[AGL] Application FrameWork

공식 홈페이지 : http://docs.automotivelinux.org/docs/apis_services/en/dev/reference/af-main/0-introduction.html


소개

 - Tizen 의 보안모델을 AGL (Automotive Grade Linux) 배포판에 통합을 수행하였다.  필요사항은 아래와 같다.

  • platform/appfw/app-installers
  • platform/core/security/cert-svc
  • platform/core/appfw/ail
  • platform/core/appfw/aul-1
  • platform/core/appfw/libslp-db-util
  • platform/core/appfw/pkgmgr-info
  • platform/core/appfw/slp-pkgmgr

 많은 의존성들이 감춰줘 있기 때문에 목록이 정확하지 않다. 

  • iniparser
  • bundle
  • dlog,
  • libtzplatform-config
  • db-util
  • vconf-buxton
  • ...

!
Tizen 의 보안프레임 워크의 핵심구성요소는 의존성이 가볍다는것을 보여주었다.
해당 구성요소는 다음과 같다.
  • cynara
  • security-manager
  • D-Bus aware of cynara
다행이도 Tizen 의 보안 컴포넌트는 meta-intel-iot-security 를 통해 제공된다. 아래와 같은 3 레이어를 제공한다.

  • Implementing Smack LSM
  • Implementing Integrity Measurement Architecture
  • Implementing Tizen Security Framework

위 구성은 AGL에서  두개의 컴포넌트로 분리하였다.

  • afm-system-daemon
  • afm-user-daemon
!
 두개의 컴포넌트는 다중사용자 보�! �� 환경에서 응용프로그램을 설치, 제거, 실행, 종료, 정지,재시작 하기위한 기능을 제공한다.
 세번쨰 구성요소는 프레임워크, 바인더 afb-daemon 에 있다. 바인더는 모든계층의 보안 API 를 쉽운방법으로 제공한다. 

이문서는 Tizen Application Framework 를 변경하여 IoT.bzh 에서 만든 프레임워크에 대해 설명한다.


아래 그림은 프레임워크의 주요 구성요소와 시나리오의 상호 작용을 보여준다.


1. Application 은 바인더를 호출하여 다른 응용프로그램을 설치한다.

2. 바인더의 바인딩 afm-main-binding 은 D-Bus 시스템을 통해 , 다른 응용프로그램을 설치하는 시스템 데몬을 호출한다.

3. 시스템 D-Bus 는 CYNARA 에게 응�! �프로그램을 설치할 권한이 있는지 여부를 확인한다.

4. 시스템 D-Bus 는 요청을 afm-system-daemon 으로 전송한다.

5. afm-system-daemon 은 서명과 권한을 확인하고 응용프로그램을 설치한다.

6. afm-system-daemon 은 설치된 응용프로그램의 보안컨텍스트를 충족시키기 위해 Security-Manager 를 호출한다.

7. Security-Manager 는 CYNARA 에게 응용프로그램의 초기 사용권한을 설치하도록 요청한다.

8. 바인더의 바인딩 afm-main-binding 은 D-Bus 세션을 통해 다른응용프로그램 을 시작하는 사용자 데몬을 호출한다.

9. 세션 D-Bus 는 CYNARA 에게 어플리케이션을 시작할 수 있는 권한지 있는지 확인한다.

10. 세션 D-Bus 는 afm-user-daemon 에게 전송하도록 요청한다. 

11. afm-user-daemon 은 CYNARA 에게를  다른어플리케이션을 시작하도록 허가했는지 여부를! 확인한다.

12. afm-user-daemon 은 Security-manager 기능�! � 사용하여 다른 응용프로그램의 보안 컨텍스트를 설정한다.

13. afm-user-daemon 은 다른 응용프로그램을 시작한다.


구성요소들은 다음과 같다.


  • Security-Manager : Smack 컨텍스트 및 규칙 설정, 그룹 설정, 응용프로그램에 대한 CYNARA 규칙 초기내용 작성
  • CYNARA : 사용자 및 어플리케이션별로 API 접근 권한을 관리한다.
  • D-Bus : 메시지 보안 검사담당, 일반적인 보안규칙은 CYNARA 규칙에 따른다.
  • afm-system-daemon :  응용프로그램 설치, 및 제거를 담당한다.
  • afm-user-daemon : 응용프로그램 목록, 세부사항조회, 시작, 정지 ,중지, 다시시작을 담당한다.
  • afb-binder : HTTP 인터페이스를 통해 자원 및 기능을 제공하는 역할을 담당한다.
  • afm-main-binding : 응용프로그램이 AGL 프레임워크 API 를 사용할 �! �� 있도록 한다. 


Links between the "Security framework" and the "Application"


보안 프레임워크는 보안 모델을 사용하기 위한 보안 모델과 해당 모델을 구현하기위해 제공되는 도구를 나타낸다.

 보안모델은 DAC( Discretionary Access Control) , MAC (Mandatory Access Control) , 기능 보안 및 개인정보를 위해 시스템에서 사용되는 방법을 나타낸다.

또한 감시 기능을 사용하여 보고하고 로그 및 경고를 관리하는 기능을 포함한다.


기능 : 설치/ 제거/ 시작/ 정지/ 목록


응용프로그램의 보안과 개인정보를 보장한다.

응용프로그램 프레임워크는 기본보안 모델/프레임워크와 호환되어야 한다. 그러나 응용프로그램에 숨겨야 한다.



The security framework


 구현된 �! ��안모델은 Tizen3 이다.  Tizen3 에서 가져왔지만 meta-inte! l 을 통해서 제공된다.

항목은 아래와 같다.

