CN117040853A - 时钟同步报文过滤系统及方法 - Google Patents
时钟同步报文过滤系统及方法 Download PDFInfo
- Publication number
- CN117040853A CN117040853A CN202311016914.2A CN202311016914A CN117040853A CN 117040853 A CN117040853 A CN 117040853A CN 202311016914 A CN202311016914 A CN 202311016914A CN 117040853 A CN117040853 A CN 117040853A
- Authority
- CN
- China
- Prior art keywords
- clock
- encrypted
- filtering
- received
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 226
- 238000000034 method Methods 0.000 title claims abstract description 29
- 230000001360 synchronised effect Effects 0.000 claims abstract description 35
- 238000004590 computer program Methods 0.000 claims description 17
- 238000012790 confirmation Methods 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010276 construction Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 2
- 238000010168 coupling process Methods 0.000 description 2
- 238000005859 coupling reaction Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000006978 adaptation Effects 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000014616 translation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种时钟同步报文过滤系统及方法。其中,该系统包括:组网的第一时钟设备和第二时钟设备,报文过滤装置,其中,第一时钟设备接收第二时钟设备发送的携带目标时钟标识的第一时钟同步报文,对目标时钟标识加密得到加密时钟标识,依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将二者下发至报文过滤装置;报文过滤装置在接收到非加密过滤规则后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文前,利用非加密过滤规则对接收的报文进行过滤,在接收到第二时钟同步报文后,利用加密过滤规则对接收的报文进行过滤。本申请解决了时钟同步报文易遭受DDOS流量攻击而影响正常时钟同步工作的技术问题。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种时钟同步报文过滤系统及方法。
背景技术
组网的时钟设备之间通过时钟同步报文传输时间信息完成时钟同步,为了保证时钟设备正常工作,需要验证时钟同步报文的合法性,并过滤异常时钟同步报文的流量。而判断时钟同步报文是否合法,除了判断报文字段是否符合标准,还需要判断报文是否来自指定的时钟设备,通常,时钟同步报文会携带时钟ID,用于记录产生该报文的时钟设备。
相关技术中,一种报文传输方案是对时钟同步报文进行加解密处理,这样可以防止因时钟ID泄露而构造的时钟同步报文影响,但时钟设备的处理单元可能会因处理大量时钟同步报文导致负载过高而产生异常;还有一种方案是依据时钟ID设置过滤规则,这样不匹配过滤规则的时钟同步报文会被过滤,但该方案可能因时钟ID的泄露导致攻击者可以构造匹配过滤规则的DDoS攻击报文,仍存在安全隐患。
针对上述的问题,目前尚未提出有效的解决方案。
发明内容
本申请实施例提供了一种时钟同步报文过滤系统及方法,以至少解决时钟同步报文易遭受DDOS流量攻击而影响正常时钟同步工作的技术问题。
