Tóm tắt:
Nội dung phần mở đầu trình bày tổng quan về đề tài, mục tiêu và các đóng góp
chính của luận văn. Nội dung tóm tắt của từng chương trong luận văn được trình bày
ở cuối phần này.
Giới thiệu chung
Ngày nay, sự phát triển và bùng nổ công nghệ truyền thông và thông tin đã dẫn
đến sự ra đời của nhiều dịch vụ điện tử hoạt động trên môi trường mạng máy tính
(đặc biệt là mạng Internet). Các dịch vụ này đã mang lại nhiều lợi ích, tiện lợi, và làm
cải thiện cuộc sống của con người. Việc giao tiếp, trao đổi dữ liệu, giới thiệu ý tưởng,
mua bán hàng hóa và dịch vụ giữa con người với con người không còn giới hạn biên
giới nữa khi mọi việc đều thực hiện thông qua mạng Internet.
Trong hầu hết các dịch vụ điện tử mang lại nhiều lợi ích trên, nguồn dữ liệu thô
(họ tên, ngày tháng năm sinh, sở thích, ) được cung cấp bởi người sử dụng cho các
dịch vụ như vậy lại được quan tâm chưa đúng mức bởi chính bản thân người sử dụng
dịch vụ. Một vài nghiên cứu trong vài năm gần đây đã nêu bật lên những rũi ro bảo
mật và tính riêng tư cho người khai thác dịch vụ trực tuyến (như đánh cắp định danh,
suy diễn dựa trên hồ sơ người dùng – user profile, tình trạng bị giám sát trực tuyến và
lừa đảo, .). Chính vì những lý do trên, Tổ chức hợp tác và Phát triển kinh tế thế giới
- OECD (Organisation for Economic Co-operation and Development) đã cảnh báo về
vấn đề bảo vệ tính riêng tư (privacy) trong các giao dịch trên mạng toàn cầu.
Tính riêng tư về thông tin (information privacy) được hiểu là quyền lợi vĩnh viễn
của một cá nhân trong việc kiểm soát cách thức thu thập, lưu trữ, xử lý, công bố và
chia sẽ thông tin cá nhân của họ bởi các cá thể, tổ chức khác [1]. Bảo vệ tính riêng tư
đặc biệt được quan tâm nhiều trong các hệ thống thực tế như hệ thống bầu cử trực
tuyến, hệ thống tư vấn sử dụng dịch vụ công cộng, hệ thống định vị Trong phạm vi
luận văn này, chúng tôi tập trung quan tâm đến vấn đề bảo vệ tính riêng tư cho các
dịch vụ có liên quan đến vị trí (Location-based Services - LBS) trong các ứng dụng có
sử dụng thông tin vị trí (Location-based Application - LBA).
Đầu tiên, sự phát triển nhanh mạnh của các thiết bị điện tử có khả năng liên lạc
với nhau trong môi trường mạng và có tích hợp khả năng định vị trong những năm
gần đây đã cho ra đời hàng loạt các ứng dụng có liên quan đến vị trí của người sử
dụng nhằm nâng cao chất lượng của cuộc sống. Dưới đây là một vài ứng dụng ví dụ:
Một trong các ứng dụng phải đề cập đến đầu tiên là dịch vụ theo dõi vị trí
của hệ thống định vị toàn cầu - GPS (Global Prosition System) [2]. Hệ
thống GPS sử dụng vệ tinh để hỗ trợ các thiết bị có khả năng xác định vị trí
của mình với độ chính xác khác nhau tùy thuộc vào điều kiện môi trường
xung quanh. Trong báo cáo [2], độ chính xác của GPS có thể đảm bảo
trong phạm vi 4m so với vị trí thực. Với đặc tính vậy, GPS được tích hợp
trong các ứng dụng liên quan đến bản đồ và tích hợp vào trong các thiết bị
PDA cũng như các thiết bị hỗ trợ tính năng định vị khác.
Bên cạnh ứng dụng của GPS hoạt động tốt trong môi trường ngoài trời thì
trong môi trường trong nhà, hệ thống Active Badges [3] của Phòng thí
nghiệm AT&T trong trường đại học Cambridge cung cấp khả năng cho
biết vị trí của nhân viên trong văn phòng. Hệ thống Active Badges sử dụng
tín hiệu hồng ngoại phát ra từ một thiết bị gắn trên người nhân viên để xác
định vị trí của nhân viên trong hệ thống phòng làm việc của công ty thông
qua các bộ cảm biến đặt xung quanh.
Tương tự với hệ thống Active Badges, hệ thống Bat [4] được cải tiến sử
dụng sóng siêu âm kết hợp với cơ chế định vị của loài dơi để tăng độ chính
xác định vị lên tới phạm vi 4cm.
Hệ thống dẫn đường Cricket Location-Support System [5] cũng sử dụng
giải pháp tương tự như hệ thống Bat.
Bên cạnh các hệ thống định vị phải phát triển trên các nền kỹ thuật mới,
vẫn có nhiều hệ thống tận dụng rất tốt cơ sở hạ tầng mạng cũ để triển khai
các dịch vụ có liên quan đến vị trí. Đầu tiên là hệ thống cảm biến vị trí của
trường Đại học Carnegie Mellon [6] sử dụng mạng không dây nội bộ để
xác định vị trí của các thiết bị thông qua chiều dài bước sóng khác nhau
phát ra từ các trạm cảm biến.
Với chiếc điện thoại di động thông thường phục vụ cho việc trao đổi liên
lạc với nhau, điện thoại di động còn được sử dụng làm thiết bị cung cấp
thông tin vị trí, đây là yêu cầu E-911 [7] của Quân đội Mỹ nhằm xác định
chính xác vị trí của nạn nhân khi họ gọi đến số điện thoại khẩn cấp; rõ ràng,
đây là dịch vụ hết sức cần thiết cho cuộc sống.
