本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
OTA 安全性
以下是無線 (OTA) 安全性的三個方面:
- 連線安全
-
OTA Update Manager 服務倚賴 AWS IoT 使用的現有安全機制,例如 Transport Layer Security (TLS) 交互身分驗證。OTA 更新流量會通過AWS IoT裝置閘道並使用AWS IoT安全機制。每個透過裝置閘道傳入及傳出的 HTTP 或 MQTT 訊息都會經過身分驗證及授權。
- OTA 更新的真確性及完整性
-
韌體可在 OTA 更新之前進行數位簽署,確保其來自可靠的來源並且並未遭到竄改。
FreeRTOS OTA Update Manager 服務使用適用於 的程式碼簽署AWS IoT來自動簽署您的韌體。如需詳細資訊,請參閱適用於 AWS IoT 的程式碼簽署。
在您裝置上執行的 OTA 代理程式會在韌體抵達裝置時對其進行完整性檢查。
- 操作員安全
-
透過控制平面 API 進行的每個 API 呼叫都會經過標準 IAM Signature 第 4 版身分驗證和授權。若要建立部署,您必須擁有呼叫
CreateDeployment、CreateJob及CreateStreamAPI 的許可。此外,在您的 Amazon S3 儲存貯體政策或 ACL 中,您必須將讀取許可授予AWS IoT服務主體,以便在串流期間存取存放在 Amazon S3 中的韌體更新。
的程式碼簽署AWS IoT
AWS IoT主控台使用適用於 的程式碼簽署AWS IoT,為 支援的任何裝置自動簽署您的韌體映像AWS IoT。
的程式碼簽署AWS IoT會使用您匯入 ACM 的憑證和私有金鑰。您可以使用自我簽署憑證進行測試,但我們建議您從知名的商業憑證授權機構 (CA) 取得憑證。
程式碼簽署憑證使用 X.509 第 3 版Key Usage和Extended Key Usage擴充功能。Key Usage 延伸模組設為 Digital Signature,Extended Key Usage 延伸模組設為 Code Signing。如需有關簽署程式碼映像的詳細資訊,請參閱適用於開發人員的AWS IoT程式碼簽署指南和適用於 AWS IoTAPI 的程式碼簽署參考。
注意
您可以從適用於 Amazon Web Services 的工具下載適用於 AWS IoTSDK 的程式碼簽署。 https://aws.amazon.com/tools/
