CN105791307A - 网络时间协议报文安全认证方法及装置 - Google Patents
网络时间协议报文安全认证方法及装置 Download PDFInfo
- Publication number
- CN105791307A CN105791307A CN201610209747.7A CN201610209747A CN105791307A CN 105791307 A CN105791307 A CN 105791307A CN 201610209747 A CN201610209747 A CN 201610209747A CN 105791307 A CN105791307 A CN 105791307A
- Authority
- CN
- China
- Prior art keywords
- ntp
- authentication message
- identification sequences
- message
- sequences number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Abstract
本发明提供一种网络时间协议NTP报文安全认证方法及装置,所述方法包括:当需要发送第一NTP认证报文时,确定所述第一NTP认证报文对应的认证序列号;其中,所述认证序列号为递增序列号;将所述认证序列号携带在所述第一NTP认证报文中发送给对端设备,所述认证序列号用于所述对端设备判断所接收到的NTP认证报文是否为合法报文。应用本发明实施例可以提高NTP报文交互的安全性,避免报文回放攻击。
Description
技术领域
本发明涉及网络通信技术领域,尤其涉及一种网络时间协议报文安全认证方法及装置。
背景技术
在大型的网络中,如果依靠管理员手工配置来修改网络中各台设备的系统时间,不但工作量巨大,而且也不能保证时间的精确性。NTP(NetworkTimeProtocol,网络时间协议)可以用来在分布式时间服务器和客户端之间进行时间同步,使网络内所有设备的时间保持一致,并提供较高的时间同步精度。
为了避免时间同步的过程中的报文重放攻击和黑客的一些蓄意攻击,需要对NTP服务器和NTP客户端之间交互的NTP报文进行加密认证,即在NTP报文中携带认证信息。目前主流的加密算法为MD5(MessageDigestAlgorithm5,消息摘要算法第五版)。在配置认证的情况下,如果NTP报文所采用的加密算法没有被破解,密钥没有泄露,试图直接修改报文内容进行非法攻击将非常困难。
然而实践发现,上述NTP认证方案虽然提高了NTP报文的安全性,但是仍有可能会发生报文回放攻击。例如,攻击者可以通过抓包工具捕获到NTP报文,然后将抓到的NTP报文再发给被攻击的设备,若设备无法识别出这种过时的NTP报文,则在攻击者未破解携带认证信息的NTP报文的情况下,设备系统时间仍然可能被意外改变。
发明内容
本发明提供一种NTP报文安全认证方法及装置,以解决现有技术中无法避免报文回放攻击的问题。
根据本发明实施例的第一方面,提供一种议NTP认证报文安全方法,包括:
当需要发送第一NTP认证报文时,确定所述第一NTP认证报文对应的认证序列号;其中,所述认证序列号为递增序列号;
将所述认证序列号携带在所述第一NTP认证报文中发送给对端设备,所述认证序列号用于所述对端设备判断所接收到的NTP认证报文是否为合法报文。
根据本发明实施例的第二方面,提供一种NTP报文安全认证装置,包括:
确定单元,用于当需要发送第一NTP认证报文时,确定所述第一NTP认证报文对应的认证序列号;其中,所述认证序列号为递增序列号;
发送单元,用于将所述认证序列号携带在所述第一NTP认证报文中发送给对端设备,所述认证序列号用于所述对端设备判断所接收到的NTP认证报文是否为合法报文。
应用本发明实施例,当需要发送第一NTP认证报文时,确定该第一NTP认证报文对应的认证序列号,其中,该认证序列号为递增序列号,并将该认证序列号携带在第一NTP认证报文中发送给对端设备,以使对端设备根据第一NTP认证报文中携带的认证序列号判断接收到的NTP认证报文是否为合法报文,提高了NTP报文交互的安全性,有效地避免了报文回放攻击。
附图说明
图1A是一种采用MD5加密算法的NTP认证报文的发送流程示意图;
图1B是一种采用MD5加密算法的NTP认证报文的接收流程示意图;
图2是本发明实施例提供的一种NTP报文安全认证方法的流程示意图;
图3A是本发明实施例提供的一种NTP报文安全认证报文的发送流程示意图;
图3B是本发明实施例提供的一种NTP报文安全认证报文的接收流程示意图;
图4是本发明实施例提供的一种NTP报文安全认证装置的结构示意图;
图5是本发明实施例提供的另一种NTP报文安全认证装置的结构示意图;
