鐵路時間同步網(wǎng)協(xié)議安全性研究.pdf

1、鐵路時間同步網(wǎng)是鐵路承載網(wǎng)的重要支撐子網(wǎng)，為鐵路內(nèi)部各系統(tǒng)提供統(tǒng)一標準時間信息。鐵路時間同步網(wǎng)使用了NTP(Network Time Protocol，網(wǎng)絡(luò)時間協(xié)議)，并按照其“服務(wù)器/客戶端”的工作模式為鐵路各個業(yè)務(wù)系統(tǒng)提供時間同步服務(wù)。NTP協(xié)議屬于無連接性協(xié)議，自身的安全性較差，因此，研究NTP協(xié)議的安全性對保證鐵路時間同步網(wǎng)的安全高效運行具有重要意義。本文以鐵路時間同步網(wǎng)為研究對象，首先使用有色Petri網(wǎng)對NTP協(xié)議漏洞進行分

2、析驗證，然后對鐵路時間同步網(wǎng)上發(fā)生的DDoS(Distributed Denial of Service，分布式拒絕服務(wù))攻擊提出了預(yù)防響應(yīng)措施。
　　NTP協(xié)議進行時間同步服務(wù)時，首先對服務(wù)器身份進行驗證，該驗證過程通過私有證書或可信證書實現(xiàn)。NTP協(xié)議通過證書進行服務(wù)器身份驗證時，其過程中存在可能被入侵者利用的漏洞。因此，本文首先基于有色Petri網(wǎng)的逆向狀態(tài)分析法，對NTP協(xié)議在證書驗證過程中存在的不安全狀態(tài)進行了可達性分析

3、;然后，采用有色Petri網(wǎng)建模軟件CPN Tools對分析結(jié)果進行了仿真驗證。結(jié)果表明:NTP協(xié)議在兩種證書驗證的過程中存在的不安全狀態(tài)均是可達的，且仿真驗證結(jié)果與理論分析相吻合，證明NTP協(xié)議存在安全漏洞。
　　為了預(yù)防在鐵路時間同步網(wǎng)上發(fā)生的DDoS攻擊，本文提出了Egress過濾法結(jié)合改進型包標記策略的綜合防御方法。首先，對來源于外部僵尸主機產(chǎn)生的惡意數(shù)據(jù)包，使用Egress過濾方法，對地址信息不符合規(guī)定的數(shù)據(jù)包進行過濾;