PTP中设置安全认证的方法.pdf

摘要
申请专利号：	CN201210309227.5	申请日：	2012.08.28
公开号：	CN102801733A	公开日：	2012.11.28
当前法律状态：	撤回	有效性：	无权
法律详情：	发明专利申请公布后的视为撤回IPC(主分类):H04L 29/06申请公布日:20121128\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20120828\|\|\|公开
IPC分类号：	H04L29/06	主分类号：	H04L29/06
申请人：	盛科网络（苏州）有限公司
发明人：	龚海东
地址：	215021 江苏省苏州市工业园区星汉街5号（腾飞工业坊）B幢4楼13/16单元
优先权：
专利代理机构：	苏州慧通知识产权代理事务所(普通合伙) 32239	代理人：	安纪平
PDF下载：	PDF下载

内容摘要

本发明揭示了一种PTP中设置安全认证的方法，其包括：预先在时间同步源和时间同步设备上设置密钥，在时间同步源向时间同步设备发布同步信息时，在发送的PTP报文中增加一个身份验证字段，所述字段包括第一MD5值，该第一MD5值由sequenceID字段和所述密钥逻辑运算组成；时间同步设备端在收到所述PTP报文时，将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算，得到第二MD5值；并将两MD5值相比较，相同的PTP报文则通过PTP认证，不同则将报文丢弃，如此，保证了PTP的通信安全，使得运行PTP协议的设备不易受到来自互联网的恶意攻击影响。

权利要求书

1.一种PTP中设置安全认证的方法，其特征在于包括：预先在时间同步源和时间同步设备上设置密钥，在时间同步源向时间同步设备发布同步信息时，在发送的PTP报文中增加一个身份验证字段，所述字段包括第一MD5值，该第一MD5值由sequenceID字段和所述密钥逻辑运算组成；时间同步设备端在收到所述PTP报文时，将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算，得到第二MD5值；以及比较所述第一MD5值和第二MD5值，并将两者相同的PTP报文通过PTP认证。2.根据权利要求1所述的方法，其特征在于：在同一时钟同步域内的所有合法同步设备上，所述密钥相同。3.根据权利要求1所述的方法，其特征在于：所述密钥不在网络上传输。4.根据权利要求1所述的方法，其特征在于：所述第一MD5值和第二MD5值均由sequenceID字段和对应设备的密钥逻辑与的结果作MD5运算产生。5.根据权利要求1所述的方法，其特征在于：对第一MD5值不同于第二MD5值的报文不通过认证，并将该报文丢弃。6.根据权利要求1所述的方法，其特征在于：所述方法适用于时间同步设备向时间同步源发送同步信息时的安全认证。

说明书

PTP中设置安全认证的方法

技术领域

本发明涉及计算机通信技术领域，尤其涉及计算机网络数据通信技术
的PTP中设置安全认证的方法。

背景技术

PTP(Precision Time Protocol，精确时钟同步协议)是一种时间同步的
协议，其规定的同步源选举机制如下：

当启用了PTP协议的接口接收到一个Announce报文，通过解析
Announce报文，得到Announce报文中的时间同步质量、时间同步优先级
等与同步源选举有关的信息。

在得到这些信息之后，与接口所在设备自身的时间同步质量、时间同
步优先级等信息相比较，取所有收到报文中时间同步质量最佳者为同步源，
若自身即为最佳者，不向其他设备进行时间同步。称选中的同步源为Master
(时间同步源)，同步设备为Slave(时间同步设备)。

Slave设备接收Master设备所发出的Sync(同步)报文后，再通过相
应的同步机制进行时间同步。PTP同步的基本原理是主、从时钟之间交互
同步报文并记录报文的收发时间，通过计算报文往复的时间差来计算主、
从时钟之间的往返总延时。PTP协议中规定的时间同步机制有如下两种：

1)Delay-request(延时请求)机制

主要同步机理如图一所示，slave设备的时钟校正值为：

Offset=0.5*[(T2-T 1)-(T4-T3)]

2)Peer-delay(端延时)机制

主要同步机理如图二所示，slave与master见的平均链路延迟为：

Mean_delay=0.5*[(t4-t 1)-(t3-t2)]

