um sistema de reputaÇÃo descentralizado ......palavras-chave: redes veiculares, ataques de nós...
TRANSCRIPT
CLAUDIO PICCOLO FERNANDES
UM SISTEMA DE REPUTAÇÃO DESCENTRALIZADO PARA
AVALIAR A CONFIANÇA DOS NÓS EM REDES VEICULARES
Itajaí (SC), Agosto de 2013
UNIVERSIDADE DO VALE DO ITAJAÍ
CURSO DE MESTRADO ACADÊMICO EM
COMPUTAÇÃO APLICADA
UM SISTEMA DE REPUTAÇÃO DESCENTRALIZADO PARA
AVALIAR A CONFIANÇA DOS NÓS EM REDE VEICULARES
por
Claudio Piccolo Fernandes
Dissertação apresentada como requisito parcial à
obtenção do grau de Mestre em Computação
Aplicada.
Orientadora: Michelle Silva Wangham, Dra.
Itajaí (SC), Agosto de 2013
FOLHA DE APROVAÇÃO
AGRADECIMENTOS
Gostaria de agradecer a minha orientadora professora doutora Michelle Silva Wangham pela
confiança no meu potencial, paciência, oportunidade e, sobretudo, por sempre se mostrar presente
em todas as etapas deste trabalho.
A Roberta pelo carinho, compreensão, força e incentivo.
Aos colegas de trabalho Bruno, Gabriel, Mauro e Rafael pelo companheirismo, pelas críticas
construtivas e pela ajuda nas ausências no trabalho para as minhas reuniões de orientação.
Um agradecimento especial ao amigo Israel Simas, pela sua disposição de sempre ajudar nos
problemas das implementações quando solicitado, pois sua preciosa ajuda foi de grande valia para a
conclusão deste trabalho.
E a todos os demais que de uma maneira ou outra contribuíram para a conclusão desta
dissertação.
UM SISTEMA DE REPUTAÇÃO DESCENTRALIZADO PARA
AVALIAR A CONFIANÇA DOS NÓS EM REDES VEICULARES
Claudio Piccolo Fernandes
Agosto/2013
Orientadora: Michelle Silva Wangham, Doutora
Área de Concentração: Computação Aplicada
Linha de Pesquisa: Sistemas Embarcados e Distribuídos
Palavras-chave: Redes veiculares, ataques de nós maliciosos, sistemas de reputação
Número de páginas: 146
RESUMO
As redes veiculares (VANETs) foram projetadas para melhorar a eficiência do tráfego
utilizando-se da comunicação entre os veículos. Dentre as aplicações para VANETS, destacam-se as
de alerta de perigo local (LDW – Local Danger Warnings), devido ao significativo benefício
coletivo trazido pela disseminação de mensagens que informam situações de risco na via. Nas redes
veiculares, a cooperação entre os nós se faz necessária para um desempenho adequado das
aplicações de segurança no trânsito. Logo, torna-se necessário o desenvolvimento de soluções
capazes de incentivar comportamentos cooperativos, mas que identifiquem a presença de nós
maliciosos que propagam mensagens falsas na rede. O objetivo deste trabalho é analisar a confiança
dos veículos em uma aplicação LDW para redes veiculares (VANETs) de forma a identificar a
presença de nós maliciosos e descartar seus alertas, mesmo diante da formação de conluios. Para
alcançar este objetivo, um sistema de reputação descentralizado, com abordagem otimista e que
utiliza diferentes técnicas para o cálculo da reputação (Lista de Reputação, reputação global e
sistema de votação) foi desenvolvido. O trabalho envolveu (1) a implementação de uma aplicação
LDW para rodovias (chamada RAMS+) em simuladores de redes e de tráfego, bidirecionalmente
acoplados; (2) a definição e implementação do sistema de reputação e a integração e o uso deste na
aplicação RAMS+; (3) a avaliação da eficácia do sistema de reputação e dos impactos decorrentes
do seu uso na aplicação RAMS+, por meio de simulações realizadas em diferentes cenários de
densidade de veículos, e (4) as análises dos resultados experimentais obtidos. Os resultados obtidos
comprovaram a eficácia do sistema de na identificação de nós maliciosos sem impactar,
consideravelmente, na eficácia e eficiência da aplicação RAMS+.
A DECENTRALIZED REPUTATION SYSTEM FOR
EVALUATING THE RELIABILITY OF NODES IN VEHICULAR
NETWORKS
Claudio Piccolo Fernandes
August/2013
Advisor: Michelle Silva Wangham, Dra
Area of Concentration: Applied Computer Science
Research Line: Distributed and Embedded Systems
Keywords: vehicular networks, attacks of malicious nodes, reputation systems
Number of pages: 146
ABSTRACT
Vehicular adhoc networks (VANETs) were designed to improve the efficiency of traffic using
communication between vehicles. Among the VANET applications, we highlight the Local Danger
Warnings (LDW) applications due to the significant collective benefit brought by the spread of
messages that provide information about situations of risk on the road. In vehicular networks,
cooperation between the nodes is very important, as it is essential for the proper performance of
security applications in traffic. Therefore, it becomes necessary to develop solutions that encourage
cooperative behaviors, while identifying the presence of malicious nodes that propagate false
messages on the network. The main purpose of this work is to evaluate the reliability of the vehicles
in a Local Danger Warnings (LDW) application for vehicular networks (VANETs), in order to
identify the presence of malicious nodes and discard their alerts. To achieve this objective, a
decentralized reputation system was developed, with an optimistic approach that uses different
techniques to calculate the reputation (List Reputation, reputation global and voting system). The
work involved: (1) implementing an LDW application for roads (call RAMS+) in network and
traffic simulators, (2) defining and implementing the reputation system and its integration and use
in the RAMS+ application, (3) evaluating the effectiveness of the reputation system and the impacts
of its use by the RAMS+ application in different scenarios, and (4) analyzing the results of the
experiment. The results confirm that Reputation Systems are effective, without impacting
considerably on the effectiveness and efficiency of the RAMS+ application.
LISTA DE ILUSTRAÇÕES
Figura 1. Comunicação de redes ad hoc veiculares. (A) Troca direta entre veículos. (B) Troca de
informações entre veículos modo infraestruturado (híbrido). .................................................... 29 Figura 2. Canais disponíveis para o IEEE 802.11p............................................................................ 33 Figura 3. Disseminação de mensagem em cenário de perigo ............................................................ 34 Figura 4. Área geográfica de um evento ............................................................................................ 35 Figura 5. Tela Protótipo Kosh ............................................................................................................ 37
Figura 6. Fases do procotolo Xrep ..................................................................................................... 49 Figura 7. Processo do Sistema de Reputação ..................................................................................... 55 Figura 8 Módulos do sistema de reputação ........................................................................................ 56 Figura 9. Arquitetura do sistema do sistema de reputação proposto (ERS). ..................................... 66 Figura 10. Processo de monitoramento dos veículos ......................................................................... 69
Figura 11. Definições das áreas LDW ............................................................................................... 78 Figura 12. Estrutura da mensagem MenAlert ..................................................................................... 79
Figura 13. Mensagem de alerta – MenAlert ....................................................................................... 81 Figura 14. Estrutura da mensagem de MenRevog .............................................................................. 82 Figura 15. Diagrama de Atividades - Tomada de decisão ................................................................ 84 Figura 16. Base de Conhecimento Individual do Veículo A ............................................................. 88
Figura 17. Alerta Recebido na Área de Disseminação (t) Alerta Mostrado ao Condutor (t+1) ........ 89 Figura 18. Estrutura da mensagem de MenValid ............................................................................... 91
Figura 19. Exemplo Base de Validação de Alerta (BVA) ................................................................. 91 Figura 20. Atualização da BCI ........................................................................................................... 92 Figura 21. Estrutura da mensagem de MenRep .................................................................................. 96
Figura 22. Estrutura da mensagem de MenRepResp .......................................................................... 97 Figura 23. Estrutura da Mensagem MenBCI ...................................................................................... 98
Figura 24. Histórico de interações das BCIs armazenados em uma Unidade de ............................... 99 Figura 25. Exemplo Lista de Reputação RSUs ................................................................................ 100
Figura 26. Via de Circulação Utilizada para a Criação do Cenário de Mobilidade ......................... 106 Figura 27. Primeiro Cenário - Total de Falsos Negativos com diferentes densidades de veículos . 113 Figura 28. Terceiro Cenário - Total de Falsos Negativos com diferentes densidades de veículos .. 114
Figura 29. Quarto Cenário - Total de Falsos Negativos com diferentes densidades de veículos .... 115 Figura 30. Porcentagem de Veículos que receberam a mensagem de MenAlert ............................. 118
Figura 31. Total e taxa de pacotes colididos .................................................................................... 119
Quadro 1. Comparativo de sistemas de reputação em redes P2P ...................................................... 51 Quadro 2. Comparativo de sistemas de reputação em redes MANETs ............................................. 57 Quadro 3. Comparativo dos trabalhos relacionados .......................................................................... 73 Quadro 4. Sistema Proposto x Trabalhos relacionados.................................................................... 124
LISTA DE TABELAS
Tabela 1. Parâmetros do Simulador de Redes .................................................................................. 105
Tabela 2. Características dos veículos ............................................................................................. 107 Tabela 3. Quantidade de veículos existentes em cada um dos cenários simulados ......................... 108 Tabela 4. Parâmetros Aplicação RAMS+ ........................................................................................ 109 Tabela 5. Parâmetros do Sistema de Reputação .............................................................................. 109 Tabela 6. Padrões de Inicialização das RSUs e BCIs ....................................................................... 112
Tabela 7. Resultados Obtidos - Falsos Negativos ............................................................................ 115 Tabela 8. Quantidade de Veículos − Mensagens de Alertas Recebidas .......................................... 118 Tabela 9. Tempo de recebimento Mensagem MenAlert − Cenário 250 Veículos ........................... 120 Tabela 10. Tempo de recebimento Mensagem MenAlert − Cenário 500 Veículos ......................... 120 Tabela 11. Tempo de recebimento Mensagem MenAlert − Cenário 750 Veículos ......................... 120
Tabela 12. Tempo de recebimento Mensagem MenAlert − Cenário 1000 Veículos ....................... 120 Tabela 13. Tempo de recebimento Mensagem MenAlert − Cenário 1250 Veículos ....................... 120
Tabela 14. Posição dos veículos e distância percorrida ................................................................... 123
LISTA DE ALGORITMOS
Algoritmo 1. Criação da Mensagem de Alerta MenAlert .................................................................. 81
Algoritmo 2. Criação da Revogação de Alertas MenRevog ............................................................... 83
Algoritmo 3. Tomada de Decisão ao Receber um MenAlert ............................................................. 87
Algoritmo 4: Processo Monitorar Alerta ........................................................................................... 89
Algoritmo 5. Processo Validar Alerta (criação da MenValid) ........................................................... 93
LISTA DE EQUAÇÕES
(1) Distância Euclidiana Bidimensional ............................................................................................ 86
(2) Cálculo da Reputação Direta ........................................................................................................ 95
(3) Cálculo da Reputação Direta Veículo A em Relação ao Veículo B ............................................ 95
(4) Cálculo da Reputação Agregada .................................................................................................. 97
(5) Credibilidade de i sobre a ............................................................................................................. 97
(6) Cálculo da Reputação Global ....................................................................................................... 98
(7) Cálculo da Lista de Reputação RSUs ........................................................................................... 99
(8) Cálculo da Reputação Direta do Veículo A armazenado na LR ................................................ 100
LISTA DE ABREVIATURAS E SIGLAS
ACK Acknowledge signal
AP Access Point
AU Aplication Unit
BCI Base de Conhecimento Individual
BVA Base de Votação de Alertas
CCH Control Channel
CLAT Coordenada Latitude
CLONG Coordenada Longitude
CONFIDANT Cooperation Of Nodes: Fainess In Dynamic Ad hoc Network
DoS Deny of Service
DCA Digital Signature Algorithm
DETRAN Departamento Estadual de Trânsito
DSSS Direct Sequence Spread Spectrum
DTN Delay and Disruption Tolerant Networks
DTT Dynamic Trust Token
ECDSA Elliptic Curve Digital Signature Algorithm
ERS Event-based Reputation System
FHSS Frequence Hopping Spread Spectrum
GPS Global Positioning System
HDM Hazard Detection Management
HWM Hazard Warning Management
IEEE Institute of Electric and Electronic Engineers
ITS Intelligent Transportation System
LDW Local Danger Warning Application
LR Lista de Reputação
MANETS Mobile ad hoc networks
MBps Megabits por segundo
MCA Mestrado em Computação Aplicada
MIMO Multiple-Input Multiple-Output
OBU On-Board Unit
OMNET++ Objective Modular Network Testbed in C++
OSI Open System Interconnection
P2P Peer-to-Peer
PKI Public Key Infrastructure
RAMS Road Alert Message Service
RA Reputação Agregada
RD Reputação Direta
RMDTV Reputation Mechanism for Delay Tolerant Vehicular Networks
RSU Road Side Unit
SCH Services Channel
SHA Secure Hash Algorithm
SUMO Simulation of Urban Mobility
TAE Tipo de alerta emitido
TTL Time to live
UNIVALI Universidade do Vale do Itajaí
VANETs Vehicular ad hoc networks
VARS Vehicle ad hoc network reputation system
V2V Vehicle to Vehicle
WAVE Wireless Access in the Vehicular Enviroment
WBSS WAVE Basic Service Set
WI-FI Wireless Fidelity
WILLWARN Wireless Local Danger Warning
WLAN Wireless LAN
WMM Warning Message-management Module
SUMÁRIO
LISTA DE ILUSTRAÇÕES .................................................................... vi
Lista de Equações ...................................................................................... ix
1 INTRODUÇÃO .................................................................................... 14
1.1 PROBLEMA DE PESQUISA........................................................................... 16
1.1.1 Solução Proposta ............................................................................................. 18
1.1.2 Delimitação de Escopo .................................................................................... 20
1.1.3 Justificativa ...................................................................................................... 20
1.2 OBJETIVOS ...................................................................................................... 22
1.2.1 Objetivo Geral ................................................................................................. 22
1.2.2 Objetivos Específicos ...................................................................................... 22
1.3 METODOLOGIA .............................................................................................. 23
1.3.1 Metodologia da Pesquisa ................................................................................ 23
1.3.2 Procedimentos Metodológicos ........................................................................ 24
1.4 ESTRUTURA DA DISSERTAÇÃO ................................................................ 25
2 FUNDAMENTAÇÃO TEÓRICA ...................................................... 27
2.1 REDES MÓVEIS VEICULARES ................................................................... 27
2.2 WLAN – IEEE 802.11 ....................................................................................... 31
2.3 APLICAÇÕES DE DISSEMINAÇÃO DE ALERTAS PARA
SEGURANÇA DO TRÂNSITO ............................................................................... 34
2.4 SEGURANÇA EM REDES VEICULARES ................................................... 40
2.5 CONCEITOS DE GERENCIAMENTO DE CONFIANÇA ......................... 44
2.6 SISTEMAS DE REPUTAÇÃO EM REDES P2P .......................................... 47
2.7 SISTEMAS DE REPUTAÇÃO EM REDES MANETS ................................ 52
2.8 CONSIDERAÇÕES DO CAPÍTULO ............................................................. 57
3 TRABALHOS RELACIONADOS .................................................... 59
3.1 VARS (DOTZER ET AL. 2005) ....................................................................... 59
3.2 OSTERMAIER, DOTZER E STRASSBERGER (2007) .............................. 60
3.3 WANG E CHIGAN (2007) ................................................................................ 62
3.4 RMDTV (PAULA, OLIVEIRA E NOGUEIRA, 2010) ................................. 63
3.5 LO E TSAI (2010) .............................................................................................. 65
3.6 DAEINABI E GHAFFARPOUR (2011) .......................................................... 67
3.7 LI ET AL. (2012)................................................................................................ 69
3.8 DISCUSSÃO DOS TRABALHOS RELACIONADOS ................................. 72
3.9 CONSIDERAÇÕES DO CAPÍTULO ............................................................. 74
4 SISTEMA DE REPUTAÇÃO PROPOSTO ..................................... 75
4.1 VISÃO GERAL E PREMISSAS ...................................................................... 75
4.2 DESCRIÇÃO DA APLICAÇÃO LDW (RAMS+) ......................................... 77
4.2.1 Mensagem de Alerta ....................................................................................... 78
4.2.2 Mensagem de Revogação de Alerta ............................................................... 82
4.3 INTEGRAÇÃO DO SISTEMA DE REPUTAÇÃO À APLICAÇÃO
RAMS+ .................................................................................................................... 83
4.3.1 Base de Conhecimento Individual ................................................................. 88
4.3.2 Processo Monitorar Alerta ............................................................................. 88
4.3.3 Função Validar Alerta .................................................................................... 90
4.3.4 Cálculo da Reputação ..................................................................................... 94
4.3.5 Lista de Reputação .......................................................................................... 98
4.4 ANÁLISE DAS VULNERABILIDADES DA APLICAÇÃO RAMS+ ...... 100
4.5 CONSIDERAÇÕES ........................................................................................ 102
5 SIMULAÇÕES E ANÁLISES DOS RESULTADOS .................... 103
5.1 AMBIENTE DE SIMULAÇÃO ..................................................................... 103
5.1.1 Simulador de Rede Escolhido ...................................................................... 103
5.1.2 Simulador de Tráfego ................................................................................... 104
5.1.3 Parâmetros do Simulador de Redes ............................................................ 105
5.1.4 Simulador de Tráfego ................................................................................... 105
5.1.5 Parâmetros da Aplicação RAMS+ .............................................................. 108
5.1.6 Parâmetros do Sistema de Reputação ......................................................... 109
5.1.7 Parâmetros do Ambiente Computacional .................................................. 109
5.2 PROJETO DE EXPERIMENTOS ................................................................ 110
5.2.1 Projeto para Avaliar a Eficácia do Sistema de Reputação ....................... 110
5.2.2 Projeto para Avaliar os Impactos na Eficácia e na Eficiência da Aplicação
RAMS+ ..................................................................................................................... 112
5.3 RESULTADOS E ANÁLISES DOS EXPERIMENTOS ............................ 113
5.3.1 Eficácia do Sistema de Reputação ............................................................... 113
5.3.2 Análise da Eficácia do Sistema de Reputação ............................................ 115
5.3.3 Impactos na eficiência e eficácia da aplicação RAMS+ ............................ 118
5.3.4 Análise dos impactos na eficiência e eficácia da aplicação RAMS+ ........ 121
5.4 COMPARAÇÃO DO SISTEMA PROPOSTO COM OS TRABALHOS
RELACIONADOS. ................................................................................................. 123
5.5 CONSIDERAÇÕES DO CAPÍTULO ........................................................... 124
6 CONCLUSÕES .................................................................................. 126
6.1 CONTRIBUIÇÕES DA DISSERTAÇÃO .................................................... 128
6.2 TRABALHOS FUTUROS .............................................................................. 129
REFERÊNCIAS ..................................................................................... 130
Apêndice A – Revisão Sistemática ........................................................ 135
Apêndice B – Tempo para Recebimento da Mensagem de Alerta com
Reputação – Cenário 750 Veículos ....................................................... 140
14
1 INTRODUÇÃO
O avanço e a variedade de tecnologias de comunicação sem fio têm revolucionado a vida
humana oferecendo maior comodidade e flexibilidade. O desejo de se ter uma comunicação em
qualquer hora e lugar fez com que essa tecnologia se proliferasse. O grande número de dispositivos
portáteis, tais como notebooks, telefones celulares, tablets, entre outros, e a necessidade de uma
conexão entre estes contribuíram com esse fator. A fim de que possa ocorrer comunicação e
interação entre esses dispositivos, é necessário o uso de tecnologias que permitam trocas de dados
diretas entre si, como por exemplo, a utilização das redes móveis sem fio.
Neste cenário de comunicação, as redes móveis sem fio são sistemas de comunicação nos
quais os nós móveis se comunicam por meio de enlaces de rádio. Em relação às possíveis
arquiteturas, este tipo de rede pode ser classificado em duas categorias: as redes infraestruturadas e
as redes ad hoc (ou sem estrutura) (SUN; MOLINA, 2004).
Segundo Fan (2007), as redes infraestruturadas são aquelas caracterizadas pela presença de
um terminal centralizador, também conhecido como ponto de acesso (AP − Access Point), sendo
este responsável por centralizar determinadas funções na rede. Nas redes ad hoc, não existe a
necessidade de uma conexão com uma rede fixa, sendo essas dinâmicas quanto à sua topologia.
A possibilidade da comunicação em ambientes móveis tem motivado um crescente interesse
na exploração de redes móveis auto organizadas, conhecidas como MANETs (Mobile Ad hoc
Networks), nas quais os dispositivos móveis são capazes de trocar informações diretamente sem o
auxílio de uma infraestrutura de rede pré-definida (DALY; HAAHR, 2007). Nestas redes, não
existe um elemento centralizador, sendo assim os nós dependem um dos outros para se
comunicarem, pois estes se movimentam arbitrariamente em diferentes sentidos e velocidades,
alterando sua topologia (YANG; LUO; ZHANG, 2004). Uma MANET é essencialmente constituída
de nós móveis com uma ou mais interfaces de rede sem fio.
A extensão das MANETs em ambientes veiculares deu origem a uma nova categoria – as
VANETs (Vehicular Ad Hoc Networks) − que tem como objetivo melhorar as condições de
circulação dos tráfegos urbanos e rodoviários de forma segura e eficiente e garantir a comunicação
entre os diversos usuários móveis inseridos na rede, oferecendo as condições necessárias para que
aplicações, com diferentes requisitos, sejam desenvolvidas (OSTERMAIER; DOTZER;
15
STRASSBERGER, 2007). Ainda segundo estes autores, esta comunicação consiste de veículos
atuando como roteadores móveis nos quais os nós são os veículos, com o objetivo de enviar,
receber, armazenar e encaminhar os pacotes pela rede. Seu sistema de comunicação é formado entre
veículos ou entre veículos e uma estrutura fixa localizada às margens de ruas ou estradas.
Segundo Bernsen e Manivannan (2009), a grande diferença entre MANETs e VANETs está
relacionada ao padrão de mobilidade dos nós. Nas MANETs, os nós permanecem estáveis durante
um período relativamente longo, enquanto nas VANETs, a velocidade que os nós movimentam-se é
bastante rápida e as ligações entre estes permanecem ativas por um período menor. Devido a estas
características, não é possível assegurar a transferência contínua de mensagens, sendo este um dos
problemas mais críticos deste ambiente com um forte impacto nas aplicações de segurança de
tráfego.
As VANETS podem ser compostas por automóveis, caminhões, ônibus entre outros
veículos, podendo ser formada em qualquer ambiente, sendo necessário que cada nó da rede esteja
equipado com algum dispositivo sem fio capaz de comunicar-se com os dispositivos presentes nos
outros veículos para poder receber e transmitir pacotes pela rede (QIAN; MOAYERI, 2008).
Segundo Jamell (1998), a utilização de novas tecnologias de sistemas de comunicação em
veículos permite altos níveis de interação, possibilitando a comunicação entre usuários móveis e
fornecendo condições necessárias para que as aplicações com diferentes requisitos sejam
satisfatoriamente atendidos.
Atualmente, os sistemas de transporte desempenham um papel importante em nossas
atividades diárias. Uma das formas é de aprimorá-los através do uso das redes veiculares para
prover segurança no trânsito. Há esforços contínuos em desenvolver e melhorar estes sistemas com
o intuito de torná-los mais inteligentes e, especialmente, mais seguros.
Muitas formas de ataques surgiram na tentativa de comprometer a segurança das redes
veiculares. Ataques de modificações de dados como, por exemplo, transmissão de dados
fraudulentos sobre congestionamentos nas rodovias ou a posição do veículo. Tais ataques podem ser
bastante prejudiciais inclusive ocasionando resultados que podem levar à perda de vidas. Assim,
tornar as redes veiculares seguras é crucial e tornou-se um desafio significativo. (GOLLE;
GREENE; STADDON, 2004).
16
Dentre os requisitos de segurança, os mais importantes em redes veiculares dizem respeito à
autenticação dos nós, à integridade, à confidencialidade dos dados, ao anonimato, à privacidade e ao
controle de acesso A autenticação pelo fato de confirmar a identidade do remetente de cada
mensagem recebida. A integridade para evitar que um intruso seja capaz de alterar mensagens
legítimas. A confidencialidade dos dados nas quais as informações enviadas são ocultadas de
pessoas não autorizadas e, desta maneira, estes são incapazes de saber o conteúdo das informações
enviadas. O anonimato e privacidade são necessários para evitar que veículos possam ser rastreados
bem como também localizados. Por fim, o controle de acesso para garantir que os nós realizem
somente aquilo que lhes foi autorizado. (RAYA; HUBAUX, 2005)
Dentro deste contexto, este trabalho procura trazer uma contribuição para a área de
segurança computacional em redes veiculares.
1.1 PROBLEMA DE PESQUISA
Segundo Alves et al. (2009), muitas aplicações vêm utilizando os avanços tecnológicos
incorporados com as redes ad hoc veiculares, possibilitando aos condutores terem ao seu dispor
equipamentos capazes de sinalizar sobre situações adversas e/ou comuns, fornecendo ao condutor,
com antecedência, informações quanto a acidentes, engarrafamentos e outras situações relevantes.
De acordo com Kosh (2004), em uma Aplicação de Alerta de Perigo Local (Local Danger Warning
Application (LDW)), eventos de risco detectados pelos sensores dos veículos geram mensagens de
alerta que são disseminadas pela rede (em broadcast), como por exemplo, a presença de óleo na via.
A cada evento detectado é gerado um alerta informando sua condição. Cada receptor desses dados
atua como roteador da mensagem, aumentando assim o alcance deste aviso. Além disso, em uma
aplicação LDW, os nós avaliam o conteúdo dos alertas recebidos. Toda vez que a aplicação
considerar suficiente as evidências de um evento, esta fará uso da interface com o motorista para
comunicá-lo da existência do problema, de forma que este motorista possa reagir àquela situação da
maneira mais segura possível (KOSCH, 2004).
Em uma aplicação LDW, o uso de informações erradas nos processos de decisão executados
pelos veículos pode colocar em risco a segurança de vidas humanas. A segurança em VANETs é
um fator bastante relevante que precisa ser observado, pois como quaisquer redes de computadores
estão suscetíveis a ataques por nós mal intencionados (RAYA et al., 2005). Nas aplicações LDW,
existe sempre o risco de algum dos participantes da rede agir de modo egoísta, ou seja, condicionar
17
seu comportamento de acordo com seus interesses pessoais, em detrimento do interesse geral. Logo,
torna-se necessário o desenvolvimento de soluções capazes de incentivar comportamentos
cooperativos e punir os comportamentos maliciosos. Mecanismos de reputação e modelos de
confiança contribuem com esse objetivo na medida em que permitem aos nós decidirem em quem
confiar (OSTEIMAIER et al., 2007). Esses sistemas assumem que o comportamento antigo de um
nó da rede indica de forma bem confiável suas ações futuras (PAULA; OLIVEIRA; NOGUEIRA,
2010).
Segundo Grandison e Sloman (2000 apud Mello, 2009), em sistemas de reputação, o
gerenciamento de confiança diz respeito a coletar informações necessárias para estabelecer relações
de confiança, avaliar os critérios relacionados, monitorar e reavaliar tais relações na evolução das
interações. O ponto crítico nestas redes de confiança é o estabelecimento inicial da confiança entre
duas entidades que não se conhecem.
Embora existam vários trabalhos sobre sistemas de reputação para comércio eletrônico ou
redes P2P, alguns possuem as bases de dados centralizadas ou não funcionam bem em redes
altamente dinâmicas como nas VANETs. Apesar de serem um tipo especial de MANETs, as
VANETs são extremamente dinâmicas, possuem alta mobilidade, a topologia da rede muda
rapidamente, as desconexões são frequentes e o número de nodos pode ser muito elevado. Nas
MANETs, os nós permanecem estáveis durante um período relativamente longo e se deslocam
lentamente, não havendo grande mobilidade dos nós. Como resultado, muitos sistemas de reputação
existentes em MANETs não são adequados para as redes veiculares (WANG; CHIGAN, 2007).
Logo, devem ser desenvolvidas soluções próprias para esses cenários, nas quais suas
particularidades são respeitadas.
A partir do problema apresentado, formularam-se as seguintes questões de pesquisa,
indicando os desafios a serem enfrentados neste trabalho:
1. O emprego de um sistema de reputação descentralizado que avalia a confiança dos
nós é capaz de identificar de forma eficaz nós maliciosos e descartar seus alertas em
uma aplicação de Alerta de Perigo Local (LDW), mesmo diante de nós
desconhecidos?
18
2. Como calcular e qual a eficácia de um sistema de reputação descentralizado que
avalia a confiança dos nós na identificação de nós maliciosos em uma aplicação
LDW?
3. Qual o impacto decorrente do uso de um sistema de reputação descentralizado na
entrega das mensagens de alertas (eficácia) de uma aplicação LDW?
4. Qual o impacto decorrente do uso de um sistema de reputação descentralizado no
tempo para entrega dos alertas de uma aplicação LDW?
1.1.1 Solução Proposta
O sistema de reputação proposto é descentralizado, no aspecto do gerenciamento de dados,
apropriado às redes veiculares de forma a não prejudicar as funcionalidades, segurança e
desempenho das aplicações que se executam nestas redes. Este sistema deve ser capaz de lidar com
um grande número de dispositivos móveis e fixos em uma arquitetura de redes veiculares e deve ser
capaz de responder de forma eficaz as necessidades da comunicação entre os veículos de uma
Aplicação de Alerta de Perigo Local (Local Danger Warning - LDW) focada para rodovias.
Como hipótese, têm-se as seguintes afirmações:
H1. O uso de um sistema de reputação descentralizado que avalia a confiança dos
nós é capaz de identificar a presença de um nó malicioso em uma aplicação LDW
com baixa taxa de falsos negativos (nó malicioso identificado pelo sistema como
confiável).
H2. O uso de um sistema de reputação descentralizado que avalia a confiança dos
nós degrada a entrega dos alertas (eficácia) de uma aplicação LDW, porém sem
prejudicar a entrega de alertas para os veículos que estão próximos ao local do
evento.
H3. O uso de um sistema de reputação descentralizado que avalia a confiança dos
nós degrada o tempo para entrega dos alertas de uma aplicação LDW, porém sem
prejudicar a ação dos motoristas, mesmo dos que estão próximos ao local do evento.
O sistema de reputação proposto visa calcular a confiança dos nós considerando que
somente poucos relacionamentos de confiança prévios existem, o que exige o cálculo da confiança
19
de nós desconhecidos. O sistema está baseado em métodos estatísticos para cálculo de confiança e
será integrado à aplicação LDW visando tratar o problema dos nós maliciosos.
O sistema de reputação proposto faz uso de uma estratégia investigativa, ou seja, a reputação
do nó é avaliada consultando outros nós participantes da rede (reputação indireta), e faz uso também
de uma estratégia otimista na qual os nós têm reputação boa até que se prove o contrário.
Considera-se que cada veículo tem sua identidade definida de forma única na rede. Os
veículos participantes da rede possuem componentes que possibilitem a comunicação e a execução
dos aplicativos tais como, sensores, unidades de armazenamento, unidade de comunicação sem fio,
sistema de posicionamento (GPS) e uma interface com o usuário para mostrar ao condutor os alertas
e a localização dos eventos relatados. Considera-se ainda que, os eventos podem ser sempre
detectados pelos sensores presentes nos veículos e que o GPS proporciona uma precisão suficiente
para detectar em qual local da rodovia encontra-se o veículo. A rede veicular é composta por
veículos e unidades de acostamento (RSUs − Road Side Unit). As RSUs são equipamentos
localizados às margens da rodovia (estacionários) que servem como nós intermediários para a troca
de informações com os veículos.
Cada veículo membro da rede possui uma Base de Conhecimento Individual (BCI), que
contém informações sobre as interações passadas que este veículo teve com outros veículos. A BCI
armazena as experiências passadas mais recentes e é utilizada para o cálculo da reputação direta. O
sistema de reputação proposto faz uso ainda do cálculo da reputação agregada (indireta), definida a
partir de informações de terceiros, muito importante para o cálculo da reputação de veículos
desconhecidos (no qual não houve interação direta). No sistema proposto, outra informação que
auxilia a tomada de decisão de um veículo que recebeu uma mensagem de alerta e que precisa
decidir se confia ou não no emissor deste alerta, é uma lista de reputação propagada pelas RSUs.
