本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
运输安全 Amazon IoT Core
TLS(传输层安全)是一种加密协议,旨在通过计算机网络进行安全通信。 Amazon IoT Core 设备网关要求客户使用设备到网关的连接,TLS对传输中的所有通信进行加密。TLS用于实现所支持的应用程序协议(MQTTHTTP、和 WebSocket)的机密性 Amazon IoT Core。TLS支持多种编程语言和操作系统。 Amazon 其中的数据由特定 Amazon 服务加密。有关其他 Amazon 服务上的数据加密的更多信息,请参阅该服务的安全文档。
TLS协议
Amazon IoT Core 支持以下版本的TLS协议:
-
TLS1.3
-
TLS1.2
安全策略
注意
此特征在中国不可用。
安全策略是TLS协议及其密码的组合,用于确定在客户端和服务器之间的TLS协商期间支持哪些协议和密码。您可以根据需要将设备配置为使用预定义的安全策略。请注意, Amazon IoT Core 这不支持自定义安全策略。
在连接设备时,您可以为设备选择一种预定义的安全策略 Amazon IoT Core。中最新的预定义安全策略的名称 Amazon IoT Core 包括基于其发布年份和月份的版本信息。默认的预定义安全策略为 IoTSecurityPolicy_TLS13_1_2_2022_10
。要指定安全策略,您可以使用 Amazon IoT 控制台或 Amazon CLI。有关更多信息,请参阅 在域配置中配置TLS设置。
下表描述了 Amazon IoT Core 支持的最新预定义安全策略。为了使策略名称能够容纳在标题行中,已将 IotSecurityPolicy_
从名称中删除。
安全策略 | TLS13_1_3_2022_10 | TLS13_1_2_2022_10 | TLS12_1_2_2022_10 | TLS12_1_0_2016_01* | TLS12_1_0_2015_01* | ||
---|---|---|---|---|---|---|---|
TCP端口 |
443/8443/8883 |
443/8443/8883 |
443/8443/8883 |
443 | 8443/8883 | 443 | 8443/8883 |
TLS协议 | |||||||
TLS1.2 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
TLS1.3 | ✓ | ✓ | |||||
TLS密码 | |||||||
TLS_ AES _128 GCM _ SHA256 | ✓ | ✓ | |||||
TLS_ AES _256 GCM _ _ SHA384 | ✓ | ✓ | |||||
TLS_ CHACHA2 0_ 05_ POLY13 SHA256 | ✓ | ✓ | |||||
ECDHE-RSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-RSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-RSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-RSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-RSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-RSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ||
AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
AES256-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
DHE-RSA-AES256-SHA | ✓ | ✓ | |||||
ECDHE-ECDSA-AES128-GCM-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-ECDSA-AES128-SHA256 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-ECDSA-AES128-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-ECDSA-AES256-GCM-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-ECDSA-AES256-SHA384 | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | |
ECDHE-ECDSA-AES256-SHA | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
注意
TLS12_1_0_2016_01
仅在以下版本中可用 Amazon Web Services 区域:ap-east-1、ap-northeast-2、ap-southeast-1、ap-southeast-2、ca-central-1、cn-northeast-1、cn-northeast-1、eu-west-2、eu-west-2,eu-west-3、me-south-1、sa-east-1、us-east-2、-1、-2、us-west-1、us-west-1。 us-gov-west us-gov-west
TLS12_1_0_2015_01
仅在以下版本中可用 Amazon Web Services 区域:ap-northeast-1、ap-southeast-1、eu-central-1、eu-west-1、us-east-1、us-east-1、us-west-1、us-west-2。
有关 Amazon IoT Core中的传输安全性的重要注意事项
对于 Amazon IoT Core 使用连接的设备 MQTT,TLS加密设备与代理之间的连接,并 Amazon IoT Core 使用TLS客户端身份验证来识别设备。有关更多信息,请参阅客户端身份验证。对于 Amazon IoT Core 使用连接的设备 HTTP,TLS对设备与代理之间的连接进行加密,并将身份验证委托给 Amazon 签名版本 4。有关更多信息,请参阅《Amazon 一般参考》中的使用签名版本 4 签署请求。
将设备连接到时 Amazon IoT Core,发送服务器名称指示 (SNI) 扩展host_name
字段中提供完整的终端节点地址。host_name
字段必须包含您调用的端点。该端点必须是以下端点之一:
-
aws iot describe-endpoint
返回的--endpoint-type iot:Data-ATS endpointAddress
-
aws iot describe-domain-configuration
返回的–-domain-configuration-name " domain_configuration_name
"domainName
使用错误或无效host_name
值的设备尝试的连接将失败。 Amazon IoT Core 将为 “自定义身份验证” CloudWatch 的身份验证类型记录失败。
Amazon IoT Core 不支持该SessionTicket TLS扩展
LoRaWAN无线设备的传输安全
LoRaWAN设备遵循金雅拓、Actility和Semtech在 LoRa WAN™SECURITY:为 LoRa 联盟准备的白皮书™
有关 LoRaWAN设备传输安全的更多信息,请参阅LoRaWAN数据和传输安全。
连接安全性
Amazon IoT Core 消息代理和 Device Shadow 服务依赖使用加密以及 TLS1.2 和 TLS 1.
-
ECDHE-ECDSA-AES128-GCM-SHA256(推荐)
-
ECDHE-RSA-AES128-GCM-SHA256(推荐)
-
ECDHE-ECDSA-AES128-SHA256
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-ECDSA-AES128-SHA
-
ECDHE-RSA-AES128-SHA
-
ECDHE-ECDSA-AES256-GCM-SHA384
-
ECDHE-RSA-AES256-GCM-SHA384
-
ECDHE-ECDSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA
-
ECDHE-ECDSA-AES256-SHA
-
AES128-GCM-SHA256
-
AES128-SHA256
-
AES128-SHA
-
AES256-GCM-SHA384
-
AES256-SHA256
-
AES256-SHA