無人機群網絡安全問題研究

曾夢岐，范曉霞，陳勁堯

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

近年來，無人機（Unmanned Aerial Vehicle，UAV）技術飛速發展，并且在可見的未來將會有廣泛的應用。由于其具有部署難度低、維護成本低、機動性高和懸停能力強的優點，已經在搜索和災害救援、遙感探測、施工及基礎設施檢查、精準農業、包裹投送、實時交通監控、監視應用和緊急情況下的無線網絡覆蓋等領域有了廣泛應用[1]。除民用領域外，無人機還廣泛應用于軍事領域，世界各國都在不斷推進“無人集群”和“忠誠僚機”概念和技術的發展，在這方面也開展了很多探索性項目，旨在形成蜂群作戰能力。在單個無人機不足以滿足需求或許多無人機參與者的通信和協作至關重要的情況下，無人機集群技術顯然具有極其重要的應用價值。網絡化的無人機群具有數量多、范圍廣、速度快、成本低的優勢，而這一技術面臨的主要挑戰是如何保護其系統正常工作以完成任務，使其免受冒名頂替者和來自惡意實體的網絡攻擊。

目前，全球各國紛紛加大了對無人機集群作戰項目的投入和研究力度。美軍將蜂群作戰作為軍隊發展的重要方向，接連啟動了小精靈、山鶉等小微型無人機群項目，并在技術上加快相關算法構建，提前為無人機的停靠與發射建設平臺。2016年11月，歐洲防務局啟動了歐洲無人機蜂群項目，加快了蜂群作戰的智能化核心技術攻關進度。2021年5月，以色列在對加沙的空襲和導彈襲擊中，使用了大量人工智能輔助的無人機蜂群，人工智能無人機群軍事應用實戰化步伐加快。

由于無人機協議和標準存在安全漏洞，針對無人機自組織網絡（Unmanned Aerial Ad hoc Network，UAANET）的安全威脅正在迅速增加。無人機群容易受到竊聽攻擊、全球定位系統（Global Positioning System，GPS）欺騙攻擊、磁盤操作系統拒絕服務攻擊（Denial-of-Service，DoS）等安全威脅。例如，英國的反無人機防御系統（Anti-UAV Defence System，AUDS），不僅能有效干擾無人機接收GPS信號，而且可向無人機發射定向大功率干擾射頻，切斷無人機與控制平臺之間的通信鏈路；2020年，以色列發布了一款名為EnforceAir的新型反無人機系統，可從大量無人機中找出威脅最大的目標，通過侵入目標無人機控制系統，切斷其與背后操縱者的聯系，從而實現接管。針對無人機群的襲擊發生的概率和頻率都很高，需要研究保護和防御方案以確保將攻擊者對無人機群的影響降到 最低。

1 無人機群通信及威脅

雖然無人機群憑借其組網靈活、智能協作的特點具備出色的作戰能力，但也容易受到試圖入侵無人機的黑客攻擊。例如，被入侵的無人機可以被黑客控制攝像頭，獲取戰場環境中的一些非常重要的信息。由于作戰的無人機群往往會處在地面站信號無法覆蓋的區域內執行任務，并且其擁有對無線環境的過度依賴以及分布式組網特性，因此無人機群面臨著一系列的安全風險。目前的工作主要針對單無人機系統，缺乏對無人機群安全威脅的研究，較少綜合考慮其潛在的攻擊威脅。為了減少攻擊的發生，有必要從針對無人機群的潛在攻擊和威脅入手，重新審視無人機通信的安全性。因此，本文對無人機網絡安全和需求進行了闡述。

1.1 無人機群通信方式

根據無人機群的通信方式，可以將其分為4個類別[3]。

1.1.1 無人機—無人機

無人機—無人機（Drone-to-Drone，D2D）是一種非標準化的通信類型，可以被認為是一個點對點（Point-to-Point，P2P）網絡，很容易受到各種類型的P2P攻擊和干擾。無人機計算資源和功率有限，尤其容易受到DoS攻擊。作為空中設備，DoS攻擊對無人機的影響是非常嚴重的。例如，無人機無法接收無人機地面站命令可能會使無人機在空中失去控制，耗盡電池電量，導致墜落傷害的惡性事件。Shakhatreh等人[4]使用攻擊工具對無人機進行了DoS攻擊，他們向一架無人機發送了大量的數據包，使其癱瘓，最終導致其墜毀。

