验证无人驾驶飞行器完整性的系统的制作方法

本发明涉及无人驾驶飞行器(uav)，并且更具体地涉及用于验证uav的完整性并调节uav飞行操作的系统。
背景技术：
：无人驾驶飞行器(uav)预计将在未来几年内在社会中普及，实现诸如投递包裹、遥感检查以及协助日常商业、工业和消费者生活中的其他活动的功能。与载人飞机不同，uav预计将更靠近人类、动物、财物、建筑物和设备飞行。另外，预计uav将以自动化方式实现其功能，并且逐渐超出操作者或可信负责人的视线范围。由于uav与通常载有乘客的其他载人飞机一起在空中飞行，并且在其他物体和人类附近和周围，如果它们由未经认证或不兼容或未经测试的软件或硬件操作，则它们可能对生命和财产构成威胁，并且如果uav被黑客攻击或被带有非法目的的未经授权的人操控，则他们可能构成进一步的威胁。载人飞机可能会造成类似的威胁，然而载人飞机的飞行由可信任的人--飞行员来控制。可信任的人执行确保飞行安全的功能，并且飞机在其控制下并以安全的方式飞行。通常，使用领空的飞机需要飞行计划。空中交通的管理对于旅客和/或飞机驾驶员以及飞机在上方飞行的地面上的个人人身、财产和动物的安全而言是重要的。自早期飞行以来，美国提供了一种系统，其既可以从飞行员那里收集飞行信息又可以向飞行员传递飞行信息。通常需要飞行员提供或提交飞行计划，该飞行计划提供要去的位置的预期方向。飞行计划通常需要包括飞机标识、专用设备、起飞和到达点以及飞行路线。将通常被称为飞行服务的服务提供给飞行员，并且由商业实体或政府(或可能与政府签订合同的商业实体)提供。飞行服务的目的在于在提交飞行计划时向飞行员提供信息，以及可能影响预定飞行计划的活动或事件的最新通知。飞机飞行受到管理以允许几架飞机邻近地位于同一普通空域内，同时充分分开以便不会相互干扰或造成安全风险。随着越来越多地使用uav，无论是用于商业还是休闲目的，曾经仅为传统飞机保留的空域现在与各种uav共享。除了已经要求飞行员注意的活动和警报之外，还必须考虑另一变量，即潜在的uav的存在。飞行服务警告飞行员不利条件，诸如封闭的跑道或恶劣天气，也可以收集并提供关于附近飞机以及附近uav的信息。对uav操作者的要求越来越高，不仅要注册他们的飞机，而且在许多情况下，还要提供关于其预期uav操作的信息，诸如飞行计划。该目标旨在减少干扰并允许uav在与其他飞机相同的空域中进行协作。希望减少或消除uav和其他飞机之间的空中碰撞的可能性。例如，飞机驾驶员用来获取其即将飞行的信息和警报的系统(通常称为飞行服务)已被更新为包括与uav(有时称为无人驾驶航空系统)或uas)有关的警报类别。因此，可以向飞机驾驶员提供基于飞机飞行计划识别飞机附近的uav的潜在存在的信息以及由uav操作者提供的信息。例如，uav或无人机的操作者可以登记并提供具体信息，诸如操作者姓名和联系信息、uav标识、飞行日期和时间、最大高度和飞行边界位置，例如，基于地理位置坐标的半径。将uav操作与传统空域使用和飞机集成的重要性被设计为提供uav使用的益处，以及通过降低诸如碰撞的不利事件的风险来促进安全性。然而，与任何设备一样，即使再多的预防措施也可能无法消除所有潜在的危险。鉴于采取的预防措施和潜在的风险，还有可能对人身和财产造成损害，包括邻近飞机的乘客以及地面上的人员、动物和建筑物。存在篡改uav的可能性，包括例如试图接管uav操作并使其转向，或以其原始操作者非意图的方式操作它。由于无人驾驶和超视距uav可以在完全自主模式下操作而没有直接的人机交互，因此需要一种系统来确保uav的飞行系统、软件和硬件没有被篡改，从而可以信任uav在空中飞行。技术实现要素：提供一种用于管理uav的系统，更具体地，用于通过提供uav完整性的验证来调节一个或多个uav的操作。根据优选实施例，该系统通过验证机制提供对uav的验证。根据优选实施例，可以结合一个或多个uav组件(例如，硬件)、软件或组合来提供验证机制。还提供一种用于验证配置有验证系统的一个或多个uav的方法。