编辑推荐:
针对UAV网络内部威胁,本研究提出了一种融合环境感知的认证阶段信任评估模型,通过本地行为分析和动态环境权重调整,有效识别on-off、黑洞及能耗攻击,弥补传统模型仅关注任务执行阶段的不足,提升认证安全性。
王欣欣|袁青军|刘成成|王平辉|陶静|李立东|王向宇|王永娟
中国郑州信息工程大学网络密码技术河南省重点实验室,450001
摘要
随着无人机(UAV)技术的发展和广泛应用,由于其开放和动态的特性,UAV网络面临着显著的内部威胁。内部攻击者是指使用合法凭证进行认证但行为恶意的攻击者,他们类似于“披着羊皮的狼”。许多研究已经证实,信任管理是缓解内部威胁的有效方法,而且UAV网络中的交互过程通常可以分为认证访问阶段和任务执行阶段。然而,现有的信任评估模型主要集中在任务执行阶段,因为认证访问阶段通常依赖于基于密码学的身份验证。这种方法难以在认证过程中识别出持有合法凭证的攻击者,并且由于认证的二元批准/拒绝性质,无法为UAV提供细粒度的访问权限分配。此外,这些模型忽略了信任评估中的关键要素——特别是像UAV的开放和动态运行环境这样的上下文感知信息——这严重影响了评估的准确性。为了解决这些问题,本文提出了一种UAV认证的信任评估模型,在认证阶段计算信任值以检测潜在攻击者,从而增强现有的身份认证机制,并基于信任值支持细粒度的访问决策。该模型创新地将本地信任和推荐信任与细粒度的行为分析相结合,同时引入了上下文感知信息(环境因素)来量化信任校准的上下文影响。理论分析和实验结果表明,与现有技术相比,该模型在缓解内部威胁(如开启/关闭攻击、黑洞攻击和能量消耗攻击)方面表现更优。
引言
近年来,硬件和智能算法的进步使UAV从远程控制设备演变为复杂的空中计算节点。通过与5G、边缘计算、分布式协作、安全AI [1] 和可靠的多智能体安全 [2] 的集成,UAV网络已经发展成为能够进行实时感知、决策和动态网络连接的自主计算集群。它们的应用范围包括农业 [3]、公共安全 [4]、环境监测 [5]、医疗保健 [6]、安全 [7] 和物流配送 [8] 等多个领域。这种网络化的发展正在重新定义人机协作边界,并使在复杂环境中高效执行任务成为可能。
尽管UAV技术发展迅速,但由于其开放的运行环境、固有的设备限制以及不足的安全协议,UAV网络仍然极易受到内部威胁。例如,安全研究人员利用Parrot无人机的默认开放WiFi和Telnet端口通过解认证攻击获得了root访问权限,最终完全控制了设备。更重要的是,Check Point的研究人员展示了如何利用DJI官方论坛中的XSS漏洞通过精心制作的网络钓鱼链接窃取用户会话令牌,从而完全控制受害者的无人机账户和飞行系统。这些事件共同表明,UAV网络正面临来自内部攻击的严重威胁。
为了应对内部攻击,信任管理机制已成为主要的解决方案 [9]。信任评估在网络安全中起着至关重要的作用。它提供了一种通过考虑影响信任的因素来量化信任的宝贵方法 [10]。信任评估可以帮助入侵检测 [11]、[12]、服务选择、任务分配、访问控制、数据融合、可信路由、推荐、激励、系统优化等 [13]。
现有的研究 [14]、[15]、[16]、[17]、[18]、[19]、[20]、[21]、[22]、[23]、[24] 提出了各种信任评估模型来量化网络实体的可信度。这些模型的发展趋势是向信任评估过程本身引入更强的安全保障。一个典型的例子是刘等人 [19] 开发的保护隐私的基础框架,到孙等人 [20] 开发的针对车辆车队的复杂双重声誉模型,后者解决了针对高级威胁的特定角色行为问题。尽管这些模型在应用场景上有所不同,但它们的核心机制都是基于实体行为分析,使用设计的计算模型来评估信任值。然而,这些模型通常存在三个关键限制。我们的工作旨在解决这些限制,并在表1中与这些模型进行了比较。这些限制具体如下:
•首先,它们仅适用于已连接实体之间的交互阶段,忽略了初始认证阶段的信任评估。
•其次,它们都忽略了上下文感知信息——这是信任评估中的一个关键因素——导致对网络实体的信任评估不准确。
•第三,现有方法通常是为特定攻击模式设计的,对于具有动态伪装特征(如开启/关闭攻击、能量消耗攻击和黑洞攻击)的复杂攻击无效。
