王 坤，匡文凯，林 楠 ，杨 浩，苏 盛

（1.长沙理工大学 智能电网运行与控制湖南省重点实验室，湖南 长沙 410004；2.国网江西电力有限公司电力科学院，江西 南昌 330096）

0 引 言

架空输电线路多为大跨度、远距离、贯穿多自然环境区域架设，传统人工肉眼和手持红外设备的输电线路巡检方式，受视角影响难以发现瓶口及以上部位缺陷，无法保证巡检质量，效率低且劳动强度大，难以满足现代电网高效运维的需求[1]。无人机操作简单且方便携带，可搭载高精度航拍设备进行大范围架空输电线路巡检，显著提升巡检质量和效率，各电网公司均制定了短期内实现机巡为主、人巡为辅的立体化协同巡检目标[2]。

为满足未来大规模应用无人机进行架空输电线路巡检作业的需求，电网公司利用激光雷达、紫外设备等提升载荷能力的同时，还提出依托GPS（BDS）和沿线杆塔的精确地理位置预设飞航路线，加速开展基于人工智能与大数据技术的无人机自主巡线业务[3]，进一步提高巡检效率，降低对飞行操控手的职业要求。无人机实现无人操控即自主巡线后，一旦遭受攻击诱骗劫持，一方面，配置完整的架空输电线路巡检无人机造价逾20 万元，可造成直接经济损失；另一方面，无人机拍摄的图像数据信息易被攻击方获取，数据安全风险显著上升。

目前中国电力企业采用的架空输电线路巡检无人机多为民用消费级，因考虑到用户对控制性能的需求且不涉及私密性较强的敏感信息，针对航拍图像数据安全防护手段投入不足，难以抵挡有组织攻击方发起的大规模网络攻击，亟待研究专业级巡检无人机航拍图像加密方法。本文首先分析了架空输电线路巡检无人机航拍图像的安全威胁来源；然后考虑到无人机飞航过程对实时性的要求，提出了架空输电线路巡检无人机航拍图像加密方法；最后对所提方法进行加/解密仿真分析和实时性测试。

1 无人机航拍图像安全性分析

为方便用户读取航拍图像，无人机厂商将图像信息存储于可插拔的外部存储器。考虑到用户无人机实时操控性能的需求，目前外部存储器并无任何访问控制防护手段，攻击方在诱骗劫持无人机后可直接拔取存储器获得航拍图像数据。此外，在未来大规模开展无人机多场景自主巡检作业后，考虑到自主巡检对高响应性能的要求，厂商将飞航数据和预设航迹路线等敏感文件嵌入内部高速驱动器，因同样未设置访问控制手段，攻击方仍然可通过无人机的Micro USB 端口接入获取数据。虽然可采用基于文件格式的加密软件对其进行加密，但只进行简单加密的加密软件并非不可突破，攻击方可付费破解软件解析加密数据包即可获得航拍器图像。2009 年伊拉克武装分子就利用价值20 美元的软件获得美军无人机航拍图像[4]。

随着5G 通信技术与架空输电线路巡检业务的深度融合，显著放大了无人机航拍图像数据实时回传的安全风险。为保障图传效果，降低主控芯片的流量负荷，提高控制稳定性和可靠性，国产无人机与地面站或控制终端多采用无线通信网络进行图像回传，并基于WPA2 加密标准作为安全屏障。图像回传时，航拍图像被分解为多个512 字节数据包，在传输前需发送方和接受方建立握手通讯机制来确保每个数据包完整准确的被发送和接受，只要有一个数据包不完整都会舍弃当前数据然后重新搜索握手进行传输通道建立。但由于无线通信网络通信质量易受天气、高体型障碍物、通信机制极限距离等因素影响，除导致回传图像卡顿外，攻击方可释放虚假无线信号，使得无人机接入虚假基站或终端进行窃听获取数据。虽WPA2 加密标准安全防护等级高，但并非不可突破。2017 年爆发密钥重装攻击（KRACK）利用WPA 协议层存在密钥重装攻击后客户端安装数值为全零秘钥的逻辑缺陷，对攻击范围内的Wi-Fi 信号进行随意监听和注入数据[5]。近年来，无线通信网络中的开放端口和漏洞也逐渐成为攻击方提权渗透获取航拍图像的突破点。

