陸以勤 謝文靜 王海瀚 陳卓星 程喆? 潘偉鏘 覃健誠

面向時間敏感網(wǎng)絡(luò)的安全感知調(diào)度方法

陸以勤1謝文靜2王海瀚1陳卓星1程喆2?潘偉鏘3覃健誠1

（1. 華南理工大學 電子與信息學院，廣東 廣州 510640；2. 華南理工大學 計算機科學與工程學院，廣東 廣州 510006；3. 華南理工大學 信息網(wǎng)絡(luò)工程研究中心，廣東 廣州 510640）

時間敏感網(wǎng)絡(luò)（TSN）中信息的真實性是系統(tǒng)的關(guān)鍵安全要素，然而直接引入傳統(tǒng)安全認證機制會導致系統(tǒng)可調(diào)度性和實時性大幅降低?，F(xiàn)有的方法仍存在適用場景少、資源消耗高等問題。針對這些問題，文中提出了一種面向TSN的安全感知調(diào)度方法。首先基于TSN流量特性設(shè)計了一種時間有效的一次性簽名安全機制，為消息提供高效的組播源認證；然后提出相應(yīng)的安全模型對該機制進行評估，描述安全機制對任務(wù)和流量的影響；最后對提出的安全感知調(diào)度方法進行數(shù)學建模，在傳統(tǒng)調(diào)度約束的基礎(chǔ)上，增加了安全機制相關(guān)的約束，同時以最小化應(yīng)用端到端時延為優(yōu)化目標，使用約束規(guī)劃進行求解。仿真實驗結(jié)果表明：改進的一次性簽名機制的引入可以有效保護TSN中關(guān)鍵信息的真實性，且對調(diào)度的影響有限；在多個基于真實工業(yè)場景生成的不同規(guī)模測試用例中，產(chǎn)生的應(yīng)用端到端時延平均僅增加13.3%，帶寬消耗平均僅增加5.8%；與其他同類型方法相比，文中方法的帶寬消耗更低，更加適用于有嚴格帶寬限制的TSN。

時間敏感網(wǎng)絡(luò)；安全性；調(diào)度；約束規(guī)劃

時間敏感網(wǎng)絡(luò)（TSN）是由IEEE 802.1工作組修訂的一系列標準，用于增強傳統(tǒng)以太網(wǎng)的實時性，實現(xiàn)數(shù)據(jù)高可靠、低延遲、低抖動的確定性傳輸［1］。近年來，TSN由于其優(yōu)越的傳輸特性，被廣泛應(yīng)用于車載網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)、航空航天電子網(wǎng)絡(luò)、移動前傳等對實時性要求較高的領(lǐng)域。然而，隨著物理信息系統(tǒng)的發(fā)展，TSN所應(yīng)用的系統(tǒng)與周圍環(huán)境連接愈發(fā)緊密，廣泛的通信接口增加了系統(tǒng)被攻擊者破壞的風險。這些系統(tǒng)一旦被攻擊者入侵，將會引發(fā)系統(tǒng)故障，嚴重時會造成經(jīng)濟損失，甚至危害人的生命安全。以車載系統(tǒng)為例，攻擊者可以通過注入惡意消息的方式致使系統(tǒng)執(zhí)行惡意指令，從而引發(fā)行車過程中的交通事故［2］。因此，TSN在設(shè)計過程中必須考慮如何保證傳輸數(shù)據(jù)的真實性。但是，TSN的現(xiàn)有標準中并未提供安全認證機制來保護數(shù)據(jù)的真實性。將安全機制引入TSN中需要解決兩個方面的問題：一是實時系統(tǒng)通常對帶寬資源的分配有諸多限制，承擔多余的安全機制開銷，可能會導致系統(tǒng)無法滿足硬實時消息的要求；二是TSN中時間關(guān)鍵的流量有嚴格的時序約束，其傳輸通常由調(diào)度表提前確定［3］。安全機制的時間開銷將會對這些流量原本的調(diào)度計劃產(chǎn)生影響，因此在調(diào)度表生成前必須把安全機制與其他約束條件綜合進行考慮。文中將這種額外增加安全時序約束的調(diào)度稱為安全感知調(diào)度。

