車云按：2017年6月21日-22日，由中國安全產(chǎn)業(yè)協(xié)會、TIAA車載信息服務產(chǎn)業(yè)應用聯(lián)盟與車云網(wǎng)共同主辦的2017年中國安全產(chǎn)業(yè)峰會暨首屆交通安全產(chǎn)業(yè)論壇在北京召開。本文系金雅拓物聯(lián)網(wǎng)事業(yè)部中國區(qū)總經(jīng)理林瑤發(fā)表的演講。林瑤就金雅拓在智能汽車版塊的業(yè)務和大家進行了探討。

金雅拓物聯(lián)網(wǎng)事業(yè)部中國區(qū)總經(jīng)理 林瑤

林瑤：大家下午好！非常感謝車云網(wǎng)的邀請，能夠有機會跟大家在這兒分享一下金雅拓在車聯(lián)網(wǎng)安全的一些經(jīng)驗。剛才騰訊科恩提到了對安全芯片的看法，確實沒有100%的安全，安全和成本是有很大的一個關聯(lián)度，我們作為一家在做車聯(lián)網(wǎng)安全的企業(yè)，事實上非常感謝像科恩和360實驗室做了大量的工作，使OEM主機廠認識到現(xiàn)在車聯(lián)網(wǎng)安全的重要性，也愿意投入資源，準備預算去做前期安全的咨詢，包括攻防的測試，從智能網(wǎng)聯(lián)汽車生命周期前期就介入安全的設計。

首先講一下金雅拓，我們是一家法國公司，目前是全球最大的智能卡供應商，為全球幾十億的人和設備提供可信的數(shù)字服務。智能卡主要是包括像運營商用的手機Sim卡，銀行的金融IC卡，還有身份證、電子護照、交通卡等都是歸在智能卡范疇。現(xiàn)在我們也看到越來越多的物聯(lián)網(wǎng)設備也在融入這個載體。

在這個領域我們主要做兩個事情，一個是做認證，就是人與人、人與物之間要做身份的認證。另一個是對數(shù)據(jù)進行保護，包括靜態(tài)的和動態(tài)的數(shù)據(jù)，包括設備端和云端的數(shù)據(jù)。一個很重要的產(chǎn)品就是安全的載體，安全的芯片。我們目前是希望所有的物聯(lián)網(wǎng)設備都能夠有安全的載體，不管是軟的也好，硬的也好，希望能夠用來實現(xiàn)人與人，人與物之間的身份認證。

同時我們在平臺上面也有對應的管理軟件，主要是OTA的平臺，這個OTA平臺主要是用來OTA對應的敏感數(shù)據(jù)包括PKI證書、簽名。這一點事實上今天是比較關注的，因為前面幾位嘉賓也都講了，像OTA、像FOTA，F(xiàn)OTA接下來是一個很重要的功能。今天我們事實上是把原來運營商級別，銀行級別，基于GP的標準建立在云端和設備端，這樣的話你去做FOTA它的安全性會提高。

我們目前主要的行業(yè)有幾大類，傳統(tǒng)的剛才提到運營商，運營商Sim卡，銀行的IC卡，政府主要是護照、身份證。同時的話我們現(xiàn)在也在從2010年開始進入了物聯(lián)網(wǎng)市場，目前的話我們在全球給450多家運營商，3000多家銀行，還有100多個國家提供相應的服務。在物聯(lián)網(wǎng)領域、在車聯(lián)網(wǎng)領域包括像奧迪、寶馬，像一些大的Tier 1都是我們的客戶。

如何建立車聯(lián)網(wǎng)信任

接下來談一談如何在開放的環(huán)境中建立信任，我們認為接下來汽車是一個開放的環(huán)境。前面大家都講了，接下來汽車會有越來越多的入口，舉個例子剛才說FOTA是一個，F(xiàn)OTA事實上是接下來互聯(lián)汽車必備的功能，同時它也帶來很大的安全隱患。同時我們看到越來越多現(xiàn)在新的車型推出了虛擬鑰匙，虛擬的藍牙鑰匙，這個功能很方便，但是它也是巨大的風險敞口。包括未來基礎設施，車跟基礎設施V2X通訊的打通。

我們認為對于新的車聯(lián)網(wǎng)的生態(tài)系統(tǒng)怎么樣把這個信任來引入有幾點。首先肯定要做連接，我們認為肯定是基于蜂窩的連接，因為車這個形態(tài)是比較適合用蜂窩的連接。同時的話，要有永遠在線的連接服務，這個事實上是我們今天Sim卡業(yè)務的一個比較大的亮點，我們事實上做了空中寫號的能力。

第二個是安全，安全我們認為車連接了之后它必須是一個安全的連接，否則的話，事實上一方面存在大量的篡改數(shù)據(jù)，同時遠端或者說手機就能夠遠程控制車。如果說這個連接不做到安全的話，其實它的風險是非常大的，我們認為要對設備、對車機，T-box做安全的加固。對手機端APP要做加固，對云端也要做加固。

連接的基礎包括安全連接的基礎之后要做貨幣化，因為最終的話所有對安全的投入，每個企業(yè)都希望是能夠有所回報。

車聯(lián)網(wǎng)安全閉環(huán)

