Escolar Documentos
Profissional Documentos
Cultura Documentos
Belo Horizonte
Dezembro de 2009
CDU 519.6*22(043)
Dedico este trabalho quela que sempre foi meu maior exemplo e fonte de inspirao,
minha me Maria Ceclia.
Agradecimentos
A Deus, por se fazer to presente em minha vida, me iluminando e permitindo que eu
alcance coisas jamais sonhadas.
minha me, por me ensinar que valores como trabalho, esforo, humildade e
perseverana sempre sero recompensados, por todo o amor que sempre me dedicou e
por abrir mo de muitos de seus sonhos para que os meus se tornassem realidade.
Amanda, por entender minha ausncia, pelo apoio nos momentos de fraqueza,
pela presena nos momentos de alegria, mas, sobretudo, por ser algum to especial
em minha vida e me dar a honra de fazer parte da sua.
Aos meus orientadores Jos Marcos e Srgio, pela compresso com o fato de eu
trabalhar durante o mestrado e principalmente por todo o comprometimento e ateno que sempre tiveram com meu trabalho, possibilitando assim que ele se tornasse
realidade.
Ao pessoal do ATM, pela amizade e pelos divertidos almoos na Qumica e no
CDTN, alm claro das inmeras solues simples e diretas que me economizaram
horas e horas de trabalho.
Ao Thiago, por ser meu representante em BH, meu companheiro em longas e
variadas conversas, mas, sobretudo, por ser um quase irmo pra mim.
A todos os meus amigos que, mesmo cansados da recorrente desculpa: Hoje no
posso, preciso trabalhar no mestrado!, nunca desistiram de mim.
Gerdau Aominas, por me apoiar durante a realizao do mestrado, fato determinante para que esse dia se tornasse realidade.
A todos vocs, meu Muito Obrigado!
vii
Seja voc quem for, seja qual for a posio social que voc tenha na vida,
a mais alta ou a mais baixa, tenha sempre como meta muita fora,
muita determinao e sempre faa tudo com muito amor
e com muita f em Deus, que um dia voc chega l.
De alguma maneira voc chega l.
(Ayrton Senna da Silva)
ix
Resumo
Redes Ad Hoc Veiculares (VANETs) constituem um novo paradigma na computao
mvel, com muitas aplicaes em potencial. Dentre as possibilidades, destacam-se aplicaes nas quais usurios da rede trocam informaes sobre as condies de trfego e
a ocorrncia de eventos de risco nas vias, como por exemplo, o acmulo de leo em
determinado ponto de uma pista. Todavia, em cenrios cooperativos como esses, existe
sempre o risco de algum membro condicionar seu comportamento aos seus objetivos
pessoais, em detrimento do interesse geral, o que pode causar graves acidentes, uma
vez que informaes erradas podem ser utilizadas nos processos de deciso executados
pelos veculos. Logo, surge a necessidade de desenvolvimento de mecanismos de segurana capazes de permitir aos participantes da rede validar a conabilidade de dados
recebidos.
xi
Abstract
Vehicular Ad Hoc Networks (VANETs) constitute a new paradigm on mobile computing with many potential applications.
security applications in which network users can exchange information about the trafc conditions and the occurrence of risk events in the roads such as the oil accumulation
in determined point of a track. However, in cooperative scenarios like those, there is
always the risk of user's behavior be conditioned by their personal objectives instead of
the general interest. Because of this, serious accidents may happen once wrong information can be used in the decision process executed by the vehicles. Therefore, the development of security mechanisms is necessary to validate data's reliability received by
network participants. This work presents a reputation mechanism for VANETs, called
RMDTV (Reputation Mechanism for Delay Tolerant Vehicular Networks). Through
this mechanism, network members qualify other members responsible for sending correct information.
network.
moments, caused, for example, by their high mobility, we have chosen the Delay Tolerant Networks (DTNs) concepts to support such situations. Once received, they are
added to all generated messages by their carriers in intention of attesting their reliability. Thus, network users can previously verify the new neighbors' reliability, even
before data is exchanged. Simulation results show that RMDTV considerably increases
the quality of taken decisions by members of a VANET exchanging information about
the trac conditions on the road, even in the presence of a great amount of malicious
nodes.
xiii
Sumrio
1 Introduo
1.1
Objetivos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2
Contribuies
1.3
Organizao do Texto
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
2
2
3
2.1
VANETs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2
2.2.1
Estaes base . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2
Veculos
2.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaes em VANETs
2.3.1
. . . . . . . . . . . . . . . . . . . . . . . . . .
10
2.4
Mobilidade em VANETs
. . . . . . . . . . . . . . . . . . . . . . . . . .
14
2.5
Desconexo em VANETs . . . . . . . . . . . . . . . . . . . . . . . . . .
16
2.5.1
. . . . . . . . . . . . .
18
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
2.6
Concluso
3 Segurana em VANETs
25
3.1
Requisitos de Segurana
. . . . . . . . . . . . . . . . . . . . . . . . . .
25
3.2
Inimigos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
3.3
Ataques
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
3.4
Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
3.5
Mecanismos de Reputao
. . . . . . . . . . . . . . . . . . . . . . . . .
30
3.6
Concluso
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
35
4.1
35
4.2
Funcionamento do Mecanismo . . . . . . . . . . . . . . . . . . . . . . .
37
4.2.1
Processo de deciso . . . . . . . . . . . . . . . . . . . . . . . . .
40
4.2.2
Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
xv
4.3
Concluso
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 Avaliao de Desempenho
5.1
Simulao
5.2
Caracterizao do Cenrio
45
47
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
. . . . . . . . . . . . . . . . . . . . . . . . .
48
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
5.2.1
Mobilidade
5.2.2
Eventos
5.2.3
Mensagens de qualicao
. . . . . . . . . . . . . . . . . . . . .
52
5.2.4
Deciso e ataques . . . . . . . . . . . . . . . . . . . . . . . . . .
53
54
5.3.1
54
5.3.2
54
5.4
55
5.5
Escalabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
5.6
. . . . . . . . . . . . . . . . . . .
60
5.7
Anlise de Sobrecarga
. . . . . . . . . . . . . . . . . . . . . . . . . . .
60
5.8
Concluso
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
5.3
6 Concluses
65
6.1
Contribuies
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
6.2
Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
Referncias Bibliogrcas
69
xvi
Lista de Figuras
2.1
2.2
2.3
2.4
2.5
Modelo
armazenagem-e-repasse
[Warthman, 2003].
de
. . . . . . . .
. . . . . .
10
. . . . . . . . . . . . .
11
. . . . . . . . . . . . . .
17
encaminhamento
de
mensagens
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
2.6
20
5.1
50
5.2
5.3
5.4
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
57
5.5
5.6
5.7
5.8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
60
xvii
Lista de Tabelas
5.1
50
5.2
. . . . . . . . . .
52
5.3
57
xix
Captulo 1
Introduo
Nos ltimos anos, redes de computadores com e sem o tm possibilitado a conexo
de diversos tipos de dispositivos como PC's, PDA's e celulares, mesmo existindo uma
grande distncia entre eles.
As
Captulo 1. Introduo
As
1.1 Objetivos
Este trabalho tem como objetivo a proposio e anlise de um mecanismo de reputao que permita aos membros da rede avaliar previamente a conabilidade de novos
vizinhos, antes mesmo da realizao de uma transao. Isso feito atravs do uso de
qualicaes emitidas por terceiros conveis, atestando a conabilidade de seu portador. Como cada qualicao emitida deve ser encaminhada pela rede em direo a
seu destino, objetivamos tambm que o mecanismo proposto seja capaz de suportar os
possveis perodos de desconexo experimentados pelos ns intermedirios no caminho
percorrido por essas qualicaes entre origem e destino.
1.2 Contribuies
O estudo do problema de conabilidade das informaes recebidas em aplicaes de
segurana em redes veiculares, o desenvolvimento e a avaliao de mecanismo de reputao resiliente a interrupes de comunicao trazem as seguintes contribuies:
1.3.
Organizao do Texto
tomar decises sobre eventos existentes na via, com base nas mensagens recebidas
informando as condies dos referidos eventos, de forma mais segura. Esse protocolo faz uso de qualicaes anexadas s mensagens geradas, as quais atestam
a conabilidade da origem dos dados.
No Captulo 2, apresentamos os
conceitos bsicos das redes ad hoc veiculares (VANETs). Em seguida discutimos sobre
os tipos aplicaes propostas para essas redes, com destaque para as aplicaes de
segurana. Apresentamos ento as caractersticas dos modelos de mobilidade existentes
para as VANETs. Por m, mostramos o problema de desconexes no roteamento dessas
redes, relacionado s constantes mudanas em suas topologias, e como aplicao dos
conceitos de redes tolerantes a atrasos e desconexes (DTNs) pode ajudar a mitig-lo.
