謝彥民

[摘要]隨著計算機技術(shù)以及網(wǎng)絡(luò)通信技術(shù)的快速發(fā)展，網(wǎng)絡(luò)環(huán)境中各節(jié)點的時鐘同步問題變得越來越重要。介紹時鐘同步的方法及其相關(guān)協(xié)議，并對其安全性進行分析和探討。

[關(guān)鍵詞]網(wǎng)絡(luò)通信技術(shù)同步相關(guān)協(xié)議

中圖分類號：TP3文獻標識碼：A文章編號：1 671—7597(2009)1010076—01

隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，特別是Internet與Intrauet的普及，管理信息系統(tǒng)已經(jīng)步入基于網(wǎng)絡(luò)系統(tǒng)的分布式環(huán)境。要使分布在各個計算機中的應(yīng)用程序相互協(xié)調(diào)、共同合作完成一項任務(wù)，就需要這些系統(tǒng)之間有一個統(tǒng)一的、標準的時間。當(dāng)前人們活動的很多領(lǐng)域的兩絡(luò)系統(tǒng)如金融業(yè)(證券、銀行)、廣電業(yè)(廣播、電視)、交通業(yè)(火車、飛機)、電子商務(wù)(交易、認證、加密)、電信(計費、IP電話、網(wǎng)間結(jié)算)、大型分布式商業(yè)數(shù)據(jù)庫等需要在大范圍保持計算機間的時間同步和時間準確。所以，網(wǎng)絡(luò)時間同步技術(shù)是當(dāng)前網(wǎng)絡(luò)應(yīng)用系統(tǒng)所需要的一項關(guān)鍵性技術(shù)。

一、時鐘同步的方法概述

時間同步是很多基于網(wǎng)絡(luò)的關(guān)鍵應(yīng)用的基礎(chǔ)。時鐘同步包括邏輯時鐘同步和物理時鐘同步。邏輯時鐘同步是指，在分布式系統(tǒng)中，所有進程在事件發(fā)生的順序上要完全一致，而時序上沒有要求，即時間上并不需要完全一致。物理時鐘同步包括外同步和內(nèi)同步。外同步是通過某種算法，使得系統(tǒng)內(nèi)的時鐘與系統(tǒng)外的某個標準時鐘相一致。內(nèi)同步則是實現(xiàn)系統(tǒng)內(nèi)時鐘間的相互偏差不超過一個既定的范圍。絕對物理時鐘同步方法一般有三種硬件同步方法、軟件同步方法和分層式混合同步方法。

(一)硬件同步方法

硬件同步有兩種一種是借助于接收機或接收機來實現(xiàn)。網(wǎng)絡(luò)中每個節(jié)點各自引入接收機或接收機。第二種是各網(wǎng)絡(luò)節(jié)點都聯(lián)入專用的時鐘信號線，進行時鐘同步。硬件同步法精度很高，但成本很高、操作不便。適用于小規(guī)模網(wǎng)絡(luò)系統(tǒng)，在大規(guī)模分布式網(wǎng)絡(luò)系統(tǒng)中完全采用硬件同步方法是不現(xiàn)實的。

(二)軟件同步方法

完全利用軟件。通過時鐘同步算法的處理完成分布式系統(tǒng)中各節(jié)點的時鐘同步。軟件同步法一般涉及時間信息包在網(wǎng)絡(luò)中要同步的節(jié)點間的傳輸，因此軟件同步的缺點是同步精度與網(wǎng)絡(luò)延遲有關(guān)，對于分布在廣域網(wǎng)上的大型分布式系統(tǒng)可能不能保證同步精度。

