Research on secure NTP method based on message digest encryption
-
摘要: 目前,以网络时间协议(NTP)为主要的时间协议应用于有线网络中的时间同步,其在广域网中可以实现十几毫秒、局域网中实现几毫秒的同步精度. 然而,由于协议的开放性,其在无安全防护的情况下极易受到网络攻击,这给需要高安全的客户带来潜在的风险. NTP可以增加安全策略来应对可能的安全风险,将消息摘要(MD)中的MD5和安全散列算法(SHA)中的SHA-1引入NTP算法,有效地验证了数据完整性,防止数据包被篡改,以保证时间同步的安全性. 进一步,针对这两类算法提出对NTP包关键数据帧Hash加密,在保持良好同步精度的同时可进一步提高时间同步的安全性. 通过实验对比了MD5和SHA-1算法加入所带来同步效果的影响. 结果表明:在MD5和SHA-1算法加入后,NTP依然能保持毫秒级的同步性能,这对于实现NTP安全时间同步方法具有重要意义.Abstract: At present, the network time protocol (NTP) is the main time protocol used for time synchronization in wired networks. It can achieve a synchronization accuracy of more than ten milliseconds in wide area networks and a few milliseconds in local area networks. However, due to the openness of the protocol, there is no security protection. Under the circumstances, it is extremely vulnerable to network attacks, which brings potential risks to customers who need high security. The NTP protocol can increase security strategies to deal with possible security risks. The message digest algorithm 5 (MD5) and the secure hash algorithm (SHA-1) message digest algorithm is introduced into the NTP protocol algorithm, which is effective to verify data integrity and prevent data packets from being tampered with to ensure the security of time synchronization. Further, for these two types of algorithms, Hash encryption of key data frames of NTP packets is proposed, which can further improve the security of time synchronization while maintaining good synchronization accuracy. Experiments have compared the influence of the synchronization effect brought by the addition of the algorithm. The results show that after the message digest algorithm is added, NTP can still maintain millisecond-level synchronization performance, which is of great significance to the realization of the NTP secure time synchronization method.
-
Keywords:
- message digest (MD) /
- timestamp /
- the network time protocol (NTP) /
- offset /
- delay /
- anti-tampering
-
0. 引 言
网络中各个节点的时钟都不相同,因此若需要实现时间同步,需要有一个标准参考时钟. 网络时间协议(NTP)广泛应用于各类领域,如电力部门各子系统间的时间同步、金融证券行业需要高精度的时间信息、军事作战平台需要高精度的安全时间溯源[1-2]. NTP将时钟同步至协调世界时(UTC),对维持各系统间的时间同步具有重要作用.
在NTP广泛应用的同时,其协议的安全性也逐渐受到人们的关注. 由于NTP是一种基于用户数据报协议(UDP)的网络时间协议,客户端通过向服务器发送时间同步请求,利用接收的数据包时间戳解算获得时间同步. 因此,其无连接的协议特征使得在没有防护措施的网络中有着较高的安全风险[3-4]. 目前,对于无防护的NTP,攻击者可以伪造服务器欺骗客户端,通过中间人攻击截取数据包后修改时间戳,收到该数据包的客户端会同步至错误的时间. 文献[5]分析了利用地址解析协议(ARP)欺骗伪造服务器,攻击者可以将客户端拉偏至任意时间. 因此客户端需要对收到的响应包进行校验,确保数据信息未被篡改. 目前,国内外已经对NTP下的认证手段进行了相应的研究,利用对称或非对称的加密手段提高协议的安全性. 文献[6]提出将RSA(Rivest-Shamir-Adleman Scheme)加密算法用于NTP,其算法的加入增加了路径时延,同时降低了同步精度. 文献[7]分析对比了最新互联网草案网络时间安全协议(NTS)和NTP的同步和安全性能. 结果表明:NTS在提高安全性的同时增加了CPU负担,认为需要提高时间同步的效率. 文献[8]则将安全套接层(SSL)证书应用在NTP中,并认为使用ECDSA算法 (Elliptic Curve Digital Signature Algorithm) 相较于RSA算法,密钥长度会更短,效率更高.
