1 無人機系統及網絡
1.1 無人機系統組成
無人機系統分為無人機和地面控制系統兩大部分。
無人機按照飛行器構型可分為固定翼、撲翼、旋翼和混合翼等不同類型,一般包括動力系統、傳感器、控制系統、通信系統和任務載荷。其中,動力系統為無人機提供動力;傳感器主要包括陀螺儀、GPS、磁力計等;控制系統接收傳感器數據和地面控制指令,控制無人機飛行;任務載荷是執行任務的部件,根據具體任務搭載不同載荷。
地面控制系統可以是一個遙控器,也可以是一個地面站,一般包括通信系統、控制系統以及數據處理系統等。其中,通信系統與無人機建立通信鏈接;控制系統控制無人機飛行和任務執行;數據處理系統負責航線規劃和任務數據處理。如圖1所示。
圖1 無人機系統組成及網絡
1.2 無人機網絡
無人機網絡可看作飛行的無線網絡。每架無人機是一個網絡數據收發節點,也可提供網絡中繼。無人機網絡可以是自組織,也可以基于地面或衛星基礎設施支撐。其中,多架無人機組成的空中通信網絡被稱作空中移動自組織網絡(Mobile Ad hoc Network,MANET),多采用Ad-Hoc模式架構。MANET網絡根據拓撲類型范分為平面拓撲結構和分級拓樸結構。平面拓撲結構中,網絡各節點在路由計算、消息收發等方面的地位是對等的。平面拓撲路由協議一般包括AODV、DSR以及OLSR等。在分級拓撲結構中,網絡中的無人機節點被分成多個群,每個群有一個群首,負責群內拓撲管理和群間通信。多個群的群首可組成一個更高一級的網絡,并選擇高一級的群首,最終構成一個多級網絡。每一個群中的群首是由群成員動態自組織選出的,是動態變化的。分級拓撲路由協議一般包括ZRP、LANMAR以及CGSR等。
1.3 無人機系統工作流程
無人機工作信息流程如圖2所示。
圖2 無人機工作信息流程
①陀螺儀等傳感器從物理域感知環境信息,并反饋給數據處理模塊。
②數據處理模塊對數據進行校正后傳遞到導航模塊,同時與GPS信號等數據融合。
③傳感器的數據也會直接傳送給控制器,輔助控制器進行調整。
④導航模塊獲取GPS信息。
⑤導航模塊將傳感器數據與定位數據融合,生成航向信息發送給控制器。
⑥⑦地面控制系統與通信模塊和控制模塊通過無線通信手段交換信息,包括控制命令、飛行狀態以及任務信息等。
⑧控制器向任務載荷發送控制指令,使任務載荷按照命令執行任務。
2 無人機安全威脅分析
無人機系統涉及到空中系統和地面系統兩部分,且無人機及網絡直接暴露在不安全的外部環境中。因此,無人機平臺、系統內部的信息傳遞以及系統間的通信過程都可能成為攻擊者關注的焦點。無人機系統的安全威脅主要包括以下幾個方面。
2.1 傳感器攻擊威脅
無人機的傳感器從物理域采集環境數據反饋給無人機控制系統,輔助無人機下達控制指令。當傳感器被攻擊時,將采集錯誤的數據,控制系統將無法做出正確的決策,致使無人機的飛行失控或執行任務失敗。
2.1.1 干擾陀螺儀攻擊
陀螺儀提供無人機飛行姿態信息,以保持無人機平衡。MEMS陀螺儀利用共振原理把角速率轉換成一個被感測物體的位移。攻擊者利用外部聲波使無人機的陀螺儀發生共振,從而擾亂無人機的平穩飛行。韓國先進科學技術研究院研究人員給無人機接上一個揚聲器,控制揚聲器發聲。當揚聲器發出與陀螺儀匹配的噪聲時,正常飛行的無人機會失控墜落。
2.1.2 電機浪涌攻擊
電機浪涌攻擊是一種短程爆發式攻擊手段。攻擊者通過篡改單個變量,在短時間內給系統注入可產生影響的最大偏差值,企圖對攻擊目標產生盡可能大的傷害。例如,攻擊者使用浪涌攻擊篡改控制器的控制輸入,無人機的執行電機通常會出現超限運轉或者近乎停轉的情況,使得無人機出現激烈的簸動甚至直接墜毀。
2.2 定位系統攻擊威脅
