起源信息感知的無人機網絡信任模型

張 帆，高 航，劉 亮，李寧偉，彭劍飛

(南京航空航天大學 計算機科學與技術學院，南京 210000)

1 引 言

隨著科學技術的進步與發展，無人機因為其功能多樣，飛行動作靈活，安裝容易和操作簡單等優點被廣泛應用于各個領域，例如影視拍攝，農業檢測，野火監視，貨物運輸等.為了適應一些復雜任務場景，現階段通常通過在無人機上安裝無線傳感器組成無人機群來協同作業.無人機之間通過構建無人機自組織網絡來進行數據交互、融合和處理.

無人機自組織網絡采用多跳轉發的數據傳輸機制，每架無人機都需要參與路由的建立和數據的傳輸.一般的無人機都自覺承擔系統分配的任務且沒有惡意行為.然而，無人機群中可能存在一些惡意的內部攻擊者和被捕獲的節點，它們作為間諜使得無人機網絡容易受到各種各樣的攻擊.如黑洞攻擊，污水攻擊，女巫攻擊，消息篡改攻擊等[1].這些攻擊不但影響整個網絡的性能，縮短網絡的生存時間，而且會丟棄，篡改任務數據，給用戶造成無法彌補的損失.因此，安全的無人機網絡路由是目前急需解決的關鍵技術.現階段安全的無人機網絡路由技術主要有兩個難點：

1)惡意節點的識別.無人機網絡缺乏長期穩定鏈接，對惡意行為的檢測具有挑戰性.Qinghua Li等人提出利用交互記錄來識別惡意節點[2]，主要思想是節點在收發報文時會記錄其與其他節點的交互情況(接收和發送的報文個數)并生成交互記錄.在后續的報文轉發時，這些交互記錄會作為該節點證明自身可信度的重要依據.然而該算法僅可檢測系統內的黑洞/灰洞攻擊，無法抵御針對交互記錄的篡改或者偽造攻擊.

2)證據的收集與共享.因為在無人機網絡中節點稀疏分散且不經常相遇，對檢測到的證據進行收集與共享就顯得尤為重要.Cho J H等人提出將證據嵌入到任務報文中伴隨報文傳播進行證據收集[3]，以減少資源損耗.該算法解決了延時容忍網絡(Delay Tolerant Network，DTN)下證據收集的問題，仍然存在如下不足：1)觀測證據只有目的節點可以讀取，其利用率較低；2)對消息篡改攻擊的識別不夠準確；3)若報文傳播路徑中存在丟包攻擊節點，所有的證據將伴隨報文一起被丟棄.

起源信任模型是一種能夠很好地反映數據與節點之間相互依賴性的循環框架：數據的完整性影響創建和操縱數據的網絡節點的信任值，反之亦然[4].在無人機網絡中基于報文的完整性可以對報文創建和操作者的行為做出有效評判并生成觀測證據[5]，通過收集網絡中的觀測證據，可以對證據指向節點做出信任評估.考慮到系統的安全性，在證據傳遞過程中，必須保證數據在可讀的前提下任何對數據的更改都是可被檢測的.本文利用節點的交互記錄和起源信息來識別網絡內部攻擊并生成觀測證據，使用非對稱密碼技術根據數據的哈希值生成數字簽名(Digital Signature，DS)來保證數據的共享性和完整性.基于以上思想提出了一種起源信息感知的無人機信任評估模型(UAVNpro)，旨在實現準確的對等信任評估，在最大化報文交付率的同時減少資源受限的網絡環境下的消息時延和通信成本.該模型可有效抵御無人機網絡中的黑洞攻擊、灰洞攻擊、假身份攻擊、信息篡改攻擊等.UAVNpro結合數字簽名和交互記錄對網絡內的攻擊行為進行識別，觀測得到的證據被嵌入報文中并伴隨報文傳遞完成證據收集，最終目的節點利用現有證據對網絡內節點進行信任評估.系統基于節點的信任值進行路由來保證系統的安全性，具有良好信任值的節點的消息將被其他節點接受和轉發，而具有低信任值的節點將被從網絡中隔離.最后本文通過實驗將UAVNpro和現有的安全路由模型進行了對比分析，結果表明UAVNpro對不同密度的惡意節點具有較高的識別率，且在報文的投遞率和系統能耗上都要優于現有模型.

