面向时间敏感网络的时间同步架构、安全方法及装置

1.本发明涉及工业互联网中的实时通信技术，尤其涉及一种面向时间敏感网络的时间同步架构、安全方法及装置。


背景技术：

2.传统网络尽力而为的数据传输模式，在端到端时延和抖动上存在明显的长尾效应，无法满足以工业互联网为代表的实时领域的确定性通信需求。
3.在时间敏感网络中，时间同步机制是关键基础保障，也即时间敏感网络对有硬实时要求的时间触发流的确定性调度必须建立在全网设备时间同步的基础上。失去严格时间同步的保障，时间敏感网络将难以正常运行。为此，ieee 802.1as标准特别为时间敏感网络定义了一种广义精确时间同步协议，其通过主从时钟机制，以期实现时间敏感网络在7跳内时间同步精度误差不超过1微秒。在工作原理上，该标准提出一种最佳主时钟选举算法以分布式地确定全网主时钟，并利用时间戳分布式地逐级校准各网元设备的时钟，使它们和主时钟源保持一致。
4.早期的时间敏感网络由于拓扑和流需求较为简单，大多采用完全分布式或部分分布式的架构，最佳主时钟选举算法能够有效选举全网主时钟源，并能较好地适应网络拓扑或节点的变化。然而，随着时间敏感网络技术的不断发展以及应用场景的日益复杂，分布式的最佳主时钟选举算法已难以适应目前时间敏感网络主流的完全集中式架构，而简单指定主时钟源的做法则显然不够稳妥。
5.虽然全网时间同步的安全运行对于时间敏感网络的实现与应用至关重要，但现有的时间同步安全机制仍存不足。具体地，现有研究大多集中于时间节点间的链路通信加密，以避免时间同步信息被篡改、窃听、重放，或者伪造。这些安全机制能够有效应对从时钟节点间的数据包内容操纵攻击、延迟攻击、重放攻击、欺骗攻击等网络威胁。然而，现有时间同步安全机制对于主时钟源缺乏足够关注，难以防御针对主时钟源的高级持续威胁，即难以防御利用主时钟源后门漏洞发起的时间同步攻击。此外，现行的分布式的主时钟源选举算法缺乏对主时钟源的有效监管，一定程度上增加了对主时钟源伪造攻击的防御难度。
6.近年来学术界和产业界对时间敏感网络中时间同步机制的安全性进行了一定研究，目前主流的时间同步安全方法主要有类，简单介绍如下：现有技术一：ieee 1588 安全附件k原理：该附件是精确时钟同步协议自带的安全附件，其包含四个部分。最主要地，该协议以对称密钥的方式对时间同步节点间的通信进行加密，即使用对称密钥提供群组源认证、消息完整性和重放保护安全。该附件使用挑战-回应三向握手机制建立信任关系，该机制依赖于由一组设备或整个域共享的预定义密钥。相关的研究成果对该附件进行了改进，包括提出了改进的握手和重放计数器。
7.缺点：尽管该附件通过加密的方式保护了时间节点间的通信，然而该附件缺乏对主时钟源的认证机制，使得任何从时钟设备能够伪装成主时钟源。此外，网络攻击者可以通
过钓鱼软件后后门漏洞操纵其中一台时钟设备，从而获取预分发的密钥，或发起该附件无法防御的内部攻击。
8.现有技术二：mac sec协议原理：时间敏感网络工作在链路层，而mac sec是基于ieee 802.1x和ieee 802.1ae的链路层安全协议，前者规定了会话启动和密钥管理，后者规定了加密和验证协议。该协议可为用户提供安全的mac层数据发送和接收服务，包括用户数据加密、数据帧完整性检查及数据源真实性校验。mac sec的安全架构采用逐跳认证和加密的方法，数据包在每个网络节点被解密和验证，然后再次加密和认证，再向前移动。
9.缺点：在时间敏感网络中，在所有设备上部署mac sec协议成本较高，需要交换机和终端硬件的支持。此外，mac sec虽然可以保护可信节点的连接，但不能阻止由同一可信节点发起的攻击，也即无法有效防御apt攻击。网络攻击者可以渗透到受信任的时间节点中，并进而发起ptp攻击（例如，数据包内容修改攻击），从而降低时间同步的准确性。
