2016年12月7日,第九届TC汽车互联网大会在上海正式开幕。作为一年一度的汽车互联网盛会,今年的主题是“汽车+移动互联网:跨界思辨汽车产业终局”。通过7、8、9日三天,集中行业话题,探讨汽车借助互联网实现转型与价值提升,在这场全球性汽车产业大变革中,打造中国车联网创新驱动力!以下为圆桌论坛实录。
主持人:感谢Philippe Aubet先生的分享。讲金雅拓还是我们传统的卡商,为我们的汽车行业更多地是提供卡,还有面向远程的全球化的部署,本地化服务的能力,包括它的平台,包括SIM卡,嵌入式的SIM卡的管理能力,今天更多地讲的是安全的,面向未来的出行服务。
我们看到几个月前沃尔沃向我们演示过,也做到了通过设计做的方案,未来通过平台的终端支持,我们通过手机共享车辆,希望能够使经济更快速的发展。
主持人是金雅拓物联网事业部中国区总经理林瑶先生,智车优行(奇点汽车)联合创始人季申先生,北京九五智驾信息技术股份有限公司车联网事业部总经理张金先生,武汉英泰斯特电子技术有限公司新能源产品线总监李立先生,标致雪铁龙集团 Telematics项目经理郑伟良先生。有请各位!
主持人:大家下午好,感谢建宇介绍了我们公司的情况,接下来的圆桌讨论是我们想的主题,安全始于设计,也是车联网安全。早上奇虎已经主持了非常精彩的圆桌讨论,我们也看到了现在大家都在谈车联网安全,而且大量的黑客世界也让车联网企业意识到目前的车联网安全是一个很大的议题,风险非常大。
我们也看到车联网期望希望知道怎么样去找到这这些隐患,怎么让自己的体系更加安全。我们今天荣幸地请到了4位嘉宾,也是与我们金雅拓在安全方面有非常多的交流,包括业务上的合作。我们希望通过待会儿45分钟的圆桌讨论能够一些启发。首先想请各位做一下自我介绍,同时也介绍一下自己公司的业务情况,另外简短地说您认为最重要的安全要素是什么。
郑伟良:大家好,我是来自标志雪铁龙的郑伟良,我认为目前网络安全中最重要的安全要素不是在于要用什么样的技术去防守黑客,我认为目前网络安全当中最重要的要素是要先建立内部的管理制度,因为我认为银行不是只有外面的强匪,所以内部的管理制度是非常重要的,谢谢!
张金:大家好,我是来自于九五智驾的张金,在整个车联网行业的定位是做端到端的软件的整体解决方案,以及我们的服务运营。从我们的角度来看,安全是有两个要素是我们非常在乎的,一个是安全的意识,另外一个是安全成本。艺术的因素和咱们车联网包括网络安全都息息相关,也和其他行业的关系。
比如说一个简单的例子,我们开车的时候路过一个十字路口,即使是绿灯,有些老司机会下意识地把脚放在脚踏板上,这就是一个安全的意识问题,即使他能顺利地通过,但是他还要防着别人,防着那些不首规则的车辆,所以我们想意识的因素在整个安全体系里面是个重要的位置,只有增加了安全意识,我们做项目,做产品,做运营的时候才能根本上地杜绝安全问题的发生。
另外我们更关注的是安全的成本,大家先都在谈安全,安全挂在嘴边,但是真正实施安全的时候大家都心里发慌,因为要真金白银买安全,如果金雅拓公司能够提出比较高的安全方式是我们比较乐意看到的。
季申:各位好,我是季申,我来自机奇点车。我们说一下安全这个核心的要素,从我们公司来说,从汽车的信息安全来看,它其实是来自于技术,定位于服务,技术层面有软硬件的区分和协议的安全、通信的安全和云端服务器的安全,这是互联网企业现在经常做的一些重点,关注的一些安全问题。
从智能汽车的服务来说,我们可以看到它有三个方面,第一个方面就是对车里驾驶员有用户体验的需求,我可以用APP去开一下空调,我在车内听一下歌。
第二个是从车辆的变更功能,我可以让车辆具备了自动驾驶的功能。
第三就是从车主动预警还有操作方面。
我们总结了一下,我们可能在安全上会有最基本的三个要素,我们简称为CIA,C是保密性,因为涉及到了APP的远程开启汽车,以及汽车在行驶过程大量数据的产生,这些都是和用户紧密联系的,I就是从车的资产来说,它所有功能的增加,或者是一些功能的升级、删减,无论怎么去做都要保证完全性,A就是可行性,是针对车的主动预警功能和控制功能。比如说你车在往前开的时候看到一个障碍物必须要停下来,这是工程的可行性。
