專利名稱:Ptp中設(shè)置安全認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計(jì)算機(jī)通信技術(shù)領(lǐng)域,尤其涉及計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)通信技術(shù)的PTP中設(shè)置安全認(rèn)證的方法��。
背景技術(shù):
PTP(Precision Time Protocol,精確時(shí)鐘同步協(xié)議)是一種時(shí)間同步的協(xié)議,其規(guī)定的同步源選舉機(jī)制如下當(dāng)啟用了 PTP協(xié)議的接口接收到一個(gè)Announce報(bào)文,通過解析Announce報(bào)文,得到Announce報(bào)文中的時(shí)間同步質(zhì)量���、時(shí)間同步優(yōu)先級等與同步源選舉有關(guān)的信息���。在得到這些信息之后,與接口所在設(shè)備自身的時(shí)間同步質(zhì)量�、時(shí)間同步優(yōu)先級等 信息相比較���,取所有收到報(bào)文中時(shí)間同步質(zhì)量最佳者為同步源,若自身即為最佳者����,不向其他設(shè)備進(jìn)行時(shí)間同步。稱選中的同步源為Master(時(shí)間同步源)�����,同步設(shè)備為Slave(時(shí)間同步設(shè)備)����。Slave設(shè)備接收Master設(shè)備所發(fā)出的Sync (同步)報(bào)文后,再通過相應(yīng)的同步機(jī)制進(jìn)行時(shí)間同步����。PTP同步的基本原理是主、從時(shí)鐘之間交互同步報(bào)文并記錄報(bào)文的收發(fā)時(shí)間��,通過計(jì)算報(bào)文往復(fù)的時(shí)間差來計(jì)算主�、從時(shí)鐘之間的往返總延時(shí)。PTP協(xié)議中規(guī)定的時(shí)間同步機(jī)制有如下兩種l)Delay_request (延時(shí)請求)機(jī)制主要同步機(jī)理如圖一所示��,slave設(shè)備的時(shí)鐘校正值為Offset=O. 5*[(T2-T I)-(T4-T3)]2)Peer_delay (端延時(shí))機(jī)制主要同步機(jī)理如圖二所示�,slave與master見的平均鏈路延遲為Mean_delay=0. 5*[ (t4_t I)-(t3~t2)]假設(shè)同步報(bào)文在Master的Tl時(shí)刻發(fā)出���,在slave的T2時(shí)刻到達(dá),則slave設(shè)備的時(shí)鐘校正值為Offset=T1+Mean_delay-T2PTP協(xié)議v2版本由工業(yè)背景的PTP協(xié)議VI版本演進(jìn)而來,v2版本的PTP協(xié)議����,能夠在以太網(wǎng)這樣的共享網(wǎng)絡(luò)中,進(jìn)行亞微米秒級別的精確時(shí)間同步��。v2版本雖然考慮了精確時(shí)間在以太網(wǎng)中傳遞的基本流程�,但是協(xié)議缺乏有效的安全保障機(jī)制,被惡意報(bào)文攻擊時(shí)��,時(shí)間同步機(jī)能將收到影響���,相關(guān)業(yè)務(wù)將大規(guī)模失效�����。例如��,攻擊者可模擬一臺聲稱同步質(zhì)量和精度優(yōu)于網(wǎng)絡(luò)中所有主鐘的設(shè)備��,而隨意設(shè)置其發(fā)出包的時(shí)戳�����,導(dǎo)致整個(gè)網(wǎng)絡(luò)的時(shí)間同步都將被打亂�����。
發(fā)明內(nèi)容
本發(fā)明的目的在于克服現(xiàn)有技術(shù)的缺陷����,提供一種PTP設(shè)置安全認(rèn)證的方法,其在Master側(cè)和Slave側(cè)分別對報(bào)文進(jìn)行安全認(rèn)證�,添加報(bào)文有效期和超時(shí)機(jī)制,使得同步雙方能最大可能地屏蔽惡意報(bào)文的沖擊��,以確保PTP協(xié)議的通信安全��。為實(shí)現(xiàn)上述目的�����,本發(fā)明提出如下技術(shù)方案一種PTP中設(shè)置安全認(rèn)證的方法��,包括預(yù)先在時(shí)間同步源和時(shí)間同步設(shè)備上設(shè)置密鑰��,在時(shí)間同步源向時(shí)間同步設(shè)備發(fā)布同步信息時(shí)�,在發(fā)送的PTP報(bào)文中增加一個(gè)身份驗(yàn)證字段��,所述字段包括第一 MD5值,該第一 MD5值由sequencelD字段和所述密鑰邏輯運(yùn)算組成�����;時(shí)間同步設(shè)備端在收到所述PTP報(bào)文時(shí)���,將所述報(bào)文中的sequencelD字段和本地預(yù)設(shè)的密鑰進(jìn)行相應(yīng)的邏輯運(yùn)算�,得到第二 MD5值�����;以及比較所述第一 MD5值和第二 MD5值����,并將兩者相同的通告報(bào)文通過PTP認(rèn)證。
在同一時(shí)鐘同步域內(nèi)的所有合法同步設(shè)備上����,所述密鑰相同。所述密鑰不在網(wǎng)絡(luò)上傳輸��。所述第一 MD5值和第二 MD5值均由sequencelD字段和對應(yīng)設(shè)備的密鑰邏輯與產(chǎn)生�。對第一 MD5值不同于第二 MD5值的報(bào)文不通過認(rèn)證,并將該報(bào)文丟棄。所述方法適用于時(shí)間同步設(shè)備向時(shí)間同步源發(fā)送同步信息時(shí)的安全認(rèn)證�。所述sequencelD字段的值由通信發(fā)起方隨機(jī)分配或?yàn)轫憫?yīng)相對應(yīng)報(bào)文的sequencelD 的值。與現(xiàn)有技術(shù)相比���,本發(fā)明所揭示的本發(fā)明引入的PTP協(xié)議通信雙方的身份認(rèn)證機(jī)制��,保證了 PTP的通信安全��,使得運(yùn)行PTP協(xié)議的設(shè)備不易受到來自互聯(lián)網(wǎng)的惡意攻擊影響����。
圖I是PTP協(xié)議中請求應(yīng)答延遲機(jī)制的示意圖��;圖2是PTP協(xié)議中端延遲機(jī)制的示意圖����。圖3是本發(fā)明中的PTP協(xié)議中發(fā)送報(bào)文的組成示意圖。
具體實(shí)施例方式下面將結(jié)合本發(fā)明的附圖���,對本發(fā)明實(shí)施例的技術(shù)方案進(jìn)行清楚、完整的描述��。本發(fā)明提出的PTP中設(shè)置安全認(rèn)證的方法��,其預(yù)先為時(shí)間同步的時(shí)間同步源(Master)和時(shí)間同步設(shè)備(Slave)雙方定義一個(gè)密鑰�,此密鑰不會(huì)在網(wǎng)絡(luò)上傳輸���。在時(shí)間同步源在發(fā)布同步信息時(shí),增加一個(gè)身份驗(yàn)證字段���,該字段包含一個(gè)MD5 (Message-DigestAlgorithm 5���,信息摘要算法第五版)值,該MD5值為發(fā)送端的MD5值���,其是由PTP報(bào)文中的sequencelD字段和密鑰key進(jìn)行“邏輯與”運(yùn)算的結(jié)果值�。如表一所示為普通的PTP報(bào)文頭的格式表一 PTP報(bào)文頭格式
權(quán)利要求
1.一種PTP中設(shè)置安全認(rèn)證的方法��,其特征在于包括 預(yù)先在時(shí)間同步源和時(shí)間同步設(shè)備上設(shè)置密鑰��,在時(shí)間同步源向時(shí)間同步設(shè)備發(fā)布同步信息時(shí)����,在發(fā)送的PTP報(bào)文中增加一個(gè)身份驗(yàn)證字段,所述字段包括第一 MD5值����,該第一MD5值由sequencelD字段和所述密鑰邏輯運(yùn)算組成; 時(shí)間同步設(shè)備端在收到所述PTP報(bào)文時(shí),將所述報(bào)文中的sequencelD字段和本地預(yù)設(shè)的密鑰進(jìn)行相應(yīng)的邏輯運(yùn)算����,得到第二 MD5值;以及 比較所述第一 MD5值和第二 MD5值����,并將兩者相同的PTP報(bào)文通過PTP認(rèn)證。
2.根據(jù)權(quán)利要求I所述的方法��,其特征在于在同一時(shí)鐘同步域內(nèi)的所有合法同步設(shè)備上��,所述密鑰相同����。
3.根據(jù)權(quán)利要求I所述的方法,其特征在于所述密鑰不在網(wǎng)絡(luò)上傳輸�����。
4.根據(jù)權(quán)利要求I所述的方法�����,其特征在于所述第一MD5值和第二 MD5值均由sequencelD字段和對應(yīng)設(shè)備的密鑰邏輯與的結(jié)果作MD5運(yùn)算產(chǎn)生�����。
5.根據(jù)權(quán)利要求I所述的方法����,其特征在于對第一MD5值不同于第二 MD5值的報(bào)文不通過認(rèn)證,并將該報(bào)文丟棄���。
6.根據(jù)權(quán)利要求I所述的方法�����,其特征在于所述方法適用于時(shí)間同步設(shè)備向時(shí)間同步源發(fā)送同步信息時(shí)的安全認(rèn)證����。
全文摘要
本發(fā)明揭示了一種PTP中設(shè)置安全認(rèn)證的方法����,其包括預(yù)先在時(shí)間同步源和時(shí)間同步設(shè)備上設(shè)置密鑰,在時(shí)間同步源向時(shí)間同步設(shè)備發(fā)布同步信息時(shí)�����,在發(fā)送的PTP報(bào)文中增加一個(gè)身份驗(yàn)證字段�,所述字段包括第一MD5值���,該第一MD5值由sequenceID字段和所述密鑰邏輯運(yùn)算組成;時(shí)間同步設(shè)備端在收到所述PTP報(bào)文時(shí)��,將所述報(bào)文中的sequenceID字段和本地預(yù)設(shè)的密鑰進(jìn)行相應(yīng)的邏輯運(yùn)算��,得到第二MD5值��;并將兩MD5值相比較�,相同的PTP報(bào)文則通過PTP認(rèn)證,不同則將報(bào)文丟棄���,如此����,保證了PTP的通信安全��,使得運(yùn)行PTP協(xié)議的設(shè)備不易受到來自互聯(lián)網(wǎng)的惡意攻擊影響���。
文檔編號H04L29/06GK102801733SQ20121030922
公開日2012年11月28日 申請日期2012年8月28日 優(yōu)先權(quán)日2012年8月28日
發(fā)明者龔海東 申請人:盛科網(wǎng)絡(luò)(蘇州)有限公司