一种基于全网共识的集群终端防失控方法及系统与流程

1.本发明涉及通信信息安全技术领域，具体是一种基于全网共识的集群终端防失控方法及系统。


背景技术：

2.因数字集群通信系统多用于特殊用户群体或涉及国民经济的重要行业用户，其安全问题显得尤为重要。集群终端的防失控问题与系统安全息息相关，特别是手持式集群终端具有体积小、便携式的特点，日常使用概率高，遗失风险最大，一旦丢失会对整个系统的使用安全带来较大威胁。因此如何通过技术手段有效预防集群终端失控是数字集群通信系统安全保密技术研究的重要方向之一。
3.目前常见的集群终端的防失控方法可分为主动预防和被动处置两类。主动预防指在正常使用过程中对集群终端状态实时监控，依据预设策略规则判定有失控趋势时，提前预警和处置的方法，如电子围栏等；被动处置指集群终端丢失后的防非法使用、防恶意破解等，如遥毁遥毙等，多为较成熟的方案。
4.对于主动预防类防失控技术，目前有一些研究成果，如申请号为cn201910505931.x的专利公开了一种判定结果准确度高，成本低，便于推广普及的基于电子围栏的位置判定方法、装置与电子设备。申请号为cn201911356068.2的专利公开了一种基于两个以上第一终端(监护者)的位置信息设置电子围栏对多个第二终端(被监护者)进行动态监护的方法和装置，这些专利虽能应用在数字集群通信系统中，但需要中心侧设备或可信任管理设备的支持，不适用于集群终端常见的在无中心组网工作且相互关系平等的场景使用。
5.由此可见，对于集群终端以无中心组网工作场景下的主动类防失控技术，目前较为缺乏，还有待进一步的研究和完善。


技术实现要素：

6.为克服现有技术的不足，本发明提供了一种基于全网共识的集群终端防失控方法及系统，解决现有技术存在的缺乏无中心组网工作场景下的主动类防失控技术、不适用于集群终端常见的在无中心组网工作且相互关系平等的场景使用等问题。
7.本发明解决上述问题所采用的技术方案是：
8.一种基于全网共识的集群终端防失控方法，包括以下步骤：
9.s1，准备共识信息：全网所有集群终端不断获取并更新自身的gis坐标，然后基于自身的gis坐标信息准备共识消息并开始争抢话权；
10.s2，广播共识消息：假定争抢话权成功的集群终端记为集群终端a，集群终端a争抢话权成功后立即成为当前的共识主节点，向全网广播共识消息；
11.s3，验证共识消息：其他集群终端接收到集群终端a的共识消息后，验证共识消息的合法性、完整性和/或新鲜性；
12.s4，更新全网节点位置关系表：验证通过后，接收到共识消息的其他集群终端基于共识消息更新自身的全网节点位置关系表；
13.s5，判断共识及自身是否失控：接收到共识消息的其他集群终端判断自身的gis坐标信息是否已达成全网共识，若达成共识，则基于全网节点位置关系表判断自身是否失控，若失控则自动执行主动防失控操作然后进入步骤s6，若未失控则直接进入步骤s6；若未达成共识，则进入步骤s6；
14.s6，判断共识主节点是否失控：接收到共识消息的其他集群终端基于全网节点位置关系表判断集群终端a是否失控，若失控则将集群终端a标注为失控状态并将集群终端a列入呼叫黑名单，然后返回步骤s1；若未失控，则直接返回步骤s1。
15.作为一种优选的技术方案，步骤s1中，若全网集群终端总个数设定为n，则n≥3f+1；其中，f为共识算法容忍的故障节点或恶意节点的个数，f≥1。
16.作为一种优选的技术方案，步骤s5中，接收到共识消息的其他集群终端判断自身的gis坐标信息是否已达成全网共识的步骤包括：
17.s51，接收到共识消息的其他集群终端判断自身是否曾经发送过gis坐标信息，若是，则进入步骤s52；若否，则进入步骤s6；