Ứng dụng của kỹ thuật định danh dựa vào tần số sóng vô tuyến (Radio
Frequency Identification - RFID) [8] đã thay thế dần việc quản lý hàng hóa
bằng mã vạch Barcode. Bằng kỹ thuật gắn các thiết bị vi mạch sử dụng
RFID lên từng mặt hàng, nhân viên kiểm kê hàng tồn kho có thể nhanh
chóng ghi nhận tình trạng hiện diện của hàng hóa trong kho chỉ với thao
tác đi ngang qua các kệ xếp hàng.
Các ứng dụng nêu trên đã cho thấy lợi ích và hiệu quả của các ứng dụng có sử
dụng thông tin vị trí LBA đối với cuộc sống con người. Bên cạnh các lợi ích trước
mắt như vậy, các ứng dụng trên cũng kèm theo những rủi ro và thách thức mới liên
quan đến quyền lợi riêng tư của người sử dụng dịch vụ của các ứng dụng trên. Đặc
trưng của loại ứng dụng LBA là phải theo vết di chuyển của người sử dụng dịch vụ
để từ đó, xác định được vị trí tương ứng và cung cấp dịch vụ tốt nhất. Tuy nhiên,
người sử dụng loại dịch vụ này lại không mong muốn thông tin cần cho ứng dụng
LBA lại bị tiết lộ với một tổ chức hay một cá nhân nào khác. Xét trường hợp một
bệnh nhân đang tiến hành kiểm tra bệnh AIDS, họ hoàn toàn không mong muốn việc
đến phòng khám của họ lại bị tiết lộ cho các hệ thống ứng dụng LBA tại công sở họ
hoặc tại ngân hàng, đó còn chưa kể đến trường hợp các ứng dụng LBA tại phòng
khám và công sở “bắt tay nhau”. Như vậy, người sử dụng dịch vụ hoàn toàn không
tin cậy vào bất kỳ ứng dụng LBA nào mà họ không kiểm soát được việc chia sẻ thông
tin riêng tư của họ. Do đó, vấn đề về tính riêng tư trong các ứng dụng LBA phải được
xem xét và quan tâm.
Nhóm tác giả [9] đã chia các dịch vụ có sử dụng thông tin vị trí LBS (Location-based Service) của các ứng dụng LBA thành 3 nhóm chính để từ đó xem xét đến vấn
đề về tính riêng tư.
Nhóm đầu tiên là loại dịch vụ LBS cần chính xác định danh của người
dùng thì mới cung cấp đúng dịch vụ cần thiết.
Ví dụ: Dịch vụ cho phép đồng nghiệp của 1 nhân viên có thể biết được
vị trí hiện tại của nhân viên khi nhân viên đó bước vào công ty, rõ ràng là
nếu dịch vụ LBS này không xác định chính xác định danh của từng nhân
viên khi họ bước vào văn phòng của công ty thì dịch vụ LBS không thể
nào hoạt động được.
Nhóm dịch vụ thứ 2 là loại dịch vụ chỉ cần một định danh giả (pseudonym
identification) thay vì định danh thực của người dùng là đủ để cung cấp
dịch vụ.
Ví dụ: Dịch vụ cho phép một nhân viên khi đến gần một thiết bị máy
tính thì máy tính đó tự động chuyển quyền điều khiển từ xa đến một máy
tính khác mà nhân viên này có quyền điều khiển.
Nhóm dịch vụ thứ 3 là loại dịch vụ không cần đến định danh của người
dùng cũng cung cấp được dịch vụ
Ví dụ: Khi một người dùng đi qua một quán café thì dịch vụ LBS sẽ cho
biết thông tin giá của café tại quán đó, rõ ràng, loại dịch vụ này hoàn toàn
không cần biết đến ai là người sử dụng dịch vụ, mà chỉ cần biết vị trí của
người sử dụng dịch vụ là có thể cung cấp thông tin kết quả.
Với 3 nhóm dịch vụ LBS đã nêu, rõ ràng nhóm dịch vụ đầu tiên dựa hoàn toàn
vào định danh thật của người sử dụng để cung cấp dịch vụ. Với nhóm dịch vụ LBS
này thì ta hoàn toàn không thể sử dụng dịch vụ mà không bị xâm phạm đến quyền lợi
riêng tư. Do đó, hầu hết các hướng tiếp cận đều tập trung vào việc giải quyết bài toán
bảo vệ tính riêng tư cho dịch vụ LBS thuộc nhóm 2 và 3.
Lý do thực hiện đề tài
Công trình nghiên cứu đầu tiên được xem là công trình nghiên cứu liên quan đến
vấn đề bảo vệ tính riêng tư của người dùng, cụ thể là bảo vệ định danh người dùng, là
hệ thống gửi nhận thư điện tử an toàn có che giấu định danh của David Chaum [10]
vào năm 1981. Sau đó, một loạt các hệ thống bảo vệ định danh người dùng dựa trên
Mix [11] [12] ra đời. Tuy nhiên, do các dịch vụ có sử dụng vị trí LBS có đặc điểm là
phải cung cấp kết quả cho người sử dụng theo thời gian thực. Vì vậy, các hệ thống
Mix trên với thời gian trì hoãn cao (high latency) rất hiệu quả với các ứng dụng
truyền thống thì lại hoàn toàn không phù hợp với loại ứng dụng cung cấp các dịch vụ
dựa vào thông tin vị trí LBS.
Bên cạnh đó, một số hệ thống sử dụng thời gian trì hoãn thấp (low latency) như hệ
thống Tor [13], Tarzan [14] hoàn toàn có thể chống lại kỹ thuật tấn công dựa vào việc
phân tích lưu lượng thông tin mạng, một trong những kỹ thuật tấn công các hệ thống
bảo vệ định danh người dùng. Tuy nhiên, các hệ thống sử dụng kỹ thuật trì hoãn thấp
chỉ hoạt động hiệu quả với môi trường mạng có lưu lượng mạng cao. Trong khi đó,
môi trường mạng cho các dịch vụ LBS lại luôn trong trạng thái thấp. Vì vậy, các
hướng tiếp cận của hệ thống Tor, Tarzan cũng không phù hợp với loại ứng dụng LBA.
