1、第 4 5 卷 第 1 期2 0 2 3 年 1 月铁道学报JOUNAL OF THE CHINA AILWAY SOCIETYVol 45No 1January2 0 2 3文章编号:1001-8360(2023)01-0063-12下一代高速铁路 LTE-时间同步网协议脆弱性分析陈永,詹芝贤,刘雯(兰州交通大学 电子与信息工程学院,甘肃 兰州730070)摘要:铁路无线通信系统时间同步网络,是保障行车安全和提高铁路运营效率的重要基础。针对下一代高速铁路 LTE-自身全 IP 化架构在使用精确时钟 PTP 时间同步协议过程中易受到 AP 攻击的问题,提出基于随机Petri 网(SPN)的 L
2、TE-时间同步网协议脆弱性分析方法。建立了 AP 攻击状态下 LTE-时间同步网协议脆弱性分析 SPN 模型;通过马尔科夫链同构的方法,得到 AP 攻击下 LTE-三级时钟节点实施速率与 PTP 协议同步正常、异常之间的关系曲线;定量得到了影响 LTE-时间同步网协议脆弱性的关键因素。研究结果为 GSM-时间同步网络向 LTE-安全演进提供了一定的理论参考依据。关键词:时间同步;下一代高速铁路无线通信系统;精确时钟协议;随机 Petri 网;脆弱性分析中图分类号:U285.5;TP393文献标志码:Adoi:10.3969/j issn 1001-8360.2023.01.008Vulnera
3、bility Analysis of Next-generation High-speed ailway LTE-Time Synchronization Network ProtocolCHEN Yong,ZHAN Zhixian,LIU Wen(School of Electronic and Information Engineering,Lanzhou Jiaotong University,Lanzhou 730070,China)Abstract:The time synchronization network of the railway wireless communicati
4、on system is an important foundation toensure the safety of trains and improving the efficiency of railway operations In response to the problem that the all-IParchitecture of the next-generation high-speed railway LTE-is vulnerable to AP attacks when using the PTP time syn-chronization protocol,thi
5、s paper proposed a vulnerability analysis method for the LTE-time synchronization networkprotocol based on stochastic Petri net(SPN)The SPN model of LTE-time synchronization network protocol vulnera-bility analysis under AP attack was established Through the method of Markov chain isomorphism,the re
6、lationshipcurve between the implementation rate of the LTE-three-level clock node and normal and abnormal PTP protocol syn-chronization under AP attack was obtained The key factors affecting the vulnerability of the LTE-time synchroniza-tion network protocol were quantitatively obtained The research
