今天，SASEInsight為大家帶來“業內吃瓜”系列專欄，由磐時網絡安全專家常城老師創作主持，旨在以輕松有趣的方式解讀汽車網絡安全行業的熱點事件。本專欄巧妙結合真實案例與技術標準，深入剖析行業動態，為網絡安全從業者提供扎實的理論參考與實用的操作建議。

本期嘉賓

常城

磐時網絡安全專家

5年汽車網絡安全攻防經驗，技術棧全面；涂鴉硬件安全一號位，螞蟻移動安全專家，極氪車聯網安全架構師，精通泛終端安全攻防。

輔導過多家汽車零部件的1S021434體系建設和流程認證，主導過多家汽車零部件的網絡安全測試。

前陣子看到一則行業動態，當時選擇了低調吃瓜、靜觀其變。如今幾個月過去，是時候搬個小板凳，和大家聊聊我的看法了。

新聞截圖如下：

大家的關注點都在停車場看守不嚴，拆車件流通混亂等管理問題，但在網絡安全從業人員看來，這里暴露了OEM廠商的一個非常嚴重的安全漏洞：

整車身份依賴單一電子模塊，缺少整車構型一致性校驗。

智能汽車不應該只信任某一個單獨的電子部件（比如 T?Box、車機或者鑰匙），而應該把“整車 + 關鍵 ECU 列表 + VIN”視為一個整體的數字身份。

在每次上電后都需要對車內關鍵ECU列表，對應版本，VIN進行綁定關系一致性檢查，發現與出廠/授權記錄不符時進入“受限模式”。在受限模式下，車輛保留基本行駛安全，但關閉遠程控制、數字鑰匙、敏感診斷等功能，并向云端報告異常。

問題定位

WENG TI DING WEI

好了，那么讓我們回到21434流程體系中，這里是體系流程中的哪個步驟出問題了呢？

01

概念階段（第 9 章）

- 9.3 Item definition

這里應該把“關鍵部件被拆裝到其他車輛”的場景納入 item definition中，但實際上多半只描述了“正常用車、維修”等，沒把“拆車件遷移”視為業務／安全相關場景。

- 9.4 Cybersecurity goals

從 TARA 導出的目標里，理應出現類似“關鍵電子部件從原車拆卸并安裝到其他車輛后，不得自動繼承原車的網絡身份和控制權限”的高層目標，但現在看來這一類目標缺失。

- 9.5 Cybersecurity concept

應該在網絡安全概念中明確“整車級身份與構型驗證”的控制思路（而不是只保護單 ECU），比如：上電時對關鍵 ECU–VIN–構型做一致性校驗，異常則限制遠程能力。這一塊也沒有被展開。

