APP下载

下一代高速铁路LTE-R时间同步网协议脆弱性分析

2023-02-13詹芝贤

铁道学报 2023年1期
关键词:脆弱性稳态报文

陈 永,詹芝贤,刘 雯

(兰州交通大学 电子与信息工程学院,甘肃 兰州 730070)

目前,我国高速铁路使用的移动通信系统GSM-R,承载着大量列车控制与调度运营等核心业务,对于保证行车安全起着至关重要的作用。但是,GSM-R属于2G窄带通信系统,业务承载能力有限,已无法满足高速铁路的发展需求[1]。国际铁路联盟指出:GSM-R将直接向LTE-R演进[2]。LTE-R是我国下一代高速铁路无线通信系统,相比于GSM-R,其接入网仅包括eNodeB,这种体系结构可以降低通信延时和减少建设成本。

铁路时间同步网为铁路各系统提供统一的标准时间,其性能关系到行车安全,是典型的苛求系统[3]。网络时间协议(Network Time Protocol,NTP)是标准的Internet时间同步协议,已广泛应用于各种系统的时间同步,如电力、工业自动化、分布式系统等[4-6]。GSM-R通信系统亦使用NTP作为主要的时间同步协议。文献[7]研究了GSM-R下NTP协议的脆弱性,但在LTE-R下列车频繁发生越区切换,对无线通信网络的精确时钟同步和定时的要求也更高,而NTP毫秒级的同步精度难以满足未来LTE-R高精度的要求[8]。相比于NTP协议,精确时间协议(Precision Time Protocol,PTP)采用软硬件结合的形式可以获得亚微秒级的时间同步[9]。因此,开展LTE-R下的PTP高精度时间同步性研究,对于GSM-R向LTE-R演进具有重要意义。文献[10]在朔黄铁路西柏坡至小觉试验段对LTE-R无线分组网络进行了PTP时钟同步性能测试,测试结果表明PTP协议能够满足朔黄线现场通信要求。

然而NTP、PTP等时间同步协议在设计之初主要从传输效率考虑,均建立在IP信任的基础上,由于缺乏有效的安全措施,时间同步网通常是系统中最脆弱的部分,对时间同步网的攻击会导致整个系统失效[10]。文献[11]研究表明,在时间同步网中时钟漂移更改或者恶意攻击可以导致网络节点间的同步错误。文献[12]通过地址解析协议(Address Resolution Protocol,ARP)欺骗的方法可以伪造服务器,通过中间人和拒绝服务(Denial of Service,DoS)攻击破坏网络实时通信。文献[13]研究表明,在高速列车通信网络中,越区切换容易受到同步攻击,导致在切换时不能实现前向密钥分离。文献[14]指出,攻击者可以对LTE网络中特定的用户部署恶意基站,并强迫目标用户连接到该恶意基站,然后拒绝目标用户的选定服务从而实现DoS攻击。文献[15]采用物理实验的方式对PTP协议的攻击及漏洞进行了相关分析。上述文献研究表明:基于IP的网络在时间同步协议报文传输过程中,数据链路层通过ARP协议实现IP地址向MAC物理地址映射时极易遭受ARP攻击,使得时间同步过程变得极为脆弱[16]。而LTE-R架构全IP的特点,在时间同步过程中存在较大的ARP攻击隐患,所以开展ARP攻击状态下的LTE-R时间同步网协议脆弱性研究,对于保证高速铁路安全运行具有重要的现实意义。

综上所述,目前大部分铁路时间同步研究主要针对GSM-R下的NTP协议脆弱性分析,但其同步精度难以满足下一代LTE-R通信系统的要求;此外脆弱性分析时未考虑LTE-R全IP易受ARP攻击的特点。针对以上问题,本文在分析PTP协议在LTE-R时间同步过程受到ARP攻击的基础上,提出针对下一代高速铁路LTE-R时间同步网协议脆弱性的量化分析方法;建立了ARP攻击状态下LTE-R时间同步网协议脆弱性分析SPN模型;采用SPN与马尔科夫链同构的方法,分析了影响LTE-R时间同步网协议脆弱性的关键因素,定量得到了ARP攻击下的LTE-R三级时钟节点的实施速率与PTP协议同步正常、异常之间的关系曲线。研究结果可以为GSM-R时间同步网络向LTE-R演进提供一定的理论参考依据。