7、 results offer a certain theoretical reference for the safe e-volution of the GSM-time synchronization network to LTE-networkKey words:time synchronization;LTE-;precision time protocol;stochastic Petri net;vulnerability analysis收稿日期:2021-04-11;修回日期:2021-07-09基金项目:国家自然科学基金(61963023,61841303);兰州交通大学基础
8、研究拔尖人才项目(2023TC36)作者简介:陈永(1979),男,甘肃武威人,教授,博士。E-mail:edukeylab 126 com目前,我国高速铁路使用的移动通信系统 GSM-,承载着大量列车控制与调度运营等核心业务,对于保证行车安全起着至关重要的作用。但是,GSM-属于 2G 窄带通信系统,业务承载能力有限,已无法满足高速铁路的发展需求1。国际铁路联盟指出:GSM-将直接向 LTE-演进2。LTE-是我国下一代高速铁路无线通信系统,相比于 GSM-,其接入网仅包括eNodeB,这种体系结构可以降低通信延时和减少建设成本。铁路时间同步网为铁路各系统提供统一的标准时间,其性能关系到行车
9、安全,是典型的苛求系统3。网络时间协议(Network Time Protocol,NTP)是标准的Internet 时间同步协议,已广泛应用于各种系统的时间同步,如电力、工业自动化、分布式系统等4-6。GSM-通信系统亦使用 NTP 作为主要的时间同步协议。文献 7研究了 GSM-下 NTP 协议的脆弱性,但在LTE-下列车频繁发生越区切换,对无线通信网络的精确时钟同步和定时的要求也更高,而 NTP 毫秒级的铁道学报第 45 卷同步精度难以满足未来 LTE-高精度的要求8。相比于 NTP 协议,精确时间协议(Precision Time Proto-col,PTP)采用软硬件结合的形式可以获
10、得亚微秒级的时间同步9。因此,开展 LTE-下的 PTP 高精度时间同步性研究,对于 GSM-向 LTE-演进具有重要意义。文献 10在朔黄铁路西柏坡至小觉试验段对LTE-无线分组网络进行了 PTP 时钟同步性能测试,测试结果表明 PTP 协议能够满足朔黄线现场通信要求。然而 NTP、PTP 等时间同步协议在设计之初主要从传输效率考虑,均建立在 IP 信任的基础上,由于缺乏有效的安全措施,时间同步网通常是系统中最脆弱的部分,对时间同步网的攻击会导致整个系统失效10。文献 11研究表明,在时间同步网中时钟漂移更改或者恶意攻击可以导致网络节点间的同步错误。文献 12通过地址解析协议(Address
11、 esolutionProtocol,AP)欺骗的方法可以伪造服务器,通过中间人和拒绝服务(Denial of Service,DoS)攻击破坏网络实时通信。文献 13研究表明,在高速列车通信网络中,越区切换容易受到同步攻击,导致在切换时不能实现前向密钥分离。文献 14 指出,攻击者可以对 LTE网络中特定的用户部署恶意基站,并强迫目标用户连接到该恶意基站,然后拒绝目标用户的选定服务从而实现 DoS 攻击。文献 15采用物理实验的方式对PTP 协议的攻击及漏洞进行了相关分析。上述文献研究表明:基于 IP 的网络在时间同步协议报文传输过程中,数据链路层通过 AP 协议实现 IP 地址向 MAC
12、物理地址映射时极易遭受 AP 攻击,使得时间同步过程变得极为脆弱16。而 LTE-架构全 IP 的特点,在时间同步过程中存在较大的 AP 攻击隐患,所以开展AP 攻击状态下的 LTE-时间同步网协议脆弱性研究,对于保证高速铁路安全运行具有重要的现实意义。综上所述,目前大部分铁路时间同步研究主要针对 GSM-下的 NTP 协议脆弱性分析,但其同步精度难以满足下一代 LTE-通信系统的要求;此外脆弱性分析时未考虑 LTE-全 IP 易受 AP 攻击的特点。针对以上问题,本文在分析 PTP 协议在 LTE-时间同步过程受到 AP 攻击的基础上,提出针对下一代高速铁路 LTE-时间同步网协议脆弱性的量
13、化分析方法;建立了 AP 攻击状态下 LTE-时间同步网协议脆弱性分析 SPN 模型;采用 SPN 与马尔科夫链同构的方法,分析了影响 LTE-时间同步网协议脆弱性的关键因素,定量得到了 AP 攻击下的 LTE-三级时钟节点的实施速率与 PTP 协议同步正常、异常之间的关系曲线。研究结果可以为 GSM-时间同步网络向 LTE-演进提供一定的理论参考依据。1LTE-时间同步方案1.1LTE-时间同步网络铁路时间同步网由三级时钟节点构成,采用主从节点逐级传递的方式实现路网时间同步7-8。LTE-铁路时间同步网三级时钟节点分别为无线闭塞中心(adio Block Center,BC)、基站 eNod