本文第二節講述了現階段無人機安全路由算法的研究現狀.第三節描述了網絡模型和攻擊模型.第四節提出了起源信息感知的無人機信任評估模型，并給出了系統從攻擊檢測、證據收集到利用收集到的證據進行信任評估的整個處理過程.第五節將現有算法與UAVNpro進行實驗對比，并分析實驗結果.第六節總結全文.

2 相關工作

延遲容忍網絡(Delay-tolerant Networking—DTN)機制已經被很多研究證明能夠應用到多無人機自組網通信中[6]，關于DTN的路由算法的研究有很多.因為其不能保證端到端連接的特性，基于洪泛或者部分洪泛的方法在被廣泛利用，例如Epidemic[7]和PRoPHET[8].然而，這些方法往往導致網絡的擁塞和高額的資源消耗.RelayCast算法根據節點的歷史信息選擇中繼節點進行路由[9]，EWMA算法通過將移動模型相似的節點組成集群進行路由[10].Jones E P C等人提出了MEED算法通過度量和預測下一跳節點的報文攜帶時間進行路由[11].Zekkori H等人提出了通過利用擺渡節點和集群進行路由以適應環境的動態變化[12].這些路由協議采用歷史信息對未來進行概率預測，路由效率較高.

然而，以上路由協議在最初設計時，僅僅針對DTN網絡的特點，將提高報文投遞率，減少投遞延時，減少節點能量損耗和延長網絡生生存時間作為主要目標，卻沒有考慮對惡意節點的防范，因而這些路由協議存在嚴重的安全問題.安全路由協議不僅要在節約節點能量的前提下完成報文傳輸的有效路由決策，而且要保證報文從源節點到目的節點的傳輸過程中，每一個中間節點對報文的數據傳輸和處理時的安全.Asokan N提出采用傳統無線網絡的端到端數據加密技術來保證數據安全[13]，但數據加密僅能保護系統免受外部攻擊者的攻擊，無法識別混入系統內部的攻擊者.鄰域監控方法通過引入一些獨立的監視節點來監控鄰居節點的流量，識別其惡意行為.Watchdog MDS[14]和CONFIDANT[15]結合信任機制和鄰域檢測來識別惡意節點.然而由于無人機網絡缺乏長期穩定鏈接，因此不可能持續監控鄰居節點.根據節點的行為反饋計算出信任值，然后根據信任進行路由是一種有效的安全措施.Zhu H提出了一種名為iTrust的基于信任的安全路由協議[16]，引入可信機構TA周期性的評估各個節點的信任.Asuquo P設計了一個分散的信任管理方案DTMS[17]，通過對比節點的轉發數與能量消耗速率之間的關系來獲取信任值.Raj R V提出了一種名為MAXTRUST的概率性不良行為檢測方案[18]，通過定期檢查節點的轉發歷史來檢測節點行為.Ayday和Fekri提出了一種迭代信任機制(ITRM)[19].其基本思想是：對于一個被評估者，所有評估者都給出評價，評價中與其他節點偏離最多的節點被視為惡意評估者.系統迭代執行該過程，直到所有評估者給出的評價收斂到被評估者的全局信任.但以上方法都存在一個問題，為了收集證據系統間存在大量的通信開銷，獲取信任的代價過高.

Jin-Hee Cho等人針對該問題提出了一種內嵌式的證據收集模型PROVEST[3].該模型根據報文的完整性來反向推斷報文產生節點或操作節點的信任值，節點在轉發報文之前先查驗報文，根據報文的完整性生成對前驅節點的觀測證據.然后將證據嵌入到報文中一并傳輸，證據通過搭乘報文的順風車到達目的節點.為防止前驅節點插入的證據被惡意篡改，對證據采用非對稱加密.存在一條加密秘鑰伴隨報文進行傳播，每個節點向報文插入證據之前首先利用該秘鑰對證據進行加密，然后將秘鑰進行單項哈希后與報文一起向后傳播.這種證據收集方式極大提高了信任準確性和網絡安全性，又不會產生高額的通信開銷.但依舊存在如下問題：

1)算法效率問題：如果傳播途中惡意節點對密鑰進行了篡改，后續插入的證據將無法被解析，這將影響系統效率.

2)識別準確率問題：算法在識別信息篡改攻擊時，僅利用前驅節點的信任值來判斷任務報文是否被篡改，判斷結果存在誤差.

3)無法抵御黑洞或灰洞攻擊：若網絡中存在黑洞或灰洞攻擊，證據將伴隨報文一起被丟棄，沒有證據支撐的系統將無法識別惡意節點.