1 LTE-R时间同步方案

1.1 LTE-R时间同步网络

铁路时间同步网由三级时钟节点构成,采用主从节点逐级传递的方式实现路网时间同步[7-8]。LTE-R铁路时间同步网三级时钟节点分别为无线闭塞中心(Radio Block Center,RBC)、基站eNodeB和车载控制器(On Board Controller,OBC)。RBC作为LTE-R通信系统的核心,负责通过LTE-R网络向OBC发送行车许可MA及其他行车控制命令。RBC与eNodeB之间通过演进分组核心网(Evolved Packet Core,EPC)通信。列车顶部部署了车辆站(Vehicle Station,VS)接收装置,eNodeB通过VS将下行列车控制信息发送给OBC,而OBC通过上行信道向eNodeB发送列车信息。LTE-R三级时钟时间同步网结构示意见图1,其中S1为基站eNodeB与分组核心网EPC之间的通信接口,X2为eNodeB之间的互连接口。

图1 LTE-R三级时钟时间同步网结构示意

在图1中,LTE-R时间同步网在同步过程中报文是以IP的格式进行数据传输,时钟信息接收机负责接收重要时间戳信息。LTE-R时间同步网中将RBC作为时间同步网的一级时钟节点,一级时钟内置高精度原子钟(铷钟),并通过GPS、北斗导航定位进行时间接收,eNodeB基站作为二级时钟节点,OBC作为三级时钟节点。在LTE-R时间同步过程中,通过PTP协议实现三级时钟节点间的时间同步。

1.2 PTP协议原理

PTP协议是一种采用硬件时间戳机制的精确时间同步协议,通过周期性的报文交互,实现设备之间的时钟同步,可以达到亚微秒级的同步精度[17]。PTP协议采用主从时钟形式,主时钟将时间戳报文周期性地发送给从时钟,从时钟根据时钟偏移和通信路径延迟调整时间,从而实现与主时钟的同步。PTP协议时间同步原理见图2[18],同步过程如下:

图2 PTP协议时间同步原理

Step1主时钟向从时钟发送Sync同步报文。

Step2主时钟发送Follow_up跟随报文,该报文中包含Sync报文的T1时间戳。

Step3从时钟精确测量出接收到Sync同步报文的到达时刻T2,然后比较T1与T2的时间差值,从而纠正主从时钟之间的时钟偏移。

Step4从时钟在T3时刻向主时钟发送延迟请求报文Delay_Req。

Step5主时钟在收到Delay_Req后发送延迟响应报文Delay_Resp,该报文携带T4时间戳信息,从时钟接收到该信息后通过T3、T4计算得到通信路径传输延时。

在图2主从时钟交互过程中,定义变量offset为单向时钟测量偏移时间,变量delay为通信路径单向传输延时,可以得到

T2=T1+delay+offset

(1)

T4=T3+delay-offset

(2)

通过式(1)、式(2)可计算出delay、offset的值为

(3)

(4)

由式( 3 )、式( 4 )得到主从时钟之间的delay、offset时钟误差后,从时钟在下一时刻更新准确时间,从而完成主从时钟时间同步。

2 ARP攻击分析

ARP是一个位于TCP/IP协议栈中网络层的地址解析协议[12]。在LTE-R三级时间同步网同步报文传输过程中,使用ARP协议将IP地址映射到相应的媒体访问控制层对应的MAC地址,用于识别发送的每个帧的源、目的地址。ARP地址解析时利用ARP缓存表来保存通信设备之间IP地址到MAC地址的映射记录,采用的是机械制临时缓存原理,表中的IP地址和MAC地址也是随时可以修改的,这样很容易发生ARP欺骗攻击[19]。

在LTE-R正常通信情况下,一级时钟同步节点RBC为了得到二级时钟节点eNodeB的MAC地址,广播发送ARP请求报文,该报文包含RBC的MAC地址和IP地址,以及eNodeB的IP地址。eNodeB收到该请求后便向RBC发送ARP响应报文,该报文中包含eNodeB的MAC地址。RBC收到响应报文后建立一个ARP缓存表,将eNodeB的IP地址与接收到的MAC地址进行映射,实现一、二级时钟节点间的同步通信。同理二、三级时钟节点也同样实现时间同步。

