CN101346001A - 一种时钟同步方法、设备及系统 - Google Patents
一种时钟同步方法、设备及系统 Download PDFInfo
- Publication number
- CN101346001A CN101346001A CNA2008101192268A CN200810119226A CN101346001A CN 101346001 A CN101346001 A CN 101346001A CN A2008101192268 A CNA2008101192268 A CN A2008101192268A CN 200810119226 A CN200810119226 A CN 200810119226A CN 101346001 A CN101346001 A CN 101346001A
- Authority
- CN
- China
- Prior art keywords
- clock synchronization
- access point
- sequence number
- clock
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0638—Clock or time synchronisation among nodes; Internode synchronisation
- H04J3/0658—Clock or time synchronisation among packet nodes
- H04J3/0661—Clock or time synchronisation among packet nodes using timestamps
- H04J3/0667—Bidirectional timestamps, e.g. NTP or PTP for compensation of clock drift and for compensation of propagation delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开一种通信技术领域中时钟同步方法,包括:通过加密通道向时钟同步服务器发送时钟同步请求;通过加密通道接收来自所述时钟同步服务器的时钟同步响应。本发明实施例还提供一种接入点时钟同步设备及系统。本发明实施例通过加密通道来传输时钟同步控制信令,也就是对时钟同步控制信令进行了保护,提高了AP和Clock Server之间时钟同步的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种时钟同步方法、设备及系统。
背景技术
通用移动通信系统接入点(UMTS AP,Universal MobileTelecommunications System Access Point)通过现有家庭宽带设备,如不对称数字用户线(ADSL,asymmetric digital subscriber line)调制解调器(MODEM,Modulation and Demodulation),经固定运营商宽带接入网络或公共Internet网络,通过接入网关连接至移动运营商UMTS网络,实现3GUMTS接入应用。接入点(AP,Access Point)主要集成基站(NodeB)和无线网络控制器的功能。
AP启动后从专用服务器,例如:AP归属服务器(AHR,AP HomeRegister)得到可用的时钟同步服务器ClockServer地址,并发起同步请求,ClockServer接收到AP的同步请求后,就向AP发送实时的同步数据包,AP从同步数据包解析时钟信号用来校准自己的晶振。ClockServer部署在固定宽带接入网、固定核心网或者移动核心网上。ClockServer的控制端口暴露在公网上并没有做防攻击防护。AP与ClockServer之间的控制流量和时钟同步流量采取明文传输,并且AP没有对同步数据流做重放攻击判断。
在实现本发明过程中,发明人发现上述时钟同步操作中至少存在如下缺点:
1)ClockServer部署在固定宽带接入网、固定核心网或者移动核心网上,控制端口暴露在公网上,容易受到攻击;
2)AP与ClockServer之间的控制流量和时钟同步流量采取明文传输,容易被窃取、篡改;
3)AP未对同步数据流做重放攻击判断,容易遭受恶意用户重放攻击。
发明内容
本发明实施例提供一种接入点时钟同步方法、设备及系统,通过加密通道来传输时钟同步控制信令,提高了AP和ClockServer之间时钟同步操作的安全性。
本发明实施例是通过以下技术方案实现的:
本发明实施例提供一种时钟同步方法,包括:
通过加密通道向时钟同步服务器发送时钟同步请求;
通过加密通道接收来自所述时钟同步服务器的时钟同步响应。
本发明实施例提供一种网络设备,包括:
时钟同步请求单元,用于通过加密通道向时钟同步服务器发送时钟同步请求;
时钟同步响应接收单元,用于通过加密通道接收来自所述时钟同步服务器的时钟同步响应。