10.现有技术三：主备架构的主时钟源原理：在精确时钟同步协议中，提出了构建冗余的主时钟源。当运行的主时钟源发生故障或遭受攻击时，热切换为备用的主时钟源，以降低因故障或网络攻击给时间同步造成的不利影响。
11.缺点：主备的主时钟源是在网络初始化时预先设置的，往往缺乏动态性和实时性，安全性能仍有待提高。此外，时间敏感网络中备用的主时钟源在实际中往往由交换机担任，这些交换机也需要进行流量传输的工作，在被切换为正式主时钟源前就有可能会因软硬件漏洞被攻击者攻破。即这些备用的主时钟源中同时包含时间同步域和流量传输域，安全性不能得到充足保障。
12.现有技术四：部署独立的安全监督节点原理：由于传统的安全协议和安全标准难以完全满足时间敏感网络中的时间同步安全需求，近年来亦有研究提出在时间同步网络中部署独立的安全监督节点，该节点是安全可信的，且不需要和其余设备进行时间同步。在工作时，该节点收集并分析受监控从时钟节点的延迟和偏移输出，以及嵌入在同步消息中的时间戳，使其能够检测指向攻击的异常模式，并在探测到攻击时将受影响的时间同步域隔离开来，从而保障各个节点的时钟可靠性。
13.缺点：这种技术需要统计全网时间信息以进行安全检测，需要占用大量珍贵的链路资源，将会对时间敏感网络的正常运行产生大量额外开销，降低时间同步机制从带外通信转向带内通信的可能。
14.针对现有时间敏感网络的时间同步机制中，主时钟源选举效率不高，切换的时间开销较大的现状，以及缺乏有效的主时钟源安全防御方法，难以抵御主时钟源伪造攻击和利用未知漏洞发起的主时钟源攻击的安全问题，本发明实施例提出了一种时间同步架构，以及其所包含的主时钟源安全防御方法。


技术实现要素：

15.为至少一定程度上解决现有技术中存在的技术问题之一，本发明的目的在于提供一种面向时间敏感网络的时间同步架构、安全方法及装置。
16.本发明所采用的技术方案是：一种面向时间敏感网络的时间同步架构，包括：主时钟源系统，用于采用动态异构冗余的安全架构，向直连的从时钟提供时间信息；多个从时钟，各从时钟依据网络拓扑采用分级形式，逐级与主时钟源系统进行时间同步；其中，主时钟源系统包括主时钟源控制器、异构主时钟源资源池、当前主时钟源和主时钟源在线检测集合；所述主时钟源控制器，内置有脉冲信号发生器，与异构主时钟源资源池中各个异构候选主时钟源连接；所述异构主时钟源资源池，包含多个异构候选主时钟源；所述当前主时钟源，从所述异构主时钟源资源池中选出，用于提供整个时间敏感网络的时间信息；主时钟源在线检测集合，由所述异构主时钟源资源池中部分异构候选主时钟源动态构成，在接收到主时钟源控制器的指令后，提供主时钟源的安全检测基准信息。
17.进一步地，所述主时钟源控制器在逻辑上与时间敏感网络的控制器相连接，所述主时钟源控制器的功能包括：1）管理直连的各异构候选主时钟源，以及当前主时钟源的状态；2）向各直连的从时钟发送主时钟源的时间和频率信息，以测量相互链路时延，并实时校正从时钟；3）存储并执行安全方法，以选举主时钟源，定时检测主时钟源的安全性，并实现主时钟源的敏捷切换。
18.进一步地，所述主时钟源在线检测集合中的每个异构主时钟源互相透明，且独立工作。
19.本发明所采用的另一技术方案是：一种面向时间敏感网络的时间同步架构的安全方法，包括以下步骤：主时钟源选举阶段：从异构主时钟源资源池中选举当前主时钟源；同步阶段：将当前主时钟源与时间敏感网络中除当前主时钟源控制器外的所有网络设备，以固定周期进行时间同步；主时钟源校验阶段：依据多模动态调度机制，以固定周期从异构主时钟源资源池中调度部分异构主时钟源动态构成主时钟源在线检测集合，并将当前主时钟源信息和主时钟源在线检测集合进行校验，从而实时检测当前主时钟源是否安全；主时钟源敏捷切换阶段：在检测到当前主时钟源不安全时，从异构主时钟源资源池中动态选取一个新的主时钟源，以取代原有的不安全的主时钟源。
