统一精准的时间是关键基础设施保护神

　　北斗与其他GNSS系统，是关键基础设施负责任应用的重大保障体系，而实际上北斗等卫星导航系统本身，也需要得到保护、优化和增强等举措保障，免得受到多种多样的威胁和攻击。

　　这里主要强调实时管理好天空和地面的高精度时间源，以保护关键基础设施免受网络安全威胁。依赖GNSS接收的定位、导航和授时 (PNT)数据的全球关键公共基础设施系统，已被许多国家安全机构确定为潜在的网络安全攻击媒介。2020年末，美国国土安全部(DHS)发布了“弹性PNT一致性框架”指南，提供了一个共同参考点，以帮助关键基础设施提高对付和避免PNT攻击威胁的弹性。在该框架内，提出了一种网络安全方法。其第一层次是预防，可以防止威胁进入系统。但是，必须假设不可能阻止所有威胁；其第二层次是响应，能够检测到非典型误差或异常数据的发生，并能采取行动，例如缓解、遏制和报告。应确保系统在需要恢复之前对外部诱发的非典型误差做出充分响应；其第三层次，即最后一道防线是恢复，恢复到正常的工作状态和复原规定的性能。

图1.DHS“弹性PNT一致性框架指南”中定义的四个弹性级别。

　　四个弹性级别。基于预防-响应-恢复网络安全模型，《PNT一致性框架指南》描述了弹性的四个级别。请注意，弹性级别相互关联的建立的，级别2包括级别1中的所有枚举行为，依此类推，可见级别4层次最高，包括所有级别的内容。该框架为设备提供了一套明确的PNT弹性指南，无论是在芯片、模块还是系统级别。尽管该框架并非专门针对GNSS的使用，但大部分重点都集中在GNSS漏洞威胁，以及对GNSS中断（无论是由无意中断还是故意威胁引起的中断）的恢复能力。然而，特定设备或技术的GNSS弹性并不能完全满足关键基础设施运营商的需求，他们可能在更大的地理区域内管理PNT服务的使用。

　　关键基础设施扩展。关键基础设施通常以分层方式构建，从一组连接到辅助站点的核心站点开始，最终连接到远程站点。随着5G网络的推出，无线接入点的密集化和大规模部署将提高覆盖范围并实现更高的带宽，以支持物联网 (IoT)和相关服务。然而，如此大规模的接入点还需要在大量端点上进行精准授时。在电力公用事业基础设施中，电网正在通过太阳能和风能等替代能源得到增强和扩展。现代化的智能电网是一种高度分布式的架构，它依赖于准确的时间来协调、监控和记录运行数据以及断电故障检测的识别。此外，电力公司在整个运营过程中都依赖授时服务来进行遥测数据的通信和传输。迄今为止，GNSS一直是计时的首选来源，导致许多重大基础设施运作对GNSS的依赖呈指数增长。由于这种巨大的依赖性，现如今的计时出错或中断的影响比以往任何时候都更加重要。

图 2. 全球数据中心的定时网络示例视图

　　地面的时间分配。作为向大量位置提供准确时间和减少对GNSS依赖的替代方案，关键基础设施运营商正在转向使用数据包协议的地面分配方法，以便使用精确时间协议(PTP)实现高精度分配。虚拟主参考时钟(vPRTC)是一种高度安全且具有弹性的基于网络的授时架构，旨在满足现代关键基础设施不断扩大的需求。vPRTC在概念上很简单。它将经过验证的计时技术融合到一个集中且受保护的源位置，然后使用商业光纤网络链接和先进的IEEE1588 PTP边界时钟，在可能数百公里外的端点需要的地方分配100 ns PRTC 授时。正如基于GNSS卫星的授时系统使用露天传输将授时分配给端点一样，vPRTC使用地面（通常是光纤）网络分配授时。不同之处在于运营商保持100%的网络控制权，并可以根据需要保护网络。这种基于网络的计时称为可信时间。它可以作为主要授时源进行分发，也可以部署为GNSS授时解决方案的备份。然而，即使具有vPRTC方法的许多可靠性和安全性优势，仅依赖地面授时也可能成为单点故障，就像仅依赖于GNSS的策略一样。因此，关键基础设施运营商正在部署同时使用GNSS和地面授时的兼容架构。为了有效地做到这一点，运营商发现自己需要对两个关键时间源进行集中管理和可视化管理。此外，为了兑现计时弹性的承诺，统一管理系统需要包括能够提供网络安全解决方案的功能，其中包括跨计时网络所有节点的预防-响应-恢复的国土安全部（DHS）安全指南。

图 3. 测量 GNSS 时间和地面时间之间的相位差。

　　统一的时间管理。鸟瞰授时网络的所有节点，对于提供授时安全性和弹性至关重要。在GNSS异常或地面时间不稳定的情况下，当问题发生时，最紧迫的需要是快速确定该事件是否孤立于特定位置、影响某个地区，或者在某些情况下是由全球情况引起的。集中管理和监控系统提供代表不同关注位置的绿色、黄色和红色威胁状态指示。这是运营商了解其授时基础设施整体健康状况的一种简单方法。当问题浮出水面时，关键基础设施运营商接下来需要能够快速隔离根本原因的“可观察量”的可视化。由于当今的授时网络同时依赖于GNSS时间和地面时间，因此能够以统一的方式查看代表两种授时源的可观测值至关重要。

　　GNSS 观测值。多径干扰、气候异常、干扰和欺骗是提及GNSS漏洞威胁时常用的术语。然而，深入了解（可视化）细节以识别根本原因需要对信号进行更具体的表征。对GNSS接收质量的可视化是通过监测GNSS可观测数据来实现的。

　　地面时间观测值。表征地面时间的质量需要在单个位置（局内）或跨网络节点（局间）的设备互连之间进行时间测量--例如，比较设备输入和输出或比较不同站点的信号。此外，随着 PTP 的标准化使用，需要能够评估网络定时数据包指标，以验证从一个位置到另一个位置的时间传输。地面时间性能要求使一组不同的可观测值变得可见并受到监控。在管理大型地理区域时，能够同时测量多个位置的GNSS时间和地面时间之间的相位差，使运营商能够确定这两种时间来源的比较情况。关键基础设施运营商最终需要的弹性，最好使用两种时间源来实现。在多个位置相互衡量这两个来源可以创建最高级别的信任，因为知道这些独立的时间来源是完全一致的。

　　结论。在行业、标准组织和 DHS 等政府组织的合作下，授时服务的使用已成为公认的关键基础设施运营的基础技术。利用行业标准的网络安全模型将有助于加强和强化计时设备。尽管设备弹性至关重要，但鸟瞰整个网络的时序性能是提供完整网络可见性的起点，这对于提供时序安全性和弹性至关重要。为了兑现关键基础设施的时间弹性承诺，运营商需要一个统一的管理系统，以实现对 GNSS 和地面时间可观测数据的简单和完整的可视化。通过对这两个时间源的统一管理，运营商拥有一个平台，可以将“预防-响应-恢复”模式应用于应对授时威胁，并实现最高级别的弹性和网络安全保护。