3 系統模型

3.1 網絡模型

本文以無人機群執行搜索偵察任務為應用場景，為了對一定區域進行持續偵察，無人機群需要對該區域進行覆蓋.每架無人機在按照航線飛行的同時拍攝具有地理標記的圖像數據并選擇最快的路由路線傳回地面站.節點使用存儲轉發機制進行消息傳遞，即無人機大多數時間存儲信息，并攜帶信息移動，在進入其他無人機的通信范圍時通過路由協議判斷是否進行數據傳輸.本文參考已有的混合網絡技術，不僅利用高通量鏈接來傳輸任務數據(圖片，視頻)，還引入帶外信道來控制無人機行動.與文獻[20，21]功能類似，帶外信道采用XBee-PRO(IEEE 802.15.4)技術(覆蓋半徑長達1.5km，吞吐量小于80kbit/s)，用來傳遞GPS數據、控制消息和無人機信任信息等.高通量信道采用Wi-Fi(IEEE 802.11n)技術，用于傳遞視頻或圖像數據(Wi-Fi通信范圍為200-300m，UDP通量為80-100Mbit/s，為了防止和XBee-PRO干擾，Wi-Fi頻率可以與XBee-PRO設置不同的頻率).

除此之外，無人機的移動可以描述為一個線性的移動模型，無人機的移動方向是確定的，其速度在給定的范圍內具有隨機性.無人機節點的模型較為復雜，不同無人機具有不同的航線、速度、監視能力(即觀察證據的錯誤率)、協作能力、惡意行為概率如下：

1)航線：無人機節點的航線在任務分配時已經確定，每個節點按照給定的 航線進行偵察.特殊情況下，無人機航線會根據環境變化進行重規劃.

2)速度：由于空中環境的影響(如風力因素)，現實中無人機節點的速度是不確定的，本文中節點的實時速度在給定的速度范圍U[v，v′]內隨機取值.

3)監視能力(Ppe，Pne)：節點的監視能力指的是形容節點的監視錯誤率，即無人機節點可能會因為自身原因給出錯誤的證據.節點的監視錯誤率在(0，Pd]之間取值，其中0≤pd<1.

4)行為概率：無人機節點中加入惡意行為的觸發概率，代表其惡意程度.其中Pt表示丟棄報文的概率，Pi表示其身份攻擊的概率，Pm表示其篡改任務報文的概率.本文通過行為概率在[0，1]范圍內取值來對無人機節點進行建模.節點中行為概率都為0的節點代表優良節點，否則具有惡意性.

3.2 攻擊模型

無人機群之中存在一些惡意節點對無人機網絡進行破壞，影響任務執行，UAVNpro模型中主要考慮了以下攻擊行為：

1)身份攻擊：本文協議要求節點在給出證據時要在證據上簽署自己的ID作為身份識別.但是攻擊者可能為了隱藏身份而插入虛假ID，如果攻擊成功，此攻擊者的惡意行為將會被解釋為另一個節點的惡意行為，從而引起不準確的信任評估.本文對身份攻擊的識別在4.2.3節敘述.

2)假證據攻擊：攻擊節點向優良節點提供負面證據或者向惡意節點提供正面證據，導致優良節點的信任值降低，惡意節點的信任值提高，這嚴重影響信任評估的準確性.本文對假證據攻擊的識別在4.2.3節敘述.

3)信息篡改：信息篡改攻擊主要分為兩種，對報文的篡改攻擊和對證據的篡改攻擊.其中報文篡改攻擊通過篡改任務報文來影響任務執行結果，給用戶造成無法彌補的損失.本文對報文篡改攻擊的識別在4.2.2節敘述.證據篡改攻擊發生在證據收集的階段，惡意節點通過篡改前驅節點已經插入的證據形成假證據，從而在影響系統評估準確性的同時隱藏自身身份.本文對證據篡改攻擊的識別在4.1節敘述.

4)黑洞攻擊：惡意節點將收到的報文丟棄不轉發，造成傳輸空洞，影響任務正常執行.

5)灰洞攻擊：此類攻擊是黑洞攻擊的改進，若攻擊者將收到的報文全部丟棄，利用網絡的冗余性就能很快發現評估者并將其隔離.但如果攻擊者選擇性丟棄報文，因為無人機自組織網絡拓撲結構的動態性，部分丟包是正常的，這樣可以降低鄰居節點對攻擊者的懷疑，使得攻擊者可以繼續對網絡進行破壞.本文對黑洞/灰洞攻擊的識別在4.2.1節敘述.

