基于TCPN的鐵路時間同步網延遲攻擊應對策略研究

趙庭達,武曉春

(蘭州交通大學自動化與電氣工程學院,蘭州 730070)

隨著鐵路列車運行速度的不斷提高，鐵路內部各個系統時間的一致性對行車安全至關重要，如時間不同步，則會造成故障定位不準確、影響調度指揮或引發其他安全問題。在早期信號系統設備中，由于一些網絡設備或涉及安全分析的系統缺少時間同步接口，導致時間偏差較大。在7.23事故后的鐵路安全大檢查中，發現各個信號設備系統的時間信息不統一，具有一定安全隱患，需進行整改[1]。而隨著綜合網管在鐵路中的引入[2]，系統內部時間信號的統一變得越發重要。由于上述情況，鐵路時間同步網在鐵路系統中得到了越來越多的應用，保證了鐵路系統時間信息的準確性和一致性。

我國鐵路時間同步網采用時間同步協議NTP，然而，近年來針對NTP協議的攻擊在全球范圍內已造成了數以億計的經濟損失[3]。目前，國內外學者對時間同步的安全性進行了一定研究，李欣等[4]分析了近年來針對NTP的典型攻擊手段和行為，提出了安全建議；張昊磊，張友鵬等[5-7]對鐵路時間同步網進行安全性分析，指出NTP協議在身份認證過程中容易遭受中間人攻擊，存在安全隱患；張友鵬[8]通過大數據方法監測鐵路時間同步網異常流量，以達到檢測NTP協議DDOS攻擊的目的；ULLMANN[9]分析了針對NTP協議的延遲攻擊，說明了攻擊原理及對時間同步過程的影響，并提出了檢測方法。延遲攻擊不需對時間同步報文進行篡改就可以破壞時間同步的準確性，因此，更加難以檢測，容易給系統帶來安全隱患。已有研究中，并未涉及到NTP協議延遲攻擊的緩解方法，對延遲攻擊的應對策略進行研究并提出緩解方法具有重要意義。

有色Petri網(CPN)作為一種圖形化的建模語言，適用于通信、同步以及資源共享等類型系統的建模。TCPN在CPN的基礎上增加了時間參數，用以表述變遷發生所經過的時間，相比CPN能更好地對時間同步過程進行描述，本次重點分析NTP協議的對時階段，對延遲攻擊進行建模仿真，并提出應對策略。

1 鐵路時間同步網組網結構

我國鐵路時間同步網完成鐵路各個系統內部時間的統一，其結構包括了時間同步節點、眾多被同步設備和時間同步鏈路。時間同步節點分3級，按照主從樹結構排列，一、二、三級時間節點分別位于國鐵集團調度中心，鐵路局或客專調度所，車站、段、所等位置[10]，鐵路時間同步網結構如圖1所示。

圖1 鐵路時間同步網結構

我國鐵路時間同步網采用自上而下逐級同步的方式。其中，一級時間同步節點內的接收機通過接收天線引入外部時間標準源，并將時間信號傳給一級母鐘設備[11]。一級母鐘按照設定的時間同步周期與諸多二級時間節點和被同步設備等進行時間同步，二級時間節點接收一級時間節點的時間信號，更新自身時間并向三級時間節點和被同步設備提供時間信號，三級時間節點接收二級時間節點的時間信號，更新自身時間并與各被同步設備進行時間同步，當各時間同步節點無時間信號輸入時進入守時狀態，在一定時間精度內與外部標準時間源保持時間同步[12]。

2 NTP協議和時間有色Petri網

2.1 NTP協議

網絡時間協議(NTP)于1985年美國特拉華大學提出，其時間同步精度可達到毫秒級。我國鐵路時間同步網采用NTP主從工作模式，通過服務器與客戶端之間的往返信息包來確定兩地時鐘的差值和報文在網絡中傳輸的延時[13]。