18.s52，接收到消息的其他集群终端比较共识消息中所包含的自身对应的gis坐标信息和坐标更新时间是否与自身上一次发送的gis坐标信息和坐标更新时间相同，若相同则将自身的共识计数器ncn
x
个数加1，若不相同则保持自身的共识计数器ncn
x
个数不变；其中，x表示接收到消息的其他集群终端的编号，ncn
x
表示编号为x的共识计数器，ncn
x
的初始值在每次发送完共识消息后重新设置为0；
19.s53，比较ncn
x
与2f的大小关系，若ncn
x
≥2f则代表集群终端x上一轮发送的gis
x
已达成全网共识，否则代表未达成全网共识。
20.作为一种优选的技术方案，步骤s5或步骤s6中，判断其他集群终端或集群终端a是否失控的方法为：
21.基于全网节点位置关系表中某台集群终端的坐标信息，计算该台集群终端与全网中其他所有集群终端的每条路径的相对距离，若某条路径的相对距离≥设定的门限距离dt，则将路径计数器q加1，最后，比较q与[(n－1)/2的大小，若q≥[(n－1)/2]，则表示该台集群终端失控，否则表示未失控；其中，路径计数器q的初始值为0。
[0022]
作为一种优选的技术方案，步骤s2中，假定在某一时刻集群终端a获得话权后即成为当前的共识主节点，集群终端a向全网广播发送共识消息《ida，mte(m)，sign(mte(m))，t1》；其中，ida为集群终端a的身份，消息m为全网所有集群终端的gis坐标信息表，t1为消息m的发送时间戳，mte(m)为使用认证加密方式加密的消息m，sign(mte(m))为对密文消息m的签名。
[0023]
作为一种优选的技术方案，步骤s2中，消息m包括如下信息：集群终端a向全网广播的自身gis坐标信息gisa、gisa更新时间，以及，集群终端a在收到其他集群终端的共识消息后复制转发的其余集群终端的gis坐标信息gis
x
、gis
x
更新时间。
[0024]
作为一种优选的技术方案，步骤s2中，向全网广播共识消息完成后，集群终端a将自身的共识计数器ncna置为0。
[0025]
作为一种优选的技术方案，步骤s3包括以下步骤：
[0026]
s31，接收到集群终端a共识消息的其他集群终端基于时间戳t1验证共识消息的新鲜性；
[0027]
s32，若时间戳验证通过，则验证密文消息m的签名sign(mte(m))；
[0028]
s33，若签名验证通过，则基于mte(m)验证密文消息m的完整性和解密消息m；
[0029]
s34，完整性验证通过并解密成功后，获得消息m明文，进入步骤s4。
[0030]
作为一种优选的技术方案，步骤s1中，全网所有集群终端间隔周期p不断获取并更新自身的gis坐标，p与n数量呈正相关关系。
[0031]
一种基于全网共识的集群终端防失控系统，应用于所述的一种基于全网共识的集群终端防失控方法，包括若干台集群终端，每台集群终端内包括基带处理模块以及分别与基带处理模块通信相连的集群射频模块、定位模块、密码模块、存储模块；
[0032]
所述基带处理模块用以实现业务流程处理及对集群射频模块、定位模块、密码模块、存储模块的控制调度；
[0033]
所述集群射频模块用以实现无线空口通信，在基带处理模块的控制下完成话权抢夺、信息收发功能；
[0034]
所述定位模块用以实现gis坐标获取及更新；
[0035]
所述密码模块用以提供加密/解密、消息鉴别码、签名验签功能；
[0036]
所述存储模块用以实现数据的存储。
[0037]
本发明相比于现有技术，具有以下有益效果：
[0038]
(1)本发明本以所有集群终端组成的网络为整体，将单个集群终端(个体)偏离全网(整体)所在中心区域一定距离范围的异常状态定义为失控，基于此定义，采用共识机制实现全网对各集群终端发送的gis坐标达成一致共识并计算出彼此相对距离，基于相对距离判定当前是否有集群终端失控，从而实现将集群终端个体控制在全网集群终端组成的整体区域一定范围内，用于集群终端在无中心组网工作的场景；
