面向無人機自組網的路由消息完整性保護方法

郭晶晶 高華敏 劉志全 王立波 張興隆

摘要：安全性是無人機自組網路由協議面臨的重要挑戰之一。針對現有工作對分級路由協議中拓撲構建消息安全性防護的不足，本文針對分級無人機自組網的路由協議提出了一種拓撲構建消息的安全保護方案，該方案可以保證分級無人機自組網在拓撲建立過程中節點間交互消息的完整性，從而避免完整性遭到破壞的信息被用于網絡拓撲構建以及創建路由的過程中，提高路由協議的健壯性與可靠性。針對拓撲消息中的靜態信息提出了基于聯盟區塊鏈的完整性驗證方法，減少了整個方案的計算與傳輸開銷。通過對所提方案進行安全性分析，證明了該方案能夠有效抵御拓撲消息傳輸過程中的假冒攻擊和消息篡改攻擊。最后，通過仿真試驗分析了該方案在不同無人機自組網路由協議中的性能。試驗結果表明，該方案的時間開銷小于100ms，內存開銷小于路由總開銷的35%。

關鍵詞：無人機自組網；分級路由協議；完整性保護；網絡安全

中圖分類號：TP393文獻標識碼：ADOI：10.19452/j.issn1007-5453.2022.04.005

基金項目：國家自然科學基金（62032025，62102167）；航空科學基金（20185881015）

無人機自組織網絡（UAV Ad-hoc Networks， UANETs）是移動自組織網絡（Mobile Ad-hoc Network， MANET）在無人機領域的典型應用之一。因具有自組織、移動性、拓撲動態性和抗毀性強等特點，無人機自組織網絡目前在軍用和民用領域都具有廣泛的應用[1]，如地質勘測、搶險救災、區域偵察[2]和無人集群協同作戰[3]等。無人機自組織網絡的拓撲結構主要分為平面網絡結構與分級網絡結構，分級網絡結構更適合于規模中等及以上的無人機自組織網絡。在分級網絡結構中，網絡節點被分為若干個簇，每個簇擁有一個簇頭節點和若干個簇成員節點，其中簇頭節點負責管理簇內的其他節點并與其他簇的簇頭節點通信，簇成員節點需要與其他節點通信時，首先將消息發送給其簇頭，再由簇頭將消息轉發至目的節點。

因為開放的無線通信環境，靈活多變的協作模式，無人機自組網在構建拓撲與建立路由過程中容易遭受內、外部攻擊。在網絡拓撲構建過程中，無人機自組網主要面臨的安全威脅包括篡改攻擊、假冒攻擊等，若拓撲構建消息的完整性遭到破壞，將導致錯誤的數據被用于網絡拓撲構建，形成無效或低效拓撲結構?，F有的無人機自組網安全性保護的相關工作主要集中于網絡拓撲建立后節點間傳輸消息時的身份合法性驗證、消息機密性保護、消息完整性保護、惡意節點檢測[4]等領域，缺乏針對網絡拓撲建立過程中的消息安全性保護機制，現有少量針對拓撲消息的安全防護方案均適用于平面網絡結構的無人機自組網[5-9]，無法直接應用于分級網絡結構。

針對這一問題，本文提出了一種無人機自組織網絡分級路由協議中的路由消息安全性保護方案。在該方案可以保證分級網絡結構的無人機自組網在拓撲建立過程中節點間交互消息的完整性，從而避免完整性遭到破壞的信息被用于網絡拓撲構建以及創建路由的過程中，提高路由協議的健壯性與可靠性。

本文工作的創新之處主要包括以下三點：（1）針對無人機自組織網絡分級路由協議提出了拓撲構建消息的完整性保護方案，該方案可以避免完整性遭到破壞的信息被用于網絡拓撲構建以及創建路由的過程中，提高路由協議的健壯性與可靠性。（2）為了減少所提方案對整個網絡性能的影響，針對拓撲消息中的靜態信息提出了基于聯盟區塊鏈的完整性保護方案，減少了整個方案的計算與傳輸開銷。（3）針對所提方案進行了安全性分析，結果表明所提方案可以有效抵御完整性破壞攻擊（假冒攻擊和消息篡改攻擊），通過仿真試驗驗證了所提方案不會對原有路由協議造成嚴重的額外資源開銷。