TSN中的流量調(diào)度問題已被證實為NP完全問題，對于該問題，國內(nèi)外已有較為豐富的研究成果。文獻［4］將TSN中的無等待數(shù)據(jù)包調(diào)度問題建模為無等待作業(yè)車間調(diào)度問題，提出了一種禁忌搜索算法和調(diào)度壓縮技術(shù)。文獻［5］將調(diào)度問題描述為一個多目標組合優(yōu)化問題，分別使用了整數(shù)線性規(guī)劃（ILP）、增量啟發(fā)式算法、元啟發(fā)式算法對該問題進行求解。除了對流量進行調(diào)度外，任務(wù)的執(zhí)行也將會影響到流量的調(diào)度，因此部分研究將調(diào)度從數(shù)據(jù)鏈路層擴展到應(yīng)用層，實現(xiàn)了任務(wù)和流的聯(lián)合調(diào)度［6］。文獻［7］將任務(wù)和流協(xié)同調(diào)度問題建模為混合整數(shù)規(guī)劃（MIP）問題，調(diào)度目標為應(yīng)用程序的響應(yīng)時間和流傳輸?shù)亩说蕉藭r延。文獻［8］將任務(wù)和流量聯(lián)合調(diào)度，并分別使用可滿足性模理論（SMT）和MIP求解該問題。然而，以上研究只針對TSN中的調(diào)度問題而未考慮到安全威脅問題，對于TSN的安全感知調(diào)度問題的研究仍處于初始階段。文獻［9］使用消息驗證碼（MAC）為TSN流提供源認證，使用安全等級描述應(yīng)用的安全需求，調(diào)度目標為保證系統(tǒng)可調(diào)度性的同時，最大化所有安全等級的加權(quán)和，以此權(quán)衡安全性能與安全開銷。雖然MAC本身是開銷較小的安全機制，但不適用于多播的場景。而TSN多應(yīng)用在汽車內(nèi)網(wǎng)、工業(yè)控制領(lǐng)域，為使多個終端協(xié)同工作，控制信號通常是多播的。文獻［10］使用定時高效流丟失容忍認證（TESLA）［11］為TSN流提供消息認證（該方式可用于多播的場景），使用混合整數(shù)線性規(guī)劃（MILP）模型求解安全感知的調(diào)度問題，但TESLA機制本身存在驗證延遲，且需要緩存，在實時性要求很高的TSN系統(tǒng)中可能會無法得到滿足所有約束的調(diào)度方案。文獻［12］在文獻［10］的基礎(chǔ)上，增加了路徑冗余機制，兼顧外部安全威脅和系統(tǒng)內(nèi)部安全故障兩個方面，并使用約束規(guī)劃求解該問題，但仍未解決安全機制本身問題。因此，需要繼續(xù)研究更為合理的安全驗證方案，盡量減少安全機制引入的影響，在保證可調(diào)度性的同時，為系統(tǒng)提供有效的安全驗證。

為解決存在的以上問題，文中提出了一種面向TSN的安全感知調(diào)度方法。該方法引入了時間有效的一次性簽名作為安全認證機制，并根據(jù)TSN的特性對該機制進行了修改。針對修改后的一次性簽名安全機制，文中提出了相應(yīng)的安全模型，用以評估該機制帶來的影響，并對TSN的安全感知問題進行數(shù)學建模，使用約束規(guī)劃對該問題進行求解。最后，文中通過實驗驗證該方法的有效性。

1　基于時間有效的一次性簽名的TSN安全機制設(shè)計

1.1　安全原理

1.1.1時間有效的一次性簽名

一次性簽名是一種基于單向哈希函數(shù)的消息源認證方案，其特征在于密鑰在使用時就會暴露，因此密鑰只能使用一次。此外，它具有簽名生成快與驗證效率高的優(yōu)點。時間有效的一次性簽名方案（TV-HORS）［13］對傳統(tǒng)的一次性簽名進行了改進。該方案只對消息摘要的一部分進行簽名，縮短了簽名長度。

獲得隨機子集一次性簽名（HORS）［14］是一種較為經(jīng)典的一次性簽名方案，相較于其他經(jīng)典方案，其具有簽名長度短、簽名效率高的特點。它使用雙映射將消息映射到一個元素集合的唯一元素子集，消息長度必須不大于log2。即為私鑰，公鑰為對中的每個元素執(zhí)行單向哈希生成的集合，而元素子集為簽名。此處的雙映射可用單向哈希函數(shù)代替。

