1. Introduo Dirigir afeta constantemente nossa posio.

Assim, a necessidade por informao acerca de localizao, dados de trfico, rotas e outras informaes , tambm, constante. VANETs (Veicular Ad Hoc Networks) so redes mveis onde so estabelecidas comunicaes intra-carros, tambm conhecida como IVC (InterVehicle communication), ou entre os carros e a estrada, tambm conhecida como RVC (Road Vehicle Communication). Os principais objetivos com as aplicaes VANET visam: segurana em rodovias, informaes sobre condies de trfego e entretenimento. VANET est compreendida no campo das MANET (Mobile Ad Hoc Networks) com a limitao inerente prpria topologia de movimentao dos veculos, os quais obedecem a uma malha viria pr-existente e conhecida, fazendo com que o espao que a rede pode chegar seja limitado a essas vias, o que no ocorre necessariamente com as Manet, visto que algum pode chegar ao topo da Pedra da Gvea, por exemplo, carregando um notebook, mas no pode chegar l de carro.

O grande desafio desta rede inclui todos os obstculos que uma rede sem fio mvel deve superar, somando a isso as caractersticas especficas da comunicao, tais como o tempo de comunicao muito pequeno entre os carros. Algumas propostas baseadas em modelos de comunicao 802.11 tm sido apresentadas. O presente trabalho tem como objetivo apresentar as principais caractersticas fsicas das redes VANET (propostas utilizadas atualmente), os protocolos utilizados para a comunicao e fazer uma anlise das questes de segurana envolvidas.

1.1. Motivao
VANETs vem sendo um tpico bastante estudado na comunidade cientfica e mobiliza
um workshop internacional desde 2004, sendo, tambm, de grande interesse de grandes montadoras. As principais motivaes das VANETs so segurana, eficincia e conforto, que podem ser mais bem compreendidas quando analisando algumas principais aplicaes:

- Deteco de congestionamento; - Deteco de condies da estrada;

- Deteco de acidentes; - Deteco de semforos; - Deteco de veculos de emergncia; - Deteco de desacelerao do trfego; - Deteco de fronteiras; - Fiscalizao; - Cobranas automticas; - Assistncia; - Entretenimento; A parte comercial algo sempre bem vista em tudo que est sendo desenvolvido. Com as VANET no diferente, a possibilidade de anncios, propagandas um atrativo visto pelas empresas, e por que no pelos usurios.
Assim, as questes de segurana na qual VANETs podem ser empregadas chamam a ateno: controle de trfego avisa de acidente, condies de pista so apenas umas das aplicaes na rea de segurana. Caso um caminho de leo tombe na pista, por exemplo, alm do prprio acidente do caminho outros podem ocorrer devido ao leo derramado, tudo isso seria avisado aos motoristas podendo assim evitar um transtorno ainda maior, e, alm disso, os prprios encarregados da segurana da via, paramdicos, resgate, guincho, polcia poderiam ser avisados mais rapidamente. 1.3. Caracterizao Numa rpida caracterizao das VANETs, ser utilizada uma comparao com MANETs, as redes ad-hoc mveis.

1.3.1 MANETs e VANETs

As MANETs, ou redes ad-hoc mveis, so redes ad-hoc que consideram um posicionamento e volatilidade arbitrrios dos ns. Como um caso especfico de MANET, a VANET possui algumas caractersticas, principalmente positivas, que no so encontradas nas MANETs. Algumas dessas caractersticas seriam:

- Melhor previso do posicionamento dos ns na rede, uma vez que

veculos

devem

seguir

em

ruas,

avenidas

rodovias;

- Eliminao do problema de aproveitamento de energia, j que a energia no um fator crtico em automveis, como pode ser em outros tipos de sensores. Mas, assim como as MANETs, as VANETs devem ser auto organizveis e auto gerenciveis, requerendo uma rede de controle descentralizada. Mas, requisitos de tempo e confiana podem de certa forma, tornar esse gerenciamento um pouco mais complexo.
2. Tecnologia 2.1. Protocolos 2.1.1 DSRC A comunicao em VANETs pode ser feita somente de duas formas: entre carros (IVC Inter-Vehicle Communication) e entre carros e a infra-estrutura da rede (RVC - Road Vehicle Communication).