本发明实施例提供一种时钟同步方法,包括:
接收接入点通过加密通道发送的时钟同步请求;
通过加密通道向所述接入点发送时钟同步响应。
本发明实施例提供一种时钟同步服务器,包括:
接收单元,用于接收接入点通过加密通道发送的时钟同步请求;
第一发送单元,用于通过加密通道向所述接入点发送时钟同步响应。
本发明实施例提供一种通信系统,包括接入点和时钟同步服务器,其中,
所述接入点,用于通过加密通道向时钟同步服务器发送时钟同步请求,通过加密通道接收来自所述时钟同步服务器的时钟同步响应;
所述时钟同步服务器,用于接收接入点通过加密通道发送的时钟同步请求,以及通过加密通道向所述接入点发送时钟同步响应。
由上述本发明实施例提供的技术方案可以看出,本发明实施例通过加密通道来传输时钟同步控制信令,对时钟同步控制信令进行了保护,提高了AP和ClockServer之间时钟同步操作的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例一系统结构示意图;
图2为本发明实施例一接入点结构示意图;
图3为本发明实施例一时钟同步服务器结构示意图;
图4为本发明实施例二时钟同步方法流程图;
图5为本发明实施例三时钟同步方法流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在以下实施例中,网络的类型可以是移动网络、固定网络、移动固定移动融合网络等,可以是局域网、城域网、广域网,可以是接入网、核心网、传输网,可以是点对点网络(P2P)、客户机/服务器架构的网络(C/S)等。
在以下实施例中,接入点的类型可以是基站、接入服务器、数字用户线接入复用器(Digital Subscriber Line Access Multiplexer,DSLAM)等。
本发明实施例一提供一种时钟同步系统,如图1所示,包括接入点AP10、及时钟同步服务器ClockServer20。所述接入点10,用于通过加密通道向时钟同步服务器发送时钟同步请求,通过加密通道接收来自所述时钟同步服务器20的时钟同步响应;所述时钟同步服务器20,用于接收接入点10通过加密通道发送的时钟同步请求,以及通过加密通道向所述接入点10发送时钟同步响应。也就是ClockServer提供有控制接口和业务接口,AP10与ClockServer20之间的时钟同步控制信令在所述加密通道内传输,ClockServer20控制接口对通过非加密通道发来的时钟同步请求不进行处理,以防止非法攻击。所述加密通道可以IPSec VPN或SSL VPN。
为完成上述功能,如图2所示,本发明实施例提供的AP10设置有:
时钟同步请求单元100,用于通过加密通道向ClockServer20发送时钟同步请求;
时钟同步响应接收单元101,用于通过加密通道接收来自所述ClockServer20的时钟同步响应。所述时钟同步响应中可选的包含同步请求时间周期、时钟同步流序列号和同步握手序列号中的任意一种或两种。
可选的,所述AP10还设置有:
时钟同步业务流接收单元102,用于接收来自ClockServer20的时钟同步业务流。在所述时钟同步业务流中可选的包含时钟同步流序列号。
如果所述接收的时钟同步响应及时钟同步业务流中携带有时钟同步流序列号,则所述AP10还包括:
防重放攻击单元103,用于判断所述时钟同步业务流中携带的时钟同步流序列号是否与时钟同步响应中携带的时钟同步流序列号相同,如果相同,则确定时钟同步服务器20合法,接收时钟同步业务流。如果确定时钟同步业务流中携带的时钟同步流序列号与时钟同步响应中携带的时钟同步流序列号不相同,则确定时钟同步服务器20非法,丢弃时钟同步业务流。
如果所述接收的时钟同步响应中携带有同步请求时间周期,则所述AP10还包括:
重传时间周期控制单元104,用于设置重传时间周期,该重传时间周期用于监控等待时钟同步服务器20发送时钟同步响应的时间,若等待时钟同步服务器20发送时钟同步响应的时间超过重传时间周期,则触发时钟同步请求单元100断掉当前同步连接,重新发起一次时钟同步请求;所述重传时间周期低于同步请求时间周期。
所述AP10对应的模式包括:网络地址转换(NAT,Netword AddressTranslation)模式和非NAT模式。AP10所在家庭网络Home LAN如果存在防火墙Firewall设备或NAT设备时,本发明实施例称此种模式为NAT模式,此种情况下NAT设备为AP10分配家庭网络Home LAN私网IP地址,ClockServer20下发的时钟同步业务流无法到达AP10,AP10在NAT模式下需要进行NAT/Firewall穿越。AP10所在Home LAN不存在Firewall设备或NAT设备时,本发明实施例称此种模式为非NAT模式,ClockServer20下发的时钟同步业务流可以到达AP10,不需要进行NAT/Firewall穿越。
若AP10侧为NAT模式,该AP10还设置有:
同步握手单元105,用于向ClockServer20发起同步握手请求;若所述时钟同步响应接收单元101接收的时钟同步响应中携带有同步握手序列号,则所述同步握手请求中携带该同步握手序列号。该同步握手单元105可以保证NAT设备的地址转换列表相应的查找项和防火墙策略的有效性。
所述ClockServer20可以设置在固定核心网、移动核心网或固定接入网,如图3所示,为完成上述功能,本发明实施例提供的ClockServer20设置有:
接收单元200,用于接收AP10通过加密通道发送的时钟同步请求;
第一发送单元201,用于通过加密通道向所述接入点10发送时钟同步响应。所述时钟同步响应中可选的携带同步握手序列号、时钟同步流序列号和同步请求时间周期中的任意一种或多种。
可选的,所述ClockServer20还设置有:
第二发送单元202,用于向接入点10发送时钟同步业务流。所述时钟同步业务流中可选的携带有时钟同步流序列号。所述时钟同步业务流可以在加密通道内发送,也可以在加密通道外的公网不采用安全机制发送,或者在加密通道外采用安全机制发送,来保证时钟同步业务流的机密性和完整性。
可选的,所述ClockServer20还可以设置有:
第一分配管理单元205,用于为AP10随机分配序列号,包括同步握手序列号和时钟同步流序列号中的任意一种或两种;
第一存储单元206,用于存储所述第一分配管理单元205为接入点分配的序列号;
第三发送单元207,用于向所述接入点发送所述第一分配管理单元205为接入点分配序列号。
可选的,所述ClockServer20还可以设置有:
第二分配管理单元208,用于为AP10分配同步请求时间周期;
第二存储单元209,用于存储所述第二分配管理单元208为接入点分配的同步请求时间周期;
第四发送单元210,用于向所述接入点发送所述第二分配管理单元208为接入点分配的同步请求时间周期。
可选的,所述ClockServer20还可以设置有:
同步握手单元203,用于接收接入点发送的同步握手请求;若所述同步握手请求中携带有同步握手序列号,则所述ClockServer20还包括:
防重放攻击单元204,用于根据所述同步握手序列号判断接入点的合法性,进行防重放攻击。
本发明实施例所述系统通过加密通道传输时钟同步控制信令(包括所述的时钟同步请求及时钟同步响应),保证了时钟同步控制信令的安全性。避免了时钟同步控制信令及时钟同步业务流被窃取及篡改。
通过在时钟同步响应中携带同步握手序列号和时钟同步流序列号,来保证通信双方的合法性。每一次时钟同步操作分配的同步握手序列号和同步流序列号是随机产生的,以保证双方合法和防重放攻击。
ClockServer20部署灵活,可以根据不同的现网情况选择不同的部署方式。
本发明实施例二提供一种时钟同步方法,通过加密通道对AP与ClockServer之间的时钟同步控制信令进行保护,如图4所示,该方法包括如下步骤:
步骤41:AP通过加密通道向ClockServer发送时钟同步请求;
AP在通过加密通道向ClockServer发送时钟同步请求前,确定AP对应的模式,获取ClockServer信息及AP自己的公网IP地址和端口号等信息;所述AP对应的模式包括NAT模式和非NAT模式。所述AP获取的ClockServer信息可以是单独一个ClockServer的控制接口和业务接口IP地址和端口号;也可以是ClockServer列表,包含多个ClockServer控制接口和业务接口IP地址和端口号;如果AP获取的是ClockServer列表,则AP首先向ClockServer列表中的初始ClockServer发起所述时钟同步请求,如果失败,再向下一ClockServer发起所述时钟同步请求;
所述加密通道可以为IPSec VPN或或SSL VPN。所述加密通道的建立过程为现有技术,本发明对此不做详细描述。
所述时钟同步请求中可以携带:标识AP身份的标识如UID、AP对应的模式信息、AP公网IP地址和端口号等信息;
步骤42:ClockServer在所述加密通道内回时钟同步响应给AP;
ClockServer在接收到上述时钟同步请求后,记录上述请求中携带的信息,并在加密通道内回送时钟同步响应给AP。
若AP为NAT模式,则执行步骤43,若AP为非NAT模式,则执行步骤44;
步骤43:AP与ClockServer进行握手通信;
由于NAT模式下,ClockServer下发的时钟同步业务流无法到达AP,AP在NAT模式下需要进行NAT/Firewall穿越,因此在此种模式下AP向ClockServer发送握手请求,并接收ClockServer的握手响应,以维持该时钟同步会话连接,保证NAT设备的NAT table相应的查找项和防火墙策略的有效性。
步骤44:ClockServer向AP发送时钟同步业务流。
ClockServer发送时钟同步业务流的方法包括:
1)在加密通道内传输;
2)在加密通道外的公网不采用安全机制传输;
3)在加密通道外采用安全机制传输,来保证时钟同步业务流的机密性和完整性。
