面向時(shí)間敏感網(wǎng)絡(luò)的安全感知調(diào)度方法

陸以勤 謝文靜 王海瀚 陳卓星 程喆? 潘偉鏘 覃健誠(chéng)

面向時(shí)間敏感網(wǎng)絡(luò)的安全感知調(diào)度方法

陸以勤1謝文靜2王海瀚1陳卓星1程喆2?潘偉鏘3覃健誠(chéng)1

（1. 華南理工大學(xué) 電子與信息學(xué)院，廣東 廣州 510640；2. 華南理工大學(xué) 計(jì)算機(jī)科學(xué)與工程學(xué)院，廣東 廣州 510006；3. 華南理工大學(xué) 信息網(wǎng)絡(luò)工程研究中心，廣東 廣州 510640）

時(shí)間敏感網(wǎng)絡(luò)（TSN）中信息的真實(shí)性是系統(tǒng)的關(guān)鍵安全要素，然而直接引入傳統(tǒng)安全認(rèn)證機(jī)制會(huì)導(dǎo)致系統(tǒng)可調(diào)度性和實(shí)時(shí)性大幅降低。現(xiàn)有的方法仍存在適用場(chǎng)景少、資源消耗高等問(wèn)題。針對(duì)這些問(wèn)題，文中提出了一種面向TSN的安全感知調(diào)度方法。首先基于TSN流量特性設(shè)計(jì)了一種時(shí)間有效的一次性簽名安全機(jī)制，為消息提供高效的組播源認(rèn)證；然后提出相應(yīng)的安全模型對(duì)該機(jī)制進(jìn)行評(píng)估，描述安全機(jī)制對(duì)任務(wù)和流量的影響；最后對(duì)提出的安全感知調(diào)度方法進(jìn)行數(shù)學(xué)建模，在傳統(tǒng)調(diào)度約束的基礎(chǔ)上，增加了安全機(jī)制相關(guān)的約束，同時(shí)以最小化應(yīng)用端到端時(shí)延為優(yōu)化目標(biāo)，使用約束規(guī)劃進(jìn)行求解。仿真實(shí)驗(yàn)結(jié)果表明：改進(jìn)的一次性簽名機(jī)制的引入可以有效保護(hù)TSN中關(guān)鍵信息的真實(shí)性，且對(duì)調(diào)度的影響有限；在多個(gè)基于真實(shí)工業(yè)場(chǎng)景生成的不同規(guī)模測(cè)試用例中，產(chǎn)生的應(yīng)用端到端時(shí)延平均僅增加13.3%，帶寬消耗平均僅增加5.8%；與其他同類(lèi)型方法相比，文中方法的帶寬消耗更低，更加適用于有嚴(yán)格帶寬限制的TSN。

時(shí)間敏感網(wǎng)絡(luò)；安全性；調(diào)度；約束規(guī)劃

時(shí)間敏感網(wǎng)絡(luò)（TSN）是由IEEE 802.1工作組修訂的一系列標(biāo)準(zhǔn)，用于增強(qiáng)傳統(tǒng)以太網(wǎng)的實(shí)時(shí)性，實(shí)現(xiàn)數(shù)據(jù)高可靠、低延遲、低抖動(dòng)的確定性傳輸［1］。近年來(lái)，TSN由于其優(yōu)越的傳輸特性，被廣泛應(yīng)用于車(chē)載網(wǎng)絡(luò)、工業(yè)互聯(lián)網(wǎng)、航空航天電子網(wǎng)絡(luò)、移動(dòng)前傳等對(duì)實(shí)時(shí)性要求較高的領(lǐng)域。然而，隨著物理信息系統(tǒng)的發(fā)展，TSN所應(yīng)用的系統(tǒng)與周?chē)h(huán)境連接愈發(fā)緊密，廣泛的通信接口增加了系統(tǒng)被攻擊者破壞的風(fēng)險(xiǎn)。這些系統(tǒng)一旦被攻擊者入侵，將會(huì)引發(fā)系統(tǒng)故障，嚴(yán)重時(shí)會(huì)造成經(jīng)濟(jì)損失，甚至危害人的生命安全。以車(chē)載系統(tǒng)為例，攻擊者可以通過(guò)注入惡意消息的方式致使系統(tǒng)執(zhí)行惡意指令，從而引發(fā)行車(chē)過(guò)程中的交通事故［2］。因此，TSN在設(shè)計(jì)過(guò)程中必須考慮如何保證傳輸數(shù)據(jù)的真實(shí)性。但是，TSN的現(xiàn)有標(biāo)準(zhǔn)中并未提供安全認(rèn)證機(jī)制來(lái)保護(hù)數(shù)據(jù)的真實(shí)性。將安全機(jī)制引入TSN中需要解決兩個(gè)方面的問(wèn)題：一是實(shí)時(shí)系統(tǒng)通常對(duì)帶寬資源的分配有諸多限制，承擔(dān)多余的安全機(jī)制開(kāi)銷(xiāo)，可能會(huì)導(dǎo)致系統(tǒng)無(wú)法滿足硬實(shí)時(shí)消息的要求；二是TSN中時(shí)間關(guān)鍵的流量有嚴(yán)格的時(shí)序約束，其傳輸通常由調(diào)度表提前確定［3］。安全機(jī)制的時(shí)間開(kāi)銷(xiāo)將會(huì)對(duì)這些流量原本的調(diào)度計(jì)劃產(chǎn)生影響，因此在調(diào)度表生成前必須把安全機(jī)制與其他約束條件綜合進(jìn)行考慮。文中將這種額外增加安全時(shí)序約束的調(diào)度稱(chēng)為安全感知調(diào)度。