Retirado de [1]. No ano de 1999 a FCC (Federal Comunication Comission), rgo regulador americano, dedicou a faixa de freqncias de 75MHz (5.850 GHz 5.925GHz) para as redes veiculares. Essa faixa de freqncia ficou conhecida como DSRC (Dedicated ShortRange Communication). O IEEE est desenvolvendo um modelo de comunicao chamado WAVE (Wireless Access in Vehicular Environments) que conhecido tambm como o padro IEEE 802.11p (draft), que uma adaptao do padro IEEE 802.11a. Neste modelo a camada

fsica dividida em sete canais de 10 MHz cada. Estes canais so divididos em canais de controle e canais de servio. No padro IEEE 802.11a o canal de freqncia dividido em canais de 20 MHz cada. Canal 178 Canal de controle, geralmente utilizado para comunicaes de segurana. Canal 172, 174, 176, 180, 182 e 184 - Utilizados para servio.

Retirado de [1]. Como o padro desenvolvido para as VANETs deve levar em considerao a velocidade de deslocamento dos ns (veculos) o alcance da rede da ordem de 1 Km. Por questes de segurana, a utilizao do canal de controle somado ao tempo de utilizao de um canal de servio no pode ultrapassar 100ms. A taxa de transmisso pode variar de 6 a 27 Mpbs e a velocidade dos ns pode atingir um limite em torno de 190 Km/h. A camada fsica do DSRC utiliza modulao OFDM com 64 portadoras. A camada MAC segue uma adaptao da camada MAC do padro IEEE 802.11e, onde existem prioridades de envio para cada estao. 2.1.2 VITP O protocolo VITP (Vehicular Information Transfer Protocol) um protocolo de comunicao que funciona na camada de aplicao especificando a sintaxe e a semntica de mensagens entre VITPs (componentes de software da infra-estrutura da rede). Como funciona na camada de aplicao este protocolo independe das demais camadas utilizadas. Este protocolo que foi desenvolvido voltado para as redes IVC (Inter-Vehicle Communication) tem como principal objetivo apoiar as trocas de mensagens de contedo on-demand, tais como, condies da rodovia e informaes que facilitariam a conduo na mesma. Os veculos precisam ter apenas um device (computador) cada um e sensores capazes de captar as informaes inerentes a cada veculo.

Os componentes VITP podem funcionar como requisitantes de uma comunicao que se baseia em VITP, um n intermedirio (o que repassa as requisies VITP) ou como um componente servidor (o que tem a fonte do contedo buscado pelo requisitante). O protocolo VITP baseia-se na formao de VAHS (Virtual Ad-Hoc Server). VAHS o conjunto de VITP que serviro de servidores para o VITP requisitante. Os usurios que esto participando de um VAHS no possuem conhecimento desta informao. A formao do VAHS s vislumbrada mediante as possveis localizaes das respostas que os VITP requisitantes estaro acessando. Um estudo completo sobre os aspectos do protocolo VITP apresentado em [3]. 2.2 Disseminao da informao e atualizao da topologia. Aqui consideramos o envio de mensagem em broadcast. Este tipo de aplicao pode ser vivel para o aviso de acidentes frente ao trfego dos carros, por exemplo. Todos os veculos devem ser avisados. Em uma abordagem tpica para redes MANETs (como em uma rede de sensores) a disseminao de mensagens na rede pode obedecer a uma tcnica de inundao da rede (static gossiping). Alguns algoritmos utilizam esta abordagem, tais como: DSR e AODV. Esse tipo de troca de informaes funciona bem para um nmero pequeno de ns, mas gera congestionamento de canal e gera colises em redes de alta densidade. Algoritmos baseados neste tipo de comunicao precisam ter acesso informao da topologia da rede antes do envio das mensagens, caso contrrio o protocolo tem baixa taxa de entrega ou muita informao redundante enviada, uma vez que este tipo de abordagem baseado em dados probabilsticos estabelecidos em escolhas aleatrias de vizinhos. Basicamente, se um emissor A envia uma informao para B e este avisa que j recebeu a informao, A perde o interesse por B. Assim B passa a ter uma probabilidade menor de receber uma mensagem de A. As probabilidades podem ser atreladas ao nmero de vizinhos, por exemplo. Quanto mais vizinhos, menor a probabilidade de receber uma informao, e vice-versa. Este mecanismo no garante que todos os ns tero acesso informao uma vez que um score baseado nas probabilidades de envio montado. Se um dado n tem probabilidade muito baixa de receber mensagens e ele o nico caminho entre duas reas, provavelmente existir uma perda ou latncia muito alta no envio das mensagens. No exemplo abaixo, E tem muitos vizinhos, portanto a probabilidade de recebimento da mensagem baixa, portanto ele pode no disseminar a mensagem para G e G para os demais.

