?。?無(wú)人機(jī)系統(tǒng)及網(wǎng)絡(luò)

　　1.1　無(wú)人機(jī)系統(tǒng)組成

　　無(wú)人機(jī)系統(tǒng)分為無(wú)人機(jī)和地面控制系統(tǒng)兩大部分。

　　無(wú)人機(jī)按照飛行器構(gòu)型可分為固定翼、撲翼、旋翼和混合翼等不同類(lèi)型，一般包括動(dòng)力系統(tǒng)、傳感器、控制系統(tǒng)、通信系統(tǒng)和任務(wù)載荷。其中，動(dòng)力系統(tǒng)為無(wú)人機(jī)提供動(dòng)力；傳感器主要包括陀螺儀、GPS、磁力計(jì)等；控制系統(tǒng)接收傳感器數(shù)據(jù)和地面控制指令，控制無(wú)人機(jī)飛行；任務(wù)載荷是執(zhí)行任務(wù)的部件，根據(jù)具體任務(wù)搭載不同載荷。

　　地面控制系統(tǒng)可以是一個(gè)遙控器，也可以是一個(gè)地面站，一般包括通信系統(tǒng)、控制系統(tǒng)以及數(shù)據(jù)處理系統(tǒng)等。其中，通信系統(tǒng)與無(wú)人機(jī)建立通信鏈接；控制系統(tǒng)控制無(wú)人機(jī)飛行和任務(wù)執(zhí)行；數(shù)據(jù)處理系統(tǒng)負(fù)責(zé)航線(xiàn)規(guī)劃和任務(wù)數(shù)據(jù)處理。如圖1所示。

　　圖1　無(wú)人機(jī)系統(tǒng)組成及網(wǎng)絡(luò)

　　1.2　無(wú)人機(jī)網(wǎng)絡(luò)

　　無(wú)人機(jī)網(wǎng)絡(luò)可看作飛行的無(wú)線(xiàn)網(wǎng)絡(luò)。每架無(wú)人機(jī)是一個(gè)網(wǎng)絡(luò)數(shù)據(jù)收發(fā)節(jié)點(diǎn)，也可提供網(wǎng)絡(luò)中繼。無(wú)人機(jī)網(wǎng)絡(luò)可以是自組織，也可以基于地面或衛(wèi)星基礎(chǔ)設(shè)施支撐。其中，多架無(wú)人機(jī)組成的空中通信網(wǎng)絡(luò)被稱(chēng)作空中移動(dòng)自組織網(wǎng)絡(luò)（Mobile Ad hoc Network，MANET），多采用Ad-Hoc模式架構(gòu)。MANET網(wǎng)絡(luò)根據(jù)拓?fù)漕?lèi)型范分為平面拓?fù)浣Y(jié)構(gòu)和分級(jí)拓樸結(jié)構(gòu)。平面拓?fù)浣Y(jié)構(gòu)中，網(wǎng)絡(luò)各節(jié)點(diǎn)在路由計(jì)算、消息收發(fā)等方面的地位是對(duì)等的。平面拓?fù)渎酚蓞f(xié)議一般包括AODV、DSR以及OLSR等。在分級(jí)拓?fù)浣Y(jié)構(gòu)中，網(wǎng)絡(luò)中的無(wú)人機(jī)節(jié)點(diǎn)被分成多個(gè)群，每個(gè)群有一個(gè)群首，負(fù)責(zé)群內(nèi)拓?fù)涔芾砗腿洪g通信。多個(gè)群的群首可組成一個(gè)更高一級(jí)的網(wǎng)絡(luò)，并選擇高一級(jí)的群首，最終構(gòu)成一個(gè)多級(jí)網(wǎng)絡(luò)。每一個(gè)群中的群首是由群成員動(dòng)態(tài)自組織選出的，是動(dòng)態(tài)變化的。分級(jí)拓?fù)渎酚蓞f(xié)議一般包括ZRP、LANMAR以及CGSR等。

　　1.3　無(wú)人機(jī)系統(tǒng)工作流程

　　無(wú)人機(jī)工作信息流程如圖2所示。

　　圖2　無(wú)人機(jī)工作信息流程

　?、偻勇輧x等傳感器從物理域感知環(huán)境信息，并反饋給數(shù)據(jù)處理模塊。

　?、跀?shù)據(jù)處理模塊對(duì)數(shù)據(jù)進(jìn)行校正后傳遞到導(dǎo)航模塊，同時(shí)與GPS信號(hào)等數(shù)據(jù)融合。

