时钟同步报文过滤系统及方法技术方案

技术编号:39654774 阅读:12 留言:0更新日期:2023-12-09 11:23
本申请公开了一种时钟同步报文过滤系统及方法

【技术实现步骤摘要】
时钟同步报文过滤系统及方法


[0001]本申请涉及网络安全
,具体而言,涉及一种时钟同步报文过滤系统及方法


技术介绍

[0002]组网的时钟设备之间是通过时钟同步报文完成时钟同步,为了保证时钟设备正常工作,需要验证时钟同步报文的合法性,并过滤异常时钟同步报文的流量

而判断时钟同步报文是否合法,除了判断报文字段是否符合标准,还需要判断报文是否来自指定的时钟设备,而时钟同步报文通常会携带时钟设备的时钟
ID
,以记录产生当前报文的时钟设备

[0003]在相关技术中,为了确保时钟同步报文的合法性,可以采用设置报文过滤装置过滤不合法的攻击报文,而目前通常可以按照如下两种时钟同步报文过滤系统传输时钟同步报文:其一是采用如图
1a
所示的时钟同步报文过滤系统,该系统是将时钟
ID
作为报文过滤装置的过滤规则,以防止需求外的时钟同步报文上送时钟设备,然而这种方案会可能会造成完整
PTP
报文的泄露,导致攻击者构造匹配过滤规则的攻击报文;其二是采用如图
1b
所示的时钟同步报文过滤系统,该系统是以时钟
ID
进行加密结果作为报文过滤装置的过滤规则,然而这种方案同样可能会造成完整
PTP
报文的泄露

加密算法和密钥的泄露,导致攻击者构造匹配过滤规则的攻击报文

因此,目前相关方案均可能会导致时钟设备收到攻击报文,影响正常工作/>。
[0004]针对上述的问题,目前尚未提出有效的解决方案


技术实现思路

[0005]本申请实施例提供了一种时钟同步报文过滤系统及方法,以至少解决时钟同步报文在传输过程中因泄露报文信息

加密算法或密钥导致影响时钟同步正常工作的技术问题

[0006]根据本申请实施例的一个方面,提供了一种时钟同步报文过滤系统,该时钟同步报文过滤系统中包括:组网下的第一时钟设备和第二时钟设备,以及第一时钟设备对应的第一报文过滤装置和第二时钟设备对应的第二报文过滤装置,其中,第一时钟设备,用于向第二时钟设备发送携带第一时钟设备的目标时钟标识的第一时钟同步报文,其中,第一时钟同步报文用于对第一时钟设备和第二时钟设备进行并完成时钟同步;向第一报文过滤装置发送携带目标时钟标识的第二时钟同步报文,其中,第二时钟同步报文用于维持第一时钟设备和第二时钟设备的时钟同步;第一报文过滤装置,用于依据第一密钥对目标时钟标识进行加密得到加密时钟标识,并将携带加密时钟标识的第二时钟同步报文发送至第二报文过滤装置,其中,第一密钥由第一时钟设备发送第二时钟同步报文时,第一时钟设备的第一时间戳的低
N
比特确定;第二报文过滤装置,用于依据第一时钟同步报文获取目标时钟标识,并将第二密钥对目标时钟标识的加密结果作为筛选条件,生成加密过滤规则;利用加密过滤规则对携带加密时钟标识的第二时钟同步报文进行过滤,其中,第二密钥由第二时钟
设备接收第二时钟同步报文时,第二时钟设备的第二时间戳的低
N
比特确定

[0007]可选地,时钟同步报文过滤系统中还包括:开关装置,用于控制第一报文过滤装置和第二报文过滤装置的加密过滤功能的启闭,其中,在开关装置的取值为有效值时,开启第一报文过滤装置和第二报文过滤装置的加密过滤功能;在开关装置的取值为无效值时,关闭第一报文过滤装置和第二报文过滤装置的加密过滤功能

[0008]可选地,时钟同步报文过滤系统中还包括:用于记录第一时钟设备发送第二时钟同步报文时,第一时钟设备的第一时间戳的低
N
比特;用于记录第二时钟设备接收第二时钟同步报文时,第二时钟设备的第二时间戳的低
N
比特;其中,
N
用于分别表示第一时间戳和第二时间戳在纳秒级单位上的低
N


[0009]可选地,第一密钥由第一时间戳的低
N
比特与目标掩码进行按位与运算操作所得;第二密钥由第二时间戳的低
N
比特与目标掩码进行按位与运算操作所得的;其中,目标掩码共
N
位,且目标掩码的前
M
位为1,后
N

M
位为
0。
[0010]可选地,
N
等于
32

M
等于
16。
[0011]可选地,第二报文过滤装置还用于检测加密时钟标识是否匹配加密过滤规则,其中,在第二时钟同步报文内的加密时钟标识在匹配加密过滤规则的情况下,将接收到的第二时钟同步报文上报至第二时钟设备;在第二时钟同步报文内的加密时钟标识在不匹配加密过滤规则的情况下,过滤接收到的第二时钟同步报文

[0012]可选地,第一时钟同步报文和第二时钟同步报文的报文类型均为精确时间同步协议
PTP
报文

[0013]根据本申请实施例的另一方面,还提供了一种时钟同步报文过滤方法,包括:依据第一时钟设备向第二时钟设备发送携带第一时钟设备的目标时钟标识的第一时钟同步报文获取目标时钟标识,其中,第一时钟同步报文用于对第一时钟设备和第二时钟设备进行并完成时钟同步;接收第一时钟设备的第一报文过滤装置发送的携带加密时钟标识的第二时钟同步报文,其中,加密时钟标识由第一报文过滤装置依据第一密钥对目标时钟标识进行加密所得,且第一密钥由第一时钟设备发送第一时钟同步报文时,第一时钟设备的第一时间戳的低
N
比特确定,第二时钟同步报文用于维持第一时钟设备和第二时钟设备的时钟同步;将第二密钥对目标时钟标识的加密结果作为筛选条件,生成加密过滤规则,并利用加密过滤规则对携带加密时钟标识的第二时钟同步报文进行过滤,其中,第二密钥由第二时钟设备接收第二时钟同步报文时,第二时钟设备的第二时间戳的低
N
比特确定

[0014]根据本申请实施例的另一方面,还提供了一种非易失性存储介质,该非易失性存储介质包括存储的计算机程序,其中,非易失性存储介质所在设备通过运行该计算机程序执行上述的时钟同步报文过滤方法

[0015]根据本申请实施例的另一方面,还提供了一种电子设备,该电子设备包括:存储器和处理器,其中,存储器中存储有计算机程序,处理器被配置为通过计算机程序执行上述的时钟同步报文过滤方法

[0016]在本申请实施例中,第一时钟设备首先向第二时钟设备发送携带第一时钟设备的目标时钟标识的第一时钟同步报文,此时,第一时钟设备和第二时钟设备进行并完成时钟同步,且与第二时钟设备对应的第二报文过滤装置会记录第一时钟设备的目标时钟标识;接着,第一时钟设备向报文过滤装置发送携带第一时钟设备的目标时钟标识的第二时钟同
步报文,用以维持第一时钟设备本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种时钟同步报文过滤系统,其特征在于,所述时钟同步报文过滤系统中包括:组网下的第一时钟设备和第二时钟设备,以及所述第一时钟设备对应的第一报文过滤装置和所述第二时钟设备对应的第二报文过滤装置,其中,所述第一时钟设备,用于向所述第二时钟设备发送携带所述第一时钟设备的目标时钟标识的第一时钟同步报文,其中,所述第一时钟同步报文用于对所述第一时钟设备和所述第二时钟设备进行并完成时钟同步;向所述第一报文过滤装置发送携带所述目标时钟标识的第二时钟同步报文,其中,所述第二时钟同步报文用于维持所述第一时钟设备和所述第二时钟设备的时钟同步;所述第一报文过滤装置,用于依据第一密钥对所述目标时钟标识进行加密得到加密时钟标识,并将携带所述加密时钟标识的第二时钟同步报文发送至所述第二报文过滤装置,其中,所述第一密钥由所述第一时钟设备发送所述第二时钟同步报文时,所述第一时钟设备的第一时间戳的低
N
比特确定;所述第二报文过滤装置,用于依据所述第一时钟同步报文获取所述目标时钟标识,并将第二密钥对所述目标时钟标识的加密结果作为筛选条件,生成加密过滤规则;利用所述加密过滤规则对携带所述加密时钟标识的第二时钟同步报文进行过滤,其中,所述第二密钥由所述第二时钟设备接收所述第二时钟同步报文时,所述第二时钟设备的第二时间戳的低
N
比特确定
。2.
根据权利要求1所述的系统,其特征在于,所述时钟同步报文过滤系统中还包括:开关装置,用于控制所述第一报文过滤装置和所述第二报文过滤装置的加密过滤功能的启闭,其中,在所述开关装置的取值为有效值时,开启所述第一报文过滤装置和所述第二报文过滤装置的加密过滤功能;在所述开关装置的取值为无效值时,关闭所述第一报文过滤装置和所述第二报文过滤装置的加密过滤功能
。3.
根据权利要求1所述的系统,其特征在于,所述时钟同步报文过滤系统中还包括:时间计数器,用于记录所述第一时钟设备发送所述第二时钟同步报文时,所述第一时钟设备的第一时间戳的低
N
比特;用于记录所述第二时钟设备接收所述第二时钟同步报文时,所述第二时钟设备的第二时间戳的低
N
比特;其中,
N
用于分别表示所述第一时间戳和所述第二时间戳在纳秒级单位上的低
N

。4.
根据权利要求3所述的系统,其特征在于,所述第一密钥由所述第一时间戳的低
N
比特与目标掩码进行按位与运算操作所得;所述第二密钥由所述第二时间戳的低
N
比特与所述目标掩码进...

【专利技术属性】
技术研发人员:林力帆曹丽杰欧亮
申请(专利权)人:中电信智能网络科技有限公司
类型:发明
国别省市:

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1