No Captulo 3 apresentamos os principais conceitos de segurana relacionados s
redes veiculares, como pers de intrusos, possveis ataques executados e solues de
criptograa. Discutimos tambm sobre a aplicabilidade de alguns mecanismos de segurana disponveis na literatura no contexto de aplicaes de segurana em redes
veiculares.
No Captulo 4 apresentamos o mecanismo proposto, denominado RMDTV, e descrevemos o funcionamento de cada fase do mesmo, bem como especicamos o formato
das mensagens utilizadas.
No Captulo 5 feita uma avaliao do desempenho da soluo de reputao proposta.
Em
seguida, avaliamos o impacto da extenso das regies geogrcas ao redor dos eventos
simulados.
como a necessidade da aplicao do conceito das redes DTN rede veicular simulada.
Por m, avaliamos a sobrecarga adicionada pelo RMDTV rede simulada.
Captulo 1. Introduo
Por m, apresentamos no Captulo 6 as concluses da anlise do RMDTV. Vislumbramos tambm a possibilidade de trabalhos futuros para mecanismos de reputao
em redes veiculares tolerantes a atrasos e desconexes.
Captulo 2
Redes Mveis Veiculares
Neste captulo apresentamos e descrevemos os principais conceitos, a arquitetura, os
tipos de aplicaes existentes, os modelos de mobilidade e os problemas de desconexo
relacionados s redes ad hoc veiculares (VANETs). A Seo 2.1 descreve as principais
caractersticas de uma VANET. A Seo 2.2 apresenta a arquitetura bsica de uma
VANET. A Seo 2.3 lista alguns tipos de aplicaes j propostas para as VANETs,
com destaque para a descrio completa de uma aplicao de segurana para essas
redes. A Seo 2.4 discute as caractersticas dos modelos de mobilidade existentes para
as VANETs e apresenta o modelo de mobilidade adotado neste trabalho. Por m, na
Seo 2.5 mostrado o problema de desconexes no roteamento das VANETs e como o
uso dos conceitos de redes tolerantes a atrasos e desconexes (DTN) permite s redes
veiculares suportar tais situaes sem maiores prejuzos ao seu desempenho.
2.1 VANETs
Nos ltimos anos, as redes ad hoc mveis (Mobile Ad Hoc Netwoks - MANETs) tm
recebido muita ateno da comunidade acadmica. Inicialmente direcionadas apenas
para ambientes militares e de emergncia, essas redes passaram a ser foco de grande
interesse comercial, uma vez que o aumento do uso de aparelhos mveis, como celulares e PDAs, criou uma forte demanda por aplicaes capazes de dar suporte a esses
dispositivos. Dessa forma, uma MANET assim denida pela [Manet, 2009]:
Uma MANET um sistema autnomo de roteadores mveis (e hosts associados) conectados por enlaces sem o - a unio desses dispositivos forma
um grco arbitrrio.
Banda disponvel:
Cooperao:
Escala:
Mobilidade organizada:
recursos energticos e computacionais sucientes para as aplicaes desenvolvidas, ao contrrio das MANETs tradicionais;
Segurana:
2.2.
alto nvel dessa arquitetura. Nela, os componentes da rede trocam mensagens sobre
um evento de emergncia existente na via (uma coliso entre dois carros) de forma que
os veculos se aproximando dessa regio, ao serem informados dessa situao, possam
tomar aes, como por exemplo, a reduo gradativa da velocidade de deslocamento,
evitando assim novos acidentes.
Figura 2.1.
quanto no roteamento de dados gerados por terceiros. De maneira geral, essas estaes
so controladas por agncias governamentais, o que garante sua idoneidade. Todavia,
tambm podem pertencer a provedores de servio, para atender a ns comerciais.
2.2.2 Veculos
Os veculos so os principais membros da VANET, pois graas a sua mobilidade, informaes geradas em um ponto da rede so transportadas at pontos distantes de sua
posio inicial. Alm disso, atuam como os principais observadores de eventos ocorridos na via, uma vez que acidentes, congestionamentos e outros problemas de trfego
podem ocorrer fora do raio de alcance das estaes base.
Os veculos participantes podem ser tanto particulares (carros, caminhes, etc),
pblicos (nibus) ou at mesmo ociais (viaturas policiais e ambulncias).
Entre-
Sensores:
Unidade de computao:
Unidade de armazenamento:
Unidade de comunicao:
culos e com as estaes base. Essa comunicao pode fazer uso de uma verso
customizada do padro IEEE 802.11, proposta em [DSRC, 2009].
Sistema de posicionamento:
veculo informar com maior segurana o local onde foram observados os eventos
por ele detectados. Da mesma forma, esse sistema permite unidade de computao calcular, por exemplo, a distncia em relao a um evento relatado por
outro veculo da rede, de forma que as aes sugeridas por ela ao motorista sejam
as melhores possveis.
2.3.
Aplicaes em VANETs
unidade faa uso de mapas digitais para mostrar a localizao dos eventos relatados, ou para exibir uma rota de desvio, possivelmente calculada pela unidade
de computao.
1.
Informao de perigos:
Otimizao do trfego:
2.
Entretenimento e outras
Acesso Internet:
Marketing:
10
alm de representarem perda de tempo, uma vez que obstruem a uidez normal do
trnsito, representam tambm riscos reais segurana dos motoristas.
Logo, seria
cation ), eventos de risco detectados pelos sensores dos veculos geram mensagens de
aviso que so disseminadas pela rede.
Figura 2.2.
Analisando a Figura 2.2, podemos perceber tambm que a referncia geogrca tem
2.3.
11
Aplicaes em VANETs
Figura 2.3.
Ao entrar nessa
12
1.
Deteco de eventos
O processo de deteco de eventos na via deve acontecer de forma automtica,
sem a participao dos motoristas. Todavia esse processo no simples e ainda
objeto de estudo [Adler e Strassberger, 2006].
Consideramos
neste trabalho que os eventos podem ser captados pelos sensores dos veculos
de forma simples e direta, sem a necessidade de anlises mais complexas. Esse
processo de deteco de eventos conhecido como experincia.
2.
Disseminao de mensagens
Toda vez que um veculo tem uma experincia, uma mensagem criada e disseminada pela rede. Todo receptor dessa mensagem determinar, a partir da sua
relevncia, se ela ser simplesmente descartada ou guardada para ser utilizada no
processo de deciso, sendo neste caso tambm encaminhada para outros veculos
da rede. Com esse procedimento, experincias realizadas por veculos que j deixaram a rea de disseminao ainda podem ser utilizadas por outros veculos em
seu processo de deciso.
A denio da relevncia de uma mensagem pode levar em considerao vrios
aspectos, como o horrio de gerao da mensagem, sua origem ou at mesmo
seu contedo. Como todos os veculos da rede executam os mesmos algoritmos,
enquanto uma mensagem for relevante para um veculo, tambm o ser para
todos os outros.
no descartada, apenas seu envio suspenso. Assim, caso ele retorne rea
do evento, ela ainda pode ser usada no processo de deciso. Assim, reforamos
que o no atendimento aos critrios de relevncia o nico motivo que leva ao
descarte de uma mensagem.
A disseminao das mensagens geradas realizada atravs de um processo simples
de difuso (broadcast ).
como aqueles propostos em [Li e Lou, 2008] e [Sun e Garcia-Molina, 2004], estes
esto alm do escopo deste trabalho.
A distncia entre o limite exterior da rea de disseminao e o limite exterior da
rea de deciso, representada na Figura 2.3 por
2,
diretamente proporcional
seja
2.3.
13
Aplicaes em VANETs
Processo de deciso
Imediatamente aps entrar na rea de deciso, um veculo, a partir das mensagens relevantes nele armazenadas, decide se avisa ou no ao motorista sobre uma
possvel situao de risco. Esse processo executado somente uma vez a cada
entrada do veculo nessa rea. Nessa etapa existe o risco de erros nas decises
tomadas, causados por motivos como informaes insucientes, informaes desatualizadas e at mesmo informaes erradas enviadas por veculos com interesses
escusos na rede. O objetivo do mecanismo de reputao proposto neste trabalho
atuar nessa etapa do processo de uma aplicao LDW, de forma a minimizar o
nmero de decises tomadas erroneamente.
Podemos perceber que, da mesma maneira que
2,
1,
por um veculo.
Com
Identidade da origem:
dos dados. No caso dos veculos, a identidade deve ser amarrada ao veculo, e no
ao seu motorista. Essa identicao permite que vrias mensagens informando
um mesmo evento sejam consideradas por um veculo, devido s suas diferentes
origens. Como veremos mais frente, neste trabalho, a fonte de uma mensagem
tambm ser utilizada para denir a relevncia dos dados por ela informados.
local da experincia:
sagem denir se o evento est localizado em sua rota. Assim, possvel a denio
das trs reas geogrcas anteriormente denidas e a execuo de seus respectivos
processos.
14
horrio da experincia:
tipo de experincia:
como por exemplo, congestionamentos, acidentes, aquaplanagens ou outras situaes de perigo que merecem a ateno do motorista.
