Đánh giá kỹ thuật bảo vệ tính riêng tư và ứng dụng trong dịch vụ điện tử

58 Chương 4 Phân tích và đánh giá Tóm tắt chương:  Nội dung của Chương 4 trình bày các kết quả phân tích, đánh giá hệ thống đã đề xuất trong Chương 3 về mặt lý thuyết và phân tích một số kết quả cho một số trường hợp mô phỏng cụ thể.  Phân tích tính an toàn của hệ thống  Phân tích tính chất thời gian thực mà hệ thống có thể đáp ứng được  Phân tích vấn đề cân đối giữa việc bảo vệ tính riêng tư về vị trí cho người sử dụng hệ thống với hiệu suất của hệ thống. 4.1 Phân tích và đánh giá về mặt lý thuyết 4.1.1 Công thức tính xác suất P(S(x)=sk) Cơ sở lý thuyết để tính toán xác suất một thông điệp x được người sử dụng si gửi trong chu kỳ r và cơ sở tính toán số lượng thông điệp giả phải phát sinh vào cuối mỗi chu kỳ hoàn toàn dựa vào công thức (3-1) trong phần 3.4.2. Vì vậy, công thức (3-1) được chứng minh trong công trình [24] được trình bày tóm tắt lại trong phần này. Gọi ( { ( } là tập các thông điệp yêu cầu được gửi đến hệ thống trong chu kỳ thứ r; trong đó, S là tập các người sử dụng dịch vụ. ( là tập các thông điệp của người sử dụng si gửi trong chu kỳ r. Như vậy ( ⋃ ( . Gọi ( ( ( ) ) là xác suất kẻ tấn công xác định thông điệp ( ra khỏi hệ thống trong chu kỳ thứ r là do người sử dụng si gửi. 59 Trong chu kỳ r, hệ thống chứa ( thông điệp cũ bị giữ lại trong chu kỳ (r-1) và ar thông điệp mới vào trong chu kỳ. Vậy, tổng số thông điệp hiện có của hệ thống vào cuối chu kỳ r là ( . Vậy, xác suất để một thông điệp ( là một thông điệp mới ( ( ( ) , và xác suất để một thông điệp ( là một thông điệp cũ của hệ thống ( ( ( ) ( . Xác suất để thông điệp ( là thông điệp mới của chu kỳ r và là của người sử dụng si gửi được tính theo công thức sau: ( ( ( ) ( ( ) | ( | (4-1) Trong trường hợp điệp ( là thông điệp cũ, có nghĩa là thông điệp này phải vào hệ thống trong một chu kỳ k < r, và được giữ lại trong hệ thống từ chu kỳ k đến chu kỳ r đang xét rồi được chọn để chuyển ra ngoài hệ thống trong chu kỳ r. Như vậy, xác suất để người sử dụng si gửi thông điệp ( trong chu kỳ k < r được tính theo công thức sau: ( ( ( ) ( ( ) | ( | (∏ ( ) ( | ( | (∏ ( ) (4-2) Từ công thức (4-1) và (4-2), ta có công thức tổng quát tính xác suất thông điệp ( được gửi bởi người sử dụng si như sau: ( ( ( ) ) | ( | ∑ | ( | (∏ ( ) (4-3) Đây chính là công thức được trình bày trong phần 3.4.2. 