一種基于共識機制的數字集群終端防失控方案研究

摘　要：

如何通過技術手段有效預防數字集群終端失控是數字集群通信系統規模化應用過程中亟需解決的安全保密技術之一。作為集群通信系統廣泛應用的一種重要模式，直通模式具有無中心分布式組網的特點，故傳統的方案無法有效實現直通模式下數字集群終端實時防失控。通過分析提出了直通模式下終端防失控面臨的“誰來判定”及“如何判定”的核心問題，為解決上述問題，重新定義了區別于傳統的失控概念，設計了判定規則，并借鑒了區塊鏈中的實用拜占庭容錯算法來設計可用于直通模式的數字集群終端防失控方案。

近年來，數字集群通信系統大規模應用于黨、政、軍等特殊用戶和交通運輸、能源、機場、港口等重大行業用戶，在公共安全、政務專網、運輸調度、應急通信等方面發揮重要的作用，由于其應用場景和用戶性質的特殊性，系統的安全問題尤為重要。作為數字集群通信系統安全概念的一個重要分支，集群終端的防失控問題與系統運行安全息息相關。當前黨、政、軍等特殊用戶裝備使用的集群終端多為安全密碼類裝備，裝備管控的等級較高，而手持式的集群終端具有體積小、使用率高、遺失風險大等特點，一旦裝備丟失，將會給系統的使用安全帶來威脅，也會給管理者帶來管理壓力以及給使用者帶來使用負擔，造成“慎用、怕用、不用”現象。因此，如何通過技術手段有效預防集群終端的失控或在失控后將系統安全的影響降到最低，是數字集群通信系統安全保密技術研究的重要課題之一。

01、現有工作及不足

1.1　集群終端防失控技術的現狀

目前常見的數字集群終端防失控方案可以按照實施時間的不同劃分為主動預防和被動響應兩類。

1.1.1　主動預防

主動預防類方案實施于集群終端失控前，是指在正常使用過程中對集群終端狀態進行實時監控，當依據預設策略規則判定有失控趨勢時實施提前預警和處置的方法，常見的方案有電子圍欄、藍牙防丟器等。

（1）電子圍欄。主流廠家的集群終端都內置衛星定位模塊，具備地理信息系統（GeographicInformation System，GIS）坐標的感知和上傳的能力，基于此，可由中心側設備匯總集群終端的位置信息并對其進行實時監控，提前預警并自動處理集群終端的越界行為。

（2）藍牙防丟器。采用可穿戴設備設計的藍牙防丟器 [1]，須與集群終端配對使用，防丟器和集群終端彼此分開一定距離后預警或自動處理存儲的敏感數據，用于防范集群終端掉落、遺失、被竊取等失控行為，此方案無須中心側設備支撐，可由集群終端單獨實現，但只對僅丟失主機或防丟器的情況有效。

1.1.2　被動響應

被動響應類方案是指集群終端失控后的防非法使用、防惡意破解，避免對系統后續的正常運行造成嚴重影響，常見的方案有終端安全防護、遠程管控等。

（1）終端安全防護。終端安全防護的主要目的是增加集群終端失控后被冒用和破解的難度，降低信息泄露的風險。與傳統在公網上工作的移動智能終端相比，集群終端在網絡封閉性、協議專用性、軟件可控性等方面存在差別，故兩種終端對安全防護的側重點存在較大差異。移動智能終端側重于使用安全，而集群終端更側重于防止被冒用以及失控后被分析破解，故多采用身份認證、安全存儲、資源分割保護及本地應急銷毀等措施。

（2）遠程管控。為防止集群終端失控后被惡意冒用，可在集群終端失控時通過中心側的管理類設備實現遠程管理，如基于黑白名單的入網 / 密碼鑒權、在線授啟、遙斃 / 遙暈、遠程銷毀 / 更換密鑰等。