1研究現狀

隨著無人機自組網的應用越來越廣泛，國內外學者已經提出了大量的無人機自組網路由協議，然而目前針對路由協議的安全保護機制的研究較少，若無法保證路由建立過程中信息的完整性，惡意信息有可能被用于建立網絡拓撲以及路由路徑過程中，從而導致網絡拓撲不穩定、路由效率低下等問題，為網絡性能帶來極大的負面影響。

1.1無人機自組網路由協議

從網絡拓撲結構角度出發，無人機自組網的路由協議主要可以分為不分級路由協議和分級路由協議。其中，不分級的路由協議適用于平面網絡結構，在網絡中所有節點地位平等，都具有轉發與路由的功能，現有的經典協議包括按需距離矢量路由（ad-hoc on-demand distance vector， AODV）[10]、最優鏈路狀態路由協議（optimized link state routing protocol， OLSR）[11]、動態源路由協議（dynamic state routing， DSR）[12]、地理位置路由協議GPSR、基于地理位置綜合選擇下一跳的航空自組網安全路由算法（secure geographic information routing protocol，SGRP）[13]等。然而在復雜任務情境下，隨著無人機自組網中無人機節點數量的增加，為了均衡無人機節點負載、提高網絡的穩定性，分級路由協議成為了研究的熱點。現有的經典分級路由協議主要包括：以網絡節點唯一標識符ID號為因子的LowestID分簇算法[14]；考慮節點移動因素的基于移動性預測的分簇算法（mobility based metric for clustering， MOBICI）[15]；旨在優化能源消耗的分簇算法（imperialist competitive algorithm，ICA）[16]；基于權重的分簇算法（weighted clustering algorithm，WCA）[17]以節點的能量、節點度、節點間的距離和節點的移動速度作為節點競選簇頭的衡量標準，對網絡進行分簇，實現網絡的分級管理；基于可靠性的分簇算法（dependability-based clustering algorithm，DCA）[18]以節點能量、鏈路保持率、節點度和通信量為因子劃分簇網絡，分別以增強拓撲穩定性、節約能量、提高服務質量為目標調整分簇過程中各因子的比重，最大程度實現網絡拓撲穩定、減少能量消耗或提高網絡服務質量。上述分級路由協議中，路由的形成均建立在構建網絡分級拓撲結構的基礎上，即完成網絡節點的分簇。

1.2無人機自組網路由安全保護機制

與有線網絡相比，通過無線介質通信的無人機網絡更容易受到攻擊，攻擊者可能通過竊聽網絡層的控制信息發起一系列惡意行為擾亂路由機制[5]。暴露在易受攻擊的無線環境下，無線自組網的網絡信息安全傳輸必須滿足數據通信的安全和路由協議的安全兩個方面[6]。當前，有學者提出了一些保護無人機自組網路由協議的方案。Manel針對AODV協議提出了安全增強方法（secure ad hoc ondemand distance vector， SAODV）[6]，用來保護路由發現階段信息與路由錯誤信息的安全性。Jean-Aimé等提出了SUAP[7-9，19]安全協議，該方案結合哈希鏈與公鑰密碼機制抵御數據通信過程中的蟲洞攻擊，從而實現對AODV協議的安全性保護。這些方案均針對非分級路由協議提出，無法直接應用于分級路由協議中。通過調研，我們發現目前針對分級路由協議的安全保護機制的研究較少，亟須設計一種高效、輕量級的分層路由協議安全保護機制，保證在構建網絡拓撲結構過程中節點間傳輸的拓撲構建信息的完整性，避免因惡意攻擊或故障導致錯誤信息被用于拓撲構建過程，形成低效或無效拓撲，對上層服務產生負面影響。

在數據完整性保護方面，除了利用哈希函數與數字簽名技術，區塊鏈因其可追溯、不可篡改的特點也越來越多地被用于保護信息的完整性。參考文獻[20]提出了一種基于區塊鏈的無線傳感器感知數據記錄系統，保護敏感數據不被篡改，提高無線傳感器網絡的可靠性。參考文獻[21]提出了一種基于區塊鏈的云存儲數據完整性服務框架，為數據所有者和使用者提供可靠的動態數據完整性驗證。