Cada RSU define esta lista tendo como base as experiências individuais (BCI) dos veículos que
passam por esta.
Para avaliar o uso e os possíveis impactos do sistema de reputação proposto por uma
aplicação de alerta de perigo local (LDW) para rodovias, foram realizados experimentos com
simuladores de rede e de tráfego bidirecionalmente acoplados. O uso de simulação mostra-se
atraente por permitir o controle sobre o ambiente e por consumir menos recursos. Utilizando
simuladores de redes e de tráfego o impacto do uso deste sistema de reputação foi avaliado
20
considerando a taxa de sucesso da entrega dos alertas, o número de colisões e o tempo de entrega
dos alertas de uma aplicação LDW. Os resultados obtidos são comparados aos resultados quando a
aplicação LDW não faz uso do sistema de reputação. Um alerta falso proveniente de um nó
malicioso também é simulado para analisar a eficácia do sistema de reputação proposto, tendo como
base a taxa de falsos negativos.
1.1.2 Delimitação de Escopo
Conforme mencionado anteriormente, o presente trabalho tem como foco desenvolver um
sistema de reputação descentralizado utilizando métodos estatísticos para avaliar a confiabilidade
dos nós (trustworthiness). Entende-se como nó malicioso aquele que entra no sistema com o
objetivo de corromper a confiança, a funcionalidade da rede e propagar alertas falsos.
É importante destacar que o trabalho não avalia os mecanismos de segurança que dizem
respeito à garantia de autenticidade e integridade dos dados recebidos pelos nós da rede, a não ser
dos dados trocados pelo sistema de reputação para o estabelecimento da confiança.
Cabe salientar também, que a aplicação que utiliza o sistema de reputação proposto se baseia
nas definições existentes para aplicações LDW (KOSCH, 2004) e no sistema de disseminação de
alertas em rodovias, chamado RAMS (Road Alert Message Service) proposto em Oliveira (2010) e
Rodrigues (2011).
Neste trabalho, foi escolhida a simulação como técnica de avaliação, visto que o
desenvolvimento de um protótipo possui um custo muito elevado gerado, principalmente, pela
compra e instalação dos dispositivos em veículos reais.
1.1.3 Justificativa
Sistemas distribuídos nos quais não existem uma coordenação geral, como redes P2P,
MANETs e VANETs, estão sujeitos a diversos tipos de ataques. Segurança pode ser considerada
um fator crítico em qualquer tipo de rede, entretanto, em redes veiculares, devido às suas
características e limitações, trata-se de uma questão ainda mais delicada. Em ataques em redes
VANETs, por exemplo, a transmissão de dados fraudulentos sobre congestionamento das estradas
ou posições dos veículos pode ser bastante prejudicial.
21
De acordo com Fernandes et al. (2006), uma forma de evitar ataques de nós maliciosos é
estabelecer a confiança entre os nós através de um sistema de reputação que visa calcular a
confiança dos nós de uma rede de forma a permitir a identificação e o isolamento dos nós
maliciosos. Com base nesta confiança, os nós podem decidir em quem confiar antes de tomar uma
ação referente à informação recebida.
Segundo Li et al. (2012), detectar a ação de nós maliciosos tornou-se um dos problemas
mais difíceis no que diz respeito à segurança em redes veiculares. Minimizar os ataques e as
consequências de comportamentos maliciosos é muito importante em soluções que necessitam da
cooperação e da honestidade dos nós, tais como as aplicações de Alerta de Perigo Local. Tais
aplicações podem ser muito úteis para prover segurança do trânsito nas rodovias, porém, a
confiança nos nós que propagam e difundem os alertas precisa ser avaliada. Além disso, nestas
redes, não há garantia de que nós anteriormente honestos não serão corrompidos no futuro. (Ex.
Carros dirigidos por mais de uma pessoa).
Em Wang e Chigan (2007), o mecanismo de confiança Dynamic Trust-Token (DTT), tem o
objetivo de detectar a modificação de mensagens na rede por nós maliciosos e isolar estes nós de
forma a prevenir que estes interfiram nas próximas mensagens. Quando um nó viola esta
integridade, este é considerado malicioso. O mecanismo baseia-se apenas no comportamento dos
veículos em tempo de execução, definindo desta maneira reputações instantânea. Diferente do
sistema proposto, este trabalho trata apenas de nós que violam a integridade das mensagens, mas
não avaliam os que propagam mensagens falsas na rede (nós maliciosos).
Ostermaier et al. (2007) propuseram um sistema de reputação para avaliar a credibilidade
das mensagens (eventos) baseado em um esquema de votação para aumentar a segurança das
decisões tomadas pelos veículos sobre eventos reportados em aplicações LDW (Local Danger
Warning Application). Em um esquema baseado em votos, é realizada uma coleta de informações,
nas quais as informações obtidas são consolidadas, gerando uma reputação sobre o evento para
atestar a credibilidade do perigo.
Em Daeinabi e Ghaffarpour (2011), os autores propõem um sistema para detecção de
veículos maliciosos com o objetivo de monitorar nós maliciosos de forma a isolá-los dos nós
considerados honestos. Cada veículo possui duas listas: lista branca e lista negra. Um nó é
considerado malicioso quando caso seu valor de desconfiança está superior a um threshold mínimo
22
(σ). Quando isto ocorre, este veículo é retirado da lista branca e é acrescentado na lista negra. Uma
Autoridade Certificadora (AC) transmite periodicamente estas listas para os veículos da rede. As
informações consultadas para o cálculo da reputação deste sistema estão armazenadas em um
servidor (centralizada). O sistema proposto difere-se deste trabalho pois a base de consulta é
descentralizada, não estando ligada a um ponto central responsável por avaliar a confiança dos nós.
Dessa maneira, cada veículo da rede mantém um histórico de avaliações geradas a partir das
experiências com outros veículos e, dada a natureza distribuída a disponibilidade deste conteúdo,
altamente dinâmico, é garantida, pois não depende exclusivamente de uma estrutura fixa.
De acordo com as considerações apresentadas, torna-se necessário minimizar as
consequências de comportamentos maliciosos. Desta forma esta pesquisa figura-se relevante uma
vez que pretende contribuir com a segurança em redes veiculares através do desenvolvimento de um
sistema de reputação descentralizado, que combina diferentes técnicas para detectar e isolar nós
maliciosos em uma aplicação LDW para rodovias e que difere das abordagens propostas na
literatura.
1.2 OBJETIVOS
1.2.1 Objetivo Geral
Analisar a confiança dos veículos em uma aplicação de Alerta de Perigo Local (LDW) para
redes veiculares (VANETs) de forma a identificar a presença de nós maliciosos e descartar seus
alertas, mesmo diante da formação de conluio.
1.2.2 Objetivos Específicos
Os objetivos específicos são:
1. Identificar as principais formas de ataques de nós maliciosos cometidos contra
aplicações LDW;
2. Identificar nós maliciosos que propagam mensagens falsas em aplicações LDW, por
meio de um sistema de reputação descentralizado para redes veiculares que calcula a
reputação global dos nós, avalia a confiança destes e descarta os alertas dos nós
maliciosos;
23
3. Medir a eficácia do sistema de reputação proposto na identificação de nós maliciosos
em uma aplicação LDW exposta a ataques;
4. Analisar os impactos decorrentes do uso do sistema de reputação proposto por uma
aplicação LDW na entrega dos alertas e no tempo para entrega dos alertas.
1.3 METODOLOGIA
Segundo Netto (2005), a pesquisa científica tem por objetivo contribuir para a construção do
conhecimento humano em qualquer área. Nessa seção, será apresentada a metodologia de pesquisa
e os procedimentos metodológicos adotados nesta pesquisa.
1.3.1 Metodologia da Pesquisa
No desenvolvimento da pesquisa descrita neste trabalho, foi aplicado o método hipotético-
dedutivo. Conforme Silva e Menezes (2005), o método hipotético-dedutivo parte da percepção de
uma lacuna no conhecimento, acerca da qual se formula hipóteses e, pelo processo de inferências
dedutivas, testa a predição da ocorrência de fenômenos abrangidos pela hipótese.
Sob o ponto de vista de sua natureza, este trabalho pode ser classificado como pesquisa
aplicada. A pesquisa aplicada tem como objetivo gerar conhecimentos para a aplicação prática
dirigida a solução de problemas específicos. Neste contexto, este trabalho tem como objetivo
solucionar problemas provenientes de ataques de nós maliciosos em redes veiculares e a formação
de conhecimentos através da concepção de um sistema de reputação descentralizado.
Do ponto de vista da abordagem do problema, a pesquisa pode ser classificada como
quantitativa. Neste trabalho, foram coletados dados estatísticos a partir da execução de simulações
que permitiram avaliar as hipóteses estabelecidas.
Sob o ponto de vista dos objetivos, a pesquisa pode ser classificada como exploratória. A
pesquisa exploratória visa proporcionar maior familiaridade com o problema com vistas a torná-lo
explícito ou a construir hipóteses (SILVA e MENEZES, 2005). Inicialmente, foi realizado um
levantamento bibliográfico para definição e entendimento do problema proposto através de livros,
teses, dissertações e artigos de periódicos e de conferências científicas. A partir da elaboração das
24
hipóteses, foram estabelecidos critérios, métodos e técnicas para a construção da pesquisa,
conforme descritos a seguir.
1.3.2 Procedimentos Metodológicos
Para o cumprimento dos objetivos, esta seção apresenta os métodos de pesquisa empregados
neste trabalho:
Pesquisa bibliográfica: O estudo teve por objetivo prover conhecimento e suporte
teórico para o desenvolvimento da solução proposta. Foi realizado um levantamento
bibliográfico sobre as redes P2P e redes veiculares, nas quais foram levantadas suas
características, requisitos de segurança e padrões de comunicações IEEE 802.11
empregados. Conceitos de gerenciamento de confiança e sistemas de reputação
também foram estudados. Conceitos estes que auxiliaram o desenvolvimento do
sistema de reputação proposto. Neste estudo, foram utilizados materiais publicados
em livros, teses, dissertações e artigos de periódicos e de conferências científicas.
Análise de trabalhos relacionados: Foi realizada uma análise dos trabalhos
correlatos encontrados na literatura e referenciado por diversos autores, que
empregam sistemas de reputação em redes ad hoc móveis. Estes trabalhos foram
selecionados por meio de critérios definidos na revisão sistemática, cujo protocolo de
busca é apresentado no apêndice e, serviram de base para a construção do sistema de
reputação proposto para identificar as contribuições e diferenciais do sistema
proposto. Por fim, uma análise comparativa dos sistemas de reputação estudados foi
realizada.
Definição do Sistema de Reputação: Após o levantamento bibliográfico e leitura de
trabalhos correlatos, foi concebido o sistema de reputação descentralizado para redes
veiculares. A forma como é realizado o mecanismo de troca de mensagens, os
métodos estatísticos dos cálculos utilizados para avaliar a confiança nos veículos,
através da reputação local (direta) e reputação global(agregada), bem como os
algoritmos utilizados foram definidos.
25
Realização de simulações: Simulações foram realizadas com o objetivo de aferir
alguns parâmetros e obter dados necessários para a avaliação do sistema proposto. O
simulador utilizado foi o OMNETT++ (Objective Modular Network Testbed in C++)
por permitir uma simulação com nível de detalhes satisfatórios. A fim de tornar as
simulações mais realistas, foi utilizada uma ferramenta geradora de cenários de
mobilidade, o SUMO (Simulation of Urban Mobility), uma vez que este pode ser
facilmente integrado ao simulador OMNET++ (acoplamento bidirecional).
Avaliação dos Resultados: Com base nos resultados obtidos nas simulações, foi
possível avaliar a eficácia do sistema de reputação desenvolvido neste trabalho para
identificar nós maliciosos, bem como verificar os impactos decorrentes do seu uso.
As hipóteses de pesquisa foram avaliadas tendo como base uma análise qualitativa
dos resultados das simulações. Por fim, com o objetivo de posicionar a contribuição
deste trabalho diante dos trabalhos relacionados, uma comparação entre estes foi
realizada.
1.4 ESTRUTURA DA DISSERTAÇÃO
Este trabalho está organizado em cinco capítulos. Neste primeiro capítulo foram descritos o
contexto geral do trabalho, a problematização, a solução proposta, os objetivos a serem alcançados
com o desenvolvimento do trabalho, a justificativa e os métodos de pesquisas empregados. Os
demais capítulos estão descritos a seguir.
O Capítulo 2 apresenta a fundamentação teórica das redes veiculares (VANETs), seus
padrões de comunicação, suas divisões e características. Apresenta ainda conceitos de aplicação de
disseminação de alerta e os principais conceitos de segurança, gerenciamento de confiança e de
sistema de reputação empregados em redes P2P.
No Capítulo 3, são apresentados os trabalhos relacionados encontrados na literatura que
utilizam sistema de reputação com o objetivo de evitar ou minimizar ataques de nós maliciosos em
redes veiculares. Por fim, é realizada uma análise comparativa dos trabalhos descritos.
No Capítulo 4 são apresentadas a visão geral e as premissas do sistema proposto, a
aplicação LDW a ser utilizada nas simulações (RAMS+), o detalhamento do funcionamento do
26
sistema de reputação proposto, bem como a integração do sistema de reputação a aplicação
RAMS+.
No Capítulo 5, são descritas a avaliação do sistema de reputação através de simulações
realizadas, juntamente com os resultados dos experimentos e suas análises. Estes resultados servirão
para verificar os impactos decorrentes do uso do sistema de reputação e através de suas análises
comprovar a viabilidade de uso e sua eficácia.
No Capítulo 6, são tecidas as conclusões, relacionando os objetivos identificados
inicialmente e apresentado às contribuições deste trabalho, bem como as dificuldades encontradas e
a descrição dos trabalhos futuros.
27
2 FUNDAMENTAÇÃO TEÓRICA
Neste capítulo, são apresentados os conceitos de redes ad hoc veiculares (VANETs), as
arquiteturas existentes em redes veiculares, suas características e categorias. Ainda neste capítulo,
são descritos também as tecnologias WLAN IEEE 802.11 e as aplicações de disseminação de
alertas visando a segurança no trânsito. São apresentados também, os requisitos necessários para
prover segurança em redes veiculares e os possíveis ataques cometidos por nós maliciosos. Por fim,
os conceitos de gerenciamento de confiança, os sistemas de reputação de redes P2P e as
considerações do capítulo são apresentadas.
2.1 REDES MÓVEIS VEICULARES
A troca de dados entre veículos está se tornando cada vez mais interessante diante do
crescente número de veículos equipados com tecnologias computacionais e dispositivos de
comunicação sem fio. Os sistemas de transportes inteligentes (Intelligent Transportation System -
ITS) podem permitir uma gama de aplicações, tais como: prevenção de colisões, divulgação de
mensagens de emergência, monitoramento em tempo real das condições de tráfego e qualquer tipo
de informação de entretenimento (filmes, jogos, etc). No entanto, é extremamente importante
considerar vários aspectos ao realizar qualquer tipo de transferências de dados em uma rede
veicular, devido a mobilidade dos nós e a segurança dos dados (HARTENSTEIN; LABERTEAUX,
2010).
Segundo Festag et. al (2008) os principais elementos que compõem a arquitetura de uma
rede veicular são:
Unidades de aplicação (Aplication Unit − AU): responsáveis pela execução de
serviços e tarefas como avisos de congestionamentos e colisão;
Unidades de bordo (On-Board Unit − OBU): unidade embarcada nos veículos que
permite a comunicação entre os nós da rede;
Unidade de acostamento (Road Side Unit − RSU): estações fixas, localizadas às
margens de uma rodovia, para a comunicação entre os veículos.
28
Segundo Kosh (2004), o conceito básico de VANETs (Vehicular Ad hoc Networks) é
simples: empregar, com alguns ajustes, o padrão amplamente adotado e barato de rede local sem fio
(WLAN – Wireless Local Area Network) em veículos. Os veículos geram e analisam grandes
quantidades de dados, entretanto, normalmente, estes dados estão dentro de um único veículo e não
são compartilhados. Nas VANETS, isto pode ser feito diretamente entre os veículos como "um
salto" de comunicação ou ainda os veículos podem reenviar mensagens, permitindo assim
"multiplos saltos" de comunicação. A fim de aumentar a cobertura da comunicação, pontos fixos na
estrada (unidades de acostamento) podem também ser implantados.
Conforme Hartenstein e Laberteaux (2010), apesar de ser conceitualmente simples, projetar
e implementar uma rede VANET é um esforço tecnicamente e financeiramente desafiador. Entre
estes desafios, encontram-se:
Características inerentes do canal de rádio: As redes veiculares apresentam
características desfavoráveis para a comunicação sem fio, pois existem diversos
obstáculos nas rodovias capazes de degradar a força e qualidade do sinal recebido.
Falta de um gerenciamento centralizado: O uso justo e eficiente da largura de banda
disponível do canal sem fio é uma tarefa difícil em uma rede totalmente
descentralizada. A falta de uma entidade capaz de sincronizar e gerenciar os eventos
de transmissão dos nós pode resultar em um uso menos eficiente do canal e
ocasionar um grande número de colisão de pacotes.
Alta mobilidade e a grande variedade das condições ambientais: Sua alta mobilidade
apresenta um desafio para a maioria dos algoritmos de otimização que visa uma
melhor utilização da largura de banda do canal ou o uso de rotas pré definidas para
transmitir informações.
Segurança e privacidade: Existem desafios em garantir a segurança e as necessidades
de privacidade. Por um lado, os receptores querem ter certeza de que estes podem
confiar na fonte de informação. Por outro lado, a disponibilidade de tal confiança
pode contradizer os requisitos de privacidade de um remetente.
Padronização x flexibilidade: Há uma necessidade de padronização de comunicação
para permitir que VANETs possam operar com equipamentos de diferentes
29
fabricantes, porém, é comum que os fabricantes façam algumas diferenciações em
seus produtos o que pode prejudicar a interoperabilidade.
Segundo Lin et al. (2007), as redes veiculares podem ser divididas em duas categorias: redes
intraveiculares e redes interveiculares. As redes intraveiculares são aquelas localizadas dentro dos
veículos, sendo que os dispositivos fazem requisições de leitura de sensores, processam a
informação e atuam de alguma forma enviando comandos. Para isto, são necessárias conexões entre
estes dispositivos, o que introduz o conceito de rede intraveiculares.
Já nas redes interveiculares, as informações são trocadas diretamente entre os veículos. Dois
ou mais veículos que estão dentro de uma faixa de comunicação de rádio conectam-se
automaticamente e criam uma rede ad hoc. Por ser ad hoc, não existe uma entidade centralizadora
que facilite a troca de informações entre os veículos. Desta forma, os veículos funcionam como
roteadores encaminhando as mensagens através de múltiplos saltos. Em alguns casos, as redes
interveiculares podem contar com um modo infraestruturado (sistema híbrido), nos quais alguns nós
estáticos poderão ser distribuídos ao longo de uma estrada, servindo como nós intermediários de
comunicação, com o intuito de melhorar e aumentar não somente a conectividade da rede como
também a disponibilidade dos serviços, tornando-as mais estáveis. (PAPADIMITRATOS et al.
2008)
A Figura 1 ilustra o cenário de uma rede interveicular com suas características de
comunicação, na qual sua comunicação pode ser direta (A) ou por meio de uma infraestrutura no
acostamento, possibilitando inclusive acesso à Internet aos veículos (B).
Figura 1. Comunicação de redes ad hoc veiculares. (A) Troca direta entre veículos.
(B) Troca de informações entre veículos modo infraestruturado (híbrido).
Fonte: STERLING (2009)
30
De acordo com Doetzer, Fischer e Magiera (2005), devido a mobilidade dos nós, muitas
vezes deslocando-se com velocidades altas, a topologia da rede é bastante dinâmica. Além disso,
apesar de suas trajetórias serem bem definidas, o conhecimento dos vizinhos com os quais um
veículo pode interagir muda frequentemente, já que o tempo em que dois nós permanecem em
contato é bastante reduzido dificultando o estabelecimento de uma conexão e a transferência dos
seus dados.
Para Raya e Hubaux (2005), as principais características das redes veiculares são:
Largura de Banda: Como todos os dispositivos sem fio, as redes veiculares são
dependentes da capacidade do hardware para realizar a comunicação e são
significativamente menores do que as das redes cabeadas;
Fragmentação da rede: Ocorre devido ao alcance do raio de comunicação e ao
elevado dinamismo dos veículos e sua velocidade;
Cooperação: A funcionalidade da rede depende totalmente da cooperação dos
veículos, pois estes trabalham como roteadores na rede;
Topologia: A mudança na topologia é rápida e frequente, tornando o seu
gerenciamento difícil pelo fato da alta velocidade relativa entre os veículos da rede;
Energia: Considera-se que as VANETs possuem energia suficiente para as
aplicações desenvolvidas devido a disponibilidade de uma fonte de energia quase
ilimitada, uma vez que as baterias automotivas são recarregadas constantemente;
Segurança: As redes veiculares são muito mais suscetíveis a ataques pelo fato de seu
acesso compartilhado, do que as redes cabeadas.
Outra característica importante tratando-se da mobilidade dos veículos, é que estes se
deslocam exclusivamente ao longo das ruas e ou estradas o que torna o seu padrão de mobilidade
mais previsível (RAYA; HUBAUX, 2005).
Segundo Lin et. al. (2007), as aplicações para redes veiculares podem ser classificadas com
o enfoque em segurança de trânsito e entretenimento. Nas aplicações voltadas para o
entretenimento, destacam-se como exemplos os sistemas de compartilhamento de conteúdo para
31
troca de arquivos em geral (músicas e filmes), informações turísticas e localização de postos de
abastecimentos em estradas.
Nas aplicações voltadas para segurança do trânsito, destaca-se a divulgação de informações
sobre acidentes e condições adversas de ruas e estradas, como congestionamentos ou estradas
bloqueadas, visando atender diretamente o condutor do veículo. Nestas aplicações, os principais
desafios são reduzir o tempo de divulgação de notificações de forma que o condutor possa reagir de
acordo com o potencial obstáculo e garantir a integridade destas notificações. Dentre as
classificações das aplicações, este trabalho foca nas que objetivam a segurança do trânsito.
2.2 WLAN – IEEE 802.11
No final da década de 1990, dispositivos apareceram pela primeira vez no mercado
utilizando uma nova tecnologia de rede local sem fio que é comumente chamado de hoje como Wi-
Fi (padrão IEEE 802.11). Inicialmente, as redes Wi-Fi, não eram muito utilizadas devido a fatores
como o alto preço de suas interfaces e sua velocidade de transmissão entre 1 e 2 Mbps.
(HARTENSTEIN; LABERTEAUX, 2010)
Atualmente, apesar da existência de diversas tecnologias e padrões de rede sem fio, o padrão
IEEE 802.11 é um dos de maior destaque, devido a sua diversidade em termos de capacidade,
cobertura e baixo custo dos dispositivos de rede (IEEE,1999). Este padrão estabelece normas para
criação e para o uso de redes sem fio.
A versão original do IEEE 802.11 foi lançada em 1997, operando na frequência de 2,4 GHz,
com suas duas taxas de transferências de 1 e 2 megabits por segundo (Mbps). Devido à necessidade
de maior largura de banda e ao número crescente de tecnologias que operam na frequência de 2,4
GHz, ocasionando um grande número de interferência na comunicação, o padrão 802.11a foi
criado. Este padrão opera na frequência de 5 GHz e possui uma taxa de transferência de dados de 54
Mbps. Uma vez que a banda de 2,4 GHz é muito utilizada, a ponto de estar congestionada, o uso da
frequência de banda de 5 GHz dá a este padrão uma vantagem significativa. No entanto, essa alta
frequência de portadora também traz uma desvantagem devido ao comprimento de sua onda ser
menor, os sinais do 802.11a são absorvidos mais facilmente por paredes e outros objetos em seu
caminho. (BULHMAN; CAMBIACA, 2006)
32
No início do ano 2000, surgiu no mercado produtos com o padrão 802.11b com uma taxa de
transferência de 11 Mbps e frequência de 2,4 GHz. O aumento drástico da taxa de transferência do
padrão 802.11b (em comparação com o padrão original), juntamente com a redução substanciais
dos preços dos equipamentos, levou a rápida aceitação deste padrão (ESCUDERO, 2002).
Dispositivos 802.11b sofrem interferências de outros produtos que operam na faixa de 2,4 GHz,
entre estes incluem: forno de microondas, babas eletrônicas, telefones sem fio, entre outros.
Em junho de 2003, outro padrão é lançado, o 802.11g, operando na mesma frequência do
padrão 802.11b, com o hardware totalmente compatível com o 802.11b e com a taxa de
transferência de 54 Mbps. Com a utilização deste padrão, é possível a transmissão de informações
simultaneamente em dois canais diferentes, dobrando sua taxa de transmissão.
A família de protocolos IEEE 802.11 apresenta também o padrão 80211n. Aprovado em
setembro de 2009, aperfeiçoa os padrões anteriores usando a tecnologia MIMO (Multiple-Input
Multiple-Output). Esta tecnologia oferece ganho de desempenho com custos relativamente baixos.
No MIMO, múltiplas antenas são usadas para uma taxa de tranferência e alcance maior. Sua taxa de
transferência pode chegar a 300 Mbps e opera nas frequências de 2,4 GHz e/ou 5GHz (IEEE
802.11, 2007).
Com o objetivo de padronizar as comunicações em redes veiculares e definir melhorias, em
2004, foi iniciado a padronização do IEEE 802.11p, também conhecido com WAVE (Wireless
Access in the Vehicular Enviroment). Este padrão suporta a troca de dados entre veículos em alta
velocidade trabalhando na frequência licenciada de 5.9 GHz e com alcance de até 1000 metros.
(WEIL, 2008)
O padrão WAVE é composto por cinco documentos da família IEEE 1609. O documento
1609.0 descreve a arquitetura e seus serviços necessários. O documento 1609.1 descreve o
gerenciamento de recursos, enquanto os 1609.2 os serviços de segurança para aplicações e
mensagens. O documento 1609.3 descreve os serviços de rede e, o 1609.4 descreve as extensões
para o 802.11p.
Este padrão utiliza um conceito de múltiplos canais, podendo ser utilizado tanto para
comunicações de segurança quanto para outras aplicações em redes veiculares. Segundo Hartenstein
e Laberteaux (2010), a tecnologia WAVE é essencialmente um ajuste do padrão IEEE 802.11a para
33
uma operação com baixo overhead. O padrão WAVE trabalha com um esquema de prioridade
usando múltiplos canais. A Figura 2 apresenta estes múltiplos canais.
Figura 2. Canais disponíveis para o IEEE 802.11p
Os canais não são utilizados simultaneamente, por esta razão, cada nó terá que alternar entre
o canal de controle (Control Channel – CCH) e um dos canais de serviços (Services Channel –
SCHs). O canal 178 (CCH) é restrito para comunicações de segurança. Os canais 172 e 184 são
reservados para utilização futura, sendo os demais utilizados para aplicações variadas. A utilização
dos canais SCH é acordada entre os dispositivos dentro de um WBSS (Wave basic service set) que
trata-se de um conjunto de estações WAVE formada por um provedor de WBSS com zero ou mais
usuários WBSS (IEEE Std 1609.4, 2006)
Aplicações WAVE podem enviar informações a outros dispositivos que encontram-se
dentro ou fora do contexto de um WBSS. Entretanto, fora do contexto WBSS, as aplicações podem
apenas enviar mensagens curtas, sendo esta apenas no canal de controle. Dentro do contexto, é
possível o envio de datagramas IPV6, no canal de serviço associado ao WBSS ((IEEE Std 1609.4,
2006). O padrão IEEE 802.11p possui um alcance de 300 a 1000 metros em ambientes externos e
uma taxa de transferência entre 6 Mbps e 27 Mbps, utilizando a mesma tecnologia do padrão IEEE
802.11a com alguns ajustes para operar com baixo overhead.
34
2.3 APLICAÇÕES DE DISSEMINAÇÃO DE ALERTAS PARA
SEGURANÇA DO TRÂNSITO
Segundo Lee et al. (2008), um dos principais estímulos para as redes veiculares é o desejo
de aumentar ainda mais a segurança em ruas e rodovias melhorando também a eficiência do tráfego
utilizando-se da comunicação entre os veículos. Dentre as aplicações, destacam-se as de alerta de
perigo local (LDW – Local Danger Warnings) devido ao significativo benefício coletivo trazido
pela disseminação de mensagens que informam situações de risco nas vias. Nestas aplicações, a
cooperação entre os nós se faz necessária para um desempenho adequado, visto que existe uma
frequente troca de dados entre os veículos.
Sistemas de apoio a tomadas de decisão são essenciais para fornecer informações sobre a
estrada e as intenções dos outros motoristas. Os sistemas podem utilizar os dados coletados pelos
sensores de bordo, porém, em alguns casos estes não são suficientes, já que os sensores detectam
apenas nas imediações dos veículos. A troca de dados entre os sensores possibilita que a aplicação
possa se comunicar entre veículos obtendo um alcance maior (KOSCH, 2004). A Figura 3 ilustra
este conceito. O veículo na estrada detecta a pista escorregadia através de dados captados por seus
sensores e envia uma mensagem para informar os próximos veículos. Os destinatários verificam a
relevância da mensagem e a encaminham para os demais veículos.
Figura 3. Disseminação de mensagem em cenário de perigo
Fonte: Kosh (2004)
35
Em uma Aplicação de Alerta de Perigo Local (LDW), eventos de risco detectados pelos
sensores dos veículos geram mensagens de aviso que são disseminadas pela rede (em broadcast). A
cada evento detectado é gerado um alerta informando sua condição. Cada receptor desses dados
atua como roteador da mensagem, aumentando assim o alcance deste aviso. Além disso, em uma
aplicação LDW, os nós avaliam o conteúdo dos alertas recebidos. Toda vez que a aplicação
considerar suficiente as evidências de um evento, esta fará uso da interface com o motorista para
comunicá-lo da existência do problema, de forma que este motorista possa reagir àquela situação da
maneira mais segura possível (KOSCH, 2004).
Segundo Ostermaier, Dotzer e Strassberger (2007), de forma a controlar a detecção dos
eventos e a distribuição das mensagens, pode-se atribuir um risco para cada uma das três regiões
geográficas, conforme pode ser observado na Figura 4. A área mais interna é denominada área de
reconhecimento, especificando desta maneira a área na qual o perigo pode ser detectado pelos
sensores dos veículos. Apenas os veículos dentro da área de reconhecimento serão realmente capaz
de detectar a presença ou ausência de um perigo. Esta região é delimitada pela área de decisão, que,
por sua vez, é delimitado pela área de disseminação. Sempre que um veículo entra na área de
disseminação de um perigo, este vai começar a coletar e distribuir as mensagens relativas a este
perigo. Logo, ao entrar na área de decisão, a aplicação LDW decide se deve ou não tomar medidas
ou notificar o motorista.
Figura 4. Área geográfica de um evento
Fonte: Ostermaier, Dotzer e Strassberger (2007)
36
Ostermaier, Dotzer e Strassberger (2007) definem três etapas principais a partir das
regiões que circundam um evento:
1. Processo de detecção de eventos: Deve ocorrer sem a participação do motorista, ou seja,
de forma automática. Porém, esta não é uma tarefa trivial, pois não é fácil, por exemplo,
calcular o tamanho exato de um congestionamento devido à necessidade de se obter a
velocidade dos veículos vizinhos. O processo de detectar a presença ou ausência de um
perigo é denominado experiência do veículo.
2. Disseminação da mensagem: Toda vez que um veículo obtém um alerta de detecção de
evento (experiência), uma mensagem é criada e repassada pela rede. Os veículos
recebem estas mensagens e repassam a outros enquanto estes viajam dentro desta área.
Através da combinação de todas as informações recebidas, cada veículo é capaz de
construir uma imagem sobre a situação da estrada em sua rota de viagem. Dois tipos de
mensagens são considerados: mensagens de aviso e de revogação. Sempre que um
veículo detecta um perigo, uma mensagem de aviso correspondente é criada. Por outro
lado, quando um veículo passa a localização de um perigo que foi previamente relatado
por outros carros, e este perigo não é detectado, uma mensagem de revogação é criada e
enviada informando os outros que o perigo, possivelmente, não existe mais.