图6是本发明实施例提供的另一种NTP报文安全认证装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,采用MD5加密算法为例,对NTP认证报文的发送和接收流程进行简单说明。
请参见图1A,为现有使用MD5加密算法的NTP认证报文的发送流程示意图,如图1A所示,该流程可以包括以下步骤:
步骤101a、获取设备当前的有效发送key(密钥);若存在有效发送key,则转至步骤102a;否则,结束当前流程。
步骤102a、将报文中的digest(摘要)字段全部清0,并使用有效发送key调用MD5加密算法对待发送报文进行加密,生成一个长度为16字节的摘要信息。
步骤103a、将有效发送keyID(标识)填充到报文的keyIdentifier(标识)字段,并将上述生成的摘要信息拷贝到报文digest字段中,并发送报文。
需要注意的是,在通常情况下,同一时刻设备上有效发送keyID只有一个。
请参见图1B,为现有使用MD5加密算法的NTP认证报文的接收流程示意图,如图1B所示,该流程可以包括以下步骤:
步骤101b、接收NTP认证报文,并获取该NTP认证报文中携带的keyID。
步骤102b、根据该keyID查询对应的有效接收key,若存在对应的有效接收key,则转至步骤103b;否则,丢弃报文,结束当前流程。
步骤103b、将报文中携带的摘要信息拷贝到临时缓冲区保存,并将报文中digest字段全部清0。
步骤104b、使用keyID对应的有效接收key,调用MD5加密算法对收到的整个NTP认证报文进行加密计算,得到摘要信息。
步骤105b、判断计算得到的摘要信息与报文携带的摘要信息是否相同;若是,处理报文;否则,丢弃报文,并结束当前流程。
其中,报文的具体处理流程在此不再赘述。
下面结合附图对本发明实施例中技术方案作进一步详细的说明。
参见图2,为本发明实施例提供的一种NTP报文安全认证方法的流程示意图,如图2所示,该NTP报文安全认证方法可以包括以下步骤:
步骤201、当需要发送第一NTP认证报文时,确定第一NTP认证报文对应的认证序列号;其中,该认证序列号为递增序列号。
本发明实施例中,上述方法可以应用NTP时间提供方设备,如NTP客户端/服务器(即Client/Server,简称C/S)工作模式下的NTP服务器、对等体(Peer)工作模式下的主动对等体设备、或NTP组播或广播工作模式下的NTP服务器;也可以应用于NTP时间同步方设备,如NTP客户端/服务器工作模式下的NTP客户端、或对等体工作模式下的被动对等体设备。为便于描述,下面以上述方法的执行主体为NTP服务器为例进行说明。
本发明实施例中,第一NTP认证报文并不特指NTP服务器发送的某一特定NTP认证报文,而是可以指代NTP服务器发送的任一NTP认证报文;其中,NTP认证报文指携带有加密认证信息的NTP报文。
本发明实施例中,为了避免NTP时间同步过程中报文回放攻击的发生,NTP服务器发送NTP认证报文时,可以在该NTP认证报文中携带一个严格递增的认证序列号,即该认证序列号在NTP认证报文的发送过程中是严格递增的,NTP服务器先发送的NTP认证报文中携带的认证序列号必然小于后发送的NTP认证报文中携带的认证序列号,从而保证对端设备(如NTP客户端)接收到该NTP认证报文后,可以根据该NTP认证报文中携带的认证序列号确定报文的发送时序,识别NTP认证报文是否为过时报文。
为了达到上述目的,在本发明实施例中,当NTP服务器需要发送NTP认证报文(本文中称为第一NTP认证报文)时,NTP服务器需要先确定该第一NTP认证报文对应的认证序列号,以保证NTP认证报文中认证序列号随着报文的发送次数递增。
作为一种可选的实施方式,在本发明实施例中,可以将NTP服务器发送NTP认证报文时的系统运行时间作为认证序列号携带在NTP认证报文中,以保证该认证序列号在NTP认证报文发送过程严格递增。
然而,在该实施方式中,考虑到NTP进程重启或系统发生重启时,系统运行时间可能会发生重置,导致系统运行时间对应的认证序列号不符合随NTP认证报文发送过程严格递增的要求,该认证序列号可以为高N位+低M位形式的N+M位序列号;其中,低M位对应系统运行时间,在第M位溢出、或NTP进程或系统发生重启时,高N位往上递增。
优选地,在本发明实施例中,认证序列号为64位序列号,该64位序列号包括高32位和低32位两部分;其中,当本地NTP进程或系统发生重启时,认证序列号的高32位往上递增。
在该情况下,认证序列号的低32位可以对应系统运行时间,当NTP服务器本地NTP进程或系统发生重启时,认证序列号的高32位往上递增,如在原值的基础上加1,避免由于系统运行时间重置导致认证序列号不符合严格递增要求。
其中,在该情况下,当认证序列号的高32位由于低32位溢出、或本地NTP进程或系统重启往上递增时,需要将变化后的认证序列号保存至本地非易失存储介质中,从而当NTP进程或系统发生重启时,仍然可以读取到之前认证序列号,并在此基础上保证认证序列号的严格递增。