根据本申请实施例的一个方面,提供了一种时钟同步报文过滤系统,包括:组网的第一时钟设备和第二时钟设备,以及第一时钟设备对应的报文过滤装置,其中,第一时钟设备用于接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文,对目标时钟标识加密得到加密时钟标识,并依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将非加密过滤规则和加密过滤规则下发至报文过滤装置;报文过滤装置用于在第一时间段利用非加密过滤规则对接收的时钟同步报文进行过滤,在第二时间段利用加密过滤规则对接收的时钟同步报文进行过滤,其中,第一时间段为接收到非加密过滤规则之后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前,第二时间段为接收到第二时钟同步报文之后。
可选地,第一时钟设备用于在接收到第一时钟同步报文之后,生成用于加密的公钥和用于解密的私钥,利用公钥对目标时钟标识加密得到加密时钟标识,依据加密时钟标识生成加密过滤规则,并将公钥发送至第二时钟设备。
可选地,第二时钟设备用于在接收到第一时钟设备发送的公钥之后,向第一时钟设备反馈已接收到公钥的确认信息。
可选地,在接收到公钥之后,第二时钟设备用于利用公钥对目标时钟标识加密得到加密时钟标识,并向第一时钟设备发送携带加密时钟标识的第二时钟同步报文。
可选地,在第一时间段,报文过滤装置用于检测接收到的时钟同步报文中的时钟标识是否与目标时钟标识相匹配;若接收到的时钟同步报文中的时钟标识与目标时钟标识不匹配,过滤接收到的时钟同步报文;若接收到的时钟同步报文中的时钟标识与目标时钟标识匹配,将接收到的时钟同步报文发送至第一时钟设备。
可选地,在第二时间段,报文过滤装置用于检测接收到的时钟同步报文中的时钟标识是否与加密时钟标识相匹配;若接收到的时钟同步报文中的时钟标识与加密时钟标识不匹配,过滤接收到的时钟同步报文;若接收到的时钟同步报文中的时钟标识与加密时钟标识匹配,将接收到的时钟同步报文发送至第一时钟设备。
可选地,第一时钟设备和第二时钟设备之间传输的时钟同步报文均为基于精确时间协议的报文。
根据本申请实施例的另一方面,还提供了一种时钟同步报文过滤方法,包括:接收第一时钟设备下发的非加密过滤规则和加密过滤规则,其中,加密过滤规则是第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,对目标时钟标识加密得到加密时钟标识,并依据加密时钟标识生成的,非加密过滤规则是第一时钟设备依据目标时钟标识生成的;在第一时间段,利用非加密过滤规则对接收的时钟同步报文进行过滤,其中,第一时间段为接收到非加密过滤规则之后及接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前;在第二时间段,利用加密过滤规则对接收的时钟同步报文进行过滤,其中,第二时间段为接收到第二时钟同步报文之后。
根据本申请实施例的另一方面,还提供了一种非易失性存储介质,该非易失性存储介质包括存储的计算机程序,其中,非易失性存储介质所在设备通过运行该计算机程序执行上述的时钟同步报文过滤方法。
根据本申请实施例的另一方面,还提供了一种电子设备,该电子设备包括:存储器和处理器,其中,存储器中存储有计算机程序,处理器被配置为通过计算机程序执行上述的时钟同步报文过滤方法。
在本申请实施例中,当第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,可以对目标时钟标识加密得到加密时钟标识,并依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将非加密过滤规则和加密过滤规则均下发至报文过滤装置;报文过滤装置在接收到非加密过滤规则之后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前,先利用非加密过滤规则对接收的时钟同步报文进行过滤,此时可以过滤除携带目标时钟标识的时钟同步报文外的其他报文;在接收到第二时钟同步报文之后,利用加密过滤规则对接收的时钟同步报文进行过滤,可以过滤除携带加密时钟标识的时钟同步报文外的其他报文,进一步避免因目标时钟标识泄露导致有针对性构造时钟同步报文DDoS流量对时钟设备的攻击,保证时钟设备正常运行。本申请方案有效解决了时钟同步报文易遭受DDOS流量攻击而影响正常时钟同步工作的技术问题。
附图说明
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。在附图中:
图1是根据本申请实施例的一种可选的时钟同步报文过滤系统的结构示意图;
图2是根据本申请实施例的一种可选的时钟同步报文过滤系统的模块交互示意图;
图3是根据本申请实施例的一种可选的计算机终端的结构示意图;
图4是根据本申请实施例的一种可选的时钟同步报文过滤方法的流程示意图;
图5是根据本申请实施例的一种可选的时钟同步报文过滤装置的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
