三、NTP的安全机制；考虑到NTP协议的应用特点，关于时间服务的数据可；这里我们主要针对NTP协议的客户端服务器模式的安；3.1传送时间戳检测伪装和重放；NTP数据包中有两个时间戳：Originatet；传送时间戳是NTP数据包头部的一个字段，用于检测；3.2消息摘要保护数据包的完整性；对称密钥算法中，客户端和服务器需要预共享消息密钥；（1）客户端发送时间请
三、NTP的安全机制 考虑到NTP协议的应用特点，关于时间服务的数据可以公开，因此对数据包的保密性不做特别要求，NTP协议面临的安全威胁主要在于攻击者恶意重放，篡改数据包或假扮合法服务器为客户端提供错误的时间。所以NTP安全机制更多地考虑数据包的认证性，即进行源认证和保护数据的完整性。 这里我们主要针对NTP协议的客户端服务器模式的安全机制进行研究。 3.1传送时间戳检测伪装和重放 NTP数据包中有两个时间戳：Originate timestamp表示客户端对服务器的请求离开的本地时间，Transmit timestamp表示服务器对客户端的响应离开的本地时间 传送时间戳是NTP数据包头部的一个字段，用于检测数据包的伪装和复制。它是一个临时值，通过在64位传送时间戳的非重要的位中插入随机数。对于这个时间戳不要求它是正确的，也不一定是单调递增的，但必须保证每个传送时间戳是不同的，无法在0.232ns内被预测出来，也就是保证入侵者无法提前预测传送时间戳的值。 如果一个包的传送时间戳和以前的包的传送时间戳一样，则检测出这个包是复制的，这时丢弃这个复制品。在客户端/服务器和对称模式中，我们比较客户端请求数据包中的传送时间戳和服务器响应数据包的原始的时间戳。如果二者不同，表示这个服务器数据包是伪装的，是旧的复本或传送时丢失的。 3.2消息摘要保护数据包的完整性 对称密钥算法中，客户端和服务器需要预共享消息密钥（以下称为对称摘要密钥）来计算消息摘要。对称摘要密钥由密钥文件定义。当程序启动时，就装载一个这样的文件。每一行包括密钥 ID，一个摘要算法标识和对称摘要密钥。 （1）客户端发送时间请求报文。客户端自行选择使用的对称摘要密钥，将密钥ID写入报文中，用对称摘要密钥与NTP请求报文一起算出MAC。 MAC = H (symmetric key || NTP packet) （2）服务器发送时间响应报文。 服务器对客户端数据包的完整性认证，服务器根据客户端的密钥ID找到对称摘要密钥，验证客户端数据包中的MAC。 将对称摘要密钥与NTP响应报文进行哈希，计算出MAC。 MAC = H (symmetric key || NTP packet) （3）客户端利用对称摘要密钥，验证服务器响应报文中的MAC。 3.3 Autokey模型自动分发对称摘要密钥 用于生成MAC的对称摘要密钥可以不通过密钥文件定义，而是通过AutoKey协议模型来实现对称摘要密钥的协商，对称摘要密钥的协商在NTP数据包的扩展域中完成。以下Autokey就表示对称摘要密钥。
3.3.1 基于Autokey的MAC计算 （1）MAC的计算 使用扩展域协商对称摘要密钥时的MAC是公共值和NTP头部和扩展域的MD5消息摘要： MAC = H (public value || NTP packet|| extension field) 使用对称摘要密钥进行时间同步服务时MAC是对称摘要密钥与NTP头部的MD5消息摘要： MAC = H (Autokey || NTP packet) （2）对称摘要密钥（Autokey）的计算 Autokey = H (Sender-IP || Empf?nger-IP || KeyID|| Cookie)
H（）是MD5消息摘要 ，结果为16个字节
密钥ID是仅使用一次的伪随机序列。特殊的0值用于crypto-NAK 应答报文中。 （3）Cookie的计算 Cookie = MSBs32 (H (Client IP|| Server IP|| 0|| Server Seed)) 服务器使用客户端和服务器地址和私有值（服务器种子）为这个客户端生成唯一的cookie。
