ISO/SAE 21434 — 汽车网络安全工程

功能安全L1别名 ISO 21434 · ISO/SAE 21434 · 汽车网络安全 · automotive cybersecurity · TARA · threat analysis risk assessment · CAL cybersecurity assurance level · UN R155 · UN R156 · SecOC · secure boot · 攻击树 attack tree · 渗透测试 pentest

本质与导读

本质 ISO/SAE 21434 是安全领域 ISO 26262 的 security 对偶——前者防 malfunctioning behavior,后者防 malicious attack,结构对称(TARA↔HARA、CAL↔ASIL)。它必须做的硬约束在于 UN R155/R156:2024 年起欧盟新车型 type approval 强制 CSMS+SUMS 证书,21434 是事实上的 evidence 标准。

主线坐标:横轨 · 诊断 / 通信(跨站) · ↑ 全景主线

1. ISO 21434 vs ISO 26262 的边界

这一节先把“ISO 21434 vs ISO 26262 的边界”的判断维度收拢到同一视图里,后面的表格用于横向比较各选项的边界。

ISO 21434 网安概览 — vs 26262 边界 + TARA(资产/威胁/攻击路径/风险→CAL)+ R155/R156 法规 + FuSa/Cyber/SOTIF 协同

标准处理
ISO 26262 FuSamalfunctioning(系统失效)MCU 故障 / 传感器漂移 / 软件 bug
ISO 21448 SOTIF功能局限 + 误用摄像头识别局限 / 用户错操作
ISO/SAE 21434 Cybersecmalicious attack(被攻击)黑客通过 OTA 注入恶意固件 / 中间人篡改 CAN 命令

三个标准都关联同一组 SG,但威胁建模、缓解措施、validation 方法都不同

2. TARA(Threat Analysis & Risk Assessment)

ISO 21434 的核心方法,5 步:

2.1 Asset Identification(资产识别)

识别什么有价值:

  • ECU 内的固件 / 标定数据
  • 加密密钥 / 证书
  • CAN bus / Ethernet 数据流
  • OTA 通道
  • 诊断接口(OBD-II / DoIP)
  • 用户隐私数据(GPS / 行为)

2.2 Threat Scenario Identification

每个 asset 关联攻击场景。常用 STRIDE 框架:

字母威胁
Spoofing假冒身份
Tampering篡改
Repudiation抵赖
Information disclosure信息泄露
Denial of service拒绝服务
Elevation of privilege权限提升

2.3 Impact Rating

威胁实现后果分级:

  • Severe:致命 / 重伤 / 大规模隐私泄露
  • Major:操作障碍 / 财产损失
  • Moderate:不便 / 小影响
  • Negligible:几乎无影响

2.4 Attack Feasibility Rating

攻击难度(常用 CVSS 或自定义):

  • High:工具简单 / 远程 / 不需特殊知识(OBD-II 物理接入但工具廉价)
  • Medium:需工具 + 中等技能
  • Low:需 OEM 内部知识 + 特殊设备
  • Very Low:需大量资源 + 长期渗透

2.5 Risk Determination

Risk = Impact × Feasibility,得到 Cybersecurity Goal(类比 Safety Goal)+ CAL 等级(类比 ASIL)。

3. CAL(Cybersecurity Assurance Level)

ISO/SAE 21434 引入 4 档 CAL:

CAL严格度工程意义
CAL 1最低基础安全控制(密码强度 / 输入校验)
CAL 2加密通信 + secure boot
CAL 3双向认证 + 入侵检测
CAL 4最高硬件安全模块(HSM)+ 形式化证明

CAL 与 ASIL 不是 1:1 对应:

  • 一个 ASIL D safety goal 可能只关联 CAL 2 cybersec(攻击难度低但安全后果严重)
  • 一个 CAL 4 attack 可能只关联 ASIL B(攻击难但后果不致命)

工程实务:多数主驱 ECU 配 CAL 2-3;OTA 服务器 / 钥匙管理 / 中央网关常 CAL 4。

4. UN R155 / R156 — 强制法规

4.1 UN R155 — CSMS(Cybersecurity Management System)

UNECE 2021 通过,2024-07 起欧盟新车型 type approval 强制。要求 OEM 证明:

  • 整个 vehicle lifecycle 有 cybersecurity 管理流程(类比 26262 Part 2 安全文化)
  • 7 类 threat 清单(攻击通过 backend / 通信 / 升级 / 用户 / 外部连接 / 数据存储 / 传感)
  • 每个 threat 有相应控制(mitigation)
  • 持续监控 + 事件响应能力

4.2 UN R156 — SUMS(Software Update Management System)

姊妹法规,管 OTA:

  • 软件更新过程必须可追溯
  • 更新版本 + 兼容性记录
  • 更新失败回滚机制
  • 用户被告知

实务:OEM 拿不到 R155 + R156 证书 → 整车型在欧盟卖不了。这就是 21434 不是"建议",是法规驱动的事实强制

5. 典型汽车网络安全控制

5.1 SecOC(Secure Onboard Communication)

对 CAN / Ethernet 报文加 MAC(Message Authentication Code)+ Freshness Counter,防止篡改 + 重放。AUTOSAR 标准化。

双重角色:

  • 26262 SM:防伪造扭矩命令 → 等价于 ASIL D 端到端通信完整性 SM
  • 21434 控制:防中间人攻击 → CAL 2-3 通信完整性

详见 CAN E2E + SecOC

5.2 Secure Boot

启动时校验固件签名 + 完整性,防恶意固件:

  • 硬件 root of trust(HSM / TPM / OTP)
  • 多级签名链(bootloader → firmware → application)
  • 启动失败时回滚到 known-good

5.3 加密通信

外部接口(OTA / V2X / 4G)必须 TLS 1.3+。CAN/LIN 内部经常加 SecOC,以太网内部加 IPsec / MACsec。

5.4 入侵检测系统(IDS)

监控 CAN 总线 anomalous behavior:

  • 新出现的 CAN ID(没在白名单)
  • 频率异常(典型周期性的报文不规律)
  • 同一 ID 多 source(伪造)

5.5 密钥管理

PKI / 证书 / 对称密钥 lifecycle:

  • 工厂阶段烧入 device certificate
  • OTA 加密密钥定期轮换
  • HSM 硬件保护私钥不出芯片

6. Cybersecurity Plan + Cybersecurity Case

类比 Safety Plan + Safety Case:

Cybersec 工件对应 FuSa 工件
Cybersecurity PlanSafety Plan
TARAHARA
Cybersecurity GoalSafety Goal
Cybersecurity ConceptFSC + TSC
Cybersecurity CaseSafety Case
Cybersecurity AssessmentFunctional Safety Assessment
Pentest ReportValidation Report

Cybersecurity Case 用 GSN(Goal Structuring Notation)论证"我们已经识别了所有威胁 + 所有风险已被缓解到可接受 CAL"。

7. FuSa + Cybersec + SOTIF 三标准协同

ADAS L3+ 项目典型团队:

  • Safety Manager(26262 + 21448)
  • Cybersecurity Manager(21434)
  • 共用 Safety Plan / DIA
  • 共用 development team + 共享部分 work products(SecOC / Secure Boot 双标记)
  • 共同 Confirmation Review(safety + cyber 同时审 work product)

实务:OEM 头部团队 30%+ 工程师同时持 26262 + 21434 双证——招聘要求逐渐变 "FuSa + Cybersec 双精通"。

核心要点
  • ISO/SAE 21434 是 cybersecurity 的 "ISO 26262",处理 malicious attack(不是 malfunction)
  • TARA 5 步:Asset / Threat(STRIDE) / Impact / Feasibility / Risk → 得 Cybersecurity Goal + CAL
  • CAL 1-4 与 ASIL A-D 不是 1:1 对应,看 Impact × Feasibility 的组合
  • UN R155 (CSMS) + R156 (SUMS) 是法规驱动的强制要求,2024 起欧盟新车型必须
  • 5 类典型控制:SecOC / Secure Boot / 加密通信 / IDS / 密钥管理
  • SecOC 是 FuSa 与 Cybersec 共享 SM——既防伪造命令(26262)又防中间人(21434)
  • Cybersecurity Plan / Case / Assessment 与 FuSa 工件平行,大型项目共用一套管理团队

Engineering Objects
引用此页的结构化 Engineeri…

引用此页的结构化 Engineering Object(v2.0 Copilot 自动生成,不要手动编辑此段)。

  • standard · standard_iso_21434 — ISO/SAE 21434 Cybersecurity

Cross-references