[0039]
(2)通过全网对所有集群终端位置信息达成一致全网共识，在此基础上计算出彼此相对距离，将与全网超过一半的集群终端相对距离大于门限距离的集群终端判定为失控终端，执行防失控操作，从而实现将集群终端个体控制在全网集群终端组成的整体区域一定范围内，用于集群终端在无中心侧设备支持条件下组网工作的场景；
[0040]
(3)本发明利用共识机制为基础，解决了以分布式无中心组网工作的集群终端在相互关系对等、无可信的中心侧设备支撑条件下对集群终端是否失控的判定问题，实现了将集群终端个体实时动态的控制在全网集群终端组成的整体区域一定范围内的目的，可用于集群终端在无中心侧组网场景下的实时防失控。
附图说明
[0041]
图1为本发明所述的一种基于全网共识的集群终端防失控方法的步骤示意图；
[0042]
图2为本发明所述的一种基于全网共识的集群终端防失控系统的结构示意图；
[0043]
图3为本发明所述的一种基于全网共识的集群终端防失控方法的一个较优实施例的流程图。
具体实施方式
[0044]
下面结合实施例及附图，对本发明作进一步的详细说明，但本发明的实施方式不限于此。
[0045]
实施例1
[0046]
如图1至图3所示，本发明公开了一种基于全网共识的集群终端防失控方法，方法包括：全网所有集群终端总数量为n(n≥3f+1，f≥1)，各集群终端定期通过定位模块获取gis坐标，成功更新gis坐标后开始争抢话权以便向全网广播发送共识消息；假定在某一时刻集群终端a获取到话权，即成为共识主节点向全网广播共识消息，共识消息包括两部分：一是集群终端a作为共识主节点的共识内容(含集群终端a的gis坐标等)，二是集群终端a作为共识副节点复制转发的其他集群终端的共识内容(含其他集群终端的gis坐标等)；其他集群终端接收到集群终端a的共识消息后首先验证其合法性、完整性和新鲜性，若验证通过则判断本身之前发送的共识消息是否已达成全网共识，在达成共识的基础上分别判定自身和当前共识主节点是否失控，若失控则执行相应应对措施；全网所有集群终端周期性重复上述步骤以保证全网对所有集群终端是否失控的实时监控。
[0047]
本发明以所有集群终端组成的网络为整体，将单个集群终端(个体)偏离全网(整体)所在中心区域一定距离范围的异常状态定义为失控，基于此定义，采用共识机制实现全网对各集群终端发送的gis坐标达成一致共识并计算出彼此相对距离，基于相对距离判定当前是否有集群终端失控，从而实现将集群终端个体控制在全网集群终端组成的整体区域一定范围内，用于集群终端在无中心组网工作的场景。
[0048]
本发明的目的在于克服现有技术的不足，提供一种适用于集群终端在无中心组网工作时实现集群终端防失控的方法，该方法通过全网对所有集群终端位置信息达成一致全网共识，在此基础上计算出彼此相对距离，将与全网超过一半的集群终端相对距离大于门限距离的集群终端判定为失控终端，执行防失控操作，从而实现将集群终端个体控制在全网集群终端组成的整体区域一定范围内，用于集群终端在无中心侧设备支持条件下组网工作的场景。
[0049]
本发明的目的是通过以下技术方案来实现的：
[0050]
一种基于全网共识的集群终端防失控方法，包括以下步骤：
[0051]
步骤s1：全网所有集群终端定期通过定位模块获取并更新自身的gis坐标，成功更新gis坐标后基于自身的gis坐标准备共识消息，然后开始通过集群射频模块争抢话权；
[0052]
步骤s2：假定集群终端a争抢话权成功后立即成为当前的共识主节点，向全网广播共识消息；
[0053]
步骤s3：其他集群终端接收到集群终端a的共识消息后首先验证其合法性、完整性和新鲜性；