3. Processo de decisão: Ao entrar na área de decisão, um veículo imediatamente tem de
decidir se notifica ou não o motorista sobre uma possível situação de risco. Esta decisão
é baseada a partir das mensagens relevantes armazenadas no veículo. Nesta etapa, o uso
de informações erradas nos processos de decisão executados pelos veículos pode colocar
em risco a segurança de vidas humanas. Informações estas causadas por motivos como
informações desatualizadas, insuficientes e até mesmo por nós mal intencionados com o
intuito, por exemplo, de condicionar o comportamento do tráfego dos veículos de acordo
com seus interesses pessoais, em detrimento do interesse geral.
Kosch (2004) apresenta um sistema de alerta de perigo local (LDW) com base em uma rede
ad hoc de comunicação. Não é requerida nenhuma interação direta do motorista, visto que quando a
aplicação LDW é ativada, o veículo escuta as mensagens de perigo, envia-as e verifica se estas são
relevantes para a situação de condução atual. A verificação da relevância é realizada pela posição
do perigo com a rota do sistema de navegação. Caso o veículo esteja na rota, um ícone é mostrado
37
no mapa da tela para o motorista. Além do ícone, duas mensagens de voz são dadas. Uma quando a
mensagem é recebida e exibida pela primeira vez no mapa, por exemplo: “Cuidado, pista com gelo
a frente”; e a segunda a poucos metros antes da área de risco, por exemplo: “Você está se
aproximando de uma área com gelo na pista”. A distância na qual será emitido o alerta sonoro,
depende do conteúdo da mensagem de perigo, que possui uma classificação pré-definida.
A Figura 5 apresenta uma tela acoplada ao veículo. No lado esquerdo, são listados todos os
serviços selecionados de acordo com o perfil atual. Conforme citado anteriormente, os alertas de
perigo local não são explicitamente listados, uma vez que não requer nenhuma interação direta com
o motorista. Quando ativado, o veículo escuta as mensagens de perigo e verifica se estes são
relevantes para a situação de condução atual. A relevância é verificada pelo casamento entre a
posição do perigo com a rota do sistema de navegação.
Figura 5. Tela Protótipo Kosh
Fonte: Kosh (2004)
Ao aproximar-se do perigo, informações sobre o seu tipo e sua distância são exibidas em
forma de textos. Também diferentes sinais de advertência sobre o perigo são mostrados em forma
de ícones na cor vermelha e mensagens de voz somente são emitidas quando o perigo encontra-se
na rota do motorista e dentro de certa distância (KOSCH, 2004).
Segundo o autor, nas fases iniciais de alerta de perigo local entre veículos, a rede estará
altamente fragmentada, ou seja, os nós estarão isolados e grupos de nós podem existir sem uma
conexão de redes entre eles. Devido ao movimento dos nós, no entanto, as mensagens podem ser
38
encaminhadas através do modo “armazena e repassa” (store and forward). Conforme o autor, o
protótipo apresentado permite a distribuição de mensagens em qualquer tipo de via urbana, sendo
que os carros são distribuídos aleatoriamente nas ruas e a distância para comunicação entre eles é
definida em no máximo 500 metros. (KOSCH, 2004).
Oliveira (2010) apresenta uma aplicação distribuída para redes veiculares denominada
RAMS (Road Alert Message Service) como o objetivo de disseminação das condições de trânsito
em rodovias, tendo um caráter preventivo e emergencial. Este sistema visa auxiliar o condutor de
uma forma rápida para que os mesmos reajam a tempo hábil diante de uma situação de emergência.
Todos os envios e repasses dos alertas são realizados por meio de difusão (broadcast), na rede
veicular.
O sistema é constituído por duas aplicações: RAMS Mobile e RAMS Manager, a primeira é
uma aplicação peer-to-peer, embarcada em nós ou dispositivos móveis, responsável por receber e
repassar alertas com o objetivo de informar os condutores sobre situações de perigo na rodovia de
forma rápida, possibilitando a reação do condutor em tempo hábil. A segunda, o RAMS Manager é
uma aplicação responsável pela criação de alertas, enviado por meio de difusão, para os nós
presentes na rede veicular. O autor sugere a presença do RAMS Manager nos postos de controle
das empresas que monitoram a rodovia, como também em veículos de monitoramento das vias
pertencentes a rodovia. No sistema descrito em OLIVEIRA (2010), não existe um rede de sensores
nos veículos capaz de detectar as experiências destes por isso há a necessidade da aplicação RAMS
Manager para geração dos alertas.
Para controlar o reenvio de alertas duplicados, o sistema compara a identificação do alerta
recebido com a identificação dos alertas já repassados. Caso seja constatado que o alerta já tenha
sido recebido antes, este é descartado. Caso contrário, a mensagem é disponibilizada ao condutor,
informando o local da ocorrência, e é reenviada pelo RAMS Mobile para os nós vizinhos.
O trabalho proposto em Oliveira (2010) não apresenta nenhum mecanismo de segurança.
Rodrigues (2011) aprimorou este trabalho e incluiu mecanismos de assinatura digital para a
aplicação RAMS com o objetivo de garantir a integridade e autenticidade das informações enviadas
pelos nós participantes da rede e fez também algumas melhorias na aplicação proposta por Oliveira
(2010) como os critérios de comparação para reenvio da mensagem e modificações nos campos
timestamp e a distância do local do acidente (por meio das coordenadas).
39
Mitropoulos et al. (2010) apresenta um sistema de informação descentralizado para rede
veicular para detecção automática, localização e verificação do tráfego por meio de sensores
acoplados aos veículos juntamente com um sistema de posicionamento (GPS), chamado
WILLWARN (Wireless Local Danger Warning).
Conforme os autores, o sistema é capaz de detectar os perigos encontrados em uma rodovia
e compartilhar essas informações com os veículos vizinhos de uma forma totalmente automática,
sem intervenção alguma do condutor. Com isso, é possível evitar riscos antes mesmo do alcance
visual do condutor.
O sistema proposto por Mitropoulos et al. (2010) é baseado numa arquitetura modular. A
seguir, tem-se uma breve descrição dos seus módulos:
1) VVC (V2V Communication Module): Consiste na comunicação entre os veículos
V2V (vehicle-to-vehicle) nas quais todas as mensagens de perigo são transmitidas
aos vizinhos através deste módulo.
2) WMM (Warning Message-management Module): Este módulo é responsável pelo
processamento das informações do pacote enviado pelo módulo HDM e das
mensagens de perigo recebidas pelo VVC. Este módulo também identifica as
mensagens duplicadas sobre os alertas de perigo e as escolhe baseado no tempo de
atualização mais recente.
3) HDM (Hazard Detection Management): Este módulo implementa a detecção
automática de perigo nas estradas. O módulo é conectado ao veículo através de um
sistema de barramento pelo qual os dados dos sensores onboard são coletados e
comparados com os dados dos sensores padrões aos perigos detectados. Quando um
perigo é detectado um pacote detalhando este perigo é passado para o módulo
WMM.
4) HWM (Hazard Warning Management): É o modulo responsável pela relevância das
informações de perigo antes desta ser disponibilizada ao condutor. Por exemplo,
talvez seja desnecessário enviar um alerta de perigo para redução de velocidade a um
determinado veículo caso este já esteja andando em baixa velocidade.
40
A comunicação entre os veículos na rede é realizada através do padrão IEEE 802.11a, pois
segundo os autores, a escolha se deu pela disponibilidade no mercado desta tecnologia e por ser
semelhante a tecnologia 802.11p.
Os autores defendem que uma comunicação bem sucedida entre homem e máquina é
importante para o motorista ganhar a confiança no sistema. Entretanto, alertar motoristas sobre um
perigo que não está em sua visão não é uma tarefa fácil, pois caso este alerta seja disseminado
muito cedo, pode ser que o motorista esqueça ou ignore-o. Ao contrário, repetir os alertas sobre o
mesmo perigo diversas vezes, além de irritar o motorista, pode perder a sua importância para o
condutor resultando em uma inadequada reação para ele.
Por esta razão, os avisos para o condutor no sistema são classificados como perigo real e
potencial perigo. Um alerta de perigo real requer do condutor uma ação imediata, como por
exemplo, uma frenagem. Já um alerta de potencial perigo requer apenas uma atenção especial do
condutor (MITROPOULUS et al., 2010).
A solução proposta pelos autores não trata do problema de nós maliciosos na rede. Além
disso, não fica claro no trabalho a política de segurança implantada.
2.4 SEGURANÇA EM REDES VEICULARES
Nessa seção, serão apresentados os conceitos de segurança relacionados a redes veiculares
bem como, os principais requisitos de segurança que devem ser atendidos e os possíveis ataques que
podem ser cometidos por nós maliciosos nestas redes.
Segundo Hartenstein e Laberteaux (2010), a segurança em redes veiculares é um fator
imprescindível que precisa ser observado, pois como quaisquer redes de computadores estas estão
suscetíveis a ataques por usuários ou nós mal intencionados. Portanto, decisões tomadas com base
em informações erradas ou manipuladas podem levar a diminuição da segurança no trânsito, pois
mensagens alteradas podem provocar acidentes graves.
Uma aplicação distribuída que utiliza VANETs, segundo Samara et al. (2010) e Parno e
Perrig (2005), deve satisfazer os seguintes requisitos de segurança:
41
Autenticidade: As reações dos veículos referentes a mensagens recebidas devem ser
baseadas em mensagens legítimas, isto é, gerado por remetentes legítimos. Portanto,
é necessário autenticar as mensagens.
Disponibilidade: Mesmo assumindo um canal de comunicação robusto, alguns
ataques (DoS) podem derrubar a rede. Portanto, a disponibilidade das VANETs deve
estar apoiada em meios alternativos (redundância), pois estas devem estar sempre
disponíveis, visto que algumas possuem aplicações de tempo real que necessitam o
menor tempo de resposta possível.
Não-Repúdio: Motoristas que causam acidentes ou propagam informações falsas na
rede devem ser identificados de forma confiável. Um remetente não deve ser capaz
de negar a autoria de transmissão de uma mensagem.
Privacidade: Informações a respeito de condutores devem permanecer inacessíveis
para nós não autorizados.
Segundo Parno e Perrig (2005), não se pode classificar todos os ataques possíveis em redes
veiculares, entretanto, uma classificação geral pode ser adotada:
Ataque de negação de serviço: seu principal objetivo é causar indisponibilidade da
rede congestionando o canal de comunicação usados pelas redes veiculares,
impedindo que informações cheguem aos nós, aumentado desta maneira o perigo ao
condutor.
Alarmes revogados: as mensagens distribuídas pela rede são revogadas. Desta
maneira, sempre que for detectado um evento, é criada uma mensagem informando a
inexistência do problema.
Alarmes falsos: é realizado através da disseminação de informações falsas pela rede,
com o objetivo de obter vantagens, por exemplo, passar-se por um veículo de
emergência para acelerar a sua viagem.
Rastreamento de veículos: tem como objetivo mapear o comportamento dos
motoristas do veículo a partir das coletas de dados da rede. Assim, é possível saber,
por exemplo, seus locais de circulação e horários.
42
Ataque Sybil: o atacante assume, para um único veículo, múltiplas identidades na
rede, agindo como se fosse diversos veículos e utiliza-se, por exemplo, para avisar
outros veículos que há congestionamento e forçá-los a tomar uma rota alternativa.
Em se tratando de invasores em redes veiculares, estes podem ter perfis variados. Raya e
Hubaux (2005) os classificam em quatro categorias:
Interno versus Externo: O invasor interno é aquele que está autenticado na rede e que
pode se comunicar com os outros membros. O externo é considerado pelos membros
da rede como um intruso e, portanto, possui limitações aos ataques que pode
executar.
Maliciosos versus racional: o invasor malicioso não busca vantagens pessoais a partir
dos seus ataques e tem como objetivo prejudicar os membros ou a funcionalidade da
rede. Ao contrário, um atacante racional, busca ganho pessoal e, portanto, é mais
previsível no que diz respeito em termos de ações e alvo.
Ativo versus passivo: um invasor ativo é aquele que injeta dados na rede, ao passo
que um invasor passivo apenas obtém informações para posterior uso.
Local versus estendido: um invasor local está limitado ao seu alcance. Ao contrário,
o invasor estendido controla várias entidades (veículos ou unidades de acostamento)
que estão espalhadas em toda a rede, aumentando assim o seu escopo.
Devido às suas características, as redes ad hoc estão propensas à presença de nós
maliciosos1. Os ataques passivos ou ativos, provenientes desses nós, precisam ser evitados, pois um
atacante malicioso tem como objetivo prejudicar membros ou a funcionalidade da rede de maneira
que este possa enviar informações falsas na rede, bem como, desviar pacotes, modificar seu
conteúdo e até mesmo injetar novos pacotes na mensagem. Esse tipo de ataque é de difícil detecção,
pois para os nós da rede, o funcionamento está correto, embora esteja apresentando anomalias.
(FERNANDES et al., 2008)
1 Utiliza-se neste trabalho o termo malicioso mesmo quando a ação maliciosa visa um ganho pessoal (chamado de
racional por Raya e Hubaux (2005)).
43
Segundo Golle, Greene e Staddon (2004), um ataque de um nó malicioso em VANETs é
considerado bem sucedido quando os nós aceitam os dados incorretos como válidos. Os autores
denominam que qualquer ataque que um nó venha a realizar por meio de dados incorretos, estes são
chamados “ataque de nós maliciosos”.
Isaac, Zeadally e Camara (2010), descrevem os seguintes ataques de nós maliciosos:
Ataque de Ilusão: Neste tipo de ataque um nó malicioso criar uma situação de
tráfego específico e envia mensagens de alertas falsos a outros condutores que
acreditam no evento ocorrido.
Ataque Bizantino: Neste ataque, nós maliciosos trabalham em conluio para gerar
problemas (falhas na rede), tais como loops de roteamento, pacotes de roteamento
falsos, escolhas de caminhos errados, entre outros.
Ataque de Modificação: Neste tipo de ataque, o nó malicioso altera as mensagens
recebidas, como por exemplo, mensagens de roteamento com o objetivo de gerar
informações falsas ou atrair para si o tráfego da rede, ou seja, para que todas as rotas
passem pelo nó malicioso.
Em relação às aplicações de alerta de perigo local (LDW), Ostermaier, Dotzer e
Strassberger (2007) identificaram quatro tipos de ataque de nós maliciosos, a saber:
a. Interferência na estrada: interferência no sinal de comunicação causada por
obstruções afetando de forma significativa a conectividade da rede, podendo
resultar em acidentes.
b. Subversão de responsabilidade: incentivar acusações erradas contra um
determinado veículo, com o objetivo de transformá-lo em um nó malicioso e sem
credibilidade perante os demais.
c. Problemas de privacidade: Podem ser capturadas informações como posição do
veículo e horário da geração da mensagem recebida.
d. Consenso remoto de veículos: Manipulação dos veículos remotamente através da
exploração de vulnerabilidades existentes. Isto é possível, teoricamente, uma vez
44
que a aplicação LDW depende de uma rede sem fio e de uma rede de sensores e
estas podem estar vulneráveis.
Como visto, as redes veiculares (VANETs) podem estar sujeitas a diversas formas de ataque
e invasores, entre estes os ataques de nós maliciosos. Dessa forma, torna-se importante identificar
os requisitos de segurança necessários para proteger as redes veiculares dos ataques e garantir o
correto funcionamento dessas redes.
2.5 CONCEITOS DE GERENCIAMENTO DE CONFIANÇA
Segundo Feldmann e Chuang (2005), para minimizar a ação de nós maliciosos, alguns
métodos surgiram com o objetivo de privilegiar os nós que tenham um comportamento correto na
rede, dentre estes se destacam os que utilizam sistemas de reputação. Com base nesta abordagem,
surge a ideia da criação de grupos de confiança, que tem como objetivo a criação de grupos que
confiam entre si e cooperam no intuito de combater nós egoístas e maliciosos. Estes agregam
opiniões sobre o comportamento passado dos nós com o objetivo de estimar o seu comportamento
futuro. Nesses sistemas, é atribuído aos nós um grau (valor) que indica o nível de confiança que o
mesmo possui. As opiniões de reputação são atualizadas pelos usuários da rede à medida que estes
vão interagindo, aumentando a reputação dos nós bem comportados e diminuindo a dos nós
maliciosos (LIU; QIU, 2007).
Os termos reputação e confiança estão fortemente ligados. Segundo Chang et al. (2005), a
confiança, em termos computacionais, pode ser definida como a crença que um agente tem na boa
vontade do outro em prover a qualidade de serviço esperada, em um dado contexto e um
determinado período. Para Grandison e Sloman, (2000), confiança pode ser definida como a firme
convicção de que uma entidade agirá de forma confiável e segura, dentro de um contexto
especificado. Segundo Swamynathan et al. (2007), o conceito de reputação pode ser definido como
uma medida coletiva de confiabilidade em uma pessoa ou dispositivo baseado em indicações ou
avaliações de membros de uma comunidade. Assim, o nível individual de confiança em uma pessoa
ou dispositivo pode ser obtido a partir de uma combinação das indicações recebidas e das
experiências pessoais. Em redes veiculares, a reputação de um veículo pode ser considerada como a
coleção de opiniões mantidas por outros veículos sobre este, enquanto confiança é uma visão
particular de um único veículo.
45
Segundo Barcellos e Gaspary (2006), um sistema de reputação tem por finalidade gerenciar
as opiniões sobre os comportamentos dos nós. Essas opiniões são acertadas para formar a reputação
que serve como referência para que usuários possam identificar quais nós podem oferecer recursos
confiáveis, determinando dessa maneira a confiança do nó.
As relações de confiança entre os nós podem ser definidas: de um para um (confiar em um
nó para executar uma determinada ação), de um para vários (confiar em um conjunto de nós, onde
os conteúdos são trocados com segurança), de vários para um (todos confiarem em um único nó, um
líder, por exemplo) e de vários para vários (um grupo confia em um grupo) (GRANDISON;
SLOMAN, 2000).
O estabelecimento de confiança se faz necessário para permitir que os nós possam trocar
informações entre si de forma segura, mesmo não tendo uma autoridade centralizadora. Observa-se
que as redes P2P são caracterizadas principalmente por essa descentralização. A partir dessa
confiança estabelecida, é possível determinar quantos e quais recursos podem ser disponibilizados
ou revelados para outros nós (BARCELLOS; GASPARY, 2006).
Outro fator importante no que diz respeito à reputação e à confiança é o conceito de contexto
(KARL; DESPOTOVIC, 2001). A confiança em alguém se refere a alguma situação. Por exemplo,
pode-se confiar em alguém para consertar um eletrodoméstico, mas não para dirigir um veículo. Na
maioria dos sistemas de reputação, entretanto, esta avaliação do contexto não é realizada, pois o
foco é detectar comportamentos maliciosos de um modo geral.
Conforme Jiangyi (2005), mecanismos de reputação baseiam-se no comportamento dos nós
na rede. Cada nó possui um valor de reputação, que reflete o seu comportamento. Este valor é
armazenado e calculado por outros nós que observam o seu comportamento. O autor salienta
também que os mecanismos de reputação devem ter o cuidado de calcular e atualizar os valores de
reputação bem como, detectar o mau comportamento e a não cooperação dos nós.
Alguns pontos importantes em um mecanismo de reputação precisam sem observados,
segundo Jiangyi (2005) são:
Reputação x Confiança: Reputação representa o quão bem um nó se comporta, e
serve para decidir se o nó é cooperativo ou possui mau comportamento. Por outro
46
lado, a confiança representa o quão honesto um nó é e serve para decidir se o nó é
confiável ou não.
Reputação Direta x Indireta: Reputação direta ou informações em primeira mão (first
hand) é obtida através da observação direta, na qual um nó monitora o
comportamento dos outros nós geralmente em um salto (vizinho) para ver se este
funciona bem. Em contrapartida, reputação indireta ou informações em segunda mão
(second hand) as informações sobre a reputação de um nó é obtida através de outros
nós da rede. A aceitação ou rejeição desta mensagem é baseada no nível de confiança
do nó remetente.
Reputação Global x Local: Reputação global é aquela em que os nós utilizam os
dados trocados entre os outros nós da rede para calcular a reputação de cada nó, ou
seja, cada nó conhece a reputação de todos os outros nós da rede, razão do qual o
nome global. Isto é alcançado através da troca de mensagens de reputação indireta
entre a rede. Nos sistemas de reputação local somente as observações locais dos nós
vizinhos são consideradas e não a informações de terceiros (reputação indireta) como
na reputação global. O cálculo da reputação é feito localmente para cada um dos nós
vizinhos e, qualquer troca de reputação indireta (segunda mão) não são permitidas.
Conforme Marti e Molina (2006), sistemas de reputação em redes P2P, em geral, são
compostos por três funções principais, a saber: coleta de informações, classificação (ranking) e
ações de resposta. A coleta de informações é responsável por obter informações sobre o
comportamento dos nós para determinar o quão confiável estes são, além de definir a política
adotada para os nós que ingressam na rede sem histórico (nós desconhecidos). A coleta de
informações é a base para o mecanismo de classificação (ranking), no qual as informações obtidas
são consolidadas, gerando a reputação sobre o elemento avaliado que fornecerá subsídios à decisão
sobre interagir ou não com o mesmo. O último é a execução das ações de resposta, para que possa
privilegiar a operação dos pares com boa reputação e marginalizar os que não possuem. Portanto, as
ações de resposta podem resultar em incentivos ou em punições aos pares.
Existem algumas características que um sistema de reputação requer para um bom
funcionamento. Resnik et al. (2000) definem três prioridades básicas, a saber: 1) Grande tempo de
vida dos nós, gerando com isso expectativas de interações futuras. 2) Captura e distribuição de
47
informações sobre as interações passadas. 3) Uso de informações passadas para guiar decisões
futuras.
Conforme Barcellos e Gaspary (2006) existem cinco possibilidades estratégicas de
reputação em redes P2P, a saber:
Otimistas: nas quais assumem que os nós estranhos são confiáveis até que se provem
o contrário;
Pessimistas: assumem que todos os nós estranhos não são confiáveis até que se prove
o contrário;
Investigativas: consiste em consultar os outros nós para obter informações a respeito
de reputações de terceiros;
Centralizadas: consideram que existe uma entidade central que mantém a reputação
dos nós; e
Transitivas: considera-se que a confiança pode ser medida em cadeias de
relacionamentos.
2.6 SISTEMAS DE REPUTAÇÃO EM REDES P2P
As redes P2P e as redes veiculares são similares, uma vez que possuem em comum a
natureza descentralizada, são auto organizáveis e roteiam requisições em ambientes distribuídos de
topologia dinâmica. Razão nas quais a seguir são apresentados alguns trabalhos encontrados na
literatura que tratam da reputação em redes P2P, bem como uma breve descrição destes elencando
seus aspectos principais. Estes trabalhos serviram para esclarecer alguns conceitos e opções
adotadas para a elaboração do sistema de reputação proposto neste trabalho.
Damiani et al. (2002) apresentam o sistema de reputação XREP no qual atribui reputação
para os pares e faz a classificação de objetos baseado na sua autenticidade. A proposta baseia-se em
aprimorar a seleção, considerando a reputação do objeto e do par onde o mesmo reside. Cada nó
mantém um repositório de suas experiências com outros pares, sendo que este repositório pode
armazenar dois valores (satisfação ou insatisfação). Este sistema usa somente reputação local para
classificar os usuários.
48
O protocolo proposto pelos autores foi desenvolvido para o ambiente Gnutella provendo
facilidades para atribuir, compartilhar e combinar reputações e recursos. Utiliza algoritmos
distribuídos de pooling que controlam o grau de confiança de um nó ou recurso compartilhado
através de métricas baseadas nas transações dos nós, que refletem o seu comportamento, refletindo
a visão da comunidade sobre o risco de download e uso de um recurso. A reputação dos nós é
combinada com a reputação dos recursos, aumentando desta forma a resistência contra ataques de
sybil (DAMIANI et al., 2002)
O algoritmo utilizado é composto de cinco fases, mostradas na Figura 6, a saber:
1. Busca de recursos: nesta fase, são solicitados os recursos;
2. Seleção de recurso: o nó requisitante escolhe o melhor nó entre aqueles que
satisfaçam sua busca. Para esta realização o nó envia uma mensagem a seus vizinhos
contendo uma requisição dos votos sobre a reputação dos nós;
3. Avaliação dos votos: o nó descarta mensagens adulteradas e seleciona um conjunto
de votantes enviando outra mensagem a todos para que respondam confirmando os
seus votos;
4. Verificação do melhor nó: O nó mais confiável é contatado para verificar se este
realmente dispõe de recursos;
5. Download dos recursos: o nó requisitante contata o nó que dispõe do recurso e
solicita o download e após verifica a integridade do recurso recebido e atualiza seu
repositório de experiências.
49
Figura 6. Fases do procotolo Xrep
No mecanismo de reputação descrito em Yu e Munidar (2000), é construída uma rede social,
nas quais os participantes se dizem especialistas em uma determinada área com o objetivo de evitar
interações com nós indesejáveis. Neste mecanismo, apenas a interação mais recente é considerada
para o cálculo da reputação e confiança. Cada nó define os seus limites (valores) mínimo e máximo
que serão considerados para definir a qualidade de um serviço dos seus parceiros.
Os autores definem três desafios em relação ao sistema de reputação proposto: 1) dar
controle total aos usuários sobre quando revelar suas opiniões; 2) auxiliar um agente a achar um nó
confiável mesmo que este nunca tenha interagido com este antes e; 3) acelerar a propagação de
informações na rede.
É através da rede social que é feita a definição da reputação dos nós com os quais não houve
interações. Isto é realizado através da opinião de um vizinho deste nó, no qual este retornará um
conjunto de referências no qual possui a respeito do referido nó. O valor de reputação é definido
com um número real entre -1 e 1, sendo que os nós iniciam com zero de reputação. Atualizações
destes valores levam em consideração se houve ou não um bom serviço prestado e também a
reputação anterior.
50
Para punir os nós que proveem um mau serviço, é determinado que ao receber um serviço
ruim, além de atualizar a sua reputação sobre o nó, a parte prejudicada pode enviar mensagens aos
vizinhos informando do mau serviço recebido.
Martin e Molina (2004) definem um sistema de reputação que tem por finalidade combater
os nós maliciosos. Cada nó armazena suas opiniões sobre os nós com quem interagiu. A métrica
utilizada é em escala, para facilitar a comparação, sendo utilizada a taxa de arquivos autênticos que
o nó forneceu sobre o número total de arquivos. O sistema de reputação é implementado sobre a
rede Gnutella. Cada nó utiliza a sua base local de reputação e também levam em consideração as
opiniões dos outros nós, compartilhando desta maneira os valores de reputação.
Baseado nesta métrica, a seleção dos nós pode ser feita de duas maneiras:
Melhor seleção: escolhe o nó com maior avaliação, porém corre o risco de
sobrecarregar um nó, sem dar chance para outros nós ganharem reputação; e
Melhor seleção ponderada: cada nó que possui o arquivo desejado possui uma
probabilidade de ser escolhido proporcional ao seu valor de reputação.
Para melhorar o desempenho da rede, é utilizado um cache dos nós conhecidos com as
maiores reputações.
Proposto por Kamvar et al. (2003), o EIGEN TRUST é um sistema de gerência de reputação
usado para isolamento de nós maliciosos, no qual cada nó calcula a reputação localmente e um
mecanismo distribuído determina a reputação global de cada nó, reputação esta baseada no histórico
de uploads de arquivos. O cálculo e a disposição da confiança global dos pares é responsabilidade
de um conjunto de pares pré-confiáveis. Seu cálculo é realizado com base nos índices de reputação
atribuídos localmente a cada nó e pesados de acordo com a própria reputação dos nós. Seu objetivo
é detectar nós maliciosos através de um sistema de rede de confiança. Este sistema permite que um
determinado nó da rede esteja apto a calcular a reputação de qualquer entidade, de uma maneira
totalmente descentralizada. De posse das reputações, é realizada uma média ponderada dos valores
para o cálculo final da reputação. Desta maneira, cada nó apresenta uma visão local de confiança
que se traduz pelo número de transações que foram estabelecidas com os demais nós, sejam estas
satisfatórias ou insatisfatória.
51
Este mecanismo realiza várias interações consultando outros nós até a reputação do nó
consultado convergir, ou seja, cada nó pode pedir a opinião dos amigos dos amigos, e assim por
diante, recursivamente, até atingir a rede inteira.
Observa-se no Quadro 1 que apesar de executarem algumas tarefas em comum, os sistemas
de reputação para redes P2P mostrados possuem características que os diferenciam uns dos outros.
Quase que em sua totalidade a consulta à base de reputação é descentralizada, ou seja, não existe
uma unidade central que mantém a reputação dos nós.
Quanto ao problema de nós maliciosos, todos os sistemas descritos estão focados em lidar
com este problema, nos quais utilizam em grande parte a opinião de outros nós para verificar a
confiabilidade destas opiniões, isto se deve ao fato de um dos critérios usados no método de busca
bibliográfica era que estes lidassem com problemas de nós maliciosos.
Referente ao cálculo de confiança, os trabalhos estudados em sua maioria estão baseados em
média ponderada. Média esta que será usada em equações para o cálculo de confiança do trabalho
proposto, pois atribuem pesos diferentes para as opiniões dos outros nós para formar os valores de
reputação. E, por fim, a abordagem em sua maioria é otimista, cuja característica consiste em
assumir que os nós desconhecidos são confiáveis até que se prove o contrário.
Quadro 1. Comparativo de sistemas de reputação em redes P2P
Sistema de Reputação Base de
Reputação
Ambiente
P2P
Problemas de
Nós Maliciosos
Cálculo de
Confiança Abordagem
XREP (Damiani et al.
2002) Centralizada Gnutella Sim
Média
Simples Otimista
Yu e Munindar (2002) Descentralizada Não
Especificada Sim
Média
Ponderada Indefinida
EINGENTRUST
(Kamvar et al. 2003) Descentralizada Chord Sim
Média
Ponderada Otimista
Martin e Molina (2004) Descentralizada Gnutella Sim Média
Ponderada Otimista
52
2.7 SISTEMAS DE REPUTAÇÃO EM REDES MANETS
Uma rede MANET (Mobile Ad hoc Networks) possui como principal característica a
ausência de uma infraestrutura de comunicação e administração. São redes formadas por um
conjunto de nós, no qual estes são independentes e cada nó é possui algumas funções básicas de
rede como roteamento e encaminhamento dos pacotes (BERNSEN e MANIVANNAN, 2009).
Devido as suas características e de não possuir nenhum mecanismo de gerência centralizado,
o uso de mecanismos de sistema de reputação e confiança em MANETs podem ser aplicados,
visando prover segurança de forma a punir o mau comportamento e incentivar a cooperação dos
nós. A seguir são apresentados alguns trabalhos encontrados na literatura que tratam da reputação
em redes MANETs.
A arquitetura apresentada em Gray et al. (2003) tem por objetivo otimizar a formação e a
propagação da confiança em aplicações colaborativas em redes móveis ad hoc, baseando-se em
noções humanas sobre confiança, risco e conhecimento. Segundo os autores, os seres humanos
usam estes conceitos para ajudar a decidir até que ponto eles cooperam com os outros. A rede de
confiança visa o estabelecimento de novas relações de confiança entre partes que nunca interagiram
previamente.
Utiliza o conceito de pequeno mundo para otimizar a formação e propagação de confiança
entre entidades na rede. Este conceito de mundo pequeno sugere que qualquer nó em uma grande
rede possa se conectar de uma maneira previsível através de caminhos relativamente curtos
passando somente por algumas entidades intermediárias.
A arquitetura apresentada pelos autores é formada por quatro principais componentes:
Entidade de reconhecimento: objetivo de verificar se já houve algum contanto
anteriormente com esta entidade, ou seja, verificar se esta é conhecida;
Análise de risco: responsável por verificar o risco envolvido em uma possível
colaboração com a entidade identificada previamente;
Gerenciamento de confiança: gerencia as experiências anteriores realizadas com
entidades conhecidas;
53
Controle de admissão baseado em confiança: verifica se existe confiança suficiente
para superar o risco envolvido em negociar com a entidade em questão.
