郭晶晶 高華敏 劉志全 王立波 張興隆

摘要：安全性是無(wú)人機(jī)自組網(wǎng)路由協(xié)議面臨的重要挑戰(zhàn)之一。針對(duì)現(xiàn)有工作對(duì)分級(jí)路由協(xié)議中拓?fù)錁?gòu)建消息安全性防護(hù)的不足，本文針對(duì)分級(jí)無(wú)人機(jī)自組網(wǎng)的路由協(xié)議提出了一種拓?fù)錁?gòu)建消息的安全保護(hù)方案，該方案可以保證分級(jí)無(wú)人機(jī)自組網(wǎng)在拓?fù)浣⑦^(guò)程中節(jié)點(diǎn)間交互消息的完整性，從而避免完整性遭到破壞的信息被用于網(wǎng)絡(luò)拓?fù)錁?gòu)建以及創(chuàng)建路由的過(guò)程中，提高路由協(xié)議的健壯性與可靠性。針對(duì)拓?fù)湎⒅械撵o態(tài)信息提出了基于聯(lián)盟區(qū)塊鏈的完整性驗(yàn)證方法，減少了整個(gè)方案的計(jì)算與傳輸開(kāi)銷(xiāo)。通過(guò)對(duì)所提方案進(jìn)行安全性分析，證明了該方案能夠有效抵御拓?fù)湎鬏斶^(guò)程中的假冒攻擊和消息篡改攻擊。最后，通過(guò)仿真試驗(yàn)分析了該方案在不同無(wú)人機(jī)自組網(wǎng)路由協(xié)議中的性能。試驗(yàn)結(jié)果表明，該方案的時(shí)間開(kāi)銷(xiāo)小于100ms，內(nèi)存開(kāi)銷(xiāo)小于路由總開(kāi)銷(xiāo)的35%。

關(guān)鍵詞：無(wú)人機(jī)自組網(wǎng)；分級(jí)路由協(xié)議；完整性保護(hù)；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：ADOI：10.19452/j.issn1007-5453.2022.04.005

基金項(xiàng)目：國(guó)家自然科學(xué)基金（62032025，62102167）；航空科學(xué)基金（20185881015）

無(wú)人機(jī)自組織網(wǎng)絡(luò)（UAV Ad-hoc Networks， UANETs）是移動(dòng)自組織網(wǎng)絡(luò)（Mobile Ad-hoc Network， MANET）在無(wú)人機(jī)領(lǐng)域的典型應(yīng)用之一。因具有自組織、移動(dòng)性、拓?fù)鋭?dòng)態(tài)性和抗毀性強(qiáng)等特點(diǎn)，無(wú)人機(jī)自組織網(wǎng)絡(luò)目前在軍用和民用領(lǐng)域都具有廣泛的應(yīng)用[1]，如地質(zhì)勘測(cè)、搶險(xiǎn)救災(zāi)、區(qū)域偵察[2]和無(wú)人集群協(xié)同作戰(zhàn)[3]等。無(wú)人機(jī)自組織網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)主要分為平面網(wǎng)絡(luò)結(jié)構(gòu)與分級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，分級(jí)網(wǎng)絡(luò)結(jié)構(gòu)更適合于規(guī)模中等及以上的無(wú)人機(jī)自組織網(wǎng)絡(luò)。在分級(jí)網(wǎng)絡(luò)結(jié)構(gòu)中，網(wǎng)絡(luò)節(jié)點(diǎn)被分為若干個(gè)簇，每個(gè)簇?fù)碛幸粋€(gè)簇頭節(jié)點(diǎn)和若干個(gè)簇成員節(jié)點(diǎn)，其中簇頭節(jié)點(diǎn)負(fù)責(zé)管理簇內(nèi)的其他節(jié)點(diǎn)并與其他簇的簇頭節(jié)點(diǎn)通信，簇成員節(jié)點(diǎn)需要與其他節(jié)點(diǎn)通信時(shí)，首先將消息發(fā)送給其簇頭，再由簇頭將消息轉(zhuǎn)發(fā)至目的節(jié)點(diǎn)。

因?yàn)殚_(kāi)放的無(wú)線通信環(huán)境，靈活多變的協(xié)作模式，無(wú)人機(jī)自組網(wǎng)在構(gòu)建拓?fù)渑c建立路由過(guò)程中容易遭受內(nèi)、外部攻擊。在網(wǎng)絡(luò)拓?fù)錁?gòu)建過(guò)程中，無(wú)人機(jī)自組網(wǎng)主要面臨的安全威脅包括篡改攻擊、假冒攻擊等，若拓?fù)錁?gòu)建消息的完整性遭到破壞，將導(dǎo)致錯(cuò)誤的數(shù)據(jù)被用于網(wǎng)絡(luò)拓?fù)錁?gòu)建，形成無(wú)效或低效拓?fù)浣Y(jié)構(gòu)?，F(xiàn)有的無(wú)人機(jī)自組網(wǎng)安全性保護(hù)的相關(guān)工作主要集中于網(wǎng)絡(luò)拓?fù)浣⒑蠊?jié)點(diǎn)間傳輸消息時(shí)的身份合法性驗(yàn)證、消息機(jī)密性保護(hù)、消息完整性保護(hù)、惡意節(jié)點(diǎn)檢測(cè)[4]等領(lǐng)域，缺乏針對(duì)網(wǎng)絡(luò)拓?fù)浣⑦^(guò)程中的消息安全性保護(hù)機(jī)制，現(xiàn)有少量針對(duì)拓?fù)湎⒌陌踩雷o(hù)方案均適用于平面網(wǎng)絡(luò)結(jié)構(gòu)的無(wú)人機(jī)自組網(wǎng)[5-9]，無(wú)法直接應(yīng)用于分級(jí)網(wǎng)絡(luò)結(jié)構(gòu)。

針對(duì)這一問(wèn)題，本文提出了一種無(wú)人機(jī)自組織網(wǎng)絡(luò)分級(jí)路由協(xié)議中的路由消息安全性保護(hù)方案。在該方案可以保證分級(jí)網(wǎng)絡(luò)結(jié)構(gòu)的無(wú)人機(jī)自組網(wǎng)在拓?fù)浣⑦^(guò)程中節(jié)點(diǎn)間交互消息的完整性，從而避免完整性遭到破壞的信息被用于網(wǎng)絡(luò)拓?fù)錁?gòu)建以及創(chuàng)建路由的過(guò)程中，提高路由協(xié)議的健壯性與可靠性。

