专利名称:时间消息处理方法、装置及系统的制作方法
技术领域:
本发明实施例涉及同步技术领域,尤其涉及一种时间消息处理方法、装置及系统。
背景技术:
通信网络一直都有时间同步或频率同步的需求,目前可以采用两种方式进行时间同步或频率同步网络时间协议(Network Time Protocol,简称NTP)和PTP协议。PTP是 IEEE1588V2的简称,IEEE1588V2是IEEE协会提出的分组网中解决频率同步的协议,其全称是“网络测量和控制系统的精密时钟同步协议标准(Precision clock synchronization protocol fornetworked measurement and control systems) ”。以 3GPP 长期演进项目 (LongTerm Evolution,简称LTE)网络为例,由于用户终端(User Equipment,简称UE)要在基站之间相互切换,所以要求基站和基站之间保持同步,在频率双工(Frequency Division Duplex,简称FDD)模式下,需要基站之间保持频率同步,PTP和NTP都可以支持频率同步。NTP是用于互联网中时间同步的标准互联网协议。NTP的用途是把计算机的时间同步到某些时间标准。时间同步是将网络上各种通信设备或计算机设备维持的时间信息的偏差限定在足够小的范围内(如100ms),这种过程叫做时间同步。当采用IEEE1588V2来进行基站(eNB)和时钟服务器之间的时间同步时,eNB与时钟服务器之间通常有两种连接方式一种是eNB直接与时钟服务器建立互联网安全协议 (Internet protocol security, IPsec) 3 ,另—禾中: eNB(Security (Gateway,简称SGW)与时钟服务器建立II^sec连接。现有技术中,当系统采用If3Sec技术对PTP进行时间同步或频率同步的保护时,时间消息的接收端接收到时间消息后,无法确定该时间消息是否是事件消息。
发明内容
本发明实施例提供一种时间消息处理方法、装置及系统,用以解决现有技术中时间消息的接收端接收到时间消息后无法确定该时间消息是否是事件消息的问题。本发明实施例提供了一种时间消息处理方法,包括接收发送端发送的时间消息;根据所述时间消息中的标识信息,确定所述时间消息是否是事件消息;其中,所述标识信息为所述发送端通过未经过互联网安全协议加密的域携带的信息。本发明实施例还提供了一种时间消息处理方法,包括在经过互联网安全协议加密的时间消息中携带标识信息,其中,所述标识信息为通过所述时间消息中未经过互联网安全协议加密的域携带;发送所述时间消息。本发明实施例还提供了一种接收方时间消息处理装置,包括接收模块,用于接收时间消息;确定模块,用于根据所述接收模块接收到的时间消息中未经过互联网安全协议加密的域携带的标识信息,确定所述接收模块接收到的时间消息是否是事件消息。本发明实施例还提供了一种发送方时间消息处理装置,包括携带模块,用于在经过互联网安全协议加密后的时间消息中携带标识信息,所述标识信息通过所述时间消息中未经过互联网安全协议加密的域携带;发送模块,用于把经过所述携带模块处理后的时间消息发送。本发明实施例还提供了一种时间消息处理系统,包括如前所述的发送方时间消息处理装置和接收方时间消息处理装置。本发明实施例提供的方法、装置及系统中,在时间消息的未经IPsec加密的域中携带有标识信息,时间消息的接收端接收到时间消息后,无需解密,直接可以根据该标识信息确定该时间消息是否是事件消息。从而解决了时间消息的接收端无法确定收到的时间消息是否是事件消息的问题。
图1所示为本发明时间消息处理方法实施例一的流程图;图2所示为本发明时间消息处理方法实施例二的流程图;图3所示为一种AAD格式示意图;图4所示为另一种AAD格式示意图;图5所示为携带有时间戳的AAD格式示意图;图6所示为增加了算法标识的AAD格式示意图;图7所示为本发明时间消息处理方法实施例三的流程图;图8所示为eNB与时钟服务器之间进行时间同步的流程图;图9所示为本发明实施例中的时间戳处理方法示意图;图10所示为携带了消息标识信息后的ESP头格式示意图;图11所示为携带了时间戳之后的ESP头格式示意图;图12所示为本发明时间消息处理方法实施例四的流程图;图13所示为具有子格式的ESP头示意图;图14所示为携带有时间戳的具有子格式的ESP头示意图;图15所示为本发明时间消息处理方法实施例五的流程图;图16所示为携带有时间戳的一种IPv6扩展头格式示意图;图17所示为携带有时间戳的另一种IPv6扩展头格式示意图
图18所示为本发明时间消息处理方法实施例六的流程图;图19所示为本发明时间消息处理方法实施例八的流程图;图20所示为本发明时间消息处理方法实施例九的流程图;图21所示为本发明时间消息处理方法实施例十的流程图;图22所示为本发明时间消息处理方法实施例十一的流程图;图23所示为本发明时间消息处理方法实施例十二的流程图;图M所示为本发明发送方时间消息处理装置实施例的结构示意图;图25所示为本发明接收方时间消息处理装置实施例的结构示意图。
具体实施例方式在本发明实施例中是以PTP为例说明通过IPsec保护时间同步时安全处理的方法,但其中事件消息不局限在PTP事件消息,即不局限在PTP中的事件消息协议,还可以是如NTP等所有满足条件的承载了时间信息的协议中的事件消息。下面详细说明本发明实施例的实现方式,主要以eNB直接与时钟服务器建立 IPsec连接和eNB通过SGW与时钟服务器建立II^sec连接这两种场景为例来介绍。场景一、eNB通过SGW与时钟服务器建立II^sec连接如图1所示为本发明时间消息处理方法实施例一的流程图,包括步骤101、接收发送端发送的时间消息。在本发明的实施例中,时间消息是系统用于进行时间同步或频率同步的消息。发送端可以是SGW或者eNB。对于eNB直接与时钟服务器建立II^sec连接的情况,发送端可以是时钟服务器或者 eNB。步骤102、根据接收到的时间消息中的标识信息,确定接收到的时间消息是否是事件消息。