MAVLink鏈路通信協議安全分析*

吳 穎，劉照亮，康令州，劉 歡，朱 江

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引 言

無人機（Unmanned Aerial Vehicle，UAV）最先起源于軍事領域，隨著無人機技術的發展，其用途越來越廣泛。目前按照應用領域分為軍用無人機、民用無人機，其中軍用無人機可再細分為偵察機、靶機、攻擊機、通信中繼機等類型，民用無人機可進一步細分為交通輔助、地理測繪、物流運輸、農藥噴灑等類型。按照規模尺寸劃分，無人機可分為大型、中型、小型、微型無人機等。雖然各類無人機用途及結構各異，但其鏈路通信特點可歸納為以下幾個方面：無物理防護邊界、處于強干擾環境、信道資源受限等。

1 無人機概述

無人機系統通常包括三大部分：地面控制子系統、機載子系統、數據鏈路子系統。地面控制子系統是無人機的“大腦”，負責無人機的系統調度、任務規劃、起飛降落、狀態監控、數據處理等。機載子系統是指飛行器部分，負責無人機機體的動力推進、軌跡規劃、姿態管理、任務執行、數據采集回傳、定位導航等。數據鏈路子系統是地面控制子系統與機載子系統間的無線傳輸通道，由無線信號的發送及接收終端組成，包括上行、下行鏈路。無人機系統的組成如圖1所示。

圖1 無人機系統組成

2 無線鏈路安全威脅概述

由于無線信道具有開放性的特征，因而無人機通信環境相比其他通信網絡面臨更多的安全威脅。文獻[1-4]研究并歸納了無人機系統在數據鏈路中遇到的常見安全攻擊，包括通信竊聽、信息篡改、身份假冒、重放攻擊等。

2.1 通信竊聽

攻擊者可利用無線電波傳輸無物理防護邊界的特點，截獲鏈路上的傳輸信號，機載子系統與地面控制子系統交互的數據報文在沒有采取保護措施的情況下，將被攻擊者竊取，攻擊者可多次收集數據樣本，最終破譯協議。數據報文可能會包含無人機的關鍵信息（比如飛控指令、配置信息、測控數據、姿態位置等），這些信息一旦被攻擊者掌控，攻擊者可結合其他手段，破壞無人機正常飛行，甚至劫持無人機，獲得控制權。文獻[5]提到IBM相關人士表示針對無人機的攻擊門檻很低，非法攻擊者僅需要掌握基本的信息通信知識，就能夠以很低的成本劫持價值上萬元的無人機。

2.2 信息篡改

鏈路上傳輸的報文存在中間人攻擊的可能性，攻擊者攔截正常的網絡通信數據報文，并對攔截的數據進行“二次加工”，進行增加、刪除、插入、修改等非法操作，并且將篡改后的數據報文發送給接收方，通信雙方無法察覺數據報文已經被第三方攔截并且被篡改。

2.3 身份假冒攻擊

攻擊者偽造合法身份，接入無人機系統，非法接收數據或者獲取服務。比如偽造遙控指令指揮無人機行動，或者誤導地面控制子系統作出錯誤的指揮判斷。文獻[6]報道了一家名為Check Point的公司檢測到大疆無人機在身份認證階段的安全漏洞，并且利用該漏洞成功攻入無人機系統內部，非法獲取關鍵信息的訪問權，可讀取無人機存儲的日志、音視頻等敏感信息。

2.4 重放攻擊

攻擊者將截獲的歷史數據報文發送給接收方。接收方誤認為報文來自合法的發送方，向攻擊者發送應答報文。攻擊者可以多次發送數據報文，占用無人機系統的數據鏈路信道資源，影響接收方處理性能，并且可多次接收應答報文從而分析破解通信協議。文獻[7]提到了美國一所大學的安全團隊進行了一次測試，對一架無人機持續發送大量鏈路連接請求報文，導致無人機超負荷運行而失控。

3 MAVLink協議概述

3.1 協議簡介

MAVLink鏈路通信協議（Mirco Air Vehicle Link Communication Protocol）是一種針對無人設備與遙控設備之間的空中無線鏈路通信協議，廣泛應用于無人機、無人車輛等多種形態的無人裝置。該協議由Lorenz Meier于2009年首次發布，隨后分別于2013年、2017年發布了MAVLink 1（1.0版本）、MAVLink 2（2.0 版本）[8]。