本文工作的創(chuàng)新之處主要包括以下三點(diǎn)：（1）針對(duì)無(wú)人機(jī)自組織網(wǎng)絡(luò)分級(jí)路由協(xié)議提出了拓?fù)錁?gòu)建消息的完整性保護(hù)方案，該方案可以避免完整性遭到破壞的信息被用于網(wǎng)絡(luò)拓?fù)錁?gòu)建以及創(chuàng)建路由的過(guò)程中，提高路由協(xié)議的健壯性與可靠性。（2）為了減少所提方案對(duì)整個(gè)網(wǎng)絡(luò)性能的影響，針對(duì)拓?fù)湎⒅械撵o態(tài)信息提出了基于聯(lián)盟區(qū)塊鏈的完整性保護(hù)方案，減少了整個(gè)方案的計(jì)算與傳輸開(kāi)銷(xiāo)。（3）針對(duì)所提方案進(jìn)行了安全性分析，結(jié)果表明所提方案可以有效抵御完整性破壞攻擊（假冒攻擊和消息篡改攻擊），通過(guò)仿真試驗(yàn)驗(yàn)證了所提方案不會(huì)對(duì)原有路由協(xié)議造成嚴(yán)重的額外資源開(kāi)銷(xiāo)。

1研究現(xiàn)狀

隨著無(wú)人機(jī)自組網(wǎng)的應(yīng)用越來(lái)越廣泛，國(guó)內(nèi)外學(xué)者已經(jīng)提出了大量的無(wú)人機(jī)自組網(wǎng)路由協(xié)議，然而目前針對(duì)路由協(xié)議的安全保護(hù)機(jī)制的研究較少，若無(wú)法保證路由建立過(guò)程中信息的完整性，惡意信息有可能被用于建立網(wǎng)絡(luò)拓?fù)湟约奥酚陕窂竭^(guò)程中，從而導(dǎo)致網(wǎng)絡(luò)拓?fù)洳环€(wěn)定、路由效率低下等問(wèn)題，為網(wǎng)絡(luò)性能帶來(lái)極大的負(fù)面影響。

1.1無(wú)人機(jī)自組網(wǎng)路由協(xié)議

從網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)角度出發(fā)，無(wú)人機(jī)自組網(wǎng)的路由協(xié)議主要可以分為不分級(jí)路由協(xié)議和分級(jí)路由協(xié)議。其中，不分級(jí)的路由協(xié)議適用于平面網(wǎng)絡(luò)結(jié)構(gòu)，在網(wǎng)絡(luò)中所有節(jié)點(diǎn)地位平等，都具有轉(zhuǎn)發(fā)與路由的功能，現(xiàn)有的經(jīng)典協(xié)議包括按需距離矢量路由（ad-hoc on-demand distance vector， AODV）[10]、最優(yōu)鏈路狀態(tài)路由協(xié)議（optimized link state routing protocol， OLSR）[11]、動(dòng)態(tài)源路由協(xié)議（dynamic state routing， DSR）[12]、地理位置路由協(xié)議GPSR、基于地理位置綜合選擇下一跳的航空自組網(wǎng)安全路由算法（secure geographic information routing protocol，SGRP）[13]等。然而在復(fù)雜任務(wù)情境下，隨著無(wú)人機(jī)自組網(wǎng)中無(wú)人機(jī)節(jié)點(diǎn)數(shù)量的增加，為了均衡無(wú)人機(jī)節(jié)點(diǎn)負(fù)載、提高網(wǎng)絡(luò)的穩(wěn)定性，分級(jí)路由協(xié)議成為了研究的熱點(diǎn)。現(xiàn)有的經(jīng)典分級(jí)路由協(xié)議主要包括：以網(wǎng)絡(luò)節(jié)點(diǎn)唯一標(biāo)識(shí)符ID號(hào)為因子的LowestID分簇算法[14]；考慮節(jié)點(diǎn)移動(dòng)因素的基于移動(dòng)性預(yù)測(cè)的分簇算法（mobility based metric for clustering， MOBICI）[15]；旨在優(yōu)化能源消耗的分簇算法（imperialist competitive algorithm，ICA）[16]；基于權(quán)重的分簇算法（weighted clustering algorithm，WCA）[17]以節(jié)點(diǎn)的能量、節(jié)點(diǎn)度、節(jié)點(diǎn)間的距離和節(jié)點(diǎn)的移動(dòng)速度作為節(jié)點(diǎn)競(jìng)選簇頭的衡量標(biāo)準(zhǔn)，對(duì)網(wǎng)絡(luò)進(jìn)行分簇，實(shí)現(xiàn)網(wǎng)絡(luò)的分級(jí)管理；基于可靠性的分簇算法（dependability-based clustering algorithm，DCA）[18]以節(jié)點(diǎn)能量、鏈路保持率、節(jié)點(diǎn)度和通信量為因子劃分簇網(wǎng)絡(luò)，分別以增強(qiáng)拓?fù)浞€(wěn)定性、節(jié)約能量、提高服務(wù)質(zhì)量為目標(biāo)調(diào)整分簇過(guò)程中各因子的比重，最大程度實(shí)現(xiàn)網(wǎng)絡(luò)拓?fù)浞€(wěn)定、減少能量消耗或提高網(wǎng)絡(luò)服務(wù)質(zhì)量。上述分級(jí)路由協(xié)議中，路由的形成均建立在構(gòu)建網(wǎng)絡(luò)分級(jí)拓?fù)浣Y(jié)構(gòu)的基礎(chǔ)上，即完成網(wǎng)絡(luò)節(jié)點(diǎn)的分簇。