GPS是無人機一個重要的傳感器,負責為無人機提供準確的位置信息。針對無人機GPS模塊的攻擊可造成無人機失控。例如,攻擊者發送與GPS同頻率的干擾信號,可使無人機GPS模塊無法接收到正常GPS信號。攻擊者還可以發送大功率偽造GPS信號,使無人機GPS模塊接收到偽造GPS信號,解出錯誤的位置信息。
GPS欺騙攻擊。攻擊者掌握公開發布的GPS系統信號定義、通信鏈路、通信協議等信息后,根據攻擊目標可計算出每個GPS信息發送位置、時間,從而偽造出有特定指向的GPS信號,通過大功率發射,可欺騙無人機選擇接收強度更高的欺騙信號,從而達到欺騙攻擊的目的。
2.3 通信網絡攻擊威脅
無人機通信和網絡直接暴露在無線空間中,很容易被攻擊者利用而發起信號干擾、無線網絡欺騙攻擊和拒絕服務攻擊等。
2.3.1 信號干擾
無人機網絡通信具有節點高速移動、信道切換頻繁、通信能量受限的特點,網絡拓撲快速變化,無線通信鏈路隨時切換。干擾器通過發射足夠大功率的干擾信號即可覆蓋正常通信,使得網絡通信質量下降,通信雙方連接中斷,導致任務失敗或無人機失控。
2.3.2 信息欺騙
鏈路劫持。攻擊者截獲傳感器回送給控制器的實時數據信息將其篡改為惡意信息,再將其發送給控制器。控制器解析惡意數據后會影響數據融合的正確性和完整性,可能導致無人機的合法控制權被直接剝奪。
女巫攻擊。這種攻擊中,一個惡意的無人機節點通過創建大量的虛假身份充當網絡中多架無人機。由于網絡中其他合法的無人機節點接收到惡意節點的虛假信息誤以為接收到多架合法無人機節點的正確信息,可能會根據虛假信息做出決策。
蟲洞攻擊。蟲洞攻擊通過在兩個惡意節點之間搭建一條“隧道”,其中一個攻擊節點記錄該節點流經數據和位置信息,然后通過隧道將這些數據信息傳遞到另一個攻擊節點。由于這條隧道中傳輸的數據比合法節點傳輸的數據更多,因此根據路由算法會有更多的數據流量分配給這條隧道,從而由這條蟲洞隧道控制了網絡中的大部分路由,此時攻擊者可以輕松獲取網絡中的大多數數據。
2.3.3 拒絕服務
無人機地空信息通信經常會用到以Wi-Fi等無線局域網技術為底層的通信,在網絡層也會使用到TCP/UDP協議等常見協議。攻擊者可針對網絡層固有的缺陷發起泛洪式拒絕服務攻擊,阻斷無人機正常通信,或導致飛行控制系統癱瘓。
2.4 無人機軟件攻擊威脅
無人機的基礎軟件、飛控軟件等都存在一定的軟件安全漏洞,可被黑客利用攻擊無人機系統。例如,飛控系統Maldrone無人機軟件漏洞,攻擊者可以通過該漏洞進入無人機系統,在控制端安裝后門程序,利用程序監聽無人機傳感器的數據采集或者進行遠程操控。此外,Zigbee芯片威脅、鍵盤木馬威脅等也是針對無人機軟件的攻擊手段。
3 無人機安全保密體系
通過以上無人機的安全威脅分析,考慮無人機動態性、移動性和分布式處理等特點,設計無人機系統安全保密體系,如圖3所示。
圖3 無人機安全保密體系架構
無人機安全保密體系包括無人平臺安全、無線網絡安全、應用控制安全、安全保密運維和安全保密支撐5部分。無人平臺安全主要提供安全可信的無人機軟硬件平臺,抵御針對部件、傳感器的抵近式惡意破壞;無線網絡安全以輕量級密碼認證為基礎,構建從物理層到網絡層的無人機網絡可信互聯,抵御竊聽、假冒、篡改等網絡攻擊;應用控制安全通過軟件可信和數據加密保護等措施,防止非法軟件濫用和數據竊取;安全保密運維提供無人機設備、安全策略、密鑰的管理,并可呈現無人機系統的整體安全態勢;安全保密支撐提供認證和加密等手段需要的密碼算法、密碼芯片和身份管理支撐。
3.1 無人平臺安全
無人平臺安全基于可信計算技術,以可信模塊(Trusted Platform Module,TPM)為基礎,構建可信軟硬件平臺,建立自底向上的可信鏈,確保無人機平臺軟硬件環境的安全可信,將可信度量結果與基線核查結果共同作為安全度量參數構建可信網絡環境,如圖4所示。
圖4 無人平臺安全架構
3.1.1 可信模塊與可信軟件棧