14、eB 和车载控制器(On Board Controller,OBC)。BC 作为 LTE-通信系统的核心,负责通过 LTE-网络向 OBC 发送行车许可 MA 及其他行车控制命令。BC 与 eNodeB 之间通过演进分组核心网(Evolved Packet Core,EPC)通信。列车顶部部署了车辆站(Vehicle Station,VS)接收装置,eNodeB 通过 VS 将下行列车控制信息发送给OBC,而 OBC 通过上行信道向 eNodeB 发送列车信息。LTE-三级时钟时间同步网结构示意见图 1,其中 S1为基站 eNodeB 与分组核心网 EPC 之间的通信接口,X2 为 eNode
15、B 之间的互连接口。图 1LTE-三级时钟时间同步网结构示意在图 1 中,LTE-时间同步网在同步过程中报文是以 IP 的格式进行数据传输,时钟信息接收机负责接收重要时间戳信息。LTE-时间同步网中将 BC 作为时间同步网的一级时钟节点,一级时钟内置高精度原子钟(铷钟),并通过 GPS、北斗导航定位进行时间接收,eNodeB 基站作为二级时钟节点,OBC 作为三级时钟节点。在 LTE-时间同步过程中,通过 PTP 协议实现三级时钟节点间的时间同步。1.2PTP 协议原理PTP 协议是一种采用硬件时间戳机制的精确时间46第 1 期陈永等:下一代高速铁路 LTE-时间同步网协议脆弱性分析同步协议,
16、通过周期性的报文交互,实现设备之间的时钟同步,可以达到亚微秒级的同步精度17。PTP 协议采用主从时钟形式,主时钟将时间戳报文周期性地发送给从时钟,从时钟根据时钟偏移和通信路径延迟调整时间,从而实现与主时钟的同步。PTP 协议时间同步原理见图 218,同步过程如下:Step1主时钟向从时钟发送 Sync 同步报文。Step2主时钟发送 Follow_up 跟随报文,该报文中包含 Sync 报文的 T1时间戳。Step3从时钟精确测量出接收到 Sync 同步报文的到达时刻 T2,然后比较 T1与 T2的时间差值,从而纠正主从时钟之间的时钟偏移。Step4从时钟在 T3时刻向主时钟发送延迟请求报文
17、 Delay_eq。Step5主时钟在收到 Delay_eq 后发送延迟响应报文 Delay_esp,该报文携带 T4时间戳信息,从时钟接收到该信息后通过 T3、T4计算得到通信路径传输延时。图 2PTP 协议时间同步原理在图 2 主从时钟交互过程中,定义变量 offset 为单向时钟测量偏移时间,变量 delay 为通信路径单向传输延时,可以得到T2=T1+delay+offset(1)T4=T3+delay offset(2)通过式(1)、式(2)可计算出 delay、offset 的值为delay=(T2 T1)+(T4 T3)2(3)offset=(T2 T1)(T4 T3)2(4)由
18、式(3)、式(4)得到主从时钟之间的 delay、offset 时钟误差后,从时钟在下一时刻更新准确时间,从而完成主从时钟时间同步。2AP 攻击分析AP 是一个位于 TCP/IP 协议栈中网络层的地址解析协议12。在 LTE-三级时间同步网同步报文传输过程中,使用 AP 协议将 IP 地址映射到相应的媒体访问控制层对应的 MAC 地址,用于识别发送的每个帧的源、目的地址。AP 地址解析时利用 AP 缓存表来保存通信设备之间 IP 地址到 MAC 地址的映射记录,采用的是机械制临时缓存原理,表中的 IP 地址和MAC 地址也是随时可以修改的,这样很容易发生 AP欺骗攻击19。在 LTE-正常通信
19、情况下,一级时钟同步节点BC 为了得到二级时钟节点 eNodeB 的 MAC 地址,广播发送 AP 请求报文,该报文包含 BC 的 MAC 地址和 IP 地址,以及 eNodeB 的 IP 地址。eNodeB 收到该请求后便向 BC 发送 AP 响应报文,该报文中包含eNodeB 的 MAC 地址。BC 收到响应报文后建立一个AP 缓存表,将 eNodeB 的 IP 地址与接收到的 MAC地址进行映射,实现一、二级时钟节点间的同步通信。同理二、三级时钟节点也同样实现时间同步。然而由于 AP 协议具有广播性、无序性、无认证等特点,使得攻击者可利用这些漏洞在 BC、eNodeB、OBC 进行同步报