1.2無(wú)人機(jī)自組網(wǎng)路由安全保護(hù)機(jī)制

與有線網(wǎng)絡(luò)相比，通過(guò)無(wú)線介質(zhì)通信的無(wú)人機(jī)網(wǎng)絡(luò)更容易受到攻擊，攻擊者可能通過(guò)竊聽(tīng)網(wǎng)絡(luò)層的控制信息發(fā)起一系列惡意行為擾亂路由機(jī)制[5]。暴露在易受攻擊的無(wú)線環(huán)境下，無(wú)線自組網(wǎng)的網(wǎng)絡(luò)信息安全傳輸必須滿足數(shù)據(jù)通信的安全和路由協(xié)議的安全兩個(gè)方面[6]。當(dāng)前，有學(xué)者提出了一些保護(hù)無(wú)人機(jī)自組網(wǎng)路由協(xié)議的方案。Manel針對(duì)AODV協(xié)議提出了安全增強(qiáng)方法（secure ad hoc ondemand distance vector， SAODV）[6]，用來(lái)保護(hù)路由發(fā)現(xiàn)階段信息與路由錯(cuò)誤信息的安全性。Jean-Aimé等提出了SUAP[7-9，19]安全協(xié)議，該方案結(jié)合哈希鏈與公鑰密碼機(jī)制抵御數(shù)據(jù)通信過(guò)程中的蟲(chóng)洞攻擊，從而實(shí)現(xiàn)對(duì)AODV協(xié)議的安全性保護(hù)。這些方案均針對(duì)非分級(jí)路由協(xié)議提出，無(wú)法直接應(yīng)用于分級(jí)路由協(xié)議中。通過(guò)調(diào)研，我們發(fā)現(xiàn)目前針對(duì)分級(jí)路由協(xié)議的安全保護(hù)機(jī)制的研究較少，亟須設(shè)計(jì)一種高效、輕量級(jí)的分層路由協(xié)議安全保護(hù)機(jī)制，保證在構(gòu)建網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)過(guò)程中節(jié)點(diǎn)間傳輸?shù)耐負(fù)錁?gòu)建信息的完整性，避免因惡意攻擊或故障導(dǎo)致錯(cuò)誤信息被用于拓?fù)錁?gòu)建過(guò)程，形成低效或無(wú)效拓?fù)?，?duì)上層服務(wù)產(chǎn)生負(fù)面影響。

在數(shù)據(jù)完整性保護(hù)方面，除了利用哈希函數(shù)與數(shù)字簽名技術(shù)，區(qū)塊鏈因其可追溯、不可篡改的特點(diǎn)也越來(lái)越多地被用于保護(hù)信息的完整性。參考文獻(xiàn)[20]提出了一種基于區(qū)塊鏈的無(wú)線傳感器感知數(shù)據(jù)記錄系統(tǒng)，保護(hù)敏感數(shù)據(jù)不被篡改，提高無(wú)線傳感器網(wǎng)絡(luò)的可靠性。參考文獻(xiàn)[21]提出了一種基于區(qū)塊鏈的云存儲(chǔ)數(shù)據(jù)完整性服務(wù)框架，為數(shù)據(jù)所有者和使用者提供可靠的動(dòng)態(tài)數(shù)據(jù)完整性驗(yàn)證。

針對(duì)當(dāng)前分級(jí)無(wú)人機(jī)自組網(wǎng)路由協(xié)議安全保護(hù)機(jī)制缺失的問(wèn)題，本文提出一種無(wú)人機(jī)自組織網(wǎng)絡(luò)分級(jí)路由協(xié)議中的路由消息安全性保護(hù)方案。該方案可以保證分級(jí)網(wǎng)絡(luò)結(jié)構(gòu)的無(wú)人機(jī)自組網(wǎng)在拓?fù)浣⑦^(guò)程中節(jié)點(diǎn)間交互消息的完整性。在該方案中，利用區(qū)塊鏈技術(shù)存儲(chǔ)靜態(tài)拓?fù)湎⒉Ⅱ?yàn)證和確保其完整性，同時(shí)減少所提方案的資源開(kāi)銷(xiāo)。

2基本理論

在本文所提方案中，用到了基于橢圓曲線加密算法的數(shù)字簽名以及區(qū)塊鏈技術(shù)來(lái)實(shí)現(xiàn)分級(jí)路由協(xié)議中拓?fù)湫畔⒌耐暾员Ｗo(hù)。

2.1橢圓曲線數(shù)字簽名算法

橢圓曲線數(shù)字簽名算法（elliptic curve digital signature algorithm， ECDSA）是使用橢圓曲線密碼（elliptic curve cryptography，ECC）對(duì)數(shù)字簽名算法DSA的模擬[22]。該算法主要包括密鑰生成、簽名、驗(yàn)證簽名三個(gè)部分，細(xì)節(jié)如下所示。

如果等式（7）成立，則簽名驗(yàn)證通過(guò)，說(shuō)明消息M的完整性未受到破壞。否則，驗(yàn)證不通過(guò)，說(shuō)明消息M的完整性遭受破壞。

2.2區(qū)塊鏈技術(shù)

區(qū)塊鏈概念起源于2008年發(fā)布的比特幣白皮書(shū)[23]，其本質(zhì)上是一種由多方參與的去中心化數(shù)據(jù)庫(kù)，也就是由存儲(chǔ)各參與方交易信息的區(qū)塊結(jié)合哈希鏈算法構(gòu)成的共享賬本[24-25]。從計(jì)算機(jī)技術(shù)角度看，它融合了分布式存儲(chǔ)、對(duì)等網(wǎng)絡(luò)、密碼學(xué)原理、智能合約和共識(shí)機(jī)制等技術(shù)[26]。區(qū)塊鏈可分為非許可鏈（permissionless blockchain）和許可鏈（permissioned blockchain）兩類。任何參與方都可以隨時(shí)加入非許可鏈網(wǎng)絡(luò)并參與計(jì)算；在許可鏈網(wǎng)絡(luò)中，每個(gè)參與方加入網(wǎng)絡(luò)前都需要經(jīng)過(guò)認(rèn)證授權(quán)，許可鏈進(jìn)一步可分為私有鏈（fully private blockchain）和聯(lián)盟鏈（consortium block chain）[27]，如hyperledger fabric就是聯(lián)盟鏈的典型實(shí)現(xiàn)。

本文將利用聯(lián)盟鏈的特性，設(shè)計(jì)路由過(guò)程中的靜態(tài)拓?fù)湎⒌耐暾则?yàn)證方案，將各節(jié)點(diǎn)用于拓?fù)湎⒅械撵o態(tài)數(shù)據(jù)（如節(jié)點(diǎn)身份標(biāo)識(shí)等）及其簽名數(shù)據(jù)存儲(chǔ)于區(qū)塊鏈中，在完整性驗(yàn)證期間，通過(guò)訪問(wèn)存儲(chǔ)于鏈上的對(duì)應(yīng)信息來(lái)驗(yàn)證拓?fù)湎⒅械撵o態(tài)信息是否遭到完整性破壞，避免多次傳輸與計(jì)算這些信息及其簽名數(shù)據(jù)，降低所提方案的計(jì)算與通信開(kāi)銷(xiāo)。

3系統(tǒng)結(jié)構(gòu)與安全目標(biāo)

本節(jié)我們首先給出所提方案考慮的無(wú)人機(jī)網(wǎng)絡(luò)架構(gòu)，并對(duì)現(xiàn)有無(wú)人機(jī)自組網(wǎng)分層路由協(xié)議中網(wǎng)絡(luò)拓?fù)錁?gòu)建過(guò)程中節(jié)點(diǎn)間的交互消息進(jìn)行了分析，然后給出了無(wú)人機(jī)自組網(wǎng)拓?fù)湎⒌臄呈帜Ｐ?，最后提出了本文的設(shè)計(jì)目標(biāo)。

