Well I GT On Passos Paula

UM MECANISMO DE REPUTAO PARA
REDES VEICULARES TOLERANTES A ATRASOS

E DESCONEXES
WELLINGTON PASSOS DE PAULA

Orientador: Jos Marcos Silva Nogueira
UM MECANISMO DE REPUTAO PARA

REDES VEICULARES TOLERANTES A ATRASOS
E DESCONEXES
Dissertao apresentada ao Programa de
Ps-Graduao em Cincia da Computao
da Universidade Federal de Minas Gerais
como requisito parcial para a obteno do
grau de Mestre em Cincia da Computao.
Belo Horizonte
Dezembro de 2009
2009, Wellington Passos de Paula.

Todos os direitos reservados.
Paula, Wellington Passos de

P324m
Um mecanismo de reputao para redes veiculares

tolerantes a atrasos e desconexes / Wellington Passos
de Paula. Belo Horizonte, 2009
xx, 72 f. : il. ; 29cm
Dissertao (mestrado) Universidade Federal de
Minas Gerais
Orientador: Jos Marcos Silva Nogueira
1. Redes de computao - segurana - teses.
2. Redes de computao - medidas de segurana teses. 3. VANETs - teses. 4. DTN - teses. I. Ttulo.
CDU 519.6*22(043)
Dedico este trabalho quela que sempre foi meu maior exemplo e fonte de inspirao,
minha me Maria Ceclia.
Agradecimentos
A Deus, por se fazer to presente em minha vida, me iluminando e permitindo que eu
alcance coisas jamais sonhadas.
minha me, por me ensinar que valores como trabalho, esforo, humildade e
perseverana sempre sero recompensados, por todo o amor que sempre me dedicou e
por abrir mo de muitos de seus sonhos para que os meus se tornassem realidade.
Amanda, por entender minha ausncia, pelo apoio nos momentos de fraqueza,
pela presena nos momentos de alegria, mas, sobretudo, por ser algum to especial
em minha vida e me dar a honra de fazer parte da sua.
Aos meus orientadores Jos Marcos e Srgio, pela compresso com o fato de eu
trabalhar durante o mestrado e principalmente por todo o comprometimento e ateno que sempre tiveram com meu trabalho, possibilitando assim que ele se tornasse
realidade.
Ao pessoal do ATM, pela amizade e pelos divertidos almoos na Qumica e no
CDTN, alm claro das inmeras solues simples e diretas que me economizaram
horas e horas de trabalho.
Ao Thiago, por ser meu representante em BH, meu companheiro em longas e
variadas conversas, mas, sobretudo, por ser um quase irmo pra mim.
A todos os meus amigos que, mesmo cansados da recorrente desculpa: Hoje no
posso, preciso trabalhar no mestrado!, nunca desistiram de mim.
Gerdau Aominas, por me apoiar durante a realizao do mestrado, fato determinante para que esse dia se tornasse realidade.
A todos vocs, meu Muito Obrigado!
vii
Seja voc quem for, seja qual for a posio social que voc tenha na vida,
a mais alta ou a mais baixa, tenha sempre como meta muita fora,
muita determinao e sempre faa tudo com muito amor
e com muita f em Deus, que um dia voc chega l.
De alguma maneira voc chega l.
(Ayrton Senna da Silva)
ix
Resumo
Redes Ad Hoc Veiculares (VANETs) constituem um novo paradigma na computao
mvel, com muitas aplicaes em potencial. Dentre as possibilidades, destacam-se aplicaes nas quais usurios da rede trocam informaes sobre as condies de trfego e
a ocorrncia de eventos de risco nas vias, como por exemplo, o acmulo de leo em
determinado ponto de uma pista. Todavia, em cenrios cooperativos como esses, existe
sempre o risco de algum membro condicionar seu comportamento aos seus objetivos
pessoais, em detrimento do interesse geral, o que pode causar graves acidentes, uma
vez que informaes erradas podem ser utilizadas nos processos de deciso executados
pelos veculos. Logo, surge a necessidade de desenvolvimento de mecanismos de segurana capazes de permitir aos participantes da rede validar a conabilidade de dados
recebidos.
Este trabalho apresenta um mecanismo de reputao para VANETs, de-
nominado RMDTV (Reputation Mechanism for Delay Tolerant Vehicular Networks ),

no qual membros da rede qualicam outros membros responsveis pelo envio de informaes corretas. As qualicaes emitidas so enviadas pela rede em direo ao seu
destino. Todavia, como os veculos em uma VANET podem ser submetidos a momentos de desconexo total, ocasionados, por exemplo, por sua alta mobilidade, optou-se
pelo uso dos conceitos de Redes Tolerantes a Atrasos e Interrupes (DTNs) para o
suporte a essas situaes. Uma vez recebidas, elas so adicionadas por seus portadores a todas as mensagens geradas, com o intuito de atestar sua conabilidade. Assim,
membros da rede podem vericar previamente a conabilidade de novos vizinhos, antes
mesmo da troca de dados. Resultados de simulaes mostram que o RMDTV aumenta
consideravelmente a qualidade das decises tomadas pelos membros de uma VANET
na qual so trocadas informaes sobre o estado do trfego na via de deslocamento,
mesmo com a presena de uma grande quantidade de ns maliciosos.
xi
Abstract
Vehicular Ad Hoc Networks (VANETs) constitute a new paradigm on mobile computing with many potential applications.
Among the possibilities, we can highlight
security applications in which network users can exchange information about the trafc conditions and the occurrence of risk events in the roads such as the oil accumulation
in determined point of a track. However, in cooperative scenarios like those, there is
always the risk of user's behavior be conditioned by their personal objectives instead of
the general interest. Because of this, serious accidents may happen once wrong information can be used in the decision process executed by the vehicles. Therefore, the development of security mechanisms is necessary to validate data's reliability received by
network participants. This work presents a reputation mechanism for VANETs, called
RMDTV (Reputation Mechanism for Delay Tolerant Vehicular Networks). Through
this mechanism, network members qualify other members responsible for sending correct information.
network.
The emitted qualications are sent towards their destiny by the
However, as the VANET's vehicles can be exposed to total connectionless
moments, caused, for example, by their high mobility, we have chosen the Delay Tolerant Networks (DTNs) concepts to support such situations. Once received, they are
added to all generated messages by their carriers in intention of attesting their reliability. Thus, network users can previously verify the new neighbors' reliability, even
before data is exchanged. Simulation results show that RMDTV considerably increases
the quality of taken decisions by members of a VANET exchanging information about
the trac conditions on the road, even in the presence of a great amount of malicious
nodes.
xiii
Sumrio
1 Introduo
1.1
Objetivos
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2
Contribuies
1.3
Organizao do Texto
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . .
2 Redes Mveis Veiculares
2
2
3
2.1
VANETs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2
Arquitetura das VANETs . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.1
Estaes base . . . . . . . . . . . . . . . . . . . . . . . . . . . .
2.2.2
Veculos
2.3
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicaes em VANETs
2.3.1
. . . . . . . . . . . . . . . . . . . . . . . . . .
Aplicao de mensagem de perigo local . . . . . . . . . . . . . .
10
2.4
Mobilidade em VANETs
. . . . . . . . . . . . . . . . . . . . . . . . . .
14
2.5
Desconexo em VANETs . . . . . . . . . . . . . . . . . . . . . . . . . .
16
2.5.1
. . . . . . . . . . . . .
18
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
22
2.6
Redes tolerantes a atrasos e desconexes
Concluso
3 Segurana em VANETs
25
3.1
Requisitos de Segurana
. . . . . . . . . . . . . . . . . . . . . . . . . .
25
3.2
Inimigos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
26
3.3
Ataques
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
27
3.4
Criptograa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
28
3.5
Mecanismos de Reputao
. . . . . . . . . . . . . . . . . . . . . . . . .
30
3.6
Concluso
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
33
4 O Mecanismo de Reputao RMDTV
35
4.1
Premissas e Requisitos do Mecanismo . . . . . . . . . . . . . . . . . . .
35
4.2
Funcionamento do Mecanismo . . . . . . . . . . . . . . . . . . . . . . .
37
4.2.1
Processo de deciso . . . . . . . . . . . . . . . . . . . . . . . . .
40
4.2.2
Mensagens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
42
xv
4.3
Concluso
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
5 Avaliao de Desempenho
5.1
Simulao
5.2
Caracterizao do Cenrio
45
47
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
47
. . . . . . . . . . . . . . . . . . . . . . . . .
48
. . . . . . . . . . . . . . . . . . . . . . . . . . . . .
49
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
5.2.1
Mobilidade
5.2.2
Eventos
5.2.3
Mensagens de qualicao
. . . . . . . . . . . . . . . . . . . . .
52
5.2.4
Deciso e ataques . . . . . . . . . . . . . . . . . . . . . . . . . .
53
Impacto da Quantidade de Intrusos . . . . . . . . . . . . . . . . . . . .
54
5.3.1
Percentual geral de decises erradas . . . . . . . . . . . . . . . .
54
5.3.2
Variao diria das decises erradas . . . . . . . . . . . . . . . .
54
5.4
Impacto das reas Geogrcas . . . . . . . . . . . . . . . . . . . . . . .
55
5.5
Escalabilidade . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
58
5.6
Tempo de Entrega das Qualicaes
. . . . . . . . . . . . . . . . . . .
60
5.7
Anlise de Sobrecarga
. . . . . . . . . . . . . . . . . . . . . . . . . . .
60
5.8
Concluso
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
62
5.3
6 Concluses
65
6.1
Contribuies
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
6.2
Trabalhos Futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
66
Referncias Bibliogrcas
69
xvi
Lista de Figuras
2.1
Arquitetura bsica de uma VANET [Raya e Hubaux, 2005].
2.2
Disseminao de mensagem em cenrio de perigo [Kosch, 2004].
2.3
reas geogrcas de um evento [Ostermaier, 2005].
2.4
Particionamento em VANETs [Warthman, 2003].
2.5
Modelo
armazenagem-e-repasse
[Warthman, 2003].
de
. . . . . . . .
. . . . . .
10
. . . . . . . . . . . . .
11
. . . . . . . . . . . . . .
17
encaminhamento
de
mensagens
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
18
2.6
Arquitetura das redes DTN [Warthman, 2003]. . . . . . . . . . . . . . . . .
20
5.1
Mapa digital de Belo Horizonte e a representao grca do arquivo WKT

gerado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
50
5.2
Percentual total de decises erradas variando o percentual de intrusos na rede 54
5.3
Percentual dirio de decises erradas na rede . . . . . . . . . . . . . . . . .
5.4
Percentual total de decises indicadas variando o tamanho das reas geogrcas
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
56
57
5.5
Percentual total de decises erradas variando o tamanho das reas geogrcas 58
5.6
Quantidade total de falsos positivos variando o tamanho das reas geogrcas 58
5.7
Escabilidade do percentual de decises erradas variando a quantidade de

veculos
5.8
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
59
Intervalos mdios entre a gerao e a entrega das qualicaes emitidas . .
60
xvii
Lista de Tabelas
5.1
Distribuio dos veculos entre as regies da Figura 5.1 . . . . . . . . . . .
50
5.2
Probabilidade de ocorrncia dos eventos ao longo do dia
. . . . . . . . . .
52
5.3
Variao do raio das regies geogrcas de um evento . . . . . . . . . . . .
57
xix
Captulo 1
Introduo
Nos ltimos anos, redes de computadores com e sem o tm possibilitado a conexo
de diversos tipos de dispositivos como PC's, PDA's e celulares, mesmo existindo uma
grande distncia entre eles.
Nos cenrios de comunicao sem o, as redes ad hoc
mveis (Mobile Ad Hoc Networks - MANETs) tm sido foco de muitos estudos.
As
redes ad hoc veiculares (Vehicular Ad Hoc Networks - VANETs) so um dos tipos de

redes MANETs mais estudados, devido aos seus desaos e s suas inmeras aplicaes,
como por exemplo, a troca de mensagens informando condies de trfego ou outras
situaes de risco possivelmente existentes na via de deslocamento.
Embora em VANETs sejam empregados dispositivos mais poderosos que aqueles
comumente utilizados nas MANETs, os quais possuem grande capacidade de comunicao e, geralmente, energia ilimitada, membros de VANETs podem ser submetidos
a momentos de desconexo total, ocasionados, por exemplo, por sua alta mobilidade
ou mesmo pelas variaes do meio fsico sem o. Assim, solues propostas para essas
redes precisam levar em considerao a existncia dessas situaes. O conceito de redes
tolerantes a falhas e desconexes (Delay and Disruption Tolerant Networks - DTN's)
[Fall, 2003] surge ento como uma soluo para possibilitar a comunicao em cenrios
nos quais a conectividade entre os membros intermitente ou existem grandes atrasos.
Alm de considerar possveis momentos de desconexo na rede, outro fator crtico
para o sucesso de aplicaes em VANETs o comportamento de membros da rede.
Nesses tipos de cenrios, nos quais existem trocas de informaes entre tais membros,
existe sempre o risco de algum deles agir de modo egosta, ou seja, condicionar seu
comportamento de acordo com seus interesses pessoais, em detrimento do interesse
geral.
Logo, visando minimizar as consequncias de comportamentos desse tipo e consequentemente, aumentar a segurana das redes como um todo, solues que motivem a
cooperao e honestidade de seus membros tornam-se necessrias [Dotzer et al., 2005].
Captulo 1. Introduo
Mecanismos de reputao contribuem com esse objetivo na medida em que permitem

aos membros da rede decidir em quem conar antes mesmo do incio da troca de dados
[Swamynathan et al., 2007]. Esses sistemas assumem que o comportamento antigo de
um membro indica de forma bem convel seu comportamento futuro.
Porm, nas redes veiculares, a constante mobilidade de seus membros em altas velocidades diminui muito as oportunidades de conexo por eles experimentadas. Assim,
tais oportunidades devem ser usadas, majoritariamente, para a troca de dados, o que
diculta a troca de informaes de reputao entre eles. Dessa forma, a melhor maneira de denir a reputao de um membro seria ele prprio guardar seus dados de
reputao, desde que a integridade dessas informaes possa ser garantida.
Neste trabalho proposto um mecanismo de reputao que faz uso de qualicaes
emitidas por terceiros. Dessa maneira, toda vez que um membro tem uma experincia
de comunicao positiva com outro membro, uma qualicao emitida e assinada pelo
primeiro, dicultando assim alteraes posteriores.
Tal qualicao encaminhada
pela rede, mesmo sob condies de desconectividade, at encontrar seu destino.
As
qualicaes recebidas so ento adicionadas por seus portadores s mensagens de

dados por eles geradas, com o objetivo de atestar sua conabilidade.
1.1 Objetivos
Este trabalho tem como objetivo a proposio e anlise de um mecanismo de reputao que permita aos membros da rede avaliar previamente a conabilidade de novos
vizinhos, antes mesmo da realizao de uma transao. Isso feito atravs do uso de
qualicaes emitidas por terceiros conveis, atestando a conabilidade de seu portador. Como cada qualicao emitida deve ser encaminhada pela rede em direo a
seu destino, objetivamos tambm que o mecanismo proposto seja capaz de suportar os
possveis perodos de desconexo experimentados pelos ns intermedirios no caminho
percorrido por essas qualicaes entre origem e destino.
1.2 Contribuies
O estudo do problema de conabilidade das informaes recebidas em aplicaes de
segurana em redes veiculares, o desenvolvimento e a avaliao de mecanismo de reputao resiliente a interrupes de comunicao trazem as seguintes contribuies:
Concepo de um mecanismo de reputao para redes veiculares tolerantes a

atrasos e desconexes, denominado RMDTV, que permite aos membros de rede
1.3.
Organizao do Texto
tomar decises sobre eventos existentes na via, com base nas mensagens recebidas
informando as condies dos referidos eventos, de forma mais segura. Esse protocolo faz uso de qualicaes anexadas s mensagens geradas, as quais atestam
a conabilidade da origem dos dados.
Implementao do mecanismo proposto utilizando o simulador Opportunistic

Network Environment (ONE) que permite simular redes nas quais a conectividade intermitente.
Avaliao do desempenho do mecanismo proposto, em relao a parmetros

como quantidade de intrusos e diferentes extenses das regies geogrcas de
um evento. Foi analisada tambm a escalabilidade do mecanismo e a sobrecarga
adicionada por ele rede veicular na qual ele utilizado.
1.3 Organizao do Texto

Esta dissertao est organizada em seis captulos.
No Captulo 2, apresentamos os
conceitos bsicos das redes ad hoc veiculares (VANETs). Em seguida discutimos sobre
os tipos aplicaes propostas para essas redes, com destaque para as aplicaes de
segurana. Apresentamos ento as caractersticas dos modelos de mobilidade existentes
para as VANETs. Por m, mostramos o problema de desconexes no roteamento dessas
redes, relacionado s constantes mudanas em suas topologias, e como aplicao dos
conceitos de redes tolerantes a atrasos e desconexes (DTNs) pode ajudar a mitig-lo.
No Captulo 3 apresentamos os principais conceitos de segurana relacionados s
redes veiculares, como pers de intrusos, possveis ataques executados e solues de
criptograa. Discutimos tambm sobre a aplicabilidade de alguns mecanismos de segurana disponveis na literatura no contexto de aplicaes de segurana em redes
veiculares.
No Captulo 4 apresentamos o mecanismo proposto, denominado RMDTV, e descrevemos o funcionamento de cada fase do mesmo, bem como especicamos o formato
das mensagens utilizadas.
No Captulo 5 feita uma avaliao do desempenho da soluo de reputao proposta.
Avaliamos o RMDTV, por meio de simulaes, comparando seu desempenho
com o de uma rede na qual no utilizado nenhum mecanismo de reputao.
Em
seguida, avaliamos o impacto da extenso das regies geogrcas ao redor dos eventos
simulados.
Discutimos tambm sobre a escalabilidade do melanismo proposto, bem
como a necessidade da aplicao do conceito das redes DTN rede veicular simulada.
Por m, avaliamos a sobrecarga adicionada pelo RMDTV rede simulada.
Captulo 1. Introduo
Por m, apresentamos no Captulo 6 as concluses da anlise do RMDTV. Vislumbramos tambm a possibilidade de trabalhos futuros para mecanismos de reputao
em redes veiculares tolerantes a atrasos e desconexes.
Captulo 2
Redes Mveis Veiculares
Neste captulo apresentamos e descrevemos os principais conceitos, a arquitetura, os
tipos de aplicaes existentes, os modelos de mobilidade e os problemas de desconexo
relacionados s redes ad hoc veiculares (VANETs). A Seo 2.1 descreve as principais
caractersticas de uma VANET. A Seo 2.2 apresenta a arquitetura bsica de uma
VANET. A Seo 2.3 lista alguns tipos de aplicaes j propostas para as VANETs,
com destaque para a descrio completa de uma aplicao de segurana para essas
redes. A Seo 2.4 discute as caractersticas dos modelos de mobilidade existentes para
as VANETs e apresenta o modelo de mobilidade adotado neste trabalho. Por m, na
Seo 2.5 mostrado o problema de desconexes no roteamento das VANETs e como o
uso dos conceitos de redes tolerantes a atrasos e desconexes (DTN) permite s redes
veiculares suportar tais situaes sem maiores prejuzos ao seu desempenho.
2.1 VANETs
Nos ltimos anos, as redes ad hoc mveis (Mobile Ad Hoc Netwoks - MANETs) tm
recebido muita ateno da comunidade acadmica. Inicialmente direcionadas apenas
para ambientes militares e de emergncia, essas redes passaram a ser foco de grande
interesse comercial, uma vez que o aumento do uso de aparelhos mveis, como celulares e PDAs, criou uma forte demanda por aplicaes capazes de dar suporte a esses
dispositivos. Dessa forma, uma MANET assim denida pela [Manet, 2009]:
Uma MANET um sistema autnomo de roteadores mveis (e hosts associados) conectados por enlaces sem o - a unio desses dispositivos forma
um grco arbitrrio.
Os roteadores so livres para se mover aleatoria-
mente e se organizar arbitrariamente assim, a topologia da rede sem o

pode se alterar de forma rpida e imprevisvel. Tal rede pode ainda operar
5
Captulo 2. Redes Mveis Veiculares
isoladamente ou estar conectada Internet.

