恰逢其时——实时管理天空和地面时间源以保护关键基础设施免受网络安全威胁

依赖全球导航卫星系统（GNSS）接收定位、导航和授时（PNT）数据的关键公共基础设施系统已被全球各国家安全机构确定为潜在的网络安全攻击途径。2020年末，美国国土安全部（DHS）发布了“弹性PNT符合性框架”指南，提供了一个公共参考点，以帮助关键基础设施提高应对PNT攻击威胁的弹性。在这一框架内，提出了一种网络安全方法：

预防：在第一层防御中，可以防止威胁进入系统。但是，必须假设无法阻止所有威胁。

响应：能够检测到非典型错误或异常，并采取相应措施，例如缓解、抑制和报告。系统应确保在需要恢复之前对外部引起的非典型错误做出充分响应。

恢复：最后一道防线是恢复到正常的工作状态和规定的性能。

四个弹性级别

基于预防-响应-恢复网络安全模型，PNT符合性框架文件描述了四个弹性级别。请注意，弹性级别相互依存、互为基础——级别2包括级别1中列举的所有行为，依此类推。

该框架为设备提供了一套明确的PNT弹性指南，同时涵盖了芯片、模块和系统级别。尽管该框架并非特定于使用GNSS，但大部分重点都集中在GNSS漏洞以及对GNSS中断（无论是由无意干扰还是故意威胁引起的中断）的恢复能力上。然而，特定设备或技术的GNSS弹性并不能完全满足关键基础设施运营商的需求，他们可能在更大的地理区域内管理PNT服务的使用。

图1. DHS“弹性PNT符合性框架”指南中定义的四个弹性级别

关键基础设施扩展

关键基础设施通常以分层方式构建，从一组连接到辅助站点的核心站点开始，最终连接到远程站点。随着5G网络的推广，无线接入点的密集化和大规模部署将提高覆盖范围并实现更高的带宽，以便为物联网（IoT）和相关服务提供支持。然而，这种大规模的接入点也需要在更多端点上进行精准授时。

在电力企业基础设施中，电网正在通过太阳能和风能等替代能源得到增强和扩展。现代化的智能电网采用了高度分布式的架构，它依赖于精准授时来协调、监控和记录运行数据以及断电故障检测的识别。此外，电力企业在整个运营过程中都依赖授时服务来实现遥测数据的通信和传输。

迄今为止，GNSS一直是授时的首选来源，这导致对GNSS的依赖性呈指数级增长。由于这种巨大的依赖性，如今发生错误或中断造成的影响比以往任何时候都更加严重。

地面时间分布

作为向大量位置提供准确时间和减少对GNSS依赖性的替代方案，关键基础设施运营商正在转向使用数据包协议的地面分配方法，以便使用精确时间协议（PTP）实现高精度分配。

虚拟主参考时钟（vPRTC）是一种高度安全且具有弹性的基于网络的授时架构，旨在满足现代关键基础设施不断增长的需求。vPRTC的概念十分简单。它将成熟的授时技术融合到集中式受保护源位置，然后利用商业光纤网络链路和高级IEEE® 1588 PTP边界时钟，将100 ns PRTC授时分配给可能数百公里外有需求的端点。

正如基于GNSS卫星的授时系统使用露天传输将授时分配给端点一样，vPRTC使用地面（通常是光纤）网络分配授时。不同之处在于，运营商拥有完全的网络控制权，并可以根据需要保护网络。这种基于网络的授时称为可信时间。它可以作为主要授时源进行分发，也可以作为GNSS授时解决方案的备份部署。

然而，即便vPRTC方法在可靠性和安全性方面拥有诸多优势，仅依赖地面时间也可能形成单点故障，就像仅依赖GNSS的策略一样。因此，关键基础设施运营商正在部署同时使用GNSS和地面时间的架构。为了有效地做到这一点，运营商发现他们需要对两个关键时间源进行集中管理和可视化。此外，要兑现授时弹性的承诺，统一的管理系统需要包含可提供网络安全解决方案的功能，其中包括跨授时网络所有节点的预防-响应-恢复DHS安全指南。

统一时间管理

拥有授时网络所有节点的鸟瞰图对于提供授时安全性和弹性至关重要。当在GNSS异常或地面时间不稳定的情况下发生问题时，最紧急的事项是快速确定该事件是否孤立于特定位置、是否影响某个区域，或者在某些情况下是否由全球情况引起。集中管理和监测系统提供绿色、黄色和红色威胁状态指示，不同颜色代表了关注的不同位置。这是运营商了解其授时基础设施整体健康状况的一种简单方法。

图2. 全球数据中心的授时网络视图示例

当问题出现时，关键基础设施运营商接下来需要对能够快速隔离根本原因的“可观测数据”进行可视化。由于当今的授时网络同时依赖于GNSS时间和地面时间，因此能够以统一的方式查看代表两种授时源的可观测数据至关重要。

GNSS可观测数据

提到GNSS漏洞时，常用的术语包括多路径干扰、气候异常、干扰和欺骗。不过，要深入了解（可视化）细节以识别根本原因，则需要对信号进行更具体的表征。

对GNSS接收质量的可视化通过监测GNSS可观测数据来实现。表1提供了可以跟踪和监测的关键GNSS可观测数据的示例。

表1. 关键地面时间GNSS可观测数据示例

地面时间可观测数据

表征地面时间的质量需要在单个位置（局内）或跨网络节点（局间）的设备互连之间进行时间测量——例如，比较设备输入和输出或比较不同站点的信号。此外，随着PTP的标准化，需要能够评估网络授时数据包指标的能力，以验证从一个位置到另一个位置的时间传输。地面时间性能要求使一组不同的可观测数据可视化并受到监测。表2提供了关键地面时间可观测数据的示例。

在管理大型地理区域时，如果能够同时测量多个位置的GNSS时间与地面时间之间的相位差，那么运营商便可对这两种时间源进行比较。如前文所述，最好使用两种时间源来实现关键基础设施运营商最终需要的弹性。通过在多个位置对比测量这两个时间源，可以得知各个独立时间源是完全一致的，这有助于建立最高级别的信任。

表2. 必须可视化并受到监测的关键地面时间可观测数据

图3. GNSS时间和地面时间之间的相位差测量

结论

在行业、标准组织和DHS等政府组织的合作下，授时服务已成为关键基础设施运营的公认基础技术。利用行业标准的网络安全模型将有助于强化和增强授时设备。

尽管设备弹性至关重要，但获得整个网络授时性能的鸟瞰图是提供完整网络可视化的起点，这对于提供授时安全性和弹性至关重要。要兑现跨关键基础设施的授时弹性承诺，运营商需要采用统一的管理系统，以实现对GNSS和地面时间可观测数据的简单且完整的可视化。通过对这两种时间源的统一管理，运营商可以获得一种可应用“预防-响应-恢复”模型来应对授时威胁，并实现最高级别的弹性和网络安全保护的平台。