然而由于ARP协议具有广播性、无序性、无认证等特点,使得攻击者可利用这些漏洞在RBC、eNodeB、OBC进行同步报文交互的过程中发起ARP攻击,就会影响LTE-R三级时钟对时精度,严重时会导致整个LTE-R系统的瘫痪,从而对铁路安全运行产生严重的后果[20]。在LTE-R时间同步过程中,攻击者在RBC、eNodeB、OBC之间发起ARP攻击的过程见图3,分析如下: ①RBC向eNodeB采用广播形式发送ARP请求报文,询问eNodeB的MAC2地址; ②eNodeB在收到RBC的请求报文后,向RBC回复ARP正常响应报文,RBC随后更新ARP缓存表,将IP2与MAC2建立映射关系; ③攻击者收到eNodeB的请求包,延时后向RBC发送伪造的ARP应答,将攻击者自身的MAC地址MAC4伪造成发送给RBC; ④伪造的报文持续不断地发送给RBC,使得正常的eNodeB报文逻辑关系被覆盖,最后使RBC错误地将攻击者发送的MAC4误以为是eNodeB的MAC地址; ⑤攻击者随后向eNodeB发送携带MAC4的伪造的响应报文,让eNodeB误以为IP地址为IP1的RBC的MAC地址为MAC4; ⑥eNodeB错误更新修改ARP缓存表,添加映射关系。LTE-R时间同步协议受到ARP攻击后,RBC、eNodeB、OBC都错误地将攻击者的MAC地址加入ARP缓存表,攻击者作为中间人插入到RBC、eNodeB、OBC三者之间的通信过程中,造成LTE-R三级时钟节点时间基准的漂移,最终导致整个LTE-R时间同步网时钟不一致,对行车安全造成极大影响。

图3 LTE-R时间同步网协议受到ARP攻击过程

3 SPN模型建立

本文在对LTE-R时间同步网协议脆弱性分析时,采用随机Petri网(Stochastic Petri Net,SPN)理论进行建模。SPN是一种形式化系统性能分析理论,为系统的异步、同步、互斥等行为分析提供了数学理论依据,可对系统中不确定、并发的事件进行建模和分析,广泛应用于工业控制系统等领域的可靠性分析[2]。

LTE-R时间同步网协议受到ARP攻击后,RBC、eNodeB、OBC都错误地将攻击者的MAC地址加入ARP缓存表,攻击者作为中间人插入到LTE-R三级时钟之间的通信中。攻击者的插入可将RBC发送给eNodeB的PTP同步报文数据包进行拦截和篡改,任意扩大同步报文的偏移量,致使偏移量超出时间差阈值,最终导致LTE-R三级时钟同步失败。

根据LTE-R时间同步PTP协议运行机理,结合ARP攻击的特点,本文建立了基于SPN理论的ARP攻击作用下的LTE-R时间同步过程脆弱性分析模型,见图4,其中SPN模型库所的定义见表1,变迁的定义见表2。

表2 变迁定义

图4 ARP攻击作用下的LTE-R时间同步SPN模型

表1 所有状态库所定义

图4中,三级时钟节点RBC、eNodeB、OBC分别在t1、t2、t3处采用PTP协议建立同步通信,此过程易受到ARP攻击。ARP攻击者P0作为中间人插入到三者之间的通信中,对三级时钟交互过程中的PTP报文进行拦截和篡改。

当一级时钟节点RBC处于等待接收eNodeB延迟请求报文状态P4时,如果随后接收到ARP攻击影响的恶意报文或异常报文,则分别通过t4、t5进入异常处理P19状态,此时会导致一级时钟节点RBC时间同步异常,RBC处于异常守时事件t22。

在二级时钟节点eNodeB与RBC、OBC同步过程中,eNodeB进入等待接收同步周期报文状态P5,此时ARP攻击会将同步周期报文进行拦截篡改,eNodeB将收到3种类型的报文,即同步周期正常报文t7、ARP攻击篡改的恶意报文t8和异常报文t9,t8、t9经过异常处理后,eNodeB进入同步异常守时状态P40,只有同步周期正常报文t7能正常处理,完成RBC与eNodeB的时钟同步。

