陳 永，詹芝賢，劉 雯

(蘭州交通大學(xué) 電子與信息工程學(xué)院，甘肅 蘭州 730070)

目前，我國高速鐵路使用的移動(dòng)通信系統(tǒng)GSM-R，承載著大量列車控制與調(diào)度運(yùn)營等核心業(yè)務(wù)，對(duì)于保證行車安全起著至關(guān)重要的作用。但是，GSM-R屬于2G窄帶通信系統(tǒng)，業(yè)務(wù)承載能力有限，已無法滿足高速鐵路的發(fā)展需求[1]。國際鐵路聯(lián)盟指出：GSM-R將直接向LTE-R演進(jìn)[2]。LTE-R是我國下一代高速鐵路無線通信系統(tǒng)，相比于GSM-R，其接入網(wǎng)僅包括eNodeB，這種體系結(jié)構(gòu)可以降低通信延時(shí)和減少建設(shè)成本。

鐵路時(shí)間同步網(wǎng)為鐵路各系統(tǒng)提供統(tǒng)一的標(biāo)準(zhǔn)時(shí)間，其性能關(guān)系到行車安全，是典型的苛求系統(tǒng)[3]。網(wǎng)絡(luò)時(shí)間協(xié)議(Network Time Protocol，NTP)是標(biāo)準(zhǔn)的Internet時(shí)間同步協(xié)議，已廣泛應(yīng)用于各種系統(tǒng)的時(shí)間同步，如電力、工業(yè)自動(dòng)化、分布式系統(tǒng)等[4-6]。GSM-R通信系統(tǒng)亦使用NTP作為主要的時(shí)間同步協(xié)議。文獻(xiàn)[7]研究了GSM-R下NTP協(xié)議的脆弱性，但在LTE-R下列車頻繁發(fā)生越區(qū)切換，對(duì)無線通信網(wǎng)絡(luò)的精確時(shí)鐘同步和定時(shí)的要求也更高，而NTP毫秒級(jí)的同步精度難以滿足未來LTE-R高精度的要求[8]。相比于NTP協(xié)議，精確時(shí)間協(xié)議(Precision Time Protocol，PTP)采用軟硬件結(jié)合的形式可以獲得亞微秒級(jí)的時(shí)間同步[9]。因此，開展LTE-R下的PTP高精度時(shí)間同步性研究，對(duì)于GSM-R向LTE-R演進(jìn)具有重要意義。文獻(xiàn)[10]在朔黃鐵路西柏坡至小覺試驗(yàn)段對(duì)LTE-R無線分組網(wǎng)絡(luò)進(jìn)行了PTP時(shí)鐘同步性能測(cè)試，測(cè)試結(jié)果表明PTP協(xié)議能夠滿足朔黃線現(xiàn)場(chǎng)通信要求。

然而NTP、PTP等時(shí)間同步協(xié)議在設(shè)計(jì)之初主要從傳輸效率考慮，均建立在IP信任的基礎(chǔ)上，由于缺乏有效的安全措施，時(shí)間同步網(wǎng)通常是系統(tǒng)中最脆弱的部分，對(duì)時(shí)間同步網(wǎng)的攻擊會(huì)導(dǎo)致整個(gè)系統(tǒng)失效[10]。文獻(xiàn)[11]研究表明，在時(shí)間同步網(wǎng)中時(shí)鐘漂移更改或者惡意攻擊可以導(dǎo)致網(wǎng)絡(luò)節(jié)點(diǎn)間的同步錯(cuò)誤。文獻(xiàn)[12]通過地址解析協(xié)議(Address Resolution Protocol，ARP)欺騙的方法可以偽造服務(wù)器，通過中間人和拒絕服務(wù)(Denial of Service，DoS)攻擊破壞網(wǎng)絡(luò)實(shí)時(shí)通信。文獻(xiàn)[13]研究表明，在高速列車通信網(wǎng)絡(luò)中，越區(qū)切換容易受到同步攻擊，導(dǎo)致在切換時(shí)不能實(shí)現(xiàn)前向密鑰分離。文獻(xiàn)[14]指出，攻擊者可以對(duì)LTE網(wǎng)絡(luò)中特定的用戶部署惡意基站，并強(qiáng)迫目標(biāo)用戶連接到該惡意基站，然后拒絕目標(biāo)用戶的選定服務(wù)從而實(shí)現(xiàn)DoS攻擊。文獻(xiàn)[15]采用物理實(shí)驗(yàn)的方式對(duì)PTP協(xié)議的攻擊及漏洞進(jìn)行了相關(guān)分析。上述文獻(xiàn)研究表明：基于IP的網(wǎng)絡(luò)在時(shí)間同步協(xié)議報(bào)文傳輸過程中，數(shù)據(jù)鏈路層通過ARP協(xié)議實(shí)現(xiàn)IP地址向MAC物理地址映射時(shí)極易遭受ARP攻擊，使得時(shí)間同步過程變得極為脆弱[16]。而LTE-R架構(gòu)全I(xiàn)P的特點(diǎn)，在時(shí)間同步過程中存在較大的ARP攻擊隱患，所以開展ARP攻擊狀態(tài)下的LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性研究，對(duì)于保證高速鐵路安全運(yùn)行具有重要的現(xiàn)實(shí)意義。

