無人機(jī)群網(wǎng)絡(luò)安全問題研究

曾夢岐，范曉霞，陳勁堯

（中國電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引言

近年來，無人機(jī)（Unmanned Aerial Vehicle，UAV）技術(shù)飛速發(fā)展，并且在可見的未來將會(huì)有廣泛的應(yīng)用。由于其具有部署難度低、維護(hù)成本低、機(jī)動(dòng)性高和懸停能力強(qiáng)的優(yōu)點(diǎn)，已經(jīng)在搜索和災(zāi)害救援、遙感探測、施工及基礎(chǔ)設(shè)施檢查、精準(zhǔn)農(nóng)業(yè)、包裹投送、實(shí)時(shí)交通監(jiān)控、監(jiān)視應(yīng)用和緊急情況下的無線網(wǎng)絡(luò)覆蓋等領(lǐng)域有了廣泛應(yīng)用[1]。除民用領(lǐng)域外，無人機(jī)還廣泛應(yīng)用于軍事領(lǐng)域，世界各國都在不斷推進(jìn)“無人集群”和“忠誠僚機(jī)”概念和技術(shù)的發(fā)展，在這方面也開展了很多探索性項(xiàng)目，旨在形成蜂群作戰(zhàn)能力。在單個(gè)無人機(jī)不足以滿足需求或許多無人機(jī)參與者的通信和協(xié)作至關(guān)重要的情況下，無人機(jī)集群技術(shù)顯然具有極其重要的應(yīng)用價(jià)值。網(wǎng)絡(luò)化的無人機(jī)群具有數(shù)量多、范圍廣、速度快、成本低的優(yōu)勢，而這一技術(shù)面臨的主要挑戰(zhàn)是如何保護(hù)其系統(tǒng)正常工作以完成任務(wù)，使其免受冒名頂替者和來自惡意實(shí)體的網(wǎng)絡(luò)攻擊。

目前，全球各國紛紛加大了對無人機(jī)集群作戰(zhàn)項(xiàng)目的投入和研究力度。美軍將蜂群作戰(zhàn)作為軍隊(duì)發(fā)展的重要方向，接連啟動(dòng)了小精靈、山鶉等小微型無人機(jī)群項(xiàng)目，并在技術(shù)上加快相關(guān)算法構(gòu)建，提前為無人機(jī)的?？颗c發(fā)射建設(shè)平臺(tái)。2016年11月，歐洲防務(wù)局啟動(dòng)了歐洲無人機(jī)蜂群項(xiàng)目，加快了蜂群作戰(zhàn)的智能化核心技術(shù)攻關(guān)進(jìn)度。2021年5月，以色列在對加沙的空襲和導(dǎo)彈襲擊中，使用了大量人工智能輔助的無人機(jī)蜂群，人工智能無人機(jī)群軍事應(yīng)用實(shí)戰(zhàn)化步伐加快。

由于無人機(jī)協(xié)議和標(biāo)準(zhǔn)存在安全漏洞，針對無人機(jī)自組織網(wǎng)絡(luò)（Unmanned Aerial Ad hoc Network，UAANET）的安全威脅正在迅速增加。無人機(jī)群容易受到竊聽攻擊、全球定位系統(tǒng)（Global Positioning System，GPS）欺騙攻擊、磁盤操作系統(tǒng)拒絕服務(wù)攻擊（Denial-of-Service，DoS）等安全威脅。例如，英國的反無人機(jī)防御系統(tǒng)（Anti-UAV Defence System，AUDS），不僅能有效干擾無人機(jī)接收GPS信號，而且可向無人機(jī)發(fā)射定向大功率干擾射頻，切斷無人機(jī)與控制平臺(tái)之間的通信鏈路；2020年，以色列發(fā)布了一款名為EnforceAir的新型反無人機(jī)系統(tǒng)，可從大量無人機(jī)中找出威脅最大的目標(biāo)，通過侵入目標(biāo)無人機(jī)控制系統(tǒng)，切斷其與背后操縱者的聯(lián)系，從而實(shí)現(xiàn)接管。針對無人機(jī)群的襲擊發(fā)生的概率和頻率都很高，需要研究保護(hù)和防御方案以確保將攻擊者對無人機(jī)群的影響降到 最低。