当三级时钟节点OBC处于等待接收eNodeB同步周期报文P6时,同样也将收到3种类型的报文,即被ARP攻击者篡改的恶意报文t11、异常报文t12和正常报文t10。恶意报文和异常报文通过t20、t21处理后进入OBC异常结束状态P42,此时OBC进入异常结束守时状态;只有正常报文t10可正常处理,通过计算时钟偏移和路径延迟校准时间后,再通过同步偏差阈值判断当前时间是否合法,如果合法将同步时钟应用到当前设备P36,然后开启通信调度P41,最终进入OBC正常结束变迁t47,否则进入OBC异常守时状态。

4 LTE-R时间同步脆弱性分析

4.1 SPN与MC同构的LTE-R同步分析方法

LTE-R时间同步脆弱性分析时,采用SPN模型与马尔科夫链(Markov Chain,MC)同构的方法进行分析[21],其步骤如下:

Step1将LTE-R时间同步网的SPN模型每一个标识,映射成马尔科夫链MC中的每一个状态。

Step2根据SPN模型中每条弧上标注的实际变迁实施速率λi,构造同构的马尔科夫链MC状态空间。

Step3根据MC状态空间,建立状态转移概率方程组。定义X=[x1x2…xn]为MC中状态稳态概率的行向量,可得方程组为

(5)

式中:Q为转移速率矩阵;n为状态的数量。

Step4求解式( 5 ),得到每个状态的稳定概率P(Mi)=xi(1≤i≤n),根据求得的各状态稳态概率对LTE-R时间同步网进行脆弱性分析。

4.2 构造LTE-R时间同步脆弱性SPN同构MC链

在图4的SPN模型中,如果没有受到ARP攻击,则系统处于正常状态,P1、P2、P3、P8、P13、P17、P25、P29、P34、P37中各有一个Token;如果发生ARP攻击,库所P0中也会含有Token。根据图4中ARP攻击下SPN模型不同变迁事件之间的关系,得到以下可达集:M1=(0,1,2,3,8,13,17,25,29,34,37);…;M14=(1,2,3,8,13,17,19,25,29,34,37);M15=(1,2,3,8,13,17,20,25,29,34,37);…;M17=(1,2,3,8,13,17,25,29,34,37,40);…;M19=(1,2,3,8,13,17,25,29,34,37,42);…;M32=(1,2,3,8,13,17,25,29,34,37,39);M33=(1,2,3,8,13,17,25,29,34,37,41)。

M1~M33用来表示SPN模型的33个变迁可达集,其中,M14代表一级时钟节点RBC同步异常结束,M15代表一级时钟节点RBC同步正常结束;M17代表二级时钟节点eNodeB同步异常结束,M32代表二级时钟节点eNodeB同步正常结束;M19代表三级时钟节点OBC同步异常结束,M33代表三级时钟节点OBC同步正常结束;其他为中间过渡变迁可达集。基于SPN与MC同构分析方法,依据图4中SPN变迁之间的逻辑关系,定义相应的变迁实施速率λ1~λ48,得到与SPN同构的马尔科夫链,见图5。

图5 与SPN模型同构的马尔科夫链

设P(Mi)为LTE-R时间同步网协议SPN模型中各个Mi的稳态概率,根据图5可得如下方程组

(6)

(7)

(8)

5 仿真结果分析

在时间同步过程中,各级时钟节点在接收关键时间同步报文时容易遭受攻击[20]。在LTE-R时间同步过程中,ARP攻击主要发生在各级时钟节点之间进行PTP报文交互的过程中,ARP攻击可以作为中间人拦截和篡改来自各级时钟节点的关键报文,导致同步失败。对图5中LTE-R时间同步马尔科夫链进行脆弱性分析时,将LTE-R时间同步网协议中各级时钟节点接收PTP时间同步报文的6个时刻作为同步过程的脆弱节点,见表3。

表3 LTE-R同步过程脆弱性的脆弱节点

根据表3,通过改变每个时钟同步脆弱节点的平均实施速率λi值,并将其代入式(6)~式(8),可以分析得到脆弱节点事件与PTP协议异常、同步正常状态稳态概率P(Mi)值之间的关系。通过对各级时钟节点的异常、正常结束状态的P(Mi)值的分析,从而实现对ARP攻击状态下的LTE-R时间同步网协议脆弱性的影响性分析。