从这三方面来看我们有CIA的安全三要素。奇点也是以安全三要素为基本的出发点,全面地分析智能汽车系统可能会面对的安全问题。
李立:大家好,我是来自武汉英泰斯特的李立,武汉英泰斯特是一家专注于数据服务的企业,产品定位是数据的采集、分析、管理。我们面向的服务对象主要是以整车厂,是确保整车厂能够获得客观高效的数据,并且能够专业地使用数据,针对刚才林总提的问题,车联网范围很广,分为车内网,车基网和车载移动互联网,从体系架构上面又分为云管端生成体系。
我个人是从安全设计的角度,我认为安全的要素主要是有四点。
第一点是机密性,主要是确保一些没有被授权的用户没有办法获取和使用的。
第二点是真实性,主要是一些篡改、冒充。
第三点是可控性,确保整个车联网系统能够被管理者监控。
第四点就是可用性,确保被授权的用户可以正常使用整个系统。
谢谢。
主持人:我们也看到四位嘉宾分享了他们认为的核心安全要素是什么。刚才标志雪铁龙的郑总也提到了前期的规划,标志雪铁龙作为领先的车厂,我们看到它已经在车联网的安全领域有亲好的规划,也想请郑总再具体地介绍一下雪铁龙在安全方面的经验,尤其是在项目前期,这个对国内的车厂,国内的车联网企业都会有比较好的借鉴的意义。
郑伟良:对于网络安全来讲,我一开始并不会针对某一个项目,网络安全对我们也是公司层级的议题,所以在我们公司这边有一个安全委员会。制定我们内部对信息安全或者是网络安全的大大小小的事情,比如说多久要换一次系统,这个安全的意思是植入在我们的DNA里面的,当你的员工都有这样的意识,你才能够对一个项目做网络安全的设计。
网络安全是一个新的议题,也是一个新的技术,如果对这个不熟悉的话,确实是有改变会来源的比较好,因为如果到最后才发现有漏洞的话,到时候再做整改会花很多时间,整个项目会延迟,甚至上不了线。
我做过几个项目,在每个项目的最后都会邀请第三方来帮我们做切入性的测试,这是请比较中立的模拟黑客,看一看有没有漏洞,我们确实会跟第三方的咨询公司来做合作的。
主持人:这一块儿待会儿再具体问郑总,我相信在座各位会对这个内容比较感兴趣。我想问一下九五智驾的张总,因为早上谭总主持的圆桌里面有提到了360的案例,九五智驾本身是TSP的供应商,你们在平台侧以及在手机的APP侧,有没有对数据安全、账户安全做加固?你们怎么来保证平台和手机APP产品的安全?
张金:我们作为TSP是一个服务的供应商,无论是我们的平台还是给用户使的终端都是服务的方式。除了手机APP以外,还有像网站、车基都是给用户的服务交互渠道。
我们在前期规划和做case的时候就已经把这个考虑进去了,因为有一些公司由于车基、费用的考量只能做功能性的,所以我们把功能性作为一个需求列在里面,针对这一部分会有额外的成本,也会带来直接的安全性能上的提升。
基本上从前期的规划到后期的验证包括交互,中间会穿插着各种各样的审计,我们会请第三方的IT咨询公司帮我们做审计,帮我们做认证,尤其像APP,因为APP攻破太简单了,如果没做过代码混淆,没做过加固,基本上很容易攻破。
但是现在从车厂的角度来看没有这部分的考量,尤其是国内自主的OEM,在我们角度车厂随着对安全意识的提高对供应商的安全功能性很明确的要求,再加上对应成本的投入,从我们的角度来讲会更有利于我们提供更加安全的TSP服务。
主持人:您认为现在对于九五来说在安全已经有了规划,但是考虑到成本的因素,上游车厂没有在这一块儿预留足够的费用。
张金:对,因为安全是个无底洞。
主持人:我待会儿会再问第三方的咨询服务,包括在安全方面的投入预算。我想问一下英泰斯特的李总,因为你们有一块儿产品是做T-BOX侧,我们现在谈到有很多的T-BOX常常也在规划,有一些硬件的安全的分区,从您这边的经验来看,或者是目前在实施的过程当中,你们对安全芯片以及安全的能力是怎么来考量的?
