MQ Telemetry 安全性

保护遥测设备的安全很重要，因为这些设备可能可移动，并且用于无法严格控制的场所。 您可以使用 VPN 来保护从 MQTT 设备到遥测 (MQXR) 服务的连接。 MQ Telemetry 提供了另外两种安全性机制: TLS 和 JAAS。

TLS 主要用于加密设备与遥测通道之间的通信，并认证设备正在连接到正确的服务器; 请参阅 使用 TLS 的遥测通道认证。 您还可以使用 TLS 来检查是否允许客户机设备连接到服务器; 请参阅 MQTT 使用 TLS 的客户机认证。

JAAS 主要用于检查是否允许设备的用户使用服务器应用程序; 请参阅 MQTT 使用密码进行客户机认证。 JAAS 可以与 LDAP 配合使用，以使用单点登录目录来检查密码。

TLS 和 JAAS 可结合使用，提供双因素身份验证。 您可以将 TLS 使用的密码限制为符合 FIPS 标准的密码。

拥有至少数以万计的用户，提供个人安全概要文件并不总是切实可行的。 使用概要文件来授权个别用户访问 IBM® MQ 对象也并非始终可行。 而是将用户分组到用于授权发布和预订主题以及向客户机发送发布的类中。

配置每个遥测通道以将客户机映射到公共客户机用户标识。 对在特定通道上连接的每个客户机使用公共用户标识; 请参阅 MQTT 客户机身份和授权。

授权用户组不会影响每个人的认证。 每个用户都可以在客户机或服务器上使用其 用户名 和 密码进行认证，然后在服务器上使用公共用户标识进行授权。