O trabalho não apresenta meios para tratar ataques de nós maliciosos, desta maneira os
valores de confiança emitidos por outros nós podem ser alterados, uma vez que o sistema não
possui formas de verificar se os valores de confiança emitidos por nós intermediários estão corretos.
Buchegger e Boudec (2004) propõem a criação de um sistema de gerência de reputação
baseado em uma abordagem Bayesiana combinada chamada CONFIDANT (Cooperation Of Nodes:
Fainess In Dynamic Ad hoc Network) com o objetivo de detectar e isolar nós maliciosos. A
avaliação do nó é executada periodicamente, sendo que a diminuição da reputação é realizada
através de uma modificação bayesiana, caso este não interaja na rede, a sua reputação cai
exponencialmente. Desta maneira, é dado mais peso para observações recentes.
Os autores definem que cada nó é composto por quatro componentes:
Monitor: identifica as alterações do próximo nó (vizinho) por meio de observação do
canal de transmissão. Logo que uma alteração é detectada, o gerenciador de
reputação é chamado.
Gerenciador de Confiança: é responsável pelo envio de uma mensagem de alerta para
avisar da existência de nós maliciosos. A detecção do nó pode ser realizada se este
viveu uma experiência com o nó malicioso ou recebeu uma alerta de outro nó;
Gerenciador de Reputação: cada nó gera a sua própria lista de valores de reputação
dos outros nós que são trocadas com seus nós vizinhos. O valor de reputação
somente é alterado quando há evidências suficientes de mau comportamento;
Gerenciador de rotas: é o responsável por decidir uma ação ao detectar a presença de
nós maliciosos. Um exemplo desta ação seria a remoção do nó malicioso do
caminho;
Os nós monitoram os seus vizinhos e reportam as ocorrências de eventos suspeitos para o
sistema de reputação. É mantido um controle de eventos importantes para distinguir o
comportamento malicioso de outro qualquer, isto é realizado a partir da definição de um valor
mínimo que deve ser superior o bastante para que seja possível a distinção dos dois
54
comportamentos. Este valor varia de acordo com os requisitos de segurança de cada nó, sendo que a
reputação é alterada quando este valor for ultrapassado. E, caso o valor de reputação atingir certo
limite o gerenciador de rotas é acionado para tomar uma ação.
Além do valor de reputação, cada nó mantém um valor de confiança associado, o qual
representa o quanto o nó é confiável. Os nós cooperam entre si com a troca de informações. Os
autores mostram que levar em consideração as recomendações de outros nós pode acelerar o
processo de descoberta de nós maliciosos.
O sistema implementa um mecanismo de retenção, no qual os valores diminuem ao longo
do tempo, dessa forma um nó não poderá aproveitar o seu bom comportamento anterior para
ludibriar outros nós e, os nós que tenham sido injustiçados, poderão voltar a participar ativamente
na rede. Este sistema não é efetivo em lidar com difamação (ataques sybil), na qual um nó honesto é
maliciosamente relatado como oportunista.
Safaei, Sabaei e Torgheh (2010) apresentam um mecanismo de reputação para garantir a
cooperação entre os nós em redes MANETs. Os nós que fazem parte da rede são capazes de
monitorar seus vizinhos, por meio de reputação direta e também da reputação global, com o
objetivo de verificar seu comportamento. O sistema é composto por três componentes: sistema de
monitoramento, sistema de reputação e o sistema de prioridades.
No sistema de monitoramento em cada nó existe um watchdog que monitora os nós vizinhos
observando o seu comportamento (reputação direta). O nó armazena o número de pacotes que são
enviados e recebidos e este envia ao sistema de reputação que os utiliza para calcular a reputação de
cada nó.
O sistema de reputação utiliza um coeficiente (α) que é calculado pelo número de pacotes
enviados, dividido pelo número de pacotes recebidos para formar a reputação do nó. O coeficiente é
um número real entre zero e um, sendo que 1 representa o maior grau da reputação.
Um peso é atribuído ao valor de reputação, sendo que este é definido baseado no número de
saltos que o pacote passou até chegar ao seu destino. Segundo os autores, quanto mais distante os
nós (mais saltos) a uma probabilidade maior da adulteração dos valores de reputação, justificativa
pela qual do uso desta estratégia. A Figura 7 apresenta a arquitetura e os processos do sistema
proposto.
55
1. Prioriza os pacotes recebidos dos nós, baseado em
sua reputação.
2. Os nós com reputação mais alta recebem serviços
primeiro (como um incentivo para a cooperação).
1. Monitora os nós vizinhos (1 salto).
2. Registra o número de pacotes enviados e recebidos
por cada nó.
1. Calcula a taxa de cooperação e o valor da reputação.
2. Adiciona um nova campo do cabeçalho e adiciona o α.
Sistema de Verificação
Sistema de Reputação
Sistema de Prioridade
Processamento
Figura 7. Processo do Sistema de Reputação
Fonte: Safaei, Sabaei e Torgheh (2010)
Dai et al. (2013) apresentam um mecanismo de detecção de nós maliciosos para redes
móveis ad hoc denominado Itrust. O sistema, segundo os autores, aumenta a cooperação entre os
nós por meio de reputações locais armazenadas em uma tabela com seus valores, com base
unicamente em observações direta dos nós, tendo como objetivo detectar nós vizinhos maliciosos
com o menor número possível de interações entre estes. O sistema baseia-se apenas em nós vizinhos
de no máximo um salto, no qual possui um mecanismo de clock que monitora as interações entre
estes e, sempre que uma interação com outro nó ocorre, o nó aumenta ou diminui a classificação da
reputação deste. Para esta detecção, o Itrust adota uma abordagem probabilística, distribuída e
descentralizada.
No sistema de reputação proposto existem dois tipos de mau comportamento detectados.
Comportamento malicioso na qual um nó não envia respostas para as solicitações e, comportamento
egoísta na qual um nó envia solicitações e responde às solicitações, entretanto não encaminha as
mensagens.
O sistema consiste em três módulos que interagem entre si, conforme pode ser observado na
Figura 8. O módulo de adjacência que mantem a tabela local dos vizinhos e suas respectivas
reputações. O módulo de avaliação, que realiza os cálculos para atualizar a tabela de reputação dos
56
nós e, o módulo de monitoramento que fornece feedback sobre o bom e o mau comportamento dos
nós vizinhos.
Figura 8 Módulos do sistema de reputação
Fonte: Dai et al. (2013)
Caso um nó malicioso encaminhe mensagens indevidamente, o Módulo de Monitoramento
fornece um feedback para o Módulo de Avaliação informando o comportamento malicioso deste nó.
O Módulo de Avaliação então diminui a reputação deste e atualiza a tabela de reputação local.
Como o sistema proposto pelos autores consulta apenas os nós em no máximo um salto,
consequentemente as avaliações de reputação de diferentes nós podem não ser consistentes entre si.
Observa-se no Quadro 2 que em todos os trabalhos analisados a consulta à base de reputação
é descentralizada, não existindo uma unidade central que mantém a reputação dos nós. Em sua
maioria os sistemas estão focados em tratarem do problema dos nós maliciosos, somente em Gray et
al (2003) este problema não é tratado.
No que se refere à classificação da abordagem, Gray et al. (2003) e Safaei e Torgheh (2010)
em seus trabalhos não a definiram. Buchegger e Boudec (2004) utilizam uma abordagem otimista,
cuja característica é assumir que os nós desconhecidos são confiáveis até que se prove o contrário.
Dai et al. (2013) utiliza uma abordagem probabilística na qual utiliza uma tabela de probabilidades.
57
Quadro 2. Comparativo de sistemas de reputação em redes MANETs
Sistema de
Reputação
Base de
Informação
Consultada
Nós
Maliciosos Abordagem
Sistema de
Reputação
(Gray et al. 2003) Descentralizada Não Indefinida
Baseado em
Confiança. Média
Ponderada
CONFIDANT
(Buchegger e
Boudec 2004)
Descentralizada Sim Otimista Reputação Global,
Média Ponderada
(Safaei, Sabaei e
Torgheh, 2010) Descentralizada Sim Indefinida
Reputação Direta e
Global, Média
Ponderada
ITRUST (Dai et al.
2013) Descentralizada Sim Probabilística
Reputação Direta,
Média Simples
2.8 CONSIDERAÇÕES DO CAPÍTULO
As aplicações de trocas de mensagens de alerta de perigo local (LDW) surgem como uma
boa alternativa para criar condições seguras de circulação para os veículos que trafegam em uma
via. Neste tipo de aplicação, eventos de riscos detectados pelos sensores dos veículos geram
mensagens de avisos que são disseminadas pela rede nas quais são divididas por regiões, fazendo
com que as mensagens sejam propagadas de forma otimizada.
Nas redes móveis veiculares (VANETs), pelo fato de diversos nós colaborarem sem um
ponto central, algumas tarefas tornam-se mais difíceis de serem realizadas de forma eficiente.
Portanto, um dos desafios neste tipo de rede é a inserção de novos mecanismos que possam torná-
las mais seguras e confiáveis, sem adicionar riscos no comprometimento de seu desempenho.
Para tratar o problema de nós maliciosos em redes dinâmicas, pode-se observar o amplo uso
de sistemas baseados no cálculo da reputação. O uso destes sistemas visa melhorar a qualidade e
confiabilidade da informação recebida, evitando a propagação de pacotes errados ou conteúdos
falsos pela rede, baseados nas interações prévias ocorridas entre os nós.
Na literatura, sistemas de confiança estão sempre combinados com sistemas de reputação e o
trabalho proposto segue esta linha, pois a decisão de um veículo confiar nos alertas de outro veículo
será tomada como base nas experiências passadas dos veículos que compõem a rede (reputação). Os
trabalhos descritos nesta Seção são os mais relevantes no contexto das redes P2P e MANETs e
58
serviram de base para o entendimento de um sistema de reputação e para definição do sistema de
reputação proposto neste trabalho.
59
3 TRABALHOS RELACIONADOS
Este capítulo apresenta os trabalhos correlatos encontrados na literatura que utilizam
modelos de confiança e/ou sistemas de reputação com o objetivo de evitar ou minimizar os
possíveis ataques de nós maliciosos em rede móveis ad hoc e os trabalhos relacionados que
descrevem sistemas de reputação específicos para a classe de aplicação LDW. Esses trabalhos
foram selecionados e analisados por meios de critérios definidos na revisão sistemática, cujo
protocolo de busca encontra-se no Apêndice A.
Os setes trabalhos selecionados e analisados estão descritos seguindo a ordem cronológica
de suas publicações (do trabalho mais antigo aos mais recentes). A Seção 3.8 apresenta uma análise
comparativa dos trabalhos descritos.
3.1 VARS (DOTZER ET AL. 2005)
No sistema de reputação VARS (vehicle ad hoc network reputation system), os autores
descrevem um sistema de reputação distribuído que analisa a relação de confiança individual entre
os nós de uma VANETs. Desta maneira, cada veículo adiciona a sua opinião sobre as mensagens
recebidas e encaminhadas por este (DOTZER et al. 2005).
O mecanismo utiliza o conceito de regiões geográficas dividindo-as em três áreas: a área do
evento (disseminação), na qual os veículos ao entrarem nessa região começam o repasse das
informações recebidas, a área de decisão na qual determina se alguma ação deverá ser tomada
baseada nas informações recebidas e, por fim, a área de distribuição (reconhecimento) que
especifica como serão distribuídas estas mensagens e somente veículos nesta área podem criar
novas mensagens informando ocorrências de eventos. Durante a distribuição da mensagem, cada
veículo acrescenta a sua própria opinião sobre a confiabilidade das mensagens recebidas e
encaminhadas.
Para detectar as mensagens que contenham informações falsas, os nós podem gerar três tipos
de opiniões distintas: reputação direta, reputação indireta e uma terceira chamada reputação global.
A reputação direta é aquela que emite diretamente opinião sobre a veracidade da informação. A
reputação indireta é aquela obtida através de outros nós na qual a reputação da informação é
conhecida. E, por fim, a reputação global que é calculada a partir da soma das opiniões direta e
60
indireta. Estas opiniões geradas são anexadas com as outras opiniões antes do envio das mensagens.
Não existe nenhuma base de confiança para julgamento dos dados em situações que a fonte dos
dados é desconhecida do receptor.
O sistema VARS não se baseia no comportamento dos nós, mas sim na opinião sobre o
conteúdo distribuído nas mensagens. Receptores podem avaliar a opinião de outros nós e usá-la
como base para a sua própria decisão sobre a confiabilidade de uma mensagem. O sistema tem
algumas limitações apontadas pelos autores, pois embora tratem problemas de nós maliciosos e
eventos falsos conforme demonstrado nas simulações, este está suscetível a ataques como conluio,
pois grupos de atacantes podem manipular o banco de dados do sistema de reputação do nó. Outro
problema neste trabalho diz respeito à sobrecarga adicionada ao pacote, pois neste é anexado o
parecer de todos os nós intermediários.
Na avaliação deste sistema os autores apenas descrevem que as simulações realizadas são
capazes de detectar um grau satisfatório de nós maliciosos. No entanto, não deixam claro quais as
métricas utilizadas e os resultados obtidos.
3.2 OSTERMAIER, DOTZER E STRASSBERGER (2007)
Ostermaier, Dotzer e Strassberger (2007) propõem um esquema baseado em votação para
aumentar a segurança das decisões tomadas pelos veículos sobre eventos reportados em aplicações
LDW (Local Danger Warning Application). No sistema proposto, é realizada uma coleta de
informações, nas quais as informações obtidas são consolidadas, gerando uma reputação sobre o
evento para atestar a credibilidade do perigo.
O trabalho avalia o desempenho de quatro métodos de decisão, a partir da área de
disseminação e executados na área de decisão do evento. Os autores definem que a necessidade de
um processo de tomada de decisão é resultante de três fatores: em primeiro lugar, informações
erradas não podem ser totalmente excluídas, pois existe sempre a possibilidade da distribuição
destas mensagens. Em segundo lugar, os alertas de perigo podem mudar com o tempo, de modo que
uma mensagem recebida pode não mostrar a verdadeira realidade e, em terceiro lugar, invasores
podem tentar atrapalhar o sistema através da divulgação de mensagens errôneas.
61
Segundo os autores, foram identificados três requisitos importantes para o processo de
decisão:
Adaptabilidade: Como as VANETs são altamente dinâmicas e o cenário está
mudando continuamente, o processo de decisão deve adaptar-se rapidamente a estas
mudanças. Como exemplo, os veículos que se aproximam recentemente, estes devem
ser capazes de detectar o desaparecimento de um perigo relatado anteriormente,
minimizando desta forma a quantidade de decisões erradas;
Robutez: A necessidade de um processo de decisão decorre do fato de que
mensagens de perigo local recebidas, nem sempre refletem o cenário atual. Desta
forma, é de suma importância que o método seja robusto contra decisões de
mensagens erradas;
Escalabilidade: Devido as especificações de perigos e da natureza dinâmica das
VANETs, o número de experiências em relação a um perigo pode variar muito. Este
por sua vez, corresponde diretamente ao número de mensagens de perigo local que
podem ser utilizadas pelo processo de decisão.
Foram desenvolvidos e analisados quatro métodos de decisão da credibilidade do perigo
relatado baseados em sistema de votação.
1. Últimas Mensagens: Sempre que uma decisão precisa ser tomada, apenas a
mensagem mais recente do alerta é considerada, cujo objetivo é atingir uma alta
adaptabilidade em cenários livre de ataques, resultando em poucas decisões erradas.
2. Maioria de vitórias: Este método executa uma decisão local de voto sobre todas as
mensagens recebidas sobre um determinado alerta. Caso a maioria das mensagens
recebidas forem de alertas, uma decisão positiva é tomada, caso contrário uma
decisão negativa é considerada.
3. Maioria das Últimas Mensagens: Este método é uma combinação dos dois anteriores.
Para uma tomada de decisão, um veículo irá realizar uma votação considerando
apenas as últimas mensagens em relação ao alerta em questão.
62
4. Maioria das Últimas x Mensagens com valor mínimo: Este método é uma extensão
do anterior, na qual o veículo utiliza apenas as últimas x mensagens recebidas com
informações sobre o evento. Desta forma, é verificado um limite inferior, de forma
que o mecanismo somente é utilizado caso o veículo receba ao menos um
determinado número de mensagens. Quando esse mínimo de opiniões não é atingido,
o veículo sempre se decide pela negação do evento.
O sistema proposto pelos autores melhora efetivamente a segurança em redes veiculares
através do uso de um mecanismo de votação, entretanto não deixa claro o quanto este mecanismo
aumenta o processamento e o overhead da transmissão (sobrecarga na rede).
Neste trabalho as simulações foram realizadas durante 1200 segundos com uma densidade de
250 veículos, com uma área de oito quilômetros quadrados em um cenário urbano. As métricas
utilizadas para avaliação foram o percentual de decisões falsas na comparação dos quatro métodos
de decisão da credibilidade do perigo, e o percentual de decisões falsas em um cenário livre de
ataques.
Os resultados das simulações demonstram que no cenário livre de ataques não existem
decisões falsas, visto que quando o evento ocorre, já existem alguns veículos dentro de sua área de
reconhecimento, que detectam o perigo imediatamente e disseminam mensagens de alertas na rede.
No cenário dos quatro métodos de decisão, o número de decisões falsas aumenta quase que
linearmente com o número de ataques na rede.
3.3 WANG E CHIGAN (2007)
Em Wang e Chigan (2007), o mecanismo de confiança Dynamic Trust-Token (DTT)
proposto, tem o objetivo de detectar a modificação de mensagens na rede por nós maliciosos e
isolar estes nós de forma a prevenir que estes interfiram nas próximas mensagens. No DTT, são
utilizadas técnicas de criptografia simétrica e assinatura digital com o objetivo de garantir a
integridade dos pacotes durante a comunicação. Quando um nó viola esta integridade, este é
considerado malicioso.
Algumas premissas são consideradas neste trabalho: considera-se que o pacote é sempre
confiável quando iniciado pela primeira vez; somente comportamentos de nós maliciosos são
considerados, aqueles provenientes de colisão acidental ou problemas de camada física não são
tratados. Existe também um mapeamento de um para um entre a chave pública de cada veículo e
63
sua identificação. Cada veículo deve armazenar uma identidade eletrônica e um par de chaves
assimétricas durante a comunicação, pois com uma única identificação, segundo os autores, um
veículo não consegue passar-se por outro.
Segundo a proposta, um emissor envia o pacote de dados para seus vizinhos e caso este
vizinho não seja o destino final, este irá reencaminhar o pacote recebido. O emissor então monitora
essas retransmissões e, caso o pacote não sofra nenhuma alteração, o emissor envia um token de
confiança, assinado digitalmente, para o respectivo vizinho. Os vizinhos devem reencaminhar este
token, que os certifica como confiáveis, para os veículos responsáveis pelo próximo salto. O
processo de escuta e emissão do token, feito pelo emissor da mensagem, agora é feito pelos vizinhos
certificados. Esse ciclo se repete em todos os saltos até que o pacote atinja seu destino.
O mecanismo baseia-se apenas no comportamento dos veículos em tempo de execução,
definindo desta maneira reputações instantânea, não mantendo, portanto reputação histórica dos
nós. Este trabalho trata apenas de nós que violam a integridade das mensagens, mas não avalia os
que propagam mensagens falsas na rede.
3.4 RMDTV (PAULA, OLIVEIRA E NOGUEIRA, 2010)
Paula, Oliveira e Nogueira (2010), propuseram um mecanismo de reputação denominado
RMDTV (Reputation Mechanism for Delay Tolerant Vehicular Networks), na qual membros da
rede qualificam as informações (corretas ou não) dos outros membros e emitem mensagens de
qualificação que atestam a confiabilidade da mensagem (informação recebida correta). O emissor
da mensagem armazena estas mensagens de qualificação e as usa quando forem propagar novas
mensagens como se estas fossem suas credenciais que comprovam as mensagens corretas já
propagadas na rede. Ou seja, o sistema faz uso de qualificações emitidas por terceiros (reputação
global) para atestar a confiabilidade dos nós, porém estas qualificações são apresentadas pelos
próprios nós emissores do alerta. Desta maneira, membros da rede podem verificar previamente a
confiabilidade de novos vizinhos, antes mesmo da troca de dados.
Os autores definem um conjunto de premissas e requisitos da rede veicular:
1. Cada veículo tem sua identidade definida de forma única na rede, esta identificação
pode ser através da placa do carro, por exemplo.
64
2. Todos os veículos transitando dentro da área de reconhecimento são capazes de
identificar o aparecimento de um evento.
3. A rede veicular faz uso de uma infraestrutura de chave pública (PKI) com o objetivo
de garantir a autenticidade, integridade e confidencialidade dos dados enviados. Os
autores consideram que cada veículo recebe da autoridade certificadora, que pode
ser o órgão responsável pelo emplacamento dos veículos, no início de operação da
rede, seu par de chaves pública e privada.
4. Se o veículo ao adentrar em sua área de reconhecimento detectar a extinção do
evento anteriormente anunciado, este deve gerar e distribuir pela rede uma
mensagem revogando a existência de tal evento.
O modelo usa o conceito de redes tolerantes a atrasos e interrupções (Delay and Disruption
Tolerant Networks - DTNs), para sanar os possíveis problemas de momento de desconexão total,
visto que o nó armazena as mensagens recebidas até que seja possível encaminhá-las a outros nós
da rede.
No mecanismo proposto pelos autores, cada veículo é responsável por armazenar localmente
duas listas contendo os membros considerados confiáveis e os membros maliciosos. Desta forma,
um emissor de um alerta pode ser classificado como: malicioso, confiável ou desconhecido. Os nós
considerados confiáveis são aqueles nos quais suas mensagens informam o evento corretamente, ao
contrário, quando estes eventos são incorretos o nó é punido e passa a ser considerado malicioso. As
mensagens relevantes pela aplicação são retransmitidas em broadcast, enquanto o receptor estiver
localizado dentro da área de disseminação do evento.
Segundo os autores, o reconhecimento prévio e a exclusão de dados gerados por nós
maliciosos é possível devido ao armazenamento de dados históricos sobre o comportamento dos
veículos. E, o compartilhamento de experiências permite o estabelecimento de relações de
confiança antes mesmo do início de transações.
As qualificações possuem pesos diferenciados no mecanismo de decisão e são adicionadas
as mensagens de dados geradas pelo veículo. Entretanto, segundo os autores, para evitar uma
grande sobrecarga na rede, apenas um determinado número de qualificações deve ser adicionado e
estas possuem prazo de validade. Desta forma, somente aquelas não expiradas devem ser utilizadas.
65
O simulador utilizado para a avaliação de desempenho neste trabalho foi o Opportunistic
Networking Environment – ONE. As simulações foram executadas em um cenário urbano com
cinquenta e cinco quilômetros quadrados, com uma densidade de trezentos veículos. Para fins de
avaliação foi comparado o desempenho quanto ao percentual de decisões erradas tomadas pelos
veículos com e sem o uso do sistema de reputação. As métricas utilizadas neste trabalho foram
escalabilidade, impacto, o tempo da entrega das mensagens de qualificação e análise de sobrecarga.
Nos cenários simulados, as taxas de nós maliciosos na rede variaram de 0% até 50%. As
simulações demonstram que os melhores resultados foram obtidos quando da utilização do sistema
de reputação. Esta melhoria, conforme simulações variam entre 14% (redes sem intruso) e 45%
(rede com 50% de intrusos).
3.5 LO E TSAI (2010)
Lo e Tsai (2010) apresentam um sistema baseado em confiança com o objetivo de detectar
mensagens com informações falsas em um ambiente de redes veiculares. Neste sistema, um
mecanismo de reputação é introduzido para determinar se uma mensagem recebida pelo nó é
significativamente confiável para ser apresentada para o motorista. Como premissas tem-se que
cada veículo é equipado com um dispositivo de posicionamento (GPS) e estes possuem diversos
sensores instalados para a coleta de dados.
A coleta de dados dos sensores instalados nos veículos não é executada em tempo real, pois
segundo os autores é possível que os sensores possam perder sinais quando a velocidade do veículo
for superior a um threshold. Em contrapartida, o sensor pode detectar o mesmo evento diversas
vezes quando o veículo estiver trafegando lentamente.
O sistema baseado em reputação (ERS) proposto é composto por três interfaces, quatro
funcionalidades e um repositório para armazenamento da tabela, conforme pode ser observado na
Figura 9. Desta maneira, as informações sobre o tráfego são recebidas através da interface sem fio
ou a partir de sensores on-board. A tabela de eventos armazena todas as informações recebidas
como o tipo de evento, localização, horário, sentido da mensagem, o valor da reputação e uma lista
de confiança. O valor da reputação quando iniciado é zero, possuindo um contador incrementando a
cada vez que recebe o mesmo evento.
66
Figura 9. Arquitetura do sistema do sistema de reputação proposto (ERS).
Fonte: Lo e Tsai (2010)
Os dispositivos possuem dois parâmetros nos quais dependem para o bom funcionamento e
desempenho do sistema proposto: o threshold da reputação e o threshold da confiança. Para
verificar a reputação de um evento, calcula-se o número de vezes que foi gerado o evento pelos nós
da rede e se superar o limite de reputação estabelecido, então o sistema conclui que, provavelmente,
o evento foi gerado corretamente, caso contrário, o sistema avalia que o evento não existe mais ou
que é um evento falso. Se o número de ocorrências de um evento exceder o tempo limite de
confiança, significa que mais veículos detectaram o evento e, portanto, a probabilidade deste ser
verdadeiro é maior. Desta forma, caso um evento exceda os dois parâmetros este é considerável
confiável e enviado aos outros nós.
Segundo os autores, ao configurar corretamente os thresholds e outros parâmetros do
sistema, o ERS (event-based reputation system) pode fornecer a informação precisa e confiável de
tráfego para os condutores de veículos. Conforme os autores existem alguns critérios para ajudar a
determinar estes thresholds. Por exemplo, quando a notificação imediata da ocorrência de um
evento ou continuidade deste é mais importante do que a confiabilidade (alerta para redução de
velocidade), ambos os limites devem ser configurados para um valor inferior. Desta maneira,
67
diferentes pares de thresholds de reputação e thresholds de confiança devem ser configurados com
vários tipos de eventos.
O simulador de rede utilizado para avaliar o sistema neste trabalho foi o Network
Simulation. O cenário da simulação foi desenvolvido para a área urbana, divididos em cinco
quarteirões com duzentos metros quadrados cada, e um total de 100 veículos simulados em um
tempo de simulação de setecentos segundos.
Nas simulações é avaliado o número de mensagens falsas na rede geradas por um nó
malicioso. Os resultados dos experimentos mostram, segundo os autores, que a proposta do sistema
de reputação pode dinamicamente coletar informações sobre o perigo e tempestivamente detectar
um evento impedindo que mensagens de alerta falsos possam ser disseminadas na rede.
3.6 DAEINABI E GHAFFARPOUR (2011)
Daeinabi e Ghaffarpour (2011) propõem um sistema para detecção de veículos maliciosos
chamado DMV (Detection of Malicious Vehicles), que visa monitorar nós maliciosos que rejeitam
ou duplicam pacotes recebidos de forma a isolá-los dos nós considerados honestos. Cada veículo é
monitorado por vizinhos confiáveis chamados de nós verificadores.
Os autores definem três conceitos que serão utilizados pelo sistema DMV (Detection of
Malicious Vehicles):
Comportamento anormal: Significa que os veículos rejeitam ou duplicam pacotes na
rede, com o objetivo de enganar outros veículos ou rejeitar mensagens importantes
para obter algum proveito pessoal.
Veículos honestos: É um veículo que tem um comportamento normal, na qual
encaminha ou gera mensagens corretamente.
Veículo malicioso: Se um comportamento anormal de um veículo é repetido diversas
vezes, ou seja, Td do veículo é maior que um threshold mínimo (σ), este será
considerado um veículo malicioso. O parâmetro Td representa o valor de
desconfiança do comportamento do veículo quanto este encaminha mensagens.
No sistema apresentado, um conjunto de veículos está localizado em um agrupamento, e
cada agrupamento possui um líder. Cada veículo possui duas listas: lista branca e lista negra. Os
68
veículos que compõem a lista branca são aqueles cujos valores de desconfiança (Td) são inferiores
ao threshold mínimo. Por outro lado, a lista negra contém os veículos na qual seu valor de
desconfiança (Td) são mais elevados que o threshold mínimo. Cada veículo, ao entrar na rede pela
primeira vez, tem seu valor de desconfiança igual a um (valor igual para todos os veículos) e está
presente na lista branca.
Como pode ser observado na Figura 10, caso um nó verificador observe um comportamento
anormal de um veículo, este reporta isto para sua autoridade certificadora (CA) para que esta
aumente o valor de desconfiança do veículo. Um nó é considerado malicioso caso seu valor de
desconfiança seja superior a um thresold mínimo (σ).
Cada Autoridade Certificadora (CA) é uma terceira parte confiável que gerencia as
identidades, chaves criptográficas e credenciais dos veículos dentro de sua região, transmite sua
lista negra periodicamente a todos os líderes de agrupamentos e, em seguida, estes as transmitem
para todos os veículos localizados dentro do agrupamento. Veículos pertencentes a lista negra são
isolados da rede, desta forma outros veículos não aceitam mensagens vindas destes.
O líder de agrupamento é escolhido entre aqueles que têm o menor valor de desconfiança
(Td), sendo este substituído quanto apresentar comportamentos anormais, ou quando outro veículo
possuir o valor de desconfiança (Td) menor após atualização.
O cenário da simulação deste sistema é focado para rodovias possuindo uma extensão de
dois mil e quinhentos metros, sendo que a sua densidade varia de 50 a 200 veículos. Os autores
consideram, na simulação, que os nós maliciosos podem descartar ou duplicar pacotes na rede,
sendo que diferentes taxas de veículos maliciosos foram avaliadas (10%, 15%, 20% e 50%).
A métrica utilizada neste sistema foi à verificação de sua eficácia em detectar a presença de
nós maliciosos na rede em diferentes densidades de veículos maliciosos. Os resultados dos
experimentos demonstram que com a presença maior de veículos trafegando na rodovia a detecção
de nós maliciosos é mais eficaz, visto que há um aumento de nós verificadores e o valor de
desconfiança sobre o veículo malicioso tende a subir mais rápido e, consequentemente sua detecção
ocorre mais cedo.
69
3.7 LI ET AL. (2012)
Li et al. (2012) propõem um sistema de reputação para redes veiculares que permite avaliar a
confiabilidade da mensagem recebida. A confiabilidade da mensagem é avaliada de acordo com a
reputação do veículo que gerou esta mensagem, sendo esta representada por uma pontuação
numérica.
O sistema é composto por três entidades: servidor de reputação, access-point e veículos. A
seguir tem-se uma breve descrição destas entidades:
Veículo V
Obter Chave do Agrupamento
Alocar verificadores para o Veículo V
Monitorar o comportamento do Veículo V
Detectou
Comportamento
Anormal?
Reportar para o Líder
Modificar o valor de desconfiança (Td) para o Líder
Td ≤ σ Atualizar Lista Branca
Enviar mensagem de alerta para os membros e
criptografar a mensagem para sua CA através do Líder
Atualizar Lista Negra
Isolar o Nó Malicioso
Sim
Não
Não
Figura 10. Processo de monitoramento dos veículos
Fonte: Daeinabi e Ghaffarpour (2011)
70
Servidor de Reputação: É um servidor centralizado na qual assume a premissa de que
este é confiável. Uma das finalidades deste servidor é armazenar a reputação dos
veículos, isto inclui a coleta de relato de experiências para produzir a reputação, e a
propagação desta reputação na rede. Segundo os autores, a arquitetura centralizada
tem algumas vantagens em relação a arquitetura descentralizada, como por exemplo,
a facilidade de gerenciar, controlar e manter a segurança.
Access-point: São dispositivos de comunicação entre os veículos e o servidor de
reputação. Segundo os autores não é necessário a comunicação entre os veículos e o
servidor de reputação o tempo todo. A localização destes fica em locais
frequentemente visitados pelos veículos, como posto de combustíveis e semáforos.
Veículos: São os usuários finais do sistema, nos quais recebem e transmitem
mensagens para seus vizinhos. O sistema assume que não há confiança prévia entre
os veículos, somente após receber uma mensagem o veículo irá avaliar a
confiabilidade desta para posteriormente tomar uma decisão. Existe também neste
trabalho a premissa de que o hardware é confiável de modo que qualquer informação
não pode ser acessada por qualquer outro veículo, inclusive o próprio.