（4）生成密钥摘要列表 服务器选择一个随机的32位种子作为初始的密钥ID。初始的摘要密钥使用给定的地址，cookie和初始的密钥ID构建，摘要密钥值存储在密钥cache中。下一个摘要密钥使用摘要密钥值的前4个字节作为新密钥ID.服务器生成完整的列表。当密钥列表中所有密钥用完后，就生成新的密钥列表 。
3.3.2 Autokey协议格式（NTP扩展域）
扩展域包括域类型，长度，关联ID，签名时间戳，用于验证密码媒介的文件戳。关联ID是当发起客户端联盟时分配的临时值。 3.3.3验证服务器的身份 1、可信证书：服务器发送证书建立从服务器自身到可信机构的证书链。 如果证书没有被服务器自身发行，则客户端继续请求发行者的证书。如果客户端最终收到一个自己生成的证书，则检查这个证书是否来自可信机构。通过这种方式建立了从服务器到可信机构的证书链认证。 2、私有证书：客户端和服务器有带有相应私有密钥的相同证书，与预共享密钥相似。但是如果一个组内多个客户端使用相同私有密钥，则它们每一个都能向其他客户端伪装成服务器。 必须注意的是，私有证书能够在完成公钥交换的同时保证身份认证，而在可信证书机制中，客户端没有存储可信证书列表，如果请求的证书的扩展域中包含“可信根”字段，则客户端就认为这个证书来自可信机构。攻击者很容易伪造这样的一个证书：
o 攻击者的公钥值
o 服务器标识符信息（服务器名称）
o 有效期（证书的有效时间）
o 颁发者标识符信息 （服务器名称）
o 颁发者的数字签名（攻击者的公钥与服务器名称的绑定）
o 在扩展域“X.509v3 Extended Key Usage”包含了“trustRoot” 可见，信任不是由客户端已经拥有了来自可信机构的证书建立的，所以说通常情况下，在可信证书交换的以后，还需要使用基于挑战应答进行身份认证。以下是三种基于挑战应答的身份认证机制： 1、基于公共参数的挑战应答：客户端有服务器的公共参数，客户端确切地知道这些参
数属于这个服务器。但是这些参数不需要保密。客户端发送一个随机值（挑战）给服务器。后者计算一个值证明它拥有作为公共参数一部分的秘密之一。不保密的话，其他人知道不也能计算吗？？ 可信代理生成IFF参数，将它们以安全的方式传送给所有的组成员。IFF身份交换用于验证组证书。 2、基于签名程序的挑战应答：客户端和服务器需要共享一个秘密，称为组密钥，生成挑战应答程序验证应答，与私有证书机制相似，如果几个客户端使用相同的组密钥，则其中一个客户端可向其他客户端伪装成服务器。 可信代理生成GQ参数，以安全的方式将它们传送给所有的组成员。每个成员生成GQ公/私钥对和扩展域中带有公钥的证书。GQ身份交换用于验证组证书。 3、基于加密程序的挑战应答：这个加密程序用于加密广播，这样数据可以使用几个密钥进行解密（不同的客户端的密钥吗？？好神奇。）方便单独的密钥可以被增加或撤销。步骤：客户端发送随机值给服务器。这个值被服务器加密发送给客户端。客户端解密这个值与原先值进行比较。 用于带有不可信从属客户端的服务器。最后的信任取决于可信代理。可信的代理生成参数和加密私密钥给服务器组，解密私钥给客户端组。MV身份交换用于验证服务器证书 注意客户端用来验证服务器的参数需要预先以安全的方式分发好。 3.3.4签名保证源认证和消息完整性 客户端得到了服务器签名公钥，在随后的消息交换中，就要使用签名来保证扩展域的完整性和源认证。在需要身份认证时，保护了扩展域的完整性。在随后的cookie分发中，数据包中的每个扩展域由服务器签名私钥签名，同时保证了源认证和扩展域的完整性。证书有生存期，默认为1年，到期必须重要生成。 3.3.5时间戳抵抗消耗资源的重放攻击 （1）签名时间戳 尽管公钥签名保证了服务器的源认证，但是计算签名需要昂贵的代价。这提供给攻击者通过重放旧的消息或发送伪造消息来阻塞客户端或服务器的机会。