本發(fā)明屬于智能變電站網(wǎng)絡安全技術(shù)領域，尤其涉及一種基于差值檢測的變電站自適應網(wǎng)絡及其時鐘同步安全方法。

背景技術(shù)：

智能變電站自適應網(wǎng)絡物理結(jié)構(gòu)與epon(ethernetpassiveopticalnetwork，以太網(wǎng)無源光網(wǎng)絡)相同，而在核心交換機采用標簽交換的思想，實現(xiàn)了goose、sv和mms三網(wǎng)合一。為了提高網(wǎng)絡可靠性，建立了雙星型(a、b)網(wǎng)絡架構(gòu)，a、b網(wǎng)絡構(gòu)成主備用方式。新型智能變電站自適應網(wǎng)絡的可靠性對整個智能變電站的穩(wěn)定運行具有重要作用，尤其是時間同步系統(tǒng)至關重要。ieee1588標準為新型智能變電站系統(tǒng)定義了精確時鐘同步協(xié)議ptp，并且實現(xiàn)變電站亞微秒精度的時間同步。但是，如果時間同步故障，或者被破壞，特別是系統(tǒng)中的設備被植入破壞程序后，一旦破壞程序被執(zhí)行并開始破壞時鐘同步，就會使跨間隔保護(變壓器，母線)因為采樣不同步而退出運行，甚至誤動作，從而導致變電站故障。

技術(shù)實現(xiàn)要素：

為了提高變電站網(wǎng)絡時鐘的安全性，解決新型智能變電站通信對時網(wǎng)絡遭受攻擊時的防御機制不完善，應對中間人攻擊狀況，本發(fā)明提供一種基于差值檢測的變電站自適應網(wǎng)絡及其時鐘同步安全方法。

網(wǎng)絡包括：光網(wǎng)絡單元onu、同步光線路終端olt和epon協(xié)議處理器；其中，每個光網(wǎng)絡單元onu的接口模塊有兩個接口永遠具有相同的狀態(tài)，變電站網(wǎng)絡采用主、備鏈路的冗余配置方式；每個光網(wǎng)絡單元onu都會跟蹤同步光線路終端olt的時鐘源；epon協(xié)議處理器通過內(nèi)部多點控制協(xié)議mpcp與每個光網(wǎng)絡單元onu進行通信。

方法包括：

步驟1、智能變電站網(wǎng)絡的epon協(xié)議處理器將時間戳傳遞給每一個光網(wǎng)絡單元onu；

步驟2、同步光線路終端olt比較光網(wǎng)絡單元onu的兩個接口是否在規(guī)定時差內(nèi)收到的報文，若否，則判定對時存在安全威脅，并發(fā)出警告，且不采取時間對時調(diào)整；若是，則執(zhí)行步驟3；

步驟3、同步光線路終端olt檢測光網(wǎng)絡單元onu的兩個接口收到的報文中的往返時延rtt值，若兩個往返時延rtt值差值超過規(guī)定的門限值時，判定對時存在安全威脅，并發(fā)出警告，且不采取時間對時調(diào)整；若兩個往返時延rtt值差值未超過規(guī)定的門限值，則完成光網(wǎng)絡單元onu注冊并與光線路終端olt開始正常通行。

所述光網(wǎng)絡單元onu的注冊過程包括：

步驟301、光線路終端olt以一定時間間隔發(fā)送注冊發(fā)現(xiàn)幀廣播給每個光網(wǎng)絡單元onu，其目的地址為廣播邏輯鏈路標記llid，此幀包含發(fā)現(xiàn)窗口的開始時間，窗口的大小根據(jù)系統(tǒng)中距離最遠的光網(wǎng)絡單元onu來確定；

步驟302、新光網(wǎng)絡單元onu收到注冊發(fā)現(xiàn)幀后，根據(jù)接收的時鐘標簽字段調(diào)整本地時鐘，然后在規(guī)定的開窗時間內(nèi)向光線路終端olt發(fā)送注冊請求幀，同時光網(wǎng)絡單元onu通過多點控制協(xié)議mpcp報文進行延遲測量；

步驟303、光線路終端olt在一個窗口收到唯一一個注冊請求幀后廣播發(fā)送注冊控制幀給該光網(wǎng)絡單元onu，該控制幀中包含為該光網(wǎng)絡單元onu分配的邏輯鏈路標記llid及同步時間，同時將邏輯鏈路標記llid與光網(wǎng)絡單元onu的mac地址關聯(lián)在一起；

步驟304、光線路終端olt接著給光網(wǎng)絡單元onu發(fā)送注冊授權(quán)幀，以便光線路終端olt調(diào)度光網(wǎng)絡單元onu上行發(fā)送的時隙，與此同時多點控制協(xié)議mpcp測距完成，計算的往返時延rtt值也將被光網(wǎng)絡單元onu用于時間更新；

步驟305、新光網(wǎng)絡單元onu收到注冊授權(quán)幀后，將新分配的邏輯鏈路標記llid替換原來的邏輯鏈路標記llid，同時向光線路終端olt發(fā)送注冊確認幀；

