Upload
kaoru-maeda
View
1.024
Download
0
Embed Size (px)
Citation preview
https://lepidum.co.jp/ Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.
IETF92 DallasIoT関連レポート
株式会社レピダム
前田薫 (@mad_p)
IETF92報告会 2015/04/24
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Agenda
Technical Plenary
WG: core, ace, cose
Thing-to-thing RG
IETF92
Dallas, TX
2015/03/22-27
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
自己紹介
名前 前田薫@mad_p
所属 株式会社レピダムシニアプログラママネージャ
コミュニティー活動 Lightweight Language
Identity Conference
http2study
業務領域
認証・認可、デジタルアイデンティティー、プライバシー
標準化支援
ソフトウェアセキュリティー、脆弱性
IETFとの関わり
IETF89 Londonより
APP, SECエリア中心
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
サマリ: IoT分野のもり上がり
Internet of Things (IoT) ホットトピック
「IoT」のバズワード化: 明確な定義を求めて
セキュリティー
プライバシー
サイドミーティングも活発 Thing-to-thing RG設立準備会
ace WG
Security discussion about IoT/6LO
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Architectural Considerationsin Smart Object Networking
Dave Thaler + Hannes Tschofenig https://www.ietf.org/proceedings/92/slides/slides-92-iab-techplenary-2.pdf
IoTと標準化についての非常によいまとめ
以下にいくつか引用します
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Smart Objectの特殊性
制約がきつい(コスト、電力、メモリ、帯域)
ユーザーがいない場所で物理世界と作用する
信頼のない人間がアクセス可能な場所にある
信頼のある人間がアクセスしにくい場所に長時間存在する
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
IP接続のトレードオフ
IPを搭載すると より多くのリソースが必要(コード/メモリ/電力) インターネットに対するセキュリティが心配
IPを搭載しないと アプリケーションレイヤゲートウェイ(ALG)が必要 IETFがやったことの再発明に IP関連の知識ベースを利用できない
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
4つの通信パターン
IETF92報告会2015/04/24
Device-to-Device
Device-to-Cloud
Device-to-ALG
Back-end
Data sharing
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
標準化の不足まとめ
様々なスマートオブジェクトの情報/データモデル 通常はIETFのスコープ外(接続性モデルは別) フォーラムが多数ある
アプリレイヤのWifi等設定 WifiアライアンスのWPSはあるがどこでも通用とはいえない デバイス内Webサーバー+ブラウザでOK。標準化ニーズがない
共通メカニズムへの要望はあるがどこで議論するのが適切か?
スマートオブジェクトは市場への時間で競争している 標準化プロセスが遅すぎる
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
IoTのセキュリティー
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
IETF Recommendationsの活用
• Key management: RFC 4107
• Pervasive monitoring対策: RFC 7258:
• Crypto Agility: draft-iab-crypto-alg-agility
• Randomness: RFC 4086
• Key length: 112~128 bit [I-D.ietf-uta-tls-bcp]など
• プロトコルごとのrecommendationもあり
• Using TLS in Applications (uta) working group
• DTLS In Constrained Environments (dice) working group
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
攻撃から学ぶ問題点
ソフトウエア更新
鍵管理がない
アクセス制御が不十分
通信路のセキュリティーがない
物理攻撃に対して弱い
もちろんサーバー側もセキュアに!
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
IoTをセキュアにするには
インターネットのセキュリティー技術を再利用 最新水準のキー長を使う よく分析されたセキュリティープロトコルを使う Pervasive monitoringに対抗するため暗号を使う 自動キー管理とデバイスごとの鍵を使う
その他のIoT関連セキュリティートピック Crypto agility は判断が難しいが検討が必要 ソフトウェア更新および十分な空き領域を用意する 乱数生成ハードウエアをつける 脅威分析では物理的攻撃も考慮する モダンなOSコンセプトを使い、単一のソフトウェアバグによる全体障害を防ぐ
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
core WG
Constrained RESTful Environments 制限された環境でのRESTfulアクセス
CoAPプロトコルは周辺技術の検討が進み、実用化に向けて部品が整いつつある
patch, http-mapping
congestion control
resource directory, directory discovery
pubsub/REST → t2trgで
alternative transport (TCP等), negotiation
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Object Security for CoAP
draft-selander-ace-object-security Client-Server end-to-end security Lightweight than DTLS
CoAPのオプションとしてJWSを定義 リクエスト、レスポンスをJWSにして署名
header, options, body
新しいオプションで、BodyがJWS/JWEにカプセル化されていることを示す
→ COSEでやろう
Replay protectionのためにメッセージIDが必要→ Transaction ID JWSにkey idがある。これに加えて連番を定義
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
HTTP Mapping
draft-ietf-core-http-mapping
CoAPではメディアタイプは番号 新しいメディアタイプが登録されるごとに採番することになっている マッピングプロキシだけが新しいメディアタイ名を知らない場合に情報が失われる
application/x-coap-<n>
HTTP 405のAllowを入れる場所がCoAPにはない プロキシが知っていれば他の情報、知らなければ
400
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
CoAP Pubsub
draft-koster-core-coap-pubsub
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
ace WG
Authentication and Authorization for Constrained Environments 制限された環境での認証・認可
実のある議論ができる準備が整った ユースケースがWGLC ready
draft-ietf-ace-usecases
Problem Description draft-seitz-ace-problem-description Terminologyの長い議論が結着(OAuthベース)
Actors draft-gerdes-ace-actors
認証・認可 TLS/DTLS delegation, UMA
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
ace actors
http://www.ietf.org/proceedings/92/slides/slides-92-ace-3.pdf
Less constrained levelを置く
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Delegated CoAP AuthN/AuthR
http://www.ietf.org/proceedings/92/slides/slides-92-ace-8.pdf
Less constrained levelで確立したトークンをPSKとする
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
cose WG (to appear)
jose WGと同様のことをCBORベースで行う
jose WG: JSON Web Token JSONオブジェクトを文字列化し、署名・暗号化フォーマットの標準を定める
CBOR: コンパクトなバイナリフォーマット
cf: JSON, EXI, MessagePack
jose WGをrecharterするか新WGか
→ 新WGとしてcharterをドラフト中
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
COSE
JWT: JSON Web Token Header: 署名・暗号化形式、キー情報 Body: データ本体 Signature: 署名 JSONのUTF-8表現をBase64化、ドットで連結
COSE: 入れ物もCBORなのでCBOR流に Base64 → バイナリ ドットで連結→ 配列 署名・暗号化アルゴリズムやヘッダラベルの番号化
2種類の実装が提案されている draft-schaad-cose-00 draft-bormann-jose-cose-00
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
IRTF RG Thing-to-thing設立に向けて
Thing-to-thing RG (t2trg) https://datatracker.ietf.org/doc/charter-irtf-t2trg/
https://github.com/t2trg
土日を通して長いセッション
主なトピック https://github.com/t2trg/2015-ietf92/tree/master/slides
Security Life Cycle
REST beyond HTTP
Managing the IoT
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
まとめ
IoTは大変もりあがっている
バズワードではないIoTに向けて
IoTの何を標準化するのか
セキュリティー
認証・認可
プライバシー
本質を見すえた議論の準備が整った
IETF92報告会2015/04/24
Copyright © 2004-2015 Lepidum Co. Ltd. All rights reserved.https://lepidum.co.jp/
Any Questions? / Please Feedback!
https://lepidum.co.jp/
mailto:[email protected] / twitter: @mad_p
IETF92報告会2015/04/24