ISO/SAE 21434 — 汽车网络安全深度

功能安全L2别名 ISO 21434 · ISO/SAE 21434 · Cybersecurity · 汽车网络安全 · TARA · CAL · CSMS · SecOC · Secure Boot · HSM · UN R155 · UN R156 · GB 44495 · GB 44496

本质与导读

本质 ISO/SAE 21434 与 ISO 26262 双轨:26262 防器件失效与设计 bug,21434 防主动攻击者,贯穿 E/E 全生命周期。它是事实上的 UN R155 CSMS 合规工程证据(关系类似 ISO 9001 之于行业准入),法规已硬性落地——欧盟 2024-07 新车强制、中国 GB 44495 2026-01 新车强制。落地核心是 TARA 定级出 CAL 1-4,再以 HSM 作 Root of Trust 支撑 SecOC + Secure Boot + Secure OTA 三件套。

主线坐标:横轨 · 诊断 / 通信(跨站) · ↑ 全景主线

1. ISO/SAE 21434 解决什么问题

ISO 21434 把"恶意攻击者"作为系统设计的一类显式威胁,与 ISO 26262 的"物理熵 + 设计错误"形成对照。

1.1 与 ISO 26262 的边界

下表把两套标准的"对手 / 风险评估 / 输出"3 个维度并排:

维度	ISO 26262(Functional Safety)	ISO/SAE 21434(Cybersecurity)
"对手"	物理熵 + 设计错误(随机硬件失效 / 系统 bug)	恶意攻击者(active adversary)
风险评估	HARA(Hazard Analysis & Risk Assessment)	TARA(Threat Analysis & Risk Assessment)
输出等级	ASIL(QM / A / B / C / D)	CAL(1 / 2 / 3 / 4)
流程骨架	V-model	V-model(沿用 26262)
共同点	都在 concept 阶段定关键风险等级,贯穿 V-cycle 全程,需 safety case

协同方法学:学术界已有 ISO 26262 + 21434 co-analysis 框架,在 concept 阶段把 HARA + TARA 一起做,避免后期 conflict。

1.2 完整 Clause 结构

ISO 21434:2021 共 15 个 clause,核心 work product 聚集在 Clause 5–11:

Clause	内容	Work product
5	Organizational cybersecurity management(policy / 文化 / 审计)	14 req · 5 WP
6	Project-dependent management(项目级责任 / 计划)	—
7	Distributed activities(CIA / SIA 客户-供应商责任分配)	—
8	Continual activities(vulnerability mgmt + 事件响应,至 EoCSS)	—
9	Concept:item definition + TARA + CS 目标	11 req · 7 WP
10	Product development(设计 / 实现 / 集成)	14 req · 8 WP
11	Cybersecurity validation(整车级)	—
12 / 13 / 14	Production / Operation+Maintenance / Decommissioning	—
15	TARA methodology(详细方法附录)	—

1.3 关键术语

5 个术语必须先弄清楚,后续 TARA / CAL / SecOC 讨论都建立在其上:

CSMS(Cybersecurity Management System):organization-level 治理框架,UN R155 强制审计对象;ISO 21434 Clause 5 + 6 是 CSMS 的实现
CAL(Cybersecurity Assurance Level):1–4,数值越大要求越严;concept 阶段由 TARA 决定后冻结,贯穿整个 V-cycle
TARA(Threat Analysis and Risk Assessment):Clause 15 详细方法
Risk Treatment:4 种处理方式 — Avoid / Reduce / Transfer / Retain(accept)
EoCSS(End of Cybersecurity Support):车型生命周期结束日期,Clause 8 持续活动持续到此日

2. UN R155 / R156 + 中国 GB 法规

ISO 21434 是工程标准,真正的强制力来自联合国法规 + 中国国标。

2.1 UN R155 — Cybersecurity 整车型审批

R155 是审计型法规(audit-based regulation):

强制要求:乘用车 / 轻商 / 部分重商必须建立 CSMS 才能获得 type approval
CSMS 必须由独立认证机构审计后取得 CoC(Certificate of Compliance)
ISO/SAE 21434 是事实上"满足 R155 CSMS 要求"的工程证据
审计基础:7 类威胁场景 + 32 类风险 + 70+ 项 mitigation