假设同步报文在Master的T1时刻发出，在slave的T2时刻到达，则
slave设备的时钟校正值为：

Offset=T1+Mean_delay-T2

PTP协议v2版本由工业背景的PTP协议v1版本演进而来，v2版本的
PTP协议，能够在以太网这样的共享网络中，进行亚微米秒级别的精确时
间同步。v2版本虽然考虑了精确时间在以太网中传递的基本流程，但是协
议缺乏有效的安全保障机制，被恶意报文攻击时，时间同步机能将收到影
响，相关业务将大规模失效。例如，攻击者可模拟一台声称同步质量和精
度优于网络中所有主钟的设备，而随意设置其发出包的时戳，导致整个网
络的时间同步都将被打乱。

发明内容

本发明的目的在于克服现有技术的缺陷，提供一种PTP设置安全认证
的方法，其在Master侧和Slave侧分别对报文进行安全认证，添加报文有
效期和超时机制，使得同步双方能最大可能地屏蔽恶意报文的冲击，以确
保PTP协议的通信安全。

为实现上述目的，本发明提出如下技术方案：一种PTP中设置安全认
证的方法，包括：

预先在时间同步源和时间同步设备上设置密钥，在时间同步源向时间
同步设备发布同步信息时，在发送的PTP报文中增加一个身份验证字段，
所述字段包括第一MD5值，该第一MD5值由sequenceID字段和所述密钥
逻辑运算组成；

时间同步设备端在收到所述PTP报文时，将所述报文中的sequenceID
字段和本地预设的密钥进行相应的逻辑运算，得到第二MD5值；以及

比较所述第一MD5值和第二MD5值，并将两者相同的通告报文通过
PTP认证。

在同一时钟同步域内的所有合法同步设备上，所述密钥相同。

所述密钥不在网络上传输。

所述第一MD5值和第二MD5值均由sequenceID字段和对应设备的密
钥逻辑与产生。

对第一MD5值不同于第二MD5值的报文不通过认证，并将该报文丢
弃。

所述方法适用于时间同步设备向时间同步源发送同步信息时的安全
认证。

所述sequenceID字段的值由通信发起方随机分配或为响应相对应报
文的sequenceID的值。

与现有技术相比，本发明所揭示的本发明引入的PTP协议通信双方的
身份认证机制，保证了PTP的通信安全，使得运行PTP协议的设备不易受
到来自互联网的恶意攻击影响。

附图说明

图1是PTP协议中请求应答延迟机制的示意图；

图2是PTP协议中端延迟机制的示意图。

图3是本发明中的PTP协议中发送报文的组成示意图。

具体实施方式

下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完
整的描述。

本发明提出的PTP中设置安全认证的方法，其预先为时间同步的时间
同步源(Master)和时间同步设备(Slave)双方定义一个密钥，此密钥不
会在网络上传输。在时间同步源在发布同步信息时，增加一个身份验证字
段，该字段包含一个MD5(Message-Digest Algorithm 5，信息摘要算法第
五版)值，该MD5值为发送端的MD5值，其是由PTP报文中的sequenceID
字段和密钥key进行“逻辑与”运算的结果值。如表一所示为普通的PTP
报文头的格式：

表一PTP报文头格式

如图3所示是本发明中的PTP报文的组成，其中包括了身份认证TLV
的信息，包括TLV类型，TLV长度以及身份认证字段MD5值，TLV类型
见IEEE1588chanpter 14.1.1可使用当前预留值4000-ffff范围内的值，TLV
长度由MD5值长度决定。

时间同步设备在收到PTP报文时，把PTP报文头中的sequenceID字段
和本地密钥key进行“与”运算，再取结果得到接收端的MD5值。时间同
步设备将这个运算得到的接收端的MD5值和收到的PTP报文中包含的发送
端的MD5值进行比较，若两者相等，则认证通过，否则认为认证失败。

时间同步设备端在选时间同步源时只认可认证通过的Announce报文，
认证失败的Announce报文直接忽略。

此外，在由时间同步设备逆向发送给时间同步源报文时，采用同样的
机制作身份认证，即时间同步设备发送的PTP报文中包括一个发送端的
MD5值，该MD5值由sequenceID字段和密钥进行“逻辑与”运算的结果；
Master在收到报文时，把报文中sequenceID字段和本地密钥进行与运算后，
取得接收端的MD5值，Master将这个运算得到的接收端的MD5值和收到
的PTP报文中包含的发送端的MD5值进行比较，若两者相等，则认证通
过，否则认为认证失败。且该认证有效范围涵盖整个选源和同步过程，以
delay-response模式为例，包括slave端的选源过程，slave端接收时间同步
信息(sync报文，follow_up报文，delay_resp报文)过程和master端接收
delay_req过程。

