linux founda on collabora on summit oic security
play

Linux Founda+on Collabora+on Summit: OIC Security Ned - PowerPoint PPT Presentation

Oct 18, 2023 •19 likes •209 views

Linux Founda+on Collabora+on Summit: OIC Security Ned Smith Intel 1 1 IoT A Metaphor for Pelagic Compu+ng What do I mean by pelagic

  1. Linux ¡Founda+on ¡ Collabora+on ¡Summit: ¡ OIC ¡Security ¡ Ned ¡Smith ¡ Intel ¡ 1 1

  2. IoT ¡– ¡A ¡Metaphor ¡for ¡“Pelagic” ¡Compu+ng ¡ ¡ • What ¡do ¡I ¡mean ¡by ¡pelagic ¡compu;ng? ¡ Other Controller Actuator Larval ¡slipper ¡lobster ¡riding ¡on ¡salp ¡chain* ¡ Sensor Ctenophore* ¡ Venus ¡Girdle* ¡ Real ¡simple ¡structures ¡that ¡can ¡connect ¡to ¡other ¡structures ¡to ¡form ¡ more ¡complex ¡structures ¡that ¡are ¡autonomous ¡or ¡semi-­‑autonomous ¡ *SRC: ¡www.jacksdivinglocker.com ¡ Open ¡Source ¡Technology ¡Center ¡ 2 2

  3. IoT ¡is ¡also ¡about ¡Clouds ¡ ¡ • Cloud ¡compu;ng ¡essen;ally ¡ means ¡ – Unlimited ¡storage, ¡compute ¡power ¡ and ¡availability ¡ Cloud ¡Compu;ng ¡ • Pelagic ¡+ ¡Cloud ¡compu;ng ¡ Analy;cs ¡ implies ¡ – Pelagic ¡behaviors ¡may ¡be ¡monitored ¡ and ¡analyzed ¡over ¡long ¡periods ¡and ¡ Monitoring ¡ Informing ¡ – Cloud ¡analy;cs ¡may ¡inform ¡pelagic ¡ controllers ¡making ¡them ¡smarter ¡ Security objective : Enable intended pelagic interactions while preventing unintended interactions Pelagic ¡Compu;ng ¡ Open ¡Source ¡Technology ¡Center ¡ 3 3

  4. OIC ¡Terminology ¡ • A ¡Device ¡is ¡an ¡OIC ¡stack ¡instance ¡ OIC Device OIC Device Resource ¡ • Devices ¡implement ¡Client ¡& ¡ Access ¡ Server ¡roles ¡ OIC Client OIC Server Request ¡ • Devices ¡have ¡Resources ¡and ¡ Access Control Actions perform ¡Ac;ons ¡ Resources • Resources ¡have ¡AVributes, ¡ Proper;es ¡and ¡Interfaces ¡ Sensor ¡ Controller Actuator OIC Server OIC Client OIC Server Access Control Actions Access Control Resources Resources • Intermediary ¡is ¡a ¡role ¡that ¡combines ¡client ¡& ¡server ¡ Open ¡Source ¡Technology ¡Center ¡ 4 4

  5. Security ¡Significance ¡of ¡OIC ¡Layering ¡ OIC OIC Clients OIC Servers Intermediaries • Security ¡seman;cs ¡are ¡ managed ¡at ¡OIC ¡Resource ¡layer ¡ OIC Resource Layer • Resource ¡level ¡access ¡is ¡ OIC Resources enforced ¡at ¡the ¡Resource ¡layer ¡ Containerization (e.g. JSON) Message Protection • Device ¡level ¡access ¡is ¡enforced ¡ OIC Exchange Layer at ¡the ¡OIC ¡Exchange ¡layer ¡ Other Message Exchange ... COAP – Keys ¡reside ¡at ¡the ¡Resource ¡layer ¡ • Device ¡ownership ¡may ¡be ¡ E2E Protection (e.g. DTLS) Other E2E Protection ... derived ¡using ¡network ¡layer ¡or ¡ OIC Network Abstraction Layer other ¡hardware ¡ – May ¡be ¡vendor ¡specific! ¡ UDP/IP BLE 802.15 ... Network Layer Open ¡Source ¡Technology ¡Center ¡ 5 5

