強力落實軟/硬體防護　供應(yīng)鏈全面把關(guān)車用資安

在汽車邁向自駕的發(fā)展過程中，車用資安已成為不可忽視的議題。一旦車載系統(tǒng)出現(xiàn)漏洞，導(dǎo)致駭客遠端入侵并操控系統(tǒng)，駕駛便有人身安全的風(fēng)險。因此業(yè)界廠商紛紛從軟體、硬體與流程安全多面向切入，確保車用資安受到完整防護。在標(biāo)準(zhǔn)方面，作為車用資安認證的基礎(chǔ)，TüV NORD Taiwan工業(yè)服務(wù)部資深技術(shù)經(jīng)理林正偉指出，車用供應(yīng)鏈導(dǎo)入TISAX規(guī)范以確保汽車的網(wǎng)路安全與資訊安全。德凱認證(DEKRA)全球功能安全/網(wǎng)路安全經(jīng)理黃浩鈿則表示，在汽車軟體功能持續(xù)增加的情況下，ASPICE作為軟體開發(fā)流程的評估將更形重要。

加密晶片強化車用資安

車載系統(tǒng)受到駭客攻擊的消息頻傳，英飛凌安全互聯(lián)系統(tǒng)事業(yè)部行銷經(jīng)理鄭力仁(圖1)指出，車載介面之所以遭受越來越多攻擊，主要是汽車的新應(yīng)用持續(xù)增加。例如車聯(lián)網(wǎng)與自駕應(yīng)用，都是透過蒐集駕駛與用路人的資料，來提升用路與行車體驗。此外，遠端租車與共享汽車等，都促使車載系統(tǒng)打開門戶與外界溝通。

圖1　英飛凌安全互聯(lián)系統(tǒng)事業(yè)部行銷經(jīng)理鄭力仁強調(diào)，車聯(lián)網(wǎng)資安透過完整搭配軟體及硬體防護是必要手段

車載系統(tǒng)向外通訊將帶來新的風(fēng)險，例如當(dāng)汽車透過無線網(wǎng)路更新車載的韌體與軟體，更新的過程就是駭客的可趁之機。鄭力仁解釋，若車用系統(tǒng)遭受遠端攻擊，較為嚴(yán)重的情況下，駭客可能控制車輛的煞車、油門或是方向盤，導(dǎo)致駕駛無法完全控制車輛，危及人身安全。因此發(fā)展車聯(lián)網(wǎng)應(yīng)用的同時，必須考量資安威脅的可能性。

面對車聯(lián)網(wǎng)的資安需求，完整搭配軟體及硬體防護是必要手段。簡單的駭客攻擊可以透過軟體與流程改善防范，但是比較極端的案例，例如故障注入(Fault Injection)，就需要搭配硬體的防護機制，防止駭客採取暴力破解汽車內(nèi)的金鑰或是溝通憑證等資訊。

臺廠可共同投入SOTIF認證

針對智慧車輛的自動駕駛、車聯(lián)網(wǎng)、電動車及共享服務(wù)四大應(yīng)用，需要從軟體切入確保車用安全，并找到中國臺灣在其中的機會。資策會軟體技術(shù)研究院代院長蒙以亨(圖2)表示，執(zhí)行車用安全的工作可依照ISO 26262與ISO 21448分為兩個階段。ISO 26262關(guān)注汽車基本的功能安全，ISO 21448則與自駕相關(guān)，針對安全功能的設(shè)計要能對應(yīng)相關(guān)的情境，因此需要訓(xùn)練人工智慧(AI)模型不同的行車情境。

圖2　資策會軟體技術(shù)研究院代院長蒙以亨建議，臺廠可以共同建立SOTIF的認證/驗證機制

面對汽車智慧化程度提升，駕駛輔助、自駕功能逐漸普及，資策會認為從軟體協(xié)助供應(yīng)商/設(shè)備商之間的功能測試、軟體測試與資安測試認證，是值得省內(nèi)產(chǎn)業(yè)共同投入的領(lǐng)域。因此臺廠可以共同建立SOTIF的認證驗證機制，因為SOTIF在汽車功能安全的基礎(chǔ)上，運用人工智慧(AI)技術(shù)進一步強化駕駛輔助/自駕安全。例如將盲點偵測、路口安全防撞直接定義在SOTIF中，有助于先進駕駛輔助系統(tǒng)(ADAS)學(xué)習(xí)如何應(yīng)對突發(fā)路況。

ISO 21434四大測試方法

汽車網(wǎng)路安全標(biāo)準(zhǔn)ISO 21434則從多個面向，層層把關(guān)車用資安。資策會資安科技研究所副主任高傳凱(圖3)說明，ISO 21434的測試方法有四個類別，包含資安功能測試(Security Functional Testing)、弱點測試(Vulnerability Testing)、模糊測試(Fuzz Testing) 及滲透測試(Penetration Testing)。資安功能測試是初步確認產(chǎn)品的資安功能符合規(guī)格，弱點測試則是掃描原始碼，進而尋找已知的弱點。模糊測試較不易執(zhí)行，因為需要針對系統(tǒng)多方進行測試，尋找未知的資安弱點。

圖3　資策會資安科技研究所副主任高傳凱指出，ISO 21434針對車用晶片安全的測試，可確保安全晶片具有保護金鑰的能力

而滲透測試的主要目的，是確保資安的保護機制足以防范駭客入侵。針對晶片安全的滲透測試，會確保安全晶片具有完善保護金鑰的能力。只要金鑰受到嚴(yán)密保護，就能避免側(cè)信道攻擊(Side Channel Attacks, SCA)與故障注入攻擊。硬體木馬則是可能藉由產(chǎn)品設(shè)計的漏洞入侵到車載系統(tǒng)，因此在晶片的產(chǎn)品設(shè)計階段，需要進行風(fēng)險評估，以求採用效益最佳的策略防范木馬攻擊。

OTA平臺認證更新安全

維護車用軟體安全的重要面向之一，是確保OTA 更新的安全?？平j(luò)達(CAROTA)創(chuàng)辦人兼執(zhí)行長吳柏儀(圖4)提及，特斯拉是全球發(fā)展OTA更新最快的車廠，中國大陸的車廠也發(fā)展快速，部分車廠已經(jīng)提供整車的OTA更新功能。其他車廠包含豐田、美田、通用、寶馬、奧迪、賓士、福斯等，都只有單一ECU的OTA更新，也就是聯(lián)網(wǎng)裝置或座艙系統(tǒng)的OTA更新。

圖4　科絡(luò)達(CAROTA)創(chuàng)辦人兼執(zhí)行長吳柏儀表示，車用OTA認證平臺可有效管理OTA更新安全

車用OTA應(yīng)用與車用資安市場皆持續(xù)成長，麥肯錫預(yù)計車用資安市場將從2020年的49億美元成長到2030年的97億美元，年成長率超過7%。網(wǎng)路安全汽車軟體開發(fā)市場規(guī)模則預(yù)期從2020年2億美元成長到2030年5.3億美元，年複合成長率可望達到10%。

聚焦車用OTA的資安防護，吳柏儀比較汽車與消費電子軟體的差異，指出Level2+及Level3等級的自駕車軟體約有兩億五千到三億行的程式，軟體代碼相較手機多出20~30倍，防護上也困難許多。透過OTA更新甚至可能大幅改動汽車的原廠設(shè)定，例如煞車距離等，因此各國政府力求確保汽車OTA更新的軟體安全，測試并認證每一個車廠、車款的OTA更新。運用廠商如科絡(luò)達建立的認證平臺，便能管理汽車的OTA更新內(nèi)容。