本文深度拆解无人集群在超低成本、动态组网、失控风险等致命挑战下的防护困局,揭示美军“幽灵舰队”背后的安全逻辑,还提出颠覆性思路:将数据销毁芯片植入无人机心脏,遭遇劫持即启动物理熔断,让敌方缴获的不过是堆废铁。
引用本文:姜永广 , 许里 , 丁锐 , 等 . 无人集群的网络安全挑战与应对[J]. 信息安全与通信保密 ,2025(3):68-76.
文章摘要:无人集群在未来军事作战领域具有良好的应用前景,但同时也会面临强对抗的网络安全风险。首先,简述了常规无人装备的网络安全概念和防护措施,从无人集群的应用特点出发,详细分析了其在网络安全领域面临的低成本、易失控、网络复杂及运维困难4项新挑战;其次,提出了面向无人集群的网络安全防护框架,该框架包含了对控制站、通信网络和无人平台的防护功能部署和实施策略,继而分析了此框架下的两项亟待研究突破的重要关键技术;最后,对后续无人集群装备的网络安全技术发展提出了相关建议。
论文结构:
1 无人系统安全的概念与内涵
1.1 无人系统安全的概念
1.2 无人系统安全的内涵
2 无人集群面临的网络安全新挑战
2.1 大规模作战消耗带来的超低成本要求
2.2 大量物理失控带来的更严重的系统失控风险
2.3 复杂的网络结构带来的边界防护困难
2.4 快速部署与重构带来的无感运维难题
3 无人集群网络安全防护的总体框架
4 无人集群网络安全防护的关键技术
4.1 系统性抗失控安全防护技术
4.2 异构动态网络接入认证技术
4.3 一体化安全运维与快速调整技术
5 结 语
当前,无人装备在军事作战中的应用已经非常普遍,世界主要军事强国投入大量资源以加强无人装备的研发工作,无人侦察/攻击机、无人巡飞弹等装备已在近年来的各种局部冲突中得到广泛应用。相较于传统的有人作战装备和单体无人装备,无人集群凭借成本可控性和规模化作战能力方面的非对称优势,日益成为无人化作战领域的研究热点。例如,美国国防高级研究计划局已组织开展了无人机集群“小精灵”项目、无人车集群“进攻集群使能战术”项目、综合海上集群“幽灵舰队”项目等先进的无人集群作战装备研究。
无人集群是指一组无人设备(包括无人机、无人车、无人船、无人潜航器等)通过先进的通信、控制和协调技术,相互共享信息、合作控制和分担任务,在一定程度上实现了自主决策和自我组织,从而协同执行预置任务的一种组织方式。通过“通用平台+模块化任务载荷”的发展模式,无人集群可以广泛应用于侦查监视、目标打击、电子对抗、保障补给等军事领域,对作战方式产生深远影响。
无人集群的核心特征是在集群感知、决策和协同中的群体智能涌现,系统相关能力在很大程度上依赖于网络通信和数据处理,而网络安全是系统能够可靠运行的重要基石。本文对无人集群在强对抗作战环境中的网络安全问题开展研究,首先界定无人系统网络安全的技术内涵,其次分析无人集群的装备特点对网络安全带来的新挑战和相应的解决思路,最后提出下一步的研究方向。
1 无人系统安全的概念与内涵
1.1 无人系统安全的概念
无人系统安全主要涉及网络安全、电磁安全和物理安全3个方面 。其中,网络安全是指保护无人系统的通信与信息处理能力不受影响,以及保护信息数据的机密性、完整性和可用性不被破坏;电磁安全是指保护无人设备的工作不受主动或被动电磁干扰、电磁脉冲现象的影响,同时系统本身的电磁泄露不会造成敏感信息被截获;物理安全是指保护无人设备免受环境因素、机械故障和操作失误等因素造成的自身和环境的物理破坏。
由于无人装备的运行高度依赖于通信、软件和信息,因此其涉及的网络安全、电磁安全和物理安全三者之间存在紧密的联系,如图1所示。
网络安全方面,攻击者从通信网络协议入手发起的射频空口灵巧攻击,可能严重危害电磁安全;电磁安全方面,攻击者可能通过对电磁泄露的截获分析获取敏感信息,危害网络安全;网络安全方面,如果出现网络入侵和信息仿冒,可能带来对无人系统的感知信息欺骗和非法操控,直接危害物理安全;物理安全方面,如果出现设备失控,可能被攻击者破解和利用,随之带来网络攻击,危害网络安全。