20.进一步地，在所述主时钟源校验阶段中，所述将当前主时钟源信息和主时钟源在线检测集合进行校验，包括：时钟源控制器获取所述当前主时钟源发送的时间信息；时钟源控制器获取所述主时钟源在线检测集合中各个异构候选主时钟源的时间信息；
根据获得的时间信息计算当前合法的时间窗口w；校验时间信息和时间窗口w，检查时间信息是否落入当前合法的时间窗口w内，以及判断当前主时钟源是否处于正常运行状态。
21.进一步地，所述时间窗口w的表达式为：进一步地，所述时间窗口w的表达式为：其中，是缩放系数，是主时钟源在线检测集合中异构候选主时钟源的数量，。m为异构主时钟源资源池中异构候选主时钟源的数量。
22.进一步地，在所述主时钟源校验阶段中，用以构建主时钟源在线检测集合的多模动态调度机制包括以下步骤：筛除所述异构主时钟源资源池中，不支持主时钟源功能或有可能会在运行时关闭的异构候选主时钟源，并将向网络管理员告警，报告设备异常；采用反馈指标反映所述异构主时钟源资源池中，非当前主时钟源的所有其余异构候选主时钟源的实时安全性能；设定主时钟源在线检测集合规模为（即主时钟源在线检测集合中异构候选主时钟源的数量），通过排列组合的方式得到所有候选的主时钟源在线检测集合，并采用异构性指标反映不同候选的主时钟源在线检测集合的异构性。，m为异构主时钟源资源池中异构候选主时钟源的数量；计算各候选主时钟源在线检测集合的综合评价指标，选择综合评价指标最高的候选集合作为最终调度的主时钟源在线检测集合。
23.进一步地，所述反馈指标采用实时差异化反馈更新方法进行更新，具体包括：在主时钟源信息和前序主时钟源在线检测集合进行信息校验后，对除主时钟源外的所有异构候选主时钟源的反馈指标进行更新，其中更新包括正反馈更新和负反馈更新：若所述异构候选主时钟源属于主时钟源在线检测集合，且所述异构候选主时钟源的时间信息在合法的时间窗口w内，则依据门限值和反馈指标进行正反馈更新，所述正反馈更新分包括两种情况：1）若在线异构候选主时钟源的当前反馈指标为非负值，判断反馈指标是否小于门限值，若小于，反馈指标增加s；反之，反馈指标增加；其中为折扣率，；2）若在线异构候选主时钟源的当前反馈指标为负值，反馈指标增加，其中为恢复率，，为所述在线异构候选主时钟源被成功攻击时的反馈指标；所述负反馈更新包括：若异构候选主时钟源属于主时钟源在线检测集合，且所述异构候选主时钟源的时间信息超出当前合法的时间窗口w，反馈指标更新为负值，反映异构候选主时钟源不
能够安全运行，同时将在线异构候选主时钟源此时的反馈指标即时存储为。
24.进一步地，所述正反馈更新和负反馈更新的步骤还包括：若所述异构候选主时钟源不属于主时钟源在线检测集合，判断在线异构候选主时钟源的当前反馈指标是否为非负值，若是非负值，则反馈指标不更新；若是负值，则反馈指标增加。
25.进一步地，第j个候选主时钟源在线检测集合的综合评价指标的计算公式如下：其中，为主时钟源在线检测集合中异构候选主时钟源的数量，，m为异构主时钟源资源池中异构候选主时钟源的数量；、均为根据需求人为设置的权重值，；为第j个候选主时钟源在线检测集合中的第i个异构候选主时钟源。
26.本发明所采用的另一技术方案是：一种面向时间敏感网络的时间同步架构的安全装置，包括：至少一个处理器；至少一个存储器，用于存储至少一个程序；当所述至少一个程序被所述至少一个处理器执行，使得所述至少一个处理器实现上所述方法。
27.本发明的有益效果是：本发明提出的架构提高了时间敏感网络中主时钟源的选举效率、切换速度、以及可靠性。本发明提出的安全方法则进一步提高了时间敏感网络中主时钟源的安全性。所述架构及其安全方法广泛适用于多种不同的时间敏感网络应用场景中，具有很好的实际效果和通用性。
附图说明
28.为了更清楚地说明本发明实施例或者现有技术中的技术方案，下面对本发明实施例或者现有技术中的相关技术方案附图作以下介绍，应当理解的是，下面介绍中的附图仅仅为了方便清晰表述本发明的技术方案中的部分实施例，对于本领域的技术人员而言，在无需付出创造性劳动的前提下，还可以根据这些附图获取到其他附图。
