CN108989020A - 一种无人机自组网防御女巫攻击方法及系统 - Google Patents

一种无人机自组网防御女巫攻击方法及系统 Download PDF

Info

Publication number
CN108989020A
CN108989020A CN201810802144.7A CN201810802144A CN108989020A CN 108989020 A CN108989020 A CN 108989020A CN 201810802144 A CN201810802144 A CN 201810802144A CN 108989020 A CN108989020 A CN 108989020A
Authority
CN
China
Prior art keywords
unmanned plane
local
local server
cid
communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810802144.7A
Other languages
English (en)
Other versions
CN108989020B (zh
Inventor
施君宇
熊海良
付丛睿
胡昌武
王广渊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shandong University
Original Assignee
Shandong University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shandong University filed Critical Shandong University
Priority to CN201810802144.7A priority Critical patent/CN108989020B/zh
Publication of CN108989020A publication Critical patent/CN108989020A/zh
Application granted granted Critical
Publication of CN108989020B publication Critical patent/CN108989020B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/045Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply hybrid encryption, i.e. combination of symmetric and asymmetric encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/0825Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0866Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3263Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

本发明涉及一种无人机自组网防御女巫攻击方法及系统,为网络中的每一个无人机都注册ID、分发一组密钥对,运用会话密钥加密信息,无人机通过基于身份验证的密码体制确保相互的通信安全。本发明研究并运用了主密钥、会话密钥、加密ID、哈希函数和Nonce数字等技术和相关理论从而发明了一种新的验证方法,该发明在无人机自组网络通信中解决了节点间通信的信任问题,提升了无人机自组网网络信息共享的安全性、高效性,保障了效率和安全要求。