由于在各类安全协议算法中,生成签名实现认证首先需要对数据包产生消息摘要. 本文采用较为广泛使用的两类消息摘要算法生成NTP报文摘要,并通过不同方式融合NTP,从理论和实验分析其对NTP时间同步效果的具体影响.
1. 原 理
对于NTP的安全同步算法,为了减少直接通过加密NTP包带来的复杂时间代价,首先需要对报文提取摘要,即消息指纹. 通常消息摘要长度为100~200 bit,填充中算法的耗时会增加客户端同步等待时间. 目前,以下两种是较为安全且高效的消息摘要算法.
1.1 MD5
消息摘要算法(MD)中的MD5算法是一类Hash函数,其以512 bit分组来处理输入的信息,且每一分组又被划分为16个32 bit子分组[9]. 经过一系列的处理后,算法的输出由4个32 bit分组组成,将这4个32 bit分组级联后将生成一个128 bit散列值.
MD5算法的第一步是附加填充数据长度. 若原始明文长度为K,且
$$ K\boldsymbolod 512 \ne 448 .$$ (1) 则需要在输入明文后填充1和n个0,填充后的数据长度为
$ {L_m} $ ,则$$ {L_m} = N \times 512 + 448. $$ (2) 第二步为记录信息长度. 该部分为64 bit,用来存储填充前数据长度,填充后整个报文的数据长度L是512的倍数.
第三步对MD5算法初始化缓存. 利用4个32 bit的整数:A=67452301,B=EFCDAB89,C=98BADCFE,D=10325476,以及4个函数:
$$ \begin{array}{l} {\boldsymbol{F}}\left( {b,c,d} \right) = \left( {b \wedge c} \right) \vee \left( {\overline b \wedge d} \right) , \\ {\boldsymbol{G}}\left( {b,c,d} \right) = \left( {b \wedge d} \right) \vee \left( {c \wedge \overline d } \right) , \\ {\boldsymbol{H}}\left( {b,c,d} \right) = b \oplus c \oplus d , \\ {\boldsymbol{I}}\left( {b,c,d} \right) = c \oplus \left( {b \vee \overline d } \right) . \end{array} $$ (3) 式中,a、b、c、d用于缓存A、B、C、D,在不同步骤中有指明的顺序,即第一分组需要将A到a,B到b,C到c,D到d,从第二分组开始的变量为上一分组的运算结果,即
$A=a,B=b,C=c,D=d$ ,以此类推. 总共进行4轮向量运算,每轮进行16次数据运算,共计64次,最终将输出结果级联得到消息摘要.由于函数的单向映射性,使得在得到消息摘要后反推原文几乎是不可行的[10]. 且对于不同的明文,其映射结果不同,因此可以用于验证数据报文的完整性,若数据在传输等过程中受到恶意篡改,即可以校验其消息摘要来防止攻击验证合法性.
1.2 SHA-1
SHA-1由美国国家标准与技术学会(NIST)和美国国家安全局(NSA)共同研发[11]. SHA-1输入长度在264以内,输出的消息摘要长度为160 bit,其原理和MD5算法较为类似,具体不再赘述,下面主要描述其不同点.
SHA-1的第一、二部分同MD5算法,均为填充数据加上64 bit的数据长度,最后得到512倍数据长度的消息.
SHA-1后续算法同理按照512 bit长度进行处理,初始化后32 bit的整数相较于MD5算法多一个E=C3D2E1F0,前四位相同. 算法将512 bit块分解为16个子块,算法共4轮,每轮20步,因此共计80次,最终将输出结果级联得到消息摘要. 表1对比了MD5和SHA-1算法,由表1可知,MD5算法产生的消息摘要更短,迭代次数更少,效率更高,但是SHA-1算法的安全性相对更高[12]. 总体来说,两类消息摘要算法都比较简单,对于应用在NTP这类需要考虑时间精度的协议中比较适宜.
