Securitatea Comunicatiilor In Retelele Vehiculare Ad Hoc (vanet)

TEZĂ DE MASTER

Securitatea comunicațiilor în rețelele

vehiculare ad- hoc (vanet)

CUPRINS

SARCINA

ADNOTARE

LISTA ABREVIERILOR

INTRODUCERE

1. CONCEPTE GENERALE DE SECURITATE

1.1 Securitatea în medii VANET

1.2 Aplicații în rețelele VANET

1.3 Componentele vehiculului cu VANET activat

1.4 Concluzii

2. ABORDĂRI ALE SECURITĂȚII ÎN MEDII VANET

2.1 Caracteristici VANET

2.2 Probleme de securitate specifice mediilor VANET

2.3 Lucrări înrudite

2.4 Concluzii

3. PROTOCOLUL DE ASIGURARE A SECURITĂȚII

ÎN MEDII VANET

3.1 Caracteristici generale

3.2 Stările protocolului

3.3 Entitați participante în protocol

3.4 Mesajele existente în protocol

4. IMPLEMENTAREA PILOT ÎN SIMULATORUL VNSIM

4.1 Simulatorul VNSim

4.2 Modulul de mobilitate

4.3 Modelul de comunicație

4.4. Detalii de implementare

4.5 Clasa SecCar

4.6 SecCityTrafficLight

4.7 Clasa SecMessage

4.8 Clasa SecureGlobals

5. REZULTATE EXPERIMENTALE

5.1 Performanța protocolului de securitate în condiții ce nu implică prezența unor atacatori

5.2 Scenariul 1

5.3 Scenariul 2

5.4 Scenariul 3

5.5 Scenariul 4

5.6 Analiza rezultatelor

CONCLUZII GENERALE ȘI RECOMANDĂR

BIBLIOGRAFIE

CURRICULUM VITAE

ANEXĂ.

Aprob

Șef Catedră TIC

Iuri Dubcovețchi, dr., conf. univ.

_________________________

”___” ________________ 2014

S A R C I N A

pentru teza de master a studentei Tipa Victoria

Tema: „Securitatea comunicațiilor în rețelele vehiculare ad-hoc (VANET)

”

aprobată prin ordinul nr____ din ”___” _____________ 2014

Conținutul notei explicative:1. Analiza metodelor și sistemelor clasice și moderne de autentificare, autorizare și control al accesului în rețelele ad-hoc. 2. Elaborarea și realizarea unui scenariu de autentificare, autorizare și control al rețelelor vehiculare.3. Analiza experimentului elaborat.

Lista materialului grafic:1. Clasificarea metodelor și sistemelor existente de autentificare, autorizare și control al sistemelor de securitate a rețelelor vehiculare. 2. Structura sistemului de securitate de autentificare, autorizare și control al accesului în sistemele vehiculare.3. Schema-bloc al softului elaborat; 4. Rezultatele cercetărilor și testărilor algoritmului elaborat.

Data înmânării sarcinii: ”___” _____________ 2014.

Executant

Tipa Victoria.

Conducătorul tezei

Aureliu Zgureanu, dr. conf. univ.

ADNOTARE

Tipa Victoria, „Securitatea comunicațiilor în rețelele vehiculare ad-hoc (VANET)”, teză de master la specialitatea Tehnologii Informaționale, Chișinău, 2014.

Proiectul cuprinde introducerea, cinci capitole, concluzii cu recomandări, bibliografia din 50 titluri. Ea este perfectată pe 72 pagini, conține 40 figuri.

Cuvinte-cheie: VANET, securitate, SecCittyTrafficLight, SecCar.

Domeniul de studiu al tezei este securitatea rețelelor.

Scopul și obiectivele lucrării este cercetarea și dezvoltarea de modele, metode și tehnici

originale pentru eficientizarea traficului în medii urbane.

Noutatea și originalitatea lucrării constă în folosirea simulatorului VNSIM, pentru a simula o situație reală în trafic rutier.

Semnificația teoretică a lucrării constă în dezvoltarea unui sistem care implementează protocoalele de securitate în rețelele (VANET).

Valoarea aplicativă a lucrării constă în faptul că acest sistem poate fi implementat în diverse situații a traficului rutier.

Implementarea rezultatelor obținute. Sistemul realizat a fost configurat și prelucrat folosind un scenariu urban cu diferite situații.

ABSTRACT

Tipa Victoria, “Communications Security in Vehicular Ad – Hoc Networks (VANET)”, thesis for master degree, specialty Information Technology, Chisinau, 2014.

The thesis contains the introduction, five chapters, conclusions and recommendations, bibliography of 50 titles. It consists of 72 pages, including 40 figures.

Keywords: VANET, security, SecCittyTrafficLight, SecCar.

Field of study of the thesis is network security.

Goals and objectives is the research and development of original models, methods and techniques for efficiency in urban traffic.

Novelty and originality of this work consist in use of VNSIM simulator to simulate a real traffic situation.

The theoretical significance is to develop a system that implements security protocols in networks (VANET).

Applicative value is: that this system can be implemented in various road traffic.

Implementation results. The developed system has been configured and processed using an urban scenario with different situations.

AHHOTAЦИЯ

Tипа Bиктopия, „Бeзoпаcнocть cвязи в тpанcпopтныx cpeдcтваx cпeциальныx ceтeй (VANET)”, Пpoeкт на coиcканиe cтeпeни магиcтpа пo cпeциальнocти Инфopмациoнныe Texнoлoгии, Кишинeв 2014.

Пpoeкт включаeт ввeдeниe, пять главы, вывoды и peкoмeндации, библиoгpафию из 50 наимeнoваний. Oн выпoлнeн на 72 cтpаниц, coдepжит 40 фигypы.

Ключeвыe cлoва: VANET, бeзoпаcнocть, SecCittyTrafficLight, SecCar.

Oблаcть иccлeдoвания pабoты являeтcя ceтeвая бeзoпаcнocть.

Цeли и задачи pабoты являeтcя иccлeдoваниe и pазpабoтка opигинальныx мoдeлeй, мeтoдoв и мeтoдик для пoвышeния эффeктивнocти гopoдcкoгo тpафика.

Hoвизна и opигинальнocть pабoты заключаeтcя в иcпoльзoвании VNSIM cимyлятopа для имитации peальнoй cитyации на дopoгаx.

Teopeтичecкая значимocть pабoты заключаeтcя в pазpабoткe cиcтeмы, кoтopая peализyeт пpoтoкoлы бeзoпаcнocти в ceтяx (VANET).

Пpикладная значимocть pабoты являeтcя тo, чтo эта cиcтeма мoжeт быть peализoвана в pазличныx cитyаццияx дopoжнoгo движeния.

Peзyльтаты внeдpeния. Pазpабoтанная cиcтeма была наcтpoeна и пpoвepeна в гopoдcкиx cцeнаpияx c pазличными cитyациями.

LISTA ABREVIERILOR

EDR – Event Data Recorder

GPS – Global Positioning System

SVA – Slow / Stop Vehicle Advisor

EEBL – Emergency Electronic Brake – Light

PCN – Post Carsh Notification

RHCN – Road Hazard Control Notification

CCW – Cooperative Collision Warning

CRN – Congested Road Notification

TC – Toll Collect

PAN – Parking Availilalility Notification

RVP/D – Remote Vehicle Personalisation / Diagnostics

SA – Service Announcements

CMDD – Content Map Database Download

DSCR – Dedicadet Short- Range Communications

RSU – Road Side Units

ART – Acceptance Range Threshold

MGT – Mobility Grade Threshold

DOS – Denial of Service

ELP – Electornic License Plates

CA – Certificate Authority

INTRODUCERE

Actualitatea și importanța problemei abordate. Importanța aspectelor de securitate în rețelele vehiculare este pentru a ajuta șoferii în diverse situații: navigarea de zi cu zi, congestiile în trafic, accidentele etc.

Scopul și obiectivele tezei este cercetarea și dezvoltarea de modele, metode și tehnici originale pentru eficientizarea traficului în medii urbane. Sistemele vizate sunt cele de transport inteligent (ITS), soluțiile vizate fiind dezvoltate în contextul rețelelor VANET. Prin acest obiectiv se urmăresc soluții pentru:

1) reducerea congestiei în medii aglomerate,

2) diminuarea poluării datorită mașinilor,

3) asigurarea siguranței în trafic.

În cele mai multe pentru a ajuta șoferii este necesar de a furniza informații pentru vehicule, ceea ce înseamnă a le completa cu diverși senzori care vor fi controlați de o cutie de telematică din interiorul mașinii; cutia la rândul său ar comunica cu șoferul și va fi ghidul lui. Rețeaua Vehiculară Ad-hoc (Vehicular Adhoc Network – VANET) este o componentă importantă a sistemelor inteligente de transport, care are un potențial de viitor deoarece conține un set bogat de aplicații pe care le poate oferi clientului său.

Conceptul de rețea vehiculară a fost propus pentru prima dată de către o echipă de ingineri de la Delphi Delco Electronics Systems și IBM Corporation în anul 1998. VANET este o clasă specială de Rețele Mobile Ad-hoc (Mobile Adhoc Networks – MANET), în care în calitate de noduri sunt vehiculele care comunică cu alte vehicule, cu stația de bază sau cu cele de pe marginea drumului, care acționează ca o infrastructură rutieră pentru utilizarea aplicațiilor de securitate și de servicii. Deși nodurile în rețelele VANET sunt mobile, la fel ca și în cele de tip MANET, mobilitatea în VANET este constrînsă de limitele drumului, spre deosebire de nodurile în MANET, în care mișcarea poartă un caracter mai aleator. La fel ca și în MANET nodurile din VANET sunt caracterizate prin mobilitate mare și modificări rapide de topologie. Însă spre deosebire de MANET energia nu este o problemă în rețelele VANET, deoarece bateriile autovehiculului au o putere suficientă și reîncărcabilă.

Importanța teoretică și valoarea aplicativă a lucrării. Lucrarea propune un protocol de asigurare a securității transmiterii informațiilor adecvat caracteristicilor particulare ale sistemelor VANET. Protocolul de securitate a fost validat prin intermediul unei implementări pilot realizată folosind simulatorul VNSim. În cadrul lucrării sunt prezentate o serie de rezultate experimentale ce vin să demonstreze corectitudinea acestuia.

Astfel, soluția propusă se arată a fi adecvată protejării mesajelor transmise între participanții la

trafic. În ansamblu, lucrarea prezintă un experiment care vrea să transforme compromisul dintre

avantaje și dezavantaje într-un pas înainte în ceea ce privește securitatea în rețelele vehiculare ad-hoc.

Sumarul compartimentelor tezei. Teza de față conține introducere, cinci capitole, concluzii cu recomandări, lista bibliografică din 50 titluri și anexa. Ea este perfectată pe 72 pagini, dintre care 50 pagini constituie partea de bază, conține 30 figuri.

Pe parcursul capitolelor următoare vom prezenta în detaliu protocolul de securitate propus pentru rețele VANET.

Capitolul 2 prezintă abordările existente în cadrul rețelelor mobile de autovehicule cu avantajele și limitările aferente, dar și modul în care s-au exploatat ideile actuale în vederea analizei și modelării soluției curente.

În Capitolul 3 prezentăm soluția de securitate propusă, adecvată pentru medii VANET, precum și motivația alegerii acesteia.

Capitolul 4 prezintă implementarea pilot în simulare, punînd accentul pe detaliile specifice.

Capitolul 5 prezintă rezultatele experimentale pentru protocolul de securitate implementat.

Capitolul 6 evidențiază principalele concluzii, precum și eventuale îmbunătățiri și extinderi ulteriore.

1. CONCEPTE GENERALE DE SECURITATE

În primele decenii ale existenței lor, rețelele de calculatoare au fost folosite de cercetatorii din universități pentru trimiterea poștei electronice. În aceste condiții, securitatea nu atragea prea mult atenția. Dar acum, cînd milioane de utilizatori folosesc rețelele pentru cele mai banale lucruri de zi cu zi, securitatea rețelei apare la orizont drept o problema stringentă. Securitatea este un subiect amplu, care ridică o mulțime de semne de întrebare.

Problemele securității se referă la următoarele aspecte fundamentale:

Confidențialitate (păstrarea secretului) – se referă la păstrarea informației departe de utilizatorii neautorizați.

Integritatea – informația poate fi modificată doar de utilizatorii autorizați sau în modalitate autorizată (asigură ca mesajul primit nu a fost modificat în tranzit sau măsluit). Integritatea acoperă atît integritatea datelor, cît și integritatea originii (verificată prin autentificare sau determinarea identității partenerului cu care schimbi mesaje înainte de a dezvălui informații importante).

Disponibilitatea – accesul la informație a utilizatorilor autorizați nu este îngrădit (opusul este denial of service).

Dintre problemele derivate menționăm:

Controlul accesului – reprezintă protecția împotriva accesului ne-autorizat.

Non-repudierea – prin care se asigură că transmițătorul nu poate nega transmiterea unui mesaj pe care un receptor l-a primit deja.

În stiva de protocoale securitatea rețelei nu se situează într-un loc anume, ea fiind aplicabilă pe mai multe nivele [44].

La nivel fizic, ascultarea firelor poate fi limitată prin incapsularea liniilor de transmisiarele aspecte fundamentale:

Confidențialitate (păstrarea secretului) – se referă la păstrarea informației departe de utilizatorii neautorizați.

Integritatea – informația poate fi modificată doar de utilizatorii autorizați sau în modalitate autorizată (asigură ca mesajul primit nu a fost modificat în tranzit sau măsluit). Integritatea acoperă atît integritatea datelor, cît și integritatea originii (verificată prin autentificare sau determinarea identității partenerului cu care schimbi mesaje înainte de a dezvălui informații importante).

Disponibilitatea – accesul la informație a utilizatorilor autorizați nu este îngrădit (opusul este denial of service).

Dintre problemele derivate menționăm:

Controlul accesului – reprezintă protecția împotriva accesului ne-autorizat.

Non-repudierea – prin care se asigură că transmițătorul nu poate nega transmiterea unui mesaj pe care un receptor l-a primit deja.

În stiva de protocoale securitatea rețelei nu se situează într-un loc anume, ea fiind aplicabilă pe mai multe nivele [44].

La nivel fizic, ascultarea firelor poate fi limitată prin incapsularea liniilor de transmisie în tuburi sigilate.

La nivelul legatură de date, pachetele transmise pe o linie punct-la-punct pot fi codificate cînd părăsesc una dintre mașini și decodificate cînd intră în cealaltă.Toate detaliile pot fi manipulate la nivelul legatura de date, fără ca nivelurile mai înalte să aiba cunoștință de ceea ce se petrece. La nivelul rețea pot fi instalate ziduri de protecție pentru a păstra pachetele în interiorul său în afara acestora.

Securitatea IP funcționează la acest nivel. La nivelul transport pot fi criptate conexiuni întregi, de la un capat la celălalt, adică de la un proces la celălalt. În sfîrșit, probleme cum sunt autentificarea utilizatorilor și non-repudierea nu pot fi tratate decît la nivel aplicație.

1.1 Securitatea în medii VANET.

În rețelele VANET (Vehicular Ad-Hoc Networks) o problemă importantă care frămîntă atît mediul academic cît și cel industrial este implementarea unui model de asigurarea a securității. Cercetarea în acest domeniu este într-un stadiu incipient, pîna în acest moment existînd doar cîteva articole în care este dezbătută problema securitații pentru acest tip de rețele.