该标识信息是发送端通过未经II3sec加密的域携带的信息。标识信息至少可以包括时间戳、用户数据包协议(User DatagramProtocol,简称 UDP)端口号和消息类型中的一种。在步骤102中,具体可以根据时间戳、UDP端口号和消息类型等信息确定接收到的时间消息是否是事件消息。例如如果时间消息的标识信息包括时间戳,则时间消息的接收端可以确定时间消息是事件消息。或者,如果时间消息的标识信息包括预先设定的UDP端口号,则时间消息的接收端可以确定时间消息是事件消息。时间消息的发送端和接收端可以事先协商,设定事件消息对应的UDP端口号有哪些,例如可以设定UDP端口号319和320是与事件消息对应的UDP 端口号。那么,时间消息的接收端接收到时间消息后,发现该时间消息未经加密的域中的 UDP端口号为319,则可以确定该时间消息为事件消息。或者,如果时间消息的标识信息包括预先设定的消息类型,则时间消息的接收端确定时间消息是事件消息。时间消息的发送端和接收端可以事先协商,设定事件消息对应的消息类型。时间消息的接收端接收到时间消息后,发现该时间消息未经加密的域中的消息类型为预先设定的消息类型,则可以确定该时间消息为事件消息。该实施例中,在时间消息的未经msec加密的域中携带有标识信息,时间消息的接收端接收到时间消息后,无需解密,直接可以根据该标识信息确定该时间消息是否是事件消息。从而解决了时间消息的接收端无法确定收到的时间消息是否是事件消息的问题。在如图1所示实施例的技术方案的基础上,还可以包括如果接收到的时间消息是事件消息,则获取当前时刻,将当前时刻作为接收到时间消息的时刻。该实施例中,在步骤102中确定接收到的时间消息是否是事件消息,如果接收到的时间消息是事件消息,则获取当前时刻,将当前时刻作为接收到时间消息的时刻,而不是对所有接收到的时间消息都获取其接收时刻。在接收到时间消息后,根据标识信息确定时间消息是否是事件消息,所需的时间极短,因此,确定接收到的时间消息是事件消息后,立即获取当前时刻,将当前时刻作为接收到时间消息的时刻,获取到的当前时刻近似于时间消息的实际接收时刻,能够满足后续进行频率同步或时间同步的精度要求。这样,就无需对所有接收到的时间消息获取接收时刻,而只是需要获取事件消息的接收时刻,减少了存储和维护时间消息的接收时刻所需的资源,从而提高网络性能。在前述实施例的技术方案的基础上,还可以包括如果接收到的时间消息不是事件消息,则可以不获取当前时间,即无需获取该时间消息的接收时刻,以减少存储和维护时间消息的接收时刻所需的资源,提高网络性能。或者,接收到消息后,短暂记录所有时间消息的接收时间。确定是事件消息后,对于不是事件消息的接收时间立即丢弃,这样保证了接收时间的精度,同时减少了当时间消息不是事件消息时存储和维护接收时刻所需的资源,从而提高网络性能。在本发明的实施例中,还可以对接收到的时间消息进行完整性校验,也可以对时间消息中的标识信息进行完整性校验。具体可以包括,在确定时间消息是事件消息之后,且在获取当前时刻之前,对时间消息中的标识信息进行完整性校验。或者,在接收发送端发送的时间消息之后,确定时间消息是否是事件消息之前,对时间消息中的标识信息进行完整性校验。在确定所述时间消息是事件消息之后,且在获取当前时刻之前,采用与时间消息的发送端对时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对时间消息进行完整性校验。或者,在接收发送端发送的时间消息之后,确定时间消息是否是事件消息之前,采用与时间消息的发送端对时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对时间消息进行完整性校验。在本发明的各实施例中,未经IPsec加密的的域可以包括附加认证数据 (Additional Authentication Data,简禾尔 AAD)、安全封装载荷(EncapsulatingSecurity I^yload,简称ESP)头或者互联网协议版本6 (IPv6)扩展头中携带。如图2所示为本发明时间消息处理方法实施例二的流程图,包括步骤201、在经过II^sec加密的时间消息中携带标识信息,该标识信息通过时间消息中未经过IPSec加密的域携带。步骤202、发送时间消息。在本发明的各实施例中,标识信息是未经IPsec加密的明文,可以通过时间消息中的AAD、ESP头或者IPv6扩展头这些未经II^sec加密的域携带。在本发明以下的实施例中,以标识信息是时间戳为例来介绍。1、在AAD中携带未经II^sec加密的标识信息如图3所示为一种AAD格式示意图,如图4所示为另一种AAD格式示意图。在AAD 中,索弓 I 号(security parameter index,简称 SPI)禾口序列号(Sequence Number,简称 SQN) 是RFC4303中ESP载荷包含的内容,用于识别安全关联和抗重放保护。SQN是32位,也可以扩展为64位。类型(Type)域表示AAD中未经IPsec加密的标识信息的类型,长度(Length) 域表示AAD中未经II^sec加密的标识信息的长度。可以通过一个字节的全0或全1来标识携带有标识信息的AAD与没有携带标识信息的其他AAD的区别,或者可以直接定义一种新的AAD格式。如图5所示为携带有时间戳的AAD格式示意图,该AAD是在如图4所示的AAD格式的基础上增加了时间戳域,还增加了抗重放计数器(R印laycoimter)和时间戳完整性校CN 102347831 A
说明书
5/13 页