可信模塊作為軟硬件可信度量的信任基礎,通過可信軟件棧為上層應用實現可信度量提供支撐。
3.1.2 可信引導
通過與無人機平臺的一體化設計,建立貫穿硬件模塊、操作系統及應用的信任鏈,實現對硬件啟動和軟件引導過程的完整度量,確保無人機平臺基礎軟硬件環境的可信。
3.1.3 傳感器可信度量
無人機傳感器包括GPS、陀螺儀等,通過可信度量實現對傳感器硬件的可信管控。
3.1.4 可信波形度量
對無人機的軟件波形進行可信度量,防止對軟件波形文件的替換、破壞等。
3.1.5 可信安全基線核查
綜合對無人機平臺軟硬件的可信度量結果,形成對本機的綜合安全度量結果,作為無人機網絡接入的基本條件之一,從而為構建可信安全的無人機網絡提供重要支撐。
3.2 無線網絡安全
無線網絡安全主要保障無線空口機密性、完整性和可用性,通過射頻指紋識別、抗干擾、輕量級認證、無線接入控制、傳輸加密、無線攻擊檢測以及針對MANET網絡的組網安全防護,從物理層、鏈路層和網絡層等各個層面保障合法無人機入網,抵御竊聽、假冒、篡改等網絡攻擊,如圖5所示
圖5 無線網絡安全
3.2.1 射頻指紋識別與信號抗干擾
通過建立無人機射頻指紋庫,通信雙方利用射頻指紋識別與檢測方法,發現和阻斷非法無人機或實體的連接。利用跳擴頻控制加密、頻譜資源優化等手段,加強無人機抗干擾抗截獲能力。
3.2.2 輕量級認證與互聯控制
針對無人機通信帶寬窄的特點,使用輕量級認證協議實現無人機之間組網互聯的安全認證,防止非法和假冒用戶的接入。
3.2.3 無線傳輸加密
對無線空口實施鏈路層加密、網絡層加密等手段,確保數據在空口傳輸的機密性和完整性。
3.2.4 無線攻擊檢測
無線網絡攻擊檢測通過畸形協議攻擊檢測、網絡行為異常檢測和流量擁塞攻擊檢測等技術,發現針對無線通信協議格式、協議交互、通信行為以及網絡流量的攻擊。
3.2.5 分布式組網安全
針對MANET網絡分布式組網,通過對路由協議增強、路由攻擊檢測等技術,發現和阻斷針對路由組網的攻擊。
3.3 應用控制安全
應用控制安全通過身份認證和授權訪問控制確保合法用戶能夠訪問和使用控制軟件。軟件可信基于軟件可信度量實現應用軟件運行控制,防止非法軟件的運行,對存儲在無人機內的敏感數據進行加密存儲,防止攻擊者竊取。
3.3.1 軟件可信
基于軟件白名單和數字簽名機制,為應用軟件運行提供安全保證,實現軟件的來源可信、運行可控,并提供軟件的發布、更新等管理手段。
3.3.2 數據加密
對存儲在無人機內的敏感數據進行加密存儲,防止攻擊者竊取。
3.3.3 身份認證與授權訪問
對數據資源的訪問進行安全管控,對訪問行為進行記錄和審計,保證合法的用戶訪問合法的數據。
3.4 安全保密運維
安全保密運維通過設備管理、策略管理、密鑰管理和安全態勢,實現無人機狀態監控、安全策略的調整與分發、無人機秘鑰管理與分發以及無人機安全態勢分析與呈現,如圖6所示。
圖6 安全保密運維
3.4.1 策略管理
通過策略的分組管理,可依據實際情況對多個無人機進行分組,為每組無人機制定相應的策略,并在無人機執行任務之前批量下發每組無人機,同時可在線調整個別無人機安全策略。
3.4.2 安全態勢
地面控制中心通過在線或離線方式收集無人機的安全事件、系統日志、狀態監控以及策略參數等數據,通過綜合分析形成安全態勢,進行可視化展現。
3.4.3 密碼管理
實現密鑰管理、密鑰分發,能夠根據無人機執行不同任務動態調整密鑰分發策略。
3.5 安全保密支撐
安全保密支撐為無人機平臺、組網、數據存儲等提供密碼算法、密碼芯片和身份管理支撐。
3.5.1 密碼算法
密碼算法為安全保密提供加密、簽名、雜湊等算法,可用于加密、認證、消息完整性保護等。
3.5.2 密碼芯片
密碼芯片是密碼算法的物理載體,并提供高速密碼運算能力。
