确保关键基础设施精确授时与同步的弹性、冗余和安全性

Microchip Technology Inc. 频率与时间系统业务部  新兴产品主管Eric Colard

电信、公用事业、运输和国防等关键基础设施服务具有国家战略级重要性。美国网络安全和基础设施安全局（CISA）列出了16个被认为对安全至关重要的此类部门。第21号总统政策指令（PPD-21）：《关键基础设施安全和弹性》提出了一项国家政策，旨在加强和维护关键基础设施的安全性、运作性和弹性。

定位、导航和授时（PNT）共同构成了国家关键基础设施正常运作的必要条件。然而，广泛采用全球定位系统（GPS）作为PNT信息的主要来源会引入漏洞。CISA通过国家风险管理中心与政府和行业合作伙伴合作，目的是增强美国国家PNT生态系统的安全性和弹性。2020年初签署的第13905号行政命令（E.O.）《通过负责任地使用定位、导航与授时（PNT）服务来增强国家弹性》通过政策推广来加强政府和基础设施运营商对PNT服务的负责任运用。

下面概述了成本考虑因素并探索了关键基础设施有助于增强PNT（重点是同步和精确授时）的三个关键要素：冗余、弹性和安全性。

评估成本和位置

运营商通常很难对与在架构每一层上部署弹性、冗余和安全性相关的成本进行调整。全新的授时和同步解决方案及设计选择有助于形成合理的成本结构，提供稳健且可靠的解决方案。

成本和解决方案类型之间的问题通常与考量的部署位置有关。随着技术的演进，例如SDH/TDM向以太网的迁移以及移动LTE/4G和5G的开发，集群办公室（特别是位于边缘的网络接入点）的数量激增。这必然导致设备变得更小（通常是1-U机架可安装设备），并且成本与小尺寸边缘基站（小型蜂窝网和gNodeB）一致。

运营商面临着这样一个问题：在这种环境下提供冗余、弹性和安全性的最佳方式是什么？需要考虑两个核心层级——架构级和设计级。

探索冗余

可以通过部署两端（东/西）的核心功能来设计架构级的冗余，借助双重路径实现方向冗余并利用高性能功能实现长距离高效高精度时间传输，从而实现经济高效的分布。虚拟主参考时钟（vPRTC）架构便是此类架构级解决方案。

设备本身也可以考虑使用冗余。此时，设计的选择至关重要。小型设备实际上无法通过模块化硬件冗余进行经济高效的设计。这里的创新是提供软件冗余，以便部署低成本、高效率且高性能的分布式解决方案。硬件模块通常很贵，原因有两个：一是成本；二是冗余模块会占用另一个模块（通常用于输入和输出端口）的空间。

硬件模块冗余通常会导致在增加冗余和丧失功能之间做出权衡，例如，如果支持冗余，则需要在10G以太网（GE）支持或多频段全球导航卫星系统（GNSS）之间进行选择或者做出其他妥协。另一方面，采用软件冗余时，则不必做出权衡。这就是说，可以在保留所有现有功能的同时引入冗余，不必去除输入或输出，也不必弃用多频段GNSS功能。冗余是通过软件升级引入的，因此不会移除任何硬件。然而，硬件冗余意味着在设备内部使用类似模块复制现有模块；新模块会占用现有模块的插槽，现有模块从单元中移除时即会丧失功能。

图1给出了通常部署的冗余用例，其中包含两个使用虚拟路由器冗余协议（VRRP）的聚合路由器。

图1：工作单元和备用单元之间的冗余连接示例

软件冗余是一种基于两个价格合理设备的双单元方案，一个单元处于工作状态，另一个单元处于备用状态。这种方案更加经济高效：首先，它不涉及包含昂贵硬件模块的高成本设备设计；其次，每个单元（不工作状态和工作状态）均保留其所有功能，而硬件冗余设计涉及在设备中复制模块，由于要给冗余的模块让出位置，很可能会缩减现有的功能。此外，由于工作单元和备用单元相同，因此软件冗余是整个设备的总冗余。所有功能都是冗余的，包括振荡器、GNSS接收机、端口和输入/输出，而硬件模块仅在其自身功能（而非单元的其余部分）方面是冗余的。

充分利用弹性

架构级的弹性是网络设计的关键，目的是确保部署中的主时钟（grandmaster）可以彼此相连。一些主时钟连接到GNSS并将其作为时间和频率的来源。务必将这些系统与其他1588主时钟相连以实现辅助部分时间支持（APTS）并利用自动不对称校正（AAC）等关键创新。AAC是弹性设计中的关键（专利）优势，能够校准可能由PTP流使用的通向/来自上行主时钟的不同路径，从而可在GNSS于主时钟位置失败时实现备份。上行主时钟的备份路径可以保证不间断的精确授时和相位操作。此架构确保在GNSS发生中断时可以通过IEEE 1588精确授时协议（PTP）对其进行备份，而且利用了最佳路径。

另一种架构选择是虚拟PRTC（vPRTC），它支持运营商通过使用PTP的高性能边界时钟链来利用冗余和弹性在长距离上实现高精度（通常在光网络上）；这种架构减少了对GNSS的依赖，并使用PTP作为其主要时间和相位来源。

图2给出了具有专用光授时通道（OTC）的光网络部署，这种部署可在较长的距离上实现高精度相位分布。

图2：具有OTC的光网络部署

设备级的弹性从正确选择振荡器开始（从OCXO到原子钟（铷）），具体取决于位置、用例和相应的计时保持性能要求。此外，GNSS接收机的选择十分关键，因为一些接收机通常支持单一频率，但电离层现象会在周期性事件（如太阳风暴）期间产生相当大的延时；为了减小此类延时，需要使用多频段GNSS接收机。

图3对比了由于电离层效应导致的单频段延时和多频段延时，并给出了多频段如何明显减小时间误差（用红色突出显示）。

GNSS卫星以多个频段发送时间信息。不同频率信号之间的延时差异提供了电离层对绝对延时造成的影响的信息。利用这些信息，多频段GNSS接收机便可补偿从卫星发送到接收机的无线电信号的延时差异。嵌入多频段接收机可减小此类延时，这对于需要40 ns的B类主参考时钟（PRTC-B）以及30 ns的增强型PRTC（ePRTC）的应用至关重要。 

这些设备设计的选择也同样重要。GNSS接收机既可以嵌入到主板上的单元内，也可以作为硬件模块提供，但后者通常需要额外的成本，而且可能需要拆卸和更换现有模块。更可取的做法是，采用已启用多频段接收机的单元并通过许可证开启多频段功能，而不是在硬件模块上提供多频段选项，因为后一种做法需要与其他重要功能进行权衡。

评估安全性

安全至关重要。通过终端接入控制器访问控制系统+（TACACS+）和远程身份验证拨入用户服务（RADIUS）等标准机制进行身份验证和授权可提供标准安全框架的优势。此外，双因素身份验证（2FA）是一层额外的保护，并非仅仅通过用户名和密码确保帐户的安全。

另外，务必为安全外壳（SSH）扩展提供不同级别的安全配置文件，以便针对用户类型以及相关的访问权限和限制提供更多粒度。提供高安全性配置文件可定义和执行最严格的系统访问规则。

需要解决脚本漏洞以及相关的常见漏洞和暴露（CVE®）问题，以确保审查和解决所有潜在的安全漏洞。 

此外，不断演变的干扰和欺骗威胁需要成为精确授时安全策略的一部分，并通过信号监测、一致性检查和修复来实现。可以利用自动增益控制（AGC）和其他指标提供阈值，并解释对应结果以及出现相应结果时的缓解措施。

最终决策

为了确保持续的性能，做出正确的架构选择十分关键。全面的网络工程设计研究应包括需要部署主时钟单元的位置及其性能和精度要求。这些步骤将指导说明需要选择哪种类型的精确授时和同步设备。

此外，网络规划人员和同步工程师应特别注意设计选择，例如无风扇的设备与需要风扇的设备、模块化硬件冗余与软件冗余、成本和权衡方面的相关优势，以及类似有关嵌入式或模块化GNSS的选择。

这些选择可以引导关键基础设施运营商在所有部署层级部署冗余、弹性和安全性。