CN102801733A - Ptp中设置安全认证的方法 - Google Patents
Ptp中设置安全认证的方法 Download PDFInfo
- Publication number
- CN102801733A CN102801733A CN2012103092275A CN201210309227A CN102801733A CN 102801733 A CN102801733 A CN 102801733A CN 2012103092275 A CN2012103092275 A CN 2012103092275A CN 201210309227 A CN201210309227 A CN 201210309227A CN 102801733 A CN102801733 A CN 102801733A
- Authority
- CN
- China
- Prior art keywords
- ptp
- value
- message
- time
- field
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Small-Scale Networks (AREA)
Abstract
本发明揭示了一种PTP中设置安全认证的方法,其包括:预先在时间同步源和时间同步设备上设置密钥,在时间同步源向时间同步设备发布同步信息时,在发送的PTP报文中增加一个身份验证字段,所述字段包括第一MD5值,该第一MD5值由sequenceID字段和所述密钥逻辑运算组成;时间同步设备端在收到所述PTP报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到第二MD5值;并将两MD5值相比较,相同的PTP报文则通过PTP认证,不同则将报文丢弃,如此,保证了PTP的通信安全,使得运行PTP协议的设备不易受到来自互联网的恶意攻击影响。
Description
技术领域
本发明涉及计算机通信技术领域,尤其涉及计算机网络数据通信技术的PTP中设置安全认证的方法。
背景技术
PTP(Precision Time Protocol,精确时钟同步协议)是一种时间同步的协议,其规定的同步源选举机制如下:
当启用了PTP协议的接口接收到一个Announce报文,通过解析Announce报文,得到Announce报文中的时间同步质量、时间同步优先级等与同步源选举有关的信息。
在得到这些信息之后,与接口所在设备自身的时间同步质量、时间同步优先级等信息相比较,取所有收到报文中时间同步质量最佳者为同步源,若自身即为最佳者,不向其他设备进行时间同步。称选中的同步源为Master(时间同步源),同步设备为Slave(时间同步设备)。
Slave设备接收Master设备所发出的Sync(同步)报文后,再通过相应的同步机制进行时间同步。PTP同步的基本原理是主、从时钟之间交互同步报文并记录报文的收发时间,通过计算报文往复的时间差来计算主、从时钟之间的往返总延时。PTP协议中规定的时间同步机制有如下两种:
1)Delay-request(延时请求)机制
主要同步机理如图一所示,slave设备的时钟校正值为:
Offset=0.5*[(T2-T 1)-(T4-T3)]
2)Peer-delay(端延时)机制
主要同步机理如图二所示,slave与master见的平均链路延迟为:
Mean_delay=0.5*[(t4-t 1)-(t3-t2)]
假设同步报文在Master的T1时刻发出,在slave的T2时刻到达,则slave设备的时钟校正值为:
Offset=T1+Mean_delay-T2
PTP协议v2版本由工业背景的PTP协议v1版本演进而来,v2版本的PTP协议,能够在以太网这样的共享网络中,进行亚微米秒级别的精确时间同步。v2版本虽然考虑了精确时间在以太网中传递的基本流程,但是协议缺乏有效的安全保障机制,被恶意报文攻击时,时间同步机能将收到影响,相关业务将大规模失效。例如,攻击者可模拟一台声称同步质量和精度优于网络中所有主钟的设备,而随意设置其发出包的时戳,导致整个网络的时间同步都将被打乱。
发明内容
本发明的目的在于克服现有技术的缺陷,提供一种PTP设置安全认证的方法,其在Master侧和Slave侧分别对报文进行安全认证,添加报文有效期和超时机制,使得同步双方能最大可能地屏蔽恶意报文的冲击,以确保PTP协议的通信安全。
为实现上述目的,本发明提出如下技术方案:一种PTP中设置安全认证的方法,包括:
预先在时间同步源和时间同步设备上设置密钥,在时间同步源向时间同步设备发布同步信息时,在发送的PTP报文中增加一个身份验证字段,所述字段包括第一MD5值,该第一MD5值由sequenceID字段和所述密钥逻辑运算组成;
时间同步设备端在收到所述PTP报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到第二MD5值;以及
比较所述第一MD5值和第二MD5值,并将两者相同的通告报文通过PTP认证。
在同一时钟同步域内的所有合法同步设备上,所述密钥相同。
所述密钥不在网络上传输。
所述第一MD5值和第二MD5值均由sequenceID字段和对应设备的密钥逻辑与产生。
对第一MD5值不同于第二MD5值的报文不通过认证,并将该报文丢弃。
所述方法适用于时间同步设备向时间同步源发送同步信息时的安全认证。
所述sequenceID字段的值由通信发起方随机分配或为响应相对应报文的sequenceID的值。
