一种基于RSSP-II协议的时钟偏移预警方法与流程

本发明属于计算机网络安全技术领域，涉及一种基于rssp-ii协议的时钟偏移预警方法。

背景技术：

高铁无线网络通信的安全对于高铁行车安全至关重要。目前，我国高铁发展迅速，投入运营的ctcs-3级列车时速更是达到了300-350km/h，在如此高速的行驶过程中，列车在正常通信时对数据包的时效性要求很高。所以，在rssp-ii协议的安全层要求两个设备在时钟偏移更新的过程中(由两个设备之间5条消息的交换组成)通过tts(三重时间戳)确定两个设备之间的时钟偏移估算值，这样就能够以一种安全的方式估算应用数据的时间有效性。

在高铁列车在进行时钟偏移更新的会话过程中，攻击者通过篡改时钟偏移更新的时间戳的值，来扰乱设备之间的时钟偏移更新过程，使得最后确定的时钟偏移估算值出现很大的偏差，也就无法准确的估算应用数据的时间有效性，有可能致使接受到的时间有效的数据包被错误的当做“过期”的数据包而被丢弃，影响高铁的正常通信。

为此需要一种对正常时钟偏移量进行数据拟合，找到时钟偏移量的浮动范围，若数据时钟偏移量非正常的超出其浮动范围，则认为数据包的三重时间戳遭到了恶意的篡改，对这种可能存在的恶意篡改数据包的三重时间戳进而影响正常通信的行为实施预警方法来应对防范它，避免给高铁的通信业务造成更大的破坏。

技术实现要素：

本发明的目的是提供一种基于rssp-ii协议的时钟偏移预警方法，该方法能够在高铁无线通信时对消息时效性的攻击起到一定的防护预警作用。

本发明所采用的技术方案是，一种基于rssp-ii协议的时钟偏移预警方法，具体包括如下步骤：

步骤1，采集高铁正常通信中时钟更新过程中的数据包；

步骤2，根据步骤1采集到的数据包计算通讯过程中的发送方和应答方的时钟偏移量；

步骤3，通过数据拟合，获取步骤2所得时钟偏移量关于时间t的分布曲线，

步骤4，根据步骤3得到的分布曲线寻找时钟偏移量的极值范围；

步骤5，根据步骤4得到的时钟偏移量的的极值范围，在随后的时钟偏移更新会话通信过程中，计算出新的时钟偏移量δt1，如果δt1不在步骤4所得时钟偏移量δt的极值范围内，则认定该次通信时间戳遭到了恶意的篡改；

步骤6，开启预警机制。

本发明的特点还在于，

步骤2的具体过程如下：

1)计算发起方的时钟偏移量；

设发起方的最大时钟偏移量为δtmax，发起方的最小时钟偏移量为δtmin，第一次消息交互时发起方发送消息时的时间戳t1，第一次消息交互时应答方接收发起方消息时的时间戳t2，第一次消息交互时应答方发送消息时的时间戳t3，第一次消息交互时发起方接收应答方消息时的时间戳t4；

δtmax＝t4-t3(1)；

δtmin＝t1-t2(2)；

2)计算接收方的时钟偏移量；

设接收方的最大时钟偏移量为δt'max，接收方的最大时钟偏移量为δt'min，第二次消息交互时发送方发送消息时的时间戳t5；第二次消息交互时应答方收到消息时的时间戳t6；

δt'max＝t6-t5(3)；

δt'min＝t3-t4(4)。

步骤3的具体过程如下：

步骤3.1，将步骤2计算的时钟偏移量导入excel中进行数据处理；

步骤3.2，选择变量x、y；

其中x为变量，y为采集时钟偏移更新会话的次数；

步骤3.3，在excel中，选择平滑曲线smoothingspline类型的曲线，拟合出时钟偏移量关于时间t的分布曲线。

步骤4的具体过程如下：

步骤4.1，根据步骤3所得拟合曲线，在选定区域内由左至右找到第一个，第二个极值点，并把极值依次赋值给tmax,tmin；

步骤4.2，取每一次遍历的极值点的极值分别与tmax,tmin进行比较，若该极值点极值小于tmin,则把该极值点的极值赋给tmin；若该极值点极值大于tmax，则把该极值点的极值赋给tmax，若该极值点极值大于tmin且小于tmax，则继续遍历后面极值点；

