欧盟 R155 核心范围

R155 不直接审核手机 App、云端环境本身,但必须审核车 - 云 - 手机整个链路对车辆安全的影响,OEM 负全责。


一、法规原文明确边界

UN R155 是车辆型式认证法规直接认证对象仅限:车端软硬件 + 整车厂 CSMS 体系,不把手机 App、云平台当作独立认证单元EUR-Lex。

1. 直接强制审核范围(必须过审)

  • 车辆电子电气系统、ECU、车载软件
  • 车端通信接口(蜂窝、Wi‑Fi、蓝牙、UDS、OTA、CAN/CAN FD 等)
  • 整车网络安全架构、防护、漏洞响应
  • 整车厂CSMS 网络安全管理体系(全生命周期)
  • 与车辆安全相关的供应商、依赖项、数据链路EUR-Lex

2. 不直接发证审核,但必须纳入管控

  • 云端:车 - 云通信、身份认证、加密、OTA 服务器、日志监测
  • 手机端 App:控车、钥匙、远程操作、账号权限、数据接口
  • 车 - 云 - App 整条链路的风险、脆弱性、应急响应

二、云与手机必须管(R155 强制逻辑)

R155 第 7.2.2.4/7.2.2.5 条明确要求:

  1. 持续监测威胁,包含车辆上线后的车云数据与日志EUR-Lex
  2. 管理供应商 / 服务提供商依赖风险,证明链路安全可控EUR-Lex
  3. 任何能影响车辆安全的入口(云、手机、钥匙)都要做风险评估 + 缓解措施

👉 结论:云与手机不是 R155 直接认证对象,但属于必须审核的关联范围,缺了就过不了整车认证。


三、最简一句话区分

  • 直接审核:车端软硬件 + 整车 CSMS
  • 间接强管控:云端、手机 App、车云通信链路
  • 责任主体:整车厂(OEM),必须证明全链路不危害车辆安全

四、合规实操

  1. 车端:按 R155 做渗透、漏洞、架构、OTA 安全
  2. 云端:做等保 / ISO 27001,提供安全评估报告给 OEM
  3. 手机 App:做渗透、权限、加密、账号安全,提供安全报告
  4. 链路:端到端加密、双向认证、防重放、防越权控制
相关推荐
其实防守也摸鱼3 小时前
运维--怎么看接口的请求和返回
运维·学习·网络安全·网络攻击模型·burpsuite·攻防对抗·蓝队
菩提小狗10 小时前
每日安全情报报告 · 2026-07-09
网络安全·漏洞·cve·安全情报·每日安全
数据知道16 小时前
DNS 安全攻防:缓存投毒、DNS 隧道与检测实战
安全·网络安全·缓存·缓存投毒
其实防守也摸鱼1 天前
蓝队相关知识学习(1)---常用堡垒机和服务器
服务器·功能测试·学习·网络安全·网络攻击模型·攻防对抗·蓝队
学逆向的1 天前
汇编——数据存储模式
开发语言·汇编·网络安全
阿米亚波2 天前
【EVE-NG 实战】防火墙基础(VLAN · VRRP · NAT · ACL · 静态路由)
运维·网络·笔记·网络协议·计算机网络·网络安全·运维开发
txg6662 天前
网络安全领域简报(2026年7月3日—10日)
安全·web安全·网络安全
Chengbei112 天前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
2301_780303902 天前
网络安全、自动化运维、ERP、CRM、MES
运维·web安全·网络安全·自动化·安全威胁分析
学逆向的2 天前
汇编——内存
开发语言·汇编·算法·网络安全