1 無人機(jī)群通信及威脅

雖然無人機(jī)群憑借其組網(wǎng)靈活、智能協(xié)作的特點(diǎn)具備出色的作戰(zhàn)能力，但也容易受到試圖入侵無人機(jī)的黑客攻擊。例如，被入侵的無人機(jī)可以被黑客控制攝像頭，獲取戰(zhàn)場環(huán)境中的一些非常重要的信息。由于作戰(zhàn)的無人機(jī)群往往會(huì)處在地面站信號無法覆蓋的區(qū)域內(nèi)執(zhí)行任務(wù)，并且其擁有對無線環(huán)境的過度依賴以及分布式組網(wǎng)特性，因此無人機(jī)群面臨著一系列的安全風(fēng)險(xiǎn)。目前的工作主要針對單無人機(jī)系統(tǒng)，缺乏對無人機(jī)群安全威脅的研究，較少綜合考慮其潛在的攻擊威脅。為了減少攻擊的發(fā)生，有必要從針對無人機(jī)群的潛在攻擊和威脅入手，重新審視無人機(jī)通信的安全性。因此，本文對無人機(jī)網(wǎng)絡(luò)安全和需求進(jìn)行了闡述。

1.1 無人機(jī)群通信方式

根據(jù)無人機(jī)群的通信方式，可以將其分為4個(gè)類別[3]。

1.1.1 無人機(jī)—無人機(jī)

無人機(jī)—無人機(jī)（Drone-to-Drone，D2D）是一種非標(biāo)準(zhǔn)化的通信類型，可以被認(rèn)為是一個(gè)點(diǎn)對點(diǎn)（Point-to-Point，P2P）網(wǎng)絡(luò)，很容易受到各種類型的P2P攻擊和干擾。無人機(jī)計(jì)算資源和功率有限，尤其容易受到DoS攻擊。作為空中設(shè)備，DoS攻擊對無人機(jī)的影響是非常嚴(yán)重的。例如，無人機(jī)無法接收無人機(jī)地面站命令可能會(huì)使無人機(jī)在空中失去控制，耗盡電池電量，導(dǎo)致墜落傷害的惡性事件。Shakhatreh等人[4]使用攻擊工具對無人機(jī)進(jìn)行了DoS攻擊，他們向一架無人機(jī)發(fā)送了大量的數(shù)據(jù)包，使其癱瘓，最終導(dǎo)致其墜毀。

1.1.2 無人機(jī)—地面站

無人機(jī)—地面站（Drone-Ground Station，D2GS）使用標(biāo)準(zhǔn)化工業(yè)無線通信協(xié)議（藍(lán)牙和Wi-Fi 802.11，包括2.4 GHz和5 GHz）。然而，基于802.11協(xié)議的Wi-Fi模塊并不真正安全，其管理框架沒有加密，攻擊者很容易偽造管理框架。這種通信方式公開化且不安全，這是因?yàn)楣粽呖梢韵虻孛嬲景l(fā)送一個(gè)構(gòu)造好的反認(rèn)證幀，斷開其與無人機(jī)的連接[5]，甚至在使用單因素身份驗(yàn)證時(shí)也是如此，入侵者很容易繞過這種身份驗(yàn)證實(shí)施被動(dòng)竊聽和主動(dòng)中間人攻擊。攻擊者通過嗅探并查找無人機(jī)及其所連接用戶的MAC地址；然后，攻擊者向用戶發(fā)送偽造的去認(rèn)證幀報(bào)文，迫使其與無人機(jī)的通信鏈路中斷，就可以達(dá)到連接并控制無人機(jī)的目的。

1.1.3 無人機(jī)—網(wǎng)絡(luò)