被動響應方案大多是在失控后實施和發揮作用的補救措施，雖能從一定程度上將失控對系統運行安全造成的危害限制在較小范圍內，但諸如失控上報、失控方案實施等過程需人工干預，人為因素會引起響應及時性差、反應速度慢等問題，對最終防失控效果造成影響，而主動預防方案能通過技術手段對失控行為進行“風險預判，主動響應”，防失控方式更加智能化，在實時性和最終風控效果上更有優勢。

1.2　現有集群終端防失控技術的不足

集群終端防失控方案的設計和實施與集群通信系統的網絡架構、設備配置及終端的工作運行方式密切相關，數字集群通信系統典型的工作模式可分為集群模式（Trunk Mode Operation，TMO）和直通模式（Direct Mode Operation，DMO）。

（1）TMO 模式。如圖 1 所示，TMO 模式以集群基站（含配套的中心側設備）為中心組成星型網絡，中心側配置基站和管理類設備（調度臺、網管設備、密鑰管理系統等），實現基站無線覆蓋范圍內的點對點、點對多的廣播式業務通信，多用于固定區域范圍內的調度通信場景。

圖 1　TMO 模式組網架構

（2）DMO 模式。如圖 2 所示，DMO 模式由相互為對等關系的集群終端組成無中心的網狀通信網，可不依賴基站，即可基于集群終端實現點對點、點對多的廣播式業務通信，多用小型任務分隊外出任務時，非固定區域內的移動中通信場景。

圖 2　DMO 模式組網架構

分析集群終端在兩種工作模式下組網工作時的防失控方案，TMO 模式的星型網絡架構及設備配置情況具備支撐現有的各種防失控方案實施的條件，可綜合應用于各種常見的主動或被動措施，有效滿足在固定區域內的集群終端防失控需求；因 DMO 模式的無中心網絡架構不具備配置可信的中心側設備來實現監控和管控的條件，故無法實施如電子圍欄、遠程管控等效果較好的方案，目前只能采用諸如終端安全防護、藍牙防丟器等方案，終端安全防護措施雖能降低終端意外丟失造成的系統安全風險，但僅靠被動防御的方式來控制系統風險的效果是有限的，藍牙防丟器雖能實時監控、主動預警并自動處理，但也只在僅丟失主機或防丟器的情況下發揮作用，對于集群終端整機被惡意竊取、搶奪等情況無法提供有效防護。

由此可見，現有的防失控方案雖能在一定程度上降低集群終端在 DMO 模式下以無中心組網工作時的失控風險以及失控后帶來的安全威脅，但如何實現更有效的針對集群終端整機的實時監控以及失控后自動響應、快速處理的主動預防類防失控技術，有待進一步的研究和完善，本文研究的內容正是設計一種適用于此場景下的實時防失控方案。

02、方案設計

2.1　DMO 模式下集群終端實時防失控的解決思路

要實現 DMO 模式下集群終端的實時防失控，必須解決兩個問題：一是如何判定，指任務分隊在無固定區域范圍內的整體移過程中，分隊內各集群終端位置動態變化，基于什么規則來快速、合理地判定某終端是否失控或有失控的趨勢；二是誰來判定，指所有集群終端關系對等，無全網公認的可信中心，此時誰負責判定某集群終端已“失控”才能保證判定結果的可信和權威性問題。

解決以上問題的關鍵思路是在某一個時間段內，以 DMO 模式工作的任務分隊中所有的集群終端自動的基于“某種策略”，對某臺集群終端當前處于“失控”的狀態達成一致共識并共同判定，而非單獨由某一可信的中心設備或人來完成判定。作為區塊鏈的核心技術之一，共識機制所實現的“去中心化狀態下達成一致共識”正是解決上述關鍵問題的一種可行方法，故本文借鑒區塊鏈的共識機制來設計 DMO 模式下的防失控方案。