針對當前分級無人機自組網路由協議安全保護機制缺失的問題，本文提出一種無人機自組織網絡分級路由協議中的路由消息安全性保護方案。該方案可以保證分級網絡結構的無人機自組網在拓撲建立過程中節點間交互消息的完整性。在該方案中，利用區塊鏈技術存儲靜態拓撲消息并驗證和確保其完整性，同時減少所提方案的資源開銷。

2基本理論

在本文所提方案中，用到了基于橢圓曲線加密算法的數字簽名以及區塊鏈技術來實現分級路由協議中拓撲信息的完整性保護。

2.1橢圓曲線數字簽名算法

橢圓曲線數字簽名算法（elliptic curve digital signature algorithm， ECDSA）是使用橢圓曲線密碼（elliptic curve cryptography，ECC）對數字簽名算法DSA的模擬[22]。該算法主要包括密鑰生成、簽名、驗證簽名三個部分，細節如下所示。

如果等式（7）成立，則簽名驗證通過，說明消息M的完整性未受到破壞。否則，驗證不通過，說明消息M的完整性遭受破壞。

2.2區塊鏈技術

區塊鏈概念起源于2008年發布的比特幣白皮書[23]，其本質上是一種由多方參與的去中心化數據庫，也就是由存儲各參與方交易信息的區塊結合哈希鏈算法構成的共享賬本[24-25]。從計算機技術角度看，它融合了分布式存儲、對等網絡、密碼學原理、智能合約和共識機制等技術[26]。區塊鏈可分為非許可鏈（permissionless blockchain）和許可鏈（permissioned blockchain）兩類。任何參與方都可以隨時加入非許可鏈網絡并參與計算；在許可鏈網絡中，每個參與方加入網絡前都需要經過認證授權，許可鏈進一步可分為私有鏈（fully private blockchain）和聯盟鏈（consortium block chain）[27]，如hyperledger fabric就是聯盟鏈的典型實現。

本文將利用聯盟鏈的特性，設計路由過程中的靜態拓撲消息的完整性驗證方案，將各節點用于拓撲消息中的靜態數據（如節點身份標識等）及其簽名數據存儲于區塊鏈中，在完整性驗證期間，通過訪問存儲于鏈上的對應信息來驗證拓撲消息中的靜態信息是否遭到完整性破壞，避免多次傳輸與計算這些信息及其簽名數據，降低所提方案的計算與通信開銷。

3系統結構與安全目標

本節我們首先給出所提方案考慮的無人機網絡架構，并對現有無人機自組網分層路由協議中網絡拓撲構建過程中節點間的交互消息進行了分析，然后給出了無人機自組網拓撲消息的敵手模型，最后提出了本文的設計目標。

3.1無人機網絡架構

本文所考慮的無人機自組織網絡由一個地面站以及若干個無人機節點組成，所有無人機節點被劃分為若干個簇，每個簇由一個簇頭及若干個簇內節點組成，簇頭負責管理簇內節點完成簇內通信，所有的簇頭與地面站構成無人機自組織網絡的骨干通信網，負責完成簇間通信任務。在以上所述網絡架構上提出的拓撲消息完整性保護框架如圖1所示。

地面站作為可信第三方部署了密鑰管理中心負責為網絡中各節點生成公私鑰對，認證中心（CA）采用PKI（public key infrastructure）架構負責在節點加入網絡時為其簽發證書并對所有證書進行管理。各無人機節點與地面站共同建立聯盟區塊鏈網絡，與拓撲消息中的靜態數據完整性保護相關的數據將存放在該區塊鏈中，并可以在靜態消息完整性驗證時被節點或地面站訪問。

在現有的無人機自組網分層路由協議中，拓撲構建（簇結構形成）過程中節點間進行交互的消息可以分為廣播消息與單播消息兩類。

廣播消息主要包括無人機節點向外發送的用于鄰居發現、效用公布、簇頭聲明的消息以及地面控制站向無人機節點發送的指令消息。無人機節點發送的廣播消息只發送給其一跳鄰居節點（單跳），而地面控制消息可能需要無人機節點的轉發（多跳）從而將指令消息發送給所有節點。4種廣播消息的具體介紹如下。

