前言

本文采用基于SM2算法的非证书标识公钥IPK技术，为地面站与无人机之间建立点对点轻量级安全体系，为无人系统安全、稳定运行提供了一种飞控指令的安全加固与鉴别技术，实现了无人机对远程飞控指令的有效鉴别，有效防止无人系统遭遇的非法入侵和恶意软件破坏。

目前国际形势，数据劫持等安全风险日益严重之下，本技术实现了无人机对指令执行的自主决策和无人系统的主动防御，保障了无人机飞行安全和自主可控。

一、引言

2016年315晚会上，央视报道：在黑客的操控下，大疆无人机完全脱离了机主的控制。由于无人机飞控系统与工作站之间的数据、指令没有加密，黑客对飞控进行了反向工程，入侵后屏蔽了合法的飞行指令，假冒控制者向无人机发送飞行指令。同时，利用软件漏洞，黑客还注入了木马，改变导航点，更改飞行数据，重置返航点，完全替代合法操控者，实现了对无人机劫持控制。随着无人机的普及应用，无人机正面临各种威胁：

(1) 无人机企业多通过集成部件来完成无人机的整机生产，无法避免硬件或软件系统的相关漏洞，加大黑客侵入风险；

(2) 传统定频+跳频的抗干扰方式，仅解决了无人机通讯的及时准确，但通讯数据还是明文，黑客可能找出漏洞模拟无人机的遥控设备进行攻击，从而劫持无人机；

(3) 飞控系统可通过对称加密技术对传输数据进行加密，但无人机控制距离一般会在10公里左右，这样大的范围，黑客很容易对信号截取，取得数据进行分析，得到固定密钥或使用密钥的规律，导致数据被破解；

(4) 地面站与无人机的通讯，缺失防护手段，飞控指令存在被截取或非法使用的风险。

无人系统必须接收从地面站发出的飞控指令来完成飞行任务，如何让无人机对飞控指令做出判断，鉴别其真伪，按照合法操控者的真实意愿实现飞行，这是保证无人系统安全可靠的前提。因此，必须为无人系统的飞控指令建立有效的安全验证机制，实现对飞控指令的安全加固与鉴别。

二、无人系统的安全防御

1.无人系统的组成

无人系统也称无人机系统，主要包括无人机、地面站、通讯链路三部分，各部分安装有不同的平台、系统或外挂，实现无人系统的不同功能（如图1）。

动力系统为无人机飞行提供动力，通过导航飞控系统，无人机可获得位置、高度、速度、航向等信息，导航飞控系统是无人机起飞、飞行、执行任务、返航等整个飞行过程的核心系统，它接收地面站操控系统发送的飞行控制指令，对无人机实现全权控制与管理。

因此，地面站操控系统发送指令的真伪对于无人机的安全飞行来讲非常重要。地面站通过操控系统向无人机发送飞控指令，保证无人机飞行按照既定航线飞行。

同时，通过无人机感知系统、外挂设备，可在地面站监控系统中实现相关视频、图片等数据的实时展示。通信链路建立起地面站与无人机之间的点对点通信，实现无人机与地面站之间的信息交换。

2.飞控指令安全防御需求

通常情况下，无人机收到地面站发送的飞行控制指令等数据后，会对收到的系统号和地址码进行比较，在系统号和地址码都与本地相符时，就会接收数据，否则拒绝接收。

这种方式保证了无人机与地面站之间的点对点唯一通信，但地面站发送的指令信息基本是明文传输，这加大了飞控指令的安全风险。

为了对无人系统实现安全防御，无人系统会对无人机图传数据进行加密回传，但往往忽略了无人机飞控指令的有效防御。

从地面站发出的飞控指令信息包括了无人机飞行操控命令、飞行关键参数等重要数据，是保障无人机按照既定轨道安全、稳定飞行的关键。

技术上可以通过对称加密技术实现对指令信息的加密传输，但实际上，由于操控者对无人机飞行控制距离较远，黑客很容易实现对信号数据的截取，经过分析即可得到固定密钥或使用密钥的规律，从而破解飞行数据。这样，黑客就获取了无人机的系统号和地址码，可以冒充操控者对无人机进行操控，或者可以注入木马，对无人机飞行过程监控，这将给执行任务的无人机造成严重后果。

因此，对无人系统飞控指令进行安全防御，

一方面要确认指令发送方和指令接收方的身份，保障各方合法性；

另一方面，还要加入对指令执行时间的验证，防止黑客复制或重放攻击；

更重要的，要满足无人机安防效能要求，选择一种低功耗、高效率、可实现点对点的轻量级安全认证技术。本文采用一种基于国密SM2算法的非证书标识公钥密码技术（IPK：Identity Public Key）实现对飞控指令的安全加固。

3.基于SM2的非证书标识公钥技术

IPK是一种新型的、轻量化的标识公钥安全管理体制，可通过标识及系统参数分别计算获得私钥和公钥，能以标识等同于公钥实现对公钥的管理。

在IPK管理体制中，系统秘密参数仅由密钥中心所有，是整个安全体系的核心，私钥由使用者申请，在密钥中心集中生成并通过安全通道分发给使用者；而系统公开参数由每个使用者本地保存。当使用者需要对方公钥时，只需要将对方标识通过IPK计算即可获得对方的公钥。

IPK以标识管理取代公钥管理，不再依赖第三方进行公钥证明，极大的简化了安全体系的复杂度，实现了点对点直接认证，提高了安全应用的实时性，完全满足无人机与地面站之间的点对点安全应用。

目前应用最广的公钥密码体制是PKI CA，IPK与PKI CA相同，都是公钥管理体制，二者应用的密码算法基础均是SM2，所以安全性完全相同。

PKI CA公钥密码技术通过证书实现标识与公钥的绑定，IPK则是通过标识映射方法实现标识与公钥的绑定，以标识替代证书管理，是一种新型的轻量化、轻量中心化的公钥管理体制，与传统的PKI CA相比具有较大的技术优势，如表1所示。

表1可见：采用IPK对飞控指令签名后的数据包前后变化很小，且验证时间短，可以保证无人系统接收到指令后的快速验证，这几乎不会对指令执行造成任何影响，完全满足安防效能要求。

三、飞控指令的安全加固与鉴别

对飞控指令实施安全加固主要是对指令信息实现签名验证，通过指令发送方（地面站）提供证据，指令执行方（无人机）验证证据的方式进行。

证据由指令发送方对发出的飞控指令进行加固处理，指令接收方收到该指令，对其实施验证，以确定该指令的真实性、完整性和不可抵赖。

这样，就可以确认该指令确为发送方发出，且在传输过程中未被篡改。

1.飞控指令加固流程

地面站向无人机发送指令时，先用预先配置好的标识私钥对指令和时间戳进行加固，然后将指令与加固数据打包发给无人机。如图3。

具体流程为：

(1)指令发送方（地面站）提供指令的真实性证据：即发送方对指令和时间戳签名；

(2)将指令的加固信息、加固时间(即时间戳)、加固协议、版本号和加固者标识等进行打包；

(3)将打包后的数据采用ASN.1编码后发送给指令接收方（无人机）。

其中，加固模块是对指令代码和时间戳签名，提供真实性证据。

加固模块以SDK的方式提供给应用调用，地面站需要向无人机发送飞控指令时，由地面站软件调用加固模块，用发送者的私钥对指令和当前时间进行加固，然后将指令和加固信息打包发给无人机。

通过加固，指令在传输过程中有任意微小的改动，无人机都可通过验证加固信息感知，可彻底杜绝黑客伪造、篡改指令；而时间戳能够保障指令的时效性，黑客试图通过截取合法指令进行重放攻击成为不可能。

2.飞控指令鉴别流程

指令接收者（无人机）接收到指令发送者（地面站）发送的指令，对指令进行鉴别。飞控指令鉴别流程涉及了从地面站发送的指令包信息的提取、白名单列表的加载与查询、系统安全模块的调度等，无人机飞控指令鉴别流程如图4所示。

无人机对加固指令包实施鉴别的具体步骤如下：

(1)无人机收到地面站远程发送的加固指令包，对其申请执行鉴别；

(2)系统安全模块将调用鉴别模块，申请对即将执行的飞控指令进行鉴别；

(3)鉴别模块先检查指令包是否含加固信息，若无则拒绝执行；若有则解析出指令、时间戳和加固信息，并提交给验证模块；

(4)验证模块对指令的加固信息进行验证，若验证不通过，则拒绝执行；如果通过验证，则转入(5)；

(5)查询指令发送方标识是否在白名单列表中，如果不在其中，则返回鉴别不通过，拒绝执行；否则转入(6)；

(6)标识通过合法检查后，再提取签名时间戳与当前时间进行比较，判断此指令是否在有效的时间范围内，若超过范围则可能是受到复制攻击，拒绝执行；若通过时效性检查则转入(7)；

(7)系统安全模块通知无人机飞控系统执行指令。

无人机端部署系统安全模块，鉴别模块、白名单后，无人机端将对所有接收的指令均进行严格的完事性、真实性和合法性检查，并根据结果做出执行与否的流程。

系统安全模块：系统安全模块是对无人机指令调度核心进程模块，在无人机执行指令前先转向验证模块，由验证模块判定请求执行指令的真实性和完整性，只有通过鉴别是真实的（即没有被篡改，是名单列表中所允许的指令发送者所发出的指令），才允许执行，否则拒绝执行。

鉴别模块：鉴别模块是对地面站发送来的指令包（即指令加固信息）进行验证，并做出执行与否的判断。鉴别模块对收到的指令包信息先进行验证，再从加固信息中获取发送者的标识，并查询白名单列表判定是否合法，都通过后再从加固信息中提取时间戳从而进行指令的时效性检查，只有三项都通过后方返回鉴别通过，否则返回鉴别未通过。

白名单：白名单涉及名单维护、存储与使用三方面。名单维护可以以配置文件存在，涉及增加、修改和删除的维护，然后将列表加密存储于系统安全模块中；存储是将名单用标识公钥进行加密，并存储于安全区；使用是在首次使用时用对应的私钥对名单脱密使用，当系统调用鉴别模块时会查询这个名单以确定指令发送方是否合法。

总结

随着无人系统的广泛应用，无人系统面临将面临安全风险，但安全防护的增加不能对无人系统的整体效能造成影响，不能因为安防的加入却导致无人系统效能的降低，必须满足安防效能评估。

本方法采用基于SM2的非证书标识公钥(IPK)技术，实现了地面站与无人机飞控系统间的点对点轻量级安全体系，其低功耗、低时延、高安全的特性是无人系统安全防御的最佳方案，完全满足无人系统的安防效能评估要求。

采用IPK技术对地面站发出的飞控指令实施加固鉴别，实现了地面站对无人机远程飞行控制的主动安全防御，防止飞控指令在通信传输过程中被黑客或病毒篡改或冒充的技术入侵，有效地防止无人机被黑客所利用，进行病毒、木马和恶意代码的攻击，为无人机提供了有效验证远程指令的真实性与完整性的技术方法，让无人机实现了对指令的主动选择与安全执行能力。