20、文交互的过程中发起 AP 攻击,就会影响 LTE-三级时钟对时精度,严重时会导致整个LTE-系统的瘫痪,从而对铁路安全运行产生严重的后果20。在 LTE-时间同步过程中,攻击者在 BC、eNodeB、OBC 之间发起 AP 攻击的过程见图 3,分析如下:BC 向 eNodeB 采用广播形式发送 AP 请求报文,询问 eNodeB 的 MAC2 地址;eNodeB 在收到BC 的请求报文后,向 BC 回复IP2,MAC2AP 正常响应报文,BC 随后更新 AP 缓存表,将 IP2 与MAC2 建立映射关系;攻击者收到 eNodeB 的请求包,延时后向 BC 发送伪造的 AP 应答,将攻击者自身的
21、 MAC 地址 MAC4 伪造成IP2,MAC4 发送给BC;伪造的报文持续不断地发送给 BC,使得正常的 eNodeB 报文逻辑关系被覆盖,最后使 BC 错误地将攻击者发送的 MAC4 误以为是 eNodeB 的 MAC 地址;攻击者随后向 eNodeB 发送携带 MAC4 的伪造的响应报文,让 eNodeB 误以为 IP 地址为 IP1 的 BC的 MAC 地址为 MAC4;eNodeB 错误更新修改 AP缓存表,添加IP1,MAC4映射关系。LTE-时间同步协议受到 AP 攻击后,BC、eNodeB、OBC 都错误地将攻击者的 MAC 地址加入 AP 缓存表,攻击者作为中间人插入到 BC
22、、eNodeB、OBC 三者之间的通信过程中,造成 LTE-三级时钟节点时间基准的漂移,最56铁道学报第 45 卷终导致整个 LTE-时间同步网时钟不一致,对行车安全造成极大影响。图 3LTE-时间同步网协议受到 AP 攻击过程3SPN 模型建立本文在对 LTE-时间同步网协议脆弱性分析时,采用随机 Petri 网(Stochastic Petri Net,SPN)理论进行建模。SPN 是一种形式化系统性能分析理论,为系统的异步、同步、互斥等行为分析提供了数学理论依据,可对系统中不确定、并发的事件进行建模和分析,广泛应用于工业控制系统等领域的可靠性分析2。LTE-时间同步网协议受到 AP 攻击
23、后,BC、eNodeB、OBC 都错误地将攻击者的 MAC 地址加入AP 缓存表,攻击者作为中间人插入到 LTE-三级时钟之间的通信中。攻击者的插入可将 BC 发送给eNodeB 的 PTP 同步报文数据包进行拦截和篡改,任意扩大同步报文的偏移量,致使偏移量超出时间差阈值,最终导致 LTE-三级时钟同步失败。根据 LTE-时间同步 PTP 协议运行机理,结合AP 攻击的特点,本文建立了基于 SPN 理论的 AP攻击作用下的 LTE-时间同步过程脆弱性分析模型,见图 4,其中 SPN 模型库所的定义见表 1,变迁的定义见表 2。图 4AP 攻击作用下的 LTE-时间同步 SPN 模型66第 1
24、期陈永等:下一代高速铁路 LTE-时间同步网协议脆弱性分析表 1所有状态库所定义库所定义P0AP 攻击入侵状态P1一级时钟节点 BC 设备初始化P4等待接收 eNodeB 延迟请求正常报文P10向 eNodeB 发送延迟响应报文P20BC 完成时间同步P2二级时钟节点 eNodeB 设备初始化P5等待接收 BC 同步周期正常报文P11向 OBC 发送同步周期报文P21等待接收 OBC 延迟请求正常报文P23向 BC 发送延迟请求报文P31等待接收 BC 延迟响应正常报文P32向 OBC 发送延迟请求报文P39eNodeB 完成时间同步P3三级时钟节点 OBC 设备初始化P6等待接收 eNode
25、B 同步周期正常报文P15同步偏移校准状态P22等待接收 eNodeB 延迟响应正常报文P27路径时延校准状态P36将同步时钟应用到当前设备P38维持原有时钟P41开启通信调度P7,P14,P18,P26,P30,P35收到的异常报文P9,P12,P16,P24,P28,P33收到攻击者篡改的恶意报文P8,P13,P17,P25,P29,P34判断报文是否为攻击者篡改的恶意报文P37判断当前时钟误差是否大于平均路径时延P19BC 异常处理P40eNodeB 异常处理P42OBC 异常处理,进入守时状态图 4 中,三级时钟节点 BC、eNodeB、OBC 分别在t1、t2、t3处采用 PTP 协
