2. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
倉林林 雅(kura)
ヤフー株式会社 ID連携⿊黒帯 / エンジニア
OpenID ファウンデーション・ジャパン
エヴァンジェリスト
ID厨
@kura_̲lab
3. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
アジェンダ
1. IETF Areas / IRTF Research Groups
2. ace WG(sec area)〜~IETF95
3. core WG(art area)〜~IETF94
5. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
IETF Areas
art
gen
int
ops
rtg
sec
tsv
Applications and Real-‐‑‒Time Area
General Area
Internet Area
Operations and Management Area
Routing Area
Security Area
Transport Area
6. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
IETF Areas
art
gen
int
ops
rtg
sec
tsv
アプリケーションプロトコルとアーキテクチャ
APP+RAI(Real-‐‑‒time Applications and Infrastructure)
WGの標準化をサポート・更更新・メンテナンス
IPレイヤー(IPv4、IPv6)
ネットワークマネジメント、運⽤用セキュリティ
DNS / IPv6 / ルーティングオペレーション
ルーティングシステム
セキュリティプロトコル
データトランスポート
7. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
IETF Areas
art
gen
int
ops
rtg
sec
tsv
… 43 WGs
… 2 WGs
… 19 WGs
… 16 WGs
… 24 WGs
… 19 WGs
… 12 WGs
2016.4⽉月現在
8. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
IETF Areas
art
gen
int
ops
rtg
sec
tsv
… 43 WGs
… 1 WGs
… 19 WGs
… 16 WGs
… 24 WGs
… 19 WGs
… 12 WGs
2016.4⽉月現在
core WG
ace WG
アプリケーションレイヤーに
おけるIoT関連の仕様を策定
9. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
IRTF Research Groups
IRTF (Internet Research Task Force)
⻑⾧長期的視野で⼩小規模の研究グループにより、インターネット
のプロトコル、応⽤用、アーキテクチャ、技術など、インター
ネットの未来の⾰革新に重要と思われる研究を推進する組織
Active 10 Groups
t2trg (Thing-‐‑‒to-‐‑‒Thing Research Group)
https://datatracker.ietf.org/rg/t2trg/documents/
11. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
ace WG (sec Area)
Authentication and Authorization
for Constrained Environments (ace)
制限された環境(IoT・IoT関連の環境)
における認可を扱う
ユースケース、認可フレームワーク、フレーム
ワークに関連するプロファイル
12. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
ace WG (sec Area)
1. Use Cases for Authentication and Authorization
in Constrained Environments
ace WGで取り扱うIoTデバイスのユースケース
2. An architecture for authorization in constrained
environments
認可対象となるデバイス、サーバー、クライアントの関係を定義
3. Authorization for the Internet of Things using OAuth 2.0
OAuth 2.0をベースとしたIoT向けの認可フロー
13. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
ace WG (sec Area)
4. CBOR Web Token
JSONよりも軽量量なIoTにも利利⽤用できるバイナリートークン
5. Security for Low-‐‑‒Latency Group Communication
IoT向けのグループキーの配布⽅方法を定義
14. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Use Case
Use Cases for Authentication and
Authorization in Constrained Environments
[RFC7744]
2016年年1⽉月にRFC化
https://tools.ietf.org/html/rfc7744
ace WGで取り扱うIoTデバイスのユースケース
15. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Use Case
2014年年2⽉月から策定されてきたユースケースが
2年年かけてRFCになった
