Chương này đề cập đến các hướng tiếp cận và kỹ thuật cho bài toán bảo vệ tính riêng tư về vị trí cho các ứng dụng LBS. Tuy nhiên, các kỹ thuật và giải pháp cho các ứng dụng truyền thống (hệ thống email an toàn, hệ thống duyệt web có bảo vệ tính riêng tư, ) sẽ không được đề cập trong chương này.
12 trang |
Chia sẻ: vietpd | Lượt xem: 1671 | Lượt tải: 2
Bạn đang xem nội dung tài liệu Một số kỹ thuật bảo vệ tính riêng tư cho các dịch vụ LBS, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
9
Chương 1
Một số kỹ thuật bảo vệ tính riêng tư
cho các dịch vụ LBS
Tóm tắt chương:
Nội dung Chương 1 trình bày một số kỹ thuật bảo vệ tính riêng tư của người sử
dụng dịch vụ LBS:
Các kỹ thuật mở rộng câu truy vấn
Các kỹ thuật che giấu không gian
Các kỹ thuật làm rối thông tin vị trí
Chương này đề cập đến các hướng tiếp cận và kỹ thuật cho bài toán bảo vệ tính
riêng tư về vị trí cho các ứng dụng LBS. Tuy nhiên, các kỹ thuật và giải pháp cho các
ứng dụng truyền thống (hệ thống email an toàn, hệ thống duyệt web có bảo vệ tính
riêng tư, …) sẽ không được đề cập trong chương này.
1.1 Kỹ thuật mở rộng câu truy vấn
Thông tin quan trọng nhất trong câu truy vấn được gửi từ người sử dụng dịch vụ
LBS đến nhà cung cấp dịch vụ là thông tin vị trí của người sử dụng. Do đó, kỹ thuật
mở rộng câu truy vấn (query enlargement techniques) chính là kỹ thuật mở rộng giá
trị thông tin vị trí.
Ý tưởng của kỹ thuật này là làm rối, làm nhập nhằng thông tin vị trí chính xác của
người sử dụng dịch vụ LBS bằng cách làm giảm độ phân giải không gian (spatial
resolution) của dữ liệu vị trí. Với phương pháp này, vị trí chính xác của người sử
dụng sẽ được “mở rộng” thành thông tin một vùng rộng hơn trước khi gửi thông tin vị
trí này cho nhà cung cấp dịch vụ LBS.
10
1.1.1 Mở rộng vị trí tọa độ thành vị trí vùng
Nhóm tác giả Reynold Cheng [15] đã đề xuất một hệ thống bảo vệ tính riêng tư về
vị trí cho người sử dụng các dịch vị LBS (gọi là Cloaking Agent) có hỗ trợ mức độ
riêng tư của người sử dụng. Quá trình hoạt động của Cloaking Agent được mô tả chi
tiết qua Hình 1-1 [15].
User
Precise Location
Service Request
Privacy Preferences
Service Provider
Cloaked Location
Imprecise Service Request
Imprecise Service Result
Quality Score
Cloaking Agent
Policy
Translator
Service
Translator
Result
Translator
Service and
Quality
Database
Imprecise
Service
Processor
Privacy Preferences
Hình 1-1: Quy trình hoạt động của hệ thống Cloaking Agent [15]
Khi người sử dụng gửi thông tin truy vấn đến hệ thống Cloaking Agent thì công
trình [15] đề xuất áp dụng kỹ thuật mở rộng câu truy vấn để mở rộng thông tin vị trí
của người dùng. Cụ thể là thành phần Policy Translator sẽ biến đổi thông tin vị trí
chính xác (precise location) thành thông tin vị trí bị che giấu (cloaked location).
Khái niệm về vị trí bị che giấu (cloaked location) hay vùng không chắc chắn
(uncertain region) được đề cập trong bài báo [9], đó là một vùng có chứa vị trí chính
xác của người sử dụng.
time
x
y
0
Actual Location
Uncertainty Region
Hình 1-2: Vị trí thật và vị trí bị che giấu
(Nguồn:
11
1.1.2 Mở rộng vị trí vùng thành vị trí vùng khác
Đối với một số dịch vụ LBS cần cung cấp thông tin vị trí dưới dạng vùng thay vì
dưới dạng điểm tọa độ địa lý (ví dụ, các dịch vụ dựa trên nền điện thoại di động) để
thực hiện việc truy vấn dữ liệu cho dịch vụ, thì cần một độ đo vị trí khác. Định nghĩa
về độ đo vị trí vùng được phát biểu trong công trình nghiên cứu [16] như sau
Định nghĩa 1-1 [16] : Một độ đo vị trí của một người sử dụng u là diện tích một
hình tròn, kí hiệu Area(r, xc, yc) có tâm là tọa độ địa lý (xc, yc) và bán kính r, sao cho
xác suất P((xu, yu)) để tọa độ thực của người sử dụng (xu, yu) thuộc diện tích trên là 1.