  6. How ¡To ¡Dis+nguish ¡Intended ¡vs. ¡Unintended? ¡ • Access ¡control ¡granularity ¡has ¡four ¡scoping ¡levels ¡ – Group, ¡Device, ¡Resource ¡and ¡AVribute ¡ • OIC ¡scripts ¡specify ¡interac;on ¡paVerns ¡ – Peer-­‑peer, ¡Observer, ¡Subscribe-­‑no;fy, ¡etc... ¡ • Authoring ¡tools ¡are ¡privileged ¡ ¡ – They ¡specify ¡intended ¡mul;-­‑device ¡interac;ons ¡ Device1 ¡ Example ¡ACL ¡ Example ¡Resources ¡ #%RAML ¡0.8 ¡ +tle: ¡OIC ¡Light ¡set ¡ OIC Server /Collec+on01: ¡ type: ¡oic.collec+on ¡ acl0 get: ¡ Device2 ¡ ¡ ¡ ¡ ¡responses: ¡ Device1 ¡ ¡ ¡ ¡ ¡ ¡ ¡applica+on/json: ¡ #%RAML ¡0.8 ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡schema: ¡| ¡ ¡{ ¡"$schema": ¡"hYp://json-­‑schema.org/schema", ¡ Informs /oic/Light01 +tle: ¡OIC ¡Light ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"rt": ¡{ ¡"type": ¡"string", ¡"required":true ¡}, ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ Read ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"if": ¡{ ¡"type": ¡"string", ¡"required":true ¡}, ¡ /Light01: ¡ type: ¡oic.light ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"resourceref": ¡{ ¡ get: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"link": ¡{ ¡"type": ¡ ¡ ¡”URI" ¡} ¡ ¡} ¡ ¡ ¡ ¡ ¡responses: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡applica+on/json: ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡example: ¡| ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡schema: ¡Light ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡example: ¡| ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"rt": ¡"oic.collec+on", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"if": ¡"oic.if.b", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡”on": ¡”True", ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡"resourcelinks": ¡{ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡”href": ¡”Device2/oic/Light01", ¡ } ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡”href": ¡”Device3/oic/Light02” ¡ ¡ ¡} ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡} ¡ Open ¡Source ¡Technology ¡Center ¡ 6 6

  7. Access ¡Control ¡Model ¡ Responding Device Local cred(s) acl(s) service(s) Resource(s) CredID DeviceID Subject(s) SubjectID SvcType Resource(s) /oic/d RoleID LocalCred Permission /oic/light/3 CredType RemoteCred Period ... PublicData Recurrence PrivateData Access Control Layer Allow Access End Point DTLS Layer Network Abstraction Layer DTLS Session Request Access Requesting Device 1 3 2 Open ¡Source ¡Technology ¡Center ¡ 7 7

  8. Device ¡and ¡Group ¡Level ¡Access ¡ • Pair-­‑wise ¡keys ¡enable ¡device ¡level ¡access ¡ – DTLS ¡ IP/UDP/CoAP Device Device Insecure ¡port=def ¡5683 Client Server Device_ID_1 ¡ Device_ID_2 ¡ Secure ¡port=def ¡5684 • Shared ¡group ¡key ¡enables ¡group ¡level ¡access ¡ • /oic/sec/cred ¡structure ¡may ¡contain ¡pairwise ¡and ¡group ¡keys ¡ – Pairwise ¡keys ¡may ¡be ¡used ¡to ¡provision ¡group ¡key ¡ ¡ – e.g. ¡dra\-­‑keoh-­‑tls-­‑mul;cast-­‑security-­‑00 ¡ Open ¡Source ¡Technology ¡Center ¡ 8 8

  9. Mediated ¡Creden+al ¡Provisioning ¡ Credential Device 1 Device 2 Provisioning Service (oic.sec.cps) ¡ 1. Discover Provisioning service (optional) 2. Open DTLS w/ oic.sec.cps PSK 3. Discover Provisioning service (optional) 6. Generate 4. Open DTLS w/ oic.sec.cps PSK keys for Devices 1 5. GET/oic/sec/cred [{“device2”:”cred2”...}] and 2 7. GET/oic/sec/cred [{“device1”:”cred1”...}] 8. POST /oic/sec/cred [{“device1”:”cred1”...}] 9. POST /oic/sec/cred [{“device2”:”cred2”...}] 10. RSP 2.01 11. RSP 2.01 Open ¡Source ¡Technology ¡Center ¡ 9 9

