1、技术与标准2024年第3期同步网安全关键技术研究潘峰胡昌军缪新育李曙方(中国信息通信研究院技术与标准研究所,北京10 0 19 1)摘要:作为通信网络的基础支撑网络之一,同步网发挥着越来越重要的作用,其面临的安全问题也日益突出。首先,简要介绍了同步网安全的研究背景,列举分析了3类案例,并研究了同步网安全关键技术以解决相应的安全问题;然后,对同步网安全标准现状进行了梳理;最后,进行了总结展望。关键词:同步网;安全;干扰中图分类号:TN915.9引用格式:潘峰,胡昌军,缪新育,等同步网安全关键技术研究J信息通信技术与政策,2 0 2 4,50(3);83-89.D0I:10.12267/j.iss
2、n.2096-5931.2024.03.013文献标志码:A0引言同步网是通信网络的基础支撑网络。近年来同步网安全呈现出新的特点,对同步网安全技术提出了新的挑战。从应用发展角度来看,随着5G网络的大规模建设与运营,网络的开放性、业务类型的多样性造成同步网的安全问题日益突出,同步网安全类故障对业务和网络运营的影响会更加严重。近年来,出现了一系列新的同步网安全事件,如卫星模拟器干扰、全球定位系统(Global Positioning System,GPS)卫星退服、协议误操作导致时间源倒挂等,对业务造成了不同影响,同步网安全机制成熟度低,同步预警及应对策略存在严重不足。目前,同步网安全攻击手段层出
3、不穷,安全防范代价越来越高,面临着严峻的安全挑战。1同步网安全相关案例近年来,世界各地的同步网安全问题日益增多,不仅对各行业同步网本身的正常运行维护带来诸多影响,也对公众用户的生产和生活造成诸多不便,以下为3种较典型的同步网安全相关案例。1.1中断类安全案例1.1.1GPS 卫星退服2016年1月,波兰天文台观测到GPS卫星系统出现异常,当GPS卫星更新星历信息后,发现卫星接收机秒脉冲(Pulse Per Second,PPS)输出与本地稳定参考源(50 7 1A)之间的协调世界时(CoordinatedUniversal Time,UTC)出现异常偏差。测试结果 显示,一共出现3次异常跳变,
4、偏差为13.7 s,第1次持续10 0 min,第2 次持续8 7.5min,第3次持续182min。这是由于美国GPS老卫星SVN23PRN32退服,未提前发出通知预警,导致部分GPS卫星接收机仍然用退服的卫星星历参与时间和位置解算,出现偏差。1.1.2同步授时源头中断在铁路通信网中,传输网首站设备时钟引人线连接出错,导致传输设备失去时钟处于自由振动状态,其后多台设备均跟踪至该自由振动的传输设备。传输设备时钟自由振动时,其时钟精度只能保证优于4.6ppm,而无线基站空口的时钟频偏要求是优于50ppb,无线基站全部从有线侧提取时钟,引发大面83.1信息通信技术与政策积基站时钟参考源异常告警2
5、1.1.3卫星信号关闭2010年,中国电信码分多址(CodeDivisionMultiple Access,CDMA)网络出现 GPS 告警,涉及绝大多数省份,这是由于GPS正在进行升级维护,CDMA现网中部分厂家的基站设备在告警机制设置上,每隔一段时间就有丢星现象,现网中出现了大量网络告警。1.2干扰类安全案例1.2.1全球导航卫星系统(Global Navigation SatelliteSystem,GNSS)干扰2019年,中国民用航空东北地区空中交通管理局某分局向该分局所属省工业和信息化厅发函请求,该局附近一机场多架航班在某县附近频繁发生航空器GPS信号丢失,部分航班出现广播式自动相
6、关监视(Automatic Dependent Surveillance-Broadcast,ADS-B)系统故障,严重影响民航飞行安全,请求进行无线电干扰排查。随后技术人员在311省道上某企业内定位到了用于防止无人机闯入而私设的无人机管制设备,随着该设备被关闭,干扰也被消除。1.2.2授时服务干扰2020年,某城市出现了部分用户手机时间比标准时GNSS参考输入可靠的电信祖时钟间慢的现象。因系统时间不一致,导致部分用户手机二维码信息失效(二维码认证信息有失效性,超过有效时间则认为存在非法盗用风险),造成用户手机刷地铁失败、购物失败等,一定程度上影响了公众用户的生产和生活。1.3欺骗类安全案例搭
7、建8 点电信级边界时钟(TelecomBoundaryClock,T-BC)环网(见图1),在被测设备1注人全网可信任的基准参考时钟(PrimaryReference TimeClock,PRTC),在末端节点被测设备8(如接入节点)连接时间同步测试仪进行抓包,获取精确时间协议(Precision Time Protocol,PTP)报文的所有字段信息后,修改时间同步测试仪的PTP参数,模拟非法时间服务器,运行最佳主时钟(BestMasterClock,BM C)算法进行全网选源倒换。该环网系统跟踪非法时间服务器后,在时间服务器上加载分组时延变化(PacketDelayVariation,PD
