随着汽车产业从传统汽车向软件定义汽车 ( Software-Defined Vehicle, 简称 SDV ) 转型 , 全球范围内关于汽车网络安全的法规制定正加速推进。联合国欧洲经济委员会 ( UNECE ) 自 2022 年起实施了关于汽车网络安全管理体系 ( CSMS ) 和软件更新管理系统 ( SUMS ) 的 UN R155 和 UN R156 法规 , 并已将其强制适用于目前在欧洲销售的所有车辆。

作为全球最大的汽车生产和消费国 , 中国也积极响应这一国际趋势。参考 UN 法规 , 中国自行制定了 GB 标准 ( GB 44495-2024/GB 44496-2024 ) , 以保障车辆在网络安全和软件更新管理方面的规范性和安全性。该标准将于 2026 年 1 月 1 日起适用于新型式认证车辆 , 并计划于 2028 年 1 月 1 日起扩大适用于所有车辆。

为了有效应对中国的 GB 标准 , 深入理解 UN 法规并进行前瞻性分析将成为关键要素。

本专栏由汽车网络安全专业企业飞斯柯罗 ( FESCARO ) 提供。飞斯柯罗通过协助 OEM 及控制器开发商 ( Tier ) 应对相关法规要求 , 成功实现了汽车网络安全领域四大国际认证 ( CSMS、SUMS、VTA、ISO/SAE 21434 ) 的咨询大满贯。此成就得益于飞斯柯罗结合企业的实际情况与环境 , 提供切实可行的定制化解决方案 , 以帮助客户有效克服认证过程中的难点并实现最大效率。

凭借其独特的专业能力与实务经验 , 本次专栏将深入分析 VTA 认证流程 , 并提出切实可行的应对策略。

本专栏系列共分为三期 , 旨在系统性地介绍汽车网络安全法规相关的四大主要认证的核心内容及应对策略。具体发布顺序如下 :

① CSMS 与 ISO/SAE 21434 的核心要点

② VTA 认证的主要难点及解决方案

③ SDV ( 软件定义车辆 ) 的必备前提条件及 SUMS 相关内容

不仅是 UN 法规 ,GB 标准也要求对 CSMS ( 网络安全管理系统 ) 和 SUMS ( 软件更新管理系统 ) 进行 VTA ( 车辆型式认证 ) 。为了成功通过 VTA 认证 , 相关企业必须执行严格且持续的验证过程。那么 , 如何有效应对这些挑战呢 ?

VTA: 车辆进入市场的关键门槛

CSMS 是指用于管理汽车网络威胁与风险、保护车辆免受网络攻击的组织性程序和管理体系。在 CSMS 认证过程中 , 测试机构 ( TS,Technical Service ) 会对整车制造商的 CSMS 系统进行全面验证。如果没有问题 , 相关信息将提交给认证机构 ( AA,Approval Authority ) , 由认证机构进行审查后颁发 CSMS 证书。

随后 , 每当新车型上市时 , 需通过 VTA 认证确认车辆是否按照 CSMS 框架进行规划、设计、制造和验证 , 并验证车辆是否已采取适当的安全措施或应对方案。为此 , 测试机构需审查整车制造商提供的相关技术文件 , 并通过实际车辆测试进行验证。测试结果将提交给认证机构 , 经过最终审核后 , 如果无问题 , 则对该车型进行最终批准。

为了获得 VTA 认证 , 需要进行车辆的风险评估、安全措施验证以及充分的测试。需明确识别可能发生的风险 , 评估这些风险 , 并证明所采取的应对措施。这些 " 措施 " 包括消除风险、降低风险、规避风险或接受风险。在采取消除或降低风险的措施时 , 需要分析所需的安全功能 , 并以此为基础进行功能设计与实施 , 最后通过安全测试验证其效果。

根据 UN 法规 , 认证机构和测试机构需要测试车辆 , 以确认整车制造商文档化的网络安全措施是否已被正确实施。同时 , 整车制造商在车辆 VTA 验证测试之前 , 必须通过适当且充分的内部测试 , 确认安全措施是否已被有效地执行。

因此 , 认证机构、测试机构以及整车制造商都需要进行安全测试。具体需要执行哪些测试内容 , 可参考汽车网络安全工程国际标准 ISO/SAE 21434 的相关规定。

VTA 指南 :ISO/SAE 21434

根据 ISO/SAE 21434 提到的汽车网络安全有效性验证测试 , 大致可以分为以下四类 :

