隨著汽車向半自動駕駛過渡，汽車OEM越來越關注汽車網路安全問題。系統把關汽車網路安全，主要目的就是確保除了駕駛，或在特定和約束條件下替代駕駛的駕駛系統，除此之外之沒有人可以控制車輛。

2021年，聯合國歐洲經濟委員會(UNECE)工作組發布了UN-R155，汽車OEM的網路安全法規，旨在應對不斷加劇的網路威脅。自2022年7月起，該法規對UNECE成員國生產的新車型的審核具有約束力。這意謂著汽車供應商必須遵守ISO 21434，以確保其所有網路安全相關元件均符合該標準。採購符合網路安全標準的零件並不能保證OEM符合UNECE標準。然而，這是朝著這個方向邁出的重要一步，使OEM在實現資安目標的過程中處於更有利的地位。本文從先進駕駛輔助系統(ADAS)和車內監控應用中使用的影像感測器，來探討網路安全問題。

確保影像感測器的安全

在汽車中，有些位置必須執行網路安全管理，包括汽車的網關、聯網、資訊娛樂系統，或是透過網路連線的任何其他子系統。影像感測器需要網路安全，因為影像感測到的資訊，攸關ADAS的運作。

隨著目前市場對安全和駕駛輔助的重視，影像感測器就是車輛的眼睛。影像感測器用於多種ADAS功能，例如車道偏離警告、行人檢測和自動緊急剎車(AEB)。感測器會評估汽車周圍的環境，並為融合系統輸入資訊，協助系統做出決策。

未來，感測器將協助識別和驗證汽車用戶的身分，並監控用戶的生理狀態。如果駕駛喪失行為能力，車載電腦將能夠接管汽車的控制權。在這些情況下，汽車影像感測器必須具有出色的性能，包含高動態範圍、低照度能力、色調辨識力等，並維持正常工作，特別是在車輛可能遇到的最極端情況下。

由於汽車的安全將越來越依賴影像感測器，因此汽車的中央處理器，需要採用經過授權的正牌零件才能互相連線。而且，還必須確保傳輸的任何一幀影像都沒有被篡改，並且所有影像都來自於正牌影像感測器。此外，影像感測器只能接受來自汽車系統更改配置的指令，而不能接受其他來源的配置更改要求。以圖1為例，若是汽車採用受第三方篡改的冒牌影像感測器，行人距離的感測，或者其他與行車安全相關的感測能力可能改變，大幅影響安全。

 

圖1　用冒牌產品代替正牌影像感測器，可能縮短物體感測距離，影響行車安全

車用感測器常見的三大網路安全威脅，包含影像感測器被冒牌元件取代、影像感測器設定遭到修改，以及系統的決策繞過影像感測器。

影像感測器被冒牌元件替換

AEB系統依賴擋風玻璃後方的影像感測器，來檢測汽車前方的物體或行人。如果駕駛沒有及時做出反應，該系統可以決定執行剎車，以防止發生碰撞。AEB系統的運作前提是，影像感測器具有特定的特性，例如如高動態範圍、低照度性能等，並且系統已經根據上述規格進行校正。

如果用非正牌或冒牌元件，替換原廠影像感測器，可能會損害系統性能。雖然替換元件可能看起來與原廠元件完全相同，但其性能和特性可能會大相逕庭。由於AEB系統針對原廠影像感測器進行最佳化，因此替換元件的不同特性將改變系統的性能。這意謂著系統可能在距離幾公尺遠時，才能檢測到汽車前方的物體或行人，使系統沒有時間做出適當反應，導致駕駛撞到行人等嚴重的安全問題。如果汽車採用仿冒元件代替正牌影像感測器，就好比讓視力不好的司機不戴眼鏡開車，難以清楚感知周遭環境的資訊。

影像感測器設定遭竄改

車輛系統經過校正和編程，可對影像感測器進行最佳化配置，能夠盡其所能真實地呈現車前的景象。但是，如果有人或物修改了影像感測器的配置，其性能就會受到影響，以致於可能不再能保證汽車系統，能夠正確、完整地感測汽車行駛過程中遇到的場景，這就相當於向人類駕駛的眼睛裡投擲灰塵。

圖2　篡改影像感測器，影像將出現過亮等問題

影像感測器被繞過

影像感測器向影像處理器提供原始動態影像數據，然後影像處理器使用這些數據，提取有關前方障礙物的關鍵資訊，以便汽車系統做出適當的決策。例如， 影像處理器可以檢測到正在接近的車輛，然後從安全第一的角度，來決定汽車是煞車還是駛離危險區域。但是，如果有未經官方授權的駭客，試圖透過修改或繞過影像感測器來篡改系統，影像處理器就無法再獲得反映真實場景的原始動態影像數據。在這種情況下，系統可能無法再檢測到正在接近的物體。相反，影像處理元件可能只能持續接收到沒有障礙物的道路暢通影像，駕駛者可能因此沒有察覺道路上的行人、其他車輛等物體，車禍發生。

 

圖3　影像感測器如果被繞過，系統可能忽略需要避開的障礙物

選用符合資安標準的影像感測器

廠商如安森美於2018年開始在影像感測器中加入網路安全功能，因此，該廠商的影像感測器已經為網路安全做好了準備。上述產品其中一個關鍵功能是身分驗證，協助感測器向主機證明它們是正牌元件，過程中需要使用證書鏈和預共享密鑰。另一個重要功能是，影像感測器可以確保動態影像數據的完整性，證明感測器和系統之間的動態影像數據流沒有被篡改。這種完整性是透過訊息鑑別碼(MAC)提供的。此外，透過特定密鑰寄存器在嵌入式數據動態影像線路上使用MAC，可防止感測器控制和配置數據被篡改。

網路安全元件是實現汽車資安的第一步

網路安全合規性是汽車影像感測器的必備條件，以防止影像感測器成為外界入侵複雜汽車電子系統的特洛伊木馬。對於OEM而言，為了確保網路安全合規性，需要的不僅僅是在影像感測器中增加網路安全控制電路，而且對於ADAS和車廂監控系統實現全面的網路安全合規性至關重要。

(本文作者為安森美產品行銷經理)