6)注包攻擊：攻擊節點通過給網絡注入大量數據包來產生額外通信開銷，消耗其他節點能量，減少網絡壽命并引起網絡癱瘓.本文對注包攻擊的識別在4.2.1節敘述.

在攻擊觸發階段每個節點會根據自身的攻擊模型進行行為選擇，圖1結合本文中所考慮的攻擊情形描述了每個節點的行為路線.攻擊模型中為每種攻擊行為都設定有觸發概率，惡意節點會因觸發概率的不同而表現出不同的惡意程度，它們會以隨機攻擊的方式來逃避檢測，本文在第五節通過實驗分析了模型對不同惡意程度節點的檢測率.在安全檢查階段，報文攜帶節點會對其他節點進行行為檢查，生成觀測證據并嵌入報文之中.惡意節點會以一定的概率生成假證據來影響信任評估，合法節點也有幾率因為觀測失誤生成假證據，兩種行為以一定閾值作為區分.

圖1 無人機節點攻擊行為圖Fig.1 UAV attack scenarios graph

4 起源信息感知的信任評估模型

在無人機網絡中，由于節點之間的接觸時間短，節點無法在相遇時正確監視鄰居節點，尤其是無法監測鄰居節點攜帶的報文是否被轉發.因此本文提出了一種起源信息感知的信任評估模型用于無人機自組織網絡中的安全路由(UAVNpro)，根據起源信息生成觀測證據，并以此來進行信任評估.UAVNpro對節點信任的計算都是基于證據的，證據存在于其整個生命周期之中.由于DTN網絡間歇性連接的特點，節點之間接觸時間過短可能存在誤判.根據節點的行為可以將證據分為兩類：1)正面證據：指觀察到節點的正面行為，進行積極推薦，但不排除有假陽性.2)負面證據：觀察到節點的負面行為，不排除有假陰性.系統會識別出故意產生虛假證據的惡意節點并給予信任懲罰.本文模型不允許節點生成指向自身的證據進行進自我推薦，后繼節點在收到報文后會對前驅節點插入的證據進行檢查.

為了防止外部設備對網絡數據的監聽，本文無人機網絡的通訊采用密文通訊，對通訊數據采用公鑰密碼進行加密.在公鑰加密技術里，每一個使用者有一對密鑰：一把公鑰和一把私鑰.公鑰可以自由發布，但私鑰則秘密保存.在任務開始時，每架無人機都存儲有整個無人機網絡中其他節點的公鑰，兩個節點通訊時發送方使用接收方的公鑰對數據進行加密處理，收到數據后接收方使用自己的私鑰進行解密.私鑰的私密性可以保護整個無人機網絡抵御外部攻擊.

針對系統內部攻擊，本節從證據傳輸、攻擊識別和信任評估由三個方面對UAVNpro進行了描述.4.1節講述了整個系統如何對網絡中的證據進行收集.4.2節講述了如何對無人機網絡中節點的惡意行為進行識別并生成負面證據.4.3節講述了地面站如何根據收集到的證據對各個節點進行信任評估.為了便于參考，表1匯總了所有使用的符號及其含義.

4.1 證據收集

每個報文節點在任務執行期間都會產生對其他節點的觀察證據Ob，在報文轉發期間將Ob插入報文之中一并轉發.報文結構如式(1)所示，MT表示傳輸報文，即節點之間存儲轉發的報文.MM表示任務報文，Obi表示MT傳輸過程途徑節點i收集的觀察證據，內嵌于傳輸報文之中伴隨任務報文進行傳遞.MT表示傳輸報文，是一個由MM打頭的順序隊列，在傳遞的過程中報文攜帶節點依次將其生成的MM插入隊尾.本文設定Ob由一個三元組(idc，t，E)組成.idc表示證據產生節點的id，t代表證據的生成時間，E表示該節點在報文攜帶期間基于該報文所收集到的證據集.E中的每條證據都是由一個二元組(idt，ev)組成，其中idt表示該證據指向的目標節點，ev表示證據內容.

MT=(MM，Ob1，Ob2，…，Obm，)
Ob=(idc，t，E)
E={(idt，ev)|Observationevidenceevofidc}

(1)

表1 符號說明Table 1 Symbolic explanation

通常，每個中繼節點向報文中添加元數據可能會導致報文數據量過大的問題，但在UAVNpro協議中，每個節點在報文攜帶期間觀察范圍有限，且每條Ob的數據量很小，因此由于添加證據所帶來的通訊開銷相比系統本身的任務開銷可忽略不計.而在路由層次，本文利用信任閾值來過濾不可信的中繼節點以縮短路徑長度，在一定程度上為系統節約了能耗.如果存在攻擊者添加多個偽造證據導致報文大小超出正常范圍，該消息將被檢測為異常，并被合法節點拋棄.