接收到这样消息的客户端可能被强迫验证其中无效的签名，进而消耗了重要的处理器资源。 为了抵抗这样的攻击，每个带签名的扩展域要带一个时间戳。在使用任何值或验证签名以前，协议先检查时间戳，如果是带有旧的或重复的时间戳或者伪造的时间戳，协议就丢弃这个扩展域。 如果系统时钟要与一个可信的源进行同步，就会产生一个签名并携带一个有效的非0时间戳。否则，不会进行签名，时间戳为0，视为无效。（RFC 5906） 只有当密码算法的值被创建或被修改时，才进行签名计算。携带这些签名的扩展域按需要复制到消息中，但是不重新计算签名，有三种签名形式： （1）Cookie签名时间戳。服务器创建cookie并发送给客户端时，对cookie进行签名并加上时间戳 （2）autokey签名时间戳。当创建密钥列表时对autokey值进行签名，并加上时间戳。 （3）公共值签名时间戳。在系统时钟第一次与可信源进行同步需要协商公共值（公钥，证书和闰秒值），在生成这些公共值或者这些公共值发生变化时，要对它们进行签名。另外此后大约每天一次，即使这此值没有发生变化，也要对它们进行签名加上时间戳。
每个类型接收到的最近的时间戳要被保存下来用于比较。一旦收到了一个带有有效时间戳的签名，那些同类型的且携带无效的时间戳或更早有效的时间戳的消息就要在验证签名之前被丢弃。这在广播模式中最重要，广播模式容易遭受阻塞攻击。 （2）更新密码媒介时的文件戳 协议使用的所有密码值是时间敏感性的，需要定期更新。特别的，签名和加密算法使用的包含密码值的文件需要重新生成。每个文件都与一个文件戳相关联，目的是为了让文件重新生成时不需要特别地提前警告也不需要提前分配文件内容。尽管加密数据文件没有特殊的签名。 保证文件戳是可信数据是很重要的，所以除非生成者与一个可信源同步，否则文件戳不能被生成。同样地，NTP子网中的文件戳代表一个局部的所有文件创建的顺序，用于删除旧的数据，保证新的数据是一致的。数据由服务器向客户端传送时，要保存文件戳，包括那些证书和闰秒值的。带有旧的文件戳的数据包在验证签名前被丢弃 文件戳与时间戳可以以任何组合进行比较，使用相同的约定。有时比较它们来确定哪个更早或更晚很必要。由于这些值以秒为粒度，所以如果这些值是在相同的秒位时，这样的比较是模糊的。 （3）更新时间戳的条件 更新时间戳需要满足以下条件： 1、消息类型和关联ID与客户端关联值相匹配。这是为了防止中间人复制这个扩展域给另一个客户端。 2、时间戳比媒质时间戳要晚。防止中间人重放一个早期的扩展域。 3、文件戳同媒介文件戳相同或者更晚，为了在更新媒介时强制一个重新活动 4、扩展域签名有效时。 如果这些标准没有达到，则丢弃这个包。如果一段时间内没有收到有效的数据包，则重新组建这个联盟，更新媒介变量。如果服务器的时钟向后倒退，则它的扩展域会一直被忽略直到超时。 3.4限制数据包到达率抵抗消耗资源的Dos攻击 一个入侵者会发起一个DOS攻击，用于消耗服务器计算资源。比如，他会以高频率地重放伪造但是有效的cookie请求数据包。通过昂贵的主机加密和签名计算来阻塞服务器。对DOS攻击一个有效的防御是参考实现中的到达率管理规定。限制来自任何客户端的数据包的到达率不超过每2秒一个数据包，多余的数据包不进行密码计算直接丢弃。 3.5基于Autokey模型的NTP协议序列 3.5.1初始关联 （1）客户端发送关联请求报文：扩展域类型为关联。报文包含一个32位的状态域和客户端的对称摘要密钥主机名字。 （2）服务器发送关联应答报文：包含一个32位的状态域和服务器的对称摘要密钥主机名字。 状态域：32位状态字，十六进制。包含X.509名称（使用哪种证书）和服务器和客户 三亿文库包含各类专业文献、幼儿教育、小学教育、应用写作文书、生活休闲娱乐、中学教育、各类资格考试、NTP协议安全性分析14等内容。　
