[发明专利]一种防篡改可信的网络协同管控系统及实现方法

说明书

本发明公开了一种防篡改可信的网络协同管控系统，包括管控服务单元、事务管理单元、可视化客户端与接口单元。管控服务单元用于命令接收、解析、转发与下发以及定期生成新的公钥和私钥，在更新公钥和私钥的同时，把自身的公钥发送至外部系统；事务管理单元管理被控设备和感知设备，校验命令信息的真实性，将命令信息写入数据库。本发明能够实现在集群中少量节点作恶将转发命令篡改的情况下，依然能正确执行命令，能确保需要执行的命令是真实有效的，同时被篡改的命令无法执行。

技术领域

本发明属于数据安全技术领域，尤其涉及一种防篡改可信的网络协同管控系统及实现方法。

背景技术

不同集群间协同管控时存在指令共识问题，当系统中存在多个集群时，用户向所有集群下发指令，有时需要其他集群节点进行指令转发。这个过程就存在命令被作恶节点篡改的可能，同时当一个集群同时收到不同集群下发的不同指令，执行哪个命令也是面临的问题。

拜占庭将军问题是指拜占庭帝国想要进攻一个强大的敌人，为此派出了10支军队去包围这个敌人。这个敌人虽不比拜占庭帝国，但也足以抵御5支常规拜占庭军队的同时袭击。基于一些原因，这10支军队不能集合在一起单点突破，必须在分开的包围状态下同时攻击。他们任一支军队单独进攻都毫无胜算，除非有至少6支军队同时袭击才能攻下敌国。他们分散在敌国的四周，依靠通信兵相互通信来协商进攻意向及进攻时间。困扰这些将军的问题是，他们不确定他们中是否有叛徒，叛徒可能擅自变更进攻意向或者进攻时间。在这种状态下，拜占庭将军们能否找到一种分布式的协议来让他们能够远程协商，从而赢取战斗？这就是著名的拜占庭将军问题。

目前市面上并没有一种协议可以彻底解决拜占庭将军问题，都是在有限假设的前提下，进行的推演协议，在成本可控前提下，设计的可执行方案。

现有技术方案在处理协同管控问题时，主要是通过在转发命令前先给命令消息加密，然后将加密后的命令转发给其他系统，其他系统通过校验加密命令信息，判断命令是否真实有效。现有的技术方案只关心是否能正确的接收到命令，并转发命令，并不关心也无法验证接收的命令是否是被篡改的。

传统的加密技术存在被破解的可能，如果某个数据点被恶意用户占用，且这个用户了解完整的协同管控逻辑和流程，那么这个节点转发的命令就有可能是篡改的，如果转发的命令是篡改后的，那么对整个集群是极其危险的。

在大集群中，命令的下发和转发需要经过很多节点，现有技术方案只能保证这个命令是转发系统转发的，但却不能保证这个命令是否被作恶节点篡改过的。如果集群中的某些节点被别有用心的人攻击，并对接收到的命令进行篡改，并按照原有流程进行加密和转发，这样会导致整个集群发生错乱甚至崩溃。恶意用户甚至不用真正的攻击并控制集群中的有效节点，仅仅通过捕捉节点间交互的交互报文，仅仅通过篡改转发报文协议的内容，就可以让主控系统下发的命令得不到有效的执行。

一个大集群往往由很多小集群组成，每个小集群可以分别独立工作。当主控系统可以直接向集群中的每个节点下发命令，但由于网络、物理连接等原因，主控系统向集群下发命令时，需要集群中的节点进行指令转发，在主控系统下发命令时，有时需要协同管控系统对主控命令进行转发。如附图1所示协同管控系统的内部关系示意图，协同管控系统的功能有：协同管控系统负责控制感知元数据和管理被控设备；接收上级管理系统的命令和其他区域系统转发的命令；按照接收到的指令向其管理的被控设备和感知元数据设备下发处理命令；协同管控系统也向其他区域协同管控系统转发上级管理系统的控制指令。因此，协同管控系统接收到上级管理系统和其他区域系统转发的指令是否真实至关重要，如果接收的指令是被篡改的，那么会直接影响整个系统管控系统。