綜上所述，目前大部分鐵路時(shí)間同步研究主要針對(duì)GSM-R下的NTP協(xié)議脆弱性分析，但其同步精度難以滿足下一代LTE-R通信系統(tǒng)的要求；此外脆弱性分析時(shí)未考慮LTE-R全I(xiàn)P易受ARP攻擊的特點(diǎn)。針對(duì)以上問題，本文在分析PTP協(xié)議在LTE-R時(shí)間同步過程受到ARP攻擊的基礎(chǔ)上，提出針對(duì)下一代高速鐵路LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性的量化分析方法；建立了ARP攻擊狀態(tài)下LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性分析SPN模型；采用SPN與馬爾科夫鏈同構(gòu)的方法，分析了影響LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性的關(guān)鍵因素，定量得到了ARP攻擊下的LTE-R三級(jí)時(shí)鐘節(jié)點(diǎn)的實(shí)施速率與PTP協(xié)議同步正常、異常之間的關(guān)系曲線。研究結(jié)果可以為GSM-R時(shí)間同步網(wǎng)絡(luò)向LTE-R演進(jìn)提供一定的理論參考依據(jù)。

1 LTE-R時(shí)間同步方案

1.1 LTE-R時(shí)間同步網(wǎng)絡(luò)

鐵路時(shí)間同步網(wǎng)由三級(jí)時(shí)鐘節(jié)點(diǎn)構(gòu)成，采用主從節(jié)點(diǎn)逐級(jí)傳遞的方式實(shí)現(xiàn)路網(wǎng)時(shí)間同步[7-8]。LTE-R鐵路時(shí)間同步網(wǎng)三級(jí)時(shí)鐘節(jié)點(diǎn)分別為無線閉塞中心(Radio Block Center，RBC)、基站eNodeB和車載控制器(On Board Controller，OBC)。RBC作為LTE-R通信系統(tǒng)的核心，負(fù)責(zé)通過LTE-R網(wǎng)絡(luò)向OBC發(fā)送行車許可MA及其他行車控制命令。RBC與eNodeB之間通過演進(jìn)分組核心網(wǎng)(Evolved Packet Core，EPC)通信。列車頂部部署了車輛站(Vehicle Station，VS)接收裝置，eNodeB通過VS將下行列車控制信息發(fā)送給OBC，而OBC通過上行信道向eNodeB發(fā)送列車信息。LTE-R三級(jí)時(shí)鐘時(shí)間同步網(wǎng)結(jié)構(gòu)示意見圖1，其中S1為基站eNodeB與分組核心網(wǎng)EPC之間的通信接口，X2為eNodeB之間的互連接口。

圖1 LTE-R三級(jí)時(shí)鐘時(shí)間同步網(wǎng)結(jié)構(gòu)示意

在圖1中，LTE-R時(shí)間同步網(wǎng)在同步過程中報(bào)文是以IP的格式進(jìn)行數(shù)據(jù)傳輸，時(shí)鐘信息接收機(jī)負(fù)責(zé)接收重要時(shí)間戳信息。LTE-R時(shí)間同步網(wǎng)中將RBC作為時(shí)間同步網(wǎng)的一級(jí)時(shí)鐘節(jié)點(diǎn)，一級(jí)時(shí)鐘內(nèi)置高精度原子鐘(銣鐘)，并通過GPS、北斗導(dǎo)航定位進(jìn)行時(shí)間接收，eNodeB基站作為二級(jí)時(shí)鐘節(jié)點(diǎn)，OBC作為三級(jí)時(shí)鐘節(jié)點(diǎn)。在LTE-R時(shí)間同步過程中，通過PTP協(xié)議實(shí)現(xiàn)三級(jí)時(shí)鐘節(jié)點(diǎn)間的時(shí)間同步。

1.2 PTP協(xié)議原理

PTP協(xié)議是一種采用硬件時(shí)間戳機(jī)制的精確時(shí)間同步協(xié)議，通過周期性的報(bào)文交互，實(shí)現(xiàn)設(shè)備之間的時(shí)鐘同步，可以達(dá)到亞微秒級(jí)的同步精度[17]。PTP協(xié)議采用主從時(shí)鐘形式，主時(shí)鐘將時(shí)間戳報(bào)文周期性地發(fā)送給從時(shí)鐘，從時(shí)鐘根據(jù)時(shí)鐘偏移和通信路徑延遲調(diào)整時(shí)間，從而實(shí)現(xiàn)與主時(shí)鐘的同步。PTP協(xié)議時(shí)間同步原理見圖2[18]，同步過程如下：

圖2 PTP協(xié)議時(shí)間同步原理

Step1主時(shí)鐘向從時(shí)鐘發(fā)送Sync同步報(bào)文。

Step2主時(shí)鐘發(fā)送Follow_up跟隨報(bào)文，該報(bào)文中包含Sync報(bào)文的T1時(shí)間戳。

Step3從時(shí)鐘精確測(cè)量出接收到Sync同步報(bào)文的到達(dá)時(shí)刻T2，然后比較T1與T2的時(shí)間差值，從而糾正主從時(shí)鐘之間的時(shí)鐘偏移。

Step4從時(shí)鐘在T3時(shí)刻向主時(shí)鐘發(fā)送延遲請(qǐng)求報(bào)文Delay_Req。

Step5主時(shí)鐘在收到Delay_Req后發(fā)送延遲響應(yīng)報(bào)文Delay_Resp，該報(bào)文攜帶T4時(shí)間戳信息，從時(shí)鐘接收到該信息后通過T3、T4計(jì)算得到通信路徑傳輸延時(shí)。

在圖2主從時(shí)鐘交互過程中，定義變量offset為單向時(shí)鐘測(cè)量偏移時(shí)間，變量delay為通信路徑單向傳輸延時(shí)，可以得到

T2=T1+delay+offset

(1)

T4=T3+delay-offset

(2)

通過式(1)、式(2)可計(jì)算出delay、offset的值為

(3)

(4)

由式( 3 )、式( 4 )得到主從時(shí)鐘之間的delay、offset時(shí)鐘誤差后，從時(shí)鐘在下一時(shí)刻更新準(zhǔn)確時(shí)間，從而完成主從時(shí)鐘時(shí)間同步。

