问摄影无人机的模块化安全？

EN

当主模块只有通过安全模块与无线电模块通信时，安全模块可以在没有主模块注意到的情况下与基本服务器进行所有的通信签名和加密。

但是，基地服务器和无人机之间的通信并不是唯一可以考虑的攻击矢量。

无人机通常配备不同类型的传感器。当您在解释主模块中的传感器数据时存在漏洞时，这将是可利用的(例如:当通过将激光指向照片传感器的亮度级别时触发整数溢出)。您也可以忘记通过安全模块过滤传感器数据，因为安全模块无法知道哪种传感器输入会在主模块中触发错误。

如果有来自基本服务器本身的恶意数据，则应用相同的攻击向量。当基本服务器不可信时，安全模块将无法对它做任何事情，因为它不知道要查找什么恶意活动。当基本服务器接收到来自某个外部源的信息并将其不经筛选地转发给无人机时，此攻击向量也可能会显化。

此外，它也不会保护不受物理访问。具有物理访问权限的攻击者可以在主模块和加密模块之间放置第三个芯片，用于MITM这两个芯片之间的未加密通信(假设我们讨论的是物理分离的两个模块，而不仅仅是同一芯片的逻辑分离功能)。

对单个无人机的远程攻击或物理攻击，它们可以控制类似无人机的舰队

如果这是你唯一的目标，那么无人机本身的安全架构就无关紧要了。你所需要的就是避免阶级秘密，也就是说，不要有任何你们都想保密的东西，并且包括在每一个设备中。任何良好的安全体系结构都可以避免类机密。这意味着不要以默默无闻的方式依赖安全，对于任何加密技术，在每个设备中都使用不同的密钥。每个无人机产生自己的内部使用密钥，并有自己的私钥(S)与外界沟通。

然而，如果你担心攻击，那么大概无人机就有资产了(而且它们本身也可能是资产)。因此，设备的安全架构显然很重要。

针对来自外部的软件攻击，一个专用的安全模块是有意义的。让它中介所有通信，并成为用于通信的加密密钥的存储库。另外，它还负责确保其他组件的完整性，并对其他组件执行软件更新，- perhaps存储所有其他组件的固件。

但是，您仍然需要确保各个组件都是无bug的。专用模块充当防火墙，防止来自外部的恶意请求，但如果其他模块在有效命令上行为不当，游戏就会失败。如果伺服控制器中的一个bug导致UAV下降而不是上升，并且它崩溃，那么安全模块将无法帮助实现这一点。

您需要考虑一下设备的可信基。设备的哪些部分是正确操作的关键？正如菲利普所解释的，答案是很多。许多传感器，电机等是必要的无人机正确操作(开始:不崩溃)。如果控制器模块得到不正确的数据，或者电机没有按控制器要求的速度转动，那么设备就会出现故障；因此，所有传感器和电机都是可信基的一部分。

您可以期望的最佳架构是，大多数组件只能影响自身，例如，一个不正常的传感器不能修改另一个传感器的读数，也不能阻止另一个传感器报告。此示例要求在数据总线上进行适当的隔离，并对控制器中的每个传感器进行适当的身份验证。

针对硬件攻击，这一模型的崩溃程度更高。如果有人能够对设备进行物理访问，那么他们就可以很容易地访问大量的数据总线。传感器报告的内容不一定是控制器接收到的:它可能是攻击者注入的数据。为了避免这种情况，您需要将加密技术引入所有传感器。这提高了攻击者的门槛，但它不是万灵药。具有物理访问权限的攻击者总是会干扰传感器的读数，从而使传感器准确地报告无用的信息，例如模糊照相机、在温度计附近持有热源等。