MQTT安全篇

http://dataguild.org/?p=6866

MQTT安全篇

2015年12月27日 张 琪

物联网的核心是连接万物,通过交换并分析数据使得生活更舒适与便捷。不过,敏感数据泄露或者设备被非法控制可不是闹着玩的。比如前段时间国内某著名家电企业的智能洗衣机,使用了某著名电商基于XMPP协议的物联网平台,不费吹灰之力便被黑客攻破并远程遥控,给智能家居的发展带来了一些阴影。究其本质,并不是物联网技术本身有缺陷,而是在物联网系统的设计中最基本的安全设计被工程师轻视了,才导致整个系统的崩塌。

在这里我们将介绍为何以及如何运用MQTT提供的安全特性来保证物联网项目的顺利实施。

安全对于几乎所有的项目都是一个挑战,对于物联网项目更是如此:

  • 设备安全性与设备可用性之间往往是零和博弈。
  • 加密算法需要更多的计算能力,而物联网设备的性能往往非常有限。
  • 物联网的网络条件常常要比家庭或者办公室的网络条件差许多。

对于以上挑战,MQTT提供了多个层次的安全特性:

  1. 网络层:有条件可以通过拉专线或者使用VPN来连接设备与MQTT代理,以提高网络传输的安全性。
  2. 传输层:传输层使用TLS加密是确保安全的一个好手段,可以防止中间人攻击(Man-In-The-Middle Attack)。客户端证书不但可以作为设备的身份凭证,还可以用来验证设备。
  3. 应用层:MQTT还提供客户标识(Client Identifier)以及用户名密码,在应用层验证设备。

虽然MQTT提供了多重安全设计,不过世界上并没有银弹能够保障数据的绝对安全,所以应该在设计的时候就把安全放在设计目标之中并拥有相当的优先级,否则上文提到的智能洗衣机就是一个活生生的教训。

网络层可以使用专线或者VPN超出了本文的范围,下面我们结合Mosquitto仔细了解一下传输层和应用层的MQTT安全特性。

留言

張貼留言

這個網誌中的熱門文章

Virtual Machine 中進行開發專案優點 => VM & Docker

[Virtual Machine 中進行開發專案優點] 在OS 更新頻煩的 現時環境 避面受非技術因素干擾需要穩定的作業環境! 開發者有很多方式去建構自己的開發環境,以 PHP 開發來說,你可以手動ㄧ一安裝每個需要的軟體,像是PHP, Apache, MySQL, phpMyAdmin, 或是你可以選擇別人打包好的軟體包,像是 XAMPP ,   MAMP ,   WAMP ,或是透過像Homebrew、APT/YUM 這種套件管理程式來協助你安裝軟體。 然而隨著 Web Application 的架構日益複雜,新的技術和 framework 也不斷產生,像是 NodeJS、MongoDB、 AngularJS、Memcached 等等,若是以專案為導向的公司,可能還需要因應不同的專案來配置不同的軟體架構。然而不同的軟體彼此之間可能會有衝突,像是如果A專案使用 PHP 5.3, 但是B專案使用 PHP 5.5, 你該怎麼辦? 若是你更新了你的電腦作業系統,或是電腦整個掛點了,你該怎麼辦?有新的成員加入團隊,要重頭開始協助他安裝開發所需要的環境? 另外,除了開發者本身的開發環境外,大型的軟體公司通常還會有 Staging Server 和 Production Server,另外針對軟體測試通常還會有另外的測試環境。我想大家常常聽到的一句話就是 "這在我電腦上可以跑啊!",環境的不同常常導致這樣的問題產生,因此如何確保這些環境都能一樣,減少不確定的變因,是開發過程中一個相當重要的議題。 因此,我們可以發現以下的問題,在我們的開發生涯當中,多少都會遇過: 1. 設定過程繁雜且很難重複:安裝開發環境相當花時間,當電腦壞掉或是有新進成員,安裝環境常常讓人一個頭兩個大。 2. 環境無法獨立:不同的專案需要不同的開發環境,軟體版本可能互相影響。 3. 開發環境和 production 環境不同:要開發者的使用和 production 一樣的作業系統,基本上是不太可能的。 Virtualization(虛擬化) to the rescue 虛擬化其實不是一個很新的概念,不過通常用在實際的Production環境上,但隨著上述的問題不斷產生,已經有越來越多的開發者將虛擬化的概念帶到自身的開發環境中,甚至有許多的開放原始碼軟體,
閱讀完整內容

Why not Python?

