车企如何平稳上云？亚马逊云科技为车联网安全护航

随着汽车进入到智能化时代，汽车从传统封闭环境逐步进入到互联网环境，整个汽车行业所面临的安全风险呈现指数级增长，汽车企业开始逐步认识到了信息安全的重要性。

2022年8月26日，由盖世汽车主办的2022中国汽车信息安全与功能安全大会中亚马逊云科技安全架构师王旭东凭借多年信息安全架构设计经验，围绕如何利用亚马逊云服务在云上快速地搭建一套PKI体系，从而为汽车端点通讯安全及OTA升级保驾护航的话题展开分享。

王旭东 亚马逊云科技安全架构师

以下为演讲内容整理：  

车联网时代的安全合规新挑战

随着汽车进入到智能化时代，汽车从传统封闭环境逐步进入到互联网环境中与万物互联，整个汽车所面临的安全风险呈现指数级增长。汽车企业开始逐步认识到信息安全的重要性，目前信息安全成为一个必须去实现的命题。

整个汽车行业有了越来越多的标准去要求汽车厂家的信息安全达到一定安全保护等级。海外许多法规已经对汽车的信息安全建设有所要求，在国内，去年以来也发布了很多汽车行业的信息安全建设要求，今年我国发布了《车联网网络安全和数据安全标准体系建设指南》，指导厂家从终端与设施安全、网联通信安全、数据安全、应用服务安全、安全保证与支撑五个维度去进行车联网网络安全标准体系的建设。

信息安全对于汽车行业的重要性不容忽视，它不仅仅可能会对我们的人身财产安全造成损失，甚至可能影响到国家整体安全。监管部门认为只要有四辆汽车被控制，就可能造成一个地区的交通网络瘫痪。试想一旦整个国家在道路上的几十万汽车被控制，将造成多么可怕的场景。

2015年，两位安全研究人员成功控制了一辆正在高速行驶中的汽车，研究人员利用了网络通信认证、固件更新方面的漏洞实现了此次攻击。虽然这件事已经过去七年，但是对这两个漏洞的防护如今仍旧是在车企进行信息安全建设中非常重要的两点，这两个漏洞的组合是一种非常常见的攻击路径。

那么现在车企在这两方面有什么具体的安全要求？

首先，在通信安全方面，随着V2X理念兴起，汽车开始与各种各样的端点进行互联，每一个端点都有可能成为对汽车进行安全攻击的发起方。为保证端点通信建立连接的安全性，终端与终端、终端与网络之间的通信建立需要双向身份认证，来确保通信双方身份的真实可靠。在通信连接建立后，在中间传输的数据也必须要确保不被窃听、不可伪造、不可篡改、不可重放、不可抵赖。

另外，在软件升级方面也有三个诉求：避免升级包在通信传输过程中被篡改，避免未被授权发布的升级包被安装，避免伪造的升级包被安装。

如何应对这些安全要求？归根溯源，我们需要通过三方面的技术手段进行相应防护。

首先，需要有一个非常安全的身份验证机制，从而能够去检验通讯双方的身份是否真实有效。其次，需要通过数字签名的机制，保证传输过程中的数据不会遭到篡改和抵赖。另外，我们要对通信信道进行加密，防止通信双方以外的第三方窃听到通信的内容。

为了实现这三方面防护措施，业界已有的成熟方案就是数字证书。数字证书能基于密码学保证底层逻辑上的安全，若要向各车联网环境中的终端签发大量证书，就必须建立起一个公钥基础设施体系来为终端签发证书或执行证书吊销的操作。

车联网PKI参考架构

图片来源：亚马逊云科技

车联网PKI的参考架构分为三个部分。

第一，业务服务区或接口区，这个区域里面的应用主要负责对外提供功能接口，比如负责证书签发功能的接口、负责证书吊销状态查询的接口、负责证书列表管理的接口等。

中间的核心区负责整体证书的签发、生成、吊销、存储管理等一系列核心操作。

最右边的加密机是一个非常重要的组成部分，直接决定了PKI系统是否足够安全。由于整个数字证书安全机座依赖于密码学，因此CA证书的私钥能否安全存储和管理是至关重要的。一旦CA证书的私钥被泄露，意味着任何持有这把密钥的人都可以被整个PKI体系所信任，可以随意伪造证书，使得上述一切安全保护措施都荡然无存。

PKI系统我们说简单也简单，说它复杂也复杂。它的简单体现在组件不多，业界已有现成方案，可以简单部署；但是复杂之处体现于，整体安全性不仅取决于软件是否足够安全，同时也取决于我们能否安全地运营这样的一套系统。

利用PCA服务快速构建PKI

为帮助用户快速在云上搭建起一套安全的私有PKI系统，亚马逊推出了PCA服务。PCA服务作为安全托管服务，意味着用户只需通过简单的点击配置就能够开始使用这个服务，并且服务的安全性也由亚马逊专业团队来进行保障。这种安全性不仅体现在软件设计的安全性、底层基础架构的安全性，也体现在日常运营的安全性。