3.1無(wú)人機(jī)網(wǎng)絡(luò)架構(gòu)

本文所考慮的無(wú)人機(jī)自組織網(wǎng)絡(luò)由一個(gè)地面站以及若干個(gè)無(wú)人機(jī)節(jié)點(diǎn)組成，所有無(wú)人機(jī)節(jié)點(diǎn)被劃分為若干個(gè)簇，每個(gè)簇由一個(gè)簇頭及若干個(gè)簇內(nèi)節(jié)點(diǎn)組成，簇頭負(fù)責(zé)管理簇內(nèi)節(jié)點(diǎn)完成簇內(nèi)通信，所有的簇頭與地面站構(gòu)成無(wú)人機(jī)自組織網(wǎng)絡(luò)的骨干通信網(wǎng)，負(fù)責(zé)完成簇間通信任務(wù)。在以上所述網(wǎng)絡(luò)架構(gòu)上提出的拓?fù)湎⑼暾员Ｗo(hù)框架如圖1所示。

地面站作為可信第三方部署了密鑰管理中心負(fù)責(zé)為網(wǎng)絡(luò)中各節(jié)點(diǎn)生成公私鑰對(duì)，認(rèn)證中心（CA）采用PKI（public key infrastructure）架構(gòu)負(fù)責(zé)在節(jié)點(diǎn)加入網(wǎng)絡(luò)時(shí)為其簽發(fā)證書(shū)并對(duì)所有證書(shū)進(jìn)行管理。各無(wú)人機(jī)節(jié)點(diǎn)與地面站共同建立聯(lián)盟區(qū)塊鏈網(wǎng)絡(luò)，與拓?fù)湎⒅械撵o態(tài)數(shù)據(jù)完整性保護(hù)相關(guān)的數(shù)據(jù)將存放在該區(qū)塊鏈中，并可以在靜態(tài)消息完整性驗(yàn)證時(shí)被節(jié)點(diǎn)或地面站訪問(wèn)。

在現(xiàn)有的無(wú)人機(jī)自組網(wǎng)分層路由協(xié)議中，拓?fù)錁?gòu)建（簇結(jié)構(gòu)形成）過(guò)程中節(jié)點(diǎn)間進(jìn)行交互的消息可以分為廣播消息與單播消息兩類。

廣播消息主要包括無(wú)人機(jī)節(jié)點(diǎn)向外發(fā)送的用于鄰居發(fā)現(xiàn)、效用公布、簇頭聲明的消息以及地面控制站向無(wú)人機(jī)節(jié)點(diǎn)發(fā)送的指令消息。無(wú)人機(jī)節(jié)點(diǎn)發(fā)送的廣播消息只發(fā)送給其一跳鄰居節(jié)點(diǎn)（單跳），而地面控制消息可能需要無(wú)人機(jī)節(jié)點(diǎn)的轉(zhuǎn)發(fā)（多跳）從而將指令消息發(fā)送給所有節(jié)點(diǎn)。4種廣播消息的具體介紹如下。

（1）鄰居發(fā)現(xiàn)消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、發(fā)送者基本信息（位置、速度等）、時(shí)間戳和隨機(jī)數(shù)等。

（2）效用公布消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份及發(fā)送者的效用值（在特定范圍內(nèi)效用值最大的節(jié)點(diǎn)將被選舉為簇頭）、時(shí)間戳和隨機(jī)數(shù)等。

（3）簇頭聲明消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、簇頭聲明標(biāo)識(shí)、時(shí)間戳、隨機(jī)數(shù)等。

（4）地面控制消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、指令、指令參數(shù)、時(shí)間戳、隨機(jī)數(shù)等。

單播消息主要包含簇加入請(qǐng)求消息（節(jié)點(diǎn)請(qǐng)求加入某個(gè)簇），簇頭節(jié)點(diǎn)對(duì)簇加入請(qǐng)求消息的響應(yīng)，以及節(jié)點(diǎn)向地面控制站發(fā)送指令確認(rèn)消息。其中，前兩種消息不會(huì)被轉(zhuǎn)發(fā)（單跳），而指令確認(rèn)消息可能需要其他節(jié)點(diǎn)的轉(zhuǎn)發(fā)（多跳），從而將消息從發(fā)送者送達(dá)地面控制站。下面對(duì)這三種單播消息進(jìn)行具體介紹：（1）簇加入請(qǐng)求消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、簇頭節(jié)點(diǎn)身份、時(shí)間戳、隨機(jī)數(shù)等。（2）簇加入請(qǐng)求響應(yīng)消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份（簇頭）、響應(yīng)對(duì)象身份（發(fā)起簇加入請(qǐng)求的節(jié)點(diǎn)）、時(shí)間戳、隨機(jī)數(shù)等。（3）指令確認(rèn)消息：消息內(nèi)容主要包含消息類型、發(fā)送者身份、指令序列號(hào)、時(shí)間戳、隨機(jī)數(shù)等。

綜上所述，分層次的拓?fù)湎⒅兴臄?shù)據(jù)可以分為靜態(tài)消息與動(dòng)態(tài)消息，靜態(tài)消息表示其內(nèi)容在某節(jié)點(diǎn)發(fā)送的不同拓?fù)湎⒅斜３植蛔?，如發(fā)送者身份；動(dòng)態(tài)消息表示其內(nèi)容在同一節(jié)點(diǎn)發(fā)送的不同消息中可能會(huì)發(fā)生改變，如鄰居發(fā)現(xiàn)消息中的位置、速度信息，效用公布消息中的效用值，簇加入請(qǐng)求消息中的簇頭節(jié)點(diǎn)身份，以及各個(gè)消息中包含的時(shí)間戳與隨機(jī)數(shù)。

3.2敵手模型

我們假設(shè)攻擊者S可以是未加入網(wǎng)絡(luò)的陌生節(jié)點(diǎn)，或是網(wǎng)絡(luò)內(nèi)部的任意無(wú)人機(jī)，在網(wǎng)絡(luò)拓?fù)錁?gòu)建過(guò)程中地面站是可信的，攻擊者S無(wú)法對(duì)地面站進(jìn)行攻擊，但是能夠進(jìn)行拓?fù)湎⒌臄r截、竊聽(tīng)、篡改及重放。