无人系统由一个或数个控制站和一定数量的无人平台构成,其网络安全主要涉及的具体要素如图2所示,包括:(1)控制站的控制系统安全;(2)控制站之间的协同通信网络安全;(3)无人平台的飞控系统安全与任务载荷控制系统安全;(4)无人平台之间的飞控协同、任务载荷协同通信网络安全;(5)控制站与无人平台之间的测控通信和任务载荷通信网络安全。
目前,无人装备的常见网络安全防护措施主要包括以下几点:
(1)通过对测控通信链路数据加密,保障通信机密性。主要研究方向包括降低无人平台的密码计算开销、简化密钥管理、降低网络传输代价等。
(2)通过测控网络接入认证,防止假冒节点。主要研究方向包括基于非对称和对称密码,以及基于物理不可克隆函数、信号指纹等特征的认证技术。
(3)通过对网络流量的格式检查,防范网内攻击扩散。主要研究方向侧重于针对无人测控应用的应用层网络访问控制和格式内容检测。
(4)通过对控制站与无人平台的系统进行安全加固,缩小系统攻击面。主要研究方向是针对采用专用嵌入式操作系统的无人平台和操控终端进行安全增强。
(5)通过对操作手进行身份认证,防止非法获取操控权限。这方面业界仍主要采用口令认证、生物特征识别等常规认证方式。
上述这些常规网络安全防护措施已在商用和军用领域得到广泛应用和验证。但是对于无人集群这种新的组织形态,传统的安全措施会面临一些新的挑战。
相较于同类型的有人装备,无人装备大都具有低成本的特点。但无人集群作战装备由于普遍存在长期大量消耗的预期,因此对成本更加敏感,单平台的超低成本需求强烈。
一方面,超低成本的无人平台由于在体积、处理性能、能耗等方面的设计冗余很小,导致安全措施在资源消耗方面受到很大限制;另一方面,平台的安全措施也要遵循超低成本原则,不能使用高价值的元器件材料。因此,从总体上来看,无人集群的超低成本原则决定了其安全防护措施不能依赖于高强度的计算、通信和存储能力,因此传统的数据加密、动态监控和独立存储等手段也不再适用,这极大地限制了网络安全防护技术路线的选择。
无人装备受限于自身故障或反无人攻击,本身难以完全避免失控。一般来说,应对无人平台失控主要从2个方向考虑:一是加强平台在对抗条件下的防失控可靠性,例如设计多因素组合的导航机制来对抗导航欺骗等,从而降低平台失控的可能性;二是设计多种应急自毁机制,尽可能地防止平台失控后被敌方获取、分析和利用。
对于无人集群而言,单体平台因成本限制很难部署复杂的防失控和可靠的冗余机制来应对外部威胁,因此具有更大的失控可能,甚至部分无人装备在部署后不进行回收,因此必须假定敌方能够获得一定数量的无人平台,并在此基础上考虑防止对其分析利用的防御方法。
普通的无人装备的通信网络结构和数据分享关系比较简单,其网络边界是比较明确和静态的,可以在无人平台与控制站之间执行接入控制和数据报文过滤等操作。
对于无人集群,特别是异构的无人集群而言,无人平台之间可能存在多个对等或非对等的协同网络,构成多个动态的任务编组,形成复杂的网络通联和信息共享关系。在这种系统中,多个网络的接入认证和控制过程会很繁杂,网络边界可能动态改变,此外,安全协议交互过程还会受到各种通信干扰甚至拒止因素的影响,给网络安全域的划分、各域的接入控制与访问规则的变化带来了很大挑战。
普通无人装备一般由一至数名操作手操作一台无人平台,在启动和运行过程中对参数快速调整的需求不高,因此与网络安全相关的参数配置和调整压力不大,可以独立进行运维控制。
无人集群的安全运维需求是显著不同的,主要体现在以下2个方面:一是少数操作手可能要控制数百台无人平台的运维操作;二是无人集群在运行过程中可能因为作战消耗需要不断补充新的无人平台入网。这就要求无人集群的安全管理操作与集群操控深度耦合,既要在伴随系统快速批量部署的过程中进行安全参数的生成和下载,又要在集群动态重构的过程中随时调整安全配置,提供几乎无感的安全运维体验。