（1）鄰居發現消息：消息內容主要包含消息類型、發送者身份、發送者基本信息（位置、速度等）、時間戳和隨機數等。

（2）效用公布消息：消息內容主要包含消息類型、發送者身份及發送者的效用值（在特定范圍內效用值最大的節點將被選舉為簇頭）、時間戳和隨機數等。

（3）簇頭聲明消息：消息內容主要包含消息類型、發送者身份、簇頭聲明標識、時間戳、隨機數等。

（4）地面控制消息：消息內容主要包含消息類型、發送者身份、指令、指令參數、時間戳、隨機數等。

單播消息主要包含簇加入請求消息（節點請求加入某個簇），簇頭節點對簇加入請求消息的響應，以及節點向地面控制站發送指令確認消息。其中，前兩種消息不會被轉發（單跳），而指令確認消息可能需要其他節點的轉發（多跳），從而將消息從發送者送達地面控制站。下面對這三種單播消息進行具體介紹：（1）簇加入請求消息：消息內容主要包含消息類型、發送者身份、簇頭節點身份、時間戳、隨機數等。（2）簇加入請求響應消息：消息內容主要包含消息類型、發送者身份（簇頭）、響應對象身份（發起簇加入請求的節點）、時間戳、隨機數等。（3）指令確認消息：消息內容主要包含消息類型、發送者身份、指令序列號、時間戳、隨機數等。

綜上所述，分層次的拓撲消息中所包含的數據可以分為靜態消息與動態消息，靜態消息表示其內容在某節點發送的不同拓撲消息中保持不變，如發送者身份；動態消息表示其內容在同一節點發送的不同消息中可能會發生改變，如鄰居發現消息中的位置、速度信息，效用公布消息中的效用值，簇加入請求消息中的簇頭節點身份，以及各個消息中包含的時間戳與隨機數。

3.2敵手模型

我們假設攻擊者S可以是未加入網絡的陌生節點，或是網絡內部的任意無人機，在網絡拓撲構建過程中地面站是可信的，攻擊者S無法對地面站進行攻擊，但是能夠進行拓撲消息的攔截、竊聽、篡改及重放。

本文中，我們將網絡拓撲建立過程中地面站、網絡節點間發送的這些消息統稱為拓撲消息。上文所述敵手行為可能會造成拓撲消息在傳輸中受到敵手的篡改、重放等攻擊，導致錯誤的數據被用于網絡拓撲構建，形成無效或低效拓撲結構。

3.3安全目標

針對無人機網絡面臨的以上安全威脅，本文擬設計一種針對無人機自組網分層路由協議中拓撲構建過程中的拓撲消息完整性保護方案，使得拓撲消息中的信息無法在被篡改或重放后通過消息接收方的驗證，確保消息接收者可以通過所提方案來確認消息是否被篡改或重放；同時，確保所提方案不給原有路由協議帶來過大資源開銷。

4拓撲消息完整性保護方案

基于上一節對分層次拓撲消息的分析，我們從不同消息類型的角度出發分別為靜態消息與動態消息設計完整性保護方案。針對靜態消息，我們擬利用區塊鏈的不可篡改性實現完整性保護。此外，我們擬基于公鑰加密體制實現動態消息的完整性保護。

4.1方案框架

拓撲消息完整性保護流程圖如圖2所示。假設在無人機自組網建立路由的過程中（包括分簇階段與通信鏈路尋找階段），無人機節點A向節點B發送消息M。為了保護消息M的完整性，節點A將根據消息M的具體特點進行不同操作。首先節點A根據消息M的類型將消息M所包含的字段劃分為動、靜態消息兩類，根據消息M中各字段所屬的類別分別計算每個字段的摘要，其中動態消息的摘要通過哈希函數計算得到，靜態消息摘要可以通過訪問本地存儲表或讀取區塊鏈數據獲得，區塊鏈的不可篡改特性既保證了靜態消息的完整性，又避免了重復計算靜態消息的摘要，減少了計算與時間開銷；最后，節點A對消息M及其摘要進行簽名，當節點B收到消息M后，對M進行完整性驗證，在驗證通過后，將基于該消息中的信息進行拓撲構建。

