基于MQTT协议的SSL/TLS加密传输的讨论

                        本文就MQTT到底单向加密还是双向加密做一个简单的讨论。具体mqtt加密的搭建过程,请参考:

https://blog.csdn.net/sullivan_jia/article/details/80103813

    到底是单项加密还是双向加密?我们要从不同的角度去分析这件事情。但是在分析之前,我们还是有必要回顾一下基础知识。 

SSL/TLS单向认证:客户端会认证服务器端身份,服务器端不对客户端进行认证 

SSL/TLS双向认证:客户端和服务端都会互相认证,即双发之间要证书交换 

 

不难看出,从复杂性角度上讲,单向认证只需要认证服务器,对于客户端并不要求,相当于双向加密,较为省时省事。

但是,从安全性角度上看,双向加密相对安全。但是为什么说实习相对的呢?虽然ssl在认证结束后传输数据还会对数据进行对

称加密,提高了破解难度,但仍旧存在破解隐患。所以对称加密的密钥长度足够长,例如使用128位加密,就会大大增加破解

难度。然而,也仅仅是增加了破解难度,并不是有效的防止。如果传输的是一些相对机密数据,仍然不能保证安全性。因此,这

里也是相对的安全。所以,ssl只是暂时解决了通讯层的安全,应用层一般还会增加一层认证防护。

因此,对于这一层的加密,从黑客的角度上而言,数据是否值得去破解,如果不值得,那么这种加密其实是相对有效的。

    然而,这并不是单项加密与双向加密的决定性因素,本人认为,决定性因素在与客户端的数量。在解释之前,我们先回顾一下单向加密与双向加密的过程。

 

单向加密认证过程

基于MQTT协议的SSL/TLS加密传输的讨论_第1张图片

 

 

双向加密认证过程

 

SSL消息按如下顺序发送: 
1. Client Hello 
客户发送服务器信息,包括它所支持的密码组。密码组中有密码算法和钥匙大小; 
2. Server Hello 
服务器选择客户和服务器都支持的密码组到客户。 
3. Certificate 
服务器发送一个证书或一个证书链到客户端,一个证书链开始于服务器公共钥匙证书并结束于证明权威的根证书。这个消息是可选的,但服务器证书需要时,必须使用它。 
4. Certificate request 
当服务器需要鉴别客户时,它发送一个证书请求到客户端。在网络程序中,这个消息很少发送。 
5. Server key exchange 
服务器当发送来的公共钥匙对钥匙交换不是很充分时,发送一个服务器钥匙交换消息。 
6. Server hello done 
服务器告诉客户完成它的初始化流通消息。 
7. Certificate 
假如服务器需要一个客户证书时,客户端发送一个证书链。(只有在服务器需要客户证书时) 
8. Client key exchange 
客户产生用于对称算法的一个钥匙。对RSA客户用服务器公共钥匙加密这个钥匙信息并把它送到服务器。 
9. Certificate verify 
在网络程序中,这个消息很少发送,它主要是用来允许服务器结束对客户的鉴别处理。当用这个消息时,客户发送用密码函数的数字签名的信息到服务端,当服务端用公共钥匙解密这个消息时,服务器能够鉴别客户。 
10. Change cipher spec 
客户发送一个消息告诉服务器改变加密模式。 
11. Finished 
客户告诉服务器它已准备安全数据通信。 
12. Change cipher spec 
服务器发送一个消息到客户端并告诉客户修改加密模式。 
13. Finished 
服务器告诉客户端它已准备好安全数据通信。这是client-server握手协议最后一步。 
14. Encrypted data 
客户同服务器用对称加密算法和密码函数,并用客户发送到服务器的秘密钥匙加密通信。

    不难发现,双向加密是需要客户端提供一个由ca签署的证书。但是存在的问题是,虽然服务器端证书一份就够,而千千万万的客户端如果也安装证书,那是非常麻烦的,需要专门的管理机构生成证书,管理证书,还要颁发给客户端,还要各种配置,还要对证书的生命周期进行管理,所以比较费事。但是,如果只绑定一个ip,相当与每个设备都需要绑定在有独立ip的网关,比较麻烦。何况,商用时,证书需要由由资格的第三方机构颁发证书,不可能一个设备有一个证书,费时费力,难管理。因此,综合考虑,本人认为,单双向加密的难点在这里。所以,对于很多客户端的时候,往往使用的就是单项加密而不是双向加密。

    很简单的例子:你访问https的网站的时候,就是一个单项加密过程,你的浏览器不要提供证书,但是访问的网站必须要提供证书。

     版权声明:本文为博主原创文章,未经博主允许不得转载。                                                                   

你可能感兴趣的:(Web开发)