為了防止插入的Ob被篡改，本文采用數字簽名對Ob進行簽名認證.與公鑰密碼相反，Ob的生成者使用私鑰對Ob進行加密，后續的驗證者使用生成者的公鑰進行解密.如若存在惡意節點對生成者插入的Ob進行了更改，因為其無法使用生成者的私鑰對修改后的Ob進行重新加密，所以該行為很快會被后面的驗證者發現，這樣保證了證據在可讀的前提下任何對數據的更改都是可被檢測的.

Ob的生成與驗證過程如圖2所示.為防止惡意節點對Ob進行篡改，生成者將Ob用哈希函數進行散列得到散列碼.接著使用自身的私鑰對其加密作為簽名，最后將簽名與Ob進行組合，插入到傳輸報文之中.為防止網絡外部攻擊，生成者在路由發送時使用接收者的公鑰對傳輸報文進行二次加密.而接收者收到報文時，需先用自身私鑰進行解密才能得到傳輸報文.接收者在進行簽名驗證時，從傳輸報文中取出前驅節點插入的Ob與其對應的簽名，并對其分別進行哈希與解密處理得到散列值.最后接受者將兩個散列值進行比對，若比對無誤，則證明Ob沒有沒修改.

除非攻擊者從Ob生成者那里竊取到其私鑰，否則Ob無法被篡改.攻擊者之間可以串通交換自身私鑰，這樣Ob的修改僅會發生在攻擊者之間，而對整體攻擊行為沒有影響.如果UC發現Ob的加密散列值使用生成者的公鑰無法解密，那么則認定PUC發生了篡改攻擊.UC首先會將被篡改的Ob從傳輸報文中刪除，然后將觀察到PUC發生篡改攻擊的證據加入到其正在生成的Ob中.因此，智能的攻擊者多數會遵循Ob秘鑰協議來獲取信任，但是使用Ob密鑰協議并不能保證每個UC都能夠提供正確的Ob，因為受損的UC可能無法插入Ob或者會生成錯誤的Ob.

圖2 Ob的生成與驗證過程Fig.2 Generation and verification process of Ob

4.2 攻擊檢測

本節描述了如何對網絡中惡意節點的攻擊行為進行有效的判斷.其中4.2.1節描述了根據交互記錄識別節點的丟包行為.4.2.2節描述了根據起源信息和數字簽名技術驗證報文是否被篡改.4.2.3節描述了針對惡意節點的假身份、假證據攻擊進行識別.

4.2.1 丟包與注包攻擊

檢驗網絡中的丟包攻擊，最直觀的方法就是根據節點的丟包率進行判斷.但由于惡意節點可能具備欺騙性，無法要求其給出自身真實的丟包率.本文提出了一種基于交互記錄(Interactive Record，IR)的丟包攻擊識別方法，設定無人機節點每次完成報文傳輸之后將生成IR對這次交互進行記錄.在路由決策時可通過檢驗目標節點IR計算其丟包率.因為本文中IR不可偽造的特性，計算出的丟包率接近真實值.

造成網絡丟包的原因有很多，特別是對于無人機網絡，網絡擁塞、鏈路質量問題和節點的惡意行為都會導致網絡丟包.而惡意行為根據其丟包率的不同分為灰洞攻擊和黑洞攻擊.為了對以上行為進行區分，本文設定了丟包概率閾值PT，丟包率小于PT的節點，被視為網絡原因導致的丟包，不納入觀察范圍.丟包率大于PT且小于1的節點則被視為是具有灰洞攻擊行為的惡意節點.

IR的結構如式(2)所示，在此使用無人機節點i和j作為示例來說明IR構造過程.

(2)

IRi，j表示簽名前的交互記錄，其中包含有兩個節點的身份信息idi，idj和IR序號ci，cj.每個無人機節點都擁有一個序列號c作為IR的序號，c在任務開始時被置為1并在每次交互之后遞增.t表示IRi，j的生成時間.ni→j表示這次交互中i向j發送的報文數，nsi表示在這些報文中i產生的報文數.nj→i表示j向i發送的報文數，nsj表示在這些報文中j產生的報文數.