需要指出的是，民用无人机不涉及私密性较强的高敏感、高价值信息，且操作者多用于景观拍摄，遭受网络攻击的风险有限，但专业级架空输电线路无人机可搭载大批巡检设备，攻击方可将获得的航拍图像信息作为攻击现代电网的先验知识。因此，在专业级无人机被劫持或坠毁后图像数据安全风险突出背景下，需结合电力行业特殊需求开展无人机航拍图像加密方案研究。

2 无人机航拍图像加密方案分析

专业级架空输电线路巡检无人机外部存储器、内部高速驱动器无访问控制手段、WPA2 加密标准并非不可突破、飞航过程通信易受环境影响而中断等特点均可造成航拍图像数据泄露。为提高专业级无人机巡检架空输电线路数据安全防护水平，有必要考虑无人机性能要求并结合现有图像加密技术进行强化设计。

在数据安全领域用于保证数据安全的加密机制分为对称和非对称两种类型。与对称加密机制相比，非对称加密机制加/解密密钥不同且无法互推解算，安全系数虽高但算法复杂，难以满足无人机飞航过程对实时性的要求。现有数字图像加密技术中所采用的如矩阵置换、密钥分存、混沌加密、DNA 计算等加密算法，安全性较低、算法复杂、加密效率低下，要求无人机具有强大的计算能力和足够的计算资源，否则会使无人机因主控芯片流量增加，控制指令响应时延变长，增加坠机风险。因巡检无人机计算主控芯片有限和高实时性要求，上述方法均不适合实时在线级加密。因此，作者认为，为最大限度保障无人机航拍图像数据安全和性能需求，在现有无线网络回传机制基础上，采用对称加密机制架空输电线路巡检无人机航拍图像实时在线加密合适的选择。

采用软件和硬件均可实现航拍图像实时在线加密。因无人机飞航过程对实时要求高，可采用集成密钥的ESAM 安全芯片进行对称硬件加/解密提高响应速度，但集成密钥会导致无人机系统密钥分配技术壁垒突显。为最大程度满足飞航过程实时性要求和避开密钥分存难题，可仅在地面站或控制终端中嵌入ESAM 安全芯片用作硬件解密；在无人机后台系统中按序列号登记对应密钥信息，与地面站或控制终端起飞配对时，根据序列号从后台系统获得对应密钥；最后由无人机和控制终端或地面站实现对硬件加/解密。

3 基于FPGA 硬件加密技术

为满足飞航过程对加密实时性的要求，考虑到主控芯片有限计算资源，基于身份认证和生物特征识别的访问控制手段必将增加主控芯片的流量负荷，需要在无人机端采用硬件加密技术，从而实现如图1 所示的对称硬件加/解密，保障航拍图像数据安全。

图1 加/解密流程

现场可编程逻辑门阵列（Field Programmable Gate Array，FPGA）包含可编程逻辑单元（Logic Array Block，LAB）、可编程输入输出I/O 单元（Input Output Element，IOE）以及两部分之间的连接线（Interconnect）三大资源。作为一款半定制专用集成电路，利用硬件描述语言对各个逻辑单元块进行组合、综合和布局后，基于表结构技术查找对应的逻辑单元块结构地址并按规定顺序联接起来，并将运算结果链接到输入输出端口，实现给定时序或者组合逻辑功能赋能操作，可突破全定制电路灵活性不足带来的开发复杂局限性，高效易用的对称性与高并行性，使得产品开发更加便捷，对计算量大的图像加密任务有着与生俱来的优势。

结合前文分析，本文所提到的加密方案是在无人机端嵌入FPGA 集成芯片，进行航拍图像加密时，利用起飞配对从后台管理系统获得的密钥进行FPGA 重编程，然后由FPGA 对航拍图像进行加密操作，地面站或控制终端利用ESAM安全芯片对回传加密图像进行解密，在保障架空输电线路巡检无人机航拍数据安全性的同时可兼顾飞航过程对实时性的要求。

