署名ヘッダーと事前共有鍵を使って送信元を検証する
デバイスから送信されたデータを Beam でデータを転送する際、Beam からのリクエストであることを転送先のサーバーで検証するための署名を挿入できます。
この署名は、SORACOM プラットフォームで計算され、リクエストに挿入されます。データ転送先のサーバーで、同じデータ、および同じアルゴリズムを利用して署名を計算し、リクエストに挿入された署名と一致した場合は、送信元が Beam であることを確認できる仕組みです。転送先のサーバーで署名を検証することを推奨します。
「事前共有鍵」には推測されにくい任意の文字列を指定してください。「事前共有鍵」には 4096 文字までの英文字・数字・記号を利用できます。
署名の検証は、以下の流れで行います。特に、「事前共有鍵」は事前に共有すること、また、Beam からお客様サーバーには送信されないことに注意してください。
事前に「SORACOM プラットフォーム」と「転送先のサーバー」に、「事前共有鍵」と呼ばれる文字列を登録します (①)。
デバイスから Beam のエントリポイントにデータを送信します (②)。
Beam に送信されたデータや送信元のデバイスの情報を元に署名が計算され (③)、転送先サーバーに送信されます (④)。
なお、署名の計算アルゴリズムは、エントリポイントごとに設定が異なります。
転送先サーバーは、Beam から送信されたデータから「事前共有鍵」以外の情報を取り出し、手順 1 で登録した「事前共有鍵」を利用して、既定された署名の計算アルゴリズムで、署名を計算します (⑤)。
転送先サーバーは、Beam から送信されたデータに含まれる署名と、転送先サーバーで計算した署名が一致していることを確認します (⑥)。
- 署名が一致したときは、データを利用できます。
- 署名が一致しないときは、第三者がデータを送信してきたとみなして、破棄してください。
HTTP/HTTPS 用アルゴリズム
で HTTP/HTTPS 用アルゴリズムを利用するエントリポイントを追加し、エントリポイントの設定で をオンにすると、転送先サーバーへの HTTP リクエストに x-soracom-signature: ${signature} ヘッダーが追加されます。この ${signature} が署名です。
HTTP/HTTPS 用アルゴリズムの署名の計算方法
以下の文字列を作成したうえで、この文字列の SHA-256 ハッシュ値を計算します。その SHA-256 ハッシュ値が、署名です。
${事前共有鍵}x-soracom-imei=${IMEI}x-soracom-imsi=${IMSI}x-soracom-msisdn=${MSISDN}x-soracom-sim-id=${SIM_ID}x-soracom-timestamp=${TIMESTAMP}
${事前共有鍵}には、 のエントリポイントの設定で に設定した認証情報の に設定した値が含まれます。x-soracom-imei=${IMEI}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。接続中の通信キャリアが対応していないなどの理由で IMEI が取得できなかった場合は、
x-soracom-imei=${IMEI}は含まれません。x-soracom-imsi=${IMSI}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。x-soracom-msisdn=${MSISDN}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。x-soracom-sim-id=${SIM_ID}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。x-soracom-timestamp=${TIMESTAMP}は、常に含まれます。
署名の計算例
のエントリポイントの設定、IoT SIM の情報、データ送信時に付与されるタイムスタンプが以下の場合に、署名の計算方法と計算結果を紹介します。
のエントリポイントの設定の例:
| 項目 | 値 |
|---|---|
| オン | |
| オフ | |
| オフ | |
| オン | |
| オン | |
「認証情報ストアで に topsecret を設定した認証情報」を選択 |
IoT SIM の情報の例:
| 項目 | 値 |
|---|---|
| IMSI | 295012345678901 |
| SIM ID (*1) | 8942123456789012345 |
| MSISDN (*1) | 423612345678 |
| IMEI | 867612345678901 |
- (*1) で および をオフにしているため、署名の生成では利用されません。
データ送信時に付与されるタイムスタンプの例:
| 項目 | 値 |
|---|---|
| タイムスタンプ | 1640962800000 |
計算例:
転送先のサーバーで受信した HTTP ヘッダーから、以下の文字列を作成します。
topsecretx-soracom-imei=867612345678901x-soracom-imsi=295012345678901x-soracom-timestamp=1640962800000手順 1 で作成した文字列の SHA-256 ハッシュ値を計算します。