Alm disso, o movimento dos membros regulado por leis que denem, por
Modelos sintticos:
2.4.
15
Mobilidade em VANETs
Essa denio
pode ocorrer de forma aleatria ou seguir alguma distribuio estatstica. Nesse horrio,
as pessoas saem de casa e seguem para o trabalho. Esse deslocamento pode ser feito com
o uso de carro, nibus ou mesmo a p. A durao do perodo trabalhado congurvel
e durante esse tempo o movimento das pessoas dentro do escritrio simulado, de
forma que elas experimentem maiores oportunidades de conexo. Ao nal do dia, elas
escolhem, a partir de uma probabilidade pr-denida, se seguem direto para casa ou
para algum ponto de atividades noturnas. Aqui novamente so utilizados os modelos
de transporte anteriormente citados. Essas atividades podem ser entendidas como um
passeio no shopping, um restaurante, um bar, etc.
16
Tal condio de suma importncia, haja vista que as restries impostas pelas vias
existentes inuenciam o desempenho da rede.
A denio da localizao da casa, escritrio e local de atividades noturnas de
cada pessoa feita uma nica vez no incio da simulao.
totalmente aleatria ou pode ser restrita a determinadas reas, o que simula, por
exemplo, a existncia de regies residenciais e comerciais dentro de uma cidade. Os
pontos escolhidos so conhecidos como pontos de interesse de uma pessoa. Da mesma
forma, o meio de transporte utilizado tambm denido no incio da simulao. Pessoas
que possuem carro utilizam somente esse meio de transporte durante todo o tempo
simulado.
Para o caso das demais pessoas, elas fazem o percurso de nibus caso a
distncia Euclidiana entre o ponto de origem e o ponto de nibus mais perto, somado
com a distncia Euclidiana entre o destino e o ponto de nibus mais perto seja menor
que a distncia Euclidiana entre origem e destino. Caso contrrio, elas decidem realizar
o percurso caminhando.
Embora o WDM permita que as pessoas experimentem oportunidades de conexo
a todo momento, nosso interesse, neste trabalho, restringiu-se aos contatos estabelecidos sobre rodas. Dessa maneira, embora as movimentaes e seus horrios sigam
exatamente o que prope o modelo, somente as mensagens trocadas entre as pessoas
trafegando de carro e os nibus, que percorriam continuamente rotas previamente denidas no cenrio simulado, foram consideradas.
Essa mobilidade,
teorema
abaixo,
cuja
demonstrao
pode
ser
encontrada
em
[Xue e Kumar, 2004], para que o problema de desconexes em uma rede sem o inexista, necessrio e suciente que cada membro tenha
nmero total de membros dessa rede.
(log n)
vizinhos, sendo n o
2.5.
17
Desconexo em VANETs
Teorema 1
2 , com n membros distribudos de maneira uniforme e independente em S . Seja G(n, n ) a rede formada em S quando cada membro
est conectado a seus n vizinhos mais prximos. Para G(n, n ) ser assintoticamente
conectada, (log n) vizinhos so necessrios e sucientes. Sendo P r{A} a probabilidade de ocorrncia do evento A, existem, precisamente, duas constantes 0 < c1 < c2
Seja
um quadrado em
tais que:
n
n
desconectada}
=1
conectada} = 1
Em uma VANET, existem outros fatores, alm dos anteriormente citados, que
inuem na densidade da rede.
(log n)
vizinhos.
A Figura 2.4 exemplica uma situao na qual um veculo tenta enviar dados para
outro em uma rede particionada. Como no possvel estabelecer um caminho m-am entre origem e destino, o mecanismo utilizado para a comunicao deve suportar o
atraso gerado pela interrupo, que pode ser de horas ou at mesmo dias.
Figura 2.4.
18
O armazenagem-e-repasse
utilizado nos sistemas de e-mail atuais, nos quais fonte e destino contactam, de
forma independente, um servidor localizado no caminho entre ambos, responsvel por
armazenar as mensagens trocadas.
Figura 2.5.
2.5.
19
Desconexo em VANETs
(os bundles ) recebidas por um membro da rede DTN at que seja novamente estabelecida a conexo. Segundo [Warthman, 2003], esse armazenamento deve ser persistente,
devido aos seguintes motivos:
Os
as
conceitos
redes
de
DTN
interplanetrias
podem
ser
aplicados
rurais
vrios
tipos
de
redes,
como
MANETs
[Yang et al., 2006] e at mesmo em redes criadas para o rastreamento de animais selvagens, como a ZebraNet [Juang et al., 2002].
contatos oportunsticos.
veculos nessas redes tendem a repassar as mensagens por eles armazenadas de forma
epidmica para todos os seus vizinhos ativos, na esperana de que esses dados atinjam
seu destino.
20
dessa camada comum permite que redes DTN sejam compostas por vrias subredes heterogneas, nas quais os protocolos de comunicao das camadas inferiores podem ser
inteiramente distintos. Assim, segundo [Warthman, 2003], uma DTN uma rede de redes regionais, formando uma rede sobreposta (overlay ) no topo dessas redes, incluindo
a Internet.
A Figura 2.6 mostra uma comparao entre a pilha de protocolos da internet e das
redes DTN. Podemos perceber que para o funcionamento da rede DTN necessrio
apenas a existncia da camada bundle em todas as subredes que a compem, cando
ento cada subrede livre para implementar os protocolos de comunicao especcos s
suas caractersticas/necessidades particulares. A interface entre aplicaes e as tecnologias de comunicao utilizadas ca a cargo da camada bundle.
Figura 2.6.
dados
bundle.
Em uma rede DTN, considera-se um membro como uma entidade na qual existe a
camada bundle. Um membro pode ser um host, roteador ou gateway (podendo tambm
assumir mais de um papel) atuando como fonte, destino ou repassador de bundles.
Hosts:
Roteadores:
bm como hosts.
2.5.
21
Desconexo em VANETs
Gateway:
Preveno contra o envio de dados e a alocao de recursos maiores que os permitidos por aplicaes autorizadas.
22
quais a rede inundada por pacotes de dados enviados geralmente por entidades no
autorizadas.
No Captulo 4, veremos que o RMDTV, mecanismo de reputao proposto neste
trabalho, faz uso de validaes salto-a-salto a m de detectar e descartar mensagens
geradas por fontes no conveis o mais rpido possvel, diminuindo assim, a ecincia
dos ataques executados por esses intrusos.
2.6 Concluso
Neste captulo apresentamos os principais conceitos de VANETs.
Comeamos com
a arquitetura da rede, passando pelas possveis aplicaes que podem ser executadas
nesse ambiente. Alm disso, discutimos os modelos de mobilidade e suas caractersticas
terminando com o problema de conectividade ao quais tais redes esto expostas.
Apesar de existirem vrios tipos de aplicaes visionadas para redes veiculares,
aquelas que fazem uso da troca de informaes entre os veculos visando uma maior
segurana no s das vias de trfego, mas tambm dos motoristas que nelas circulam,
despertam um interesse especial, haja vista que seus benefcios so no s nanceiros,
mas tambm sociais. Entre esse tipo de aplicao, a Aplicao de Mensagem de Perigo
Local (Local Danger Warning Application), j denida e estudada em trabalhos anteriores surge como uma boa soluo para reduzir os transtornos causados por situao
de risco em uma via de trnsito.
Am de que as simulaes sejam as mais dedignas possveis, o modelo de mobilidade utilizado em simulaes de VANETs deve considerar ao menos algumas caractersticas mais realistas, caso contrrio, podem-se obter resultados impossveis de serem
reproduzidos em um ambiente real. O WDM baseado em um dia til na vida de
pessoas que levantam pela manh, vo para o trabalho e retornam para casa ao m
do dia. A validao qual o modelo foi submetido, a partir de dados reais, o habilita
como uma boa opo para simulaes em VANETs.
Solues para VANETs, sejam apenas para o roteamento de dados, sejam para
aumentar a segurana, devem considerar o problema de desconexo existente em tais
redes.
redes veiculares, que permita aos seus veculos atestar a conabilidade de informaes
enviadas por terceiros em uma aplicao LDW. Considerando-se que a viabilidade deste
mecanismo depende do sucesso no roteamento das qualicaes emitidas para assegurar
a conabilidade dos veculos da VANET, o uso dos conceitos de Redes Tolerantes a
Atrasos e Desconexes (DTN), discutidos na Subseo 2.5.1, tem papel decisivo no
sucesso da soluo apresentada. Apresentamos o mecanismo proposto e discutimos seu
2.6.
Concluso
funcionamento no Captulo 4.
23
Captulo 3
Segurana em VANETs
Neste captulo discutimos conceitos de segurana relacionados s redes veiculares. Na
Seo 3.1 so listados os principais requisitos de segurana que devem ser atendidos
nas VANETs.
