面向無人機自組網(wǎng)的路由消息完整性保護方法

郭晶晶 高華敏 劉志全 王立波 張興隆

摘要：安全性是無人機自組網(wǎng)路由協(xié)議面臨的重要挑戰(zhàn)之一。針對現(xiàn)有工作對分級路由協(xié)議中拓撲構(gòu)建消息安全性防護的不足，本文針對分級無人機自組網(wǎng)的路由協(xié)議提出了一種拓撲構(gòu)建消息的安全保護方案，該方案可以保證分級無人機自組網(wǎng)在拓撲建立過程中節(jié)點間交互消息的完整性，從而避免完整性遭到破壞的信息被用于網(wǎng)絡(luò)拓撲構(gòu)建以及創(chuàng)建路由的過程中，提高路由協(xié)議的健壯性與可靠性。針對拓撲消息中的靜態(tài)信息提出了基于聯(lián)盟區(qū)塊鏈的完整性驗證方法，減少了整個方案的計算與傳輸開銷。通過對所提方案進行安全性分析，證明了該方案能夠有效抵御拓撲消息傳輸過程中的假冒攻擊和消息篡改攻擊。最后，通過仿真試驗分析了該方案在不同無人機自組網(wǎng)路由協(xié)議中的性能。試驗結(jié)果表明，該方案的時間開銷小于100ms，內(nèi)存開銷小于路由總開銷的35%。

關(guān)鍵詞：無人機自組網(wǎng)；分級路由協(xié)議；完整性保護；網(wǎng)絡(luò)安全

中圖分類號：TP393文獻標識碼：ADOI：10.19452/j.issn1007-5453.2022.04.005

基金項目：國家自然科學(xué)基金（62032025，62102167）；航空科學(xué)基金（20185881015）

無人機自組織網(wǎng)絡(luò)（UAV Ad-hoc Networks， UANETs）是移動自組織網(wǎng)絡(luò)（Mobile Ad-hoc Network， MANET）在無人機領(lǐng)域的典型應(yīng)用之一。因具有自組織、移動性、拓撲動態(tài)性和抗毀性強等特點，無人機自組織網(wǎng)絡(luò)目前在軍用和民用領(lǐng)域都具有廣泛的應(yīng)用[1]，如地質(zhì)勘測、搶險救災(zāi)、區(qū)域偵察[2]和無人集群協(xié)同作戰(zhàn)[3]等。無人機自組織網(wǎng)絡(luò)的拓撲結(jié)構(gòu)主要分為平面網(wǎng)絡(luò)結(jié)構(gòu)與分級網(wǎng)絡(luò)結(jié)構(gòu)，分級網(wǎng)絡(luò)結(jié)構(gòu)更適合于規(guī)模中等及以上的無人機自組織網(wǎng)絡(luò)。在分級網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)節(jié)點被分為若干個簇，每個簇擁有一個簇頭節(jié)點和若干個簇成員節(jié)點，其中簇頭節(jié)點負責(zé)管理簇內(nèi)的其他節(jié)點并與其他簇的簇頭節(jié)點通信，簇成員節(jié)點需要與其他節(jié)點通信時，首先將消息發(fā)送給其簇頭，再由簇頭將消息轉(zhuǎn)發(fā)至目的節(jié)點。

因為開放的無線通信環(huán)境，靈活多變的協(xié)作模式，無人機自組網(wǎng)在構(gòu)建拓撲與建立路由過程中容易遭受內(nèi)、外部攻擊。在網(wǎng)絡(luò)拓撲構(gòu)建過程中，無人機自組網(wǎng)主要面臨的安全威脅包括篡改攻擊、假冒攻擊等，若拓撲構(gòu)建消息的完整性遭到破壞，將導(dǎo)致錯誤的數(shù)據(jù)被用于網(wǎng)絡(luò)拓撲構(gòu)建，形成無效或低效拓撲結(jié)構(gòu)?，F(xiàn)有的無人機自組網(wǎng)安全性保護的相關(guān)工作主要集中于網(wǎng)絡(luò)拓撲建立后節(jié)點間傳輸消息時的身份合法性驗證、消息機密性保護、消息完整性保護、惡意節(jié)點檢測[4]等領(lǐng)域，缺乏針對網(wǎng)絡(luò)拓撲建立過程中的消息安全性保護機制，現(xiàn)有少量針對拓撲消息的安全防護方案均適用于平面網(wǎng)絡(luò)結(jié)構(gòu)的無人機自組網(wǎng)[5-9]，無法直接應(yīng)用于分級網(wǎng)絡(luò)結(jié)構(gòu)。

針對這一問題，本文提出了一種無人機自組織網(wǎng)絡(luò)分級路由協(xié)議中的路由消息安全性保護方案。在該方案可以保證分級網(wǎng)絡(luò)結(jié)構(gòu)的無人機自組網(wǎng)在拓撲建立過程中節(jié)點間交互消息的完整性，從而避免完整性遭到破壞的信息被用于網(wǎng)絡(luò)拓撲構(gòu)建以及創(chuàng)建路由的過程中，提高路由協(xié)議的健壯性與可靠性。

