论文标题：Evaluation of PTP Security Controls on gPTP（对gPTP上PTP安全控制的评估）

作者信息：

• Mahdi Fotouhi, Alessio Buscemi, Thomas Engel：卢森堡大学科学、技术与医学系（Faculty of Science, Technology and Medicine, University of Luxembourg）
• Florian Jomrich, Christian Koebel：本田研发欧洲有限公司（Honda R&D Europe GmbH）

论文出处：2023 IEEE Symposium on Computers and Communications (ISCC)

主要内容：

摘要： 近年来，科学界关注确定性以太网，推动了时间敏感网络（TSN）标准的采用。精确时间协议（PTP），作为TSN标准之一，能够实现网络设备的高精度同步。通用精确时间协议（gPTP）是PTP的一个配置文件，专为工业应用设计，具有低延迟和抖动。然而，PTP和gPTP都没有内置的安全措施，使其容易受到攻击。本研究评估了为PTP提出的额外安全机制的有效性，通过在物理gPTP测试平台上实施这些安全机制，并针对gPTP的高风险攻击进行评估。

引言： TSN是一套标准，解决了在确定性以太网网络上传输数据的时间敏感性问题。TSN通过确定性通信提高了工业自动化的效率和可靠性。PTP作为时间同步协议，使用主从拓扑结构分发时钟。gPTP作为PTP的配置文件，对可能的PTP配置施加了限制，要求网络中的每个交换机都在MAC层支持gPTP。gPTP和PTP都没有设计安全控制措施，使其容易受到各种攻击。本研究在物理gPTP测试平台上实施并测试了安全控制措施。

背景： 本节讨论了PTP安全控制措施的现状和相关研究。PTP v2.1中，安全控制机制可以分为集成安全机制、外部安全机制、架构安全机制、监控和管理机制以及密钥管理。详细介绍了每种机制的工作原理和优缺点。

在gPTP上实施安全控制： 本节描述了作者开发的测试平台，用于评估适用于gPTP的安全控制措施。首先确定了适合gPTP的安全措施，然后进行了初步的测试平台基准测试，并详细描述了测试平台的构建和安全控制的实施。

安全控制评估： 本节介绍了攻击者模型，并评估了针对安全gPTP测试平台进行的攻击的影响。分析了欺骗攻击、恶意主攻击和消息操纵攻击的影响。

在“安全控制评估”部分，论文提出了对gPTP安全控制的测试和评估，主要围绕攻击者模型和针对安全gPTP测试平台进行的攻击的影响进行讨论。

A. 攻击者模型 论文参考了RFC 7384，定义了两种类型的攻击者：内部攻击者和外部攻击者。内部攻击者可以访问共享的安全密钥，而外部攻击者则无法访问这些密钥。攻击者可以处于中间人攻击（MITM）位置或注入器位置。内部MITM攻击者能够控制网络中的至少一个中间节点或物理访问两个节点之间的通信通道，并知晓安全密钥。外部攻击者没有这些能力。注入器攻击者可以是网络的一部分，但不是通信通道的中间人，因此不能拦截、丢弃和操纵协议数据包，但能够向网络注入新的数据包和窃听其他节点发送的协议数据包。论文通过表格和图示总结了不同组合的攻击者和位置。

B. 欺骗攻击 论文在测试平台上执行了两种类型的欺骗攻击：Announce欺骗攻击和Sync欺骗攻击。在Announce欺骗攻击中，攻击者伪造由合法GM发送的Announce消息。如果攻击者伪造不可变字段，如GM身份或优先级，由于这些字段受到端到端（E2E）认证的保护，攻击将失败。然而，内部攻击者可以通过改变clockIdentity字段来执行拒绝服务（DoS）攻击。在Sync欺骗攻击中，注入器攻击者由于端口状态限制，无法伪造Sync和Follow_Up消息。但是，如果gPTP消息的EtherType和MAC地址检查不正确，攻击者可以绕过这一限制。内部攻击者无法通过修改不可变字段如时间戳字段来使从站时钟失步，因为E2E认证机制会阻止处理伪造的Sync和Follow_Up消息。但是，攻击者可以通过改变clockIdentity字段在旧的Announce、Sync和Follow_Up消息中，以更高的频率发送它们，从而在从站时钟上产生错误的时间。

C. 恶意主攻击 攻击者通过发送具有高GM优先级的Announce数据包来获得GM状态。一旦获得GM位置，攻击者可以进行错误时间、失步和DoS攻击。PTP提出的集成安全机制无法防止恶意主攻击，因为它不作用于BMCA或任何拥有自己的E2E密钥和组密钥的PTP域成员，因此无法发送和接收PTP消息。内部攻击者可以生成具有高优先级的Announce消息，并包含自己的安全密钥的AUTHENTICATION TLVs，以获得GM位置并改变从站时钟。这种攻击对安全测试平台的影响与未部署任何安全措施相同。

D. 消息操纵攻击 从内部MITM位置，攻击者能够修改接收到的Announce和Sync/Follow_Up消息的clockIdentity。在这种情况下，攻击者不需要像在B部分第2小节中描述的那样绕过或更改端口状态，因为他控制至少一个处于主状态的PTP端口，因此可以不受端口状态限制地发送Sync/Follow_Up消息。在这种情况下，攻击者发送旧的Sync/Follow_Up消息，同时阻止新消息通过。即使有E2E认证，这种场景的影响也是所有从站的错误时间和失步。

综上所述，论文评估了gPTP安全控制的有效性，并指出这些安全机制能有效防御外部欺骗攻击，但无法防御内部攻击者。论文提出了使用点对点（P2P）认证机制的可能性，以解决现有安全控制的不足，并计划在未来的工作中进一步研究和评估这种安全控制措施的有效性。

讨论： 本节总结了安全控制措施在保护测试平台免受攻击方面的有效性。提出的安全控制措施对外部攻击者有效，但不足以保护gPTP免受内部攻击者的攻击。讨论了使用点对点（P2P）认证机制的可能性，以解决现有安全控制的不足。

结论： 本研究评估了PTP标准中提出的安全控制措施在物理测试平台上的效果，发现这些安全机制能有效防御外部欺骗攻击，但无法防御内部攻击者。提出了使用P2P认证机制的可能性，并计划在未来的工作中进一步研究和评估这种安全控制措施的有效性。