無人機(jī)—網(wǎng)絡(luò)（Drone-Network，D2N）可以根據(jù)需要的安全級別選擇網(wǎng)絡(luò)進(jìn)行控制和信息傳遞，可以使用幾種不同頻率的Wi-Fi網(wǎng)絡(luò)。與無線傳感器網(wǎng)絡(luò)類似，無人機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)的頻繁更換使得路由攻擊成為可能。在這種情況下，攻擊者可以使自己控制的無人機(jī)節(jié)點(diǎn)冒充普通無人機(jī)加入到無人機(jī)網(wǎng)絡(luò)中，或者對現(xiàn)有無人機(jī)網(wǎng)絡(luò)中的無人機(jī)進(jìn)行路由攻擊。這些惡意節(jié)點(diǎn)被偽裝成最佳路由節(jié)點(diǎn)，目的是更改整個(gè)路由表，其他節(jié)點(diǎn)將選擇惡意節(jié)點(diǎn)轉(zhuǎn)發(fā)它們的數(shù)據(jù)包。在多無人機(jī)網(wǎng)絡(luò)中，路由攻擊是一種非常嚴(yán)重的攻擊，它們通過破壞路由協(xié)議導(dǎo)致整個(gè)網(wǎng)絡(luò)產(chǎn)生故障。常見的路由攻擊包括黑洞攻擊、灰洞攻擊和蟲洞攻擊[6]。

1.1.4 無人機(jī)—衛(wèi)星

無人機(jī)—衛(wèi)星（Drone-Satellite，D2S）可以通過GPS實(shí)時(shí)傳輸無人機(jī)的坐標(biāo)。使用地球表面的坐標(biāo)可以跟蹤無人機(jī)的位置，并實(shí)施控制動(dòng)作，例如，如果它超出了控制線或視線，將無人機(jī)呼叫回源站的命令。衛(wèi)星通信被認(rèn)為是可靠和安全的，然而，這種類型的通信非常昂貴，而且還需要特殊的維護(hù)要求。

1.2 無人機(jī)安全需求

1.2.1 數(shù)據(jù)機(jī)密性

機(jī)密性是指保護(hù)信息不被未授權(quán)方訪問。換句話說，只有被授權(quán)的人才能訪問數(shù)據(jù)。攻擊者可以利用不同的攻擊矢量，通過各種方式，如惡意軟件、劫持、社會(huì)工程等，來危害無人機(jī)系統(tǒng)的保密性。無人機(jī)不可避免地需要在各種場景中傳輸數(shù)據(jù)，包括軍事和民用環(huán)境。因此，任何未經(jīng)授權(quán)的實(shí)體都不能獲取無人機(jī)傳輸?shù)臄?shù)據(jù)信息，也不能直接對傳輸包中的數(shù)據(jù)進(jìn)行解密。在竊聽和灰洞攻擊中，攻擊者可以靜默地獲取所傳輸?shù)臄?shù)據(jù)。因此，應(yīng)該確保數(shù)據(jù)機(jī)密性，以抵御這種攻擊。

1.2.2 信息完整性

完整性保證了信息的真實(shí)性，攻擊者可以通過通信鏈路、地面通信系統(tǒng)或受損的無人機(jī)修改或偽造無人機(jī)系統(tǒng)的信息，如收集的數(shù)據(jù)、發(fā)出的命令等，并劫持修改無人機(jī)控制數(shù)據(jù)使得接收的命令信息不完整，而直接導(dǎo)致無人機(jī)實(shí)施任務(wù)失敗。如攻擊視覺傳感器或GPS傳感器，使無人機(jī)得到錯(cuò)誤的圖像或地理位置信息，可能導(dǎo)致無人機(jī)漂移或墜毀。無人機(jī)通信需要保證數(shù)據(jù)的完整性，特別是用于控制無人機(jī)的命令數(shù)據(jù)，使無人機(jī)能夠可靠地運(yùn)行，不會(huì)受到干擾、錯(cuò)誤感知數(shù)據(jù)和入侵的影響。顯然，信息完整性是必不可少的無人機(jī)群系統(tǒng)安全 需求。