需要说明的是,本申请的说明书和权利要求书及附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及它们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
为了更好地理解本申请实施例,首先对本申请实施例描述过程中出现的部分名词或术语翻译解释如下:
PTP(Precise Time Protocol,精确时间协议):一种时间同步协议,遵循IEEE1588v2协议标准,精度可达到亚微秒,用于设备之间的高精度时间同步。
DDoS(Distributed Denial of Service,分布式拒绝服务)攻击:是指处于不同位置的多个攻击者同时向一个或数个目标发动攻击,或者一个攻击者控制位于不同位置的多台机器并利用这些机器对受害者同时实施攻击。由于DDoS攻击可以对源IP地址进行伪造,使得这种攻击在发生的时候隐蔽性很高,要对攻击进行检测也非常困难。
实施例1
为解决相关技术中时钟同步报文易遭受DDOS流量攻击而影响正常时钟同步工作的技术问题,本申请实施例提供了一种时钟同步报文过滤系统,如图1所示,该系统中至少包括:组网的第一时钟设备11和第二时钟设备12,以及第一时钟设备11对应的报文过滤装置13,其中,第一时钟设备和第二时钟设备之间传输的时钟同步报文均为基于PTP(精确时间协议)的报文,报文过滤装置13可以依据第一时钟设备11下发的过滤规则对接收的时钟同步报文进行过滤。
具体地,第一时钟设备在接收到第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,可以对目标时钟标识加密得到加密时钟标识,并依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将非加密过滤规则和加密过滤规则一起下发至报文过滤装置。
报文过滤装置可以在第一时间段利用非加密过滤规则对接收的时钟同步报文进行过滤,该第一时间段为接收到非加密过滤规则之后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前,此时报文过滤装置可以过滤除携带目标时钟标识的时钟同步报文外的其他报文;在第二时间段,报文过滤装置可以利用加密过滤规则对接收的时钟同步报文进行过滤,该第二时间段为接收到第二时钟同步报文之后,此时可以过滤除携带加密时钟标识的时钟同步报文外的其他报文,进一步避免因目标时钟标识泄露导致有针对性构造时钟同步报文DDoS流量对时钟设备的攻击。
作为一种可选的实施方式,第一时钟设备在接收到第一时钟同步报文之后,可以生成用于加密的公钥和用于解密的私钥,利用公钥对目标时钟标识加密得到加密时钟标识,可以依据该加密时钟标识生成加密过滤规则,并将公钥发送至第二时钟设备。
可选地,第二时钟设备可以在接收到第一时钟设备发送的公钥之后,向第一时钟设备反馈已接收到公钥的确认信息。
可选地,在接收到公钥之后,第二时钟设备可以利用公钥对目标时钟标识加密得到加密时钟标识,并向第一时钟设备发送携带加密时钟标识的第二时钟同步报文。
考虑到第二时钟设备收到公钥具有一定的时延,而且第二时钟设备收到公钥后可能并未马上发送携带加密时钟标识的第二时钟同步报文,如果报文过滤装置直接使用加密过滤规则对接收的时钟同步报文进行过滤,可能会过滤掉第二时钟设备正常发送的携带目标时钟标识的第一时钟同步报文,因此,在接收到非加密过滤规则之后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前这第一时间段,报文过滤装置先利用非加密过滤规则对接收的时钟同步报文进行过滤。
可选地,在第一时间段,报文过滤装置可以检测接收到的时钟同步报文中的时钟标识是否与目标时钟标识相匹配,若接收到的时钟同步报文中的时钟标识与目标时钟标识不匹配,则过滤接收到的时钟同步报文,若接收到的时钟同步报文中的时钟标识与目标时钟标识匹配,则将接收到的时钟同步报文发送至第一时钟设备。之后,第一时钟设备可以依据报文过滤装置上送的时钟同步报文进行时钟同步。
当接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文时,可以确定第二时钟设备已正式启用公钥对目标时钟标识进行加密,此时报文过滤装置可以令非加密过滤规则失效,正式启用加密过滤规则对接收的时钟同步报文进行过滤,从而避免因目标时钟标识泄露导致有针对性构造时钟同步报文DDoS流量对时钟设备的攻击,提升时钟设备运行的安全性。
