博泰唐焱:已拥有3420项车联网专利,2020年要升级至5000项

安全体系不应该只针对车联网,而是覆盖车厂整个信息安全和企业流程管理、人员管理,应该是个一体化的方案。

11月20日-21日,由车云网主办,电动邦协办的“2019中国安全产业大会暨第三届交通安全产业峰会”在广东省佛山市召开。本次峰会以“安全出行 智享未来“为主题,下设新能源汽车安全专场、新技术安全专场以及智慧交通安全专场三大分会场。来自产、学、研等和出行安全相关的企业代表齐聚佛山,共同探讨新四化背景下汽车行业产生的安全新问题。峰会期间,博泰集团云平台部门研发总监唐焱,发表了主题为《博泰智能网联安全解决方案》的演讲。

以下为演讲实录:

大家好。我是博泰云平台的唐焱,2013年进入博泰。非常感谢主办方提供这样一个机会,分享一下博泰智能网联安全方面的一些想法。

主要分为五个部分。先介绍一下博泰——博泰是2009年成立的,到10月20日刚满十年,可以说是一家历史悠久的车联网公司。博泰注重的是用户体验,并且作为一家创新公司,我们对知识产权上非常重视。博泰的业务涵盖了整体车内数据、汽车电子硬件和车载操作系统,还有车载软件,语音AI与地图集中程度,TSP车联网服务运营,还有PAAS与SAAS云服务等等。博泰共有一千名员工,在全国各地都有一些分支机构。此外,博泰拥有车联网服务的各种资质。

需要强调的是在知识产权方面,博泰在国内车联网领域中做得是比较好的。按照2018年官方统计,博泰在车联网拥有655项专利,排名国内第一,国际第五。按照计划,今年10月我们已经实现3420项专利,到2020年要申请5000项专利。这个目标看上去非常激进,但是实际上我们都在努力实现。博泰的专利奖励是非常丰厚的,如果大家愿意来一同创新,希望大家可以加入博泰。

博泰的客户基本上覆盖了国内的高端、中端和低端车厂,包括国内,合资品牌以及豪华品牌。

整个车联网行业环境非常复杂,需要和车厂系统做整合,终端包括车载硬件、车载OS、车机应用、语音AI、地图各种在车上应用的整合,云端包括SAAS平台、PAAS平台、通讯协议,另外还有第三方资源整合、支付、接入,甚至博泰还在做车联网车主运营等事情。

对于车联网行业来说,在2014、2015年以前,国内车厂对于车联网安全是完全空白的,包括博泰自己的相关认识也是接近空白的。但是2016年以后博泰不断为自己的产品和系统添加安全能力。

我们简单收集了一下去年车联网领域的安全事件。在2018年以前,都是安全研究机构、高端黑客在研究车的漏洞。直到2018年,出现了几个重要事件:一个是车联网用户数据泄露,一个是黑客通过车联网偷盗车辆。显然,安全形势越来越严峻。

在政策层面,美国通过了首部汽车网络安全标准,也就是SAE安全标准。国内在起草安全标准体系建设,国内车厂也越来越重视安全建设。

从车厂角度来说,2018年时车厂提出的车联网项目的相关需求中,已经明确提到了各种各样的安全测试、安全保障需求,这是非常不一样的转变。

从平台本身来说,我们一直持续在做各种安全防护,包括内部安全、内部漏洞保护、外部攻击防护、系统稳定性以及整个云端的执行。

车联网攻击面,最终离开不开端、管、云三方面。对于云平台而言,攻击面包括安全认证、用户入口、实施远程控制、调度、管理各方面。对于管道来说,移动通信,近场通信,还有各种通讯协议,手段由仿冒、拦截等方式。对于车机端攻击面,车机只是信息娱乐系统的时候还不那么危险,现在车机连接了CAN总线,就会对整车产生影响。对于整车来说,会有wifi、蓝牙这样的接口。对于移动端来说,以前对安全性要求没有那么高,但是现在手机端应用上,越来越多的功能跟车联系更加紧密,包括虚拟钥匙、远程控制等,因此手机端的攻击面也变得非常多。

最后,介绍一下博泰在安全方面做的一些工作。擎OS是博泰车载的操作系统,博泰为了实现车载支付,所以研发了一整套的安全架构。为了满足支付对安全要求,擎OS对整个系统的安全有着严格要求。首先是安全Boot,加载程序,确保是没有被篡改的ROM。通过Linux级别的特定文件和资源,在被破坏后,可以把权限限制在某一个区域,不影响其他的区域。PKI对于所有的安全体系来说,是核心的架构,它可以做统一身份认证,现在推出的每一个设备都有自己的证书,服务端也会有自己的证书,每一个应用程序都有签名,用户也有自己的证书。我们所有通信都是双向认证的。

至于TEE,可以解决车载上客户端密钥安全存储,安全支付。博泰现在与银联进行人脸支付的合作,这也包括在安全TEE里面。 不是所有的东西都需要放在TEE里面,毕竟TEE的执行能力是有限的,再加上敏感数据加密技术方案,整个加密方案也需要一些必要的条件。

对于APP端本身来说,现在我们也在做完整的加固,包括APP自身加固,还有运行环境保护、业务场景保护。安全问题不光是技术问题,在业务上面我们也需要有相应的安全设计,比如说远程控制,我们要求用户进行二次认证的。

而云端安全相对来说比较成熟,且博泰所有的系统都是公有云上,有一些安全上面的防护是依托合作商的,比如现在与百度的合作。所以我们可以不负责物理安全,但对于网络安全,主机数据和应用安全都有一整套相应解决方案。

需要重点提出的还有安全审计,包括所有安全事件和预防。安全体系不是孤立的,不只是针对车联网的安全体系,应该是车厂整个信息安全和车厂流程管理、人员管理,应该是一体化的方案。在年初的时候与几家OEM沟通,发现他们经常会说:“你给我找一个供应商来帮我解决安全问题”,但是实际上安全问题不是一家供应商可以解决的。前面谈到的这些技术点,每一个技术点,都有深耕的企业,而博泰最终是一个整合方。

更多评论 收起评论

我要说

欢迎您!

退出