Description

一种无人机自组网防御女巫攻击方法及系统
技术领域
本发明涉及应用于一种移动多跳自组网络中的数据认证技术领域,尤其涉及一种无人机自组网防御女巫攻击方法及系统。
背景技术
无人驾驶飞机简称“无人机”(英文缩写“UAV”),是利用无线电遥控设备和自备的程序控制装置操纵的不载人飞行器。无人机实际上是无人驾驶飞行器的统称,与载人飞机相比,它具有体积小、造价低、使用方便、对作战环境要求低、战场生存能力较强等优点。由于无人驾驶飞机对未来空战有着重要的意义,世界各主要军事国家都在加紧进行无人驾驶飞机的研制工作。无人机自组织网络针对无人机群的通信拓扑结构特点提出的模型。
这种网络具有多节点、分布式的自组网特征,易受到各种安全威胁,其中女巫攻击(Sybil Attack)是无人机自组网最为常见的威胁之一,随着国内外对无人机安全通信不断的深入研究,以及无人机应用领域的不断拓展,无人机群通信的安全问题在无人机自组织网络的重要性愈发突出,在业内,研究并提升无人机群网络防御女巫攻击能力显得极为重要。
在无人机群网络中,一个恶意攻击者可以轻易声明为多个合法用户或者伪造出多个不存在的身份,那就可能会降低网络效率、中断正常通信、发布虚假消息、造成事故等。恶意攻击行为对无人机网络带来极大的安全威胁,势必损害到军事安全,严重阻碍了无人机的发展。
无人机群网络作为一个由大量无人机节点组成的信息网络,每个无人机携带的信息必然“蕴含”其中,网络信息中不可避免的包含着庞大的隐私信息、敏感信息。在研究网络防御女巫攻击方法时,还需要实现对其他信息的隐私信息的保护,这也是个巨大的挑战。
在特殊的环境中,如高密度节点分布(大量无人机)、无人机高速移动等使得路由链路和路径在本质上是不稳定的,也将直接影响网络的信息传输能力,丢包增加、延迟增大。而目前的安全方法带来了较为显著的通信开销,从而降低了网络系统在延迟和带宽方面的效率。因此实际需求给我们提出了检测防御技术在通信开销效率上的要求,以适应众多的、快速移动的无人机对信息处置效率要求。
现有的防御女巫攻击检测方法存在外部设备复杂、通信开销大、需要提供隐私信息、验证处理较慢等种种不足,很多无法使用在无人机群网络模型上,可以说,在无人机网络领域抗女巫攻击还存在着技术盲区。
现有技术对于无人机通信安全的研究成果近年有这几个方面:①无线电遥控安全:无人机的芯片控制算法本身往往有漏洞,容易被劫持,无线电遥控安全往往研究的是其算法安全;②eCLSC-TKEM通信协议:无人机需要与传感器或嵌入式设备等智能实体进行通信。因此,需要高效的密钥管理协议确保通信安全。协议的设计需要考虑智能实体受限的资源和无人机的移动性。有文献提出了一种无人机与智能实体的安全通信协议,设计了一种有效的无证书的签密标签密钥封装机制,来支持所要求的安全功能,包括认证密钥建立、不可否认性和用户可撤销,但是对于无人机之间的通信协议问题,文章并没有讨论;③ADS-B安全:由于ADS-B广播的信息针对附近所有飞机,所以它传输的数据是没有加密的,这就很容易造成虚假信息注入攻击。对ADS-B的攻击有两种形式,一是干扰,使无人机无法正常接收到ADS-B数据,二是广播虚假的ADS-B数据。前者可能使无人机无法避免碰撞,后者可能迫使无人机在任务执行中偏离航向。对于简单的ADS-B攻击,可以采用多点定位(MLAT)的验证方法,去检测ADS-B数据是否存在伪造,但是,此验证机制可以很容易的绕过。可以发现,现在研究基本上都关注无人机本身或者无人机和控制设备之间的安全问题。而对无人机通信网络这块的关注度不足,特别是对抗女巫攻击这个问题,暂时还没有完整可行的方案。
发明内容
为解决上述现有技术中的问题,本发明的目的在于提供一种无人机自组网女巫攻击检测及防御技术,通过实施这种基于密钥分配和数字签名的女巫攻击防御方法及其系统,来保证无人机自组网的通信安全,提升无人机自组网网络中信息交互的安全性。
本发明的技术方案为:
一种无人机自组网防御女巫攻击方法,应用于无人机自组网络系统,所述无人机自组网络系统包括若干无人机、一个控制中心、若干本地服务器,其特点是保护敏感信息的情况下验证无人机身份信息,防御女巫攻击,控制中心存储大量的ID和主密钥,和本地服务器之间主要经过有线通信;本地服务器,根据无人机活动范围,存在数个服务器,无人机通信范围内最近的服务器就是它的本地服务器,和无人机之间依靠无线通信;无人机相互之间可以通信,但是需要借助本地服务器帮助验证安全性。包括步骤如下:
(1)注册:所述控制中心生成大量原始主密钥,所述无人机通过本地服务器向控制中心发出注册请求,反馈得到带有经原始主密钥加密的通信ID(CID)、本地证书、会话密钥;
(2)独立验证:无人机入网时,与本地服务器发生通信需求,先验证自身的身份,确定没有冒充;
(3)互检:通信双方借助自身计算和本地服务器帮助,基于CID、撤销列表、时间戳等信息进行身份互检;
(4)判断:根据之前的验证结果信息,判断是否存在Sybil攻击。
根据本发明优选的,在所述步骤(1)中,采用Regster(IDv,MKv)注册算法进行注册,包括步骤如下:注册信息由控制中心的中央处理器为每个注册无人机分发数字证书。
A、无人机在一个本地服务器上注册无人机的独立ID和主密钥Regster(IDv,MKv),IDv为独立ID,MKv为主密钥;
B、无人机向本地服务器发出带有经主密钥加密的唯一ID信息的注册请求;
C、无人机ID进行加密,包括:无人机V的唯一ID被服务器发送到其附近的本地服务器,无人机V的唯一ID被本地服务器加密得到CIDV,CIDV由哈希函数生成,是MKV和CIDV的结合,之后的本地证书会话密钥SKV由无人机V的本地服务器生成:
根据本发明优选的,所述步骤C中,包括步骤如下:
注册ID发送,如式(Ⅰ)所示:
UAVNETsign→UAVNETlocal:(IDV) (Ⅰ)
式(Ⅰ)中,UAVNETsign是指注册无人机信息的控制中心,UAVNETlocal是指无人机附近的本地服务器;
本地服务器计算出CID,如式(Ⅱ)所示:
UAVNETlocal:Calculate(CIDV) (Ⅱ)
CID的生成算法如式(Ⅲ)所示:
式(Ⅲ)中,MKV与IDV异或运算之后计算Hash值。
根据本发明优选的,所述步骤(4),通过Hash算法验证消息的完整性,消息的完整性意味着需要确保在传输过程中信息没有被攻击者篡改,无人机专用网络支持与移动载体安全相关的服务。提出的一种基于加密数字签名认证的女巫攻击检测技术来评估从其他无人机收到的信息是否安全。设定任意两个无人机,包括无人机A、无人机B,包括步骤如下:
D、无人机A将来自当地服务器的本地证书会话密钥SKA、CID和一个随机数Nonce发送到无人机B;通过本地服务器计算哈希值来进行验证:
本地服务器产生本地证书和会话密钥,如式(Ⅳ)所示:
无人机A给无人机B发送通信ID和本地证书,如式(Ⅴ)所示:
A→:B(CIDA,CertlocalA) (Ⅴ)
本地服务器产生一个随机数Nonce,如式(Ⅵ)所示:
Create:Nonce=Random() (Ⅵ)
本地服务器将无人机A的通信ID和随机数发送到无人机B,如式(Ⅶ)所示:
UAVNETlocal→B(Nonce,CIDA) (Ⅶ)
E、无人机A检查无人机B的信息完整性,确定是否有HNA=HNB,无人机A的通信哈希值HNA是指无人机A发出的通信哈希值,将Nonce和CIDA的异或值进行哈希运算得到;HNB是指无人机B收到的通信哈希值,将Nonce和CIDB的异或值进行哈希运算得到;如果HNA=HNB,则确定无人机B验证信息的完整性,并通过站点安全地转发;反之,如果有HNA≠HNB,则通信不安全,发送本地的服务器全网告警。
根据本发明优选的,所述步骤(2),在本地证书及会话密钥上通过
算法进行独立验证,具体步骤包括:
F、无人机将ID(IDV)发送到本地服务器,如式(Ⅷ)所示:
V→UAVNETlocal(IDV) (Ⅷ)
式(Ⅷ)中,V是指无人机V,UAVNETlocal是本地服务器;
G、通信ID(CIDV)由本地服务器加密,CIDV由哈希函数生成,是MKV和IDV的结合;
