vanet
TRANSCRIPT
1. Introdução
Dirigir afeta constantemente nossa posição. Assim, a necessidade por informação acerca de localização, dados de tráfico, rotas e outras informações é, também, constante.
VANETs (Veicular Ad Hoc Networks) são redes móveis onde são
estabelecidas comunicações intra-carros, também conhecida como IVC (Inter-
Vehicle communication), ou entre os carros e a “estrada”, também conhecida
como RVC (Road Vehicle Communication). Os principais objetivos com as
aplicações VANET visam: segurança em rodovias, informações sobre
condições de tráfego e entretenimento. VANET está compreendida no campo
das MANET (Mobile Ad Hoc Networks) com a limitação inerente à própria
topologia de movimentação dos veículos, os quais “obedecem” a uma malha
viária pré-existente e conhecida, fazendo com que o espaço que a rede pode
chegar seja limitado a essas vias, o que não ocorre necessariamente com as
Manet, visto que alguém pode chegar ao topo da Pedra da Gávea, por
exemplo, carregando um notebook, mas não pode chegar lá de carro.
O grande desafio desta rede inclui todos os obstáculos que uma rede sem fio móvel deve superar, somando a isso as características específicas da comunicação, tais como o tempo de comunicação muito pequeno entre os carros. Algumas propostas baseadas em modelos de comunicação 802.11 têm sido apresentadas.
O presente trabalho tem como objetivo apresentar as principais características físicas das redes VANET (propostas utilizadas atualmente), os protocolos utilizados para a comunicação e fazer uma análise das questões de segurança envolvidas.
1.1. Motivação
VANETs vem sendo um tópico bastante estudado na comunidade científica e mobiliza um workshop internacional desde 2004, sendo, também, de grande interesse de grandes montadoras.
As principais motivações das VANETs são segurança, eficiência e conforto, que podem ser mais bem compreendidas quando analisando algumas principais aplicações:
- Detecção de congestionamento;- Detecção de condições da estrada;
- Detecção de acidentes;- Detecção de semáforos;- Detecção de veículos de emergência;- Detecção de desaceleração do tráfego;- Detecção de fronteiras;- Fiscalização;- Cobranças automáticas;- Assistência;- Entretenimento;
A parte comercial é algo sempre bem vista em tudo que está sendo desenvolvido. Com as VANET não é diferente, a possibilidade de anúncios, propagandas é um atrativo visto pelas empresas, e por que não pelos usuários.
Assim, as questões de segurança na qual VANETs podem ser empregadas
chamam a atenção: controle de tráfego avisa de acidente, condições de pista
são apenas umas das aplicações na área de segurança. Caso um caminhão de
óleo tombe na pista, por exemplo, além do próprio acidente do caminhão outros
podem ocorrer devido ao óleo derramado, tudo isso seria avisado aos
motoristas podendo assim evitar um transtorno ainda maior, e, além disso, os
próprios encarregados da segurança da via, paramédicos, resgate, guincho,
polícia poderiam ser avisados mais rapidamente.
1.3. Caracterização
Numa rápida caracterização das VANETs, será utilizada uma comparação
com MANETs, as redes ad-hoc móveis.
1.3.1 MANETs e VANETs
As MANETs, ou redes ad-hoc móveis, são redes ad-hoc que consideram um posicionamento e volatilidade arbitrários dos nós. Como um caso específico de MANET, a VANET possui algumas características, principalmente positivas, que não são encontradas nas MANETs. Algumas dessas características seriam:
- Melhor previsão do posicionamento dos nós na rede, uma vez que
veículos devem seguir em ruas, avenidas e rodovias;
- Eliminação do problema de aproveitamento de energia, já que a
energia não é um fator crítico em automóveis, como pode ser em
outros tipos de sensores.
Mas, assim como as MANETs, as VANETs devem ser auto
organizáveis e auto gerenciáveis, requerendo uma rede de controle
descentralizada. Mas, requisitos de tempo e confiança podem de
certa forma, tornar esse gerenciamento um pouco mais complexo.
2. Tecnologia
2.1. Protocolos
2.1.1 DSRC
A comunicação em VANETs pode ser feita somente de duas formas: entre carros (IVC - Inter-Vehicle Communication) e entre carros e a infra-estrutura da rede (RVC - Road Vehicle Communication).
Retirado de [1].