表 1 MD5算法和SHA-1算法对比特征 MD5算法 SHA-1算法 消息摘要长度/bit 128 160 产生相同消息摘要所需操作/次 264 280 轮数/次 4 4 迭代次数 64 80 1.3 基于消息摘要的NTP算法设计
将消息摘要融入NTP,需要考虑算法的耗时、复杂度、安全性等因素. 且由于NTP关键在于时间戳的准确性,因此除了对整包提取摘要外,本文提出对NTP关键信息的校验.
1.3.1 算法原理
图1是基于消息摘要的NTP算法原理图. 客户端首先构造NTP请求报文,在利用原始报文哈希算法后产生消息摘要A添加至包尾,该消息摘要和NTP原始报文构成NTP请求包发送给服务器端. NTP服务器收到包后,首先对原始报文进行哈希运算得到消息摘要B. 对比A和B,若相等,则说明请求报文在传输过程中未受到修改,服务器则利用同样方法构造NTP响应包对客户端反馈. 客户端对接收的消息摘要C和自己计算的摘要D进行校验,相等则进行时间同步,若不等则丢弃该包,不提供时间同步服务.
图2为NTP原始报文48 B,加上其他包头为90 B,首先,需要将NTP包填充补长构成512 bit.
图3为NTP完整数据包格式. 设定扩展字段MD5算法为20 B,SHA-1为24 B,其中产生的消息摘要分别占据16 B和20 B. 将消息摘要填充在NTP包后加上消息摘要的数据包长度为110/114 B.
通常消息摘要是针对NTP的48 B包进行处理. 但由于客户端在进行时间同步时,重点提取包中的T2和T3时戳. 因此,此处的消息摘要考虑两种方式,分别为对完整NTP包和仅对T2和T3进行Hash运算.
将消息摘要运用在完整包和时间戳上进行对比,如图4所示,由于NTP数据包较小,因此无论哪种方式经过填充补偿后的包均为512 bit. 若对48 B的数据包补长,需要补充64 bit,而若对128 bit时间戳提取消息摘要,则需要补长320 bit. 相较于另一种Hash方式,该种方式的真实数据隐藏在更多填充的无效字节中. 由于Hash算法存在极小概率使得不同原始数据能够生成相同的消息摘要. 一旦攻击者篡改的明文包含关键信息而恰好消息摘要校验相等,则客户端会同步至错误时间. 而通过对时间戳提取消息摘要,攻击者更改数据比特发生在有用字节的概率会相对较小,安全性更高.
1.3.2 理论分析
图5为NTP同步流程图,其中客户端发送和接收时间为T1和T4,服务器接收和发送时间为T2和T3,传输路径产生的时延分别为δ1和δ2,客户端与服务器间的时差为θ,客户端与服务器Hash算法所耗时间为τ1和τ2,校验消息摘要所耗时间分别为σ1和σ2.
由图5可知,由于在客户端和服务器端使用相同的Hash算法,因此可以认为
$$ {\tau _1} = {\tau _2} = \tau . $$ (4) 对报文进行校验的时间并不影响客户端和服务器发送、接收报文的时间戳. 因此可以得到:
$$ {T_2} = {T_1} + \theta + {\delta _1} + \tau , $$ (5) $$ {T_4} = {T_3} - \theta + {\delta _2} + \tau . $$ (6) 由于NTP的对称性,双向路径时延可以视为相等
$$ {\delta _1} = {\delta _2} = \delta . $$ (7) 因此,最终得到单向时延δ’和时差θ分别为:
$$ \delta ' = \delta + \tau = \frac{{({T_2} - {T_1}) + ({T_4} - {T_3})}}{2} , $$ (8) $$ \theta = \frac{{({T_2} - {T_1}) - ({T_4} - {T_3})}}{2} . $$ (9) 由结果可知,理论上MD5和SHA-1算法的复杂度并不会影响NTP时间同步的精度,这是由于算法相同使得路径的对称性消除了算法耗时对于精度的影响. 但是,算法越复杂,路径时延越长. 所以,SHA-1算法复杂度比MD5算法复杂度高,理论上时延更长,但是同步精度并不会受到劣化. 所以若是为了更高的安全性,性能似乎更为优越. 但是,整个算法的复杂度会影响到客户接收时间戳T4的值,即
$$ {T_4} = {T_1} + 2\delta + 2\tau + {\sigma _1} . $$ (10) 因此,客户端等待服务器响应数据包的时间会增长. 由于实际网络的波动性以及不同算法对于设备硬件带来的影响,实际的NTP同步性能可能会随着算法复杂度的上升而劣化. 下面将分析MD5和SHA-1算法在NTP同步过程中造成的实际影响.