本文中，我們將網(wǎng)絡(luò)拓?fù)浣⑦^(guò)程中地面站、網(wǎng)絡(luò)節(jié)點(diǎn)間發(fā)送的這些消息統(tǒng)稱為拓?fù)湎ⅰＩ衔乃鰯呈中袨榭赡軙?huì)造成拓?fù)湎⒃趥鬏斨惺艿綌呈值拇鄹?、重放等攻擊，?dǎo)致錯(cuò)誤的數(shù)據(jù)被用于網(wǎng)絡(luò)拓?fù)錁?gòu)建，形成無(wú)效或低效拓?fù)浣Y(jié)構(gòu)。

3.3安全目標(biāo)

針對(duì)無(wú)人機(jī)網(wǎng)絡(luò)面臨的以上安全威脅，本文擬設(shè)計(jì)一種針對(duì)無(wú)人機(jī)自組網(wǎng)分層路由協(xié)議中拓?fù)錁?gòu)建過(guò)程中的拓?fù)湎⑼暾员Ｗo(hù)方案，使得拓?fù)湎⒅械男畔o(wú)法在被篡改或重放后通過(guò)消息接收方的驗(yàn)證，確保消息接收者可以通過(guò)所提方案來(lái)確認(rèn)消息是否被篡改或重放；同時(shí)，確保所提方案不給原有路由協(xié)議帶來(lái)過(guò)大資源開(kāi)銷(xiāo)。

4拓?fù)湎⑼暾员Ｗo(hù)方案

基于上一節(jié)對(duì)分層次拓?fù)湎⒌姆治?，我們從不同消息類型的角度出發(fā)分別為靜態(tài)消息與動(dòng)態(tài)消息設(shè)計(jì)完整性保護(hù)方案。針對(duì)靜態(tài)消息，我們擬利用區(qū)塊鏈的不可篡改性實(shí)現(xiàn)完整性保護(hù)。此外，我們擬基于公鑰加密體制實(shí)現(xiàn)動(dòng)態(tài)消息的完整性保護(hù)。

4.1方案框架

拓?fù)湎⑼暾员Ｗo(hù)流程圖如圖2所示。假設(shè)在無(wú)人機(jī)自組網(wǎng)建立路由的過(guò)程中（包括分簇階段與通信鏈路尋找階段），無(wú)人機(jī)節(jié)點(diǎn)A向節(jié)點(diǎn)B發(fā)送消息M。為了保護(hù)消息M的完整性，節(jié)點(diǎn)A將根據(jù)消息M的具體特點(diǎn)進(jìn)行不同操作。首先節(jié)點(diǎn)A根據(jù)消息M的類型將消息M所包含的字段劃分為動(dòng)、靜態(tài)消息兩類，根據(jù)消息M中各字段所屬的類別分別計(jì)算每個(gè)字段的摘要，其中動(dòng)態(tài)消息的摘要通過(guò)哈希函數(shù)計(jì)算得到，靜態(tài)消息摘要可以通過(guò)訪問(wèn)本地存儲(chǔ)表或讀取區(qū)塊鏈數(shù)據(jù)獲得，區(qū)塊鏈的不可篡改特性既保證了靜態(tài)消息的完整性，又避免了重復(fù)計(jì)算靜態(tài)消息的摘要，減少了計(jì)算與時(shí)間開(kāi)銷(xiāo)；最后，節(jié)點(diǎn)A對(duì)消息M及其摘要進(jìn)行簽名，當(dāng)節(jié)點(diǎn)B收到消息M后，對(duì)M進(jìn)行完整性驗(yàn)證，在驗(yàn)證通過(guò)后，將基于該消息中的信息進(jìn)行拓?fù)錁?gòu)建。

4.2完整性保護(hù)方案

下文將給出本文所提方案的詳細(xì)內(nèi)容。

4.2.1系統(tǒng)初始化

當(dāng)節(jié)點(diǎn)加入無(wú)人機(jī)自組網(wǎng)時(shí)，在CA處完成注冊(cè)，KMC為節(jié)點(diǎn)生成密鑰對(duì)后，CA為其頒發(fā)證書(shū)。所有網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)建靜態(tài)信息聯(lián)盟區(qū)塊鏈網(wǎng)絡(luò)用于存儲(chǔ)各節(jié)點(diǎn)的拓?fù)湎⒅械撵o態(tài)信息哈希值（摘要）。節(jié)點(diǎn)上鏈信息的計(jì)算方法如算法1所示。當(dāng)節(jié)點(diǎn)靜態(tài)信息摘要記錄于區(qū)塊鏈后，區(qū)塊鏈網(wǎng)絡(luò)中所有客戶端均可以通過(guò)將節(jié)點(diǎn)身份標(biāo)識(shí)作為關(guān)鍵字對(duì)節(jié)點(diǎn)信息進(jìn)行檢索與訪問(wèn)。

4.2.2消息完整性保護(hù)

單跳消息的完整性保護(hù)方法如算法2所示。消息發(fā)送節(jié)點(diǎn)IDi在發(fā)送消息m前，首先利用哈希函數(shù)H（）計(jì)算動(dòng)態(tài)信息的哈希值，然后利用其私鑰對(duì)靜態(tài)消息哈希值與動(dòng)態(tài)消息哈希值進(jìn)行簽名（靜態(tài)消息哈希值在初始化階段已計(jì)算得到），最后將消息及簽名一同發(fā)送至消息接收方。

算法3給出了多跳消息的完整性保護(hù)方法。首先，消息的發(fā)送者IDi根據(jù)算法2中的方案發(fā)送消息，當(dāng)該消息被轉(zhuǎn)發(fā)節(jié)點(diǎn)收到后，轉(zhuǎn)發(fā)節(jié)點(diǎn)首先檢查該消息的完整性，如果該消息通過(guò)完整性驗(yàn)證，那么轉(zhuǎn)發(fā)節(jié)點(diǎn)可以確認(rèn)該消息的內(nèi)容與發(fā)送者發(fā)送的內(nèi)容一致，未遭受篡改、重放等攻擊；接著轉(zhuǎn)發(fā)節(jié)點(diǎn)將對(duì)其增加的靜態(tài)信息與動(dòng)態(tài)信息分別執(zhí)行哈希運(yùn)算，最后對(duì)靜態(tài)信息與動(dòng)態(tài)信息的哈希值進(jìn)行簽名，并按照算法3中第10行的規(guī)則更新消息并轉(zhuǎn)發(fā)消息至下一跳節(jié)點(diǎn)。當(dāng)消息的目的節(jié)點(diǎn)接收到該消息后，將對(duì)所收到的消息的完整性進(jìn)行驗(yàn)證。若驗(yàn)證通過(guò)，則利用消息中的信息進(jìn)行拓?fù)錁?gòu)建。消息的完整性驗(yàn)證方法將在下文詳細(xì)介紹。

