透過車載通訊行為探討電動商用車之車用資安 應用研究

前言

隨著車輛電動化、智慧化與聯網化的發展，現代車輛已逐漸由傳統封閉式機械系統，轉變為高度整合的資通訊與數位控制平台。車輛內部包含大量電子控制單元（Electronic Control Units，ECUs），並透過車載網路、對外通訊模組、雲端平台與營運系統進行資料交換，使車輛具備感測、運算、通訊與控制能力。

在此趨勢下，車用資安已不再只是資訊系統保護議題，而是直接影響車輛安全性、可靠度與公共運輸穩定性的關鍵因素。特別是電動商用車與電動巴士，通常具有車隊化營運、長時間服役、多供應商整合與遠端管理等特性，當車輛通訊行為出現異常時，其影響可能不僅限於單一車輛，而可能擴大為營運端的系統性風險。

目前車載網路中最常見的通訊協定之一為控制器區域網路（Controller Area Network，CAN）。CAN 具備即時性高、成本低與抗干擾能力佳等優點，因此長期被廣泛應用於車輛控制系統。然而，CAN 在設計初期主要以可靠傳輸與即時控制為目標，並未充分考量今日聯網車輛所面臨的資安威脅。因此，其通訊架構普遍缺乏來源驗證、訊息加密與完整性保護機制，容易受到訊息注入、重送與洪泛等攻擊影響。

過去車輛多被視為相對封閉的控制系統，外部攻擊面有限。但隨著遠端診斷、車隊管理、OTA（Over-The-Air）更新、智慧座艙與雲端服務逐漸普及，車輛的通訊邊界已被重新定義。外部系統與車內控制網路之間的連結更為密切，也使原本封閉的控制環境暴露於更複雜的資安風險之中。

車載通訊系統與資安現況

車載網路承擔車輛內部各控制單元之間的訊息交換任務，包含動力系統、煞車系統、轉向系統、電池管理系統、空調系統與車身控制模組等。這些控制單元透過固定識別碼與週期性訊息進行協同運作，因此正常車輛在穩定運行時，其通訊行為通常具有一定的週期性、來源分布與訊息頻率特徵。

然而，當車載網路遭受攻擊或異常模組介入時，這些通訊行為特徵可能產生偏移。例如，攻擊者可能以高頻率重複發送特定識別碼，使該識別碼在短時間內主導通訊匯流排；也可能大量產生不同識別碼，使原本穩定的來源結構出現異常分散。若僅觀察總體通訊量，可能無法有效判斷異常類型，甚至可能誤將不同攻擊行為視為相同負載變化。

一、CAN 通訊之資安弱點

CAN 匯流排採用廣播式通訊架構，網路上所有節點皆可接收匯流排上的訊息。此特性有利於即時控制與系統整合，但也使訊息來源難以被直接驗證。當任一節點遭入侵或被新增惡意裝置時，攻擊者即可向匯流排發送具有合法格式的訊息，其他控制單元可能難以辨識其真偽。

此外，CAN 訊息通常以明文形式傳輸，缺乏內建加密機制與身份認證機制。攻擊者若能接觸車載網路，即可能監聽通訊內容，分析識別碼與訊息週期，再進一步發動訊息注入（Injection）、重送（Replay）或洪泛（Flooding）攻擊。這些攻擊可能影響車輛控制命令、干擾正常訊息傳輸，或造成關鍵控制單元接收異常資料。

對電動商用車而言，此問題更具挑戰性。由於整車通常由多個供應商模組整合而成，各模組可能具備不同通訊規格、更新能力與資安防護水準。當車輛投入營運後，系統會長期處於固定任務與高使用率狀態，若缺乏持續監測機制，資安風險可能隨時間累積，並在特定條件下轉化為營運安全事件。

二、既有偵測方法之限制

目前車用資安研究中，入侵偵測系統（Intrusion Detection System，IDS）是常見的防護方法之一。相關研究多透過深度學習、機器學習、ECU 指紋辨識或時間序列分析，判斷車載網路是否出現異常行為。這些方法可提升已知攻擊或特定異常模式的辨識能力，但在實務導入時仍存在限制。