83341a7b3fa0b264e029c338acf83ac07cc416789efe9ace4275a537924aecbaこの値が、計算した署名です。
手順 2 で計算した署名と、
x-soracom-signature: ${signature}の${signature}の値が一致していることを確認します。- 署名が一致したときは、データを利用できます。
- 署名が一致しないときは、第三者がデータを送信してきたとみなして、破棄してください。
テストサーバーの署名検証機能
で HTTP エントリポイント を選択して以下のように設定し、デバイスから Beam の HTTP エントリポイント (http://beam.soracom.io:8888/) にデータを送信すると、テストサーバー (https://beamtest.soracom.io:443/) によって署名が検証されて「Match!」と返されます。
設定例:
| 項目 | 説明 | ||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 任意の文字列 | |||||||||||||||||
| オン | |||||||||||||||||
デバイスからの HTTP リクエストを受け付けるエントリポイントを設定します。
| |||||||||||||||||
エントリポイントで受け付けたリクエストの転送先を設定します。
| |||||||||||||||||
転送先へのリクエストに追加するヘッダーを指定します。スイッチをオンにしたときに追加されるヘッダーは以下のとおりです。
|
レスポンスの例:
$ curl beam.soracom.io:8888
Hello SORACOM Beam Client IMSI:295012345678901 IMEI:867612345678901 !
== HTTP Headers ==
HTTP_X_SORACOM_SIGNATURE_VERSION = 20151001
HTTP_X_SORACOM_SIGNATURE = 83341a7b3fa0b264e029c338acf83ac07cc416789efe9ace4275a537924aecba
HTTP_X_SORACOM_TIMESTAMP = 1640962800000
HTTP_X_SORACOM_IMEI = 867612345678901
HTTP_X_SORACOM_IMSI = 295012345678901
= Signature Verification =
Pre shared key = topsecret
stringToSign:
x-soracom-imei=867612345678901x-soracom-imsi=295012345678901x-soracom-timestamp=1640962800000
calculated_signature:
SHA256('topsecret'+stringToSign) = 83341a7b3fa0b264e029c338acf83ac07cc416789efe9ace4275a537924aecba
provided_signature:
83341a7b3fa0b264e029c338acf83ac07cc416789efe9ace4275a537924aecba
signature:
Match!
テストサーバーの署名検証機能は、Beam から送信された署名をテストサーバーで検証して、検証結果に応じて「Does not match...」や「Match!」、「Access Authorized」などを表示する機能です。
テストサーバーの署名検証機能では、 を
topsecret以外に設定した場合は、「Does not match...」と表示されます。任意のサーバーからテストサーバーに対して、正しいヘッダーと正しい署名を付与したデータを送信しても「Match!」と返されます。
呼び出し例:
$ curl https://beamtest.soracom.io:443/ \ -H "x-soracom-signature-version: 20151001" \ -H "x-soracom-signature: 83341a7b3fa0b264e029c338acf83ac07cc416789efe9ace4275a537924aecba" \ -H "x-soracom-timestamp: 1640962800000" \ -H "x-soracom-imei: 867612345678901" \ -H "x-soracom-imsi: 295012345678901"レスポンス例:
Hello SORACOM Beam Client IMSI:295012345678901 IMEI:867612345678901 ! : signature: Match!なお、以下のように HTTP リクエストボディを追加すると、「Access Authorized」と返されます。
呼び出し例:
$ curl https://beamtest.soracom.io:443/ \ -H "x-soracom-signature-version: 20151001" \ -H "x-soracom-signature: 83341a7b3fa0b264e029c338acf83ac07cc416789efe9ace4275a537924aecba" \ -H "x-soracom-timestamp: 1640962800000" \ -H "x-soracom-imei: 867612345678901" \ -H "x-soracom-imsi: 295012345678901" \ -H "Content-Type:application/json" \ -d '{ "key": "value" }'レスポンス例:
Access Authorized: {"key"=>"value"}
TCP/TCPS 用アルゴリズム
で TCP/TCPS 用アルゴリズムを利用するエントリポイントを追加し、エントリポイントの設定で をオンにすると、転送先サーバーに送信されるデータに signature=${signature} が追加されます。この ${signature} が署名です。
TCP/TCPS 用アルゴリズムの署名の計算方法
以下の文字列を作成したうえで、この文字列の SHA-256 ハッシュ値を計算します。その SHA-256 ハッシュ値が、署名です。
${事前共有鍵}imei=${IMEI} imsi=${IMSI} msisdn=${MSISDN} simId=${SIM_ID} timestamp=${TIMESTAMP}
${事前共有鍵}には、 のエントリポイントの設定で に設定した認証情報の に設定した値が含まれます。imei=${IMEI}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。接続中の通信キャリアが対応していないなどの理由で IMEI が取得できなかった場合は、
imei=undefinedが含まれます。imsi=${IMSI}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。msisdn=${MSISDN}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。simId=${SIM_ID}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。timestamp=${TIMESTAMP}は、常に含まれます。
署名の計算例
グループ設定、IoT SIM の情報、データ送信時に付与されるタイムスタンプが以下の場合に、署名の計算方法と計算結果を紹介します。
グループ設定の例:
| 項目 | 値 |
|---|---|
| オン | |
| オフ | |
| オフ | |
| オン | |
| オン | |
「認証情報ストアで に topsecret を設定した認証情報」を選択 |
IoT SIM の情報の例:
| 項目 | 値 |
|---|---|
| IMSI (*1) | 295012345678901 |
| SIM ID | 8942123456789012345 |
| MSISDN (*1) | 423612345678 |
| IMEI | 取得不可 |
- (*1) グループ設定で および をオフにしているため、署名の生成では利用されません。
データ送信時に付与されるタイムスタンプの例:
| 項目 | 値 |
|---|---|
| タイムスタンプ | 1640962800000 |
計算例:
事前共有鍵と転送先のサーバーで受信したデータから、以下の文字列を作成します。
topsecretimei=undefined simId=8942123456789012345 timestamp=1640962800000手順 1 で作成した文字列の SHA-256 ハッシュ値を計算します。
83341a7b3fa0b264e029c338acf83ac07cc416789efe9ace4275a537924aecbaこの値が、計算した署名です。
手順 2 で計算した署名と、
signature=${signature}の${signature}の値が一致していることを確認します。- 署名が一致したときは、データを利用できます。
- 署名が一致しないときは、第三者がデータを送信してきたとみなして、破棄してください。
テストサーバーの署名検証機能
で TCP → TCP/TCPS エントリポイント を選択して以下のように設定し、デバイスから Beam の TCP → TCP/TCPS エントリポイント (tcp://beam.soracom.io:8023/) にデータを送信すると、テストサーバー (tcps://beamtest.soracom.io:1234/) によって署名が検証されて「Match!」と返されます。
設定例:
| 項目 | 説明 | ||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| 任意の文字列 | |||||||||||||||
| オン | |||||||||||||||
エントリポイントで受け付けたリクエストの転送先を設定します。
| |||||||||||||||
転送先へのリクエストに追加するヘッダーを指定します。スイッチをオンにしたときに追加されるヘッダーは以下のとおりです。
|
レスポンスの例:
$ nc beam.soracom.io 8023
