無人集群的網絡安全挑戰與應對

編者薦語

本文深度拆解無人集群在超低成本、動態組網、失控風險等致命挑戰下的防護困局，揭示美軍“幽靈艦隊”背后的安全邏輯，還提出顛覆性思路：將數據銷毀芯片植入無人機心臟，遭遇劫持即啟動物理熔斷，讓敵方繳獲的不過是堆廢鐵。

引用本文：姜永廣 , 許里 , 丁銳 , 等 . 無人集群的網絡安全挑戰與應對[J]. 信息安全與通信保密 ,2025(3):68-76.

文章摘要：無人集群在未來軍事作戰領域具有良好的應用前景，但同時也會面臨強對抗的網絡安全風險。首先，簡述了常規無人裝備的網絡安全概念和防護措施，從無人集群的應用特點出發，詳細分析了其在網絡安全領域面臨的低成本、易失控、網絡復雜及運維困難4項新挑戰；其次，提出了面向無人集群的網絡安全防護框架，該框架包含了對控制站、通信網絡和無人平臺的防護功能部署和實施策略，繼而分析了此框架下的兩項亟待研究突破的重要關鍵技術；最后，對后續無人集群裝備的網絡安全技術發展提出了相關建議。

論文結構：

0　引　言

1　無人系統安全的概念與內涵

1.1　無人系統安全的概念

1.2　無人系統安全的內涵

2 無人集群面臨的網絡安全新挑戰

2.1　大規模作戰消耗帶來的超低成本要求

2.2　大量物理失控帶來的更嚴重的系統失控風險

2.3　復雜的網絡結構帶來的邊界防護困難

2.4　快速部署與重構帶來的無感運維難題

3　無人集群網絡安全防護的總體框架

4　無人集群網絡安全防護的關鍵技術

4.1　系統性抗失控安全防護技術

4.2　異構動態網絡接入認證技術

4.3　一體化安全運維與快速調整技術

5　結　語

0　引　言

當前，無人裝備在軍事作戰中的應用已經非常普遍，世界主要軍事強國投入大量資源以加強無人裝備的研發工作，無人偵察/攻擊機、無人巡飛彈等裝備已在近年來的各種局部沖突中得到廣泛應用。相較于傳統的有人作戰裝備和單體無人裝備，無人集群憑借成本可控性和規模化作戰能力方面的非對稱優勢，日益成為無人化作戰領域的研究熱點。例如，美國國防高級研究計劃局已組織開展了無人機集群“小精靈”項目、無人車集群“進攻集群使能戰術”項目、綜合海上集群“幽靈艦隊”項目等先進的無人集群作戰裝備研究。

無人集群是指一組無人設備（包括無人機、無人車、無人船、無人潛航器等）通過先進的通信、控制和協調技術，相互共享信息、合作控制和分擔任務，在一定程度上實現了自主決策和自我組織，從而協同執行預置任務的一種組織方式。通過“通用平臺+模塊化任務載荷”的發展模式，無人集群可以廣泛應用于偵查監視、目標打擊、電子對抗、保障補給等軍事領域，對作戰方式產生深遠影響。

無人集群的核心特征是在集群感知、決策和協同中的群體智能涌現，系統相關能力在很大程度上依賴于網絡通信和數據處理，而網絡安全是系統能夠可靠運行的重要基石。本文對無人集群在強對抗作戰環境中的網絡安全問題開展研究，首先界定無人系統網絡安全的技術內涵，其次分析無人集群的裝備特點對網絡安全帶來的新挑戰和相應的解決思路，最后提出下一步的研究方向。

1　無人系統安全的概念與內涵

1.1　無人系統安全的概念

無人系統安全主要涉及網絡安全、電磁安全和物理安全3個方面 。其中，網絡安全是指保護無人系統的通信與信息處理能力不受影響，以及保護信息數據的機密性、完整性和可用性不被破壞；電磁安全是指保護無人設備的工作不受主動或被動電磁干擾、電磁脈沖現象的影響，同時系統本身的電磁泄露不會造成敏感信息被截獲；物理安全是指保護無人設備免受環境因素、機械故障和操作失誤等因素造成的自身和環境的物理破壞。

由于無人裝備的運行高度依賴于通信、軟件和信息，因此其涉及的網絡安全、電磁安全和物理安全三者之間存在緊密的聯系，如圖1所示。

圖1 無人機系統安全

網絡安全方面，攻擊者從通信網絡協議入手發起的射頻空口靈巧攻擊，可能嚴重危害電磁安全；電磁安全方面，攻擊者可能通過對電磁泄露的截獲分析獲取敏感信息，危害網絡安全；網絡安全方面，如果出現網絡入侵和信息仿冒，可能帶來對無人系統的感知信息欺騙和非法操控，直接危害物理安全；物理安全方面，如果出現設備失控，可能被攻擊者破解和利用，隨之帶來網絡攻擊，危害網絡安全。