  10. Ad-­‑hoc ¡Pair-­‑wise ¡Creden+al ¡Nego+a+on ¡ Device 1 Device 2 Device 3 Registration Service 1. Ad-hoc Discovery (optional) 2. Mediated Discovery (optional) 3. Open DTLS w/ Diffie-Hellman 4. DH session keys used as pair-wise PSK for 5. Instantiate d1.cred2; cred.type = 1 (PSK) Devices 1 and 2. 6. Instantiate d2.cred1; cred.type = 1 (PSK) 7. POST /oic/sec/cred [{“device2”:”cred2”...}] 8.Verify d1.cred2 = cred2 9. RSP 2.01 10. POST /oic/sec/cred [{“device1”:”cred1”...}] 11.Verify d2.cred1 = cred1 12. RSP 2.01 Open ¡Source ¡Technology ¡Center ¡ 10 10

  11. ACL ¡Resource ¡ • An ¡ACL ¡is ¡a ¡resource ¡with ¡the ¡following ¡defini;on ¡ Subject Resource Permission Period Recurrence UUID ¡ URI ¡Path ¡ C,R,W,E,D ¡ Start-­‑Stop ¡ Recurrence ¡ (Device ¡or ¡ Time ¡ PaVern ¡ Group), ¡Role ¡ (RFC5545) ¡ (RFC5545) ¡ • Example ¡ACL ¡policies ¡ Subject Resource Permission Period Recurrence UUID1, UUID2 /oic/sh/light/3 0h001F 19970101T180000Z/ RRULE:FREQ=WEEKL (C,R,W,E,D) 19970102T070000Z Y;UNTIL=19970131 T070000Z UUID3 /oic/d 0h0001 (R) - - oic.sec.role.admin /oic/sec/acl/0 0h001F - - Open ¡Source ¡Technology ¡Center ¡ 11 11

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Linux Kernel Self Protection Project Linux Security Summit, Los Angeles September 14, 2017 Kees

Linux Kernel Self Protection Project Linux Security Summit, Los Angeles September 14, 2017 Kees

Linux Kernel Self Protection Project Linux Security Summit, Los Angeles September 14, 2017 Kees (Case) Cook keescook@chromium.org https://outflux.net/slides/2017/lss/kspp.pdf Agenda Background Security in the context of

652 views • 52 slides
Status of the Kernel Self Protection Project Linux Security Summit 2016 Aug 25-26, Toronto Kees

Status of the Kernel Self Protection Project Linux Security Summit 2016 Aug 25-26, Toronto Kees

Status of the Kernel Self Protection Project Linux Security Summit 2016 Aug 25-26, Toronto Kees (Case) Cook keescook@chromium.org https://outflux.net/slides/2016/lss/kspp.pdf Agenda Background Security in the context of this

464 views • 42 slides
OPPORTUNISTIC ENCRYPTION USING IPSEC Linux Security Summit, Toronto August 2016 Presented by

OPPORTUNISTIC ENCRYPTION USING IPSEC Linux Security Summit, Toronto August 2016 Presented by

OPPORTUNISTIC ENCRYPTION USING IPSEC Linux Security Summit, Toronto August 2016 Presented by Paul Wouters, RHEL Security THE LIBRESWAN PROJECT An Internet Key Exchange (IKE) daemon for IPsec Enterprise IPsec based VPN solution

736 views • 32 slides
Security Subsystem Report: Yama Linux Security Summit 2012 Kees Cook (pronounced

Security Subsystem Report: Yama Linux Security Summit 2012 Kees Cook (pronounced

Security Subsystem Report: Yama Linux Security Summit 2012 Kees Cook (pronounced "Case") keescook@chromium.org http://outflux.net/slides/2012/lss/lsm/ Overview Past Present Future Past ("ruler of the

194 views • 6 slides
Linux System Security Tunables Linux System Security Tunables Linux System Security Tunables

Linux System Security Tunables Linux System Security Tunables Linux System Security Tunables

