从2009年“低空经济”概念的提出,到2021年中共中央、国务院《国家综合立体交通网规划纲要》正式将发展“低空经济”纳入国家规划,2023年低空经济被确立为国家战略性新兴产业,以及2024年国务院政府工作报告提出积极打造低空经济作为新增长引擎,这一业态经历了从概念萌芽到生态体系日益壮大的演进过程。
法律法规建设层面看,为推动低空经济发展,我国先后推行了一系列政策法规。2010年国务院牵头发布《关于深化我国低空空域管理改革的意见》,低空空域管理改革正式翻开篇章。2023年10月,《制止与国际民用航空有关非法行为的公约》(《北京公约》)正式对我国生效,为低空经济的发展提供了国际法背景支持。2024年1月,《无人驾驶航空器飞行管理暂行条例》正式施行;2月,深圳率先出台《深圳经济特区低空经济产业促进条例》,成为地方立法的先导;7月,中共中央《关于进一步全面深化改革、推进中国式现代化的决定》明确将通用航空和低空经济并列发展,标志着低空经济的产业重要性再上新台阶。
2024年11月,合肥、杭州、深圳、苏州、成都、重庆等地确定启动eVTOL(电动垂直起降器)试点,各地结合自身条件加速布局低空经济。
(一)低空经济定义
低空经济是指利用低空空域,以各种有人驾驶和无人驾驶航空器为载体,围绕载人、载货及其他作业等多种低空飞行场景进行的经济活动。这一概念涵盖了多种新兴技术和产业,目前主要依赖于无人机、电动垂直起降飞行器(eVTOL)等航空器,结合通信、导航和空域管理技术,辐射带动相关产业融合发展。
根据2023年12月民航总局发布的《国家空域基础分类方法》,可认为除禁飞空域和特殊管制空域外,其余6000米以下广大空域均可能成为低空经济产业发展的空域。低空经济中的eVTOL及城市空中交通UAM所使用的空域是3000米以下的非管制空域。
《深圳经济特区低空经济产业促进条例》进一步将低空经济界定为,以民用有人驾驶航空器和无人驾驶航空器的低空飞行活动为牵引,辐射带动航空器研发、生产、销售以及低空飞行活动相关的基础设施建设运营、飞行保障、衍生综合服务等领域产业融合发展的综合经济形态。
(二)本文分析适用界定
相关法规、政策,以及国内外研究报告等均主要以低空经济的航空器为基本切入,相关的法律制度和产业也多围绕航空器展开。
因此,本文主要探讨无人驾驶航空器(无人机和无人eVTOL)的网络安全风险及商用密码的保障作用,不包括《无人驾驶航空器飞行管理暂行条例》规定的大型无人机和军用无人驾驶航空器。需要注意的是,《无人驾驶航空器飞行管理暂行条例》所规定的无人机空域并不局限于前述低空经济概念所界定的范围,因此不应将无人机和低空经济的航空器完全等同。
(一)航空器研发生产与基础网络中的风险及密码保障
在航空器装备产业中,与网络安全有关的风险主要包括飞行控制、通讯导航、机载感知(含图传等)关键系统中的安全风险。
在航空器研发和生产过程中,飞行控制系统、通信导航系统以及机载感知系统的网络安全风险尤为突出。国际民用航空组织(ICAO)、美国联邦航空管理局(FAA)等机构对飞控系统和卫星导航提出了适航安全与智能操控的要求,但这些标准制定较早;又如,前文涉及网络安全的民用航空公约《北京公约》制定于2010年,我国于2023年10月适用生效,十余年间信息和网络技术已发生极大进步和变化,难以完全适配无人机和低空经济的发展需求。
欧盟内部决策支持机构于2023年发布的《投入欧洲空域并在人口稠密地区运行的无人驾驶飞行系统》(Unmanned Aircraft Systems integration into European airspace and operation over populated areas)报告认为,城市空中交通(UAM)网络中的通信信号应通过软硬件加密和地理围栏等方式进行加密。同时考虑到航空器本身的轻量化,需要引入“常规”商用密码产品并进行轻量化处理,以符合边缘和远端设备的安全需求。
5G通信的高可靠和低时延数据能力,为无人机和低空经济的发展提供了强有力的技术支撑。5G-Advanced(5G-A)技术则进一步提升了无人机的感知能力和执行效率。可以认为,无人机与5G通信的深度融合,为低空经济开辟了广阔的发展空间,并同时赋予了基础网络的密码安全性。但基础网络的混合、广泛应用仍存在网络安全隐患,包括非授权访问、恶意入侵,以及对无人机非法接管等,可能对密集人群、地面房屋、商业设施设备,乃至关键信息基础设施、保密机构等造成严重损害。
国内外5G框架均以安全性为努力方向,如华为《5G安全白皮书》和爱立信《5G网络安全指南》,均对终端设备(如无人机)与基站、核心网、地面控制者之间的通讯安全进行了加密技术安排。如根据3GPP标准第一版(TS33.501),下一代无线接入网(NGRAN)不能以明文方式传递用户永久标识(SUPI),即是通过加密认证手段有效防范“伪基站”等网络安全风险。在5G网络广泛应用着主要的现代密码学方法(3GPP标准:TS33.501),包括非对称加密和对称加密的国际和国密算法(如SM2、SM4等)。