可选地,在本发明实施例中,随着认证序列号第32位的自然递增,也可以定期备份认证序列号,如低32位序列号每累计增加2000时保存一次认证序列号,以更好地保证认证序列号的严格递增。
步骤202、将所确定的认证序列号携带在第一NTP认证报文中发送给对端设备,该认证序列号用于对端设备判断所接收到的NTP认证报文是否为合法报文。
本发明实施例中,NTP服务器确定第一NTP认证报文对应的认证序列号之后,可以将该认证序列号携带在第一NTP认证报文中发送给对端设备。对端设备接收到第一NTP认证报文后,根据相应keyID以及加密算法对报文认证通过后,可以根据第一NTP认证报文中携带的认证序列号判断第一NTP认证报文是否为合法报文。若是,即第一NTP认证报文中携带的认证序列号小于或等于自身记录的报文发送方设备对应的认证序列号时,确定该第一NTP认证报文为合法报文,将其丢弃;否则,对第一NTP认证报文进行处理,其具体处理实现可以参见现有NTP协议中的相关实现,本发明实施例在此不再赘述。
可选地,NTP服务器可以通过RFC(RequestForComments,一系列以编号排定的文件)5905中定义的可扩展TLV(Type,Length,Value,类型、长度、值)字段携带该严格递增的认证序列号;其中,整个TLV字段域要求满足四字节对齐,不够是则填充0,长度需要填写TLV的总字节数。
例如,该TLV字段中可以定义一个长度为8字节的认证序列号,包括高32位和低32位两部分。初始状态(NTP会话被创建的时刻)下,高32位的值为0,低32位的值随着NTP认证报文的发送有序递增,当低32位的值发生翻转溢出时,在低32位归0的同时将高32位的值加1。另外,该序列号需要保存在非易失性存储介质(如闪存、硬盘等)中,保证NTP进程或系统重启后,认证序列号依然严格递增。
进一步地,作为一种可选的实施方式,在本发明实施例中,当接收到第二NTP认证报文,且确定第二NTP认证报文中携带有认证序列号时,判断是否为首次接收到发送方设备发送的NTP认证报文;
若是,则记录该第二NTP认证报文中携带的认证序列号,并处理该第二NTP认证报文;
否则,比较该第二NTP认证报文中携带的认证序列号和自身记录的发送方设备对应的认证序列号;
若第二NTP认证报文中携带的认证序列号大于自身的发送方设备对应的认证序列号,则将自身记录的发送方设备对应的认证序列号更新为第二NTP认证报文中携带的认证序列号,并处理该第二NTP认证报文;否则,丢弃该第二NTP认证报文。
具体的,在实施方式中,当NTP服务器接收到NTP认证报文(本文中称为第二NTP认证报文),且确定该第二NTP认证报文中携带有认证序列号时,NTP服务器可以首先判断第二NTP认证报文是否为首次接收到发送方设备发送的NTP认证报文。
其中,NTP服务器可以通过判断自身是否记录有该第二NTP认证报文的源地址的方式确定第二NTP认证报文是否为首次接收到的发送方设备发送的NTP认证报文;若自身记录有该第二NTP认证报文的源地址,则确定第二NTP认证报文不是首次接收到发送方设备发送的NTP认证报文;否则,确定第二NTP认证报文是首次接收到发送方设备发送的NTP认证报文。
若第二NTP认证报文是首次接收到发送方设备发送的NTP认证报文,则NTP服务器可以记录该第二NTP认证报文中携带的认证序列号,并对第二NTP认证报文进行处理。
若第二NTP认证报文不是首次接收到发送方设备发送的NTP认证报文,则NTP服务器可以查询自身记录的该发送方设备对应的认证序列号,并比较该第二NTP认证报文中携带的认证序列号和自身记录的该发送方设备对应的认证序列号。若第二NTP认证报文中携带的认证序列号大于自身记录的该发送方设备对应的认证序列号,则NTP服务器可以认为该第二NTP认证报文属于合法报文,并将自身记录的发送方设备对应的认证序列号更新为第二NTP认证报文中携带的认证序列号,并处理该第二NTP认证报文;若第二NTP认证报文中携带的认证序列号小于或等于自身记录的该发送方设备对应的认证序列号,则NTP服务器可以认为该第二NTP认证报文为回放报文,并丢弃该第二NTP认证报文。
需要说明的是,在本发明实施例中,NTP服务器接收到第二NTP认证报文后的认证处理实现,以及NTP服务器对第二NTP认证报文的处理实现均可以参见现有NTP认证报文的接收处理流程中的相关实现,本发明实施例对此不再赘述。
进一步地,作为一种可选的实施方式,在本发明实施例中,当接收到第三NTP认证报文,且确定该第三NTP认证报文中未携带有认证序列号时,丢弃该第三NTP认证报文。
具体的,在该实施方式中,若NTP服务器支持本发明实施例提供的严格递增认证序列号功能,但是在接收到的NTP认证报文中未解析出认证序列号,则NTP服务器可以认为该NTP认证报文为非法报文,直接丢弃该第三NTP认证报文。
