本發明公開了一種防篡改可信的網絡協同管控系統，包括管控服務單元、事務管理單元、可視化客戶端與接口單元。管控服務單元用于命令接收、解析、轉發與下發以及定期生成新的公鑰和私鑰，在更新公鑰和私鑰的同時，把自身的公鑰發送至外部系統；事務管理單元管理被控設備和感知設備，校驗命令信息的真實性，將命令信息寫入數據庫。本發明能夠實現在集群中少量節點作惡將轉發命令篡改的情況下，依然能正確執行命令，能確保需要執行的命令是真實有效的，同時被篡改的命令無法執行。

技術領域

本發明屬于數據安全技術領域，尤其涉及一種防篡改可信的網絡協同管控系統及實現方法。

背景技術

不同集群間協同管控時存在指令共識問題，當系統中存在多個集群時，用戶向所有集群下發指令，有時需要其他集群節點進行指令轉發。這個過程就存在命令被作惡節點篡改的可能，同時當一個集群同時收到不同集群下發的不同指令，執行哪個命令也是面臨的問題。

拜占庭將軍問題是指拜占庭帝國想要進攻一個強大的敵人，為此派出了10支軍隊去包圍這個敵人。這個敵人雖不比拜占庭帝國，但也足以抵御5支常規拜占庭軍隊的同時襲擊。基于一些原因，這10支軍隊不能集合在一起單點突破，必須在分開的包圍狀態下同時攻擊。他們任一支軍隊單獨進攻都毫無勝算，除非有至少6支軍隊同時襲擊才能攻下敵國。他們分散在敵國的四周，依靠通信兵相互通信來協商進攻意向及進攻時間。困擾這些將軍的問題是，他們不確定他們中是否有叛徒，叛徒可能擅自變更進攻意向或者進攻時間。在這種狀態下，拜占庭將軍們能否找到一種分布式的協議來讓他們能夠遠程協商，從而贏取戰斗？這就是著名的拜占庭將軍問題。

目前市面上并沒有一種協議可以徹底解決拜占庭將軍問題，都是在有限假設的前提下，進行的推演協議，在成本可控前提下，設計的可執行方案。

現有技術方案在處理協同管控問題時，主要是通過在轉發命令前先給命令消息加密，然后將加密后的命令轉發給其他系統，其他系統通過校驗加密命令信息，判斷命令是否真實有效。現有的技術方案只關心是否能正確的接收到命令，并轉發命令，并不關心也無法驗證接收的命令是否是被篡改的。

傳統的加密技術存在被破解的可能，如果某個數據點被惡意用戶占用，且這個用戶了解完整的協同管控邏輯和流程，那么這個節點轉發的命令就有可能是篡改的，如果轉發的命令是篡改后的，那么對整個集群是極其危險的。

在大集群中，命令的下發和轉發需要經過很多節點，現有技術方案只能保證這個命令是轉發系統轉發的，但卻不能保證這個命令是否被作惡節點篡改過的。如果集群中的某些節點被別有用心的人攻擊，并對接收到的命令進行篡改，并按照原有流程進行加密和轉發，這樣會導致整個集群發生錯亂甚至崩潰。惡意用戶甚至不用真正的攻擊并控制集群中的有效節點，僅僅通過捕捉節點間交互的交互報文，僅僅通過篡改轉發報文協議的內容，就可以讓主控系統下發的命令得不到有效的執行。

一個大集群往往由很多小集群組成，每個小集群可以分別獨立工作。當主控系統可以直接向集群中的每個節點下發命令，但由于網絡、物理連接等原因，主控系統向集群下發命令時，需要集群中的節點進行指令轉發，在主控系統下發命令時，有時需要協同管控系統對主控命令進行轉發。如附圖1所示協同管控系統的內部關系示意圖，協同管控系統的功能有：協同管控系統負責控制感知元數據和管理被控設備；接收上級管理系統的命令和其他區域系統轉發的命令；按照接收到的指令向其管理的被控設備和感知元數據設備下發處理命令；協同管控系統也向其他區域協同管控系統轉發上級管理系統的控制指令。因此，協同管控系統接收到上級管理系統和其他區域系統轉發的指令是否真實至關重要，如果接收的指令是被篡改的，那么會直接影響整個系統管控系統。