李立:关于T-BOX侧安全规划这一块儿最近几年也能够深刻感受到整车厂对安全的担忧。在安全方面的规划我们主要是从两个维度去考虑的,第一个是T-BOX本身的安全,设计上的安全,这个主要分三个层面。包括有硬件安全、运行安全、数据安全。这里面就包括内部的调试接口的管理,还有一些其他的两个芯片之间数据的安全,运行安全就会涉及到一些关键数据的加密和存储。
数据安全涉及的就最多了,包括数据存储的安全和通信的安全,通信的安全这边又分跟其他的基于总线的通信,还包括跟云服务基于无线通信的安全。
第二个维度首先我们认为是有不同效应的,除了一个产品设计本身,第二个维度是从T-BOX的相关开发流程和管理体系,包括从需求到开展到设计,到测试到生产,包括将T-BOX交给整车厂之后相关的维护管理,因为技术也只是安全的一方面。
我们关于安全目前总结下来客户的需求主要是集中有两类,第一类是以单向的车辆数据的监控。第二类是基于双向的车辆的远程控制。如果客户对需求里面包含的双向通信的应用,现在大部分客户都比较容易接受安全芯片的解决方案。
在形式上面又分为独立的安全芯片或者是SIM卡和安全芯片二合一的形式。刚才张总也提到成本,可能成本在T-BOX会体现的更明显,我们一般情况下会将用户的需求进行分级,不同的需求可能有不同的安全级别,我们只需要保护最核心的最关键的一些数据或者缩小我防守的区域,这样能够在尽可能不增加成本的情况下面降低我安全的风险。
主持人:李总从你的角度刚才也说了跟张总的顾虑是一样的,可能提高了安全增加了成本,但是这个成本还是需要上游的车厂和项目来支撑。
李立:对。
主持人:接下来的问题回到刚才对于标志雪铁龙的郑总还有奇点季节的季总,作为车厂,一家是传统的车厂,一家是互联网的车厂,你们在全球项目规划的时候如何引入安全评估机制?是否会要求第三方提供相应的安全的服务,未来是否在你自己的供应商引入安全的标准?
季申:其实奇点汽车作为一个智能汽车的设计公司和制造单位,我们从一开始就组建了自己的安全团队。所以我们在车辆的信息安全这一块儿,在整车的设计、研发、测试的生命周期中已经引入了,我们的团队已经开始研究国内外的安全标准,也会看一些安全的指导标准。比如说像美国的道路安全局发布的G3061,制定出我们智能汽车的各个部件的安全解决要求,包括中控,仪表盘、网观、控制器。
因为这个系统是个很大很复杂的系统,我们自己的团队会从面上把关这些东西,但是涉及到一些具体的实现或者具体的行业董仲,我们也在结合一些机构、企业包括一些科研单位,依靠他们的力量一起来制定一个安全的智能汽车生态。
同时,从我们自己来说我们也在建立这么一个安全体系,这个安全体系从标准开始入手,解决这个标准,再去定义这个系统的安全定义,在此挖掘一些漏洞,建立一个威胁的建模,再进行风险评估!自己建立这么一套体系。我们也希望用这套体系针对智能汽车的路行行为,对接路的控制,路清的监测,以及主动恢复这四个阶段进行全面的控制。
同时,咱们又回到一些行业会不会采用第三方的东西,包括我们在今后的攻防的测试,包括比较细的安全技术点都会大量进入第三方,我们希望更多优秀的供应商来把安全的体系搭建的更加牢固。
回到标准来说,我们现在也有一些团队的成员有人在参与国家的智能汽车的安全标准的制定工作,我们也希望依托国家的标准以及结合一些行业的协会来一起进一步地完善汽车企业的安全标准。
郑伟良:标志雪铁龙推出车联网服务经营了好多年,从欧洲到中国,所以我们也形成了一个自己的安全体系,当然我们对下一个车联网有技术手段。
我们最近项目并不是用什么样的技术增加成本造成我们的漏洞,其实有时候是供应商自己本身的低级错误发现的漏洞,所以我回复刚刚这两位,有时候这个不需要增加,增加只是管理成本,并不是硬件成本。
主持人:刚才季总跟郑总也讲从车厂的角度一个是会定标准,第二个也会引入安全的评估,不管是自身的力量还是第三方的力量。英泰斯特是T-BOX供应商,也接受了车厂作为攻防的对象,能不能在这里也给大家分享一下大概的一些评估衡量。你们有没有透过这一类的安全分析找到刚刚提到的漏洞。
李立:最近我们跟整车厂合作,正在请第三方进行安全测试主要是从攻击测试为主,包括云平台、手机APP,现测试应该接近尾期了,前期我们跟整车厂和第三方安全公司沟通的过程当中发现,不管是车辆端、云端、手机端这一块儿任何一个小的漏洞就能够让黑客进入你的系统内部,甚至云服务的系统内部。我们认为安全应该是系统性的工作应该是长期性的工作,坚持下去才能够保证相对的安全。
主持人:现在我们看到的大多数情况还是车厂在主导车厂会有预算,请第三方或者是机构来做咨询跟公关测试。作为供应商,不管是TSP还是Tier1,刚才你们提到了成本,提到了预算的问题。有没有可能未来做更多的预算?在整车厂给到你们一些任务之前,整车厂做攻防的项目,指定你的产品之前,供应商已经做好了前期的准备,或者请第三方做一些预测室,把基本的漏洞规避掉。这个我想听听李总和张总的想法。
