UNIUNEA EUROPEANĂ GUVERNUL ROMÂNIEI

MINISTERUL MUNCII, FAMILIEI ŞI PROTECŢIEI SOCIALE

AMPOSDRU

Fondul Social European POSDRU 2007-2013

Instrumente Structurale 2007-2013

OIPOSDRU UNIVERSITATEA TEHNICĂ “GHEORGHE ASACHI”

DIN IAŞI

UNIVERSITATEA TEHNICĂ “GHEORGHE ASACHI” DIN IAŞI

Şcoala Doctorală a Facultăţii de Automatică şi Calculatoare

OPTIMIZAREA CONSUMULUI DE ENERGIE ÎN PROCESUL DE SECURIZARE AL SISTEMELOR

ÎNCORPORATE - REZUMATUL TEZEI DE DOCTORAT -

Conducător de doctorat:

Prof. univ. dr. ing. Vasile-Ion Manta

Doctorand:

Ing. Nicolae-Alexandru Botezatu

IAŞI - 2011

UNIUNEA EUROPEANĂ GUVERNUL ROMÂNIEI

MINISTERUL MUNCII, FAMILIEI ŞI PROTECŢIEI SOCIALE

AMPOSDRU

Fondul Social European POSDRU 2007-2013

Instrumente Structurale 2007-2013

OIPOSDRU UNIVERSITATEA TEHNICĂ “GHEORGHE ASACHI”

DIN IAŞI

Teza de doctorat a fost realizată cu sprijinul financiar al

proiectului „Burse Doctorale - O Investiţie în Inteligenţă (BRAIN)”.

Proiectul „Burse Doctorale - O Investiţie în Inteligenţă (BRAIN)”,

POSDRU/6/1.5/S/9, ID 6681, este un proiect strategic care are ca

obiectiv general „Îmbunătăţirea formării viitorilor cercetători în cadrul

ciclului 3 al învăţământului superior - studiile universitare de doctorat

- cu impact asupra creşterii atractivităţii şi motivaţiei pentru cariera în

cercetare”.

Proiect finanţat în perioada 2008 - 2011.

Finanţare proiect: 14.424.856,15 RON

Beneficiar: Universitatea Tehnică “Gheorghe Asachi” din Iaşi

Partener: Universitatea “Vasile Alecsandri” din Bacău

Director proiect: Prof. univ. dr. ing. Carmen TEODOSIU

Responsabil proiect partener: Prof. univ. dr. ing. Gabriel LAZĂR

i

1. Introducere ......................................................................................................................................... 1

1.1. Motivaţie ...................................................................................................................................... 1

1.2. Obiective ...................................................................................................................................... 2

1.3. Structura lucrării ........................................................................................................................... 3

1.4. Diseminarea rezultatelor ............................................................................................................... 4

2. Cunoştinţe fundamentale .................................................................................................................... 6

2.1. Securitatea informaţională pentru dispozitivele încorporate ......................................................... 6

2.2. Consumul de energie în sistemele încorporate .............................................................................. 7

2.3. Standardul IEEE 802.11 ................................................................................................................. 9

2.4. Sisteme auto-adaptabile ............................................................................................................... 9

2.5. Concluzii ..................................................................................................................................... 10

3. Formularea problemelor studiate ...................................................................................................... 11

4. Arhitectură de securitate ................................................................................................................... 13

auto-adaptabilă ..................................................................................................................................... 13

4.1. Descrierea arhitecturii ................................................................................................................ 13

4.2. Formalizarea funcţională............................................................................................................. 15

4.3. Sumar ......................................................................................................................................... 19

5. Proiectarea unor mecanisme de securitate auto-adaptabile .............................................................. 20

5.1. Mecanism pentru scăderea consumului şi creşterea performanţelor de timp în sisteme izolate .. 20

5.2. Metodologie pentru ajustarea profilelor de funcţionare ............................................................. 22

5.3. Studiu de caz............................................................................................................................... 24

5.4. Algoritm de clusterizare pentru reţele de sisteme încorporate securizate ................................... 28

5.5. Evaluarea algoritmului ................................................................................................................ 30

5.6. Sumar ......................................................................................................................................... 31

6. Mecanism pentru adaptarea puterii de transmisie ............................................................................. 33

6.1. Protocolul CcPc-MAC .................................................................................................................. 33

6.2. Evaluarea protocolului ................................................................................................................ 36

6.3. Evaluarea disponibilităţii ............................................................................................................. 38

6.4. Sumar ......................................................................................................................................... 40

7. Cadru software pentru implementarea mecanismelor de securitate auto-adaptabile ........................ 41

7.1. Arhitectura software ................................................................................................................... 41

7.2. Evaluarea cadrului ...................................................................................................................... 43

7.3. Sumar ......................................................................................................................................... 44

8. Concluzii ............................................................................................................................................ 45

8.1. Sumar şi discuţii .......................................................................................................................... 45

ii

8.2.Contribuţii ................................................................................................................................... 48

8.3.Direcţii de cercetare viitoare ........................................................................................................ 49

Bibliografie ............................................................................................................................................ 50

1

1. Introducere

1.1. Motivaţie Ultimele două decenii au cunoscut o mare dezvoltare în domeniul sistemelor integrate. De la primul apel GSM în 1991 (Om, 2011) la smart-phone-urile de astăzi, multe bariere tehnologice au fost depăşite. Chiar şi cu predicţiile făcute de către Moore (1965), în ceea ce priveşte progresele tehnologice, acest lucru nu ar fi fost posibil fără existenţa cererii de pe piaţă. Cum majoritatea sistemelor încorporate de astăzi fac parte din categoriile „bunurilor albe” (eng. white goods), a sistemelor militare, automotive şi aero-spaţiale, ne putem imagina modul în care piaţa mondială a sprijinit dezvoltarea acestui domeniu. Cu fiecare noua tehnologie apar avantaje, precum şi dezavantaje. Datorită creşterii complexităţii sistemelor, ce este direct legată de progresul tehnologic, implementarea, documentarea, testarea şi darea în folosinţă a unui sistem de stat-of-the-art are un cost mare. Pe lângă aspectele financiare şi constrângerile de timp, o preocupare majoră a procesului de dezvoltare este reprezentată de prevenirea şi înlăturarea bug-urilor ascunse în astfel de sisteme. Astfel, costurile indirecte rezultate din pierderea de date sau funcţionarea anormală a sistemului pot fi copleşitoare (de exemplu accidente, pierderi de vieţi omeneşti) în comparaţie cu un cost mai mare datorat unui proces de dezvoltare mai lung (Smith, 2003). Considerând cazul sistemelor mobile încorporate, una dintre cele mai mari probleme este cea a securităţii. Securitatea acestei clase de sisteme este o problemă delicată din cauza următorii factori:

• Proiectanţii sistemelor pot trece cu vederea defecte de implementare ale securităţii şi posibile încălcări ale acesteia atunci când este vorba de dispozitive complexe;

• Un număr tot mai mare de atacuri extrem de sofisticate pot fi implementate, acestea fiind dezvoltate din aceleaşi principii tehnologice care stau la baza metodelor de securitate împotriva cărora sunt îndreptate. Mai mult, deoarece multe clase de sisteme încorporate fac uz de conexiuni de date fără fir, problemele de securitate ale tehnologiilor de comunicaţii fără fir se adaugă la cele prezentate anterior. Atacurile tipice pentru astfel de sisteme includ accesul neautorizat, utilizarea neautorizată a resurselor, precum şi atacuri de tip Denial-of-Service.

2

Studiul „2010/2011 Computer Crime and Security Survey (Computer Security Institute, 2011) arată că dintre 351 organizaţii respondente, 45% au suferit un incidente de securitate în ultimul an, 35% din incidente fiind asociate cu sisteme încorporate sau mobile. Astfel, 25% dintre respondenţi au suferit o pierdere financiară directă din cauza acestor atacuri. Acum se poate vedea că lipsa securităţii are un cost ridicat. Dar costul securităţii poate fi, de asemenea, ridicat. În general, vulnerabilităţile sistemelor încorporate sunt contracarate prin protocoale şi mecanisme de securitate criptografică implementate la nivel software. Deşi aceste abordări reduc riscul atacurilor, proprietăţi precum portabilitatea ridicată (de exemplu mecanism de securitate pentru uz general) şi înalta performanţă (de exemplu viteză de procesare mare, latenţă scăzută) scad capacitatea de procesare a sistemului şi cresc consumul de energie, ducând astfel la limitarea capacităţii de operare a sistemului. Capacitatea acumulatorilor are o creştere medie anuală de 6% (Buchmann, 2011). Progresele din acest domeniu sunt dintre puţinele care nu respectă Legea lui Moore şi au un impact direct asupra autonomiei şi performanţelor sistemelor încorporate. Deoarece (i) securizarea unui sistem se traduce într-un consum crescut de energie şi (ii) caracteristicile actuale ale sistemelor încorporate mobile includ o durată sporită de funcţionare, performanţe crescute şi costuri cât mai mici, se poate trage concluzia că securitatea şi consumul de energie sunt doua caracteristici importante care trebuie avute în vedere în procesul de dezvoltare.

1.2. Obiective Obiectivul principal al acestei cercetări a fost să găsească modalităţi de reducere a consumul de energie al sistemelor încorporate securizate. Din cauza heterogenităţii mari care exista atunci cand vine vorba de sisteme încorporate (de exemplu alimentare de la baterii vs. alimentare de la reţea; folosirea energiei alternative vs. reîncarcare tipică; sisteme conectate în reţea vs. sisteme izolate; RTOS vs. arhitecură „super-buclă”; şi aşa mai departe), precum şi din cauza diferitelor nivele la care este implementată securitatea în astfel de sisteme (de exemplu motoare de criptare hardware vs. implementare software a algoritmilor de criptare; securitate fizică vs. securitate la nivel logic; implementările de securitate la diferitele niveluri ale stivei de comunicaţie şi aşa mai departe), această lucrare a abordat următoarele trei direcţii de cercetare:

• Studiul arhitecturilor de securitate de uz general, care pot fi adaptate la particularităţile sistemelor şi aplicaţiilor încorporate în stadiul de dezvoltare şi care pot fi adaptate şi ajustate în timpul perioadei de operare;

• Utilizarea „inteligentă” a soluţiilor de securitate pentru a obţine rapoarte optime performanţă-consum de energie şi consum de energie-securitate funcţie de caracteristicile

3

sistemului şi de mediul în care operează acesta. Ideea de bază a aceastei direcţii este dată de faptul că dintre două soluţii de securitate, una poate fi mai eficientă din punct de vedere al consumului de energie pe un anumit sistem, oferind în acelaşi timp cel puţin aceleaşi performanţe (de timp, de securitate) ca şi cea de-a doua;

• Variaţia parametrilor fizici ai sistemului (e.g. frecvenţa de lucru a sistemului, intensitatea luminii de fundal a ecranului, viteza ventilatorului şi aşa mai departe), în scopul de a obţine o reducere a consumului de energie şi o îmbunătăţire a parametrilor de securitate. Deoarece sistemele încorporate cu capabilităţi de comunicaţie fără fir sunt disponibile pe scară largă, accentul a fost pus pe modificarea parametrilor din subsistemul radio. Deoarece această cercetare nu a avut ca scop o arhitectură, un dispozitiv sau un sistem de operare în mod special, un obiectiv secundar a fost dezvoltarea unui cadru software generic „cross-platform” pentru implementarea securităţii care ar putea fi de folos în procesul de evaluare al soluţiilor de securitate propuse.

1.3. Structura lucrării Această lucrare este împărţită în opt capitole. Capitolul 2 prezintă informaţiile de bază necesare pentru a înţelege problemele studiate. Acesta abordează subiectele (i) securităţii informatice şi a sistemelor de calcul, (ii) consumului de energie în sistemele digitale, (iii) standardul de comunicaţie IEEE 802.11 şi (iv) a sistemelor de calcul auto-adaptabile. Capitolul 3 prezintă o descriere detaliată a problemelor abordate şi o prezentare a celor mai semnificative cercetări din domeniu. Capitolul 4 sintetizează caracteristicile unei arhitecturi de securitate auto-adaptabile pentru sisteme încorporate. De asemenea, modelul adaptabil este definit şi prezentat împreună cu un exemplu de implementare care motivează actualitatea temei de cercetare. Două mecanisme de adaptare a securităţii sunt prezentate în Capitolul 5, unul pentru sisteme izolate şi unul pentru sisteme conectate în reţea. De asemenea, impactul asupra indicatorilor de performanţă şi energetici este evaluat pentru cele două mecanisme. În continuare, Capitolul 6 descrie un protocol pentru accesul la mediul de comunicaţie bazat pe standardul IEEE 802.11 ce prezintă ca particularitate controlul puterii de transmisie radio. Utilizarea acestuia în reţelele fără fir de tip mesh este evaluat din punct de vedere a performaţelor şi a consumului, alături de rezistenţa la atacuri de tip Denial-of-Service. În capitolul 7 este descris un cadru software pentru implementarea metodelor de securitate auto-adaptabile.

4

Capitolul 8 prezintă concluziile şi discută contribuţiile autorului.

1.4. Diseminarea rezultatelor Această teză se bazează, în mare parte, pe un număr de 10 lucrări publicate în jurnale B+ (2), volume ale conferinţelor internaţionale indexate ISI (2), volume ale conferinţelor internaţionale indexate IEEE Xplore (1), volume ale conferinţelor internaţionale sponsorizate IEEE (1) şi volume ale altor conferinţe internaţionale (4). O listă completă a publicaţiilor este prezentată în continuare:

• Capitolul 4 se bazează pe: o Stan, A. and Botezatu, N., 2009. Data Encryption Methods for Power Aware

Embedded Systems used in Patient Monitoring. In: Proceedings of the 10th International Carpathian Control Conference, Jaroslaw: DELTA, pp. 269-272.

o Botezatu, N. Manta, V. and Stan, A., 2010. Self-adapable Security Architecture for Power-aware Embedded Systems. In: Proceedings of the 14th International Conference on System Theory and Control, Craiova: University of Craiova Press, pp. 98-103.

• Rezultatele din capitolul 5 sunt publicate în: o Botezatu, N. Manta, V. and Stan, A., 2011. Self-adaptability in Secure Embedded

Systems: an Energy-performance Trade-off. In: Proceedings of the World Congress on Engineering, The 2011 International Conference of Information Security and Internet Engineering, Hong Kong: Newswood Limited, pp. 495-499.

o Botezatu, N. Manta, V. and Vieriu, G., 2011. A Clustering Algorithm for Negotiating Security in Wireless Mesh Networks. Presented at the 15th International Conference on System Theory, Control and Computing, 14-16 October, Sinaia, Romania (accepted for publication).

• Capitolul 6 conţine rezultate prezentate în: o Botezatu, N. And Dhaou, R., 2011. Adaptive Power Control in 802.11 Wireless

Mesh Networks. In: Proceedings of the World Congress on Engineering, The 2011 International Conference of Wireless Networks, Hong Kong: Newswood Limited, pp. 1751-1754.

o Botezatu, N. and Stan, A., 2011. Denial of Service resistant MAC for wireless mesh networks. Accepted for publication and presentation at the 22nd DAAAM International World Symposium, 23-26 November, Vienna, Austria.