O sistema utiliza um algoritmo no qual consulta o servidor de reputação para calcular a
reputação global de cada veículo, usando uma média ponderada. A reputação de um veículo é
formada, propagada e atualizada através das seguintes fases:
Recuperação do certificado de reputação: Nesta fase, o veículo envia sua
identificação (IDv) para o servidor de reputação e este gera e envia um certificado de
reputação para o veículo que o armazena localmente.
Mensagem de broadcast: Mensagem gerada pelo veículo e distribuída a seus
vizinhos quando os sensores deste detectam algum evento;
Avaliação de confiabilidade da mensagem: O veículo ao receber a mensagem deve
avalia-la. Uma das formas é verificando se a mensagem foi gerada recentemente.
Caso positivo o veículo é considerado como sendo de boa reputação e a mensagem é
considerada autêntica e esta é armazenada para relatos de feedback futuramente.
Caso contrário o veículo não é considerado com boa reputação e a mensagem não é
considerada autêntica.
71
Relato de experiência: É aquele em que o veículo já teve uma própria experiência e é
capaz de julgar a autenticidade da mensagem (reputação direta) sem consultar o
servidor de reputação.
Atualização da reputação: Nesta fase, o servidor de reputação atualiza o escore do
veículo, utilizando um algoritmo com todas as informações armazenadas
relacionadas ao veículo (reputação global).
Conforme os autores, o sistema é tolerante a falhas, diante a indisponibilidade temporária do
servidor de reputação, visto que durante a transmissão de mensagens de broadcast e avaliação de
confiabilidade da mensagem, o servidor de reputação não precisa ser consultado. Somente para a
recuperação do certificado de reputação é necessário o acesso ao servidor de reputação, o que não
impede o funcionamento do sistema, pois os veículos poderão usar a reputação armazenada
localmente e posteriormente atualizá-la quando da disponibilidade do servidor.
Um possível problema neste sistema de reputação diz respeito ao processamento devido ao
número de requisições simultâneas ao servidor de reputação. Por ser uma solução centralizada, esta
não se mostra adequada para redes veiculares de larga escala como as que podem ser constituídas
em rodovias.
O cenário da simulação deste trabalho foi desenvolvido para área urbana, possuindo uma
extensão de dez quilômetros quadrados, sendo seu tempo de simulação definido em trinta minutos,
e a densidade variando de 100 a 500 veículos. A avaliação deste trabalho foi realizada por meio de
simulações, na qual a métrica utilizada para a avaliação do desempenho foi a robustez do sistema
em relação aos ataques na rede referentes a mensagens falsas e manipulação de reputação.
Os resultados avaliados sobre o desempenho do sistema levaram em consideração a taxa de
mensagens falsas descartadas, a indisponibilidade temporária do servidor de reputação e a
indisponibilidade temporária dos access points. Os resultados demonstram que as taxas de
mensagens falsas diminuem quando há um aumento do número de access points na rede, visto que
os veículos tende a obter o certificado de reputação com mais frequência a partir do servidor de
reputação. Os resultados também demonstram quando da indisponibilidade do servidor de reputação
ou dos access points que estes não influenciam, deste que este tempo seja inferior a doze minutos,
pois segundo os autores, após este período de indisponibilidade os valores de reputação podem
influenciar em decisões errôneas.
72
3.8 DISCUSSÃO DOS TRABALHOS RELACIONADOS
De acordo com o estudo realizado nesta seção acerca dos trabalhos relacionados, alguns
aspectos comparativos foram destacados conforme pode ser observado no Quadro 3. A comparação
foi feita considerando as seguintes características: (1) se as informações consultadas para o cálculo
da reputação estão armazenadas em uma base centralizada, descentralizada ou local; (2) se o
sistema trata do problema de nós maliciosos que propagam mensagens falsas na rede; (3) como o
sistema pode ser classificado − otimista (nós desconhecidos são confiáveis) ou pessimista (nós
desconhecidos são não confiáveis) e global (os nós utilizam de informações dos outros nós da rede
da rede para calcular a reputação) ou local (somente as observações locais dos nós são consideradas,
logo não utilizam reputação indireta); e (4) qual reputação é calculada pelo sistema (reputação dos
nós ou reputação das mensagens) e as técnicas utilizadas para obter a reputação e propagá-la pela
rede veicular.
Na maioria dos trabalhos analisados, a consulta à base de reputação é descentralizada, ou
seja, não existe uma unidade central que mantém a reputação dos nós. Em Li et al. (2012) e
Daeinabi e Ghaffarpour (2011), a base de reputação é centralizada (servidores de reputação mantém
as informações de reputação e são responsáveis por propagá-las na rede) e em Wang e Chigan
(2007) a base usada é local, ou seja, cada nó da rede mantém históricos de avaliações geradas a
partir de suas experiências com os outros nós.
Em relação ao tratamento do problema de nós maliciosos que propagam mensagens falsas na
rede, apenas dois trabalhos não tratam deste problema, Wang e Chigan (2007) avaliam apenas a
integridade das mensagens propagadas e Daeinabi e Ghaffarpour (2011) consideram maliciosos
apenas nós que rejeitam ou duplicam pacotes recebidos.
Tratando-se da classificação do sistema de reputação, em sua maioria, os trabalhos utilizam
uma abordagem otimista global, cuja característica é assumir que os nós desconhecidos são
confiáveis até que se prove o contrário e utilizam informações dos outro nós da rede para calcular a
reputação (global). Somente em Wang e Chigan (2007) e Daeinabi e Ghaffarpour (2011) a
abordagem é otimista local, no qual somente as informações locais dos nós são consideradas, logo
não utilizam reputação indireta.
Em relação ao foco do sistema de reputação, estes podem tratar da reputação do nó (Wang e
Chigan (2007), Paula et al. (2007), Daeinabi e Ghaffarpour (2011) e Li et al. (2012)) ou das
73
mensagens (Dotzer et al. (2005), Ostermaier et al. (2007) e Lo e Tsai (2010)). Dotzer et al. (2005)
estabelecem uma relação de confiança individual em seu sistema de reputação para o cálculo da
reputação das mensagens. O trabalho de Ostermaier, Dotzer e Strassberger (2007) computa a
reputação das mensagens através de um sistema baseado em votos. Votos estes utilizados para
tomadas de decisão em quem confiar. Lo e Tsai (2010) faz uso de média ponderada em seu sistema
de reputação para o cálculo da reputação global das mensagens.
Quadro 3. Comparativo dos trabalhos relacionados
Sistema de
Reputação
Base de
Informação
Consultada
Nós
Malicio
sos
Abordagem Sistema de
Reputação
Aplicação
LDW
VARS (Dotzer et
al. 2005) Descentralizada Sim
Indefinida e
Global
Mensagem,
Reputações direta,
indireta e global
Sim
Ostermaier (et al.
2007) Descentralizada Sim
Otimista e
Local
Mensagem, Sistema
de Votação Sim
DTT (Wang e
Chigan 2007) Local Não
Otimista e
Local
Nós, Reputação
Instantânea Não
RMDTV (Paula et
al. 2007) Descentralizada Sim
Otimista e
Global
Nós, Qualificações
das mensagens (por
terceiros)
Sim
ERS (Lo e Tsai
2010) Descentralizada Sim
Pessimista2 e
Global
Mensagem, Média
Ponderada para
reputação Global
Sim
DMV (Daeinabi e
Ghaffarpour,
2011)
Centralizada3 Não
Otimista e
Local
Nós, Avaliação do
comportamento dos
nós por terceiros e
Lista Negra e Branca
Não
Li et al. (2012) Centralizada Sim Indefinida e
Global
Nós, Média
Ponderada para
reputação Global
Não
Sistema Proposto Descentralizada Sim Otimista e
Global
Nós, Métodos
Estatísticos, Sistema
de Votação, Lista de
Reputação
Sim
Wang e Chigan (2007) utilizam reputação instantânea, ou seja, em tempo de execução em
seu sistema de reputação de nós. Paula et al. (2007) utiliza a qualificação das mensagens emitidas
por terceiros para atestar a confiabilidade dos nós. Daeinabi e Ghaffarpour (2011), em seu sistema
2 O quão pessimista é dependerá do valor do limite de reputação definido na configuração do sistema.
3 Centralizada no líder do agrupamento.
74
de reputação avalia o comportamento do nó através da consulta a outros nós na rede. E, Li et al.
(2012) avalia a confiabilidade da mensagem em seu sistema, de acordo com o nó que a gerou.
3.9 CONSIDERAÇÕES DO CAPÍTULO
Reputação e confiança podem ser utilizados na concepção de mecanismos que possam
fornecer serviços de forma segura. Em redes veiculares, devido ao seu dinamismo, podem existir
veículos que nunca interagiram previamente, a utilização destes mecanismos pode fornecer uma
avaliação preliminar de ações que podem ser executadas de forma mais segura e confiável, evitando
desta maneira ataques de nós maliciosos.
Sendo assim, compreender os sistemas de reputação existentes, bem como avalia-los e
compará-los é um passo importante para a construção de novos modelos. Este capítulo apresentou
os trabalhos encontrados a partir de uma revisão sistemática da literatura e referenciados por
diversos autores que empregam sistemas de reputação para as redes ad hoc móveis. Os trabalhos
aqui estudados e descritos serviram de embasamento para o desenvolvimento do sistema de
reputação proposto. O Quadro 3 apresenta as características do sistema proposto que estão
detalhadamente descritas no próximo capítulo.
75
4 SISTEMA DE REPUTAÇÃO PROPOSTO
Conforme Dotzer et al. (2005), o uso das redes veiculares visa aumentar a segurança do
tráfego e melhorar consideravelmente a mobilidade entre os veículos, sendo um dos principais
desafios a transmissão de mensagens entre os nós de forma que a informação possa ser confiável. O
sistema de reputação proposto tem como objetivo identificar a ação de nós maliciosos na rede,
descartar suas mensagens e com isso aumentar a confiabilidade das mensagens recebidas entre os
nós que interagem na Aplicação RAMS+.
O objetivo geral deste trabalho é o desenvolvimento de um sistema de reputação
descentralizado em redes veiculares ad hoc (VANETs) para avaliar o nível de confiança dos nós
desta rede.
Este capítulo descreve o Sistema de Reputação proposto neste trabalho e está organizado da
seguinte forma. A Seção 4.1 apresenta a visão geral e as premissas para a especificação do sistema.
Em seguida, a Seção 4.2, apresenta a descrição da aplicação de alerta de perigo local proposta neste
trabalho chamada RAMS+, bem como os tipos de mensagens disseminadas pela rede e seus
algoritmos. Na Seção 4.3 a integração do sistema de reputação com a aplicação RAMS+ é
apresentada. Na Seção 4.4 uma análise das vulnerabilidades da aplicação é apresentada. E, por fim,
são tecidas as considerações finais do capítulo.
4.1 VISÃO GERAL E PREMISSAS
Com o uso do sistema de reputação proposto é possível identificar a presença de nós
maliciosos na rede e descartar seus alertas, uma que vez que o comportamento inadequado destes
nós podem comprometer a segurança das redes veiculares. Neste sistema, as unidades de bordo dos
veículos e as unidades de acostamento não precisam estar ligadas a um ponto central responsável
por avaliar a confiança dos nós e por conter a base de reputação dos nós participantes. Para avaliar o
sistema proposto, este foi integrado a uma aplicação de alerta de perigo local (LDW − Local
Danger Warning), chamada RAMS+. Os possíveis impactos do uso deste sistema em relação à
confiabilidade na entrega dos alertas, ao número de colisões, aos atrasos no recebimento de alertas e
ao custo computacional para o cálculo da reputação foram avaliados através de experimentos
simulados.
76
Diante do recebimento de uma mensagem de alerta em uma rodovia, cada veículo, de acordo
com a distância que este estiver do local da ocorrência (região geográfica da aplicação LDW), deve
utilizar o sistema de reputação para avaliar o nível de confiança no veículo que gerou o alerta. De
acordo com Yu et al. (2004), sistemas de reputação descentralizados são mecanismos que permitem
que um dado veículo possa avaliar comportamentos alheios sem a necessidade de acesso a uma
entidade centralizada (terceira-parte). O uso de uma terceira parte é de fato muito mais simples do
que a abordagem de se calcular periodicamente reputações. Porém, com as informações sobre o
comportamento dos veículos armazenadas de forma distribuída, a disponibilidade deste conteúdo,
altamente dinâmico, é garantida.
O sistema de reputação proposto faz uso de uma estratégia investigativa, ou seja, a reputação
do nó é avaliada consultando outros nós participantes da rede, e faz uso também de uma estratégia
otimista na qual os nós têm reputação boa até que se prove o contrário.
Considera-se que cada veículo tem sua identidade definida de forma única na rede, tal
identificação será baseada na placa do veículo. Os veículos participantes da rede possuem
componentes que possibilitem a comunicação e a execução dos aplicativos tais como, sensores,
unidades de armazenamento, unidade de comunicação sem fio, sistema de posicionamento (GPS) e
uma interface com o usuário para mostrar ao condutor os alertas e a localização dos eventos
relatados. Considera-se ainda que, os eventos podem ser sempre detectados pelos sensores presentes
nos veículos e que o GPS proporciona uma precisão suficiente para detectar em qual local da
rodovia encontra-se o veículo. O funcionamento dos sensores e a tecnologia empregada estão fora
do escopo deste trabalho.
A rede veicular é composta por veículos e unidades de acostamento (RSUs). As RSUs (Road
Side Unit) são equipamentos localizados às margens da rodovia (estacionários) que servem como
nós intermediários para a troca de informações com os veículos.
Cada veículo possui uma base de conhecimento individual (BCI), baseado no modelo
proposto em Mello (2009), que contém informações sobre as interações passadas que este veículo
teve com outros veículos. A BCI armazena as experiências passadas mais recentes e é utilizada para
o cálculo da reputação direta. O sistema de reputação proposto faz uso ainda do cálculo da
reputação agregada (indireta), definida a partir de informações de terceiros, já que muitas vezes é
necessária a descoberta da reputação de um veículo no qual não houve interação direta. A Seção 4.3
77
descreve como e quando o sistema de reputação é utilizado por um veículo em uma aplicação LDW
e a Seção 4.3.4 descreve em detalhes como os cálculos da reputação direta e agregada são
realizados.
Na solução proposta, outra informação que pode auxiliar a tomada de decisão de um veículo
que recebeu uma mensagem de alerta e que precisa decidir se confia ou não no emissor deste alerta,
é uma lista de reputação (LR) propagada pelas unidades de acostamentos (RSUs). Cada unidade de
acostamento define esta lista tendo como base as experiências individuais (BCI) dos veículos que
passam por esta.
4.2 DESCRIÇÃO DA APLICAÇÃO LDW (RAMS+)
Conforme descrito na Seção 2.3, em uma Aplicação de Alerta de Perigo Local (LDW)
eventos de risco detectados pelos sensores dos veículos geram mensagens de aviso que são
disseminadas pela rede (em broadcast). A cada evento detectado é gerada uma mensagem de alerta
e esta é divulgada dentro de uma determinada área. Cada receptor encaminha os alertas recebidos,
aumentando assim o alcance deste aviso. A referência geográfica tem um papel importante em
aplicações LDW, visto que alertas de perigo local podem ser totalmente irrelevantes para veículos
que trafegam em sentido oposto em uma rodovia, por exemplo.
A aplicação LDW a ser utilizada neste trabalho está baseada no sistema RAMS
desenvolvido por Oliveira (2010) e aprimorado por Rodrigues (2011) e se chamará RAMS+ (Road
Alert Message Service - plus). Diferente da proposta de Oliveira, na qual o sistema é composto por
duas aplicações (RAMS Manager e RAMS Mobile), este trabalho não possui a aplicação RAMS
Manager operada por um ser humano, que no referido trabalho é responsável por gerar os alertas e
envia-los por meio de difusão para os veículos. No presente trabalho, os próprios sensores do
veículo são responsáveis pela detecção automática dos perigos nas rodovias (experiência do
veículo). A aplicação RAMS+ recebe a sinalização dos eventos pelos sensores, gera as mensagens
de alerta e as envia em broadcast. A RAMS+ é um aprimoramento da aplicação RAMS descrita em
Rodrigues (2011), para que esta assuma as características de uma aplicação LDW.
O sistema de reputação proposto baseia-se nas três regiões geográficas semelhante ao que
acontece nas aplicações LDW (OSTERMAIER, DOTZER; STRASSBERGER 2007), conforme
ilustrado na Figura 11. Estas regiões são:
78
Área de Reconhecimento: é a área mais próxima do evento (interna) especificando
desta maneira a área na qual o perigo pode ser detectado pelos sensores dos veículos.
Apenas os veículos dentro desta área são realmente capazes de detectar a presença ou
ausência de um perigo e criar a mensagem de alerta, conforme descrito na Seção
4.2.1;
Área de Decisão: é a área intermediária do evento. Nesta área, o veículo determina se
alguma ação deve ser tomada a respeito dos alertas recebidos, baseado na reputação
do veículo que originou a mensagem, conforme o diagrama de atividades da Figura
15, descrita na Seção 4.4.
Área de Disseminação: é a área mais longe do evento (externa). É nesta área que os
veículos realizam o processo de coleta e repasse das informações recebidas sobre o
evento. Nesta área o sistema de reputação também é utilizado para que mensagens de
nós maliciosos não sejam reenviadas pela rodovia.
Figura 11. Definições das áreas LDW
Na próxima seção, são apresentadas as especificações das mensagens trocadas pela
aplicação RAMS+ instalada nos veículos.
4.2.1 Mensagem de Alerta
Toda vez que um veículo entra na área de reconhecimento de um evento, a aplicação
RAMS+ gera e distribui pela rede, em modo de difusão (broadcast), uma mensagem de alerta,
chamada MenAlert, informando o perigo (e.g. a presença de óleo na pista). Os veículos localizados
79
na área de decisão recebem esta mensagem e avaliam, conforme a reputação do veículo que gerou a
mensagem se confia ou não neste veículo, e se apresentam ou não a mensagem para o condutor.
Na região geográfica de disseminação, as mensagens de alertas emitadas por veículos
avaliados como confiáveis são reenviadas pela rede até que esta atinja um tempo limite (threshold),
cuja finalidade é indicar que se tratam de mensagens criadas recentemente.
A mensagem de alerta é composta pela tupla: < IdMsg, IdV, TA, CLong, CLat, TimeStamp
Sign e Type >, conforme apresentados na Figura 12 e descritos a seguir:
Figura 12. Estrutura da mensagem MenAlert
Fonte: Rodrigues (2011)
IdMsg: Identificador único da mensagem gerado através de uma função hash,
fornecendo como saída uma sequência de 16 bits. Semelhante a Rodrigues (2011),
este identificador é gerado através de uma função hash do algoritmo SHA 1 (Secure
Hash Algorithm)4 utilizando como dados de entrada os campos IdV, TA, CLong,
CLat e timestamp da mensagem, fornecendo como saída uma sequência de 16 bits;
IdV: Representa a placa do veículo que gerou o alerta (origem).
TA (Tipo de Alerta): Armazena o código referente ao tipo de alerta a ser emitido,
com um tamanho de 10 bits. Os tipos de alertas dependerão dos tipos de sensores
instalados no veículo e estão fora do escopo deste trabalho.
CLong: Armazena a coordenada de longitude do local no qual ocorreu o evento.
CLat: Armazena a coordenada de latitude do local no qual ocorreu o evento.
4 O SHA 1 é o algoritmo utilizado todas as vezes que uma função de hash é utilizada na solução proposta.
TimeStamp Type Sign CLat CLong TA IdV IdMsg
16 bits 64 bits 10 bits 64 bits 64 bits 32 bits 32 bits 8 bits
80
TimeStamp: Armazena a data e hora na qual o sensor detectou o evento. Possui o
tamanho de 32 bits. O campo timestamp deve ser verificado no recebimento da
mensagem de alerta, sendo utilizado como meio para garantir que a mensagem de
alerta foi recentemente criada (freshness). Desta forma, é possível evitar que
mensagens antigas que não refletem mais a situação atual da rodovia sejam
retransmitidas.
Sign: Assinatura digital do alerta. Os dados protegidos pela assinatura digital serão
os valores armazenados nos campos IdV, TA, CLong, CLat e timestamp da
mensagem. A assinatura digital das mensagens é realizada através do algoritmo DSA
(Digital Signature Algorithm) e sua saída é representada por um valor hexadecimal.
Type: Define o tipo de mensagem enviada pela aplicação e/ou sistema de reputação,
fornecendo como saída uma sequência de 8 bits. O valor 1 neste campo indica que
trata-se de uma mensagem de alerta (MenAlert).
Como pode ser observado no Algoritmo 1, o qual apresenta os passos para a criação e
disseminação da mensagem de alerta (MenAlert) na rede, se o sensor localizado no veículo detectar
algum evento () linha 6, a aplicação RAMS+ irá obter as coordenadas do GPS e o tipo de alerta
emitido, conforme demonstrados nas linhas (7 a 9). Caso o evento detectado seja um evento ainda
não reportado (linha 17), a aplicação irá obter a data e hora (linha 18), criará um ID único da
mensagem (linha 19) e, em seguida irá assiná-lo digitalmente (linha 20). Por fim, será gerada a
mensagem MenAlert (linha 21), a qual será repassada aos vizinhos (linha 22) que estão no seu raio
de cobertura para alertá-los sobre o perigo relatado. No caso de um evento já reportado (linha 23), a
aplicação RAMS+ irá validar o alerta (linha 25). Este processo será descrito em detalhes na Seção
4.3.3. A Figura 13 ilustra o diagrama de atividades deste algoritmo.
81
Algoritmo 1. Criação da Mensagem de Alerta MenAlert
Criar MenAlertNão
Enviar MenAlert
Verificar se já foi
reportado
i detectou e
Validar AlertaSim
Figura 13. Mensagem de alerta – MenAlert
82
4.2.2 Mensagem de Revogação de Alerta
Mensagens de revogação de alertas, chamada MenRevog, são geradas apenas pelos veículos
que fazem a manutenção da rodovia e são disseminadas pela rede em modo de broadcast. Esta
mensagem tem como objetivo informar aos veículos que receberam uma mensagem de alerta
(MenAlert) que este evento/perigo já foi revogado, ou seja, o evento realmente ocorreu porém já
não existe mais, como por exemplo uma colisão entre dois veículos que já foram retirados por um
guincho da concessionária da rodovia. Estas mensagens devem ser reenviadas para que um número
maior de nós as recebam, de forma semelhante ao que ocorre na MenAlert, enquanto o veículo
estiver na área de disseminação.
Um veículo ao receber uma mensagem de revogação (MenRevog), deve retirar de sua base a
mensagem MenAlert recebida. A mensagem MenRevog é compostas pela tupla: < IdMsg,
TimeStamp, Sign e Type > conforme ilustrado na Figura 14, e descritas a seguir:
Figura 14. Estrutura da mensagem de MenRevog
IdMsg: Identificador único da mensagem gerado no processo de criação da
MenAlert, através de uma função hash, que fornece como saída uma sequência de 16
bits.
TimeStamp: Armazena a data e hora na qual a mensagem de revogação foi gerada.
Possui o tamanho de 32 bits.
Sign: Assinatura digital da mensagem MenRevog. Os dados protegidos pela
assinatura digital serão os valores armazenados nos campos IdMsg e TimeStamp. A
saída é representada por um valor hexadecimal;
Type: Define o tipo de mensagem enviada pela aplicação e/ou sistema de reputação,
fornecendo como saída uma sequência de 8 bits. O valor definido como 2 neste campo
indica que trata-se de uma mensagem de revogação de alerta (MenRevog).
O Algoritmo 2 apresenta os passos executados para criação da mensagem de revogação
(MenRevog).
TimeStamp Sign Type IdMsg
16 bits 32 bits 32 bits 8 bits
83
Algoritmo 2. Criação da Revogação de Alertas MenRevog
Este algoritmo é executado somente pelos veículos que fazem a manutenção na rodovia ℓ
(linha 3). Primeiramente, verifica-se no local do evento se trata de um evento válido (linha 5), caso
afirmativo os parâmetros de identificação da mensagem, data e hora (linha 9) serão assinados
digitalmente (linha 10), com o objetivo dos receptores verificarem a autenticidade e integridade
desta mensagem. Por fim, uma mensagem de revogação (MenRevog) será criada (linha 11) e
disseminada pela rede (linha 12). A MenRevog, conforme descrito anteriormente, tem por finalidade
informar aos veículos que um evento/perigo ocorrido já não existe mais.
4.3 INTEGRAÇÃO DO SISTEMA DE REPUTAÇÃO À APLICAÇÃO
RAMS+
O diagrama de atividades ilustrado na Figura 15 descreve quais os passos devem ser
executados na área de decisão e na área de disseminação para que o veículo avalie o nível de
confiança de quem gerou o alerta, a partir do cálculo da reputação, e defina as ações que serão
tomadas. As atividades executadas pela aplicação RAMS+ com o sistema de reputação integrado
após o recebimento de uma mensagem de alerta (MenAlert) são:
84
1
Obter ID Mensagem
Mensagem
Nova
Criado há um
tempo>Tht
Não
3
Obter ID Emissor do
Alerta
Não
4
Consulta LR
Rep < ThRep
2
Obter o TimeStamp
Sim
Não
5
Calcular a distância do
evento
Dist <= Thp
7
Mostrar o Alerta
8
Repassar o Alerta
Fim
Sim
6
Calcular a Reputação do
Emissor
Não
Descartar a Mensagem
Sim
Sim
Rep < ThRepSim
Rep>ThRep
e Dist<Rdec
Não
Sim
9
Monitorar AlertaNão
Mensagem de Alerta
Recebido
Fim
Figura 15. Diagrama de Atividades - Tomada de decisão
85
1. Obter Id da Mensagem: obter o Id da mensagem de alerta recebido. Caso a
mensagem encontra-se na lista de mensagens já recebidas esta é descartada. Caso
contrário, constata-se que se trata de uma nova mensagem;
2. Verificar Timestamp: verificar a data e hora que a mensagem recebida foi criada.
Desta maneira, é possível evitar que mensagens antigas, que não refletem mais a
situação atual da rodovia sejam mostradas para o condutor. Caso este valor
ultrapasse um limiar (Tht) que indica que a mensagem é recente, esta é então
descartada;
3. Obter ID Emissor do Alerta: obter da mensagem de alerta a identificação do veículo
que criou a mensagem de alerta;
4. Consulta LR: após identificar o emissor do alerta, o veículo irá consultar a lista de
reputação (LR), recebida das unidades de acostamento (RSUs), para avaliar a
confiança no emissor. Se o veículo possuir uma reputação maior do que um limiar de
reputação (ThRep) parametrizável pela aplicação, por exemplo, 0,5, este emissor é
avaliado como confiável. Caso contrário, reputação menor do que o limiar, este
emissor é avaliado como não confiável, logo a aplicação deve descartar a mensagem.
5. Calcular a distância do evento: baseado nos campos das coordenadas (CLong, CLat)
que indicam a localização do evento detectado, deve-se calcular a distância
euclidiana entre o recebimento da mensagem e o local do acidente, obtida através da
Equação (1). Caso esta distância seja inferior ao limiar de proximidade (Thp) (p. ex.
50 metros) a mensagem será mostrada ao condutor e o veículo irá reenviar a
mensagem de alerta na rede. Estas ações também são tomadas quando o emissor não
estiver na LR, pois o sistema de reputação segue uma estratégia otimista, na qual
assume que os veículos desconhecidos são confiáveis até que se prove o contrário.
6. Calcular a reputação do emissor: caso a distância seja maior que o limiar de
proximidade, a aplicação irá calcular a reputação global do emissor do alerta
conforme a Equação (4) descrita na Seção 4.3.4. Se o resultado da reputação for
maior que o limiar de reputação (ThRep) e a distância for menor que 300 metros, o
emissor é avaliado como confiável e o alerta é mostrado (atividade 7). E caso a
86
reputação for maior que o limiar de reputação e a distância for maior que 300 metros,
o veículo irá repassar o alerta (atividade 8) e irá monitorar até a entrada do veículo na
área de decisão (atividade 9).
7. Mostrar o Alerta: será disponibilizada a mensagem de alerta para a visualização do
condutor indicando o local da ocorrência.
8. Repassar Alerta: A aplicação irá repassar o alerta para os veículos que estão no seu
raio de alcance (vizinhos).
9. Monitorar Alerta: Quando o emissor for avaliado como confiável e a distância do
veículo estiver fora da área de decisão, um novo processo é criado com a finalidade
de monitorar a entrada do veículo na área de decisão, para que o alerta seja
posteriormente mostrado ao condutor quando este entrar na área de decisão. Detalhes
deste processo serão descritos na Seção 4.3.2.
Quanto um veículo está a uma distância menor que o limiar de proximidade (100 metros) do
evento/perigo, a razão de se utilizar somente a lista de reputação (LR) para avaliar a confiança do
emissor da mensagem de alerta e tomar a decisão de mostrar ou não a mensagem ao condutor, deve-
se ao fato do veículo estar muito próximo ao evento/perigo e da probabilidade de não haver tempo
hábil para a realização da consulta aos outros veículos, ou seja, realizar os cálculos da reputação
direta e agregada.
A fim de calcular a distância entre o local do acidente e o veículo que está recebendo o alerta
(atividade 5 da Figura 15), foi utilizada a equação da distância euclidiana bidimensional, que leva
em consideração as coordenadas X e Y de cada veículo, conforme apresentado na Equação 1.
(1)
Sendo:
P1x: coordenada Clong do local em que o evento ocorreu;
P2x: coordenada Clong do veículo que está recebendo o alerta;
P1y coordenada Clat do local em que o evento ocorreu; e
P2y coordenada Clat do veículo que está recebendo o alerta.
87
O Algoritmo 3 apresenta os passos executados pela aplicação ao receber uma mensagem de
alerta (MenAlert) conforme descrito anteriormente.
Algoritmo 3. Tomada de Decisão ao Receber um MenAlert
88
4.3.1 Base de Conhecimento Individual
Conforme descrito na Seção 4.1, cada veículo registra e mantém um histórico em sua base
de conhecimento individual (BCI) com os resultados (eventos recebidos) das interações que teve
diretamente com os outros veículos, contabilizando o número de vezes que esses foram confirmados
ou não. Para fins de ilustração, a Figura 16 apresenta as experiências que um determinado veículo
(A) possui em relação a outros veículos (C, B e E).
Figura 16. Base de Conhecimento Individual do Veículo A
A base de conhecimento individual (BCI) é utilizada para que o veículo possa calcular a
reputação direta que este possui em relação às interações passadas com outros veículos. A BCI é
utilizada também pelas unidades de acostamento (RSUs) para construir uma lista de reputação que
será descrita em detalhes na Seção 4.3.5.
Cabe salientar, que o número máximo de interações armazenadas no histórico da BCI serão
as últimas 10 interações com cada nó. O número de 10 interações tem como objetivo manter a BCI
somente com avaliações mais recentes, permitindo que um veículo que mude de comportamento,
por exemplo, passando a agir de forma maliciosa, possa ser detectado mais rapidamente.
4.3.2 Processo Monitorar Alerta
Ao receber uma mensagem de alerta (MenAlert) e ao observar que o veículo encontra-se fora
da área de decisão (está na área de disseminação conforme ilustrado na Figura 17 (t)), a aplicação
RAMS+ irá monitorar o deslocamento do veículo até que este entre na área de decisão (Figura 17
(t+1)) para que então o alerta seja mostrado ao condutor. Além desta finalidade, o processo
monitorar alerta é responsável também por validar a ocorrência dos eventos (Função Validar
89
Alerta), que será descrita em maiores detalhes na Seção 4.3.3, ou quando o veículo chegar ao local
do evento relatado.
Figura 17. Alerta Recebido na Área de Disseminação (t) Alerta Mostrado ao Condutor (t+1)
O Algoritmo 4 demonstra os passos do processo de MONITORAR ALERTA:
Algoritmo 4: Processo Monitorar Alerta
Conforme o Algoritmo 4 a aplicação irá obter a localização atual do veículo, usando para
isso as coordenadas do GPS (linhas 10 e 11) juntamente com o cálculo da distância (linha 12)
90
obtido através da Equação 1 descrita anteriormente. Quando o veículo entrar na área de decisão e o
condutor não tiver ainda sido notificado sobre o alerta (linha 13), a mensagem MenAlert será
mostrada ao condutor (linha 14). Este processo irá se repetir até que o veículo chegue ao local do
evento (linha 16).