8、V)噪声,可干扰全网时间运行。1.4小结根据上述案例,可将同步网安全问题大致归纳为中断类、干扰类和欺骗类安全问题,表1总结了这3类安全问题各自的主要特征、典型产生方式、威胁方式和影响特点。被测被测设备1设备2PTP同步以太被测被测设备3设备4参考输人PTP探针/非法电信祖时钟GNSS参考输人可靠的电信祖时钟被测设备:(a)全网跟踪可信任的电信祖时钟被测被测设备1设备2被测设备7被测设备6被测设备3被测设备5PTP同步以太被测设备4参考输人PTP探针/非法电信祖时钟84.被测设备:(b)全网跟踪非法的电信祖时钟图1PTP安全攻击实验组网配置被测设备7被测设备6被测设备5技术与标准2024年第3期
9、表1同步网安全影响场景总结类型中断类安全问题干扰类安全问题欺骗类安全问题2同步网安全关键技术为增强同步网安全防御能力,可采取一些关键技术在一定程度上解决中断类、干扰类和欺骗类安全问题。2.1GNSS卫星共视安全增强技术基于卫星共视法,提供可溯源至国家守时机构或运营商自建基准站的基准参考,卫星共视法本质上是一种伪距差分技术,差分对象由定位中的距离转化为授时中的时间差。对卫星到基准站和用户的单向授时误差进行差分,获得优于单向授时方法的精度。溯源至国家守时机构或运营商自建基准站后,由于基准参考可信任,可基于监测结果对被测GNSS 授时源头或配置GNSS装置的基站进行安全监测,一定程度上可以缓解欺骗类
10、安全问题的影响。总体来说,卫星共视安全增强技术可解决中断类、干扰类安全问题,一定程度上缓解欺骗类安全问题。2.2卫星地面差值回传技术通过定义基站与传送设备之间的卫星一地面时间同步差值回传接口协议,将基站从卫星同步获取的时间与从地面同步获取的时间差值回传给传送设备,可对传送网络的传输链路时延不对称性,以及基站的卫星和地面时间同步性能进行实时监控,从而检测同步安全问题。无线时分双工技术(Time Division Duplexing,TDD)基站主要采用 GNSS 同步技术和PTP地面同步技术实现空口时间同步。为保证同步性能的稳定可靠,基站通常同时开通两种技术,相互之间形成保护。通过将基站的GNS
11、S获取的时间与地面获取的时间差值回传给接入层传送设备,并上报给具备智能时钟功主要特征关闭授时基准源、中断授时服务干扰授时基准源、扰乱正常授时服务欺骗授时基准源、扰乱正常授时服务典型产生方式GPS卫星退服、卫星信号关闭、同步授时源头中断等GNSS 干扰器攻击、PTP延时干扰、加PDV干扰等GNSS 欺骗 PTP 中的 BMC算法欺骗等能的传送网网管/控制器,可对传送网络的传输链路时延不对称性以及基站的卫星和地面同步性能进行实时监控,组网架构见图2。目前该技术涉及的设备接口协议的报文封装格式、报文内容和设备、管控系统功能要求等已由相关企业作出规定。对于单站差值回传数据,可有效处理中断类安全问题,对
12、干扰类安全问题具备一定检测能力。采用多站联合大数据、人工智能(Artificial Intelligence,AI)分析技术,在一定程度上可抵御小范围欺骗类攻击。2.3GNSS防火墙技术针对民用GNSS卫星存在安全脆弱性弊端,目前业界探索了GNSS防火墙技术方案,部分厂家推出了相应的GNSS防火墙产品,GNSS防火墙部署于GNSS蘑菇头前端,内置高品质晶体钟与安全检测模块,具备的技术能力如下。这类产品可基于内置的安全检测算法,对GNSS星历数据有效性进行认证、识别,进行自主性完全检测,可抵御中断、干扰和欺骗类安全攻击;具备录制回放功能,当检测GNSS信号异常后,可基于正常状态下采集的卫星信号信
13、息,利用内置高品质晶体钟进行回放输出,降低对现网同步运行的影响。安全检测模块是GNSS防火墙的核心模块,具备用户规则自定义可编程功能,如开放数据接口、提供算法设计权限等,这样可通过开源方式让更多用户参与到GNSS安全检测能力提升中,提升同步内生安全能力,值得进行标准化推广。总而言之,GNSS防火墙对上游来说,可解决GNSS中断类和干扰类安全问题,一定程度上可抵御弱欺骗类攻击;对下游来说,具备卫星信号回放和守时85.威胁方式和影响特点覆盖范围大,故障恢复周期长,对通信网络影响巨大局部区域干扰,发生概率高,风险相对较低无法及时感知,潜在影响难以预估信息通信技术与政策智能时钟网管/控制器自动路径规划
14、保护恢复收集物理拓扑报同步故障信息收集差值信息故障管理同步配置检测更新故障节点同步配置、性能管理GNSS-1588差值回传图2 卫星-地面差值回传组网架构功能,降低对被授时设备的安全影响。2.4同步协议安全增强技术在频率同步方面已有非常成熟的同步状态信息(Sy n c h r o n i z a t i o n St a t u s M e s s a g e,SSM)协议进行安全预防,在时间同步方面还缺乏成熟的解决方案与通用的产品,本文重点探讨PTP安全增强技术和网络时间协议(Network Time Protocol,N T P)安全增强技术。2.4.1PTP安全增强技术PTP安全增强包括
