软件定义的网络授时安全防护方法、装置及系统与流程

本发明涉及网络时间同步技术领域，特别是涉及一种软件定义的网络授时安全防护方法、装置及系统。

背景技术：

网络授时通常以通信网络为媒介，在网络中指定多个时间服务器，为用户提供授时服务，其目的是在互联网上传递统一、标准的时间。通常采用ntp(networktimeprotocol，网络时间协议)，或者ptp(precisiontimeprotocol，高精度时间协议)进行网络授时。网络授时的过程中，外部攻击者通过对数据包所经过的路径进行时延攻击，例如，在上行或者下行路径上增加时延，使得上下行路径时延不对称，进而影响授时精度。

现有技术中，针对攻击者发动的时延攻击，通过对每一个同步时刻的第二平均路径时延进行监测，判断是否发生时延攻击。其具体过程为：预先设置一个固定阈值，实时监测每一个同步时刻对应的第二平均路径时延与该固定阈值之间的大小，当某一同步时刻的第二平均路径时延高于该固定阈值时，便丢弃在时间服务器和时间客户端之间传输的数据包，即，本同步时刻不进行时钟同步。

由于现有技术中，当监测到某一同步时刻的第二平均路径时延高于预先设置的固定阈值时，则丢弃在时间服务器和时间客户端之间传输的数据包，因此导致该同步时刻无法进行时钟同步，即，时钟同步不连续，进而导致时间服务器和时间客户端之间的时间偏差值越来越大。

技术实现要素：

本发明实施例的目的在于提供一种软件定义的网络授时安全防护方法、装置及系统，能够使时间服务器和时间客户端之间的时钟同步连续进行，从而减小时间服务器和时间客户端之间的时间偏差值。具体技术方案如下：

第一方面，本发明实施例提供了一种软件定义的网络授时安全防护方法，应用于网络的控制器中，所述网络包括：所述控制器，分别与所述控制器通信连接的时间服务器和时间客户端，以及在所述时间服务器和所述时间客户端之间依次通信连接的多个网元，所述多个网元分别与所述控制器通信连接，所述方法包括：

接收第一数据包，所述第一数据包中携带有所述时间服务器和所述时间客户端之间的第一时间偏差值；

判断所述第一时间偏差值与第一预设阈值之间的大小；

在所述第一时间偏差值小于或等于所述第一预设阈值的情况下，统计预设时间段内的每个同步时刻对应的第二时间偏差值，所述预设时间段内的第二同步时刻为第一同步时刻的下一个同步时刻，所述第二同步时刻为所述预设时间段内的首个同步时刻，所述第一同步时刻为目标时间偏差值对应的同步时刻，所述目标时间偏差值为小于或等于所述第一预设阈值的第一时间偏差值；

基于所统计的多个所述第二时间偏差值，计算第二阈值；

判断第三时间偏差值与所述第二阈值之间的大小，所述第三时间偏差值为第三同步时刻对应的时间偏差值，所述第三同步时刻晚于所述预设时间段内的任意一个同步时刻；

在所述第三时间偏差值大于所述第二阈值的情况下，将授时流量从原始路径重定向至预先确定的路径，以使所述时间服务器根据上述授时流量对所述时间客户端授时，所述原始路径为所述第一同步时刻对应的路径，所述预先确定的路径上的第一网元与所述原始路径上的第二网元不同，所述第一网元和所述第二网元均属于所述多个网元。

可选地，所述基于所统计的多个所述第二时间偏差值，计算第二阈值的步骤，包括：

针对所统计的多个所述第二时间偏差值，计算各所述第二时间偏差值的绝对值；

将多个所述绝对值中，具有最大值的绝对值确定为第三阈值；

利用第一预设表达式计算所述第二阈值，所述第一预设表达式为：

k1＝tac-max(offset)

式中，k1表示所述第二阈值，tac表示预设准确度，max(offset)表示所述第三阈值。

可选地，在所述判断第三时间偏差值与所述第二阈值之间的大小之后，所述方法还包括：

在所述第三时间偏差值小于或等于所述第二阈值的情况下，判断所述第三时间偏差值与所述第三阈值之间的大小；

在所述第三时间偏差值大于所述第三阈值的情况下，统计所述预设时间段内的每个同步时刻对应的第一平均路径时延；

根据所统计的多个所述第一平均路径时延，计算第二平均路径时延，所述第二平均路径时延为多个所述第一平均路径时延的平均值；

判断路径时延差值的绝对值与第四预设阈值之间的大小，所述路径时延差值为第三平均路径时延与所述第二平均路径时延之间的差值，所述第三平均路径时延为所述第三同步时刻的下一同步时刻对应的平均路径时延；

在所述路径时延差值的绝对值大于所述第四预设阈值的情况下，将所述授时流量从所述原始路径重定向至所述预先确定的路径。

可选地，在所述判断路径时延差值的绝对值与第四预设阈值之间的大小之前，所述方法还包括：

将所述第二阈值的确定为所述第四预设阈值。

可选地，所述将授时流量从原始路径重定向至预先确定的路径的步骤，包括：

利用预设的迪杰斯特拉算法选取所述预先确定的路径；

向所述预先确定的路径上的所述第一网元发送第二数据包，所述第二数据包用于使所述第一网元在接收到授时数据包后，将所述授时数据包转发至下一个所述第一网元，所述授时数据包为在所述时间服务器和所述时间客户端之间传输的数据包。

第二方面，本发明实施例提供了一种软件定义的网络授时安全防护装置，所述装置包括：

接收模块，用于接收第一数据包，所述第一数据包中携带有所述时间服务器和所述时间客户端之间的第一时间偏差值；

第一判断模块，用于判断所述第一时间偏差值与第一预设阈值之间的大小；

第一统计模块，用于在所述第一时间偏差值小于或等于所述第一预设阈值的情况下，统计预设时间段内的每个同步时刻对应的第二时间偏差值，所述预设时间段内的第二同步时刻为第一同步时刻的下一个同步时刻，所述第二同步时刻为所述预设时间段内的首个同步时刻，所述第一同步时刻为目标时间偏差值对应的同步时刻，所述目标时间偏差值为小于或等于所述第一预设阈值的第一时间偏差值；

第一计算模块，用于基于所统计的多个所述第二时间偏差值，计算第二阈值；

第二判断模块，用于判断第三时间偏差值与所述第二阈值之间的大小，所述第三时间偏差值为第三同步时刻对应的时间偏差值，所述第三同步时刻晚于所述预设时间段内的任意一个同步时刻；

第一重定向模块，用于在所述第三时间偏差值大于所述第二阈值的情况下，将授时流量从原始路径重定向至预先确定的路径，以使所述时间服务器根据上述授时流量对所述时间客户端授时，所述原始路径为所述第一同步时刻对应的路径，所述预先确定的路径上的第一网元与所述原始路径上的第二网元不同，所述第一网元和所述第二网元均属于所述多个网元。

可选地，所述第一计算模块，包括：

第一计算子模块，用于针对所统计的多个所述第二时间偏差值，计算各所述第二时间偏差值的绝对值；

确定子模块，用于将多个所述绝对值中，具有最大值的绝对值确定为第三阈值；

第二计算子模块，用于利用第一预设表达式计算所述第二阈值，所述第一预设表达式为：

k1＝tac-max(offset)

式中，k1表示所述第二阈值，tac表示预设准确度，max(offset)表示所述第三阈值。

可选地，所述装置还包括：

第三判断模块，用于在所述第三时间偏差值小于或等于所述第二阈值的情况下，判断所述第三时间偏差值与所述第三阈值之间的大小；

第二统计模块，用于在所述第三时间偏差值大于所述第三阈值的情况下，统计所述预设时间段内的每个同步时刻对应的第一平均路径时延；

第二计算模块，用于根据所统计的多个所述第一平均路径时延，计算第二平均路径时延，所述第二平均路径时延为多个所述第一平均路径时延的平均值；

第四判断模块，用于判断路径时延差值的绝对值与第四预设阈值之间的大小，所述路径时延差值为第三平均路径时延与所述第二平均路径时延之间的差值，所述第三平均路径时延为所述第三同步时刻的下一同步时刻对应的平均路径时延；

第二重定向模块，用于在所述路径时延差值的绝对值大于所述第四预设阈值的情况下，将所述授时流量从所述原始路径重定向至所述预先确定的路径。

可选地，所述装置还包括：

确定模块，用于将所述第二阈值的确定为所述第四预设阈值。

可选地，所述第一重定向模块，包括：

选取子模块，用于利用预设的迪杰斯特拉算法选取所述预先确定的路径；

发送子模块，用于向所述预先确定的路径上的所述第一网元发送第二数据包，所述第二数据包用于使所述第一网元在接收到授时数据包后，将所述授时数据包转发至下一个所述第一网元，所述授时数据包为在所述时间服务器和所述时间客户端之间传输的数据包。

第三方面，本发明实施例提供了一种软件定义的网络授时安全防护系统，所述系统包括：

控制器，分别与所述控制器通信连接的时间服务器和时间客户端，以及在所述时间服务器与所述时间客户端之间依次通信连接的多个网元，所述多个网元分别与所述控制器通信连接；

所述控制器包括：授时控制模块，安全控制模块，以及网络控制模块；

其中，所述授时控制模块用于计算所述时间服务器与所述时间客户端之间的时间补偿值；

所述时间客户端用于根据所述时间补偿值，计算所述时间服务器与所述时间客户端之间的时间偏差值，以及计算所述时间服务器与所述时间客户端之间的平均路径时延；

所述安全控制模块包括：

同步信息获取单元，用于获取所述时间服务器和所述时间客户端之间的所述时间偏差值和所述平均路径时延；

时延攻击监测单元，用于根据所述时间偏差值以及所述平均路径时延，判断所述时间客户端和所述时间服务器之间的原始路径是否发生时延攻击，并在所述原始路径发生时延攻击的情况下，发送用于重定向授时流量的安全策略；

所述策略解析单元，用于接收所述安全策略，并从预设的数据库中选取与该安全策略对应的重定向授时流量指令，所述重定向授时流量指令的格式，为所述网络控制模块能够执行的格式；

指令推送单元，用于将所述重定向授时流量指令推送给所述网络控制模块；

所述网络控制模块，用于接收所述重定向授时流量指令，并将所述授时流量从所述原始路径重定向至预先确定的路径。

可选地，所述安全控制模块，还包括：网络流获取单元，用于获取网路中各所述网元的流表信息，并将所述流表信息发送至所述时延攻击监测单元，所述流表信息中携带有发送该流表信息的网元端口；

所述时延攻击监测单元，还用于接收所述流表信息，并判断当前同步时刻对应的网元端口与前一同步时刻对应的网元端口是否相同，在当前同步时刻对应的网元端口与前一同步时刻对应的网元端口不相同的情况下，重新计算第一预设阈值，以及判断所述时间偏差值与所述第一预设阈值之间的大小。

第四方面，本发明实施例提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，所述处理器、所述通信接口、所述存储器通过所述通信总线完成相互间的通信；所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令，所述处理器被所述机器可执行指令促使：实现本发明实施例第一方面提供的软件定义的网络授时安全防护方法的方法步骤。

第五方面，本发明实施例提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行本发明实施例第一方面提供的软件定义的网络授时安全防护方法的方法步骤。

本发明实施例提供的软件定义的网络授时安全防护方法及装置，通过判断第一时间偏差值与第一预设阈值之间的大小，在第一时间偏差值小于或等于第一预设阈值的情况下，判断第三时间偏差值与第二阈值之间的大小，在第三时间偏差值大于第二阈值的情况下，则判定为第三时间偏差值对应的第三同步时刻发生时延攻击，将授时流量从原始路径重定向至预先确定的路径，由于该预先确定的路径上的第一网元与原始路径上的第二网元不同，因此在原始路径上发动的时延攻击并不影响预先确定的路径的安全性，进而使得本发明实施例能够在监测到时延攻击时，可以继续使用预先确定的路径上的第一网元，对时间服务器与时间客户端之间传输的数据包进行转发，时间服务器能够继续为时间客户端授时。因此本发明实施例能够使时间服务器和时间客户端之间的时钟同步连续进行，从而减小时间服务器和时间客户端之间的时间偏差值。当然，实施本发明的任一产品或方法必不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的软件定义的网络授时安全防护方法的第一种流程示意图；

图2为本发明实施例提供的软件定义网络的一种结构示意图；

图3为本发明实施例提供的软件定义的网络授时安全防护方法的一种防护流程图；

图4为本发明实施例提供的软件定义的网络授时安全防护方法的第二种流程示意图；

图5为本发明实施例提供的软件定义的网络授时安全防护方法的第三种流程示意图；

图6为本发明实施例提供的软件定义的网络授时安全防护装置的第一种结构示意图；

图7为本发明实施例提供的软件定义的网络授时安全防护装置的第二种结构示意图；

图8为本发明实施例提供的软件定义的网络授时安全防护装置的第三种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明实施例提供了一种软件定义的网络授时安全防护方法，应用于网络的控制器中，如图2所示，网络包括：控制器，分别与控制器通信连接的时间服务器和时间客户端，以及在时间服务器和时间客户端之间依次通信连接的多个网元，多个网元分别与控制器通信连接。

在本发明实施例中，控制器包括：授时控制模块、网络控制模块和安全控制模块。网络控制模块负责对网络的管理，包括链路发现和拓扑管理等，网络控制模块通过向网络中的交换机发送数据包，在时间服务器和时间客户端之间形成通信链路，使两者之间可以相互通信。需要说明的是，此处的交换机即为本发明实施例中的网元。

授时控制模块的主要功能是授时补偿，授时控制模块接收网元发送的时间戳，其中包括授时数据包到达该网元的时间戳和离开该网元的时间戳；可以综合计算授时数据包在时间同步路径中所有网元上的驻留时间，可以计算时间服务器和时间客户端之间的时间补偿值，并据此计算两者之间的时间偏差值，根据网络架构和应用需求的不同，将携带有该时间偏差值的数据包发送至时间客户端，或者将携带有时间补偿值的数据包发送至时间客户端。

安全控制模块为授时系统提供安全保障，其中可以包含时延监测，安全策略解析，指令推送等功能，其主要负责时间服务器和时间客户端之间的时钟同步过程中的安全防护，并且安全防护链路与时间服务器和时间客户端之间的通信链路为不同的链路。

时间服务器是一种具有较高计算能力，能够为多个用户提供时间服务的计算设备，时间服务器可以通过网络对外提供时间服务，其能够获取utc(coordinateduniversaltime，协调世界时)时间信号，该utc时间信号可以从gnss(globalnavigationsatellitesystem，全球导航卫星系统)中获取，或者也可以通过光纤连接至utc实验室获取，时间服务器可以将获取到的utc时间信号转换为网络时间数据包，并通过网络发送给时间客户端。

时间客户端是为终端用户提供时间服务的用时设备，时间客户端和时间服务器需同时接入到网络中，才能够获取到时间服务器发送的网络时间数据包。

本发明实施例提供的软件定义的网络授时安全防护方法可以包括以下步骤：

s101，接收第一数据包。

第一数据包中携带有时间服务器和时间客户端之间的第一时间偏差值，该第一时间偏差值可以通过时间客户端从授时控制模块中获取，也可以通过时间客户端根据授时控制模块发送的时间补偿值计算得到。而且在时间服务器和时间客户端交互的过程中，每一次时间同步的过程，均计算一个第一时间偏差值和第一平均路径时延，因此，针对每一个同步时刻，均有其所对应的第一时间偏差值和第一平均路径时延。当然，该第一数据包中也可以携带第一平均路径时延。

另外，为了便于对本发明实施例的技术方案进行较为清楚的描述，示例的，可以将本发明实施例应用于ptp(precisiontimeprotocol，高精度时间协议)中进行描述，但并不代表本发明实施例只能应用于ptp中，也可以应用于除ptp之外的其他时间协议，例如，ntp(networktimeprotocol，网络时间协议)。当采用ptp进行时间同步时，其时间同步的周期通常为1秒，即每秒进行一次时间同步。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

s102，判断第一时间偏差值与第一预设阈值之间的大小。

在时间同步的过程中，通常第一次时间同步过程中的第一时间偏差值较大，因此为了避免时间客户端的本地时钟发生较大的跳变，通常时间客户端在每个同步时刻采用较小的修正量对本地时钟进行修正，该修正量可以小于第一次时间同步过程中的第一时间偏差值，也就是说，在时间客户端根据第一时间偏差值修正本地时钟时，往往会采取多次修正的方法，每个同步时刻修正一定量的值，随着时间同步的进行，时间服务器和时间客户端之间的第一时间偏差值逐渐收敛，直到在一个较小的稳定值附近来回调整，由于时间服务器、时间客户端以及网元等硬件设备，或者时钟漂移可能造成系统误差，因此该稳定值通常为系统误差所产生的时间偏差值。需要说明的是，修正量可以指，时间客户端修正本地时钟之前的时钟，与时间客户端修正本地时钟之后的时钟之间的差值。

第一预设阈值可以根据所采用的时间协议预先设定，例如，当采用ptp进行时间同步时，由于采用符合标准的ptp进行时间同步时，精度通常可以控制在1000ns以内，因此，可以将第一预设阈值设置为1000ns。需要说明的是，系统误差产生的时间偏差值通常小于第一预设阈值。还需要说明的是，该步骤可以由控制器中的安全控制模块完成。

s103，在第一时间偏差值小于或等于第一预设阈值的情况下，统计预设时间段内的每个同步时刻对应的第二时间偏差值。

可以将小于或等于第一预设阈值的第一时间偏差值，确定为目标时间偏差值，与该目标时间偏差值对应的同步时刻为第一同步时刻，在该种情况下，可以统计第一同步时刻之后的预设时间段内，每个同步时刻对应的第二时间偏差值，因此，预设时间段内的首个同步时刻，即第二同步时刻，为第一同步时刻的下一个同步时刻。该预设时间段的长度可以根据实际需求或者经验进行预先设置，例如，可以将该预设时间段的长度设置为20s，如果第一同步时刻为十二点的第一秒时，那么第二同步时刻可以为十二点的第二秒，预设时间段即为从十二点的第二秒至十二点的第二十一秒之间的时间段。

如图3所示，为了便于后续对本发明实施例的技术方案进行描述，可以将从时间同步过程开始的同步时刻至第一同步时刻之间的同步过程，称为同步校准期；可以将预设时间段内的同步过程称为学习期。

由于随着时间同步的进行，时间偏差值在逐渐减小，直到在稳定值附近来回调整，因此，学习期内的各第二时间偏差值均小于第一预设阈值，因此，统计的预设时间段内的每个同步时刻对应的第二时间偏差值，可以表示由系统误差所产生的时间偏差值。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

s104，基于所统计的多个第二时间偏差值，计算第二阈值。

由于第二时间偏差值可以表示由系统误差产生的时间偏差值，因此可以根据该系统误差所产生的第二时间偏差值，利用预设的计算方法计算得到第二阈值，并将第二阈值作为判断是否发生时延攻击的阈值。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

作为本发明实施例的一种可选的实施方式，图1所示实施例流程的步骤s104，可以包括：

第一步，针对所统计的多个第二时间偏差值，计算各第二时间偏差值的绝对值。

时间服务器和时间客户端的硬件设备不同，两者之间的时间偏差值可能为正值，也可能为负值，即，时间服务器的本地时钟可能早于时间客户端的本地时钟，时间服务器的本地时钟也可能晚于时间客户端的本地时钟。因此，在计算第二阈值时，可以先计算每个第二时间偏差值的绝对值。

第二步，将多个绝对值中，具有最大值的绝对值确定为第三阈值。

由于第二时间偏差值可以为由系统误差产生的时间偏差值，因此具有最大值的绝对值即为最大的系统误差所产生的时间偏差值，可以将具有最大值的绝对值确定为第三阈值，并利用该第三阈值计算第二阈值。例如，时间服务器和时间客户端在时间同步的过程中，时间偏差值的变化范围可能在-300ns～300ns之间，因此，具有绝对值的最大值为300ns，即第三阈值为300ns。

第三步，利用第一预设表达式计算第二阈值。

第一预设表达式为：

k1＝tac-max(|offset|)

式中，k1表示第二阈值，tac表示预设准确度，max(offset)表示第三阈值。

外部攻击者在进行时延攻击时，目的是希望使时间服务器和时间客户端之前的时间偏差值大于预设准确度，在考虑系统误差的情况下，攻击者只需要在时间同步的单侧路径上增加一定大小的时延，使得该时延所产生的时间偏差值，与系统误差所产生的时间偏差值之和大于预设准确度，即可达到发动时延攻击的目的。例如，在4g基站通常要求同步误差在1500ns之内，外部攻击者的目的是使时间偏差值大于1500ns，当第三阈值为300ns时，外部攻击者可能需要在单侧路径上增加时延，使时间偏差值增加1200ns，时间偏差值即为300+1200＝1500ns。

外部攻击者在进行时延攻击时，可能采用恒定时延攻击，即在单侧路径上单次增加较大的时延，使得时间偏差值直接跳变至1500ns以上，例如，外部攻击者可能会在单侧路径上单次增加一定值的时延，使时间偏差值增加1200ns，该同步时刻的时间偏差值即为1500ns，也就是说，如果外部攻击者想要达到其目的，至少使时间偏差值增加1200ns。但是，由于系统误差是实时变动的，有可能在外部攻击者发动时延攻击的同步时刻，系统误差所产生的时间偏差值为0，那么该同步时刻的时间偏差值即为1200ns，因此，可以将该1200ns作为第二阈值，即将预设准确度与第三阈值之间的差值，作为第二阈值，也即作为判断是否发生时延攻击的阈值。

参见图1，s105，判断第三时间偏差值与第二阈值之间的大小。

如图3所示，在学习期结束后，即可进入同步监测期，同步监测期主要目的为根据学习期统计计算得到的第二阈值，对同步过程进行监测，监测每个同步时刻是否发生时延攻击。例如，当学习期为从十二点的第二秒至十二点的第二十一秒之间的同步过程时，第三同步时刻晚于预设时间段内的任意一个同步时刻，因此第三同步时刻可以为十二点的第二十二秒，即，同步监测期可以从十二点的第二十二秒开始。而第三时间偏差值为第三同步时刻对应的时间偏差值，即，第三时间偏差值为十二点的第二十二秒对应的时间偏差值。

根据图1所示流程步骤s104中的描述可知，通过判断第三时间偏差值与第二阈值之间的大小，即可判断在第三同步时刻是否发生恒定时延攻击。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

参见图1，s106，在第三时间偏差值大于第二阈值的情况下，将授时流量从原始路径重定向至预先确定的路径。

在第三时间偏差值大于第二阈值的情况下，表明同步路径上在第三同步时刻发生时延攻击，因此，可以将授时流量从原始路径重定向至预先确定的路径，以使时间服务器根据上述授时流量对时间客户端授时。此处的原始路径可以为第一同步时刻对应的路径。由于预先确定的路径上的第一网元与原始路径上的第二网元不同，第一网元和第二网元均属于多个网元，因此外部攻击者在原始路径上增加的时延，并不影响预先确定的路径的安全性，即可以理解为预先确定的路径暂时是安全的同步路径。因此，当监测到时延攻击后，可以将授时流量从原始路径重定向至安全路径，即，本发明实施例可以对时间服务器和时间客户端之间的通信链路进行安全防护，也即，本发明实施例可以对网络授时过程进行安全防护，进而使得本发明实施例可以继续进行时间同步，从而使得时间偏差值越来越小。需要说明的是，在没有监测到发生时延攻击时，通常不进行同步路径的重定向，也就是说，在同步校准期和学习期，同步路径均为原始路径。需要说明的是，该步骤可以由控制器中的网络控制模块完成。

作为本发明实施例的一种可选的实施方式，在图1所示实施例流程的步骤s105之后，如图4所示，本发明实施例提供的软件定义的网络授时安全防护方法还可以包括：

s201，在第三时间偏差值小于或等于第二阈值的情况下，判断第三时间偏差值与第三阈值之间的大小。

外部攻击者在进行时延攻击时，除采用上述的恒定时延攻击之外，也可能采用线性时延攻击和随机时延攻击，当外部攻击者采用的是线性时延攻击时，通常分多次在多个不同的同步时刻下增加时延，每个同步时刻只增加一次时延，且每个同步时刻增加的时延，随时间同步的进行呈线性增加；当外部攻击者采用的是随机时延攻击时，通常分多次在多个不同的同步时刻下增加时延，但是每个同步时刻增加的时延相对较小，而且均不相同，希望将其伪装为正常网络抖动的情况。在线性时延攻击和随机时延攻击的情况下，通常某个同步时刻发生时延攻击后，该同步时刻对应的时间偏差值均大于系统误差所产生的时间偏差值，外部攻击者为了达到时延攻击的目的，所有时延攻击所增加的时延之和产生的时间偏差值应大于第二阈值。因此，当第三时间偏差值小于或等于第二阈值时，表明外部攻击者可能进行线性时延攻击或者随机时延攻击，当然也有可能是因为网络发生较大的抖动导致，即并未发生时延攻击，因此，还需要进一步监测判断。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

s202，在第三时间偏差值大于第三阈值的情况下，统计预设时间段内的每个同步时刻对应的第一平均路径时延。

在第三时间偏差值大于第三阈值的情况下，表明有可能发生随机时延攻击、发生线性时延攻击，或者第三同步时刻网络抖动较大。由于外部攻击者在发动随机时延攻击或者线性时延攻击的最终目的是，在一段时间内所增加的时延之和所产生的时间偏差值大于第二阈值，即，平均路径时延相比未发生时延攻击的同步时刻对应的平均路径时延增加量较大，而如果是网络抖动较大的原因导致第三时间偏差值大于第三阈值的时候，其平均路径时延增加量较小。因此，可以通过平均路径时延判断是否发生时延攻击。

需要说明的是，此处的第一平均路径时延可以指，授时数据包经过第一同步路径与第二同步路径所产生的路径时延的平均值，第一同步路径为授时数据包从时间服务器发送至时间客户端经过的同步路径，第二同步路径为授时数据包从时间客户端发送至时间服务器经过的同步路径。此外，该步骤可以由控制器中的安全控制模块完成。

s203，根据所统计的多个第一平均路径时延，计算第二平均路径时延。

在本发明实施例中，第二平均路径时延为多个第一平均路径时延的平均值。由于第一平均路径时延均为预设时间段内的同步时刻对应的平均路径时延，因此该平均值表示系统误差所产生的平均路径时延的平均值。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

参见图4，s204，判断路径时延差值的绝对值与第四预设阈值之间的大小。

在本发明实施例中，路径时延差值为第三平均路径时延与第二平均路径时延之间的差值，第三平均路径时延为第三同步时刻的下一同步时刻对应的平均路径时延。

在第三时间偏差值大于第三阈值的情况下，可以判断路径时延差值的绝对值与第四预设阈值之间的大小，即，当十二点的第二十二秒对应的时间偏差值大于第三阈值的时候，计算十二点的第二十三秒对应的平均路径时延与第二平均路径时延之间的差值，并判断该路径时延差值的绝对值与第四预设阈值之间的大小。

第四预设阈值可以为预先设置的一个阈值，其阈值的大小可以根据实验或者经验进行设置。示例性的，可以将该第四预设阈值设置为预设准确度的一半值，或者也可以将第四预设阈值设置为第三阈值的两倍。

当时延攻击为线性时延攻击或者随机时延攻击，虽然每个同步时刻，外部攻击者所增加的时延较小，但是多次同步时刻之后累计的时延较大，如果是网络抖动较大导致的时间偏差值较大，网络抖动通常发生在瞬间或者短暂的几秒中，多次同步时刻之后累计的时延相对较小。因此，在该种情况下，通过平均路径时延进一步判断是否发生时延攻击，排除网络抖动较大的可能，进而能够提高本发明实施例对时延攻击的监测准确性。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

参见图4，s205，在路径时延差值的绝对值大于第四预设阈值的情况下，将授时流量从原始路径重定向至预先确定的路径。

当路径时延差值的绝对值大于第四预设阈值时，由于第二平均路径时延表示的是系统误差所产生的平均路径时延，因此第三平均路径时延与第二平均路径时延之间的差值，为外部攻击者在单侧路径上增加的时延产生的平均路径时延，在路径时延差值的绝对值大于第四预设阈值的情况下，表明外部攻击者在增加的时延产生的平均路径时延大于第四预设阈值，则表明发生时延攻击，因此可以将授时流量从原始路径重定向至预先确定的路径。

在路径时延差值的绝对值小于或等于第四预设阈值的情况下，则表明没有发生时延攻击，即十二点的第二十三秒没有发生时延攻击，则继续计算十二点的第二十四秒对应的平均路径时延，并将其与第二平均路径时延之间的差值的绝对值，与第四预设阈值进行比较，判断该同步时刻是否发生时延攻击。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

此外，如图3所示，当已经将授时流量重定向至预先确定的路径后，则可以设定控制器重新进入同步校准期。

作为本发明实施例的一种可选的实施方式，在图4所示实施例流程的步骤s204之前，如图5所示，本发明实施例提供的软件定义的网络授时安全防护方法还可以包括：

s301，将第二阈值的确定为第四预设阈值。

当采用linuxptp软件进行时间同步时，通常使用中值滤波器改善网络抖动时对时间同步带来的影响，在该模式下，未发生时延攻击的同步时刻对应的平均路径时延的计算公式如下：

delay＝[(t2-t3)*clockrateratio-(t4-t1)]/2

式中，delay表示未发生时延攻击的同步时刻对应的平均路径时延，t2表示授时数据包到达时间客户端的第二时间戳，t3表示授时数据包离开时间客户端的第三时间戳，clockrateratio表示时钟频率比，即时间服务器的频率和时间客户端的频率之间的比值，t4表示授时数据包到达时间服务器的第四时间戳，t1表示授时数据包离开时间服务器的第一时间戳。

发生时延攻击的同步时刻对应的平均路径时延计算公式可以为：

delayattack＝[(t2'-t3)*clockrateratio-(t4-t1)]/2

式中，delayattack表示发生时延攻击的同步时刻对应的平均路径时延，t2'表示时延攻击后授时数据包到达时间客户端的第二时间戳，其中t2'＝t2+t，t表示外部攻击者在单侧路径上增加的时延，则时发生时延攻击的同步时刻对应的平均路径时延可以表示为：

delayattack＝delay+t/2

未发生时延攻击的同步时刻对应的时间偏差值与平均路径时延的关系可以表示为：

offset＝t2-t1-filtereddelay

式中，offset表示未发生时延攻击的同步时刻对应的时间偏差值，filtereddelay表示delay经过滤波器之后的平均路径时延，将平均路径时延输入至中值滤波器中，此时，发生时延攻击的同步时刻对应的时间偏差值可以表示为：

offsetattack＝t2'-t1-filtereddelay

＝offset+t

式中，offsetattack表示发生时延攻击的同步时刻对应的时间偏差值。

因此，由以上计算公式可知，当外部攻击者在单侧路径上增加t时延后，平均路径时延增加时间偏差值增加t，因此可以将第二阈值的确定为第四预设阈值。

当路径时延差值的绝对值大于第四预设阈值时，表明外部攻击者在增加的时延产生的平均路径时延大于第四预设阈值。由于外部攻击者在单侧路径上增加t时延后，平均路径时延增加t的一半值，因此该种情况下，外部攻击者在单侧路径上增加的时延为第四预设阈值的两倍，即第二阈值，则时间偏差值增加第二阈值，表明发生时延攻击。例如，第二阈值为1200ns，第四预设阈值即为600ns，则路径时延差值的绝对值大于600ns，第三平均路径时延与第二平均路径时延之间的差值大于600ns，则表明外部攻击者在单侧路径上增加的时延大于1200ns，当第三阈值为300ns时，时间偏差值大于1500ns，表明发生时延攻击。

因此，将第二阈值的一半值，确定为第四预设阈值，能够进一步提高本发明实施例判断是否发生时延攻击的准确性，因为如果第四预设阈值小于第二阈值的一半值时，可能将多个同步时刻均发生较大的网络抖动的情况，判定为发生时延攻击；如果第四预设阈值大于第二阈值的一半值时，可能将发生时延攻击的情况判定为未发生时延攻击，进而导致时间偏差值大于预设准确度的情况。需要说明的是，该步骤可以由控制器中的安全控制模块完成。

作为本发明实施例的一种可选的实施方式，将授时流量从原始路径重定向至预先确定的路径的步骤，可以包括：

第一步，利用预设的迪杰斯特拉算法选取预先确定的路径。

利用预设的迪杰斯特拉算法选取预先确定的路径的过程可以为：通过运行该预设的迪杰斯特拉算法，可以在原始路径上的第二网元上添加标识，该标识可以为表示删除的标识或者其他特殊的标识，便于该预设的迪杰斯特拉算法在重新选取路径时，不再选择这些具有标识的第二网元。此处需要说明的是，预设的迪杰斯特拉算法是预先在控制器中设置的一个算法，该算法是从一个顶点到其余各顶点的最短路径算法。

第二步，向预先确定的路径上的第一网元发送第二数据包。

在本发明实施例中，第二数据包用于使第一网元在接收到授时数据包后，将授时数据包转发至下一个第一网元，授时数据包为在时间服务器和时间客户端之间传输的数据包。例如，可以在该第二数据包中携带预设的标识，该预设的标识用于告知接收到该第二数据包的第一网元，已经将同步路径重定向至新的路径，当第二网元接收到授时数据包后，可以根据预设的标识将该授时数据包转发至下一个第一网元。

本发明实施例提供的一种软件定义的网络授时安全防护方法，通过判断第一时间偏差值与第一预设阈值之间的大小，在第一时间偏差值小于或等于第一预设阈值的情况下，判断第三时间偏差值与第二阈值之间的大小，在第三时间偏差值大于第二阈值的情况下，则判定为第三时间偏差值对应的第三同步时刻发生时延攻击，将授时流量从原始路径重定向至预先确定的路径，由于该预先确定的路径上的第一网元与原始路径上的第二网元不同，因此在原始路径上发动的时延攻击并不影响预先确定的路径的安全性，进而使得本发明实施例能够在监测到时延攻击时，可以继续使用预先确定的路径上的第一网元，对时间服务器与时间客户端之间传输的数据包进行转发，时间服务器能够继续为时间客户端授时。因此本发明实施例能够使时间服务器和时间客户端之间的时钟同步连续进行，从而减小时间服务器和时间客户端之间的时间偏差值。此外，本发明实施例对时间服务器和时间客户端之间的时钟同步起到安全防护的作用，能够在一定程度上减小时延攻击对时钟同步的影响。

本发明实施例提供的一种软件定义的网络授时安全防护装置的一种具体实施例，与图1所示流程相对应，参考图6，图6为本发明实施例的一种软件定义的网络授时安全防护装置的一种结构示意图，包括：

接收模块401，用于接收第一数据包，第一数据包中携带有时间服务器和时间客户端之间的第一时间偏差值。

第一判断模块402，用于判断第一时间偏差值与第一预设阈值之间的大小。

第一统计模块403，用于在第一时间偏差值小于或等于第一预设阈值的情况下，统计预设时间段内的每个同步时刻对应的第二时间偏差值，预设时间段内的第二同步时刻为第一同步时刻的下一个同步时刻，第二同步时刻为预设时间段内的首个同步时刻，第一同步时刻为目标时间偏差值对应的同步时刻，目标时间偏差值为小于或等于第一预设阈值的第一时间偏差值。

第一计算模块404，用于基于所统计的多个第二时间偏差值，计算第二阈值。

第二判断模块405，用于判断第三时间偏差值与第二阈值之间的大小，第三时间偏差值为第三同步时刻对应的时间偏差值，第三同步时刻晚于预设时间段内的任意一个同步时刻。

第一重定向模块406，用于在第三时间偏差值大于第二阈值的情况下，将授时流量从原始路径重定向至预先确定的路径，以使时间服务器根据上述授时流量对时间客户端授时，原始路径为第一同步时刻对应的路径，预先确定的路径上的第一网元与原始路径上的第二网元不同，第一网元和第二网元均属于多个网元。

作为本发明实施例一种可选的实施方式，上述第一计算模块404，可以包括：

第一计算子模块，用于针对所统计的多个第二时间偏差值，计算各第二时间偏差值的绝对值。

确定子模块，用于将多个绝对值中，具有最大值的绝对值确定为第三阈值。

第二计算子模块，用于利用第一预设表达式计算第二阈值，第一预设表达式为：

k1＝tac-max(offset)

式中，k1表示第二阈值，tac表示预设准确度，max(offset)表示第三阈值。

作为本发明实施例一种可选的实施方式，在图6所示装置结构的基础上，如图7所示，本发明实施例提供的软件定义的网络授时安全防护装置还可以包括：

第三判断模块407，用于在第三时间偏差值小于或等于第二阈值的情况下，判断第三时间偏差值与第三阈值之间的大小。

第二统计模块408，用于在第三时间偏差值大于第三阈值的情况下，统计预设时间段内的每个同步时刻对应的第一平均路径时延。

第二计算模块409，用于根据所统计的多个第一平均路径时延，计算第二平均路径时延，第二平均路径时延为多个第一平均路径时延的平均值。

第四判断模块410，用于判断路径时延差值的绝对值与第四预设阈值之间的大小，路径时延差值为第三平均路径时延与第二平均路径时延之间的差值，第三平均路径时延为第三同步时刻的下一同步时刻对应的平均路径时延。

第二重定向模块411，用于在路径时延差值的绝对值大于第四预设阈值的情况下，将授时流量从原始路径重定向至预先确定的路径。

作为本发明实施例一种可选的实施方式，在图7所示装置结构的基础上，如图8所示，本发明实施例提供的软件定义的网络授时安全防护装置还可以包括：

确定模块412，用于将第二阈值的确定为第四预设阈值。

作为本发明实施例一种可选的实施方式，上述第一重定向模块306，可以包括：

选取子模块，用于利用预设的迪杰斯特拉算法选取预先确定的路径。

发送子模块，用于向预先确定的路径上的第一网元发送第二数据包，第二数据包用于使第一网元在接收到授时数据包后，将授时数据包转发至下一个第一网元，授时数据包为在时间服务器和时间客户端之间传输的数据包。

本发明实施例提供的一种软件定义的网络授时安全防护装置，通过判断第一时间偏差值与第一预设阈值之间的大小，在第一时间偏差值小于或等于第一预设阈值的情况下，判断第三时间偏差值与第二阈值之间的大小，在第三时间偏差值大于第二阈值的情况下，则判定为第三时间偏差值对应的第三同步时刻发生时延攻击，将授时流量从原始路径重定向至预先确定的路径，由于该预先确定的路径上的第一网元与原始路径上的第二网元不同，因此在原始路径上发动的时延攻击并不影响预先确定的路径的安全性，进而使得本发明实施例能够在监测到时延攻击时，可以继续使用预先确定的路径上的第一网元，对时间服务器与时间客户端之间传输的数据包进行转发，时间服务器能够继续为时间客户端授时。因此本发明实施例能够使时间服务器和时间客户端之间的时钟同步连续进行，从而减小时间服务器和时间客户端之间的时间偏差值。

本发明实施例提供了一种软件定义的网络授时安全防护系统，该系统可以包括：控制器，分别与控制器通信连接的时间服务器和时间客户端，以及在时间服务器与时间客户端之间依次通信连接的多个网元，多个网元分别与控制器通信连接。

在本发明实施例中，时间客户端用于向时间服务器发送请求数据包，接收时间服务器发送的回应数据包，向授时控制模块发送请求数据包到达时间客户端的时间戳，以及向授时控制模块发送回应数据包离开时间客户端的时间戳；时间服务器用于接收时间客户端发送的请求数据包，向时间客户端发送回应数据包，向授时控制模块发送请求数据包到达时间服务器的时间戳，向授时控制模块发送回应数据包离开时间服务器的时间戳；多个网元用于转发时间服务器和时间客户端之间传输的请求数据包和回应数据包，向授时控制模块发送请求数据包到达和离开网元的时间戳，以及向授时控制模块发送回应数据包到达和离开网元的时间戳。

控制器包括：授时控制模块，安全控制模块，以及网络控制模块。

在本发明实施例中，授时控制模块用于计算时间服务器与时间客户端之间的时间偏差值。授时控制模块可以根据时间客户端、时间服务器以及各网元发送的时间戳计算时间补偿值。

时间客户端用于根据时间补偿值，计算时间服务器与时间客户端之间的时间偏差值，以及计算时间服务器与时间客户端之间的平均路径时延。

安全控制模块为本发明实施例提供的软件定义的网络授时安全保护系统提供安全防护，安全控制模块可以包括：同步信息获取单元，时延攻击监测单元，策略解析单元和指令推送单元等，其中各个单元之间通过消息队列通信，可以通过增加新的单元实现新的安全功能。

在本发明实施例中，同步信息获取单元，用于获取时间服务器和时间客户端之间的时间偏差值和平均路径时延，授时控制模块在计算得到时间客户端和时间服务器之间的时间偏差值和平均路径时延之后，可以将该时间偏差值和平均路径时延发送至同步信息获取单元，同步信息获取单元将该时间偏差值和平均路径时延发送至时延攻击监测单元，便于时延攻击监测单元根据时间偏差值和平均路径时延，判断时间客户端与时间服务器之间的原始路径是否发生时延攻击。

此外，授时控制模块还可以计算每个同步时刻对应的平均路径时延，并将计算得到的平均路径时延发送至同步信息获取单元，同步信息获取单元在接收到平均路径时延后将其发送至时延攻击监测单元，便于时延攻击监测单元根据平均路径时延进一步判断时间客户端与时间服务器之间的原始路径是否发生时延攻击。

时延攻击监测单元，用于判断时间客户端和时间服务器之间的原始路径是否发生时延攻击，并在原始路径发生时延攻击的情况下，发送用于重定向授时流量的安全策略。在本发明实施例中，可以参照上述软件定义的网络授时安全防护方法，判断原始路径上是否发生时延攻击，此处不再赘述。需要说明的是，在本发明实施例中，时延攻击也可以称为延时攻击或者延迟攻击。

在通过上述方法判断原始路径是否发生时延攻击之后，如果发生时延攻击，则时延攻击监测单元可以向策略解析单元发送安全策略。

策略解析单元，用于接收安全策略，并从预设的数据库中选取与该安全策略对应的重定向授时流量指令，重定向授时流量指令的格式，为网络控制模块能够执行的格式。在本发明实施例中，数据库为预先存储至控制器中的数据库，其中存储有安全策略与重定向授时流量指令之间的对应关系，其中，安全策略与重定向授时流量指令内容相同，格式不同。策略解析单元在选取到重定向授时流量指令之后，可以将该重定向授时流量指令发送至指令推送单元。

指令推送单元，用于将重定向授时流量指令推送给网络控制模块，指令推送单元在接收到策略解析单元发送的重定向授时流量指令之后，可以将该重定向授时流量指令发送至网络控制模块，便于网络控制模块根据其指令，对授时流量进行重定向。此外，如果有需要的话，指令推送单元还可以将重定向授时流量指令推送给授时控制模块。

网络控制模块，用于接收重定向授时流量指令，并将授时流量从原始路径重定向至预先确定的路径。

作为本发明实施例的一种可选的实施方式，安全控制模块还可以包括：网络流获取单元，用于获取网路中各网元的流表信息，并将流表信息发送至时延攻击监测单元，流表信息中携带有发送该流表信息的网元端口。需要说明的是，每个网元可以具有多个不同的端口，当发送流表信息的网元端口发生变化时，表明整个网络的拓扑结构发生变化，进而可能导致时间客户端与时间服务器之间的时间偏差值发生突变，因此，为了避免因网络拓扑变化导致时间偏差值变化，而最终导致可能将当前同步时刻的原始路径误判为发生时延攻击的情况，可以先获取流表信息，并判断当前同步时刻对应的网元端口与前一同步时刻对应的网元端口是否相同，进而判断网络拓扑是否发生变化。

时延攻击监测单元，还用于接收流表信息，并判断当前同步时刻对应的网元端口与前一同步时刻对应的网元端口是否相同，在当前同步时刻对应的网元端口与前一同步时刻对应的网元端口不相同的情况下，重新计算第一预设阈值，以及判断时间偏差值与第一预设阈值之间的大小。当当前同步时刻对应的网元端口与前一同步时刻对应的网元端口不同时，则表明网络的拓扑结构发生变化，此时如果再进行时延攻击的判断时，可能导致误判的情况发生，因此，可以重新计算第一预设阈值，并将同步过程设定为同步校准期，从同步校准期开始重新对路径进行时延攻击监测。

本发明实施例提供的软件定义的网络授时安全防护系统，通过判断时间客户端与时间服务器之间的原始路径是否发生时延攻击，在发生时延攻击的情况下，将授时流量从原始路径重定向至预先确定的路径，由于该预先确定的路径上的网元与原始路径上的网元不同，因此在原始路径上发动的时延攻击并不影响预先确定的路径的安全性，进而使得本发明实施例能够在监测到时延攻击时，可以继续使用预先确定的路径上的网元，对时间服务器与时间客户端之间传输的数据包进行转发，时间服务器能够继续为时间客户端授时。因此本发明实施例能够使时间服务器和时间客户端之间的时钟同步连续进行，从而减小时间服务器和时间客户端之间的时间偏差值。

本发明实施例还提供了一种电子设备，包括处理器、通信接口、存储器和通信总线，其中，处理器，通信接口，存储器通过通信总线完成相互间的通信。存储器，用于存放计算机程序。处理器，用于执行存储器上所存放的程序时，实现如下步骤：

接收第一数据包，第一数据包中携带有时间服务器和时间客户端之间的第一时间偏差值。判断第一时间偏差值与第一预设阈值之间的大小。在第一时间偏差值小于或等于第一预设阈值的情况下，统计预设时间段内的每个同步时刻对应的第二时间偏差值，预设时间段内的第二同步时刻为第一同步时刻的下一个同步时刻，第二同步时刻为预设时间段内的首个同步时刻，第一同步时刻为目标时间偏差值对应的同步时刻，目标时间偏差值为小于或等于第一预设阈值的第一时间偏差值。基于所统计的多个第二时间偏差值，计算第二阈值。判断第三时间偏差值与第二阈值之间的大小，第三时间偏差值为第三同步时刻对应的时间偏差值，第三同步时刻晚于预设时间段内的任意一个同步时刻。在第三时间偏差值大于第二阈值的情况下，将授时流量从原始路径重定向至预先确定的路径，以使时间服务器根据上述授时流量对时间客户端授时，原始路径为第一同步时刻对应的路径，预先确定的路径上的第一网元与原始路径上的第二网元不同，第一网元和第二网元均属于多个网元。

本发明实施例提供的一种电子设备，通过判断第一时间偏差值与第一预设阈值之间的大小，在第一时间偏差值小于或等于第一预设阈值的情况下，判断第三时间偏差值与第二阈值之间的大小，在第三时间偏差值大于第二阈值的情况下，则判定为第三时间偏差值对应的第三同步时刻发生时延攻击，将授时流量从原始路径重定向至预先确定的路径，由于该预先确定的路径上的第一网元与原始路径上的第二网元不同，因此在原始路径上发动的时延攻击并不影响预先确定的路径的安全性，进而使得本发明实施例能够在监测到时延攻击时，可以继续使用预先确定的路径上的第一网元，对时间服务器与时间客户端之间传输的数据包进行转发，时间服务器能够继续为时间客户端授时。本发明实施例对时间服务器和时间客户端之间的时钟同步起到安全防护的作用，能够在一定程度上减小时延攻击对时间同步的影响。

上述电子设备提到的通信总线可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。通信接口用于上述电子设备与其他设备之间的通信。存储器可以包括随机存取存储器(randomaccessmemory，简称ram)，也可以包括非易失性存储器(non-volatilememory)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)等；还可以是数字信号处理器(digitalsignalprocessing，简称dsp)、专用集成电路(applicationspecificintegratedcircuit，简称asic)、现场可编程门阵列(field-programmablegatearray，简称fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

本发明实施例还提供了一种计算机可读存储介质，计算机可读存储介质内存储有计算机程序，当其在计算机上运行时，使得计算机执行上述实施例中任一所述的软件定义的网络授时安全防护方法。对于装置/电子设备/存储介质实施例而言，由于其基本相似于方法实施例，所以描述的比较简单，相关之处参见方法实施例的部分说明即可。

需要说明的是，本发明实施例的装置、电子设备及存储介质分别是应用上述软件定义的网络授时安全防护方法的装置、电子设备及存储介质，则上述软件定义的网络授时安全防护方法的所有实施例均适用于该装置、电子设备及存储介质，且均能达到相同或相似的有益效果。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。

以上所述仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。