時間有效的一次性簽名在HORS的基礎(chǔ)上進行了改進，它只對消息摘要的前位進行簽名，減少了簽名長度。但這種方式會導致攻擊者的攻擊時間也隨之縮短，因為攻擊者只需找到合法消息的位部分哈希碰撞第二原像即可偽造惡意消息。為了解決該問題，由于攻擊者找到位哈希碰撞原像需要進行2次哈希計算，TV-HORS通過控制的大小來控制攻擊者找到哈希碰撞原像的時間，從而保證該簽名方案的安全性。其原理如圖1所示。TV-HORS的具體做法是發(fā)送端先指定一個簽名周期，并且只在該周期內(nèi)對消息進行簽名。接收端在收到消息簽名后，先計算簽名暴露的最長時長。如果這個時長大于攻擊者找到哈希第二碰撞原像的時間，則接收端將直接丟棄該消息，因為該消息有可能是攻擊者偽造的；相反，如果接收端計算的簽名暴露時長小于攻擊者的攻擊成功時間，則接收端接收該消息，并對其進行驗證。即簽名過程需滿足以下關(guān)系式

式中，為簽名周期，為攻擊者可以成功執(zhí)行攻擊的時間，為同步誤差，為發(fā)送端與接收端的最壞端到端時延。

該方案還有利于使用同一個密鑰進行多次簽名，降低密鑰的更新頻率。因為該方案限制了攻擊者只能在有限的時間內(nèi)找到哈希碰撞第二原像，所以只需保證簽名的暴露時間仍然遠遠小于攻擊者的攻擊時間，即可有效保證簽名的安全性。

為了進一步改善簽名的一次性，文中使用哈希鏈將多個密鑰串聯(lián)到一起，從而避免頻繁的密鑰分發(fā)。

1.1.2針對TSN的修改

在TSN中，數(shù)據(jù)的傳輸時間是確定的，周期性消息必須在其截止時間內(nèi)完成傳輸，最壞情況下也必須在其周期內(nèi)完成傳輸。因此，可以直接在選擇參數(shù)階段就保證攻擊者的攻擊時間不可能小于消息的暴露時間。

因為消息的暴露時長最長為其周期，所以只要使得攻擊者需要的成功時間遠遠大于消息的周期，即可保證信息的安全。由于使用同一密鑰對多個消息進行簽名時，簽名的暴露時長應(yīng)該增加相應(yīng)的倍數(shù)。那么，式（1）可改寫為

1.2　機制設(shè)計

1.2.1初始化

圖2　時間有效的一次性簽名方案

1.2.2簽署簽名

1.2.3驗證簽名

2　TSN的安全感知調(diào)度問題描述和數(shù)學模型

2.1　問題描述

TSN通過流量整形等機制保證網(wǎng)絡(luò)的確定性傳輸。TSN交換機出端口原理如圖3所示。在每個TSN交換機的出端口有8個優(yōu)先級隊列，每個隊列都有對應(yīng)的門來控制隊列中數(shù)據(jù)的傳輸。當門狀態(tài)為“開”時表示傳輸數(shù)據(jù)，門狀態(tài)為“關(guān)”時表示停止傳輸數(shù)據(jù)。TSN的交換機可以根據(jù)事先生成的門控列表（GCL）控制傳輸門的開關(guān)狀態(tài)。如圖3所示的GCL中，“T000：OCOOCOOO”即表示T000時刻8個隊列對應(yīng)的門的開關(guān)狀態(tài)。門控列表通過調(diào)度算法生成，從而使TSN能夠確定每個數(shù)據(jù)幀在交換機端口處的傳輸時間和順序，保證不同的幀在出口鏈路上依次傳輸而不發(fā)生沖突。

圖3　TSN交換機出端口原理

為了得到更好的調(diào)度結(jié)果，文中將運行在終端上的應(yīng)用任務(wù)與流量聯(lián)合調(diào)度，共同生成調(diào)度方案，從而使得流量的傳輸和任務(wù)的執(zhí)行相匹配，減少應(yīng)用的響應(yīng)時間，提高系統(tǒng)運行的效率。而在文中所研究的TSN安全感知調(diào)度中，安全機制的引入將會產(chǎn)生兩個方面的影響：一是安全機制需要進行簽名的簽署和認證，這會在終端增加安全任務(wù)，影響原本的任務(wù)調(diào)度；二是安全機制產(chǎn)生的簽名需要附加在原本的消息上，影響流的大小和傳輸時間。因此，本研究有必要在傳統(tǒng)的TSN調(diào)度問題的基礎(chǔ)上，充分考慮安全機制對調(diào)度的影響。

