量子增強安全時間同步協(xié)議研究

張 萌，呂 博

(中國信息通信研究院 技術(shù)與標準研究所， 北京 100191)

0 引 言

未來第六代移動通信技術(shù)(6th Generation Mobile Networks，6G)將實現(xiàn)“智慧連接”、“深度連接”、“全息連接”和“泛在連接”[1-7]。隨著感知交互、自動控制、智能互聯(lián)和遠程操作等方面的需求日益明顯，未來信息網(wǎng)絡(luò)對于時間同步的要求也更加嚴格，不僅時間同步精度需求提升，其可靠性和安全性也受到廣泛的關(guān)注。比如工業(yè)互聯(lián)網(wǎng)中，運動控制、數(shù)字控制、操作信令和告警產(chǎn)生都依賴于同步技術(shù)[8]，時鐘同步中的錯誤可能導致錯誤的定時，因此可能產(chǎn)生錯誤的傳感器報告，最終導致決策錯誤。因此對于時間同步的安全攻擊會對依賴于準確時間的服務產(chǎn)生嚴重的不利影響。

近年來，隨著各種安全攻擊的引入，同步協(xié)議，特別是精確時鐘同步協(xié)議(Precise Time Protocol ，PTP)的安全性受到了越來越多的關(guān)注。當同步協(xié)議在不可信的網(wǎng)絡(luò)環(huán)境中傳輸時，需要對其進行保護。本文提出了一種量子增強安全時間同步協(xié)議，可以對網(wǎng)絡(luò)中的報文攻擊和延時攻擊進行預防。

1 PTP安全隱患分析及實驗驗證

PTP利用協(xié)議報文中的4個時間戳(tM1、tS2、tS3和tM4)進行主(Master)從(Slave)設(shè)備時間偏差Δ和環(huán)回時延D的計算：

對于PTP的安全攻擊包含以下幾種形式：

這與真實的時鐘偏差Δ之間的差值為

本文對報文攻擊進行了實驗驗證，如圖 1(a)所示，兩臺分組傳送網(wǎng)(Packet Transport Network，PTN)設(shè)備之間串入網(wǎng)絡(luò)損傷儀模擬不可信網(wǎng)絡(luò)。時間分析儀在網(wǎng)元1(NE1)側(cè)模擬時間服務器，通過PTP接口向NE1注入時間信息，并測量網(wǎng)元2(NE2)輸出信號與標準時間之間的偏差。箭頭為時間傳遞方向。網(wǎng)絡(luò)損傷儀在鏈路上抓取PTP報文，修改報文中的時間戳(隨機選取時間戳對應的比特位進行反轉(zhuǎn))。圖1(b)所示為攻擊時段內(nèi)(大約從1 000～2 000 s區(qū)間)，NE2輸出的時間信號出現(xiàn)較大偏差，由于對報文的修改采用隨機的方式，時間偏差也是隨機波動的。報文攻擊還可以通過探針截獲PTP報文，獲取報文內(nèi)相關(guān)信息，通過偽造報文制造更高優(yōu)先級的偽時間源，使得網(wǎng)絡(luò)設(shè)備跟蹤偽時間源，通過偽時間源注入噪聲，可以使得網(wǎng)絡(luò)同步精度下降，實驗裝置如圖 1(c)所示。在偽時間源上加入固有時間偏差和時延噪聲，NE2時間信號會產(chǎn)生較大的波動，如圖1(d)所示。

圖1 PTP報文攻擊模擬裝置及實驗結(jié)果

對于這一類攻擊，采用報文加密或身份驗證的方式可以進行防控。報文加密使攻擊者無法識別有效信息字段，甚至無法識別PTP報文，實現(xiàn)安全保護。

(2) 延時攻擊[9]：PTP的基本假設(shè)是雙向傳輸時延對稱。攻擊者在單向鏈路中插入非對稱時延，會引起Δ計算偏差，造成同步精度降低。比如插入非對稱時延后，Master-Slave和Slave-Master時延分別為D1和D2。定義δ=D1-D2為攻擊者插入的時延。按照式(1)計算環(huán)回時延為