[0054]
步骤s4：验证通过后，接收到共识消息的集群终端基于共识消息更新自身的全网节点位置关系表；
[0055]
步骤s5：接收到共识消息的集群终端基于共识判定规则判断本身之前发送的gis坐标信息是否已达成全网共识，若达成共识，则基于全网节点位置关系表判断自身是否失控，若失控则自动执行主动防失控操作然后进入步骤s6，若未失控则直接进入步骤s6；若未达成共识，则进入步骤s6；
[0056]
步骤s6：接收到共识消息的其他集群终端基于全网节点位置关系表判断集群终端a是否失控，若失控则将集群终端a标注为失控状态并将集群终端a列入呼叫黑名单，然后返回步骤s1；若未失控，则直接返回步骤s1。
[0057]
具体的，步骤s1具体包括：全网集群终端总个数为n(n≥3f+1，f≥1)，f为共识算法容忍的故障节点或恶意节点的个数，n采用预设的方式输入集群终端中；集群终端定期获取gis坐标，gis坐标更新后开始竞争抢夺话权，进入步骤s2。
[0058]
进一步的，步骤s1还包括每个集群终端更新gis坐标周期p与n数量正相关，120秒≥p≥n
×
4秒。
[0059]
步骤s2具体包括：假定在某一时刻集群终端a获得话权后即成为当前的共识主节点，向全网广播发送共识消息《ida，mte(m)，sign(mte(m))，t1》，其中ida为集群终端a的身份，消息m是全网所有集群终端的gis坐标信息表，包括节点id、节点gis坐标和gis坐标对应更新时间，t1为消息m的发送时间戳，mte(m)为使用认证加密方式加密的消息m，sign(mte(m))为对密文消息m的签名。消息m包含两部分内容：一是集群终端a作为共识主节点，向全网广播自身gis坐标信息gisa及gisa更新时间；二是集群终端a作为共识备份节点，在收到其他集群终端的共识消息后复制转发的其余集群终端的gis坐标信息gis
x
及gis
x
更新时间。
[0060]
进一步的，步骤s2还包括共识消息发送完成后集群终端a将自身的共识计数器ncna(number of consensus nodes，ncn)置为0，ncn用于统计后续正确反馈共识消息的节点个数，进入步骤s3。
[0061]
步骤s3具体包括：接收到集群终端a共识消息的集群终端基于时间戳t1验证共识消息的新鲜性；若时间戳验证通过则验证密文消息m的签名sign(mte(m))；若签名验证通过则基于mte(m)验证密文消息m的完整性和解密消息m；完整性验证通过并解密成功后获得消息m明文，进入步骤s4。
[0062]
步骤s4具体包括：接收到集群终端a共识消息的集群终端基于消息m明文更新自身的全网节点位置关系表中与节点a相关部分，进入步骤s5。
[0063]
步骤s5具体包括：接收到集群终端a共识消息的集群终端比较消息m明文中所包含的自身对应的gis坐标信息和坐标更新时间是否与自身上一次发送的相同，若相同则将ncn
x
个数加1(x表示接收到消息的其他集群终端的编号，ncn
x
表示编号为x的共识计数器，ncn
x
初始值为0)；基于共识判定规则判定本身之前发送的gis坐标信息是否已达成全网共识，判定方法是比较ncn
x
与2f的大小关系，若ncn
x
≥2f则代表集群终端x上一轮发送的gis
x
已达成全网共识；若达成全网共识，则集群终端x根据更新后的全网节点位置关系表采用集群终端是否失控的判定规则判定自身是否失控，若失控集群终端x自动执行如提前预警、自动销毁、停止密码服务等主动防失控操作，进入步骤s6；若未达成全网共识，则直接进入步骤s6。
[0064]
步骤s6具体包括：接收到共识消息的集群终端基于更新后的全网节点位置关系表采用集群终端是否失控的判定规则判定集群终端a是否失控，若失控则标记集群终端a为失控节点，将其列入呼叫黑名单。
