Come posso usare 2FA in una rete MQTT?

Come posso usare 2FA (autenticazione a due fattori) quando collego un nuovo dispositivo al broker, se è possibile?

Poiché sembra più semplice, il secondo fattore può essere prima una soluzione software, ma vorrei dare il benvenuto a idee su come introdurre token hard (forse RFID).

Avrebbe senso se i dispositivi dovessero autenticarsi solo alla prima connessione e il server ricordasse i client "vecchi".

L'idea potrebbe essere insolita o inadatta: se è una cattiva idea, ti prego di spiegarmi i motivi.

È necessario un proxy broker o un server web ...

Prima di tutto, hai assolutamente bisogno di un servizio di autenticazione da qualche parte collegato al tuo broker per eseguire il 2FA usando argomenti specifici ( /auth/RFID, ...). Consentirebbe quindi al cliente di pubblicare informazioni (vedi sotto).

Il primo problema che posso vedere qui è che chiunque sia iscritto a questo argomento può leggere le informazioni di quell'argomento, ma è possibile bloccare gli argomenti !

Puoi quindi dire (forzare) tutti i tuoi dispositivi a cui pubblicare informazioni /proxy/mytopic. Con la funzionalità clientId di mqtt, il servizio di autenticazione può verificare se i messaggi inviati da questo argomento provengono da un dispositivo autenticato che ha utilizzato 2FA in precedenza, quindi pubblicare il proprio messaggio per conto del dispositivo /proxyout/mytopiccon l'ID del dispositivo nel payload.

Il problema ora sta controllando la presenza di dispositivi in grado di ricevere messaggi se sono autenticati, perché, beh, MQTT riguarda la pubblicazione di massa. Il servizio di autenticazione deve disporre di un elenco di dispositivi autenticati e verificare se sono idonei alla ricezione. Ancora una volta, crittografia payload e decrittografia lato dispositivo ...

Penso che la mia soluzione sia eccessiva rispetto alle funzionalità MQTT. Pertanto, è necessario utilizzare un socket o un server Web ...

L'imminente specifica MQTT v5 aggiunge il supporto per il AUTHpacchetto di controllo, che consente l'autenticazione challenge / response. Dato che MQTT v5 non è ancora finalizzato, il supporto potrebbe ancora cambiare, ma sembra ragionevole presumere che AUTH rimarrà in una forma o nell'altra e che 2FA potrebbe essere aggiunto utilizzandolo.

È possibile visualizzare le bozze di lavoro correnti delle specifiche nella pagina dei documenti del comitato MQTT di OASIS .

Secondo le specifiche, il messaggio di connessione può facoltativamente fornire un nome utente e una password. Questo è validato contro un ACL salvato da qualche parte sul broker. Quindi, questo è il tuo primo fattore di autenticazione che potresti sfruttare. Il messaggio CONNACK dal broker risponderà se l'autenticazione è passata.

Per implementare il secondo fattore se l'autenticazione, il modo migliore dovrebbe essere quello di inviare un messaggio di connessione personalizzato con l'altro fattore. Il messaggio CONNACK in questo caso dovrebbe riferirsi al successo o al fallimento del secondo fattore di autenticazione. Pertanto, il broker e il client devono implementare messaggi personalizzati oltre alla specifica.

Per ottenere 2FA nella rete MQTT ho creato i seguenti servizi per l'autenticazione che sono collegati a Broker.

1. Verificatore ID
2. Generatore di token
3. Verifica token

Quando il client MQTT si connette al broker su SSL / TLS, pubblica prima il proprio ID sull'argomento device_id , il verificatore ID verifica che sia il client autentico e quindi viene invocato Token Generator che genera un token e pubblica il token sull'argomento bloccato device_token .

Il dispositivo client ottiene questo token e lo pubblica ulteriormente su un argomento verifica_token . Non appena l'argomento viene pubblicato su verifica_token, il verificatore token confronta i valori nell'argomento dispositivo_todo e verifica_token se corrisponde aggiunge l'ID del dispositivo al pool di dispositivi verificato e consente al dispositivo di pubblicare i dati. Ciò migliora la sicurezza perché gli unici dispositivi verificati vengono collegati agli argomenti per pubblicare i dati.

Ho anche usato l'opzione di configurazione MQTT_KEEPALIVE per mantenere attivo il client quando non vengono inviati o ricevuti dati per mantenere in vita il dispositivo client nel pool di dispositivi e impedire che venga verificato nuovamente una volta aggiunto al pool di dispositivi. tuttavia per motivi di sicurezza, il dispositivo viene trasferito a 2FA ogni 24 ore.