验值(Timestamp Integrity Check Value-ICV)域。为了保证时间戳在传输的过程中不被篡改,需要对时间戳进行完整性保护,其中可以包含增加的其他信息,如全0或全1、长度等信息。可以将II^sec协商的算法作为时间戳完整性校验算法,或者可以在AAD中增加一个域来携带所使用的完整性校验算法,例如校验算法可以是使用SHAl哈希函数计算基于哈希值的消息验证代码(HMAC-SHA1)、使用 SHA256哈希函数计算基于哈希值的消息验证代码(HMAC-SHA256)等算法,或者可以在AAD 中携带算法标识(Algorithm ID)。如图6所示为增加了算法标识的AAD格式示意图。根据所确定的完整性校验算法和密钥,可以计算出时间戳的ICV。具体包括发送端以所确定的密钥和AAD中除了 ICV以外的内容作为输入,通过所确定的完整性算法计算摘要,将计算出的摘要放在ICV中。在计算之前,将ICV清零。接收端使用同样的完整性校验算法和密钥计算摘要,并将计算结果与接收到的消息中的ICV比较。如果结果二者一致, 则时间戳完整性校验通过,否则说明时间戳已被修改,接收端发送错误指示或者将接收到的消息丢弃。或者也可以采用其他的时间戳完整性校验方法,例如可以采用一些非密钥验证方法。也可以采用与时间戳完整性校验类似的方法,对其他标识信息进行完整性校验。图5和图6中,时间戳(Timestamp)可以包括两个子域 Timestamp(secondsField)域禾口 Timestamp(nanosecondsField)域。 这两个子域都是可选的(optional)。当需要携带时间戳时,在AAD中可以包括这两个子域。 Timestamp (secondsField)域是 32 位的无符号整形数,Timestamp (nanosecondsField) 域在IEEE1588V2协议中定义为48为的无符号整形数。也可以将 Timestamp (nanosecondsField)域定义为 64 位。算法标识(Algorithm ID)域是所采用的完整性校验算法的标识,该域的位置可以不限于如图6所示的位置。时间戳完整性校验值(Timestamp Integrity Check Value)字段是所使用的ICV 的值。如图7所示为本发明时间消息处理方法实施例三的流程图,该实施例中通过消息中的AAD来携带未经msec加密的标识信息,具体包括步骤301、时钟服务器对消息进行IP层处理,在该消息上添加IP头和UDP头,然后再进行MAC层处理,为该消息添加MAC头,在进行PHY层处理之前,将消息的发送时刻Tl携带在消息中。步骤302、时钟服务器以明文方式将消息发送给SGW。步骤303、SGW从接收到的消息中提取出Tl,或者从接收到的消息中复制出Tl。步骤304、SGff将Tl携带在消息的未经II^sec加密的AAD中,对Tl进行完整性保护,g卩,计算出时间戳Tl的ICV放在时间戳完整性校验值域中,再对该消息进行完整性保护,即计算出该消息的校验值,如图7中IPsec. ICV字段。该步骤中,IPsec. ICV是完整性校验值(IPsec Integrity CheckValue)的简称。SGW从接收到的消息中提取出Tl,把Tl携带在AAD中,带宽不变,但是破坏了消息的完整性。如果SGW从接收到的消息中复制出Tl,则不会破坏消息的完整性,但是增加了带宽。这两种获取Tl的方式各有优缺点。步骤305、SGff将消息进行MAC层处理,为该消息添加MAC头。步骤306、SGff将消息发送给eNB。步骤307、eNB从接收到的消息中未经II^sec加密的AAD确定该消息是否是事件消息,如果该消息是事件消息,则根据AAD中的信息以及IP包进行时间戳完整性校验或消息完整性校验,获取当前时刻T2和消息中的发送时刻Tl,把当前时刻T2作为接收到消息的时刻。eNB也可以在接收到时间消息后,在确定时间消息是否是事件消息之前,对该时间消息进行时间戳完整性校验以及消息完整性校验。时间戳完整性校验和消息完整性校验通过后,eNB可以根据T2和Tl与时钟服务器进行频率同步以及时间同步。如图9所示为本发明实施例中的时间戳处理方法示意图,当消息通过节点内的协议栈时,通过协议栈定义的点时产生时间戳,这个点可以位于应用层(如图9中A点所示), 或者在内核或中断服务程序(如图9中B点所示),或者协议栈的物理层(PHY层)(如图9 中C点所示)。这个点越靠近物理层,由穿越下一层带来的延时抖动引起的定时误差就越小。为了保证时间精度,1588v2协议推荐在PHY层和MAC层之间的位置打入时间戳。如图7所示的实施例中,消息标识信息携带在消息AAD中,eNB接收到消息后即可以确定该消息是否是事件消息,当该消息是事件消息时,获取当前时刻,将当前时刻作为该消息的接收时刻,而不是获取所有消息的接收时刻,这样就提高了网络性能。2、在ESP头中携带未经msec加密的消息标识信息ESP头包括SPI和SQN两个字段,受到完整性保护,不属于II^sec加密保护的范围。可以在ESP头中携带标识信息。携带了标识信息的ESP头需要与通常使用的ESP头相区分,可以通过一个全0字节、全1字节等各种特定标识来标识一个携带了标识信息的ESP头。由于标识信息除了可以是时间戳之外,还可以是UDP端口号和消息类型等其他标识,因此可以在ESP头的扩展字段中定义类型(Type)、长度(Length)和认证数据 (AuthenticationPayload)这几个域。如图10所示为携带了消息标识信息后的ESP头格式示意图,其中,类型(Type)域可以包括4或8比特,例如,可以将时间戳的类型记为UType = 1。长度(Length)标识受到时间戳完整性保护而没有受到加密保护的内容的长度,增加该域可以更加明确标识出明文的范围,该域可以包括8或16比特。认证数据(Authentication Payload)中包含认证数据的值(例如时间戳)、认证算法或标识以及时间戳完整性校验值。从载荷数据(Payload Data)到下一个头(Next Header)之间的内容是原ESP载荷中受到加密保护的内容。如图11所示为携带了时间戳之后的ESP头格式示意图,其中,类型(Type)字段的取值为1,即Type = 1,时间戳(Timestamp)域的两个子域secondsField域和 nanosecondsField域分别包括32比特和10个字节,算法或算法标识字段包括16比特或 32比特,时间戳完整性校验值(Timestamphtegrity Check Value-ICV)(可选的)与具体的完整性校验算法有关。如图12所示为本发明时间消息处理方法实施例四的流程图,该实施例中通过在消息中的ESP头来携带未经msec加密的标识信息,具体包括