Retirado de [2]. Para contornar esse empecilho foi criada uma forma hierrquica de disseminao de mensagens (smart gossip). O esquema explicado a seguir: Cada n tem um pai, irmos e filhos. Se um n X envia informao para Y e Z, ento X pai de Y e Z, e Y irmo de Z. Cada n s envia mensagens para seus filhos. Um filho informa ao pai quantos filhos ele tem se tiver muitos filhos a probabilidade de receber alta, caso contrrio baixa, mas ainda suficiente para receber a mensagem ao menos uma vez. A partir daqui, assumiremos que os veculos no tm problemas de energia, nem de processamento, e possuem um GPS para determinar suas localizaes (para disseminao de mensagens efetivas). O smart gossip resolve problema do static gossip. Porm, o algoritmo convencional de disseminao das mensagens (smart gossip) necessita de apenas 1, e no mais que 1, disseminador da mensagem (podemos cham-lo de semente). Este tipo de algoritmo, baseado na implementao de topologias que utilizam a hierarquia antes mencionada figura 1 - no funcionam para as Vanets. Vejamos a figura abaixo:

Adaptado de [2]. Considerando que A e D devem ser os disseminadores das mensagens vindas da Parte Y e da Parte X, respectivamente, A seria pai de B e C, e D seria pai de B e C. Assumindo

que B e C no teriam mais filhos ento no disseminariam mais as mensagens que chegaram at eles. Consequentemente, as mensagens vindas da Parte Y no atingiram a Parte X e vice versa. Este tipo de topologia, onde os emissores esto esparsos no ambiente, pode ocorrer frequentemente em redes dinmicas. Em uma estrada, por exemplo, este tipo de topologia pode ser observada. Para VANETs, precisamos de um protocolo que possa suportar diversos disseminadores enquanto a hierarquia da rede montada. A abordagem de hierarquia ser ainda adotada para o protocolo que ser apresentado, mas ser construda de forma diferente. O objetivo permitir que, por exemplo, os ns B e C do exemplo anterior tratem de maneiras diferentes as mensagens vindas de A e D. O novo mecanismo de criao de hierarquia fruto do conhecimento da diferenciao das direes das mensagens, possibilitada graas utilizao do GPS para saber a posio de cada n da rede. Dessa forma a informao sobre a vizinhana de cada n no coletada via inundao de mensagens, mas sim por uma troca de mensagens balizadoras. Para as VANETs, as mensagens tm duas possibilidades de disseminao: na direo do deslocamento do n ou contra a direo de deslocamento do n. Voltando ao exemplo anterior, dependendo da direo da disseminao, temos que D poderia ser considerado filho de B e C, que por sua vez so filhos de A, ou vice-versa. Uma das caractersticas, j mencionadas, das VANETs a dinmica da topologia da rede. Para a atualizao dessa topologia, mensagens so trocadas constante e intermitentemente (beacons messages). Essas mensagens so passadas apenas de um n para os vizinhos separados por um salto. O mecanismo de atualizao das topologias pode ser visto em [2]. 2.3. Segurana Como citado, um dos principais desafios para VANETs a segurana. Apesar de ser crucial, a segurana custou um pouco a chamar ateno do meio acadmico. essencial, por exemplo, que se tenha certeza que informaes crticas no possam ser inseridas ou modificadas por um atacante; da mesma forma, o sistema deve ser capaz de estabelecer uma confiana dos usurios; mas, ao mesmo tempo, deve tentar proteger, at onde for possvel, a privacidade de cada motorista. Essas preocupaes podem, a princpio, parecer bem similares as encontradas em outros tipos de redes de comunicao, mas no o so. Juntos, o tamanho das redes, a velocidade dos veculos, a importncia de sua posio geogrfica, a conexo espordica entre os mesmos, e outras peculiaridades tornam o problema extremamente desafiador. Assim, as caractersticas nicas das VANETs trazem diversas vantagens e desvantagens: um grande conjunto de ferramentas disponibilizado a motoristas e autoridades, mas um grande conjunto de ataques tambm possvel. 2.3.1 Ataques