1. 功能测试 ( Functional Testing ) : 验证应用于控制器的网络安全功能是否正确实现。

2. 漏洞扫描 ( Vulnerability Scanning ) : 查找并修复控制器软件或硬件中的已知漏洞 , 特别是重点检查开源软件中的漏洞。

3. 模糊测试 ( Fuzzing Testing ) : 向控制器或车辆的外部接口注入随机数据 , 以发现软件或硬件中的潜在漏洞。

4. 渗透测试 ( Penetration Testing ) : 从黑客的角度攻击车辆系统 , 评估现有的网络安全措施是否足够。此外 , 还通过各种攻击手段查找潜在的未知漏洞。

因此 , 整车制造商必须确保构成车辆的各个控制器的安全性 , 这也对控制器开发商提出了更高的安全稳健性要求。那么 , 是否需要对所有控制器执行上述介绍的所有安全测试呢 ?

在 ISO/SAE 21434 附录 E 中 , 介绍了根据网络安全保障等级 ( CAL,Cybersecurity Assurance Level ) 实施的测试方法。控制器的 CAL 需要通过执行威胁分析与风险评估 ( TARA,Threat Analysis and Risk Assessment ) 确定的 :

- CAL 1 等级的控制器需要执行功能测试和漏洞扫描 ;

- CAL 2 等级需额外执行模糊测试 ;

- CAL 3 和 CAL 4 等级还需执行渗透测试。

VTA 准备策略 : 多角度方法

在准备 VTA 时 , 需要注意以下两点 :

首先 , 由于所有内容最终需要通过测试验证 , 因此必须准备能够充分证明控制器和车辆安全测试适当性的测试环境、测试技术和测试场景等。

其次 , 需要立体地证明 CSMS 是否构建完善 , 并在车辆的全生命周期 ( 开发、生产、生产后等 ) 中有机联动。

为实现网络安全的协同效应 , 需要通过 TARA 识别控制器的漏洞并评估风险 , 并建立保护控制器和安全车辆的安全解决方案进行分级防御。此外 , 还需执行验证安全功能和潜在漏洞的安全测试 , 并建立能够实时应对安全事件的系统。这些要素必须有机连接 , 并在审查过程中证明其在实际车辆中的有效性。

因此 , 提前进行多种测试并从多个角度验证安全稳健性非常重要。例如 , 即使控制器连接到 CAN 通信系统 , 在单独测试时功能可能未被激活 , 为弥补这一不足 , 还需要在实际车辆环境中进行测试。

甚至在实际车辆测试中 , 由于停车状态和行驶环境的差异 , 测试结果可能会有所不同。飞斯柯罗的红队由白帽黑客组成 , 在为全球整车制造商准备 VTA 演示之前 , 进行了数十次模拟测试。当在静止状态下向电动车动力系统 ( E-PT ) 注入异常消息时 , 除了出现轻微的通信延迟外 , 并未发现重大影响 ; 然而 , 在行驶过程中 , 车辆驱动停止且油门踏板无法操作 , 出现了致命问题。对此 , 飞斯柯罗由白帽黑客组成的红队向整车制造商和控制器开发商共享了漏洞报告 , 并通过技术讨论在 VTA 审查前完成了安全补丁的应用 , 解决了问题。此外 , 还开发了与 VTA 审查相关的检查清单 , 建立了系统的预审和针对各检查项目的处理方案。在此之后 , 通过密切管理直至最终审批阶段 , 帮助整车制造商顺利通过了 VTA 认证。

为了成功且高效地应对 VTA 认证 , 企业在选择合作伙伴时需要考虑以下因素 : 是否具备能够专业执行安全测试的红队、是否拥有能够满足认证要求并支持综合验证的测试案例 , 以及是否持续强化和开发新的参考资料。

随着全球范围内汽车网络安全相关法规的制定 , 整车制造商为通过 VTA 认证 , 正对控制器和实车进行严格的网络安全测试。因此 , 控制器开发商也必须确保高水平的网络安全 , 才能满足整车制造商的要求并保持市场竞争力。

下一篇文章将聚焦于软件更新管理系统 ( SUMS ) , 深入探讨与汽车软件更新管理及相关法规应对的安全解决方案。我们将帮助企业更高效地应对汽车产业智能化和网络化的发展趋势。敬请关注 !