使用 AWS IoT 为现代连接车辆平台提供安全性 官方博客

保护现代联网车辆平台的 AWS IoT 解决方案

关键要点

本文介绍了 AWS IoT 的新架构指导和设计模式，旨在帮助企业提高联网车辆平台的安全性。随着汽车行业的数字化转型，确保车辆安全和监控变得尤为重要。客户希望能够管理车辆身份，加密数据，并监测异常行为，以降低安全风险。

AWS 很高兴地宣布了针对现代联网车辆平台的 AWS IoT 提供的新更新架构指导和设计模式。您可以在补充博客 《构建和现代化联网车辆平台与 AWS IoT》 中找到现代化的相关指导。

联网车辆平台通过连接到云资源，帮助汽车行业和制造商解锁新的客户体验。诸如远程指令、驾驶员个人配置、娱乐功能和高级导航等特性正在改变汽车使用体验。客户优先考虑其联网车辆平台的安全性和监控，以帮助降低这些功能带来的安全风险。他们希望能够管理整个车辆生命周期中的身份、加密数据，并基于车辆数据监控和响应异常行为。

我们正在分享用于保护现代联网车辆平台与 AWS IoT 及其他 AWS 服务的 参考架构。这些参考架构重点关注操作证书的生命周期管理、加密实施以及大规模监控联网车辆。

操作证书的生命周期管理

此参考架构专注于为车辆电子控制单元 (ECU) 的身份提供和管理操作证书。每辆车可能有多个 ECU，而这些 ECU 将连接到云服务以提供不同的车辆功能。连接到云的每个 ECU 需要一个独特的身份，用于身份验证和授权服务以启用这些功能。常用的 ECU 身份是 非对称私钥，通常存储在安全的软件或硬件模块内，如可信任平台模块 (TPM) 或硬件安全模块 (HSM)，并有一个与之对应的由受信任的证书颁发机构 (CA) 签发的 X509 证书。这些证书在其生命周期中必须得到安全管理，如参考架构中所述。

证书的提供过程从工厂开始，ECU 制造商提供一个证明证书也称为出生证书。这一步骤可以使用内部机制，比如在 ECU 中安全生成私钥，或使用外部机制，例如在 ECU 外部的 HSM 中生成密钥。这一过程的结果是将私钥材料和证明证书安全地存储在 ECU 中。一旦证明证书被提供，您就可以使用 AWS 服务提供操作证书，从而以安全、可扩展和自动化的方式连接到云。

操作证书的私钥和证书签名请求 (CSR) 在集中式网关 ECU 上生成，证明证书用于对请求进行身份验证和授权。然后证书经纪人调用 AWS 私人证书授权 (AWS Private CA) 的服务，颁发一个返回给 ECU 的操作证书。AWS 私人证书授权允许创建私人证书机构 (CA) 层次结构，包括根 CA 和下属 CA，而不必负担运营本地 CA 的成本。AWS 私人证书授权还提供了 API 以撤销证书，并通过 证书撤销列表 (CRL) 或 在线证书状态协议 (OCSP) 提供检查撤销的机制。

此时，ECU 可以使用操作证书连接到云服务，如 AWS IoT Core 并使用 TLS 客户端身份验证。AWS IoT Core 提供多种机制来注册设备的 X509 证书，在白皮书 《在 AWS IoT Core 中使用 X509 证书进行设备制造和提供》 中进行了详细说明。我们对车辆 ECU 的建议是采用 即时注册 (JITR)，在 ECU 首次连接时将其操作证书注册到 AWS IoT Core。AWS IoT Core 会在保留的 MQTT 主题上发布 JITR 消息，允许您在注册证书之前执行附加检查。参考架构在该 MQTT 主题上使用 AWS IoT 规则调用 Lambda 函数，验证证书未被撤销使用 OCSP、激活证书、创建并附加策略到证书，并创建一个代表 ECU 的 物品，以在 AWS IoT Core 中表示该 ECU。

随着数百万辆汽车及其多个 ECU 连接到云，监控注册证书和策略可能十分具有挑战性。 AWS IoT 设备防御 可以通过执行 审计检查，如识别过于宽松的策略、共享身份的设备、被撤销和即将到期的证书等，来提供帮助。

