INSComment：防黑客劫持， 安全大牛無人機反劫持技術(shù)

【前言】

無人機的應(yīng)用越來越普及了，人工智能與物聯(lián)網(wǎng)技術(shù)的發(fā)展，讓人們越來越看到了無人機給人類帶來的幫助。雖然從近一年來的無人機市場來看，似乎無人機廠商的經(jīng)營也并不樂觀，但隨著工業(yè)無人機的逐步出現(xiàn)，整個無人機的市場行情已經(jīng)是暗流涌動，亟亟待發(fā)了。市場已經(jīng)向人們逐步展示：人們真正需要的無人機絕不僅僅是手中的一個娛樂玩物，能夠給人們的生活帶來幫助與方便才是無人機真正的價值所在。

目前工業(yè)無人機領(lǐng)域已經(jīng)出現(xiàn)了針對航拍、管道及電力巡檢、物資配送等專用無人機產(chǎn)品，而且產(chǎn)品種類在日漸豐富。除了相關(guān)產(chǎn)品之外，工業(yè)無人機服務(wù)類型也越發(fā)廣泛，逐漸覆蓋了保險、社交、垂直媒體、數(shù)據(jù)采集等服務(wù)。隨著工業(yè)無人機產(chǎn)品和服務(wù)類型的豐富多樣，工業(yè)無人機的市場范圍也在不斷擴展，猶如“互聯(lián)網(wǎng)+”，工業(yè)無人機也在不斷以“+”的形式滲透到不同的領(lǐng)域，慢慢呈現(xiàn)出了旺盛的生命力。
 

       工業(yè)無人機的出現(xiàn)，將會把無人機真正與人們的生活聯(lián)系在一起，這才是無人機真正的價值所在。所以，筆者相信：無人機的第二個春天將會與2018年的春天一起到來，埋頭扎入無人機研究的小伙伴們，無人機的市場機會終于讓你們等到了。

網(wǎng)絡(luò)技術(shù)發(fā)展的必然規(guī)律就是一種技術(shù)的繁榮必將會帶來另一種技術(shù)的抵制，當(dāng)無人機技術(shù)真正融入人們生活的時候，可能風(fēng)險也會隨之到來。試想一臺正常飛行的工業(yè)無人機在執(zhí)行任務(wù)的途中，被黑客遠程劫持了，那將會面臨多大的風(fēng)險：

------邊防安全無人機被黑客劫持：將數(shù)據(jù)全部傳給了破壞者，甚至破壞者可以將假的數(shù)據(jù)返回給無人機！

------電力巡檢、農(nóng)業(yè)植保無人機被黑客劫持：可能將無人機作為破壞的工具，實施相關(guān)攻擊行為，造成不可估量的損失！

------郵政快遞無人機被黑客劫持：人們發(fā)送的快遞將全部被非法拿走，人們的利益受到傷害！

這類案例不勝枚舉，但絕不是危言損聽，作為反黑人士，讀者在本文要介紹給大家的就是一種可實現(xiàn)的無人機反劫持防御技術(shù)。

【無人機飛行控制的核心】

人們通過遙控手柄（或地面工作站）來操控一架無人機的起飛、降落與飛行，那么，是什么完成了無人機這一系列的控制？

無人機業(yè)內(nèi)的人士都很清楚，無人機的核心飛控系統(tǒng)是用于接收無人機操控者發(fā)來的控制指令，并執(zhí)行這些控制指令，從而實現(xiàn)無人機的飛行控制。那問題來了：如果這個控制者想控制無人機做一些非法的事情怎么辦？

當(dāng)然，如果僅僅是人為因素的話，倒是一件相對好解決的事情。那如果是黑客呢？他們可以追蹤、模擬無人機飛行的頻率，從而干擾無人機的飛行，迫降或墜毀無人機！甚至可以模擬無人機的控制指令，將無人機全部控制在自己手里！面對這樣的問題，無人機的技術(shù)專家門一般使用跳頻技術(shù)來防止或者減少這類事情的發(fā)生。目前大部分的無人機基本都使用了跳頻技術(shù)，而且一些無人機為了防止無人機采集數(shù)據(jù)被中途截取，對無人機傳回的數(shù)據(jù)也做了回傳加密。但這就足夠了嗎？

其實，作為人工智能技術(shù)的無人機，它的最大的風(fēng)險是被非法控制！如果一架無人機被非法控制，上面說的加密回傳，跳頻這些技術(shù)都將白費！！那無人機有可能被非?？刂啤⒔俪謫?？