4.3.3 Função Validar Alerta
Esta função é responsável por validar a ocorrência dos eventos, para isto é utilizada a
Mensagem de Validação de Alerta chamada de MenValid, na qual um veículo, ao passar pelo local
do evento relatado em uma mensagem MenAlert, deve através de seus sensores, verificar a real
existência do evento para então enviar a mensagem MenValid aos demais veículos, confirmando ou
não este evento. Esta mensagem é criada pelo veículo que recebeu um alerta e que está executando
o processo Monitorar Alerta citado anteriormente, ou quando a aplicação RAMS+ é informada pelo
sensor do veículo o evento detectado (ver Algoritmo 1).
O acréscimo desta nova mensagem na aplicação RAMS+ visa atestar a confiabilidade das
mensagens de alertas recebidas entre os veículos e, consequentemente, esta mensagem de controle
servirá para identificação de eventos relatados por nós maliciosos.
A mensagem MenValid é compostas pela tupla: < IdMsg, TA, Validação, Sign e Type>,
conforme ilustrado na Figura 18 e descrita a seguir:
IdMsg: Identificador único da mensagem gerado na criação da mensagem MenAlert
através de uma função hash, fornecendo como saída uma sequência de 16 bits;
TA (Tipo de Alerta): Armazena o código referente ao tipo de alerta a ser emitido,
com um tamanho de 10 bits.
Validação: campo de 1 bit que assume o valor 0 (zero) quando o sensor do veículo
não detectar o perigo ao passar pelo local, indicando um Nack (Negative
Acknowledgement), ou o valor 1 (um) quando o sensor detectar o perigo ao passar
pelo local, indicando um Ack (Acknowledgement).
Sign: Assinatura digital da mensagem MenValid. Os dados protegidos pela assinatura
digital serão os valores armazenados nos campos IDMsg, TA e Validação.
91
Type: Define o tipo de mensagem enviada pela aplicação e/ou sistema de reputação,
fornecendo como saída uma sequência de 8 bits. O valor 3 neste campo indica que
trata-se de uma mensagem de validação de alerta (MenValid).
Figura 18. Estrutura da mensagem de MenValid
As Mensagens de Validação de Alerta (MenValid) são armazenas localmente nos veículos
em uma Base de Validação de Alerta, chamada BVA, que tem como função principal armazenar
informações que serão utilizadas por um veículo para avaliar se os eventos relatados foram
comprovados pelos demais veículos. A BVA é composta pelos campos descritos a seguir:
IDV: Representa a placa do veículo que gerou o alerta;
IDMsg: Representa o identificador da mensagem MenAlert;
Acks: Representa o total de veículos que ao passar pelo local do evento (perigo),
seus sensores detectaram o evento relatado pela mensagem MenAlert recebida.
Nacks: Representa o total de veículos que ao passar pelo local do evento (perigo),
não detectaram o evento relatado pela mensagem MenAlert recebida, através de seus
sensores.
Um exemplo da base de validação de alerta pode ser observado na Figura 19
IDV IDMsg Acks Nacks
MCX 1040 02354 8 2
ICX 1348 02567 21 13
ICC 0935 02450 8 19
MCK 1011 02333 16 1
IWK 0971 02121 9 10
Figura 19. Exemplo Base de Validação de Alerta (BVA)
A Base de Validação de Alertas é utilizada também para a atualização da Base de
Conhecimento Individual (BCI). Esta atualização é realizada após o recebimento de mensagens de
controle de validação de alertas (MenValid), descrita anteriormente. O diagrama de atividades
Type Sign Validação TA IdMsg
16 bits 10 bits 1 bit 32 bits 8 bits
32 bits 8 bits
92
ilustrado na Figura 20 apresenta os passos que devem ser executados para que o veículo atualize sua
base de conhecimento individual (BCI).
O veículo ao passar pelo local do evento relatado e atestar, através de seus sensores, a
presença do evento descrito na mensagem de alerta recebida (MenAlert), deve atualizar sua BCI
incrementando o valor de +1, no campo de interações confirmadas do veículo que originou a
mensagem.
Caso o evento não seja detectado pelo sensor do veículo (não confirmado), a aplicação
RAMS+, antes de atualizar a BCI do veículo e punir o emissor do alerta, (incrementando o valor +1
no campo não confirmado), buscará avaliar as opiniões dos outros veículos sobre o alerta recebido
(com base nas mensagens de validação MenValid recebidas), utilizando para isto um sistema de
votação que avalia a confiabilidade do alerta.
Este sistema de votação visa aumentar a segurança das decisões tomadas a respeito da
punição de um veículo, visto que existe a possibilidade do evento relatado na mensagem já não
mais existir quando o veículo passar pelo local da ocorrência e este ainda não ter recebido a
mensagem de revogação do alerta (MenRevog).
Evento
detectado pelo
sensor
Sim
Não
Verifica Sistema de Votação
Res < 0
Não Atualiza Campos no
BCIAtualizar Campo Não
Confirmado BCI (+1)
Atualizar Campo Confirmado
BCI (+1)
Sim
Res >= 0 e
Res < 0,2NãoNão
SimNão
Figura 20. Atualização da BCI
93
Algoritmo 5. Processo Validar Alerta (criação da MenValid)
No Algoritmo 5, o veículo, ao chegar ao local do evento relatado pela mensagem de alerta
MenAlert e confirmar por seus sensores que o evento ocorreu, deve validar esta mensagem (linha
4). O veículo irá atualizar o seu campo confirmados na sua BCI local com o ID do veículo que
gerou o alerta (linha 5) e enviará a mensagem de validação de alerta (MenValid) (linha 6) para
informar aos demais veículos que o evento foi detectado.
Caso o evento não seja detectado (linha 7), a aplicação utilizará o sistema de votação para
avaliar a confiabilidade do alerta, coletando os dados da sua Base de Validação de Alertas (BVA), e
então, tomará uma decisão conforme descrito a seguir:
1. Calcula se o número de confirmações do alerta (ACKs) é maior que o de não
confirmação (NACKs) (linha 8). Caso esta diferença não seja considerável (Resvalida
94
entre 0 e 2), o sistema não irá atualizar a BCI, pois não há evidências para punir ou
promover o veículo que originou o alerta (linhas 10 e 11).
2. Caso comprovado que houve mais mensagens que confirmam a ocorrência do alerta
(Resvalida maior que 0,2), o sistema irá incrementar o campo BCIConfirmados do
veículo que originou o alerta (linha13). Além disso, o sistema enviará uma
mensagem de Validação de Alertas (com o campo Validacao=1) (linha 14).
3. Caso seja identificado mais NACKs que ACKS (Resvalida menor que 0), o sistema irá
punir o veículo que originou o alerta incrementando o campo BCINaoConfirmados
(linha 16) e enviará mensagem de Validação relatando que o evento não ocorreu
(linha 18).
4.3.4 Cálculo da Reputação
Conforme descrito anteriormente, no sistema de reputação proposto, cada veículo possui
uma base de conhecimento individual e faz uso desta para calcular a reputação direta que representa
a visão individual que um veículo i possui a respeito da confiabilidade de outro veículo j, baseada
apenas nas interações passadas entre estes.
Semelhante aos trabalhos de Buchegger e Boudec (2003); Wang e Vassileva (2003); Mello
(2009), optou-se pela utilização de uma análise bayesiana para a realização dos cálculos da
reputação direta na aplicação RAMS+. O fato de que nas redes veiculares os veículos muitas vezes
são desconhecidos e não possuem informação a respeito daquele com quem está interagindo, torna-
se necessário determinar a probabilidade (a posteriori) de honrar as futuras interações baseada no
conhecimento da probabilidade a priori, e esta pode ser obtida de uma função de probabilidade de
uma distribuição beta.
Conforme descrito em Mello (2009), o fato de necessitar somente de dois parâmetros (α e β)
torna a distribuição beta atrativa em sistemas bayesianos para verificar a probabilidade de um
determinado veículo honrar sua negociação.
No sistema proposto, os parâmetros α e β funcionam como registros (confirmados e não
confirmados) do total de interações entre os veículos i e j, registros estes obtidos da base de
conhecimento individual (BCI) e utilizados para o cálculo da reputação direta (RD).
95
De forma semelhante ao que foi proposto em Mello et al. (2009), o sistema de reputação
calcula o valor esperado (VE) da função de probabilidade (distribuição beta), chamado neste
trabalho de reputação direta (RD), para verificar a probabilidade de um determinado veículo honrar
sua interação com outro veículo, conforme a Equação (2).
(2)
Sendo RD(i,j), o valor da reputação direta do veículo i em honrar a interação em relação ao
veículo j, tem-se que α representa o total de confirmados + 1e β representa o total de não
confirmados + 1 das interações entre i e j. Deve-se indicar que, ao iniciar o sistema de reputação a
base de reputação é nula, por isso a distribuição beta é uniforme. (MELLO, 2009).
Considerando o exemplo da Figura 16, o valor da reputação direta do veículo A em relação
ao veículo B é igual a:
(3)
A métrica para o cálculo do valor da reputação direta é definida como um número real no
intervalor entre [0, 1], sendo que 1 representa o grau mais alto de reputação. Desta maneira, quanto
mais próximo de um (1), maior terá sido o número de interações com o outro veículo e mais
confiável será o valor da reputação.
Para avaliar o nível de confiança em um veículo, o limiar de reputação (threshold de
reputação) é uma variável parametrizável do sistema. Neste exemplo, considera-se que um valor da
reputação direta RD >= 0,5 o veículo é confiável, caso contrário, RD < 0,5, este é considerado um
nó malicioso.
Entretanto, em aplicações LDW para rodovias, observa-se que nem sempre é possível existir
experiências diretas entre os veículos. Desta forma, definiu-se no sistema de reputação proposto que
para avaliar a reputação do emissor do alerta, a aplicação RAMS+ irá sempre calcular a Reputação
96
Agregada. Para este fim, uma mensagem de consulta de reputação (MenRep), deve ser difundida
em broadcast na rede, para que os veículos vizinhos possam informar quais são suas experiências
individuais (reputação direta) em relação a outros veículos para definir a reputação dos nós
desconhecidos, ou seja, o valor global de reputação. Cada veículo que difundir uma MenRep na rede
deverá aguardar um tempo máximo (timeout) para receber dos nós vizinhos os valores de reputação
para então calcular a reputação agregada. Este parâmetro do sistema de reputação é chamado de
tempo de espera de MenRepResp.
A mensagem MenRep é composta pela tupla < IdMsg, IdV_Alvo, Sign e Type >, conforme
apresentado na Figura 21 e descritos a seguir:
IdMsg: Identificador único da mensagem gerado na criação da mensagem MenRep
através de uma função hash, fornecendo como saída uma sequência de 16 bits;
IdV_Alvo: Representa a identificação do veículo na qual deseja obter a sua
reputação;
Sign: Assinatura digital da mensagem MenRep. Os dados protegidos pela assinatura
digital serão os valores armazenados nos campos IdMsg e o IdV_Alvo. A saída é
representada por um valor hexadecimal;
Type: Define o tipo de mensagem enviada pela aplicação e/ou sistema de reputação,
fornecendo como saída uma sequência de 8 bits. O valor definido como 4 neste
campo indica que trata-se de uma mensagem de consulta de reputação (MenRep).
Figura 21. Estrutura da mensagem de MenRep
Além da mensagem MenRep, existe também uma outra mensagem chamada MenRepResp,
que é a mensagem de resposta a solicitação da reputação de um dado veículo. Esta mensagem é
composta pela tupla <IdMsg, IdV_alvo, RD, IdV_Resp, Sign e Type>, conforme apresentado na
Figura 22:
IdMsg: Identificador único da mensagem gerado na criação da mensagem MenRep
através de uma função hash, fornecendo como saída uma sequência de 16 bits;
Type Sign IdV_Alvo IdMsg
16 bits 64 bits 32 bits 8 bits
97
IdV_Alvo: Representa a identificação do veículo na qual deseja obter a reputação;
RD: Representa a reputação direta que o veículo possui do IDV_Alvo solicitado;
IdV_Resp: Representa a identificação do veículo que informou a reputação direta do
veículo solicitado.
Sign: Assinatura digital da mensagem MenRepResp. Os dados protegidos pela
assinatura digital serão os valores armazenados nos campos IdMsg, IdV_Alvo, RD e
IdV_Resp. A saída é representada por um valor hexadecimal;
Type: Define o tipo de mensagem enviada pela aplicação e/ou sistema de reputação,
fornecendo como saída uma sequência de 8 bits. O valor 5 neste campo, indica que
trata-se de uma mensagem da resposta à consulta de reputação (MenRep).
Figura 22. Estrutura da mensagem de MenRepResp
A reputação agregada calculada por um veículo i será uma média ponderada das reputações
diretas informadas pelos veículos vizinhos, em relação ao valor de reputação (credibilidade) que o
veículo i possui sobre estes veículos, conforme Equação (4) e como proposto em Mello (2009).
(4)
Sendo:
(5)
Sendo RA (i,j) o valor de reputação agregada de i em relação a j (o nó que está sendo
pesquisada a reputação) dentro do intervalo de [0,1]. Cred(a) representa a credibilidade que i possui
Type Sign IdV_Resp RD IdV_Alvo IdMsg
16 bits 64 bits 32 bits 64 bits 32 bits 8 bits
98
sobre a. RD (a,j) representa a reputação direta de j calculada pelo nó a e, Ω representa a quantidade
de nós testemunhas consultados. A relevância da RA (i,j) está fortemente relacionada a Cred(a),
pois a Equação (4) mostra que as opiniões recebidas por i serão ponderadas de acordo com a
credibilidade que i possui sobre os veículos que estão em sua BCI (nós conhecidos).
Como exemplo, considera-se um veículo i que deseja saber se deve confiar ou não em um
alerta recebido do veículo j que não está em sua BCI (Base de Conhecimento Individual), o veículo
i irá solicitar opiniões sobre a reputação de j aos outros. Os veículos questionados fornecerão para i
o valor da reputação direta (RD) calculado com base na Equação (2) sobre o veículo j. De posse
desses valores, o veículo i agrega-os através da Equação (4).
De posse dos valores da reputação direta (RD) Equação (2) e da reputação agregada (RA),
Equação (4), é possível calcular o valor da reputação global (Rep) de j do ponto de vista de i, pela
Equação (6).
(6)
4.3.5 Lista de Reputação
Para definição de uma lista de reputação (LR) dos veículos que trafegam pela rodovia, as
unidades de acostamentos (RSUs) usam as bases de conhecimentos individuais (BCIs) dos veículos
que passam por estas (ver exemplo ilustrado na Figura 16) para calcular a reputação de cada um
destes veículos. Esta lista possibilita a identificação de nós maliciosos. Um veículo que se desloca
pela rodovia, ao passar pelas unidades de acostamento (RSUs), deve transferir suas experiências
passadas armazenadas em sua BCI através de uma mensagem MenBCI, conforme ilustrado na
Figura 23 e descrita a seguir:
Figura 23. Estrutura da Mensagem MenBCI
IdV: Representa a placa do veículo que possui a Base de Conhecimento Individual
(BCI);
NãoConfirmados Confirmados IdV Type
64 bits 8 bits 8 bits 8 bits
99
Confirmados: Representa o total de interações positivas que obteve com os veículos
através de interações diretas;
NãoConfirmados: Representa o total de interações sem sucesso que obteve com os
veículos através de interações diretas;
Type: Define o tipo de mensagem enviada, fornecendo com saída um sequência de 8
bits. O valor 6 neste campo, indica que trata-se de uma mensagem de MenBCI;
Esta lista de reputação tem como conteúdo o ID do veículo, a data e hora em que cada
reputação foi calculada, bem como o valor de reputação do veículo entre o intervalo de [0-1]. O
valor da reputação agregada (Rep(a)) calculado pela RSU para o veículo a é calculado pela Equação
(7)
Onde ∑ Conf BCI(a) representa o somatório de todos os campos confirmados armazenados
nos BCIs dos veículos que passaram pela unidade de acostamento e tiveram uma interação direta
com a. ∑ NConf BCI(a) representa o somatório de todos os campos não confirmados armazenados
nos BCIs dos veículos que passaram pela unidade de acostamento e tiveram uma interação direta
com a. Por fim, o valor de 1 (um) utilizado para que a base de informação não seja nula.
Figura 24. Histórico de interações das BCIs armazenados em uma Unidade de
Acostamento (RSU)
Fonte: Adaptado Mello (2009)
100
Considerando o exemplo da Figura 24 e utilizando a Equação (7), o valor da reputação
direta do veículo A armazenado na lista de reputação da unidade de acostamento será:
(8)
Como exemplo, a Figura 25 apresenta uma lista de reputação de uma unidade de
acostamento contendo os valores da reputação direta dos veículos que passaram por esta.
Figura 25. Exemplo Lista de Reputação RSUs
A lista de reputações (LR) deve ser propagada pelas RSUs para que os veículos que passam
por estas possam utiliza-la no processo de tomada decisão (se confiam ou não no veículo emissor do
alerta). Para isto, utiliza-se uma mensagem chamada MenLR.
4.4 ANÁLISE DAS VULNERABILIDADES DA APLICAÇÃO RAMS+
Conforme descrito na Seção 2.4 existem diversos ataques de nós maliciosos cometidos nas
redes veiculares e contra aplicações de Alerta de Perigo Local (LDW). No que diz respeito à
aplicação RAMS+, os seguintes ataques são possíveis:
Alarmes falsos: é realizado através da disseminação de informações falsas pela rede.
Veículos maliciosos, por exemplo, podem disseminar pela rede informações falsas a
respeito de um congestionamento no qual não existe, apenas para obter vantagens
para si.
101
Ataques sybil: o atacante assume múltiplas identidades na rede podendo propagar
alarmes falsos, agindo como se fosse diversos veículos.
Ataque bizantino: nós maliciosos trabalham em conluio para gerar problemas (falhas
na rede) como, por exemplo, escolhas de caminhos errados.
Subversão de responsabilidade: incentivar acusações erradas contra um determinado
veículo, com o objetivo de transformá-lo em um nó malicioso.
Com o uso do sistema de reputação proposto, os ataques falsos e a subversão de
responsabilidade serão minimizados, uma vez que o sistema de reputação descentralizado é capaz
de incentivar comportamentos cooperativos entre os nós, calculando a confiança entre eles,
identificando a presença de nós maliciosos e descartando seus alertas. No que diz respeito aos
ataques sybil, em sistemas descentralizados, na qual não existe um ponto central é possível para um
nó desconhecido apresentar múltiplas identidades na rede. No sistema proposto, o uso de
assinaturas digitais minimiza este problema, porém, um nó malicioso pode ainda possuir diferentes
pares de chaves e certificados digitais válidos (múltiplas identidades) para gerar alertas falsos
assinados. Uma forma de contornar este problema é considerar como premissa que as chaves e
certificados utilizados pelos veículos fossem atestados pelos fabricantes dos veículos ou DETRAN,
e somente estas chaves poderiam ser utilizadas na assinatura de alertas.
Referente aos ataques bizantinos, como as mensagens são distribuídas em broadcast, a
aplicação RAMS+ não está sujeita a problemas de roteamento (caminhos errados). Em relação à
formação de conluio para propagação de alertas falsos, este problema é minimizado pelo sistema de
votação e pelas mensagens de validação, pois vários veículos atestam a confiabilidade do alerta e
com o tempo a reputação dos emissores de alertas falsos vão sendo degradadas e estes passam a ser
identificados pela aplicação RAMS+ como maliciosos. Logo, estes veículos maliciosos que
participaram do conluio serão avaliados como confiáveis somente até que outros veículos que
passaram pelo local do evento atestem o evento como falso. Conforme Pease et al., (1980), são
necessários pelo menos 3m+1 mensagens de validação para que um veículo ateste que o alerta
propagado é falso, sendo m o número de veículos que participaram do conluio. De forma
semelhante, o problema da formação de conluio com o objetivo de denegrir a reputação de veículo
(propagação falsa de mensagens de validação) também é minimizado pelo sistema de votação.
102
Neste trabalho a ação do nó malicioso presente na rede utilizou-se de um ataque para forjar
uma mensagem de alerta falso durante as simulações e também em relação a formação de ataques
de conluio, por meio de diversos veículos atestando a confiabilidade do alerta falso propagado pelo
nó malicioso.
4.5 CONSIDERAÇÕES
A utilização das redes veiculares inclui aplicações para prover segurança aos condutores dos
veículos. Estas aplicações visam minimizar acidentes e melhorar as condições do tráfego
concedendo informações úteis, como: problemas na pista, avisos de colisão, ponto de
congestionamento, entre outros.
No entanto, é necessário analisar a confiança dos veículos. O Sistema de Reputação
Proposto foi desenvolvido com o objetivo de aumentar esta confiança, pois é possível atestar a
confiabilidade do veículo que gerou uma mensagem de alerta/perigo, não apenas através da base de
conhecimento individual (BCI), mas também fazendo consulta a outros nós participantes da rede,
construindo desta maneira uma qualificação sobre o veículo.
Este Capítulo descreveu o Sistema de Reputação descentralizado proposto que visa avaliar o
nível de confiança entre os membros da rede que faz uso de uma aplicação de alerta de perigo local.
As premissas a serem adotadas e o detalhamento das mensagens do sistema de reputação e da
aplicação RAMS+ foram definidos e especificados. Os métodos para cálculo da reputação e
avaliação do nível de confiança que devem ser empregados de acordo com a posição do veículo na
aplicação de alerta de perigo local foram mostrados.
103
5 SIMULAÇÕES E ANÁLISES DOS RESULTADOS
Os objetivos dos experimentos realizados neste trabalho visa verificar a eficácia do Sistema
de Reputação através da correta identificação de um nó malicioso na rede, e no correto descarte das
mensagens emitidas por este nó tendo como métrica a taxa de falsos negativos (veículos que
avaliaram como não malicioso o nó malicioso que está enviando um alerta falso). Além da eficácia,
outro critério levado em consideração foi a eficiência da aplicação LDW (RAMS+). Os
experimentos simulados serviram para avaliar que a degradação decorrente dos cálculos para a
reputação direta e agregada não prejudica a entrega dos alertas pela aplicação.
Este capítulo, primeiramente apresenta o ambiente de simulação com uma breve descrição
dos simuladores de rede e de tráfego veicular escolhido para os experimentos, bem como uma
descrição dos parâmetros desses simuladores. Os parâmetros adotados na aplicação LDW
(RAMS+) e no Sistema de Reputação Proposto também são descritos. Em seguida, o projeto de
experimentos utilizados para a avaliação com suas métricas é apresentado. Por fim, os resultados
obtidos nos experimentos e uma análise destes são descritos.
5.1 AMBIENTE DE SIMULAÇÃO
O funcionamento de um sistema pode ser verificado de diversas formas, dentre estas se
destacam as simulações, que tem como objetivo reproduzir o comportamento do sistema, visto que
às vezes os custos dos testes em ambientes reais podem ser bastante elevados. Além disso, a
utilização de simuladores permite um controle melhor sobre o ambiente como a repetição dos
experimentos considerando diferentes cenários (por exemplo, a densidade de veículos).
5.1.1 Simulador de Rede Escolhido
O OMNeT++ (Objective Modular Network Testbed in C++) é um simulador de eventos
discretos para modelagem de redes de comunicação, que baseia-se, fundamentalmente, no conceito
de módulos, facilitando deste maneira a criação de diferente protocolos, modelos ou topologia de
redes. Neste simulador, as simulações podem ser executadas via linha de comando ou com interface
gráfica interativa, que facilita as simulações complexas e em grande escala. (VARGA, 2013)
104
No que diz respeito aos protocolos e padrões de comunicação de rede, estes não são
implementados pelo OMNeT, ficando isso a cargo de módulos adicionais. O INET framework é um
destes módulos adicionais, sendo um pacote open source no qual contém vários protocolos de redes
cabeadas e sem fio, tais como, UDP, TCP, IP, OSPF, 802.11 entre outros. O INET framework é
também o módulo mais utilizado na comunicação sem fio, além de possuir uma vasta
documentação relacionada a este, o que colabora para o desenvolvimento rápido de novos módulos.
A escolha pelo simulador OMNeT++/INET foi devido a este ter uma interface clara que
facilita o desenvolvimento das aplicações, permitindo também o uso de frameworks específicos
para redes veiculares, além de sua ampla utilização no meio acadêmico. Outro fator importante para
a escolha, é que este simulador pode trabalhar bidirecionalmente acoplado com geradores de
tráfegos, como por exemplo, a ferramenta SUMO (Simulation of Urban Mobility), o que facilita as
simulações mais detalhadas sobre os efeitos de determinados parâmetros sobre o tráfego na rede.
5.1.2 Simulador de Tráfego
Com o objetivo de tornar as simulações mais realistas, foi utilizada a ferramenta geradora de
cenários de mobilidade SUMO (Simulation of Urban Mobility). Esta ferramenta destaca-se por
poder ser integrada ao simulador OMNET++ (acoplamento bidirecional), além de ser amplamente
utilizada em pesquisas acadêmicas na área de redes veiculares (VANETs). Conforme Sommer e
Dressler (2008), a ferramenta possibilita a criação manual de mapas, a importação de mapas, e a
criação de várias classes de veículos (ônibus, carros e motos), caracterizadas pelo seu comprimento,
valores de aceleração e desaceleração, velocidade máxima e imperfeição do condutor. O SUMO
destaca-se ainda por permitir a realização de ultrapassagens, sempre que a via da esquerda esteja
livre, retornando a sua faixa logo após a ultrapassagem.
A facilidade de configuração dos cenários de mobilidade, a facilidade de implementação dos
experimentos e a possibilidade, em tempo real, da integração com o simulador de rede OMNeT,
foram os principais fatores que justificaram a escolha deste como ferramenta de simulação de
tráfego adotada.
105
5.1.3 Parâmetros do Simulador de Redes
Os parâmetros do simulador de redes (OMNET++/INET) foram definidos de forma que
todas as comunicações na rede fossem realizadas conforme o padrão IEEE 802.11g. Embora exista
o padrão 802.11p (DSCR/WAVE) desenvolvido especialmente para as redes veiculares, este não foi
adotado, pois a implementação deste no OMNeT++/INET é bem recente e pouco difundida. Apesar
disto, procurou-se usar parâmetros que emulem algumas características do padrão 802.11p.
A Tabela 1 lista os parâmetros de configuração do simulador de rede OMNeT++/INET, para
atender os requisitos desejados. Tais parâmetros foram configurados de forma a seguir as
características apresentadas do datasheet do Acess Point Cisco Aironet 1260.
Tabela 1. Parâmetros do Simulador de Redes
Descrição Parâmetros Valores
Endereço Mac wlan.mac.address Auto
Comprimento do Quadro wlan.mac.maxQueueSize 14
Taxa de Transmissão wlan.mac.bitrate 12Mbps
Número de Canais wlan.radio.channelNumber 0
Potência da Antena wlan.radio.transmitterPower 25mW
Limiar de Ruído wlan.radio.thermalNoise -95 dBm
Atenuação wlan.radio.pathLossAlpha 1,9
Relação Sinal Ruído wlan.radio.snirThreshold 3dB
Sensibilidade wlan.radio.sensitivity -83 dBm
Frequência channelcontrol.carrierFrequency 2.4GHz
5.1.4 Simulador de Tráfego
Neste trabalho, para a criação da via de circulação rodoviária a ser utilizada pela aplicação
LDW, foi considerado um trecho real de cinco quilômetros (5 km) da rodovia BR-101, semelhante
ao adotado por Oliveira (2010) e Rodrigues (2011), localizado entre os municípios de Itapema e
Porto Belo no estado de Santa Catarina, que se encontra à, aproximadamente, 50 km de distância de
Florianópolis (ver Figura 26). O trecho é composto por dois sentidos e duas faixas para cada
sentido, tendo quatro faixas de rodagem no total, com uma velocidade máxima estipulada em 110
km/h.
106
Figura 26. Via de Circulação Utilizada para a Criação do Cenário de Mobilidade
Para a caracterização dos veículos utilizados nos experimentos, foram levados em
consideração os dados da Polícia Rodoviária Federal do município de Itapema, uma vez que a
concessionária que administra a rodovia (Auto Pista Litoral Sul), através de sua ouvidoria, informou
que não disponibilizaria estes dados para este trabalho. A Polícia Rodoviária Federal informou que
circulam pela via cerca de 60 mil veículos por dia, sendo que deste total 65% são veículos de
passeio, 8% ônibus, 26% caminhões e 1% motocicletas.
Para a configuração dos veículos que circulam no trecho entre os municípios de Itapema e
Porto Belo, semelhante a Oliveira (2010) e de acordo com os dados levantados junto à Polícia
Rodoviária Federal, foram definidas três classes de veículos, a saber:
Classe 1: Representa os automóveis que trafegam na via, cuja característica é de
uma velocidade máxima de 30,6 m/s (110 Km/h) e um comprimento de 5 metros.
Esta classe representa aproximadamente 65% dos veículos que compõe o cenário.
107
Classe 2: Esta classe representa os caminhões que trafegam pela via. Caracteriza-se
por serem mais lentos que os automóveis, atingindo 22,3 m/s (80 Km/h) e um
comprimento de 15 metros. Esta classe representa no total 27% dos veículos que
circulam na rede.
Classe 3: Por fim, 8% dos veículos fazem parte desta classe, que representam os
ônibus. Semelhante à classe anterior, os veículos atingem uma velocidade máxima
de 22,3 m/s (80 Km/h).
Através de arquivos de configuração do SUMO foi possível definir o fluxo de veículos que
fizeram parte dos experimentos, bem como as suas características de tipo de veículo (automóveis,
caminhões, ônibus), o período de entrada dos veículos, velocidades máximas e aceleração e
desaceleração.
As características dos veículos e os parâmetros adotados na configuração do SUMO são
descritos na Tabela 2.
Tabela 2. Características dos veículos
Veículos Aceleração Desaceleração Vel. Máxima Comprimento
Automóvel 3m/s2 6m/s 110 Km/h 5 m
Caminhão 1m/s2 4m/s 80 Km/h 15 m
Ônibus 1m/s2 4m/s 80 Km/h 15 m
Após a definição das três classes de veículos e suas características, definiram-se a
quantidade e a distribuição dos veículos que fazem parte da simulação. Para observar o
comportamento do Sistema de Reputação Proposto diante de diferentes quantidades de veículos na
rodovia, nas simulações, foram consideradas diferentes densidades de veículos. As densidades de
veículos foram definidas a partir de uma quantidade máxima de veículos repassados pela Polícia
Rodoviária Federal que foi de 2500 veículos/hora ou 625 veículos em 900 segundos (tempo da
simulação), sendo o valor médio de veículos/hora aqui considerado de 3000 veículos. Nas
simulações, foram considerados os seguintes valores de densidade de veículo: 1000, 2000, 3000,
4000 e 5000 veículos/hora, considerando os dois sentidos da rodovia. Estes fluxos simulam os
tráfegos esparso (1000 e 2000), médio (3000 e 4000) e denso (5000). Cabe ressaltar que em todos
os cenários, o tamanho da autoestrada é mantido em 5 km.
108
A Tabela 3 representa os cenários de densidades de veículos na rede que foram simulados,
considerando os dois sentidos da rodovia. Estes cenários diferem apenas na quantidade de veículos
que circulam na rodovia, respeitando a proporção apresentada na Tabela 2.
Tabela 3. Quantidade de veículos existentes em cada um dos cenários simulados
Cenários Classe 1 Classe 2 Classe 3 Nós/900s5 Nós/Hora
Cenário 1 82 34 9 250 1000
Cenário 2 163 68 19 500 2000
Cenário 3 244 102 29 750 3000
Cenário 4 326 135 39 1000 4000
Cenário 5 407 169 49 1250 5000
5.1.5 Parâmetros da Aplicação RAMS+
Em todos os cenários simulados, conforme descrito na Tabela 4, existem duas unidades de
acostamento (RSUs) responsáveis pela propagação da lista de reputação aos veículos. Uma foi
posicionada no início do quilômetro um e a outra no início do quilômetro três. Já os raios das áreas
das regiões geográficas (reconhecimento, decisão e disseminação) foram, respectivamente, 50m,
300m e 3000m.
