架空輸電線路巡檢無人機航拍圖像硬件加密方法*

王 坤，匡文凱，林 楠 ，楊 浩，蘇 盛

（1.長沙理工大學 智能電網運行與控制湖南省重點實驗室，湖南 長沙 410004；2.國網江西電力有限公司電力科學院，江西 南昌 330096）

0 引 言

架空輸電線路多為大跨度、遠距離、貫穿多自然環境區域架設，傳統人工肉眼和手持紅外設備的輸電線路巡檢方式，受視角影響難以發現瓶口及以上部位缺陷，無法保證巡檢質量，效率低且勞動強度大，難以滿足現代電網高效運維的需求[1]。無人機操作簡單且方便攜帶，可搭載高精度航拍設備進行大范圍架空輸電線路巡檢，顯著提升巡檢質量和效率，各電網公司均制定了短期內實現機巡為主、人巡為輔的立體化協同巡檢目標[2]。

為滿足未來大規模應用無人機進行架空輸電線路巡檢作業的需求，電網公司利用激光雷達、紫外設備等提升載荷能力的同時，還提出依托GPS（BDS）和沿線桿塔的精確地理位置預設飛航路線，加速開展基于人工智能與大數據技術的無人機自主巡線業務[3]，進一步提高巡檢效率，降低對飛行操控手的職業要求。無人機實現無人操控即自主巡線后，一旦遭受攻擊誘騙劫持，一方面，配置完整的架空輸電線路巡檢無人機造價逾20 萬元，可造成直接經濟損失；另一方面，無人機拍攝的圖像數據信息易被攻擊方獲取，數據安全風險顯著上升。

目前中國電力企業采用的架空輸電線路巡檢無人機多為民用消費級，因考慮到用戶對控制性能的需求且不涉及私密性較強的敏感信息，針對航拍圖像數據安全防護手段投入不足，難以抵擋有組織攻擊方發起的大規模網絡攻擊，亟待研究專業級巡檢無人機航拍圖像加密方法。本文首先分析了架空輸電線路巡檢無人機航拍圖像的安全威脅來源；然后考慮到無人機飛航過程對實時性的要求，提出了架空輸電線路巡檢無人機航拍圖像加密方法；最后對所提方法進行加/解密仿真分析和實時性測試。

1 無人機航拍圖像安全性分析

為方便用戶讀取航拍圖像，無人機廠商將圖像信息存儲于可插拔的外部存儲器。考慮到用戶無人機實時操控性能的需求，目前外部存儲器并無任何訪問控制防護手段，攻擊方在誘騙劫持無人機后可直接拔取存儲器獲得航拍圖像數據。此外，在未來大規模開展無人機多場景自主巡檢作業后，考慮到自主巡檢對高響應性能的要求，廠商將飛航數據和預設航跡路線等敏感文件嵌入內部高速驅動器，因同樣未設置訪問控制手段，攻擊方仍然可通過無人機的Micro USB 端口接入獲取數據。雖然可采用基于文件格式的加密軟件對其進行加密，但只進行簡單加密的加密軟件并非不可突破，攻擊方可付費破解軟件解析加密數據包即可獲得航拍器圖像。2009 年伊拉克武裝分子就利用價值20 美元的軟件獲得美軍無人機航拍圖像[4]。

隨著5G 通信技術與架空輸電線路巡檢業務的深度融合，顯著放大了無人機航拍圖像數據實時回傳的安全風險。為保障圖傳效果，降低主控芯片的流量負荷，提高控制穩定性和可靠性，國產無人機與地面站或控制終端多采用無線通信網絡進行圖像回傳，并基于WPA2 加密標準作為安全屏障。圖像回傳時，航拍圖像被分解為多個512 字節數據包，在傳輸前需發送方和接受方建立握手通訊機制來確保每個數據包完整準確的被發送和接受，只要有一個數據包不完整都會舍棄當前數據然后重新搜索握手進行傳輸通道建立。但由于無線通信網絡通信質量易受天氣、高體型障礙物、通信機制極限距離等因素影響，除導致回傳圖像卡頓外，攻擊方可釋放虛假無線信號，使得無人機接入虛假基站或終端進行竊聽獲取數據。雖WPA2 加密標準安全防護等級高，但并非不可突破。2017 年爆發密鑰重裝攻擊（KRACK）利用WPA 協議層存在密鑰重裝攻擊后客戶端安裝數值為全零秘鑰的邏輯缺陷，對攻擊范圍內的Wi-Fi 信號進行隨意監聽和注入數據[5]。近年來，無線通信網絡中的開放端口和漏洞也逐漸成為攻擊方提權滲透獲取航拍圖像的突破點。

