Диссертация (1143658), страница 4
Текст из файла (страница 4)
Дляпередачи служебной информации используются сообщения типа WSA.20Стек протоколов C-ITS (ISO, ETSI)1.1.2.2СтекпротоколовC-ITSпредназначендляобеспечениясетевоговзаимодействия между узлами VANET-сети, лежащей в основе перспективнойСУДД. Данный стек протоколов развивается силами таких организаций постандартизации, как ISO и ETSI [24], а также крупными европейскимиавтомобильными концернами, входящими в C2C-CC (Car to Car CommunicationConsortium) [25].Основа стека C-ITS была заложена в стандартах CALM (Communication AirInterface, Long and Medium range) организации IEEE (рисунок 1.4). Стекпротоколов, описанный в стандартах CALM, позволяет использовать множествотехнологий передачи данных на физическом уровне [26, 27]:Мобильные сети (CALM 2G/3G);Инфракрасные сигналы (IR);Микроволны (CALM M5);Миллиметровые волны (CALM MM).21Уровень приложенийFASTGEO ROUTINGДругиеСетевой, транспортный уровниTCPUDPIPv6Физический уровень и канальный уровниБеспроводные решенияCALMM5IRДругиеCALM2G/3GПроводныерешенияРисунок 1.4 – Стек протоколов CALMНа сетевом и транспортном уровнях в стандартах ISO CALM по аналогиисо стеком WAVE была предусмотрена возможность независимого использованиякак решений из стека TCP/IP, так и специализированных протоколов FAST [28] иGEO ROUTING [29].Протокол FAST схож с протоколом WSMP, он также обеспечивает меньшиезначения задержек за счёт выноса механизмов безопасности и контроля на сетевойуровень.
На транспортном уровне в протоколе FAST используется аналогмеханизма портов из стека TCP/IP.Протокол GEO ROUTING в отличие от предыдущих решений обеспечиваетвозможность передачи исключительно широковещательных сообщений. Дляпостроения маршрута в данном протоколе используется информация огеографических координатах узлов.ДальнейшееразвитиестекпротоколовC-ITSполучилвходемногочисленных исследовательских проектов, реализуемых в рамках C2C-CC,22таких как COMeSafty (рисунок 1.5) [30]. В данном проекте была реализованамодель СУДД с использований стандартов семейства 802.11 для организации связимежду узлами.
На сетевом и транспортных уровнях были использован протоколGeoNetworking и протоколы стека TCP/IP. При этом для передачи сообщенийприложений,отвечающихзабезопасностьдорожногодвижения,могиспользоваться любой из двух сетевых стеков. На уровне приложений былиразработаны стандартные сообщения, используемые для передачи информации особытиях различных типов и периодичности:Информационные сообщения (event messages EM);Периодичные сообщения (periodic messages PM);Служебные сообщения (service messages SM).Уровень приложенийДругиеприложенияПриложения, обеспечивающиебезопасность дорожногодвиженияСообщения C-ITSСетевой, транспортный уровниTCPUDPGeoNetworkingIPv6Физический уровень802.11p802.11a/b/gРисунок 1.5 – Стек протоколов на базе C-ITS, используемый в проектеCOMeSafety23На настоящий момент стеки протоколов WAVE и C-ITS не являютсяполностью совместимыми, что затрудняет процесс выхода технологии VANETсетей на международный рынок.