步骤4.3，将所有的极值点遍历结束后，则得到时钟偏移量离散曲线的极值范围为(tmin，tmax)。

步骤6的具体过程如下：

步骤6.1，通知该通信区域安全人员立刻去检测问题设备的工作状态，检测是否已经被恶意攻击者入侵并控制；

步骤6.2，在gsm-r专属无线网络中，通过广播的形式将设备的异常情况以及设备编号告知该通信区域内所有的通信设备，警戒目标通信设备；

步骤6.3，在该通信区域的其他通信设备将收到的目标设备发送的通信数据包进行过滤或丢弃。

本发明的有益效果是，本发明提供的预警方法，通过对时钟偏移更新数据的采集拟合，对恶意篡改数据戳信息，导致时钟偏移更新失效，进而影响车地通信正常数据包的时效的攻击采取预警机制。

附图说明

图1是本发明一种基于rssp-ii协议的时钟偏移预警方法中钟偏移量关于时间t的分布曲线。

具体实施方式

下面结合附图和具体实施方式对本发明进行详细说明。

本发明一种基于rssp-ii协议的时钟偏移预警方法，具体包括如下步骤：

步骤1，采集高铁正常通信中时钟更新过程中的数据包；

步骤2，根据步骤1采集到的数据包计算通讯过程中的发送方和应答方的时钟偏移量；

步骤2的具体过程如下：

1)计算发起方的时钟偏移量；

设发起方的最大时钟偏移量为δtmax，发起方的最小时钟偏移量为δtmin，第一次消息交互时发起方发送消息时的时间戳t1，第一次消息交互时应答方接收发起方消息时的时间戳t2，第一次消息交互时应答方发送消息时的时间戳t3，第一次消息交互时发起方接收应答方消息时的时间戳t4；

δtmax＝t4-t3(1)；

δtmin＝t1-t2(2)；

2)计算接收方的时钟偏移量；

设接收方的最大时钟偏移量为δt'max，接收方的最大时钟偏移量为δt'min，第二次消息交互时发送方发送消息时的时间戳t5；第二次消息交互时应答方收到消息时的时间戳t6；

δt'max＝t6-t5(3)；

δt'min＝t3-t4(4)。

步骤3，通过数据拟合，获取步骤2所得时钟偏移量关于时间t的分布曲线；

步骤3的具体过程如下：

步骤3.1，将步骤2计算的时钟偏移量导入excel中进行数据处理；

步骤3.2，选择变量x、y；

其中x为变量，y为采集时钟偏移更新会话的次数；

步骤3.3，在excel中，选择平滑曲线smoothingspline类型的曲线，拟合出时钟偏移量关于时间t的分布曲线，如图1所示。

步骤4，根据步骤3得到的分布曲线寻找时钟偏移量的极值范围；

步骤4的具体过程如下：

步骤4.1，根据步骤3所得拟合曲线，在选定区域内由左至右找到第一个，第二个极值点，并把极值依次赋值给tmax,tmin；

步骤4.2，取每一次遍历的极值点的极值分别与tmax,tmin进行比较，若该极值点极值小于tmin,则把该极值点的极值赋给tmin；若该极值点极值大于tmax，则把该极值点的极值赋给tmax，若该极值点极值大于tmin且小于tmax，则继续遍历后面极值点；

步骤4.3，将所有的极值点遍历结束后，则得到时钟偏移量离散曲线的极值范围为(tmin，tmax)。

步骤5，根据步骤4得到的时钟偏移量的的极值范围，在随后的时钟偏移更新会话通信过程中，计算出新的时钟偏移量δt1，如果δt1不在步骤4所得时钟偏移量δt的极值范围内，则认定该次通信时间戳遭到了恶意的篡改；

步骤6，开启预警机制。

步骤6的具体过程如下：

步骤6.1，通知该通信区域安全人员立刻去检测问题设备的工作状态，检测是否已经被恶意攻击者入侵并控制；

步骤6.2，在gsm-r专属无线网络中，通过广播的形式将设备的异常情况以及设备编号告知该通信区域内所有的通信设备，警戒目标通信设备；

步骤6.3，在该通信区域的其他通信设备将收到的目标设备发送的通信数据包进行过滤或丢弃。