OTA セキュリティ

無線通信 (OTA) セキュリティの 3 つの側面を次に示します。

接続の安全性

OTA 更新マネージャーサービスは、 AWS IoTで使用される Transport Layer Security (TLS) 相互認証などの既存のセキュリティメカニズムに依存しています。OTA 更新トラフィックは AWS IoT デバイスゲートウェイを通過し、セキュリティメカニズムを使用します AWS IoT 。デバイスゲートウェイを介した各送受信 HTTP または MQTT メッセージは、厳密な認証と認可を受けます。

OTA 更新の真正性と完全性

ファームウェアは、信頼できるソースからのものであり、改ざんされていないことを保証するために、OTA 更新前にデジタル署名が可能です。

FreeRTOS OTA Update Manager サービスは、Code Signing for AWS IoT を使用してファームウェアに自動的に署名します。詳細については、「Code Signing for AWS IoT」を参照してください。

OTA エージェントは、デバイス上で実行され、ファームウェアがデバイスに到着したときにファームウェアの整合性チェックを実行します。

運用者のセキュリティ

コントロールプレーン API を介して行われるすべての API 呼び出しは、標準の IAM 署名バージョン 4 の認証と認可を受けます。デプロイを作成するには、CreateDeployment、CreateJob、および CreateStream API を呼び出す権限が必要です。さらに、Amazon S3 バケットポリシーまたは ACL では、Amazon S3 に保存されているファームウェア更新にストリーミング中にアクセスできるように、 AWS IoT サービスプリンシパルに読み取りアクセス許可を付与する必要があります。

のコード署名 AWS IoT

AWS IoT コンソールでは、Code Signing for AWS IoT を使用して、 でサポートされているデバイスのファームウェアイメージに自動的に署名します AWS IoT。

Code Signing for は、ACM にインポートする証明書とプライベートキー AWS IoT を使用します。テストには自己署名証明書が使えますが、信頼された商用証明機関 (CA) から証明書を取得することをお勧めします。

コード署名証明書は X.509 バージョン 3 の Key Usage および Extended Key Usage 拡張機能を使用します。Key Usage 拡張機能は Digital Signature に設定され、Extended Key Usage 拡張機能は Code Signing に設定されます。コードイメージの署名の詳細については、「 Code Signing for AWS IoT Developer Guide」および「 Code Signing for AWS IoT API Reference」を参照してください。

注記

Amazon Web Services のツールから AWS IoT SDK のコード署名をダウンロードできます。 https://aws.amazon.com/tools/