Aqui descreveremos algumas preocupaes de segurana em VANETs, assim como tipos de ataques que foram identificados, alm de um modelo geral de classificao dos mesmos. Mas, antes, falaremos um pouco sobre os responsveis por tais ataques. 2.3.1.1 Classificao de ataques - Em relao participao, temos Insider x Outsider: O insider seria um n que est autenticado na rede, e, portanto, pode se comunicar com outros ns. Isso significaria que ele possui uma chave pblica certificada. J o outsider seria considerado como um intruso na rede, o que limita suas opes de ataque. - Motivao, Malicioso x Racional: O atacante malicioso no visa benefcio prprio, tendo como nica motivao minar membros e funcionalidade da rede. J o atacante racional visa algum benefcio. Dessa forma, mais fcil prever ataques racionais, uma vez que seus motivos e alvos podem ser melhor encontrados. - Mtodo, Ativo x Passivo: Um atacante ativo seria o que gera ou altera pacotes ou sinais em mensagens, enquanto o passivo estaria relacionado a leitura de informaes a qual ele no deveria possuir acesso. - Escopo, Local x Extendido: Um atacante local seria aquele com um escopo mais limitado, j um extendido teria seu escopo de ataque aumentado uma vez que possusse entidades espalhadas pela rede. Essa dimenso importante em ataques contra a privacidade ou para o ataque conhecido como Buraco de Minhoca (Wormhole). 2.3.1.2 Ataques bsicos Aqui, sero considerados apenas os ataques a mensagens. Os ataques sero classificados de acordo com a classificao acima. - Falsa informao: O atacante dos tipos insider, racional e ativo. Esse tipo de ataque consiste em emitir falsas informaes para afetar o comportamento de outros motoristas. - Troca de informaes de sensores: O atacante dos tipos insider, racional, ativo e local. O ataque consiste em alterar sua posio, velocidade e etc. - Divulgao de id: O ataque feito divulgando ids de outros usurios para monitorar sua localizao. - Negao de servio: O atacante malicioso, ativo e local. O objetivo est relacionado com derrubar a rede e at mesmo causar um acidente. O ataque pode feito na forma de uma injeo agressiva de mensagens. - Disfarce: Nesse tipo de ataque, o atacante tenta se passar por outro veculo, usando uma identidade falsa. O ataque pode ser de praticamente todos os tipos citados anteriormente. 2.3.1.3 Ataques sofisticados Esses ataques so variaes e ou combinaes do ataques citados anteriormente. So ataques que apareceram recentemente com o desenvolvimento de VANETs. - Veculo escondido: Em algumas verses, um n poder parar de enviar broadcast se achar que existe um n melhor posicionado para enviar tais mensagens, reduzindo o congestionamento. Assim, o ataque consiste em convencer um n que existe outro n em melhor capacidade de espalhar tal informao. Isso far o n atacado escondido, considerando o protocolo o DSRC, e seria como se o sistema estivesse desabilitado em tal veculo.