15、结合媒体访问控制安全协议(Media Access Control Security,,M A C s e c)或互联网安全协议(Internet Protocol Security,IPSe c)机制进行PTP辅助增强,通过PTP安全的类型、长度、值(TLV)扩展及密钥分发技术进行安全增强。对基于MACsec机制的PTP安全增强技术而言,其时钟戳处理在物理层和链路层完成,MACsec则在PTP时间戳解算与MAC层之间进行加解密运算,因此会引入额外的处理时延。基于IPSec辅助的PTP安全增强技术,分为软件辅助和硬件辅助两种实现方案。其中,软件辅助方式由于在CPU应用层进行加解密处理,会引入较
16、大时延不确定度,对PTP的时间精度影响较大,更适用于时间精度不高、设备实现成本低的应用场景;硬件辅助方式86.靠近MAC层,加解密时延可控度高,对PTP的时间精度影响较小,但需要对PTP硬件实现单元进行升级改造,适用于对PTP安全性要求高的场景,需要对网络的关键节点进行部署考虑。IEEE15882019标准中定义了AUTHENTICATIONTLV字段,其包含同步源身份验证和消息完整性。AUTHENTICATION TLV携带所有必要的信息以便为发送端和接收端启用安全处理机制。AUTHENTICATIONTLV允许应用使用对称密钥来保护PTP消息。根据相应的密钥管理,AUTHENTICATIO
17、N TLV支持两种不同的密钥分配方法:即时安全认证技术和延迟安全认证技术。即时安全认证技术在PTP报文内容字段处理前,即进行AUTHENTICATIONTLV认证处理,这需要PTP运行实例共享安全参数来计算完整性校验值(Integrity CheckValue,IC V),即AUTHENTICATIONTLV的认证延迟安全认证技术则可延迟分发所有携带安全密钥的安全认证参数集合,只有PTP原始发送者可创建ICV,中间转发节点不需要修改AUTHENTICATIONTLV的相关认证字段。总体而言,PTP安全增强技术在一定程度上解决了PTP中断、干扰、延时和时间源降质类欺骗问题。技术与标准2024年第
18、3 期2.4.2NTP安全增强技术NTP基于用户数据报协议(User DatagramProtocol,U D P)的12 3 端口进行通信,但是由于UDP协议是无连接状态的协议,攻击者容易利用NTP服务器的安全漏洞发起分布式拒绝服务(DistributedDenialof Service,DDoS)攻击。攻击者攻击的步骤是先寻找攻击对象或者互联网中支持NTP放大攻击的服务器资源,然后通过伪造IP地址的UDP包向NTP服务器发送monlist的请求报文,服务器将返回相应的数据结果来响应这些伪造的IP地址,而这些地址都指向受害者的真实IP地址。当这些真实的IP地址接收响应时,其周边的网络基础设施
19、会被放大数百倍的报文流量淹没,这些大流量会阻塞网络,导致网络不通,最终造成分布式拒绝服务。NTP安全增强技术包括如下相关措施:对NTP服务器进行合理的管理和配置,将全部的NTP服务软件升级到最新的版本;对NTP服务器和客户端采用长密钥的MD5加密技术;在配置文件中添加noquery参数来限制客户端的monlist等信息查询请求;通过防火墙对 UDP试用的12 3 端口进行限制,采用固定IP与 NTP服务器进行通信;通过增加带宽来抵御NTP服务产生的放大型流量攻击;使用DDoS防御产品,过滤清洗异常访问请求,仅将正常的访问请求发送至服务器进行处理。总而言之,NTP安全机制辅助技术相对成熟,主要在
20、安全认证方面有显著成效,但无法直接抵御欺骗干扰和延时干扰攻击。2.5同步监测安全增强技术同步监测安全增强技术主要通过对网络中部分设备的同步性能进行监测,从而可及时掌握客观真实的同步运行质量,更好地保障同步网的安全可靠运行,其相关技术包括探针监测技术和设备自身监测技术。探针监测主要通过GNSS获得基准参考源,同时对网络末端设备同步输出信号进行测试,再将监测结果发送至中心网管以实现对网络同步性能的实时监测,基于监测数据进行安全检测及预警分析。监测网络同步性能除可采用外部设备(如探针设备)外,也可采用网络中的设备进行性能监测,对于部署共视设备的网络,采用共视设备自身功能进行网络同步性能监测。网络设备
21、基于自身监测功能进行同步监测,包括主从监测、PTP时间偏差实时监测、PTP延时实时监测、PTP时间偏差累加值监测、环上被动节点监测、单播组播联合监测等。总体来说,结合“同步监测+大数据+AI”是解决同步网络安全问题的新技术手段,随着大数据采集、大数据处理能力及AI算法的进步,同步网相关运营维护方对中断类、干扰类和欺骗类安全问题的防范能力也随之增强。3国内外同步网安全标准现状同步网安全标准涉及诸多技术内容,不同标准组在各自的标准体系下,结合特定的技术制式与应用需求,正在开展专业领域的同步网安全标准制定工作,但尚未制定总体性的、通用的同步网安全标准。3.1国际同步网安全标准化现状国际电信联盟标准化
