◆張繼永

一種無人機(jī)網(wǎng)絡(luò)位置感知路由協(xié)議的安全性分析

◆張繼永

（91977部隊(duì) 北京 100841）

在分析無人機(jī)網(wǎng)絡(luò)位置感知路由協(xié)議AeroRP基礎(chǔ)上，探究了其主動(dòng)監(jiān)聽、呼叫信標(biāo)、地面站更新以及確定下一跳節(jié)點(diǎn)等協(xié)議執(zhí)行階段可能存在的安全隱患，包括節(jié)點(diǎn)不合作、被敵方篡改網(wǎng)絡(luò)層數(shù)據(jù)包MAC地址、偽造信標(biāo)或者截獲地面站發(fā)送的無人機(jī)節(jié)點(diǎn)位置信息等攻擊行為。本文將基于密碼體制和基于信任評(píng)估機(jī)制的安全解決方法結(jié)合起來，應(yīng)用于位置感知路由協(xié)議的設(shè)計(jì)，有效增強(qiáng)了其安全性，進(jìn)而可以提升聯(lián)合作戰(zhàn)環(huán)境下我戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)間通信傳輸?shù)陌踩院蜁r(shí)效性。

無人機(jī)網(wǎng)絡(luò)；位置感知；路由協(xié)議；安全性

相較于傳統(tǒng)的諸如AODV、DSDV和OLSR等移動(dòng)ad hoc網(wǎng)絡(luò)路由協(xié)議，位置感知路由協(xié)議更適應(yīng)于高動(dòng)態(tài)、快速多變的大尺度戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)，已成為無人機(jī)網(wǎng)絡(luò)由算法研究的熱點(diǎn)[1]。但敵方可以利用路由協(xié)議設(shè)計(jì)存在的各種安全漏洞，使用格式正確的惡意路由來合法更新網(wǎng)絡(luò)中的鄰居列表，可以輕易地啟動(dòng)各種攻擊行為；敵方可以使用路由環(huán)路攻擊[2]，在數(shù)據(jù)轉(zhuǎn)發(fā)路徑中創(chuàng)建錯(cuò)誤環(huán)路，使數(shù)據(jù)包無法到達(dá)目的地，達(dá)到癱瘓網(wǎng)絡(luò)的目的。因此，保護(hù)和增強(qiáng)路由協(xié)議的安全性是無人機(jī)網(wǎng)絡(luò)研究的一個(gè)重點(diǎn)問題。

1 位置感知路由協(xié)議

針對(duì)其支持飛行試驗(yàn)的遙測(cè)系統(tǒng)無法滿足未來發(fā)展的需求，美國(guó)試驗(yàn)中心和項(xiàng)目評(píng)估投資機(jī)構(gòu)（CTEIP）于2004年10月啟動(dòng)了增強(qiáng)遙測(cè)綜合網(wǎng)（Integrated Network Enhanced Telemetry）項(xiàng)目[3]。iNET對(duì)全部飛行數(shù)據(jù)實(shí)時(shí)處理，可適應(yīng)未來信息化試驗(yàn)環(huán)境下的空地一體化、多機(jī)協(xié)同試飛需求，并且具有遠(yuǎn)程、寬帶組網(wǎng)能力?；谶@個(gè)項(xiàng)目，美國(guó)堪薩斯大學(xué)的James P G S、Abdul J 等人于2011年對(duì)協(xié)議棧體系進(jìn)行了研究，提出了一種領(lǐng)域特定架構(gòu)和協(xié)議套件，包括TCP友好的傳輸協(xié)議AeroTP，IP兼容的網(wǎng)絡(luò)層協(xié)議AeroNP以及地理位置感知路由協(xié)議AeroRP[4]。通過基于軌跡信息來預(yù)測(cè)鏈路何時(shí)可用，以及主動(dòng)監(jiān)聽附近節(jié)點(diǎn)，AreoRP可向目的地隨機(jī)地發(fā)送數(shù)據(jù)，并可更有效利用可用的網(wǎng)絡(luò)帶寬。

