linux founda on collabora on summit oic security
play

Linux Founda+on Collabora+on Summit: OIC Security Ned - PowerPoint PPT Presentation

Oct 18, 2023 •19 likes •209 views

Linux Founda+on Collabora+on Summit: OIC Security Ned Smith Intel 1 1 IoT A Metaphor for Pelagic Compu+ng What do I mean by pelagic

  1. Linux ¡Founda+on ¡ Collabora+on ¡Summit: ¡ OIC ¡Security ¡ Ned ¡Smith ¡ Intel ¡ 1 1

  2. IoT ¡– ¡A ¡Metaphor ¡for ¡“Pelagic” ¡Compu+ng ¡ ¡ • What ¡do ¡I ¡mean ¡by ¡pelagic ¡compu;ng? ¡ Other Controller Actuator Larval ¡slipper ¡lobster ¡riding ¡on ¡salp ¡chain* ¡ Sensor Ctenophore* ¡ Venus ¡Girdle* ¡ Real ¡simple ¡structures ¡that ¡can ¡connect ¡to ¡other ¡structures ¡to ¡form ¡ more ¡complex ¡structures ¡that ¡are ¡autonomous ¡or ¡semi-­‑autonomous ¡ *SRC: ¡www.jacksdivinglocker.com ¡ Open ¡Source ¡Technology ¡Center ¡ 2 2

  3. IoT ¡is ¡also ¡about ¡Clouds ¡ ¡ • Cloud ¡compu;ng ¡essen;ally ¡ means ¡ – Unlimited ¡storage, ¡compute ¡power ¡ and ¡availability ¡ Cloud ¡Compu;ng ¡ • Pelagic ¡+ ¡Cloud ¡compu;ng ¡ Analy;cs ¡ implies ¡ – Pelagic ¡behaviors ¡may ¡be ¡monitored ¡ and ¡analyzed ¡over ¡long ¡periods ¡and ¡ Monitoring ¡ Informing ¡ – Cloud ¡analy;cs ¡may ¡inform ¡pelagic ¡ controllers ¡making ¡them ¡smarter ¡ Security objective : Enable intended pelagic interactions while preventing unintended interactions Pelagic ¡Compu;ng ¡ Open ¡Source ¡Technology ¡Center ¡ 3 3

  4. OIC ¡Terminology ¡ • A ¡Device ¡is ¡an ¡OIC ¡stack ¡instance ¡ OIC Device OIC Device Resource ¡ • Devices ¡implement ¡Client ¡& ¡ Access ¡ Server ¡roles ¡ OIC Client OIC Server Request ¡ • Devices ¡have ¡Resources ¡and ¡ Access Control Actions perform ¡Ac;ons ¡ Resources • Resources ¡have ¡AVributes, ¡ Proper;es ¡and ¡Interfaces ¡ Sensor ¡ Controller Actuator OIC Server OIC Client OIC Server Access Control Actions Access Control Resources Resources • Intermediary ¡is ¡a ¡role ¡that ¡combines ¡client ¡& ¡server ¡ Open ¡Source ¡Technology ¡Center ¡ 4 4

  5. Security ¡Significance ¡of ¡OIC ¡Layering ¡ OIC OIC Clients OIC Servers Intermediaries • Security ¡seman;cs ¡are ¡ managed ¡at ¡OIC ¡Resource ¡layer ¡ OIC Resource Layer • Resource ¡level ¡access ¡is ¡ OIC Resources enforced ¡at ¡the ¡Resource ¡layer ¡ Containerization (e.g. JSON) Message Protection • Device ¡level ¡access ¡is ¡enforced ¡ OIC Exchange Layer at ¡the ¡OIC ¡Exchange ¡layer ¡ Other Message Exchange ... COAP – Keys ¡reside ¡at ¡the ¡Resource ¡layer ¡ • Device ¡ownership ¡may ¡be ¡ E2E Protection (e.g. DTLS) Other E2E Protection ... derived ¡using ¡network ¡layer ¡or ¡ OIC Network Abstraction Layer other ¡hardware ¡ – May ¡be ¡vendor ¡specific! ¡ UDP/IP BLE 802.15 ... Network Layer Open ¡Source ¡Technology ¡Center ¡ 5 5

