Hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB

33 Chương 3 Hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB Tóm tắt chương:  Nội dung của Chương 3 trình bày các nội dung gồm:  Các mô hình tấn công đối với bài toán bảo vệ tính riêng tư cho người sử dụng dịch vụ LBS.  Mô tả tính chất che giấu thông tin vị trí đã được đề xuất trong công trình [23].  Mô tả các thành phần của hệ thống bảo vệ tính riêng tư của người sử dụng dịch vụ LBS mà luận văn đề xuất. Khảo sát quá trình hoạt động của hệ thống. 3.1 Các mô hình tấn công 3.1.1 Mô hình tấn công GDA Với mô hình kẻ tấn công trì hoãn toàn cục GDA (Global Delaying Adversary), kẻ tấn công hệ thống bảo vệ tính riêng tư có khả năng:  Quan sát mọi hoạt động bên ngoài hệ thống (gửi / nhận thông điệp, …).  Trì hoãn bất kỳ thông điệp nào trong bất kỳ thời điểm nào mong muốn (bao gồm thông điệp gửi đến hệ thống và thông điệp kết quả phản hồi từ dịch vụ LBS) Tuy nhiên, với mô hình tấn công GDA, do tất cả thông điệp đi vào, đi ra khỏi hệ thống bảo vệ để được mã hóa an toàn, kể cả trong quá trình truyền nhận. Vì vậy, kẻ tấn công:  Không thể nào biết được thông tin của hệ thống.  Không thể đọc hiểu được nội dung của thông điệp gửi đến. 34  Không có khả năng tạo / phát sinh thông điệp mới.  Không thể thay đổi nội dung của thông điệp. ... ... Người gửi thông điệp Người nhận thông điệp Người tấn công Hệ thống bảo vệ tính riêng tư Hình 3-1: Mô hình tấn công GDA 3.1.2 Mô hình tấn công GAA Mạnh hơn mô hình GDA, trong mô hình kẻ tấn công chủ động toàn cục GAA (Global Active Adversary), kẻ tấn công hệ thống bảo vệ tính riêng tư không chỉ mang các tính năng ưu điểm của mô hình GDA, mà còn:  Có khả năng thỏa hiệp với người sử dụng hệ thống hợp pháp để tạo ra bất kỳ một số lượng thông điệp gửi đến hệ thống bảo vệ hoặc thêm trực tiếp vào hàng đợi thông điệp của hệ thống bảo vệ. ... ... Người gửi thông điệp Người nhận thông điệp Người tấn công Hệ thống bảo vệ tính riêng tư Hình 3-2: Mô hình tấn công GAA 35 Cũng như mô hình GDA, với mô hình tấn công GAA, kẻ tấn công không thể biết được thông tin của thông điệp, cũng như không thể nào đọc hiểu được nội dung của thông điệp. Như vậy, với mô hình GAA, kẻ tấn công hoàn toàn có khả năng buộc hệ thống đẩy tất cả thông điệp ra còn dư trong hàng đợi ra khỏi hàng đợi thông điệp (bằng cách chèn thêm thông điệp “giả” hợp lệ vào hệ thống một cách tự động hoặc điều khiển một người gửi hợp lệ để gửi thông điệp vào hệ thống); từ đó, có thể kiểm soát được quá trình di chuyển thông điệp của người gửi. 3.2 Tính chất che giấu thông tin 3.2.1 Tính chất che giấu thông tin nguồn Tính chất che giấu thông tin nguồn (source-hiding property) của một hệ thống là giá trị tham số  nếu kẻ tấn công không thể suy đoán một thông điệp x được chuyển ra khỏi hệ thống là do một người sử dụng dịch vụ s cụ thể gửi với xác suất lớn hơn  [33]. Người Sử dụng LBS Nhà cung cấp LBS Hệ thống bảo vệ tính riêng tư x x Tính chất che giấu nguồn  (Source hiding property) Hình 3-3: Tính chất che giấu thông tin nguồn Với Hình 3-3, thông điệp x được gửi từ người sử dụng dịch vụ LBS s đến hệ thống bảo vệ. Để đảm bảo tính chất che giấu thông tin nguồn, thông điệp x này chỉ được đẩy ra khỏi hệ thống khi xác suất kẻ tấn công suy