Диссертация (1143658), страница 12
Текст из файла (страница 12)
Каждый OBU получил уникальный адрес всоответствии с подходом из 3.1.2, также протестирована и практическипродемонстрирована возможность построения маршрутов с использованиемалгоритма из 3.1.3.Рисунок 3.20 – Пример работы программы для затравки «полносвязныйчетырехугольник» для 500 узлов сетиДалее оценивалась доля объединенных в сеть узлов в зависимости отиспользуемой затравки. В рамках опыта оценивались результаты для полносвязных3-х, 4-x, 5-ти, 6-ти, 7-ми и 8-миугольников в качестве затравки.
Для каждойзатравки производилось по 100 запусков программы для разного количества OBU.График зависимости доли вошедших в сеть с предфрактальной топологиейузлов от количества машин на участке дорожной карты для каждой затравкипредставлен на рисунке 3.21.84Рисунок 3.21 – График зависимости доли вошедших в сеть с предфрактальнойтопологией узлов от количества машин на участке дорожной карты для каждойзатравкиРезультаты опыта указывают на работоспособность и состоятельностьпредложенногометодаавтоматизированнойсаморегуляциисети.Такжерезультаты позволяют сделать вывод о том, что при наличии на участкенебольшого количества автомобилей предпочтительно использовать небольшиезатравки, при этом при увеличении количества автомобилей можно увеличиватьколичество вершин в затравке, при этом повышая реберную связность графатопологии сети.85РАЗРАБОТКА МЕТОДИКИ ПРОВЕРКИ ЗАЩИЩЕННОСТИ4VANET-СЕТЕЙ ОТ ИНФОРМАЦИОННЫХ УГРОЗ СЕТЕВОГО УРОВНЯ4.1Описание механизмов обеспечения безопасности VANET-сетей отугроз на сетевом уровнеВ данном разделе описываются механизмы обеспечения безопасностиVANET с предфрактальной топологией от актуальных угроз, представленных в 2.3.Описанные механизмы базируются на основных свойствах предфрактальныхграфов и алгоритма маршрутизации в таких графах, предложенного в разделе 3.Механизм4.1.1обеспечениябезопасностиотугрозы«Множественная идентификация»Угроза «Множественная идентификация» (англ.
Sybil attack) заключается втом, чтовнутреннийнарушитель,используяуязвимостьмеханизмаидентификации узлов либо располагая несколькими идентификаторами, способенсоздавать несколько виртуальных узлов сети VANET. Реализуя даннуюуязвимость, нарушитель способен повлиять на алгоритмы маршрутизации иадресации узлов сети, таким образом скомпрометировав участок сети. На рисунке4.1 представлена топология VANET-сети и изображены два злоумышленника.Злоумышленниксиндексом«bbd»,реализовавугрозумножественнойидентификации, скомпрометировал участок сети, соответствующий затравкепредфрактального графа. Злоумышленник «ddd» скомпрометировал участоксоответствующий предфрактальному графу второго порядка.ПредлагаемыйподходкпостроениюVANET-сетиподразумеваетприсутствие в ней двух типов узлов, OBU и RSU, при этом RSU всегда являетсяпервым узлом в подсети VANET с фрактальной топологией.
Примером можетслужить ситуация, когда в зоне действия RSU отсутствуют OBU и VANET-сетьпредставляетизсебяодинузел,атопологияпо-прежнемуявляетсяпредфрактальной и представляет из себя предфрактальный граф нулевого порядка,т.е. одну вершину.86Рисунок 4.1 – Последствия реализации угрозы множественной идентификации вVANET-сети с предфрактальной топологиейТаким образом, каждый из OBU, попавших в зону действия RSU должензарегистрироваться в таблице присутствия этого RSU, передав ему информацию осебе. При этом данная информация должна удовлетворять двум условиям: онадолжна уникально идентифицировать узел, во-вторых, эту информацию должнобыть невозможно подделать другим узлом.
В контексте VANET-сетей такойинформацией может служить публичный государственный номер автомобиля и егоVIN-номер, который знает только владелец. Двухфакторность призвана сделатьневозможным для нарушителя подделку этой информации, в связи с отсутствиемвозможно создания списка соответствия между гос. и VIN-номерами.874.1.2Механизм обеспечения безопасности от угроз «Black hole» и«Gray hole»Угроза «Сброс сообщений» (англ. Black Hole) заключается в том, чтовнутреннийнарушительспособенреализоватьданнуюугрозупутёмпредотвращения дальнейшего распространения переданных ему пакетов. Даннаяугроза является актуальной для сетей VANET, использующих протоколымаршрутизации.