2 ARP攻擊分析

ARP是一個(gè)位于TCP/IP協(xié)議棧中網(wǎng)絡(luò)層的地址解析協(xié)議[12]。在LTE-R三級(jí)時(shí)間同步網(wǎng)同步報(bào)文傳輸過程中，使用ARP協(xié)議將IP地址映射到相應(yīng)的媒體訪問控制層對(duì)應(yīng)的MAC地址，用于識(shí)別發(fā)送的每個(gè)幀的源、目的地址。ARP地址解析時(shí)利用ARP緩存表來保存通信設(shè)備之間IP地址到MAC地址的映射記錄，采用的是機(jī)械制臨時(shí)緩存原理，表中的IP地址和MAC地址也是隨時(shí)可以修改的，這樣很容易發(fā)生ARP欺騙攻擊[19]。

在LTE-R正常通信情況下，一級(jí)時(shí)鐘同步節(jié)點(diǎn)RBC為了得到二級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB的MAC地址，廣播發(fā)送ARP請(qǐng)求報(bào)文，該報(bào)文包含RBC的MAC地址和IP地址，以及eNodeB的IP地址。eNodeB收到該請(qǐng)求后便向RBC發(fā)送ARP響應(yīng)報(bào)文，該報(bào)文中包含eNodeB的MAC地址。RBC收到響應(yīng)報(bào)文后建立一個(gè)ARP緩存表，將eNodeB的IP地址與接收到的MAC地址進(jìn)行映射，實(shí)現(xiàn)一、二級(jí)時(shí)鐘節(jié)點(diǎn)間的同步通信。同理二、三級(jí)時(shí)鐘節(jié)點(diǎn)也同樣實(shí)現(xiàn)時(shí)間同步。

然而由于ARP協(xié)議具有廣播性、無序性、無認(rèn)證等特點(diǎn)，使得攻擊者可利用這些漏洞在RBC、eNodeB、OBC進(jìn)行同步報(bào)文交互的過程中發(fā)起ARP攻擊，就會(huì)影響LTE-R三級(jí)時(shí)鐘對(duì)時(shí)精度，嚴(yán)重時(shí)會(huì)導(dǎo)致整個(gè)LTE-R系統(tǒng)的癱瘓，從而對(duì)鐵路安全運(yùn)行產(chǎn)生嚴(yán)重的后果[20]。在LTE-R時(shí)間同步過程中，攻擊者在RBC、eNodeB、OBC之間發(fā)起ARP攻擊的過程見圖3，分析如下： ①RBC向eNodeB采用廣播形式發(fā)送ARP請(qǐng)求報(bào)文，詢問eNodeB的MAC2地址； ②eNodeB在收到RBC的請(qǐng)求報(bào)文后，向RBC回復(fù)ARP正常響應(yīng)報(bào)文，RBC隨后更新ARP緩存表，將IP2與MAC2建立映射關(guān)系； ③攻擊者收到eNodeB的請(qǐng)求包，延時(shí)后向RBC發(fā)送偽造的ARP應(yīng)答，將攻擊者自身的MAC地址MAC4偽造成發(fā)送給RBC； ④偽造的報(bào)文持續(xù)不斷地發(fā)送給RBC，使得正常的eNodeB報(bào)文邏輯關(guān)系被覆蓋，最后使RBC錯(cuò)誤地將攻擊者發(fā)送的MAC4誤以為是eNodeB的MAC地址； ⑤攻擊者隨后向eNodeB發(fā)送攜帶MAC4的偽造的響應(yīng)報(bào)文，讓eNodeB誤以為IP地址為IP1的RBC的MAC地址為MAC4； ⑥eNodeB錯(cuò)誤更新修改ARP緩存表，添加映射關(guān)系。LTE-R時(shí)間同步協(xié)議受到ARP攻擊后，RBC、eNodeB、OBC都錯(cuò)誤地將攻擊者的MAC地址加入ARP緩存表，攻擊者作為中間人插入到RBC、eNodeB、OBC三者之間的通信過程中，造成LTE-R三級(jí)時(shí)鐘節(jié)點(diǎn)時(shí)間基準(zhǔn)的漂移，最終導(dǎo)致整個(gè)LTE-R時(shí)間同步網(wǎng)時(shí)鐘不一致，對(duì)行車安全造成極大影響。

圖3 LTE-R時(shí)間同步網(wǎng)協(xié)議受到ARP攻擊過程

3 SPN模型建立

本文在對(duì)LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性分析時(shí)，采用隨機(jī)Petri網(wǎng)(Stochastic Petri Net，SPN)理論進(jìn)行建模。SPN是一種形式化系統(tǒng)性能分析理論，為系統(tǒng)的異步、同步、互斥等行為分析提供了數(shù)學(xué)理論依據(jù)，可對(duì)系統(tǒng)中不確定、并發(fā)的事件進(jìn)行建模和分析，廣泛應(yīng)用于工業(yè)控制系統(tǒng)等領(lǐng)域的可靠性分析[2]。

LTE-R時(shí)間同步網(wǎng)協(xié)議受到ARP攻擊后，RBC、eNodeB、OBC都錯(cuò)誤地將攻擊者的MAC地址加入ARP緩存表，攻擊者作為中間人插入到LTE-R三級(jí)時(shí)鐘之間的通信中。攻擊者的插入可將RBC發(fā)送給eNodeB的PTP同步報(bào)文數(shù)據(jù)包進(jìn)行攔截和篡改，任意擴(kuò)大同步報(bào)文的偏移量，致使偏移量超出時(shí)間差閾值，最終導(dǎo)致LTE-R三級(jí)時(shí)鐘同步失敗。