　?、蹅鞲衅鞯臄?shù)據(jù)也會(huì)直接傳送給控制器，輔助控制器進(jìn)行調(diào)整。

　　④導(dǎo)航模塊獲取GPS信息。

　?、輰?dǎo)航模塊將傳感器數(shù)據(jù)與定位數(shù)據(jù)融合，生成航向信息發(fā)送給控制器。

　　⑥⑦地面控制系統(tǒng)與通信模塊和控制模塊通過(guò)無(wú)線(xiàn)通信手段交換信息，包括控制命令、飛行狀態(tài)以及任務(wù)信息等。

　　⑧控制器向任務(wù)載荷發(fā)送控制指令，使任務(wù)載荷按照命令執(zhí)行任務(wù)。

　?。?無(wú)人機(jī)安全威脅分析

　　無(wú)人機(jī)系統(tǒng)涉及到空中系統(tǒng)和地面系統(tǒng)兩部分，且無(wú)人機(jī)及網(wǎng)絡(luò)直接暴露在不安全的外部環(huán)境中。因此，無(wú)人機(jī)平臺(tái)、系統(tǒng)內(nèi)部的信息傳遞以及系統(tǒng)間的通信過(guò)程都可能成為攻擊者關(guān)注的焦點(diǎn)。無(wú)人機(jī)系統(tǒng)的安全威脅主要包括以下幾個(gè)方面。

　　2.1　傳感器攻擊威脅

　　無(wú)人機(jī)的傳感器從物理域采集環(huán)境數(shù)據(jù)反饋給無(wú)人機(jī)控制系統(tǒng)，輔助無(wú)人機(jī)下達(dá)控制指令。當(dāng)傳感器被攻擊時(shí)，將采集錯(cuò)誤的數(shù)據(jù)，控制系統(tǒng)將無(wú)法做出正確的決策，致使無(wú)人機(jī)的飛行失控或執(zhí)行任務(wù)失敗。

　　2.1.1　干擾陀螺儀攻擊

　　陀螺儀提供無(wú)人機(jī)飛行姿態(tài)信息，以保持無(wú)人機(jī)平衡。MEMS陀螺儀利用共振原理把角速率轉(zhuǎn)換成一個(gè)被感測(cè)物體的位移。攻擊者利用外部聲波使無(wú)人機(jī)的陀螺儀發(fā)生共振，從而擾亂無(wú)人機(jī)的平穩(wěn)飛行。韓國(guó)先進(jìn)科學(xué)技術(shù)研究院研究人員給無(wú)人機(jī)接上一個(gè)揚(yáng)聲器，控制揚(yáng)聲器發(fā)聲。當(dāng)揚(yáng)聲器發(fā)出與陀螺儀匹配的噪聲時(shí)，正常飛行的無(wú)人機(jī)會(huì)失控墜落。

　　2.1.2　電機(jī)浪涌攻擊

　　電機(jī)浪涌攻擊是一種短程爆發(fā)式攻擊手段。攻擊者通過(guò)篡改單個(gè)變量，在短時(shí)間內(nèi)給系統(tǒng)注入可產(chǎn)生影響的最大偏差值，企圖對(duì)攻擊目標(biāo)產(chǎn)生盡可能大的傷害。例如，攻擊者使用浪涌攻擊篡改控制器的控制輸入，無(wú)人機(jī)的執(zhí)行電機(jī)通常會(huì)出現(xiàn)超限運(yùn)轉(zhuǎn)或者近乎停轉(zhuǎn)的情況，使得無(wú)人機(jī)出現(xiàn)激烈的簸動(dòng)甚至直接墜毀。

　　2.2　定位系統(tǒng)攻擊威脅

　　GPS是無(wú)人機(jī)一個(gè)重要的傳感器，負(fù)責(zé)為無(wú)人機(jī)提供準(zhǔn)確的位置信息。針對(duì)無(wú)人機(jī)GPS模塊的攻擊可造成無(wú)人機(jī)失控。例如，攻擊者發(fā)送與GPS同頻率的干擾信號(hào)，可使無(wú)人機(jī)GPS模塊無(wú)法接收到正常GPS信號(hào)。攻擊者還可以發(fā)送大功率偽造GPS信號(hào)，使無(wú)人機(jī)GPS模塊接收到偽造GPS信號(hào)，解出錯(cuò)誤的位置信息。

　　GPS欺騙攻擊。攻擊者掌握公開(kāi)發(fā)布的GPS系統(tǒng)信號(hào)定義、通信鏈路、通信協(xié)議等信息后，根據(jù)攻擊目標(biāo)可計(jì)算出每個(gè)GPS信息發(fā)送位置、時(shí)間，從而偽造出有特定指向的GPS信號(hào)，通過(guò)大功率發(fā)射，可欺騙無(wú)人機(jī)選擇接收強(qiáng)度更高的欺騙信號(hào)，從而達(dá)到欺騙攻擊的目的。

　　2.3　通信網(wǎng)絡(luò)攻擊威脅

　　無(wú)人機(jī)通信和網(wǎng)絡(luò)直接暴露在無(wú)線(xiàn)空間中，很容易被攻擊者利用而發(fā)起信號(hào)干擾、無(wú)線(xiàn)網(wǎng)絡(luò)欺騙攻擊和拒絕服務(wù)攻擊等。

　　2.3.1　信號(hào)干擾

　　無(wú)人機(jī)網(wǎng)絡(luò)通信具有節(jié)點(diǎn)高速移動(dòng)、信道切換頻繁、通信能量受限的特點(diǎn)，網(wǎng)絡(luò)拓?fù)淇焖僮兓?，無(wú)線(xiàn)通信鏈路隨時(shí)切換。干擾器通過(guò)發(fā)射足夠大功率的干擾信號(hào)即可覆蓋正常通信，使得網(wǎng)絡(luò)通信質(zhì)量下降，通信雙方連接中斷，導(dǎo)致任務(wù)失敗或無(wú)人機(jī)失控。