1.2　無人系統安全的內涵

無人系統由一個或數個控制站和一定數量的無人平臺構成，其網絡安全主要涉及的具體要素如圖2所示，包括：（1）控制站的控制系統安全；（2）控制站之間的協同通信網絡安全；（3）無人平臺的飛控系統安全與任務載荷控制系統安全；（4）無人平臺之間的飛控協同、任務載荷協同通信網絡安全；（5）控制站與無人平臺之間的測控通信和任務載荷通信網絡安全。

圖2 無人系統網絡安全模型

2　無人集群面臨的網絡安全新挑戰

目前，無人裝備的常見網絡安全防護措施主要包括以下幾點：

（1）通過對測控通信鏈路數據加密，保障通信機密性。主要研究方向包括降低無人平臺的密碼計算開銷、簡化密鑰管理、降低網絡傳輸代價等。

（2）通過測控網絡接入認證，防止假冒節點。主要研究方向包括基于非對稱和對稱密碼，以及基于物理不可克隆函數、信號指紋等特征的認證技術。

（3）通過對網絡流量的格式檢查，防范網內攻擊擴散。主要研究方向側重于針對無人測控應用的應用層網絡訪問控制和格式內容檢測。

（4）通過對控制站與無人平臺的系統進行安全加固，縮小系統攻擊面。主要研究方向是針對采用專用嵌入式操作系統的無人平臺和操控終端進行安全增強。

（5）通過對操作手進行身份認證，防止非法獲取操控權限。這方面業界仍主要采用口令認證、生物特征識別等常規認證方式。

上述這些常規網絡安全防護措施已在商用和軍用領域得到廣泛應用和驗證。但是對于無人集群這種新的組織形態，傳統的安全措施會面臨一些新的挑戰。

2.1　大規模作戰消耗帶來的超低成本要求

相較于同類型的有人裝備，無人裝備大都具有低成本的特點。但無人集群作戰裝備由于普遍存在長期大量消耗的預期，因此對成本更加敏感，單平臺的超低成本需求強烈。

一方面，超低成本的無人平臺由于在體積、處理性能、能耗等方面的設計冗余很小，導致安全措施在資源消耗方面受到很大限制；另一方面，平臺的安全措施也要遵循超低成本原則，不能使用高價值的元器件材料。因此，從總體上來看，無人集群的超低成本原則決定了其安全防護措施不能依賴于高強度的計算、通信和存儲能力，因此傳統的數據加密、動態監控和獨立存儲等手段也不再適用，這極大地限制了網絡安全防護技術路線的選擇。

2.2　大量物理失控帶來的更嚴重的系統失控風險

無人裝備受限于自身故障或反無人攻擊，本身難以完全避免失控。一般來說，應對無人平臺失控主要從2個方向考慮：一是加強平臺在對抗條件下的防失控可靠性，例如設計多因素組合的導航機制來對抗導航欺騙等，從而降低平臺失控的可能性；二是設計多種應急自毀機制，盡可能地防止平臺失控后被敵方獲取、分析和利用。

對于無人集群而言，單體平臺因成本限制很難部署復雜的防失控和可靠的冗余機制來應對外部威脅，因此具有更大的失控可能，甚至部分無人裝備在部署后不進行回收，因此必須假定敵方能夠獲得一定數量的無人平臺，并在此基礎上考慮防止對其分析利用的防御方法。

2.3　復雜的網絡結構帶來的邊界防護困難

普通的無人裝備的通信網絡結構和數據分享關系比較簡單，其網絡邊界是比較明確和靜態的，可以在無人平臺與控制站之間執行接入控制和數據報文過濾等操作。

對于無人集群，特別是異構的無人集群而言，無人平臺之間可能存在多個對等或非對等的協同網絡，構成多個動態的任務編組，形成復雜的網絡通聯和信息共享關系。在這種系統中，多個網絡的接入認證和控制過程會很繁雜，網絡邊界可能動態改變，此外，安全協議交互過程還會受到各種通信干擾甚至拒止因素的影響，給網絡安全域的劃分、各域的接入控制與訪問規則的變化帶來了很大挑戰。

