奇怪的知识会增加：国际互联网工程任务组提出新网络时间安全标准

国际互联网工程任务组（The Internet Engineering Task Force，简称 IETF）是一个公开性质的大型民间国际团体，成立于1985年底，是全球互联网最具权威的技术标准化组织，主要任务是负责互联网相关技术规范的研发和制定，当前绝大多数国际互联网技术标准出自IETF。

IETF的主要任务是负责互联网相关技术标准的研发和制定，是国际互联网业界具有一定权威的网络相关技术研究团体。IETF大量的技术性工作均由其内部的各种工作组（WorkingGroup，简称WG）承担和完成。这些工作组依据各项不同类别的研究课题而组建。在成立工作组之前，先由一些研究人员通过邮件组自发地对某个专题展开研究，当研究较为成熟后，可以向IETF申请成立兴趣小组（birdsofafeather，简称BOF）开展工作组筹备工作。筹备工作完成后，经过IETF上层研究认可后，即可成立工作组。工作组在IETF框架中展开专项研究，如路由、传输、安全等专项工作组，任何对此技术感兴趣的人都可以自由参加讨论，并提出自己的观点。各工作组有独立的邮件组，工作组成员内部通过邮件互通信息。IETF每年举行三次会议，规模均在千人以上。

全球互联网工程任务组（IETF）日前已发布RFC8915，它是网络时间安全（NTS）的提议标准。它已经进行了五年的开发，旨在解决当前网络时间协议（NTP）中存在的问题和漏洞。

在数据包交换的可变延迟数据网络上，不同计算机之间的准确同步时间至关重要。在第四次工业革命的时代，这一点变得尤为重要，在第四次工业革命中，不同过程的准确时间和顺序至关重要。自1985年推出以来，NTP一直很好地达到了这一目的。但是，在过去的35年中，很明显，NTP中的各种漏洞和问题表明，它需要更高的安全级别。NTS旨在提供这种安全性。

影响基本NTP的现有问题包括DDoS放大，数据包处理和重播攻击-后两者由中间人（MiTM）攻击实施，可以伪造消息并伪造时间。

主要解决方案是在初始服务器身份验证中引入非对称加密。这样可以防止MiTM攻击。它的运行速度比对称加密慢，这增加了对NTP服务器进行DDoS攻击的可能性。然而，正如RFC8915笔记，“一个成功的DDoS攻击的NTS-KE服务器上的攻击从NTP服务支持不会影响已经完成初始认证，AEAD密钥提取和饼干交换NTP用户分开。”

提议的标准还警告说，NTS不能完全防止来自路径上的对手的攻击。“除了丢弃数据包和进行攻击之外，路径上攻击者还可以发送未经身份验证的欺骗性Kiss-o'-Death答复，以响应NTP请求。”

但是，NTS确实在很大程度上阻止了DDoS放大攻击中使用某些NTP实现。该标准指出：“网络时间协议的某些非标准和/或不建议使用的功能使客户端可以向服务器发送请求，从而导致服务器发送的响应比请求大得多。” NTS通过确保服务器响应中包含的与NTS相关的扩展字段的大小与客户端发送的字段大小相同，避免了此问题。

这不是百分百准确的声明，因为RFC7822要求填充扩展并将其与四个八位字节的边界对齐-这意味着在某些情况下响应大小可能超出请求最多三个八位字节。但是，正如IETF所说：“这完全无关紧要，因此我们拒绝解决。”

Netnod首席执行官Lars Michael Jogback表示：“ RFC8915的发布对于NTS的开发和整个Internet的安全都是重要的时刻。Netnod是一家瑞典公司，提供NTP，NTS和精确时间协议（PTP）服务。“ Netnod自豪地站在开发NTS标准和实现的最前沿。我们将继续专注于NTS之类的服务，以使每个人都能获得尽可能安全和强大的Internet。”

网络时间安全标准RFC8915详细文档已上传小编知识星球。

网络时间安全标准RFC8915详细文档已上传小编知识星球

原文始发于微信公众号（红数位）：奇怪的知识会增加：国际互联网工程任务组提出新网络时间安全标准