91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

EMQ X中MQTT連接認證怎么配置

發布時間:2021-12-07 09:15:05 來源:億速云 閱讀:485 作者:iii 欄目:互聯網科技

本篇內容主要講解“EMQ X中MQTT連接認證怎么配置”,感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷,實用性強。下面就讓小編來帶大家學習“EMQ X中MQTT連接認證怎么配置”吧!

前言

安全保護幾乎對于所有的項目都是一個挑戰,對于物聯網項目更是如,自普及應用以來物聯網業內已經發生過多起安全事故。

作為物聯網通信協議事實標準,MQTT 協議保持著較高的安全性,提供了多層次的安全設計:

  • 傳輸層:MQTT 基于 TCP/IP 協議,可以在傳輸層上使用 SSL/TLS 進行加密傳輸:

    • 使用 SSL/TLS 加密通信數據,防止中間人攻擊;

    • 使用客戶端證書作為設備身份憑證,驗證設備合法性。

  • 應用層:使用 MQTT 自身的安全特性進行防護:

    • MQTT 協議支持用戶名和密碼實現客戶端的身份校驗;

    • MQTT Broker 實現了 Topic 的讀寫權限控制(Topic ACL)。

EMQ X MQTT Broker 完整支持 MQTT 協議 各項安全規范,內置的安全功能無需編程開箱即用,可以快速排除項目中的安全隱患。EMQ X 認證鑒權系列將圍繞各個層次的安全規范,介紹如何通過配置 EMQ X 啟用相關功能最終實現相應的安全防護。

認證方式

EMQ X 支持使用內置數據源(文件、內置數據庫)、JWT、外部主流數據庫和自定義 HTTP API 作為身份認證數據源。

連接數據源、進行認證是插件實現的,每個插件對應一種認證方式,使用前需要啟用相應的插件。

客戶端連接時插件通過檢查其 username/clientid 和 password 是否與指定數據源的信息一致來實現對客戶端的身份認證。

EMQ X 支持的認證方式:

內置數據源

  • 用戶名認證

  • Cliend ID 認證

使用配置文件與 EMQ X 內置數據庫提供認證數據源,通過 HTTP API 進行管理,足夠簡單輕量。

外部數據庫

外部數據庫可以存儲大量數據,同時方便與外部設備管理系統集成。

其他

  • HTTP 認證

  • JWT 認證

JWT 認證可以批量簽發認證信息,HTTP 認證能夠實現復雜的認證鑒權邏輯。

更改插件配置后需要重啟插件才能生效,部分認證鑒權插件包含 ACL 功能。

認證結果

任何一種認證方式最終都會返回一個結果:

  • 認證成功:經過比對客戶端認證成功

  • 認證失敗:經過比對客戶端認證失敗,數據源中密碼與當前密碼不一致

  • 忽略認證(ignore):當前認證方式中未查找到認證數據,無法顯式判斷結果是成功還是失敗,交由認證鏈下一認證方式或匿名認證來判斷

匿名認證

EMQ X 默認配置中啟用了匿名認證,任何客戶端都能接入 EMQ X。沒有啟用認證插件或認證插件沒有顯式允許/拒絕(ignore)連接請求時,EMQ X 將根據匿名認證啟用情況決定是否允許客戶端連接。

配置匿名認證開關:

# etc/emqx.conf

## Value: true | false
allow_anonymous = true

生產環境中請禁用匿名認證。

密碼加鹽規則與哈希方法

EMQ X 多數認證插件中可以啟用哈希方法,數據源中僅保存密碼密文,保證數據安全。

啟用哈希方法時,用戶可以為每個客戶端都指定一個 salt(鹽)并配置加鹽規則,數據庫中存儲的密碼是按照加鹽規則與哈希方法處理后的密文。

以 MySQL 認證為例:

加鹽規則與哈希方法配置:

# etc/plugins/emqx_auth_mysql.conf

## 不加鹽,僅做哈希處理
auth.mysql.password_hash = sha256

## salt 前綴:使用 sha256 加密 salt + 密碼 拼接的字符串
auth.mysql.password_hash = salt,sha256

## salt 后綴:使用 sha256 加密 密碼 + salt 拼接的字符串
auth.mysql.password_hash = sha256,salt

## pbkdf2 with macfun iterations dklen
## macfun: md4, md5, ripemd160, sha, sha224, sha256, sha384, sha512
## auth.mysql.password_hash = pbkdf2,sha256,1000,20

如何生成認證信息

  1. 為每個客戶端分用戶名、Client ID、密碼以及 salt(鹽)等信息

  2. 使用與 MySQL 認證相同加鹽規則與哈希方法處理客戶端信息得到密文

  3. 將客戶端信息寫入數據庫,客戶端的密碼應當為密文信息

EMQ X 身份認證流程

  1. 根據配置的認證 SQL 結合客戶端傳入的信息,查詢出密碼(密文)和 salt(鹽)等認證數據,沒有查詢結果時,認證將終止并返回 ignore 結果

  2. 根據配置的加鹽規則與哈希方法計算得到密文,沒有啟用哈希方法則跳過此步

  3. 將數據庫中存儲的密文與當前客戶端計算的到的密文進行比對,比對成功則認證通過,否則認證失敗

以 PostgreSQL 認證為例,其功能邏輯如下圖:

EMQ X中MQTT連接認證怎么配置

寫入數據的加鹽規則、哈希方法與對應插件的配置一致時認證才能正常進行。更改哈希方法會造成現有認證數據失效。

認證鏈

當同時啟用多個認證方式時,EMQ X 將按照插件開啟先后順序進行鏈式認證:

  • 一旦認證成功,終止認證鏈并允許客戶端接入

  • 一旦認證失敗,終止認證鏈并禁止客戶端接入

  • 直到最后一個認證方式仍未通過,根據匿名認證配置判定

    • 匿名認證開啟時,允許客戶端接入

    • 匿名認證關閉時,禁止客戶端接入

EMQ X中MQTT連接認證怎么配置

同時只啟用一個認證插件可以提高客戶端身份認證效率。

MQTT TLS 認證

MQTT TLS 的默認端口是 8883:

listener.ssl.external = 8883

配置證書和 CA:

listener.ssl.external.keyfile = etc/certs/key.pem
listener.ssl.external.certfile = etc/certs/cert.pem
listener.ssl.external.cacertfile = etc/certs/cacert.pem

注意,默認的 etc/certs 目錄下面的 key.pemcert.pemcacert.pem 是 EMQ X Broker 生成的自簽名證書,所以在使用支持 TLS 的客戶端測試的時候,需要將上面的 CA 證書 etc/certs/cacert.pem 配置到客戶端。

服務端支持的 cipher 列表需要顯式指定,默認的列表與 Mozilla 的服務端 cipher 列表一致:

listener.ssl.external.ciphers = ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-DES-CBC3-SHA,ECDH-ECDSA-AES256-GCM-SHA384,ECDH-RSA-AES256-GCM-SHA384,ECDH-ECDSA-AES256-SHA384,ECDH-RSA-AES256-SHA384,DHE-DSS-AES256-GCM-SHA384,DHE-DSS-AES256-SHA256,AES256-GCM-SHA384,AES256-SHA256,ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-RSA-AES128-SHA256,ECDH-ECDSA-AES128-GCM-SHA256,ECDH-RSA-AES128-GCM-SHA256,ECDH-ECDSA-AES128-SHA256,ECDH-RSA-AES128-SHA256,DHE-DSS-AES128-GCM-SHA256,DHE-DSS-AES128-SHA256,AES128-GCM-SHA256,AES128-SHA256,ECDHE-ECDSA-AES256-SHA,ECDHE-RSA-AES256-SHA,DHE-DSS-AES256-SHA,ECDH-ECDSA-AES256-SHA,ECDH-RSA-AES256-SHA,AES256-SHA,ECDHE-ECDSA-AES128-SHA,ECDHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA,ECDH-ECDSA-AES128-SHA,ECDH-RSA-AES128-SHA,AES128-SHA

PSK 認證

如果希望使用 PSK 認證,需要將 TLS 認證 中的 listener.ssl.external.ciphers 注釋掉,然后配置 listener.ssl.external.psk_ciphers

#listener.ssl.external.ciphers = ECDHE-ECDSA-AES256-GCM-SHA384,...
listener.ssl.external.psk_ciphers = PSK-AES128-CBC-SHA,PSK-AES256-CBC-SHA,PSK-3DES-EDE-CBC-SHA,PSK-RC4-SHA

然后啟用 emqx_psk_file 插件:

$ emqx_ctl plugins load emqx_psk_file

PSK 的配置文件為 etc/psk.txt,使用冒號: 分隔 PSK ID 和 PSK:

client1:1234
client2:abcd

到此,相信大家對“EMQ X中MQTT連接認證怎么配置”有了更深的了解,不妨來實際操作一番吧!這里是億速云網站,更多相關內容可以進入相關頻道進行查詢,關注我們,繼續學習!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

太湖县| 文成县| 固镇县| 柳州市| 梁河县| 滨州市| 平顺县| 聂拉木县| 宜州市| 五河县| 望谟县| 乌兰察布市| 榕江县| 吕梁市| 临朐县| 浦东新区| 郸城县| 留坝县| 化隆| 开原市| 商城县| 泸州市| 潮安县| 衡阳市| 襄樊市| 合肥市| 巴林左旗| 通化县| 康平县| 娱乐| 铜川市| 犍为县| 新邵县| 普洱| 修武县| 南京市| 晋宁县| 克什克腾旗| 马边| 淳安县| 大渡口区|