(3)

可能存在一些惡意節點通過自己生成的報文來掩蓋被其丟棄的任務報文，以此來逃避檢查.本文檢測節點生成報文在發送報文中的占比，節點的自報文轉發率β的計算公式如(4)所示.若β>SPT表示該節點更傾向于發送自己產生的報文，且存在丟包攻擊或注包攻擊的風險.

(4)

算法1.節點丟包或注包攻擊檢查方法

輸入:目標檢測節點UT

輸出:UC的IR驗證結果

1.IRList?getIRList(UT); //從UT獲取IR列表

2. //若UT給出的IR序列存在缺失或重復

3.if! IsInOrder(IRList)then

4. Reject(UT) ?拒絕發送并生成證據

5.else

6. //若存在IR的數字簽名未驗證通過

7.if!IRSignCheck (IRList)then

8. Reject(UT) ?拒絕發送生成證據

9.else

10. //根據公式(3)計算UT丟包率

11.α?formula(3);

12.ifα>PTthen

13. Reject(UT) ?拒絕發送并生成證據

14.else

15. //根據公式(4)計算UT轉發率

16.β?formula(4);

17.ifβ>SPTthen

18. Reject(UT) ?拒絕發送并生成證據

19.else

20. CheckPass(UT); ?驗證通過

21.endif

22.endif

23.endif

24.endif

交互記錄可非常直觀的反應網絡內節點的歷史報文收發狀況，基于該信息報文攜帶節點可獨立的檢測惡意節點，并生成相應證據給予惡意節點直接的信任懲罰.數字簽名的引入使得該方案具有較強的安全性和準確性.傳輸開始前的IR驗證階段和傳輸結束后新IR的生成階段都伴隨有節點之間的數據交互.但IR的大小遠小于任務報文，由IR交互所造成系統能耗增加微乎其微.此外在多副本的路由協議下，通過檢測并從網絡中排除惡意節點，可以使得任務報文盡快抵達目的節點，不但提升系統傳遞速率而且間接為系統節省能耗.

4.2.2 篡改攻擊

本文中篡改攻擊主要分為對任務報文MM的篡改攻擊和對觀測證據Ob的篡改攻擊兩種，對Ob的篡改攻擊檢測已經在4.1節進行敘述，本節主要講述對MM的篡改攻擊.

在報文傳輸途中，惡意節點可能會對MM進行篡改使得地面站收集到虛假的消息影響任務執行.當節點UC收到PUC轉發的報文時，采用算法2進行任務報文篡改檢查.

算法2.報文篡改攻擊檢查方法

輸入：前驅節點PUC轉發的報文MT

輸出：報文篡改攻擊檢測結果

1. //檢查接收到的任務報文是否被篡改

2. //從傳輸報文中分離出任務報文

3.takeMMfromMT

4.//驗證任務報文的數字簽名

5.ifMMSignChekPass(MT)then

6. Receive(MT); ?校驗通過，接收報文

7.else//數字簽名校驗未通過，任務報文被篡改

8. genNEvid(PUC); ?生成前驅節點負面證據

9. //刪除被篡改的任務報文，節約系統能耗

10. removeMMfromMT

11. Receive(MT); ?接收證據信息，供信任評估

12.endif

4.2.3 虛假證據

智能的惡意節點可能會給出虛假的Ob來影響系統信任評估的結果，其攻擊方式主要分為身份攻擊和假證據兩種.

對于身份攻擊，本文設定轉發節點在從上一跳節點處收到報文之后需對報文進行拆箱檢查，驗證報文中上一跳節點插入Ob的id與其真實id相同.否則認定為身份攻擊，將該條證據加入自身Ob中.地面站在信任評估時會判定身份攻擊節點所插入的Ob無效.

對于假證據檢測，地面站將結合證據生成節點的信任值和證據指向節點的歷史行為進行綜合判斷，若證據生成節點的信任值較低而其指向節點的歷史行為無異常，則該條證據會被認定為假證據.對于發生誤報的節點地面站會進行統計，若誤報率大于誤報閾值PA會被判定為假證據攻擊.反之則認為是由于觀測失誤而導致的證據誤報.

由于UAVNpro中的信任評估是基于證據而進行的，證據的準確性與安全性就尤其重要.本文首先根據節點的誤報概率對節點的觀測失誤和惡意攻擊予以區分，確保了證據生成時的準確性，接著利用安全簽名對證據進行簽名認證，保證了證據的傳輸安全.通過以上方法，在確保了信任評估正確性的同時提高了系統的魯棒性.