Pînă nu demult, automobilele au fost apogeul ingineriei mecanice. O dată cu inovațiile tehnologice a apărut și dorința producătorilor de a crește siguranța în trafic, astfel încît autovehiculele au devenit “calculatoare pe roți”, și chiar mai mult, ”rețele mobile pe roți”. Spre exemplu, o mașina modernă are cîteva zeci de procesoare interconectate; are de obicei un computer central, precum și un sistem EDR (Event Data Recorder – dispozitiv de stocarea a evenimentelor, asemanator cu “black box”-urile din avioane), un sistem GPS (Global Positioning System), un sistem de navigare și multe alte sisteme electronice. Producătorii de automobile sunt pe cale să facă un pas major din punct de vedere informațional, lăsînd mașinile să comunice unele cu altele, precum și cu infrastructura rutieră; în acest fel, o mașină va fi mult mai conștientă de mediul în care se află, crescînd implicit siguranța și optimizînd traficul.

Avînd în vedere beneficiile importante aduse de intercomunicarea dintre mașini și numărul mare de autovehicule existente (cîteva sute de milioane la nivel mondial), este evident că acest tip de comunicație este cel mai probabil să devină cel mai relevant exemplu de rețea ad-hoc mobilă. Una dintre provocările care apar în aceste circumstanțe este securitatea; de exemplu, este esențial că informații de maximă importanță să nu poată fi inserate sau modificate de un atacator; de asemenea, sistemul ar trebui să fie capabil să poată stabili gradul de responsabilitate al șoferilor, și, în același timp, să protejeze pe cît posibil identitatea conducatorilor și a pasagerilor.

Cu toate ca aceste probleme par similare cu cele întalnite în alte tipuri de rețele de comunicație, ele au particularitați care le fac unice. Astfel, dimensiunea rețelei, viteza autovehiculelor, relevantă poziționarii geografice, conectivitatea sporadică dintre mașini fac din securitatea în VANET o provocare ce își caută răspuns.

Soluția de securitate prezentată în lucrare se bazeaza pe poziția vehiculelor în momentul transmiterii mesajelor, momentul de timp la care se petrece emisia, autoritațile de certificare existente în zona în momentul începerii transmiterii de informații în mediul VANET, urmarind crearea unei posibilitați de securizare a transmiterii mesajelor.

1.2 Aplicații în rețelele VANET.

Cele trei clase majore de aplicații posibile în VANET sunt cele orientate pe securitate, pe confort și cele de orientare comercială. Aplicațiile pentru securitate vor monitoriza drumul din jur, vehiculele care se apropie, suprafața drumului, curburile de drum etc. Ele vor face schimb de mesaje și vor coopera pentru a ajuta alte vehicule în cadrul unui astfel de scenariu. Deși fiabilitatea și latența sunt de o importanță majoră în aceste rețele, unele lucruri, cum ar fi de exemplu frânarea de urgență pentru evitarea eventualelor accidente, pot fi automatizate. Aplicațiile pentru confort vor fi în mare parte de management al traficului. Scopul lor este de a spori eficiența traficului prin creșterea gradului de confort pentru șoferi. Aplicațiile comerciale vor oferi conducătorului auto servicii de divertisment, acces web, audio și video streaming.

Unele dintre aplicațiile concrete ale acestor trei clase sunt [47]:

a) Aplicații pentru securitate:

• O astfel de aplicație ar fi Slow/Stop Vehicle Advisor (SVA), în care un vehicul lent sau în staționare va transmite în vecinătatea sa un mesaj de avertizare.

• O altă aplicație similară este semnalul electronic al frânării de urgență (Emergency Electronic Brake-Light sau EEBL) care îmbunătățește securitatea vehiculelor într-un mediu de conducere dens prin avertizarea șoferului înainte ca el să fie capabil să realizeze că autovehiculul din față frânează brusc, mai ales dacă acest autovehiculul nu se vede direct (se află între alte vehicule).

• În aplicația Post Crash Notification (PCN), un vehicul implicat într-un accident va transmite vehiculelor ce se apropie mesaje de avertizare cu privire la poziția sa, astfel încît acestea să aibă timp suficient pentru a lua o decizie de siguranță.

• Controlul notificărilor despre pericole pe autostradă (Road Hazard Control Notification – RHCN) poate face schimb de informații cu privire la alunecările de teren. Aceeași aplicație poate trimite notificări despre caracteristicile drumului – curburile de drum, pantele abrupte etc.

• Avertismentul cooperativ de coliziuni (Cooperative Collision Warning – CCW) avertizează șoferii despre un potențial accident în calea lor, prin intermediul schimbului de informații referitoare la parametri dinamici și statici ai automobilelor din apropiere, astfel încât participanții la trafic să-și poată corecta traseele în caz de necesitate.

b) Aplicații pentru confort:

• Aplicația pentru notificări despre congestiile rutiere (Congested Road Notification – CRN) detectează și notifică conducătorul auto referitor la congestiile aflate pe ruta autovehiculului. Aceste notificări pot fi utilizate pentru planificarea traseului și a călătoriei.

• Încă o altă aplicație de acest tip se numește Toll Collect și taxează vehiculul la cabinele de taxare fără a le opri.

• Aplicația de notificare despre disponibilitatea locurilor de parcare (Parking Availability Notification – PAN) ajută în căutarea sloturilor libere în loturile de parcare dintr-o anumită zonă geografică.

c) Aplicații comerciale:

• Personalizarea/Diagnsticarea vehiculului la distanță (Remote Vehicle Personalisation /Diagnostics – RVP/D) ajută la descărcarea setărilor personalizate ale vehiculelor sau încărcarea diagnozei vehiculelor din/în infrastructură.

• Serviciul Anunțuri (Service Announcements – SA) ar fi de interes special pentru activitățile comerciale de pe marginea drumurilor (pompele de benzină, restaurantele de pe autostrăzi etc.) pentru a anunța conducătorii auto aflați în raza de comunicare despre serviciile puse la dispoziția acestora.

• Serviciul Content Map Database Download (CMDD) acționează ca un portal pentru a obține informații valoroase de la hotspot-urile mobile sau stațiile fixe.

• Folosind translarea video în timp real (Real Time Video Relay – RTVR) șoferul va putea viziona filmele sale preferate în timp real direct din vehicul.

1.3 Componentele vehiculului cu VANET activat.

În rețelele VANET vehiculele includ dispozitive controlate de computer precum și emițătoare și receptoare radio destinate schimbului de mesaje. Pentru comunicarea în VANET a fost standardizat protocol DSRC (Dedicated short-range communications), care are o rază de comunicare cuprinsă între 300 m și 1 km, în funcție de componentele instalate. Stațiile de bază de pe marginea drumului (Road Side Units – RSU) oferă informații conducătorului auto de-a lungul călătoriei sale, pentru ca acesta să poată găsi o rută mai optimă până la destinație, informațiile fiind periodic înnoite.

Pentru recepționarea observațiilor din afară sau interior, în vehiculele conectate la VANET sunt incluși senzori cu diverse funcții.

Fig 1.3 Reprezentarea schematică a unui nod mobil în VANET.

Fig. 2.2.1 Atac de tip vehicul ascuns.

Acesta este un exemplu concret de alterare a informațiilor privind locația. Un vehicul care trimite mesaje broadcast de avertizare va asculta feedback-ul de la vecini și se va opri din a emite mesaje cînd va observa că un vehicul este mai bine amplasat pentru a trimite mesaje de avertizare vecinilor . Astfel se reduce congestia de pe canalul wireless. În figură, se observă că vehiculul B păcălește pe A în a considera că el are o amplasare mai bună pentru a transmite în continuare mesaje de avertizare.

b) Tunel:

Fig 2.2.2 Atac tunel.

Cum semnalele GPS dispar în tunel, un atacator poate exploata această vulnerabilitate a pierderii temporare a informațiilor de poziționare înjectînd date false imediat ce ținta părăsește tunelul dar înainte de a primi o actualizare de locație.

c) Wormhole: Acest tip de atac constă în tunelarea pachetelor între două noduri remote.

Atacatorul controlează două entități remote una față de cealalta și crează o legătură între ele prin care circulă pachete cu informații greșite în legatură cu locația destinație.

d) Bush telegraph: este un tip de atac derivat din atacul de tip Bogus Information. Atacul constă în adăugarea de informații eronate încremental la fiecare hop. Acumularea de date greșite poate duce la luarea de decizii eronate la următorul hop.

Cerințe de securitate în cadrul rețelelor VANET:

Autentificare – vehiculele care reacționează la evenimente ar trebui să se bazeze pe mesaje legitime (generate de expeditori legitimi). Astfel, trebuie să autentificăm pe cei care trimit mesajele.

Verificarea consistenței datelor (validitate) – legitimitatea mesajelor incorporează și consistența lor cu altele similar (acele mesaje generate în imediata vecinatate și în intervalul de timp curent), deoarece expeditorul mesajelor poate fi considerat legitim dar mesajul poate conține date false.

Disponibilitate – chiar dacă considerăm un canal robust de comunicație, unele atacuri (cum ar fi Dos) pot cu ușurință afecta funcționalitatea rețelei. Astfel, disponibilitatea trebuie asigurată prin mijloace alternative.

Nonrepudiere – conducătorii ce provoacă accidente trebuie identificați în mod sigur; unui expeditor nu ar trebui să i revoce dreptul de a transmite un mesaj (este posibil să fie crucial să determinăm secvența corectă și conținutul mesajelor înainte de accident).

Privacy – trebuie garantat “privacy” conducătorilor împotriva observatorilor neautorizați.

Constrîngeri real-time – la vitezele foarte mari specifice VANET-urilor, constrîngerile real-time trebuie respectate cu strictețe.

2.3 Lucrări înrudite.

Cercetările privind securitatea în rețelele VANET sunt de-abia la început. Car2Car Com-munication Consortium [1] a făcut cele mai semnificative eforturi în Europa, iar în Statele Unite ale Americii s-a remarcat consortiul DSRC, în special grupul IEEE P1609.2.

În [7], Blum și Eskandarian descriu un model architectural de securitatea pentru VANETuri menit să contraatace așa numitele “coliziuni inteligente” (adică coliziuni care au fost cauzate intenționat). Acesta este un tip de atac, dar construirea unui arhitecturi necesită vizualizarea unor măsuri împotriva tuturor atacurilor posibile. Ei propun folosirea PKI (Public Key Infrastructure).

Gerlach [14] prezintă concepte de securitate în rețelele de automobile. Hubaux [21] privește securitatea din altă perspectivă și se concentrează mai mult pe conceptele de “privacy” și poziționare sigură. El punctează importanța compromisului dintre responsabilitate și anonimitate

și introduce noțiunea de Electronic License Plates (ELP) (unice pentru vehicule). Parno și Perig

[29] explică cîteva din atacurile ce pot aparea în VANET-uri. El Zarki [42] descrie infrastructura

specifică VANET-urilor și menționează succint cîteva probleme de securitate și posibile soluții. Folosirea semnăturilor digitale este discutată în [15]. Chestiuni strîns corelate cu securitatea în rețelele VANET sunt problemele legate de securitatea sistemelor fizice electronice dintr-un vehicul, sisteme care sunt responsabile pentru transportul s-au generarea de date înainte ca acestea să fie transmise.

În cazul unor aplicații nesigure în care vehiculele comunică cu infrastructura, schema CARAVAN [34] dă posibilitatea mașinilor să-și păstreze “privacy”-ul formînd grupuri în care fiecare lider se comportă ca un proxy pentru ceilalți membri din grup care accesează infrastructura. Cînd vehiculele nu au acces la infrastructură, ele ramîn “silențioase”, astfel prevenind eventualii “ascultători” în a le afla pseudonimele.

În [43], Stefan Sosoiu și Alec Wolman de la Microsoft Research prezinta o soluție pentru problematica securității în rețele mobile folosind “location proofs”- un mecanism prin care aplicațiile mobile pot cere o “dovadă” privind locația unui anumit membru al rețelei mobile.

Legitimitatea mesajelor este mandatorie pentru a proteja rețelele VANET de atacatori interni, cît și externi. Dacă mesajele de siguranță nu conțin informație senzitivă, confidențialitatea nu este necesară. Ca rezultat, schimbul de mesaje care sunt în corelație cu siguranța are nevoie de autentificare, dar nu neapărat și de criptare.

Un model de securitate este oferit de Matthias Gerlach, Andreas Festag, Tim Leinmuller, Gabriele Goldacker and Charles Harsch de la Fraunhofer Institute for Open Communication Systems (FOKUS) [45]. Arhitectura de securitate este bazată pe o structură ierarhica, pe mai multe straturi. Cel mai de jos nivel se ocupă de inregistrarea nodurilor (maparea între identitatea proprietarului și identificatorul nodului). Practic, stratul cel mai de jos conține o baza de date cu

informații referitoare la vehicul, cum ar fi numărul de identificare, tipul, etc. Nivelul superior este responsabil în evaluarea corectitudinii operațiilor dintr-un nod; asigură faptul că doar nodurile cu anumite proprietăți verificate pot participa în mod activ în procesul de comunicație (concepte: semnături digitale, autoritate de certificare). Un alt strat se ocupă de un nivel de bază în privința păstrării anonimității prin intermediul pseudonimelor (acestea pot fi schimbate pentru a asigura un grad de privacy pentru autovehiculele participante). Nivelul de revocare este responsabil pentru excluderea nodurilor din sistem. Ultimul nivel este responsabil cu evaluarea datelor și detectarea intruziunilor pentru a observa comportamente anormale și a le trata în consecința. Deciziile de ignorare a datelor sau revocare a nodurilor sunt luate la acest nivel.

Verificările de validitate compară informațiile primite cu valorile așteptate prin intermediul unor euristici. Se desfășoară în principal la nivel rețea și la nivel aplicație. Este necesară o instanță în autovehicul care colectează cît de multe informații este posibil de la toate sursele disponibile. Din datele colectate se crează o privire independență care ne ajută la evaluarea mesajelor primite în concordanța cu estimarea anterior realizată.

Fiecare algoritm de securitate poate evalua datele și atașa o valoare ce reprezintă gradul de încredere în respectivele informații (valoarea semnifică cît este de probabil că informația sa reflectă starea reală). Datele sunt transmise în continuarea vecinilor, fiind atașarea mesajului și

gradul de încredere, astfel încît vecinii, pe baza unor euristici, să decidă ce vor face cu mesajele primite.

Schimbarea frecvența a pseudonimelor protejează identitatea vehiculelor. Astfel, un vehicul poate fi urmărit atîta timp cît nu își schimbă pseudonimul (exemplu: un nod își va schimba pseudonimul cînd se va afla într-o situație ce necesita privacy). Un mod de a păstra un grad ridicat de privacy este folosirea unui set de chei anonime care se schimbă frecvent în funcție de viteza mașinii. Aceste chei sunt preîncărcate în echipamentul electronic al mașinii pentru o durată mai mare de timp (de exemplu între doua revizii periodice). Certificarea cheilor de un CA

(Certificate Authority) permite maparea către adevarata identitate a vehiculelor (în cazul unui accident).

O altă abordare de securizare a rețelelor VANET este dată de School of Electrical Engineering and Computer Science, University of Central Florida,Orlando, FL, USA [45].

Soluția se bazează pe o arhitectură distribuită de certificate. Certificatele sunt limitate temporal/spațial, putînd fi folosite într-o anumită arie geografică sau pe un timp determinat. Ideea principală este următoarea: dacă un utilizator dorește să participe în mod activ într-o rețea

VANET, trebuie să posede un dispozitiv de payment-processing. Fiecare dispozitiv are asociat

un identificator și un certificat. În timpul inițializării, dispozitivul va fi înregistrat alături de contul utilizatorului; informațiile utilizatorului vor fi menținute la provider și nu vor fi stocate în

dispozitiv. Cînd un utilizator întră într-o regiune și dorește să folosească servicii din aria respectivă, se folosește de dispozitivul mai devreme menționat. Mesajul de cerere va fi criptat folosind cheia publică a providerului, astfel ascunzînd identitatea device-ului de către eventuali

“ascultători”. Utilizatorului îi sunt asignate un pseudonim și alte ID-uri necesare pentru servicii

de către provider. Serverul în cauza este de asemenea înștiințat de serviciile dorite și credențialele temporare. Utilizatorul poate obține doar credențiale temporare, în acest caz acestea

nu vor fi trimise către server.

