Trang nhan đề
Các thuật ngữ và từ viết tắt
Lời cảm ơn
Mục lục
Danh sách hình
Phần mở đầu:
Chương 1: Một số kĩ thuật bảo vệ tính riêng tư của dịch vụ LBS
Chương 2: Các kĩ thuật bảo vệ định danh/ tính riêng tư dựa trên Mix
Chương 3: Hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB
Chương 4 Phân tích và đánh giá
Chương 5 Kết luận và hướng Phát triển
Tài liệu tham khảo
Phụ lục
Mục lục
Phần mở đầu . . . . . 1
Giới thiệu chung . . . . 1
Lý do thực hiện đề tài . . . . 5
Mục tiêu của luận văn . . . . 7
Chương 1 Một số kỹ thuật bảo vệ tính riêng tư cho các dịch vụ LBS . 9
1.1 Kỹ thuật mở rộng câu truy vấn . . 9
1.1.1 Mở rộng vị trí tọa độ thành vị trí vùng . . . 10
1.1.2 Mở rộng vị trí vùng thành vị trí vùng khác . . 11
1.1.3 Các dịch vụ về vị trí gần nhau . . 11
1.2 Kỹ thuật che giấu không gian . . . 13
1.2.1 Giải pháp k-anonymity . . . 13
1.2.2 Giải pháp k-anonymity mở rộng . . 15
1.2.3 Nhận xét . . . . 16
1.3 Kỹ thuật làm rối thông tin . . . 17
1.4 Kết luận . . . . . 19
Chương 2 Các kỹ thuật bảo vệ định danh / tính riêng tư dựa trên Mix 21
2.1 Mô hình Mix-network . . . 21
2.1.1 Giới thiệu . . . . 21
2.1.2 Tính chất của mix . . . . . 22
2.1.3 Phân loại hệ thống mix . . . 23
2.2 Mix nhị thức . . . . 28
2.3 Framework RPROB . . . . 29
2.4 Hệ thống bảo vệ định danh về vị trí dựa trên Mix nhị thức . 30
2.5 Kết luận . . . . . 31
Chương 3 Hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB . . . . . 33
3.1 Các mô hình tấn công . . . . 33
3.1.1 Mô hình tấn công GDA . . . . 33
3.1.2 Mô hình tấn công GAA . . . . 34
3.2 Tính chất che giấu thông tin . . 35
3.2.1 Tính chất che giấu thông tin nguồn . . 35
3.2.2 Tính chất che giấu thông tin đích . . . 36
3.2.3 Tính chất che giấu thông tin vị trí . . 36
3.3 Các thành phần của hệ thống đề xuất . . . 37
3.3.1 Mô tả các thành phần của hệ thống . . 37
3.3.2 Tính chất che giấu thông tin vị trí trong hệ thống được đề suất 40
3.4 Khảo sát quá trình xử lý thông điệp đến . . . 41
iii
3.4.1 Quá trình thu thập thông điệp đến . . 42
3.4.2 Phát sinh các thông điệp yêu cầu giả . . 44
3.4.3 Lựa chọn thông điệp yêu cầu . . 47
3.4.4 Xử lý vùng không gian chứa các thông điệp được chọn . 49
3.4.5 Biến đổi và chuyển tiếp thông điệp yêu cầu đến LBS . 49
3.6 Khảo sát quá trình xử lý thông điệp phản hồi . . 51
3.6.1 Thu thập thông điệp phản hồi . . . 51
3.6.2 Phát sinh thông điệp phản hồi giả . . 53
3.6.3 Lựa chọn thông điệp phản hồi . . 55
3.6.4 Biến đổi và phân phát thông điệp phản hồi . . 55
3.7 Kết luận . . . . . 56
Chương 4 Phân tích và đánh giá . . . 58
4.1 Phân tích và đánh giá về mặt lý thuyết . . . 58
4.1.1 Công thức tính Xác suất P(S(x)=sk) . . . 58
4.1.2 Phân tích tính an toàn của hệ thống . . 60
4.1.3 Phân tích tính chất thời gian thực của hệ thống . . . 62
4.1.4 Vấn đề cân đối giữa tính chất che giấu thông tin vị trí với số lượng thông điệp giả được phát sinh . . . . . 65
4.2 Phân tích trên một số kết quả trong quá trình mô phỏng . 67
4.2.1 Điều kiện thực hiện mô phỏng . . . 67
4.2.2 Khảo sát tính chất chọn thông điệp vào cuối mỗi chu kỳ 68
4.2.3 Khảo sát thí nghiệm 1 . . . 69
4.2.4 Khảo sát thí nghiệm 2 . . . 72
4.3 Kết luận . . . . . 75
Chương 5 Kết luận và hướng Phát triển . . . 76
5.1 Các kết quả đạt được . . . 76
5.2 Hướng Phát triển . . . . . 77
Tài liệu tham khảo . . . . . 78
Phụ lục A Trích dẫn bài báo khoa học đã công bố . 81
25 trang |
Chia sẻ: lvcdongnoi | Lượt xem: 2657 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Nghiên cứu kỹ thuật bảo vệ tính riêng tư và ứng dụng trong dịch vụ điện tử, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
33
Chương 3
Hệ thống song hướng bảo vệ tính riêng tư vị trí
dựa trên nền RPROB
Tóm tắt chương:
Nội dung của Chương 3 trình bày các nội dung gồm:
Các mô hình tấn công đối với bài toán bảo vệ tính riêng tư cho người sử dụng
dịch vụ LBS.