上述本发明实施例二通过加密通道来传输时钟同步控制信令(时钟同步请求及时钟同步响应),保证了时钟同步控制信令的安全性,避免了时钟同步控制信令及时钟同步业务流被窃取及篡改。
本发明实施例三提供一种时钟同步方法,通过加密通道对AP与ClockServer之间的时钟同步控制信令进行保护,AP或ClockServer支持防重放攻击,如图5所示,包括如下步骤:
步骤51:AP通过加密通道向ClockServer发送时钟同步请求;
AP在通过加密通道向ClockServer发送时钟同步请求前,确定AP对应的模式,获取ClockServer信息及AP自己的公网IP地址和端口号等信息;所述AP对应的模式包括NAT模式和非NAT模式。所述AP获取的ClockServer信息可以是单独一个ClockServer的控制接口和业务接口IP地址和端口号;也可以是ClockServer列表,包含多个ClockServer控制接口和业务接口IP地址和端口号;如果AP获取的是ClockServer列表,则AP首先向ClockServer列表中的初始ClockServer发起所述时钟同步请求,如果失败,再向下一ClockServer发起所述时钟同步请求;
所述加密通道可以为IPSec VPN或SSL VPN。所述加密通道的建立过程为现有技术,本发明对此不做详细描述。
所述时钟同步请求中可以携带:标识AP身份的标识如UID、AP对应的模式信息、AP公网IP地址和端口号等信息;
步骤52:ClockServer在加密通道内发送携带随机分配的序列号的时钟同步响应给AP;
所述随机分配的序列号包括:时钟同步流序列号和同步握手序列号中的任意一种或两种。所述时钟同步流序列号和同步握手序列号与AP的标识相对应,是由ClockServer为其随机分配的,以保证每次同步操作时分配的序列号不同。
ClockServer在接收到上述时钟同步请求后,记录上述请求中携带的信息;并根据所述携带的信息确定AP模式,若AP为NAT模式,则可以为AP随机分配并存储时钟同步流序列号和/或同步握手序列号,之后执行步骤53;若AP为非NAT模式,则为AP随机分配并存储时钟同步流序列号,之后执行步骤55。
所述ClockServer在加密通道内回送携带上述时钟同步流序列号和/或同步握手序列号的时钟同步响应给AP。
步骤53:AP向ClockServer发起同步握手请求,若上述时钟同步响应中携带有同步握手序列号,则该同步握手请求中携带该同步握手序列号;
AP接收到上述时钟同步响应后,保存ClockServer为其随机分配的序列号,并向ClockServer发起携带所述同步握手序列号的同步握手请求;
步骤54:ClockServer向AP发送同步握手响应;
若所述同步握手请求中携带有同步握手序列号,则ClockServer对AP的地址和同步握手序列号做判断,若判断为合法AP的握手请求,则执行步骤55;若判断为非法AP的握手请求,则不执行后续同步操作,直到接收到合法的AP握手请求,之后再执行步骤55。
所述判断合法的方法可以为:将所述AP携带的同步握手序列号及AP标识与ClockServer侧记录的AP的标识及为其分配的同步握手序列号对比,若一致则合法,否则为非法。
步骤55:ClockServer向AP发送时钟同步业务流,若上述步骤52中ClockServer为AP随机分配了时钟同步流序列号,则ClockServer在该下发的时钟同步业务流中携带与该AP相应的时钟同步流序列号;
ClockServer发送时钟同步业务流的方法包括:
1)在加密通道内传输;
2)在加密通道外的公网,来保证时钟同步业务流的机密性和完整性传输;
3)在加密通道外采用安全机制传输,以保证时钟同步业务流的机密性和完整性。
若所述ClockServer在下发的时钟同步业务流中携带与该AP相应的时钟同步流序列号,则执行步骤56,否则,结束本次时钟同步操作。
步骤56:AP对时钟同步业务流中的时钟同步流序列号做判断,若合法则接收该时钟同步业务流,若非法,则丢弃该时钟同步业务流;
所述AP判断是否合法的方法包括:将时钟同步业务流中携带的时钟同步流序列号与步骤53中保存的相应序列号比较,若一致,则确定合法,否则确定为非法。
上述本发明实施例三通过加密通道来传输时钟同步控制信令(时钟同步请求及时钟同步响应),保证了时钟同步控制信令的安全性。避免了时钟同步控制信令及业务流被窃取及篡改。
通过在同步响应信息中携带同步握手序列号和时钟同步流序列号,来保证通信双方的合法性。
每一次时钟同步操作分配的同步握手序列号和同步流序列号是随机产生的,以保证双方合法和防重放攻击。
本发明实施例四提供一种时钟同步方法,本实施例与实施例二或实施例三的区别在于,在步骤52中,ClockServer在所述加密通道内回时钟同步响应同时,发送同步请求时间周期lifetime给AP。