No ano de 1999 a FCC (Federal Comunication Comission), órgão regulador americano, dedicou a faixa de freqüências de 75MHz (5.850 GHz à 5.925GHz) para as redes veiculares. Essa faixa de freqüência ficou conhecida como DSRC (Dedicated Short-Range Communication).
O IEEE está desenvolvendo um modelo de comunicação chamado WAVE (Wireless Access in Vehicular Environments) que é conhecido também como o padrão IEEE 802.11p (draft), que é uma adaptação do padrão IEEE 802.11a. Neste modelo a camada
física é dividida em sete canais de 10 MHz cada. Estes canais são divididos em canais de controle e canais de serviço. No padrão IEEE 802.11a o canal de freqüência é dividido em canais de 20 MHz cada.
Canal 178 – Canal de controle, geralmente utilizado para comunicações de segurança.Canal 172, 174, 176, 180, 182 e 184 - Utilizados para serviço.
Retirado de [1].
Como o padrão desenvolvido para as VANETs deve levar em consideração a velocidade de deslocamento dos nós (veículos) o alcance da rede é da ordem de 1 Km. Por questões de segurança, a utilização do canal de controle somado ao tempo de utilização de um canal de serviço não pode ultrapassar 100ms.
A taxa de transmissão pode variar de 6 a 27 Mpbs e a velocidade dos nós pode atingir um limite em torno de 190 Km/h.
A camada física do DSRC utiliza modulação OFDM com 64 portadoras.
A camada MAC segue uma adaptação da camada MAC do padrão IEEE 802.11e, onde existem prioridades de envio para cada estação.
2.1.2 VITP
O protocolo VITP (Vehicular Information Transfer Protocol) é um protocolo de comunicação que funciona na camada de aplicação especificando a sintaxe e a semântica de mensagens entre VITPs (componentes de software da infra-estrutura da rede). Como funciona na camada de aplicação este protocolo independe das demais camadas utilizadas.
Este protocolo que foi desenvolvido voltado para as redes IVC (Inter-Vehicle Communication) tem como principal objetivo apoiar as trocas de mensagens de conteúdo on-demand, tais como, condições da rodovia e informações que facilitariam a condução na mesma.
Os veículos precisam ter apenas um device (computador) cada um e sensores capazes de captar as informações inerentes a cada veículo.
Os componentes VITP podem funcionar como requisitantes de uma comunicação que se baseia em VITP, um nó intermediário (o que repassa as requisições VITP) ou como um componente servidor (o que tem a fonte do conteúdo buscado pelo requisitante).
O protocolo VITP baseia-se na formação de VAHS (Virtual Ad-Hoc Server). VAHS é o conjunto de VITP que servirão de servidores para o VITP requisitante. Os usuários que estão participando de um VAHS não possuem conhecimento desta informação. A formação do VAHS só é vislumbrada mediante as possíveis localizações das respostas que os VITP requisitantes estarão acessando.
Um estudo completo sobre é os aspectos do protocolo VITP é apresentado em [3].
2.2 Disseminação da informação e atualização da topologia.
Aqui consideramos o envio de mensagem em broadcast. Este tipo de aplicação pode ser viável para o aviso de acidentes frente ao tráfego dos carros, por exemplo. Todos os veículos devem ser avisados.
Em uma abordagem típica para redes MANETs (como em uma rede de sensores) a disseminação de mensagens na rede pode obedecer a uma técnica de inundação da rede (static gossiping). Alguns algoritmos utilizam esta abordagem, tais como: DSR e AODV. Esse tipo de troca de informações funciona bem para um número pequeno de nós, mas gera congestionamento de canal e gera colisões em redes de alta densidade.
Algoritmos baseados neste tipo de comunicação precisam ter acesso à informação da topologia da rede antes do envio das mensagens, caso contrário o protocolo tem baixa taxa de entrega ou muita informação redundante enviada, uma vez que este tipo de abordagem é baseado em dados probabilísticos estabelecidos em escolhas aleatórias de vizinhos. Basicamente, se um emissor A envia uma informação para B e este avisa que já recebeu a informação, A “perde o interesse” por B. Assim B passa a ter uma probabilidade menor de receber uma mensagem de A. As probabilidades podem ser atreladas ao número de vizinhos, por exemplo. Quanto mais vizinhos, menor a probabilidade de receber uma informação, e vice-versa.
Este mecanismo não garante que todos os nós terão acesso à informação uma vez que um score baseado nas probabilidades de envio é montado. Se um dado nó tem probabilidade muito baixa de receber mensagens e ele é o único caminho entre duas áreas, provavelmente existirá uma perda ou latência muito alta no envio das mensagens.
