证中引入非对称加密，这样可以防止中间人攻击。但是，非对称加密比对称加密慢，增加了对NTP服务器实施DDoS攻击的可能性。不过，正如RFC8915所指出的，“NTS-KE服务器与所支持的NTP服务隔离，即使成功对此服务器实施DDoS攻击，已执行初始身份验证、AEAD密钥提取和Cookie交换的NTP用户也不会受影响。”

IETF提交的标准也警告称，NTS不能完全防止路径上对手的攻击。“除了掉包和攻击，路径上的攻击者可以发送未经验证的伪造Kiss-o"-Death（KoD）数据包来响应NTP请求。”

但是，NTS确实在很大程度上阻止了DDoS放大攻击使用某些NTP实现。标准指出：“网络时间协议（NTP）的某些非标准功能和/或已弃用功能，可致使客户端能够向服务器发送特定请求，令服务器返回比请求数据包大得多的响应。”通过确保服务器响应中NTS相关扩展字段与客户端发送的字段大小一致，NTS避免了扩大这一问题。

以上陈述并非百分百准确，因为RFC7822要求填充扩展，并按四字节边界对齐，这意味着在某些情况下，响应大小可能会超出请求最多三个字节。但正如IETF所评论的，“这个问题无甚紧要，我们决定不予解决。”

瑞典公司Netnod提供NTP、NTS和精确时间协议（PTP），其首席执行官Lars Michael Jogback评论道：“RFC8915的公布是NTS发展和互联网安全的重要时刻。Netnod为一直走在开发NTS标准与实现的前沿而感到自豪。我们将继续专注NTS等服务，让所有人都能用上尽可能安全、健壮的互联网。”

RFC8915：https://tools.ietf.org/html/rfc8915

声明：本文来自数世咨询，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。