TSN中的流量調(diào)度問(wèn)題已被證實(shí)為NP完全問(wèn)題，對(duì)于該問(wèn)題，國(guó)內(nèi)外已有較為豐富的研究成果。文獻(xiàn)［4］將TSN中的無(wú)等待數(shù)據(jù)包調(diào)度問(wèn)題建模為無(wú)等待作業(yè)車(chē)間調(diào)度問(wèn)題，提出了一種禁忌搜索算法和調(diào)度壓縮技術(shù)。文獻(xiàn)［5］將調(diào)度問(wèn)題描述為一個(gè)多目標(biāo)組合優(yōu)化問(wèn)題，分別使用了整數(shù)線性規(guī)劃（ILP）、增量啟發(fā)式算法、元啟發(fā)式算法對(duì)該問(wèn)題進(jìn)行求解。除了對(duì)流量進(jìn)行調(diào)度外，任務(wù)的執(zhí)行也將會(huì)影響到流量的調(diào)度，因此部分研究將調(diào)度從數(shù)據(jù)鏈路層擴(kuò)展到應(yīng)用層，實(shí)現(xiàn)了任務(wù)和流的聯(lián)合調(diào)度［6］。文獻(xiàn)［7］將任務(wù)和流協(xié)同調(diào)度問(wèn)題建模為混合整數(shù)規(guī)劃（MIP）問(wèn)題，調(diào)度目標(biāo)為應(yīng)用程序的響應(yīng)時(shí)間和流傳輸?shù)亩说蕉藭r(shí)延。文獻(xiàn)［8］將任務(wù)和流量聯(lián)合調(diào)度，并分別使用可滿足性模理論（SMT）和MIP求解該問(wèn)題。然而，以上研究只針對(duì)TSN中的調(diào)度問(wèn)題而未考慮到安全威脅問(wèn)題，對(duì)于TSN的安全感知調(diào)度問(wèn)題的研究仍處于初始階段。文獻(xiàn)［9］使用消息驗(yàn)證碼（MAC）為T(mén)SN流提供源認(rèn)證，使用安全等級(jí)描述應(yīng)用的安全需求，調(diào)度目標(biāo)為保證系統(tǒng)可調(diào)度性的同時(shí)，最大化所有安全等級(jí)的加權(quán)和，以此權(quán)衡安全性能與安全開(kāi)銷(xiāo)。雖然MAC本身是開(kāi)銷(xiāo)較小的安全機(jī)制，但不適用于多播的場(chǎng)景。而TSN多應(yīng)用在汽車(chē)內(nèi)網(wǎng)、工業(yè)控制領(lǐng)域，為使多個(gè)終端協(xié)同工作，控制信號(hào)通常是多播的。文獻(xiàn)［10］使用定時(shí)高效流丟失容忍認(rèn)證（TESLA）［11］為T(mén)SN流提供消息認(rèn)證（該方式可用于多播的場(chǎng)景），使用混合整數(shù)線性規(guī)劃（MILP）模型求解安全感知的調(diào)度問(wèn)題，但TESLA機(jī)制本身存在驗(yàn)證延遲，且需要緩存，在實(shí)時(shí)性要求很高的TSN系統(tǒng)中可能會(huì)無(wú)法得到滿足所有約束的調(diào)度方案。文獻(xiàn)［12］在文獻(xiàn)［10］的基礎(chǔ)上，增加了路徑冗余機(jī)制，兼顧外部安全威脅和系統(tǒng)內(nèi)部安全故障兩個(gè)方面，并使用約束規(guī)劃求解該問(wèn)題，但仍未解決安全機(jī)制本身問(wèn)題。因此，需要繼續(xù)研究更為合理的安全驗(yàn)證方案，盡量減少安全機(jī)制引入的影響，在保證可調(diào)度性的同時(shí)，為系統(tǒng)提供有效的安全驗(yàn)證。

為解決存在的以上問(wèn)題，文中提出了一種面向TSN的安全感知調(diào)度方法。該方法引入了時(shí)間有效的一次性簽名作為安全認(rèn)證機(jī)制，并根據(jù)TSN的特性對(duì)該機(jī)制進(jìn)行了修改。針對(duì)修改后的一次性簽名安全機(jī)制，文中提出了相應(yīng)的安全模型，用以評(píng)估該機(jī)制帶來(lái)的影響，并對(duì)TSN的安全感知問(wèn)題進(jìn)行數(shù)學(xué)建模，使用約束規(guī)劃對(duì)該問(wèn)題進(jìn)行求解。最后，文中通過(guò)實(shí)驗(yàn)驗(yàn)證該方法的有效性。

1　基于時(shí)間有效的一次性簽名的TSN安全機(jī)制設(shè)計(jì)