VANETs, enquanto a Seo 3.3 classica de forma geral os ataques que podem ser
executados por esses inimigos. Na Seo 3.4 so discutidos conceitos de criptograa e
como a aplicao destes pode ajudar no atendimento aos requisitos de segurana da
VANETs. Finalmente, na Seo 3.5 mecanismos de segurana disponveis na literatura
so analisados quanto sua aplicao e resilincia a ataques executados em redes
veiculares.
26
Condencialidade:
Autenticidade:
legtimas. Logo necessrio autenticar a origem de uma mensagem. Caso contrrio, um veculo malicioso poderia se passar facilmente por algum convel,
prejudicando sistematicamente a conana no funcionamento da rede.
Integridade:
Frescor (Freshness ):
Disponibilidade:
funcionam sem a ao do motorista, como as unidades de computao, armazenamento e comunicao, devem possuir algum tipo de bloqueio contra alteraes
fsicas, possivelmente realizadas por esses motoristas, cujo objetivo seja executar
ataques no trnsito.
A tarefa de garantir a segurana em VANETs dicultada por caractersticas especcas dessas redes, como por exemplo, a topologia extremamente varivel, o que
diculta o estabelecimento e manuteno longas de relaes de conana entre os vizinhos. Todas essas caractersticas devem ser levadas em considerao no projeto de
mecanismos de segurana em redes veiculares.
3.2 Inimigos
A natureza e os recursos de um inimigo determinam o tipo de defesas necessrias para
assegurar o correto funcionamento de uma VANET. O estudo dessas caractersticas
3.3.
27
Ataques
na rede que pode se comunicar com os outros veculos. O inimigo externo considerado um intruso na rede, de forma que os possveis ataques por ele executados
so limitados.
obter benefcios prprios a partir de seus ataques. Seu nico objetivo prejudicar
os veculos ou a funcionalidade da rede. Por outro lado, o inimigo racional visa
algum ganho com suas atitudes de forma que seus ataques so mais previsveis
tanto em termos de aes quanto em termos de objetivos.
rede, enquanto que o passivo atua apenas obtendo informaes do canal sem o,
para anlises posteriores.
3.3 Ataques
Um ataque uma tentativa do inimigo de efetuar alguma ao no prevista na rede,
com o objetivo de prejudicar o funcionamento das aplicaes ou obter benefcios. De
qualquer maneira, ataques ativos sempre prejudicam o correto funcionamento da rede.
Embora seja impossvel vislumbrar todos os possveis ataques em VANETs, uma classicao geral pode ser adotada, com base nos tipos de ataques identicados at o
momento [Parno e Perrig, 2005] e [Calandriello et al., 2007]:
Alarmes falsos:
existncia de um evento inexistente na via. Dessa forma, outros intrusos, ao entrarem na rea de reconhecimento do evento ctcio, tambm geram mensagens
informando sua existncia.
tar o referido evento, criam ento mensagens revogando sua existncia, to logo
adentrem sua rea de reconhecimento.
Alarmes trocados:
28
Ataque sybil:
Aplicaes LDW, foco de estudo deste trabalho, esto sujeitas aos ataques acima
listados. Todavia, como o propsito dessas aplicaes a troca de mensagens entre os
veculos e estaes base informando as condies da via, de forma que seja possvel ao
motorista tomar providncias com o objetivo de reduzir os efeitos gerados por situaes
de risco, alarmes falsos ou trocados distribudos pela rede tornam-se um problema
importante, haja vista que o nmero de intrusos necessrios para a execuo com
sucesso desses ataques no precisa ser necessariamente alto, dada a baixa densidade
da rede em certos perodos do dia, como por exemplo, a noite. Assim, o mecanismo
proposto neste trabalho foca reduzir a efetividade desses tipos de ataques.
3.4 Criptograa
A criptograa pode ser utilizada com o objetivo de ocultar as informaes para o
inimigo, garantindo assim a condencialidade dos dados. As informaes podem ser
criptografadas para serem transmitidas por um meio no seguro ou ento para serem
armazenadas em um sistema de arquivos cujo controle de acesso duvidoso.
Um sistema de criptograa composto de trs elementos bsicos:
Algoritmo de criptograa:
3.4.
29
Criptografia
Chaves de criptograa:
Terceiro convel:
e outra para a decifragem, sendo que uma delas mantida em segredo e a outra
de conhecimento geral.
Os principais requisitos de segurana apresentados na Seo 3.1 (condencialidade,
autenticidade e integridade) podem ser atendidos pelo uso de tcnicas de criptograa.
devem ser enviadas o mais rpido possvel, uma vez que em muito dos casos o tempo
um requisito crtico no procedimento de tomada de decises (Subseo 2.3.1), esse
30
rithm - ECDSA) [Johnson et al., 2001] foi avaliado por [Raya e Hubaux, 2005] e
[Calandriello et al., 2007] como uma opo de criptograa de chave pblica para redes veiculares. Os resultados obtidos foram signicativos, sem que houvesse prejuzo
ao desempenho da rede. Dessa maneira, o ECDSA foi a soluo de criptograa utilizada
neste trabalho.
3.5.
Mecanismos de Reputao
31
esperar a completa execuo do servio solicitado, como, por exemplo, aguardar o recebimento de uma mensagem de ACK conrmando o roteamento correto de um pacote
de dados enviado pela rede [Dewan et al., 2004]. Existem ainda propostas nas quais se
considera que a movimentao dos membros da rede, de maneira geral, causar apenas
pequenas alteraes em sua topologia, de forma que o compartilhamento de observaes diretas entre pequenos grupos, aliadas s experincias locais, seja suciente para
a construo de um robusto mecanismo de reputao [Buchegger e Le Boudec, 2004]).
A aplicabilidade de mecanismos de reputao propostos para redes P2P e MANETs
no contexto das VANETs bem restrita, haja vista que algumas consideraes feitas
nessas solues, como aquelas citadas acima, no podem ser garantidas em redes veiculares, dadas as grandes velocidades de deslocamento dos veculos que compem a
rede. Assim, surge a necessidade do desenvolvimento de solues prprias para as redes veiculares, nas quais suas caractersticas particulares so levadas em conta. Abaixo
discutimos algumas propostas disponveis na literatura.
No sistema de reputao para redes ad hoc veiculares (A vehicle ad-hoc network
reputation system - VARS) [Dotzer et al., 2005], cada veculo adiciona sua opinio sobre a veracidade das mensagens por ele recebidas e encaminhadas.
Essa opinio
32
de conana, assinado digitalmente, para o respectivo vizinho. Os vizinhos devem reencaminhar este token, que os certica como conveis, para os veculos responsveis
pelo prximo salto.
mensagem, agora feito pelos vizinhos certicados. Esse ciclo se repete em todos os
saltos at que o pacote atinja seu destino.
O trabalho se preocupa apenas com possveis alteraes dos dados da mensagem
durante o roteamento, sem avaliar o contedo da mensagem em si. Assim, mensagens
contendo informaes erradas podem facilmente ser distribudas pela rede. Embora os
resultados apresentados mostrem que cada passo da seqncia envia mensagem - escuta
x mensagens
x mensagens considerando um
limite inferior. A ecincia desses quatro mtodos medida em uma rede submetida
a ataques do tipo alarmes falsos e alarmes trocados (Seo 3.3).
Os resultados apresentados mostram que o mtodo Maioria das ltimas
dene as ultimas
mensa-
mensagens
esses intrusos podem executar seus ataques livremente, na certeza de suas mensagens
sero sempre consideradas no processo de deciso dos outros veculos, uma vez que no
existe nenhum tipo de punio a seu mau comportamento.
mecanismo
um
esquema
de
simples
de
votao,
parecido
acrescenta
com
uso
Maioria
de
reputaes
das
mensagens
[Ostermaier et al., 2007]. Assim, um veculo colhe informaes sobre eventos at que
sejam recebidos dados transmitidos por uma fonte convel, quando a deciso tomada apenas com base nas informaes contidas nessa mensagem, ou uma quantidade
mnina de mensagens recebida, quando o esquema de votao executado. Uma vez
que a deciso tomada, o mecanismo de reputao proposto promove os veculos cujas
mensagens enviadas corroboram com tal deciso enquanto rebaixa aqueles responsveis
por mensagens com opinies contrrias. A partir do momento em que um veculo da
3.6.
33
Concluso
tomada de decises em uma aplicao LDW. Validaes posteriores das decises tomadas sobre os eventos permitem ao mecanismo identicar com maior preciso veculos
cooperativos e maliciosos.
3.6 Concluso
Este captulo foi dedicado ao estudo de aspectos de segurana em redes veiculares. Discutimos os desaos lanados pela presena inimigos executando ataques na rede, bem
como as solues existentes para tentar minimizar os efeitos dessas aes de forma que
os requisitos de segurana impostos pela rede e suas aplicaes possam ser atendidos.
Considerando-se que o comportamento passado a melhor forma de tentarmos
predizer o comportamento futuro de algum, mecanismos de reputao surgem como
uma boa soluo na tentativa de mitigar os efeitos de ataques executados contra o
funcionamento correto de uma VANET. Existem vrias solues propostas na literatura
que fazem uso de reputao para aumentar a segurana em sistemas distribudos, como
redes P2P, MANETs e VANETs.