3.5.3 身份管理
身份管理提供無人機用戶、設備的管理功能,并提供無人機系統身份認證支撐。
4 無人機安全保密關鍵技術
4.1 可信加固的無人機系統平臺技術
無人機系統包括無人機硬件平臺和嵌入式操作系統。無人機飛行控制軟件等運行在無人機操作系統上,一旦攻擊者利用系統漏洞侵入操作系統取得控制權,則可獲取無人機數據或控制無人機行動,造成嚴重的危害。
安全無人機系統平臺技術的研究主要集中在兩個方向——可形式化證明的無人機系統和基于可信計算的無人機系統。其中,可形式化證明的無人機系統的關鍵在于驗證無人機操作系統內核的正確性,確保內核代碼沒有存在潛在的安全漏洞,從而保證其代碼完全符合設計規范,達到消除潛在漏洞的目的。
美國加州大學、卡內基梅隆大學等將形式化驗證技術引入無人機系統,用于驗證控制器等模塊功能的正確性,從而達到提高無人機可靠性的目的。美國國防高等研究計劃署(Defense Advanced Research Projects Agency,DARPA)在髙可信網絡軍事系統項目(High-Assurance Cyber Military Systems,HACMS)中提出建立一套完整的經過形式化驗證的無人機系統,但可形式化證明的方法在實現時開發流程復雜,難以應用于實際場景。
無人機平臺可信計算通過嵌入在平臺中的TPM和可信軟件棧,構建基于可信度量的信任鏈傳遞架構,可確保平臺中的關鍵硬件、固件、系統內核、關鍵程序都是未被篡改、真實可信的。ARM公司的TrustZone技術在嵌入式內核中植入可信代碼區域,加固系統安全性;德國波鴻魯爾大學研究人員針對嵌入式系統提出了一種基于微內核的可信虛擬區域構造方法;Denk等人設計開發了輕量級的、具備可信引導功能的系統引導程序DasU-boot,可對操作系統內核鏡像進行可信度量,防止非法代碼的執行。
可信加固的無人機系統平臺可結合嵌入式平臺可信技術和操作系統形式化驗證技術,構建可信、可靠的無人機運行環境,主要研究方向包括可信嵌入式可信平臺的實時性等性能提升以及可形式化驗證操作系統內核的可擴展性提升等。
4.2 無人機網絡抗干擾技術
目前,國內外對無人機網絡抗干擾技術的研究方向主要集中在跳擴頻、頻譜資源分配優化等方面。
跳頻擴頻技術(Frequency-Hopping Spread Spectrum,FHSS)長期被用來提高無線通信的抗干擾能力,主要通過快速切換頻率載波來積極躲避干擾攻擊。對于無人機移動Ad Hoc網絡,每個節點具有移動性和能量受限性,且網絡容量有限,導致跳擴頻存在一定的局限性。
頻譜資源優化與FHSS不同,通過對可用頻譜資源的最佳使用實現抗干擾。頻譜資源優化利用自適應方法達到最優資源分配效果。通常通過同時在幾個不同的信道上分配資源來嘗試最大化鏈路的信息理論容量,每個用戶能夠獨立使用迭代學習算法動態計算,使控制信道能夠抵抗特定的破壞性攻擊。
以上方法的思路聚焦于發送方采取抗干擾措施,但隨著干擾技術的發展,越來越準確的干擾攻擊將壓縮發送方的抗干擾空間。為此,可從無人機接收方的角度考慮,借鑒固定網絡中的“蜜罐”思路,在無人機網絡中引入針對干擾攻擊的欺騙機制,使網絡中的空閑節點偽裝成傳輸節點,通過誘騙干擾方對其進行干擾,吸引干擾功率以提高網絡中傳輸對的傳輸性能,可有效擴展無人機網絡的干擾對抗空間。
4.3 無人機無線網絡輕量級認證技術
無人機MANET網絡極易受到假冒接入的攻擊威脅,而身份認證技術是極為重要的安全防護技術。由于MANET網絡分布式、動態變化的特性,輕量級認證技術是其研究重點。
無人機的組網認證包括有中心的無人機網絡認證和無中心的無人機網絡認證兩類。有中心的無人機認證架構中,管理中心為無人機分發密鑰,并提供無人機身份認證功能。無中心的無人機認證架構利用門限密鑰技術,由網絡中多個節點共同參與密鑰生成和身份認證。