(( (
(1-1)
Với loại vị trí cho dịch vụ LBS theo vùng vậy, nhóm tác giả cũng đề xuất phương
pháp mở rộng câu truy vấn theo 3 cách [16]:
Mở rộng bán kính r thành r’ với . (Hình 1-3 a)
Dịch chuyển tâm (xc, yc) đi một khoảng d với góc quay . (Hình 1-3 b)
Thu hẹp bán kính r thành r’ với . (Hình 1-3 c)
r
r’
r’
r
d
a) b) c)
Hình 1-3: Mở rộng vị trí từ vùng sang vùng [16]
1.1.3 Các dịch vụ về vị trí gần nhau
Dịch vụ về vị trí gần nhau (Proximity-based Services) là loại dịch vụ dựa vào vị
trí và thông tin so sánh giữa một ngưỡng định trước với khoảng cách giữa người sử
dụng dịch vụ với các thực thể (di chuyển) khác [17]. Dịch vụ Friend-Finder là một
loại dịch vụ thuộc nhóm dịch vụ này. Với loại dịch vụ như vậy, ngoài việc cần bảo vệ
12
tính riêng tư của người sử dụng dịch vụ khỏi kẻ tấn công, nhà cung cập dịch vụ, mà
còn chống lại cả đối tượng mà mình cần so sánh vị trí.
Để dịch vụ về vị trí gần nhau cung cấp được dịch vụ cho khách hàng thì các người
sử dụng dịch vụ phải cung cấp vị trí của mình cho nhà cung cấp dịch vụ LBS. Như
vậy, các hệ thống bảo vệ tính riêng tư cho loại dịch vụ này phải đảm bảo đáp ứng
được yêu cầu tối thiểu về tính riêng tư cho người sử dụng và hạn chế việc tiết lộ vị trí
của người dùng càng ít càng tốt. Hướng tiếp cận của bài báo [17] đưa ra một hướng
giải quyết cho bài toán bảo vệ tính riêng tư của người sử dụng dịch vụ về vị trí gần
nhau; người sử dụng dịch vụ vẫn có thể xác định vị trí của các đối tượng gần mình
mà vẫn đảm bảo tính riêng tư.
A
Bd
LA(i)
LB(j)
A
A
B
LB(j)
LA(i)
A
(a) Điểm B gần với Điểm A
(b) Điểm B không gần với Điểm A
(c) Điểm B có thể gần với Điểm A
A
B
LB(j)
A
D
LA(i)
Hình 1-4: Xác định điểm lân cận của A [17]
Trong hướng tiếp cận [17], mỗi người sử dụng A sẽ có một ngưỡng lân cận A để
xác định các đối tượng lận cận mình. Nếu khoảng cách Eulic của 2 điểm A và B nhỏ
hơn A thì điểm B gọi là lận cận của A [17].
( ( ( )
(1-2)
Để đảm bảo tính riêng tư về vị trí của người sử dụng, thay vì phải sử dụng tọa độ
vị trí địa lý thực của người A, người B thì từng tọa độ chính xác A, B sẽ được mở
rộng thành vùng LA(i) và LB(j). Trong Hình 1-4, mô tả phương pháp xác định xem
13
điểm B có là vùng lân cận của điểm A không thông qua 2 vùng mở rộng LA(i) và
LB(j).
Hình 1-4 (a): Nếu khoảng cách xa nhất D của 2 vùng mở rộng LA(i) và
LB(j) nhỏ hơn ngưỡng lân cận A của A thì điểm B sẽ là lân cận của A.
( ( ( )
(1-3)
Hình 1-4 (b): Nếu khoảng cách ngắn nhất d của 2 vùng mở rộng LA(i) và
LB(j) vẫn còn lớn hơn ngưỡng lân cận A của A thì điểm B sẽ không là lân
cận của A.
( ( ( )
(1-4)
Hình 1-4 (c): Ngược lại cả hai trường hợp (a) và (b), nhà cung cấp dịch vụ
LBS không thể xác định chính xác là điểm B có gọi là lân cận của A
không, vì vậy, nhà cung cấp dịch vụ LBS chỉ khẳng định là điểm B có thể
là lân cận của A.
( ( ( ) ( ( ( )
(1-5)
1.2 Kỹ thuật che giấu không gian
1.2.1 Giải pháp k-anonymity
Kỹ thuật che giấu không gian (Spatial Cloaking) của người sử dụng dịch vụ LBS
trong công trình [18] đã đề nghị sử dụng thông tin vị trí của k-nặc danh (k-
anonymous Location Information).
Định nghĩa 1-2 [25]: Tính nặc danh (anonymity) trong vấn đề bảo vệ tính riêng
tư là trạng thái không thể nào nhận biết được bên trong một tập các đối tượng bị
theo dõi (anonymity set).
Định nghĩa 1-3 [26]: Một đối tượng được xem là k-anonymous đối với thông
tin về vị trí khi và chỉ khi thông tin vị trí đại diện cho đối tượng đó không thể nào
phân biệt được với thông tin vị trí của ít nhất k-1đối tượng khác.
14
Theo đề xuất của công trình [18], thay vì mỗi lần giao dịch với nhà cung cấp dịch
vụ LBS, người sử dụng phải gửi thông tin vị trí chính xác của mình (x0, y0) thì thông
tin không gian của người sử dụng sẽ bị che giấu, cụ thể là thông tin không gian sẽ là
([x1, x2], [y1, y2], [t1, t2]); trong đó, [x1, x2] và [y1, y2] mô tả một vùng 2 chiều có chứa
(x0, y0), [t1, t2] là khoảng thời gian mà người dùng vẫn còn nằm trong vùng 2 chiều
trên. Như vậy, một vị trí cho một đối tượng được xem là k-anonymous khi vị trí này
không chỉ mô tả vị trí của đối tượng cần quan sát mà còn mô tả cả vị trí của k-1 đối
tượng khác. Nói cách khác, tại cùng 1 thời điểm xem xét vị trí của người sử dụng thì
vị trí đó được mở rộng ra một vùng có chứa k-1 người sử dụng khác.
Hình 1-5: k-Anonymity (k=10) [28]
Trong Hình 1-5, với k = 10 thì vị trí chính xác của người sử dụng sẽ được mở
rộng ra thành phạm vị sao cho có chứa 10 người sử dụng dịch vụ khác tại cùng thời
điểm. Vậy vị trí chính xác của người sử dụng dịch vụ được che giấu trong phạm vi vị
trí của 9 người khác cùng sử dụng dịch vụ. Nếu k càng lớn thì tập các đối tượng theo
dõi sẽ càng lớn, vùng mở rộng cho một vị trí càng rộng, do đó tính che giấu thông tin
vị trí càng cao.
Phương pháp tính vùng diện tích cho k-anonymity được mô tả trong Hình 1-6. Với
phương pháp này, đầu tiên tính vùng không gian chứa tất cả người đang sử dụng dịch
vụ, sau đó chia làm bốn vùng không gian này và chọn vùng không gian nhỏ hơn, có
chứa vị trí chính xác của người sử dụng. Tiếp tục chia nhỏ vùng không gian đã chọn
cho đến khi vùng không gian cuối cùng có chứa k người sử dụng dịch vụ.
15
Bước 1 Bước 2 Bước 3 Bước 4
Bước 5Bước 6Bước 7Bước 8Bước 9
Hình 1-6: Quy trình chọn ra vùng 5-Anonymity cho điểm tô đỏ
Nhận xét: Hướng tiếp cận [18] chỉ thật sự hiệu quả đối với bài toán bảo vệ tính
riêng tư về vị trí có mật độ của các đối tượng người sử dụng được phân bố tự nhiên.
Với các trường hợp đặc biệt, kết quả bảo vệ của mô hình lại không tốt. Với trường
hợp k = 100, nhưng địa điểm xét cho bài toán là một sân vận động quốc gia thì vùng
mở rộng cho một vị trí cũng chỉ là một vùng nhỏ. Ngược lại, nếu địa điểm của bài
toán là sa mạc thì để đạt được k = 100 thì vùng mở rộng sẽ là một diện tích rất lớn và
có khả năng không bao giờ đạt được mức an toàn mong muốn.
1.2.2 Giải pháp k-anonymity mở rộng
Để khắc phục hạn chế của công trình [18], công trình [19] đề xuất hệ thống
Casper có sử dụng thêm tham số Amin và Amax bên cạnh tham số k-anonymity cho từng
người sử dụng dịch vụ. Tham số k-anonymity nhằm xác định vùng 2 chiều chứa vị trí
thực của người sử dụng; đồng thời, phải bao phủ được k-1 người sử dụng khác tại
cùng thời điểm. Tham số Amin đưa ra chỉ số diện tích tối thiểu và tham số Amax đưa ra
chỉ số diện tích tối đa của vùng mở rộng nhằm tránh khuyết điểm phải mở rộng diện
tích khi k quá lớn hoặc quá bé mà không đảm bảo được tính nặc danh cho vị trí người
16
sử dụng. Đồng thời, người sử dụng có thể thay đổi giá trị của 3 tham số trên một cách
linh hoạt tùy vào thời điểm sử dụng.