5.1 RBC脆弱性分析

6个脆弱节点中,λ6作为RBC接收延迟请求报文的平均实施速率,将λ6的值取0~30,其他λi的值取1,依次求解,各稳态概率仿真结果见图6,各结束状态稳态概率变化见表4。

图6 λ6变化时各稳态概率仿真结果

表4 λ6变化时各结束状态稳态概率变化

由图6和表4可以看出,随着λ6逐渐增大,即ARP攻击者发送延迟请求报文的速率逐渐增大,各级时钟节点各结束状态的稳态概率值均有所变化。其中对一级时钟节点RBC的异常状态稳态概率P(M14)和正常结束稳态概率P(M15)的变化幅度影响最大,这说明ARP攻击对延迟请求报文的接收方RBC设备影响最大。RBC正常结束的稳态概率P(M15)会随着λ6逐渐增大而增大,而异常结束的稳态概率P(M14)随着λ6逐渐增大而减小。这是因为在PTP时间同步过程中,延时请求等事件呈现非周期性指数分布特性[2,22],指数分布事件的执行时间为t,其值大小为该事件的数学期望值,即t随着λ6增大,单位时间内ARP的攻击次数也逐渐增大,而ARP攻击作用的时间t反而会减少,从而ARP攻击中恶意报文攻击作用到RBC的时间也会随之减小,RBC受到攻击的程度就会减少,所以其异常结束概率会显著减小,而其正常概率会逐步增大。

5.2 eNodeB脆弱性分析

在脆弱节点中,λ7、λ24、λ35分别为eNodeB接收RBC、OBC同步周期与延迟请求PTP报文的实施速率,取值为0~30,将其他λi的值取1,依次求解,此时各稳态概率的仿真结果见图7,各结束状态稳态概率变化情况见表5。

图7 λ7、λ24、λ35变化时各稳态概率的仿真结果

从图7和表5可以看出,随着λ7、λ24、λ35值的增大,二级时钟节点eNodeB同步异常结束状态稳态概率P(M17)呈现小幅度下降的趋势,而同步正常结束状态稳态概率P(M32)呈现出小幅度上升的趋势。同时可以发现:在稳态概率P(Mi)相同的条件下,λ7、λ24、λ353种事件中,由λ7变化引起的P(Mi)值变化的幅度最大,这说明eNodeB在接收RBC发送的同步周期报文时,受到ARP的攻击影响较大。这是因为λ7同步周期报文发生在PTP同步偏移测量阶段,此时PTP报文会以较短的时间为周期进行发送,由ARP攻击造成的偏移误差会在短时间内迅速累积最终超过一定安全阈值,导致同步过程失败[22]。

表5 λ7、λ24、λ35变化时各结束状态稳态概率变化情况

5.3 OBC脆弱性分析

在脆弱节点中λ10、λ27分别为OBC等待接收eNodeB同步周期报文、延迟响应报文的实施速率,将λ10、λ27的值分别取0~30,其他λi的值取1,依次求解,各稳态概率仿真结果见图8,各结束状态稳态变化情况见表6。

图8 λ10、λ27变化时各稳态概率的仿真结果

表6 λ10和λ27变化时各结束状态稳态变化情况

从图8和表6可以看出,λ10、λ27对OBC同步状态影响较大。从图8(a)可以看出,随着实施速率λ10逐渐增加,RBC、eNodeB、OBC 3个设备对应的各结束状态稳态概率均有所波动,其中OBC异常结束状态P(M19)的变化最大,变化幅度达到0.04,OBC异常结束状态P(M33)的变化幅度也达到了0.02。从图8(b)可以看出,随着实施速率λ27逐渐增加,除了OBC对应的结束状态稳态概率P(M19)、P(M33)变化幅度达到0.02外,其他设备的稳态概率变化平稳。