đoán thông điệp x là do người sử dụng LBS s gửi nhỏ hơn giá trị . Nói cách khác, tính chất che giấu thông tin nguồn trong trường hợp này nhằm che giấu mối liên kết giữa thông điệp gửi với người gửi thông điệp. 36 3.2.2 Tính chất che giấu thông tin đích Tính chất che giấu thông tin đích (destination-hiding property) là giá trị tham số  nếu kẻ tấn công không thể suy đoán một thông điệp x được gửi vào hệ thống sẽ được chuyển tiếp đến một người nhận s cụ thể với xác suất lớn hơn  [33]. Người Sử dụng LBS Nhà cung cấp LBS Hệ thống bảo vệ tính riêng tư x x Tính chất che giấu đích  (Destination hiding property) Hình 3-4: Tính chất che giấu thông tin đích Với Hình 3-4, thông điệp x được gửi từ người sử dụng dịch vụ LBS s đến hệ thống bảo vệ. Để đảm bảo tính chất che giấu thông tin đích, thông điệp x này chỉ được đẩy ra khỏi hệ thống khi xác suất kẻ tấn công suy đoán thông điệp x của người sử dụng LBS s gửi đến nhà cung cấp dịch vụ nhỏ hơn giá trị . Nói cách khác, tính chất che giấu thông tin đích trong trường hợp này nhằm che giấu mối liên kết giữa thông điệp gửi với người nhận thông điệp (nhà cung cấp dịch vụ). 3.2.3 Tính chất che giấu thông tin vị trí Mượn khái niệm về tính chất che giấu nguồn (source-hiding property) và tính chất che giấu đích (destination-hiding property) trong bài báo [33], nhóm tác giả trong bài báo [23] đã đưa ra khái niệm tương tự về tính chất che giấu vị trí (location-hiding property) để mô tả ngưỡng riêng tư của người sử dụng dịch vụ LBS. Định nghĩa 3-1 [23]: Một người sử dụng dịch vụ được xem là thỏa tính chất che giấu vị trí (ngưỡng riêng tư) với tham số  khi và chỉ khi kẻ tấn công không thể suy diễn ra thông tin vị trí của người đó với xác suất lớn hơn 1 - . Mỗi người dùng sk hệ thống sẽ tự định nghĩa cho mình một bản đồ tính riêng tư về vị trí. Bản đổ này gồm những vùng không gian khác nhau, mỗi vùng được gán một trị số che giấu thông tin vị trí trong khoảng [0,1). Khi người sử dụng gửi thông điệp 37 trong vùng không gian nào đó thì giá trị che giấu thông tin vị trí tương ứng sẽ được đính kèm với thông điệp. Bản đồ tính riêng tư về vị trí này được phép cập nhật hoặc định nghĩa lại bởi người sử dụng vào bất kỳ thời điểm nào (nếu cần). Như vậy, nếu một người sử dụng sk gửi một thông điệp x với giá trị tính chất che giấu vị trí (x) đến nhà cung cấp dịch vụ LBS thì người sử dụng đó không mong muốn kẻ tấn công có thể suy diễn ra vị trí của họ với xác suất lớn hơn 1 - (x). Để đạt được điều này, hai vấn đề sau cần được xem xét:  Kẻ tấn công không thể tạo được mối liên kết giữa một thông điệp yêu cầu x được gửi đến nhà cung cấp dịch vụ LBS và người sử dụng sk với xác suất lớn hơn 1 - (x). Điều này có nghĩa là thông điệp gửi đi x đạt được tính chất che giấu nguồn với ngưỡng 1 - (x).  Kẻ tấn công không thể tạo được mối liên kết giữa thông điệp kết quả y tương ứng với thông điệp yêu cầu x được gửi cho người sử dụng dịch vụ sk với xác suất lớn hơn 1 - (x). Điều này có nghĩa là thông điệp kết quả y đạt được tính chất che giấu đích với ngưỡng 1 - (x). 