【技术实现步骤摘要】
本申请涉及网络安全,尤其涉及一种网络时间同步系统的物理层身份认证方法及装置。
技术介绍
1、网络时间基准是现代化时间基准的主要形式之一,广泛应用于依赖统一的时间基准支撑的、以分布式、网络化为基本形态的系统中。网络时间同步是网络时间基准建立与维持的关键环节。时间同步指系统中所有时钟的钟面时达到一致的状态。网络时间同步技术以私有或公共网络作为媒介,通过待同步时钟与参考时钟之间的报文交互,使接入该同步网络的各计算机和设备的时钟同步到一个公共参考时间。由于网络环境是不安全、不可靠的,进行时间同步报文交互的时频终端也并不都是可信的,网络时间同步也成为网络时间基准建立与维持过程中最脆弱的环节。对时间同步系统实施攻击,可使目标应用系统同步到错误的时间源、降低时间同步精度或丧失时间同步状态,可干扰和破坏整个应用系统的正常运转及系统功能的正常发挥,甚至导致系统瘫痪,从而给国防军事、社会政治、经济民生等领域带来重大损失。
2、典型的网络时间同步协议包括网络时间协议(network time protocol,ntp)和精密时间协议(precision time protocol,ptp,ieee 1588)。ntp协议面向大型、动态、可变延迟分组交换网络,报文交互基于无连接的udp协议。ptp协议面向基础设施网络,网络构建过程需采用专用硬件,实现控制良好的分组交换网络。协议突破了ntp协议的时间同步精度局限,可为精密仪器设备、工业自动化及军事应用提供高精度的时间同步服务。ntp/ptp协议均在不断发展及完善之中,安全性问题近年来成为协议
3、时间源欺骗攻击,即攻击者伪装成网络中的服务器/主时钟,通过与目标客户端/从时钟之间的时间同步报文交互,控制其本地时间溯源至攻击者设定的虚假时间,该类型攻击是实施“时间欺骗”的重要手段之一。抑制时间源欺骗攻击的有效方法是在接收端对接收到的时间同步数据包进行数据源身份认证,从ntp、ptp最新发布的安全机制标准化成果来看,当前的ntp、ptp安全机制具备身份认证功能,但尚存在漏洞和局限性,并不能够完全抑制时间源欺骗攻击,主要体现在:
4、(1)对于ntp而言,根据rfc 8915,对等体模式、控制模式下,通过dtls协议提供相互身份认证功能;客户端、服务器模式下,第一阶段通过tls协议完成客户端与服务器之间的初始身份认证,第二阶段通过aead_aes_siv_cmac_256消息认证码提供报文交互期间的相互身份认证功能,其中第一阶段的身份认证仅在ntp连接建立时进行一次,第二阶段的身份认证可在连接未断开期间反复进行;广播模式下,尚未定义加密认证算法。作为最主要的备选方案的类tesla算法,对于时延攻击,存在脆弱性及安全漏洞。综上,当前ntp的身份认证机制尚存在如下问题:1)未覆盖所有工作模式。对等体模式、控制模式、客户端/服务器模式下的报文交互双方具备一对一的安全身份认证功能,而广播模式尚未定义有效的身份认证机制;2)采用了外部安全机制tls,存在与ntp协议之间的融合问题。一方面tls安全堆栈的时延及时延变化显著降低了时间同步精度。另一方面受限于效率及密钥数量,tls机制仅适用于单播,如应用于广播模式,只能提供群组级别的身份认证功能。
5、(2)对于ptp而言,ieee 1588v2.1中,定义了内部及外部两类身份认证机制:内部机制基于安全标签长度值securitytlv和报文完整性校验值icv,建议了2种密钥管理策略,其中采用gdoi的瞬时密钥共享策略仅能提供群组级别的身份认证,采用tesla的延时密钥共享策略具备数据源身份认证功能,但该策略的安全性依赖于发送端与接收端之间的时间同步,对于有针对性的时延攻击存在脆弱性;外部机制包括了所有可用的ptp协议之外的安全机制,较典型的有macsec及ipsec。但是同tls类似,ipsec机制也存在与ptp协议的融合问题,如显著降低了时间同步精度、只能提供群组级别的身份认证,并且与ptp透明时钟组件不兼容。macsec机制应用于层2,因而仅能对本地网络提供安全保护。此外,该机制基于hop-by-hop加密方法,因而要求网络中的每一个节点均是可信的。
6、根据上述ntp、ptp安全机制标准化现状,从时间源欺骗攻击抑制的角度分析,采用dtls/tls结合消息认证码的ntp单播模式(对等体模式、控制模式、客户端/服务器模式)具备时间源欺骗攻击抑制能力,但存在外部安全机制与ntp协议的融合问题;而对于ntp广播模式及ptp(其主从时钟工作模式具有内在的广播属性),目前仅有tesla算法具备数据源身份认证能力,但该算法在当前的安全机制协议框架中尚存在安全漏洞。
7、由上述分析可知,现有协议主要依靠外部安全机制及消息认证码(ntp单播)、tesla算法(ptp)抑制时间源欺骗攻击,但都存在一定的问题。本质上讲,网络时间同步协议定义数据源身份认证策略需考虑的一对主要矛盾是安全性能与复杂度,即对时间同步精度的影响。复杂度较低的消息认证码和tesla算法在对工作模式的覆盖性及安全性方面存在局限性,而基于非对称密钥的数字签名算法的安全性较高,但其高运算复杂度(比消息认证码高2-3个数量级)以及较大的处理时延及时延不确定性使得该类算法无法应用于网络时间同步系统,即目前尚无法利用该类算法解决网络时间同步数据源身份认证问题。综上,采用密码学相关技术解决时间源欺骗攻击抑制问题,将始终面临上述矛盾。
