设置AZURE SAS令牌有效期超过5年及所涉及的风险

Question

通过使用MQTT协议和SAS (共享访问签名)令牌，我的设备连接到AZURE IoT集线器。我想将SAS令牌的有效期设置为5年，因为它是硬编码到设备固件中的。设备将连接到IoT集线器，然后使用自定义端点将消息路由到Azure存储。

风险有多大？

由于这些设备的远程位置，SAS令牌或固件无法经常更新。

Answer 1

除非您正在运行高度敏感的用例(该用例可能会受到另一个模拟其标识的设备的影响)，否则这并不重要。MQTT协议通过设计不允许具有相同标识的两个连接(如果设备收到另一个连接请求，它就断开连接)。

密钥或令牌将需要在固件中具有对攻击者的物理访问权限。在大多数情况下，失去对设备的物理访问将比失去模拟该设备的密钥或令牌更糟糕。如果密钥或令牌存储在安全元素中，那么它将更加安全。

如果您需要超过5年，只需存储对称密钥并根据需要生成令牌即可。