2. 算法流程
2.1 客户端算法流程
算法均在Windows平台下执行,语言为C++. 客户端算法如图6所示,首先客户端构造同步请求包,并利用MD5和SHA-1算法对原数据包Hash后得到报文摘要. 这里的Hash包含对前48 B的NTP数据包处理以及对两个时戳共128 bit进行处理,这是由于该部分是防止恶意篡改的关键数据. 客户端计算摘要后,与原文共同组帧发送给服务器,等待服务器响应. 设定等待时间为Tw,若等待时间大于Tw,则客户端输出超时处理,若小于则接收该数据包,并校验包中的报文摘要. 若相等,则进行时间同步,同时保存时差、时延等数据至本地文件.
2.2 服务器算法流程
服务器端首先建立Socket监听UDP端口123,接收到请求包后校验包中的消息摘要,若相等则更新本地时间,打上时戳T2和T3. 接着通过MD5和SHA-1算法对数据包或者时戳进行Hash. 得到的消息摘要附在NTP包尾后构造NTP响应包反馈给客户端.
3. 实验结果
客户端和服务器由两台PC机执行,其中服务器CPU为i5八代系列,主频1.60 GHz,客户端CPU为i5五代系列,主频2.20 GHz,其均在Windows下同一个局域网内,连接速度为72 Mibit/s. 实验设置客户端等待响应时间Tw为100 ms,并间隔1 s一次向服务器发送同步请求. 将未添加Hash的NTP算法称为Original,对完整NTP包Hash的算法分别称为MD5算法和SHA-1算法,而对时间戳提取的Hash算法称为Simple类. 实验共对比了在1 000次客户端的时间同步中原始NTP、MD5、MD5_Simple、SHA-1、SHA-1_Simple 5种算法下的实验数据,实验结果如图7所示.
从实验结果来看,5种算法的时延普遍小于50 ms,时差波动范围在3σ范围内,且由概率密度函数可以看出,时延主要集中在10 ms,时差则主要集中小于5 ms. 同时可以看到,采用的SHA-1的实验结果其时延和时差值要更大. 下面对时延和时差的统计数据进行分析,如图8~9和表2所示.
表 2 不同算法统计数据对比ms 算法 时延均值 时差标准差 原始NTP 9.538 0 3.295 1 MD5 10.004 0 3.926 2 MD5_Simple 9.985 0 3.639 7 SHA-1 13.192 0 4.789 0 SHA-1_Simple 10.631 0 4.462 7 由图8~9和表2中对1 000次同步结果计算值可知,未添加Hash算法的NTP其时延均值和时差标准差更小,时延均值基本在10 ms以内,时差标准差即同步精度在3~6 ms. 而添加了MD5算法的NTP的时延均值在8~13 ms,时差标准差在2~7 ms间波动. 添加了SHA-1算法的NTP时延均值在11~16 ms,时差标准差在3~8 ms. 由此看出,Hash算法在实际应用中会部分影响NTP的同步精度,且算法的复杂性上升,同步精度略微下降. 但是,NTP依然能够保持优于5 ms的同步精度,因此,在同步精度要求不是过于高的场合下,两种算法均具有较好的适应性. 同时,对比在同样Hash算法的条件下两种Hash方式所带来的影响. 可以看到,无论是MD5还是SHA-1算法,对关键时间戳Hash后其同步精度和时延并没有较为明显的改变,其性能与直接对数据包Hash的结果相当. 这是由于NTP数据包本身字节数较少,在算法第一步填充补位时,并不需要扩展到512的更大倍数,均只填充至512 bit,所以算法整体的迭代次数并没有改变. 但是,该方法将时间戳隐藏于大量无效比特中,提高了算法的安全性. 同时,处理数据长度的减小为后期实现NTP对称或非对称加密认证减小运算的复杂性,提高算法的效率提供了有效的思路.
