核心定位:功能安全有ISO 26262,信息安全有ISO/SAE 21434。本文深度解读汽车信息安全的两大国际标准(ISO/SAE 21434和UN R155/R156)、CSMS网络安全管理体系、SUMS软件升级管理体系,以及售后服务中的信息安全实践,用真实案例说明"为什么2024年7月后在欧盟销售的新车必须通过网络安全型式认证"。
2022年:欧盟的强制令 | 为什么需要信息安全法规
UN R155/R156生效的背景
2022年7月,欧盟开始强制执行两项重要法规:
UN R155:Cyber Security(网络安全)
UN R156:Software Update Management Systems(软件升级管理体系)
强制要求:
- 2022年7月起:所有新车型必须通过UN R155/R156认证
- 2024年7月起:所有新生产车辆(包括老车型)必须符合要求
- 不符合要求的车辆无法在欧盟销售
真实案例:某中国品牌欧洲出口受阻
2023年某月:某中国新能源品牌准备向欧洲出口新车型,车辆已通过碰撞测试、排放测试等传统认证,但在UN R155网络安全审核中被拦下。
审核发现的问题:
- 缺少CSMS体系
- 没有建立完整的网络安全管理流程
- 无法证明持续监控和响应能力
- OTA更新流程不符合R156要求
- OTA更新包未经过完整的安全测试
- 缺少回滚机制
- 用户告知流程不完善
- 威胁分析不充分
- 未对所有ECU进行TARA(威胁分析与风险评估)
- 高风险威胁缺少缓解措施
后果:
- 延迟6个月上市
- 紧急补充CSMS体系建设
- 重新进行型式认证
- 损失约5000万欧元(市场延迟+整改成本)
教训:信息安全合规不是可选项,而是进入欧洲市场的准入门槛。
ISO/SAE 21434:汽车网络安全工程标准
什么是ISO/SAE 21434?
ISO/SAE 21434 = Road vehicles — Cybersecurity engineering(道路车辆——网络安全工程)
- 发布时间:2021年8月
- 制定机构:ISO(国际标准化组织)+ SAE(美国汽车工程师学会)
- 适用对象:整车厂、Tier 1供应商、软件开发商
- 关系:UN R155的技术基础
ISO/SAE 21434的核心内容
标准共分为15个章节,覆盖网络安全全生命周期:
组织层面(Management)
- 组织网络安全管理
- 项目相关网络安全管理
产品开发层面(Product Development)
- 概念阶段:项目定义、威胁场景识别、网络安全目标定义
- 产品开发阶段:网络安全需求、架构设计、实现、验证
- 验证与确认
生产与运营层面(Production & Operations)
- 生产
- 运营与维护
- 报废与退役
支撑流程
- TARA(威胁分析与风险评估)
- 供应链管理
- 漏洞管理
核心方法:TARA(威胁分析与风险评估)
TARA = Threat Analysis and Risk Assessment
TARA是ISO/SAE 21434的核心方法,类似于功能安全的HARA。
TARA的五个步骤
步骤1:资产识别(Asset Identification)
识别需要保护的资产:
- 车辆功能:转向、制动、动力
- 数据:用户隐私数据、车辆数据
- 通信接口:CAN、以太网、OBD
- ECU:网关、域控制器
示例:
资产1:转向系统
- 资产类型:安全关键功能
- 安全属性:
- 可用性(Availability):高
- 完整性(Integrity):高
- 机密性(Confidentiality):低
步骤2:威胁场景识别
使用攻击树(Attack Tree)分析可能的攻击路径:
威胁:远程控制转向系统
├─ 路径1:通过T-Box入侵
│ ├─ 利用4G/5G漏洞
│ ├─ 突破T-Box防火墙
│ └─ 向CAN总线注入恶意报文
├─ 路径2:通过IVI中控入侵
│ ├─ 利用蓝牙/Wi-Fi漏洞
│ ├─ 获取IVI root权限
│ └─ 通过网关进入安全域
└─ 路径3:通过OBD物理接入
├─ 插入恶意OBD设备
└─ 直接向CAN总线发送指令
步骤3:影响分析(Impact Rating)
| 等级 | 严重度 | 描述 | 示例 |
|---|---|---|---|
| Severe | 致命 | 造成严重伤害或死亡 | 远程控制转向/制动 |
| Major | 重大 | 造成中度伤害 | 窃取大量用户数据 |
| Moderate | 中等 | 造成轻微伤害或财产损失 | 车辆无法启动 |
| Negligible | 可忽略 | 无明显影响 | 娱乐系统卡顿 |
步骤4:攻击可行性分析
评估攻击的难易程度,考虑四个维度:
- 攻击时间:≤1天(High)、1天-1周(Medium)、>1周(Low)
- 专业知识:专家级(High)、熟练级(Medium)、新手级(Low)
- 攻击窗口:无限制/远程(High)、有限物理接触(Medium)、需长时间物理接触(Low)
- 设备成本:<1万元(High)、1-10万元(Medium)、>10万元(Low)
攻击可行性等级:得分0-10(Very High)、11-17(High)、18-24(Medium)、>24(Low)
步骤5:风险确定与处理
风险矩阵:影响严重度与攻击可行性交叉形成风险等级
风险处理策略:
- High Risk:必须采取缓解措施,降低到Medium或Low
- Medium Risk:应当采取缓解措施,或进行详细的风险接受评审
- Low Risk:可以不采取缓解措施,但需记录在案
UN R155:网络安全型式认证
什么是UN R155?