Mặc dù có nhiều hướng tiếp cận được đề xuất gần đây phù hợp với loại ứng dụng
LBA, nhưng mỗi hướng đểu có một số hạn chế. Với hướng tiếp cận sử dụng kỹ thuật
mở rộng câu truy vấn (query enlargement technique) [15] [16] [17] thì độ chính xác
của kết quả trả về bị giảm do việc mở rộng câu truy vấn làm mở rộng không gian vị
trí tìm kiếm dịch vụ. Với hướng tiếp cận sử dụng kỹ thuật che giấu không gian
(spatial cloaking technique) [18] [19] [20] thì lại phụ thuộc quá nhiều vào sự phân
phối không gian vị trí của người sử dụng dịch vụ, đồng thời việc truyền tải câu truy
vấn và lọc các kết quả trả về từ dịch vụ LBS từ một lượng lớn các kết quả là hoàn
toàn không hiệu quả, đặc biệt là đối với các thiết bị di động có bộ nhớ và bộ xử lý hạn
chế.
Với hướng tiếp cận sử dụng thông tin giả (vị trí giả hoặc danh sách vị trí cố định
hoặc người sử dụng giả - Dummy) [21] [22], mặc dù hướng tiếp cận này che dấu
được vị trí cũng như định danh của người dùng, nhưng với phương pháp này, thiết bị
ở phía người dùng phải được cài đặt thành phần phát sinh thông tin giả và gửi đồng
thời thông tin giả với vị trí thực đến dịch vụ LBS. Phương pháp này làm giảm hiệu
quả truyền tải tín hiệu, đồng thời phải phát sinh nhiều thông tin giả để đảm bảo độ an
toàn và không tận dụng được tính toàn cục của các thông tin giả được phát sinh ở mỗi
người sử dụng dịch vụ xung quanh. Hướng tiếp cận của hệ thống bảo vệ tính riêng tư
vị trí dựa trên nền hệ thống Mix nhị thức (binomial-mix-based location anonymizer)
[23] và phiên bản cải tiến - RPROB [24] đã tận dụng được những lợi ích của những
người sử dụng dịch vụ xung quanh tại cùng thời điểm để làm giảm đáng kể tổng số
thông tin giả phải phát sinh trong mỗi lần gửi truy vấn (với giải pháp phát sinh thông
tin giả tập trung); đồng thời, chống được tấn công GAA (Global Active Adversary).
Tuy nhiên, hướng tiếp cận này vẫn còn một số vấn đề chưa giải quyết:
Hệ thống chỉ thực hiện việc bảo vệ tính riêng tư vị trí của người sử dụng
dịch vụ trong giai đoạn gửi thông điệp yêu cầu từ phía người sử dụng lên
phía dịch vụ LBS. Vì vậy, giai đoạn ngược lại từ phía dịch vụ LBS gửi trả
kết quả về cho người sử dụng lại không được đề cập, có nghĩa là chưa đề
cập đến vấn đề bảo vệ thông tin kết quả từ dịch vụ LBS.
Với mỗi thông điệp yêu cầu được gửi đến dịch vụ LBS đều được hệ thống
gán cho một giá trị che giấu vị trí (location-hiding value) [23] tương ứng
với cấp độ bảo vệ tính riêng tư được yêu cầu của người sử dụng dịch vụ.
Lợi dụng đặc tính này, kẻ tấn công hệ thống sẽ triển khai tấn công từ chối
dịch vụ (denial-of-service - DoS) bằng cách tạo ra các thông điệp có giá trị
che giấu vị trí cực kỳ cao. Từ đó, có thể suy diễn được mối liên hệ giữa
người sử dụng dịch vụ và dịch vụ LBS nào sẽ được người đó sử dụng.
Dựa trên những vấn đề chưa giải quyết trong hướng tiếp cận của hệ thống bảo vệ
tính riêng tư vị trí dựa trên nền hệ thống Mix nhị thức [23], luận văn đề xuất hướng
tiếp cận của một hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB
(bi-directional RPROB-based location anonymizer) nhằm bảo vệ tính riêng tư về vị
trí cho người sử dụng dịch vụ LBS. Hướng tiếp cận này được đề xuất dựa trên nền
của hệ thống RPROB [24] có lõi được phát triển trên nền hệ thống mix nhị thức [11]
[12]. Tính song hướng của hướng tiếp cận được thể hiện qua việc bảo vệ tính riêng tư
về vị trí cho người sử dụng dịch vụ không chỉ từ hướng gửi thông điệp từ người sử
dụng đến dịch vụ LBS, mà còn từ hướng gửi kết quả từ dịch vụ LBS về phía người sử
dụng tương ứng. Với giải pháp phát sinh thông tin giả tập trung, hệ thống đã đảm bảo
được tính chất thời gian thực theo xác suất mà bị ràng buộc vào các hoạt động của
người sử dụng [24]; đồng thời, đảm bảo được tính chất thời gian trì hoãn thấp của hệ
thống (một trong các yêu cầu cần thiết cho các hệ thống dịch vụ LBS). Ngoài ra,
hướng tiếp cận bảo vệ tính riêng tư về vị trí này còn chống lại được các hình thức tấn
công theo mô hình tấn công GAA (như cô lập thông điệp, trì hoãn thông điệp, loại bỏ
thông điệp, từ chối dịch vụ, ).
Mục tiêu của luận văn
Nghiên cứu và phân tích một số phương pháp để xây dựng hệ thống bảo vệ
tính riêng tư trong dịch vụ điện tử nói chung và đặc biệt trong dịch vụ dựa vào
thông tin vị trí (Location-based Service - LBS).