4.2.3消息完整性驗(yàn)證

如上文所述，當(dāng)某節(jié)點(diǎn)接收到其他節(jié)點(diǎn)發(fā)來(lái)的消息后，首先需要驗(yàn)證該消息的完整性。算法4詳細(xì)給出了消息接收節(jié)點(diǎn)（包括消息目的節(jié)點(diǎn)與轉(zhuǎn)發(fā)節(jié)點(diǎn)）驗(yàn)證消息完整性的方法。

5安全性分析

5.1手動(dòng)分析結(jié)果

本節(jié)將分析所提方案針對(duì)常見(jiàn)的完整性破壞攻擊的安全性。

5.1.1假冒攻擊

攻擊方式：攻擊者S假冒合法節(jié)點(diǎn)A偽造新消息發(fā)送給節(jié)點(diǎn)B。

5.2自動(dòng)化分析結(jié)果

Scyther[28]是一種實(shí)現(xiàn)安全協(xié)議自動(dòng)化分析的工具，我們利用Scyther對(duì)本文所提方案進(jìn)行了安全性形式化驗(yàn)證。

接下來(lái)，在通信過(guò)程中，每個(gè)角色既是發(fā)送方也是接收方。第一輪通信事件中，角色I(xiàn)作為發(fā)送方首先對(duì)動(dòng)態(tài)明文信息、時(shí)間戳以及隨機(jī)數(shù)計(jì)算消息摘要，然后利用I的私鑰SKI對(duì)摘要簽名，并執(zhí)行發(fā)送事件send_1（）將消息內(nèi)容與簽名一同發(fā)送給作為接收方的R；接收方R通過(guò)接收事件recv_1（）接收來(lái)自send_1（）的信息，并利用哈希函數(shù)和發(fā)送方I的公鑰進(jìn)行摘要計(jì)算和簽名驗(yàn)證，若通過(guò)驗(yàn)證，則角色R作為發(fā)送方對(duì)作為接收方的角色I(xiàn)發(fā)起第二輪通信，即執(zhí)行發(fā)送事件send_2（）與接收事件recv_2（）。

最后，根據(jù)本方案對(duì)拓?fù)湫畔⒌耐暾员Ｗo(hù)的需求，我們聲明協(xié)議的三個(gè)安全屬性：存活性（Alive）：只要角色參與過(guò)該協(xié)議即滿足存活性認(rèn)證，表明角色可能與任一角色或攻擊者通信。非單射一致性（Niagree）：發(fā)送方和接收方的協(xié)議分析結(jié)果中的數(shù)據(jù)變量集合是一致的，若數(shù)據(jù)變量集合不滿足一致性，則說(shuō)明有攻擊者通過(guò)重放攻擊成功誤導(dǎo)兩個(gè)參與方主體使得協(xié)議結(jié)束后數(shù)據(jù)變量集合的某些變量值不同。非單射同步（Nisynch）：只關(guān)注發(fā)送和接收事件中消息的內(nèi)容和順序，即保證消息完整性的安全需求。如果攻擊者不篡改消息內(nèi)容僅轉(zhuǎn)發(fā)消息，這種情況在非單射同步聲明中不被認(rèn)為是攻擊）。安全聲明描述如下。

使用Scyther自動(dòng)化工具執(zhí)行驗(yàn)證的結(jié)果顯示，本文的安全協(xié)議在限制范圍內(nèi)沒(méi)有找到攻擊，并且通信雙方的安全屬性聲明（alive， niagree， nisynch）全部滿足。證明了通信雙方（I，R）基于本方案的通信和認(rèn)證過(guò)程是安全的。

6試驗(yàn)仿真與分析

6.1試驗(yàn)設(shè)置

基于OPNET平臺(tái)搭建無(wú)人機(jī)自組織網(wǎng)絡(luò)仿真環(huán)境，對(duì)所提方案進(jìn)行性能驗(yàn)證。WCA[7]與DCA[10]協(xié)議都是基于分簇結(jié)構(gòu)的經(jīng)典無(wú)人機(jī)自組網(wǎng)路由協(xié)議，路由建立過(guò)程中均包括了廣播、單跳和多跳消息傳輸?shù)倪^(guò)程，并且消息中均包含動(dòng)、靜態(tài)兩種信息，符合所提出的路由協(xié)議安全保護(hù)機(jī)制的假設(shè)條件，因此我們選擇以上兩個(gè)協(xié)議作為試驗(yàn)分析對(duì)象。首先，在仿真平臺(tái)實(shí)現(xiàn)WCA和DCA兩個(gè)路由協(xié)議；然后，分別在以上兩種路由協(xié)議中引入本方案所提出的完整性保護(hù)機(jī)制，以此來(lái)驗(yàn)證本文所提方案在不同路由協(xié)議中的有效性。路由協(xié)議的試驗(yàn)仿真參數(shù)見(jiàn)表2，試驗(yàn)硬件環(huán)境見(jiàn)表3。

6.2試驗(yàn)結(jié)果

在試驗(yàn)過(guò)程中，我們?cè)O(shè)置網(wǎng)絡(luò)中無(wú)人機(jī)節(jié)點(diǎn)在仿真區(qū)域范圍內(nèi)均勻分布、初始速度一致、初始能量一致。WCA與DCA都屬于典型的分層次路由協(xié)議，滿足本文所提安全保護(hù)方案的適用范圍，我們將本方案引入到以上兩個(gè)協(xié)議，分別稱為WCA_Sec和DCA_Sec，來(lái)測(cè)試方案在整個(gè)無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)的時(shí)間開(kāi)銷(xiāo)和內(nèi)存開(kāi)銷(xiāo)。圖5與圖6是在上述設(shè)置下得到的試驗(yàn)結(jié)果。

在不同網(wǎng)絡(luò)規(guī)模下（節(jié)點(diǎn)數(shù)=10，20，50，100），本方案對(duì)WCA和DCA協(xié)議的分簇時(shí)長(zhǎng)的影響如圖5所示。可以看出，在WCA路由協(xié)議中引入安全方法后（WCA_Sec）的分簇時(shí)長(zhǎng)增量均小于100ms，引入本文所提安全保護(hù)方案對(duì)于協(xié)議的快速分簇性能影響不大。DCA協(xié)議在初始簇劃分過(guò)程中使用了Lowest-ID分簇算法，該算法由地面站根據(jù)無(wú)人機(jī)節(jié)點(diǎn)的ID號(hào)迭代執(zhí)行選舉簇頭和入簇的過(guò)程，不同于WCA路由協(xié)議中無(wú)人機(jī)之間相互通信協(xié)作進(jìn)行自主分簇的過(guò)程，所以在DCA協(xié)議中引入本文所提安全保護(hù)方案對(duì)初始簇形成時(shí)長(zhǎng)沒(méi)有影響。