4.2完整性保護方案

下文將給出本文所提方案的詳細內容。

4.2.1系統初始化

當節點加入無人機自組網時，在CA處完成注冊，KMC為節點生成密鑰對后，CA為其頒發證書。所有網絡節點構建靜態信息聯盟區塊鏈網絡用于存儲各節點的拓撲消息中的靜態信息哈希值（摘要）。節點上鏈信息的計算方法如算法1所示。當節點靜態信息摘要記錄于區塊鏈后，區塊鏈網絡中所有客戶端均可以通過將節點身份標識作為關鍵字對節點信息進行檢索與訪問。

4.2.2消息完整性保護

單跳消息的完整性保護方法如算法2所示。消息發送節點IDi在發送消息m前，首先利用哈希函數H（）計算動態信息的哈希值，然后利用其私鑰對靜態消息哈希值與動態消息哈希值進行簽名（靜態消息哈希值在初始化階段已計算得到），最后將消息及簽名一同發送至消息接收方。

算法3給出了多跳消息的完整性保護方法。首先，消息的發送者IDi根據算法2中的方案發送消息，當該消息被轉發節點收到后，轉發節點首先檢查該消息的完整性，如果該消息通過完整性驗證，那么轉發節點可以確認該消息的內容與發送者發送的內容一致，未遭受篡改、重放等攻擊；接著轉發節點將對其增加的靜態信息與動態信息分別執行哈希運算，最后對靜態信息與動態信息的哈希值進行簽名，并按照算法3中第10行的規則更新消息并轉發消息至下一跳節點。當消息的目的節點接收到該消息后，將對所收到的消息的完整性進行驗證。若驗證通過，則利用消息中的信息進行拓撲構建。消息的完整性驗證方法將在下文詳細介紹。

4.2.3消息完整性驗證

如上文所述，當某節點接收到其他節點發來的消息后，首先需要驗證該消息的完整性。算法4詳細給出了消息接收節點（包括消息目的節點與轉發節點）驗證消息完整性的方法。

5安全性分析

5.1手動分析結果

本節將分析所提方案針對常見的完整性破壞攻擊的安全性。

5.1.1假冒攻擊

攻擊方式：攻擊者S假冒合法節點A偽造新消息發送給節點B。

5.2自動化分析結果

Scyther[28]是一種實現安全協議自動化分析的工具，我們利用Scyther對本文所提方案進行了安全性形式化驗證。

接下來，在通信過程中，每個角色既是發送方也是接收方。第一輪通信事件中，角色I作為發送方首先對動態明文信息、時間戳以及隨機數計算消息摘要，然后利用I的私鑰SKI對摘要簽名，并執行發送事件send_1（）將消息內容與簽名一同發送給作為接收方的R；接收方R通過接收事件recv_1（）接收來自send_1（）的信息，并利用哈希函數和發送方I的公鑰進行摘要計算和簽名驗證，若通過驗證，則角色R作為發送方對作為接收方的角色I發起第二輪通信，即執行發送事件send_2（）與接收事件recv_2（）。

最后，根據本方案對拓撲信息的完整性保護的需求，我們聲明協議的三個安全屬性：存活性（Alive）：只要角色參與過該協議即滿足存活性認證，表明角色可能與任一角色或攻擊者通信。非單射一致性（Niagree）：發送方和接收方的協議分析結果中的數據變量集合是一致的，若數據變量集合不滿足一致性，則說明有攻擊者通過重放攻擊成功誤導兩個參與方主體使得協議結束后數據變量集合的某些變量值不同。非單射同步（Nisynch）：只關注發送和接收事件中消息的內容和順序，即保證消息完整性的安全需求。如果攻擊者不篡改消息內容僅轉發消息，這種情況在非單射同步聲明中不被認為是攻擊）。安全聲明描述如下。

