Một số kỹ thuật bảo vệ tính riêng tư cho các dịch vụ LBS

9 Chương 1 Một số kỹ thuật bảo vệ tính riêng tư cho các dịch vụ LBS Tóm tắt chương:  Nội dung Chương 1 trình bày một số kỹ thuật bảo vệ tính riêng tư của người sử dụng dịch vụ LBS:  Các kỹ thuật mở rộng câu truy vấn  Các kỹ thuật che giấu không gian  Các kỹ thuật làm rối thông tin vị trí Chương này đề cập đến các hướng tiếp cận và kỹ thuật cho bài toán bảo vệ tính riêng tư về vị trí cho các ứng dụng LBS. Tuy nhiên, các kỹ thuật và giải pháp cho các ứng dụng truyền thống (hệ thống email an toàn, hệ thống duyệt web có bảo vệ tính riêng tư, …) sẽ không được đề cập trong chương này. 1.1 Kỹ thuật mở rộng câu truy vấn Thông tin quan trọng nhất trong câu truy vấn được gửi từ người sử dụng dịch vụ LBS đến nhà cung cấp dịch vụ là thông tin vị trí của người sử dụng. Do đó, kỹ thuật mở rộng câu truy vấn (query enlargement techniques) chính là kỹ thuật mở rộng giá trị thông tin vị trí. Ý tưởng của kỹ thuật này là làm rối, làm nhập nhằng thông tin vị trí chính xác của người sử dụng dịch vụ LBS bằng cách làm giảm độ phân giải không gian (spatial resolution) của dữ liệu vị trí. Với phương pháp này, vị trí chính xác của người sử dụng sẽ được “mở rộng” thành thông tin một vùng rộng hơn trước khi gửi thông tin vị trí này cho nhà cung cấp dịch vụ LBS. 10 1.1.1 Mở rộng vị trí tọa độ thành vị trí vùng Nhóm tác giả Reynold Cheng [15] đã đề xuất một hệ thống bảo vệ tính riêng tư về vị trí cho người sử dụng các dịch vị LBS (gọi là Cloaking Agent) có hỗ trợ mức độ riêng tư của người sử dụng. Quá trình hoạt động của Cloaking Agent được mô tả chi tiết qua Hình 1-1 [15]. User Precise Location Service Request Privacy Preferences Service Provider Cloaked Location Imprecise Service Request Imprecise Service Result Quality Score Cloaking Agent Policy Translator Service Translator Result Translator Service and Quality Database Imprecise Service Processor Privacy Preferences Hình 1-1: Quy trình hoạt động của hệ thống Cloaking Agent [15] Khi người sử dụng gửi thông tin truy vấn đến hệ thống Cloaking Agent thì công trình [15] đề xuất áp dụng kỹ thuật mở rộng câu truy vấn để mở rộng thông tin vị trí của người dùng. Cụ thể là thành phần Policy Translator sẽ biến đổi thông tin vị trí chính xác (precise location) thành thông tin vị trí bị che giấu (cloaked location). Khái niệm về vị trí bị che giấu (cloaked location) hay vùng không chắc chắn (uncertain region) được đề cập trong bài báo [9], đó là một vùng có chứa vị trí chính xác của người sử dụng. time x y 0 Actual Location Uncertainty Region Hình 1-2: Vị trí thật và vị trí bị che giấu (Nguồn: 11 1.1.2 Mở rộng vị trí vùng thành vị trí vùng khác Đối với một số dịch vụ LBS cần cung cấp thông tin vị trí dưới dạng vùng thay vì dưới dạng điểm tọa độ địa lý (ví dụ, các dịch vụ dựa trên nền điện thoại di động) để thực hiện việc truy vấn dữ liệu cho dịch vụ, thì cần một độ đo vị trí khác. Định nghĩa về độ đo vị trí vùng được phát biểu trong công trình nghiên cứu [16] như sau Định nghĩa 1-1 [16] : Một độ đo vị trí của một người sử dụng u là diện tích một hình tròn, kí hiệu Area(r, xc, yc) có tâm là tọa độ địa lý (xc, yc) và bán kính r, sao cho xác suất P((xu, yu)) để tọa độ thực của người sử dụng (xu, yu) thuộc diện tích trên là 1. (( ( (1-1) Với loại vị trí cho dịch vụ LBS theo vùng vậy, nhóm tác giả cũng đề xuất phương pháp mở rộng câu truy vấn theo 3 cách [16]:  Mở rộng bán kính r thành r’ với . (Hình 1-3 a)  Dịch chuyển tâm (xc, yc) đi một khoảng d với góc quay . (Hình 1-3 b)  Thu hẹp bán kính r thành r’ với . (Hình 1-3 c) r r’ r’ r d  a) b) c) Hình 1-3: Mở rộng vị trí từ vùng sang vùng [16] 1.1.3 Các dịch vụ về vị trí gần nhau Dịch vụ về vị trí gần nhau (Proximity-based Services) là loại dịch vụ dựa vào vị trí và thông tin so sánh giữa một ngưỡng định trước  với khoảng cách giữa người sử dụng dịch vụ với các thực thể (di chuyển) khác [17]. Dịch vụ Friend-Finder là một loại dịch vụ thuộc nhóm dịch vụ này. Với loại dịch vụ như vậy, ngoài việc cần bảo vệ 12 tính riêng tư của người sử dụng dịch vụ khỏi kẻ tấn công, nhà cung cập dịch vụ, mà còn chống lại cả đối tượng mà mình cần so sánh vị trí. Để dịch vụ về vị trí gần nhau cung cấp được dịch vụ cho khách hàng thì các người sử dụng dịch vụ phải cung cấp vị trí của mình cho nhà cung cấp dịch vụ LBS. Như vậy, các hệ thống bảo vệ tính riêng tư cho loại dịch vụ này phải đảm bảo đáp ứng được yêu cầu tối thiểu về tính riêng tư cho người sử dụng và hạn chế việc tiết lộ vị trí của người dùng càng ít càng tốt. Hướng tiếp cận của bài báo [17] đưa ra một hướng giải quyết cho bài toán bảo vệ tính riêng tư của người sử dụng dịch vụ về vị trí gần nhau; người sử dụng dịch vụ vẫn có thể xác định vị trí của các đối tượng gần mình mà vẫn đảm bảo tính riêng tư. A Bd LA(i) LB(j) A A B LB(j) LA(i) A (a) Điểm B gần với Điểm A (b) Điểm B không gần với Điểm A (c) Điểm B có thể gần với Điểm A A B LB(j) A D LA(i) Hình 1-4: Xác định điểm lân cận của A [17] Trong hướng tiếp cận [17], mỗi người sử dụng A sẽ có một ngưỡng lân cận A để xác định các đối tượng lận cận mình. Nếu khoảng cách Eulic của 2 điểm A và B nhỏ hơn A thì điểm B gọi là lận cận của A [17]. ( ( ( ) (1-2) Để đảm bảo tính riêng tư về vị trí của người sử dụng, thay vì phải sử dụng tọa độ vị trí địa lý thực của người A, người B thì từng tọa độ chính xác A, B sẽ được mở rộng thành vùng LA(i) và LB(j). Trong Hình 1-4, mô tả phương pháp xác định xem 13 điểm B có là vùng lân cận của điểm A không thông qua 2 vùng mở rộng LA(i) và LB(j).  Hình 1-4 (a): Nếu khoảng cách xa nhất D của 2 vùng mở rộng LA(i) và LB(j) nhỏ hơn ngưỡng lân cận A của A thì điểm B sẽ là lân cận của A. ( ( ( ) (1-3)  Hình 1-4 (b): Nếu khoảng cách ngắn nhất d của 2 vùng mở rộng LA(i) và LB(j) vẫn còn lớn hơn ngưỡng lân cận A của A thì điểm B sẽ không là lân cận của A. ( ( ( ) (1-4)  Hình 1-4 (c): Ngược lại cả hai trường hợp (a) và (b), nhà cung cấp dịch vụ LBS không thể xác định chính xác là điểm B có gọi là lân cận của A không, vì vậy, nhà cung cấp dịch vụ LBS chỉ khẳng định là điểm B có thể là lân cận của A. ( ( ( ) ( ( ( ) (1-5) 1.2 Kỹ thuật che giấu không gian 1.2.1 Giải pháp k-anonymity Kỹ thuật che giấu không gian (Spatial Cloaking) của người sử dụng dịch vụ LBS trong công trình [18] đã đề nghị sử dụng thông tin vị trí của k-nặc danh (k- anonymous Location Information). Định nghĩa 1-2 [25]: Tính nặc danh (anonymity) trong vấn đề bảo vệ tính riêng tư là trạng thái không thể nào nhận biết được bên trong một tập các đối tượng bị theo dõi (anonymity set). Định nghĩa 1-3 [26]: Một đối tượng được xem là k-anonymous đối với thông tin về vị trí khi và chỉ khi thông tin vị trí đại diện cho đối tượng đó không thể nào phân biệt được với thông tin vị trí của ít nhất k-1đối tượng khác. 14 Theo đề xuất của công trình [18], thay vì mỗi lần giao dịch với nhà cung cấp dịch vụ LBS, người sử dụng phải gửi thông tin vị trí chính xác của mình (x0, y0) thì thông tin không gian của người sử dụng sẽ bị che giấu, cụ thể là thông tin không gian sẽ là ([x1, x2], [y1, y2], [t1, t2]); trong đó, [x1, x2] và [y1, y2] mô tả một vùng 2 chiều có chứa (x0, y0), [t1, t2] là khoảng thời gian mà người dùng vẫn còn nằm trong vùng 2 chiều trên. Như vậy, một vị trí cho một đối tượng được xem là k-anonymous khi vị trí này không chỉ mô tả vị trí của đối tượng cần quan sát mà còn mô tả cả vị trí của k-1 đối tượng khác. Nói cách khác, tại cùng 1 thời điểm xem xét vị trí của người sử dụng thì vị trí đó được mở rộng ra một vùng có chứa k-1 người sử dụng khác. Hình 1-5: k-Anonymity (k=10) [28] Trong Hình 1-5, với k = 10 thì vị trí chính xác của người sử dụng sẽ được mở rộng ra thành phạm vị sao cho có chứa 10 người sử dụng dịch vụ khác tại cùng thời điểm. Vậy vị trí chính xác của người sử dụng dịch vụ được che giấu trong phạm vi vị trí của 9 người khác cùng sử dụng dịch vụ. Nếu k càng lớn thì tập các đối tượng theo dõi sẽ càng lớn, vùng mở rộng cho một vị trí càng rộng, do đó tính che giấu thông tin vị trí càng cao. Phương pháp tính vùng diện tích cho k-anonymity được mô tả trong Hình 1-6. Với phương pháp này, đầu tiên tính vùng không gian chứa tất cả người đang sử dụng dịch vụ, sau đó chia làm bốn vùng không gian này và chọn vùng không gian nhỏ hơn, có chứa vị trí chính xác của người sử dụng. Tiếp tục chia nhỏ vùng không gian đã chọn cho đến khi vùng không gian cuối cùng có chứa k người sử dụng dịch vụ. 15 Bước 1 Bước 2 Bước 3 Bước 4 Bước 5Bước 6Bước 7Bước 8Bước 9 Hình 1-6: Quy trình chọn ra vùng 5-Anonymity cho điểm tô đỏ Nhận xét: Hướng tiếp cận [18] chỉ thật sự hiệu quả đối với bài toán bảo vệ tính riêng tư về vị trí có mật độ của các đối tượng người sử dụng được phân bố tự nhiên. Với các trường hợp đặc biệt, kết quả bảo vệ của mô hình lại không tốt. Với trường hợp k = 100, nhưng địa điểm xét cho bài toán là một sân vận động quốc gia thì vùng mở rộng cho một vị trí cũng chỉ là một vùng nhỏ. Ngược lại, nếu địa điểm của bài toán là sa mạc thì để đạt được k = 100 thì vùng mở rộng sẽ là một diện tích rất lớn và có khả năng không bao giờ đạt được mức an toàn mong muốn. 1.2.2 Giải pháp k-anonymity mở rộng Để khắc phục hạn chế của công trình [18], công trình [19] đề xuất hệ thống Casper có sử dụng thêm tham số Amin và Amax bên cạnh tham số k-anonymity cho từng người sử dụng dịch vụ. Tham số k-anonymity nhằm xác định vùng 2 chiều chứa vị trí thực của người sử dụng; đồng thời, phải bao phủ được k-1 người sử dụng khác tại cùng thời điểm. Tham số Amin đưa ra chỉ số diện tích tối thiểu và tham số Amax đưa ra chỉ số diện tích tối đa của vùng mở rộng nhằm tránh khuyết điểm phải mở rộng diện tích khi k quá lớn hoặc quá bé mà không đảm bảo được tính nặc danh cho vị trí người 16 sử dụng. Đồng thời, người sử dụng có thể thay đổi giá trị của 3 tham số trên một cách linh hoạt tùy vào thời điểm sử dụng. Bảng 1-1: Một hồ sơ cho người sử dụng k-anonymity mở rộng Time k Amin Amax 8:00 am 1 _ _ 5:00 pm 100 1m 3m 10:00 pm 100 5m _ 1.2.3 Nhận xét Các hướng tiếp cận [18], [19] đã đưa ra giải pháp che giấu không gian vị trí của người sử dụng dịch vụ dựa trên vị trí của k-1 người sử dụng dịch vụ xung quanh tại cùng thời điểm. Tuy nhiên, vùng không gian mở rộng cho vị trí của người sử dụng sẽ rất nhỏ nếu như vị trí của người dùng nằm trong một vùng có mật độ người sử dụng quá cao. Ngược lại, trong vùng có mật độ người sử dụng quá thấp thì vùng không gian mở rộng sẽ cực kỳ lớn để đảm bảo tính riêng tư cho vị trí thực của người dùng, đồng thời, sẽ làm tăng số lượng kết quả truy vấn dịch vụ lên rất lớn tương ứng với vùng không gian truy vấn lớn. Dù khuyết điểm này được khắc phục bằng tham số Amin và Amax, nhưng chất lượng dịch vụ trả về cho người dùng đã bị làm giảm và tăng chi phí lọc dữ liệu đúng cho hệ thống. Bên cạnh đó, mặc dù kẻ tấn công không thể xác định được vị trí chính xác của người dùng nhưng nếu kẻ tấn công theo dõi quá trình truy vấn dữ liệu nhiều lần liên tục thì sẽ biết được lô trình di chuyển của người sử dụng dịch vụ [21]. Trong Hình 1-7, vùng xám chính là vùng mở rộng cho vị trí chính xác của người sử dụng, nhưng quá trình thay đổi vị trí chính xác của người dùng thì không làm thay đổi nhiều về vùng mở rộng. Hình 1-7: Theo dõi quá trình truy vấn dữ liệu 17 1.3 Kỹ thuật làm rối thông tin Nhằm bảo vệ tính riêng tư cho vị trí của người sử dụng dịch vụ, kỹ thuật làm rối thông tin vị trí (obfuscation technique) đã được đề xuất trong các công trình [21], [22], [27], [28]. Ý tưởng chính của hướng tiếp cận này là trộn thêm các thông tin giả vào thông tin vị trí thật của người sử dụng trước khi gửi toàn bộ thông tin thật và giả đến nhà cung cấp dịch vụ LBS. Với phương pháp này, kẻ tấn công không xác định được thông tin nào trong số các thông tin gửi đi là của người sử dụng dịch vụ. Công trình [21] đề xuất hướng giải quyết để khắc phục khuyến điểm của của các hướng tiếp cận trong phần 1.1, 1.2 của chương này bằng phương pháp phát sinh thông tin sai ngẫu nhiên (random faked location). Ý tưởng của hướng tiếp cận này là phát sinh các thông tin nhiễu (vị trí sai) và gửi đồng thời với vị trí thật của người sử dụng trong mỗi lần gửi thông tin yêu cầu truy vấn dịch vụ đến nhà cung cấp dịch vụ LBS. Hình 1-8: Quy trình hoạt động của hệ thống sử dụng kỹ thuật Dummy [21] Như ví dụ trong Hình 1-8, Lx = (Xx, Yx) là dữ liệu vị trí x của người sử dụng (vị trí này được ký hiệu là dấu chấm đen hình tròn trên hình). Thông điệp yêu cầu S gửi đến nhà cung cấp dịch vụ LBS gồm có các thông tin sau : ( Với u là định danh (ID) của người sử dụng, ( là tập các vị trí gửi đến LBS (trong đó, có m-1 vị trí giả được phát sinh ngẫu nhiên và 1 vị trí thật của 18 người dùng). Khi nhà cung cấp dịch vụ nhận được thông điệp S thì sẽ phản hồi lại thông điệp R chứa tập kết quả ( tương ứng với tập vị trí ( . (( ( ( Khi người dùng nhận được tập kết quả R thì chỉ người sử dụng biết được kết quả Di nào là đúng với vị trí thật của mình. Như vậy, nếu kẻ tấn công có theo dõi quá trình truy vấn dữ liệu thì với hướng tiếp cận sử dụng kỹ thuật phát sinh các thông điệp giả có thể làm cho việc suy đoán vị trí trở nên khó khăn nhiều (Hình 1-9). Hình 1-9: Chống theo dõi quá trình truy vấn dữ liệu [21] Bên cạnh đề xuất mô hình bảo vệ tính riêng tư về vị trí cho người sử dụng dịch vụ LBS, công trình [21] còn đề xuất 2 thuật toán phát sinh thông điệp giả ngẫu nhiên MN (Moving in a Neighborhood) và MLN (Moving in a Limited Neighborhood). Để kiểm soát các thông điệp giả được phát sinh ra (số lượng phát sinh cũng như vị trí phát sinh), công trình [22] đã đề nghị 2 thuật toán khác phát sinh thông điệp dựa vào mô hình lưới (virtual Grid) và dựa trên mô hình tròn (virtual circle) trong hệ thống PAD (Private-Area Aware Dummy). Nhận xét: Với hướng tiếp cận làm rối thông tin, vị trí chính xác của người sử dụng sẽ bị làm rối bằng cách đặt chung vị trí chính xác của người sử dụng với các vị trí giả khác. Với phương pháp này, kết quả truy vấn dịch vụ mà người sử dụng nhận được sẽ là kết quả chính xác. Tuy nhiên, thiết bị đầu cuối của người sử dụng phải hỗ trợ việc tính toán và phát sinh các vị trí giả hợp lý, đồng thời phải chịu tốn chi phí lọc bỏ các kết quả cho các vị trí sai. Ngoài ra, hướng tiếp cận này không tận dụng được việc phát sinh vị trí giả toàn cục so với những người đang sử dụng dịch vụ tại cùng thời điểm. 19 Hình 1-10: Phát sinh thông điệp giả dựa trên mô hình Circle [22] Hình 1-11: Phát sinh thông điệp giả dựa trên mô hình Grid [22] 1.4 Kết luận Chương này đã trình bày tóm tắt các hướng tiếp cận trong bài toán bảo vệ tính riêng tư của người sử dụng dịch vụ LBS trên mô hình phân tán. Trong mô hình này, các kỹ thuật bảo vệ tính riêng tư về vị trí được thực hiện và xử lý độc lập ở mỗi người sử dụng khác nhau, do đó phụ thuộc rất nhiều vào thiết bị sử dụng. Với hướng tiếp cận mở rộng câu truy vấn, thông tin vị trí chính xác được mở rộng thành một vùng để làm nhòe vị trí chính xác của người sử dụng dịch vụ. Vì vậy, vị trí chính xác của người sử dụng được bảo vệ, ngược lại, kết quả truy vấn dịch vụ không còn được chính xác. Với hướng tiếp cận sử dụng kỹ thuật che giấu không gian, vị trí chính xác của người sử dụng sẽ được mở rộng thành một vùng tùy thuộc vào k-1 người sử dụng dịch vụ tại cùng thời điểm. Với phương pháp này, thiết bị của người sử dụng phải có khả năng thu thập thông tin vị trí của những người xung quanh hoặc phải có một hệ thống trung gian để cung cấp thông tin vị trí. Như vậy, việc bảo vệ thông tin vị trí của 20 người sử dụng phụ thuộc nhiều vào vị trí của những người sử dụng khác, đồng thời, phụ thuộc vào mật độ của môi trường đang triển khai hệ thống. Hướng tiếp cận này sẽ làm giảm hiệu quả dịch vụ trong môi trường có mật độ người sử dụng quá cao hoặc quá thấp. Với hướng tiếp cận làm rối thông tin, vị trí chính xác của người sử dụng được bảo vệ bằng cách trộn chung với các vị trí giả. Như vậy, thiết bị của người sử dụng phải phát sinh được vị trí giả hợp lý và tốn chi phí để xử lý các kết quả truy vấn trả về (loại bỏ kết quả của câu truy vấn có vị trí giả). Ngoài ra, phương pháp này không tận dụng được việc phát sinh truy vấn giả toàn cục. Chương kế tiếp sẽ trình bày các hướng tiếp cận trên mô hình tập trung có khả năng triển khai thực tế cao cho bài toán bảo vệ tính riêng tư về vị trí.