H、当无人机需要通信时,先将自己的通信ID发送到本地服务器,本地服务器进行确认,判断与本地服务器发出的是否一致,如果一致,则公钥PKV、会话密钥SKV、哈希值HVV和本地证书CertVlocal由本地服务器生成,无人机V的CID、本地证书和证书撤销列表CRL和时间戳由本地服务器保存;否则,则会话密钥证书被关闭,发送“拒绝访问”的警告消息到无人机V。
根据本发明优选的,所述步骤(2)中,本地证书会话密钥SKV由无人机V的本地服务器生成,如下所示:
公钥PKV是关于p的求余运算,如式(Ⅸ)所示:
PKV=(SKV)mod p (Ⅸ)
会话密钥SKV是关于p的求余运算,如式(Ⅹ)所示:
哈希值HVV是通信ID、网络证书、时间戳和会话密钥的哈希值计算结果;本地证书CertVlocal是会话密钥,如式(Ⅺ)所示:
一种无人机自组网防御女巫攻击系统,应用于无人机自组网络系统,所述无人机自组网络系统包括若干无人机、一个控制中心、若干本地服务器,包括依次连接的注册模块、独立验证模块、互检模块、判别模块;
所述注册模块用于:无人机向本地服务器发出注册请求,本地服务器上生成大量原始密钥对,反馈得到带有经原始主密钥加密的CID、本地证书、会话密钥;
所述独立验证模块用于:无人机入网时,与本地服务器之间发生通信需求,无人机向当地服务器发送加密后的CID,先验证自身的身份,确定没有冒充;
所述互检模块用于:由通信双方借助服务器验证信息完整性和本地服务器基于加密CID、本地证书、证书撤销列表、时间戳等进行身份互检;
所述判断模块用于:根据之前的验证结果信息,判断是否存在Sybil攻击,决定允许通信还是中断通信。
本发明的有益效果为:
本发明给出了验证无人机网中无人机身份信息的认证方法,相比传统的非对称加密的方案,这里的密钥体制利用非对称和对称结合的算法,降低了存储空间和通信成本;由于也不需要非对称算法中公钥验证计算,本方法也减少了计算量,缩短验证时间;而相对单纯的对称加密方法,本方法又更加安全,做到了取长补短。同时本方法将验证身份的过程分解在不同的系统结构里进行,而不是全依赖服务器验证或者无人机单元自行验证,使得运算量分摊,缩短了运算时间,也降低了无人机部件的配置要求,防御无人机自组网遭受到潜在的女巫攻击。
附图说明
图1为本发明提供的实施例1中一种防御女巫攻击方法流程图;
图2为本发明提供的实施例2中一种防御女巫攻击系统内部结构示意图;
图3为本发明提供的实施例1中一种通信网中无人机自检及互检检测流程;
图4为本发明提供的实施例1中无人机自组网通信拓扑结构;
图5本发明提供的实施例1中完整性验证过程流程图;
图6本发明提供的实施例1中A、B无人机通信认证模拟是否遭受攻击认证算法示意图;
具体实施方式
为了更清楚地说明本发明目的、技术方案及优点,下面将结合附图及实施例对本发明进行更详细的说明,显然,所描述的实施例是本发明的一部分较佳的实施例,而不是全部实施例。基于本发明的实施例描述仅仅用于解释本发明,并不用于限定本发明。本领域人员在不付出创造性劳动的前提下所获得的其他实施例,应属于本发明保护的范围。
实施例1
一种无人机自组网防御女巫攻击方法,如图1所示,应用于无人机自组网络系统,无人机自组网通信拓扑结构如图4所示,无人机自组网络系统包括若干无人机、一个控制中心、若干本地服务器,其特点是保护敏感信息的情况下验证无人机身份信息,防御女巫攻击,控制中心存储大量的ID和主密钥,和本地服务器之间主要经过有线通信;本地服务器,根据无人机活动范围,存在数个服务器,无人机通信范围内最近的服务器就是它的本地服务器,和无人机之间依靠无线通信;无人机相互之间可以通信,但是需要借助本地服务器帮助验证安全性。包括步骤如下:
(1)注册:控制中心生成大量原始主密钥,所述无人机通过本地服务器向控制中心发出注册请求,反馈得到带有经原始主密钥加密的通信ID(CID)、本地证书、会话密钥;具体是指:采用Regster(IDv,MKv)注册算法进行注册;