  6. How ¡To ¡Dis+nguish ¡Intended ¡vs. ¡Unintended? ¡ • Access ¡control ¡granularity ¡has ¡four ¡scoping ¡levels ¡ – Group, ¡Device, ¡Resource ¡and ¡AVribute ¡ • OIC ¡scripts ¡specify ¡interac;on ¡paVerns ¡ – Peer-­‑peer, ¡Observer, ¡Subscribe-­‑no;fy, ¡etc... ¡ • Authoring ¡tools ¡are ¡privileged ¡ ¡ – They ¡specify ¡intended ¡mul;-­‑device ¡interac;ons ¡ Device1 ¡ Example ¡ACL ¡ Example ¡Resources ¡ #%RAML ¡0.8 ¡ +tle: ¡OIC ¡Light ¡set ¡ OIC Server /Collec+on01: ¡ type: ¡oic.collec+on ¡ acl0 get: ¡ Device2 ¡ ¡ ¡ ¡ ¡responses: ¡ Device1 ¡ ¡ ¡ ¡ ¡ ¡ ¡applica+on/json: ¡ #%RAML ¡0.8 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡schema: ¡| ¡ ¡{ ¡"$schema": ¡"hYp://json-­‑schema.org/schema", ¡ Informs /oic/Light01 +tle: ¡OIC ¡Light ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"rt": ¡{ ¡"type": ¡"string", ¡"required":true ¡}, ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Read ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"if": ¡{ ¡"type": ¡"string", ¡"required":true ¡}, ¡ /Light01: ¡ type: ¡oic.light ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"resourceref": ¡{ ¡ get: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"link": ¡{ ¡"type": ¡ ¡ ¡”URI" ¡} ¡ ¡} ¡ ¡ ¡ ¡ ¡responses: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡applica+on/json: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡example: ¡| ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡schema: ¡Light ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡example: ¡| ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"rt": ¡"oic.collec+on", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"if": ¡"oic.if.b", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡”on": ¡”True", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"resourcelinks": ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡”href": ¡”Device2/oic/Light01", ¡ } ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡”href": ¡”Device3/oic/Light02” ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ Open ¡Source ¡Technology ¡Center ¡ 6 6

  7. Access ¡Control ¡Model ¡ Responding Device Local cred(s) acl(s) service(s) Resource(s) CredID DeviceID Subject(s) SubjectID SvcType Resource(s) /oic/d RoleID LocalCred Permission /oic/light/3 CredType RemoteCred Period ... PublicData Recurrence PrivateData Access Control Layer Allow Access End Point DTLS Layer Network Abstraction Layer DTLS Session Request Access Requesting Device 1 3 2 Open ¡Source ¡Technology ¡Center ¡ 7 7

  8. Device ¡and ¡Group ¡Level ¡Access ¡ • Pair-­‑wise ¡keys ¡enable ¡device ¡level ¡access ¡ – DTLS ¡ IP/UDP/CoAP Device Device Insecure ¡port=def ¡5683 Client Server Device_ID_1 ¡ Device_ID_2 ¡ Secure ¡port=def ¡5684 • Shared ¡group ¡key ¡enables ¡group ¡level ¡access ¡ • /oic/sec/cred ¡structure ¡may ¡contain ¡pairwise ¡and ¡group ¡keys ¡ – Pairwise ¡keys ¡may ¡be ¡used ¡to ¡provision ¡group ¡key ¡ ¡ – e.g. ¡dra\-­‑keoh-­‑tls-­‑mul;cast-­‑security-­‑00 ¡ Open ¡Source ¡Technology ¡Center ¡ 8 8

  9. Mediated ¡Creden+al ¡Provisioning ¡ Credential Device 1 Device 2 Provisioning Service (oic.sec.cps) ¡ 1. Discover Provisioning service (optional) 2. Open DTLS w/ oic.sec.cps PSK 3. Discover Provisioning service (optional) 6. Generate 4. Open DTLS w/ oic.sec.cps PSK keys for Devices 1 5. GET/oic/sec/cred [{“device2”:”cred2”...}] and 2 7. GET/oic/sec/cred [{“device1”:”cred1”...}] 8. POST /oic/sec/cred [{“device1”:”cred1”...}] 9. POST /oic/sec/cred [{“device2”:”cred2”...}] 10. RSP 2.01 11. RSP 2.01 Open ¡Source ¡Technology ¡Center ¡ 9 9