NTP協議的時間同步分為認證階段和對時階段。在認證階段，服務器與客戶端完成初始關聯、交換證書和Cookie請求[14]，之后進入對時階段。在對時階段，客戶端與服務器通過交互報文來更新客戶端時間并完成時間同步，客戶端與服務器在對時階段的報文交換如圖2所示[15]。

圖2 NTP協議對時過程

圖2中左側為服務器時間，右側為客戶端時間。當開始進行時間同步時，客戶端向服務器發送時間同步請求報文syns_Request，其中，記錄了報文的發送時間t1；服務器接收到時間請求報文后記錄報文接收時間t2并編制時間同步回復報文Syns_Response，其中，記錄了報文的發送時間t3以及t1和t2；客戶端收到時間同步回復報文之后記錄時間t4，此時，客戶端記錄了t1，t2，t3和t4。由于NTP協議假定時間同步請求報文與時間同步回復報文的傳輸延遲相同，因此，NTP協議的報文傳輸延遲可表示為

(1)

式中，P為傳輸延遲，根據t1，t2和P，可計算出服務器與客戶端之間的時間偏移量

(2)

式中，D為時間偏移量，客戶端通過計算出的偏移量來調整自身時間與服務器一致，調整后的客戶端時間tc=tc0+D(tc0為未調整的客戶端時間)。

2.2 時間有色Petri網

時間有色Petri網的形式化定義為[16-19]

TCPN=(∑，P，T，A，N，C，E，G，τ)

(3)

式中，∑為一個非空有限集合，稱為顏色集；P為一個有限集合，表示模型中所有庫所的集合，庫所通常用圓形表示；T為一個有限集合，表示模型中所有變遷的集合，變遷在模型中用矩形表示；A為有向弧的集合，表示為P×T∪T×P，有向弧的兩端分別為庫所和變遷；N為節點函數，是從A映射至P×T∪T×P的函數；C為顏色函數，是從P映射到∑的函數，即為每個庫所定義一個顏色集；E為弧表達式函數；G為守衛表達式函數，表示變遷發生的約束；τ為時間參數，時間有色Petri網模型為變遷增加了時間參數，用來表示變遷發生所經過的時間，適用于描述對時階段的時間變化。此外，模型中還存在一個表示模擬器時間的全局時鐘，用于表示模型的運行時間并協調各個變遷發生的優先度，以保證模型中各個變遷的有序發生。

3 鐵路時間同步網時間同步模型的建立

3.1 NTP協議在正常情況下時間同步模型

正常情況下，時間同步周期結束后客戶端時間應與服務器時間相同。根據NTP協議的時間同步原理和信息交互過程，使用CPN Tools工具建立一級時間同步節點和子鐘設備之間的時間同步過程模型，在主從工作模式下，一級節點母鐘設備為服務器，子鐘設備為客戶端，其時間同步過程模型如圖3所示。

圖3 NTP協議時間同步模型

模型模擬了正常情況下NTP協議時間同步過程，為對時間同步的周期性進行描述，該模型可循環運行，模型中各個庫所和變遷的含義如表1、表2所示。

表1 時間同步模型中各個庫所的含義

在模型中，表示時間的庫所顏色集為T，其代表令牌值的數據類型為浮點型；表示時間周期數的庫所N0和N1顏色集為NU，代表令牌值的數據類型為整型。庫所Cli至庫所R0的路徑表示時間同步請求報文的傳遞過程，在一級節點收到請求報文后，通過變遷S1獲得時間t3，并經由庫所res和庫所TS將時間t1、t2、t3傳遞給子鐘設備，之后通過變遷AD來計算偏移量并對子鐘設備時間進行調整。變遷TN(N=1…4)表示時間保持器，其保證了在仿真器時間不斷流逝的情況下令牌的時間能實時更新，而指向TN的抑制弧保證了變遷TN不會影響到時間t3與偏移量的計算。