文中考慮以下調(diào)度問題：給定一個TSN網(wǎng)絡(luò)，其中終端通過支持TSN的以太網(wǎng)交換機進行連接，鏈路的傳輸速度確定。終端上運行著一組由任務(wù)組成的應(yīng)用，它們都有執(zhí)行時間、周期、截止時間等參數(shù)。任務(wù)間交換的消息稱為流，流有大小、周期、截止時間和是否需要進行簽名等參數(shù)。系統(tǒng)通過時間有效的一次性簽名機制提供消息源認證，該機制主要包括安全任務(wù)和簽名。調(diào)度算法在保證滿足所有任務(wù)和流的截止時間要求之外，還需要滿足所有流對安全認證的需求，并最小化應(yīng)用程序的總端到端時延。最后調(diào)度算法生成任務(wù)和流的調(diào)度表，確定每個任務(wù)和流的執(zhí)行開始時間和順序。

2.2　數(shù)學模型

2.2.1網(wǎng)絡(luò)模型

圖4　網(wǎng)絡(luò)拓撲示例圖

2.2.2通信模型

圖5　應(yīng)用超周期的示意圖

圖6　應(yīng)用示例

2.2.3安全模型

圖7　添加安全機制后的應(yīng)用示例

3　基于約束規(guī)劃的安全感知調(diào)度求解

3.1　決策變量

需要說明的是，流本身不在節(jié)點上傳輸，但安全任務(wù)的執(zhí)行必須在流的傳輸開始之前和傳輸結(jié)束之后，為了更加方便地描述安全任務(wù)和流傳輸、普通任務(wù)之間的順序，此處定義流在節(jié)點上的傳輸時間變量，實際上指的是安全任務(wù)的執(zhí)行時間變量。

3.2　調(diào)度約束

調(diào)度的主要對象是任務(wù)和流，但應(yīng)用本身也存在完成截止時間。因此，調(diào)度約束分為3個部分，分別是流、任務(wù)和應(yīng)用。

3.2.1流

在與路由路徑無關(guān)的鏈路和節(jié)點上，流相關(guān)的所有變量，包括傳輸開始時間、傳輸持續(xù)時間和傳輸結(jié)束時間均為0，即

在流路由路徑中的鏈路與節(jié)點上，流的傳輸結(jié)束時間為傳輸開始時間加上傳輸持續(xù)時間，即

在流的傳輸路由中的每一條鏈路上，流的傳輸持續(xù)時間為流的長度除以鏈路的傳輸速度。當流為普通流時，不需要安全機制。當流為安全流時，流的長度為流本身的長度加上安全機制增加的簽名長度，即

當流為安全流時，其在路由路徑的終端節(jié)點上的執(zhí)行時間為安全任務(wù)的執(zhí)行時間，即

必須保證每個流沿著路由路徑連續(xù)調(diào)度的順序。即在路由路徑上的兩條連續(xù)的鏈路之間，必須保證流在上一條鏈路中傳輸完成后，才能在下一條鏈路中傳輸，即

式（15）和式（16）保證的是安全任務(wù)和流的傳輸?shù)捻樞颉?/p>

3.2.2任務(wù)

對于每一個任務(wù)，其執(zhí)行結(jié)束時間為其執(zhí)行開始時間加上執(zhí)行時間，即

任務(wù)和其出流之間存在依賴關(guān)系：當任務(wù)執(zhí)行完畢之后，其產(chǎn)生的流才可以開始傳輸，即

任務(wù)和其入流之間存在依賴關(guān)系：當任務(wù)的所有入流都到達之后，任務(wù)才能開始執(zhí)行，即

3.2.3應(yīng)用

3.3　目標函數(shù)