02

產品開發階段（第 10 章）

在這里應把“整車身份與構型驗證”細化成系統級安全需求和架構方案：

- 關鍵 ECU 與 VIN/整車配置的綁定

- 網關/域控執行構型一致性檢查

- 遠程控制、數字鑰匙等權限依賴于構型校驗結果

但現在來看應該是沒有細化。

03

安全驗證階段（第 11 章）

在驗證計劃和用例中，本應包含“關鍵部件被拆裝、遷移到另一車殼”“構型不一致”等負面場景，驗證車輛會不會自動降級/停用遠控，而現在這一類場景沒有被覆蓋。

04

生產階段（第 12 章）

生產階段應完成關鍵 ECU 的唯一身份、密鑰灌裝以及與 VIN/整車配置的初始綁定。

同時定義“授權更換件”的流程：售后更換新 ECU 裝車后必須通過 OEM 工具完成合法綁定，否則在車上只能以“未認證件”身份運行。

05

運行和維護階段（第 13 章）

一旦發生“事故車在別的地方復活、原車主還能遠程控制”等事件，OEM 應按第 13 章的流程去分類、調查、處置和經驗回溯：

比如凍結相關 VIN 的遠程控制、調查關鍵部件流向、分析是否為系統性缺陷并更新 TARA/需求等。

但從新聞后續來看應該沒啥處理。

06

網絡安全服務結束與停用階段

（第14章）

應負責定義車輛退役、回收、拆解時，如何撤銷部件的數字身份和遠程服務能力，防止拆車件繼續在其他車上“帶著證書跑”。

當前明顯缺的是：沒有“關鍵部件停用/再利用”的安全策略，導致一旦部件流出 OEM 體系，后續行為完全不可控。

問題解決

WENG TI JIE JUE

好了，那么讓我們再次回到21434流程體系中，我們應該怎么修復這個問題？

01

概念階段

Item的邊界增加整車構型管理機制以及與云端后臺之間的認證和會話控制。

02

TARA階段

增加如下損害場景：

損害場景 1：原車主對非權屬車輛實施遠程控制

關鍵電子部件拆裝到另一輛車后仍與原車主賬號綁定，原車主可以遠程解鎖、開窗或啟動車輛，對新車主的人身安全、財產安全構成直接威脅。

損害場景 2：新車主隱私和行駛數據泄露

新車主正常使用車輛時，行程信息、位置軌跡、車機賬戶數據等仍被歸屬到原車主或其云端賬號，造成嚴重隱私泄露和數據合規風險。

損害場景 2：新車主隱私和行駛數據泄露

新車主正常使用車輛時，行程信息、位置軌跡、車機賬戶數據等仍被歸屬到原車主或其云端賬號，造成嚴重隱私泄露和數據合規風險。

損害場景 3：不合規車輛繞過監管繼續上路

事故或報廢車輛的關鍵部件用于拼裝車，新構成的車輛由于繼承了合法的車聯網身份和遠程服務能力，在技術上被視為“正常車輛”，從而繞過檢驗和合規管控，增加交通安全和責任認定難度。

增加如下威脅場景：

威脅場景 1：黑市拆車件被用于拼裝車

攻擊者（拆解廠、維修廠或黑市從業者）從事故／報廢車輛上拆下 T?Box、車機、網關等關鍵部件，并安裝到另一輛車殼上。由于系統僅依賴部件內部的證書或密鑰進行認證，新車在車聯網平臺上被識別為原車輛，從而繼承原車的數字身份和遠程功能。

威脅場景 2：利用整車構型缺乏校驗逃避身份綁定

攻擊者通過非授權手段替換或復制關鍵部件，不經過 OEM 規定的綁定或重新激活流程。由于車端缺乏對 ECU–VIN–整車構型一致性的檢查，只要單個部件通過云端認證，就會被視為合法構型并開放遠程服務。

威脅場景 3：利用賬號體系與部件綁定缺陷

原車主或獲得其賬號的第三方，在車輛實物已被處置或拆解的情況下，仍保留對該 VIN 的賬號控制權。當關鍵部件在另一輛車上繼續使用時，系統仍將其綁定到原賬號，攻擊者可持續使用遠程控制能力，同時獲取新車主的位置信息和使用數據。

網絡安全目標：

損害場景 1：原車主對非權屬車輛實施遠程控制

關鍵電子部件拆裝到另一輛車后仍與原車主賬號綁定，原車主可以遠程解鎖、開窗或啟動車輛，對新車主的人身安全、財產安全構成直接威脅。

損害場景 2：新車主隱私和行駛數據泄露

新車主正常使用車輛時，行程信息、位置軌跡、車機賬戶數據等仍被歸屬到原車主或其云端賬號，造成嚴重隱私泄露和數據合規風險。

損害場景 3：不合規車輛繞過監管繼續上路

事故或報廢車輛的關鍵部件用于拼裝車，新構成的車輛由于繼承了合法的車聯網身份和遠程服務能力，在技術上被視為“正常車輛”，從而繞過檢驗和合規管控，增加交通安全和責任認定難度。

網絡安全目標：

目標1：防止關鍵電子部件在被拆解并安裝到其他車輛后自動繼承原車輛的車聯網身份和遠程控制權限。

目標2：確保車輛遠程控制能力僅授予當前合法權屬車輛及其授權用戶，防止原車主或非授權第三方對非權屬車輛實施遠程操作。

目標3：保護新車主的隱私和數據安全，防止因關鍵部件遷移導致位置信息、行駛數據等持續暴露給原車主或其他非授權主體。

目標4：通過技術手段降低事故車／報廢車關鍵部件被用于拼裝車的風險，使拼裝車輛難以以“合法車聯網身份”繼續運行。

網絡安全概念：

為實現上述網絡安全目標，需要在整車層面建立“基于關鍵部件身份與整車構型的一致性驗證機制”，而非僅依賴單一電子部件的證書或密鑰作為信任依據。網絡安全概念包括以下核心思想：

概念1：關鍵電子部件的唯一身份必須與特定車輛的 VIN 和整車配置數據綁定，單獨的部件身份不足以獲得完整車聯網功能。

概念2：車輛在上電、運行以及完成關鍵維修或部件更換后，應對關鍵 ECU 列表、其身份信息及與 VIN 的綁定關系執行整車構型一致性檢查，僅在檢查通過時才啟用遠程控制、數字鑰匙等高風險功能。

概念3：對于檢測到的異常構型（例如關鍵部件身份與當前 VIN 不匹配、構型與生產記錄不符等），車輛應自動進入受限模式：保留必要行駛和安全功能，關閉或降級遠程服務、敏感診斷和數據上傳能力，并向后臺報告。