26、议建立同步通信,此过程易受到AP 攻击。AP 攻击者 P0作为中间人插入到三者之间的通信中,对三级时钟交互过程中的 PTP 报文进行拦截和篡改。当一级时钟节点 BC 处于等待接收 eNodeB 延迟请求报文状态 P4时,如果随后接收到 AP 攻击影响的恶意报文或异常报文,则分别通过 t4、t5进入异常处理 P19状态,此时会导致一级时钟节点 BC 时间同步异常,BC 处于异常守时事件 t22。表 2变迁定义变迁定义t1BC 建立与 eNodeB 的通信t2eNodeB 建立与 BC、OBC 的通信t3OBC 建立与 eNodeB 的通信t4,t9,t12,t26,t29,t37收到时间同步协议
27、要求之外的异常报文t5,t8,t11,t25,t28,t36收到被攻击者篡改的恶意报文t6接收 eNodeB 延迟请求正常报文t13,t18,t21,t32,t34,t42处理时间同步协议要求之外的异常报文t14,t17,t20,t31,t33,t41处理被攻击者篡改的恶意报文t15向 eNodeB 发送延迟响应报文t22BC 同步异常结束t23BC 同步正常结束t7接收 BC 同步周期正常报文t16向 OBC 发送同步周期报文t24接收 OBC 延迟请求正常报文t30向 BC 发送延迟请求报文t35接收 BC 延迟响应正常报文t40向 OBC 发送延迟请求报文t45eNodeB 同步正常结束
28、t46eNodeB 同步异常结束t10接收 eNodeB 同步周期正常报文t19向 eNodeB 发送延迟请求报文t27接收 eNodeB 延迟响应正常报文t38判断当前时钟是合法的t39判断当前时钟是非法的t43OBC 开启通信调度t44非法时钟异常处理t47OBC 同步正常结束t48OBC 同步异常结束在二级时钟节点 eNodeB 与 BC、OBC 同步过程中,eNodeB 进入等待接收同步周期报文状态 P5,此时AP 攻击会将同步周期报文进行拦截篡改,eNodeB 将收到3 种类型的报文,即同步周期正常报文 t7、AP 攻击篡改的恶意报文 t8和异常报文 t9,t8、t9经过异常处理后,
29、eNodeB 进入同步异常守时状态 P40,只有同步周期正常报文 t7能正常处理,完成 BC 与 eNodeB 的时钟同步。当三级时钟节点 OBC 处于等待接收 eNodeB 同步周期报文 P6时,同样也将收到 3 种类型的报文,即被AP 攻击者篡改的恶意报文 t11、异常报文 t12和正常76铁道学报第 45 卷报文 t10。恶意报文和异常报文通过 t20、t21处理后进入OBC 异常结束状态 P42,此时 OBC 进入异常结束守时状态;只有正常报文 t10可正常处理,通过计算时钟偏移和路径延迟校准时间后,再通过同步偏差阈值判断当前时间是否合法,如果合法将同步时钟应用到当前设备 P36,然后
30、开启通信调度 P41,最终进入 OBC 正常结束变迁 t47,否则进入 OBC 异常守时状态。4LTE-时间同步脆弱性分析4.1SPN 与 MC 同构的 LTE-同步分析方法LTE-时间同步脆弱性分析时,采用 SPN 模型与马尔科夫链(Markov Chain,MC)同构的方法进行分析21,其步骤如下:Step1将 LTE-时间同步网的 SPN 模型每一个标识,映射成马尔科夫链 MC 中的每一个状态。Step2根据 SPN 模型中每条弧上标注的实际变迁实施速率 i,构造同构的马尔科夫链 MC 状态空间。Step3根据 MC 状态空间,建立状态转移概率方程组。定义 X=x1x2xn为 MC 中状
31、态稳态概率的行向量,可得方程组为XQ=0ni=1xi=1(5)式中:Q 为转移速率矩阵;n 为状态的数量。Step4求解式(5),得到每个状态的稳定概率P(Mi)=xi(1 i n),根据求得的各状态稳态概率对 LTE-时间同步网进行脆弱性分析。4.2构造 LTE-时间同步脆弱性 SPN 同构 MC 链在图 4 的 SPN 模型中,如果没有受到 AP 攻击,则系统处于正常状态,P1、P2、P3、P8、P13、P17、P25、P29、P34、P37中各有一个 Token;如果发生 AP 攻击,库所P0中也会含有 Token。根据图 4 中 AP 攻击下 SPN模型不同变迁事件之间的关系,得到以下