(三)分層式混合同步方法

將大規(guī)模分布式系統(tǒng)的節(jié)點網(wǎng)絡(luò)劃分為多個網(wǎng)段。在每個網(wǎng)段設(shè)置一個節(jié)點為時間服務(wù)節(jié)點，在該節(jié)點上引入接收機或接收機及其相應(yīng)的時鐘接口設(shè)備，實現(xiàn)不同網(wǎng)段的時鐘同步。然后，在每個網(wǎng)段內(nèi)部通過軟件同步方法使本網(wǎng)段其它節(jié)點的時鐘與本網(wǎng)段時間服務(wù)節(jié)點的時鐘同步，從而實現(xiàn)整個分布式網(wǎng)絡(luò)的時鐘同步。

二、網(wǎng)絡(luò)時間協(xié)議

網(wǎng)絡(luò)時間協(xié)議(NTP)，是目前互聯(lián)網(wǎng)中應(yīng)用非常廣泛的時間同步協(xié)議。NTP協(xié)議是TCP／IP協(xié)議簇的一部分，是運行在應(yīng)用層協(xié)議。它是由時間協(xié)議(Time Protocol、Timestamp Message)及網(wǎng)際協(xié)議時間選項(IP TimeIP協(xié)議和UDP協(xié)議之上的ICMP時間戳消息(ICMP Option)發(fā)展而來的。

(一)網(wǎng)絡(luò)時問服務(wù)的實現(xiàn)方式

網(wǎng)絡(luò)時間服務(wù)的實現(xiàn)方式有以下幾種方法：

無線時鐘(wireless clock)：服務(wù)器系統(tǒng)可以通過串口連接一個無線時鐘。無線時鐘接收GPS全球衛(wèi)星定位系統(tǒng))的衛(wèi)星發(fā)射的信號來決定當(dāng)前時間。無線時鐘是一個非常精確的時間源，但是需要花一定的費用。

時間服務(wù)器：可以使用網(wǎng)絡(luò)中NTP時間服務(wù)器，通過這個服務(wù)器來同步網(wǎng)絡(luò)中的系統(tǒng)的時鐘。在德拉瓦大學(xué)的網(wǎng)站上，尋找到這個鏈接http：／／www.eeeis.udel，)edu／)mills／ntp／servers.htrnl，就可以找到國外大多數(shù)的一級時間服務(wù)器以及訪問所需要的IP或域名地址。此方式受網(wǎng)絡(luò)狀況的影響很大。

局域網(wǎng)內(nèi)的同步：如果只是需要在本地局域網(wǎng)內(nèi)進行系統(tǒng)間的時鐘同步，那么就可以使用局域網(wǎng)中任何一個系統(tǒng)的時鐘。當(dāng)然，你需要選擇局域網(wǎng)中的某個節(jié)點的時鐘作為“權(quán)威的”的時間源(即領(lǐng)導(dǎo))，然后其它的節(jié)點就只需要與這個時間源進行時間同步即可。使用這種方式，所有的節(jié)點都會使用一個公共的系統(tǒng)時鐘，但是不需要和局域網(wǎng)外的系統(tǒng)進行時鐘同步。如果一個系統(tǒng)在一個局域網(wǎng)的內(nèi)部，同時又不能使用無線時鐘，這種方式是最好的選擇。對于網(wǎng)絡(luò)時間協(xié)議，在時間同步過程中每個需要同步的本地時鐘(客戶端)都與多個服務(wù)器連接，本地時鐘通過過濾判定最佳的同步路徑和服務(wù)器源。當(dāng)客戶端與某個服務(wù)器長時間失去信息交換，那么客戶端會在冗余的服務(wù)器中進行查詢，然后選出當(dāng)時的最優(yōu)同步路徑和時鐘源。

(二)NTP協(xié)議的優(yōu)勢

作為現(xiàn)今Internet上最流行的，也是使用最為廣泛的時間同步標準，NTP協(xié)議設(shè)計主要有以下幾個優(yōu)勢：

1，可提供精準的時間

NTP使用協(xié)調(diào)世界時間UTC作為時鐘參考，時間信息的來源可以是原子鐘、天文臺或是GPS衛(wèi)星，同時也可以通過軟件方法從Internet上獲取。因此可以提供準確且穩(wěn)定可靠的時鐘源。

