如何打造全生命周期的车联网安全闭环

车云按：2017年6月21日-22日，由中国安全产业协会、TIAA车载信息服务产业应用联盟与车云网共同主办的2017年中国安全产业峰会暨首届交通安全产业论坛在北京召开。本文系金雅拓物联网事业部中国区总经理林瑶发表的演讲。林瑶就金雅拓在智能汽车版块的业务和大家进行了探讨。

金雅拓物联网事业部中国区总经理 林瑶

林瑶：大家下午好！非常感谢车云网的邀请，能够有机会跟大家在这儿分享一下金雅拓在车联网安全的一些经验。刚才腾讯科恩提到了对安全芯片的看法，确实没有100%的安全，安全和成本是有很大的一个关联度，我们作为一家在做车联网安全的企业，事实上非常感谢像科恩和360实验室做了大量的工作，使OEM主机厂认识到现在车联网安全的重要性，也愿意投入资源，准备预算去做前期安全的咨询，包括攻防的测试，从智能网联汽车生命周期前期就介入安全的设计。

首先讲一下金雅拓，我们是一家法国公司，目前是全球最大的智能卡供应商，为全球几十亿的人和设备提供可信的数字服务。智能卡主要是包括像运营商用的手机Sim卡，银行的金融IC卡，还有身份证、电子护照、交通卡等都是归在智能卡范畴。现在我们也看到越来越多的物联网设备也在融入这个载体。

在这个领域我们主要做两个事情，一个是做认证，就是人与人、人与物之间要做身份的认证。另一个是对数据进行保护，包括静态的和动态的数据，包括设备端和云端的数据。一个很重要的产品就是安全的载体，安全的芯片。我们目前是希望所有的物联网设备都能够有安全的载体，不管是软的也好，硬的也好，希望能够用来实现人与人，人与物之间的身份认证。

同时我们在平台上面也有对应的管理软件，主要是OTA的平台，这个OTA平台主要是用来OTA对应的敏感数据包括PKI证书、签名。这一点事实上今天是比较关注的，因为前面几位嘉宾也都讲了，像OTA、像FOTA，FOTA接下来是一个很重要的功能。今天我们事实上是把原来运营商级别，银行级别，基于GP的标准建立在云端和设备端，这样的话你去做FOTA它的安全性会提高。

我们目前主要的行业有几大类，传统的刚才提到运营商，运营商Sim卡，银行的IC卡，政府主要是护照、身份证。同时的话我们现在也在从2010年开始进入了物联网市场，目前的话我们在全球给450多家运营商，3000多家银行，还有100多个国家提供相应的服务。在物联网领域、在车联网领域包括像奥迪、宝马，像一些大的Tier 1都是我们的客户。

如何建立车联网信任

接下来谈一谈如何在开放的环境中建立信任，我们认为接下来汽车是一个开放的环境。前面大家都讲了，接下来汽车会有越来越多的入口，举个例子刚才说FOTA是一个，FOTA事实上是接下来互联汽车必备的功能，同时它也带来很大的安全隐患。同时我们看到越来越多现在新的车型推出了虚拟钥匙，虚拟的蓝牙钥匙，这个功能很方便，但是它也是巨大的风险敞口。包括未来基础设施，车跟基础设施V2X通讯的打通。

我们认为对于新的车联网的生态系统怎么样把这个信任来引入有几点。首先肯定要做连接，我们认为肯定是基于蜂窝的连接，因为车这个形态是比较适合用蜂窝的连接。同时的话，要有永远在线的连接服务，这个事实上是我们今天Sim卡业务的一个比较大的亮点，我们事实上做了空中写号的能力。

第二个是安全，安全我们认为车连接了之后它必须是一个安全的连接，否则的话，事实上一方面存在大量的篡改数据，同时远端或者说手机就能够远程控制车。如果说这个连接不做到安全的话，其实它的风险是非常大的，我们认为要对设备、对车机，T-box做安全的加固。对手机端APP要做加固，对云端也要做加固。

连接的基础包括安全连接的基础之后要做货币化，因为最终的话所有对安全的投入，每个企业都希望是能够有所回报。

车联网安全闭环

我们再来看一下今天车联网里头的数据，有两类，一类是静态的，保存在设备端跟云端，包括用户的手机端，一类是在动态的，在车跟云端，车跟手机端在交互。这些数据事实上它的性质，它的用处不同，所以说它对应的隐私要求、安全要求也不同，需要有对应安全的措施。