[0065]
进一步的，步骤s5和步骤s6中所述集群终端是否失控的判定规则具体包括：基于全网节点位置关系表中某台集群终端的坐标信息，计算该台集群终端与全网中其他所有集群终端的每条路径的相对距离，若某条路径的相对距离≥设定的门限距离dt，则将路径计
数器q加1，最后，比较q与[(n－1)/2的大小，若q≥[(n－1)/2]，则表示该台集群终端失控，否则表示未失控；其中，路径计数器q的初始值为0。
[0066]
一种基于全网共识的集群终端防失控系统，用于实现上述的一种基于全网共识的集群终端防失控方法，系统包括总数≥3f+1(f≥1)的集群终端，每台集群终端内涉及集群射频模块、定位模块、基带处理模块、密码模块、存储模块。基带处理模块通过内部总线与集群射频模块、定位模块、密码模块和存储模块连接。
[0067]
该系统中，集群射频模块实现无线空口通信，在基带处理模块的控制下完成话权抢夺、信息收发等功能；定位模块实现gis坐标获取；密码模块提供加密/解密、消息鉴别码、签名验签等功能；存储模块实现数据的存储；基带处理模块实现业务流程处理、各模块的控制调度。
[0068]
本发明提出了一种集群终端以无中心组网工作时是否失控的具体判定规则。
[0069]
本发明利用共识机制为基础，解决了以分布式无中心组网工作的集群终端在相互关系对等、无可信的中心侧设备支撑条件下对集群终端是否失控的判定问题，实现了将集群终端个体实时动态的控制在全网集群终端组成的整体区域一定范围内的目的，可用于集群终端在无中心侧组网场景下的实时防失控。
[0070]
实施例2
[0071]
如图1至图3所示，作为实施例1的进一步优化，本实施例包含了实施例1的全部技术特征，除此之外，本实施例还包括以下技术特征：
[0072]
基于技术手段预防集群终端失控是数字集群通信系统安全保密技术研究的重要方向，目前常见的主动预防类集群终端的防失控方法存在一些不足，如电子围栏技术需要中心侧设备的支持，而在以无中心组网工作场景下的集群终端防失控技术，目前较为缺乏。
[0073]
因此，针对上述问题，本发明提供一种基于全网共识的集群终端防失控方法及系统，以所有集群终端组成的网络为整体，将单个集群终端(个体)偏离全网(整体)所在中心区域一定距离范围的异常状态定义为失控，基于此定义，再采用共识方法实现全网对各集群终端gis坐标达成一致共识，计算出彼此相对距离后利用本发明提出的失控判定规则判断当前是否有集群终端失控，从而实现将集群终端个体控制在全网集群终端组成的整体区域一定范围内，用于集群终端在无中心侧设备支持条件下组网工作的场景。
[0074]
本发明的具体实施过程见下列实施例。
[0075]
本实施例中，一种基于全网共识的集群终端防失控方法及系统，以取f＝1，总集群终端总数取n≥3f+1的最小值n＝4为例，全网包含集群终端a、b、c、d，在集群终端上实施步骤如下：
[0076]
步骤s1：全网所有集群终端在工作前，均通过操作界面将集群终端总个数4配置写入集群终端存储模块中；集群终端开启后，基带处理模块启动周期为16秒的定时器，基带处理模块控制定位模块定期获取gis坐标；获取成功后在存储模块中将全网节点位置关系表内自身的gis坐标信息更新；成功更新gis坐标信息的集群终端通过集群射频模块争抢话权。
[0077]
步骤s2：假定在某一时刻t1，集群终端a竞争话权成功后自动作为共识主节点，以下操作：
[0078]
1.在基带处理模块的调度下从存储模块中读取ida、全网节点位置关系表等信息，
从定位模块中获得时间t1；
[0079]
2.基带处理模块基于全网节点位置关系表中的gis坐标生成消息m后，将消息m经过密码模块处理生成mte(m)和sign(mte(m)；