No exemplo abaixo, E tem muitos vizinhos, portanto a probabilidade de recebimento da mensagem é baixa, portanto ele pode não disseminar a mensagem para G e G para os demais.
Retirado de [2].
Para contornar esse empecilho foi criada uma forma hierárquica de disseminação de mensagens (smart gossip).
O esquema é explicado a seguir:
Cada nó tem um pai, irmãos e filhos. Se um nó X envia informação para Y e Z, então X é pai de Y e Z, e Y é irmão de Z. Cada nó só envia mensagens para seus filhos. Um filho informa ao pai quantos filhos ele tem se tiver muitos filhos a probabilidade de receber é alta, caso contrário é baixa, mas ainda suficiente para receber a mensagem ao menos uma vez.
A partir daqui, assumiremos que os veículos não têm problemas de energia, nem de processamento, e possuem um GPS para determinar suas localizações (para disseminação de mensagens efetivas).
O smart gossip resolve problema do static gossip. Porém, o algoritmo convencional de disseminação das mensagens (smart gossip) necessita de apenas 1, e não mais que 1, disseminador da mensagem (podemos chamá-lo de semente). Este tipo de algoritmo, baseado na implementação de topologias que utilizam a hierarquia antes mencionada – figura 1 - não funcionam para as Vanets.
Vejamos a figura abaixo:
Adaptado de [2].
Considerando que A e D devem ser os disseminadores das mensagens vindas da Parte Y e da Parte X, respectivamente, A seria pai de B e C, e D seria pai de B e C. Assumindo
que B e C não teriam mais filhos então não disseminariam mais as mensagens que chegaram até eles. Consequentemente, as mensagens vindas da Parte Y não atingiram a Parte X e vice versa. Este tipo de topologia, onde os emissores estão esparsos no ambiente, pode ocorrer frequentemente em redes dinâmicas. Em uma estrada, por exemplo, este tipo de topologia pode ser observada.
Para VANETs, precisamos de um protocolo que possa suportar diversos disseminadores enquanto a hierarquia da rede é montada. A abordagem de hierarquia será ainda adotada para o protocolo que será apresentado, mas será construída de forma diferente.
O objetivo é permitir que, por exemplo, os nós B e C do exemplo anterior tratem de maneiras diferentes as mensagens vindas de A e D. O novo mecanismo de criação de hierarquia é fruto do conhecimento da diferenciação das direções das mensagens, possibilitada graças à utilização do GPS para saber a posição de cada nó da rede. Dessa forma a informação sobre a vizinhança de cada nó não é coletada via inundação de mensagens, mas sim por uma troca de mensagens balizadoras.
Para as VANETs, as mensagens têm duas possibilidades de disseminação: na direção do deslocamento do nó ou contra a direção de deslocamento do nó.
Voltando ao exemplo anterior, dependendo da direção da disseminação, temos que D poderia ser considerado filho de B e C, que por sua vez são filhos de A, ou vice-versa.
Uma das características, já mencionadas, das VANETs é a dinâmica da topologia da rede. Para a atualização dessa topologia, mensagens são trocadas constante e intermitentemente (beacons messages). Essas mensagens são passadas apenas de um nó para os vizinhos separados por um salto. O mecanismo de atualização das topologias pode ser visto em [2].
2.3. Segurança
Como citado, um dos principais desafios para VANETs é a segurança. Apesar de ser crucial, a segurança custou um pouco a chamar atenção do meio acadêmico. É essencial, por exemplo, que se tenha certeza que informações críticas não possam ser inseridas ou modificadas por um atacante; da mesma forma, o sistema deve ser capaz de estabelecer uma confiança dos usuários; mas, ao mesmo tempo, deve tentar proteger, até onde for possível, a privacidade de cada motorista.
Essas preocupações podem, a princípio, parecer bem similares as encontradas em outros tipos de redes de comunicação, mas não o são. Juntos, o tamanho das redes, a velocidade dos veículos, a importância de sua posição geográfica, a conexão esporádica entre os mesmos, e outras peculiaridades tornam o problema extremamente desafiador.
Assim, as características únicas das VANETs trazem diversas vantagens e desvantagens: um grande conjunto de ferramentas é disponibilizado a motoristas e autoridades, mas um grande conjunto de ataques também é possível.