Đề xuất một giải pháp nhằm bảo vệ tính riêng tư về vị trí trong hệ thống dịch
vụ điện tử dựa vào thông tin vị trí. Giải pháp được đề nghị cần đảm bảo tính
riêng tư về vị trí cho người sử dụng khi người sử dụng gửi câu truy vấn đến
dịch vụ và khi người sử dụng nhận kết quả trả về từ dịch vụ.
Phân tích và khảo sát các tính chất của giải pháp được đề nghị.
Xây dựng một hệ thống giả lập cho mô hình đã đề suất để khảo sát lại tính
chất của mô hình.Nội dung luận văn
Nội dung của luận văn được trình bày gồm:
Phần mở đầu - Giới thiệu tổng quát về bài toán bảo vệ tính riêng tư của người
sử dụng trong các dịch vụ dựa vào vị trí và sơ lược về các hướng tiếp cận
trong thời gian gần đây.
Chương 1 - Trình bày tổng quan về các giải pháp cơ bản cho bài toán bảo vệ
tính riêng tư của người dùng trong các dịch vụ dựa vào vị trí (bao gồm các kỹ
thuật mở rộng câu truy vấn dịch vụ dựa vào vị trí, kỹ thuật che giấu thông tin
không gian, kỹ thuật làm rối thông tin và kỹ thuật che giấu thời gian). Phân
tích ưu điểm và hạn chế của các hướng tiếp cận cơ sở này.
Chương 2 - Trình bày tổng quan về Mix và Mix-Network, tính chất và phân
loại các hệ thống Mix-Network; đồng thời, trình bày các giải pháp bảo vệ tính
riêng tư cho người sử dụng dịch vụ dựa vào vị trí LBS mà luận văn hướng đến
dựa trên mô hình Mix, Mix nhị thức và RPROB.
Chương 3 – Phân tích mô hình tấn công GAA và tính chất che giấu thông tin
vị trí. Từ đó, đề xuất mô hình cải tiến dựa trên mô hình Mix nhị thức và
RPROB. Mô tả kiến trúc của mô hình cải tiến và khảo sát quá trình truyền và
xử lý thông điệp yêu cầu của người sử dụng dịch vụ cũng như thông điệp phản
hồi kết quả từ nhà cung cấp dịch vụ LBS.
Chương 4 – Phân tích và đánh giá mô hình mà luận văn đã đề xuất. Phân tích
trên tính an toàn của hệ thống đối với vấn đề bảo vệ tính riêng tư cho người sử
dụng dịch vụ thông qua các hình thức tấn công của mô hình tấn công GAA,
phân tích tính chất thời gian thực mà hệ thống có thể đáp ứng được và bàn về
vấn đề cân đối giữa chất lượng dịch vụ và mức độ riêng tư cho người sử dụng.
Chương 5 - Trình bày kết quả mà luận văn đạt được và hướng phát triển cho
mô hình mà luận văn đã đề xuất.
Một phần kết quả của luận văn được công bố trong công trình [25].
25 trang |
Chia sẻ: tuandn | Lượt xem: 2033 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Luận văn Nghiên cứu kỹ thuật bảo vệ tính riêng tư và ứng dụng trong dịch vụ điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
33
Chương 3
Hệ thống song hướng bảo vệ tính riêng tư vị trí
dựa trên nền RPROB
Tóm tắt chương:
Nội dung của Chương 3 trình bày các nội dung gồm:
Các mô hình tấn công đối với bài toán bảo vệ tính riêng tư cho người sử dụng
dịch vụ LBS.
Mô tả tính chất che giấu thông tin vị trí đã được đề xuất trong công trình [23].
Mô tả các thành phần của hệ thống bảo vệ tính riêng tư của người sử dụng
dịch vụ LBS mà luận văn đề xuất. Khảo sát quá trình hoạt động của hệ thống.
3.1 Các mô hình tấn công
3.1.1 Mô hình tấn công GDA
Với mô hình kẻ tấn công trì hoãn toàn cục GDA (Global Delaying Adversary),
kẻ tấn công hệ thống bảo vệ tính riêng tư có khả năng:
Quan sát mọi hoạt động bên ngoài hệ thống (gửi / nhận thông điệp, …).
Trì hoãn bất kỳ thông điệp nào trong bất kỳ thời điểm nào mong muốn
(bao gồm thông điệp gửi đến hệ thống và thông điệp kết quả phản hồi từ
dịch vụ LBS)
Tuy nhiên, với mô hình tấn công GDA, do tất cả thông điệp đi vào, đi ra khỏi hệ
thống bảo vệ để được mã hóa an toàn, kể cả trong quá trình truyền nhận. Vì vậy, kẻ
tấn công:
Không thể nào biết được thông tin của hệ thống.
Không thể đọc hiểu được nội dung của thông điệp gửi đến.
34
Không có khả năng tạo / phát sinh thông điệp mới.
Không thể thay đổi nội dung của thông điệp.
...
...
Người gửi
thông điệp
Người nhận
thông điệp
Người tấn công
Hệ thống bảo
vệ tính riêng tư
Hình 3-1: Mô hình tấn công GDA
3.1.2 Mô hình tấn công GAA
Mạnh hơn mô hình GDA, trong mô hình kẻ tấn công chủ động toàn cục GAA
(Global Active Adversary), kẻ tấn công hệ thống bảo vệ tính riêng tư không chỉ
mang các tính năng ưu điểm của mô hình GDA, mà còn:
Có khả năng thỏa hiệp với người sử dụng hệ thống hợp pháp để tạo ra bất
kỳ một số lượng thông điệp gửi đến hệ thống bảo vệ hoặc thêm trực tiếp
vào hàng đợi thông điệp của hệ thống bảo vệ.
...
...