Why not Python? Python是一款簡單強大又好用的動態語言,但我不解的是,為何這樣一個好用的語言,在國外已經流行了十幾年,但在國內不要說流行,問很多人的答案都是,連聽都沒有聽過,在探討為何使用Python之前,我先分析為何Python在台灣不流行。 我想最主要的原因就在於,Python在國內的資源相當少,連有關Python的書都少到可憐,真正Python的資源幾乎都是用英文寫的,所以如果英文能力不夠好,沒辦法找到Python的資源,台灣的業界也很少人用,造成會用的人不多,工作需求也不高,所以也沒人知道或是想去學這種語言。 除此之外,人們總是喜歡熟悉的事物,對於新的事物總是抱持著一份懷疑的心態,對於Python這樣一款沒聽過的語言,我一開始也是抱持著半信半疑的態度,而如果因此而不去學的話,是我自己的損失,我後悔沒有早點學Python,因為在學Python之前,很多程式我都用C++重頭慢慢開始寫起,但是那樣的程式其實只是要用一次兩次而已,光是編譯的時間就讓人吃不消,開發時間遠比效能重要太多了,再加上我當時寫的那些程式是用於網路抓資料,真正的瓶頸在於網路品質,而不是執行效率,因此,不用Python而辛苦地使用其它語言來做這類的工作不是什麼明智的選擇。 Why Python? 簡單易學 Python是一款相當簡單易學的語言,如果你已經學會其它語言,Python將會非常容易上手,它語法簡單,使用上也很簡單,各種現成的模組使用也都很簡單。 可讀性佳 Python有非常良好的可讀性,它的作者花了很大的心力在於提升可讀性,語法簡單明瞭,它有個其它語言少見的規定,就是強制縮排,強迫你在各個Block,也就是if、while、for、函數等等地方一定要縮排,還有語法內建文件的格式,所以程式的文件常常可以寫在Python程式裡面。 豐富的標準函式庫 這也是Python的好處之一,光是內建的標準函式庫,就可做大部份你想做的事。 眾多的社群與第三方程式庫 Python在國外發展已經有十幾年了,因此已經有相當多的社群和第三方的函式庫,標準的程式庫加上第三方的程式庫,幾乎你想得到的程式庫都有,舉個例子來說,這個教學網站的舊版的文章系統,就是用基於Python的一套網頁開發的 Framework : TurboGears,非常的強大與易用,新版的網頁,目
閱讀完整內容

Linux OS Class [20170710] vmare new and resize command demo

1>> Intel CPU BIOS drive 網卡相容 Linux 問題解決 ** 因為 winos 執行時 對網卡驅動進行相容限制 換用Linux OS 得重置網卡驅動  $nmcli c up "System eno1"  $ip a  edit the netcard restart deiive  $nano /etc/rc.d/rc.local  modprobe -r e1000e  ##remove all netcard drive  echo "1" > /sys/dev/us/pci--- ## active netcard  modprobe el000e ## reload drive  $chmod +x /etc/rc.d/rc.local  $/etc/rc.d/rc.local 2 >>VMware Image copy and new startup Command list $qemu-img info        show image info $qemu-img resize     image hd size reset up  $qemu-img create    copy to new image *.qcow2  to  *.vol 3>>ssh login demo 4 >> *.qcow2  and *.ovl is vm image files format copy new a vm 5>> vm image hd size 重設容量 [root@foundation25 ~]# [root@foundation25 ~]# cd /var/lib/libvirt/images/ >> 進入內定vm image 庫的目錄內 >> $ll x列出詳細檔案資訊 [root@foundation25 images]# ll 總計 24798820 -rw-r--r--. 1 root root      197120  3月 11 10:41 cl210-ceph-vda.ovl -rw-r--r--. 1 root ro
閱讀完整內容