根据优选实施例，该系统实现安全特征以确保对uav的控制符合预期。实施认证机制以提供uav的验证状态。uav验证状态优选地基于uav硬件、软件或硬件和软件的组合的一个或多个模态。根据优选实施例，验证状态可以通过加密系统来实现，其中加密系统使用其加密密钥和/或加密算法来提供uav的状态。优选地基于标识该特定uav的一个或多个唯一属性来分配uav状态。优选实施例可以为基本硬件组件(诸如，驱动器或控制电动机序列号和/或型号和/或安装日期)或基本软件(诸如导航软件)或两者(硬件组件标识和软件的组合哈希)提供加密哈希值。硬件组件可以通过其唯一标识标记来标识，该标记例如可以是硬件序列号、型号、安装日期或一些其他标识符(或者可以优选地通过这些的组合来标识)，而软件可以由唯一属性(哈希值、校验和哈希等)标识。根据优选实施例，可以对uav进行授权并分配认证状态。因此，uav可以接收认证，由此生成授权状态或授权哈希值，并且优选地针对该特定uav进行存储。根据一些优选实施例，即使拥有或操作uav的对象不具有验证策略知识，例如，除了潜在地对知道验证哪些属性或特性的验证硬件(诸如，分配用于识别uav并对其进行认证的计算机)或组织公开之外不公开该策略，也可以完成uav的认证。例如，可以向uav提供认证指令或芯片，其提供验证。因此，可以从uav发送或获得验证以进行存储，并且存储以供验证机构参考和进一步使用。根据一些实施例，使用uav的一个或多个电子组件或软件或其组合进行验证，这些被设计为提供uav状态，并且识别其偏差。例如，在结合验证哈希推导使用特定硬件或软件的情况下，可以在进行验证时获得那些特定硬件或软件或两者的偏差的标识。认证可以由认证机构执行。认证机构可以建立自己的参数集合来实施uav的认证。根据一些优选实施例，认证机构可以具有通过在uav进行某些活动或操作之前认证uav并验证uav来控制uav许可和授权的能力。认证机构可以与uav进行安全通信，其可以是加密传输或加密验证数据的传输或其他加密传输。根据一些实施例，该系统可以包括一个或多个认证管理操作特征，其可以用诸如计算机的硬件和通信硬件来实现，以进行uav的认证，并且在飞行之前或甚至在飞行期间实现uav的验证。该系统可以配置为驻留在uav中并且与uav的通信系统以及uav的软件和硬件资源两者对接。uav可以配置为执行固件，该固件获得uav上的硬件和软件的序列号或唯一标识符，创建这些唯一标识符的哈希码组合，加密该哈希码，通过有线或无线通信系统将所加密的哈希码发送到维护每个uav的认证码表的另一计算机，从而使该计算机对特定的uav进行授权(或不授权)。该系统还可以确定自uav上次认证以来特定uav的硬件或软件是否已被改变。本文结合一个实施例描述的特征可以用在其他实施例中，并且特征可以组合在一起，使得实施例可以具有一个、两个或若干特征的组合。附图说明图1是描绘系统的示例性实施方式并且示出根据用于授权uav的方法的实施方式的处理步骤的流程图。图2是描绘示出请求验证的uav的系统的另一实施方式的流程图。图3是实现本发明的系统的无人驾驶飞行器(uav)的示例性实施例的立体图。图4是实现本发明的系统的无人驾驶飞行器(uav)的另一示例性实施例的主视图。具体实施方式可以通过向uav提供芯片或软件来实现该系统，该芯片或软件包括用于生成验证哈希码并提供哈希码的指令。例如，根据一些实施例，本发明可以提供加密系统作为uav设备电路的一部分，其可以包括存储组件、微电路、微控制器或处理器，以及用于生成和/或存储密钥的指令。例如，根据一个实施例，提供集成电路组件，其包括用于内部存储认证组织的公钥的存储元件，该公钥用于加密从uav(例如，组件、软件或其组合)生成的唯一验证状态码和/或解密来自认证实体的数字签名。该公钥和/或私钥可以实现为通过加密唯一哈希码(诸如，由认证组织计算机请求uav的验证码)来提供安全性的另一种方式。公钥或私钥实现实施例还可以包括时间元素或位置元素，以进一步加密该哈希码。根据实施例，该系统提供uav的验证以验证uav硬件和/或软件尚未被改变。