立即领取|华润集团、宁德核电、东风岚图等 20+ 标杆企业数字化人才培养实践案例 了解详情
写点什么

CloudFlare 开源网络时间安全协议:同时支持 NTP 和 NTS

  • 2019-12-24
  • 本文字数:1599 字

    阅读完需:约 5 分钟

CloudFlare开源网络时间安全协议:同时支持NTP和NTS

CloudFlare最近宣布网络时间安全(Network Time Security,NTS)协议发布第一个主要版本。该版本构建在他们之前发布time.cloudflare.com之上,这是其免费的时间服务,支持网络时间协议(Network Time Protocol,NTP)和 NTS。


CloudFlare 的免费时间服务 time.cloudflare.com,同时支持 NTP 和正在兴起的 NTS 协议。但是,在它发布的时候,并没有太多可用的 NTS 客户端。随着他们的新CFNTS项目的发布,CloudFlare 希望能够鼓励 NTS 协议的广泛采用。NTPSec最近发布了对 NTS 的支持。


如果你组合使用 time.cloudflare.com 和 NTPsec 或者它们的新 CFNTS 项目的话,CloudFlare 推荐启用 NTS。他们还提到 daemon 需要支持 TLS 1.3。


NTS 是由两个子协议形成的套件。第一个是网络时间安全秘钥交换(Network Time Security Key Exchange,NTS-KE)。该协议负责秘钥材料的创建,并且负责与第二个协议NTPv4的参数协商。NTPv4 是当前版本的 NTP 协议,允许客户端与远程的服务器同步时间。


CloudFlare 的加密工程师Watson Ladd和软件工程师Pop Chunhapanya这样说到:


为了维护 NTPv4 的可扩展性,很重要的一点就是服务器不维护每个客户端的状态。一个很小的服务器就能为数百万个 NTP 客户端提供服务。在提供安全性的同时又能保证这种属性是通过 cookie 来实现的,cookie 由服务器提供给客户端并且包含了服务器的状态。


为了在第一阶段完成这一点,客户端需要发送一个请求给 NTS-KE 服务器并通过 TLS 获取一个响应。在这个阶段,涉及到多个功能:


  • 协商在第二阶段使用的AEAD算法;

  • 协商第二个协议(目前,标准只定义了 NTS 如何与 NTPv4 协作);

  • 协商 NTP 服务器的 IP 地址和端口;

  • 创建第二阶段使用的 cookie;

  • 从 TLS 会话创建两个对称秘钥(C2S 和 S2C)。



NTS 过程的第一阶段


在第二阶段,客户端现在可以安全地与协商过的 NTP 服务器同步它们的时钟。为了确保安全完成,客户端会发送带有四个扩展的 NTPv4 包。第一个扩展为唯一的标识符扩展,包含了用于防止重播攻击的随机nonce。第二个扩展是 NTS cookie 扩展,它会为客户端提供两个 cookies 中的某一个。因为只有客户端记得两个 AEAD 秘钥(C2S 和 S2C),所以服务器端需要这个 cookie 来提取秘钥。每个 cookie 中包含了秘钥,这些秘钥由服务器端所持有的秘钥进行了加密。


第三个扩展是 NTS cookie 占位符扩展,这是客户端发送给服务端的一个信号,用来请求额外的 cookie。之所以需要它是为了确保响应不会比请求明显长太多,以避免放大攻击(amplification attacks)。最后一个扩展是 NTS 认证器和加密扩展字段的扩展,它包含 AEAD 算法的一个密文,以 C2S 作为密钥,NTP 头信息、时间戳和所有上述的扩展作为相关的数据。我们需要此头信息来防止时间戳仿造


按照 Ladd 和 Chunhapanya 所述:


第二次握手可以重复很多次,而不会回到第一个阶段,因为每个请求和响应都会给客户端一个新的 cookie。因此,TLS 中昂贵的公钥操作被分摊到大量请求中。


团队决定使用Rust来实现他们的服务,这与他们通常所选择的Go语言有所不同。正如作者们所指出的,他们决定使用 Rust 是因为“在响应 NTP 包的过程中垃圾收集暂停将会对精确性产生负面影响”。他们还指出,Rust 的内存安全性、不可为空性、线程安全性、不可变性和错误处理的特性是他们做出选择时的主要考虑因素。