此外,按照《ISO23629-8:2023 UAS traffic management(UTM)— Part8: Remote identification》等标准,应通过注册ID等方式来远程识别无人机设备,明确了对生产的无人机进行标识保护和访问认证,以确保其合法性与可追溯性。
(二)航空器起降和飞行、应用中的风险与密码保障
在低空经济中,无人机的应用场景多样,包括用于巡视的单一无人机、观光演示的集群无人机以及执行载人、货物运输、测绘、农林消防作业或其他特殊作业、执法用途的无人机等等。不同场景下的网络协议复杂程度存在显著差异。因此除了基于5G网络和协议实现通信、导航中的网络安全与保障外,无人机在实际飞行和起降过程中,还需要与地面控制站、其他无人机以及“蜂巢”或通用机场等基础设施进行高效通信,以确保飞行安全和任务顺利执行。这些通信涉及各类主要无人机厂商的云服务架构部署、开源或私有网络协议。例如,MAVLink即是典型的开源通信协议,消费级无人机厂商大疆公司则推出自有的OcuSync。而机载WiFi通信、短距离光通信协议以及各类卫星通信协议等异构网络和通信协议的组合,进一步增加了低空经济场景的复杂性。
这种复杂的通信环境普遍存在安全风险,甚至可能出现风险叠加的情况。例如,仅依赖频段/频道编码或切换作为基本的安全保障机制,或利用各类内网穿透技术建立5G无人机与地面控制站之间的虚拟网络通信,可能导致无人机被非法入侵或接管,进而对航空器本身、其他飞行设备、地面人员及设施设备造成损害。此外,机载应用如图传中的信息若被非法获取,可能导致航空器、地面控制者存储的个人信息、路径地图或其他敏感、重要数据泄露。
为此,商用密码的基本价值在于保障无人机指挥(中心)与节点(分布)的网络拓扑结构,包括数据中心节点、边缘节点(如地面控制者)和远端节点(如飞行中的无人机)。具体而言,商用密码通过认证和加密功能提供安全保障,主要包括以下几个方面:(1)按照相关标准为无人机设备和控制者分配唯一身份认证,并进行权限管理(例如,无人机操作人员具有查看和控制飞行数据的权限,而数据分析人员仅具有查看和分析监控数据的权限);(2)在无人机与地面控制者之间建立安全TLS/SSL连接,通过包括国密算法在内的标准算法实现各个节点的存储安全和通讯过程安全;(3)通过内嵌或外部模块化扩展,为各类自建协议和算法增加加密保障,进一步提升通信安全性。
通过上述措施,商用密码在无人机起降、飞行及应用过程中,能够有效应对复杂通信环境中的安全风险,确保低空经济的安全运行。
(三)无人机反制、安全事件处理等的风险与密码保障
对已经部分实现“端到端”加密的无人机通讯而言,在应对潜在的飞行风险时,同样需要具备对加密流量的检测和风险识别能力,包括DDoS攻击或威胁指令等,并迅速构建和响应反制机制,例如基于密码分析的航空器标识鉴别、解除、处置或接管等方式,消减无人机的“空中”风险。
同时,航空器的飞行数据需加密记录,并在执法协助或安全事件处理时解密读取,向特定对象(如执法机构、关键信息基础设施运营方)提供,进行责任分析。这不仅是国际民用航空业的常规做法,也是信息系统备份、网络安全事件管理,以及《网络安全法》等法律法规的强制要求。因此,还需依赖商用密码确保数据的完整性、保密性、可用性及抗抵赖性等附加属性。
低空经济当前正处于快速爆发式发展的阶段,发生重大安全事件可能会对其稳健发展产生影响,并降低社会对低空经济的预期和信心,因此应注重网络安全风险,并借助商用密码在内的安全机制进行预防和处置。欧盟2023年的《U-SPACE运行概念与架构》(第四版)将加密安全设计作为架构原则的组成部分,美国FAA于2023年正式发布的《先进空中交通实施计划》要求建立跨联邦机构的工作组,从国家空域安全的战略高度研判和解决空中交通的网络安全风险。我国的前述相关法律和政策亦给予了低空经济安全机制的足够重视。
商用密码在无人机研发、制造阶段,应考虑以密码安全模块的方式进行提前布置;在无人机飞行、起降、编组中应注重不同网络或通讯协议下的安全风险叠加,不同网络通讯需要匹配不同的密码解决方案;与无人机作为主要载体的基础设施、管理保障也需要同步强化和对应相应的密码保障能力。综上种种措施,方能以安全保障低空机制的持续发展。
可以认为,商用密码已扎实地渗透于低空经济产业的各个链条、节点,其不仅为低空经济发展提供了基本的安全保障功能,也通过应用创新延展和繁荣了整个业态。预见未来,当前各类主流商用密码和已在深度试验、触手可及的包括同态加密、量子密码(包括量子密钥分发、量子随机数等等)在内的密码技术和应用的新发展,也将为低空经济注入新活力。
(审核:朱莉欣 方婷 马宁)
文章所涉观点内容谨代表作者本人
声明:本文来自苏州信息安全法学所,版权归作者所有。文章内容仅代表作者独立观点,不代表沃通CA立场,转载目的在于传递更多信息。如有侵权,请联系删除。
4006-967-446
沃通数字证书商店