Fig. 2.3.1 Soluția oferită de University of Central Florida,Orlando.

Utilizatorii iau un certificat doar atunci cînd au nevoie de un serviciu. Revocarea certificatelor se realizează automat la expirarea cuantei de timp sau în momentul cînd ies din

zona geografică. Pentru fiecare certificat nou, providerul verifică dacă certificatul anterior a fost revocat. În caz afirmativ, certificatul va fi emis. Sistemul propus nu necesita centralizarea CA-urilor; de asemenea, nu este necesar un grad de încredere între CA-urile din diferite regiuni. Fiecare provider lucrează independent în aria sa de acoperire. Un alt model arhitectural de securitate este oferit de Mario Gerlay, Roberto G. Cascella, Zhen Caoy, Bruno Crispo and Roberto Battiti de la Computer Science Department, University of California, Los Angeles [46]. Modelul se bazează pe procesarea și “poluarea” fișierului original astfel încît doar destinatarii de drept, informați de blocurile corupte, să poată recupera informația utilă. În procedeul codificării la nivel rețea, un fișier F este divizat în n blocuri Fi de l biți stocați la sursă. Fiecare bloc este format din m=l/q simboli definiți ca un vector F2q . Înainte de fiecare transmisie, un nod intermediar generează un nou pachet, care este rezultatul unei combinații lineare a blocurilor disponibile local. Nodul oferă aleator n coeficienți Ci=[c1,c2,…cn] ce aparțin F2q . Astfel, o combinație liniară a blocurilor este , reprezentînd noua dată codificată transmisă de nodul intermediar împreună cu vectorul de coeficienți. Cînd destinația primește n blocuri independent lineare codificate, fișierul original poate fi refăcut.

Fig. 2.3.2 Solutia propusa de University of California, Los Angeles.

Figura 2.3.2. arată o sursă care împarte un fișier în blocuri și distribuie combinații lineare ale blocurilor la vecini. Mașinile gri reprezintă nodurile intermediare care au rolul de a codifica pachetele primite înainte să le transmită mai departe propriilor vecini reprezentați de mașinile albe. Vehiculele intermediare sunt importante pentru a menține topologia interconectată, dar și

pentru a distribui informația între autovehiculele care nu sunt în raza de comunicare. Comunicația este limitată la un singur hop; vecinii învață noile date disponibile verificînd vectorul codificat înainte de a-l descarca. Ideea principala în această abordare este de a “polua”

conținutul inițial astfel încît doar destinatarii autorizați să fie capabili să înțeleagă mesajul.

Philippe Golle, Dan Greene si Jessica Staddon de la Palo Alto Research Centre au

propus, de asemenea, un model de securitate pentru rețelele VANET [16]. Ei au înaintat o abordare generală de evaluare a validității datelor în VANET-uri. Astfel, un nod caută explicații

posibile pentru datele colectate avînd în vedere că există posibilitatea că în rețea să fie prezente

noduri malițioase. Explicațiile care sunt consistente cu modelul de VANET pe care îl deține nodul sunt notate cu un grad de încredere, astfel încat nodul primește informații de la cei mai de

încredere vecini. O componență esențială în acest model este faptul că fiecare nod păstrează o “topologie” a VANET-ului ce conține toate datele pe care nodul le are despre rețea. Astfel, în momentul în care primește informații, verifică dacă acestea sunt în concordanță cu baza sa de cunoștințe actuale. Dacă datele sunt conforme cu modelul său (cu o mare probabiliate), nodul acceptă datele și confirmă validitatea acestora. Maxim Raya, Adel Aziz and Jean-Pierre Hubaux de la Laboratory for Computer Communications and Applications (LCA), School of Computer and Communication Sciences, EPFL, Elvetia propun o soluție bazata pe agregarea mesajelor și comunicarea în grup [32].

Algoritmii prezentați se concentrează asupra ideii ca informațiile se transmit între grupuri mai degrabă decît între vehicule individuale. Altfel spus, vehiculele sunt aranjate în grupuri. În fiecare grup, unul său mai multe autovehicule, alese pe baza poziționării lor, vor transmite datele

agregate vecinilor (care sunt tot grupuri). Un criteriu definitoriu în formarea grupurilor este poziționarea geografică. Astfel, considerînd informațiile de la sistemul GPS și împărțirea ariei în celule, un vehicul poate determina cărui grup îi aparține la un moment dat (împărțirea ariei în celule este predeterminată anterior). Pentru ca informația să fie generată și propagată de grup mai

degrabă decît de entități individuale, toate vehiculele care aparțin unui grup ar trebui să aibă o privire comună asupra mediului. Fiecare vehicul procesează local toate evenimentele, atît cele direct observate cît și cele raportate de alte vehicule, înainte de a lua o decizie referitoare la respectivul eveniment. În fiecare grup există unul sau mai mulți lideri care se ocupă cu distribuția mesajelor. O modalitate de a verifica datele primite este comparația cu alte informații recepționate din alte surse despre respectivul eveniment. Altfel, pentru a testa validitatea mesajelor, precum și sursa, este necesar ca pe parcursul rutării mesajului, nodurile intermediare

să semneze peste semnătura transmițătorului precedent. O semnătură invalidă la orice moment de

timp va invalida mesajul ce ajunge la receptorul final.

2.4 Cocluzii.

Principala problemă care a preocupat mulți cercetători ai rețelelor VANET este securitatea acestor rețele. În calitate de exemplu de perturbare a securității cu un impact minor putem lua două mașini ce se deplasează pe aceeași bandă a unui drum. Mașina care merge în spate poate trimite un mesaj fals în care se anunță că în față este produs haos de către o mașină avariată. Mașina din față, la primirea acestui mesaj, poate crede că această farsă este un adevăr și în rezultat să facă un ocol, lăsând drumul cu mai puțin trafic pentru șoferul rău intenționat aflat în spate. Aceasta este una dintre utilizările frauduloase a mai multor aplicații menționate mai sus, însă în multe cazuri urmările ar putea fi dezastruoase – acțiunile similare pot crea confuzii mari în sistemele în care securitatea are o importanță majoră.

Securitatea în rețelele VANET este una dintre problemele cele mai critice, deoarece transmiterea informațiilor aici se face prin propagarea ei în medii cu acces liber . Deoarece rețelele VANET sunt în mare parte dependente de noduri mobile, pentru ele nu a fost stabilit un mediu sigur. Avînd în vedere natura acestor de noduri, rețelele vehiculare ad-hoc pot fi perturbate de modificările topologie frecvente, precum și de vulnerabilități fizice (care creează vulnerabilități potențiale pentru potențialii atacatori). Prin urmare, securitatea în VANET este vitală pentru a asigura o funcționare continuă și de succes a rețelei în orice implementare sau orice proiect al ITS. Un sistem de securitate pentru mesajele din rețelele VANET trebuie să îndeplinească mai multe cerințe pentru a putea contracara orice atac referitor la rețelele vehiculare, cum ar fi: autentificarea, verificarea coerenței datelor, disponibilitatea, non-repudierea, confidențialitatea și constrângerile de timp real. Soluția este concepută pentru medii puternic partiționate, suferind de o mare dinamicitate de conectare a nodurilor în cadrul rețelei.

Componentele principale avute în vedere în proiectarea protocolului sunt entitatea Autovehicul ( SecCar) și entitatea Semafor (SecCittyTrafficLight). Transmiterea de mesaje securizate între mașinile aflate în trafic se face în funcție de existență unei entități de certificare prezente în zona (un semafor sau access point securizat), de distanța dintre autovehiculele care vor să comunice, de traiectoria pe care acestea se deplasează, de faptul că autovehiculul destinație este în raza de transmisie sau de necesitatea selectării unei rute ce include mai multe hopuri în vederea transmiterii mesajelor.

Comunicația dintre vehicule într-o rețea caracterizată de un grad ridicat de dinamism, poziționare geografică, conectivitate sporadică între automobile ridică probleme de securitate unice.

3. PROTOCOLUL DE ASIGURARE A SECURITĂȚII

ÎN MEDII VANET.

3.1 Caracteristici generale.

Protocolul implementat urmărește să rezolve aceste chestiuni, acoperind urmatoarele aspecte generale privitoare la securitate:

_ Autentificare

_ Confidențialitate

_ Integritate

_ Disponibilitate

_ Non-repudiere

Entitatea Mașină este considerată o entitate mobilă, care schimbă mesaje cu alte mașini, dar și cu infrastructura existentă (respectiv semafoarele securizate din intersecții). Scopul protocolului este de a oferi o soluție de securizare a mesajelor dintre mașini, astfel încat entitatea destinație să poată verifica validitatea mesajelor primite. Semafoarele securizate (parte a infrastructurii) au rolul unor entități de certificare care ajută la probarea autenticității mesajelor.

Autoritățile de certificare se vor cunoste una pe cealaltă, putînd comunica în cazul în care se dorește validarea anumitor date. Principalele aspecte pe care se bazează, momentul transmiterii mesajelor, momentul de timp la care certificare existente în zona în momentul începerii transmisiei. Protocolului este modular, scalabil, fiind structurat, observă în figura de mai jos.

Soluția expusă sunt poziția vehiculare se petrece emisia, autorități pe mai multe stări, așa cum se poate funcționa vehiculul.

3.2 Stările protocolului.

Protocolul este structurat pe mai multe stări. Comunicația mașină- mașină se va desfășura doar în momentul în care automobilul ce are de transmis un mesaj se află în proximitatea (aria de acoperire) a unui semafor. Raza de transmisie a unei mașini este mai mică decît raza de transmisie a semaforului securizat.

În momentul în care un autovehicul dorește să transmită informații unui alt autovehicul, prima dată va aștepta beaconul din partea semaforului în a cărei arii de acoperire se află. Beaconul este transmis periodic de către semafor tuturor mașinilor din zoacoperire sub forma unui mesaj de difuzare autovehiculul va transmite semaforului un pachet de date conținînd informații ce trebuie semnate de acesta.

Luînd în considerare mobilitatea specifică transmitere pe care o are o mașină, transmiterea mesajului pentru a fi semnat de către semafor poate fi realizată în doua moduri:

_ dacă semaforul se află în aria de acoperire a mașinii, mesajul va fi transmis direct semaforului pentru semnare,

_ dacă semaforul nu se află în aria de acoperire a mașinii, mesajul va fi rutat, hop prin intermediul unor mașini intermediare pînă ajunge la semaforul care a emis beaconul.

Informațiile importante conținute în pachet sunt aprenta de timp pentru momentul în care se transmite mesajul, locația curentă și mesajul efectiv. Toate aceste informații vor fi semnate de către semaforul ce a emis beaconul.

În momentul în care mașina primește înapoi de la semafor mesajul împreună semnătura aferentă, va transmite acest mesaj la destinație.

Dacă beaconul periodic emis de semaforul securizat este transmis sub forma de broadcast, mesajul semnat ce urmează a fi expediat înapoi mașinii este trimis sub forma de unicast, întrucît mașina se afla în raza de acoperire a semaforului.

Transmisia mesajului către mașina destinație poate fi realizată în doua moduri:

mașina destinație se află în aria de acoperire a mașinii emitente sursa, astfel mesajul este rutat direct;

mașina destinație nu se află în aria de acoperire a mașinii emitente sursă, astfel mesajul este rutat cu ajutorul mașinilor intermediare existente către destinația finală.

În momentul în care mesajul ajunge la destinație, mașina destinație trebuie să valideze respectivul mesaj înainte de a-l prelucra. Modalitatea prin care se poate verifica un mesaj la destinație este trimiterea acestuia la un semafor din imediata proximitate. Semafoarele pot comunica între ele astfel încît pot verifica semnătura din cadrul mesajului. Trimiterea mesajului

către semaforul din proximitate se poate face direct, în cazul în care acesta este în raza de acțiune (transmisie) a mașinii s-au rutat prin mai multe hopuri (mașini intermediare) în cazul în care nu se află în raza de acțiune. Validarea datelor se poate face doar la semafor, acesta verificînd semnătura mesajului și cîmpurile aferente din care a fost constituită semnătura. Rezultatul verificărilor va transmite mașinii care a cerut validarea. În cazul în care răspunsul este afirmativ, mesajul poate fi prelucrat în continuare; altfel, acesta este discardat.

Locația este un cîmp foarte important care certifică faptul că transmițătorul mesajului se află într-o anumită regiune geografică. Atacuri des întîlnite sunt bazate pe faptul că utilizatorii sunt tentați să mintă asupra locației geografice în care se află informații. Amprenta privind poziția (longitudine, latitudine) cere utilizatorilor din rețea să probeze amplasamentul. Cel mai simplu și mai sigur mod de a verifica aspectul ce privește locația este infrastructura existentă (semafoarele securizate); astfel, în momentul în care un automobil primește un mesaj, tot prin intermediul infrastructurii, poate decide dacă acceptă sau nu mesajul avînd drept criteriu locația.

La nivel înalt, locația este o metadata emisă de o componență a infrastructurii wireless (semafor securizat) pentru un dispozitiv mobil. Pentru a folosi amprenta de poziționare, o aplicație trebuie să aiba încredere în infrastructură în vederea validarii poziționării geografice. Pentru orice tip de comunicație, mașinile cer infrastructurii să le semneze mesajele. Rolul infrastructurii este doar de a semna și valida mesajele automobilelor din raza de transmisie. Se poate deduce o flexibilitate crescută a acestei abordări, întrucît mesajele astfel semnate de semafoarele securizate pot fi folosite într-o multitudine de servicii.

În privința performanțelor protocolului, se observă o validare foarte riguroasă, atît la sursă, cît și la destinație pentru fiecare mesaj.

3.3 Entitați participante în protocol.

Entitățile principale participante în protocol sunt :

_ Entitatea Mașina Securizată ( SecCar),

_ Entitatea Semafor Securizat ( SecCittyTrafficLight).

Entitatea Mașină este entitatea mobilă din protocol. Rolul acesteia este de a comunica cu restul de mașini aflate în trafic, precum și cu infrastructura rutieră (semafoare). Pentru a reuși o comunicație sigură mașină-mașină, automobilul emițător comunică cu alte mașini și cu semafoarele din apropiere.

Pe parcursul comunicației mașină-mașină, emițătorul poate trece prin mai multe stări, ca urmare a derulării mai multor evenimente asincrone.

În momentul în care mașina apare la început în trafic, ea se afla într-o stare LIBERĂ. Mașina nu a primit mesaje de la alți participanți la trafic și nu a transmis nici un mesaj.

În momentul în care se află în proximitatea unui semafor securizat, mașina va primi de la acesta un beacon de recunoaștere prin care semaforul își face publică prezența celorlalți participanți în trafic. Astfel, mașina va trece într-o nouă stare, BEACON_RECEPTIONAT.

În momentul în care entitatea autovehicul dorește să comunice cu alte automobile prezente în trafic trebuie să trimită mesajul dorit la semnat la semaforul din proximitatea sa. Poate face acest lucru direct sau prin intermediul altor mașini. Astfel, se poate observa că mașina poate trece într-o stare MAȘINA_INTERMEDIARĂ ce rutează pachetele pentru alte mașini, sau în starea START_COMUNICAȚIE, în momentul în care a primit înapoi de la semaforul securizat mesajul semnat. Starea de MAȘINA_INTERMEDIARĂ este indusă de fiecare dată cînd o mașină rutează pachete pentru alte mașini participante în trafic.

În momentul în care o mașină primește un mesaj de la o altă mașină, mașina trece în starea de MAȘINA_RECEPȚIONAT_MESAJ. Un mesaj va fi validat de mașina destinație după ce va primi răspunsul de la semafor. Trimiterea mesajului spre validare către semafor poate fi făcută direct, în cazul în care semaforul este în aria de acoperire a mașinii, sau rutată prin intermediul altor mașini, în cazul în care semaforul nu este în zona de emisie a mașinii. Se poate observa din nou că mașinile pot trece în starea de MAȘINA_INTERMEDIARĂ. În momentul în care se primește răspunsul de verificare a mesajului de la semaforul securizat, mașina va trece în starea MAȘINA_RECEPȚIONAT_VALIDARE_SEMAFOR.