  10. Ad-­‑hoc ¡Pair-­‑wise ¡Creden+al ¡Nego+a+on ¡ Device 1 Device 2 Device 3 Registration Service 1. Ad-hoc Discovery (optional) 2. Mediated Discovery (optional) 3. Open DTLS w/ Diffie-Hellman 4. DH session keys used as pair-wise PSK for 5. Instantiate d1.cred2; cred.type = 1 (PSK) Devices 1 and 2. 6. Instantiate d2.cred1; cred.type = 1 (PSK) 7. POST /oic/sec/cred [{“device2”:”cred2”...}] 8.Verify d1.cred2 = cred2 9. RSP 2.01 10. POST /oic/sec/cred [{“device1”:”cred1”...}] 11.Verify d2.cred1 = cred1 12. RSP 2.01 Open ¡Source ¡Technology ¡Center ¡ 10 10

  11. ACL ¡Resource ¡ • An ¡ACL ¡is ¡a ¡resource ¡with ¡the ¡following ¡defini;on ¡ Subject Resource Permission Period Recurrence UUID ¡ URI ¡Path ¡ C,R,W,E,D ¡ Start-­‑Stop ¡ Recurrence ¡ (Device ¡or ¡ Time ¡ PaVern ¡ Group), ¡Role ¡ (RFC5545) ¡ (RFC5545) ¡ • Example ¡ACL ¡policies ¡ Subject Resource Permission Period Recurrence UUID1, UUID2 /oic/sh/light/3 0h001F 19970101T180000Z/ RRULE:FREQ=WEEKL (C,R,W,E,D) 19970102T070000Z Y;UNTIL=19970131 T070000Z UUID3 /oic/d 0h0001 (R) - - oic.sec.role.admin /oic/sec/acl/0 0h001F - - Open ¡Source ¡Technology ¡Center ¡ 11 11

Recommend

Linux Kernel Self Protection Project Linux Security Summit, Los Angeles September 14, 2017 Kees

Linux Kernel Self Protection Project Linux Security Summit, Los Angeles September 14, 2017 Kees

Linux Kernel Self Protection Project Linux Security Summit, Los Angeles September 14, 2017 Kees (Case) Cook keescook@chromium.org https://outflux.net/slides/2017/lss/kspp.pdf Agenda Background Security in the context of

652 views • 52 slides
Status of the Kernel Self Protection Project Linux Security Summit 2016 Aug 25-26, Toronto Kees

Status of the Kernel Self Protection Project Linux Security Summit 2016 Aug 25-26, Toronto Kees

Status of the Kernel Self Protection Project Linux Security Summit 2016 Aug 25-26, Toronto Kees (Case) Cook keescook@chromium.org https://outflux.net/slides/2016/lss/kspp.pdf Agenda Background Security in the context of this

464 views • 42 slides
OPPORTUNISTIC ENCRYPTION USING IPSEC Linux Security Summit, Toronto August 2016 Presented by

OPPORTUNISTIC ENCRYPTION USING IPSEC Linux Security Summit, Toronto August 2016 Presented by

OPPORTUNISTIC ENCRYPTION USING IPSEC Linux Security Summit, Toronto August 2016 Presented by Paul Wouters, RHEL Security THE LIBRESWAN PROJECT An Internet Key Exchange (IKE) daemon for IPsec Enterprise IPsec based VPN solution

736 views • 32 slides
Security Subsystem Report: Yama Linux Security Summit 2012 Kees Cook (pronounced

Security Subsystem Report: Yama Linux Security Summit 2012 Kees Cook (pronounced

Security Subsystem Report: Yama Linux Security Summit 2012 Kees Cook (pronounced "Case") keescook@chromium.org http://outflux.net/slides/2012/lss/lsm/ Overview Past Present Future Past ("ruler of the

194 views • 6 slides
Linux System Security Tunables Linux System Security Tunables Linux System Security Tunables

Linux System Security Tunables Linux System Security Tunables Linux System Security Tunables