代入式(2)，得到Δ′為

這與真實的時鐘偏差Δ之間的差值為

可見竊聽者插入δ的非對稱時延，可以導致系統(tǒng)δ/2的時間偏差。本文對延時攻擊也進行了實驗驗證，實驗裝置如圖 1(a)所示，網(wǎng)絡(luò)損傷儀插入非對稱時延，模擬延時攻擊。圖2(a)和(b)分別為在Slave-Master和Master-Slave方向插入3 ms固定時延的延時攻擊實驗結(jié)果圖。攻擊時段內(nèi)，NE2輸出的時間信號與標準時間的固定偏差為?1.5 ms，與式(7)的分析一致。這類攻擊由于出現(xiàn)了相位的奇點，可能會在安全關(guān)鍵環(huán)境中引起懷疑。因此本文模擬了漸變式延時攻擊，如圖 2(c)所示。當插入時延的斜率足夠小時，不會產(chǎn)生相位的劇烈變化，可以在不被關(guān)注的情況下逐步地將被攻擊設(shè)備的時間信號拉偏。另外，如果插入固定時延，被發(fā)現(xiàn)后可以用補償?shù)姆绞綔p小延時攻擊對系統(tǒng)的影響。因此本文模擬了可變的延時攻擊，結(jié)果如圖 2(d)所示。這種場景下是無法用簡單的固定補償方式進行預防的。

圖2 延時攻擊實驗結(jié)果

對于延時攻擊，使用一般的加密或身份驗證等手段無法預防。竊聽者無需識別特定的協(xié)議報文或者字段，在鏈路上插入延時即可。插入的時延值可以是固定的、變化的甚至是隨機的。因此也無法通過補償?shù)姆绞筋A防。

2 量子增強型PTP

本文提出一種量子增強型PTP，目的主要是為了解決基于傳統(tǒng)PTP不能預防延時攻擊的問題。在PTP層面仍采用傳統(tǒng)加密的方式，最大程度與現(xiàn)有技術(shù)兼容，無需對同步設(shè)備進行硬件升級。在密鑰分發(fā)層面，引入量子密鑰分發(fā)(Quantum Key Distribution， QKD)技術(shù)，并利用QKD系統(tǒng)中的單光子脈沖進行時間測量，將測量結(jié)果與PTP測量結(jié)果進行比較，當差異大于門限值時，即可判定網(wǎng)絡(luò)中存在延時攻擊，產(chǎn)生預警。

量子增強安全同步協(xié)議系統(tǒng)裝置圖如圖3所示，每個站點內(nèi)包含同步設(shè)備、專用加密機和QKD設(shè)備。加密機實現(xiàn)對PTP報文的加/解密，加密所用的密鑰通過QKD設(shè)備進行分配。同站點的同步設(shè)備和QKD設(shè)備之間通過時間同步接口進行時間同步。這兩臺設(shè)備處于相同安全管理域中，因此同步設(shè)備和同站點的QKD設(shè)備間的時間同步是安全可信的。Slave端使用式(1)和(2)計算D和Δ。

圖3 量子增強安全同步協(xié)議系統(tǒng)裝置圖

同時，兩臺QKD設(shè)備(Alice和Bob)之間進行密鑰分發(fā)時，Alice在本地時間tA1時刻發(fā)送偏振調(diào)制的單光子，通過量子信道傳輸給Bob, Bob接收到光子并且記錄下本地時間tB2;同理，Bob向Alice端分發(fā)密鑰，Bob記錄單光子發(fā)射時刻tB3，Alice記錄光子接收時刻tA4。Alice和Bob通過經(jīng)典協(xié)商信道交換時間戳信息。類似式(1)和(2)，也可以計算量子信道的環(huán)回時延Dq和時間偏差Δq：

由于同實驗室的同步設(shè)備和QKD設(shè)備之間已經(jīng)實現(xiàn)了時間同步,并且安全可靠。因此可以認為在不存在延時攻擊的情況下，Δ≈Δq。當網(wǎng)絡(luò)中存在延時攻擊時，必然會引起Δ和Δq之間的偏差。定義一個告警門限值T，當|Δ-Δq|>T時，認定網(wǎng)絡(luò)中存在延時攻擊，同步性能已經(jīng)不可信了，建議切換其他備用時鐘源，從而保障系統(tǒng)時間同步性能。協(xié)議在一個周期內(nèi)的基本流程如圖4所示。

圖4 量子增強安全同步協(xié)議流程示意圖

3 性能分析

3.1 安全性分析

對PTP報文進行加密使攻擊者無法識別和修改其中的字段，因此有效地預防PTP報文攻擊。如圖5所示，加密后的同步協(xié)議報文無法識別報文類型，在圖1(a)實驗中，網(wǎng)絡(luò)損傷儀設(shè)置報文匹配規(guī)則Type=0x88f7且MessageID=0x8抓取Follow_Up報文，如圖5(a)紅框所示，經(jīng)加密后使用相同規(guī)則無法對報文進行捕獲和修改。

