[发明专利]基于TCP/IP的对时装置、对时方法及时标监测系统

说明书

本发明公开了一种基于TCP/IP的对时装置、对时方法及时标监测系统。该装置包括：时标请求端服务模块、时间服务模块和中继模块；时标请求端服务模块通过加密安全指令序列与上一级对时装置的时间服务模块交互，从而调整当前对时装置的时标；时间服务模块在解密下一级对时装置发送的加密安全指令序列后，向下一级对时装置发送时标调整指令。本发明在不跨越安全装置，不采购额外硬件卫星时钟的条件下，采用主动方式，由高安全区主动发起对时需求，实现逆向时标传递，解决下属接入的子站对时问题，降低了成本，提高了安全性，便于集中管理。

技术领域

本发明涉及网络对时技术领域，特别是涉及一种基于TCP/IP的对时装置、对时方法及时标监测系统。

背景技术

现有的NTP/PPT及其他相关网络对时协议体系，要实现精准对时，需要双向数据流交互，物理单项隔离装置不允许普通TCP/UDP网络报文逆向通过网闸，因此NTP对时协议，无法安全的从物理隔离装置的外网侧向内网侧下发时标，而现有的信息系统中心卫星时钟及核心业务都集中部署在子站隔离装置的外网侧，通用对时协议无法满足该网络结构对时需求。

如图1所示，主站侧时钟部署在L4层级，通过防火墙及其他网络安全设备配置，可以允许NTP/PPT对时报文在L4至L2之间逆向穿行(采集数据流自子站指向主站)，但是无法穿透L2指向L1。

常规硬件解决方案需采用不安全的跨区授时或者增加时钟硬件(如在L1层上每个子站都安装时钟，或者在L1-L2之间每个子站都安装反向隔离)，但存在不能满足网络安全防护的基本要求或需要投入大量资金的问题，并且会导致系统复杂化，网络薄弱环节增多。

发明内容

本发明的目的是提供一种基于TCP/IP的对时装置、对时方法及时标监测系统，在不跨越安全装置，不采购额外硬件卫星时钟的条件下，采用主动方式，由高安全区主动发起对时需求，实现逆向时标传递，解决下属接入的子站对时问题，降低了成本，提高了安全性，便于集中管理。

为实现上述目的，本发明提供了如下方案：

一种基于TCP/IP逆单向隔离的对时装置，所述对时装置设置于TCP/IP的各个层级结构中；

所述对时装置包括：

时标请求端服务模块、时间服务模块和中继模块；

所述时标请求端服务模块用于生成安全指令序列并加密所述安全指令序列，通过加密安全指令序列与上一级对时装置的时间服务模块交互，从而调整当前对时装置的时标；

所述时间服务模块用于在解密下一级对时装置的时标请求端服务模块发送的加密安全指令序列后，向下一级对时装置的时标请求服务模块发送时标调整指令；

所述中继模块用于接收并存储下一级对时装置的时标请求端服务模块发送的时标数据，并与当前对时装置的时标数据合并后发送至上一级对时装置的中继模块。

可选的，所述中继模块还用于对下一级对时装置的时标请求端服务模块发送的时标数据进行身份校验，删除未通过身份校验的数据，存储通过身份校验的数据。

可选的，所述时标请求端服务还用于在超过等待时标调整指令的预设时间后停止与上一级对时装置的时间服务模块交互操作，或者在接收到的时标调整指令不符合要求时更新安全指令序列。

可选的，所述时间服务模块还用于通过当前对时装置的身份信息识别下一级对时装置的身份，还用于通过当前对时装置的密钥进行加密或解密操作。

可选的，

所述下一级对时装置所在TCP/IP层级的安全级别高于所述当前对时装置所在TCP/IP层级的安全级别；

所述当前对时装置所在TCP/IP层级的安全级别高于所述上一级对时装置所在TCP/IP层级的安全级别；