Linux System Security Tunables Linux System Security Tunables Linux System Security Tunables http://outflux.net/slides/2013/drupal/tunables.pdf R0Ng DrupalCon Portland 2013 Kees Cook <keescook@google.com> (pronounced Case) Who is

474 views • 33 slides
Making C Less Dangerous Linux Security Summit August 27, 2018 Vancouver, Canada Kees

Making C Less Dangerous Linux Security Summit August 27, 2018 Vancouver, Canada Kees

Making C Less Dangerous Linux Security Summit August 27, 2018 Vancouver, Canada Kees (Case) Cook keescook@chromium.org @kees_cook https://outflux.net/slides/2018/lss/danger.pdf Agenda Background Kernel Self Protection Project

493 views • 25 slides
Overview and Recent Developments: seccomp and small LSMs Linux Security Summit EU October 26,

Overview and Recent Developments: seccomp and small LSMs Linux Security Summit EU October 26,

Overview and Recent Developments: seccomp and small LSMs Linux Security Summit EU October 26, 2018 Edinburgh, Scotland Kees (Case) Cook keescook@chromium.org @kees_cook https://outflux.net/slides/2018/lss-eu/seccomp.pdf Agenda

220 views • 21 slides
Kernel lock-down series http://outflux.net/slides/2014/lss/lockdown.pdf Linux Security Summit,

Kernel lock-down series http://outflux.net/slides/2014/lss/lockdown.pdf Linux Security Summit,

Kernel lock-down series http://outflux.net/slides/2014/lss/lockdown.pdf Linux Security Summit, Chicago 2014 Kees Cook <keescook@chromium.org> (pronounced Case) Overview What and why Objections/Rebuttals Name

522 views • 6 slides
The State of Kernel Self Protection Linux Security Summit NA August 27, 2018 Vancouver, Canada

The State of Kernel Self Protection Linux Security Summit NA August 27, 2018 Vancouver, Canada

The State of Kernel Self Protection Linux Security Summit NA August 27, 2018 Vancouver, Canada Kees (Case) Cook keescook@chromium.org @kees_cook https://outflux.net/slides/2018/lss/kspp.pdf Kernel Self Protection Project

431 views • 15 slides
Component Firmware http://outflux.net/slides/2014/lss/firmware.pdf Linux Security Summit, Chicago

Component Firmware http://outflux.net/slides/2014/lss/firmware.pdf Linux Security Summit, Chicago

Component Firmware http://outflux.net/slides/2014/lss/firmware.pdf Linux Security Summit, Chicago 2014 Kees Cook <keescook@chromium.org> (pronounced Case) Overview Wait, which firmware? Threats Update methods

311 views • 20 slides
Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for Research and Technology Hellas (FORTH) Outline Background and mo-va-on GPU-based,

961 views • 62 slides
Collabora Offjce as an app on iOS Tor Lillqvist Sofuware Engineer at Collabora Productjvity

Collabora Offjce as an app on iOS Tor Lillqvist Sofuware Engineer at Collabora Productjvity

Collabora Productivity Collabora Offjce as an app on iOS Tor Lillqvist Sofuware Engineer at Collabora Productjvity www.collaboraoffice.com Collabora Productivity About us Collabora Ltd. Leading Open Source Consultancy 13 years of

436 views • 16 slides
Tizen, Security and The Internet of Things Casey Schaufler 1 Casey Schaufler Security

Tizen, Security and The Internet of Things Casey Schaufler 1 Casey Schaufler Security

Tizen, Security and The Internet of Things Casey Schaufler 1 Casey Schaufler Security Dinosaur Smack Linux Security Module Manager Tizen and Linux Kernel Security 2 Tizen Linux based operating system Project of the Linux

486 views • 23 slides
Integrate Collabora Online with Web Applicatjons Collabora Productjvity By Andras Timar

Integrate Collabora Online with Web Applicatjons Collabora Productjvity By Andras Timar

FOSDEM 2020 Integrate Collabora Online with Web Applicatjons Collabora Productjvity By Andras Timar Collabora Productjvity andras.tjmar@collabora.com @tjmar +tjmar74 C Collabora Online Uses LibreOffjce/Collabora Offjce under the hood for

468 views • 27 slides
TOMOYO Linux A Lightweight and Manageable Security System for PC and Embedded Linux

