Investe ște în oameni [619050]
1
Investe ște în oameni!
FONDUL SOCIAL EUROPEAN
Programul Opera țional Sectorial Dezvoltarea Resurselor Umane 2007 – 2013
Axa prioritar ă 1 „Educa ție și formare profesional ă în sprijinul cre șterii economice și dezvolt ării societ ății bazate pe cunoa ștere”
Domeniul major de interven ție 1.5. „Programe doctorale și post-doctorale în sprijinul cercet ării”
Titlul proiectului: Burse doctorale si postdoctoral e pentru cercetare de excelenta
Num ărul de identificare al contractului: POSDRU/159/1.5 /S/134378
Beneficiar: Universitatea Transilvania din Bra șov
Partener:
Universitatea Transilvania din Bra șov
Școala Doctoral ă Interdisciplinar ă
Departamentul de Electronic ă și Calculatoare
Cosmin COSTACHE
Contribu ții la Managementul
Re țelelor Definite Software
Contributions to the Management of
Software Defined Networks
Conduc ător știin țific
Prof.dr.ing. Florin SANDU
BRASOV, 2015
2
MINISTERUL EDUCA ȚIEI ȘI CERCET ĂRII ȘTIIN ȚIFICE
UNIVERSITATEA “TRANSILVANIA” DIN BRA ȘOV
BRA ȘOV, B-DUL EROILOR NR. 29, 500036, TEL. 0040-268-413 000, FAX 0040-268-410525
RECTORAT
D-lui (D-nei) ………………………………. …………………………………………… ………………….
COMPONEN ȚA
Comisiei de doctorat
Numit ă prin ordinul Rectorului Universit ății „Transilvania” din Bra șov
Nr. 7420 din 09.07.2015
PRE ȘEDINTE:
Conf.dr.ing. Carmen GERIGAN
Decan – Fac. de Inginerie Electric ă și Știin ța Calculatoarelor
Universitatea „Transilvania” din Bra șov
CONDUC ĂTOR ȘTIIN ȚIFIC: Prof. univ. dr. ing. Florin SANDU
Universitatea „Transilvania” din Bra șov
REFEREN ȚI: Prof.dr.ing. Ion BOGDAN
Universitatea Tehnic ă ”Gh. Asachi” Ia și
Prof.dr.ing. Tudor PALADE
Universitatea Tehnic ă din Cluj-Napoca
Prof.dr.ing. Mihai ROMANCA
Universitatea "Transilvania" din Bra șov
Data, ora și locul sus ținerii publice a tezei de doctorat: 26.09.2015 , ora 9,
sala NII-1
Eventualele aprecieri sau observa ții asupra con ținutului lucr ării v ă rug ăm s ă
le transmite ți în timp util, pe adresa [anonimizat]
Totodat ă v ă invit ăm s ă lua ți parte la ședin ța public ă de sus ținere a tezei de
doctorat.
Vă mul țumim.
3CUPRINS
Pg.
teza Pg.
rezumat
LISTA DE ABREVIERI 3 7
INTRODUCERE 5 8
1. VIRTUALIZARE ȘI MEDII DISTRIBUITE 10 12
1.1 Virtualizarea proces ării 12 12
1.1.1 Virtualizarea complet ă 14 14
1.1.2 Para-virtualizare 19 14
1.1.3 Virtualizarea la nivelul sistemului de operare 21 15
1.2 Containere Linux 22 15
1.3 Cloud computing 27 16
1.4 Contribu ție la interconectarea containerelor Linux prin inte rmediul rețelelor
virtuale 29 16
1.5 Concluzii 33 17
2. RE ȚELE DEFINITE SOFTWARE – SDN 35 18
2.1 Stadiul actual de dezvoltare al re țelelor definite software 39 19
2.2 Domenii de aplicare ale SDN 43 20
2.3 Protocolul OpenFlow 45 20
2.4 Contribu ție la securizarea comunica țiilor industriale prin re țele definite
software 48 21
2.4 Concluzii 52 21
3. ANALIZA FLUXURILOR DE DATE – MANAGEMENTUL
RE ȚELELOR BAZAT PE CON ȚINUT 53 23
3.1 Stadiul actual al metodelor de analiz ă a pachetelor de date 55 23
3.2 Identificarea tiparelor în analiza pachetelor d e date 59 23
3.3 Contribu ție la discriminarea fluxurilor prin inspec ția profund ă a pachetelor
pe platforma ATCA 59 24
3.4 Concluzii 67 25
4. VIRTUALIZAREA EVENIMENTELOR PENTRU CONTROLUL PRI N
STARE 69 26
4.1 Procesarea evenimentelor complexe 69 26
4.2 Modele comportamentale – controlul pe baz ă de evenimente 71 26
4.3 Integrarea bazat ă pe containere a unei solu ții de securizare prin controlul
evenimentelor 75 27
4.4 Concluzii 79 28
45. ORIENTAREA PE SERVICII A COMUNICA ȚIILOR INDUSTRIALE 80 29
5.1 Abordarea orientat ă pe servicii 80 29
5.1.1 Standardele care definesc serviciile we b 81 29
5.1.2 Serviciile web de tip REST 88 30
5.2 Arhitecturi orientate pe servicii 90 30
5.2.1 Orchestrarea serviciilor web 92 30
5.3 Contribu ție la integrarea comunica țiilor industriale în mediul distribuit 96 31
5.4 Concluzii 105 32
6. RE ȚELE DEFINITE ONTOLOGIC – ÎN INTERNETUL OBIECTELOR 106 33
6.1 Ontologii și web-ul semantic 107 33
6.1.1 Resource Description Framework (RDF) 110 34
6.1.2 Web Ontology Language (OWL) 113 34
6.2 Re țele de senzori organizate semantic 114 34
6.2.1 Adnotarea semantic ă a datelor 116 35
6.2.2 Interconectarea multi-protocol a re țelelor de senzori 117 35
6.3 Concluzii 120 36
7. CONCLUZII GENERALE ȘI CONTRIBU ȚII ORIGINALE 122 37
BIBLIOGRAFIE 126 40
ANEXE
Scurt Rezumat (romana/engleza)
Curriculum Vitae
5
CONTENTS
Pg.
teza Pg.
rezumat
ACRONYM LIST 3 7
INTRODUCTION 5 8
1. VIRTUALIZATION AND DISTRIBUTED ENVIRONMENTS 10 12
1.1 CPU Virtualization 12 12
1.1.1 Full Virtualization 14 14
1.1.2 Para-virtualization 19 14
1.1.3 Virtualization at operating system leve l 21 15
1.2 Linux Containers 22 15
1.3 Cloud computing 27 16
1.4 Contribution to Linux containers interconnectio n through virtual networks 29 16
1.5 Conclusions 33 17
2. SOFTWARE DEFINED NETWORKS – SDN 35 18
2.1 Current development of software defined network s 39 19
2.2 Application domains for SDN 43 20
2.3 OpenFlow Protocol 45 20
2.4 Contribution to securing communications in indu strial software defined
networks 48 21
2.4 Conclusions 52 21
3. DATA FLOW ANALYSIS – CONTENT DRIVEN NETWORK
MANAGEMENT 53 23
3.1 Methods for network packet analysis 55 23
3.2 Pattern matching in network packet analysis 59 23
3.3 Contribution to flow discrimination using deep packet inspection on ATCA
platforms 59 24
3.4 Conclusions 67 25
4. EVENT VIRTUALIZATION FOR STATE DRIVEN CONTROL 69 26
4.1 Complex event processing 69 26
4.2 Behavioural models – event driven control 71 26
4.3 Container based integration of an event driven security solution 75 27
4.4 Conclusions 79 28
5. SERVICE ORIENTED INDUSTRIAL COMMUNICATION 80 29
5.1 Service oriented approach 80 29
6 5.1.1 Standards for web services 81 29
5.1.2 REST web services 88 30
5.2 Service oriented architecture 90 30
5.2.1 Web services orchestration 92 30
5.3 Contribution to industial communication in dist ributed environment 96 31
5.4 Conclusions 105 32
6. SEMANTIC DEFINED NETWORKS – IN THE INTERNET OF T HINGS 106 33
6.1 Ontologies and semantic web 107 33
6.1.1 Resource Description Framework (RDF) 110 34
6.1.2 Web Ontology Language (OWL) 113 34
6.2 Semantic sensor networks 114 34
6.2.1 Data semantic adnotation 116 35
6.2.2 Multi-protocol interoperability in sema ntic sensor networks 117 35
6.3 Conclusions 120 36
7. CONCLUSIONS AND ORIGINAL CONTRIBUTIONS 122 37
REFERENCES 126 40
ANEXE
Short abstract (romanian/english)
Curriculum Vitae
7Lista de abrevieri
Lista de acronime de mai jos con ține termenii cei mai relevan ți pentru activitatea de cercetare
prezentat ă în lucrarea de fa ță . Denumirile complete au fost l ăsate și folosite în original pe
parcursul lucr ării, fiind preponderent în limba englez ă.
API Advanced Programming Interface
ATCA Advanced Telecom Computing Architecture
CEP Complex Event Processing
CoAP Constrained Application Protocol
DPI Deep Package Inspection
ESP Event Stream Processing
H2M Human to Machine
GRE Generic Routing Encapsulation
IaaS Infrastructure as a Service
IDS Intrusion Detection System
IoT Internet of Things
IP Internet Protocol
IPv4 Internet Protocol versiunea 4
IPv6 Internet Protocol versiunea 6
ISO International Standard Organization
ISP Internet Service Provider
JSON JavaScript Object Notation
JSON-LD JavaScript Object Notation for Linked Data
M2M Machine to Machine
MB Middlebox
MQTT MQ Telemetry Transport
NI
NFV National Instruments
Network Function Virtualization
NIST National Institute of Standards and Technology
PaaS Platform as a Service
PICMG PCI Industrial Computers Manufactures Group
RDF Resource Description Framework
SaaS Software as a Service
SDN Software Defined Networking
SSL Secure Socket Layer
TLS Transport Layer Security
URI Uniform Resource Identifier
URL Uniform Resource Locator
VISA VXI Instrument Software Architecture
VI Virtual Instrument (LabVIEW)
VMM Virtual Machine Monitor
W3C World Wide Web Consortium
WAN Wide Area Network
8
Introducere
O privire de ansamblu asupra ultimului deceniu ne a rat ă o explozie tehnologic ă manifestat ă în
aproape toate domeniile. În prezent suntem înconjur a ți de tehnologie care a ajuns s ă fac ă din ce
în ce mai mult parte din via ța noastr ă cotidian ă.
Domeniul care cunoa ște cea mai dinamic ă evolu ție este cel informatic iar cre șterea exponen țial ă
a consumului de informa ție, este factorul care determin ă apari ția continu ă și accelerat ă de noi
tehnologii.
Se poate afirma c ă una dintre cele mai inovative tehnologii ap ărute în ultimul deceniu este
reprezentat ă de tehnologia cunoscut ă sub denumirea de ”Cloud computing”. Aceast ă nou ă
tehnologie a fost definit ă de Institutul Na țional de Standarde și Tehnologie din Statele Unite
(NIST), ca „un model de servicii de acces prin re țea la sisteme distribuite de resurse de calcul
configurabile la cerere (servere, solu ții de stocare de date și servicii), care pot fi puse rapid la
dispozi ție cu eforturi minime de management și interven ție din partea clientului și a furnizorului.
Accesul se poate face de oriunde, convenabil, f ără ca utilizatorul s ă fie nevoit s ă știe în detaliu
loca ția sau configura ția sistemelor care furnizeaz ă aceste servicii”.
Cloud computing este un termen general ce implic ă livrarea de servicii g ăzduite pe Internet. S-au
eviden țiat trei categorii principale de servicii de tip Cl oud: servicii de infrastructur ă (IaaS –
Infrastructure as a Service), platform ă (PaaS – Platform as a Service) și software (SaaS –
Software as a Service). Dar tendin ța este de a expune cât mai multe resurse ca servici i de tip
Cloud, mergând spre conceptul generic „totul” ca se rviciu (XaaS – Everything as a Service).
Aceasta tendin ță se observ ă și în domeniul comunica țiilor unde au ap ărut concepte noi cum ar fi
Software Defined Networking (SDN) sau Network Funct ion Virtualization (NFV) care au ca
scop virtualizarea elementelor de re țea și expunerea acestora ca servicii (NaaS – Network as a
Service). Titulatura Cloud computing a fost inspira t ă de c ătre simbolul norului, utilizat frecvent
în reprezentarea Internetului [78]. Este o tehnolog ie nou ă, în plin ă dezvoltare, de și înc ă
nedefinit ă prin standarde care s ă caracterizeze anumite modele de implementare și care
genereaz ă înc ă numeroase controverse generate în special de temer ile legate de securitatea
datelor.
Serviciile de tip Cloud au condus la centralizarea unui num ăr impresionant de resurse, cum ar fi
putere de procesare, stocare etc. sub forma unor ce ntre de date. Aceast ă consolidare se bazeaz ă
pe utilizarea pe scar ă larg ă a tehnologiilor de virtualizare, astfel pe o infra structur ă hardware
existent ă, un num ăr mare de ma șini virtuale flexibile, u șor de creat și gestionat au preluat rolul
furniz ării de servicii. Gestiunea ma șinilor presupune și gestiunea conect ării dintre acestea, care a
dus la dezvoltarea de noi tehnologii și solu ții software de conectare între ma șinile virtuale.
În acest context, se dezvolt ă în paralel și noi tehnologii care s ă faciliteze schimbul de date la
viteze din ce în ce mai mari, precum și noi metode de partajare a resurselor din infrastr ucturile de
9comunica ție existente. Observ ăm astfel c ă tendin ța de virtualizare a resurselor de calcul și cea a
virtualiz ării re țelelor și implicit a elementelor de re țea sunt complementare.
Dezvoltarea masiv ă a infrastructurii de comunica ții determinat ă de cererea în continua cre ștere
de servicii, a afectat capacitatea de management a acesteia și implicit de utilizare a sa la
capacitate maxim ă. Dispozitivele de re țea virtuale folosite pentru interconectarea ma șinilor
virtuale au complicat și mai mult situa ția existent ă. Solu ția care a ap ărut este de decuplare a
părții decizionale (control plane) de cea de comuta ție (forwarding plane) în cadrul infrastructurii
de re țea. Partea decizional ă este abstractizat ă și decuplat ă complet de componenta fizic ă a
infrastructurii. Aceast ă solu ție poart ă numele de re țea definit ă prin software sau SDN – Software
Defined Networking.
Conceptul de re țea definit ă software este strâns legat de cel de Cloud computi ng și implicit de cel
de virtualizare și reprezint ă o tendin ță cert ă de viitor.
Primele implement ări comerciale de succes ce au adus tehnologia SDN î n lumina reflectoarelor
au fost: sistemul de management al traficului în WA N (Wide Area Network), dezvoltat de
Google [76] și platforma de virtualizare a resurselor din re țea dezvoltat ă de Nicira, companie
achizi ționat ă de c ătre VMware.
În prezent, majoritatea marilor juc ători din domeniul tehnologiei informa ției precum furnizori de
servicii de tip Cloud, furnizori de Internet, produ c ători de echipamente și companii de servicii
financiare au format diverse consor ții în cadrul c ărora î și concentreaz ă eforturile în vederea
dezvolt ării tehnologiei SDN : Open Networking Foundation [7 ], Open Daylight [77]. Astfel,
putem afirma faptul c ă în prezent se fac pa și concre ți c ătre realizarea unui vis demult enun țat și
anume crearea re țelelor de date cu adev ărat programabile care pot s ă se adapteze f ără probleme
la dinamica serviciilor disponibile și accesate în ziua de azi prin Internet.
Oportunitatea temei
Datorit ă dezvolt ărilor recente în domeniul resurselor de calcul și a re țelelor de comunica ții,
sistemele de calcul tradi ționale sunt înlocuite treptat de cele distribuite.
Oportunitatea temei provine din contextul global de modernizare al infrastructurii re țelelor
tradi ționale și trecerea la noua paradigm ă de re țele definite prin software. Firme importante de pe
pia ța de servicii IT au f ăcut deja pasul c ătre adoptarea acestei noi tehnologii. Centrele de d ate de
la Google se bazeaz ă pe re țele definite software iar Amazon, Microsoft și IBM ca principali
furnizori de servicii de tip Cloud au trecut par țial la noul model. De asemenea furnizorii de
echipament de re țea ofer ă în produsele lor suport pentru o varietate de prot ocoale SDN.
In prezent sunt mai multe proiecte de anvergur ă care utilizeaz ă un model arhitectural bazat pe
protocoale specifice re țelelor definite software (OpenFlow). FIBRE (Future Internet Testbeds
Experimentation Between Brazil and Europe) este un proiect de cercetare cofinan țat de c ătre
Consiliul pentru Dezvoltare Știin țific ă și Tehnologic ă din Brazilia (CNPq) și Consiliul Europei.
Obiectivul principal al acestui proiect este de a c rea un spa țiu comun între Uniunea European ă și
10 Brazilia pentru Internetul viitorului (FI – Future Internet) cercetarea experimental ă în
infrastructura de re țea și aplica ții distribuite.
Una dintre aplica țiile tehnologiei SDN considerat ă a fi cea mai important ă la ora actual ă și
pentru dezvoltarea c ăreia se aloc ă în prezent cele mai multe resurse, este platforma de
virtualizare a resurselor re țelei. Aceast ă faz ă reprezint ă urm ătorul pas logic care este necesar a fi
efectuat dup ă apari ția solu țiilor de virtualizare a puterii de calcul și a capacit ății de stocare.
Coordonata principal ă a lucr ării o constituie investigarea și propunerea de metode pentru
îmbun ătățirea managementului și securit ății în contextul re țelelor definite software.
Obiectivele tezei
Fa ță de paradigmele clasice Cloud (SaaS, PaaS, IaaS – S oftware/Platform/Infrastructure – as a
Service), trecând prin NFV (Network Function Virtua lization) putem spune c ă un prim obiectiv
este dezvoltarea ”re țelei-ca-serviciu” (NaaS – Network as a Service).
Comparativ cu managementul clasic orientat pe conex iune, un alt obiectiv este orientarea
managementului pe con ținut (de la procesarea de pachete pân ă la ”re țele definite ontologic”).
Pornind de la controlul pe baz ă de evenimente (pe baz ă de întreruperi, pe baz ă de stare, etc.) un
alt obiectiv este însu și ”controlul evenimentelor”.
