AWS IoT 中的传输安全
AWS IoT 消息代理和 Device Shadow 服务可以使用 TLS
对于 MQTT,TLS 可将设备与代理之间的连接加密。AWS IoT 使用 TLS 客户端身份验证来识别设备。对于 HTTP,TLS 可将设备与代理之间的连接加密。身份验证交由给AWS Signature Version 4 执行。
AWS IoT 要求设备将服务器名称指示 (SNI) 扩展host_name
字段中提供完整的终端节点地址。host_name
字段必须包含您调用的终端节点,并且必须是:
-
aws iot describe-endpoint
返回的--endpoint-type iot:Data-ATS endpointAddress
或
-
aws iot describe-domain-configuration
返回的–-domain-configuration-name " domain_configuration_name
"domainName
如果身份验证类型为自定义身份验证,没有正确 host_name
值的设备发起的连接将失败,AWS IoT 会将失败录入 CloudWatch。
AWS IoT 不支持会话票证 TLS 扩展。
LoRaWAN 无线设备的传输安全
LoRaWAN 设备遵循 LoRAWAN™ 安全性:Gemalto、Actility 和 Semtech 为 LoRa Alliance™ 准备的白皮书
有关 LoRaWAN 设备传输安全性的更多信息,请参阅 适用于 LoRaWAN 的 AWS IoT Core 数据安全性。
TLS 密码包支持
AWS IoT 支持以下密码包:
-
ECDHE-ECDSA-AES128-GCM-SHA256(推荐)
-
ECDHE-RSA-AES128-GCM-SHA256(推荐)
-
ECDHE-ECDSA-AES128-SHA256
-
ECDHE-RSA-AES128-SHA256
-
ECDHE-ECDSA-AES128-SHA
-
ECDHE-RSA-AES128-SHA
-
ECDHE-ECDSA-AES256- GCM-SHA384
-
ECDHE-RSA-AES256- GCM-SHA384
-
ECDHE-ECDSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA384
-
ECDHE-RSA-AES256-SHA
-
ECDHE-ECDSA-AES256-SHA
-
AES128-GCM-SHA256
-
AES128-SHA256
-
AES128-SHA
-
AES256-GCM-SHA384
-
AES256-SHA256
-
AES256-SHA