TOMOYO Linux A Lightweight and Manageable Security System for PC and Embedded Linux

CE Linux Forum Worldwide Embedded Linux Conference 2007 April 17-19, 2007 TOMOYO Linux A Lightweight and Manageable Security System for PC and Embedded Linux http://tomoyo.sourceforge.jp/ Toshiharu Harada Tetsuo Handa NTT DATA

654 views • 47 slides
Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University of Michigan 2013 Network Security Fundamentals Module 9 Linux Security & Logging Linux Security Real-World Linux Security RHEL

739 views • 41 slides
IMA/EVM: Real Applications for Embedded Networking Systems Petko Manolov, Konsulko Group

IMA/EVM: Real Applications for Embedded Networking Systems Petko Manolov, Konsulko Group

IMA/EVM: Real Applications for Embedded Networking Systems Petko Manolov, Konsulko Group petko.manolov@konsulko.com Mark D. Baushke, Juniper Networks, Inc. mdb@juniper.net 2015 Linux Security Summit, Seattle, WA 2015 Linux Security Summit,

346 views • 11 slides
Power Your Car with Automo0ve Grade Linux Automo&ve Linux

Power Your Car with Automo0ve Grade Linux Automo&ve Linux

Power Your Car with Automo0ve Grade Linux Automo&ve Linux Summit 2017 Walt Miner ( @VStarWalt ) Community Manager, AGL , The Linux

594 views • 37 slides
Basic Linux Original slides from GTFO Security outline Linux What it is? Commands

Basic Linux Original slides from GTFO Security outline Linux What it is? Commands

Basic Linux Original slides from GTFO Security outline Linux What it is? Commands Filesystem / Shell Package Management Services run on Linux mail dns web central authentication router

1.55k views • 23 slides
LinuxCon Europe UEFI Mini-Summit 7 October 2015 Session 3 LUV Shack: An Automated Linux

LinuxCon Europe UEFI Mini-Summit 7 October 2015 Session 3 LUV Shack: An Automated Linux

LinuxCon Europe UEFI Mini-Summit 7 October 2015 Session 3 LUV Shack: An Automated Linux Kernel and UEFI Firmware Testing Infrastructure Matt Fleming, Intel Linux* UEFI Validation Project Started in January 2014 Custom Linux

493 views • 21 slides
TOMOYO Linux News! A Lightweight and Manageable Security System for PC and Embedded Linux

TOMOYO Linux News! A Lightweight and Manageable Security System for PC and Embedded Linux

TOMOYO Linux News! A Lightweight and Manageable Security System for PC and Embedded Linux PDF version of ELC2007 slide is available: CE Linux Forum Wiki TomoyoLinux http://tree.celinuxforum.org/CelfPubWiki/TomoyoLinux (bookmark and

890 views • 48 slides
Bringing Collabora Online to your web-app its easy ... Collabora Productjvity Michael Meeks

Bringing Collabora Online to your web-app its easy ... Collabora Productjvity Michael Meeks

CS3 2020 Bringing Collabora Online to your web-app its easy ... Collabora Productjvity Michael Meeks <michael.meeks@collabora.com> General Manager at Collabora Productjvity @michael_meeks, mmeeks #libreoffjce-dev irc.freenode.net

821 views • 60 slides
Linux Security State of Linux Security in 2016 Michael Boelen michael.boelen@cisofy.com DBLUG,

Linux Security State of Linux Security in 2016 Michael Boelen michael.boelen@cisofy.com DBLUG,

Linux Security State of Linux Security in 2016 Michael Boelen michael.boelen@cisofy.com DBLUG, 7 December 2016 Michael Boelen Open Source Lynis, Rootkit Hunter Business and Community Founder of CISOfy Board member and

454 views • 18 slides
LXCBENCH Understanding the capabilities of Linux Containers in IVI applications through

LXCBENCH Understanding the capabilities of Linux Containers in IVI applications through

LXCBENCH Understanding the capabilities of Linux Containers in IVI applications through benchmarking Gianpaolo Macario Mentor Embedded Linux Services GENIVI EG-SI Architect Automotive Linux Summit Fall Edinburgh, UK October 2013

467 views • 31 slides

More recommend