Nội dung của Chương 4 trình bày các kết quả phân tích, đánh giá hệ thống đã đềxuất trong Chương 3 về mặt lý thuyết và phân tích một số kết quả cho một số trường hợp mô phỏng cụ thể.
Phân tích tính an toàn của hệ thống
Phân tích tính chất thời gian thực mà hệ thống có thể đáp ứng được
Phân tích vấn đề cân đối giữa việc bảo vệ tính riêng tư về vị trí cho người sử dụng hệ thống với hiệu suất của hệ thống.
18 trang |
Chia sẻ: vietpd | Lượt xem: 1231 | Lượt tải: 0
Bạn đang xem nội dung tài liệu Đánh giá kỹ thuật bảo vệ tính riêng tư và ứng dụng trong dịch vụ điện tử, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
58
Chương 4
Phân tích và đánh giá
Tóm tắt chương:
Nội dung của Chương 4 trình bày các kết quả phân tích, đánh giá hệ thống đã đề
xuất trong Chương 3 về mặt lý thuyết và phân tích một số kết quả cho một số trường
hợp mô phỏng cụ thể.
Phân tích tính an toàn của hệ thống
Phân tích tính chất thời gian thực mà hệ thống có thể đáp ứng được
Phân tích vấn đề cân đối giữa việc bảo vệ tính riêng tư về vị trí cho người sử
dụng hệ thống với hiệu suất của hệ thống.
4.1 Phân tích và đánh giá về mặt lý thuyết
4.1.1 Công thức tính xác suất P(S(x)=sk)
Cơ sở lý thuyết để tính toán xác suất một thông điệp x được người sử dụng si gửi
trong chu kỳ r và cơ sở tính toán số lượng thông điệp giả phải phát sinh vào cuối mỗi
chu kỳ hoàn toàn dựa vào công thức (3-1) trong phần 3.4.2. Vì vậy, công thức (3-1)
được chứng minh trong công trình [24] được trình bày tóm tắt lại trong phần này.
Gọi
(
{
(
} là tập các thông điệp yêu cầu được gửi đến hệ thống trong chu
kỳ thứ r; trong đó, S là tập các người sử dụng dịch vụ.
(
là tập các thông điệp của
người sử dụng si gửi trong chu kỳ r. Như vậy
(
⋃
(
.
Gọi ( (
(
) ) là xác suất kẻ tấn công xác định thông điệp
(
ra khỏi hệ
thống trong chu kỳ thứ r là do người sử dụng si gửi.
59
Trong chu kỳ r, hệ thống chứa
(
thông điệp cũ bị giữ lại trong chu kỳ (r-1)
và ar thông điệp mới vào trong chu kỳ. Vậy, tổng số thông điệp hiện có của hệ thống
vào cuối chu kỳ r là
(
. Vậy, xác suất để một thông điệp
(
là một
thông điệp mới (
(
(
)
, và xác suất để một thông điệp
(
là một thông
điệp cũ của hệ thống (
(
(
)
(
. Xác suất để thông điệp
(
là thông
điệp mới của chu kỳ r và là của người sử dụng si gửi được tính theo công thức sau:
( (
(
)
(
(
)
|
(
|
(4-1)
Trong trường hợp điệp
(
là thông điệp cũ, có nghĩa là thông điệp này phải vào
hệ thống trong một chu kỳ k < r, và được giữ lại trong hệ thống từ chu kỳ k đến chu
kỳ r đang xét rồi được chọn để chuyển ra ngoài hệ thống trong chu kỳ r. Như vậy,
xác suất để người sử dụng si gửi thông điệp
(
trong chu kỳ k < r được tính theo
công thức sau:
( (
( )
(
( )
|
( |
(∏
(
)
(
|
(
|
(∏
(
)
(4-2)
Từ công thức (4-1) và (4-2), ta có công thức tổng quát tính xác suất thông điệp
(
được gửi bởi người sử dụng si như sau:
( (
( ) )
|
(
|
∑
|
(
|
(∏
(
)
(4-3)
Đây chính là công thức được trình bày trong phần 3.4.2.
