"1. 概要: PSHは、WebアプリケーションやAPIにおけるクライアントとサーバー間のセッション確立プロセスを、クライアントの能力(Capabilities)、コンテキスト(環境、場所)、およびセキュリティ・リスクに基づいて動的に調整するプロトコルである。単一の固定されたハンドシェイク手順ではなく、複数のプロトコルバリエーションの中から最適なものを選択する。
2. 背景・登場の経緯: IoTデバイス、エッジ端末、ブラウザなど、クライアント環境が多様化するにつれて、すべてのデバイスに統一的なTLS/OAuthセッションを適用することが非効率的、あるいは不可能になった(例:低電力デバイスでの複雑な暗号計算の困難さ)。PSHは、この多様性に対応し、セキュリティとパフォーマンスのトレードオフを最適化するために、MDNとIETFの協力で策定された。
3. アーキテクチャ/原理: クライアントは、最初に自身の能力(例: サポートする暗号スイート、CPUパワー、現在のネットワーク遅延)を含むケイパビリティ・ベクターをサーバーに送信する。サーバーは、受信したベクターと、接続元のIPリスク評価、アクセスしようとしているリソースの機密性レベルを総合的に判断し、最適なセッション・プロファイル(例: TLS 1.3 + OAUTH2.1、または軽量なカスタム暗号化 + 短寿命トークン)を選択し、そのプロファイルに基づくハンドシェイク手順を開始する。
4. 主な特徴・メリット: セキュリティと性能の動的な最適化。高性能なクライアントには最高レベルのセキュリティを、リソースが制約されたデバイスには最小限のオーバーヘッドでアクセスを許可できる。耐量子暗号への移行を段階的かつ柔軟に行える。
5. 欠点・トレードオフ・既知の問題: ハンドシェイクの初期遅延が、従来の固定プロトコルよりも若干増加する。サーバー側が多数のセッションプロファイルを管理する必要があり、実装の複雑性が増大する。また、クライアントのケイパビリティを偽装された場合のセキュリティリスクが存在する。
6. 主な実装例・採用プロジェクト: ユニファイド・アクセス・ゲートウェイ (Unified Access Gateway)(APIゲートウェイ製品)、フォトン・ブラウザ (Photon Browser)(モバイル向けブラウザ)。
7. 関連技術との比較: TLS 1.3やQUICが固定されたセッション確立手順を持つが、PSHは手順自体を動的に決定する。OAuth/OIDCは認証・認可フローを規定するが、PSHはトランスポート層からのセッション特性の動的変更を可能にする。
8. 将来の見通し: 5G/6G環境下のIoTデバイスや、エッジ・クラウド間のセキュアな通信における標準的なハンドシェイク機構となることが予想される。"