在系统识别到对硬件或软件的改变的情况下，根据一些优选实施例，系统可以配置为识别出已被改变的一个或多个组件(硬件项或软件)。另外，认证组织可以实现用于重新认证的协议，诸如，已经更换电动机的情况，或者已经进行了例如对导航组件或导航软件的升级。可以进行重新认证，使得所做的任何改变得到批准、授权和/或满足任何监管要求，并且由授权或认证哈希值确认。根据一些优选实施例，可以实施该系统以保护无人驾驶飞行器(uav)的操作。uav优选地包括多个硬件组件和软件。生成与uav对应的授权哈希码。这优选地通过从uav硬件组件或uav软件中的至少一个获得唯一标识符来完成，并且根据优选实施例，从相应硬件和软件两者的唯一标识符(诸如序列号或校验和)获得。为硬件或软件或硬件和软件标识符的组合创建授权哈希码。该系统优选地与远程计算组件结合使用，该远程计算组件远离uav并且配置为通过网络与uav交换通信。uav优选地包括计算组件，其可以单独提供或作为uav电路的一部分。优选地，存储(例如，在uav被认证时)uav的授权哈希码，并且远程计算组件可经由可访问的数据库、表或其他访问装置而获得授权哈希码。为了验证uav，远程计算组件从uav接收加密验证码，然后解密该验证码并将其与该uav的授权码进行比较。如果匹配，则对uav进行授权，但如果没有匹配，则不对uav进行授权。根据一些实施例，uav可以通过经由网络联系认证计算机来向认证组织发出请求。根据一些实施例，认证组织或计算机(例如，远程计算组件)可以请求uav提供验证信息。uav可以接收请求并且可以生成验证码，诸如哈希值。根据一些实施例，uav配置有指令，该指令提供用于从uav组件生成验证哈希值的协议。根据一些实施例，指令和协议可以通过tpm芯片或系统或ftpm来实现。根据系统的实施例，uav可以配置有协议，该协议是零知识证明协议，其中uav授权参数的验证可能对于uav仍然是未知的(即使uav携带生成验证哈希的硬件和软件组件信息)。例如，根据一些实施例，uav还可以配置为生成验证哈希而无需给uav具体提供该知识。根据一些其他实施例，uav和认证机构计算机之间的通信交换可以用密钥保护，以及通过零知识证明协议的实现来保护。一旦基于现有的uav硬件和软件信息生成验证码，则验证码然后被传送到认证计算机，根据一些实施例，认证计算机远离uav。验证码优选地在发送时被加密，并由认证计算机解密。根据一些实施例，uav可以通过有线连接来连接到认证计算机，并且根据其他实施例，可以通过无线连接来连接。例如，uav的验证可以提供是否已经发生任何软件改变(包括是否发生任何未授权的软件改变)、是否已经进行任何硬件改变或两者都有的指示。根据优选实施例，提供数据库，该数据库具有存储的多个授权哈希码，其对应于相应的多个uav，由此每个特定uav可以通过其相应的授权哈希码来进行授权。例如，远程计算组件可以维护或访问多个uav的认证码表。认证码(例如，授权哈希码)可以以加密形式存储。本发明还可以提供加密设备作为驻留在uav上的集成电路组件，其可以包括用于内部存储监管实体(诸如认证组织)的公钥的存储元件，该公钥用于解密来自监管实体的数字签名，从而验证监管实体对uav接收的任何指令(例如，生成和/或提供验证码)进行授权。本发明还可以提供加密设备作为集成电路组件，其具有如下能力：内部生成潜在地在执行加密/解密操作时使用的唯一公钥/私钥对，在加密设备内安全地包含和使用公钥/私钥对以基本上防止通过逆向工程对密钥对的检测，以及提供可修改的加密设备作为可以远程执行保证授权修改的唯一集成电路组件。根据示例性实施例，根据系统的优选实施方式，基于法规或其他法律限制，要被授权在某些空域飞行的每个uav首先获得认证。认证优选地由认证或监管机构进行。认证优选地包括uav硬件和/或软件的认证，并且根据优选实施例，优选地包括uav的主要飞行和导航系统(其优选地可以包括硬件组件和软件)的认证。根据优选实施方式，认证由测试或认证机构执行，该测试或认证机构可以提供uav的后续验证。