5

• Capitolul 7 se bazează pe: o Botezatu, N. and Stan, A., 2009. Low-power Embedded Device Used in

Healthcare Systems. Bulletin of the Polytechnic Institute of Iaşi, Automatic Control and Computer Science Section, Tome LV (LIX), Fascicle 1, pp. 37-50.

o Stan, A. and Botezatu, N., 2009. The Design and Evaluation of a Finite State Machine used in Embedded Systems Development, Bulletin of the Polytechnic Institute of Iaşi, Automatic Control and Computer Science Section, Tome LV (LIX), Fascicle 2, pp. 51-64.

o Botezatu, N. Stan, A. and Panduru, L., 2009. Power-aware Framework for Encrypted Communications. In: Proceedings of the 20th DAAAM World Symposium “Intelligent Manufacturing & Automation: Theory, Practice & Education”, Vienna: DAAAM International, pp. 825-826.

o Stan, A. Botezatu, N. and Vieriu, G., 2009. The Design of a Finite State Machine Engine with Safe Operation used in Embedded Systems Design. In: Proceedings of the 20th DAAAM World Symposium “Intelligent Manufacturing & Automation: Theory, Practice & Education”, Vienna: DAAAM International, pp. 1507-1508.

6

2. Principii fundamentale

2.1. Securitatea informaţională pentru dispozitivele încorporate Folosirea pe scară largă a computerelor şi a dispozitivelor de prelucrare a datelor, alături de progresele înregistrate în reţelele de comunicaţii, a condus la nevoia apariţiei unor metode de protejare a informaţiilor stocate, transmise şi procesate. Ca urmare, au apărut două discipline, securitatea informaţională şi securitatea informatică, cu scopul de a face faţă ameninţărilor atât în lumea materială, cât şi în lumea digitală. Codul penal din SUA (U.S. House of Representatives, 2010) defineşte termenul de securitate informaţională ca protejarea informaţiilor şi a sistemelor informatice împotriva accesului, utilizării, întreruperii, modificării sau distrugerii neautorizate. Acest lucru înseamnă protecţia datelor şi a sistemelor de prelucrare a datelor împotriva abuzurilor. Pentru cele mai multe entităţi (de exemplu organizaţii sau persoane fizice), interesul privind securitatea informaţiilor este proporţional cu înţelegerea termenilor de „ameninţare” şi „vulnerabilitate”. Acest lucru ar putea însemna protecţia împotriva accesului nedorit la o reţea, calamităţilor naturale (de exemplu inundaţii, cutremure, incendii), furtului, actelor de vandalism, căderilor de tensiune etc. Într-un sens larg, acest lucru denotă acţiunile întreprinse pentru a asigura unele bunuri împotriva celor mai probabile forme de atac. O ameninţare la adresa securităţii este reprezentată de o entitate (de exemplu un individ, un program, un eveniment), care ar putea provoca daune sau pierderi într-un sistem (Patriciu et al., 2006). Acestea pot fi de natură rău intenţionat sau accidentală. Vulnerabilităţile de securitate reprezintă o slăbiciune a unui bun sau grup de bunuri care pot fi exploatate de către unul sau mai multe ameninţări (International Standards Office, 2005). Parolele slabe, erorile de implementare software, management deficitar al utilizatorilor, accesul fizic la servere, reprezintă doar câteva tipuri de vulnerabilităţi de securitate pentru sistemele de informaţii. Identificarea, reducerea şi eliminarea vulnerabilităţilor de securitate conduce la reducerea sau eliminare completă a ameninţărilor de securitate (Patriciu et al., 2006). Pe langa beneficii, securitatea aduce şi unele dezavantaje. Pe măsură ce creşte nivelul de securitate, nivelul de productivitate, de obicei scade. De exemplu, un firewall care solicită reacţia utilizatorului de fiecare dată când o aplicaţie doreşte acces la reţea poate face un sistem destul de sigur, dar măreşte întârzierile în timpii de răspuns ai sistemului şi ar putea întrerupe utilizatorul de la îndeplinirea altor sarcini. Mai mult, securitatea are costuri materiale. Nivelul de securitate

7

trebuie să fie legat de valoarea bunului securizat. Deci, costul de implementare al securităţii nu ar trebui să depăşească valoarea a ceea ce este protejarea (Andress, 2011).

2.2. Consumul de energie în sistemele încorporate Una dintre principalele caracteristici ale sistemelor de calcul de astăzi este faptul că există o discrepanţă între consumul de energie şi volumul de muncă efectuat (de exemplu numărul de operaţii pe secunda). Această situaţie este datorată obiectivelor de proiectare a celor mai multe sisteme de calcul: mărirea performanţelor şi micşorarea costurilor de fabricaţie. Utilizarea pe scară largă a dispozitivelor încorporate portabile a condus la o schimbare de paradigmă, făcând ca reducerea consumului de energie să devină o parte tot mai importantă a procesului de proiectare. Dispozitivele din această categorie au resurse limitate de energie şi reducerea puterii disipate le prelungeşte viaţa bateriei şi perioada de funcţionare. Aceasta este motivaţia unei game vaste de cercetare orientate spre reducerea consumului de energie prin optimizarea componentelor cu un consum mare de energie. Deoarece majoritatea circuitelor digitale sunt construite în tehnologia CMOS, în continuare sunt prezentate sursele de consum pentru aceste dispozitive. În circuitele rezitive de curent continuu, puterea electrică instantanee (P) se calculează pe baza Legii lui Joule, ca produs al curentului electric (I) şi a diferenţa de potenţial (V) de la bornele unui consumator: ( ) = ( ) ∙ (Pattel, 2010). Structura logica de bază implementată în tehnologia CMOS este poarta inversoare, care este compusă dintr-o pereche de tranzistoare NMOS şi PMOS (figura 2.1).

Figura 2.1. Inversorul CMOS static De asemenea, o capacitate mică este prezentă pe ieşire, datorită capacităţii de poartă şi a conexiunilor electronice. Comparativ cu logica NMOS, circuitele logice CMOS nu disipă aproape deloc putere, atunci când nu comută. Dar, aşa cum tehnologia CMOS a evoluat la nivel

8

sub-micronic, puterea disipată pe unitate de suprafaţă a crescut foarte mult. În tehnologia actuală, puterea disipată de circuitele CMOS este compusă din două componente: puterea statică şi puterea dinamică (2.1) (Verma şi Marwedel, 2007). = + (2.1)

În cazul circuitelor CMOS ideale, nu se disipă putere atunci când circuitul este inactiv (nu comută), deoarece nu există nicio cale de legătură între alimentare (Vdd) şi masă (Gnd). În realitate, chiar dacă unul dintre tranzistori nu este deschis, un curent rezidual (Ileak) se scurge între Vdd şi Gnd. Există patru cauze pentru acest curent care determină disiparea puterii statice: conducţia sub-prag pentru tranzistoarele închise, efectul de tunel prin oxidul porţii, scurgeri prin diode polarizate invers şi curentul de contenţie în circuitele cu număr redus de tranzistoare. În total, puterea statică consumată în circuitele CMOS este mai mică de 5% din puterea totală disipată pentru tehnologia de 0,25 µm şi creşte la 20-25% din puterea totală la 130 nm. Componenta dinamică a puterii disipate este legată de perioadele de comutare ale tranzistoarelor (între nivelele logice) şi este cauzată de curenţii de scurtcircuit şi de încărcarea şi descărcarea capacităţii de pe ieşire. De obicei, puterea dinamică este aproximat prin puterea disipată de încărcarea/descărcarea capacităţilor de sarcină. Pentru a determina expresia sa, se porneşte de la următoarele ipoteze: sarcina C este comutată cu o frecvenţă medie fsw pe o perioadă T, sarcina este încărcat şi descărcat de ∙ ori. Astfel, puterea dinamică medie disipată este: = 1 ∙ ( ) ∙ ∙ = ∙ ( ) ∙ (2.2)

Integrală curentului pe intervalul [0, T] poate fi exprimată ca sarcina totală livrată: ∙ ∙ ∙ . Astfel, ecuaţia (2.2) devine = ∙ ∙ ∙ ∙ = ∙ ∙ (2.3)

În cazul circuitelor CMOS sincrone, nu toată logica are aceeaşi frecvenţă de comutare. Pe baza acestui lucru, putem exprima fsw ca produsul dintre frecvenţa de ceas f şi un factor de comutare α. În simulare, lui α i se atribuie o valoare de 0,5 pentru porti dinamice şi de 0,1 pentru cele statice (Kogge, 2010).

2.2.1. Relaţia putere-energie Energiea electrică (E) este definită ca fiind integrala puterii disipate pe un interval T (2.4).

9

= ( ) ∙ = ∙ ( ) ∙ (2.4)

Valoarea energiei variază funcţie de intervalul de timp T sau cu puterea disipată, respectiv cele două componente ale ei. În circuite digitale programabile (de exemplu, procesoare, microcontrollere), care execută cod, există o distincţie subtilă între puterea disipată şi consumul de energie, în contextul scăderii uneia sau celeilalte. Două clase largi de tehnici pentru reducerea consumului se bazează pe reducerea timpului de executie sau pe reducerea puterii instantanee. Dacă o astfel de tehnică este proiectată pentru a reduce puterea disipată, şi ca o consecinţă creşte timpul de executie, această tehnică „low-power”, nu va aduce un beneficiu consumului de energie. Un scenariu extrem şi mai puţin plauzibil ar include o tehnică care scade timpul de executie, dar foloseşte instrucţiuni care au o amprentă a puterii instantanee mai mare. În acest caz, aceasta tehnica nu va fi nici „low-power” şi nici nu va avea un consum redus de energie. Pentru a rezuma, am putea spune că relaţia dintre putere şi tehnicile de reducere a energiei este guvernată de timpul de execuţie şi termenii „low-power” şi „low-energy” nu ar trebui să fie utilizate ca sinonime.

2.3. Standardul IEEE 802.11 IEEE 802.11 este un set de standarde menţinut de Comitetul pentru Standardele IEEE LAN/MAN (IEEE Standards Working Group, 2007). Acesta a fost creat pentru a reglementa implementarea reţelelor fără fir în benzile de frecvenţă ISM de 2,4, 3,6 şi 5 GHz. Specificaţiile standardului se referă la nivelul fizic şi la nivelul MAC din stiva de comunicaţie, conform modelului OSI.

2.4. Sisteme auto-adaptabile Evoluţia continuă a sistemelor încorporate a adus cerinţe mai stricte de proiectare, precum flexibilitate, rezilienţă, fiabilitate, robusteţe, consum redus, design personalizat şi caracteristici configurabile. Aceste provocări pot fi abordate prin adaptabilitate, ceea ce înseamnă că un sistem îşi poate adapta comportamentul ca răspuns la valorile parametrilor de mediu şi a stării interne.

10

Cu alte cuvinte, un sistem auto-adaptabil este reprezentat de un set de elemente care interacţionează şi formează un întreg. Pe baza interdependenţelor dintre entităţile componente, sistemul are capacitatea de a acţiona autonom atunci când apar schimbări externe sau interne. Aceste sisteme sunt caracterizate prin:

• o buclă de reacţie care să permită răspunsul sistemului la schimbare; • un proces care controlează adaptarea sistemului; • necesitatea unei intervenţii minime a utilizatorului.

Din punct de vedere funcţional, un model generic auto-adaptabil este compus din patru activităţi: colectarea datelor, analiza datelor, decizia modificării de stare şi acţiunile întreprinse (figura 2.2) (Dobson et al, 2006.).

Figura 2.2. Modelul unei bucle de control (Dobson et al., 2006)

2.5. Concluzii Securitatea informaţională în sistemele încorporate este un subiect de cercetare actual, datorită utilizării acestora pe scară largă, în aplicaţii care variază de la bunuri de larg consum (eng. white-goods) până la aplicaţii militare. Datorită particularităţilor acestor sisteme, cum ar fi resursele limitate de calcul, dimensiunile mici ale memoriei, bugetul limitat de energie, posibilitatea conectării în reţele fără fir, sistemele încorporate ridică un set de provocări speciale, atunci când vine vorba de aplicarea unor politici de securitate, aşa cum este prezentat în secţiunea 2.1. Secţiunea 2.2 realizează o legătură între sursele de consum în circuitele CMOS şi problema consumului de energie crescut al dispozitivelor încorporate securizate. Secţiunea 2.3 prezintă pe scurt standardul de comunicaţii fără fir IEEE 802.11. În secţiunea 2.4 este prezentată o clasă specială de sisteme încorporate, sistemele auto-adaptabile, deoarece reprezintă baza pentru o parte a acestei lucrări.

11

3. Formularea problemelor studiate Pe baza obiectivelor generale prezentate în secţiunea 1.2 şi ţinând cont de fundamentele teoretice prezentate în capitolul 2, acest capitol prezintă în detaliu direcţiile de cercetare abordate şi scopurile detaliate ale acestei lucrări. Două direcţii generale de cercetare au fost sintetizate, ambele acoperind subiecte legate de securitatea şi consumul de energie al sistemelor încorporate. În primul rând, această cercetare îşi propune să investigheze tehnici pentru determinarea unor soluţii adecvate de securitate pentru sisteme încorporate destinate aplicaţiilor specifice. Pe baza acestora, se urmăreşte sinteza unei arhitecturi generice folosită pentru implementarea mecanismelor de securitate auto-adaptabile în sisteme încorporate. Mai mult, având la bază această arhitectură, această lucrare propune dezvoltarea unor mecanisme pentru implementarea securităţii la nivel de sistem şi la nivel de reţea. Nevoie pentru astfel de mecanisme porneşte de la eficienţa limitată pe care o au soluţiile de securitate generice atunci când sunt implementate în sisteme încorporate:

• Capacitatea de procesare a datelor (de exemplu, cantitatea de date criptate pe unitate de timp) este scăzută comparativ cu cea a sistemelor ce nu sunt securizare, deoarece mecanismele de securitate cresc gradul de încărcare al sistemului (de exemplu, asigurarea securităţii prin intermediul unui algoritm de criptare creşte numărul de instrucţiuni executate pentru procesarea unui set de date, datorită operaţiilor specifice efectuate);

• Creşterea timpului de răspuns a sistemlelor din cauza gradului de încărcare al sistemului şi din cauza perioadelor de configurare a soluţiilor de securitate (de exemplu, generare cheilor pentru algoritmii de criptare, negocierea algoritmilor de securitate folosiţi de protocoale pentru securizarea comunicaţiilor);

• Traficul suplimentar introdus de protocoalele pentru securizarea comunicaţiilor, în vederea asigurării integrităţii datelor;

• Creşterea puterii disipate şi a consumului de energie, datorită procesării suplimentare introduse de operaţiile specifice metodelor de securitate. De aceea se urmăreşte proiectarea unor metode de selectare a soluţiilor de securitate, folosite pe sisteme încorporate, într-un mod auto-adaptabil. În procesul de selecţie se iau în considerare dezavantajele introduse de soluţiile de securitate, menţionate anterior, în ideea ameliorării acestora, pentru a obţine performanţe crescute ale sistemului şi consum scăzut de energie. A doua direcţie de cercetare studiată are ca scop studierea relaţiei dintre variaţia parametrilor fizici ai sistemelor încorporate, în ideea obţinerii unei reduceri a consumului de

12

energie şi obţinerea unei îmbunătăţiri a securităţii. Lucrarea s-a axat pe studiul dispozitivelor încorporate ce permit conectarea în reţele fără fir, deoarece acestea sunt disponibile pe scară largă, atât în aplicaţii comerciale, cât şi în cele militare. Mai mult, ca urmare a organizării stratificate a stivelor de comunicaţii, există un grad ridicat de heterogenitate ce porneşte de la implementarea diferitor clase de soluţii de securitate la diferite nivele ale stivei de comunicaţii. Astfel, motivaţia pentru această direcţie de cercetare este dublă: în primul rând, dezavantajele soluţiilor de securitate prezentate anterior sunt valabile şi în cazul securizării reţelelor fără fir şi, în al doilea rând, multe subsiteme radio comerciale oferă posibilitatea reglării parametrilor fizici de transmisie prin control software. Datorită existenţei unei documentaţii detaliate referitoare la neajunsurile şi punctele slabe ale protocolului MAC bazat pe standardul IEEE 802.11, ne-am propus realizarea unui protocol MAC similar, pentru controlul dinamic al puterii de emisie radio, cu scopul de a reduce consumul de energie şi de a îmbunătăţi capacitatea reţelei.