1.1 網(wǎng)絡(luò)層協(xié)議數(shù)據(jù)包格式

無人機(jī)網(wǎng)絡(luò)層協(xié)議是專門為高動(dòng)態(tài)機(jī)載環(huán)境設(shè)計(jì)的，AeroNP數(shù)據(jù)包格式如圖1所示。

圖1 AeroNP數(shù)據(jù)包格式

該數(shù)據(jù)包格式對(duì)位置感知路由算法提供顯示跨層支持，即包括了“源”和“目的地?zé)o人機(jī)節(jié)點(diǎn)位置”。它們是可選字段，低速飛行時(shí)可以省略，但在無人機(jī)高速運(yùn)動(dòng)時(shí)必須包括進(jìn)來；它們是指節(jié)點(diǎn)的衛(wèi)星定位坐標(biāo)和速度矢量，路由感知算法可以充分利用無人機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)的位置和軌跡等獨(dú)特信息來計(jì)算出更優(yōu)的路徑。

1.2 AeroRP路由協(xié)議

該協(xié)議是一種智能多跳路由協(xié)議，專門為高動(dòng)態(tài)物理拓?fù)涞臒o人機(jī)網(wǎng)絡(luò)設(shè)計(jì)，基本操作包括鄰居發(fā)現(xiàn)和數(shù)據(jù)轉(zhuǎn)發(fā)兩個(gè)階段，如圖2所示。

該無人機(jī)網(wǎng)絡(luò)路由協(xié)議的首要目的就是確定其鄰居節(jié)點(diǎn)。為了找到正確的鄰居節(jié)點(diǎn)，采用了以下3種不同的機(jī)制，目的是減少協(xié)議開銷并提高戰(zhàn)術(shù)惡劣環(huán)境適應(yīng)性。

①主動(dòng)監(jiān)聽，是節(jié)點(diǎn)定位和識(shí)別其鄰居的主要機(jī)制。AeroRP將其監(jiān)聽的每一個(gè)數(shù)據(jù)包的MAC地址（如圖1所示）發(fā)送至鄰居列表中。協(xié)議假定無人機(jī)節(jié)點(diǎn)間是合作節(jié)點(diǎn)且傳輸范圍對(duì)稱，從而如果一個(gè)節(jié)點(diǎn)可以監(jiān)聽到另一個(gè)節(jié)點(diǎn)的發(fā)送，它也可以和該節(jié)點(diǎn)進(jìn)行通信。如果在與預(yù)期接觸時(shí)長(zhǎng)相關(guān)的預(yù)先設(shè)定時(shí)間間隔內(nèi)沒有監(jiān)聽到節(jié)點(diǎn)的發(fā)送，則從鄰居列表中刪除該過時(shí)節(jié)點(diǎn)數(shù)據(jù)。

②HELLO信標(biāo)，空閑節(jié)點(diǎn)使用Hello信標(biāo)來通告他們的存在。當(dāng)鄰居節(jié)點(diǎn)監(jiān)聽到一個(gè)信標(biāo)，他們便更新鄰居列表。Hello信標(biāo)的發(fā)送頻率和計(jì)算的最小接觸持續(xù)時(shí)間成反比。例如，如果持續(xù)時(shí)間是10秒，Hello信標(biāo)是每秒傳輸一次，但是如果持續(xù)時(shí)間是100秒，則Hello信標(biāo)需要每10秒發(fā)送一次。

③地面站更新，在某些作戰(zhàn)場(chǎng)景中可替代主動(dòng)監(jiān)聽，此時(shí)，地面站具有部分或完整的飛行計(jì)劃，從而可以向所有節(jié)點(diǎn)發(fā)送定期更新數(shù)據(jù)，其中含有由飛行計(jì)劃預(yù)測(cè)的位置和速度數(shù)據(jù)。

在鄰居發(fā)現(xiàn)之后，AeroRP的第二階段是確定某次傳輸?shù)南乱惶?。?dāng)一個(gè)節(jié)點(diǎn)需要發(fā)送數(shù)據(jù)時(shí)，假設(shè)已經(jīng)有鄰居節(jié)點(diǎn)被發(fā)現(xiàn)了，數(shù)據(jù)包就會(huì)轉(zhuǎn)發(fā)至通過當(dāng)前坐標(biāo)和速度計(jì)算出的離目的地最近的節(jié)點(diǎn)。