1.1　安全原理

1.1.1時(shí)間有效的一次性簽名

一次性簽名是一種基于單向哈希函數(shù)的消息源認(rèn)證方案，其特征在于密鑰在使用時(shí)就會(huì)暴露，因此密鑰只能使用一次。此外，它具有簽名生成快與驗(yàn)證效率高的優(yōu)點(diǎn)。時(shí)間有效的一次性簽名方案（TV-HORS）［13］對(duì)傳統(tǒng)的一次性簽名進(jìn)行了改進(jìn)。該方案只對(duì)消息摘要的一部分進(jìn)行簽名，縮短了簽名長(zhǎng)度。

獲得隨機(jī)子集一次性簽名（HORS）［14］是一種較為經(jīng)典的一次性簽名方案，相較于其他經(jīng)典方案，其具有簽名長(zhǎng)度短、簽名效率高的特點(diǎn)。它使用雙映射將消息映射到一個(gè)元素集合的唯一元素子集，消息長(zhǎng)度必須不大于log2。即為私鑰，公鑰為對(duì)中的每個(gè)元素執(zhí)行單向哈希生成的集合，而元素子集為簽名。此處的雙映射可用單向哈希函數(shù)代替。

時(shí)間有效的一次性簽名在HORS的基礎(chǔ)上進(jìn)行了改進(jìn)，它只對(duì)消息摘要的前位進(jìn)行簽名，減少了簽名長(zhǎng)度。但這種方式會(huì)導(dǎo)致攻擊者的攻擊時(shí)間也隨之縮短，因?yàn)楣粽咧恍枵业胶戏ㄏ⒌奈徊糠止Ｅ鲎驳诙窦纯蓚卧鞇阂庀?。為了解決該問(wèn)題，由于攻擊者找到位哈希碰撞原像需要進(jìn)行2次哈希計(jì)算，TV-HORS通過(guò)控制的大小來(lái)控制攻擊者找到哈希碰撞原像的時(shí)間，從而保證該簽名方案的安全性。其原理如圖1所示。TV-HORS的具體做法是發(fā)送端先指定一個(gè)簽名周期，并且只在該周期內(nèi)對(duì)消息進(jìn)行簽名。接收端在收到消息簽名后，先計(jì)算簽名暴露的最長(zhǎng)時(shí)長(zhǎng)。如果這個(gè)時(shí)長(zhǎng)大于攻擊者找到哈希第二碰撞原像的時(shí)間，則接收端將直接丟棄該消息，因?yàn)樵撓⒂锌赡苁枪粽邆卧斓?；相反，如果接收端?jì)算的簽名暴露時(shí)長(zhǎng)小于攻擊者的攻擊成功時(shí)間，則接收端接收該消息，并對(duì)其進(jìn)行驗(yàn)證。即簽名過(guò)程需滿足以下關(guān)系式

式中，為簽名周期，為攻擊者可以成功執(zhí)行攻擊的時(shí)間，為同步誤差，為發(fā)送端與接收端的最壞端到端時(shí)延。

該方案還有利于使用同一個(gè)密鑰進(jìn)行多次簽名，降低密鑰的更新頻率。因?yàn)樵摲桨赶拗屏斯粽咧荒茉谟邢薜臅r(shí)間內(nèi)找到哈希碰撞第二原像，所以只需保證簽名的暴露時(shí)間仍然遠(yuǎn)遠(yuǎn)小于攻擊者的攻擊時(shí)間，即可有效保證簽名的安全性。

為了進(jìn)一步改善簽名的一次性，文中使用哈希鏈將多個(gè)密鑰串聯(lián)到一起，從而避免頻繁的密鑰分發(fā)。

1.1.2針對(duì)TSN的修改

在TSN中，數(shù)據(jù)的傳輸時(shí)間是確定的，周期性消息必須在其截止時(shí)間內(nèi)完成傳輸，最壞情況下也必須在其周期內(nèi)完成傳輸。因此，可以直接在選擇參數(shù)階段就保證攻擊者的攻擊時(shí)間不可能小于消息的暴露時(shí)間。

因?yàn)橄⒌谋┞稌r(shí)長(zhǎng)最長(zhǎng)為其周期，所以只要使得攻擊者需要的成功時(shí)間遠(yuǎn)遠(yuǎn)大于消息的周期，即可保證信息的安全。由于使用同一密鑰對(duì)多個(gè)消息進(jìn)行簽名時(shí)，簽名的暴露時(shí)長(zhǎng)應(yīng)該增加相應(yīng)的倍數(shù)。那么，式（1）可改寫(xiě)為

1.2　機(jī)制設(shè)計(jì)