Diagrama de tranziții prin care poate trece o mașină este prezentată (anexa):

Entitatea Semafor Securizat este entitatea fixă în cadrul protocolului. Rolul acesteia este de a semna mesajele transmise de automobilele din rețea și de a verifica validitatea mesajelor atunci cînd se cere acest lucru.

Semafoarele securizate din rețea transmit din secund toată aria lor de acoperire. Aceasta este starea de fapt a semaforului, EMIS_BEACON. În momentul în care o mașină cere validarea unui mesaj, semaforul va trece în altă stare, VERIFICARE_MESAJ. Starea EMIS_BEACON și starea VERIFICARE_MESAJ nu se exclud, dimpotrivă, emiterea beaconurilor se face independent de faptul că un mesaj a ajuns la semafor pentru verificare.

În momentul în care semaforul se află în starea VERIFICARE_MESAJ, el trebuie să verifice dacă mesajul nu a fost corupt pe parcurs. Pentru aceasta va verifica cîmpurile: mesaj, amprenta de timp, longitudine, latitudine cu semnătura atașată mesajului. Cum există posibilitatea că mesajul să nu fi fost semnat de acest semafor, el trebuie să comunice cu restul semafoarelor din rețea pentru a verifica validitatea mesajului.

În vederea creării semnăturii digitale, fiecare semafor posedă o pereche (cheie publică și cheie privată). Mesajul este semnat cu cheie privată, verificarea semnăturii utilizînd cheia publică. Perechea (cheie publică, cheia privată) este specifică fiecărui semafor în parte nefiind transmisă niciodată în timpul comunicației.

Diagrama de tranziții prin care poate trece semaforul securizat este prezentat mai jos.

3.4 Mesajele existente în protocol.

Formatul mesajului din protocolul de securitate propus este urmatorul:

Tipurile de mesaje folosite în protocol sunt:

_ BEACON

_ CERERE_SEMNATURA_MESAJ

_ MESAJ_SEMNAT

_ MESAJ_EXPEDIAT

_ CERERE_VALIDARE_MESAJ

_ RĂSPUNS_MESAJ_VERIFICAT

Mesajele, indiferent de tipul acestora, conțin cîmpul număr de hopuri care impiedică rutarea continuă a mesajului. De asemenea, este ținut un contor intern care calculează timeout-ul pentru mesajele care necesita acest lucru. Mecanismele de timeout și număr maxim de hopuri posibile sunt necesare pentru a preveni fenomenul de buclare la infinit a mesajelor.

În implementarea protocolului, mașinile conțin cozi de mesaje care ajută la o transmisie cît mai sigură, iar în cazul în care acest lucru nu este posibil, la retransmisia mesajelor care nu au ajuns la destinație. Cozile de mesaje sunt necesare datorită proprietății de dinamicitate specifică rețelelor VANET. De exemplu, semnarea mesajelor se face la semaforul din imediata proximitate, dar în momentul în care mașinile merg cu o viteză mare sau își schimbă ruta, mesajul semnat nu va mai putea ajunge înapoi la mașina care l-a emis întrucît aceasta a ieșit din

raza de acțiune. Totuși, mesajul se dorește a fi transmis, astfel încat va fi stocat într-o coadă de

mesaje, încercînd ulterior să-l expediem, atunci cînd suntem în raza de acoperire a altui semafor

securizat.

Rutarea mesajului către destinație se poate face în doua moduri:

_ direct, în cazul în care destinația se află în aria de acoperire a sursei,

_ prin intermediul unor mașini intermediare, în cazul în care destinația nu se află în aria de acoperire a sursei.

Mesajele emise în cadrul protocolului sunt de tip unicast și de tip broadcast. Nu se pot folosi doar mesaje de tip unicast, întrucît raza de acoperire a entităților prezente în protocol poate fi uneori insuficientă, astfel încat mesajul nu poate ajunge printr-un singur hop la destinație.

4. IMPLEMENTAREA PILOT ÎN SIMULATORUL VNSIM

4.1 Simulatorul VNSim.

Simulatorul de trafic VNSIM este un proiect, fiind destinat aplicațiilor concentrate pe VANET (Vehicular Ad- Hoc Network). Simulatorul este implementat în Java, avînd la baza lucrul cu evenimente dintre șoferii din trafic, precum și schimbul de informații dintre mașinile ce posedă echipament GPS sau între dispozitivele capabile de comunicație wireless sunt bazate pe următoarele clase principale de evenimente: SEND, RECEIVE și GPS.

Lucrul cu evenimente discrete impune un timp al simulării care avansează regulat cu un interval fix, avansare ce se manifestă o data cu execuția a tot ceea ce este specific pentru momentul de timp curent. În fiecare moment de timp din simulare, evenimentele sunt extrase din coadă și procesate de simulator. Evenimentul de tip SEND apelează metoda responsabilă pentru pregătirea unui mesaj și planifica evenimentul RECEIVE corespunzător destinatarului (sau destinatarilor în cazul unei difuzări). Astfel, evenimentul RECEIVE este asociat unuia sau mai

multor noduri din rețea. Prin procedura de primire mesaj se va trata evenimentul corespunzător

în nodurile destinație. Evenimentul GPS este declanșat periodic pentru fiecare nod, cu scopul de

a simula date GPS primite din lumea reală.

VNSIM este un simulator dezvoltat la nivel microscopic, utilizat în studierea rețelelor de vehicule, luînd în considerare acțiunile fiecărui mașini, spre deosebire de un simulator macroscopic, practic în cazul înțelegerii dinamicii traficului și implementării de infrastructura rutieră.

4.2 Modulul de mobilitate.

Modulul de mobilitate se ocupă de mișcarea autovehiculelor pe traiectorii realistice. Actualizează periodic poziția fiecărui automobil conform modelului de mișcare. Principala componentă a simulatorului VNSIM este mașina și mobilitatea acesteia, implementare realizată în funcția move() din obiectul CarInstance. Această metodă calculează noua poziție pentru fiecare mașină simulînd mișcarea în timpul unui frame. La fiecare frame, această metodă (move() ) este apelată de către motorul simulatorului pentru fiecare autovehicul.

Modul în care o mașină se mișcă depinde de sistemele de control a traficului, de restul participanților la trafic și de personalitatea șoferului. Mașinile iau decizii în concordanța cu anumite condiții de trafic, cum ar fi prezența lor într-o intersecție. De asemenea, deplasarea mașinii este influențată de mașinile adiacente.

Simulatorul VNSIM ține cont de atitudinea conducătorilor în timpul șofatului, implementînd patru modele comportamentale în trafic: approaching, following, free driving și breaking.

Tipurile de personalitate pe care le pot avea șoferii în trafic sunt: calm, regular și aggressive.

Modelul “approaching” este caracterizat de prezența în fața șoferului a unui autovehicul mai lent. În acest caz, atitudinea conducătorului auto este de a-și înceti viteza pînă cînd va avea aceeași viteză cu a mașinii mai lente. Procesul de frînare depinde de mai mulți factori, printre care enumăr viteza de rulare, distanța dintre automobile etc.

Modelul “following” are la baza ipoteza că atît conducătorul curent cît și automobilul din fața rulează cu o viteză aproximativ egală, conducătorul curent menținîndu-și în continuare viteza de drum constantă.

Modelul free driving nu impune restricții conducătorului auto. Astfel, acesta nu este influențat de mașinile din fața lui, aflate pe aceeași bandă de circulație. Șoferul va încerca să obțină sau să mențină viteza de rulare dorită, fiind influențat de temperamentul sau și condițiile drumului.

Modelul breaking implică existentă foarte apropiată a unui vehicul în fața conducătorului curent. Măsura care se impune este de frînare cît mai accentuată. Stilurile comportamentale ale șoferului implică și felul în care acesta va schimba benzile de mers. De fiecare dată cînd șoferul auto este în alt mod în afara de cel de free driving, va testa dacă trecerea pe o bandă superioară îi va oferi o modalitate mai bună de condus. În caz afirmativ, va schimba benzile. În modul breaking, se va testa dacă trecerea pe o bandă inferioara va oferi cel puțin aceleași condiții de trafic; în caz afirmativ, se va schimba banda. Ordinea verificărilor impune ca prim test acela ce verifică banda superioară. Astfel, dacă șoferul curent se apropie de un vehicul mai lent, va verifica dacă banda superioară (în cazul în care aceasta există) este liberă (și că nu există alte automobile în spatele său care circula aproape de el pe banda pe care conducătorul dorește să se mute). În caz afirmativ, se va deplasa pe aceasta bandă.

4.3 Modelul de comunicație.

Motorul simulatorului (clasa Engine) are în vedere toate nodurile din rețea și se ocupă de livrarea mesajelor între aceste noduri. Simulatorul rulează pe un singur thread, fiind un simulator discret bazat pe evenimente. Nodurile sunt modelate de clasa SimulatedCarInfo care conține două metode importante: “onReceive” și “prepareMessage”. Metoda “onReceive” este apelată în momentul în care un nod primește un mesaj, iar metoda “prepareMessage” este apelată de Engine în momentul în care nodul intenționează să trimită mesaje. Mesajele, la acest nivel, sunt

văzute ca simple în șiruiri de biți.

VITP – Vehicular Information Transfer Protocol.

VITP este un protocol de comunicație de nivel aplicație, care specifică sintaxa și semantica mesajelor dintre nodurille VITP. Este o infrastructură ad-hoc distribuită peste rețeaua VANET, cu scopul de a oferi servicii participanților la trafic pe baza locației automobilului. Informațiile despre poziția curentă a vehiculelor vin de la sistemul de navigație GPS și de la senzorii automobilului.

Există două tipuri de mesaje VITP: GET și POST. Fiecare mesaj VITP are o sursă și o destinație, specificate din punct de vedere geografic.

Mesajul POST este difuzat periodic de către mașinile din regiune cu scopul de informare asupra condițiilor de drum din acea zonă.

Mesajul GET are scopul de a afla o informație specifică despre o anumită zona destinație.

O dată soluționată cererea, pachetul se va întoarce la automobilul care l-a generat.

DSRC- Dedicated Short-Range Communications Protocol.

DSRC este un protocol wireless pe mai multe canale, în faza de dezvoltare. Protocolul în discuție se bazează pe nivelul fizic IEEE 802.11a și pe nivelul MAC legătura de date IEEE 802.11. Este operațional un spectru licențiat de peste 75 MHz în banda de 5.9 GHz alocată de către FCC pentru suportul comunicației între-vehicule și vehicule-infrastructura de mică latență.

Stiva DSRC este implementată în clasa CarRunning DSRC, care extinde clasa CarRunningVITP. Nivelul fizic comunică cu rutina de trimitere pachete care ia pachetul, creează un nou

eveniment de trimitere SendEvent și îl adaugă în coadă de evenimente. De asemenea, mai comunica cu rutina de primire pachete, primește pachetul prin evenimentul ReceiveEvent din coada de evenimente și trimite mesajul la nivelul fizic.

4.4. Detalii de implementare.

În cadrul implementării propuse există două tipuri de entități: entitatea SecCar (mașina securizată) și entitatea SecCittyTrafficLight (semafor securizat). Cele doua tipuri de entități sunt noduri în rețeaua mobilă ad-hoc: mașinile securizate sunt noduri mobile, caracterizate de un puternic dinamism, iar semafoarele securizate sunt noduri fixe, parte din infrastructura rutieră.

4.5 Clasa SecCar.

Clasa SecCar este clasa ce implementează o mașină securizată în cadrul protocolului.

Clasa extinde CarRunningDSRC, care la rîndul ei extinde CarRunningVITP, clasa părinte (de bază) fiind CarInfo. Pe lîngă metodele moștenite, clasa implementează metode noi sau suprascrie metode ale claselor părinte. În afara de variabilele moștenite, clasa SecCar adaugă noi variabile care sunt folosite în implementarea protocolului de securitate propus.

Am optat pentru extinderea clasei CarRunning DSRC ținînd cont de posibilitățile oferite de tehnologia wireless Dedicated Short-Range Communications.

DSRC este un protocol multi-channel de comunicație special conceput pentru a suporta comunicație vehicul – vehicul și vehicul – infrastructura. Principalul focus pentru DSRC este

suportul pentru aplicații critice destinate siguranței care reduc numărul de accidente rutiere și îmbunătățesc fluxul circulației automobilelor.

DSRC este similar standardului 802.11a, dar are anumite particularități specifice:

_ operararea în banda de frecvență – DSRC operează în spectrul de 75 MHz cu o bandă dedicată de 5.9 GHZ;

_ mediul de lucru – DSRC este proiectat să funcționeze în medii exterioare caracterizate de un grad crescut de dinamism;

_ nivelul MAC – banda DSRC este divizata în 7 canale, cu posibilitatea de prioritizare a traficului destinat siguranței;

_ nivelul fizic – lățimea de bandă specifică unui canal DSRC este de 10 MHz.

Pe lîngă atributele moștenite de la CarRunning DSRC, SecCar are o serie de atribute particulare care individualizează protocolul de securitate;

_ mesajul newMessage este folosit în comunicația mașină – mașină, dar și în comunicația mașină – semafor (este un mesaj particular, specific protocolului). Acesta va fi detaliat într-o secțiune ulterioară a lucrării;

_ atributul sem_aproape indică cel mai apropiat semafor securizat care emite beaconuri periodice;

_ atributul car_to_com indică o mașină generată aleator căreia autombilul curent îi va comunica un mesaj;

_ atributul state codifică starea curentă în care se află mașina. Cum protocolul este unul bazat pe stări, mașina va executa diferite tranziții, în funcție de evenimentele (mesajele) primite. Pentru o mai clară înțelegere a etapelor prin care trece mașina, aceasta a fost reprezentată diferit în mod grafic pe hartă;

_ flagurile flag_invite, flag_comun, flag_send_mes sunt indicatori interni specifici mașinii securizate pentru a marca diverse momente în evoluția protocolului de securitate;

_ atributul waitingMessages reprezintă o coadă de mesaje care, dacă este necesar, vor fi retransmise destinației;

_ atributul semPubKey reprezintă cheia publică a semaforului care a emis un beacon. În momentul în care o mașină intră în raza de acțiune a unui semafor securizat, aceasta va primi periodic beaconuri de la semaforul comținînd, printre altele, și cheia lui publică;

_ atributul relCarTime – hashtable care conține maparea între mașinile care au trimis mesaje mașinii curente și momentul de timp în care acestea au fost primite;

_ atributul confirmedMessages reprezintă coada de mesaje care au nevoie de confirmare finală de la semafor înainte de a fi procesate de destinație.

Constructorul clasei SecCar suprascrie constructorul clasei CarRunningDSRC, marcînd suplimentar faptul că mașina este în starea liberă (tocmai a fost introdusă pe hartă).

Metoda init() suprascrie metoda părinte din clasa SimulatedCarInfo, la care adaugă funcționalități suplimentare. Astfel, în metoda init() se marchează faptul că automobilul curent va dori să comunice securizat cu un alt autombilul după o perioadă “timp”. Semnalizarea este simulată sub forma unui tip de eveniment unicast ce va fi transmis vehiculului curent după timpul “timp”.

Metoda “onReceive” marchează faptul că obiectul SecCar a recepționat un eveniment de la mediu. În cazul în care mesajul este nul, procesarea se oprește. Altfel, se verifică antetul mesajului. Dacă tipul de protocol inscripționat în antet este PROT_SEC_PKI sau PROT_SEC_CAR, mesajul este procesat. În cazul implicit, este apelată metoda default de procesare a mesajului specifică claselor părinte.

