信息网络时间同步安全与建议 本文关键词：信息网络，同步，建议，时间

信息网络时间同步安全与建议 本文简介：摘要：网络时间同步技术在多个信息化领域得到了广泛的应用，近年针对网络时间同步的攻击行为时有发生，有必要对典型攻击行为、安全机制和安全风险进行分析，提升信息网络的安全性能。本文描述了典型领域时间失效造成可能造成的后果，分析了针对网络时间同步（ＮＴＰ）的典型攻击手段和行为，提出了网络时间部署时的安全建议

信息网络时间同步安全与建议 本文内容：

摘要：网络时间同步技术在多个信息化领域得到了广泛的应用，近年针对网络时间同步的攻击行为时有发生，有必要对典型攻击行为、安全机制和安全风险进行分析，提升信息网络的安全性能。本文描述了典型领域时间失效造成可能造成的后果，分析了针对网络时间同步（ＮＴＰ）的典型攻击手段和行为，提出了网络时间部署时的安全建议。

1．引言

随着网络和信息技术的发展，各行业信息化建设水平不断提升，时间同步系统作为信息网络的基础支撑，其重要性日益凸显。特别是涉及国家核心利益和国计民生的关键行业领域，如国防、金融、电力、交通、电信等，对信息系统和基础网络的稳定性、安全性要求更高，各类信息数据控制、计算、处理、应用和操作都具有严格时序性，如果时间同步系统遭受攻击或破坏，造成网络时间不同步，将会对业务运行质量造成巨大影响甚至导致无法正常运行。具体如下：国防领域：时间同步是作战协同和指令传递的基础，时间信息错误会导致数据产生严重偏差，导致作战行动失败。金融领域：银行、证券、保险、商业平台等各大交易系统后台都有时间服务器的支撑，时间信息的错误会导致金融结算混乱，造成国家经济损失，甚至引发社会动荡。电力领域：时间同步系统是变电站和电厂必建的支撑系统。时间信息的破坏会导致电力安全监测系统无法正常工作，规模停电时无法确定故障源和进行分区阻断，发电输电计划错误、混乱。交通领域：地铁、高铁、航空，时间同步系统必建的支撑系统，时间信息的破坏会导致航班车次指令信息的混乱，严重时会引发重大事故［４］。通信领域：通信达成上，移动网络基站间要求时间和相位同步，时间信息的破坏会导致掉话或基站退服，造成通信中断；安全保障上，ＣＡ和ＰＫＩ体系，时间戳服务、数字签名、电子证书等都是建立在统一的时间基础上，时间信息的破坏会导致系统无法正常运行；物联网构建上，ＡｄＨｏｃ网络基于无线时间同步协议（如萤火虫协议）做到协同工作，时间信息的破坏会直接导致无法正常组网［３］。下面就信息系统中广泛使用的ＮＴＰ（网络时间协议）进行分析。

