21-EFT.WP.Metrology.Sync v1.0 | 第12章 边界与异常（虚拟化/欺骗/GNSS 风险）

目录 ／ 文档-技术白皮书 ／ 21-EFT.WP.Metrology.Sync v1.0

第12章 边界与异常（虚拟化/欺骗/GNSS 风险）

一句话目标：在虚拟化与受威胁环境中，建立可检测、可隔离、可回退的同步安全与鲁棒边界，使 ts/tau_mono、测量链路与参考源在欺骗、干扰与异常条件下仍保持契约级可用。

I. 范围与对象

1. 适用对象
   • 运行于虚拟机/容器/混部节点的同步端点与边界时钟。
   • 暴露于 NTP/PTP/GNSS 欺骗、干扰、非对称与路由抖动的网络。
   • 具有多参考源（GNSS/SyncE/PTP）与多域互联的系统。
2. 输入
   • 参考观测：z_ptp, z_ntp, z_gnss, C/N0, DOP, sky_mask，链路指标 q_path, asym, sigma.
   • 本地计时：tau_mono, ts，虚拟化噪声 J_vmm, 调度量化 q_sched。
   • 到达时路径度量：T_arr 的两口径与 delta_form。
   • SLO/SLA：tol_sync, slew_max, T_detect, FPR, FNR。
3. 输出
   • 异常标签与根因：{virtualization, spoofing, jamming, multipath, leap, asym}。
   • 缓解动作与回退策略：holdover, failover, weight_drop, path_switch。
   • 审计与清单：manifest.sync.incident.*。

II. 名词与变量

• 虚拟化与宿主：J_vmm（vmm 抖动），q_sched（调度量化），t_guest, t_host。
• 欺骗与干扰：b_adv(t)（对抗偏置），r_adv(t)（对抗频偏），p_jam（干扰功率）。
• GNSS 观测：rho_i = || r_rx - r_sv_i || + c*(dT_rx - dT_sv_i) + I_i + T_i + m_i + n_i。
• 检测统计量：S_cusum, T_glrt, RAIM_parity = v^T R^{-1} v。
• 约束与阈值：C/N0_min, DOP_max, tol_Tarr, tol_asym, alpha（显著性）。

III. 公设 P612-*

• P612-1（单调与时基隔离）：tau_mono 必由单调源提供并与 ts 解耦；clock_gettime 与 vDSO 漂移需经 align_timebase 约束。
• P612-2（两口径强制）：所有到达时度量必须并行计算 T_arr 两口径并记录 delta_form，delta_form ≤ tol_Tarr。
• P612-3（多源一致校验）：GNSS/PTP/NTP/SyncE 至少二源交叉一致后方可作为主同步源。
• P612-4（虚拟化上界）：虚拟化抖动 J_vmm 与调度量化 q_sched 必落档；当 J_vmm > J_max 时禁止该实例充当 GM/BC/TC。
• P612-5（安全最小化）：默认降权不信任外部时标；启用白名单源、证书与消息鉴别。
• P612-6（渐进处置）：异常时先降权与限速拨时，再切换源与进入 holdover，禁止“快拨”破坏因果。

IV. 最小方程 S612-*

• S612-1（虚拟化误差模型）
  z_meas(t) = z_true(t) + n(t) + e_vmm(t)
  e_vmm(t) = q_sched * k(t) + jitter(t), J_vmm = std( jitter )
  check_dim( z_meas - z_true ) → unit "s"
• S612-2（欺骗偏置/频偏）
  z_t = ( x_i - x_ref ) + b_adv(t) + r_adv(t)*t + n_t
  H0: b_adv=r_adv=0; H1: b_adv≠0 ∨ r_adv≠0
  T_glrt = ( L(z|H1) / L(z|H0) )
• S612-3（CUSUM 序贯检测）
  S_cusum(t) = max( 0, S_cusum(t-1) + g(z_t) - k )
  触发条件：S_cusum(t) ≥ h，控制 alpha, beta 与 T_detect。
• S612-4（GNSS RAIM/完整性）
  v = y - H x_hat, RAIM_parity = v^T R^{-1} v
  规则：RAIM_parity ≤ chi2_{df,1-alpha}
• S612-5（多源融合集成）
  x_hat = arg min_x ( ∑_s w_s * ( z_s - x )^2 ), w_s ∝ 1/var_s
  当源 s 被标注异常时，置 w_s ← 0 或 w_s ← w_s * eta（eta ∈ (0,1)）。
• S612-6（到达时两口径差审计）
  delta_form = | ( 1 / c_ref ) * ( ∫ n_eff d ell ) - ( ∫ ( n_eff / c_ref ) d ell ) |
  assert delta_form ≤ tol_Tarr

