隨著汽車產(chǎn)業(yè)從傳統(tǒng)汽車向軟件定義汽車(Software-Defined Vehicle,簡稱SDV)轉(zhuǎn)型,全球范圍內(nèi)關(guān)于汽車網(wǎng)絡(luò)安全的法規(guī)制定正加速推進(jìn)。聯(lián)合國歐洲經(jīng)濟(jì)委員會(UNECE)自2022年起實(shí)施了關(guān)于汽車網(wǎng)絡(luò)安全管理體系(CSMS)和軟件更新管理系統(tǒng)(SUMS)的UN R155和UN R156法規(guī),并已將其強(qiáng)制適用于目前在歐洲銷售的所有車輛。

作為全球最大的汽車生產(chǎn)和消費(fèi)國,中國也積極響應(yīng)這一國際趨勢。參考UN法規(guī),中國自行制定了GB標(biāo)準(zhǔn)(GB 44495-2024/GB 44496-2024),以保障車輛在網(wǎng)絡(luò)安全和軟件更新管理方面的規(guī)范性和安全性。該標(biāo)準(zhǔn)將于2026年1月1日起適用于新型式認(rèn)證車輛,并計(jì)劃于2028年1月1日起擴(kuò)大適用于所有車輛。

為了有效應(yīng)對中國的GB標(biāo)準(zhǔn),深入理解UN法規(guī)并進(jìn)行前瞻性分析將成為關(guān)鍵要素。

本專欄由汽車網(wǎng)絡(luò)安全專業(yè)企業(yè)飛斯柯羅(FESCARO)提供。飛斯柯羅通過協(xié)助OEM及控制器開發(fā)商(Tier)應(yīng)對相關(guān)法規(guī)要求,成功實(shí)現(xiàn)了汽車網(wǎng)絡(luò)安全領(lǐng)域四大國際認(rèn)證(CSMS、SUMS、VTA、ISO/SAE 21434)的咨詢大滿貫。此成就得益于飛斯柯羅結(jié)合企業(yè)的實(shí)際情況與環(huán)境,提供切實(shí)可行的定制化解決方案,以幫助客戶有效克服認(rèn)證過程中的難點(diǎn)并實(shí)現(xiàn)最大效率。

憑借其獨(dú)特的專業(yè)能力與實(shí)務(wù)經(jīng)驗(yàn),本次專欄將深入分析VTA認(rèn)證流程,并提出切實(shí)可行的應(yīng)對策略。

本專欄系列共分為三期,旨在系統(tǒng)性地介紹汽車網(wǎng)絡(luò)安全法規(guī)相關(guān)的四大主要認(rèn)證的核心內(nèi)容及應(yīng)對策略。具體發(fā)布順序如下:

① CSMS與ISO/SAE 21434的核心要點(diǎn)

② VTA認(rèn)證的主要難點(diǎn)及解決方案

③ SDV(軟件定義車輛)的必備前提條件及SUMS相關(guān)內(nèi)容

不僅是UN法規(guī),GB標(biāo)準(zhǔn)也要求對CSMS(網(wǎng)絡(luò)安全管理系統(tǒng))和SUMS(軟件更新管理系統(tǒng))進(jìn)行VTA(車輛型式認(rèn)證)。為了成功通過VTA認(rèn)證,相關(guān)企業(yè)必須執(zhí)行嚴(yán)格且持續(xù)的驗(yàn)證過程。那么,如何有效應(yīng)對這些挑戰(zhàn)呢?

VTA:車輛進(jìn)入市場的關(guān)鍵門檻

CSMS是指用于管理汽車網(wǎng)絡(luò)威脅與風(fēng)險(xiǎn)、保護(hù)車輛免受網(wǎng)絡(luò)攻擊的組織性程序和管理體系。在CSMS認(rèn)證過程中,測試機(jī)構(gòu)(TS,Technical Service)會對整車制造商的CSMS系統(tǒng)進(jìn)行全面驗(yàn)證。如果沒有問題,相關(guān)信息將提交給認(rèn)證機(jī)構(gòu)(AA,Approval Authority),由認(rèn)證機(jī)構(gòu)進(jìn)行審查后頒發(fā)CSMS證書。

