检索规则说明:AND代表“并且”;OR代表“或者”;NOT代表“不包含”;(注意必须大写,运算符两边需空一格)
检 索 范 例 :范例一: (K=图书馆学 OR K=情报学) AND A=范并思 范例二:J=计算机应用与软件 AND (U=C++ OR U=Basic) NOT M=Visual
作 者:徐绘凯 刘跃 马振邦 段海新 XU Huikai;LIU Yue;MA Zhenbang;DUAN Haixin(QI-ANXIN Technology Group Inc.,Beijing 100081,China;Institute for Network Science and Cyberspace,Tsinghua University,Beijing 100081,China)
机构地区:[1]奇安信科技集团股份有限公司,北京100081 [2]清华大学网络科学与网络空间研究院,北京100081
出 处:《信息网络安全》2020年第9期37-41,共5页Netinfo Security
摘 要:消息队列遥测传输协议(MQTT)是物联网中广泛使用的一个轻量级通信协议。通过对全国范围内MQTT协议部署情况进行测量,发现了27949个暴露在公网上的MQTT服务,其中超过80%的服务器使用明文传输数据,57%的MQTT服务器完全没有进行客户端身份认证。即使有的服务器使用了支持认证和加密的TLS协议,其证书部署情况也十分糟糕,仅有20.94%的证书可以通过可信证书的验证流程。文章分析了MQTT服务器容易遭受的隐私窃取、中间人攻击、设备远程篡改等安全威胁,提出了关于MQTT服务器的防御方案及下一步工作。Message Queue Telemetry Transmission Protocol(MQTT)is a lightweight protocol widely used in the Internet of Things.Through the measurement of the deployment of MQTT protocol nationwide,27949 MQTTs are found exposed on the public network,more than 80%of the servers transmit data in plain text,and 57%of the MQTT servers do not perform client authentication at all.Even if some MQTT servers use TLS protocol which supports authentication and encryption,certificate deployment is vulnerable.Only 20.94%of the certificates can pass the verification process of trusted certificate.This paper analyzes the security threats of MQTT server,such as privacy theft,man-in the-middle attack,remote tampering of equipment,and puts forward the defense scheme and the next step work of MQTT server.
分 类 号:TP309[自动化与计算机技术—计算机系统结构]
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在载入数据...
正在链接到云南高校图书馆文献保障联盟下载...
云南高校图书馆联盟文献共享服务平台 版权所有©
您的IP:216.73.216.171