步驟306、光線路終端olt收到注冊確認幀后，刷新該光網(wǎng)絡單元onu的邏輯鏈路標記llid，完成光網(wǎng)絡單元onu的自動發(fā)現(xiàn)過程。

所述協(xié)議處理器通過內(nèi)部多點控制協(xié)議mpcp報文傳遞時間戳。

所述時間戳為基于ieee1588協(xié)議的時間戳。

本發(fā)明的有益效果在于：

通過對智能變電站中epon時間同步系統(tǒng)的分析，針對中間人攻擊，提出一種新的onu側(cè)雙pon口差值檢測機制來防范這種攻擊模型，對所提出的模型進行鏈路延遲時間仿真測量來驗證增加的檢測機制能成功對攻擊給出告警并終止時間更新。

通過對比正常狀態(tài)下的往返延遲時間rtt、中間人攻擊狀態(tài)下的rtt和加入差值檢測機制的rtt值，表明本發(fā)明提出的機制能夠?qū)χ虚g人的攻擊給出告警，并在onu側(cè)不誤調(diào)整時鐘，加強了新型變電站網(wǎng)絡時間同步系統(tǒng)的健壯性。

通過對比正常狀態(tài)下的往返延遲時間rtt、中間人攻擊狀態(tài)下的rtt和加入差值檢測機制的rtt值，表明本發(fā)明的onu側(cè)檢測機制能成功對中間人攻擊進行告警，使onu側(cè)終止時間更新，加強了新型變電站網(wǎng)絡時間同步系統(tǒng)的健壯性和安全性。

附圖說明

圖1為正常鏈路rtt示意圖。

圖2為中間人攻擊的rtt示意圖。

圖3為加入onu差值檢測機制后的rtt效果圖。

具體實施方式

下面結(jié)合附圖，對實施例作詳細說明。

本發(fā)明在智能變電站網(wǎng)絡的基礎上引入了無源光網(wǎng)絡技術(shù)pon，組建拓撲結(jié)構(gòu)簡單、可靠的雙星形網(wǎng)絡結(jié)構(gòu)，pon的上下行數(shù)據(jù)傳輸采用單光纖波分復用技術(shù)，可以大量減少變電站光纖網(wǎng)絡的復雜度，進一步提高網(wǎng)絡的可靠性；基于ptn交換機的變電站通信網(wǎng)絡中，為了進一步提高變電站的時鐘網(wǎng)絡的可靠性，采用標準的并行冗余協(xié)議(prp)方式，每個onu接口模塊有兩個接口永遠具有相同的狀態(tài)，變電站網(wǎng)絡采用主備網(wǎng)絡的冗余配置方式，當prp運行時，時鐘源連接的最高主時鐘分別連接到主備網(wǎng)絡核心交換機上，當主用時鐘裝置故障時可以無縫切換到備用時鐘裝置上，主時鐘發(fā)送的時鐘同步報文選用在主備網(wǎng)絡上雙路并發(fā)、主動放棄方式；新型智能變電站epon系統(tǒng)是一個時間同步的體系，每一個onu都會跟蹤olt的時鐘源。onu上線注冊的過程就是時間同步的過程。epon協(xié)議處理器通過內(nèi)部mpcp(multi-pointcontrolprotocol，多點控制協(xié)議)報文將ieee1588時間戳傳遞給每一個onu，onu收到1588時間戳后補償往返時延rtt(round-triptime)，生成onu的1588時間戳，該時間戳與1588時鐘源同步。

本發(fā)明onu的注冊過程：

(1)olt以一定間隔(一般設置為1s)發(fā)送注冊發(fā)現(xiàn)幀廣播給每個onu，其目的地址為廣播llid(全零)，此幀包含發(fā)現(xiàn)窗口的開始時間，同時根據(jù)系統(tǒng)中距離最遠的onu確定窗口大小(一般20公里為250微秒)。

(2)新onu收到注冊發(fā)現(xiàn)幀后，根據(jù)接收的時鐘標簽字段調(diào)整本地時鐘，然后在規(guī)定的開窗時間內(nèi)向olt發(fā)送注冊請求幀，同時onu收到mpcp(multi-pointcontrolprotocol，多點控制協(xié)議)報文的延遲測量。

(3)olt在一個窗口收到唯一一個注冊請求幀后，olt廣播發(fā)送注冊控制幀給該onu，該控制幀中包含為該onu分配的llid及同步時間，同時將llid與onu的mac地址關聯(lián)在一起。

(4)olt接著給onu發(fā)送注冊授權(quán)幀(mpcp測距完成，計算rtt)，此時發(fā)送是為onu發(fā)送帶寬授權(quán)信息，以便olt調(diào)度onu上行發(fā)送的時隙，再此同時mpcp測距完成，計算的rtt值也將被onu用于時間更新。

