物联网的核心是连接万物，通过交换并分析数据使得生活更舒适与便捷。

不过，敏感数据泄露或者设备被非法控制可不是闹着玩的。比如前段时间国内某著名家电企业的智能洗衣机，使用了某著名电商基于XMPP协议的物联网平台，不费吹灰之力便被黑客攻破并远程遥控，给智能家居的发展带来了一些阴影。究其本质，并不是物联网技术本身有缺陷，而是在物联网系统的设计中最基本的安全设计被工程师轻视了，才导致整个系统的崩塌。

安全对于几乎所有的项目都是一个挑战，对于物联网项目更是如此：

l   设备安全性与设备可用性之间往往是零和博弈。

l   加密算法需要更多的计算能力，而物联网设备的性能往往非常有限。

l   物联网的网络条件常常要比家庭或者办公室的网络条件差许多。

对于以上挑战，MQTT提供了多个层次的安全特性：

1. 网络层：有条件可以通过拉专线或者使用VPN来连接设备与MQTT代理，以提高网络传输的安全性。

2. 传输层：传输层使用TLS加密是确保安全的一个好手段，可以防止中间人攻击（Man-In-The-Middle Attack）。客户端证书不但可以作为设备的身份凭证，还可以用来验证设备。

3. 应用层：MQTT还提供客户标识（Client Identifier）以及用户名密码，在应用层验证设备。

虽然MQTT提供了多重安全设计，不过世界上并没有银弹能够保障数据的绝对安全，所以应该在设计的时候就把安全放在设计目标之中并拥有相当的优先级，否则上文提到的智能洗衣机就是一个活生生的教训。

下面我们结合Mosquitto仔细了解一下传输层和应用层的MQTT安全特性。

加密

MQTT是基于TCP的，默认情况通讯并不加密。如果你需要传输敏感信息或者对设备进行反控，使用TSL是几乎是必须的。打个比方，如果你在咖啡店用免费Wi-Fi上网，登录互联网金融的网站不支持HTTPS传输，那么你的账号信息多半已经在咖啡店的Wi-Fi日志里面躺着了……

图示：TLS安全协议

TSL是非常成熟的安全协议，在握手的时候便可以创建安全连接，使得黑客无法窃听或者篡改内容了。使用TLS的时候有以下注意点：

l   尽可能使用高版本的TLS。

l   验证X509证书链防止中间人攻击。

l   尽量使用有CA发布的证书。

认证

认证是验证设备身份的过程。拿旅行做比方，在换登机牌的时候需要出示护照以验明正身，即使别人能够假冒你的名字，但是拿不出护照便无法伪造身份。买房的时候，需要通过户口本证明你妈是你妈。

MQTT支持两种层次的认证：

l   传输层：传输层使用TLS不但可以加密通讯，还可以使用X509证书来认证设备。

l   应用层：MQTT支持客户标识、用户名密码以及X509证书，在应用层验证设备。

通过传输层和应用层来解释认证并不直观，下面我们直接从客户标识、用户名密码以及X509证书的角度来了解认证。

图示：传输层TLS安全协议

客户标识

用户可以使用最多65535个字符作为客户标识（Client Identifier），UUID或者MAC地址最为常见。

使用客户标识来认证并不可靠，不过在某些封闭的环境中或许已经足够。

用户名密码

MQTT协议支持通过CONNECT消息的username和password字段发送用户名和密码。

用户名密码的认证使用起来非常方便，不过再强调一下，由于用户名密码是以明文形式传输，在通过互联网时使用TSL加密是必须的。

本文章内容来源于网络，如有侵权，请联系删除。