4.3 信任評估

無人機網絡各個節點在收到報文后和發送報文前都會進行安全檢查.其中篡改攻擊和身份攻擊在收到報文后進行檢查，以此保證傳輸報文的正確性.丟包攻擊和注包攻擊在報文轉發之前對鄰居節點進行檢查，以確保報文在未來不會被丟棄.假證據攻擊在地面站接收報文之后進行檢查，以確保系統信任評估的準確性.對于每項檢查若通過，檢查節點將會生成一條目標節點的正面證據，否則生成一條負面證據.這些證據將與報文一起抵達地面站成為信任評估的依據.

地面站從傳輸報文中獲取證據，并對各個節點的證據數進行統計.對于節點j，設tj表示報文中指向j的正面證據數，fj表示報文中指向j的負面證據數，t′j表示指向j的歷史正面證據總數，f′j表示指向j的歷史負面證據總數.對等信任估計遵循基于正面證據量和負面證據量的貝葉斯更新[21]，節點j的信任值計算公式如式(5)所示.

(5)

網絡每個節點都存有一張描述全網所有節點信任值的信任表TrustTable，地面站在信任評估后利用帶外信道將該表給廣播全網所有節點，全網節點隨即進行更新.該表是網絡節點進行安全路由的依據.無人機基于TrustTable進行路由的過程如算法3所示.

算法3.基于信任的路由轉發算法

輸入：前驅節點PUC轉發的報文MT

輸出：路由決策結果

1.//無人機節點UC收到報文MT后的處理流程

2.//從傳輸報文中分離出PUB插入的證據

3.takeObfromMT

4.//若algorithm2 和Ob簽名驗證通過

5.ifalgorithm2Check (MT)andObSignCheck (Ob) pass

6.thengenPEvid(PUC); ?生成前驅節點正面證據

7.do

8. //根據路由協議獲取下一跳節點

9.ifhasRoutingPaththen

10. n?routingProtocol();

11.else

12. carryMessage(MT) ?攜帶報文

13.endif

14. //調用算法1和參考信任表對節點n進行檢查

15.while!algorithm1Check (n)orTrustTable(n)

16. genPEvid(n) ?生成節點n正面證據

17. SendMessage(n) ?發送報文

18.endif

5 仿真實驗及其實驗結果分析

5.1 實驗場景及參數設置

為了驗證本文模型的有效性，基于ONE(Opportunistic Networking Environment)仿真器構建仿真平臺[22]，在真實的任務環境下，建立800m×800m的仿真場景，13架無人機按照設定的航線對任務區域進行覆蓋偵察，無人機自組網采用DTN路由協議進行數據傳輸.實驗方案是對PROVEST和UAVNpro兩種模型在不同路由協議、不同節點密度、不同惡意行為概率下進行性能分析.

圖3 基于One的仿真平臺Fig.3 Simulation platform based on One

本文在Epidemic(多副本)和DTNgeo[20](單副本)路由協議基礎上進行模擬實驗，在節點中隨機選擇10%，20%和30%的惡意節點獨立的攻擊系統，惡意行為概率從0.4-1遞增，對兩種安全模型的檢測率、投遞率和系統能耗進行比較分析，最終的呈現結果是10次實驗結果的平均.實驗仿真場景如圖3所示，實驗的有關參數如表2所示.

表2 實驗參數Table 2 Experimental parameters

5.2 實驗結果與分析

5.2.1 檢測率

檢測率表示檢測到惡意節點數與網絡中惡意節點數的比值，是衡量模型對惡意行為的敏感性重要參數.本文在惡意節點密度一定的情況下分別基于Epidemic和DTNgeo協議研究了UAVNpro的檢測率與惡意行為概率、惡意節點密度的關系.實驗結果如圖4所示，惡意行為概率代表惡意節點的攻擊強度，隨著攻擊強度的增加，UAVNpro對惡意節點的檢測率也隨之增加.UAVNpro與多副本和單副本路由協議都具有良好的兼容性.對于具有高攻擊強度的惡意節點，UAVNpro具有高達96%的檢測率.對于低攻擊強度的惡意節點，UAVNpro在多副本協議上的表現不如單副本，但當模擬時間足夠長時，UAVNpro依舊能對其準確識別.在同一路由協議下，隨著惡意節點密度的增加識別率逐漸下降.因為惡意節點增多影響到了地面站證據的收集，導致信任評估不夠準確.在網絡內存在30%的惡意節點的時候，UAVNpro的識別率也能達到80%.

