汽车智能网联化近年来一直是汽车行业的主要议题。这些创新建立在车载系统数字化、汽车IT系统向后端延伸以及软件传播的基础上。而随着越来越多的关于黑客攻击汽车登上头条新闻,人们对汽车网络信息安全的担忧也成为了现实。UNR155正是监管机构正在增加压力,以加强汽车行业应对网络安全的能力。
UN R155认证
什么是UNR155?
如果您从事的汽车工作涉及到欧洲进出口,那么您大概率会听过“UNECE”。UNECE是the United Nations Economic Commission for Europe的缩写,有时也简称ECE。UNECE管的范围很广,它下属有一个世界车辆法规协调论坛(简称 WP.29),专注于汽车领域。2020年6月,WP29发布了3项跟智能网联汽车息息相关的重要法规:
lR155:Cyber Security,主要针对汽车网络信息安全
lR156:Software Update,主要针对软件升级,包括近端刷写和OTA
lR157:Automated Lane-Keeping Systems (ALKS),主要针对自动车道保持系统
其中R155就是从2022年7月起开始强制参与型式认证的一条Cyber Security法规,简称UNR155,也是本文重点探讨的部分。
那什么是型式认证?
汽车产品型式认证是指通过官方确认和批准证明车辆产品能够达到法律法规要求的过程。直白一点,这就相当于汽车进入市场的“准生证”。汽车要想上市销售,就必须通过当地(或当地所在联盟)的型式认证。我们常听到的“国五”、“国六”、“欧五”“欧六”就是型式认证中关于排放标准的部分。涉及到“法规”,一般少不了政府的介入。所以不同地方市场准入的型式认证要求也不同。而UNECE顾名思义,主要就是针对欧洲,其具体的协议成员国如下图所示。
既然UNECE针对欧洲等协议成员国,那么对我们有什么影响?主要有以下几点:
-
01
相信我国也将会把网络信息安全加入国家型式认证,比如说3C认证(China Compulsory Certification,强制性产品认证制度)。目前欧洲仍然是汽车领域的佼佼者,制定相关法规和准入标准的时候,相信也会适当参考UNECE的内容。
-
02
我国汽车也正在走出去,基本各大COEM,尤其是新能源汽车都有出口欧洲。
-
03
汽车产业链的全球化。虽然各地有不同的准入标准,但是上游的一级供应商、芯片供应商都是全球化协同的,实际上这些供应商都会考虑各地标准取一个“最大公约数”,最后反过来影响整车生产商的方案选择。
那么这个法规什么时候开始生效呢?
UNR155有两个关键的时间节点:
-
012022年7月1日:新车必须满足。
从现有电子架构推出的新车系(即车辆类型)将需要获得网络安全系统型式认证,作为整车型式认证(WVTA,Whole Vehicle Type Approval)过程的一部分。例如对于“换前脸”等小改款,如果电子电器没有变化,可以不用在这个时间点完成型式认证。但如果涉及车机、辅助驾驶等变化,则相当于是“新车系”,需要满足UNR155。
-
022024年7月1日:旧车不满足的也要改成满足。
尚未停产的车型必须获得网络安全系统的型式认证,才可以在相关市场销售。这意味着,之前车型可能需要通过修改或升级方案,满足UNR155。
UNR155与ISO21434的关系
为了确保现有标准和监管要求的协调,实际上UNR155和ISO/SAE 21434(道路车辆--网络安全工程)是并行讨论和开发释放的。那么作为标准的ISO/SAE 21434与UNR155之间的整体关系又是怎样呢?