AP接收到该lifetime后,根据lifetime设置低于lifetime的重传时间周期,也就是AP在向ClockServer发起时钟同步请求来告知ClockServer保持正常工作状态后,通过重传时间周期来监控等待时钟同步响应的时间,若在重传时间周期内没有接收到ClockServer的时钟同步响应,则AP断掉此同步连接,重新发起一次同步请求,否则继续等待ClockServer发送的时钟同步响应。
本实施例的其他步骤同实施例二或实施例三,此处不再赘述。
本实施例四通过设置重传时间周期进行了重传保护,避免了由于一次同步请求失败,使得AP一直处于等待状态,影响后续的时钟同步操作。
综上所述,本发明实施例通过加密通道来传输时钟同步控制信令,也就是对时钟同步控制信令进行了保护,提高了AP和ClockServer之间时钟同步的安全性;并可以利用已有的加密通道来传输该时钟同步控制信令,降低了整网成本和开发量;
通过在同步响应信息中携带同步握手序列号和时钟同步流序列号,来保证通信双方的合法性;
每一次时钟同步操作分配的同步握手序列号和同步流序列号是随机产生的,以保证双方合法和防重放攻击;
ClockServer部署灵活,可以根据不同的现网情况选择不同的部署方式。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (26)
1、一种时钟同步方法,其特征在于,包括:
通过加密通道向时钟同步服务器发送时钟同步请求;
通过加密通道接收来自所述时钟同步服务器的时钟同步响应。
2、如权利要求1所述的方法,其特征在于,所述通过加密通道向时钟同步服务器发送时钟同步请求后,所述方法还包括:
与所述时钟同步服务器握手通信。
3、如权利要求2所述的方法,其特征在于,所述时钟同步响应中携带有时钟同步服务器随机分配的同步握手序列号,所述与所述时钟同步服务器握手通信包括:
向时钟同步服务器发送携带有所述同步握手序列号的同步握手请求;
接收来自时钟同步服务器的响应消息,所述响应消息包括时钟同步服务器根据所述同步握手序列号对所述接入点的合法性判断结果。
4、如权利要求1或3所述的方法,其特征在于,所述时钟同步响应中携带有同步请求时间周期,所述方法还包括:
根据所述同步请求时间周期设置重传时间周期,令重传时间周期低于所述同步请求时间周期,将所述重传时间周期作为监控后续发起时钟同步请求后等待时钟同步响应的时间。
5、如权利要求4所述的方法,其特征在于,将所述重传时间周期作为监控后续发起时钟同步请求后等待时钟同步响应的时间包括:
通过加密通道向时钟同步服务器发送时钟同步请求后,判断等待接收来自时钟同步服务器的时钟同步响应的时间是否超过设置的重传时间周期,若超过,则断掉当前同步连接,在加密通道内再次发起一次同步请求;若没有超过,则等待时钟同步服务器发送时钟同步响应。
6、如权利要求1所述的方法,其特征在于,通过加密通道接收来自所述时钟同步服务器的时钟同步响应后,所述方法还包括:
接收来自所述时钟同步服务器的时钟同步业务流。
7、如权利要求6所述的方法,其特征在于,所述时钟同步响应及时钟同步业务流中携带有时钟同步流序列号,在接收时钟同步业务流后,所述方法还包括:
判断所述时钟同步业务流中携带的时钟同步流序列号是否与时钟同步响应中携带的时钟同步流序列号相同,如果相同,则确定时钟同步服务器合法,接收该时钟同步业务流。
8、如权利要求7所述的方法,其特征在于,所述方法还包括:
如果确定时钟同步业务流中携带的时钟同步流序列号与时钟同步响应中携带的时钟同步流序列号不相同,则确定时钟同步服务器非法,丢弃该时钟同步业务流。
9、一种网络设备,其特征在于,包括:
时钟同步请求单元,用于通过加密通道向时钟同步服务器发送时钟同步请求;
时钟同步响应接收单元,用于通过加密通道接收来自所述时钟同步服务器的时钟同步响应。
10、如权利要求9所述的网络设备,其特征在于,还包括:
时钟同步业务流接收单元,用于接收来自时钟同步服务器的时钟同步业务流。
11、如权利要求10所述的网络设备,其特征在于,如果所述时钟同步响应及时钟同步业务流中携带有时钟同步流序列号,则所述网络设备还包括:
防重放攻击单元,用于判断所述时钟同步业务流中携带的时钟同步流序列号是否与时钟同步响应中携带的时钟同步流序列号相同,如果相同,则确定时钟同步服务器合法,接收时钟同步业务流。
12、如权利要求11所述的网络设备,其特征在于,所述防重放攻击单元如果确定时钟同步业务流中携带的时钟同步流序列号与时钟同步响应中携带的时钟同步流序列号不相同,则确定时钟同步服务器非法,丢弃时钟同步业务流。
13、如权利要求9所述的网络设备,其特征在于,如果所述时钟同步响应中携带有同步请求时间周期,则所述网络设备还包括:
重传时间周期控制单元,用于设置重传时间周期,该重传时间周期用于监控等待时钟同步服务器发送时钟同步响应的时间,若等待时钟同步服务器发送时钟同步响应的时间超过重传时间周期,则触发时钟同步请求单元断掉当前同步连接,重新发起一次时钟同步请求;所述重传时间周期低于同步请求时间周期。
14、如权利要求9所述的网络设备,其特征在于,还包括:
同步握手单元,用于向时钟同步服务器发起同步握手请求;若所述接收单元接收的时钟同步响应中携带有同步握手序列号,则所述同步握手请求中携带该同步握手序列号。