29.图1是本发明实施例中一种面向时间敏感网络的时间同步架构的整体结构示意图；图2是本发明实施例中一种面向时间敏感网络的时间同步架构的安全方法的流程示意图；图3是本发明实施例中主时钟源校验阶段所进行的当前主时钟源安全性校验的流程示意图；图4是本发明实施例中主时钟源校验阶段所依据的多模动态调度机制的流程示意图；图5是本发明实施例中实时差异化反馈更新方法的流程示意图。
具体实施方式
30.下面详细描述本发明的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，仅用于解释本发明，而不能理解为对本发明的限制。对于以下实施例中的步骤编号，其仅为了便于阐述说明而设置，对步骤之间的顺序不做任何限定，实施例中的各步骤的执行顺序均可根据本领域技术人员的理解来进行适应性调整。
31.在本发明的描述中，需要理解的是，涉及到方位描述，例如上、下、前、后、左、右等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。
32.在本发明的描述中，若干的含义是一个或者多个，多个的含义是两个以上，大于、小于、超过等理解为不包括本数，以上、以下、以内等理解为包括本数。如果有描述到第一、第二只是用于区分技术特征为目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量或者隐含指明所指示的技术特征的先后关系。
33.本发明的描述中，除非另有明确的限定，设置、安装、连接等词语应做广义理解，所属技术领域技术人员可以结合技术方案的具体内容合理确定上述词语在本发明中的具体含义。
34.如图1所示，本实施例提供一种面向时间敏感网络的时间同步架构，包括：一个主时钟源系统，用于采用动态异构冗余的安全架构，向直连的从时钟提供时间信息；多个从时钟，各从时钟依据网络拓扑采用分级形式，逐级与主时钟源系统进行时间同步。
35.其中，主时钟源系统：由主时钟源控制器、异构主时钟源资源池、当前主时钟源、主时钟源在线检测集合在逻辑上组成，物理上是一个一跳的有线局域网，整体对外提供主时钟源服务。从时钟：在本实施例的时间同步架构中，按照实际部署场景包含多级从时钟。所述从时钟在物理上是各时间敏感网络设备，例如时间敏感网络交换机、终端设备。
36.本实施例中，所述架构采用主从时钟机制，符合通信领域主流的时间同步方式。在所述时间同步架构中，主时钟源系统直连时间敏感网络控制器，这与主流的完全集中式的时间敏感网络架构高度契合。在具体的有益效果上，所述时间同步架构的主时钟源产生于包含有限的异构候选主时钟源的异构主时钟源资源池，这些异构候选主时钟源均在网络初始化时由网络管理人员人为添加。和现有的最佳主时钟选举算法相比，所述时间同步架构具有较高的选举效率，且能有效抵御主时钟源伪造攻击，提升了主时钟源的可靠性。此外，主时钟源控制器的引入也能显著提升主时钟源的切换效率。
37.以下对主时钟源系统中的各个模块进行详细说明。
38.主时钟源控制器：其在逻辑上与时间敏感网络的控制器相连接，在物理上可以内置于时间敏感网络的控制器，或使用专门的硬件设备。所述主时钟源控制器内置稳定的脉冲信号发生器，以有线的方式连接异构主时钟源资源池中各个异构候选主时钟源，是主时钟源系统的核心设备，其功能及实施方法包括：（1）管理直连的各异构候选主时钟源，以及当前主时钟源的状态。
39.通过状态管理以管理直连的各异构候选主时钟源，以及当前主时钟源的状态。例如，可以从是否为当前主时钟源、是否属于主时钟源在线检测集合、当前能否正常工作、是否处于待清洗状态等三个维度标记各异构候选主时钟源的状态。此外，所述主时钟源控制器还存储了各异构候选主时钟源的软硬件信息，并配置有和网络管理者或时间敏感网络控制器交互的北向接口。