　　2.3.2　信息欺騙

　　鏈路劫持。攻擊者截獲傳感器回送給控制器的實(shí)時(shí)數(shù)據(jù)信息將其篡改為惡意信息，再將其發(fā)送給控制器?？刂破鹘馕鰫阂鈹?shù)據(jù)后會(huì)影響數(shù)據(jù)融合的正確性和完整性，可能導(dǎo)致無(wú)人機(jī)的合法控制權(quán)被直接剝奪。

　　女巫攻擊。這種攻擊中，一個(gè)惡意的無(wú)人機(jī)節(jié)點(diǎn)通過(guò)創(chuàng)建大量的虛假身份充當(dāng)網(wǎng)絡(luò)中多架無(wú)人機(jī)。由于網(wǎng)絡(luò)中其他合法的無(wú)人機(jī)節(jié)點(diǎn)接收到惡意節(jié)點(diǎn)的虛假信息誤以為接收到多架合法無(wú)人機(jī)節(jié)點(diǎn)的正確信息，可能會(huì)根據(jù)虛假信息做出決策。

　　蟲(chóng)洞攻擊。蟲(chóng)洞攻擊通過(guò)在兩個(gè)惡意節(jié)點(diǎn)之間搭建一條“隧道”，其中一個(gè)攻擊節(jié)點(diǎn)記錄該節(jié)點(diǎn)流經(jīng)數(shù)據(jù)和位置信息，然后通過(guò)隧道將這些數(shù)據(jù)信息傳遞到另一個(gè)攻擊節(jié)點(diǎn)。由于這條隧道中傳輸?shù)臄?shù)據(jù)比合法節(jié)點(diǎn)傳輸?shù)臄?shù)據(jù)更多，因此根據(jù)路由算法會(huì)有更多的數(shù)據(jù)流量分配給這條隧道，從而由這條蟲(chóng)洞隧道控制了網(wǎng)絡(luò)中的大部分路由，此時(shí)攻擊者可以輕松獲取網(wǎng)絡(luò)中的大多數(shù)數(shù)據(jù)。

　　2.3.3　拒絕服務(wù)

　　無(wú)人機(jī)地空信息通信經(jīng)常會(huì)用到以Wi-Fi等無(wú)線(xiàn)局域網(wǎng)技術(shù)為底層的通信，在網(wǎng)絡(luò)層也會(huì)使用到TCP/UDP協(xié)議等常見(jiàn)協(xié)議。攻擊者可針對(duì)網(wǎng)絡(luò)層固有的缺陷發(fā)起泛洪式拒絕服務(wù)攻擊，阻斷無(wú)人機(jī)正常通信，或?qū)е嘛w行控制系統(tǒng)癱瘓。

　　2.4　無(wú)人機(jī)軟件攻擊威脅

　　無(wú)人機(jī)的基礎(chǔ)軟件、飛控軟件等都存在一定的軟件安全漏洞，可被黑客利用攻擊無(wú)人機(jī)系統(tǒng)。例如，飛控系統(tǒng)Maldrone無(wú)人機(jī)軟件漏洞，攻擊者可以通過(guò)該漏洞進(jìn)入無(wú)人機(jī)系統(tǒng)，在控制端安裝后門(mén)程序，利用程序監(jiān)聽(tīng)無(wú)人機(jī)傳感器的數(shù)據(jù)采集或者進(jìn)行遠(yuǎn)程操控。此外，Zigbee芯片威脅、鍵盤(pán)木馬威脅等也是針對(duì)無(wú)人機(jī)軟件的攻擊手段。

　　３ 無(wú)人機(jī)安全保密體系

　　通過(guò)以上無(wú)人機(jī)的安全威脅分析，考慮無(wú)人機(jī)動(dòng)態(tài)性、移動(dòng)性和分布式處理等特點(diǎn)，設(shè)計(jì)無(wú)人機(jī)系統(tǒng)安全保密體系，如圖3所示。

　　圖3　無(wú)人機(jī)安全保密體系架構(gòu)

　　無(wú)人機(jī)安全保密體系包括無(wú)人平臺(tái)安全、無(wú)線(xiàn)網(wǎng)絡(luò)安全、應(yīng)用控制安全、安全保密運(yùn)維和安全保密支撐5部分。無(wú)人平臺(tái)安全主要提供安全可信的無(wú)人機(jī)軟硬件平臺(tái)，抵御針對(duì)部件、傳感器的抵近式惡意破壞；無(wú)線(xiàn)網(wǎng)絡(luò)安全以輕量級(jí)密碼認(rèn)證為基礎(chǔ)，構(gòu)建從物理層到網(wǎng)絡(luò)層的無(wú)人機(jī)網(wǎng)絡(luò)可信互聯(lián)，抵御竊聽(tīng)、假冒、篡改等網(wǎng)絡(luò)攻擊；應(yīng)用控制安全通過(guò)軟件可信和數(shù)據(jù)加密保護(hù)等措施，防止非法軟件濫用和數(shù)據(jù)竊取；安全保密運(yùn)維提供無(wú)人機(jī)設(shè)備、安全策略、密鑰的管理，并可呈現(xiàn)無(wú)人機(jī)系統(tǒng)的整體安全態(tài)勢(shì)；安全保密支撐提供認(rèn)證和加密等手段需要的密碼算法、密碼芯片和身份管理支撐。