15、一种时钟同步方法,其特征在于,包括:
接收接入点通过加密通道发送的时钟同步请求;
通过加密通道向所述接入点发送时钟同步响应。
16、如权利要求15所述的方法,其特征在于,所述接收接入点通过加密通道发送的时钟同步请求后,所述方法还包括:
为接入点随机分配同步握手序列号或时钟同步流序列号,存储所述同步握手序列号或时钟同步流序列号;
向所述接入点发送所述为接入点分配的同步握手序列号或时钟同步流序列号。
17、如权利要求15所述的方法,其特征在于,所述接收接入点通过加密通道发送的时钟同步请求后,所述方法还包括:
为接入点分配同步请求时间周期,存储所述同步请求时间周期;
向所述接入点发送所述为接入点分配的同步请求时间周期。
18、如权利要求15所述的方法,其特征在于,通过加密通道向所述接入点发送时钟同步响应后,所述方法还包括:
接收来自接入点的同步握手请求;若所述同步握手请求中携带有同步握手序列号,则根据所述同步握手序列号判断接入点的合法性,进行防重放攻击。
19、如权利要求15至18中任一项所述的方法,其特征在于,还包括:
向所述接入点发送时钟同步业务流。
20、一种时钟同步服务器,其特征在于,包括:
接收单元,用于接收接入点通过加密通道发送的时钟同步请求;
第一发送单元,用于通过加密通道向所述接入点发送时钟同步响应。
21、如权利要求20所述的时钟同步服务器,其特征在于,还包括:
第二发送单元,用于向所述接入点发送时钟同步业务流。
22、如权利要求20所述的时钟同步服务器,其特征在于,还包括:
第一分配管理单元,用于为接入点随机分配同步握手序列号和/或时钟同步流序列号;
第一存储单元,用于存储所述第一分配管理单元为接入点分配的同步握手序列号和/或时钟同步流序列号;
第三发送单元,用于向所述接入点发送所述第一分配管理单元为接入点分配的同步握手序列号和/或时钟同步流序列号。
23、如权利要求20所述的时钟同步服务器,其特征在于,还包括:
第二分配管理单元,用于为接入点分配同步请求时间周期;
第二存储单元,用于存储所述第二分配管理单元为接入点分配的同步请求时间周期;
第四发送单元,用于向所述接入点发送所述第二分配管理单元为接入点分配的同步请求时间周期。
24、如权利要求20所述的时钟同步服务器,其特征在于,还包括:
同步握手单元,用于接收接入点发送的同步握手请求;若所述同步握手请求中携带有同步握手序列号,则所述时钟同步服务器还包括:
防重放攻击单元,用于根据所述同步握手序列号判断接入点的合法性,进行防重放攻击。
25、一种通信系统,其特征在于,包括接入点和时钟同步服务器,其中,
所述接入点,用于通过加密通道向时钟同步服务器发送时钟同步请求,通过加密通道接收来自所述时钟同步服务器的时钟同步响应;
所述时钟同步服务器,用于接收接入点通过加密通道发送的时钟同步请求,以及通过加密通道向所述接入点发送时钟同步响应。
26、如权利要求25所述的系统,其特征在于,所述时钟同步服务器设置于固定核心网、移动核心网或固定接入网。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101192268A CN101346001A (zh) | 2008-08-29 | 2008-08-29 | 一种时钟同步方法、设备及系统 |
| PCT/CN2009/073498 WO2010022650A1 (zh) | 2008-08-29 | 2009-08-25 | 一种时钟同步方法、设备及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA2008101192268A CN101346001A (zh) | 2008-08-29 | 2008-08-29 | 一种时钟同步方法、设备及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101346001A true CN101346001A (zh) | 2009-01-14 |
Family
ID=40247861
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2008101192268A Pending CN101346001A (zh) | 2008-08-29 | 2008-08-29 | 一种时钟同步方法、设备及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101346001A (zh) |
| WO (1) | WO2010022650A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010022650A1 (zh) * | 2008-08-29 | 2010-03-04 | 华为技术有限公司 | 一种时钟同步方法、设备及系统 |