表2 時間同步模型中各個變遷的含義

3.2 仿真驗證

使用CPN Tools工具對模型進行仿真，為對模型的效果進行驗證，一級節點與子鐘設備的初始時間設定為互不相等的正數，并進行多次試驗。當子鐘設備發送請求報文后，由時間保持器模擬子鐘設備時間的流逝，當一級節點收到請求報文時，記錄時間t1和t2，之后發送時間同步回復報文，并記錄發送時間t3，當子鐘設備收到時間同步回復報文時，根據其中記錄的時間t1、t2和t3計算時間偏移量并調整子鐘設備。在多組不同母鐘與子鐘時間初值情況下，對模型進行多次仿真測試，仿真結果如表3所示。

表3 時間同步模型仿真測試結果 ms

由仿真結果可知，當子鐘設備的初始時間與母鐘設備不同時，在模型運行結束后，各組子鐘設備時間經過調整均與母鐘設備時間一致，驗證了本文所建立的NTP時間同步模型的正確性。

4 鐵路時間同步網延遲攻擊

攻擊者通過偽造服務器、中間人攻擊等方式對數據包進行延遲操縱，在NTP協議時間同步報文的通信鏈路中引入延遲[5]。延遲攻擊破壞NTP所假定的主從網絡延遲對稱性，進而影響偏移量計算，達到破壞時間同步準確性的目的[20]。

假定攻擊者在一級節點母鐘向子鐘設備發送時間同步回復報文的過程中引入延遲，引入延遲值μ，則有

(4)

式中，Dattack1為受到攻擊時子鐘設備計算的偏移量。由結果可知，在一級節點回復報文過程中引入延遲值為μ的延遲攻擊后，計算偏移量會出現μ/2的偏差，若以該偏移量對子鐘設備時間進行調整，在時間同步周期結束時子鐘設備時間落后一級節點時間μ/2。

設μm和μm-1分別為攻擊者在開始攻擊后第m個時間同步周期和第m-1個時間同步周期引入的延遲，在開始攻擊后第m個周期開始時，子鐘設備時間落后一級節點μm-1/2，結合公式(2)可得

(5)

其中，Dattackm為攻擊者引入延遲攻擊的第m個周期的計算偏移量，dm為非攻擊因素造成的客戶端時間偏差。由式(5)可知，當μm=μm-1，即攻擊者在前后兩個時間同步周期引入的延遲相同時，除第一個時間同步周期之外，前后兩個時間同步周期所計算的偏移量與未受攻擊時所計算的偏移量一致，故客戶端難以通過監測計算偏移量來確定是否遭受了延遲攻擊。

由以上分析可知，在受到延遲攻擊后，客戶端所計算的偏移量只在引入延遲的第1個周期存在變化，同時延遲攻擊又避免了對時間同步報文內容的篡改，因此，延遲攻擊具有破壞時間同步的精確度、不易察覺的特點。在鐵路時間同步網中，由于采用了從一級時間同步節點逐級向下進行時間同步的方式,當時間同步鏈路遭受攻擊后，在攻擊節點下游所有設備均會收到錯誤的時間信號，從而對鐵路系統內部時間的一致性造成很大影響。

為檢測延遲攻擊，增加鐵路時間同步網應對網絡攻擊的彈性，建議充分利用鐵路時間同步網中引入外部標準時間源(GPS/北斗)的時間同步設備。在時間同步過程中，引入外部標準時間源的客戶端在與服務器完成時間同步報文交互后不對自身時鐘進行調整，而是驗證所計算的偏移量。若在該客戶端上游未發生攻擊時，其計算偏移量應接近于0，若計算的偏移量違反超過一定次數時便會報警，表明受到了延遲攻擊。

5 延遲攻擊的緩解

5.1 緩解方法

為應對延遲攻擊并提高時間同步的穩定性，應提出NTP協議延遲攻擊的緩解策略，當收到報警時，客戶端應調整自身時鐘盡量與服務器保持一致。提出了一種通過求取引入延遲近似值來緩解攻擊的方法，具體方法如下。