5.4 LTE-R时间同步网脆弱性分析与性能比较

通过对上述RBC、eNodeB、OBC各级时钟节点异常、正常结束状态稳态概率值的综合分析可以发现:对于LTE-R三级时钟节点的稳态概率,随着脆弱节点攻击平均实施速率的增加,均呈现出先增加或减小最后趋于平缓的趋势。这种变化趋势是由马尔科夫链的收敛定理决定的,即对于不可约且非周期的有限状态马尔可夫链,存在着唯一的平稳分布[23]。不可约性是指如果一个马尔可夫链的状态空间仅有一个连通类,其演变过程中随机变量可以在任意状态间转移。对于图5所示的LTE-R脆弱性MC中,其马尔科夫链模型包括33个状态,属于有限状态马尔科夫链,并且这33个状态之间通过不同变迁实施速率连接,属于同一个连通图类,满足不可约性。非周期性是指马尔科夫链中随机变量之间不存在简单重复的回路转换。对于图5时间同步MC模型中各个状态之间无自环回路,满足非周期性。以上分析说明,本文构建的LTE-R时间同步脆弱性马尔科夫链满足收敛定理,所以稳态概率随着攻击平均实施速率的变化最终趋于平缓。

为找出对LTE-R时间同步协议影响最大的脆弱节点,选择RBC、eNodeB、OBC中分别影响最大的关键报文事件λ6、λ7、λ10,将其所有的正常、异常结束状态稳态概率的变化幅度累计相加,比较λ6、λ7、λ10变化对整个同步过程各结束状态稳态概率的影响,比较结果见表7。

表7 λ6、λ7、λ10对结束状态稳态概率的影响

由表7可见,因RBC接收eNodeB发送的延迟请求报文λ6变化导致各结束状态稳态概率变化的幅度是最大的,其次是λ7和λ10,这说明在LTE-R时间同步网中,一级时钟节点RBC接收ARP攻击状态下的报文最能影响LTE-R时间同步网协议的脆弱性,然后依次是二级时钟节点eNodeB和三级时钟节点OBC。该结论与文献[15]中通过搭建实验性测试平台对PTP同步报文进行ARP欺骗攻击得出的结论相一致。文献[15]使用2台运行Ubuntu Linux 17.1的Intelx86的服务器搭建PTP实验测试平台,并通过使用Scapy工具构建欺骗数据包来模拟真实的ARP攻击,得到当针对PTP某节点发起攻击时,时序网络层次结构低于该节点的所有节点都会受到影响的结论,即在本文LTE-R时间同步网协议脆弱性因素中,与二、三级时钟节点eNodeB、OBC在偏移测量阶段受到ARP攻击对协议造成的影响相比,一级时钟节点RBC作为协议的主时钟设备,其受到ARP攻击对协议造成的影响是最大的。本文所得结论与文献[15]实验所得结论相一致,证明了本文LTE-R时间同步网协议脆弱性分析模型的有效性。

为进一步对比验证本文脆弱性分析方法的有效性,与铁路时间同步脆弱性分析文献[7]、文献[24]方法进行比较分析。文献[7]采用着色Petri网和逆向状态分析法对铁路时间同步网协议进行了安全性分析。文献[24]采用模糊贝叶斯网络分析方法对铁路时间同步网三级时钟可靠性进行了分析。通过不同方法对比分析,得出可达性、安全性、精度范围、抵抗ARP攻击等性能比较结果见表8。

表8 不同方法分析性能比较

从表8可以看出:3种方法均可以实现对铁路时间同步网的安全性分析。在对可达性分析时,文献[7]通过对时间同步协议采用着色集定义交互仿真方法,可以实现毫秒级的精度分析;文献[24]构建了基于贝叶斯网络的铁路三级时钟同步分析模型,但贝叶斯网络作为因果推理网络,本身具有因果约束局部性的特点,即网络推理时子节点只受到直接前驱双亲节点的影响,而与其他事件节点无关,从而导致无法实现可达性分析;而本文方法采用SPN与马尔科夫链同构的方法,实现了不同LTE-R脆弱性事件之间的可达性,并且时间精度能够达到亚微秒级。在对抵抗ARP攻击分析时,文献[7]能够实现对NTP时间协议的入侵检测,但无法实现对ARP攻击的分析;同样文献[24]也无法实现对ARP攻击的分析;而本文方法可以实现对LTE-R下的ARP攻击分析。

为了进一步对不同比较方法进行量化分析,以稳态概率变化幅度作为评价指标进行量化分析。根据设备故障修复率与稳态概率的转换关系[25],并结合铁路时间同步网三级时钟故障几率0.0205、0.005、0.0002[24],求解得到铁路时间同步网三级时钟设备稳态概率变化幅度值,见表9。