De maneira geral, sistemas de reputao para redes P2P e MANETs consideram
que a topologia dessas redes se altera de maneira gradual, sem mudanas signicativas
34
em um curto espao de tempo. Assim, os mecanismos propostos fazem uso da conectividade existente para realizar transaes mais demoradas, nas quais a execuo de um
servio solicitado na rede pode ser assistida de perto por seu solicitante, permitindo a
ele classicar de maneira mais precisa o comportamento de seus pares.
Por outro lado, mecanismos de reputao em VANETs no podem contar com
altos graus de conectividade, haja vista que a constante mudana de topologia dessas
redes pode resultar em intervalos de conexo muito curtos.
Captulo 4
O Mecanismo de Reputao RMDTV
Neste captulo descrevemos o mecanismo de reputao proposto, o RMDTV (Repu-
tation Mechanism for Delay Tolerant Vehicular Networks ). A Seo 4.1 apresenta os
conceitos, as premissas e os requisitos utilizados para a especicao do mecanismo.
Em seguida, a Seo 4.2 apresenta o funcionamento detalhado do mecanismo e dos
algoritmos que o compem.
36
incio da rede. Tal identicao pode ser baseada, por exemplo, na placa do veculo. Entretanto, uma vez denida, essa identidade no pode sofrer alteraes.
Essa premissa pode tornar a rede mais propensa a ataques de tracking de veculos. O uso de pseudminos, atualizados periodicamente [Calandriello et al., 2007]
aumenta a resilincia da rede a esses ataques. Entretanto, seu estudo est alm
do escopo deste trabalho.
Deteco de eventos:
Revogao de eventos:
Distribuio de chaves:
cadora (AC), que atua aqui como terceiro convel (Seo 3.4), no incio de
operao da rede, seu par de chaves (pblica e privada) correspondente. A AC
pode ser, por exemplo, o rgo governamental responsvel pelo emplacamento
dos veculos. Alm disso, faz parte tambm desse pr-carregamento o certicado,
emitido pela AC, validando a chave pblica daquele membro.
Desempenho:
das mensagens de dados recebidas em aplicaes de segurana distribudas executadas em redes veiculares. Os veculos responsveis por essas informaes adicionam, em cada mensagem gerada, qualicaes recebidas de terceiros, atestando
sua conabilidade. Assim, a soluo proposta neste trabalho, alm de aumentar
o tamanho das mensagens de dados, adiciona um novo tipo de mensagem s aplicaes de segurana, encarregadas de transportar as qualicaes emitidas at
seus respectivos destinos. Apesar disso, espera-se que essa sobrecarga criada pelo
RMDTV no prejudique o desempenho geral da rede.
4.2.
37
Funcionamento do Mecanismo
No RMDTV cada
mensagem originada por uma fonte convel ou a entrada do veculo na rea de deciso
do evento.
Como descrito na Subseo 2.3.1, as mensagens repassadas ao mecanismo de deciso, ou seja, consideradas relevantes pela aplicao, so retransmitidas em modo de
difuso, possibilitando assim que experincias realizadas por veculos que j deixaram
a rea de disseminao ainda possam ser utilizadas por outros membros da rede em
suas decises.
Caso o veculo no utilize uma nova rota, o que acontece em casos nos quais
no existem evidncias sucientes da ocorrncia do evento, a conrmao pode
ser realizada pelos seus prprios sensores, uma vez que ele trafegar pela regio
apontada como local de ocorrncia do evento.
Caso seja denida uma nova rota, a validao da situao real do evento no
38
Uma vez que a situao real do evento conhecida, o veculo pode aferir a correo
da deciso tomada. Aps essa validao, ele atualiza os valores de reputao dos membros responsveis pelas mensagens utilizadas no processo de deciso. Todavia, como
veremos na Subseo 4.2.1, em alguns casos as evidncias da ocorrncia ou revogao
de um evento podem ser insucientes, de forma que a deciso tomada no baseada nos
dados recebidos. Para essas situaes, no realizada nenhuma alterao nos valores
de reputao das origens dos dados recebidos. Para as demais, os passos executados
so mostrados no algoritmo 1.
Independentemente da qualidade da deciso tomada, veculos cujas mensagens informaram o evento corretamente sempre so promovidos a conveis. Por outro lado,
veculos cujas mensagens informaram o evento incorretamente so punidos, ou seja,
passam a ser considerados maliciosos, somente quando o ataque executado obteve sucesso, ou seja, as informaes por eles geradas foram relevantes o suciente para levar
o receptor a uma deciso incorreta.
Algoritmo 1:
end
else if deciso tomada foi errada then
if OrigemMi lista de veculos conveis then
//mesmo veculo convel passa a ser considerado malicioso
RetiraListaV eiculosConf iaveis(OrigemMi )
8
end
9
AdicionaListaV eiculosM aliciosos(OrigemMi )
10
end
11 end
importante ressaltar que o RMDTV altera apenas os dados de reputao da origem das mensagens. Tal deciso se apia no fato de que muitas das vezes as mensagens
4.2.
Funcionamento do Mecanismo
39
recebidas foram repassadas por veculos que no realizaram a experincia, mas conaram no relato de outros membros da rede. Embora essa situao possibilite ataques
de adulterao de dados, a integridade dessas informaes garantida pelo uso de
uma infraestrutura de criptograa de chave pblica. A soluo utilizada descrita na
Subseo 4.2.2.1.
Segundo [Buchegger e Le Boudec, 2004], o compartilhamento de experincias uma
tima maneira de aumentar a robustez de um mecanismo de reputao. Entretanto,
caractersticas especcas das VANETs, como os curtos perodos de conexo experimentados pelos veculos, consequncia direta das grandes velocidades de deslocamento,
criam importantes obstculos a esse compartilhamento, uma vez que a troca de opinies deve acontecer sem prejudicar o desempenho da aplicao. Alm disso, com a
mudana constante na topologia da rede, a troca voluntariosa de informaes pode
levar os veculos a armazenar dados sobre outros membros poucas vezes ou nunca encontrados. Por outro lado, procurar informaes sobre a reputao de um determinado
membro da rede pode ser algo custoso e muitas vezes falho, uma vez que os detentores desses dados podem estar inacessveis naquele momento. Assim, no RMDTV, as
listas de conabilidade de cada veculo nunca so publicadas. O compartilhamento de
opinies feito a partir de um procedimento similar ao Pretty Good Privacy - PGP
[Zimmermann, 1994], no qual criada uma rede de conana (Web of Trust ) entre os
membros da rede, a partir da troca de certicados assinados digitalmente entre os pares. Esses certicados devem ser apresentados aos novos pares em futuras transaes,
funcionando assim como as credenciais de seu portador. Dessa maneira, para cada um
dos veculos promovidos pelo algoritmo 1, o receptor gera e envia uma qualicao atestando a conabilidade daquele membro da rede. Dados os problemas de desconexes
existentes nas VANETs, uma qualicao pode demorar horas, ou at mesmo dias para
chegar ao seu destino. Assim, a aplicao do modelo armazenagem-e-repasse, utilizado
pelas redes DTN (Subseo 2.5.1) para o encaminhamento de mensagens, surge como
uma soluo aos possveis atrasos existentes durante o roteamento de qualicaes.
As qualicaes recebidas por um veculo devem ser adicionadas s mensagens de
dados por ele geradas.
quando feita a avaliao da reputao da origem, resultando no descarte ou disponibilizao dos dados recebidos para o processo de deciso, veremos na Subseo 4.2.1
que, uma vez que a mensagem no seja descartada, essas qualicaes anexadas tm
pesos diferenciados no mecanismo de deciso executado pelo receptor das informaes.
Para evitar uma sobrecarga muito grande na rede, apenas um determinado nmero de
qualicaes deve ser adicionado. Alm disso, como as qualicaes emitidas possuem
data de validade, somente aquelas que ainda no expiraram devem ser utilizadas.
40
4.2.
41
Funcionamento do Mecanismo
ltimas
formaes sobre o evento. Entretanto, existe tambm um limite inferior, de forma que
o mecanismo de votao s utilizado caso o veculo receba ao menos um determinado
nmero de mensagens. Quando esse mnimo de opinies no atingido, o veculo sempre se decide pela negao do evento. A opo por negar a existncia do evento em
situaes nas quais a quantidade de evidncias recebidas insuciente justica-se dadas as possveis conseqncias resultantes de decises falso negativas e falso positivas.
Enquanto nas primeiras o veculo simplesmente segue se movimentando sem nenhuma
alterao de velocidade ou rota, nas segundas o motorista pode se decidir pela reduo
da velocidade do veculo (por exemplo, em situaes de proximidade a um acidente ou
congestionamento), o que aumenta o risco de colises traseiras caso algum dos prximos veculos da via, possuindo quantidade suciente de informaes para executar o
processo de deciso, se decida pela inexistncia do evento.