部分方法依賴訊息內容解析，需掌握識別碼與訊號欄位的實際意義。然而，在多供應商車輛架構中，整車廠或營運單位未必能完整取得所有模組的通訊規格。若缺乏 DBC 檔案或訊號定義，系統便難以直接判斷訊息內容是否合理。

另一些方法則仰賴已知攻擊特徵或已標註資料進行模型訓練，但實際營運場域中的攻擊型態可能持續變化。若偵測模型過度依賴既有樣本，面對未知攻擊、異常模組或系統更新後的新通訊行為時，可能出現偵測不足或誤報問題。

因此，本研究從車載通訊行為本身出發，提出以通訊來源結構作為觀測重點。此方法不需解析訊息內容，也不需預先定義每一個 ECU 的內部功能，而是透過識別碼分布、主導訊息占比與通訊頻率變化，建立整車層級的異常偵測視角。

我國電動商用車面臨之資安挑戰

我國電動商用車產業在發展過程中，常見多供應商協作與系統整合模式。整車平台可能同時包含底盤、電池、馬達、電控、車載資通訊設備、車隊管理系統與營運服務平台。此種模式有助於加速產業分工與產品開發，但也使資安責任界定與整車層級風險管理變得更加困難。

一、整車整合與責任界定困難

在多供應商架構下，各供應商通常僅對自身模組負責，並依照既定介面與整車系統連接。然而，資安風險往往不是單一模組獨立造成，而是來自不同模組之間的通訊互動、控制邏輯耦合與系統邊界變化。當異常發生時，若缺乏整車層級的監測資料，便難以判斷問題源自單一 ECU、通訊匯流排、外接設備，或上層營運系統。

此外，部分整車廠或營運端對資安投入仍以事後補救為主，較少在設計階段即建立完整的風險管理與持續監測機制。當車輛投入營運後，若發生資安事件，可能面臨責任歸屬不明、問題重現困難與修補時程冗長等挑戰。

二、下控封閉與上控外掛之結構性風險

電動商用車系統可概略分為下控系統與上控系統。下控系統涉及動力、煞車、轉向、底盤控制與車輛安全等功能，通常採取較封閉的設計，以確保控制穩定性與法規符合性。上控系統則偏向資訊服務、車隊管理、聯網通訊與應用功能導入，具有較高開放性與擴充性。

此種「下控封閉、上控開放」的結構，使車輛在導入新功能時可能產生潛在風險。上控系統新增模組或服務後，可能改變車載網路的通訊節奏、訊息頻率與識別碼分布。即使下控系統本身未被修改，其原有設計假設仍可能因外部通訊環境改變而受到影響。

由於下控系統通訊行為較不透明，且更新與修補程序通常較為謹慎，一旦異常行為與上控系統交互作用後產生影響，營運端未必能即時辨識問題來源。因此，透過整車通訊行為監測建立基準線，有助於間接觀察封閉系統所處的運作環境是否發生異常變化。

三、規模化營運與長生命週期

電動巴士與商用車通常採車隊化營運，具有固定路線、高使用率與集中管理等特性。當資安風險出現在相同車型、相同供應鏈或相同車隊管理系統中，單一事件可能同步影響多輛車，進而造成公共運輸服務中斷或營運安全風險。

另一方面，商用車使用年限普遍達10年以上，而資安威脅與攻擊技術的演進速度遠快於車輛生命週期。車輛在服役期間可能歷經多次系統升級、通訊模組替換、營運平台變更與外部服務介接。若缺乏低侵入性且可長期運作的監測方法，營運端將難以及時掌握資安風險的累積情形。

因此，車載通訊行為分析可作為電動商用車資安治理的重要基礎。透過持續觀測識別碼分布、訊息速率、主導識別碼占比與熵值變化，可在不深入介入控制邏輯的情況下，建立整車層級的風險觀測能力，並協助營運端將難以察覺的異常轉化為可量化、可追蹤的指標。

DOI:10.30256/JIM.202607_(520).0013