Dentre os tipos de MANETs mais estudados atualmente esto as redes ad hoc
veiculares (Vehicular Ad hoc Networks - VANETs), redes nas quais os veculos atuam
como dispositivos mveis. Um dos principais objetivos dessas redes criar condies
seguras de circulao para os veculos que trafegam em uma via. Isso feito atravs da
troca de mensagens entre esses veculos informando as condies do trnsito, ocorrncia
de acidentes, obstrues, etc. De acordo com [Raya e Hubaux, 2005], podemos destacar
como principais caractersticas das VANETs:
Banda disponvel:
as tecnologias sem o disponveis atualmente possuem ca-
pacidades de transmisso signicativamente menores que aquelas disponveis em

redes cabeadas.
Conectividade varivel no tempo:
a conectividade da rede dependente de
fatores como sua densidade em determinado ponto, a velocidade de deslocamento

dos veculos, o sentido desse deslocamento e o raio de alcance dos dispositivos
mveis instalados nesses veculos.
Assim, da mesma forma que podem existir
reas nas quais um veculo mantm um grande nmero de conexes, tambm

possvel a formao de ilhas de conexo em certos pontos da rede.
Cooperao:
a funcionalidade da rede recai totalmente sobre a cooperao dos
veculos que a compem. Sem a participao destes, as informaes geradas no

se tornam de conhecimento geral.
Escala:
com milhares de veculos distribudos por todos os lugares, as VANETs
podero se tornar a maior rede ad hoc mvel existente no futuro.
Mobilidade organizada:
diferentemente das MANETs tradicionais, os mem-
bros de uma VANET no se movimentam de maneira aleatria, mas sim dentro

de vias de trfego existentes e sob a regncia de leis de circulao que denem,
por exemplo, o sentido de circulao e a velocidade mxima permitida.
Topologia dinmica da rede:
graas alta mobilidade aliada a grandes velo-
cidades, a topologia das VANETs pode mudar rpida e frequentemente.
Recursos energticos e computacionais:
considera-se que VANETs possuem
recursos energticos e computacionais sucientes para as aplicaes desenvolvidas, ao contrrio das MANETs tradicionais;
Segurana:
com o acesso compartilhado ao meio, essas redes so muito mais
suscetveis a ataques que as redes cabeadas convencionais.
2.2.
Arquitetura das VANETs
2.2 Arquitetura das VANETs

A arquitetura de uma VANET consiste basicamente de veculos comunicando entre
si, atravs de conexes sem o, como tambm com estaes base xas existentes ao
longo da via. Embora existam diversas aplicaes visionadas para as VANETs (Seo
2.3) essa comunicao visa principalmente a troca de informaes de forma aumentar
a segurana e a ecincia do trfego na via.
A Figura 2.1 apresenta uma viso em
alto nvel dessa arquitetura. Nela, os componentes da rede trocam mensagens sobre
um evento de emergncia existente na via (uma coliso entre dois carros) de forma que
os veculos se aproximando dessa regio, ao serem informados dessa situao, possam
tomar aes, como por exemplo, a reduo gradativa da velocidade de deslocamento,
evitando assim novos acidentes.
Figura 2.1.
Arquitetura bsica de uma VANET [Raya e Hubaux, 2005].
2.2.1 Estaes base

As estaes base so dispositivos geralmente localizados ao lado das vias de trfego,
responsveis por prover comunicao entre a rede veicular e outros tipos de redes,
como a Internet.
Alm disso, podem atuar tanto na gerao de novas informaes
quanto no roteamento de dados gerados por terceiros. De maneira geral, essas estaes
so controladas por agncias governamentais, o que garante sua idoneidade. Todavia,
tambm podem pertencer a provedores de servio, para atender a ns comerciais.
2.2.2 Veculos
Os veculos so os principais membros da VANET, pois graas a sua mobilidade, informaes geradas em um ponto da rede so transportadas at pontos distantes de sua
posio inicial. Alm disso, atuam como os principais observadores de eventos ocorridos na via, uma vez que acidentes, congestionamentos e outros problemas de trfego
podem ocorrer fora do raio de alcance das estaes base.
Os veculos participantes podem ser tanto particulares (carros, caminhes, etc),
pblicos (nibus) ou at mesmo ociais (viaturas policiais e ambulncias).
Entre-
tanto, os chamados veculos inteligentes, como so conhecidos os membros mveis

de uma VANET, necessitam de alguns componentes que possibilitem a comunicao e a execuo dos aplicativos distribudos.
Os principais componentes, conforme
[Hubaux et al., 2004], so descritos abaixo:
Sensores:
so os responsveis pelo monitoramento dos eventos ocorridos com o
veculo e ao seu redor. Variam desde um simples sensor de temperatura at um

radar capaz de determinar a velocidade dos outros veculos trafegando na via.
Unidade de computao:
unidade central de processamento do veculo,
responsvel, por exemplo, por transformar os dados obtidos pelos sensores em

informaes relevantes para o motorista e para toda a rede. o nico componente
que se comunica com todos os outros.
Unidade de armazenamento:
guarda os dados utilizados pela unidade de
computao e tambm as informaes geradas por ela, para possveis consultas

futuras ou envio pela rede.
Unidade de comunicao:
habilita a comunicao sem o com outros ve-
culos e com as estaes base. Essa comunicao pode fazer uso de uma verso
customizada do padro IEEE 802.11, proposta em [DSRC, 2009].
Sistema de posicionamento:
um Global Position System (GPS) permite ao
veculo informar com maior segurana o local onde foram observados os eventos
por ele detectados. Da mesma forma, esse sistema permite unidade de computao calcular, por exemplo, a distncia em relao a um evento relatado por
outro veculo da rede, de forma que as aes sugeridas por ela ao motorista sejam
as melhores possveis.
Interface com o usurio:
mostra ao motorista, de forma amigvel e intui-
tiva, os resultados obtidos pela unidade de computao. Considera-se que essa
2.3.
Aplicaes em VANETs
unidade faa uso de mapas digitais para mostrar a localizao dos eventos relatados, ou para exibir uma rota de desvio, possivelmente calculada pela unidade
de computao.
2.3 Aplicaes em VANETs

Existem muitos tipos de aplicaes propostas para as VANETs [Car2Car, 2009]. Essas
aplicaes podem ser divididas em dois grandes grupos:
1.
Segurana e controle de trfego
Informao de perigos:
ao identicar um perigo na via, como acmulo
de leo na pista, ou mesmo um acidente, o veculo gera uma mensagem e a

distribui informando a situao aos outros veculos.
Otimizao do trfego:
so geradas mensagens com informaes sobre a
intensidade do trfego nas vias. A partir do recebimento desses dados, os

motoristas podem denir rotas otimizadas para seus trajetos evitando, por
exemplo, trafegar em regies onde foi reportada a existncia de congestionamentos.
2.
Entretenimento e outras
Acesso Internet:
veculos utilizam a infraestrutura criada pela VANET
para acesso Internet.
Marketing:
veculos recebem informaes sobre possveis pontos de inte-
resse, como postos de gasolina, ocinas mecnicas, bancos e outros.
Dentre as aplicaes relacionadas segurana, a troca de Mensagens de Perigo Local

(Local Danger Warnings - LDWs), que so informaes baseadas nas leituras obtidas
pelos sensores locais dos veculos, mostra-se como uma das mais promissoras, dado
o signicativo benefcio coletivo trazido pela disseminao de mensagens informando
situaes de risco na via.
Denida inicialmente em [Kosch, 2004], essa aplicao foi
alvo de estudos tambm em [Ostermaier, 2005] e [Adler e Strassberger, 2006].

Este trabalho tem como objetivo nal aumentar o nvel de segurana de uma
VANET na qual esteja executando um sistema LDW. Assim, torna-se necessria uma
discusso maior sobre esse tipo de aplicao, o que feito na subseo seguinte.
10
2.3.1 Aplicao de mensagem de perigo local

Nos ltimos tempos, o trfego nas grandes cidades tem aumentado continuamente.
Entre as conseqncias dessa situao, podemos citar o crescimento substancial do
nmero de congestionamentos e acidentes nas ruas e estradas.
Eventos como esses,
alm de representarem perda de tempo, uma vez que obstruem a uidez normal do
trnsito, representam tambm riscos reais segurana dos motoristas.
Logo, seria
interessante se os motoristas fossem avisados o mais rpido sobre esses problemas, de

forma que aes paliativas pudessem ser tomadas, diminuindo ento as conseqncias
geradas por tais situaes.
Em uma Aplicao de Mensagem de Perigo Local (Local Danger Warning Appli-
cation ), eventos de risco detectados pelos sensores dos veculos geram mensagens de
aviso que so disseminadas pela rede.
A cada evento detectado gerada uma nova
mensagem informando sua condio. A Figura 2.2 exemplica o processo de deteco

de disseminao de informaes sobre um evento de risco.
Nela, o veculo 1, aps
detectar o acmulo de leo na pista, distribui na rede uma mensagem informando o

problema aos outros veculos. Estes, por sua vez, atuaro como roteadores da mensagem, aumentando assim consideravelmente o alcance deste aviso. Ao receber uma
mensagem, o aplicativo LDW avaliar seu contedo. Toda vez que esse aplicativo considerar suciente as evidncias de um evento, ele far uso da interface com o usurio
para comunic-lo da existncia do problema. Assim, o motorista ter tempo hbil para
reagir quela situao da maneira mais segura possvel.
Figura 2.2.
Disseminao de mensagem em cenrio de perigo [Kosch, 2004].
Analisando a Figura 2.2, podemos perceber tambm que a referncia geogrca tem
2.3.
11
Aplicaes em VANETs
um papel importante em aplicaes LDW. Na situao ilustrada, os dados disseminados

sobre o acmulo de leo sero provavelmente considerados irrelevantes pelos veculos
circulando no sentido contrrio deste, como o carro 2, localizado na parte superior
direita da gura, uma vez que este tende a no trafegar pela regio de perigo informada
nas mensagens. Assim, de forma a controlar a deteco de eventos, a distribuio de
mensagens e o processo de tomada de decises [Dotzer et al., 2005] denem que cada
evento existente na rede circundado por trs regies geogrcas (Figura 2.3), denidas
a seguir.
Figura 2.3.
reas geogrcas de um evento [Ostermaier, 2005].
A rea mais externa identicada como rea de disseminao.
Ao entrar nessa
regio, os veculos comeam o processo de coleta e repasse das informaes recebidas

sobre o evento. Ao atingir a rea intermediria, chamada de rea de deciso, o veculo
determina se alguma ao deve ser tomada acerca das informaes recebidas sobre
determinado evento. A rea central, rea de reconhecimento, caracterizada por ser a
nica regio onde um veculo capaz de detectar, atravs da leitura de seus sensores
locais, a presena de um evento na via, ou seja, somente veculos nessa rea podem
criar novas mensagens informando a ocorrncia de eventos.
Neste trabalho as regies geogrcas assumiram formas circulares. Entretanto, tais
regies podem ser adaptadas para seguir o formato das vias. Alm disso, o tamanho
dessas reas pode variar devido a fatores como a densidade da rede ou o tipo de evento
ocorrido. A inuncia dessas variaes ser discutida adiante.
2.3.1.1 Fases de um sistema LDW

A partir das regies que circundam um evento, um sistema LDW constitudo basicamente de trs passos, segundo [Ostermaier et al., 2007]:
12
1.
Deteco de eventos
O processo de deteco de eventos na via deve acontecer de forma automtica,
sem a participao dos motoristas. Todavia esse processo no simples e ainda
objeto de estudo [Adler e Strassberger, 2006].
Por exemplo, pode ser difcil
calcular a dimenso exata de um congestionamento, haja vista que so necessrios

dados de velocidades dos veculos vizinhos para essa denio.
Consideramos
neste trabalho que os eventos podem ser captados pelos sensores dos veculos
de forma simples e direta, sem a necessidade de anlises mais complexas. Esse
processo de deteco de eventos conhecido como experincia.
2.
Disseminao de mensagens
Toda vez que um veculo tem uma experincia, uma mensagem criada e disseminada pela rede. Todo receptor dessa mensagem determinar, a partir da sua
relevncia, se ela ser simplesmente descartada ou guardada para ser utilizada no
processo de deciso, sendo neste caso tambm encaminhada para outros veculos
da rede. Com esse procedimento, experincias realizadas por veculos que j deixaram a rea de disseminao ainda podem ser utilizadas por outros veculos em
seu processo de deciso.
A denio da relevncia de uma mensagem pode levar em considerao vrios
aspectos, como o horrio de gerao da mensagem, sua origem ou at mesmo
seu contedo. Como todos os veculos da rede executam os mesmos algoritmos,
enquanto uma mensagem for relevante para um veculo, tambm o ser para
todos os outros.
Quando o veculo deixa a rea de disseminao a mensagem
no descartada, apenas seu envio suspenso. Assim, caso ele retorne rea
do evento, ela ainda pode ser usada no processo de deciso. Assim, reforamos
que o no atendimento aos critrios de relevncia o nico motivo que leva ao
descarte de uma mensagem.
A disseminao das mensagens geradas realizada atravs de um processo simples
de difuso (broadcast ).
Embora existam algoritmos de propagao otimizados,
como aqueles propostos em [Li e Lou, 2008] e [Sun e Garcia-Molina, 2004], estes
esto alm do escopo deste trabalho.
A distncia entre o limite exterior da rea de disseminao e o limite exterior da
rea de deciso, representada na Figura 2.3 por
2,
diretamente proporcional
quantidade de mensagens recebidas pelo veculo durante o processo de coleta.

Assim, caso
seja muito pequeno, o veculo pode receber uma quantidade
insuciente de mensagens antes do processo de deciso. Todavia, caso
seja
muito grande, um carro estar sujeito a receber muitas mensagens desatualizadas,
2.3.
13
Aplicaes em VANETs
graas aos intervalos de distncia e tempo entre o ponto de origem e o ponto de

recebimento desses dados.
3.
Processo de deciso
Imediatamente aps entrar na rea de deciso, um veculo, a partir das mensagens relevantes nele armazenadas, decide se avisa ou no ao motorista sobre uma
possvel situao de risco. Esse processo executado somente uma vez a cada
entrada do veculo nessa rea. Nessa etapa existe o risco de erros nas decises
tomadas, causados por motivos como informaes insucientes, informaes desatualizadas e at mesmo informaes erradas enviadas por veculos com interesses
escusos na rede. O objetivo do mecanismo de reputao proposto neste trabalho
atuar nessa etapa do processo de uma aplicao LDW, de forma a minimizar o
nmero de decises tomadas erroneamente.
Podemos perceber que, da mesma maneira que
2,
a distncia entre o limite
exterior da rea de deciso e da rea de reconhecimento, representada na Figura

2.3 por
1,
tambm inui de forma decisiva na qualidade das decises tomadas
por um veculo.
Com
pequeno, o tempo hbil de reao para o conjunto
veculo-motorista torna-se muito curto, o que pode at mesmo inviabilizar uma

atitude segura, como uma mudana de rota, ou uma frenagem de emergncia.
J com
grande, um evento pode sofrer alteraes ou at mesmo desaparecer
no intervalo de tempo entre a tomada de deciso e a chegada do veculo ao local

referido nas mensagens recebidas.
2.3.1.2 Contedo de uma mensagem LDW

Embora outros tipos de contedo possam ser adicionados, segundo [Ostermaier, 2005],
a mensagem de uma aplicao LDW deve conter ao menos as seguintes informaes:
Identidade da origem:
identica o membro da rede responsvel pela gerao
dos dados. No caso dos veculos, a identidade deve ser amarrada ao veculo, e no
ao seu motorista. Essa identicao permite que vrias mensagens informando
um mesmo evento sejam consideradas por um veculo, devido s suas diferentes
origens. Como veremos mais frente, neste trabalho, a fonte de uma mensagem
tambm ser utilizada para denir a relevncia dos dados por ela informados.
local da experincia:
O local de uma experincia permite ao receptor da men-
sagem denir se o evento est localizado em sua rota. Assim, possvel a denio
das trs reas geogrcas anteriormente denidas e a execuo de seus respectivos
processos.
14
horrio da experincia:
O tempo de vida de uma mensagem denido a partir
do horrio de sua criao. Logo, a incluso do horrio da experincia, permite ao

veculo receptor denir localmente se a mensagem recebida est desatualizada e
deve ento ser descartada.
tipo de experincia:
Aqui informado o tipo de evento observado pela fonte,
como por exemplo, congestionamentos, acidentes, aquaplanagens ou outras situaes de perigo que merecem a ateno do motorista.
2.4 Mobilidade em VANETs

Diferentemente das MANETs, nas quais o movimento dos membros da rede acontece, de maneira geral, em campo aberto, nas redes veiculares esses membros tm
seu movimento restrito por vias pr-existentes, nas quais existem bloqueios como prdios e rvores, que inuenciam na taxa de conectividade experimentada por um veculo.
Alm disso, o movimento dos membros regulado por leis que denem, por
exemplo, a velocidade mxima e mnima permitidas.
Assim, o uso de modelos de
mobilidade simplistas, como o Random Waypoint - (RWP) [Johnson e Maltz, 1996],

em simulaes de redes veiculares gera resultados sensivelmente diferentes daqueles
conseguidos por modelos que respeitam as restries citadas, como comprovado em
[Chones e Bustamante, 2005].
Existem, na literatura, muitos modelos de mobilidade propostos para VANETs. De
acordo com [Hrri et al., 2007], que discute as caractersticas de vrios modelos, tais
propostas podem ser divididas em quatro grandes grupos:
Modelos sintticos:
so modelos criados exclusivamente a partir de formula-
es matemticas. Assim, os veculos desconsideram qualquer tipo de estmulo

recebido do meio, fato que visto como um problema grave, uma vez que tais
perturbaes poderiam causar variaes considerveis na modelagem do trfego.
Modelos baseados em pesquisas:
so baseados em pesquisas realizadas so-
bre padres de comportamento de grandes grupos.
Modelam, por exemplo, o
comportamento de pessoas que utilizam seus automveis para atividades dirias

como ir e voltar do trabalho, simulando seus horrios de chegada e sada, almoo,
etc.
Modelos baseados em traces reais:

reais.
so extrados de grandes massas de dados
Com o auxlio de modelos matemticos, padres podem ser extrados e
2.4.
15
Mobilidade em VANETs
renados a partir desses dados.
Tm como maior problema o alto custo para
obteno desses traces.
Modelos baseados em simuladores de trfego:
so complexos modelos sin-
tticos obtidos aps um pesado processo de validao no qual so utilizados tanto
traces reais como padres de comportamento. Devido a sua natureza comercial,

suas licenas tm custo da ordem de milhares de dlares, o que se torna o maior
entrave sua disseminao entre a comunidade acadmica.
Neste trabalho, o modelo de mobilidade utilizado foi o Movimento em um Dia

de Trabalho (Working Day Movement - WDM) [Ekman et al., 2008]. Proposto inicialmente para Redes Tolerantes a Atrasos e Desconexes (Delay Tolerant Networks DTN) [Fall, 2003], este modelo, validado a partir de traces reais, simula um dia comum
na vida de pessoas que acordam pela manh, seguem para o trabalho, onde permanecem at o m da tarde, quando ento, retornam para casa. Essas pessoas levam consigo
dispositivos portteis capazes de realizar conexes, como celulares e PDAs. A partir
de sua descrio geral, percebemos que o WDM simula o comportamento de um grupo
de pessoas certamente interessado no estabelecimento de uma VANET na qual so trocadas mensagens sobre as condies de trfego das vias, uma vez que tais informaes,
caso essas pessoas estivessem circulando de carro, permitiriam a elas a escolha de rotas
melhores no intuito de reduzir o tempo gasto diariamente nos trajetos casa-trabalho e
trabalho-casa. O funcionamento detalhado do WDM descrito a seguir.
Primeiramente, cada pessoa tem seu horrio de acordar denido.
Essa denio
pode ocorrer de forma aleatria ou seguir alguma distribuio estatstica. Nesse horrio,
as pessoas saem de casa e seguem para o trabalho. Esse deslocamento pode ser feito com
o uso de carro, nibus ou mesmo a p. A durao do perodo trabalhado congurvel
e durante esse tempo o movimento das pessoas dentro do escritrio simulado, de
forma que elas experimentem maiores oportunidades de conexo. Ao nal do dia, elas
escolhem, a partir de uma probabilidade pr-denida, se seguem direto para casa ou
para algum ponto de atividades noturnas. Aqui novamente so utilizados os modelos
de transporte anteriormente citados. Essas atividades podem ser entendidas como um
passeio no shopping, um restaurante, um bar, etc.
De forma anloga ao tempo de
trabalho, a durao dessas atividades tambm congurvel e durante sua execuo

as pessoas se movimentam, o que permite o estabelecimento um nmero maior de
conexes. Ao nal, elas seguem para casa. Em casa, no h simulao de movimentos,
como se o dispositivo fosse colocado em cima de uma mesa at o incio de um novo dia,
quando todo o ciclo se repete.
Todas as movimentaes propostas pelo modelo acontecem dentro de um mapa.
16
Tal condio de suma importncia, haja vista que as restries impostas pelas vias
existentes inuenciam o desempenho da rede.
A denio da localizao da casa, escritrio e local de atividades noturnas de
cada pessoa feita uma nica vez no incio da simulao.
Essa denio pode ser
totalmente aleatria ou pode ser restrita a determinadas reas, o que simula, por
exemplo, a existncia de regies residenciais e comerciais dentro de uma cidade. Os
pontos escolhidos so conhecidos como pontos de interesse de uma pessoa. Da mesma
forma, o meio de transporte utilizado tambm denido no incio da simulao. Pessoas
que possuem carro utilizam somente esse meio de transporte durante todo o tempo
simulado.
Para o caso das demais pessoas, elas fazem o percurso de nibus caso a
distncia Euclidiana entre o ponto de origem e o ponto de nibus mais perto, somado
com a distncia Euclidiana entre o destino e o ponto de nibus mais perto seja menor
que a distncia Euclidiana entre origem e destino. Caso contrrio, elas decidem realizar
o percurso caminhando.
Embora o WDM permita que as pessoas experimentem oportunidades de conexo
a todo momento, nosso interesse, neste trabalho, restringiu-se aos contatos estabelecidos sobre rodas. Dessa maneira, embora as movimentaes e seus horrios sigam
exatamente o que prope o modelo, somente as mensagens trocadas entre as pessoas
trafegando de carro e os nibus, que percorriam continuamente rotas previamente denidas no cenrio simulado, foram consideradas.
2.5 Desconexo em VANETs