Mô tả tính chất che giấu thông tin vị trí đã được đề xuất trong công trình [23].
Mô tả các thành phần của hệ thống bảo vệ tính riêng tư của người sử dụng
dịch vụ LBS mà luận văn đề xuất. Khảo sát quá trình hoạt động của hệ thống.
3.1 Các mô hình tấn công
3.1.1 Mô hình tấn công GDA
Với mô hình kẻ tấn công trì hoãn toàn cục GDA (Global Delaying Adversary),
kẻ tấn công hệ thống bảo vệ tính riêng tư có khả năng:
Quan sát mọi hoạt động bên ngoài hệ thống (gửi / nhận thông điệp, …).
Trì hoãn bất kỳ thông điệp nào trong bất kỳ thời điểm nào mong muốn
(bao gồm thông điệp gửi đến hệ thống và thông điệp kết quả phản hồi từ
dịch vụ LBS)
Tuy nhiên, với mô hình tấn công GDA, do tất cả thông điệp đi vào, đi ra khỏi hệ
thống bảo vệ để được mã hóa an toàn, kể cả trong quá trình truyền nhận. Vì vậy, kẻ
tấn công:
Không thể nào biết được thông tin của hệ thống.
Không thể đọc hiểu được nội dung của thông điệp gửi đến.
34
Không có khả năng tạo / phát sinh thông điệp mới.
Không thể thay đổi nội dung của thông điệp.
...
...
Người gửi
thông điệp
Người nhận
thông điệp
Người tấn công
Hệ thống bảo
vệ tính riêng tư
Hình 3-1: Mô hình tấn công GDA
3.1.2 Mô hình tấn công GAA
Mạnh hơn mô hình GDA, trong mô hình kẻ tấn công chủ động toàn cục GAA
(Global Active Adversary), kẻ tấn công hệ thống bảo vệ tính riêng tư không chỉ
mang các tính năng ưu điểm của mô hình GDA, mà còn:
Có khả năng thỏa hiệp với người sử dụng hệ thống hợp pháp để tạo ra bất
kỳ một số lượng thông điệp gửi đến hệ thống bảo vệ hoặc thêm trực tiếp
vào hàng đợi thông điệp của hệ thống bảo vệ.
...
...
Người gửi
thông điệp
Người nhận
thông điệp
Người tấn công
Hệ thống bảo
vệ tính riêng tư
Hình 3-2: Mô hình tấn công GAA
35
Cũng như mô hình GDA, với mô hình tấn công GAA, kẻ tấn công không thể
biết được thông tin của thông điệp, cũng như không thể nào đọc hiểu được nội dung
của thông điệp. Như vậy, với mô hình GAA, kẻ tấn công hoàn toàn có khả năng
buộc hệ thống đẩy tất cả thông điệp ra còn dư trong hàng đợi ra khỏi hàng đợi thông
điệp (bằng cách chèn thêm thông điệp “giả” hợp lệ vào hệ thống một cách tự động
hoặc điều khiển một người gửi hợp lệ để gửi thông điệp vào hệ thống); từ đó, có thể
kiểm soát được quá trình di chuyển thông điệp của người gửi.