60
4.1.2 Phân tích tính an toàn của hệ thống
Mô hình hệ thống được đề xuất trong luận văn này đã thể hiện được tính an toàn
thông qua việc chống lại các kiểu tấn công trong mô hình tấn công GAA.
4.1.2.1 Tấn công từ chối dịch vụ
Tấn công từ chối dịch vụ (Denial-of-Service Attacks) nhằm mục đích làm cho hệ
thống bị tấn công không thể nào hoạt động (theo nghĩa bị tê liệt). Có nghĩa là thông
điệp yêu cầu sẽ đến liên tục, nhưng thông điệp ra thì không có. Để thực hiện cách tấn
công này, kẻ tấn công dễ dàng làm cho hệ thống bảo vệ phải gửi quá nhiều thông điệp
yêu cầu đến nhà cung cấp dịch vụ LBS, gián tiếp làm cho dịch vụ LBS bị tê liệt.
Phương pháp thực hiện tấn công là kẻ tấn công gửi đến hệ thống các thông điệp x
có giá trị tính chất che giấu vị trí thông tin (x) cực kỳ cao (gần bằng 1 chẳng hạn);
như vậy, thông điệp x chỉ chấp nhận đi ra khỏi hệ thống khi và chỉ khi xác suất bị kẻ
tấn công phát hiện phải nhỏ hơn 1-(x) (tức là xấp xỉ bằng 0). Điều này khó có thể
xảy ra. Trong khi đó, hệ thống có bất kỳ một thông điệp không thỏa tính chất che giấu
vị trí thông tin của thông điệp thì toàn hệ thống sẽ không có thông điệp nào được
chọn để chuyển tiếp đến nhà cung cấp dịch vụ LBS.
Như vậy, để chống lại tấn công DoS Attacks, luận văn đề nghị sử dụng bổ sung
tham số ngưỡng cận trên max ( ) đối với giá trị thuộc tính che giấu
thông tin vị trí (x) của từng thông điệp yêu cầu x. Bất kỳ thông điệp đến x nào có
( thì ( .
4.1.2.2 Tấn công bằng cách đánh dấu thông điệp
Tấn công bằng cách đánh dấu thông điệp (Tagging-Attacks) là kiểu tấn công chèn
thêm một số nội dung đánh dấu vào trong nội dung thông điệp yêu cầu trong quá
trình gửi thông điệp từ người sử dụng đến hệ thống bảo vệ. Từ đó, khi thông điệp
chuyển ra khỏi hệ thống thì sẽ dễ dàng nhận ra được đâu là thông điệp ban đầu.
Tuy nhiên, nhờ sử dụng kênh truyền an toàn, tất cả thông điệp truyền nhận giữa
người sử dụng dịch vụ và hệ thống RBLA2 đều được mã hóa. Các thông điệp mã hóa
61
gửi từ người sử dụng dịch vụ thì chỉ có hệ thống RBLA2 mới giải mã được và kiểm
tra tính toàn vẹn của thông điệp. Do đó, nếu kẻ tấn công có làm thay đổi dữ liệu trong
thông điệp đã mã hóa trong quá trình truyền, thì hệ thống RBLA2 sẽ phát hiện việc
thay đổi này và thông điệp đó sẽ bị loại khỏi hệ thống vì tính an toàn của hệ thống.
Như vậy, việc sử dụng kênh truyền an toàn giữa người sử dụng dịch vụ và hệ
thống bảo vệ đã chống lại tấn công Tagging-Attack, giúp bảo vệ tính nặc danh của
thông điệp trong quá trình gửi.
4.1.2.3 Tấn công bằng cách trì hoãn thông điệp
Để tránh tình huống kẻ tấn công lợi dụng kỹ thuật trì hoãn thông điệp x (Delay
Message Attacks) vào hệ thống RBLA2 nhằm phục vụ cho việc xác định đâu là thông
điệp x khi ra khỏi hệ thống, luận văn đề nghị sử dụng kỹ thuật gắn nhãn thời gian kèm
theo thông điệp gửi và sử dụng 2 tham số về thời gian chờ tối đa được tính từ khi
thông điệp (thông điệp yêu cầu / thông điệp phản hồi) được gửi đến khi thông điệp
được nhận (request và request) để quyết định có chấp nhận xử lý hay loại bỏ thông điệp
do nghi ngờ bị tấn công trì hoãn thông điệp.