值得说明的是,在本发明实施例中,若NTP服务器不支持本发明实施例提供的严格递增认证序列号功能,但是在接收到的NTP认证报文中存在不能识别的认证序列号字段,则NTP服务器可以不对该认证序列号字段进行处理,而按现有NTP认证报文接收流程进行相关处理,其具体实现在此不再赘述。
进一步地,考虑到现有NTP协议的NTP组播或广播模式中,NTP报文中的OriginTimeStamp(源时间戳)字段始终为0,仅能根据报文中携带的TransmitTimestamp(传输时间戳)字段确定报文是否为回放报文,导致NTP组播/广播客户端遭受报文回放攻击的概率大大增加,而在本发明实施例中,通过在NTP报文中携带严格递增的认证序列号,以使报文接收方设备可以根据该认证序列号判断接收到的NTP报文是否为合法报文,有效地避免了NTP组播或广播模式中报文回放攻击。
相应地,优选地,在本发明实施例中,NTP服务器可以通过NTP组播或广播的方式将携带有认证序列号的第一NTP报文发送给对端设备。
可见,在图2所描述的方法流程中,通过在发送的NTP认证报文中携带递增的认证序列号,使对端设备在接收到NTP认证报文时,可以根据NTP认证报文中携带的认证序列号识别NTP认证报文是否为过时报文,有效地避免了报文回放攻击。
为了使本领域技术人员更好地理解本发明实施例提供的技术方案,下面对支持严格递增认证序列号后的NTP认证报文发送和接收处理流程进行说明。
请参见图3A,为本发明实施例提供的一种NTP认证报文的发送流程示意图,如图3A所示,该NTP认证报文的发送流程可以包括以下步骤:
步骤301a、获取设备当前的有效发送key;若存在有效发送key,则转至步骤302a;否则,结束当前流程。
步骤302a、封装认证序列号TLV,并在该TLV中填入当前系统最新的认证序列号值。
步骤303a、将报文中的digest字段全部清0,并使用有效发送key调用MD5加密算法对待发送报文进行加密,生成一个长度为16字节的摘要信息。
步骤304a、将有效发送keyID填充到报文的keyIdentifier字段,并将上述生成的摘要信息拷贝到报文digest字段中,并发送报文。
请参见图3B,为本发明实施例提供的一种NTP认证报文的接收流程示意图,如图3B所示,该NTP认证报文的接收流程可以包括以下步骤:
步骤301a、接收NTP认证报文,并获取该NTP认证报文中携带的keyID。
步骤302b、根据该keyID查询对应的有效接收key,若存在对应的有效接收key,则转至步骤303b;否则,丢弃报文,结束当前流程。
步骤303c、将报文中携带的摘要信息拷贝到临时缓冲区保存,并将报文中digest字段全部清0。
步骤304c、使用keyID对应的有效接收key,调用MD5加密算法对收到的整个NTP认证报文进行加密计算,得到摘要信息。
步骤305c、判断计算得到的摘要信息与报文携带的摘要信息是否相同;若是,转至步骤306c;否则,丢弃报文,并结束当前流程。
步骤306c、判断是否首次接收到发送方设备发送的NTP认证报文。若是,转至步骤307c;否则,转至步骤308c。
步骤307c、记录接收到的NTP认证报文中携带的认证序列号,并处理该NTP认证报文。
步骤308c、判断接收到的NTP认证报文中携带的认证序列号是否大于自身记录的报文发送方设备对应的认证序列号;若是,转至步骤309c;否则,丢弃报文,并结束当前流程。
步骤309c、将自身记录的报文发送方设备对应的认证序列号更新为接收到的NTP认证报文中携带的认证序列号,并处理该NTP认证报文。
可见,在图3A和图3B所示的流程中,通过在发送的NTP认证报文中携带递增的认证序列号,使对端设备在接收到NTP认证报文时,可以根据NTP认证报文中携带的认证序列号识别NTP认证报文是否为合法报文,提高了NTP报文交互的安全性,有效地避免了报文回放攻击。
通过以上描述可以看出,在本发明实施例提供的技术方案中,当需要发送第一NTP认证报文时,确定该第一NTP认证报文对应的认证序列号,其中,该认证序列号为递增序列号,并将该认证序列号携带在第一NTP认证报文中发送给对端设备,以使对端设备根据第一NTP认证报文中携带的认证序列号判断接收到的NTP认证报文是否为合法报文,提高了NTP报文交互的安全性,有效地避免了报文回放攻击。
请参见图4,为本发明实施例提供的一种NTP报文安全认证装置的结构示意图,其中,所述装置可以应用于上述方法实施例中的NTP时间提供方设备或NTP时间同步方设备中,如图4所示,该NTP报文安全认证装置可以包括:
确定单元410,用于当需要发送第一NTP认证报文时,确定所述第一NTP认证报文对应的认证序列号;其中,所述认证序列号为递增序列号;
发送单元420,用于将所述认证序列号携带在所述第一NTP认证报文中发送给对端设备,所述认证序列号用于所述对端设备判断所接收到的NTP认证报文是否为合法报文。