UN R155 = UN Regulation No. 155 — Cyber Security
- 发布机构:联合国欧洲经济委员会(UNECE)
- 生效时间:2022年7月(新车型),2024年7月(所有新车)
- 适用地区:欧盟、日本、韩国、澳大利亚等(中国预计2025年实施)
- 核心要求:建立CSMS(网络安全管理体系)
UN R155的核心要求
要求1:建立CSMS体系
CSMS = Cyber Security Management System(网络安全管理体系)
CSMS必须包含以下8个流程:
- 风险评估与管理:对所有车型进行TARA分析,识别并缓解高风险威胁
- 威胁与漏洞监控:持续监控新发现的威胁和漏洞,订阅CVE数据库
- 安全测试:渗透测试、模糊测试、代码审计
- 事件响应:建立CERT团队,制定事件响应流程,与国家CERT对接
- OTA更新管理:参见UN R156要求
- 供应链管理:审核供应商的网络安全能力,在合同中明确要求
- 文档与记录:记录所有威胁、漏洞和缓解措施,保留至少5年
- 持续改进:定期审核CSMS有效性,根据新威胁更新流程
要求2:防护特定威胁
UN R155列出了7大类必须防护的威胁:
- 后端服务器攻击(TSP云平台、OTA服务器)
- 车辆通信攻击(T-Box、V2X)
- 外部接口攻击(OBD、USB、充电接口)
- 无线通信攻击(蓝牙、Wi-Fi、NFC)
- 数据/代码攻击(固件篡改、恶意代码注入)
- 诊断与维修攻击(诊断工具滥用)
- 用户数据泄露(隐私数据保护)
UN R156:软件升级管理
什么是UN R156?
UN R156 = UN Regulation No. 156 — Software Update Management Systems
- 核心目标:确保OTA更新安全可靠
- 适用范围:所有具备OTA功能的车辆
UN R156的核心要求
SUMS体系必须包含:
- 更新包管理:版本控制、依赖关系管理、兼容性检查
- 更新前验证:车辆状态检查(车速=0、档位=P)、电量检查(SOC>30%)、网络连接稳定性
- 更新过程监控:实时监控下载进度、校验完整性(Hash/签名)、防止中断导致系统损坏
- 回滚机制:更新失败自动回滚、A/B分区方案
- 用户告知:更新前告知用户、说明更新内容和风险、获得用户同意
A/B分区方案
原理:在Flash中预留两个分区,轮流使用
初始状态:
分区A:固件v1.0(活动) ← 系统运行中
分区B:空闲
OTA更新v2.0:
分区A:固件v1.0(活动) ← 系统仍运行v1.0
分区B:固件v2.0(写入中) ← 后台写入v2.0
写入完成,重启:
分区A:固件v1.0(备份)
分区B:固件v2.0(活动) ← 切换到v2.0
如果v2.0有问题,回滚:
分区A:固件v1.0(活动) ← 切换回v1.0
分区B:固件v2.0(失败)
优点:更新失败不会导致系统无法启动、回滚速度快、用户几乎无感知
售后服务中的信息安全实践
实践1:诊断工具的安全管理
解决方案
1. 诊断工具认证
诊断工具连接ECU时:
1. 工具发送证书
2. ECU验证证书(是否由OEM签发、是否过期、是否被撤销)
3. 验证通过,建立安全通道
4. 工具根据证书权限执行操作
2. 分级权限管理
| 级别 | 权限 | 适用人员 |
|---|---|---|
| 诊断级别 | 读取故障码、清除故障码 | 所有维修技师 |
| 维修级别 | 读写参数、执行标定 | 认证技师 |