A mobilidade a altas velocidades, uma das principais caractersticas das VANETs,
impe grandes desaos aos protocolos de roteamento existentes.
Essa mobilidade,
restrita s ruas e estradas previamente denidas, responsvel por profundas alteraes

na topologia da rede.
Assim, da mesma forma que a rede pode apresentar grandes
densidades no centro de uma cidade ou durante um congestionamento, essa densidade

pode cair a valores mnimos em bairros distantes, regies rurais e vias de trfego livre.
Para o segundo tipo de situao, protocolos de roteamento comuns, que consideram
a existncia permanente de um caminho m-a-m entre um par qualquer de veculos,
podem falhar na entrega de suas mensagens.
Segundo
teorema
abaixo,
cuja
demonstrao
pode
ser
encontrada
em
[Xue e Kumar, 2004], para que o problema de desconexes em uma rede sem o inexista, necessrio e suciente que cada membro tenha
nmero total de membros dessa rede.
(log n)
vizinhos, sendo n o
2.5.
17
Desconexo em VANETs
Teorema 1
2 , com n membros distribudos de maneira uniforme e independente em S . Seja G(n, n ) a rede formada em S quando cada membro
est conectado a seus n vizinhos mais prximos. Para G(n, n ) ser assintoticamente
conectada, (log n) vizinhos so necessrios e sucientes. Sendo P r{A} a probabilidade de ocorrncia do evento A, existem, precisamente, duas constantes 0 < c1 < c2
Seja
um quadrado em
tais que:
lim P r{G(n, c1 log n)

lim P r{G(n, c2 log n)
n
n
desconectada}
=1
conectada} = 1
Em uma VANET, existem outros fatores, alm dos anteriormente citados, que
inuem na densidade da rede.
Alm disso, interferncias no sinal de comunicao,
causadas por construes e outras obstrues, podem afetar de forma signicativa a

conectividade nessa rede. Assim, impossvel garantir que cada veculo estar sempre
conectado a
(log n)
vizinhos.
A Figura 2.4 exemplica uma situao na qual um veculo tenta enviar dados para
outro em uma rede particionada. Como no possvel estabelecer um caminho m-am entre origem e destino, o mecanismo utilizado para a comunicao deve suportar o
atraso gerado pela interrupo, que pode ser de horas ou at mesmo dias.
Figura 2.4.
Particionamento em VANETs [Warthman, 2003].
Situaes como a exemplicada acima geram novos desaos para os mecanismos

de comunicao das redes veiculares. Nesses cenrios, pode-se tentar continuamente o
restabelecimento da conexo ou ento adaptar-se a essa desconexo temporria. Uma
opo para contornar esse tipo de problema a utilizao dos conceitos de redes tolerantes a atraso e desconexes no roteamento em redes veiculares [Burgess et al., 2006].
Nessas redes, a comunicao feita no momento do estabelecimento de contatos agendados ou oportunsticos. Assim, os dados recebidos ou gerados por um veculo devem
ser armazenados at que uma conexo esteja disponvel, quando ento so transmitidos.
Logo, os veculos atuam como roteadores de dados quando existem conexes
estabelecidas ou como armazenadores desses dados, quando a rede est particionada.
18
Os conceitos das redes tolerantes a atrasos e desconexes so discutidos de maneira

aprofundada na subseo seguinte.
2.5.1 Redes tolerantes a atrasos e desconexes

Veculos em VANETs podem ser submetidos a perodos de desconexo na rede. Alm
disso, fatores como a mobilidade desses veculos a grandes velocidades podem gerar
alteraes signicativas na topologia de tais redes, levando formao das chamadas
ilhas de conexo.
Assim, diferentemente dos protocolos de comunicao atuais, que
consideram a existncia de conectividade contnua entre origem e destino, tais situaes

devem ser levadas em considerao na proposta de aplicaes para VANETs, de forma
a impactar o mnimo possvel o desempenho da rede.
As Challenge Networks [Fall, 2003] so tipos redes caracterizadas pela comunicao
intermitente, latncias variveis, taxas de dados assimtricas e grandes percentuais de
erros. Dadas essas caractersticas especiais, aplicaes nessas redes comportam-se de
maneira diferente quando comparadas quelas de redes convencionais.
De forma a possibilitar a comunicao nesses cenrios desaadores, foram criadas as
redes tolerantes a atrasos e desconexes (Delay Tolerant Networks - DTN) [Fall, 2003].
DTNs contornam as questes existentes nas Challenge Networks utilizando o conceito
de armazenagem-e-repasse para o encaminhamento de mensagens. Esse mtodo dene
que um membro deve armazenar uma mensagem at que seja possvel encaminhla a outro membro na rede, como mostra a Figura 2.5.
O armazenagem-e-repasse
utilizado nos sistemas de e-mail atuais, nos quais fonte e destino contactam, de
forma independente, um servidor localizado no caminho entre ambos, responsvel por
armazenar as mensagens trocadas.
Modelo armazenagem-e-repasse de encaminhamento de mensagens

[Warthman, 2003].
Figura 2.5.
O modelo armazenagem-e-repasse implementado pelas DTNs a partir da criao

de uma nova camada sobrepondo toda a pilha denida pelo modelo OSI, a camada de
agregao (camada bundle ). Essa camada armazena e enleira as mensagens agregadas
2.5.
19
Desconexo em VANETs
(os bundles ) recebidas por um membro da rede DTN at que seja novamente estabelecida a conexo. Segundo [Warthman, 2003], esse armazenamento deve ser persistente,
devido aos seguintes motivos:
Um enlace de comunicao para o prximo salto pode car indisponvel por um

longo tempo.
Um membro pode estabelecer conexo com outro capaz de enviar ou receber os

dados mais rapidamente que ele. Assim, necessrio armazenamento temporrio
para acomodar diferenas de capacidade.
Pode haver necessidade de retransmisso de mensagem, caso acontea um erro

no prximo salto, ou haja recusa no recebimento da mensagem encaminhada.
Os
as
conceitos
redes
de
DTN
interplanetrias
podem
ser
aplicados
[Cerf et al., 2001],
rurais
vrios
tipos
de
redes,
[Seth et al., 2006],
como
MANETs
[Yang et al., 2006] e at mesmo em redes criadas para o rastreamento de animais selvagens, como a ZebraNet [Juang et al., 2002].
Alm disso, como a camada bundle
atua de maneira independente da tecnologia que d suporte a comunicao, existe a

possibilidade de interoperabilidade entre essas redes e a Internet, por exemplo.
Os protocolos de roteamento em uma rede DTN geralmente so escolhidos com base
em caractersticas da aplicao e da rede, como o modelo de mobilidade utilizado. Em
redes planetrias, por exemplo, o movimento dos planetas e satlites previsvel, de
forma que so estabelecidos os chamados contatos agendados. Dessa maneira, nessas
redes, os protocolos de roteamento utilizados so aqueles que realizam o roteamento
determinstico, uma vez que de conhecimento do membro quando existiro conexes
disponveis. Por outro lado, em redes veiculares, por exemplo, o movimento de seus
veculos pode ser arbitrrio, de forma que difcil prever quando um novo contato ser
estabelecido.
Por esse motivo, as conexes ativas em tais redes so denidas como
contatos oportunsticos.
Dada essa incerteza sobre novas possibilidades de conexo,
veculos nessas redes tendem a repassar as mensagens por eles armazenadas de forma
epidmica para todos os seus vizinhos ativos, na esperana de que esses dados atinjam
seu destino.
2.5.1.1 Arquitetura das redes DTN

O RFC 4838 [Cerf et al., 2007] dene a arquitetura de uma rede DTN como uma composio da pilha de camadas denida para a Internet (modelo TCP/IP), acrescida de
uma nova camada, chamada bundle, sobreposta camada de transporte. A existncia
20
dessa camada comum permite que redes DTN sejam compostas por vrias subredes heterogneas, nas quais os protocolos de comunicao das camadas inferiores podem ser
inteiramente distintos. Assim, segundo [Warthman, 2003], uma DTN uma rede de redes regionais, formando uma rede sobreposta (overlay ) no topo dessas redes, incluindo
a Internet.
A Figura 2.6 mostra uma comparao entre a pilha de protocolos da internet e das
redes DTN. Podemos perceber que para o funcionamento da rede DTN necessrio
apenas a existncia da camada bundle em todas as subredes que a compem, cando
ento cada subrede livre para implementar os protocolos de comunicao especcos s
suas caractersticas/necessidades particulares. A interface entre aplicaes e as tecnologias de comunicao utilizadas ca a cargo da camada bundle.
Figura 2.6.
Arquitetura das redes DTN [Warthman, 2003].
Os bundles podem ser de tamanhos variados e consistem de trs partes:
dados
da aplicao, informaes de controle (dados fornecidos pela origem descrevendo ao

destino como manusear as informaes recebidas) e o cabealho, inserido pela camada
bundle.
Em uma rede DTN, considera-se um membro como uma entidade na qual existe a
camada bundle. Um membro pode ser um host, roteador ou gateway (podendo tambm
assumir mais de um papel) atuando como fonte, destino ou repassador de bundles.
Hosts:
enviam e/ou recebem bundles, mas no os repassam. Caso sejam sub-
metidos a enlaces intermitentes, necessitam de armazenamento persistente, de

forma que seja possvel a formao de las de bundles at que esses enlaces estejam disponveis novamente.
Roteadores:
repassam os bundles dentro de uma subrede, podendo atuar tam-
bm como hosts.
De maneira anloga aos hosts, tambm necessitam de arma-
2.5.
21
Desconexo em VANETs
zenamento persistente para possveis formaes de las de bundles, caso sejam

submetidos a enlaces intermitentes.
Gateway:
encaminham os bundles entre duas ou mais subredes DTN, alm de
poderem atuar tambm como hosts. Possuem, obrigatoriamente, armazenamento

persistente para as mensagens recebidas. Devem ser capazes de realizar a conexo
entre subredes utilizando tecnologias de comunicao distintas.
2.5.1.2 Segurana em redes DTN

Redes DTN normalmente so submetidas a severas condies de escassez de recursos,
principalmente relacionadas comunicao.
Em redes planetrias, por exemplo, os
membros so submetidos a longos perodos de desconexo. Cenrios desse tipo tornam

necessrio o desenvolvimento de mecanismos de segurana capazes de conter ataques
executados tanto por membros internos, quanto por aqueles externos rede. Segundo
o RFC 4838 [Cerf et al., 2007], mecanismos propostos para essas redes devem objetivar
o atendimento dos seguintes requisitos:
Preveno contra o envio e armazenamento, pelos membros da rede, de dados de

aplicaes no autorizadas.
Preveno contra o envio de dados e a alocao de recursos maiores que os permitidos por aplicaes autorizadas.
Descarte de bundles modicados de maneira maliciosa durante seu roteamento.
Deteco e remoo de membros maliciosos.
Solues de segurana existentes para as redes tradicionais, como a publicao de

listas de revogao ou a realizao de consultas a servidores centrais em operaes de
autenticao e autorizao de transaes, podem no funcionar muito bem em redes
DTN, dados os grandes atrasos experimentados entre o envio e o recebimento de dados
por seus membros. Dessa maneira, mecanismos propostos para redes DTN tendem a
utilizar dois tipos de mecanismos de autenticao e vericao de integridade: ma-m e salto-a-salto. Enquanto o primeiro permite ao destino vericar a integridade
e autenticidade dos dados recebidos, o segundo permite aos membros roteadores no
caminho entre origem e destino a validao passo a passo, de forma que dados alterados ou fontes no conveis possam ser descobertas o mais rpido possvel, evitando
assim, problemas como a utilizao de recursos de comunicao e armazenamento por
aplicaes no autorizadas ou at mesmo ataques de negao de servio (DoS), nos
22
quais a rede inundada por pacotes de dados enviados geralmente por entidades no
autorizadas.
No Captulo 4, veremos que o RMDTV, mecanismo de reputao proposto neste
trabalho, faz uso de validaes salto-a-salto a m de detectar e descartar mensagens
geradas por fontes no conveis o mais rpido possvel, diminuindo assim, a ecincia
dos ataques executados por esses intrusos.
2.6 Concluso
Neste captulo apresentamos os principais conceitos de VANETs.
Comeamos com
a arquitetura da rede, passando pelas possveis aplicaes que podem ser executadas
nesse ambiente. Alm disso, discutimos os modelos de mobilidade e suas caractersticas
terminando com o problema de conectividade ao quais tais redes esto expostas.
Apesar de existirem vrios tipos de aplicaes visionadas para redes veiculares,
aquelas que fazem uso da troca de informaes entre os veculos visando uma maior
segurana no s das vias de trfego, mas tambm dos motoristas que nelas circulam,
despertam um interesse especial, haja vista que seus benefcios so no s nanceiros,
mas tambm sociais. Entre esse tipo de aplicao, a Aplicao de Mensagem de Perigo
Local (Local Danger Warning Application), j denida e estudada em trabalhos anteriores surge como uma boa soluo para reduzir os transtornos causados por situao
de risco em uma via de trnsito.
Am de que as simulaes sejam as mais dedignas possveis, o modelo de mobilidade utilizado em simulaes de VANETs deve considerar ao menos algumas caractersticas mais realistas, caso contrrio, podem-se obter resultados impossveis de serem
reproduzidos em um ambiente real. O WDM baseado em um dia til na vida de
pessoas que levantam pela manh, vo para o trabalho e retornam para casa ao m
do dia. A validao qual o modelo foi submetido, a partir de dados reais, o habilita
como uma boa opo para simulaes em VANETs.
Solues para VANETs, sejam apenas para o roteamento de dados, sejam para
aumentar a segurana, devem considerar o problema de desconexo existente em tais
redes.
A contribuio principal deste trabalho um mecanismo de reputao para
redes veiculares, que permita aos seus veculos atestar a conabilidade de informaes
enviadas por terceiros em uma aplicao LDW. Considerando-se que a viabilidade deste
mecanismo depende do sucesso no roteamento das qualicaes emitidas para assegurar
a conabilidade dos veculos da VANET, o uso dos conceitos de Redes Tolerantes a
Atrasos e Desconexes (DTN), discutidos na Subseo 2.5.1, tem papel decisivo no
sucesso da soluo apresentada. Apresentamos o mecanismo proposto e discutimos seu
2.6.
Concluso
funcionamento no Captulo 4.
23
Entretanto antes, no Captulo 3, fazemos um estudo
sobre as denies e solues de segurana j propostas na literatura, como tambm

sua aplicabilidade em VANETs.
Captulo 3
Segurana em VANETs
Neste captulo discutimos conceitos de segurana relacionados s redes veiculares. Na
Seo 3.1 so listados os principais requisitos de segurana que devem ser atendidos
nas VANETs.
A Seo 3.2 apresenta uma discusso sobre os pers de intrusos em
VANETs, enquanto a Seo 3.3 classica de forma geral os ataques que podem ser
executados por esses inimigos. Na Seo 3.4 so discutidos conceitos de criptograa e
como a aplicao destes pode ajudar no atendimento aos requisitos de segurana da
VANETs. Finalmente, na Seo 3.5 mecanismos de segurana disponveis na literatura
so analisados quanto sua aplicao e resilincia a ataques executados em redes
veiculares.
3.1 Requisitos de Segurana

O sucesso de aplicaes em VANETs depende principalmente da cooperao de todos
os membros em prol do benefcio coletivo. Entretanto, interesses difusos podem levar
os membros da rede, ou mesmo intrusos externos, a tentar manipular o comportamento
dos outros veculos, de forma que seus objetivos sejam satisfeitos. Como exemplo, podemos citar um proprietrio de posto de gasolina que, interessado em aumentar o nmero
de clientes, instala uma estao base xa prxima ao seu estabelecimento, responsvel por gerar e distribuir mensagens informando a existncia de um congestionamento
mais a frente na via, fato que pode induzir os motoristas a abastecer seus veculos, na
tentativa de economizar tempo. Decises tomadas com base em informaes incorretas podem gerar transtornos simples, como o citado acima, ou complexas situaes de
risco, que podem culminar em graves acidentes, com possibilidade de perdas de vidas
humanas. Assim, o atendimento a requisitos de segurana torna-se imprescindvel em
redes veiculares.
Os requisitos de segurana a serem atendidos em redes veiculares dependem prin25
26
Captulo 3. Segurana em VANETs
cipalmente do tipo de aplicao. Aplicaes de transmisso de arquivos, por exemplo,

possuem requisitos bem diferentes de aplicaes de segurana, nas quais os veculos
trocam mensagens sobre as condies da via. Assim, segundo [Raya e Hubaux, 2005]
e [Parno e Perrig, 2005], aplicaes em VANETs podem necessitar de alguns ou todos
os requisitos abaixo:
Condencialidade:
as informaes enviadas so ocultadas dos inimigos. Dessa
forma, os inimigos so incapazes de saber o contedo das informaes enviadas.
Autenticidade:
veculos devem tomar suas decises baseadas em mensagens
legtimas. Logo necessrio autenticar a origem de uma mensagem. Caso contrrio, um veculo malicioso poderia se passar facilmente por algum convel,
prejudicando sistematicamente a conana no funcionamento da rede.
Integridade:
deve existir a garantia de que a mensagem no foi alterada no
caminho entre origem e destino.
Frescor (Freshness ):
aplicaes em VANETs podem ter fortes restries de
tempo, de forma que mensagens antigas pode se tornar inteis.
Disponibilidade:
mesmo assumindo a existncia de um robusto canal de co-
municao, alguns ataques de negao de servio (DoS) podem atrapalhar o

funcionamento da rede.
Logo, devem existir mecanismos capazes de manter a
disponibilidade mesmo sob severas condies.
Resilincia contra adulterao:
os componentes dos veculos inteligentes que
funcionam sem a ao do motorista, como as unidades de computao, armazenamento e comunicao, devem possuir algum tipo de bloqueio contra alteraes
fsicas, possivelmente realizadas por esses motoristas, cujo objetivo seja executar
ataques no trnsito.
A tarefa de garantir a segurana em VANETs dicultada por caractersticas especcas dessas redes, como por exemplo, a topologia extremamente varivel, o que
diculta o estabelecimento e manuteno longas de relaes de conana entre os vizinhos. Todas essas caractersticas devem ser levadas em considerao no projeto de
mecanismos de segurana em redes veiculares.
3.2 Inimigos
A natureza e os recursos de um inimigo determinam o tipo de defesas necessrias para
assegurar o correto funcionamento de uma VANET. O estudo dessas caractersticas
3.3.
27
Ataques
parte importante no desenvolvimento de mecanismos de defesa. Como as aplicaes so

