EMQX中MQTT連接認(rèn)證怎么配置

本篇內(nèi)容主要講解“EMQ X中MQTT連接認(rèn)證怎么配置”，感興趣的朋友不妨來看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來帶大家學(xué)習(xí)“EMQ X中MQTT連接認(rèn)證怎么配置”吧!

創(chuàng)新互聯(lián)建站服務(wù)項(xiàng)目包括迭部網(wǎng)站建設(shè)、迭部網(wǎng)站制作、迭部網(wǎng)頁(yè)制作以及迭部網(wǎng)絡(luò)營(yíng)銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術(shù)優(yōu)勢(shì)、行業(yè)經(jīng)驗(yàn)、深度合作伙伴關(guān)系等，向廣大中小型企業(yè)、政府機(jī)構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，迭部網(wǎng)站推廣取得了明顯的社會(huì)效益與經(jīng)濟(jì)效益。目前，我們服務(wù)的客戶以成都為中心已經(jīng)輻射到迭部省份的部分城市，未來相信會(huì)繼續(xù)擴(kuò)大服務(wù)區(qū)域并繼續(xù)獲得客戶的支持與信任！

前言

安全保護(hù)幾乎對(duì)于所有的項(xiàng)目都是一個(gè)挑戰(zhàn)，對(duì)于物聯(lián)網(wǎng)項(xiàng)目更是如，自普及應(yīng)用以來物聯(lián)網(wǎng)業(yè)內(nèi)已經(jīng)發(fā)生過多起安全事故。

作為物聯(lián)網(wǎng)通信協(xié)議事實(shí)標(biāo)準(zhǔn)，MQTT 協(xié)議保持著較高的安全性，提供了多層次的安全設(shè)計(jì)：

• 傳輸層：MQTT 基于 TCP/IP 協(xié)議，可以在傳輸層上使用 SSL/TLS 進(jìn)行加密傳輸：

• 使用 SSL/TLS 加密通信數(shù)據(jù)，防止中間人攻擊；

• 使用客戶端證書作為設(shè)備身份憑證，驗(yàn)證設(shè)備合法性。

• 應(yīng)用層：使用 MQTT 自身的安全特性進(jìn)行防護(hù)：

• MQTT 協(xié)議支持用戶名和密碼實(shí)現(xiàn)客戶端的身份校驗(yàn)；

• MQTT Broker實(shí)現(xiàn)了 Topic 的讀寫權(quán)限控制（Topic ACL）。

EMQ X MQTT Broker 完整支持 MQTT 協(xié)議各項(xiàng)安全規(guī)范，內(nèi)置的安全功能無需編程開箱即用，可以快速排除項(xiàng)目中的安全隱患。EMQ X 認(rèn)證鑒權(quán)系列將圍繞各個(gè)層次的安全規(guī)范，介紹如何通過配置 EMQ X 啟用相關(guān)功能最終實(shí)現(xiàn)相應(yīng)的安全防護(hù)。

認(rèn)證方式

EMQ X 支持使用內(nèi)置數(shù)據(jù)源（文件、內(nèi)置數(shù)據(jù)庫(kù)）、JWT、外部主流數(shù)據(jù)庫(kù)和自定義 HTTP API 作為身份認(rèn)證數(shù)據(jù)源。

連接數(shù)據(jù)源、進(jìn)行認(rèn)證是插件實(shí)現(xiàn)的，每個(gè)插件對(duì)應(yīng)一種認(rèn)證方式，使用前需要啟用相應(yīng)的插件。

客戶端連接時(shí)插件通過檢查其 username/clientid 和 password 是否與指定數(shù)據(jù)源的信息一致來實(shí)現(xiàn)對(duì)客戶端的身份認(rèn)證。

EMQ X 支持的認(rèn)證方式：

內(nèi)置數(shù)據(jù)源

• 用戶名認(rèn)證

• Cliend ID 認(rèn)證

使用配置文件與 EMQ X 內(nèi)置數(shù)據(jù)庫(kù)提供認(rèn)證數(shù)據(jù)源，通過 HTTP API 進(jìn)行管理，足夠簡(jiǎn)單輕量。

外部數(shù)據(jù)庫(kù)