1.1.2 無人機—地面站

無人機—地面站（Drone-Ground Station，D2GS）使用標準化工業無線通信協議（藍牙和Wi-Fi 802.11，包括2.4 GHz和5 GHz）。然而，基于802.11協議的Wi-Fi模塊并不真正安全，其管理框架沒有加密，攻擊者很容易偽造管理框架。這種通信方式公開化且不安全，這是因為攻擊者可以向地面站發送一個構造好的反認證幀，斷開其與無人機的連接[5]，甚至在使用單因素身份驗證時也是如此，入侵者很容易繞過這種身份驗證實施被動竊聽和主動中間人攻擊。攻擊者通過嗅探并查找無人機及其所連接用戶的MAC地址；然后，攻擊者向用戶發送偽造的去認證幀報文，迫使其與無人機的通信鏈路中斷，就可以達到連接并控制無人機的目的。

1.1.3 無人機—網絡

無人機—網絡（Drone-Network，D2N）可以根據需要的安全級別選擇網絡進行控制和信息傳遞，可以使用幾種不同頻率的Wi-Fi網絡。與無線傳感器網絡類似，無人機網絡節點的頻繁更換使得路由攻擊成為可能。在這種情況下，攻擊者可以使自己控制的無人機節點冒充普通無人機加入到無人機網絡中，或者對現有無人機網絡中的無人機進行路由攻擊。這些惡意節點被偽裝成最佳路由節點，目的是更改整個路由表，其他節點將選擇惡意節點轉發它們的數據包。在多無人機網絡中，路由攻擊是一種非常嚴重的攻擊，它們通過破壞路由協議導致整個網絡產生故障。常見的路由攻擊包括黑洞攻擊、灰洞攻擊和蟲洞攻擊[6]。

1.1.4 無人機—衛星

無人機—衛星（Drone-Satellite，D2S）可以通過GPS實時傳輸無人機的坐標。使用地球表面的坐標可以跟蹤無人機的位置，并實施控制動作，例如，如果它超出了控制線或視線，將無人機呼叫回源站的命令。衛星通信被認為是可靠和安全的，然而，這種類型的通信非常昂貴，而且還需要特殊的維護要求。

1.2 無人機安全需求

1.2.1 數據機密性

機密性是指保護信息不被未授權方訪問。換句話說，只有被授權的人才能訪問數據。攻擊者可以利用不同的攻擊矢量，通過各種方式，如惡意軟件、劫持、社會工程等，來危害無人機系統的保密性。無人機不可避免地需要在各種場景中傳輸數據，包括軍事和民用環境。因此，任何未經授權的實體都不能獲取無人機傳輸的數據信息，也不能直接對傳輸包中的數據進行解密。在竊聽和灰洞攻擊中，攻擊者可以靜默地獲取所傳輸的數據。因此，應該確保數據機密性，以抵御這種攻擊。

1.2.2 信息完整性

完整性保證了信息的真實性，攻擊者可以通過通信鏈路、地面通信系統或受損的無人機修改或偽造無人機系統的信息，如收集的數據、發出的命令等，并劫持修改無人機控制數據使得接收的命令信息不完整，而直接導致無人機實施任務失敗。如攻擊視覺傳感器或GPS傳感器，使無人機得到錯誤的圖像或地理位置信息，可能導致無人機漂移或墜毀。無人機通信需要保證數據的完整性，特別是用于控制無人機的命令數據，使無人機能夠可靠地運行，不會受到干擾、錯誤感知數據和入侵的影響。顯然，信息完整性是必不可少的無人機群系統安全 需求。