1.2.3 系統(tǒng)可用性

可用性確保無人機(jī)系統(tǒng)攜帶的服務(wù)和相關(guān)數(shù)據(jù)按預(yù)期運(yùn)行，并可被授權(quán)用戶訪問。攻擊者可以對無人機(jī)系統(tǒng)執(zhí)行DoS攻擊，如淹沒通信鏈路、過載處理單元或耗盡電池。無人機(jī)系統(tǒng)應(yīng)嚴(yán)格按照其合法用戶的命令執(zhí)行任務(wù)或收集數(shù)據(jù)。有些攻擊的主要目的不是獲取無人機(jī)傳輸?shù)臄?shù)據(jù)，而是以較小的開銷阻礙無人機(jī)的正常運(yùn)行，例如，泛洪攻擊使無人機(jī)無法響應(yīng)用戶的命令，黑洞攻擊使無人機(jī)群網(wǎng)絡(luò)中的無人機(jī)無法接收來自地面站的命令。這些攻擊使無人機(jī)系統(tǒng)無法正常操作，甚至導(dǎo)致無人機(jī)墜落。因此，必須保證無人機(jī)系統(tǒng)的可用性。

2 無人機(jī)群安全方案

為了提升無人機(jī)群的安全性，本文提出了一種無人機(jī)群的安全方案，如圖1所示。

圖1 無人機(jī)群安全方案

2.1 Wi-Fi安全解決方案

大部分無人機(jī)使用預(yù)設(shè)的有線等效保密（Wired Equivalent Privacy，WEP）協(xié)議應(yīng)用Wi-Fi，進(jìn)行通信時(shí)不需要任何密碼。為了防止惡意連接，應(yīng)采用Wi-Fi保護(hù)訪問（Wi-Fi Protected Access，WPA）協(xié)議，使用預(yù)共享密鑰驗(yàn)證身份，提高無人機(jī)的安全性。為了防止反認(rèn)證攻擊，采用802.11w協(xié)議，對管理幀進(jìn)行加密。這樣，攻擊者就不能偽造幀消息，從而保證了無人機(jī)系統(tǒng)的可用性。

2.2 入侵檢測系統(tǒng)

入侵檢測系統(tǒng)（Intrusion Detection Systems，IDS）是一種識別惡意行為的安全機(jī)制。IDS雖然不能直接抵抗攻擊，但可以及早發(fā)現(xiàn)攻擊，及時(shí)減少損失。由于無人機(jī)自身的局限性，針對無人機(jī)系統(tǒng)的入侵檢測系統(tǒng)需要考慮能源經(jīng)濟(jì)性、計(jì)算效率、輕量化和實(shí)時(shí)檢測4個(gè)因素。特別是將基于規(guī)則的檢測技術(shù)和基于異常的檢測技術(shù)相結(jié)合，根據(jù)無人機(jī)的行為將其分為正常、可疑、異常和惡意4種類型。IDS可以根據(jù)無人機(jī)用戶的具體流量，對攻擊進(jìn)行分析，有效地幫助無人機(jī)用戶在不同的應(yīng)用場景下發(fā)現(xiàn)可能的攻擊。因此，入侵檢測系統(tǒng)對保障無人機(jī)系統(tǒng)的可用性和可靠性起著重要的作用。

Sedjelmaci等人[7]提出了移動(dòng)地面站以持續(xù)地為無人機(jī)提供可靠的連接并檢測惡意行為的方案。在該方案中，無人機(jī)發(fā)送到地面站的數(shù)據(jù)包包含源地址、目的地址、下一跳信息等。地面站根據(jù)該信息判斷無人機(jī)群網(wǎng)絡(luò)中的中繼節(jié)點(diǎn)是否正常轉(zhuǎn)發(fā)數(shù)據(jù)包，并計(jì)算出丟包數(shù)。地面站將計(jì)算出的值與之前定義的閾值進(jìn)行比較，檢測出惡意行為。除了發(fā)現(xiàn)惡意節(jié)點(diǎn)破壞路由和移動(dòng)地面站，還可以收集一定范圍的數(shù)據(jù)包，使用正態(tài)分布方法評估凈推薦值（Net Promoter Score，NPS）發(fā)送的數(shù)據(jù)包的數(shù)量，檢查NPS值是否在正常范圍內(nèi)，并探測無人機(jī)是否受到泛洪攻擊。