Người gửi
thông điệp
Người nhận
thông điệp
Người tấn công
Hệ thống bảo
vệ tính riêng tư
Hình 3-2: Mô hình tấn công GAA
35
Cũng như mô hình GDA, với mô hình tấn công GAA, kẻ tấn công không thể
biết được thông tin của thông điệp, cũng như không thể nào đọc hiểu được nội dung
của thông điệp. Như vậy, với mô hình GAA, kẻ tấn công hoàn toàn có khả năng
buộc hệ thống đẩy tất cả thông điệp ra còn dư trong hàng đợi ra khỏi hàng đợi thông
điệp (bằng cách chèn thêm thông điệp “giả” hợp lệ vào hệ thống một cách tự động
hoặc điều khiển một người gửi hợp lệ để gửi thông điệp vào hệ thống); từ đó, có thể
kiểm soát được quá trình di chuyển thông điệp của người gửi.
3.2 Tính chất che giấu thông tin
3.2.1 Tính chất che giấu thông tin nguồn
Tính chất che giấu thông tin nguồn (source-hiding property) của một hệ thống là
giá trị tham số nếu kẻ tấn công không thể suy đoán một thông điệp x được chuyển
ra khỏi hệ thống là do một người sử dụng dịch vụ s cụ thể gửi với xác suất lớn hơn
[33].
Người
Sử dụng LBS
Nhà cung cấp
LBS
Hệ thống bảo vệ tính riêng tư
x x
Tính chất che giấu nguồn
(Source hiding property)
Hình 3-3: Tính chất che giấu thông tin nguồn
Với Hình 3-3, thông điệp x được gửi từ người sử dụng dịch vụ LBS s đến hệ
thống bảo vệ. Để đảm bảo tính chất che giấu thông tin nguồn, thông điệp x này chỉ
được đẩy ra khỏi hệ thống khi xác suất kẻ tấn công suy đoán thông điệp x là do người
sử dụng LBS s gửi nhỏ hơn giá trị . Nói cách khác, tính chất che giấu thông tin
nguồn trong trường hợp này nhằm che giấu mối liên kết giữa thông điệp gửi với
người gửi thông điệp.
36
3.2.2 Tính chất che giấu thông tin đích
Tính chất che giấu thông tin đích (destination-hiding property) là giá trị tham số
nếu kẻ tấn công không thể suy đoán một thông điệp x được gửi vào hệ thống sẽ được
chuyển tiếp đến một người nhận s cụ thể với xác suất lớn hơn [33].
Người
Sử dụng LBS
Nhà cung cấp
LBS
Hệ thống bảo vệ tính riêng tư
x x
Tính chất che giấu đích
(Destination hiding property)
Hình 3-4: Tính chất che giấu thông tin đích
Với Hình 3-4, thông điệp x được gửi từ người sử dụng dịch vụ LBS s đến hệ
thống bảo vệ. Để đảm bảo tính chất che giấu thông tin đích, thông điệp x này chỉ
được đẩy ra khỏi hệ thống khi xác suất kẻ tấn công suy đoán thông điệp x của người
sử dụng LBS s gửi đến nhà cung cấp dịch vụ nhỏ hơn giá trị . Nói cách khác, tính
chất che giấu thông tin đích trong trường hợp này nhằm che giấu mối liên kết giữa
thông điệp gửi với người nhận thông điệp (nhà cung cấp dịch vụ).
3.2.3 Tính chất che giấu thông tin vị trí
Mượn khái niệm về tính chất che giấu nguồn (source-hiding property) và tính chất
che giấu đích (destination-hiding property) trong bài báo [33], nhóm tác giả trong bài
báo [23] đã đưa ra khái niệm tương tự về tính chất che giấu vị trí (location-hiding
property) để mô tả ngưỡng riêng tư của người sử dụng dịch vụ LBS.
Định nghĩa 3-1 [23]: Một người sử dụng dịch vụ được xem là thỏa tính chất
che giấu vị trí (ngưỡng riêng tư) với tham số khi và chỉ khi kẻ tấn công không thể
suy diễn ra thông tin vị trí của người đó với xác suất lớn hơn 1 - .
Mỗi người dùng sk hệ thống sẽ tự định nghĩa cho mình một bản đồ tính riêng tư về
vị trí. Bản đổ này gồm những vùng không gian khác nhau, mỗi vùng được gán một trị
số che giấu thông tin vị trí trong khoảng [0,1). Khi người sử dụng gửi thông điệp
37
trong vùng không gian nào đó thì giá trị che giấu thông tin vị trí tương ứng sẽ được
đính kèm với thông điệp. Bản đồ tính riêng tư về vị trí này được phép cập nhật hoặc
định nghĩa lại bởi người sử dụng vào bất kỳ thời điểm nào (nếu cần).
Như vậy, nếu một người sử dụng sk gửi một thông điệp x với giá trị tính chất che
giấu vị trí (x) đến nhà cung cấp dịch vụ LBS thì người sử dụng đó không mong
muốn kẻ tấn công có thể suy diễn ra vị trí của họ với xác suất lớn hơn 1 - (x). Để đạt
được điều này, hai vấn đề sau cần được xem xét:
Kẻ tấn công không thể tạo được mối liên kết giữa một thông điệp yêu cầu x
được gửi đến nhà cung cấp dịch vụ LBS và người sử dụng sk với xác suất
lớn hơn 1 - (x). Điều này có nghĩa là thông điệp gửi đi x đạt được tính
chất che giấu nguồn với ngưỡng 1 - (x).
Kẻ tấn công không thể tạo được mối liên kết giữa thông điệp kết quả y
tương ứng với thông điệp yêu cầu x được gửi cho người sử dụng dịch vụ sk
với xác suất lớn hơn 1 - (x). Điều này có nghĩa là thông điệp kết quả y đạt
được tính chất che giấu đích với ngưỡng 1 - (x).
3.3 Các thành phần của hệ thống đề xuất
3.3.1 Mô tả các thành phần của hệ thống
Hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB (bi-
directional RPROB-based location anonymizer - RBLA2) là hệ thống bảo vệ tính
riêng tư về vị trí cho người sử dụng dịch vụ LBS.