根據(jù)LTE-R時(shí)間同步PTP協(xié)議運(yùn)行機(jī)理，結(jié)合ARP攻擊的特點(diǎn)，本文建立了基于SPN理論的ARP攻擊作用下的LTE-R時(shí)間同步過程脆弱性分析模型，見圖4，其中SPN模型庫所的定義見表1，變遷的定義見表2。

表2 變遷定義

圖4 ARP攻擊作用下的LTE-R時(shí)間同步SPN模型

表1 所有狀態(tài)庫所定義

圖4中，三級(jí)時(shí)鐘節(jié)點(diǎn)RBC、eNodeB、OBC分別在t1、t2、t3處采用PTP協(xié)議建立同步通信，此過程易受到ARP攻擊。ARP攻擊者P0作為中間人插入到三者之間的通信中，對(duì)三級(jí)時(shí)鐘交互過程中的PTP報(bào)文進(jìn)行攔截和篡改。

當(dāng)一級(jí)時(shí)鐘節(jié)點(diǎn)RBC處于等待接收eNodeB延遲請(qǐng)求報(bào)文狀態(tài)P4時(shí)，如果隨后接收到ARP攻擊影響的惡意報(bào)文或異常報(bào)文，則分別通過t4、t5進(jìn)入異常處理P19狀態(tài)，此時(shí)會(huì)導(dǎo)致一級(jí)時(shí)鐘節(jié)點(diǎn)RBC時(shí)間同步異常，RBC處于異常守時(shí)事件t22。

在二級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB與RBC、OBC同步過程中，eNodeB進(jìn)入等待接收同步周期報(bào)文狀態(tài)P5，此時(shí)ARP攻擊會(huì)將同步周期報(bào)文進(jìn)行攔截篡改，eNodeB將收到3種類型的報(bào)文，即同步周期正常報(bào)文t7、ARP攻擊篡改的惡意報(bào)文t8和異常報(bào)文t9，t8、t9經(jīng)過異常處理后，eNodeB進(jìn)入同步異常守時(shí)狀態(tài)P40，只有同步周期正常報(bào)文t7能正常處理，完成RBC與eNodeB的時(shí)鐘同步。

當(dāng)三級(jí)時(shí)鐘節(jié)點(diǎn)OBC處于等待接收eNodeB同步周期報(bào)文P6時(shí)，同樣也將收到3種類型的報(bào)文，即被ARP攻擊者篡改的惡意報(bào)文t11、異常報(bào)文t12和正常報(bào)文t10。惡意報(bào)文和異常報(bào)文通過t20、t21處理后進(jìn)入OBC異常結(jié)束狀態(tài)P42，此時(shí)OBC進(jìn)入異常結(jié)束守時(shí)狀態(tài)；只有正常報(bào)文t10可正常處理，通過計(jì)算時(shí)鐘偏移和路徑延遲校準(zhǔn)時(shí)間后，再通過同步偏差閾值判斷當(dāng)前時(shí)間是否合法，如果合法將同步時(shí)鐘應(yīng)用到當(dāng)前設(shè)備P36，然后開啟通信調(diào)度P41，最終進(jìn)入OBC正常結(jié)束變遷t47，否則進(jìn)入OBC異常守時(shí)狀態(tài)。

4 LTE-R時(shí)間同步脆弱性分析

4.1 SPN與MC同構(gòu)的LTE-R同步分析方法

LTE-R時(shí)間同步脆弱性分析時(shí)，采用SPN模型與馬爾科夫鏈(Markov Chain，MC)同構(gòu)的方法進(jìn)行分析[21]，其步驟如下：

Step1將LTE-R時(shí)間同步網(wǎng)的SPN模型每一個(gè)標(biāo)識(shí)，映射成馬爾科夫鏈MC中的每一個(gè)狀態(tài)。

Step2根據(jù)SPN模型中每條弧上標(biāo)注的實(shí)際變遷實(shí)施速率λi，構(gòu)造同構(gòu)的馬爾科夫鏈MC狀態(tài)空間。

Step3根據(jù)MC狀態(tài)空間，建立狀態(tài)轉(zhuǎn)移概率方程組。定義X=[x1x2…xn]為MC中狀態(tài)穩(wěn)態(tài)概率的行向量，可得方程組為

(5)

式中：Q為轉(zhuǎn)移速率矩陣；n為狀態(tài)的數(shù)量。

Step4求解式( 5 )，得到每個(gè)狀態(tài)的穩(wěn)定概率P(Mi)=xi(1≤i≤n)，根據(jù)求得的各狀態(tài)穩(wěn)態(tài)概率對(duì)LTE-R時(shí)間同步網(wǎng)進(jìn)行脆弱性分析。

4.2 構(gòu)造LTE-R時(shí)間同步脆弱性SPN同構(gòu)MC鏈

在圖4的SPN模型中，如果沒有受到ARP攻擊，則系統(tǒng)處于正常狀態(tài)，P1、P2、P3、P8、P13、P17、P25、P29、P34、P37中各有一個(gè)Token；如果發(fā)生ARP攻擊，庫所P0中也會(huì)含有Token。根據(jù)圖4中ARP攻擊下SPN模型不同變遷事件之間的關(guān)系，得到以下可達(dá)集：M1=(0,1,2,3,8,13,17,25,29,34,37)；…；M14=(1,2,3,8,13,17,19,25,29,34,37)；M15=(1,2,3,8,13,17,20,25,29,34,37)；…；M17=(1,2,3,8,13,17,25,29,34,37,40)；…；M19=(1,2,3,8,13,17,25,29,34,37,42)；…；M32=(1,2,3,8,13,17,25,29,34,37,39)；M33=(1,2,3,8,13,17,25,29,34,37,41)。