32、可达集:M1=(0,1,2,3,8,13,17,25,29,34,37);M14=(1,2,3,8,13,17,19,25,29,34,37);M15=(1,2,3,8,13,17,20,25,29,34,37);M17=(1,2,3,8,13,17,25,29,34,37,40);M19=(1,2,3,8,13,17,25,29,34,37,42);M32=(1,2,3,8,13,17,25,29,34,37,39);M33=(1,2,3,8,13,17,25,29,34,37,41)。M1M33用来表示 SPN 模型的 33 个变迁可达集,其中,M14代表一级时钟节点 BC 同步异常结束,
33、M15代表一级时钟节点 BC 同步正常结束;M17代表二级时钟节点 eNodeB 同步异常结束,M32代表二级时钟节点 eNodeB 同步正常结束;M19代表三级时钟节点 OBC同步异常结束,M33代表三级时钟节点 OBC 同步正常结束;其他为中间过渡变迁可达集。基于 SPN 与 MC同构分析方法,依据图 4 中 SPN 变迁之间的逻辑关系,定义相应的变迁实施速率 1 48,得到与 SPN 同构的马尔科夫链,见图 5。图 5与 SPN 模型同构的马尔科夫链设 P(Mi)为 LTE-时间同步网协议 SPN 模型中各个 Mi的稳态概率,根据图 5 可得如下方程组1P(M1)=4P(M2)+5P(M
34、2)+6P(M2)4P(M2)=13P(M5)5P(M2)=14P(M6)6P(M2)=15P(M7)13P(M5)+14P(M6)=22P(M14)15P(M7)=23P(M15)(6)2P(M1)=7P(M3)+8P(M3)+9P(M3)7P(M3)=16P(M8)8P(M3)=17P(M9)9P(M3)=18P(M10)16P(M8)=24P(M16)+25P(M16)+26P(M16)46P(M17)=17P(M9)+18P(M10)+31P(M21)+32P(M22)+41P(M28)+42P(M29)(7)86第 1 期陈永等:下一代高速铁路 LTE-时间同步网协议脆弱性分析3P(
35、M1)=10P(M4)+11P(M4)+12P(M4)10P(M4)=19P(M11)11P(M4)=20P(M12)12P(M4)=21P(M13)19P(M11)=27P(M18)+28P(M18)+29P(M18)24P(M16)=30P(M20)25P(M16)=31P(M21)26P(M16)=32P(M22)48P(M19)=20P(M12)+21P(M13)+33P(M24)+34P(M25)+44P(M31)27P(M18)=38P(M23)+39P(M23)28P(M18)=33P(M24)29P(M18)=34P(M25)38P(M23)=43P(M30)39P(M23)=
36、44P(M31)43P(M30)=47P(M33)30P(M20)=35P(M26)+36P(M26)+37P(M26)35P(M26)=40P(M27)36P(M26)=41P(M28)37P(M26)=42P(M29)40P(M27)=45P(M32)33i=1P(Mi)=1(8)5仿真结果分析在时间同步过程中,各级时钟节点在接收关键时间同步报文时容易遭受攻击20。在 LTE-时间同步过程中,AP 攻击主要发生在各级时钟节点之间进行PTP 报文交互的过程中,AP 攻击可以作为中间人拦截和篡改来自各级时钟节点的关键报文,导致同步失败。对图 5 中 LTE-时间同步马尔科夫链进行脆弱性分析时,
37、将 LTE-时间同步网协议中各级时钟节点接收 PTP 时间同步报文的 6 个时刻作为同步过程的脆弱节点,见表 3。表 3LTE-同步过程脆弱性的脆弱节点关键时刻对应变迁变迁实施速率BC 接收 eNodeB 发送的延迟请求报文t66eNodeB 接收 BC 发送的同步周期报文t77eNodeB 接收 OBC 发送的延迟请求报文t2424eNodeB 接收 BC 发送的延迟响应报文t3535OBC 接收 eNodeB 发送的同步周期报文t1010OBC 接收 eNodeB 发送的延迟响应报文t2727根据表 3,通过改变每个时钟同步脆弱节点的平均实施速率 i值,并将其代入式(6)式(8),可以分析
38、得到脆弱节点事件与 PTP 协议异常、同步正常状态稳态概率 P(Mi)值之间的关系。通过对各级时钟节点的异常、正常结束状态的 P(Mi)值的分析,从而实现对 AP 攻击状态下的 LTE-时间同步网协议脆弱性的影响性分析。5.1BC 脆弱性分析6 个脆弱节点中,6作为 BC 接收延迟请求报文的平均实施速率,将 6的值取 030,其他 i的值取1,依次求解,各稳态概率仿真结果见图 6,各结束状态稳态概率变化见表 4。图 66变化时各稳态概率仿真结果表 46变化时各结束状态稳态概率变化稳态概率变化范围变化幅度变化趋势P(M14)0.157 90.012 40.145 5大幅度下降P(M15)00.1