概念4：關鍵部件在車輛退役、報廢或確認為不可繼續安全使用時，應通過撤銷密鑰、吊銷證書或標記為“僅可在原 VIN 使用”等方式，防止其在其他車輛上被重新激活獲得完整權限。

03

產品開發階段

基于上述目標與概念，在產品開發階段需要將上述思想細化為可實現、可驗證的安全需求和架構設計。

安全需求：

需求1：關鍵 ECU 唯一身份與 VIN 綁定

在生產階段為 T?Box、車機、網關、BCM 等關鍵 ECU 配置唯一身份（安全芯片/HSM 內的密鑰或證書），并將該身份與特定 VIN 及整車配置進行加密綁定。

需求2：整車構型一致性檢查

車輛上電后，必須由網關/域控對關鍵 ECU 列表、身份信息及 VIN 綁定關系進行一致性校驗，校驗結果作為是否啟用遠程控制、數字鑰匙、遠程診斷等能力的前置條件。

需求3：異常構型下的功能降級策略

當檢測到關鍵部件身份與當前 VIN 不匹配、關鍵部件數量/類型與出廠構型不符或存在重復使用的部件身份時，車輛應進入受限模式：

- 禁用或限制遠程開鎖、遠程啟動車輛、遠程空調等高風險遠控功能。

- 禁止將位置信息和細粒度行駛數據上傳到綁定賬號，直至異常得到處理。

- 在人機界面上提示需要進行合規維修或構型復核。

需求4：關鍵部件更換與重新綁定流程

定義標準化的“授權更換流程”