AWS IoT 设备防御将这些审计结果发送至 AWS 安全中心，该中心聚合跨账户、AWS 服务和支持的第三方合作伙伴提供的安全发现。 亚马逊事件桥 允许您创建自定义规则，以根据安全中心中的特定发现定义自动行动。例如，亚马逊事件桥规则可以触发 AWS Step Functions 工作流程以自动化旋转证书、修正过于宽松的策略、发送警报通知和创建故障单等操作。

加密与监控

此参考架构专注于从移动应用程序向车辆发送远程命令如远程启动、定位车辆、门锁/解锁、窗户升降的用例，展示了您在 AWS 上可用的加密和监控选项。用户通过身份服务如 亚马逊 Cognito对移动应用进行身份验证，并使用该应用程序向 亚马逊 API 网关 中的 API 发送远程命令请求。API 请求由 Lambda 授权者 授权，该授权者验证用户身份令牌并检查用户是否具备执行远程命令的权限。一旦 API 通过身份验证和授权，API 网关便调用 Lambda 函数生成远程命令消息。来自云的远程命令消息在通过 AWS IoT Core 等中介服务时可能需要进行签名以证明真实性和加密以确保机密性。Lambda 函数调用 AWS 密钥管理服务 (AWS KMS)，使用存储在 AWS KMS 中的 RSA 或 ECC 私钥对消息进行签名。同时，该函数还调用 AWS KMS 使用存储在 AWS KMS 中的对称密钥加密该消息。然后，Lambda 函数通过 AWS IoT Core 中的 MQTT 主题将加密和签名后的消息发送至 ECU。

ECU 从 MQTT 主题接收远程命令消息，并需通过调用 AWS KMS 来解密消息。ECU 向 AWS IoT Core 凭证提供程序 请求临时 AWS 凭证，并使用这些凭证对解密请求进行 签名 和身份验证。然后，ECU 使用与用于签署消息的私钥对应的公钥验证已解密的远程命令消息的签名。在成功执行远程命令后，ECU 将敏感遥感数据如车辆状态或地理位置返回至云。其可使用 AWS KMS 在发送之前对其敏感数据进行客户端加密，并通过 MQTT 主题发送至 AWS IoT Core。数据在通过 AWS IoT Core 以及云中的任何中介服务时保持加密状态，直到抵达具有权权限调用 AWS KMS 解密数据的 Lambda 函数。该函数使用 AWS KMS 对存储在 亚马逊 DynamoDB 中的遥感数据进行加密存储。

AWS IoT 设备防御检测 通过监控连接的 ECU 行为，检测可能表明设备被攻击的异常行为。您可以配置 基于规则 或 基于机器学习 (ML) 的 检测规则，根据连接 ECU 数据检测异常行为。例如，当 AWS IoT 设备防御检测到异常的授权失败率云端指标或异常的流量模式设备指标时，可以生成一个发现。AWS IoT 设备防御会将发现结果发送至安全中心，以触发补救措施。例如，您可以使用 Step Functions 工作流程自动化执行如限制 ECU 权限通过将其物品附加到无权限的物品组或将 AWS IoT Core 中的证书设置为非活跃，以断开现有连接并拒绝未来连接尝试等操作。

总结

在本文中，我们介绍了两种新的 AWS 参考架构，供汽车客户在保护其联网车辆平台时使用。这些架构并不旨在涵盖车辆安全的所有方面，而是关注如何利用 AWS 服务保护车辆与云之间的通信，监控和保护数据，以及根据车辆数据检测异常行为。我们鼓励您使用这些参考架构作为设计和保护您的联网车辆平台的起点。欲了解更多信息，请访问 AWS for Automotive、AWS Security 和 IoT Security blogs。

作者介绍

Maitreya Ranganath 是 AWS 安全解决方案架构师。他乐于帮助客户解决安全和合规性挑战，架构可扩展且高效成本的解决方案。

Omar Zoma 是一位高级 AWS 安全解决方案架构师，现居底特律地区。他热衷于帮助客户解决全球范围内的云和车辆安全问题。在业余时间，Omar 每年为数百名学生提供安全和云方面的培训。