Luận văn đề xuất kiến trúc của hệ thống bảo vệ có sử dụng 2 thành phần có cấu
trúc tương tự nhau (TLArequest và TLAresponse) và nhật ký dữ liệu (Log Database). Hai
thành phần có cấu trúc tương tự (TLArequest và TLAresponse) được xây dựng dựa trên nền
RPROB của hệ thống RBLA (RPROB-Based Location Anomymizer) [24] và có bổ
sung một số tham số hệ thống.
38
RBLA
Log Database
TLA Response
TLA Request
Người sử dụng
dịch vụ LBS
Nhà cung cấp
dịch vụ LBS
Hình 3-5: Kiến trúc các thành phần của hệ thống RBLA2
Hệ thống RBLA2 gồm có các thành phần chính sau:
TLArequest (Trusted Location Anonymizer Request): Đây là thành phần bảo
vệ tính riêng về vị trí đáng tin cậy, xử lý tất cả các thông điệp yêu cầu dịch
vụ được gửi đến từ người sử dụng dịch vụ LBS.
TLAresponse (Trusted Location Anonymizer Response): Đây là thành phần
bảo vệ tính riêng về vị trí đáng tin cậy, xử lý tất cả các thông điệp kết quả
từ các dịch vụ LBS gửi về.
Nhật ký dữ liệu (Log Database) : Đây là nhật ký dữ liệu của hệ thống được
sử dụng để ánh xạ một thông điệp kết quả trả về sẽ tương ứng với thông
điệp yêu cầu nào. Nhật ký này sẽ được sử dụng bởi 2 thành phần TLArequest
và TLAresponse.
Hình 3-5 mô tả một cách tổng quát kiến trúc và quá trình hoạt động của hệ thống
RBLA2. Để sử dụng dịch vụ LBS, người sử dụng sẽ gửi một thông điệp đến hệ thống
RBLA2, kèm theo thông điệp yêu cầu này là vị trí chính xác hiện tại của người sử
dụng. Hoạt động này được diễn ra trên một kênh truyền an toàn. Tại hệ thống RBLA2,
thành phần TLArequest chịu trách nhiệm tổng hợp và xử lý tất cả thông điệp đến. Tùy
vào cơ chế hoạt động của hệ thống bảo vệ, các thông điệp yêu cầu này sẽ được chọn
lựa và chuyển tiếp đến nhà cung cấp dịch vụ LBS tương ứng. Việc chuyển tiếp thông
39
điệp này được thực hiện dưới hình thức sao cho kẻ tấn công hệ thống không thể nào
tạo được một liên kết tương ứng giữa một thông điệp yêu cầu được chuyển tiếp đến
nhà cung cấp dịch vụ LBS và một người sử dụng dịch vụ cụ thể với một xác suất dự
đoán lớn hơn ngưỡng riêng tư. Ngưỡng riêng tư này được người sử dụng dịch vụ đính
kèm với thông điệp khi thông điệp gửi đến hệ thống RBLA2. Ngoài ra, trước khi
chuyển tiếp thông điệp đến nhà cung cấp dịch vụ LBS, hệ thống sẽ lưu lại một số
thông tin liên quan đến người sử dụng vào nhật ký dữ liệu.
Sau khi nhận được các thông điệp yêu cầu dịch vụ từ hệ thống RBLA2, nhà cung
cấp dịch vụ LBS tiến hành xử lý để trả kết quả về. Kết quả truy vấn dịch vụ sẽ được
gửi trả về cho hệ thống RBLA2. Tại hệ thống RBLA2, thành phần TLAresponse chịu
trách nhiệm tổng hợp các kết quả truy vấn dịch vụ từ các nhà cung cấp dịch vụ LBS.
Kết hợp với thông tin lưu trong nhật ký dữ liệu trước đó, thành phần TLAresponse sẽ
xử lý và chuyển tiếp các kết quả trả về này đến người sử dụng dịch vụ tương ứng. Cơ
chế chuyển tiếp thông điệp phải đảm bảo sao cho kẻ tấn công không thể nào tạo được
một liên kết tương ứng giữa một thông điệp kết quả của nhà cung cấp dịch vụ LBS và
một người sử dụng dịch vụ cụ thể nào đã gửi yêu cầu tương ứng với kết quả đang xét
với một xác suất lớn hơn một ngưỡng riêng tư mà người sử dụng dịch vụ mong muốn.
Hiển nhiên, kênh truyền từ hệ thống RBLA2 đến người sử dụng dịch vụ phải là kênh
truyền an toàn.
Với thiết kế trên, tất cả thông điệp trao đổi giữa hệ thống RBLA2 và người sử
dụng dịch vụ phải được mã hóa (và chỉ người nhận tương ứng mới giải mã lại được).
Vì vậy, kẻ tấn công không thể đọc được nội dung bên trong của các thông điệp gửi.
Bên cạnh đó, thiết kế hệ thống RBLA2 cũng mong muốn các thông điệp trao đổi giữa
hệ thống RBLA2 với các nhà cung cấp dịch LBS cũng được mã hóa an toàn. Tuy
nhiên, thực tế cho thấy, không phải nhà cung cấp dịch vụ LBS nào cũng hỗ trợ kênh
truyền an toàn. Vì vậy, hướng tiếp cận của luận văn sẽ chấp nhận ràng buộc về kênh
truyền mặc định giữa hệ thống RBLA2 với nhà cung cấp dịch vụ LBS.
Cùng với đề xuất kiến trúc hai chiều của hệ thống như trên, luận văn cũng đề xuất
danh sách các tham số toàn cục cho hệ thống RBLA2 được đặc tả chi tiết trong Bảng
3-1. Các tham số này sẽ được sử dụng để phân tích tính an toàn của hệ thống trong
Chương 4.