优选地，可以检查或以其他方式确定uav具有可接受的硬件、软件，并且优选地两者兼有。例如，在认证的uav中，已被授权为适于该特定uav飞行的特定软件和硬件然后连接到硬件或软件或组合硬件/软件系统，其计算表示在uav的命令控制导航系统的某些预定部分上的硬件和软件状态的哈希码。根据一些优选实施例，可以从硬件(诸如，计算机或驱动电动机)的电子可读序列号、型号以及安装日期与uav计算系统中每个重要软件的校验和或哈希码的组合来创建哈希码。硬件和软件元素的数量可以由法规或最佳实践确定，但不限于此。在认证时创建哈希，即认证或授权哈希。然后优选地将认证或授权哈希存储在与计算机相关联的安全位置中，该计算机在uav希望使用领空来进行飞行操作(或其他受管制的操作)时验证uav的哈希码。在下面阐述的示例性表格中描绘了可以实现以用于uav认证的授权哈希码的示例。这些表格示出与列出的相应示例性硬件组件(但是可能存在除了这里列出的那些之外的uav的附加硬件组件，其还可以用于确定授权值)中的每个相关联的硬件组件标识和授权哈希值。示出针对uav的软件提供的表格，并且列出基本操作软件的一些示例。在表格中描绘了硬件和软件的组合的示例，其示出硬件和软件的组合的哈希值。在描绘中，从组合的硬件标记(例如，序列号、型号和安装日期)和软件标记生成哈希值。另外，根据一些其他实施例，可以将值(硬件值串|软件值串)组合在一起并计算哈希值。根据其他实施例，可以针对每个硬件组件和每个软件来认证这些值，使得在uav的验证失败的情况下，可以将单个组件硬件或软件识别为导致失败故障。提供认证或授权值的示例性说明的表格如下：硬件表硬件序列号型号安装日期授权哈希值转子驱动电动机117507676376235489040420144673681254转子驱动电动机216408706385571863050720143435799895转子驱动电动机312156871587978153060820142565871215转子驱动电动机418542685854468512071120145452875728转子定向电动机129485672546325418081420148613481576转子定向电动机226715672482976247091720147512345637转子定向电动机323587459854489415102420149235934782转子定向电动机424545875846365272112720146546173591软件表软件校验和/哈希导航软件1652773410电动机驱动软件1784428372通信软件1374215734组合硬件/软件参考图1，描绘与无人驾驶飞行器(在该图中为uav1)相关的系统的实施方式的示例性实施例。飞行器uav1优选地经历认证程序，其在图示中由认证机构计算机ca1来执行。当uav1由认证机构(诸如，命令控制计算机(ca，例如ca1、ca2、ca3))验证时，生成认证哈希码(或授权哈希码)(框115)，并且进行存储(框116)以供后续参考。飞行器uav1从请求组件(框121)接收请求(框120)，该请求组件可以是配置为认证uav的命令控制机构的计算机。在图1的示图中，对ca1、ca2、ca3的引用可以是认证机构的单个计算机，或者可以是一个或多个分离的计算机。替代地，uav1接收的请求(框120)可以从流氓组件生成，诸如恶意计算机、黑客计算机或其他恶意传输。该请求(框121)优选地与证书或签名一起发送，并以加密方式提供。uav1接收请求(框120)，并且确定该请求是否满足授权签名、证书或其他安全特征的要求(框122)。如果该请求被认为来自受信认的认证机构(ca1)，则uav1通过该请求(框123)，并且通过解密该请求来实现对该请求的处理(框124)。如果请求不能被认为是可信的，并且因此失败(框125)，则不进行对请求的进一步处理，或者替代地，或者另外，可以生成并传送警报，诸如传送到认证计算组件(框126)。