https://datatracker.ietf.org/doc/rfc7744/
17. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Categoryが「Informational」
技術仕様の場合はStandard Track
18. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Use Case
概要
RESTをベースにセンサーデータや機器を提供
Clientによってデバイスへのアクセスが可能
ユーザーの介⼊入なしのM2Mにも対応
具体的なシチュエーションを元にユースケースと課
題がまとめられている
19. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Use Case
Constrained device
Terminology for Constrained-‐‑‒Node Networks
https://tools.ietf.org/html/rfc7228
処理理能⼒力力、ストレージや転送量量が制限されたノード
ユーザーインターフェースがなくユーザーの介⼊入な
しにインタラクションする
20. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Use Case
制限された環境での認証、認可のための代表的な
ユースケース
CoAP (The Constrained Application Protocol)を
利利⽤用することを想定している
https://tools.ietf.org/html/rfc7252
21. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Container Monitoring
Bananas for Munich
ドイツ市場のためのコスタリカのバナナを⽣生産しているフ
ルーツ農園
トラックによってロッテルダムの熟成施設へ運ばれる
ミュンヘンのスーパーマーケットはフルーツ農園からバナ
ナを買い、熟成施設から市場へ輸送
品質を管理理するためのバナナボックスにセンサーを配置
発送から熟成の間、異異常検知をモニタリング
22. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Container Monitoring
Bananas for Munich
⾃自動温度度調節器を操作
コンテナごとに同⼀一または異異なるオーナーの場合あり
積み替え担当社員は特定の顧客に商品の場所を教える
必要があるが、センサーデータは守秘
積み替え担当者のみ物流流情報へのアクセスを許可
積み替えの時間のみ許可
23. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Container Monitoring
Bananas for Munich
フルーツは⽔水分を多く含むため、電波の伝達を妨害しノード間
の通信を妨げる
メッセージはマルチホップでフォワードされる
箱のセンサーは常時インターネットに接続することができない
インターネット上のエンドポイントに接続するために配送業者
の所持する基地局に接続してもよい
熟成したバナナは識識別される必要があり、腐る前に販売される
24. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Bananas for Munich
Authorization Problem Summary
U1.1: フルーツベンダー、コンテナオーナーは異異なる
パートナーにリソースのためにそれぞれの認可を与え
たい
U1.2: フルーツベンダーは温度度調節のための商品の状
態や監視記録の質を保証に関係するセンサーデータの
整合性と正確性を要求
U1.3: コンテナオーナーは温度度調節のためのセンサー
データの整合性と正確性
25. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Bananas for Munich
Authorization Problem Summary
U1.4: 商品の状態とフルーツベンダーは競合からの標的
攻撃から商品を守るために位置情報の守秘に関係するセ
ンサーデータの守秘を要求
U1.5: フルーツベンダーは同⼀一エンドポイントの異異なる
タイプのためにそれぞれのプロテクションを要求する
U1.6: フルーツベンダーと積み替え担当者は商品を正し
く扱い配送することを保証するための商品の位置に使わ
れるデータの整合性と正確性を要求
26. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Bananas for Munich
Authorization Problem Summary
U1.7: コンテナオーナーとフルーツベンダーはア
クセス時にその場に居合わせておらず、認可処理理中
に⼿手動による介⼊入ができないかもしれない
U1.8: フルーツベンダー、コンテナオーナー、積
荷業者はバナナの取り扱いに関係なくなった業者の
継続アクセスを防⽌止するために、特定の関係者のみ
に⼀一時的なアクセス許可を与えたい
27. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Bananas for Munich
Authorization Problem Summary
U1.9: フルーツベンダー、コンテナオーナー、積
荷業者はマルチホップによるフォワードが必要なエ
ンドポイント間のメッセージでも、到達されるセ
キュリティ対策⽅方針が欲しい
U1.10: フルーツベンダーとコンテナオーナーは不不
具合の⽣生じたセンサーの認可の無効化機能が欲しい
28. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Controlling the Smart Home Infrastructure