1.2.1初始化

圖2　時(shí)間有效的一次性簽名方案

1.2.2簽署簽名

1.2.3驗(yàn)證簽名

2　TSN的安全感知調(diào)度問(wèn)題描述和數(shù)學(xué)模型

2.1　問(wèn)題描述

TSN通過(guò)流量整形等機(jī)制保證網(wǎng)絡(luò)的確定性傳輸。TSN交換機(jī)出端口原理如圖3所示。在每個(gè)TSN交換機(jī)的出端口有8個(gè)優(yōu)先級(jí)隊(duì)列，每個(gè)隊(duì)列都有對(duì)應(yīng)的門(mén)來(lái)控制隊(duì)列中數(shù)據(jù)的傳輸。當(dāng)門(mén)狀態(tài)為“開(kāi)”時(shí)表示傳輸數(shù)據(jù)，門(mén)狀態(tài)為“關(guān)”時(shí)表示停止傳輸數(shù)據(jù)。TSN的交換機(jī)可以根據(jù)事先生成的門(mén)控列表（GCL）控制傳輸門(mén)的開(kāi)關(guān)狀態(tài)。如圖3所示的GCL中，“T000：OCOOCOOO”即表示T000時(shí)刻8個(gè)隊(duì)列對(duì)應(yīng)的門(mén)的開(kāi)關(guān)狀態(tài)。門(mén)控列表通過(guò)調(diào)度算法生成，從而使TSN能夠確定每個(gè)數(shù)據(jù)幀在交換機(jī)端口處的傳輸時(shí)間和順序，保證不同的幀在出口鏈路上依次傳輸而不發(fā)生沖突。

圖3　TSN交換機(jī)出端口原理

為了得到更好的調(diào)度結(jié)果，文中將運(yùn)行在終端上的應(yīng)用任務(wù)與流量聯(lián)合調(diào)度，共同生成調(diào)度方案，從而使得流量的傳輸和任務(wù)的執(zhí)行相匹配，減少應(yīng)用的響應(yīng)時(shí)間，提高系統(tǒng)運(yùn)行的效率。而在文中所研究的TSN安全感知調(diào)度中，安全機(jī)制的引入將會(huì)產(chǎn)生兩個(gè)方面的影響：一是安全機(jī)制需要進(jìn)行簽名的簽署和認(rèn)證，這會(huì)在終端增加安全任務(wù)，影響原本的任務(wù)調(diào)度；二是安全機(jī)制產(chǎn)生的簽名需要附加在原本的消息上，影響流的大小和傳輸時(shí)間。因此，本研究有必要在傳統(tǒng)的TSN調(diào)度問(wèn)題的基礎(chǔ)上，充分考慮安全機(jī)制對(duì)調(diào)度的影響。

文中考慮以下調(diào)度問(wèn)題：給定一個(gè)TSN網(wǎng)絡(luò)，其中終端通過(guò)支持TSN的以太網(wǎng)交換機(jī)進(jìn)行連接，鏈路的傳輸速度確定。終端上運(yùn)行著一組由任務(wù)組成的應(yīng)用，它們都有執(zhí)行時(shí)間、周期、截止時(shí)間等參數(shù)。任務(wù)間交換的消息稱(chēng)為流，流有大小、周期、截止時(shí)間和是否需要進(jìn)行簽名等參數(shù)。系統(tǒng)通過(guò)時(shí)間有效的一次性簽名機(jī)制提供消息源認(rèn)證，該機(jī)制主要包括安全任務(wù)和簽名。調(diào)度算法在保證滿足所有任務(wù)和流的截止時(shí)間要求之外，還需要滿足所有流對(duì)安全認(rèn)證的需求，并最小化應(yīng)用程序的總端到端時(shí)延。最后調(diào)度算法生成任務(wù)和流的調(diào)度表，確定每個(gè)任務(wù)和流的執(zhí)行開(kāi)始時(shí)間和順序。

2.2　數(shù)學(xué)模型

2.2.1網(wǎng)絡(luò)模型

圖4　網(wǎng)絡(luò)拓?fù)涫纠龍D

2.2.2通信模型

圖5　應(yīng)用超周期的示意圖

圖6　應(yīng)用示例

2.2.3安全模型

圖7　添加安全機(jī)制后的應(yīng)用示例

3　基于約束規(guī)劃的安全感知調(diào)度求解

3.1　決策變量

需要說(shuō)明的是，流本身不在節(jié)點(diǎn)上傳輸，但安全任務(wù)的執(zhí)行必須在流的傳輸開(kāi)始之前和傳輸結(jié)束之后，為了更加方便地描述安全任務(wù)和流傳輸、普通任務(wù)之間的順序，此處定義流在節(jié)點(diǎn)上的傳輸時(shí)間變量，實(shí)際上指的是安全任務(wù)的執(zhí)行時(shí)間變量。

3.2　調(diào)度約束

調(diào)度的主要對(duì)象是任務(wù)和流，但應(yīng)用本身也存在完成截止時(shí)間。因此，調(diào)度約束分為3個(gè)部分，分別是流、任務(wù)和應(yīng)用。

3.2.1流

在與路由路徑無(wú)關(guān)的鏈路和節(jié)點(diǎn)上，流相關(guān)的所有變量，包括傳輸開(kāi)始時(shí)間、傳輸持續(xù)時(shí)間和傳輸結(jié)束時(shí)間均為0，即

在流路由路徑中的鏈路與節(jié)點(diǎn)上，流的傳輸結(jié)束時(shí)間為傳輸開(kāi)始時(shí)間加上傳輸持續(xù)時(shí)間，即

在流的傳輸路由中的每一條鏈路上，流的傳輸持續(xù)時(shí)間為流的長(zhǎng)度除以鏈路的傳輸速度。當(dāng)流為普通流時(shí)，不需要安全機(jī)制。當(dāng)流為安全流時(shí)，流的長(zhǎng)度為流本身的長(zhǎng)度加上安全機(jī)制增加的簽名長(zhǎng)度，即