如果通过该请求(框123)，uav1解密该请求(框124)，并且生成验证哈希码(vhc)(框127)。然后，加密vhc(框128)，并且将所加密的验证哈希码(evhc)发送(框130)到认证计算机，如图1中的ca2所示。认证计算机ca2从uav1接收evhc(框131)，解密evhc(框132)，并将解密的验证哈希码(dvhc)与存储的uav1哈希码(框116)进行比较(框133)。如果比较失败(框134)，则可以通过诸如计算机、平板电脑或其他通知设备的设备向组件或人发出警报(框135)。替代地，验证uav1的失败可阻止uav1的授权进一步进行或执行特定操作。uav1可能未被授权进入受保护的空域或区域。根据一些实施例，在该示例中，认证计算机ca2可以发出命令以禁用uav1或uav1的一个或多个功能(框136)。在dvhc的比较(框133)与存储的uav1哈希值(框116)匹配的情况下，通过uav1的验证(框137)，并且证实uav1(框138)。根据一些替代实施例，uav1向远程计算机(诸如，认证机构计算机(例如，ca1、ca2、ca3))请求验证uav1。这可以在uav1期望进行某些动作时执行，诸如进入指定或控制的空域、操作相机或投递负载。uav可以向认证机构发送验证请求。该请求可以从uav发送到认证机构计算机。认证机构计算机可以接收和处理该请求并进行uav的验证。例如，uav可以提出验证请求以进入受控空域，进行特定飞行计划或路径，执行诸如拍摄、负载的部署或其他功能的操作。根据该实施方式，图2描绘示出对认证机构ca进行请求的uav、uav1的示图的示例。图2中示出的内容可以作为图1中发出验证请求(参见图1的框121)的认证计算机ca1的补充或替代。如图2所示，uav1优选地加密该请求(框140)，然后将该请求发送(框141)到认证机构计算机(例如，诸如图1和图2中描绘的一个或多个计算机ca1、ca2、ca3和ca)，从而作出该请求。图2中描绘的认证机构计算机ca(其可以是图1的ca1、ca2、ca3所表示的任何一个或多个认证机构计算机)从uav1接收被验证请求(框142)。可以通过网络(有线或无线)发送和接收该请求(参见例如框141和142)。认证机构计算机对该请求进行解密(框143)。一旦该请求被解密并被视为来自uav1的可信请求，则进行如所请求的uav1的验证。可以如本文所示执行验证，包括如图1的代表性示例中所示。认证机构计算机发出uav1生成验证哈希值的请求。这由图2的框121'表示，其基本上可以如图1所示进行(框121)。根据本发明的实施例，提供uav交通管理(utm)系统以便于管理可以在特定空域内操作的uav。utm系统优选地可以通过验证在空域内或希望进入该空间的每个uav来管理空域。在随后的时间，uav可以生成并发送请求，从而可以对其进行验证。替代地，可以与uav进行特定活动、方向、飞行计划或程序相关地自动生成该请求。例如，在uav飞行计划涉及通过受管制空域区域的情况下，uav可以获得验证。一旦获得认证，认证的uav可以继续配合认证系统和管理功能进行操作。例如，系统可以配置为当uav向uav交通管理(utm)系统发出请求，诸如提交飞行计划，或被允许在受控空域内飞行时，utm系统使用任意数量的可用加密通信方法来向uav询问特定哈希码，该哈希码是在询问时通过与utm系统提供的密钥或时间码的共同加密生成的，这要求uav系统实际创建新的哈希码而不是简单地反映单独存储的哈希码，该单独存储的哈希码可能不会反映请求时uav上的实际硬件和软件。然后将验证哈希码发送到utm计算机验证系统，utm计算机验证系统然后解密响应于该查询而从uav接收的消息，并确定它是否与认证后存储的相同哈希码(即，认证或授权哈希)匹配。如果匹配，则推定uav被验证为授权，如果不匹配，则推定被验证为未授权，然后根据utm系统的性质、uav的性质、法规和其他因素，可以由此采取适当的行动。