我们现在对设备端还有云端包括手机APP端都有相应安全交互的手段，同时我们也提出生命周期管理的平台，这个平台其实也是基于对安全载体的敏感数据全生命周期管理，后面会有比较具体的一个介绍。

首先来看看设备的安全，车机端安全或者是T—box安全。还是会介绍安全的载体，安全的芯片，这一块东西其实我们认为是比较重要的，对于T—box网端或者车机来说，所有的应用它的基础实际上都是基于证书或者签名，这个一定要保存在一个不可被篡改安全的容器里头，这个就是我们今天大量在跟主机厂、跟Tier1交流的产品。我们认为这个是整个安全架构里头的一个基础。

还有Sim卡，因为现在联网的汽车都有蜂窝的模组，蜂窝模组一定里头对应Sim，它有运营商的数据。今天Sim还可以做远程的烧号，它可以通过安全的方式空中更新运营商的号码。还有我们软锁的方案，实际上通过软件的方式来保护软件的安全。

再来看云安全，这是我们对数据的加密，我们有一个数据加密的解决方案。然后有对服务器信息的保护，对云端应用的保护，还有对云的保护。

再来看生命周期的安全管理，我们这里是有一套完整的软件授权保护的解决方案，接下来我们认为物联网的硬件包括车，它的整个生命周期里头可能在6到8年，它的配置、功能事实上一直是在迭代，而且车厂也希望通过迭代能够一方面提高车厂的质量安全性，提高它的功能，同时在这个过程当中能够获利，它能够有变现的方式。

我们提供一整套完整的生命周期的管理手段。这个是我们的TMS，实际上透过OTA的方式对密钥、证书进行生命周期的管理。可以在一定的时间之内，你对安全载体里头的密钥进行更新，或者说下载新的密钥删除老的密钥。

安全始于设计

最后，再讲一讲我们对车联网安全的一个经验。事实上，跟前面嘉宾讲的也一样，我们认为安全始于设计。我们在法国也有一个安全实验室，给主机厂提供安全的咨询和攻防测试的服务。在整个车的生命周期里头，我们认为分了三个阶段：

• 首先在制造阶段，制造阶段就像刚才讲的现在车厂实际上要有预算，要引入第三方做咨询，同时在咨询的过程当中它可能要招一些安全的工程师，甚至于说看到有一些车厂在成立安全的专家委员会，对一些安全设计前期做一些评估，做一些决策。包括现在看到很多车厂未来会上PKI体系，基于PKI要提供哪些基础设施的投入？

• 在使用的时候，就是咱们说的车联网在生产过程当中包括上线、包括卖出去之后，需要有一整套的访问控制的这些解决方案。

• 然后在它整个生命周期里，未来的车有可能是基于服务的，在生命周期里头刚刚提到有一些功能比方说像虚拟的车钥匙，比方说像FOTA，它也需要有一整套空中证书的管理平台。

所以我们认为车联网整个安全的架构，需要在一开始前期设计的时候打下一个很好的基础。这样的话，最终万一出问题，它的损伤是最小的。

我们事实上也是透过前期咨询跟服务，投入攻防测试对目前的车型，他的方案提供安全需求评估，通过攻防的测试找到设备端到云端到手机APP安全的漏洞，然后再对应的提供相应的解决手段，包括数据的加密，包括如何更好安全的管理这个密钥，然后包括用户访问的控制。

另外的话从整个生命周期的角度来讲，如何做好安全证书生命周期的管理，未来比方说这个车出去之后，有可能随着生态的变化会有新的第三方加入，怎么样来做更好的管理。

对于安全咨询，我们在法国大概有50多个安全的专家，给全球包括车厂，包括还有很多物联网的企业提供安全培训、咨询服务包括设计的服务，还有攻防的测试。对于安全的管理我们希望在整个车联网的产业链里头，包括不同的角色之间，车厂Tier1包括二级供应商包括TSP，能够提供一整套完整的管理证书的一个机制，就是管理密钥和管理证书的机制。

最后的话在整个生命周期里头，我们能够提供一整套完整的生命周期管理的解决方案，然后配合到接下来整个汽车产业一个新的转型。从卖设备到卖服务，从买车到用车的一个转型。

这就是我今天的一个分享。谢谢大家！