Bảng 1-1: Một hồ sơ cho người sử dụng k-anonymity mở rộng
Time k Amin Amax
8:00 am 1 _ _
5:00 pm 100 1m 3m
10:00 pm 100 5m _
1.2.3 Nhận xét
Các hướng tiếp cận [18], [19] đã đưa ra giải pháp che giấu không gian vị trí của
người sử dụng dịch vụ dựa trên vị trí của k-1 người sử dụng dịch vụ xung quanh tại
cùng thời điểm. Tuy nhiên, vùng không gian mở rộng cho vị trí của người sử dụng sẽ
rất nhỏ nếu như vị trí của người dùng nằm trong một vùng có mật độ người sử dụng
quá cao. Ngược lại, trong vùng có mật độ người sử dụng quá thấp thì vùng không
gian mở rộng sẽ cực kỳ lớn để đảm bảo tính riêng tư cho vị trí thực của người dùng,
đồng thời, sẽ làm tăng số lượng kết quả truy vấn dịch vụ lên rất lớn tương ứng với
vùng không gian truy vấn lớn. Dù khuyết điểm này được khắc phục bằng tham số
Amin và Amax, nhưng chất lượng dịch vụ trả về cho người dùng đã bị làm giảm và tăng
chi phí lọc dữ liệu đúng cho hệ thống.
Bên cạnh đó, mặc dù kẻ tấn công không thể xác định được vị trí chính xác của
người dùng nhưng nếu kẻ tấn công theo dõi quá trình truy vấn dữ liệu nhiều lần liên
tục thì sẽ biết được lô trình di chuyển của người sử dụng dịch vụ [21]. Trong Hình
1-7, vùng xám chính là vùng mở rộng cho vị trí chính xác của người sử dụng, nhưng
quá trình thay đổi vị trí chính xác của người dùng thì không làm thay đổi nhiều về
vùng mở rộng.
Hình 1-7: Theo dõi quá trình truy vấn dữ liệu
17
1.3 Kỹ thuật làm rối thông tin
Nhằm bảo vệ tính riêng tư cho vị trí của người sử dụng dịch vụ, kỹ thuật làm rối
thông tin vị trí (obfuscation technique) đã được đề xuất trong các công trình [21],
[22], [27], [28]. Ý tưởng chính của hướng tiếp cận này là trộn thêm các thông tin giả
vào thông tin vị trí thật của người sử dụng trước khi gửi toàn bộ thông tin thật và giả
đến nhà cung cấp dịch vụ LBS. Với phương pháp này, kẻ tấn công không xác định
được thông tin nào trong số các thông tin gửi đi là của người sử dụng dịch vụ.
Công trình [21] đề xuất hướng giải quyết để khắc phục khuyến điểm của của các
hướng tiếp cận trong phần 1.1, 1.2 của chương này bằng phương pháp phát sinh
thông tin sai ngẫu nhiên (random faked location). Ý tưởng của hướng tiếp cận này là
phát sinh các thông tin nhiễu (vị trí sai) và gửi đồng thời với vị trí thật của người sử
dụng trong mỗi lần gửi thông tin yêu cầu truy vấn dịch vụ đến nhà cung cấp dịch vụ
LBS.
Hình 1-8: Quy trình hoạt động của hệ thống sử dụng kỹ thuật Dummy [21]
Như ví dụ trong Hình 1-8, Lx = (Xx, Yx) là dữ liệu vị trí x của người sử dụng (vị trí
này được ký hiệu là dấu chấm đen hình tròn trên hình). Thông điệp yêu cầu S gửi đến
nhà cung cấp dịch vụ LBS gồm có các thông tin sau :
(
Với u là định danh (ID) của người sử dụng, ( là tập các vị trí gửi
đến LBS (trong đó, có m-1 vị trí giả được phát sinh ngẫu nhiên và 1 vị trí thật của
18
người dùng). Khi nhà cung cấp dịch vụ nhận được thông điệp S thì sẽ phản hồi lại
thông điệp R chứa tập kết quả ( tương ứng với tập vị trí
( .