圖6給出了在不同網(wǎng)絡(luò)規(guī)模下（節(jié)點(diǎn)數(shù)=10，20，50，100）本文所提安全保護(hù)方案在WCA和DCA協(xié)議中針對(duì)整個(gè)無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)的內(nèi)存開(kāi)銷(xiāo)情況。當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)為10時(shí)，本方案在被測(cè)試協(xié)議中的內(nèi)存開(kāi)銷(xiāo)均小于無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)總開(kāi)銷(xiāo)的5%；當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)為20時(shí)，WCA協(xié)議中本方案的內(nèi)存開(kāi)銷(xiāo)占無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)總開(kāi)銷(xiāo)的24%，DCA協(xié)議中本方案的內(nèi)存開(kāi)銷(xiāo)占無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)總開(kāi)銷(xiāo)的4%；當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)為50時(shí)，WCA協(xié)議中本方案的內(nèi)存開(kāi)銷(xiāo)占無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)總開(kāi)銷(xiāo)的25%，DCA協(xié)議中本方案的內(nèi)存開(kāi)銷(xiāo)占中無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)總開(kāi)銷(xiāo)的8%；當(dāng)網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)為100時(shí)，WCA協(xié)議中本方案的內(nèi)存開(kāi)銷(xiāo)占無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)總開(kāi)銷(xiāo)的33.5%，DCA協(xié)議中本方案的內(nèi)存開(kāi)銷(xiāo)占無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)總開(kāi)銷(xiāo)的11%。結(jié)果表明，在兩種被測(cè)試的路由協(xié)議中引入本文所提安全保護(hù)方案的內(nèi)存開(kāi)銷(xiāo)均小于無(wú)人機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)存總開(kāi)銷(xiāo)的35%。由于WCA和DCA協(xié)議運(yùn)行時(shí)會(huì)動(dòng)態(tài)更新無(wú)人機(jī)網(wǎng)絡(luò)的分簇結(jié)構(gòu)，拓?fù)浣Y(jié)構(gòu)的變化導(dǎo)致鏈路中斷的節(jié)點(diǎn)頻繁使用AODV協(xié)議更新路由。在前期研究中發(fā)現(xiàn)，相同網(wǎng)絡(luò)環(huán)境下WCA協(xié)議的分簇結(jié)構(gòu)更新次數(shù)大于DCA協(xié)議，網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)AODV協(xié)議建立路由開(kāi)銷(xiāo)大于DCA協(xié)議，因此WCA協(xié)議所帶來(lái)的開(kāi)銷(xiāo)高于DCA協(xié)議。

試驗(yàn)結(jié)果表明，本文所提方法通過(guò)聯(lián)盟區(qū)塊鏈技術(shù)減少了拓?fù)湎⒅徐o態(tài)信息的完整性保護(hù)帶來(lái)的傳輸和加密計(jì)算，有效降低了時(shí)間和內(nèi)存開(kāi)銷(xiāo)，使得該方法更加輕量級(jí)，其少量的額外開(kāi)銷(xiāo)沒(méi)有影響路由協(xié)議的正常工作。

7結(jié)束語(yǔ)

近年來(lái)，無(wú)人機(jī)自組網(wǎng)在軍用與民用領(lǐng)域的應(yīng)用越來(lái)越廣，路由協(xié)議的安全性是無(wú)人機(jī)自組網(wǎng)領(lǐng)域面臨的重要挑戰(zhàn)之一。本文針對(duì)無(wú)人機(jī)自組網(wǎng)分級(jí)結(jié)構(gòu)路由協(xié)議，重點(diǎn)分析了無(wú)人機(jī)自組網(wǎng)拓?fù)湫畔⒌奶卣髋c協(xié)議的安全性需求，提出了針對(duì)拓?fù)湎⒌妮p量級(jí)完整性保護(hù)方案，保證消息內(nèi)容不被篡改，從而避免被篡改消息在網(wǎng)絡(luò)拓?fù)錁?gòu)建中被利用而形成無(wú)效或低效路由。通過(guò)非形式化與形式化的安全性分析證明了本文所提方案可以有效抵御假冒攻擊和消息篡改攻擊。最后，通過(guò)試驗(yàn)仿真驗(yàn)證了本方案在時(shí)間與內(nèi)存開(kāi)銷(xiāo)方面對(duì)路由協(xié)議的影響均在可接受范圍內(nèi)。

參考文獻(xiàn)

[1]卓琨，張衡陽(yáng)，鄭博，等.無(wú)人機(jī)自組網(wǎng)研究進(jìn)展綜述[J].電信科學(xué)， 2015， 31（4）： 128-138. Zhuo Kun，Zhang Hengyang，Zheng Bo，et al. Progress of UAV Ad Hoc network：a survey[J]. Te1ecommunications Science， 2015， 31（4）： 128-138. （in Chinese）

[2]吳兆香，歐陽(yáng)權(quán)，王志勝，等.基于人工智能的無(wú)人機(jī)區(qū)域偵察方法研究現(xiàn)狀與發(fā)展[J].航空科學(xué)技術(shù)， 2020， 31（10）：57-68. Wu Zhaoxiang，Ouyang Quan，Wang Zhisheng，et al. Status and development of regional reconnaissance methods of UAV based on artificial intelligence[J]. Aeronautical Science & Technology， 2020， 31（10）： 57-68. （in Chinese）

[3]姜延歡，楊永軍，李新良，等.智能無(wú)人系統(tǒng)環(huán)境感知計(jì)量評(píng)價(jià)研究[J].航空科學(xué)技術(shù)， 2020， 31（12）：80-85. Jiang Yanhuan， Yang Yongjun， Li Xinliang， et al. Research on environmental perception metrology and evaluation technology of intelligent unmanned system[J]. Aeronautical Science & Technology， 2020， 31（12）： 80-85. （in Chinese）

[4]Faraji-Biregani M，F(xiàn)otohi R. Secure communication between Uavs using a method based on smart agents in unmanned aerial vehicles[J]. The Journal of Supercomputing，2020，77（6）：1-28.