圖4 UAVNpro對惡意節點的檢測率Fig.4 UAVNpro detection rate

5.2.2 投遞率

投遞率表示成功傳輸的報文與生成的報文總量的比值，是衡量網絡性能最重要的參數.系統的投遞率受路由協議、丟包攻擊、篡改攻擊的影響較大，本文使用不同的惡意節點密度研究了投遞率與攻擊強度的關系.對比算法設置了不考慮安全的原始路由協議Epidemic和DTNgeo，以及分別了結合PROVEST和UAVNpro模型的路由協議.

圖5 惡意節點密度20%時的報文投遞率Fig.5 Delivery rate when the density of malicious nodes is 20%

DTNgeo路由協議下的仿真結果如圖5所示，可以看出UAVNpro在DTNgeo下表現較為理想，可實現高達90%的投遞率.結合檢測率實驗可分析出UAVNpro在多副本協議下對網絡中惡意行為較為敏感，對高攻擊強度節點和低攻擊強度節點都有良好的識別度.Epidemic協議下UAVNpro識別惡意節點所用的時間有所增長，投遞率為85%，相比DTNgeo稍有下降.因為多副本協議中被篡改的報文經過節點的復制轉發最終會在網絡中泛濫，影響系統投遞率.

相比UAVNpro，PROVEST性能稍遜，因為其無法抵御丟包攻擊，對于篡改攻擊僅根據節點的歷史信任對當前行為做出判斷，容易出現錯判誤判.PROVEST在僅存在丟包攻擊和報文篡改攻擊的網絡中無法識別出惡意節點，在混合多種攻擊的網絡中識別速度和準確性較低.PROVEST的性能受網絡中惡意節點密度影響較大，當節點密度為0.2時，能夠識別行為概率接近0.7的惡意性較強的節點.

5.2.3 系統能耗

無人機的能源受限，是由其移動性決定的.由于尺寸和重量受到約束，無人機在處理能力、內存容量、網絡連接和電池容量等方面受到限制.系統能耗指的是系統在任務期間的能量消耗，與系統報文中繼數密切相關.本文在惡意節點密度一定的情況下使用不同的路由協議研究了報文中繼數與惡意節點攻擊強度的關系.實驗結果如圖6、圖7所示，x軸表示惡意節點攻擊強度，y軸表示報文中繼數.

圖6 惡意節點密度20%時的網絡中繼數Fig.6 Hop count when the density of malicious nodes is 20%

如圖6所示，對于單副本路由協議DTNgeo，因為全網只存在一個報文副本，若該副本被惡意節點篡改或丟棄，系統的投遞率也將會直接受到影響.單副本協議中丟包攻擊在丟棄網絡報文后變相減少了網絡報文的中繼數，但這種以付出投遞率乃至任務成功率所換來的系統能耗減少并不是我們所希望的.UAVNpro和PROVEST在高攻擊強度下的中繼數相近，但在攻擊強度較低時，UAVNpro相比PROVEST耗能更低.

如圖7所示，對于多副本路由協議Epidemic，注包攻擊和篡改攻擊會導致報文中繼數急劇增加，大幅度提升系統能耗.與純的Epidemic相比，UAVNpro始終保持相對少量的報文中繼數，通過識別網絡中的惡意節點，UAVNpro很好的遏制了虛假報文的轉發，節省了系統能量.當系統中存在20%的攻擊者時，UAVNpro為系統節省了約25.6%的能量.PROVEST因為攻擊識別方式的原因在攻擊強度較低時無法有效識別惡意節點，導致系統能耗較高.

圖7 惡意節點密度20%時的網絡中繼數Fig.7 Hop count when the density of malicious nodes is 20%

6 總 結

現有的無人機網絡安全路由模型能量消耗大且安全性不高，本文針對無人機自組織網絡中的安全問題，提出了一種起源信息感知的無人機信任評估模型UAVNpro，利用每個中間消息載體添加的觀察信息作為消息轉發過程中的證據來評估節點的信任.本文考慮了多種惡意攻擊行為，并設計了相對應的檢測方法生成觀測證據.利用數字簽名將證據嵌入到任務報文載體進行證據的收集，在提升系統安全性的同時降低了系統能耗.實驗結果表明UAVNpro不但有效保證了無人機協同任務期間的任務質量，而且對不同的路由協議都具有良好的兼容性.隨著惡意節點攻擊強度增大，UAVNpro的投遞率和對惡意節點的識別率顯著提高，尤其惡意節點密度較大時UAVNpro也能保持較高的識別效率.因此在絕大多數情況下，本文提出的模型優于現有的PROVEST模型.