M1～M33用來表示SPN模型的33個(gè)變遷可達(dá)集，其中，M14代表一級(jí)時(shí)鐘節(jié)點(diǎn)RBC同步異常結(jié)束，M15代表一級(jí)時(shí)鐘節(jié)點(diǎn)RBC同步正常結(jié)束；M17代表二級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB同步異常結(jié)束，M32代表二級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB同步正常結(jié)束；M19代表三級(jí)時(shí)鐘節(jié)點(diǎn)OBC同步異常結(jié)束，M33代表三級(jí)時(shí)鐘節(jié)點(diǎn)OBC同步正常結(jié)束；其他為中間過渡變遷可達(dá)集?；赟PN與MC同構(gòu)分析方法，依據(jù)圖4中SPN變遷之間的邏輯關(guān)系，定義相應(yīng)的變遷實(shí)施速率λ1～λ48，得到與SPN同構(gòu)的馬爾科夫鏈，見圖5。

圖5 與SPN模型同構(gòu)的馬爾科夫鏈

設(shè)P(Mi)為LTE-R時(shí)間同步網(wǎng)協(xié)議SPN模型中各個(gè)Mi的穩(wěn)態(tài)概率，根據(jù)圖5可得如下方程組

(6)

(7)

(8)

5 仿真結(jié)果分析

在時(shí)間同步過程中，各級(jí)時(shí)鐘節(jié)點(diǎn)在接收關(guān)鍵時(shí)間同步報(bào)文時(shí)容易遭受攻擊[20]。在LTE-R時(shí)間同步過程中，ARP攻擊主要發(fā)生在各級(jí)時(shí)鐘節(jié)點(diǎn)之間進(jìn)行PTP報(bào)文交互的過程中，ARP攻擊可以作為中間人攔截和篡改來自各級(jí)時(shí)鐘節(jié)點(diǎn)的關(guān)鍵報(bào)文，導(dǎo)致同步失敗。對(duì)圖5中LTE-R時(shí)間同步馬爾科夫鏈進(jìn)行脆弱性分析時(shí)，將LTE-R時(shí)間同步網(wǎng)協(xié)議中各級(jí)時(shí)鐘節(jié)點(diǎn)接收PTP時(shí)間同步報(bào)文的6個(gè)時(shí)刻作為同步過程的脆弱節(jié)點(diǎn)，見表3。

表3 LTE-R同步過程脆弱性的脆弱節(jié)點(diǎn)

根據(jù)表3，通過改變每個(gè)時(shí)鐘同步脆弱節(jié)點(diǎn)的平均實(shí)施速率λi值，并將其代入式(6)～式(8)，可以分析得到脆弱節(jié)點(diǎn)事件與PTP協(xié)議異常、同步正常狀態(tài)穩(wěn)態(tài)概率P(Mi)值之間的關(guān)系。通過對(duì)各級(jí)時(shí)鐘節(jié)點(diǎn)的異常、正常結(jié)束狀態(tài)的P(Mi)值的分析，從而實(shí)現(xiàn)對(duì)ARP攻擊狀態(tài)下的LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性的影響性分析。

5.1 RBC脆弱性分析

6個(gè)脆弱節(jié)點(diǎn)中，λ6作為RBC接收延遲請(qǐng)求報(bào)文的平均實(shí)施速率，將λ6的值取0～30，其他λi的值取1，依次求解，各穩(wěn)態(tài)概率仿真結(jié)果見圖6，各結(jié)束狀態(tài)穩(wěn)態(tài)概率變化見表4。

圖6 λ6變化時(shí)各穩(wěn)態(tài)概率仿真結(jié)果

表4 λ6變化時(shí)各結(jié)束狀態(tài)穩(wěn)態(tài)概率變化

由圖6和表4可以看出，隨著λ6逐漸增大，即ARP攻擊者發(fā)送延遲請(qǐng)求報(bào)文的速率逐漸增大，各級(jí)時(shí)鐘節(jié)點(diǎn)各結(jié)束狀態(tài)的穩(wěn)態(tài)概率值均有所變化。其中對(duì)一級(jí)時(shí)鐘節(jié)點(diǎn)RBC的異常狀態(tài)穩(wěn)態(tài)概率P(M14)和正常結(jié)束穩(wěn)態(tài)概率P(M15)的變化幅度影響最大，這說明ARP攻擊對(duì)延遲請(qǐng)求報(bào)文的接收方RBC設(shè)備影響最大。RBC正常結(jié)束的穩(wěn)態(tài)概率P(M15)會(huì)隨著λ6逐漸增大而增大，而異常結(jié)束的穩(wěn)態(tài)概率P(M14)隨著λ6逐漸增大而減小。這是因?yàn)樵赑TP時(shí)間同步過程中，延時(shí)請(qǐng)求等事件呈現(xiàn)非周期性指數(shù)分布特性[2,22]，指數(shù)分布事件的執(zhí)行時(shí)間為t，其值大小為該事件的數(shù)學(xué)期望值，即t隨著λ6增大，單位時(shí)間內(nèi)ARP的攻擊次數(shù)也逐漸增大，而ARP攻擊作用的時(shí)間t反而會(huì)減少，從而ARP攻擊中惡意報(bào)文攻擊作用到RBC的時(shí)間也會(huì)隨之減小，RBC受到攻擊的程度就會(huì)減少，所以其異常結(jié)束概率會(huì)顯著減小，而其正常概率會(huì)逐步增大。

5.2 eNodeB脆弱性分析

在脆弱節(jié)點(diǎn)中，λ7、λ24、λ35分別為eNodeB接收RBC、OBC同步周期與延遲請(qǐng)求PTP報(bào)文的實(shí)施速率，取值為0～30，將其他λi的值取1，依次求解，此時(shí)各穩(wěn)態(tài)概率的仿真結(jié)果見圖7，各結(jié)束狀態(tài)穩(wěn)態(tài)概率變化情況見表5。