无人集群的网络安全防护虽然在总体防护内容和目标上与一般无人平台具有共通性,但是在具体防护方法上却存在明显差异。对于无人集群来说,堆叠大量通用安全手段进行安全防护是不合理的,更重要的是要在系统设计时充分考虑其安全性问题,并在高度安全的系统框架下合理地配置安全措施,从而以合理的资源成本保证无人集群系统具备足够的安全性。基于此,本文提出了无人集群网络安全框架,如图3所示。整个无人集群系统的网络安全应建立在安全的供应链平台和系统性的安全设计之上,从供应链源头避免集群设备中隐藏各种后门与漏洞,通过系统性设计确保集群功能均按照系统安全工程的要求设计和开发,确保相关安全措施能够有效执行。在系统能力分配方面,无人集群的网络安全采用“轻前端、重后端、网络分隔”的设计原则。
(1)在功能单一的无人平台上,防护资源的投入和收益比不高,安全功能应尽可能采用低成本、轻量化方案,例如直接选用内置安全算法核的集成式处理器提供安全相关计算功能。
(2)控制站集中了大多数敏感数据和高危的控制权限,应建立高安全的纵深防护体系,按需划分内部安全层级,并建立合理的安全边界。
(3)通信网络包括控制站与无人平台之间基于多种无线、有线通信手段构成的测控、数传和协同等物理和逻辑子网。无人平台在网络结构设计上应充分考虑安全性要求,按需划分网络安全区域并建立合理的网络边界,对关键子网采取异构化和隔离设计方法以提高网络结构的安全性。
在上述结构性设计的基础上,根据系统各部分的具体功能进行安全加固和功能部署,具体如下:
(1)无人平台应建立基于多维度信息的、能够自主运行的失控检测系统,能够在拒止环境下监测平台自身的系统安全状态,并在高危情况下触发数据销毁等失控处置操作。对于存储敏感数据的平台,应对敏感数据进行单独隔离传递、安全存储和快速销毁。
(2)无人平台应保障控制站的计算环境的软件安全(例如可信计算、操作系统防护等)和数据安全(例如数据安全存储、数据清洗、数据防泄漏等)功能,通过身份管理系统对无人集群操控者进行严格的权限控制,并利用与系统操控紧密结合的一体式安全运维策略实现安全能力的实时监控、自动编排和灵活调整。
(3)无人集群的通信网络可以根据其具体功能不同,增加不同的安全防护能力。在无线通信方面,一般需要强化抗干扰和隐蔽通信能力,提升系统的反拒止和反侦察能力;在网络数据传输方面,根据具体数据在机密性和完整性方面的保护需求,通过采用数据加密和完整性校验的方式提供防护;在组网控制方面,设计与组网控制过程紧密结合的网络接入安全认证功能,并对网络协议本身进行安全加固,防范各种仿冒接入和利用协议漏洞的攻击行为。
基于上述防护框架,在进行无人集群系统的网络安全防护设计时,需要解决一些与常规无人平台不同的技术问题。
受成本和资源的限制,大多数无人集群平台无法完全避免失控风险。因此,在网络安全系统的设计上,必须考虑无人集群部分平台失控的场景,并在此场景下强化系统的抗失控网络安全能力。
系统性抗失控安全防护能力主要可以从以下几个方向强化设计:
(1)在信息共享设计上,彻底避免或尽可能地减少在无人平台上存储敏感信息,建立抗失控的网络安全底线。
(2)在无人平台上,设计不依赖于软件和通信的保底性失控信息销毁机制。例如,在遭遇断电、水浸或暴力破拆等情况下,通过立即清除信息和自毁关键芯片等销毁机制,保证无人平台在遭到破拆分析时,仍具备应急处置能力。
(3)建立无人集群内部的失控协同处置机制,在监测到部分节点失控时,能够触发通信与安防参数调整,快速控制部分节点失控后的网络安全风险。
(4)强化控制站、数据中心等关键区域与无人系统通信网络的隔离防护,通过网络隔离、单向交换和数据深度清洗等方式,彻底阻断失控无人平台向高敏感区域的渗透攻击。