在本实施例中,由于密钥这种安全信息本身不需要任何隐私保护,因为它们本身不是机密。因此,密钥的相关信息只需要身份验证而不需要加密。为了验证身份和信息的完整性,在无人机自组网络系统中发送的每个消息都应该包含一个数字签名和相应的证书。其中,每辆无人机的安全信息都是由私钥签署的,而控制中心的中央处理器(CA)发出的数字证书如下:V→R*:(M,SignPvKv,T,Certv),V表示发送无人机,R*代表所有接收器,M表示消息,Pv表示私钥,KV表示公钥,T表示是确保消息有效性的时间戳。Certv是无人机的公钥证书。
在本实施例中,为了建立隐私保护,服务器必须存储大量的密钥及证书,所有的秘密信息(公钥/私钥对)都存储在防篡改设备中。它用于防止未经授权的无人机重复和修改。该设备提供了驻留在其中的密钥的物理保护,并确保它们不能被恶意的外部人员修改或读取,即认为服务器本身是安全的。包括步骤如下:注册信息由控制中心的中央处理器为每个注册无人机分发数字证书。
A、无人机在一个本地服务器上注册无人机的独立ID和主密钥Regster(IDv,MKv),IDv为独立ID,MKv为主密钥;
B、无人机向本地服务器发出带有经主密钥加密的唯一ID信息的注册请求;
C、无人机ID进行加密,包括:无人机V的唯一ID被服务器发送到其附近的本地服务器,无人机V的唯一ID被本地服务器加密得到CIDV,CIDV由哈希函数生成,是MKV和CIDV的结合,之后的本地证书会话密钥SKV由无人机V的本地服务器生成:包括步骤如下:
注册ID发送,如式(Ⅰ)所示:
UAVNETsign→UAVNETlocal:(IDV) (Ⅰ)
式(Ⅰ)中,UAVNETsign是指注册无人机信息的控制中心,UAVNETlocal是指无人机附近的本地服务器;
本地服务器计算出CID,如式(Ⅱ)所示:
UAVNETlocal:Calculate(CIDV) (Ⅱ)
CID的生成算法如式(Ⅲ)所示:
式(Ⅲ)中,MKV与IDV异或运算之后计算Hash值。
(2)独立验证:无人机入网时,与本地服务器发生通信需求,先验证自身的身份,确定没有冒充;在本地证书及会话密钥上通过算法进行独立验证,如图3所示,具体步骤包括:
F、无人机将ID(IDV)发送到本地服务器,如式(Ⅷ)所示:
V→UAVNETlocal(IDV) (Ⅷ)
式(Ⅷ)中,V是指无人机V,UAVNETlocal是本地服务器;
G、通信ID(CIDV)由本地服务器加密,CIDV由哈希函数生成,是MKV和IDV的结合;
H、当无人机需要通信时,先将自己的通信ID发送到本地服务器,本地服务器进行确认,判断与本地服务器发出的是否一致,如果一致,则公钥PKV、会话密钥SKV、哈希值HVV和本地证书CertVlocal由本地服务器生成,无人机V的CID、本地证书和证书撤销列表CRL和时间戳由本地服务器保存;否则,则会话密钥证书被关闭,发送“拒绝访问”的警告消息到无人机V。
步骤(2)中,本地证书会话密钥SKV由无人机V的本地服务器生成,如下所示:
公钥PKV是关于p的求余运算,如式(Ⅸ)所示:
PKV=(SKV)mod p (Ⅸ)
会话密钥SKV是关于p的求余运算,如式(Ⅹ)所示:
哈希值HVV是通信ID、网络证书、时间戳和会话密钥的哈希值计算结果;本地证书CertVlocal是会话密钥,如式(Ⅺ)所示:
(3)互检:通信双方借助自身计算和本地服务器帮助,基于CID、撤销列表、时间戳等信息进行身份互检;
(4)判断:根据之前的验证结果信息,判断是否存在Sybil攻击。通过Hash算法验证消息的完整性,消息的完整性意味着需要确保在传输过程中信息没有被攻击者篡改,无人机专用网络支持与移动载体安全相关的服务。提出的一种基于加密数字签名认证的女巫攻击检测技术来评估从其他无人机收到的信息是否安全。如图5所示,设定任意两个无人机,包括无人机A、无人机B,包括步骤如下:
D、无人机A将来自当地服务器的本地证书会话密钥SKA、CID和一个随机数Nonce发送到无人机B;通过本地服务器计算哈希值来进行验证:
本地服务器产生本地证书和会话密钥,如式(Ⅳ)所示:
无人机A给无人机B发送通信ID和本地证书,如式(Ⅴ)所示:
A→:B(CIDA,CertlocalA) (Ⅴ)