圖2 AeroRP算法流程示意圖

2 安全風(fēng)險(xiǎn)分析

2.1 無人機(jī)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)

與傳統(tǒng)無線Ad hoc網(wǎng)絡(luò)相比，戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)由于其通信信道完全開放且處于敵我雙方激烈對(duì)抗的惡劣戰(zhàn)場(chǎng)環(huán)境中，因此極易遭受攻擊，并且網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)高動(dòng)態(tài)變化，使得設(shè)計(jì)戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)路由協(xié)議異常復(fù)雜，安全性問題也成為一個(gè)新的挑戰(zhàn)。

無人機(jī)節(jié)點(diǎn)可在任何方向上進(jìn)行移動(dòng)，因此，對(duì)于高動(dòng)態(tài)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，靜態(tài)配置的路由協(xié)議無法適用的，路由可以在源節(jié)點(diǎn)和目的節(jié)點(diǎn)之間建立，而無人機(jī)網(wǎng)絡(luò)結(jié)構(gòu)中各節(jié)點(diǎn)之間的數(shù)據(jù)轉(zhuǎn)發(fā)多是由傳統(tǒng)Ad hoc路由算法實(shí)施，所以，敵方都可以惡意地使用格式正確的數(shù)據(jù)包來合法更新網(wǎng)絡(luò)節(jié)點(diǎn)使用的鄰居列表。如果敵方向無人機(jī)網(wǎng)絡(luò)中發(fā)布虛假的路由信息，則合法節(jié)點(diǎn)在不知不覺中就會(huì)轉(zhuǎn)發(fā)虛假信息[5]。下面分析協(xié)議運(yùn)行各階段可能存在的安全隱患。

2.2 AeroRP安全風(fēng)險(xiǎn)

主動(dòng)監(jiān)聽階段，AeroRP路由協(xié)議假定無人機(jī)網(wǎng)絡(luò)各節(jié)點(diǎn)間是合作節(jié)點(diǎn)，存在安全風(fēng)險(xiǎn)。由于無人機(jī)網(wǎng)絡(luò)能否正常執(zhí)行作戰(zhàn)任務(wù)極大地依賴節(jié)點(diǎn)之間的相互合作，若存在不合作的節(jié)點(diǎn)，即僅接受服務(wù)而不提供服務(wù)，則會(huì)導(dǎo)致網(wǎng)絡(luò)不可用。

HELLO信標(biāo)階段，接收到Hello信標(biāo)的節(jié)點(diǎn)會(huì)認(rèn)為發(fā)送方將會(huì)是鄰居節(jié)點(diǎn)，存在風(fēng)險(xiǎn)，這種假設(shè)有可能是錯(cuò)誤的。敵方信息系統(tǒng)可以將單個(gè)Hello信標(biāo)發(fā)送到我方無人機(jī)網(wǎng)絡(luò)中的每個(gè)節(jié)點(diǎn)，并使每個(gè)節(jié)點(diǎn)相信它是自己的鄰居。此后，無人機(jī)節(jié)點(diǎn)將會(huì)試圖通過這條路由與目的地進(jìn)行通信，從而造成數(shù)據(jù)包丟失，導(dǎo)致整個(gè)網(wǎng)絡(luò)陷入混亂的狀態(tài)。

地面站更新階段，對(duì)于軍用戰(zhàn)術(shù)級(jí)無人機(jī)網(wǎng)絡(luò)，節(jié)點(diǎn)位置和軌跡屬于機(jī)密敏感信息，地面站向無人機(jī)節(jié)點(diǎn)發(fā)送的位置更新信息會(huì)被敵方嘗試竊聽、注入數(shù)據(jù)包、破壞或進(jìn)行中間人攻擊和中繼攻擊。

