ウインドリバー 組込みとモバイルソフトウェアの世界的なリーダー
ウインドリバー ミドルウェア : セキュリティ
ブックマーク/共有
ホーム : 製品情報 : ミドルウェア : セキュリティ

ウインドリバー セキュリティ

Wind River IPsec and IKE
Wind River IPsec/IKEはIETFがIPsecやIKE用にそれぞれ定義したウインドリバー製品の実装です。これらは、IPレイヤ上のネットワークトラフィックの認証、データのインテグリティ、暗号化に対応するものです。Wind River IPsec/IKEでは、IPv4およびIPv6をサポートし、暗号処理の高速化を実現する柔軟性あるハードウェアインタフェースとともに、強力な管理APIが提供されます。

IPsec/IKEには統計情報の収集および記録機能が充実しているため、開発者は、作成または試行するセキュリティセッションに関する詳細な情報を得ることができます。これにより、ネットワークの潜在的な問題の監視や、ネットワークに対する攻撃と思われるものの判断を容易に行うことができます。

IPsecでは、IETFによって定義されている標準的なAuthentication Header(AH)およびEncapsultation Security Payload(ESP)の機能がサポートされています。トンネルモードとトランスポートモードの両方がサポートされており、他のトンネリングプロトコルをサポートするために使用できるアプリケーションインタフェースも用意されています。IKEのメインモードとクイックモードがサポートされているため、セキュリティアソシエーション(SA)の動的なネゴシエーションが可能です。ネゴシエーションピア間におけるキーの交換には、Oakleyプロトコルが使用されます。

Wind River IPsec/IKEは、各種、暗号化方式およびハッシュアルゴリズムが用意されているので、開発者は、セキュリティアルゴリズムの強度とシステムパフォーマンス間での必要なトレードオフを行うことができます。

Wind River Firewall および Wind River NAT
デバイス内でファイアウォールを実装するためのウインドリバーのソリューションは、Wind River NATおよびWind River Firewallを基礎としています。Wind River NATは、業界標準のネットワークアドレス変換プロトコルの高機能実装で、ルータ、ファイアウォール、DSLおよびケーブルモデム、Residential Gatewayで使用されます。Wind River NATを実行するデバイスは、1個のグローバルIPアドレスを使用するだけで、部署全体を、あるいはSOHO全体をインターネットに接続することができます。アドレスのマッピングによって、プライベートネットワークの大きさやトポロジーを外部から効果的に隠し、基本レベルのセキュリティを提供します。

Wind River NATは、最も広く使用されている2つのNATモードをサポートします。ベーシックNATは、事前に割当てられた外部アドレスのブロックを使って、プライベートIPアドレスを1対1にマッピングします。また、より一般的に使われているNAPTは、IPアドレスに加えてポート番号もマッピングします。NAPTは、複数のプライベートアドレス(最大64,000個のアドレスとポートの組み合せ)を1つのパブリックアドレス上に多重化させ、アドレスの保存性とセキュリティに関するあらゆる利点を提供します。

NATは、認識されるアドレス変換にマップされない着信接続要求をすべてブロックすることで、基本的なセキュリティを実現します。Wind River NATは、Wind River SNMP、CLI、またはWebインタフェースを通して設定できます。Wind River NATはウインドリバーのIPsec/IKEと組み合わせて使用でき、Wind River Firewallとも完全に統合されています。

Wind River Firewallは強力なフィルタリングエンジンを提供しており、デバイス製造元は、ソフトウェアを最適化して、ユーザの貴重なデータを保護する高度な機能を提供することができます。このフィルタリングエンジンは、SOHOルータ、ブロードバンドアクセス機器、中小のエンタープライズ機器など広範囲の製品に完全に対応します。

Wind River Security Libraries
Wind River Security Librariesは、クリプトアルゴリズムライブラリ(暗号化とハッシング)であるCommon Crypto Interface(CCI)など他のコンポネントによって使用されるか使用が可能である機能の集まりです。CCIは暗号機能へのアクセスを必要とする他コンポネントで使用されます。Crypto Provider Interface(CPI)は、開発者が他のクリプトライブラリを追加したり、ハードウェアベースの暗号機能を活用するためのメカニズムを提供します。