2.3 身份驗(yàn)證

為了避免非法用戶濫用設(shè)備，必須對無人機(jī)訪問進(jìn)行認(rèn)證。用戶在操作無人機(jī)之前，必須在斷開連接后及時(shí)提供有效的身份驗(yàn)證。反認(rèn)證攻擊利用Wi-Fi協(xié)議中的認(rèn)證缺陷來奪取無人機(jī)的控制權(quán)。因此，為了避免惡意反認(rèn)證攻擊，需驗(yàn)證無人機(jī)數(shù)據(jù)源的資格，阻止攻擊者偽造數(shù)據(jù)包或直接加入一個(gè)無人機(jī)群破壞其網(wǎng)絡(luò)結(jié)構(gòu)。

在無人機(jī)通信協(xié)議方面，微型空中飛行器鏈路通信協(xié)議（Micro Air Vehicle Link，MAVLink）2.0版本通過認(rèn)證加強(qiáng)了無人機(jī)的安全性，同時(shí)增加了時(shí)間戳和簽名機(jī)制，保證用戶身份合法性，防止信息被篡改。Yoon等人[8]提出了一種安全認(rèn)證系統(tǒng)，在無人機(jī)和地面站（Ground Control Station，GCS）之間建立安全通道，確保數(shù)據(jù)可靠傳輸，也保證了用戶在受到攻擊后不會(huì)失去對無人機(jī)的控制。

除了對UAV本身進(jìn)行身份驗(yàn)證，對傳輸數(shù)據(jù)進(jìn)行身份驗(yàn)證也可以用作一種安全措施。由于攻擊者可能會(huì)截取傳感器的數(shù)據(jù)并惡意修改重要數(shù)據(jù)，Sun等人[9]設(shè)計(jì)了一種認(rèn)證水印策略，利用采集到的數(shù)據(jù)特征生成認(rèn)證水印，并隨機(jī)插入到數(shù)據(jù)中，極大地提高了無人機(jī)在數(shù)據(jù)采集環(huán)境下的安全性。無人機(jī)可以驗(yàn)證數(shù)據(jù)的完整性，避免數(shù)據(jù)重放攻擊和篡改，從而保證信息的完整性。

2.4 安全路由協(xié)議

安全路由協(xié)議主要用于保護(hù)無人機(jī)集群網(wǎng)絡(luò)的安全。與傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)類似，多無人機(jī)網(wǎng)絡(luò)由路由協(xié)議支持，用于轉(zhuǎn)發(fā)數(shù)據(jù)包和發(fā)送命令。安全路由協(xié)議的目的是在路由和轉(zhuǎn)發(fā)過程中抵抗攻擊威脅，如黑洞攻擊、蟲洞攻擊等?，F(xiàn)有的無人機(jī)安全路由協(xié)議主要是識別新出現(xiàn)的無人機(jī)，檢查節(jié)點(diǎn)是否正常轉(zhuǎn)發(fā)數(shù)據(jù)，以保證網(wǎng)絡(luò)的穩(wěn)定性。

本文方案使用一種特殊的無線自組網(wǎng)按需平面距離矢量（Ad Hoc On-Demand Distance Vector，AODV）路由協(xié)議，可以為無人機(jī)網(wǎng)絡(luò)提供更好的性能，AODV協(xié)議的工作流程如下。

（1）AODV節(jié)點(diǎn)向周圍的節(jié)點(diǎn)發(fā)送Hello報(bào)文，每個(gè)節(jié)點(diǎn)通過接收Hello報(bào)文并激活定時(shí)器來檢測相鄰節(jié)點(diǎn)是否存在Hello報(bào)文。

（2）如果一個(gè)節(jié)點(diǎn)需要發(fā)送一個(gè)數(shù)據(jù)包到目的地D，并且沒有這樣的路由，它就會(huì)向周圍的節(jié)點(diǎn)發(fā)出一個(gè)路由請求（Route Request，RREQ）。如果周圍的節(jié)點(diǎn)沒有到達(dá)請求目的地D的路由，則RREQ會(huì)被重傳。發(fā)起者可以通過RREQ數(shù)據(jù)包中的生存周期（Time to Live，TTL）值來控制重傳的深度，這種方法被稱為擴(kuò)展環(huán)搜索技術(shù)（Expanding Ring Search Technique，ERST）。