例如，根据一些实施例，在未通过验证的情况下，uav可以被禁用，可以被发出在特定位置着陆的指令，可以恢复到手动控制(或者utm系统可以自身或者结合另一系统来控制uav飞行操作)。另外或替代地，当uav未通过验证时，系统还可以向适当的个人、系统或其他组件发出警报。替代地，验证失败可能使uav的一些但非全部功能失效(例如，释放货物或负载的能力)。可以在uav上利用硬件或软件或其组合来生成uav的哈希码。uav的哈希码可以由硬件(诸如专用tpm芯片)、软件(诸如类似于或包括ftpm的软件)或其某种组合来创建。根据优选实施例，可以基于与uav硬件、uav软件、两者或其组合的状态对应的一个或多个策略来生成哈希码。该系统可以配置为基于uav的特定组件或uav软件(诸如哈希值、校验和或两者)来实现验证。根据一些优选实施例，uav可以配置有专用可信平台模块(tpm)芯片或软件，诸如类似于或包括ftpm的软件，或这些特征的一个或多个组合。例如，可以提供常规tpm，诸如硬件设备或“芯片”，并且根据一些实施例，可以包括其自身的安全加密处理器。tpm芯片或软件可以作为uav的电路的一部分或与之结合提供。tpm芯片或软件可以安全地生成加密密钥以及对其使用的限制。tpm芯片还可以包括硬件伪随机数发生器的功能。该系统优选地配置为基于uav的特定硬件和/或软件配置生成哈希值，从而提供与认证相关的uav的远程证明。例如，如果对uav软件进行未经授权的改变，例如，接管操作或移除某些功能，则哈希值(诸如tpm提供的哈希值)可以识别并检测到对uav的改变。优选实施方式可以向认证组织(诸如监管机构)提供识别未授权改变(例如，对软件或uav硬件组件)的能力，包括可能发生对uav软件的篡改的情况(例如，执行不期望的或甚至非法目的的情况)。根据优选实施例，优选地通过生成标识当前正在运行的软件的证书、uav的一个或多个硬件组件的硬件配置文件或这些的组合来获得哈希值。例如，硬件组件(诸如驱动电动机)的序列号、其型号和安装日期以及导航芯片的标识或序列号可以用于生成uav的认证或授权哈希。可以通过使认证组织识别该哈希值并将该值与预期已知可接受或可信值进行比较来使用认证系统。根据一些实施例，认证组织可以生成与uav相关联的认证哈希(或授权哈希)并将其存储以供将来验证参考。例如，可信值可以是指示uav软件和硬件的正确安装、操作和/或其他属性的哈希值。uav优选地配置有指令，该指令例如可以在tpm组件(诸如芯片)或ftpm组件或芯片中提供，其利用现有硬件和软件组件的参数，优选地，在授权请求时产生发送到认证机构以验证uav的哈希值。根据优选实施例，该系统优选地配置为与各种uav一起工作，并且根据优选实施例，可以提供专门配置的uav以与认证系统结合使用。例如，优选地，配置uav以使得认证组织可以与uav远程通信，并且交换优选地包括证书或哈希验证的通信。通信优选地是安全通信，并且优选地是加密的。远程计算组件优选地配置为与uav通信。根据该系统的优选实施方式，计算组件配置有包含用于确定uav的授权状态和验证uav的指令的软件。根据一些实施方式，计算组件可以从uav接收用于认证的请求。根据一些实施方式，计算组件也可以向uav发出请求并开始对uav进行认证，即使在uav没有这种请求的情况下，也是如此。优选地，可以提供验证作为操作要求。例如，根据一些实施方式，可以要求uav通过验证以执行一个或多个功能，诸如，能够飞行或者被允许进入受控空域或者能够执行一个或多个操作功能(例如，投递负载、操作相机、传输视频等)。本系统优选地可以配置为通过实现在uav和远程计算组件之间交换的信息的加密来进一步保护uav和远程组件(诸如认证组织)之间的通信。例如，远程证明优选地可以与公钥加密相结合，以便在通信被拦截(例如，诸如由窃听者)的情况下防止信息的潜在使用。根据一些替代实施例，该系统可以实现直接匿名证明(daa)安全性。可以结合tpm芯片或系统实现daa签名系统，以提供uav和认证机构之间的安全交换。根据一些优选实施例，认证组织可以控制tpm芯片或ftpm软件。