开发互联网协议和架构的 IETF(互联网工程任务组)委员会,
NTS的标准化是提高时间同步服务安全性、保护用户免受模仿客户端连接的NTP服务器的攻击的重要一步。 设置错误时间的恶意操作可能会损害其他时间感知协议(例如 TLS)的安全性。 例如,更改时间可能会导致有关 TLS 证书有效性的数据的错误解释。 到目前为止,NTP 和通信通道的对称加密无法保证客户端与目标交互,而不是欺骗 NTP 服务器,并且密钥身份验证由于配置过于复杂而尚未普及。
NTS 使用公钥基础设施 (PKI) 元素,并允许使用 TLS 和关联数据验证加密 (AEAD) 加密,以加密方式保护通过 NTP(网络时间协议)的客户端-服务器通信。 NTS 包括两个独立的协议:NTS-KE(NTS 密钥建立,用于处理 TLS 上的初始身份验证和密钥协商)和 NTS-EF(NTS 扩展字段,负责时间同步会话的加密和身份验证)。 NTS在NTP数据包中添加了几个扩展字段,并使用cookie传递机制仅在客户端存储所有状态信息。 网络端口 4460 已分配用于通过 NTS 协议处理连接。
最近出版的期刊中提出了标准化 NTS 的首次实施
来源: opennet.ru