与现有技术相比,本发明所揭示的本发明引入的PTP协议通信双方的身份认证机制,保证了PTP的通信安全,使得运行PTP协议的设备不易受到来自互联网的恶意攻击影响。
附图说明
图1是PTP协议中请求应答延迟机制的示意图;
图2是PTP协议中端延迟机制的示意图。
图3是本发明中的PTP协议中发送报文的组成示意图。
具体实施方式
下面将结合本发明的附图,对本发明实施例的技术方案进行清楚、完整的描述。
本发明提出的PTP中设置安全认证的方法,其预先为时间同步的时间同步源(Master)和时间同步设备(Slave)双方定义一个密钥,此密钥不会在网络上传输。在时间同步源在发布同步信息时,增加一个身份验证字段,该字段包含一个MD5(Message-Digest Algorithm 5,信息摘要算法第五版)值,该MD5值为发送端的MD5值,其是由PTP报文中的sequenceID字段和密钥key进行“逻辑与”运算的结果值。如表一所示为普通的PTP报文头的格式:
表一PTP报文头格式
如图3所示是本发明中的PTP报文的组成,其中包括了身份认证TLV的信息,包括TLV类型,TLV长度以及身份认证字段MD5值,TLV类型见IEEE1588chanpter 14.1.1可使用当前预留值4000-ffff范围内的值,TLV长度由MD5值长度决定。
时间同步设备在收到PTP报文时,把PTP报文头中的sequenceID字段和本地密钥key进行“与”运算,再取结果得到接收端的MD5值。时间同步设备将这个运算得到的接收端的MD5值和收到的PTP报文中包含的发送端的MD5值进行比较,若两者相等,则认证通过,否则认为认证失败。
时间同步设备端在选时间同步源时只认可认证通过的Announce报文,认证失败的Announce报文直接忽略。
此外,在由时间同步设备逆向发送给时间同步源报文时,采用同样的机制作身份认证,即时间同步设备发送的PTP报文中包括一个发送端的MD5值,该MD5值由sequenceID字段和密钥进行“逻辑与”运算的结果;Master在收到报文时,把报文中sequenceID字段和本地密钥进行与运算后,取得接收端的MD5值,Master将这个运算得到的接收端的MD5值和收到的PTP报文中包含的发送端的MD5值进行比较,若两者相等,则认证通过,否则认为认证失败。且该认证有效范围涵盖整个选源和同步过程,以delay-response模式为例,包括slave端的选源过程,slave端接收时间同步信息(sync报文,follow_up报文,delay_resp报文)过程和master端接收delay_req过程。
同步时,将所有的PTP协议通信中认证不通过的PTP报文作丢弃处理,并上报日志记录。
在PTP协议中,一般报文中的sequenceID值由通信发起方随机分配(详见IEEE STD.1588协议),然以下四种报文使用的sequenceID值分别为对应的发送报文的sequenceID值:
Pdelay_Resp(端延时应答)报文:使用对应的Pdelay_Req(端延时请求)报文的sequenceID;
Follow_Up(跟随)报文:使用对应的Sync(同步)报文的sequenceID。
Delay_RResp(延时应答)报文:使用对应的Delay_Req(延时请求)报文的sequenceID。
Pdelay_Resp_Follow_Up(端延时应答跟随)报文:使用对应的Pdelay_Req(端延时请求)报文的sequenceID。
更进一步地,设置安全认证时,同一时钟同步域内的所有合法同步设备使用同一个密钥,该密钥在部署网络时事先给定,且永不在网络上传输。
本发明的技术内容及技术特征已揭示如上,然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰,因此,本发明保护范围应不限于实施例所揭示的内容,而应包括各种不背离本发明的替换及修饰,并为本专利申请权利要求所涵盖。
Claims (6)
1.一种PTP中设置安全认证的方法,其特征在于包括:
预先在时间同步源和时间同步设备上设置密钥,在时间同步源向时间同步设备发布同步信息时,在发送的PTP报文中增加一个身份验证字段,所述字段包括第一MD5值,该第一MD5值由sequenceID字段和所述密钥逻辑运算组成;
时间同步设备端在收到所述PTP报文时,将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算,得到第二MD5值;以及
比较所述第一MD5值和第二MD5值,并将两者相同的PTP报文通过PTP认证。
2.根据权利要求1所述的方法,其特征在于:在同一时钟同步域内的所有合法同步设备上,所述密钥相同。
3.根据权利要求1所述的方法,其特征在于:所述密钥不在网络上传输。
4.根据权利要求1所述的方法,其特征在于:所述第一MD5值和第二MD5值均由sequenceID字段和对应设备的密钥逻辑与的结果作MD5运算产生。
5.根据权利要求1所述的方法,其特征在于:对第一MD5值不同于第二MD5值的报文不通过认证,并将该报文丢弃。
6.根据权利要求1所述的方法,其特征在于:所述方法适用于时间同步设备向时间同步源发送同步信息时的安全认证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103092275A CN102801733A (zh) | 2012-08-28 | 2012-08-28 | Ptp中设置安全认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2012103092275A CN102801733A (zh) | 2012-08-28 | 2012-08-28 | Ptp中设置安全认证的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102801733A true CN102801733A (zh) | 2012-11-28 |