Gọi t1 là thời gian trên nhãn thời gian của thông điệp x (được gán khi thông điệp x
bắt đầu gửi đi), t2 là thời gian thông điệp x gửi đến phía bên nhận. Vậy, nếu
hoặc nếu thì thông điệp x sẽ bị loại bỏ.
4.1.2.4 Tấn công bằng cách loại bỏ thông điệp
Cũng giống như tấn công bằng cách đánh dấu thông điệp (4.1.2.2), kẻ tấn công có
đầy đủ khả năng để thực hiện tấn công loại bỏ bất kỳ thông điệp nào truyền nhận giữa
người gửi và hệ thống RBLA2 hoặc giữa hệ thống RBLA2 với nhà cung cấp dịch vụ
LBS (Dropping Message Attacks). Tuy nhiên, kẻ tấn công không hề khai thác được
thông tin vị trí của một người sử dụng cụ thể nào.
62
4.1.2.5 Tấn công bằng cách cô lập thông điệp
Tấn công bằng cách cô lập thông điệp (Blending Attacks) là loại tấn công “nhồi”
các thông điệp giả của kẻ tấn công vào trong hàng đợi chung với thông điệp y mà cần
theo dõi, làm cô lập thông điệp y. Từ đó, khi hết chu kỳ xử lý, hệ thống đẩy các thông
điệp ra khỏi hệ thống thì kẻ tấn công dễ dàng phát hiện đâu là thông điệp y trong các
thông điệp được chuyển ra hệ thống.
Do hệ thống RBLA2 được xây dựng trên nền của hệ thống bảo vệ định danh nhị
thức, vì vậy, tính hiệu quả của RBLA2 làm giảm khả năng của tấn công cô lập thông
điệp đã được chứng minh trong bài báo [24]. Kẻ tấn công không thể làm trống hàng
đợi của một hệ thống bảo vệ định danh nhị thức đang chứa các thông điệp hợp lệ
trong 1 chu kỳ xử lý. Với chiến lược xử lý theo lô, hệ thống bảo vệ định danh nhị
thức đã làm tăng chi phí của kiểu tấn công này bởi vì kẻ tấn công phải luôn thực hiện
ý đồ đẩy toàn bộ thông điệp hợp lệ ra khỏi hệ thống, rồi cho thông điệp đang theo dõi
y vào hệ thống, sau đó lại thực hiện ý đồ đẩy toàn bộ thông điệp ra khỏi hệ thống lần
nữa cho đến khi thông điệp cần theo dõi y được đẩy ra khỏi hệ thống.
Do thời gian thực hiện cuộc tấn công cô lập thông điệp này kéo khá dài, vì vậy, hệ
thống RBLA có thể sử dụng nhãn thời gian gán trên mỗi thông điệp yêu cầu để tính
toán và quyết định xem thông điệp yêu cầu đó có vượt quá thời gian gửi thông điệp
tối đa hay không và loại bỏ nếu vượt qua. Đối với thông điệp phản hồi kết quả,
RBLA có thể sử dụng nhãn thời gian của thông điệp yêu cầu (tương ứng với thông
điệp kết quả này) được lưu trên nhật ký dữ liệu của RBLA2 để xác định thời gian gửi
thông điệp và thực hiện các xử lý hợp lý.
4.1.3 Phân tích tính chất thời gian thực của hệ thống
Một trong các vấn đề thường được đặt ra và quan tâm nhiều đối với hệ thống bảo
vệ tính riêng tư là tính chất che giấu thông tin vị trí của một thông điệp (thông điệp
yêu cầu / thông điệp phản hồi) có thể được đáp ứng và thỏa tính chất che giấu tại
cùng chu kỳ mà thông điệp đó vào hệ thống không? Điều này có nghĩ là vào cuối bất
63
kỳ một chu kỳ r nào thì tất cả thông điệp trong hàng đợi đều sẵn sàng để được chọn
chuyển ra khỏi hệ thống RBLA2.