1.2.3 系統可用性

可用性確保無人機系統攜帶的服務和相關數據按預期運行，并可被授權用戶訪問。攻擊者可以對無人機系統執行DoS攻擊，如淹沒通信鏈路、過載處理單元或耗盡電池。無人機系統應嚴格按照其合法用戶的命令執行任務或收集數據。有些攻擊的主要目的不是獲取無人機傳輸的數據，而是以較小的開銷阻礙無人機的正常運行，例如，泛洪攻擊使無人機無法響應用戶的命令，黑洞攻擊使無人機群網絡中的無人機無法接收來自地面站的命令。這些攻擊使無人機系統無法正常操作，甚至導致無人機墜落。因此，必須保證無人機系統的可用性。

2 無人機群安全方案

為了提升無人機群的安全性，本文提出了一種無人機群的安全方案，如圖1所示。

圖1 無人機群安全方案

2.1 Wi-Fi安全解決方案

大部分無人機使用預設的有線等效保密（Wired Equivalent Privacy，WEP）協議應用Wi-Fi，進行通信時不需要任何密碼。為了防止惡意連接，應采用Wi-Fi保護訪問（Wi-Fi Protected Access，WPA）協議，使用預共享密鑰驗證身份，提高無人機的安全性。為了防止反認證攻擊，采用802.11w協議，對管理幀進行加密。這樣，攻擊者就不能偽造幀消息，從而保證了無人機系統的可用性。

2.2 入侵檢測系統

入侵檢測系統（Intrusion Detection Systems，IDS）是一種識別惡意行為的安全機制。IDS雖然不能直接抵抗攻擊，但可以及早發現攻擊，及時減少損失。由于無人機自身的局限性，針對無人機系統的入侵檢測系統需要考慮能源經濟性、計算效率、輕量化和實時檢測4個因素。特別是將基于規則的檢測技術和基于異常的檢測技術相結合，根據無人機的行為將其分為正常、可疑、異常和惡意4種類型。IDS可以根據無人機用戶的具體流量，對攻擊進行分析，有效地幫助無人機用戶在不同的應用場景下發現可能的攻擊。因此，入侵檢測系統對保障無人機系統的可用性和可靠性起著重要的作用。

Sedjelmaci等人[7]提出了移動地面站以持續地為無人機提供可靠的連接并檢測惡意行為的方案。在該方案中，無人機發送到地面站的數據包包含源地址、目的地址、下一跳信息等。地面站根據該信息判斷無人機群網絡中的中繼節點是否正常轉發數據包，并計算出丟包數。地面站將計算出的值與之前定義的閾值進行比較，檢測出惡意行為。除了發現惡意節點破壞路由和移動地面站，還可以收集一定范圍的數據包，使用正態分布方法評估凈推薦值（Net Promoter Score，NPS）發送的數據包的數量，檢查NPS值是否在正常范圍內，并探測無人機是否受到泛洪攻擊。

2.3 身份驗證

為了避免非法用戶濫用設備，必須對無人機訪問進行認證。用戶在操作無人機之前，必須在斷開連接后及時提供有效的身份驗證。反認證攻擊利用Wi-Fi協議中的認證缺陷來奪取無人機的控制權。因此，為了避免惡意反認證攻擊，需驗證無人機數據源的資格，阻止攻擊者偽造數據包或直接加入一個無人機群破壞其網絡結構。

在無人機通信協議方面，微型空中飛行器鏈路通信協議（Micro Air Vehicle Link，MAVLink）2.0版本通過認證加強了無人機的安全性，同時增加了時間戳和簽名機制，保證用戶身份合法性，防止信息被篡改。Yoon等人[8]提出了一種安全認證系統，在無人機和地面站（Ground Control Station，GCS）之間建立安全通道，確保數據可靠傳輸，也保證了用戶在受到攻擊后不會失去對無人機的控制。

除了對UAV本身進行身份驗證，對傳輸數據進行身份驗證也可以用作一種安全措施。由于攻擊者可能會截取傳感器的數據并惡意修改重要數據，Sun等人[9]設計了一種認證水印策略，利用采集到的數據特征生成認證水印，并隨機插入到數據中，極大地提高了無人機在數據采集環境下的安全性。無人機可以驗證數據的完整性，避免數據重放攻擊和篡改，從而保證信息的完整性。

