vor*_*aq7 13
我的建议是信任 NTP——它绝不是安全的,但我不知道任何主要的攻击媒介,它和你选择的对等点一样安全(它们与你的 DNS 解析和路由一样安全桌子)。
如果您需要考虑其他替代方案,这里有一些(括号中的准确性/安全性):
您自己的原子钟作为 PPS 源。(超准确。该死的几乎不可欺骗)
(这些可在 eBay 上获得。设置并非不可能 - 有很多时间书呆子拥有它们,您的 NTP 守护程序可以将它们用作时间源。您将需要处理闰秒.)
一个 GPS 接收器。(超级准确。很难欺骗)。
(GPS信号CAN覆盖/欺骗,但是这是一个专门攻击将需要一些努力来进行。GPS系统的完全失效的可能性不大,因为是一个完整的关机)。
NTP (非常准确。通过一些努力即可欺骗)
(有人通过您的时间源攻击您的可能性非常小,如果您针对多个池服务器配置 NTP 守护程序,任何异常值或假代码都将被丢弃。
请注意,这假设您至少信任您的 DNS,只要您可以删除它。)
作为 PPS 源的稳定石英振荡器。(不是很准确。该死的几乎不可欺骗)
(取决于振荡器,这可能不会比您计算机的时钟更准确。预计必须定期更正时间,并且您需要处理闰秒。)
您计算机的内部时钟。(比沙漏更准确。该死的几乎不可欺骗。)
(对于任何关心时间的现代应用程序,这几乎无法使用。)
NTP 不是一个安全的协议(嗯,有一个身份验证机制,但它没有被广泛使用,而且 MD5 身份验证也不是非常安全)——不管你在和什么互联网时间服务器交谈,你真的不知道你在和他们说话。撇开池的可信度不谈(我不喜欢它们,因为它们的层到处都是,NIST 有很好的 Internet NTP 资源),Internet NTP 不符合您的要求。
本地网络上的硬件时钟确实是您可以确保您的连接不会被拦截的唯一方法 - 即便如此,前提是您的局域网的安全性能够向您保证。
之前的答案之一提到了 MD5 身份验证,但没有提到 NTP4 中可用的公钥身份验证。许多国家实验室提供启用 md5/autokey 的时间服务。
我不明白你的威胁模型是什么;如果有人能够并愿意欺骗您的 GPS 信号,那么您的问题就会比现在更严重。话虽如此,您可以使用 GPS 或 CDMA 组合本地参考时钟,然后使用来自一些提供认证时间服务的国家实验室的认证时间来增强该时间信号。这样,如果您的 GPS 信号被欺骗,您仍然可以依靠国家实验室的认证时间。
全球定位系统:
只需 40 美元和一些焊接,您就可以使用 Sure Electronics GPS 评估板设置本地 GPS+PPS 时间源。有时,如果您的数据中心无法接收 GPS 信号,您可以在 ebay 上找到相当便宜的 CDMA 参考时钟。
经过身份验证的 NTP 服务:
NIST、NRC 和 INRIM(美国、加拿大和意大利的国家实验室)提供 MD5 认证时间服务。与 NIST 和 INRIM 不同,CRC md5 服务不是免费的。OBSPM 和 INRIM(法国和意大利国家实验室)提供 Autokey 认证时间服务,他们免费提供这项服务。肯定还有其他经过认证的国家实验室,但您需要在谷歌上搜索它们。
国家实验室认证时间链接:
国家标准局:
http://www.nist.gov/pml/div688/grp40/auth-ntp.cfm
核证监会:
http://www.nrc-cnrc.gc.ca/eng/services/inms/calibration-services/time-frequency.html#Authenticated
OBSPM:
http://syrte.obspm.fr/informatique/ntp_infos.php
https://syrte.obspm.fr/informatique/ntp_keys.php
内里姆:
http://www.inrim.it/ntp/auth_i.shtml
小智 5
好吧,购买带有 GPS 同步功能的 meinberg。那些不算太贵。你应该能够在某种程度上相信这一点。http://www.meinberg.de。或者只需购买一个 GPS 同步设备并将其连接到服务器。
| 归档时间: |
|
| 查看次数: |
1310 次 |
| 最近记录: |