使用Scyther自動化工具執行驗證的結果顯示，本文的安全協議在限制范圍內沒有找到攻擊，并且通信雙方的安全屬性聲明（alive， niagree， nisynch）全部滿足。證明了通信雙方（I，R）基于本方案的通信和認證過程是安全的。

6試驗仿真與分析

6.1試驗設置

基于OPNET平臺搭建無人機自組織網絡仿真環境，對所提方案進行性能驗證。WCA[7]與DCA[10]協議都是基于分簇結構的經典無人機自組網路由協議，路由建立過程中均包括了廣播、單跳和多跳消息傳輸的過程，并且消息中均包含動、靜態兩種信息，符合所提出的路由協議安全保護機制的假設條件，因此我們選擇以上兩個協議作為試驗分析對象。首先，在仿真平臺實現WCA和DCA兩個路由協議；然后，分別在以上兩種路由協議中引入本方案所提出的完整性保護機制，以此來驗證本文所提方案在不同路由協議中的有效性。路由協議的試驗仿真參數見表2，試驗硬件環境見表3。

6.2試驗結果

在試驗過程中，我們設置網絡中無人機節點在仿真區域范圍內均勻分布、初始速度一致、初始能量一致。WCA與DCA都屬于典型的分層次路由協議，滿足本文所提安全保護方案的適用范圍，我們將本方案引入到以上兩個協議，分別稱為WCA_Sec和DCA_Sec，來測試方案在整個無人機網絡系統的時間開銷和內存開銷。圖5與圖6是在上述設置下得到的試驗結果。

在不同網絡規模下（節點數=10，20，50，100），本方案對WCA和DCA協議的分簇時長的影響如圖5所示?？梢钥闯?，在WCA路由協議中引入安全方法后（WCA_Sec）的分簇時長增量均小于100ms，引入本文所提安全保護方案對于協議的快速分簇性能影響不大。DCA協議在初始簇劃分過程中使用了Lowest-ID分簇算法，該算法由地面站根據無人機節點的ID號迭代執行選舉簇頭和入簇的過程，不同于WCA路由協議中無人機之間相互通信協作進行自主分簇的過程，所以在DCA協議中引入本文所提安全保護方案對初始簇形成時長沒有影響。

圖6給出了在不同網絡規模下（節點數=10，20，50，100）本文所提安全保護方案在WCA和DCA協議中針對整個無人機網絡系統的內存開銷情況。當網絡節點數為10時，本方案在被測試協議中的內存開銷均小于無人機網絡系統總開銷的5%；當網絡節點數為20時，WCA協議中本方案的內存開銷占無人機網絡系統總開銷的24%，DCA協議中本方案的內存開銷占無人機網絡系統總開銷的4%；當網絡節點數為50時，WCA協議中本方案的內存開銷占無人機網絡系統總開銷的25%，DCA協議中本方案的內存開銷占中無人機網絡系統總開銷的8%；當網絡節點數為100時，WCA協議中本方案的內存開銷占無人機網絡系統總開銷的33.5%，DCA協議中本方案的內存開銷占無人機網絡系統總開銷的11%。結果表明，在兩種被測試的路由協議中引入本文所提安全保護方案的內存開銷均小于無人機網絡系統內存總開銷的35%。由于WCA和DCA協議運行時會動態更新無人機網絡的分簇結構，拓撲結構的變化導致鏈路中斷的節點頻繁使用AODV協議更新路由。在前期研究中發現，相同網絡環境下WCA協議的分簇結構更新次數大于DCA協議，網絡節點通過AODV協議建立路由開銷大于DCA協議，因此WCA協議所帶來的開銷高于DCA協議。

試驗結果表明，本文所提方法通過聯盟區塊鏈技術減少了拓撲消息中靜態信息的完整性保護帶來的傳輸和加密計算，有效降低了時間和內存開銷，使得該方法更加輕量級，其少量的額外開銷沒有影響路由協議的正常工作。