針對不同的應(yīng)用場景，TSN的調(diào)度算法所注重的優(yōu)化目標各不相同。TSN中最重要的是保證低時延的確定性傳輸，因此時間性能的表現(xiàn)至關(guān)重要?？紤]到安全機制的加入會增加單個任務(wù)的執(zhí)行時間和流傳輸時間，導致應(yīng)用的總完成時間變長，易出現(xiàn)應(yīng)用端到端時延超出截止時間的情況。因此，為了提升應(yīng)用時間性能，提高方案可調(diào)度性，文中采用最小化所有應(yīng)用的端到端時延總和作為優(yōu)化目標，即

4　實驗結(jié)果與分析

為驗證文中提出的TSN安全感知調(diào)度方法，文中基于Python編程語言構(gòu)建了實驗代碼，并使用谷歌OR-Tools提供的CP-SAT［15］求解器對該問題進行求解。文中實驗均在一臺處理器為Intel Core i7-8700、內(nèi)存為48 GB的工作站上進行。

4.1　安全機制參數(shù)分析

為了最小化安全機制對調(diào)度的影響，文中先對安全機制的參數(shù)設(shè)計進行分析，為后續(xù)的調(diào)度選擇合適的參數(shù)。

圖8　哈希計算時間

根據(jù)圖8提供的攻擊者的攻擊時間和式（29），即可選擇合適的安全等級，并以此選擇合適的安全參數(shù)。

不同參數(shù)取值下任務(wù)的執(zhí)行時間和簽名長度如表1所示。在文中的實驗平臺上，一次哈希的計算時間大約為1 μs。根據(jù)文獻［13］，哈希鏈中的鹽長度為80位，SAGE長度為48位即可保證較好的安全性。

表1　不同參數(shù)取值下任務(wù)的執(zhí)行時間和簽名長度

Table 1　Task execution time and signature length with different values of parameters

θ 40913987117111792 419131 041123112392 42813976129112992 438131 029136113692 44713950143114392 45714909137113798 46614819144114498 47614860151115198 48614904158115898 49514791166116698 50514832174117498

4.2　實例測試與結(jié)果評估

4.2.1實例測試

表2　測試用例任務(wù)參數(shù)

Table 2　Task parameters of test case

任務(wù)ID執(zhí)行終端執(zhí)行時間/μs周期/μs截止時間/μs 2001 0001 000 2001 0001 000 2001 0001 000 2001 0001 000

表3　測試用例流參數(shù)

Table 3　Stream parameters of test case

流ID源任務(wù)目的任務(wù)長度/B周期/μs截止時間/μs安全流 5001 0001 0001 5001 0001 0001

最終任務(wù)和流的調(diào)度結(jié)果如圖9所示。其中流的路由路徑直接由最短路徑算法生成。

圖9　測試用例調(diào)度結(jié)果

從圖9可以看到，所有的約束條件都得到了滿足，流和任務(wù)兩兩之間沒有重疊，并且遵循一定的順序。所有流的傳輸和任務(wù)的執(zhí)行都在截止時間內(nèi)完成。故加入了安全機制后，應(yīng)用仍是可調(diào)度的。

此外，本實驗還比較了非安全感知調(diào)度方法（CP-NS）與文中所提出的安全感知調(diào)度方法（CP-S）的性能，結(jié)果如表4所示。

表4　測試用例調(diào)度結(jié)果比較

Table 4　Scheduling results comparison of test case

方法端到端時延/μs帶寬消耗/% CP-S7311.50 CP-NS5261.31

由表4可知，CP-S相較于CP-NS，端到端時延增加了205 μs。由于優(yōu)化目標為最小化端到端時延，端到端時延的增加已經(jīng)相對減少。CP-S帶寬消耗較CP-NS增加了0.19%，這是由于簽名的引入增加了帶寬消耗。

