選択した暗号化ライブラリを使用してIIoTシステムを保護してください！

これまでに、OMGについて読んだことがあるかもしれません。セキュリティアーキテクチャとモデルを使用して既存のDDS標準を強化するDDSセキュリティ仕様。その仕様のバージョン1.0は、OMGによって最終決定されようとしています。これは、データ中心のセキュリティモデルがDDS標準にネイティブに統合されることを意味します。これは、多くの種類の産業用IoTを含む複雑なリアルタイムアプリケーションを構築するために必要な柔軟性、信頼性、速度を提供するように設計された唯一のオープンな通信標準です。システム。

DDSセキュリティ仕様で導入された印象的な機能の1つは、サービスプラグインインターフェイス（SPI）アーキテクチャの概念です。 SPIのメカニズムにより、ユーザーは、アプリケーションコードを変更することなく、DDS実装が情報保証に使用する動作とテクノロジーをカスタマイズできます。

このブログ投稿では、SPIアーキテクチャについて簡単に説明し、RTI Connext DDS Secureの組み込みセキュリティプラグインを活用して、の暗号化ライブラリで選択した暗号化アクションを実行する簡単な方法を示します。あなたの選択。

DDSセキュアサービスプラグインインターフェイス（SPI）

DDSセキュリティ仕様では、アプリケーションがDDSインフラストラクチャと対話する方法に変更はありません。代わりに、必要に応じてインフラストラクチャによって活用される5つの異なるプラグインコンポーネントを定義します。これらの各コンポーネントは、情報保証機能の特定の側面を提供し、DDSセキュリティ仕様で定義されているように標準化されたインターフェイスを備えています。これは、Service Plugin Interfaces（SPI）という名前が指すものです。プラグインのアーキテクチャを下の画像に示します。

ご覧のとおり、DDSシステムに情報保証をまとめて提供するSPIは5つあります。それらの名前と目的は次のとおりです。

SPI名 その種類と操作の目的 Authentication相互認証を実行し、共有シークレットを確立する機能を含む、DDSドメイン参加者のIDの検証をサポートします。AccessControl認証されたDDSドメイン参加者が実行できる保護されたDDS関連の操作（DDSドメインへの参加、トピック、データリーダーの作成など）を決定します。およびDataWriters.Cryptography暗号化と復号化、ハッシュ、デジタル署名、メッセージ認証コードなどの暗号化操作をサポートします。LoggingDDSDomainParticipantのセキュリティ関連イベントのログ記録をサポートします。データタグ付けアプリケーション用に、データにセキュリティラベルまたはタグを追加する機能を提供します-特定の目的。 SPIアーキテクチャにより、安全なDDSシステムの情報保証の側面を自由にカスタマイズできます。上記の箇条書きに記載されているすべての側面は、SPIの独自の実装を使用して変更または再実装できます。変更できないのは、いつのメカニズムです。 DDS実装は、実際にはSPIのメソッドを呼び出します。SPIのメソッドは、必要なときに呼び出されるだけです。これは、ミドルウェアが仕様で規定されているとおりに動作し続け、それを壊すことを心配する必要がないことを意味するため、実際には良いことです。

SPIのインターフェースに加えて、DDSセキュリティ仕様は、そのドキュメントの第9章で詳細に説明されている、いわゆる組み込みプラグインの機能説明も提供します。彼らの主な目的は、DDSセキュリティのさまざまな実装間ですぐに使用できる相互運用性を提供することです。 RTI Connext Secure DDSを使用すると、組み込みのプラグインもカスタマイズの優れた出発点になります。

RTI Connext DDSSecure組み込みプラグインのカスタマイズ

Connext DDS Secureに付属の組み込みのセキュリティプラグインバイナリをそのまま使用して、情報保証を含むDDSシステムを作成できます。仕様で説明されているように、DomainParticipantのPropertyQosPolicyを適切に構成して、アクセス制御やガバナンス構成ファイル、ID証明書などの目的のセキュリティアーティファクトを指すようにするだけです。

プラグインの動作を変更したい場合は、ビルド可能なソースコードファイルのセットも提供されます。ただし、多くの状況で、Connext DDSSecureプラグインははるかに簡単なオプションを提供します。 OpenSSL EVPAPIを入力してください...

暗号化アルゴリズムの実装を入れ替える

組み込みのConnext DDS Secureプラグインのソースコードは、OpenSSL暗号化ライブラリを利用します。SSLまたはTLS機能ではなく、一連の暗号化機能の実装と多数のそれらで使用されるヘルパークラス。 OpenSSLプログラミングに精通している場合は、いわゆるEVPインターフェイスを活用することをお勧めします。（私が行ったように、気になる方のために：EVPはEnVeloPeの略です。）Connext DDS Secureプラグインは、その機能のサブセット、つまり以下の表の項目に関連するものを呼び出します。

機能性 組み込みのDDSセキュリティプラグインに指定されたアルゴリズム 128ビットまたは256ビットのキーサイズのガロアカウンターモード（GCM）での対称暗号化および復号化AES署名および検証ハッシュ関数としてSHA-256を使用したRSA-PSSまたはECDSA署名アルゴリズムECDH）、指定されたパラメーターを使用メッセージ認証コードHMAC、ハッシュ関数としてSHA-256を使用、GMACSecureハッシュ関数SHA-256ランダム番号生成暗号化に強い任意のランダム番号ジェネレーター付属のプラグイン製品は、標準のOpenSSL EVPエンジンに見られるように、これらの関数のOpenSSL実装を使用します。ただし、独自のエンジンの挿入もサポートしています。 OpenSSLエンジンの実装は、これらの暗号化機能の他の実装を呼び出すことができます。たとえば、FIPS準拠の実装を使用する必要があるため、選択した暗号化ライブラリを利用できます。一部のライブラリはすでにEVPエンジンをサポートしています。この場合、プラグインを構成するだけで済みます。それ以外の場合は、ライブラリから適切な関数を呼び出すシムレイヤーを作成する必要があります。

組み込みプラグイン自体の変更

前のセクションで概説した組み込みプラグインのアルゴリズムとメカニズムが、プロジェクトのニーズを満たしていない場合があります。その場合、実際のプラグインのコード、つまりEVP関数を呼び出すコードに変更を加える必要があります。たとえば、仕様で定義されているものとは異なるアルゴリズムを選択するなど、小さな変更を加えることができます。おそらく、異なるキーサイズやアルゴリズムパラメータを使用します。別の例として、必要に応じて動的リンクから静的リンクに変更できます。

小さな変更を超えて、たとえば、まったく異なるID認証メカニズムを導入することができます。その道を進むことは非常にすぐに複雑になるので、あなたのニーズと計画について話し合うために私達に連絡することを強くお勧めします。皆様のお越しを心よりお待ちしております！

車輪付きロボット-2021年までに、これは新しい標準になる可能性があります IIoTとシステム設計を刺激する最高のオンデマンドウェビナーの5つ

モノのインターネットテクノロジー