步骤501-503分别与步骤301-303相同。步骤504、SGW将Tl携带在消息的未经II^sec加密的ESP头中。步骤505、SGff将消息进行MAC层处理,为该消息添加MAC头。步骤506、SGff将消息发送给eNB。步骤507、eNB从接收到的消息中未经II^sec加密的ESP头确定该消息是否是事件消息,如果该消息是事件消息,则根据ESP头中的信息以及IP包进行时间戳完整性校验和消息完整性校验。eNB也可以在接收到时间消息后,在确定时间消息是否是事件消息之前, 对该时间消息进行时间戳完整性校验以及消息完整性校验。如图12所示的实施例中,标识信息携带在消息的ESP头中,eNB接收到消息后即可以确定该消息是否是事件消息,当该消息是事件消息时,获取当前时刻,将获取到的当前时刻作为该消息的接收时刻,而不是获取所有消息的接收时刻,这样就提高了网络性能。3、在具有子格式的ESP头中携带未经msec加密的标识信息如图13所示为具有子格式的ESP头示意图,该ESP头包括可变的AAD(flexiable AAD)和加密部分(Encrypted Part),可变的AAD定义的内容包括SPI、SQN、类型(Type)、 长度(Length)、认证载荷(Authentication Payload),加密部分包括载荷数据(Payload Data)、填充(Padding)、填充长度(Padlength)、下一个头(Next Header),这些都来自 ESP 载荷。最后是时间戳完整性校验值(Timestamp Integrity Check Value-ICV)。当Type = 1时,消息标识信息为时间戳。如图14所示为携带有时间戳的具有子格式的ESP头示意图。对于该ESP头,当处理SPI和SQN以外,没有其他扩展内容时,类型(Type)域的值设为最大值或无效(置为全1),长度(Length)域取值为全0,认证载荷 (Authentication Payload)域长度为0(也可以将类型(Type)域设置为全0或其他特殊标识方法)。当有其他消息标识信息时,类型(Type)域和长度(length)域可以取值为非0 值。如图15所示为本发明时间消息处理方法实施例五的流程图,该实施例中通过消息中的具有子格式的ESP头来携带未经msec加密的类型标识,具体包括步骤601-603分别与步骤301-303相同。步骤604、SGW将Tl携带在消息的未经II^sec加密的具有子格式的ESP头中。步骤605、SGff将消息进行MAC层处理,为该消息添加MAC头。步骤606、SGff将消息发送给eNB。步骤607、eNB从接收到的消息中未经II^sec加密的具有子格式的ESP头确定该消息是否是事件消息,如果该消息是事件消息,则根据具有子格式的ESP头中的信息以及IP 包进行时间戳完整性校验和消息完整性校验,获取当前时刻T2,将当前时刻T2作为该消息的接收时刻。eNB也可以在接收到时间消息后,在确定时间消息是否是事件消息之前,对该时间消息进行时间戳完整性校验以及消息完整性校验。如图15所示的实施例中,标识信息携带在具有子格式的ESP头中,eNB接收到消息后即可以确定该消息是否是事件消息,当该消息是事件消息时,获取当前时刻,将当前时刻作为该消息的接收时刻,而不是获取所有消息的接收时刻,这样就提高了网络性能。4、在IPv6扩展头中携带未经msec加密的标识信息RFC2460对IPv6定义了多种扩展头,这些扩展头分别提供多种应用的支持,停驶也为扩展新的应用提供了可能。所有的IPv6扩展头都包括一个“下一个头(Next Header),, 域,在IPv6数据包中,扩展头被放置在IPv6头与上层的头之间,每一个扩展头由上一个头中的“下一个头(Next Header)”域唯一标识。除了 Hop by Hop header之外,所有的扩展头会在消息到达节点时才处理。目的节点根据每一个扩展头的内容和语义,决定是否处理下一个扩展头,目的节点必须按照扩展头的顺序处理这些头。RFC2460中,当多个扩展头被使用时,扩展头的顺序为IPv6头、Hop byHop options 头、目的选择头(Destination Options header)、路由头(Routingheader)、片段头(Fragment header)、认证头(Authentication header)、ESP 头、上层头(upper-layer header)。如图16所示为携带有时间戳的一种IPv6扩展头格式示意图,其中下一个头(Next header)域标识携带有时间戳IPv6扩展头的下一个载荷类型。扩展头可以包括下一个头(Next header)、载荷长度(Payload Length)、 可选类型值(Option Type) > 保留域(Reserved)、Timestamp (secondsField)与 Timestamp (nanosecondsField)、重放计数器(Replay Counter)和 ICV 等域。可选类型值(Option Type)域标识消息标识信息的类型,如果携带了时间戳,则该域的值可以取值为1。保留域(Reserved)在没有使用时,全部设置为O。时间戳(Timestamp)域包括两个子域:Timestamp (secondsField)域和 Timestamp (nanosecondsField)域。这两个子域都是可选的(optional)。当需要携带时间戳时,在IPv6扩展头中可以包括这两个字段。Timestamp (secondsField)域是32位的无符号整形数,Timestamp (nanosecondsField)域在IEEE1588V2协议中定义为48为的无符号整形数。