--- SIGNATURE VERIFICATION
imei=undefined imsi=295012345678901 timestamp=1640962800000;signature=a1c2b406c2caba9c4ca1eee490621bf8b9bd825793d6a76aeb89bb77acfbf8e0 version=20151001
string_to_sign: imei=undefined imsi=295012345678901 timestamp=1640962800000
calculated_signature: sha256(string_to_sign) = a1c2b406c2caba9c4ca1eee490621bf8b9bd825793d6a76aeb89bb77acfbf8e0
provided_signature: a1c2b406c2caba9c4ca1eee490621bf8b9bd825793d6a76aeb89bb77acfbf8e0
---
Hello Authorized Soracom Beam Client! :imei=undefined imsi=295012345678901 timestamp=1640962800000
テストサーバーの署名検証機能は、Beam から送信された署名をテストサーバーで検証して、検証結果に応じて「ERROR: The request signature we calculated does not match the signature you provided.」や「Hello Authorized Soracom Beam Client!」などを表示する機能です。
テストサーバーの署名検証機能では、 を
topsecret以外に設定した場合は、「ERROR: The request signature we calculated does not match the signature you provided.」と表示されます。任意のサーバーからテストサーバーに対して、正しいヘッダーと正しい署名を付与したデータを送信しても「Hello Authorized Soracom Beam Client!」と返されます。
呼び出し例:
$ ncat --ssl beamtest.soracom.io 1234 imei=undefined imsi=295012345678901 timestamp=1640962800000;signature=a1c2b406c2caba9c4ca1eee490621bf8b9bd825793d6a76aeb89bb77acfbf8e0 version=20151001レスポンス例:
--- SIGNATURE VERIFICATION : --- Hello Authorized Soracom Beam Client! :imei=undefined imsi=295012345678901 timestamp=1640962800000
LoRaWAN 用アルゴリズム
LoRaWAN で通信している場合も、署名は同様に計算されます。なお、署名は x-soracom-signature としてリクエストに付与されます。
LoRaWAN 用アルゴリズムの署名の計算方法
以下の文字列を作成したうえで、この文字列の SHA-256 ハッシュ値を計算します。その SHA-256 ハッシュ値が、署名です。
${事前共有鍵}x-soracom-lora-device-id=${LoRa device id}x-soracom-timestamp=${timestamp})
${事前共有鍵}には、 のエントリポイントの設定で に設定した認証情報の に設定した値が含まれます。x-soracom-lora-device-id=${LoRa device id}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。x-soracom-timestamp=${timestamp}は、常に含まれます。
署名の計算例
グループ設定、IoT SIM の情報、データ送信時に付与されるタイムスタンプが以下の場合に、署名の計算方法と計算結果を紹介します。
グループ設定の例:
| 項目 | 値 |
|---|---|
| オン | |
| オン | |
「認証情報ストアで に topsecret を設定した認証情報」を選択 |
LoRaWAN デバイスの情報の例:
| 項目 | 値 |
|---|---|
| LoRa device id | 000b78fffe000001 |
データ送信時に付与されるタイムスタンプの例:
| 項目 | 値 |
|---|---|
| タイムスタンプ | 1492414740191 |
計算例:
事前共有鍵と転送先のサーバーで受信したデータから、以下の文字列を作成します。
topsecretx-soracom-lora-device-id=000b78fffe000001x-soracom-timestamp=1492414740191手順 1 で作成した文字列の SHA-256 ハッシュ値を計算します。
cbf1a4c8c835eb7c8b12ce3e884da2be1845365f36ba633adcf444f17b41f295この値が、計算した署名です。
手順 2 で計算した署名と、転送先のサーバーで受信した署名の値が一致していることを確認します。