如图10和表3为下面对5类算法中客户端一次Hash运算到请求数据包所耗的时间进行分析.
表 3 不同算法耗时对比ms 算法 波动范围 均值 原始NTP 0.3~15 4.976 3 MD5 0.4~17 5.198 0 MD5_Simple 0.4~16 4.973 9 SHA-1 0.4~16 5.224 5 SHA-1_Simple 0.4~16 5.361 9 结果表明,无MD5和SHA-1算法添加的NTP耗时最少,在0.3~15 ms波动,均值为4.976 3 ms. 而添加了MD5和SHA-1算法的NTP,其同步请求耗时都增长了约1~2 ms,时长在0.3~17 ms内波动. 其中,MD5算法和MD5_Simple的耗时均值为5.198 0 ms和4.973 9 ms,SHA-1算法和SHA-1_Simple的耗时均值分别为5.224 5 ms和5.361 9 ms. 所以,由于MD5算法的迭代次数要比SHA-1算法少,其耗时要更少. 而对关键数据进行Hash后的耗时与对完整数据包处理的耗时相差无异,原因同上述分析.
对5种算法所占主机CPU进行分析,经统计未加消息摘要算法其平均占用CPU约0.26%,而添加了MD5算法、SHA-1算法等几种算法平均占用CPU约在0.3%~0.4%. 因此消息摘要算法的添加会增加CPU的负担,但是其消耗并不明显,且不同算法间差距不大. 同时,上述实验均在网络负载较良好的环境中进行,本地流量在0~20 Kibit/s. 通过数据包模拟网络环境在UDP添加无序包,使得本地流量波动在3~4 Mibit/s时,统计了该环境下5种算法的统计特性如表4所示. 结果表明:在网络环境劣化后,其NTP在5种算法下的同步精度优于10 ms,时延均值上升到14~20 ms,不同算法间的性能差异和网络环境良好的情况下结论无异. 另外,本地流量的上升也影响了算法的耗时,其普遍增加了5~6 ms.
表 4 本地流量增加后不同算法统计数据对比ms 算法 时延均值 时差标准差 原始NTP 14.284 0 6.121 8 MD5 17.605 0 7.054 8 MD5_Simple 16.415 0 7.075 7 SHA-1 20.332 0 7.967 9 SHA-1_Simple 18.275 0 8.006 3 4. 结束语
本文针对当前NTP协议存在的安全风险与认证协议,分析了不同消息摘要算法对于协议的同步性能带来的影响. 理论分析得知,无论任何协议的添加均不会对NTP的同步精度带来影响. 然而实验表明,算法的复杂性会造成NTP同步精度的轻微劣化. SHA-1算法的迭代次数比MD5算法要多,因此整体的算法耗时、同步精度、时延等性能均有略微下降,但是整体并不影响NTP的同步效果,在网络环境良好的局域网内客户端依然能够保持优于10 ms的同步精度,这对于大多数应用场合来说已经足够了. 因此,为了更高安全的同步效果,SHA-1算法可以作为认证过程中的哈希函数. 同时,本文提出了对关键数据时间戳做哈希处理,将哈希算法对数据包中的T2和T3时戳进行计算. 实验表明:由于NTP数据包本身较小,其效果与对完整数据包进行消息摘要计算的结果相差无异,均能实现较高的时间同步精度. 同时,时间戳的隐藏使得攻击者不容易篡改至关键比特增加了算法的安全性,其减少数据处理长度对于利用密钥加密实现双向认证的算法也提供了有效的思路.