Em face s possveis situaes descritas, nomeamos as decises tomadas por um
veculo como decises indicadas e decises foradas. Enquanto as primeiras so resultado da execuo do mecanismo de votao, as segundas ocorrem quando o veculo no
recebe o nmero mnimo de mensagens para a execuo do mtodo de deciso.
O algoritmo 2 mostra a adio do RMDTV ao mtodo Maioria das ltimas
men-
O mtodo de
deciso ento executado. Se o veculo no recebeu a quantidade mnima de experincias, denida como THRESHOLD_MININO_DECISAO, decide ento de maneira
forada pela inexistncia do evento. Se essa condio for atendida, o veculo faz um
comparativo entre a soma de mensagens informando sobre o evento e a soma daquelas revogando sua existncia.
Em um primeiro momento
Na im-
possibilidade de tomar uma deciso baseada nos dados recebidos, o veculo se decide
pela inexistncia do evento, ao justicada pelo mesmo motivo descrito anteriormente
42
4.2.2 Mensagens
Aplicaes de segurana em VANETs denem um formato para as mensagens de dados,
como aquele apresentado na Subseo 2.3.1.2, atravs das quais as informaes so
distribudas pela rede. O uso do RMDTV em uma aplicao desse tipo necessita, alm
da alterao do formato de uma mensagem de dados bsica, da especicao de um novo
tipo de mensagem, a mensagem de qualicao, utilizada no envio de qualicaes aos
veculos considerados conveis por seus pares. Apresentamos abaixo a especicao
completa dessas mensagens.
4.2.
Funcionamento do Mecanismo
Algoritmo 2:
43
44
disso, seu certicado emitido pela Autoridade Certicadora (AC), que simplesmente
a assinatura da AC sobre a chave pblica do veculo, tambm adicionado. Assim, o
formato de uma mensagem de dados dado por:
a assinatura de
chave pblica de
sobre
de
SigP rKv (M )
pblica de V .
e vericar a
Vq
4.3.
45
Concluso
Vq
ele apresentadas.
V.
certicada de
da rede,
Vq
adiciona tambm
CertAC (P uKV )
tindo assim a validao de cada qualicao adicionada por qualquer receptor dessas
informaes.
4.3 Concluso
Neste Captulo apresentamos os requisitos e premissas para o funcionamento do nosso
mecanismo e detalhamos o seu funcionamento.
O RMDTV um mecanismo de reputao para redes veiculares tolerantes a atrasos
e desconexes que permite aos usurios da rede atestar a conabilidade das informaes emitidas por outros usurios. Esse mecanismo faz uso de qualicaes emitidas
por terceiros, que devem ser anexadas s mensagens geradas, no intuito de atestar a
conabilidade de seu emissor.
Captulo 5
Avaliao de Desempenho
Neste captulo avaliamos o RMDTV quanto ao percentual de decises erradas, percen-
variao da extenso das reas geogrcas ao redor dos eventos. A Seo 5.5 analisa a
escalabilidade do RMDTV. A Seo 5.6 avalia os tempos de entrega das qualicaes e
discute o uso de conceitos de redes DTNs como suporte aos possveis atrasos ocorridos
nessas entregas. Por m, na Seo 5.7 feita uma anlise da sobrecarga criada na rede
pela soluo proposta.
5.1 Simulao
Avaliaes de sistemas de computao geralmente so realizadas a partir do uso de
uma das seguintes tcnicas [Izquierdo e Reeves, 1999]: medio, anlise e simulao. A
medio geralmente utilizada quando existe a possibilidade de obteno de dados reais
do sistema estudado. J a tcnica de anlise se baseia na modelagem do sistema e seus
possveis comportamentos a partir de modelos matemticos imensamente simplicados.
Por m, a simulao baseada na construo e execuo de programas, com o objetivo
de reproduzir o comportamento do sistema.
47
48
que nem sempre possvel em um prottipo. Todavia, uma vez que a simulao no
considera todos os aspectos da rede, mas apenas os mais importantes, seus resultados
devem ser interpretados com cuidado.
O simulador escolhido para a avaliao e comparao de desempenho do RMDTV
foi o Opportunistic Networking Environment - ONE [Kernen et al., 2009]. O ONE
um simulador de eventos discretos que tem como principais funes modelar a mobilidade dos ns da rede, o contato entre eles de acordo com seus respectivos raios de
alcance, o roteamento de dados e o tratamento das mensagens atravs de um modelo
de comunicao tolerante a interrupes.
Day Movement - WDM, utilizam arquivos no formato Well Known Text - WKT para
denir a movimentao dos ns da rede. Arquivos WKT so gerados e editados a partir
de mapas digitais com o uso de Sistemas de Informaes Geogrcas (Geographic Infor-
5.2.
Caracterizao do Cenrio
49
uma das principais sedes da Copa do Mundo de 2014, a ser realizada no Brasil. Assim,
entendemos que o estabelecimento de uma rede veicular nesta avenida, na qual os veculos trocam mensagens objetivando a melhoria das suas condies de trfego, seria de
grande valia no s para aqueles que nela circulam diariamente, mas tambm para os
turistas que visitarem a cidade durante a Copa. O mapa digital da Figura 5.1 mostra a
regio de Belo Horizonte utilizada nas simulaes. Com uma rea de aproximadamente
2
55 km , este mapa engloba toda a Avenida Antnio Carlos, alm da regio central da
cidade.
Utilizamos 300 carros, movendo-se de acordo com o Working Day Movement WDM, discutido na Subseo 2.4.
pela Av.
tenha ao menos essa quantidade de veculos. Alm disso, adicionamos rede 6 nibus
(equivalente a 2% do total de carros), que circulam ininterruptamente por uma rota
pr-denida, e uma estao base, disposta ao lado da referida avenida, mais ou menos
em seu ponto mdio.
O tempo de simulao foi o equivalente a vinte dias, iniciando-se s 7h da manh
do primeiro dia. Como o WDM modela o comportamento dos ns da rede durante os
chamados dias teis, foram simuladas quatro semanas de trabalho na rotina desses
membros. Utilizamos os valores padres do IEEE 802.11 para alcance de rdio e largura
de banda dos membros, com 200m e 1Mbps respectivamente.
5.2.1 Mobilidade
As regies residenciais, comerciais e de atividades noturnas denidas no WDM esto
marcadas na Figura 5.1. As reas numeradas de 1 a 4 identicam regies residenciais,
enquanto as reas 5 e 6 referenciam regies comerciais. Por m, as reas 7 e 8 marcam
regies de atividades noturnas. A partir das regies denidas, foram criados dois grupos
de ns na rede. Cada n corresponde a um par veculo-pessoa. O primeiro grupo vive
nas regies 1 ou 2, trabalha na regio 6 e realiza atividades noturnas na regio 8. J o
segundo vive nas regies 3 ou 4, trabalha na regio 5 e realiza atividades noturnas na
regio 7. Como atualmente as pessoas tendem a viver em lugares mais afastados do
centro das grandes cidades (regio 6), dividimos os 300 carros utilizados nas simulaes
entre os dois grupos na proporo de 60% e 40%, respectivamente. A partir da alocao
de um n em determinado grupo, as localizaes de sua residncia, local de trabalho e
atividades noturnas foram denidas de forma aleatria, dentro das regies destinadas
50
Figura 5.1.
WKT gerado
60%
1 ou 2
40%
3 ou 4
5.2.
Caracterizao do Cenrio
51
vez em seu local de trabalho, os ns l devem permanecer durante oito horas seguidas.
Aps esse perodo, cada n decide, com probabilidades de 80% e 20% respectivamente,
entre seguir direto para casa ou realizar alguma atividade noturna. Essa distribuio
indica que cada membro da rede executa atividades noturnas em mdia uma vez por
semana. A durao dos eventos noturnos varia entre uma e trs horas. Em casa, os
ns dormem at o horrio de seguir novamente para o trabalho.
Nos trajetos realizados dentro da rotina denida, os carros simulados se movem
com velocidades entre 30km/h e 60km/h. J os nibus presentes na rede mantm sua
velocidade dentro da faixa de 25km/h a 55km/h. Esses valores respeitam a velocidade
mxima permitida nas avenidas de Belo Horizonte, que de 60km/h.
Semforos foram dispostos em alguns cruzamentos (Figura 5.1), possibilitando assim maiores oportunidades de conexo entre os veculos da rede. Cada semforo permanece aberto, e posteriormente fechado, por exatamente 125 segundos simulados, tempo
esse igual mdia real dos semforos existentes em Belo Horizonte, segundo a Empresa
de Transportes e Trnsito de Belo Horizonte [BHTRANS, 2009], rgo municipal responsvel pelo controle de trnsito na cidade.
5.2.2 Eventos
Foram considerados dois eventos dentro da rea simulada, identicados na Figura 5.1
como 1 e 2.