V. 流程 M60-12（边界与异常治理）

1. 就绪
   • 采集 tau_mono/ts, q_path/asym/sigma, C/N0,DOP, T_arr 两口径。
   • 载入虚拟化指标 J_vmm, q_sched，校核 check_dim(expr)。
2. 在线监测
   • 运行 CUSUM/GLRT 于 offset/freq 残差；运行 RAIM 与 C/N0、DOP 门限。
   • 计算 delta_form、asym 与 path_delay 漂移。
3. 判定与分级
   依据 T_glrt/S_cusum/RAIM_parity、J_vmm、C/N0 与 psi（稳定性指数）进行 A/B/C 级告警。
4. 缓解
   • 级联动作：weight_drop → path_switch → failover → holdover，全程限制 slew ≤ slew_max。
   • GNSS 异常启用地面基准（SyncE/PTP）或惯导/晶振 holdover。
5. 复位与回退
   异常解除后以“渐进回归”恢复权重；保留观察窗口 Delta_t_guard。
6. 审计与落盘
   写入 manifest.sync.incident.*：起止时间、触发统计量、源/路径、处置与影响面；附 hash_sha256(blob) 与 signature。

VI. 契约与断言

• C60-121（虚拟化边界）：J_vmm ≤ J_max 且 q_sched ≤ q_max；否则禁止担任 GM/BC/TC。
• C60-122（欺骗检测）：T_glrt ≤ tau_glrt 且 S_cusum < h；越界进入降权/切换。
• C60-123（GNSS 完整性）：C/N0 ≥ C/N0_min, DOP ≤ DOP_max, RAIM_parity ≤ chi2_{df,1-alpha}。
• C60-124（到达时一致）：delta_form ≤ tol_Tarr，异常路径退出候选集。
• C60-125（渐进拨时）：|ds/dt| ≤ slew_max，禁止超速回拨。
• C60-126（多源一致）：任一主源更换需至少一条独立辅源一致性通过。

VII. 实现绑定 I60-12*

• estimate_vmm_jitter(node) -> {J_vmm, q_sched}
• detect_spoofing(stream) -> {T_glrt, S_cusum, label}
• gnss_integrity_check(obs) -> {RAIM_parity, C/N0, DOP, label}
• fuse_time_sources(meas, weights, policy) -> x_hat
• mitigate_and_failover(state, policy) -> action_plan
• emit_incident_manifest(event) -> manifest.sync.incident
  不变量：unit/dim 校核通过；处置动作可回滚；所有触发统计量与阈值落盘可追溯。

VIII. 交叉引用

• 同步伺服与滤波：见本卷第6章。
• 延迟与非对称建模：见本卷第7章。
• 噪声与稳定度传播：见《EFT.WP.Metrology.TimeBase v1.0》第7章。
• 清洗与发布契约：见《Methods.Cleaning v1.0》第10章。
• A/B 与序贯检验的统计口径：见《Methods.CrossStats v1.0》第6章、第8章。

IX. 质量指标与风控

1. 指标
   T_detect_p95, FPR/FNR, time_in_holdover, failover_success_rate, sync_error_p99, delta_form_breach_rate, mean_slew, incident_mttr.
2. 风控策略
   • 动态提高 T_glrt 与 h 的保守度于高威胁期；
   • 启用源白名单与报文鉴别；
   • 为 GNSS 配置屏蔽锥与 sky_mask，并设本振 holdover 等级；
   • 将虚拟化实例限定为从属节点，必要时迁移至裸金属时钟域。

小结