| WO2011143950A1 (zh) * | 2011-01-26 | 2011-11-24 | 华为技术有限公司 | 一种实现时间同步的方法和装置 |
| CN105282737A (zh) * | 2015-11-17 | 2016-01-27 | 上海斐讯数据通信技术有限公司 | 一种无线网络系统及其应用的安全认证方法 |
| CN107991643A (zh) * | 2017-11-14 | 2018-05-04 | 国网福建省电力有限公司 | 一种电能表时钟校正方法 |
| CN108809519A (zh) * | 2018-06-13 | 2018-11-13 | 浙江易享节能技术服务股份有限公司 | 一种临界数据处理方法 |
| CN112911593A (zh) * | 2021-01-29 | 2021-06-04 | 深圳市优博讯科技股份有限公司 | 一种专网环境下终端时间同步的方法及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103945237A (zh) * | 2014-04-23 | 2014-07-23 | 海信集团有限公司 | 一种时钟同步方法、系统及数字电视设备、epg服务器 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI104666B (fi) * | 1997-11-10 | 2000-04-14 | Nokia Networks Oy | Varma kättelyprotokolla |
| NO20006684D0 (no) * | 2000-12-28 | 2000-12-28 | Abb Research Ltd | Tidssynkronisering |
| CN1501713A (zh) * | 2002-11-12 | 2004-06-02 | 北京中视联数字系统有限公司 | 数字电视前端服务器时钟同步方法 |
| US7620181B2 (en) * | 2005-04-20 | 2009-11-17 | Harris Corporation | Communications system with minimum error cryptographic resynchronization |
| CN1909551B (zh) * | 2005-08-03 | 2010-08-11 | 北京航空航天大学 | 基于Web服务的数据交换方法 |
| CN101346001A (zh) * | 2008-08-29 | 2009-01-14 | 华为技术有限公司 | 一种时钟同步方法、设备及系统 |
-
2008
- 2008-08-29 CN CNA2008101192268A patent/CN101346001A/zh active Pending
-
2009
- 2009-08-25 WO PCT/CN2009/073498 patent/WO2010022650A1/zh active Application Filing
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010022650A1 (zh) * | 2008-08-29 | 2010-03-04 | 华为技术有限公司 | 一种时钟同步方法、设备及系统 |
| WO2011143950A1 (zh) * | 2011-01-26 | 2011-11-24 | 华为技术有限公司 | 一种实现时间同步的方法和装置 |
| US9357515B2 (en) | 2011-01-26 | 2016-05-31 | Huawei Technologies Co., Ltd. | Method and apparatus of implementing time synchronization |
| US9717062B2 (en) | 2011-01-26 | 2017-07-25 | Huawei Technologies Co., Ltd. | Method and apparatus of implementing time synchronization |
| US10375662B2 (en) | 2011-01-26 | 2019-08-06 | Huawei Technologies Co., Ltd. | Method and apparatus of implementing time synchronization |
| CN105282737A (zh) * | 2015-11-17 | 2016-01-27 | 上海斐讯数据通信技术有限公司 | 一种无线网络系统及其应用的安全认证方法 |
| CN107991643A (zh) * | 2017-11-14 | 2018-05-04 | 国网福建省电力有限公司 | 一种电能表时钟校正方法 |