60 4.1.2 Phân tích tính an toàn của hệ thống Mô hình hệ thống được đề xuất trong luận văn này đã thể hiện được tính an toàn thông qua việc chống lại các kiểu tấn công trong mô hình tấn công GAA. 4.1.2.1 Tấn công từ chối dịch vụ Tấn công từ chối dịch vụ (Denial-of-Service Attacks) nhằm mục đích làm cho hệ thống bị tấn công không thể nào hoạt động (theo nghĩa bị tê liệt). Có nghĩa là thông điệp yêu cầu sẽ đến liên tục, nhưng thông điệp ra thì không có. Để thực hiện cách tấn công này, kẻ tấn công dễ dàng làm cho hệ thống bảo vệ phải gửi quá nhiều thông điệp yêu cầu đến nhà cung cấp dịch vụ LBS, gián tiếp làm cho dịch vụ LBS bị tê liệt. Phương pháp thực hiện tấn công là kẻ tấn công gửi đến hệ thống các thông điệp x có giá trị tính chất che giấu vị trí thông tin (x) cực kỳ cao (gần bằng 1 chẳng hạn); như vậy, thông điệp x chỉ chấp nhận đi ra khỏi hệ thống khi và chỉ khi xác suất bị kẻ tấn công phát hiện phải nhỏ hơn 1-(x) (tức là xấp xỉ bằng 0). Điều này khó có thể xảy ra. Trong khi đó, hệ thống có bất kỳ một thông điệp không thỏa tính chất che giấu vị trí thông tin của thông điệp thì toàn hệ thống sẽ không có thông điệp nào được chọn để chuyển tiếp đến nhà cung cấp dịch vụ LBS. Như vậy, để chống lại tấn công DoS Attacks, luận văn đề nghị sử dụng bổ sung tham số ngưỡng cận trên max ( ) đối với giá trị thuộc tính che giấu thông tin vị trí (x) của từng thông điệp yêu cầu x. Bất kỳ thông điệp đến x nào có ( thì ( . 4.1.2.2 Tấn công bằng cách đánh dấu thông điệp Tấn công bằng cách đánh dấu thông điệp (Tagging-Attacks) là kiểu tấn công chèn thêm một số nội dung đánh dấu vào trong nội dung thông điệp yêu cầu trong quá trình gửi thông điệp từ người sử dụng đến hệ thống bảo vệ. Từ đó, khi thông điệp chuyển ra khỏi hệ thống thì sẽ dễ dàng nhận ra được đâu là thông điệp ban đầu. Tuy nhiên, nhờ sử dụng kênh truyền an toàn, tất cả thông điệp truyền nhận giữa người sử dụng dịch vụ và hệ thống RBLA2 đều được mã hóa. Các thông điệp mã hóa 61 gửi từ người sử dụng dịch vụ thì chỉ có hệ thống RBLA2 mới giải mã được và kiểm tra tính toàn vẹn của thông điệp. Do đó, nếu kẻ tấn công có làm thay đổi dữ liệu trong thông điệp đã mã hóa trong quá trình truyền, thì hệ thống RBLA2 sẽ phát hiện việc thay đổi này và thông điệp đó sẽ bị loại khỏi hệ thống vì tính an toàn của hệ thống. Như vậy, việc sử dụng kênh truyền an toàn giữa người sử dụng dịch vụ và hệ thống bảo vệ đã chống lại tấn công Tagging-Attack, giúp bảo vệ tính nặc danh của thông điệp trong quá trình gửi. 4.1.2.3 Tấn công bằng cách trì hoãn thông điệp Để tránh tình huống kẻ tấn công lợi dụng kỹ thuật trì hoãn thông điệp x (Delay Message Attacks) vào hệ thống RBLA2 nhằm phục vụ cho việc xác định đâu là thông điệp x khi ra khỏi hệ thống, luận văn đề nghị sử dụng kỹ thuật gắn nhãn thời gian kèm theo thông điệp gửi và sử dụng 2 tham số về thời gian chờ tối đa được tính từ khi thông điệp (thông điệp yêu cầu / thông điệp phản hồi) được gửi đến khi thông điệp được nhận (request và request) để quyết định có chấp nhận xử lý hay loại bỏ thông điệp do nghi ngờ bị tấn công trì hoãn