Tipurile de evenimente specifice aplicației sunt Send, Receive și GPS. Un eveniment de tip Send declanșează metoda prepareMessage(int messageType) responsabilă pentru pregătirea unui mesaj. Metoda prepareMessage se realizează mesajul într-o secvență de biți care va fi transmisă pe mediu, în funcție de tipul de transmisie wireless utilizată. Ulterior, acest eveniment Send este adaugat în coada de evenimente EventQueue. Clasa Engine a simulatorului verifică coada de evenimente la intervale regulate de timp, iar pentru fiecare eveniment de tip Send găsit în coada creează un eveniment de tip Receive (sau mai multe evenimente în cazul unui mesaj de dfiuzare). Evenimentele de tip GPS sunt programate la intervale fixe de timp pentru fiecare nod

ale rețelei, în acest mod simulînd cu acuratețe felul în care aplicația VANET culege periodic date GPS.

Metoda updateWaitingQueue() se ocupă cu retransmisia de mesaje. Acest lucru se întîmplă în cazul în care nu s-a primit răspunsul dorit (mesajul semnat) de la un semafor securizat după un anumit interval de timp SecureGlobals.TIMEOUT. În vederea retransmisiei de mesaje, este parcursă coada de mesaje waitingMessages, iar pentru fiecare mesaj se verifică dacă acesta a depășit perioada TIMEOUT înainte de a fi confirmat. În caz afirmativ, el este retrimis.

Metoda removefromWaitingQueue(SecMessage confirmat) șterge din coadă de mesaje securizate waitingMessages un mesaj întrucît acesta a fost confirmat de semaforul securizat din

imediata proximitate.

Metoda updateConfirmedQueue() are drept scop retransmisia de mesaje care au nevoie de un răspuns în privința validității și înca nu l-au primit. Retrimiterea unui mesaj se face dacă răspunsul de confirmare nu a ajuns la mașina destinație după SecureGlobals.TIMEOUT. În vederea reprogramării transmisiei de mesaje, am folosit tabelul de dispersie auxiliar relCarTime

(hashtable <masina,timp>) și lista confirmedMessages de mesaje pentru mașina destinație.

Metoda verifySignature(PublicKey key, byte[] buffer, byte[] signature) returnează o valoare booleană care confirmă sau infirmă validitatea semnăturii pentru un anumit mesaj. În cadrul clasei SecCar, procesarea mesajelor se face doar pentru mesaje specifice protocolului PROT_SEC_PKI sau PROT_SEC_CAR. În funcție de tipul de mesaj primit, automobilul securizat va face tranziții între mai multe stări.

Inițial, toate mașinile sunt în starea de mașini LIBERE. Dacă se primește un mesaj nul, acesta nu va fi procesat. În momentul în care mașina primește un semnal intern (mesaj unicast trimis spre ea însăși) pentru a incepe comunicația, verifică dacă a primit anterior un beacon de la un semafor

securizat. Dacă nu a recepționat nici un beacon de la un semafor din apropiere, mașina va programa începerea comunicației la un moment de timp ulterior.

În cazul în care a primit beacon de la un semafor din apropiere, automobilul poate începe comunicația cu o altă mașină. Înainte de a trimite mesajul unei mașini destinație, mesajul trebuie

securizat. Aceasta se face cu ajutorul infrastructurii din imediata apropiere, în speța cu un semafor securizat. Mesajul este trimis prima dată semaforului, care îl semnează, de-abia apoi fiind expediat vehiculului destinație. Semnătura apendată de semafor la sfîrșitul mesajului certifică faptul că acesta nu va fi putea fi compromis, în caz contrar putînd demonstra cu ușurință acest lucru.

Trebuie luat în considerare faptul că aria de acoperire pentru transmisie a unei mașini securizate este mai mică decît aria de acoperire a unui semafor securizat. Din acest motiv, trimiterea unui mesaj pentru a fi semnat la semafor se poate face în două moduri:

direct, în cazul în care semaforul este în aria de acoperire a mașinii care necesită semnarea mesajului la entitatea de încredere;

rutat prin intermediul altor mașini intermediare, în cazul în care semaforul securizat nu este în aria de acoperire a mașinii care necesită semnarea mesajului la entitatea de încredere.

O problemă importantă specifică rețelelor VANET este privacy-ul. Un emițător dorește să comunice cu alții, dar în același timp nu dorește să-și divulge identitatea. Acest aspect duce la următoarele specificații pentru protocolul de securitate implementat: semnarea mesajului se va face pe cîmpurile corespunzatoare mesajului propriu-zis, amprentei de timp și poziției geografice (semnarea mesajului se face cu cheia privată a semaforului securizat din apropiere).

Poziția geografică (latitudinea si longitudinea) sunt coordonate sigure care pot preciza cu certitudine locația unei mașini la un moment dat de timp. Cum semafoarele securizate sunt considerate puncte de încredere, care nu pot fi fraudate, latitudinea și longitudinea la care se află

sunt nemodificabile și sigure. Astfel, identitatea unui vehicul nu se divulgă, dar se poate atesta faptul că a fost acolo unde pretinde folosind ca dovadă amprenta de loc și de timp.

În momentul în care un vehicul primește de la semafor mesajul semnat, va verifica dacă acesta nu a fost fraudat pe drumul de întoarcere de la semafor către mașină. De exemplu, mesajul poate fi fraudat printr-un atac de tip “man-in-the middle”. Presupunem că un astfel de atac ar avea loc. În acest caz, mesajul ar ajunge modificat la destinație, dar cum destinația are cheia publică a semaforului din apropiere (aceasta este transmisa periodic către toate mașinile din aria de acoperire a unui semafor securizat sub forma de beacon), se va observa că semnătura nu este validă conform cîmpurilor din mesaj care au contribuit la crearea ei (se verifică acest lucru folosind cheia publică a semaforului). În acest caz, mesajul nu va fi rutat în continuare către destinație finală.

Dacă mesajul este unul valid, mașina îl va trimite către destinația finală. În momentul în care ajunge la destinația finală, înainte de a fi procesat, acesta va trebui validat. Din nou, validarea se va face la un semafor din apropiere. Astfel, dacă semaforul este în raza de emisie wireless a mașinii, trimiterea mesajului se va face direct; altfel, expedierea mesajului pentru a fi validat se va face prin intermediul unor mașini existente pe ruta pînă cînd acesta ajunge la un semafor securizat.

În momentul în care primește mesajul de răspuns înapoi de la semafor, vehiculul va verifica faptul că mesajul răspuns pentru validare nu a fost compromis. Se verifică dacă semnătura atașată răspunsului de validare nu a fost fraudată (folosind cheia publică a semaforului din apropiere). În cazul în care se confirmă ca mesajul este valid, poate fi prelucrat în continuare. Pe parcursul protocolului de securitate, se poate observa că mașina trece prin mai multe stări (stări care nu se exclud reciproc una pe alta, ci se modifică în funcție de tipul de eveniment recepționat):

_ LIBER

_ BEACON RECEPȚIONAT

_ MAȘINA INTERMEDIARĂ

_ START COMUNICAȚIE – dupa ce a primit mesajul înapoi semnat de un semafor securizat

_ MAȘINA RECEPȚIONAT MESAJ

_ MAȘINA RECEPȚIONAT VALIDARE SEMAFOR

4.6 SecCityTrafficLight.

Clasa SecCityTrafficLight reprezintă clasa ce implementează semaforul securizat în cadrul protocolului. Clasa extinde CittyTrafficLight avînd la baza drept clasa părinte pe clasa Intersection. Pe lîngă metodele moștenite, clasa implementează metode noi sau suprascrie metode ale claselor părinte. În afara de variabilele moștenite, clasa SecCittyTrafficLight adaugă

noi variabile care sunt folosite în implementarea protocolului de securitate propus.

Pentru aplicația în cauză am considerat că semafoarele securizate existente pe hartă sunt semafoare inteligente. Ele dispun de capabilități de comunicare și de putere de calcul. Astfel, pot

comunica între ele și cu automobilele din jur. În mod uzual, într-un oraș, cele mai multe semafoare sunt interconectate și corelate, iar instalarea unor echipamente de comunicare și de procesare nu este dificilă.

Pentru a putea face față volumului de trafic, pe procesoarele semafoarelor nu se vor executa algoritmi complecși. Semafoarele securizate au rolul unor entități de încredere, parte componentă din infrastructură, care ajută la semnarea și verificarea autenticității mesajelor, în cazul în care acest lucru este cerut.

Pe lîngă atributele moștenite de la CittyTrafficLight, SecCittyTrafficLight are o serie de atribute particulare care individualizeaza protocolul de securitate:

_ mesajul newMessage este folosit în comunicația mașina- semafor (este un mesaj particular, specific protocolului). Acesta va fi detaliat într-o secțiune ulterioară a lucrării;

_ lista “mașini” – reprezintă o listă cu mașinile care au trecut pe la acest semafor securizat și au cerut semnarea sau autentificarea unui mesaj;

_ atributul id_sem – reprezintă identitatea semaforului securizat (parte a infrastructurii rutiere);

_ atributul publicKey – reprezintă cheia publică generată particular pentru acest semafor securizat;

_ atributul privateKey – reprezintă cheia secretă generată particular pentru acest semafor securiza.

Constructorul clasei SecCittyTrafficLight suprascrie constructorul clasei CittyTrafficLight și generează cheia publică și cheia privată particulară pentru semaforul securizat curent. Algoritmul de semnare a mesajelor se bazează pe DSA, standardul de facto utilizat de Guvernul Federal al Statelor Unite pentru semnături digitale.

Metoda createSignature(PrivateKey key, byte[] buffer) returnează semnătura pentru bufferul de bytes dat ca argument folosind cheia privată. Metoda verifySignature(PublicKey key, byte[] buffer, byte[] signature) verifică autenticitatea semnăturii signature pentru array semaforului. Metode auxiliare ajutătoare sunt getPublicKey și a semaforului, respectiv numărul de mașini care au cerut semaforului securizat semneze sau să le autentifice un mesaj.

Alte metode auxiliare convertStringToByteArray(..) și convertByteArraytoString(…) fac conversia directă și inversă între un array de bytes și un string.

Metoda step(int crtTime) suprascrie metoda cu același nume din clasa CittyTrafficLight, dar implementează în același timp și programarea unor beaconuri periodice pentru acest semafor securizat.

Metoda scheduleSecureSendEvent(int delay, int messageType) adaugă în coada de evenimente de tip Send ale Engine-ului noi mesaje de tip beacon emise la interval de o secundă de semaforul securizat. Mesajele de tip beacon conțin în cadrul lor și cheia publică a semaforului ce a emis beaconul respectiv.

Metoda upgradeToSecTL() upgradează toate semafoarele existente pe hartă la semafoare inteligente securizate. Tot în această metodă se are în vedere setarea culorilor pentru semafor, precum și timpul cît un semafor își păstrează o anumită culoare înainte de a o schimba cu alta.

Metoda “onReceive” marchează faptul că obiectul SecCittyTrafficLight a recepționat un eveniment de la mediu. În cazul în care mesajul este nul, procesarea se oprește. Altfel, se verifică

antetul mesajului. Dacă tipul de protocol inscripționat în antet este PROT_SEC_PKI, mesajul este procesat. În cazul implicit, este apelată metoda default de procesare a mesajului specifică claselor părinte.

Metoda chechSignature(…) verifică autenticitatea semnăturii pentru un anumit mesaj. Metoda returnează o valoare booleană reprezentînd validitatea sau nelegitimitatea respectivului mesaj. Este posibil că mesajul să nu fie semnat de acest semafor, din acest motiv semnătura trebuie validată cu toate semafoarele de pe hartă. Dacă mesajul este validat cu unul din semafoarele securizate existente pe hartă, se întoarce o variabilă booleana de adevăr; în caz contrar, se returnează fals.

Procesarea mesajului aparținînd PROT_SEC_PKI se face numai pentru anumite tipuri de mesaje din cadrul protocolului de securitate. Mesajele prelucrate sunt de tip cerere de semnare a unui mesaj sau verificare a validității pentru un anumit mesaj.

Mesajele trimise de semafoarele securizate SecCittyTrafficLight către mașinile securizate SecCar sunt unicast. Motivația acestei decizii constă în faptul că aria de acoperire a semaforului este mai mare decît aria de acoperire a mașinii, astfel încît acesta are suficient timp pentru a prelucra un mesaj primit și a-l trimite înapoi. În cazul în care mașina rulează cu o viteză mare și

nu primește răspunsul înapoi de la semaforul securizat, îl va retrimite ulterior atunci cînd va intra în aria de acoperirea a altui semafor securizat.

Un eveniment de tip Send declanșează metoda prepareMessage(int messageType) responsabilă pentru pregătirea unui mesaj. Metoda prepareMessage serializează mesajul într-o secvență de biți care va fi transmisa pe mediu, în funcție de tipul de transmisie wireless utilizată.

În cazul în care se procesează un mesaj de tip cerere semnare, se prelucrează cîmpurile referitoare la mesajul propriu-zis, locație și amprenta de timp, toate acestea contribuind la realizarea semnăturii digitale. De asemenea, se înregistrează în lista de mașini a semaforului

curent automobilul care a făcut cererea de semnare.

În cazul în care se procesează o cerere de validitate privind un mesaj care a ajuns la o anumită mașină, se fac verificări pe cîmpurile mesajului și semnătura atașată acestuia. Dacă mesajul a fost semnat de unul din semafoarele inteligente securizate în cadrul infrstructurii, se va întoarce un raspuns mașinii destinație. În cazul în care semnătura este validă, răspunsul este unul pozitiv; în caz contrar, răspunsul este negativ. Pentru a preveni un atac de tip “man – în – the – middle”, acest mesaj de confirmare este de asemenea semnat de semaforul securizat. În cazul în care un atacator ar frauda mesajul, mașina destinație poate observa acest lucru, verificarea fîcîndu-se cu cheia publică a semaforului pe semnătura răspunsului primit.

Mesajele de tip broadcast din cadrul protoculului PROT_SEC_PKI care nu sunt destinate semafoarelor securizate sunt rejectate.

În timpul derulării protocolului de securitate, se poate observa că semaforul trece prin mai multe stări (stări care nu se exclude reciproc una pe alta, ci se modifică în funcție de tipul de eveniment recepționat):

_ EMIS BEACON.

_ VERIFICARE MESAJ.

4.7 Clasa SecMessage.

Clasa SecMessage reprezintă clasa ce implementează mesajele specifice protocolului de

securitate implementat.

Clasa conține metode de tip setter și getter pentru toate atributele specifice mesajului.

Tipurile de mesaje sunt setate în funcție de starea în care se afla mașina securizată SecCar sau semaforul securizat SecCittyTrafficLight. Mesajele conțin un cîmp intern număr de hopuri care precizează numărul maxim de stații prin care poate trece un mesaj același timp, este menținută și o ștampilă de timp care ajută la retransmisia unor mesaje. În care acest lucru este necesar. Mecanismele de timeout și numărul maxim de hopuri sunt necesare pentru a preveni fenomenul de buclare la infinit a mesajelor.

Mesajele generate în cadrul protocolului de securitate de entitatea SecCar sau entitatea SecCittyTrafficLight implică evenimente adăugate în coada EventQueue a clasei Engine. Evenimentele generate sunt de tip unicast sau broadcast, în funcție de starea în care se află obiectul emițător sau receptor de mesaje. Mesajele de tip broadcast sunt utile în cazul în care se

apeleaza la rutarea folosind mai multe hopuri (mașini intermediare), iar mesajele de tip unicast sunt folosite pentru comunicația directă.

Alte cămpuri importante pentru acest protocol sunt cîmpurile latitudine și longitudine, care determină poziția geografică a unei stații la un moment dat. De asemenea, cîmpul Cheie Publică ajută mașinile securizate să verifice validitatea unor mesaje primite de la semafoarele securizate.