　　3.1　無(wú)人平臺(tái)安全

　　無(wú)人平臺(tái)安全基于可信計(jì)算技術(shù)，以可信模塊（Trusted Platform Module，TPM）為基礎(chǔ)，構(gòu)建可信軟硬件平臺(tái)，建立自底向上的可信鏈，確保無(wú)人機(jī)平臺(tái)軟硬件環(huán)境的安全可信，將可信度量結(jié)果與基線(xiàn)核查結(jié)果共同作為安全度量參數(shù)構(gòu)建可信網(wǎng)絡(luò)環(huán)境，如圖4所示。

　　圖4　無(wú)人平臺(tái)安全架構(gòu)

　　3.1.1　可信模塊與可信軟件棧

　　可信模塊作為軟硬件可信度量的信任基礎(chǔ)，通過(guò)可信軟件棧為上層應(yīng)用實(shí)現(xiàn)可信度量提供支撐。

　　3.1.2　可信引導(dǎo)

　　通過(guò)與無(wú)人機(jī)平臺(tái)的一體化設(shè)計(jì)，建立貫穿硬件模塊、操作系統(tǒng)及應(yīng)用的信任鏈，實(shí)現(xiàn)對(duì)硬件啟動(dòng)和軟件引導(dǎo)過(guò)程的完整度量，確保無(wú)人機(jī)平臺(tái)基礎(chǔ)軟硬件環(huán)境的可信。

　　3.1.3　傳感器可信度量

　　無(wú)人機(jī)傳感器包括GPS、陀螺儀等，通過(guò)可信度量實(shí)現(xiàn)對(duì)傳感器硬件的可信管控。

　　3.1.4　可信波形度量

　　對(duì)無(wú)人機(jī)的軟件波形進(jìn)行可信度量，防止對(duì)軟件波形文件的替換、破壞等。

　　3.1.5　可信安全基線(xiàn)核查

　　綜合對(duì)無(wú)人機(jī)平臺(tái)軟硬件的可信度量結(jié)果，形成對(duì)本機(jī)的綜合安全度量結(jié)果，作為無(wú)人機(jī)網(wǎng)絡(luò)接入的基本條件之一，從而為構(gòu)建可信安全的無(wú)人機(jī)網(wǎng)絡(luò)提供重要支撐。

　　3.2　無(wú)線(xiàn)網(wǎng)絡(luò)安全

　　無(wú)線(xiàn)網(wǎng)絡(luò)安全主要保障無(wú)線(xiàn)空口機(jī)密性、完整性和可用性，通過(guò)射頻指紋識(shí)別、抗干擾、輕量級(jí)認(rèn)證、無(wú)線(xiàn)接入控制、傳輸加密、無(wú)線(xiàn)攻擊檢測(cè)以及針對(duì)MANET網(wǎng)絡(luò)的組網(wǎng)安全防護(hù)，從物理層、鏈路層和網(wǎng)絡(luò)層等各個(gè)層面保障合法無(wú)人機(jī)入網(wǎng)，抵御竊聽(tīng)、假冒、篡改等網(wǎng)絡(luò)攻擊，如圖5所示

　　圖5　無(wú)線(xiàn)網(wǎng)絡(luò)安全

　　3.2.1　射頻指紋識(shí)別與信號(hào)抗干擾

　　通過(guò)建立無(wú)人機(jī)射頻指紋庫(kù)，通信雙方利用射頻指紋識(shí)別與檢測(cè)方法，發(fā)現(xiàn)和阻斷非法無(wú)人機(jī)或?qū)嶓w的連接。利用跳擴(kuò)頻控制加密、頻譜資源優(yōu)化等手段，加強(qiáng)無(wú)人機(jī)抗干擾抗截獲能力。

　　3.2.2　輕量級(jí)認(rèn)證與互聯(lián)控制

　　針對(duì)無(wú)人機(jī)通信帶寬窄的特點(diǎn)，使用輕量級(jí)認(rèn)證協(xié)議實(shí)現(xiàn)無(wú)人機(jī)之間組網(wǎng)互聯(lián)的安全認(rèn)證，防止非法和假冒用戶(hù)的接入。

　　3.2.3　無(wú)線(xiàn)傳輸加密

　　對(duì)無(wú)線(xiàn)空口實(shí)施鏈路層加密、網(wǎng)絡(luò)層加密等手段，確保數(shù)據(jù)在空口傳輸?shù)臋C(jī)密性和完整性。

　　3.2.4　無(wú)線(xiàn)攻擊檢測(cè)

　　無(wú)線(xiàn)網(wǎng)絡(luò)攻擊檢測(cè)通過(guò)畸形協(xié)議攻擊檢測(cè)、網(wǎng)絡(luò)行為異常檢測(cè)和流量擁塞攻擊檢測(cè)等技術(shù)，發(fā)現(xiàn)針對(duì)無(wú)線(xiàn)通信協(xié)議格式、協(xié)議交互、通信行為以及網(wǎng)絡(luò)流量的攻擊。

　　3.2.5　分布式組網(wǎng)安全

　　針對(duì)MANET網(wǎng)絡(luò)分布式組網(wǎng)，通過(guò)對(duì)路由協(xié)議增強(qiáng)、路由攻擊檢測(cè)等技術(shù)，發(fā)現(xiàn)和阻斷針對(duì)路由組網(wǎng)的攻擊。

　　3.3　應(yīng)用控制安全

　　應(yīng)用控制安全通過(guò)身份認(rèn)證和授權(quán)訪(fǎng)問(wèn)控制確保合法用戶(hù)能夠訪(fǎng)問(wèn)和使用控制軟件。軟件可信基于軟件可信度量實(shí)現(xiàn)應(yīng)用軟件運(yùn)行控制，防止非法軟件的運(yùn)行，對(duì)存儲(chǔ)在無(wú)人機(jī)內(nèi)的敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，防止攻擊者竊取。

　　3.3.1　軟件可信

　　基于軟件白名單和數(shù)字簽名機(jī)制，為應(yīng)用軟件運(yùn)行提供安全保證，實(shí)現(xiàn)軟件的來(lái)源可信、運(yùn)行可控，并提供軟件的發(fā)布、更新等管理手段。

　　3.3.2　數(shù)據(jù)加密

　　對(duì)存儲(chǔ)在無(wú)人機(jī)內(nèi)的敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，防止攻擊者竊取。

　　3.3.3　身份認(rèn)證與授權(quán)訪(fǎng)問(wèn)

　　對(duì)數(shù)據(jù)資源的訪(fǎng)問(wèn)進(jìn)行安全管控，對(duì)訪(fǎng)問(wèn)行為進(jìn)行記錄和審計(jì)，保證合法的用戶(hù)訪(fǎng)問(wèn)合法的數(shù)據(jù)。

　　3.4　安全保密運(yùn)維

　　安全保密運(yùn)維通過(guò)設(shè)備管理、策略管理、密鑰管理和安全態(tài)勢(shì)，實(shí)現(xiàn)無(wú)人機(jī)狀態(tài)監(jiān)控、安全策略的調(diào)整與分發(fā)、無(wú)人機(jī)秘鑰管理與分發(fā)以及無(wú)人機(jī)安全態(tài)勢(shì)分析與呈現(xiàn)，如圖6所示。

　　圖6　安全保密運(yùn)維

　　3.4.1　策略管理

　　通過(guò)策略的分組管理，可依據(jù)實(shí)際情況對(duì)多個(gè)無(wú)人機(jī)進(jìn)行分組，為每組無(wú)人機(jī)制定相應(yīng)的策略，并在無(wú)人機(jī)執(zhí)行任務(wù)之前批量下發(fā)每組無(wú)人機(jī)，同時(shí)可在線(xiàn)調(diào)整個(gè)別無(wú)人機(jī)安全策略。

　　3.4.2　安全態(tài)勢(shì)

　　地面控制中心通過(guò)在線(xiàn)或離線(xiàn)方式收集無(wú)人機(jī)的安全事件、系統(tǒng)日志、狀態(tài)監(jiān)控以及策略參數(shù)等數(shù)據(jù)，通過(guò)綜合分析形成安全態(tài)勢(shì)，進(jìn)行可視化展現(xiàn)。

　　3.4.3　密碼管理

　　實(shí)現(xiàn)密鑰管理、密鑰分發(fā)，能夠根據(jù)無(wú)人機(jī)執(zhí)行不同任務(wù)動(dòng)態(tài)調(diào)整密鑰分發(fā)策略。

　　3.5　安全保密支撐

　　安全保密支撐為無(wú)人機(jī)平臺(tái)、組網(wǎng)、數(shù)據(jù)存儲(chǔ)等提供密碼算法、密碼芯片和身份管理支撐。

　　3.5.1　密碼算法

　　密碼算法為安全保密提供加密、簽名、雜湊等算法，可用于加密、認(rèn)證、消息完整性保護(hù)等。

　　3.5.2　密碼芯片

　　密碼芯片是密碼算法的物理載體，并提供高速密碼運(yùn)算能力。

　　3.5.3　身份管理

　　身份管理提供無(wú)人機(jī)用戶(hù)、設(shè)備的管理功能，并提供無(wú)人機(jī)系統(tǒng)身份認(rèn)證支撐。

　?。?無(wú)人機(jī)安全保密關(guān)鍵技術(shù)

　　4.1　可信加固的無(wú)人機(jī)系統(tǒng)平臺(tái)技術(shù)