图2 航拍图像加密流程

如图2 航拍图像加密流程所示。因架空输电线路巡检无人机采用无线回传机制，回传图像数据将按照一定的顺序被分解为多个512 字节数据包，所以本文基于FPGA 开发平台利用AES-128 加密算法对航拍图像进行对称加密。进行加密时，首先获取航拍图像对应的像素值矩阵；接着顺着特定的分割防线像素值矩阵分为多个以字节为单位矩阵序列作为明文P；然后将初始密钥经密钥扩展程序迭代扩展为与明文相同长度，最后利用在密钥的驱动下对矩阵序列中每个元素矩阵按顺序进行加密形成密文。因加密过程以字节为操作单位，对矩阵序列中每个元素矩阵进行加密后，元素矩阵中元素值大小和元素矩阵位置会发生变化，形成元素置乱达成加密。需要指出的是，进行像素矩阵分割时，对于不足分割的矩阵行列需进行补零操作。

利用FPGA 进行AES-128 加密算法对航拍图像加密时，先对输入的航拍图像进行数字化处理得到相应的像素值矩阵；然后顺着左上至右下的方向将像素值矩阵分成多个以字节为单位的4×4 的矩阵序列作为明文P，即矩阵序列中每个元素矩阵为128 位；再利用128 位初始密钥对每个元素矩阵进行10 轮密钥扩展加密，最后将加密后的元素矩阵按顺序连接起来形成矩阵序列密文。加密前后，每个元素矩阵中的元素发生变化，相应图像像素值发生变化，从而实现对信息的隐藏。AES 加密算法操作对象为字节，在图像加密过程中，元素矩阵每经过一轮加密，相应的像素矩阵元素发生位置或者大小变换，总计经过10 轮加密隐藏真实信息实现加密。需要指出的是，航拍图像像素矩阵不是4的倍数时，应在矩阵对应的行列下进行补零操作保证矩阵序列中元素矩阵的完整性。

AES 算法加/解密流程如图3 所示。初始密钥序列作为FPGA 加密程序的输入变量，128 位密钥K 同样以字节为单位的4×4 矩阵序列形式呈现且用于加密，经过密钥扩展程序迭代将密钥扩展成一个44 个字节的密钥序列W[0]，W[1]，W[2]，…，W[40]，W[41]，W[42]，W[43]。 其中扩展密钥序列的前4 个字节W[0]，W[1]，W[2]，W[3]，存储初始密钥用于第一轮加密，后40 个字节密钥以10 个为一组用于后9 轮加密。若要对初始密钥进行修改，只需在硬件描述语言文件中重新定义并烧写给FPGA 即可。多个以字节为单位的4×4 航拍图像像素值矩阵在密钥的作用下经过10 轮加密联接形成密文。其中前9 轮加密操作都相同，都包括位替换、行移位、列混淆、轮密钥加四个过程；为保证AES 算法加/解密对称性和高效性，最后一轮只包括位替换、行移位、轮密钥加三个过程。AES-128 是一种对称算法，解密过程只需进行加密过程的逆运算即可。

图3 AES 算法加/解密框架流程

基于FPGA 无人机航拍图像实时在线加/解密飞控流程如图4 所示。无人机每次起飞前与地面站或遥控终端配对时，根据序列号从无人机管理系统获取对应的加密密钥，并将取得的密钥存储在FPGA 内部寄存器中；无人机飞航过程中，FPGA 首先利用寄存器中的密钥对航拍图像进行实时加密，然后由无线通信链路将加密密文回传至地面站或者要遥控终端；地面站或遥控终端利用解密密钥和嵌入式安全芯片ESAM对密文即可实现实时解密。如此，在无人机飞航过程中，攻击方利用干扰欺骗手段对无人机进行诱骗劫持或因恶劣通信作业环境造成坠毁情形下，在不掌握密钥条件下，可显著提高直接拔取外部存储器或Micro USB 接口获取航拍图像数据信息的安全屏障。