MAVLink協議主要特點包括以下幾個方面。第一，輕量級，協議的定位是面向小型或微型無人飛行裝置，從協議的字段和流程設計來看，對通信雙方處理性能要求不高。第二，靈活性，協議支持同一個網絡下的不同系統通信，也支持同一個系統下不同組件通信，并且可由通信雙方自定義業務載荷。第三，兼容性，不同版本之間可以較好的兼容適配，協議的2.0版本與1.0版本總體結構一致，主要差異在于2.0版本在數據報文首部增加了幾個標志位字段、擴展了消息編號字段的長度、在尾部增加了可選配的簽名字段。

3.2 協議定義

以官網公布的技術文獻[8]可知，MAVLink 2協議報文包括協議首部（10字節）、協議載荷（變長，0～255字節）、協議尾部（2字節校驗、13字節的可選配的簽字字段）。具體協議報文結構如圖2所示。

各字段定義如表1所示。

圖2 MAVLink2協議報文結構

表1 MAVLink2協議字段定義

4 MAVLink協議安全性分析及改進

結合上文提到的幾種主要攻擊手段，對MAVLink2進行安全分析。MAVLink2安全機制主要體現在增加了身份驗證流程，在協議中對應的字段為簽名字段。下面我們重點研究簽名字段。字段的組成如圖3所示。簽名字段定義如表2所示。

圖3 MAVLink2協議簽名字段結構

表2 MAVLink2協議簽名字段定義

4.1 防竊聽機制

MAVLink2協議未規定在防竊聽方面的安全保護方案，因此如同上文所述，通信鏈路傳輸的數據信息存在被非授權者截獲而導致隱私泄露的風險。解決方案是在鏈路協議中引入加密機制，通過對指定字段進行加密保護的方式，實現數據報文的防竊聽機制。

4.2 身份驗證機制及防篡改機制

協議規定：首先，地面控制子系統創建和管理簽名密鑰，由其負責將簽名密鑰以安全的方式傳遞給通信對端，簽名密鑰需妥善使用和安全存儲，不能讓非授權者獲知。其次，通信發送方使用散列函數并結合簽名密鑰產生報文的簽名，通信接收方利用相同的簽名密鑰及散列函數對報文簽名進行驗證。

針對協議選用的簽名機制進行分析，可以得出結論：一方面，非授權者無法獲得簽名密鑰，則無法偽造數據報文的簽名，從而保證了通信雙方身份的合法性；另一方面，簽名是針對整個數據報文除簽名字段以外的數據區，非授權者即使對數據報文進行了篡改，接收方通過計算獲得的簽名與數據報文簽名進行比對，簽名不符則視為非法數據報文，從而同時保證了數據報文的完整性。

4.3 防止重放攻擊機制

協議規定：首先，通信發送方需按照“同一邏輯鏈路上的時間戳需要單向性變化”的原則產生時間戳。其次，通信接收方需要按規則檢驗時間戳的正確性：第一種情況，接收方需要留存上一次報文時間戳，待處理報文的時間戳應當大于本地記錄的時間戳，否則棄包；第二種情況，如果接收方處于啟動狀態，并無歷史存儲記錄，報文時間戳應當大于當前時間戳，并且兩者相差數值不得大于1 min，否則棄包。

針對協議選用的基于時間戳的防重放機制進行分析可得，這種安全機制存在一定的局限性：一方面，時間戳以10 μs為遞增單位，如果數據發送間隔時間小于10 μs，那么后發送的數據報文則會被接收方誤認為重放攻擊包，造成有效報文被丟棄的情況。另一方面，使用時間戳的前提是無人機機載子系統和地面控制子系統都具有精準的時間同步能力，并非所有無人機都具備這種能力。因此，可增加其他防重放攻擊保護手段。

4.4 小結

綜上所述，MAVLink1未考慮安全保護的相關內容。相較于MAVLink1，MAVLink2增加了防篡改、身份驗證、防止重放攻擊等機制，為無人機系統數據鏈通信的安全防護提供了重要的保障。建議在協議中增加防竊聽安全保護措施，并且改進防重放機制，從而進一步增強數據鏈路通信的安全性。

5 結 語

本文在研究無人機鏈路通信原理的基礎上，總結歸納了無人機鏈路通信常見的安全威脅和隱患，并以當前主流的MAVLink微型飛行無人機鏈路通信協議為例進行了研究及分析，指出了其安全性的不足。近年來隨著無人機普及率增大，其安全事故頻頻曝光，造成了公眾安全威脅、經濟損失和財產損失。所以無人機安全問題應當引起高度重視，在無人機的鏈路通信協議中加強安全保護機制的設計，為無人機“保駕護航”。