可选地,在第二时间段,报文过滤装置可以检测接收到的时钟同步报文中的时钟标识是否与加密时钟标识相匹配,若接收到的时钟同步报文中的时钟标识与加密时钟标识不匹配,则过滤接收到的时钟同步报文,若接收到的时钟同步报文中的时钟标识与加密时钟标识匹配,则将接收到的时钟同步报文发送至第一时钟设备。由于第二时钟设备发送的第二时钟同步报文中仅对时钟标识加密,并未对其他用于计算时钟同步精度的时间信息进行加密,第一时钟设备可以正常依据报文过滤装置上送的时钟同步报文进行时钟同步,同时按需利用私钥对时钟同步报文中的加密时钟标识进行解密。
图2示出了一种时钟同步报文过滤系统运行时各模块之间完整的交互示意图,具体包括以下流程:
S1,第二时钟设备向第一时钟设备发送携带自身目标时钟标识的第一时钟同步报文;
S2,第一时钟设备生成公钥和私钥,利用公钥对目标时钟标识加密得到加密时钟标识,依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将非加密过滤规则和加密过滤规则下发至报文过滤装置;
S3,报文过滤装置启用非加密过滤规则对接收的时钟同步报文进行过滤;
S4,第一时钟设备向第二时钟设备通告公钥;
S5,第二时钟设备向第一时钟设备反馈接收确认信息;
S6,第二时钟设备利用公钥对目标时钟标识加密得到加密时钟标识;
S7,报文过滤装置接收第二时钟设备发送的携带加密时钟标识的第二时钟同步报文;
S8,报文过滤装置令非加密过滤规则失效,启用加密过滤规则对接收的时钟同步报文进行过滤;
S9,报文过滤装置将合法的时钟同步报文上送至第一时钟设备。
需要说明的是,本申请实施例中的时钟同步报文过滤系统主要用于说明时钟设备及其对应报文过滤装置相互配合进行报文过滤的机制,在实际应用场景中,组网的时钟同步设备可能有多个,每个时钟同步设备都可以配置有与自身对应的报文过滤装置,均采用上述报文过滤机制完成时钟同步报文过滤,本申请实施例不再过多赘述。
在本申请实施例中,当第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,可以对目标时钟标识加密得到加密时钟标识,并依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将非加密过滤规则和加密过滤规则均下发至报文过滤装置;报文过滤装置在接收到非加密过滤规则之后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前,先利用非加密过滤规则对接收的时钟同步报文进行过滤,此时可以过滤除携带目标时钟标识的时钟同步报文外的其他报文;在接收到第二时钟同步报文之后,利用加密过滤规则对接收的时钟同步报文进行过滤,可以过滤除携带加密时钟标识的时钟同步报文外的其他报文,进一步避免因目标时钟标识泄露导致有针对性构造时钟同步报文DDoS流量对时钟设备的攻击,保证时钟设备正常运行。本申请方案有效解决了时钟同步报文易遭受DDOS流量攻击而影响正常时钟同步工作的技术问题。
实施例2
在实施例1提供的时钟同步报文过滤系统的基础上,本申请实施例还提供了一种时钟同步报文过滤方法,需要说明的是,在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中执行,并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤。
本申请实施例所提供的方法实施例由报文过滤装置执行,报文过滤装置可以是移动终端、计算机终端或者类似的运算装置等形式。图3示出了一种用于实现时钟同步报文过滤方法的计算机终端(或移动设备)的硬件结构框图。如图3所示,计算机终端30(或移动设备30)可以包括一个或多个(图中采用302a、302b,……,302n来示出)处理器302(处理器302可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)、用于存储数据的存储器304、以及用于通信功能的传输装置306。除此以外,还可以包括:显示器、输入/输出接口(I/O接口)、通用串行总线(USB)端口(可以作为BUS总线的端口中的一个端口被包括)、网络接口、电源和/或相机。本领域普通技术人员可以理解,图3所示的结构仅为示意,其并不对上述电子装置的结构造成限定。例如,计算机终端30还可包括比图3中所示更多或者更少的组件,或者具有与图3所示不同的配置。
应当注意到的是上述一个或多个处理器302和/或其他数据处理电路在本文中通常可以被称为“数据处理电路”。该数据处理电路可以全部或部分的体现为软件、硬件、固件或其他任意组合。此外,数据处理电路可为单个独立的处理模块,或全部或部分的结合到计算机终端30(或移动设备)中的其他元件中的任意一个内。如本申请实施例中所涉及到的,该数据处理电路作为一种处理器控制(例如与接口连接的可变电阻终端路径的选择)。