需要指出的是，民用無人機不涉及私密性較強的高敏感、高價值信息，且操作者多用于景觀拍攝，遭受網絡攻擊的風險有限，但專業級架空輸電線路無人機可搭載大批巡檢設備，攻擊方可將獲得的航拍圖像信息作為攻擊現代電網的先驗知識。因此，在專業級無人機被劫持或墜毀后圖像數據安全風險突出背景下，需結合電力行業特殊需求開展無人機航拍圖像加密方案研究。

2 無人機航拍圖像加密方案分析

專業級架空輸電線路巡檢無人機外部存儲器、內部高速驅動器無訪問控制手段、WPA2 加密標準并非不可突破、飛航過程通信易受環境影響而中斷等特點均可造成航拍圖像數據泄露。為提高專業級無人機巡檢架空輸電線路數據安全防護水平，有必要考慮無人機性能要求并結合現有圖像加密技術進行強化設計。

在數據安全領域用于保證數據安全的加密機制分為對稱和非對稱兩種類型。與對稱加密機制相比，非對稱加密機制加/解密密鑰不同且無法互推解算，安全系數雖高但算法復雜，難以滿足無人機飛航過程對實時性的要求。現有數字圖像加密技術中所采用的如矩陣置換、密鑰分存、混沌加密、DNA 計算等加密算法，安全性較低、算法復雜、加密效率低下，要求無人機具有強大的計算能力和足夠的計算資源，否則會使無人機因主控芯片流量增加，控制指令響應時延變長，增加墜機風險。因巡檢無人機計算主控芯片有限和高實時性要求，上述方法均不適合實時在線級加密。因此，作者認為，為最大限度保障無人機航拍圖像數據安全和性能需求，在現有無線網絡回傳機制基礎上，采用對稱加密機制架空輸電線路巡檢無人機航拍圖像實時在線加密合適的選擇。

采用軟件和硬件均可實現航拍圖像實時在線加密。因無人機飛航過程對實時要求高，可采用集成密鑰的ESAM 安全芯片進行對稱硬件加/解密提高響應速度，但集成密鑰會導致無人機系統密鑰分配技術壁壘突顯。為最大程度滿足飛航過程實時性要求和避開密鑰分存難題，可僅在地面站或控制終端中嵌入ESAM 安全芯片用作硬件解密；在無人機后臺系統中按序列號登記對應密鑰信息，與地面站或控制終端起飛配對時，根據序列號從后臺系統獲得對應密鑰；最后由無人機和控制終端或地面站實現對硬件加/解密。

3 基于FPGA 硬件加密技術

為滿足飛航過程對加密實時性的要求，考慮到主控芯片有限計算資源，基于身份認證和生物特征識別的訪問控制手段必將增加主控芯片的流量負荷，需要在無人機端采用硬件加密技術，從而實現如圖1 所示的對稱硬件加/解密，保障航拍圖像數據安全。

圖1 加/解密流程

現場可編程邏輯門陣列（Field Programmable Gate Array，FPGA）包含可編程邏輯單元（Logic Array Block，LAB）、可編程輸入輸出I/O 單元（Input Output Element，IOE）以及兩部分之間的連接線（Interconnect）三大資源。作為一款半定制專用集成電路，利用硬件描述語言對各個邏輯單元塊進行組合、綜合和布局后，基于表結構技術查找對應的邏輯單元塊結構地址并按規定順序聯接起來，并將運算結果鏈接到輸入輸出端口，實現給定時序或者組合邏輯功能賦能操作，可突破全定制電路靈活性不足帶來的開發復雜局限性，高效易用的對稱性與高并行性，使得產品開發更加便捷，對計算量大的圖像加密任務有著與生俱來的優勢。

