MQTT安全篇

最新推荐文章于 2024-05-31 11:59:07 发布
最新推荐文章于 2024-05-31 11:59:07 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: 物联网开发 文章标签: 安全 物联网 MQTT

物联网的核心是连接万物,通过交换并分析数据使得生活更舒适与便捷。不过,敏感数据泄露或者设备被非法控制可不是闹着玩的。比如前段时间国内某著名家电企业的智能洗衣机,使用了某著名电商基于XMPP协议的物联网平台,不费吹灰之力便被黑客攻破并远程遥控,给智能家居的发展带来了一些阴影。究其本质,并不是物联网技术本身有缺陷,而是在物联网系统的设计中最基本的安全设计被工程师轻视了,才导致整个系统的崩塌。

在这里我们将介绍为何以及如何运用MQTT提供的安全特性来保证物联网项目的顺利实施。

安全对于几乎所有的项目都是一个挑战,对于物联网项目更是如此:

  • 设备安全性与设备可用性之间往往是零和博弈。
  • 加密算法需要更多的计算能力,而物联网设备的性能往往非常有限。
  • 物联网的网络条件常常要比家庭或者办公室的网络条件差许多。

对于以上挑战,MQTT提供了多个层次的安全特性:

  • 网络层:有条件可以通过拉专线或者使用VPN来连接设备与MQTT代理,以提高网络传输的安全性。
  • 传输层:传输层使用TLS加密是确保安全的一个好手段,可以防止中间人攻击(Man-In-The-Middle Attack)。客户端证书不但可以作为设备的身份凭证,还可以用来验证设备。
  • 应用层:MQTT还提供客户标识(Client Identifier)以及用户名密码,在应用层验证设备。

虽然MQTT提供了多重安全设计,不过世界上并没有银弹能够保障数据的绝对安全,所以应该在设计的时候就把安全放在设计目标之中并拥有相当的优先级,否则上文提到的智能洗衣机就是一个活生生的教训。

网络层可以使用专线或者VPN超出了本文的范围,下面我们结合Mosquitto仔细了解一下传输层和应用层的MQTT安全特性。

加密

MQTT是基于TCP的,默认情况通讯并不加密。如果你需要传输敏感信息或者对设备进行反控,使用TLS几乎是必须的。打个比方,如果你在咖啡店用免费Wi-Fi上网,登录互联网金融的网站不支持HTTPS传输,那么你的账号信息多半已经在咖啡店的Wi-Fi日志里面躺着了……

TLS是非常成熟的安全协议,在握手的时候便可以创建安全连接,使得黑客无法窃听或者篡改内容了。使用TLS的时候有以下注意点:

  • 尽可能使用高版本的TLS。
  • 验证X509证书链防止中间人攻击。
  • 尽量使用有CA发布的证书。

当然,TLS会增加连接时开销,对低运算能力的设备而言是额外的负担,不过如果设备是长连接的话就会避免反复连接的开销。

Mosquitto原生支持了TLS加密,生成证书后再配置一下MQTT代理即可。

首先我们需要生成证书权威(Certificate Authority,CA)的认证和密钥,生成过程中Common Name一定要填写Fully Qualified Domain Name(测试起见用IP地址也凑合):

openssl req -new -x509 -days 365 -extensions v3_ca -keyout ca.key -out ca.crt

接下来生成MQTT代理使用的密钥:

openssl genrsa -des3 -out server.key 2048

并去除密码:

openssl genrsa -out server.key 2048

然后为MQTT代理准备一个认证注册请求(Certificate Signing Request,CSR),这里的Common Name也要写对:

openssl req -out server.csr -key server.key -new

最后通过CA签署这个CSR生成MQTT代理证书:

openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out server.crt -days 365

现在配置/etc/mosquitto/mosquitto.conf,确保8883端口的设置如下:

listener 8883
cafile /etc/mosquitto/tls/ca.crt
certfile /etc/mosquitto/tls/server.crt
keyfile /etc/mosquitto/tls/server.key

重启Mosquitto服务就可以用以下命令订阅和发布消息了,当然所有消息都由TLS加密,可以无忧无虑地传递私密信息啦:

mosquitto_sub -h host -p 8883 -t 'topic' --cafile ca.crt
mosquitto_pub -h host -p 8883 -t 'topic' -m '15' --cafile ca.crt