本文工作的創(chuàng)新之處主要包括以下三點：（1）針對無人機自組織網(wǎng)絡(luò)分級路由協(xié)議提出了拓撲構(gòu)建消息的完整性保護方案，該方案可以避免完整性遭到破壞的信息被用于網(wǎng)絡(luò)拓撲構(gòu)建以及創(chuàng)建路由的過程中，提高路由協(xié)議的健壯性與可靠性。（2）為了減少所提方案對整個網(wǎng)絡(luò)性能的影響，針對拓撲消息中的靜態(tài)信息提出了基于聯(lián)盟區(qū)塊鏈的完整性保護方案，減少了整個方案的計算與傳輸開銷。（3）針對所提方案進行了安全性分析，結(jié)果表明所提方案可以有效抵御完整性破壞攻擊（假冒攻擊和消息篡改攻擊），通過仿真試驗驗證了所提方案不會對原有路由協(xié)議造成嚴重的額外資源開銷。

1研究現(xiàn)狀

隨著無人機自組網(wǎng)的應(yīng)用越來越廣泛，國內(nèi)外學(xué)者已經(jīng)提出了大量的無人機自組網(wǎng)路由協(xié)議，然而目前針對路由協(xié)議的安全保護機制的研究較少，若無法保證路由建立過程中信息的完整性，惡意信息有可能被用于建立網(wǎng)絡(luò)拓撲以及路由路徑過程中，從而導(dǎo)致網(wǎng)絡(luò)拓撲不穩(wěn)定、路由效率低下等問題，為網(wǎng)絡(luò)性能帶來極大的負面影響。

1.1無人機自組網(wǎng)路由協(xié)議

從網(wǎng)絡(luò)拓撲結(jié)構(gòu)角度出發(fā)，無人機自組網(wǎng)的路由協(xié)議主要可以分為不分級路由協(xié)議和分級路由協(xié)議。其中，不分級的路由協(xié)議適用于平面網(wǎng)絡(luò)結(jié)構(gòu)，在網(wǎng)絡(luò)中所有節(jié)點地位平等，都具有轉(zhuǎn)發(fā)與路由的功能，現(xiàn)有的經(jīng)典協(xié)議包括按需距離矢量路由（ad-hoc on-demand distance vector， AODV）[10]、最優(yōu)鏈路狀態(tài)路由協(xié)議（optimized link state routing protocol， OLSR）[11]、動態(tài)源路由協(xié)議（dynamic state routing， DSR）[12]、地理位置路由協(xié)議GPSR、基于地理位置綜合選擇下一跳的航空自組網(wǎng)安全路由算法（secure geographic information routing protocol，SGRP）[13]等。然而在復(fù)雜任務(wù)情境下，隨著無人機自組網(wǎng)中無人機節(jié)點數(shù)量的增加，為了均衡無人機節(jié)點負載、提高網(wǎng)絡(luò)的穩(wěn)定性，分級路由協(xié)議成為了研究的熱點。現(xiàn)有的經(jīng)典分級路由協(xié)議主要包括：以網(wǎng)絡(luò)節(jié)點唯一標識符ID號為因子的LowestID分簇算法[14]；考慮節(jié)點移動因素的基于移動性預(yù)測的分簇算法（mobility based metric for clustering， MOBICI）[15]；旨在優(yōu)化能源消耗的分簇算法（imperialist competitive algorithm，ICA）[16]；基于權(quán)重的分簇算法（weighted clustering algorithm，WCA）[17]以節(jié)點的能量、節(jié)點度、節(jié)點間的距離和節(jié)點的移動速度作為節(jié)點競選簇頭的衡量標準，對網(wǎng)絡(luò)進行分簇，實現(xiàn)網(wǎng)絡(luò)的分級管理；基于可靠性的分簇算法（dependability-based clustering algorithm，DCA）[18]以節(jié)點能量、鏈路保持率、節(jié)點度和通信量為因子劃分簇網(wǎng)絡(luò)，分別以增強拓撲穩(wěn)定性、節(jié)約能量、提高服務(wù)質(zhì)量為目標調(diào)整分簇過程中各因子的比重，最大程度實現(xiàn)網(wǎng)絡(luò)拓撲穩(wěn)定、減少能量消耗或提高網(wǎng)絡(luò)服務(wù)質(zhì)量。上述分級路由協(xié)議中，路由的形成均建立在構(gòu)建網(wǎng)絡(luò)分級拓撲結(jié)構(gòu)的基礎(chǔ)上，即完成網(wǎng)絡(luò)節(jié)點的分簇。

1.2無人機自組網(wǎng)路由安全保護機制

與有線網(wǎng)絡(luò)相比，通過無線介質(zhì)通信的無人機網(wǎng)絡(luò)更容易受到攻擊，攻擊者可能通過竊聽網(wǎng)絡(luò)層的控制信息發(fā)起一系列惡意行為擾亂路由機制[5]。暴露在易受攻擊的無線環(huán)境下，無線自組網(wǎng)的網(wǎng)絡(luò)信息安全傳輸必須滿足數(shù)據(jù)通信的安全和路由協(xié)議的安全兩個方面[6]。當(dāng)前，有學(xué)者提出了一些保護無人機自組網(wǎng)路由協(xié)議的方案。Manel針對AODV協(xié)議提出了安全增強方法（secure ad hoc ondemand distance vector， SAODV）[6]，用來保護路由發(fā)現(xiàn)階段信息與路由錯誤信息的安全性。Jean-Aimé等提出了SUAP[7-9，19]安全協(xié)議，該方案結(jié)合哈希鏈與公鑰密碼機制抵御數(shù)據(jù)通信過程中的蟲洞攻擊，從而實現(xiàn)對AODV協(xié)議的安全性保護。這些方案均針對非分級路由協(xié)議提出，無法直接應(yīng)用于分級路由協(xié)議中。通過調(diào)研，我們發(fā)現(xiàn)目前針對分級路由協(xié)議的安全保護機制的研究較少，亟須設(shè)計一種高效、輕量級的分層路由協(xié)議安全保護機制，保證在構(gòu)建網(wǎng)絡(luò)拓撲結(jié)構(gòu)過程中節(jié)點間傳輸?shù)耐負錁?gòu)建信息的完整性，避免因惡意攻擊或故障導(dǎo)致錯誤信息被用于拓撲構(gòu)建過程，形成低效或無效拓撲，對上層服務(wù)產(chǎn)生負面影響。

