汽車網路安全

汽車網路安全（Automotive security）是指和汽車電子相關的計算機安全領域。由於汽車內的電子控制器（ECU）越來越多，車內各種不同的通訊協定，以及越來越多遙控和無線通訊的需求，也越來越可能受到網路相關的安全威脅，因此從計算機安全和網路安全再衍生出針對車輛的分支領域。

起因

車內多個電子控制器（ECU）的作法是在1970年代初期就開始的，因為集成電路和微處理器的發展，大量生產電子控制器在經濟上是可行的^[1]。此後車上ECU的數量到達一百個。在現今的車上，這些設備控制了絕大多數車上的裝置，簡單的包括雨刷開關，安全相關的有線控剎車（英語：brake-by-wire）或防鎖死煞車系統（ABS）。自動駕駛汽車也是依賴這些新型且複雜的ECU，例如高級輔助駕駛系統（ADAS）、感測器（光學雷達及雷達）以及其控制單元。

車內的電子控制器是用有線或是無線網路進行通訊，例如控制器區域網路（CAN）、MOST、FlexRay（英語：FlexRay），或是許多胎壓偵測系統中使用的射頻（Radio Frequency）。值得注意的是許多的電子控制器會透過有線或是無線網路取得各感測器的資料，處理之後會依這些資料來調整車輛的行為（例如巡航定速會依方向盤附近按鈕的信號來改變車輛的速度。

目前有發展了許多便宜的無線通訊技術，例如藍牙、LTE、Wi-Fi、射頻識別，車廠以及供應商也設計了電子控制器來提昇駕駛及乘客的體驗。安全相關系統，像是通用汽車的OnStar^[2]及車載資訊系統單元，可以在Bluetooth、Android Auto^[3]或CarPlay^[4]，透過智慧手機，或是車上的喇叭和人溝通。

威脅模型

汽車網路的威脅模型是以實體世界的攻擊，以及在理論上可行的攻擊為基礎。大部份現實世界的攻擊都是針對在車內或是車輛附近的人，方式是修改車輛網宇實體的能力（例如在駕駛者不需動作的情形下，將車輛轉向、加速或是煞車^[5][6]），而有關理論上的攻擊，已有人提出是針對隱私相關的目的，例如獲得車輛全球定位系統的資料，截取手機資料等^[7]。

有關車輛的攻擊表面，可以分為長程、短程或是區域性的攻擊表面^[8]，其中長期演進技術和專用短程通信是長程的，而Bluetooth和Wi-Fi都還是無線，因此視為是短程的。USB、車上診斷系統以及其他需要和車輛實體接觸的攻擊稱為是區域的。可以在長程表面發動攻擊的攻擊者比需實體接觸的攻擊者要來的強大，也更加危險。2015年時Miller和Valasek已證實了攻擊市售車輛的可能性，其方式是透過無線通訊遠端連接1974年款吉普切諾基汽車，以便刻意的干擾其駕駛^[9][10]。

CAN攻擊

車輛內最常用的網路是控制器區域網路（Controller Area Network，CAN），由於其實時、簡單和低價的特性，是主要用在安全相關通訊的網路。因此實體世界主要對ECU的攻擊都是透過這種網路^{[5][6][9][10]}。

不論在實際汽車上，或是在試驗檯（英語：testbed）上的攻擊，主要可分為以下的幾種：

網路監聽

電腦安全領域中的網路監聽（Sniffing）是指可能攔截和記錄網路上的封包，甚至是更廣泛的資料。以控制器區域網路來說，因為是匯流排拓撲，每一個節點都可以接收到網路上的所有資訊。 對攻擊者而言，在進行真正的攻擊之前，可以監聽網路上的通訊，學習其他節點的行為，這對攻擊很有幫助。一般而言，攻擊者的最終目的不單單只是監聽CAN上的資料而已，因為單單讀取這類的資料，意義其實不大^[8]。