Dimensiunea unui mesaj SecMessage variază în funcție de tipul acestuia. De exemplu, un beacon emis de semafor va conține obligatoriu cîmpul Cheie Publică, pentru a ajuta mașina securizată să valideze veridicitatea mesajului semnat primit. Mesajele efective ce sunt comunicate între două mașini nu trebuie obligatoriu să conțină cheia publică, aceasta putînd fi obținută și reținută ușor la destinație (care primește de asemenea beaconuri). Pe lîngă cîmpul care conține semnătura răspunsului final de validate a unui mesaj dat de un semafor unei mașini securizate trebuie să mai existe și cheia publică a semaforului pentru a preveni atacuri de tip man-in-the-middle.

4.8 Clasa SecureGlobals.

Clasa SecureGlobals reprezintă clasa ce conține constantele finale specific protocolului

de securitate implementat.

Clasa conține următoarele atribute particulare:

_ constanta de timeout TIMEOUT;

_ constanta care reprezintă numărul maxim de h;

_ tipurile de mesaje specific emise de entitatea SecCar sau SecCittyTrafficLight;

_ codificarea stărilor prin care trece mașina SecCar.

Rezultate Experimentale

Experimentele au fost rulate pe simulatorul VNSim, descris în Capitolul 4 a lucrării.

Rezultatele prezentate în continuare oferă indicatori care exprimă fiabilitatea protocolului implementat.

Datele experimentale colectate au fost prelucrate folosind un scenariu urban, Harta conține 16 semafoare securizate, traficul generat în cadrul simulatorului fiind variabil, în funcție de condițiile rutiere existente. Scenariul este generat în simulatorul anterior menționat, entitățile principale existente în scenariu fiind Mașina Securizata și Semaforul Securizat. Indicatorii prezentați în continuare expun caracteristicile principale ale protocolului de securitate propus. Informațiile pe baza cărora sunt calculați sunt colectate atît la nodurile active (automobile securizate), cît și la nodurile pasive (securizate).

Fig 5.1.1 Harta digitală de simulare.

Parametrii specifici considerați în analiza performanței aplicației implementate sunt următorii:

În cadrul entității semafor securizat (SecCityTrafficLight):

Raportul între numărul de răspunsuri pozitive și negative emise de un semafor securizat. Comportamentul normal al protocolului (nu există nici un atactor în rețea) impune că numărul de raspunsuri negative emise de un semafor securizat să fie nul, întrucît nici un mesaj nu a fost modificat, astfel încît mesajul poate fi confirmat la semafor.

Raportul între numărul de automobile care fac diverse cereri și numărul de mesaje emise de acest semafor. Indicele caracterizează gradul de încărcare al semaforului securizat raportat la condițiile de trafic. Se calculeaza astfel:

(∆nr Mesaje)⁄∆nrAutomobile.

În cadrul entității mașina securizata ( SecCar):

Numărul de mesaje în trafic raportat la intervale periodice de timp. Indicatorul se calculeaza astfel:

∆nrMesaje⁄∆T

Throughput-ul generat de mașinile securizate în cadrul rețelei VANET.

Indicatorul se calculează astfel:

Numărul de conexiuni – numărul curent de mesaje unice ce trebuie transmise între sursa și destinație. Acesta crește o dată cu posibilitatea unui automobil securizat de a iniția comunicație și scade în momentul cînd mesajul este confirmat la destinație.

În continuare vor fi expuse caracteristicile în condiții normale, urmate de analiza variației parametrilor specifici ca urmare a efectuării unor atacuri.

5.1 Performanța protocolului de securitate în condiții ce nu implică prezența unor atacatori.

Rularea în condiții ideale ale protocolului de securitate nu implică existența atacatorilor în scenariul de test considerat. Datele colectate la entitațile participante în protocol constituie fundamentul în vederea reprezentării grafice a indicilor de performanță prezentați anterior.

Fig 5.2.1 Raportul între răspunsuri pozitive și negative emise.

Graficul 5.2.1 evidențiază fiabilitatea protocolului de securitate implementat. Funcția cu albastru reprezintă numărul de răspunsuri pozitive emise o data cu trecerea timpului, iar funcția reprezentată cu roșu arată raspunsuri negative transmise de semaforul securizat. Se observă că numărul de mesaje confirmate crește pe măsura ce aplicația își continuă execuția, în aria de acoperire a acestui semafor rulînd, o data cu cu trecerea timpului, mai multe mașini care cer confirmări în privința veridicitații mesajelor primite de la alte automobile. Răspunsurile negative sunt egale cu zero, în acord cu implementarea expusă: cum nu există atacatori în rețea, nici un mesaj nu este fraudat, tot traficul cu informații ce necesită verificare fiind validat de semafoarele securizate.

Graficul 5.2.2 evidențiază gradul de încărcare a semaforului raportat la condițiile de trafic. Axa orizontală prezintă numărul de mesaje, iar axa verticală reprezintă numărul de mașini care au comunicat cu acest semafor. Se observă că pe măsura ce condițiile de trafic se intensifică (mai multe mașini trec prin aria de acoperire a entității pasive), numărul de mesaje emise de semaforul securizat crește. Acest rezultat este în concordanță cu soluția propusă. Cu cît numărul de mașini care sunt în aria de acoperire a unui semafor crește, cu atît mai multe mesaje se vor transmite. Semaforul va trimite periodic beaconuri mașinilor din aria sa de acoperire, mașinile vor trimite semaforului mesaje pentru a le semna sau verifica validitatea acestora. Mai mult, cum raza de acțiune a unei mațini este mai mica decît raza de acțiune a unui semafor securizat, este posibil ca o mașină să trimită mesajul către un semafor prin intermediul altor mașini (prin difuzare). De asemenea, semaforul trimite înapoi către mașinile securizate mesajele apendate cu semnătura digitală și răspunsuri privind validitatea anumitor mesaje care necesită confirmare. Observînd panta funcției graficului, se observă un raport aproximativ liniar cu valoarea 1.25 între numărul de mesaje și numărul de mașini ce au comunicat cu acest semafor securizat.

Fig 5.2.2 Gradul de încărcare al semaforului raportat la condțtiile de trafic.

Valoarea pantei caracterizează o legatură aproximativă de 1:1 între mașină și semafor, rezultat ce atestă faptul că nu există explozii de transmitere de mesaje în apropierea semaforului, justificînd corectitudinea implementării.

Reprezentările urmatoare (fig. 5.2.3, 5.2.4) exprimă parametri ai protocolului de securitate calculați folosind date colectate de mașinile securizate. Cele doua grafice de mai jos caracterizează numărul de mesaje aflate în tranzit generate de mașini și throughput-ul mediu calculat pentru autombilele securizate la intervale periodice de timp.

Fig 5.2.3 Numărul de mesaje aflate în tranzit generat de mașini.

Fig 5.2.4 Throughput-ul generat de vehiculele securizate.

Se observă o legatură proporțională între numărul de mesaje generate de mașini aflate în tranzit și throughput-ul de comunicație implicat. Se poate vedea că fluctuațiile din reprezentare nu implică schimbări bruște și accentuate. Variațiile existente pe grafic sunt datorate dimensiunii inegale a mesajelor, transmisiunilor de tip difuzare, cozilor de mașini care se pot produce la semafor, cererilor de semnare și validare a anumitor mesaje pentru mașinile securizate. Se atestă faptul că încărcarea rețelei este în concordanță cu numărul de mesaje aflate în tranzit în rețea.

Fig 5.2.5 Numărul de conexiuni stabilite pe interval periodice de timp.

Graficul 5.2.5 caracterizează variația în timp a conexiunilor dintre vehiculele securizate. Se observă cum graficul capătă o pantă ascendentă o dată cu inițierea de conexiuni între diferite automobile care își transmit mesaje securizate. Pe măsura ce conexiunile sunt confirmate la semafoarele securizate și se primesc răspunsuri pozitive, numărul acestora scade, graficul trece pe o pantă descendentă. Fluctuațiile existente sunt datorate mașinilor care încearca noi transmisiuni cu restul vehiculelor din trafic, panta căpătînd aspect descendent în momentul în care mesajele ajung la destinație și sunt confirmate.

5.3 Scenariul 1.

Primul atac implementat constă în introducerea în rețeaua VANET a unor mașini atacatoare care transmit mesaje direct către destinația finală, nemaiatașînd semnătura digitală de la semaforul securizat. Rata de atacatori infiltrați în rețeaua ad-hoc vehiculara este de 35%. Indicatorii caracteristici protocolului de securitate implementat prezentați pentru comportamenul ideal (fără atacatori) vor fi expuși și pentru scenariului 1, făcînd observațiile de riguroare specifice tipului de atac desfășurat în acest caz.

Fig 5.3.1 Numărul de mesaje aflate în tranzit generat de mașini.

Fig 5.3.2 Throughput-ul generat de vehiculele securizate.

Fig 5.3.3 Gradul de încărcare al semaforului raportat la condițiile de trafic.

Cele trei grafice (fig. 5.3.1, 5.3.2, 5.3.3) caracterizează următorii parametri ai protocolului:

_ Numărul de mesaje în trafic raportat la intervale periodice de timp.

_ Throughput-ul generat de mașinile securizate în cadrul rețelei VANET.

_ Raportul între numărul de automobile care fac diverse cereri și numărul de mesaje emise de acest semafor.

Comparînd graficele în cazul primului atac (trimiterea de către un atacator a unui mesaj fals, nesemnat de către o autoritate de certificare – semafor securizat) cu situația normală de funcționare, se observă că pararametrii menționați nu suferă modificări semnificative. În cazul gradului de încarcare determinat de traficul de informație generat de mașini, cum atacatorul trece peste etapa de atașare a unei semnături digitale la sfarșitul mesajului, se constată ca throughput-ul necesar comunicării este mai mic decît în cazul ideal de funcționare, deoarece se trece peste faza în care un mesaj este posibil să fie expediat către un semafor prin intermediul unor mașini intermediare.

Colaborat cu throughput-ul este și numărul de mesaje generate de vehicule (cei doi indicatori sunt în relație de proporționalitate), care, analog cu cele menționate anterior, este mai mic decît în cazul ideal de funcționare (fără atacatori).

Raportul între numărul de automobile care fac diverse cereri și numărul de mesaje emise de un semafor securizat nu se modifică, entitatea de încredere din infrastructura analizînd mesajele din partea atacatorilor în același mod cu a unor pretendenți legitimi.

Graficul 5.3.4 ce caracterizează variația în timp a conexiunilor dintre vehiculele securizate se modifică semnificativ față de situația ideală. După cum se observă, panta graficului menține o tendință ascendentă, întrucît semaforele securizate recunosc faptul că mesajele au fost modificate de un atacator și trimit răspunsuri negative la automobilul destinație final. Cu toate că unele mesaje sunt confirmate, avînd în vedere gradul mare de atacatori prezenți în rețeaua ad-hoc vehiculară, numărul de conexiuni neconfirmate va menține panta crescatoare.

Fig 5.3.4 Numărul de conexiuni stabilite pe intervale periodice de timp.

În cazul răspunsurilor emise de semafor, se pot observa, din nou, schimbări radicale față de situația ideală, cînd în sistem nu existau atacatori. Graficul (fig. 5.3.5) expune comportamentul unui semafor securizat care prelucreaza cereri de la participanții din trafic (automobile). Funcția reprezentată cu albastru reprezintă numărul de răspunsuri pozitive emise o dată cu trecerea timpului, iar funcția reprezentată cu roșu arată răspunsurile negative transmise de semaforul securizat. Răspunsurile negative au o valoare diferită de zero, în acord cu implementarea expusă: cum în rețea există atacatori, unele mesaje sunt fraudate, astfel încat o parte din traficul ce necesită validare de la semafoare primește răspuns negativ. Se poate constata că semafoarele securizate reușesc să discerne între un trafic autentic și unul nelegitim.

Fig 5.3.5 Raportul între răspunsuri pozitive și negativeemise de acest Semafor Securizat.

Următoarele două grafice din figura 5.3.6 expun modalitatea în care atacurile declanșate de intrușii din sistem sunt contramandate de semafoarele securizate.

Fig 5.3.6 Depistare și contracărare atacuri.

O dată ajuns la destinație, mesajul trebuie să parcurgă o ultimă fază de validare cu un semafor securizat din apropiere. Trebuie de asemenea amintit că aria de transmisie a unei mașini este mai mica decît aria de transmisie a unui semafor. Astfel, unele mesaje fraudate vor fi difuzate prin intermediul unor mașini intermediare către autoritatea de încredere, semaforul, pentru validare finală. Rezultă, datorită fenomenului de difuzare, că atacurile ajung multiplicat la semafor, dar sunt contramandate cu succes de acesta.

Avînd în vedere toate cele menționate mai sus, ajungem la concluzia că soluția propusă rezistă tipului de atac explicat în scenariul 1.

5.4 Scenariul 2.

Cel de-al doilea atac implementat constă în adăugarea în rețeaua VANET a unor mașini atacatoare care, dacă ajung în starea de MASINI_INTERMEDIARE, nu vor mai ruta mesajul în continuare către un semafor securizat, ci il vor rejecta. Rata de atacatori infiltrați în rețeaua ad-hoc vehiculara este de 35%.

Indicatorii caracteristici protocolului de securitate implementat prezentați pentru comportamenul ideal (fără atacatori) vor fi expuși și pentru scenariului 2, facînd observațiile de riguroare specifice tipului de atac desfasurat în acest caz.

Fig 5.4.1 Raportul între răspunsuri pozitive și negative emise de acest Semafor Securizat.

Graficul 5.4.1 evidențiază fiabilitatea protocolului de securitate implementat, precum și rezistența acestuia la atacul propus. Funcția colorată cu albastru reprezintă numărul de răspunsuri

pozitive emise o data cu trecerea timpulu, iar funcția reprezentată cu roșu arată răspunsurile negative transmise de semaforul securizat. Se poate observa similitudinea cu graficul din cazul ideal (unde nu există atacatori). Raspunsurile negative sunt egale cu zero, în acord cu implementarea expusă.

Există atacatori în rețea, care, atunci cînd vor fi în starea de MASINI_INTEMEDIARE, nu vor ruta mesajele către semafoarele securizate. Totuși, rata atacatorilor nu este foarte ridicată, astfel încît, cu toate că o parte din mesaje vor fi rejectate, alte automobile legitime, o data ajunse în starea de MASINA_INTERMEDIARA, vor trimite mesajele către semafoarele securizate. Chiar și în cazul în care toți vecinii unui automobil sunt atacatori (care rejecteaza informația), mașina legitimă va reuși comunicația cu o alta. Dacă un semafor se află în aria ei de transmisie, va comunica direct cu acest. În caz contrar, dacă nu va primi un raspuns privind apendarea unei semnături sau verificarea validitatății pentru un mesaj pentru un timp TIMEOUT, va reîncerca transmisia. Eventual, va avea în aria de acoperire un semafor securizat cu care să comunice sau mașini intermediare legitime care sa ruteze mesajul.

Raportul între numărul de automobile care fac diverse cereri și numărul de mesaje emise de un semafor securizat (fig 5.4.2) nu se modifică, parametrul pastrîndu-și o valoare aproximativ egala cu scenariul ideal, unde nu existau mașini atacatoare. Faptul că o mașina nu va mai ruta mesaje pentru alți participanți la trafic nu influențează numărul de mesaje transmise de semaforul securizat celorlate vehicule din proximitate.

Fig 5.4.2 Gradul de încărcare al semaforului raportat la condițiile de trafic.

În cazul gradului de încărcare determinat de traficul generat de mașini (fig. 5.4.3), cum atacatorul nu ruteaza mesaje pentru alte vehicule din apropiere, se constată că throughput-ul necesar comunicării este mai mic decît în cazul ideal de funcționare. Totuși, acest throughput poate crește pînă la o valoare aproximativ egală cu cea din cazul ideal, considerînd faptul că, după un timp TIMEOUT, mașina inițiatoare va reîncerca transmisia mesajului către destinație. Colaborat cu throughput-ul este și numărul de mesaje generate de vehicule (fig. 5.4.4).