Family
ID=47200696
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2012103092275A Pending CN102801733A (zh) | 2012-08-28 | 2012-08-28 | Ptp中设置安全认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102801733A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105072104A (zh) * | 2015-07-30 | 2015-11-18 | 积成电子股份有限公司 | 具有防iee1588串改功能的交换机系统及处理方法 |
| US9912693B1 (en) | 2015-04-06 | 2018-03-06 | Sprint Communications Company L.P. | Identification of malicious precise time protocol (PTP) nodes |
| WO2019149280A1 (zh) * | 2018-02-02 | 2019-08-08 | 中兴通讯股份有限公司 | 同步报文的生成方法、同步设备及计算机可读存储介质 |
| CN110267130A (zh) * | 2019-07-01 | 2019-09-20 | 博为科技有限公司 | 一种基于sdn的光网络单元的远程配置方法和装置 |
| CN115085853A (zh) * | 2022-08-22 | 2022-09-20 | 中国船舶重工集团公司第七0七研究所 | 一种时频基准设备时频分机高精度独立守时方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090204811A1 (en) * | 2005-05-31 | 2009-08-13 | Siemens Aktiengesellschaft | Method For The Encrypted Transmission Of Synchronization Messages |
| CN101873298A (zh) * | 2009-04-21 | 2010-10-27 | 华为软件技术有限公司 | 注册方法及终端、服务器、系统 |
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
| CN102594553A (zh) * | 2011-01-12 | 2012-07-18 | 上海贝尔股份有限公司 | Ptp协议密钥分配方法及装置 |
-
2012
- 2012-08-28 CN CN2012103092275A patent/CN102801733A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090204811A1 (en) * | 2005-05-31 | 2009-08-13 | Siemens Aktiengesellschaft | Method For The Encrypted Transmission Of Synchronization Messages |
| CN101873298A (zh) * | 2009-04-21 | 2010-10-27 | 华为软件技术有限公司 | 注册方法及终端、服务器、系统 |
| CN102065067A (zh) * | 2009-11-11 | 2011-05-18 | 杭州华三通信技术有限公司 | 一种在门户服务器和客户端之间防重放攻击的方法及设备 |
| CN102594553A (zh) * | 2011-01-12 | 2012-07-18 | 上海贝尔股份有限公司 | Ptp协议密钥分配方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| IEC 61588: ""IEEE1588:precision clock synchronization protocol for networked measurement and control systems"", 《INTERNATIONAL STANDARD -IEC》 * |
| 李万林等: ""智能变电站统一网络授时服务器坚强架构研究"", 《电力系统通信》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9912693B1 (en) | 2015-04-06 | 2018-03-06 | Sprint Communications Company L.P. | Identification of malicious precise time protocol (PTP) nodes |