- 只有通過 OEM 或授權服務工具執行的更換操作，才能更新 ECU–VIN 綁定關系和整車構型數據庫。

- 未通過授權流程寫入綁定關系的關鍵部件，在車內應被識別為“未認證件”，只能以受限權限運行，不得參與車聯網認證或遠程控制。

架構設計：

在系統架構中指定網關/域控為“整車構型裁決點”負責

聚合關鍵 ECU 的身份信息與構型數據。

與本地安全數據庫中記錄的出廠/授權構型進行對比。

向車機、T?Box 等模塊發出“構型校驗通過/失敗”的狀態信號。

在接口設計中明確

車機、T?Box 的遠程服務啟動、數字鑰匙激活、云端會話建立等操作，必須依賴于來自網關/域控的“構型校驗通過”狀態，而不得僅依據自身證書或密鑰。

云端在收到來自車輛的連接請求時，如檢測到該 ECU 身份與歷史記錄關聯多個 VIN 或存在異常遷移，應按策略拒絕提供完整服務或觸發人工復核。

04

網絡安全驗證階段

在驗證階段需要針對“拆車件跨車”相關場景設計專門的測試用例，以證明上述需求得到正確實現。

驗證1：關鍵部件遷移場景

- 測試步驟：在受控試驗環境中，將一輛車輛的 T?Box/車機遷移到另一輛車殼上，不執行任何授權綁定流程，觀察新車的行為。

- 預期結果：新車無法直接獲得完整車聯網服務，遠程控制和數字鑰匙功能保持禁用或受限，系統記錄并上報構型異常事件。

驗證2：合法更換件場景

- 測試步驟：通過 OEM 授權工具對關鍵部件進行更換并執行綁定更新流程。

- 預期結果：整車構型檢查通過，車輛在下一次上電后恢復完整車聯網服務和遠程控制能力，后臺記錄合法構型變更事件，用于追蹤審計。

驗證3：構型異常下的功能降級

- 測試步驟：模擬關鍵 ECU 身份與 VIN 不匹配、同一 ECU 身份在不同車輛中重復出現等異常情況。

- 預期結果：車輛進入受限模式，高風險遠程功能被自動關閉或限制，車內提示用戶進行合規檢查，同時向后臺上報異常事件，觸發進一步分析與處置。

05

生產與售后階段

在生產階段，需要將前面定義的“關鍵 ECU–VIN 綁定”和“整車構型信息”固化到制造與出廠流程中，形成后續識別拆車件的基礎數據。

生產1：關鍵 ECU 身份與密鑰灌裝

-在 ECU 生產或整車下線階段，通過安全工位為 T?Box、車機、網關、BCM 等關鍵部件灌裝唯一身份與密鑰（或數字證書），確保每個部件在技術上不可克隆。

-同時，將這些身份信息記錄到 OEM 內部的安全配置數據庫中，為后續 VIN 綁定和構型驗證提供依據。

生產2：ECU–VIN–構型綁定

-在整車最終裝配及下線檢驗環節，將關鍵部件的身份信息與整車 VIN、車型、配置清單進行綁定，并寫入車端本地安全存儲以及后臺系統。

-形成“某 VIN 對應的關鍵 ECU 列表及其身份”的基線數據，用于后續整車構型一致性檢查和異常檢測。

生產3：授權更換件流程預置

在生產和售后支持體系中，預置用于關鍵部件更換的授權工具與流程：

-授權工具在更換時讀取新 ECU 身份，與后臺交互完成 VIN 綁定和構型數據更新。

-未通過授權工具登記的更換操作，在后臺被視為異常行為，可觸發警告或限制相應車輛的遠程服務。

06

安全事件響應階段

當類似“事故車拆件在他處復活、原車主仍可遠程控制”的情況發生時，應按照網絡安全事件響應流程進行處置和經驗回寫。

事件響應步驟1：事件識別與初步分類

當收到用戶投訴或監控系統發現異常構型（如 ECU 身份與 VIN 不匹配、多車共享同一 ECU 身份）時，將其分類為網絡安全相關事件，進入正式事件響應流程。

事件響應步驟2：遏制與臨時處置

a.對涉及 VIN 和關鍵部件身份的相關車輛，臨時凍結或限制遠程控制和高風險網絡服務，以防止原車主或第三方繼續通過遠程手段影響車輛安全。

b.視事件嚴重程度，可能需要與車主、維修渠道及相關部門溝通，提示潛在風險。

事件響應步驟3：根因分析與經驗回寫

a.分析關鍵部件流轉路徑、拆裝過程和系統設計缺陷，確認是單次操作問題還是體系性缺口。

b.將分析結論回寫到：

- TARA 與損害場景/威脅場景庫中，補充相應場景。

- 第 9 章網絡安全目標與概念，確保“整車身份與構型驗證”類目標得到強化。

- 第 10 章的需求與架構設計，以及后續的生產和停用流程中，形成可執行的改進措施。

07

網絡安全服務結束及停用階段

在車輛停用、報廢或 OEM 決定停止對某型號提供網絡安全支持時，需要對關鍵部件的身份和權限進行妥善處置，以減少拆車件在其他車輛上被復用的風險。

停用1：關鍵部件身份撤銷與限制

在車輛確定停用或報廢時，通過后臺將相關 VIN 及其綁定的關鍵 ECU 身份標記為“停用狀態”：

-撤銷相應證書或密鑰的信任關系。

-或將其標記為“僅可在原 VIN 使用，不可再綁定新 VIN”。

-即使拆車件被物理移植到其他車輛上，也無法在邏輯上獲得完整車聯網服務和遠程控制權限。

停用2：停用信息與構型數據歸檔

-將停用車輛及其關鍵部件的身份、狀態信息歸檔，用于后續安全分析和異常識別。

-若在后續監控中發現“停用狀態的部件身份在其他 VIN 上出現”，應直接視為高風險事件，觸發事件響應流程。

吃瓜總結

CHI GUA ZONG JIE

通過上述分析可以看到，本次“事故車關鍵部件被拆解并用于其他車輛，仍然繼承原車聯網身份和遠程控制權限”的問題，并不是單一實現缺陷，而是貫穿 ISO/SAE 21434 多個階段的體系性空白。

?第9 章未

將“關鍵部件跨車使用”場景納入 item definition和網絡安全目標／概念，導致“整車身份與構型驗證”這一控制思想沒有在概念層被確立。

?第 10 章

產品開發階段因缺乏上游輸入，沒有形成“關鍵 ECU–VIN 綁定、整車構型一致性檢查、異常構型降級”等明確的網絡安全需求和架構設計。

?第 11 章

驗證階段測試用例未覆蓋“關鍵部件拆裝到另一輛車”的負面場景，導致問題在量產前沒有被發現。

?第 12 章

生產及售后流程中，關鍵部件身份灌裝和 VIN 綁定沒有與授權更換流程緊密結合，使得 OEM 難以有效管理部件在生命周期內的真實流轉。

?第 13 章和第 14 章

安全事件響應和停用階段尚未建立針對停用車輛和拆車件的身份撤銷與異常監測機制，拆出的關鍵部件在其他車輛上重新獲得完整功能缺乏技術阻斷。

因此，問題解決的重點，不是單點“修一個接口”，而是沿著9->10->11->12/13/14這一鏈路，補齊從場景識別、目標和概念、需求與架構、驗證測試，到生產、事件響應和停用控制的一整套閉環，使關鍵部件即便在物理上離開原車，也無法在其他車輛上自動繼承原有的數字身份與遠程控制權限。

這個瓜你吃明白了嗎？

作者名片|ZUO ZHE MING PIAN

作者：常城