存储器304可用于存储应用软件的软件程序以及模块,如本申请实施例中的时钟同步报文过滤方法对应的程序指令/数据存储装置,处理器302通过运行存储在存储器304内的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现上述的应用程序的漏洞检测方法。存储器304可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器304可进一步包括相对于处理器302远程设置的存储器,这些远程存储器可以通过网络连接至计算机终端30。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置306用于经由一个网络接收或者发送数据。上述的网络具体实例可包括计算机终端30的通信供应商提供的无线网络。在一个实例中,传输装置306包括一个网络适配器(Network Interface Controller,NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置306可以为射频(Radio Frequency,RF)模块,其用于通过无线方式与互联网进行通讯。
显示器可以例如触摸屏式的液晶显示器(LCD),该液晶显示器可使得用户能够与计算机终端30(或移动设备)的用户界面进行交互。
在上述运行环境下,本申请实施例提供了一种时钟同步报文过滤方法,如图4所示,该方法包括如下步骤:
步骤S402,接收第一时钟设备下发的非加密过滤规则和加密过滤规则,其中,加密过滤规则是第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,对目标时钟标识加密得到加密时钟标识,并依据加密时钟标识生成的,非加密过滤规则是第一时钟设备依据目标时钟标识生成的。
作为一种可选的实施方式,第一时钟设备在接收到第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,可以生成用于加密的公钥和用于解密的私钥,利用公钥对目标时钟标识加密得到加密时钟标识,然后依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将非加密过滤规则和加密过滤规则一起下发至报文过滤装置。
可选地,第一时钟设备还会将公钥发送至第二时钟设备,第二时钟设备可以在接收到公钥之后,利用公钥对目标时钟标识加密得到加密时钟标识,并向第一时钟设备发送携带加密时钟标识的第二时钟同步报文。
步骤S404,在第一时间段,利用非加密过滤规则对接收的时钟同步报文进行过滤,其中,第一时间段为接收到非加密过滤规则之后及接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前。
考虑到第二时钟设备收到公钥具有一定的时延,而且第二时钟设备收到公钥后可能并未马上发送携带加密时钟标识的第二时钟同步报文,如果报文过滤装置直接使用加密过滤规则对接收的时钟同步报文进行过滤,可能会过滤掉第二时钟设备正常发送的携带目标时钟标识的第一时钟同步报文,因此,在接收到非加密过滤规则之后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前这第一时间段,报文过滤装置先利用非加密过滤规则对接收的时钟同步报文进行过滤。
可选地,在第一时间段,报文过滤装置可以检测接收到的时钟同步报文中的时钟标识是否与目标时钟标识相匹配,若接收到的时钟同步报文中的时钟标识与目标时钟标识不匹配,则过滤接收到的时钟同步报文,若接收到的时钟同步报文中的时钟标识与目标时钟标识匹配,则将接收到的时钟同步报文发送至第一时钟设备。之后,第一时钟设备可以依据报文过滤装置上送的时钟同步报文进行时钟同步。
步骤S406,在第二时间段,利用加密过滤规则对接收的时钟同步报文进行过滤,其中,第二时间段为接收到第二时钟同步报文之后。
当接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文时,可以确定第二时钟设备已正式启用公钥对目标时钟标识进行加密,此时报文过滤装置可以令非加密过滤规则失效,正式启用加密过滤规则对接收的时钟同步报文进行过滤,从而避免因目标时钟标识泄露导致有针对性构造时钟同步报文DDoS流量对时钟设备的攻击,提升时钟设备运行的安全性。
可选地,在第二时间段,报文过滤装置可以检测接收到的时钟同步报文中的时钟标识是否与加密时钟标识相匹配,若接收到的时钟同步报文中的时钟标识与加密时钟标识不匹配,则过滤接收到的时钟同步报文,若接收到的时钟同步报文中的时钟标识与加密时钟标识匹配,则将接收到的时钟同步报文发送至第一时钟设备。由于第二时钟设备发送的第二时钟同步报文中仅对时钟标识加密,并未对其他用于计算时钟同步精度的时间信息进行加密,第一时钟设备可以正常依据报文过滤装置上送的时钟同步报文进行时钟同步,同时按需利用私钥对时钟同步报文中的加密时钟标识进行解密。