as mais variadas possveis, os invasores tambm podem ter pers variados. Entretanto,
podemos dividir esses pers em trs dimenses principais [Raya e Hubaux, 2005]:
Inimigo interno vs. externo :
um inimigo interno um veculo autenticado
na rede que pode se comunicar com os outros veculos. O inimigo externo considerado um intruso na rede, de forma que os possveis ataques por ele executados
so limitados.
Inimigo malicioso vs. racional :
um inimigo malicioso aquele que no visa
obter benefcios prprios a partir de seus ataques. Seu nico objetivo prejudicar
os veculos ou a funcionalidade da rede. Por outro lado, o inimigo racional visa
algum ganho com suas atitudes de forma que seus ataques so mais previsveis
tanto em termos de aes quanto em termos de objetivos.
Inimigo ativo vs. passivo :
um inimigo ativo aquele que injeta dados na
rede, enquanto que o passivo atua apenas obtendo informaes do canal sem o,
para anlises posteriores.
3.3 Ataques
Um ataque uma tentativa do inimigo de efetuar alguma ao no prevista na rede,
com o objetivo de prejudicar o funcionamento das aplicaes ou obter benefcios. De
qualquer maneira, ataques ativos sempre prejudicam o correto funcionamento da rede.
Embora seja impossvel vislumbrar todos os possveis ataques em VANETs, uma classicao geral pode ser adotada, com base nos tipos de ataques identicados at o
momento [Parno e Perrig, 2005] e [Calandriello et al., 2007]:
Alarmes falsos:
neste ataque, o inimigo cria uma mensagem informando a
existncia de um evento inexistente na via. Dessa forma, outros intrusos, ao entrarem na rea de reconhecimento do evento ctcio, tambm geram mensagens
informando sua existncia.
Como veculos cooperativos no conseguem detec-
tar o referido evento, criam ento mensagens revogando sua existncia, to logo
adentrem sua rea de reconhecimento.
Alarmes trocados:
neste ataque, o inimigo inverte a experincia por ele re-
latada nas mensagens distribudas pela rede.
Assim, sempre que detectar um
evento, o intruso cria uma mensagem informando a inexistncia de problemas na

via, e vice versa.
28
Rastreamento (Tracking ) de veculos:
um tipo de ataque no qual o inimigo
objetiva, a partir da coleta passiva de dados na rede, mapear o comportamento

dos motoristas dos veculos. Assim, a partir da anlise dos dados enviados por
determinado veculo, seria possvel predizer, por exemplo, seus horrios e locais
de circulao, o que poderia facilitar aes criminosas como seqestros ou assaltos
residncia de seu motorista principal.
Ataques de negao de servio (Denial of Service - DoS ): o objetivo do

inimigo aqui causar a indisponibilidade da rede durante um determinado perodo
de tempo, ou mesmo indenidamente. Exemplos de ataques desse tipo incluem
a interferncia eletromagntica no canal de comunicao utilizado pelos veculos
(jamming ), o descarte de mensagens especcas na rede (selective forwarding ) ou
mesmo sua inundao com mensagens inteis (hello ood ).
Ataque sybil:
este ataque consiste em um veculo acessar a rede utilizando
uma quantidade arbitrria de identidades virtuais. Logo, permite que apenas um

inimigo realize ataques que necessitem de conluio entre os membros da rede.
Aplicaes LDW, foco de estudo deste trabalho, esto sujeitas aos ataques acima
listados. Todavia, como o propsito dessas aplicaes a troca de mensagens entre os
veculos e estaes base informando as condies da via, de forma que seja possvel ao
motorista tomar providncias com o objetivo de reduzir os efeitos gerados por situaes
de risco, alarmes falsos ou trocados distribudos pela rede tornam-se um problema
importante, haja vista que o nmero de intrusos necessrios para a execuo com
sucesso desses ataques no precisa ser necessariamente alto, dada a baixa densidade
da rede em certos perodos do dia, como por exemplo, a noite. Assim, o mecanismo
proposto neste trabalho foca reduzir a efetividade desses tipos de ataques.
3.4 Criptograa
A criptograa pode ser utilizada com o objetivo de ocultar as informaes para o
inimigo, garantindo assim a condencialidade dos dados. As informaes podem ser
criptografadas para serem transmitidas por um meio no seguro ou ento para serem
armazenadas em um sistema de arquivos cujo controle de acesso duvidoso.
Um sistema de criptograa composto de trs elementos bsicos:
Algoritmo de criptograa:
funo de embaralhamento, normalmente baseada
em um ou mais parmetros, denominados chaves.
3.4.
29
Criptografia
Chaves de criptograa:
parmetros dos algoritmos de criptograa que permi-
tem a encriptao e correta decriptao dos dados enviados pela rede.
Terceiro convel:
o responsvel pela distribuio das chaves ou certicados
aos membros da rede.

Quanto ao tipo de chave utilizada, os algoritmos podem ser classicados em dois
tipos:
Algoritmos de chave simtrica:
a chave usada no processo de encriptao
pode ser utilizada tambm no processo de decriptao.
Algoritmos de chave pblica:
so utilizadas duas chaves, uma para a cifragem
e outra para a decifragem, sendo que uma delas mantida em segredo e a outra
de conhecimento geral.
Os principais requisitos de segurana apresentados na Seo 3.1 (condencialidade,
autenticidade e integridade) podem ser atendidos pelo uso de tcnicas de criptograa.
Algoritmos de chave simtrica normalmente geram uma sobrecarga (overhead )
computacional menor por mensagem, desconsiderando o processo de estabelecimento

de conexo (handshake ) necessrio para a denio da chave compartilhada, que os
algoritmos de chave pblica.
Entretanto, como em VANETs as mensagens geradas
devem ser enviadas o mais rpido possvel, uma vez que em muito dos casos o tempo
um requisito crtico no procedimento de tomada de decises (Subseo 2.3.1), esse
handshake inicial pode prejudicar o processo de troca de mensagens. Logo, o uso de

uma infraestrutura de chave pblica (Public Key Infrastructure - PKI) surge como a
melhor opo para redes veiculares.
Em uma PKI, cada veculo da rede recebe um par de chaves, que podem ser emitidas pela agncia governamental responsvel pelo controle de trnsito ou mesmo pela
fbrica deste veculo, conhecidas como chave pblica e chave privada. Enquanto a chave
pblica deve ser divulgada por esse veculo, sua chave privada deve ser mantida sob
sigilo. Assim, ele utiliza sua chave privada toda vez que encriptar uma mensagem. Todos os outros veculos da rede que possurem sua chave pblica so ento capazes de ler
o contedo dessa mensagem. De forma anloga, quando algum membro deseja enviar
uma mensagem condencial a determinado veculo, faz uso da chave pblica deste para
encriptar os dados. Logo, somente o veculo destinatrio da mensagem pode decriptar
e obter tais dados, utilizando sua chave privada. Como a chave pblica no necessariamente distribuda de forma autenticada pela rede, ela pode ser trocada pelo inimigo
durante sua divulgao, o que torna necessrio garantir sua autenticidade. Essa garantia pode ser dada atravs do uso de certicados, emitidos por autoridades certicadoras
30
(Certication Authorities - CAs), que atestam a autenticidade e integridade daquela

chave.
Embora MANETs geralmente possuam restries de recursos, fato que diculta
o uso de algoritmos de chave pblica, tais restries no existem em VANETs.
Assim,
o Algoritmo de Curvas Elpticas (Elliptic Curve Digital Signature Algo-
rithm - ECDSA) [Johnson et al., 2001] foi avaliado por [Raya e Hubaux, 2005] e
[Calandriello et al., 2007] como uma opo de criptograa de chave pblica para redes veiculares. Os resultados obtidos foram signicativos, sem que houvesse prejuzo
ao desempenho da rede. Dessa maneira, o ECDSA foi a soluo de criptograa utilizada
neste trabalho.
3.5 Mecanismos de Reputao

Sistemas distribudos nos quais no existe uma coordenao geral, como redes Para-Par (Peer-to-Peer - P2P), MANETs e VANETs, esto sujeitos a diversos tipos de
inimigos e ataques. Solues mais simples, como tcnicas de criptograa, so capazes
de neutralizar os efeitos de alguns ataques externos, uma vez que esses inimigos no
conseguem acessar os dados trafegados pela rede. Todavia, quando um membro autenticado da rede atenta contra o funcionamento das aplicaes, torna-se necessrio
o uso de mecanismos de segurana mais robustos, capazes de mitigar a ecincia dos
ataques executados. Uma das solues mais utilizadas para garantir o comportamento
cooperativo nessas redes distribudas a utilizao de sistemas de reputao.
O conceito de reputao pode ser denido como uma medida coletiva de conabilidade em uma pessoa ou coisa baseada em indicaes ou avaliaes de membros de uma
comunidade. Assim, o nvel individual de conana em tal pessoa ou coisa pode ser
obtido a partir de uma combinao das indicaes recebidas e das experincias pessoais
[Swamynathan et al., 2007]. Em VANETs, a reputao de um veculo pode ser considerada como a coleo de opinies mantidas por outros veculos sobre ele. Essa reputao
ento utilizada como critrio importante na tomada de decises, tais como encaminhar ou descartar pacotes enviados por esse veculo, consider-lo ou desconsider-lo
como opo no roteamento de dados, considerar ou desconsiderar informaes por ele
repassadas, etc.
Mecanismos de reputao propostos para redes P2P e MANETs geralmente consideram uma taxa de conectividade suciente para garantir a existncia de caminhos m-am a todo o momento entre quaisquer dois membros da rede. Assim, tornam-se possveis solues nas quais dados utilizados pelo mecanismo de reputao so armazenados
de forma distribuda na rede [Dewan e Dasgupta, 2004] ou permitido ao mecanismo
3.5.
Mecanismos de Reputao
31
esperar a completa execuo do servio solicitado, como, por exemplo, aguardar o recebimento de uma mensagem de ACK conrmando o roteamento correto de um pacote
de dados enviado pela rede [Dewan et al., 2004]. Existem ainda propostas nas quais se
considera que a movimentao dos membros da rede, de maneira geral, causar apenas
pequenas alteraes em sua topologia, de forma que o compartilhamento de observaes diretas entre pequenos grupos, aliadas s experincias locais, seja suciente para
a construo de um robusto mecanismo de reputao [Buchegger e Le Boudec, 2004]).
A aplicabilidade de mecanismos de reputao propostos para redes P2P e MANETs
no contexto das VANETs bem restrita, haja vista que algumas consideraes feitas
nessas solues, como aquelas citadas acima, no podem ser garantidas em redes veiculares, dadas as grandes velocidades de deslocamento dos veculos que compem a
rede. Assim, surge a necessidade do desenvolvimento de solues prprias para as redes veiculares, nas quais suas caractersticas particulares so levadas em conta. Abaixo
discutimos algumas propostas disponveis na literatura.
No sistema de reputao para redes ad hoc veiculares (A vehicle ad-hoc network
reputation system - VARS) [Dotzer et al., 2005], cada veculo adiciona sua opinio sobre a veracidade das mensagens por ele recebidas e encaminhadas.
Essa opinio
baseada na combinao dos seguintes fatores: experincia do veculo (caso o evento

relatado j tenha sido detectado por ele), reputao da fonte da mensagem e reputao
dos responsveis pelas opinies j adicionadas mensagem. As mensagens recebidas
so armazenadas para serem utilizadas posteriormente no processo de deciso sobre o
evento (o mecanismo faz uso dos conceitos de regies geogrcas ao redor dos eventos
- Subseo 2.3.1). Quando a deciso tomada, apenas a reputao das fontes dessas
mensagens atualizada.
Os primeiros veculos a receber mensagens geradas normalmente so aqueles mais
prximos da rea de reconhecimento e, por conseguinte, da rea de deciso do evento.
Em situaes nas quais a fonte dos dados desconhecida do receptor, no existe nenhuma base de conana para o julgamento dos dados, haja vista que poucas ou
nenhuma opinio foi adicionada mensagem antes de seu recebimento. Logo, nesses
casos, mensagens geradas por veculos tm o mesmo peso que aquelas geradas por
intrusos.
O trabalho de [Wang e Chigan, 2007] prope um mecanismo que, ao invs de considerar registros passados, conta apenas com o comportamento dos veculos em tempo de
execuo para a denio de reputaes instantneas. Segundo a proposta, um emissor envia o pacote de dados para seus vizinhos. Cada vizinho, caso no seja o destino
nal, reencaminha o pacote recebido. O emissor ento monitora essas retransmisses.
Se o pacote retransmitido no sofreu nenhuma alterao, o emissor envia um token
32
de conana, assinado digitalmente, para o respectivo vizinho. Os vizinhos devem reencaminhar este token, que os certica como conveis, para os veculos responsveis
pelo prximo salto.
O processo de escuta e emisso do token, feito pelo emissor da
mensagem, agora feito pelos vizinhos certicados. Esse ciclo se repete em todos os
saltos at que o pacote atinja seu destino.
O trabalho se preocupa apenas com possveis alteraes dos dados da mensagem
durante o roteamento, sem avaliar o contedo da mensagem em si. Assim, mensagens
contendo informaes erradas podem facilmente ser distribudas pela rede. Embora os
resultados apresentados mostrem que cada passo da seqncia envia mensagem - escuta
reenvio - envia token, adiciona, separadamente, uma sobrecarga aceitvel na rede, no

feita uma avaliao dessa seqncia no que diz respeito ao tempo total necessrio para
sua execuo, uma vez que topologia dinmica das VANETs cria desaos considerveis
para solues que necessitam de mais de uma conexo em uma mesma transao.
[Ostermaier et al., 2007] apresentam um esquema baseado em votos para aumentar
a segurana das decises tomadas pelos veculos sobre eventos reportados em aplicaes
LDW. A partir das mensagens recebidas dentro da rea de disseminao, o trabalho
avalia o desempenho de quatro diferentes mtodos de deciso, executados quando o veculo adentra na rea de deciso do evento: ltima mensagem, Maioria das mensagens,
Maioria das ltimas
x mensagens
e Maioria das ltimas
x mensagens considerando um
limite inferior. A ecincia desses quatro mtodos medida em uma rede submetida
a ataques do tipo alarmes falsos e alarmes trocados (Seo 3.3).
Os resultados apresentados mostram que o mtodo Maioria das ltimas
gens considerando um limite inferior, onde o valor de
dene as ultimas
mensa-
mensagens
mais recentes, consegue resultados signicativos mesmo em um cenrio com 40% de

veculos maliciosos.
Entretanto, como nenhum mecanismo de reputao utilizado,
esses intrusos podem executar seus ataques livremente, na certeza de suas mensagens
sero sempre consideradas no processo de deciso dos outros veculos, uma vez que no
existe nenhum tipo de punio a seu mau comportamento.
mecanismo
um
esquema
de
[Patwardhan et al., 2006]
simples
de
votao,
parecido
acrescenta
com
uso
Maioria
de
reputaes
das
mensagens
[Ostermaier et al., 2007]. Assim, um veculo colhe informaes sobre eventos at que
sejam recebidos dados transmitidos por uma fonte convel, quando a deciso tomada apenas com base nas informaes contidas nessa mensagem, ou uma quantidade
mnina de mensagens recebida, quando o esquema de votao executado. Uma vez
que a deciso tomada, o mecanismo de reputao proposto promove os veculos cujas
mensagens enviadas corroboram com tal deciso enquanto rebaixa aqueles responsveis
por mensagens com opinies contrrias. A partir do momento em que um veculo da
3.6.
33
Concluso
rede considerado malicioso, suas mensagens so sempre descartadas.

A soluo proposta no permite o compartilhamento de dados de reputao entre
os veculos da rede, fato que pode representar uma demora considervel no processo de
estabelecimento de relaes de conana e deteco de intrusos. Essa situao, aliada
ao uso de uma metodologia na qual a promoo ou rebaixamento das fontes feito com
base apenas na opinio da maioria local, sem nenhuma validao posterior, possui uma
implicao considervel. Em reas onde grande a concentrao de veculos maliciosos
ainda no descobertos, provvel que as impresses disseminadas por esses intrusos
prevaleam, levando sua promoo com consequente rebaixamento de veculos cooperativos. Alm disso, como no denida nenhuma poltica de redeno de intrusos,
a quantidade de falsos positivos pode se tornar um grande problema a longo prazo.
O RMDTV, mecanismo de reputao proposto neste trabalho, faz uso do mtodo
de deciso Maioria das ltimas
mensagens considerando um limite inferior para a
tomada de decises em uma aplicao LDW. Validaes posteriores das decises tomadas sobre os eventos permitem ao mecanismo identicar com maior preciso veculos
cooperativos e maliciosos.
Com o armazenamento de dados histricos sobre o com-
portamento dos veculos, possvel o reconhecimento prvio e a excluso de dados

gerados por veculos considerados maliciosos. O compartilhamento de experincias, realizado na forma de qualicaes assinadas digitalmente, tambm uma caracterstica
importante da soluo proposta, aumentando sua robustez e permitindo o estabelecimento de relaes de conana antes mesmo do incio de transaes. Os conceitos e o
funcionamento do RMDTV so descritos no Captulo 4.
3.6 Concluso
Este captulo foi dedicado ao estudo de aspectos de segurana em redes veiculares. Discutimos os desaos lanados pela presena inimigos executando ataques na rede, bem
como as solues existentes para tentar minimizar os efeitos dessas aes de forma que
os requisitos de segurana impostos pela rede e suas aplicaes possam ser atendidos.
Considerando-se que o comportamento passado a melhor forma de tentarmos
predizer o comportamento futuro de algum, mecanismos de reputao surgem como
uma boa soluo na tentativa de mitigar os efeitos de ataques executados contra o
funcionamento correto de uma VANET. Existem vrias solues propostas na literatura
que fazem uso de reputao para aumentar a segurana em sistemas distribudos, como
redes P2P, MANETs e VANETs.
De maneira geral, sistemas de reputao para redes P2P e MANETs consideram
que a topologia dessas redes se altera de maneira gradual, sem mudanas signicativas
34
em um curto espao de tempo. Assim, os mecanismos propostos fazem uso da conectividade existente para realizar transaes mais demoradas, nas quais a execuo de um
servio solicitado na rede pode ser assistida de perto por seu solicitante, permitindo a
ele classicar de maneira mais precisa o comportamento de seus pares.
Por outro lado, mecanismos de reputao em VANETs no podem contar com
altos graus de conectividade, haja vista que a constante mudana de topologia dessas
redes pode resultar em intervalos de conexo muito curtos.
Dada essa restrio, o
estabelecimento de conexes com o intuito de apenas compartilhar dados de reputao

pode acabar prejudicando o desempenho das aplicaes sendo executadas.
O mecanismo de reputao proposto neste trabalho permite aos membros da rede
atestar a conabilidade das informaes repassadas/emitidas por um veculo com base
no apenas em suas prprias experincias, mas tambm em situaes vivenciadas por
outros veculos. O compartilhamento dessas experincias feito pelo uso de qualicaes que so roteadas pela rede mesmo sob condies de desconectividade. Ao receber
uma qualicao, o veculo deve adicion-la a todas as mensagens de dados por ele geradas. Assim, os receptores dessas informaes podem utilizar os certicados anexados
para atestar a conabilidade do emissor dos dados. Conforme veremos no Captulo 5,
o mecanismo proposto consegue aumentar de forma considervel a segurana da rede,
sem que a sobrecarga criada pela implantao da reputao prejudique o desempenho
da aplicao sendo executada.
Captulo 4
O Mecanismo de Reputao RMDTV
Neste captulo descrevemos o mecanismo de reputao proposto, o RMDTV (Repu-
tation Mechanism for Delay Tolerant Vehicular Networks ). A Seo 4.1 apresenta os
conceitos, as premissas e os requisitos utilizados para a especicao do mecanismo.
Em seguida, a Seo 4.2 apresenta o funcionamento detalhado do mecanismo e dos
algoritmos que o compem.
4.1 Premissas e Requisitos do Mecanismo

O RMDTV um mecanismo de reputao para redes veiculares. Ele tem como base o
uso de qualicaes emitidas por terceiros, atestando a conabilidade das informaes
geradas por seus portadores. Embora o RMDTV possa ser utilizado em qualquer tipo
de aplicao de segurana em redes veiculares, neste trabalho utilizamos as denies
existentes para aplicaes LDW em sua descrio e avaliao de desempenho.
Consideramos como membros da rede os veculos que possuem ao menos os componentes listados na Subseo 2.2.2 (sensores, sistemas de posicionamento, interface
com o usurio, unidades de computao, armazenamento e comunicao) e as estaes
base existentes ao longo da via, de forma que seja possvel a implementao da soluo
proposta e a comunicao entre essas entidades.
A partir dos conceitos acima, denimos um conjunto de premissas e requisitos
sobre as caractersticas da rede veicular. Essas consideraes, descritas a seguir, tm
o objetivo de tornar o RMDTV um mecanismo eciente no atendimento aos requisitos
de segurana denidos na Subseo 3.1:
Identidade dos veculos:
as qualicaes emitidas no RMDTV, descritas em
detalhes na Subseo 4.2.2.2, so baseadas na identidade de seus destinos. Assim,

consideramos que cada veculo
tem sua identidade denida de forma nica no

35
36
Captulo 4. O Mecanismo de Reputao RMDTV
incio da rede. Tal identicao pode ser baseada, por exemplo, na placa do veculo. Entretanto, uma vez denida, essa identidade no pode sofrer alteraes.
Essa premissa pode tornar a rede mais propensa a ataques de tracking de veculos. O uso de pseudminos, atualizados periodicamente [Calandriello et al., 2007]
aumenta a resilincia da rede a esses ataques. Entretanto, seu estudo est alm
do escopo deste trabalho.
Deteco de eventos:
a partir do aparecimento de um evento, todos os veculos
transitando dentro de sua rea de reconhecimento so capazes de identic-lo.