我們再來看一下今天車聯(lián)網(wǎng)里頭的數(shù)據(jù)，有兩類，一類是靜態(tài)的，保存在設備端跟云端，包括用戶的手機端，一類是在動態(tài)的，在車跟云端，車跟手機端在交互。這些數(shù)據(jù)事實上它的性質(zhì)，它的用處不同，所以說它對應的隱私要求、安全要求也不同，需要有對應安全的措施。

我們現(xiàn)在對設備端還有云端包括手機APP端都有相應安全交互的手段，同時我們也提出生命周期管理的平臺，這個平臺其實也是基于對安全載體的敏感數(shù)據(jù)全生命周期管理，后面會有比較具體的一個介紹。

首先來看看設備的安全，車機端安全或者是T—box安全。還是會介紹安全的載體，安全的芯片，這一塊東西其實我們認為是比較重要的，對于T—box網(wǎng)端或者車機來說，所有的應用它的基礎實際上都是基于證書或者簽名，這個一定要保存在一個不可被篡改安全的容器里頭，這個就是我們今天大量在跟主機廠、跟Tier1交流的產(chǎn)品。我們認為這個是整個安全架構(gòu)里頭的一個基礎。

還有Sim卡，因為現(xiàn)在聯(lián)網(wǎng)的汽車都有蜂窩的模組，蜂窩模組一定里頭對應Sim，它有運營商的數(shù)據(jù)。今天Sim還可以做遠程的燒號，它可以通過安全的方式空中更新運營商的號碼。還有我們軟鎖的方案，實際上通過軟件的方式來保護軟件的安全。

再來看云安全，這是我們對數(shù)據(jù)的加密，我們有一個數(shù)據(jù)加密的解決方案。然后有對服務器信息的保護，對云端應用的保護，還有對云的保護。

再來看生命周期的安全管理，我們這里是有一套完整的軟件授權保護的解決方案，接下來我們認為物聯(lián)網(wǎng)的硬件包括車，它的整個生命周期里頭可能在6到8年，它的配置、功能事實上一直是在迭代，而且車廠也希望通過迭代能夠一方面提高車廠的質(zhì)量安全性，提高它的功能，同時在這個過程當中能夠獲利，它能夠有變現(xiàn)的方式。

我們提供一整套完整的生命周期的管理手段。這個是我們的TMS，實際上透過OTA的方式對密鑰、證書進行生命周期的管理。可以在一定的時間之內(nèi)，你對安全載體里頭的密鑰進行更新，或者說下載新的密鑰刪除老的密鑰。

安全始于設計

最后，再講一講我們對車聯(lián)網(wǎng)安全的一個經(jīng)驗。事實上，跟前面嘉賓講的也一樣，我們認為安全始于設計。我們在法國也有一個安全實驗室，給主機廠提供安全的咨詢和攻防測試的服務。在整個車的生命周期里頭，我們認為分了三個階段：

• 首先在制造階段，制造階段就像剛才講的現(xiàn)在車廠實際上要有預算，要引入第三方做咨詢，同時在咨詢的過程當中它可能要招一些安全的工程師，甚至于說看到有一些車廠在成立安全的專家委員會，對一些安全設計前期做一些評估，做一些決策。包括現(xiàn)在看到很多車廠未來會上PKI體系，基于PKI要提供哪些基礎設施的投入？

• 在使用的時候，就是咱們說的車聯(lián)網(wǎng)在生產(chǎn)過程當中包括上線、包括賣出去之后，需要有一整套的訪問控制的這些解決方案。

• 然后在它整個生命周期里，未來的車有可能是基于服務的，在生命周期里頭剛剛提到有一些功能比方說像虛擬的車鑰匙，比方說像FOTA，它也需要有一整套空中證書的管理平臺。

所以我們認為車聯(lián)網(wǎng)整個安全的架構(gòu)，需要在一開始前期設計的時候打下一個很好的基礎。這樣的話，最終萬一出問題，它的損傷是最小的。

我們事實上也是透過前期咨詢跟服務，投入攻防測試對目前的車型，他的方案提供安全需求評估，通過攻防的測試找到設備端到云端到手機APP安全的漏洞，然后再對應的提供相應的解決手段，包括數(shù)據(jù)的加密，包括如何更好安全的管理這個密鑰，然后包括用戶訪問的控制。

另外的話從整個生命周期的角度來講，如何做好安全證書生命周期的管理，未來比方說這個車出去之后，有可能隨著生態(tài)的變化會有新的第三方加入，怎么樣來做更好的管理。

對于安全咨詢，我們在法國大概有50多個安全的專家，給全球包括車廠，包括還有很多物聯(lián)網(wǎng)的企業(yè)提供安全培訓、咨詢服務包括設計的服務，還有攻防的測試。對于安全的管理我們希望在整個車聯(lián)網(wǎng)的產(chǎn)業(yè)鏈里頭，包括不同的角色之間，車廠Tier1包括二級供應商包括TSP，能夠提供一整套完整的管理證書的一個機制，就是管理密鑰和管理證書的機制。

最后的話在整個生命周期里頭，我們能夠提供一整套完整的生命周期管理的解決方案，然后配合到接下來整個汽車產(chǎn)業(yè)一個新的轉(zhuǎn)型。從賣設備到賣服務，從買車到用車的一個轉(zhuǎn)型。

這就是我今天的一個分享。謝謝大家！