请一并参阅图5,图5为本发明实施例提供的另一种NTP报文安全认证装置的结构示意图,如图5所示,在图4所示装置的基础上,图5所示的装置还可以包括:
判断单元430,用于当所述装置接收到第二NTP认证报文,且确定所述第二NTP认证报文中携带有认证序列号时,判断是否为首次接收到发送方设备发送的NTP认证报文;
记录单元440,用于若所述判断单元430判断为是,则记录所述第二NTP认证报文中携带的认证序列号;
处理单元450,用于若所述判断单元430判断为是,则处理所述第二NTP认证报文;
比较单元460,用于若所述判断单元430判断为否,则比较所述第二NTP认证报文中携带的认证序列号和自身记录的发送方设备对应的认证序列号;
所述记录单元440,还用于若所述第二NTP认证报文中携带的认证序列号大于自身记录的发送方设备对应的认证序列号,则将自身记录的发送方设备对应的认证序列号更新为所述第二NTP认证报文中携带的认证序列号;
所述处理单元450,还用于若所述第二NTP认证报文中携带的认证序列号大于自身记录的发送方设备对应的认证序列号,则处理所述第二NTP认证报文;否则,丢弃所述第二NTP认证报文。
在可选实施例中,所述处理单元450,还可以用于当所述装置接收到第三NTP认证报文,且确定所述第三NTP认证报文中未携带有认证序列号时,丢弃所述第三NTP认证报文。
在可选实施例中,所述认证序列号为64位序列号,所述64位序列号包括高32位和低32位两部分;其中,当本地NTP进程或系统发生重启时,所述认证序列号的高32位往上递增。
请一并参阅图6,图6为本发明实施例提供的另一种NTP报文安全认证装置的结构示意图,如图6所示,在图4所示装置的基础上,图6所示的装置还可以包括:
存储单元470,用于当所述认证序列号的高32位由于低32位溢出、或本地NTP进程或系统发生重启往上递增时,将变化后的认证序列号保存至本地非易失存储介质。
在可选实施例中,所述发送单元420,具体用于通过NTP组播或广播的方式将携带有所述认证序列号的第一NTP认证报文发送给对端设备。
上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
由上述实施例可见,当需要发送第一NTP认证报文时,确定该第一NTP认证报文对应的认证序列号,其中,该认证序列号为递增序列号,并将该认证序列号携带在第一NTP认证报文中发送给对端设备,以使对端设备根据第一NTP认证报文中携带的认证序列号判断接收到的NTP认证报文是否为合法报文,提高了NTP报文交互的安全性,有效地避免了报文回放攻击。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本申请旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本发明的真正范围和精神由下面的权利要求指出。
应当理解的是,本发明并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求来限制。
Claims (10)
1.一种网络时间协议NTP报文安全认证方法,其特征在于,包括:
当需要发送第一NTP认证报文时,确定所述第一NTP认证报文对应的认证序列号;其中,所述认证序列号为递增序列号;
将所述认证序列号携带在所述第一NTP认证报文中发送给对端设备,所述认证序列号用于所述对端设备判断所接收到的NTP认证报文是否为合法报文。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
当接收到第二NTP认证报文,且确定所述第二NTP认证报文中携带有认证序列号时,判断是否为首次接收到发送方设备发送的NTP认证报文;
若是,则记录所述第二NTP认证报文中携带的认证序列号,并处理所述第二NTP认证报文;
否则,比较所述第二NTP认证报文中携带的认证序列号和自身记录的发送方设备对应的认证序列号;
若所述第二NTP认证报文中携带的认证序列号大于自身记录的发送方设备对应的认证序列号,则将自身记录的发送方设备对应的认证序列号更新为所述第二NTP认证报文中携带的认证序列号,并处理所述第二NTP认证报文;否则,丢弃所述第二NTP认证报文。
3.根据权利要求1所述的方法,其特征在于,当接收到第三NTP认证报文,且确定所述第三NTP认证报文中未携带有认证序列号时,丢弃所述第三NTP认证报文。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述认证序列号为64位序列号,所述64位序列号包括高32位和低32位两部分;其中,当本地NTP进程或系统发生重启时,所述认证序列号的高32位往上递增;
当所述认证序列号的高32位由于低32位溢出、或本地NTP进程或系统发生重启往上递增时,将变化后的认证序列号保存至本地非易失存储介质。