結合前文分析，本文所提到的加密方案是在無人機端嵌入FPGA 集成芯片，進行航拍圖像加密時，利用起飛配對從后臺管理系統獲得的密鑰進行FPGA 重編程，然后由FPGA 對航拍圖像進行加密操作，地面站或控制終端利用ESAM安全芯片對回傳加密圖像進行解密，在保障架空輸電線路巡檢無人機航拍數據安全性的同時可兼顧飛航過程對實時性的要求。

圖2 航拍圖像加密流程

如圖2 航拍圖像加密流程所示。因架空輸電線路巡檢無人機采用無線回傳機制，回傳圖像數據將按照一定的順序被分解為多個512 字節數據包，所以本文基于FPGA 開發平臺利用AES-128 加密算法對航拍圖像進行對稱加密。進行加密時，首先獲取航拍圖像對應的像素值矩陣；接著順著特定的分割防線像素值矩陣分為多個以字節為單位矩陣序列作為明文P；然后將初始密鑰經密鑰擴展程序迭代擴展為與明文相同長度，最后利用在密鑰的驅動下對矩陣序列中每個元素矩陣按順序進行加密形成密文。因加密過程以字節為操作單位，對矩陣序列中每個元素矩陣進行加密后，元素矩陣中元素值大小和元素矩陣位置會發生變化，形成元素置亂達成加密。需要指出的是，進行像素矩陣分割時，對于不足分割的矩陣行列需進行補零操作。

利用FPGA 進行AES-128 加密算法對航拍圖像加密時，先對輸入的航拍圖像進行數字化處理得到相應的像素值矩陣；然后順著左上至右下的方向將像素值矩陣分成多個以字節為單位的4×4 的矩陣序列作為明文P，即矩陣序列中每個元素矩陣為128 位；再利用128 位初始密鑰對每個元素矩陣進行10 輪密鑰擴展加密，最后將加密后的元素矩陣按順序連接起來形成矩陣序列密文。加密前后，每個元素矩陣中的元素發生變化，相應圖像像素值發生變化，從而實現對信息的隱藏。AES 加密算法操作對象為字節，在圖像加密過程中，元素矩陣每經過一輪加密，相應的像素矩陣元素發生位置或者大小變換，總計經過10 輪加密隱藏真實信息實現加密。需要指出的是，航拍圖像像素矩陣不是4的倍數時，應在矩陣對應的行列下進行補零操作保證矩陣序列中元素矩陣的完整性。

AES 算法加/解密流程如圖3 所示。初始密鑰序列作為FPGA 加密程序的輸入變量，128 位密鑰K 同樣以字節為單位的4×4 矩陣序列形式呈現且用于加密，經過密鑰擴展程序迭代將密鑰擴展成一個44 個字節的密鑰序列W[0]，W[1]，W[2]，…，W[40]，W[41]，W[42]，W[43]。 其中擴展密鑰序列的前4 個字節W[0]，W[1]，W[2]，W[3]，存儲初始密鑰用于第一輪加密，后40 個字節密鑰以10 個為一組用于后9 輪加密。若要對初始密鑰進行修改，只需在硬件描述語言文件中重新定義并燒寫給FPGA 即可。多個以字節為單位的4×4 航拍圖像像素值矩陣在密鑰的作用下經過10 輪加密聯接形成密文。其中前9 輪加密操作都相同，都包括位替換、行移位、列混淆、輪密鑰加四個過程；為保證AES 算法加/解密對稱性和高效性，最后一輪只包括位替換、行移位、輪密鑰加三個過程。AES-128 是一種對稱算法，解密過程只需進行加密過程的逆運算即可。

圖3 AES 算法加/解密框架流程

基于FPGA 無人機航拍圖像實時在線加/解密飛控流程如圖4 所示。無人機每次起飛前與地面站或遙控終端配對時，根據序列號從無人機管理系統獲取對應的加密密鑰，并將取得的密鑰存儲在FPGA 內部寄存器中；無人機飛航過程中，FPGA 首先利用寄存器中的密鑰對航拍圖像進行實時加密，然后由無線通信鏈路將加密密文回傳至地面站或者要遙控終端；地面站或遙控終端利用解密密鑰和嵌入式安全芯片ESAM對密文即可實現實時解密。如此，在無人機飛航過程中，攻擊方利用干擾欺騙手段對無人機進行誘騙劫持或因惡劣通信作業環境造成墜毀情形下，在不掌握密鑰條件下，可顯著提高直接拔取外部存儲器或Micro USB 接口獲取航拍圖像數據信息的安全屏障。