22、部门第15研究组通过的分组网络频率同步标准G.8265、G.8 2 6 5.1 3-41以及分组网络时间同步标准G.8275、G.8 2 7 5.1、G.8 2 7 5.2 5-7 均有涉及同步网安全的章节,但目前关于同步网安全的部分主要是总体原则性的要求,而具体网络操作、实现参数和验证机制尚未明确。国际互联网工程任务组(Internet Engineering TaskForce,I ET F)在基于IP连接的定时和时钟传递(Timing over IP Connections and Transfer of Clock,TICTOC)标准工作组中也设立了网络时间安全(Network Tim
23、e Security,NT S)研究组,主要面向 NTP的安全增强进行研究和标准制定,议题包括数据报文的真实性与完整性检测机制、提供不可链接性的新能力、抵御重放攻击、报文的安全加密协议等。已发布的IEEE1588201981标准研究了PTP内置安全机制,在资料性附录中针对PTP安全进行了详细的讨论,定义了4种解决方式进行安全协议增强,主要涉及PTP内置安全机制(安全密钥分发与管理)、外部安全机制(MACsec/IPSec)、架构机制(采用余保护)、监控和管理机制(PTP节点性能监测与异常检测)。国际电工委员会(InternationalElectrotechnicalCommission,I
24、EC)制定的电力系统应用程序中的IEEE1588精密时间协议标准配置文件C37.2389采用网络协议进行时间分发,相比传统的B码,其更易受87信息通信技术与政策到干扰和破坏,并且C37.238不提供加密安全算法。其中一种方法是使用IEC 的安全标准IEC62351-6101,规定通信路径选择过程应为信息交流提供安全保证,如面向通用对象的变电站事件和采样值应被限制在一个合乎逻辑的变电站局域网内。3.2国内同步网安全标准化现状目前,已发布的同步网安全标准包括同步网安全防护要求(YD/T17502008)和同步网安全防护检测要求(YD/T17512008),这两项行业标准规范了同步网安全体系与安全评
25、判准则。其中,同步网安全防护要求标准规定了同步网在安全风险评估、安全等级保护、灾难备份及恢复等方面的安全防护要求;同步网安全防护检测要求标准规定了同步网在安全等级保护、安全风险评估、灾难备份及恢复等方面的安全防护检测要求。上述国内行业标准中的安全类标准虽然适用于公用电信频率同步网和时间同步网,但制定时由于我国时间同步网和同步技术还在研究阶段,应用部署尚未成熟,因此技术方面主要聚焦于频率同步,在时间同步基准、同步协议安全方面涉及较少。基于卫星和PTP同步的时间差值回传技术要求(YD/T46122023)规定了基站与回传网设备之间卫星授时和PTP同步间的时间差值回传接口协议,用于对传送网络的传输链
26、路时延不对称性以及基站的GNSS和PTP时间同步性能进行实时监控,为解决GNSS卫星安全增强技术问题提供了一种方案,但我国在时间同步安全及面向5G超高精度网络新技术体制下的安全标准制定方面仍需加强。4结束语本文分析了中断类、干扰类和欺骗类安全问题的主要特征、典型产生方式、威胁方式和影响特点,根据其特征可采用不同的同步网安全关键技术。在同步网关键技术方面,除加强对同步源安全增强技术、同步协议安全增强技术和同步监测安全增强技术的研究外,还应加强在同步网安全组网方面的技术研究和验证测试。同时,需加强同步技术基础研究,夯实同步网安全算法理论,提升基础器件、软件、测试仪器和应用系统的研发能力。在标准推进
27、方面,建议开展同步网安全体系的总体性设计、方法论研究、能力分级、演进研究88与标准化推进。在人才培养方面,应加强多专业多部门的联防联动,培养同步网安全体系人才,建设同步网安全应急专业队伍,提升同步网安全应急能力。参考文献 1 Orange.Observed GPS UTC information malfunction:forinformation EB/OL.(2 0 16-0 2-0 2)2 0 2 3-11-10 .https:/www.itu.int/md/T13-SG15-C-1813.2于佳亮,程华,于天泽通信同步网与网同步 M北京:人民邮电出版社,2 0 11.3 ITU-T.A
28、rchitecture and requirements for packet-basedfrequency delivery:G.8265/Y.1365:2010 S/OL.2023-11-10.https:/www.itu.int/rec/T-REC-G.8265-201010-/en.4 ITU-T.Precision time protocol telecom profile forfrequency synchronization:G.8265.1/Y.1365.1:2022 S/OL.2023-11-10.https:/www.itu.int/rec/T-REC-G.8265.1-
29、202211-I/en.5 ITU-T.Architecture and requirements for packet-basedtime and phase distribution:G.8275/Y.1369:2013 S/OL.2023-11-10.https:/www.itu.int/rec/T-REC-G.8275-201311-S/en.6 ITU-T.Precision time protocol telecom profile for phase/time synchronization with full timing support from thenetwork:G.8
