邢玲，贾晓凡，赵鹏程，吴红海

河南科技大学 信息工程学院，洛阳 471023

随着通信技术的革新，传统的通信设备已经无法适应智能信息时代的发展，为了对地球进行全面的观察研究，空天密集组网通信方式应运而生。空天密集组网能够快速进行资源调度，将地点、时间实现全维互联，即使在海洋、沙漠等复杂的场景中也具有良好的性能。无人机(Unmanned Aerial Vehicle, UAV)技术逐渐取代了传统的环境信息采集装置，适用于对通信速率和可靠性有较高质量要求的交通监测、灾难管理等领域。随着技术的不断成熟，无人机趋于小型化，逐渐形成了类似于蜂群的飞行自组织网络，成为空天密集领域的重要技术分支。

然而，飞行自组织网络带来便捷性与高效性的同时，安全与隐私问题也随之暴露出来。无人机群组在执行任务的过程中，需要根据基站发布的任务到规定区域采集相关数据信息。传统基站依据无人机ID名称进行任务分发，所以攻击者极有可能窃取基站中的任务列表或拦截基站与无人机间传输的信息，以推测目标无人机的位置数据和飞行轨迹。攻击者利用相关位置信息对无人机群组发起物理攻击或黑客攻击，在一定程度上，会对无人机造成损坏或者降低采集数据的精度，从而影响整个系统做出错误指令。

综上所述，为了保障无人机执行环境信息采集任务时的安全，需要加强对其位置隐私数据的保护。由于环境信息采集任务对时延要求不高，本文提出了基于矩阵加密的位置隐私保护方法，利用云服务器的通信能力作为中继系统转发消息，将任务列表进行排列组合并进行矩阵加密，在保证无人机群组采集信息准确性的同时，又能防止无人机位置隐私信息泄露。

为了保证任务执行的效率，需要解决无人机飞行时的安全与隐私问题。如何在确保任务完成质量的同时保证无人机的安全与位置隐私是一个值得思考的问题，研究者在此领域不断的研究与探索。

通常情况下，无人机是以群组为单位执行任务的，由于群组中无人机数量较多，在飞行过程中可能产生掉落、碰撞等情况。为此，需要获取无人机的实时飞行状态，以便及时采取相应行动。Sharma等提出一种路径规划的最优解，减小位置信息的发布频率，无人机在飞行过程中不再需要为了避撞而实时发布自身位置信息，还能保护无人机位置隐私。Mamaghani和Hong研究了无人机辅助通信系统，提出了友好型无人机干扰(Friendly UAV Jamming, FUJ)和高斯型干扰(Gaussian Jamming Transmission, GJT)两种传输方案，用来提高飞行自组织网络中信息传输的物理安全性，不仅能实现资源的有效利用，还能减小位置隐私相关信息泄露的风险。

Jiang等提出了一种基于行为的智能无人机识别与安全监控方法以实现无人机自动识别功能，通过采集无人机位置和飞行数据进行无人机识别建模，发现信息窃取等攻击行为时及时预警，可以有效减少攻击者对位置数据的窃取。Wang等提出了一个能量受限的无人机的移动中继辅助安全通信系统，并设计一种迭代算法用来优化无人机的位置信息，以保证无人机位置隐私安全。Li等将无人机轨迹安全看作混合整数非凸优化问题，提出了一种计算效率高的迭代算法来获得次优解，在保证无人机间最小安全距离与最优资源分配的同时，最大化保护无人机的飞行轨迹，有效的实现了无人机位置隐私保护。Guan等将区块链技术和移动边缘计算技术引入飞行自组织网络中，构建了一个相互信任、公平、开放、稳定的系统，希望通过建立多方信任来减少欺诈的发生，可以有效的减小群组内产生背叛者的概率，以保护无人机位置隐私信息。Tian等提出一种有效的隐私保护认证框架来解决无人机网络(Internet of Drones, IoDs)的隐私问题，通过设计假名和公钥更新策略实现对无人机身份、位置和飞行路线的隐私保护，利用轻量级的签名技术保证小型无人机上的认证效率，并提出基于移动边缘计算(Mobile Edge Computing, MEC)的预测认证法降低认证成本。

上述无人机位置隐私保护方案都是针对无人机通信过程来研究的，当遇到具有一定的先验知识的攻击者时，这些算法在不同任务场景下的性能会参差不齐。本文针对无人机群组采集环境信息时的位置隐私数据安全问题，在-匿名的基础上，利用矩阵加密的方式对基站发布的任务进行加密，采用排列组合的思想对任务与ID进行重新组合分配，利用云服务器的计算与通信能力将其作为可信第三方，将基站与无人机群组进行隔离，实现信息的双向传输。当基站与无人机节点之间出现纠纷时，云服务器能够追踪恶意节点，及时撤销其ID与任务，保证系统数据的可靠性与真实性。经过实验分析表明，该方法在保证任务完成率在80%以上的同时，还能为无人机位置隐私信息提供有效的保护。

1 无人机位置隐私保护方法

无人机群组间的通信模式类似于复杂的社交网络模型，因此将飞行自组织网络看作一个不断变化的网络拓扑。为了保护无人机位置数据的隐秘性，本文利用移动云计算与矩阵加密相结合的方式对无人机位置隐私信息进行保护。

1.1 网络模型

针对采集环境信息的无人机群组位置隐私安全，本文提出在无人机通信网络模型中增加云服务器作为可信第三方，实现任务发布与反馈信息的双向传输。云服务器只传输与任务相关的信息，对避撞、回程等其他方面的通信数据不再进行任何处理，由基站与无人机直接通信交流，可以减小时延。位置隐私保护网络模型如图1所示。

图1 网络模型Fig.1 Model of network

1) 无人机

飞行自组织网络中的无人机都可看作节点，负责信息采集、执行工作。接收到基站发布的任务后，节点会到指定区域执行任务。并将信息反馈回基站，数据中心收集整理这些反馈数据以便做出指令。除此之外，无人机间也会在群组内通信交流，以便进行路径规划、任务交流等。无人机与基站、无人机间的信息交流构成一个复杂的网络拓扑结构。

2) 基 站

基站建立在地面，负责任务分发与结果收集，将需要执行的任务分发给无人机，并收集任务执行完成后的反馈结果进行归纳整理，以便控制中心做出指示。基站可以与任意无人机进行交流，存储了大量无人机信息，因此会受到攻击者的觊觎，如果基站被入侵就会泄露无人机的信息，将会对整个系统产生巨大的影响。

3) 云服务器

由于云服务器较强的计算与通信能力，可以在这个系统中充当可信的第三方，是整个位置隐私保护系统的核心。云服务器作为中继节点，不仅可以将基站与无人机之间的直接通信隔离开，还能扩大信息传输范围。将云服务器设置于基站与无人机群组的通信范围内，可以帮助基站分发任务，帮助无人机上传收集到的数据。云服务器不仅能加密任务信息，将ID和任务排列组合重新分配，极大程度减小无人机位置信息被泄露的概率，还能根据任务分发记录准确追踪到恶意节点并撤销身份，以避免数据处理中心接收到虚假数据影响决策的正确性。

1.2 位置隐私保护方法

本文提出基于矩阵加密的位置隐私保护方法，具体包括5个步骤。方法整体流程如图2所示。

图2 位置隐私保护方法流程Fig.2 Flow of location privacy protection

建立云端与基站、无人机间的双向信息传输。

每架无人机都有自身独特的ID，云服务器收集所有无人机ID生成一个ID集合ID={ID,ID,ID,…,ID,…,ID}，并收集基站发布给所有无人机的任务列表生成一个任务集合={task,task,task,…,task,…,task}。分别对两个集合中的元素进行随机打乱排序，生成打乱后的ID集合ID′={ID,ID,ID,…,ID}和任务集合′={task,task,task,…,task}。

随机打乱ID任务集合，重新组合为矩阵。

将打乱的ID集合ID′和任务集合′，合并组成一个×2的矩阵，如式(1)所示：

(1)

式中：ID表示第个无人机的ID, task表示基站分发给第个无人机的任务。

生成随机矩阵进行矩阵加密。

无人机端解密，利用分配的ID执行相应的任务。

无人机端接收到数据信息后，利用公式×进行倒推计算，得到加密之前的原始数据，这些数据是经过随机排列组合的，与基站原本分配的任务之间没有必然的联系，所以攻击者无从推测每架无人机的真实任务。无人机根据解密获得的相应ID和去执行对应任务。

