Amazon IoT 中的传输安全 - Amazon IoT Core
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon IoT 中的传输安全

Amazon IoT 消息代理和 Device Shadow 服务可以使用 TLS 版本 1.2 对传输中的所有通信进行加密。TLS 用于确保受支持的应用程序协议(MQTT、HTTP 和 WebSocket)的保密性Amazon IoT。TLS 支持适用于许多编程语言和操作系统。Amazon内的数据是由特定的Amazon服务加密的。有关其它 Amazon 服务上的数据加密的更多信息,请参阅该服务的安全文档。

对于 MQTT,TLS 可将设备与代理之间的连接加密。Amazon IoT 使用 TLS 客户端身份验证来识别设备。对于 HTTP,TLS 可将设备与代理之间的连接加密。身份验证交由给Amazon Signature Version 4 执行。

Amazon IoT 要求设备将服务器名称指示 (SNI) 扩展发送到传输层安全性 (TLS) 协议,并在 host_name 字段中提供完整的终端节点地址。host_name 字段必须包含您调用的终端节点,并且必须是:

CloudWatch 如果身份验证类型为自定义身份验证,没有正确host_name值的设备发起的连接Amazon IoT将失败,会将失败录入。

Amazon IoT不支持 SessionTicket TLS 扩展。

LoRaWAN 无线设备的传输安全

LoRaWAN 设备遵循 WA LoRaN™ 安全:Gemalto、Actility 和 Semtech 为 Al LoRa liance 准备的白皮书™ 中所述的安全实践。

有关 LoRa WAN 设备传输安全性的更多信息,请参阅适用于 LoRaWAN 的 Amazon IoT Core 数据安全性

TLS 密码包支持

Amazon IoT 支持以下密码包:

  • ECDHE-ECDSA-AES128-GCM-SHA256(推荐)

  • ECDHE-RSA-AES128-GCM-SHA256(推荐)

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA

  • ECDHE-ECDSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA

连接安全性

Amazon IoT 消息代理和 Device Shadow 服务依赖于使用加密和 TLS 1.2 进行通信。Amazon IoT 支持以下 TLS 密码包:

  • ECDHE-ECDSA-AES128-GCM-SHA256(推荐)

  • ECDHE-RSA-AES128-GCM-SHA256(推荐)

  • ECDHE-ECDSA-AES128-SHA256

  • ECDHE-RSA-AES128-SHA256

  • ECDHE-ECDSA-AES128-SHA

  • ECDHE-RSA-AES128-SHA

  • ECDHE-ECDSA-AES256- GCM-SHA384

  • ECDHE-RSA-AES256- GCM-SHA384

  • ECDHE-ECDSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA384

  • ECDHE-RSA-AES256-SHA

  • ECDHE-ECDSA-AES256-SHA

  • AES128-GCM-SHA256

  • AES128-SHA256

  • AES128-SHA

  • AES256-GCM-SHA384

  • AES256-SHA256

  • AES256-SHA