2.4　快速部署與重構帶來的無感運維難題

普通無人裝備一般由一至數名操作手操作一臺無人平臺，在啟動和運行過程中對參數快速調整的需求不高，因此與網絡安全相關的參數配置和調整壓力不大，可以獨立進行運維控制。

無人集群的安全運維需求是顯著不同的，主要體現在以下2個方面：一是少數操作手可能要控制數百臺無人平臺的運維操作；二是無人集群在運行過程中可能因為作戰消耗需要不斷補充新的無人平臺入網。這就要求無人集群的安全管理操作與集群操控深度耦合，既要在伴隨系統快速批量部署的過程中進行安全參數的生成和下載，又要在集群動態重構的過程中隨時調整安全配置，提供幾乎無感的安全運維體驗。

3　無人集群網絡安全防護的總體框架

無人集群的網絡安全防護雖然在總體防護內容和目標上與一般無人平臺具有共通性，但是在具體防護方法上卻存在明顯差異。對于無人集群來說，堆疊大量通用安全手段進行安全防護是不合理的，更重要的是要在系統設計時充分考慮其安全性問題，并在高度安全的系統框架下合理地配置安全措施，從而以合理的資源成本保證無人集群系統具備足夠的安全性。基于此，本文提出了無人集群網絡安全框架，如圖3所示。整個無人集群系統的網絡安全應建立在安全的供應鏈平臺和系統性的安全設計之上，從供應鏈源頭避免集群設備中隱藏各種后門與漏洞，通過系統性設計確保集群功能均按照系統安全工程的要求設計和開發，確保相關安全措施能夠有效執行。在系統能力分配方面，無人集群的網絡安全采用“輕前端、重后端、網絡分隔”的設計原則。

圖3 無人集群網絡安全框架

無人集群網絡的安全防護結構性設計包含以下內容：

（1）在功能單一的無人平臺上，防護資源的投入和收益比不高，安全功能應盡可能采用低成本、輕量化方案，例如直接選用內置安全算法核的集成式處理器提供安全相關計算功能。

（2）控制站集中了大多數敏感數據和高危的控制權限，應建立高安全的縱深防護體系，按需劃分內部安全層級，并建立合理的安全邊界。

（3）通信網絡包括控制站與無人平臺之間基于多種無線、有線通信手段構成的測控、數傳和協同等物理和邏輯子網。無人平臺在網絡結構設計上應充分考慮安全性要求，按需劃分網絡安全區域并建立合理的網絡邊界，對關鍵子網采取異構化和隔離設計方法以提高網絡結構的安全性。

在上述結構性設計的基礎上，根據系統各部分的具體功能進行安全加固和功能部署，具體如下：

（1）無人平臺應建立基于多維度信息的、能夠自主運行的失控檢測系統，能夠在拒止環境下監測平臺自身的系統安全狀態，并在高危情況下觸發數據銷毀等失控處置操作。對于存儲敏感數據的平臺，應對敏感數據進行單獨隔離傳遞、安全存儲和快速銷毀。

（2）無人平臺應保障控制站的計算環境的軟件安全（例如可信計算、操作系統防護等）和數據安全（例如數據安全存儲、數據清洗、數據防泄漏等）功能，通過身份管理系統對無人集群操控者進行嚴格的權限控制，并利用與系統操控緊密結合的一體式安全運維策略實現安全能力的實時監控、自動編排和靈活調整。

（3）無人集群的通信網絡可以根據其具體功能不同，增加不同的安全防護能力。在無線通信方面，一般需要強化抗干擾和隱蔽通信能力，提升系統的反拒止和反偵察能力；在網絡數據傳輸方面，根據具體數據在機密性和完整性方面的保護需求，通過采用數據加密和完整性校驗的方式提供防護；在組網控制方面，設計與組網控制過程緊密結合的網絡接入安全認證功能，并對網絡協議本身進行安全加固，防范各種仿冒接入和利用協議漏洞的攻擊行為。

4　無人集群網絡安全防護的關鍵技術

基于上述防護框架，在進行無人集群系統的網絡安全防護設計時，需要解決一些與常規無人平臺不同的技術問題。

4.1　系統性抗失控安全防護技術

受成本和資源的限制，大多數無人集群平臺無法完全避免失控風險。因此，在網絡安全系統的設計上，必須考慮無人集群部分平臺失控的場景，并在此場景下強化系統的抗失控網絡安全能力。

系統性抗失控安全防護能力主要可以從以下幾個方向強化設計：

（1）在信息共享設計上，徹底避免或盡可能地減少在無人平臺上存儲敏感信息，建立抗失控的網絡安全底線。

（2）在無人平臺上，設計不依賴于軟件和通信的保底性失控信息銷毀機制。例如，在遭遇斷電、水浸或暴力破拆等情況下，通過立即清除信息和自毀關鍵芯片等銷毀機制，保證無人平臺在遭到破拆分析時，仍具備應急處置能力。

