AWS IoT Core for LoRaWAN によるデータセキュリティ - AWS IoT Core

AWS IoT Core for LoRaWAN によるデータセキュリティ

AWS IoT Core for LoRaWAN デバイスのデータを保護するには、次の 2 つの方法があります。

システム全体でデータを保護する方法

この図は、AWS IoT Core for LoRaWAN に接続された LoRaWAN システムの主要な要素を特定し、全体的にデータをどのように保護しているかを示すものです。


                    AWS IoT Core for LoRaWAN データがワイヤレスデバイスから AWS IoT およびその他のサービスにどのように渡されるかを示す画像。
  1. LoRaWAN ワイヤレスデバイスは、バイナリメッセージを送信する前に AES128 CTR モードを使用して暗号化します。

  2. AWS IoT Core for LoRaWAN へのゲートウェイ接続は、「AWS IoT でのトランスポートセキュリティ」で説明されているように、TLS によって保護されています。AWS IoT Core for LoRaWAN は、バイナリメッセージを復号化し、復号化されたバイナリメッセージペイロードを base64 文字列としてエンコードします。

  3. 結果として発生する base64 でエンコードされたメッセージは、デバイスに割り当てられた送信先で説明されている AWS IoT ルールにメッセージペイロードとして送信されます。AWS 内のデータは、AWS が所有するキーを使用して暗号化されます。

  4. AWS IoT ルールは、ルールの設定に記載されているサービスにメッセージデータを送信します。AWS 内のデータは、AWS が所有するキーを使用して暗号化されます。

LoRaWAN デバイスとゲートウェイトランスポートセキュリティ

LoRaWAN デバイスと AWS IoT Core for LoRaWAN は、事前共有ルートキーを保存します。プロトコルに従って、LoRaWAN デバイスと AWS IoT Core for LoRaWAN の両方によって、セッションキーが生成されます。対称セッションキーは、標準の AES-128 CTR モードでの暗号化および復号に使用されます。4 バイトのメッセージ整合性コード (MIC) も、標準の AES-128 CMAC アルゴリズムに従ってデータ整合性をチェックするために使用されます。セッションキーは、Join/Rejoin プロセスを使用して更新できます。

LoRa ゲートウェイ用のセキュリティプラクティスは、LoRaWAN 仕様に記載されています。LoRa ゲートウェイは Basics Station を使用して ウェブソケットを介して AWS IoT Core for LoRaWAN に接続します。AWS IoT Core for LoRaWAN でサポートされるのは Basics Station バージョン 2.0.4 以降のみになります。

ウェブソケット接続が確立される前に、AWS IoT Core for LoRaWAN は TLS Server and Client Authentication モードを使用してゲートウェイを認証します。AWS IoT Core for LoRaWAN は、TLS 認証に使用される証明書とキーを設定および更新する Configuration and Update Server (CUPS) も保守します。