专栏首页小白AI.易名MQTT安全性设计详解

MQTT安全性设计详解

1 前言

MQTT(MQ Telemetry Transport, MQ 遥测传输)。它是一种发布/订阅、极其简单和轻量级的消息传递协议,旨在用于受限设备和低带宽,高延迟或不可靠的网络。设计原则是使网络带宽和设备资源要求最小化,同时还要尝试确保可靠性和一定程度的交付保证。这些原则也使该协议成为新兴的“M2M”或“物联网”连接设备世界的理想选择,并且适用于带宽和电池电量极为宝贵的移动应用。

物联网的前景变得越来越大,尤其是 5G 的到来,各领域如车联网、车载娱乐(AR 等)、智能电网、移动和协作机器人、智能视频监控、智慧城市等等。

5G 物联网用例图

IOT ANALYTICS机构预测到 2025 年全世界运行的物联网设备能达到 342 亿(34.2billion)。各互联网大头公司,如亚马逊、微软、阿里巴巴、腾讯、IBM 等等都推出了物联网云平台。而每个云平台都对 MQTT 协议支持,支持直接将设备通过 MQTT 协议与他们的云平台对接起来。MQTT 是一个开放的协议,我们可以自己去搭建自己的云平台,实现定制化开发,那么在实现 MQTT 安全上有什么需要注意的地方呢?本文从实现了 MQTT 协议的 mosquitto broker 具体示例来讲述。

IOT ANALYTICS物联网激活设备趋势预测图

2 安全实现方式

  • MQTT 协议本身支持用户名和密码实现客户端的身份校验
  • 使用 SSL(升级版本 TLS)对网络数据进行加密(这与 MQTT 协议本身是无关的,会增加网络开销)
  • 通过 Broker 配置对 Topic 的读写权限
  • 使用授权管理插件,实现批量级用户权限和 topic 的读写权限管理

2.1 使用用户名和密码限制连接

通过使用用户名和密码限制连接的方式,客户端连接 broker 时需要设置与 broker 要求的用户名密码才能够连接成功。

mosquitto.conf:

# 指定用户名和密码才能连接broker
allow_anonymous false
password_file {your password path}/passwdfile

密码文件的生成:

mosquitto_passwd [ -c | -D ] passwordfile username
mosquitto_passwd -b passwordfile username password
mosquitto_passwd -U passwordfile

-b
    以批处理模式运行。这允许在命令行提供密码,这可以很方便,但应小心使用,因为密码将在命令行和命令历史记录中可见
-c
    创建一个新的密码文件,如果文件已经存在,则会覆盖。输入命令后,控制台会提示输入新建用户的密码,连续输入两次密码后,则密码文件创建完成
-D
    从密码文件中删除指定的用户
-U
    此选项可用于使用哈希密码将带有纯文本密码的密码文件升级/转换为一个密码文件

2.2 使用 SSL(升级版本 TLS)对网络数据进行加密

使用 TLS 对网络数据加密,需要在配置文件中指定认证文件、密钥文件。

mosquitto.conf:

cafile {your file path}/m2mqtt_ca.crt
certfile {your file path}/m2mqtt_srv.crt
keyfile {your file path}/m2mqtt_srv.key

如何签发证书,查看另一篇文章“使用 TLS 和 Mosquitto Broker 实现安全通信之密钥和证书生成”;

2.3 配置 Broker ACL

通过设置 Broker ACL,可以限制指定用户对指定 Topic 的数据读写权限。

mosquitto.conf:

# 配置acl_file参数为指定acl文件
acl_file {your file path}/aclfile

aclfile 文件内容示例:

# 如下配置会影响没有用户名的客户端的访问控制
# topic [read|write|readwrite] <topic>
topic read $SYS/#

# 如下配置会影响用户名为 "roger" 的访问控制.
user roger
topic foo/bar

# 如下配置会影响所有客户端
# pattern [read|write|readwrite] <topic>
pattern write $SYS/broker/connection/%c/state

2.4 使用授权管理插件,实现批量级用户权限和 topic 的读写权限管理

使用授权管理插件 https://github.com/jpmens/mosquitto-auth-plug

该插件可以执行身份验证(检查用户名/密码)和授权(通过 ACL 授予订阅和/或发布特定主题的许可),通过与数据库绑定,将身份验证和 ACL 管理录入数据库,从而很方便的实现用户身份验证管理。该插件对数据库 mysql 及 mongodb 支持很友好。具体怎么使用可以参考 README。这里仅给出 mysql 配置示例。

mosquitto.conf:

# 指定插件所需动态库
auth_plugin /usr/mosquitto/bin/auth-plug.so
# 指定后端数据库
auth_opt_backends mysql
# 指定数据库主机地址
auth_opt_host localhost
# 指定数据库访问端口
auth_opt_port 3306
# 指定数据库名
auth_opt_dbname your_database
# 指定数据库访问用户名
auth_opt_user your_username
# 指定数据库访问密码
auth_opt_pass your_passwd
# 配置身份验证查询语句
auth_opt_userquery select (case password_syncstatus when 'sync' then user_passwd else old_password end) as user_passwd from tbl_mqttuser where user_name='%s'
# 配置ACL验证查询语句
auth_opt_aclquery SELECT topic FROM tbl_mqttacls WHERE (user_name = '%s') AND (rw >= %d)
# 匿名MQTT连接时插件配置的用户名
auth_opt_anonusername anonymouS

mysql 中 tbl_mqttuser 及 tbl_mqttacls 两个表数据示例:

mysql> select * from  tbl_mqttacls;
+--------+--------------+--------+----+
| acl_id | user_name    | topic  | rw |
+--------+--------------+--------+----+
|      1 | user_1 | #      |  6 |
|      2 | user_2 | $SYS/# |  4 |
+--------+--------------+--------+----+
4 rows in set (0.00 sec)

mysql> select * from  tbl_mqttuser;
+---------+--------------+---------------------------------------------------------------------+---------------------------------------------------------------------+---------------------+---------------------+
| user_id | user_name    | user_passwd                                                         | old_password

⚠️ 注意:对$SYS系统主题的权限设置需要注意读写权限,一般来说是不会开放写数据权限的,否则系统主题得到的数据就不是正确的统计数据了,可能是篡改掉了的。在生产环境中一般系统主题是不会开放的。

3 总结

  • 物联网的安全尤为重要,MQTT 作为广泛使用的轻量级协议,实现安全的方式有多种
  • MQTT 协议本身支持用户名和密码实现客户端的身份校验
  • 使用 SSL(升级版本 TLS)可以对网络数据进行加密(这与 MQTT 协议本身是无关的,会增加网络开销)
  • 通过 Broker 可以配置对 Topic 的读写权限
  • 使用授权管理插件,实现批量级用户权限和 topic 的读写权限管理
  • $SYS系统主题的权限设置需要注意读写权限,一般来说是不会开放写数据权限

4 扩展之 MQTT SYS 主题

MQTT v3.1.1 是较旧的 ISO 和 OASIS 标准,MQTT v5.0 是 OASIS 标准,该协议定义了静态主题、必须实现的SYS主题和非必须实现的主题。

静态 SYS 主题: 不需要在每个$SYS主题更新时间间隔上发送有关静态$SYS主题的消息,只有在订阅了之后才发送一次。**必选主题:**每个声称支持$SYS主题的代理(broker,如 mosquitto)都应支持这些主题,是每个 broker 都需要支持的。**可选主题:**代理可以选择性实现这些主题。

必选主题和可选主题中包含静态主题。

必选主题:

  • $SYS/broker/load/bytes/received : 自代理启动以来收到的字节总数。
  • $SYS/broker/load/bytes/sent : 自代理启动以来发送的字节总数。
  • $SYS/broker/clients/connected : 当前连接的客户端数
  • $SYS/broker/clients/disconnected : 在代理上注册但当前已断开连接的持久客户端总数(禁用了 clean session)。
  • $SYS/broker/clients/maximum : 已连接到代理的最大活动客户端数。仅在更新$SYS主题树时才计算此值,因此可能不计算短暂的客户端连接。
  • $SYS/broker/clients/total : 当前已在代理上连接并注册的持久会话的已连接和已断开连接的客户端总数。
  • $SYS/broker/messages/received : 自代理启动以来收到的任何类型的消息总数。
  • $SYS/broker/messages/sent : 自代理启动以来发送的任何类型的消息总数。
  • $SYS/broker/messages/publish/dropped : 由于运行中/排队限制而删除的发布消息总数。
  • $SYS/broker/messages/publish/received : 自代理启动以来收到的 PUBLISH 消息总数。
  • $SYS/broker/messages/publish/sent : 自代理启动以来发送的 PUBLISH 消息总数。
  • $SYS/broker/messages/retained/count: 代理上活动的保留消息总数。
  • $SYS/broker/subscriptions/count: 代理上活动的订阅总数。
  • $SYS/broker/uptime: 代理已联机的时间(以秒为单位)
  • $SYS/broker/version: broker 的版本。静态主题

可选主题:

  • $SYS/broker/time: 服务器上的当前时间
  • $SYS/broker/timestamp: 生成此特定版本的代理的时间戳。静态主题。
  • ......

5 参考链接

  • https://github.com/mqtt/mqtt.github.io/wiki/SYS-Topics
  • https://docs.vernemq.com/configuration/bridge
  • https://www.hivemq.com/blog/why-you-shouldnt-use-sys-topics-for-monitoring/
  • https://mosquitto.org/man/mosquitto-8.html
  • http://mqtt.org/faq
  • https://iot-analytics.com/state-of-the-iot-update-q1-q2-2018-number-of-iot-devices-now-7b/
  • https://blog.teserakt.io/2019/02/25/securing-the-mosquitto-mqtt-broker/
  • https://github.com/jpmens/mosquitto-auth-plug

本文分享自微信公众号 - 小白AI(gh_c002f3b12bc2),作者:Ethan

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-10-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 3天学会Jenkins_Jenkin与CI(Continuous Integration,持续集成)?

    持续集成(Continuous Integration)即是发生在每一次的代码提交后,立即开始软件的构建(Build)和测试(Test),在一个拥有许多开发人员...

    别打名名
  • 3天学会Jenkins_6_管道或流水线教程之Jenkinsfile示例

    在Jenkins中,管道(Pipeline)是一组事件或任务,它们按顺序相互链接。简单来说,Jenkins Pipeline是一个插件组合,支持使用Jenkin...

    别打名名
  • Spring Boot从零入门2_核心模块详述和开发环境搭建

    在上一篇文章中我们已经详解介绍了Spring boot相关的概念、特性以及周边知识,这一篇文章我们继续深入。我们知道Spring boot是一个入口,利用Spr...

    别打名名
  • Android常用工具集合(一)

    下载地址 : https://ibotpeaches.github.io/Apktool/

    Jumbo
  • 笔记 | Linux 性能监视与跑分测试

    工具:htop, net-tools, ping, iperf, UnixBench 等

    悠风
  • SAP成都研究院姚瑶:软件质量保证工作的变迁

    大家好,我是来自SAP成都研究院Revenue Cloud 团队的质量工程师 , yoyo。很高兴可以和大家分享我个人的工作体会。每个团队都有QE(Qualit...

    Jerry Wang
  • 阿里参谋长曾鸣:那天,我泪流满面(作者授权转载)

    大数据文摘
  • 移动测试避坑指南(第一篇):从流程到技术的知识概要

    京东技术
  • SAP成都研究院姚瑶:软件质量保证工作的变迁

    大家好,我是来自SAP成都研究院Revenue Cloud 团队的质量工程师 , yoyo。很高兴可以和大家分享我个人的工作体会。每个团队都有QE(Qualit...

    Jerry Wang
  • 对自动化测试的几点思考(一)

    曾经在2012年的时候,测试一个WEB产品,怎么测试问题总是很多的,领导层对测试的能力非常质疑,而且领导层也认为测试这个事没什么技术含量,前台小妹...

    无涯WuYa

扫码关注云+社区

领取腾讯云代金券