Luînd în considerare relația de proporționalitate directă între cei doi indicatori, discuția pentru throughput se face analog, ca în paragraful anterior.

Fig 5.4.3 Numărul de mesaje aflate în tranzit generat de mașini.

Fig 5.4.4 Throughput-ul generat de vehiculele securizate.

Graficul privind variația în timp a conexiunilor dintre vehiculele securizate (fig. 5.4.5) are aceleași caracteristici cu cel din scenariul ideal. Faptul că există mașini intermediare care nu rutează mesajele pentru validare finală privind legitimitatea mesajului nu influențează numărul de conexiuni care se vor stabili între doi participanți din rețeau VANET. Argumentația pentru această afirmația este aceeași ca în cazul indicatorului “Raportul între răspunsuri pozitive și negative emise de acest Semafor Securizat” din scenariul curent.

Fig 5.4.5 Numărul de conexiuni stabilite pe interval periodice de timp.

Avînd în vedere toate cele menționate mai sus, ajungem la concluzia că soluția propusă rezistă tipului de atac desfașurat în scenariul 2.

5.5 Scenariul 3.

Cel de-al treilea atac implementat constă în introducerea în rețeaua VANET a unor mașini atacatoare care modifică conținutul unui mesaj dupa ce l-au primit înapoi apendat cu semnătura digitală de la semaforul securizat și înainte de a-l expedia către destinația finală. Rata de atacatori infiltrați în rețeaua ad-hoc vehiculara este de 35%.

Indicatorii caracteristici protocolului de securitate implementat prezentați pentru comportamenul ideal (fără atacatori) vor fi expuși și pentru scenariului 3, făcînd observațiile de riguroare specifice tipului de atac desfășurat în acest caz.

Fig 5.5.1 Numărul de mesaje aflate în tranzit generat de mașini.

Fig 5.5.2 Throughput-ul generat de vehiculele securizate.

Fig 5.5.3 Gradul de încărcare al semaforului raportat la condițiile de trafic.

Comparînd graficele atacului curent (modificarea de către un atacator a conținutului unui mesaj dupa ce l-a primit înapoi apendat cu semnatura digitală de la semaforul securizat și înainte de a-l expedia către destinația finală) cu situația normală de funcționare, se observă că pararametrii menționați nu suferă modificări semnificative. În cazul numărului de mesaje generat de mașini la interval periodice de timp, modificarea de către un atacator a conținutului unui mesaj după ce l-a primit înapoi apendat cu semnătura digitală de la semaforul securizat și înainte de a-l expedia către destinația finală nu influențează cu nimic numărul de mesaje aflate în trafic la un moment dat de timp. În ansamblu, numărul de mesaje aflate în tranziție în rețeaua VANET în cazul scenariului 3 este același cu numărul de mesaje aflate în tranziție în cazul în care în mediu de funcționare nu există nici un atacator de tipul scenariul actual.

Colaborat cu numărul de mesaje generate de vehicule este și throughput-ul (cei doi indicatori sunt în relație de proporționalitate), care, analog cu cele menționate anterior, este aproximativ egal cu cel calculat în cazul normal de funcționare.

Raportul între numărul de automobile care fac diverse cereri și numărul de mesaje emise de un semafor securizat nu se modifică, semaforul analizînd mesajele din partea atacatorilor în același mod cu a unor pretendenți legitimi.

Graficul 5.5.4 ce caracterizează variația în timp a conexiunilor dintre vehiculele securizate se modifică semnificativ față de situația normală. După cum se observă, panta graficului menține o tendința ascendentă, întrucît semaforele securizate recunosc faptul că mesajele au fost modificate de un atacator și trimit răspunsuri negative la automobilul destinație final.

Fig 5.5.4 Numărul de conexiuni stabilite pe intervale periodice de timp.

În cazul răspunsurilor emise de semafor, se pot observa diferențe majore față de situația ideală, cînd în sistem nu existau atacatori. Graficul 5.5.5 expune comportamentul unui semafor securizat care prelucrează cereri de la participanții din trafic (automobile). Răspunsurile negative au o valoare diferită de zero, în acord cu implementarea propusă: cum în rețea există atacatori, unele mesaje sunt fraudate, rezultă că o parte din traficul ce necesită validare de la semafoare primește răspuns negativ. Se poate constata că semafoarele securizate reușesc să discerne între un trafic autentic și unul nelegitim.

Fig 5.5.5 Raportul între răspunsuri pozitive și negative emise de acest Semafor Securizat.

Din graficele din figura 5.5.6. expun modalitatea în care atacurile declanșate în sistem sunt evitate cu ajutorul semafoarelor securizate.

Fig 5.5.6 Depistare și contracărare atacuri.

Se observă cum atacurile sunt anulate de semafoarele securizate. Verificînd semnătura apendată mesajului cu părțile componente din mesaj care au contribuit la formarea acesteia se validează sau se neagă veridicitatea mesajului primit la semaforul securizat.

Avînd în vedere toate cele menționate mai sus, ajungem la concluzia că soluția propusă rezistă tipului de atac explicat în scenariul 3.

5.6 Scenariul 4.

Cel de-al patrulea atac implementat este o varianta a atacului de tip man-in-the-middle.

Mașinile aflate în starea MAȘINA_INTERMEDIARĂ își exercită funcția lor de rutare mesaje pentru alți participanți la trafic, dar modifică conținutul pachetului. Cum semaforul nu poate ști dacă mesajul care a ajuns la el pentru a-i apenda semnătura digitală este același cu cel care a plecat de la sursa, nu poate “vedea” că acesta a fost modificat. Astfel, singura modalitate de a preveni situația curentă este verificarea conținutului și semnăturii mesajului la sursă, după ce pachetul a fost reprimit înapoi și înainte de a fi expediat către mașina destinație finală. Rata de atacatori infiltrați în rețeaua ad-hoc vehiculara este de 35%.

Indicatorii caracteristici protocolului de securitate implementat prezentați pentru comportamenul ideal (fără atacatori) vor fi expuși și pentru scenariului 4, facînd observațiile de riguroare specifice tipului de atac desfășurat în acest caz.

Fig 5.6.1 Numărul de mesaje și throughtput-ul generat de mașini.

Numărul de mesaje în trafic raportat la intervale periodice de timp. Indicatorul se calculează astfel: ∆nrMesaje⁄∆T. Se constată o scădere a numărului de mesaje aflate în trafic deoarece, în urma unor atacuri precum cele din scenariul actual, mașinile nu vor mai putea avansa în starea CERERE_CONFIRMARE. Acest lucru se datorează diferențelor între textul inițial și conținutul primit după apendarea semnăturii digitale la mașina sursă. Cum mesajul nu se mai propagă la destinație, se elimină tot fluxul de mesaje necesare validării finale.

Throughput-ul generat de mașinile securizate în cadrul rețelei VANET. Indicatorul se calculează astfel: . Acest parametru este direct proporțional cu numărul de mesaje generate de automobile aflate în tranzit, astfel încat acesta va scădea de asemenea.

Fig 5.6.2 Numărul de conexiuni stabilite pe intervale periodice de timp.

Numărul de conexiuni (fig 5.6.2) – numărul curent de mesaje unice ce trebuie transmise între sursa și destinație. Valoarea păstrează caracteristicile cazului ideal de testare, în care nu există atacatori. Argumentul constă în faptul că atacul este stopat într-un stadiu incipient, inainte de a fi expediat de sursă către destinația finală.

Fig 5.6.3 Gradul de încărcare al semaforului raportat la condițiile de trafic.

Raportul între numărul de automobile care fac diverse cereri și numărul de mesaje emise de acest semafor (fig 5.6.3). Valoarea raportului este proporțională cu cea din cazul ideal de funcționare (fără atacatori). Cum mesajul este verificat la sursă, în cazul în care este modificat, va fi rejectat. Altfel, el va fi procesat pe parcursul protocolului în același mod ca în cazul normal de funcționare. În situația în care există un atac de tipul scenariului 4, numărul de mesaje emise de semafor scade deoarece există mai puține cereri de validare mesaje; rezultă ca numărul de mașini care comunică cu semaforul securizat scade (mașina nu va avansa în starea CERERE_CONFIRMARE, întrucat nu a primit un mesaj, acesta fiind rejectat de sursă în momentul în care se constantă discrepanta între textul inițial și conținutul primit după apendarea semnăturii digitale). În concluzie, raportul dintre numărul de mesaje emise de semafor și numărul de mașini care vor primi aceste mesaje este proporțional cu raportul de funcționare ideală.

Fig 5.6.4 Raportul între răspunsuri pozitive și negative emise de acest Semafor Securizat.

Raportul între numărul de răspunsuri pozitive și negative emise de un semafor securizat (fig. 5.6.4). Cum mesajul a fost modificat de-a lungul rutei pînă să fie semnat, semaforul nu poate ști dacă pachetul a fost modificat, trimitînd înapoi la sursa mesajul apendat la final cu semnătura digitala. Dacă nu s-ar face verificare cu mesajul inițial la sursa înainte de expediere pentru a verifica dacă conținutul a fost modificat destinația va primi o informație eronată. Informația eronată va fi perpetuată pentru validare finală la semafor securizat din apropiere. Cum cîmpurile

falsificate au toate elementele valide (semnătura din final pentru mesajul modificat se potrivește

cu textul fals), mesajul neveridic va primi confirmare și va fi procesat. Ca urmare a celor menționate, înainte de a trimite mesajul la destinația final, sursa face o verificare suplimentare pentru a se asigura asupra faptului că textul mesajului transmis spre semnare nu a fost înlocuit la altul nou.

Fig 5.6.5 Depistare și contracărare atacuri.

Se observă că atacurile sunt contramandate de vehiculele securizate. Motivația faptului ca numărul de atacuri soluționate la mașina este mai mic decît numărul efectiv de atacuri din rețea este următoare: mesajele transmise de mașinile aflate în starea MASINA_INTERMEDIARA sunt propagate prin difuzare. Mesajul apendat cu semnătura este expediat de semaforul securizat

către vehiculul sursă sub forma de unicast, o singură dată, cu toate că acesta a primit mai multe cereri, numărul ridicat de cereri fiind datorat fenomenului de broadcast.

Avînd în vedere toate cele menționate mai sus, ajungem la concluzia că soluția propusă rezistă tipului de atac explicat în scenariul 4.

5.9 Analiza rezultatelor.

Analizînd rezultatele prezentate anterior cu privire la funcționarea protocolului într-un mediu ideal (fără intruși), precum și într-un mediu cu mașini malitioase, se observă comportarea corecta și în condiții diverse a protocolului implementat.

Realizînd comparația cu o transmisie simplă, nesecurizată de mesaje, protocolul implementat impune o încarcare suplimentara a rețelei.

Transmisia unui mesaj între două mașini securizate impune un overhead în mediul VANET față de o transmisia normală. Încărcătura adițională în cadrul protocolului securizat este datorată apendării la sfarșitul mesajului a semnăturii digitale. Cum semnătura digitală se constituie doar pe baza cîmpurilor mesaj, locație, ștampilă de timp, overheadul adaugat mesajului este următorul:

=

=

În urma testelor efectuate, valoarea determinată pentru acest parametru a fost de 28%. Timpul de transmisie suplimentar alocat pentru comunicația dintre mașini, luînd în considerare semnarea unui mesaj la un semafor securizat înainte de transmisie și validarea mesajului, la recepție, prin intermediul infrastructurii, este:

Timp_suplimentar = Timp_transmisie_normala /Timp_transmisie_securizata= Timp CarToCar / (TimpCarToCar+2*TimpCarSem)

În urma testelor efectuate, valoarea determinată pentru acest parametru a fost de 29%.

În concluzie, raportat la rezultatele experimentelor anterioare, se poate afirma că soluția de securitate propusă poate fi folosită cu succes pentru transmiterea sigură a mesajelor în medii VANET în prezența unor riscuri potențiale de securitate dintre cele mai variate. Pe lîngă corectitudine, se poate observa că protocolul propus conduce și la rezultate optime în ceea ce privește numărul de mesaje necesare, timpul de transmisie sau încărcarea rețelei wireless și a participanților la trafic.

CONCLUZII GENERALE ȘI RECOMANDĂRI

Rețelele de tip VANET (Vehicular Ad-Hoc Networks) sunt un caz particular al rețelelor wireless ad-hoc. Aceste rețele se formează prin echiparea vehiculelor cu dispozitive cu raza mică pentru comunicație wireless. Dezvoltarea de aplicații și protocoale pentru rețele VANET pune probleme de securitate unice, induse de dispozitivele utilizate, de conectivitatea sporadică a vehiculelor, de gradul înalt de relevanța dat de descoperirea locației lor geografice.

În cadrul lucrării a fost prezentat un protocol de asigurare a securitații în cadrul rețelelor VANET (Vehicular Ad-Hoc Networks). Motivația principală a proiectului este legată de lipsa unor mecanisme adecvate standardizate de asigurare a proprietații de securitate în mediile vehiculare ad-hoc existente astăzi. În acest moment se constată o gravă lipsă de mecanisme de detecție a unor posibile atacuri, precum și inexistența mijloacelor de neutralizare a acestora.

Soluțiile dezvoltate pînă acum nu acoperă toate aspectele specifice securitații, nefiind încă standardizate și acceptate în rîndul comunitații științifice.

În acest context protocolul de securitate prezentat oferă o soluție pentru rețelele VANET. Modelul propus a fost implementat și testat folosind simulatorul VNSim.

Soluția pentru securitate expusă în cadrul lucrării se bazează pe poziția vehiculelor în momentul transmiterii mesajelor, momentul de timp la care se petrece emisia, autoritațile de certificare existente în zona în momentul începerii transmiterii de informații în mediul VANET urmărind crearea unei posibilitați de securizare a transmiterii mesajelor.

Protocolul este conceput pentru medii puternic partiționate, suferind de o mare dinamicitate de conectare a nodurilor în cadrul rețelelor. Protocolul este modular, scalabil, fiind structurată pe mai multe stări. Componentele principale participante sunt entitatea Autovehicul (SecCar) și entitatea Semafor (SecCittyTrafficLight). Transmiterea de mesaje securizate între mașinile aflate în trafic se face în funcție de existența unei entități de certificare prezente în zona, de distanță dintre autovehicule care vor să comunice, de traiectoria pe care acestea se deplasează, de faptul că autovehiculul destinație este în raza de transmisie sau de necesitatea selectării unei rute ce include mai multe hopuri în vederea transmiterii mesajelor.

Rezultatele obținute în cadrul lucrării demonstreaza corectitudinea și validitatea protocolului de securitate propus. Scenariile de test executate au urmărit evaluarea diferitelor aspecte ale securitații. De altfel, prin rezultatele obținute se reiterează funcționarea corectă a protocolului prezentat și a implementării acestuia.

Protocolul prezentat acoperă urmatoarele aspecte generale privitoare la securitate:

Confidențialitate (păstrarea secretului) – se referă la păstrarea informației departe deutilizatorii neautorizați.

Integritatea – informația poate fi modificată doar de utilizatorii autorizați sau în modalitate autorizată (asigură ca mesajul primit nu a fost modificat în tranzit sau măsluit). Integritatea acoperă atît integritatea datelor, cît și integritatea originii (verificată prin autentificare sau determinarea identitații partenerului cu care schimbi mesaje înainte de a dezvălui informații importante).

Disponibilitatea – accesul la informație a utilizatorilor autorizați nu este îngrădit (opusuleste denial of service).

Controlul accesului – reprezintă protecția împotriva accesului ne-autorizat.

Non-repudierea – prin care se asigură ca transmitatorul nu poate nega transmiterea unui mesaj pe care un receptor l-a primit deja.

Pe viitor se vor avea în vedere o serie de extinderi ale protocolului dezvoltat. Cel mai important aspect care poate fi exploatat este încercarea reducerii comunicației între mașinile și semafoarele securizare, mutînd partea de semnare și validare a mesajelor specifică semafoarelor securizate pe mașinile securizate.