在數(shù)據(jù)完整性保護方面，除了利用哈希函數(shù)與數(shù)字簽名技術(shù)，區(qū)塊鏈因其可追溯、不可篡改的特點也越來越多地被用于保護信息的完整性。參考文獻[20]提出了一種基于區(qū)塊鏈的無線傳感器感知數(shù)據(jù)記錄系統(tǒng)，保護敏感數(shù)據(jù)不被篡改，提高無線傳感器網(wǎng)絡(luò)的可靠性。參考文獻[21]提出了一種基于區(qū)塊鏈的云存儲數(shù)據(jù)完整性服務(wù)框架，為數(shù)據(jù)所有者和使用者提供可靠的動態(tài)數(shù)據(jù)完整性驗證。

針對當(dāng)前分級無人機自組網(wǎng)路由協(xié)議安全保護機制缺失的問題，本文提出一種無人機自組織網(wǎng)絡(luò)分級路由協(xié)議中的路由消息安全性保護方案。該方案可以保證分級網(wǎng)絡(luò)結(jié)構(gòu)的無人機自組網(wǎng)在拓撲建立過程中節(jié)點間交互消息的完整性。在該方案中，利用區(qū)塊鏈技術(shù)存儲靜態(tài)拓撲消息并驗證和確保其完整性，同時減少所提方案的資源開銷。

2基本理論

在本文所提方案中，用到了基于橢圓曲線加密算法的數(shù)字簽名以及區(qū)塊鏈技術(shù)來實現(xiàn)分級路由協(xié)議中拓撲信息的完整性保護。

2.1橢圓曲線數(shù)字簽名算法

橢圓曲線數(shù)字簽名算法（elliptic curve digital signature algorithm， ECDSA）是使用橢圓曲線密碼（elliptic curve cryptography，ECC）對數(shù)字簽名算法DSA的模擬[22]。該算法主要包括密鑰生成、簽名、驗證簽名三個部分，細節(jié)如下所示。

如果等式（7）成立，則簽名驗證通過，說明消息M的完整性未受到破壞。否則，驗證不通過，說明消息M的完整性遭受破壞。

2.2區(qū)塊鏈技術(shù)

區(qū)塊鏈概念起源于2008年發(fā)布的比特幣白皮書[23]，其本質(zhì)上是一種由多方參與的去中心化數(shù)據(jù)庫，也就是由存儲各參與方交易信息的區(qū)塊結(jié)合哈希鏈算法構(gòu)成的共享賬本[24-25]。從計算機技術(shù)角度看，它融合了分布式存儲、對等網(wǎng)絡(luò)、密碼學(xué)原理、智能合約和共識機制等技術(shù)[26]。區(qū)塊鏈可分為非許可鏈（permissionless blockchain）和許可鏈（permissioned blockchain）兩類。任何參與方都可以隨時加入非許可鏈網(wǎng)絡(luò)并參與計算；在許可鏈網(wǎng)絡(luò)中，每個參與方加入網(wǎng)絡(luò)前都需要經(jīng)過認證授權(quán)，許可鏈進一步可分為私有鏈（fully private blockchain）和聯(lián)盟鏈（consortium block chain）[27]，如hyperledger fabric就是聯(lián)盟鏈的典型實現(xiàn)。

本文將利用聯(lián)盟鏈的特性，設(shè)計路由過程中的靜態(tài)拓撲消息的完整性驗證方案，將各節(jié)點用于拓撲消息中的靜態(tài)數(shù)據(jù)（如節(jié)點身份標識等）及其簽名數(shù)據(jù)存儲于區(qū)塊鏈中，在完整性驗證期間，通過訪問存儲于鏈上的對應(yīng)信息來驗證拓撲消息中的靜態(tài)信息是否遭到完整性破壞，避免多次傳輸與計算這些信息及其簽名數(shù)據(jù)，降低所提方案的計算與通信開銷。

3系統(tǒng)結(jié)構(gòu)與安全目標

本節(jié)我們首先給出所提方案考慮的無人機網(wǎng)絡(luò)架構(gòu)，并對現(xiàn)有無人機自組網(wǎng)分層路由協(xié)議中網(wǎng)絡(luò)拓撲構(gòu)建過程中節(jié)點間的交互消息進行了分析，然后給出了無人機自組網(wǎng)拓撲消息的敵手模型，最后提出了本文的設(shè)計目標。

3.1無人機網(wǎng)絡(luò)架構(gòu)