- 署名が一致したときは、データを利用できます。
- 署名が一致しないときは、第三者がデータを送信してきたとみなして、破棄してください。
Sigfox 用アルゴリズム
Sigfox で通信している場合も、署名は同様に計算されます。なお、署名は x-soracom-signature としてリクエストに付与されます。
Sigfox 用アルゴリズムの署名の計算方法
以下の文字列を作成したうえで、この文字列の SHA-256 ハッシュ値を計算します。その SHA-256 ハッシュ値が、署名です。
${事前共有鍵}x-soracom-sigfox-device-id=${Sigfox device id}x-soracom-timestamp=${timestamp}
${事前共有鍵}には、 のエントリポイントの設定で に設定した認証情報の に設定した値が含まれます。x-soracom-sigfox-device-id=${Sigfox device id}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。x-soracom-timestamp=${timestamp}は、常に含まれます。
署名の計算例
グループ設定、IoT SIM の情報、データ送信時に付与されるタイムスタンプが以下の場合に、署名の計算方法と計算結果を紹介します。
グループ設定の例:
| 項目 | 値 |
|---|---|
| オン | |
| オン | |
「認証情報ストアで に topsecret を設定した認証情報」を選択 |
Sigfox デバイスの情報の例:
| 項目 | 値 |
|---|---|
| Sigfox device id | 000b78fffe000001 |
データ送信時に付与されるタイムスタンプの例:
| 項目 | 値 |
|---|---|
| タイムスタンプ | 1492414740191 |
計算例:
事前共有鍵と転送先のサーバーで受信したデータから、以下の文字列を作成します。
topsecretx-soracom-sigfox-device-id=000b78fffe000001x-soracom-timestamp=1492414740191手順 1 で作成した文字列の SHA-256 ハッシュ値を計算します。
34be7efde2ba2d78ca0dff588a4b087e953a65c4fc0a90be6179eb12806273d2この値が、計算した署名です。
手順 2 で計算した署名と、転送先のサーバーで受信した署名の値が一致していることを確認します。
- 署名が一致したときは、データを利用できます。
- 署名が一致しないときは、第三者がデータを送信してきたとみなして、破棄してください。
Inventory 用アルゴリズム
Inventory で通信している場合も、署名は同様に計算されます。なお、署名は x-soracom-signature としてリクエストに付与されます。
Inventory 用アルゴリズムの署名の計算方法
以下の文字列を作成したうえで、この文字列の SHA-256 ハッシュ値を計算します。その SHA-256 ハッシュ値が、署名です。
${事前共有鍵}x-soracom-device-id=${Inventory device id}x-soracom-timestamp=${timestamp}
${事前共有鍵}には、 のエントリポイントの設定で に設定した認証情報の に設定した値が含まれます。x-soracom-device-id=${Inventory device id}は、 のエントリポイントの設定で をオンにしたときのみ含まれます。x-soracom-timestamp=${timestamp}は、常に含まれます。
署名の計算例
グループ設定、IoT SIM の情報、データ送信時に付与されるタイムスタンプが以下の場合に、署名の計算方法と計算結果を紹介します。
グループ設定の例:
| 項目 | 値 |
|---|---|
| オン | |
| オン | |
「認証情報ストアで に topsecret を設定した認証情報」を選択 |
Inventory デバイスの情報の例:
| 項目 | 値 |
|---|---|
| Inventory device id | 000b78fffe000001 |
データ送信時に付与されるタイムスタンプの例:
| 項目 | 値 |
|---|---|
| タイムスタンプ | 1492414740191 |
計算例:
事前共有鍵と転送先のサーバーで受信したデータから、以下の文字列を作成します。
topsecretx-soracom-device-id=d-1234567890abcdefghijx-soracom-timestamp=1492414740191手順 1 で作成した文字列の SHA-256 ハッシュ値を計算します。
414c01c97fc8a7fa880e81f75447c2fade81d49d3bce3a3f7bb10ba94ed1e6fdこの値が、計算した署名です。
手順 2 で計算した署名と、転送先のサーバーで受信した署名の値が一致していることを確認します。
- 署名が一致したときは、データを利用できます。
- 署名が一致しないときは、第三者がデータを送信してきたとみなして、破棄してください。