(5)新onu收到注冊授權(quán)幀后，將新分配的llid替換原來的llid，同時向olt發(fā)送注冊確認幀。

(6)olt收到注冊確認幀后，刷新該onu的llid，那么onu的整個自動發(fā)現(xiàn)過程就已完成，onu與olt之間可以開始正常通信。

本發(fā)明采用prp并行冗余協(xié)議更新時間信息：

每個設備有兩個pon口并行發(fā)送數(shù)據(jù)，選擇性接收，同時存在主備網(wǎng)來增加網(wǎng)絡的可靠性。原理上，onu從雙pon口同步下來的1588時間戳是基本相同的(誤差在幾十納秒)。當兩個pon口光鏈路都正常的情況下，onu只要任意跟蹤一路1588時間戳即可。當注冊完成后的正常狀態(tài)下，onu每次收到mpcp報文都會更新本地時間并監(jiān)視變化情況，olt每次收到mpcp報文都會更新并監(jiān)視rtt的變化。onu根據(jù)mpcp報文攜帶的olt的時間戳信息、rtt值以及onu本地的計時器即可計算并更新出1588時間。

分析中間人攻擊方式：

中間人攻擊存在中間設備獲取mpcp報文中上層olt的時間戳信息，以及olt時鐘節(jié)點基本信息(ip、mac等)，并轉(zhuǎn)發(fā)給下級的onu設備，在正常的對時周期內(nèi)，中間設備截獲olt設備和onu設備之間的時間同步mpcp報文，中間人設備對于olt相當于從時鐘狀態(tài)，對于下層onu相當于主時鐘狀態(tài)。

中間人攻擊節(jié)點能夠通過改變發(fā)至onu的時間信息值，來任意改變發(fā)送mpcp報文到onu的時間，進而操縱鏈路rtt的值，這也就意味著攻擊者能夠任意操縱onu節(jié)點的實時時鐘，可使該onu時鐘節(jié)點設備逐步偏離olt節(jié)點設備的實時時鐘而不被發(fā)現(xiàn)故障，故障無法被發(fā)現(xiàn)也就不會被切換備用時鐘網(wǎng)絡，可能會造成主、備網(wǎng)絡指令不一致，進而造成時鐘更新的混亂。

本發(fā)明在onu側(cè)增加差值檢測機制：

第一步：檢測mpcp報文接收時差。每個onu設備有兩個pon口并行，比較onu雙口是否在規(guī)定時差內(nèi)(可設置)同時收到的mpcp報文，如果主pon口收到mpcp報文并準備更新rtt值校準本地時間時，在規(guī)定時差內(nèi)備用pon口并未收到mpcp報文或者收到的報文攜帶的1588同步時間戳不一致，則判定對時存在安全威脅，并發(fā)出警告，且不采取時間對時調(diào)整。

第二步：檢測mpcp報文中的rtt值。在第一步檢測后，若onu雙口在規(guī)定時差內(nèi)同時收到的mpcp報文，增加的檢測機制則對比onu雙pon口報文中的rtt值，正常情況下雙pon口鏈路的延遲時間只有幾十納秒，兩個rtt值差值超過規(guī)定的門限值(可設置)時，判定對時存在安全威脅，并發(fā)出警告，且不采取時間對時調(diào)整。

對本發(fā)明的檢測機制進行仿真：

(1)無檢測加入時

①對olt和onu的對時搭建模型，在正常的運行狀態(tài)下測得正常的鏈路rtt值如圖1所示，圖中，橫坐標是時間軸，縱坐標是時延，在設置門限值為200納秒的狀況下，鏈路的時延在正常的范圍內(nèi)不產(chǎn)生告警，onu側(cè)進行時間更新。

②在一路主網(wǎng)存在中間人攻擊的狀態(tài)下，olt側(cè)鏈路上顯示主網(wǎng)的對時是正常無鏈路故障的，也就不會被切換到另一路時間系統(tǒng)，中間人更改發(fā)送mpcp報文至下層onu的時間和往返延遲rtt值，而造成時鐘的對時故障。如圖2所示，時延增大至200納秒以上也不會產(chǎn)生鏈路故障和告警，且onu側(cè)進行時間更新，使系統(tǒng)出現(xiàn)故障風險。

(2)當加入onu側(cè)檢測機制時

檢測onu側(cè)雙pon口是否在規(guī)定時差內(nèi)同時收到mpcp報文，假如已經(jīng)滿足，則檢測雙pon口各收到的rtt差值是否滿足設定的檢測門限。如圖3所示，雙pon口收到的rtt的差值過大，不在正常的門限值(假定設置為100納秒)之內(nèi)，則產(chǎn)生告警機制，onu側(cè)終止時間更新。

結(jié)論

通過對比正常狀態(tài)下的往返延遲時間rtt、中間人攻擊狀態(tài)下的rtt和加入差值檢測機制的rtt值，表明本發(fā)明的onu側(cè)檢測機制能成功對中間人攻擊進行告警，使onu側(cè)終止時間更新，加強了新型變電站網(wǎng)絡時間同步系統(tǒng)的健壯性。

上述實施例僅為本發(fā)明較佳的具體實施方式，但本發(fā)明的保護范圍并不局限于此，任何熟悉本技術(shù)領域的技術(shù)人員在本發(fā)明揭露的技術(shù)范圍內(nèi)，可輕易想到的變化或替換，都應涵蓋在本發(fā)明的保護范圍之內(nèi)。因此，本發(fā)明的保護范圍應該以權(quán)利要求的保護范圍為準。