2.2　判定規則的設計

2.2.1　“失控”的定義

傳統意義的失控是以使用者或管理者為中心，將其完全失去對物體本身的操作控制能力的狀態定義為失控。與傳統的失控概念不同，本方案以無中心組網工作的任務分隊中所有的集群終端為整體，將某臺集群終端（個體）有脫離任務分隊（整體）趨勢的“異常狀態”定義為“失控”。此時，“失控”的集群終端雖仍有可能存在于任務分隊所覆蓋的區域內，但與任務分隊中“大部分”集群終端的相對距離已超過可容忍的門限距離，隨著“失控”的集群終端繼續脫離任務分隊，彼此間直線距離將超過與分隊中“大部分”集群終端的通信極限，最終失去聯系。上述的定義中有幾個關鍵點需進一步明確。

（1）“大部分”的定義。假設任務分隊內集群終端總數為 ，  本方案將除失控的集群終端外剩余的一半定義為“大部分”，即。（2）相對距離（Relative Distance，RD）。RD 是指集群終端之間通過雙方 GIS 坐標計算得到的直線距離，全網集群終端的 GIS 坐標由集群系統采用私有協議定期更新。（3）門限距離（Distance of Threshold，DT）。DT 是判定集群終端是否“失控”的閾值，其數值與通信極限距離、全網 GIS 坐標單次更新周期和集群終端移動速度相關。對于手持式集群終端而言，因發射功率低、天線架高受限，陸地上典型通信極限距離約為 3 千米。當集群系統以排級編制規模（30 人）組網時，目前實測的全網 GIS 坐標單次更新周期約為 120 秒，在此期間，手持式集群終端可移動約 0.5 千米（按人奔跑速度 15 千米 / 小時估算），故本方案將 DT 值定義為常量 2.5 千米。

2.2.2　判定規則

綜 上 所 述， 當 集 群 終 端 以 DMO 模 式 組網工作時，假定任務分隊內集群終端總數為，若出現某集群終端與任務分隊中超過個集群終端的相對距離 RD > 2.5 千米的情況，則判定該集群終端已失控。

2.3　共識機制的選擇

共識機制最初誕生于分布式系統，是區塊鏈中各參與節點針對某一狀態達成一致性的策略方法，經多年發展已形成不同體系的多種共識算法，可分為區塊鏈共識和經典分布式共識兩大類，區塊鏈共識算法常用于非授權網絡（如公有鏈）中，主流的有工作量證明（Proof of Work，PoW）、股份權益證明（Proof of Stock，PoS）、股份授權證明（Delegated Proof of Stake，DPoS）等；經典分布式共識算法常用于授權網絡（如私有鏈、聯盟鏈等許可鏈）中，主要有 Paxos 算法、Raft 算法和實用拜占庭容錯算法（PracticalByzantine Fault Tolerance，PBFT）等。

共識機制的合理選擇需要結合集群終端的工作特點，通過對當前主流共識算法的分析可知：PoW 通過比拼算力獲得記賬權的方式，不適合算力受限的便攜式集群終端；PoS 通過幣齡、持幣量等讓少數節點獲得領導人記賬權的方式，不適合相互關系完全對等的集群終端；DPoS 通過投票選出少數見證人獲得代表記賬權的方式不適合此場景，原因如下：一是投票過程需大量實時信息交互，不適合信道資源有限、半雙工通信的集群系統；二是判定“失控”必須所有終端知悉彼此真實的相對距離，不能通過少數“見證人”代表；三是 Paxos 算法和 Raft 算法雖然對節點宕機、通信數據丟失等問題的容錯能力較強，但無法解決拜占庭問題，不適合基于開放式無線信道通信，或面臨假冒終端惡意發布虛假消息的集群系統。

PBFT 算法采用廣播的方式實現副本復制的運轉模式，對算力的依賴程度較低，優點是吞吐量高、交易確認時間短、容錯能力強，缺點是總節點數量需固定且提前知悉。而 DMO 模式工作的集群終端采用廣播的方式通信、總數量相對固定等特點恰好與 PBFT 算法相契合，故 PBFT 算法更適合應用于集群終端 DMO 模式下防丟失方案中。

