您当前的位置:   首页 > 新闻中心
使用HSM+CA保护联网汽车的身份
发布时间:2021-09-21 14:33:41   阅读次数:

使用HSM+CA保护联网汽车的身份(图1)

现代制造商的 PKI 部署混合方法

制造业是受攻击最多的行业之一,面临着一系列网络安全挑战。DevOps 和分布式物联网设备的激增,以及保护这些应用程序和设备的数字身份的需求,需要创新的 PKI 部署方法。


Thales 和 PrimeKey 正在合作提供一种混合方法来保护 PKI 密钥管理,这可以帮助正在寻找统一 PKI 治理解决方案的现代行业。该联合解决方案利用PrimeKey 的 EJBCA PKI 解决方案以及 Thales 的本地Luna 硬件安全模块 (HSM)和基于云的按需数据保护 (DPoD) 的强大功能。


要了解为什么我们需要这种混合方法,让我们研究一个信任 Thales 和 PrimeKey 联合解决方案的附加值的制造企业的用例。


用例:制造型企业

一家大型商用车辆(如卡车和公共汽车)制造商在扩大其产品组合以包括更多电动卡车和自动驾驶卡车时,需要为其车队管理提供按需安全解决方案。根据安全协议,该公司需要在车辆中部署数字证书,因此正在寻找可靠且灵活的 PKI 环境。


制造商需要一个基于证书的解决方案,为每辆车提供安全的身份。该组织的 IT 部门将负责管理和托管其开发部门的 PKI,这将使开发人员能够轻松地从其 IT 部门请求证书。


制造商的要求之一是能够进行无线 (OTA) 更新。虽然大多数车辆都被带到集中位置进行软件更新,但制造商希望能够在现场对车辆进行更新。由于他们将远程连接到车辆,因此必须为每辆车提供安全身份。


为了满足所有这些操作和安全要求,制造商选择了 PrimeKey 和 Thales 提供的组合解决方案。PrimeKey 的 EJBCA 云充当内部证书颁发机构 (CA),用于提供确保 OTA 更新的完整性和真实性所需的所有证书。Thales 内部部署 Luna HSM 和 Luna Cloud HSM 是按需数据保护平台的一部分,作为 PKI 的信任根,保护工厂内部部署或现场车辆上的私钥。


在下图中,我们将 PrimeKey 和 Thales 联合解决方案置于上下文中,展示了 PKI 的灵活实施如何能够同时支持“孤岛”和“集中式”模型或部署。

使用HSM+CA保护联网汽车的身份(图2)

为什么需要混合 PKI 产品?

PKI 是一项成熟的技术,企业可以在各种用例中加以利用,包括:

  • 访问控制和端点保护。


  • 通信验证和完整性,例如电子邮件加密、数字签名和发票。


  • 带有代码签名证书的软件供应链安全。


  • 运营技术 (OT) 的安全性和可靠性,例如保护智能电网。


  • 信息技术 (IT) 完整性和可用性,例如 DNS 服务器安全性。


但是,PKI 的强度取决于相关密钥的安全性。恶意行为者破坏 PKI 根密钥、无意错误或系统故障可能会产生灾难性后果,影响依赖它的所有组件和服务的信任。因此,保护 PKI 密钥管理以防止威胁、确保合规性以及审计密钥使用和生命周期至关重要。使用防篡改硬件作为信任根是提供强大保护和安全访问 PKI 密钥的行业最佳实践。


问题在于,许多企业已经部署了“孤立的”非连接 PKI,以适应特定的、断开连接的用例,大多数情况下这些用例链接回企业根 CA。这种分散的基础设施导致缺乏集中控制并增加治理风险。


随着网络威胁日益成为首要业务风险,企业需要建立集中式 PKI 治理和安全密钥管理并从中受益,以:

  • 扩展并适应不断发展的业务和技术环境。


  • 支持现场的新用例和分布式操作。


  • 最大限度地减少网络安全漏洞并确保合规性。


如果互联网连接暂时中断,制造商希望确保生产过程不会中断。这是一个经典的运营技术 (OT)-信息技术 (IT) 难题,这意味着安全基础设施的某些部分必须是本地的、半自治的,并且能够抵御中断。基础设施的其他部分更适合在云中,带来可扩展性和地理服务覆盖的好处,例如物联网解决方案和 DevOps 环境。


为了满足这些运营要求,企业可以利用内部部署和云部署的组合来支持他们的用例。这涉及 PKI 和 HSM。混合方法——混合本地和云的优势,可以说是保护您的 PKI 的最佳选择,并为您提供随着时间的推移所需的灵活性。


PrimeKey 和Thales联合解决方案的优势

在此用例中推动制造商在内部拥有证书颁发机构的主要驱动因素是成本和便利性。当他们评估他们需要的证书数量时,拥有内部 CA 更有意义。此外,让 IT 部门颁发证书使该过程更快更容易。使用 Luna HSM 作为信任根,无论是在本地还是在云中,或者作为混合组合,PKI 的安全性得到加强。Luna Cloud HSM 在 DPoD 上提供 FIPS 认证的基于硬件的安全性以及云服务的优势,使安全性更简单、更具成本效益且更易于管理,因为无需购买、部署和维护硬件。


总体而言,PrimeKey 和 Thales 联合解决方案为寻求跨分布式操作环境的集中 PKI 治理的企业提供了许多好处:

  • 使用 FIPS 140-2 Level 3认证的 HSM 的强大 PKI 安全性。


  • 可以快速实施的简化云解决方案。


  • 可预测的成本、高可用性和快速上市时间。


  • 无需昂贵的前期投资和硬件管理。


  • 无缝体验避免了必须与多个供应商合作的摩擦。一个供应商,一个全面的、面向未来的联合解决方案。


揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息,您可以获取到更多满足全球合规性要求的信息安全产品资料,以及相关的整体解决方案的相关资料。如:


您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问!


相关阅读

购买咨询电话
021-54410609