39、86 30.186 3大幅度上升P(M17)0.175 40.138 00.037 4小幅度下降P(M32)0.008 80.000 60.008 2微幅下降P(M19)0.131 60.165 60.034 0小幅度上升P(M33)0.008 80.011 00.002 2微幅上升由图 6 和表 4 可以看出,随着 6逐渐增大,即AP 攻击者发送延迟请求报文的速率逐渐增大,各级时钟节点各结束状态的稳态概率值均有所变化。其中对一级时钟节点 BC 的异常状态稳态概率 P(M14)和正常结束稳态概率 P(M15)的变化幅度影响最大,这说明 AP 攻击对延迟请求报文的接收方 BC 设备影响最大。BC
40、 正常结束的稳态概率 P(M15)会随着 6逐渐增大而增大,而异常结束的稳态概率 P(M14)随着 6逐渐增大而减小。这是因为在 PTP 时间同步过程中,延时请求等事件呈现非周期性指数分布特性2,22,指数分布事件的执行时间为 t,其值大小为该事件的数学期望值,即 t 随着 6增大,单位时间内AP 的攻击次数也逐渐增大,而 AP 攻击作用的时96铁道学报第 45 卷间 t 反而会减少,从而 AP 攻击中恶意报文攻击作用到 BC 的时间也会随之减小,BC 受到攻击的程度就会减少,所以其异常结束概率会显著减小,而其正常概率会逐步增大。5.2eNodeB 脆弱性分析在脆弱节点中,7、24、35分别为
41、 eNodeB 接收BC、OBC 同步周期与延迟请求 PTP 报文的实施速率,取值为 030,将其他 i的值取 1,依次求解,此时各稳态概率的仿真结果见图 7,各结束状态稳态概率变化情况见表 5。图 77、24、35变化时各稳态概率的仿真结果从图 7 和表 5 可以看出,随着 7、24、35值的增大,二级时钟节点 eNodeB 同步异常结束状态稳态概率 P(M17)呈现小幅度下降的趋势,而同步正常结束状态稳态概率 P(M32)呈现出小幅度上升的趋势。同时可以发现:在稳态概率 P(Mi)相同的条件下,7、24、353 种事件中,由 7变化引起的 P(Mi)值变化的幅度最大,这说明 eNodeB
42、在接收 BC 发送的同步周期报文时,受到 AP 的攻击影响较大。这是因为 7同步周期报文发生在 PTP 同步偏移测量阶段,此时 PTP报文会以较短的时间为周期进行发送,由 AP 攻击造成的偏移误差会在短时间内迅速累积最终超过一定安全阈值,导致同步过程失败22。表 57、24、35变化时各结束状态稳态概率变化情况稳态概率脆弱节点变化范围变化幅度变化趋势P(M14)70.118 80.097 90.020 9小幅度下降240.112 20.107 40.004 8微幅下降350.077 90.078 40.000 5微幅上升P(M15)70.059 40.049 00.010 4小幅度下降240.
43、056 10.053 70.002 4微幅下降350.038 90.039 20.000 3微幅上升P(M17)70.178 20.131 60.046 6大幅度下降240.168 20.144 40.023 8小幅度下降350.116 80.105 30.011 5小幅度下降P(M32)700.015 30.015 3小幅度上升2400.016 80.016 8小幅度上升3500.012 20.012 2小幅度上升P(M19)70.178 20.138 70.039 5大幅度下降240.158 90.152 20.006 7微幅下降350.088 70.089 30.000 6微幅上升P(M
44、33)70.009 90.008 20.001 7微幅下降240.009 30.009 00.000 3微幅下降350.002 10.002 20.000 1微幅上升5.3OBC 脆弱性分析在脆弱节点中 10、27分别为 OBC 等待接收 eNo-deB 同步周期报文、延迟响应报文的实施速率,将 10、27的值分别取 030,其他 i的值取 1,依次求解,各稳态概率仿真结果见图 8,各结束状态稳态变化情况见表 6。表 610和 27变化时各结束状态稳态变化情况稳态概率 脆弱节点变化范围变化幅度变化趋势P(M14)100.115 80.098 80.017 0小幅度下降270.109 40.11