40.（2）向各直连的从时钟发送主时钟源的时间和频率信息，以测量相互链路时延，并实时校正从时钟。
41.具体地，可以采用现行时间同步机制中主流的点到点(pear to pear)或端到端(end to end)方式进行链路时延测量及从时钟校正，具体的测量与校正方式不是本专利的内容，不受本专利保护；（3）存储并执行所述面向时间敏感网络的时间同步架构的安全方法，从而选举当前主时钟源，定时检测当前主时钟源的安全性，并实现主时钟源的敏捷切换。
42.具体地，和现有最佳主时钟选举算法相比，所述时间同步架构缩小了候选主时钟源的范围，并保障了候选主时钟源安全可靠。而在具体的选举方法上，可以采用ieee 801.1as标准中使用的基于时钟源优先级的方式，或由网络管理员制定初始的主时钟源，具体的选举算法不是本专利的内容，故不在此赘述。
43.此外，所述主时钟源控制器通过内置的脉冲信号发生器，每间隔k个信号定期发送指令，获取当前主时钟源时间信息和主时钟源在线检测集合中各个异构候选主时钟源的时间信息，并在当前主时钟源不安全时，通过所述状态管理，选举并敏捷切换到新的主时钟源。
44.异构主时钟源资源池：在逻辑上包含多个软硬件异构的候选主时钟源服务器，所述异构候选主时钟源服务器在内部软硬件接口、时钟源形式、安全程序、操作系统（若有）等软硬件实现层面应尽可能不相同，以避免存在共模漏洞。
45.当前主时钟源：用于提供整个时间敏感网络的时间信息，所述当前主时钟源由主时钟源控制器根据所述主时钟源安全方法从异构主时钟源资源池中选出。
46.主时钟源在线检测集合：是一个逻辑上的集合，其由异构主时钟源资源池中n()个异构主时钟源动态构成。所述主时钟源在线检测集合中的每个异构主时钟源互相透明，独立工作，并在接收到主时钟源控制器的指令后，向主时钟源控制器返回自身的时间信息，以提供主时钟源的安全检测基准信息。图1中提供了一个所述主时钟源在线检测集合的示例，即n=3时，异构候选主时钟源{}组成所述主时钟源在线检测集合。
47.基于上述的时间同步架构，本发明实施例还在所述时间同步架构下提出主时钟源的安全防御方法，其包括下述四个阶段：主时钟源选举阶段：从异构主时钟源资源池中选举当前主时钟源；同步阶段：将当前主时钟源与时间敏感网络中除当前主时钟源控制器外的所有网络设备，以固定周期t1进行时间同步；主时钟源校验阶段：依据多模动态调度机制，以固定周期从异构主时钟源资源池中调度部分异构主时钟源动态构成主时钟源在线检测集合，并将当前主时钟源信息和主时钟源在线检测集合进行校验，从而实时检测当前主时钟源是否安全；
主时钟源敏捷切换阶段：在检测到当前主时钟源不安全时，从异构主时钟源资源池中动态选取一个新的主时钟源，以取代原有的不安全的主时钟源。
48.在本实施例中，由于各异构候选主时钟源服务器的实现方式不同，即所具有的软硬件漏洞不相同，且当前主时钟源时间信息会被周期性校验，因此网络攻击者往往难以同时渗透攻破现行主时钟源和主时钟源在线检测集合。所述架构所包含的安全方法能够主动防御利用未知漏洞发起的针对主时钟源的安全攻击，也即能够从根本上扭转时间同步机制中防御策略被动挨打的局面，提升主时钟源的安全性。所述架构及其安全方法对于时间敏感网络的实际应用场景没有特别要求，广泛适用于多种不同的时间敏感网络应用场景中，具有很好的实际效果和通用性。
49.以下结合附图及具体实施例对上述方法进行详细说明。
50.如图2所示，本实施例提供一种面向时间敏感网络的时间同步架构的安全方法，该方法可通过上述的主时钟源控制器来执行，该安全方法具体包括以下步骤：步骤s201：从异构主时钟源资源池中选举当前主时钟源，若此时已存在当前主时钟源，则将其状态变更为异构候选主时钟源，且不参与当前主时钟源选举。
51.在具体的选举方法上，可以采用ieee 801.1as标准中使用的基于时钟源优先级的方式，或由网络管理员制定初始的主时钟源，具体的选举算法不是本专利的内容，不受本专利保护。
