前言

本文采用基于SM2演算法的非證書標識公鑰IPK技術，為地面站與無人機之間建立點對點輕量級安全體系，為無人系統安全、穩定運行提供了一種飛控指令的安全加固與鑒別技術，實作了無人機對遠程飛控指令的有效鑒別，有效防止無人系統遭遇的非法入侵和惡意軟體破壞，

目前國際形勢，資料劫持等安全風險日益嚴重之下，本技術實作了無人機對指令執行的自主決策和無人系統的主動防御，保障了無人機飛行安全和自主可控，

一、引言

2016年315晚會上，央視報道：在黑客的操控下，大疆無人機完全脫離了機主的控制，由于無人機飛控系統與作業站之間的資料、指令沒有加密，黑客對飛控進行了反向工程，入侵后屏蔽了合法的飛行指令，假冒控制者向無人機發送飛行指令，同時，利用軟體漏洞，黑客還注入了木馬，改變導航點，更改飛行資料，重置返航點，完全替代合法操控者，實作了對無人機劫持控制，隨著無人機的普及應用，無人機正面臨各種威脅：

(1) 無人機企業多通過集成部件來完成無人機的整機生產，無法避免硬體或軟體系統的相關漏洞，加大黑客侵入風險；

(2) 傳統定頻+跳頻的抗干擾方式，僅解決了無人機通訊的及時準確，但通訊資料還是明文，黑客可能找出漏洞模擬無人機的遙控設備進行攻擊，從而劫持無人機；

(3) 飛控系統可通過對稱加密技術對傳輸資料進行加密，但無人機控制距離一般會在10公里左右，這樣大的范圍，黑客很容易對信號截取，取得資料進行分析，得到固定密鑰或使用密鑰的規律，導致資料被破解；

(4) 地面站與無人機的通訊，缺失防護手段，飛控指令存在被截取或非法使用的風險，

無人系統必須接收從地面站發出的飛控指令來完成飛行任務，如何讓無人機對飛控指令做出判斷，鑒別其真偽，按照合法操控者的真實意愿實作飛行，這是保證無人系統安全可靠的前提，因此，必須為無人系統的飛控指令建立有效的安全驗證機制，實作對飛控指令的安全加固與鑒別，

二、無人系統的安全防御

1.無人系統的組成

無人系統也稱無人機系統，主要包括無人機、地面站、通訊鏈路三部分，各部分安裝有不同的平臺、系統或外掛，實作無人系統的不同功能（如圖1），

動力系統為無人機飛行提供動力，通過導航飛控系統，無人機可獲得位置、高度、速度、航向等資訊，導航飛控系統是無人機起飛、飛行、執行任務、返航等整個飛行程序的核心系統，它接收地面站操控系統發送的飛行控制指令，對無人機實作全權控制與管理，

因此，地面站操控系統發送指令的真偽對于無人機的安全飛行來講非常重要，地面站通過操控系統向無人機發送飛控指令，保證無人機飛行按照既定航線飛行，

同時，通過無人機感知系統、外掛設備，可在地面站監控系統中實作相關視頻、圖片等資料的實時展示，通信鏈路建立起地面站與無人機之間的點對點通信，實作無人機與地面站之間的資訊交換，

2.飛控指令安全防御需求

通常情況下，無人機收到地面站發送的飛行控制指令等資料后，會對收到的系統號和地址碼進行比較，在系統號和地址碼都與本地相符時，就會接收資料，否則拒絕接收，

這種方式保證了無人機與地面站之間的點對點唯一通信，但地面站發送的指令資訊基本是明文傳輸，這加大了飛控指令的安全風險，

為了對無人系統實作安全防御，無人系統會對無人機圖傳資料進行加密回傳，但往往忽略了無人機飛控指令的有效防御，

從地面站發出的飛控指令資訊包括了無人機飛行操控命令、飛行關鍵引數等重要資料，是保障無人機按照既定軌道安全、穩定飛行的關鍵，

技術上可以通過對稱加密技術實作對指令資訊的加密傳輸，但實際上，由于操控者對無人機飛行控制距離較遠，黑客很容易實作對信號資料的截取，經過分析即可得到固定密鑰或使用密鑰的規律，從而破解飛行資料，這樣，黑客就獲取了無人機的系統號和地址碼，可以冒充操控者對無人機進行操控，或者可以注入木馬，對無人機飛行程序監控，這將給執行任務的無人機造成嚴重后果，