圖7 λ7、λ24、λ35變化時(shí)各穩(wěn)態(tài)概率的仿真結(jié)果

從圖7和表5可以看出，隨著λ7、λ24、λ35值的增大，二級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB同步異常結(jié)束狀態(tài)穩(wěn)態(tài)概率P(M17)呈現(xiàn)小幅度下降的趨勢(shì)，而同步正常結(jié)束狀態(tài)穩(wěn)態(tài)概率P(M32)呈現(xiàn)出小幅度上升的趨勢(shì)。同時(shí)可以發(fā)現(xiàn)：在穩(wěn)態(tài)概率P(Mi)相同的條件下，λ7、λ24、λ353種事件中，由λ7變化引起的P(Mi)值變化的幅度最大，這說明eNodeB在接收RBC發(fā)送的同步周期報(bào)文時(shí)，受到ARP的攻擊影響較大。這是因?yàn)棣?同步周期報(bào)文發(fā)生在PTP同步偏移測(cè)量階段，此時(shí)PTP報(bào)文會(huì)以較短的時(shí)間為周期進(jìn)行發(fā)送，由ARP攻擊造成的偏移誤差會(huì)在短時(shí)間內(nèi)迅速累積最終超過一定安全閾值，導(dǎo)致同步過程失敗[22]。

表5 λ7、λ24、λ35變化時(shí)各結(jié)束狀態(tài)穩(wěn)態(tài)概率變化情況

5.3 OBC脆弱性分析

在脆弱節(jié)點(diǎn)中λ10、λ27分別為OBC等待接收eNodeB同步周期報(bào)文、延遲響應(yīng)報(bào)文的實(shí)施速率，將λ10、λ27的值分別取0～30，其他λi的值取1，依次求解，各穩(wěn)態(tài)概率仿真結(jié)果見圖8，各結(jié)束狀態(tài)穩(wěn)態(tài)變化情況見表6。

圖8 λ10、λ27變化時(shí)各穩(wěn)態(tài)概率的仿真結(jié)果

表6 λ10和λ27變化時(shí)各結(jié)束狀態(tài)穩(wěn)態(tài)變化情況

從圖8和表6可以看出，λ10、λ27對(duì)OBC同步狀態(tài)影響較大。從圖8(a)可以看出，隨著實(shí)施速率λ10逐漸增加，RBC、eNodeB、OBC 3個(gè)設(shè)備對(duì)應(yīng)的各結(jié)束狀態(tài)穩(wěn)態(tài)概率均有所波動(dòng)，其中OBC異常結(jié)束狀態(tài)P(M19)的變化最大，變化幅度達(dá)到0.04，OBC異常結(jié)束狀態(tài)P(M33)的變化幅度也達(dá)到了0.02。從圖8(b)可以看出，隨著實(shí)施速率λ27逐漸增加，除了OBC對(duì)應(yīng)的結(jié)束狀態(tài)穩(wěn)態(tài)概率P(M19)、P(M33)變化幅度達(dá)到0.02外，其他設(shè)備的穩(wěn)態(tài)概率變化平穩(wěn)。

5.4 LTE-R時(shí)間同步網(wǎng)脆弱性分析與性能比較

通過對(duì)上述RBC、eNodeB、OBC各級(jí)時(shí)鐘節(jié)點(diǎn)異常、正常結(jié)束狀態(tài)穩(wěn)態(tài)概率值的綜合分析可以發(fā)現(xiàn)：對(duì)于LTE-R三級(jí)時(shí)鐘節(jié)點(diǎn)的穩(wěn)態(tài)概率，隨著脆弱節(jié)點(diǎn)攻擊平均實(shí)施速率的增加，均呈現(xiàn)出先增加或減小最后趨于平緩的趨勢(shì)。這種變化趨勢(shì)是由馬爾科夫鏈的收斂定理決定的，即對(duì)于不可約且非周期的有限狀態(tài)馬爾可夫鏈，存在著唯一的平穩(wěn)分布[23]。不可約性是指如果一個(gè)馬爾可夫鏈的狀態(tài)空間僅有一個(gè)連通類，其演變過程中隨機(jī)變量可以在任意狀態(tài)間轉(zhuǎn)移。對(duì)于圖5所示的LTE-R脆弱性MC中，其馬爾科夫鏈模型包括33個(gè)狀態(tài)，屬于有限狀態(tài)馬爾科夫鏈，并且這33個(gè)狀態(tài)之間通過不同變遷實(shí)施速率連接，屬于同一個(gè)連通圖類，滿足不可約性。非周期性是指馬爾科夫鏈中隨機(jī)變量之間不存在簡單重復(fù)的回路轉(zhuǎn)換。對(duì)于圖5時(shí)間同步MC模型中各個(gè)狀態(tài)之間無自環(huán)回路，滿足非周期性。以上分析說明，本文構(gòu)建的LTE-R時(shí)間同步脆弱性馬爾科夫鏈滿足收斂定理，所以穩(wěn)態(tài)概率隨著攻擊平均實(shí)施速率的變化最終趨于平緩。

為找出對(duì)LTE-R時(shí)間同步協(xié)議影響最大的脆弱節(jié)點(diǎn)，選擇RBC、eNodeB、OBC中分別影響最大的關(guān)鍵報(bào)文事件λ6、λ7、λ10，將其所有的正常、異常結(jié)束狀態(tài)穩(wěn)態(tài)概率的變化幅度累計(jì)相加，比較λ6、λ7、λ10變化對(duì)整個(gè)同步過程各結(jié)束狀態(tài)穩(wěn)態(tài)概率的影響，比較結(jié)果見表7。