また、Security LibrariesにはX.509デジタル証明書の実装も含まれています。デジタル証明書は、Wind River IPsec/IKE、Wind River Wireless Security、Wind River Web Server、Wind River Web Servicesといった他のさまざまなコンポネントで使用できます。

Wind River SSH
Wind River SSH(セキュアシェル)は、SSHクライアントとSSHサーバ間で、セキュアなターミナル接続を実現するためのクライアントサーバプロトコルです。これを利用することにより、暗号化された接続を経由して、組込システムの通信がアプリケーションレベルで可能となり、データインテグリティとリプレイプロテクションが保証されます。また、盗聴、コネクション・ハイジャック、IPスプーフィングなど、ネットワークレベルでの攻撃を排除することができます。さらにSSHは、バーチャルプライベートネットワーク(VPN)の構築で利用可能な、セキュアなトンネリング機能もいくつか提供します。また、複数の認証方法もサポートしています。

Wind River SSL
Wind River Secure Socket Layer(SSL)は、eコマース向けセキュアHTTP接続(HTTPS)など、ソケットを使用する上位レイヤプロトコルの安全性確保に使用されるクライアントサーバテクノロジです。セキュリティは、プライバシーを介したデータ暗号化の使用、デジタル証明書を使用した認証、メッセージダイジェストを使用したメッセージインテグリティで実現されます。

Wind River RADIUS Client
Wind River RADIUS Clientは、業界標準のRADIUS(Remote Authentication Dial-In User Service)を完全に実装している製品です。この実装では、認証、アカウンティング、およびセキュリティのための完全な機能セットをサポートし、いくつかの商用RADIUSサーバで動作することが検証済みで、幅広いアプリケーションでの互換性が保証されています。Wind River RADIUS Clientには、Wind River SNMPと統合された標準MIBサポートを含み、またWind River Wireless Securityコンポネントとも統合されて、サプリカントの認証を可能にしています。

Wind River RADIUS Clientにより、ネットワークはユーザが許可されたアクセスであるかどうかを判断(認証)できます。また、認証はメッセージが伝送時に変更または捏造されていないかどうかの判定にも使用されます。承認では、ユーザがアクセスできるネットワークリソースを判定し、アカウンティング機能では使用を記録できます。

Wind River Wireless Security
Wind River Wireless Securityは、幅広いワイヤレスデバイスに採用されているセキュリティプロトコル環境です。この環境には、802.1Xプロトコル、Wi-Fi Protected Access(WPA)プロトコル、および802.11iプロトコルのためのサプリカントおよびオーセンティケータの両方が含まれています。

Wireless SecurityオーセンティケータはWind River RADIUS Client、Wind River Learning Bridge、およびWind River Wireless Ethernet Driverに統合されており、ワイヤレスアクセスポイントなどの典型的なオーセンティケータ製品に対して、必要なコア機能すべてを提供します。Wind River Wireless Securityの実装は、Wind River Wireless Ethernet Driverとの統合および検証が行われていますが、WPA/802.11i低レベルサポートを含む該当ドライバを搭載した任意のワイヤレスチップセットでも使用できます。

サプリカントとオーセンティケータは、どちらも同じ製品で使用でき、優れた柔軟性と広範囲のアプリケーションサポートを実現しています。複数のEAP(Extensible Authentication Protocols)タイプがサポートされています。セキュリティの実装には、事前共有キー、TKIP(Temporal Key Integrity Protocol)、Michael Countermeasuresが含まれます。広範囲の暗号化およびハッシュアルゴリズムを利用可能で、開発者にはセキュリティレベルとパフォーマンスとのトレードオフで柔軟性を実感していただけます。また、802.1X MIBとのインタフェースを実現するために、Wind River SNMPとも統合されています。

Wind River WPASUP (Wireless Supplicant)
WPASUPはWind River Linuxで利用可能で、すべての802.11xメッセージを処理し、Wind River Network Stackとワイヤレスドライバとのインタフェースを実現しています。これは、Linuxユーザスペースで実行されます。WPAおよびWPA2と統合され、Wi-Fiアライアンスでは必須のいくつかのEAP方式と連携します。