本文所考慮的無人機自組織網(wǎng)絡(luò)由一個地面站以及若干個無人機節(jié)點組成，所有無人機節(jié)點被劃分為若干個簇，每個簇由一個簇頭及若干個簇內(nèi)節(jié)點組成，簇頭負責(zé)管理簇內(nèi)節(jié)點完成簇內(nèi)通信，所有的簇頭與地面站構(gòu)成無人機自組織網(wǎng)絡(luò)的骨干通信網(wǎng)，負責(zé)完成簇間通信任務(wù)。在以上所述網(wǎng)絡(luò)架構(gòu)上提出的拓撲消息完整性保護框架如圖1所示。

地面站作為可信第三方部署了密鑰管理中心負責(zé)為網(wǎng)絡(luò)中各節(jié)點生成公私鑰對，認證中心（CA）采用PKI（public key infrastructure）架構(gòu)負責(zé)在節(jié)點加入網(wǎng)絡(luò)時為其簽發(fā)證書并對所有證書進行管理。各無人機節(jié)點與地面站共同建立聯(lián)盟區(qū)塊鏈網(wǎng)絡(luò)，與拓撲消息中的靜態(tài)數(shù)據(jù)完整性保護相關(guān)的數(shù)據(jù)將存放在該區(qū)塊鏈中，并可以在靜態(tài)消息完整性驗證時被節(jié)點或地面站訪問。

在現(xiàn)有的無人機自組網(wǎng)分層路由協(xié)議中，拓撲構(gòu)建（簇結(jié)構(gòu)形成）過程中節(jié)點間進行交互的消息可以分為廣播消息與單播消息兩類。

廣播消息主要包括無人機節(jié)點向外發(fā)送的用于鄰居發(fā)現(xiàn)、效用公布、簇頭聲明的消息以及地面控制站向無人機節(jié)點發(fā)送的指令消息。無人機節(jié)點發(fā)送的廣播消息只發(fā)送給其一跳鄰居節(jié)點（單跳），而地面控制消息可能需要無人機節(jié)點的轉(zhuǎn)發(fā)（多跳）從而將指令消息發(fā)送給所有節(jié)點。4種廣播消息的具體介紹如下。

（1）鄰居發(fā)現(xiàn)消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、發(fā)送者基本信息（位置、速度等）、時間戳和隨機數(shù)等。

（2）效用公布消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份及發(fā)送者的效用值（在特定范圍內(nèi)效用值最大的節(jié)點將被選舉為簇頭）、時間戳和隨機數(shù)等。

（3）簇頭聲明消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、簇頭聲明標識、時間戳、隨機數(shù)等。

（4）地面控制消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、指令、指令參數(shù)、時間戳、隨機數(shù)等。

單播消息主要包含簇加入請求消息（節(jié)點請求加入某個簇），簇頭節(jié)點對簇加入請求消息的響應(yīng)，以及節(jié)點向地面控制站發(fā)送指令確認消息。其中，前兩種消息不會被轉(zhuǎn)發(fā)（單跳），而指令確認消息可能需要其他節(jié)點的轉(zhuǎn)發(fā)（多跳），從而將消息從發(fā)送者送達地面控制站。下面對這三種單播消息進行具體介紹：（1）簇加入請求消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、簇頭節(jié)點身份、時間戳、隨機數(shù)等。（2）簇加入請求響應(yīng)消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份（簇頭）、響應(yīng)對象身份（發(fā)起簇加入請求的節(jié)點）、時間戳、隨機數(shù)等。（3）指令確認消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、指令序列號、時間戳、隨機數(shù)等。

綜上所述，分層次的拓撲消息中所包含的數(shù)據(jù)可以分為靜態(tài)消息與動態(tài)消息，靜態(tài)消息表示其內(nèi)容在某節(jié)點發(fā)送的不同拓撲消息中保持不變，如發(fā)送者身份；動態(tài)消息表示其內(nèi)容在同一節(jié)點發(fā)送的不同消息中可能會發(fā)生改變，如鄰居發(fā)現(xiàn)消息中的位置、速度信息，效用公布消息中的效用值，簇加入請求消息中的簇頭節(jié)點身份，以及各個消息中包含的時間戳與隨機數(shù)。

3.2敵手模型

我們假設(shè)攻擊者S可以是未加入網(wǎng)絡(luò)的陌生節(jié)點，或是網(wǎng)絡(luò)內(nèi)部的任意無人機，在網(wǎng)絡(luò)拓撲構(gòu)建過程中地面站是可信的，攻擊者S無法對地面站進行攻擊，但是能夠進行拓撲消息的攔截、竊聽、篡改及重放。

本文中，我們將網(wǎng)絡(luò)拓撲建立過程中地面站、網(wǎng)絡(luò)節(jié)點間發(fā)送的這些消息統(tǒng)稱為拓撲消息。上文所述敵手行為可能會造成拓撲消息在傳輸中受到敵手的篡改、重放等攻擊，導(dǎo)致錯誤的數(shù)據(jù)被用于網(wǎng)絡(luò)拓撲構(gòu)建，形成無效或低效拓撲結(jié)構(gòu)。

3.3安全目標

針對無人機網(wǎng)絡(luò)面臨的以上安全威脅，本文擬設(shè)計一種針對無人機自組網(wǎng)分層路由協(xié)議中拓撲構(gòu)建過程中的拓撲消息完整性保護方案，使得拓撲消息中的信息無法在被篡改或重放后通過消息接收方的驗證，確保消息接收者可以通過所提方案來確認消息是否被篡改或重放；同時，確保所提方案不給原有路由協(xié)議帶來過大資源開銷。