圖5 加密前后同步協(xié)議報文對比

由于PTP傳輸信道和量子信道是兩條完全獨立的信道，攻擊者一般無法準確地得知兩條傳輸路徑，并準確地加入完全相同的時延。因此攻擊行為一定會引起Δ和Δq的偏離，使系統(tǒng)得知網(wǎng)絡(luò)中存在延時攻擊從而產(chǎn)生預警，有效地預防時延攻擊。

量子增強安全同步協(xié)議可以同時預防PTP報文攻擊和延時攻擊兩類針對同步網(wǎng)絡(luò)的安全攻擊，是一種安全可靠的時間同步協(xié)議。

3.2 同步性能分析

同步性能需要從加密過程和兩種信道差異兩個角度進行分析。加密對同步性能的影響體現(xiàn)在絕對時延、相對時延與時延抖動3個方面：

絕對時延：加密算法對傳輸時延有直接的影響。加密算法在基于國際互聯(lián)協(xié)議(Internet Protocol， IP)的網(wǎng)絡(luò)中會引起十幾到幾十微秒的時延增加量[10]。但是對于同步協(xié)議來說，增加的時延量可以通過環(huán)回時延的方法進行抵消，對同步精度影響很小。

相對時延：雙端加密不一致會影響時延精度的相對變化。時延的變化量主要由加密過程的數(shù)據(jù)緩存引入隨機誤差所致。采用專用加密機進行加密，而不采用同步設(shè)備增加硬件芯片的方式，可預留足夠的資源用于加密。盡量避免由于設(shè)備資源不足而導致PTP報文進入緩存隊列，導致時延值不可控。兩端采用相同規(guī)格加密機，加密時延盡量保持一致，避免由于加密時延不同而引出非對稱時延。

時延抖動：加密算法本身也會引入一定的時延抖動。文獻[9]中的實驗表明，不同的加密算法引入的抖動是不同的，并且隨著帶寬的增加，抖動性能有所提升。文中最好的結(jié)果大約為微秒或者亞微秒量級，這與PTP時間同步精度基本處于一個數(shù)量級。由于時延抖動是10 Hz以上的高頻分量，通常可以進行低通濾波處理來緩解。

由以上分析可知，加密在提升協(xié)議安全性的同時，在一定程度上會降低時鐘同步的精度。但是在上述技術(shù)手段下，不會對同步精度造成顯著影響。

兩種信道差異可能對時間測量精度產(chǎn)生影響。Δ和Δq僅是近似相等，而非嚴格相等。除了系統(tǒng)誤差外，還需要考慮量子信道時間戳記錄和經(jīng)典信道時間戳記錄原理上的差異。量子信道記錄單光子的到達時間是在物理層，用上升沿檢測相位，通過時鐘周期變向計算時間，因此同步的精度和單光子脈沖的時域?qū)挾纫约皶r域抖動相關(guān)。本文利用Keysight DSO-X 93304Q 數(shù)字存儲示波器(采樣率80 GS/s)測試了3款離散變量量子秘鑰分發(fā)(Discrete Variable Quantum Key Distribution, DV-QKD)設(shè)備的時域脈沖參數(shù)，如表1所示，結(jié)果顯示其脈沖寬度<200 ps，時域抖動<30 ps。而PTP時間戳基于數(shù)據(jù)鏈路層進行標記，其同步精度可以達到微秒甚至亞微秒量級。因此兩種信道計算的Δ會存在亞微秒甚至微秒量級的誤差。因此在設(shè)計告警門限值T時需考慮這部分誤差，可以先通過實驗的方式測量或者評估這部分誤差，提前進行補償，或者采用數(shù)據(jù)統(tǒng)計分析方法對測量歷史數(shù)據(jù)進行回歸建模，進一步做誤差評估與誤差預測處理，將兩種信道差異影響降到最低。

表1 量子信道時域脈沖參數(shù)實驗結(jié)果

4 結(jié)束語

未來信息網(wǎng)絡(luò)對于時間同步的精確度和可靠性提出了更高的要求。針對傳統(tǒng)加密方式無法應對延時攻擊的潛在問題，本文提出了一種量子增強安全同步協(xié)議。通過與QKD技術(shù)相結(jié)合，利用PTP傳輸信道和QKD量子信道分別計算時間偏差進行比較，判斷網(wǎng)絡(luò)中是否存在延時攻擊，產(chǎn)生預警，觸發(fā)時間源(或PTP傳輸路徑)切換，主動預防網(wǎng)絡(luò)中的各種安全攻擊，實現(xiàn)時間同步信息的安全傳輸，保證依賴精確時間概念的應用穩(wěn)定運行。