52
20% de ocorrncia dos eventos 1 e/ou 2, em horrios diferentes daqueles cobertos pelos
intervalos acima citados. Assim, uma vez que um evento acontea, seu horrio de incio
e tempo de durao so denidos de maneira aleatria. Entretanto, a durao de um
evento no pode exceder seu dia de ocorrncia. As probabilidades de ocorrncia dos
eventos simulados so sumarizadas na Tabela 5.2.
Tabela 5.2.
Evento 1
Evento 2
8h - 9h
17h - 18h
Outros horrios
80%
20%
20%
20%
80%
20%
adicionados s mensagens recebidas (Seo 5.7), este tempo ainda menor. Logo, so
necessrias reas maiores, capazes no s de garantir a viabilidade da aplicao LDW,
mas tambm do mecanismo de reputao proposto. Assim, utilizamos raios de 50m,
300m e 700m respectivamente, para as reas de reconhecimento, deciso e disseminao
ao redor dos eventos.
5.2.
53
Caracterizao do Cenrio
mensagens
Entretanto,
como descrito na Subseo 4.2.1, no RMDTV informaes provenientes de fontes conveis so consideradas evidncia suciente da existncia ou revogao de um evento.
Assim como em [Ostermaier et al., 2007], o nmero mximo de mensagens utilizadas
pelo mtodo Maioria das ltimas
tidade total de falsos positivos, que indica a quantidade de veculos cooperativos que
foram considerados erroneamente como maliciosos pelo RMDTV. Avaliamos tambm
os impactos dos intervalos de tempo entre a gerao e o recebimento das qualicaes
quanto necessidade suporte possveis atrasos em seu encaminhamento. Todos os
resultados apresentados possuem 90% de intervalo de conana. Cada simulao foi
executada com oito sementes diferentes. Nas sees seguintes discutimos esses resultados.
54
38
RMDTV
Sem Reputao
36
34
32
30
28
26
24
22
20
18
0
Figura 5.2.
sos na rede
10
20
30
Percentual de Intrusos
40
50
5.4.
55
56
RMDTV
Sem Reputao
40
35
30
25
20
15
10
35
30
25
20
15
10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
RMDTV
Sem Reputao
35
30
25
20
15
40
10
35
30
25
20
15
RMDTV
Sem Reputao
10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
40
50
RMDTV
Sem Reputao
RMDTV
Sem Reputao
35
30
25
20
15
45
RMDTV
Sem Reputao
40
35
30
25
20
15
10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
Figura 5.3.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
5.4.
57
Tabela 5.3.
25
50
100
150
300
600
350
700
1400
A comparao entre a distncia curta e a distncia larga, por sua vez, apresenta
os seguintes resultados: com um aumento maior que quatro vezes no percentual de
decises indicadas, houve uma diminuio de aproximadamente 39% no percentual de
decises erradas, com um aumento de aproximadamente nove vezes na quantidade de
falsos positivos.
Figura 5.4.
geogrcas
200
250
500
550
600
58
Figura 5.5.
geogrcas
200
250
500
550
600
2000
1800
1600
1400
1200
1000
800
600
400
200
0
150
Figura 5.6.
geogrcas
RMDTV
200
250
500
550
600
5.5 Escalabilidade
Nessa seo, a m de analisar a escalabilidade do RMDTV, comparamos o desempenho
entre uma rede na qual nenhum mecanismo de reputao utilizado e outra na qual
o RMDTV a soluo escolhida, submetidas um percentual de 30% de intrusos.
Observamos ento o comportamento das duas redes, quanto ao percentual total de
decises erradas tomadas, medida que a quantidade de veculos aumenta. Variamos
a quantidade de veculos entre 60 e 960. O motivo paras esses valores se deve aos limites
computacionais do ambiente de simulao empregado. Para executar uma simulao
com 960 veculos em um computador QuadCore 2.6GHz, foram necessrios em mdia 5
dias e meio. Por essa razo, para a maior quantidade de veculos, as simulaes foram
repetidas apenas 3 vezes variando a semente de aleatoriedade.
No cenrio com apenas 60 veculos, percebemos que o percentual de decises erradas
5.5.
59
Escalabilidade
nas redes com e sem reputao bem parecido. Como existem poucos veculos na rede,
a probabilidade de receber informaes sobre os eventos existentes bem baixa, uma
vez que as mensagens geradas so encaminhadas apenas dentro da rea de disseminao
de cada evento. Assim, como a maioria das decises tomada de maneira forada, o
mecanismo de reputao no tem efeito algum na qualidade dessas decises.
medida que a quantidade de veculos aumenta, mais mensagens sobre os eventos
so recebidas pelos veculos dentro de sua rea de disseminao. Com mais informaes
sobre determinado evento, o veculo consegue executar o algoritmo de deciso e posteriormente classicar as origens das mensagens recebidas. A partir dessa classicao,
as decises posteriores tendem a ser mais acertadas, uma vez que se torna possvel a
distino entre os veculos conveis e aqueles maliciosos pelos receptores das mensagens.
30
25
20
15
0
120
240
360
480
600
720
Quantidade de Veculos
840
960
Embora esperemos que as redes veiculares reais sejam compostas por milhares de
veculos, entendemos que essa saturao de mensagens, ocorrida nas regies mais movimentadas, no invalida o mecanismo proposto, uma vez que sempre existiro regies
de menor circulao, como as periferias das cidades, nas quais a quantidade de veculos
60
30
24
18
30
24
18
12
6h
12
6h
0h
Faixas de Tempo
Figura 5.8.
emitidas
5.7.
61
Anlise de Sobrecarga
teriormente, pela adio dessas qualicaes s mensagens de dados enviadas por seus
portadores. Avaliamos tambm a sobrecarga computacional criada pela necessidade de
validao dessas qualicaes em cada receptor das mensagens de dados geradas.
Mensagens de qualicao contm a identicao do destino e seu horrio de emisso, alm da assinatura e do certicado da chave pblica de seu emissor. A utilizao
de uma infraestrutura de chave pblica garante a segurana desses dados. Neste trabalho, utilizamos o Algoritmo de Curvas Elpticas (Elliptic Curve Digital Signature
Algorithm - ECDSA) [Johnson et al., 2001] como soluo de criptograa, uma vez que
ele mais leve que o RSA, sem no entanto, comprometer a segurana da rede.
Em [Calandriello et al., 2007] foram realizadas medies do ECDSA 256 bits, utilizando uma mquina equipada com um processador Centrino de 1,5GHz, hardware esse
compatvel com aquele proposto para as VANETs pelo projeto de Sistemas Cooperativos de Infraestrutura Veicular (Cooperative Vehicle-Infrastructure Systems - CVIS)
[CVIS, 2009].
ECDSA-256:
Tempo de assinatura :
Tempo de vericao:
Tamanho da assinatura:
0.8 ms;
4,2 ms;
64 bytes;
33 bytes;
32 bytes.
Supondo que 100 bytes sejam sucientes para denir o cabealho da mensagem de
qualicao, 50 para identicar o veculo qualicado e o horrio de gerao da qualicao, 64 para a assinatura da qualicao, 64 para o certicado da chave pblica do
emissor e 33 para essa chave. Assim, o tamanho total de uma mensagem de qualicao de 311 bytes. Essa mensagem, com uma banda de 1Mbps disponvel, ocupa o
canal de comunicao por aproximadamente 3,0ms durante sua transmisso, desconsiderando o tempo de estabelecimento de conexo. Como mensagens de qualicao no
so distribudas em modo de difuso pela rede, mas encaminhadas apenas para membros especcos, podemos concluir que a sobrecarga gerada no canal de comunicao
por essas mensagens aceitvel no cenrio das redes veiculares.
Qualicaes recebidas devem ser adicionadas por seu portador a todas as mensagens de dados por ele geradas. A partir do clculo realizado acima, conclumos que a
adio de uma qualicao aumenta em 211 bytes o tamanho da mensagem de dados.
Seja cada qualicao vlida por 30 dias e o limite mximo permitido de qualicaes
62
adicionadas s mensagens igual a 30, equivalente a uma por dia, temos ento um aumento total, no pior caso, de 6330 bytes por mensagem. Sejam 200 bytes sucientes
para os dados relativos ao cabealho e s informaes do evento, o tamanho nal de
uma mensagem de dados pode atingir at 6530 bytes. A transmisso desses dados, por
um enlace de 1Mbps, leva aproximadamente 55,0ms. Seja um veculo movendo-se em
linha reta a uma velocidade de 60Km/h (16,67m/s), velocidade mxima permitida na
maioria das avenidas brasileiras dentro da rea de disseminao de um evento. Sejam
os raios das reas de disseminao e deciso, respectivamente, 700 e 300 metros (Seo
5.4). Esse veculo tem aproximadamente 24s (400m / 16,67m/s) para colher informaes, antes de tomar a deciso sobre o evento, caso no receba dados gerados por uma
fonte convel. Logo, ele pode receber, durante a coleta de dados, aproximadamente
436 mensagens (24000ms / 55ms), quantidade essa mais que suciente para evidenciar
a existncia ou no do evento.