3.3 Các thành phần của hệ thống đề xuất 3.3.1 Mô tả các thành phần của hệ thống Hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB (bi- directional RPROB-based location anonymizer - RBLA2) là hệ thống bảo vệ tính riêng tư về vị trí cho người sử dụng dịch vụ LBS. Luận văn đề xuất kiến trúc của hệ thống bảo vệ có sử dụng 2 thành phần có cấu trúc tương tự nhau (TLArequest và TLAresponse) và nhật ký dữ liệu (Log Database). Hai thành phần có cấu trúc tương tự (TLArequest và TLAresponse) được xây dựng dựa trên nền RPROB của hệ thống RBLA (RPROB-Based Location Anomymizer) [24] và có bổ sung một số tham số hệ thống. 38 RBLA Log Database TLA Response TLA Request Người sử dụng dịch vụ LBS Nhà cung cấp dịch vụ LBS Hình 3-5: Kiến trúc các thành phần của hệ thống RBLA2 Hệ thống RBLA2 gồm có các thành phần chính sau:  TLArequest (Trusted Location Anonymizer Request): Đây là thành phần bảo vệ tính riêng về vị trí đáng tin cậy, xử lý tất cả các thông điệp yêu cầu dịch vụ được gửi đến từ người sử dụng dịch vụ LBS.  TLAresponse (Trusted Location Anonymizer Response): Đây là thành phần bảo vệ tính riêng về vị trí đáng tin cậy, xử lý tất cả các thông điệp kết quả từ các dịch vụ LBS gửi về.  Nhật ký dữ liệu (Log Database) : Đây là nhật ký dữ liệu của hệ thống được sử dụng để ánh xạ một thông điệp kết quả trả về sẽ tương ứng với thông điệp yêu cầu nào. Nhật ký này sẽ được sử dụng bởi 2 thành phần TLArequest và TLAresponse. Hình 3-5 mô tả một cách tổng quát kiến trúc và quá trình hoạt động của hệ thống RBLA2. Để sử dụng dịch vụ LBS, người sử dụng sẽ gửi một thông điệp đến hệ thống RBLA2, kèm theo thông điệp yêu cầu này là vị trí chính xác hiện tại của người sử dụng. Hoạt động này được diễn ra trên một kênh truyền an toàn. Tại hệ thống RBLA2, thành phần TLArequest chịu trách nhiệm tổng hợp và xử lý tất cả thông điệp đến. Tùy vào cơ chế hoạt động của hệ thống bảo vệ, các thông điệp yêu cầu này sẽ được chọn lựa và chuyển tiếp đến nhà cung cấp dịch vụ LBS tương ứng. Việc chuyển tiếp thông 39 điệp này được thực hiện dưới hình thức sao cho kẻ tấn công hệ thống không thể nào tạo được một liên kết tương ứng giữa một thông điệp yêu cầu được chuyển tiếp đến nhà cung cấp dịch vụ LBS và một người sử dụng dịch vụ cụ thể với một xác suất dự đoán lớn hơn ngưỡng riêng tư. Ngưỡng riêng tư này được người sử dụng dịch vụ đính kèm với thông điệp khi thông điệp gửi đến hệ thống RBLA2. Ngoài ra, trước khi chuyển tiếp thông điệp đến nhà cung cấp dịch vụ LBS, hệ thống sẽ lưu lại một số thông tin liên quan đến người sử dụng vào nhật ký dữ liệu. Sau khi nhận được các thông điệp yêu cầu dịch vụ từ hệ thống RBLA2, nhà cung cấp dịch vụ LBS tiến hành xử lý để trả kết quả về. Kết quả truy vấn dịch vụ sẽ được gửi trả về cho hệ thống RBLA2. Tại hệ thống RBLA2, thành phần TLAresponse chịu trách nhiệm tổng hợp các kết quả truy vấn dịch vụ từ các nhà cung cấp dịch vụ LBS. Kết hợp với thông tin lưu trong nhật ký dữ liệu trước đó, thành phần TLAresponse sẽ xử lý và chuyển tiếp các kết quả trả về này đến người sử dụng dịch vụ tương ứng. Cơ chế chuyển tiếp thông điệp phải đảm bảo sao cho kẻ tấn công không thể nào tạo được một liên kết tương ứng giữa một thông điệp kết quả của nhà cung cấp dịch vụ LBS và một người sử dụng dịch vụ cụ thể nào đã gửi yêu cầu tương ứng với kết quả đang xét với một xác suất lớn hơn một ngưỡng riêng tư mà người sử dụng dịch vụ mong muốn. Hiển nhiên, kênh truyền từ hệ thống RBLA2 đến