表7 λ6、λ7、λ10對(duì)結(jié)束狀態(tài)穩(wěn)態(tài)概率的影響

由表7可見，因RBC接收eNodeB發(fā)送的延遲請(qǐng)求報(bào)文λ6變化導(dǎo)致各結(jié)束狀態(tài)穩(wěn)態(tài)概率變化的幅度是最大的，其次是λ7和λ10，這說明在LTE-R時(shí)間同步網(wǎng)中，一級(jí)時(shí)鐘節(jié)點(diǎn)RBC接收ARP攻擊狀態(tài)下的報(bào)文最能影響LTE-R時(shí)間同步網(wǎng)協(xié)議的脆弱性，然后依次是二級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB和三級(jí)時(shí)鐘節(jié)點(diǎn)OBC。該結(jié)論與文獻(xiàn)[15]中通過搭建實(shí)驗(yàn)性測(cè)試平臺(tái)對(duì)PTP同步報(bào)文進(jìn)行ARP欺騙攻擊得出的結(jié)論相一致。文獻(xiàn)[15]使用2臺(tái)運(yùn)行Ubuntu Linux 17.1的Intelx86的服務(wù)器搭建PTP實(shí)驗(yàn)測(cè)試平臺(tái)，并通過使用Scapy工具構(gòu)建欺騙數(shù)據(jù)包來模擬真實(shí)的ARP攻擊，得到當(dāng)針對(duì)PTP某節(jié)點(diǎn)發(fā)起攻擊時(shí)，時(shí)序網(wǎng)絡(luò)層次結(jié)構(gòu)低于該節(jié)點(diǎn)的所有節(jié)點(diǎn)都會(huì)受到影響的結(jié)論，即在本文LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性因素中，與二、三級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB、OBC在偏移測(cè)量階段受到ARP攻擊對(duì)協(xié)議造成的影響相比，一級(jí)時(shí)鐘節(jié)點(diǎn)RBC作為協(xié)議的主時(shí)鐘設(shè)備，其受到ARP攻擊對(duì)協(xié)議造成的影響是最大的。本文所得結(jié)論與文獻(xiàn)[15]實(shí)驗(yàn)所得結(jié)論相一致，證明了本文LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性分析模型的有效性。

為進(jìn)一步對(duì)比驗(yàn)證本文脆弱性分析方法的有效性，與鐵路時(shí)間同步脆弱性分析文獻(xiàn)[7]、文獻(xiàn)[24]方法進(jìn)行比較分析。文獻(xiàn)[7]采用著色Petri網(wǎng)和逆向狀態(tài)分析法對(duì)鐵路時(shí)間同步網(wǎng)協(xié)議進(jìn)行了安全性分析。文獻(xiàn)[24]采用模糊貝葉斯網(wǎng)絡(luò)分析方法對(duì)鐵路時(shí)間同步網(wǎng)三級(jí)時(shí)鐘可靠性進(jìn)行了分析。通過不同方法對(duì)比分析，得出可達(dá)性、安全性、精度范圍、抵抗ARP攻擊等性能比較結(jié)果見表8。

表8 不同方法分析性能比較

從表8可以看出：3種方法均可以實(shí)現(xiàn)對(duì)鐵路時(shí)間同步網(wǎng)的安全性分析。在對(duì)可達(dá)性分析時(shí)，文獻(xiàn)[7]通過對(duì)時(shí)間同步協(xié)議采用著色集定義交互仿真方法，可以實(shí)現(xiàn)毫秒級(jí)的精度分析；文獻(xiàn)[24]構(gòu)建了基于貝葉斯網(wǎng)絡(luò)的鐵路三級(jí)時(shí)鐘同步分析模型，但貝葉斯網(wǎng)絡(luò)作為因果推理網(wǎng)絡(luò)，本身具有因果約束局部性的特點(diǎn)，即網(wǎng)絡(luò)推理時(shí)子節(jié)點(diǎn)只受到直接前驅(qū)雙親節(jié)點(diǎn)的影響，而與其他事件節(jié)點(diǎn)無關(guān)，從而導(dǎo)致無法實(shí)現(xiàn)可達(dá)性分析；而本文方法采用SPN與馬爾科夫鏈同構(gòu)的方法，實(shí)現(xiàn)了不同LTE-R脆弱性事件之間的可達(dá)性，并且時(shí)間精度能夠達(dá)到亞微秒級(jí)。在對(duì)抵抗ARP攻擊分析時(shí)，文獻(xiàn)[7]能夠?qū)崿F(xiàn)對(duì)NTP時(shí)間協(xié)議的入侵檢測(cè)，但無法實(shí)現(xiàn)對(duì)ARP攻擊的分析；同樣文獻(xiàn)[24]也無法實(shí)現(xiàn)對(duì)ARP攻擊的分析；而本文方法可以實(shí)現(xiàn)對(duì)LTE-R下的ARP攻擊分析。

為了進(jìn)一步對(duì)不同比較方法進(jìn)行量化分析，以穩(wěn)態(tài)概率變化幅度作為評(píng)價(jià)指標(biāo)進(jìn)行量化分析。根據(jù)設(shè)備故障修復(fù)率與穩(wěn)態(tài)概率的轉(zhuǎn)換關(guān)系[25]，并結(jié)合鐵路時(shí)間同步網(wǎng)三級(jí)時(shí)鐘故障幾率0.0205、0.005、0.0002[24]，求解得到鐵路時(shí)間同步網(wǎng)三級(jí)時(shí)鐘設(shè)備穩(wěn)態(tài)概率變化幅度值，見表9。