thông điệp. Gọi t1 là thời gian trên nhãn thời gian của thông điệp x (được gán khi thông điệp x bắt đầu gửi đi), t2 là thời gian thông điệp x gửi đến phía bên nhận. Vậy, nếu hoặc nếu thì thông điệp x sẽ bị loại bỏ. 4.1.2.4 Tấn công bằng cách loại bỏ thông điệp Cũng giống như tấn công bằng cách đánh dấu thông điệp (4.1.2.2), kẻ tấn công có đầy đủ khả năng để thực hiện tấn công loại bỏ bất kỳ thông điệp nào truyền nhận giữa người gửi và hệ thống RBLA2 hoặc giữa hệ thống RBLA2 với nhà cung cấp dịch vụ LBS (Dropping Message Attacks). Tuy nhiên, kẻ tấn công không hề khai thác được thông tin vị trí của một người sử dụng cụ thể nào. 62 4.1.2.5 Tấn công bằng cách cô lập thông điệp Tấn công bằng cách cô lập thông điệp (Blending Attacks) là loại tấn công “nhồi” các thông điệp giả của kẻ tấn công vào trong hàng đợi chung với thông điệp y mà cần theo dõi, làm cô lập thông điệp y. Từ đó, khi hết chu kỳ xử lý, hệ thống đẩy các thông điệp ra khỏi hệ thống thì kẻ tấn công dễ dàng phát hiện đâu là thông điệp y trong các thông điệp được chuyển ra hệ thống. Do hệ thống RBLA2 được xây dựng trên nền của hệ thống bảo vệ định danh nhị thức, vì vậy, tính hiệu quả của RBLA2 làm giảm khả năng của tấn công cô lập thông điệp đã được chứng minh trong bài báo [24]. Kẻ tấn công không thể làm trống hàng đợi của một hệ thống bảo vệ định danh nhị thức đang chứa các thông điệp hợp lệ trong 1 chu kỳ xử lý. Với chiến lược xử lý theo lô, hệ thống bảo vệ định danh nhị thức đã làm tăng chi phí của kiểu tấn công này bởi vì kẻ tấn công phải luôn thực hiện ý đồ đẩy toàn bộ thông điệp hợp lệ ra khỏi hệ thống, rồi cho thông điệp đang theo dõi y vào hệ thống, sau đó lại thực hiện ý đồ đẩy toàn bộ thông điệp ra khỏi hệ thống lần nữa cho đến khi thông điệp cần theo dõi y được đẩy ra khỏi hệ thống. Do thời gian thực hiện cuộc tấn công cô lập thông điệp này kéo khá dài, vì vậy, hệ thống RBLA có thể sử dụng nhãn thời gian gán trên mỗi thông điệp yêu cầu để tính toán và quyết định xem thông điệp yêu cầu đó có vượt quá thời gian gửi thông điệp tối đa hay không và loại bỏ nếu vượt qua. Đối với thông điệp phản hồi kết quả, RBLA có thể sử dụng nhãn thời gian của thông điệp yêu cầu (tương ứng với thông điệp kết quả này) được lưu trên nhật ký dữ liệu của RBLA2 để xác định thời gian gửi thông điệp và thực hiện các xử lý hợp lý. 4.1.3 Phân tích tính chất thời gian thực của hệ thống Một trong các vấn đề thường được đặt ra và quan tâm nhiều đối với hệ thống bảo vệ tính riêng tư là tính chất che giấu thông tin vị trí của một thông điệp (thông điệp yêu cầu / thông điệp phản hồi) có thể được đáp ứng và thỏa tính chất che giấu tại cùng chu kỳ mà thông điệp đó vào hệ thống không? Điều này có nghĩ là vào cuối bất 63 kỳ một