２．网络时间同步安全分析

ＮＴＰ（网络时间协议）是用于互联网中时间同步的标准之一，它的用途是把计算机系统的时间同步到ＵＴＣ（世界协调时）。ＮＴＰ技术目前广泛应用于计算机网络时间同步，由于ＮＴＰ本身的一些漏洞，常常被利用进行系统时间攻击。个典型的ＮＴＰ时间同步系统通常由时间服务器（接收ＧＰＳ或北斗卫星授时信号）、网络基础设施、计算机等终端上的ＮＴＰ客户端软件组成，如图一所示。攻击可能发生在时间服务端、嵌入网络基础设施中和终端上目前主要的攻击方式有两种：ＭＩＭＴ（中间人）攻击和数据包注入攻击［１］。ＭＩＭＴ攻击者位于一个允许拦截和修改正在传输中的分组协议包的位置。假定一个ＭＩＴＭ攻击者能够从物理层访问一段网络或者已经获得网络中的一个节点的控制权，它就可以实施攻击行为。数据包注入攻击者不是位于ＭＩＭＴ攻击者的位置，但是它能通过生成协议包来进行攻击。一个数据包注入攻击者能够位于攻击的网络里或者是连接到被攻击网络的外部网络中。一个数据包注入攻击者还能偷听协议包，例如多播包等，然后记录和重播这些协议包来进行攻击。主要攻击实例如下：ａ）ＮＴＰ反射放大攻击放大攻击是指利用ＮＴＰｍｏｎｌｉｓｔ功能，攻击者可以伪造源发地址向ＮＴＰ服务器进行ｍｏｎｌｉｓｔ查询，这将导致ＮＴＰ服务器向被伪造的目标发送大量的ＵＤＰ数据包，理论上这种恶意导向的攻击流量可以放大到伪造查询流量的数百倍。攻击者可同时利用多个ＮＴＰ服务器对目标进行攻击，也就是反射放大攻击ＤＲＤ０Ｓ，使网络过载来干扰甚至阻断正常的网络通信。ｂ）ＮＴＰｍｏｄｅ７ＰａｃｋｅｔｓＤｏｓ攻击Ｎｔｐｄ（ＮＴＰ的执行程序）在收到Ｍｏｄｅ７请求包、错误响应包时，会回复Ｍｏｄｅ７错误响应包，形成死锁或振荡攻击。ｃ）伪ＮＴＰ服务器攻击控制伪ＮＴＰ服务器发送错误的校时帧，欺骗客户端错误校时，扰乱或破坏客户端系统时间，从而达到时间攻击的目的。ｄ）ＮＴＰ洪水控制傀儡机通过向ＮＴＰ服务器提交大量ＮＴＰ校时请求，使ＮＴＰ服务器超负荷，无法为正常客户端提供授时服务。ｅ）ＮＴＰ校时阻断攻击通过阻断某一用户访问服务器、阻断某服务器与特定系统或用户通信、篡改服务器响应包时间数据等手段，使客户端无法实现时间同步。对于一个安全设计不完善的不安全的时间同步网络来说，对其主要的攻击向量总结如表一。

３．网络时间同步安全建议

在网络建设和维护的过程中，应该对涉及到的网络时间同步安全加以考虑，这往往被网络设计和维护者忽略，需要弓丨起重视。现提出建议如下：ａ）将服务器端和客户端ＮＴＰ软件升级到最新版本，关闭不需要的端口和服务。ｂ）ＮＴＰ客户端需要能够验证时间服务器的身份，支持时间服务器的递归验证，建立时间源信任链［６］？ｃ）时间服务器可支持对ＮＴＰ客户端的授权和验证，只对授权客户端进行响应。ｄ）时间服务器具备冗余功能，抵御拒绝服务攻击，硬件底层可加入硬件包过滤功能，服务器端口间物理隔离＝时间服务器需要具备针对卫星授时信号的抗干扰和防欺骗能力。ｅ）网络设计时网内时间服务器数量大于３个，客户端应具备时间源错误鉴别判断功能Ｍ。ｆ）可考虑利用外部的安全机制。如利用ＩＰＳＥＣ三层隧道或ＭＡＣＳＥＣ二层隧道，进行时间同步协议数据交换的全程加密。ｇ）有条件的情况下，可建设时间安全监测平台，利用大数据比对分析，发现受到攻击的时间服务器或客户端。

４．总结

网络时间同步作为很多信息网络的基础，一旦受到攻击特别是针对时间同步性能的慢变化的攻击，隐蔽性较高，积累到一定程度，会影响信息网络的正常运行，危害很大，需要引起足够的重视。目前针对时间同步性能慢变化的研究还需要进一步深入，对高精度时间同步ＰＴＰ（精确时间同步协议）应用的安全性研宄也需要加强。

作者：李欣

信息网络时间同步安全与建议　　来源：网络整理

　　免责声明：本文仅限学习分享，如产生版权问题，请联系我们及时删除。

• 上一篇：物流管理专业人才培养创新路径

• 下一篇：高校文化创意产业人才培养思路