| 工程级别 | 刷写固件、修改VIN | 工程师(需双人审批) |
3. 操作审计日志
所有诊断操作记录在案:时间戳、工具ID、操作人、车辆VIN、操作内容、结果、审批人。日志上传到云端,不可篡改。
实践2:固件更新的安全流程
安全刷写流程:
- 维修技师登录官方诊断平台(双因素认证)
- 选择车辆和目标ECU(输入VIN码,平台自动匹配适用固件)
- 下载加密固件包(固件包包含数字签名)
- 诊断工具连接车辆(建立安全通道、验证工具证书)
- 刷写前检查(车辆状态、固件版本兼容性)
- ECU验证固件签名(签名无效→拒绝刷写)
- 刷写固件(显示进度、支持中断恢复)
- 刷写后验证(ECU自检、功能测试)
- 记录日志并上传(操作人、时间、结果)
实践3:用户隐私数据保护
维修场景中的隐私数据
维修过程中,技师可能接触到:
- 行驶记录:GPS轨迹、行驶里程
- 驾驶行为:加速、制动、转向习惯
- 车内录音/录像:哨兵模式、行车记录仪
- 通讯录:蓝牙同步的手机联系人
- 导航历史:常去地点
隐私保护措施
1. 最小化原则:诊断时仅读取必要数据
2. 数据脱敏:导出数据前移除VIN码、GPS精确坐标(仅保留城市级别)、用户姓名和联系方式
3. 用户授权:维修开始前获得用户同意,并记录签名
4. 数据留存期限:
- 故障码:保留3年(法规要求)
- 传感器数据:保留30天
- GPS轨迹:维修完成后立即删除
- 音视频:不得留存
大家不知道的隐藏知识
1. 为什么特斯拉在中国建立独立数据中心?
背景:2021年4月,特斯拉在中国建立本地数据中心,承诺中国用户数据不出境。
原因:
- 法律要求:《数据安全法》(2021年9月生效)、《个人信息保护法》(2021年11月生效)要求关键数据本地存储
- 政府审查:涉及国家安全的地理位置数据必须接受政府监管
- 市场信任:消除用户对数据泄露的担忧,提升品牌形象
2. 为什么OTA不能在行驶中进行?
技术原因:
- 更新失败可能导致ECU重启,关键系统不可用
- 刷写Flash需要暂停应用程序,实时功能无法运行
- 行驶中电压可能波动,可能导致刷写失败
法规要求:UN R156明确要求车速必须为0、档位必须在P档、电池电量>30%
3. 为什么整车厂要审核供应商的网络安全能力?
2020年某Tier 1供应商事件:某全球知名Tier 1的开发环境被黑客入侵,黑客植入后门代码到ECU固件,影响多个整车厂的数百万辆车,需要全球召回更新固件。
教训:供应链是最薄弱环节,一个供应商的漏洞可能影响整个行业。ISO/SAE 21434强制要求供应链管理。
审核内容:开发环境安全(代码仓库、CI/CD)、人员安全意识培训、漏洞管理流程、事件响应能力
关键要点总结
✅ 强制合规:2024年7月起,所有在欧盟销售的新车必须通过UN R155/R156认证
✅ ISO/SAE 21434:汽车网络安全的技术标准,TARA是核心方法
✅ CSMS体系:持续的网络安全管理,不是一次性认证
✅ TARA五步法:资产识别→威胁场景→影响分析→攻击可行性→风险处理
✅ UN R156:OTA更新必须安全可靠,支持回滚,获得用户同意
✅ A/B分区:确保OTA失败不会导致车辆变砖
✅ 售后安全:诊断工具认证、固件签名验证、隐私数据保护
✅ 供应链管理:供应商的安全漏洞可能影响整车
作业:
- 为你公司的一款车型做TARA分析,识别至少5个威胁场景
- 设计一套诊断工具分级权限方案
- 研究:中国的《汽车数据安全管理若干规定(试行)》与UN R155有何异同?