chu kỳ r nào thì tất cả thông điệp trong hàng đợi đều sẵn sàng để được chọn chuyển ra khỏi hệ thống RBLA2. Với thông điệp ( x được gửi vào hệ thống RBLA2 tại chu kỳ thứ r, thì xác suất để thông điệp này được chuyển ra khỏi hệ thống trong chu kỳ thứ (r + delay) với được tính bởi công thức (4-4) sau : ( ( ) { ( ( )∏ ( ( (4-4) Trong đó, hàm mix g có thể là grequest hoặc gresponse tùy vào hướng đi vào hệ thống của thông điệp; br là tập các thông điệp được chọn để chuyển đi trong chu kỳ r, Hình 4-1: Xác suất để một thông điệp được gửi đi sau k chu kỳ bị trì hoãn Mối quan hệ giữa xác suất để một thông điệp được chuyển khỏi hệ thống RBLA2 với số lượng chu kỳ mà thông điệp đã phải chờ đợi (nếu có) trong 3 trường hợp khác nhau được mô tả thông qua biểu đồ ở Hình 4-1. Trong ví dụ này, giả sử xác suất để một thông điệp yêu cầu được chọn thể hiện qua giá trị của hàm mix g(n) là giá trị hằng 0.2, 0.5, 0.8. Vậy số lượng thông điệp bị giữ lại trong hệ thống trong chu kỳ k 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 0 1 2 3 4 5 6 7 8 9 10 X á c su ấ t th ô n g đ iệ p đ ư ợ c ch ọ n đ ể g ử i đ i Số chu kỳ k bị trì hoãn g(n)=0.2 g(n)=0.5 g(n)=0.8 64 đang xét sẽ là ( ( với nk là số lượng thông điệp có trong hệ thống. Chi tiết giá trị xác suất của thông điệp x ở các chu kỳ (nếu có bị giữ lại ở chu kỳ truớc) được thể hiện qua. Bảng 4-1: Xác suất một thông điệp x được chọn ứng với giá trị chọn của hàm g(n) Chu kỳ g(n)=0.2 g(n)=0.5 g(n)=0.8 0 0.2 0.5 0.8 1 0.16 0.25 0.16 2 0.128 0.125 0.032 3 0.1024 0.0625 0.0064 4 0.08192 0.03125 0.00128 5 0.065536 0.015625 0.000256 6 0.0524288 0.0078125 0.00005119 7 0.04194304 0.00390625 0.00001024 8 0.033554432 0.00195313 0.000002048 9 0.026843546 0.00097656 0.0000004096 10 0.021474836 0.00048828 0.0000000819 Nói cách khác, trong vòng một vài chu kỳ đầu, xác suất để tất cả các thông điệp được chọn để gửi ra ngoài hệ thống là rất cao. Điều này thể hiện qua đồ thị Hình 4-2. Hình 4-2: Xác suất 1 thông điệp được gửi đi không muộn hơn k chu kỳ trì hoãn 0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 0.8 0.9 1 0 1 2 3 4 5 6 7 8 9 10 X á c su ấ t th ô n g đ iệ p đ ư ợ c ch ọ n đ ể g ử i đ i Số lượng k chu kỳ bị trì hoãn g(n)=0.2 g(n)=0.5 g(n)=0.8 65 4.1.4 Vấn đề cân đối giữa tính chất che giấu thông tin vị trí với số lượng thông điệp giả được phát sinh Hình 4-3: Biểu đồ cân đối giữa ngưỡng riêng tư với số lượng thông điệp giả Trong bài toán bảo vệ tính riêng tư cho người sử dụng các dịch vụ có sử dụng vị trí LBS, tham số giá trị tính chất che giấu thông tin vị trí (ngưỡng riêng tư) và tham số về số lượng thông điệp giả phải phát sinh là 2 tham số đối ngược nhau và cần có sự cân đối để đạt hiệu quả cao nhất. Việc cân đối giữa 2 tham