Foi considerado para fins de simulação um evento dentro da área simulada. Este evento
indica a existência de óleo na pista e está localizado no quilômetro dois e meio da área de
simulação, de um total de cinco quilômetros. Outro evento, no mesmo local, também foi criado,
porém falso, com o objetivo de simular um ataque de nó malicioso na rede para observar o
comportamento do sistema de reputação.
5 Tempo da simulação.
109
Tabela 4. Parâmetros Aplicação RAMS+
Parâmetros Valores
Dimensão da Rede 5.000 metros
Quantidade de veículos/hora 1000 − 2000 − 3000 − 4000 − 5000
Raio da Área de Reconhecimento 50 metros
Raio da Área de Decisão 300 metros
Raio da Área de Disseminação 3.000 metros
Quantidade de RSUs 2
Posição RSU 1 1.000 metros
Posição RSU 2 3.000 metros
Posição do evento 2.500 metros
5.1.6 Parâmetros do Sistema de Reputação
Para a simulação do Sistema de Reputação, a fim de avaliar a confiança dos veículos, foi
necessário configurar diversos parâmetros, conforme descritos nas Seções 4.3. Os parâmetros
utilizados e seus valores podem ser vistos na Tabela 5.
Tabela 5. Parâmetros do Sistema de Reputação
Parâmetros Valores
Limiar de Proximidade 50 metros
Limiar de Reputação 0,5
Limiar de Mensagem Recente 6 horas
Peso da Reputação Direta 0,6
Peso da Reputação Agregada 0,4
Tempo Espera de Mensagens MenRepResp 500 ms
5.1.7 Parâmetros do Ambiente Computacional
As simulações foram realizadas em um computador com processador Intel Core i5, com
frequência de clock de 2,30 GHz, 8GB de memória RAM e sistema operacional Ubuntu versão 12.0
de 64 bits, baseado em Linux.
110
5.2 PROJETO DE EXPERIMENTOS
Com o objetivo de avaliar (1) a eficácia do sistema de reputação e (2) o impacto decorrente
do uso do sistema no desempenho da aplicação RAMS+ em diferentes condições de tráfego, os
experimentos foram divididos em dois grupos. O objetivo do primeiro grupo de experimentos foi de
avaliar a eficácia do sistema para detecção de um nó malicioso e o segundo grupo de experimentos
avaliou os impactos decorrentes do uso do sistema proposto na eficácia e eficiência da aplicação
RAMS+. A seguir, tem-se uma descrição do projeto de experimentos.
5.2.1 Projeto para Avaliar a Eficácia do Sistema de Reputação
A fim de caracterizar a ação de um nó malicioso na rede, um alerta falso é gerado por este
veículo para verificar se o Sistema de Reputação é capaz de identificá-lo.
As métricas a ser utilizadas com o objetivo de avaliar a eficácia do Sistema de Reputação
Proposto são:
Percentual de Falsos Positivos – Representa a taxa do número de nós que
identificaram como sendo malicioso um nó não malicioso em relação ao número
total de nós da rede veicular. No Sistema de Reputação, este número tende a ser zero,
uma vez que o sistema possui uma abordagem otimista, assume que os nós
desconhecidos são sempre confiáveis, e que para denegrir a reputação de um nó é
necessária a formação de um conluio. Diante da complexidade para a simulação de
conluios e do tempo necessário para a simulação destes, esta métrica não foi
considerada.
Percentual de Falsos Negativos – Representa a taxa do número de nós que
identificaram como sendo não malicioso um nó malicioso em relação ao número
total de nós na rede veicular.
111
A seguir, são descritos quatro cenários para avaliação da eficácia considerando a métrica do
percentual de falsos negativos:
A) Primeiro Cenário (Nó Malicioso Considerado Confiável nas RSUs)
Neste cenário, o veículo considerado malicioso, propaga um alerta falso na rede. No
momento da propagação do alerta falso, o nó emissor possui um bom valor de reputação perante aos
demais veículos na rede e também pelas unidades de acostamento (RSUs). O valor de reputação
deste veículo na Lista de Reputação calculada nas RSUs é de 0,7. Neste cenário, as BCIs dos demais
veículos estão configuradas para que o valor da reputação direta seja de 0,7.
B) Segundo Cenário (Nó Malicioso Considerado não confiável nas RSUs)
Neste segundo cenário, o veículo considerado malicioso também propaga um alerta falso na
rede. Porém, no momento da propagação do alerta, este veículo não possui um bom valor de
reputação perante aos demais veículos na rede e também pelas unidades de acostamento (RSUs). O
valor de reputação deste veículo na Lista de Reputação, calculada nas RSUs é de 0,4. As BCIs dos
demais veículos neste cenário estão configuradas para que o valor da reputação direta seja de 0,4.
C) Terceiro Cenário (Nó Malicioso Considerado parcialmente confiável)
Neste cenário, no momento da propagação do alerta falso, o valor da reputação do veículo
emissor na Lista de Reputação (LR) das RSUs é 0,7. Entretanto, em 50% dos veículos da simulação
suas BCIs estão configuradas para que o valor de reputação deste veículo malicioso seja 0,4 (não
confiável).
D) Quarto cenário (Nó Malicioso sem histórico)
Neste quarto cenário, os veículos da rede não possuem informações sobre o veículo que
propagou o alerta falso (em suas BCIs) e a Lista de Reputação das RSUs também não possui
nenhuma informação, ou seja, não há histórico a respeito deste veículo malicioso na rede.
112
5.2.2 Projeto para Avaliar os Impactos na Eficácia e na Eficiência da Aplicação
RAMS+
Estes experimentos visam avaliar os impactos decorrentes do uso do Sistema de Reputação
na eficácia e na eficiência da aplicação RAMS+. Para isto três diferentes métricas são utilizadas em
duas situações: sem o sistema de reputação e com o sistema de reputação.
As métricas utilizadas para avaliar os impactos na Aplicação RAMs+ são:
Total de veículos que recebem a mensagem de alerta (eficácia): Para cada cenário de
variação de densidade de veículos simulado, deve ser obtido o total de veículos que
recebem a mensagem de alerta (MenAlert). Esta métrica tem como objetivo verificar
se a mensagem foi recebida pela maioria dos veículos.
Colisões de pacotes: Para avaliar o impacto na eficiência da aplicação RAMS+ é
importante verificar a quantidade de colisões de pacotes na rede. A colisão de
pacotes acontece toda a vez que dois ou mais veículos tentam transmitir dados ao
mesmo tempo, tendo como consequência a diminuição do desempenho na rede e
podendo até prejudicar a eficácia da aplicação LDW;
Tempo e distância do recebimento do alerta: Representa o tempo após a criação do
alerta até o recebimento deste pelos veículos participantes da rede e a distância do
local do evento. Desta forma, é possível verificar se os condutores terão tempo hábil
para reagir com segurança a uma situação inesperada.
Os valores padrões iniciais definidos para a Lista de Reputação (LR) das Unidades de
Acostamento (RSUs) e para a Base de Conhecimento Individual dos veículos (BCI) podem ser
observados na Tabela 6.
Tabela 6. Padrões de Inicialização das RSUs e BCIs
Parâmetros Padrão
Lista de Reputação inicial RSUs 0,5
Tamanho BCI inicial 20 veículos
ID Veículos na BCI inicial Aleatórios
Reputação padrão BCI inicial 0,5
113
5.3 RESULTADOS E ANÁLISES DOS EXPERIMENTOS
Nesta seção são apresentados os resultados e análises obtidas através das simulações
realizadas com o objetivo de avaliar a eficácia do Sistema de Reputação e os impactos na Aplicação
RAMS+.
Para obtenção destes resultados, foram realizadas cinco simulações para cada cenário de
densidade (250, 500, 750, 1000 e 1250 veículos/900s) e uma média aritmética simples dos
resultados de cada cenário foi calculada. Todos os resultados apresentados dos experimentos
possuem 95% de intervalo de confiança. E, conforme já descrito anteriormente, foi considerado um
tempo de simulação de quinze minutos (900 segundos).
5.3.1 Eficácia do Sistema de Reputação
A) Primeiro Cenário (Nó Malicioso Considerado Confiável nas RSUs e BCI)
Para análise do comportamento do Sistema de Reputação Proposto, foram realizadas
simulações variando as densidades dos veículos (ver Tabela 3), com o objetivo de verificar a taxa
falsos negativos na rede, sendo que neste cenário, na inicialização, as RSUs e as BCIs dos veículos
foram configuradas com o valor de reputação de 0,7. O gráfico da Figura 27 apresenta o total de
falsos negativos e a taxa de falsos negativos.
Figura 27. Primeiro Cenário - Total de Falsos Negativos com diferentes densidades
de veículos
53 78
95 108 128
0
20
40
60
80
100
120
140
250 500 750 1000 1250
Tota
l de
Fal
sos
Ne
gati
vos
Densidades de Veículos na Rede
Falsos Negativos - Nó Malicioso Configurado como Confiável
15,6%
21,2%
12,66% 10,8%
10,24%
114
B) Segundo Cenário (Nó Malicioso Considerado não confiável nas RSUs)
Neste cenário, na inicialização as RSUs e as BCIs dos veículos estão configuradas com o
valor de reputação de 0,4. O gráfico deste cenário não é apresentado devido à taxa de falsos
negativos terem o valor zero.
C) Terceiro Cenário (Nó Malicioso Considerado parcialmente confiável)
O gráfico da Figura 28 apresenta o total de falsos negativos e as taxas de falsos negativos
quando o veículo emissor do alerta falso foi configurado nas RSUs como confiável, porém 50% dos
veículos possui o valor de reputação 0,4 configurados em suas BCIs.
Figura 28. Terceiro Cenário - Total de Falsos Negativos com diferentes densidades
de veículos
D) Quarto cenário (Nó Malicioso sem histórico)
O gráfico da Figura 29 apresenta o total de falsos negativos e as taxas de falsos negativos
identificados quando não há nenhum histórico armazenado sobre o veículo que propagou o alerta
falso.
36 55
67 76 81
0
20
40
60
80
100
250 500 750 1000 1250
Tota
l de
Fal
sos
Ne
gati
vos
Densidade de Veículos na Rede
Falsos Negativos - Nó Malicioso Configurado como Parcialmente Confiável
8,93% 11%
7,6% 6,48%
14,4%
115
Figura 29. Quarto Cenário - Total de Falsos Negativos com diferentes densidades
de veículos
5.3.2 Análise da Eficácia do Sistema de Reputação
Nesta seção os resultados obtidos através dos experimentos das simulações para avaliar a
eficácia do uso do sistema de reputação, descritas na Seção 5.3.1 são avaliados e discutidos.
A Tabela 7 apresenta a taxa de falsos negativos, mostrando o pior e o melhor caso em cada
um dos quatro cenários simulados.
Tabela 7. Resultados Obtidos - Falsos Negativos
Cenários (Variação da Confiança no nó Malicioso) Falsos Negativos
Pior Caso Melhor Caso
1º - Veículo Malicioso confiável nas RSUs e BCI 21,20% 10,24%
2º - Veículo Malicioso não confiável nas RSUs 0,32% 0%
3º - Veículo Malicioso parcialmente confiável 14,40% 6,48%
4º - Veículo Malicioso sem Histórico 17,20% 8,08%
A seguir, são apresentadas em detalhes as análises sobre os quatro diferentes tipos de
cenários que visam atestar a eficácia do Sistema de Reputação.
43 63 70
89 101
0
20
40
60
80
100
120
250 500 750 1000 1250
Tota
l de
Fal
sos
Ne
gati
vos
Densidade de Veículos na Rede
Falsos Negativos - Nó Malicioso Sem Histórico
17,2%
12,6% 9,33%
8,9% 8,08%
116
5.3.2.1 Primeiro Cenário (Veículo Malicioso Considerado Confiável nas RSUs e BCI)
Este primeiro cenário foi o que apresentou o maior número de falsos negativos em todas as
suas densidades, quando comparado aos demais cenários simulados neste trabalho. Este valor
explica-se pelo fato do veículo malicioso possuir uma boa reputação na rede e, consequentemente,
necessitar de um tempo maior para o decaimento de sua reputação até que os demais veículos o
considerem malicioso (reputação menor de 0.5). Neste cenário conforme pode ser observada na
Figura 27, a maior taxa de falsos negativos (21,20%) foi quando a densidade de veículos simulada
foi esparsa (250 veículos). Nesta situação, como os veículos estavam mais distantes uns dos outros,
o sistema necessitou de um certo tempo para que os veículos passassem pelo local do alerta,
emitissem as mensagens de validação, contabilizasse as experiências negativas e para que a
reputação do veículo malicioso baixasse gradativamente até chegar a um valor de reputação menor
que 0,5. Somente após este tempo, o nó passou a ser avaliado como malicioso e o alerta falso
passou a ser descartado pelos demais veículos.
Nota-se na Figura 27 que, quanto maior o fluxo de veículos circulando na rodovia, menor é
o índice de falsos negativos. Esta redução se explica, pois quanto maior o fluxo de veículos, menor
a distância entre estes e as mensagens de validação circulam na rede de forma mais rápida,
atestando a não confiabilidade da mensagem recebida.
É importante destacar que, o valor do percentual de falsos negativos neste cenário não é
relativamente alto, pois no cenário mais próximo do usual da rodovia (cenário com 750 veículos)
apenas 12,66% dos veículos consideraram erroneamente o nó como confiável. O pior caso (21,2%)
ocorre quando o fluxo é esparso, porém na rodovia em questão este cenário é pouco comum.
5.3.2.2 Segundo Cenário (Veículo Malicioso Considerado não confiável nas RSUs)
Este segundo cenário foi o que apresentou a menor taxa de falsos negativos, quando
comparado aos demais cenários simulados neste trabalho. Neste cenário, a taxa de falsos negativos
foi zero. A razão deste resultado decorre dos veículos que circulavam pela rodovia possuírem o
valor de reputação abaixo do limiar para serem considerados confiáveis. Desta forma, após
identificar o emissor, a mensagem de alerta falso propagado pelo veículo malicioso foi
imediatamente descartada e não repassada aos demais veículos.
117
5.3.2.3 Terceiro Cenário (Veículo Malicioso Considerado parcialmente confiável)
Neste cenário, conforme pode ser observado na Figura 28, a taxa de falsos negativos,
quando comparada ao primeiro cenário é menor, uma vez que diferente do primeiro cenário na qual
o veículo malicioso é considerável confiável tanto pelas RSUs quanto pelas BCIs, neste cenário
alguns veículos já possuem algumas experiências negativas com o veículo malicioso.
Sendo assim, através das simulações realizadas pôde-se verificar que o valor da reputação do
veículo malicioso baixou de 0,5 mais rapidamente, a partir do momento em que os demais veículos
começaram a receber a mensagem de validação, informando que o evento/perigo não ocorreu, e
quando da solicitação da opinião dos seus vizinhos sobre o nó malicioso (reputação agregada).
Semelhante ao primeiro cenário simulado, como pode ser observado na Figura 28, o melhor
comportamento para a taxa de falsos negativos foi quando havia um fluxo maior de veículos
circulando na rodovia (alta densidade).
Contudo, a taxa de falsos negativos encontrada neste terceiro cenário pode ser considerada
baixa, já que no cenário mais próximo do usual da rodovia (cenário com 750 veículos) apenas
8,93% dos veículos o consideraram erroneamente como confiável. O pior caso, quando fluxo é
esparso, a taxa foi de 14,40%.
5.3.2.4 Quarto Cenário (Veículo Malicioso sem Histórico)
Por fim, neste quarto cenário para avaliar a eficácia do Sistema de Reputação, pode-se
verificar que embora o veículo malicioso seja desconhecido na rede e a abordagem seja otimista,
este cenário não foi o que obteve a maior taxa de falsos negativos.
Pelo fato de inicialmente não existir nenhuma informação a respeito do veículo malicioso, o
valor da sua reputação perante aos demais veículos da rede e pelas unidades de acostamento (RSUs)
foi de 0,5. Desta maneira o decaimento do valor da reputação do veículo malicioso quando
comparado ao cenário 1, é mais rápido.
118
5.3.3 Impactos na eficiência e eficácia da aplicação RAMS+
5.3.3.1 Número de Veículos que receberam a Mensagem de Alerta
A Tabela 8 apresenta o número de veículos que receberam a mensagem de alerta
considerado a aplicação RAMS+ com e sem o sistema de reputação e o impacto do uso do sistema
nesta métrica de eficácia da aplicação RAMS+. O gráfico da Figura 30 apresenta a taxa de veículos
que receberam a mensagem de alerta em relação ao número total de veículos na rodovia com e sem
o sistema de reputação.
Tabela 8. Quantidade de Veículos − Mensagens de Alertas Recebidas
Densidade Total
(veículos)
Com Reputação
(veículos)
Sem Reputação
(veículos) Impacto
250 239 241 0,6%
500 465 473 1,5%
750 698 707 1,2%
1000 928 937 0,9%
1250 1156 1170 1,1%
Figura 30. Porcentagem de Veículos que receberam a mensagem de MenAlert
5.3.3.2 Número de Colisões
Uma colisão de pacotes acontece sempre que dois ou mais veículos tentam enviar dados ao
mesmo tempo. Como pode ser observado através das simulações, quanto maior o número de
96,20%
94,50% 94,20% 93,70%
93,60%
95,60%
93,00% 93,00%
92,80% 92,50%
90,00%
91,00%
92,00%
93,00%
94,00%
95,00%
96,00%
97,00%
250 500 750 1000 1250
Mensagem de Alertas Recebidos
Sem Reputação Com Reputação
119
veículos na rodovia, consequentemente, será maior a quantidade de mensagens enviadas e maiores
serão as colisões de pacotes. Na Figura 31, pode ser observado o número de pacotes colididos na
rede para cinco diferentes densidades de veículos com e sem o uso do Sistema de Reputação, bem
como a sua porcentagem.
Figura 31. Total e taxa de pacotes colididos
5.3.3.3 Tempo e Distância para receber a Mensagem de Alerta
As Tabelas 9, 10, 11, 12 e 13 apresentam o tempo, em segundos, que cada veículo recebeu
pela primeira vez a mensagem de alerta (MenAlert) sobre o evento ocorrido, após a sua criação.
Os veículos foram divididos em cinco grupos, para cada densidade simulada. Esta divisão
se deu pelos valores de tempo próximos um dos outros, nas quais é apresentada a média do tempo
com e sem o uso do sistema de reputação, juntamente com o seu desvio padrão e a taxa dos
veículos.
1.173
12.332
31.231
53.501
118.598
4.480
22.161
47.954
94.200
155.034
250
500
750
1000
1250
De
nsi
dad
e d
e V
eícu
los
Colisão de Pacotes
Total de Pacotes gerados Com Reputação Taxa de Pacotes Colididos
Total de Pacotes gerados Sem Reputação Taxa de Pacotes Colididos
26,01% 31,81%
27 % 21,02%
21,82% 18,77%
18,9% 15%
12,99% 9,02%
120
Tabela 9. Tempo de recebimento Mensagem MenAlert − Cenário 250 Veículos
Total Veículos Média C/ Rep
(Segundos)
Desvio Padrão
C/ Reputação
Média S/ Rep
(Segundos)
Desvio Padrão
S/ Reputação
%
Veículos
134 0,001 0,000 0,001 0,000 53,60%
45 0,511 0,007 0,458 0,005 18%
25 0,739 0,004 0,628 0,005 10%
35 1,280 0,306 1,023 0,289 14%
11 Não Receberam 4,4%
Tabela 10. Tempo de recebimento Mensagem MenAlert − Cenário 500 Veículos
Total Veículos Média C/ Rep
(Segundos)
Desvio Padrão
C/ Reputação
Média S/ Rep
(Segundos)
Desvio Padrão
S/ Reputação
%
Veículos
256 0,001 0,000 0,001 0,000 51,20%
123 0,528 0,037 0,471 0,031 24,60%
77 0,702 0,013 0,610 0,015 15,4%
9 1,084 0,000 0,955 0,011 1,8%
35 Não Receberam 7%
Tabela 11. Tempo de recebimento Mensagem MenAlert − Cenário 750 Veículos
Total Veículos Média C/ Rep
(Segundos)
Desvio Padrão
C/ Reputação
Média S/ Rep
(Segundos)
Desvio Padrão
S/ Reputação
%
Veículos
469 0,001 0,000 0,001 0,000 62,53%
13 0,159 0,119 0,136 0,098 1,73%
201 0,590 0,103 0,512 0,105 26,80%
15 1,065 0,019 0,942 0,018 2%
52 Não Receberam 6,94%
Tabela 12. Tempo de recebimento Mensagem MenAlert − Cenário 1000 Veículos
Total Veículos Média C/ Rep
(Segundos)
Desvio Padrão
C/ Reputação
Média S/ Rep
(Segundos)
Desvio Padrão
S/ Reputação
%
Veículos
641 0,001 0,000 0,001 0,000 64,10%
96 0,213 0,136 0,183 0,150 9,60%
103 0,652 0,117 0,522 0,110 10,30%
88 1,530 0,450 1,220 0,350 8,80%
72 Não Receberam 7,20%
Tabela 13. Tempo de recebimento Mensagem MenAlert − Cenário 1250 Veículos
Total Veículos Média C/ Rep
(Segundos)
Desvio Padrão
C/ Reputação
Média S/ Rep
(Segundos)
Desvio Padrão
S/ Reputação
%
Veículos
547 0,001 0,000 0,001 0,000 43,77%
247 0,425 0,297 0,323 0,239 19,77%
241 1,503 0,243 1,140 0,201 19,28%
121 2,86 0,819 2,219 0,630 9,68%
94 Não Receberam 7,50%
121
5.3.4 Análise dos impactos na eficiência e eficácia da aplicação RAMS+
A seguir, são apresentadas as análises dos resultados obtidos neste trabalho que visam
atestar a eficiência da aplicação RAMS+.
5.3.4.1 Número de Veículos que receberam a Mensagem de Alerta
Neste cenário, conforme apresentado na Figura 30, pode-se verificar que mesmo com o uso
do Sistema de Reputação, a taxa de veículos que receberam a mensagem de alerta está acima de
92%, independentemente da densidade de veículos. Os resultados dos valores são próximos, com
uma pequena diferença o Sistema de Reputação é utilizado. Esta diminuição (impacto) é decorrente
do número de colisões de pacotes na rede e no atraso para reenvio da mensagem de alerta
(MenAlert).
Entretanto, pode-se verificar que estes impactos não prejudicam ou comprometem a eficácia
e a eficiência da aplicação RAMS+, visto que em todas as densidades simuladas, os veículos que
não receberam a mensagem de alerta estavam a uma distância fora da área de disseminação (3000
metros), ou seja, longe do local do evento/perigo. O objetivo da aplicação RAMS+ é atender ao
maior número possível de veículos que estão se dirigindo ao local do acidente para que seus
condutores possam reagir em tempo hábil a situação de emergência.
5.3.4.2 Número de Colisões
Ao analisar os dados gerados pelo simulador, pôde-se observar que quanto maior a
densidade de veículos na rodovia, maior a quantidade de pacotes colididos na rede (Figura 31), isto
é consequência do número maior de mensagens geradas por cada veículo.
Observa-se também, conforme Figura 31, que quando o Sistema de Reputação é utilizado a
colisão de pacotes na rede é maior. Isto é decorrente da quantidade de mensagens que são criadas
para que o Sistema possa avaliar a reputação dos veículos que emitiram a mensagem de alerta
(MenAlert), sendo que quando o sistema de reputação está desligado, apenas a mensagem de alerta
é propagada na rede.
Todavia, mesmo apresentando um acréscimo de pacotes colididos quando o Sistema de
Reputação é ligado, este não prejudica significativamente a eficiência e eficácia da Aplicação
122
RAMS+, visto que os veículos recebem a mensagem de alerta e possuem tempo hábil para calcular
a reputação direta e a reputação agregada dos demais veículos na rede.
5.3.4.3 Tempo do recebimento e distância da Mensagem de Alerta
Neste cenário o objetivo é analisar o tempo decorrido após a criação do alerta (mensagem
MenAlert) até o recebimento deste pelos veículos participantes da rede. É possível observar que no
cenário de 250 veículos (Tabela 9), 81,6% destes veículos tiveram um tempo médio inferior a
0,74ms, em relação ao cenário de 500 veículos (Tabela 10), 91,2% tiveram um tempo médio
inferior de 0,70ms. No cenário com 750 veículos (Tabela 11), 91,2% tiveram um tempo médio
inferior a 0,59ms. No cenário com 1000 veículos (Tabela 12), 81,6% receberam a mensagem de
alerta com um tempo médio inferior a 0,65ms. E por fim, no cenário com 1250 veículos (Tabela
13), 63,54% receberam a mensagem de alerta com um tempo médio inferior a 0,43ms.
Pode-se concluir que os piores casos que tiveram o tempo médio acima de 1,53 segundos
não representam impactos significativos na aplicação RAMS+, visto que, tomando como exemplo o
cenário com 1000 veículos, no qual teve o maior atraso identificado, o veículo recebeu uma
mensagem de alerta após 2,43 segundos, e sua localização era de 2.740 metros distante do local do
evento/perigo. Considerando que este veículo esteja viajando a 110Km/h (30,6m/s), velocidade
máxima permitida no trecho simulado, este percorreria apenas 74,36 metros antes do recebimento
do alerta o que não prejudicaria a tomada de decisão e permitiria ao condutor diminuir a velocidade
e até mesmo frear sem dificuldades.
A Tabela 14 apresenta a posição dos veículos mais próximos do local do evento, dentro da
área de decisão, em um cenário com a densidade de 750 veículos. Esta tabela apresenta ainda o
tempo que estes veículos levaram para receber a mensagem de alerta (MenAlert). Outro campo da
tabela diz respeito ao tempo para o cálculo da reputação, ou seja, o tempo que o veículo levou para
calcular a reputação direta (com base em sua BCI) e solicitar a seus vizinhos informações sobre o
emissor da mensagem de alerta e, com estes dados, realizar o cálculo da reputação agregada para
então obter o valor da reputação global. Por fim, é mostrado na Tabela, a distância percorrida pelo
veículo (levando em consideração que os veículos estão a uma velocidade máxima de 110 Km/h),
desde o recebimento do alerta até que a mensagem fosse apresentada ao condutor.
123
Tabela 14. Posição dos veículos e distância percorrida
ID Veículo Distância do local
do evento
Tempo para
receber MenAlert
Tempo para o
Cálculo da
Reputação
Distância
Percorrida
73 52 metros 0,001 0,52 segundos 15,91 metros
76 71 metros 0,001 0,52 segundos 15,91 metros
318 77 metros 0,001 0,52 segundos 15,91 metros
82 78 metros 0,001 0,52 segundos 15,91 metros
84 100 metros 0,001 0,54 segundos 16,5 metros
321 102 metros 0,001 0,54 segundos 16,5 metros
87 119 metros 0,001 0,55 segundos 16,8 metros
90 139 metros 0,001 0,56 segundos 17,14 metros
327 139 metros 0,001 0,56 segundos 17,14 metros
92 141 metros 0,001 0,59 segundos 18,05 metros
Como pode ser observado na Tabela 14, mesmo os veículos estando próximos do local do
evento, seus condutores terão tempo hábil para reagir a situação de emergência com segurança,
visto que, mesmo após a realização dos cálculos para obter a reputação do emissor da mensagem, a
distância percorrida (coluna 5 na tabela) é bem inferior a distância do local do evento (coluna 2 na
tabela).
Cabe salientar, que os veículos que se encontram dentro do limiar de proximidade (distância
menor que 50 metros) apenas verificam a reputação do emissor do alerta em sua lista de reputação,
sem computar a reputação. Por ser uma consulta local, o tempo é de apenas 0,001 segundo, o que
não impacta de forma considerável a apresentação da mensagem ao condutor e nem prejudica a
ação do motorista.
5.4 COMPARAÇÃO DO SISTEMA PROPOSTO COM OS TRABALHOS
RELACIONADOS.
Nesta seção é apresentada uma comparação deste trabalho diante dos trabalhos relacionados
apresentados na Seção 3. Em se tratando de sistemas de reputação, aplicados em redes ad hoc
móveis, existem dois tipos: os que calculam a reputação das mensagens ou os que calculam a
reputação dos nós. A escolha do sistema proposto foi por avaliar a reputação dos nós (veículos),
pois diferentemente da reputação das mensagens, que tem por objetivo detectar mensagens que
contenham informações falsas avaliando a integridade destas, a reputação dos nós preocupa-se com
124
o seu comportamento, para que se possa avaliar o nível de confiança entre os membros da rede,
identificar nós maliciosos e descartar todas as mensagens propagadas por estes. O Quadro 4
apresenta uma síntese do Quadro 3 indicando apenas os trabalhos que fazem o cálculo da reputação
dos nós.
Quadro 4. Sistema Proposto x Trabalhos relacionados
Sistema de Reputação
Base de
Informação
Consultada
Nós
Maliciosos Abordagem Sistema de Reputação
DTT (Wang e Chigan
2007) Local Não Otimista e Local Nós, Reputação Instantânea
RMDTV (Paula et al.
2007) Descentralizada Sim
Otimista e
Global
Nós, Qualificações das
mensagens (por terceiros)
Li et al. (2012) Centralizada Sim Indefinida e
Global
Nós, Média Ponderada para
reputação Global
Sistema Proposto Descentralizada Sim Otimista e
Global
Nós, Métodos Estatísticos,
Sistema de Votação, Lista
de Reputação
O sistema de reputação proposto nesta dissertação utiliza uma abordagem otimista e uma
reputação global, ou seja, assume que os veículos são confiáveis até que se prove o contrário e
utiliza informações de outros veículos para o cálculo da reputação. Observa-se que apenas o
trabalho de Wang e Chigan (2007), não possui estas características, já que estes optaram por uma
abordagem de reputação instantânea e que consulta uma base de reputação local. Nos sistemas
baseados em reputação local nem sempre é possível obter a reputação de nós desconhecidos, pois
somente os vizinhos são consultados.
Diferente do sistema proposto por Li et al. (2012), a base de consulta do sistema proposto é
descentralizada, desta maneira cada veículo mantém um histórico de avaliações a partir das
experiências com outros veículos, não estando ligada a uma entidade central que mantém a
reputação dos veículos. As desvantagens de uma unidade central são: ponto único de falha,
escalabilidade da rede veicular passa a ser limitada e pode vir a prejudicar o desempenho do sistema
(gargalo) diante do número de veículos e consultas.
5.5 CONSIDERAÇÕES DO CAPÍTULO
Este capítulo apresentou os resultados obtidos nos experimentos os quais serviram para
avaliar a eficácia do Sistema de Reputação descentralizado proposto e a eficiência da aplicação
RAMS+. Os resultados e análise dos experimentos apresentados na seção 5.3 demonstram que os
125
impactos decorrentes das colisões, o tempo para o recebimento das mensagens e os cálculos para a
reputação direta e agregada não prejudicam a eficiência e eficácia da aplicação. Além disso, a
eficácia do sistema pôde ser comprovada pelas simulações, uma vez que a taxa de falsos negativos,
para os cenários mais comuns foi baixa.
126
6 CONCLUSÕES
Um dos desafios em redes veiculares é a inserção de novos mecanismos que possam torná-
las mais seguras e confiáveis, sem adicionar riscos no comprometimento de seu desempenho. Um
mecanismo de segurança muito utilizado para detecção de comportamentos maliciosos na rede são
os sistemas de reputação que aumentam a confiabilidade nas mensagens trocadas pelas aplicações
que fazem uso destas redes, pois permitem que os veículos possam fazer uma avaliação do
comportamento dos demais veículos e então decidir se confiam ou não nestes.
O objetivo deste trabalho foi de analisar a confiança dos veículos em uma aplicação de
Alerta de Perigo Local (LDW) para redes veiculares (VANETs) de forma a identificar a presença de
nós maliciosos e descartar seus alertas, por meio de um sistema de reputação descentralizado. Os
métodos de pesquisa utilizados foram distribuídos em três fases.
Na primeira fase, foi executado um procedimento técnico de pesquisa bibliográfica para
realizar a fundamentação teórica, que abordou a área de redes veiculares, segurança de redes
veiculares e sistemas de reputação em redes P2P. Ainda nessa fase, foi realizada a revisão
sistemática, selecionando-se e analisando-se trabalhos correlatos. Na segunda fase, o sistema de
reputação proposto foi definido e seus algoritmos e mensagens foram detalhadamente descritos. Na
terceira fase, o sistema de reputação a aplicação RAMS+ que faz uso do sistema foram
implementados utilizando dois simuladores (rede e de tráfego) bidirecionalmente acoplados.