首先,要区分标准和法规这两个术语。
标准通常是在ISO等权威机构的控制下,由行业本身设计的先进的参考性文件。例如ISO/SAE 21434为开发汽车行业的网络安全产品提供了要求和建议的框架。但它没有提供任何固定的解决方案建议,只是提供了一个特定的抽象框架和方法论。国际标准(如ISO xxxx)一般都是非强制要求的。但是国内的标准不一样,GB都是强制要求的,GB/T才是推荐(非强制)执行的。
相比之下,法规是由一个官方机构(如政府)发布的具有法律约束力的指令。就UNR155而言,这是必须遵守的约束性要求,以获得型式认证,从而获得市场准入。如果不符合规定,就会在相应的市场禁止销售。而法规也往往会引用相关标准来作为参考。
实际上,UNR155中引用到了ISO/SAE 21434这一标准。这一点在UNECE公布的官方解释文件中说得特别清楚,该文件大量地将法规的要求与ISO/SAE 21434的各种要求联系了起来。换句话说,ISO/SAE 21434可以作为具体方法论,按其指导就很容易满足UNR155的法规要求。当然如果企业有另外成熟的最佳实践,同样可以满足UNR155也行,所以ISO/SAE 21434并非必要条件。
而在责任相关方的角度来看,ISO/SAE 21434描述的是汽车网络安全的工程框架和方法论,所以不管在OEM还是各级供应商,都可以按照该标准开发功能和产品,OEM也可以基于ISO/SAE 21434来给供应商提需求。而UNR155法规是针对整车的型式认证,真正要进行公告和型式认证申请的只有OEM。
UNR155内容简介
如下UNR155的框架示意图,该法规主要分为主体的内容部分和附录。内容部分详述了例如认证主体、标识、证书等法规要求。附录中则包含了模板、信息文件和威胁及缓解措施列表。对于一般汽车研发工程师而言,其中内容的第7章以及附录5(即下图标黄部分)是最值得细读的。
标黄的两个章节也集中体现了该法规最核心的两个要求:
每个OEM必须建立和维护一个网络安全管理体系(亦即Cybersecurity Management System,CSMS)。这是对于组织本身的要求,不依托于车型和项目。
每个OEM必须识别与车辆技术有关的网络安全风险。这是对每个车型或者每个项目都有的实施要求,也需要OEM在车型的型式认证时提供证明。
与ISO/SAE 21434不同的是,UN R155没有明确规定特定的流程(但要求遵守流程和建立工作产品以确保遵守流程),它要求建立和实施一个管理系统,该系统专注于车辆的网络安全。CSMS是拿到合格证书的基础,即必须要通过审计和相应的官方认证。CSMS需要定义组织流程、职责和治理过程,同时需要处理车辆受到的网络威胁风险,保护车辆免受网络攻击。它需要覆盖车辆完整的生命周期。 每款车型做型式认证时,除了必须具有有效的CSMS认证,还应针对该车型进行详尽的风险评估,并且适当地管理所有确定的风险。UNR155的附件5就提供了一份已知威胁和对应的缓解措施清单。清单附件分为A、B两部分。做型式认证时,也需要提供相关证据,展现这些通用的威胁和缓解措施都在该车型上做了相关分析和管理。
A部分是威胁的漏洞和攻击向量。如下图节选部分是关于云端自身的威胁,其攻击向量或者漏洞也举了3个例子,例如内部特权员工滥用职权、非授权的网络访问远程接入了服务器(后门、SQL攻击等)或者非授权的物理接入服务器(插个U盘或者连上数据线等。)
图4:UNR155节选的威胁清单
而B部分则针对A中出现的一些威胁和漏洞,提供了缓解措施的参考。如下图节选,车辆通信通道其中一种威胁来自于攻击者假冒通讯节点,篡改信息内容,例如攻击者假冒V2X设备、GNSS等发送欺诈信息。该威胁可以通过验证通讯节点的真实性和信息完整性来缓解。再具体分解的详细功能需求(例如通过TLS和CA证书等技术手段)则不在这份列表中体现。
图5:UNR155节选的缓解措施清单
具体怎么做?
讨论完UNR155的法规内容,希望您已经能对它有了框架性的理解。那企业又应该具体怎么做才能获得型式认证呢?这与上文提到的UNR155两个关键要求有关:
-
01针对CSMS
这本质上是对组织过程能力的要求,说白了就是通过官方批准机构的审计。这个审计或者申请对组织来说是一次性的。当然一般OEM都或多或少有了自己的网络安全管理流程和系统,只需要根据UNR155作评审,取长补短,完善管理体系。这种专业要求高且一次性的活动很多时候OEM也会通过第三方咨询公司来帮助自己完善和通过审计,获得CSMS合格证书。
-
02针对车型
这更多是对每个车型的技术要求。基于CSMS,每款车型的开发都需要针对车型作广泛的风险评估,针对常见的攻击向量作适当控制,同时对安全措施的有效性进行充分的测试和验证。而且这个要求是贯穿车辆生命周期的,即使是已经获得车型型式认可的,也需要持续管理其风险,持续检测和报告。否则即使已经获得型式认可了,也可能会在之后几年被取消认证和惩罚。
写在最后
汽车智能网联化近年来一直是汽车行业的主要议题。这些创新建立在车载系统数字化、汽车IT系统向后端延伸以及软件传播的基础上。而随着越来越多的关于黑客攻击汽车登上头条新闻,人们对汽车网络信息安全的担忧也成为了现实。UNR155正是监管机构正在增加压力,以加强汽车行业应对网络安全的能力。
虽然我国尚未正式发布公告或者型式认证中关于网络信息安全的法规要求,但相关机构已经讨论多时,草稿多版。预计我国的法规要求在参考UNR155的基础上亦会提出更加具体的要求或者技术方案指导。而除了框架性法规要求,多个关于智能网联汽车网络信息安全的国家标准(例如V2X、智能网关等)都已经发布或者正在发布,估计未来也会完成整个标准体系的发布,呈现“网络信息安全国标矩阵”。相信这将是一个复杂的新局面,但同时也会吸引更多资金到这个赛道上,企业也会更加重视。这对于我们相关从业人员来说,无疑既是挑战,也是机会。