40
Bảng 3-1: Danh sách tham số cho hệ thống RBLA2
Tham số Mô tả ý nghĩa
max Ngưỡng cận trên của giá trị tính chất che giấu vị trí cho một thông điệp yêu
cầu ( ). Nếu giá trị tính chất che giấu vị trí của thông điệp yêu
cầu bất kỳ lớn hơn ngưỡng max này thì hệ thống RBLA2 sẽ gán lại giá trị
tính chất che giấu vị trí của thông điệp yêu cầu bằng max.
grequest Hàm mix được sử dụng để xác định xác suất mà một thông điệp yêu cầu có
thể được chọn để chuyển đi trong chu kỳ xử lý hiện tại của hệ thống.
gresponse Hàm mix được sử dụng để xác định xác suất mà một thông điệp kết quả có
thể được chọn để chuyển đi trong chu kỳ xử lý hiện tại của hệ thống.
trequest Thời gian chờ cho mỗi chu kỳ xử lý thông điệp yêu cầu.
tresponse Thời gian chờ cho mỗi chu kỳ xử lý thông điệp kết quả.
request Thời gian chờ tối đa cho một thông điệp yêu cầu. Nếu khoảng thời gian
truyền thông điệp từ người sử dụng dịch vụ đến hệ thống RBLA2 vượt quá
thời gian chờ tối đa này thì hệ thống sẽ tự động hủy bỏ thông điệp yêu cầu
nhằm đảm bảo tính an toàn cho hệ thống.
response Thời gian chờ tối đa cho một thông điệp kết quả. Nếu khoảng thời gian
truyền thông điệp từ nhà cung cấp dịch vụ LBS đến hệ thống RBLA2 vượt
quá thời gian chờ tối đa này thì hệ thống sẽ không chấp nhận kết quả này
nhằm đảm bảo tính an toàn cho hệ thống.
Roundmax Tổng số chu kỳ tối đa mà một thông điệp bị giữ lại trong hệ thống.
Dummymin Tổng số thông điệp có vị trí giả phải có trong hệ thống vào cuối mỗi chu kỳ.
rmin Bán kính vùng tối thiểu mà tất cả các thông điệp trong hàng đợi thông điệp
ra phải phủ đủ.
3.3.2 Tính chất che giấu thông tin vị trí trong hệ thống được đề suất
Để đảm bảo tính riêng tư về thông tin vị trí của người sử dụng dịch vụ LBS, hệ thống
RBLA2 phải đảm bảo được tính chất che giấu thông tin vị trí về thông tin nguồn từ phía
người sử dụng dịch vụ. Có nghĩa là kẻ tấn công không thể suy diễn được mối liên kết
giữa thông điệp chuyển tiếp ra khỏi hệ thống bảo vệ với người đã gửi thông điệp đó.
Do kênh truyền từ hệ thống RBLA2 đến nhà cung cấp dịch vụ LBS không bắt buộc
phải đảm bảo an toàn, vì vậy, hệ thống RBLA2 không thể nào đảm bảo được tính chất
che giấu vị trí về thông tin đích của thông điệp đối với nhà cung cấp dịch vụ. Ngược lại,
41
hệ thống RBLA2 sẽ đảm bảo tính chất che giấu vị trí về thông tin đích của thông điệp kết
quả của nhà cung cấp dịch vụ gửi về cho người sử dụng dịch vụ.
Kẻ tấn
công
Người
Sử dụng LBS
Nhà cung cấp
LBS
Hệ thống
bảo vệ tính riêng tư
x x
Tính chất che giấu vị trí
(Location hiding property)
y
y
Tính chất che giấu vị trí
(Location hiding property)
Hình 3-6: Tính chất che giấu vị trí trong hệ thống được đề xuất
Hình 3-6 mô tả các vị trí cần đảm bảo tính chất che giấu thông tin vị trí mà hệ
thống RBLA2 phải đảm bảo để bảo vệ tính riêng tư về vị trí cho người sử dụng dịch
vụ LBS trong hai hướng truyền và nhận dữ liệu.
3.4 Khảo sát quá trình xử lý thông điệp đến
Thông điệp đến là thông điệp yêu cầu dịch vụ được gửi từ người sử dụng dịch vụ
LBS đến hệ thống bảo mật RBLA2. Thành phần TLArequest của hệ thống RBLA2 chịu
trách nhiệm tổng hợp và xử lý các thông điệp đến này.
Đề xuất: Trong quá trình xử lý của thành phần TLArequest, luận văn đề xuất cấu
trúc của thông điệp gửi và sử dụng bổ sung các tham số sau:
Tham số ngưỡng cận trên max của giá trị tính chất che dấu thông tin vị trí
được sử dụng để hệ thống chống tấn công từ chối dịch vụ DoS.
Tham số thời gian chờ request kết hợp với nhãn thời gian của thông điệp
được sử dụng để chống tấn công trì hoãn thông điệp.
Tham số Roundmax nhằm hạn chế số lượng chu kỳ bị giữ lại của thông điệp
trong hệ thống.
42
Tham số Dummymin nhằm đảm bảo trước mỗi chu kỳ xử lý, hệ thống luôn
có sẵn một lượng thông điệp có vị trí giả trong hàng đợi.
Tham số rmin nhằm đảm bảo trước khi gửi thông điệp ra khỏi hệ thống, các
thông điệp được chọn phải phủ tối thiểu trong một vùng có bán kính r.
Quá trình xử lý thông điệp yêu cầu dịch vụ khi được gửi đến hệ thống sẽ gồm 5
bước xử lý sau:
Bước 1: Xử lý quá trình thu thập thông điệp yêu cầu được gửi đến.
Bước 2: Xử lý quá trình phát sinh thông điệp giả cho hệ thống bảo vệ.
Bước 3: Xử lý việc lựa chọn thông điệp để gửi ra khỏi hệ thống bảo vệ.
Bước 4: Xử lý vùng không gian chứa các thông điệp được chọn.
Bước 5: Xử lý quá trình biến đổi thông điệp và gửi thông điệp đến nhà
cung cấp dịch vụ LBS.