我們先來分析一下目前保護無人機信道的技術(shù)---跳頻，這種技術(shù)從原理上來講，實際是一種防干擾技術(shù)，對于在信道中傳輸?shù)臄?shù)據(jù)沒有起到任何作用。也就是說：無人機與遙控手柄（或地面工作站）之間通過無人機飛行信道傳輸?shù)目刂浦噶钍?ldquo;裸”的，專業(yè)的技術(shù)語言叫“明文傳輸”！那么問題來了：如果黑客們侵入了無人機信道，注入或修改無人機操控者對無人機發(fā)出的飛控指令，那無人機的操控豈不是將徹底失靈！面對這個風(fēng)險，無人機技術(shù)人員一般采取加大跳頻頻率的方式來應(yīng)對。但相信這些技術(shù)人員也明白，無人機頻率調(diào)整一次最快也要10ms的時間，而就在這個時間段，黑客可能已經(jīng)輕松入侵了。（相關(guān)內(nèi)容詳見：引石安評（微信號：INSComment）2017年7月7日發(fā)表的《無人機安全漏洞多，黑客分分鐘能破解，INS護航無人機安全》）。

從專業(yè)這一點，筆者要強調(diào)：隔行如隔山。有些時候，由于安全是一種事后效應(yīng)，所以做產(chǎn)品和應(yīng)用的技術(shù)大牛們往往專注于產(chǎn)品應(yīng)用本身，缺乏對安全真正的了解，往往容易忽略對安全風(fēng)險的判斷。殊不知：黑客對待網(wǎng)絡(luò)空間的態(tài)度卻是：“一切皆有可能！”。所以作為反黑人士的筆者強調(diào)，一旦你的產(chǎn)品涉及了外網(wǎng)（或互聯(lián)網(wǎng)），那一定要認(rèn)真考慮安全的風(fēng)險，否則，在這個網(wǎng)絡(luò)無限可能的時代，黑客的能量也是無限的。

     【無人機指令加固主動防御技術(shù)】

筆者以上的分析，相信大家已經(jīng)明白無人機今后面臨的最大風(fēng)險，那如何實現(xiàn)無人機真正的防劫持呢，筆者現(xiàn)在就為大家推薦一種無人機指令加固主動防御技術(shù)。

前面講到：既然無人機被控制的核心風(fēng)險在于無人機的飛控指令上，那無人機的防劫持就應(yīng)該從飛控指令入手，首先須實現(xiàn)無人機飛控指令的真實、可靠、防篡改。簡單的來說，就是讓無人機飛控系統(tǒng)接收到操控者從遙控手柄（或地面工作站）發(fā)出的飛控指令的時候，要判斷這條指令的真實、可靠以及是否被修改過。

看到這一段，相信做信息安全的伙伴們會不約而同想到了一項可以實現(xiàn)這個功能的技術(shù)體系，即：PKI(PKI是Public Key Infrastructure的首字母縮寫，翻譯過來就是公鑰基礎(chǔ)設(shè)施；PKI是一種遵循標(biāo)準(zhǔn)的利用公鑰加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范)，這項技術(shù)目前已經(jīng)應(yīng)用于各行各業(yè)，它就是我們經(jīng)常聽到的第三方證書認(rèn)證。確實，筆者也認(rèn)為從理論上來講，PKI證書體系完全是可以實現(xiàn)無人機飛控指令的安全認(rèn)證的，但事實確實如此嗎？

首先，PKI需要第三方參與認(rèn)證，拋開經(jīng)濟利益，無人機飛控系統(tǒng)在確認(rèn)發(fā)來的指令是否真實的時候，還需要第三方參與？關(guān)鍵第三方體系中還需進行黑名單查詢？最關(guān)鍵的，證書體系游弋于互聯(lián)網(wǎng)寬帶上，如果面對窄帶通信信道，證書體系除了或?qū)o人機飛控的效率大大折扣外，其他沒有好的體現(xiàn)。所以，即使是紅遍大江南北的PKI證書體系，但在無人機飛控上卻沒有太多優(yōu)勢。而且，從無人機的發(fā)展方向來看，工業(yè)無人機的應(yīng)用越來越趨向于無人機編隊的方向發(fā)展，更多的時候，將是多架無人機之間需要相互協(xié)作、共同完成一項任務(wù)。這樣就要求無人機之間的信道指令認(rèn)證要實現(xiàn)去中心化的、一對多交叉認(rèn)證，而這一點，PKI體系顯然是望塵莫及，PKI是標(biāo)準(zhǔn)的中心化安全體系，去中心化根本不可能實現(xiàn)。