2.2 UN R156 — Software Update / SUMS

R156 把 software update 从 OEM 内部流程拉到法规约束:

OEM 必须运营 SUMS(Software Update Management System),覆盖 OTA + 经销商更新两条通路
RXSWIN(Regulation X Software Identification Number):每次 OTA 必须维护映射,做版本可追溯
每个 ECU 必须拒绝未签名 / 验证失败的代码 → secure boot + 数字签名是直接对应措施

2.3 全球时间表

下表是 R155/R156 + 中国 GB 的全球时间锚点,2024-07 与 2026-01 是两个最关键节点:

时间	事件
2021-01	UN R155 / R156 正式发布(WP.29)
2022-07	新车型 type approval 必须合规(Phase 1)
2024-07	欧盟全部新生产车必须合规(Phase 2)— 节点性事件
2024-08	中国 GB 44495 + GB 44496 发布
2026-01	中国新车型强制合规
2026-01-28	GB 44495 First Amendment 实施细则强化 anti-replay 物理测试
2028-01	中国在售全车型强制合规
2025–2030	日 / 韩 / UK 跟进;美国走 NHTSA 指南(非强制)

2.4 中国 GB 44495 / GB 44496 本土化

中国对标 R155/R156 但本土化更细:

GB 44495-2024 — Vehicle Cybersecurity,对标 UN R155 + ISO/SAE 21434
GB 44496-2024 — Software Update General Technical Requirements,对标 UN R156
适用对象:M / N / O 三类至少含 1 个 ECU 的车辆
强化项:国密 SM2 / SM3 / SM4 + anti-replay 物理测试
认证机构:CATARC(中汽研)是事实上唯一本土认证机构

3. TARA — Threat Analysis and Risk Assessment

TARA 是 ISO 21434 的灵魂方法学,Clause 15 提供详细方法,Clause 9 concept 阶段必须做。

3.1 五步法

TARA 5 步严格按顺序走,每步输出是下一步的输入:

步骤	名称	输出
1	Asset Identification	资产 + CIA 属性(数据 / 函数 / 接口)
2	Threat Scenario Identification	STRIDE / Attack Tree 列出每个资产的威胁
3	Impact Rating	Safety / Financial / Operational / Privacy 四维
4	Attack Feasibility Rating	CVSS / EVITA / attack potential 三选一
5	Risk Determination	Impact × Feasibility = Risk(1-5)+ Treatment 决定

攻击路径分析(Attack Path…

攻击路径分析(Attack Path Analysis) 是 ISO 21434 15.7 的独立步,夹在威胁场景(step 2)与可行性评级(step 4)之间:把每个威胁场景展开成具体攻击路径(attack tree 的边),feasibility 评的就是这条路径的攻击潜力。本表把它折进 step 2 的 attack tree;严格按标准它是单列一步,路径决定 feasibility、feasibility × impact 决定 risk。Risk Treatment(step 5 决定:规避/降低/转移/保留)的输出 = 网络安全目标(cybersecurity goals),与 HARA 的 safety goal 互喂。

3.2 Impact 四维评分(SFOP)

Impact 不是单维 — 必须从 4 个独立角度评估:

维度	含义	典型示例
Safety	人身伤害	远程刹车失效 / 转向失控
Financial	经济损失	车主被盗 / OEM 召回成本
Operational	功能丧失	信息娱乐瘫痪 / 空调失效
Privacy	数据泄露	GPS 轨迹 / 用户账户

每维 4 级:Negligible / Moderate / Major / Severe。

3.3 Attack Feasibility 三种评估法

3 种主流评估法各有适用场景,业界通用做法是先 STRIDE 列威胁 → Attack tree 展开 → CVSS / EVITA 评分:

CVSS(Common Vulnerability Scoring System):IT 通用,base score 0-10;偏离汽车特性但接受
EVITA attack potential:基于 EVITA EU 项目,5 维评分(Elapsed time / Specialist expertise / Knowledge / Window of opportunity / Equipment);汽车场景最贴合
STRIDE(Spoofing / Tampering / Repudiation / Information disclosure / DoS / Elevation):微软经典,做 threat enumeration 阶段用