13

4. Arhitectură de securitate auto-adaptabilă O abordare adaptabilă pentru securizarea sistemelor încorporate este necesara atunci când modelele matematice ale sistemului şi ale mediului în care sistemul operează sunt greu de stabilit la momentul proiectării sau în timpul rulării.

4.1. Descrierea arhitecturii Aceasta sectiune este dedicată pentru prezentarea viziunii proprii asupra problemei securităţii auto-adaptabile. Figura 4.1 prezintă o arhitectură pentru sistemele ce încorporează un mecanism de securitate auto-adaptabil, aceasta bazându-se pe trei blocuri funcţionale: Sensing (bloc pentru detecţie), Analysis (bloc pentru analiză) şi Enforcement (bloc pentru asigurarea implementării). Seturile de date necesare ca date de intrare pentru arhitectură sunt reprezentate de System status (starea sistemului), System descriptors (descriptori de sistem) şi System goals (obiectivele sistemului).

Figure 4.1. Blocurile component ale arhitecturii de securitate auto-adaptabilă şi relaţiile dinte ele (Botezatu, Manta and Stan, 2010) Modul de funcţionare al arhitecturii este următorul: atunci când blocul de detecţie sesizează o modificare a parametrilor definiţi în seturile de date ale sistemului (System descriptors), acesta notifică blocul de analiză pentru a determina ce schimbări pot fi făcute în

14

modul de securizare a sistemului pentru a corespunde cerinţelor definite de obiectivele sistemului (System goals). În final, blocul Enforcement are rolul de a aplica schimbările propuse de blocul anterior Starea sistemului (System status) poate fi văzută ca un set unic de parametri specifici sistemului. Aceşti parametri pot fi clasificaţi ca fiind interni sau externi sistemului, unde cei interni sunt specifici configuraţiei hardware a sistemului, precum şi aplicaţiilor software ce rulează în sistem. Parametrii externi sunt reprezentaţi de condiţiile externe în care rulează sistemul, precum modul de folosinţă şi mediul în care acesta operează. Toate aceste date sunt dobândite prin utilizarea dispozitivelor de monitorizare şi senzorilor. În mod particular pentru această arhitectură, starea sistemului trebuie să conţină informaţii despre cel puţin:

• nivelul de securitate curent pentru fiecare aplicaţie care rulează în sistem; • energia disponibilă a sistemului, exprimată convenabil ca o combinaţie a curentului

consumat, capacitatea bateriei, rata de descărcare a a bateriei, putere nominala a sistemului etc. Descriptorii sistemului (System descriptors) sunt reprezentaţi de o colecţie de date ce descrie componentele hardware şi software ale sistemului. Datele sunt organizate într-un mod ierarhic, bazat pe o colecţie de clase care descrie şi grupează elementele sistemului funcţie de caracteristicile lor de energie şi de securitate. Modelul de bază pentru această ierarhie este prezentat în figura 4.2. Primele trei nivele ale colecţiei de clase realizează o clasificare generală a componentelor sistemului, de la nivelul patru putând fi derivate clase specifice pentru a descrie componentele sistemului (de exemplu, din clasa ES putem obţine noi clase pentru a descrie acumulatori, celule fotovoltaice sau alte tipuri surse de alimentare).

Figure 4.2. Ierarhia descriptorilor sistem

Obiectivele sistemului (System goals) sunt determinate pe baza corelaţiilor dintre resursele de energie ale sistemului şi cerinţele de securitate. Acestea trebuie descrise ca o maximizare a timpului de operare a sistemului cu condiţia menţinerii nivelelor de securitate solicitate de aplicaţii. Pentru a înţelege mai bine acest concept, se consideră următorul exemplu:

15

un sistem încorporat rulează două aplicaţii, A1 şi A2. A1 procesează două tipuri de date, primul necesită un nivel de securitate S1 şi cel de-al doilea un nivel de securitate S2. A2 are nevoie de un nivel de securitate S3. Sistemul poate oferi un nivel de securitate maxim Smax, unde Smax = S3 > S1 > S2. Astfel, în cazul în care sistemul implementează un singur nivel de securitate constant pentru ambele aplicaţii, aplicaţia A1 ar avea un nivel de securitate prea mare, ce ar consuma o parte din energia sistemului degeaba. În ideea reducerii consumul de energie, nivelul de securitate ar trebui să fie adaptat la nevoile aplicaţiei, acest proces fiind transparent pentru utilizator. Mai mult, trebuie considerat şi cazul în care cerinţele de securitate ale unei aplicaţii variază în timpul rulării, această situaţie trebuind de asemenea tratată când se stabilesc obiectivele sistemului.

4.2. Formalizarea funcţională Din punct de vedere funcţional, modul de realizare a adaptării securităţii poate fi descris prin intermediul unui automat finit hibrid, modelul fiind caracterizat de tranziţii de stare discrete şi o evoluţie continuă. Această reprezentare a fost aleasă (i) datorită dinamicii sale, în scopul de a ţine cont de energia consumată de fiecare soluţie de securitate, pentru perioadele de timp în care acestea s-au folosit şi (ii) în scopul evaluării performanţelor soluţiilor de securitate. Pe baza referinţelor (Alur and Dill, 1994; Henzinger, 1996; van der Schaft and Schumacher, 1999; Lynch, Segala and Vaandrager, 2003; Erbes, 2004; Anderson, 2006), automatul hibrid este descries prin septupla ( , , , , , , ), unde:

• L este mulţimea stărilor (locaţiilor); • X este spaţiul continuu al stărilor; ∈ este o variabilă continuă de stare; • Alfabetul A este un set finit de simboluri folosite ca notaţii pentru arcele grafului; • W este spaţiul continuu de comunicare; ∈ este o variabilă continuă externă; • Mulţimea evenimentelor E defineşte arcele grafului; arcul e este descris ca o tuplă ( , , , , ), unde { , } ∈ , ∈ , ⊂ şi ⊂ .

O tranziţie de la la este posibilă când ∈ cu condiţia ca { , } ∈ , unde este noua valoare a lui după tranziţie;

• ( ) ⊂ este invariantul pentru o locaţie ∀ ∈ , astfel încât ∀ ∈ , ∈ ( ) când sistemul se află în locaţia ;

• ( ) este mulţimea activităţilor pentru o locaţie ∀ ∈ şi conţine ecuaţii algebrice şi diferenţiale.

16

4.2.1. Descrierea modelului Figura 4.3 prezintă modelul automatului hibrid realizat pentru descrierea funcţională a arhitecturii de securitate auto-adaptabilă. Automatul are 5 ∙ stări, unde n este numărul soluţiilor de securitate implementate în sistem:

• Stările , ∀ ∈ 1, corespund perioadelor inactive când sistemul nu trebuie să securizeze date, situaţie în care pot fi aplicate metode generice de salvare a energiei (de exemplu, scalarea tensiunii de alimentare, scalarea frecvenţei de lucru, moduri de funcţionare cu consum redus);

• În stările , ∀ ∈ 1, sistemul securizează date folosind soluţia de securitate ;

• Stările , ∀ ∈ 1, corespund situaţiei în care soluţia de securitate folosită este în modul de configurare;

• Stările _ _ , ∀ ∈ 1, sunt un set de stări intermediare ce sunt tranzitate când

apar cereri de securizare a datelor în timpul etapei de configurare;

• Stările _ , ∀ ∈ 1, sunt stări de configurare ce sunt tranzitate când decizia de

schimbare a soluţiei de securitate folosită apare în când încă există date ce aşteaptă să fie securizate.

Fiecare soluţie de securitate are asociată o tuplă , , , , unde

reprezinta energia necesara pentru a configura o soluţie de securitate, este timpul petrecut în faza de configurare, este energia necesară pentru a securiza o unitate de date şi este timpul necesar pentru a securiza o unitate de date. Modelul conţine două variabile continue: e reprezintă energia consumată de sistem şi t este o variabilă temporară pentru contorizarea timpului. Acestea sunt utilizate pentru actualizarea valorilor variabilelor discrete la tranziţiile între stări. Există trei variabile discrete principale şi una temporară asociate cu fiecare soluţie de securitate. contorizează energia consumată de o soluţie de securitate în timpul configurării sau în timpul securizării datelor, contorizează timpul în care o soluţie de securitate a fost folosită şi ţine evidenţa întârzierilor ce apar când cererile de securizare a datelor aşteaptă

terminarea perioadei de configurare. Variabila temporară este utilizată pentru a calcula întârzierile introduse cererilor care sosesc după ce faza de configurare a început. Modelul prezintă un parametru de control extern u (eng. - update), care decide ce soluţie de securitate este folosită. d este un simbol care reprezintă numărul de unităţi de date ce trebuie securizate.

17

Figura 4.3. Stările modelului funcţional pentru o soluţie de securitate Modelul nostru este descris de tupla ( , , , , , , ), unde:

• = ∪ ∪ ∪ _ _ ∪ _ ;

• = { , }; • = { } ∪ { } ; • = ∅;

• = , _ _ , _ _ ∪ _ ,, ∪ _ , , , , with

o = == 0 ⋀ == , = { += };

o _ _ = { > 0}, _ _ = = ;

o _ _ = ∅, _ _ = += ∧ += };

o _ = == , _ = += ∧ += };

o = { == 0}, = += ∧ += ;

o = { > 0}, = ∅;

18

o _ = { > 0 ∧ changed}, _ =+= ∧ += ;

o = { == 0 ∧ changed}, = ∅.

• ( ) = 0, max , , ∀ = ∨ _ _ ∨ _ ; ( ) ≥0; = 0, max ∙ max , ;

• ( ) = { = 0 ∧ = 1}, ∀ = ∨ _ _ ∨ _ ; == ∧ = 1 ; ( ) = { = 0 ∧ = 0}.

4.2.2. Funcţionarea automatului hibrid La pornire, sistemul se află în starea sau _ funcţie de variabilele u şi d.

Pentru a înţelege mai bine stările de configurare a modelului, se consideră următorul model de implementare a securităţii: când se decide folosirea unei soluţii de securitate, acesta trebuie să treacă printr-o fază de configurare (de exemplu, generarea cheilor de criptare), înainte de a putea fi utilizate pentru a securiza date. Mai mult, dacă în timpul etapei de configurare apare o cerere pentru securizarea unor date, operaţiunea este amânată până când soluţia de securitate poate fi utilizată. O altă situaţie apare când sistemul decide să modifice soluţia de securitate folosită, în timp ce încă sunt date ce aşteaptă să fie securizate. Şi în acest caz, procesul de securizare este amânat până la terminarea etapei de configurare. Când sistemul nu tratează nicio cerere, acesta rămâne în pentru perioada înainte de a trece la starea următoare. În cazul în care o cerere de securizare apare în acest interval (variabila d ia o valoare diferită de zero), sistemul tranzitează în _ _ şi rămâne în această stare pentru perioada de timp rămasă din .

Această etapă este necesară pentru a contoriza latenţa introdusă de configurare soluţiilor de securitate. Dacă d are o valoare mai mare ca zero, atunci când valoarea lui u se schimbă, sistemul intră în _ şi rămâne pentru perioada .

După faza de configurare, sistemul devine inactiv (trece în ) dacă d este zero şi rămâne în această stare, cât timp u şi d sunt constante. Sistemul începe să prelucreze datele ( ) când d are o valoare diferită de zero. Se rămâne în această stare până când toate datele sunt securizate (d devine din nou zero) sau până când sistemul decide să folosească o altă soluţie de securitate (u îşi modifică valoarea).

19

4.3. Sumar Secţiunea 4.1 prezintă o viziune a modului în care un mecanism de securitate auto-adaptabil ar arăta şi descrie componentele sale funcţionale. Pentru a înţelege mai bine problemele ridicate de o astfel de arhitectură, secţiunea 4.2 descrie un model pentru mecanismul de adaptare, bazat pe un automat hibrid.

20

5. Proiectarea unor mecanisme de securitate auto-adaptabile Acest capitol abordează problema asigurării securităţii sistemelor încorporate cu resurse limitate, dintr-o perspectivă auto-adaptabilă. Din cauza heterogenităţii sistemelor încorporate, ideea de auto-adaptabilitate este adresată la două nivele de granularitate: sisteme încorporate de sine stătătoare (secţiunea 5.1) şi sisteme încorporate conectate în reţea (secţiunea 5.4).

5.1. Mecanism pentru scăderea consumului şi creşterea performanţelor de timp în sisteme izolate Pentru sistemele ce funcţionează izolat, am propus o metodă pentru alegerea resurselor de securitate care sunt compatibile cu aplicaţiile ce rulează în sistem, cu obiectivul de a optimiza consumul de energie şi performanţele sistemului. Problemele ridicate de această abordare constau în:

• necesitatea clasificării şi determinării unei relaţii între resurse de securitate diferite, pe baza unei serii de parametri între care nu există o relaţie directă;

• existenţa mai multor aplicaţii care rulează în acelaşi timp, cu cerinţe de securitate diferite, această situaţie putând aduce cheltuieli de prelucrare şi de complexitate crescute în procesul de adaptare a securităţii.

Figure 5.1. Arhitectura mecanismului auto-adaptabil (Botezatu, Manta and Stan, 2011).

Mecanismul utilizat pentru adaptarea securităţii se compune din următoarele 4 etape (figura 5.1):

21

• Estimarea costului (Cost estimation) - această etapă constă în determinarea un cost relativ între toate resursele de securitate (SR) disponibile, pe baza unui mecanism de decizional multi-criteriu, modelul produsului ponderat (eng. WPM – weighted product model), care la rândul său, depinde de cerinţele sistemului;

• Etapa de filtrare (Filtering) - pe baza constrângerilor impuse de aplicaţii, în ceea ce priveşte resursele de securitate care pot fi utilizate pentru securizarea acestora, numai resursele de securitate care se potrivesc cu criteriile de selecţie sunt considerate valabile pentru utilizare;

• Etapă de selecţie (Selection) - resurse de securitate din mulţimea candiaţilor valabili sunt sortate, astfel determinându-se cel mai bun candidat;

• Etapă de asigurare a implementării (Enforcement) - acest bloc asigură folosirea resurselor de securitate selectate pentru fiecare aplicaţie. Modelul utilizat pentru monitorizarea energiei consumată (E) se bazează pe cantitatea de date care urmează să fie securizate (de exemplu, numărul de octeţi care urmează să fie criptaţi), precum şi pe energia consumată în etapa de configurare a resurselor de securitate. = + ∙ (5.1) Performanţă a unei resurse de securitate este exprimat prin intermediul a două mărimi independente: rată de procesare şi latenţă. Rata de procesare este definită ca fiind cantitatea de date procesate într-un interval de timp (de exemplu, kiloocteţi pe secundă) şi latenţa este exprimată ca timpul scurs între alegerea unei resurse de securitate şi începutul procesului de securizare. Mai exact, se referă la timpul necesar finalizării etapei de configurare resursei de securitate. În scopul caracterizării resurselor de securitate din punct de vedere a ratei de procesare şi a latenţei, acestea sunt descrise printr-o tuplă = , , , , unde esetup reprezintă energia consumată în timpul procesului de configurare, tsetup este timpul necesar pentru procesul de configurare, edata este energia consumată şi tdata este timpul necesar pentru securizarea unei unităţi de date.

5.1.1. Modelul produsului ponderat (WPM) Dat fiind set de m alternative, un set de n criterii de decizie şi wj, j = 1,n ponderea relativă de importanţă pentru criteriul Cj, valoarea de performanţă a alternativei Ax în raport cu alternativa Ay se calculează conform ecuaţiei (5.2) (Bridgman, 1922; Triantaphyllou, 2000). = , = 1, , = 1, (5.2)

22

unde este valoarea de performanţă a alternativei Ai evaluată conform criteriului Cj şi ∑ =1. Dacă raportul P(Ax/Ay) ≥ 1, atunci spunem că alternativa Ax este mai dezirabilă decât alternativa Ay, în cazul în care problema decizională este una de maximizare. În cazul unei probleme de minimizare, raportul ar trebui să fie subunitar pentru ca alternativa Ax să fie mai dezirabilă decât Ay. WPM are două avantaje principale atunci când se consideră în raport cu problema studiată:

• are o complexitate de implementare scăzută; • este o metodă de analiză adimensională, ceea ce înseamnă că elimină unităţile de măsură

din expresiile de performanţă a alternativelor. În particular, elementele luate în considerare pentru modelul WPM sunt următoarele: alternativele sunt reprezentate de resursele de securitate; criteriile de evaluare sunt reprezentate de caracteristicile energetice, de procesare şi latenţa resurselor de securitate (tabelul 5.1).

Criterion Type Expression

C1 energy ([data / thsetup] + active_SR)·esetup +

data·edata

C2 throughput tdata

C3 latency ([data / thsetup] + active_SR)·tsetup

Tabelul 5.1. Expresiile valorilor de performanţă (Botezatu, Manta and Stan, 2011) Ponderile de importanţa pentru cele trei criterii sunt date de profilul de funcţionare a sistemului, acesta fiind selectat de către utilizator. Există trei profile de funcţionare, bazate pe necesităţile aplicaţilor: consumul redus, performanţă crescută şi echilibrat.

5.2. Metodologie pentru ajustarea profilelor de funcţionare Un set corect pentru valorile care definesc profilurile de rulare este esenţial pentru funcţionarea optimă a mecanismului auto-adaptabil. Deşi acestea pot fi alese într-un mod empiric, pe baza încercărilor repetate, această secţiune propune o metodologie pentru ajustarea ponderilor utilizate în model WPM. Această metodologie are două obiective: (i) reducerea timpul necesar pentru ajustarea valorilor ponderilor şi (ii) asigurarea distribuţiei uniforme a gradului de importanţă pentru cele trei criterii.

23

Triantaphyllou şi Sanchez (1997) definesc gradul de importanţă maxim al unui criteriu ca valoarea procentuală minimă cu care valoarea curentă a ponderii poate fi modificată, astfel încât să se modifice clasificarea existentă între alternative. Cu alte cuvinte, obiectivele sunt: (i) de a găsi criteriul „critic” şi valoarea maximă cu care putem schimba ponderea asociată acestuia, fără a schimba poziţiile în clasamentul alternativelor şi (ii) de a schimba în mod corespunzator ponderile tuturor criteriilor, pentru a distribui uniform gradul de importanţă. Pe baza acestor obiective, au fost determinate următoarele etape ale metodologiei:

1. Valorile alternative sunt determinate pentru fiecare criteriu. Deoarece valorile pentru C1 şi C3 variază în funcţie de cantitatea de date şi sunt dependente de resursa de securitate folosită anterior, valoarea considerată pentru câmpul data este valoarea medie a sursei de date şi pentru active_SR este 1.

2. Valorile pentru ponderile criteriilor sunt alese "extrem", pentru fiecare profil de utilizare, cu scopul de a exprima un clasament dezirabil pentru alternative.

3. Valoarea critică necesară pentru modificarea criteriul cel mai sensibil (criteriul care are cea mai mare influenţă în procesul de decizie) este determinată pe baza următoarelor etape:

a. Clasamentul alternativelor se calculează pe baza relaţiei (5.2); b. Pentru fiecare clasificare relativă dintre două alternative Ax şi Ay se determină o

valoare K pe baza relaţiei descrise de Triantaphyllou şi Sanchez (1997) (5.3).

= log ∏log ∙ 100

(5.3)

unde n este numărul de criterii. Pentru K există constrângerea | K | ≤ 100. Când

încalcă constrângerea, înseamnă că este imposibil să se inverseze clasarea alternativelor Ax şi Ay prin modificarea ponderii wj;

c. Din setul de valorilor K, se alege = min, ; , unde m reprezintă

numărul de alternative. Aceasta este valoarea procentuală critică, însemnând că o modificare a ponderii cu o valoare mai mare decât Kmin duce la cel puţin o schimbare în clasamentul alternativelor.

4. Presupunând că Kmin este asociat criteriul j, valoarea ∙ este scăzută din wj şi este distribuită uniform între ponderile celorlaltor n - j ponderi. De exemplu, considerăm o situaţie în care ponderile sunt alese să reprezinte o influenţă crescută a criteriului C1. Setul de valori este = 0.98, = 0.01, = 0.01. Matricea decizională este prezentată în tabelul 5.2 şi clasificarea alternativelor în tabelul 5.3.

24

Alternatives Criterion

C1 C2 C3

w1=0.98 w2=0.01 w3=0.01A1 (SR1) 3406.2 11.7 305 A2 (SR2) 1069.3 4.1 99.2 A3 (SR3) 651.3 7.2 62.9 A4 (SR4) 3453 2 875

Relative performance

Value Ranking ( )⁄ 3.18

A3 b.t. A2 b.t. A1 b.t. A4

( )⁄ 5.16 ( )⁄ 0.99 ( )⁄ 1.62 ( )⁄ 0.31 ( )⁄ 0.19 b.t. = better than

Tabel 5.2. Matricea decizională Tabel 5.3. Clasificarea ponderilor

Pair of alternativesCriterion

C1 C2 C3

A1/A2 NF NF NF A1/A3 NF NF NF A1/A4 46.77 35.45 59.41A2/A3 99.77 NF NF A2/A4 NF NF NF A3/A4 NF NF NF

NF – non-feasible, meaning the constraint was violated Tabel 5.4. Valorile K pentru exemplul numeric

Rezultatele din tabelul 5.4 arată că valoarea corespunzătoare lui , este minimă. Astfel valoare de 35,45% se traduce în 0,003545 unităţi ce trebuie scăzute din w2 şi 0,001773 unităţi ce trebuie adunate la w1 şi w3. Ponderile finale sunt = 0.9817, = 0.0064, = 0.0117

5.3. Studiu de caz S-a considerat un sistem ce implementează patru resurse de securitate prezentate în tabelul 5.5. Acestea au fost alese datorită utilizării lor în diferite implementări ale standardului TLS / SSL (Dierks şi Rescorla, 2008), pentru criptarea datelor. Pentru a evalua performanţa acestor algoritmi simetrici, a fost folosită o platforma ARM9 ce a implementat biblioteca Crypto++, pe un kernel de Linux 2.26. Consumul de energie şi timpul de execuţie au fost realizate în cadrul unor scenarii de test controlate. Datele de intrare au

25

fost reprezentate de fişiere cu dimensiunea de 4 ko, criptate în modul CBC (Botezatu, Manta şi Stan, 2011).

Security resource

Encryption method

Setup energy - esetup (µJ)

Setup time - tsetup

(µsec)

Encryption energy -

edata (µJ/byte)

Encryption time - tdata (µsec/byte)

SR1 3DES 89 305 6,7 11,7

SR2 DES 29,6 99,2 2,1 4,1

SR3 AES 7,7 62,9 1,3 7,2

SR4 BlowFish 3057 875 0,8 2

Tabel 5.5. Caracteristicile resurselor de securitate (Botezatu, Manta and Stan, 2011). Evaluarea mecanismului de adaptare a fost efectuată prin intermediul unor seturi de simulări realizate folosind biblioteca SystemC. Singura intrare stochastică a sistemului, reprezentată prin cererile de securizare a datelor, a fost simulată folosind o distribuţie Pareto mărginită. Această distribuţie a fost aleasa deoarece este utilizata pe scară largă pentru generarea pachetelor de date în medii de simulare pentru sisteme de comunicaţii (3GPP2 Project, 2004). Ecuaţia (5.4) reprezintă funcţia de repartiţie (CDF) pentru distribuţia Pareto mărginită (Arnold, 1983). ( ) = Pr ( ) = 1 ∙1 (5.4)

unde şi > 0 este un parametru real care dictează forma distribuţiei. Cele trei aplicaţii considerate pentru acest studiu de caz trimit cereri de securizare a datelor într-o manieră succesivă (adică App1→App2→App3→App1→…). Timpul scurs între două cereri consecutive este ales să fie mai mult decât timpul necesar pentru a securiza cel mai mare tip de cerere, generat de oricare dintre cele trei aplicaţii, folosind algoritmul de criptare cel mai puţin performant. Singura diferenţă între aplicaţiile este reprezentată de constrângerile de securitate. Seturile de constrângeri sunt:

• = { , }

• = { , }

• = { , , }

Elementele pentru aceste seturi au fost alese pentru a ilustra toate tipurile de dependenţele ce pot apărea în procesul de adaptare.

26

În cele din urmă, s-au considerat trei profile de rulare (tabelul 5.6). Profilul de consum redus (LC) acordă o importanţă mai mare pentru resursele de securitate care sunt mai eficiente energetic; cel de înaltă performanţă (HP) consideră ca fiind mai dezirabile resursele de securitate cu o capacitate de securizare mai mare şi o latentă mai mică.

Runtime profile Energy criterion

Throughput criterion

Latency criterion

Low consumption (LC)

0.9817 0.0064 0.0117

High performance (HP)

0.2495 0.301 0.4495

Balanced (B) 0.548 0.154 0.29

Table 5.6. Runtime profile criteria weights În primul rând, am evaluat gradul de utilizare a resurselor de securitate, pentru toate cele trei aplicaţii, în conformitate cu toate profilele de rulare (figura 5.2). Rezultatele arată că profilul LC prezintă cea mai ridicată rată de adaptare, deoarece valorile de utilizare pentru resursele de securitate au cele mai apropiate valori: 25,99% pentru SR1, 29,24% pentru SR2, 19,17% pentru SR3 şi 14,88% pentru SR4. Un caz particular apare, pentru profilele HP şi B, în cazul App1, unde se utilizează doar SR2. Această situaţie se explică prin valoarile de performanţă relativă ce apar între SR2 şi SR4 care evalueaza SR2 ca fiind întotdeauna mai dezirabilă decât SR4 pentru cele două categorii de ponderi. Aceste rezultate sunt verificate de analiza statică prezentată în teză.

Figura 5.2. Distribuţia de folosire a resurselor de securitate

Figura 5.3. Rata de procesare a sistemului

27

Figura 5.4. Latenţa sistemului Figura 5.5. Consumul total de energie

Figura 5.6. Raportul consum de energie-rată de procesare

Figura 5.7. Raportul consum de energie-latenţă

În continuare au fost evaluate cele trei metrici considerate pentru criteriile decizionale ale mecanismului. Rezultatele au fost comparate cu situaţia în care toate trei aplicaţiile folosesc o singură resursă de securitate, în mod constant (figurile 5.2, 5.3 şi 5.4). În cazul consumului de energie, toate trei profilele de rulare au avut performanţe mai bune, energia economisită variind între 12% (comparativ cu SR3) şi 97% (comparativ cu SR4). Ultimele evaluări au constat în determinarea raportului dintre consumul de energie şi rata de procesare, respectiv latenţa. Scopul a fost acela de a vedea modul în care consumul de energie variază cu cele două metrici, deoarece din rezultatele prezentate anterior nu există o relaţie evidentă. Figurile 5.6 şi 5.7 prezintă cele două raporturi. Acestea au fost determinate pe baza valorilor normalizate pentru fiecare aplicaţie, respectiv global pentru cazul în care se foloseşte o singură resursă de securitate în mod constant.

28

5.4. Algoritm de clusterizare pentru reţele de sisteme încorporate securizate În cazul reţelelor fără fir, când nodurile cu cerinţele de securitate diferite încearcă să comunice, negocierea metodei de securitate care urmează să fie utilizata pentru a securiza transmisia de date poate creşte consumul de energie şi poate duce la degradarea securităţii pe unele noduri. Astfel, acest subcapitol descrie un algoritm pentru negocierea setărilor de securitate utilizate într-o reţea fără fir de tip „mesh”, cu scopul de a reduce consumului de energie. Acesta foloseşte o schemă de clusterizare pentru a configura zone unde se foloseşte o singură metodă de securitate, ce este aleasă pe baza caracteristicilor de securitate şi energetice ale nodurilor constituente. Algoritmul este proiectat să facă faţă modificărilor de securitate şi de energie ce apar la nivelul nodurilor în momentul rulării.

5.4.1. Modelul mecanismului de clusterizare Algoritmul propus se numeşte CLASS (CLustering Algorithm for Security ResourceS) şi se bazează pe un proces stochastic pentru a distribui uniform resursele de securitate utilizate de către nodurile reţelei. Nodurile se organizează în zone de comunicaţie şi aleg resursa de securitate care urmează să fie utilizata pentru zona respectivă. Pentru comunicaţiile între clustere, fiecare zonă are un nod „cluster-head” (CH), care rutează datele comunicate. Deoarece nodurile CH consumă mai multă energie ca urmare a utilizării a cel puţin două resurse de securitate, acestea sunt actualizate în mod dinamic, în scopul de a distribui consumul de energie în cluster. Modul de operare al algoritmului CLASS este organizat pe baza unor runde. Fiecare runda presupune o fază de configurare, în care sunt determinate clusterele şi setările iniţiale. Aceasta este urmată de faza de funcţionare în care reţeaua este disponibilă şi funcţionează normal. Tot în această fază se realizează în mod automat adaptări ale nodurilor CH şi ale resurselor de securitate folosite. Procesul de constituire a clusterelor este bazat pe algoritmul LEACH (Heinzelman, Chandrakasan şi Balakrishnan, 2000). Fiecare nod generează o valoare aleatoare între 0 şi 1. În cazul în care valoarea nu depăşeşte o valoare de prag, nodul începe formarea clusterului. Relaţia valoarii de prag este prezentată în (5.5) şi este similară cu cele prezentate în (Heinzelman, Chandrakasan şi Balakrishnan, 2000; Haase Handy, şi Timmermann, 2002).

29

= 1 ∙ mod 1 , node ∉0 , node ∈ (5.5)

unde p este numărul de noduri ce pot forma clustere, exprimat procentual, şi se calculează ca raportul dintre numărul de clustere şi numărul total de noduri, r este runda curentă, iar CS este o mulţime ce conţine nodurile alese să formeze clustere în ultimele 1/p runde. După ce un nod s-a ales pentru a forma un cluster, acesta transmite un mesaj catre celelalte noduri ce conţie un ID unic ce va identifica clusterul. Nodurile se asociază clusterului format de cel mai apropiat nod constituent, pe baza distanţei calculate din indicele RSSI al mesajelor primite anterior (Botezatu, Manta şi Vieriu, 2011). Acest proces este prezentat în figura 5.8.

Figura 5.8. Modul de formare al clusterelor Figura 5.9. Selecţia resursei de securitate După ce fiecare nod a decis cărui cluster sa i se alăture, între nodurile clusterului se face schimb de informaţii privind energia reziduală şi necesarul de securitate. La nivelul fiecărui nod se efectuează o sortare deterministă pentru valorile energiei reziduale ale nodurilor din cluster, cel ce are cel mai ridicat nivel de energie fiind ales CH, într-o manieră distribuită. Apoi, nodul CH încearcă sa determine resursa de securitate cea mai adecvată pentru cluster. Aceasta se face prin contorizarea numărului de noduri ce doresc să folosească o anumită resursă. Resursa de securitate cu cea mai mare relevanţă pentru cluster este cea dezirabilă pentru majoritatea nodurilor din cluster (figura 5.9).

send (nodeID, clusterID, energy, SRID) while (timeout){ // receive broadcast messages from the // neighboring nodes and // if they are from the same cluster locally store // the information (t_nodeID, t_clusterID, t_energy, t_SR) = receive () if (t_clusterID == clusterID) node_list [index] = (t_nodeID, t_energy, t_SR) } // search the node_list for the highest energy value max_index = search_max (node_list.energy) if (nodeID == max_index) { // node is elected CH // count the number of nodes for every SR for (i=1 to index) SR_count[node_list[i].SR] ++ // determine the SR that is desired by most of // the nodes CSR = search_max (SR_count) // broadcast the chosen SR send(CSR)}

30

5.5. Evaluarea algoritmului Pentru a valida mecanismului de clusterizare, am dezvoltat un set de simulări bazate pe biblioteca SystemC. Am evaluat algoritmul CLASS alături de o configuraţie de comunicaţie directă non-adaptabilă (NADC). Pentru mesajele transmise între oricare două noduri, NADC securizează datele folosind resursele de securitate dorite de nodul sursă. Cele două metode au fost evaluate din punct de vedere al duratei de viaţă a reţelei şi a lăţimii de bandă agregate. Durata de viaţă de reţea a reţelei este definită ca timpul scurs până ce primul, respectiv ultimul nod al reţelei îşi consumă energia şi este exprimată în număr de runde. Lăţimea de bandă agregată este definită ca rata medie de tranfer a datelor şi este exprimată în kiloocteţi pe secundă. Configuraţia de simulare se bazează pe o reţea fără fir de tip „mesh” cu parametrii din tabelul 5.7.

Parameter Value Network layout and

dimension Bidimensional – 200 x 200

meters Number of nodes 100

Nodes deployment Random – uniform distribution

Node transmission range

89 meters

Initial energy Random – uniform distribution between 1 and

8 Joules ε parameter 0.5 Joules Data source Random – Bounded Pareto

distribution (L = 1, H = 8k, α = 1)

Tabel 5.7. Parametrii de simulare (Botezatu, Manta and Vieriu, 2011).

Figura 5.10. Variaţia consumului de energie şi a lăţimii de bandă în funcţie de numărul de clustere (Botezatu, Manta and Vieriu, 2011).

Pentru a evalua algoritmul CLASS, iniţial s-a determinat numărul optim de clustere. Numărul de clustere a fost variat între 1 şi 100; pentru valorile extreme (1 şi 100 clustere) performanţa reţelei este similară cu cea a configuraţiei NADC (un cluster de 100 de noduri este echivalent cu 100 de clustere de câte 1 nod fiecare) (figura 5.10). Cel mai mic consum de energie a fost obţinut pentru 6 clustere şi valoarea cea mai ridicată a lăţimii de bandă a fost obţinută pentru 20 de clustere. Datorită acestor rezultate, restul de simulări au fost efectuate pe intervalul dintre cele două valori.

31

Durata de viaţă de reţea a fost evaluata în ceea ce priveşte parametrii λ şi Ψ pentru 6 - 20 clustere. Datorită volumului mare de informaţii, doar cele mai relevante rezultate sunt prezentate în continuare. Figura 5.11 prezintă o comparaţie între nodurile vii pentru CLASS şi NADC. Se constatată că este nevoie de o perioadă de timp de aproximativ 7 ori mai mare pentru ca primul nod să moară atunci când Ψ=SW şi de 4,5 ori mai mare atunci când Ψ = FE comparativ cu configuraţia NADC. Deşi primul caz are performanţe mai bune, în medie 16 noduri nu-şi pot adapta securitatea în fiecare rundă de clusterizare, alternând astfel performanţa reţelei. În ceea ce priveşte lăţimea de bandă, rezultatele prezentate în figura 5.12 arată că valorile cele mai mari au fost obţinute când sunt de 20 de clustere pentru ambele valori ale parametrului Ψ. Chiar şi pentru 6 clustere se obţine o valoare a lăţimii de bandă de 1,5 ori mai mare decât cea a configuraţiei NADC.

Figura 5.11. Durata de viaţă a reţelei (nc=6, λ=2) (Botezatu, Manta and Vieriu, 2011).

Figura 5.12. Lăţimea de bandă medie (λ=2) (Botezatu, Manta and Vieriu, 2011).

5.6. Sumar Secţiunea 5.1 prezintă un mecanism auto-adaptabil pentru alegerea soluţiilor de securitate folosite în sisteme încorporate, bazat pe o analiză decizională multi-criteriu. Secţiunea 5.2 descrie o metodologie utilizată pentru ajustarea ponderilor profilelor de rulare utilizate în procesul de decizie. Obiectivul pentru aceasta este optimizarea performanţelor pentru fiecare profil prin minimizarea tranziţiilor inutile între soluţiile de securitate folosite. Secţiunea 5.3 prezintă procesul de evaluare pentru mecanismul WPM, alături de rezultatele obţinute.

32

Secţiunea 5.4 prezintă un alt mecanism de securitate auto-adaptabil, numit CLASS (Clustering Algorithm for Security ResourceS) care este destinat utilizării pe sisteme încorporate conectate în reţea. Acesta utilizează o schemă de clusterizare pentru a grupa nodurile funcţie de resursele de securitate folosite. Secţiunea 5.5 este dedicată evaluării mecanismului CLASS.

33

6. Mecanism pentru adaptarea puterii de transmisie În reţelele fără fir de tip „mesh” (eng. WMN – wireless mesh networks), ca urmare a partajării mediului de transmisie, este necesar un protocol pentru controlul accesului la mediu (eng. MAC – media access control), în scopul reducerii numărului de coliziuni. Majoritatea implementărilor comerciale de protocoale MAC se bazează pe standardul IEEE 802.11. Deoarece acesta a fost iniţial destinat reţelelor de tip WLAN, nu este întotdeauna compatibil cu unele caracteristici ale reţelelor WMN: o densitate mare a nodurilor de reţea; resurse de energie ale nodurilor extrem de limitate, noduri de reţea alimentate de la baterie, şi creşterea utilizării reţelelor WMNs în aplicaţii timp real, care au constrângeri legate de latenţă sau lăţime de bandă. Problemele ridicate de acest protocol MAC sunt datorate mecanismului de „handshake” utilizat şi datorită folosirii uneu valori constante a nivelului de putere de transmisie. Astfel apare o reutilizare spaţială ineficientă, deoarece toate nodurile din raza de comunicaţie a unei perechi de noduri ce comunică trebuie să amâne transmisiile proprii pentru a nu se produce coliziuni. Mai mult, reţelele fără fir sunt predispuse la atacuri de tip „Denial of Service” (DoS) din cauza mediului de comunicaţie partajat şi pentru că aceste tipuri de atacuri pot fi implementate prin utilizarea de echipamente comercial disponibile pe scară largă (Bicakci şi Tavli, 2009). În acest context, capitolul curent vizează implementarea unui mecanism de control al puterii de transmisie bazat pe standardul MAC 802.11, ce are următoarele obiective: (i) diminuarea consumului de energie al nodurilor reţelei, şi (ii) creşterea capacităţii reţelei prin refolosirea mai eficientă a mediului de comunicaţie. Mai mult, am realizat un studiu cu privire la eficienţa mecanismului propus împotriva unor clase de atacuri DoS.

6.1. Protocolul CcPc-MAC Soluţia propusă se bazează pe următoarea idee de control a puterii de transmisie: pachetele RTS sunt trimise cu cea mai mare putere de transmisie disponibilă. Pentru pachetele CTS, luăm în considerare alte transmisii de concurente, în timp ce pachetele de date şi pachetele ACK sunt trimise cu cel mai scăzut nivel de putere pentru a ajunge la destinaţie, conform ecuaţiei (6.1).

34

/ = ∙ (6.1)

unde PTDATA/ACK este nivelul puterii de transmisie pentru pachetele de date şi ACK, PTRTS este puterea de transmisie pentru pachetele RTS, PRCTS este nivelul de putere cu care s-au recepţionat pachetele CTS şi RXTH este valoarea de prag a puterii semnalului pentru recepţia corectă a unui pachet. Sesiunile de comunicaţie sunt începute în mod selectiv, pe baza următorilor factori: distanţa dintre transmiţător şi receptor, precum şi informaţiile despre nodurile vecine care ar putea interfera cu transmisia. La modul general, un nod destinaţie va răspunde la o cerere de începere a unei transmisii numai dacă sursa poate utiliza un nivel de putere, care este suficient de scăzut pentru a nu interfera cu transmisiile în curs de desfăşurare şi destul de ridicat pentru a nu interfera cu vecinii la recepţie (Botezatu şi Dhaou, 2011). Pentru a primi un pachet de date valabil, nodurile transmiţătoare vecine trebuie să fie la o

distanţă de cel puţin ∙ metri distanţă de receptor. Cu alte cuvinte, raza de interferenţă (IR) este exprimat ca în ecuaţia (6.2): = ∙ (6.4)

Aşa cum se arată de Xu, Gerla şi Bae (2002), IR nu este întotdeauna acoperită de mecanismul de „handshake” RTS/CTS. Aceasta este problema care stă la baza deficienţei mecanismului Max-Min: IR rămâne constantă, în timp ce TxR şi CSR scad ca urmare a controlului puterii. Cu alte cuvinte, cu creşterea distanţei dintre nodurile sursă şi destinaţie creşte şi IR, în timp ce TxR şi CSR sunt dictate şi limitate de nivelul de putere utilizat. Protocol CcPC-MAC utilizează două tabele la nivelul fiecărui nod de reţea, unul pentru nivelele de puterea de transmisie disponibile şi unul pentru informaţiile obţinute din pachetele RTS/CTS comunicate de nodurile vecine. Tabelul nivelelor de putere (TPT) are trei câmpuri per intrare (tabelul 6.2): nivelul de putere exprimată în miliwati, raza de transmisie (TxR), exprimată în metri şi zona de acţiune a purtătoarei (CSR), exprimată tot în metri. Deoarece numărul de nivele de putere disponibile este, în general, limitat de hardware-ul interfeţei de comunicaţie, acest tabel este menţinut pentru a scuti nodurile de calcule suplimentare. Intrările sunt ordonate crescător în funcţie de nivelul de putere. Al doilea tabel (NT - tabel vecini) conţine informaţii utile preluate din pachetele RTS/CTS recepţionate: id-ul nodurilor vecine (de exemplu, adresa MAC), distanta pînă vecini, nivelul puterii de transmisie şi durata transmisiei (de exemplu, valoarea NAV). Protocolul funcţionează în felul următor:

• nodul sursă trimite pachetele RTS bazate pe standardul MAC IEEE 802.11 (numai în cazul în care toate nodurile din CSR sunt idle);

35

• la primirea pachetelor RTS, nodurile destinaţie determină distanţa până la sursă şi încearcă să determine nivelul mai mic de putere necesar pentru comunicarea datelor, pe baza informaţiilor din TPT. Apoi se determină IR, care depinde de TxR a nivelului de putere ales şi de distanţa dintr nodurile sursă-destinaţie. Dacă IR este mai mare decât TxR, nodul începe să verifice dacă există noduri active în zona delimitată de IR şi TxR. În cazul în care acest lucru este adevărat, întregul proces se repetă până se găseşte un nivel de putere adecvat transmisiei sau până când nodul receptor consideră că nici un nivel de putere nu poate fi folosit pentru a satisface constrângerile. În acest caz, pachetul CTS de răspuns nu este;

• în cazul în care nodul sursă primeşte un pachet CTS, începe să trimită datele cu acelaşi nivel de putere de transmisie. În cazul în care nu primeşte pachetul CTS într-o perioadă de timp predefinită, conform standardul IEEE 802.11, acesta retransmite pachetul RTS de un număr de ori, înainte de a renunţa pachete de date (valoarea implicită este de 7 încercări). Figura 6.1 prezintă pseudo-codul executat pe nodul destinaţie, după primirea unui pachet RTS.

Figure 6.1. Codul executat de protocolul CcPC-MAC la recepţia unui pachet RTS

// get the receive signal strength indicator for the RTS packet and calculate // the distance to the source(RSSI, PT) = receive (RTS) d = dist (RSSI, PT) // search for a proper power level for (each entry p in TPT) { // verify that the power level covers the distance between the two // nodes if (p.TxR >= d) { // determine if the neighboring nodes interfer with the // transmission with power level p for (each entry n in NT) { if ( n.id == NULL) // the neighbor is in CSZ // the sensed neighbor uses the highest // power level calculate SNR else calculate SNR // if the neighbor interferes with the // transmission, try a higher power level if (SNR > SNRTH) next p } // respond with p power level send (CTS, p.PT) break } }

36

6.2. Evaluarea protocolului Pentru a testa protocolul propus, performanţele sale au fost evaluate prin simulare. Mediu de simulare folosit a fost ns-2 (v2.34) (Fall and Varadhan, 2010). Ambele protocoale CcPc-MAC şi Max-Min au fost implementate ca noi module pentru simulator, pe baza modulului MAC IEEE 802.11. Pentru configuraţia experimentală a reţelei, am folosit o topologie de reţea de 100 de noduri, uniform distribuite din 50 în 50 de metri pe ambele axe (10 pe 10 noduri). Parametrii de simulare privind ai interfeţei fizice de comunicaţie sunt identici cu cei ai interfeţei 914 MHz Lucent WaveLAN DSSS, aceasta fiind setarea implicită a simulatorul, singura diferenta fiind utilizarea de valori variabile pentru nivelul de putere de transmisie. Parametrii cei mai relevanţi ai interfeţei fizice sunt prezentaţi în tabelul 6.1.

Maxim data rate 2 Mbps SNR Threshold 10 dB

Receive Threshold (RxTh) 3.6 · 10 -7 mW Carrier Sense Threshold

(CSTh) 1.5 · 10 -8 mW

Propagation model Two Ray Ground

Power level (mW)

Receive Threshold (m)

Carrier Sense Threshold (m)

9 105.6 232.5 50 162.2 356.9

210 232.2 511

Tabel 6.1. Parametrii interfeţei de comunicaţie Tabel 6.2. Nivelele puterii de transmisie Pentru evaluarea mecanismului de control al puterii, au fost folosite trei nivele de putere, prezentate în tabelul 6.2. Nivelul de putere de 210 mW este cel implicit pentru interfata simulata şi a fost utilizat şi în simulările pentru MAC-ul IEEE 802.11. Sursa de date a fost reprezentată de către un generator de date UDP/CBR, cu o rată de date de 1 Mbps şi o dimensiune a pachetelor de 512 octeţi; pentru rutarea pachetelor am folosit o implementare a protocolului DSDV.

Transmit power level (mW)

Interference transmission power level (mW)

Interference range

9 9

1.78·d 50 1.16·d 210 0.81·d 9

50 2.73·d

50 1.78·d 210 1.24·d 210 210 -

Tabel 6.3. Valorile IR pentru nivelele de putere variabilă (Botezatu and Dhaou, 2011). În cazul metodei CcPc-MAC, valorile de prag pentru trimiterea pachetelor CTS au fost alese pe baza variaţiei zonei IR conform tabelului 6.3. Valorile au fost determinate pe baza combinaţiilor nivelelor de putere din tabelul 6.2 şi a ecuaţiei (6.2).

37

Pentru fiecare configuraţie experimentala, s-au efectuat un număr de 50 de simulari pe o perioadă de 150 de secunde fiecare, în timp ce perechile de noduri emiţător-receptor au fost alese aleatoriu; de asemenea, numărul de perechi a fost variat, în scopul de a evalua performanţa funcţiei de încărcarea reţelei. În scopul reducerii influenţei protocolului de rutare, în evaluarea performanţei reţelei, perechile de noduri au fost alese astfel încât la puterea de transmisie maximă să poată comunica direct. Fişierele rezultate au fost prelucrate pentru a determina:

• Lăţimea de bandă agregată exprimată ca rata medie a pachetelor primite cu succes pe parcursul perioadei de simulare, măsurată în biţi pe secundă (bps) (figura 6.2);

• Rata de pierdere a fost exprimată ca raportului între numărul total de pachete comunicate pe perioada simulării şi numărul de pachete nelivrate, datorită coliziunilor sau a lipsei răspunsului CTS (figura 6.3);

• A treia metrică pentru capacitatea reţelei a fost latenţa medie, reprezentând timpul scurs între generarea unui pachet de date şi primirea lui la destinaţie (figura 6.4);

• Ultima metrică evaluată a fost energia reziduală a reţelei, definită ca energia medie rămasă pentru nodurile reţelei (figura 6.5).

Figura 6.2. Lăţimea de bandă (Botezatu şi Dhaou, 2011)

Figura 6.3. Rata de pierdere (Botezatu şi Dhaou, 2011)

38

Figura 6.4. Latenţa medie (Botezatu şi Dhaou, 2011)

Figura 6.5. Energia reziduală

6.3. Evaluarea disponibilităţii Pentru de a studia modul în care mecanismul nostru reactionează la atacuri de tip DoS, am construit un model de simulare bazată pe un lanţ Markov. Scopul său este de a determina eficacitatea mecanismului MAC propus în raport cu următoarele tipuri de atacuri DoS de nivel fizic: RUA, RA, atacuri „hit and run” şi atacuri „duration inflation”. Aceste tipuri de atacuri au fost alese datorita uşurinţei de implementare şi deoarece, în general, sunt orientate către reţelele de tip „mesh”. Modelul Markov este prezentat în figura 6.6. Numărul de stări, respectiv tranziţii este dependent de numărul nivelelor de putere utilizate şi sunt egale cu np+2 stări şi 3np+3 tranziţii. Modelul conţine următoarele patru tipuri de stări (Botezatu şi Stan, 2011):

• S1 – emiţătorul (E) şi receptorul (R) comunică cu P1. Sistemul va rămâne în această stare cât timp atacatorul este în ER (intervalul de excludere - atacatorul nu poate afecta comunicaţia) sau în cazul în care atacatorul este în IR şi nu este activ;

• S2 - atacatorul este activ. Dacă R primeşte date, se produce o coliziune, iar dacă R este pasiv, acesta ascultă informaţiile vecinilor şi ia în considerare interferenţa atacatorului atunci când negociază o sesiune de date;

• S3 - R declină toate sesiunile de date din cauza nodurilor vecine care transmit (posibil atacatori) deoarece nu poate reduce nivelul de interferenta nici măcar când comunică cu pn. Receptorul rămâne în această stare cât timp informaţiile despre vecini rămân în istoric;

39

• S4-Sm - aceste np-1 stări corespund utilizării nivelelor de putere p2 – pn, în scopul de a reduce IR (excluderea atacatorului). Sistemul rămâne în această stare cât timp atacatorul transmite şi informaţiile sale sunt eliminate din istoric. Rezultatele arată că, atunci când rata de reîmprospătare a istoricului este mare (rh = 0,5), CcPc-MAC depaseste standardul IEEE 802.11 pentru toată gama de distanţe. Pentru celelalte două rate de reîmprospătare considerate, rata de succes a atacurilor DoS este echivalentă cu cea pentru IEEE 802.11 pentru distanţe mai mici de 40 de metri şi este mai mică pentru distanţele mai mari de 125 de metri, respectiv 144 de metri. Pentru atacurile de tip RUA, CcPc-MAC a obţinut o rată de succes pentru atacuri DoS cu 7.6% mai mică decât cea pentru MAC-ul IEEE 802.11.

Figura 6.6. Modelul Markov pentru evaluarea disponibilităţii (Botezatu and Stan, 2011).

Figure 6.7. Rezultatele simulării pentru atacurile de tip “hit and run” (Botezatu and Stan, 2011).

40

6.4. Sumar Secţiunea 6.1 prezină algoritmul CcPc-MAC propus pentru adaptarea automată a puterii de transmisie. Secţiunea 6.2 este destinată evaluării consumului de energie şi capacităţii reţelei pentru acest algoritm, comparativ cu MAC-ul IEEE 802.11 şi protocolul Max-Min, iar secţiunea 6.3 este destinată evaluării disponibilităţii reţelei în cazul atacurilor de tip „Denial-of-Service”.

41

7. Cadru software pentru implementarea mecanismelor de securitate auto-adaptabile Cadrul propus este destinat utilizării în sisteme încorporate cu resurse limitate, pentru implementarea şi evaluarea mecanismelor de securitate auto-adaptabile. Acesta acţionează ca o punte între o aplicaţie software încorporată sau un sistem de operare în timp real (RTOS) şi driverele hardware-ului de comunicaţie. Următoarele caracteristici sunt relevante în ceea ce priveşte arhitectura:

• Cadrul se conectează la o interfaţă de comunicaţie pentru a securiza (criptare/decriptare) datele transferate, folosind una dintre resursele de securitate disponibile. Resursele de securitate sunt reprezentate de algoritmi de criptare cu cheie simetrică, care sunt integraţi într-o bibliotecă a cadrului, ce conţine şi informaţii referitoare la consumul de energie şi performanţele de timp ale algoritmilor;

• Utilizarea algoritmilor simetrici presupune utilizarea unei chei de criptare comune. În acest scop, cadrul implementează două mecanisme pentru schimbarea cheilor de criptare;

• Cadru este conceput pentru a lucra pe o arhitectura tip master-slave, unde sistemul slave este alimentat de la baterie şi sistemul master este alimentat de la reţea. Scopul este de a utiliza sistemul master ca logger de evenimente şi parametri, fără a fi nevoiţi să ţinem cont de resursele energetice;

• Datorită nivelului ridicat de abstractizare şi datorită faptului că este scris în întregime în ANSI C, cadru este uşor de portat pe o gamă largă de procesoare şi compilatoare. Cadrul oferă interfeţe standard atât pentru aplicaţii cât şi pentru driverele sistem.

7.1. Arhitectura software Schema bloc a arhitecturii-cadru este prezentata în figura 7.1 şi este compusa dintr-un modul de transmisie (TXM), un modul de recepţie (RXM) şi un modul de management al puterii (PMM). Modulul de transmisie are două funcţii principale în ceea ce priveşte datele aplicaţiilor. În primul rând datele sunt preluate din coada de transmisie a aplicaţiei şi sunt împachetate într-un

42

cadru de transmisie. Apoi datele sunt criptate folosind un algoritm ales de PMM şi sunt trimise într-o coadă de aşteptare ce deserveşte driverul de transmisie al interfeţei de comunicaţie.

Figura 7.1. Arhitectura cadrului (Botezatu, Stan and Panduru, 2009).

Figura 7.2. Mecanismul de schimbare a cheii de criptare (Stan and Botezatu, 2009b).

Figura 7.3. Procesul de sincronizare a cheilor de criptare

Modulul de recepţie preia pachetele de date criptate de la driverul de comunicaţie prin intemediul unei cozi de aşteptare şi apoi le decriptează. Pachete de date sunt verificate să fie valide şi sunt trimise spre a fi foloste de aplicaţii. Modului PMM are capacitatea de a stabili algoritmul de criptare utilizate pentru securizarea datelor, deoarece include mecanismul auto-adaptabil în curs de evaluare. Acesta este interfaţat la o serie de drivere de sistem, în scopul de a obţine intrările necesare pentru mecanismul de adaptare (tensiunea bateriei, starea de încărcare a bateriei, baza de timp a sistemului). Resursele actuale de securitate sunt reprezentate de o colecţie de algoritmi de

43

criptare cu cheie simetrică care este interfaţată direct la mecanismul auto-adaptabil. Mai mult, modulul PMM include şi un modul de management al cheilor de criptare, care se ocupă cu generarea şi schimbul acestor chei (figurile 7.2 şi 7.3). Ultima caracteristică a modulului PMM este reprezentată de o interfaţă generică pentru conectarea la nivelul aplicaţie al sistemului, prin intermediul căreia sunt obţinute cerinţele şi constrângerile aplicaţiilor (Botezatu, Stan şi Panduru, 2009).

7.2. Evaluarea cadrului Configuraţia experimentală folosită este prezentată în figura 7.4. Sistemul este compus din două noduri pe care rulează cadrul, bazate pe microcontrolere pe 32 de biţi STM32, cu un nucleu ARM Cortex-M3. Aceste sisteme dispun de o conexiune wireless Bluetooth 2.0. Aplicaţia ce rulează pe sistemul A eşantionează un semnal audio, care este transmis către sistemul B. Datele vehiculate de cele două sisteme, cu o rată de eşantionare de 8 kHz, sunt criptate prin intermediul cadrului.

Figure 7.4. Configuraţia experimentală pentru evaluarea cadrului.

Evaluarea consumului de energie a fost efectuată pe Sistemul A, folosind un multimetru digital Agilent U1252A ce permite logarea datelor şi un rezistor de putere de o valoare mică conectat în serie cu sistemul şi cu bateria acestuia. Prin folosirea acestei configuraţii, au fost obţinute valorile puterii disipate de sistem care au fost corelate cu timing-ul experimentelor pentru a determina consumul de energie al sistemului. Sistemul B a fost conectat la un PC, în scopul de a obţine informaţii cu privire la funcţionarea cadrului, starea şi parametrii pentru experimentele gradului de încărcare.

Core Target Compiler ISA Flash (kB) RAM (kB) ARM Cortex-M0 LPC1114 IAR v5.50 Thumb 9.08 3.45

ARM Cortex-M3 STM32F103RBT6 Rowley v1.7

ARM + Thumb 9.14 2.12

gcc v4.4.2 8.43 2.45 IAR v5.50 7.78 3.45

44

LPC1768 IAR v5.50 ARM + Thumb 7.78 3.45 ARM7TDMI-S AT91SAM7X256 IAR v5.50 ARM + Thumb 8.84 10.95

ARM92EJ-S AT91SAM9260 gcc v4.2.4 ARM 17.5 - AT91SAM9G20 gcc v4.2.4 ARM 17.5 -

Tabel 7.1. Amprenta de memorie a cadrului

Figure 7.15. Latenţa şi încărcarea comunicaţiei induse de folosirea cadrului.

7.3. Sumar Acest capitol prezintă un cadru software pentru implementarea şi evaluarea mecanismelor de securitate auto-adaptabile pe sisteme încorporate, ce are ca obiectiv un timp scurt de implementare şi o portabilitate crescută.

45

8. Concluzii O mare parte din sistemele încorporate care sunt utilizate zilnică nu mai pot fi dezvoltate fără a ţine cont de cerinţele de securitate ale utilizatorilor. Datorită mediilor şi tehnologiilor multiple de comunicaţie, cu şi fără fir, care există astăzi, multe forme de abuz şi de furt al informaţiei pot fi îndreptate către aceste sisteme, cu consecinţe ce variază de la nerespectarea confidenţialităţii pînă la pierderea de vieţi omeneşti. Există multe tipuri de resurse, servicii şi protocoale de securitate, care sunt menite să asigure cerinţele de securitate de bază ale oricărui sistem de calcul: confidenţialitate, integritate şi disponibilitate. Totuşi, atunci când se abordează domeniul sistemelor încorporate, există o diferenţă fundamentală între cererea şi oferta de resurse de securitate care îşi are cauza în următoarele aspecte: (i) cele mai multe sisteme embedded au resurse de calcul limitate, o dimensiune mică a memoriei, precum şi o capacitate limitată a bateriei, şi (ii) majoritatea mecanismelor de securitate au ca unic obiectiv sporirea securităţii şi, în consecinţă, sunt foarte consumatoare de resurse. Astfel, se poate afirma că asigurarea securităţii pentru sistemele încorporate nu este întotdeauna un proces simplu şi uşor de implemetat.

8.1. Sumar şi discuţii În prima parte a lucrării, au fost prezentate cerinţele de securitate şi provocările ridicate de procesul de securizare al sistemelor încorporate, alături de sursele de disipare a puterii şi sursele de consum de energie, cu scopul de a realiza o legătură între securitate şi consumul de energie din perspectiva operaţiilor de calcul şi al comunicaţiilor fără fir . Apoi, a fost realizată o sinteză a literaturii de specialitate şi au fost prezentate rezultate semnificative ale altor autori ce au avut obiective similare cu cele urmărite în lucrare, respectiv de a implementa soluţii de securitate pentru sistemele încorporate funcţie de caracteristicile dinamice ale acestora, cu scopul de a obţine o reducere a consumului de energie şi de a menţie un nivel de securitate potrivit. Am abordat două direcţii de cercetare referitoare la reducerea consumului de energie în sistemele încorporate securizate. Prima direcţie de cercetare se referă la utilizarea arhitecturilor software auto-adaptabile, cu scopul de a modifica securitatea sistemelor încorporate în timpul execuţiei, fără sau cu intervenţia minimă a utilizatorului. După cum a fost prezentat în capitolul 4, această abordare are avantajul de a utiliza mecanisme standard de securitate funcţie de

46

dinamica mediului în care operează sistemul sau funcţie de parametrii acestuia, cu scopul de a realiza reducerea consumului de energie. Principiul acestei abordări este: "satisfacerea cerinţelor de securitate ale sistemului sau ale aplicaţiei folosind cel mai performant mecanism de securitate din punct de vedere al consumului de energie şi al performanţelor de execuţie ce se pretează pentru nivelul de securitate necesar". Pornind de la aceast principiu, s-a prezentat viziunea cu privire la o astfel de arhitectură auto-adaptabilă şi s-a discutat despre interacţiunile sale cu parametrii sistemului şi cu parametrii mediului. De asemenea, au fost prezentate blocurile sale componente şi s-a formalizat funcţionarea sa folosind un automat hibrid. Pornind de la arhitectura propusă, s-au conceput două mecanisme de securitate auto-adaptabilă, care sunt destinate reducerii consumului de energie şi creşterii performanţelor sistemului. Ambele au fost prezentate în capitolul 5. Primul mecanism are ca scop implementarea securităţii pe sisteme izolate sau pe perechi de sisteme ce comunică „unu la unu” şi este formulat ca un mecanism de analiză decizională multi-criteriu (eng. MCDA – multiple-criteria decision analysis). La baza acestui mecanism stă metoda de analiză a produsului ponderat (eng. WPM – weighted product model), ce a fost aleasă pentru proprietatea sa de a fi o metodă de analiză adimensională, ceea ce înseamnă că elimină orice unităte de măsură de la valorile care descriu alternative decizionale. Acesta este un avantaj, deoarece criteriile decizionale alese se bazează pe volumul de date ce trebuie securizat, pe consumul de energie şi pe caracteristicile de timp ale resurselor de securitate utilizate. Rezultatele simulărilor efectuate arată că mecanismul propus obţine scăderi ale consumului de energiei şi creşterea performanţei de timp în comparaţie cu cazul în care pe sistemul de test rulează metode de securitate în mod static. Al doilea mecanism porneşte de la premisa că eterogenitatea introdusă de metodele de securitate auto-adaptabilitate are un impact negativ atunci când se doreşte comunicaţia între mai mute sisteme. În cazul reţelelor fără fir de tip „mesh”, când nodurile reţelei, cu cerinţele de securitate diferite, încearcă să stabilească legături de comunicare, negocierea securităţii poate duce la creşterea consumului de energie sau la degradarea securităţii pentru unele noduri. De aceea, s-a propus un mecanism pentru negocierea securităţii în reţelele fără fir de tip „mesh”, cu scopul de a reduce consumul de energie. Acesta se bazează pe o schemă de clusterizare pentru a defini un set de zone unde securitatea este aleasă pe baza caracteristicilor de securitate şi de energie ale nodurilor constituente. Mecanismul a fost proiectat să facă faţă modificărilor ce pot apare în cerinţele de securitate ale nodurilor şi modificărilor nivelului de energie al nodurilor şi se adaptează în consecinţă, cu constrângerile impuse. Rezultatele simulării arată că prin reglarea parametrilor de control ai mecanismului şi prin alegerea numărului optim de clustere, se pot obţine îmbunătăţiri semnificative ale duratei de funcţionare a reţelei şi a lăţimii de bandă.

47

A doua direcţie de cercetare a avut ca scop studierea variaţiei unor parametrii fizici ai sistemelor încorporate în vederea obţinerii reducerii consumului de energie şi a îmbunătăţirii parametrilor de securitate ai acestora, după cum a fost prezentat în capitolul 6. Cercetarea s-a axat pe studiul reţelelor de comunicaţii fără fir deoarece sunt disponibile pe scară largă în aplicaţii comerciale şi militare. Mai mult, ca urmare a organizării stratificat a stivelor de comunicaţie, există un grad ridicat de heterogenitate în ceea ce priveşte implementarea securităţii, deoarece diferite clase de soluţii de securitate sunt aplicate la diferite nivele ale stivei. Datorită existenţei unei documentaţii detaliate referitoare la neajunsurile şi punctele slabe ale protocolului MAC bazat pe standardul IEEE 802.11, s-a propus realizarea unui protocol MAC similar, care ar controla dinamic puterea de emisie radio, cu scopul de a reduce consumul de energie şi de a îmbunătăţi capacitatea reţelei. Metoda propusă a fost concepută pentru a reduce numărul de coliziuni ce apar ca urmare a nodurilor ascunse, ce nu sunt acoperite de mecanismul RTS/CTS, reducând în acelaşi timp puterea de transmisie la nivelul minim necesar. Rezultatele experimentale arată că, în comparaţie cu standardul IEEE 802.11 şi cu un mecanism similar de adaptare a puterii de transmisie, protocolul propus, CcPc-MAC, duce la scăderea semnificativă a consumului de energie, menţinând în acelaşi timp cel puţin acelaşi nivel de performanţă pentru mai multe metrici ale capacităţii reţelei. Deoarece nivelurile fizic şi MAC ale standardului IEEE 802.11 sunt predispuse la mai multe clase de atacuri de tip „Denial-of-Service” (DoS), s-a investigat modul în care mecanismul propus reacţionează la astfel de atacuri. Chiar dacă nu este capabil să detecteze astfel de atacuri, datorită dinamicii nivelului de putere de transmisie şi istoriei evoluţiei păstrate de fiecare nod, referitoare la nodurile vecine, CcPc-MAC are o probabilitate mai mare în ceea ce priveşte disponibilitatea comunicaţei faţă de protocolul MAC IEEE 802.11. Un obiectiv secundar pentru această lucrare a fost dezvoltarea unui cadru software generic pentru implementarea facilă şi rapidă a mecanismelor de securitate auto-adaptabile. Arhitectura propusă este destinată utilizării în sisteme încorporate cu resurse limitate şi actionează ca o punte între o aplicaţie software sau un sistem de operare de timp real şi driver-ele hardware-ului de comunicaţie. Acesta utilizează algoritmi de criptare cu cheie simetrică pentru asigurarea securităţii şi implementează două tipuri de mecanisme pentru schimbarea cheilor de criptare. Implementările experimentale pe platforme cu diferite procesoare pe 32 de biţi arată că acest cadru software are o amprenta de memorie ce îl face potrivit pentru dispozitivele încorporate cu resurse limitare. De asemenea, o aplicaţie de test demonstrează că încărcarea suplimentară adusă mediului de comunicaţie nu este semnificativă.

48

8.2.Contribuţii În această lucrare am prezentat contribuţii în domenile reducerii consumului de energie al dispozitivelor încorporate, al securizării dispozitivelor încorporate şi al sistemelor auto-adaptabile. Principalele contribuţii sunt:

1. Sintetizarea unei arhitecturi de securitate auto-adaptabile, prezentarea blocurilor componete şi a interacţiunii acestora cu mediul de operare. Mai mult, a fost formalizată descrierea funcţională a procesului de adaptare a securităţii prin intermediul unui automat hibrid;

2. Propunerea unui mecanism de securitate auto-adaptabil pentru alegerea resurselor de securitate care sunt în concordanţă cu cerinţele de securitate ale aplicaţiilor ce rulează în sistem, ce are ca obiectiv reducerea consumului de energie şi creşterea performanţelor funcţie de profilul de rulare;

3. Pentru mecanismul menţionat anterior, am dezvoltat o metodologie pentru reglarea parametrilor profilurilor de rulare ale aplicaţiilor, cu scopul de a obţine cel mai bun raport între performanţă şi consum;

4. Pentru scenarii ce privesc reţele de comunicaţii ce includ sisteme cu securitate auto-adaptabilă, am propus un algoritm de clusterizare care are ca obiectiv reducerea consumului de energie. Prin scăderea încărcării de negociere introduse de caracterul heterogen al cerinţelor de securitate din întreaga reţea, se cresc atât durata de funcţionare a reţelei, cât şi metricile de performanţă;

5. Propunerea unui protocol MAC pentru reţele fără fir de tip „mesh”, derivat din protocolul MAC IEEE 802.11, ce utilizează un mecanism adaptabil de control a puterii de transmisie. Scopul acestuia este de a depăşi limitările protocolului MAC IEEE 802.11 în ceea ce priveşte problema nodurilor ascunse, în vederea creşterii capacităţii reţelei şi scăderii consumului de energie. De asemenea, am relevat că protocolul propus are o probabilitate mai mare de menţinere a disponibilităţii reţelei atunci când se confruntă cu anumite categorii de atacuri de tip „Denial-of-Service;

6. Dezvoltarea unui cadru software pentru implementarea mecanismelor de securitate auto-adaptabile. Aceasta a inclus o abordare nouă în ceea ce priveşte proiectarea unor automate cu stări finite generice şi propunerea a două mecanisme de schimbare a cheilor de criptare pentru algoritmii de criptare simetrici.

49

8.3.Direcţii de cercetare viitoare Anumite aspecte ale acestei cercetări evidenţiază câteva direcţii interesante de cercetare ce pot fi urmate. Problema determinării relevanţei unei metode de securitate pe baza unei serii de parametri de sistem şi de mediu, formulată ca o problemă de analiză decizională multi-criteriu este un subiect de cercetare actual şi este investigată de mai mulţi autori. Metoda propusă ce utilizează modelul produsului ponderat (eng. WPM – weighted product model) poate fi investigată în continuare prin propunerea de noi criterii de evaluare sau prin includerea mai multor caracteristici ale soluţiilor de securitate în modelul decizional. De asemenea, este interesant de văzut cum reacţionează acest mecanism auto-adaptabil la scalabilitate, prin punerea în aplicare de scenarii de testare mai complexe. Deşi am luat în considerare în procesul decizional doar caracteristicile de energie şi timp ale soluţiilor de securitare, modul de implementare a soluţiilor de securitate, chiar şi a celor consacrate, poate fi deficitar. De aceea, mecanismul auto-adaptabil ar putea fi dezvoltate în continuare pentru a include evaluarea şi analiza vulnerabilităţii alături de un modul de detecţie pentru diferite clase de atacuri. Algoritmul de clusterizare CLASS poate fi dezvoltat în continuare prin propunerea de noi mecanisme de determinare a resurselor de securitate potrivite pentru fiecare cluster şi pentru adaptarea securităţii pe nodurile clusterului. De asemenea, ar fi interesant de studiat un mod în care poate fi evaluat şi determinat numărul optim de clustere în timpul rulării, în vederea reducerii consumului de energie sau creşterii performanţelor. Ultimul mecanism auto-adaptabil propus, protocolul CcPc-MAC, poate fi îmbunătăţit prin creşterea granularităţii nivelelor de putere utilizate, prin dezvoltarea unui hardware dedicat. De asemenea, un mecanism de handshake mai complex ar putea fi propus pentru a preveni situaţiile în care transmisiile sunt amânate din cauza nodurilor vecine care nu sunt acoperite de mecanismul RTS/CTS standard. O soluţie poate fi reprezentată de introducerea unui acces bazat pe slot-uri de timp într-o zonă limitată.

50

Bibliografie 3GPP2 Project, 2004. Cdma2000 Evaluation Methodology. [online]. Available at:

<http://www.3gpp2.org/Public_html/specs/C.R1002-0_v1.0_041221 .pdf> [Accessed 20 July 2011].

Aitken, R. Kuo, G. and Wan, E., 2005. Low-power flow enables multi-supply voltage ICs, EETimes [online]. Available at: <http://www.eetimes.com/electronics-news/4052072/Low-power-flow-enables-multi-supply-voltage-ICs> [Accessed 4 August 2011].

Alur, R. and Dill, D.L., 1994. A Theory of Timed Automata. Theoretical Computer Science, 126, pp. 183-235.

Anderson, J.A., 2006. Automata Theory with Modern Applications. Cambridge: Cambridge University Press.

Andress, J., 2011. The Basics of Information Security: Understanding the Fundamentals of InfoSec in Theory and Practice. Waltham: Syngress.

Arnold, B.C., 1983. Pareto distributions. Burtonsville: International Co-operative Publishing House.

Bandinelli, M. Paganelli, F. Vannuccini and G. Giuli, D., 2009. A Context-Aware Security Framework for Next Generation Mobile Networks. In: Schmidt, A. and Lian, S. eds., 2009. Security and Privacy in Mobile Information and Communication Systems. Berlin: Springer, pp. 134-147.

Bao, M. Andrei, A. Eles, P. and Peng, Z., 2009. On-line thermal aware dynamic voltage scaling for energy optimization with frequency/temperature dependency considerations. In: Proceedings of the 46th Annual Design Automation Conference. New York: ACM, pp. 490-495.

Bergamo, P. et al., 2004. Distributed power control for energy efficient routing in ad hoc networks. Wireless Networks, 10(1), pp. 29-42.

Bicakci, K. and Tavli, B., 2009. Denial-of-Service attacks and countermeasures in IEEE 802.11 wireless networks. Computer Standards & Interfaces, 31(5), pp. 931-941.

Bishop, M., 2003. Computer security: art and science. Boston: Pearson Education. Botezatu, N. and Dhaou, R., 2011. Adaptive Power Control in 802.11 Wireless Mesh Networks.

In: Proceedings of the World Congress on Engineering, The 2011 International Conference of Wireless Networks, Hong Kong: Newswood Limited, pp. 1751-1754.

51

Botezatu, N. Manta, V. and Stan, A., 2010. Self-adapable Security Architecture for Power-aware Embedded Systems. In: Proceedings of the 14th International Conference on System Theory and Control, Craiova: University of Craiova Press, pp. 98-103.

Botezatu, N. Manta, V. and Stan, A., 2011. Self-adaptability in Secure Embedded Systems: an Energy-performance Trade-off. In: Proceedings of the World Congress on Engineering, The 2011 International Conference of Information Security and Internet Engineering, Hong Kong: Newswood Limited, pp. 495-499.

Botezatu, N. Manta, V. and Vieriu, G., 2011. A Clustering Algorithm for Negotiating Security in Wireless Mesh Networks. Pending publication and presentation at the 15th International Conference on System Theory, Control and Computing, 14-16 October, Sinaia, Romania.

Botezatu, N. and Stan, A., 2009. Low-power Embedded Device Used in Healthcare Systems. Bulletin of the Polytechnic Institute of Iaşi, Automatic Control and Computer Science Section, Tome LV (LIX), Fascicle 1, pp. 37-50.

Botezatu, N. and Stan, A., 2011. Denial of Service resistant MAC for wireless mesh networks. Pending publication and presentation at the 22nd DAAAM International World Symposium, 23-26 November, Vienna, Austria.

Botezatu, N. Stan, A. and Panduru, L., 2009. Power-aware Framework for Encrypted Communications. In: Proceedings of the 20th DAAAM World Symposium “Intelligent Manufacturing & Automation: Theory, Practice & Education”, Vienna: DAAAM International, pp. 825-826.

Boyd, C. and Mao, W., 1994. On a limitation of BAN logic. In: Proceedings of EUROCRYPT ’93 (Workshop on the theory and application of cryptographic techniques on Advances in cryptology. New Jersey: Springer-Verlag, pp. 240-247.

Bridgman, P.W., 1922. Dimensional Analysis. New Haven: Yale University Press. Brun, Y. et al., 2009. Engineering Self-Adaptive Systems through Feedback Loops. In: Software

Engineering for Self-Adaptive Systems. Berlin: Springer-Verlag, pp. 48-70. Buchmann, I., 2011. Batteries in a Portable World: A Handbook on Rechargeable Batteries for

Non-Engineers, 3rd ed. Richmond: Cadex Electronics. Burrows, M. Abadi, M. and Needham R., 1990. A logic of authentication. Transactions of

Computer Systems, 8(1), pp. 18-36. Chandramouli, R. Bapatla, S. and Subbalakshmi, K.P., 2006. Battery Power-Aware Encryption.

ACM Transactions on Information and System Security, 9(2), pp. 162-180. Chang, Y.-C. and Sheu, J.-P., 2009. An Energy Conservation MAC Protocol in Wireless Sensor

Networks. Wireless Personal Communications: An International Journal, 48(2), pp. 261-276.

52

Chen, H.-H., Fan, Z. and Li, J., 2006. Autonomous Power Control MAC Protocol for Mobile Ad Hoc Networks. EURASIP Journal on Wireless Communications and Networking, 2006, pp. 1-10.

Cheng, B.H.C. et al., 2009. Software Engineering for Self-Adaptive Systems: A Research Roadmap. In: Software Engineering for Self-Adaptive Systems. Heidelberg: Springer-Verlag Berlin, pp. 1-26.

Chigan, C. Li, L. and Ye, Y., 2005. Resource-aware Self-Adaptive Security Provisioning in Mobile Ad Hoc Networks. In: Proceedings of the 2005 IEEE Wireless Communications and Networking Conference. Washington DC: IEEE, pp. 2118-2124.

Computer Security Institute, 2011. 15th Annual 2010/2011 Computer Crime and Security Survey. [Online] Available at: <http://gocsi.com/survey> [Accessed 6 July 2011].

Dierks, T. and Rescorla, E., 2008. The Transport Layer Security (TLS) Protocol – Version 1.2. RFC5246. [online] Internet Engineering Task Force. Available at: <http://tools.ietf.org/html/rfc5246> [Accessed 17 July 2011].