隨后,每當(dāng)新車型上市時(shí),需通過VTA認(rèn)證確認(rèn)車輛是否按照CSMS框架進(jìn)行規(guī)劃、設(shè)計(jì)、制造和驗(yàn)證,并驗(yàn)證車輛是否已采取適當(dāng)?shù)陌踩胧┗驊?yīng)對方案。為此,測試機(jī)構(gòu)需審查整車制造商提供的相關(guān)技術(shù)文件,并通過實(shí)際車輛測試進(jìn)行驗(yàn)證。測試結(jié)果將提交給認(rèn)證機(jī)構(gòu),經(jīng)過最終審核后,如果無問題,則對該車型進(jìn)行最終批準(zhǔn)。

為了獲得VTA認(rèn)證,需要進(jìn)行車輛的風(fēng)險(xiǎn)評估、安全措施驗(yàn)證以及充分的測試。需明確識別可能發(fā)生的風(fēng)險(xiǎn),評估這些風(fēng)險(xiǎn),并證明所采取的應(yīng)對措施。這些“措施”包括消除風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、規(guī)避風(fēng)險(xiǎn)或接受風(fēng)險(xiǎn)。在采取消除或降低風(fēng)險(xiǎn)的措施時(shí),需要分析所需的安全功能,并以此為基礎(chǔ)進(jìn)行功能設(shè)計(jì)與實(shí)施,最后通過安全測試驗(yàn)證其效果。

根據(jù)UN法規(guī),認(rèn)證機(jī)構(gòu)和測試機(jī)構(gòu)需要測試車輛,以確認(rèn)整車制造商文檔化的網(wǎng)絡(luò)安全措施是否已被正確實(shí)施。同時(shí),整車制造商在車輛VTA驗(yàn)證測試之前,必須通過適當(dāng)且充分的內(nèi)部測試,確認(rèn)安全措施是否已被有效地執(zhí)行。

因此,認(rèn)證機(jī)構(gòu)、測試機(jī)構(gòu)以及整車制造商都需要進(jìn)行安全測試。具體需要執(zhí)行哪些測試內(nèi)容,可參考汽車網(wǎng)絡(luò)安全工程國際標(biāo)準(zhǔn)ISO/SAE 21434的相關(guān)規(guī)定。

VTA指南:ISO/SAE 21434

根據(jù)ISO/SAE 21434提到的汽車網(wǎng)絡(luò)安全有效性驗(yàn)證測試,大致可以分為以下四類:

1. 功能測試(Functional Testing):驗(yàn)證應(yīng)用于控制器的網(wǎng)絡(luò)安全功能是否正確實(shí)現(xiàn)。

2. 漏洞掃描(Vulnerability Scanning):查找并修復(fù)控制器軟件或硬件中的已知漏洞,特別是重點(diǎn)檢查開源軟件中的漏洞。

3. 模糊測試(Fuzzing Testing):向控制器或車輛的外部接口注入隨機(jī)數(shù)據(jù),以發(fā)現(xiàn)軟件或硬件中的潛在漏洞。

4. 滲透測試(Penetration Testing):從黑客的角度攻擊車輛系統(tǒng),評估現(xiàn)有的網(wǎng)絡(luò)安全措施是否足夠。此外,還通過各種攻擊手段查找潛在的未知漏洞。

因此,整車制造商必須確保構(gòu)成車輛的各個(gè)控制器的安全性,這也對控制器開發(fā)商提出了更高的安全穩(wěn)健性要求。那么,是否需要對所有控制器執(zhí)行上述介紹的所有安全測試呢?