本地服务器产生一个随机数Nonce,如式(Ⅵ)所示:
Create:Nonce=Random() (Ⅵ)
本地服务器将无人机A的通信ID和随机数发送到无人机B,如式(Ⅶ)所示:
UAVNETlocal→B(Nonce,CIDA) (Ⅶ)
E、无人机A检查无人机B的信息完整性,如图5所示,确定是否有HNA=HNB,无人机A的通信哈希值HNA是指无人机A发出的通信哈希值,将Nonce和CIDA的异或值进行哈希运算得到;HNB是指无人机B收到的通信哈希值,将Nonce和CIDB的异或值进行哈希运算得到;如果HNA=HNB,则确定无人机B验证信息的完整性,并通过站点安全地转发;反之,如果有HNA≠HNB,则通信不安全,发送本地的服务器全网告警。
本发明确保信息在传输处置过程中信息没有被攻击者篡改,避免了女巫攻击,确保了数据信息及车主身份隐私的安全性。
实施例2
一种无人机自组网防御女巫攻击系统,如图2所示,应用于无人机自组网络系统,无人机自组网络系统包括若干无人机、一个控制中心、若干本地服务器,包括依次连接的注册模块、独立验证模块、互检模块、判别模块;
注册模块用于:无人机向本地服务器发出注册请求,本地服务器上生成大量原始密钥对,反馈得到带有经原始主密钥加密的CID、本地证书、会话密钥;注册模块对无人机注册信息运用了Regster(IDv,MKv)算法,由控制中心的中央处理器为每个申请注册无人机分发数字证书。
独立验证模块用于:无人机入网时,与本地服务器之间发生通信需求,无人机向当地服务器发送加密后的CID,先验证自身的身份,确定没有冒充;独立验证模块运用了算法。所述本地证书会话密钥(SKV)、由无人机V的本地服务器生成的本地服务器生成。
互检模块用于:由通信双方借助服务器验证信息完整性和本地服务器基于加密CID、本地证书、证书撤销列表、时间戳等进行身份互检;互检模块运用了HMV=Hash(Nonce||CIDV)算法。信息通过本地的服务器进行验证,核实无人机信息的完整性,再通过通信请求;若核实不通过,则这次通信需求就被判定为Sybil攻击。
判断模块用于:根据之前的验证结果信息,判断是否存在Sybil攻击,决定允许通信还是中断通信。Sybil攻击信息发送至本地的服务器,判断模块将检测判断的过程建立在本地证书、会话密钥和哈希值计算结果上。
如图6所示,模拟A、B无人机间的通讯及对女巫攻击的检测防御。
无人机A向无人机B发送ID(CIDA)和本地证书(CertlocalA)进行身份验证。
A→:B(CIDA,CertlocalA)
本地的服务器生成一个名为“Nonce”的随机数。Nonce和通信ID(CIDA)被发送到无人机B。
A→:B(CIDA,CertlocalA)
Create:Nonce=Random();
UAVNETlocal→B(Nonce,CIDA)
服务器验证并加密CIDA是“真实”的,然后本地的服务器计算无人机B的哈希值如下:
HMB=Hash(Nonce||CIDA)
无人机A简单验证无人机B的哈希值结果。
本地的服务器从证书撤销列表(CRL)表中找到通信ID(CIDA),并检查它们和时间戳。
Find(CIDA,CRL)
Check(CIDA,T)
如果不对,就输出“错误”,表明检测到网络存在“Sybil攻击”,告警,拒绝通信。
本系统满足系统对女巫攻击的检测及防御要求。
本发明创新了一种无人机注册和身份审核相关算法生成以及运算承载由分散设置在各个服务器站点负责的方法,解决了高速移动无人机的随机通讯及信息处置对及时性、安全性的需求,节约了通信开销、提高了信息处置效率,满足无人机网络对系统实时性的要求。
综上所述,本发明一种无人机自组网防御女巫攻击的方法及系统,可以验证网络中通信无人机的身份是否真实,避免通信网络遭遇女巫攻击,并满足效率要求。
尽管本发明的内容已经通过上述优选实施例作了详细介绍,但应当认识到上述的描述不应被认为是对本发明的限制。在本领域技术人员阅读了上述内容后,对于本发明的多种修改和替代都将是显而易见的。因此,本发明的保护范围应由所附的权利要求来限定。

