OPTIMIZAREA CONSUMULUI DE ENERGIE ÎN PROCESUL DE SECURIZARE AL SISTEMELOR ÎNCORPORATE

Transcription

1 UNIUNEA EUROPEANĂ GUVERNUL ROMÂNIEI MINISTERUL MUNCII, FAMILIEI ŞI PROTECŢIEI SOCIALE AMPOSDRU Fondul Social European POSDRU Instrumente Structurale OIPOSDRU UNIVERSITATEA TEHNICĂ GHEORGHE ASACHI DIN IAŞI UNIVERSITATEA TEHNICĂ GHEORGHE ASACHI DIN IAŞI Şcoala Doctorală a Facultăţii de Automatică şi Calculatoare OPTIMIZAREA CONSUMULUI DE ENERGIE ÎN PROCESUL DE SECURIZARE AL SISTEMELOR ÎNCORPORATE - REZUMATUL TEZEI DE DOCTORAT - Conducător de doctorat: Prof. univ. dr. ing. Vasile-Ion Manta Doctorand: Ing. Nicolae-Alexandru Botezatu IAŞI

2 UNIUNEA EUROPEANĂ GUVERNUL ROMÂNIEI MINISTERUL MUNCII, FAMILIEI ŞI PROTECŢIEI SOCIALE AMPOSDRU Fondul Social European POSDRU Instrumente Structurale OIPOSDRU UNIVERSITATEA TEHNICĂ GHEORGHE ASACHI DIN IAŞI Teza de doctorat a fost realizată cu sprijinul financiar al proiectului Burse Doctorale - O Investiţie în Inteligenţă (BRAIN). Proiectul Burse Doctorale - O Investiţie în Inteligenţă (BRAIN), POSDRU/6/1.5/S/9, ID 6681, este un proiect strategic care are ca obiectiv general Îmbunătăţirea formării viitorilor cercetători în cadrul ciclului 3 al învăţământului superior - studiile universitare de doctorat - cu impact asupra creşterii atractivităţii şi motivaţiei pentru cariera în cercetare. Proiect finanţat în perioada Finanţare proiect: ,15 RON Beneficiar: Universitatea Tehnică Gheorghe Asachi din Iaşi Partener: Universitatea Vasile Alecsandri din Bacău Director proiect: Prof. univ. dr. ing. Carmen TEODOSIU Responsabil proiect partener: Prof. univ. dr. ing. Gabriel LAZĂR

3

4

5 1. Introducere Motivaţie Obiective Structura lucrării Diseminarea rezultatelor Cunoştinţe fundamentale Securitatea informaţională pentru dispozitivele încorporate Consumul de energie în sistemele încorporate Standardul IEEE Sisteme auto-adaptabile Concluzii Formularea problemelor studiate Arhitectură de securitate auto-adaptabilă Descrierea arhitecturii Formalizarea funcţională Sumar Proiectarea unor mecanisme de securitate auto-adaptabile Mecanism pentru scăderea consumului şi creşterea performanţelor de timp în sisteme izolate Metodologie pentru ajustarea profilelor de funcţionare Studiu de caz Algoritm de clusterizare pentru reţele de sisteme încorporate securizate Evaluarea algoritmului Sumar Mecanism pentru adaptarea puterii de transmisie Protocolul CcPc-MAC Evaluarea protocolului Evaluarea disponibilităţii Sumar Cadru software pentru implementarea mecanismelor de securitate auto-adaptabile Arhitectura software Evaluarea cadrului Sumar Concluzii Sumar şi discuţii i

6 8.2.Contribuţii Direcţii de cercetare viitoare Bibliografie ii

7 1. Introducere 1.1. Motivaţie Ultimele două decenii au cunoscut o mare dezvoltare în domeniul sistemelor integrate. De la primul apel GSM în 1991 (Om, 2011) la smart-phone-urile de astăzi, multe bariere tehnologice au fost depăşite. Chiar şi cu predicţiile făcute de către Moore (1965), în ceea ce priveşte progresele tehnologice, acest lucru nu ar fi fost posibil fără existenţa cererii de pe piaţă. Cum majoritatea sistemelor încorporate de astăzi fac parte din categoriile bunurilor albe (eng. white goods), a sistemelor militare, automotive şi aero-spaţiale, ne putem imagina modul în care piaţa mondială a sprijinit dezvoltarea acestui domeniu. Cu fiecare noua tehnologie apar avantaje, precum şi dezavantaje. Datorită creşterii complexităţii sistemelor, ce este direct legată de progresul tehnologic, implementarea, documentarea, testarea şi darea în folosinţă a unui sistem de stat-of-the-art are un cost mare. Pe lângă aspectele financiare şi constrângerile de timp, o preocupare majoră a procesului de dezvoltare este reprezentată de prevenirea şi înlăturarea bug-urilor ascunse în astfel de sisteme. Astfel, costurile indirecte rezultate din pierderea de date sau funcţionarea anormală a sistemului pot fi copleşitoare (de exemplu accidente, pierderi de vieţi omeneşti) în comparaţie cu un cost mai mare datorat unui proces de dezvoltare mai lung (Smith, 2003). Considerând cazul sistemelor mobile încorporate, una dintre cele mai mari probleme este cea a securităţii. Securitatea acestei clase de sisteme este o problemă delicată din cauza următorii factori: Proiectanţii sistemelor pot trece cu vederea defecte de implementare ale securităţii şi posibile încălcări ale acesteia atunci când este vorba de dispozitive complexe; Un număr tot mai mare de atacuri extrem de sofisticate pot fi implementate, acestea fiind dezvoltate din aceleaşi principii tehnologice care stau la baza metodelor de securitate împotriva cărora sunt îndreptate. Mai mult, deoarece multe clase de sisteme încorporate fac uz de conexiuni de date fără fir, problemele de securitate ale tehnologiilor de comunicaţii fără fir se adaugă la cele prezentate anterior. Atacurile tipice pentru astfel de sisteme includ accesul neautorizat, utilizarea neautorizată a resurselor, precum şi atacuri de tip Denial-of-Service. 1

8 Studiul 2010/2011 Computer Crime and Security Survey (Computer Security Institute, 2011) arată că dintre 351 organizaţii respondente, 45% au suferit un incidente de securitate în ultimul an, 35% din incidente fiind asociate cu sisteme încorporate sau mobile. Astfel, 25% dintre respondenţi au suferit o pierdere financiară directă din cauza acestor atacuri. Acum se poate vedea că lipsa securităţii are un cost ridicat. Dar costul securităţii poate fi, de asemenea, ridicat. În general, vulnerabilităţile sistemelor încorporate sunt contracarate prin protocoale şi mecanisme de securitate criptografică implementate la nivel software. Deşi aceste abordări reduc riscul atacurilor, proprietăţi precum portabilitatea ridicată (de exemplu mecanism de securitate pentru uz general) şi înalta performanţă (de exemplu viteză de procesare mare, latenţă scăzută) scad capacitatea de procesare a sistemului şi cresc consumul de energie, ducând astfel la limitarea capacităţii de operare a sistemului. Capacitatea acumulatorilor are o creştere medie anuală de 6% (Buchmann, 2011). Progresele din acest domeniu sunt dintre puţinele care nu respectă Legea lui Moore şi au un impact direct asupra autonomiei şi performanţelor sistemelor încorporate. Deoarece (i) securizarea unui sistem se traduce într-un consum crescut de energie şi (ii) caracteristicile actuale ale sistemelor încorporate mobile includ o durată sporită de funcţionare, performanţe crescute şi costuri cât mai mici, se poate trage concluzia că securitatea şi consumul de energie sunt doua caracteristici importante care trebuie avute în vedere în procesul de dezvoltare Obiective Obiectivul principal al acestei cercetări a fost să găsească modalităţi de reducere a consumul de energie al sistemelor încorporate securizate. Din cauza heterogenităţii mari care exista atunci cand vine vorba de sisteme încorporate (de exemplu alimentare de la baterii vs. alimentare de la reţea; folosirea energiei alternative vs. reîncarcare tipică; sisteme conectate în reţea vs. sisteme izolate; RTOS vs. arhitecură super-buclă ; şi aşa mai departe), precum şi din cauza diferitelor nivele la care este implementată securitatea în astfel de sisteme (de exemplu motoare de criptare hardware vs. implementare software a algoritmilor de criptare; securitate fizică vs. securitate la nivel logic; implementările de securitate la diferitele niveluri ale stivei de comunicaţie şi aşa mai departe), această lucrare a abordat următoarele trei direcţii de cercetare: Studiul arhitecturilor de securitate de uz general, care pot fi adaptate la particularităţile sistemelor şi aplicaţiilor încorporate în stadiul de dezvoltare şi care pot fi adaptate şi ajustate în timpul perioadei de operare; Utilizarea inteligentă a soluţiilor de securitate pentru a obţine rapoarte optime performanţă-consum de energie şi consum de energie-securitate funcţie de caracteristicile 2

9 sistemului şi de mediul în care operează acesta. Ideea de bază a aceastei direcţii este dată de faptul că dintre două soluţii de securitate, una poate fi mai eficientă din punct de vedere al consumului de energie pe un anumit sistem, oferind în acelaşi timp cel puţin aceleaşi performanţe (de timp, de securitate) ca şi cea de-a doua; Variaţia parametrilor fizici ai sistemului (e.g. frecvenţa de lucru a sistemului, intensitatea luminii de fundal a ecranului, viteza ventilatorului şi aşa mai departe), în scopul de a obţine o reducere a consumului de energie şi o îmbunătăţire a parametrilor de securitate. Deoarece sistemele încorporate cu capabilităţi de comunicaţie fără fir sunt disponibile pe scară largă, accentul a fost pus pe modificarea parametrilor din subsistemul radio. Deoarece această cercetare nu a avut ca scop o arhitectură, un dispozitiv sau un sistem de operare în mod special, un obiectiv secundar a fost dezvoltarea unui cadru software generic cross-platform pentru implementarea securităţii care ar putea fi de folos în procesul de evaluare al soluţiilor de securitate propuse Structura lucrării Această lucrare este împărţită în opt capitole. Capitolul 2 prezintă informaţiile de bază necesare pentru a înţelege problemele studiate. Acesta abordează subiectele (i) securităţii informatice şi a sistemelor de calcul, (ii) consumului de energie în sistemele digitale, (iii) standardul de comunicaţie IEEE şi (iv) a sistemelor de calcul auto-adaptabile. Capitolul 3 prezintă o descriere detaliată a problemelor abordate şi o prezentare a celor mai semnificative cercetări din domeniu. Capitolul 4 sintetizează caracteristicile unei arhitecturi de securitate auto-adaptabile pentru sisteme încorporate. De asemenea, modelul adaptabil este definit şi prezentat împreună cu un exemplu de implementare care motivează actualitatea temei de cercetare. Două mecanisme de adaptare a securităţii sunt prezentate în Capitolul 5, unul pentru sisteme izolate şi unul pentru sisteme conectate în reţea. De asemenea, impactul asupra indicatorilor de performanţă şi energetici este evaluat pentru cele două mecanisme. În continuare, Capitolul 6 descrie un protocol pentru accesul la mediul de comunicaţie bazat pe standardul IEEE ce prezintă ca particularitate controlul puterii de transmisie radio. Utilizarea acestuia în reţelele fără fir de tip mesh este evaluat din punct de vedere a performaţelor şi a consumului, alături de rezistenţa la atacuri de tip Denial-of-Service. În capitolul 7 este descris un cadru software pentru implementarea metodelor de securitate auto-adaptabile. 3

10 Capitolul 8 prezintă concluziile şi discută contribuţiile autorului Diseminarea rezultatelor Această teză se bazează, în mare parte, pe un număr de 10 lucrări publicate în jurnale B+ (2), volume ale conferinţelor internaţionale indexate ISI (2), volume ale conferinţelor internaţionale indexate IEEE Xplore (1), volume ale conferinţelor internaţionale sponsorizate IEEE (1) şi volume ale altor conferinţe internaţionale (4). O listă completă a publicaţiilor este prezentată în continuare: Capitolul 4 se bazează pe: o Stan, A. and Botezatu, N., Data Encryption Methods for Power Aware Embedded Systems used in Patient Monitoring. In: Proceedings of the 10 th International Carpathian Control Conference, Jaroslaw: DELTA, pp o Botezatu, N. Manta, V. and Stan, A., Self-adapable Security Architecture for Power-aware Embedded Systems. In: Proceedings of the 14th International Conference on System Theory and Control, Craiova: University of Craiova Press, pp Rezultatele din capitolul 5 sunt publicate în: o Botezatu, N. Manta, V. and Stan, A., Self-adaptability in Secure Embedded Systems: an Energy-performance Trade-off. In: Proceedings of the World Congress on Engineering, The 2011 International Conference of Information Security and Internet Engineering, Hong Kong: Newswood Limited, pp o Botezatu, N. Manta, V. and Vieriu, G., A Clustering Algorithm for Negotiating Security in Wireless Mesh Networks. Presented at the 15 th International Conference on System Theory, Control and Computing, October, Sinaia, Romania (accepted for publication). Capitolul 6 conţine rezultate prezentate în: o Botezatu, N. And Dhaou, R., Adaptive Power Control in Wireless Mesh Networks. In: Proceedings of the World Congress on Engineering, The 2011 International Conference of Wireless Networks, Hong Kong: Newswood Limited, pp o Botezatu, N. and Stan, A., Denial of Service resistant MAC for wireless mesh networks. Accepted for publication and presentation at the 22 nd DAAAM International World Symposium, November, Vienna, Austria. 4

11 Capitolul 7 se bazează pe: o Botezatu, N. and Stan, A., Low-power Embedded Device Used in Healthcare Systems. Bulletin of the Polytechnic Institute of Iaşi, Automatic Control and Computer Science Section, Tome LV (LIX), Fascicle 1, pp o Stan, A. and Botezatu, N., The Design and Evaluation of a Finite State Machine used in Embedded Systems Development, Bulletin of the Polytechnic Institute of Iaşi, Automatic Control and Computer Science Section, Tome LV (LIX), Fascicle 2, pp o Botezatu, N. Stan, A. and Panduru, L., Power-aware Framework for Encrypted Communications. In: Proceedings of the 20 th DAAAM World Symposium Intelligent Manufacturing & Automation: Theory, Practice & Education, Vienna: DAAAM International, pp o Stan, A. Botezatu, N. and Vieriu, G., The Design of a Finite State Machine Engine with Safe Operation used in Embedded Systems Design. In: Proceedings of the 20 th DAAAM World Symposium Intelligent Manufacturing & Automation: Theory, Practice & Education, Vienna: DAAAM International, pp

12 2. Principii fundamentale 2.1. Securitatea informaţională pentru dispozitivele încorporate Folosirea pe scară largă a computerelor şi a dispozitivelor de prelucrare a datelor, alături de progresele înregistrate în reţelele de comunicaţii, a condus la nevoia apariţiei unor metode de protejare a informaţiilor stocate, transmise şi procesate. Ca urmare, au apărut două discipline, securitatea informaţională şi securitatea informatică, cu scopul de a face faţă ameninţărilor atât în lumea materială, cât şi în lumea digitală. Codul penal din SUA (U.S. House of Representatives, 2010) defineşte termenul de securitate informaţională ca protejarea informaţiilor şi a sistemelor informatice împotriva accesului, utilizării, întreruperii, modificării sau distrugerii neautorizate. Acest lucru înseamnă protecţia datelor şi a sistemelor de prelucrare a datelor împotriva abuzurilor. Pentru cele mai multe entităţi (de exemplu organizaţii sau persoane fizice), interesul privind securitatea informaţiilor este proporţional cu înţelegerea termenilor de ameninţare şi vulnerabilitate. Acest lucru ar putea însemna protecţia împotriva accesului nedorit la o reţea, calamităţilor naturale (de exemplu inundaţii, cutremure, incendii), furtului, actelor de vandalism, căderilor de tensiune etc. Într-un sens larg, acest lucru denotă acţiunile întreprinse pentru a asigura unele bunuri împotriva celor mai probabile forme de atac. O ameninţare la adresa securităţii este reprezentată de o entitate (de exemplu un individ, un program, un eveniment), care ar putea provoca daune sau pierderi într-un sistem (Patriciu et al., 2006). Acestea pot fi de natură rău intenţionat sau accidentală. Vulnerabilităţile de securitate reprezintă o slăbiciune a unui bun sau grup de bunuri care pot fi exploatate de către unul sau mai multe ameninţări (International Standards Office, 2005). Parolele slabe, erorile de implementare software, management deficitar al utilizatorilor, accesul fizic la servere, reprezintă doar câteva tipuri de vulnerabilităţi de securitate pentru sistemele de informaţii. Identificarea, reducerea şi eliminarea vulnerabilităţilor de securitate conduce la reducerea sau eliminare completă a ameninţărilor de securitate (Patriciu et al., 2006). Pe langa beneficii, securitatea aduce şi unele dezavantaje. Pe măsură ce creşte nivelul de securitate, nivelul de productivitate, de obicei scade. De exemplu, un firewall care solicită reacţia utilizatorului de fiecare dată când o aplicaţie doreşte acces la reţea poate face un sistem destul de sigur, dar măreşte întârzierile în timpii de răspuns ai sistemului şi ar putea întrerupe utilizatorul de la îndeplinirea altor sarcini. Mai mult, securitatea are costuri materiale. Nivelul de securitate 6

13 trebuie să fie legat de valoarea bunului securizat. Deci, costul de implementare al securităţii nu ar trebui să depăşească valoarea a ceea ce este protejarea (Andress, 2011) Consumul de energie în sistemele încorporate Una dintre principalele caracteristici ale sistemelor de calcul de astăzi este faptul că există o discrepanţă între consumul de energie şi volumul de muncă efectuat (de exemplu numărul de operaţii pe secunda). Această situaţie este datorată obiectivelor de proiectare a celor mai multe sisteme de calcul: mărirea performanţelor şi micşorarea costurilor de fabricaţie. Utilizarea pe scară largă a dispozitivelor încorporate portabile a condus la o schimbare de paradigmă, făcând ca reducerea consumului de energie să devină o parte tot mai importantă a procesului de proiectare. Dispozitivele din această categorie au resurse limitate de energie şi reducerea puterii disipate le prelungeşte viaţa bateriei şi perioada de funcţionare. Aceasta este motivaţia unei game vaste de cercetare orientate spre reducerea consumului de energie prin optimizarea componentelor cu un consum mare de energie. Deoarece majoritatea circuitelor digitale sunt construite în tehnologia CMOS, în continuare sunt prezentate sursele de consum pentru aceste dispozitive. În circuitele rezitive de curent continuu, puterea electrică instantanee (P) se calculează pe baza Legii lui Joule, ca produs al curentului electric (I) şi a diferenţa de potenţial (V) de la bornele unui consumator: () = () (Pattel, 2010). Structura logica de bază implementată în tehnologia CMOS este poarta inversoare, care este compusă dintr-o pereche de tranzistoare NMOS şi PMOS (figura 2.1). Figura 2.1. Inversorul CMOS static De asemenea, o capacitate mică este prezentă pe ieşire, datorită capacităţii de poartă şi a conexiunilor electronice. Comparativ cu logica NMOS, circuitele logice CMOS nu disipă aproape deloc putere, atunci când nu comută. Dar, aşa cum tehnologia CMOS a evoluat la nivel 7

14 sub-micronic, puterea disipată pe unitate de suprafaţă a crescut foarte mult. În tehnologia actuală, puterea disipată de circuitele CMOS este compusă din două componente: puterea statică şi puterea dinamică (2.1) (Verma şi Marwedel, 2007). = + (2.1) În cazul circuitelor CMOS ideale, nu se disipă putere atunci când circuitul este inactiv (nu comută), deoarece nu există nicio cale de legătură între alimentare (Vdd) şi masă (Gnd). În realitate, chiar dacă unul dintre tranzistori nu este deschis, un curent rezidual (Ileak) se scurge între Vdd şi Gnd. Există patru cauze pentru acest curent care determină disiparea puterii statice: conducţia sub-prag pentru tranzistoarele închise, efectul de tunel prin oxidul porţii, scurgeri prin diode polarizate invers şi curentul de contenţie în circuitele cu număr redus de tranzistoare. În total, puterea statică consumată în circuitele CMOS este mai mică de 5% din puterea totală disipată pentru tehnologia de 0,25 µm şi creşte la 20-25% din puterea totală la 130 nm. Componenta dinamică a puterii disipate este legată de perioadele de comutare ale tranzistoarelor (între nivelele logice) şi este cauzată de curenţii de scurtcircuit şi de încărcarea şi descărcarea capacităţii de pe ieşire. De obicei, puterea dinamică este aproximat prin puterea disipată de încărcarea/descărcarea capacităţilor de sarcină. Pentru a determina expresia sa, se porneşte de la următoarele ipoteze: sarcina C este comutată cu o frecvenţă medie f sw pe o perioadă T, sarcina este încărcat şi descărcat de ori. Astfel, puterea dinamică medie disipată este: = 1 () = () (2.2) Integrală curentului pe intervalul [0, T] poate fi exprimată ca sarcina totală livrată:. Astfel, ecuaţia (2.2) devine = = (2.3) În cazul circuitelor CMOS sincrone, nu toată logica are aceeaşi frecvenţă de comutare. Pe baza acestui lucru, putem exprima f sw ca produsul dintre frecvenţa de ceas f şi un factor de comutare α. În simulare, lui α i se atribuie o valoare de 0,5 pentru porti dinamice şi de 0,1 pentru cele statice (Kogge, 2010) Relaţia putere-energie (2.4). Energiea electrică (E) este definită ca fiind integrala puterii disipate pe un interval T 8

15 = () = () Valoarea energiei variază funcţie de intervalul de timp T sau cu puterea disipată, respectiv cele două componente ale ei. În circuite digitale programabile (de exemplu, procesoare, microcontrollere), care execută cod, există o distincţie subtilă între puterea disipată şi consumul de energie, în contextul scăderii uneia sau celeilalte. Două clase largi de tehnici pentru reducerea consumului se bazează pe reducerea timpului de executie sau pe reducerea puterii instantanee. Dacă o astfel de tehnică este proiectată pentru a reduce puterea disipată, şi ca o consecinţă creşte timpul de executie, această tehnică low-power, nu va aduce un beneficiu consumului de energie. Un scenariu extrem şi mai puţin plauzibil ar include o tehnică care scade timpul de executie, dar foloseşte instrucţiuni care au o amprentă a puterii instantanee mai mare. În acest caz, aceasta tehnica nu va fi nici low-power şi nici nu va avea un consum redus de energie. Pentru a rezuma, am putea spune că relaţia dintre putere şi tehnicile de reducere a energiei este guvernată de timpul de execuţie şi termenii low-power şi low-energy nu ar trebui să fie utilizate ca sinonime. (2.4) 2.3. Standardul IEEE IEEE este un set de standarde menţinut de Comitetul pentru Standardele IEEE LAN/MAN (IEEE Standards Working Group, 2007). Acesta a fost creat pentru a reglementa implementarea reţelelor fără fir în benzile de frecvenţă ISM de 2,4, 3,6 şi 5 GHz. Specificaţiile standardului se referă la nivelul fizic şi la nivelul MAC din stiva de comunicaţie, conform modelului OSI Sisteme auto-adaptabile Evoluţia continuă a sistemelor încorporate a adus cerinţe mai stricte de proiectare, precum flexibilitate, rezilienţă, fiabilitate, robusteţe, consum redus, design personalizat şi caracteristici configurabile. Aceste provocări pot fi abordate prin adaptabilitate, ceea ce înseamnă că un sistem îşi poate adapta comportamentul ca răspuns la valorile parametrilor de mediu şi a stării interne. 9

16 Cu alte cuvinte, un sistem auto-adaptabil este reprezentat de un set de elemente care interacţionează şi formează un întreg. Pe baza interdependenţelor dintre entităţile componente, sistemul are capacitatea de a acţiona autonom atunci când apar schimbări externe sau interne. Aceste sisteme sunt caracterizate prin: o buclă de reacţie care să permită răspunsul sistemului la schimbare; un proces care controlează adaptarea sistemului; necesitatea unei intervenţii minime a utilizatorului. Din punct de vedere funcţional, un model generic auto-adaptabil este compus din patru activităţi: colectarea datelor, analiza datelor, decizia modificării de stare şi acţiunile întreprinse (figura 2.2) (Dobson et al, 2006.). Figura 2.2. Modelul unei bucle de control (Dobson et al., 2006) 2.5. Concluzii Securitatea informaţională în sistemele încorporate este un subiect de cercetare actual, datorită utilizării acestora pe scară largă, în aplicaţii care variază de la bunuri de larg consum (eng. white-goods) până la aplicaţii militare. Datorită particularităţilor acestor sisteme, cum ar fi resursele limitate de calcul, dimensiunile mici ale memoriei, bugetul limitat de energie, posibilitatea conectării în reţele fără fir, sistemele încorporate ridică un set de provocări speciale, atunci când vine vorba de aplicarea unor politici de securitate, aşa cum este prezentat în secţiunea 2.1. Secţiunea 2.2 realizează o legătură între sursele de consum în circuitele CMOS şi problema consumului de energie crescut al dispozitivelor încorporate securizate. Secţiunea 2.3 prezintă pe scurt standardul de comunicaţii fără fir IEEE În secţiunea 2.4 este prezentată o clasă specială de sisteme încorporate, sistemele auto-adaptabile, deoarece reprezintă baza pentru o parte a acestei lucrări. 10

17 3. Formularea problemelor studiate Pe baza obiectivelor generale prezentate în secţiunea 1.2 şi ţinând cont de fundamentele teoretice prezentate în capitolul 2, acest capitol prezintă în detaliu direcţiile de cercetare abordate şi scopurile detaliate ale acestei lucrări. Două direcţii generale de cercetare au fost sintetizate, ambele acoperind subiecte legate de securitatea şi consumul de energie al sistemelor încorporate. În primul rând, această cercetare îşi propune să investigheze tehnici pentru determinarea unor soluţii adecvate de securitate pentru sisteme încorporate destinate aplicaţiilor specifice. Pe baza acestora, se urmăreşte sinteza unei arhitecturi generice folosită pentru implementarea mecanismelor de securitate auto-adaptabile în sisteme încorporate. Mai mult, având la bază această arhitectură, această lucrare propune dezvoltarea unor mecanisme pentru implementarea securităţii la nivel de sistem şi la nivel de reţea. Nevoie pentru astfel de mecanisme porneşte de la eficienţa limitată pe care o au soluţiile de securitate generice atunci când sunt implementate în sisteme încorporate: Capacitatea de procesare a datelor (de exemplu, cantitatea de date criptate pe unitate de timp) este scăzută comparativ cu cea a sistemelor ce nu sunt securizare, deoarece mecanismele de securitate cresc gradul de încărcare al sistemului (de exemplu, asigurarea securităţii prin intermediul unui algoritm de criptare creşte numărul de instrucţiuni executate pentru procesarea unui set de date, datorită operaţiilor specifice efectuate); Creşterea timpului de răspuns a sistemlelor din cauza gradului de încărcare al sistemului şi din cauza perioadelor de configurare a soluţiilor de securitate (de exemplu, generare cheilor pentru algoritmii de criptare, negocierea algoritmilor de securitate folosiţi de protocoale pentru securizarea comunicaţiilor); Traficul suplimentar introdus de protocoalele pentru securizarea comunicaţiilor, în vederea asigurării integrităţii datelor; Creşterea puterii disipate şi a consumului de energie, datorită procesării suplimentare introduse de operaţiile specifice metodelor de securitate. De aceea se urmăreşte proiectarea unor metode de selectare a soluţiilor de securitate, folosite pe sisteme încorporate, într-un mod auto-adaptabil. În procesul de selecţie se iau în considerare dezavantajele introduse de soluţiile de securitate, menţionate anterior, în ideea ameliorării acestora, pentru a obţine performanţe crescute ale sistemului şi consum scăzut de energie. A doua direcţie de cercetare studiată are ca scop studierea relaţiei dintre variaţia parametrilor fizici ai sistemelor încorporate, în ideea obţinerii unei reduceri a consumului de 11

18 energie şi obţinerea unei îmbunătăţiri a securităţii. Lucrarea s-a axat pe studiul dispozitivelor încorporate ce permit conectarea în reţele fără fir, deoarece acestea sunt disponibile pe scară largă, atât în aplicaţii comerciale, cât şi în cele militare. Mai mult, ca urmare a organizării stratificate a stivelor de comunicaţii, există un grad ridicat de heterogenitate ce porneşte de la implementarea diferitor clase de soluţii de securitate la diferite nivele ale stivei de comunicaţii. Astfel, motivaţia pentru această direcţie de cercetare este dublă: în primul rând, dezavantajele soluţiilor de securitate prezentate anterior sunt valabile şi în cazul securizării reţelelor fără fir şi, în al doilea rând, multe subsiteme radio comerciale oferă posibilitatea reglării parametrilor fizici de transmisie prin control software. Datorită existenţei unei documentaţii detaliate referitoare la neajunsurile şi punctele slabe ale protocolului MAC bazat pe standardul IEEE , ne-am propus realizarea unui protocol MAC similar, pentru controlul dinamic al puterii de emisie radio, cu scopul de a reduce consumul de energie şi de a îmbunătăţi capacitatea reţelei. 12

19 4. Arhitectură de securitate auto-adaptabilă O abordare adaptabilă pentru securizarea sistemelor încorporate este necesara atunci când modelele matematice ale sistemului şi ale mediului în care sistemul operează sunt greu de stabilit la momentul proiectării sau în timpul rulării Descrierea arhitecturii Aceasta sectiune este dedicată pentru prezentarea viziunii proprii asupra problemei securităţii auto-adaptabile. Figura 4.1 prezintă o arhitectură pentru sistemele ce încorporează un mecanism de securitate auto-adaptabil, aceasta bazându-se pe trei blocuri funcţionale: Sensing (bloc pentru detecţie), Analysis (bloc pentru analiză) şi Enforcement (bloc pentru asigurarea implementării). Seturile de date necesare ca date de intrare pentru arhitectură sunt reprezentate de System status (starea sistemului), System descriptors (descriptori de sistem) şi System goals (obiectivele sistemului). Figure 4.1. Blocurile component ale arhitecturii de securitate auto-adaptabilă şi relaţiile dinte ele (Botezatu, Manta and Stan, 2010) Modul de funcţionare al arhitecturii este următorul: atunci când blocul de detecţie sesizează o modificare a parametrilor definiţi în seturile de date ale sistemului (System descriptors), acesta notifică blocul de analiză pentru a determina ce schimbări pot fi făcute în 13

20 modul de securizare a sistemului pentru a corespunde cerinţelor definite de obiectivele sistemului (System goals). În final, blocul Enforcement are rolul de a aplica schimbările propuse de blocul anterior Starea sistemului (System status) poate fi văzută ca un set unic de parametri specifici sistemului. Aceşti parametri pot fi clasificaţi ca fiind interni sau externi sistemului, unde cei interni sunt specifici configuraţiei hardware a sistemului, precum şi aplicaţiilor software ce rulează în sistem. Parametrii externi sunt reprezentaţi de condiţiile externe în care rulează sistemul, precum modul de folosinţă şi mediul în care acesta operează. Toate aceste date sunt dobândite prin utilizarea dispozitivelor de monitorizare şi senzorilor. În mod particular pentru această arhitectură, starea sistemului trebuie să conţină informaţii despre cel puţin: nivelul de securitate curent pentru fiecare aplicaţie care rulează în sistem; energia disponibilă a sistemului, exprimată convenabil ca o combinaţie a curentului consumat, capacitatea bateriei, rata de descărcare a a bateriei, putere nominala a sistemului etc. Descriptorii sistemului (System descriptors) sunt reprezentaţi de o colecţie de date ce descrie componentele hardware şi software ale sistemului. Datele sunt organizate într-un mod ierarhic, bazat pe o colecţie de clase care descrie şi grupează elementele sistemului funcţie de caracteristicile lor de energie şi de securitate. Modelul de bază pentru această ierarhie este prezentat în figura 4.2. Primele trei nivele ale colecţiei de clase realizează o clasificare generală a componentelor sistemului, de la nivelul patru putând fi derivate clase specifice pentru a descrie componentele sistemului (de exemplu, din clasa ES putem obţine noi clase pentru a descrie acumulatori, celule fotovoltaice sau alte tipuri surse de alimentare). Figure 4.2. Ierarhia descriptorilor sistem Obiectivele sistemului (System goals) sunt determinate pe baza corelaţiilor dintre resursele de energie ale sistemului şi cerinţele de securitate. Acestea trebuie descrise ca o maximizare a timpului de operare a sistemului cu condiţia menţinerii nivelelor de securitate solicitate de aplicaţii. Pentru a înţelege mai bine acest concept, se consideră următorul exemplu: 14

21 un sistem încorporat rulează două aplicaţii, A1 şi A2. A1 procesează două tipuri de date, primul necesită un nivel de securitate S1 şi cel de-al doilea un nivel de securitate S2. A2 are nevoie de un nivel de securitate S3. Sistemul poate oferi un nivel de securitate maxim Smax, unde Smax = S3 > S1 > S2. Astfel, în cazul în care sistemul implementează un singur nivel de securitate constant pentru ambele aplicaţii, aplicaţia A1 ar avea un nivel de securitate prea mare, ce ar consuma o parte din energia sistemului degeaba. În ideea reducerii consumul de energie, nivelul de securitate ar trebui să fie adaptat la nevoile aplicaţiei, acest proces fiind transparent pentru utilizator. Mai mult, trebuie considerat şi cazul în care cerinţele de securitate ale unei aplicaţii variază în timpul rulării, această situaţie trebuind de asemenea tratată când se stabilesc obiectivele sistemului Formalizarea funcţională Din punct de vedere funcţional, modul de realizare a adaptării securităţii poate fi descris prin intermediul unui automat finit hibrid, modelul fiind caracterizat de tranziţii de stare discrete şi o evoluţie continuă. Această reprezentare a fost aleasă (i) datorită dinamicii sale, în scopul de a ţine cont de energia consumată de fiecare soluţie de securitate, pentru perioadele de timp în care acestea s-au folosit şi (ii) în scopul evaluării performanţelor soluţiilor de securitate. Pe baza referinţelor (Alur and Dill, 1994; Henzinger, 1996; van der Schaft and Schumacher, 1999; Lynch, Segala and Vaandrager, 2003; Erbes, 2004; Anderson, 2006), automatul hibrid este descries prin septupla (,,,,,, ), unde: L este mulţimea stărilor (locaţiilor); X este spaţiul continuu al stărilor; este o variabilă continuă de stare; Alfabetul A este un set finit de simboluri folosite ca notaţii pentru arcele grafului; W este spaţiul continuu de comunicare; este o variabilă continuă externă; Mulţimea evenimentelor E defineşte arcele grafului; arcul e este descris ca o tuplă (,,,, ), unde {, },, şi. O tranziţie de la la este posibilă când cu condiţia ca {, }, unde este noua valoare a lui după tranziţie; () este invariantul pentru o locaţie, astfel încât, () când sistemul se află în locaţia ; () este mulţimea activităţilor pentru o locaţie şi conţine ecuaţii algebrice şi diferenţiale. 15

22 Descrierea modelului Figura 4.3 prezintă modelul automatului hibrid realizat pentru descrierea funcţională a arhitecturii de securitate auto-adaptabilă. Automatul are 5 stări, unde n este numărul soluţiilor de securitate implementate în sistem: Stările, 1, corespund perioadelor inactive când sistemul nu trebuie să securizeze date, situaţie în care pot fi aplicate metode generice de salvare a energiei (de exemplu, scalarea tensiunii de alimentare, scalarea frecvenţei de lucru, moduri de funcţionare cu consum redus); În stările, 1, sistemul securizează date folosind soluţia de securitate ; Stările, 1, corespund situaţiei în care soluţia de securitate folosită este în modul de configurare; Stările, 1, sunt un set de stări intermediare ce sunt tranzitate când apar cereri de securizare a datelor în timpul etapei de configurare; Stările _, 1, sunt stări de configurare ce sunt tranzitate când decizia de schimbare a soluţiei de securitate folosită apare în când încă există date ce aşteaptă să fie securizate. Fiecare soluţie de securitate are asociată o tuplă,,,, unde reprezinta energia necesara pentru a configura o soluţie de securitate, este timpul petrecut în faza de configurare, este energia necesară pentru a securiza o unitate de date şi este timpul necesar pentru a securiza o unitate de date. Modelul conţine două variabile continue: e reprezintă energia consumată de sistem şi t este o variabilă temporară pentru contorizarea timpului. Acestea sunt utilizate pentru actualizarea valorilor variabilelor discrete la tranziţiile între stări. Există trei variabile discrete principale şi una temporară asociate cu fiecare soluţie de securitate. contorizează energia consumată de o soluţie de securitate în timpul configurării sau în timpul securizării datelor, contorizează timpul în care o soluţie de securitate a fost folosită şi ţine evidenţa întârzierilor ce apar când cererile de securizare a datelor aşteaptă terminarea perioadei de configurare. Variabila temporară este utilizată pentru a calcula întârzierile introduse cererilor care sosesc după ce faza de configurare a început. Modelul prezintă un parametru de control extern u (eng. - update), care decide ce soluţie de securitate este folosită. d este un simbol care reprezintă numărul de unităţi de date ce trebuie securizate. 16

23 Figura 4.3. Stările modelului funcţional pentru o soluţie de securitate Modelul nostru este descris de tupla (,,,,,, ), unde: = ={, }; ={} = ; = {} ;,, ; _, _, _, with,,, o = == 0 ==, = { += }; o = { >0}, = =; o =, = += += }; o _ ===, _ = += += }; o = { ==0}, = += += ; o = { >0}, = ; 17

24 o _ = { >0 changed}, _ = += += ; o = { == 0 changed}, =. () =0,max,, = _ ; ( ) 0; =0,max max, ; () = { =0 =1}, = _ ; = = =1; ( ) = { =0 =0} Funcţionarea automatului hibrid La pornire, sistemul se află în starea sau _ funcţie de variabilele u şi d. Pentru a înţelege mai bine stările de configurare a modelului, se consideră următorul model de implementare a securităţii: când se decide folosirea unei soluţii de securitate, acesta trebuie să treacă printr-o fază de configurare (de exemplu, generarea cheilor de criptare), înainte de a putea fi utilizate pentru a securiza date. Mai mult, dacă în timpul etapei de configurare apare o cerere pentru securizarea unor date, operaţiunea este amânată până când soluţia de securitate poate fi utilizată. O altă situaţie apare când sistemul decide să modifice soluţia de securitate folosită, în timp ce încă sunt date ce aşteaptă să fie securizate. Şi în acest caz, procesul de securizare este amânat până la terminarea etapei de configurare. Când sistemul nu tratează nicio cerere, acesta rămâne în pentru perioada înainte de a trece la starea următoare. În cazul în care o cerere de securizare apare în acest interval (variabila d ia o valoare diferită de zero), sistemul tranzitează în şi rămâne în această stare pentru perioada de timp rămasă din. Această etapă este necesară pentru a contoriza latenţa introdusă de configurare soluţiilor de securitate. Dacă d are o valoare mai mare ca zero, atunci când valoarea lui u se schimbă, sistemul intră în _ şi rămâne pentru perioada. După faza de configurare, sistemul devine inactiv (trece în ) dacă d este zero şi rămâne în această stare, cât timp u şi d sunt constante. Sistemul începe să prelucreze datele ( ) când d are o valoare diferită de zero. Se rămâne în această stare până când toate datele sunt securizate (d devine din nou zero) sau până când sistemul decide să folosească o altă soluţie de securitate (u îşi modifică valoarea). 18

25 4.3. Sumar Secţiunea 4.1 prezintă o viziune a modului în care un mecanism de securitate autoadaptabil ar arăta şi descrie componentele sale funcţionale. Pentru a înţelege mai bine problemele ridicate de o astfel de arhitectură, secţiunea 4.2 descrie un model pentru mecanismul de adaptare, bazat pe un automat hibrid. 19

26 5. Proiectarea unor mecanisme de securitate auto-adaptabile Acest capitol abordează problema asigurării securităţii sistemelor încorporate cu resurse limitate, dintr-o perspectivă auto-adaptabilă. Din cauza heterogenităţii sistemelor încorporate, ideea de auto-adaptabilitate este adresată la două nivele de granularitate: sisteme încorporate de sine stătătoare (secţiunea 5.1) şi sisteme încorporate conectate în reţea (secţiunea 5.4) Mecanism pentru scăderea consumului şi creşterea performanţelor de timp în sisteme izolate Pentru sistemele ce funcţionează izolat, am propus o metodă pentru alegerea resurselor de securitate care sunt compatibile cu aplicaţiile ce rulează în sistem, cu obiectivul de a optimiza consumul de energie şi performanţele sistemului. Problemele ridicate de această abordare constau în: necesitatea clasificării şi determinării unei relaţii între resurse de securitate diferite, pe baza unei serii de parametri între care nu există o relaţie directă; existenţa mai multor aplicaţii care rulează în acelaşi timp, cu cerinţe de securitate diferite, această situaţie putând aduce cheltuieli de prelucrare şi de complexitate crescute în procesul de adaptare a securităţii. Figure 5.1. Arhitectura mecanismului auto-adaptabil (Botezatu, Manta and Stan, 2011). Mecanismul utilizat pentru adaptarea securităţii se compune din următoarele 4 etape (figura 5.1): 20

27 Estimarea costului (Cost estimation) - această etapă constă în determinarea un cost relativ între toate resursele de securitate (SR) disponibile, pe baza unui mecanism de decizional multicriteriu, modelul produsului ponderat (eng. WPM weighted product model), care la rândul său, depinde de cerinţele sistemului; Etapa de filtrare (Filtering) - pe baza constrângerilor impuse de aplicaţii, în ceea ce priveşte resursele de securitate care pot fi utilizate pentru securizarea acestora, numai resursele de securitate care se potrivesc cu criteriile de selecţie sunt considerate valabile pentru utilizare; Etapă de selecţie (Selection) - resurse de securitate din mulţimea candiaţilor valabili sunt sortate, astfel determinându-se cel mai bun candidat; Etapă de asigurare a implementării (Enforcement) - acest bloc asigură folosirea resurselor de securitate selectate pentru fiecare aplicaţie. Modelul utilizat pentru monitorizarea energiei consumată (E) se bazează pe cantitatea de date care urmează să fie securizate (de exemplu, numărul de octeţi care urmează să fie criptaţi), precum şi pe energia consumată în etapa de configurare a resurselor de securitate. = + (5.1) Performanţă a unei resurse de securitate este exprimat prin intermediul a două mărimi independente: rată de procesare şi latenţă. Rata de procesare este definită ca fiind cantitatea de date procesate într-un interval de timp (de exemplu, kiloocteţi pe secundă) şi latenţa este exprimată ca timpul scurs între alegerea unei resurse de securitate şi începutul procesului de securizare. Mai exact, se referă la timpul necesar finalizării etapei de configurare resursei de securitate. În scopul caracterizării resurselor de securitate din punct de vedere a ratei de procesare şi a latenţei, acestea sunt descrise printr-o tuplă =,,,, unde esetup reprezintă energia consumată în timpul procesului de configurare, tsetup este timpul necesar pentru procesul de configurare, e data este energia consumată şi t data este timpul necesar pentru securizarea unei unităţi de date Modelul produsului ponderat (WPM) Dat fiind set de m alternative, un set de n criterii de decizie şi w j, j = 1,n ponderea relativă de importanţă pentru criteriul C j, valoarea de performanţă a alternativei A x în raport cu alternativa A y se calculează conform ecuaţiei (5.2) (Bridgman, 1922; Triantaphyllou, 2000). =, = 1,, = 1, (5.2) 21

28 unde este valoarea de performanţă a alternativei A i evaluată conform criteriului C j şi = 1. Dacă raportul P(Ax/Ay) 1, atunci spunem că alternativa A x este mai dezirabilă decât alternativa A y, în cazul în care problema decizională este una de maximizare. În cazul unei probleme de minimizare, raportul ar trebui să fie subunitar pentru ca alternativa A x să fie mai dezirabilă decât A y. WPM are două avantaje principale atunci când se consideră în raport cu problema studiată: are o complexitate de implementare scăzută; este o metodă de analiză adimensională, ceea ce înseamnă că elimină unităţile de măsură din expresiile de performanţă a alternativelor. În particular, elementele luate în considerare pentru modelul WPM sunt următoarele: alternativele sunt reprezentate de resursele de securitate; criteriile de evaluare sunt reprezentate de caracteristicile energetice, de procesare şi latenţa resurselor de securitate (tabelul 5.1). Criterion Type Expression C 1 energy ([data / th setup ] + active_sr) e setup + data e data C 2 throughput t data C 3 latency ([data / th setup ] + active_sr) t setup Tabelul 5.1. Expresiile valorilor de performanţă (Botezatu, Manta and Stan, 2011) Ponderile de importanţa pentru cele trei criterii sunt date de profilul de funcţionare a sistemului, acesta fiind selectat de către utilizator. Există trei profile de funcţionare, bazate pe necesităţile aplicaţilor: consumul redus, performanţă crescută şi echilibrat Metodologie pentru ajustarea profilelor de funcţionare Un set corect pentru valorile care definesc profilurile de rulare este esenţial pentru funcţionarea optimă a mecanismului auto-adaptabil. Deşi acestea pot fi alese într-un mod empiric, pe baza încercărilor repetate, această secţiune propune o metodologie pentru ajustarea ponderilor utilizate în model WPM. Această metodologie are două obiective: (i) reducerea timpul necesar pentru ajustarea valorilor ponderilor şi (ii) asigurarea distribuţiei uniforme a gradului de importanţă pentru cele trei criterii. 22

29 Triantaphyllou şi Sanchez (1997) definesc gradul de importanţă maxim al unui criteriu ca valoarea procentuală minimă cu care valoarea curentă a ponderii poate fi modificată, astfel încât să se modifice clasificarea existentă între alternative. Cu alte cuvinte, obiectivele sunt: (i) de a găsi criteriul critic şi valoarea maximă cu care putem schimba ponderea asociată acestuia, fără a schimba poziţiile în clasamentul alternativelor şi (ii) de a schimba în mod corespunzator ponderile tuturor criteriilor, pentru a distribui uniform gradul de importanţă. Pe baza acestor obiective, au fost determinate următoarele etape ale metodologiei: 1. Valorile alternative sunt determinate pentru fiecare criteriu. Deoarece valorile pentru C 1 şi C 3 variază în funcţie de cantitatea de date şi sunt dependente de resursa de securitate folosită anterior, valoarea considerată pentru câmpul data este valoarea medie a sursei de date şi pentru active_sr este Valorile pentru ponderile criteriilor sunt alese "extrem", pentru fiecare profil de utilizare, cu scopul de a exprima un clasament dezirabil pentru alternative. 3. Valoarea critică necesară pentru modificarea criteriul cel mai sensibil (criteriul care are cea mai mare influenţă în procesul de decizie) este determinată pe baza următoarelor etape: a. Clasamentul alternativelor se calculează pe baza relaţiei (5.2); b. Pentru fiecare clasificare relativă dintre două alternative A x şi A y se determină o valoare K pe baza relaţiei descrise de Triantaphyllou şi Sanchez (1997) (5.3). = log log 100 (5.3) unde n este numărul de criterii. Pentru K există constrângerea K 100. Când încalcă constrângerea, înseamnă că este imposibil să se inverseze clasarea alternativelor A x şi A y prin modificarea ponderii w j ; c. Din setul de valorilor K, se alege = min, unde m reprezintă,; numărul de alternative. Aceasta este valoarea procentuală critică, însemnând că o modificare a ponderii cu o valoare mai mare decât K min duce la cel puţin o schimbare în clasamentul alternativelor. 4. Presupunând că K min este asociat criteriul j, valoarea este scăzută din w j şi este distribuită uniform între ponderile celorlaltor n - j ponderi. De exemplu, considerăm o situaţie în care ponderile sunt alese să reprezinte o influenţă crescută a criteriului C 1. Setul de valori este = 0.98, = 0.01, =0.01. Matricea decizională este prezentată în tabelul 5.2 şi clasificarea alternativelor în tabelul

30 Criterion Alternatives C 1 C 2 C 3 w 1 =0.98 w 2 =0.01 w 3 =0.01 A 1 (SR 1 ) A 2 (SR 2 ) A 3 (SR 3 ) A 4 (SR 4 ) Tabel 5.2. Matricea decizională Relative performance Value ( ) 3.18 ( ) 5.16 ( ) 0.99 ( ) 1.62 ( ) 0.31 ( ) 0.19 b.t. = better than Tabel 5.3. Clasificarea ponderilor Ranking A 3 b.t. A 2 b.t. A 1 b.t. A 4 Pair of alternatives Criterion C 1 C 2 C 3 A 1 /A 2 NF NF NF A 1 /A 3 NF NF NF A 1 /A A 2 /A NF NF A 2 /A 4 NF NF NF A 3 /A 4 NF NF NF NF non-feasible, meaning the constraint was violated Tabel 5.4. Valorile K pentru exemplul numeric Rezultatele din tabelul 5.4 arată că valoarea corespunzătoare lui, este minimă. Astfel valoare de 35,45% se traduce în 0, unităţi ce trebuie scăzute din w 2 şi 0, unităţi ce trebuie adunate la w 1 şi w 3. Ponderile finale sunt = , = , = Studiu de caz S-a considerat un sistem ce implementează patru resurse de securitate prezentate în tabelul 5.5. Acestea au fost alese datorită utilizării lor în diferite implementări ale standardului TLS / SSL (Dierks şi Rescorla, 2008), pentru criptarea datelor. Pentru a evalua performanţa acestor algoritmi simetrici, a fost folosită o platforma ARM9 ce a implementat biblioteca Crypto++, pe un kernel de Linux Consumul de energie şi timpul de execuţie au fost realizate în cadrul unor scenarii de test controlate. Datele de intrare au 24

31 fost reprezentate de fişiere cu dimensiunea de 4 ko, criptate în modul CBC (Botezatu, Manta şi Stan, 2011). Security resource Encryption method Setup energy - e setup (µj) Setup time - t setup (µsec) Encryption energy - e data (µj/byte) Encryption time - t data (µsec/byte) SR 1 3DES ,7 11,7 SR 2 DES 29,6 99,2 2,1 4,1 SR 3 AES 7,7 62,9 1,3 7,2 SR 4 BlowFish ,8 2 Tabel 5.5. Caracteristicile resurselor de securitate (Botezatu, Manta and Stan, 2011). Evaluarea mecanismului de adaptare a fost efectuată prin intermediul unor seturi de simulări realizate folosind biblioteca SystemC. Singura intrare stochastică a sistemului, reprezentată prin cererile de securizare a datelor, a fost simulată folosind o distribuţie Pareto mărginită. Această distribuţie a fost aleasa deoarece este utilizata pe scară largă pentru generarea pachetelor de date în medii de simulare pentru sisteme de comunicaţii (3GPP2 Project, 2004). Ecuaţia (5.4) reprezintă funcţia de repartiţie (CDF) pentru distribuţia Pareto mărginită (Arnold, 1983). () =Pr ()= 1 1 (5.4) unde şi >0 este un parametru real care dictează forma distribuţiei. Cele trei aplicaţii considerate pentru acest studiu de caz trimit cereri de securizare a datelor într-o manieră succesivă (adică App 1 App 2 App 3 App 1 ). Timpul scurs între două cereri consecutive este ales să fie mai mult decât timpul necesar pentru a securiza cel mai mare tip de cerere, generat de oricare dintre cele trei aplicaţii, folosind algoritmul de criptare cel mai puţin performant. Singura diferenţă între aplicaţiile este reprezentată de constrângerile de securitate. Seturile de constrângeri sunt: = {, } = {, } = {,, } Elementele pentru aceste seturi au fost alese pentru a ilustra toate tipurile de dependenţele ce pot apărea în procesul de adaptare. 25

32 În cele din urmă, s-au considerat trei profile de rulare (tabelul 5.6). Profilul de consum redus (LC) acordă o importanţă mai mare pentru resursele de securitate care sunt mai eficiente energetic; cel de înaltă performanţă (HP) consideră ca fiind mai dezirabile resursele de securitate cu o capacitate de securizare mai mare şi o latentă mai mică. Energy Throughput Latency Runtime profile criterion criterion criterion Low consumption (LC) High performance (HP) Balanced (B) Table 5.6. Runtime profile criteria weights În primul rând, am evaluat gradul de utilizare a resurselor de securitate, pentru toate cele trei aplicaţii, în conformitate cu toate profilele de rulare (figura 5.2). Rezultatele arată că profilul LC prezintă cea mai ridicată rată de adaptare, deoarece valorile de utilizare pentru resursele de securitate au cele mai apropiate valori: 25,99% pentru SR1, 29,24% pentru SR2, 19,17% pentru SR3 şi 14,88% pentru SR4. Un caz particular apare, pentru profilele HP şi B, în cazul App1, unde se utilizează doar SR2. Această situaţie se explică prin valoarile de performanţă relativă ce apar între SR2 şi SR4 care evalueaza SR2 ca fiind întotdeauna mai dezirabilă decât SR4 pentru cele două categorii de ponderi. Aceste rezultate sunt verificate de analiza statică prezentată în teză. Figura 5.2. Distribuţia de folosire a resurselor de securitate Figura 5.3. Rata de procesare a sistemului 26

33 Figura 5.4. Latenţa sistemului Figura 5.5. Consumul total de energie Figura 5.6. Raportul consum de energie-rată de Figura 5.7. Raportul consum de energie-latenţă procesare În continuare au fost evaluate cele trei metrici considerate pentru criteriile decizionale ale mecanismului. Rezultatele au fost comparate cu situaţia în care toate trei aplicaţiile folosesc o singură resursă de securitate, în mod constant (figurile 5.2, 5.3 şi 5.4). În cazul consumului de energie, toate trei profilele de rulare au avut performanţe mai bune, energia economisită variind între 12% (comparativ cu SR3) şi 97% (comparativ cu SR4). Ultimele evaluări au constat în determinarea raportului dintre consumul de energie şi rata de procesare, respectiv latenţa. Scopul a fost acela de a vedea modul în care consumul de energie variază cu cele două metrici, deoarece din rezultatele prezentate anterior nu există o relaţie evidentă. Figurile 5.6 şi 5.7 prezintă cele două raporturi. Acestea au fost determinate pe baza valorilor normalizate pentru fiecare aplicaţie, respectiv global pentru cazul în care se foloseşte o singură resursă de securitate în mod constant. 27

34 5.4. Algoritm de clusterizare pentru reţele de sisteme încorporate securizate În cazul reţelelor fără fir, când nodurile cu cerinţele de securitate diferite încearcă să comunice, negocierea metodei de securitate care urmează să fie utilizata pentru a securiza transmisia de date poate creşte consumul de energie şi poate duce la degradarea securităţii pe unele noduri. Astfel, acest subcapitol descrie un algoritm pentru negocierea setărilor de securitate utilizate într-o reţea fără fir de tip mesh, cu scopul de a reduce consumului de energie. Acesta foloseşte o schemă de clusterizare pentru a configura zone unde se foloseşte o singură metodă de securitate, ce este aleasă pe baza caracteristicilor de securitate şi energetice ale nodurilor constituente. Algoritmul este proiectat să facă faţă modificărilor de securitate şi de energie ce apar la nivelul nodurilor în momentul rulării Modelul mecanismului de clusterizare Algoritmul propus se numeşte CLASS (CLustering Algorithm for Security ResourceS) şi se bazează pe un proces stochastic pentru a distribui uniform resursele de securitate utilizate de către nodurile reţelei. Nodurile se organizează în zone de comunicaţie şi aleg resursa de securitate care urmează să fie utilizata pentru zona respectivă. Pentru comunicaţiile între clustere, fiecare zonă are un nod cluster-head (CH), care rutează datele comunicate. Deoarece nodurile CH consumă mai multă energie ca urmare a utilizării a cel puţin două resurse de securitate, acestea sunt actualizate în mod dinamic, în scopul de a distribui consumul de energie în cluster. Modul de operare al algoritmului CLASS este organizat pe baza unor runde. Fiecare runda presupune o fază de configurare, în care sunt determinate clusterele şi setările iniţiale. Aceasta este urmată de faza de funcţionare în care reţeaua este disponibilă şi funcţionează normal. Tot în această fază se realizează în mod automat adaptări ale nodurilor CH şi ale resurselor de securitate folosite. Procesul de constituire a clusterelor este bazat pe algoritmul LEACH (Heinzelman, Chandrakasan şi Balakrishnan, 2000). Fiecare nod generează o valoare aleatoare între 0 şi 1. În cazul în care valoarea nu depăşeşte o valoare de prag, nodul începe formarea clusterului. Relaţia valoarii de prag este prezentată în (5.5) şi este similară cu cele prezentate în (Heinzelman, Chandrakasan şi Balakrishnan, 2000; Haase Handy, şi Timmermann, 2002). 28

35 = 1 mod 1,node (5.5) 0,node unde p este numărul de noduri ce pot forma clustere, exprimat procentual, şi se calculează ca raportul dintre numărul de clustere şi numărul total de noduri, r este runda curentă, iar CS este o mulţime ce conţine nodurile alese să formeze clustere în ultimele 1/p runde. După ce un nod s-a ales pentru a forma un cluster, acesta transmite un mesaj catre celelalte noduri ce conţie un ID unic ce va identifica clusterul. Nodurile se asociază clusterului format de cel mai apropiat nod constituent, pe baza distanţei calculate din indicele RSSI al mesajelor primite anterior (Botezatu, Manta şi Vieriu, 2011). Acest proces este prezentat în figura 5.8. Figura 5.8. Modul de formare al clusterelor Figura 5.9. Selecţia resursei de securitate După ce fiecare nod a decis cărui cluster sa i se alăture, între nodurile clusterului se face schimb de informaţii privind energia reziduală şi necesarul de securitate. La nivelul fiecărui nod se efectuează o sortare deterministă pentru valorile energiei reziduale ale nodurilor din cluster, cel ce are cel mai ridicat nivel de energie fiind ales CH, într-o manieră distribuită. Apoi, nodul CH încearcă sa determine resursa de securitate cea mai adecvată pentru cluster. Aceasta se face prin contorizarea numărului de noduri ce doresc să folosească o anumită resursă. Resursa de securitate cu cea mai mare relevanţă pentru cluster este cea dezirabilă pentru majoritatea nodurilor din cluster (figura 5.9). send (nodeid, clusterid, energy, SRID) while (timeout) { // receive broadcast messages from the // neighboring nodes and // if they are from the same cluster locally store // the information (t_nodeid, t_clusterid, t_energy, t_sr) = receive () if (t_clusterid == clusterid) node_list [index] = (t_nodeid, t_energy, t_sr) } // search the node_list for the highest energy value max_index = search_max (node_list.energy) if (nodeid == max_index) { // node is elected CH // count the number of nodes for every SR for (i=1 to index) SR_count[node_list[i].SR] ++ // determine the SR that is desired by most of // the nodes CSR = search_max (SR_count) // broadcast the chosen SR send(csr) } 29

36 5.5. Evaluarea algoritmului Pentru a valida mecanismului de clusterizare, am dezvoltat un set de simulări bazate pe biblioteca SystemC. Am evaluat algoritmul CLASS alături de o configuraţie de comunicaţie directă non-adaptabilă (NADC). Pentru mesajele transmise între oricare două noduri, NADC securizează datele folosind resursele de securitate dorite de nodul sursă. Cele două metode au fost evaluate din punct de vedere al duratei de viaţă a reţelei şi a lăţimii de bandă agregate. Durata de viaţă de reţea a reţelei este definită ca timpul scurs până ce primul, respectiv ultimul nod al reţelei îşi consumă energia şi este exprimată în număr de runde. Lăţimea de bandă agregată este definită ca rata medie de tranfer a datelor şi este exprimată în kiloocteţi pe secundă. Configuraţia de simulare se bazează pe o reţea fără fir de tip mesh cu parametrii din tabelul 5.7. Parameter Value Network layout and Bidimensional 200 x 200 dimension meters Number of nodes 100 Nodes deployment Random uniform distribution Node transmission 89 meters range Initial energy Random uniform distribution between 1 and 8 Joules ε parameter 0.5 Joules Data source Random Bounded Pareto distribution (L = 1, H = 8k, α = 1) Tabel 5.7. Parametrii de simulare (Botezatu, Figura Variaţia consumului de energie şi a Manta and Vieriu, 2011). lăţimii de bandă în funcţie de numărul de clustere (Botezatu, Manta and Vieriu, 2011). Pentru a evalua algoritmul CLASS, iniţial s-a determinat numărul optim de clustere. Numărul de clustere a fost variat între 1 şi 100; pentru valorile extreme (1 şi 100 clustere) performanţa reţelei este similară cu cea a configuraţiei NADC (un cluster de 100 de noduri este echivalent cu 100 de clustere de câte 1 nod fiecare) (figura 5.10). Cel mai mic consum de energie a fost obţinut pentru 6 clustere şi valoarea cea mai ridicată a lăţimii de bandă a fost obţinută pentru 20 de clustere. Datorită acestor rezultate, restul de simulări au fost efectuate pe intervalul dintre cele două valori. 30

37 Durata de viaţă de reţea a fost evaluata în ceea ce priveşte parametrii λ şi Ψ pentru 6-20 clustere. Datorită volumului mare de informaţii, doar cele mai relevante rezultate sunt prezentate în continuare. Figura 5.11 prezintă o comparaţie între nodurile vii pentru CLASS şi NADC. Se constatată că este nevoie de o perioadă de timp de aproximativ 7 ori mai mare pentru ca primul nod să moară atunci când Ψ=SW şi de 4,5 ori mai mare atunci când Ψ = FE comparativ cu configuraţia NADC. Deşi primul caz are performanţe mai bune, în medie 16 noduri nu-şi pot adapta securitatea în fiecare rundă de clusterizare, alternând astfel performanţa reţelei. În ceea ce priveşte lăţimea de bandă, rezultatele prezentate în figura 5.12 arată că valorile cele mai mari au fost obţinute când sunt de 20 de clustere pentru ambele valori ale parametrului Ψ. Chiar şi pentru 6 clustere se obţine o valoare a lăţimii de bandă de 1,5 ori mai mare decât cea a configuraţiei NADC. Figura Durata de viaţă a reţelei (nc=6, λ=2) (Botezatu, Manta and Vieriu, 2011). Figura Lăţimea de bandă medie (λ=2) (Botezatu, Manta and Vieriu, 2011) Sumar Secţiunea 5.1 prezintă un mecanism auto-adaptabil pentru alegerea soluţiilor de securitate folosite în sisteme încorporate, bazat pe o analiză decizională multi-criteriu. Secţiunea 5.2 descrie o metodologie utilizată pentru ajustarea ponderilor profilelor de rulare utilizate în procesul de decizie. Obiectivul pentru aceasta este optimizarea performanţelor pentru fiecare profil prin minimizarea tranziţiilor inutile între soluţiile de securitate folosite. Secţiunea 5.3 prezintă procesul de evaluare pentru mecanismul WPM, alături de rezultatele obţinute. 31

38 Secţiunea 5.4 prezintă un alt mecanism de securitate auto-adaptabil, numit CLASS (Clustering Algorithm for Security ResourceS) care este destinat utilizării pe sisteme încorporate conectate în reţea. Acesta utilizează o schemă de clusterizare pentru a grupa nodurile funcţie de resursele de securitate folosite. Secţiunea 5.5 este dedicată evaluării mecanismului CLASS. 32

39 6. Mecanism pentru adaptarea puterii de transmisie În reţelele fără fir de tip mesh (eng. WMN wireless mesh networks), ca urmare a partajării mediului de transmisie, este necesar un protocol pentru controlul accesului la mediu (eng. MAC media access control), în scopul reducerii numărului de coliziuni. Majoritatea implementărilor comerciale de protocoale MAC se bazează pe standardul IEEE Deoarece acesta a fost iniţial destinat reţelelor de tip WLAN, nu este întotdeauna compatibil cu unele caracteristici ale reţelelor WMN: o densitate mare a nodurilor de reţea; resurse de energie ale nodurilor extrem de limitate, noduri de reţea alimentate de la baterie, şi creşterea utilizării reţelelor WMNs în aplicaţii timp real, care au constrângeri legate de latenţă sau lăţime de bandă. Problemele ridicate de acest protocol MAC sunt datorate mecanismului de handshake utilizat şi datorită folosirii uneu valori constante a nivelului de putere de transmisie. Astfel apare o reutilizare spaţială ineficientă, deoarece toate nodurile din raza de comunicaţie a unei perechi de noduri ce comunică trebuie să amâne transmisiile proprii pentru a nu se produce coliziuni. Mai mult, reţelele fără fir sunt predispuse la atacuri de tip Denial of Service (DoS) din cauza mediului de comunicaţie partajat şi pentru că aceste tipuri de atacuri pot fi implementate prin utilizarea de echipamente comercial disponibile pe scară largă (Bicakci şi Tavli, 2009). În acest context, capitolul curent vizează implementarea unui mecanism de control al puterii de transmisie bazat pe standardul MAC , ce are următoarele obiective: (i) diminuarea consumului de energie al nodurilor reţelei, şi (ii) creşterea capacităţii reţelei prin refolosirea mai eficientă a mediului de comunicaţie. Mai mult, am realizat un studiu cu privire la eficienţa mecanismului propus împotriva unor clase de atacuri DoS Protocolul CcPc-MAC Soluţia propusă se bazează pe următoarea idee de control a puterii de transmisie: pachetele RTS sunt trimise cu cea mai mare putere de transmisie disponibilă. Pentru pachetele CTS, luăm în considerare alte transmisii de concurente, în timp ce pachetele de date şi pachetele ACK sunt trimise cu cel mai scăzut nivel de putere pentru a ajunge la destinaţie, conform ecuaţiei (6.1). 33

40 / = (6.1) unde PTDATA/ACK este nivelul puterii de transmisie pentru pachetele de date şi ACK, PTRTS este puterea de transmisie pentru pachetele RTS, PRCTS este nivelul de putere cu care s-au recepţionat pachetele CTS şi RXTH este valoarea de prag a puterii semnalului pentru recepţia corectă a unui pachet. Sesiunile de comunicaţie sunt începute în mod selectiv, pe baza următorilor factori: distanţa dintre transmiţător şi receptor, precum şi informaţiile despre nodurile vecine care ar putea interfera cu transmisia. La modul general, un nod destinaţie va răspunde la o cerere de începere a unei transmisii numai dacă sursa poate utiliza un nivel de putere, care este suficient de scăzut pentru a nu interfera cu transmisiile în curs de desfăşurare şi destul de ridicat pentru a nu interfera cu vecinii la recepţie (Botezatu şi Dhaou, 2011). Pentru a primi un pachet de date valabil, nodurile transmiţătoare vecine trebuie să fie la o distanţă de cel puţin metri distanţă de receptor. Cu alte cuvinte, raza de interferenţă (IR) este exprimat ca în ecuaţia (6.2): = (6.4) Aşa cum se arată de Xu, Gerla şi Bae (2002), IR nu este întotdeauna acoperită de mecanismul de handshake RTS/CTS. Aceasta este problema care stă la baza deficienţei mecanismului Max-Min: IR rămâne constantă, în timp ce TxR şi CSR scad ca urmare a controlului puterii. Cu alte cuvinte, cu creşterea distanţei dintre nodurile sursă şi destinaţie creşte şi IR, în timp ce TxR şi CSR sunt dictate şi limitate de nivelul de putere utilizat. Protocol CcPC-MAC utilizează două tabele la nivelul fiecărui nod de reţea, unul pentru nivelele de puterea de transmisie disponibile şi unul pentru informaţiile obţinute din pachetele RTS/CTS comunicate de nodurile vecine. Tabelul nivelelor de putere (TPT) are trei câmpuri per intrare (tabelul 6.2): nivelul de putere exprimată în miliwati, raza de transmisie (TxR), exprimată în metri şi zona de acţiune a purtătoarei (CSR), exprimată tot în metri. Deoarece numărul de nivele de putere disponibile este, în general, limitat de hardware-ul interfeţei de comunicaţie, acest tabel este menţinut pentru a scuti nodurile de calcule suplimentare. Intrările sunt ordonate crescător în funcţie de nivelul de putere. Al doilea tabel (NT - tabel vecini) conţine informaţii utile preluate din pachetele RTS/CTS recepţionate: id-ul nodurilor vecine (de exemplu, adresa MAC), distanta pînă vecini, nivelul puterii de transmisie şi durata transmisiei (de exemplu, valoarea NAV). Protocolul funcţionează în felul următor: nodul sursă trimite pachetele RTS bazate pe standardul MAC IEEE (numai în cazul în care toate nodurile din CSR sunt idle); 34

41 la primirea pachetelor RTS, nodurile destinaţie determină distanţa până la sursă şi încearcă să determine nivelul mai mic de putere necesar pentru comunicarea datelor, pe baza informaţiilor din TPT. Apoi se determină IR, care depinde de TxR a nivelului de putere ales şi de distanţa dintr nodurile sursă-destinaţie. Dacă IR este mai mare decât TxR, nodul începe să verifice dacă există noduri active în zona delimitată de IR şi TxR. În cazul în care acest lucru este adevărat, întregul proces se repetă până se găseşte un nivel de putere adecvat transmisiei sau până când nodul receptor consideră că nici un nivel de putere nu poate fi folosit pentru a satisface constrângerile. În acest caz, pachetul CTS de răspuns nu este; în cazul în care nodul sursă primeşte un pachet CTS, începe să trimită datele cu acelaşi nivel de putere de transmisie. În cazul în care nu primeşte pachetul CTS într-o perioadă de timp predefinită, conform standardul IEEE , acesta retransmite pachetul RTS de un număr de ori, înainte de a renunţa pachete de date (valoarea implicită este de 7 încercări). Figura 6.1 prezintă pseudo-codul executat pe nodul destinaţie, după primirea unui pachet RTS. // get the receive signal strength indicator for the RTS packet and calculate // the distance to the source (RSSI, PT) = receive (RTS) d = dist (RSSI, PT) // search for a proper power level for (each entry p in TPT) { // verify that the power level covers the distance between the two // nodes if (p.txr >= d) { // determine if the neighboring nodes interfer with the // transmission with power level p for (each entry n in NT) { if ( n.id == NULL) // the neighbor is in CSZ // the sensed neighbor uses the highest // power level calculate SNR else calculate SNR // if the neighbor interferes with the // transmission, try a higher power level if (SNR > SNRTH) next p } // respond with p power level send (CTS, p.pt) break } } Figure 6.1. Codul executat de protocolul CcPC-MAC la recepţia unui pachet RTS 35

42 6.2. Evaluarea protocolului Pentru a testa protocolul propus, performanţele sale au fost evaluate prin simulare. Mediu de simulare folosit a fost ns-2 (v2.34) (Fall and Varadhan, 2010). Ambele protocoale CcPc-MAC şi Max-Min au fost implementate ca noi module pentru simulator, pe baza modulului MAC IEEE Pentru configuraţia experimentală a reţelei, am folosit o topologie de reţea de 100 de noduri, uniform distribuite din 50 în 50 de metri pe ambele axe (10 pe 10 noduri). Parametrii de simulare privind ai interfeţei fizice de comunicaţie sunt identici cu cei ai interfeţei 914 MHz Lucent WaveLAN DSSS, aceasta fiind setarea implicită a simulatorul, singura diferenta fiind utilizarea de valori variabile pentru nivelul de putere de transmisie. Parametrii cei mai relevanţi ai interfeţei fizice sunt prezentaţi în tabelul 6.1. Maxim data rate 2 Mbps Power level Receive Carrier Sense SNR Threshold 10 db (mw) Threshold (m) Threshold (m) Receive Threshold (RxTh) mw Carrier Sense Threshold mw (CSTh) Propagation model Two Ray Ground Tabel 6.1. Parametrii interfeţei de comunicaţie Tabel 6.2. Nivelele puterii de transmisie Pentru evaluarea mecanismului de control al puterii, au fost folosite trei nivele de putere, prezentate în tabelul 6.2. Nivelul de putere de 210 mw este cel implicit pentru interfata simulata şi a fost utilizat şi în simulările pentru MAC-ul IEEE Sursa de date a fost reprezentată de către un generator de date UDP/CBR, cu o rată de date de 1 Mbps şi o dimensiune a pachetelor de 512 octeţi; pentru rutarea pachetelor am folosit o implementare a protocolului DSDV. Transmit power level Interference transmission Interference (mw) power level (mw) range d d d d d d Tabel 6.3. Valorile IR pentru nivelele de putere variabilă (Botezatu and Dhaou, 2011). În cazul metodei CcPc-MAC, valorile de prag pentru trimiterea pachetelor CTS au fost alese pe baza variaţiei zonei IR conform tabelului 6.3. Valorile au fost determinate pe baza combinaţiilor nivelelor de putere din tabelul 6.2 şi a ecuaţiei (6.2). 36

43 Pentru fiecare configuraţie experimentala, s-au efectuat un număr de 50 de simulari pe o perioadă de 150 de secunde fiecare, în timp ce perechile de noduri emiţător-receptor au fost alese aleatoriu; de asemenea, numărul de perechi a fost variat, în scopul de a evalua performanţa funcţiei de încărcarea reţelei. În scopul reducerii influenţei protocolului de rutare, în evaluarea performanţei reţelei, perechile de noduri au fost alese astfel încât la puterea de transmisie maximă să poată comunica direct. Fişierele rezultate au fost prelucrate pentru a determina: Lăţimea de bandă agregată exprimată ca rata medie a pachetelor primite cu succes pe parcursul perioadei de simulare, măsurată în biţi pe secundă (bps) (figura 6.2); Rata de pierdere a fost exprimată ca raportului între numărul total de pachete comunicate pe perioada simulării şi numărul de pachete nelivrate, datorită coliziunilor sau a lipsei răspunsului CTS (figura 6.3); A treia metrică pentru capacitatea reţelei a fost latenţa medie, reprezentând timpul scurs între generarea unui pachet de date şi primirea lui la destinaţie (figura 6.4); Ultima metrică evaluată a fost energia reziduală a reţelei, definită ca energia medie rămasă pentru nodurile reţelei (figura 6.5). Figura 6.2. Lăţimea de bandă (Botezatu şi Dhaou, 2011) Figura 6.3. Rata de pierdere (Botezatu şi Dhaou, 2011) 37