YD/T 6366-2025 网络时间协议(NTP)的网络时间安全(NTS)技术要求(可搜索).pdf

YD

中华人民共和国通信行业标准

YD/T6366-2025

网络时间协议（NTP）的网络时间安全（NTS） 技术要求

Technicalspecificationofnetworktimesecurityforthenetworktime protocol

中华人民共和国工业和信息化部 发布

目次

前言... .I引言.. ⅢI1范围 12规范性引用文件.3术语和定义4缩略语...5协议概述6用于NTS的TLS配置文件 37NTS密钥建立协议7.1概述7.2NTS-KE记录类型.7.3重试时间间隔7.4密钥提取8NTPv4的NTS扩展字段8.1 密钥提取（针对NTPv4）8.2 数据包结构概述..8.3唯一标识符扩展字段 88.4NTS cookie扩展字段 88.5NTScookie占位符扩展字段 88.6NTS认证和加密扩展字段. 68.7协议细节 6附录A（资料性）构建NTS Cookies的建议方法 12

前言

本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别这些专利的责任.

本文件由中国通信标准化协会提出并归口.

份有限公司、杭州电子科技大学信息工程学院、国网浙江省电力有限公司信息通信分公司、中国电信集 本文件主要起草单位：之江实验室、中国信息通信研究院、新华三技术有限公司、浙江大华技术股团有限公司.

本文件主要起草人：李振廷、陈倩、孔维生、陈页、赵峰、邹涛、陈平、毛冬、徐深超、万晓兰、时晓厚.

引言

当前许多计算机使用网络时间协议（NTP）通过互联网来同步系统时钟.NTP是少数几个仍在普遍使用的不安全的互联网协议之一.攻击者如果能够观察到客户端和服务器之间的网络流量，就可以向客户端提供虚假的数据，并根据客户端的实现和配置，强迫其将系统时钟设置为任何时间和日期.网络时间安全（NTS）是-种通过使用TLS（Transport Layer Security）和 AEAD（Authenticated Encryption withAssociatedData）机制对NTP的客户端/服务器模式来提供加密安全性.它使客户端能够验证它们从服务器接收的数据包在传输过程中有没有被修改.因此NTS对保护NTP的安全性具有重要作用.

网络时间协议（NTP）的网络时间安全（NTS）技术要求

1范围

本文件规定了在网络时间协议（NTP）的客户端/服务器模式下的网络时间安全（NTS）技术要求，包括NTS密钥建立协议、NTS扩展字段等.

本文件适用于IPv6网络的时钟同步.

2规范性引用文件

下列文件中的内容通过文中的规范性引用面构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包括修改单）适用于本文件.

IETF RFC 4086安全随机性要求（Randomness Requirements forSecurity）

IETF RFC 4291 IPv6寻址体系结构（IP Version 6 Addressing Architecture）

IETF RFC 5077无服务器端状态的传输层安全（TLS）会话恢复（TransporLayer Sccurity（TLS）Session Resumption without Server-Side State)

IETFRFC5280互联网X.509公钥基础结构证书和证书吊销列表（CRL）配置文件（IntermetX.509Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile)

IETF RFC 5297 使用高级加密标准（AES）的合成初始化向量（SIV）认证加密（Synthetic InitializationVector (SIV) Authenticated Encryption Using the Advanced Encryption Standard ( AES))

IETF RFC 5705 用于传输层安全（TLS）的密钥材料导出器（Keying Material Exporters for TransportLayer Security (TLS))

IETF RFC 5869基于 HMAC 的提取和扩展密钥推导函数（HKDF)HMAC-based Extract-and-ExpandKey Derivation Function (HKDF))

IETFRFC5905网络时间协议第4版：协议和算法规范（NetworkTimeProtocol Version 4:Protocoland Algorithms Specification)

IETF RFC 6125 ( Representation and Verification of Domain-Based Application Service Identity withinIntermet Public Key Infrastructure Using X.509 ( PKIX ) Certificates in the Context of Transport Layer Security(TLS))

IETFRFC7301在传输层安全（TLS）环境中使用X.509（PKIX）证书在互联网公钥基础设施中表示和验证基于域的应用服务身份（Transport Layer Security（TLS）Application-Layer Protocol NegotiationExtension)

IETFRFC7525安全使用传输层安全（TLS）和数据报传输层安全性（DTLS）的建议（Remendations