张金:我是特别赞同林总的提议,某一个环节都应该把安全做到位,所以基本上供应商是应该有这个职责去做这种关于安全的评估、审计以及交付。
我们现在在帮助欧洲一个豪华的车厂进行交付服务,这里面涉及到支付,所以他就要求我们做PCI认证,只要有一项打叉就拿不到业务。所以我们发现每一个数据流的关键节点都有一个验证的标准。
比如说你的数据怎么存储的,那些敏感数据是不是做加密,这个加密之后你保存了多长时间要自动销毁,你的运营人员是不是有权限,有不同的等级看这些数据。
所以从我们角度,加强自己这一块儿的安全方面的管理,应该是比较重要的。即使在车厂没有提的时候也应该做,但是要保持平衡。
主持人:这个投入还是值得的。
张金:你做过一遍之后,你下一个项目做潜意识工作的时候就会按照这个做。
李立:在整车厂提出这个要求之前我们现在也意识到安全很重要,我们也会请类似于金雅拓这样的公司给我们提供一些安全方面的咨询服务,我们是希望从整个产品过程当中体现作用,比如说安全规范应该怎么样,如何测试,人力资源的建设也是要提前准备的,同时也会针对自己的阶段性的成果请第三方来做安全方面的测试,确保跟我们的预期有没有多大的差距,在有准备的情况下去配合整车场可能会显得比较轻松一点点。
主持人:下一个问题可能会比较聚焦到产品了,因为现在所有的联网汽车里面一定会有一张运营商的SIM卡,我们是卡商,我们提供SIM卡,SIM卡也是安全的器件,数据是不可被篡改的。
想问一下各位你们是否觉得未来这个载体有可能也会成为车厂或供应商保存一些敏感数据?像证书、密钥的载体?可以把SIM卡的功能芯片拓展,拓展成为成熟敏感信息的安全芯片。
张金:我们虽然不做硬件,但是我们觉得在一个原有的基础上利用尽最大程度去附庸现有的硬件、软件的资源可能是比较折中的一个方法。从我的角度来看,如果SIM卡里有一个区域能存刚才说的可信任的敏感数据,可能对车厂来讲是一个比较经济的做法,因为中国人讲中庸,完全拿芯片放上去的成本、架构是完全不一样的,你附庸一些资源改造一下,我个人认为这种应该是有一个趋势。
主持人:李总呢?跟你们的相关性比较大,涉及到硬件的成本。
李立:我们在国内分时租赁的市场还是比较多样的,但是目前这种分时租赁的模式还是处于被用户慢慢接受的状态,我们认为后来这种虚拟要素肯定会比我们使用刷卡器或者其他的方式更安全更方便在应用上面后面应该是用扩展他些敏感信息的保护和相关的计算,安全芯片也可以在某种程度上面去弥补这种车连车在性能、计算方面的不足。
主持人:季总呢?因为你们也用到了安全芯片。
季申:我跟他们两个人的想法差不多,这么做有一个前提,我们的运营商能不能支持。
主持人:这个是一个正在开放的话题,我们也在跟车厂、运营商讨论这个话题,主要是涉及到这个芯片的运营商,因为里面有两个数据分别归于运营商和车厂。
我们的同事在前面的介绍里面也讲了我们的虚拟车钥匙的解决方案,今天分时租赁共享经济模式非常火,虚拟的车钥匙也是一个很眩或者是很火的新的功能,我相信在座的各位也有相关的项目涉及到了功能,我们也看到虚拟车钥匙能带来便利,但同时它也开了一个口子。
能不能请各位也谈一谈类似于像虚拟涉及钥匙的新的虚拟方式,我们如何在便利的同时达到安全的效果?怎么样达到平衡?这个想听季总先来谈一下你的想法。
季申:因为正好也要做这件事情,谈一下我的看法。首先我们希望它是安全的,首先了解它的工作机制,基本上就是从云端下放一个防伪的方式到你的手机上。发现这个码是正确的,你可以把车开走的流程。
你发现我多出了和几条节点,在节点上引发存在潜在的安全问题。
第一个是从云端下发这个过程,可能会在些远程的欺骗的攻击行为,从手机本身就不用说了,可能苹果好一点,安卓就存在被逆向的过程,使得你整个监测流程都被黑客攻击者所知道。
最后从车的蓝牙来说,现在像Uber的开元软件具备了去及你马的能力,所以这几条链形成了其他的安全问题。
怎么解呢?我觉得可能第一个方面是从安全的逻辑上,我们的流程是不是可以进行二次确认的方式,让它变的稍微复杂一些。像郑总刚才说不需要硬件成本的提升,可能软件上多做一些工作就达到了安全目的。
第二个是密钥的配置,密钥怎么存放也是很重要的问题,第三是在安全技术上,除了我们,手机、云端可能需要比较可信任的平台,达到金融级别的可信任的平台,可以去做授权或者是权利收回的过程,也谈到金融级别的可信任平台,我突然有个想法,我们以前讲区块链的问题,区块链使得我们的比特币非常安全,做伪造或者多发了比特币,我后来想是不是可以用区块链的技术来取得安全、防护信任机制?