　NTP协议安全性分析 7页 1下载券 NTP_SNTP时钟协议原理 27页 1下载券 NTP协议原理简介 2页 免费 基于NTP协议的网络时间服... 6页 免费 实验六 NTP协议实现 ... 　NTP 协议介绍 1.引言 网络时间协议 NTP(Network Time Protocol)是用于互联网中...(例如,manycast mode)、可靠性、降低互联网话务量和加 强网络安全性的鉴权(... 　NTP 源于时间协议和 ICMP 时间标志消息,但其设计更强调精确度和健壮 性两个方面,即使是在有多路网关、延迟差量及不可靠网络上使用时。 下图是对 NTP 协议报文的... 　NTP 协议和算法 NTP:Network Time Protocol,网络时间协议,用于时间同步,它可以提供高精 准度的时间校正(LAN 上与标准时间差小于 1 毫秒,WAN 上几十毫秒),且可... 　NTP协议格式(中文)_计算机硬件及网络_IT/计算机_专业资料。NTP 协议格式(中文) NTP 协议格式 1. NTP 时间戳格式 SNTP 使用在 RFC 1305 及其以前的版本所描述... 　网络时间协议( 网络时间协议(NTP)简介 ) NTP 概念...时间服务器周期性的以广播的方式,将时间信息传送给...关键字 ID。因此,这里就有一个安全问题,因为关键字... 　NTP 协议架构_信息与通信_工程科技_专业资料。NTP 协议架构协议结构 2 LI 5 VN 8 Mode 16 Stratum Root Delay Root Dispersion Reference Identifier Reference tim... 　NTP协议格式(中文)_IT/计算机_专业资料。NTP 协议格式 1. NTP 时间戳格式 SNTP使用在RFC 1305 及其以前的版本所描述标准NTP时间戳的格式。与因特网标准标准 一致...好奇心来袭想知道穿上丝袜是什么感觉，于_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
好奇心来袭想知道穿上丝袜是什么感觉，于
我有更好的答案
你试试就知道了
你可以试试
咦~是男的就恶心了
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包为什么一到晚上有一只脚会很痛_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
为什么一到晚上有一只脚会很痛
我有更好的答案
可能跟白天的工作量有关 你一只腿肯定 吃重多
为您推荐：
其他类似问题
您可能关注的内容
换一换
回答问题，赢新手礼包ntp服务器搭建及客户端配置 - 简书
ntp服务器搭建及客户端配置
1. NTP服务器搭建
安装ntp yum install -y ntp
2. 外网使用阿里云ntp服务器作为基准
阿里云ntp服务器列表：
先ntpdate检查能否和以上ntp服务器通信。
ntpdate -q
有以下输出表示正常
server 115.28.122.198, stratum 2, offset 53.490757, delay 0.06709
13 Sep 15:27:48 ntpdate[16092]: step time server 115.28.122.198 offset 53.490757 sec
修改配置文件
vim /etc/ntp.conf 做出以下修改
# For more information about this file, see the man pages
# ntp.conf(5), ntp_acc(5), ntp_auth(5), ntp_clock(5), ntp_misc(5), ntp_mon(5).
driftfile /var/lib/ntp/drift
# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default nomodify notrap nopeer noquery