在本申请实施例中,当第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,可以对目标时钟标识加密得到加密时钟标识,并依据目标时钟标识生成非加密过滤规则,依据加密时钟标识生成加密过滤规则,将非加密过滤规则和加密过滤规则均下发至报文过滤装置;报文过滤装置在接收到非加密过滤规则之后至接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前,先利用非加密过滤规则对接收的时钟同步报文进行过滤,此时可以过滤除携带目标时钟标识的时钟同步报文外的其他报文;在接收到第二时钟同步报文之后,利用加密过滤规则对接收的时钟同步报文进行过滤,可以过滤除携带加密时钟标识的时钟同步报文外的其他报文,进一步避免因目标时钟标识泄露导致有针对性构造时钟同步报文DDoS流量对时钟设备的攻击,保证时钟设备正常运行。本申请方案有效解决了时钟同步报文易遭受DDOS流量攻击而影响正常时钟同步工作的技术问题。
实施例2
根据本申请实施例,还提供了一种用于实现实施例2中的时钟同步报文过滤方法的时钟同步报文过滤装置,如图5所示,该时钟同步报文过滤装置中至少包括接收模块51,第一过滤模块52和第二过滤模块53,其中:
接收模块51,用于接收第一时钟设备下发的非加密过滤规则和加密过滤规则,其中,加密过滤规则是第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,对目标时钟标识加密得到加密时钟标识,并依据加密时钟标识生成的,非加密过滤规则是第一时钟设备依据目标时钟标识生成的。
第一过滤模块52,用于在第一时间段,利用非加密过滤规则对接收的时钟同步报文进行过滤,其中,第一时间段为接收到非加密过滤规则之后及接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前。
第二过滤模块53,用于在第二时间段,利用加密过滤规则对接收的时钟同步报文进行过滤,其中,第二时间段为接收到第二时钟同步报文之后。
需要说明的是,本申请实施例中的时钟同步报文过滤装置中的各模块与实施例2中的时钟同步报文过滤方法的各实施步骤一一对应,由于实施例2中已经进行了详尽的描述,本实施例中部分未体现的细节可以参考实施例2,在此不再过多赘述。
实施例3
根据本申请实施例,还提供了一种非易失性存储介质,该非易失性存储介质包括存储的计算机程序,其中,非易失性存储介质所在设备通过运行该计算机程序执行实施例2中的时钟同步报文过滤方法。
具体地,非易失性存储介质所在设备通过运行该计算机程序执行实现以下步骤:接收第一时钟设备下发的非加密过滤规则和加密过滤规则,其中,加密过滤规则是第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,对目标时钟标识加密得到加密时钟标识,并依据加密时钟标识生成的,非加密过滤规则是第一时钟设备依据目标时钟标识生成的;在第一时间段,利用非加密过滤规则对接收的时钟同步报文进行过滤,其中,第一时间段为接收到非加密过滤规则之后及接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前;在第二时间段,利用加密过滤规则对接收的时钟同步报文进行过滤,其中,第二时间段为接收到第二时钟同步报文之后。
根据本申请实施例,还提供了一种处理器,该处理器用于运行计算机程序,其中,计算机程序运行时执行实施例2中的时钟同步报文过滤方法。
具体地,计算机程序运行时执行实现以下步骤:接收第一时钟设备下发的非加密过滤规则和加密过滤规则,其中,加密过滤规则是第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,对目标时钟标识加密得到加密时钟标识,并依据加密时钟标识生成的,非加密过滤规则是第一时钟设备依据目标时钟标识生成的;在第一时间段,利用非加密过滤规则对接收的时钟同步报文进行过滤,其中,第一时间段为接收到非加密过滤规则之后及接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前;在第二时间段,利用加密过滤规则对接收的时钟同步报文进行过滤,其中,第二时间段为接收到第二时钟同步报文之后。
根据本申请实施例,还提供了一种电子设备,该电子设备包括:存储器和处理器,其中,存储器中存储有计算机程序,处理器被配置为通过计算机程序执行实施例2中的时钟同步报文过滤方法。
具体地,处理器被配置为通过计算机程序执行实现以下步骤:接收第一时钟设备下发的非加密过滤规则和加密过滤规则,其中,加密过滤规则是第一时钟设备接收第二时钟设备发送的携带第二时钟设备的目标时钟标识的第一时钟同步报文后,对目标时钟标识加密得到加密时钟标识,并依据加密时钟标识生成的,非加密过滤规则是第一时钟设备依据目标时钟标识生成的;在第一时间段,利用非加密过滤规则对接收的时钟同步报文进行过滤,其中,第一时间段为接收到非加密过滤规则之后及接收到第二时钟设备发送的携带加密时钟标识的第二时钟同步报文之前;在第二时间段,利用加密过滤规则对接收的时钟同步报文进行过滤,其中,第二时间段为接收到第二时钟同步报文之后。
