在汽车迈向自驾的发展过程中,车用资安已成为不可忽视的议题。一旦车载系统出现漏洞,导致骇客远端入侵并操控系统,驾驶便有人身安全的风险。因此业界厂商纷纷从软体、硬体与流程安全多面向切入,确保车用资安受到完整防护。在标准方面,作为车用资安认证的基础,TÜV NORD Taiwan工业服务部资深技术经理林正伟指出,车用供应链导入TISAX规范以确保汽车的网路安全与资讯安全。德凯认证(DEKRA)全球功能安全/网路安全经理黄浩钿则表示,在汽车软体功能持续增加的情况下,ASPICE作为软体开发流程的评估将更形重要。
加密晶片强化车用资安
车载系统受到骇客攻击的消息频传,英飞凌安全互联系统事业部行销经理郑力仁(图1)指出,车载介面之所以遭受越来越多攻击,主要是汽车的新应用持续增加。例如车联网与自驾应用,都是透过蒐集驾驶与用路人的资料,来提升用路与行车体验。此外,远端租车与共享汽车等,都促使车载系统打开门户与外界沟通。
图1 英飞凌安全互联系统事业部行销经理郑力仁强调,车联网资安透过完整搭配软体及硬体防护是必要手段
车载系统向外通讯将带来新的风险,例如当汽车透过无线网路更新车载的韧体与软体,更新的过程就是骇客的可趁之机。郑力仁解释,若车用系统遭受远端攻击,较为严重的情况下,骇客可能控制车辆的煞车、油门或是方向盘,导致驾驶无法完全控制车辆,危及人身安全。因此发展车联网应用的同时,必须考量资安威胁的可能性。
面对车联网的资安需求,完整搭配软体及硬体防护是必要手段。简单的骇客攻击可以透过软体与流程改善防范,但是比较极端的案例,例如故障注入(Fault Injection),就需要搭配硬体的防护机制,防止骇客採取暴力破解汽车内的金钥或是沟通凭证等资讯。
台厂可共同投入SOTIF认证
针对智慧车辆的自动驾驶、车联网、电动车及共享服务四大应用,需要从软体切入确保车用安全,并找到中国台湾在其中的机会。资策会软体技术研究院代院长蒙以亨(图2)表示,执行车用安全的工作可依照ISO 26262与ISO 21448分为两个阶段。ISO 26262关注汽车基本的功能安全,ISO 21448则与自驾相关,针对安全功能的设计要能对应相关的情境,因此需要训练人工智慧(AI)模型不同的行车情境。
图2 资策会软体技术研究院代院长蒙以亨建议,台厂可以共同建立SOTIF的认证/验证机制
面对汽车智慧化程度提升,驾驶辅助、自驾功能逐渐普及,资策会认为从软体协助供应商/设备商之间的功能测试、软体测试与资安测试认证,是值得省内产业共同投入的领域。因此台厂可以共同建立SOTIF的认证验证机制,因为SOTIF在汽车功能安全的基础上,运用人工智慧(AI)技术进一步强化驾驶辅助/自驾安全。例如将盲点侦测、路口安全防撞直接定义在SOTIF中,有助于先进驾驶辅助系统(ADAS)学习如何应对突发路况。
ISO 21434四大测试方法
汽车网路安全标准ISO 21434则从多个面向,层层把关车用资安。资策会资安科技研究所副主任高传凯(图3)说明,ISO 21434的测试方法有四个类别,包含资安功能测试(Security Functional Testing)、弱点测试(Vulnerability Testing)、模糊测试(Fuzz Testing) 及渗透测试(Penetration Testing)。资安功能测试是初步确认产品的资安功能符合规格,弱点测试则是扫描原始码,进而寻找已知的弱点。模糊测试较不易执行,因为需要针对系统多方进行测试,寻找未知的资安弱点。
图3 资策会资安科技研究所副主任高传凯指出,ISO 21434针对车用晶片安全的测试,可确保安全晶片具有保护金钥的能力
而渗透测试的主要目的,是确保资安的保护机制足以防范骇客入侵。针对晶片安全的渗透测试,会确保安全晶片具有完善保护金钥的能力。只要金钥受到严密保护,就能避免侧信道攻击(Side Channel Attacks, SCA)与故障注入攻击。硬体木马则是可能藉由产品设计的漏洞入侵到车载系统,因此在晶片的产品设计阶段,需要进行风险评估,以求採用效益最佳的策略防范木马攻击。
OTA平台认证更新安全
维护车用软体安全的重要面向之一,是确保OTA 更新的安全。科络达(CAROTA)创办人兼执行长吴柏仪(图4)提及,特斯拉是全球发展OTA更新最快的车厂,中国大陆的车厂也发展快速,部分车厂已经提供整车的OTA更新功能。其他车厂包含丰田、美田、通用、宝马、奥迪、宾士、福斯等,都只有单一ECU的OTA更新,也就是联网装置或座舱系统的OTA更新。
图4 科络达(CAROTA)创办人兼执行长吴柏仪表示,车用OTA认证平台可有效管理OTA更新安全
车用OTA应用与车用资安市场皆持续成长,麦肯锡预计车用资安市场将从2020年的49亿美元成长到2030年的97亿美元,年成长率超过7%。网路安全汽车软体开发市场规模则预期从2020年2亿美元成长到2030年5.3亿美元,年複合成长率可望达到10%。
聚焦车用OTA的资安防护,吴柏仪比较汽车与消费电子软体的差异,指出Level2+及Level3等级的自驾车软体约有两亿五千到三亿行的程式,软体代码相较手机多出20~30倍,防护上也困难许多。透过OTA更新甚至可能大幅改动汽车的原厂设定,例如煞车距离等,因此各国政府力求确保汽车OTA更新的软体安全,测试并认证每一个车厂、车款的OTA更新。运用厂商如科络达建立的认证平台,便能管理汽车的OTA更新内容。