45、2 30.002 9几乎不变P(M15)100.057 90.049 40.008 5小幅度下降270.054 70.056 20.001 5几乎不变P(M17)100.167 20.142 70.024 5小幅度下降270.158 10.162 20.004 1几乎不变P(M32)100.006 40.005 50.000 9几乎不变270.006 10.006 20.000 1几乎不变P(M19)100.173 60.125 00.048 6大幅度下降270.164 10.142 10.022 0小幅度下降P(M33)1000.023 20.023 2大幅度上升2700.026 30.02
46、6 3小幅度上升从图 8 和表 6 可以看出,10、27对 OBC 同步状态影响较大。从图 8(a)可以看出,随着实施速率 10逐渐增加,BC、eNodeB、OBC 3 个设备对应的各结07第 1 期陈永等:下一代高速铁路 LTE-时间同步网协议脆弱性分析图 810、27变化时各稳态概率的仿真结果束状态稳态概率均有所波动,其中 OBC 异常结束状态 P(M19)的变化最大,变化幅度达到 0.04,OBC 异常结束状态 P(M33)的变化幅度也达到了 0.02。从图 8(b)可以看出,随着实施速率 27逐渐增加,除了OBC 对应的结束状态稳态概率 P(M19)、P(M33)变化幅度达到 0.02
47、 外,其他设备 的 稳 态 概 率 变 化平稳。5.4LTE-时间同步网脆弱性分析与性能比较通过对上述 BC、eNodeB、OBC 各级时钟节点异常、正常结束状态稳态概率值的综合分析可以发现:对于 LTE-三级时钟节点的稳态概率,随着脆弱节点攻击平均实施速率的增加,均呈现出先增加或减小最后趋于平缓的趋势。这种变化趋势是由马尔科夫链的收敛定理决定的,即对于不可约且非周期的有限状态马尔可夫链,存在着唯一的平稳分布23。不可约性是指如果一个马尔可夫链的状态空间仅有一个连通类,其演变过程中随机变量可以在任意状态间转移。对于图 5 所示的 LTE-脆弱性 MC 中,其马尔科夫链模型包括 33 个状态,属
48、于有限状态马尔科夫链,并且这 33 个状态之间通过不同变迁实施速率连接,属于同一个连通图类,满足不可约性。非周期性是指马尔科夫链中随机变量之间不存在简单重复的回路转换。对于图 5 时间同步 MC 模型中各个状态之间无自环回路,满足非周期性。以上分析说明,本文构建的 LTE-时间同步脆弱性马尔科夫链满足收敛定理,所以稳态概率随着攻击平均实施速率的变化最终趋于平缓。为找出对 LTE-时间同步协议影响最大的脆弱节点,选择 BC、eNodeB、OBC 中分别影响最大的关键报文事件 6、7、10,将其所有的正常、异常结束状态稳态概率的变化幅度累计相加,比较 6、7、10变化对整个同步过程各结束状态稳态概
49、率的影响,比较结果见表 7。表 76、7、10对结束状态稳态概率的影响脆弱节点正常结束稳态概率变化幅度异常结束稳态概率变化幅度60 2010 21770 0330 107100 0200 077由表 7 可见,因 BC 接收 eNodeB 发送的延迟请求报文 6变化导致各结束状态稳态概率变化的幅度是最大的,其次是 7和 10,这说明在 LTE-时间同步网中,一级时钟节点 BC 接收 AP 攻击状态下的报文最能影响 LTE-时间同步网协议的脆弱性,然后依次是二级时钟节点 eNodeB 和三级时钟节点 OBC。该结论与文献 15中通过搭建实验性测试平台对 PTP同步报文进行 AP 欺骗攻击得出的结
50、论相一致。文献 15 使用 2 台运行 Ubuntu Linux 17.1 的 Intelx86 的服务器搭建 PTP 实验测试平台,并通过使用 Scapy 工具构建欺骗数据包来模拟真实的 AP 攻击,得到当针对 PTP 某节点发起攻击时,时序网络层次结构低于该节点的所有节点都会受到影响的结论,即在本文 LTE-时间同步网协议脆弱性因素中,与二、三级时钟节点eNodeB、OBC 在偏移测量阶段受到 AP 攻击对协议造成的影响相比,一级时钟节点 BC 作为协议的主时钟设备,其受到 AP 攻击对协议造成的影响是最大的。本文所得结论与文献 15 实验所得结论相一致,证明了本文 LTE-时间同步网协议
浙ICP备2021020529号-1 | 浙B2-20240490 