2，時鐘服務(wù)器提供分層服務(wù)

NTP服務(wù)器具有分層服務(wù)器，分為0-15層，其中Stratum 0為GPS等UTC時間源，Stratum 1是一級服務(wù)器，直接從GPS等設(shè)備獲取時間。隨著層數(shù)的增加，服務(wù)器等級降低，能提供的時鐘同步精度也降低。在現(xiàn)實的網(wǎng)絡(luò)世界中，對時鐘精度的要求不盡相同，并不是至高精度方至好，因此采用分層的方法定義時鐘準確性，可以讓人們根據(jù)自己的精度需要選擇合適的服務(wù)器，從而迅速同步網(wǎng)絡(luò)中各臺設(shè)備的時間。

3，采用認證機制來實現(xiàn)抗干擾和避免惡意破壞

NTP認證機制支持訪問控制和MDS驗證。為防止對時間服務(wù)器的惡意破壞，檢查來對時的信息是否是真正來自所宣稱的服務(wù)器并檢查信息的返回路徑，確保提供對時信息的服務(wù)器不是偽裝的源，從而防止惡意或意外的干擾。

三、NTP的安全性分析

NTP的安全需求要遠高于其他的分布式服務(wù)。首先，認證機制和時間同步機制的操作無法避免的纏繞。一方面可靠的時間同步要有密鑰：另一方面密鑰只有在指定的時間間隔上才一有效，而時間間隔只有在相關(guān)的服務(wù)器和客戶端與UTC可靠的同步時才能生效。另外，NTP子網(wǎng)是天然分層的，因而時間和可靠流是從根部的主服務(wù)器通過二級服務(wù)器流到葉節(jié)點上的客戶端。

只有當(dāng)?shù)街鞣?wù)器路徑上的所有服務(wù)器都是均屬可信時，客戶才一可以宣稱從屬應(yīng)用是可靠的。在NTP里面，每個服務(wù)器驗證次低一層服務(wù)器并可通過歸納驗證最低層的服務(wù)器(主服務(wù)器)。

由可信的概念，引申出了可信聯(lián)系?？尚怕?lián)系指的是如果服務(wù)器的證書和身份通過了校驗，那么聯(lián)系就是可信的。雖然如此客戶與可信源同步意味著系統(tǒng)時鐘使用了一個或幾個可信聯(lián)系的時間值進行重置，并且遵從NTP分洪(mitigation)算法。當(dāng)證書機構(gòu)簽署證書請求時必須滿足可信要求，而證書本身可以存儲在公共目錄里，并且可以在不安全的網(wǎng)絡(luò)路徑進行檢索。在安全模型里，最基本的假設(shè)是網(wǎng)絡(luò)上傳輸?shù)陌赡鼙黄谕慕邮照咭酝獾娜私孬@：截獲者以各種方式重構(gòu)包，部分或全部重放包，然后再繼續(xù)傳輸或者給以響應(yīng)。這些包可能會使得客戶認為可信或者得出錯誤的信息，從而使得協(xié)議操作失敗、網(wǎng)絡(luò)服務(wù)中斷或者寶貴的網(wǎng)絡(luò)和處理器資源被消耗。

對于NTP來說，入侵者的理論目標有：植入錯誤的時間值；破壞協(xié)議：用偽造的包來堵塞網(wǎng)絡(luò)、服務(wù)器和客戶，從而耗盡資源并否定對合法應(yīng)用的服務(wù)。對于這些可能存在的入侵，NTP建立了大量的防護機制-最基本的防護機制是時戳交換機制，它先天就能防止欺騙和重播攻擊。加強的時鐘過濾、選擇和群集算法被用于抵抗拜占庭式的惡意攻擊。當(dāng)沒有特別的指定防御頑固入侵者時，這些算法和相應(yīng)的檢測很好的防止了不當(dāng)?shù)牟僮鳌１M管如此，這些機制并沒有為客戶安全的鑒別和驗證服務(wù)器。