在ISO/SAE 21434附錄E中,介紹了根據(jù)網(wǎng)絡(luò)安全保障等級(CAL,Cybersecurity Assurance Level)實(shí)施的測試方法。控制器的CAL需要通過執(zhí)行威脅分析與風(fēng)險(xiǎn)評估(TARA,Threat Analysis and Risk Assessment)確定的:

- CAL 1 等級的控制器需要執(zhí)行功能測試和漏洞掃描;

- CAL 2 等級需額外執(zhí)行模糊測試;

- CAL 3 和 CAL 4 等級還需執(zhí)行滲透測試。

VTA準(zhǔn)備策略:多角度方法

在準(zhǔn)備VTA時(shí),需要注意以下兩點(diǎn):

首先,由于所有內(nèi)容最終需要通過測試驗(yàn)證,因此必須準(zhǔn)備能夠充分證明控制器和車輛安全測試適當(dāng)性的測試環(huán)境、測試技術(shù)和測試場景等。

其次,需要立體地證明CSMS是否構(gòu)建完善,并在車輛的全生命周期(開發(fā)、生產(chǎn)、生產(chǎn)后等)中有機(jī)聯(lián)動。

為實(shí)現(xiàn)網(wǎng)絡(luò)安全的協(xié)同效應(yīng),需要通過TARA識別控制器的漏洞并評估風(fēng)險(xiǎn),并建立保護(hù)控制器和安全車輛的安全解決方案進(jìn)行分級防御。此外,還需執(zhí)行驗(yàn)證安全功能和潛在漏洞的安全測試,并建立能夠?qū)崟r(shí)應(yīng)對安全事件的系統(tǒng)。這些要素必須有機(jī)連接,并在審查過程中證明其在實(shí)際車輛中的有效性。

因此,提前進(jìn)行多種測試并從多個(gè)角度驗(yàn)證安全穩(wěn)健性非常重要。例如,即使控制器連接到CAN通信系統(tǒng),在單獨(dú)測試時(shí)功能可能未被激活,為彌補(bǔ)這一不足,還需要在實(shí)際車輛環(huán)境中進(jìn)行測試。

甚至在實(shí)際車輛測試中,由于停車狀態(tài)和行駛環(huán)境的差異,測試結(jié)果可能會有所不同。飛斯柯羅的紅隊(duì)由白帽黑客組成,在為全球整車制造商準(zhǔn)備VTA演示之前,進(jìn)行了數(shù)十次模擬測試。當(dāng)在靜止?fàn)顟B(tài)下向電動車動力系統(tǒng)(E-PT)注入異常消息時(shí),除了出現(xiàn)輕微的通信延遲外,并未發(fā)現(xiàn)重大影響;然而,在行駛過程中,車輛驅(qū)動停止且油門踏板無法操作,出現(xiàn)了致命問題。對此,飛斯柯羅由白帽黑客組成的紅隊(duì)向整車制造商和控制器開發(fā)商共享了漏洞報(bào)告,并通過技術(shù)討論在VTA審查前完成了安全補(bǔ)丁的應(yīng)用,解決了問題。此外,還開發(fā)了與VTA審查相關(guān)的檢查清單,建立了系統(tǒng)的預(yù)審和針對各檢查項(xiàng)目的處理方案。在此之后,通過密切管理直至最終審批階段,幫助整車制造商順利通過了VTA認(rèn)證。

為了成功且高效地應(yīng)對VTA認(rèn)證,企業(yè)在選擇合作伙伴時(shí)需要考慮以下因素:是否具備能夠?qū)I(yè)執(zhí)行安全測試的紅隊(duì)、是否擁有能夠滿足認(rèn)證要求并支持綜合驗(yàn)證的測試案例,以及是否持續(xù)強(qiáng)化和開發(fā)新的參考資料。

隨著全球范圍內(nèi)汽車網(wǎng)絡(luò)安全相關(guān)法規(guī)的制定,整車制造商為通過VTA認(rèn)證,正對控制器和實(shí)車進(jìn)行嚴(yán)格的網(wǎng)絡(luò)安全測試。因此,控制器開發(fā)商也必須確保高水平的網(wǎng)絡(luò)安全,才能滿足整車制造商的要求并保持市場競爭力。

下一篇文章將聚焦于軟件更新管理系統(tǒng)(SUMS),深入探討與汽車軟件更新管理及相關(guān)法規(guī)應(yīng)對的安全解決方案。我們將幫助企業(yè)更高效地應(yīng)對汽車產(chǎn)業(yè)智能化和網(wǎng)絡(luò)化的發(fā)展趨勢。敬請關(guān)注!