表9 不同方法所得穩(wěn)態(tài)概率變化幅度比較

由表9可以看出，文獻(xiàn)[7]采用著色Petri網(wǎng)方法只能實(shí)現(xiàn)對(duì)鐵路時(shí)間同步網(wǎng)的狀態(tài)可達(dá)性分析，無法實(shí)現(xiàn)對(duì)脆弱性節(jié)點(diǎn)穩(wěn)態(tài)概率變化幅值的定量分析，這是因?yàn)橹玃etri網(wǎng)方法中變遷事件無法表達(dá)隨機(jī)概率事件，因此文獻(xiàn)[7]無法得到有效定量分析。穩(wěn)態(tài)概率的變化幅度值刻畫了系統(tǒng)分析時(shí)變化的波動(dòng)性，揭示了系統(tǒng)狀態(tài)的概率變化幅度大小，其值越大，表明系統(tǒng)越脆弱，該值的大小反映出系統(tǒng)脆弱性分析的能力。從表9中亦可看出，采用本文方法得到的各脆弱節(jié)點(diǎn)穩(wěn)態(tài)概率變化幅度值明顯高于文獻(xiàn)[24]模糊貝葉斯方法，從而說明了本文方法明顯優(yōu)于文獻(xiàn)[24]方法，能夠更好地實(shí)現(xiàn)對(duì)ARP攻擊狀態(tài)下的LTE-R時(shí)間同步網(wǎng)協(xié)議的脆弱性分析。

5.5 安全策略

通過上述分析，得到了ARP攻擊下LTE-R三級(jí)時(shí)鐘節(jié)點(diǎn)的實(shí)施速率與PTP協(xié)議同步正常、異常之間的關(guān)系曲線，定量得到了影響LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性的關(guān)鍵因素。因此，對(duì)于LTE-R時(shí)間同步網(wǎng)的三級(jí)時(shí)鐘節(jié)點(diǎn)設(shè)備，尤其是一級(jí)時(shí)鐘節(jié)點(diǎn)RBC，為了降低該LTE-R時(shí)間同步網(wǎng)受到ARP攻擊的概率，應(yīng)盡量避免由于ARP請(qǐng)求數(shù)據(jù)包廣播發(fā)送導(dǎo)致被攻擊者侵入的情況，可以采用如下策略來應(yīng)對(duì)ARP攻擊：

(1)在RBC同步時(shí)，可以將ARP緩存表自動(dòng)添加映射關(guān)系改為根據(jù)判斷驗(yàn)證添加。此外，RBC、eNodeB在收到多個(gè)IP相同MAC不相同的ARP響應(yīng)報(bào)文后，應(yīng)當(dāng)向響應(yīng)報(bào)文的主機(jī)發(fā)送ICMP探測(cè)數(shù)據(jù)包，只有在IP、MAC地址都匹配的情況下才能更新緩存表。

(2)為RBC、eNodeB建立數(shù)字身份，使用身份驗(yàn)證網(wǎng)關(guān)，以確保eNodeB、OBC只接受具有正確數(shù)字身份的RBC、eNodeB發(fā)送的PTP時(shí)鐘報(bào)文。

(3)采用三級(jí)混合密鑰安全認(rèn)證的形式加強(qiáng)LTE-R三級(jí)時(shí)鐘同步協(xié)議安全。

6 結(jié)論

LTE-R作為我國下一代高速鐵路無線通信系統(tǒng)，其全I(xiàn)P的扁平化架構(gòu)極易受到ARP攻擊，對(duì)LTE-R時(shí)間同步網(wǎng)進(jìn)行脆弱性分析研究，對(duì)于保障列車運(yùn)行安全具有重要的理論意義和現(xiàn)實(shí)意義。本文利用隨機(jī)Petri網(wǎng)理論對(duì)ARP攻擊狀態(tài)下的LTE-R時(shí)間同步網(wǎng)協(xié)議的脆弱性進(jìn)行了建模仿真，采用馬爾科夫鏈同構(gòu)的方法，得到影響協(xié)議脆弱性的相關(guān)變遷平均實(shí)施速率與協(xié)議各結(jié)束狀態(tài)穩(wěn)態(tài)概率之間的關(guān)系曲線，得出以下結(jié)論：

(1)鐵路時(shí)間精確PTP協(xié)議受ARP攻擊會(huì)造成極大影響，在三級(jí)時(shí)鐘節(jié)點(diǎn)等待接收關(guān)鍵PTP報(bào)文時(shí)刻最為脆弱，如果在這個(gè)關(guān)鍵時(shí)刻受到ARP攻擊會(huì)對(duì)整個(gè)同步過程造成較大的影響。

(2)對(duì)于二級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB和三級(jí)時(shí)鐘節(jié)點(diǎn)OBC來說，在協(xié)議運(yùn)行的偏移測(cè)量階段接收到的報(bào)文，其受到ARP攻擊對(duì)協(xié)議造成的影響會(huì)比在延遲測(cè)量階段要大。

(3)在LTE-R時(shí)間同步網(wǎng)協(xié)議脆弱性因素中，一級(jí)時(shí)鐘節(jié)點(diǎn)RBC受到ARP攻擊的影響最大。與二、三級(jí)時(shí)鐘節(jié)點(diǎn)eNodeB、OBC在偏移測(cè)量階段受到ARP攻擊對(duì)協(xié)議造成的影響相比，一級(jí)時(shí)鐘節(jié)點(diǎn)RBC作為協(xié)議的主時(shí)鐘設(shè)備，其受到ARP攻擊對(duì)協(xié)議造成的影響是最大的，該結(jié)論與文獻(xiàn)中的實(shí)測(cè)結(jié)果相一致，并與其他方法相比較，進(jìn)一步驗(yàn)證了本文SPN分析模型的有效性。

(4)為避免ARP攻擊對(duì)同步過程造成影響，建議采用ARP緩存表安全驗(yàn)證、數(shù)字簽名、三級(jí)混合密鑰安全認(rèn)證等方法以提高LTE-R三級(jí)時(shí)鐘同步協(xié)議的安全性。