同步时，将所有的PTP协议通信中认证不通过的PTP报文作丢弃处理，
并上报日志记录。

在PTP协议中，一般报文中的sequenceID值由通信发起方随机分配(详
见IEEE STD.1588协议)，然以下四种报文使用的sequenceID值分别为对应
的发送报文的sequenceID值：

Pdelay_Resp(端延时应答)报文：使用对应的Pdelay_Req(端延时请求)
报文的sequenceID；

Follow_Up(跟随)报文：使用对应的Sync(同步)报文的sequenceID。

Delay_RResp(延时应答)报文：使用对应的Delay_Req(延时请求)报
文的sequenceID。

Pdelay_Resp_Follow_Up(端延时应答跟随)报文：使用对应的
Pdelay_Req(端延时请求)报文的sequenceID。

更进一步地，设置安全认证时，同一时钟同步域内的所有合法同步设
备使用同一个密钥，该密钥在部署网络时事先给定，且永不在网络上传输。

本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人
员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修
饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种
不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。

资源描述

《PTP中设置安全认证的方法.pdf》由会员分享，可在线阅读，更多相关《PTP中设置安全认证的方法.pdf（7页珍藏版）》请在专利查询网上搜索。

1、(10)申请公布号 CN 102801733 A (43)申请公布日 2012.11.28 CN 102801733 A *CN102801733A* (21)申请号 201210309227.5 (22)申请日 2012.08.28 H04L 29/06(2006.01) (71)申请人盛科网络（苏州）有限公司地址 215021 江苏省苏州市工业园区星汉街 5 号（腾飞工业坊） B 幢 4 楼 13/16 单元 (72)发明人龚海东 (74)专利代理机构苏州慧通知识产权代理事务所 ( 普通合伙 ) 32239 代理人安纪平 (54) 发明名称 PTP 中设置安全认证的方法。

2、(57) 摘要本发明揭示了一种 PTP 中设置安全认证的方法，其包括：预先在时间同步源和时间同步设备上设置密钥，在时间同步源向时间同步设备发布同步信息时，在发送的 PTP 报文中增加一个身份验证字段，所述字段包括第一 MD5 值，该第一 MD5 值由 sequenceID 字段和所述密钥逻辑运算组成；时间同步设备端在收到所述 PTP 报文时，将所述报文中的 sequenceID 字段和本地预设的密钥进行相应的逻辑运算，得到第二 MD5 值；并将两 MD5 值相比较，相同的 PTP 报文则通过 PTP 认证，不同则将报文丢弃，如此，保证了 PTP。

3、的通信安全，使得运行 PTP 协议的设备不易受到来自互联网的恶意攻击影响。 (51)Int.Cl. 权利要求书 1 页说明书 4 页附图 1 页 (19)中华人民共和国国家知识产权局 (12)发明专利申请权利要求书 1 页说明书 4 页附图 1 页 1/1 页 2 1. 一种 PTP 中设置安全认证的方法，其特征在于包括：预先在时间同步源和时间同步设备上设置密钥，在时间同步源向时间同步设备发布同步信息时，在发送的 PTP 报文中增加一个身份验证字段，所述字段包括第一 MD5 值，该第一 MD5 值由 sequenceID 字段和所述密钥逻辑运算组成；时间同。

4、步设备端在收到所述PTP报文时，将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算，得到第二 MD5 值；以及比较所述第一 MD5 值和第二 MD5 值，并将两者相同的 PTP 报文通过 PTP 认证。 2. 根据权利要求 1 所述的方法，其特征在于：在同一时钟同步域内的所有合法同步设备上，所述密钥相同。 3. 根据权利要求 1 所述的方法，其特征在于：所述密钥不在网络上传输。 4. 根据权利要求 1 所述的方法，其特征在于：所述第一 MD5 值和第二 MD5 值均由 sequenceID 字段和对应设备的密钥逻辑与的结果作 MD5 运。

5、算产生。 5. 根据权利要求 1 所述的方法，其特征在于：对第一 MD5 值不同于第二 MD5 值的报文不通过认证，并将该报文丢弃。 6. 根据权利要求 1 所述的方法，其特征在于：所述方法适用于时间同步设备向时间同步源发送同步信息时的安全认证。权利要求书 CN 102801733 A 2 1/4 页 3 PTP 中设置安全认证的方法技术领域 0001 本发明涉及计算机通信技术领域，尤其涉及计算机网络数据通信技术的 PTP 中设置安全认证的方法。背景技术 0002 PTP(Precision Time Protocol，精确时钟同步协议 ) 是一种时间同步。