• LDAP 認(rèn)證

• MySQL 認(rèn)證

• PostgreSQL 認(rèn)證

• redis 認(rèn)證

• MongoDB 認(rèn)證

外部數(shù)據(jù)庫(kù)可以存儲(chǔ)大量數(shù)據(jù)，同時(shí)方便與外部設(shè)備管理系統(tǒng)集成。

其他

• HTTP 認(rèn)證

• JWT 認(rèn)證

JWT 認(rèn)證可以批量簽發(fā)認(rèn)證信息，HTTP 認(rèn)證能夠?qū)崿F(xiàn)復(fù)雜的認(rèn)證鑒權(quán)邏輯。

更改插件配置后需要重啟插件才能生效，部分認(rèn)證鑒權(quán)插件包含 ACL 功能。

認(rèn)證結(jié)果

任何一種認(rèn)證方式最終都會(huì)返回一個(gè)結(jié)果：

• 認(rèn)證成功：經(jīng)過比對(duì)客戶端認(rèn)證成功

• 認(rèn)證失敗：經(jīng)過比對(duì)客戶端認(rèn)證失敗，數(shù)據(jù)源中密碼與當(dāng)前密碼不一致

• 忽略認(rèn)證（ignore）：當(dāng)前認(rèn)證方式中未查找到認(rèn)證數(shù)據(jù)，無法顯式判斷結(jié)果是成功還是失敗，交由認(rèn)證鏈下一認(rèn)證方式或匿名認(rèn)證來判斷

匿名認(rèn)證

EMQ X 默認(rèn)配置中啟用了匿名認(rèn)證，任何客戶端都能接入 EMQ X。沒有啟用認(rèn)證插件或認(rèn)證插件沒有顯式允許/拒絕（ignore）連接請(qǐng)求時(shí)，EMQ X 將根據(jù)匿名認(rèn)證啟用情況決定是否允許客戶端連接。

配置匿名認(rèn)證開關(guān)：

# etc/emqx.conf

## Value: true | false
allow_anonymous = true

生產(chǎn)環(huán)境中請(qǐng)禁用匿名認(rèn)證。

密碼加鹽規(guī)則與哈希方法

EMQ X 多數(shù)認(rèn)證插件中可以啟用哈希方法，數(shù)據(jù)源中僅保存密碼密文，保證數(shù)據(jù)安全。

啟用哈希方法時(shí)，用戶可以為每個(gè)客戶端都指定一個(gè) salt（鹽）并配置加鹽規(guī)則，數(shù)據(jù)庫(kù)中存儲(chǔ)的密碼是按照加鹽規(guī)則與哈希方法處理后的密文。

以 MySQL 認(rèn)證為例：

加鹽規(guī)則與哈希方法配置：

# etc/plugins/emqx_auth_mysql.conf

## 不加鹽，僅做哈希處理
auth.mysql.password_hash = sha256

## salt 前綴：使用 sha256 加密 salt + 密碼 拼接的字符串
auth.mysql.password_hash = salt,sha256

## salt 后綴：使用 sha256 加密 密碼 + salt 拼接的字符串
auth.mysql.password_hash = sha256,salt

## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
## auth.mysql.password_hash = pbkdf2,sha256,1000,20

如何生成認(rèn)證信息

1. 為每個(gè)客戶端分用戶名、Client ID、密碼以及 salt（鹽）等信息

2. 使用與 MySQL 認(rèn)證相同加鹽規(guī)則與哈希方法處理客戶端信息得到密文

3. 將客戶端信息寫入數(shù)據(jù)庫(kù)，客戶端的密碼應(yīng)當(dāng)為密文信息

EMQ X 身份認(rèn)證流程

1. 根據(jù)配置的認(rèn)證 SQL 結(jié)合客戶端傳入的信息，查詢出密碼（密文）和 salt（鹽）等認(rèn)證數(shù)據(jù)，沒有查詢結(jié)果時(shí)，認(rèn)證將終止并返回 ignore 結(jié)果

2. 根據(jù)配置的加鹽規(guī)則與哈希方法計(jì)算得到密文，沒有啟用哈希方法則跳過此步

3. 將數(shù)據(jù)庫(kù)中存儲(chǔ)的密文與當(dāng)前客戶端計(jì)算的到的密文進(jìn)行比對(duì)，比對(duì)成功則認(rèn)證通過，否則認(rèn)證失敗

以 PostgreSQL 認(rèn)證為例，其功能邏輯如下圖：

寫入數(shù)據(jù)的加鹽規(guī)則、哈希方法與對(duì)應(yīng)插件的配置一致時(shí)認(rèn)證才能正常進(jìn)行。更改哈希方法會(huì)造成現(xiàn)有認(rèn)證數(shù)據(jù)失效。

認(rèn)證鏈

當(dāng)同時(shí)啟用多個(gè)認(rèn)證方式時(shí)，EMQ X 將按照插件開啟先后順序進(jìn)行鏈?zhǔn)秸J(rèn)證：

• 一旦認(rèn)證成功，終止認(rèn)證鏈并允許客戶端接入

• 一旦認(rèn)證失敗，終止認(rèn)證鏈并禁止客戶端接入

• 直到最后一個(gè)認(rèn)證方式仍未通過，根據(jù)匿名認(rèn)證配置判定

• 匿名認(rèn)證開啟時(shí)，允許客戶端接入

• 匿名認(rèn)證關(guān)閉時(shí)，禁止客戶端接入

同時(shí)只啟用一個(gè)認(rèn)證插件可以提高客戶端身份認(rèn)證效率。

MQTT TLS 認(rèn)證

MQTT TLS 的默認(rèn)端口是 8883：

listener.ssl.external = 8883

配置證書和 CA：

listener.ssl.external.keyfile = etc/certs/key.pem
listener.ssl.external.certfile = etc/certs/cert.pem
listener.ssl.external.cacertfile = etc/certs/cacert.pem

注意，默認(rèn)的 etc/certs 目錄下面的 key.pem、cert.pem 和 cacert.pem 是 EMQ X Broker 生成的自簽名證書，所以在使用支持 TLS 的客戶端測(cè)試的時(shí)候，需要將上面的 CA 證書 etc/certs/cacert.pem 配置到客戶端。

服務(wù)端支持的 cipher 列表需要顯式指定，默認(rèn)的列表與 Mozilla 的服務(wù)端 cipher 列表一致：

listener.ssl.external.ciphers = ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-DES-CBC3-SHA,ECDH-ECDSA-AES256-GCM-SHA384,ECDH-RSA-AES256-GCM-SHA384,ECDH-ECDSA-AES256-SHA384,ECDH-RSA-AES256-SHA384,DHE-DSS-AES256-GCM-SHA384,DHE-DSS-AES256-SHA256,AES256-GCM-SHA384,AES256-SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,ECDH-ECDSA-AES128-GCM-SHA256,ECDH-RSA-AES128-GCM-SHA256,ECDH-ECDSA-AES128-SHA256,ECDH-RSA-AES128-SHA256,DHE-DSS-AES128-GCM-SHA256,DHE-DSS-AES128-SHA256,AES128-GCM-SHA256,AES128-SHA256,ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-AES256-SHA,DHE-DSS-AES256-SHA,ECDH-ECDSA-AES256-SHA,ECDH-RSA-AES256-SHA,AES256-SHA,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA,ECDH-ECDSA-AES128-SHA,ECDH-RSA-AES128-SHA,AES128-SHA

PSK 認(rèn)證

如果希望使用 PSK 認(rèn)證，需要將 TLS 認(rèn)證 中的 listener.ssl.external.ciphers 注釋掉，然后配置 listener.ssl.external.psk_ciphers：

#listener.ssl.external.ciphers = ECDHE-ECDSA-AES256-GCM-SHA384,...
listener.ssl.external.psk_ciphers = PSK-AES128-CBC-SHA,PSK-AES256-CBC-SHA,PSK-3DES-EDE-CBC-SHA,PSK-RC4-SHA

然后啟用 emqx_psk_file 插件：

$ emqx_ctl plugins load emqx_psk_file

PSK 的配置文件為 etc/psk.txt，使用冒號(hào): 分隔 PSK ID 和 PSK：

client1:1234
client2:abcd

到此，相信大家對(duì)“EMQ X中MQTT連接認(rèn)證怎么配置”有了更深的了解，不妨來實(shí)際操作一番吧！這里是創(chuàng)新互聯(lián)網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！

本文標(biāo)題：EMQX中MQTT連接認(rèn)證怎么配置
轉(zhuǎn)載源于：http://www.jiaotiyi.com/article/gdpooe.html