Threadネットワークに参加するプロセス(前編):IoT時代の無線規格を知る【Thread編】(6)(3/3 ページ)
セキュリティの基礎
認証と鍵の合意
Threadネットワークで使われる基本のセキュリティは、楕円曲線を使ったJ-PAKEで、NIST P-256楕円曲線を使用する。原理的には、楕円曲線ディフィーヘルマンで鍵を合意し、パスフレーズを基に二者間の共通秘密を生成する。お互いを認証するために、シュノア署名をゼロ知識証明メカニズムとして用いる。ホワイトペーパーの著者により、J-PAKEとシュノア署名について、2つのドラフトがWeb上に発行されている。
J-JPAKE向けにTLS(Transport Layer Security)1.2のハンドシェークが開発され、TLSおよびDTLS双方で使用できるようなるかもしれない。DTLSはTLSの変形で、不確実なデータグラムベースのトランスポート(例えば、UDP:User Datagram Protocol)を使用した場合に最適となるよう、追加のフィールドがレコードに加えられている*)。
*)一方、TLSはTCPのような信頼できるとランポートを前提とする。
ネットワーク内共有鍵
Threadネットワークは、ネットワーク内共有鍵で保護されており、802.15.4MACのデータフレームを保護するためにMAC層にて使われる。これは、簡易な盗聴やネットワーク内共有鍵の知識を持たないThreadネットワーク外部からの崩壊の標的とされることから守る手段としては基礎的な方法である。ネットワーク内共有鍵なので、いかなるThreadデバイスでの妥協は、暗号鍵を明かしてしまうリスクが生じる。
そのため、Threadネットワークでは、ネットワーク内共有鍵を唯一の防御方法として使うことはない。参加のプロセスの観点からは、認証および承認されたデバイスとジョイナー(初期状態)は区別する。ネットワーク内共有鍵は他のネットワークパラメータとともに、KEK(鍵を暗号化する鍵)で守ってジョイナーに安全に届けられる。
認証
ジョイナーは、セキュリティの保たれたネットワークに外部から参加を試みる行為を行う。そのため、信頼することはできず、一般的な方法として、ジョイナーが適格であると検証できるかを確認する何らかの警備機能を持つ。また、同時にThreadネットワークへの参加を試みる悪党が影響を与えることを制限する。
Threadネットワークでは、ジョイナーがジョイナールーターを見つけ、ジョイナールーターとポイント間通信形式で個別にコミュニケーションする。ジョイナールーターは、ジョイナーとの全てのデータトラフィックを警備し、制御された方法でコミッショナーにデータを転送し、認証プロトコル(DTLSハンドシェーク)を実行する。
コミッショナーがジョイナーと直接の通信相手でない場合、ジョイナールーターはコミッショナーとDTLSハンドシェークをリレーしなくてはならない。コミッショニングリレープロトコルは、DTLSハンドシェークのカプセル化の実施と、DTLSハンドシェークをジョイナーからコミッショナーにシンプルな方法でリレーする両方をサポートする。
メンテナンス
コミッショナーは、コミッショニングプロトコルを使い、セキュアな通信セッションを保つ。例えば、ネットワーク名のようにネットワーク特定のパラメータも変更する。
関連記事
ルーティングによるメッシュネットワーク
ホームネットワーク向け無線規格として、海外を中心に普及が進む「Z-Wave」について解説していく本連載。今回は、ルーティングによるメッシュネットワークについて紹介する。
5G実現へ検討される新たな周波数帯と変調方式
5Gの要素実現に向けて、センチ波やミリ波などの周波数帯、新たな変調方式などが活発に議論されている。連載第2回目となる今回は、5G実現に向けた新たなエアインタフェースについて解説する。
920MHz帯でGPS情報を送信するロケーション端末
富士通コンポーネントは、920MHz帯特定小電力無線を利用してGPS位置情報を送信するロケーション端末「FWM8SGZ」シリーズを発表した。用途に応じたタイミングで位置情報を送信できる。
最大150Mビット/秒の車載向けLTE Cat 4モジュール
Telit Wireless Solutionsは、「LTE Cat 4」に準拠した車載モジュール「LE920A4」を発売した。車両緊急通報システム「eCall」「ERA GLONASS」もサポートしている。
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。