　　無(wú)人機(jī)系統(tǒng)包括無(wú)人機(jī)硬件平臺(tái)和嵌入式操作系統(tǒng)。無(wú)人機(jī)飛行控制軟件等運(yùn)行在無(wú)人機(jī)操作系統(tǒng)上，一旦攻擊者利用系統(tǒng)漏洞侵入操作系統(tǒng)取得控制權(quán)，則可獲取無(wú)人機(jī)數(shù)據(jù)或控制無(wú)人機(jī)行動(dòng)，造成嚴(yán)重的危害。

　　安全無(wú)人機(jī)系統(tǒng)平臺(tái)技術(shù)的研究主要集中在兩個(gè)方向——可形式化證明的無(wú)人機(jī)系統(tǒng)和基于可信計(jì)算的無(wú)人機(jī)系統(tǒng)。其中，可形式化證明的無(wú)人機(jī)系統(tǒng)的關(guān)鍵在于驗(yàn)證無(wú)人機(jī)操作系統(tǒng)內(nèi)核的正確性，確保內(nèi)核代碼沒(méi)有存在潛在的安全漏洞，從而保證其代碼完全符合設(shè)計(jì)規(guī)范，達(dá)到消除潛在漏洞的目的。

　　美國(guó)加州大學(xué)、卡內(nèi)基梅隆大學(xué)等將形式化驗(yàn)證技術(shù)引入無(wú)人機(jī)系統(tǒng)，用于驗(yàn)證控制器等模塊功能的正確性，從而達(dá)到提高無(wú)人機(jī)可靠性的目的。美國(guó)國(guó)防高等研究計(jì)劃署（Defense Advanced Research Projects Agency，DARPA）在髙可信網(wǎng)絡(luò)軍事系統(tǒng)項(xiàng)目（High-Assurance Cyber Military Systems，HACMS）中提出建立一套完整的經(jīng)過(guò)形式化驗(yàn)證的無(wú)人機(jī)系統(tǒng)，但可形式化證明的方法在實(shí)現(xiàn)時(shí)開(kāi)發(fā)流程復(fù)雜，難以應(yīng)用于實(shí)際場(chǎng)景。

　　無(wú)人機(jī)平臺(tái)可信計(jì)算通過(guò)嵌入在平臺(tái)中的TPM和可信軟件棧，構(gòu)建基于可信度量的信任鏈傳遞架構(gòu)，可確保平臺(tái)中的關(guān)鍵硬件、固件、系統(tǒng)內(nèi)核、關(guān)鍵程序都是未被篡改、真實(shí)可信的。ARM公司的TrustZone技術(shù)在嵌入式內(nèi)核中植入可信代碼區(qū)域，加固系統(tǒng)安全性；德國(guó)波鴻魯爾大學(xué)研究人員針對(duì)嵌入式系統(tǒng)提出了一種基于微內(nèi)核的可信虛擬區(qū)域構(gòu)造方法；Denk等人設(shè)計(jì)開(kāi)發(fā)了輕量級(jí)的、具備可信引導(dǎo)功能的系統(tǒng)引導(dǎo)程序DasU-boot，可對(duì)操作系統(tǒng)內(nèi)核鏡像進(jìn)行可信度量，防止非法代碼的執(zhí)行。

　　可信加固的無(wú)人機(jī)系統(tǒng)平臺(tái)可結(jié)合嵌入式平臺(tái)可信技術(shù)和操作系統(tǒng)形式化驗(yàn)證技術(shù)，構(gòu)建可信、可靠的無(wú)人機(jī)運(yùn)行環(huán)境，主要研究方向包括可信嵌入式可信平臺(tái)的實(shí)時(shí)性等性能提升以及可形式化驗(yàn)證操作系統(tǒng)內(nèi)核的可擴(kuò)展性提升等。

　　4.2　無(wú)人機(jī)網(wǎng)絡(luò)抗干擾技術(shù)

　　目前，國(guó)內(nèi)外對(duì)無(wú)人機(jī)網(wǎng)絡(luò)抗干擾技術(shù)的研究方向主要集中在跳擴(kuò)頻、頻譜資源分配優(yōu)化等方面。

　　跳頻擴(kuò)頻技術(shù)（Frequency-Hopping Spread Spectrum，F(xiàn)HSS）長(zhǎng)期被用來(lái)提高無(wú)線(xiàn)通信的抗干擾能力，主要通過(guò)快速切換頻率載波來(lái)積極躲避干擾攻擊。對(duì)于無(wú)人機(jī)移動(dòng)Ad Hoc網(wǎng)絡(luò)，每個(gè)節(jié)點(diǎn)具有移動(dòng)性和能量受限性，且網(wǎng)絡(luò)容量有限，導(dǎo)致跳擴(kuò)頻存在一定的局限性。

　　頻譜資源優(yōu)化與FHSS不同，通過(guò)對(duì)可用頻譜資源的最佳使用實(shí)現(xiàn)抗干擾。頻譜資源優(yōu)化利用自適應(yīng)方法達(dá)到最優(yōu)資源分配效果。通常通過(guò)同時(shí)在幾個(gè)不同的信道上分配資源來(lái)嘗試最大化鏈路的信息理論容量，每個(gè)用戶(hù)能夠獨(dú)立使用迭代學(xué)習(xí)算法動(dòng)態(tài)計(jì)算，使控制信道能夠抵抗特定的破壞性攻擊。

　　以上方法的思路聚焦于發(fā)送方采取抗干擾措施，但隨著干擾技術(shù)的發(fā)展，越來(lái)越準(zhǔn)確的干擾攻擊將壓縮發(fā)送方的抗干擾空間。為此，可從無(wú)人機(jī)接收方的角度考慮，借鑒固定網(wǎng)絡(luò)中的“蜜罐”思路，在無(wú)人機(jī)網(wǎng)絡(luò)中引入針對(duì)干擾攻擊的欺騙機(jī)制，使網(wǎng)絡(luò)中的空閑節(jié)點(diǎn)偽裝成傳輸節(jié)點(diǎn)，通過(guò)誘騙干擾方對(duì)其進(jìn)行干擾，吸引干擾功率以提高網(wǎng)絡(luò)中傳輸對(duì)的傳輸性能，可有效擴(kuò)展無(wú)人機(jī)網(wǎng)絡(luò)的干擾對(duì)抗空間。

　　4.3　無(wú)人機(jī)無(wú)線(xiàn)網(wǎng)絡(luò)輕量級(jí)認(rèn)證技術(shù)

　　無(wú)人機(jī)MANET網(wǎng)絡(luò)極易受到假冒接入的攻擊威脅，而身份認(rèn)證技術(shù)是極為重要的安全防護(hù)技術(shù)。由于MANET網(wǎng)絡(luò)分布式、動(dòng)態(tài)變化的特性，輕量級(jí)認(rèn)證技術(shù)是其研究重點(diǎn)。

　　無(wú)人機(jī)的組網(wǎng)認(rèn)證包括有中心的無(wú)人機(jī)網(wǎng)絡(luò)認(rèn)證和無(wú)中心的無(wú)人機(jī)網(wǎng)絡(luò)認(rèn)證兩類(lèi)。有中心的無(wú)人機(jī)認(rèn)證架構(gòu)中，管理中心為無(wú)人機(jī)分發(fā)密鑰，并提供無(wú)人機(jī)身份認(rèn)證功能。無(wú)中心的無(wú)人機(jī)認(rèn)證架構(gòu)利用門(mén)限密鑰技術(shù)，由網(wǎng)絡(luò)中多個(gè)節(jié)點(diǎn)共同參與密鑰生成和身份認(rèn)證。

　　在兩種認(rèn)證模型中，重點(diǎn)研究的是輕量級(jí)的認(rèn)證算法，主要思路集中在簡(jiǎn)化認(rèn)證交互次數(shù)、交互數(shù)據(jù)量，同時(shí)兼顧通信的機(jī)密性、完整性及不可否認(rèn)性。

　　4.4　無(wú)人機(jī)網(wǎng)絡(luò)密鑰管理與通信加密技術(shù)

　　鑒于無(wú)人機(jī)網(wǎng)絡(luò)的自身特殊性和網(wǎng)絡(luò)結(jié)構(gòu)限制，無(wú)人機(jī)網(wǎng)絡(luò)的密鑰管理需要適應(yīng)密鑰怕丟失、成員動(dòng)態(tài)變化、資源受限等需求。目前，無(wú)人機(jī)網(wǎng)絡(luò)密鑰管理包括以下幾種。

　　（1）基于證書(shū)的分布式密鑰管理。分布式CA將系統(tǒng)私鑰分為n份，并隨機(jī)分發(fā)給n個(gè)節(jié)點(diǎn)，構(gòu)成分布式證書(shū)頒發(fā)機(jī)構(gòu)（Distributed Certificate Authority，D-CA），為所有無(wú)人機(jī)節(jié)點(diǎn)生成和分配證書(shū)。

　　（2）基于身份ID的密鑰管理。用戶(hù)公鑰由用戶(hù)ID、身份證號(hào)或電子郵箱等具有獨(dú)特屬性的身份標(biāo)識(shí)構(gòu)成，而不再與證書(shū)綁定，可避免復(fù)雜的證書(shū)管理開(kāi)銷(xiāo)，并降低計(jì)算開(kāi)銷(xiāo)和通信成本。

　　（3）無(wú)證書(shū)公鑰管理。在基于身份ID公鑰密碼的基礎(chǔ)上，將門(mén)限密碼學(xué)與無(wú)證書(shū)公鑰密碼相結(jié)合，實(shí)現(xiàn)無(wú)證書(shū)MANET密鑰管理。

　　基于以上密鑰管理模型，針對(duì)無(wú)人機(jī)網(wǎng)絡(luò)特點(diǎn)，主要研究方向集中在分布式密鑰管理和降低密鑰管理開(kāi)銷(xiāo)等方面。例如，基于Blom算法設(shè)計(jì)的密鑰分配方案通過(guò)組間和組內(nèi)的雙空間密鑰管理，降低了計(jì)算開(kāi)銷(xiāo)，提高了密鑰計(jì)算速度，提升了通信效率和安全性。

　　4.5　無(wú)人機(jī)基于行為的攻擊檢測(cè)技術(shù)

　　無(wú)人機(jī)系統(tǒng)是一種典型的、應(yīng)用廣泛的信息物理系統(tǒng)（Cyber Physical Systems，CPS）。與普通計(jì)算機(jī)相比，它的系統(tǒng)組成與信息處理環(huán)節(jié)更多，也更復(fù)雜，導(dǎo)致針對(duì)無(wú)人機(jī)的攻擊途徑更加多元化，攻擊目標(biāo)也更加多樣。攻擊者在擁有專(zhuān)業(yè)知識(shí)背景的前提下，攻擊產(chǎn)生的影響或造成的危害更加嚴(yán)重。傳統(tǒng)的攻擊檢測(cè)技術(shù)主要集中在信息域，對(duì)網(wǎng)絡(luò)數(shù)據(jù)、日志數(shù)據(jù)等進(jìn)行分析建模，無(wú)法直接用在無(wú)人機(jī)這種典型的信息物理系統(tǒng)。

　　無(wú)人機(jī)的攻擊檢測(cè)應(yīng)結(jié)合信息域和物理域的信息，分別采用適合的檢測(cè)手段，同時(shí)考慮資源受限條件下采取的入侵檢測(cè)策略。例如，對(duì)無(wú)人機(jī)網(wǎng)絡(luò)行為的攻擊檢測(cè)可采用基于機(jī)器學(xué)習(xí)的網(wǎng)絡(luò)行為分析技術(shù)，通過(guò)機(jī)器學(xué)習(xí)算法分析無(wú)人機(jī)間的數(shù)據(jù)通信和路由交換，構(gòu)建正常行為模型，發(fā)現(xiàn)異常行為。

　　對(duì)無(wú)人機(jī)系統(tǒng)內(nèi)部信息處理可使用基于圖形算法的入侵檢測(cè)模型，選取無(wú)人機(jī)中各模塊間信息傳遞的時(shí)間戳作為特征來(lái)源，將這些特征圖形化，形成散點(diǎn)圖子模型和多邊形圖子模型，檢測(cè)信息欺騙攻擊和拒絕服務(wù)攻擊。對(duì)無(wú)人機(jī)物理域的攻擊檢測(cè)，可基于粒子濾波算法的入侵檢測(cè)模型對(duì)無(wú)人機(jī)的飛行狀態(tài)進(jìn)行評(píng)估，通過(guò)粒子濾波算法的估計(jì)和閾值的設(shè)定檢測(cè)入侵的發(fā)生和發(fā)生時(shí)刻。

　　多種檢測(cè)方法可相互融合、補(bǔ)充，需要考慮資源受限條件下的入侵檢測(cè)的策略。入侵檢測(cè)模型的加入不能影響對(duì)象本身的控制實(shí)時(shí)性和穩(wěn)定性，可通過(guò)非合作靜態(tài)博弈算法選擇恰當(dāng)?shù)娜肭謾z測(cè)策略，降低資源消耗的影響。

　　4.6　無(wú)人機(jī)安全組網(wǎng)技術(shù)

　　無(wú)人機(jī)MANET網(wǎng)絡(luò)存在分布式、多跳、拓?fù)渥兓斓忍攸c(diǎn)，針對(duì)MANET的安全組網(wǎng)技術(shù)，研究的最多的是通信傳輸保護(hù)、路由安全增強(qiáng)等。

　　文獻(xiàn)提出了無(wú)人機(jī)MANET網(wǎng)絡(luò)的安全路由增強(qiáng)方法，考慮了網(wǎng)絡(luò)信道開(kāi)銷(xiāo)的因素，在提供路由節(jié)點(diǎn)身份認(rèn)證、數(shù)據(jù)加密的同時(shí)，降低了信息交互的開(kāi)銷(xiāo)。也有人針對(duì)MANET網(wǎng)絡(luò)提出性能最優(yōu)AODV協(xié)議，在MSAODV、AODV-SEC協(xié)議的基礎(chǔ)上引入對(duì)稱(chēng)和非對(duì)稱(chēng)的加密方法，實(shí)現(xiàn)路由協(xié)商過(guò)程的機(jī)密性、完整性和真實(shí)性保護(hù)。

　　以上方法主要針對(duì)的是組網(wǎng)路由協(xié)議和數(shù)據(jù)傳輸?shù)陌踩?。隨著無(wú)人機(jī)蜂群技術(shù)的不斷成熟，無(wú)人機(jī)蜂群網(wǎng)絡(luò)的協(xié)同組網(wǎng)防護(hù)是下一個(gè)研究的重點(diǎn)。

　?。?結(jié)　語(yǔ)

　　隨著無(wú)人機(jī)在民用和軍事領(lǐng)域的廣泛使用，它的安全保密性受到了越來(lái)越多的關(guān)注。本文分析了無(wú)人機(jī)及無(wú)人機(jī)網(wǎng)絡(luò)的安全威脅，提出了無(wú)人機(jī)安全保密體系架構(gòu)，并簡(jiǎn)要梳理了涉及的主要關(guān)鍵技術(shù)，以期為無(wú)人機(jī)安全保密防護(hù)系統(tǒng)建立及實(shí)現(xiàn)提供助益。