随着这个版本的发布,CloudFlare 已经将他们的时间服务添加到公共NTP池中。NTP 池是一个由志愿者维护的服务,它在世界范围内提供 NTP 服务器。然而,他们注意到 NTS 在池模型中不能很好地运行。为了获得最佳的安全性,CloudFlare 建议启用 NTS 并使用 time.cloudflare.com 或其他支持 NTS 的服务器。


CFNTS服务已经基于2-Clause BSD许可证开源。CloudFlare 希望他们的解决方案能够让更多的客户在未来支持 NTS。目前,他们正在积极地寻求对代码库的贡献。


原文链接:


CloudFlare Releases Open Source Implementation of Network Time Security Protocol


2019-12-24 09:001928

评论

发布
暂无评论
发现更多内容

语音聊天app开发——开发人员如何进行代码分析

开源直播系统源码

软件开发 直播源码 语音app开发

Github又火了!阿里重发系统设计核心原理全彩笔记,上线两天破百万阅读

Java工程师

Java 高并发

倪光南:openEuler已达国际同类社区水准

openEuler

开源 操作系统 openEuler

企业为什么要数字化转型?数字化转型成功的案例有哪些?

优秀

数字化转型

Python图像处理丨如何调用OpenCV绘制直方图

华为云开发者联盟

Python 人工智能

MASA Stack 第三期社区例会

MASA技术团队

Framework blazor

编译器工程师眼中的好代码(1):Loop Interchange

openEuler

开源 编译器 openEuler

冲刺!这份超24W字的Java技术栈知识点集合将成为你的offer收割机

了不起的程序猿

Java 面试 java程序员 java; Java 开发 java 编程

【计算讲谈社】第七讲|AI 的价值探索:如何拓展商业边界?

大咖说

人工智能 AI 商业边界

Jmix - 业务系统高效开发的少代码平台

世开 Coding

Java spring 快速开发平台 Jmix 少代码

深入Linux内核IO技术栈

C++后台开发

Linux内核 内核开发 驱动开发 嵌入式开发 内核操作系统

【七夕限定盲盒抽奖】一文带你搞懂盲盒抽奖的页面配置

hum建应用专家

阿里云 Serverless 函数计算

在SaaS时代,帮助中心成为了许多企业的选择

Baklib

playwright录制脚本

和牛

测试 Python. 8月月更

编译器工程师眼中的好代码:Loop Interchange

华为云开发者联盟

c c++ 开发 编译器

北京零基础前端软件培训

小谷哥

学习大数据开发技术后好找工作吗?

小谷哥

优化客户服务的 7 个关键步骤

Geek_da0866

苦熬三个月整理的spring全家桶PDF版限时分享,整整400页

Java工程师

Java spring Spring全家桶

观测云入驻青云云市场,提升云上系统统一可观测能力

观测云

Centos系统安装MySQL数据库

杨杰灵

MySQL 数据库

最具有中国特色的微服务组件!阿里新一代SpringCloud学习指南

JAVA活菩萨

Java 程序员面试 大厂技能 秋招 大厂面经

做个男人,做个成熟的男人

源字节1号

Eclipse Debug FFmpeg

贾献华

8月月更

【云原生】Spring Cloud是什么?Spring Cloud版本介绍

java李杨勇

Java spring cloud stream 签约计划第三季

培训机构与自学的优缺点都有什么

小谷哥

专访容智信息柴亚团:最低调的公司如何炼成最易用的RPA?

王吉伟频道

RPA 机器人流程自动化 0代码 容智信息 柴亚团

MySQL 概念

武师叔

8月月更

AIRIOT答疑第7期|如何快速提升物联网项目交付速度?

AIRIOT

物联网

认识一下MRS里的“中间人”Alluxio

华为云开发者联盟

大数据 MRS

混合云存储点燃万亿自动驾驶市场,加速产品落地

焱融科技

自动驾驶 AI 分布式文件存储 全闪

CloudFlare开源网络时间安全协议:同时支持NTP和NTS_开源_Matt Campbell_InfoQ精选文章