暖房、換気、照明、ホームエンターテインメント
(映画や⾳音楽)、ホームセキュリティなどを操作す
る家庭⽤用機器
アリスとボブはHVAC(Heating, Ventilation, and
Air Conditioning)やシャッターコントロール、廊
下に電球を調整するモーションセンサーなどのホー
ムオートメーションデバイスが備え付けられた平屋
を所有
29. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Controlling the Smart Home Infrastructure
壁のパネルかスマートフォンなどのインターネットに接続
した機器でシャッターや温度度を操作
アリスとボブは共働きで予定よりも早く家にいる場合など
寒い⽇日の暖房の起動などをリモートで設定変更更したい
デバイスの無線範囲を他⼈人の届くところまで広げたくない
泥泥棒にネットワークのパターンから⾏行行動を推測できないよ
うにしたい
30. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Seamless Authorization
アリスは廊下⽤用の新しい電球を購⼊入しホームネット
ワークに統合
ボブが外出中でもアリスは追加の管理理努⼒力力なしに彼
に彼のデバイス(スマートフォンなど)を使って新
しいデバイスを操作可能にしたい
彼⼥女女はそのための必要な設定を提供する
31. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Remotely Letting in a Visitor
アリスとボブはドアロックとドアと窓の警報システムを⾃自宅宅に備
え付けた
リモートで操作することが可能
ディナーにアリスの両親を招待したが、交通渋滞で時間に間に合
わない。両親は地下鉄で時間通りに到着する予定
アリスは⼀一時的に権限を与え、ドアを開け、警報を⽌止めた
両親が適切切に家に⼊入ることができるように午後の間だけ有効な権
限にしたい
32. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Remotely Letting in a Visitor
アリスの両親が⾃自宅宅についたとき、両親はスマートフォン
を使ってドアロックと警報システムと通信した
アリスが与えた権限はドアの解錠、照明の起動など制限し
たアクセスのみ
監視カメラからの映像チェックなどは両親はアクセス不不可
アリスとボブは同様に制限した権限を清掃員や修理理屋、乳
⺟母に発⾏行行できる
33. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Selling the House
アリスとボブはアリスが新しい仕事を始めたので引っ越ししなければなら
ない
家を売ることを決断し、新しいオーナーにオートメーションデバイスのコ
ントロールを移す
その前にプライバシーに関連するデータは削除したい
新しいオーナーは暖房システムの調⼦子に関連する過去のデータを維持して
ほしい
家の所有権限を移す際に、新しいオーナーも前のオーナーによって発⾏行行さ
れた⾃自宅宅や接続されたデバイス(デバイスのマネジメントは⾃自宅宅からのア
クセスから切切り離離されていてもよい)の権限を確認したい
34. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Authorization Problems Summary
U2.1: ⾃自宅宅オーナーは訪問者を意味する認可を無意識識に提
供したい
U2.2: ⾃自宅宅オーナーは無意識識に⾃自宅宅のアクセスポリシーを
変更更したい
U2.3: ⾃自宅宅オーナーは異異なるユーザーに異異なるアクセス限
を与えたい
U2.4: ⾃自宅宅オーナーは特定の時間の枠内で数名にアクセス
権限を付与したい
35. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Authorization Problems Summary
U2.5: スマートデバイス異異なるコントロールデバイス(壁のパ
ネル、スマートフォン、電⼦子キーフォブ、デバイスゲートウェ
イ)を使って安全に通信可能である必要がある
U2.6: ⾃自宅宅オーナーは遠隔で認可ポリシーを設定可能にしたい
U2.7: 認可されたユーザーは⼩小さな努⼒力力でアクセスを得たい
U2.8: ⾃自動化された家のオーナーは権限のないデバイスがホー
ムネットワーク内のデバイスから⾏行行動に関するプロファイルを
推定できることを防ぎたい
36. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Home Automation
Authorization Problems Summary
U2.9: 必要な認可はセキュリティの知識識が乏しいい⾃自宅宅オーナーによって操作さ
れるデバイスのライフサイクルのタスクに関連しているため、ユーザービリティ
は特に重要
U2.10: ⾃自宅宅オーナーはデバイスでシームレスに⽬目的を果たしたい。そのため認
可管理理努⼒力力は最⼩小限に抑える必要がある
U2.11: ⾃自宅宅を売る際に⾃自宅宅オーナーはオートメーションシステムのオーナー権
限を移したい
U2.12: 重要な処理理データは削除することなく所有権を移す際に、⾃自宅宅オーナー
はオートメーションシステムのログから不不要なものを取り除きたい
U2.13: オーナー権限の委譲が発⽣生した際には、新しいオーナーは前のオーナー
によって作られたアクセス権が有効でないことを確認したい
37. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Use Case
その他のユースケース
Personal Health Monitoring
Building Automation