4.2.2安全機制的影響分析

為了評估文中所提出的基于時間有效的一次性簽名的TSN安全機制對調(diào)度的影響，文中從可調(diào)度性、端到端時延和帶寬消耗3個方面，對文中提出的安全感知調(diào)度方法、基于TESLA機制的安全感知調(diào)度方法（TESLA-S）［10］和不添加任何安全機制的非安全感知調(diào)度方法進行性能比較和分析。文中根據(jù)實際的工業(yè)環(huán)境生成了一組綜合應(yīng)用和網(wǎng)絡(luò)拓撲測試用例［8］。實際的工業(yè)和汽車控制系統(tǒng)一般由環(huán)型、網(wǎng)格型、樹型網(wǎng)絡(luò)構(gòu)成，本實驗將這幾種類型網(wǎng)絡(luò)隨機組合，生成不同規(guī)模的網(wǎng)絡(luò)拓撲。流大小在最大和最小以太網(wǎng)包大小之間隨機選擇，流周期在500、1 000、1 500 μs之間隨機選擇，任務(wù)大小在30～150 μs之間隨機選擇。鏈路的傳輸速度為1 000 Mb/s。選用的安全等級仍為40，簽名任務(wù)執(zhí)行時間為1 μs，驗證任務(wù)執(zhí)行時間為117 μs，簽名長度為92 B。測試用例（TC1-small、TC2-medium、TC3-large、TC4-huge）的網(wǎng)絡(luò)規(guī)模分為小型、中型、大型、巨大4種，每個測試用例的終端節(jié)點和交換機數(shù)量、任務(wù)和流數(shù)量都隨網(wǎng)絡(luò)規(guī)模擴大而增加，具體參數(shù)配置如表5所示。

表5　工業(yè)測試用例參數(shù)配置

Table 5　Parameter of industrial test cases

測試用例終端數(shù)交換機數(shù)任務(wù)數(shù)流數(shù) TC1_small42165 TC2_medium843212 TC3_large1686427 TC4_huge321612852

為了評估CP-S對可調(diào)度性的影響，3種不同調(diào)度方法下求解器的求解質(zhì)量如表6所示。求解器的最長求解時間為300 s。從表中可以看到，3種方法對于所有測試用例，求解器的求解質(zhì)量完全一致。這說明無論是CP-S還是TESLA-S，安全機制的添加對可調(diào)度性的影響并不大，并且CP-S與TESLA-S兩種安全感知調(diào)度方法在可調(diào)度性影響方面沒有差別。

表6　3種方法的求解質(zhì)量比較

Table 6　Comparison of solving quality among three methods

測試用例CP-STESLA-SCP-NS TC1_small可行解可行解可行解 TC2_medium可行解可行解可行解 TC3_large可行解可行解可行解 TC4_huge可行解可行解可行解

表7比較了不同網(wǎng)絡(luò)規(guī)模下CP-S、TESLA-S和CP-NS所有應(yīng)用的端到端時延總和。從表中可以看到，CP-S和TESLA-S的端到端時延總和總是大于CP-NS。這說明安全機制的添加總會增加應(yīng)用的端到端時延總和，因為安全機制引入的安全任務(wù)的執(zhí)行時間和安全認證信息的傳輸時間均會增加應(yīng)用的端到端時延。CP-S的應(yīng)用端到端時延總和略高于TESLA-S，但兩者之間的差距很小。由于TESLA機制采用對稱密鑰的方式進行驗證，故其驗證速度很快，與一般的對稱加密方式一致。而文中使用的基于時間有效的一次性簽名機制則使用非對稱密鑰的方式進行驗證，驗證速度較對稱加密方式慢。但從實驗結(jié)果看，相對于非安全感知調(diào)度方法，CP-S增加的端到端時延僅為TESLA-S的1.5倍。這說明文中所提方案與使用對稱加密方式的方案驗證速度接近，驗證速度較快。此外，隨著網(wǎng)絡(luò)規(guī)模的擴大，安全感知調(diào)度方法（CP-S、TESLA-S）與非安全感知調(diào)度方法（CP-NS）的差距越來越大。這和網(wǎng)絡(luò)中增加的安全流的數(shù)量有關(guān)?？傮w上看，CP-S的端到端時延總和比CP-NS平均增加了13.3%，可以認為文中提出的安全機制的添加對網(wǎng)絡(luò)產(chǎn)生的影響并不大。

表7　3種方法的端到端時延比較

Table 7　Comparison of end-to-end delay among three methods

方法端到端時延/μs TC1_smallTC2_mediumTC3_largeTC4_huge CP-S1 5482 8025 06210 512 TESLA-S1 4382 7534 9969 963 CP-NS1 3102 5604 7228 984

