View a markdown version of this page

设备通信协议 - AWS IoT Core

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设备通信协议

AWS IoT Core 支持使用 MQTT 和 MQTT over S WebSocket ecure (WSS) 协议发布和订阅消息的设备和客户端、使用 HTTPS 协议发布消息的设备和客户端,以及使用 Direct Messaging API 向特定的连接客户端发送消息。所有协议都支持 IPv4 和 IPv6。本节介绍设备和客户端的不同连接选项。

TLS 协议版本

AWS IoT Core 使用 TLS 版本 1.2TLS 版本 1.3 来加密所有通信。通过在域配置中配置 TLS 设置,您可以为端点配置其他 TLS 策略版本。将设备连接到 AWS IoT Core时,客户端可以发送服务器名称指示(SNI)扩展,这对于多账户注册可配置端点自定义域以及 VPC 端点等特征是必需的。有关更多信息,请参阅 AWS IoT中的传输安全

AWS IoT 设备软件开发工具包 支持 MQTT 和基于 WSS 的 MQTT,并支持客户端连接的安全要求。我们建议使用 AWS IoT 设备软件开发工具包 将客户端连接到 AWS IoT。

协议、端口映射和身份验证

设备或客户端如何连接到消息代理是可以使用身份验证类型配置的。默认情况下,或者如果未发送 SNI 扩展,身份验证方法基于设备使用的应用程序协议、端口以及应用程序层协议协商(ALPN)TLS 扩展。下表列出了基于端口和 ALPN 的预期身份验证。

协议、身份验证和端口映射
协议 支持的操作 身份验证 端口: ALPN 协议名称

MQTT 结束了 WebSocket

发布、订阅 Signature Version 4 443

N/A

MQTT 结束了 WebSocket

发布、订阅 自定义身份验证 443

N/A

MQTT

发布、订阅

X.509 客户证书

443

x-amzn-mqtt-ca

MQTT 发布、订阅 X.509 客户证书 8883 N/A

MQTT

发布、订阅

自定义身份验证

443

mqtt

HTTPS

仅发布

Signature Version 4

443

N/A

HTTPS

仅发布

X.509 客户证书

443

x-amzn-http-ca

HTTPS 仅发布 X.509 客户证书 8443 N/A
HTTPS 仅发布 自定义身份验证 443 N/A
应用程序层协议协商(ALPN)

使用默认端点配置时,通过 X.509客户端证书身份验证在端口 443 上连接的客户端必须实现应用层协议协商 (ALPN) TLS 扩展,并使用客户端作为消息一部分 ProtocolNameList 发送的 APN 中列出的 ALPN 协议名称ClientHello

在端口 443 上,IoT:Data-ATS端点支持 ALPN x-amzn-http-ca HTTP,但端点不支持。IoT:Jobs

在使用 ALPN x-amzn-mqtt-ca 的端口 8443 HTTPS 和端口 443 MQTT 上,无法使用自定义身份验证

客户端连接到其 AWS 账户设备端点。有关如何查找您账户的设备端点的信息,请参阅 AWS IoT 设备数据和服务端点

注意

AWS 软件开发工具包不需要完整的 URL。它们只需要端点主机名,例如适用于 Python 的 AWS IoT 设备 SDK 的pubsub.py示例 GitHub。如下表中所示传递整个 URL 可能会生成错误,例如主机名无效。

正在连接到 AWS IoT Core

协议

端点或 URL

MQTT

iot-endpoint

基于 WSS 的 MQTT

wss://iot-endpoint/mqtt

HTTPS

https://iot-endpoint/topics

为设备通信选择应用程序协议

对于通过设备端点进行的大部分物联网设备通信,您需要使用安全 MQTT 或 MQTT over S WebSocket ecure (WSS) 协议;但是,设备端点也支持 HTTPS。

下表比较了如何 AWS IoT Core 使用两种高级协议(MQTT 和 HTTPS)进行设备通信。

AWS IoT 并排设备协议(MQTT 和 HTTPS)