（3）建立無人集群內部的失控協同處置機制，在監測到部分節點失控時，能夠觸發通信與安防參數調整，快速控制部分節點失控后的網絡安全風險。

（4）強化控制站、數據中心等關鍵區域與無人系統通信網絡的隔離防護，通過網絡隔離、單向交換和數據深度清洗等方式，徹底阻斷失控無人平臺向高敏感區域的滲透攻擊。

4.2　異構動態網絡接入認證技術

目前無人裝備的網絡接入認證方法多數是研究無人節點通過測控鏈路向控制站的單向認證方案，雖然這些研究也針對無線鏈路的承載能力進行了一些輕量化設計，但這些方案推廣到無人集群系統時，就可能造成資源開銷大、測控鏈路擁擠、認證時間過長、認證成功率不高等問題。盡管目前也有研究者借鑒移動自組織網絡認證方面的技術思路，采用區塊鏈或對稱密碼等方法嘗試解決大量無人機之間的飛行高動態網絡安全準入問題，但這些成果大多有一些前置和假設條件，距離工程應用還有一定距離。

根據無人集群應用的網絡結構特征，接入認證需要設計實現以下目標：

（1）無人集群中一般存在多個通信網絡，無人節點之間有各類協同網絡，無人節點和控制站之間有測控和數傳網絡等，網絡接入認證要適應這種異構多子網結構，以較小的協議交互代價全面解決各個子網的安全接入問題。

（2）面向拒止環境，無人集群的通信網絡很可能存在通信不穩定、不連續的問題，認證方法應具備一定的通信延遲容忍能力。

（3）考慮到無人集群中單個平臺低成本和算力受限的客觀約束，單獨依賴密碼算法的認證強度可能不高。為此，可結合系統的其他網絡、物理和電磁安全狀態信息（如連接保持信息、無線測距信息、電子圍欄信息等），動態分析節點安全程度，該參數可以作為認證和訪問授權的動態判決因素。

4.3　一體化安全運維與快速調整技術

無人集群的通信網絡具有動態變化快、運維人員數量少等特點，因此網絡安全的監控、安全參數的調整既有必要性又有很強的技術挑戰性。從無人集群在作戰運用中的快速響應要求來看，只有將安全狀態的監控、安全參數的調整操作高度自動化，并與操控系統本身深度融合，才能有效地確保系統安全防護功能與網絡業務通信功能協調運行。

基于無人集群的運維方式，網絡安全功能的編排和參數調整需從以下幾個方面與集群的通信網絡融合設計：

（1）將集群安全態勢的采集匯聚、分析、呈現與網絡通信態勢的對應功能進行融合設計，通過精簡信息匯聚傳輸方式聯合分析關聯信息，最終向集群操作人員進行統一呈現。

（2）基于網絡通信參數和安全威脅的動態變化情況，自動生成對應的安全策略，設計過程中需要引入基于策略或模型的智能安全分析能力、安全與通信協同智能編排能力，以確保安全策略與網絡通信參數的一致性，保證系統功能運行正常及性能達到優化目標。

（3）將安全策略和網絡通信的動態調整過程融合設計，包括局部決策調整和全局決策調整的判決、協商和配置同步等內容，實現安全與通信的可靠同步調整。

5　結　語

本文從無人集群作戰的應用特點出發，分析了無人作戰應用在低成本、易失控、網絡復雜以及運維困難等方面面臨的網絡安全新挑戰，基于一體化和系統性的設計思路，提出了相應的網絡安全防護架構，分析了目前亟待突破的關鍵技術，并給出了初步解決思路。

從整體上看，采用更加一體化和內生式的安全設計方法，有望能夠應對無人集群作戰應用中網絡安全新挑戰，有效降低經濟成本并提升使用便利。但是這種緊耦合的設計結果必然對安全功能的模塊化和擴展性產生一定影響，帶來一些隱性成本。因此，在未來的工作中，一方面需要突破相關關鍵技術，并針對具體無人集群開展系統性的網絡安全設計；另一方面需要統籌各類無人集群裝備的設計工作，盡可能地提高整體的通用化、模塊化水平，以確保無人集群網絡安全功能的高效實現。

作者簡介

姜永廣（1973—），男，碩士，研究員，主要研究方向為網絡信息安全、無人系統等；

許　里（1983—），男，碩士，高級工程師，主要研究方向為無線網絡通信與安全；

丁 銳（1986—），男，碩士， 工程師，主要研究方向為無線網絡通信與安全；

肖 飛（1980—），男，碩士，高級工程師，主要研究方向為無線通信與網絡安全、無人系統等。