Fa ță de alte ”re țele ale informa ției” specificul solu țiilor originale prezentate ține în mare m ăsur ă
de domeniul IoT (Internetul obiectelor), a șa c ă teza e orientat ă, în general, pe comunica țiile
industriale (M2M – ma șin ă-ma șin ă) al c ăror volum dep ăș ește deja comunica țiile om-la-om sau
om-ma șin ă, aducând și cerin țe speciale de calitate a serviciilor (QoS).
Nu trebuie uitat c ă ”deschiderea” intrinsec ă a domeniului Cloud aduce mari probleme de
securitate . În acest context, un alt obiectiv al lucr ării este utilizarea în securitatea cibernetic ă
(”cyber security”) a inspec ției profunde a pachetelor (DPI – Deep Packet Inspec tion) pe
platforme ATCA – în completarea contribu țiilor la controlul evenimentelor care la rândul lor
declan șeaz ă contra-măsurile de r ăspuns – modificarea dinamic ă a înse și politicilor de securitate.
Organizarea tezei
În ceea ce prive ște structura, teza este organizat ă în 7 capitole, primele 6 capitole corespund câte
unuia dintre obiectivele propuse iar ultimul este d edicat concluziilor generale și contribu țiilor
originale.
– Introducerea prezint ă oportunitatea și motivarea temei abordate, precum și obiectivele
propuse pentru rezolvare în cadrul activit ății de cercetare.
– Capitolul 1 intitulat ”Virtualizare și medii distribuite” cuprinde o analiz ă a
tehnologiilor și tendin țelor din domeniul virtualiz ării resurselor. De asemenea va
introduce conceptul de containere Linux care au fos t folosite extensiv în elaborarea
implement ărilor experimentale. Va fi prezentat ă în acest capitol o propunere pentru
11 interconectarea containerelor Linux folosind re țele virtuale. Modelul prezentat va sta
la baza scenariilor propuse în urm ătoarele capitole.
– Capitolul 2 se concentreaz ă asupra investig ării tehnologiilor din domeniul re țelelor
definite software și pe prezentarea contribu țiilor aduse la securizarea comunica țiilor
industriale.
– Capitolul 3 având ca titlu ”Analiza fluxurilor de d ate – managementul re țelelor bazat
pe con ținut” propune o nou ă abordare în gestionarea re țelelor. În cadrul acestui
capitol vor fi prezentate principalele metode de an aliz ă, identificare și clasificare a
fluxurilor de date. Va fi descris ă o metod ă propus ă pentru identificarea fluxurilor de
comunica ție, dezvoltat ă pe platforma ATCA, care se bazeaz ă pe utilizarea de
procesoare speciale, dedicate analizei profunde de pachete în timp real din familia
Netlogic/Broadcom XLR.
– Capitolul 4 ”Virtualizarea evenimentelor pentru con trolul prin stare” propune solu ții
bazate pe procesarea de evenimente complexe aplicab ile în cadrul re țelelor definite
software în optimizarea politicilor de securitate.
– Capitolul 5 intitulat ”Orientarea pe servicii a com unica țiilor industriale” descrie
paradigma SOA și principalele tehnologii aferente, concentrându-se apoi pe
prezentarea contribu țiilor aduse la integrarea sistemelor de instrumenta ție bazat ă pe
principiile SOA. În acest capitol este detaliat ă solu ția dezvoltat ă pentru a permite
accesul de la distan ța la instrumenta ție de tip VISA, precum și metode de agregare al
instrumenta ției aflat ă la distan ță în scenarii complexe.
– Capitolul 6, având titlul ”Re țele definite ontologic” prezint ă posibilitatea utiliz ării
ontologiilor în definirea și managementul re țelelor definite software
– Ultimul capitol al lucr ării prezint ă concluziile generale și contribu țiile originale,
modul de validare practic ă a acestor contribu ții precum și diseminarea rezultatelor
cercet ării.
Not ă asupra terminologiei
Termenii și no țiunile de baz ă folosite în telecomunica ții sunt în marea lor majoritate consacra ți
ca neologisme tehnice folosite adesea ca atare în l iteratura de specialitate. Din acest motiv am
tradus în limba român ă termenii de specialitate la prima lor apari ție în text și, totodat ă, am
încercat explicarea lor acolo unde nu ar fi fost in tuitiv ă simpla traducere.
12 Capitolul 1
VIRTUALIZARE ȘI MEDII DISTRIBUITE
Acest prim capitol parcurge metode moderne de gesti une a resurselor trecând spre controlul
software al agreg ării lor în mediu distribuit, prin tehnici avansate de comunica ții în re țea.
Virtualizarea ca termen general reprezint ă tehnologia prin care resursele hardware ale unui s erver
sunt abstractizate și partajate între multiple ma șini virtuale. Prin virtualizare resursele hardware
sunt transformate în resurse software, oferind astf el un nivel logic de abstractizare care
elibereaz ă sistemul de operare sau aplica țiile de resursele hardware fizice [1].
Un prim pas spre virtualizare a fost f ăcut în anul 1960 cu scopul de a partaja sistemele d e tip
„mainframe” mari, pentru o mai bun ă utilizarea acestora. În 1964, IBM a dezvoltat un m ecanism
numit Virtual Machine Monitor (VMM) care permitea r ularea a diferite sisteme de operare pe
sistemele mainframe, oferind astfel o modalitate de a împ ărți în mod logic aceste calculatoare
mari în ma șini virtuale separate. Aceste parti ții au permis sistemelor de tip mainframe s ă execute
mai multe aplica ții și procese simultan. Motiva ția care a stat la baza dezvolt ării acestui
mecanism, a fost costul foarte ridicat al sistemelo r mainframe.
Cu toate acestea, odat ă cu dezvoltarea tehnologic ă și ieftinirea componentelor hardware,
virtualizarea a pierdut din popularitate și a fost privit ă ca o relicv ă a unei ere în care resursele de
calcul au fost limitate. Acest lucru a fost reflect at în proiectarea de arhitecturi x86, care nu mai
ofereau suficient sprijin pentru a implementa efici ent virtualizarea acestora. Virtualizarea a fost
oarecum abandonat ă în perioada anilor 1980 și 1990, atunci când aplica țiile client-server și
servere ieftine bazate pe arhitectura x86 au dus la dezvoltarea conceptelor de calcul distribuit.
Adoptarea larg ă a sistemului de operare Windows și apari ția Linux folosite ca sisteme de operare
pentru servere în 1990 a f ăcut ca arhitectura x86 s ă devin ă un standard în cadrul industriei.
Datorit ă sc ăderii costului de achizi ție a sistemelor de tip server precum și a cre șterii în
complexitate a aplica țiilor software care rulau pe servere, administrator ii de sisteme a început s ă
instaleze o aplica ție per server. Aceast ă practic ă, devenit ă comun ă, oferea un mecanism simplu
de izolare al aplica ților, pentru a preveni ca o aplica ție s ă afecteze buna func ționare a celorlalte
aplica ții instalate pe acela și server. Totu și acest model presupune costuri ridicate iar
echipamentele nu sunt utilizate la capacitatea maxi m ă. S-a ajuns la cazuri în care anumite servere
să aib ă o utilizare medie între 5% și 15%. Astfel pe lâng ă costul echipamentelor de calcul se mai
adaug ă costuri suplimentare pentru spa țiul de depozitare, alimentarea cu energie, r ăcire, etc
ajungându-se la costuri substan țiale pentru gestiunea unui centru de date. S-a reve nit la vechea
problem ă a subutiliz ării resurselor de calcul existente iar virtualizare a a devenit din nou o tem ă
de actualitate și a schimbat dramatic abordarea “tradi ționalist ă”. Pentru furnizorii de servicii,
virtualizarea a reprezentat o modalitate de consoli dare a centrelor de date și de reducere a
cheltuielilor. Prin consolidarea serverelor se poat e diminua num ărul de servere fizice necesare,
reducându-se astfel cheltuielile necesare pentru sp a țiu, energie și administrare.
13 Privit ă în esen ța ei, virtualizarea implic ă ad ăugarea de niveluri de abstractizare, care depind un ul
de cel ălalt. Putem distinge urm ătoarele niveluri de abstractizare:
– virtualizarea la nivel de hardware care adaug ă un nivel de abstractizare între sistemele de
operare individuale și hardware-ul fizic pe care acestea sunt instalate. Acest nivel de
abstractizare numit și hipervizor permite interac țiunea simultan ă a mai multor sisteme de
operare cu acela și set de dispozitive fizice.
– virtualizarea la nivelul sistemului de operare. În acest caz se adaug ă nivelurile de
abstractizare peste un sistem de operare existent
– virtualizarea la nivel de aplica ție mut ă nivelul de abstractizare la un nivel mai înalt,
separând aplica țiile individuale.
– virtualizarea la nivel de re țea, similar ă celei la nivel hardware, adaug ă un nivel de
abstractizare peste infrastructura re țelei fizice existente. Cu ajutorul acestui nivel de
abstractizare, o re țea fizic ă poate fi împ ărțit ă în multiple re țele virtuale care folosesc în
comun infrastructura existent ă.
În cadrul acestui capitol sunt descrise principalel e tehnologii folosite pentru virtualizarea
proces ării urmând ca în capitolul urm ător s ă fie prezentate conceptele care stau la baza
virtualiz ării re țelelor.
1.1 Virtualizarea proces ării
Arhitectura x86 define ște patru niveluri de protec ție, care au rolul de a izola și controla execu ția
instruc țiunilor aferente sistemului de operare și respectiv a aplica țiilor utilizator. Nivelul 0
denumit și spațiu sistem sau modul nucleu (kernel) are privilegiil e cele mai mari și este nivelul în
care ruleaz ă în mod normal componentele care alc ătuiesc nucleul sistemului de operare. Exist ă o
serie de componente ale sistemului de operare care ruleaz ă sub nivelul de protec ție 3, în așa
numitul user space , al ături de aplica țiile obi șnuite utilizator. Un exemplu de astfel de
componente sunt serviciile Windows (Service Process es).
Virtualizarea arhitecturii x86 necesit ă plasarea unui nivel software adi țional denumit hipervizor
sub nivelul sistemului de operare (care se a șteapt ă s ă ruleze în nivelul cel mai privilegiat – nivelul
0) cu rolul de a partaja resursele sistemului și de a crea și gestiona ma șini virtuale.
Cu toate c ă, arhitectura x86 nu îndepline ște complet criteriile Popek și Goldberg pentru a realiza
așa numita "virtualizare clasic ă", au fost g ăsite metode pentru a compensa aceste limit ări. În
prezent virtualizarea arhitecturii x86 se realizeaz ă prin dou ă metode: virtualizare complet ă și
paravirtualizare. Ambele creeaz ă iluzia de hardware fizic pentru a atinge obiectivu l de
independen ță a sistemului de operare fa ță de hardware, dar prezint ă unele compromisuri în
performan ță și complexitate. Suplimentar au fost definite mecani sme de virtualizare și la nivelul
sistemului de operare, care permit partajarea nucle ului sistemului de operare.
14 1.1.1 Virtualizare complet ă
În cazul virtualiz ării complete, sistemului de operare gazd ă i se aloc ă un set de resurse
virtualizate (procesor, memorie, spa țiu de stocare), acesta ”având impresia” c ă este singurul
sistem de operare instalat pe serverul respectiv. S istemul de operare gazd ă nu necesita astfel nici
un fel de modific ări pentru a rula în mediul virtualizat.
Virtualizarea complet ă este singura op țiune care nu necesit ă asisten ță hardware sau modific ări în
sistemul de operare pentru a virtualiza instruc țiuni sensibile sau privilegiate. Hipervizorul are
rolul de a traduce toate instruc țiunile sistemului de operare în timp real și poate stoca rezultatele
execu ției instruc țiunilor pentru o utilizare viitoare, în timp ce ins truc țiuni de nivel utilizator
ruleaz ă nemodificate la vitez ă nativ ă. Aceasta este, probabil, cel mai comun tip de virt ualizare a
serverului.
În func ție de modul de implementare se disting mai multe ti puri de sisteme hipervizor:
Hipervizor de tipul 1 – Cunoscut ă și sub numele de virtualizare nativ ă, aceasta este o tehnic ă în
care stratul de abstractizare rezid ă și ruleaz ă direct pe hardware-ul sistemului gazd ă în nivelul de
protec ție 0. Sarcina acestui hipervizor este s ă gestioneze alocarea resurselor și a memoriei pentru
ma șinile virtuale. În plus ofer ă interfe țe pentru administrarea și monitorizarea ma șinilor virtuale.
Hipervizor de tip 2 – Stratul de virtualizare ruleaz ă sub forma unei aplica ții pe sistemul de
operare gazda și se bazeaz ă pe sistemul de operare gazd ă pentru accesul la resursele hardware.
Hipervizor integrat – Stratul de virtualizare este încorporat în nucleul sistemului de operare
gazd ă și fiecare sistem de operare care ruleaz ă în mediul virtualizat are propriul s ău nucleu, cu
restric ția ca acesta s ă fie compilat pentru acela și hardware ca și nucleul în care ruleaz ă.
1.1.2 Paravirtualizare
Paravirtualizarea este o alt ă abordare aplicat ă pentru virtualizarea serverelor. Prin aceast ă metod ă
hipervizorul nu are rolul de a ”imita” mediul fizic complet, ci adaug ă doar un nivel intermediar,
care asigur ă c ă toate sistemele de operare oaspete partajeaz ă resursele de sistem și ruleaz ă în
mediu izolat. Paravirtualizarea, implic ă modificarea sistemului de operare pentru a înlocui
instruc țiunile non-virtualizabile cu apeluri directe c ătre hipervizor (care r ămâne separat de
sistemul de operare – spre deosebire de hipervizoru l integrat prezentat anterior). Acesta ofer ă
interfe țe prin care sistemul de operare poate apela func ții specifice cum ar fi managementul
memoriei sau tratarea întreruperilor.
În cazul paravirtualiz ării, nucleul sistemului de operare care ruleaz ă în mediul virtualizat trebuie
modificat pentru a putea rula pe hipervizor. Aceste modific ări implic ă înlocuirea oric ăror
opera țiuni privilegiate care ar trebui s ă fie executate numai în nivelul 0 al procesorului, cu
apeluri la hipervizor (cunoscute sub numele de hipe r-apeluri).
15
1.1.3 Virtualizarea la nivelul sistemului de operare
Sistemele de virtualizare ”clasice” ne permit s ă definim o ma șin ă virtual ă pentru care aloc ăm
anumite resurse (procesor, memorie, spa țiu de stocare etc.) și pe care instal ăm sistemul de
operare dorit. În felul acesta se ob ține izolarea resurselor, fiecare ma șina virtual ă ”având
impresia” c ă de ține acele resurse. Pre țul pentru acest gen de solu ții se m ăsoar ă pe de o parte în
spa țiu pe disc (pentru trei ma șini virtuale instal ăm trei sisteme de operare, deci ocup ăm de trei
ori mai mult spa țiu, plus spa țiul ocupat de sistemul de baz ă) și pe de alt ă parte în cantitatea de
resurse alocate (memorie RAM, cicluri procesor). În plus ma șina gazd ă consum ă și ea resurse
pentru a administra celelalte ma șini virtuale.
Rezolvarea la aceste probleme poate veni de la o no u ă tehnologie de virtualizare bazat ă pe
containere. Prin introducerea unor noi capabilit ăți de virtualizare în nucleul sistemului de operare
(kernel) care permit izolarea memoriei alocate, con tainerele pot izola procesele permi țând
utilizarea în comun a nucleului sistemului de opera re gazd ă. Un dezavantaj care se poate observa
de la început este faptul c ă se limiteaz ă folosirea containerelor doar la virtualizarea ma șinilor cu
acela și sistem de operare (în general Linux). Acesta este îns ă compensat de faptul c ă respectivele
containere vor func ționa la viteza sistemului gazd ă și vor consuma doar o cantitate limitat ă de
resurse.
Acest tip de virtualizare presupune ca nucleul sist emului de operare gazd ă s ă permit ă rularea de
aplica ții sau procese în cadrul unor medii independente și izolate numite containere. În
conformitate cu acest model de virtualizare, contai nerele utilizeaz ă în comun nucleul sistemului
de operare gazd ă dar totu și fiecare are container are propriul sistem de fi șiere. Hipervizorul are
func ționalitate foarte limitat ă, bazându-se pe sistemul de operare gazd ă pentru accesul la
resursele sistemului și gestiunea memoriei. Capacit ățile de virtualizare sunt parte a sistemului de
operare gazd ă, care îndepline ște toate func țiile unui hipervizor.
1.2 Containere Linux
Containerele Linux reprezint ă un mecanism de izolare al proceselor reprezentând servicii,
aplica ții sau chiar sisteme de operare Linux, de celelalte procese care ruleaz ă pe sistemul de
operare gazd ă. Pentru a realiza aceast ă izolare, fiecare container are alocate propriile r esurse
constând din sistem de fi șiere, dispozitive de re țea, adrese IP, tabele de procese, etc.
Tehnologia containerelor Linux reprezint ă o alt ă abordare în compara ție cu tehnologiile "clasice"
de virtualizare cum ar fi KVM sau Xen. Procesele ca re ruleaz ă în interiorul containerelor sunt
executate direct pe nucleul sistemului de operare g azd ă, complet izolat de celelalte procese.
Acest lucru permite eficientizarea aloc ării resurselor computa ționale (CPU) și al accesului la
resursele sistemului gazd ă. Deoarece procesele sunt executate direct pe nucle ul sistemului gazd ă,
acestea au acces la dispozitivele sistemului f ără a mai fi nevoie de instalarea unor drivere.
Tehnologiile "clasice" de virtualizare cum ar fi vi rtualizarea complet ă și containerele Linux pot
16 fi v ăzute ca fiind complementare, o ma șin ă virtual ă clasic ă putând fi folosit ă pentru a g ăzdui
containere Linux.
1.3 Cloud Computing
Cloud computing (informa ția accesat ă distribuit) este un termen general ce implic ă livrarea de
servicii g ăzduite pe Internet, și constituie un puternic avans tehnologic curent în domeniul TIC
(Tehnologia Informa ției și a Comunica țiilor). Așa cum am mai ar ătat titulatura Cloud computing
(s-a încercat și traducerea ”nor de calcul”) a fost inspirat ă de c ătre simbolul norului, utilizat
frecvent în reprezentarea Internetului [78].
In ultimii ani, Cloud computing a devenit cel mai l a mod ă concept din lumea Internetului și
acoper ă aproape tot ce ține de livrarea de servicii pe Internet. S-au evide n țiat trei categorii
principale de servicii de tip Cloud: servicii de in frastructur ă (IaaS – Infrastructure as a Service),
platform ă (PaaS – Platform as a Service) și software (SaaS – Software as a Service).
Infrastructura ca serviciu (IaaS – Infrastructure a s a Service) este un model de servicii furnizate
clien ților, în care resursele fundamentale de calcul (pro cesare, stocare, etc.) sunt puse la
dispozi ția acestora. Aceste resurse oferite relativ nestruc turat pot fi gestionate de utilizatori prin
intermediul unor programe dedicate pentru control și management. Infrastructura ca serviciu
reprezint ă nivelul de baz ă în structura ofertei as-a-Service.
Platforma ca serviciu, de multe ori men ționat ă sub numele PaaS (Platform as a Service),
reprezint ă o categorie a serviciilor de Cloud computing în ca re resursele se ofer ă relativ
structurat (grupate ca într-un calculator) împreun ă cu un mediu de dezvoltare aferent sub forma
unui serviciu, pentru a permite dezvoltatorilor con struirea de noi aplica ții și servicii. PaaS poate
fi definit ca un set de unelte de dezvoltare softwa re g ăzduite pe infrastructura furnizorului de
servicii, iar accesul se face prin intermediul unor portaluri web sau elemente de program instalate
local.
Modelul software ca serviciu sau SaaS (Software as a Service) este cel mai complet și complex
model de servicii Cloud computing. În acest caz fur nizorul pune la dispozi ția clientului un
produs complet, ce con ține infrastructura (de data aceasta transparent ă), modalitatea de acces și
metode software (expuse ca API – Application Progra mming Interface) împreun ă cu licen țele
aferente, liber pentru configurare și exploatare.
1.4 Contribu ție la interconectarea containerelor Linux prin inte rmediul
re țelelor virtuale
În aceast ă sec țiune este descris un mecanism de interconectare a c ontainerelor Linux de tipuri
diferite (LXC sau Docker) aflate pe servere distinc te. Acest mecanism faciliteaz ă implementarea
aplica țiilor folosind modelul arhitectural bazat pe micro- servicii. Acest model presupune
17 dezvoltarea de componente independente, scalabile c are comunic ă prin intermediul unor
protocoale standard. Aplica țiile utilizeaz ă aceste micro-servicii pentru a implementa diverse
func ționalit ăți. Modelul micro-serviciilor este o abordare simila r ă cu arhitectura orientat ă pe
servicii (SOA) cu diferen ța c ă în acest model se încearc ă dezvoltarea de componente elementare
izolate care comunic ă prin mecanisme standard, de regul ă expunând interfe țe programabile și
care pot fi cu u șurin ță scalate. Aceste micro-servicii pot rula în interio rul containerelor care ofer ă
posibilitatea de a fi create, pornite sau oprite în mod dinamic în func ție de cerin țele aplica ției.
Configura ția simplificat ă folosită pentru exemplificarea metodei cuprinde dou ă servere pe care
au fost instalate distribu țiile Linux Ubuntu 14.04 LTS și respectiv Ubuntu 15.04. Serverele
beneficiaz ă de procesoare Intel cu suport 64 bit, minim 4Gb me morie RAM și 30 Gb spa țiu de
stocare. Se pot folosi de asemenea ma șini virtuale în care vor fi instalate sisteme de op erare
Linux. Pe fiecare server au fost instalate bibliote cile software necesare pentru LXC și respectiv
Docker. În contextul SDN pe fiecare server a fost c onfigurat câte un switch virtual folosind
solu ția open-source numit ă Open vSwitch. În practic ă metoda poate fi aplicat ă pentru realizarea
de configura ții complexe care implic ă un num ăr mare de servere și containere, organizate în
subre țele sau chiar re țele private.
Comunica ția între containere aflate de pe servere diferite s e realizeaz ă prin ata șarea acestora la
switchuri virtuale, care la rândul lor sunt interco nectate cu ajutorul tehnologiei GRE (Generic
Routing Encapsulation). Solu ția propus ă de interconectare a containerelor Linux eterogene – atât
ca tip cât și ca g ăzduire (pe servere diferite) – va sta la baza scena riilor și contribu țiilor descrise
în urm ătoarele capitole.
1.5 Concluzii
Dezvoltarea tehnologiilor de virtualizare au permis consolidarea centrelor de date și
eficientizarea utiliz ării resurselor fizice ale serverelor, fiind propuls orul care a facilitat apari ția
unei paradigme foarte populare la ora actual ă, cea de Cloud computing.
Containerele Linux ofer ă flexibilitate și scalabilitate, permi țând dezvoltarea de solu ții modulare
bazate pe conceptul de micro-servicii. Arhitectura bazat ă pe micro-servicii presupune
dezvoltarea aplica țiilor distribuite folosind componente independente și scalabile, ”slab cuplate”
și care comunic ă între ele folosind protocoale standard. Fiecare co mponent ă este disponibil ă în
cele mai multe cazuri sub forma unui serviciu, care poate fi scalat independent de celelalte
componente care alc ătuiesc aplica ția distribuit ă. Aceste componente – ni ște micro-servicii – pot
fi distribuite sub forma containerelor Linux. Solu ția de interconectare prezentat ă permite
distribuirea acestor containere pe mai multe server e și interconectarea acestora sub form ă de
aplica ții distribuite.
În cadrul acestui capitol au fost prezentate pe scu rt principalele tehnologii de virtualizare ale
proces ării și evolu ția acestora. Am propus o solu ție pentru interconectarea containerelor Linux
distribuite pe servere multiple și am descris pa șii necesari pentru implementarea acesteia.
18 Capitolul 2
RE ȚELE DEFINITE SOFTWARE – SDN
Odat ă cu dezvoltarea și răspândirea modelelor de Cloud computing, lumea comun ica țiilor prin
Internet cunoa ște o efervescen ță tot mai crescut ă. Explozia dispozitivelor mobile, a virtualiz ării
serverelor și evolu ția serviciilor în Cloud sunt aspecte de actualitate în domeniul IT, care au
determinat reexaminarea arhitecturilor tradi ționale de re țea. Arhitectura re țelelor conven ționale
nu mai este potrivit ă pentru domeniul computa țional dinamic și nevoile de stocare ale centrelor
de date, ale campusurilor sau ale mediilor în care oamenii î și desf ăș oar ă activitatea de zi cu zi.
Re țelele virtuale au ap ărut ca o necesitate generat ă de tendin țele de virtualizare a resurselor de
calcul și de dezvoltarea serviciilor de tip Cloud computing . Acestea presupun ad ăugarea unui
nivel de abstractizare peste o infrastructur ă fizic ă existent ă. Astfel pe aceea și infrastructur ă pot
coexista mai multe re țele similar virtualiz ării sistemelor fizice în care pe un server fizic po t rula
mai multe ma șini virtuale. Abstractizarea infrastructurii fizice se realizeaz ă prin separarea
planului de control (prin software) al rut ării de cel al comuta ției fluxurilor de date, aceast ă
abordare fiind cunoscut ă în literatura de specialitate ca Software Defined Networking (SDN) –
re țele definite prin software.
Re țelele definite software reprezint ă o noua paradigm ă care promite s ă aduc ă un plus de
flexibilitate în configurarea și gestionarea re țelelor. Așa cum am ar ătat, conceptul de re țea
definit ă software presupune o separare a func țiilor de comuta ție de cele de control [2]. Astfel,
nodurile de re țea (routere, switchuri) vor con ține doar func țiile de comuta ție, partea de control
fiind disponibil ă într-un punct central numit nod de control. Func țiile decizionale sunt
centralizate în module software care pot rula pe co mputere normale sau chiar în Cloud. Nodurile
de re țea vor implementa doar func țiile de baz ă de comuta ție, regulile de comuta ție fiind generate
de către nodul de control și transmise nodului de comuta ție prin intermediul unei interfe țe
software standardizate (de ex. OpenFlow) [3].
Figura 1 – Arhitectura tipic ă a unei re țele SDN
Modelul tipic pentru o arhitectur ă SDN reprezentat în Figura 1 este format din 3 stra turi. Stratul
superior include aplica ții care furnizeaz ă servicii. Aceste aplica ții interac ționeaz ă cu nivelul
19 intermediar, reprezentat de controlerul SDN, care f aciliteaz ă managementul automatizat al
re țelei. Nivelul de baz ă este reprezentat de re țeaua fizic ă. Elementele de re țea sunt simplificate și
se concentreaz ă doar pe func țiile de comuta ție. Toate deciziile, determinare de rute și politicile
de securitate sunt implementate de c ătre nivelul de control [4].
Expunerea func țiilor de control a re țelei prin intermediul interfe țelor programabile (API) permite
abstractizarea serviciilor de re țea, re țeaua în sine devenind programabil ă [6]. În func ție de
regulile furnizate de c ătre nodul de control, un element de comuta ție bazat pe protocolul
OpenFlow î și poate modifica modul de func ționare, putând prelua diverse roluri în cadrul re țelei.
2.1 Stadiul actual de dezvoltare al re țelelor definite software
Din punct de vedere istoric se eviden țiaz ă mai multe faze în dezvoltarea re țelelor programabile:
O prima etap ă este reprezentat ă de perioada dintre mijlocul anilor '90 și începutul anilor 2000, în
care s-au pus bazele conceptului de re țea activ ă prin introducerea de func ții programabile în
arhitectura re țelelor de calculatoare. În aceast ă perioad ă apar ini țiative cum ar fi Open Signaling,
Active Networking și DCAN
A doua perioad ă în evolu ția SDN se întinde pân ă în anul 2007 și în aceast ă perioada apare pentru
prima dată vehiculat ă ideea de separare a planului de comuta ție a datelor de cel de control.
Proiecte ca NetConf sau Ethane încearc ă s ă defineasc ă interfe țe specializate de comunica ție între
cele dou ă planuri.
Ultima perioad ă, începând cu anul 2007 când apare tehnologia OpenF low reprezint ă începutul
dezvolt ării re țelelor definite software.
Primele implement ări comerciale de succes care au adus tehnologia SDN în lumina reflectoarelor
au fost sistemul de management al traficului WAN (W ide Area Network) dezvoltat de Google
[76] și platforma de virtualizare a resurselor din re țea dezvoltat ă de Nicira, companie
achizi ționat ă de c ătre VMware.
În prezent, majoritatea marilor companii din domeni ul tehnologiei informa ției precum furnizori
de servicii de tip Cloud, furnizori de Internet, pr oduc ători de echipamente și companii de servicii
financiare au format diverse consor ții în cadrul c ărora î și concentreaz ă eforturile în vederea
dezvolt ării tehnologiei SDN (Open Networking Foundation [7] , Open Daylight [77]). Astfel,
putem afirma faptul c ă în prezent se fac pa și concre ți c ătre realizarea unui vis demult enun țat și
anume crearea re țelelor de date cu adev ărat programabile care pot s ă se adapteze la dinamica
serviciilor disponibile și accesate în ziua de azi prin Internet.
Printre beneficiile aduse de noul model arhitectura l putem enumera: controlul dinamic al
accesului utilizatorilor în re țea, virtualizarea resurselor re țelei, distribuirea eficient ă a înc ărc ării
serverelor și a nodurilor de re țea, posibilitatea de migrare automat ă a ma șinilor virtuale între
servere fără întreruperea serviciilor [8].
20 2.2 Domenii de aplicare ale SDN
Avantajele aduse de SDN au fost rapid recunoscute, modelul re țelelor definite software fiind în
prezent adoptat în diverse domenii printre care se pot enumera:
– Dezvoltarea și testarea de noi protocoale destinate re țelei Internet
– Cre șterea securit ății re țelelor
– Reducerea complexit ății de operare prin automatizarea proceselor de mana gement al
re țelelor
– Mobilitatea ma șinilor virtuale.
2.3 Protocolul OpenFlow
OpenFlow reprezint ă cel mai popular protocol pentru interfa țarea planului de comuta ție al
datelor cu cel de control. Acesta folose ște no țiunea de flux, reprezentând o colec ție de pachete
care respect ă un set predefinit de reguli. Spre deosebire de rut area clasic ă, unde deciziile se luau
la nivel de pachet, în cadrul re țelelor definite prin software, deciziile de rutare se iau la nivel de
flux. Elementul esen țial al acestei abord ări este reprezentat de c ătre tabela de fluxuri care con ține
informa ții referitoare la setul de date care str ăbate fiecare element de comuta ție în parte. Pe lâng ă
informa țiile de identificare, tabela de fluxuri con ține și ac țiunea care trebuie executat ă de c ătre
elementul de comuta ție atunci când un pachet este identificat ca f ăcând parte dintr-un anumit
flux de date.
Protocolul OpenFlow permite accesul direct și controlul echipamentelor de comuta ție existente
în infrastructura de re țea, controlerul putând ad ăuga, actualiza și șterge înregistr ările stocate în
tabela de fluxuri a acestora, atât reactiv cât și proactiv.
Figura 2 – Modelul arhitectural definit de protocol ul OpenFlow [7]
În modelul arhitectural definit de OpenFlow, reprez entat în Figura 2, se pot identifica dou ă tipuri
de elemente: noduri de control și dispozitive de comuta ție. Dispozitivele de comuta ție pot fi
echipamente hardware sau solu ții software destinate comuta ției de pachete (exemplu Open
vSwitch).
21 2.4 Contribu ție la securizarea comunica țiilor industriale prin re țele
definite software
În condi țiile digitiz ării avansate a proceselor și echipamentelor industriale, devine din ce în ce
mai important ă integrarea datelor prin intermediul re țelelor locale. Sistemele de comunica ții
industriale se deosebesc de cele destinate birouril or prin prisma condi țiilor speciale pe care
acestea trebuie s ă le îndeplineasc ă. Pe lâng ă condi țiile speciale mecano-climatice și
electromagnetice în care trebuie sa func ționeze, acestea trebuie s ă asigure o func ționare sigur ă,
cu rat ă redus ă de erori și laten ță mic ă.
Sistemele de tip firewall de ultim ă genera ție combin ă metode de recunoa ștere a aplica țiilor cu
inspec ția profund ă de pachete pentru a oferi companiilor mai mult con trol asupra aplica țiilor în
acela și timp cu detectarea și blocarea amenin ță rilor de securitate. În timp ce majoritatea solu țiilor
din industrie sunt implement ări fizice de switch-uri industriale cu capabilit ăți firewall, am propus
o implementare a unei solu ții de securizare a re țelelor bazat ă pe noduri intermediare (middlebox)
distribuite în cadrul re țelei. Aceste noduri intermediare pot lua forma unor containere Linux
con ținând aplica țiile necesare pentru analiza traficului de date, și care pot fi instan țiate,
configurate și plasate în mod dinamic în cadrul re țelei. Deoarece este dificil ă implementarea
instrumentelor de securitate pe toate nodurile re țelei, solu ția ar fi dezvoltarea unui sistem de tip
firewall distribuit, capabil s ă identifice servicii și s ă analizeze traficul de date cu ajutorul
elementelor middlebox distribuite.
Un nod de tip middlebox este definit ca orice dispo zitiv intermediar care efectueaz ă în cadrul
unei re țele de comunica ții alte func ții decât cele normale, standard ale unui element de
comuta ție. Cu ajutorul middleboxes, traficul poate fi anal izat în detaliu și deciziile de rutare pot
fi luate pe baza con ținutului pachetelor transportate.
Solu ția propus ă este reprezentat ă de utilizarea unor elemente de tip middlebox virtu alizate,
bazate pe containere Linux (LXC sau Docker), care p ot fi instan țiate și configurate la cerere. În
cazul re țelelor SDN, prin intermediul interfe țelor programabile existente la nivelul platformei d e
control, se pot modifica dinamic fluxurile de date din cadrul re țelei pentru a acomoda sistemele
middlebox. Implementarea extinde metoda de intercon ectare a containerelor Linux descris ă în
capitolul anterior și adaug ă un nivelul suplimentar de management prin intermed iul platformei
de control SDN. Modelul de integrare al elementelor de tip middlebox în cadrul re țelelor este
prezentat in Figura 3.
Figura 3 – Model de integrare al elementelor de tip middlebox
22 Elementele de tip middlebox ata șate re țelei aflate sub observa ție, pot con ține aplica ții destinate
identific ării și clasific ării fluxurilor de date sau detect ării traficului de tip malware sau a
încerc ărilor de intruziune în cadrul re țelei. Pentru testarea solu ției propuse am configurat
multiple containere Linux con ținând diverse solu ții pentru detectarea intruziunilor (IDS –
Intrusion Detection System) existente pe pia ță , printre care și dou ă dintre cele mai populare
sisteme IDS și anume Snort și Suricata.
Sistemele de tip IDS pot detecta pe baza unor tipar e predefinite fluxuri de date sau
comportament care pot pune în pericol securitatea r e țelei. Evenimentele generate de c ătre
sistemele de detec ție sunt captate și analizate fiind luate decizii pe baza unor reguli prestabilite
de tratare a evenimentelor. Spre exemplu platforma de control poate fi programat ă s ă intrerup ă
transmisia fluxului de date, sau poate redirec ționa acest flux c ătre alte componente specializate în
vederea analizei suplimentare sau a captur ării acestuia pentru analiz ă ulterioar ă.
Dezvoltarea unei aplica ții destinat ă analizei fluxurilor de date prin inspec ția profund ă de pachete
este descris ă detaliat în capitolul 3. Prezen ța elementelor de detec ție în cadrul re țelei permite
generarea de evenimente, analiza și corelarea acestora în vederea lu ării unor decizii de
modificare a fluxurilor de date pentru securizarea re țelei. Controlul re țelei pe baza evenimentelor
este descris in capitolul 4.
2.5 Concluzii
Re țelele definite software realizeaz ă o centralizare a informa țiilor în planul de control pentru a
oferi posibilitatea lu ării deciziilor în mod centralizat și informat. Un avantaj al acestei abord ări
este faptul c ă echipamentele din re țea pot fi mult simplificate deoarece acestea nu mai trebuie s ă
implementeze o gam ă larg ă de protocoale întrucât toate deciziile sunt luate de c ătre entitatea de
control a re țelei. Singura cerin ță pentru aceste echipamente este ca ele s ă accepte și s ă execute
instruc țiuni provenite de la entitatea de control.
În ceea ce prive ște granularitatea de reprezentare a datelor, în re țelele definite software se
folose ște no țiunea de flux ce identific ă unic pachete de date care respect ă un set predefinit de
reguli. Spre deosebire de rutarea clasic ă, programarea func țion ării re țelei la nivelul fluxurilor de
date ofer ă un control granular, ce permite infrastructurii s ă r ăspund ă în timp real la toate
schimb ările ce apar datorit ă dinamicit ății aplica țiilor.
În cadrul acestui capitol am propus o solu ție flexibil ă care permite securizarea re țelelor de
comunica ții prin intermediul unor elemente de tip middlebox inserate în cadrul re țelei și care
con țin aplica ții de inspec ție profund ă a pachetelor pentru identificarea și clasificarea fluxurilor de
date sau aplica ții specializate în detectarea intruziunilor. Infor ma țiile despre fluxurile de date
sunt colectate și evaluate la nivelul platformei de control a re țelei unde se vor lua decizii referitor
la modul de tratare al acestora.
23 Capitolul 3
ANALIZA FLUXURILOR DE DATE –
MANAGEMENTUL RE ȚELELOR BAZAT PE CON ȚINUT
Internetul cunoa ște o dezvoltare accelerat ă, un studiu efectuat de Gartner estimeaz ă un num ăr de
peste 200 milioane de terminale conectate la Intern et pân ă în anul 2020. Aceast ă cre ștere
determin ă noi cerin țe în ceea ce prive ște l ățimea de band ă și viteza de acces la Internet, precum
și apari ția unor noi riscuri de securitate.
Pentru a putea face fa ța cerin țelor crescute de servicii de date, furnizorii de se rvicii precum și
companiile private încearc ă extinderea infrastructurii re țelelor de comunica ții în acela și timp cu
eficientizarea proces ării și gestion ării fluxurilor de date.
Inspec ția profund ă de pachete – DPI (Deep Packet Inspection) reprezin t ă o solu ție hardware sau
software care analizeaz ă atât informa țiile cuprinse în antetul pachetelor de date, cât și con ținutul
acestora. Astfel se pot monitoriza fluxurile de dat e într-o rețea de comunica ții și se pot identifica
protocoale de comunica ție, aplica țiile care genereaz ă fluxurile de date, încerc ări de p ătrundere
neautorizat ă în re țea precum și activitatea unor agen ți software de tip malware. De asemenea
analiza de pachete poate fi folosit ă de c ătre furnizorii de servicii pentru a aplica politici de
securitate sau a oferi utilizatorilor diferite nive luri de acces la servicii.
În general analiza de pachete încearc ă s ă ofere urm ătoarele solu ții:
– analiza și identificarea protocoalelor de comunica ție și a aplica țiilor
– protec ție anti-virus și anti-malware
– detectarea intruziunilor în re țea (IDS – Intrusion Detection System)
– filtrarea traficului de date.
3.1 Stadiul actual al metodelor de analiz ă a pachetelor de date
Identificarea și clasificarea corect ă a traficului de date este un element important în proiectarea,
managementul și securitatea re țelelor de comunica ții [115]. Odat ă cu evolu ția traficului pe
Internet, atât în ceea ce prive ște num ărul și tipul de aplica ții, tehnicile tradi ționale de clasificare,
cum ar fi cele bazate pe numere de port binecunoscu te sau analiza superficial ă a con ținutului
pachetelor de date, nu mai sunt suficient de eficie nte pentru a identifica și clasifica corect toate
tipurile de trafic de date.
Pentru clasificarea fluxurilor de date au fost dezv oltate în timp diverse metode, cele mai des
folosite fiind:
– Analiza superficial ă a pachetelor (SPI – Shallow Packet Inspection) – Identificarea
fluxurilor de date pe baza analizei antetului pache telor de date
24 – Inspec ție medie a pachetelor (MPI – Medium Packet Inspecti on) – se bazeaz ă pe folosirea
de noduri intermediare (middleboxes) plasate în re țea, care au rolul de intermediar
(proxy). Pe aceste noduri intermediare ruleaz ă aplica ții specializate pentru identificarea
unor anumite tipuri de pachete sau fluxuri de date. Pentru identificare se folosesc
informa ții extrase din antetul pachetelor cât și par țial informa ții din con ținutul acestora.
– Inspec ția profund ă a pachetelor (DPI – Deep Packet Inspection) – Identificarea
fluxurilor pe baza analizei con ținutului pachetelor de date ”f ără despachetare”
– Identificarea fluxurilor folosind metode de înv ățare automat ă.
3.2 Identificarea tiparelor în analiza pachetelor d e date
Dezvoltarea unui algoritm eficient pentru identific area tiparelor este înc ă o problem ă dificil ă în
cercetare. Sunt trei tipuri de algoritmi folosi ți de obicei pentru a rezolva aceast ă problem ă: (1)
algoritmul Filtru Bloom; (2) Aho-Corasick (AC); și (3) algoritmul Boyer-Moore (BM).
O alt ă abordare ar fi metoda de compara ție bazat ă pe dic ționare (DBSM – Dictionary Based
String Matching). In aceast ă metod ă fiecare flux de date preluat de pe interfa ța de re țea este
comparat cu un dic ționar de modele pentru a g ăsi toate cazurile de poten țial ă suprapunere.
O solu ție ideal ă ar trebui s ă aib ă urm ătoarele caracteristici:
1) eficien ță foarte mare în utilizarea memoriei, de preferabil 1 byte per caracter, permi țând astfel
o implementare cu costuri relativ reduse.
2) vitez ă mare de procesare. Solu ții DPI cu rat ă mare de procesare sunt necesare în cazul
interfe țelor Ethernet de mare vitez ă (de exemplu, Gigabit Ethernet).
3) performan ță garantat ă în cel mai r ău caz, în ceea ce prive ște utilizarea memoriei și viteza de
procesare, f ăcând astfel sistemul DBSM robust și mai pu țin sensibil la atacurile de tip Denial-Of-
Service (DoS).
3.3 Contribu ție la discriminarea fluxurilor prin inspec ția profund ă a
pachetelor pe platforma ATCA
Pia ța pentru solu ții de analiz ă profund ă a pachetelor (DPI – Deep Packet Inspection) era es timat ă
la 1,5 miliarde dolari în 2014 [30]. DPI devine o t ehnologie critic ă pentru operatorii de
telecomunica ții, în scopul de a monetiza și gestiona mediul de transmisie utilizat. De asemen ea
analiza profund ă a pachetelor permite dezvoltarea de solu ții care s ă asigure securitatea re țelelor
și s ă previn ă r ăspândirea programelor tip virus sau malware.
Identificarea și clasificarea corect ă a fluxurilor de date, reprezint ă cerin ța de baza pentru o nou ă a
abordare în rutarea fluxurilor de date și anume rutarea bazat ă pe con ținut [128]. Aceast ă
paradigm ă presupune modificarea dinamic ă a rutelor pentru un anumit flux de date în func ție de
con ținutul pachetelor care alc ătuiesc fluxul. Spre exemplu se poate modifica dinam ic prioritatea
și calea pe care o urmeaz ă un flux c ătre destina ție pentru a asigura calitatea serviciilor sau, dac ă
25 se detecteaz ă un pericol de securitate, fluxul poate fi izolat și redirec ționat c ătre un nod special
din cadrul re țelei unde se poate realiza o analiz ă detaliat ă a acestuia.
În acest subcapitol este prezent ă o metod ă de identificare a fluxurilor de date prin inspec ția
profund ă în timp real a pachetelor de date folosind capabil it ățile platformei ATCA (Advanced
Telecom & Computing Architecture) și a procesoarelor dedicate inspec ției de pachete, Broadcom
XLR732. Accentul este pus pe capacit ățile avansate de prelucrare de pachete, cu detalii a supra
mediului de dezvoltare construit specific, configur a ția, fluxul de dezvoltare și problemele
practice ale DPI. Pentru dezvoltare, am integrat un sistem complet bazat pe SDK
RMI/Netlogic/Broadcom dublat de un mediu de emulare folosind simulatorul pentru procesoare
XLR și utilitarul denumit Pretender care permite testare a complet ă prealabil ă instal ării aplica ției
pe platforma ATCA și, totodat ă, preluarea vectorilor de test și a șabloanelor de verificare.
ATCA reprezint ă o platform ă cu putere de calcul înalt ă, produs ă în ultimul deceniu [90]. Baza
performan ței transferului de date const ă în standardul construc ției unui back-plane conform cu
reglement ările PIGMG (PCI Industrial Computers Produceri Grou p) [31], caracteristic ă fiind o
magistral ă comun ă "InfiniBand" de 40 Gbps (switching fabric). Aceast ă matrice de
interconectare (fabric) este esen țialul arhitecturii ultra-rapide ATCA constituind un avantaj în
fa ța conect ării prin adaptoare suplimentare, predispuse la bloc aje. Platforma ATCA permite
instalarea unor module de extensie care ofer ă diferite func ționalit ăți.
3.4 Concluzii
În cadrul acestui capitol am prezentat principalele tehnologii destinate analizei fluxurilor de date,
accentul fiind pus pe metodele de inspec ție profund ă a pachetelor de date. În aceast ă direc ție am
demonstrat modul de implementare al unei aplica ții destinat ă inspec ției profunde a pachetelor de
date, dezvoltat ă pentru a rula pe procesoare specializate de tipul Broadcom XLR.
Deoarece prelucrarea de pachete și discriminare fluxurilor devine o capacitate neces ar ă pentru
orice operator telecom, integrarea sistemelor de ti p ATCA va deveni mai frecvent ă. Studiul
prezentat împreun ă cu dezvoltarea și integrarea practic ă a unei aplica ții, au demonstrat
posibilitatea de discriminare trafic într-un scenar iu industrial. Tehnica prezentat ă poate fi aplicat ă
cu succes, de asemenea, pentru colectare de statist ici, control, filtrare, alocarea de resurse, etc.
Platforma integrat ă poate fi utilizat ă pentru solu ții avansate de investigare a traficului. Traficul
poate fi emulat (cu modulul FM40 – switch de mare v itez ă) sau poate fi preluat din exterior,
pentru a fi inspectat în timp real, f ără despachetare prin DPI (inspec ția profund ă a pachetelor) –
una din cele mai spectaculoase aplica ții ale procesoarelor de pachete XLR732 RMI-NetLogic –
Broadcom de pe modulul PP50. Fluxurile pot fi inves tigate, f ără a fi afectat ă integritatea
informa țiilor transmise. Indiferent de tipul de trafic de i ntrare (specific, de exemplu SGSN,
GGSN, re țelei de control radio, sau re țelei de baz ă – Core Network), acesta poate fi dirijat,
preluat și investigat în acela și fel – doar aplica ția de analiz ă a con ținutului trebuie s ă fie dotat ă cu
decodificatoarele corespunz ătoare tipului de trafic inspectat.
26 Capitolul 4
VIRTUALIZAREA EVENIMENTELOR PENTRU
CONTROLUL PRIN STARE
Un eveniment poate fi definit conform [79] ca fiind o întâmplare de orice natur ă care are loc într-
un anumit sistem sau domeniu, ceva ce s-a întâmplat sau este observat/considerat ca fiind
întâmplat în acel domeniu. Termenul de eveniment es te deseori folosit și pentru a defini o
structur ă de date care este folosit ă pentru a reprezenta o astfel de întâmplare într-un sistem
informatic.
Evenimentele pot fi simple (spre exemplu trecerea s istemului dintr-o stare în alta, dep ășirea
limitei impuse pentru utilizarea anumitor resurse, etc.) sau compuse rezultate din corelarea mai
multor evenimente simple sau alte evenimente compus e. Astfel evenimentele simple pot fi
generate prin observarea individual ă a unui senzor, pot fi evenimente temporale, etc.
Evenimentele compuse în schimb rezult ă în urma proces ării, corel ării sau agreg ării mai multor
evenimente.
4.1 Procesarea evenimentelor complexe
Procesarea evenimentelor complexe (CEP – Complex Ev ent Processing) urm ăre ște analiza,
corelarea și sinteza evenimentelor de diverse tipuri în evenim ente noi care pot fi utilizate pentru
controlul prin stare. Pot fi sintetizate astfel eve nimente virtuale sau chiar meta-evenimente între
care exist ă rela ții temporale, cauzale sau spa țiale și care nu au în mod obligatoriu acela și tip.
Modelul aplica țiilor pentru procesarea evenimentelor complexe se b azeaz ă pe modelul de sistem
detec ție-decizie-răspuns [79] urm ărindu-se a fi realizate urm ătoarele obiective principale:
– observa ția evenimentelor sau achizi ția de date
– diseminarea informa ției
– diagnosticarea activ ă
– procesarea predictiv ă.
Arhitectura tipic ă a unui sistem pentru procesarea evenimentelor se b azeaz ă pe conceptele
introduse în [82]. Astfel, o aplica ție CEP este construit ă în jurul unei re țele de procesare a
evenimentelor în care exist ă leg ături între produc ătorii de evenimente, agen ții de procesare și
consumatorii evenimentelor, leg ături asigurate prin intermediul unor canale de comu nica ție.
4.2 Modele comportamentale – controlul pe baz ă de evenimente
Metodele de management al re țelelor de comunica ții pot fi clasificate în:
– metode orientate pe Protocol – de exemplu SNMP (Sim ple Network Management
Protocol), cu procesare preponderent centralizat ă
27
– metode bazate pe modelul Client/Server – sisteme di stribuite (descentralizate) de obiecte
software (de exemplu CORBA – Common Object Request Broker Architecture)
– metode bazate pe Agen ți Mobili specializa ți (cu logica de management) reprezentând
procese care migreaz ă în nodurile administrate
– metode specifice TMN (Telecommunications Management Networks): pentru controlul
re țelelor mari și distribuite de telecomunica ții, prin managementul evenimentelor
Modelele comportamentale (”behavioral models” – ”wh ite box models”) asociate claselor
software (reprezentabile și cu UML – Universal Modeling Languages) de managem ent al
re țelelor sunt, în esen ță , Automate cu St ări Finite sau ASM – Ma șini Algoritmice de Stare.
Se pune problema unor meta-evenimente – dac ă păstram principiul controlului prin stare este
necesar ă o ierarhizare: evenimentele declan șatoare propriu zise la nivel inferior și la nivel
superior evenimentele asociate interpret ării con ținutului (detec ție, dep ăș ire praguri de corela ție,
observare comportamente).
Ierarhizarea controlului cuprinde:
– nivelul de management Business: analiza evolu ției comerciale (inclusiv cu predic ție
financiar ă), a calit ății, a aspectelor direct implicate în modelul “fact urare” – extins la
înregistrarea și evaluarea tuturor evenimentelor din re țea;
– nivelul de management al Serviciilor: crearea, admi nistrarea și contorizarea serviciilor;
– nivelul de management al Re țelei: alocarea resurselor distribuite – configurare ,
monitorizare și control;
– nivelul de management al Elementelor de Re țea: comanda nodurilor de re țea –
transmiterea, colectarea și procesarea informa țiilor (înregistr ări) de stare (inclusiv alarme)
în vederea automatiz ării gestiunii hardware și software.
4.3 Integrarea bazat ă pe containere a unei solu ții de securizare prin
controlul evenimentelor
Având în vedere mecanismele oferite de c ătre re țelele definite software, prin care acestea pot fi
programate și reconfigurate în mod dinamic, am propus o solu ție de securizare a re țelelor bazat ă
pe procesarea și controlul evenimentelor. M ă voi referi în prima faz ă doar la evenimentele de
securitate detectate în cadrul re țelei. Aceste evenimente pot reprezenta spre exemplu detectarea
unui flux de date con ținând cod sau aplica ții de tip malware sau viru și, încerc ări de intruziune în
re țea, cereri de acces la diferite resurse din cadrul re țelei, accesul neautorizat la resurse, etc.
Toate aceste evenimente sunt captate prin intermedi ul unor sisteme pe care le vom denumi
senzori de re țea sau sisteme de detec ție a intruziunilor.
Solu ția propus ă const ă în implementarea unui sistem de prelucrare în timp real a evenimentelor
dintr-o re țea pentru detectarea posibilelor probleme de securi tate. Sistemul se bazeaz ă pe
28 evenimentele generate de c ătre componentele de detec ție a intruziunilor plasate în cadrul re țelei.
Un sistem scalabil de mesagerie are rolul de a cole cta evenimentele provenind de la surse
multiple, care sunt apoi centralizate și analizate.
Sistemele de detec ție a intruziunilor sau IDS (Intrusion Detection Sys tem) pot identifica traficul
de date care prezint ă poten țial pericol folosind tehnici bazate pe generarea și compararea
semn ăturilor sau detectarea anomaliilor în fluxul de dat e [141].
Arhitectura sistemului propus se compune din patru niveluri:
– Nivelul de detec ție compus din componentele dedicate detect ării intruziunilor sau
analizei de fluxuri, distribuite în cadrul re țelei
– Nivelul de colectare a evenimentelor reprezentat de un sistem scalabil de mesagerie, care
are rolul de a colecta evenimentele generate de com ponentele din nivelul inferior. Acest
sistem trebuie s ă fie scalabil pentru a putea face fa ță unui num ăr foarte mare de
evenimente generate simultan. Sistemul de mesagerie func ționeaz ă pe principiul
publica ție/subscrip ție, în care componentele de detec ție public ă evenimente, iar
componentele implicate în procesarea evenimentelor pot realiza o subscrip ție-abonare
pentru a primi evenimentele de care sunt interesate .
– Nivelul de analiz ă în timp real a evenimentelor. Acest nivel centrali zeaz ă evenimentele
aflate în sistemul de mesagerie în vederea proces ării. Procesarea evenimentelor
presupune activit ăți de filtrare, transformare, ad ăugare de meta-date, corelare, etc.
– Nivelul de control responsabil pentru luarea decizi ilor de modificare a modului de tratare
a fluxurilor de date pe baza evenimentelor primite de la nivelul de analiz ă. În cazul
re țelelor SDN acest nivel va interac ționa cu platforma de control a re țelei, determinând
modificarea fluxurilor de date din cadrul re țelei. Interac țiunea se realizeaz ă prin
intermediul interfe țelor programabile (API) disponibile în cadrul platf ormei de control.
4.4 Concluzii
Paradigma re țelelor definite software prin separarea planului de control de planul de comuta ție
permite programarea re țelei în mod dinamic. Aplica țiile de re țea pot interac ționa prin intermediul
interfe țelor programabile cu platforma de control și în felul acesta pot manipula în mod direct
modul de tratare a fluxurilor de date în cadrul re țelei. Pe aceste caracteristici ale re țelelor definite
software se bazeaz ă solu ția de securitate prezentat ă în acest capitol. Solu ția propus ă vizeaz ă
securizarea re țelelor definite software prin controlul bazat pe ev enimente.
Componente active de inspec ție și monitorizare a traficului sunt integrate în cadru l re țelei și au
rolul de a analiza proactiv traficul de date cu sco pul de a detecta anomalii sau tentative de
intruziune. Aceste componente genereaz ă evenimente care sunt analizate, corelate și care
determin ă manipularea fluxurilor de date în conformitate cu strategia de securitate implementat ă.
29 Capitolul 5
ORIENTAREA PE SERVICII A COMUNICA ȚIILOR INDUSTRIALE
Folosirea paradigmei orient ării pe servicii reprezint ă o direc ție inovatoare și actual ă în eforturile
de a dezvolta noi tehnologii pentru integrarea resu rselor de calcul în sistemele eterogene
distribuite în contextul Cloud computing.
5.1 Abordarea orientat ă pe servicii
No țiunile de serviciu, e-serviciu sau serviciu web sun t utilizate frecvent pentru a denumi o
component ă software autonom ă care este identificat ă în mod unic și care poate fi accesat ă
folosind protocoale standard Internet cum SOAP sau HTTP sau cele bazate pe XML. Serviciile
web au simplificat într-o foarte mare m ăsura procesul de integrare a numeroaselor component e
software și au facilitat orientarea c ătre o arhitectur ă orientat ă pe servicii.
Conceptul de serviciu web a ap ărut în urma necesit ății de a interconecta diversele aplica ții care
ruleaz ă la nivel de organiza ție printr-o modalitate rapid ă și flexibil ă. Scopul principal urm ărit
prin folosirea serviciilor web este interoperabilit atea. Aceasta permite ca sisteme sau aplica ții
eterogene, rulând pe platforme diferite, sa poat ă comunica între ele într-un mod standardizat.
Interac țiunea dintre consumatori (clien ți) și furnizorul de servicii se realizeaz ă printr-un schimb
de mesaje în format standardizat.
Serviciile web pot fi grupate în dou ă categorii principale: servicii bazate pe protocolu l SOAP și
servicii de tip REST.
5.1.1 Standardele care definesc serviciile web
Autoritatea care reglementeaz ă standardele legate de serviciile web este organiza ția World Wide
Web Consortium (W3C). Pe lâng ă standardele de baz ă folosite pentru serviciile web cum ar fi
WSDL, SOAP sau UDDI, organiza ția W3C a mai definit o serie de standarde ce iau în
considerare aspecte precum securitatea serviciilor web, managementul, tranzac țiile, parametrii
referitori la calitatea serviciilor (QoS), modalit ățile de adresare, publicarea politicilor unui
serviciu, compunerea și orchestrarea serviciilor web. Toate aceste standa rde se bazeaz ă pe XML
și folosesc XML Schema pentru a limita formatul date lor în cadrul documentelor XML.
Acest subcapitol trateaz ă în detaliu protocoalele de baz ă pentru servicii web, cum ar fi WSDL,
SOAP și UDDI.
5.1.2 Serviciile web de tip REST
Serviciile web de tip REST au ap ărut ca o alternativ ă la serviciile web bazate pe protocolul
SOAP. Termenul REST este o abreviere pentru Represe ntational State Transfer și a fost folosit
30 pentru prima dat ă în lucrarea de doctorat "Architectural Styles and the Design of Network- based
Software Architectures" scris ă de Roy Fielding, unul din principalii autori a spe cifica țiilor
protocolului HTTP. REST se refer ă strict la o colec ție de principii arhitecturale care definesc
felul în care sunt definite și adresate resursele. În mod uzual o resurs ă reprezint ă o entitate care
poate fi stocat ă într-un computer și poate fi reprezentat ă printr-un șir de bi ți: un document, un
rând dintr-o baz ă de date, sau rezultatul rul ării unui algoritm. Fiecare resurs ă are ata șat un
identificator global unic (un URI – Uniform Resourc e Identifier).
Într-un context mai pu țin riguros, REST descrie orice interfa ță care manipuleaz ă date folosind
metodele definite de protocolul HTTP. Principiile R EST stabilesc o corelare între opera țiile de
creare, citire, actualizare sau ștergere (CRUD – Create, Read, Update, Delete) a une i resurse și
metodele HTTP.
5.2 Arhitecturi orientate pe servicii
Arhitectura orientat ă pe servicii (SOA – Service Oriented Architecture) este un model
arhitectural care presupune dezvoltarea aplica țiilor software pe baza unor componente
reutilizabile numite servicii. SOA impune un model bazat pe un set de servicii interconectate
care comunic ă prin interfe țe și protocoale standardizate. Deseori arhitectura ori entat ă pe servicii
este v ăzut ă ca o evolu ție a program ării distribuite.
Capacitatea de reutilizare a serviciilor în cadrul aplica țiilor reprezint ă caracteristica principal ă a
acestui model arhitectural. Datorit ă avantajelor oferite, programarea orientat ă pe servicii s-a
impus pe pia ță ca un model fiabil de dezvoltare software. SOA per mite construirea diverselor
sisteme informatice într-o manier ă care s ă permit ă cooperarea (interoperabilitatea, integrarea)
eficient ă între ele.
Principiile SOA recomand ă ca noile servicii s ă fie dezvoltate prin combinarea și reutilizarea
serviciilor deja existente, dar în acela și timp componentele sistemului trebuie sa î și p ăstreze un
grad ridicat de independen ță. De asemenea un alt principiu important este utili zarea și
descoperirea serviciilor în mod dinamic.
5.2.1 Orchestrarea serviciilor web
În cadrul organiza țiilor, folosirea serviciilor web se poate încadra î n dou ă mari categorii:
integrare de aplica ții (EAI – Enterprise Application Integration) sau i ntegrare de parteneri externi
în scenarii de tip Business-to-Business (B2B). În f iecare din aceste categorii, serviciile web pot
varia din punct de vedere al complexit ății, de la servicii simple de tip cerere-r ăspuns pân ă la
interac țiuni complexe implicând tranzac ții între mai multe entit ăți și care pot s ă se întind ă pe o
durat ă mai lung ă de timp. Scenariile complexe impun agregarea și orchestrarea mai multor
servicii web sub forma unui proces.
Serviciile web pot fi integrate în doua moduri dife rite : orchestrare sau coregrafie.
31
Orchestrarea serviciilor (uneori numit ă și compunere sau coordonare) precizeaz ă modul în care
vor fi apelate mai multe servicii care coopereaz ă pentru îndeplinirea unui obiectiv complex. În
acest caz exist ă o entitate central ă, denumit ă proces, care de ține controlul asupra execu ției și
coordoneaz ă apelarea diverselor opera ții ale serviciilor web.
Coregrafia serviciilor în contrast cu orchestrarea, nu se bazeaz ă pe un punct central de control ci
fiecare serviciu web implicat în coreografie știe când trebuie execute anumite opera ții și care
sunt serviciile cu care trebuie s ă interac ționeze.
BPEL (Business Process Execution Language) sau BPEL 4WS (BPEL for Web Services) este un
limbaj de modelare a proceselor dezvoltat de c ătre organiza ția OASIS. Standardul BPEL a
rezultat în urma procesului de contopire a dou ă limbaje predecesoare: Web Services Flow
Language (WSFL) dezvoltat de c ătre IBM și a limbajului XLANG dezvoltat de c ătre Microsoft.
BPEL combin ă concepte preluate de la cele dou ă limbaje și pune la dispozi ție un vocabular
bogat pentru descrierea de procese. Un proces BPEL specific ă ordinea în care serviciile web
participante la orchestrare trebuie invocate precum și mesajele care sunt trimise la fiecare
serviciu în parte. Într-un scenariu simplu, un proc es BPEL prime ște o cerere de la un consumator
(client), apeleaz ă serviciile web conform logicii definite în proces și returneaz ă rezultatul
clientului.
5.3 Contribu ție la integrarea comunica țiilor industriale în
mediul distribuit
Comunica țiile industriale sunt influen țate de evolu ția tehnologiilor de tip Cloud, fiind din ce în
ce mai mult orientate spre servicii. Modelul de acc es la infrastructur ă tinde spre abstractizare și
generalizare urmând modelul introdus de VISA (Virtu al Instrumentation Software Architecture).
Putem vorbi de o orientare spre servicii și introducerea unei noi paradigme ”m ăsurare ca
serviciu”. Acest subcapitol prezint ă o metod ă pentru expunerea sub form ă de servicii web a
capabilit ăților instrumenta ției de tip VISA, cu controlabilitate IVI (Interchan geable Virtual
Instrumentation) printr-un model comportamental de control pe baz ă de atribute (prin drivere
standard). Agregarea unor configura ții în care nu conteaz ă distan ța are la baz ă un model de
integrare cu BPEL și ESB (Enterprise Service Bus).
Utilizarea de la distan ță a dispozitivelor VISA aduce posibilitatea de a int egra instrumente de
măsurare distribuite în cadrul proceselor industriale . Tendin ța din ultimul deceniu în direc ția
instrumentelor virtuale (VI) – "software-ul este in strumentul" – a devenit recent "serviciul este
instrumentul".
Contribu ția prezentat ă reprezint ă o metod ă de a expune, prin intermediul serviciilor web,
instrumentele VISA, care pot fi incluse în diverse configura ții de testare, având la baz ă pe
32 orchestrarea cu ajutorul limbajului BPEL. Configura țiile rezultate pot fi și ele la rândul lor
expuse ca servicii, ajungând la conceptul de ”exper iment ca serviciu”.
Serviciul web implementat denumit ”WBService” (Work bench Service) pune la dispozi ție
urm ătoarele opera ții:
– Interogarea instrumentelor disponibile (prin int ermediul opera ției ”getInstrumentList”)
– Executare unei comenzi VISA pe un instrument spec ificat (prin intermediul opera ției
”executeCommand”).
Cele dou ă opera ții implementate permit interogarea listei de dispoz itive VISA disponibile și
executarea de instruc țiuni VISA pe aceste instrumente. Utilizarea servici ilor web ne permite s ă
automatiz ăm descoperirea și agregarea instrumenta ției. Se pot dezvolta astfel scenarii complexe
de testare, doar prin definirea instrumentelor part icipante și a fluxului de date și instruc țiuni
schimbate între acestea. Orchestrarea și controlul acestor scenarii se realizeaz ă prin intermediul
unor limbaje specializate cum ar fi BPEL. Expunerea instrumentelor industriale avansate
folosind tehnologii standard, cum ar fi servicii we b, ofer ă posibilitatea de a decupla clien ții de
hardware/platforme eliminând necesitatea de a insta la medii de execu ție suplimentare pe partea
de client și permite compozi ția și orchestrarea pentru a crea scenarii industriale c omplexe.
Domeniul serviciilor de instrumenta ție industrial ă modelate ca procesele abstracte prin utilizarea
unor limbaje de modelare de nivel înalt – BPEL sau BPMN (Business Process Model and
Notation) – reprezint ă o abordare știin țific ă nou ă, care are drept scop transferul echipamentelor
industriale și al proceselor aferente spre Cloud.
5.4 Concluzii
În cadrul acestui capitol am ar ătat posibilitatea orient ării pe servicii a comunica țiilor industriale.
Arhitecturile orientate pe servicii s-au impus de c eva vreme ca standard în cazul dezvolt ării de
sisteme distribuite. Prin contribu țiile aduse am dorit s ă aplic conceptele și tehnologiile serviciilor
web în contextul comunica țiilor industriale.
Expunerea instrumenta ției de tip VISA sub forma unor servicii web standar dizate, a permis în
primul rând eliberarea de platforme și protocoale proprietare (ex. mediul de dezvoltare și
execu ție LabVIEW) și a deschis noi posibilit ăți de dezvoltarea de aplica ții și scenarii complexe
de interac țiune între dispozitive aflate la distan ță . Pe baza serviciilor web implementate, am
dezvoltat un scenariu complex de m ăsurare de la distan ță care presupunea interac țiuni multiple
cu dispozitivele de instrumenta ție din cadrul standului virtual de lucru.
Prin aceast ă contribu ție am demonstrat posibilitatea orient ării pe servicii a comunica țiilor
industriale, precum și fiabilitatea acestei abord ări. Serviciul web din cadrul platformei Virtual
Electro-Lab a universit ății a constituit fundamentul dezvolt ării ulterioare de noi servicii și
scenarii de m ăsurare sau experimente. Am adus astfel în lumin ă conceptul de ”experiment ca
serviciu” ca o completare a paradigmei de ”instrume nt ca serviciu”.
33
Capitolul 6
RE ȚELE DEFINITE ONTOLOGIC – ÎN INTERNETUL OBIECTELOR
În ultimele dou ă decenii o aten ție deosebit ă a fost acordat ă microsistemelor digitale, a
dispozitivelor încorporate (embedded) acestea deven ind cu adev ărat necesare în via ța de zi cu zi.
Al ături de sistemele de calcul de dimensiuni medii și mari, cu putere computa țional ă sporit ă,
dispozitivele încorporate î și demonstreaz ă utilitatea în majoritatea domeniilor de activitate de și
aceste dispozitive au de multe ori resurse mai pu ține decât sistemele de calcul clasice. Din
categoria aparte a sistemelor încorporate fac parte și re țelele de senzori care au beneficiat de o
mai mare aten ție în ultimii 10 poate chiar 15 ani. Re țelele de senzori pot fi g ăsite într-o gam ă
larg ă de aplica ții precum sisteme domotice, sisteme de monitorizare a mediului, sisteme de
securitate, sisteme de detec ție a incendiilor, sisteme robotizate de interven ție în caz de calamit ăți,
aplica ții militare, platforme robotice.
O re țea de senzori este alc ătuit ă în principal de microsisteme încorporate (noduri), fixe sau
mobile, de obicei slabe ca resurse hardware, cu ali mentare în special limitat ă, pe baterie, cu
capacit ăți senzoriale superioare și de asemenea cu capacitate de comunicare f ără fir.
Comunicarea la nivelul unei re țele de senzori este realizat ă prin intermediul unei stive de
protocoale ierarhizate pe nivele. Conform multor mo dele în acest sens aceast ă stiv ă con ține
protocoale specializate pe accesul la mediu (protoc oale MAC), corec ția și detec ția erorilor,
rutarea informa ției etc.
Interesul în cre ștere pentru paradigma de Internet al obiectelor – I oT (Internet of Things) – a dus
la o serie de implement ări de subre țele extinse de senzori, în care coexist ă solu ții eterogene de
comunica ții: de la tehnologii de acces cum ar fi GSM, WiFi, ZigBee sau Bluetooth, la protocoale
de rutare ad-hoc multi-hop ad-hoc de tip MANET.
Dat fiind modul alternativ, dar similar, de transmi sie a informa ție fa ță de setul TCP/IP, exist ă
protocoalele IoT specifice sau utilizate predilect, dintre acestea cele mai cunoscute fiind:
– MQTT (MQ Telemetry Transport);
– CoAP (Constrained Application Protocol);
– XMPP (Extensible Messaging and Presence Protocol) – tot mai r ăspândit în re țele sociale;
– REST API (Representational state transfer) – comuni ca ție uni-direc țional ă, stilul
arhitectural REST este cel mai bine reprezentat de World Wide Web.
6.1 Ontologii și web-ul semantic
O defini ție a Web-ului semantic a fost dat ă de Tim Berners-Lee, creatorul sistemului web ini țial,
ca fiind "o extensie a web-ului existent, în care i nforma ția con ține un sens bine definit, permi țând
oamenilor și calculatoarelor s ă lucreze împreun ă”. Ideea este ca web-ul s ă con țin ă date și nu
documente, transformându-se astfel într-o baz ă de cuno știn țe imens ă, a c ărei exploatare va fi
făcut ă atât de oameni cât și de calculatoare.
34
Termenul „Semantic Web” este de multe ori utilizat în referin ță cu principalele formate,
standarde și tehnologii care asigur ă o descriere formal ă a conceptelor și rela țiilor dintre ele în
cadrul unui domeniu de cuno știn țe dat.
6.1.1 Resource Description Framework (RDF)
Ini țial, RDF (un „cadru pentru descrierea resurselor”) a fost creat ca un model de reprezentare a
metadatelor, dar acum este folosit ca o metod ă general ă de modelare conceptual ă a informa țiilor
din resursele web. Ideea este de a face afirma ții despre resursele web sub forma unor expresii
subiect-predicat-obiect (atribut). Subiectul denot ă resursa și este identificat printr-un URI
(Uniform Resource Identifier); predicatul este de a semenea o resurs ă identificat ă de asemenea
printr-un URI și face leg ătura între subiect și obiect; obiectul (atributul) poate fi o resurs ă sau o
valoare.
RDF (Resource Description Framework) are un limbaj bazat pe sintaxa XML ce utilizeaz ă un
model de reprezentare a grafurilor pentru a exprima fapte despre resurse identificate prin URI.
URI reprezint ă pentru RDF corespondentele cheilor primare din mod elele rela ționale prin faptul
că un URI va identifica în mod unic o resurs ă.
6.1.2 Web Ontology Language (OWL)
Diferite limbaje de definire ale ontologiilor ofer ă diferite facilit ăți. Cea mai recent ă dezvoltare în
limbajele standard de definire a ontologiilor este OWL, produs de consor țiul World Wide Web
(W3C). La fel ca și RDF, OWL face posibil ă descrierea conceptelor dar, în plus, ofer ă multe alte
facilit ăți. Are un set mai bogat de operatori (de exemplu: și, sau, negare). Folosind OWL,
conceptele complexe pot fi definite într-o maniera ierarhic ă pornind de la concepte simple.
OWL extinde practic RDF ad ăugând posibilitatea de a folosi instrumente de infe ren ță pe datele
din ontologie și pune la dispozi ție elemente pentru a construi taxonomii (ierarhii d e clase).
Taxonomiile pot fi folosite pentru a descoperi dina mic rela țiile.
6.2 Re țele de senzori organizate semantic
Cantitatea de informa ții disponibile în spa țiul World Wide Web cre ște spectaculos prin apari ția
IoT. Centrul de greutate al în țelegerii și interpret ării con ținutului WWW se va deplasa spre
abordarea semantic ă direct ă de către ”ma șini” – calculatoare, instrumenta ție, echipament
industrial sau domotic. În aceast ă perspectiv ă voi ar ăta cum managementul re țelelor bazat nu
(numai) pe conexiuni (ci și) pe informa ția propriu-zis ă vehiculat ă – Web-ul semantic – poate
permite și ”ma șinilor” interconectate în Internet ca, programatic (pe baz ă de software dedicat), s ă
poat ă în țelege și utiliza date din WWW pentru a- și îndeplini quasi-independent de factorul uman,
misiunea (încredin țat ă de acesta). Conform direc ției inaugurate de Tim Berners-Lee, preg ătirea /
completarea informa ției brute pentru utilizarea ei în Web-ul Semantic, const ă în ”adnotarea” cu
35 meta-date dedicate cooper ării ma șin ă-ma șin ă sau om-ma șin ă. Conceptualizarea ontologic ă în
Internetul obiectelor modeleaz ă rela ții și atribute în forma unui graf format din noduri –
reprezentând concepte – și muchii – reprezentând rela ții între concepte.
Am aplicat aceste principii la Re țeaua Semantic ă de Senzori (”Semantic Sensor Web”) ca
sinergie între re țelele de senzori și Web-ul Semantic [83]. În aceast ă direc ție, am implementat un
serviciu destinat comunica ției în IoT între re țele de senzori care folosesc local protocoale de
comunica ție diferite. Informa țiile vehiculate în cadrul re țelelor de senzori au fost adnotate
semantic, fiind astfel posibil ă interpretarea uniform ă a datelor provenite de la senzori.
Dezvoltarea solu ției presupune dou ă etape importante și anume definirea modului de adnotare a
datelor și stabilirea unei ontologii și respectiv implementarea unei aplica ții care s ă permit ă
schimbul de date între noduri care folosesc protoco ale diferite de comunica ție.
6.2.1 Adnotarea semantic ă a datelor
Deoarece senzorii reprezint ă în general dispozitive cu resurse limitate (memori e, putere de
calcul, baterie, etc.) metodele clasice de reprezen tare al informa țiilor semantice bazate pe XML
cum ar fi RDF sau OWL nu sunt potrivite. Alternativ a aleas ă a fost standardul JSON-LD
(JavaScript Object Notation for Linked Data) care r eprezint ă o extensie a formatului JSON
pentru reprezentarea de informa ții semantice [85].
JSON este un format de reprezentare și interschimb de date între aplica ții informatice în format
text, inteligibil pentru oameni, utilizat pentru re prezentarea obiectelor și a altor structuri de date
și este folosit în special pentru a transmite date s tructurate prin re țea. JSON-LD reprezint ă un
standard care folose ște un vocabular predefinit pentru a descrie diverse entit ăți (informa țiile de
baz ă + metadate) folosind formatul JSON [86].
Informa țiile semantice adaug ă o defini ție a datelor și specific ă în acela și timp modul de
interpretare al acestora. În cele mai multe cazuri, din cauza resurselor limitate, senzorii transmit
doar informa țiile achizi ționate, interpretarea corect ă a acestora fiind în responsabilitatea
consumatorilor. Pentru a procesa corect datele, con sumatorii au nevoie în avans de informa ții
suplimentare referitoare la structura și tipul datelor recep ționate.
6.2.2 Interconectarea multi-protocol a re țelelor de senzori
Având definite modurile de reprezentare și adnotare semantic ă a datelor, pasul urm ător este
dezvoltarea unei aplica ții care s ă realizeze interconectarea multi-protocol a re țelelor de senzori.
Pentru dezvoltarea acestei aplica ții am folosit ca baz ă bibliotecile software din cadrul proiectului
Eclipse Ponte [87], definite sub forma unor module JavaScript pentru platforma node.js.
Aplica ția pentru interconectarea multi-protocol a re țelelor de senzori are o arhitectur ă modular ă,
fiind implementate componente specializate de comun ica ție pentru fiecare protocol în parte.
36 Toate aceste componente folosesc în comun, un nivel de persisten ță destinat stoc ării mesajelor în
vederea garant ării nivelurilor de calitate a serviciului (QoS) spe cificate de fiecare protocol.
Nivelul de persisten ță poate fi reprezentat de o baz ă de date non-rela țional ă cum ar fi de exemplu
MongoDB sau Redis. Sunt implementate în prezent com ponente pentru urm ătoarele protocoale
HTTP, MQTT și CoAP. Protocolul HTTP este utilizat pentru a efec tua apeluri de tip REST.
6.3 Concluzii
În anul 1991 Mark Weiser prezenta paradigma “ubiqui tous computing” ca fiind tehnologia
computerelor predominant ă în toate aspectele vie ții, concept revolu ționar în acea perioad ă. Între
timp, ideile emise de Weiser par familiare ast ăzi: dispar computerele sub form ă de produse
vizibile amplasate pe birourile noastre și apar sub forma a numeroase obiecte folosite în vi a ța de
zi cu zi. În prezent majoritatea dispozitivelor pe care la utiliz ăm cum ar fi camerele foto,
telefoanele mobile, autoturismele, etc. sunt toate controlate de computere miniaturale, denumite
și sisteme încorporate. De asemenea aproape toate ac este dispozitive sunt conectate la Internet.
Cu toate acestea schimbul de informa ție între dispozitive este limitat din diverse motiv e cum ar fi
protocoale incompatibile, de cele mai mule ori prop rietare, medii de comunicare diferite, etc.
Demersul prezentat în acest capitol – de a îmbun ătăți interoperabilitatea în IoT – reprezint ă un
prim pas spre func ționalitatea de ra ționament-interpretare (în țelegere și posibilitate de interogare
orientat ă pe sens și similitudine a datelor produse și/sau vehiculate) și spre func ționalitatea
decizional ă (asupra modului de organizare / administrare).
Acest capitol a prezentat conceptele propuse de par adigma re țelelor semantice, în acest context
fiind descrise tehnologiile și limbajele utilizate pentru definirea ontologiilor . Re țelele semantice
presupun adnotarea datelor și reprezentarea acestora într-un limbaj independent de platform ă și
care s ă poat ă fi procesat automat pentru calculul inferen țelor logice. Din acest motiv cele mai
populare limbaje cum ar fi RDF sau OWL presupun rep rezentarea datelor în format XML.
Procesarea acestui tip de documente se dovede ște a fi foarte costisitoare din punct de vedere al
resurselor de calcul necesare, fiind din acest moti v nepotrivit ă pentru reprezentarea datelor în
cadrul sistemelor integrate respectiv al re țelelor de senzori. Contribu ția prezentat ă în cadrul
acestui capitol propune folosirea formatului JSON-L D pentru reprezentarea datelor și adnotarea
semantic ă a acestora. Adnotarea semantic ă a datelor se bazeaz ă pe ontologia IOTDB special
conceput ă pentru a reprezenta entit ățile conectate în cadrul Internetului obiectelor.
Un alt aspect important este reprezentat de interop erabilitatea între dispozitive eterogene cum ar
fi senzori, actuatori, etc., care folosesc protocoa le diferite de comunica ție. Contribu ția adus ă
reprezint ă realizarea unei solu ții de interconectare a dispozitivelor care folosesc protocoalele
MQTT, CoAP sau HTTP (REST) pentru comunica ție. Solu ția realizat ă se bazeaz ă pe utilizarea
proiectului Eclipse Ponte.
37
Capitolul 7
CONCLUZII GENERALE ȘI CONTRIBU ȚII ORIGINALE
Acest capitol însumeaz ă principalele concluzii ale lucr ării și grupeaz ă contribu țiile aduse la
managementul și securitatea re țelelor definite software.
Am încadrat rezultatele stagiului meu de doctorat î n activitatea colectivelor de cercetare ale
universit ății, în conformitate cu direc țiile planului s ău strategic de cercetare-dezvoltare.
În cadrul Echipei de Re țele Inteligente de la Centrul de cercetare C13 din Institutului
PRO-DD al Universit ății Transilvania din Bra șov am pus la punct sistemul de procesare
de pachete (cu DPI – inspec ția profund ă a pachetelor).
Am integrat un sistem complet de dezvoltare (cu SDK RMI/NetLogic/Broadcom, consola
Linux cu acces de la distan ță ) dublat de un mediu de emulare off-line ”Packet Pretender”
care permite testare complet ă prealabil ă instal ării serviciului (”deployment”) pe
platforma ATCA și, totodat ă, preluarea vectorilor de test și a șabloanelor de verificare.
Cercet ările în eLearning reprezint ă un domeniu prestigios de activitate al Facult ății de Inginerie
Electric ă și Știin ța Calculatoarelor, coordonatoare a unei Re țele Trans-Na ționale ” VET-
TREND” (”Valorisation of an Experiment-based Traini ng System through a Transnational
Network Development”). În aceast ă arie de preocup ări, comunica țiile industriale au specificul
unor tehnologii avansate de acces concurent de la d istan ță la care am contribuit cu o serie de
solu ții originale privind ”m ăsurarea ca serviciu” – un aport personal deosebit f iind
programarea BPEL al tele-m ăsur ării de pe ”thin clients” (telefoane mobile, tablete etc).
Specificul solu țiilor pe care le-am propus e înc ărcarea computa țional ă minim ă la nivel
client (motiv pentru care și terminale mobile obi șnuite – nu neap ărat dispozitive avansate
– pot fi folosite în accesul de la distan ță la Internetul obiectelor).
Una din direc țiile de cercetare a fost evaluarea tehnologiei containerelor Linux , în contextul
solu țiilor de virtualizare existente pe pia ță . La momentul începerii cercet ărilor doctorale, aceast ă
tehnologie era înc ă în plin ă dezvoltare. În prezent containerele Linux, prin in termediul
implement ării Docker au devenit o alternativ ă viabil ă la tehnologiile clasice de virtualizare.
Datorit ă dimensiunilor reduse și a flexibilit ății în crearea și interconectarea lor, containerele
Linux au reu șit s ă se impun ă, tehnologia fiind adoptat ă de c ătre principalii furnizori de servicii
Cloud. Adoptarea pe scar ă larg ă a acestei tehnologii, valideaz ă actualitatea și oportunitatea
cercet ărilor pe care le-am efectuat în aceast ă direc ție.
Am decis folosirea aceste tehnologii în cercet ările doctorale privind virtualizarea și am adus o
serie de contribu ții la
38 interconectarea containerelor Linux (inclusiv de pe servere diferite) și utilizarea acestora
în solu țiile speciale pe care le-am dezvoltat pentru re țelele definite software (contribu ții
prezentate în capitolele 1 și 2) – în principal g ăzduirea de aplica ții pentru analiza
traficului în timp real.
Una dintre temele permanent în actualitate este rep rezentat ă de securitatea re țelelor . Capitolul 3
prezint ă contribu țiile aduse pentru
identificarea fluxurilor de date folosind inspec ția profund ă de pachete (DPI) – solu ție
implementat ă pe platforma ATCA, utilizând func ționalit ățile puse la dispozi ție de
procesoarele dedicate pentru analiz ă de pachete XLR732.
Am demonstrat astfel c ă platforma integrat ă ATCA poate fi utilizat ă pentru solu ții avansate de
investigare a traficului . Traficul poate fi emulat (cu modulul FM40 – switc h de mare vitez ă) sau
poate fi preluat din exterior, pentru a fi inspecta t în timp real, f ără despachetare prin DPI
(inspec ția profund ă a pachetelor) – una din cele mai spectaculoase apl ica ții ale procesoarelor de
pachete XLR732 RMI-NetLogic-Broadcom de pe modulul PP50. Fluxurile pot fi investigate,
fără a fi afectat ă integritatea informa țiilor transmise. Indiferent de tipul de trafic de intrar e
(specific, de exemplu SGSN, GGSN, re țelei de control radio, sau re țelei de baz ă – Core
Network), el poate fi dirijat, preluat și investigat în acela și fel – doar aplica ția de analiz ă a
con ținutului trebuie s ă fie dotat ă cu decodificatoarele corespunz ătoare tipului de trafic
inspectat .
Aceste contribu ții se înscriu în managementul pe baz ă de con ținut al re țelelor definite software
ca ”re țele ale informa ției” – dep ășind astfel abord ările clasice ale gestiunii ”orientate pe
conexiune”.
Pornind de la aplica ția de identificare și discriminare a fluxurilor de date, am propus și prezentat
în capitolul 4
o solu ție de securizare a re țelelor definite software prin control bazat pe evenimente .
Componente active de inspec ție și monitorizare a traficului sunt integrate în cadru l re țelei și au
rolul de a analiza proactiv traficul de date cu scopul de a detecta anomalii sau tentative de
intruziune .
Aceste componente genereaz ă evenimente care sunt procesate – analizate și corelate – și care
determin ă manipularea fluxurilor de date în conformitate cu strategia de securitate
implementat ă.
Sistemul a fost implementat cu ajutorul unor platfo rme open-source care ofer ă performan țe
ridicate și scalabilitate, cum ar fi Apache Kafka pentru cole ctarea și transmiterea evenimentelor
sau Apache Storm care permite procesarea în timp real a evenimentelor .
Controlul bazat pe evenimente – pe care am suprapus un nivel superior de sintez ă a înse și
evenimentelor – are avantajul posibilit ății integr ării cu u șurin ță de noi componente în sistem. Se
39 pot integra astfel diverse aplica ții pentru identificarea și clasificarea de fluxuri sau aplica ții de
monitorizare a traficului.
Modelul propus are avantajele de a fi non invaziv , și de a nu necesita efectuarea de modific ări în
infrastructura fizic ă a re țelei . Containerele Linux în care ruleaz ă diferitele componente ale
solu ției sunt ata șate re țelei, interconectarea acestora realizându-se prin i ntermediul platformei de
control SDN.
În cadrul capitolului 5 am ar ătat posibilitatea orient ării pe servicii a comunica țiilor industriale .
Arhitecturile orientate pe servicii s-au impus de c eva vreme ca standard în cazul dezvolt ării de
sisteme distribuite. Prin contribu țiile aduse am urm ărit o abordare nou ă: aplicarea conceptelor
și tehnologiilor serviciilor web în contextul comuni ca țiilor industriale.
Expunerea instrumenta ției sub forma unor servicii web standardizate , a permis în primul
rând eliberarea de platforme și protocoale proprietare (ex. mediul de execu ție
LabVIEW) și a deschis noi posibilit ăți de dezvoltarea de aplica ții și scenarii complexe de
interacțiune între dispozitive aflate la distan ță . Contextul tehnologic avansat a fost
reprezentat de VISA [ VXI (VME – Versa Module Euroc ard (instruments) eXtensions for
Instrumentation) Instrument Software Architecture ] / [ Virtual Instrumentation Software
Architecture ].
Validarea acestei importante contribu ții s-a f ăcut prin extinderea infrastructurii ”Virtual Electr o-
Lab” dezvoltat ă la Universitatea ”Transilvania” și ”publicat ă” pentru accesul de la distan ță la
standurile de instrumenta ție incluse în Re țeaua Trans-na țional ă ”VET-TREND”. Pe baza
serviciilor web implementate, am dezvoltat un scenariu complex de tele-m ăsurare care
presupune interac țiuni multiple de la distan ța cu echipamentele de instrumenta ție automatizat ă
din cadrul standului de lucru. Acest serviciu a fos t oferit în cadrul ”VET-TREND”, fiind testat de
partenerii din Germania și Italia și verificat în cadrul unui audit de calitate coordo nat de filiala
Ia și a Academiei Române. Am demonstrat astfel posibili tatea orient ării pe servicii a
comunica țiilor industriale , precum și fiabilitatea acestei abord ări.
Serviciul web din cadrul platformei ”Virtual Electr o-Lab” a constituit fundamentul dezvolt ării
ulterioare de noi servicii și scenarii de m ăsurare sau experimente. Am adus astfel în lumin ă
conceptul de ”experiment ca serviciu” ca o completare a paradigmei de ”instrument ca
serviciu”.
Capitolul 6 a continuat proiectarea solu țiilor dezvoltate în domeniul IoT, abordând re țele de
senzori organizate semantic (SSN). Cercet ările au încununat orientarea pe con ținut prin
abordarea ontologic ă a informa ției vehiculate în re țea.
Am implementat un serviciu destinat comunica ției între sub-re țele de senzori care
folosesc local protocoale de comunica ție diferite (în particular MQTT și CoAP) cu
intermediere semantic ă – pentru aceasta am folosit standardul JSON-LD și am extins
ontologiile IOTDB și schema.org într-o ontologie specific ă Internetului obiectelor (IoT)
pentru comunica ții M2M
40 Bibliografie
Lucr ări ale autorului
Articole indexate ISI
[Cos1] C.Costache , F.Sandu, T.Balan, A.Nedelcu, A.Covei – ”Business Integration of
Industrial Communications with Cloud Computing” – P roceedings of the IEEE
Conference COMM 2014, Bucure ști, 29-31 mai 2014, pp. 407-411, ISBN 978-1-
4799-2385-4
[Cos2] R.Curpen, T.Balan, F.Sandu, C.Costache , C.Cerchez – ”Demonstrator for Voice
Communication over LTE” – Proceedings of the IEEE C onference COMM 2014,
Bucure ști, 29-31 mai 2014, pp. 355-359, ISBN 978-1-4799-23 85-4v
Articole în publica ții clasificate B+ de CNCSIS
[Cos3] A.Balica, C. Costache , F.Sandu, D.Robu – ”Deep Packet Inspection for M2M
Flow Discrimination, Integration on an ATCA Platfor m” – Bulletin of the Air-
Force Academy „Henri Coand ă” Bra șov, Vol XII, No 2 (26) 2014, pag.85-90,
ISSN-L: 1842-9238
[Cos4] C.Costache , O.Machidon, A.Mladin, F.Sandu, R.Bocu – ”Software -Defined
Networking of Linux Containers” – Proceedings of th e 13th RoEduNet IEEE
International Conference, 11-13 Sept 2014, Chi șin ău
Articole publicate în volumele unor conferin țe interna ționale
[Cos5] D. Robu, C.Costache , A.Balica, T. Balan, F. Sandu – "Packet Processing for
Streaming Filtering on ATCA Platforms" – 6th Gy őr Symposium and 3rd
Hungarian-Polish and Hungarian-Romanian Joint Confe rence on Computational
Intelligence, Széchenyi István University, Gy őr, Ungaria, 15-18 septembrie 2014
[Cos6] C. Costache , T. Balan, F. Sandu, D. Robu – "Software-Defined N etworks for Secure
Distributed Industrial Communications " – 6th Gy őr Symposium and 3rd
Hungarian-Polish and Hungarian-Romanian Joint Confe rence on Computational
Intelligence, Széchenyi István University, Gy őr, Ungaria, 15-18 septembrie 2014
[Cos7] F.Sandu, C.Costache , T.C.B ălan, A.N.Balica – ”Packet Processing on an ATCA
40G Platform” – Proceedings of the 4th Internationa l Conference on Recent
Achievements in Mechatronics, Automation, Computer Science and Robotics
(MACRo2013), Editura Scientia, 2013, ISSN: 2247 – 0 948, pp. 251-258; 4-5
octombrie 2013, Târgu Mure ș, România.
41 [Cos8] F.Sandu, D.N.Robu, C.Costache – ”BPEL Implementation of QoS-based
Management in Multi-modal Mobile Communications” – Proceedings of the
International Conference on Development and Applica tion Systems (DAS 2010),
27-29 May 2010, Suceava, Romania, ISSN 1844-5039, p ag 191-196.
Capitole în monografii publicate în țar ă și în str ăin ătate
[Cos9] E. Kayafas , F. Sandu, A. V. Nedelcu, C. Costache , D. N. Robu, M. Demeter–
”Tele-measurement Services for m-Learning" – capito l in monografia „ Service
Delivery Platforms: Developing and Deploying Conver ged Multimedia Services ” –
Editori: Syed A. Ahson, and Mohammad Ilyas – CRC Press Auerbach – ISBN:
9781439800898 / ISBN 10: 1439800898 – Data public ării: 16 martie 2011
[Cos10] Capitol în monografia " Advanced Technologies for e-Learning ", Edi ția 1-a, 420
pag. – Editori: S.Moraru, F.Sandu, P.Borza – Editu ra Lux Libris (cod CNCSIS 201),
Bra șov, 2008, ISBN 978-973-131-045-96.
[Cos11] Capitol in monografia „ Advanced Technologies for e-Learning ” – Edi ția 2-a, Vol.2 –
„Middleware. Integration ”, 260 pag. –Editori: S.Moraru, F.Sandu, P.Borza – Editura
Lux Libris (cod CNCSIS 201), Bra șov, 2009, ISBN 978-973-131-066-46.
Bibliografie și Web-grafie
[1] Buyyaa R., Yeoa C.S., Venugopala S., Broberga J ., Brandicc I. „Cloud Computing and
emerging IT platforms: Vision, hype, and reality fo r delivering computing as the 5th
utility.” Future Generation Computer Systems Volume 25 (2009)
[2] T., Nadeau. SDN – Software Defined Networks. O' Reilly, 2013.
[3] Nygren A., Pfa B., Lantz B., Heller. „OpenFlow Switch Specification version 1.3.3.”
2013.
[4] Jain R., Paul S. „Network virtualization and so ftware defined networking for Cloud
computing: a survey.” IEEE Communications Magazine 51.11 (f ără an): pp.24-31
[5] Bakshi, K. „Considerations for Software Defined Networking (SDN): Approaches and
use cases.” IEEE Aerospace Conference (2013): pp.1- 9
[6] ONF, Open Networking Foundation. „”Software-Def ined Networking: The New Norm
for Networks". White paper.” 2012
[7] Open Network Foundation. https://www.opennetwor king.org/
[8] N.Feamster, J. Rexford, E. Zegura. „The Road to SDN: An Intellectual History of
Programmable Networks.” ACM SIGCOMM Computer Commun ications Review
(Aprilie 2014)
[9] de Oliveira Silva, Flavio, și al ții. „Enabling future Internet architecture research and
experimentation by using software-defined networkin g.” European Workshop on
Software-Defined Networking (EWSDN) (2012): 73-78
[10] A. Gember, P. Prabhu, Z. Ghadiyali, A. Akella. „Toward Software-Defined Middlebox
Networking.”
42 [11] Gopalakrishnan, Abhilash. „Applications of Sof tware Defined Networks in Industrial
Automation.” http://www.academia.edu/2472112
[12] Moore, Andrew W. și Denis Zuev. „Internet Traffic Classification Usin g Bayesian
Analysis Techniques.” SIGMETRICS (2005)
[13] Freescale Semiconductor, Inc. DPI Solutions fo r Telecom Networks . Verlag Dr. Mueller
e.K., 2008
[14] H.Holma, A.Toskala, K.Ranta-aho, J.Pirskanen. „High-Speed Packet Access Evolution in
3GPP Release 7.” IEEE Communications Magazine 45.12 (2007): 29-35
[15] GmbH, Ipoque. „Smart Traffic Management Policy Control and Charging in Converging
IP Networks.” 2012
[16] Erman, Jeffrey, Anirban Mahanti și Martin Arlitt. „Internet Traffic Identification u sing
Machine Learning.”
[17] Internet Assigned Numbers Authority. IANA.
[18] Fernandes, Natalia Castro și Otto Carlos Muniz Badeira Duarte. „XNetMon: A Net work
Monitor for Securing Virtual Networks.”
[19] Hasan, Shaddi, și al ții. „Enabling Rural Connectivity with SDN.” Proceed ings of the 3rd
ACM Symposium on Computing for Development (2013): 49-51
[20] Mann, Vijay, Anikumar Vishnoi și Kalapriya Kannan. „Seamless VM mobility across
data centers through software defined networking.” Network Operations and
Management Symposium (NOMS). (2012): 88-96
[21] Sandu, F., Costache, C., Balan, T.C., Balica, A.N. „Packet Processing on an ATCA 40G
Platform.” Proceedings of the 4th International Con ference on Recent Achievements in
Mechatronics, Automation, Computer Science and Robo tics (MACRo2013) (2013): 227-
238
[22] VMware Whitepaper, “Understanding Full Virtual ization, Para-virtualization, and
Hardware Assist” – www.vmware.com/resources/ techre sources/1008, Retrieved May
2014
[23] Kolyshkin K. – “Virtualization in Linux” – Ope nVZ Technical Report, September 2006 –
http://download.openvz.org/doc/ openvz-intro.pdf, R etrieved May 2014
[24] Xavier M., Neves M., Rossi F., Ferreto T., Lan ge T., De Rose C. – “Performance
evaluation of container-based virtualization for hi gh performance computing
environments,” in Parallel, Distributed and Network -Based Processing (PDP), 2013 21st
Euromicro International Conference, 2013, pp. 233–2 40
[25] M. Casado, M. J. Freedman, J. Pettit, J. Luo, N. McKeown, S. Shenker, „Ethane: taking
control of the enterprise”, SIGCOMM, 2007
[26] Jain R., Paul S., „Network virtualization and software defined networking for Cloud
computing: a survey”, IEEE Communications Magazine, vol.51, no.11, pp.24-31
[27] Zurawski, R., „Industrial Communication Techno logy Handbook”, Second Edition, CRC
Press 2014, 1756 pag., ISBN 978-1-4822-0732-3
[28] Open Modus library: http://libmodbus.org/
[29] Open IEC61850 library: http://libiec61850.com/ libiec61850/
[30] Radisys, „Partnering For DPI Deployment”, Fier ceMarkets custom publishing.
Available:http://go.radisys.com/rs/radisys/images/e book-atca-partnering-for-dpi
deployment.pdf [accesat: aprilie 2014]
43 [31] Bergstrom, E., „Advanced TCA: A Force of One i n Telecom & Datacom Applications”,
Crystal Cube Consulting, 2013
[32] Sandu, F., Balica, A.N., Robu, D.N., Svab, S.R ., „Remote Access to an Advanced
Telecommunications Platform for Educational Purpose ”, Proceedings of the 7th
International Conference on Virtual Learning (ICVL) , Bucharest University Press, ISSN
1844-8933, pag. 413-420, 2012
[33] Machidon, O.M., Sandu, F., Balica, A.N., Rob u, D.N., Cazacu V., „Remote Project
Integration on an ATCA Platform”, Proceedings of th e 11th International Conference:
Networking in Education and Research, RoEduNet ISSN : 2068-1038, Print ISBN: 978-1-
4673-6114-9 – ISI Proceedings, 2013
[34] Sandu, F., Costache, C., Balan, T.C., Balica, A.N. “Packet Processing on an ATCA 40G
Platform” 2013, Proceedings of the 4th Internationa l Conference on Recent
Achievements in Mechatronics, Automation, Computer Science and Robotics
(MACRo2013), Scientia publishing house, 2013, ISSN: 2247 – 0948, pp. 227-238 / 239-
250 / 251-258; 4-5 October, 2013, Tirgu Mures, Roma nia
[35] M. Palmer, „SDN market size to exceed $35b in 2018”, Site oficial:
http://www.sdncentral.com/sdn-blog/sdn-market-sizin g/2013/04/ [accesat: mai 2014]
[36] PLEXXI, LIGHTSPEED, SDNCentral. „SDN market si zing”. Site oficial:
http://cdn.sdncentral.com/wp-content/uploads/2013/0 4/sdn-market-sizing-report-0413.pdf
[accesat: mai 2014]
[37] FIBRE. FIBRE Project – Future Internet Testbed s Experimentation Between Brazil and
Europe. Site oficial: http://www.fibre-ict.eu/ [acc esat: mai 2014]
[38] A. Doria, J. H. Salim, R. Haas, H. Khosravi, W . Wang, L. Dong, R. Gopal, and J.
Halpern, “Forwarding and Control Element Separation (ForCES) Protocol Specification,”
Internet Engineering Task Force, Site oficial: http ://www.ietf.org/rfc/rfc5810.txt
[39] B. Pfaff and B. Davie, “The Open vSwitch Datab ase Management Protocol,” RFC 7047
(Informational), Internet Engineering Task Force, D ec. 2013. Site oficial:
http://www.ietf.org/rfc/rfc7047.txt
[40] H. Song, “Protocol-oblivious Forwarding: Unlea sh the power of SDN through a future-
proof forwarding plane,” in Proceedings of the Seco nd ACM SIGCOMM Workshop on
Hot Topics in Software Defined Networking, ser. Hot SDN ’13. New York, NY, USA:
ACM, 2013, pp.127–132.
[41] H. Song, J. Gong, J. Song, and J. Yu, “Protoco l Oblivious Forwarding (POF),” 2013. Site
oficial: http://www.poforwarding.org/
[42] M. Smith, M. Dvorkin, Y. Laribi, V. Pandey, P. Garg, and N. Weidenbacher, “OpFlex
Control Protocol,” Internet Draft, Internet Enginee ring Task Force, April 2014. Site:
http://tools.ietf.org/html/draft-smith-opflex-00
[43] G. Bianchi, M. Bonola, A. Capone, and C. Casco ne, “OpenState: Programming platform-
independent stateful OpenFlow applications inside t he switch,” SIGCOMM Comput.
Commun. Rev., vol. 44, no. 2, pp.44–51, Apr. 2014.
[44] M. Sune, V. Alvarez, T. Jungel, U. Toseef, and K. Pentikousis, “An OpenFlow
implementation for network processors,” in Third Eu ropean Workshop on Software
Defined Networks, 2014
[45] D. Parniewicz, R. Doriguzzi Corin, L. Ogrodowc zyk, M. Rashidi Fard, J. Matias, M.
Gerola, V. Fuentes, U. Toseef, A. Zaalouk, B. Belte r, E. Jacob, and K. Pentikousis,
44 “Design and implementation of an OpenFlow hardware abstraction layer,” in Proceedings
of the 2014 ACM SIGCOMM Workshop on Distributed Clo ud Computing, ser. DCC ’14.
New York, NY, USA: ACM, 2014, pp. 71–76.
[46] B. Belter, D. Parniewicz, L. Ogrodowczyk, A. B inczewski, M. Stroinski, V. Fuentes, J.
Matias, M. Huarte, and E. Jacob, “Hardware abstract ion layer as an SDN-enabler for non-
OpenFlow network equipment,” in Third European Work shop on Software Defined
Networks, 2014
[47] B. Belter, A. Binczewski, K. Dombek, A. Juszcz yk, L. Ogrodowczyk, D. Parniewicz, M.
Stroinski, and I. Olszewski, “Programmable abstract ion of datapath,” in Third European
Workshop on Software Defined Networks, 2014
[48] R. Enns, M. Bjorklund, J. Schoenwaelder, and A . Bierman, “Network Configuration
Protocol (NETCONF),” RFC 6241 (Proposed Standard), Internet Engineering Task
Force, Jun. 2011. Site: http://www.ietf.org/rfc/rfc 6241.txt
[49] J. Vasseur and J. L. Roux, “Path Computation E lement (PCE) Communication Protocol
(PCEP),” RFC 5440 (Proposed Standard), Internet Eng ineering Task Force, Mar. 2009.
Site: http://www.ietf.org/rfc/rfc5440.txt
[50] D. Harrington, R. Presuhn, and B. Wijnen, “An Architecture for Describing Simple
Network Management Protocol (SNMP) Management Frame works,” Internet
Engineering Task Force, dec 2002.
[51] Y. Rekhter, T. Li, and S. Hares, “A Border Gat eway Protocol 4 (BGP-4),” RFC 4271,
Internet Engineering Task Force, Ian. 2006.
[52] R.Kuhlmann, „ATCA: Advanced Telecom Computing Architecture – Die Plattform der
Zukunft für Telekommunikationssysteme”, Franzis Ver lag GmbH, 2007 – ISBN 9-7837-
7234-1298
[53] Bergstrom E., „Advanced TCA: A Force of One in Telecom & Datacom Applications”,
Crystal Cube Consulting, 2003
[54] M. Rings, “Customizing a PXI-based Hardware-In -The-Loop Test System with
LabVIEW,” Procs. of SAE 2010 World Congress and Exh ibition, pp. 14-20, 2010
[55] Introducing High-Performance Multicore NI Comp actRIO, http://www.ni.com/white-
paper/13046/en
[56] LabVIEW Web Services, http://www.ni.com/white- paper/7747/en
[57] A. Wasule, M. S. Panse, “A Telemedicine Monito r Based On LabVIEW Web Services,”
International Journal of Engineering Research and A pplications, vol. 3(1), pp.1051-1053,
2013
[58] S. Tumkor, S. K. Esche, C. Chassapis, “Design of Remote Laboratory Experiments Using
LabVIEW Web Services,” International Mechanical Eng ineering Congress ASME 2012,
vol. 5, pp. 171-179, 2012
[59] A. Bosin, B. Madusudhanan, B. Pes, “A SOA-Base d Environment Supporting
Collaborative Experiments in e-Science,” Internatio nal Journal of Web Portals, vol. 3(3),
pp. 12-26 , 2011
[60] L. Chen, W. Emmerich, B. Wassermann, ”Grid Ser vices Orchestration with OMII-
BPEL”, in Grid computing: infrastructure, service, and applications, CRC Press, pp. 191-
222, 2009
45 [61] W. Tan, P. Missier, R. Madduri, I. Foster, “Bu ilding Scientific Workflow with Taverna
and BPEL: A Comparative Study in caGrid,” Lecture N otes in Computer Science, vol.
5472, pp. 118-129, 2009
[62] P. Coelho, R. Sassi, E. Cardozo, E. Guimarães, L. Faina, R. Pinto, and A. Lima, "A Web
Lab for Mobile Robotics Education," Proc. IEEE Int' l Conf. Robotics and Automation
(ICRA '07), pp. 1381-1386, 2007
[63] M. Sonntag et. al., “Using Services and Servic e Compositions to Enable the Distributed
Execution of Legacy Simulation Applications,” Lectu re Notes in Computer Science, vol.
6994, pp. 242-253, 2011
[64] E.B. Fernandez, N.Yoshioka, H.Washizaki, „Two patterns for distributed systems:
Enterprise Service Bus (ESB) and Distributed Publis h/Subscribe”, 18th Conference on
Pattern Languages of Programs – Oct 2011
[65] A.Hoing, „Orchestrating SecureWorkflowsfor Clo ud and Grid Services”, Erlangung des
akademischen Grades Doktor der Ingenieurwissenschaf ten, Technische Universitat
Berlin, 2010
[66] T. Berners-Lee, J. Hendler, O. Lassila, "The S emantic Web", Scientific American, 5,
2001
[67] D. Brickley et al., ABC: A Logical Model for M etadata Interoperability, Harmony
Project, Working Paper, 1999
[68] S. Buraga, „Semantic Web. Fundamente și aplica ții”, Matrix Rom, Bucure ști, 2004
[69] M. Genesereth, R. Fikes, Knowledge Interchange Format. Version 3.0. Reference
Manual, Technical Report Logic-92-1, Stanford Unive rsity, 1992
[70] M. Smith et al. (eds.), OWL Web Ontology Langu age Guide, W3C Recommendation,
2004: http://www.w3.org/TR/owl-guide/
[71] J. Sowa, "Ontologia și reprezentarea cuno știn țelor", în G. Constandache, Ș. Tr ăușan-Matu
(coord.), Hermeneutica și ontologia calculatoarelor, Editura Tehnic ă, Bucure ști, 2001
[72] D. Tufi ș, "BalkaNet: ontologie lexical ă multilingv ă", în Ș. Tr ăușan-Matu, C. Pribeanu
(coord.), Lucr ările Conferin ței Na ționale de Interac țiune Om-Calculator – RoCHI 2004,
Printech, Bucure ști, 2004
[73] M. Bansal, J. Mehlman, S. Katti, and P. Levis, “Openradio: A programmable wireless
dataplane,” in Proceedings of the First Workshop on Hot Topics in Software Defined
Networks, ser. HotSDN’12. New York, NY, USA: ACM, 2 012, pp. 109–114.
[74] L. Li, Z. Mao, and J. Rexford, “Toward softwar e-defifned cellular networks,” in Software
Defined Networking (EWSDN), 2012 European Workshop on, 2012.
[75] R. Sherwood, M. Chan, A. Covington, G. Gibb, M . Flajslik, N. Handigol, T.-Y. Huang,
P. Kazemian, M. Kobayashi, J. Naous, S. Seetharaman , D. Underhill, T. Yabe, K.-K.
Yap, Y. Yiakoumis, H. Zeng, G. Appenzeller, R. Joha ri, N. McKeown, and G. Parulkar,
“Carving research slices out of your production” Co mput. Commun. Rev., vol. 40.
[76] S. Jain, A. Kumar, S. Mandal, J. Ong, L. Pouti evski, A. Singh, S. Venkata, J. Wanderer,
J. Zhou, M. Zhu, J. Zolla, U. Hlzle, S. Stuart, and A. Vahdat. „B4: Experience with a
globally deployed software defined WAN”, ACM SIGCOM M, Aug. 2013.
[77] Open Daylight, http://www.opendaylight.org/
[78] Margaret Rouse, Cloud Computing, SearchCloudCo mputing Magazine, 21 Dec 2010, Sit
oficial http://searchCloudcomputing.techtarget.com/ definition/Cloud-computing (accesat
iunie 2014)
46 [79] O. Etzion and P. Niblett, ”Event Processing in Action”, 1st ed. Greenwich, CT, USA:
Manning Publications Co., 2010
[80] P. Rosales, K. Oh, K. Kim, and J.-Y. Jung, ”Le veraging business process management
through complex event processing for rfid and senso r networks”, in 40th International
Conference on Computers and Industrial Engineering (CIE), july 2010, pp. 1-6.
[81] J. Dunkel, ”On Complex Event Processing for Se nsor Networks”, International
Symposium on Autonomous Decentralized Systems, Marc h 2009, pp. 1-6.