2.3.1 Ataques
Aqui descreveremos algumas preocupações de segurança em VANETs, assim como tipos de ataques que foram identificados, além de um modelo geral de classificação dos mesmos. Mas, antes, falaremos um pouco sobre os responsáveis por tais ataques.
2.3.1.1 Classificação de ataques
- Em relação à participação, temos “Insider” x “Outsider”: O “insider” seria um nó que está autenticado na rede, e, portanto, pode se comunicar com outros nós. Isso significaria que ele possui uma chave pública certificada. Já o “outsider” seria considerado como um intruso na rede, o que limita suas opções de ataque.- Motivação, Malicioso x Racional: O atacante malicioso não visa benefício próprio, tendo como única motivação minar membros e funcionalidade da rede. Já o atacante racional visa algum benefício. Dessa forma, é mais fácil prever ataques racionais, uma vez que seus motivos e alvos podem ser melhor encontrados.- Método, Ativo x Passivo: Um atacante ativo seria o que gera ou altera pacotes ou sinais em mensagens, enquanto o passivo estaria relacionado a leitura de informações a qual ele não deveria possuir acesso.- Escopo, Local x Extendido: Um atacante local seria aquele com um escopo mais limitado, já um extendido teria seu escopo de ataque aumentado uma vez que possuísse entidades espalhadas pela rede. Essa dimensão é importante em ataques contra a privacidade ou para o ataque conhecido como Buraco de Minhoca (Wormhole).
2.3.1.2 Ataques básicos
Aqui, serão considerados apenas os ataques a mensagens. Os ataques serão classificados de acordo com a classificação acima.- Falsa informação: O atacante é dos tipos “insider”, racional e ativo. Esse tipo de ataque consiste em emitir falsas informações para afetar o comportamento de outros motoristas.- Troca de informações de sensores: O atacante é dos tipos “insider”, racional, ativo e local. O ataque consiste em alterar sua posição, velocidade e etc.- Divulgação de id: O ataque é feito divulgando ids de outros usuários para monitorar sua localização.- Negação de serviço: O atacante é malicioso, ativo e local. O objetivo está relacionado com derrubar a rede e até mesmo causar um acidente. O ataque pode feito na forma de uma injeção agressiva de mensagens.- Disfarce: Nesse tipo de ataque, o atacante tenta se passar por outro veículo, usando uma identidade falsa. O ataque pode ser de praticamente todos os tipos citados anteriormente.
2.3.1.3 Ataques sofisticados
Esses ataques são variações e ou combinações do ataques citados anteriormente. São ataques que apareceram recentemente com o desenvolvimento de VANETs.- Veículo escondido: Em algumas versões, um nó poderá parar de enviar broadcast se achar que existe um nó melhor posicionado para enviar tais mensagens, reduzindo o congestionamento. Assim, o ataque consiste em convencer um nó que existe outro nó em melhor capacidade de espalhar tal informação. Isso fará o nó atacado “escondido”, considerando o protocolo o DSRC, e seria como se o sistema estivesse desabilitado em tal veículo.
- Túnel: Uma vez que o GPS não funciona dentro de túneis, é possível que um atacante explore essa perda temporária de informações de posicionamento para transmitir falsos dados assim que um veículo deixe o túnel, e antes que ele possa receber informações autênticas. O mesmo efeito do túnel pode ser conseguido através de um jamming de um atacante.- Buraco de minhoca (wormhole): O ataque consiste em ligar dois nós remotos em uma rede sem fio. Assim, um atacante que possua duas entidades e uma comunicação de alta velocidade entre as mesmas, pode enviar mensagens de broadcast de uma área a outra. Isso pode acarretar em uma disseminação errônea de mensagens na área de destino.- “Bush Telegraph”: Esse ataque consiste em uma forma mais desenvolvida do ataque de falsa informação. A diferença seria que, nesse caso, o atacante contra diversos nós espalhados por diversos saltos da rede. A idéia seria acrescentar pequenos erros a cada salto, já que pequenos erros são considerados dentro da tolerância. Logo, no último salto, teremos uma maior efetividade do ataque
2.3.2 Requisitos de segurança
Os exemplos de ataques citados indicam que as comunicações em VANETs têm uma necessidade de segurança ainda maior que outros tipos de rede, já que as conseqüências podem ser de uma proporção imensa. Devem ser considerados também que a coexistência de sistemas novos e antigos, que não prevejam novos tipos de ataques, possa ser uma ameaça a segurança da rede como um todo. Logo, a segurança em VANETs realmente pode ser considerada indispensável.