2.4　PBFT 算法及適應性改進

拜 占 庭 將 軍 問 題 最 早 由 Leslie Lamport、Robert Shostak 等人 [2] 于 1982 年發表的論文 The Byzantine Generals Problem 提出，論文采用反證法證明了當將軍總數大于3 f ，背叛者為 f 或者更少時，忠誠的將軍可以達成命令上的一致。在分布式系統中常存在與拜占庭將軍面臨的相似情況：有正常節點（忠誠將軍），有故障節點，也有拜占庭節點（叛變將軍），系統的正常運行需要拜占庭容錯（Byzantine Fault Tolerance，BFT）算法在正常節點間形成對某一狀態的共識，其中，由 Miguel Castro 和 Barbara Liskov 于 1999年提出 PBFT 算法是目前應用較廣的算法 ，它是一種狀態機復制（State Machine Replication，SMR）算法，通過大多數誠實節點的正確消息過濾掉來自惡意節點的消息，能夠容忍不超過 f個失效或惡意節點攻擊。

如圖 3 所示，PBFT 算法流程主要分為 4 個步驟，以 f =1，節點數 N 取最小值 4 為例，下圖中 C 是客戶端，節點 1 為共識節點中的主節點（primary），節點 2、節點 3、節點 4 為共識節點中的備份節點（backup），其中節點 4 為拜占庭節點或故障節點，表現是對其他節點的請求無響應。

圖 3　PBFT 算法流程

（1）客戶端 C 發送請求給主節點 1。（2）主節點 1 廣播請求給所有節點，所有節點執行核心的 3 個階段共識流程。（3）所有節點處理完 3 個階段流程后，返回 Reply 消息給 C。（4）C 收到來自 f +1個節點的相同消息后，代表共識完成。

算法的 3 個階段共識流程分別是 Pre-Prepare階段、Prepare 階段和 Commit 階段。

（1）Pre-Prepare 階段。主節點將客戶端 C的請求分配消息序號，并向所有節點廣播 PrePrepare 消息。（2）Prepare 階 段。節 點 收 到 Pre-Prepare消息后，對消息的內容進行驗證，若驗證通過，則向所有其他節點廣播 Prepare 消息。（3）Commit 階段。在一定時間范圍內，一個節點如果收到 2 f 個不同節點（包括節點自身）的 Prepare 消息并驗證通過，則代表 Prepare 階段已經完成，流程進入 Commit 階段，節點廣播Commit 消息。當一個節點收到條 Commit消息后（包括節點本身），代表大多數節點已經進入 Commit 階段，這一階段已經達成共識，可以返回 Reply 消息給客戶端 C。

PBFT 算法的設計初衷是解決在信道可信、允許拜占庭錯誤的情況下實現誠實節點共識的問題，將其直接應用于無線集群移動通信系統中會存在以下問題。

（1）核心共識過程消息傳遞次數多，信道資源消耗大。PBFT 的共識過程消息傳遞次數與節點數量的平方成正比，完成單節點共識需要經過次傳遞，失控判定的前提是對所有終端GIS 坐標都達成共識，即需要 N 次獨立共識過程，通過串行方式完成需要經過次傳遞。集群系統采用半雙工方式通信，通信時獨占信道，節點數 N 的增加必然會帶來極大的信道資源消耗，這對資源受限的集群系統是不可接受的。（2）集群系統無法保證主節點選舉和視圖切換過程中必要的話權。PBFT 算法的主節點選舉與視圖切換策略相關，即，其中，p 為主節點號；v 為視圖編號；R 為節點個數。視圖由備份節點主動發起，切換過程需要備份節點和新主節點多頻次的主動消息交互，集群系統的通信機制決定了發送視圖切換所需的消息交互過程需競爭話權，系統無法提供實時話權保證。