Với thông điệp
(
x được gửi vào hệ thống RBLA2 tại chu kỳ thứ r, thì xác suất
để thông điệp này được chuyển ra khỏi hệ thống trong chu kỳ thứ (r + delay) với
được tính bởi công thức (4-4) sau :
(
(
) {
(
( )∏ ( (
(4-4)
Trong đó, hàm mix g có thể là grequest hoặc gresponse tùy vào hướng đi vào hệ thống
của thông điệp; br là tập các thông điệp được chọn để chuyển đi trong chu kỳ r,
Hình 4-1: Xác suất để một thông điệp được gửi đi sau k chu kỳ bị trì hoãn
Mối quan hệ giữa xác suất để một thông điệp được chuyển khỏi hệ thống RBLA2
với số lượng chu kỳ mà thông điệp đã phải chờ đợi (nếu có) trong 3 trường hợp khác
nhau được mô tả thông qua biểu đồ ở Hình 4-1. Trong ví dụ này, giả sử xác suất để
một thông điệp yêu cầu được chọn thể hiện qua giá trị của hàm mix g(n) là giá trị
hằng 0.2, 0.5, 0.8. Vậy số lượng thông điệp bị giữ lại trong hệ thống trong chu kỳ k
0
0.1
0.2
0.3
0.4
0.5
0.6
0.7
0.8
0.9
1
0 1 2 3 4 5 6 7 8 9 10
X
á
c
su
ấ
t
th
ô
n
g
đ
iệ
p
đ
ư
ợ
c
ch
ọ
n
đ
ể
g
ử
i
đ
i
Số chu kỳ k bị trì hoãn
g(n)=0.2
g(n)=0.5
g(n)=0.8
64
đang xét sẽ là
(
( với nk là số lượng thông điệp có trong hệ thống. Chi
tiết giá trị xác suất của thông điệp x ở các chu kỳ (nếu có bị giữ lại ở chu kỳ truớc)
được thể hiện qua.
Bảng 4-1: Xác suất một thông điệp x được chọn ứng với giá trị chọn của hàm g(n)
Chu kỳ g(n)=0.2 g(n)=0.5 g(n)=0.8
0 0.2 0.5 0.8
1 0.16 0.25 0.16
2 0.128 0.125 0.032
3 0.1024 0.0625 0.0064
4 0.08192 0.03125 0.00128
5 0.065536 0.015625 0.000256
6 0.0524288 0.0078125 0.00005119
7 0.04194304 0.00390625 0.00001024
8 0.033554432 0.00195313 0.000002048
9 0.026843546 0.00097656 0.0000004096
10 0.021474836 0.00048828 0.0000000819
Nói cách khác, trong vòng một vài chu kỳ đầu, xác suất để tất cả các thông điệp
được chọn để gửi ra ngoài hệ thống là rất cao. Điều này thể hiện qua đồ thị Hình 4-2.
Hình 4-2: Xác suất 1 thông điệp được gửi đi không muộn hơn k chu kỳ trì hoãn
0
0.1
0.2
0.3
0.4
0.5
0.6
0.7
0.8
0.9
1
0 1 2 3 4 5 6 7 8 9 10
X
á
c
su
ấ
t
th
ô
n
g
đ
iệ
p
đ
ư
ợ
c
ch
ọ
n
đ
ể
g
ử
i
đ
i
Số lượng k chu kỳ bị trì hoãn
g(n)=0.2
g(n)=0.5
g(n)=0.8
65
4.1.4 Vấn đề cân đối giữa tính chất che giấu thông tin vị trí với số
lượng thông điệp giả được phát sinh
Hình 4-3: Biểu đồ cân đối giữa ngưỡng riêng tư với số lượng thông điệp giả
Trong bài toán bảo vệ tính riêng tư cho người sử dụng các dịch vụ có sử dụng vị
trí LBS, tham số giá trị tính chất che giấu thông tin vị trí (ngưỡng riêng tư) và tham
số về số lượng thông điệp giả phải phát sinh là 2 tham số đối ngược nhau và cần có sự
cân đối để đạt hiệu quả cao nhất. Việc cân đối giữa 2 tham số trên được mô tả trong
ví dụ thông qua biểu đồ ở Hình 4-3. Trong ví dụ này, một người sử dụng dịch vụ LBS
sk gởi duy nhất 1 thông điệp yêu cầu đến hệ thống bảo vệ trong chu kỳ thứ r của hệ
thống và giả sử trong các chu kỳ trước, người này không gởi bất kỳ thông điệp yêu
cầu dịch vụ nào. Vào cuối chu kỳ r, hệ thống có tổng cộng nr thông điệp trong hàng
đợi. Trong ví dụ này, chúng ta xét 4 tình huống với nr lần lượt mang các giá trị 1, 5,
10, 20. Số liệu về số lượng thông điệp giả cần phải phát sinh tương ứng với các mức
độ ngưỡng riêng tư mà người sử dụng mong muốn được thể hiện qua số liệu ở Bảng
4-2.