由式(4)可知，當受到攻擊時，時間同步周期結束后客戶端時間落后服務器時間μ/2，因此，只需確定μ值就可對客戶端時鐘進行緩解。為確定μ值，客戶端計算并存儲偏移量的均值Avg(n)，可表示為

(6)

式中，n為時間同步周期數，D(n)為第n個周期的計算偏移量。設攻擊者在第n+1個周期進行延遲攻擊，客戶端在第n+m個周期收到報警，當收到報警時，客戶端儲存了Avg(n),…,Avg(n+m)和D(n),…,D(n+m)，由式(5)、式(6)可得到各個周期的μ值為

(7)

式中，k為小于m的正整數，由于影響時鐘漂移的濕度、溫度和其他因素在很長一段時間內逐漸變化，且很少出現急劇變化[21]，則可由Avg(n)代替di，各周期的μ值也可表示為

(8)

在求出每個周期的μ值后，由各個周期μ值的平均值來表示引入延遲的近似值，在攻擊結束前用該近似值的1/2來調整客戶端時鐘，從而達到緩解延遲攻擊的目的。

5.2 緩解方法建模

為對緩解方法進行仿真驗證，需對上文中的時間同步模型進行拓展。首先，假定攻擊者在一級節點向子鐘設備發送回復報文的過程中引入延遲攻擊，在模型中加入攻擊節點來對延遲攻擊進行模擬，加入的延遲攻擊部分如圖4所示。

圖4 延遲攻擊節點模型

在原時間同步模型中的庫所P1和TS之間引入了一個變遷ATK，在令牌經過此變遷時會增加令牌的時間戳，時間戳的增加量由函數DELAY確定，以此模擬延遲攻擊。在原模型的基礎上加入攻擊部分后，繼續對模型進行拓展，加入延遲攻擊緩解部分，如圖5所示。

圖5 NTP延遲攻擊緩解模型

在進行了一個時間同步周期后，子鐘設備計算的偏移量通過變遷SW1傳遞給緩解部分，之后由緩解部分對偏移量進行計算處理，模型中各個庫所和變遷的含義如表4所示。

模型由變遷CAL1計算未受攻擊時的Avg(n)，由變遷CAL3計算攻擊者引入延遲μ的近似值，在收到警報后，由變遷AD2完成對子鐘設備的緩解，緩解后代表子鐘設備時間的令牌值存放在庫所FC中。

5.3 仿真驗證

為驗證緩解方法的有效性，使用CPN Tools仿真功能對拓展后模型進行仿真驗證。仿真時，在第11個時間同步周期引入延遲攻擊，設偏移量違規次數閾值為3，時間同步周期間的時間間隔為3 min，根據時間間隔并參考晶體時鐘的漂移率，時間偏差設定為2～3 ms。在開始緩解后，分別測定了在不同引入延遲下使用和未使用緩解方法時的緩解效果，其仿真結果如表5所示。

由仿真結果可知，在不同引入延遲值的情況下，使用緩解方法后的主從偏移量絕對值均小于2 ms，緩解了延遲攻擊帶來的影響，與理論分析相符，仿真結果驗證了緩解方法和緩解模型的有效性和正確性。

6 結語

(1)使用時間有色Petri網建立NTP時間同步模型，利用時間有色Petri網的時間特性來對時間同步效果進行量化分析，并驗證了模型的正確性，為時間同步協議的進一步研究提供了模型參考。

(2)針對鐵路時間同步協議延遲攻擊，分析了延遲攻擊對時間同步過程造成的影響，并建議增加準確的外部標準時間源，以增加應對攻擊的彈性。

(3)根據引入延遲與計算偏移量的關系，提出了延遲攻擊的緩解方法，通過模型對緩解方法進行仿真后可知，緩解過后的時間偏差小于2 ms，驗證了所提方法的有效性。