构筑物联网通信的“金钟罩”：MQTT客户端认证、ACL授权与TLS加密实战指南

在万物互联的时代，MQTT协议因其轻量、高效和低功耗的特性，已成为物联网设备通信的事实标准。然而，随着海量设备接入网络，安全问题也从“可选项”变成了“必选项”。一个未受保护的MQTT Broker就像一座不设防的城市，数据泄露、设备被控、服务中断等风险随时可能发生。

本文将聚焦于保障MQTT通信安全的三大基石：客户端认证、ACL授权和TLS加密传输。我们将从原理出发，结合EMQX Broker的配置，手把手教你构建一个安全的MQTT通信环境。

一、第一道防线：客户端身份认证

认证解决的是“你是谁”的问题。它确保只有合法的客户端才能连接到Broker。MQTT支持多种认证方式，最常见的是用户名/密码认证。

1.1 原理与配置

在MQTT协议中，CONNECT报文可以携带用户名（username）和密码（password）字段。Broker在收到连接请求后，会验证这些凭据的有效性。

以开源Broker EMQX为例，其内置了多种认证后端，如内置数据库、MySQL、PostgreSQL、Redis、MongoDB等。这里我们展示如何配置基于内置数据库的认证。

EMQX 配置文件 (emqx.conf) 关键部分：

# 启用认证功能
auth.mnesia.enable = true

# 允许匿名连接（仅用于测试，生产环境应关闭）
allow_anonymous = false

1.2 实践：通过HTTP API管理认证数据

EMQX提供了丰富的HTTP API供我们管理认证数据。

添加一个客户端用户：

curl -u admin:public -X POST “http://localhost:18083/api/v4/auth_username" \
  -H “Content-Type: application/json" \
  -d ‘{
    “username”: “sensor_001",
    “password”: “secret_2023"
  }'

此命令创建了一个用户名为 sensor_001，密码为 secret_2023 的客户端账户。

客户端连接代码示例（Python - paho-mqtt）：

import paho.mqtt.client as mqtt

client_id = “device_sensor_001"
username = “sensor_001"
password = “secret_2023"
broker = “your-broker-address"

client = mqtt.Client(client_id=client_id)
client.username_pw_set(username, password) # 设置认证信息

def on_connect(client, userdata, flags, rc):
    if rc == 0:
        print(“Connected successfully!")
    else:
        print(f“Failed to connect, return code {rc}")

client.on_connect = on_connect
client.connect(broker, 1883, 60)
client.loop_forever()

二、第二道防线：基于主题的访问控制（ACL）

认证通过后，我们需要解决“你能做什么”的问题。ACL（Access Control List）用于控制客户端对特定主题（Topic）的发布（PUBLISH）或订阅（SUBSCRIBE）权限，实现最小权限原则。

2.1 ACL规则解析

一条典型的ACL规则包含：

主体（Who）：用户、客户端ID或IP地址。
主题（What）：需要控制的主题，支持通配符（+ 单层，# 多层）。
操作（How）： allow（允许）或 deny（拒绝）。
权限（Action）： publish、subscribe 或 pubsub（两者皆可）。

2.2 EMQX ACL配置示例

我们可以在EMQX的 etc/acl.conf 文件中配置静态规则，或通过数据库动态管理。

示例1：内置文件ACL (etc/acl.conf)

# 允许用户名 “dashboard” 订阅系统主题
{allow, {user, “dashboard"}, subscribe, [“$SYS/#"]}.

# 允许客户端ID以 “sensor-” 开头的设备向自己的数据主题发布消息
{allow, {clientid, “sensor-%"}, publish, [“devices/%c/data"]}. # %c 会自动替换为客户端ID

# 拒绝所有客户端订阅 “$SYS/#” 主题（上一条规则优先）
{deny, all, subscribe, [“$SYS/#"]}.

# 默认规则：拒绝所有操作（黑名单模式），或允许所有操作（白名单模式）
{allow, all}. # 通常建议使用显式的拒绝规则，最后一条设为允许所有，构成黑名单。
# 或者 {deny, all}. # 更安全：显式允许，最后一条拒绝所有，构成白名单。

注意：规则从上到下匹配，第一条匹配的规则生效。

示例2：客户端代码中的主题权限意识 设备端应只尝试发布和订阅被授权的主题。例如，上述规则下，sensor-001 客户端只能向 devices/sensor-001/data 发布消息。

# sensor-001 客户端的正确操作
client.publish(“devices/sensor-001/data", payload=“{\"temp\": 25.6}", qos=1)

# 以下操作将被Broker拒绝，并可能导致连接中断
# client.subscribe(“$SYS/brokers") # 无权限订阅
# client.publish(“other/device/data", ...) # 无权限发布

三、终极防护：TLS/SSL加密传输

即使有认证和授权，数据在网络上明文传输仍可能被窃听或篡改。TLS（传输层安全协议）为MQTT通信提供端到端的加密、身份验证和数据完整性校验。

3.1 TLS在MQTT中的工作流程

握手：客户端与Broker交换证书，验证身份（可选客户端证书验证），并协商出会话密钥。
加密通信：后续所有MQTT报文都使用会话密钥进行加密传输。
MQTT over TLS：通常使用8883端口（MQTTS），而非普通的1883端口。