0
10
20
30
40
50
60
70
80
90
100
0.64 0.69 0.74 0.79 0.84 0.89 0.94 0.99
S
ố
l
ư
ợ
n
g
t
h
ô
n
g
đ
iệ
p
g
iả
p
h
ả
i
p
h
á
t
s
in
h
Ngưỡng riêng tư thấp Ngưỡng riêng tư cao
Ngưỡng riêng tư cho một thông điệp
n=1
n=5
n=10
n=20
66
Bảng 4-2: Bảng số liệu tương quan giữa nr, LHP, số lượng thông điệp giả phát sinh
Trong chu kỳ r, người gửi s chỉ gửi duy nhất 1 thông điệp
Người gửi s không gửi thông điệp yêu cầu dịch vụ trong các chu kỳ trước (r-i) (i>0)
nr : Số thông điệp có trong hệ thống tại chu kỳ r đang xét
nr LHP Dummy
nr LHP Dummy
nr LHP Dummy
nr LHP Dummy
1 0.99 99
5 0.99 95
10 0.99 90
20 0.99 80
1 0.98 49
5 0.98 45
10 0.98 40
20 0.98 30
1 0.96 24
5 0.96 20
10 0.96 15
20 0.96 5
1 0.94 16
5 0.94 12
10 0.94 7
20 0.94 0
1 0.92 12
5 0.92 8
10 0.92 3
20 0.92 0
1 0.90 9
5 0.90 5
10 0.90 1
20 0.90 0
1 0.88 8
5 0.88 4
10 0.88 0
20 0.88 0
1 0.86 7
5 0.86 3
10 0.86 0
20 0.86 0
1 0.84 6
5 0.84 2
10 0.84 0
20 0.84 0
1 0.82 5
5 0.82 1
10 0.82 0
20 0.82 0
1 0.80 4
5 0.80 1
10 0.80 0
20 0.80 0
1 0.78 4
5 0.78 0
10 0.78 0
20 0.78 0
1 0.76 4
5 0.76 0
10 0.76 0
20 0.76 0
1 0.74 3
5 0.74 0
10 0.74 0
20 0.74 0
1 0.72 3
5 0.72 0
10 0.72 0
20 0.72 0
1 0.70 3
5 0.70 0
10 0.70 0
20 0.70 0
1 0.68 3
5 0.68 0
10 0.68 0
20 0.68 0
1 0.66 2
5 0.66 0
10 0.66 0
20 0.66 0
1 0.64 2
5 0.64 0
10 0.64 0
20 0.64 0
Qua biểu đồ Hình 4-3 và chi tiết số liệu tương ứng ở Bảng 4-2, giá trị tính chất
che giấu thông tin vị trí càng cao thì càng phải phát sinh càng nhiều thông điệp giả
tương ứng để các thông điệp trong hàng đợi đều thỏa được tính chất che giấu. Giá trị
tính chất che giấu thông tin vị trí càng tiến gần 1 thì số lượng thông điệp giả phải phát
sinh tăng càng nhanh. Tuy nhiên, khi giá trị che giấu này giảm nhẹ thì số lượng
thông điệp giả cần phát sinh lại giảm mạnh. Điều này cho thấy, hệ thống chỉ cần phát
sinh một lượng thông điệp giả không cao lắm, nhưng lại đạt được tính chất che giấu
thông tin vị trí cao. Ngoài ra, càng nhiều thông điệp có sẵn trong hệ thống thì số
lượng thông điệp giả phát sinh thêm càng ít. Bảng số liệu còn mô tả tính chất này
trong trường hợp lưu lượng mạng thấp (chỉ có 1 người sử dụng). Với bảng số liệu này,
hệ thống bảo vệ chỉ cần chọn ngưỡng max hợp lý là có thể vừa đáp ứng được nhu cầu
bảo vệ tính riêng tư trên thông điệp yêu cầu, vừa đảm bảo hiệu năng của hệ thống.