Smart Metering
Sports and Entertainment
Industrial Control Systems
38. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Actors
An architecture for authorization
in constrained environments [Active I-‐‑‒D]
https://www.ietf.org/proceedings/94/slides/slides-‐‑‒94-‐‑‒ace-‐‑‒2.pdf
https://tools.ietf.org/html/draft-‐‑‒ietf-‐‑‒ace-‐‑‒actors-‐‑‒03
タスクとは別のドラフトとして提出
認可の対象となるデバイス、サーバー、クライアントの関係
を定義
39. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Actors
2014年年5⽉月から2つのdraftが策定されマージされた
OAuthの技術⽤用語と紛らわしい表現があり
まだレビューが必要
40. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Actors
Single-‐‑‒Domain with Single AS Cross-‐‑‒Domain with Single AS
41. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
ace WG
ACE Solutions [Expires soon]
https://www.ietf.org/proceedings/94/slides/slides-‐‑‒94-‐‑‒ace-‐‑‒6.pdf
draft-‐‑‒cuellar-‐‑‒ace-‐‑‒solutions-‐‑‒00は概要レベルで議論論するにはまだ
リビジョンを重ねる必要あり
PAT Tokens(Privacy-‐‑‒Enhanced-‐‑‒Authorization-‐‑‒Tokens)
[Expires soon]
https://www.ietf.org/proceedings/94/slides/slides-‐‑‒94-‐‑‒ace-‐‑‒5.pdf
エネルギー制限・メッセージサイズに重きをおいた認可のための
トークン形式
45. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
DCAF vs OAuth
Authorization using OAuth 2.0
https://www.ietf.org/proceedings/94/slides/slides-‐‑‒94-‐‑‒ace-‐‑‒1.pdf
ACRE(ace-‐‑‒core-‐‑‒authz)とOAuth(ace-‐‑‒oauth-‐‑‒
iot/introspection)を統合したdraft
OAuth 2.0をベースとし、認可サーバーとデバイ
ス、クライアントの連携を提案
48. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Authorization for the Internet of
Things using OAuth 2.0
Authorization for the Internet of Things
using OAuth 2.0 [Active I-‐‑‒D]
https://tools.ietf.org/html/draft-‐‑‒ietf-‐‑‒ace-‐‑‒oauth-‐‑‒authz-‐‑‒01
DCAFとOAuthでコンセンサスをとった際に
OAuthの⽀支持が多くOAuthを優先して策定
Authorization using OAuth 2.0から置き換えら
れたdraft
49. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Authorization for the Internet of
Things using OAuth 2.0
PSK(Pre-‐‑‒Shared Key)-‐‑‒based / RPK(Raw-‐‑‒Public Key)-‐‑‒based
no introspection
Resource Server(IoTデバイス)とコミュニケーションを最⼩小にする
ためにToken Introspectionを除く
CoAP based
Client-‐‑‒>Authorization Server / Client-‐‑‒>Resource Server
DTLS
CBOR/COSE token
50. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
CBOR Web Token
CBOR Web Token(CWT)
https://www.ietf.org/proceedings/95/slides/slides-‐‑‒95-‐‑‒ace-‐‑‒1.pdf
https://tools.ietf.org/html/draft-‐‑‒wahlstroem-‐‑‒ace-‐‑‒cbor-‐‑‒web-‐‑‒token-‐‑‒00
ace WGにCWTのdraftが提出され、更更新中
CBOR/COSEはJSON Web Tokenと同等の機能を持
ち、JSONよりも軽量量なIoTにも利利⽤用できるバイナリー
トークン
51. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
Security for Low-‐‑‒Latency Group
Communication
Security for Low-‐‑‒Latency Group
Communication
https://datatracker.ietf.org/doc/draft-‐‑‒somaraju-‐‑‒ace-‐‑‒multicast/