4拓撲消息完整性保護方案

基于上一節(jié)對分層次拓撲消息的分析，我們從不同消息類型的角度出發(fā)分別為靜態(tài)消息與動態(tài)消息設(shè)計完整性保護方案。針對靜態(tài)消息，我們擬利用區(qū)塊鏈的不可篡改性實現(xiàn)完整性保護。此外，我們擬基于公鑰加密體制實現(xiàn)動態(tài)消息的完整性保護。

4.1方案框架

拓撲消息完整性保護流程圖如圖2所示。假設(shè)在無人機自組網(wǎng)建立路由的過程中（包括分簇階段與通信鏈路尋找階段），無人機節(jié)點A向節(jié)點B發(fā)送消息M。為了保護消息M的完整性，節(jié)點A將根據(jù)消息M的具體特點進行不同操作。首先節(jié)點A根據(jù)消息M的類型將消息M所包含的字段劃分為動、靜態(tài)消息兩類，根據(jù)消息M中各字段所屬的類別分別計算每個字段的摘要，其中動態(tài)消息的摘要通過哈希函數(shù)計算得到，靜態(tài)消息摘要可以通過訪問本地存儲表或讀取區(qū)塊鏈數(shù)據(jù)獲得，區(qū)塊鏈的不可篡改特性既保證了靜態(tài)消息的完整性，又避免了重復(fù)計算靜態(tài)消息的摘要，減少了計算與時間開銷；最后，節(jié)點A對消息M及其摘要進行簽名，當(dāng)節(jié)點B收到消息M后，對M進行完整性驗證，在驗證通過后，將基于該消息中的信息進行拓撲構(gòu)建。

4.2完整性保護方案

下文將給出本文所提方案的詳細內(nèi)容。

4.2.1系統(tǒng)初始化

當(dāng)節(jié)點加入無人機自組網(wǎng)時，在CA處完成注冊，KMC為節(jié)點生成密鑰對后，CA為其頒發(fā)證書。所有網(wǎng)絡(luò)節(jié)點構(gòu)建靜態(tài)信息聯(lián)盟區(qū)塊鏈網(wǎng)絡(luò)用于存儲各節(jié)點的拓撲消息中的靜態(tài)信息哈希值（摘要）。節(jié)點上鏈信息的計算方法如算法1所示。當(dāng)節(jié)點靜態(tài)信息摘要記錄于區(qū)塊鏈后，區(qū)塊鏈網(wǎng)絡(luò)中所有客戶端均可以通過將節(jié)點身份標識作為關(guān)鍵字對節(jié)點信息進行檢索與訪問。

4.2.2消息完整性保護

單跳消息的完整性保護方法如算法2所示。消息發(fā)送節(jié)點IDi在發(fā)送消息m前，首先利用哈希函數(shù)H（）計算動態(tài)信息的哈希值，然后利用其私鑰對靜態(tài)消息哈希值與動態(tài)消息哈希值進行簽名（靜態(tài)消息哈希值在初始化階段已計算得到），最后將消息及簽名一同發(fā)送至消息接收方。

算法3給出了多跳消息的完整性保護方法。首先，消息的發(fā)送者IDi根據(jù)算法2中的方案發(fā)送消息，當(dāng)該消息被轉(zhuǎn)發(fā)節(jié)點收到后，轉(zhuǎn)發(fā)節(jié)點首先檢查該消息的完整性，如果該消息通過完整性驗證，那么轉(zhuǎn)發(fā)節(jié)點可以確認該消息的內(nèi)容與發(fā)送者發(fā)送的內(nèi)容一致，未遭受篡改、重放等攻擊；接著轉(zhuǎn)發(fā)節(jié)點將對其增加的靜態(tài)信息與動態(tài)信息分別執(zhí)行哈希運算，最后對靜態(tài)信息與動態(tài)信息的哈希值進行簽名，并按照算法3中第10行的規(guī)則更新消息并轉(zhuǎn)發(fā)消息至下一跳節(jié)點。當(dāng)消息的目的節(jié)點接收到該消息后，將對所收到的消息的完整性進行驗證。若驗證通過，則利用消息中的信息進行拓撲構(gòu)建。消息的完整性驗證方法將在下文詳細介紹。

4.2.3消息完整性驗證

如上文所述，當(dāng)某節(jié)點接收到其他節(jié)點發(fā)來的消息后，首先需要驗證該消息的完整性。算法4詳細給出了消息接收節(jié)點（包括消息目的節(jié)點與轉(zhuǎn)發(fā)節(jié)點）驗證消息完整性的方法。

5安全性分析

5.1手動分析結(jié)果

本節(jié)將分析所提方案針對常見的完整性破壞攻擊的安全性。

5.1.1假冒攻擊

攻擊方式：攻擊者S假冒合法節(jié)點A偽造新消息發(fā)送給節(jié)點B。

5.2自動化分析結(jié)果

Scyther[28]是一種實現(xiàn)安全協(xié)議自動化分析的工具，我們利用Scyther對本文所提方案進行了安全性形式化驗證。

接下來，在通信過程中，每個角色既是發(fā)送方也是接收方。第一輪通信事件中，角色I作為發(fā)送方首先對動態(tài)明文信息、時間戳以及隨機數(shù)計算消息摘要，然后利用I的私鑰SKI對摘要簽名，并執(zhí)行發(fā)送事件send_1（）將消息內(nèi)容與簽名一同發(fā)送給作為接收方的R；接收方R通過接收事件recv_1（）接收來自send_1（）的信息，并利用哈希函數(shù)和發(fā)送方I的公鑰進行摘要計算和簽名驗證，若通過驗證，則角色R作為發(fā)送方對作為接收方的角色I發(fā)起第二輪通信，即執(zhí)行發(fā)送事件send_2（）與接收事件recv_2（）。