67
4.2 Phân tích trên một số kết quả trong quá trình mô phỏng
Để minh họa rõ hơn những phân tích và đánh giá về mô hình hệ thống bảo vệ tính
riêng tư cho người sử dụng dịch vụ LBS đã trình bày ở phần 4.1, luận văn cũng xây
dựng một công cụ mô phỏng lại quá trình hoạt động của hệ thống, từ đó minh họa và
phân tích, xem xét trên một số tình huống cụ thể.
4.2.1 Điều kiện thực hiện mô phỏng
Tất cả các mô phỏng trong phần này được thực hiện trên laptop Compaq có cấu
hình như sau: CPU AMD Athlon Dual-Core QL-60 1.90 GHz, 2GB DDR2, chạy trên
hệ điều hành Windows 7 Profressional 32bit.
Kịch bản cho một mô phỏng:
Cho phát sinh N người sử dụng dịch vụ LBS, mỗi người sử dụng sẽ gửi từ
1-2 thông điệp yêu cầu dịch vụ đến hệ thống bảo vệ sau một khoảng thời
gian UserInterval. Các thông điệp của cùng một người gửi sẽ có giá trị về
tính chất che giấu thông tin vị trí (ngưỡng riêng tư) là như nhau (trong
khoảng từ 0.1 đến 0.99). Danh sách N người sử dụng này sẽ được lưu dưới
dạng tập tin mô tả để sử dụng cho lần mô phỏng kế tiếp.
Từ khi bắt đầu chạy mô phỏng, sau 1-3 giây (tùy trường hợp chọn), hệ
thống mô phỏng sẽ chọn ra k người sử dụng (k < N) để gửi thông điệp vào
hệ thống bảo vệ. Việc chọn k này tuân theo phân phối Gaussian với =0.3
và =0.1 trên 10% tổng số người đang sử dụng trong thử nghiệm.
Hệ thống bảo vệ có giá trị các tham số như sau:
o Ngưỡng cận trên cho giá trị che giấu thông tin về vị trí là 0.8
o Số lượng thông điệp giả phải phát sinh tối đa (nếu trong hàng đợi
của chu kỳ không có thông điệp giả nào) : 3 thông điệp
o Thời gian chờ cho mỗi chu kỳ xử lý là 5 giây (kể từ khi chu kỳ
trước đó kết thúc).
o Giá trị hàm Mix để xác định xác suất chọn cho mỗi thông điệp được
thiết lập dựa vào 2 cách (tùy vào tình huống mô phỏng): Contant
68
(Lấy giá trị hằng) và From File (lấy giá trị ngẫu nhiên tùy vào tổng
số thông điệp có trong hàng đợi của hệ thống).
o Kết quả chạy thử nghiệm sẽ được ghi nhật ký xuốt 3 file:
DumpMessage.txt: Ghi nhận thông tin của thông điệp khi
được đưa vào hàng đợi và khi đưa ra khỏi hàng hệ thống bảo
vệ: Thời gian, chu kỳ, LHP.
DumpRequestPool.txt, DumpResponsePool.txt: Ghi nhận lại
quá trình xử lý của từng chu kỳ, bao gồm tổng số thông điệp
trong chu kỳ đang xét, số lượng thông điệp giả, …
o Sau quá trình chạy mô phỏng, kết quả từ 3 file DumpMessage.txt,
DumpRequestPool.txt, DumpResponsePool.txt sẽ được phân tích và
thông kê ghi ra 2 file:
OutDumpMessage.txt: Thống kê thời gian trong chu kỳ, bao
nhiêu chu kỳ phải ở lại, … của các thông điệp.