# Permit all access over the loopback interface.
This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
restrict 127.0.0.1
restrict ::1
# 允许1-4网段的服务器来校时，不允许客户端来修改，登录ntp服务器
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
restrict 192.168.2.0 mask 255.255.255.0 nomodify notrap
restrict 192.168.3.0 mask 255.255.255.0 nomodify notrap
restrict 192.168.4.0 mask 255.255.255.0 nomodify notrap
# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
#server 0.centos.pool.ntp.org iburst
#server 1.centos.pool.ntp.org iburst
#server 2.centos.pool.ntp.org iburst
#server 3.centos.pool.ntp.org iburst
#broadcast 192.168.1.255 autokey
# broadcast server
#broadcastclient
# broadcast client
#broadcast 224.0.1.1 autokey
# multicast server
#multicastclient 224.0.1.1
# multicast client
#manycastserver 239.255.254.254
# manycast server
#manycastclient 239.255.254.254 autokey # manycast client
# Enable public key cryptography.
includefile /etc/ntp/crypto/pw
# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography.
keys /etc/ntp/keys
# Specify the key identifiers which are trusted.
#trustedkey 4 8 42
# Specify the key identifier to use with the ntpdc utility.
#requestkey 8
# Specify the key identifier to use with the ntpq utility.
#controlkey 8
# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats
# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE- for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor
# Enable Logfile
logfile /var/log/ntp.log
使硬件时间和系统时间一致
修改配置文件 vim /etc/sysconfig/ntpd 添加
SYNC_HWCLOCK=yes
5. 启动ntpd服务并查看状态
systemctl start ntpd
等待10-15分钟后执行 ntpstat 查看同步状态
synchronised to NTP server (182.92.12.11) at stratum 3
time correct to within 470 ms
polling server every 64 s
发现已经同步。
执行ntpq -p 查看与阿里云ntp服务器连接状态
st t when poll reach
==============================================================================
+time6.aliyun.co 10.137.38.86
-time4.aliyun.co 10.137.38.86
*time5.aliyun.co 10.137.38.86
+120.25.115.19
10.137.38.86
*表示目前正在使用的上层NTP，+表示已连线,可提供时间更新的候补服务器
执行一下 hwclock --systohc 使系统时间和硬件时间一致。
打开防火墙
由于ntp服务使用 123端口udp协议 所以需要打开防火墙。
执行firewall-cmd --zone=public --add-port=123/udp --permanent之后，再执行firewall-cmd --reload。
7. Linux 客户端使用ntpd服务同步时间
先安装ntp服务执行yum install -y ntp
修改配置文件 vim /etc/ntp.conf 修改server，添加日志
# 允许ntpserver主动修改客户端时间
restrict 192.168.1.85 nomodify notrap noquery
restrict 192.168.1.50 nomodify notrap noquery
server 192.168.1.85
server 182.168.1.50
logfile /var/log/ntp.log
其他保持默认。
启动 ntpd服务systemctl start ntpd
打开本地放火墙 123 UDP端口
执行 ntpq -p 查看与服务器连接状态。
st t when poll reach
==============================================================================
+192.168.1.50
182.92.12.11
*192.168.1.85
182.92.12.11
执行 ntpstat 查看同步状态
synchronised to NTP server (192.168.1.85) at stratum 4
time correct to within 131 ms
polling server every 64 s
8 Windows 使用客户端同步
组策略配置
win+r 运行gpedit.msc 启用全局配置
启用ntp客户端
win+r 执行 gpupdate /force
8.2. 使用自动配置工具
下载自动配置工具MicrosoftEasyFix50395.msi
下载地址在这个页面中
运行自动配置工具，做以下配置，多个服务器用空格隔开。
之后在系统时间日期内执行同步查看结果。
CentOS搭建NTP服务器
Windows客户端同步NTP服务
如何在 Windows Server 中配置权威时间服务器
Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具（例如配置管理，服务发现，断路器，智能路由，微代理，控制总线）。分布式系统的协调导致了样板模式, 使用Spring Cloud开发人员可以快速地支持实现这些模式的服务和应用程序。他们将在任何分布式...
