隨著汽車產業從傳統汽車向軟件定義汽車(Software-Defined Vehicle,簡稱SDV)轉型,全球范圍內關于汽車網絡安全的法規制定正加速推進。聯合國歐洲經濟委員會(UNECE)自2022年起實施了關于汽車網絡安全管理體系(CSMS)和軟件更新管理系統(SUMS)的UN R155和UN R156法規,并已將其強制適用于目前在歐洲銷售的所有車輛。

作為全球最大的汽車生產和消費國,中國也積極響應這一國際趨勢。參考UN法規,中國自行制定了GB標準(GB 44495-2024/GB 44496-2024),以保障車輛在網絡安全和軟件更新管理方面的規范性和安全性。該標準將于2026年1月1日起適用于新型式認證車輛,并計劃于2028年1月1日起擴大適用于所有車輛。

為了有效應對中國的GB標準,深入理解UN法規并進行前瞻性分析將成為關鍵要素。

本專欄由汽車網絡安全專業企業飛斯柯羅(FESCARO)提供。飛斯柯羅通過協助OEM及控制器開發商(Tier)應對相關法規要求,成功實現了汽車網絡安全領域四大國際認證(CSMS、SUMS、VTA、ISO/SAE 21434)的咨詢大滿貫。此成就得益于飛斯柯羅結合企業的實際情況與環境,提供切實可行的定制化解決方案,以幫助客戶有效克服認證過程中的難點并實現最大效率。

憑借其獨特的專業能力與實務經驗,本次專欄將深入分析VTA認證流程,并提出切實可行的應對策略。

本專欄系列共分為三期,旨在系統性地介紹汽車網絡安全法規相關的四大主要認證的核心內容及應對策略。具體發布順序如下:

① CSMS與ISO/SAE 21434的核心要點

② VTA認證的主要難點及解決方案

③ SDV(軟件定義車輛)的必備前提條件及SUMS相關內容

不僅是UN法規,GB標準也要求對CSMS(網絡安全管理系統)和SUMS(軟件更新管理系統)進行VTA(車輛型式認證)。為了成功通過VTA認證,相關企業必須執行嚴格且持續的驗證過程。那么,如何有效應對這些挑戰呢?

VTA:車輛進入市場的關鍵門檻

CSMS是指用于管理汽車網絡威脅與風險、保護車輛免受網絡攻擊的組織性程序和管理體系。在CSMS認證過程中,測試機構(TS,Technical Service)會對整車制造商的CSMS系統進行全面驗證。如果沒有問題,相關信息將提交給認證機構(AA,Approval Authority),由認證機構進行審查后頒發CSMS證書。

隨后,每當新車型上市時,需通過VTA認證確認車輛是否按照CSMS框架進行規劃、設計、制造和驗證,并驗證車輛是否已采取適當的安全措施或應對方案。為此,測試機構需審查整車制造商提供的相關技術文件,并通過實際車輛測試進行驗證。測試結果將提交給認證機構,經過最終審核后,如果無問題,則對該車型進行最終批準。

為了獲得VTA認證,需要進行車輛的風險評估、安全措施驗證以及充分的測試。需明確識別可能發生的風險,評估這些風險,并證明所采取的應對措施。這些“措施”包括消除風險、降低風險、規避風險或接受風險。在采取消除或降低風險的措施時,需要分析所需的安全功能,并以此為基礎進行功能設計與實施,最后通過安全測試驗證其效果。

根據UN法規,認證機構和測試機構需要測試車輛,以確認整車制造商文檔化的網絡安全措施是否已被正確實施。同時,整車制造商在車輛VTA驗證測試之前,必須通過適當且充分的內部測試,確認安全措施是否已被有效地執行。

因此,認證機構、測試機構以及整車制造商都需要進行安全測試。具體需要執行哪些測試內容,可參考汽車網絡安全工程國際標準ISO/SAE 21434的相關規定。

VTA指南:ISO/SAE 21434

根據ISO/SAE 21434提到的汽車網絡安全有效性驗證測試,大致可以分為以下四類:

1. 功能測試(Functional Testing):驗證應用于控制器的網絡安全功能是否正確實現。

2. 漏洞掃描(Vulnerability Scanning):查找并修復控制器軟件或硬件中的已知漏洞,特別是重點檢查開源軟件中的漏洞。

3. 模糊測試(Fuzzing Testing):向控制器或車輛的外部接口注入隨機數據,以發現軟件或硬件中的潛在漏洞。

4. 滲透測試(Penetration Testing):從黑客的角度攻擊車輛系統,評估現有的網絡安全措施是否足夠。此外,還通過各種攻擊手段查找潛在的未知漏洞。

因此,整車制造商必須確保構成車輛的各個控制器的安全性,這也對控制器開發商提出了更高的安全穩健性要求。那么,是否需要對所有控制器執行上述介紹的所有安全測試呢?

在ISO/SAE 21434附錄E中,介紹了根據網絡安全保障等級(CAL,Cybersecurity Assurance Level)實施的測試方法。控制器的CAL需要通過執行威脅分析與風險評估(TARA,Threat Analysis and Risk Assessment)確定的:

- CAL 1 等級的控制器需要執行功能測試和漏洞掃描;

- CAL 2 等級需額外執行模糊測試;

- CAL 3 和 CAL 4 等級還需執行滲透測試。

VTA準備策略:多角度方法

在準備VTA時,需要注意以下兩點:

首先,由于所有內容最終需要通過測試驗證,因此必須準備能夠充分證明控制器和車輛安全測試適當性的測試環境、測試技術和測試場景等。

其次,需要立體地證明CSMS是否構建完善,并在車輛的全生命周期(開發、生產、生產后等)中有機聯動。

為實現網絡安全的協同效應,需要通過TARA識別控制器的漏洞并評估風險,并建立保護控制器和安全車輛的安全解決方案進行分級防御。此外,還需執行驗證安全功能和潛在漏洞的安全測試,并建立能夠實時應對安全事件的系統。這些要素必須有機連接,并在審查過程中證明其在實際車輛中的有效性。

因此,提前進行多種測試并從多個角度驗證安全穩健性非常重要。例如,即使控制器連接到CAN通信系統,在單獨測試時功能可能未被激活,為彌補這一不足,還需要在實際車輛環境中進行測試。

甚至在實際車輛測試中,由于停車狀態和行駛環境的差異,測試結果可能會有所不同。飛斯柯羅的紅隊由白帽黑客組成,在為全球整車制造商準備VTA演示之前,進行了數十次模擬測試。當在靜止狀態下向電動車動力系統(E-PT)注入異常消息時,除了出現輕微的通信延遲外,并未發現重大影響;然而,在行駛過程中,車輛驅動停止且油門踏板無法操作,出現了致命問題。對此,飛斯柯羅由白帽黑客組成的紅隊向整車制造商和控制器開發商共享了漏洞報告,并通過技術討論在VTA審查前完成了安全補丁的應用,解決了問題。此外,還開發了與VTA審查相關的檢查清單,建立了系統的預審和針對各檢查項目的處理方案。在此之后,通過密切管理直至最終審批階段,幫助整車制造商順利通過了VTA認證。

為了成功且高效地應對VTA認證,企業在選擇合作伙伴時需要考慮以下因素:是否具備能夠專業執行安全測試的紅隊、是否擁有能夠滿足認證要求并支持綜合驗證的測試案例,以及是否持續強化和開發新的參考資料。

隨著全球范圍內汽車網絡安全相關法規的制定,整車制造商為通過VTA認證,正對控制器和實車進行嚴格的網絡安全測試。因此,控制器開發商也必須確保高水平的網絡安全,才能滿足整車制造商的要求并保持市場競爭力。