為降低上述問題造成的影響，更好地設計集群終端防失控方案，可在不降低共識性能的基礎上結合通信系統的特點對其進行如下適應性改進。

（1）取消客戶端，僅保留主節點和備份節點角色。因任意一個集群終端都具備將共識數據全網廣播發起共識的能力，無需通過主節點轉發廣播，故可取消客戶端角色，僅保留主節點和備份節點角色，算法流程只保留核心的 3 個階段共識。（2）簡化 3 個階段共識過程。終端失控的判定規則實施的前提是所有終端知悉其余終端的 GIS坐標并達成共識，經 Pre-Prepare 階段和 Prepare階段后，全網所有終端均具備了判定任一終端是否失控的條件。此外，后續的 Commit 階段是對Prepare 階段的一種“確認”，是為防止某些節點在 Prepare 階段之后發生視圖切換導致的不一致性，而本方案將改進主節點選舉和視圖切換策略，不存在此隱患，故將原本的三段式過程簡化掉 Commit 階段，以減少一次信息傳播，降低對通信資源的需求，更好地滿足在集群系統中使用。（3）消息傳遞引入流水線機制。為降低集群終端位置動態變化對判定結果帶來的影響，必須高效完成所有終端 GIS 坐標形成共識的過程，本方案借鑒計算機流水線機制，將不同終端原本按順序處理的 Pre-Prepare 和 Prepare 消息，通過消息重疊的方式集合成單條消息，減少大量信息傳播次數，極大地提高共識效率。（4）改進主節點選舉和視圖切換策略。PBFT 算法的主節點選舉和視圖切換的目的是維持共識系統的可用性，因集群系統存在發起呼叫需話權搶占且通信獨占信道的特點，故本方案將主節點選舉和視圖切換策略規定為在一個發送時間片內，獲取話權的終端自動成為主節點。

03、具體方案

3.1　方案主要流程

為防止集群終端位置動態變化對共識過程及判定結果帶來的影響，同時又能保證監控的實時性，本方案為周期性實施方案，在每個判定周期內執行以下流程。

（1）準備共識消息。全網所有集群終端及時獲取并更新自身的 GIS 坐標，然后基于自身的 GIS 坐標信息和更新時間準備共識消息。（2）廣播 / 接收共識消息。各終端爭搶話權，將爭搶話權成功的集群終端記為終端 X ，終端X 即成為當前的共識主節點，向全網廣播共識消息；若已經完成本輪共識消息廣播，則只接收共識消息。（3）接收驗證共識消息。其他終端接收到終端 X 的共識消息后，驗證其合法性、完整性和新鮮性。（4）判定自身 GIS 坐標是否達成共識。驗證通過后，其他終端基于共識消息更新自身的全網節點位置關系表 GIS-table，然后判斷自身GIS 坐標是否已達成全網共識，若達成共識，則進入步（5），否則直接進入步驟（6）。（5）判斷自身是否失控。其他終端基于自身的 GIS-table 判斷自身是否失控，若已失控，則自動執行主動防失控操作，然后停止密碼服務；若未失控，則直接進入步驟（6）。（6）判斷其余終端是否失控。其他終端基于自身的 GIS-table 判斷是否有自身之外的終端失控，若失控，則執行相關防護措施（如將終端 X 列入呼叫黑名單），然后返回步驟（2）；若未失控，則直接返回步驟（2）。本方案的周期以全網首先完成 GIS 坐標獲取 / 更新的時間為起始點，周期時長T 與終端總數 n 成正相關，公式為， t 為單次信息交互時間， n 和t 可用菜單方式預寫至終端。

