この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
- 1) ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界的な標準化のための専門的なシステムを形成します。 ISO または IEC のメンバーである国家機関は、国際規格の開発に参加しています。それらの準備は技術委員会に委ねられています。扱われる主題に関心のある ISO および IEC 加盟団体は、この準備作業に参加することができます。 ISO および IEC と連携している国際的な政府および非政府組織も、この準備に参加しています。
- 2)情報技術の分野では、ISO と IEC は合同技術委員会 ISO/IEC JTC 1 を設立しました。合同技術委員会によって採択された国際規格草案は、投票のために各国の機関に回覧されます。国際規格として発行するには、投票を行う国の機関の少なくとも 75% による承認が必要です。
- 3)各技術委員会は、関心のあるすべての IEC および ISO メンバー団体からの代表者を持っているため、技術的事項に関する IEC および ISO の正式な決定または合意は、関連する主題に関する国際的な意見の一致を可能な限り表現します。
- 4) IEC, ISO, および ISO/IEC の刊行物は、国際的な使用のための推奨事項の形をしており、その意味で IEC および ISO のメンバー団体によって受け入れられています。 IEC, ISO, および ISO/IEC の出版物の技術的内容が正確であることを保証するためにあらゆる合理的な努力が払われていますが、IEC または ISO は、それらの使用方法またはエンドユーザーによる誤解に対して責任を負うことはできません。
- 5)国際的な統一性を促進するために、IEC および ISO のメンバー団体は、IEC, ISO, および ISO/IEC の出版物を、国内および地域の出版物に可能な限り透過的に適用することを約束します。 ISO/IEC 刊行物と対応する国または地域の刊行物との相違点は、後者で明確に示す必要があります。
- 6) ISO および IEC は、承認を示すためのマーキング手順を提供しておらず、ISO/IEC 出版物に適合していると宣言された機器について責任を負うことはできません。
- 7)すべてのユーザーは、この出版物の最新版を持っていることを確認する必要があります。
- 8) IEC または ISO またはその取締役、従業員、使用人または代理店 (個々の専門家および技術委員会のメンバーを含む) および IEC または ISO のメンバー団体は、人身傷害、物的損害、またはその他のいかなる性質の損害についても、責任を負わないものとします。この ISO/IEC 刊行物またはその他の IEC, ISO, または ISO/IEC 刊行物の発行、使用、または依存から生じる直接的または間接的、または費用 (弁護士費用を含む) および費用。
- 9)この刊行物で引用されている規範的な参考文献に注意が必要です。この刊行物を正しく適用するには、参照されている刊行物を使用することが不可欠です。
- 10)この規格の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
国際規格 ISO/IEC 24767-2 は、ISO/IEC 合同技術委員会 1: 情報技術の小委員会 25: 情報技術機器の相互接続によって作成されました。
ISO/IEC 24767 シリーズの現在利用可能なすべての部分のリストは、一般的なタイトルである情報技術 — ホーム ネットワーク セキュリティの下にあり、IEC Web サイトで見つけることができます。
この国際規格は、メンバー団体の投票によって承認されており、投票結果は、2 番目のタイトル ページに記載されているアドレスから取得できます。
この出版物は、ISO/IEC 指令に従って起草されています。 2.