也可以将Timestamp (nanosecondsField)域定义为64位。重放计数器域(Iteplay Counter)是一个单向的计数器,用于抗重放的功能。为了使得携带的时间戳只进行完整性保护而不被msec加密,从而使得接收端能够通过未被II3sec加密的时间戳识别出消息为时间消息。所以可以将带有时间戳的IPv6 扩展头放置在ESP头之前。如图17所示为携带有时间戳的另一种IPv6扩展头格式示意图,与图16所示的格式相比,图17中增加了认证载荷(Authentication payload)域。认证载荷 (Authentication Payload)域携带有完整性校验算法或算法标识。如图18所示为本发明时间消息处理方法实施例六的流程图,该实施例中通过消息中的IPv6扩展头来携带未经msec加密的标识信息,具体包括步骤701-703分别与步骤301-303相同。步骤704、SGff为该消息添加II3Sec头。步骤705、SGff将消息进行MAC层处理,为该消息添加MAC头,并将Tl携带在该消息的未经II3Sec加密的IPv6扩展头中。 步骤706、SGff将消息发送给eNB。 步骤707、eNB从接收到的消息中未经II^sec加密的IPv6扩展头确定该消息是否是事件消息,如果该消息是事件消息,则根据IPv6扩展头中的信息以及IP包进行时间戳完整性校验,记录接收到该消息的时刻T2。eNB也可以在接收到时间消息后,在确定时间消息
12是否是事件消息之前,对该时间消息进行时间戳完整性校验。如图18所示的实施例中,消息标识信息携带在消息IPv6扩展头中,eNB接收到消息后即可以确定该消息是否是事件消息,当该消息是事件消息时,获取当前时刻,将当前时刻作为该消息的接收时刻,而不是获取所有消息的接收时刻,这样就提高了网络性能。场景二、eNB直接与时钟服务器建立II^sec连接在本发明的各实施例中,消息标识信息是未经IPsec加密的明文,可以携带在 AAD、ESP头或者IPv6扩展头中。如图19所示为本发明时间消息处理方法实施例八的流程图,包括步骤901、时钟服务器将消息进行IP层处理,为待发送的消息添加IP头和UDP头, 对消息进行II3Sec加密和消息完整性保护。步骤902、时钟服务器将Tl携带在未经过II^sec加密的AAD中,并对该消息进行标识信息完整性保护。步骤903、时钟服务器把消息发送给eNB。步骤904、eNB接收消息后,根据消息中未经II^sec加密的AAD确定该消息是否是是事件消息,如果该消息是事件消息,则根据AAD中的信息以及IP包进行时间戳完整性校验和消息完整性校验,获取当前时刻T2。eNB也可以在接收到时间消息后,在确定时间消息是否是事件消息之前,对该时间消息进行时间的或的完整性校验以及消息完整性校验。AAD的格式可以如图5或6所示。如图20所示为本发明时间消息处理方法实施例九的流程图,包括步骤1001、时钟服务器将消息进行IP层处理,为待发送的消息添加IP头和UDP 头,对消息进行II3sec加密和消息完整性保护。步骤1002、时钟服务器将Tl携带在未经过msec加密的ESP头中,并对该消息进行标识信息完整性保护。步骤1003、时钟服务器把消息发送给eNB。步骤1004、eNB接收消息后,根据消息中未经II^sec加密的ESP头确定该消息是否是是事件消息,如果该消息是事件消息,则根据ESP头中的信息以及IP包进行时间戳完整性校验和消息完整性校验,获取当前时刻T2,将当前时刻T2作为该消息的接收时刻。eNB 也可以在接收到时间消息后,在确定时间消息是否是事件消息之前,对该时间消息进行时间的或的完整性校验以及消息完整性校验。步骤1002中,ESP头可以是带有特定标识的ESP头,例如带有全1或权0标识的 ESP头,表示该ESP头中携带有标识信息;或者,该ESP头可以是具有子格式的ESP头,这样 ESP头中就可以无需包括特定标识。如图21所示为本发明时间消息处理方法实施例十的流程图,包括步骤1101、时钟服务器将消息进行IP层处理,为待发送的消息添加IP头和UDP 头,对消息进行II3sec加密和消息完整性保护。步骤1102、时钟服务器将Tl携带在未经过msec加密的IPv6扩展头中,并对该消息进行标识信息完整性保护。步骤1103、时钟服务器把消息发送给eNB。步骤1104、eNB接收消息后,根据消息中未经II^sec加密的IPv6扩展头确定该消息是否是是事件消息,如果该消息是事件消息,则根据IPv6扩展头中的信息以及IP包进行时间戳完整性校验和消息完整性校验,获取当前时刻T2,将当前时刻T2作为该消息的接收时刻。eNB也可以在接收到时间消息后,在确定时间消息是否是事件消息之前,对该时间消息进行时间的或的完整性校验以及消息完整性校验。在如图19、20或21所示的实施例中,通过AAD和ESP头可以携带时间戳信息,但是时钟服务器是在消息中加入时间戳之前对消息进行消息完整性保护,即计算出消息完整性校验值IPsec. ICV,并在消息中加入IPsec. ICV,而基站接收到的数据包是含有时间戳信息的消息(时间戳信息在AAD或ESP头中),如果基站根据时间戳信息和其他的相关信息来计算IPsec. ICV,则计算出的IPsec. ICV与消息中已有的IPsec. ICV不同,将会导致接收端的消息完整性校验失败。为了解决上述问题,可以采用如下的方案基站接收到事件消息后,将接到的时间戳取出,采用发送端(即时钟服务器)与对时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对时间消息进行完整性校验。由于时间消息的发送端和接收端计算IPsec. ICV时所用的输入内容相同,则可以避免由于输入内容不同导致的完整性校验失败。为了保护时间消息的完整性,可以采用一些输入内容计算出IPsec. ICV,这些输入内容可以包括算法等信息。在时间消息的传输过程中为了避免篡改等威胁因此有必要进行完整性校验。