| CN108809519A (zh) * | 2018-06-13 | 2018-11-13 | 浙江易享节能技术服务股份有限公司 | 一种临界数据处理方法 |
| CN112911593A (zh) * | 2021-01-29 | 2021-06-04 | 深圳市优博讯科技股份有限公司 | 一种专网环境下终端时间同步的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010022650A1 (zh) | 2010-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6832313B1 (en) | Migration from in-clear to encrypted working over a communications link | |
| JP5049588B2 (ja) | 通信の複数の代替モードを用いて複数のメッセージを配信するためのシステムおよび方法 | |
| EP1955520B1 (en) | Method and apparatus for providing secure remote access to enterprise networks | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| US8522315B2 (en) | Automatic configuration of client terminal in public hot spot | |
| US8185946B2 (en) | Wireless firewall with tear down messaging | |
| CN101346001A (zh) | 一种时钟同步方法、设备及系统 | |
| CN1799241B (zh) | Ip移动性 | |
| US8195950B2 (en) | Secure and seamless wireless public domain wide area network and method of using the same | |
| CN101232372B (zh) | 认证方法、认证系统和认证装置 | |
| US20050191997A1 (en) | Wireless provisioning device | |
| US7742487B2 (en) | System and method for integrated service access | |
| CN101027888A (zh) | 建立多安全连接的安全通信方法、设备和计算机可读介质 | |
| EP2237587A1 (en) | Radio communication system, base station device, gateway device, and radio communication method | |
| WO2005024567A2 (en) | Network communication security system, monitoring system and methods | |
| EP1299974B1 (en) | Method and apparatus for intercepting packets in a packet-oriented network | |
| CN107277058A (zh) | 一种基于bfd协议的接口认证方法及系统 | |
| CN101207475B (zh) | 一种网络系统的防止非授权连结方法 | |
| CN103731410A (zh) | 虚拟网络构建系统、方法、小型终端及认证服务器 | |
| US20070006292A1 (en) | Method and system for the transparent transmission of data traffic between data processing devices, corresponding computer program product, and corresponding computer-readable storage medium | |
| CN110024432B (zh) | 一种x2业务传输方法及网络设备 | |
| CN101515881A (zh) | 下发接入点设备初始配置信息的方法、装置及系统 | |
| CN102075567B (zh) | 认证方法、客户端、服务器、直通服务器及认证系统 | |
| CN104113889A (zh) | 一种基于回传通道的连接建立的方法及装置 | |
| Cisco | Feature Guide for Cisco IOS Release 11.2 F |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20090114 |