確定下一跳階段，在AeroRP協(xié)議中，每個(gè)節(jié)點(diǎn)都利用數(shù)據(jù)轉(zhuǎn)發(fā)算法盡量沿最短路徑傳輸數(shù)據(jù)。當(dāng)一個(gè)無人機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)需要向另一節(jié)點(diǎn)轉(zhuǎn)發(fā)數(shù)據(jù)的時(shí)候，它會(huì)借助其鄰居節(jié)點(diǎn)去尋找距目的節(jié)點(diǎn)最近的那個(gè)節(jié)點(diǎn)作為中繼來轉(zhuǎn)發(fā)數(shù)據(jù)。當(dāng)使用歐幾里得距離公式來計(jì)算最近的節(jié)點(diǎn)時(shí)，由于戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)節(jié)點(diǎn)局部不穩(wěn)定的固有特性，有時(shí)會(huì)遇到“路由空洞”[6]，即找不到更近的鄰居節(jié)點(diǎn)，進(jìn)而無法繼續(xù)轉(zhuǎn)發(fā)數(shù)據(jù)。

3 安全策略

為高動(dòng)態(tài)無人機(jī)網(wǎng)絡(luò)專門設(shè)計(jì)的位置感知路由協(xié)議容易受到戰(zhàn)術(shù)惡劣環(huán)境下虛假地理位置信息的攻擊，從而影響作戰(zhàn)使用性能。針對(duì)該協(xié)議面臨的各種攻擊與威脅，目前的設(shè)計(jì)主要基于兩種不同的安全策略，一種基于密碼體制的安全路由方法，另一種基于信任評(píng)估的可信路由方法[7]，我們將兩種機(jī)制有機(jī)結(jié)合起來，應(yīng)用于該協(xié)議的安全性設(shè)計(jì)，可有效應(yīng)對(duì)各類安全風(fēng)險(xiǎn)，各種機(jī)制方法對(duì)應(yīng)關(guān)系如表1所示。

表1 AeroRP協(xié)議安全風(fēng)險(xiǎn)與應(yīng)對(duì)策略表

基于密碼體制的方法主要通過加密、認(rèn)證和數(shù)字簽名等技術(shù)手段，提供機(jī)密性、完整性和不可否認(rèn)性等服務(wù)；而基于信任評(píng)估的方法主要通過信任模型對(duì)節(jié)點(diǎn)的可信度進(jìn)行考察，在路由協(xié)議執(zhí)行過程中，選擇可信度高的節(jié)點(diǎn)完成數(shù)據(jù)轉(zhuǎn)發(fā)，從而防止惡意節(jié)點(diǎn)的出現(xiàn)。

文獻(xiàn)[8]提出了在無人機(jī)節(jié)點(diǎn)配備第二個(gè)收發(fā)機(jī)，用于與地面站進(jìn)行點(diǎn)對(duì)點(diǎn)加密通信，事實(shí)上可以利用無人機(jī)已有的加密遙測(cè)遙控鏈路即可有效防止地面站更新受到敵方攻擊問題，我方的地面無人機(jī)控制站可以作為可信的第三方，利用無人機(jī)測(cè)控鏈路具有的長(zhǎng)距離和寬下行帶寬等特性，進(jìn)行節(jié)點(diǎn)身份驗(yàn)證和密鑰傳輸；協(xié)議中使用的每個(gè)數(shù)據(jù)包都經(jīng)過身份驗(yàn)證和加密，從而可以有效防止偽造的地理位置信息；對(duì)于確定下一跳問題，文獻(xiàn)[9]提出了利用節(jié)點(diǎn)的位置、軌跡以及信任等級(jí)來綜合分析，并依此確定最優(yōu)下一跳的解決方案。

無人機(jī)網(wǎng)絡(luò)的鄰居發(fā)現(xiàn)依賴于所有節(jié)點(diǎn)的參與、協(xié)作和信任，敵方節(jié)點(diǎn)可以簡(jiǎn)單地假冒或者修改鄰居節(jié)點(diǎn)，通過拒絕合作來破壞鄰居發(fā)現(xiàn)機(jī)制，通用安全手段如入侵檢測(cè)等機(jī)制對(duì)這種假冒行為束手無策。在戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)中，節(jié)點(diǎn)離開與加入更為頻繁迅速，需要頻繁對(duì)網(wǎng)絡(luò)認(rèn)證信息進(jìn)行更新[10]，為此，基于身份的密碼學(xué)方案，對(duì)于解決無人機(jī)網(wǎng)絡(luò)安全問題是最優(yōu)的。