30、275.1/Y.1369.1:2022 S/OL.2023-11-10 J.https:/www.itu.int/rec/T-REC-G.8275.1-202211-1/en.7 ITU-T.Precision time protocol telecom profile for phase/time synchronization with partial timing support from thenetwork;G.8275.2/Y.1369.2:2022 S/OL.2023-11-10 .https:/www.itu.int/rec/T-REC-G.8275.2-202211-I/en
31、.8 IEEE.IEEE standard for a precision clock synchronizationprotocol for networked measurement and control systems:IEEE 1588:2019 S/OL.2023-11-10.https:/ieeexplore.ieee.org/document/9120376.9 IEEE.IEEE standard profile for use of IEEE 1588precision time protocol in power system applications:IEEE C37.
32、238:2017 S/OL.2023-11-10.https:/ieeexplore.ieee.org/document/7953616.10 IEC.Power systemsmanagement and associatedinformation exchange:data and communication security技术与标准2024年第3 期(Part 6:security for IEC 61850):IEC 62351-6:2020 S/OL.2023-11-10.https:/ 0 2 0,46(9):55-6 2.作者简介:潘峰中国信息通信研究院技术与标准研究所光网络技
33、术与应用研究部高级工程师,主要从事同步领域技术标准研究和测评工作胡昌军中国信息通信研究院技术与标准研究所副总工程师,主要从事同步领域技术标准研究和规划工作缪新育中国信息通信研究院技术与标准研究所光网络技术与应用研究部高级工程师,主要从事同步领域技术标准研究和测评工作李曙方中国信息通信研究院技术与标准研究所光网络技术与应用研究部高级工程师,主要从事同步领域技术标准研究和测评工作Research on key technologies for synchronization network securityPAN Feng,HU Changjun,MIAO Xinyu,LI Shufang(Tec
34、hnology and Standards Research Institute,China Academy of Information and Communications Technology,Beijing 100191,China)Abstract:As one of the basic support networks of the communication network,the synchronization network plays anincreasingly important role,and its security problems also become in
35、creasingly prominent.In this paper,the researchbackground of synchronization network security is first introduced briefly,several types of cases are analyzed,and thekey technologies related to synchronization network security are studied in order to solve the corresponding securityproblems.Then,the situation of synchronization network security standards is analyzed,and finally the prospect isproposed.Keywords:synchronization network;security;interference(收稿日期:2 0 2 3-12-2 0)89.
浙ICP备2021020529号-1 | 浙B2-20240490 