[0080]
3.基带处理模块组成共识消息《ida，mte(m)，sign(mte(m))，t1》；集群终端a通过集群射频模块向全网广播共识消息；
[0081]
4.基带处理模块将存储模块中的共识计数器ncna置0。
[0082]
步骤s3：在t1时刻其他集群终端未争抢到话权则自动作为共识从节点，处于接收状态，执行以下操作：
[0083]
1.集群射频模块从空口上接收到集群终端a发送的共识消息《ida，mte(m)，sign(mte(m))，t1》，交由基带处理模块处理；
[0084]
2.基带处理模块基于ida和时间戳t1验证共识消息的新鲜性，若验证通过则执行操作3；
[0085]
3.基带处理模块调用密码模块中验证密文消息m的签名sign(mte(m))，若签名验证通过则执行操作4；
[0086]
4.基带处理模块调用密码模块，基于mte(m)验证密文消息m的完整性和解密消息m，完整性验证通过并解密成功后获得消息m明文；
[0087]
5.基带处理模块基于消息m明文更新存储模块中全网节点位置关系表中与节点a相关部分；
[0088]
6.基带处理模块比较消息m明文所包含的自身对应的gis坐标和坐标更新时间是否与自身上一次发送的相同，若相同则将存储模块中保存的ncn
x
个数加1；
[0089]
7.基带处理模块比较ncn
x
与是2f的大小关系，本例中若ncn
x
≥2，代表集群终端x上一轮发送的gis
x
已达成全网共识，进入判定自身是否失控的操作，基带处理模块根据更新后的全网节点位置关系表判定q
x
与2的大小关系，若q
x
≥2表示自身已经失控，集群终端x自动执行如提前预警、停止服务、自动销毁存储的重要数据等防失控操作；若ncn
x
＜2，跳转到操作8；
[0090]
8.基带处理模块根据全网节点位置关系表判定集群终端a是否失控，判定方法为基于更新后的全网节点位置关系表统计与集群终端a相对距离rd＞门限距离dt的节点个数qa，当qa≥2，则判定集群终端a处于失控状态，基带处理模块将存储模块中记录的集群终端a标注为失控节点，将其列入呼叫黑名单失控。
[0091]
步骤s4：全网所有集群终端周期性重复步骤s1至步骤s3。
[0092]
本实施例中，集群终端a、b、c、d中的全网节点位置关系表的字段定义包含但不限于表1所示。
[0093]
表1全网节点位置关系表字段定义表
[0094][0095]
值得说明的是，本发明中，步骤s5和/或步骤s6中，有关集群终端是否已达成全网共识、是否失控的判断，除了本发明中使用的具体方法，还可以采用现有技术的其他方法实现。因此，步骤s5、步骤s6中，采用判断是否已达成全网共识、判断失控之类的说法，本身也是清楚的，不存在技术手段含糊的情况。
[0096]
值得说明的是，本发明步骤s1中所述的“全网所有集群终端不断获取并更新自身的gis坐标”，全网所有集群终端可间隔相同时间持续获取自身的gis坐标并更新自身的gis坐标，也可全网所有集群终端间隔不相同的时间持续获取自身的gis坐标并更新自身的gis坐标。间隔时间根据实际应用场景的现实需要进行设置：不宜过长，否则就做不到管控的实时性；也不宜过短，否则更新频繁容易导致共识无效。
[0097]
如上所述，可较好地实现本发明。
[0098]
本说明书中所有实施例公开的所有特征，或隐含公开的所有方法或过程中的步骤，除了互相排斥的特征和/或步骤以外，均可以以任何方式组合和/或扩展、替换。
[0099]
以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制，依据本发明的技术实质，在本发明的精神和原则之内，对以上实施例所作的任何简单的修改、等同替换与改进等，均仍属于本发明技术方案的保护范围之内。