[发明专利]一种时钟同步的方法、设备以及网络系统

说明书

技术领域

本发明涉及通信技术领域，特别涉及一种时钟同步的方法、设备以及网络系统。 

背景技术

1588协议是网络测量和控制系统的精密时钟同步协议标准。1588协议报文可以分为事件消息和一般消息两大类。其中，一般消息无需时间戳，用于包括时钟信息以及配置管理信息等的发送；事件消息携带时间戳，用于时间、频率信息的发送。另外，1588协议报文的发送有单播和多播两种模式，不同的发送模式规定了不同的发送地址和端口。 

1588协议是一种自适应网络时钟同步协议，可以通过选源算法自动完成整网的时钟层级划分和重构，支持时间同步和频率同步。在时间同步中使用链路对等延迟假设；在频率同步中，时钟服务器周期性的向终端发送时钟同步报文，终端计算前后两个时钟同步报文之间的差值，可以获取到基准频率。 

现有的技术中，1588协议提供了一种基于共享密钥的安全机制，该机制可以提供源认证、信息完整性保护和防重放功能。请参阅图1，图1为1588协议提供的共享密钥的安全机制的处理流程图。其中，发送方表示消息的发出者，可以是时钟服务器或终端；接收方表示消息的接收者，可以是时钟服务器或终端；发送方和接收方各自维护一个安全联盟(SA，Security Association)，分别称为输出SA和输入SA，每个SA包括源端口、源地址、目标端口、目标地址、密钥、随机数、重放计数器。时钟服务器的控制端口对于所有终端是可见的，可以同时接收多个终端发送的消息。 

如图1所示，1588协议提供的安全机制的处理流程如下： 

(1)发送方发送1588协议报文，携带参数AUTHENTICATION TLV，用于表示报文进行验证的类型、长度、值域(包含随机数、重放计数器、密钥标识、算法标识、记录报文摘要)。 

(2)接收方如果不支持报文的安全验证，则直接处理报文；否则，先进行报文的完整性检查及源验证：根据算法标识确定报文的验证算法，根据密标识确定报文的验证密钥，计算接收到的1588报文摘要，然后与记录报文摘要比较，如果相同，则报文验证通过，接受报文；否则报文验证不通过，丢弃该报文。

(3)接收方查找本地的接收SA列表，如果接收报文能映射到一个SA，则通过SA和报文中携带的随机数标识，重放计数器进行防重放检查，检查通过，则处理报文；否则丢弃报文。 

(4)如果报文不能映射到一个已有的SA，则创建新的输入SA，然后进行验证响应过程，用以确认SA中参数的有效性。当SA记录的重放计数器达到最大值时，重新进行验证响应过程，以确认SA中新的参数。 

发明人在实现本发明的过程中发现，上述1588协议提供的安全机制至少存在以下问题： 

时钟服务器的控制端口暴露给所有的终端，易受到攻击；时钟服务器与终端彼此需要进行复杂的安全验证，共享密钥分发难以保证安全性。 

发明内容

本发明实施例所要解决的技术问题是提供一种时钟同步的方法、设备以及网络系统，可以在实现时钟同步的同时，进一步提高时钟服务器的安全性能。 

为实现上述目的，本发明实施例提供如下技术方案： 

本发明实施例提供了一种实现时钟同步的方法，包括： 

时钟服务器与终端建立安全路径和非安全路径； 

将所述安全路径和非安全路径进行关联； 

通过安全路径与终端进行控制消息交互，通过非安全路径向终端发送时钟同步报文； 

所述方法还包括： 

时钟服务器通过非安全路径接收终端发起的穿越网络地址转换的握手请求，向终端返回的握手请求响应，所述握手请求响应携带穿越网络地址转换后的非安全路径地址和相应的端口。 

本发明实施例提供了一种实现时钟同步的方法，包括： 

终端与时钟服务器建立安全路径和非安全路径； 

将所述安全路径和非安全路径进行关联； 

通过安全路径与时钟服务器进行控制消息交互，在非安全路径进行时钟同步； 

所述方法还包括： 

终端通过非安全路径向时钟服务器发起穿越网络地址转换的握手请求，接收时钟服务器返回的握手请求响应，所述握手请求响应携带穿越网络地址转换后的非安全路径地址和相应的端口。 

本发明实施例提供了一种时钟服务器，包括： 

第一接口模块，用于和终端建立安全路径和非安全路径； 

第一关联模块，用于将安全路径和非安全路径的地址进行关联；