张金:我想谈两句,刚才谈到安卓手机容易被逆向的问题,之前跟林总也交流过,我们可以把它分层,分陈两部分,一个是基础的业务另外就是专门和敏感数据相关系的模块,这个模块可能不是从官方下载的,可能是从我们指定的私有的服务器里面下载,当用户在正规的或合法的商城下载,其中有块儿东西不变,永远是从核心的平台下载。这项技术和方案一定是现成的。
主持人:因为早上奇虎谭总也谈到了最新的案例,也是因为APP被攻破了,我们现在也是希望一些重要的应用,我们建议分成两块儿,就像张总刚才讲的,有一块儿是通用的,可能在各种各样的地方都可以下载,有一块儿是通过专用的服务器,里面有一些核心的数据,一些Key,这样从某种意义上也可以提升应用的安全等级。郑总你对这个怎么看?
郑伟良:我觉得金雅拓在这方面比我有优势。
主持人:因为本身你们的车也在上虚拟车钥匙,所以也想请你分享一下。
刚才郑总也提到,我们最近也做了虚拟车钥匙的解决方面,我们主要是提供后的Key的生命周期管理,能够从原端下载多制定的手机平台,激活、删除、销毁。我们也觉得现在越来越多的车厂会引入这个虚拟车钥匙的能力,刚才Philippe Aubet也提到了,怎么在便利的同时能够保护好资产,因为车还是比较重要的资产,这个是我们努力的方向,也是我们给车厂包括供应商提供的值得信任的解决方案。
我最后一个问题,也是现在比较火的,因为特斯拉能够透过OT更新功能,但是也打开了风险的长口,也想请各位聊聊它的特殊性,以及对安全的考量。
郑伟良:我们的车有这个功能,目前只针对T-BOX,我觉得这个功能是非常有必要性的。因为如果有新的功能的时候我们就不用召回车子来继续改造设计,所以这可以给车主一些比较感觉,我们的车一直不断地推行新功能,所以我觉得这是好事情,但是也开放另外的漏洞,所以在前几个规划的时候我们必须针对它的流程来做详细的规划,再决定要不要推出这个功能。
季申:作为智能汽车来说,它的确是非常非常关键的管道,有了这个技术使得我们经常提到的软件改变硬件的方式可以实现。在汽车上智能比在手机上完全不一样。
第一它的可能性,你会发现汽车的生命周期很长,不像手机可能一年换一个两年换一个,汽车可五年、十年,在这个过程当中代码会一直变化,你会发现这个东西越来越膨胀,你必须保证可靠的,因为你会发现window用到最后死机问题都出来了。
第二是有网络的,我们必须保证它能够恢复,手机无法恢复是私人问题,汽车没法恢复的话就是公共交通问题。
第三个是复杂性因为车上的ECU很多,跟手机完全目前一样,可能部分可以伸,这些中间又存在很多的相互依赖关系,所以车厂要面对不同版本的管理。
主持人:郑总提到是只升T-BOX,对奇点来说?
季申:会升的更多一点,所以在安全性上你会发现当它不停地有这种链路存在的时候,这个车的暴露率更多了,越来越暴露在外了。对于风险系数也就加大了。
第二方面就是ECU越来越多,可能以后比较高级别的安全部件也可以通过这个方式,这个时候你会发现工具链变大了,从我们里面来说你要防止的东西就越来越多了。也是非常大的挑战。
主持人:非常感谢四位嘉宾的分享,我们希望安全源于设计,也希望今天的45分钟的分享能够抛砖引玉,给各位车联网企业能够有一些参考的作用,非常谢谢大家,也谢谢各位嘉宾!