1 スコープ
ISO/IEC 24767 のこの部分では、IT 機能が制限された機器のホーム ネットワークにおけるセキュリティを指定しています。 Secure Communication Protocol for Middleware (SCPM) は、IPSec や SSL/TLS などのインターネット セキュリティ プロトコルをサポートできない機器のネットワーク セキュリティ (5.2 を参照) をサポートするように特に設計されています。このプロトコルは安全でない送信用に設計されていますが、他の種類の送信にも使用できます。もちろん、SCPM のセキュリティ サービスの品質レベルは、インターネット セキュリティ プロトコルの品質レベルと同等ではありませんが、このようなミドルウェアも家庭内で安全に接続できることを保証します。 SCPM が、すでに公開されているプロトコルの既存のセキュリティ メカニズムを置き換える意図はありません。
SCPM はネットワーク層でセキュリティ サービスを提供し、プロトコルは特定のメディア伝送に依存しません。 ISO/IEC 24767 のこの部分には、サポートされるセキュリティ サービス、必要なメッセージ形式、情報の流れ、およびこのプロトコルの実装に必要なこれらの情報の処理の詳細な仕様が含まれています。
したがって、この標準は、メディアに依存する問題にも、すべてのホーム ネットワーキング テクノロジをカバーする全体的なセキュリティ アーキテクチャにも対応していません。この標準で指定されたプロトコルはメディアに依存せず、競合するネットワーク層アドレッシング スキームを持たないプロトコルのネットワーク層のセキュリティ サービスをカバーします。ネットワーク層のセキュリティ サービスは、暗号化メカニズムとセキュリティ メカニズムを組み合わせて使用することによって提供されます。
各プロトコルは、このセキュリティ実装の詳細を指定する必要があります。複数のプロトコルをサポートする HES システムには、プロトコル間にゲートウェイが必要です。
最後に、この標準は、あらゆるセキュリティ サービスで不可欠になったキー管理を除いて、どのような種類のアプリケーションも定義していません。それにもかかわらず、SCPM で展開できるアプリケーションの種類に制限はありません。
2 参考文献
本書の適用には、以下の参考文献が不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 10116, 情報技術 — セキュリティ技術 — n ビット ブロック暗号の動作モード
- ISO/IEC 11577, 情報技術 — オープン システム相互接続 — ネットワーク層セキュリティ プロトコル
- ISO/IEC 11770-3, 情報技術 — セキュリティ技術 — 鍵管理 — 3:非対称技術を用いた仕組み
- ISO/IEC 18033-3, 情報技術 — セキュリティ技術 — 暗号化アルゴリズム — 3: ブロック暗号
3 用語、定義、略語
3.1 用語と定義
このドキュメントでは、次の定義が適用されます。
3.1.1
守秘義務
許可されていない個人、エンティティ、またはプロセスに対して情報が利用可能または開示されないという特性
3.1.2
データ認証
通信の当事者が主張するデータのソースが正しく検証されることを保証するために使用されるサービス
3.1.3
データの整合性
データが許可されていない方法で変更または破壊されていないこと
3.1.4
キー設定ノード
鍵の生成/配布および管理を担当するエンティティ
3.1.5
Macアドレス
使用される通信プロトコルのデータリンク層のメディア アクセス制御サブ層。
3.1.6
メッセージフレーム
家電ノードと家電制御装置との間で伝送される最小データ単位
3.1.7
帯域外
情報を送信するために通信チャネルで必要なメカニズム以外のメカニズムの使用
3.1.8
依頼されたサービス
サービス要求に応答するネットワーク ノード
3.1.9
サービス依頼者
サービス要求を発行するネットワーク ノード
3.1.10
ユーザ認証
通信の当事者が主張する ID が正しく検証されることを保証するために使用されるサービス。一方、認証サービスは、識別および認証された当事者がホーム ネットワーク上の特定のデバイスまたはアプリケーションにアクセスする資格があることを保証します。
3.1.11
白物家電
エアコンや冷蔵庫など日常生活で使う家電
3.2 略語
この文書では、以下の略語が適用されます。
| ADATA | アプリケーションデータ (7.1.5) |
| ВС | Byte Counter [次のデータ ペイロードのバイト単位のデータ長 (ADATA のサイズ)] |
| BCC | ブロックチェックコード (7.2.6) |
| CBC | 暗号ブロック連鎖 |
| CPU | 中央処理装置 |
| da | 宛先アドレス (メッセージ フレームの) |
| DCL | データリンク層 |
| の | データ暗号化規格 |
| IE | Diffie-Hellman (最初に公開された公開鍵アルゴリズムであり、鍵の配布に使用できます) |
| DOS | サービス拒否 |
| HD | ヘッダー (メッセージ フレームの) |
| 彼は | 家電システム |
| 知財 | インターネットプロトコル |
| IPsec | IP セキュリティ プロトコル |
| IPv4 | インターネット プロトコル バージョン 4 |
| IPv6 | インターネット プロトコル バージョン 6 |
| Ⅳ | 初期化ベクトル |
| KSN | キー設定ノード |
| マック | メッセージ認証コード |
| MDA | メッセージ データ認証署名 |
| PBC | 平文データ部 Byte Counter (後続のデータペイロードのバイト単位のデータ長(PADATAのサイズ)) |
| PDG | パディング |
| パデータ | 平文 アプリケーション DATA |
| ピンコード | 個人識別番号 |
| sa | 送信元アドレス (メッセージ フレームの) |
| SCPM | ミドルウェア向けセキュア通信プロトコル |
| SHD | 安全なヘッダー |
| SNSF | シーケンス番号フィールド |
| SSL | セキュア・ソケット・レイヤー |
| TLS | トランスポート層のセキュリティ |
| XOR | 排他的 OR |
参考文献
| ISO/IEC 9797-1, 情報技術 — セキュリティ技術 — メッセージ認証コード (MAC) — 1:ブロック暗号を利用した仕組み | |
| Dworkin, M.、 「ブロック暗号操作モードの推奨事項: メソッドとテクニック」、 NIST スペシャル。 | |
| ブラック、ジョンおよびロガウェイ、ジョンソン、 「AES 動作モードに関する NIST へのコメント: CBC MAC で任意の長さのメッセージを処理するための提案」 | |
| NIST, FIPS PUB 197, 「Advanced Encryption Standard (AES)」、 2001 年 11 月。 |
FOREWORD
- 1) ISO (International Organization for Standardization) and IEC (International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards. Their preparation is entrusted to technical committees; any ISO and IEC member body interested in the subject dealt with may participate in this preparatory work. International governmental and non-governmental organizations liaising with ISO and IEC also participate in this preparation.
- 2) In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