上述实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如单元的划分,可以为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种时钟同步报文过滤系统,其特征在于,包括:组网的第一时钟设备和第二时钟设备,以及所述第一时钟设备对应的报文过滤装置,其中,
所述第一时钟设备,用于接收所述第二时钟设备发送的携带所述第二时钟设备的目标时钟标识的第一时钟同步报文;对所述目标时钟标识加密得到加密时钟标识,并依据所述目标时钟标识生成非加密过滤规则,依据所述加密时钟标识生成加密过滤规则,将所述非加密过滤规则和所述加密过滤规则下发至所述报文过滤装置;
所述报文过滤装置,用于在第一时间段利用所述非加密过滤规则对接收的时钟同步报文进行过滤,在第二时间段利用所述加密过滤规则对接收的时钟同步报文进行过滤,其中,所述第一时间段为接收到所述非加密过滤规则之后至接收到所述第二时钟设备发送的携带所述加密时钟标识的第二时钟同步报文之前,所述第二时间段为接收到所述第二时钟同步报文之后。
2.根据权利要求1所述的系统,其特征在于,
所述第一时钟设备,用于在接收到所述第一时钟同步报文之后,生成用于加密的公钥和用于解密的私钥,利用所述公钥对所述目标时钟标识加密得到所述加密时钟标识,依据所述加密时钟标识生成所述加密过滤规则,并将所述公钥发送至所述第二时钟设备。
3.根据权利要求2所述的系统,其特征在于,
所述第二时钟设备,用于在接收到所述第一时钟设备发送的所述公钥之后,向所述第一时钟设备反馈已接收到所述公钥的确认信息。
4.根据权利要求2所述的系统,其特征在于,
在接收到所述公钥之后,所述第二时钟设备用于利用所述公钥对所述目标时钟标识加密得到所述加密时钟标识,并向所述第一时钟设备发送携带所述加密时钟标识的所述第二时钟同步报文。
5.根据权利要求2所述的系统,其特征在于,
在所述第一时间段,所述报文过滤装置用于检测接收到的时钟同步报文中的时钟标识是否与所述目标时钟标识相匹配;
若接收到的时钟同步报文中的时钟标识与所述目标时钟标识不匹配,过滤接收到的时钟同步报文;
若接收到的时钟同步报文中的时钟标识与所述目标时钟标识匹配,将接收到的时钟同步报文发送至所述第一时钟设备。
6.根据权利要求5所述的系统,其特征在于,
在所述第二时间段,所述报文过滤装置用于检测接收到的时钟同步报文中的时钟标识是否与所述加密时钟标识相匹配;
若接收到的时钟同步报文中的时钟标识与所述加密时钟标识不匹配,过滤接收到的时钟同步报文;
若接收到的时钟同步报文中的时钟标识与所述加密时钟标识匹配,将接收到的时钟同步报文发送至所述第一时钟设备。
7.根据权利要求1至6中任意一项所述的系统,其特征在于,
所述第一时钟设备和所述第二时钟设备之间传输的时钟同步报文均为基于精确时间协议的报文。
8.一种时钟同步报文过滤方法,其特征在于,包括:
接收第一时钟设备下发的非加密过滤规则和加密过滤规则,其中,所述加密过滤规则是所述第一时钟设备接收第二时钟设备发送的携带所述第二时钟设备的目标时钟标识的第一时钟同步报文后,对所述目标时钟标识加密得到加密时钟标识,并依据所述加密时钟标识生成的,所述非加密过滤规则是所述第一时钟设备依据所述目标时钟标识生成的;
在第一时间段,利用所述非加密过滤规则对接收的时钟同步报文进行过滤,其中,所述第一时间段为接收到所述非加密过滤规则之后及接收到所述第二时钟设备发送的携带所述加密时钟标识的第二时钟同步报文之前;
在第二时间段,利用所述加密过滤规则对接收的时钟同步报文进行过滤,其中,所述第二时间段为接收到所述第二时钟同步报文之后。
9.一种非易失性存储介质,其特征在于,所述非易失性存储介质包括存储的计算机程序,其中,所述非易失性存储介质所在设备通过运行所述计算机程序执行权利要求8所述的时钟同步报文过滤方法。
10.一种电子设备,其特征在于,包括:存储器和处理器,其中,所述存储器中存储有计算机程序,所述处理器被配置为通过所述计算机程序执行权利要求8所述的时钟同步报文过滤方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311016914.2A CN117040853A (zh) | 2023-08-11 | 2023-08-11 | 时钟同步报文过滤系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311016914.2A CN117040853A (zh) | 2023-08-11 | 2023-08-11 | 时钟同步报文过滤系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117040853A true CN117040853A (zh) | 2023-11-10 |
