上汽通用汽车有限公司车载娱乐及B2C项目经理胡伟佳认为,开放的平台未来将成为车联网生态圈的重要基础
很久很久以前,胡伟佳发现这样一个问题:当消费者在APP上向4S店发起服务预约后,汽车经销商要经过一段较长延时,才能收到预约并做出反应。显然,对于消费体验而言,这种不能及时做出反应的服务,都不是优质的服务。
胡伟佳是上汽通用汽车有限公司车载娱乐及B2C项目经理。问题的发现让他苦恼,也令他欣喜——诸如此类的问题,最终催生了上海通用汽车此后针对“API经济”所展开的全新规划。
作为成果的一个小亮点,以上4S店的服务响应问题,在采用更加符合SOA业务架构的ESB(企业服务总线)之后,最终完满得以解决。
当然,上海通用汽车想要实现的目标,远不止于此:
如上海通用汽车旗下拥有雪佛兰、别克、凯迪拉克等众多品牌系列、门户及APP亟需统一的用户认证,并将认证与授权有效结合统一起来;
此前系统架构设计中的反向代理系统自主防护能力较弱,后台应用亟需通过平台服务进行统一安全防护;
此前使用的B2C平台对外提供的API数量繁多,对于外部开发者用户和API管理员而言,管理与沟通成本较高,缺乏针对所有API完善的管理工具;
部分用户信息的转换仍需分散至各个系统,亟需采用统一平台进行转换管理等。
API生态圈建设方法论
这些问题的解决非一朝一夕之功。上海通用汽车对“API经济”布局自2013年年底开始。首先做得便是对统一认证和统一服务进行立项研究,要对外部访问进行有效安全隔离和响应服务管理,并计划在此项目中进行新技术研究及创新:采用统一认证和统一服务的方式在移动、安吉星、微信等领域进行互联互通。
此后故事又多了一位主角。IBM成为上海通用汽车这一项目的合作方。在不到3个月的时间里,上海通用汽车将既有API全部部署在了IBMWebSphere DataPower之上、建设了API Gateway,并基于WebSphere DataPower,实现119个API的接入。
WebSphereDataPower面向服务架构(SOA),是易于部署的SOA专用设备(1U,可机架式安装)。
此后的工作也因此变得容易起来。基于延用WebSphere DataPower,上海通用汽车又完成了管理网站反向代理与API整合。该阶段完成时,其API数量减少至87个。
有基于此,双方的合作目标指向了打造B2C开放平台——基于APIManagement与WebSphere DataPower,B2C开放平台一期上线,目前已接入开发者18家。
在这一阶段,上海通用汽车实现了保护和管理API并使之“社交化”。期间,公司借助的是IBM的APIManagement。它提供了一个开发者门户网站,有助于吸引和留住应用开发人员,促进已发布的API的使用。
胡伟佳介绍说,基于此的新开放平台将会首先接纳当前的合作伙伴与开发者,并逐渐延伸到个人开发者。而这个开放的平台,未来也将成为上海通用汽车车联网生态圈的重要基础。
用尽几乎所有安全措施
和所有涉及“开放”二字的事件一样,安全问题往往首当其冲。车联网范畴内的API安全性,无疑是汽车行业信息化中备受关注的热点。对于驾驶者而言,再没有比自己正驾驶的汽车突遭程序劫持,更让人担心的事了。尽管这些讨论目前仍些许有些前卫。
不过胡伟佳对此并不担心。毕竟,WebSphere DataPower自身定位即是一个安全网关,其优势正在于安全防护——基于WebSphere DataPower构建Web服务安全网关,能有效满足Web服务安全网在访问合法性、数据机密性与安全性三方面的需求。上海通用汽车相关APP与后台的数据都通过WebSphere DataPower实现交互,这让胡伟佳轻松不少。
胡伟佳说,在安全层面,上海通用汽车始终追求极致,“尽可能利用到了WebSphere DataPower几乎所有安全防护措施”。就在接受《商业伙伴》采访的2个月之前,通用汽车公司(GE)甚至还派安全团队到上海通用汽车,对所有移动和车载APP的安全性进行了审计,以进一步确保数据在内部系统间传输的安全性。
目前,在上海通用汽车相关开发团队内,也设有一个负责安全的专项团队,以对应四家负责数据安全的供应商。这个体系对所有上线APP进行多轮安全测试,从最简单的渗透测试、安全扫描,直至更高规格的用户体验层安全测试等。