1.测试坏境 虚拟主机中安装的Centos 6.9安装的软件NTP 2.NTP原理 NTP(network time protocol 网络时间协议)用于同步计算机和网络设备的内部的时间一种协议。 3.软件安装 使用yum list installed|grep ntp看到...
百战程序员_ Java1573题 QQ群：034603 掌握80%年薪20万掌握50%年薪10万 全程项目穿插, 从易到难，含17个项目视频和资料持续更新，请关注 国内最牛七星级团队马士兵、高淇等11位十年开发经验专...
目录 环境准备 安装域控服务器 将服务器加入域控中 配置故障转移群集 安装与配置SQL Server 2014 配置Always On可用性组 1. 环境准备 2. 安装域控服务器 登录域控（AD）服务器打开服务器管理器进入服务器管理器 点击”管理--添加角色和功能“，弹出...
说明：文章内容全部摘选自由用户“Richardwei” 发布在实验楼上的课程——【LVS 集群负载均衡实战】，未经允许，禁止转载； 想要学习该教程的可以点击【LVS 集群负载均衡实战】查看更多LVS的介绍以及如何在实际开发中应用，而且最后会用 LVS 与 keepalive...
一、项目编号及名称：XKDCG(竞)2016-33号监控系统 二、项目内容： 1、监控系统2套； 2、具体技术参数及相关说明详见谈判文件。 三、投标人资格 1、在中国境内注册能提供货物和服务的法人或其他组织； 2、投标人必须符合《中华人民共和国政府采购法》第二十二条规定的内...
太阳在成都多雾的天壁上晃来晃去，晃了很多个来回。 新的故事就开始了，伊人被一个男人“欺负”了，因为那个男人不喜欢她了。她交给我的任务是要我帮她“报仇” 。我现在不仅是个开车的，还兼职她的“打手”了。 “李大冶，这回你一定要帮我，你非拿他的脑袋来见我不可，”她发起脾气来就这样...
一个澳大利亚的历史系教授将自己向学生讲述的欧洲史课堂讲义编汇成本书，他以自己独特的方法，紧紧围绕贯穿整本书的三条主线，即古希腊罗马学术、基督教教义、日耳曼蛮族，向一个欧洲史的门外汉讲述了漫长的欧洲历史，细细读来，其中还有很多困惑和不解的地方，我想可能是一个西方人以自己的角度...
在深夜里的 往昔都被悲悯 莫名的忧伤包括不满的现状 地铁声在夜里消停 公交里的拥挤安了宁 清晨 不见阳光带着霜露就要启程 一拥都是人头的空间 手拉着的环左右摇摆 昨天的梦还没有做完 小憩 午后 闷热浮躁了情绪 在午休里挣扎出一个梦境来 黄昏的天 赤色的云霞 抬头的仰望 落寞...
父亲节到了，小优祝所有的爸爸们：父亲节快乐！永远是最酷、最有型的男神！ 还记得你们小时候，爸爸的样子吗？ 是不是帅过刘德华，酷过郭富城，而且是酱紫的身强体壮： 而现在，经过岁月洗礼和为家庭的默默付出，爸爸的身材是否也变成了酱紫： 美国宾夕法尼亚大学做过一个有趣的调查：男子成...世界历史上最早的水雷是哪一种_百度知道
色情、暴力
我们会通过消息、邮箱等方式尽快将举报结果通知您。
世界历史上最早的水雷是哪一种
我有更好的答案
控制深度，人工操纵击发，下面的绳索连接铁锚。该雷用木箱做雷壳，油灰粘缝水雷是最古老的水中兵器，它的故乡在中国。水雷最早是由中国人发明的，可称为世界上第一枚水雷，比西方制造和使用水雷早了200多年。1549年制造的“水底雷”
为您推荐：
其他类似问题
换一换
回答问题，赢新手礼包