4.1.1 Modelo de Ameaça
O projeto e a concepção de protocolos de segurança em um sistema distribuído exigem, inicialmente, a compreensão das potenciais ameaças que podem surgir durante a execução dos serviços disponíveis. Tais ameaças são oriundas de potenciais entidades que têm como objetivo central burlar o sistema para obter vantagens ou torná-lo, por exemplo, indisponível.
1As expressões "anonimato de veículos" ou "anonimato de usuários" serão utilizadas para referir-se ao
anonimato do dono de um veículo.
Nesta perspectiva, há basicamente duas principais ameaças consideradas no protocolo proposto, a saber: ataques sybil e violação de anonimato dos usuários participantes (ex.: motoristas). Com base na categorização definida por Raya e apresentada na Seção 2.5, para o primeiro caso, entidades são usuários (atacantes) que podem ser classificados como interno, racional ou malicioso, e ativo, os quais modificam internamente um veículo para a execução do ataque. O atacante está normalmente situado na região de ataque e uti- liza seu próprio veículo para executar o ataque. As consequências deste ataque também estão restritas a uma região específica (i.e.: normalmente afetando um raio entre 2 a 3 quilômetros).
No segundo caso, o atacante pode ser interno ou intruso, racional e passivo e pode estar situado em uma região específica monitorando o canal de comunicação, ou bem como distribuir sensores de monitoramento em diferentes regiões a fim de coletar e enviar os dados para uma infraestrutura centralizada.
4.1.2 Diretrizes e Requisitos da Solução
Nesta seção, são apresentados os principais requisitos que conduziram o desenvolvi- mento do protocolo. O protocolo oferece mecanismos de autenticação e não-repúdio de veículos, bem como integridade de mensagens transmitidas, ao passo que a detecção de ataques sybil e a verificação de autenticidade de mensagens transmitidas na rede são realizadas sem comprometer o anonimato dos usuários. Os requisitos considerados são basicamente seis, a saber:
1. Autenticação com suporte ao anonimato condicional: apenas entidades tais como C.As e governos podem relacionar as mensagens enviadas por veículos a uma identidade única (ex.: dono do veículo), promovendo anonimato condicional. Isto é, a associação entre entidade e identidade manifesta-se apenas em casos excepcionais (es.: investigação de acidentes, emissão automática de multas etc.);
2. Detecção de ataques sybil sem afetar o anonimato condicional: a detecção de um possível ataque sybil não afeta o anonimato condicional de veículos legítimos, isto é, a relação entre mensagem e a identidade real de um veículo legítimo não é estabelecida durante o processo de detecção de ataque sybil;
3. Detecção de ataques sybil de forma descentralizada: a detecção de ataques sybil ocorre de forma distribuída em cada veículo, sem a necessidade de uma infra- estrutura fixa (ex.: RSUs ou C.As);
4. Detecção de ataques sybil sem necessidades de mecanismos de reputação, e resiliente ao conluio entre veículos sybil: a fase de detecção de ataques
sybil não exige mecanismos de reputação de veículos, ou seja, não se faz necessário determinar o grau de confiabilidade dos nós envolvidos;
5. Detecções de ataques sybil resilientes a resultados falso-positivo e falso- negativo: a solução proposta neste trabalho garante que um veículo sybil seja detectado como tal (não há resultados falso-negativo), e que veículos legítimos não sejam detectados como maliciosos (não há resultados falso-positivo);
6. Exclusão do veículo sybil da rede: uma vez detectado um veículo malicioso, este é (temporariamente) excluído da rede com o objetivo de minimizar o impacto de futuros ataques deste veículo na rede. Este processo ocorre através de um procedi- mento de acusação, no qual veículos legítimos que detectaram o ataque enviam para a RSU/C.A cópias de mensagens oriundas do veículo malicioso utilizadas durante o ataque.
4.1.3 Arquitetura Geral da Solução
Em um sistema distribuído, há basicamente dois modelos de segurança, a saber: in- fraestruturado ou descentralizado (ad hoc). Evidentemente, o modelo infraestruturado é tradicionalmente considerado em soluções que envolvem autenticação, fazendo-se uso de uma entidade confiável para distribuição de identidades para os nós da rede. Tal entidade é comumente chamada de Autoridade Certificadora e assegura que nós participantes do sistema se comuniquem de forma segura por meio de chaves de criptografia. No segundo caso, a distribuição de identidades e chaves de criptografia é realizada pelos próprios nós. Neste caso, modelos de confiança e reputação [182] são exigidos para assegurar que mensagens oriundas de quaisquer nós sejam consideradas autênticas.
Nesta perspectiva, devido à entrada e saída de (novos) nós na rede, o uso de um modelo puramente ad hoc para proporcionar segurança em ambientes veiculares pode tornar a rede menos segura2 e mais complexa para gerenciar. Isso se deve ao fato de que a
funcionalidade para assegurar que veículos sejam autênticos é distribuída entre os veículos. Caso um veículo malicioso não seja detectado, este poderá diminuir o grau de confiança e reputação de veículos legítimos. Desta forma, o protocolo de autenticação proposto neste trabalho de pesquisa faz uso do modelo infraestruturado para a distribuição de chaves de criptografia, assim como boa parte dos trabalhos que envolvem segurança encontrados na literatura [8–10, 183–186].
2Como exemplo, alguma entidade deve garantir que veículos de emergência, tais como ambulâncias e de
segurança pública, sejam, de fato, autênticos. Caso contrário, veículos podem, por exemplo, apresentar-se como tipo de emergência para obter acesso livre nas vias.
Uma característica basilar das redes ad hoc é a falta de uma infraestrutura fixa para gerenciar serviços na rede. Em redes VANETs, um dos serviços que as RSUs devem pro- ver é a comunicação entre veículos em ambientes veiculares esparsos. Ademais, as RSUs podem proporcionar serviços de conexões com outras redes, tal como a internet. Entre- tanto, nem sempre será possível considerar que uma RSU estará disponível numa dada região devido a diversos fatores, a saber: custos; sobrecarga na rede; roubo de equipamen- tos; ataques com o objetivo de tornar indisponível serviços da RSU (como, por exemplo, negação de serviços - DoS) etc. Como consequência dessa premissa, pode-se encontrar trabalhos na literatura que têm como objetivo a construção de modelos de distribuição de RSUs usando-se, como métrica principal, o potencial de disseminação de informações, bem como o baixo custo [55–57]. Desta forma, a abordagem para detectar ataques sy- bil proposta neste trabalho não depende da disponibilidade de uma infraestrutura fixa, tornando a solução tolerante a falhas e desconexões.