- 3) The formal decisions or agreements of IEC and ISO on technical matters express, as nearly as possible, an international consensus of opinion on the relevant subjects since each technical committee has representation from all interested IEC and ISO member bodies.
- 4) IEC, ISO and ISO/IEC publications have the form of recommendations for international use and are accepted by IEC and ISO member bodies in that sense. While all reasonable efforts are made to ensure that the technical content of IEC, ISO and ISO/IEC publications is accurate, IEC or ISO cannot be held responsible for the way in which they are used or for any misinterpretation by any end user.
- 5) In order to promote international uniformity, IEC and ISO member bodies undertake to apply IEC, ISO and ISO/IEC publications transparently to the maximum extent possible in their national and regional publications. Any divergence between any ISO/IEC publication and the corresponding national or regional publication should be clearly indicated in the latter.
- 6) ISO and IEC provide no marking procedure to indicate their approval and cannot be rendered responsible for any equipment declared to be in conformity with an ISO/IEC publication.
- 7) All users should ensure that they have the latest edition of this publication.
- 8) No liability shall attach to IEC or ISO or its directors, employees, servants or agents including individual experts and members of their technical committees and IEC or ISO member bodies for any personal injury, property damage or other damage of any nature whatsoever, whether direct or indirect, or for costs (including legal fees) and expenses arising out of the publication of, use of, or reliance upon, this ISO/IEC publication or any other IEC, ISO or ISO/IEC publications.
- 9) Attention is drawn to the normative references cited in this publication. Use of the referenced publications is indispensable for the correct application of this publication.
- 10) Attention is drawn to the possibility that some of the elements of this International Standard may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
International Standard ISO/IEC 24767-2 was prepared by subcommittee 25: Interconnection of information technology equipment, of ISO/IEC joint technical committee 1: Information technology.
The list of all currently available parts of ISO/IEC 24767 series, under the general title Information technology — Home network security, can be found on the IEC web site.
This International Standard has been approved by vote of the member bodies, and the voting results may be obtained from the address given on the second title page.
This publication has been drafted in accordance with the ISO/IEC Directives, 2.
1 Scope
This part of ISO/IEC 24767 specifies security in a home network for equipment with limited IT capability. The Secure Communication Protocol for Middleware (SCPM) is particularly designed to support network security (see 5.2) for equipment not capable of supporting Internet security protocols such as IPSec or SSL/TLS. Although this protocol is designed for unsafe transmissions, it may be used on other types of transmissions. Of course, the quality level of the security services of SCPM is not equal with that of the Internet security protocols but will ensure that such middleware can also be connected securely within a home. It is not the intention that SCPM replace existing security mechanisms of protocols that have already been published.
The SCPM provides the security services at the network layer and the protocol does not rely on any specific media transmission. This part of ISO/IEC 24767 contains detailed specifications of the security services supported, the necessary message formats, the information flows and the processing of these pieces of information necessary for the implementation of this protocol.