  • Security-Manager
  • Cynara
  • Cynara 를 준수하는 D-Bus
두개의 패치가 보안관리자에 적용된다. 이 패치의 목적은 AGL 에 필요하지 않은 Tizen 패키지의 특정 종속성을 제거하기 위함이다. 이 패치들은 동작을 추가하거나 제거하지 않는다.
Tizen 의 보안프레임워킄는 로그파일을 검사하고 감시를 분석하는 훌륭한 기능을 제공하지만, 이 구성요소는 아직 개발중이다. 



The Application Framework


보안 프레임 워크 위에 있는 응용프로그램 프레임 워크는 응용프로그램을 설치, 제거하고 보안환경에서 실행하기 위한 구송요소를 제공한다.

목표는 응용프로그램을 관리하고 보안프레임워크의 세부정보를 응용프로그램에 숨기는 �! ��이다.


응용프로그램은 위젯(웹 응용프로그램)의 사양과 일치해야하는 디지털 서명 컨테이너에 배포된다. 이것은 W3 컨소시엄의 기술 권장 위젯과 위젯-digsig에 의해 설명된다.





by CCL A from http://ggangjo.tistory.com/267

댓글

댓글 쓰기

이 블로그의 인기 게시물

[CentOS] SELinux 설정 / 해제

이미지
참고 : https://www.lesstif.com/pages/viewpage.action?pageId=6979732 SELinux는 Linux의 보안을 강화해 주는 보안 강화 커널이고 zero-day 공격 및 buffer overflow 등 어플리케이션 취약점으로 인한 해킹을 방지해 주는 핵심 구성요소이다. 특정 서비스가 SELinux  때문에 동작하지 않는다면 SELinux를 끄기 보다는 해당 서비스가 SELinux 하에서 잘 동작하도록 설정을 수정하는걸 권장한다. ■ SELinux 동작모드 enforce, permissive, disable 세가지 모드가 있으며 Red Hat Enterprise Linux / CentOS를 설치하면 default 로 enforce mode로 동작하며 ! SELinux의 rule에 어긋나는 operation은 거부된다. 현재 SELinux의 동작 모드는 sestatus 명령으로 확인할 수 있다.  SELinux 모드 확인  # sestatus  SELinux status: enabled  SELinux mount: /selinux  Current mode: enforcing  Mode from config file: enforcing  Policy version: 24  Policy from config file: targeted Permissive mode는 rule에 어긋나는 동작이 있을 경우 audit log를 나믹고 해당 operation은 허용된다. 개발 서버일 경우 특정 daemon 이나 서비스에 문제가 있을 경우 setenforce 0으로 Permissive mode 로 전환하여 문제해결 후 enforce mode로 전환하는걸 추천한다.    # setenforce 0  # sestatus  SELinux status: enabled  SELinux mount: /selinux  Curr...
자세한 내용 보기

[방송통신대 컴퓨터과학과] 2020년 1학기 전공 컴퓨터 보안 소개

[방송통신대 컴퓨터과학과] 2020년 1학기 전공 컴퓨터 보안 소개 정보화 사회에서 컴퓨터 보안, 나아가서는 정보보호의 전반적인 내용을 다룸 정보 보호의 의미와 역사를 포함하여 이론적 및 기술적 배경인 암호이론과 그 응용 그리고 최근의 기술 동향과 발전 방향에 대한 내용을 기술함 from http://shlee1990.tistory.com/515 by ccl(S) rewrite - 2020-03-25 21:59:32
자세한 내용 보기

인터넷진흥원, 12억 규모 클라우드 보안서비스 공모

인터넷진흥원, 12억 규모 클라우드 보안서비스 공모 finewink 2019. 2. 1. 10:19 관련기사 인터넷진흥원, 12억 규모 클라우드 보안서비스 공모 KISA 공고 https://www.kisa.or.kr/notice/bid_View.jsp?mode=view&p;_No=35&b;_No=35&d;_No=6377 Prologue 클라우드 마이그레이션 이 활발히 일어나고 이에 따라 클라우드 기반 개발 프레임워크와 환경설정, 그리고 보안이 중요해지고 있습니다. 그리고 보안의 경우도 SaaS(Software as a Service)를 기반으로 한 SeCaaS를 필두로 클라우드로 패러다임이 넘어 가는 추세에 있습니다. 이러한 클라우드 보안 서비스 활성화를 위해 제도적 지원을 통해서 중소기업 기반 SW산업 활성화가 필요한 시점입니다. 관련 기사가 나와서 SeCaaS에 대한 내용을 준비했습니다. SeCaaS란? - 클라우드 환경(IaaS, PaaS, SaaS)에서의 기밀성과 무결성, 가용성을 보장하기 위해 클라우드 서비스 제공자 또는 3rd Party가 제공하는 소프트웨어로서의 클라우드 서비스(SaaS 서비스) - 사용자가 별도의 보안환경을 스스로 구축할 필요 없이 소프트웨어 형태의 클라우드 서비스로 제공 - 설치가 필요없고 구독만으로 보안 서비스 제공이 가능한 장점 SeCaaS의 분류 CSP SeCaaS - 클라우드 서비스 제공자가 자신의 서비스 이용자와 인프라를 보호하기 위해 제공하는 보안 서비스 SSP SeCaaS - 전문 보안 서비스 제공자가 클라우드 서비스 뿐 아니라 기존 On-Premise 기반 환경을 포함한 넓은 영역을 대상으로 하는 보안 서비스 SeCaaS의 주요 기능 출처: 보안의 새로운 물결 SECaaS, 지란지교시큐리티 - 기존 보안환경에서 스스로 구축하던 기능들을 소프트웨어 형태로 정기구독, 기능에 따른 비용지불 등의 형태로 사용 네트워크 보안 (Network...
자세한 내용 보기