EMQ X 认证鉴权(二)- EMQ X 中 MQTT 连接认证核心概念与配置要点

于 2020-03-17 11:36:59 发布
阅读量1.7k 收藏 5
点赞数
分类专栏: 认证鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/emqx_broker/article/details/104917962
版权

前言

安全保护几乎对于所有的项目都是一个挑战,对于物联网项目更是如,自普及应用以来物联网业内已经发生过多起安全事故。

作为物联网通信协议事实标准,**MQTT 协议 ** 保持着较高的安全性,提供了多层次的安全设计:

  • 传输层:MQTT 基于 TCP/IP 协议,可以在传输层上使用 SSL/TLS 进行加密传输:
    • 使用 SSL/TLS 加密通信数据,防止中间人攻击;
    • 使用客户端证书作为设备身份凭证,验证设备合法性。
  • 应用层:使用 MQTT 自身的安全特性进行防护:
    • MQTT 协议支持用户名和密码实现客户端的身份校验;
    • MQTT Broker 实现了 Topic 的读写权限控制(Topic ACL)。

EMQ X MQTT Broker 完整支持 MQTT 协议 各项安全规范,内置的安全功能无需编程开箱即用,可以快速排除项目中的安全隐患。EMQ X 认证鉴权系列将围绕各个层次的安全规范,介绍如何通过配置 EMQ X 启用相关功能最终实现相应的安全防护。

本文将围绕 EMQ X 中 MQTT 连接认证相关的核心概念,介绍 EMQ X 支持的认证方式及其适用场景,并从工作机制和配置原则上阐述 EMQ X 认证相关的认证链、认证流程/原理以及相关的配置要点等信息,让你快速掌握 EMQ X 认证配置方式。

认证方式

EMQ X 支持使用内置数据源(文件、内置数据库)、JWT、外部主流数据库和自定义 HTTP API 作为身份认证数据源。

连接数据源、进行认证是插件实现的,每个插件对应一种认证方式,使用前需要启用相应的插件。

客户端连接时插件通过检查其 username/clientid 和 password 是否与指定数据源的信息一致来实现对客户端的身份认证。

EMQ X 支持的认证方式:

内置数据源

  • 用户名认证
  • Cliend ID 认证

使用配置文件与 EMQ X 内置数据库提供认证数据源,通过 HTTP API 进行管理,足够简单轻量。

外部数据库

  • LDAP 认证
  • MySQL 认证
  • PostgreSQL 认证
  • Redis 认证
  • MongoDB 认证

外部数据库可以存储大量数据,同时方便与外部设备管理系统集成。

其他

  • HTTP 认证
  • JWT 认证

JWT 认证可以批量签发认证信息,HTTP 认证能够实现复杂的认证鉴权逻辑。

更改插件配置后需要重启插件才能生效,部分认证鉴权插件包含 ACL 功能。

认证结果

任何一种认证方式最终都会返回一个结果:

  • 认证成功:经过比对客户端认证成功
  • 认证失败:经过比对客户端认证失败,数据源中密码与当前密码不一致
  • 忽略认证(ignore):当前认证方式中未查找到认证数据,无法显式判断结果是成功还是失败,交由认证链下一认证方式或匿名认证来判断

匿名认证

EMQ X 默认配置中启用了匿名认证,任何客户端都能接入 EMQ X。没有启用认证插件或认证插件没有显式允许/拒绝(ignore)连接请求时,EMQ X 将根据匿名认证启用情况决定是否允许客户端连接。

配置匿名认证开关:

# etc/emqx.conf

## Value: true | false
allow_anonymous = true

生产环境中请禁用匿名认证。

密码加盐规则与哈希方法

EMQ X 多数认证插件中可以启用哈希方法,数据源中仅保存密码密文,保证数据安全。

启用哈希方法时,用户可以为每个客户端都指定一个 salt(盐)并配置加盐规则,数据库中存储的密码是按照加盐规则与哈希方法处理后的密文。

以 MySQL 认证为例:

加盐规则与哈希方法配置:

# etc/plugins/emqx_auth_mysql.conf

## 不加盐,仅做哈希处理
auth.mysql.password_hash = sha256

## salt 前缀:使用 sha256 加密 salt + 密码 拼接的字符串
auth.mysql.password_hash = salt,sha256

## salt 后缀:使用 sha256 加密 密码 + salt 拼接的字符串
auth.mysql.password_hash = sha256,salt

## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
## auth.mysql.password_hash = pbkdf2,sha256,1000,20

如何生成认证信息

  1. 为每个客户端分用户名、Client ID、密码以及 salt(盐)等信息
  2. 使用与 MySQL 认证相同加盐规则与哈希方法处理客户端信息得到密文
  3. 将客户端信息写入数据库,客户端的密码应当为密文信息

EMQ X 身份认证流程

  1. 根据配置的认证 SQL 结合客户端传入的信息,查询出密码(密文)和 salt(盐)等认证数据,没有查询结果时,认证将终止并返回 ignore 结果
  2. 根据配置的加盐规则与哈希方法计算得到密文,没有启用哈希方法则跳过此步
  3. 将数据库中存储的密文与当前客户端计算的到的密文进行比对,比对成功则认证通过,否则认证失败

以 PostgreSQL 认证为例,其功能逻辑如下图:

在这里插入图片描述

写入数据的加盐规则、哈希方法与对应插件的配置一致时认证才能正常进行。更改哈希方法会造成现有认证数据失效。

认证链

当同时启用多个认证方式时,EMQ X 将按照插件开启先后顺序进行链式认证:

  • 一旦认证成功,终止认证链并允许客户端接入

  • 一旦认证失败,终止认证链并禁止客户端接入

  • 直到最后一个认证方式仍未通过,根据匿名认证配置判定

    • 匿名认证开启时,允许客户端接入
    • 匿名认证关闭时,禁止客户端接入

在这里插入图片描述

同时只启用一个认证插件可以提高客户端身份认证效率。

MQTT TLS 认证

MQTT TLS 的默认端口是 8883:

listener.ssl.external = 8883

配置证书和 CA:

listener.ssl.external.keyfile = etc/certs/key.pem
listener.ssl.external.certfile = etc/certs/cert.pem
listener.ssl.external.cacertfile = etc/certs/cacert.pem

注意,默认的 etc/certs 目录下面的 key.pemcert.pemcacert.pem 是 EMQ X Broker 生成的自签名证书,所以在使用支持 TLS 的客户端测试的时候,需要将上面的 CA 证书 etc/certs/cacert.pem 配置到客户端。

服务端支持的 cipher 列表需要显式指定,默认的列表与 Mozilla 的服务端 cipher 列表一致:

listener.ssl.external.ciphers = ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-DES-CBC3-SHA,ECDH-ECDSA-AES256-GCM-SHA384,ECDH-RSA-AES256-GCM-SHA384,ECDH-ECDSA-AES256-SHA384,ECDH-RSA-AES256-SHA384,DHE-DSS-AES256-GCM-SHA384,DHE-DSS-AES256-SHA256,AES256-GCM-SHA384,AES256-SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,ECDH-ECDSA-AES128-GCM-SHA256,ECDH-RSA-AES128-GCM-SHA256,ECDH-ECDSA-AES128-SHA256,ECDH-RSA-AES128-SHA256,DHE-DSS-AES128-GCM-SHA256,DHE-DSS-AES128-SHA256,AES128-GCM-SHA256,AES128-SHA256,ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-AES256-SHA,DHE-DSS-AES256-SHA,ECDH-ECDSA-AES256-SHA,ECDH-RSA-AES256-SHA,AES256-SHA,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA,ECDH-ECDSA-AES128-SHA,ECDH-RSA-AES128-SHA,AES128-SHA

PSK 认证

如果希望使用 PSK 认证,需要将 TLS 认证 中的 listener.ssl.external.ciphers 注释掉,然后配置 listener.ssl.external.psk_ciphers

#listener.ssl.external.ciphers = ECDHE-ECDSA-AES256-GCM-SHA384,...
listener.ssl.external.psk_ciphers = PSK-AES128-CBC-SHA,PSK-AES256-CBC-SHA,PSK-3DES-EDE-CBC-SHA,PSK-RC4-SHA

然后启用 emqx_psk_file 插件:

$ emqx_ctl plugins load emqx_psk_file

PSK 的配置文件为 etc/psk.txt,使用冒号: 分隔 PSK ID 和 PSK:

client1:1234
client2:abcd
EMQX
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
解锁工业数据流:NeuronEX 规则调试功能实操指南
06-11 607
NeuronEX 提供设备数据采集和边缘智能分析服务,本文将重点介绍 NeuronEX 的规则调试功能,旨在帮助用户更高效地进行规则的调试和创建。
博客
EMQX Enterprise 5.7 发布:新增会话持久化、消息 Schema 验证、规则引擎调试与追踪功能
06-03 387
EMQX Enterprise 5.7.0 版本现已正式发布!在这个版本中,我们引入了一系列新的功能和改进,包括会话持久化、消息 Schema 验证、规则引擎调试与追踪测试等功能。此外,新版本还进行了多项改进以及 BUG 修复,进一步提升了整体性能和稳定性。
博客
MQTT 5.0 报文解析 06:AUTH
05-28 817
MQTT 5.0 引入了增强认证特性,它使 MQTT 除了简单密码认证和 Token 认证以外,还能够支持质询/响应风格的认证。为了实现这一点,它在原先 CONNECT 和 CONNACK 报文的基础上,又引入了 AUTH 报文来实现任意多次的认证数据交换。
博客
MQTT 5.0 报文解析 05:DISCONNECT
05-21 374
在 MQTT 中,客户端和服务端可以在断开网络连接前向对端发送一个 DISCONNECT 报文,来指示连接关闭的原因。客户端发送的 DISCONNECT 报文还可以影响服务端在连接断开后的行为,例如是否发送遗嘱消息,是否更新会话过期间隔。
博客
MQTT 5.0 报文解析 04:PINGREQ 与 PINGRESP
05-13 619
除了用于连接、发布和订阅的控制报文,MQTT 还有一类报文用于在客户端和服务端之间模拟心跳,以达到保持连接的目的,它们分别是 PINGREQ 报文和 PINGRESP 报文,我们通常也会称它们为心跳报文。
博客
MQTT 5.0 报文解析 03:SUBSCRIBE 与 UNSUBSCRIBE
05-07 1052
SUBSCRIBE 和 SUBACK 报文用于订阅,UNSUBSCRIBE 和 UNSUBACK 用于取消订阅,想要订阅或者取消订阅的主题过滤器列表,都在对应报文的有效载荷中,SUBSCRIBE 报文中的每个主题主题过滤器,都与一组订阅选项相关联。指示请求结果的 Reason Code 位于 SUBACK 和 UNSUBACK 报文的有效载荷部分,并且它是一个列表,一一对应请求报文中的主题过滤器。在下一篇文章中,我们将继续研究 MQTT 的心跳报文。
博客
MQTT Broker 白皮书:全面实用的 MQTT Broker 选型指南
04-22 814
EMQ 发布《 MQTT Broker 实用选型指南》白皮书:深入分析选型标准,助力用户挑选最适合项目需求的 MQTT Broker。 在智能数字化时代,满足海量智能设备间实时、可靠的消息传递需求。
博客
MQTT 5.0 报文解析 02:PUBLISH 与 PUBACK
04-16 576
欢迎阅读 MQTT 5.0 报文系列的第二篇文章。在上一篇中,我们已经介绍了 MQTT 5.0 的 CONNECT 和 CONNACK 报文。现在,我们将介绍在 MQTT 中用于传递应用消息的 PUBLISH 报文以及它的响应报文。
博客
MQTT 5.0 报文解析 01:CONNECT 与 CONNACK
04-07 1138
在 MQTT 5.0 报文介绍中,我们介绍了 MQTT 报文由固定报头、可变报头和有效载荷三个部分组成,以及可变字节整数、属性这类 MQTT 报文中的通用概念。现在,我们将按照实际的用途来进一步介绍各个类型的报文的组成。首先,我们将专注于用于建立 MQTT 连接的报文。
博客
MQTT 5.0 报文(Packets)入门指南
03-25 807
MQTT 控制报文是 MQTT 数据传输的最小单元。MQTT 客户端和服务端通过交换控制报文来完成它们的工作,比如订阅主题和发布消息。
博客
EMQX ECP + NeuronEX 产品发布会:从边到云的实时工业互联数据平台
03-18 419
3 月 28 日,EMQ 将举办工业互联数据平台线上产品发布会。探讨工业互联数据平台如何助力工业企业数字化转型和智能化生产。
博客
HStream Webinar: 兼容 Kafka 协议的下一代流数据平台
03-11 411
3 月 20 日,HStream 将举行线上分享会,介绍下一代流数据平台 HStream Platform 的技术架构与应用案例。
博客
开发者分享:利用 EMQX Cloud 与 ESP32 微控制器实现智能液冷散热系统
03-04 994
从最初遇到的笔记本过热问题,到构建一个实时的水温监控系统,这个项目充分展示了现代物联网技术是如何帮我们解决生活中的实际问题。通过整合 ESP32、DS18B20 水温传感器、EMQX Cloud Serverless MQTT Broker、Python、Flask 以及 Fly.io 云平台的能力,我们成功地开发出一个既实用又高效的系统。这个系统不仅提高了我的工作效率,也为类似问题提供了一个创新的解决方案。
博客
EMQX Enterprise 5.5 发布:新增 Elasticsearch 数据集成
02-26 1255
5.5.0 版本已正式发布!在这个版本中,我们引入了一系列新的功能和改进,包括对 Elasticsearch 的集成、Apache IoTDB 和 OpenTSDB 数据集成优化、授权缓存支持排除主题等功能。此外,新版本还进行了多项改进以及 BUG 修复,进一步提升了整体性能和稳定性。
博客
EMQX Enterprise 5.4 发布:OpenTelemetry 分布式追踪、OCPP 网关、Confluent 集成支持
02-19 1037
5.4.0 版本已正式发布!新版本提供 OpenTelemetry 分布式追踪与日志集成功能,新增了开放充电协议 OCPP 协议接入能力,并为数据集成添加了 Confluent 支持。此外,新版本还进行了多项改进以及 BUG 修复,进一步提升了整体性能和稳定性。
博客
EMQX Enterprise 5.3 发布:审计日志、Dashboard 访问权限控制与 SSO 一站登录
02-08 1623
5.3.0 版本已正式发布!新版本带来多个企业特性的更新,包括审计日志,Dashboard RBAC 权限控制,以及基于 SSO(单点登录)的一站式登录,提升了企业级部署的安全性、管理性和治理能力。此外,新版本还进行了多项改进以及 BUG 修复,进一步提升了整体性能和稳定性。
博客
EMQX 性能调优:TCP SYN 队列与 Accept 队列
02-01 1195
在某些情况下,即便当前服务端的 MQTT 连接总数并未达到文件描述符限制,客户端的连接请求仍然失败。本文将介绍导致这一现象的原因以及如何通过内核参数调优来解决此问题。
博客
EMQX 性能调优:最大连接与文件描述符
01-18 1176
在本文中,我们将介绍如何修改 Linux 内核参数来增大 EMQX 可以使用的文件描述符数量。
博客
EMQX ECP 2.0 工业互联数据平台产品发布会
11-09 267
11 月 16 日,EMQ 在线上发布全新产品 EMQX ECP2.0,工业互联数据平台。EMQ 将与中天钢铁集团和三峡集团的专家们一起深度解析如何解决工业数字化转型中的数据痛点。
博客
EMQX Enterprise 5.2 发布:Flow 设计器,Amazon Kinesis,Azure Event Hubs
09-15 928
EMQX Enterprise 5.2.0 增加了可拖拽的可视化 Flow 设计器,可以快速部署数据集成。同时,新版本新增了对 Amazon Kinesis 和 Azure Event Hubs 的支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值