52.步骤s202：各网络设备与当前主时钟源以周期同步。
53.具体地，可以采用现行时间同步机制中主流的点到点(pear to pear)或端到端(end to end)方式进行链路时延测量及从时钟校正，具体的测量与校正方式不是本专利的内容，故不再此赘述。
54.步骤s203：判断所述针对主时钟源的安全方法是否保持运行，所述安全方法可以被网络管理员中止，也可随整个时间敏感网络的停止而中止。若所述针对主时钟源的安全方法仍保持运行，跳转到步骤s204；若所述针对主时钟源的安全方法需中止，则结束。
55.步骤s204：依据多模动态调度机制，以周期从异构主时钟源资源池中调度部分异构主时钟源动态构成主时钟源在线检测集合。
56.步骤s205：获得主时钟源在线检测集合提供的基准信息，并与当前主时钟源的时间信息进行比对，以进行当前主时钟源校验。
57.步骤s206：根据置信裁决的机制，判断当前主时钟源是否安全。若裁决当前主时钟源不安全，则跳转到步骤s201，重新选举当前主时钟源；若裁决当前主时钟源安全，则跳转至步骤s203。
58.作为一种可选的实施方式，如图3所示，主时钟源校验阶段步骤s205所进行的当前主时钟源安全性校验的步骤，具体包括下述步骤：步骤s301：主时钟源控制器以周期定期得到所述当前主时钟源时间信息。
59.步骤s302：主时钟源控制器以周期定期得到各个候选主时钟源的时间信息。
60.步骤s303：计算当前合法的时间窗口
,其中是缩放系数，由网络管理人员设置，默认为0；是主时钟源在线检测集合中异构候选主时钟源的数量，。m为异构主时钟源资源池中异构候选主时钟源的数量。
61.步骤s304：校验和w，检查是否落入当前合法的时间窗口w内，即判断所述当前主时钟源是否处于正常运行状态。若所述当前主时钟源正常运行，跳转至步骤s305；若所述当前主时钟源异常，跳转至步骤s306。
62.步骤s305：主时钟源控制器将当前主时钟源状态标记为正常。
63.步骤s306：主时钟源控制器将当前主时钟源状态标记为异常，同时将所述当前主时钟源的当前反馈指标记录为，并随后将反馈指标变更为(-c)，c为正反馈增长门限值。
64.作为一种可选的实施方式，如图4所示，主时钟源校验阶段步骤s204所依据的多模动态调度机制的步骤，具体包括下述步骤：步骤s401：筛除所述异构主时钟源资源池中，不支持主时钟源功能或有可能会在运行时关闭的异构候选主时钟源，并将向网络管理员告警，报告设备异常。
65.步骤s402：采用反馈指标sf反映所述异构主时钟源资源池中非当前主时钟源的所有其余异构候选主时钟源的实时安全性能，其由前序信息校验所反馈更新。
66.步骤s403：由网络管理员设定主时钟源在线检测集合规模为，m为异构主时钟源资源池中异构候选主时钟源的数量，并通过排列组合的方式得到所有候选的主时钟源在线检测集合。
67.步骤s404：计算各候选主时钟源在线检测集合的异构性指标。该指标反映各候选主时钟源在线检测集合中，各异构候选主时钟源在软硬件层面的差异性。具体地，可以对不同异构候选主时钟源两两进行异构层均等评分。所述异构层可以包括异构候选主时钟源的内部软硬件接口、时钟源形式、安全程序、以及操作系统。
68.步骤s405：计算各候选主时钟源在线检测集合的综合评价指标。其中，第j个候选主时钟源在线检测集合的综合评价指标：其中，、均为根据需求人为设置的权重值，；为第j个候选主时钟源在线检测集合中的第i个异构候选主时钟源。
69.步骤s406：选择综合评价指标最高的候选主时钟源在线检测集合作为最终调度的主时钟源在线检测集合。
70.作为一种可选的实施方式，如图5所示，多模动态调度机制的步骤s402所采用的实
时差异化反馈更新方法的步骤，具体包括下述步骤：步骤s501：判断是否已经遍历了异构主时钟源资源池中，除当前候选主时钟源以外的所有异构候选主时钟源。若已遍历，结束所述实时差异化反馈更新方法；否则，跳转至步骤s502。