6、的协议，其规定的同步源选举机制如下： 0003 当启用了 PTP 协议的接口接收到一个 Announce 报文，通过解析 Announce 报文，得到 Announce 报文中的时间同步质量、时间同步优先级等与同步源选举有关的信息。 0004 在得到这些信息之后，与接口所在设备自身的时间同步质量、时间同步优先级等信息相比较，取所有收到报文中时间同步质量最佳者为同步源，若自身即为最佳者，不向其他设备进行时间同步。称选中的同步源为 Master( 时间同步源 )，同步设备为 Slave( 时间同步设备 )。 0005 Slave 设备接收 Master 设备所发出的。

7、 Sync( 同步 ) 报文后，再通过相应的同步机制进行时间同步。 PTP同步的基本原理是主、从时钟之间交互同步报文并记录报文的收发时间，通过计算报文往复的时间差来计算主、从时钟之间的往返总延时。PTP 协议中规定的时间同步机制有如下两种： 0006 1)Delay-request( 延时请求 ) 机制 0007 主要同步机理如图一所示， slave 设备的时钟校正值为： 0008 Offset=0.5*(T2-T 1)-(T4-T3) 0009 2)Peer-delay( 端延时 ) 机制 0010 主要同步机理如图二所示， slave 与 master 见的平均链路延迟为。

8、： 0011 Mean_delay=0.5*(t4-t 1)-(t3-t2) 0012 假设同步报文在 Master 的 T1 时刻发出，在 slave 的 T2 时刻到达，则 slave 设备的时钟校正值为： 0013 Offset=T1+Mean_delay-T2 0014 PTP 协议 v2 版本由工业背景的 PTP 协议 v1 版本演进而来， v2 版本的 PTP 协议，能够在以太网这样的共享网络中，进行亚微米秒级别的精确时间同步。v2 版本虽然考虑了精确时间在以太网中传递的基本流程，但是协议缺乏有效的安全保障机制，被恶意报文攻击时，时间同步机能将收到影响，。

9、相关业务将大规模失效。例如，攻击者可模拟一台声称同步质量和精度优于网络中所有主钟的设备，而随意设置其发出包的时戳，导致整个网络的时间同步都将被打乱。发明内容 0015 本发明的目的在于克服现有技术的缺陷，提供一种 PTP 设置安全认证的方法，其在 Master 侧和 Slave 侧分别对报文进行安全认证，添加报文有效期和超时机制，使得同步说明书 CN 102801733 A 3 2/4 页 4 双方能最大可能地屏蔽恶意报文的冲击，以确保 PTP 协议的通信安全。 0016 为实现上述目的，本发明提出如下技术方案：一种 PTP 中设置安全认证的方法，包括。

10、： 0017 预先在时间同步源和时间同步设备上设置密钥，在时间同步源向时间同步设备发布同步信息时，在发送的 PTP 报文中增加一个身份验证字段，所述字段包括第一 MD5 值，该第一 MD5 值由 sequenceID 字段和所述密钥逻辑运算组成； 0018 时间同步设备端在收到所述PTP报文时，将所述报文中的sequenceID字段和本地预设的密钥进行相应的逻辑运算，得到第二 MD5 值；以及 0019 比较所述第一 MD5 值和第二 MD5 值，并将两者相同的通告报文通过 PTP 认证。 0020 在同一时钟同步域内的所有合法同步设备上，所述密钥相同。 0021 。

11、所述密钥不在网络上传输。 0022 所述第一 MD5 值和第二 MD5 值均由 sequenceID 字段和对应设备的密钥逻辑与产生。 0023 对第一 MD5 值不同于第二 MD5 值的报文不通过认证，并将该报文丢弃。 0024 所述方法适用于时间同步设备向时间同步源发送同步信息时的安全认证。 0025 所述 sequenceID 字段的值由通信发起方随机分配或为响应相对应报文的 sequenceID 的值。 0026 与现有技术相比，本发明所揭示的本发明引入的 PTP 协议通信双方的身份认证机制，保证了 PTP 的通信安全，使得运行 PTP 协议的设备不易受到来自互联网的恶意攻。