В связи с этим оба стека протоколов исоответствующие им стандарты подвергаются множеству изменению, нацеленныхна достижения полной взаимосовместимости.1.1.3Стандарты безопасности VANET-сетейДля обеспечения безопасности VANET на основе стека протоколов WAVEот организации IEEE был разработан стандарт 1609.2, описывающий требуемые креализации механизмы безопасности. Большинство механизмов, описываемых вданном стандарте, базируются на использование PKI.Более широкий набор механизмов безопасности был описан в стандартеETSI TS 102 731 V1.1.1 для систем управления дорожным движением.В таблице 1.1 приведено сравнения механизмов безопасности для сетейVANET, описанных в стандартах IEEE и ETSI.Таблица 1.1 – Сравнение стандартов протоколов VANET с точки зренияобеспечения безопасностиФункция безопасностиАвторизацияESTIМеханизм выдачисертификата (PKI)АутентификацияАутентификация науровне пользователейсети (ITS-станций)КонфиденциальностьШифрованиесообщенийЦелостностьДобавление и проверкасообщениймагического значенияПредотвращения replayВременные метки,атакдобавление номерасообщенияАудитЗапись входящих иисходящих сообщенийПроверка сообщений на Реализована проверкааномалиидинамическихIEEEМеханизм выдачисертификата (PKI)Аутентификациясообщений с помощьюцифровой подписиШифрованиесообщенийПодпись сообщенияНе предусмотреноНе предусмотреноПроверяются толькозначения24параметров пакетов нааномальные значения.географическойпозиции и временипередачиМеханизмы обеспечения безопасности VANET удобно рассмотреть поуровням сети.Механизмы безопасности на физическом уровне1.1.3.1В связи с широкой доступностью оборудования для доступа в сеть VANETна(OBU)физическомвычислительныеуровнеплатформыдляпредлагаетсязащитыиспользоватьотугроз,доверенныесвязанныхснесанкционированным изменением функционирования оборудования (hardwaretempering) [31, 32, 33].
Данный механизм безопасности предназначен дляпредотвращения нарушения целостности сообщений в рамках приложений пообеспечению безопасности дорожного движения.1.1.3.2Механизмы безопасности на канальном уровнеНа канальном уровне предлагается использование механизмов временныхметок сообщений [34, 35]. Данный механизм усложняет атаки на беспроводныесети, заключающиеся во внедрении в эфир ранее прослушанных и сохранённыхсообщений.1.1.3.3Механизмы безопасности на сетевом уровнеНа сетевом уровне предлагается использование криптографии с открытымключом(PKI,PublicKeyInfrastructure)[36,37]дляобеспеченияконфиденциальности данных.
Данный подход труден в реализации в рамкахVANET по причине высокой мобильности узлов, что затрудняет задачураспространенияключейшифрования.Длярешенияданнойпроблемыпредлагаются схемы с центральным центром сертификации [38] (рисунок 1.6).25Корневой центрсертификацииБаза данныхсертификатовДоверенныйцентрсертификацииАвтомобиль(OBU)Хранилищесертификатов...Автомобиль(OBU)ХранилищесертификатовДоверенныйцентрсертификации...Автомобиль(OBU)ХранилищесертификатовРисунок 1.6 – Архитектура системы PKI для VANETТакже на сетевом уровне предлагаются механизмы обнаружения аномалийв трафике с целью блокировки узлов-нарушителей [39, 40].1.1.3.4Механизмы безопасности на уровне приложенийВ проектах, реализующих приложения для VANET, решается задачаобеспечения конфиденциальности личности пользователя приложения (privacy).Для обеспечения конфиденциальности пользователя VANET используютсясистемы предоставления временных идентификаторов (псевдонимов).Также для приложений, использующих V2I соединения, предлагаютсярешения, основанные на использование прокси серверов, обеспечивающихсокрытие местоположения узла (Location Obscure Proxy) [38, 41].В таблице 1.2 приведен перечень описанных механизмов с указаниемобеспечиваемых функций безопасности.26Таблица 1.2 – Механизмы безопасности, применяемые в сетях VANETМеханизмбезопасностиИнфраструктураоткрытых ключейСистема выдачивременныхпсевдонимов узламсетиСистема сокрытияинформации на основепрокси-серверовИспользованиевременных меток всообщенияхАнализ трафика сетиVANETИспользованиедоверенныхаппаратных платформ1.2Решаемая задачаУровень сети, на которомбезопасностиработает механизмКонфиденциальность,Уровень приложенийаутентификация(центры сертификации),сетевой уровень(шифрование сообщений)АнонимностьУровень приложений,участников сетисетевой уровень(privacy)КонфиденциальностьУровень приложенийЦелостностьСетевой, канальныйуровниОбнаружениеаномальногоповеденияЦелостность,доступностьУровень приложенийФизический уровень сетиОбзор существующих проектов VANET-сетей и используемых вних механизмов безопасностиНа настоящий момент VANET не применяется в системах управлениядорожного движения.