另外,在如图19、20或21所示的实施例中,时钟服务器对待发送的时间消息IPsec 加密后,再在该消息中加入时间戳。本发明实施例中,将时间戳携带在未经IPsec加密的 AAD、ESP头或者IPv6扩展头中,克服了时钟服务器对II^sec加密后的消息不知道将时间戳携带在什么地方的问题。在前述各个实施例中,时钟服务器发送消息给eNB,eNB可以根据消息的发送时刻 Tl和接收到消息的时刻T2,与时钟服务器进行频率同步。eNB与时钟服务器进行时间同步的方法可以如下在IEEE1588V2中定义了四种消息同步消息(Sync)、跟随消息(Follow UP)、延迟请求消息(Delay Req)和延迟响应消息(Delay_ReSp)。如图8所示为eNB与时钟服务器之间进行时间同步的流程图,包括如下步骤步骤401、时钟服务器向eNB发送同步消息(Sync),同步消息中携带有该消息的发送时刻Tl,由于该消息是事件消息,所以eNB获取接收到同步消息(Sync)的时刻T2。步骤402、eNB在T3时刻发送延迟请求消息(Delay_Req)给时钟服务器,延迟请求消息(Delay_Req)中携带有该消息的发送时刻T3,时钟服务器在T4时刻接收到该延迟请求消息(Delay_Req),由于该延迟请求消息是事件消息,时钟服务器获取该消息的接收时刻 T4。步骤403、时钟服务器向eNB发送延迟响应消息(Delay_ReSp)。eNB与时钟服务器之间的时间偏差值offset为(T2-T1-T4+T3)/2,eNB可以根据该时间偏差值与时钟服务器进行时间同步。从上述时间同步的过程可以看出,eNB与时钟服务器进行时间同步除了需要获取 Tl和T2,还需要获取T3和T4。获取T3和T4的方法可以与获取Tl和T2的方法类似。
如图22所示为本发明时间消息处理方法实施例i^一的流程图,该实施例中,eNB 通过SGW与时钟服务器建立msec连接。该实施例的方法包括步骤1201、eNB对消息进行IP层处理,进行消息完整性保护和加密保护,然后将消息的发送时刻T3携带在消息中,具体可以携带在AAD中,也可以携带在ESP头或IPv6扩展头中。然后发送消息给SGW。步骤1201中,eNB对消息进行II^sec加密后,再将时间戳T3携带在消息中,这样, 克服了 eNB对消息进行msec加密后不知将时间戳携带在什么地方的问题。步骤1202、SGW收到消息后,通过未经II^sec加密的AAD中的T3,确定该消息是事件消息,从AAD、ESP头或IPv6扩展头中提取出或复制出消息的发送时刻T3,把T3放在该消息中,并将该消息以明文形式发送给时钟服务器。步骤1203、时钟服务器接收到消息后,对消息进行完整性校验,消息完整性校验通过后,获取消息的接收时刻T4。之后,时钟服务器可以把时刻T4发送给eNB。结合图8所示为时间同步方法示意图可以看出,获取Tl和T2时,eNB接收同步消息(Sync),获取T3和T4时,eNB向时钟服务器发送延迟请求消息(Delay_Req)。时钟服务器获取到iM后,可以把iM携带在延迟响应消息(Delay_ReSp)中,把延迟响应消息(Delay_ Resp)发送给eNB。发送延迟请求消息(Delay_Req)是eNB发送的,所以eNB可以获知T3。eNB获取T1、T2、T3和Τ4后,就能够计算出时间偏差值offset,与时钟服务器进行时间同步了。如图23所示为本发明时间消息处理方法实施例十二的流程图,该实施例中,eNB 直接与时钟服务器建立IPsec连接。该实施例的方法包括步骤1301、eNB对消息进行IP层处理,进行消息完整性保护和II^sec加密保护,然后将消息的发送时刻T3携带在消息中,具体可以携带在AAD中,也可以携带在ESP头或IPv 扩展头中。然后发送消息给时钟服务器。步骤1302、时钟服务器收到消息后,通过未经II^sec加密的AAD、ESP头或者IPv6 扩展头中的T3,确定该时间消息是事件消息,对消息进行完整性校验,消息完整性校验通过后,获取该消息的接收时刻T4。之后,时钟服务器可以把时刻T4发送给eNB。时钟服务器也可以在接收到时间消息后,在确定时间消息是否是事件消息之前,对该时间消息进行时间的或的完整性校验以及消息完整性校验。为了解决现有技术中存在的问题,本发明还提供一种实施例,即eNB或时钟服务器接收到时间消息后,无论该时间消息是否是事件消息,获取该消息的接收时刻;然后根据消息中的标识信息确定该时间消息是否是事件消息,如果该消息是事件消息,则可以将接收该时间消息时获取到的接收时刻应用到后续的时间同步或频率同步的计算中;如果该消息不是事件消息,则可以将接收该时间消息时获取的接收时刻丢弃。这样,可以省去一部分维护和管理接收时刻所需的资源,与现有技术相比,能够提高网络性能。如图M所示为本发明发送方时间消息处理装置实施例的结构示意图,该装置包括接收模块11和确定模块12。接收模块11用于接收时间消息。确定模块12与接收模块11连接,用于根据接收模块11接收到的时间消息中未经If3Sec加密的域携带的标识信息,确定接收模块11接收到的时间消息是否是事件消息。该实施例提供的装置,接收模块接收到时间消息后,确定模块可以根据时间消息中未经IPsec加密的域携带的标识信息确定该时间消息是否是事件消息,解决了时间消息的接收方无法确定时间消息是否是事件消息的问题。在如图M所示实施例的技术方案的基础上,还可以包括处理模块13,该处理模块 13与确定模块12连接,用于在确定模块12确定接收模块11接收到的消息是事件消息的情况下,获取当前时刻,将当前时刻作为接收模块11接收到所述时间消息的时刻。处理模块13还可以用于在确定模块12确定接收模块11接收到的消息不是事件消息的情况下,不获取当前时刻。确定模块12具体可以用于根据接收模块11接收到的时间消息中的AAD、ESP头或者IPv6扩展头中未经msec加密的标识信息,确定接收模块11接收到的时间消息是否是事件消息。