người sử dụng dịch vụ phải là kênh truyền an toàn. Với thiết kế trên, tất cả thông điệp trao đổi giữa hệ thống RBLA2 và người sử dụng dịch vụ phải được mã hóa (và chỉ người nhận tương ứng mới giải mã lại được). Vì vậy, kẻ tấn công không thể đọc được nội dung bên trong của các thông điệp gửi. Bên cạnh đó, thiết kế hệ thống RBLA2 cũng mong muốn các thông điệp trao đổi giữa hệ thống RBLA2 với các nhà cung cấp dịch LBS cũng được mã hóa an toàn. Tuy nhiên, thực tế cho thấy, không phải nhà cung cấp dịch vụ LBS nào cũng hỗ trợ kênh truyền an toàn. Vì vậy, hướng tiếp cận của luận văn sẽ chấp nhận ràng buộc về kênh truyền mặc định giữa hệ thống RBLA2 với nhà cung cấp dịch vụ LBS. Cùng với đề xuất kiến trúc hai chiều của hệ thống như trên, luận văn cũng đề xuất danh sách các tham số toàn cục cho hệ thống RBLA2 được đặc tả chi tiết trong Bảng 3-1. Các tham số này sẽ được sử dụng để phân tích tính an toàn của hệ thống trong Chương 4. 40 Bảng 3-1: Danh sách tham số cho hệ thống RBLA2 Tham số Mô tả ý nghĩa max Ngưỡng cận trên của giá trị tính chất che giấu vị trí cho một thông điệp yêu cầu (  ). Nếu giá trị tính chất che giấu vị trí của thông điệp yêu cầu bất kỳ lớn hơn ngưỡng max này thì hệ thống RBLA2 sẽ gán lại giá trị tính chất che giấu vị trí của thông điệp yêu cầu bằng max. grequest Hàm mix được sử dụng để xác định xác suất mà một thông điệp yêu cầu có thể được chọn để chuyển đi trong chu kỳ xử lý hiện tại của hệ thống. gresponse Hàm mix được sử dụng để xác định xác suất mà một thông điệp kết quả có thể được chọn để chuyển đi trong chu kỳ xử lý hiện tại của hệ thống. trequest Thời gian chờ cho mỗi chu kỳ xử lý thông điệp yêu cầu. tresponse Thời gian chờ cho mỗi chu kỳ xử lý thông điệp kết quả. request Thời gian chờ tối đa cho một thông điệp yêu cầu. Nếu khoảng thời gian truyền thông điệp từ người sử dụng dịch vụ đến hệ thống RBLA2 vượt quá thời gian chờ tối đa này thì hệ thống sẽ tự động hủy bỏ thông điệp yêu cầu nhằm đảm bảo tính an toàn cho hệ thống. response Thời gian chờ tối đa cho một thông điệp kết quả. Nếu khoảng thời gian truyền thông điệp từ nhà cung cấp dịch vụ LBS đến hệ thống RBLA2 vượt quá thời gian chờ tối đa này thì hệ thống sẽ không chấp nhận kết quả này nhằm đảm bảo tính an toàn cho hệ thống. Roundmax Tổng số chu kỳ tối đa mà một thông điệp bị giữ lại trong hệ thống. Dummymin Tổng số thông điệp có vị trí giả phải có trong hệ thống vào cuối mỗi chu kỳ. rmin Bán kính vùng tối thiểu mà tất cả các thông điệp trong hàng đợi thông điệp ra phải phủ đủ. 3.3.2 Tính chất che giấu thông tin vị trí trong hệ thống được đề suất Để đảm bảo tính riêng tư về thông tin vị trí của người sử dụng dịch vụ LBS, hệ thống RBLA2 phải đảm bảo được tính chất che giấu thông tin vị trí về thông tin nguồn từ phía người sử dụng dịch vụ. Có nghĩa là kẻ tấn công không thể suy diễn được mối liên kết giữa thông điệp chuyển tiếp ra khỏi hệ thống bảo vệ với người đã gửi thông điệp đó. Do kênh truyền từ hệ thống RBLA2 đến nhà cung cấp dịch vụ LBS không bắt buộc phải đảm bảo an toàn, vì vậy, hệ thống RBLA2 không thể nào đảm bảo được tính chất che giấu vị trí về thông tin đích của thông điệp đối với nhà cung cấp dịch vụ. Ngược lại, 41 hệ thống RBLA2 sẽ đảm bảo tính chất che giấu vị trí