VANET реализуется в исследовательских проектах иполевых тестированиях.1.2.1Проект V2V NHTSANHTSA (National Highway Traffic Safety Administration) и DOT (USDepartment of Transportation) разработали семейство проектов, реализующихразличные варианты внедрения VANET в систему управления дорожнымдвижением США.
Данные проекты решают две основные задачи: обеспечениефункционирования приложений по обеспечению безопасности дорожногодвижения и обеспечение кибербезопасности реализуемой VANET сети. Для27решения первой задачи во всех проектах используется механизм передачисообщений по связям V2V, образуемым на основе беспроводных соединений802.11p и специализированного протокола передачи базовых сообщенийбезопасности. Для обеспечения безопасности сети используется инфраструктураPKI. Обеспечения связи между VANET-сетью и инфраструктурой выдачисертификатов предлагается реализовать одним из двух методов: Связь мобильных узлов с инфраструктурой PKI по средствам RSU сиспользованием беспроводной связи стандарта 802.11p. Связь мобильных узлов с инфраструктурой PKI по средстваминфраструктуры мобильной сотовой сети и сети спутниковой связи.Архитектура безопасности проектов V2V (рисунок 1.7), разработанныхагентством NHTS, использует следующие механизмы: Механизм сертификатов на основе PKI; Анализ целостности сообщений с блокировкой узлов нарушителей; Защита OBU от изменения режима функционирования; Механизм выдачи анонимных идентификаторов (псевдонимов); Прокси-сервер скрытия позиции узла (Location Obscure Proxy).Корневой центрсертификацииЦентр анализа аномального поведенияПромежуточныйцентрсертификацииБаза данныхМеханизмподозрительных обнаруженияузлов сетианомалийЦентррегистрациисертификатовЦентр выдачи анонимныхсертификатов (псевдонимов)МенеджерконфигурацииузловПрокси-сервер скрытияпозиции узлаАвтомобильАвтомобильХранилищеотозванныхсертификатовГенераторспискаотозванныхсертефикатовЦентрраспространенияинформации оботозванныхсертификатахРисунок 1.7 – Архитектура системы безопасности проектов V2V NHTSA281.2.2Проект Network on WheelsNoW – один из первых европейских проектов, нацеленный на применениеVANET в системах дорожного движения.
В ходе данного проекта был разработанпротокол маршрутизации на основе географического местоположения (Geocast)[42], который позже был использован в стеке протоколов C-ITS.Проект NoW (Network on Wheels) [43] в основе своей архитектурыбезопасности использует архитектуру PKI, описанную в стандарте IEEE 1609. Напримере данного проекта рассмотрим размещение механизмов безопасности поуровням сети (рисунок 1.8).Приложенияобеспечивающиебезопасность сетиПриложения VANETФильтры конфиденциальной информации(Privacy)Транспортный уровеньСпециальныепротоколысетевого уровняIPv6Механизмы безопасности сетевого уровняФизический уровень (802.11p, WiFi, другие)Рисунок 1.8 – Распределение механизмов безопасности проекта NoW по уровнямсетиМеханизмы безопасности проекта NoW, реализуемые на сетевом уровне,отвечают за проверку целостности передаваемых данных путём проверки29попадания в заранее установленные границам значений и за шифрованиесообщений.На прикладном уровне реализуются приложения, взаимодействующие с PKIдля получения и обновления сертификатов.