số trên được mô tả trong ví dụ thông qua biểu đồ ở Hình 4-3. Trong ví dụ này, một người sử dụng dịch vụ LBS sk gởi duy nhất 1 thông điệp yêu cầu đến hệ thống bảo vệ trong chu kỳ thứ r của hệ thống và giả sử trong các chu kỳ trước, người này không gởi bất kỳ thông điệp yêu cầu dịch vụ nào. Vào cuối chu kỳ r, hệ thống có tổng cộng nr thông điệp trong hàng đợi. Trong ví dụ này, chúng ta xét 4 tình huống với nr lần lượt mang các giá trị 1, 5, 10, 20. Số liệu về số lượng thông điệp giả cần phải phát sinh tương ứng với các mức độ ngưỡng riêng tư mà người sử dụng mong muốn được thể hiện qua số liệu ở Bảng 4-2. 0 10 20 30 40 50 60 70 80 90 100 0.64 0.69 0.74 0.79 0.84 0.89 0.94 0.99 S ố l ư ợ n g t h ô n g đ iệ p g iả p h ả i p h á t s in h Ngưỡng riêng tư thấp Ngưỡng riêng tư cao Ngưỡng riêng tư cho một thông điệp n=1 n=5 n=10 n=20 66 Bảng 4-2: Bảng số liệu tương quan giữa nr, LHP, số lượng thông điệp giả phát sinh Trong chu kỳ r, người gửi s chỉ gửi duy nhất 1 thông điệp Người gửi s không gửi thông điệp yêu cầu dịch vụ trong các chu kỳ trước (r-i) (i>0) nr : Số thông điệp có trong hệ thống tại chu kỳ r đang xét nr LHP Dummy nr LHP Dummy nr LHP Dummy nr LHP Dummy 1 0.99 99 5 0.99 95 10 0.99 90 20 0.99 80 1 0.98 49 5 0.98 45 10 0.98 40 20 0.98 30 1 0.96 24 5 0.96 20 10 0.96 15 20 0.96 5 1 0.94 16 5 0.94 12 10 0.94 7 20 0.94 0 1 0.92 12 5 0.92 8 10 0.92 3 20 0.92 0 1 0.90 9 5 0.90 5 10 0.90 1 20 0.90 0 1 0.88 8 5 0.88 4 10 0.88 0 20 0.88 0 1 0.86 7 5 0.86 3 10 0.86 0 20 0.86 0 1 0.84 6 5 0.84 2 10 0.84 0 20 0.84 0 1 0.82 5 5 0.82 1 10 0.82 0 20 0.82 0 1 0.80 4 5 0.80 1 10 0.80 0 20 0.80 0 1 0.78 4 5 0.78 0 10 0.78 0 20 0.78 0 1 0.76 4 5 0.76 0 10 0.76 0 20 0.76 0 1 0.74 3 5 0.74 0 10 0.74 0 20 0.74 0 1 0.72 3 5 0.72 0 10 0.72 0 20 0.72 0 1 0.70 3 5 0.70 0 10 0.70 0 20 0.70 0 1 0.68 3 5 0.68 0 10 0.68 0 20 0.68 0 1 0.66 2 5 0.66 0 10 0.66 0 20 0.66 0 1 0.64 2 5 0.64 0 10 0.64 0 20 0.64 0 Qua biểu đồ Hình 4-3 và chi tiết số liệu tương ứng ở Bảng 4-2, giá trị tính chất che giấu thông tin vị trí càng cao thì càng phải phát sinh càng nhiều thông điệp giả tương ứng để các thông điệp trong hàng đợi đều thỏa được tính chất che giấu. Giá trị tính chất che giấu thông tin vị trí càng tiến gần 1 thì số lượng thông điệp giả phải phát sinh tăng càng nhanh. Tuy nhiên, khi giá trị che giấu này giảm nhẹ thì số lượng thông điệp giả cần phát sinh lại giảm mạnh. Điều này cho thấy, hệ thống chỉ cần phát sinh một lượng thông điệp giả không cao lắm, nhưng lại đạt được tính chất che giấu thông tin vị trí cao. Ngoài ra, càng nhiều thông điệp có sẵn trong hệ thống thì số lượng thông điệp giả phát sinh thêm càng ít. Bảng số liệu còn mô tả tính chất này trong trường hợp lưu lượng mạng thấp (chỉ có 1 người sử dụng). Với bảng số liệu này, hệ thống bảo vệ chỉ cần chọn ngưỡng max hợp lý là có thể vừa đáp ứng được nhu cầu bảo vệ tính riêng tư trên thông điệp yêu cầu, vừa đảm bảo hiệu năng của hệ thống. 