OutDumpRound.text: Thống kê các thông tin về các chu kỳ
Mỗi kịch bản mô phỏng sẽ chạy 5 lần với các tham số cố định như nhau.
Luận văn thực hiện 12 mô phỏng với 2 tham số: Số người sử dụng hệ thống (N)
và giá trị hàm g(n)
N = 10, 100, 1000
g(n) = 0.2, 0.5, 0.8, Random (lấy từ file tùy vào giá trị tổng số thông điệp
trong chu kỳ đang xét n)
4.2.2 Khảo sát tính chất chọn thông điệp vào cuối mỗi chu kỳ
Vào cuối mỗi chu kỳ xử lý, thông điệp sẽ được chọn một cách độc lập thông qua
giá trị xác suất chọn được tính bởi hàm mix g(n). Cho công cụ mô phỏng tính toán số
lượng thông điệp được chọn một cách độc lập trong 1 chu kỳ ứng với các giá trị của
hàm g(n) thay đổi theo tổng số thông điệp n hiện có của hệ thống, ta được đồ thị sau:
69
Hình 4-4: Đồ thị phần trăm thông điệp được chọn ứng với giá trị g(n)
Đồ thị Hình 4-4 cho thấy, trong một chu kỳ, với giá trị hàm g(n) cố định thì phần
trăm thông điệp được chọn không cố định mà tùy thuộc vào tổng số thông điệp của hệ
thống. Nghĩa là, nếu g(n)=0.1, có nghĩa là xác suất chọn cho thông điệp là 10%, thay
vì n=100, tổng số thông điệp chọn là 10 thông điệp, nhưng do mỗi thông điệp được
chọn độc lập nhau, với xác suất 10%, vì vậy, tổng số thông điệp được chọn thật sự có
thể là 11%, 9%, … Tuy nhiên, % giá trị tổng này sẽ lân cận với giá trị của g(n).
Với tính chất biến thiên của việc chọn thông điệp để đẩy ra hệ thống, dù kẻ tấn
công có suy đoán được giá trị tổng n cũng như biết được giá trị của hàm g(n) thì cũng
khó suy luận được giá trị số lượng thông điệp được chọn một cách chính xác.
4.2.3 Khảo sát thí nghiệm 1
Thí nghiệm này nhằm khảo sát sự thay đổi của các giá trị kết quả về thời gian của
thông điệp duy trì trong hệ thống, số lượng thông điệp giả cần phát sinh và số lượng
chu kỳ mà các thông điệp bị giữ lại trong các lần thử nghiệm khác nhau với cùng một
bộ tham số.
0.0%
10.0%
20.0%
30.0%
40.0%
50.0%
60.0%
70.0%
80.0%
90.0%
100.0%
0 200 400 600 800 1000
P
h
ầ
n
t
ră
m
t
h
ô
n
g
đ
iệ
p
đ
ư
ợ
c
ch
ọ
n
đ
ể
g
ử
i
Tổng số thông điệp n trong hệ thống của chu kỳ đang xét
g(n)=0.95
g(n)=0.9
g(n)=0.8
g(n)=0.7
g(n)=0.6
g(n)=0.5
g(n)=0.4
g(n)=0.3
g(n)=0.2
g(n)=0.1
70
Tham số kịch bản được mô tả trong phần 4.2.1 với số lượng người sử dụng hệ
thống là N=100, và hàm mix g(n)=0.5, số lần mô phỏng cùng tham số: 5 lần. Sau đây
là một số kết quả sau khi chạy mô phỏng.
Bảng 4-3: Thời gian trung bình của 1 thông điệp trong hệ thống (N=100, g(n)=0.5)
Thời gian trung bình (s)
Trong
TLArequest
Trong
TLAresponse
Trong hệ
thống
Lần 1 9.09 9.72 18.81
Lần 2 8.33 7.90 16.22
Lần 3 9.26 10.77 20.03
Lần 4 8.83 8.05 16.89
Lần 5 7.73 8.18 15.91
Trung bình 8.65 8.92 17.57
Bảng 4-4: Thời gian Max, Min của thông điệp trong hệ thống (N=100, g(n