技术实现思路
1、有鉴于此,本申请实施例提供一种网络时间同步系统的物理层身份认证方法及装置,采用物理层技术解决数据源身份认证问题,覆盖ntp/ptp所有工作模式,实现安全性能与运算复杂度的合理折中,为解决网络时间同步时间源欺骗攻击抑制问题提供新的思路。本专利技术所提供的网络时间同步物理层身份认证方法,区别于数字签名技术、消息认证码技术等基于密码学的身份认证技术,其通过合法时间源发送的报文信号及非法时间源(攻击者)发送的报文信号不同的信号特征以及到达合法接收端所历经的不同的信道传输特性实现对合法报文的时间源身份认证。
2、第一方面,本申请实施例提供一种网络时间同步系统的物理层身份认证方法,网络时间同步系统包括发送端以及与所述发送端通信的多个接收端,每个所述接收端与所述发送端之间设有一条物理链路,所述物理链路用于网络时间同步报文传输,所述发送端连接有安全编码调制器,所述接收端连接有安全解调译码器,所述安全编码调制器与所述安全解调译码器之间均设有多级安全网络基础设施,所述安全网络基础设施包括信道模拟系统和安全交换设备,其特征在于,所述方法包括:
3、所述安全编码调制器对所述发送端发送的原始时间同步报文进行编码调制,生成第一报文信号,发往不同所述接收端本文档来自技高网...
【技术保护点】
1.一种网络时间同步系统的物理层身份认证方法,网络时间同步系统包括发送端以及与所述发送端通信的多个接收端,每个所述接收端与所述发送端之间设有一条物理链路,所述物理链路用于网络时间同步报文传输,所述发送端连接有安全编码调制器,所述接收端连接有安全解调译码器,所述安全编码调制器与所述安全解调译码器之间均设有多级安全网络基础设施,所述安全网络基础设施包括信道模拟系统和安全交换设备,其特征在于,所述方法包括:
2.根据权利要求1所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述身份认证导频序列的确定公式为:
3.根据权利要求2所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述对所述第一报文信号插入身份认证导频序列,获得第二报文信号,包括:
4.根据权利要求1所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述预先畸化的公式为:
5.根据权利要求4所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述基于各
7.根据权利要求6所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述方法还包括:
8.根据权利要求5所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述方法还包括:
9.根据权利要求1所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述基于所述报文安全指示向量的误码率进行身份认证判决,根据判决结果将所述原始时间同步报文发送至所述接收端或丢弃,包括:
10.一种网络时间同步系统的物理层身份认证装置,网络时间同步系统包括发送端以及与所述发送端通信的多个接收端,每个所述接收端与所述发送端之间设有一条物理链路,所述物理链路用于网络时间同步报文传输,所述发送端连接有安全编码调制器,所述接收端连接有安全解调译码器,所述安全编码调制器与所述安全解调译码器之间均设有多级安全网络基础设施,所述安全网络基础设施包括信道模拟系统和安全交换设备,其特征在于,所述装置包括:
...【技术特征摘要】
1.一种网络时间同步系统的物理层身份认证方法,网络时间同步系统包括发送端以及与所述发送端通信的多个接收端,每个所述接收端与所述发送端之间设有一条物理链路,所述物理链路用于网络时间同步报文传输,所述发送端连接有安全编码调制器,所述接收端连接有安全解调译码器,所述安全编码调制器与所述安全解调译码器之间均设有多级安全网络基础设施,所述安全网络基础设施包括信道模拟系统和安全交换设备,其特征在于,所述方法包括:
2.根据权利要求1所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述身份认证导频序列的确定公式为:
3.根据权利要求2所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述对所述第一报文信号插入身份认证导频序列,获得第二报文信号,包括:
4.根据权利要求1所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述预先畸化的公式为:
5.根据权利要求4所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述方法还包括:
6.根据权利要求5所述的网络时间同步系统的物理层身份认证方法,其特征在于,所述基于各级预先测量及存储的物理信道的频域信道矩阵对所述第三...
【专利技术属性】
技术研发人员:何婷,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。