在兩種認證模型中,重點研究的是輕量級的認證算法,主要思路集中在簡化認證交互次數、交互數據量,同時兼顧通信的機密性、完整性及不可否認性。
4.4 無人機網絡密鑰管理與通信加密技術
鑒于無人機網絡的自身特殊性和網絡結構限制,無人機網絡的密鑰管理需要適應密鑰怕丟失、成員動態變化、資源受限等需求。目前,無人機網絡密鑰管理包括以下幾種。
(1)基于證書的分布式密鑰管理。分布式CA將系統私鑰分為n份,并隨機分發給n個節點,構成分布式證書頒發機構(Distributed Certificate Authority,D-CA),為所有無人機節點生成和分配證書。
(2)基于身份ID的密鑰管理。用戶公鑰由用戶ID、身份證號或電子郵箱等具有獨特屬性的身份標識構成,而不再與證書綁定,可避免復雜的證書管理開銷,并降低計算開銷和通信成本。
(3)無證書公鑰管理。在基于身份ID公鑰密碼的基礎上,將門限密碼學與無證書公鑰密碼相結合,實現無證書MANET密鑰管理。
基于以上密鑰管理模型,針對無人機網絡特點,主要研究方向集中在分布式密鑰管理和降低密鑰管理開銷等方面。例如,基于Blom算法設計的密鑰分配方案通過組間和組內的雙空間密鑰管理,降低了計算開銷,提高了密鑰計算速度,提升了通信效率和安全性。
4.5 無人機基于行為的攻擊檢測技術
無人機系統是一種典型的、應用廣泛的信息物理系統(Cyber Physical Systems,CPS)。與普通計算機相比,它的系統組成與信息處理環節更多,也更復雜,導致針對無人機的攻擊途徑更加多元化,攻擊目標也更加多樣。攻擊者在擁有專業知識背景的前提下,攻擊產生的影響或造成的危害更加嚴重。傳統的攻擊檢測技術主要集中在信息域,對網絡數據、日志數據等進行分析建模,無法直接用在無人機這種典型的信息物理系統。
無人機的攻擊檢測應結合信息域和物理域的信息,分別采用適合的檢測手段,同時考慮資源受限條件下采取的入侵檢測策略。例如,對無人機網絡行為的攻擊檢測可采用基于機器學習的網絡行為分析技術,通過機器學習算法分析無人機間的數據通信和路由交換,構建正常行為模型,發現異常行為。
對無人機系統內部信息處理可使用基于圖形算法的入侵檢測模型,選取無人機中各模塊間信息傳遞的時間戳作為特征來源,將這些特征圖形化,形成散點圖子模型和多邊形圖子模型,檢測信息欺騙攻擊和拒絕服務攻擊。對無人機物理域的攻擊檢測,可基于粒子濾波算法的入侵檢測模型對無人機的飛行狀態進行評估,通過粒子濾波算法的估計和閾值的設定檢測入侵的發生和發生時刻。
多種檢測方法可相互融合、補充,需要考慮資源受限條件下的入侵檢測的策略。入侵檢測模型的加入不能影響對象本身的控制實時性和穩定性,可通過非合作靜態博弈算法選擇恰當的入侵檢測策略,降低資源消耗的影響。
4.6 無人機安全組網技術
無人機MANET網絡存在分布式、多跳、拓撲變化快等特點,針對MANET的安全組網技術,研究的最多的是通信傳輸保護、路由安全增強等。
文獻提出了無人機MANET網絡的安全路由增強方法,考慮了網絡信道開銷的因素,在提供路由節點身份認證、數據加密的同時,降低了信息交互的開銷。也有人針對MANET網絡提出性能最優AODV協議,在MSAODV、AODV-SEC協議的基礎上引入對稱和非對稱的加密方法,實現路由協商過程的機密性、完整性和真實性保護。
以上方法主要針對的是組網路由協議和數據傳輸的安全。隨著無人機蜂群技術的不斷成熟,無人機蜂群網絡的協同組網防護是下一個研究的重點。
5 結 語
隨著無人機在民用和軍事領域的廣泛使用,它的安全保密性受到了越來越多的關注。本文分析了無人機及無人機網絡的安全威脅,提出了無人機安全保密體系架構,并簡要梳理了涉及的主要關鍵技術,以期為無人機安全保密防護系統建立及實現提供助益。