5.根据权利要求1-3任一项所述的方法,其特征在于,所述将所述认证序列号携带在所述第一NTP认证报文中发送给对端设备,包括:
通过NTP组播或广播的方式将携带有所述认证序列号的第一NTP认证报文发送给对端设备。
6.一种网络时间协议NTP报文安全认证装置,其特征在于,包括:
确定单元,用于当需要发送第一NTP认证报文时,确定所述第一NTP认证报文对应的认证序列号;其中,所述认证序列号为递增序列号;
发送单元,用于将所述认证序列号携带在所述第一NTP认证报文中发送给对端设备,所述认证序列号用于所述对端设备判断所接收到的NTP认证报文是否为合法报文。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
判断单元,用于当所述装置接收到第二NTP认证报文,且确定所述第二NTP认证报文中携带有认证序列号时,判断是否为首次接收到发送方设备发送的NTP认证报文;
记录单元,用于若所述判断单元判断为是,则记录所述第二NTP认证报文中携带的认证序列号;
处理单元,用于若所述判断单元判断为是,则处理所述第二NTP认证报文;
比较单元,用于若所述判断单元判断为否,则比较所述第二NTP认证报文中携带的认证序列号和自身记录的发送方设备对应的认证序列号;
所述记录单元,还用于若所述第二NTP认证报文中携带的认证序列号大于自身记录的发送方设备对应的认证序列号,则将自身记录的发送方设备对应的认证序列号更新为所述第二NTP认证报文中携带的认证序列号;
所述处理单元,还用于若所述第二NTP认证报文中携带的认证序列号大于自身记录的发送方设备对应的认证序列号,则处理所述第二NTP认证报文;否则,丢弃所述第二NTP认证报文。
8.根据权利要求7所述的装置,其特征在于,
所述处理单元,还用于当所述装置接收到第三NTP认证报文,且确定所述第三NTP认证报文中未携带有认证序列号时,丢弃所述第三NTP认证报文。
9.根据权利要求6-8任一项所述的装置,其特征在于,所述认证序列号为64位序列号,所述64位序列号包括高32位和低32位两部分;其中,当本地NTP进程或系统发生重启时,所述认证序列号的高32位往上递增;
所述装置还包括:
存储单元,用于当所述认证序列号的高32位由于低32位溢出、或本地NTP进程或系统发生重启往上递增时,将变化后的认证序列号保存至本地非易失存储介质。
10.根据权利要求6-8任一项所述的装置,其特征在于,
所述发送单元,具体用于通过NTP组播或广播的方式将携带有所述认证序列号的第一NTP认证报文发送给对端设备。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610209747.7A CN105791307B (zh) | 2016-04-06 | 2016-04-06 | 网络时间协议报文安全认证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610209747.7A CN105791307B (zh) | 2016-04-06 | 2016-04-06 | 网络时间协议报文安全认证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105791307A true CN105791307A (zh) | 2016-07-20 |
| CN105791307B CN105791307B (zh) | 2019-09-06 |
Family
ID=56395772
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610209747.7A Active CN105791307B (zh) | 2016-04-06 | 2016-04-06 | 网络时间协议报文安全认证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105791307B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107580076A (zh) * | 2017-11-07 | 2018-01-12 | 山东网智物联网科技有限公司 | 物联网通信方法及装置 |
| CN107786521A (zh) * | 2016-08-30 | 2018-03-09 | 中兴通讯股份有限公司 | 防御分布式反射拒绝服务攻击的方法、装置及交换机 |
| CN107991643A (zh) * | 2017-11-14 | 2018-05-04 | 国网福建省电力有限公司 | 一种电能表时钟校正方法 |
| CN112134884A (zh) * | 2020-09-23 | 2020-12-25 | 普联技术有限公司 | 一种报文序列号的更新方法 |