[5]Shumeye Lakew D，Saad U，Dao N N，et al. Routing in flying Ad Hoc networks：a comprehensive survey[J]. IEEE Communications Surveys & Tutorials，2020，22（2）：1071-1120.

[6]Zapata M G. Secure Ad Hoc on-demand distance vector routing[J]. Acm Sigmobile Mobile Computing & Communications Review，2002，6（3）：106-107.

[7]Maxa J，Mahmoud M S B，Larrieu N. Secure routing protocol design for UAV Ad Hoc networks[C]// 2015 IEEE/AIAA 34th DigitalAvionics Systems Conference（DASC），2015.

[8]Maxa J，Mahmoud M S B，Larrieu N. Joint model-driven design and real experiment-based validation for a secure UAV Ad Hoc network routing protocol[C]// 2016 Integrated Communications Navigation and Surveillance（ICNS），2016.

[9]Maxa J，Mahmoud M S B，Larrieu N. Performance evaluation of a new secure routing protocol for Uav Ad Hoc network[C]// 2019 IEEE/AIAA 38th Digital Avionics Systems Conference（DASC），2019：1-10.

[10]Perkins C E，Belding-Royer E M. Ad-Hoc on-demand distance vector routing[C]//Workshop on Mobile Computing Systems & Applications，2002.

[11]Clausen T，Jacquet P. RFC3626 Optimized link state routing protocol（OLSR）[S]. IETF，2003.

[12]Johnson D. RFC4728 The dynamic source routing protocol（Dsr）for mobileAd Hoc networks for Ipv4[S]. IETF，2007.

[13]孫凌，羅長(zhǎng)遠(yuǎn).基于地理信息的航空自組網(wǎng)安全路由算法[J].計(jì)算機(jī)工程與應(yīng)用， 2019， 55（12）： 77-82. Sun Ling， Luo Changyuan. Secure geographic information based routing protocol of aeronautical Ad hoc networks[J]. Computer Engineering and Applications， 2019， 55（12）：77-82.（in Chinese）

[14]Lin C R，Gerla M. Adaptive clustering for mobile wireless networks[J]. IEEE Journal on Selected Areas in Communications，1997，15（7）：1265-1275.

[15]Basu P，Khan N. Little T. A mobility based metric for clustering in mobile Ad Hoc networks[C]//2001 International Conference on Distributed Computing Systems Workshop，IEEE，2001.

[16]Sharifi S A，Babamir S M. The clustering algorithm for efficient energy management in mobile Ad-Hoc networks[J]. Computer Networks，2020，166：106983.

[17]Chatterjee M，Das S K，Turgut D. Wca：A weighted clustering algorithm for mobile Ad Hoc networks[J]. Cluster Computing，2002，5（2）：193-204.

[18]Ergenc D，Eksert L，Onur E. Dependability-based clustering in mobile Ad-Hoc networks[J]. Ad Hoc Networks，2019，93（OCT）：101926.

[19]Maxa J，Mahmoud M S B，Larrieu N. Performance evaluation of a new secure routing protocol for Uav Ad Hoc network[C]// 2019 IEEE/AIAA 38th Digital Avionics Systems Conference（DASC），2019：1-10.

[20]Hsiao S J，Sung W T. Employing blockchain technology to strengthen security of wireless sensor networks[J]. IEEE Access，2021，9：72326-72341.

[21]Liu B Y，Xiao L，Chen S，et al. Blockchain based data integrity service framework for IoT data[C]// 2017 IEEE International Conference on Web Services（ICWS），2017.

[22]Johnson D，Menezes A，Vanstone S. The elliptic curve digital signature algorithm（Ecdsa）[J]. International Journal of Information Security，2001，1（1）：36-63.

[23]Nakamoto S. Bitcoin：a peer-to-peer electronic cash system[EB/OL].[2021-07-01]. https：//bitcoin.org/bitcoin.pdf.

[24]Li D，Hu Y，Lan M. Iot device location information storage system based on blockchain[J]. Future Generation Computer Systems，2020，109：95-102.

[25]Zheng Z，Xie S. Blockchain challenges and opportunities：a survey[J]. International Journal of Web and Grid Services，2018，14（4）：352-375.

[26]張亮，劉百祥，張如意，等.區(qū)塊鏈技術(shù)綜述[J].計(jì)算機(jī)工程， 2019， 45（5）： 1-12. Zhang Liang， Liu Baixiang， Zhang Ruyi， et al. Overview of blockchain technology[J]. Computer Engineering， 2019， 45（5）： 1-12. （in Chinese）

[27]曾詩(shī)欽，霍如，黃韜，等.區(qū)塊鏈技術(shù)研究綜述：原理，進(jìn)展與應(yīng)用[J].通信學(xué)報(bào)， 2020， 41（1）： 134-151. Zeng Shiqin， Huo Ru， Huang Tao， et al. Survey of blockchain： principle，progressandapplication[J].Journalon Communications， 2020， 41（1）： 134-151. （in Chinese）

[28]Cremers C J F. The Scyther tool：verification，falsification，and analysis of security protocols[C]// International Conference on Computer Aided Verification. Springer，Berlin，Heidelberg，2008：414-418.

Integrity Protection Method of Routing Message for UAV Ad-hoc Networks

Guo Jingjing1，Gao Huamin1，Liu Zhiquan2，Zhang Xinglong3

1. Xidian University，Xian 710071，China

2. Jinan University，Guangzhou 510632，China

3. National Key Laboratory of Science and Technology on Integrated Control Technology，AVIC Flight Automatic Control Research Institute，Xian 710065，China

Abstract： Security is one of the important challenges that UAV Ad-hoc Networks （UAVNETs） routing protocols is facing. Focusing on the lack of security of topology construction messages on the clustered UAVNETs routing protocols， this paper proposes a security scheme for topology messages of clustered UAVNETs routing protocols（SecUAV）. SecUAV can ensure the integrity of the messages exchanged between nodes in the clustered UAVNETs during the topology construction so as to prevent the tampered information from being used in the network topology construction and route creation， and improve the robustness and reliability of routing protocol. Aiming at the static information in the topology message， an integrity verification method based on the consortium blockchain is proposed， which can reduce the calculation and transmission overhead of the entire scheme. We conduct an informal and formal analysis on this scheme， and prove that the scheme could flight against impersonation attack and message tampering attack during the transmission of topology messages. Finally， we simulate and analyze the performance of several UAVNETs clustering protocols with SecUAV. The experimental results show that the time consumption of SecUAV is less than 100ms and the memory cost of SecUAV is less than 35% of the routing cost.

Key Words： UAV Ad-hoc networks； routing protocols； integrity protection； network security