阻斷服務攻擊

資訊安全中的阻斷服務攻擊（DoS attack）是指攻擊的目的是讓機器或是網路無法使用。若是針對CAN上ECU的阻斷服務攻擊，可以針對網路，方式是濫用CAN的位元仲裁協定，讓特定訊息持續的在位元仲裁中勝利，因此可以持續發送訊息，也可以針對單一的ECU，方式是濫用CAN的錯誤處理協定^[11]。第二例中攻擊者會針對特定ECU的訊息設定錯誤旗標，讓該ECU認為自身的訊息有誤，最後因為錯誤處理機制而自行離線^[11]。

欺騙

欺騙攻擊（Spoofing attack）是攻擊者透過偽造資料，假裝是網路上另一台機器送出訊息的攻擊。在汽車網路安全中，欺騙攻擊可以分為偽裝攻擊（Masquerade attacks）和重放攻擊（Replay attacks）。重放攻擊是攻擊者偽裝是受害節點，送出上一次認證中受害節點送出的資料。偽裝攻擊則相反，資料酬載是由攻擊者產生，不是之前送過的資料^[12]

篡改

篡改攻擊（tempering attack）是指修改網路上的資料。CAN網路上若有幾個設備同時送出顯性位元和隱性位元，網路上的設備會收到顯性位元，因此可以做為網路攻擊的方式。

現實生活中的汽車威脅案例

網路安全研究者Charlie Miller和Chris Valasek曾經成功的展示遠端控制吉普切諾基上的許多元件，例如收音機、空調、雨刷，甚至特定的引擎及煞車功能^[10]。

駭入此系統的方式是是用植入到控制器區域網路（CAN）上，事先程式化的晶片。將此晶片插入CAN網路上，晶片可以在CAN網路上送出任意訊息。Miller指出的另一點是CAN網路的危險性，因為會廣播信號，網路上的攻擊者也可以截取到平常通訊時的資料。

對車輛的控制都是遠端進行的，不需要實體接觸就可以控制系統。Miller指出他可以控制美國國內的140萬輛車，不分距離或是地區，只需要車主將車啟動，即可控制^[13]。

安全措施

車用設備和網路越來越複雜， 因此需要應用安全措施以限制潛在攻擊者的能力。自從2000年初開始，就已提出了許多的對策，其中也應用了一些。以下是最常用的安全措施^[8]：

• 子網（Sub-networks）：將汽車中的網路分為多個小的網路，最關鍵的ECU不要和可以遠端存取的設備放在同一個子網中，就算有攻擊者想要透過遠端存取的ECU控制網路，也可以限制其能力只在某一子網中^[8]。
• 網閘（Gateway）: 子網用安全網閘或是防火牆隔開，可以阻隔一些非原先預期傳送的訊息^[8]
• 入侵檢測系統（Intrusion Detection Systems，IDS）：在每個關鍵子網中，有一個ECU的功用是讀取子網上的所有資料，在給定規則的情形下，識別出有害（可能是攻擊者送出）的訊息^[14]。IDS可以提醒車主CAN網路上有異常的訊息^[15]。
• 認證協定（英語：Authentication protocol），為了在一些還沒有認證機制的網路（例如CAN網路）上實現認證功能，可以在OSI模型的較高層規劃認證協定，用訊息酬載中的一部份來進行訊息本身的認證^[12]。
• 硬體安全模組（Hardware Security Module）：因為大部份的ECU都無法在進行ECU和網路通訊加解密的過程中，仍滿足實時延遲的要求，因此可以增加一個硬體安全模組（hardware security module）處理一些安全相關的機能^[7]。

立法

聯合國歐洲經濟委員會（UNECE）的世界車輛法規協調論壇（WP.29）在2020年6月發佈二個新的規範R 155和R 156，針對汽車網路安全以及軟體更新訂定「對於汽車製造商，明確的性能以及審計要求」^[16]。

相關條目

• 汽車安全（Automotive safety）：和汽車相關，人身安全的議題。
• 車輛入侵（Automotive hacking）
• EVITA