(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111632422.7 (22)申请日 2021.12.28 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市雁塔区太白南 路2号 (72)发明人 马建峰　王鑫　习宁　卢笛　 马承彦　魏大卫　 (74)专利代理 机构 西安通大专利代理有限责任 公司 6120 0 代理人 房鑫 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04B 7/185(2006.01) G06F 21/51(2013.01)B64C 39/02(2006.01) (54)发明名称 基于TPM的无人机机载控制系统的可信启动 方法及系统 (57)摘要 基于TPM的无人机机载控制系统的可信启动 方法及系统， 方法包括以下步骤： 对飞控系统的 硬件和软件分别执行哈希操作， 计算出飞控系统 的完整性摘要值a发送到机载计算机； 机载计算 机利用平台属性计算其自身完整性摘要值b， 将 飞控系统的完整性摘要值a和机载计算机的完整 性摘要值b再执行哈希操作， 得到无人机机载控 制系统的完整性摘要值h； 机载计算机获取无人 机机载控制系统完整性的正确度量值H， 将无人 机机载控制系统的完整性摘要值h与正确度量值 H比对， 完成完整性校验， 若验证成功则无人机启 动， 反之终止启动。 本发明在无人机上电启动的 过程中， 必须要通过机载和飞控系统的完整性验 证， 无人机才可以正常启动。 本发明方法简单可 行、 且安全高效。 权利要求书2页 说明书7页 附图3页 CN 114301590 A 2022.04.08 CN 114301590 A 1.一种基于TPM的无 人机机载控制系统的可信启动方法， 其特 征在于， 包括以下步骤： 对飞控系统的硬件和软件分别执行哈希操作， 计算出飞控系统的完整性摘要值a发送 到机载计算机； 机载计算机利用平台属性计算其自身完整性摘要值b， 将飞控系统的完整性摘要值a和 机载计算机的完整性摘要值b再执行哈希操作， 得到无人机机载控制系统的完整性摘要值 h； 机载计算机获取无人机机载控制系统完整性的正确度量值H， 将无人机机载控制系统 的完整性摘要值h与正确度量值H比对， 完成完整性校验， 若验证成功则无人机启动， 反之终 止启动。 2.根据权利要求1所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 所述对飞控系统的硬件和软件分别执 行哈希操作， 得到飞控系统摘要值a的步骤具体包括： 获取飞控系统的硬件信息， 将飞控系统的硬件信息进行哈希操作得到硬件摘要值； 读取飞控系统存储器区域的软件代码， 每读取一个字节与上次结果摘要值再进行哈希 操作， 得到软件摘要值； 将硬件摘要值和软件摘要值进行哈希操作得到飞控系统的完整性摘要值a。 3.根据权利要求2所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 在所述获取飞控系统的硬件信息的步骤中， 所述硬件信息包括MCU的序列号、 飞控芯片ID和 版本。 4.根据权利要求1所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 还包括无人机上电后， 首先进入飞控系统的引导程序， 完成初始 化操作； 所述的初始化操作 包括初始化串口、 USB端口、 LED， 还 包括初始化时钟。 5.根据权利要求1所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 机载计算机和飞控系统之间的安全通信使用密文进行传输， 使用对称加密算法， 事先约定 好共享密钥key； 机载计算机的密钥 存储在安全可信的TPM模块中， 飞控系统的密钥存储在代码中， 只要 两者进行互相通信， 发送方会对消息msg使用对称密钥key进行加密， 然后通过密文进行传 输， 接收方收到密文后通过对称密钥key解密出消息m sg。 6.根据权利要求5所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 所述对飞控系统的硬件和软件分别执行哈希操作时， 由机载计算机对飞控引导程序发送请 求， 请求校验飞控系统的完整性， 飞控引导 程序执行计算飞控硬件和软件完整性模块； 具体包括以下步骤： 2.1)机载计算机向飞控系统发送请求， 飞控系统将本地时间T发送给机载计算机， 机载 计算机接受到时间T后， 计算T'＝T+t(t 为从发送消息到接收消息的时延)， 再加上请求计算 飞控系统完整性的指令data， 组成消息内容m sg， 生成密文后发送到飞控系统； 2.2)飞控系统收到密文消息后解密， 解析出关键字段时间T'和指令data， 首先判断当 前本地时间和T'是否在允许的网络延时范围内， 如果不在范围内， 则认为是重放包， 将消息 丢弃； 如果在范围内， 则认为是合法的， 跳转到步骤2.3 。 2.3)根据指令data执行校验飞控完整性模块， 对飞控硬件和软件代码进行哈希操作， 飞控硬件方面包括飞控 MCU的序列号为MCUm、 芯片ID和版本信息 为IDV， Z为硬件的摘要值， 计权　利　要　求　书 1/2 页 2 CN 114301590 A 2算公式为： Z＝Hash(MCUm||IDV)； 在飞控软件方面， 每读取一个字节B1 B2  …  Bn， 则和之前的 摘要结果进行循环哈希， 计算公式为： Z1＝Hash(Z||B1)Z2＝Hash(Z1||B2)， 最终计算出飞控 硬件和软件的结果摘要值a； 然后将当前本地时间T1、 飞控系统的ID值和最终结果摘要值a 等关键字段， 组成消息m sg， 生成密文后发送到 机载计算机 。 7.根据权利要求6所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 所述机载计算机利用平台属性计算其自身完整性摘要值b， 将飞控系统的完整性摘要值a和 机载计算机的完整性摘要值b再执行哈希操作， 得到无人机机载控制系统的完整性摘要值h 包括： 3.1)机载计算机收到消息后进行解密， 解析出时间T1、 飞控系统唯一度量值ID和其摘要 值a； 先判 断时间T1是否在网络延时范围内， 如果不在范围内， 则将消息丢弃； 如果在范围 内， 则认为是合法的， 然后利用平台属性计算当前机载计算机的完整性摘要值b； 3.2)将机载计算机与飞控系统 的进行安全绑定， 将两者的完整性摘要值进行再哈希操 作， 得到最终无 人机机载控制系统的完整性摘要值h 。 8.根据权利要求7所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 所述的无人机机载控制系统包含带有TPM模块的机载计算机和飞控系统， 所述机载计算机 获取无人机机载控制系统完整性的正确度量值H的步骤通过读取TPM模块的P CR寄存器来 获 取； 在验证成功的前提下， 机载计算机执行启动飞行模块， 对飞控引导程序发送请求， 飞控 引导程序执行控制进入飞控代码模块， 使飞控系统正式进入飞控代码， 无 人机成功启动。 9.根据权利要求8所述基于TPM的无人机机载控制系统的可信启动方法， 其特征在于， 所述将无人机机载控制系统的完整性摘要值h与正确度量值H比对， 完成完整性校验的步骤 中， 在验证成功的前提下， 机载计算机执行启动飞行模块， 计算时间T2＝T1+t， 加上进入飞 控模块的指令data1， 组成消息内容m sg， 生成密文后发送到飞控系统； 飞控系统接收到密文消息后， 进行关键字段的解析， 首先判断时间T2是否在网络延时 的范围内， 如果不在范围内， 则将消息丢弃； 如果在范围内， 则认为使合法的， 再根据指令 data1， 执行进入飞控代码模块， 通过jump指令跳出引导程序进入飞控代码， 无人机成功启 动。 10.一种基于TPM的无 人机机载控制系统的可信启动系统， 其特 征在于， 包括： 飞控系统完整性计算模块， 用于对飞控系统的硬件和软件分别执行哈希操作， 计算出 飞控系统的完整性摘要值a发送到 机载计算机； 无人机机载控制系统完整性计算模块， 用于机载计算机利用平台属性计算其自身完整 性摘要值b， 将飞控系统的完整性摘要值a和机载计算机的完整性摘要值b再执行哈希操作， 得到无人机机载控制系统的完整性摘要值h； 完整性校验模块， 用于机载计算机获取无人机机载控制系统完整性的正确度量值H， 将 无人机机载控制系统的完整性摘要值h与正确度量值H比对， 完成完整性校验， 若验证成功 则无人机启动， 反 之终止启动。权　利　要　求　书 2/2 页 3 CN 114301590 A 3