铁路时间同步网是高速铁路通信的重要支撑网之一,主要负责将统一、标准的时间传送给铁路各专业系统及设备。铁路各专业系统及设备通过铁路时间同步网能否安全、可靠地获取正确的时间,是影响铁路系统安全运营的关键问题。铁路时间同步网采用网络时间同步协议作为其核心时间同步协议,网络时间同步协议(Network Time Protocol,NTP)目前已发展至第4版,其通过引入Autokey机制来保证协议序列交互的安全性。但是,自2013年以来,针对网络时间同步协议的攻击频发,已造成数以亿计的财产损失,倘若攻击者通过利用网络时间同步协议自身漏洞,针对铁路时间同步网发动攻击,造成铁路系统及设备时间紊乱,后果不堪设想。因此,基于Autokey模型的网络时间同步协议序列究竟能否保证时间同步信息的安全传递,亟待研究。铁路时间同步网采用三级主从树结构组网,铁路总公司调度中心设为一级时间节点,18个铁路局设为二级时间节点,各站、段、所设为三级时间节点,系统庞大复杂,涉及设备众多、服役年限各不相同,管理维护人员素质不一,网络中某个设备或功能的失效并不意味着整个铁路时间同步网的失效,常规二态系统可靠性理论已不适合评估铁路时间同步网的可靠性,因此寻找合适的评估铁路时间同步网可靠性方法亟需研究。本文将形式化验证方法引入到铁路时间同步协议脆弱性研究中,将雷达图和云模型引入到铁路时间同步网系统可靠性评价中,主要研究内容及结论如下:(1)将着色Petri网理论引入到铁路时间同步协议认证过程脆弱性分析中。针对在协议认证过程中提供的可信证书和私有证书两种认证方式,分别构建其正常认证过程和加入中间人入侵的着色Petri网模型。分析中间人入侵时协议认证过程的不安全状态,建立模型状态方程,应用逆向状态分析法对NTP协议认证过程的安全性进行分析,得到中间人在认证阶段攻击协议的实施序列。实验结果证明,基于Autokey模型的NTP协议提供的两种认证方式,可信证书和私有证书均是不安全的,都存在可被中间人利用的脆弱性。在可信证书认证方式下,由于客户端身份认证的缺失,导致身份认证关键信息泄露。在私有证书认证方式下,由于同一组中的客户端拥有相同私钥,导致同一组中任意客户端均能对于其他客户端伪装成服务器。(2)将随机Petri网理论引入到铁路时间同步协议对时阶段脆弱性分析中。为了能够确定影响协议对时阶段的脆弱性因素及各因素对协议脆弱性的影响程度,本文针对协议对时阶段,利用随机Petri网对其脆弱性进行分析。详细剖析协议对时阶段交互流程,建立铁路时间同步网中时间同步协议在中间人攻击作用下的随机Petri网模型,将随机Petri网模型转换为马尔可夫链,分析影响协议脆弱性相关状态,得到协议脆弱性相关状态实施速率与协议正常结束状态和异常结束状态稳态概率之间的关系曲线,最终确定了影响铁路时间同步网中时间同步协议脆弱性的具体因素。(3)将半马尔可夫理论引入到铁路时间同步网协议安全量化研究中。为了能够确定影响协议全流程安全性的关键因素,本文针对协议包括认证阶段和对时阶段的全流程进行量化分析,引入半马尔可夫过程,解决协议在攻击行为下的状态驻留时间是任意分布的问题,通过建立带有网络攻击行为的铁路时间同步协议状态变迁模型,确定协议安全性评价指标,分析协议的不安全状态与协议安全性评价指标之间的关系,得到协议各安全性相关指标与协议不安全状态的变迁概率和状态驻留时间之间的关系曲线,获得影响铁路时间同步网协议的安全性的关键因素。(4)针对铁路时间同步网的分层结构,提出一种基于加权雷达图和云模型的复杂层次系统可靠性评价方法,对铁路时间同步网综合可靠性进行评估。首先,本文建立铁路时间同步网硬件设备层次结构,确定系统功能评价指标与硬件设备的对应关系;然后,通过计算硬件设备的主客观权重,利用系统功能评价指标与硬件设备的对应关系,确定功能评价指标的权重,以获得更加合理的评价指标权重值;最后,通过云模型计算各功能指标期望,构建能够更加反映铁路时间同步网实际运行状态的加权雷达图,对其综合可靠性进行评估,确定系统功能完成薄弱环节。