67 4.2 Phân tích trên một số kết quả trong quá trình mô phỏng Để minh họa rõ hơn những phân tích và đánh giá về mô hình hệ thống bảo vệ tính riêng tư cho người sử dụng dịch vụ LBS đã trình bày ở phần 4.1, luận văn cũng xây dựng một công cụ mô phỏng lại quá trình hoạt động của hệ thống, từ đó minh họa và phân tích, xem xét trên một số tình huống cụ thể. 4.2.1 Điều kiện thực hiện mô phỏng Tất cả các mô phỏng trong phần này được thực hiện trên laptop Compaq có cấu hình như sau: CPU AMD Athlon Dual-Core QL-60 1.90 GHz, 2GB DDR2, chạy trên hệ điều hành Windows 7 Profressional 32bit. Kịch bản cho một mô phỏng:  Cho phát sinh N người sử dụng dịch vụ LBS, mỗi người sử dụng sẽ gửi từ 1-2 thông điệp yêu cầu dịch vụ đến hệ thống bảo vệ sau một khoảng thời gian UserInterval. Các thông điệp của cùng một người gửi sẽ có giá trị về tính chất che giấu thông tin vị trí (ngưỡng riêng tư) là như nhau (trong khoảng từ 0.1 đến 0.99). Danh sách N người sử dụng này sẽ được lưu dưới dạng tập tin mô tả để sử dụng cho lần mô phỏng kế tiếp.  Từ khi bắt đầu chạy mô phỏng, sau 1-3 giây (tùy trường hợp chọn), hệ thống mô phỏng sẽ chọn ra k người sử dụng (k < N) để gửi thông điệp vào hệ thống bảo vệ. Việc chọn k này tuân theo phân phối Gaussian với =0.3 và =0.1 trên 10% tổng số người đang sử dụng trong thử nghiệm.  Hệ thống bảo vệ có giá trị các tham số như sau: o Ngưỡng cận trên cho giá trị che giấu thông tin về vị trí là 0.8 o Số lượng thông điệp giả phải phát sinh tối đa (nếu trong hàng đợi của chu kỳ không có thông điệp giả nào) : 3 thông điệp o Thời gian chờ cho mỗi chu kỳ xử lý là 5 giây (kể từ khi chu kỳ trước đó kết thúc). o Giá trị hàm Mix để xác định xác suất chọn cho mỗi thông điệp được thiết lập dựa vào 2 cách (tùy vào tình huống mô phỏng): Contant 68 (Lấy giá trị hằng) và From File (lấy giá trị ngẫu nhiên tùy vào tổng số thông điệp có trong hàng đợi của hệ thống). o Kết quả chạy thử nghiệm sẽ được ghi nhật ký xuốt 3 file:  DumpMessage.txt: Ghi nhận thông tin của thông điệp khi được đưa vào hàng đợi và khi đưa ra khỏi hàng hệ thống bảo vệ: Thời gian, chu kỳ, LHP.  DumpRequestPool.txt, DumpResponsePool.txt: Ghi nhận lại quá trình xử lý của từng chu kỳ, bao gồm tổng số thông điệp trong chu kỳ đang xét, số lượng thông điệp giả, … o Sau quá trình chạy mô phỏng, kết quả từ 3 file DumpMessage.txt, DumpRequestPool.txt, DumpResponsePool.txt sẽ được phân tích và thông kê ghi ra 2 file:  OutDumpMessage.txt: Thống kê thời gian trong chu kỳ, bao nhiêu chu kỳ phải ở lại, … của các thông điệp.  