2.4 安全路由協議

安全路由協議主要用于保護無人機集群網絡的安全。與傳統計算機網絡類似，多無人機網絡由路由協議支持，用于轉發數據包和發送命令。安全路由協議的目的是在路由和轉發過程中抵抗攻擊威脅，如黑洞攻擊、蟲洞攻擊等。現有的無人機安全路由協議主要是識別新出現的無人機，檢查節點是否正常轉發數據，以保證網絡的穩定性。

本文方案使用一種特殊的無線自組網按需平面距離矢量（Ad Hoc On-Demand Distance Vector，AODV）路由協議，可以為無人機網絡提供更好的性能，AODV協議的工作流程如下。

（1）AODV節點向周圍的節點發送Hello報文，每個節點通過接收Hello報文并激活定時器來檢測相鄰節點是否存在Hello報文。

（2）如果一個節點需要發送一個數據包到目的地D，并且沒有這樣的路由，它就會向周圍的節點發出一個路由請求（Route Request，RREQ）。如果周圍的節點沒有到達請求目的地D的路由，則RREQ會被重傳。發起者可以通過RREQ數據包中的生存周期（Time to Live，TTL）值來控制重傳的深度，這種方法被稱為擴展環搜索技術（Expanding Ring Search Technique，ERST）。

（3）當一個節點有一條到目的地D的路由時，無論它是目的地，還是它目前有一條到目的地的路由，節點都會向發起者響應一個路由應答（Route Reply，RREP），接收RREQ的節點將緩存一條返回到源節點的路由。

（4）當節點檢測到活躍路由中的鄰居節點丟失時，會發送路由錯誤報文（Route Error，RERR），以通知其他節點連接丟失，然后重新規劃路由。

圖2展示了一個典型的AODV體系結構。為了提供更好的安全性，還可以通過定義一個公鑰基礎設施（Public Key Infrastructure，PKI）來改進AODV協議安全，并添加提供監視和安全操作的附加功能，例如一些分布式監控功能和部署識別響應的方法。

圖2 AODV架構

軟件自定義網絡（Software Defined Network，SDN）可以動態調整網絡的配置，甚至不需要人工配置[10]。采用SDN思想，使網絡架構具有控制和轉發分離、有開放的編程接口、集中式的控制等優點。采用帶內OpenFlow協議，使控制平面和數據平面在同一個網絡。同時，OpenFlow使用安全的傳輸連接，即傳輸層安全（Transport Layer Security，TLS），使每個節點擁有控制節點的憑據，而控制器擁有所有節點的憑據。控制器作為一個可信任節點，成為憑證的來源，并作為PKI的構建塊。同時，選擇AODV作為控制平面的路由協議，而SDN將提供數據平面的轉發，兩者使用相同的自組織網絡，如圖3所示。為了限制傳輸的數據量，采用基于AODV協議的鄰域信息的拓撲路由，節點在建立OpenFlow連接的時候，會通知控制器其已知的鄰居節點包括新的鄰居節點出現或當前鄰居節點消失。OpenFlow允許添加協議，除了解析、處理和新交互的生成代碼，幾乎不會影響到交換機和控制器。此外，有效負載應用程序可以通過Linux命名空間技術與更合理的路由隔離過濾控制流量，只允許OpenFlow和AODV協議遍歷，降低了控制部分的攻擊面，并限制了從有效負載應用程序到控制部分的攻擊傳染。

圖3 帶內AODV SDN架構

3 結語

提高無人機群自組織網絡安全是來自多方面的挑戰，本文在已有研究的基礎上綜述了無人機通信面臨的安全威脅及安全需求，通過對現有的應對網絡威脅的安全對策的綜合評述，提出了一種無人機群自組織網絡的安全方案，探討了解決無人機群的網絡安全問題的方法，以應對無人機群可能受到的安全威脅與攻擊，為無人機群的發展添磚加瓦。