| CN105072104A (zh) * | 2015-07-30 | 2015-11-18 | 积成电子股份有限公司 | 具有防iee1588串改功能的交换机系统及处理方法 |
| CN105072104B (zh) * | 2015-07-30 | 2019-06-07 | 积成电子股份有限公司 | 具有防ieee1588篡改功能的交换机系统及处理方法 |
| WO2019149280A1 (zh) * | 2018-02-02 | 2019-08-08 | 中兴通讯股份有限公司 | 同步报文的生成方法、同步设备及计算机可读存储介质 |
| CN110138486A (zh) * | 2018-02-02 | 2019-08-16 | 中兴通讯股份有限公司 | 同步报文的生成方法、同步设备及计算机可读存储介质 |
| CN110138486B (zh) * | 2018-02-02 | 2021-10-12 | 中兴通讯股份有限公司 | 同步报文的生成方法、同步设备及计算机可读存储介质 |
| CN110267130A (zh) * | 2019-07-01 | 2019-09-20 | 博为科技有限公司 | 一种基于sdn的光网络单元的远程配置方法和装置 |
| CN115085853A (zh) * | 2022-08-22 | 2022-09-20 | 中国船舶重工集团公司第七0七研究所 | 一种时频基准设备时频分机高精度独立守时方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8971352B2 (en) | High accuracy 1588 timestamping over high speed multi lane distribution physical code sublayers | |
| Perrig et al. | TESLA broadcast authentication | |
| CN107395312B (zh) | 一种安全网络时间同步方法及装置 | |
| CN102130915B (zh) | 基于时钟的重发保护 | |
| CN101455014B (zh) | 传送所发送的或者所接收的消息的发送时间信息或者接收时间信息的方法和装置 | |
| US10681659B2 (en) | Synchronization system and communication device | |
| CN102801733A (zh) | Ptp中设置安全认证的方法 | |
| WO2014083640A1 (ja) | 通信装置、通信システムおよび時刻同期方法 | |
| MY168816A (en) | Systems and methods of network synchronization | |
| WO2008024822A3 (en) | Apparatus and method of synchronizing distribution of packet services across a distributed network | |
| US20130179687A1 (en) | Method and apparatus for authenticating multicast messages | |
| CN101827098A (zh) | 时间同步的处理方法及装置 | |
| EP2140580A4 (en) | BASE STATION SYNCHRONIZATION FOR A SINGLE FREQUENCY NETWORK | |
| CN103118029A (zh) | 一种加密报文互传时间同步方法及装置 | |
| CN105262555A (zh) | 一种时间同步方法、可编程逻辑器件、单板及网元 | |
| CN103259768A (zh) | 一种消息认证方法、系统和装置 | |
| CN106533603A (zh) | 一种分布式系统的时间同步方法和装置 | |
| WO2011066564A3 (en) | Apparatus and method of scheduling timing packets to enhance time distribution in telecommunication networks | |
| CN104243079A (zh) | 一种实时以太网的微秒级时钟同步方法 | |
| CN101656977B (zh) | 一种基于时分复用访问协议的安全时间同步方法 | |
| CN107786521A (zh) | 防御分布式反射拒绝服务攻击的方法、装置及交换机 | |
| CN102891850A (zh) | IPSec隧道更新防重放参数的方法 | |
| CN103731252B (zh) | 一种ieee1588单播协商机制改进方法及系统 | |
| JP2017098588A (ja) | 通信システム、無線通信装置及び無線通信方法 | |
| Annessi et al. | SecureTime: Secure multicast time synchronization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C05 | Deemed withdrawal (patent law before 1993) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20121128 |