[发明专利]一种安全网络时间同步方法及装置

权利要求书

1.一种安全网络时间同步方法，其特征在于包括：

密钥协商步骤：客户端通过会话密钥请求和消息认证码请求获取会话密钥、消息认证码，与服务器建立互信；

安全时间同步步骤：客户端与服务器建立互信后，通过时间同步数据帧交互实现安全时间同步；具体包括：

客户端向服务器发送时间同步请求数据帧；

服务器接收客户端的时间同步请求数据帧，进行服务器MAC验证，向客户端回复时间同步响应帧；

客户端接收服务器的时间同步响应数据帧，进行客户端MAC验证；

客户端计算与服务器之间的时间偏差，调整本地系统时间；

所述服务器时间同步数据帧采用NTPS帧格式，包括NTP帧头和消息认证两部分；其中，NTP帧头采用标准NTP格式，帧头中携带时间同步请求数据帧发送时间戳T1、时间同步请求数据帧接收时间戳T2、时间同步响应数据帧发送时间戳T3；消息认证部分包括会话密钥和消息认证码，会话密钥来自于时间同步请求数据帧，消息认证码为服务器根据会话密钥计算的MAC值；

其中，所述服务器MAC验证是指服务器端收到时间同步请求数据帧后，获取时间同步请求数据帧中携带的会话密钥，重新计算时间同步请求数据帧的MAC值，并与时间同步请求数据帧中携带的MAC值进行比对；如果MAC值相同，则MAC验证通过；如果MAC值不相同，则服务器MAC验证失败；

所述调整本地系统时间指的是： 时间同步过程中，客户端接收服务器的时间同步响应数据帧，记录时间同步响应数据帧接收时间戳T4，从时间同步响应数据帧中获取T1、T2、T3，根据T1、T2、T3、T4时间戳值计算与服务器之间的时间偏差；所述的时间同步过程中，客户端采用标准NTP算法调整本地系统时间。

2.根据权利要求1所述的一种安全网络时间同步方法，其特征在于所述会话密钥请求包括：

客户端与服务器端建立连接，然后向服务器端发送密钥请求数据帧；

服务器收到客户端的会话密钥请求帧后，向客户端回复会话密钥响应帧；

客户端收到服务器的会话密钥响应帧后，检查帧格式及内容，获取会话密钥。

3.根据权利要求1所述的一种安全网络时间同步方法，其特征在于所述消息认证码请求实现过程是：

客户端向服务器发送消息认证码请求帧；

服务器收到客户端的消息认证码请求帧后，根据会话密钥、消息内容计算消息认证码，向客户端回复消息认证码响应帧；

客户端收到服务器的消息认证码响应帧后，检查帧格式及内容，获取消息认证码。

4.根据权利要求1所述的一种安全网络时间同步方法，其特征在于所述客户端MAC验证过程指客户端收到服务器的时间同步响应数据帧后，调用消息认证码请求接口重新计算时间同步响应数据帧的MAC值，并与时间同步响应数据帧中携带的MAC值进行比对；如果MAC值相同，则客户端MAC验证通过；如果MAC值不相同，则客户端MAC验证失败；

所述客户端时间同步请求数据帧采用NTPS帧格式，包括：NTP帧头和消息认证两部分；其中，NTP帧头采用标准NTP格式，符合国际标准RFC1305规定，帧头中携带时间同步请求数据帧的发送时间戳T1；消息认证部分包括会话密钥和消息认证码，会话密钥和消息认证码通过密钥协商过程获取。