Claims (7)

1.一种无人机自组网防御女巫攻击方法,其特征在于,应用于无人机自组网络系统,所述无人机自组网络系统包括若干无人机、一个控制中心、若干本地服务器,包括步骤如下:
(1)注册:所述控制中心生成大量原始主密钥,所述无人机通过本地服务器向控制中心发出注册请求,反馈得到带有经原始主密钥加密的通信ID、本地证书、会话密钥;
(2)独立验证:无人机入网时,与本地服务器发生通信需求,先验证自身的身份,确定没有冒充;
(3)互检:通信双方借助自身计算和本地服务器帮助,进行身份互检;
(4)判断:根据之前的验证结果信息,判断是否存在Sybil攻击。
2.根据权利要求1所述的一种无人机自组网防御女巫攻击方法,其特征在于,在所述步骤(1)中,采用Regster(IDv,MKv)注册算法进行注册,包括步骤如下:
A、无人机在一个本地服务器上注册无人机的独立ID和主密钥Regster(IDv,MKv),IDv为独立ID,MKv为主密钥;
B、无人机向本地服务器发出带有经主密钥加密的唯一ID信息的注册请求;
C、无人机ID进行加密,包括:无人机V的唯一ID被服务器发送到其附近的本地服务器,无人机V的唯一ID被本地服务器加密得到CIDV,CIDV由哈希函数生成,是MKV和CIDV的结合,之后的本地证书会话密钥SKV由无人机V的本地服务器生成。
3.根据权利要求2所述的一种无人机自组网防御女巫攻击方法,其特征在于,所述步骤C中,包括步骤如下:
注册ID发送,如式(Ⅰ)所示:
UAVNETsign→UAVNETlocal:(IDV) (Ⅰ)
式(Ⅰ)中,UAVNETsign是指注册无人机信息的控制中心,UAVNETlocal是指无人机附近的本地服务器;
本地服务器计算出CID,如式(Ⅱ)所示:
UAVNETlocal:Calculate(CIDV) (Ⅱ)
CID的生成算法如式(Ⅲ)所示:
CIDV=Hash(MKV⊕CIDV) (Ⅲ)
式(Ⅲ)中,MKV与IDV异或运算之后计算Hash值。
4.根据权利要求1所述的一种无人机自组网防御女巫攻击方法,其特征在于,所述步骤(4),通过Hash算法验证消息的完整性,设定任意两个无人机,包括无人机A、无人机B,包括步骤如下:
D、无人机A将来自当地服务器的本地证书会话密钥SKA、CID和一个随机数Nonce发送到无人机B;通过本地服务器计算哈希值来进行验证:
本地服务器产生本地证书和会话密钥,如式(Ⅳ)所示:
无人机A给无人机B发送通信ID和本地证书,如式(Ⅴ)所示:
A→:B(CIDA,CertlocalA) (Ⅴ)
本地服务器产生一个随机数Nonce,如式(Ⅵ)所示:
Create:Nonce=Random() (Ⅵ)
本地服务器将无人机A的通信ID和随机数发送到无人机B,如式(Ⅶ)所示:
UAVNETlocal→B(Nonce,CIDA) (Ⅶ)
E、无人机A检查无人机B的信息完整性,确定是否有HNA=HNB,无人机A的通信哈希值HNA=Hash(Nonce⊕CIDA),HNA是指无人机A发出的通信哈希值,将Nonce和CIDA的异或值进行哈希运算得到;HNB=Hash(Nonce⊕CIDB),HNB是指无人机B收到的通信哈希值,将Nonce和CIDB的异或值进行哈希运算得到;如果HNA=HNB,则确定无人机B验证信息的完整性,并通过站点安全地转发;反之,如果有HNA≠HNB,则通信不安全,发送本地的服务器全网告警。
5.根据权利要求1所述的一种无人机自组网防御女巫攻击方法,其特征在于,所述步骤(2),在本地证书及会话密钥上通过算法进行独立验证,具体步骤包括:
F、无人机将ID(IDV)发送到本地服务器,如式(Ⅷ)所示:
V→UAVNETlocal(IDV) (Ⅷ)
式(Ⅷ)中,V是指无人机V,UAVNETlocal是本地服务器;
G、通信ID(CIDV)由本地服务器加密,CIDV由哈希函数生成,是MKV和IDV的结合;
H、当无人机需要通信时,先将通信ID发送到本地服务器,本地服务器进行确认,判断与本地服务器发出的是否一致,如果一致,则公钥PKV、会话密钥SKV、哈希值HVV和本地证书CertVlocal由本地服务器生成,无人机V的CID、本地证书和证书撤销列表CRL和时间戳由本地服务器保存;否则,则会话密钥证书被关闭,发送“拒绝访问”的警告消息到无人机V。
6.根据权利要求1-6任一所述的一种无人机自组网防御女巫攻击方法,其特征在于,所述步骤(2)中,本地证书会话密钥SKV由无人机V的本地服务器生成,如下所示:
公钥PKV是关于p的求余运算,如式(Ⅸ)所示:
PKV=(SKV)mod p (Ⅸ)
会话密钥SKV是关于p的求余运算,如式(Ⅹ)所示:
哈希值HVV是通信ID、网络证书、时间戳和会话密钥的哈希值计算结果;本地证书CertVlocal是会话密钥,如式(Ⅺ)所示:
7.一种实现权利要求1-6任一所述无人机自组网防御女巫攻击方法的无人机自组网防御女巫攻击系统,其特征在于,应用于无人机自组网络系统,所述无人机自组网络系统包括若干无人机、一个控制中心、若干本地服务器,包括依次连接的注册模块、独立验证模块、互检模块、判别模块;
所述注册模块用于:无人机向本地服务器发出注册请求,本地服务器上生成大量原始密钥对,反馈得到带有经原始主密钥加密的CID、本地证书、会话密钥;
所述独立验证模块用于:无人机入网时,与本地服务器之间发生通信需求,无人机向当地服务器发送加密后的CID,先验证自身的身份,确定没有冒充;
所述互检模块用于:由通信双方借助服务器验证信息完整性和本地服务器进行身份互检;
所述判断模块用于:根据之前的验证结果信息,判断是否存在Sybil攻击,决定允许通信还是中断通信。
CN201810802144.7A 2018-07-20 2018-07-20 一种无人机自组网防御女巫攻击方法及系统 Active CN108989020B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810802144.7A CN108989020B (zh) 2018-07-20 2018-07-20 一种无人机自组网防御女巫攻击方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810802144.7A CN108989020B (zh) 2018-07-20 2018-07-20 一种无人机自组网防御女巫攻击方法及系统