最后，根據(jù)本方案對拓撲信息的完整性保護的需求，我們聲明協(xié)議的三個安全屬性：存活性（Alive）：只要角色參與過該協(xié)議即滿足存活性認證，表明角色可能與任一角色或攻擊者通信。非單射一致性（Niagree）：發(fā)送方和接收方的協(xié)議分析結(jié)果中的數(shù)據(jù)變量集合是一致的，若數(shù)據(jù)變量集合不滿足一致性，則說明有攻擊者通過重放攻擊成功誤導(dǎo)兩個參與方主體使得協(xié)議結(jié)束后數(shù)據(jù)變量集合的某些變量值不同。非單射同步（Nisynch）：只關(guān)注發(fā)送和接收事件中消息的內(nèi)容和順序，即保證消息完整性的安全需求。如果攻擊者不篡改消息內(nèi)容僅轉(zhuǎn)發(fā)消息，這種情況在非單射同步聲明中不被認為是攻擊）。安全聲明描述如下。

使用Scyther自動化工具執(zhí)行驗證的結(jié)果顯示，本文的安全協(xié)議在限制范圍內(nèi)沒有找到攻擊，并且通信雙方的安全屬性聲明（alive， niagree， nisynch）全部滿足。證明了通信雙方（I，R）基于本方案的通信和認證過程是安全的。

6試驗仿真與分析

6.1試驗設(shè)置

基于OPNET平臺搭建無人機自組織網(wǎng)絡(luò)仿真環(huán)境，對所提方案進行性能驗證。WCA[7]與DCA[10]協(xié)議都是基于分簇結(jié)構(gòu)的經(jīng)典無人機自組網(wǎng)路由協(xié)議，路由建立過程中均包括了廣播、單跳和多跳消息傳輸?shù)倪^程，并且消息中均包含動、靜態(tài)兩種信息，符合所提出的路由協(xié)議安全保護機制的假設(shè)條件，因此我們選擇以上兩個協(xié)議作為試驗分析對象。首先，在仿真平臺實現(xiàn)WCA和DCA兩個路由協(xié)議；然后，分別在以上兩種路由協(xié)議中引入本方案所提出的完整性保護機制，以此來驗證本文所提方案在不同路由協(xié)議中的有效性。路由協(xié)議的試驗仿真參數(shù)見表2，試驗硬件環(huán)境見表3。

6.2試驗結(jié)果

在試驗過程中，我們設(shè)置網(wǎng)絡(luò)中無人機節(jié)點在仿真區(qū)域范圍內(nèi)均勻分布、初始速度一致、初始能量一致。WCA與DCA都屬于典型的分層次路由協(xié)議，滿足本文所提安全保護方案的適用范圍，我們將本方案引入到以上兩個協(xié)議，分別稱為WCA_Sec和DCA_Sec，來測試方案在整個無人機網(wǎng)絡(luò)系統(tǒng)的時間開銷和內(nèi)存開銷。圖5與圖6是在上述設(shè)置下得到的試驗結(jié)果。

在不同網(wǎng)絡(luò)規(guī)模下（節(jié)點數(shù)=10，20，50，100），本方案對WCA和DCA協(xié)議的分簇時長的影響如圖5所示?？梢钥闯?，在WCA路由協(xié)議中引入安全方法后（WCA_Sec）的分簇時長增量均小于100ms，引入本文所提安全保護方案對于協(xié)議的快速分簇性能影響不大。DCA協(xié)議在初始簇劃分過程中使用了Lowest-ID分簇算法，該算法由地面站根據(jù)無人機節(jié)點的ID號迭代執(zhí)行選舉簇頭和入簇的過程，不同于WCA路由協(xié)議中無人機之間相互通信協(xié)作進行自主分簇的過程，所以在DCA協(xié)議中引入本文所提安全保護方案對初始簇形成時長沒有影響。