3.4 CAL 等级 1-4

CAL 在 concept 阶段由(Impact Rating, Attack Feasibility Rating)组合查表得到,冻结后贯穿整个 V-cycle:

CAL1:低保证,基本审查 → 满足通用安全实践
CAL2:中等,需要结构化设计 + 单元 / 集成测试
CAL3:高,需要形式化方法 / 独立 V&V / 渗透测试
CAL4:极高,完整独立网络安全评估 + HSM CAL4 ITSEF 测试

4. 工程实现三件套

ISO 21434 + R155/R156 的工程落地依赖 SecOC + Secure Boot + Secure OTA 三件套,共同依赖 HSM 作为 Root of Trust。

4.1 SecOC — Secure Onboard Communication

SecOC 防总线注入 / replay 攻击,AUTOSAR Classic R22-11 SWS 标准化:

核心机制:Sender 给 I-PDU 附加 Truncated MAC + Freshness Value,Receiver 校验
MAC:AES-128 CMAC 是默认算法,截断到 64 / 32 bit 适配 CAN 带宽
Freshness Value:单调计数器 / 时间戳,防 replay attack;由 Freshness Manager 模块管理,sender / receiver 同步
集成栈:Application → PduR → SecOC → Crypto Service Manager(CSM)→ Crypto Driver → HSM
实战漏洞:2024 年 I CAN Hack 公开从 2021 Toyota RAV4 Prime Power 提取 SecOC 密钥的攻击,展示 key provisioning 实施缺陷

4.2 Secure Boot

Secure Boot 是 R155 第 7.3.7 条"每个 ECU 必须拒绝未签名 / 验证失败的代码"的直接实现:

Chain of Trust:Stage 0(ROM / fixed key)→ Stage 1(HSM firmware)→ Stage 2(Host BL)→ Stage 3(Application)→ Stage 4(Calibration data)
算法选择:ECDSA P-256 / RSA-2048 用于签名,SHA-256 用于摘要(部分新设计转 Ed25519)
关键认知:Root of Trust 必须不可改写(masked ROM 或 OTP),否则攻击者可以替换 Stage 0 公钥

4.3 Secure OTA — R156 强制

OTA 完整流程必须 6 步闭环:

OEM 后台签名
CDN 分发
车端验证签名
A/B partition 写入
失败回滚
上报 SUMS

关键控制点:RXSWIN 版本号绑定 + 增量(delta)更新 + power-loss safe + 用户 informed consent。2026 起讨论 post-quantum OTA 签名(Dilithium / SPHINCS+ 候选)。

5. HSM — 三家硬件 + 一个软件赢家

HSM 是三件套的物理 Root of Trust,2026 市场格局清晰:Infineon / NXP / Renesas 硬件三足鼎立,ETAS 软件层垄断。

5.1 HSM 硬件三家对比

下表是 2026 主流 HSM 硬件 + 等级:

Vendor	MCU 系列	HSM 名称	架构	等级
Infineon	AURIX TC3xx / TC4xx	HSM(基于 ARM Cortex-M3)	EVITA Full	CAL4 ready + CATARC certified
NXP	S32K3 / S32G	HSE(Hardware Security Engine)	EVITA Full	CAL4 ready
Renesas	RH850 / R-Car	ICUM / ICUS(Intelligent Crypto Unit)	EVITA Full	CAL3+

5.2 EVITA HSM 三档

按资源 + 加密能力 + 用途分:

等级	资源	用途	加密能力
EVITA Light	与 host 共享 CPU/RAM	传感器 / actuator ECU	仅 AES-128 CMAC
EVITA Medium	独立 CPU + RAM	域控 / Gateway	AES-128/256 / SHA-256 / ECDSA P-256
EVITA Full	+ TRNG + 反 SCA	Central Compute / Telematics	+ RSA / 反 side-channel

5.3 ETAS ESCRYPT CycurHSM — 软件层赢家

ETAS ESCRYPT CycurHSM:全球第一款 获得 ISO/SAE 21434:2021 CAL4 三方认证的 HSM firmware:

运行在 AURIX TC4x 等平台
Tier-1 部署 > 100 个量产项目
支持中国国密 SM2 / SM3 / SM4 算法
跨三家硬件部署(Infineon / NXP / Renesas)

5.4 加密算法栈

标准化加密栈:

对称:AES-128 / AES-256(CMAC / GCM / CTR)
非对称:ECDSA P-256(首选,签名短适合 CAN)/ RSA-2048(legacy)
Hash:SHA-256(主流)/ SHA-3(规划)
KDF / KE:HKDF + ECDH P-256
PQC 候选:CRYSTALS-Dilithium(签名)/ Kyber(KEM),Infineon AURIX TC4xx 已加 PQC-ready 特性

5.5 Side-channel / Fault Injection 对抗

CAL4 要求 HSM 通过 ITSEF SCA / FI 实验室测试:

威胁:Power-based SCA 可在 1000 traces 内提取 AES key;FI 可在 SubBytes 阶段翻 8 bit
对抗手段:Masking(布尔/算术)/ Hiding(dummy ops)/ Redundant computation + comparison / Voltage glitch detector / Light sensor / Memory ECC

6. SBOM + 渗透测试工具栈

6.1 SBOM — Software Bill of Materials

R156 软件可追溯 + ISO 21434 lifecycle vulnerability mgmt 直接驱动 SBOM 成为必需:

CycloneDX:更适合安全,原生支持 VEX(Vulnerability Exploitability eXchange)
SPDX:license 合规 + 已是 ISO 标准
扩展概念:HBOM(硬件 BoM)+ CBOM(密码学 BoM)— VicOne xZETA 已支持
Auto-ISAC 2025:行业层面统一 SBOM informational report,标准化 OEM-supplier 流通

6.2 渗透测试 / Fuzzing 工具栈

下表是 2026 主流 ISO 21434 兼容工具:

工具 / 厂商	类型	特点
VicOne xZETA	平台	SBOM + 漏洞情报库 + ISO 21434 对齐
Cybellum	平台	SBOM 验证 + CSMS 工作流自动化 + 事件响应
PlaxidityX(原 Argus)	Fuzzer + pentest	支持 SOME/IP / DoIP / HSFZ / AVB / CAN-FD / UDS over LIN/FlexRay
Block Harbor VSEC	平台 + 培训	fuzzing vs pentest 方法论
CaringCaribou	开源	CAN 总线 fuzzer + UDS server 扫描

方法论:fuzz testing 用畸形输入暴露未知漏洞,pentest 用真实攻击场景验证防御。ISO 21434 Clause 11 cybersecurity validation 通常两者结合。

7. 中国本土生态 + 工程时间窗

7.1 关键玩家

中国本土网络安全生态 4 类玩家 — 认证 + HSM 软件 + Pentest + 培训:

CATARC(中汽研):GB 44495 主要测试 + 认证机构,运营 10 大业务线
ETAS ESCRYPT:支持 SM2/SM3/SM4 国密算法,Tier-1 中国项目部署密集
Onward Security(台资):做汽车 + IoT pentest + 21434 顾问
dissecto / Breachlabz:做 GB 44495 testing 培训

7.2 量产里程碑

行业里程碑事件:

2024-07 ETAS ESCRYPT CycurHSM 全球首张 ISO 21434 CAL4 认证(HSM 软件)
2024-07 Synopsys IP 业界首个 IP 核通过第三方 ISO/SAE 21434 认证
2024+ Infineon AURIX TC397 首批拿到中汽研 CATARC GB 44495 认证的 MCU
2025 Intellias 把 ISO/SAE 21434 认证扩展到全部 mobility 工程中心
2025+ PlaxidityX × Continental — Continental SDV 战略将 PlaxidityX 作为 security-by-design 关键支柱

7.3 中国工程师的 2026 窗口

2026-01 GB 44495 新车强制 → 2028-01 全车型强制,窗口期工程师必做 3 件事:

CSMS 建设 + ISO 21434 vocabulary 训练
关键 ECU 渗透测试 + Fuzzing 体系建设
SBOM(CycloneDX 优先)+ HBOM + CBOM 工作流落地

8. 与 hub 的关系

本页是功能安全工程师指南 hub 的 第 3 轨(ISO 26262 / 21448 / 21434 三件套):

功能安全 — ISO 26262 主线 overview
ISO 21448 SOTIF 深度 — 第 2 轨(防"没坏但不够好")
CAN E2E + SecOC — SecOC 工程实现细节
电动汽车标准详解 — R155/R156 + 中国 GB 法规背景

三件套第 3 轨 → 功能安全工程师…

三件套第 3 轨 → 功能安全工程师指南 hub

核心要点

ISO 21434 是工程标准,UN R155 是法规 — R155 强制 CSMS,21434 是事实上证明 CSMS 合规的工程证据。2024-07 起欧盟所有新生产车必合规
TARA 五步法 + CAL 1-4 是 21434 灵魂 — CAL 在 concept 阶段由(Impact, Attack Feasibility)决定后冻结,与 ISO 26262 的 ASIL 形成双轨
Impact 4 维 S/F/O/P(Safety / Financial / Operational / Privacy)+ Attack Feasibility 3 法(EVITA / CVSS / STRIDE+Attack tree)
SecOC + Secure Boot + Secure OTA 三件套是工程实现:AES-128 CMAC + Freshness(SecOC)+ ECDSA P-256 + SHA-256(Boot)+ 签名 + RXSWIN + A/B partition(OTA)
HSM 市场 = Infineon AURIX + NXP S32 + Renesas RH850 三足鼎立,ETAS ESCRYPT CycurHSM 是全球第一个 ISO 21434 CAL4 认证 HSM 软件栈(跑在三家硬件上,100+ Tier-1 项目)
中国 GB 44495 / 44496:2026-01 新车强制 / 2028-01 全车型强制,强化国密 SM2/SM3/SM4 + anti-replay 物理测试;CATARC 是事实唯一本土认证机构
SBOM(CycloneDX 优先)成为事实必需,Auto-ISAC 2025 informational report 是行业基准;HBOM + CBOM 扩展概念
Fuzzing + Pentest 工具栈:VicOne / Cybellum / PlaxidityX / Block Harbor / CaringCaribou — Clause 11 validation 必须两者结合

9. 一句话总结

ISO/SAE 21434 是 2024-07 后造车的法规硬约束 — R155 让 CSMS 强制 + 21434 给工程证据 + R156 让 OTA 强制 + GB 44495/44496 让中国 2026-01 起跟进。TARA 5 步 → CAL 1-4 决定 → SecOC + Secure Boot + Secure OTA 三件套 + HSM 三家硬件 + ETAS 软件栈 是完整工程图谱。2026-01 之前完成 CSMS + 关键 ECU 渗透测试 + SBOM 体系 是中国工程师的高优窗口。任何 OEM / Tier-1 今天就要把 21434 work product 列进项目交付包,等到 type approval 阶段补做来不及。

10. 参考文献

10.1 标准 + 法规

ISO 正本 / UN 法规 / 中国 GB 三条主线:

ISO/SAE 21434:2021:https://www.iso.org/standard/70918.html
UN R155 Cybersecurity:https://unece.org/transport/documents/2021/03/standards/un-regulation-no-155-uniform-provisions-concerning-approval
UN R156 Software Update:https://unece.org/transport/documents/2021/03/standards/un-regulation-no-156-software-update-and-software-update
GB 44495-2024 全文:https://www.codeofchina.com/standard/GB44495-2024.html
TÜV SÜD 中国实施时间表:https://www.tuvsud.com/en/knowledge-hub/technical-updates/consumer-products-and-retail-essentials/china-implements-vehicle-cybersecurity-technical-requirements

10.2 TARA + CAL

TARA 方法学权威源:

uraeus TARA Guide:https://uraeus.io/resources/iso-21434-tara-guide/
itemis TARA:https://www.itemis.com/en/cybersecurity/tara
Block Harbor CAL Blog:https://www.blockharbor.io/blog/cybersecurity-assurance-levels-in-product-development-lifecycle
EVITA HSM PQC paper:https://eprint.iacr.org/2020/026.pdf