除了對端到端時延產(chǎn)生影響外，安全機制產(chǎn)生的簽名也會使流的大小發(fā)生變化，表8比較了不同網(wǎng)絡(luò)規(guī)模下CP-S、TESLA-S和CP-NS的帶寬消耗百分比。從表中可以看出，CP-S和TESLA-S的帶寬消耗總是大于CP-NS。這說明安全機制的添加總會增加帶寬消耗，因為安全機制引入的安全認證信息的傳輸會占用一定的傳輸帶寬。此外，隨著網(wǎng)絡(luò)規(guī)模的增大，帶寬消耗呈下降趨勢。這與網(wǎng)絡(luò)中的交換機與鏈路的增加有關(guān)。CP-S的帶寬消耗與CP-NS相近，平均僅增加5.8%。而TESLA-S相對于CP-NS的帶寬消耗平均增加了23.0%，是CP-S的3.9倍。TESLA機制除了需要為每一條流生成驗證信息外，還需要為每一條流發(fā)布密鑰。頻繁的密鑰發(fā)布引入了大量的安全認證信息，增加了帶寬消耗。相對而言，CP-S的帶寬消耗很低，因此文中提出的安全認證機制對流傳輸?shù)挠绊懞苄?。這對TSN有重要的意義，因為TSN中帶寬是非常重要的資源，盡量減少安全機制產(chǎn)生的認證信息對帶寬的占用，有利于保證TSN中其他流量的傳輸質(zhì)量。

表8　3種方法的帶寬消耗比較

Table 8　Comparison of bandwidth overhead among three methods

方法帶寬消耗/% TC1_smallTC2_mediumTC3_largeTC4_huge CP-S0.360.300.190.17 TESLA-S0.430.340.230.19 CP-NS0.350.280.190.15

5　結(jié)論

文中提出了一種面向TSN的安全感知調(diào)度方法。為保證關(guān)鍵信息的真實性，文中引入了時間有效的一次性簽名機制，并根據(jù)TSN的流量特性對該機制進行了修改。與其他安全機制相比，該機制具有驗證快、開銷小的特點。在此基礎(chǔ)上，文中針對該安全感知調(diào)度方案，分別對網(wǎng)絡(luò)拓撲、通信過程和安全機制進行數(shù)學建模，并使用約束規(guī)劃對該調(diào)度問題進行求解。仿真實驗結(jié)果表明，該安全機制的引入可以有效地提高系統(tǒng)的安全性，且不會給TSN調(diào)度帶來過多的額外開銷，其產(chǎn)生的端到端時延平均僅增加13.3%，帶寬消耗平均僅增加5.8%。

［1］ BELLO L L，STEINER W．A perspective on IEEE time-sensitive networking for industrial communication and automation systems［J］．Proceedings of the IEEE，2019，107（6）：1094-1120.

［2］ ASHJAEI M，BELLO L L，DANESHTALAB M，et al．Time-sensitive networking in automotive embedded systems：state of the art and research opportunities［J］．Journal of Systems Architecture，2021，117：102137/1-15.

［3］ CRACIUNAS S S，OLIVER R S，CHMELíK M，et al．Scheduling real-time communication in IEEE 802.1 Qbv time sensitive networks［C］∥ Proceedings of the 24th International Conference on Real-Time Networks and Systems．Brest：ACM，2016：183-192.

［4］ DüRR F，NAYAK N G．No-wait packet scheduling for IEEE time-sensitive networks （TSN）［C］∥ Proceedings of the 24th International Conference on Real-Time Networks and Systems．Brest：ACM，2016：203-212.

［5］ RAAGAARD M L，POP P．Optimization algorithms for the scheduling of IEEE 802.1 time-sensitive networking （TSN）［R/OL］．（2017-01-15）［2022-05-06］．https：//www2.compute.dtu.dk/～paupo/publications/Raagaard2017aa-Optimization%20algorithms%20for%20th-.pdf.

［6］ 張彤，馮佳琦，馬延瀅，等．時間敏感網(wǎng)絡(luò)流量調(diào)度綜述［J］．計算機研究與發(fā)展，2022，59（4）：747-764.

ZHANG Tong，F(xiàn)ENG Jiaqi，MA Yanying，et al．Survey on traffic scheduling in time-sensitive networking ［J］．Journal of Computer Research and Development，2022，59（4）：747-764.