功能

MQTT

HTTPS

Publish/Subscribe 支持

发布和订阅

仅发布

SDK 支持

AWS 设备软件开发工具包支持 MQTT 和 WSS 协议

不支持 SDK,但您可以使用特定于语言的方法来发出 HTTPS 请求

服务质量支持

MQTT QoS 级别 0 和 1

通过传递查询字符串参数 ?qos=qos 来支持 QoS,其值可以是 0 或 1。您可以添加此查询字符串,以发布具有所需 QoS 值的消息。
可以接收设备离线时错过的消息

clientId 现场支持

设备断开检测

安全通信

可以。请参阅 协议、端口映射和身份验证

可以。请参阅 协议、端口映射和身份验证

主题定义

定义的应用程序

定义的应用程序

消息数据格式

定义的应用程序

定义的应用程序

协议开销 较低 较高
功耗 较低 较高

为设备通信选择身份验证类型

您可以使用可配置的端点为物联网端点配置身份验证类型。或者,使用默认配置,并确定您的设备如何通过应用程序协议、端口和 ALPN TLS 扩展组合进行身份验证。您选择的身份验证类型决定了您的设备在连接时将如何进行身份验证 AWS IoT Core。身份验证类型有五种:

X.509 证书

使用X.509 客户端证书对设备进行身份 AWS IoT Core 验证,通过客户端证书对设备进行身份验证。这种身份验证类型适合配合安全的 MQTT(基于 TLS 的 MQTT)和 HTTPS 协议使用。

X.509 带有自定义授权者的证书

使用X.509 客户端证书对设备进行身份验证,并使用自定义授权器执行其他身份验证操作,自定义授权方将接收 X.509 客户端证书信息。这种身份验证类型适合配合安全的 MQTT(基于 TLS 的 MQTT)和 HTTPS 协议使用。只有使用具有 X.509 自定义身份验证的可配置端点才能使用这种身份验证类型。没有 ALPN 选项。

AWS 签名版本 4 (Sigv4)

使用 Cognito 或您的后端服务对设备进行身份验证,支持社交和企业联合身份验证。这种身份验证类型适用于 WebSocket 安全 MQTT (WSS) 和 HTTPS 协议。

自定义授权方

通过配置 Lambda 函数来处理发送到 AWS IoT Core的自定义身份验证信息,对设备进行身份验证。这种身份验证类型适用于安全 MQTT(基于 TLS 的 MQTT)、HTTPS 和 MQTT over S WebSocket ecure (WSS) 协议。

默认

根据设备使用的端口 and/or 应用层协议协商 (APN) 扩展对设备进行身份验证。不支持某些其他身份验证选项。有关更多信息,请参阅 协议、端口映射和身份验证

下表显示了所有支持的身份验证类型和应用程序协议组合。

支持的身份验证类型和应用程序协议组合
身份验证类型 安全端点 MQTT(基于 TLS 的 MQTT) 基于 WebSocket 安全的 MQTT (WSS) HTTPS 默认
X.509 证书
X.509 带有自定义授权者的证书
AWS 签名版本 4 (Sigv4)
自定义授权方
默认

连接持续时间限制

HTTPS 连接的持续时间不一定能超过接收和响应请求所需的时间。

MQTT 连接持续时间取决于您所使用的身份验证特征。下表列出了每个特征在理想条件下的最长连接持续时间。

按身份验证特征列出 MQTT 连接持续时间

特征

最长持续时间 *

X.509 客户证书

1-2 周

自定义身份验证

1-2 周

Signature Version 4

长达 24 小时

*无法保证

使用 X.509 证书和自定义身份验证,连接持续时间没有硬性限制,但可以短至几分钟。导致连接中断的原因多种多样。以下列表包含一些最常见的原因。

  • Wi-Fi 可用性中断

  • 互联网服务提供商(ISP)连接中断

  • 服务修补

  • 服务部署

  • 服务自动扩缩

  • 服务主机不可用

  • 有效载荷均衡器问题和更新

  • Client-side 错误

您的设备必须执行检测断开连接的策略和重新连接的策略。获取有关断开连接事件及其处理方式的指导信息,请参阅 生命周期事件 中的 Connect/Disconnect 事件