Linux System Security Tunables Linux System Security Tunables Linux System Security Tunables http://outflux.net/slides/2013/drupal/tunables.pdf R0Ng DrupalCon Portland 2013 Kees Cook <keescook@google.com> (pronounced Case) Who is

474 views • 33 slides
Making C Less Dangerous Linux Security Summit August 27, 2018 Vancouver, Canada Kees

Making C Less Dangerous Linux Security Summit August 27, 2018 Vancouver, Canada Kees

Making C Less Dangerous Linux Security Summit August 27, 2018 Vancouver, Canada Kees (Case) Cook keescook@chromium.org @kees_cook https://outflux.net/slides/2018/lss/danger.pdf Agenda Background Kernel Self Protection Project

493 views • 25 slides
Overview and Recent Developments: seccomp and small LSMs Linux Security Summit EU October 26,

Overview and Recent Developments: seccomp and small LSMs Linux Security Summit EU October 26,

Overview and Recent Developments: seccomp and small LSMs Linux Security Summit EU October 26, 2018 Edinburgh, Scotland Kees (Case) Cook keescook@chromium.org @kees_cook https://outflux.net/slides/2018/lss-eu/seccomp.pdf Agenda

220 views • 21 slides
Kernel lock-down series http://outflux.net/slides/2014/lss/lockdown.pdf Linux Security Summit,

Kernel lock-down series http://outflux.net/slides/2014/lss/lockdown.pdf Linux Security Summit,

Kernel lock-down series http://outflux.net/slides/2014/lss/lockdown.pdf Linux Security Summit, Chicago 2014 Kees Cook <keescook@chromium.org> (pronounced Case) Overview What and why Objections/Rebuttals Name

522 views • 6 slides
The State of Kernel Self Protection Linux Security Summit NA August 27, 2018 Vancouver, Canada

The State of Kernel Self Protection Linux Security Summit NA August 27, 2018 Vancouver, Canada

The State of Kernel Self Protection Linux Security Summit NA August 27, 2018 Vancouver, Canada Kees (Case) Cook keescook@chromium.org @kees_cook https://outflux.net/slides/2018/lss/kspp.pdf Kernel Self Protection Project

431 views • 15 slides
Component Firmware http://outflux.net/slides/2014/lss/firmware.pdf Linux Security Summit, Chicago

Component Firmware http://outflux.net/slides/2014/lss/firmware.pdf Linux Security Summit, Chicago

Component Firmware http://outflux.net/slides/2014/lss/firmware.pdf Linux Security Summit, Chicago 2014 Kees Cook <keescook@chromium.org> (pronounced Case) Overview Wait, which firmware? Threats Update methods

311 views • 20 slides
Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for

Security Applica.ons of GPUs So.ris Ioannidis Founda.on for Research and Technology Hellas (FORTH) Outline Background and mo-va-on GPU-based,

961 views • 62 slides
Collabora Offjce as an app on iOS Tor Lillqvist Sofuware Engineer at Collabora Productjvity

Collabora Offjce as an app on iOS Tor Lillqvist Sofuware Engineer at Collabora Productjvity

Collabora Productivity Collabora Offjce as an app on iOS Tor Lillqvist Sofuware Engineer at Collabora Productjvity www.collaboraoffice.com Collabora Productivity About us Collabora Ltd. Leading Open Source Consultancy 13 years of

436 views • 16 slides
Tizen, Security and The Internet of Things Casey Schaufler 1 Casey Schaufler Security

Tizen, Security and The Internet of Things Casey Schaufler 1 Casey Schaufler Security

Tizen, Security and The Internet of Things Casey Schaufler 1 Casey Schaufler Security Dinosaur Smack Linux Security Module Manager Tizen and Linux Kernel Security 2 Tizen Linux based operating system Project of the Linux

486 views • 23 slides
Integrate Collabora Online with Web Applicatjons Collabora Productjvity By Andras Timar

Integrate Collabora Online with Web Applicatjons Collabora Productjvity By Andras Timar

FOSDEM 2020 Integrate Collabora Online with Web Applicatjons Collabora Productjvity By Andras Timar Collabora Productjvity andras.tjmar@collabora.com @tjmar +tjmar74 C Collabora Online Uses LibreOffjce/Collabora Offjce under the hood for

