1、车载安全概述:汽车电子电气架构演进、车载信息安全威胁分析、法规标准(ISO 21434、UN R155)解读

大家好,我是这次课程的主讲。咱们直接进入正题。做车载安全这些年,我最大的感触就是:安全不是功能,而是底线。今天这第一讲,咱们先把地基打牢。

1.1 汽车电子电气架构的演进:从分布式到集中式

先聊聊架构。十年前的车,你拆开看,满车都是 ECU(电子控制单元)。一个功能一个盒子,比如车窗控制器、门锁控制器、雨刮控制器……每个盒子只管自己那点事。这叫分布式架构

但问题来了。线束越来越重,成本越来越高,而且想升级个功能?得刷好几个 ECU,麻烦得很。我记得有一次,为了给某款车加个 OTA 远程升级功能,光协调各个 ECU 的供应商就花了三个月。嗯,那滋味不好受。

后来行业开始往域集中式架构走。把功能相近的 ECU 合并到一个域控制器里。比如智能座舱域、自动驾驶域、车身控制域。这样一来,线束少了,算力集中了,升级也方便了。

现在最前沿的,是中央计算平台 + 区域控制器(Zonal)。说白了,就是一台超级电脑管全车,几个区域网关负责收数据、传指令。这种架构下,软件定义汽车才真正成为可能。

核心变化:

  • 从「功能盒子」变成「算力平台」
  • 从「硬线连接」变成「网络通信」
  • 从「静态功能」变成「可 OTA 升级」

你想想看,架构越集中,攻击面其实也越集中。以前黑客要黑一辆车,得找十几个 ECU 的漏洞。现在?攻破一个中央网关,全车就沦陷了。这就是为什么安全越来越重要。

1.2 车载信息安全威胁分析:黑客到底在打什么主意?

我经常被问到:车真的有人黑吗?我的回答是:不是有没有人黑的问题,而是能不能黑得动的问题。

咱们把威胁分分类,这样好理解。

威胁类型 攻击目标 真实案例(我经历的或行业内的)
远程攻击 T-Box、IVI、网关 通过 4G/5G 或 Wi-Fi 远程入侵,控制车辆核心功能
近场攻击 蓝牙、NFC、UWB 破解数字钥匙,无钥匙进入/启动被绕过
物理攻击 OBD-II、调试接口 通过 OBD 口刷写恶意固件,直接控制 CAN 总线
供应链攻击 第三方 SDK、固件 供应商代码里留后门,整车厂浑然不知

这里我要特别提一下供应链攻击。我曾经在一个项目里,发现某个 Tier 1 提供的蓝牙协议栈里,有个未公开的调试接口。嗯,你没听错,出厂就带着后门。那件事之后,我养成了一个习惯:所有第三方代码,必须做安全审计

避坑指南: 我曾经见过一个团队,为了赶项目进度,直接用了供应商提供的「完整」固件包,连签名验证都没开。结果呢?量产前一周,安全测试发现可以通过 UDS 诊断服务直接刷写任意固件。那周,整个团队都在加班补漏洞。

还有一个容易被忽视的点:车内通信。传统 CAN 总线没有加密,也没有认证。你想想看,只要攻破一个节点,就能在总线上发任意报文。刹车、转向、油门……都能被控制。这就是为什么现在都在推 CAN-FD 和车载以太网,并且要求做 MACsec 或 IPsec 加密。

1.3 法规标准解读:ISO 21434 和 UN R155

好,聊完威胁,咱们看看法规。说白了,以前做安全是「良心活」,现在做安全是「强制活」。

1.3.1 UN R155:合规的入场券

UN R155 是联合国欧洲经济委员会(UNECE)发布的法规。它要求:所有新车型,必须建立并运行 CSMS(网络安全管理体系),才能获得型式认证。

什么意思呢?就是你不能光说「我做了安全」,你得证明你有一套流程,从设计、开发、生产到售后,每个环节都考虑了安全。

我个人习惯把 R155 的要求总结成三点:

  • 流程合规:必须有 CSMS 体系,并且通过审核
  • 风险评估:对每个功能做 TARA(威胁分析与风险评估)
  • 持续监控:车辆上市后,要持续监控安全事件,及时响应

我建议做项目的朋友,先把 R155 的附件 5 和附件 6 打印出来贴在墙上。那是具体的审核清单,一条一条对着做,基本不会跑偏。

1.3.2 ISO 21434:落地的操作手册

如果说 R155 是「考纲」,那 ISO 21434 就是「教材」。它把 R155 的要求,细化成了具体的技术和管理要求。

ISO 21434 的核心是基于风险的安全工程。说白了,就是先评估风险有多高,再决定花多少钱、用多强的技术去防护。

ISO 21434 的关键活动:

  1. TARA(威胁分析与风险评估):识别资产、分析威胁、评估风险等级
  2. 安全目标定义:根据风险等级,定义必须达到的安全目标
  3. 安全概念设计:包括功能安全概念和技术安全概念
  4. 安全验证与确认:测试、渗透、审计,证明安全措施有效

这里我要说一个我踩过的坑。有一次做 TARA,团队把风险等级评估得太低,觉得「这个攻击路径太复杂,黑客不会用」。结果呢?上市三个月,就被安全研究人员用那条路径攻破了。嗯,从那以后,我评估风险时,永远假设攻击者比我聪明

1.3.3 两者的关系

简单总结:

  • UN R155 是法规,必须遵守,否则拿不到销售许可
  • ISO 21434 是标准,建议采用,是满足 R155 的最佳实践

你想想看,没有 ISO 21434 的指导,你很难系统性地满足 R155 的要求。反过来,只做 ISO 21434 但不满足 R155 的审核要求,那也白搭。所以,两者缺一不可

我的建议: 如果你的团队刚开始做车载安全,先别急着上高大上的技术。先把 ISO 21434 的 TARA 流程跑通,把 R155 的 CSMS 文档体系建起来。流程对了,技术才有用武之地。

好了,这一章的内容就到这里。咱们把架构演进、威胁分析和法规标准都过了一遍。下一章,我会深入讲讲可信启动的具体实现,包括硬件信任根、安全启动链和代码签名验证。到时候见。