В сетях с широковещательным распространением сообщенийзлоумышленнику необходимо скомпрометировать всё узлы, связанные с целевымузлом атаки, для успешной реализации данной угрозы.Угроза «Выборочный сброс сообщений» заключается в том, что нарушительвлияет на протокол маршрутизации с целью построения маршрутов для соседнихузлов, которые будут проходить через узел нарушителя (аналогично black hole).Далее нарушитель выборочно производит сброс пересылаемых через него пакетов.Выбор пакетов для сброса может быть реализован как случайным образом, так и поопределённому алгоритму.Для защиты от угроз Black Hole и Gray Hole используются свойстваалгоритма маршрутизации, описанного в разделе 3.1.3.
Основным свойствомалгоритма маршрутизации является то, что для перехода из одного сегмента X вдругой сегмент Y необходимо на каждом шаге перемещаться в вершину *y внутризатравки, а затем в единственную соседствующую затравку. Таким образом,количество дублирующих каналов варьируется в зависимости от количествавершин в затравке предфрактального графа.Суть механизма защиты от атак этого семейства заключается в добавлениик основному каналу передачи данных дублирующих каналов для отправкиподтверждения факта передачи.
Такое дублирование позволяет перманентноконтролировать факт получения информации приемником и факт передачиинформации от источника.При передаче информации от источника к получателю, источник создаётдва типа альтернативных маршрутов передачи данных. Один маршрут являетсяосновным, по нему передается необходимая информация, и он строится88оптимально по правилам, описанным в разделе 3.1.3. Другие (дублирующие)маршруты служат для передачи информации содержащей в себе контрольнуюсумму данных, переданных по основному каналу, и служат для подтвержденияфакта передачи информации и контроля целостности.
Дублирующие маршрутыстроятся не напрямую из сегмента источника в сегмент получателя, а через один изальтернативных сегментов. Таким же образом получатель информации отправляетответ по основному маршруту, а для подтверждения использует один илинесколько маршрутов, проходящих через альтернативные сегменты. На рисунке4.2 представлены, построенные основной и дублирующие маршруты от источникас индексом «ddc» к получателю «abb». Черным выделен основной оптимальныймаршрут передачи данных, красным – дублирующий маршрут для источника, акрасным – дублирующий маршрут получателя.Рисунок 4.2 – Основной и дублирующие маршруты для передачи данных89На рисунке представлен пример для сети с предфрактальной топологией сзатравкой полносвязный четырехугольник.
В этом случае количество возможныхдублирующих маршрутов будет равно 2, т.е. количеству оставшихся сегментовграфа за исключением сегмента отправителя и получателя. Т.е. количестводублирующих маршрутов растет пропорционально количеству вершин в затравкеи выражается формулой − 2, где n- количество вершин в затравке.Основной особенностью маршрутов, построенных таким образом, являетсяих гарантированная уникальность, т.е. ни один из построенных маршрутов непересекается с другим.В случае реализации угрозы Black Hole или Gray Hole, лишь один измаршрутов будет скомпрометирован, при этом получатель сможет сделать вывод отом на каком из маршрутов расположен узел злоумышленник. Сценарий отправкисообщения признается легитимным лишь тогда, когда получатель принял данныепо основному маршруту, а также получил контрольную сумму по дублирующему.4.1.3Механизм обеспечения безопасности от угрозы «Имперсонация»Угроза «Имперсонация узла» (англ.
Masquerading) заключается в том, чтонарушитель использует идентификатор другого узла сети VANET. Путёмпроведения данной атаки нарушитель способен получить НСД к данныматакуемого узла, нарушить целостность сообщений, путём внедрения в сетьложных сообщений от имени атакуемого узла.Механизм защиты от угрозы имперсонации также использует подход кдублированию маршрутов при передаче информации от источника к получателю,но кроме этого он использует свойство алгоритма адресации узлов, описанного в3.1.2. Разработанная система индексации узлов позволяет каждому узлу сетилокально высчитывать основной и дублирующий маршруты между любымидругими узлами сети.Таким образом, передача информации злоумышленником, подделавшимсвой идентификатор, будет замечена первым транзитным узлом основного и/илидублирующего маршрута.