當(dāng)流為安全流時(shí)，其在路由路徑的終端節(jié)點(diǎn)上的執(zhí)行時(shí)間為安全任務(wù)的執(zhí)行時(shí)間，即

必須保證每個(gè)流沿著路由路徑連續(xù)調(diào)度的順序。即在路由路徑上的兩條連續(xù)的鏈路之間，必須保證流在上一條鏈路中傳輸完成后，才能在下一條鏈路中傳輸，即

式（15）和式（16）保證的是安全任務(wù)和流的傳輸?shù)捻樞颉?/p>

3.2.2任務(wù)

對(duì)于每一個(gè)任務(wù)，其執(zhí)行結(jié)束時(shí)間為其執(zhí)行開(kāi)始時(shí)間加上執(zhí)行時(shí)間，即

任務(wù)和其出流之間存在依賴(lài)關(guān)系：當(dāng)任務(wù)執(zhí)行完畢之后，其產(chǎn)生的流才可以開(kāi)始傳輸，即

任務(wù)和其入流之間存在依賴(lài)關(guān)系：當(dāng)任務(wù)的所有入流都到達(dá)之后，任務(wù)才能開(kāi)始執(zhí)行，即

3.2.3應(yīng)用

3.3　目標(biāo)函數(shù)

針對(duì)不同的應(yīng)用場(chǎng)景，TSN的調(diào)度算法所注重的優(yōu)化目標(biāo)各不相同。TSN中最重要的是保證低時(shí)延的確定性傳輸，因此時(shí)間性能的表現(xiàn)至關(guān)重要?？紤]到安全機(jī)制的加入會(huì)增加單個(gè)任務(wù)的執(zhí)行時(shí)間和流傳輸時(shí)間，導(dǎo)致應(yīng)用的總完成時(shí)間變長(zhǎng)，易出現(xiàn)應(yīng)用端到端時(shí)延超出截止時(shí)間的情況。因此，為了提升應(yīng)用時(shí)間性能，提高方案可調(diào)度性，文中采用最小化所有應(yīng)用的端到端時(shí)延總和作為優(yōu)化目標(biāo)，即

4　實(shí)驗(yàn)結(jié)果與分析

為驗(yàn)證文中提出的TSN安全感知調(diào)度方法，文中基于Python編程語(yǔ)言構(gòu)建了實(shí)驗(yàn)代碼，并使用谷歌OR-Tools提供的CP-SAT［15］求解器對(duì)該問(wèn)題進(jìn)行求解。文中實(shí)驗(yàn)均在一臺(tái)處理器為Intel Core i7-8700、內(nèi)存為48 GB的工作站上進(jìn)行。

4.1　安全機(jī)制參數(shù)分析

為了最小化安全機(jī)制對(duì)調(diào)度的影響，文中先對(duì)安全機(jī)制的參數(shù)設(shè)計(jì)進(jìn)行分析，為后續(xù)的調(diào)度選擇合適的參數(shù)。

圖8　哈希計(jì)算時(shí)間

根據(jù)圖8提供的攻擊者的攻擊時(shí)間和式（29），即可選擇合適的安全等級(jí)，并以此選擇合適的安全參數(shù)。

不同參數(shù)取值下任務(wù)的執(zhí)行時(shí)間和簽名長(zhǎng)度如表1所示。在文中的實(shí)驗(yàn)平臺(tái)上，一次哈希的計(jì)算時(shí)間大約為1 μs。根據(jù)文獻(xiàn)［13］，哈希鏈中的鹽長(zhǎng)度為80位，SAGE長(zhǎng)度為48位即可保證較好的安全性。

表1　不同參數(shù)取值下任務(wù)的執(zhí)行時(shí)間和簽名長(zhǎng)度

Table 1　Task execution time and signature length with different values of parameters

θ 40913987117111792 419131 041123112392 42813976129112992 438131 029136113692 44713950143114392 45714909137113798 46614819144114498 47614860151115198 48614904158115898 49514791166116698 50514832174117498

4.2　實(shí)例測(cè)試與結(jié)果評(píng)估

4.2.1實(shí)例測(cè)試

表2　測(cè)試用例任務(wù)參數(shù)

Table 2　Task parameters of test case

任務(wù)ID執(zhí)行終端執(zhí)行時(shí)間/μs周期/μs截止時(shí)間/μs 2001 0001 000 2001 0001 000 2001 0001 000 2001 0001 000

表3　測(cè)試用例流參數(shù)

Table 3　Stream parameters of test case

流ID源任務(wù)目的任務(wù)長(zhǎng)度/B周期/μs截止時(shí)間/μs安全流 5001 0001 0001 5001 0001 0001

最終任務(wù)和流的調(diào)度結(jié)果如圖9所示。其中流的路由路徑直接由最短路徑算法生成。

圖9　測(cè)試用例調(diào)度結(jié)果

從圖9可以看到，所有的約束條件都得到了滿足，流和任務(wù)兩兩之間沒(méi)有重疊，并且遵循一定的順序。所有流的傳輸和任務(wù)的執(zhí)行都在截止時(shí)間內(nèi)完成。故加入了安全機(jī)制后，應(yīng)用仍是可調(diào)度的。