Publications (2)

Publication Number Publication Date
CN108989020A true CN108989020A (zh) 2018-12-11
CN108989020B CN108989020B (zh) 2021-04-13

Family

ID=64548802

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810802144.7A Active CN108989020B (zh) 2018-07-20 2018-07-20 一种无人机自组网防御女巫攻击方法及系统

Country Status (1)

Country Link
CN (1) CN108989020B (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110061831A (zh) * 2019-04-15 2019-07-26 中国人民解放军国防科技大学 一种无人机集群在作战过程中的网络安全通信的实现方法
CN110855427A (zh) * 2019-11-18 2020-02-28 国网四川省电力公司电力科学研究院 一种无人机身份认证方法及系统
US10873460B2 (en) * 2015-12-10 2020-12-22 SZ DJI Technology Co., Ltd. UAV authentication method and system
CN112584344A (zh) * 2019-09-30 2021-03-30 华为技术有限公司 物联网设备的身份标识认证方法、相关装置及系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070094494A1 (en) * 2005-10-26 2007-04-26 Honeywell International Inc. Defending against sybil attacks in sensor networks
CN104184724A (zh) * 2014-07-29 2014-12-03 江苏大学 车联网中基于位置隐私的环签名方法
CN104219309A (zh) * 2014-09-04 2014-12-17 江苏大学 车联网中基于证书的车辆身份认证方法
CN104717229A (zh) * 2015-04-01 2015-06-17 江苏大学 车联网中可抵御多种虚假身份来源的Sybil攻击的方法
CN105959337A (zh) * 2016-07-25 2016-09-21 电子科技大学 一种基于物理层信任度的Sybil节点识别方法

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070094494A1 (en) * 2005-10-26 2007-04-26 Honeywell International Inc. Defending against sybil attacks in sensor networks
CN104184724A (zh) * 2014-07-29 2014-12-03 江苏大学 车联网中基于位置隐私的环签名方法
CN104219309A (zh) * 2014-09-04 2014-12-17 江苏大学 车联网中基于证书的车辆身份认证方法
CN104717229A (zh) * 2015-04-01 2015-06-17 江苏大学 车联网中可抵御多种虚假身份来源的Sybil攻击的方法
CN105959337A (zh) * 2016-07-25 2016-09-21 电子科技大学 一种基于物理层信任度的Sybil节点识别方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10873460B2 (en) * 2015-12-10 2020-12-22 SZ DJI Technology Co., Ltd. UAV authentication method and system
CN110061831A (zh) * 2019-04-15 2019-07-26 中国人民解放军国防科技大学 一种无人机集群在作战过程中的网络安全通信的实现方法
CN112584344A (zh) * 2019-09-30 2021-03-30 华为技术有限公司 物联网设备的身份标识认证方法、相关装置及系统
CN110855427A (zh) * 2019-11-18 2020-02-28 国网四川省电力公司电力科学研究院 一种无人机身份认证方法及系统

Also Published As

Publication number Publication date
CN108989020B (zh) 2021-04-13

Similar Documents

Publication Publication Date Title
Ali et al. Securing smart city surveillance: A lightweight authentication mechanism for unmanned vehicles
Bera et al. Private blockchain-based access control mechanism for unauthorized UAV detection and mitigation in Internet of Drones environment
Pu et al. Lightweight authentication protocol for unmanned aerial vehicles using physical unclonable function and chaotic system
Rahbari et al. Efficient detection of Sybil attack based on cryptography in VANET
Eddine et al. EASBF: An efficient authentication scheme over blockchain for fog computing-enabled internet of vehicles
Lei et al. A lightweight authentication protocol for UAV networks based on security and computational resource optimization
Jan et al. A key agreement scheme for IoD deployment civilian drone
CN108989020A (zh) 一种无人机自组网防御女巫攻击方法及系统
Usman et al. A mobile multimedia data collection scheme for secured wireless multimedia sensor networks
Jan et al. A verifiably secure ECC based authentication scheme for securing IoD using FANET
Jan et al. A mutual authentication and cross verification protocol for securing Internet-of-Drones (IoD)
CN105978883A (zh) 大规模车联网下安全的数据采集方法
CN111988328A (zh) 一种新能源厂站发电单元采集终端数据安全保障方法及系统
Sekhar et al. Security in wireless sensor networks with public key techniques
Bansal et al. Location aware clustering: Scalable authentication protocol for UAV swarms
Chaudhry et al. A physical capture resistant authentication scheme for the internet of drones
Kumar et al. Blockchain-enabled secure communication for unmanned aerial vehicle (UAV) networks
Berini et al. HCALA: Hyperelliptic curve-based anonymous lightweight authentication scheme for Internet of Drones
Aissaoui et al. A survey on cryptographic methods to secure communications for UAV traffic management
Dong et al. A comprehensive survey on authentication and attack detection schemes that threaten it in vehicular ad-hoc networks
Mohanta et al. Blockchain-based consensus algorithm for solving security issues in distributed internet of things
Zhong et al. Connecting things to things in physical-world: Security and privacy issues in vehicular ad-hoc networks
Wang et al. Lightweight blockchain-enhanced mutual authentication protocol for UAVs
Wu et al. Efficient authentication for Internet of Things devices in information management systems
Agarwal et al. Security Techniques in Unmanned Air Traffic Management System

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant