Προσαρμοστική διαχείριση ασφάλειας βάσει πολιτικών

Abstract

The Machine-to-machine (M2M) communications provide specialized services to address the growing needs and large data volumes of distributed devices. These services play an important role in controlling M2M flows and data. Various communication protocols, network technologies and security mechanisms are expected to evolve rapidly in the coming years to meet the growing needs. At the same time, they are expected to offer higher value to M2M solutions that serve an increasingly heavy load on M2M communications, as well as more complex applications. The technology varies depending on the devices used, methodologies and architectures ranging from monolithic applications to Service Oriented Architecture (SOA) as well as emerging cloud computing services and microservices. Such microservices-based architectures for M2M communication expose dynamic authorizations and enhance the design of decentralized building blocks, easier application development, better identity management, and optimal resource utilization. Due to the large number of connected devices, the distributed and resource-constrained nature of devices, the criticality of M2M applications (e.g. patient monitoring and operation of critical infrastructure), changing environmental conditions and weaknesses in network stability, various security aspects and specificities arise that should be taken into account. In particular, appropriate security rules should be implemented to mitigate risks and threats, as well as to ensure the necessary levels of security during execution time. In this context, numerous access control and dynamic authorization systems have been proposed so far to effectively manage the security of M2M devices, M2M communication, and cloud services. Although strengthening network and data security is a primary concern for most solution providers, these efforts entail significant challenges in controlling access to sensitive information and keeping critical data secure. In addition, in the era of cloud computing, there is a growing interest in advanced and secure access control services that will improve security as well as requirements for interoperability. Therefore, the necessary resources, such as in cloud computing, that support the expanded functions and shared data should be protected and secured. This thesis presents a service-oriented architecture (henceforth ASPIDA) for security policy-driven M2M communication network, capable of addressing emerging challenges and taking into account specific design needs. Policy management capabilities will be able to improve the security of M2M services by enabling adaptive policy by enforcing appropriate security controls, while providing increased flexibility and higher service levels in M2M communications. The architecture enables dynamic levels of access to protected resources by integrating authentication and authorization modules with access control policies. Finally, the characteristics of the ASPIDA architecture are analyzed and the performance of the prototype based on it is presented in order to make comparative studies with other established solutions in order to evaluate its effectiveness.Comparing the ASPIDA architecture with the existing ETSI M2M communication architecture (ETSI TS 102 690), an additional domain is proposed and included. The ASPIDA architecture supports four domains and is service oriented. The first three domains, device, network, and application, are common to other established and recognized reference models. The new service domain removes some of the processes previously handled by the other domains, such as establishing a device's connection to the network and registering services from the network domain for secure access with awareness of the network's security policy, it reduces the computational load of the three aforementioned domains, and enforces the security required by some M2M applications. A policy-based framework for the service layer can monitor all aspects of security and report anomalous behavior (eg a device communicating with a different gateway). Compared to existing M2M communication architectures, this one focuses on providing additional security enforcement to services trafficked by interaction points in the network. In summary, the main features of the architecture are as follows: Ͽ Service-oriented architecture Ͽ Policy-based approach to security Ͽ Application of the appropriate security policy by the policy administrator Ͽ For the execution of the necessary actions, the various events are taken into account (event-management) This solution provides additional features to the ETSI M2M architecture. For example, regarding the adaptive nature of the network domain, adaptive routing based on traffic characteristics and Service-Level Agreements (SLAs) is supported through a system using event and action management. In addition, one of the latest trends in cloud software is microservices-based architecture, which is the key to developing modern application architectures and efficient solutions. These approaches require better orchestration of micro-services that will enable automated setup and management of multiple services as a single aggregated service. Additional components that serve and implement policy management (e.g. Policy-Enforcement Point, Policy Decision Point) are included in the architecture and integrated at various levels of micro-services. Feature-based decision management and enforcement policy enables rapid change delivery and increased technology flexibility. The significant advantages of the policy-based management approach increase as M2M communications evolve and resources become more complex. Resources are made more available and usable for interconnected components through interoperable services. The models are applied to cloud-based scenarios and cases where resource access is required. In summary, the main contributions of this thesis are the following: Ͽ The M2M model effectively manages dynamic authorizations and adapts to changing conditions, while ensuring secure communication and supporting secure data exchanges through the Application Programmable Interfaces (APIs) exposed by microservices. The model is applied to cloud-based scenarios that use token-based parts to access resources and enforce policies or business rules. Ͽ Relying on micro-services offers the diversity and independence of the highest technology between dynamic authorization, policy-based management and Service Oriented Computing (SOC). At the same time, it supports the creation and management of M2M policies to improve the security of data workflows and message exchanges, as many application-level interactions take place between devices. Ͽ A prototype is conducted to assess and evaluate the features of the proposed framework. An analysis and comparison of the proposed solution with other frameworks is developed and the different OAuth grant types supported are explained. It is worth noting that compared to other technical options, the evaluation shows that the prototype performs better in terms of the number of simultaneous connections, throughput and transfer rate. Ͽ Various scenarios are analyzed to reveal the capabilities of the proposed architecture, to develop enhancements, to address service challenges in M2M communications, and to address security aspects with dynamic access control mechanisms. Ͽ Finally, various challenges to addressing and supporting appropriate levels of access control emerge, as do policy management capabilities.Obviously, security and access control services are necessary to realize a successful architecture using the SOA standard. In the literature several research and industrial activities have dealt with identity management, authentication, role and authorization. In the literature, there is a strong research interest in the development of access control and authorization mechanisms. However, there is a need to augment dynamic authorizations with dynamic authorization analysis with independent micro-services. The ASPIDA architecture supports the ability to scale operations and meet different levels of demand or capabilities among a large population of heterogeneous smart objects, applications, and services. Performance increases due to higher technological diversity and independence between dynamic authorization, policy-based management, and service-oriented computing. The architecture also creates a comprehensive access control model to ensure a high level of assurance and avoid conflicts, inconsistencies or any well-defined policies (normative or systemic). In order to make better and more efficient use of network resources and performance, when resources exceed the allowable SLA limits, then appropriate policy rules should be triggered to resolve issues or improve connectivity behavior. For example, in case of congested connections, routing must choose other routes. The architecture shapes the management conditions to enforce the appropriate policies on the network. For example, using Internet protocol service level agreement (IP SLA) technology, SNMP notifications to the logging system of predefined thresholds can trigger the necessary configuration changes. According to them, it is possible to extract SLA statistics and confirm whether the SLA criteria are met or there is a violation and therefore specific actions need to be taken. Policy control management and service layer agreements are built into the architecture to provide monitoring and enforcement functions. In addition, implementing policy management functions involves configuring the network entities (ie, routers and switches) with appropriate configuration software. For example, node and link failures that exceed allocated bandwidth resources can trigger policy-defined configuration changes. Such issues can be identified and resolved proactively by setting event detectors to monitor specific types of conditions, thresholds, or periodically perform a set of actions. Quality of Service / QoS mechanisms can be used as traffic controllers in the ASPIDA architecture. QoS classes are used by the management system to enable the enforcement of appropriate QoS-aware techniques. To effectively achieve this enforcement, a mapping between quality of service techniques and SLA-driven events is configured in PBNM. A typical example of this architecture is an ICMP flood event monitored with SLA criteria. If the SLA criteria are violated and a policy check for this is configured in the management system, then adaptive configuration and configuration changes can be triggered. These changes are aimed at either addressing the situation or reallocating network resources. Finally, the changes can affect the routing path selection mechanism.The access control functions of the ASPIDA architecture are illustrated through a prototype (intelligent Bus of Campus / iBuC) to offer a modern transport service supporting multiple units of autonomous vehicles, supported by the existing wireless infrastructure and M2M services. The control unit then calculates both the estimated time of arrival of the autonomous vehicle and the passenger at the bus stop in order to select an eligible vehicle to operate a route for the passengers. The control unit collects various data sets about the state of vehicles and passengers using wireless sensor devices, geographical position system (GPS) and wireless communication (Wi-Fi) capabilities. Security aspects for communications are contrasted between the following two scenarios, where communication interactions and message flows exchanged between entities are thoroughly examined (a) registration / withdrawal of resources and (b) request service capture of the request In this thesis, the ASPIDA architecture supports a policy management and access control system. Identity authentication challenges supported by access policy recovery are reviewed, and runtime policy conditions that seek to enforce the corresponding effective policy decision are reviewed. In addition, the adoption of a micro-services-based architecture, so that each of the services can be independently developed and distributed into independent units, balancing, scaling, and publishing/subscribing services is discussed in depth. In ASPIDA, access requests can be served through discrete micro-services, which makes it easier to develop API services compared to complex development models (eg Java EE and Spring). On the side of the policy management subsystem, the decision point (PDP) receives information from the environment and the attributes held in the policy database to retrieve any updated policies in order to make a decision based on the retrieved information . Finally, the decision point responds and implements the relevant decision through the implementation point. In short, the ASPIDA architecture offers significantly increased performance and learning capabilities, while the policy management system achieves adaptive QoS routing through automated configuration. At the same time, the special features to avoid routing issues or low performance conditions of the network entities. Network resources can be utilized more efficiently through the specific process of adaptive routing. Performance is greatly improved, as traffic can be rerouted to other paths in case of congestion, while event detectors can trigger appropriate corrective actions (ie, traffic violation). If the allowable SLA limits are exceeded, then the application point (PDP) can enforce the necessary policy rules. The advantages of the ASPIDA architecture are the support of policy-based capabilities. It offers automated maintenance of policy sets, improved efficiency, simplified management and support of various environment types (ie Enterprise, Service Provider). The ASPIDA system is extensible to support further complex resource management extensions (e.g. optimal resource allocation, resource utilization, SOA performance, dynamic workload migration), authorization capabilities (e.g. authorization scripts), policy and context management plugins in a SOA environment. ASPIDA addresses several challenges in supporting appropriate levels of access control with policy management capabilities. At its core, the ASPIDA architecture achieves better adaptive security management by using PDP, PIP, PAP along with enforcing appropriate security controls. Policy-based authorizations supported by event detectors can mitigate security breaches and apply appropriate access control configuration if identity is verified and authorization is valid.Performance of execution event policies depends on hardware characteristics. In the case of events and microservices, performance depends on the platform, the load level, and the total amount of available memory. As there may be hardware limitations on the number of concurrent policy scripts, some event actions may be lost in the event of system overcrowding. New events may be withdrawn as policies have yield pools of fixed size. Therefore, an event scheduler is required to delegate and execute decisions, select events, improve resilience, and monitor events. In terms of scalability, the event scheduler allows triggering or suspending scripts and corresponding policies based on network conditions and dynamic SLA criteria. As cloud-based applications are expected to grow further, the event scheduler can manage multi-domain policies and deal with capacity, complexity, and performance issues that may arise. Policy-based authorization applications require complex interactions to enable policy-based management. In addition to the complexity of authorization policies, policy runtime characteristics, policy validation mechanisms, and policy enforcement affect highly heterogeneous M2M services with complex requirements (e.g., unattended devices, network bandwidth, application needs for zero delay, minimal packet loss and low transmission error rate applications). When it comes to microservices, computing power, composition, disaggregation capabilities, endpoint integration, decentralized data management, and infrastructure components affect system performance. In comparison, the prototype based on ASPIDA architecture supports higher processes compared to other compared solutions, although the system performance depends on several factors. The performance of native clustering tools and detailed orchestration, the challenges of distributed systems, service failure tolerance, and service boundaries can severely impact design and operations, such as the effectiveness of real-time monitoring and anomaly detection .Beyond any doubt, greater attention is required to ensure appropriate controls and security levels in various personal, intergovernmental, service, commercial and industrial sectors for M2M communications. Due to growing concerns regarding access management techniques and numerous access controls proposed in recent years, as well as emerging cloud solutions, there is increasing interest in advanced and secure access control services for access to protected resources based on policy decisions. However, the security policy management approach has several challenges, such as policy evolution issues, secure interoperability, semantic differentiation, and effective event tracking mechanisms. The thesis, prepared, consists of seven chapters organized as follows: Ͽ Chapter 1 describes the way and the contribution of the thesis in the context of managing the policies and objectives of the specific research. More specifically, this section explains the importance of secure M2M connections but also the specifics that should be considered Ͽ Chapter 2 provides a detailed overview of technologies, such as protocols and networks used in M2M communications, management frameworks and security issues Ͽ Chapter 3 analyzes the specific technologies presented in the previous chapter and analyzes the related challenges emerging from the related work. It also surveys the methods that have been included in the ASPIDA architecture and analyzes why they are the most appropriate. It describes the research activities such as adaptive network management routing, QoS routing and traffic provisioning, event-based management and unified access control along with access policy mechanism Ͽ Chapter 4 describes the ASPIDA architecture derived from the basic entities presented in the previous chapters. This section describes the features of the ASPIDA architecture combined with the analysis of scenarios about the flows of messages exchanged between the entities of the architecture Ͽ Chapter 5 presents the access control management requirements, M2M authorizations, and the prototype developed to analyze the performance of the ASPIDA architecture. This chapter discusses the security and control features of the ASPIDA architecture. More specifically, topics related to identification, authentication, access authorization control layers, and rule validation mechanisms are presented, along with the integration of the corresponding modules with the proposed architectureϿ Chapter 6 presents the measurement evaluation control framework with related results. Data collection methods are explained followed by data, while performance metrics are compared to other similar methodological frameworks. In more detail, this chapter examines the following: o The evaluation framework and methods for the policy-based management approach in which network and service domain behavior is controlled under policies, SLAs, QoS, security, authentication and authorization o Description of the design of experiments to carry out the necessary tests o Description of the distribution, analysis and justification of observations. In addition, a description of the data analysis and testing is included Ͽ Chapter 7 discusses the conclusions, findings and future improvements. The PhD thesis is concluded with the specific chapter in which the general conclusions of the thesis, the objectives covered by the overall research, the implications of the research as well as the critical factors affecting the performance of the architecture and the system are mentioned. The ex post facto analysis of ASPIDA compared to other research activities is presented, describing the descriptive, exploratory and confirmatory analyzes conducted in the previous chapters and the summary of the results to illustrate the numerical information. Finally, suggestions for future extensions of the present research are listed. Based on all of the above, this thesis deals with the following:Ͽ Meets the adaptive nature of the network domain to support selective routing based on requirements and Service Level Agreements (SLAs) by developing a management system with Quality of Services (QoS) based the custom routing policy Ͽ Addresses the need for adaptive architecture policies to facilitate serviceability with the various access control means. In particular, the integration of the authentication and authorization modules with the access control policies used by the application delivery and service management platform is included Ͽ It achieves the execution of the relevant commands based on events (event based management) which are activated under specific conditions (for example exceeding acceptable limits of SLAs), allowing the appropriate handling of events and improving the capacity and adaptability of the ASPIDA architecture. For example, eventual failures/failures of nodes and links, or excesses of allocated bandwidth resources (such as congestion cases), can trigger the necessary policy-defined configuration changes. Such issues can be identified and resolved proactively by configuring event detectors to monitor specific types of conditions, thresholds, or periodically perform a set of actions Ͽ Realizes a system with higher yields compared to other solutions and methodological frameworks with modern implementation methods, such as micro-services, which offer increased advantages in the development, scalability and sustainability of the methodology Ͽ It achieves the enhancement of SOA methods for access control, identification and authentication services to protect and improve the utilization of data in a resource constrained environment (M2M resource constrained environment).

Οι επικοινωνίες μηχανής με μηχανή (M2M) παρέχουν εξειδικευμένες υπηρεσίες για την αντιμετώπιση των αυξανόμενων αναγκών και του μεγάλου όγκου δεδομένων των κατανεμημένων συσκευών. Οι υπηρεσίες αυτές διαδραματίζουν σημαντικό ρόλο στον έλεγχο των ροών και των δεδομένων M2M. Τα διάφορα πρωτόκολλα επικοινωνίας, οι τεχνολογίες δικτύων και οι μηχανισμοί ασφαλείας αναμένεται να εξελιχθούν ταχύτατα τα επόμενα χρόνια προκειμένου να ικανοποιήσουν τις αυξανόμενες ανάγκες. Παράλληλα, αναμένεται να προσφέρουν υψηλότερη αξία στις λύσεις M2M που εξυπηρετούν ολοένα μεγαλύτερη φορτίο στις επικοινωνίες M2M, όπως και πιο σύνθετες εφαρμογές. Η τεχνολογία ποικίλλει ανάλογα με τις συσκευές που χρησιμοποιούνται, τις μεθοδολογίες και τις αρχιτεκτονικές που κυμαίνονται από μονολιθικές εφαρμογές έως αρχιτεκτονικές προσανατολισμού υπηρεσιών (Service Oriented Architecture/SOA) καθώς και αναδυόμενες υπηρεσίες υπολογιστικού νέφους και μικρο-υπηρεσίες (microservices). Τέτοιου είδους αρχιτεκτονικές βασισμένες σε μικρο-υπηρεσίες για την επικοινωνία M2M αποκαλύπτουν τις δυναμικές εξουσιοδοτήσεις και ενισχύουν τον σχεδιασμό των αποκεντρωμένων δομικών στοιχείων, την ευκολότερη ανάπτυξη εφαρμογών, την καλύτερη διαχείριση των ταυτοτήτων και τη βέλτιστη χρήση των πόρων.Λόγω του μεγάλου αριθμού των συνδεδεμένων συσκευών, της κατανεμημένης και περιορισμένης από τους πόρους φύσης των συσκευών, της κρισιμότητας των εφαρμογών M2M (π.χ. παρακολούθηση ασθενών και λειτουργία κρίσιμων υποδομών), τις μεταβαλλόμενες συνθήκες του περιβάλλοντος και τις αδυναμίες στη σταθερότητα του δικτύου, προκύπτουν διάφορες πτυχές ασφάλειας και ιδιαιτερότητες που θα πρέπει να ληφθούν υπόψη. Συγκεκριμένα, θα πρέπει να εφαρμοστούν οι κατάλληλοι κανόνες ασφάλειας για τον μετριασμό των κινδύνων και των απειλών, όπως και να εξασφαλιστούν τα απαραίτητα επίπεδα ασφάλειας κατά την διάρκεια του χρόνου εκτέλεσης. Στο πλαίσιο αυτό, έχουν προταθεί μέχρι στιγμής πολυάριθμα συστήματα ελέγχου πρόσβασης και δυναμικές εξουσιοδοτήσεις για την αποτελεσματική διαχείριση της ασφάλειας των συσκευών M2M, της επικοινωνίας M2M και των υπηρεσιών στο σύννεφο. Παρόλο που η ενίσχυση της ασφάλειας των δικτύων και των δεδομένων αποτελεί πρωταρχικό μέλημα για τους περισσότερους παρόχους λύσεων, οι προσπάθειες αυτές συνεπάγονται σημαντικές προκλήσεις για τον έλεγχο της πρόσβασης σε ευαίσθητες πληροφορίες και τη διατήρηση ασφαλών κρίσιμων δεδομένων. Επιπλέον, στην εποχή της υπολογιστικής νέφους, υπάρχει ένα αυξανόμενο ενδιαφέρον για προηγμένες και ασφαλείς υπηρεσίες ελέγχου πρόσβασης που θα βελτιώσουν την ασφάλεια, όπως και τις απαιτήσεις για διαλειτουργικότητα. Ως εκ τούτου, θα πρέπει να προστατευθούν και να διασφαλιστούν οι απαραίτητοι πόροι, όπως στο υπολογιστικό σύννεφο, που υποστηρίζουν τις διευρυμένες λειτουργίες και τα κοινόχρηστα δεδομένα.Η συγκεκριμένη διατριβή παρουσιάζει μια αρχιτεκτονική (εφεξής ASPIDA) προσανατολισμένη στην υπηρεσία για το δίκτυο επικοινωνίας Μ2Μ με γνώμονα τις πολιτικές ασφαλείας, ικανή να αντιμετωπίσει τις αναδυόμενες προκλήσεις και λαμβάνοντας υπόψη τις ειδικές σχεδιαστικές ανάγκες. Οι δυνατότητες διαχείρισης με πολιτικές θα δύνανται να βελτιώσουν την ασφάλεια των υπηρεσιών M2M, επιτρέποντας μια προσαρμοστική πολιτική με την επιβολή των κατάλληλων ελέγχων ασφάλειας, ενώ παράλληλα θα προσφέρει αυξημένη ευελιξία και υψηλότερα επίπεδα υπηρεσιών στον τομέα των επικοινωνιών M2M. Η αρχιτεκτονική επιτρέπει δυναμικά επίπεδα πρόσβασης σε προστατευμένους πόρους με την ενοποίηση των ενοτήτων ελέγχου ταυτότητας και τις εξουσιοδοτήσεις με τις πολιτικές ελέγχου πρόσβασης. Τέλος, αναλύονται τα χαρακτηριστικά της αρχιτεκτονικής ASPIDA και παρουσιάζεται η απόδοση του πρωτοτύπου βασισμένου σε αυτή προκειμένου να γίνουν συγκριτικές μελέτες με άλλες καθιερωμένες λύσεις, προκειμένου να αξιολογηθεί η αποτελεσματικότητα αυτής.Συγκρίνοντας την αρχιτεκτονική ASPIDA με την υπάρχουσα λειτουργική αρχιτεκτονική επικοινωνίας ETSI M2M (ETSI TS 102 690), προτείνεται και περιλαμβάνεται ένας πρόσθετος τομέας. Η αρχιτεκτονική ASPIDA υποστηρίζει τέσσερις τομείς και είναι προσανατολισμένη στις υπηρεσίες. Οι τρεις πρώτοι τομείς, η συσκευή, το δίκτυο και η εφαρμογή, είναι κοινοί σε άλλα καθιερωμένα και αναγνωρισμένα μοντέλα αναφοράς. Ο νέος τομέας υπηρεσίας (service domain) καταργεί κάποιες από τις διαδικασίες που χειρίζονταν προηγουμένως οι άλλοι τομείς, όπως η καθιέρωση της σύνδεσης μιας συσκευής στο δίκτυο και η καταχώριση υπηρεσιών από τον τομέα δικτύου για ασφαλή πρόσβαση με επίγνωση της πολιτικής ασφαλείας που επιβάλλει το δίκτυο, μειώνει το υπολογιστικό φορτίο των τριών προαναφερθέντων τομέων, και επιβάλλει την ασφάλεια που απαιτείται από ορισμένες εφαρμογές M2M. Ένα πλαίσιο βασισμένο στην πολιτική για το στρώμα υπηρεσιών μπορεί να εποπτεύει όλες τις πτυχές ασφάλειας και να αναφέρει παράτυπες συμπεριφορές (π.χ. μια συσκευή που επικοινωνεί με διαφορετική πύλη). Σε σύγκριση με τις υπάρχουσες αρχιτεκτονικές επικοινωνίας M2M, η συγκεκριμένη επικεντρώνεται στην παροχή πρόσθετης επιβολής ασφαλείας στις υπηρεσίες που διακινούνται από τα σημεία αλληλεπίδρασης στο δίκτυο. Συγκεντρωτικά, τα κύρια χαρακτηριστικά της αρχιτεκτονικής είναι τα εξής: Ͽ Υπηρεσιοστρεφής αρχιτεκτονικήϿ Προσέγγιση βασισμένη σε πολιτικές ασφαλείαςϿ Εφαρμογή της κατάλληλης πολιτικής ασφάλειας από τον διαχειριστή πολιτικήςϿ Για την εκτέλεση των απαραίτητων ενεργειών λαμβάνονται υπόψη τα διάφορα γεγονότα (event-management)Η συγκεκριμένη λύση παρέχει πρόσθετα χαρακτηριστικά στην αρχιτεκτονική ETSI M2M. Για παράδειγμα, όσον αφορά την προσαρμοστική φύση του τομέα του δικτύου, υποστηρίζεται η προσαρμοστική δρομολόγηση με γνώμονα τα χαρακτηριστικά κίνησης και τις συμφωνίες σε επίπεδο υπηρεσιών (Service-Level Agreements/SLA) μέσω ενός συστήματος που χρησιμοποιεί διαχείριση γεγονότων και ενεργειών. Επιπλέον, μία από τις πιο πρόσφατες τάσεις στο λογισμικό σύννεφου είναι η αρχιτεκτονική βασισμένη σε μικρο-υπηρεσίες, η οποία αποτελεί το κλειδί για την ανάπτυξη σύγχρονων αρχιτεκτονικών εφαρμογών και αποδοτικών λύσεων. Οι συγκεκριμένες προσεγγίσεις απαιτούν την καλύτερη ενορχήστρωση των μικρο-υπηρεσιών που θα επιτρέψει την αυτοματοποιημένη ρύθμιση και διαχείριση των πολλαπλών υπηρεσιών ως μία ενιαία υπηρεσία αθροιστικών υπηρεσιών. Επιπλέον συστατικά που εξυπηρετούν και εφαρμόζουν την πολιτική διαχείρισης (π.χ. σημείο επιβολής πολιτικής / Policy-Enforcement Point, σημείο απόφασης πολιτικής / Policy Decision Point) περιλαμβάνονται στην αρχιτεκτονική και ενσωματώνονται σε διάφορα επίπεδα των μικρο-υπηρεσιών. Η πολιτική διαχείρισης αποφάσεων και επιβολής βάσει χαρακτηριστικών επιτρέπει την ταχεία παράδοση αλλαγών και την αυξημένη ευελιξία της τεχνολογίας. Τα σημαντικά πλεονεκτήματα της προσέγγισης διαχείρισης με πολιτικές αυξάνονται, καθώς οι επικοινωνίες M2M εξελίσσονται και οι πόροι γίνονται περισσότερο περίπλοκοι. Οι πόροι αποδεικνύονται περισσότερο διαθέσιμοι και αξιοποιήσιμοι για τα διασυνδεδεμένα στοιχεία μέσω διαλειτουργικών υπηρεσιών. Τα μοντέλα εφαρμόζονται σε σενάρια που βασίζονται στο σύννεφο και περιπτώσεις που απαιτείται πρόσβαση στους πόρους.Συγκεντρωτικά, οι κύριες συμβολές της παρούσης διατριβής είναι οι ακόλουθες:Ͽ Το μοντέλο M2M διαχειρίζεται αποτελεσματικά τις δυναμικές εξουσιοδοτήσεις και προσαρμόζεται στις μεταβαλλόμενες συνθήκες, εξασφαλίζοντας ταυτόχρονα την ασφαλή επικοινωνία και υποστηρίζοντας ασφαλείς ανταλλαγές δεδομένων μέσω των προγραμματιζόμενων διασυνδέσεων εφαρμογών (Application Programmable Interface / API) που εκθέτουν οι μικρο-υπηρεσίες. Το μοντέλο εφαρμόζεται σε σενάρια που βασίζονται σε σύννεφο και χρησιμοποιούν ανταλλακτικές με βάση το διακριτικό σήμα για να αποκτήσουν πρόσβαση στους πόρους και να επιβάλουν πολιτικές ή επιχειρηματικούς κανόνες.Ͽ Στηριζόμενοι σε μικρο-υπηρεσίες προσφέρεται η ποικιλομορφία και η ανεξαρτησία της υψηλότερης τεχνολογίας μεταξύ της δυναμικής εξουσιοδότησης, της διαχείρισης με βάση την πολιτική και των υπολογιστικών προσανατολισμένων σε υπηρεσίες (Service Oriented Computing / SOC). Ταυτόχρονα, υποστηρίζεται η δημιουργία και η διαχείριση των πολιτικών M2M για τη βελτίωση της ασφάλειας των ροών εργασίας των δεδομένων και των ανταλλαγών μηνυμάτων, καθώς πραγματοποιούνται πολλές αλληλεπιδράσεις επιπέδου εφαρμογής μεταξύ των συσκευών.Ͽ Διεξάγεται ένα πρωτότυπο για την εκτίμηση και αξιολόγηση των χαρακτηριστικών του προτεινόμενου πλαισίου. Αναπτύσσεται μια ανάλυση και σύγκριση της προτεινόμενης λύσης με άλλα πλαίσια και επεξηγούνται οι διαφορετικοί τύποι εγκρίσεων (OAuth grant types) που υποστηρίζονται. Αξίζει να σημειωθεί ότι σε σύγκριση με άλλες τεχνικές επιλογές, η αξιολόγηση καταδεικνύει ότι το πρωτότυπο έχει καλύτερες επιδόσεις όσον αφορά τον αριθμό των ταυτόχρονων συνδέσεων, τη διακίνηση και το ποσοστό μεταφοράς. Ͽ Αναλύονται διάφορα σενάρια για την αποκάλυψη των δυνατοτήτων της προτεινόμενης αρχιτεκτονικής, για την ανάπτυξη των βελτιώσεων, για την αντιμετώπιση των προκλήσεων της υπηρεσίας στις επικοινωνίες M2M και για την αντιμετώπιση των πτυχών ασφάλειας με τους δυναμικούς μηχανισμούς ελέγχου πρόσβασης.Ͽ Τέλος, αναδεικνύονται διάφορες προκλήσεις για την αντιμετώπιση και την υποστήριξη των κατάλληλων επιπέδων ελέγχου πρόσβασης, όπως και θέματα που αφορούν τις δυνατότητες διαχείρισης των πολιτικών.Προφανώς, οι υπηρεσίες ασφάλειας και ελέγχου πρόσβασης είναι απαραίτητες για την πραγματοποίηση μιας επιτυχημένης αρχιτεκτονικής χρησιμοποιώντας το πρότυπο SOA. Στη βιβλιογραφία αρκετές ερευνητικές και βιομηχανικές δραστηριότητες ασχολήθηκαν με τη διαχείριση ταυτότητας, τον έλεγχο ταυτότητας, τον ρόλο και την εξουσιοδότηση. Στη βιβλιογραφία, σημειώνεται έντονο ερευνητικό ενδιαφέρον για την ανάπτυξη μηχανισμών ελέγχου πρόσβασης και εξουσιοδοτήσεων. Ωστόσο, υπάρχει ανάγκη ενίσχυσης των δυναμικών εξουσιοδοτήσεων με δυναμική ανάλυση εξουσιοδότησης με ανεξάρτητες μικρο-υπηρεσίες. Η αρχιτεκτονική ASPIDA υποστηρίζει την ικανότητα κλιμάκωσης των λειτουργιών και κάλυψης διαφορετικών επιπέδων ζήτησης ή ικανοτήτων μεταξύ ενός μεγάλου πληθυσμού ετερογενών έξυπνων αντικειμένων, εφαρμογών, και υπηρεσιών. Η απόδοση αυξάνεται λόγω της υψηλότερης τεχνολογικής πολυμορφίας και της ανεξαρτησίας μεταξύ της δυναμικής εξουσιοδότησης, της διαχείρισης βάσει πολιτικής και των υπολογιστικών προσανατολισμένων σε υπηρεσίες. Η αρχιτεκτονική δημιουργεί επίσης ένα ολοκληρωμένο μοντέλο ελέγχου πρόσβασης για να εξασφαλίσει υψηλό επίπεδο βεβαιότητας και να αποφύγει συγκρούσεις, ασυνέπειες ή τυχόν σαφώς καθορισμένες πολιτικές (κανονιστικές ή συστημικές). Προκειμένου να αξιοποιηθεί καλύτερα και αποτελεσματικότερα η χρήση των πόρων του δικτύου και της απόδοσης, όταν οι πόροι υπερβαίνουν τα επιτρεπτά όρια SLA, τότε οι κατάλληλοι κανόνες πολιτικής πρέπει να ενεργοποιηθούν για την επίλυση προβλημάτων ή βελτίωση της συμπεριφοράς συνδεσιμότητας. Για παράδειγμα, σε περίπτωση συμφόρησης των συνδέσεων, η δρομολόγηση πρέπει να επιλέξει άλλες διαδρομές. Η αρχιτεκτονική διαμορφώνει τις συνθήκες διαχείρισης για την επιβολή των κατάλληλων πολιτικών στο δίκτυο. Ενδεικτικά, με τη χρήση της τεχνολογίας της συμφωνίας παροχής υπηρεσιών του πρωτοκόλλου Internet (Internet protocol service level agreement / IP SLA), οι ειδοποιήσεις SNMP στο σύστημα καταγραφής των προκαθορισμένων ορίων μπορούν να ενεργοποιήσουν τις απαραίτητες αλλαγές διαμόρφωσης. Σύμφωνα με αυτά, είναι δυνατόν να εξαχθούν στατιστικά στοιχεία SLA και να επιβεβαιωθεί αν πληρούνται τα κριτήρια SLA ή υπάρχει παραβίαση και επομένως πρέπει να ληφθούν συγκεκριμένες ενέργειες. Η διαχείριση του ελέγχου πολιτικής και οι συμφωνίες του επίπεδου υπηρεσιών ενσωματώνονται στην αρχιτεκτονική για να παρέχουν λειτουργίες παρακολούθησης και εφαρμογής των κατάλληλων μέτρων. Επιπρόσθετα, η εφαρμογή των λειτουργιών διαχείρισης πολιτικών περιλαμβάνει τη σχετική διαμόρφωση στις οντότητες δικτύου (δηλαδή στους δρομολογητές και τους μεταγωγείς) με το κατάλληλο λογισμικό διαμόρφωσης. Ενδεικτικά, οι αποτυχίες των κόμβων και των συνδέσμων που υπερβαίνουν τους πόρους που έχουν διατεθεί στο εύρος ζώνης μπορούν να ενεργοποιήσουν τις αλλαγές διαμόρφωσης που καθορίζονται από την πολιτική. Τέτοια ζητήματα μπορεί να προσδιοριστούν και να επιλυθούν προληπτικά, θέτοντας τους ανιχνευτές συμβάντων για να παρακολουθήσουν συγκεκριμένους τύπους καταστάσεων, επιτρεπτών ορίων, ή να εκτελούν περιοδικά ένα σύνολο ενεργειών.Οι μηχανισμοί ποιότητας υπηρεσίας (Quality of Service / QoS) δύναται να χρησιμοποιηθούν ως ρυθμιστές κυκλοφορίας στην αρχιτεκτονική ASPIDA. Οι κλάσεις ποιότητας υπηρεσίας χρησιμοποιούνται από το σύστημα διαχείρισης που επιτρέπει την επιβολή των κατάλληλων τεχνικών που γνωρίζουν την ποιότητα υπηρεσίας. Για να επιτύχει αποτελεσματικά αυτή την επιβολή, διαμορφώνεται στο PBNM μια χαρτογράφηση μεταξύ τεχνικών ποιότητας υπηρεσίας και συμβάντων που οδηγούνται από SLA. Ένα τυπικό παράδειγμα αυτής της αρχιτεκτονικής είναι ένα γεγονός πλημμύρας ICMP που παρακολουθείται με κριτήρια SLA. Εάν τα κριτήρια SLA παραβιαστούν και ένας έλεγχος πολιτικής για αυτό έχει ρυθμιστεί στο σύστημα διαχείρισης, τότε μπορούν να ενεργοποιηθούν προσαρμοστικές αλλαγές διαμόρφωσης και παραμετροποίησης. Αυτές οι αλλαγές στοχεύουν είτε για την αντιμετώπιση της κατάστασης είτε για την ανακατανομή των πόρων του δικτύου. Τελικά, οι αλλαγές μπορούν να επηρεάσουν τον μηχανισμό επιλογής της διαδρομής δρομολόγησης.Οι λειτουργίες ελέγχου πρόσβασης της αρχιτεκτονικής ASPIDA απεικονίζονται μέσω ενός πρωτότυπου (intelligent Bus of Campus / iBuC) για να προσφέρουν μια σύγχρονη υπηρεσία μεταφοράς που υποστηρίζει πολλαπλές μονάδες αυτόνομων οχημάτων, υποστηριζόμενη από τις υπάρχουσες ασύρματη υποδομή και υπηρεσίες M2M. Στη συνέχεια, η μονάδα ελέγχου υπολογίζει τόσο την εκτιμώμενη ώρα άφιξης του αυτόνομου οχήματος όσο και του επιβάτη στη στάση του λεωφορείου προκειμένου να επιλέγει ένα επιλέξιμο όχημα για τη λειτουργία ενός δρομολογίου για τους επιβάτες. Η μονάδα ελέγχου συλλέγει διάφορα σύνολα δεδομένων σχετικά με την κατάσταση των οχημάτων και των επιβατών χρησιμοποιώντας ασύρματες συσκευές αισθητήρων, δυνατότητες επικοινωνίας μέσω του συστήματος γεωγραφικής θέσης (Geographical position system / GPS) και ασύρματης επικοινωνίας (Wi-Fi). Οι πτυχές ασφάλειας για τις επικοινωνίες αντιπαραβάλλονται μεταξύ των ακόλουθων δύο σεναρίων, όπου εξετάζονται διεξοδικά οι αλληλεπιδράσεις επικοινωνίας και οι ροές των μηνυμάτων που ανταλλάσσονται μεταξύ των οντοτήτων(α) εγγραφής / απόσυρσης των πόρων και (β) αιτήματος υπηρεσίας σύλληψης του αιτήματοςΣτην παρούσα διατριβή, η αρχιτεκτονική ASPIDA υποστηρίζει ένα σύστημα πολιτικών διαχείρισης και ελέγχου πρόσβασης. Εξετάζονται οι προκλήσεις αυθεντικοποίησης ταυτότητας υποστηριζόμενες με την ανάκτηση πολιτικών πρόσβασης και επανεξετάζονται οι συνθήκες πολιτικής κατά την εκτέλεση που επιδιώκουν την επιβολή της αντίστοιχης αποτελεσματικής πολιτικής απόφασης. Επιπλέον, εξετάζεται σε βάθος η υιοθέτηση μιας αρχιτεκτονικής βασισμένη σε μικρο-υπηρεσίες, έτσι ώστε κάθε μία από τις υπηρεσίες να μπορεί να αναπτυχθεί ανεξάρτητα και να κατανεμηθεί σε ανεξάρτητες μονάδες, η εξισορρόπηση, η κλιμάκωση και η δημοσίευση / εγγραφή υπηρεσιών. Στην ASPIDA, τα αιτήματα πρόσβασης μπορεί να εξυπηρετηθούν μέσω διακριτών μικρο-υπηρεσιών, οι οποίοι να διευκολύνουν την ανάπτυξη υπηρεσιών API σε σύγκριση με σύνθετα μοντέλα ανάπτυξης (π.χ. Java EE και Spring). Από την πλευρά του υποσυστήματος διαχείρισης των πολιτικών, το σημείο αποφάσεων (PDP) λαμβάνει πληροφορίες από το περιβάλλον και τα χαρακτηριστικά (attributes) που κρατούνται στη βάση που διατηρούνται οι πολιτικές για να ανακτήσει τυχόν ενημερωμένες πολιτικές, προκειμένου να αποφασίσει με βάση τις πληροφορίες που ανακτήθηκαν. Τέλος, το σημείο αποφάσεων αποκρίνεται και εφαρμόζει την σχετική απόφαση μέσω του σημείου εφαρμογής.Με λίγα λόγια, η αρχιτεκτονική ASPIDA προσφέρει σημαντικά αυξημένες δυνατότητες απόδοσης και εκμάθησης, ενώ το σύστημα διαχείρισης πολιτικών επιτυγχάνει προσαρμοστική δρομολόγηση QoS μέσω αυτοματοποιημένης διαμόρφωσης. Ταυτόχρονα, τα ιδιαίτερα χαρακτηριστικά για την αποφυγή ζητημάτων δρομολόγησης ή συνθηκών χαμηλής απόδοσης των οντοτήτων του δικτύου. Οι πόροι δικτύου μπορεί να αξιοποιηθούν αποτελεσματικότερα μέσω της συγκεκριμένης διαδικασίας προσαρμοστικής διαδρομής δρομολόγησης. Η απόδοση βελτιώνεται σημαντικά, καθώς η κυκλοφορία μπορεί να επαναπροσανατολιστεί σε άλλες διαδρομές σε περίπτωση συμφόρησης, ενώ οι ανιχνευτές συμβάντων μπορούν να ενεργοποιήσουν τις κατάλληλες διορθωτικές ενέργειες (δηλαδή παραβίαση της κυκλοφορίας). Εάν τα επιτρεπτά όρια SLA ξεπεραστούν, τότε το σημείου εφαρμογής (PDP) μπορεί να επιβάλει τους απαραίτητους κανόνες πολιτικής.Τα πλεονεκτήματα της αρχιτεκτονικής ASPIDA είναι η υποστήριξη των δυνατοτήτων βάσει πολιτικών. Προσφέρει αυτοματοποιημένη συντήρηση των συνόλων πολιτικής, βελτιωμένη αποτελεσματικότητα, απλοποιημένη διαχείριση και υποστήριξη διαφόρων τύπων περιβάλλοντος (δηλ. Επιχείρηση, Πάροχος υπηρεσιών). Το σύστημα ASPIDA είναι επεκτάσιμο για να υποστηρίζει περαιτέρω πολύπλοκες επεκτάσεις διαχείρισης πόρων (π.χ. βέλτιστη κατανομή πόρων, χρήση πόρων, απόδοση SOA, δυναμική μετεγκατάσταση φόρτου εργασίας), δυνατότητες εξουσιοδότησης (π.χ. σενάρια εξουσιοδότησης), προσθήκες διαχείρισης πολιτικής και περιβάλλοντος σε περιβάλλον SOA. Στην ASPIDA εξετάζονται διάφορες προκλήσεις για την υποστήριξη των κατάλληλων επιπέδων ελέγχου πρόσβασης με τις δυνατότητες διαχείρισης πολιτικής. Στον πυρήνα της, η αρχιτεκτονική ASPIDA επιτυγχάνει καλύτερη προσαρμοστική διαχείριση ασφάλειας με τη χρήση των PDP, PIP, PAP μαζί με την επιβολή των κατάλληλων ελέγχων ασφαλείας. Οι εξουσιοδοτήσεις που βασίζονται στην πολιτική που υποστηρίζονται από τους ανιχνευτές συμβάντων μπορούν να μετριάσουν τις παραβιάσεις της ασφάλειας και να εφαρμόσουν την κατάλληλη διαμόρφωση ελέγχου πρόσβασης, εάν η ταυτότητα επαληθευτεί και η εξουσιοδότηση είναι έγκυρη.Η απόδοση των πολιτικών συμβάντων εκτέλεσης εξαρτάται από τα χαρακτηριστικά του υλικού. Στην περίπτωση των συμβάντων και των μικρο-υπηρεσιών, η απόδοση εξαρτάται από την πλατφόρμα, το επίπεδο φόρτωσης και το συνολικό ποσό της διαθέσιμης μνήμης. Καθώς μπορεί να υπάρξουν περιορισμοί υλικού στον ταυτόχρονο αριθμό σεναρίων πολιτικής, ορισμένες ενέργειες συμβάντων πιθανόν να χαθούν σε περίπτωση υπερκάλυψης του συστήματος. Νέα συμβάντα μπορεί να αποσυρθούν, καθώς οι πολιτικές έχουν ομάδες αποδόσεων καθορισμένου μεγέθους. Επομένως, απαιτείται ένας χρονοπρογραμματιστής γεγονότων για την εκχώρηση και την εκτέλεση αποφάσεων, επιλογής συμβάντων, βελτίωσης της ελαστικότητας, και παρακολούθησης των συμβάντων. Όσον αφορά την επεκτασιμότητα, ο χρονοπρογραμματιστής συμβάντων επιτρέπει την ενεργοποίηση ή την αναστολή των σεναρίων και των αντίστοιχων πολιτικών βάσει των συνθηκών του δικτύου και των δυναμικών κριτηρίων SLA. Καθώς οι εφαρμογές που βασίζονται σε νέφος αναμένεται να αυξηθούν περαιτέρω, ο προγραμματιστής συμβάντων μπορεί να διαχειριστεί πολιτικές πολλών τομέων και να ασχοληθεί με την ικανότητα, την πολυπλοκότητα και τα προβλήματα απόδοσης που μπορεί να προκύψουν. Οι εφαρμογές εξουσιοδότησης που βασίζονται στην πολιτική απαιτούν πολύπλοκες αλληλεπιδράσεις για να επιτρέπουν την διαχείριση βάσει πολιτικών. Εκτός από την πολυπλοκότητα των πολιτικών εξουσιοδότησης, τα χαρακτηριστικά του χρόνου εκτέλεσης της πολιτικής, οι μηχανισμοί επικύρωσης πολιτικής και η εκτέλεση πολιτικής επηρεάζουν τις υψηλές ετερογενείς υπηρεσίες M2M με πολύπλοκες απαιτήσεις (π.χ. μη επιτηρούμενες συσκευές, δίκτυο εύρους ζώνης, ανάγκες εφαρμογής για μηδενική καθυστέρηση, ελάχιστες απώλειες πακέτων και εφαρμογές χαμηλού ποσοστού σφάλματος μεταφοράς). Όσον αφορά τις μικρο-υπηρεσίες, η υπολογιστική ισχύς, η σύνθεση, οι δυνατότητες διαχωρισμού, η ενσωμάτωση τελικών σημείων, η αποκεντρωμένη διαχείριση δεδομένων και τα στοιχεία της υποδομής επηρεάζουν την απόδοση του συστήματος. Συγκριτικά, το πρωτότυπο βασισμένο στην αρχιτεκτονική ASPIDA υποστηρίζει υψηλότερες διεργασίες συγκριτικά με άλλες λύσεις που αντιπαραβάλλονται, παρόλο που η απόδοση του συστήματος εξαρτάται από διάφορους παράγοντες. Η απόδοση των εγγενών εργαλείων ομαδοποίησης και η λεπτομερής ενορχήστρωση, οι προκλήσεις των κατανεμημένων συστημάτων, η ανοχή για την αποτυχία των υπηρεσιών και τα όρια των υπηρεσιών μπορούν να επηρεάσουν σοβαρά το σχεδιασμό και τις λειτουργίες, όπως η αποτελεσματικότητα της παρακολούθησης σε πραγματικό χρόνο και ανίχνευση ανωμαλιών. Πέραν κάθε αμφιβολίας, απαιτείται να δοθεί μεγαλύτερη προσοχή στην εξασφάλιση των κατάλληλων ελέγχων και των επιπέδων ασφαλείας σε διάφορους προσωπικούς, διακυβερνητικούς, υπηρεσιακούς, εμπορικούς και βιομηχανικούς τομείς για τις επικοινωνίας M2M. Λόγω των αυξανόμενων ανησυχιών όσον αφορά τις τεχνικές διαχείρισης πρόσβασης και των πολυάριθμων ελέγχων πρόσβασης που έχουν προταθεί τα τελευταία χρόνια, καθώς των αναδυόμενων λύσεων σύννεφου, αυξάνεται το ενδιαφέρον για προηγμένες και ασφαλείς υπηρεσίες ελέγχου πρόσβασης για πρόσβαση σε προστατευόμενους πόρους με βάση πολιτικές αποφάσεις. Εντούτοις, η προσέγγιση διαχείρισης μέσω πολιτικών ασφαλείας ενέχει διάφορες προκλήσεις, όπως θέματα που αφορούν την εξέλιξη της πολιτικής, η ασφαλής διαλειτουργικότητα, η σημασιολογική διαφοροποίηση και οι αποτελεσματικοί μηχανισμοί παρακολούθησης των γεγονότων. Η διατριβή, που εκπονήθηκε, απαρτίζεται από επτά κεφάλαια που οργανώνονται ως εξής:Ͽ Το κεφάλαιο 1 περιγράφει τον τρόπο και την συμβολή της διατριβής στο πλαίσιο της διαχείρισης των πολιτικών αλλά και στόχων της συγκεκριμένης έρευνας. Πιο συγκεκριμένα, αυτή η ενότητα εξηγεί τη σημασία των ασφαλών M2M συνδέσεων αλλά και των ιδιαιρετοτήτων που θα πρέπει να ληφθούν υπόψηϿ Το κεφάλαιο 2 παρέχει μια λεπτομερή επισκόπηση των τεχνολογιών, όπως για παράδειγμα τα πρωτόκολλα και τα δίκτυα που χρησιμοποιούνται στις Μ2Μ επικοινωνίες, τα μεθοδολογικά πλαίσια διαχείρισης και θέματα που άπτονται της ασφάλειαςϿ Το κεφάλαιο 3 αναλύει τις συγκεκριμένες τεχνολογίες που παρουσιάστηκαν στο προηγούμενο κεφάλαιο και αναλύει τις σχετικές προκλήσεις που αναδύονται από τη σχετική εργασία. Επίσης, ερευνά τις μεθόδους που έχουν συμπεριληφθεί στην αρχιτεκτονική ASPIDA και αναλύει γιατί είναι οι καταλληλότερες. Περιγράφει τις ερευνητικές δραστηριότητες, όπως η προσαρμοστική δρομολόγηση διαχείρισης δικτύου, η δρομολόγηση QoS και η παροχή της κυκλοφορίας, η διαχείριση βάσει συμβάντων και ο ενοποιημένος έλεγχος πρόσβασης μαζί με τον μηχανισμό πολιτικής πρόσβασηςϿ Το κεφάλαιο 4 περιγράφει την αρχιτεκτονική ASPIDA που εκπορεύεται από τις βασικές οντότητες που παρουσιάζονται στα προηγούμενα κεφάλαια. Αυτή η ενότητα περιγράφει τα χαρακτηριστικά της αρχιτεκτονικής ASPIDA συνδυασμένα με την ανάλυση σεναρίων σχετικά με τις ροές των μηνυμάτων που ανταλλάσσονται μεταξύ των οντοτήτων της αρχιτεκτονικής Ͽ Το κεφάλαιο 5 παρουσιάζει τις απαιτήσεις διαχείρισης ελέγχου πρόσβασης, τις εξουσιοδοτήσεις M2M και το πρωτότυπο που αναπτύχθηκε για την ανάλυση της απόδοσης της αρχιτεκτονικής ASPIDA. Σε αυτό το κεφάλαιο αναλύονται τα χαρακτηριστικά ασφάλειας και ελέγχου της αρχιτεκτονικής ASPIDA. Πιο συγκεκριμένα, παρουσιάζονται θέματα που αφορούν την ταυτοποίηση, την αυθεντικοποίηση, τα επίπεδα ελέγχου εξουσιοδότησης πρόσβασης και τους μηχανισμούς επικύρωσης των κανόνων, μαζί με την ενσωμάτωση των αντίστοιχων ενοτήτων με την προτεινόμενη αρχιτεκτονικήϿ Το κεφάλαιο 6 παρουσιάζει το πλαίσιο ελέγχου της αξιολόγησης των μετρήσεων με τα σχετικά αποτελέσματα. Οι μέθοδοι συλλογής δεδομένων εξηγούνται ακολουθούμενες από δεδομένα, ενώ οι μετρήσεις απόδοσης συγκρίνονται με άλλα παρόμοια μεθοδολογικά πλαίσια. Πιο αναλυτικά, το συγκεκριμένο κεφάλαιο εξετάζει τα εξής:o Το πλαίσιο αξιολόγησης και τις μεθόδους για την προσέγγιση διαχείρισης βάσει πολιτικής σύμφωνα με το οποίο ελέγχεται η συμπεριφορά του δικτύου και του τομέα υπηρεσιών στο πλαίσιο πολιτικών, SLA, QoS, ασφάλειας, επαλήθευσης ταυτότητας και εξουσιοδότησηςo Περιγραφή του σχεδιασμού των πειραμάτων για τη διεξαγωγή των απαραίτητων δοκιμώνo Περιγραφή της κατανομής, ανάλυσης και αιτιολόγησης των παρατηρήσεων. Επιπλέον, περιλαμβάνεται η περιγραφή της ανάλυσης των δεδομένων και των δοκιμώνϿ Το κεφάλαιο 7 εξετάζει τα συμπεράσματα, τις διαπιστώσεις και τις μελλοντικές βελτιώσεις. Η διδακτορική διατριβή ολοκληρώνεται με το συγκεκριμένο κεφάλαιο στο οποίο αναφέρονται τα γενικά συμπεράσματα της διατριβής, οι στόχοι που καλύφθηκαν από την συνολική έρευνα, οι επιπτώσεις της έρευνας καθώς και οι κρίσιμοι παράγοντες που επηρεάζουν την απόδοση της αρχιτεκτονικής και του συστήματος. Παρουσιάζεται η ex post facto ανάλυση της ASPIDA σε σύγκριση με άλλες ερευνητικές δραστηριότητες, περιγράφοντας τις περιγραφικές, διερευνητικές και επιβεβαιωτικές αναλύσεις που έχουν διεξαχθεί στα προηγούμενα κεφάλαια και η περίληψη των αποτελεσμάτων για την απεικόνιση των αριθμητικών πληροφοριών. Τέλος, παρατίθενται προτάσεις για μελλοντικές προεκτάσεις της παρούσας έρευνας.Με κριτήριο όλα τα παραπάνω, η συγκεκριμένη διατριβή αντιμετωπίζει τα παρακάτω:Ͽ Πληροί την προσαρμοστική φύση του τομέα του δικτύου για την υποστήριξη της επιλεκτικής δρομολόγησης με γνώμονα τις απαιτήσεις και συμφωνίες σε επίπεδο υπηρεσιών (Service Level Agreements / SLAs) με την ανάπτυξη ενός συστήματος διαχείρισης με χαρακτηριστικά ποιότητας εξυπηρέτησης (Quality of Services / QoS) με βάση την πολιτική για προσαρμοσμένη δρομολόγησηϿ Καλύπτει τις ανάγκες για προσαρμοστικές πολιτικές της αρχιτεκτονικής που να διευκολύνουν τις δυνατότητες εξυπηρέτησης με τα διάφορα μέσα ελέγχου πρόσβασης. Ιδιαιτέρως, περιλαμβάνεται η ενσωμάτωση των ενοτήτων ελέγχου ταυτότητας και εξουσιοδότησης με τις πολιτικές ελέγχου πρόσβασης που χρησιμοποιούνται από την πλατφόρμα παράδοσης εφαρμογών και διαχείρισης των υπηρεσιώνϿ Επιτυγχάνει την εκτέλεση των σχετικών εντολών βασισμένων σε γεγονότα (event based management) τα οποία ενεργοποιούνται υπό συγκεκριμένες συνθήκες (για παράδειγμα υπέρβαση αποδεκτών ορίων SLAs), επιτρέποντας τον κατάλληλο χειρισμό των συμβάντων και την βελτίωση της δυναμικότητας και προσαρμοστικότητας της αρχιτεκτονικής ASPIDA. Για παράδειγμα, ενδεχόμενες βλάβες/αστοχίες των κόμβων και των συνδέσμων ή υπερβάσεις των πόρων που έχουν διατεθεί στο εύρος ζώνης (όπως περιπτώσεις συμφόρησης), μπορούν να ενεργοποιήσουν τις απαραίτητες αλλαγές διαμόρφωσης που καθορίζονται από την πολιτική. Τέτοια ζητήματα μπορούν να αναγνωριστούν και να επιλυθούν προληπτικά, ρυθμίζοντας τους ανιχνευτές συμβάντων να παρακολουθούν συγκεκριμένους τύπους καταστάσεων, επιτρεπτών ορίων ή να εκτελούν περιοδικά ένα σύνολο ενεργειώνϿ Πραγματοποιεί ένα σύστημα με υψηλότερες αποδόσεις σε σύγκριση με άλλες λύσεις και μεθοδολογικά πλαίσια με σύγχρονες μεθόδους υλοποίησης, όπως μικρο-υπηρεσιών, που προσφέρουν αυξημένα πλεονεκτήματα στην ανάπτυξη, επεκτασιμότητα και βιωσιμότητα της μεθοδολογίαςϿ Πετυχαίνει την ενίσχυση των μεθόδων SOA για τις υπηρεσίες ελέγχου πρόσβασης, ταυτοποίησης και αυθεντικοποίησης για την προστασία και βελτίωση της αξιοποίησης των δεδομένων περιορισμένων πόρων του περιβάλλοντος (Μ2Μ resource constrained environment).