［7］ ZHANG L，GOSWAMI D，SCHNEIDER R，et al．Task-and network-level schedule co-synthesis of Ethernet-based time-triggered systems［C］∥ Proceedings of the 19th Asia and South Pacific Design Automation Conference．Singapore：IEEE，2014：119-124.

［8］ CRACIUNAS S S，OLIVER R S．Combined task-and network-level scheduling for distributed time-riggered systems［J］．Real-Time Systems，2016，52（2）：161-200.

［9］ MAHFOUZI R，AMINIFAR A，SAMII S，et al．Security-aware routing and scheduling for control applications on Ethernet TSN networks［J］．ACM Transactions on Design Automation of Electronic Systems，2019，25（1）：1-26.

［10］ ZHAO R，QIN G，LYU Y，et al．Security-aware scheduling for TTEthernet-based real-time automotive systems［J］．IEEE Access，2019，7：85971-85984.

［11］ PERRIG A，CANETTI R，SONG D，et al．Efficient and secure source authentication for multicast［C］∥ Proceedings of 2001 Network and Distributed System Security Symposium．San Diego：Internet Society，2001：35-46.

［12］ REUSCH N，POP P，CRACIUNAS S S．Work-in-progress：safe and secure configuration synthesis for TSN using constraint programming［C］∥ Proceedings of 2020 IEEE Real-Time Systems Symposium．Houston：IEEE，2020：387-390.

［13］ WANG Q，KHURANA H，HUANG Y，et al．Time valid one-time signature for time-critical multicast data authentication［C］∥ Proceedings of IEEE INFOCOM 2009．Rio de Janeiro：IEEE，2009：1233-1241.

［14］ REYZIN L，REYZIN N．Better than BiBa：short one-time signatures with fast signing and verifying［C］∥ Proceedings of the 7th Australasian Conference on Information Security and Privacy．Melboume：Springer，2002：144-153.

［15］ Google．CP-SAT solver ［DB/OL］．（2022-03-05）［2022-05-06］．https：//developers.google.com/optimization/cp/cp_solver.

Security-Aware Scheduling Method for Time-Sensitive Networking

1211231

（1. School of Electronic and Information Engineering，South China University of Technology，Guangzhou 510640，Guangdong，China；2. School of Computer Science and Engineering，South China University of Technology，Guangzhou 510006，Guangdong，China；3. Information and Network Engineering and Research Center，South China University of Technology，Guangzhou 510640，Guangdong，China）

The authenticity of information is the key security factor of system in time-sensitive networking (TSN). However, the direct introduction of traditional security authentication mechanism will lead to a significant reduction in schedulability of the system. The existing methods still have the problems of few application scenarios and high resource consumption. To address this problem, a security-aware scheduling method for TSN was proposed. Firstly, based on the traffic characteristics of TSN, a time-efficient one-time signature security mechanism was designed to provide efficient multicast source authentication for messages. Secondly, the corresponding security model was proposed to evaluate the mechanism and describe the impact of the security mechanism on tasks and traffic. Finally, the proposed security-aware scheduling method was modeled mathematically. On the basis of traditional scheduling constraints, some constraints related to security mechanisms were added. At the same time, the optimization objective was to minimize the end-to-end delay of applications, and constraint programming was used to solve the problem. Simulation results show that the introduction of the improved one-time signature mechanism can effectively protect the authenticity of key information in TSN, and has limited impact on scheduling. In multiple test cases of different sizes generated based on real industrial scenarios, the average end-to-end delay and bandwidth consumption of the generated applications only increased by 13.3% and 5.8% respectively. Compared with other similar methods, this method consumes less bandwidth, thus more suitable for TSN networks with strict bandwidth restrictions.

time-sensitive networking；security；scheduling；constraint programming

Supported by the National Key R&D Program of China （2020YFB1805300）

10.12141/j.issn.1000-565X.220394

2022?06?22

國家重點研發(fā)計劃項目（2020YFB1805300）

陸以勤（1968-），男，博士，教授，博士生導師，主要從事新型網(wǎng)絡(luò)體系架構(gòu)、網(wǎng)絡(luò)安全研究。E-mail：eeyqlu@scut.edu.cn

程喆（1980-），男，博士生，主要從事計算機網(wǎng)絡(luò)、信息安全研究。E-mail：cszcheng@mail.scut.edu.cn

TP393

1000-565X（2023）05-0001-12