10.3 SecOC + Secure Boot + Secure OTA

工程实现的 vendor + 学术来源:

AUTOSAR SecOC R22-11 SWS:https://www.autosar.org/fileadmin/standards/R22-11/CP/AUTOSAR_SWS_SecureOnboardCommunication.pdf
Renesas Secure Boot RH850 / R-Car:https://www.renesas.com/en/blogs/achieving-root-trust-secure-boot-automotive-rh850-and-r-car-devices-part-2
SecOC 实战漏洞(RAV4 key extraction):https://icanhack.nl/blog/secoc-key-extraction/
Promwad Secure OTA Boot Chains:https://promwad.com/news/secure-ota-boot-chains-firmware-verification

10.4 HSM + Vendor

HSM 三家 + ETAS 软件栈:

Infineon AURIX TC3xx HSM:https://www.infineon.com/dgdl/Infineon-AURIX_TC3xx_Hardware_Security_Module_Quick-Training-v01_00-EN.pdf
ETAS ESCRYPT CycurHSM CAL4:https://www.etas.com/ww/en/products-services/cybersecurity-products/escrypt-cycurhsm/
Synopsys IP first ISO 21434 cert:https://news.synopsys.com/2024-07-17-Synopsys-Advances-Automotive-Security-with-Industrys-First-IP-Product-to-Achieve-Third-Party-Certification-for-ISO-SAE-21434-Cybersecurity-Compliance
Infineon CATARC + PQC:https://www.eejournal.com/industry_news/infineon-strengthens-automotive-microcontroller-portfolio-with-iso-sae-21434-compliance-catarc-certification-and-pqc-ready-features/

10.5 SBOM + 工具栈

SBOM + Fuzzing + Pentest 链:

VicOne xZETA SBOM:https://vicone.com/products/xzeta
Cybellum platform:https://cybellum.com/platform/
PlaxidityX Security Autotester:https://plaxidityx.com/security-engines/security-autotester/
Block Harbor Fuzz vs Pentest:https://www.blockharbor.io/blog/fuzz-testing-vs-penetration-testing-in-automotive-cybersecurity

缩写表

只列本页用到的工业标准缩写;通用英语…

只列本页用到的工业标准缩写;通用英语 / 单位 / 月份 / 我们的 层/Lx tag 不列。覆盖不到的术语见正文 inline 注释。

缩写	全称	中文 / 备注
ISO	International Organization for Standardization	国际标准化组织
SAE	Society of Automotive Engineers	美国汽车工程师学会
AUTOSAR	Automotive Open System Architecture	汽车开放系统架构
AURIX	Audio Realtime Infineon X-architecture	Infineon TriCore 多核车规 MCU 系列
OEM	Original Equipment Manufacturer	整车厂 / 主机厂
NXP	NXP Semiconductors	恩智浦半导体
MCU	Microcontroller Unit	微控制器(本页多指车规多核 MCU)
HARA	Hazard Analysis and Risk Assessment	危害分析与风险评估,part 3
ASIL	Automotive Safety Integrity Level	ISO 26262 安全完整性等级 QM→A→B→C→D
QM	Quality Management	ISO 26262 最低等级,只走质量流程
ECU	Electronic Control Unit	电子控制单元
CAN	Controller Area Network	控制器局域网
CAN-FD	CAN with Flexible Data-rate	灵活数据率 CAN
LIN	Local Interconnect Network	本地互连网络

Cross-references

← 索引
安全×信息安全协同工程 — 26262×21434 联合分析 / HARA↔TARA 互喂 / 冲突裁决
功能安全工程师指南 hub — V-cycle + 8 大主题
功能安全(Functional Safety) — ISO 26262 主线
ISO 21448 SOTIF 深度 — 三件套第 2 轨
CAN E2E + SecOC — SecOC AUTOSAR 工程细节
电动汽车标准详解 — R155/R156 + GB 44495/44496 法规背景
汽车 MCU — AURIX / S32K3 / RH850 选型