为了解决这些限制,本研究提出了一种专门针对UAV网络访问认证阶段的上下文感知信任评估模型。传统的UAV网络信任评估方法(如图1(a)所示)仅在任务执行阶段进行行为评估,而在认证阶段仅依赖基于密码学的身份验证。如图1(b)所示,我们提出的方法引入了一种全新的范式,从根本上改变了传统方法。为了回答核心问题——“谁是披着羊皮的狼?”——我们在基本密码认证的基础上增加了连续的行为信任评估。这使得系统能够在已经认证的实体上操作,检测到绕过密码验证的恶意内部人员。通过结合历史行为和上下文因素,我们的模型通过早期暴露伪装威胁来增强安全性。
我们充分认识到实时信任评估对于执行任务的UAV的重要性,同时也认为这种评估应该涵盖UAV与地面控制站之间的整个交互生命周期。我们的方法专门设计用于解决认证阶段的信任评估差距,从而补充实时评估,形成一个全面的生命周期信任评估框架。这一理念与“永不信任,始终验证”的零信任原则 [25] 密切一致,强调了在所有阶段(包括认证)进行信任评估的必要性。
具体来说,本研究解决了现有模型通常忽略上下文感知信息这一关键限制。我们创新地将环境因素作为核心上下文元素引入,这是由于UAV操作的开放和动态特性,其中信号强度和天气等条件直接影响性能,并通过量化这些环境参数构建了一个动态信任校正机制。这种结合显著提高了信任评估的准确性,并减少了由环境变化引起的误判。针对UAV网络特有的内部攻击(如开启/关闭攻击、黑洞攻击和能量消耗攻击),我们通过细粒度地描述UAV行为建立了多维度信任评估模型。据我们所知,这是第一个系统地将环境上下文感知信息整合到UAV认证信任评估中的完整解决方案。
本研究的主要贡献总结如下:
•基于零信任原则,我们提出了一种UAV认证的上下文感知信任评估模型。该模型专门用于应对UAV网络中的内部威胁,能够有效检测开启/关闭攻击、黑洞攻击和能量消耗攻击。
•我们设计了一种多维度信任评估机制,结合了本地信任和推荐信任,并包括一个动态权重分配机制。它根据滑动窗口实时更新信任值,并使用衰减权重因子来突出最近的行为,提高了评估准确性。
•我们首次将环境因素作为上下文感知信息引入UAV信任评估模型,解决了UAV环境的动态复杂性问题。我们根据环境因素设计了一个信任校正机制,根据环境动态调整UAV的信任值。这增强了信任评估的鲁棒性,并在恶劣条件下减少了误判。
•我们对提出的模型进行了敏感性分析,以确认其理论有效性。与当前先进和传统方法相比,我们的方法显示出显著的优势。它在复杂场景中有效缓解了开启/关闭攻击、黑洞攻击和能量消耗攻击等威胁,确保了UAV网络的安全性和可靠性。
相关工作
相关工作
在本节中,我们从两个角度回顾了相关工作:基于零信任的UAV网络认证方案,以及UAV和相关动态网络领域的信任评估机制。
符号和攻击模型
在本节中,我们解释了本文中使用的关键符号,并正式描述了UAV网络中三种典型的内部攻击模型,包括黑洞攻击、能量消耗攻击和开启/关闭攻击。这些攻击都来自具有合法身份的恶意节点,具有隐蔽性和破坏性,对UAV网络的可靠运行构成了严重威胁。
提出的方法
在本节中,我们将详细介绍我们的方法。首先给出问题定义,然后介绍我们方法的关键组成部分。信任模型和信任计算方法如图4所示。
实验结果
在本节中,我们将进行模拟和实验来验证我们提出方法的有效性。
结论
本研究提出了一种新颖的UAV网络访问认证信任评估模型,增强了UAV在认证阶段的安全性。通过计算认证信任值,该模型可以有效地识别和阻止具有合法凭证的潜在攻击者,从而在访问阶段实现威胁预防。我们的工作展示了实现细粒度访问控制的巨大潜力,因为系统可以根据
限制和未来工作
我们承认,目前对我们信任模型的验证基于模拟实验,虽然在受控条件下有效,但可能无法完全捕捉现实世界UAV部署的复杂性。特别是针对UAV网络安全的公开可用数据集的稀缺性,特别是那些涉及认证阶段信任评估和内部攻击的数据集,是一个重大限制。在未来的工作中,我们计划开发一个开放的数据集
CRediT作者贡献声明
王欣欣:撰写——原始草稿、可视化、验证、软件、方法论、数据管理、概念化。袁青军:撰写——审阅与编辑、方法论、概念化。刘成成:验证、监督。王平辉:撰写——审阅与编辑、调查、概念化。陶静:方法论、概念化。李立东:验证、调查。王向宇:调查、资金获取。王永娟:调查、概念化。
利益冲突声明
作者声明他们没有已知的竞争财务利益或个人关系可能会影响本文报告的工作。