此外，本實(shí)驗(yàn)還比較了非安全感知調(diào)度方法（CP-NS）與文中所提出的安全感知調(diào)度方法（CP-S）的性能，結(jié)果如表4所示。

表4　測(cè)試用例調(diào)度結(jié)果比較

Table 4　Scheduling results comparison of test case

方法端到端時(shí)延/μs帶寬消耗/% CP-S7311.50 CP-NS5261.31

由表4可知，CP-S相較于CP-NS，端到端時(shí)延增加了205 μs。由于優(yōu)化目標(biāo)為最小化端到端時(shí)延，端到端時(shí)延的增加已經(jīng)相對(duì)減少。CP-S帶寬消耗較CP-NS增加了0.19%，這是由于簽名的引入增加了帶寬消耗。

4.2.2安全機(jī)制的影響分析

為了評(píng)估文中所提出的基于時(shí)間有效的一次性簽名的TSN安全機(jī)制對(duì)調(diào)度的影響，文中從可調(diào)度性、端到端時(shí)延和帶寬消耗3個(gè)方面，對(duì)文中提出的安全感知調(diào)度方法、基于TESLA機(jī)制的安全感知調(diào)度方法（TESLA-S）［10］和不添加任何安全機(jī)制的非安全感知調(diào)度方法進(jìn)行性能比較和分析。文中根據(jù)實(shí)際的工業(yè)環(huán)境生成了一組綜合應(yīng)用和網(wǎng)絡(luò)拓?fù)錅y(cè)試用例［8］。實(shí)際的工業(yè)和汽車(chē)控制系統(tǒng)一般由環(huán)型、網(wǎng)格型、樹(shù)型網(wǎng)絡(luò)構(gòu)成，本實(shí)驗(yàn)將這幾種類(lèi)型網(wǎng)絡(luò)隨機(jī)組合，生成不同規(guī)模的網(wǎng)絡(luò)拓?fù)?。流大小在最大和最小以太網(wǎng)包大小之間隨機(jī)選擇，流周期在500、1 000、1 500 μs之間隨機(jī)選擇，任務(wù)大小在30～150 μs之間隨機(jī)選擇。鏈路的傳輸速度為1 000 Mb/s。選用的安全等級(jí)仍為40，簽名任務(wù)執(zhí)行時(shí)間為1 μs，驗(yàn)證任務(wù)執(zhí)行時(shí)間為117 μs，簽名長(zhǎng)度為92 B。測(cè)試用例（TC1-small、TC2-medium、TC3-large、TC4-huge）的網(wǎng)絡(luò)規(guī)模分為小型、中型、大型、巨大4種，每個(gè)測(cè)試用例的終端節(jié)點(diǎn)和交換機(jī)數(shù)量、任務(wù)和流數(shù)量都隨網(wǎng)絡(luò)規(guī)模擴(kuò)大而增加，具體參數(shù)配置如表5所示。

表5　工業(yè)測(cè)試用例參數(shù)配置

Table 5　Parameter of industrial test cases

測(cè)試用例終端數(shù)交換機(jī)數(shù)任務(wù)數(shù)流數(shù) TC1_small42165 TC2_medium843212 TC3_large1686427 TC4_huge321612852

為了評(píng)估CP-S對(duì)可調(diào)度性的影響，3種不同調(diào)度方法下求解器的求解質(zhì)量如表6所示。求解器的最長(zhǎng)求解時(shí)間為300 s。從表中可以看到，3種方法對(duì)于所有測(cè)試用例，求解器的求解質(zhì)量完全一致。這說(shuō)明無(wú)論是CP-S還是TESLA-S，安全機(jī)制的添加對(duì)可調(diào)度性的影響并不大，并且CP-S與TESLA-S兩種安全感知調(diào)度方法在可調(diào)度性影響方面沒(méi)有差別。

表6　3種方法的求解質(zhì)量比較

Table 6　Comparison of solving quality among three methods

測(cè)試用例CP-STESLA-SCP-NS TC1_small可行解可行解可行解 TC2_medium可行解可行解可行解 TC3_large可行解可行解可行解 TC4_huge可行解可行解可行解

表7比較了不同網(wǎng)絡(luò)規(guī)模下CP-S、TESLA-S和CP-NS所有應(yīng)用的端到端時(shí)延總和。從表中可以看到，CP-S和TESLA-S的端到端時(shí)延總和總是大于CP-NS。這說(shuō)明安全機(jī)制的添加總會(huì)增加應(yīng)用的端到端時(shí)延總和，因?yàn)榘踩珯C(jī)制引入的安全任務(wù)的執(zhí)行時(shí)間和安全認(rèn)證信息的傳輸時(shí)間均會(huì)增加應(yīng)用的端到端時(shí)延。CP-S的應(yīng)用端到端時(shí)延總和略高于TESLA-S，但兩者之間的差距很小。由于TESLA機(jī)制采用對(duì)稱(chēng)密鑰的方式進(jìn)行驗(yàn)證，故其驗(yàn)證速度很快，與一般的對(duì)稱(chēng)加密方式一致。而文中使用的基于時(shí)間有效的一次性簽名機(jī)制則使用非對(duì)稱(chēng)密鑰的方式進(jìn)行驗(yàn)證，驗(yàn)證速度較對(duì)稱(chēng)加密方式慢。但從實(shí)驗(yàn)結(jié)果看，相對(duì)于非安全感知調(diào)度方法，CP-S增加的端到端時(shí)延僅為T(mén)ESLA-S的1.5倍。這說(shuō)明文中所提方案與使用對(duì)稱(chēng)加密方式的方案驗(yàn)證速度接近，驗(yàn)證速度較快。此外，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大，安全感知調(diào)度方法（CP-S、TESLA-S）與非安全感知調(diào)度方法（CP-NS）的差距越來(lái)越大。這和網(wǎng)絡(luò)中增加的安全流的數(shù)量有關(guān)?？傮w上看，CP-S的端到端時(shí)延總和比CP-NS平均增加了13.3%，可以認(rèn)為文中提出的安全機(jī)制的添加對(duì)網(wǎng)絡(luò)產(chǎn)生的影響并不大。