圖6給出了在不同網(wǎng)絡(luò)規(guī)模下（節(jié)點數(shù)=10，20，50，100）本文所提安全保護方案在WCA和DCA協(xié)議中針對整個無人機網(wǎng)絡(luò)系統(tǒng)的內(nèi)存開銷情況。當(dāng)網(wǎng)絡(luò)節(jié)點數(shù)為10時，本方案在被測試協(xié)議中的內(nèi)存開銷均小于無人機網(wǎng)絡(luò)系統(tǒng)總開銷的5%；當(dāng)網(wǎng)絡(luò)節(jié)點數(shù)為20時，WCA協(xié)議中本方案的內(nèi)存開銷占無人機網(wǎng)絡(luò)系統(tǒng)總開銷的24%，DCA協(xié)議中本方案的內(nèi)存開銷占無人機網(wǎng)絡(luò)系統(tǒng)總開銷的4%；當(dāng)網(wǎng)絡(luò)節(jié)點數(shù)為50時，WCA協(xié)議中本方案的內(nèi)存開銷占無人機網(wǎng)絡(luò)系統(tǒng)總開銷的25%，DCA協(xié)議中本方案的內(nèi)存開銷占中無人機網(wǎng)絡(luò)系統(tǒng)總開銷的8%；當(dāng)網(wǎng)絡(luò)節(jié)點數(shù)為100時，WCA協(xié)議中本方案的內(nèi)存開銷占無人機網(wǎng)絡(luò)系統(tǒng)總開銷的33.5%，DCA協(xié)議中本方案的內(nèi)存開銷占無人機網(wǎng)絡(luò)系統(tǒng)總開銷的11%。結(jié)果表明，在兩種被測試的路由協(xié)議中引入本文所提安全保護方案的內(nèi)存開銷均小于無人機網(wǎng)絡(luò)系統(tǒng)內(nèi)存總開銷的35%。由于WCA和DCA協(xié)議運行時會動態(tài)更新無人機網(wǎng)絡(luò)的分簇結(jié)構(gòu)，拓撲結(jié)構(gòu)的變化導(dǎo)致鏈路中斷的節(jié)點頻繁使用AODV協(xié)議更新路由。在前期研究中發(fā)現(xiàn)，相同網(wǎng)絡(luò)環(huán)境下WCA協(xié)議的分簇結(jié)構(gòu)更新次數(shù)大于DCA協(xié)議，網(wǎng)絡(luò)節(jié)點通過AODV協(xié)議建立路由開銷大于DCA協(xié)議，因此WCA協(xié)議所帶來的開銷高于DCA協(xié)議。

試驗結(jié)果表明，本文所提方法通過聯(lián)盟區(qū)塊鏈技術(shù)減少了拓撲消息中靜態(tài)信息的完整性保護帶來的傳輸和加密計算，有效降低了時間和內(nèi)存開銷，使得該方法更加輕量級，其少量的額外開銷沒有影響路由協(xié)議的正常工作。

7結(jié)束語

近年來，無人機自組網(wǎng)在軍用與民用領(lǐng)域的應(yīng)用越來越廣，路由協(xié)議的安全性是無人機自組網(wǎng)領(lǐng)域面臨的重要挑戰(zhàn)之一。本文針對無人機自組網(wǎng)分級結(jié)構(gòu)路由協(xié)議，重點分析了無人機自組網(wǎng)拓撲信息的特征與協(xié)議的安全性需求，提出了針對拓撲消息的輕量級完整性保護方案，保證消息內(nèi)容不被篡改，從而避免被篡改消息在網(wǎng)絡(luò)拓撲構(gòu)建中被利用而形成無效或低效路由。通過非形式化與形式化的安全性分析證明了本文所提方案可以有效抵御假冒攻擊和消息篡改攻擊。最后，通過試驗仿真驗證了本方案在時間與內(nèi)存開銷方面對路由協(xié)議的影響均在可接受范圍內(nèi)。

參考文獻

[1]卓琨，張衡陽，鄭博，等.無人機自組網(wǎng)研究進展綜述[J].電信科學(xué)， 2015， 31（4）： 128-138. Zhuo Kun，Zhang Hengyang，Zheng Bo，et al. Progress of UAV Ad Hoc network：a survey[J]. Te1ecommunications Science， 2015， 31（4）： 128-138. （in Chinese）

[2]吳兆香，歐陽權(quán)，王志勝，等.基于人工智能的無人機區(qū)域偵察方法研究現(xiàn)狀與發(fā)展[J].航空科學(xué)技術(shù)， 2020， 31（10）：57-68. Wu Zhaoxiang，Ouyang Quan，Wang Zhisheng，et al. Status and development of regional reconnaissance methods of UAV based on artificial intelligence[J]. Aeronautical Science & Technology， 2020， 31（10）： 57-68. （in Chinese）

[3]姜延歡，楊永軍，李新良，等.智能無人系統(tǒng)環(huán)境感知計量評價研究[J].航空科學(xué)技術(shù)， 2020， 31（12）：80-85. Jiang Yanhuan， Yang Yongjun， Li Xinliang， et al. Research on environmental perception metrology and evaluation technology of intelligent unmanned system[J]. Aeronautical Science & Technology， 2020， 31（12）： 80-85. （in Chinese）

[4]Faraji-Biregani M，F(xiàn)otohi R. Secure communication between Uavs using a method based on smart agents in unmanned aerial vehicles[J]. The Journal of Supercomputing，2020，77（6）：1-28.

[5]Shumeye Lakew D，Saad U，Dao N N，et al. Routing in flying Ad Hoc networks：a comprehensive survey[J]. IEEE Communications Surveys & Tutorials，2020，22（2）：1071-1120.

[6]Zapata M G. Secure Ad Hoc on-demand distance vector routing[J]. Acm Sigmobile Mobile Computing & Communications Review，2002，6（3）：106-107.

[7]Maxa J，Mahmoud M S B，Larrieu N. Secure routing protocol design for UAV Ad Hoc networks[C]// 2015 IEEE/AIAA 34th DigitalAvionics Systems Conference（DASC），2015.

[8]Maxa J，Mahmoud M S B，Larrieu N. Joint model-driven design and real experiment-based validation for a secure UAV Ad Hoc network routing protocol[C]// 2016 Integrated Communications Navigation and Surveillance（ICNS），2016.

[9]Maxa J，Mahmoud M S B，Larrieu N. Performance evaluation of a new secure routing protocol for Uav Ad Hoc network[C]// 2019 IEEE/AIAA 38th Digital Avionics Systems Conference（DASC），2019：1-10.

