物联网逐渐渗透到医疗保健、智能家居、智慧城市、自动驾驶等我们生活中的各个领域。这其中所涉及到的物联设备的安全也因此变得愈发重要。一旦物联网系统遭到恶意入侵,不仅海量设备数据将面临丢失、被窃取和篡改等安全风险,使用这些设备和物联网应用的终端用户的个人安全也有可能受到威胁。
我们经常能看到这样的新闻:黑客利用漏洞入侵到物联网系统,比如儿童的智能玩具中,通过玩具的摄像头、扬声器和麦克风对其进行监视;又或者是入侵到一个心脏起搏器,操纵心率并耗尽电池,对病人造成严重伤害。
一个没有足够安全保障的物联网系统虽然也能正常工作、提供服务,但是一旦发生问题,将对企业和其最终用户造成无法估量的伤害。对于用户来说,这可能意味着财产、数据隐私甚至是个人生命安全的损失;对于企业来说,则意味着产品召回的成本、可能产生的法律费用,以及品牌声誉和信任的损失。
因此,物联网安全是物联网发展中每个相关企业都需要重点关注的课题。
目前,很多企业在构建物联网系统时可能会存在以下这些安全风险:
物联网厂商需要在物联网系统设计与建设时优先考虑安全问题,以确保其设备的安全,以及面对攻击时能够弹性应对。
当我们使用 MQTT 构建自己的物联网系统时,可以从以下几个方面考虑安全性问题。按其所在的不同协议层进行细分,可以分为网络层、传输层和应用层。
更好的办法是,借助 TLS 加密协议为我们的数据提供端到端的安全性。除了使数据变成难以破解的密文数据以外,TLS 还能提供多项保护,例如支持客户端对服务端身份合法性的确认,当要求客户端使用证书时,服务端也能确认客户端是否合法,这将有效避免中间人攻击。
另一方面,应用层的安全机制通常也是最后一层安全保障,除了验证接入者的身份,我们最好对接入者能够执行的操作也进行检查,例如接入者可以发布消息到哪些主题上,以及可以从哪些主题消费消息。
如前文所提,作为物联网通信协议的事实标准,MQTT 协议提供了很多与安全相关的功能特性,以保障物联网系统的安全。为了帮助物联网开发者充分了解这些特性,从多维度构建更加安全可靠的物联网系统与应用,EMQ 特别推出了《MQTT 安全》专题系列文章。
在本专题的下一篇文章中,我们将详细讲解基于用户名密码的认证方式,如何在 MQTT 中正确使用这一方式进行身份验证,以及如何避免和解决其中可能的安全隐患。敬请期待。
版权声明: 本文为 EMQ 原创,转载请注明出处。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。