[发明专利]一种安全网络时间同步方法及装置

说明书

本发明涉及网络安全领域。具体为一种安全网络时间同步方法及装置。本方法包括密钥协商步骤是客户端通过会话密钥请求和消息认证码请求获取会话密钥、消息认证码，与服务器建立互信；以及时间同步步骤通过时间同步数据帧交互实现安全时间同步。其中客户端向服务器端发送客户端密钥请求数据帧；服务器收到后，向客户端回复服务器会话密钥响应帧；客户端收到服务器会话密钥响应帧后，检查帧格式及内容，获取会话密钥。客户端向服务器发送客户端消息认证码请求帧；服务器收到客户端的客户端消息认证码请求帧后，根据会话密钥、消息内容计算消息认证码，向客户端回复服务器消息认证码响应帧；客户端收到服务器消息认证码响应帧后，检查帧格式及内容，获取消息认证码。

技术领域

本发明涉及网络安全领域，尤其是一种安全网络时间同步方法及装置。

背景技术

NTP(Network Time Protocol)即网络时间协议，是用于互联网中时间同步的标准网络协议，其作用是把网络内的计算机时间同步到协调世界时(UTC)。NTP的设计充分考虑了互联网上时间同步的复杂性，采用时间滤波、时间选择、时钟调节等算法，不仅可校正当前时间，而且可持续跟踪时间的变化，能够自动进行调节，即使网络发生故障，也能维持时间的稳定。NTP采用客户端/服务器架构，支持多种工作模式，操作简单、灵活，提供的机制严格、实用、有效，可以适应各种规模、速度和连接通路情况的互联网环境。NTP目前已成为一种公认的时间同步协议，广泛应用于计算机网络时间同步服务，当前主要版本为NTPv3、NTPv4。在局域网环境下，NTP提供的时间精度为毫秒级，如果采用专用的NTP时间服务器，同步精度则更高。

NTP具有完善的算法体系，时间同步精度可以保证，但由于NTP采用无连接的UDP协议进行时间传输，数据包容易被篡改，因此安全性、可靠性相对较弱。另外，NTP协议本身也存在一定的安全漏洞，容易被用来进行NTP时间攻击。NTP支持MD5摘要等保护数据完整性的措施，一定程度上可以提高其可靠性，但MD5采用对称密钥且容易被破解。因此，NTP常常用于为对安全性要求不高的网络设备、应用服务器及终端等提供时间同步服务。

NTP时间同步机制的缺点：

1、安全性、可靠性不高。

NTP采用无连接的UDP协议进行时间同步数据包传输，端口号固定为123。由于采用无连接的UDP协议，数据包容易被捕获和截取(监听123端口)，数据包中的时钟等级、时间精度、时间戳信息等时间同步参数容易被篡改，因此，时间同步的安全性、可靠性方面相对较弱，主要用于对可靠性要求不高的网络时间同步服务中，例如企业局域网、校园局域网等。

2、NTP本身具有安全漏洞，容易被利用进行NTP攻击。

正常情况下客户端发送请求包到服务器，服务器返回响应包到客户端，但是UDP协议是面向无连接的，所以客户端发送请求包的源IP地址很容易进行伪造，当把源IP地址修改为受害者的IP地址后，最终服务器返回的响应包就会返回到受害者的IP，这就形成了一次NTP反射攻击。另外，由于NTP应用广泛，且采用UDP协议、客户端/服务器工作模式，因此也常常被利用进行分布式拒绝服务(DDOS)攻击。DDoS通过大量合法的请求占用大量网络资源，以达到瘫痪网络的目的。

发明内容

本发明所要解决的技术问题是：针对现有技术存在的问题，提供一种安全网络时间同步方法及装置。

本发明采用的技术方案如下：

一种安全网络时间同步方法包括：

密钥协商步骤：客户端通过会话密钥请求和消息认证码请求获取会话密钥、消息认证码，与服务器建立互信；

安全时间同步步骤：客户端与服务器建立互信后，通过时间同步数据帧交互实现安全时间同步。

进一步的，所述会话密钥请求包括：