# Segurança de dados e de transporte com o AWS IoT Core for LoRaWAN
<a name="iot-lorawan-security"></a>

O AWS IoT Core for LoRaWAN utiliza os seguintes métodos para proteger os dados e a comunicação entre dispositivos e gateways LoRaWAN e o AWS IoT Core for LoRaWAN:
+ As práticas recomendadas de segurança que os dispositivos seguem ao se comunicarem com os gateways LoRaWAN, conforme descrito no whitepaper [LoRaWAN Security](https://lora-alliance.org/sites/default/files/2019-05/lorawan_security_whitepaper.pdf).
+ A segurança que o AWS IoT Core utiliza para conectar gateways ao AWS IoT Core for LoRaWAN e enviar os dados a outros serviços da AWS. Para obter mais informações, consulte [Data protection in AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/data-protection).

## Como os dados são protegidos em todo o sistema
<a name="lorawan-security-data-how"></a>

Este diagrama identifica os principais elementos em um sistema LoRaWAN conectado ao AWS IoT Core for LoRaWAN para identificar como os dados são protegidos como um todo.

![\[Imagem mostrando como os dados do AWS IoT Core for LoRaWAN são transmitidos de um dispositivo sem fio para o AWS IoT e outros serviços.\]](http://docs.aws.amazon.com/pt_br/iot-wireless/latest/developerguide/images/iot-lorawan-data-flow.png)


1. O dispositivo sem fio LoRaWAN criptografa as mensagens binárias usando o modo AES128 CTR antes de transmiti-las.

1. As conexões de gateway ao AWS IoT Core for LoRaWAN são protegidas por TLS, conforme descrito em [Transport security in AWS IoT](https://docs.aws.amazon.com/iot/latest/developerguide/transport-security.html). O AWS IoT Core for LoRaWAN descriptografa a mensagem binária e codifica a carga útil da mensagem binária descriptografada como uma string base64.

1. A mensagem codificada em base64 resultante é enviada como carga útil da mensagem para a regra AWS IoT descrita no destino atribuído ao dispositivo. Os dados na AWS são criptografados usando as chaves pertencentes à AWS.

1. A regra de AWS IoT direciona os dados da mensagem para os serviços descritos na configuração da regra. Os dados na AWS são criptografados usando as chaves pertencentes à AWS.

## Segurança de transporte de dispositivos e gateways LoRaWAN
<a name="lorawan-security-devices"></a>

Os dispositivos LoRaWAN e o AWS IoT Core for LoRaWAN armazenam chaves raiz pré-compartilhadas. As chaves de sessão são derivadas dos dispositivos LoRaWAN e do AWS IoT Core for LoRaWAN de acordo com os protocolos. As chaves de sessão simétricas são usadas para criptografia e descriptografia em um modo CTR AES-128 padrão. Um código de integridade de mensagem (MIC) de 4 bytes também é usado para verificar a integridade dos dados seguindo um algoritmo CMAC AES-128 padrão. As chaves de sessão podem ser atualizadas usando o processo Join/Rejoin.

 A prática de segurança para gateways LoRa é descrita nas especificações do LoRaWAN. Os gateways LoRa se conectam ao AWS IoT Core for LoRaWAN por meio de um soquete da web utilizando [https://lora-developers.semtech.com/resources/tools/lora-basics/lora-basics-for-gateways/](https://lora-developers.semtech.com/resources/tools/lora-basics/lora-basics-for-gateways/). O AWS IoT Core for LoRaWAN é compatível somente com o `Basics Station` versão 2.0.4 e posterior.

Para que a conexão do soquete da web seja estabelecida, o AWS IoT Core for LoRaWAN utiliza o [Modo de autenticação de servidor e cliente TLS](https://docs.aws.amazon.com/iot/latest/developerguide/transport-security.html) para autenticar o gateway. Para garantir a confidencialidade do protocolo LoRaWAN, o [TLS](https://en.wikipedia.org/wiki/Transport_Layer_Security) [versão 1.2](https://en.wikipedia.org/wiki/Transport_Layer_Security#TLS_1.2). é utilizado. O suporte ao TLS está disponível em várias de linguagens de programação e sistemas operacionais. Os dados na AWS são criptografados pelo serviço da AWS específico. Para obter mais informações sobre criptografia de dados em outros serviços da AWS, consulte a documentação de segurança desse serviço.

 Por padrão, o AWS IoT Core for LoRaWAN também mantém um Servidor de Configuração e Atualização (CUPS) para configurar e atualizar os certificados e chaves utilizados para a autenticação TLS.