| CN112615870A (zh) * | 2020-12-22 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种基于ntp报文数据的攻击行为检测方法及装置 |
| CN113055346A (zh) * | 2019-12-27 | 2021-06-29 | 观致汽车有限公司 | 车辆及其通信控制方法和通信控制装置 |
| CN113162928A (zh) * | 2021-04-19 | 2021-07-23 | 广州小鹏汽车科技有限公司 | 通信方法、装置、ecu、车辆及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242274A (zh) * | 2005-06-24 | 2008-08-13 | 华为技术有限公司 | 保证消息序列号不重复、防止重放攻击的方法及移动终端 |
| CN102594553A (zh) * | 2011-01-12 | 2012-07-18 | 上海贝尔股份有限公司 | Ptp协议密钥分配方法及装置 |
| CN104038505A (zh) * | 2014-06-24 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种IPSec防重放的方法和装置 |
| US20150271675A1 (en) * | 2014-03-19 | 2015-09-24 | Qualcomm Incorporated | Prevention of replay attack in long term evolution device-to-device discovery |
-
2016
- 2016-04-06 CN CN201610209747.7A patent/CN105791307B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101242274A (zh) * | 2005-06-24 | 2008-08-13 | 华为技术有限公司 | 保证消息序列号不重复、防止重放攻击的方法及移动终端 |
| CN102594553A (zh) * | 2011-01-12 | 2012-07-18 | 上海贝尔股份有限公司 | Ptp协议密钥分配方法及装置 |
| US20150271675A1 (en) * | 2014-03-19 | 2015-09-24 | Qualcomm Incorporated | Prevention of replay attack in long term evolution device-to-device discovery |
| CN104038505A (zh) * | 2014-06-24 | 2014-09-10 | 杭州华三通信技术有限公司 | 一种IPSec防重放的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| XIAOXIAO890412: "NTP的安全机制", 《HTTPS://WENKU.BAIDU.COM/VIEW/07C005C28BD63186BCEBBC09.HTML》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107786521A (zh) * | 2016-08-30 | 2018-03-09 | 中兴通讯股份有限公司 | 防御分布式反射拒绝服务攻击的方法、装置及交换机 |
| CN107786521B (zh) * | 2016-08-30 | 2021-10-19 | 中兴通讯股份有限公司 | 防御分布式反射拒绝服务攻击的方法、装置及交换机 |
| CN107580076A (zh) * | 2017-11-07 | 2018-01-12 | 山东网智物联网科技有限公司 | 物联网通信方法及装置 |
| CN107991643A (zh) * | 2017-11-14 | 2018-05-04 | 国网福建省电力有限公司 | 一种电能表时钟校正方法 |
| CN113055346A (zh) * | 2019-12-27 | 2021-06-29 | 观致汽车有限公司 | 车辆及其通信控制方法和通信控制装置 |
| CN112134884A (zh) * | 2020-09-23 | 2020-12-25 | 普联技术有限公司 | 一种报文序列号的更新方法 |
| CN112615870A (zh) * | 2020-12-22 | 2021-04-06 | 北京天融信网络安全技术有限公司 | 一种基于ntp报文数据的攻击行为检测方法及装置 |