Bibliografie

Proiectul CAR-2-CAR, accesibil la http://www.car-2-car.org/. (vizitat 12.11.2014 ).

Proiectul Secure Vehicular Communication accesibil la: http://www.sevecom.org/.(vizitat 10.10.2014).

Proiectul 5.9 GHz DSRC accesibil la http://grouper.ieee.org/groups/scc32/dsrc/. (vizitat 12.11.2014).

Raya, M. and Hubaux, Securing vehicular ad hoc networks. J. Comput. Secur. 15, 1, pp. 39-68, Jan. 2007.

Trusted Platform Module (TPM) https://www.trustedcomputinggroup.org/groups/tpm/. (vizitat 04.12.2014 ).

Draft Standard for Wireless Access in Vehicular Environments – Security Services for Applications and Management Messages, IEEE P1609.2/D2 , November 2005.

J. Blum and A. Eskandarian, The threat of intelligent collisions, IT Professional 6(1), pp 24– 29, 2004.

C. Boyd and A. Mathuria, Protocols for Authentication and Key Establishment, Springer, 2003.

Duri.S, Gruteser. M, Liu.X, Moskowitz.P, Perez.R, Singh. M and J.-M. Tang, Framework for security and privacy in automotive telematics, in: Proceedings of the 2nd International Workshop onMobile Commerce, pp. 25–32, 2002.

Eichler. S, Billion. S, Maier. R, Voegel. H.-J. and Kroh. R., On providing security for an open telematicsplatform, in: Proceedings of the 5th International Conference on ITS Telecommunications, 2005.

Enge. P., Retooling the Global Positioning System, Scientific American , May 2004.

Enkelmann. W., FleetNet – Applications for inter-vehicle communication, in: Proceedings of the IEEE Intelligent Vehicles Symposium, pp. 162–167, 2003.

Furgel. I. and Lemke. K, A review of the digital tachograph system, in: Proceedings of the Workshop on Embedded Security in Cars , 2004.

Gerlach. M. , VaneSe, An approach to VANET security, in Proceedings of V2VCOM’05, 2005.

Gollan. L. and Meinel. C. , Digital signatures for automobiles, in: Proceedings of Systemics, Cybernetics and Informatics (SCI), 2002.

Golle.P, Greene D and Staddon J., Detecting and correcting malicious data in VANETs, in: Proceedingsof VANET, pp. 29–37, 2004.

Harney H and Muckenhirn C, Group Key Management Protocol (GKMP) architecture, RFC 2094, 1997.

Hu Y-C and Perrig A, A survey of secure wireless ad hoc routing, IEEE Security & Privacy 2(3), pp. 28–39, 2004.

Hu Y-C, Perrig A and Johnson D, Ariadne: a secure on-demand routing protocol for ad hoc networks, in: Proceedings of Mobicom, pp. 12–23, 2002.

Hu Y-C, A. Perrig and Johnson D.B, Packet leashes: A defense against wormhole attacks in wireless networks, in: Proceedings of IEEE Infocom’03, 2003.

Hubaux J-P , Capkun S and Luo J , The security and privacy of smart vehicles, IEEE Security and Privacy Magazine 2(3), pp. 49–55, 2004.

Jakobsson M , Privacy vs. Authenticity, PhD thesis, University of California at San Diego, 1997.

Jungels D, Raya M, Aad I and Hubaux J-P , Certificate revocation in vehicular ad hoc networks, EPFL, 2006.

Kuhn M , An asymmetric security mechanism for navigation signals, in: Proceedings of the 6th Information Hiding Workshop, 2004.

Lenstra A.K and Verheul E.R, Selecting cryptographic key sizes, Journal of Cryptology 14(4), pp 255–293, 2001.

M. Lott M, Halfmann R, Schultz E and Radimirsch M, Medium access and radio resource management for ad hoc networks based on UTRA TDD, in: Proceedings of Mobihoc, pp. 76–86, 2001.

Matheus K , Morich R , Paulus I , Menig C, Lübke A, Rech B and Specks W , Car-to-Car Communication – Market introduction and success factors, in: Proceedings of ITS’05: 5th European Congress and Exhibition on Intelligent Transport Systems and Services, 2005.

Mauve M , Widmer J and Hartenstein H, A survey on position-based routing in mobile adhoc networks, IEEE Network 15(6), pp. 30–39, 2001.

Parno B and Perrig A , Challenges in securing vehicular networks, in: Proceedings of the Workshop on Hot Topics in Networks (HotNets-IV), 2005.

Perrig A , Canetti R, Tygar J.D and Song D, The TESLA broadcast authentication protocol, in: Proceedings of RSA CryptoBytes’02, 2002.

Rafaeli S and Hutchison D, A survey of key management for secure group communication, ACM Computing Surveys 35(3), pp. 309–329, 2003.

Raya M , Aziz A and Hubaux J.-P, Efficient secure aggregation in VANETs, in: Proceedings of VANET’06, 2006.

Raya M and Hubaux J.-P, The security of vehicular ad hoc networks, in: Proceedings of SASN’05, pp. 11–21, 2005.

Sampigethaya K, Huang L, Poovendran R, Matsuura K and Sezaki K, CARAVAN: providing location privacy for VANET, in: Proceedings of the Workshop on Embedded Security in Cars(escar), 2005.

Samuel P, Of sticker tags and 5.9 GHz, in: ITS International, 2004.

Shamir A, How to share a secret, Communications of the ACM 22(11), pp. 612–613, 1979.

Shaw D and Kinsner W, Multifractal modelling of radio transmitter transients for classification,in Proceedings of WESCANEX’97: Communications, Power and Computing, 1997.

Warner J.S and Johnston R.G, Think GPS cargo tracking = high security? Think again, Technical report, Los Alamos National Laboratory, 2003.

Wolf M, Weimerskirch A and Paar C, Security in automotive bus systems, in: Proceedings of the Workshop on Embedded Security in Cars (escar), 2004.

Xu Q , Mak T , Ko J and Sengupta R, Vehicle-to-vehicle safety messaging in DSRC, in: Proceedings of VANET’04, pp. 19–28, 2004.

Yang X, Liu J, Zhao F and Vaidya N , A vehicle-to-vehicle communication protocol for cooperative collision warning, in: Proceedings of MobiQuitous, 2004

Saroiu Stefan, Wolman Alec, Enabling New Mobile Applications with Location Proofs, Proceedings of the 10th workshop on Mobile Computing Systems and Applications, California, 2009.

Andrew S. Tanenbaum – Computer Networks, fourth Edition – 2005

Gerlach Matthias , Festag Andreas, Leinmuller Tim , Goldacker Gabriele, Charles Harsch -–Security Architecture for Vehicular Communication – Fourth International Workshop on Intelligent Transportation , WIT Hamburg, 2007.

Gerlay Mario, Cascella Roberto G, Zhen Caoy, Crispo Bruno, Battiti Roberto, An efficient weak secrecy scheme for network coding data dissemination in VANET, in Proceedings of the IEEE 19th International Sympossium on Personal, Indoor and Mobile Radio Communications, PIMRC, Cannes, France, 15-18 Septembre 2008.

Sabahi, F., The Security of Vehicular Adhoc Networks, Computational Intelligence, CICSyN-2011, pp. 338-342, July 2011.

Subir Biswas, Establishing Security and Privacy in WAVE-enabled Vehicular Ad hoc Networks, Winnipeg, Canada, 2012.

Sumra, I.A.; Ahmad, I.; Hasbullah, H.; bin Ab Manan, J.-L., “Classes of attacks in VANET, SIECPC-2011, pp.1-5, April 2011.

Samara, G.; Al-Salihy, W.A.H.; Sures, R., Security issues and challenges of Vehicular Ad Hoc Networks (VANET), NISS-2010, pp.393-398, May 2010.

Mainak Ghosh, Sumit Goswami, Intelligent Transportation using VANET, IIT, Kharagpur, February, 2009.

Anexa

Fig 3.2.1 Semnarea unui mesaj de către un semafor securizat.

Fig 4.4.1 Digrama de clasa pentru Semaforul Securizat.

Bibliografie

Proiectul CAR-2-CAR, accesibil la http://www.car-2-car.org/. (vizitat 12.11.2014 ).

Proiectul Secure Vehicular Communication accesibil la: http://www.sevecom.org/.(vizitat 10.10.2014).

Proiectul 5.9 GHz DSRC accesibil la http://grouper.ieee.org/groups/scc32/dsrc/. (vizitat 12.11.2014).

Raya, M. and Hubaux, Securing vehicular ad hoc networks. J. Comput. Secur. 15, 1, pp. 39-68, Jan. 2007.

Trusted Platform Module (TPM) https://www.trustedcomputinggroup.org/groups/tpm/. (vizitat 04.12.2014 ).

Draft Standard for Wireless Access in Vehicular Environments – Security Services for Applications and Management Messages, IEEE P1609.2/D2 , November 2005.

J. Blum and A. Eskandarian, The threat of intelligent collisions, IT Professional 6(1), pp 24– 29, 2004.

C. Boyd and A. Mathuria, Protocols for Authentication and Key Establishment, Springer, 2003.

Duri.S, Gruteser. M, Liu.X, Moskowitz.P, Perez.R, Singh. M and J.-M. Tang, Framework for security and privacy in automotive telematics, in: Proceedings of the 2nd International Workshop onMobile Commerce, pp. 25–32, 2002.

Eichler. S, Billion. S, Maier. R, Voegel. H.-J. and Kroh. R., On providing security for an open telematicsplatform, in: Proceedings of the 5th International Conference on ITS Telecommunications, 2005.

Enge. P., Retooling the Global Positioning System, Scientific American , May 2004.

Enkelmann. W., FleetNet – Applications for inter-vehicle communication, in: Proceedings of the IEEE Intelligent Vehicles Symposium, pp. 162–167, 2003.

Furgel. I. and Lemke. K, A review of the digital tachograph system, in: Proceedings of the Workshop on Embedded Security in Cars , 2004.

Gerlach. M. , VaneSe, An approach to VANET security, in Proceedings of V2VCOM’05, 2005.

Gollan. L. and Meinel. C. , Digital signatures for automobiles, in: Proceedings of Systemics, Cybernetics and Informatics (SCI), 2002.

Golle.P, Greene D and Staddon J., Detecting and correcting malicious data in VANETs, in: Proceedingsof VANET, pp. 29–37, 2004.

Harney H and Muckenhirn C, Group Key Management Protocol (GKMP) architecture, RFC 2094, 1997.

Hu Y-C and Perrig A, A survey of secure wireless ad hoc routing, IEEE Security & Privacy 2(3), pp. 28–39, 2004.

Hu Y-C, Perrig A and Johnson D, Ariadne: a secure on-demand routing protocol for ad hoc networks, in: Proceedings of Mobicom, pp. 12–23, 2002.

Hu Y-C, A. Perrig and Johnson D.B, Packet leashes: A defense against wormhole attacks in wireless networks, in: Proceedings of IEEE Infocom’03, 2003.

Hubaux J-P , Capkun S and Luo J , The security and privacy of smart vehicles, IEEE Security and Privacy Magazine 2(3), pp. 49–55, 2004.

Jakobsson M , Privacy vs. Authenticity, PhD thesis, University of California at San Diego, 1997.

Jungels D, Raya M, Aad I and Hubaux J-P , Certificate revocation in vehicular ad hoc networks, EPFL, 2006.

Kuhn M , An asymmetric security mechanism for navigation signals, in: Proceedings of the 6th Information Hiding Workshop, 2004.

Lenstra A.K and Verheul E.R, Selecting cryptographic key sizes, Journal of Cryptology 14(4), pp 255–293, 2001.

M. Lott M, Halfmann R, Schultz E and Radimirsch M, Medium access and radio resource management for ad hoc networks based on UTRA TDD, in: Proceedings of Mobihoc, pp. 76–86, 2001.

Matheus K , Morich R , Paulus I , Menig C, Lübke A, Rech B and Specks W , Car-to-Car Communication – Market introduction and success factors, in: Proceedings of ITS’05: 5th European Congress and Exhibition on Intelligent Transport Systems and Services, 2005.

Mauve M , Widmer J and Hartenstein H, A survey on position-based routing in mobile adhoc networks, IEEE Network 15(6), pp. 30–39, 2001.

Parno B and Perrig A , Challenges in securing vehicular networks, in: Proceedings of the Workshop on Hot Topics in Networks (HotNets-IV), 2005.

Perrig A , Canetti R, Tygar J.D and Song D, The TESLA broadcast authentication protocol, in: Proceedings of RSA CryptoBytes’02, 2002.

Rafaeli S and Hutchison D, A survey of key management for secure group communication, ACM Computing Surveys 35(3), pp. 309–329, 2003.

Raya M , Aziz A and Hubaux J.-P, Efficient secure aggregation in VANETs, in: Proceedings of VANET’06, 2006.

Raya M and Hubaux J.-P, The security of vehicular ad hoc networks, in: Proceedings of SASN’05, pp. 11–21, 2005.

Sampigethaya K, Huang L, Poovendran R, Matsuura K and Sezaki K, CARAVAN: providing location privacy for VANET, in: Proceedings of the Workshop on Embedded Security in Cars(escar), 2005.

Samuel P, Of sticker tags and 5.9 GHz, in: ITS International, 2004.

Shamir A, How to share a secret, Communications of the ACM 22(11), pp. 612–613, 1979.

Shaw D and Kinsner W, Multifractal modelling of radio transmitter transients for classification,in Proceedings of WESCANEX’97: Communications, Power and Computing, 1997.

Warner J.S and Johnston R.G, Think GPS cargo tracking = high security? Think again, Technical report, Los Alamos National Laboratory, 2003.

Wolf M, Weimerskirch A and Paar C, Security in automotive bus systems, in: Proceedings of the Workshop on Embedded Security in Cars (escar), 2004.

Xu Q , Mak T , Ko J and Sengupta R, Vehicle-to-vehicle safety messaging in DSRC, in: Proceedings of VANET’04, pp. 19–28, 2004.

Yang X, Liu J, Zhao F and Vaidya N , A vehicle-to-vehicle communication protocol for cooperative collision warning, in: Proceedings of MobiQuitous, 2004

Saroiu Stefan, Wolman Alec, Enabling New Mobile Applications with Location Proofs, Proceedings of the 10th workshop on Mobile Computing Systems and Applications, California, 2009.

Andrew S. Tanenbaum – Computer Networks, fourth Edition – 2005

Gerlach Matthias , Festag Andreas, Leinmuller Tim , Goldacker Gabriele, Charles Harsch -–Security Architecture for Vehicular Communication – Fourth International Workshop on Intelligent Transportation , WIT Hamburg, 2007.

Gerlay Mario, Cascella Roberto G, Zhen Caoy, Crispo Bruno, Battiti Roberto, An efficient weak secrecy scheme for network coding data dissemination in VANET, in Proceedings of the IEEE 19th International Sympossium on Personal, Indoor and Mobile Radio Communications, PIMRC, Cannes, France, 15-18 Septembre 2008.

Sabahi, F., The Security of Vehicular Adhoc Networks, Computational Intelligence, CICSyN-2011, pp. 338-342, July 2011.

Subir Biswas, Establishing Security and Privacy in WAVE-enabled Vehicular Ad hoc Networks, Winnipeg, Canada, 2012.

Sumra, I.A.; Ahmad, I.; Hasbullah, H.; bin Ab Manan, J.-L., “Classes of attacks in VANET, SIECPC-2011, pp.1-5, April 2011.

Samara, G.; Al-Salihy, W.A.H.; Sures, R., Security issues and challenges of Vehicular Ad Hoc Networks (VANET), NISS-2010, pp.393-398, May 2010.

Mainak Ghosh, Sumit Goswami, Intelligent Transportation using VANET, IIT, Kharagpur, February, 2009.

Anexa

Fig 3.2.1 Semnarea unui mesaj de către un semafor securizat.

Fig 4.4.1 Digrama de clasa pentru Semaforul Securizat.