3.2　集群終端本地處理流程

基于上一節周期性判定其他終端和自身是否失控的主要流程設計，在每一臺集群終端中具體的實現方式如圖 4 所示。

圖 4　集群終端本地處理流程

3.3　具體實施示例

為更充分地描述本方案，下面從集群系統的角度，結合實施示例和時序圖對方案做進一步詳細說明，首先假設如下情況：

（1）全網由總數為 n = 5 的手持式集群終端組成，故按 PBFT 算法中節點總數 n 與能容忍的拜占庭節點個數 f 的關系，可知 f =1。（2）設單次信息交互時間t = 2s ，故每個終端按周期 來計算下次更新 GIS 坐標的時間。（3）終端 A 在T0 時刻已失控（與終端 B、終端 C、終端 E 的 RD 值大于 2.5 千米），終端E 為拜占庭節點，不工作或不響應任何消息。（4）所有終端在 T0 時刻之前開始陸續開機，終端 A 全網最早完成 GIS 坐標獲取（T0′ 時刻），終端 B 和終端 C 分別在 T0′′ 時刻和 T0′′′時刻完成 GIS 坐標獲取。（5）終端 A ～終端 D 分別在T1，T 2 ，T3，T 4 時刻獲得話權。

實施示例的防失控時序如圖 5 所示。

圖 5　實施示例的防失控時序

（1） T1 時刻，終端 A 向全網廣播發送消

息，其中為終端 A 的身份，消息 m 是任務分隊內所有終端的 GIS 坐標信息，包括終端 ID、GIS 坐標值和GIS 坐標更新時間，t1為消息 m 的發送時間戳，為使用認證加密方式加密的消息 m ，為對密文消息 m 的簽名。

消息 m 的內容字段如表 1 所示，含 3 個部分信息：一是終端 A 作為主節點，向全網廣播的 Pre-Prepare 消息（自身的坐標信息及其更新時間）；二是終端 A 同時作為備份節點需復制轉發的 Pre-Prepare 消息，即其他終端共識消息中攜帶的所有 GIS 坐標信息（ GISX 及其更新時間）；三是本輪判定周期初始時間（所有GIS 坐標更新時間中的最小值）。

表 1　T1 時刻終端 A 發送消息 m

消息 m 發送完成后，終端 A 將共識計數器（Number of Consensus Nodes，NCN）置為 0，用于統計后續正確反饋 Prepare 消息的節點數。

（2）T1～T 2 時刻，其他終端接收到終端A 的共識消息后執行以下操作（以終端 B 為例）。

①基于時間戳 t1 驗證共識消息的新鮮性，若驗證通過，則驗證簽名，若簽名驗證通過，則驗證合法性和解密獲得消息 m 明文；若驗證不通過 / 解密失敗，則退出接收處理。

②基于 T0′ 判定收到的 是否為終端 A的最新坐標，若是最新坐標，則更新本地維護的大小為的 GIS-table，其內容字段定義如表 2 所示。

表 2　GIS-table 內容字段定義

注：指終端 X 和Y 的相對距離；是與終端 X 的相對距離大于 2.5 千米的終端個數。

③判定消息 m 中 終 端 B 的 GIS 坐 標 信 息是否與自身上一次發送的相同，若相同，則將個數加 1。

④比較  與 2 的 大 小， 若，則代表自身已完成共識，下一步判斷與 2 的 大 小， 若，則代表自身已失控，執行主動防失控操作。

⑤分別比較與 2 的大小，若大于或等于 2，則判定該終端已失控并執行相關防護措施。

（3）T 2 時刻，終端 B 執行步驟（1）的操作；T 2 ～T3時刻，終端 A、終端 C、終端 D 執行步驟（2）的操作。

（4）T3時刻，終端 C 執行步驟（1）的操作，消息 m 內容如表 3 所示。

表 3　T3時刻終端 C 發送的消息 m

（5） T3 ～ T 4 時刻，終端 A、終端 B、終端 D 完成步驟（2）的操作后，全網所有終端的GIS-table 內容如表 4 所示。

表 4　T3～T 4 時刻更新后終端中的 GIS-table 內容

終端 A 基于判定自身已完成共識，然后基于表中判斷自身已失控，開始執行主動防失控操作后停止提供密碼服務。

而對于終端 B、終端 C 和終端 D，因，，故均判定自身未達成全網共識，然后基于 將終端 A 判定為失控節點并執行相關防護操作，至此全網對終端 A的失控狀態達成一致共識。