-
表 2 不同算法统计数据对比
ms 算法 时延均值 时差标准差 原始NTP 9.538 0 3.295 1 MD5 10.004 0 3.926 2 MD5_Simple 9.985 0 3.639 7 SHA-1 13.192 0 4.789 0 SHA-1_Simple 10.631 0 4.462 7 
下载: 导出CSV
表 3 不同算法耗时对比
ms 算法 波动范围 均值 原始NTP 0.3~15 4.976 3 MD5 0.4~17 5.198 0 MD5_Simple 0.4~16 4.973 9 SHA-1 0.4~16 5.224 5 SHA-1_Simple 0.4~16 5.361 9
下载: 导出CSV
表 4 本地流量增加后不同算法统计数据对比
ms 算法 时延均值 时差标准差 原始NTP 14.284 0 6.121 8 MD5 17.605 0 7.054 8 MD5_Simple 16.415 0 7.075 7 SHA-1 20.332 0 7.967 9 SHA-1_Simple 18.275 0 8.006 3
下载: 导出CSV
-
[1] LÉVESQUE M, TIPPER D. A survey of clock synchronization over packet-switched networks[J]. Communications surveys and tutorials, 2016, 18(4): 2926-2947. DOI: 10.1109/COMST.2016.2590438
[2] 李培基, 李卫, 朱祥维, 等. 网络时间同步协议综述[J]. 计算机工程与应用, 2019, 55(3): 30-38. DOI: 10.3778/j.issn.1002-8331.1809-0008 [3] BISHOP M. A security analysis of the NTP protocol version 2[C]//The 6th Annual Computer Security Applications Conference, IEEE, 1990. DOI: 10.1109/CSAC.1990.143746
[4] 黄九梅, 洪锡联, 赵英. 网络时间同步及其安全性研究[J]. 中国科技信息, 2008(16): 97-98. DOI: 10.3969/j.issn.1001-8972.2008.16.050 [5] 刁造翔, 章小宁, 王淑君, 等. 局域网条件下的NTP伪造服务器攻击技术[J]. 电子信息对抗技术, 2016, 31(6): 63-68. DOI: 10.3969/j.issn.1674-2230.2016.06.013 [6] 彭栋, 郭伟. 安全网络授时服务技术研究[J]. 时间频率学报, 2018, 41(1): 37-45. [7] LANGER M, TEICHEL, K, SIBOLD D, et al. Time synchronization performance using the network time security protocol[C]//European Frequency and Time Forum (EFTF), 2018. DOI: 10.1109/EFTF.2018.8409017
[8] KOGCE M, SISECI N E. A new approach to security of N TP via SSL certificates[C]// The 1st International Informatics and Software Engineering Conference (UBMYK), 2019. DOI: 10.1109/UBMYK48245.2019.8965454
[9] 周琴琴. 基于Hash函数的MD5和SHA-1加密算法研究及其硬件实现[D]. 合肥: 安徽大学, 2012. [10] 王小云, 于红波. 密码杂凑算法综述[J]. 信息安全研究, 2015, 1(1): 19-30. [11] 王孟钊. SHA1算法的研究及应用[J]. 信息技术, 2018(8): 152-153, 158. [12] 吴松魁. 基于UVM的HASH类算法IP核验证[D]. 西安: 西安电子科技大学, 2020. -
期刊类型引用(4)
1. 柯腾伦,孙光辉,吴荣刚,丁凯生,陈睿容. 基于“当前”统计模型的卡尔曼滤波在北斗单向授时中的应用. 导航定位与授时. 2023(03): 39-48 . 
百度学术
2. 薛来军. 基于改进的ECC的网络信息安全加密方法. 太原师范学院学报(自然科学版). 2022(02): 48-50+89 . 百度学术
3. 兰丽,王潇霖. 铁路时间同步网挑战应答身份认证安全性分析. 中国安全科学学报. 2022(11): 1-8 . 百度学术
4. 杨娜. 基于分组密码算法的网络传输数据信息加密方法研究. 信息与电脑(理论版). 2022(17): 210-212 . 百度学术
其他类型引用(7)
计量
- 文章访问数: 302
- HTML全文浏览量: 149
- PDF下载量: 34
- 被引次数: 11