（3）當(dāng)一個(gè)節(jié)點(diǎn)有一條到目的地D的路由時(shí)，無論它是目的地，還是它目前有一條到目的地的路由，節(jié)點(diǎn)都會(huì)向發(fā)起者響應(yīng)一個(gè)路由應(yīng)答（Route Reply，RREP），接收RREQ的節(jié)點(diǎn)將緩存一條返回到源節(jié)點(diǎn)的路由。

（4）當(dāng)節(jié)點(diǎn)檢測到活躍路由中的鄰居節(jié)點(diǎn)丟失時(shí)，會(huì)發(fā)送路由錯(cuò)誤報(bào)文（Route Error，RERR），以通知其他節(jié)點(diǎn)連接丟失，然后重新規(guī)劃路由。

圖2展示了一個(gè)典型的AODV體系結(jié)構(gòu)。為了提供更好的安全性，還可以通過定義一個(gè)公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）來改進(jìn)AODV協(xié)議安全，并添加提供監(jiān)視和安全操作的附加功能，例如一些分布式監(jiān)控功能和部署識別響應(yīng)的方法。

圖2 AODV架構(gòu)

軟件自定義網(wǎng)絡(luò)（Software Defined Network，SDN）可以動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)的配置，甚至不需要人工配置[10]。采用SDN思想，使網(wǎng)絡(luò)架構(gòu)具有控制和轉(zhuǎn)發(fā)分離、有開放的編程接口、集中式的控制等優(yōu)點(diǎn)。采用帶內(nèi)OpenFlow協(xié)議，使控制平面和數(shù)據(jù)平面在同一個(gè)網(wǎng)絡(luò)。同時(shí)，OpenFlow使用安全的傳輸連接，即傳輸層安全（Transport Layer Security，TLS），使每個(gè)節(jié)點(diǎn)擁有控制節(jié)點(diǎn)的憑據(jù)，而控制器擁有所有節(jié)點(diǎn)的憑據(jù)?？刂破髯鳛橐粋€(gè)可信任節(jié)點(diǎn)，成為憑證的來源，并作為PKI的構(gòu)建塊。同時(shí)，選擇AODV作為控制平面的路由協(xié)議，而SDN將提供數(shù)據(jù)平面的轉(zhuǎn)發(fā)，兩者使用相同的自組織網(wǎng)絡(luò)，如圖3所示。為了限制傳輸?shù)臄?shù)據(jù)量，采用基于AODV協(xié)議的鄰域信息的拓?fù)渎酚?，?jié)點(diǎn)在建立OpenFlow連接的時(shí)候，會(huì)通知控制器其已知的鄰居節(jié)點(diǎn)包括新的鄰居節(jié)點(diǎn)出現(xiàn)或當(dāng)前鄰居節(jié)點(diǎn)消失。OpenFlow允許添加協(xié)議，除了解析、處理和新交互的生成代碼，幾乎不會(huì)影響到交換機(jī)和控制器。此外，有效負(fù)載應(yīng)用程序可以通過Linux命名空間技術(shù)與更合理的路由隔離過濾控制流量，只允許OpenFlow和AODV協(xié)議遍歷，降低了控制部分的攻擊面，并限制了從有效負(fù)載應(yīng)用程序到控制部分的攻擊傳染。

圖3 帶內(nèi)AODV SDN架構(gòu)

3 結(jié)語

提高無人機(jī)群自組織網(wǎng)絡(luò)安全是來自多方面的挑戰(zhàn)，本文在已有研究的基礎(chǔ)上綜述了無人機(jī)通信面臨的安全威脅及安全需求，通過對現(xiàn)有的應(yīng)對網(wǎng)絡(luò)威脅的安全對策的綜合評述，提出了一種無人機(jī)群自組織網(wǎng)絡(luò)的安全方案，探討了解決無人機(jī)群的網(wǎng)絡(luò)安全問題的方法，以應(yīng)對無人機(jī)群可能受到的安全威脅與攻擊，為無人機(jī)群的發(fā)展添磚加瓦。