尚进博士智能驾驶基础软件实现数据安全防护架构及落地实践

　　以下文章来源于ICMA智联出行研究院
　　2022年12月7日，智能网联汽车数据治理和发展论坛成功召开。论坛由北京市高级别自动驾驶示范区工作办公室主办，ICMA智联出行研究院、北京国际数字经济治理研究院、清华大学国家治理研究院承办。
　　本次论坛以线上的形式举行，智能网联汽车行业相关单位和企业代表近300位嘉宾在线参会。论坛以＂数据安全与发展＂为主题， 国汽智控（北京）科技有限公司总经理兼首席技术官尚进作题为《智能驾驶基础软件实现数据安全防护架构及落地实践》主题报告。
　　国汽智控（北京）科技有限公司总经理兼首席技术官 尚进
　　尚进强调， 车内数据安全治理是智能汽车面临的一大挑战，车内数据产品应实现＂融合但解耦＂，贯彻＂双周期＂和＂车规级＂思路，即数据安全技术要与自动驾驶相结合，实现数据处理生命周期和自动驾驶的生命周期相结合，同时输出车规级产品，保证系统高可靠性。
　　以下为演讲摘录：
　　主题报告主要从智能汽车数字化过程中产品的角度来回应今天的主题。一方面，安全保发展，智能网联汽车需要数据安全合规产品。另一方面，安全促发展，数据安全促进了车内数字化。本次演讲从自动驾驶和基础软件的角度分析介绍＂数据安全防护体系＂，分成＂智能网联汽车的核心平台＂＂信息安全和数据安全防护体系＂＂数据安全的重要性和挑战＂＂基于车控OS的数据安全架构及落地产品＂这几个部分。
　　一、智能网联汽车的核心平台
　　E/E架构的演进趋势和软件定义汽车的商业模式使＂计算平台硬件－车控OS－应用＂成为智能网联汽车的核心平台。智能化是汽车变革的下半场，同时是整个变革真正的核心。智能化就是车辆产品的数字化，而数字化即形成新产业链和新开发模式，简言之就是在汽车的硬件、操作系统和应用方面进行更新。硬件更新相对比较容易实现，软件更新面临的挑战较大。
　　在智能汽车标准体系方面和开放方面，中国是领先全行业的。目前，＂车控操作系统参考架构＂已经成为我国的国标体系。
　　就操作系统而言，包括系统软件层和功能软件层。智能汽车行业实际上带来的是功能软件层的创新，类似于手机生态中的安卓系统（Linux内核+手机硬件的抽象+APP开发的框架上形成安卓）。
　　我们更加呼唤类似手机安卓系统的开放体系。智能化的核心价值是软件或基础软件平台，但如果该核心价值对智能汽车的核心功能或主机厂最关心的功能未起到核心作用，它就不能称作基础软件，也不能够称作操作系统。因而，基础软件一定需要覆盖的核心元素，一是智能驾驶的高效开发，二是数据安全。
　　智能网联汽车成为轮上数据中心，面临越来越多的安全威胁。数据安全是真正的蓝海市场，能够商业化落地。原因有两个方面：其一，车辆的智能化和数字化已经与ICT几乎完全一样，更多服务和资源对应的接口自然更容易引来攻击。其二，车辆的价值随着汽车传感器采集的数据量增加。数据价值的提升也意味着车辆作为数据中心的价值升高。世界各国都提出了数据安全或数据隐私的要求，但是在智能汽车行业真正落地，原因是车的数据收集量大，落地要求更加强烈。
　　中国智能汽车数据安全法规位于世界领先地位。国内数据安全合规的难点体现在两方面：一方面，车的数据收集量大，且是移动数据中心。另一方面，智能汽车数据安全面临新的技术挑战。其一，智能汽车是数据处理单元，车的数据计算力和数据处理能力惊人，原始数据经过融合会产生新的数据，包含核心价值。其二，智能汽车车内应用是异构的，车内部件分属于不同的供应商，都可能对数据进行处理，自然涉及隐私保护问题，需要在车内构建完整的数据隐私保护体系。这两大技术挑战都是其他领域数据安全尚未经历过的。
　　总结而言，数据安全挑战体现在两方面，第一是产品，尤其是车内的产品要保证高实时性、高安全性；第二是体系，例如怎么把安全技术与车内智能化技术相融合，怎么把车内异构的现状组合成完整的体系。所以克服数据安全挑战的同时，会加快车内数字化，因此＂安全不仅保发展，也会促进发展＂。解决汽车数据安全问题，最终会体现在＂融合但解耦＂的产品上。
　　二、信息安全和数据安全防护体系
　　整个体系从ICT借鉴而来。如下图，横轴是攻击，纵轴是防护技术，涵盖过去二三十年的发展，第三轴是对象。该体系在车内具体体现为五大平台和四大基础防护体系。五大平台是指云控基础平台、高精度地图基础平台、信息安全基础平台、终端基础平台、计算基础平台。四大基础防护体系是指边界防护体系、车端安全体系、通信传输体系、安全服务体系。新的挑战则包括自动驾驶安全和数据安全。
　　三、数据安全的重要性和挑战
　　数据安全是真正的蓝海市场，而技术挑战来自车内，因为车内的数据安全必须和自动驾驶相结合。报告提出了＂自动驾驶生命周期＂和＂数据生命周期＂双周期。数据安全生命周期包括数据的采集、存储、传输、处理、交换、销毁。自动驾驶生命周期包括感知、融合、预测、决策、控制，每个阶段都有数据生成，且每个阶段都有一个完整的数据处理周期。所以，数据安全车内产品需要符合车规级流程，然后和自动驾驶相结合，一起保证高实时高可靠。
　　四、基于车控OS的数据安全架构及落地产品
　　融合车内产品体现在：基于国标的自动驾驶操作系统，把数据安全作为和算法一样的重要的服务，来实现数据防护功能。数据治理分为三个模块，分级分类、数据防护、数据管控。这三个模块内容本身的实现并不复杂，但是要将其融合到自动驾驶周期中。首先，分级分类要满足国标要求，而且每次OTA升级产生新的数据，就要做新的分级分类。所以每次OTA升级代表了数据安全车内产品的升级。
　　其次，就防护而言，挑战在于实时可靠性。例如人脸数据脱敏后，自动驾驶仍然需要能够识别到十条线或者其他内容，来保证自动驾驶功能。同时，信息应该保证在不同芯片中实时处理，所以我们需要搭建一个行业融合的产品。一个融合但是解耦的产品体现在：在每一步感知、规划、控制前后都配置有数据安全或数据治理。整个数据安全产品可更新，分级分类要不断更新，管控策略也要更新，但是有一个共有的引擎。要实现车规级可落地，同时也要满足法规要求。
　　五、总结
　　数据治理要促进和保障智能网联汽车的发展，最大难点是车内的数据安全产品，云端等车外的数据安全治理已经拥有相对成熟的方案。大背景是智能汽车的发展，简言之，E/E架构、核心产业链、硬件操作系统和应用等构成核心驱动。
　　车内的数据安全产品需要体现两种不同行业（自动驾驶和数据安全）的融合和解耦。解决问题的思路则是融合自动驾驶和数据安全双周期，实现车规级落地。智能汽车作为汽车变革的下半场要拓展规模，前提则是汽车的数字化，即产业链重构、硬件操作系统和应用。安全保障智能，但更促进车辆数字化，即不仅自动驾驶本身的发展会不断推动汽车数字化，同时数据安全产品的落地也会推动汽车数字化进程。