通過分析比較可知，基于密碼體制的安全路由方案能較好地解決偽造、篡改等各種敵方惡意攻擊；而基于信任評(píng)估機(jī)制的安全路由方案可以較好地解決節(jié)點(diǎn)不合作問題，而將兩者結(jié)合起來，則可以設(shè)計(jì)出一個(gè)安全的基于位置感知的無人機(jī)網(wǎng)絡(luò)路由協(xié)議。

4 結(jié)束語(yǔ)

為了保護(hù)無人機(jī)網(wǎng)絡(luò)免受敵方攻擊，我們應(yīng)該對(duì)戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)通信堆棧所有層均設(shè)計(jì)針對(duì)拒絕服務(wù)攻擊的保護(hù)機(jī)制、保護(hù)通信信道的機(jī)密性和完整性、通信信道僅保持于被授權(quán)的節(jié)點(diǎn)之間，最重要的是如果使用了某種路由協(xié)議，一定要確保該協(xié)議是安全的。

其次，在使用地理位置路由協(xié)議的情況下，定位系統(tǒng)在無人機(jī)網(wǎng)絡(luò)設(shè)置中非常重要。敵方無時(shí)無刻不在嘗試篡改無人機(jī)使用的位置信息系統(tǒng)，從而獲取我方所偵察探測(cè)感知數(shù)據(jù)的位置或控制無人機(jī)的飛行路徑?；贕PS的位置信息系統(tǒng)容易使用但可能被欺騙，因此，在戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)系統(tǒng)中，應(yīng)該優(yōu)先使用我國(guó)自主研發(fā)的北斗衛(wèi)星導(dǎo)航定位系統(tǒng)，從而保證我軍戰(zhàn)術(shù)無人機(jī)網(wǎng)絡(luò)地理位置系統(tǒng)安全問題。

[1]Frew E W，Brown T X.Networking issues for small unmanned aircraft systems[J].Journal of Intelligent & RoboticSystems，2009，54（1/3）：21-37.

[2]Andreas Larsson.Report on the state of the art of security in sensor networks，2011.

[3]鄭博，張衡陽(yáng)，黃國(guó)策，任清華.航空自組網(wǎng)的現(xiàn)狀與發(fā)展[J].電信科學(xué)，2011.5（38-487）.

[4]JUSTIN P. ROHRER， ABDUL JABBAR， EGEMEN K. CETINKAYA，ERIK PERRINS，JAMES P. G. STERBENZ. Highly-Dynamic Cross-Layered Aeronautical Network Architecture. IEEE Transactions on Aerospace and Electronic Systems，47（4）：2742-2765，October 2011.

[5]何道敬，杜曉，喬銀榮，等.無人機(jī)信息安全研究綜述[J].計(jì)算機(jī)學(xué)報(bào)，2019（5）：1076-1095.

[6]王利，王普，閆崢.無人機(jī)通信網(wǎng)絡(luò)安全綜述[J].網(wǎng)絡(luò)空間安全.2019（10）：13-19.

[7]中國(guó)密碼學(xué)會(huì)組編，任偉編著.無線網(wǎng)絡(luò)安全[M].北京：電子工業(yè)出版社，2011.

[8]Amir Swidan；Sherif Khattab；Yasmine Abouelseoud； Hassan Elkamchouchi.A secure geographical routing protocol for highly-dynamic aeronautical networks[J].MILCOM 2015 - 2015 IEEE Military Communications Conference，2015.

[9]孫凌，羅長(zhǎng)遠(yuǎn).基于地理信息的航空自組網(wǎng)安全路由算法[J].計(jì)算機(jī)工程與應(yīng)用，2019，55（12）：77-82.

[10]Deng H，Li W，Agrawal D P. Routing security in wireless ad hoc networks[J]. IEEE Communications Magazine， 2002，40（10）：70-75.