NTP網(wǎng)絡(luò)授時(shí)服務(wù)器原理和風(fēng)險(xiǎn)控制方案

1、授時(shí)原理：

NTP C/S授時(shí)原理

網(wǎng)絡(luò)時(shí)延:

delay=(T4-T2)+(T3-T1)

客戶端計(jì)算機(jī)時(shí)間偏差：

offset = ((T3-T1)-(T4-T2) )/2

客戶機(jī)修正時(shí)間為T+offset

（Device A為客戶端，Device B為NTP服務(wù)器）

Device A發(fā)送一個(gè)NTP報(bào)文給Device B，該報(bào)文帶有它離開Device A時(shí)的時(shí)間戳，該時(shí)間戳為10:00:00am（T1）。

當(dāng)此NTP報(bào)文到達(dá)Device B時(shí)，Device B加上自己的時(shí)間戳，該時(shí)間戳為11:00:01am（T2）。

當(dāng)此NTP報(bào)文離開Device B時(shí)，Device B再加上自己的時(shí)間戳，該時(shí)間戳為11:00:02am（T3）。

當(dāng)Device A接收到該響應(yīng)報(bào)文時(shí)，Device A的本地時(shí)間為10:00:03am（T4）。

至此，Device A已經(jīng)擁有足夠的信息來計(jì)算兩個(gè)重要的參數(shù)：

NTP報(bào)文的往返時(shí)延Delay=（T4-T1）-（T3-T2）=2秒。

Device A相對(duì)Device B的時(shí)間差offset=（（T2-T1）+（T3-T4））/2=1小時(shí)。

2、風(fēng)險(xiǎn)控制策略

2.1、“衛(wèi)星欺騙”的風(fēng)險(xiǎn)規(guī)避

授時(shí)服務(wù)器參考源來源衛(wèi)星，在緊張的國(guó)際局勢(shì)下存在衛(wèi)星欺騙的可能性，目前未出現(xiàn)。 應(yīng)對(duì)措施——斷開本地衛(wèi)星天線，采取銣鐘授時(shí)，定期同步衛(wèi)星時(shí)間。

2.2、 操作不當(dāng)問題

NTP在實(shí)施時(shí)，因?yàn)槲臋n或者操作不當(dāng)，會(huì)引起時(shí)間發(fā)生大的跳變。

可選擇在系統(tǒng)維護(hù)時(shí)間進(jìn)行操作，系統(tǒng)上線時(shí)可選擇先次要設(shè)備在主要設(shè)備。

操作人員要熟悉操作步驟，理解每步含義。

2.3、設(shè)備故障問題

授時(shí)服務(wù)器發(fā)生硬件故障，使得NTP服務(wù)器無(wú)法提供NTP服務(wù)及網(wǎng)絡(luò)通信故障。

應(yīng)對(duì)措施

（1）在局域網(wǎng)中部署多臺(tái)時(shí)鐘服務(wù)器，規(guī)避單點(diǎn)故障；

（2）定期巡檢授時(shí)服務(wù)器

2.4、惡意攻擊問題

惡意攻擊者從外部網(wǎng)絡(luò)通過NTP攻擊內(nèi)網(wǎng)服務(wù)器

應(yīng)對(duì)措施

（1）將服務(wù)器部署內(nèi)部網(wǎng)絡(luò)核心區(qū)，只對(duì)內(nèi)網(wǎng)設(shè)備授時(shí)。

外網(wǎng)通過邊界二級(jí)服務(wù)器提供時(shí)間；

（2）增強(qiáng)網(wǎng)絡(luò)防護(hù)功能，對(duì)網(wǎng)段數(shù)據(jù)包進(jìn)行過濾和限制