表7　3種方法的端到端時(shí)延比較

Table 7　Comparison of end-to-end delay among three methods

方法端到端時(shí)延/μs TC1_smallTC2_mediumTC3_largeTC4_huge CP-S1 5482 8025 06210 512 TESLA-S1 4382 7534 9969 963 CP-NS1 3102 5604 7228 984

除了對(duì)端到端時(shí)延產(chǎn)生影響外，安全機(jī)制產(chǎn)生的簽名也會(huì)使流的大小發(fā)生變化，表8比較了不同網(wǎng)絡(luò)規(guī)模下CP-S、TESLA-S和CP-NS的帶寬消耗百分比。從表中可以看出，CP-S和TESLA-S的帶寬消耗總是大于CP-NS。這說(shuō)明安全機(jī)制的添加總會(huì)增加帶寬消耗，因?yàn)榘踩珯C(jī)制引入的安全認(rèn)證信息的傳輸會(huì)占用一定的傳輸帶寬。此外，隨著網(wǎng)絡(luò)規(guī)模的增大，帶寬消耗呈下降趨勢(shì)。這與網(wǎng)絡(luò)中的交換機(jī)與鏈路的增加有關(guān)。CP-S的帶寬消耗與CP-NS相近，平均僅增加5.8%。而TESLA-S相對(duì)于CP-NS的帶寬消耗平均增加了23.0%，是CP-S的3.9倍。TESLA機(jī)制除了需要為每一條流生成驗(yàn)證信息外，還需要為每一條流發(fā)布密鑰。頻繁的密鑰發(fā)布引入了大量的安全認(rèn)證信息，增加了帶寬消耗。相對(duì)而言，CP-S的帶寬消耗很低，因此文中提出的安全認(rèn)證機(jī)制對(duì)流傳輸?shù)挠绊懞苄?。這對(duì)TSN有重要的意義，因?yàn)門(mén)SN中帶寬是非常重要的資源，盡量減少安全機(jī)制產(chǎn)生的認(rèn)證信息對(duì)帶寬的占用，有利于保證TSN中其他流量的傳輸質(zhì)量。

表8　3種方法的帶寬消耗比較

Table 8　Comparison of bandwidth overhead among three methods

方法帶寬消耗/% TC1_smallTC2_mediumTC3_largeTC4_huge CP-S0.360.300.190.17 TESLA-S0.430.340.230.19 CP-NS0.350.280.190.15

5　結(jié)論

文中提出了一種面向TSN的安全感知調(diào)度方法。為保證關(guān)鍵信息的真實(shí)性，文中引入了時(shí)間有效的一次性簽名機(jī)制，并根據(jù)TSN的流量特性對(duì)該機(jī)制進(jìn)行了修改。與其他安全機(jī)制相比，該機(jī)制具有驗(yàn)證快、開(kāi)銷(xiāo)小的特點(diǎn)。在此基礎(chǔ)上，文中針對(duì)該安全感知調(diào)度方案，分別對(duì)網(wǎng)絡(luò)拓?fù)?、通信過(guò)程和安全機(jī)制進(jìn)行數(shù)學(xué)建模，并使用約束規(guī)劃對(duì)該調(diào)度問(wèn)題進(jìn)行求解。仿真實(shí)驗(yàn)結(jié)果表明，該安全機(jī)制的引入可以有效地提高系統(tǒng)的安全性，且不會(huì)給TSN調(diào)度帶來(lái)過(guò)多的額外開(kāi)銷(xiāo)，其產(chǎn)生的端到端時(shí)延平均僅增加13.3%，帶寬消耗平均僅增加5.8%。

［1］ BELLO L L，STEINER W．A perspective on IEEE time-sensitive networking for industrial communication and automation systems［J］．Proceedings of the IEEE，2019，107（6）：1094-1120.

［2］ ASHJAEI M，BELLO L L，DANESHTALAB M，et al．Time-sensitive networking in automotive embedded systems：state of the art and research opportunities［J］．Journal of Systems Architecture，2021，117：102137/1-15.

［3］ CRACIUNAS S S，OLIVER R S，CHMELíK M，et al．Scheduling real-time communication in IEEE 802.1 Qbv time sensitive networks［C］∥ Proceedings of the 24th International Conference on Real-Time Networks and Systems．Brest：ACM，2016：183-192.

［4］ DüRR F，NAYAK N G．No-wait packet scheduling for IEEE time-sensitive networks （TSN）［C］∥ Proceedings of the 24th International Conference on Real-Time Networks and Systems．Brest：ACM，2016：203-212.