PCA服务托管的私钥都由专有的HSM设备保护，所以安全性非常高，且PCA服务与亚马逊云平台的身份管理控制服务也进行了无缝集成。用户可以利用IAM对CA证书进行细粒度访问控制，例如我们可以做到某一个用户或某一个系统只能在特定时间段对特定CA证书发起一个特定操作。

PCA也支持CRL和OCSP协议对证书吊销状态查询，这在车联网系统也有一些实际应用场景。比如汽车在进行二手交易时，可能原本下发给车主的证书还没有过期，这时需要提前对证书进行吊销，我们就需要配合这些协议，让车辆终端能够查询到证书的吊销状态。

PCA服务也提供详尽的审计日志和审计报告。云平台管理员对于PCA进行的所有操作都会被审计日志详尽记录下来，方便安全人员和审计团队根据日志发现是否存在不合规的使用。除此之外，服务也会提供非常详细的审计报告，让用户能够看到每一个CA证书所签发的证书及其相应状态。

图片来源：亚马逊云科技

其次，PCA服务支持完整的层级结构，支持最多五层层级结构，并且可以完全不依赖与任何现有外部CA系统，当然也可以基于外部CA系统进行证书签发。

我们的PCA服务也支持集中化CA管理。由于整个PKI体系安全运营非常重要，因此我们希望把CA系统放在一个高度隔离的环境中，利用亚马逊账户便能实现隔离。我们建议用户把PCA服务放在一个单独的亚马逊云账户中，通过Resource Access Manager服务共享CA，可共享给指定的亚马逊云科技账户或组织，从而对共享的CA进行细粒度的权限控制。

亚马逊内部有一句口号——安全是我们所有工作之中优先级最高的工作。亚马逊内部每发布一项服务，都会有非常严格的流程策略以及技术保障来确保服务是安全可信的。为了把这种信心带给我们客户，我们会定期让第三方的审计机构对我们的服务安全性进行整体审计，我们的PCA服务也已通过了多项安全认证。

利用CloudHSM支撑现有PKI系统迁移上云

部分车企通常会不愿意利用PCA搭建自己的PKI，原因是在线下已经搭建起自己的PKI系统，且其车厂、软件、汽车内部的模块已经与现有的PKI系统进行了集成。如果贸然切换到PCA，意味着集成工作需要重新做一遍，因此这些车企更愿意把现有的PKI系统迁移上云。

PKI 架构中的业务服务区和核心区软件方案都能相对容易地部署到云上，比较难以部署的部分就是加密机部分，对此亚马逊推出了云上托管的加密机服务CloudHSM。

CloudHSM首先能够帮助用户避免花费大量精力去采购和部署专业的HSM设备，也不需要用户为如何去备份其中的密钥以及异地容灾花费精力，同样也不需要用户为如何去收集加密机中的安全日志以及性能指标而烦恼，且用户无需在多个节点之间做负载均衡与故障切换。

用户如果使用CloudHSM，只需要聚焦在两件事情上，第一是我们需要在加密机中创建密钥，并且配置用户以及访问策略；第二，需要对现有的系统与CloudHSM进行应用的对接集成。

此外，CloudHSM的分钟级部署、按需扩/缩容、节点间自动同步、自动的负载均衡与节点发现、定期自动备份、故障节点自动更替等特性也大大提升了PKI系统迁移的便捷性，带来更高的开发效率。

图片来源：亚马逊云科技

基于CloudHSM自动备份的功能，我们也可以实现跨区域的高可用与灾备。例如，如果车企去开展欧洲的业务，在欧洲部署了车联网后台系统以及PKI体系，支撑欧洲业务；随着业务的不断发展，可能在东南亚也需要开展业务，并且希望欧洲和东南亚使用同一套CA证书，这就意味着我们在东南亚也需要搭建一套一模一样的车联网以及PKI系统和CA证书私钥。此时便可以利用CloudHSM跨区域的复制备份功能，将欧洲区域Cloud HSM集群的备份复制到东南亚区域，并以之为蓝本创建一个全新的集群，此时全新的集群会与欧洲集群的配置一模一样，其配置包括密钥、策略、用户等，这就为跨区域的高可用和灾备打下了基础。

CloudHSM服务日志无需用户主动去收集，用户和密钥管理操作会被自动记录在CloudWatch Logs服务中，安全团队或审计团队可以直接到CloudWatch Logs服务中查看集群中的密钥和用户的管理操作，去判断是否有未经授权的访问存在。

使用亚马逊云科技服务保护PKI系统

除了利用我们所搭建的PKI系统去保护车端的通信安全以及软件升级安全以外，PKI系统自身的安全也非常重要。一旦后台被攻破了，之前所提到的所有的终端安全也都将得不到保障。

亚马逊提供多种功能的安全服务，如数据安全、通信安全、威胁检测、应用安全、日志监控等方面的产品，为用户在云上的业务保驾护航。

这些产品并不仅仅可以应用于PKI系统，还应该应用到所有的云平台业务上，通过这些安全服务全面的保护云业务，从而确保整体车联网的安全性。

（以上内容来自亚马逊云科技安全架构师王旭东于2022年8月26日由盖世汽车主办的2022中国汽车信息安全与功能安全大会发表的《利用亚马逊云服务构建PKI体系》主题演讲。）