71.步骤s502：判断当前异构候选主时钟源是否在主时钟源在线检测集合中。若所述当前异构候选主时钟源不在主时钟源在线检测集合中，跳转至步骤s503；若所述当前异构候选主时钟源在主时钟源在线检测集合中，则跳转至步骤s504。
72.步骤s503：判断所述当前异构候选主时钟源的反馈指标是否为非负值。若所述当前异构候选主时钟源的反馈指标为非负值，表明未被调度且之前能够正常工作，则跳转至步骤s501；若所述当前异构候选主时钟源的反馈指标为负值，则表明其处于被攻击或故障后的恢复阶段，跳转至步骤s507更新的反馈指标。
73.步骤s504：根据所述当前异构候选主时钟源的时间信息，以及根据步骤s303计算得到的当前合法的时间窗口，判断所述当前异构候选主时钟源是否正常工作。若所述当前异构候选主时钟源未能正常工作，表明出现故障或遭受网络攻击，需要进行负反馈更新，则跳转至步骤s505；反之，若所述当前异构候选主时钟源能够正常工作，则需要进行正反馈更新，跳转至步骤s506。
74.步骤s505：主时钟源控制器将所述当前异构候选主时钟源的状态标记为异常，同时将所述当前异构候选主时钟源的当前反馈指标记录为，并随后将反馈指标更新为(-c)，c为正反馈增长门限值。
75.步骤s506：判断所述当前异构候选主时钟源的当前反馈指标是否为非负值。若所述当前异构候选主时钟源的反馈指标为负值，表明其处于被攻击或故障后的恢复阶段，跳转至步骤s507；若所述当前异构候选主时钟源的反馈指标为非负值，表明其持续正常工作，则跳转至步骤s508。
76.步骤s507：将所述当前异构候选主时钟源的反馈指标增加。
77.步骤s508：判断所述当前异构候选主时钟源的当前反馈指标是否超过人为设定的门限值。若，表明所述当前异构候选主时钟源处于正反馈正常增长阶段，跳转至步骤s509；反之，若，表明所述当前异构候选主时钟源已有较大的正向反馈值，需要控制其增长速度，以增大其余异构候选主时钟源被在线调度的可能性，则跳转至步骤s510。
78.步骤s509：将所述当前异构候选主时钟源的反馈指标增加。
79.步骤s510：将所述当前异构候选主时钟源的反馈指标增加，其中为折扣率，。
80.由上可知，本实施例提出的时间同步架构符合现有主流时间敏感网络架构，能够
有效提升主时钟源的选举效率和可靠性，并在其故障或不安全时进行敏捷切换。此外，由于在所述主时钟源的安全方法中，异构主时钟源资源池中各候选主时钟源服务器的软硬件构造不同，且当前主时钟源信息会和主时钟源在线检测集合进行定期校验，因此网络攻击者极难同时渗透当前主时钟源和主时钟源在线检测集合，从而保障主时钟源公布的时间信息的准确性。进一步地，所述主时钟源的安全方法提出了反映各异构候选主时钟源实时安全性的量化反馈指标，主时钟源在线检测集合将根据多模动态调度机制进行动态变换，这为主时钟源的攻击面提供了与所述架构相关联的“测不准”能力，能够进一步提升主时钟源的安全性，进而保障时间敏感网络的有序运行。
81.本实施例还提供一种面向时间敏感网络的时间同步架构的安全装置，包括：至少一个处理器；至少一个存储器，用于存储至少一个程序；当所述至少一个程序被所述至少一个处理器执行，使得所述至少一个处理器实现图2-5所示方法。
82.本实施例的一种面向时间敏感网络的时间同步架构的安全装置，可执行本发明方法实施例所提供的一种面向时间敏感网络的时间同步架构的安全方法，可执行方法实施例的任意组合实施步骤，具备该方法相应的功能和有益效果。
83.本技术实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行图2-5所示的方法。