其中,host需要与前面指定的Common Name一致,否则TLS连接会报错,错误信息也不是很直观……

认证

认证是验证设备身份的过程。拿旅行做比方,在换登机牌的时候需要出示护照以验明正身,即使别人能够假冒你的名字,但是拿不出护照便无法伪造身份。买房的时候,需要通过户口本证明你妈是你妈。

MQTT支持两种层次的认证:

  • 传输层:传输层使用TLS不但可以加密通讯,还可以使用X509证书来认证设备。
  • 应用层:MQTT支持客户标识、用户名密码以及X509证书,在应用层验证设备。

通过传输层和应用层来解释认证并不直观,下面我们直接从客户标识、用户名密码以及X509证书的角度来了解认证。

客户标识

用户可以使用最多65535个字符作为客户标识(Client Identifier),UUID或者MAC地址最为常见。

使用客户标识来认证并不可靠,不过在某些封闭的环境中或许已经足够。

用户名密码

MQTT协议支持通过CONNECT消息的username和password字段发送用户名和密码。

用户名密码的认证使用起来非常方便,不过再强调一下,由于用户名密码是以明文形式传输,在通过互联网时使用TSL加密是必须的。

Mosquitto支持用户名/密码认证方式,只要确保/etc/mosquitto/mosquitto.conf有如下设置:

password_file /etc/mosquitto/passwd
allow_anonymous false

其中passwd文件是用来保存用户名和密码的,可以通过mosquitto_passwd来维护用户名密码。之后便可以通过如下命令订阅和发布消息了:

mosquitto_sub -h host -p 8883 -t 'topic' --cafile ca.crt -u user -P pwd
mosquitto_pub -h host -p 8883 -t 'topic' -m '9' --cafile ca.crt -u user -P pwd

这里端口使用8883是假设已经配置了TLS加密的。

结合TLS加密的用户名密码认证,已经是相对完善的安全体系了。

X509证书

MQTT代理在TLS握手成功之后可以继续发送客户端的X509证书来认证设备,如果设备不合法便可以中断连接。

使用X509认证的好处,是在传输层就可以验证设备的合法性,在发送MQTT CONNECT之前便可以阻隔非法设备的连接,以节省后续不必要的资源浪费。

如果你可以控制设备的创建和设置,X509证书认证或许是个非常好的选择。不过代价也是有的:

  • 需要设计证书创建流程。如果你对设备有着完全的控制,在设备出厂前就能烧录X509证书到设备中,那么这条路是非常合适的。但是,对于移动设备等无法实现烧录证书的场景,用户名/密码认证或许是更好的选择。
  • 需要管理证书的生命周期,最好通过PKI(Public-Key-Infrastructure)来管理。
  • 如果证书泄露了,一定要立即使证书失效。一个选择是使用证书黑名单(Certificate Revocation Lists),另一个选择是提供在线证书状态协议(Online Certificate Status Protocol),方便MQTT代理及时了解证书的状态。

MQTT原生支持X509认证,生成客户证书后再配置一下MQTT代理便可。

首先生成设备密钥:

openssl genrsa -des3 -out client.key 2048

然后为准备一个设备认证注册请求:

openssl req -out client.csr -key client.key -new

最后通过CA签署这个CSR生成设备证书:

openssl x509 -req -in client.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out client.crt -days 365

现在配置/etc/mosquitto/mosquitto.conf,确保8883端口的设置如下:

listener 8883
cafile /etc/mosquitto/tls/ca.crt
certfile /etc/mosquitto/tls/server.crt
keyfile /etc/mosquitto/tls/server.key
require_certificate true

重启Mosquitto服务就可以用以下命令订阅和发布消息了,当然所有消息都由TLS加密,可以无忧无虑地传递私密信息啦:

mosquitto_sub -h host -p 8883 -t 'topic' --cafile ca.crt --cert client.crt --key client.key
mosquitto_pub -h host -p 8883 -t 'topic' -m '95' --cafile ca.crt --cert client.crt --key client.key

可以看到,X509同时提供了完善的加密和验证,只是证书的生命周期管理的代价要比用户名密码高一些。

授权

授权是对资源的访问权限。继续拿机场做例子,在使用护照认证了用户之后,系统会根据预定决定用户可以上特定时间和班次的飞机,这就是授权。

对MQTT而言意味着对主题的订阅和发布权限。Mosquitto内置了基本的授权,那就是基于Access Control List的授权。

由于ACL是基于特定用户的,所以需要使用用户名密码认证方式。然后,在/etc/mosquitto/mosquitto.conf中指定ACL文件:

acl_file /etc/mosquitto/acl

在这个ACL文件便可以指定用户的读写权限,比如下面便可以授权用户tom读写指定主题的权限:

user tom
topic readwrite company/building/floor/#

Mosquitto只提供了基本的基于ACL的授权,更高级的基于RBAC的授权可能需要通过插件的形式自行开发了。

体系

在MQTT项目实施时,还可以考虑通过防火墙保护MQTT代理:

  • 仅允许相关的流量传递到MQTT代理,比如UDP、ICMP等流量可以直接屏蔽掉。
  • 仅允许相关端口的流量传递到MQTT代理,比如MQTT over TCP使用1883,而MQTT over TLS使用8883。
  • 仅允许某些IP地址段来访问MQTT代理,如果业务场景允许的话。

篇幅有限,本文只涉及了MQTT安全体系设计的冰山一角,如果读者感兴趣还可以参考HiveMQ发布的Introducing the MQTT Security Fundamentals系列博文。堡垒往往最容易从内部攻破,只有在系统在设计的时候就把安全放在首要位置并且积极地去做威胁模型分析,这才能有效保护用户数据。

MQTT系列索引:

Notzuonotdied
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MQTT安全性:保护Mosquitto服务器的安全
danpu0978的博客
04-30 967
文章描述了如何实现MQTT安全性 。 更详细地,我们将描述如何保护Mosquitto MQTT服务器。 众所周知,MQTT物联网和工业物联网中广泛使用的最重要的协议之一。 MQTT是面向轻量级消息传递的协议,其中MQTT客户端通过称为MQTT代理的MQTT服务器交换消息。 在上一名为“ MQTT协议教程 ”的文章中,我们讨论了有关MQTT的所有方面。 在本文中,我们要特别关注与M...
MQTT协议-有这一就够了
09-11
MQTT协议的安全性: * MQTT协议使用用户名和密码进行身份验证 * MQTT协议使用加密技术来保护数据的隐私 MQTT协议的应用场景: * 机器与机器的通信(M2M) * 物联网(IoT)环境 * 智能家居系统 * 工业自动化系统 ...
MQTT协议 - 安全问题
Josh_Persistence
05-19 1725
一、概述:         物联网的核心是连接万物,通过交换并分析数据使得生活更舒适与便捷。不过,敏感数据泄露或者设备被非法控制可不是闹着玩的。比如前段时间国内某著名家电企业的智能洗衣机,使用了某著名电商基于XMPP协议的物联网平台,不费吹灰之力便被黑客攻破并远程遥控,给智能家居的发展带来了一些阴影。究其本质,并不是物联网技术本身有缺陷,而是在物联网系统的设计中最基本的安全设计被工程师轻视了...
一文学MQTT
最新发布
江左盟的博客
05-31 932
本文通过EMQX从零到一深入讲解MQTT协议、使用场景、编程使用以及安全性分析。帮助大家更好的理解MQTT
了解 MQTT 安全
vvoennvv的博客
07-31 310
对于您的客户来说,这可能意味着财产、数据隐私的损失,在最坏的情况下,可能意味着人身安全甚至生命的损失。对于您的公司来说,这可能意味着产品召回的成本、可能的法律费用以及品牌声誉和信任的损失。正如我们将在后面的文章中展示的那样,最复杂的加密算法无法克服容易猜到的密码,例如使密码与用户名相同。我们不仅需要保护所有这数十亿台设备发送的数据,而且还需要关注使用这些设备的个人的安全物联网供应商需要在其物联网设计的各个方面优先考虑安全性,从最初的设计阶段到部署,包括售后,以确保其设备安全且能够抵御攻击。
c++ mqtt客户端_MQTT安全性设计详解
weixin_39742568的博客
11-21 402
1 前言MQTT(MQ Telemetry Transport, MQ 遥测传输)。它是一种发布/订阅、极其简单和轻量级的消息传递协议,旨在用于受限设备和低带宽,高延迟或不可靠的网络。设计原则是使网络带宽和设备资源要求最小化,同时还要尝试确保可靠性和一定程度的交付保证。这些原则也使该协议成为新兴的“M2M”或“物联网”连接设备世界的理想选择,并且适用于带宽和电池电量极为宝贵的移动应用。物联网的前景...
MQTT协议实现-安全管理(4)
linus_ben的博客
12-12 5180
物联网来说,安全问题一直是一个绕不开的话题,而作为一种重要的物联网传输协议的MQTT自然也需要重点关注。为何要关注安全?首先,之前上到云端的用户数据是少量的,在物联网场景下,大量的数据被送到云端,这些数据有可能是可穿戴设备搜集的健康数据,有可能是家里的摄像头、电视、智能音箱采集的环境和习惯数据,这些都是非常隐私的,如果通过MQTT协议传到云端,又缺乏足够的安全防护,将带来多大的安全隐患。
虚拟机Centos7搭建MQTT服务
11-07
在本文中,我们将详细介绍如何在虚拟机CentOS7上搭建MQTT服务。MQTT(Message Queuing Telemetry Transport)是一种轻量级的发布/订阅消息协议,常用于物联网(IoT)设备之间的通信。CentOS7是一个稳定的Linux发行版,...
MQTT服务器:emqx
02-03
文章将详细介绍EMQ X及其在自我搭建中的应用。 **EMQ X 简介** EMQ X Broker是一款高度可扩展、高性能的 MQTT 消息代理,它支持海量设备连接,可广泛应用于物联网、车联网、移动应用、智能家居等领域。EMQ X ...
C# 编写的mqtt服务端
03-25
文章将深入探讨如何使用C#语言来编写一个MQTT服务端,以及其在实际应用中的重要性。 首先,让我们理解MQTT的基本工作原理。MQTT采用发布/订阅模型,其中客户端可以作为发布者或订阅者。发布者发送消息到特定的...
paho Mqtt 客户端C语言源码
10-27
将深入探讨Paho MQTT C客户端源码的核心概念、设计原理以及如何使用。 1. **Paho MQTT C库概述** Paho MQTT C库提供了一个简单易用的接口,用于实现MQTT客户端的功能。这个库支持MQTT 3.1.1协议,可以连接到...
MQTT单片机编程小工具
12-22
文章将详细探讨MQTT在单片机编程中的应用及其重要性。 首先,我们了解下MQTT的基本原理。MQTT协议基于TCP/IP协议栈,使用发布/订阅模型,其中消息发布者(Publishers)向主题(Topics)发布消息,而消息订阅者...
基于Qt的MQTT客服端
05-27
将详细介绍如何利用Qt库构建一个MQTT客户端,以实现与MQTT服务器的通信。 ### 1. MQTT协议基础 MQTT协议的核心概念包括发布者(Publishers)、订阅者(Subscribers)和代理(Broker)。发布者向特定主题(Topic...
基于qt的mqtt实现,源代码
04-23
文章将详细介绍如何在Qt环境中实现MQTT功能,主要基于`qmqtt`库进行讲解。 1. **MQTT协议简介** MQTT协议设计的目标是低带宽、低功耗和低延迟,使其成为远程位置或低性能设备的理想选择。它使用TCP/IP协议栈,...
mqtt简单推送配置详解
05-17
文章将深入探讨MQTT的简单推送配置,包括其核心概念、配置步骤以及官方提供的测试例子。 1. **MQTT核心概念** - **发布/订阅模型**:MQTT采用的是发布者(Publisher)和订阅者(Subscriber)模型,发布者发送消息...
MQTT-client for D7
01-03
文章将详细介绍一个基于mosquitto库的MQTT-client程序,该程序专为Delphi7编程环境设计,旨在帮助开发者实现MQTT通讯。 首先,我们要理解MQTT协议的基本概念。MQTT是一种发布/订阅模式的网络协议,它为远程位置...
MQTT安全性设计详解
易名
10-16 2037
1 前言 MQTT(MQ Telemetry Transport, MQ 遥测传输)。 它是一种发布/订阅、极其简单和轻量级的消息传递协议,旨在用于受限设备和低带宽,高延迟或不可靠的网络。设计原则是使网络带宽和设备资源要求最小化,同时还要尝试确保可靠性和一定程度的交付保证。这些原则也使该协议成为新兴的“M2M”或“物联网”连接设备世界的理想选择,并且适用于带宽和电池电量极为宝贵的移动应用。 物联网...
MQTT 服务器安全性测试
emqx_broker的博客
02-07 5804
本文将以 EMQ X 为例,介绍如何使用模糊测试工具来发现 MQTT 服务器对协议实现上可能存在的缺陷和漏洞。
网络靶场实战-MQTT协议分析
蛇矛实验室
12-26 3785
1. 客户端(Client):使用MQTT的程序或设备,一般分为发布者和订阅者2. 服务端(Server):发布者和订阅者之间的Broker3. 主题(Topic):附加在消息上的一个标签,Broker将该消息发送给所有订阅该主题的订阅者4. 主题过滤器(Topic Filter):订阅者订阅时可使用通配符同时订阅一个或多个主题MQTT基于发布和订阅模型,MQTT 协议的订阅与发布是基于主题的(Topic),MQTT工作在 TCP/IP协议族上。1. Publisher 连接 Broker;
stm32用esp8266mqtt连接emqx
06-28
### 回答1: 要将STM32与ESP8266连接到EMQX,需要遵循以下步骤: 1. 首先,您需要在STM32上安装MQTT客户端库,例如MQTT-SN或Paho MQTT。 2. 然后,您需要将ESP8266配置为MQTT客户端,并确保它可以连接到EMQX代理。 3. 接下来,您需要编写STM32代码来连接到ESP8266,并使用MQTT协议与EMQX代理通信。 4. 最后,您需要测试连接并确保数据可以在STM32和EMQX之间传输。 需要注意的是,连接到EMQX代理需要正确的配置和设置,以确保安全和可靠的通信。您可以参考EMQX文档和社区支持来获取更多信息和帮助。 ### 回答2: STM32是一款常用的嵌入式处理器,而ESP8266则是一款常用的Wi-Fi模块,可以提供网络连接功能。而EMQX则是一款开源的MQTT消息服务器,可以提供MQTT协议的消息传递功能。将这三个模块结合在一起,可以实现STM32通过ESP8266模块连接EMQX消息服务器的功能,并可以实现简单的消息传递。 要实现STM32使用ESP8266连接EMQX,需要先了解MQTT协议的相关知识。MQTT协议是一种轻量级的物联网通信协议,可以实现消息的订阅、发布和分发。ESP8266模块可以通过Wi-Fi连接到EMQX服务器,并且使用MQTT协议向服务器发送消息或从服务器接收消息。而STM32代码可以使用MQTT库实现协议的相应控制。 具体实现步骤如下: 1. 搭建EMQX服务器,并在MQTT客户端中创建一个新的Topic。 2. 将ESP8266连接到Wi-Fi网络,并设置其为MQTT客户端。在ESP8266代码中,可以使用MQTT库来实现连接到EMQX服务器。 3. STM32需要使用串口通信与ESP8266进行数据通信。可以使用USART或UART来实现这种通信,其中USART可以提供更高的传输速度,并能够同时实现发送和接收数据。 4. 将STM32连接到ESP8266,再通过USART或UART实现数据的双向传输。将STM32中的MQTT库与ESP8266的MQTT库结合起来,就可以实现STM32使用ESP8266连接EMQX服务器的功能。 总之,STM32通过ESP8266连接EMQX服务器,需要实现的主要功能包括建立Wi-Fi连接,使用MQTT协议进行通信,实现STM32与ESP8266之间的双向数据传输等。需要对MQTT协议、ESP8266的操作和STM32的串口通信有较深入的了解才能实现这一功能。 ### 回答3: stm32是一款广泛应用于嵌入式系统的微控制器,而esp8266是一款高集成度、高性能的Wi-Fi芯片,可用于连接互联网。emqx是一款开源的分布式消息中间件,在物联网领域中得到了广泛的应用。在这文章中,我们将探讨如何使用stm32和esp8266mqtt连接emqx。 首先,我们需要准备一些材料。我们需要一块stm32开发板和一块esp8266无线模块,以及相应的连接电缆。我们还需要在计算机上安装keilMDK开发环境和相关的驱动程序。 接下来,我们需要在开发板上连接esp8266模块。我们可以使用UART串口或SPI接口来进行连接。如果使用UART串口,我们需要连接GND、TX和RX引脚。如果使用SPI接口,我们需要连接GPIO引脚和SPI接口。可以根据不同的开发板和esp8266模块来进行调整。 一旦我们成功地将stm32和esp8266连接起来,我们就可以开始编程了。我们可以使用keilMDK环境和相应的库文件来实现这个过程。在代码中,我们需要封装mqtt连接指令,以实现与emqx的连接。我们还需要将mqtt协议的实现代码加入到我们的程序中。 最后,在我们的代码中添加相应的数据包并发送到emqx服务器,以与其他设备进行通信。我们可以在emqx中配置相应的订阅和发布主题,确保我们的设备能够正确地接收和发送消息。 总之,使用stm32和esp8266mqtt连接emqx可以帮助我们实现设备之间的通信,提高物联网系统的整体性能。使用正确的工具和方法,可以使这个过程变得非常简单,让我们能够更好地应对物联网的挑战。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值