OTA 安全性 - FreeRTOS
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

OTA 安全性

以下是三个方面 over-the-air (OTA) 安全性:

连接安全性

OTA Update Manager 服务依赖于 Amazon IoT 所使用的现有安全机制,例如传输层安全性 (TLS) 双向身份验证。OTA 更新流量经由 Amazon IoT 设备网关,并使用 Amazon IoT 安全机制。每个经由设备网关的传入和传出 HTTP 或 MQTT 消息都要经受严格的身份验证和授权。

OTA 更新的真实性和完整性

在 OTA 更新之前可以对固件进行数字签名,以确保固件来自可靠的来源且未经篡改。

FreeRTOS OTA 更新管理器服务将代码签名用于Amazon IoT以自动对固件进行签名。有关更多信息,请参阅 Code Signing for Amazon IoT

将固件安装到设备时,运行于设备上的 OTA 代理将对固件执行完整性检查。

操作人员安全性

通过控制面板 API 发出的每个 API 调用都要经受标准的 IAM 签名版本 4 身份验证和授权。要创建部署,必须有权调用 CreateDeploymentCreateJobCreateStream API。此外,在 Amazon S3 存储桶策略或 ACL 中,必须赋予读取权限。Amazon IoT服务委托人,以便在流式处理过程中可以访问存储在 Amazon S3 中的固件更新。

Code Signing for Amazon IoT

这些区域有:Amazon IoT控制台使用Code Signing forAmazon IoT为支持的任何设备自动签署固件映像Amazon IoT.

Code Signing forAmazon IoT使用您导入到 ACM 中的证书和私有密钥。您可以使用自签名证书进行测试,但我们建议您从众所周知的商业证书颁发机构 (CA) 那里获得证书。

代码 — 签名证书使用 X.509 版本 3Key UsageExtended Key Usage扩展。Key Usage 扩展设置为 Digital SignatureExtended Key Usage 扩展设置为 Code Signing。有关对代码映像进行签名的更多信息,请参阅 Code Signing for Amazon IoT 开发人员指南Code Signing for Amazon IoT API 参考

注意

您可以下载 Code Signing ofAmazon IoTSDK 来自用于 Amazon Web Services 的工具.