7結束語

近年來，無人機自組網在軍用與民用領域的應用越來越廣，路由協議的安全性是無人機自組網領域面臨的重要挑戰之一。本文針對無人機自組網分級結構路由協議，重點分析了無人機自組網拓撲信息的特征與協議的安全性需求，提出了針對拓撲消息的輕量級完整性保護方案，保證消息內容不被篡改，從而避免被篡改消息在網絡拓撲構建中被利用而形成無效或低效路由。通過非形式化與形式化的安全性分析證明了本文所提方案可以有效抵御假冒攻擊和消息篡改攻擊。最后，通過試驗仿真驗證了本方案在時間與內存開銷方面對路由協議的影響均在可接受范圍內。

參考文獻

[1]卓琨，張衡陽，鄭博，等.無人機自組網研究進展綜述[J].電信科學， 2015， 31（4）： 128-138. Zhuo Kun，Zhang Hengyang，Zheng Bo，et al. Progress of UAV Ad Hoc network：a survey[J]. Te1ecommunications Science， 2015， 31（4）： 128-138. （in Chinese）

[2]吳兆香，歐陽權，王志勝，等.基于人工智能的無人機區域偵察方法研究現狀與發展[J].航空科學技術， 2020， 31（10）：57-68. Wu Zhaoxiang，Ouyang Quan，Wang Zhisheng，et al. Status and development of regional reconnaissance methods of UAV based on artificial intelligence[J]. Aeronautical Science & Technology， 2020， 31（10）： 57-68. （in Chinese）

[3]姜延歡，楊永軍，李新良，等.智能無人系統環境感知計量評價研究[J].航空科學技術， 2020， 31（12）：80-85. Jiang Yanhuan， Yang Yongjun， Li Xinliang， et al. Research on environmental perception metrology and evaluation technology of intelligent unmanned system[J]. Aeronautical Science & Technology， 2020， 31（12）： 80-85. （in Chinese）

[4]Faraji-Biregani M，Fotohi R. Secure communication between Uavs using a method based on smart agents in unmanned aerial vehicles[J]. The Journal of Supercomputing，2020，77（6）：1-28.

[5]Shumeye Lakew D，Saad U，Dao N N，et al. Routing in flying Ad Hoc networks：a comprehensive survey[J]. IEEE Communications Surveys & Tutorials，2020，22（2）：1071-1120.

[6]Zapata M G. Secure Ad Hoc on-demand distance vector routing[J]. Acm Sigmobile Mobile Computing & Communications Review，2002，6（3）：106-107.

[7]Maxa J，Mahmoud M S B，Larrieu N. Secure routing protocol design for UAV Ad Hoc networks[C]// 2015 IEEE/AIAA 34th DigitalAvionics Systems Conference（DASC），2015.

[8]Maxa J，Mahmoud M S B，Larrieu N. Joint model-driven design and real experiment-based validation for a secure UAV Ad Hoc network routing protocol[C]// 2016 Integrated Communications Navigation and Surveillance（ICNS），2016.

[9]Maxa J，Mahmoud M S B，Larrieu N. Performance evaluation of a new secure routing protocol for Uav Ad Hoc network[C]// 2019 IEEE/AIAA 38th Digital Avionics Systems Conference（DASC），2019：1-10.

[10]Perkins C E，Belding-Royer E M. Ad-Hoc on-demand distance vector routing[C]//Workshop on Mobile Computing Systems & Applications，2002.

[11]Clausen T，Jacquet P. RFC3626 Optimized link state routing protocol（OLSR）[S]. IETF，2003.

[12]Johnson D. RFC4728 The dynamic source routing protocol（Dsr）for mobileAd Hoc networks for Ipv4[S]. IETF，2007.

[13]孫凌，羅長遠.基于地理信息的航空自組網安全路由算法[J].計算機工程與應用， 2019， 55（12）： 77-82. Sun Ling， Luo Changyuan. Secure geographic information based routing protocol of aeronautical Ad hoc networks[J]. Computer Engineering and Applications， 2019， 55（12）：77-82.（in Chinese）

[14]Lin C R，Gerla M. Adaptive clustering for mobile wireless networks[J]. IEEE Journal on Selected Areas in Communications，1997，15（7）：1265-1275.

[15]Basu P，Khan N. Little T. A mobility based metric for clustering in mobile Ad Hoc networks[C]//2001 International Conference on Distributed Computing Systems Workshop，IEEE，2001.