[82] D. C. Luckham, ”The Power of Events: An Introd uction to Complex Event Processing in
Distributed Enterprise Systems”. Boston, MA, USA: A ddison-Wesley Longman
Publishing Co., Inc., 2001
[83] O. Corcho – "Semantic Social Sensor Networ ks" – Lectures at SSSW'12, the 9th Summer
School on Ontology Engineering and the Semantic Web , July 8 – 14, 2012. Cercedilla –
Madrid – Spain
[84] Michelson, B.M., ”Event-Driven Architectur e Overview: Event-Driven SOA is Just Part
of the EDA Story”, Patricia Seybold Group, 2006
[85] W3C JSON-LD Specification, http://www.w3.o rg/TR/json-ld/
[86] Markus Lanthaler,”Creating 3rd Generation Web APIs with JSON-LD and Hydra”,
Proceedings of the Proceedings of the 22nd Internat ional World Wide Web Conference
(WWW2013), pp. 35-37. Rio de Janeiro, Brazil: ACM P ress
[87] Proiectul Eclipse Ponte, http://www.eclips e.org/ponte/
[88] N. Feamster, “The case for separating routin g from routers”, Proceedings of the ACM
SIGCOMM workshop on Future directions in network ar chitecture. ACM, 2004
[89] Continuous Computing, „FlexPacket ATCA PP50 Pa cket Processor, User Manual”,
CC06786-11B, 2011
[90] Bergstrom, E., „Advanced TCA: A Force of One i n Telecom & Datacom Applications”,
Crystal Cube Consulting, 2011
[91] Radisys, „Partnering For DPI Deployment”, Fier ceMarkets Custom Publishing, aprilie
2014, Site oficial http://go.radisys.com/rs/radisys /images/ebook-atca-partnering-for-dpi-
deployment.pdf (accesat iulie 2014)
[92] National Semiconductor, „Precision centigrade temperature sensor”, Site oficial
www.national.com/mpf/LM/LM35.html (accesat iulie 20 14)
[93] Commission of the European Communities (2009-0 6-18), „Internet of Things – An action
plan for Europe”, COM (2009) 278, Sit oficial http: //cordis.europa.eu (accesat august
2014)
[94] A.C. Stanca, V. Sandu, R. Vaduva, O. Nemeth, „ Distributed system for indoor
temperature control”, Proceedings of the IEEE Inter national Conference on Applied and
Theoretical Electricity – 11th edition – ICATE 2012 , pp.6.3.1-6, 2012
[95] B. Li, J. Yu, „Research and application on the smart home based on component
technologies and Internet of Things”, Volume 15 of the Procedia Environmental Sciences
Journal, pp. 2087 – 2092, 2011
[96] Message Queue Telemetry Transport, Sit oficial http://mqtt.org (accesat iulie 2014)
[97] A. Broering, T. Foerster, S. Jirka, C. Priess, „An intermediary layer for linking sensor
networks and the sensor web”, Proceedings of the 1s t International Conference on
Computing for Geospatial Research & Application, “C OM.Geo 2010”, ICPS – ACM
International Conference Proceeding Series, Article 12, pp. 12:1-12:8, 2010
47 [98] K. Ashton, „That 'Internet of Things' Thing”, RFID Journal, iulie 2009, Sit oficial
www.rfidjournal.com/article/view/4986 (accesat iuli e 2014)
[99] D. Uckelmann, M. Harrisson, F. Michahelles (ed itors), „Architecting the Internet of
Things”, Springer, 2011
[100] S. Sean Dodson, R. Van Kranenburg, „The Inter net of Things – A critique of ambient
technology and the all-seeing network of RFID”, Ins titute of Network Cultures, 2009
[101] Cameron Scott, „General Electric Expands Inte rnet of Things to More Industrual
Equipment”, Singularitu HUB, 10 octombrie 2013, Sit e oficial
http://www.qualcomm.com/media/releases/2013/01/07/q ualcomm-and-att-support-
Internet-everything-development-platform (accesat a prilie 2014)
[102] Qualcomm and AT&T Support Internet of Everyth ing Development Platform, Qualcomm
Press Release, January 07, 2013, Site oficial http ://www.qualcomm.com/media/ releases/
2013/01/07/qualcomm-and-att-support-Internet-everyt hing-development-platform
(accesat martie 2014)
[103] Zheng Xingming, „ZOOMs: An Optimized Operatio n and Management Solution”, ZTE,
octombrie 2010, Sit oficial http://wwwen.zte.com .cn/endata/magazine/ztetechnologies/
2010/no8/articles/201008/t20100816_ 188656.html (ac cesat martie 2014)
[104] Arye Zacks, Things I Saw at Israel’s “Interne t of Things” Conference, AMDOCS Blogs,
decembrie 2013, Sit oficial http://blogs.amdocs.com /insightfuel/2013/12/19/things-i-saw-
at-israels-Internet-of-things-conference (accesat m artie 2014)
[105] CISCO, "Cisco Connections Counter: dynamic, o nline widget displays the number of
connections being made at any one moment in time”, Site oficial
http://newsroom.cisco.com/feature-content?type=webc ontent&articleId=1208342
(accesat martie 2014)
[106] ABI Research, „More Than 30 Billion Devices W ill Wirelessly Connect to the Internet of
Everything in 2020”, Site oficial http://www.abires earch.com/press/more-than-30-billion-
devices-will-wirelessly-conne (accesat martie 2014)
[107] AXIe Standard, „AXIe: AdvancedTCA Extensions for Instrumentation and Test,
Overview”, AXIe Consortium, Inc, 2013, Sit oficial http://www.axiestandard.org/images/
AXIe_Overview_FEB2013.pdf (accesat iulie 2014)
[108] J. Postel, „User Datagram Protocol, Request f or Comments (RFC) no. 768”, the Internet
Engineering Task Force (IETF), 1980
[108] D.E. Comer, „Internetworking with TCP/IP: Pri nciples, Protocols, and Architecture”, 5th
Edition, Prentice-Hall, New Jersey, USA, 2006, ISBN 9780131876712
[109] National Instruments, Tutorial on Development of Wireless Measurement Systems, Sit
oficial http://zone.ni.com/devzone/cda/tut/p/id/324 7 (accesat iulie 2014)
[110] Verlag Dr. Mueller e.K., 2007 – ISBN 9-7838-3 642-9764 Freescale Semiconductor, Inc –
DPI Solutions for Telecom Networks – 2008
[111] Gartner Press Release, „Gartner Says Worldwid e Public Cloud Services Market to Total
$131 Billion”, Gartner, February 28, 2013, Sit ofic ial http://www.gartner.com/newsroom/
id/2352816 (accesat iunie 2014)
[112] Farzad Sabahi, „Cloud computing security thre ats and responses”, Communication
Software and Networks (ICCSN), 2011 IEEE 3rd Intern ational Conference on, pages
245–249. IEEE, 2011
48 [113] Subharthi Paul, Jianli Pan, and Raj Jain. „Ar chitectures for the future networks and the
next generation Internet: A survey”, Computer Com munications, 34(1):2–42, 2011
[114] Michael Papazoglou „Web services: principles and technology”, Pearson Education, 2008
[115] Florin Ogig ău-Neam țiu, „Cloud computing security issues”, Journal of D efense
Resources Management (JoDRM), (02):141–148, 2012
[116] Matthias Hovestadt, Odej Kao, and Alexander S tanik, „Hardware as a service (haas):
Physical and virtual hardware on demand”, Proceedin gs of the 2012 IEEE 4th
International Conference on Cloud Computing Technol ogy and Science (CloudCom),
pages 149–154. IEEE Computer Society, 2012.
[117] Marius Ghercioiu, „Cloud Instrumentation. The Instrument is in The Cloud”, REE-Revue
de llectricite et de llectronique, (2):56, 2011
[118] Benjamin Fabian, „Secure name services for th e Internet of Things”, Humboldt-
Universitaet zu Berlin, Wirtschaftswissenschaftlich e Fakult¨at, 2008
[119] Wolfgang Emmerich, „Software engineering and middleware: a roadmap”, Proceedings
of the Conference on The future of Software enginee ring, pages 117–129. ACM, 2000
[120] J. Höller, V. Tsiatsis, C. Mulligan, S. Karno uskos, S. Avesand, D. Boyle, „From
Machine-to-Machine to the Internet of Things: Intro duction to a New Age of
Intelligence”, Elsevier, 2014
[121] T. Luo, H. P. Tan, and T.Q. S. Quek, „Sensor OpenFlow: Enabling Software-Defined
Wireless Sensor Networks”, IEEE Comms Letters, vol 16, No 11, pp 1896-1899, 2012
[122] R. Sommer, V. Paxson, “Enhancing Byte-Level N etwork Intrusion Detection Signatures
with Context”, ACM conf. on Computer and Communicat ion Security, 2003, pp. 262–
271.
[123] M. Roesch, “Snort: Lightweight intrusion dete ction for networks”, Systems
Administration Conference (LISA), November 1999
[124] S. Antonatos, et al, “Generating realistic wo rkloads for network intrusion detection
systems”, ACM Workshop on Software and Performance, 2004.
[125] Fang Yu, et al., “Fast and Memory-Efficient R egular Expression Matching for Deep
Packet Inspection”, UCB tech. report, EECS-2005-8.
[126] J. Moscola, et al, “Implementation of a conte nt-scanning module for an Internet firewall”,
IEEE Workshop on FPGAs for Custom Computing Machine s, Napa, CA, USA, April
2003.
[127] S. Dharmapurikar, et al, “Deep Packet Inspect ion using Parallel Bloom Filters”, IEEE
Hot Interconnects 12, August 2003.
[128] Seungmin Baek, "Application Detection using D PI", Technical paper, Samsung
Electronics, South Korea, 2010
[129] S. Sen, O. Spatscheck, and D. Wang., "Accurat e, scalable in-network identification of
p2p traffic using application signatures”, Proceedi ngs of World Wide Web Conference,
NY, USA, May 2004
[130] McGregor, A., Hall, M., Lorier, P., Brunskill , J.: "Flow Clustering Using Machine
Learning Techniques", Barakat, C., Pratt, I. (eds.) PAM 2004. LNCS, vol. 3 015, pp. 2
05-214. Springer, Heidelberg (2004)
[131] Roni Bar-Yanai, Michael Langberg, David Peleg , and Liam Roditty, "Real time
Classification for Encrypted Traffic", SEA 2 010, L NCS 6049, pp. 373-385, 2010
49 [132] Jun Li, Shunyi Zhang, Cuilian Li, Junrong Van ., "Composite lightweight traffic
classification system for network management", Int. Journal of Network Management,
2010: 85-105
[133] G.Gu, P. Porras, V. Yegneswaran, M. Fong, and W. Lee., "BotHunter: Detecting
Malware Infection through IDS-Driven Dialog Correla tion", USENIX Security, 2007.
[134] R. Perdisci, W. Lee, and N. Feamster, "Behavi oral clustering of http-based malware and
signature generation using malicious network traces ", USENIX NSDI, 2010
[135] K. Vieira, A. Schulter, C. Westphall, C. West phall, "Intrusion detection for grid and
cloud computing”, IT Professional, vol.12, no. 4, pp. 38-43, July/August 2010.
[136] S. Yoon, B. Kim, J. Oh, "High-Performance sta teful intrusion detection system",
International Conference on Computational Intellige nce and Security (ICCIAS), 2007.
[137] T. AbuHmed, A. Mohaisen, D. Nyang, "Deep pack et inspection for intrusion detection
systems: A survey”, Magazine of Korea Telecommunica tion Society, vol. 24, No. 11,
pages 25-36, November 2007
[138] C. Kruegel, F.Valeur, G. Vigna, R. Kemmerer, "Stateful Intrusion Detection for High-
Speed Networks”, IEEE Symposium on Security and Pri vacy – S&P, 2005.
[139] H. Tipton, M. Krause, "Deep Packet Inspection Technologies", Information Systems
Security, Auerbach Publications, 2009
[140] C. Gerber, "Deep Security: DISA beefs up netw ork security with deep packet inspection
of IP transmissions”, Military Information Technolo gy, Issue 8, Volume 12, September
2008
[141] M. Rash, A. D. Orebaugh, G. Clark, B. Pinkard , and J. Babbin, "Intrusion Prevention and
Active Response: Deploying Network and Host IPS”, S yngress, 2005
[142] Gruber. T.R., "A translation approach to port able ontologies", Knowledge Acquisition,
5(2):199-220, 1993
[143] Guarino, N., Giaretta, P., "Ontologies and Kn owledge Bases: Towards a Terminological
Clarification". In N. Mars (ed.) Towards Very Large Knowledge Bases: Knowledge
Building and Knowledge Sharing 1995. IOS Press, Ams terdam: 25-32, 1995
[144] Uschold, M., "Building Ontologies: Towards a Unified Methodology". Proc. Expert
Systems 96, Cambridge, December 16-18th., 1996
50 Rezumat
Scopul tezei de doctorat „Contribu ții la managementul re țelelor definite software”
este de a propune și implementa noi metode pentru îmbun ătățirea managementului și securit ății
în contextul re țelelor definite software. Am implementat o metod ă de interconectare a
containerelor Linux aflate pe servere diferite, car e faciliteaz ă dezvoltarea aplica țiilor distribuite
bazate pe micro-servicii . Aceast ă metoda poate fi utilizat ă pentru securizarea re țelelor definite
software, prin g ăzduirea de aplica ții destinate analizei traficului de date în contain ere Linux și
interconectarea acestora în mod dinamic în cadru re țelelor. Comparativ cu managementul clasic
orientat pe conexiune, am propus orientarea managementului pe con ținut. Am dezvoltat aplica ții
pentru identificarea fluxurilor de date folosind inspec ția profund ă de pachete (DPI) – solu ție
implementat ă pe o platform ă ATCA utilizând func ționalitățile puse la dispozi ție de procesoarele
dedicate analizei de pachete Broadcom/NetLogic XLR7 32. Pornind de la identificarea și
discriminarea fluxurilor de date am propus o solu ție de securizare a re țelelor definite software
prin controlul bazat pe evenimente . În urma studiului clasific ării și a modelelor de implementare
a serviciilor de tip Cloud am identificat modelul d e integrare as-a-Service ca unul fiabil pentru
integrarea instrumenta ției în contextul comunica țiilor industriale. În aceast ă direc ție am propus și
implementat solu ții originale privind expunerea instrumenta ției sub forma unor servicii web, pe
baza c ărora am dezvoltat scenarii complexe prin programarea BPEL a tele-m ăsur ării,
demonstrând astfel conceptul de ”experiment ca serviciu” ca o completare a paradigmei
”instrument ca serviciu” . Cercet ările au completat orientarea pe con ținut prin abordarea
ontologic ă a informa ției vehiculate în re țea. În aceast ă direc ție am implementat un serviciu
destinat medierii comunica ției între sub-re țele de senzori care folosesc protocoale de comunica ție
diferite (în particular MQTT și CoAP) cu intermediere semantic ă.
Abstract
The main goal of the PhD thesis titled "Contributions to the Management of Software
Defined Networks" is to propose and implement new methods that aim to improve the
management and security of software defined network s. I have implemented a method to
interconnect Linux containers hosted on remote serv ers, enabling the development of distributed
applications based on the microservices architectur e. This method can be applied to secure
software defined networks by hosting traffic analys is applications inside Linux containers that
can be dinamicaly attached to the network. As an al ternative to the classical network
management based on connection, I have proposed a c ontent driven management approach. In
this respect I have developed applications for netw ork flow discrimination using deep packet
inspection (DPI). The applications were implemented on an ATCA platform leveraging the
advanced features available in the Broadcom/NetLogi c XLR732 packet processors. Using the
flow identification and classification as starting point, I have proposed a security solution for
software defined networks based on network events a quisition and control. Following the study
on classifying the services and implementation mode ls, I identified the „ as-a-Service” paradigm
as a reliable integration model for instrumentation in the context of industirial communications. I
proposed and implemented an original solution to ex pose instrumentation as web-services. Based
on the created web-services, I have developed compl ex tele-measurement scenarios using BPEL
programming, introducing the „experiment as a servi ce” concept in addition to the „instrument
as a service” paradigm. The conducted research exte nded further the content driven approach by
applying semantic annotations to the data flowing i n the network. In this research area I have
implemented a service to mediate the communication between sensor networks that use different
comunication protocols (in particular MQTT and CoAP ).
51 CCuurrrriiccuulluumm VViittaaee
Date personale
Nume / Prenume COSTACHE Cosmin
Locul na șterii: Bra șov
Data na șterii: 26 mai 1982
Na ționalitate: Român ă
E-mail: cosmin.costache@unitbv.ro
Educa ție și formare
2012 – 2015 Doctorand cu frecven ță
Universitatea Transilvania din Bra șov
Facultatea de Inginerie Electric ă și Stiin ța Calculatoarelor
2007 – 2009 Diplom ă de Master în Re țele de Comunica ții Digitale
Universitatea Transilvania din Bra șov
Facultatea de Inginerie Electric ă și Stiin ța Calculatoarelor
2001-2005 Diplom ă de Licen ță în Informatic ă
Universitatea Transilvania din Bra șov
Facultatea de Matematic ă-Informatic ă
Experien ță profesional ă
2010 – prezent IBM Romania / IBM GBS Germania
J2EE Technical Lead / IT Specialist
2007 – 2010 Siemens PSE / Siemens Medical USA
J2EE Technical Lead
2005 – 2007 Siemens PSE (România, Austria)
J2EE Developer
Certific ări
IBM Certified System Administrator – WebSphere Appl ication Server Network
Deployment V7.0
Limbi cunoscute
Român ă: limb ă matern ă
Englez ă: avansat
German ă: avansat
Competen țe și aptitudini
Limbaje de programare: Java, C, C++, JavaScript
Sisteme de operare: Unix/Linux, Windows
Technologii: J2EE (EJB, JPA, JMS, JSP, JSF), XML, S OA
52 CCuurrrriiccuulluumm VViittaaee
Personal Data
Full Name: COSTACHE Cosmin
Place of Birth: Bra șov
Date of Birth: 26 may 1982
Nationality: Romanian
E-mail: cosmin.costache@unitbv.ro
Education
2012 – 2015 Doctoral Studies
Transilvania University of Bra șov
Faculty of Electrical Engineering and Computer S cience
2007 – 2009 Masters in Digital Communication Netw orks
Transilvania University of Bra șov
Faculty of Electrical Engineering and Computer Scie nce
2001-2005 Dipl.inf. in Computer Science
Transilvania University of Bra șov
Faculty of Matematics and Computer Science
Professional experience
2010 – present IBM Romania / IBM GBS Germany
J2EE Technical Lead / IT Specialist
2007 – 2010 Siemens PSE / Siemens Medical USA
J2EE Technical Lead
2005 – 2007 Siemens PSE (Romania, Austria)
J2EE Developer
Certificates
IBM Certified System Administrator – WebSphere Appl ication Server
Network Deployment V7.0
Languages
Romanian: mother tongue
English: fluent
German: fluent
Computer skills
Programming languages: Java, C, C++, JavaScript
Operating systems: Unix/Linux, Windows
Technologies: J2EE (EJB, JPA, JMS, JSP, JSF), XML, SOA
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Investe ște în oameni [619050] (ID: 619050)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.