因此，對無人系統飛控指令進行安全防御，

一方面要確認指令發送方和指令接收方的身份，保障各方合法性；

另一方面，還要加入對指令執行時間的驗證，防止黑客復制或重放攻擊；

更重要的，要滿足無人機安防效能要求，選擇一種低功耗、高效率、可實作點對點的輕量級安全認證技術，本文采用一種基于國密SM2演算法的非證書標識公鑰密碼技術（IPK：Identity Public Key）實作對飛控指令的安全加固，

3.基于SM2的非證書標識公鑰技術

IPK是一種新型的、輕量化的標識公鑰安全管理體制，可通過標識及系統引數分別計算獲得私鑰和公鑰，能以標識等同于公鑰實作對公鑰的管理，

在IPK管理體制中，系統秘密引數僅由密鑰中心所有，是整個安全體系的核心，私鑰由使用者申請，在密鑰中心集中生成并通過安全通道分發給使用者；而系統公開引數由每個使用者本地保存，當使用者需要對方公鑰時，只需要將對方標識通過IPK計算即可獲得對方的公鑰，

IPK以標識管理取代公鑰管理，不再依賴第三方進行公鑰證明，極大的簡化了安全體系的復雜度，實作了點對點直接認證，提高了安全應用的實時性，完全滿足無人機與地面站之間的點對點安全應用，

目前應用最廣的公鑰密碼體制是PKI CA，IPK與PKI CA相同，都是公鑰管理體制，二者應用的密碼演算法基礎均是SM2，所以安全性完全相同，

PKI CA公鑰密碼技術通過證書實作標識與公鑰的系結，IPK則是通過標識映射方法實作標識與公鑰的系結，以標識替代證書管理，是一種新型的輕量化、輕量中心化的公鑰管理體制，與傳統的PKI CA相比具有較大的技術優勢，如表1所示，

表1可見：采用IPK對飛控指令簽名后的資料包前后變化很小，且驗證時間短，可以保證無人系統接收到指令后的快速驗證，這幾乎不會對指令執行造成任何影響，完全滿足安防效能要求，

三、飛控指令的安全加固與鑒別

對飛控指令實施安全加固主要是對指令資訊實作簽名驗證，通過指令發送方（地面站）提供證據，指令執行方（無人機）驗證證據的方式進行，

證據由指令發送方對發出的飛控指令進行加固處理，指令接收方收到該指令，對其實施驗證，以確定該指令的真實性、完整性和不可抵賴，

這樣，就可以確認該指令確為發送方發出，且在傳輸程序中未被篡改，

1.飛控指令加固流程

地面站向無人機發送指令時，先用預先配置好的標識私鑰對指令和時間戳進行加固，然后將指令與加固資料打包發給無人機，如圖3，

具體流程為：

(1)指令發送方（地面站）提供指令的真實性證據：即發送方對指令和時間戳簽名；

(2)將指令的加固資訊、加固時間(即時間戳)、加固協議、版本號和加固者標識等進行打包；

(3)將打包后的資料采用ASN.1編碼后發送給指令接收方（無人機），

其中，加固模塊是對指令代碼和時間戳簽名，提供真實性證據，

加固模塊以SDK的方式提供給應用呼叫，地面站需要向無人機發送飛控指令時，由地面站軟體呼叫加固模塊，用發送者的私鑰對指令和當前時間進行加固，然后將指令和加固資訊打包發給無人機，

通過加固，指令在傳輸程序中有任意微小的改動，無人機都可通過驗證加固資訊感知，可徹底杜絕黑客偽造、篡改指令；而時間戳能夠保障指令的時效性，黑客試圖通過截取合法指令進行重放攻擊成為不可能，

2.飛控指令鑒別流程

指令接收者（無人機）接收到指令發送者（地面站）發送的指令，對指令進行鑒別，飛控指令鑒別流程涉及了從地面站發送的指令包資訊的提取、白名單串列的加載與查詢、系統安全模塊的調度等，無人機飛控指令鑒別流程如圖4所示，

無人機對加固指令包實施鑒別的具體步驟如下：

(1)無人機收到地面站遠程發送的加固指令包，對其申請執行鑒別；

(2)系統安全模塊將呼叫鑒別模塊，申請對即將執行的飛控指令進行鑒別；

(3)鑒別模塊先檢查指令包是否含加固資訊，若無則拒絕執行；若有則決議出指令、時間戳和加固資訊，并提交給驗證模塊；

(4)驗證模塊對指令的加固資訊進行驗證，若驗證不通過，則拒絕執行；如果通過驗證，則轉入(5)；

(5)查詢指令發送方標識是否在白名單串列中，如果不在其中，則回傳鑒別不通過，拒絕執行；否則轉入(6)；

(6)標識通過合法檢查后，再提取簽名時間戳與當前時間進行比較，判斷此指令是否在有效的時間范圍內，若超過范圍則可能是受到復制攻擊，拒絕執行；若通過時效性檢查則轉入(7)；

(7)系統安全模塊通知無人機飛控系統執行指令，

無人機端部署系統安全模塊，鑒別模塊、白名單后，無人機端將對所有接收的指令均進行嚴格的完事性、真實性和合法性檢查，并根據結果做出執行與否的流程，

系統安全模塊：系統安全模塊是對無人機指令調度核心行程模塊，在無人機執行指令前先轉向驗證模塊，由驗證模塊判定請求執行指令的真實性和完整性，只有通過鑒別是真實的（即沒有被篡改，是名單串列中所允許的指令發送者所發出的指令），才允許執行，否則拒絕執行，

鑒別模塊：鑒別模塊是對地面站發送來的指令包（即指令加固資訊）進行驗證，并做出執行與否的判斷，鑒別模塊對收到的指令包資訊先進行驗證，再從加固資訊中獲取發送者的標識，并查詢白名單串列判定是否合法，都通過后再從加固資訊中提取時間戳從而進行指令的時效性檢查，只有三項都通過后方回傳鑒別通過，否則回傳鑒別未通過，

白名單：白名單涉及名單維護、存盤與使用三方面，名單維護可以以組態檔存在，涉及增加、修改和洗掉的維護，然后將串列加密存盤于系統安全模塊中；存盤是將名單用標識公鑰進行加密，并存盤于安全區；使用是在首次使用時用對應的私鑰對名單脫密使用，當系統呼叫鑒別模塊時會查詢這個名單以確定指令發送方是否合法，

總結

隨著無人系統的廣泛應用，無人系統面臨將面臨安全風險，但安全防護的增加不能對無人系統的整體效能造成影響，不能因為安防的加入卻導致無人系統效能的降低，必須滿足安防效能評估，

本方法采用基于SM2的非證書標識公鑰(IPK)技術，實作了地面站與無人機飛控系統間的點對點輕量級安全體系，其低功耗、低時延、高安全的特性是無人系統安全防御的最佳方案，完全滿足無人系統的安防效能評估要求，

采用IPK技術對地面站發出的飛控指令實施加固鑒別，實作了地面站對無人機遠程飛行控制的主動安全防御，防止飛控指令在通信傳輸程序中被黑客或病毒篡改或冒充的技術入侵，有效地防止無人機被黑客所利用，進行病毒、木馬和惡意代碼的攻擊，為無人機提供了有效驗證遠程指令的真實性與完整性的技術方法，讓無人機實作了對指令的主動選擇與安全執行能力，