(( ( (
Khi người dùng nhận được tập kết quả R thì chỉ người sử dụng biết được kết quả
Di nào là đúng với vị trí thật của mình. Như vậy, nếu kẻ tấn công có theo dõi quá
trình truy vấn dữ liệu thì với hướng tiếp cận sử dụng kỹ thuật phát sinh các thông điệp
giả có thể làm cho việc suy đoán vị trí trở nên khó khăn nhiều (Hình 1-9).
Hình 1-9: Chống theo dõi quá trình truy vấn dữ liệu [21]
Bên cạnh đề xuất mô hình bảo vệ tính riêng tư về vị trí cho người sử dụng dịch vụ
LBS, công trình [21] còn đề xuất 2 thuật toán phát sinh thông điệp giả ngẫu nhiên MN
(Moving in a Neighborhood) và MLN (Moving in a Limited Neighborhood).
Để kiểm soát các thông điệp giả được phát sinh ra (số lượng phát sinh cũng như vị
trí phát sinh), công trình [22] đã đề nghị 2 thuật toán khác phát sinh thông điệp dựa
vào mô hình lưới (virtual Grid) và dựa trên mô hình tròn (virtual circle) trong hệ
thống PAD (Private-Area Aware Dummy).
Nhận xét: Với hướng tiếp cận làm rối thông tin, vị trí chính xác của người sử dụng
sẽ bị làm rối bằng cách đặt chung vị trí chính xác của người sử dụng với các vị trí giả
khác. Với phương pháp này, kết quả truy vấn dịch vụ mà người sử dụng nhận được sẽ
là kết quả chính xác. Tuy nhiên, thiết bị đầu cuối của người sử dụng phải hỗ trợ việc
tính toán và phát sinh các vị trí giả hợp lý, đồng thời phải chịu tốn chi phí lọc bỏ các
kết quả cho các vị trí sai. Ngoài ra, hướng tiếp cận này không tận dụng được việc phát
sinh vị trí giả toàn cục so với những người đang sử dụng dịch vụ tại cùng thời điểm.
19
Hình 1-10: Phát sinh thông điệp giả dựa trên mô hình Circle [22]
Hình 1-11: Phát sinh thông điệp giả dựa trên mô hình Grid [22]
1.4 Kết luận
Chương này đã trình bày tóm tắt các hướng tiếp cận trong bài toán bảo vệ tính
riêng tư của người sử dụng dịch vụ LBS trên mô hình phân tán. Trong mô hình này,
các kỹ thuật bảo vệ tính riêng tư về vị trí được thực hiện và xử lý độc lập ở mỗi người
sử dụng khác nhau, do đó phụ thuộc rất nhiều vào thiết bị sử dụng.
Với hướng tiếp cận mở rộng câu truy vấn, thông tin vị trí chính xác được mở rộng
thành một vùng để làm nhòe vị trí chính xác của người sử dụng dịch vụ. Vì vậy, vị trí
chính xác của người sử dụng được bảo vệ, ngược lại, kết quả truy vấn dịch vụ không
còn được chính xác.
Với hướng tiếp cận sử dụng kỹ thuật che giấu không gian, vị trí chính xác của
người sử dụng sẽ được mở rộng thành một vùng tùy thuộc vào k-1 người sử dụng
dịch vụ tại cùng thời điểm. Với phương pháp này, thiết bị của người sử dụng phải có
khả năng thu thập thông tin vị trí của những người xung quanh hoặc phải có một hệ
thống trung gian để cung cấp thông tin vị trí. Như vậy, việc bảo vệ thông tin vị trí của
20
người sử dụng phụ thuộc nhiều vào vị trí của những người sử dụng khác, đồng thời,
phụ thuộc vào mật độ của môi trường đang triển khai hệ thống. Hướng tiếp cận này
sẽ làm giảm hiệu quả dịch vụ trong môi trường có mật độ người sử dụng quá cao
hoặc quá thấp.
Với hướng tiếp cận làm rối thông tin, vị trí chính xác của người sử dụng được bảo
vệ bằng cách trộn chung với các vị trí giả. Như vậy, thiết bị của người sử dụng phải
phát sinh được vị trí giả hợp lý và tốn chi phí để xử lý các kết quả truy vấn trả về (loại
bỏ kết quả của câu truy vấn có vị trí giả). Ngoài ra, phương pháp này không tận dụng
được việc phát sinh truy vấn giả toàn cục.
Chương kế tiếp sẽ trình bày các hướng tiếp cận trên mô hình tập trung có khả
năng triển khai thực tế cao cho bài toán bảo vệ tính riêng tư về vị trí.