https://tools.ietf.org/html/draft-‐‑‒somaraju-‐‑‒ace-‐‑‒multicast-‐‑‒01
照明のユースケースを例例にグループキーの配布につ
いてのアーキテクチャを解説
53. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (art Area)
Constrained RESTful Environments (core)
制限された環境でのRESTfulアクセス
エンドポイント・リソースの探索索、IoT向けの
暗号化通信、フォーマットなどの仕様を策定
54. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (art Area)
CoRE Resource Directory
draft-‐‑‒ietf-‐‑‒core-‐‑‒resource-‐‑‒directory-‐‑‒05.txt
Resource Directory(RD)を経由してM2Mで必要
なリソースを⾒見見つける
55. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (art Area)
A TCP and TLS Transport for the
Constrained Application Protocol (CoAP)
draft-‐‑‒tschofenig-‐‑‒core-‐‑‒coap-‐‑‒tcp-‐‑‒tls-‐‑‒04.txt
CoAP over TCP / CoAP over TLSを定義
56. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (art Area)
Reusable Interface Definitions for
Constrained RESTful Environments
draft-‐‑‒ietf-‐‑‒core-‐‑‒interfaces-‐‑‒04.txt
Content-‐‑‒Formats・Links・Collection Types・
Binding methods(Polloing/Observe/Push)・
Interfaceなどが定義されている
57. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (ART)
Media Types for Sensor Markup Language
(SenML)
draft-‐‑‒jennings-‐‑‒core-‐‑‒senml-‐‑‒02.txt
センサー測定値とデバイスパラメーターを表現す
るためのメディアタイプを定義
HTTPやCoAPで利利⽤用できるJSON、CBOR、
XML、EXIによって定義されている
58. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (ART)
CoAP Management Interface(COMI)
draft-‐‑‒vanderstok-‐‑‒core-‐‑‒comi-‐‑‒08.txt
制限のあるデバイスのためのネットワーク管理理イン
ターフェース
メッセージサイズ、サーバーコードサイズ、アプリ
ケーション開発をよくするための設計
CoAP・RESTCONF/YANG・CBOR
59. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (ART)
Patch Method for Constrained Application
Protocol (CoAP)
draft-‐‑‒vanderstok-‐‑‒core-‐‑‒patch-‐‑‒02.txt
既存のCoAP PUT methodは部分的なリソースの
置き換えができない
部分的なCoAPのリソースの変更更するために新し
いmethodとしてPATCHとiPATCHを追加
60. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (ART)
CoAP FETCH Method
draft-‐‑‒bormann-‐‑‒core-‐‑‒coap-‐‑‒fetch-‐‑‒00.txt
新しいCoAP methodとしてFETCHを追加
Constrained Objects Language
draft-‐‑‒veillette-‐‑‒core-‐‑‒cool-‐‑‒00
制限されたデバイスや低消費電⼒力力・⾮非可逆などの制限
されたネットワークに適応した管理理インターフェース
61. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
core WG (ART)
Publish-‐‑‒Subscribe Broker for the
Constrained Application Protocol (CoAP)
draft-‐‑‒koster-‐‑‒core-‐‑‒coap-‐‑‒pubsub-‐‑‒03
常時接続が難しいノードをサポートするための
CoAPの機能拡張したPub/Sub brokerを定義
62. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
まとめ
1. IETF Areas / IRTF Research Groups
ace WG・core WGでアプリケーションレイヤーを中⼼心とし
たのIoTに関する仕様を策定
2. ace WG(sec area)
IoTデバイスの認可フレームワークとプロファイルを策定
3. core WG(art area)
IoTデバイス周辺環境におけるRESTfulな仕様の策定
63. Copyright (C) 2016 Yahoo Japan Corporation. All Rights Reserved.
ご清聴ありがとう
ございました