về thông tin đích của thông điệp kết quả của nhà cung cấp dịch vụ gửi về cho người sử dụng dịch vụ. Kẻ tấn công Người Sử dụng LBS Nhà cung cấp LBS Hệ thống bảo vệ tính riêng tư x x Tính chất che giấu vị trí  (Location hiding property) y y Tính chất che giấu vị trí  (Location hiding property) Hình 3-6: Tính chất che giấu vị trí trong hệ thống được đề xuất Hình 3-6 mô tả các vị trí cần đảm bảo tính chất che giấu thông tin vị trí mà hệ thống RBLA2 phải đảm bảo để bảo vệ tính riêng tư về vị trí cho người sử dụng dịch vụ LBS trong hai hướng truyền và nhận dữ liệu. 3.4 Khảo sát quá trình xử lý thông điệp đến Thông điệp đến là thông điệp yêu cầu dịch vụ được gửi từ người sử dụng dịch vụ LBS đến hệ thống bảo mật RBLA2. Thành phần TLArequest của hệ thống RBLA2 chịu trách nhiệm tổng hợp và xử lý các thông điệp đến này. Đề xuất: Trong quá trình xử lý của thành phần TLArequest, luận văn đề xuất cấu trúc của thông điệp gửi và sử dụng bổ sung các tham số sau:  Tham số ngưỡng cận trên max của giá trị tính chất che dấu thông tin vị trí được sử dụng để hệ thống chống tấn công từ chối dịch vụ DoS.  Tham số thời gian chờ request kết hợp với nhãn thời gian của thông điệp được sử dụng để chống tấn công trì hoãn thông điệp.  Tham số Roundmax nhằm hạn chế số lượng chu kỳ bị giữ lại của thông điệp trong hệ thống. 42  Tham số Dummymin nhằm đảm bảo trước mỗi chu kỳ xử lý, hệ thống luôn có sẵn một lượng thông điệp có vị trí giả trong hàng đợi.  Tham số rmin nhằm đảm bảo trước khi gửi thông điệp ra khỏi hệ thống, các thông điệp được chọn phải phủ tối thiểu trong một vùng có bán kính r. Quá trình xử lý thông điệp yêu cầu dịch vụ khi được gửi đến hệ thống sẽ gồm 5 bước xử lý sau:  Bước 1: Xử lý quá trình thu thập thông điệp yêu cầu được gửi đến.  Bước 2: Xử lý quá trình phát sinh thông điệp giả cho hệ thống bảo vệ.  Bước 3: Xử lý việc lựa chọn thông điệp để gửi ra khỏi hệ thống bảo vệ.  Bước 4: Xử lý vùng không gian chứa các thông điệp được chọn.  Bước 5: Xử lý quá trình biến đổi thông điệp và gửi thông điệp đến nhà cung cấp dịch vụ LBS. 3.4.1 Quá trình thu thập thông điệp đến RBLA TLA Request Kênh truyền an toàn Người sử dụng dịch vụ LBS Giải mã thông điệp yêu cầu  Câu truy vấn  Vị trí chính xác  Thông tin LBS  Giá trị   Nhãn thời gian max (Nếu > max)  request Cache thông điệp yêu cầu ≥ < Thông điệp đã giải mã Thông điệp được mã hóa Hình 3-7: Quá trình thu thập thông điệp đến Trong mỗi chu kỳ r, thành phần TLArequest nhận và lưu trữ lại mỗi thông điệp ( đến trong hệ thống. Mỗi thông điệp đến này được truyền đi trên kênh truyền an toàn và được mã hóa (chỉ có thành phần TLArequest mới giải mã thông điệp được). 43 Khi thông điệp đến được TLArequest , thông điệp sẽ được giải mã và lưu trong vùng đệm hàng đợi xử lý của thành phần TLArequest. Nội dung của thông điệp yêu cầu có cấu trúc bao gồm: câu truy vấn yêu cầu dịch vụ, vị trí chính xác của người sử dụng dịch vụ, thông tin dịch vụ LBS sẽ sử dụng và giá trị tính chất che giấu thông tin vị trí ( ( ). Dựa vào bản đồ tính riêng tư về vị trí của người sử dụng dịch vụ, giá trị tính chất che giấu thông tin vị trí ( ( ) này sẽ mang giá trị khác nhau ở các vùng không gian khác nhau. Nếu giá trị này không được đính kèm với thông điệp yêu cầu thì