图4 无人机航拍图像实时在线加/解密飞控流程

4 仿真分析

利用AES-128 算法进行无人机航拍图像加密时，先对输入的图像进行数字化处理，将像素值映射为对相应的矩阵元素生成灰度值矩阵；然后从矩阵左上角到右下角进行分块生成对各以字节为单位的4×4 状态矩阵作为明文，然后利用初始密钥进行10 轮密钥扩展加密；最后将加密后的状态矩阵按顺序连接起来形成密文，实现对航拍图像的加密。

为验证基于FPGA 电力巡线无人机航拍图像加密实时性，结合无人机航拍图像实时在线加/解密飞控流程图，本文以Xilinx ISE 10.1 综合开发工具作为开发环境，利用Verilog 语言设计AES-128 加密算法程序并烧录至Xilinx 公司XC7K325T 型FPGA 芯片进行航拍图像加密仿真分析。设置芯片工作频率为100 MHz 时，加密一组128 位明文信息需要5000 ps，加密一幅512×512 图像需0.0082 s，可满足架空输电线路巡检无人机实时性要求。

为验证加密方案的有效性，将上述航拍图像加密效果以及对应的频谱图见图5、图6。如图5 所示，对比加密前后航拍图像效果图可知，原始图像经过加密后，因像素值位置或大小改变，凭肉眼无法获取任何图像信息，实现了图像信息加密隐藏效果。因采用对称加密算法，解密过程只需进行其逆运算即可，对比解密前后航拍图像，无重要信息遗失，密文被正确解密恢复。

图5 无人机航拍图像加/解密效果

从效果图只可肉眼观察加密效果，但加密效果是否有效可通过图像频谱反映。频谱图横坐标为灰度值等级（0—255），纵坐标为像素值频数。频谱图可反映图像重要信息集中的灰度等级，即图像重要信息集中于该灰度级，也可反映图像信息加/解密效果。当频谱形状分布不均匀且集中于某一个灰度级下，说明加密图像有较低的对比度，可以看出图像信息集中于某个灰度级下，加密效果差；当频谱类似白噪声一般均匀布满所有灰度级时，像素点变得杂乱无章，图像对比度高，看不出图像信息集中于哪一个灰度级下，说明加密效果好。

如图6 所示原始航拍图像频谱主要集中于200 灰度级，说明该灰度级为图像信息集中级。加密后，航拍图像密文频谱类似白噪声一样均匀分布在0—255 灰度级下，加密使像素值均衡化，看不出航拍图像信息集中于哪个灰度级下，说明图像信息被加密隐匿。解密后，图像频谱依然集中于200 灰度级，说明密文被良好恢复。加密过程只是对图像重要信息进行隐藏，防止攻击方窃取，并未使得信息丢失。

图6 无人机加/解密航拍图像像素频谱

5 结 语

在未来大规模利用专业级无人机进行架空输电线路巡检作业以提高巡线效率的条件下，针对民用消费级无人机航拍图像防护手段不足，易造成航拍图像信息丢失泄露问题，考虑无人机系统对实时性的需求，提出基于FPGA 芯片航拍图像加密方法。在无人机上嵌入FPGA 芯片，在无人机与地面站或者遥控终端进行配对时，将自身序列号传递地面站或者遥控终端，根据序列号从无人机后台管理系统取出对应的加密密钥，并将密钥存储在FPGA 内部寄存器中。无人机飞航过程中，FPGA 根据内部寄存器密钥对航拍图像进行加密处理，地面站或遥控终端利用嵌入式安全芯片ESAM 对回传的航拍图像进行解密，从而实现对航拍图像硬件对称加/解密，在满足实时性要求条件下保障了无人机航拍图像数据安全。即使攻击方诱骗劫持甚至拔取存储器也无法获得无人机航拍图像。地面站巡检人员收回无人机后输入解密密钥获得航拍图像。