Assim, cada veculo dentro da rea de reconhecimento do evento gera e distribui,
em modo de difuso, uma mensagem informando sua existncia.
Revogao de eventos:
veculos se movendo dentro da rea de disseminao
de um evento ativo recebem mensagens informando sua existncia. Se um veculo

detectar a extino do evento anteriormente anunciado, ao adentrar em sua rea
de reconhecimento, ele deve atuar de maneira anloga deteco de eventos,
gerando e distribuindo pela rede uma mensagem revogando a existncia de tal
evento.
Distribuio de chaves:
a rede veicular faz uso de uma infraestrutura de chave
pblica (PKI) para garantir a condencialidade, autenticidade e integridade dos

dados enviados.
Consideramos que cada veculo recebe da Autoridade Certi-
cadora (AC), que atua aqui como terceiro convel (Seo 3.4), no incio de
operao da rede, seu par de chaves (pblica e privada) correspondente. A AC
pode ser, por exemplo, o rgo governamental responsvel pelo emplacamento
dos veculos. Alm disso, faz parte tambm desse pr-carregamento o certicado,
emitido pela AC, validando a chave pblica daquele membro.
Desempenho:
o objetivo do mecanismo proposto aumentar a conabilidade
das mensagens de dados recebidas em aplicaes de segurana distribudas executadas em redes veiculares. Os veculos responsveis por essas informaes adicionam, em cada mensagem gerada, qualicaes recebidas de terceiros, atestando
sua conabilidade. Assim, a soluo proposta neste trabalho, alm de aumentar
o tamanho das mensagens de dados, adiciona um novo tipo de mensagem s aplicaes de segurana, encarregadas de transportar as qualicaes emitidas at
seus respectivos destinos. Apesar disso, espera-se que essa sobrecarga criada pelo
RMDTV no prejudique o desempenho geral da rede.
Denidas as premissas e requisitos sobre os quais o mecanismo proposto de baseia,

iremos agora descrever seu funcionamento.
4.2.
37
Funcionamento do Mecanismo
4.2 Funcionamento do Mecanismo

O RMDTV um mecanismo de reputao para redes veiculares tolerantes a atrasos
de desconexes. Seu objetivo permitir aos membros dessas redes atestarem a conabilidade das mensagens recebidas, a partir do histrico de comportamento de seus
emissores. Assim, a qualidade das decises tomadas acerca de eventos existentes nas
vias de trfego tende a aumentar de forma considervel.
Toda vez que um veculo entra na rea de reconhecimento de um evento ativo, gera
e distribui pela rede, em modo de difuso, uma mensagem informando sua ocorrncia.
Essa distribuio ocorre continuamente enquanto este veculo estiver dentro da rea
de disseminao daquele evento. Outros veculos circulando por essa regio recebem
essa mensagem e a avaliam segundo a reputao de sua origem.
No RMDTV cada
veculo armazena localmente duas listas contendo, respectivamente, os membros da rede

considerados conveis e aqueles considerados maliciosos. Assim, o emissor dos dados
classicado em uma das seguintes categorias: malicioso, convel ou desconhecido.
Se o emissor considerado malicioso, a mensagem imediatamente descartada.
Se os dados forem originrios de uma fonte tida como convel ou desconhecida, a
mensagem repassada ao mecanismo de deciso, descrito em detalhes na Subseo
4.2.1. Esse processo repetido at que os requisitos mnimos para a tomada de deciso
sejam atendidos.
No RMDTV os eventos considerados so o recebimento de uma
mensagem originada por uma fonte convel ou a entrada do veculo na rea de deciso
do evento.
Como descrito na Subseo 2.3.1, as mensagens repassadas ao mecanismo de deciso, ou seja, consideradas relevantes pela aplicao, so retransmitidas em modo de
difuso, possibilitando assim que experincias realizadas por veculos que j deixaram
a rea de disseminao ainda possam ser utilizadas por outros membros da rede em
suas decises.
Essa redistribuio ocorre continuamente enquanto o receptor estiver
dentro da rea de disseminao do evento e a mensagem no exceder seu tempo de

vida (timeout ).
Uma vez que os requisitos do processo de deciso sejam atendidos e a deciso
tomada, a correo dessa deciso precisa ser atestada.
Em situaes reais, essa
vericao pode ser feita por um das seguintes maneiras:
Caso o veculo no utilize uma nova rota, o que acontece em casos nos quais
no existem evidncias sucientes da ocorrncia do evento, a conrmao pode
ser realizada pelos seus prprios sensores, uma vez que ele trafegar pela regio
apontada como local de ocorrncia do evento.
Caso seja denida uma nova rota, a validao da situao real do evento no
38
momento da tomada de deciso poderia ser realizada posteriormente, a partir

da consulta a um servidor Web contendo informaes sobre o estado das vias de
trnsito da cidade, como j possvel atualmente atravs de aparelhos celulares.
Uma vez que a situao real do evento conhecida, o veculo pode aferir a correo
da deciso tomada. Aps essa validao, ele atualiza os valores de reputao dos membros responsveis pelas mensagens utilizadas no processo de deciso. Todavia, como
veremos na Subseo 4.2.1, em alguns casos as evidncias da ocorrncia ou revogao
de um evento podem ser insucientes, de forma que a deciso tomada no baseada nos
dados recebidos. Para essas situaes, no realizada nenhuma alterao nos valores
de reputao das origens dos dados recebidos. Para as demais, os passos executados
so mostrados no algoritmo 1.
Independentemente da qualidade da deciso tomada, veculos cujas mensagens informaram o evento corretamente sempre so promovidos a conveis. Por outro lado,
veculos cujas mensagens informaram o evento incorretamente so punidos, ou seja,
passam a ser considerados maliciosos, somente quando o ataque executado obteve sucesso, ou seja, as informaes por eles geradas foram relevantes o suciente para levar
o receptor a uma deciso incorreta.
Caso contrrio, continuaro a ser considerados
desconhecidos quando suas mensagens forem submetidas novamente ao mecanismo de

reputao. Com essa estratgia objetivamos atingir um nmero menor de falsos positivos, uma vez que grande o risco de mensagens geradas por veculos cooperativos, mas
recebidas com atraso, informarem uma condio diferente do estado atual do evento.
Como veculos considerados maliciosos tm suas mensagens descartadas, o desempenho
do RMDTV pode car dependente do tempo de redeno denido pela rede.
Algoritmo 1:
Algoritmo de atualizao de reputao
Entrada: Conjunto M de Mensagens sobre o Evento E utilizadas na deciso do veculo V

1 for M0 to Mmax do
2
if Mi informou o estado de E corretamente then
3
AdicionaListaV eiculosConf iaveis(OrigemMi )
4
5
6
7
EnviaQualif icacaoAtestandoConf iabilidade(OrigemMi )
end
else if deciso tomada foi errada then
if OrigemMi lista de veculos conveis then
//mesmo veculo convel passa a ser considerado malicioso
RetiraListaV eiculosConf iaveis(OrigemMi )
8
end
9
AdicionaListaV eiculosM aliciosos(OrigemMi )
10
end
11 end
importante ressaltar que o RMDTV altera apenas os dados de reputao da origem das mensagens. Tal deciso se apia no fato de que muitas das vezes as mensagens
4.2.
39
recebidas foram repassadas por veculos que no realizaram a experincia, mas conaram no relato de outros membros da rede. Embora essa situao possibilite ataques
de adulterao de dados, a integridade dessas informaes garantida pelo uso de
uma infraestrutura de criptograa de chave pblica. A soluo utilizada descrita na
Subseo 4.2.2.1.
Segundo [Buchegger e Le Boudec, 2004], o compartilhamento de experincias uma
tima maneira de aumentar a robustez de um mecanismo de reputao. Entretanto,
caractersticas especcas das VANETs, como os curtos perodos de conexo experimentados pelos veculos, consequncia direta das grandes velocidades de deslocamento,
criam importantes obstculos a esse compartilhamento, uma vez que a troca de opinies deve acontecer sem prejudicar o desempenho da aplicao. Alm disso, com a
mudana constante na topologia da rede, a troca voluntariosa de informaes pode
levar os veculos a armazenar dados sobre outros membros poucas vezes ou nunca encontrados. Por outro lado, procurar informaes sobre a reputao de um determinado
membro da rede pode ser algo custoso e muitas vezes falho, uma vez que os detentores desses dados podem estar inacessveis naquele momento. Assim, no RMDTV, as
listas de conabilidade de cada veculo nunca so publicadas. O compartilhamento de
opinies feito a partir de um procedimento similar ao Pretty Good Privacy - PGP
[Zimmermann, 1994], no qual criada uma rede de conana (Web of Trust ) entre os
membros da rede, a partir da troca de certicados assinados digitalmente entre os pares. Esses certicados devem ser apresentados aos novos pares em futuras transaes,
funcionando assim como as credenciais de seu portador. Dessa maneira, para cada um
dos veculos promovidos pelo algoritmo 1, o receptor gera e envia uma qualicao atestando a conabilidade daquele membro da rede. Dados os problemas de desconexes
existentes nas VANETs, uma qualicao pode demorar horas, ou at mesmo dias para
chegar ao seu destino. Assim, a aplicao do modelo armazenagem-e-repasse, utilizado
pelas redes DTN (Subseo 2.5.1) para o encaminhamento de mensagens, surge como
uma soluo aos possveis atrasos existentes durante o roteamento de qualicaes.
As qualicaes recebidas por um veculo devem ser adicionadas s mensagens de
dados por ele geradas.
Embora no sejam consideradas em um primeiro momento,
quando feita a avaliao da reputao da origem, resultando no descarte ou disponibilizao dos dados recebidos para o processo de deciso, veremos na Subseo 4.2.1
que, uma vez que a mensagem no seja descartada, essas qualicaes anexadas tm
pesos diferenciados no mecanismo de deciso executado pelo receptor das informaes.
Para evitar uma sobrecarga muito grande na rede, apenas um determinado nmero de
qualicaes deve ser adicionado. Alm disso, como as qualicaes emitidas possuem
data de validade, somente aquelas que ainda no expiraram devem ser utilizadas.
40
A m de potencializar o compartilhamento de opinies, veculos que transitaram

pela rea de reconhecimento de um evento qualicam tambm outros veculos responsveis por mensagens que corroboram com as impresses por eles experimentadas.
Como apenas opinies positivas so disseminadas, no existe a possibilidade de ataques ao RMDTV nos quais veculos maliciosos objetivam denegrir a imagem de veculos
cooperativos.
No RMDTV o bom comportamento dos membros da rede incentivado atravs do
decaimento da reputao de veculos cooperativos e da redeno de veculos maliciosos
em funo do tempo. O decaimento da reputao baseado principalmente na validade das qualicaes recebidas. Com o passar do tempo, caso o veculo no receba
novas qualicaes, aquelas j armazenadas expiraro, de forma que suas experincias
tero menor peso no processo de deciso de outros veculos. De forma anloga, as listas
identicando membros conveis e maliciosos so atualizadas de tempos em tempos,
quando ento so excludos aqueles membros cujos comportamentos foram observados
h perodos de tempo maiores que um valor pr determinado.
Na Subseo 4.2.1 apresentamos os mtodos de deciso utilizados pelos veculos,
enquanto na Subseo 4.2.2 apresentamos a especicao dos tipos de mensagens enviadas em uma rede executando o RMDTV.
4.2.1 Processo de deciso

A tomada de deciso sobre um evento pode acontecer em dois momentos distintos. No
primeiro, durante a fase de coleta de dados, o veculo recebe uma mensagem originria
de uma fonte por ele considerada convel. Neste caso, as informaes recebidas so
consideradas evidncia suciente da existncia ou revogao do evento e a deciso
baseada apenas nesses dados. O segundo momento acontece quando o veculo atinge
a rea de deciso daquele evento, sem receber mensagem alguma originada por fontes
conveis.
Nesta situao, a deciso deve ser tomada imediatamente aps a entrada na rea
de deciso do evento, a partir do uso das mensagens cujas fontes so consideradas
desconhecidas pelo veculo. O mtodo de deciso utilizado nesse caso deve ser capaz
de proporcionar ao menos alguma resilincia a ataques nos quais mensagens contendo
informaes incorretas sobre o estado atual do evento so disseminadas pela rede,
aumentado assim a qualidade das decises tomadas pelos veculos.
Em [Ostermaier et al., 2007] so apresentados e avaliados quatro mtodos de deciso, baseados em esquemas de simples votao, para aplicaes LDW em VANETs.
Esses mtodos foram executados em redes expostas a ataques do tipo alarmes falsos
e alarmes trocados.
Nas simulaes realizadas, o mtodo denominado Maioria das
4.2.
41
ltimas
mensagens considerando um limite inferior foi o que apresentou o melhor
desempenho. Nele, o veculo utiliza apenas as ltimas
mensagens recebidas com in-
formaes sobre o evento. Entretanto, existe tambm um limite inferior, de forma que
o mecanismo de votao s utilizado caso o veculo receba ao menos um determinado
nmero de mensagens. Quando esse mnimo de opinies no atingido, o veculo sempre se decide pela negao do evento. A opo por negar a existncia do evento em
situaes nas quais a quantidade de evidncias recebidas insuciente justica-se dadas as possveis conseqncias resultantes de decises falso negativas e falso positivas.
Enquanto nas primeiras o veculo simplesmente segue se movimentando sem nenhuma
alterao de velocidade ou rota, nas segundas o motorista pode se decidir pela reduo
da velocidade do veculo (por exemplo, em situaes de proximidade a um acidente ou
congestionamento), o que aumenta o risco de colises traseiras caso algum dos prximos veculos da via, possuindo quantidade suciente de informaes para executar o
processo de deciso, se decida pela inexistncia do evento.
Em face s possveis situaes descritas, nomeamos as decises tomadas por um
veculo como decises indicadas e decises foradas. Enquanto as primeiras so resultado da execuo do mecanismo de votao, as segundas ocorrem quando o veculo no
recebe o nmero mnimo de mensagens para a execuo do mtodo de deciso.
O algoritmo 2 mostra a adio do RMDTV ao mtodo Maioria das ltimas
men-
sagens considerando um limite inferior. Primeiramente, para cada mensagem recebida,

o veculo determina o tipo de experincia nela contida (conrmao ou revogao do
evento). Alm disso, as qualicaes apresentadas pelos emissores dessas mensagens
so divididas em 2 tipos:
qualicaes assinadas por fontes conveis e por fontes
desconhecidas. As qualicaes assinadas por fontes consideradas maliciosas so descartadas.
A soma absoluta dos parmetros considerados calculada.
O mtodo de
deciso ento executado. Se o veculo no recebeu a quantidade mnima de experincias, denida como THRESHOLD_MININO_DECISAO, decide ento de maneira
forada pela inexistncia do evento. Se essa condio for atendida, o veculo faz um
comparativo entre a soma de mensagens informando sobre o evento e a soma daquelas revogando sua existncia.
Se alguma delas for maioria, considerada evidncia
suciente para a tomada de deciso.
Caso contrrio, so consideradas as somas das
qualicaes adicionadas s mensagens por suas fontes.
Em um primeiro momento
apenas os somatrios das qualicaes assinadas por veculos conveis so utilizados.
Se isso no for suciente, o mecanismo faz uso tambm daquelas qualicaes
cujos emissores so desconhecidos do receptor, como uma ltima tentativa.
Na im-
possibilidade de tomar uma deciso baseada nos dados recebidos, o veculo se decide
pela inexistncia do evento, ao justicada pelo mesmo motivo descrito anteriormente
42
quando das decises foradas. Todavia, para o processo de atualizao de reputao

do RMDTV (algoritmo 1) esse resultado tido como uma deciso indicada, haja vista
que as impresses recebidas inuenciaram na deciso tomada pelo veculo.
4.2.2 Mensagens
Aplicaes de segurana em VANETs denem um formato para as mensagens de dados,
como aquele apresentado na Subseo 2.3.1.2, atravs das quais as informaes so
distribudas pela rede. O uso do RMDTV em uma aplicao desse tipo necessita, alm
da alterao do formato de uma mensagem de dados bsica, da especicao de um novo
tipo de mensagem, a mensagem de qualicao, utilizada no envio de qualicaes aos
veculos considerados conveis por seus pares. Apresentamos abaixo a especicao
completa dessas mensagens.
4.2.2.1 Mensagem de dados

As mensagens com dados sobre eventos existentes na via, ou mesmo informando sua
revogao, so geradas apenas pelos veculos que transitaram pela rea de reconhecimento do respectivo evento. Entretanto, na esperana de aproveitar o mximo possvel
a experincia realizada por um membro da rede, uma vez que ele pode sair da rea de
disseminao do evento sem que muitos veculos tenham recebido os dados gerados, as
mensagens enviadas so retransmitidas continuamente por todos os receptores que consideram a origem dos dados convel ou desconhecida, desde que estejam trafegando
dentro da rea de disseminao. Essa estratgia est sujeita a ataques de adulterao,
nos quais um veculo malicioso altera os dados da mensagem, sem entretanto, atualizar
sua origem. Assim, alm de inuenciar na deciso dos prximos receptores, esse intruso
pode prejudicar tambm a origem dos dados, uma vez que apenas os valores de sua
reputao so alterados aps a vericao da qualidade da deciso tomada.
Embora [Wang e Chigan, 2007] proponha que todo veculo escute as retransmisses realizadas por seus vizinhos, e s ento libere um token conrmando a autenticidade da mensagem reenviada, token esse que deve tambm ser reenviado por esses
vizinhos, como condio para aceitao das mensagens pelo prximo salto na rede,
consideramos que esse processo pode ter seu desempenho severamente reduzido em
situaes nas quais os veculos se deslocam a grandes velocidades ou mesmo quando
alta a densidade da rede. Logo, preciso garantir que cada mensagem, uma vez enviada
pela origem, possa ser acessada por seus receptores apenas em modo de leitura.
A m de atender ao requisito acima descrito, o veculo deve assinar cada mensagem
de dados por ele gerada, utilizando sua chave privada, antes de envi-la pela rede. Alm
4.2.
Algoritmo 2:
43
Algoritmo de tomada de deciso
Entrada: Conjunto M de Mensagens com dados sobre o Evento E