[10]Perkins C E，Belding-Royer E M. Ad-Hoc on-demand distance vector routing[C]//Workshop on Mobile Computing Systems & Applications，2002.

[11]Clausen T，Jacquet P. RFC3626 Optimized link state routing protocol（OLSR）[S]. IETF，2003.

[12]Johnson D. RFC4728 The dynamic source routing protocol（Dsr）for mobileAd Hoc networks for Ipv4[S]. IETF，2007.

[13]孫凌，羅長遠.基于地理信息的航空自組網(wǎng)安全路由算法[J].計算機工程與應(yīng)用， 2019， 55（12）： 77-82. Sun Ling， Luo Changyuan. Secure geographic information based routing protocol of aeronautical Ad hoc networks[J]. Computer Engineering and Applications， 2019， 55（12）：77-82.（in Chinese）

[14]Lin C R，Gerla M. Adaptive clustering for mobile wireless networks[J]. IEEE Journal on Selected Areas in Communications，1997，15（7）：1265-1275.

[15]Basu P，Khan N. Little T. A mobility based metric for clustering in mobile Ad Hoc networks[C]//2001 International Conference on Distributed Computing Systems Workshop，IEEE，2001.

[16]Sharifi S A，Babamir S M. The clustering algorithm for efficient energy management in mobile Ad-Hoc networks[J]. Computer Networks，2020，166：106983.

[17]Chatterjee M，Das S K，Turgut D. Wca：A weighted clustering algorithm for mobile Ad Hoc networks[J]. Cluster Computing，2002，5（2）：193-204.

[18]Ergenc D，Eksert L，Onur E. Dependability-based clustering in mobile Ad-Hoc networks[J]. Ad Hoc Networks，2019，93（OCT）：101926.

[19]Maxa J，Mahmoud M S B，Larrieu N. Performance evaluation of a new secure routing protocol for Uav Ad Hoc network[C]// 2019 IEEE/AIAA 38th Digital Avionics Systems Conference（DASC），2019：1-10.

[20]Hsiao S J，Sung W T. Employing blockchain technology to strengthen security of wireless sensor networks[J]. IEEE Access，2021，9：72326-72341.

[21]Liu B Y，Xiao L，Chen S，et al. Blockchain based data integrity service framework for IoT data[C]// 2017 IEEE International Conference on Web Services（ICWS），2017.

[22]Johnson D，Menezes A，Vanstone S. The elliptic curve digital signature algorithm（Ecdsa）[J]. International Journal of Information Security，2001，1（1）：36-63.

[23]Nakamoto S. Bitcoin：a peer-to-peer electronic cash system[EB/OL].[2021-07-01]. https：//bitcoin.org/bitcoin.pdf.

[24]Li D，Hu Y，Lan M. Iot device location information storage system based on blockchain[J]. Future Generation Computer Systems，2020，109：95-102.

[25]Zheng Z，Xie S. Blockchain challenges and opportunities：a survey[J]. International Journal of Web and Grid Services，2018，14（4）：352-375.

[26]張亮，劉百祥，張如意，等.區(qū)塊鏈技術(shù)綜述[J].計算機工程， 2019， 45（5）： 1-12. Zhang Liang， Liu Baixiang， Zhang Ruyi， et al. Overview of blockchain technology[J]. Computer Engineering， 2019， 45（5）： 1-12. （in Chinese）

[27]曾詩欽，霍如，黃韜，等.區(qū)塊鏈技術(shù)研究綜述：原理，進展與應(yīng)用[J].通信學(xué)報， 2020， 41（1）： 134-151. Zeng Shiqin， Huo Ru， Huang Tao， et al. Survey of blockchain： principle，progressandapplication[J].Journalon Communications， 2020， 41（1）： 134-151. （in Chinese）

[28]Cremers C J F. The Scyther tool：verification，falsification，and analysis of security protocols[C]// International Conference on Computer Aided Verification. Springer，Berlin，Heidelberg，2008：414-418.

Integrity Protection Method of Routing Message for UAV Ad-hoc Networks

Guo Jingjing1，Gao Huamin1，Liu Zhiquan2，Zhang Xinglong3

1. Xidian University，Xian 710071，China

2. Jinan University，Guangzhou 510632，China

3. National Key Laboratory of Science and Technology on Integrated Control Technology，AVIC Flight Automatic Control Research Institute，Xian 710065，China

Abstract： Security is one of the important challenges that UAV Ad-hoc Networks （UAVNETs） routing protocols is facing. Focusing on the lack of security of topology construction messages on the clustered UAVNETs routing protocols， this paper proposes a security scheme for topology messages of clustered UAVNETs routing protocols（SecUAV）. SecUAV can ensure the integrity of the messages exchanged between nodes in the clustered UAVNETs during the topology construction so as to prevent the tampered information from being used in the network topology construction and route creation， and improve the robustness and reliability of routing protocol. Aiming at the static information in the topology message， an integrity verification method based on the consortium blockchain is proposed， which can reduce the calculation and transmission overhead of the entire scheme. We conduct an informal and formal analysis on this scheme， and prove that the scheme could flight against impersonation attack and message tampering attack during the transmission of topology messages. Finally， we simulate and analyze the performance of several UAVNETs clustering protocols with SecUAV. The experimental results show that the time consumption of SecUAV is less than 100ms and the memory cost of SecUAV is less than 35% of the routing cost.

Key Words： UAV Ad-hoc networks； routing protocols； integrity protection； network security