468 views • 27 slides
TOMOYO Linux A Lightweight and Manageable Security System for PC and Embedded Linux

TOMOYO Linux A Lightweight and Manageable Security System for PC and Embedded Linux

CE Linux Forum Worldwide Embedded Linux Conference 2007 April 17-19, 2007 TOMOYO Linux A Lightweight and Manageable Security System for PC and Embedded Linux http://tomoyo.sourceforge.jp/ Toshiharu Harada Tetsuo Handa NTT DATA

654 views • 47 slides
Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University

Network Security Fundamentals Security Training Course Dr. Charles J. Antonelli The University of Michigan 2013 Network Security Fundamentals Module 9 Linux Security & Logging Linux Security Real-World Linux Security RHEL

739 views • 41 slides
Welcome to New England ! Gordon Conference, Aug 5 - 10 Frontiers & Careers, Aug 2 - 4

Welcome to New England ! Gordon Conference, Aug 5 - 10 Frontiers & Careers, Aug 2 - 4

Welcome to New England ! Gordon Conference, Aug 5 - 10 Frontiers & Careers, Aug 2 - 4 https://frontiers.mit.edu/ - Free registration - Career panel discussion / CV review - Funding support available Application deadtime: July 8, 2018

300 views • 5 slides
Monitoring and Measurem ent Cluster FP6, IST, Co-ordination Action Strategic Objective IST-2002-

Monitoring and Measurem ent Cluster FP6, IST, Co-ordination Action Strategic Objective IST-2002-

Monitoring and Measurem ent Cluster FP6, IST, Co-ordination Action Strategic Objective IST-2002- 2.3.1.3 Broadband for all Jan 2004 - Dec 2005 6QM Workshop, Berlin 14.12.2004 Carsten Schmoll, Fraunhofer Institute FOKUS, Berlin MOME

525 views • 13 slides
Modeling, simulation and inference for multivariate time series of counts using trawl processes

Modeling, simulation and inference for multivariate time series of counts using trawl processes

Modeling, simulation and inference for multivariate time series of counts using trawl processes Almut E. D. Veraart Imperial College London 2018 Workshop on Finance, Insurance, Probability and Statistics (FIPS 2018) Kings College London,

582 views • 34 slides
No stakes quiz: (4 minutes; no points, ungraded) According to Mancur Olson: 1. Why do (large)

No stakes quiz: (4 minutes; no points, ungraded) According to Mancur Olson: 1. Why do (large)

Welcome back to [occ]! Online Communities & Crowds Welcome back to [occ]! No stakes quiz: 2014-10-01 (4 minutes; no points, ungraded) According to Mancur Olson: Welcome back to [occ]! 1. Why do (large) groups fail to provide collective

537 views • 20 slides
Luoghi di Prevenzione: the holistic approach in training on strategies for bringing about change

Luoghi di Prevenzione: the holistic approach in training on strategies for bringing about change

Luoghi di Prevenzione: the holistic approach in training on strategies for bringing about change in high- risk lifestyles Paola Angelini Public Health Service of the Emilia-Romagna Region Sandra Bosi Luoghi di prevenzione Reggio Emilia

497 views • 14 slides
Scientific Programming in mpags-python.github.io Steven Bamford An introduction to scientific

Scientific Programming in mpags-python.github.io Steven Bamford An introduction to scientific

PHYS4038/MLiS and AS1/MPAGS Scientific Programming in mpags-python.github.io Steven Bamford An introduction to scientific programming with Session 2 : Introduction to Python, continued Python 2.x versus 3.x The 3.x branch was released in

540 views • 31 slides
MPAGS AS1 An introduction to scientific computing with

MPAGS AS1 An introduction to scientific computing with

MPAGS AS1 An introduction to scientific computing with http://stevenbamford.com/python_mpags_2018/ Steven Bamford Course prerequisites To make the most of this course, you should have: Some programming experience (in any language)

1.05k views • 48 slides
Industrial Management & Data Systems Customer relationship management: key components for IT

Industrial Management & Data Systems Customer relationship management: key components for IT

Industrial Management & Data Systems Customer relationship management: key components for IT success Ranjit Bose, Article information: To cite this document: Ranjit Bose, (2002) "Customer relationship management: key components for IT

302 views • 15 slides

More recommend