Sada: Deciso do veculo sobre a existncia do Evento E
1 //votos existncia evento
2 votosExistenciaEvento 0
3 totalQualif ConhecExist 0
4 totalQualif DesconhecExist 0
5 /votos revogao evento
6 votosRevogacaoEvento 0
7 totalQualif ConhecRevog 0
8 totalQualif DesconhecRevog 0
9 for M0 to Mmax do
10
if Mi informou a existncia de E then
11
votosExistenciaEvento votosExistenciaEvento + 1
12
totalQualif ConhecExist totalQualif ConhecExist + ObterQualif Conhec(Mi )
13
totalQualif DesconhecExist totalQualif DesconhecExist + ObterQualif Desconhec(Mi )
14
end
15
else if Mi informou a revogao de E then
16
votosRevogacaoEvento votosRevogacaoEvento + 1
17
totalQualif ConhecRevog totalQualif ConhecRevog + ObterQualif Conhec(Mi )
18
totalQualif DesconhecRevog totalQualif DesconhecRevog+ObterQualif Desconhec(Mi )
19
end
20 end
21 if votosExistenciaEvento + votosRevogacaoEvento T HRESHOLD_M IN IN O_DECISAO
then
22
if votosExistenciaEvento > votosRevogacaoEvento then
23
Def ineOpiniaoExistenciaEvento(E, true)
24
end
25
else if votosExistenciaEvento < votosRevogacaoEvento then
26
Def ineOpiniaoExistenciaEvento(E, f alse)
27
end
28
else if votosExistenciaEvento + totalQualif ConhecExist >
votosRevogacaoEvento + totalQualif ConhecRevog then
29
30
end
31
else if votosExistenciaEvento + totalQualif ConhecExist <
votosRevogacaoEvento + totalQualif ConhecRevog then
32
33
end
34
else if votosExistenciaEvento + totalQualif ConhecExist + totalQualif DesconhecExist >
votosRevogacaoEvento + totalQualif ConhecRevog + totalQualif DesconhecRevog then
35
36
end
37
else if votosExistenciaEvento + totalQualif ConhecExist + totalQualif DesconhecExist <
votosRevogacaoEvento + totalQualif ConhecRevog + totalQualif DesconhecRevog then
38
39
end
40
else
41
42
end
43 end
44 else
45
//deciso forcada
46
47 end
44
disso, seu certicado emitido pela Autoridade Certicadora (AC), que simplesmente
a assinatura da AC sobre a chave pblica do veculo, tambm adicionado. Assim, o
formato de uma mensagem de dados dado por:
M, SigP rKV (M ), CertAC (P uKV )

onde
a assinatura de
chave pblica de
M e CertAC (P uKv ) o certicado da chave

de M , cada receptor dessa mensagem deve extrair
sobre
Para ler o contedo
de
SigP rKv (M )
pblica de V .
a mensagem contendo os dados descritos na Subseo 2.3.1.2,
e vericar a
V , utilizando a chave pblica da AC, para depois vericar a assinatura
utilizando a chave pblica certicada.
Em cada mensagem de dados enviada,
deve acrescentar um determinado nmero
de qualicaes por ele recebidas e que ainda no expiraram, no intuito de reforar a

conabilidade de suas informaes. Essas qualicaes e seu formato so o assunto da
prxima Subseo.
4.2.2.2 Mensagem de qualicao

Para cada mensagem recebida pelo veculo, informando corretamente o estado de determinado evento (essa validao feita aps a vericao do estado real do evento)
e utilizada em uma deciso indicada, gerada uma qualicao assinada digitalmente
por este receptor, atestando a conabilidade da origem das informaes. Esta qualicao ento enviada pela rede em direo ao seu destino, que o responsvel pelo
armazenamento das qualicaes por ele recebidas. Este envio no realizado em modo
de difuso, como feito com as mensagens de dados, mas atravs apenas de membros
considerados totalmente conveis pela aplicao executada. Assim, a sobrecarga criada menor e a efetividade de ataques nos quais membros intrusos descartam esse tipo
de mensagem, no intuito de prejudicar o desempenho do mecanismo de reputao,
reduzida.
De maneira anloga s mensagens de dados, os dados de uma mensagem de qualicao devem ter sua integridade garantida, evitando assim qualquer tipo de adulterao
maliciosa. Assim, o formato de uma mensagem de qualicao dado por:
Vq |T, SigP rKV (Vq |T ), CertAC (P uKV )

T o horrio de gerao dessa
qualicao, | o operador de concatenao de dados, V o veculo qualicador de Vq ,
SigP rKV (Vq |T ) a qualicao emitida, na forma de uma assinatura de V sobre a identidade de Vq , concatenada com o horrio de gerao, e CertAC (P uKV ) o certicado
da chave pblica de V .
onde
Vq
a identidade do veculo a ser qualicado,
4.3.
45
Concluso
A partir do recebimento dessa mensagem, o proprietrio da qualicao deve

adicion-la, enquanto esta for vlida, nas mensagens de dados por ele geradas. Cada
receptor de uma mensagem de dados gerada por
Vq
deve validar as qualicaes por
ele apresentadas.
Essa validao s possvel se o receptor possuir a chave pblica
V.
Como no possvel garantir essa condio para todos os veculos
certicada de
da rede,
Vq
adiciona tambm
CertAC (P uKV )
s mensagens de dados geradas, permi-
tindo assim a validao de cada qualicao adicionada por qualquer receptor dessas
informaes.
4.3 Concluso
Neste Captulo apresentamos os requisitos e premissas para o funcionamento do nosso
mecanismo e detalhamos o seu funcionamento.
O RMDTV um mecanismo de reputao para redes veiculares tolerantes a atrasos
e desconexes que permite aos usurios da rede atestar a conabilidade das informaes emitidas por outros usurios. Esse mecanismo faz uso de qualicaes emitidas
por terceiros, que devem ser anexadas s mensagens geradas, no intuito de atestar a
conabilidade de seu emissor.
Captulo 5
Avaliao de Desempenho
Neste captulo avaliamos o RMDTV quanto ao percentual de decises erradas, percen-
tual de decises indicadas e quantidade total de falsos positivos, utilizando o simulador

Opportunistic Networking Environment - ONE [Kernen et al., 2009]. Como o conceito
de redes tolerantes a atrasos de desconexes algo relativamente novo, at onde sabemos o simulador ONE o nico especco para redes DTN que d suporte a contatos
oportunsticos e ao paradigma de armazenamento-transporte-repasse de mensagens. A
Seo 5.1 descreve as caractersticas da aplicao utilizada na simulao e as mtricas
avaliadas. O mecanismo foi avaliado em cenrios diferentes para o estudo detalhado
de seu desempenho. Comparamos uma rede executando o RMDTV com outra onde
nenhum mecanismo de reputao utilizado.
A Seo 5.3 avalia o desempenho em
cenrios com diferentes quantidades de intrusos.
A Seo 5.4 analisa o impacto da
variao da extenso das reas geogrcas ao redor dos eventos. A Seo 5.5 analisa a
escalabilidade do RMDTV. A Seo 5.6 avalia os tempos de entrega das qualicaes e
discute o uso de conceitos de redes DTNs como suporte aos possveis atrasos ocorridos
nessas entregas. Por m, na Seo 5.7 feita uma anlise da sobrecarga criada na rede
pela soluo proposta.
5.1 Simulao
Avaliaes de sistemas de computao geralmente so realizadas a partir do uso de
uma das seguintes tcnicas [Izquierdo e Reeves, 1999]: medio, anlise e simulao. A
medio geralmente utilizada quando existe a possibilidade de obteno de dados reais
do sistema estudado. J a tcnica de anlise se baseia na modelagem do sistema e seus
possveis comportamentos a partir de modelos matemticos imensamente simplicados.
Por m, a simulao baseada na construo e execuo de programas, com o objetivo
de reproduzir o comportamento do sistema.
47
48
Captulo 5. Avaliao de Desempenho
Neste trabalho, escolhemos a simulao como tcnica de avaliao do RMDTV.

Comparada com a tcnica de anlise, a simulao permite um maior detalhamento da
rede que o simples uso de modelos matemticos. J o desenvolvimento de um prottipo,
o que permite o uso de medies, possui um custo muito alto, gerado principalmente
pela compra, instalao e manuteno dos dispositivos em veculos reais, o que inviabilizaria o projeto.
Alm disso, a simulao permite a repetio dos resultados, o
que nem sempre possvel em um prottipo. Todavia, uma vez que a simulao no
considera todos os aspectos da rede, mas apenas os mais importantes, seus resultados
devem ser interpretados com cuidado.
O simulador escolhido para a avaliao e comparao de desempenho do RMDTV
foi o Opportunistic Networking Environment - ONE [Kernen et al., 2009]. O ONE
um simulador de eventos discretos que tem como principais funes modelar a mobilidade dos ns da rede, o contato entre eles de acordo com seus respectivos raios de
alcance, o roteamento de dados e o tratamento das mensagens atravs de um modelo
de comunicao tolerante a interrupes.
Os ns seguem o paradigma armazenar-
transportar-repassar mensagens (store-carry and foward ), mantendo-as em um buer

at que exista uma oportunidade para o repasse dos dados.
No simulador ONE, modelos de mobilidade baseados em mapas, como o Working
Day Movement - WDM, utilizam arquivos no formato Well Known Text - WKT para
denir a movimentao dos ns da rede. Arquivos WKT so gerados e editados a partir
de mapas digitais com o uso de Sistemas de Informaes Geogrcas (Geographic Infor-
mation System - GIS). Neste trabalho, utilizamos o OpenJUMP [OpenJUMP, 2009],

um aplicativo GIS open source desenvolvido em Java, para a gerao do arquivo WKT
representando seo digital do mapa de Belo Horizonte. Na Figura 5.1, podemos visualizar a representao grca no ONE do arquivo WKT gerado.
5.2 Caracterizao do Cenrio

Simulaes de redes veiculares geralmente so feitas sobre mapas englobando reas urbanas de conhecimento dos pesquisadores, como a regio de Dupont Circle em Washington, EUA utilizada em [Patwardhan et al., 2006] e a regio central de Munique, Alemanha, utilizada em [Ostermaier, 2005]. Neste trabalho, escolhemos a cidade de Belo
Horizonte como palco de nossas simulaes, uma vez que esta de conhecimento de
todos os envolvidos no projeto. Dentre os vrios corredores existentes na cidade, a Avenida Antnio Carlos se mostra como um dos mais importantes, no s por ser utilizada
diariamente por milhares de pessoas em seus deslocamentos entre casa e trabalho, mas
tambm por ser o principal acesso ao estdio Governador Magalhes Pinto (Mineiro),
5.2.
49
uma das principais sedes da Copa do Mundo de 2014, a ser realizada no Brasil. Assim,
entendemos que o estabelecimento de uma rede veicular nesta avenida, na qual os veculos trocam mensagens objetivando a melhoria das suas condies de trfego, seria de
grande valia no s para aqueles que nela circulam diariamente, mas tambm para os
turistas que visitarem a cidade durante a Copa. O mapa digital da Figura 5.1 mostra a
regio de Belo Horizonte utilizada nas simulaes. Com uma rea de aproximadamente
2
55 km , este mapa engloba toda a Avenida Antnio Carlos, alm da regio central da
cidade.
Utilizamos 300 carros, movendo-se de acordo com o Working Day Movement WDM, discutido na Subseo 2.4.
pela Av.
Dados todos os carros que circulam diariamente
Presidente Antnio Carlos, consideramos plausvel que uma VANET real
tenha ao menos essa quantidade de veculos. Alm disso, adicionamos rede 6 nibus
(equivalente a 2% do total de carros), que circulam ininterruptamente por uma rota
pr-denida, e uma estao base, disposta ao lado da referida avenida, mais ou menos
em seu ponto mdio.
O tempo de simulao foi o equivalente a vinte dias, iniciando-se s 7h da manh
do primeiro dia. Como o WDM modela o comportamento dos ns da rede durante os
chamados dias teis, foram simuladas quatro semanas de trabalho na rotina desses
membros. Utilizamos os valores padres do IEEE 802.11 para alcance de rdio e largura
de banda dos membros, com 200m e 1Mbps respectivamente.
Dado que simulaes
em redes veiculares no consideram restries de processamento e armazenamento,

os dados recebidos por cada membro foram armazenados em um buer de tamanho
ilimitado.
5.2.1 Mobilidade
As regies residenciais, comerciais e de atividades noturnas denidas no WDM esto
marcadas na Figura 5.1. As reas numeradas de 1 a 4 identicam regies residenciais,
enquanto as reas 5 e 6 referenciam regies comerciais. Por m, as reas 7 e 8 marcam
regies de atividades noturnas. A partir das regies denidas, foram criados dois grupos
de ns na rede. Cada n corresponde a um par veculo-pessoa. O primeiro grupo vive
nas regies 1 ou 2, trabalha na regio 6 e realiza atividades noturnas na regio 8. J o
segundo vive nas regies 3 ou 4, trabalha na regio 5 e realiza atividades noturnas na
regio 7. Como atualmente as pessoas tendem a viver em lugares mais afastados do
centro das grandes cidades (regio 6), dividimos os 300 carros utilizados nas simulaes
entre os dois grupos na proporo de 60% e 40%, respectivamente. A partir da alocao
de um n em determinado grupo, as localizaes de sua residncia, local de trabalho e
atividades noturnas foram denidas de forma aleatria, dentro das regies destinadas
50
Figura 5.1.
WKT gerado
Mapa digital de Belo Horizonte e a representao grca do arquivo
aquele grupo. As denies de distribuio dos veculos simulados so sumarizadas na

Tabela 5.1.
Tabela 5.1.
Distribuio dos veculos entre as regies da Figura 5.1
Percentual veculos Moradia Trabalho Diverso Noturna

Grupo 1
Grupo 2
60%
1 ou 2
40%
3 ou 4
A rotina dos ns simulados segue a seguinte regra: inicialmente foi denido um

horrio padro para cada membro, escolhido aleatoriamente entre 7h30min e 9h30min,
indicando o incio dirio do percurso casa-trabalho. Como em situaes reais existem
pequenas variaes dirias no horrio padro denido, permitimos a cada n um atraso
ou adiantamento de at quinze minutos, calculado aleatoriamente, em cada dia. Uma
5.2.
51
vez em seu local de trabalho, os ns l devem permanecer durante oito horas seguidas.
Aps esse perodo, cada n decide, com probabilidades de 80% e 20% respectivamente,
entre seguir direto para casa ou realizar alguma atividade noturna. Essa distribuio
indica que cada membro da rede executa atividades noturnas em mdia uma vez por
semana. A durao dos eventos noturnos varia entre uma e trs horas. Em casa, os
ns dormem at o horrio de seguir novamente para o trabalho.
Nos trajetos realizados dentro da rotina denida, os carros simulados se movem
com velocidades entre 30km/h e 60km/h. J os nibus presentes na rede mantm sua
velocidade dentro da faixa de 25km/h a 55km/h. Esses valores respeitam a velocidade
mxima permitida nas avenidas de Belo Horizonte, que de 60km/h.
Semforos foram dispostos em alguns cruzamentos (Figura 5.1), possibilitando assim maiores oportunidades de conexo entre os veculos da rede. Cada semforo permanece aberto, e posteriormente fechado, por exatamente 125 segundos simulados, tempo
esse igual mdia real dos semforos existentes em Belo Horizonte, segundo a Empresa
de Transportes e Trnsito de Belo Horizonte [BHTRANS, 2009], rgo municipal responsvel pelo controle de trnsito na cidade.
5.2.2 Eventos
Foram considerados dois eventos dentro da rea simulada, identicados na Figura 5.1
como 1 e 2.
Enquanto o evento 1 indica a existncia de um congestionamento no
sentido bairro-centro, o evento 2 indica um congestionamento no sentido centro-bairro.

Levando-se em conta que informaes sobre as condies do trfego em provveis pontos
de congestionamento de uma via sempre interessam aos membros de uma VANET,
qualquer veculo, ao atingir a rea de reconhecimento de um dos eventos, gera uma
mensagem informando sua condio, ou seja, se o trnsito est livre ou congestionado
naquele ponto. Cada mensagem de dados gerada sobre a condio de um evento expira
trinta minutos aps sua criao.
O aparecimento dos eventos segue a seguinte regra: entre 8h e 9h da manh, h 80%
de chances de ocorrncia do evento 1 enquanto o evento 2 conta com uma probabilidade
de apenas 20%. Essa distribuio baseada no fato de um nmero maior veculos se
deslocar no sentido bairro-centro pela manh, em comparao com aqueles que se
deslocam no sentido centro-bairro. Assim, ao nal do dia de trabalho, entre 17h e 18h,
as probabilidades se invertem, haja vista que este o horrio em que a maioria dos
veculos retorna para casa. Logo, dentro desse intervalo, as chances de ocorrncia dos
eventos so respectivamente 20% e 80%, para os eventos 1 e 2.
A m de simular possveis acidentes, ou mesmo outros problemas de trfego que
podem acontecer fora dos horrios de rush, denimos uma probabilidade diria de
52
20% de ocorrncia dos eventos 1 e/ou 2, em horrios diferentes daqueles cobertos pelos
intervalos acima citados. Assim, uma vez que um evento acontea, seu horrio de incio
e tempo de durao so denidos de maneira aleatria. Entretanto, a durao de um
evento no pode exceder seu dia de ocorrncia. As probabilidades de ocorrncia dos
eventos simulados so sumarizadas na Tabela 5.2.
Tabela 5.2.
Probabilidade de ocorrncia dos eventos ao longo do dia
Evento 1
Evento 2
8h - 9h
17h - 18h
Outros horrios
80%
20%
20%
20%
80%
20%
Os raios das reas de reconhecimento, deciso e disseminao foram baseados em

[Ostermaier et al., 2007], que utilizaram, respectivamente, raios iguais a 25m, 150m e
350m. Todavia, para esses valores, um veculo que no recebeu mensagens enviadas
por fontes conveis, e que est se deslocando a uma velocidade mdia de 60Km/h
(16,67m/s), tem, ao adentrar na rea de deciso do evento, aproximadamente apenas
7,5s ( (150m - 25m) / 16,67m/s) para tomar a deciso e agir antes de atingir a rea
de reconhecimento.
Considerando ainda a necessidade de validao dos certicados
adicionados s mensagens recebidas (Seo 5.7), este tempo ainda menor. Logo, so
necessrias reas maiores, capazes no s de garantir a viabilidade da aplicao LDW,
mas tambm do mecanismo de reputao proposto. Assim, utilizamos raios de 50m,
300m e 700m respectivamente, para as reas de reconhecimento, deciso e disseminao
ao redor dos eventos.
5.2.3 Mensagens de qualicao

As qualicaes emitidas expiram vinte dias aps sua emisso, ou seja, uma vez geradas, so vlidas durante todo o perodo simulado. Assim, supondo que cada veculo
receba, em mdia, uma qualicao por dia, limitamos a quantidade de qualicaes
adicionadas s mensagens de dados a no mximo vinte. Da mesma forma, o histrico de
comportamento dos veculos, armazenado nas listas de conabilidade, deve ser mantido
tambm por vinte dias. Os nibus e a estao base presentes na rede so considerados
a priori conveis por todos os membros da rede. Alm disso, como consideramos esses
membros prova de qualquer tipo de sabotagem, seus nveis de reputao no sofrem
alteraes.
A m de reduzir a sobrecarga criada pelas mensagens de qualicao, cada carro
portando mensagens desse tipo realiza o seu repasse apenas em duas situaes: em
caso de conexo direta com o destino daquela qualicao ou em caso de conexo com
5.2.
53
os membros considerados a priori totalmente conveis (nibus e estao base). Os

nibus, por sua vez, realizam o repasse apenas para o destino ou para a estao base. J
a estao base s permitido o encaminhamento das qualicaes diretamente ao seu
destino nal. Assim, alm da diminuio da quantidade de mensagens de qualicao
circulando pela rede, existe tambm a garantia de que elas so encaminhadas apenas
a membros conveis, diminuindo ento a possibilidade de ataques de descarte de
mensagens.
5.2.4 Deciso e ataques

O mtodo de deciso utilizado pelos veculos foi o Maioria das ltimas
considerando um limite inferior, proposto em [Ostermaier et al., 2007].
mensagens
Entretanto,
como descrito na Subseo 4.2.1, no RMDTV informaes provenientes de fontes conveis so consideradas evidncia suciente da existncia ou revogao de um evento.
Assim como em [Ostermaier et al., 2007], o nmero mximo de mensagens utilizadas
pelo mtodo Maioria das ltimas
mensagens considerando um limite inferior foi 22,
enquanto o mnimo de opinies necessrias para a execuo desse mtodo de deciso

foi xado em 3.
Os intrusos presentes na rede executam apenas ataques do tipo alarmes trocados
durante as simulaes. Neste tipo de ataque, cada intruso simplesmente gera e distribui
mensagens informando impresses opostas quelas por eles experimentadas, ou seja,
caso a via esteja livre, gerada uma mensagem informando a existncia de um congestionamento e vice versa. No mais, esses veculos se comportam de maneira similar aos
membros cooperativos da rede. No consideramos a execuo de nenhum outro tipo
de ataque mais estruturado.
Nossa avaliao se concentrou em comparar o desempenho entre duas redes: uma
utilizando o RMDTV como mecanismo de reputao e outra na qual nenhum mecanismo utilizado. As mtricas utilizadas nas simulaes foram: percentual de decises
erradas, ou seja, o percentual de decises tomadas que diferiram do estado real do

evento naquele momento, percentual de decises indicadas, ou seja, aquelas decises
que foram tomadas a partir das informaes contidas nas mensagens recebidas, e quan-
tidade total de falsos positivos, que indica a quantidade de veculos cooperativos que
foram considerados erroneamente como maliciosos pelo RMDTV. Avaliamos tambm
os impactos dos intervalos de tempo entre a gerao e o recebimento das qualicaes
quanto necessidade suporte possveis atrasos em seu encaminhamento. Todos os
resultados apresentados possuem 90% de intervalo de conana. Cada simulao foi
executada com oito sementes diferentes. Nas sees seguintes discutimos esses resultados.
54
5.3 Impacto da Quantidade de Intrusos