具体地,确定模块12可以用于在接收模块11接收到的时间消息的标识信息包括时间戳的情况下,根据该时间戳确定时间消息是事件消息;或者,用于在接收模块11接收到的时间消息的标识信息包括预先设定的UDP端口号的情况下,根据该UDP端口号确定时间消息是事件消息;或者,用于在接收模块11接收到的时间消息的标识信息包括预先设定的消息类型的情况下,根据该消息类型确定时间消息是事件消息。确定模块12确定时间消息是否是事件消息的方法可以参见前述方法实施例中的描述,例如前述方法实施例部分关于步骤102的具体描述。如图M所示为装置还可以包括校验模块(图M中未示出),该校验模块用于在确定模块确定所述接收模块接收到的时间消息是否是事件消息后,并且在处理模块13获取当前时刻之前,对接收模块11接收到的时间消息中的标识信息进行完整性校验。或者,该校验模块可以用于在接收模块11接收到时间消息之后,确定模块12确定所述时间消息是否是事件消息之前,对时间消息中的标识信息进行完整性校验。该校验模块还可以用于在确定模块12确定接收模块11接收到的时间消息是否是事件消息后,并且在处理模块13获取当前时刻之前,采用与时间消息的发送端对时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对所述时间消息进行完整性校验;或者,可以用于在接收模块11接收到时间消息之后,确定模块12确定时间消息是否是事件消息之前,采用与时间消息的发送端对时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对时间消息进行完整性校验。如图M所示的实施例中,各个模块的具体操作方法可以参见前述方法实施例部分的描述。如图25所示为本发明接收方时间消息处理装置实施例的结构示意图,该装置包括携带模块21和发送模块22。携带模块21用于在经过msec加密后的时间消息中携带标识信息,该标识信息通过时间消息中未经过msec加密的域携带。发送模块22与携带模块 21连接,用于把经过携带模块21处理后的时间消息发送。其中,携带模块21具体可以用于在时间消息的AAD、ESP头或者IPv6扩展头中携带未经msec加密的标识信息。具体地,携带模块21可以从待发送的时间消息中复制出或提取出时间消息的标识信息,并把标识信息携带在AAD、ESP头或者IPv6扩展头中。如图25所示的实施例中,各个模块的具体实现方式可以参见前述方法实施例部分的描述。本发明实施例还提供一种时间消息处理系统,可以包括如前述实施例所示的发送方时间消息处理装置和接收方时间消息处理装置。如图19、20和21所示的实施例中,基站和时钟服务器之间直接建立连接,双方都可以发送时间消息,因此,发送方时间消息处理装置为时间消息服务器,接收方时间消息处理装置为基站;或者,发送方时间消息处理装置为基站,接收方时间消息处理装置为事件服务器。如图7、12、15和18所示的实施例中,基站通过SGW与时钟服务器建立连接,发送方时间消息处理装置为SGW,接收方时间消息处理装置为基站。本发明实施例提供的时间消息处理装置及系统中,接收模块接收到消息后,确定模块根据接收到的时间消息中未经IPsec加密的域携带的的标识信息,直接可以确定接收到的消息是否是事件消息,而无需解密,从而可以解决时间消息的接收端接收到时间消息后无法确定该时间消息是否是事件消息的问题,并且由于不需要解密,所以能够提高网络性能。本发明实施例提供的装置中,如果该时间消息是事件消息,则处理模块获取当前时刻,把当前时刻时间消息的接收时刻,如果该时间消息不是事件消息,则处理模块无需获取当前时刻作为消息的接收时刻,减少了存储和维护时间消息的接收时刻所需的资源,这样减轻了时间消息的接收方的负担,从而可以提高网络性能。本领域普通技术人员可以理解实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括R0M、RAM、磁碟或者光盘等各种可以存储程序代码的介质。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
权利要求
1.一种时间消息处理方法,其特征在于,包括接收发送端发送的时间消息;根据所述时间消息中的标识信息,确定所述时间消息是否是事件消息;其中,所述标识信息为所述发送端通过未经过互联网安全协议加密的域携带的信息。
2.根据权利要求1所述方法,还包括如果所述时间消息是事件消息,则获取当前时刻,将所述当前时刻作为所述时间消息的接收时刻。
3.根据权利要求1或2所述的方法,其特征在于,还包括如果所述时间消息不是事件消息,则不获取当前时刻。
4.根据权利要求1或2所述的方法,其特征在于,所述事件消息包括网络测量和控制系统的精密时钟同步协议标准事件消息,或者网络时间协议事件消息。
5.根据权利要求1或2所述的方法,其特征在于,根据所述时间消息中的标识信息,确定所述时间消息是否是事件消息,包括如果所述时间消息的标识信息包括时间戳,则确定所述时间消息是事件消息;或者,如果所述时间消息的标识信息包括预先设定的用户数据包协议端口号,则确定所述时间消息是事件消息;或者,如果所述时间消息的标识信息包括预先设定的消息类型,则确定所述时间消息是事件消息。
6.根据权利要求1或2所述的方法,其特征在于,所述未经过互联网安全协议加密的域通过附加认证数据、安全封装载荷头或者互联网协议版本6扩展头承载。
7.根据权利要求6所述的方法,其特征在于,所述安全封装载荷头为携带特定标识的安全封装载荷头或者具备子格式的安全封装载荷头,所述特定标识用于表明所述安全封装载荷头中携带有所述标识信息。
8.根据权利要求2所述的方法,其特征在于,在确定所述时间消息是事件消息之后,且在所述获取当前时刻之前,还包括对所述时间消息中的标识信息进行完整性校验;或者在接收发送端发送的时间消息之后,确定所述时间消息是否是事件消息之前,还包括: 对所述时间消息中的标识信息进行完整性校验。
9.根据权利要求2所述的方法,其特征在于,在确定所述时间消息是事件消息之后, 且在所述获取当前时刻之前,还包括采用与所述时间消息的发送端对所述时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对所述时间消息进行完整性校验;或者在接收发送端发送的时间消息之后,确定所述时间消息是否是事件消息之前,还包括 采用与所述时间消息的发送端对所述时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对所述时间消息进行完整性校验。
10.一种时间消息处理方法,其特征在于,包括在经过互联网安全协议加密的时间消息中携带标识信息,其中,所述标识信息通过所述时间消息中未经过互联网安全协议加密的域携带;发送所述时间消息。
11.根据权利要求10所述的方法,其特征在于,所述标识信息至少包括时间戳、用户数据包协议端口号和消息类型中的一种。
12.根据权利要求10或11所述的方法,其特征在于,所述未经过互联网安全协议加密的域通过附加认证数据、安全封装载荷头或者互联网协议版本6扩展头承载。
13.根据权利要求12所述的方法,其特征在于,所述安全封装载荷头为携带特定标识的安全封装载荷头或者具备子格式的安全封装载荷头,所述特定标识用于表明所述安全封装载荷头中携带有所述标识信息。
14.根据权利要求13所述的方法,其特征在于,还包括在经过互联网安全协议加密的时间消息中携带标识信息之后,对所述时间消息进行标识信息的完整性保护或对所述时间消息进行完整性保护;或者,在经过互联网安全协议加密的时间消息中携带标识信息之前,对所述时间消息进行消息完整性保护,在经过互联网安全协议加密的时间消息中携带标识信息之后,对所述时间消息进行标识信息的完整性保护。
15.一种接收方时间消息处理装置,其特征在于,包括接收模块,用于接收时间消息;确定模块,用于根据所述接收模块接收到的时间消息中未经过互联网安全协议加密的域携带的标识信息,确定所述接收模块接收到的时间消息是否是事件消息。
16.根据权利要求15所述的装置,其特征在于,还包括处理模块,用于在所述确定模块确定所述接收模块接收到的时间消息是事件消息的情况下,获取当前时刻,将所述当前时刻作为所述时间消息的接收时刻。
17.根据权利要求16所述的装置,其特征在于,所述处理模块还用于在所述确定模块确定所述接收模块接收到的时间消息不是事件消息的情况下,不获取所述当前时刻。
18.根据权利要求15-17中任一权利要求所述的装置,其特征在于,所述确定模块具体用于根据所述接收模块接收到的时间消息中的附加认证数据、安全封装载荷头或者互联网协议版本6扩展头中未经过互联网安全协议加密的标识信息,确定所述接收模块接收到的时间消息是否是事件消息。
19.根据权利要求15-17中任一权利要求所述的装置,其特征在于,所述确定模块具体用于在所述接收模块接收到的时间消息的标识信息包括时间戳的情况下,根据所述时间戳确定所述时间消息是事件消息;或者,用于在所述接收模块接收到的时间消息的标识信息包括预先设定的用户数据包协议端口号的情况下,根据所述用户数据包协议端口号确定所述时间消息是事件消息;或者,用于在所述接收模块接收到的时间消息的标识信息包括预先设定的消息类型的情况下,根据所述消息类型确定所述时间消息是事件消息。
20.根据权利要求17所述的装置,其特征在于,还包括校验模块,用于在所述确定模块确定所述接收模块接收到的时间消息是事件消息后,并且在所述处理模块获取当前时刻之前,对所述时间消息中的标识信息进行完整性校验;或者,用于在所述接收模块接收到时间消息之后,所述确定模块确定所述时间消息是事件消息之前,对所述时间消息中的标识信息进行完整性校验。
21.根据权利要求20所述的装置,其特征在于,所述校验模块还用于在所述确定模块确定所述接收模块接收到的时间消息是事件消息后,并且在所述处理模块获取当前时刻之前,采用与所述时间消息的发送端对所述时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容,对所述时间消息进行完整性校验;或者,用于在所述接收模块接收到时间消息之后,所述确定模块确定所述时间消息是事件消息之前,采用与所述时间消息的发送端对所述时间消息进行完整性保护时所采用的输入内容相同的内容作为输入内容, 对所述时间消息进行完整性校验。
22.一种发送方时间消息处理装置,其特征在于,包括携带模块,用于在经过互联网安全协议加密后的时间消息中携带标识信息,所述标识信息通过所述时间消息中未经过互联网安全协议加密的域携带; 发送模块,用于把经过所述携带模块处理后的时间消息发送。
23.根据权利要求22所述的装置,其特征在于,所述携带模块具体用于在所述时间消息的附加认证数据、安全封装载荷头或者互联网协议版本6扩展头中携带未经过互联网安全协议加密的标识信息。
24.—种时间消息处理系统,其特征在于,包括如权利要求22或23所述的发送方时间消息处理装置,以及如权利要求15-21中任一权利要求所述的接收方时间消息处理装置。
25.根据权利要求M所述的系统,其特征在于,所述发送方时间消息处理装置为时间消息服务器,所述接收方时间消息处理装置为基站;或者所述发送方时间消息处理装置为基站,所述接收方时间消息处理装置为事件服务器;或者所述发送方时间消息处理装置为安全网关,所述接收方时间消息处理装置为基站。
全文摘要
本发明实施例提供一种时间消息处理方法、装置及系统,其中方法包括接收发送端发送的时间消息;根据所述时间消息中的标识信息,确定所述时间消息是否是事件消息;其中,所述标识信息为所述发送端通过未经过互联网安全协议加密的域携带的信息。本发明实施例提供的方法、装置及系统,时间消息的接收端接收到时间消息后,可以直接根据时间消息中未经互联网安全协议加密的域携带的标识信息确定该时间消息是否是事件消息,无需解密,从而解决了现有技术中无法确定该时间消息是否是事件消息的问题。
文档编号H04L7/04GK102347831SQ201010246659
公开日2012年2月8日 申请日期2010年7月26日 优先权日2010年7月26日
发明者毕晓宇, 谢雷, 陈璟 申请人:华为技术有限公司