Serão apresentadas aqui algumas características genéricas que vêm sendo adotadas como base para os requisitos de segurança dos protocolos para VANETs. Vale lembrar que essas são características gerais e que cada protocolo deve especificar melhor cada etapa. Além de que as características não são necessariamente importantes a todos os tipos de aplicações e aspectos encontrados nas VANETs.
As principais características encontradas na literatura são:- Autenticação e integridade: Isso significa que as mensagens devem ser protegidas de qualquer alteração, e o receptor da mesma deve confirmar o remetente. Mas a integridade não necessariamente implica na identificação do remetente.- Controle de acesso: O acesso a alguns serviços específicos que são oferecidos por nós de infraestrutura, por exemplo, é determinado localmente por políticas. No controle de acesso deve estar incluída a autorização que deve ser estabelecida para que cada nó possa ter o acesso a protocolos que sejam cabíveis, dado seu papel.- Privacidade: O desenvolvimento de VANETs não deveria de forma alguma gerar ou permitir interferências na vida pessoal e privada de seus usuários. Isso tem sido um ponto muito importante que vem sendo discutido acerca da tecnologia. Assim, vem sendo proposta a característica de anonimato. Mas existem diversas características específicas relacionadas a isso, e diversos estudos que conduzem nessa direção. E vale lembrar que o anonimato, assim como a maioria das características aqui descritas, não necessariamente é importante em todos os tipos de entidades e situações.- Confidencialidade: O conteúdo de mensagens não deve poder ser acessado por nós que não estiverem autorizados para tal.- Não repudiação: O remetente não deve poder negar que enviou uma mensagem.- Disponibilidade: Os serviços e protocolos devem se manter disponíveis e operacionais mesmo na presença de falhas, o que implica não apenas na segurança, mas, também, em
mecanismos tolerantes a falhas, além de mecanismos estáveis e resistentes.- Identificação de responsabilidade: Os usuários de veículos devem possuir responsabilidade por seus atos, deliberados ou acidentais, que possam causar distúrbios na rede. É uma questão importante, que deve ser definida para trabalhar junto com o anonimato, o que pode não ser trivial.- Autenticação de entidade: O receptor não apenas sabe que o remetente gerou a mensagem, mas também tem evidências de que o nó remetente ainda está “vivo” na rede.
Dois grandes focos de estudo, além da arquitetura em si, é claro, são a autenticação e a privacidade dos usuários. Um grupo que vêm desenvolvendo diversos estudos pioneiros acerca da segurança em VANETs é o EPFL Vehicular Networks Security Program.
3. Conclusões
Assim, concluímos que as VANETs ainda são uma tecnologia bem recente, e que ainda tem muito a ser estudada. É bem provável que as primeiras aplicações sejam comerciais, mas a área acadêmica vem trazendo não só inúmeros novos desafios, como importantes passos na solução dos mesmos. E vem se tornando claro que o potencial de tal tecnologia é enorme, tendo em vista, principalmente, o interesse comercial da mesma.
Em um primeiro momento, as VANETs vão ter que ser capazes de lidar com problemas diferentes. Um desses problemas será a escassez de veículos equipados com o sistema, ocasionando em um alcance não tão extenso da rede. Além disso, a utilização do canal pode ser um problema que não será enfrentado nas primeiras etapas de implantação de VANETs. No entanto, será um grande problema uma vez que a rede esteja plenamente difundida. Assim, um dos principais desafios seria a descrição de um protocolo que pudesse trabalhar debaixo de ambas as circunstâncias.
Consideramos, também, que a arquitetura para as futuras VANETs ainda não está fechada. E, obviamente, o paradigma fim-a-fim atual da internet deve ser considerado antes de ser trazido para VANETs, uma vez que não é estrutura para tal e cada nó é um sistema e um roteador.
Vimos também alguns estudos que apontam os conhecimentos necessários como divididos em dois ramos de pesquisa, que devem ser, portanto, trazidos para uma mesma solução através da cooperação entre diferentes grupos. Esse dois ramos estariam relacionados com: protocolos de múltiplos saltos, tempo de retransmissão, redundância em broadcast e etc; e fluxo de tráfico, distribuição de informação em tempo real, entre outros.
Portanto, é importante que esses problemas sejam explorados com urgência, uma vez que sistemas fechados podem estar pra surgir, deixando os usuários, de certa forma, alheios aos problemas que podem ser gerados com isso.