Neste cenrio variamos o percentual de carros de comportamento malicioso existentes
na rede. Partimos de um cenrio com 0% intrusos, nalizando com uma situao onde
50% dos carros existentes so inimigos, aumentando esse percentual a taxas de 10%.
Assim, em um primeiro momento, denimos o desempenho bsico das redes com e
sem a execuo do RMTV. Posteriormente, com o aumento da quantidade de intrusos,
avaliamos ento a robustez dessas redes aos ataques executados por esses inimigos.
Os resultados obtidos nas simulaes so analisados a partir do percentual total de
decises erradas tomadas pelos veculos e tambm a partir das variaes dirias dessas
decises.
5.3.1 Percentual geral de decises erradas

O grco da Figura 5.2 mostra o desempenho geral das redes com e sem a execuo do
RMDTV. Podemos perceber que existe uma relao quase linear entre o percentual de
intrusos e de decises erradas. A rede executando o RMDTV possui um desempenho
melhor que a rede sem reputao em todos os cenrios simulados. Considerando-se os
pontos mdios, essa melhoria varia entre 14% (rede sem intrusos) e 45% (rede com 50%
de intrusos).
Taxa de erros Comparativo geral

Percentual de Decises Erradas
38
RMDTV
Sem Reputao
36
34
32
30
28
26
24
22
20
18
0
Figura 5.2.
sos na rede
10
20
30
Percentual de Intrusos
40
50
Percentual total de decises erradas variando o percentual de intru-
5.3.2 Variao diria das decises erradas

Os grcos da Figura 5.3 mostram o percentual de erros dirios na rede com e sem a
execuo do RMDTV, variando a quantidade de intrusos desde sua ausncia completa
at o percentual de 50% do total de veculos na rede.
5.4.
Impacto das reas Geogrficas
55
Podemos observar variaes dirias, tanto positivas quanto negativas, no percentual

dirio de decises erradas. Essas variaes so fruto das pequenas mudanas aleatrias
permitidas no horrio em que cada veculo da rede inicia o percurso casa-trabalho
diariamente. Com alteraes nesse horrio, o subgrupo de veculos encontrados durante
os percursos realizados est sujeito a variaes considerveis de um dia para o outro.
Assim, da mesma forma que a mudana de horrio pode fazer com que um veculo
encontre mais membros cooperativos (ou conveis, no caso da rede com reputao)
em um dia, pode implicar tambm, de maneira oposta, no estabelecimento de conexes
com uma maioria de membros maliciosos, no dia seguinte.
A rede com reputao apresentou resultados melhores durante todos os dias simulados, para todos os percentuais de intrusos presentes na rede. Alm disso, podemos
observar uma evoluo no distanciamento entre as curvas a medida que o percentual de
intrusos aumenta, corroborando o resultado mostrado na Figura 5.2. Todavia, existem
dois pontos que merecem ser discutidos: o primeiro diz respeito aos resultados obtidos quando da inexistncia de veculos maliciosos, enquanto o segundo se refere aos
resultados obtidos no primeiro dia de cada um dos cenrios simulados.
O melhor resultado da rede com reputao mesmo na ausncia de intrusos resultado de uma tomada de deciso mais gil quando o mecanismo de reputao
executado. Para que um veculo executando o RMDTV tome sua deciso acerca de um
evento, basta que ele receba informaes geradas por uma fonte convel. J em redes
onde no existe um mecanismo de reputao, o veculo deve coletar informaes sobre
o evento at atingir sua rea de deciso. Durante o intervalo de tempo entre o incio
e m dessa coleta, podem ocorrer mudanas no estado do evento, de maneira que a
deciso tomada seja inuenciada de forma determinante por mensagens desatualizadas.
Assim, at que o sistema se estabilize, vrias decises erradas so tomadas.
A existncia de um percentual menor de erros desde o primeiro dia de simulao,
quando ainda no existem relaes de conana entre os veculos, justicada pela
presena dos nibus, considerados sempre conveis, circulando pela rea simulada.
5.4 Impacto das reas Geogrcas

Nesta seo analisamos a relao entre o tamanho das reas geogrcas ao redor dos
eventos simulados e o percentual de decises indicadas e decises erradas tomadas
pelos veculos, alm da quantidade total de falsos positivos detectados pelo RMDTV.
As simulaes foram executadas em uma rede com 30% de intrusos, na qual o tamanho
do raio das reas geogrcas variou segundo os valores mostrados na Tabela 5.3. Os
grcos das Figuras 5.4, 5.5 e 5.6 mostram os resultados obtidos.
56
Evoluo Diria Percentual Decises Erradas 0% Intrusos

40
RMDTV
Sem Reputao
40
35
30
25
20
15
10
35
30
25
20
15
10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias

40
RMDTV
Sem Reputao
35
30
25
20
15
40
10
35
30
25
20
15
RMDTV
Sem Reputao
10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
40
50
RMDTV
Sem Reputao
RMDTV
Sem Reputao
35
30
25
20
15
45
RMDTV
Sem Reputao
40
35
30
25
20
15
10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
Figura 5.3.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
Dias
Percentual dirio de decises erradas na rede
Podemos perceber que, entre a distncia curta e a distncia mdia, o percentual de

decises indicadas praticamente triplicou. Isso comprova a armao de que, com reas
maiores, maior a quantidade de informaes coletadas. Com isso, houve uma reduo
de aproximadamente 30% no percentual de decises erradas. Todavia, houve tambm
um aumento de aproximadamente cinco vezes no nmero de falsos positivos. Assim,
embora os veculos tenham recebido mais informaes sobre os eventos ocorridos na
rede, nem todas eram atualizadas, de forma que algumas decises tomadas foram comprometidas. Entretanto, mesmo sob o custo de um nmero maior de falsos positivos, a
variao no tamanho das reas geogrcas apresentou um bom desempenho, haja vista
a sensvel reduo nas decises erradas.
5.4.
57
Impacto das reas Geogrficas
Tabela 5.3.
Variao do raio das regies geogrcas de um evento
curta mdia larga

rea de reconhecimento
rea de deciso
rea de propagao
25
50
100
150
300
600
350
700
1400
A comparao entre a distncia curta e a distncia larga, por sua vez, apresenta
os seguintes resultados: com um aumento maior que quatro vezes no percentual de
decises indicadas, houve uma diminuio de aproximadamente 39% no percentual de
decises erradas, com um aumento de aproximadamente nove vezes na quantidade de
falsos positivos.
Comparadas proporcionalmente, enquanto a distncia mdia gerou
um custo de cinco vezes (quantidade de falsos positivos) para um benefcio de 30%

(diminuio da quantidade de decises erradas), a distncia larga gerou um custo de
nove vezes para um benefcio de 39%.
O desempenho de mecanismos de reputao depende, entre outros fatores, do tempo
de redeno denido para os membros intrusos. Assim, embora o aumento indenido da
extenso das regies parea ser, a princpio, uma boa alternativa no intuito de aumentar
o desempenho da rede, uma vez que tende a diminuir o percentual de decises erradas,
a grande quantidade de membros considerados maliciosos erroneamente, pode torn-la,
a longo prazo, dependente do tempo de redeno denido. Alm disso, dado que em
situaes reais podem ocorrer vrios eventos em uma mesma via, a adoo de reas
muito extensas pode gerar sobreposio de regies, fazendo com que haja coliso entre
as mensagens LDW de eventos distintos.
Percentual de Decises Indicadas
Raio de Deciso Percentual Decises Indicadas ( 30% Intrusos )

80
70
60
50
40
30
20
10
RMDTV
0
150
Figura 5.4.
geogrcas
200
250
300 350 400 450

Raio de Deciso
500
550
600
Percentual total de decises indicadas variando o tamanho das reas
58
Raio de Deciso Percentual Decises Erradas ( 30% Intrusos )

36
RMDTV
34
32
30
28
26
24
22
20
18
16
150
Figura 5.5.
geogrcas
200
250
300 350 400 450

Raio de Deciso
500
550
600
Percentual total de decises erradas variando o tamanho das reas
Raio de Deciso Quantidade Falsos Positivos ( 30% Intrusos )

2200
Nmero Falsos Positivos
2000
1800
1600
1400
1200
1000
800
600
400
200
0
150
Figura 5.6.
geogrcas
RMDTV
200
250
300 350 400 450

Raio de Deciso
500
550
600
Quantidade total de falsos positivos variando o tamanho das reas
5.5 Escalabilidade
Nessa seo, a m de analisar a escalabilidade do RMDTV, comparamos o desempenho
entre uma rede na qual nenhum mecanismo de reputao utilizado e outra na qual
o RMDTV a soluo escolhida, submetidas um percentual de 30% de intrusos.
Observamos ento o comportamento das duas redes, quanto ao percentual total de
decises erradas tomadas, medida que a quantidade de veculos aumenta. Variamos
a quantidade de veculos entre 60 e 960. O motivo paras esses valores se deve aos limites
computacionais do ambiente de simulao empregado. Para executar uma simulao
com 960 veculos em um computador QuadCore 2.6GHz, foram necessrios em mdia 5
dias e meio. Por essa razo, para a maior quantidade de veculos, as simulaes foram
repetidas apenas 3 vezes variando a semente de aleatoriedade.
No cenrio com apenas 60 veculos, percebemos que o percentual de decises erradas
5.5.
59
Escalabilidade
nas redes com e sem reputao bem parecido. Como existem poucos veculos na rede,
a probabilidade de receber informaes sobre os eventos existentes bem baixa, uma
vez que as mensagens geradas so encaminhadas apenas dentro da rea de disseminao
de cada evento. Assim, como a maioria das decises tomada de maneira forada, o
mecanismo de reputao no tem efeito algum na qualidade dessas decises.
medida que a quantidade de veculos aumenta, mais mensagens sobre os eventos
so recebidas pelos veculos dentro de sua rea de disseminao. Com mais informaes
sobre determinado evento, o veculo consegue executar o algoritmo de deciso e posteriormente classicar as origens das mensagens recebidas. A partir dessa classicao,
as decises posteriores tendem a ser mais acertadas, uma vez que se torna possvel a
distino entre os veculos conveis e aqueles maliciosos pelos receptores das mensagens.
Dessa maneira, a rede executando o RMDTV apresenta um resultado melhor
que aquela na qual nenhum mecanismo de reputao utilizado.

Entretanto, a partir de certa quantidade de veculos (480 em nossas simulaes),
voltamos a observar um desempenho parecido entre os dois cenrios simulados. Esse
resultado explicado pelo fato de toda mensagem recebida por um veculo ser reenviada enquanto este estiver dentro da rea de disseminao do evento, na tentativa de
aproveitar experincias realizadas por veculos que j deixaram a rea de disseminao.
Assim, ocorre uma saturao de mensagens circulando dentro da rea de disseminao
ao redor dos eventos, de forma que a quantidade de informaes disponveis to grande
que poucas decises so tomadas erroneamente, mesmo no cenrio sem reputao.
Percentual de Decises Erradas Escalabilidade (30% intrusos)

40
RMDTV
Sem Reputao
35
30
25
20
15
0
120
240
360
480
600
720
Quantidade de Veculos
840
960
Escabilidade do percentual de decises erradas variando a quantidade de veculos

Figura 5.7.
Embora esperemos que as redes veiculares reais sejam compostas por milhares de
veculos, entendemos que essa saturao de mensagens, ocorrida nas regies mais movimentadas, no invalida o mecanismo proposto, uma vez que sempre existiro regies
de menor circulao, como as periferias das cidades, nas quais a quantidade de veculos
60
passantes justica a utilizao de um mecanismo de reputao, de forma a aumentar

a qualidade das decises tomadas.
5.6 Tempo de Entrega das Qualicaes

Nesta seo analisamos os intervalos de tempo decorridos entre a gerao e a entrega
das qualicaes geradas pelo RMDTV. As simulaes foram executadas em uma rede
com 30% de intrusos e as mdias dos intervalos so mostradas na Figura 5.7.
Podemos perceber que aproximadamente 65% das qualicaes so recebidas entre
6 e 18 horas aps sua gerao. Dado esse considervel atraso, o protocolo de transporte
utilizado assume um papel importante no sucesso do mecanismo proposto. Protocolos de transporte atuais, como o TCP, podem nalizar a conexo em caso de grandes
atrasos, o que leva a falhas no processo de entrega de qualicaes emitidas. Por outro
lado, como o UDP no possui garantia de entrega, no existe nenhum controle que
possibilite vericar se o destino foi alcanado ou no, quando de seu uso. A utilizao
dos conceitos das DTNs possibilita que os possveis atrasos existentes entre a gerao
e a entrega das qualicaes se tornem transparentes para o RMDTV, uma vez que a
implementao da camada bundle permite o isolamento de tais atrasos atravs da tcnica de armazenagem-e-repasse, ou seja, um veculo deve armazenar uma qualicao
Distribuio Do Tempo De Entrega Das Qualificaes Emitidas

50
45
40
35
30
25
20
15
10
5
0
30
24
18
30
24
18
12
6h
12
6h
0h
Percentual de Qualificaes Entregues
recebida at que seja possvel repass-la ao prximo veculo na rede.
Faixas de Tempo
Figura 5.8.
emitidas
Intervalos mdios entre a gerao e a entrega das qualicaes
5.7 Anlise de Sobrecarga

Nesta seo fazemos uma anlise da sobrecarga adicionada rede pelo RMDTV, no
que se refere ao consumo da banda disponvel pelas mensagens de qualicao e, pos-
5.7.
61
Anlise de Sobrecarga
teriormente, pela adio dessas qualicaes s mensagens de dados enviadas por seus
portadores. Avaliamos tambm a sobrecarga computacional criada pela necessidade de
validao dessas qualicaes em cada receptor das mensagens de dados geradas.
Mensagens de qualicao contm a identicao do destino e seu horrio de emisso, alm da assinatura e do certicado da chave pblica de seu emissor. A utilizao
de uma infraestrutura de chave pblica garante a segurana desses dados. Neste trabalho, utilizamos o Algoritmo de Curvas Elpticas (Elliptic Curve Digital Signature
Algorithm - ECDSA) [Johnson et al., 2001] como soluo de criptograa, uma vez que
ele mais leve que o RSA, sem no entanto, comprometer a segurana da rede.
Em [Calandriello et al., 2007] foram realizadas medies do ECDSA 256 bits, utilizando uma mquina equipada com um processador Centrino de 1,5GHz, hardware esse
compatvel com aquele proposto para as VANETs pelo projeto de Sistemas Cooperativos de Infraestrutura Veicular (Cooperative Vehicle-Infrastructure Systems - CVIS)
[CVIS, 2009].
A partir dessas medies, foram denidos os seguintes valores para o
ECDSA-256:
Tempo de assinatura :
Tempo de vericao:
Tamanho da assinatura:
Tamanho da chave pblica:
Tamanho da chave privada:
0.8 ms;
4,2 ms;
64 bytes;
33 bytes;
32 bytes.
Supondo que 100 bytes sejam sucientes para denir o cabealho da mensagem de
qualicao, 50 para identicar o veculo qualicado e o horrio de gerao da qualicao, 64 para a assinatura da qualicao, 64 para o certicado da chave pblica do
emissor e 33 para essa chave. Assim, o tamanho total de uma mensagem de qualicao de 311 bytes. Essa mensagem, com uma banda de 1Mbps disponvel, ocupa o
canal de comunicao por aproximadamente 3,0ms durante sua transmisso, desconsiderando o tempo de estabelecimento de conexo. Como mensagens de qualicao no
so distribudas em modo de difuso pela rede, mas encaminhadas apenas para membros especcos, podemos concluir que a sobrecarga gerada no canal de comunicao
por essas mensagens aceitvel no cenrio das redes veiculares.
Qualicaes recebidas devem ser adicionadas por seu portador a todas as mensagens de dados por ele geradas. A partir do clculo realizado acima, conclumos que a
adio de uma qualicao aumenta em 211 bytes o tamanho da mensagem de dados.
Seja cada qualicao vlida por 30 dias e o limite mximo permitido de qualicaes
62
adicionadas s mensagens igual a 30, equivalente a uma por dia, temos ento um aumento total, no pior caso, de 6330 bytes por mensagem. Sejam 200 bytes sucientes
para os dados relativos ao cabealho e s informaes do evento, o tamanho nal de
uma mensagem de dados pode atingir at 6530 bytes. A transmisso desses dados, por
um enlace de 1Mbps, leva aproximadamente 55,0ms. Seja um veculo movendo-se em
linha reta a uma velocidade de 60Km/h (16,67m/s), velocidade mxima permitida na
maioria das avenidas brasileiras dentro da rea de disseminao de um evento. Sejam
os raios das reas de disseminao e deciso, respectivamente, 700 e 300 metros (Seo
5.4). Esse veculo tem aproximadamente 24s (400m / 16,67m/s) para colher informaes, antes de tomar a deciso sobre o evento, caso no receba dados gerados por uma
fonte convel. Logo, ele pode receber, durante a coleta de dados, aproximadamente
436 mensagens (24000ms / 55ms), quantidade essa mais que suciente para evidenciar
a existncia ou no do evento.
Uma vez dentro da rea de deciso, o veculo executa o processo descrito na Subseo 4.2.1, caso no tenha recebido dados gerados por fontes conveis. Nesse processo,
pode ser preciso validar as qualicaes anexadas s mensagens recebidas. Seja 22 o
valor de
x utilizado pelo mtodo Maioria
das ltimas
mensagens considerando um li-
mite inferior, como proposto em [Ostermaier et al., 2007]. O tempo total de validao
das qualicaes, quando nenhuma chave pblica conhecida pelo receptor das informaes, dado por: 4,2ms(vericao da chave pblica do emissor da qualicao) +
4,2ms(vericao da qualicao) = 8,4ms * 22 * 30
5,6s. Seja a velocidade de des-
locamento do veculo igual a 60Km/h (16,67m/s), ele percorre ento aproximadamente

93m durante a execuo dessa validao. Essa distncia no compromete o processo de
deciso, pois, se considerarmos os raios das reas de deciso e reconhecimento com 300
e 50 metros (Seo 5.4), respectivamente, ainda possvel ao veculo tomar a deciso
antes de atingir a rea de reconhecimento do evento. Alm disso, como as qualicaes
so utilizadas apenas como critrio de desempate no processo de deciso, sua vericao
completa nem sempre necessria.
5.8 Concluso
Este captulo apresentou uma avaliao por simulao do mecanismo de reputao
RMDTV. As simulaes procuraram se aproximar de um cenrio real, no qual a rede
composta por veculos utilizados por seus proprietrios em deslocamentos seguindo
Working Day Movement, discutido na Seo 2.4.