例如，tpm芯片的唯一和秘密rsa密钥可以通过验证寻求查询uav(例如，查询计算的哈希值)的监管计算机是预期请求该信息的真正认证组织来提供另一级授权。根据一些实施例，uav电路可以配置有集成到uav硬件组件(诸如uav计算组件或系统)的电路或系统板中的分立硬件tpm芯片。例如，根据一些实施例，uav可以配置有适当的互连或能够支持tpm的其他合适的硬件组件。本系统优选地提供安全措施以最小化或消除对uav的硬件和软件操作系统的潜在入侵。该系统旨在提供合适的完整性保护，并提供对uav硬件和软件的潜在恶意修改的防御。根据一些优选实施例，可以结合系统实现“基于固件的tpm”或“ftpm”，以提供uav的认证和验证。“固件tpm”或ftpm优选地可以实现为向处理器集成的安全扩展功能提供软件接口，作为需要硬件tpm模块的替代方案。ftpm可以用于结合认证系统来提供可信计算。例如，ftpm可以在uav中实现，诸如在uav电路中，以提供可信执行环境。根据一些优选实施方式，可以使用ftpm软件来修改uav，并且uav可以被提供有与认证系统结合生成认证或授权哈希的指令。根据一些实施例，uav可以使用单独提供的处理器来运行认证操作，或者替代地，将软件放置在uav的保护性存储器中(诸如不可信组件不可读或可修改的存储器)。参考图3和图4，描绘了可以根据系统操作的uav110、210的示例。uav110配置为无人机，并且uav210配置为四轴飞行器。uav110、210优选地配置有电源和通信硬件。uav110、210优选地包括计算机，该计算机包括一个或多个处理器，根据一些实施例，这些处理器可以包括微电路、微控制器或微处理器。uav或其计算机优选地还包括存储组件(其可以是电路或处理组件的一部分，或单独提供)。优选地，在uav电路或计算组件上提供软件，其包含用于监测输入(诸如控制信号以及飞行属性(例如，加速度、方向、俯仰和偏航))的指令。该软件还可以包括用于控制转子操作的指令，并且可以包括稳定算法以产生用于预期飞行的稳定性(用于在执行指令时平滑飞行器的操作控制和飞行属性并且飞行器实施来自控制、程序或其他源的指令)。uav还可以配置有导航组件或电路，其例如可以包括gps和罗盘，其可以单独提供或一起设置在芯片或电路上，并且在一些情况下具有一个或多个其他组件(例如，imu)。uav可以配置有电子速度控制，该电子速度控制可以体现在软件、硬件、飞行器电路或其组合中。优选地，可以提供速度控制机制以管理驱动转子的电动机的操作以及转子方向的改变(例如，通过改变电动机轴方向)，并且可以通过接收远程信号或者与编程指导飞行路径、方向和其他飞行器操作结合操作来起作用。根据一些实施例，认证组织(诸如用作命令和控制计算机以验证uav的远程计算机)可以具有控制uav的一个或多个操作或功能的能力。根据一些实施例，uav110、210优选地包括tpm芯片或系统，或者可以包括用于管理uav的验证操作的ftpm固件。尽管描绘了uav的示例性实施例，但是该系统可以与其他无人驾驶飞行器一起使用。结合一个或多个实施例讨论的一个或多个特征可以在其他实施例中与飞行器和/或系统的一个或多个其他特征分开提供或组合在一起。另外，该系统结合飞行器110、210进行说明，但是替代地，该系统可以部署在现有uav上，并且可以作为集成或可以与uav计算和电子组件电耦合的模块提供，以提供uav的认证和随后的验证。而且，描绘为ca1、ca2、ca3和ca的计算机参考可以共同表示配置为实现所描绘的功能的单个计算机，或者替代地，可以表示两个或三个计算机。除了所描绘的一个或多个计算机(例如，ca、ca1、ca2、ca3)之外，可以提供其他数量的计算机，包括计算机网络，以执行命令和控制操作。本发明可以提供这些和其他优点。例如，尽管可以使用tpm芯片和ftpm固件，但是可以实现由计算标准组织(诸如，可信计算组)实现或提供的替代方案，以提供安全的密码通信或交换，诸如在某些芯片(例如，通信芯片)中提供的集成安全性。当前第1页12