［5］ RAAGAARD M L，POP P．Optimization algorithms for the scheduling of IEEE 802.1 time-sensitive networking （TSN）［R/OL］．（2017-01-15）［2022-05-06］．https：//www2.compute.dtu.dk/～paupo/publications/Raagaard2017aa-Optimization%20algorithms%20for%20th-.pdf.

［6］ 張彤，馮佳琦，馬延瀅，等．時(shí)間敏感網(wǎng)絡(luò)流量調(diào)度綜述［J］．計(jì)算機(jī)研究與發(fā)展，2022，59（4）：747-764.

ZHANG Tong，F(xiàn)ENG Jiaqi，MA Yanying，et al．Survey on traffic scheduling in time-sensitive networking ［J］．Journal of Computer Research and Development，2022，59（4）：747-764.

［7］ ZHANG L，GOSWAMI D，SCHNEIDER R，et al．Task-and network-level schedule co-synthesis of Ethernet-based time-triggered systems［C］∥ Proceedings of the 19th Asia and South Pacific Design Automation Conference．Singapore：IEEE，2014：119-124.

［8］ CRACIUNAS S S，OLIVER R S．Combined task-and network-level scheduling for distributed time-riggered systems［J］．Real-Time Systems，2016，52（2）：161-200.

［9］ MAHFOUZI R，AMINIFAR A，SAMII S，et al．Security-aware routing and scheduling for control applications on Ethernet TSN networks［J］．ACM Transactions on Design Automation of Electronic Systems，2019，25（1）：1-26.

［10］ ZHAO R，QIN G，LYU Y，et al．Security-aware scheduling for TTEthernet-based real-time automotive systems［J］．IEEE Access，2019，7：85971-85984.

［11］ PERRIG A，CANETTI R，SONG D，et al．Efficient and secure source authentication for multicast［C］∥ Proceedings of 2001 Network and Distributed System Security Symposium．San Diego：Internet Society，2001：35-46.

［12］ REUSCH N，POP P，CRACIUNAS S S．Work-in-progress：safe and secure configuration synthesis for TSN using constraint programming［C］∥ Proceedings of 2020 IEEE Real-Time Systems Symposium．Houston：IEEE，2020：387-390.

［13］ WANG Q，KHURANA H，HUANG Y，et al．Time valid one-time signature for time-critical multicast data authentication［C］∥ Proceedings of IEEE INFOCOM 2009．Rio de Janeiro：IEEE，2009：1233-1241.

［14］ REYZIN L，REYZIN N．Better than BiBa：short one-time signatures with fast signing and verifying［C］∥ Proceedings of the 7th Australasian Conference on Information Security and Privacy．Melboume：Springer，2002：144-153.

［15］ Google．CP-SAT solver ［DB/OL］．（2022-03-05）［2022-05-06］．https：//developers.google.com/optimization/cp/cp_solver.

Security-Aware Scheduling Method for Time-Sensitive Networking

1211231

（1. School of Electronic and Information Engineering，South China University of Technology，Guangzhou 510640，Guangdong，China；2. School of Computer Science and Engineering，South China University of Technology，Guangzhou 510006，Guangdong，China；3. Information and Network Engineering and Research Center，South China University of Technology，Guangzhou 510640，Guangdong，China）

The authenticity of information is the key security factor of system in time-sensitive networking (TSN). However, the direct introduction of traditional security authentication mechanism will lead to a significant reduction in schedulability of the system. The existing methods still have the problems of few application scenarios and high resource consumption. To address this problem, a security-aware scheduling method for TSN was proposed. Firstly, based on the traffic characteristics of TSN, a time-efficient one-time signature security mechanism was designed to provide efficient multicast source authentication for messages. Secondly, the corresponding security model was proposed to evaluate the mechanism and describe the impact of the security mechanism on tasks and traffic. Finally, the proposed security-aware scheduling method was modeled mathematically. On the basis of traditional scheduling constraints, some constraints related to security mechanisms were added. At the same time, the optimization objective was to minimize the end-to-end delay of applications, and constraint programming was used to solve the problem. Simulation results show that the introduction of the improved one-time signature mechanism can effectively protect the authenticity of key information in TSN, and has limited impact on scheduling. In multiple test cases of different sizes generated based on real industrial scenarios, the average end-to-end delay and bandwidth consumption of the generated applications only increased by 13.3% and 5.8% respectively. Compared with other similar methods, this method consumes less bandwidth, thus more suitable for TSN networks with strict bandwidth restrictions.

time-sensitive networking；security；scheduling；constraint programming

Supported by the National Key R&D Program of China （2020YFB1805300）

10.12141/j.issn.1000-565X.220394

2022?06?22

國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目（2020YFB1805300）

陸以勤（1968-），男，博士，教授，博士生導(dǎo)師，主要從事新型網(wǎng)絡(luò)體系架構(gòu)、網(wǎng)絡(luò)安全研究。E-mail：eeyqlu@scut.edu.cn

程喆（1980-），男，博士生，主要從事計(jì)算機(jī)網(wǎng)絡(luò)、信息安全研究。E-mail：cszcheng@mail.scut.edu.cn

TP393

1000-565X（2023）05-0001-12