Uma vez dentro da rea de deciso, o veculo executa o processo descrito na Subseo 4.2.1, caso no tenha recebido dados gerados por fontes conveis. Nesse processo,
pode ser preciso validar as qualicaes anexadas s mensagens recebidas. Seja 22 o
valor de
das ltimas
mite inferior, como proposto em [Ostermaier et al., 2007]. O tempo total de validao
das qualicaes, quando nenhuma chave pblica conhecida pelo receptor das informaes, dado por: 4,2ms(vericao da chave pblica do emissor da qualicao) +
4,2ms(vericao da qualicao) = 8,4ms * 22 * 30
5.8 Concluso
Este captulo apresentou uma avaliao por simulao do mecanismo de reputao
RMDTV. As simulaes procuraram se aproximar de um cenrio real, no qual a rede
composta por veculos utilizados por seus proprietrios em deslocamentos seguindo
5.8.
63
Concluso
invalida o RMDTV, haja vista que sempre existiro regies de menor circulao nas
quais o estabelecimento de reputaes contribuir para um aumento na qualidade das
decises tomadas pelos veculos.
Percebemos que o uso dos conceitos de Redes Tolerantes a Atrasos e Desconexes neste trabalho teve tambm importncia signicativa nos resultados obtidos pelo
RMDTV, uma vez que os considerveis atrasos existentes entre a gerao e o recebimento das qualicaes emitidas poderiam inviabilizar o mecanismo proposto, caso
fossem utilizados protocolos de transporte tradicionais, como o TCP e o UDP.
Embora a execuo do RMDTV adicione certa sobrecarga rede, resultado da
denio de um novo tipo de mensagem e da adio das qualicaes recebidas pelos
veculos s mensagens de dados geradas, mostramos que o mecanismo, de maneira
geral, no prejudica o desempenho da aplicao, uma vez que possibilita aos veculos a
recepo de uma quantidade suciente de informaes sobre o evento durante a fase de
coleta de dados e, posteriormente a esse passo, permite tambm a tomada de deciso
em tempo hbil para que aes no intuito de minimizar os efeitos do evento possam
ser executadas em segurana pelo conjunto veculo-motorista.
Captulo 6
Concluses
O sucesso de aplicaes em redes veiculares depende principalmente da cooperao de
todos os veculos em prol do benefcio coletivo. Todavia, existe sempre o risco de um
ou mais membros agirem de forma egosta, condicionando seu comportamento ao atendimento de objetivos pessoais, geralmente diferentes do interesse geral.
Mecanismos
de reputao contribuem para a resoluo deste problema, uma vez que permitem aos
membros da rede a escolha de pares para a realizao de transaes com base em seu
histrico comportamental, aumentando assim a probabilidade de resultados satisfatrios advindos dessas transaes.
Neste trabalho, propusemos um mecanismo de reputao para redes veiculares, o
RMDTV, que possibilita aos membros da rede atestar a conabilidade das informaes
emitidas por outros veculos.
terceiros e roteadas pela rede mesmo sob condies de desconectividade, aliadas s experincias que o prprio membro teve com os emissores dessas qualicaes, certicadas
por uma Autoridade Certicadora
Analisamos o RMDTV utilizando o modelo de mobilidade conhecido como Working
rede veicular simulada executava uma aplicao distribuda de segurana, na qual seus
membros trocavam mensagens informando as condies de trfego em pontos especcos
da cidade.
65
66
Captulo 6. Concluses
6.1 Contribuies
As atividades realizadas durante a execuo deste trabalho trouxeram as seguintes
contribuies:
Avaliao do mecanismo proposto atravs de simulaes, comprovando sua eccia na diminuio da quantidade de decises erradas tomadas pelos veculos da
rede acerca de eventos existentes nas vias de trfego.
Atualmente, se um
n apresenta um comportamento cooperativo em uma nica transao, j promovido a convel. A mesma coisa acontece para aqueles que agem de maneira maliciosa
uma nica vez, rebaixados condio de intrusos imediatamente.
Considerando-se
que mensagens enviadas por membros conveis tm um peso muito grande no processo de deciso, enquanto aquelas enviadas por intrusos so totalmente descartadas,
acreditamos que a denio de funes de promoo e rebaixamento progressivos pode
aumentar o desempenho do sistema, uma vez que a quantidade de membros promovidos
a conveis ou rebaixados a intrusos erroneamente tende a diminuir consideravelmente.
Outra possibilidade seria avaliar o desempenho da rede em situaes nas quais
permitido aos membros a publicao das informaes de reputao armazenadas
localmente nas listas de conabilidade. Essa troca de informaes permitiria uma maior
convergncia das opinies sobre os comportamentos dos veculos da rede. Alm disso,
tais dados poderiam ser utilizados pela Autoridade Certicadora para a elaborao e
divulgao de Listas de Revogao de Certicados (LRC), a m de revogar as chaves
dos veculos de comportamento malicioso.
Por m, com o objetivo de aumentar a conabilidade dos resultados obtidos nas
redes simuladas, seria interessante variar tambm as distribuies estatsticas utilizadas
6.2.
Trabalhos Futuros
67
Referncias Bibliogrcas
Adler, C. e Strassberger, M. (2006).
In ITS '06:
(2009).
Empresa
de
transportes
trnsito
de
belo
horizonte.
http://www.bhtrans.pbh.gov.br.
Buchegger, S. e Le Boudec, J. Y. (2004).
of Peer-to-Peer Systems.
Burgess, J.; Gallagher, B.; Jensen, D. e Levine, B. N. (2006). Maxprop: Routing for
vehicle-based disruption-tolerant networks. In INFOCOM 2006: Proceedings of the
Ecient and
fourth ACM international workshop on Vehicular ad hoc networks, pp. 1928, New
York, NY, USA. ACM.
Car2Car (2009). Car2car communication consortium.
http://www.car-2-car.org.
Cerf, V.; Burleigh, S.; Hooke, A.; Torgerson, L.; Durst, R.; Scott, K.; Fall, K. e Weiss,
H. (2007). Delay-tolerant networking architecture. Technical report, Internet RFC
4838.
Cerf, V.; Burleigh, S.; Hooke, A.; Torgerson, L.; Durst, R.; Scott, K.; Travis, E. e
Weiss, H. (2001). Interplanetary internet (ipn): Architectural denition. Technical
report, IPN Research Group.
Chones, D. R. e Bustamante, F. E. (2005). An integrated mobility and trac model
for vehicular wireless networks. In VANET '05: Proceedings of the 2nd ACM inter-
national workshop on Vehicular ad hoc networks, pp. 6978, New York, NY, USA.
ACM.
69
70
CVIS
Referncias Bibliogrficas
(2009).
The
cooperative
vehicle-infrastructure
systems
project.
http://www.cvisproject.org/.
Dewan, P. e Dasgupta, P. (2004). Securing reputation data in peer-to-peer networks. In
Dotzer, F.; Fischer, L. e Magiera, P. (2005). Vars: A vehicle ad-hoc network reputation
system. In WOWMOM '05: Proceedings of the Sixth IEEE International Symposium
DSRC
(2009).
Dedicated
short
range
communications.
http://grouper.ieee.org/groups/scc32/dsrc/index.html.
Ekman, F.; Kernen, A.; Karvo, J. e Ott, J. (2008). Working day movement model. In
In
Hubaux, J. P.; apkun, S. e Luo, J. (2004). The security and privacy of smart vehicles.
Johnson, D.; Menezes, A. e Vanstone, S. A. (2001). The elliptic curve digital signature
algorithm (ecdsa). Int. J. Inf. Sec., 1(1):3663.
71
Referncias Bibliogrficas
Transportation.
Li, M. e Lou, W. (2008). Opportunistic broadcast of emergency messages in vehicular
ad hoc networks with unreliable links.
(2009).
Internet
engineering
task
force
manet
working
group.
http://www.ietf.org/html.charters/manet-charter.html.
OpenJUMP (2009).
http://www.openjump.org/.
Ostermaier, B. (2005). Analysis and improvement of inter-vehicle communication security by simulation of attacks. Master's thesis, Technische Universitt Mnchen.
Ostermaier, B.; Dotzer, F. e Strassberger, M. (2007). Enhancing the security of local
danger warnings in vanets - a simulative analysis of voting schemes. In ARES '07:
In
SASN '05: Proceedings of the 3rd ACM workshop on Security of ad hoc and sensor
networks, pp. 1121, New York, NY, USA. ACM.
72
Referncias Bibliogrficas
Low-cost com-
munication for rural internet kiosks using mechanical backhaul. In MobiCom '06:
Delay-tolerant networks.
the 3rd IEEE International Conference on Mobile Ad-hoc and Sensor Systems, pp.
296305.
Zimmermann, P. (1994). Pgp user's guide. Cambridge, MA: MIT Press.