表9 不同方法所得稳态概率变化幅度比较

由表9可以看出,文献[7]采用着色Petri网方法只能实现对铁路时间同步网的状态可达性分析,无法实现对脆弱性节点稳态概率变化幅值的定量分析,这是因为着色Petri网方法中变迁事件无法表达随机概率事件,因此文献[7]无法得到有效定量分析。稳态概率的变化幅度值刻画了系统分析时变化的波动性,揭示了系统状态的概率变化幅度大小,其值越大,表明系统越脆弱,该值的大小反映出系统脆弱性分析的能力。从表9中亦可看出,采用本文方法得到的各脆弱节点稳态概率变化幅度值明显高于文献[24]模糊贝叶斯方法,从而说明了本文方法明显优于文献[24]方法,能够更好地实现对ARP攻击状态下的LTE-R时间同步网协议的脆弱性分析。

5.5 安全策略

通过上述分析,得到了ARP攻击下LTE-R三级时钟节点的实施速率与PTP协议同步正常、异常之间的关系曲线,定量得到了影响LTE-R时间同步网协议脆弱性的关键因素。因此,对于LTE-R时间同步网的三级时钟节点设备,尤其是一级时钟节点RBC,为了降低该LTE-R时间同步网受到ARP攻击的概率,应尽量避免由于ARP请求数据包广播发送导致被攻击者侵入的情况,可以采用如下策略来应对ARP攻击:

(1)在RBC同步时,可以将ARP缓存表自动添加映射关系改为根据判断验证添加。此外,RBC、eNodeB在收到多个IP相同MAC不相同的ARP响应报文后,应当向响应报文的主机发送ICMP探测数据包,只有在IP、MAC地址都匹配的情况下才能更新缓存表。

(2)为RBC、eNodeB建立数字身份,使用身份验证网关,以确保eNodeB、OBC只接受具有正确数字身份的RBC、eNodeB发送的PTP时钟报文。

(3)采用三级混合密钥安全认证的形式加强LTE-R三级时钟同步协议安全。

6 结论

LTE-R作为我国下一代高速铁路无线通信系统,其全IP的扁平化架构极易受到ARP攻击,对LTE-R时间同步网进行脆弱性分析研究,对于保障列车运行安全具有重要的理论意义和现实意义。本文利用随机Petri网理论对ARP攻击状态下的LTE-R时间同步网协议的脆弱性进行了建模仿真,采用马尔科夫链同构的方法,得到影响协议脆弱性的相关变迁平均实施速率与协议各结束状态稳态概率之间的关系曲线,得出以下结论:

(1)铁路时间精确PTP协议受ARP攻击会造成极大影响,在三级时钟节点等待接收关键PTP报文时刻最为脆弱,如果在这个关键时刻受到ARP攻击会对整个同步过程造成较大的影响。

(2)对于二级时钟节点eNodeB和三级时钟节点OBC来说,在协议运行的偏移测量阶段接收到的报文,其受到ARP攻击对协议造成的影响会比在延迟测量阶段要大。

(3)在LTE-R时间同步网协议脆弱性因素中,一级时钟节点RBC受到ARP攻击的影响最大。与二、三级时钟节点eNodeB、OBC在偏移测量阶段受到ARP攻击对协议造成的影响相比,一级时钟节点RBC作为协议的主时钟设备,其受到ARP攻击对协议造成的影响是最大的,该结论与文献中的实测结果相一致,并与其他方法相比较,进一步验证了本文SPN分析模型的有效性。

(4)为避免ARP攻击对同步过程造成影响,建议采用ARP缓存表安全验证、数字签名、三级混合密钥安全认证等方法以提高LTE-R三级时钟同步协议的安全性。

猜你喜欢

脆弱性稳态报文
基于J1939 协议多包报文的时序研究及应用
可变速抽水蓄能机组稳态运行特性研究
碳化硅复合包壳稳态应力与失效概率分析
电厂热力系统稳态仿真软件开发
CTCS-2级报文数据管理需求分析和实现
元中期历史剧对社会稳态的皈依与维护
浅析反驳类报文要点
煤矿电网脆弱性评估
杀毒软件中指令虚拟机的脆弱性分析
ATS与列车通信报文分析