Dobson, S. et al., 2006. A survey of autonomic communications. ACM Transactions on Autonomous and Adaptive Systems, 1(2), pp. 223-259.

Edler von Koch, T.J.K. Böhm, I. and Franke, B., 2010. Integrated instruction selection and register allocation for compact code generation exploiting freeform mixing of 16- and 32-bit instructions. In: Proceedings of the 8th annual IEEE/ACM International Symposium on Code Generation and Optimization. New York: ACM, pp. 180-189.

Erbes, T., 2004. Stochastic Learning Feedback Hybrid Automata for Dynamic Power Management in Embedded Systems. M.S., Virginia Polytechnic University.

Fall, K. and Varadhan, K., 2010. The ns Manual. [online] Berkeley: VINT Project. Available at: <http://www.isi.edu/nsnam/ns/doc/ns_doc.pdf> [Accessed 17 February 2011].

Fei, Y. Ravi, S. Raghunathan, A. and Jha, N.K., 2007. Energy-optimizing source code transformations for operating system-driven embedded software. ACM Transactions on Embedded Computing Systems, 7(1), pp. 2:1-2:25.

Feiler, P. et al., 2006. Ultra-large-scale systems: The software challenge of the future, Technical report. Software Engineering Institute, [online]. Available at: <http://www.sei.cmu.edu/uls/> [Accessed 8 August 2011].

Ferrante, A. et al., 2007. Self-adaptive Security at Application Level: a Proposal. In: Proceedings of the 3rd International Workshop on Reconfigurable Communication-centric Systems-on-Chip. Montpellier: Univ. Montpellier II, pp. 154-160.

Garcia-Marchon, O. and Baldus, H., 2009. The ANGEL WSN Security Architecture. In: Proceedings of the Third Internationl Conference on Sensor Technologies and Applications. Washington DC: IEEE, pp. 430-435.

53

Gast, M., 2005. 802.11 Wireless Networks: The Definitive Guide, 2nd ed. Sebastopol: O’Reilly Media.

Gebotys, C., 2005. Low-Power Software Techniques. In: Piguet, C. ed., 2005. Low-Power Electronics Design. Boca Raton: CRC Press. Ch. 34.

Gossain, H. Cordeiro, C. de M. and Agrawal, D.P., 2005. Energy efficient MAC protocol with spatial reusability for wireless ad hoc networks. International Journal of Ad Hoc Networks and Ubiquitous Computing, 1(1/2), pp. 13-26.

Gou, H. Li, G. and Yoo, Y., 2009. A Partition-Based Centralized LEACH Algorithm for Wireless Sensor Network Using Solar Energy. In: Proceedings of the International Conference on Convergence and Hybrid Infromation Technology. New York: ACM, pp. 60-66.

Grilo, A. Macedo, M. and Nunes, M., 2007. An energy-efficient low-latency multi-sink MAC protocol for alarm-driven wireless sensor networks. In: In: Proceedings of the Third International EURO-NGI Network of Excellence Conference on Wireless Systems and Mobility in Next Generation Internet. Berlin: Springer-Verlag, pp. 87-101.

Gummadi, R. Wetherall, D. Greenstein, B. and Seshan, S., 2007. Understanding and Mitigating the Impact of RF Interference in 802.11 Networks. In: Proceedings of the ACM SICOMM. New York: ACM, pp. 385-396.

Hager, C., 2004. Context Aware and Adaptive Security for Wireless Networks. Ph.D. Virginia Polytechnic University.

Handy, M.J. Haase, M. and Timmermann, D., 2002. Low Energy Adaptive Clustering Hierarchy with Deterministic Cluster-Head Selection. In: Proceedings of the 4th International Workshop on Mobile and Wireless Communications Network. Washington DC: IEEE, pp. 368-372.

Heinzelman, W.R. Chandrakasan, A and Balakrishnan, H., 2000. Energy-Efficient Communication Protocol for Wireless Microsensor Networks. In: Proceedings of the 33rd Hawaii International Conference on System Sciences. Washington DC: IEEE, pp. 8020.

Henzinger, T.A., 1996. The Theory of Hybrid Automata. In: Proceedings of the 11th Annual IEEE Symposium on Logic in Computer Science. Washington D.C.: IEEE, pp. 278-292.

Ho, I. W.-H. and Liew S.C., 2007. Impact of Power Control on Performance of IEEE 802.11 Wireless Networks. IEEE Transactions on Mobile Computing, 6(11), pp. 1245-1258.

Hoglund, G. and McGraw, G., 2004. Exploiting Software: How to Brake Code. Boston: Pearson Education.

IEEE Standards Working Group, 2007. IEEE Std 802.11-2007 Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. New York: IEEE.

54

International Standards Office, 2005. ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management. Geneva: ISO.

Jung, E.-S. and Vaidya N., 2005. A Power Control Protocol for Ad Hoc Networks. Wireless Networks, 11, pp. 55-66.

Kacimi, R. Dhaou, R. and Beylot, A.-L., 2009. Using energy-efficient wireless sensor network for cold chain monitoring. In: Proceedings of the 6th IEEE Conference on Consumer Communications and Networking. Piscataway: IEEE Press, pp. 274-278.

Kawadia, V. and Kumar, P., 2005. Principles and Protocols for Power Control in Wireless Ad Hoc Networks. IEEE Journal on Selected Areas in Communications, 23(1), pp. 76-88.

Kiratiwintakorn, P., 2005. Energy Efficient Security Framework for Wireless Local Area Networks. Ph.D., University of Pittsburgh.

Kocher, P. et al., 2004. Security as a New Dimension in Embedded System Design. In: Proceedings of the 41st Design Automation Conference. New York: ACM Press, pp. 753-760.

Kogge, P., 2010. Introduction to CMOS VLSI Design – Power, CSE40462 VLSI Design. [online] Notre Dame University. Available at: <http://www.cse.nd.edu/courses/cse40462/www/Public/lectures/L07A-power.pdf> [Accessed 4 August 2011].

Kremer, U., 2005. Low-Power/Energy Compiler Optimizations. In: Piguet, C. ed., 2005. Low-Power Electronics Design. Boca Raton: CRC Press. Ch. 35.

Kunz, T., 2009. Energy-efficient routing in mobile ad hoc networks: a cautionary tale. International Journal of Autonomous and Adaptive Communication Systems, 2(1), pp. 70-86.

Lee, B. Bae, S. and Han, D., 2008. Design of Network Management Platform and Security Framework for WSN. In: Proceedings of the 2008 IEEE International Conference on Signal Image Technology and Internet Based Systems. Washington DC: IEEE, pp. 640-645.

Lee, C. Lee, J.K. Hwang, T. and Tsai, S.-C., 2003. Compiler Optimization on VLIW Instruction Scheduling for Low Power. ACM Transactions on Design Automation of Electronic Systems, 8(2), pp. 252-268.

Li, P. Geng, X. and Fang, Y., 2009. An Adaptive Power Controlled MAC Protocol for Wireless Ad Hoc Networks. IEEE Transactions on Wireless Communications, 8(1), pp. 226-233.

Lynch, N. Segala, R. and Vaandrager, F., 2003. Hybrid I/O Automata. Information and Computation, 185(1), pp. 105-157.

Marcu, M. Tudor, D. and Fuicu, S., 2009. Towards a Network-Device Unified Framework for Power-Aware Wireless Applications. In: Proceedings of the 2009 International Wireless

55

Conference on Wireless Communications and Mobile Computing: Connecting the World Wirelessly. New York: ACM, pp. 963-967.

Marcus, L., 2004. Introduction to Logical Foundations of an Adaptive Security Infrastructure. In: Workshop on Logical Foundations of an Adaptive Security Infrastructure. Turku, Finland, 12-13 July 2004.

Martin H., J.A. de Lope, J. and Maravall, D., 2009. Adaptation, anticipation and rationality in natural and artificial systems: computational paradigms mimicking nature. Natural Computing, 8(4), pp. 757-775.

Menezes, A. van Oorschot, P. and Vanstone, S., 2001. Handbook of Applied Cryptography. 2nd ed. Boca Raton: CRC Press.

Mhatre, V.P. Papagiannaki, K. and Bacelli, F., 2007. Interference Mitigation through Power Control in High Density 802.11 WLANs. In: 26th IEEE International Conference on Computer Communications. Washington DC: IEEE, pp. 535-543.

Moore, G., 1965. Cramming more components onto integrated circuits. Electronics Magazine, 38(8), pp. 4-7.

Om, M., 2011. First GSM call was made 20 years ago, GigaOm, [online] Available at: <http://gigaom.com/mobile/first-gsm-call-was-made-20-years-ago-today/> [Accessed 6 July 2011].

Otal, B. Alonso, L. and Verikoukis, C., 2010. Design and anaysis of an energy-saving distributed MAC mechanism for wireless body sensor networks. EURASIP Journal on Wireless Communications and Networking, Special issue on design, implementation and evaluation of wireless network systems, pp. 10:1-10:13.

Paillassa, B. Yawut, C. and Dhaou, R., 2011. Network awareness and dynamic routing: The ad hoc network case. Computer Networks: The International Journal of Computer and Telecommunications Networking, 55(9), pp. 2315-2328.

Patel, C., 2010. Power dissipation, CMPE315 Principles of VLSI Design. [online] UMBC University. Available at: <http://www.cs.umbc.edu/ ~cpatel2/links/315/lectures/chap4_lect12_powpo.pdf> [Accessed 4 August 2011].

Patriciu, V.V. Ene-Pietroşanu, M. Bica, I. and Priescu, J., 2006. Semnături electronice şi securitate informatică. Bucureşti: BIC ALL.

Proakis, J. and Salehi, M., 2007. Digital communications. 5th ed. Boston: McGraw-Hill. Rabaey, J.M. Chandrakasan, A. and Nikolic, B., 2003. Digital Integrated Circuits. London:

Pearson Education. Rappaport, T., 2002. Wireless Communications: Principles and Practice, 2nd ed. Upper Saddle

River: Prentice Hall.

56

Ravi, S. Raghunathan, A. Kocher, P. and Hattangady S., 2004. Security in Embedded Systems: Design Challenges. ACM Transactions on Embedded Computing Systems, 3(3), pp. 461-491.

Saxe, E., 2009. Power-Efficient Software. Queue Magazine, 8(1), [online]. Available at: <http://queue.acm.org/detail.cfm?id=1698225> [Accessed 6 August 2011].

Schurgers, C. Aberthorne, O. and Srivastava, M., 2001. Modulation scaling for Energy Aware Communication Systems. In: Proceedings of the 2001 International Symposium on Low power Electronics and Design. New York: ACM, pp. 96-99.

Siam, M. Krunz, M. Cui, S. and Muqattash, A., 2010. Energy-efficient protocols for wireless networks with adaptive MIMO capabilities. Wireless Networks, 16(1), pp. 199-212.

Smith, D., 2003. The Cost of Lost Data. Graziado Business Review, 6(3), [online]. Available at: <http://gbr.pepperdine.edu/2010/08/the-cost-of-lost-data/> [Accessed 11 July 2011].

Srivastava, M., 2002. Power-aware Communication Systems. In: Pedram, M. and Rabaey, J.M. eds., 2002. Power aware design methodologies. Dordrecht: Kluwer Academic Publishers. Ch. 11.

Stan, A. and Botezatu, N., 2009a. The Design and Evaluation of a Finite State Machine used in Embedded Systems Development, Bulletin of the Polytechnic Institute of Iaşi, Automatic Control and Computer Science Section, Tome LV (LIX), Fascicle 2, pp. 51-64.

Stan, A. and Botezatu, N., 2009b. Data Encryption Methods for Power Aware Embedded Systems used in Patient Monitoring. In: Proceedings of the 10th International Carpathian Control Conference, Jaroslaw: DELTA, pp. 269-272.

Stan, A. Botezatu, N. and Vieriu, G., 2009. The Design of a Finite State Machine Engine with Safe Operation used in Embedded Systems Design. In: Proceedings of the 20th DAAAM World Symposium “Intelligent Manufacturing & Automation: Theory, Practice & Education”, Vienna: DAAAM International, pp. 1507-1508.

Taddeo, A.V. and Ferrante, A., 2009. Run-time Selection of Security Algorithms for Networked Devices. In: Proceedings of the 5th ACM Symposium on QoS and Security for Wireless and Mobile Networks. New York: ACM, pp. 92-96.

Taddeo, A.V. Marcon, P. and Ferrante A., 2009. Negotiation of security services: a multi-criteria decision approach. In: Proceedings of the 4th Workshop on Embedded Systems Security. New York: ACM, Paper 4.

Tarique, M. and Tepe, K.E., 2009. Ad Hoc Networks, 7(6), pp. 1125-1135. Triantaphyllou, E., 2000. Multi-Criteria Decision Making Methods: A Comparison Study.

Dordrecht: Kluwer Academic.

57

Triantaphyllou, E. and Mann, S.H., 1989. An Examination of the Effectiveness of Multi-Dimensional Decision-Making Methods: a Decision-Making Paradox. Decision Support Systems, 5(3), pp. 303-312.

Triantaphyllou, E. and Sanchez, A., 1997. A Sensitivity Analysis Approach for Some Deterministic Multi-Criteria Decision Making Methods. Decision Sciences, 28(1), pp. 151-194.

Tudor, D. and Marcu, M., 2009. Designing a Power Efficiency Framework for Battery Powered Systems. In: Proceedings of SYSTOR 2009: The Israeli Experimental Systems Conference. New York: ACM, paper 5.

U.S. House of Representatives, 2010. U.S. Code – Public printing and documents – Coordination of federal information policy – Information security (T. 44, C. 35.III, § 3542). Washington D.C.: USHR.

van der Schaft, A.J. and Schumacher, H., 1999. An Introduction to Hybrid Dynamical Systems. London: Springer-Verlag.

Vieira, B., 2011. Formal verification of security policies of cryptographic software. [online] CACE Project. Available at: <http://wiki.di.uminho.pt/ twiki/pub/DI/FMHAS/Seminar/haslabppt.pdf > [Accessed 11 July 2011].

Verma, M. and Marwedel, P., 2007. Advanced Memory Optimization Techniques for Low-Power Embedded Processors. Dordrecht: Springer.

Wang, W. et al., 2009. Cross-layer multirate interaction with distributed source coding in wireless sensor networks. IEEE Transactions on Wireless Communications, 8(2), pp. 787-795.

Xu, K. Gerla, M. and Bae, S., 2002. How effective is the IEEE 802.11 RTS/CTS handshake in ad hoc networks?. In: IEEE Global Telecommunications Conference – Conference Record, vol.1. Washington DC: IEEE, pp. 72-76.

Xu, W. Ma, K. Trappe, W. and Zhang, Y., 2006. Jamming Sensor Networks: Attacks and Defense Strategies. IEEE Network, 20(3), pp. 41-47.

Yang, A. and Song, M., 2009. Aggressive dynamic voltage scaling for energy-aware video playback based on decoding time estimation. In: Proceedings of the 7th ACM International Conference on Embedded Software. New York: ACM, pp. 1-10.

Zhao, Y.Z. Ma, M. Miao, C.Y. and Nguyen, T.N., 2010. An energy-efficient and low-latency MAC protocol with Adaptive Scheduling for multi-hop wireless sensor networks. Computer Communications, 33(12), pp. 1452-1461.

Zhou, X. Yu, C. and Petrov, P., 2009. Temperature-aware register reallocation for register file power-density minimization. ACM Transactions on Design Automation of Electronic Systems, 14(2), pp. 26:1-26:22.