hệ thống bảo vệ sẽ gán giá trị mặc định là 0. Giá trị này càng lớn thì nhu cầu về tính riêng tư của thông điệp càng lớn. Tuy nhiên, nếu giá trị về tính chất che giấu thông điệp quá lớn thì hệ thống bảo vệ cần phải chờ một số lượng lớn các thông điệp yêu cầu khác được gửi đến và sẽ gửi toàn bộ đến nhà cung cấp dịch vụ LBS; từ đó, sẽ dẫn đến tình trạng hệ thống bảo vệ bị chờ trong thời gian quá dài qua nhiều chu kỳ xử lý. Giải quyết cho vấn đề này, nhóm tác giả [23] sử dụng các thông điệp giả được phát sinh trong chu kỳ của thông điệp để làm giảm thời gian chờ. Tuy nhiên, giải pháp này lại tạo ra khả năng gián tiếp gây ra tấn công từ chối dịch vụ cho các nhà cung cấp dịch vụ LBS (do gửi quá nhiều thông điệp yêu cầu không cần thiết đến nhà cung cấp dịch vụ LBS). Để khắc phục hạn chế này, luận văn đã đề nghị sử dụng thêm tham số ngưỡng cận trên max của giá trị tính chất che dấu thông tin vị trí. Nếu giá trị về tính chất che giấu thông tin vị trí đính kèm thông điệp yêu cầu của người sử dụng dịch vụ lớn hơn tham số max thì sẽ bị cập nhật lại bằng giá trị của max. Ngoài ra, luận văn cũng đề nghị sử dụng bổ sung tham số nhãn thời gian cho thông điệp gửi đến hệ thống. Nhãn thời gian sẽ thể hiện thời gian bắt đầu giao dịch của người sử dụng dịch vụ và sẽ được đính kèm với thông điệp yêu cầu. Nếu khoảng thời gian truyền thông điệp yêu cầu từ người sử dụng dịch vụ đến hệ thống RBLA2 vượt qua thời gian chờ tối đa cho phép request dành cho thông điệp yêu cầu thì điều đó chứng tỏ có khả năng có kẻ tấn công đang thực hiện mô hình tấn công trì hoãn thông điệp làm cho thông điệp yêu cầu bị trì hoãn trong quá trình truyền. Với lý do nghi ngờ vậy, thành phần TLArequest sẽ tiến hành loại bỏ thông điệp yêu cầu này khỏi hệ thống. 44 3.4.2 Phát sinh các thông điệp yêu cầu giả Vào cuối mỗi chu kỳ r, giả sử có ar thông điệp yêu cầu mới được gửi đến hệ thống và ( thông điệp yêu cầu cũ còn được giữ lại trong hệ thống trong chu kỳ xử lý trước (r-1). Với mỗi thông điệp yêu cầu x được chọn và sẽ được chuyển tiếp từ hệ thống RBLA2 đến nhà cung cấp dịch vụ LBS, kẻ tấn công có khả năng tính toán được xác suất để thông điệp x này được gửi bởi người gửi sk. Nếu kẻ tấn công đã nắm được thông tin xác suất này của thông điệp x thì coi như sẽ suy diễn được vị trí của người gửi sk với cùng một xác suất. Thực tế cho thấy, không phải nhà cung cấp dịch LBS nào cũng hỗ trợ cung cấp dịch vụ trên kênh truyền an toàn có mã hóa. Vì lý do trên, các hệ thống bảo vệ buộc phải thực hiện việc truyền nhận dữ liệu với các nhà cung cấp dịch vụ với kênh truyền dữ liệu truyền thống (không có mã hóa dữ liệu). Nếu dữ liệu được truyền trên kênh không an toàn thì kẻ tấn công hoàn toàn có thể biết được thông tin vị trí trong thông điệp yêu cầu x. Ngoài ra, dù kênh truyền từ hệ thống bảo vệ đến nhà cung cấp dịch vụ là kênh an toàn thì vẫn có khả năng bị lộ thông tin vị trí trong thông điệp x nếu kẻ tấn công có quyền kiểm soát hoặc đã thỏa thuận với nhà cung cấp dịch vụ LBS. Vì vậy, hệ thống cho phép người sử dụng dịch vụ định nghĩa một ngưỡng riêng tư đối với vị trí cho mỗi yêu cầu gửi đến hệ thống nhằm che giấu thông tin vị trí đến một mức độ mong muốn để làm giảm xác suất suy đoán của kẻ tấn công. Công thức tính xác