- Tnel: Uma vez que o GPS no funciona dentro de tneis, possvel que um atacante explore essa perda temporria de informaes de posicionamento para transmitir falsos dados assim que um veculo deixe o tnel, e antes que ele possa receber informaes autnticas. O mesmo efeito do tnel pode ser conseguido atravs de um jamming de um atacante. - Buraco de minhoca (wormhole): O ataque consiste em ligar dois ns remotos em uma rede sem fio. Assim, um atacante que possua duas entidades e uma comunicao de alta velocidade entre as mesmas, pode enviar mensagens de broadcast de uma rea a outra. Isso pode acarretar em uma disseminao errnea de mensagens na rea de destino. - Bush Telegraph: Esse ataque consiste em uma forma mais desenvolvida do ataque de falsa informao. A diferena seria que, nesse caso, o atacante contra diversos ns espalhados por diversos saltos da rede. A idia seria acrescentar pequenos erros a cada salto, j que pequenos erros so considerados dentro da tolerncia. Logo, no ltimo salto, teremos uma maior efetividade do ataque 2.3.2 Requisitos de segurana Os exemplos de ataques citados indicam que as comunicaes em VANETs tm uma necessidade de segurana ainda maior que outros tipos de rede, j que as conseqncias podem ser de uma proporo imensa. Devem ser considerados tambm que a coexistncia de sistemas novos e antigos, que no prevejam novos tipos de ataques, possa ser uma ameaa a segurana da rede como um todo. Logo, a segurana em VANETs realmente pode ser considerada indispensvel. Sero apresentadas aqui algumas caractersticas genricas que vm sendo adotadas como base para os requisitos de segurana dos protocolos para VANETs. Vale lembrar que essas so caractersticas gerais e que cada protocolo deve especificar melhor cada etapa. Alm de que as caractersticas no so necessariamente importantes a todos os tipos de aplicaes e aspectos encontrados nas VANETs. As principais caractersticas encontradas na literatura so: - Autenticao e integridade: Isso significa que as mensagens devem ser protegidas de qualquer alterao, e o receptor da mesma deve confirmar o remetente. Mas a integridade no necessariamente implica na identificao do remetente. - Controle de acesso: O acesso a alguns servios especficos que so oferecidos por ns de infraestrutura, por exemplo, determinado localmente por polticas. No controle de acesso deve estar includa a autorizao que deve ser estabelecida para que cada n possa ter o acesso a protocolos que sejam cabveis, dado seu papel. - Privacidade: O desenvolvimento de VANETs no deveria de forma alguma gerar ou permitir interferncias na vida pessoal e privada de seus usurios. Isso tem sido um ponto muito importante que vem sendo discutido acerca da tecnologia. Assim, vem sendo proposta a caracterstica de anonimato. Mas existem diversas caractersticas especficas relacionadas a isso, e diversos estudos que conduzem nessa direo. E vale lembrar que o anonimato, assim como a maioria das caractersticas aqui descritas, no necessariamente importante em todos os tipos de entidades e situaes. - Confidencialidade: O contedo de mensagens no deve poder ser acessado por ns que no estiverem autorizados para tal. - No repudiao: O remetente no deve poder negar que enviou uma mensagem. - Disponibilidade: Os servios e protocolos devem se manter disponveis e operacionais mesmo na presena de falhas, o que implica no apenas na segurana, mas, tambm, em

mecanismos tolerantes a falhas, alm de mecanismos estveis e resistentes. - Identificao de responsabilidade: Os usurios de veculos devem possuir responsabilidade por seus atos, deliberados ou acidentais, que possam causar distrbios na rede. uma questo importante, que deve ser definida para trabalhar junto com o anonimato, o que pode no ser trivial. - Autenticao de entidade: O receptor no apenas sabe que o remetente gerou a mensagem, mas tambm tem evidncias de que o n remetente ainda est vivo na rede. Dois grandes focos de estudo, alm da arquitetura em si, claro, so a autenticao e a privacidade dos usurios. Um grupo que vm desenvolvendo diversos estudos pioneiros acerca da segurana em VANETs o EPFL Vehicular Networks Security Program. 3. Concluses Assim, conclumos que as VANETs ainda so uma tecnologia bem recente, e que ainda tem muito a ser estudada. bem provvel que as primeiras aplicaes sejam comerciais, mas a rea acadmica vem trazendo no s inmeros novos desafios, como importantes passos na soluo dos mesmos. E vem se tornando claro que o potencial de tal tecnologia enorme, tendo em vista, principalmente, o interesse comercial da mesma. Em um primeiro momento, as VANETs vo ter que ser capazes de lidar com problemas diferentes. Um desses problemas ser a escassez de veculos equipados com o sistema, ocasionando em um alcance no to extenso da rede. Alm disso, a utilizao do canal pode ser um problema que no ser enfrentado nas primeiras etapas de implantao de VANETs. No entanto, ser um grande problema uma vez que a rede esteja plenamente difundida. Assim, um dos principais desafios seria a descrio de um protocolo que pudesse trabalhar debaixo de ambas as circunstncias. Consideramos, tambm, que a arquitetura para as futuras VANETs ainda no est fechada. E, obviamente, o paradigma fim-a-fim atual da internet deve ser considerado antes de ser trazido para VANETs, uma vez que no estrutura para tal e cada n um sistema e um roteador. Vimos tambm alguns estudos que apontam os conhecimentos necessrios como divididos em dois ramos de pesquisa, que devem ser, portanto, trazidos para uma mesma soluo atravs da cooperao entre diferentes grupos. Esse dois ramos estariam relacionados com: protocolos de mltiplos saltos, tempo de retransmisso, redundncia em broadcast e etc; e fluxo de trfico, distribuio de informao em tempo real, entre outros. Portanto, importante que esses problemas sejam explorados com urgncia, uma vez que sistemas fechados podem estar pra surgir, deixando os usurios, de certa forma, alheios aos problemas que podem ser gerados com isso.