Hình 1. 5: Mô hình giao thức MQTT [7]
Một phiên làm việc MQTT được chia thành bốn giai đoạn: kết nối, xác thực, giao tiếp và chấm dứt. Một khách hàng bắt đầu bằng cách tạo ra một kết nối TCP/IP cho broker bằng cách sử dụng một cổng tiêu chuẩn hoặc một cổng tùy chỉnh được xác định bởi các nhà khai thác của nhà môi giới. Khi kết nối, điều quan trọng là nhận ra rằng các máy chủ có thể tiếp tục một phiên cũ nếu được cung cấp với một danh tính khách hàng tái sử dụng.
Các cổng tiêu chuẩn là năm 1883 không được mã hóa giao tiếp và 8883 để liên lạc được mã hóa sử dụng SSL/TLS. Trong SSL/TLS bắt tay, khách hàng xác nhận các chứng chỉ máy chủ để xác thực máy chủ. Các khách hàng cũng có thể cung cấp một xác thực khách hàng cho broker trong khi bắt tay đó broker có thể sử dụng để xác thực cho khách hàng. Trong khi không cụ thể một phần của đặc tả MQTT, nó đã trở thành cách cho các broker để hỗ trợ xác thực khách hàng với giấy chứng nhận phía máy khách SSL/TLS [7].
Bởi vì MQTT nhằm mục đích là một giao thức cho các thiết bị nguồn lực hạn chế, SSL/TLS có thể không phải luôn luôn là một lựa chọn và trong một số trường hợp, có thể không được như mong muốn. Trong trường hợp như vậy, xác thực được trình bày như là một tên người dùng văn bản rõ ràng và mật khẩu được gửi bởi máy khách đến máy chủ như là một phần của chuỗi gói CONNECT/CONNACK. Một số broker, đặc biệt là các broker mở công bố trên Internet, sẽ chấp nhận khách hàng giấu tên. Trong trường hợp như vậy, tên người dùng và mật khẩu chỉ đơn giản là để trống.
MQTT được gọi là một giao thức nhẹ bởi vì tất cả các thông điệp có một dấu chân nh mã. Mỗi thông điệp bao gồm một tiêu đề cố định (2 byte), một tiêu đề biến tùy chọn, một trọng tải thông điệp đó là giới hạn 256 MB bộ thông tin và mức chất lượng dịch vụ (QoS).