3.4.1 Quá trình thu thập thông điệp đến
RBLA
TLA Request
Kênh truyền an toàn
Người sử dụng
dịch vụ LBS
Giải mã
thông điệp
yêu cầu
Câu truy vấn
Vị trí chính xác
Thông tin LBS
Giá trị
Nhãn thời gian
max (Nếu > max)
request
Cache thông điệp
yêu cầu
≥
<
Thông điệp đã giải mã
Thông điệp được mã hóa
Hình 3-7: Quá trình thu thập thông điệp đến
Trong mỗi chu kỳ r, thành phần TLArequest nhận và lưu trữ lại mỗi thông điệp
(
đến trong hệ thống. Mỗi thông điệp đến này được truyền đi trên kênh truyền an
toàn và được mã hóa (chỉ có thành phần TLArequest mới giải mã thông điệp được).
43
Khi thông điệp đến được TLArequest , thông điệp sẽ được giải mã và lưu trong vùng
đệm hàng đợi xử lý của thành phần TLArequest.
Nội dung của thông điệp yêu cầu có cấu trúc bao gồm: câu truy vấn yêu cầu dịch
vụ, vị trí chính xác của người sử dụng dịch vụ, thông tin dịch vụ LBS sẽ sử dụng và
giá trị tính chất che giấu thông tin vị trí (
( ).
Dựa vào bản đồ tính riêng tư về vị trí của người sử dụng dịch vụ, giá trị tính chất
che giấu thông tin vị trí (
( ) này sẽ mang giá trị khác nhau ở các vùng không gian
khác nhau. Nếu giá trị này không được đính kèm với thông điệp yêu cầu thì hệ thống
bảo vệ sẽ gán giá trị mặc định là 0. Giá trị này càng lớn thì nhu cầu về tính riêng tư
của thông điệp càng lớn. Tuy nhiên, nếu giá trị về tính chất che giấu thông điệp quá
lớn thì hệ thống bảo vệ cần phải chờ một số lượng lớn các thông điệp yêu cầu khác
được gửi đến và sẽ gửi toàn bộ đến nhà cung cấp dịch vụ LBS; từ đó, sẽ dẫn đến tình
trạng hệ thống bảo vệ bị chờ trong thời gian quá dài qua nhiều chu kỳ xử lý. Giải
quyết cho vấn đề này, nhóm tác giả [23] sử dụng các thông điệp giả được phát sinh
trong chu kỳ của thông điệp để làm giảm thời gian chờ. Tuy nhiên, giải pháp này lại
tạo ra khả năng gián tiếp gây ra tấn công từ chối dịch vụ cho các nhà cung cấp dịch
vụ LBS (do gửi quá nhiều thông điệp yêu cầu không cần thiết đến nhà cung cấp dịch
vụ LBS). Để khắc phục hạn chế này, luận văn đã đề nghị sử dụng thêm tham số
ngưỡng cận trên max của giá trị tính chất che dấu thông tin vị trí. Nếu giá trị về tính
chất che giấu thông tin vị trí đính kèm thông điệp yêu cầu của người sử dụng dịch vụ
lớn hơn tham số max thì sẽ bị cập nhật lại bằng giá trị của max.
Ngoài ra, luận văn cũng đề nghị sử dụng bổ sung tham số nhãn thời gian cho
thông điệp gửi đến hệ thống. Nhãn thời gian sẽ thể hiện thời gian bắt đầu giao dịch
của người sử dụng dịch vụ và sẽ được đính kèm với thông điệp yêu cầu. Nếu khoảng
thời gian truyền thông điệp yêu cầu từ người sử dụng dịch vụ đến hệ thống RBLA2
vượt qua thời gian chờ tối đa cho phép request dành cho thông điệp yêu cầu thì điều đó
chứng tỏ có khả năng có kẻ tấn công đang thực hiện mô hình tấn công trì hoãn thông
điệp làm cho thông điệp yêu cầu bị trì hoãn trong quá trình truyền. Với lý do nghi ngờ
vậy, thành phần TLArequest sẽ tiến hành loại bỏ thông điệp yêu cầu này khỏi hệ thống.
44
3.4.2 Phát sinh các thông điệp yêu cầu giả
Vào cuối mỗi chu kỳ r, giả sử có ar thông điệp yêu cầu mới được gửi đến hệ
thống và
(
thông điệp yêu cầu cũ còn được giữ lại trong hệ thống trong chu kỳ
xử lý trước (r-1).
Với mỗi thông điệp yêu cầu x được chọn và sẽ được chuyển tiếp từ hệ thống
RBLA2 đến nhà cung cấp dịch vụ LBS, kẻ tấn công có khả năng tính toán được xác
suất để thông điệp x này được gửi bởi người gửi sk. Nếu kẻ tấn công đã nắm được
thông tin xác suất này của thông điệp x thì coi như sẽ suy diễn được vị trí của người
gửi sk với cùng một xác suất.
Thực tế cho thấy, không phải nhà cung cấp dịch LBS nào cũng hỗ trợ cung cấp
dịch vụ trên kênh truyền an toàn có mã hóa. Vì lý do trên, các hệ thống bảo vệ buộc
phải thực hiện việc truyền nhận dữ liệu với các nhà cung cấp dịch vụ với kênh truyền
dữ liệu truyền thống (không có mã hóa dữ liệu). Nếu dữ liệu được truyền trên kênh
không an toàn thì kẻ tấn công hoàn toàn có thể biết được thông tin vị trí trong thông
điệp yêu cầu x. Ngoài ra, dù kênh truyền từ hệ thống bảo vệ đến nhà cung cấp dịch vụ
là kênh an toàn thì vẫn có khả năng bị lộ thông tin vị trí trong thông điệp x nếu kẻ tấn
công có quyền kiểm soát hoặc đã thỏa thuận với nhà cung cấp dịch vụ LBS. Vì vậy,
hệ thống cho phép người sử dụng dịch vụ định nghĩa một ngưỡng riêng tư đối với vị
trí cho mỗi yêu cầu gửi đến hệ thống nhằm che giấu thông tin vị trí đến một mức độ
mong muốn để làm giảm xác suất suy đoán của kẻ tấn công.
Công thức tính xác