| CN113162928A (zh) * | 2021-04-19 | 2021-07-23 | 广州小鹏汽车科技有限公司 | 通信方法、装置、ecu、车辆及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105791307B (zh) | 2019-09-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105791307A (zh) | 网络时间协议报文安全认证方法及装置 | |
| KR100431231B1 (ko) | Tcp syn 플러딩 공격을 좌절시키기 위한 방법 및시스템 | |
| US10284520B2 (en) | Mitigation against domain name system (DNS) amplification attack | |
| US11303431B2 (en) | Method and system for performing SSL handshake | |
| CN101404576B (zh) | 一种网络资源查询方法和系统 | |
| US20060156391A1 (en) | Method and apparatus providing policy-based revocation of network security credentials | |
| US10193907B2 (en) | Intrusion detection to prevent impersonation attacks in computer networks | |
| KR20140023991A (ko) | 머신-대-머신 노드 소거 절차 | |
| US20190166042A1 (en) | Method for data transmitting, centralized controller, forwarding plane device and communication apparatus | |
| CN107135266B (zh) | Http代理框架安全数据传输方法 | |
| US10586065B2 (en) | Method for secure data management in a computer network | |
| CN110740038B (zh) | 区块链及其通信方法、网关、通信系统和存储介质 | |
| US10911581B2 (en) | Packet parsing method and device | |
| US20200336523A1 (en) | Apparatus for monitoring multicast group | |
| CN107104919B (zh) | 防火墙设备、流控制传输协议sctp报文的处理方法 | |
| CN105099686B (zh) | 数据同步的方法、服务器、终端及系统 | |
| CN111212117A (zh) | 一种远程交互的方法和装置 | |
| CN112073401B (zh) | 一种基于HTTPS协议web应用自动更新证书的方法、程序及介质 | |
| US10158486B1 (en) | Synchronization of key management services with cloud services | |
| CN105743649A (zh) | 一种用户签名、解用户签名的方法、装置和系统 | |
| CN112199704A (zh) | 一种基于服务端对web数据进行动态加解密处理的方法 | |
| US7392382B1 (en) | Method and apparatus for verifying data timeliness with time-based derived cryptographic keys | |
| CN111211958B (zh) | 用于提供vpn服务的方法及装置、区块链网络及节点设备 | |
| CN110535834B (zh) | 一种网络安全IPsec的加速处理方法及系统 | |
| CN113949730A (zh) | 一种设备的通信方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant after: Xinhua three Technology Co., Ltd. Address before: 310052 Binjiang District Changhe Road, Zhejiang, China, No. 466, No. Applicant before: Huasan Communication Technology Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |