GNSS授时信号的安全评估方法和装置与流程

gnss授时信号的安全评估方法和装置
技术领域
1.本技术的实施例一般涉及授时安全技术领域，并且更具体地，涉及一种gnss授时信号的安全评估方法和装置。


背景技术：

2.gnss全球卫星导航系统提供了pvt三大核心功能，其中t作为授时信号，为地理和物理上分布的设备和主机提供精准的、统一的、全局的时钟服务，目前已广泛的应用到通信、电力、金融、交通等各个关键基础设施行业，是维护社会经济稳定运行的基石。随着5g、物联网等技术的规模化应用，大量的授时设备由于分布地域广，绝大部分设备处于无人值守的状态，一旦授时信号受到干扰或攻击，无法从整体上感知当前的安全风险，对gnss授时安全整体的状况进行研判，从而降低安全运营的成本，提升安全事件的处置效率，实现从被动响应到主动预防的模式转变。
3.现有的ngss授时信号防控的技术手段通常是主要是依附在独立的主机或设备中，植入独立的模块来实现授时信息的检测，当发现授时信号被干扰或错误时，则通过设备内部的时钟同步晶振模块或通过高可靠、高质量、高频率的地钟服务来维系时钟的同步。但随着5g、物联网等技术的规模化应用，需要授时的主机和设备分布范围广，数量多，仅依赖独立部署授时安全检测模块很难满足准确的识别和防控授时信号的干扰和攻击。
4.申请人在实现本技术技术方案的过程中发现，现有的技术和解决方案体系主要存在以下问题：
5.1、独立设备的授时信号是否受到干扰和攻击主要是依赖独立设备中的内部模块来判断，各自为政，特别是受到欺骗性干扰，存在由于无法识别异常而个别设备时钟不同步的问题，从而导致业务的无法正常开展；
6.2、现有的授时信号的检测和防御模块均独立运行，数据之间没有有效融合，无法满足行业客户统一的监控和监管机制需求；
7.3、由于授时信息干扰和攻击所采用的射频信号具备一定的范围属性，可根据时间、空间以及行业等属性来对gnss授时信号进行综合性安全评估，从而实现未卜先知，满足并达到主动防控的需求。


技术实现要素：

8.有鉴于此，本技术实施例的目的在于提供了一种gnss授时信号的安全评估方法和装置，来解决现有技术中的ngss授时信号存在的上述问题。
9.为解决上述问题，在本技术的第一方面，提供一种gnss授时信号的安全评估方法，包括：
10.获取待评估的当前gnss授时信号，确定所述当前gnss授时信号的属性信息，所述属性信息包括所述当前gnss授时信号的位置信息和对应的设备信息；
11.根据所述位置信息，获取包括所述当前gnss授时信号对应的设备在内的预设区域
范围内的设备清单，所述设备清单内存储有对应设备在预设时间段内受到攻击的次数；
12.根据所述设备清单确定所述当前gnss授时信号对应的设备安全评估值。
13.在一些实施例中，还包括：
14.预先采用tcp协议按照预设周期通过标准化接口采集分布在不同区域和/或不同行业的gnss授时soc安全管理平台上的日志数据和/或告警数据。
15.在一些实施例中，还包括：
16.对采集到的日志数据和/或告警数据进行分类存储，并对分类存储后的数据进行转换和/或补全，以不同时间段为维度计算各行业gnss设备安全告警的次数和/或以地域为维度计算gnss设备无法正常工作的时长，生成对应的设备清单。
17.在一些实施例中，所述获取包括所述当前gnss授时信号对应的设备在内的预设区域范围内的设备清单，包括：
18.以所述当前gnss授时信号对应的设备为圆心，预设距离为半径，确定圆形区域，获取该圆形区域内的授时设备的设备清单。
19.在一些实施例中，所述根据所述设备清单确定所述当前gnss授时信号对应的设备安全评估值，包括：
20.利用以下公式确定当前gnss授时信号对应的设备安全评估值：
21.var＝(tra/tha)*100％，其中，var为安全评估值，tra为总风险评估值，tha为预先定义的风险评估标准值；
22.tra＝ca*wa+cb*wb+cc*wc+
…
，c为每单个授时设备在当前时段内受到的干扰或攻击的次数，w为周边不同授时设备对当前gnss授时信号对应的设备安全性影响的权重值，权重值的计算公式为：wn＝(l-dn)/l，l为半径对应的预设距离的长度，dn为周边授时设备到当前gnss授时信号对应的设备的距离，a，b，c，n为周边授时设备的编号。
23.在一些实施例中，还包括：
24.通过web界面对gnss授时信号对应的设备的安全评估结果进行展示。
25.在一些实施例中，还包括：
26.以同样的方式计算其他gnss授时信号对应的设备的安全评估值，根据多个gnss授时信号对应的设备的安全评估值对设备清单的生成规则进行调整。
27.在本技术的第二方面，提供一种gnss授时信号的安全评估装置，包括：
28.信号获取模块，用于获取待评估的当前gnss授时信号，确定所述当前gnss授时信号的属性信息，所述属性信息包括所述当前gnss授时信号的位置信息和对应的设备信息；
29.设备清单获取模块，用于根据所述位置信息，获取包括所述当前gnss授时信号对应的设备在内的预设区域范围内的设备清单，所述设备清单内存储有对应设备在预设时间段内受到攻击的次数；
30.安全评估模块，用于根据所述设备清单确定所述当前gnss授时信号对应的设备安全评估值。
31.在本技术的第三方面，提供了一种电子设备，包括存储器和处理器，所述存储器上存储有计算机程序，所述处理器执行所述程序时实现如以上所述的方法。
32.在本技术的第四方面，提供了一种计算机可读存储介质，其上存储有计算机程序，所述程序被处理器执行时实现如以上所述的方法。
33.通过本技术的gnss授时信号的安全评估方法，能够采集全域的gnss授时安全的相关数据，实现了数据的有效融合，通过多方联动的gnss授时安全评估，一方面满足了相关行业对gnss授时安全信号的统一监管和运维的业务需求；另外一方面，通过对gnss授时安全性做出的综合分析，可对gnss授时安全进行研判，实现安全运营工作由被动响应到主动防御的转变。
34.发明内容部分中所描述的内容并非旨在限定本技术的实施例的关键或重要特征，亦非用于限制本技术的范围。本技术的其它特征将通过以下的描述变得容易理解。
附图说明
35.结合附图并参考以下详细说明，本技术各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中，相同或相似的附图标记表示相同或相似的元素，其中：
36.图1示出了本技术实施例一的gnss授时信号的安全评估方法的流程图；
37.图2示出了本技术实施例二的gnss授时信号的安全评估装置的结构示意图；
38.图3示出了本技术实施例三的gnss授时信号的安全评估设备的结构示意图。
具体实施方式
39.为使本技术实施例的目的、技术方案和优点更加清楚，下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的全部其他实施例，都属于本技术保护的范围。
40.另外，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
41.本技术实施例提供一种gnss授时信号的安全评估方法，来对设备的授时信号的安全性进行评估。
42.具体地，如图1所示，为本技术实施例一的gnss授时信号的安全评估方法。本实施例的gnss授时信号的安全评估方法，可以包括以下步骤：
43.s101：获取待评估的当前gnss授时信号，确定所述当前gnss授时信号的属性信息，所述属性信息包括所述当前gnss授时信号的位置信息和对应的设备信息。
44.在本实施例中，当对目标设备的授时信号进行评估时，首先需要获取待评估的当前gnss授时信号，确定所述当前gnss授时信号的属性信息，其中，所述属性信息包括所述当前gnss授时信号的位置信息和对应的设备信息。
45.具体地，可以预先采用tcp协议按照预设周期通过标准化接口采集分布在不同区域和/或不同行业的gnss授时soc安全管理平台上的日志数据和/或告警数据。将汇聚到的日志类数据和告警类数据原始数据照数据模型的要求进行分类存储；对采集到的相关数据结合授时防火墙的设备基础信息以及地理位置基础信息对采集汇聚的数据进行转换或补全；建立gnss安全指标模型，进行基础的数据统计计算分析，生成对应的设备清单。如：以不同时间段(小时、天、周、月、年)为维度计算各行业gnss设备安全告警的次数、以地域为维度计算gnss设备无法正常工作的时长等，为gnss安全分析与评估提供数据支撑。
46.s102：根据所述位置信息，获取包括所述当前gnss授时信号对应的设备在内的预设区域范围内的设备清单，所述设备清单内存储有对应设备在预设时间段内受到攻击的次数。
47.在本实施例中，当获取到所述位置信息后，可以基于获取的位置信息确定一个区域范围，然后获取包括所述当前gnss授时信号对应的设备在内的预设区域范围内的设备清单，进而获取设备清单内各应设备在预设时间段内受到攻击的次数，以便于后续的为gnss安全分析与评估提供数据支撑。
48.作为本实施例的一个可选实施方式，以所述当前gnss授时信号对应的设备为圆心，预设距离为半径，确定圆形区域，获取该圆形区域内的授时设备的设备清单。
49.此外，还可以通过其他的方式确定区域范围，进而获取区域范围内对应设备的设备清单。
50.s103：根据所述设备清单确定所述当前gnss授时信号对应的设备安全评估值。
51.在本实施例中，当获取到设备清单内各应设备在预设时间段内受到攻击的次数后，可以根据所述设备清单按照预设规则确定当前gnss授时信号对应的设备安全评估值。
52.具体地，可以利用以下公式确定当前gnss授时信号对应的设备安全评估值：
53.var＝(tra/tha)*100％，其中，var为安全评估值，tra为总风险评估值，tha为预先定义的风险评估标准值。并且，tra＝ca*wa+cb*wb+cc*wc+
…
，c为每单个授时设备在当前时段内受到的干扰或攻击的次数，w为周边不同授时设备对当前gnss授时信号对应的设备安全性影响的权重值，权重值的计算公式为：wn＝(l-dn)/l，l为半径对应的预设距离的长度，dn为周边授时设备到当前gnss授时信号对应的设备的距离，a，b，c，n为周边授时设备的编号。
54.本实施例的gnss授时信号的安全评估方法，能够采集全域的gnss授时安全的相关数据，实现了数据的有效融合，通过多方联动的gnss授时安全评估，一方面满足了相关行业对gnss授时安全信号的统一监管和运维的业务需求；另外一方面，通过对gnss授时安全性做出的综合分析，可对gnss授时安全进行研判，实现安全运营工作由被动响应到主动防御的转变。
55.此外，作为本公开的一个可选实施例，上述方法还包括：
56.通过web界面对gnss授时信号对应的设备的安全评估结果进行展示。具体地，为更直观的展示gnss的安全评估结果和态势，平台提供web界面，支撑不同角色的人员对gnss的安全态势的评估效果进行展示，结合地理位置、时间周期、所属行业等多种属性进行图文、列表和gis图形展示，在界面中直接展示告警，辅助开展gnss的安全运维工作。
57.并且gnss安全运维管理人员可通过决策支撑模块来对总体、某行业、某区域的gnss的安全态势感知评估，并提供对外数据服务的接口，并可通过邮件、短信等方式通知附近现场的施工人员，及时的对gnss安全事件进行处置。
58.此外，在上述实施例中，还可以包括：以同样的方式计算其他gnss授时信号对应的设备的安全评估值，根据多个gnss授时信号对应的设备的安全评估值对设备清单的生成规则进行调整。同时，还可以按照预设的周期(例如1个月、3个月等)根据多个设备的安全评估结果值对设备风险评估过程中的风险评估标准值进行调整，使得设备的评估结果更加符合预期。这样，通过反馈式的调整，可以使得对gnss授时信号的安全评估更加准确。
59.需要说明的是，对于前述的各方法实施例，为了简单描述，故将其都表述为一系列
的动作组合，但是本领域技术人员应所述知悉，本技术并不受所描述的动作顺序的限制，因为依据本技术，某些步骤可以采用其他顺序或者同时进行。其次，本领域技术人员也应所述知悉，说明书中所描述的实施例均属于可选实施例，所涉及的动作和模块并不一定是本技术所必须的。
60.以上是关于方法实施例的介绍，以下通过装置实施例，对本技术所述方案进行进一步说明。
61.如图2所示，为本技术实施例二的gnss授时信号的安全评估装置的结构示意图。本实施例的gnss授时信号的安全评估装置，包括：
62.信号获取模块201，用于获取待评估的当前gnss授时信号，确定所述当前gnss授时信号的属性信息，所述属性信息包括所述当前gnss授时信号的位置信息和对应的设备信息；
63.设备清单获取模块202，用于根据所述位置信息，获取包括所述当前gnss授时信号对应的设备在内的预设区域范围内的设备清单，所述设备清单内存储有对应设备在预设时间段内受到攻击的次数；
64.安全评估模块203，用于根据所述设备清单确定所述当前gnss授时信号对应的设备安全评估值。
65.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，所述描述的模块的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
66.图3示出了可以用来实施本技术的实施例的电子设备300的示意性框图。如图所示，设备300包括中央处理单元(cpu)301，其可以根据存储在只读存储器(rom)302中的计算机程序指令或者从存储单元308加载到随机访问存储器(ram)303中的计算机程序指令，来执行各种适当的动作和处理。在ram 303中，还可以存储设备300操作所需的各种程序和数据。cpu 301、rom 302以及ram 303通过总线304彼此相连。输入/输出(i/o)接口305也连接至总线304。
67.设备300中的多个部件连接至i/o接口305，包括：输入单元306，例如键盘、鼠标等；输出单元307，例如各种类型的显示器、扬声器等；存储单元308，例如磁盘、光盘等；以及通信单元309，例如网卡、调制解调器、无线通信收发机等。通信单元309允许设备300通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
68.处理单元301执行上文所描述的各个方法和处理，其被有形地包含于机器可读介质，例如存储单元308。在一些实施例中，计算机程序的部分或者全部可以经由rom 302和/或通信单元309而被载入和/或安装到设备300上。当计算机程序加载到ram 303并由cpu 301执行时，可以执行上文描述的方法的一个或多个步骤。备选地，在其他实施例中，cpu 301可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行上述方法。
69.本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、负载可编程逻辑设备(cpld)等等。
70.用于实施本技术的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处
理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
71.在本技术的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
72.此外，虽然采用特定次序描绘了各操作，但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行，或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下，多任务和并行处理可能是有利的。同样地，虽然在上面论述中包含了若干具体实现细节，但是这些不应当被解释为对本技术的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地，在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
73.尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题，但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反，上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。