（6）T5時刻，除拜占庭節點（終端 E）外的其余終端都已經在本輪判定周期中完成了一次共識消息的廣播，而第 1 輪判定周期尚未結束，故此時沒有終端廣播共識消息。

（7） T6 時刻，第 1 輪判定周期結束，全網終端重新開始新一輪 GIS 坐標更新并在T7 時刻開始執行步驟（1）操作，啟動新一周期的實時監控。

3.4　小結

由 以 上 實 施 示 例 可 知， 本 方 案 具 備 判 定DMO 模式下集群終端是否失控并自動實施防失控操作的能力，而在實際應用過程中對失控判定的有效性與共識機制能否正確運行，都和集群終端位置的準確性密切相關。

信道可靠性是影響 PBFT 共識機制正確運行的重要因素，如果信道不能保證可靠，那么拜占庭問題無解 [3]。集群通信系統采用無線信道傳輸消息，存在的信道不可靠主要表現在以下兩個方面：一是因突發干擾或地形阻擋導致偶發性的消息丟失；二是開放的無線信道面臨消息被重放、被欺騙等攻擊的可能。針對偶發性的消息丟失的情況，本方案在本輪判定周期中將其作為拜占庭錯誤來處理，只要拜占庭錯誤終端的個數不超過個容錯門限，都能正確判定，即使在某個判定周期內因消息丟失、節點過多導致無法正確判定，本方案采用周期性判定的模式也能保證通信恢復后即能正確完成判定。針對消息傳輸時被攻擊的情況，本方案采用時間戳、密碼技術等方式實現信息的防重放、機密性、完整性和可認證性，防止信息截獲后被偽造、篡改。

集群終端位置信息采用衛星定位模塊獲得，理論上不存在準確性問題，但在實際應用中會存在各集群終端在本輪判定周期中位置動態變化的情況，而判定失控的基礎是每輪判定開始階段（如圖 5 中第 1 輪的T0 ～T1階段）集群終端所處的 GIS 坐標，這就導致若失控發生在本輪后續共識判定過程（如圖 5 中第 1 輪的T1～T6 階段）中，則本輪判定結果無法及時反映已失控終端的狀態，需滯后到下一輪才能正確判定。為降低判定滯后帶來的影響，可以從優化話權獲取機制、精簡共識載荷、優化終端內部處理流程等方面著手，提升判定執行效率。此外，本方案存在隨著終端總數 n 的增加執行效率下降的缺陷，故在實際應用中更適合數量低于 30 的班排級編制規模組網時使用。

4　結　語

隨著數字集群系統在國家重大行業、特殊用戶及重要場合的大規模化應用，終端防丟失技術已成為集群系統安全保密技術的重點研究方向之一，本文通過分析常見的集群終端防失控方案，得到當前集群終端在 DMO 模式下工作時缺乏有效的實時防失控技術的結論，并提出實現此場景下的終端防失控需要解決的核心問題。本文借鑒了區塊鏈共識機制中的 PBFT 算法，結合集群系統的工作特點對 PBFT 算法進行了適應性改進，在此基礎上設計了數字集群終端DMO 模式下的防失控方案并通過典型實施示例驗證了方案的可行性和有效性。該方案為 DMO模式組網工作的數字集群終端提供了一種新的防失控思路和解決方法，但因 SMR 類算法復制轉發帶來的固有效率缺陷，導致應用過程中需控制終端總量，限制了本方案的應用成效。未來跟隨區塊鏈技術的發展，將會出現效率更高、開銷更小、容錯能力更強同時適合集群通信特點的共識算法，可將其應用于本方案中以提升判定效率，逐步解決終端總量受控的問題，從而擴展本方案的應用范圍。