【支持窄帶通信、交叉認(rèn)證、去中心化的INS自主IPK安全體系】

IPK(英文：Identity  Public  Key簡稱）是INS自主的一種標(biāo)識公鑰安全體系，它是基于橢圓曲線算法(CPK)和雙線性對算法(SM9)的新型公鑰密碼技術(shù)體系。IPK體系與PKI體系一樣，都屬于非對稱的公鑰密碼體系，但IPK與PKI不同的是，IPK體系中不需要第三方證書。針對無人機，IPK將無人機系統(tǒng)的標(biāo)識直接作為公鑰，通過數(shù)學(xué)計算生成與之對應(yīng)的私鑰，從而完成無人機飛控指令的加固認(rèn)證與授權(quán)。

但我們?nèi)匀恍枰靼椎氖牵篒PK是PKI體制的繼承和發(fā)揚，IPK主要的技術(shù)特性是通過建立科學(xué)的架構(gòu)，實現(xiàn)了加固認(rèn)證和密鑰交換兩大功能，解決了規(guī)?；?、標(biāo)識認(rèn)證、無需第三方證明等關(guān)鍵技術(shù)難題。

IPK與傳統(tǒng)安全體系的比較如下：

     【指令加固技術(shù)，如何實現(xiàn)無人機防劫持控制】

針對無人機，指令加固是指對無人機與地面工作站建立安全體系，對無人機飛控指令進行加固/授權(quán)后，非安全體系授權(quán)內(nèi)的操控將失效。下面，筆者就從無人機各類攻擊進行簡單的說明（有簡單的演示說明喲！），讓讀者體會INS指令加固后是如何實現(xiàn)無人機的防劫持控制的。

（一）假冒攻擊

假冒攻擊是指無人機的非授權(quán)人試圖操控?zé)o人機的攻擊場景。黑客非法接入了無人機與地面站的通信通道，向無人機發(fā)送指令明文合法的操作指令，干擾或阻斷地面站對無人機的正常控制，實現(xiàn)對無人機的劫制。

黑客們一般常用的假冒攻擊手段有：

非授權(quán)人攻擊：黑客可能是系統(tǒng)內(nèi)部人員，也擁有合法的密鑰，但不是受控?zé)o人機所指定的操控人員，但試圖攻擊無人機。

演示說明:假定原無人機指定的操作人標(biāo)識為Alice，則演示非授權(quán)人攻擊時以Bob的虛擬Key進行指令加固并發(fā)送，無人機驗證指令簽名通過，但獲取簽名標(biāo)識與配置中的標(biāo)識比較不一致，拒絕執(zhí)行。

地面站對虛擬Key的數(shù)據(jù)文件設(shè)置為可瀏覽選擇，合法的VKD文件為默認(rèn)值，可方便的修改為攻擊者的VKD文件。

假冒授權(quán)人攻擊：黑客也擁有合法密鑰，可對指令進行加固，但因為是非授權(quán)人，所以正常時無法操控?zé)o人機。而黑客試圖將自己對指令的加固信息中簽名標(biāo)識修改為授權(quán)人的標(biāo)識，以假冒授權(quán)人的名義發(fā)送加固指令，企圖操控?zé)o人機。

演示說明：假冒授權(quán)人攻擊演示將指令加固時指定為非授權(quán)人的VKD文件，指令加固后在發(fā)送前先將簽名標(biāo)識修改為合法的授權(quán)人標(biāo)識(可提供修改接口，演示系統(tǒng)通過調(diào)用接口實現(xiàn)標(biāo)識修改)，再發(fā)送。

無人機接收到指令后，由于簽名標(biāo)識已修改，則驗證肯定是不能通過，無人機拒絕執(zhí)行指令，狀態(tài)實時返回地面監(jiān)控窗口。

未加固指令攻擊：黑客是體系外的，沒有合法的密鑰，不能對指令進行加固，也是非授權(quán)人。黑客非法接入通信信道后，直接發(fā)送傳統(tǒng)(未加固)指令，期望實現(xiàn)自己的攻擊意圖。  

演示說明：地面工作站直接將指令不加固(指令也是合法的)發(fā)送至無人機，無人機驗證時未找到指令的加固信息(簽名)，直接判定指令非法，拒絕執(zhí)行，將執(zhí)行狀態(tài)返回地面站監(jiān)控。
 

（二）篡改攻擊

篡改攻擊是指黑客(沒有合法密鑰)接入通信信道，攔截正常的指令并按照自己的攻擊意圖對原指令內(nèi)容進行篡改后再發(fā)送，以企圖實現(xiàn)自己的攻擊目的，讓地面站對無人機失去控制。

