将 AZURE SAS 令牌的有效期设置为 5 年以上以及所涉及的风险
Setting the AZURE SAS token expiry beyond 5 years and the risks involved
通过使用 MQTT 协议和 SAS(共享访问签名)令牌,我的设备连接到 AZURE IoT HUB。
我想将 SAS 令牌的到期时间设置为 5 年,因为它被硬编码到设备固件中。该设备将连接到 IoT 中心,然后一条消息将使用自定义端点路由到 Azure 存储。
会有什么风险?
由于这些设备位置偏远,SAS 令牌或固件无法经常更新。
除非您是 运行 高度敏感的用例,可能会受到另一台冒充其身份的设备的影响,否则这无关紧要。 MQTT 协议在设计上不允许具有相同身份的两个连接(如果设备收到另一个 CONNECT 请求,它会断开设备连接)。
密钥或令牌需要位于固件中,并且攻击者可以物理访问。在大多数情况下,失去对设备的物理访问权比失去模拟该设备的密钥或令牌更糟糕。如果密钥或令牌存储在安全元素中,那么它会更安全。
如果您需要超过5年,只需存储对称密钥并根据需要生成令牌。
通过使用 MQTT 协议和 SAS(共享访问签名)令牌,我的设备连接到 AZURE IoT HUB。 我想将 SAS 令牌的到期时间设置为 5 年,因为它被硬编码到设备固件中。该设备将连接到 IoT 中心,然后一条消息将使用自定义端点路由到 Azure 存储。
会有什么风险?
由于这些设备位置偏远,SAS 令牌或固件无法经常更新。
除非您是 运行 高度敏感的用例,可能会受到另一台冒充其身份的设备的影响,否则这无关紧要。 MQTT 协议在设计上不允许具有相同身份的两个连接(如果设备收到另一个 CONNECT 请求,它会断开设备连接)。
密钥或令牌需要位于固件中,并且攻击者可以物理访问。在大多数情况下,失去对设备的物理访问权比失去模拟该设备的密钥或令牌更糟糕。如果密钥或令牌存储在安全元素中,那么它会更安全。
如果您需要超过5年,只需存储对称密钥并根据需要生成令牌。