本APNIC文摘原標題為Network Time Security: new NTP authentication mechanism,是由德國Ostfalia University of Applied Sciences博士生Martin Langer撰寫,介紹新的NTP驗證機制。本篇根據該文做重點摘要。
在網路時間協定(Network Time Protocol, NTP)中使用驗證機制,對於防止攻擊者操縱時間資訊是很重要的。其中,Symmetric Key和Autokey就是這樣的驗證機制,也已存在許多年了,然而兩者均有嚴重的缺點,因此很少被用來保護NTP連線。經過多年的發展,現在有了新標準—網路時間安全(Network Time Security, NTS)可解決目前機制的問題,並提供真正的替代方案。
NTS協定是時間協定的安全性擴充,目前著重在unicast模式下的NTP,它提供強大的加密保護,防止封包被操縱、追蹤或被大量丟棄,並讓保護過程中導致準確性的損失最小化。
NTS為NTP的客戶端和伺服器模式提供加密安全性,讓用戶透過驗證的方式獲取時間資訊。NTS協定分為兩個階段。第一階段是NTS密鑰交換,它在NTP客戶端和伺服器之間建立必要的密鑰資訊,這個階段使用TLS handshake,並依賴與網頁相同的公鑰基礎架構。在交換密鑰後,TLS(傳輸層安全協定)通道將會關閉,協定進入第二階段,TLS handshake透過Extension Fields(EF),對NTP時間同步封包進行驗證。
截至目前為止已有7個已知的NTS工具(implementation)處於不同的開發階段,自2018年以來,IETF(網際網路工程小組)已進行多次Hackthon來測試互通性,有4個獨立的工具已通過測試,包含Ostfalia、NTPsec、Chrony和Netnod。
*台灣網路資訊中心(TWNIC)與亞太網路資訊中心(APNIC)合作,定期精選APNIC Blog文章翻譯摘要,提供中心部落格讀者了解目前亞太地區網路發展之最新趨勢。原文標題為Network Time Security: new NTP authentication mechanism。