圖4 無人機航拍圖像實時在線加/解密飛控流程

4 仿真分析

利用AES-128 算法進行無人機航拍圖像加密時，先對輸入的圖像進行數字化處理，將像素值映射為對相應的矩陣元素生成灰度值矩陣；然后從矩陣左上角到右下角進行分塊生成對各以字節為單位的4×4 狀態矩陣作為明文，然后利用初始密鑰進行10 輪密鑰擴展加密；最后將加密后的狀態矩陣按順序連接起來形成密文，實現對航拍圖像的加密。

為驗證基于FPGA 電力巡線無人機航拍圖像加密實時性，結合無人機航拍圖像實時在線加/解密飛控流程圖，本文以Xilinx ISE 10.1 綜合開發工具作為開發環境，利用Verilog 語言設計AES-128 加密算法程序并燒錄至Xilinx 公司XC7K325T 型FPGA 芯片進行航拍圖像加密仿真分析。設置芯片工作頻率為100 MHz 時，加密一組128 位明文信息需要5000 ps，加密一幅512×512 圖像需0.0082 s，可滿足架空輸電線路巡檢無人機實時性要求。

為驗證加密方案的有效性，將上述航拍圖像加密效果以及對應的頻譜圖見圖5、圖6。如圖5 所示，對比加密前后航拍圖像效果圖可知，原始圖像經過加密后，因像素值位置或大小改變，憑肉眼無法獲取任何圖像信息，實現了圖像信息加密隱藏效果。因采用對稱加密算法，解密過程只需進行其逆運算即可，對比解密前后航拍圖像，無重要信息遺失，密文被正確解密恢復。

圖5 無人機航拍圖像加/解密效果

從效果圖只可肉眼觀察加密效果，但加密效果是否有效可通過圖像頻譜反映。頻譜圖橫坐標為灰度值等級（0—255），縱坐標為像素值頻數。頻譜圖可反映圖像重要信息集中的灰度等級，即圖像重要信息集中于該灰度級，也可反映圖像信息加/解密效果。當頻譜形狀分布不均勻且集中于某一個灰度級下，說明加密圖像有較低的對比度，可以看出圖像信息集中于某個灰度級下，加密效果差；當頻譜類似白噪聲一般均勻布滿所有灰度級時，像素點變得雜亂無章，圖像對比度高，看不出圖像信息集中于哪一個灰度級下，說明加密效果好。

如圖6 所示原始航拍圖像頻譜主要集中于200 灰度級，說明該灰度級為圖像信息集中級。加密后，航拍圖像密文頻譜類似白噪聲一樣均勻分布在0—255 灰度級下，加密使像素值均衡化，看不出航拍圖像信息集中于哪個灰度級下，說明圖像信息被加密隱匿。解密后，圖像頻譜依然集中于200 灰度級，說明密文被良好恢復。加密過程只是對圖像重要信息進行隱藏，防止攻擊方竊取，并未使得信息丟失。

圖6 無人機加/解密航拍圖像像素頻譜

5 結 語

在未來大規模利用專業級無人機進行架空輸電線路巡檢作業以提高巡線效率的條件下，針對民用消費級無人機航拍圖像防護手段不足，易造成航拍圖像信息丟失泄露問題，考慮無人機系統對實時性的需求，提出基于FPGA 芯片航拍圖像加密方法。在無人機上嵌入FPGA 芯片，在無人機與地面站或者遙控終端進行配對時，將自身序列號傳遞地面站或者遙控終端，根據序列號從無人機后臺管理系統取出對應的加密密鑰，并將密鑰存儲在FPGA 內部寄存器中。無人機飛航過程中，FPGA 根據內部寄存器密鑰對航拍圖像進行加密處理，地面站或遙控終端利用嵌入式安全芯片ESAM 對回傳的航拍圖像進行解密，從而實現對航拍圖像硬件對稱加/解密，在滿足實時性要求條件下保障了無人機航拍圖像數據安全。即使攻擊方誘騙劫持甚至拔取存儲器也無法獲得無人機航拍圖像。地面站巡檢人員收回無人機后輸入解密密鑰獲得航拍圖像。