[16]Sharifi S A，Babamir S M. The clustering algorithm for efficient energy management in mobile Ad-Hoc networks[J]. Computer Networks，2020，166：106983.

[17]Chatterjee M，Das S K，Turgut D. Wca：A weighted clustering algorithm for mobile Ad Hoc networks[J]. Cluster Computing，2002，5（2）：193-204.

[18]Ergenc D，Eksert L，Onur E. Dependability-based clustering in mobile Ad-Hoc networks[J]. Ad Hoc Networks，2019，93（OCT）：101926.

[19]Maxa J，Mahmoud M S B，Larrieu N. Performance evaluation of a new secure routing protocol for Uav Ad Hoc network[C]// 2019 IEEE/AIAA 38th Digital Avionics Systems Conference（DASC），2019：1-10.

[20]Hsiao S J，Sung W T. Employing blockchain technology to strengthen security of wireless sensor networks[J]. IEEE Access，2021，9：72326-72341.

[21]Liu B Y，Xiao L，Chen S，et al. Blockchain based data integrity service framework for IoT data[C]// 2017 IEEE International Conference on Web Services（ICWS），2017.

[22]Johnson D，Menezes A，Vanstone S. The elliptic curve digital signature algorithm（Ecdsa）[J]. International Journal of Information Security，2001，1（1）：36-63.

[23]Nakamoto S. Bitcoin：a peer-to-peer electronic cash system[EB/OL].[2021-07-01]. https：//bitcoin.org/bitcoin.pdf.

[24]Li D，Hu Y，Lan M. Iot device location information storage system based on blockchain[J]. Future Generation Computer Systems，2020，109：95-102.

[25]Zheng Z，Xie S. Blockchain challenges and opportunities：a survey[J]. International Journal of Web and Grid Services，2018，14（4）：352-375.

[26]張亮，劉百祥，張如意，等.區塊鏈技術綜述[J].計算機工程， 2019， 45（5）： 1-12. Zhang Liang， Liu Baixiang， Zhang Ruyi， et al. Overview of blockchain technology[J]. Computer Engineering， 2019， 45（5）： 1-12. （in Chinese）

[27]曾詩欽，霍如，黃韜，等.區塊鏈技術研究綜述：原理，進展與應用[J].通信學報， 2020， 41（1）： 134-151. Zeng Shiqin， Huo Ru， Huang Tao， et al. Survey of blockchain： principle，progressandapplication[J].Journalon Communications， 2020， 41（1）： 134-151. （in Chinese）

[28]Cremers C J F. The Scyther tool：verification，falsification，and analysis of security protocols[C]// International Conference on Computer Aided Verification. Springer，Berlin，Heidelberg，2008：414-418.

Integrity Protection Method of Routing Message for UAV Ad-hoc Networks

Guo Jingjing1，Gao Huamin1，Liu Zhiquan2，Zhang Xinglong3

1. Xidian University，Xian 710071，China

2. Jinan University，Guangzhou 510632，China

3. National Key Laboratory of Science and Technology on Integrated Control Technology，AVIC Flight Automatic Control Research Institute，Xian 710065，China

Abstract： Security is one of the important challenges that UAV Ad-hoc Networks （UAVNETs） routing protocols is facing. Focusing on the lack of security of topology construction messages on the clustered UAVNETs routing protocols， this paper proposes a security scheme for topology messages of clustered UAVNETs routing protocols（SecUAV）. SecUAV can ensure the integrity of the messages exchanged between nodes in the clustered UAVNETs during the topology construction so as to prevent the tampered information from being used in the network topology construction and route creation， and improve the robustness and reliability of routing protocol. Aiming at the static information in the topology message， an integrity verification method based on the consortium blockchain is proposed， which can reduce the calculation and transmission overhead of the entire scheme. We conduct an informal and formal analysis on this scheme， and prove that the scheme could flight against impersonation attack and message tampering attack during the transmission of topology messages. Finally， we simulate and analyze the performance of several UAVNETs clustering protocols with SecUAV. The experimental results show that the time consumption of SecUAV is less than 100ms and the memory cost of SecUAV is less than 35% of the routing cost.

Key Words： UAV Ad-hoc networks； routing protocols； integrity protection； network security