服务器收集整理无人机反馈的环境信息。

无人机将执行任务过程中采集到的相关环境信息传递给云服务器。云服务器汇集所有无人机上传的信息、归纳整理后将其传输给基站。整个无人机收集环境数据的过程结束。

针对采集环境信息的无人机群组位置隐私，本文通过引入移动云计算与矩阵加密实现对其ID和任务的双重-匿名，其算法如算法1所示：

算法1 矩阵加密方法Algorithm 1 Method based on matrix encryption

2 验证分析

2.1 理论分析

攻击者追踪目标无人机的依据是ID或任务，本文方法通过无人机群组将目标无人机的ID和任务进行矩阵加密。为了研究该方法对无人机位置隐私保护程度，本文考虑攻击者从ID和任务列表两方面追踪无人机，用图3(a)表示一个包含十架无人机的小型无人机群组模型，每架无人机都有自己的ID和基站分布的任务。

图3 匿名模型Fig.3 Model of anonymity

2.2 实验验证

本节首先给出实验数据信息、实验相关设计和评价指标，然后分为8组进行实验并对结果分析，每组实验按照本文所提步骤进行，证明本文所提方法的稳定性与可行性。

2.2.1 数据采集

本文所提方法将单个无人机隐藏在其他无人机群组中，将目标无人机的精确位置泛化为一定的区域，进而实现空天密集环境下无人机的ID和位置匿名。根据实际应用需求，本文采用位置隐私保护程度、时延和任务执行度来衡量方法性能。

为了模拟无人机节点的移动轨迹，本文利用随机路点(Random Waypoint, RWP)模型生成数据集后将代码导入IntelliJIDEA2020.2中，设置移动参数，最终获得无人机数据集库。无人机节点位置数据集包含编号、ID、初始位置、执行任务(目的地和任务类型)4个特征，共含有80架无人机，执行10组不同任务，如表1所示。

表1 实验数据集信息Table 1 Experimental data set information

2.2.2 衡量指标

1) 位置隐私保护程度

将无人机信息分为ID和任务两方面分别进行矩阵加密和-匿名，成倍降低了攻击者成功猜测到无人机位置隐私的概率。为了衡量本文所提方法的隐私保护程度，通过计算ID匿名和任务匿名两个方面的熵来反映性能优劣。

针对节点ID的匿名程度，使用匿名熵表示目标无人机的ID与群组中其他无人机ID相关联的不确定程度，用表示：

(2)

任务匿名熵的值使用无人机任务目的地的位置熵进行计算，表示无人机使用任务匿名前后飞行位置之间的相关度，用表示：

(3)

式中：表示横坐标的熵值；表示纵坐标的熵值。、的计算公式为

(4)

熵值越大，表示节点与其他节点之间的混乱程度越大，攻击者越难识别出目标无人机的准确信息，对无人机的位置隐私保护程度越高。

2) 时 延

时延表示使用矩阵加密和双重-匿名前后对整个信息采集过程中时间的影响，可以从侧面反映出整个方法的计算复杂度，产生的时延越高，计算复杂度越高，计算开销也会增加。通过模拟实验对比使用方法前后的时间差计算时延的大小。

3) 任务执行度

任务执行度用来检测方法对整个信息采集过程准确度的影响。无人机群组是被用来执行环境数据信息采集任务，数据中心会对采集到的数据进行处理分析，进而做出一些决策。任务执行度会直接影响数据中心接收数据的多少，在进行位置隐私保护的同时，需要尽可能的保证无人机任务执行程度，以避免影响决策的准确性。任务执行度用基站实际接收的反馈数据量与理论接收数据量之比表示：

(5)

式中：表示基站接收反馈数据的实际数量；表示基站理论上接收到的反馈数据量；表示两者之间的比值，处于0～1之间。

2.2.3 实验步骤

结合数据集情况和实际生产生活中应用。根据实验要求，在无人机空天密集环境下，在80架次无人机中通过十字交叉方法随机抽取10架执行任务，根据本文所提出方法进行实验组检验，分为8组进行。每组执行任务的同时采用本文所提出方法。其中无人机初始位置和任务内容如表2所示。

表2 随机抽取的无人机信息Table 2 Randomly extracted UAV information

将无人机的ID集合和任务集合进行整合，得到ID和任务两个集合信息，对集合中的元素进行随机打乱后重新排列组合。得到打乱后的结果如表3所示，通过表3可以看出，重新排列前后的无人机ID与任务有显著差别。

表3 随机打乱ID与任务集合Table 3 Random disruption of IDs and task sets

将随机排列好的新ID与任务合并组成一个10×2的矩阵：

(6)

计算矩阵×的值，得出一个×维的矩阵为

(7)

将加密后的矩阵发送给每架无人机，无人机接收到信息后利用公式×进行倒推计算，得出重新排列组合过的ID和任务列表，根据自己的序号找到新的ID名称去对应的新任务。云服务器收集并汇总每架无人机采集到的环境信息，与初始任务对应后返回给基站。

根据式(2)计算实验组的ID匿名熵值为1.561 7， 依据式(4)和式(5)计算得出实验组的任务匿名熵值为1.542 8。

2.2.4 实验结果

根据2.2.3节所述的步骤，进行多次分组仿真实验求得平均值，分析无人机的速度与群组数量对位置隐私保护的影响，通过分析无人机不同速度和群组数量对隐私保护程度、时延和任务执行度等因素的影响，分析该方法的性能。

首先，通过改变无人机群组的数量进行多组实验对性能做定性分析，比较无人机低速、中速和高速3种飞行速度下，无人机群组的数量对隐私保护程度、时延和任务完成度的影响，其结果在图4中表示。

图4(a)描述了群组数量对ID匿名熵的影响，图4(b)表示群组数量与任务匿名熵之间的函数关系。由图分析可知，飞行速度对ID和任务匿名熵的影响较小。式(2)和式(3)中熵值的计算与无人机速度无关，与图中得到的仿真结果相同。

图4(c)表示不同速度下值与时延之间的函数关系。时延从侧面反映出算法的计算复杂度，无人机的计算能力比较强，云服务器硬件的发展速度也比较快，计算能力也很强。本文所提方法的计算复杂度与节点个数成线性关系增加，重组、加密和解密等计算过程对云服务器和无人机来说相对较容易。因此，整个系统中的计算复杂度不高，对系统性能的影响程度也较小。

无论无人机飞行速度高低，时延都会因群组中无人机数量的增加而增加。其中，对时延影响最大的是高速情况下，当无人机飞行速度增大，对时延的要求就越高，因此，随着速度越来越高，对时延的影响也越来越大。整体来看，随着无人机数量的增加，时延先增加的较快，随后增加的速率逐渐减小，当达到一定的数量时，值对云服务器处理数据的速率影响较小，因此，时延增加的速率较缓慢。

图4(d)表示3种飞行速度下，无人机数量与任务完成度之间的关系，从图中可以看出，速度对任务完成度的影响甚微。根据式(5)，任务执行都与基站实际接收的反馈数据量与理论接收数据量两者之间有关系，与无人机的飞行速度无关，与得到的仿真结果图一致。

图4 实验结果Fig.4 Experimental results

随着值的增加，云服务器需要处理的数据量越大，需要加密、传输的数据就会增多，经过无人机采集信息、传递和云服务器处理等过程，数据丢失率也会随之增加，任务完成度也会逐渐降低。当无人机数量达到一定程度，信息传输过程中丢失的数据量与原应获得的数据量之比成为一个定值。所以任务完成度先逐渐减小，随后趋于平缓。与图4(d)中展示的仿真结果一致。

综上所述，从无人机飞行速度的角度来看，速度大小对ID、任务匿名熵和任务完成度的影响较小，可以忽略不计，但是对时延的影响较大，随着飞行速度的增加，时延越来越大。从群组数量的角度来看，随着值增加，ID、任务匿名熵的值也会逐渐增加，攻击者根据ID或任务成功追踪到攻击者的概率也会逐渐降低。随着无人机数量的增多，完成信息采集过程中产生的时延也会越来越大，丢包率也会增多，当无人机数量足够多时，计算时间和丢包率对系统的影响较小，最后时延和任务完成度的曲线趋于平滑。

3 结束语

本文针对需要执行环境信息采集任务的无人机群组，提出基于矩阵加密的位置隐私保护方法来保护无人机飞行过程中的位置隐私安全。从无人机ID和任务两个方面对位置进行隐藏，通过实验分析看出飞行速度对位置隐私保护程度、时延和任务完成度不产生影响，所提方法能在保证80%任务完成度的情况下，完成对无人机位置隐私的保护，适用于节点数量较多的网络，无人机位置隐私数据泄露的风险随群组内无人机数量的增加而降低。在下一步的工作中，将对所提方法进行改进，提升任务完成度的同时，最大化对无人机位置隐私保护的程度。