Diferentes experimentos simulados foram realizados com o objetivo de avaliar o sistema proposto.
Uma análise dos resultados obtidos nas simulações e outra sobre os trabalhos relacionados o
diferencial da solução proposta foram realizadas nesta fase.
Com a identificação das principais formas de ataques de nós maliciosos cometidos contra
aplicações LDW, com a definição do sistema de reputação proposto e pela análise feita dos
impactos do sistema proposto e da sua eficácia, pode-se afirmar que os objetivos específicos desse
trabalho foram atingidos.
O sistema de reputação proposto nesta dissertação inova em relação aos trabalhos
relacionados por ser um sistema descentralizado, com uma abordagem otimista e global,
direcionado para aplicações de Alerta de Perigo Local (LDW) em rodovias, que visa avaliar a
confiança dos veículos para então descartar alertas falsos propagados por veículos maliciosos,
127
utilizando para isto diferentes técnicas que são empregadas de acordo com a localização do veículo
na aplicação LDW.
A primeira técnica a ser utilizada é uma Lista de Reputação (LR) dos veículos que trafegam
na rodovia calculada e propagada pelas unidades de acostamento (RSUs). Quando os veículos estão
muito próximos do local do evento, apenas esta técnica é utilizada para avaliar a confiança do
veículo emissor da mensagem de alerta (MenAlert). Caso contrário, a reputação global do veículo
emissor pode ser calculada combinando dois valores de reputação denominados de reputação direta
(experiência do próprio veículo) e a reputação agregada (experiência dos veículos vizinhos). Além
disso, um sistema de votação é utilizado para dar mais segurança ao processo de punição dos
veículos maliciosos (baixar a reputação).
A avaliação do Sistema de Reputação foi realizada através de simulações. A aplicação
RAMS+ e o Sistema de Reputação foram implementados utilizando o simulador de rede
OMNET++/INET e o simulador de tráfego SUMO. Um ataque de nó malicioso foi simulado em
diferentes cenários, com diferentes fluxos de veículos, de forma a testar o funcionamento do
Sistema e avaliar a eficácia do Sistema de Reputação. Para que fosse possível verificar os impactos
da aplicação RAMS+, três diferentes métricas foram avaliadas: taxa de veículos que receberam a
mensagem de alerta, número de colisões na rede, e o tempo e a distância dos veículos ao receberem
a mensagem de alerta.
Com os resultados obtidos nas simulações foi possível comprovar a eficácia do sistema de
reputação descentralizado proposto, mesmo diante de nós conhecidos. A métrica utilizada para
avaliar a eficácia do uso do sistema por uma aplicação LDW (RAMS+) foi a taxa de falsos
negativos. Em alguns cenários, não muito comuns de ocorrerem, a taxa de falsos negativos não é
desprezível. Porém, a opção por uma abordagem otimista (sem falsos positivos) traz esta
penalidade.
Os resultados demonstram também que os impactos na eficácia da aplicação RAMS+ não
prejudicam os objetivos da aplicação. Uma vez que a maioria dos veículos, independente da
densidade, recebeu a mensagem de alerta, sendo os que não receberam (abaixo de 8%) estavam
longe do local do evento ao término da simulação. Provavelmente, ao chegarem mais próximos ao
evento, estes veículos receberiam o alerta.
128
Com as simulações, foi possível também comprovar a eficiência da aplicação, uma vez que
mesmo com o acréscimo das colisões com o uso do sistema de reputação, a maioria dos veículos
receberam o alerta em tempo hábil para tomar decisões. Os atrasos no recebimento do alerta não
prejudicaram os condutores, visto que os veículos tiveram tempo para realizar os cálculos da
reputação, bem antes de se aproximar do local do evento.
Apesar dos impactos e degradações provocadas pelo uso do sistema reputação, os prejuízos
que podem vir a ser causados por veículos maliciosos são maiores do que os impactos apresentados
nestas simulações. Entretanto, cabe ressaltar que como em qualquer simulação as análises da
eficiência e eficácia devem ser interpretadas de maneira cuidadosa, pois na prática pode haver
fatores externos como interferência eletromagnética, clima, sombreamento que podem ocasionar
problemas na rede veicular.
Por fim, os resultados obtidos permitiram confirmar as hipóteses de pesquisa, dado que com
o uso do sistema de reputação proposto foi possível identificar a presença de um nó malicioso em
uma aplicação LDW com baixa taxa de falsos negativos, foi possível verificar que apesar da
degradação da eficácia (entrega de alertas) da aplicação RAMS, todos os veículos próximos ao local
do evento receberam o alerta e que os atrasos para o recebimento do alerta (impacto sobre o tempo)
identificados não prejudicaram a ação dos motoristas, inclusive dos que estavam na área de decisão
e disseminação.
6.1 CONTRIBUIÇÕES DA DISSERTAÇÃO
Dentre as principais contribuições desta dissertação podem ser destacadas as seguintes:
Análise das principais formas de ataques de nós maliciosos cometidos contra
aplicações LDW;
Desenvolvimento de um sistema de reputação descentralizado e otimista que:
o Possibilita uma análise prévia da confiança nos veículos em uma aplicação
LDW para redes veiculares, com o objetivo descartar mensagens
provenientes de veículos maliciosos;
129
o Para calcular a reputação, o sistema de adapta de acordo com a região
geográfica na qual um veículo de uma aplicação LDW se encontra;
o Quando possível, faz o cálculo da reputação global (reputação direta e
agregada);
o Faz uso de um sistema de votação, visando aumentar a segurança das
decisões tomadas a respeito da punição dos veículos na rede; e
Aprimoramento de uma aplicação LDW (RAMS+) que visa disseminar alertas em
rodovias e que está integrada ao sistema de reputação para tratar o problema de nós
maliciosos que propagam mensagens falsas na rede.
6.2 TRABALHOS FUTUROS
Quanto a trabalhos futuros, sugere-se:
Continuar a avaliação do sistema proposto, através de simulações, de forma a
analisar a sua eficácia diante de ataques de conluio, ataques de sybil e ataques com
mais de um nó malicioso. A partir desta análise, desenvolver técnicas que possam
tratar de forma mais adequada estes ataques.
Estender o sistema de reputação para que este possa ser adaptado (configurável) para
outros tipos de aplicações de segurança no trânsito e cenários (urbano, por exemplo),
através de uma interface, e com isso poder avaliar a sua integração a outras
aplicações.
Desenvolver um sistema de gestão de identidades específico para redes veiculares
para prover a identificação, autenticação e autorização de veículos. A privacidade
deverá também ser garantida de forma a evitar que veículos possam ser rastreados.
130
REFERÊNCIAS
ALVES, R. S. A.; CAMPBELL, I. V.; COUTO, R. S.; CAMPISTA, M. E. M.; MORAES, I. ;
RUBINSTEIN, M. G.; COSTA, L. H. M. K.; DUARTE, O. C. M. B. e ABDALLA, M. Redes
Veiculares: Princípios, Aplicações e Desafios. Minicursos do Simpósio Brasileiro de Redes de
Computadores SBRC'2009, Recife, PE, Brasil, p. 199-254, Maio 2009.
BARCELLOS P., Marinho e GASPARY, M. P. Segurança em Redes P2P: Princípios, Tecnologias
e Desafio. Em Minicursos do Simpósio Brasileiro em Segurança da Informação e de Sistemas
Computacionais (SBSEG), 2006.
BERNSEN, J. e D. MANIVANNAN. Unicast routing protocols for vehicular ad hoc networks:
A critical comparison and classification. Pervasive and Mobile Computing. p 1-18, 2009.
BUCHEGGER, S. e BOUDEC, J. Y. L. A robust reputation system for p2p and mobile ad hoc
networks. Second Workshop Economics of Peer-to-Peer Systems, Boston, 2004.
BULHMAN, Haroldo; CAMBIACA, Luís. LAN/MAN Wireless I: Padrões 802.11a, b, e g.
Disponível em: < http://www.teleco.com.br>. Acesso em: 18 agosto 2012.
CHANG, E., DILLON, T.S, e HUSSAIN, F. KEYNOTE. Trust and reputation relationships in
service-oriented environments, In 3rd International Conference on Information Technology
and Applications, p. 4-14, 2005.
DALY, E. M. e HAAHR M. Social network analysis for routing in disconnected delay-tolerant
manets. In MobiHoc ’07: Proceedings of the 8th ACM international symposium on Mobile ad hoc
networking and computing, p 32-40, 2007.
DAMIANI, E., di VIMERCATI, D., PARABOSCHI, S., SAMARATI, P., and VIOLANTE, F. A
reputation-based approach for choosing reliable resources in peer-to-peer networks. In 9th ACM
Conference on Computer and Communications Security. Washington, DC, USA, p. 207-216,
2002.
DAEINABI A, GHAFFARPOUR R. A. Detection of malicious vehicles (DMV) through
monitoring in Vehicular Ad-Hoc Networks. Journal Multimedia Tools and Applications ,
Volume 66, p 325–338, 2011.
DAI, Wei et al. The iTrust Local Reputation System for Mobile Ad-Hoc Networks. In: Proceedings
of the 2013 International Conference on Wireless Networks. 2013.
DOTZER, F.; FISCHER, L.; e MAGIERA, P.; VARS: A Vehicle Ad Hoc Network Reputation
System. In Proceedings of the IEEE International Symposium on a World of Wireless, Mobile and
Multimedia Networks, Taormina, Italy, p 454-457, 2005.
ESCUDERO, Alberto; WLAN (IEEE 802.11 B) and WMAN (802.16 A) Broadband Wireless
Access: when opportunities drive solutions. Royal Institute of Technology, Stockholm, Sweden,
2002.
131
FAN, Peng Improving broadcasting performance by clustering with stability for inter-vehicle
communication. IEEE 65th Vehicular Technology, 2007.
FELDMAN, M. e CHUANG, J. Overcoming freeriding behavior in peer-to-peer systems.
SIGecom Exchange, p. 41–50, 2005.
FERNANDES, N. C., MOREIRA, M. D. D., VELLOSO, P. B., et al., Ataques e Mecanismos de
Segurança em Redes Ad Hoc, Em: Minicursos do Simpósio Brasileiro de Segurança da
Informação e de Sistemas Computacionais (SBSeg), cap. 2, Sociedade Brasileira de Computação,
p. 49–102, Agosto 2006.
FESTAG, A.; NOECKER, G.; STRASSBERGER, M.; LUBKE, A.;BOCHOW, B.; TORRENT-
MORENO, M.; SCHNAUFER, S.; EIGNER,R.; CATRINESCU, C.; KUNISCH, J. Now-network
on wheels: Project objectives, technology and achievements. In: Proceedings of 6th
International
Workshop on Intelligent Transportations (WIT), Hamburg,Germany, 2008.
GOLLE, P.; GREENE, D.; e STADDON, J., Detecting and correcting malicious data in VANETs,
in: Proceedings of the first ACM workshop on Vehicular ad hoc networks VANET’04, p. 29–37,
2004.
GRANDISON, T. e SLOMAN. A survey of trust in internet applications. IEEE Communications
Surveys e Tutorials, Vol 3, p. 2-16, 2000.
GRAY, E., SEIGNEUR, J.-M., CHEN, Y., e JENSEN, C. D. Trust propagation in small worlds. In
First International Conference on Trust Management, p. 239–254, 2003.
HARTENSTEIN, H. e K. LABERTEAUX, VANET Vehicular Applications and Inter-
Networking Technologies. 1st Edn., Wiley, USA. p. 466, 2010.
IEEE, IEEE Std 1609.4 IEEE Trial use Standard for wireless Acess in Vehicular Environments
(WAVE) – Multi-channel Operation. IEEE Vehicular Technology Society. 2006
IEEE, IEEE Std 802.11, 1999 edition. International Standard for Information Technology-
Telecommunications and information exchange between systems-Local and metropolitan area
networks-Specific Requirements- Parte 11: Wireless LAN Medium Access Control (MAC) and
Physical Layer (PHY) specifications, 1999.
IEEE, IEEE Std 802.11, 2007. IEEE Standard for information technology –
Telecommunications and information exchange between systems – Local and metropolitan
area networks – Specific 103 requirements – Part 11: Wireless LAN Medium Access Control
(MAC) and Physical Layer (PHY) Specifications, 2007.
ISAAC, J. T., ZEADALLY, S., and CAMARA, J.S. Security attacks and solutions for vehicular
ad hoc networks. IET Communications, vol.4 p. 894-903, 2010.
JAMEEL, A. et alli. Web on wheels: Toward internet-enabled cars. Computer, IEEE Computer
Society. v. 1, n. 1, p. 69-76, 1998.
JIANGYI, Hu. Cooperation in Mobile Ad Hoc Networks, Technical report, Computer Science
Department, Florida State University, 2005
132
KAMVAR, S. D., SCHLOSSER, M. T., and GARCIA-MOLINA, H. The eigen trust algorithm for
reputation management in p2p networks. In Proceedings of the 12th international conference on
World Wide Web.New York, NY, USA, p. 640-651, 2003.
KARL Aberer e Zoran DESPOTOVIC. Managing trust in a peer-2-peer information system. In
CIKM '01: Proceedings of the tenth international conference on Information and knowledge
management, New York, NY, USA, p. 310-317, 2001.
KOSCH, T.: Local danger warning based on vehicle ad hoc networks: Prototype and simulation. In:
Proceedings of 1st International Workshop on Intelligent Transportation (WIT 2004), 2004.
LEE J., CHEN W., ONISHI R., e VUYYURU R., Vehicle local peer group based multicasting
protocol for vehicle-tovehicle communications. The Fourth International Workshop on Vehicle-
to-Vehicle Communications, 2008.
LIN X., X. SUN, P. H. HO, e X. SHEN, GSIS: a secure and privacy preserving protocol for
vehicular communications, IEEE Transaction on Vehicular Technology, Vol. 56, No. 6, p. 3442-
3456, 2007.
LI Qin, AMIZAH Malip, KEITH M. Martin, SIAW-LYNN Ng, JIE Zhang, A Reputation-based
Announcement Scheme for VANETs. In Vehicular Technology, IEEE Transactions on.Volume
61 p 4095-4108, 2012.
LIU, H. e QIU, Y. A reputation model base on transactions in peer-to-peer networks. In SKG ’07:
Proceedings of the Third International Conference on Semantics, Knowledge and Grid, IEEE
Computer Society, Washington, DC, USA, p. 398–401, 2007.
LO, N. e TSAI C. A Reputation System for Traffic Safety Event on Vehicular Ad Hoc Networks.
EURasiP Journal on Wireless Communications and Networking, 2010.
MARTI, Sergio. e MOLINA, Hector Garcia. Taxonomy of trust: Categorizing P2P reputation
systems. Computer Networks: The International Journal of Computer and
Telecommunications Networking, vol. 50, p. 472 – 484, 2006.
MARTI, Sergio e MOLINA, Hector Garcia. Limited reputation sharing in p2p systems. New York,
NY, USA. Proceedings of the 5th ACM conference on Electronic commerce, New York, NY,
USA, p. 91-101, 2004.
MELLO, E. R. Um modelo de confiança dinâmica em ambientes orientados a serviço. PhD
thesis, Universidade Federal de Santa Catarina. 2009.
MITROPOULOS, G. K. I. S. KARANASIOU, A. HINSBERGER, F. AGUADO-AGELET,
H.WIEKER, H.-J. HILT, S. MAMMAR, and G. NOECKER, Wireless local danger warning:
Cooperative foresighted driving using intervehicle communication, IEEE Trans. Intell. Transp.
Syst., vol. 11, no. 3, p. 539–553, 2010.
NETTO, Alvim Antônio de Oliveira. Metodologia da pesquisa científica: guia prático para
apresentação de trabalhos acadêmicos. Florianópolis: Visual Books, 2005.
133
OLIVEIRA, R. Desenvolvimento de uma aplicação distribuída utilizando redes veiculares para
sinalizar problemas em rodovias. 2010. 107 f. Trabalho de Conclusão de Curso – Universidade do
Vale do Itajaí, São José, 2010.
OSTERMAIER B.; DOTZER F.; e STRASSBERGER M.. Enhancing the security of local danger
warnings in VANETs - a simulative analysis of voting schemes. In Proceedings of ARES’07, 2007.
PAULA, W.P.; OLIVEIRA, S.; NOGUEIRA, J.M. Um mecanismo de reputação para redes
veiculares tolerantes a atrasos e desconexões. In: Simpósio Brasileiro de Redes de Computadores
e Sistemas Distribuídos, 2010. Gramado. SBRC, p.545-550, ,2010.
PARNO, B. E; PERRIG, A. . Challenges in securing vehicular networks. Workshop on Hot
Topics in Networks (HotNets-IV). 2005.
PATWARDHAN, A., JOSHI, A., FININ, T., e YESHA, Y. A data intensive reputation
management scheme for vehicular ad hoc networks. In Proceedings of the Second International
Workshop on Vehicle-to-Vehicle Communications. IEEE. 2006
PAPADIMITRATOS, P., BUTTYAN, L., HOLCZER, T., SCHOCH, E., FREUDIGER, J., RAYA,
M., Ma, Z., KARGL, F., KUNG, A. e HUBAUX, J.-P. Secure vehicular communication systems:
design and architecture. IEEE Wireless Communications Magazine, p. 100–109, 2008.
PEASE, M., SHOSTAK, R. e LAMPORT, L. (1980). Reaching agreement in the presence of faults.
em Journal of ACM 27, volume 2, páginas 228–234. 1980
QIAN Yi, e Nader MOAYERI, Design Secure and Application-Oriented VANETs, Proceedings of
IEEE VTC’2008-Spring, Singapore, May 11-14, 2008.
RAYA, Maxim e HUBAUX, Jean-Pierre The security of vehicular ad hoc networks. In
Proceedings of ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN), Novembro,
2005.
RESNICK, Paul, Ko KUWABARA, Richard ZECKHAUSER and ERIC F. Reputation systems
commum. Comunications of the ACM. 2000.
RODRIGUES, Ramon R. Avaliação do impacto do uso de mecanismos de segurança em uma
aplicação distribuída que utiliza redes veiculares. 2011. Trabalho de Conclusão de Curso –
Universidade do Vale do Itajaí, São José, 2011.
SAFAEI, Zahra; SABAEI, Masoud; TORGHEH, Fatemeh. An efficient reputation-based
mechanism to enforce cooperation in MANETs. In:Application of Information and
Communication Technologies, 2010. AICT 2010. International Conference on. IEEE, 2010. p.
1-6.
SAMARA, G.; AL-SALIHY, W. A.H.; SURES, R. Security issues and challenges of vehicular
ad hoc networks, Malasia, p.393-398, 2010.
STERLING, B. Turning cars into wireless network nodes. Disponível em
http://www.wired.com/beyond_the_beyond/2007/06/turning_cars_in/. Acessado em 03/08/2012.
134
SILVA, E. L. D.; MENEZES, E. M. Metodologia da Pesquisa e Elaboração de Dissertação.
Editora da UFSC, 2005.
SOMMER, C.; DRESSLER, F. Progressing Towards Realistic Mobility Models in VANET
Simulations. IEEE Communications Magazine, p. 132-137, nov. 2008.
SUN Q. e MOLINA G. H. Using Ad hoc Inter-vehicle Networks for Regional Alerts. Technical
report, Stanford University, 2004.
SWAMYNATHAN G., B. ZHAO, K. C. ALMEROTH, and H. ZHENG. Globally decoupled
reputations for large distributed networks, p. 12–12, 2007.
VARGA, A. The OMNeT++ discrete event simulation system. <http://www.omnetpp.org>.
Acessado em 11/06/2013.
YANG, H., LUO, H., YE, F., LU, S., e ZHANG, L. Security in Mobile Ad Hoc Networks:
Challenges and Solutions, IEEE Wireless Communications, Volume 11, Issue 1, Fevereiro 2004.
YU, Bin e MUNINDAR P. Singh. A social mechanism of reputation management in electronic
communities. In CIA ’00: Proceedings of the 4th International Workshop on Cooperative
Information Agents IV.London, UK, 2000.
WANG, Z. e CHIGAN, C. Countermeasure uncooperative behaviors with dynamic trust-token in
vanets. In ICC ’07: Proceedings of IEEE International Conference on Communications, Glasgow,
Scotland. IEEE. 2007
WANG, Y. e VASSILEVA, J. Bayesian Network Trust Model in Peer-to-Peer Networks.
Workshop on Deception, Fraud and Trust in Agent Societies. 2003.
WEIL, T. Securing Wireless Access in Vehicular Environments (WAVE) Infrastructure and
Operations Support Systems (OSS) Architecture. In: IEEE GLOBECOM DESIGN AND
DEVELOPERS FORUM, 2008, New Orleans, USA. Proceedings... USA: IEEE, p.1-38, 2008.
135
APÊNDICE A – REVISÃO SISTEMÁTICA
Objetivo:
Executar uma revisão sistemática tendo como objetivo identificar, analisar e avaliar os
trabalhos encontrados na literatura que utilizam modelos de confiança e/ou sistemas de reputação
em redes móveis ad hoc, entre estas as redes veiculares.
Formulação da Questão de Pesquisa:
Questão Principal: O sistema de reputação é capaz de identificar de forma eficaz nós
maliciosos e descartar seus alertas em uma aplicação de Alerta de Perigo Local (LDW)?
Questão Adicional 1: Quais os impactos decorrentes do uso de um sistema de reputação
descentralizado na entrega das mensagens (eficácia) e no tempo para entrega dos alertas
(eficiência)?
Questão Adicional 2: Quais são as principais formas de ataques de nós maliciosos
cometidos contra aplicações LDW?
População: Ataques de Nós maliciosos
Intervenção (O que será investigado?):
Questão Principal: A utilização do sistema de reputação proposto é capaz de identificar os
nós maliciosos e descartar seus alertas?
Questão Adicional 1: Confiabilidade na entrega dos pacotes, número de colisões e impacto
para o cálculo da reputação.
Questão Adicional 2: Os possíveis ataques que prejudicam a segurança da rede executados
por nós maliciosos.
Resultados: (1) Definir e implementar uma aplicação LDW para rodovias (RAMS+) com
simuladores de redes e de tráfego bidirecionalmente acoplados. (2) avaliação da eficácia do
136
sistema de reputação e dos impactos decorrentes da aplicação RAMS+ através de
simulações realizadas em diferentes cenários de densidade de veículos, e (3) as análises dos
resultados experimentais obtidos.
Contexto: Sistema de reputação em redes veiculares.
ESTRATÉGIA DE BUSCA:
TERMOS DE BUSCA:
Em português: (Sistema de reputação OR Vanets) AND (LDW OR Vanets) AND Nós
maliciosos
Em inglês: (reputation system OR Vanets) AND (LDW OR Vanets) AND Malicious nodes
FONTES:
Google acadêmico: http://scholar.google.com.br
IEEEExplore: http://ieeexplore.ieee.org
SpringerLink: http://springerlink.com
CAPES: http://www.periodicos.capes.gov.br
CRITÉRIOS E PROCEDIMENTOS PARA A SELEÇÃO:
Critérios de seleção de fontes:
Artigos publicados entre 01/01/2000 e 19/04/2013;
Disponibilidade de consultas de artigos através da WEB;
Presença de mecanismos de busca através de palavras chaves;
137
Métodos de busca de fontes:
As fontes serão acessadas via web.
Idiomas dos artigos:
Inglês e português.
Critérios de Inclusão e Exclusão:
Os trabalhos serão filtrados a partir dos seguintes critérios:
Análise do título do trabalho;
Pela análise do resumo e conclusões do trabalho;
Pela data de publicação do trabalho;
Critérios para a inclusão de estudos:
Para a questão primária: Serão incluídos no estudo trabalhos nos quais títulos e resumos
contenham informações referentes a sistemas de reputação e/ou tratar problemas de nós
maliciosos em redes ad hoc. A conclusão será analisada para verificar a contribuição do
trabalho. A data de publicação do trabalho deve ser superior ou igual ao ano de 20XX.
Para a questão secundária: Os mesmos critérios utilizados na questão primária, porém o
título e resumo devem conter a informação sobre ataques em redes veiculares e requisitos de
segurança.
Critérios para a exclusão de estudos:
Para a questão primária: Serão excluídos do estudo trabalhos cujos títulos e resumos sejam
conflitantes, ou seja, o título remete a um assunto enquanto o resumo remete a outro assunto.
Os trabalhos publicados antes do ano de 2000 não serão analisados.
Para a questão secundária: Os mesmos critérios adotados na questão primária além de que o
título e o resumo não estiverem informando sobre ataques em redes veiculares ou requisitos
de segurança.
138
Processo de seleção dos estudos primários:
Processo de seleção preliminar: As estratégias de pesquisa serão aplicadas para identificar
os estudos primários potenciais. Caso um trabalho não atenda aos critérios de inclusão e
também não atenda aos critérios de exclusão, este será incluído.
Processo de seleção final: Cópias dos trabalhos incluídos como resultados da pesquisa
inicial serão revisados. Esta revisão conclui a seleção de trabalhos a serem incluídos no
processo de extração de dados.
Critérios de Qualidade e Avaliação da Qualidade dos Estudos
Os estudos foram avaliados em sua qualidade abordando os seguintes aspectos:
Objetivos: Os trabalhos devem ter como objetivos o desenvolvimento de um sistema de
reputação e/ou tratar problemas de nós maliciosos em redes ad hoc.
Condução: O sistema deve, preferencialmente, possuir uma etapa experimental e ser bem
referenciado.
Experimentos: Que possua resultados obtidos através de implementação.
Estratégia para a extração de informação:
Para cada artigo aprovado pelo processo de seleção completo, tanto para a questão primária
quanto para a questão secundária, foram extraídos os seguintes dados:
Informação para referência bibliográfica;
Tipo de artigo: teórico, experimental ou ambos;
Problema alvo;
Solução proposta;
Metodologia ou materiais utilizados;
Resultados obtidos;
139
Métricas de avaliação;
Problemas em aberto;
Síntese dos dados extraídos:
Os resultados foram organizados em tabelas. A partir da tabulação dos dados, foram
extraídos os dados.
140
APÊNDICE B – TEMPO PARA RECEBIMENTO DA MENSAGEM
DE ALERTA COM REPUTAÇÃO – CENÁRIO 750 VEÍCULOS
C/
Reputação
(Segundos)
S/
Reputação
(Segundos)
C/
Reputação
(Segundos)
S/
Reputação
(Segundos)
C/
Reputação
(Segundos)
S/
Reputação
(Segundos)
1,13805 1,0089 0,6927 0,6553 0,6727 0,6553
1,06069 1,0013 0,6927 0,6553 0,6727 0,6398
1,06069 1,0013 0,6927 0,6553 0,6727 0,6398
1,06069 1,0013 0,6927 0,6553 0,6727 0,6398
1,06069 0,9577 0,6927 0,6401 0,6727 0,6398
1,06069 0,9577 0,6927 0,6401 0,6727 0,6398
1,06069 0,9577 0,6916 0,6401 0,6727 0,6398
1,06069 0,9577 0,6916 0,6401 0,6727 0,6412
1,06069 0,9577 0,6916 0,6401 0,6727 0,6412
1,06069 0,8901 0,6916 0,6401 0,6716 0,6412
1,06069 0,8901 0,6916 0,6401 0,6716 0,6412
1,06069 0,8901 0,6916 0,6401 0,6716 0,6412
1,06069 0,8901 0,6916 0,6401 0,6716 0,6412
1,06069 0,8901 0,6916 0,6401 0,6716 0,6412
1,06069 0,8901 0,6916 0,6401 0,6716 0,6412
0,8856 0,8501 0,6916 0,6401 0,6716 0,6412
0,7655 0,7320 0,6916 0,6401 0,6716 0,6412
0,7655 0,7319 0,6916 0,6401 0,6716 0,6412
0,6996 0,6553 0,6916 0,6401 0,6716 0,6412
0,6996 0,6553 0,6916 0,6401 0,6716 0,6412
0,6996 0,6553 0,6916 0,6401 0,6716 0,6412
0,6996 0,6553 0,6916 0,6398 0,6716 0,5287
0,6996 0,6553 0,6727 0,6398 0,5724 0,5287
0,6996 0,6553 0,6727 0,6398 0,5724 0,5287
0,6996 0,6553 0,6727 0,6398 0,5724 0,5287
0,6996 0,6553 0,6727 0,6398 0,5724 0,5287
0,6996 0,6553 0,6727 0,6398 0,5724 0,5287
0,6996 0,6553 0,6727 0,6398 0,5724 0,5287
0,6996 0,6553 0,6727 0,6398 0,5724 0,5287
0,6927 0,6553 0,6727 0,6398 0,5724 0,5287
0,6927 0,6553 0,6727 0,6398 0,5724 0,5287
0,6927 0,6553 0,6727 0,6398 0,5724 0,5287
0,6927 0,6553 0,6727 0,6398 0,5724 0,5287
0,6927 0,6553 0,6727 0,6398 0,5724 0,5287
0,6927 0,6553 0,6727 0,6398 0,5724 0,5287
0,6927 0,6553 0,6727 0,6398 0,5724 0,5219
0,6927 0,6553 0,6727 0,6398 0,5631 0,5219
0,6927 0,6553 0,6727 0,6398 0,5573 0,5219
0,6927 0,6553 0,6727 0,6398 0,5487 0,5219
141
0,5487 0,5219 0,5207 0,4865 0,5036 0,2333
0,5487 0,5219 0,5207 0,4865 0,3932 0,2333
0,5487 0,5219 0,5207 0,4865 0,2806 0,2333
0,5487 0,5219 0,5207 0,4865 0,2542 0,2333
0,5487 0,5219 0,5207 0,4865 0,2542 0,2333
0,5487 0,5219 0,5207 0,4865 0,2542 0,2333
0,5487 0,5219 0,5207 0,4865 0,2542 0,2333
0,5487 0,5219 0,5207 0,4865 0,2542 0,2333
0,5487 0,5219 0,5207 0,4865 0,2542 0,2333
0,5467 0,5219 0,5136 0,4865 0,2542 0,2333
0,5467 0,5219 0,5136 0,4865 0,2542 0,2333
0,5467 0,5219 0,5136 0,4865 0,2349 0,2177
0,5467 0,5219 0,5136 0,4865 0,2349 0,2177
0,5467 0,5219 0,5136 0,4865 0,2266 0,2177
0,5467 0,5176 0,5127 0,4865 0,1516 0,1418
0,5467 0,5176 0,5127 0,4865 0,0886 0,0817
0,5467 0,5176 0,5127 0,4865 0,0426 0,0310
0,5467 0,5176 0,5127 0,4833 0,0426 0,0310
0,5467 0,5176 0,5127 0,4833 0,0426 0,0310
0,5467 0,5176 0,5127 0,4833 0,0398 0,0310
0,5467 0,5176 0,5116 0,4833 0,0340 0,0310
0,5467 0,5176 0,5116 0,4833 0,0030 0,0019
0,5467 0,5176 0,5116 0,4833 0,0028 0,0018
0,5307 0,5176 0,5116 0,4833 0,0028 0,0018
0,5307 0,5176 0,5116 0,4833 0,0027 0,0018
0,5307 0,5176 0,5107 0,4833 0,0027 0,0018
0,5307 0,5176 0,5076 0,4833 0,0027 0,0018
0,5307 0,5176 0,5076 0,4833 0,0027 0,0018
0,5307 0,5176 0,5076 0,4833 0,0027 0,0018
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5076 0,4833 0,0016 0,00139
0,5296 0,5176 0,5056 0,4833 0,0016 0,00139
0,5296 0,5176 0,5036 0,4833 0,0016 0,00139
0,5296 0,5176 0,5036 0,4833 0,0016 0,00139
0,5207 0,5176 0,5036 0,4833 0,0016 0,00139
0,5207 0,5176 0,5036 0,4833 0,0016 0,00139
0,5207 0,5176 0,5036 0,2155 0,0016 0,00139
0,5207 0,5176 0,5036 0,2155 0,0016 0,00139
0,5207 0,5176 0,5036 0,2155 0,0016 0,00139
0,5207 0,5176 0,5036 0,1399 0,0016 0,00139
142
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
143
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
144
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
145
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139
0,0016 0,00139 0,0016 0,00139 0,0016 0,00139