Family
ID=88644399
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311016914.2A Pending CN117040853A (zh) | 2023-08-11 | 2023-08-11 | 时钟同步报文过滤系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117040853A (zh) |
-
2023
- 2023-08-11 CN CN202311016914.2A patent/CN117040853A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11438176B2 (en) | Mutually authenticated ECDHE key exchange for a device and a network using multiple PKI key pairs | |
| Cäsar et al. | A survey on Bluetooth Low Energy security and privacy | |
| CN109525989B (zh) | 数据处理、身份认证方法及系统、终端 | |
| WO2003107626A2 (en) | Method for establishing secure network communications | |
| EP3590242B1 (en) | Communication interface for a low power wide area network, wireless device and server using such communication interface | |
| CN112400299B (zh) | 一种数据交互方法及相关设备 | |
| WO2020123959A1 (en) | Secure ids certificate verification for a primary platform | |
| CN106941404B (zh) | 密钥保护方法及装置 | |
| CN114465803B (zh) | 对象授权方法、装置、系统及存储介质 | |
| CA3178180A1 (en) | Constructing a distributed ledger transaction on a cold hardware wallet | |
| CN112822177B (zh) | 数据传输方法、装置、设备和存储介质 | |
| Reilly et al. | Network time protocol best current practices | |
| KR20150135032A (ko) | Puf를 이용한 비밀키 업데이트 시스템 및 방법 | |
| RU2474073C2 (ru) | Сеть и способ для инициализации ключа для линии центра управления безопасностью | |
| CN113660725B (zh) | 定位反作弊方法、装置、系统、计算机设备及存储介质 | |
| CN117040853A (zh) | 时钟同步报文过滤系统及方法 | |
| CN116566695A (zh) | 加密传输方法及系统 | |
| CN110875902A (zh) | 通信方法、装置及系统 | |
| EP4020897B1 (en) | Communication system and communication method for one-way transmission | |
| CN111464496B (zh) | 数据传输方法及装置、系统、存储介质、电子装置 | |
| CN117155505A (zh) | 时钟同步报文过滤系统及方法 | |
| JP2007317091A (ja) | ワンタイムパスワード生成システムおよびワンタイムパスワード生成方法、ワンタイムパスワード生成装置、制御サーバおよびその制御方法 | |
| CN112000935A (zh) | 远程认证方法、装置、系统、存储介质及计算机设备 | |
| CN103973674A (zh) | 主备同步信息的方法及装置 | |
| Reilly et al. | RFC 8633: Network Time Protocol Best Current Practices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |