开发互联网协议和架构的 IETF(互联网工程任务组)委员会, 形成 NTS(网络时间安全)协议的 RFC 并在标识符下发布相关规范 . RFC 获得了“建议标准”的状态,之后将开始工作,赋予 RFC 标准草案(Draft Standard)的状态,这实际上意味着协议的完全稳定,并考虑到所有提出的意见。
NTS的标准化是提高时间同步服务安全性、保护用户免受模仿客户端连接的NTP服务器的攻击的重要一步。 设置错误时间的恶意操作可能会损害其他时间感知协议(例如 TLS)的安全性。 例如,更改时间可能会导致有关 TLS 证书有效性的数据的错误解释。 到目前为止,NTP 和通信通道的对称加密无法保证客户端与目标交互,而不是欺骗 NTP 服务器,并且密钥身份验证由于配置过于复杂而尚未普及。
NTS 使用公钥基础设施 (PKI) 元素,并允许使用 TLS 和关联数据验证加密 (AEAD) 加密,以加密方式保护通过 NTP(网络时间协议)的客户端-服务器通信。 NTS 包括两个独立的协议:NTS-KE(NTS 密钥建立,用于处理 TLS 上的初始身份验证和密钥协商)和 NTS-EF(NTS 扩展字段,负责时间同步会话的加密和身份验证)。 NTS在NTP数据包中添加了几个扩展字段,并使用cookie传递机制仅在客户端存储所有状态信息。 网络端口 4460 已分配用于通过 NTS 协议处理连接。
最近出版的期刊中提出了标准化 NTS 的首次实施 и . 提供了 NTP 客户端和服务器的独立实现,用于同步各种 Linux 发行版(包括 Fedora、Ubuntu、SUSE/openSUSE 和 RHEL/CentOS)中的精确时间。 由 Eric S. Raymond 领导,是参考 NTPv4 协议实现(NTP Classic 4.3.34.内存和字符串)的一个分支。
来源: opennet.ru