84.在一些可选择的实施例中，在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如，取决于所涉及的功能/操作，连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外，在本发明的流程图中所呈现和描述的实施例以示例的方式被提供，目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的，其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。
85.此外，虽然在功能性模块的背景下描述了本发明，但应当理解的是，除非另有相反说明，所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中，或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是，有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说，考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下，在工程师的常规技术内将会了解该模块的实际实现。因此，本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是，所公开的特定概念仅仅是说明性的，并不意在限制本发明的范围，本发明的范围由所附权利要求书及其等同方案的全部范围来决定。
86.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备（可以是个
人计算机，服务器，或者网络设备等）执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器（rom，read-only memory）、随机存取存储器（ram，random access memory）、磁碟或者光盘等各种可以存储程序代码的介质。
87.在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备（如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统）使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。
88.计算机可读介质的更具体的示例（非穷尽性列表）包括以下：具有一个或多个布线的电连接部（电子装置），便携式计算机盘盒（磁装置），随机存取存储器（ram），只读存储器（rom），可擦除可编辑只读存储器（eprom或闪速存储器），光纤装置，以及便携式光盘只读存储器（cdrom）。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。
89.应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列（pga），现场可编程门阵列（fpga）等。
90.在本说明书的上述描述中，参考术语“一个实施方式/实施例”、“另一实施方式/实施例”或“某些实施方式/实施例”等的描述意指结合实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施方式或示例中以合适的方式结合。
91.尽管已经示出和描述了本发明的实施方式，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施方式进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。
92.以上是对本发明的较佳实施进行了具体说明，但本发明并不限于上述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做作出种种的等同变形或替换，这些等同的变形或替换均包含在本技术权利要求所限定的范围内。