Analisamos e comparamos o desempenho de uma rede executando o RMDTV com
outra na qual nenhum mecanismo de reputao utilizado. Os resultados obtidos mos-
5.8.
63
Concluso
traram que o RMDTV aumenta consideravelmente a qualidade das decises tomadas

em uma rede sob ataques do tipo alarmes trocados, proporcionando uma melhoria entre
14% (rede sem intrusos) e 45% (rede com 50% de intrusos).
Percebemos que o aumento do tamanho das reas geogrcas ao redor de um evento
pode proporcionar melhores resultados nas decises tomadas. Entretanto, a partir de
certo ponto, o nmero de falsos positivos gerados passa a ser muito alto. Assim, como
no RMDTV mensagens e qualicaes emitidos por membros da rede considerados
maliciosos so sumariamente descartados, a longo prazo o desempenho da rede pode
se deteriorar consideravelmente, dada a indisponibilidade de fontes conveis.
Analisamos a escalabilidade do RMDTV variando a quantidade de veculos na rede.
Os resultados mostraram que em uma rede com poucos veculos, a quantidade de
informaes recebidas insuciente para inuenciar o processo de tomada de deciso,
de forma que o estabelecimento de relaes de conana entre os veculos quase
nulo. medida que a quantidade de veculos aumenta percebemos que o percentual de
decises erradas diminui no s pelo recebimento de mais informaes sobre os eventos,
mas tambm pelo estabelecimento de relaes de conana entre os veculos. Todavia,
a partir de certo ponto, ocorre uma saturao da quantidade de informaes disponveis
sobre os eventos, de forma que o percentual de decises tomadas erroneamente, mesmo
quando da inexistncia de qualquer mecanismo de reputao, se iguala ao resultado
obtido quando o RMDTV utilizado.
Todavia, entendemos que este resultado no
invalida o RMDTV, haja vista que sempre existiro regies de menor circulao nas
quais o estabelecimento de reputaes contribuir para um aumento na qualidade das
decises tomadas pelos veculos.
Percebemos que o uso dos conceitos de Redes Tolerantes a Atrasos e Desconexes neste trabalho teve tambm importncia signicativa nos resultados obtidos pelo
RMDTV, uma vez que os considerveis atrasos existentes entre a gerao e o recebimento das qualicaes emitidas poderiam inviabilizar o mecanismo proposto, caso
fossem utilizados protocolos de transporte tradicionais, como o TCP e o UDP.
Embora a execuo do RMDTV adicione certa sobrecarga rede, resultado da
denio de um novo tipo de mensagem e da adio das qualicaes recebidas pelos
veculos s mensagens de dados geradas, mostramos que o mecanismo, de maneira
geral, no prejudica o desempenho da aplicao, uma vez que possibilita aos veculos a
recepo de uma quantidade suciente de informaes sobre o evento durante a fase de
coleta de dados e, posteriormente a esse passo, permite tambm a tomada de deciso
em tempo hbil para que aes no intuito de minimizar os efeitos do evento possam
ser executadas em segurana pelo conjunto veculo-motorista.
Captulo 6
Concluses
O sucesso de aplicaes em redes veiculares depende principalmente da cooperao de
todos os veculos em prol do benefcio coletivo. Todavia, existe sempre o risco de um
ou mais membros agirem de forma egosta, condicionando seu comportamento ao atendimento de objetivos pessoais, geralmente diferentes do interesse geral.
Mecanismos
de reputao contribuem para a resoluo deste problema, uma vez que permitem aos
membros da rede a escolha de pares para a realizao de transaes com base em seu
histrico comportamental, aumentando assim a probabilidade de resultados satisfatrios advindos dessas transaes.
Neste trabalho, propusemos um mecanismo de reputao para redes veiculares, o
RMDTV, que possibilita aos membros da rede atestar a conabilidade das informaes
emitidas por outros veculos.
Esse mecanismo faz uso de qualicaes emitidas por
terceiros e roteadas pela rede mesmo sob condies de desconectividade, aliadas s experincias que o prprio membro teve com os emissores dessas qualicaes, certicadas
por uma Autoridade Certicadora
Analisamos o RMDTV utilizando o modelo de mobilidade conhecido como Working
Day Movement, que reete o comportamento de pessoas durante um dia normal de

trabalho.
O cenrio escolhido para as simulaes foi uma seo do mapa digital de
Belo Horizonte, representando parcialmente as regies central e norte da cidade.
rede veicular simulada executava uma aplicao distribuda de segurana, na qual seus
membros trocavam mensagens informando as condies de trfego em pontos especcos
da cidade.
Os resultados obtidos mostraram que o RMDTV um mecanismo de
reputao escalvel capaz aumentar consideravelmente a resilincia de redes veiculares

sujeitas a ataques do tipo alarmes trocados, em comparao com cenrios onde nenhum
mecanismo de reputao utilizado. Essa melhoria obtida sem que o mecanismo crie
uma sobrecarga capaz de prejudicar o desempenho geral da aplicao executada.
65
66
Captulo 6. Concluses
6.1 Contribuies
As atividades realizadas durante a execuo deste trabalho trouxeram as seguintes
contribuies:
Levantamento do estado da arte em solues de segurana para alguns tipos de

sistemas distribudos, como redes P2P, MANETs e VANETs.
Identicao dos desaos especcos relacionados proposio de solues de

segurana em redes veiculares.
Concepo e implementao de um mecanismo de reputao para redes veiculares

tolerantes a atrasos e desconexes, chamado RMDTV.
Avaliao do mecanismo proposto atravs de simulaes, comprovando sua eccia na diminuio da quantidade de decises erradas tomadas pelos veculos da
rede acerca de eventos existentes nas vias de trfego.
6.2 Trabalhos Futuros

Como trabalho futuro, possvel continuar o desenvolvimento do RMDTV alterando
a forma de classicao dos veculos em conveis ou intrusos.
Atualmente, se um
n apresenta um comportamento cooperativo em uma nica transao, j promovido a convel. A mesma coisa acontece para aqueles que agem de maneira maliciosa
uma nica vez, rebaixados condio de intrusos imediatamente.
Considerando-se
que mensagens enviadas por membros conveis tm um peso muito grande no processo de deciso, enquanto aquelas enviadas por intrusos so totalmente descartadas,
acreditamos que a denio de funes de promoo e rebaixamento progressivos pode
aumentar o desempenho do sistema, uma vez que a quantidade de membros promovidos
a conveis ou rebaixados a intrusos erroneamente tende a diminuir consideravelmente.
Outra possibilidade seria avaliar o desempenho da rede em situaes nas quais
permitido aos membros a publicao das informaes de reputao armazenadas
localmente nas listas de conabilidade. Essa troca de informaes permitiria uma maior
convergncia das opinies sobre os comportamentos dos veculos da rede. Alm disso,
tais dados poderiam ser utilizados pela Autoridade Certicadora para a elaborao e
divulgao de Listas de Revogao de Certicados (LRC), a m de revogar as chaves
dos veculos de comportamento malicioso.
Por m, com o objetivo de aumentar a conabilidade dos resultados obtidos nas
redes simuladas, seria interessante variar tambm as distribuies estatsticas utilizadas
6.2.
Trabalhos Futuros
67
no Working Day Movement, alm de avaliar tambm o desempenho do RMDTV em

redes funcionando sob a regncia de outros modelos de mobilidade.
Referncias Bibliogrcas
Adler, C. e Strassberger, M. (2006).
Putting together the pieces - a comprehensive
view on cooperative local danger warning.
In ITS '06:
Proceedings of 13th ITS
World Congress and Exhibition on Intelligent Transport Systems and Services.

BHTRANS
(2009).
Empresa
de
transportes
trnsito
de
belo
horizonte.
http://www.bhtrans.pbh.gov.br.
Buchegger, S. e Le Boudec, J. Y. (2004).
A robust reputation system for p2p and
mobile ad-hoc networks. In Proceedings of the Second Workshop on the Economics
of Peer-to-Peer Systems.
Burgess, J.; Gallagher, B.; Jensen, D. e Levine, B. N. (2006). Maxprop: Routing for
vehicle-based disruption-tolerant networks. In INFOCOM 2006: Proceedings of the
25th IEEE International Conference on Computer Communications, pp. 111.

Calandriello, G.; Papadimitratos, P.; Hubaux, J.-P. e Lioy, A. (2007).
Ecient and
robust pseudonymous authentication in vanet. In VANET '07: Proceedings of the
fourth ACM international workshop on Vehicular ad hoc networks, pp. 1928, New
York, NY, USA. ACM.
Car2Car (2009). Car2car communication consortium.
http://www.car-2-car.org.
Cerf, V.; Burleigh, S.; Hooke, A.; Torgerson, L.; Durst, R.; Scott, K.; Fall, K. e Weiss,
H. (2007). Delay-tolerant networking architecture. Technical report, Internet RFC
4838.
Cerf, V.; Burleigh, S.; Hooke, A.; Torgerson, L.; Durst, R.; Scott, K.; Travis, E. e
Weiss, H. (2001). Interplanetary internet (ipn): Architectural denition. Technical
report, IPN Research Group.
Chones, D. R. e Bustamante, F. E. (2005). An integrated mobility and trac model
for vehicular wireless networks. In VANET '05: Proceedings of the 2nd ACM inter-
national workshop on Vehicular ad hoc networks, pp. 6978, New York, NY, USA.
ACM.
69
70
CVIS
Referncias Bibliogrficas
(2009).
The
cooperative
vehicle-infrastructure
systems
project.
http://www.cvisproject.org/.
Dewan, P. e Dasgupta, P. (2004). Securing reputation data in peer-to-peer networks. In
PDCS: Proceedings International Conference on Parallel and Distributed Computing

and Systems, MIT Cambridge, USA.
Dewan, P.; Dasgupta, P. e Bhattacharya, A. (2004). On using reputations in ad hoc
networks to counter malicious nodes. In ICPADS '04: Proceedings of the Parallel
and Distributed Systems, Tenth International Conference, p. 665, Washington, DC,

USA. IEEE Computer Society.
Dotzer, F.; Fischer, L. e Magiera, P. (2005). Vars: A vehicle ad-hoc network reputation
system. In WOWMOM '05: Proceedings of the Sixth IEEE International Symposium
on World of Wireless Mobile and Multimedia Networks, pp. 454456, Washington,

DC, USA. IEEE Computer Society.
DSRC
(2009).
Dedicated
short
range
communications.
http://grouper.ieee.org/groups/scc32/dsrc/index.html.
Ekman, F.; Kernen, A.; Karvo, J. e Ott, J. (2008). Working day movement model. In
MobilityModels '08: Proceedings of the 1st ACM SIGMOBILE workshop on Mobility

models, pp. 3340, New York, NY, USA. ACM.
Fall, K. (2003).
A delay-tolerant network architecture for challenged internets.
In
SIGCOMM '03: Proceedings of the 2003 conference on Applications, technologies,

architectures, and protocols for computer communications, pp. 2734, New York, NY,
USA. ACM.
Hrri, J.; Filali, F. e Bonnet, C. (2007).
Mobility Models for Vehicular Ad Hoc
Networks: A Survey and Taxonomy. Technical report, Technical Report RR-06-168,

Institut Eurecom, January 2007.
Hubaux, J. P.; apkun, S. e Luo, J. (2004). The security and privacy of smart vehicles.
IEEE Security and Privacy, 2(3):4955.

Izquierdo, M. R. e Reeves, D. S. (1999).
A survey of statistical source models for
variable-bit-rate compressed video. Multimedia Syst., 7(3):199213.
Johnson, D.; Menezes, A. e Vanstone, S. A. (2001). The elliptic curve digital signature
algorithm (ecdsa). Int. J. Inf. Sec., 1(1):3663.
71
Johnson, D. B. e Maltz, D. A. (1996).
Dynamic source routing in ad hoc wireless
networks. In Mobile Computing, pp. 153181. Kluwer Academic Publishers.

Juang, P.; Oki, H.; Wang, Y.; Martonosi, M.; Peh, L. S. e Rubenstein, D. (2002).
Energy-ecient computing for wildlife tracking: design tradeos and early experiences with zebranet. SIGARCH Comput. Archit. News, 30(5):96107.
Kernen, A.; Ott, J. e Krkkinen, T. (2009).
The one simulator for dtn protocol
evaluation. In SIMUTools '09: Proceedings of the 2nd International Conference on
Simulation Tools and Techniques, pp. 110, Rome, Italy. ACM.

Kosch, T. (2004). Local danger warning based on vehicle ad-hoc networks: Prototype
and simulation. In WIT '04: Proceedings of 1st International Workshop on Intelligent
Transportation.
Li, M. e Lou, W. (2008). Opportunistic broadcast of emergency messages in vehicular
ad hoc networks with unreliable links.
In QShine '08: Proceedings of the 5th In-
ternational ICST Conference on Heterogeneous Networking for Quality, Reliability,

Security and Robustness, pp. 17, ICST, Brussels, Belgium.
Manet
(2009).
Internet
engineering
task
force
manet
working
group.
http://www.ietf.org/html.charters/manet-charter.html.
OpenJUMP (2009).
The free, java-based and open source geographic information
system for the world.
http://www.openjump.org/.
Ostermaier, B. (2005). Analysis and improvement of inter-vehicle communication security by simulation of attacks. Master's thesis, Technische Universitt Mnchen.
Ostermaier, B.; Dotzer, F. e Strassberger, M. (2007). Enhancing the security of local
danger warnings in vanets - a simulative analysis of voting schemes. In ARES '07:
Proceedings of the The Second International Conference on Availability, Reliability

and Security, pp. 422431, Washington, DC, USA. IEEE Computer Society.
Parno, B. e Perrig, A. (2005). Challenges in securing vehicular networks. Workshop on
Hot Topics in Networks (HotNets-IV).

Patwardhan, A.; Joshi, A.; Finin, T. e Yesha, Y. (2006). A data intensive reputation
management scheme for vehicular ad hoc networks.
In Proceedings of the Second
International Workshop on Vehicle-to-Vehicle Communications. IEEE.

Raya, M. e Hubaux, J. P. (2005).
The security of vehicular ad hoc networks.
In
SASN '05: Proceedings of the 3rd ACM workshop on Security of ad hoc and sensor
networks, pp. 1121, New York, NY, USA. ACM.
72
Seth, A.; Kroeker, D.; Zaharia, M.; Guo, S. e Keshav, S. (2006).
Low-cost com-
munication for rural internet kiosks using mechanical backhaul. In MobiCom '06:
Proceedings of the 12th annual international conference on Mobile computing and

networking, pp. 334345, New York, NY, USA. ACM.
Sun, Q. e Garcia-Molina, H. (2004). Using ad-hoc inter-vehicle networks for regional
alerts. Technical Report 2004-51, Stanford InfoLab.
Swamynathan, G.; Zhao, B. Y.; Almeroth, K. C. e Zheng, H. (2007). Globally decoupled reputations for large distributed networks. Adv. MultiMedia, 2007(1):1212.
Wang, Z. e Chigan, C. (2007). Countermeasure uncooperative behaviors with dynamic
trust-token in vanets. In ICC '07: Proceedings of IEEE International Conference on
Communications, pp. 39593964, Glasgow, Scotland. IEEE.

Warthman, F. (2003).
Delay-tolerant networks.
Technical report, A Tutorial. DTN
Research Group Internet Draft.

Xue, F. e Kumar, P. R. (2004). The number of neighbors needed for connectivity of
wireless networks. Wirel. Netw., 10(2):169181.
Yang, G.; Chen, L.-J.; Sun, T.; Zhou, B. e Gerla, M. (2006). Ad-hoc storage overlay
system (asos): A delay-tolerant approach in manets. In MASS '06: Proceeding of
the 3rd IEEE International Conference on Mobile Ad-hoc and Sensor Systems, pp.
296305.
Zimmermann, P. (1994). Pgp user's guide. Cambridge, MA: MIT Press.

Well I GT On Passos Paula

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Well I GT On Passos Paula

Enviado por

Direitos autorais:

Formatos disponíveis

UM MECANISMO DE REPUTAO PARA

REDES VEICULARES TOLERANTES A ATRASOS

WELLINGTON PASSOS DE PAULA

UM MECANISMO DE REPUTAO PARA

2009, Wellington Passos de Paula.

Paula, Wellington Passos de

Um mecanismo de reputao para redes veiculares

Este trabalho apresenta um mecanismo de reputao para VANETs, de-

nominado RMDTV (Reputation Mechanism for Delay Tolerant Vehicular Networks ),

Among the possibilities, we can highlight

The emitted qualications are sent towards their destiny by the

However, as the VANET's vehicles can be exposed to total connectionless

2 Redes Mveis Veiculares

Arquitetura das VANETs . . . . . . . . . . . . . . . . . . . . . . . . . .

Aplicao de mensagem de perigo local . . . . . . . . . . . . . .

Redes tolerantes a atrasos e desconexes

4 O Mecanismo de Reputao RMDTV

Premissas e Requisitos do Mecanismo . . . . . . . . . . . . . . . . . . .

Impacto da Quantidade de Intrusos . . . . . . . . . . . . . . . . . . . .

Percentual geral de decises erradas . . . . . . . . . . . . . . . .

Variao diria das decises erradas . . . . . . . . . . . . . . . .

Impacto das reas Geogrcas . . . . . . . . . . . . . . . . . . . . . . .

Tempo de Entrega das Qualicaes

Arquitetura bsica de uma VANET [Raya e Hubaux, 2005].

Disseminao de mensagem em cenrio de perigo [Kosch, 2004].

reas geogrcas de um evento [Ostermaier, 2005].

Particionamento em VANETs [Warthman, 2003].

Arquitetura das redes DTN [Warthman, 2003]. . . . . . . . . . . . . . . . .

Mapa digital de Belo Horizonte e a representao grca do arquivo WKT

Percentual total de decises erradas variando o percentual de intrusos na rede 54

Percentual dirio de decises erradas na rede . . . . . . . . . . . . . . . . .

Percentual total de decises indicadas variando o tamanho das reas geogrcas

Percentual total de decises erradas variando o tamanho das reas geogrcas 58

Quantidade total de falsos positivos variando o tamanho das reas geogrcas 58

Escabilidade do percentual de decises erradas variando a quantidade de

Intervalos mdios entre a gerao e a entrega das qualicaes emitidas . .

Distribuio dos veculos entre as regies da Figura 5.1 . . . . . . . . . . .

Probabilidade de ocorrncia dos eventos ao longo do dia

Variao do raio das regies geogrcas de um evento . . . . . . . . . . . .

Nos cenrios de comunicao sem o, as redes ad hoc

mveis (Mobile Ad Hoc Networks - MANETs) tm sido foco de muitos estudos.

redes ad hoc veiculares (Vehicular Ad Hoc Networks - VANETs) so um dos tipos de

Mecanismos de reputao contribuem com esse objetivo na medida em que permitem

Tal qualicao encaminhada

pela rede, mesmo sob condies de desconectividade, at encontrar seu destino.

qualicaes recebidas so ento adicionadas por seus portadores s mensagens de

Concepo de um mecanismo de reputao para redes veiculares tolerantes a

Implementao do mecanismo proposto utilizando o simulador Opportunistic

Avaliao do desempenho do mecanismo proposto, em relao a parmetros

1.3 Organizao do Texto

Avaliamos o RMDTV, por meio de simulaes, comparando seu desempenho

com o de uma rede na qual no utilizado nenhum mecanismo de reputao.

Discutimos tambm sobre a escalabilidade do melanismo proposto, bem

Os roteadores so livres para se mover aleatoria-

mente e se organizar arbitrariamente assim, a topologia da rede sem o

Captulo 2. Redes Mveis Veiculares

isoladamente ou estar conectada Internet.

as tecnologias sem o disponveis atualmente possuem ca-

pacidades de transmisso signicativamente menores que aquelas disponveis em

Conectividade varivel no tempo:

a conectividade da rede dependente de

fatores como sua densidade em determinado ponto, a velocidade de deslocamento

Assim, da mesma forma que podem existir

The emitted qualications are sent towards their destiny by the

Impacto das reas Geogrcas . . . . . . . . . . . . . . . . . . . . . . .

Tempo de Entrega das Qualicaes

reas geogrcas de um evento [Ostermaier, 2005].

Mapa digital de Belo Horizonte e a representao grca do arquivo WKT

Percentual total de decises indicadas variando o tamanho das reas geogrcas

Percentual total de decises erradas variando o tamanho das reas geogrcas 58

Quantidade total de falsos positivos variando o tamanho das reas geogrcas 58

Intervalos mdios entre a gerao e a entrega das qualicaes emitidas . .

Variao do raio das regies geogrcas de um evento . . . . . . . . . . . .

Nos cenrios de comunicao sem o, as redes ad hoc

Tal qualicao encaminhada

qualicaes recebidas so ento adicionadas por seus portadores s mensagens de

mente e se organizar arbitrariamente assim, a topologia da rede sem o

as tecnologias sem o disponveis atualmente possuem ca-

pacidades de transmisso signicativamente menores que aquelas disponveis em

habilita a comunicao sem o com outros ve-

ao identicar um perigo na via, como acmulo

resse, como postos de gasolina, ocinas mecnicas, bancos e outros.

Denida inicialmente em [Kosch, 2004], essa aplicao foi

mensagem informando sua condio. A Figura 2.2 exemplica o processo de deteco

reas geogrcas de um evento [Ostermaier, 2005].

A rea mais externa identicada como rea de disseminao.

insuciente de mensagens antes do processo de deciso. Todavia, caso