Therefore, this standard neither addresses media-dependent issues nor an overall security architecture covering every home-networking technology. The protocol specified in this standard is media-independent and covers the security services for the network layer for protocols that do not have a conflicting network-layer addressing scheme. Network layer security services are provided through the use of a combination of cryptographic and security mechanisms.
Each protocol should specify the details of this security implementation. An HES system supporting more than one protocol needs a gateway in between protocols.
Finally, this standard does not define any type of application except for key management which has become essential in any security service. Nonetheless, there are no restrictions on which types of applications may be deployed with SCPM.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 10116, Information technology — Security techniques — Modes of operation for an n-bit block cipher
- ISO/IEC 11577, Information technology — Open Systems Interconnection — Network layer security protocol
- ISO/IEC 11770-3, Information technology — Security techniques — Key management — 3: Mechanisms using asymmetric techniques
- ISO/IEC 18033-3, Information technology — Security techniques — Encryption algorithms — 3: Block ciphers
3 Terms, definitions and abbreviations
3.1 Terms and definitions
For the purpose of this document the following definitions apply.
3.1.1
confidentiality
property that information is not made available or disclosed to unauthorized individuals, entities or processes
3.1.2
data authentication
service used to ensure that the source of the data claimed by a party to a communication is correctly verified
3.1.3
data integrity
property that data has not been altered or destroyed in an unauthorized manner
3.1.4
key setting node
entity responsible for key generation/distribution and management
3.1.5
MAC address
media access control sub-layer of the data-link layer of the communications protocol used
3.1.6
message frame
minimum data unit transmitted between a home appliance node and a home appliance control
3.1.7
out of band
use of other mechanisms than the ones required on a communications channel to transmit information
3.1.8
requested service
networked node that responds to service requests
3.1.9
service requester
networked node that issues service requests
3.1.10
user authentication
service used to ensure that the identity claimed by a party to a communication is correctly verified, whereas an authorization service ensures that the identified and authenticated party is entitled to access a particular device or application on the home network
3.1.11
white goods
appliances that are used daily life, for example, air conditioner, refrigerator and so on
3.2 Abbreviations
For the purpose of this document the following abbreviations apply.
| ADATA | Application DATA (7.1.5) |
| ВС | Byte Counter [data length in bytes of the following data payload (size of ADATA)] |
| BCC | Block Check Code (7.2.6) |
| CBC | Cipher Block Chaining |
| CPU | Central Processing Unit |
| da | Destination Address (of a message frame) |
| DCL | Data-Link Layer |
| DES | Data Encryption Standard |
| DH | Diffie-Hellman (was the first published public-key algorithm and it can be used for key distribution) |
| DoS | Denial of Services |
| HD | HeaDer (of the message frame) |
| HES | Home Electronic System |
| IP | Internet Protocol |
| IPSec | IP Security protocol |
| IPv4 | Internet Protocol version 4 |
| IPv6 | Internet Protocol version 6 |
| IV | Initialisation Vector |
| KSN | Key Setting Node |
| MAC | Message Authentication Code |
| MDAS | Message Data Authentication Signature |
| PBC | Plain text data part Byte Counter (data length in bytes of the following data payload (size of PADATA)) |
| PDG | PaDdinG |
| PADATA | Plain text Application DATA |
| PIN | Personal Identification Number |
| sa | Source Address (of a message frame) |
| SCPM | Secure Communication Protocol for Middleware |
| SHD | Secure Header |
| SNF | Sequence Number Field |
| SSL | Secure Sockets Layer |
| TLS | Transport Layer Security |
| XOR | eXclusive OR |
Bibliography
| ISO/IEC 9797-1, Information technology — Security techniques — Message Authentication Codes (MACs) — 1: Mechanisms using a block cipher | |
| Dworkin, M., "Recommendation for Block Cipher Modes of Operation: Methods and Techniques," NIST Special. | |
| Black, John and Rogaway, Johnson, "Comments to NIST concerning AES Modes of Operations: A Suggestion for Handling Arbitrary-Length Messages with the CBC MAC" | |
| NIST, FIPS PUB 197, "Advanced Encryption Standard (AES)," November 2001. |