目前无人装备的网络接入认证方法多数是研究无人节点通过测控链路向控制站的单向认证方案,虽然这些研究也针对无线链路的承载能力进行了一些轻量化设计,但这些方案推广到无人集群系统时,就可能造成资源开销大、测控链路拥挤、认证时间过长、认证成功率不高等问题。尽管目前也有研究者借鉴移动自组织网络认证方面的技术思路,采用区块链或对称密码等方法尝试解决大量无人机之间的飞行高动态网络安全准入问题,但这些成果大多有一些前置和假设条件,距离工程应用还有一定距离。
根据无人集群应用的网络结构特征,接入认证需要设计实现以下目标:
(1)无人集群中一般存在多个通信网络,无人节点之间有各类协同网络,无人节点和控制站之间有测控和数传网络等,网络接入认证要适应这种异构多子网结构,以较小的协议交互代价全面解决各个子网的安全接入问题。
(2)面向拒止环境,无人集群的通信网络很可能存在通信不稳定、不连续的问题,认证方法应具备一定的通信延迟容忍能力。
(3)考虑到无人集群中单个平台低成本和算力受限的客观约束,单独依赖密码算法的认证强度可能不高。为此,可结合系统的其他网络、物理和电磁安全状态信息(如连接保持信息、无线测距信息、电子围栏信息等),动态分析节点安全程度,该参数可以作为认证和访问授权的动态判决因素。
无人集群的通信网络具有动态变化快、运维人员数量少等特点,因此网络安全的监控、安全参数的调整既有必要性又有很强的技术挑战性。从无人集群在作战运用中的快速响应要求来看,只有将安全状态的监控、安全参数的调整操作高度自动化,并与操控系统本身深度融合,才能有效地确保系统安全防护功能与网络业务通信功能协调运行。
基于无人集群的运维方式,网络安全功能的编排和参数调整需从以下几个方面与集群的通信网络融合设计:
(1)将集群安全态势的采集汇聚、分析、呈现与网络通信态势的对应功能进行融合设计,通过精简信息汇聚传输方式联合分析关联信息,最终向集群操作人员进行统一呈现。
(2)基于网络通信参数和安全威胁的动态变化情况,自动生成对应的安全策略,设计过程中需要引入基于策略或模型的智能安全分析能力、安全与通信协同智能编排能力,以确保安全策略与网络通信参数的一致性,保证系统功能运行正常及性能达到优化目标。
(3)将安全策略和网络通信的动态调整过程融合设计,包括局部决策调整和全局决策调整的判决、协商和配置同步等内容,实现安全与通信的可靠同步调整。
本文从无人集群作战的应用特点出发,分析了无人作战应用在低成本、易失控、网络复杂以及运维困难等方面面临的网络安全新挑战,基于一体化和系统性的设计思路,提出了相应的网络安全防护架构,分析了目前亟待突破的关键技术,并给出了初步解决思路。
从整体上看,采用更加一体化和内生式的安全设计方法,有望能够应对无人集群作战应用中网络安全新挑战,有效降低经济成本并提升使用便利。但是这种紧耦合的设计结果必然对安全功能的模块化和扩展性产生一定影响,带来一些隐性成本。因此,在未来的工作中,一方面需要突破相关关键技术,并针对具体无人集群开展系统性的网络安全设计;另一方面需要统筹各类无人集群装备的设计工作,尽可能地提高整体的通用化、模块化水平,以确保无人集群网络安全功能的高效实现。
姜永广(1973—),男,硕士,研究员,主要研究方向为网络信息安全、无人系统等;
许 里(1983—),男,硕士,高级工程师,主要研究方向为无线网络通信与安全;
丁 锐(1986—),男,硕士, 工程师,主要研究方向为无线网络通信与安全;
肖 飞(1980—),男,硕士,高级工程师,主要研究方向为无线通信与网络安全、无人系统等。
原文始发于微信公众号(信息安全与通信保密杂志社):无人集群的网络安全挑战与应对
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
http://cn-sec.com/archives/4034707.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论