3.2 为EMQX配置TLS

步骤1：准备证书 假设你已拥有：

服务器证书：emqx.crt
服务器私钥：emqx.key
CA证书（用于验证客户端证书，可选）：ca.crt

步骤2：修改EMQX配置 (emqx.conf)

# TLS监听器配置
listener.ssl.external = 8883
listener.ssl.external.keyfile = etc/certs/emqx.key
listener.ssl.external.certfile = etc/certs/emqx.crt
listener.ssl.external.cacertfile = etc/certs/ca.crt # 用于验证客户端证书

# 设置TLS版本，禁用不安全的版本
listener.ssl.external.tls_versions = tlsv1.3,tlsv1.2

# 启用双向认证（验证客户端证书）。如果不需要，设为 false。
listener.ssl.external.verify = verify_peer
listener.ssl.external.fail_if_no_peer_cert = false # true 表示强制要求客户端提供证书

3.3 客户端使用TLS连接

Python客户端示例（使用服务器证书验证）：

import ssl
import paho.mqtt.client as mqtt

client = mqtt.Client()
client.tls_set(
    ca_certs=“./certs/ca.crt", # CA证书路径，用于验证Broker证书
    certfile=“./certs/client.crt", # 客户端证书（如需双向认证）
    keyfile=“./certs/client.key", # 客户端私钥（如需双向认证）
    cert_reqs=ssl.CERT_REQUIRED # 要求验证Broker证书
)
client.username_pw_set(“sensor_001", “secret_2023")
client.connect(“your-broker-domain”, 8883, 60)

如果使用自签名证书，可能需要设置 tls_insecure_set(True) 来跳过主机名验证（仅限测试）。

四、综合安全实践与建议

将以上三者结合，才能构建纵深防御体系。

生产环境部署清单：
- 关闭匿名访问：allow_anonymous = false。
- 使用强密码认证：并定期轮换。
- 实施最小权限ACL：采用白名单模式（{deny, all} 作为最后规则）。
- 强制使用TLS：仅开放8883端口，禁用1883明文端口。推荐使用TLS 1.3。
- 使用客户端证书（双向TLS）：为高安全等级设备颁发唯一客户端证书，实现最强身份认证。
- 网络隔离：将Broker部署在内网，通过API网关对外暴露必要接口。
安全监控与审计：
- 启用Broker的访问日志，监控异常连接和认证失败。
- 定期审计ACL规则和用户列表。
- 监控 $SYS/# 主题下的Broker状态和客户端连接信息。

结语

安全不是一个特性，而是一个贯穿物联网系统设计、开发、部署和运维全生命周期的过程。通过正确实施 客户端认证、精细化的ACL授权 和 强制的TLS加密传输，我们能够为MQTT通信构筑起坚实的“金钟罩”，有效抵御常见的网络攻击，保护物联网数据和设备的安全，为业务的稳定运行保驾护航。

记住，默认安全，永远怀疑，持续验证。

文档信息

本文作者：JiliangLee
本文链接：https://leejiliang.cn/2026/03/22/%E5%AE%89%E5%85%A8%E7%AC%AC%E4%B8%80MQTT-%E5%AE%A2%E6%88%B7%E7%AB%AF%E8%AE%A4%E8%AF%81ACL-%E6%8E%88%E6%9D%83%E4%B8%8E-TLS-%E5%8A%A0%E5%AF%86%E4%BC%A0%E8%BE%93%E6%8C%87%E5%8D%97/
版权声明：自由转载-非商用-非衍生-保持署名（创意共享3.0许可证）

CODE

构筑物联网通信的“金钟罩”：MQTT客户端认证、ACL授权与TLS加密实战指南

构筑物联网通信的“金钟罩”：MQTT客户端认证、ACL授权与TLS加密实战指南

一、第一道防线：客户端身份认证

1.1 原理与配置

1.2 实践：通过HTTP API管理认证数据

二、第二道防线：基于主题的访问控制（ACL）

2.1 ACL规则解析

2.2 EMQX ACL配置示例

三、终极防护：TLS/SSL加密传输

3.1 TLS在MQTT中的工作流程

3.2 为EMQX配置TLS

3.3 客户端使用TLS连接

四、综合安全实践与建议

结语

文档信息

Search

Table of Contents

构筑物联网通信的“金钟罩”：MQTT客户端认证、ACL授权与TLS加密实战指南

构筑物联网通信的“金钟罩”：MQTT客户端认证、ACL授权与TLS加密实战指南

一、 第一道防线：客户端身份认证

1.1 原理与配置

1.2 实践：通过HTTP API管理认证数据

二、 第二道防线：基于主题的访问控制（ACL）

2.1 ACL规则解析

2.2 EMQX ACL配置示例

三、 终极防护：TLS/SSL加密传输

3.1 TLS在MQTT中的工作流程

3.2 为EMQX配置TLS

3.3 客户端使用TLS连接

四、 综合安全实践与建议

结语

文档信息

Search

Table of Contents

一、第一道防线：客户端身份认证

二、第二道防线：基于主题的访问控制（ACL）

三、终极防护：TLS/SSL加密传输

四、综合安全实践与建议