OutDumpRound.text: Thống kê các thông tin về các chu kỳ  Mỗi kịch bản mô phỏng sẽ chạy 5 lần với các tham số cố định như nhau. Luận văn thực hiện 12 mô phỏng với 2 tham số: Số người sử dụng hệ thống (N) và giá trị hàm g(n)  N = 10, 100, 1000  g(n) = 0.2, 0.5, 0.8, Random (lấy từ file tùy vào giá trị tổng số thông điệp trong chu kỳ đang xét n) 4.2.2 Khảo sát tính chất chọn thông điệp vào cuối mỗi chu kỳ Vào cuối mỗi chu kỳ xử lý, thông điệp sẽ được chọn một cách độc lập thông qua giá trị xác suất chọn được tính bởi hàm mix g(n). Cho công cụ mô phỏng tính toán số lượng thông điệp được chọn một cách độc lập trong 1 chu kỳ ứng với các giá trị của hàm g(n) thay đổi theo tổng số thông điệp n hiện có của hệ thống, ta được đồ thị sau: 69 Hình 4-4: Đồ thị phần trăm thông điệp được chọn ứng với giá trị g(n) Đồ thị Hình 4-4 cho thấy, trong một chu kỳ, với giá trị hàm g(n) cố định thì phần trăm thông điệp được chọn không cố định mà tùy thuộc vào tổng số thông điệp của hệ thống. Nghĩa là, nếu g(n)=0.1, có nghĩa là xác suất chọn cho thông điệp là 10%, thay vì n=100, tổng số thông điệp chọn là 10 thông điệp, nhưng do mỗi thông điệp được chọn độc lập nhau, với xác suất 10%, vì vậy, tổng số thông điệp được chọn thật sự có thể là 11%, 9%, … Tuy nhiên, % giá trị tổng này sẽ lân cận với giá trị của g(n). Với tính chất biến thiên của việc chọn thông điệp để đẩy ra hệ thống, dù kẻ tấn công có suy đoán được giá trị tổng n cũng như biết được giá trị của hàm g(n) thì cũng khó suy luận được giá trị số lượng thông điệp được chọn một cách chính xác. 4.2.3 Khảo sát thí nghiệm 1 Thí nghiệm này nhằm khảo sát sự thay đổi của các giá trị kết quả về thời gian của thông điệp duy trì trong hệ thống, số lượng thông điệp giả cần phát sinh và số lượng chu kỳ mà các thông điệp bị giữ lại trong các lần thử nghiệm khác nhau với cùng một bộ tham số. 0.0% 10.0% 20.0% 30.0% 40.0% 50.0% 60.0% 70.0% 80.0% 90.0% 100.0% 0 200 400 600 800 1000 P h ầ n t ră m t h ô n g đ iệ p đ ư ợ c ch ọ n đ ể g ử i Tổng số thông điệp n trong hệ thống của chu kỳ đang xét g(n)=0.95 g(n)=0.9 g(n)=0.8 g(n)=0.7 g(n)=0.6 g(n)=0.5 g(n)=0.4 g(n)=0.3 g(n)=0.2 g(n)=0.1 70 Tham số kịch bản được mô tả trong phần 4.2.1 với số lượng người sử dụng hệ thống là N=100, và hàm mix g(n)=0.5, số lần mô phỏng cùng tham số: 5 lần. Sau đây là một số kết quả sau khi chạy mô phỏng. Bảng 4-3: Thời gian trung bình của 1 thông điệp trong hệ thống (N=100, g(n)=0.5) Thời gian trung bình (s) Trong TLArequest Trong TLAresponse Trong hệ thống Lần 1 9.09 9.72 18.81 Lần 2 8.33 7.90 16.22 Lần 3 9.26 10.77 20.03 Lần 4 8.83 8.05 16.89 Lần 5 7.73 8.18 15.91 Trung bình 8.65 8.92 17.57 Bảng 4-4: Thời gian Max, Min của thông điệp trong hệ thống (N=100, g(n