12、击影响。附图说明 0027 图 1 是 PTP 协议中请求应答延迟机制的示意图； 0028 图 2 是 PTP 协议中端延迟机制的示意图。 0029 图 3 是本发明中的 PTP 协议中发送报文的组成示意图。具体实施方式 0030 下面将结合本发明的附图，对本发明实施例的技术方案进行清楚、完整的描述。 0031 本发明提出的 PTP 中设置安全认证的方法，其预先为时间同步的时间同步源 (Master) 和时间同步设备 (Slave) 双方定义一个密钥，此密钥不会在网络上传输。在时间同步源在发布同步信息时，增加一个身份验证字段，该字段包含一个 MD5(Message-Dig。

13、est Algorithm 5，信息摘要算法第五版 ) 值，该 MD5 值为发送端的 MD5 值，其是由 PTP 报文中的 sequenceID 字段和密钥 key 进行 “逻辑与” 运算的结果值。如表一所示为普通的 PTP 报文头的格式： 0032 表一 PTP 报文头格式 0033 说明书 CN 102801733 A 4 3/4 页 5 0034 如图 3 所示是本发明中的 PTP 报文的组成，其中包括了身份认证 TLV 的信息，包括 TLV 类型， TLV 长度以及身份认证字段 MD5 值， TLV 类型见 IEEE1588chanpter 14.1.1 可使用当前。

14、预留值 4000-ffff 范围内的值， TLV 长度由 MD5 值长度决定。 0035 时间同步设备在收到 PTP 报文时，把 PTP 报文头中的 sequenceID 字段和本地密钥 key 进行 “与” 运算，再取结果得到接收端的 MD5 值。时间同步设备将这个运算得到的接收端的 MD5 值和收到的 PTP 报文中包含的发送端的 MD5 值进行比较，若两者相等，则认证通过，否则认为认证失败。 0036 时间同步设备端在选时间同步源时只认可认证通过的 Announce 报文，认证失败的 Announce 报文直接忽略。 0037 此外，在由时间同步设备逆向发送给时间同步。

15、源报文时，采用同样的机制作身份认证，即时间同步设备发送的PTP报文中包括一个发送端的MD5值，该MD5值由sequenceID 字段和密钥进行 “逻辑与” 运算的结果； Master在收到报文时，把报文中sequenceID字段和本地密钥进行与运算后，取得接收端的 MD5 值， Master 将这个运算得到的接收端的 MD5 值和收到的 PTP 报文中包含的发送端的 MD5 值进行比较，若两者相等，则认证通过，否则认为认证失败。且该认证有效范围涵盖整个选源和同步过程，以 delay-response 模式为例，包括 slave 端的选源过程， slave 端接收。

16、时间同步信息 (sync 报文， follow_up 报文， delay_ resp 报文 ) 过程和 master 端接收 delay_req 过程。 0038 同步时，将所有的PTP协议通信中认证不通过的PTP报文作丢弃处理，并上报日志记录。 0039 在 PTP 协议中，一般报文中的 sequenceID 值由通信发起方随机分配 ( 详见 IEEE STD.1588 协议 )，然以下四种报文使用的 sequenceID 值分别为对应的发送报文的 sequenceID 值： 0040 Pdelay_Resp( 端延时应答 ) 报文：使用对应的 Pdelay_Req( 端延时。

17、请求 ) 报文的 sequenceID ； 0041 Follow_Up( 跟随 ) 报文：使用对应的 Sync( 同步 ) 报文的 sequenceID。 0042 Delay_RResp( 延时应答 ) 报文：使用对应的 Delay_Req( 延时请求 ) 报文的说明书 CN 102801733 A 5 4/4 页 6 sequenceID。 0043 Pdelay_Resp_Follow_Up( 端延时应答跟随 ) 报文：使用对应的 Pdelay_Req( 端延时请求 ) 报文的 sequenceID。 0044 更进一步地，设置安全认证时，同一时钟同步域内的所有合法同步设备使用同一个密钥，该密钥在部署网络时事先给定，且永不在网络上传输。 0045 本发明的技术内容及技术特征已揭示如上，然而熟悉本领域的技术人员仍可能基于本发明的教示及揭示而作种种不背离本发明精神的替换及修饰，因此，本发明保护范围应不限于实施例所揭示的内容，而应包括各种不背离本发明的替换及修饰，并为本专利申请权利要求所涵盖。说明书 CN 102801733 A 6 1/1 页 7 图 1 图 2 图 3 说明书附图 CN 102801733 A 7 。

展开阅读全文