2. 车规安全标准:ISO 21434概述、EVITA 项目、SHE 规范、HSM 安全等级划分

好,咱们进入第二个章节。说实话,搞车规安全这几年,我最大的感触就是:标准太多了。刚入行那会儿,看着一堆缩写——ISO、EVITA、SHE、HSM——头都大了。但干久了你会发现,这些标准其实是一脉相承的,各有各的定位。

今天我就带你把它们捋清楚。咱们不讲虚的,直接说人话。

2.1 ISO 21434:道路车辆网络安全工程

先聊ISO 21434。这个标准是2021年发布的,全称叫“Road vehicles — Cybersecurity engineering”。说白了,它就是告诉你:做车联网安全,应该怎么管、怎么设计、怎么验证。

我个人习惯把它理解成“安全开发的流程框架”。它不是教你怎么写代码,而是教你怎么建立一套安全开发体系。

核心要点:

  • 覆盖全生命周期:从概念、开发、生产、运维到报废,每个阶段都有安全要求。
  • 威胁分析与风险评估(TARA):这是ISO 21434的灵魂。你得先搞清楚:我的系统可能被谁攻击?攻击会造成什么后果?风险有多大?
  • 安全目标与安全需求:TARA做完,你得定出安全目标,再拆成具体的安全需求。
  • 验证与确认:光设计不行,你得证明你的设计真的安全。

我记得第一次带团队做ISO 21434认证时,最头疼的就是TARA。为什么呢?因为这东西太主观了。同一个漏洞,不同的人评估出来的风险等级可能差很多。后来我们摸索出一套经验:一定要把攻击路径画清楚,把资产价值量化。不然评审会上全是扯皮。

我的建议:别把ISO 21434当成束缚。它其实是帮你省钱的。为什么?因为早期发现问题,改起来成本最低。等车量产了再召回,那代价就大了去了。

2.2 EVITA 项目:为汽车安全硬件奠基

EVITA,全称是“E-safety Vehicle Intrusion Protected Applications”。这是个欧盟项目,2008年启动的。虽然项目结束了,但它留下的东西至今还在用。

EVITA主要干了三件事:

  • 定义了车载网络的攻击模型:谁可能攻击你?攻击者有什么能力?攻击目标是什么?
  • 提出了硬件安全模块(HSM)的架构:这是HSM概念的早期雏形。
  • 划分了安全等级:从低到高,分了好几个级别。

你想想看,十几年前大家还在争论“车联网到底安不安全”,EVITA就已经开始研究“怎么用硬件来保护车联网”了。这个前瞻性,我是服气的。

我在项目中遇到过一个问题:客户说“我们要做EVITA级别的安全”。但EVITA本身并没有给出具体的实现方案。它更像是一份需求文档,告诉你“应该做到什么程度”,至于“怎么做”,那是HSM和SHE的事。

2.3 SHE 规范:安全硬件扩展的“最小公约数”

SHE,全称是“Secure Hardware Extension”。它是由AUTOSAR(汽车开放系统架构)定义的。说白了,SHE就是一套硬件安全接口的标准化规范

为什么要搞SHE?因为不同芯片厂商的HSM实现方式不一样。你用一个厂家的芯片,写一套安全代码;换个厂家,代码全得重写。这谁受得了?

SHE规范定义了:

  • 安全服务接口:比如密钥存储、加密运算、随机数生成等。
  • 安全状态机:HSM的启动、初始化、运行、休眠等状态。
  • 密钥管理机制:密钥怎么存、怎么用、怎么销毁。

SHE 的核心思想:把安全功能做成“黑盒子”。上层软件只管调用接口,不用关心底层硬件怎么实现。这样,换芯片就像换灯泡一样简单。

嗯,这里要注意:SHE规范只定义了功能接口,没规定性能指标。所以同样是SHE兼容的HSM,有的能跑100Mbps的加密吞吐,有的只能跑10Mbps。选型时一定要看清楚。

2.4 HSM 安全等级划分:从“能用”到“攻不破”

好,终于到重点了。HSM的安全等级,目前业界主要参考EVITA和SHE的分级方式。我把它整理成了一张表,你一看就明白。

安全等级 描述 典型应用 我的评价
Level 0 无安全保护 传统ECU,无联网功能 现在基本见不到了
Level 1 软件安全保护 简单的固件加密、校验 防君子不防小人
Level 2 硬件安全模块(基础) 密钥存储、对称加密 大多数车规芯片的标配
Level 3 硬件安全模块(增强) 非对称加密、安全启动、安全调试 高端车型、自动驾驶域控
Level 4 硬件安全模块(最高) 物理防篡改、侧信道防护、真随机数 军用级、金融级安全

从这张表你能看出来:等级越高,硬件成本越高,性能开销也越大。所以选等级时,别盲目追求最高。够用就行。

避坑指南:我曾经在一个项目里选了Level 3的HSM,结果发现芯片的加密引擎太慢,导致CAN通信延迟超标。后来不得不降级到Level 2,用软件分担一部分加密任务。所以,选等级之前,一定要先做性能预算

另外,SHE规范里也定义了安全等级。它把HSM分成了BasicMediumFull三个级别。跟EVITA的Level 2、3、4基本对应。但SHE更强调接口的标准化,而EVITA更强调攻击防护能力。

2.5 这些标准之间的关系

最后,我用自己的理解帮你串一下:

  • ISO 21434:告诉你“要做什么”。它是流程标准。
  • EVITA:告诉你“要做到什么程度”。它是需求标准。
  • SHE:告诉你“怎么做才统一”。它是接口标准。
  • HSM等级:告诉你“用什么工具做”。它是实现标准。

打个比方:你要盖一栋安全的房子。

  • ISO 21434是施工规范:先打地基、再砌墙、最后装门窗。
  • EVITA是抗震等级:你要能抗7级地震还是8级?
  • SHE是门窗尺寸标准:门宽90cm,窗高150cm,全国统一。
  • HSM等级是材料:你是用砖混结构,还是钢筋混凝土,还是钢结构?

你看,这么一理解,是不是清楚多了?

我的经验:实际项目中,我一般先按ISO 21434做TARA,确定安全目标。然后根据目标选EVITA等级。接着按SHE规范选芯片。最后根据芯片的HSM等级,决定哪些安全功能用硬件做,哪些用软件做。这个顺序,基本不会出错。

好了,第二章就到这里。下一章咱们会深入HSM的硬件架构,看看它里面到底长什么样。到时候我会拿一个真实的芯片案例来讲,保证你听得过瘾。