[发明专利]一种基于国密算法的NTP协议增强信息处理系统及方法

说明书

本发明属于信息处理技术领域，公开了一种基于国密算法的NTP协议增强信息处理系统及方法，客户端向服务器发送Assoc请求，该请求包含32位的主机状态字以及客户端主机名；服务器返回Assoc响应，包含服务器主机状态字以及服务器主机名；客户端与服务器互相交换证书，使用自己内置的根证书对其身份进行验证，通过OCSP系统查询证书的有效性，确保对端是可信主机；服务端生成服务器种子，使用SM3算法计算Cookie并且使用客户端公钥进行加密；计算签名，返回给客户端；客户端验证签名，解密Cookie。本发明能够抵抗时间篡改、身份伪造、中间人攻击等安全威胁；保证安全的时间同步，方便完成密钥以及证书的管理。

技术领域

本发明属于信息处理技术领域，尤其涉及一种基于国密算法的NTP协议增强信息处理系统及方法。

背景技术

目前，最接近的现有技术：随着计算机技术高速发展，越来越多的服务和应用需要接入互联网，进行时间同步来提供服务，例如分布式控制系统、银行财务系统、云计算平台系统、电子商务网站等。这些应用依赖于高标准的时间同步，只有在网络中的各个主机之间存在一个统一、正确的时间的情况下，分布在各个主机中的各种程序才能有效、协调的完成任务。时间同步在网络安全体系中占有重要的地位，目前许多应用比较广泛的安全机制都依赖于准确的时间同步，如：TLS协议中的证书验证、Kerberos中的票据认证等。网络时间同步协议(NTP)的出现和发展正是为了解决计算机之间的时间同步问题。NTP 基于UDP协议，借助时间戳机制保证主机之间的时间同步。由于其传输层协议是UDP协议，不提供安全性检查，为NTP的安全性埋下了隐患。近年来利用 NTP进行网络攻击的案例日趋增多，造成了巨大的损失。NTP协议的最初几个版本中没有标准的认证方法，在NTPv3时才第一次提出使用预共享密钥的对称加密认证方案。在2010年发布的NTPv4中，首次引入了一种Autokey的公钥认证机制。但是由于Autokey机制存在各种安全问题，因此目前无认证机制的时间同步服务应用最广泛。

近年来，学术界对NTP协议的安全性研究呈上升态势，尤其是对Autokey 协议的研究更为突出。2012年，Stephen等人分析了NTP协议的安全性，结合多种攻击手段指出了Autokey机制中的各种安全缺陷，并提出了相应的修改方案。2016年，Benjamin和Douglas等人提出了一种认证时间同步协议ANTP，其中设计了一种新的密钥交换机制。在保证时间同步的效率与准确度的情况下，提升了安全性。同时，D.Sibold等人在网络时间安全(NTS)草案中也提出了在时间同步过程中，验证服务器身份以及数据包完整性的相关措施。

NTP协议使用Autokey机制进行身份认证，客户端与服务器建立连接的协商过程通过协议扩展字段完成消息传输，具体来说协商过程主要包含以下几个步骤：(1)ASSOC客户端向服务器发送Assoc请求，该请求包含32位的主机状态字以及客户端主机名。相应的服务器返回Assoc响应，包含服务器主机状态字以及服务器主机名。(2)CERT客户端向服务器发送证书请求，请求中包含服务器主机名。服务器返回Cert响应，该响应包含服务器的证书及数据包的签名。 (3)IFF/GQ/MV客户端发送挑战数据包，其中包含挑战参数。服务端响应中包含应对挑战的响应结果，以及数据包的签名。(4)COOK在该阶段，客户端请求服务端Cookie值，该请求包含用于加密的客户端公钥。服务端计算Cookie并且使用客户端公钥进行加密，然后计算签名，返回给客户端。客户端验证签名，解密Cookie。在此时，客户端已经验证了服务器的身份，并且收到了服务器的私有Cookie。接下来，客户端就可以通过不带扩展字段的数据包向服务器同步数据，通过keyID以及MAC值来保证传输过程的安全性。通过上面的协商过程，客户端安全的获取到可信服务器的Cookie值。服务器生成Cookie的方式：

Cookie＝MSBs32(H(ClientIP||ServerIP||0||ServerSeed))；