演示說明：先按正常流程對指令進行加固，但發(fā)送前對指令的內(nèi)容進行修改，加固的信息部分不變，發(fā)送至無人機。由于指令內(nèi)容(被簽名的數(shù)據(jù))已經(jīng)被篡改，所以無人機驗證不通過，拒絕執(zhí)行，將執(zhí)行狀態(tài)返回地面站監(jiān)控窗口實時顯示。

（三）復(fù)制攻擊

復(fù)制攻擊是黑客攔截一系列正常的指令，然后重新組合和分析，然后在不恰當(dāng)?shù)臅r間發(fā)送這些指令企圖控制無人機按照自己的指令設(shè)計線路執(zhí)行，以實現(xiàn)對無人機的干擾或劫持。

（四）數(shù)據(jù)加密

無人機與地面工作站之間的交互數(shù)據(jù)中，部分重要數(shù)據(jù)是需要保密的，對于保密性數(shù)據(jù)，采用加密的方式進行傳輸和存儲。INS數(shù)據(jù)保密方案采用基于標(biāo)識的密鑰交換協(xié)議，只要知道對方的標(biāo)識就能向?qū)Ψ桨l(fā)送加密數(shù)據(jù)，且只有指定的對方才能解密。這種先進的密鑰交換，不依賴于第三方的密鑰庫，不需要在線密鑰庫的支持，有效的實現(xiàn)了一次一密，解決了傳統(tǒng)加密的密鑰分發(fā)難題，提高的系統(tǒng)的安全性。

【無人機防劫持主動防御系統(tǒng)的執(zhí)行】

無人機防劫持主動防御系統(tǒng)技術(shù)原理是指令發(fā)送者對所發(fā)出的指令均進行加固，指令執(zhí)行者對所接收的指令先驗證加固信息，只有驗證合法的指令，才允許執(zhí)行，否則拒絕執(zhí)行。無人機系統(tǒng)中包括了無人機、地面工作站、遙控設(shè)備等各端點系統(tǒng)，INS對每一個端點的系統(tǒng)發(fā)出的關(guān)鍵指令都進行安全加固，同時對相關(guān)數(shù)據(jù)的交互進行加密的上傳、下載以及存儲。

當(dāng)系統(tǒng)指令進行交互時，指令接收方將對發(fā)來的每一條指令進行檢查或驗證，以保障各系統(tǒng)指令之間的安全交互，而INS加固后對這些檢查或驗證的時間僅為2-5毫秒級，一點兒都不會影響到指令執(zhí)行和系統(tǒng)運行的效果。
 

    【結(jié)束語】

所謂“道高一尺魔高一丈”，無人機的反劫持防御是一個不斷發(fā)展、逐步變化的領(lǐng)域與話題。不僅僅是無人機，隨著電子控制技術(shù)的發(fā)展，今后人工智能產(chǎn)品或設(shè)備都將面臨被黑客非法劫持與控制的風(fēng)險，人工智能技術(shù)加入安全防御，已經(jīng)不能是僅僅停留在技術(shù)層面的問題，更是開發(fā)人工智能產(chǎn)品的設(shè)計者們對人類風(fēng)險的防御與預(yù)知，每一位從事人工智能產(chǎn)品與設(shè)備的制造和運營商們都應(yīng)該明白：無論技術(shù)多么發(fā)達，防患于未然才是人工智能產(chǎn)品大力發(fā)展，成為人類朋友的首要核心。

【編者語】

引石（INS）科技是一家針對物聯(lián)網(wǎng)、人工智能系統(tǒng)進行防御技術(shù)研究，抵御黑客非法入侵、劫持系統(tǒng)的反黑客技術(shù)研究機構(gòu)。引石（INS）擁有自主發(fā)明技術(shù)專利、高性能系統(tǒng)指令、數(shù)據(jù)加固與授權(quán)技術(shù)，為人工智能、物聯(lián)網(wǎng)系統(tǒng)搭建防劫持主動防御安全體系，保障系統(tǒng)的安全、穩(wěn)固運行，為客戶提供靈活、便捷的安全服務(wù)與防御解決方案。引石安服INS SAAS （www.inssaas.com）是引石（INS）安全服務(wù)品牌，為人工智能、物聯(lián)網(wǎng)提供系統(tǒng)指令加固與授權(quán)管理的防劫持指令加固安全服務(wù)。關(guān)注微信INSComment，看最有價值的安全評論。