3.2 Tính chất che giấu thông tin
3.2.1 Tính chất che giấu thông tin nguồn
Tính chất che giấu thông tin nguồn (source-hiding property) của một hệ thống là
giá trị tham số nếu kẻ tấn công không thể suy đoán một thông điệp x được chuyển
ra khỏi hệ thống là do một người sử dụng dịch vụ s cụ thể gửi với xác suất lớn hơn
[33].
Người
Sử dụng LBS
Nhà cung cấp
LBS
Hệ thống bảo vệ tính riêng tư
x x
Tính chất che giấu nguồn
(Source hiding property)
Hình 3-3: Tính chất che giấu thông tin nguồn
Với Hình 3-3, thông điệp x được gửi từ người sử dụng dịch vụ LBS s đến hệ
thống bảo vệ. Để đảm bảo tính chất che giấu thông tin nguồn, thông điệp x này chỉ
được đẩy ra khỏi hệ thống khi xác suất kẻ tấn công suy đoán thông điệp x là do người
sử dụng LBS s gửi nhỏ hơn giá trị . Nói cách khác, tính chất che giấu thông tin
nguồn trong trường hợp này nhằm che giấu mối liên kết giữa thông điệp gửi với
người gửi thông điệp.
36
3.2.2 Tính chất che giấu thông tin đích
Tính chất che giấu thông tin đích (destination-hiding property) là giá trị tham số
nếu kẻ tấn công không thể suy đoán một thông điệp x được gửi vào hệ thống sẽ được
chuyển tiếp đến một người nhận s cụ thể với xác suất lớn hơn [33].
Người
Sử dụng LBS
Nhà cung cấp
LBS
Hệ thống bảo vệ tính riêng tư
x x
Tính chất che giấu đích
(Destination hiding property)
Hình 3-4: Tính chất che giấu thông tin đích
Với Hình 3-4, thông điệp x được gửi từ người sử dụng dịch vụ LBS s đến hệ
thống bảo vệ. Để đảm bảo tính chất che giấu thông tin đích, thông điệp x này chỉ
được đẩy ra khỏi hệ thống khi xác suất kẻ tấn công suy đoán thông điệp x của người
sử dụng LBS s gửi đến nhà cung cấp dịch vụ nhỏ hơn giá trị . Nói cách khác, tính
chất che giấu thông tin đích trong trường hợp này nhằm che giấu mối liên kết giữa
thông điệp gửi với người nhận thông điệp (nhà cung cấp dịch vụ).
3.2.3 Tính chất che giấu thông tin vị trí
Mượn khái niệm về tính chất che giấu nguồn (source-hiding property) và tính chất
che giấu đích (destination-hiding property) trong bài báo [33], nhóm tác giả trong bài
báo [23] đã đưa ra khái niệm tương tự về tính chất che giấu vị trí (location-hiding
property) để mô tả ngưỡng riêng tư của người sử dụng dịch vụ LBS.
Định nghĩa 3-1 [23]: Một người sử dụng dịch vụ được xem là thỏa tính chất
che giấu vị trí (ngưỡng riêng tư) với tham số khi và chỉ khi kẻ tấn công không thể
suy diễn ra thông tin vị trí của người đó với xác suất lớn hơn 1 - .
Mỗi người dùng sk hệ thống sẽ tự định nghĩa cho mình một bản đồ tính riêng tư về
vị trí. Bản đổ này gồm những vùng không gian khác nhau, mỗi vùng được gán một trị
số che giấu thông tin vị trí trong khoảng [0,1). Khi người sử dụng gửi thông điệp
37
trong vùng không gian nào đó thì giá trị che giấu thông tin vị trí tương ứng sẽ được
đính kèm với thông điệp. Bản đồ tính riêng tư về vị trí này được phép cập nhật hoặc
định nghĩa lại bởi người sử dụng vào bất kỳ thời điểm nào (nếu cần).
Như vậy, nếu một người sử dụng sk gửi một thông điệp x với giá trị tính chất che
giấu vị trí (x) đến nhà cung cấp dịch vụ LBS thì người sử dụng đó không mong
muốn kẻ tấn công có thể suy diễn ra vị trí của họ với xác suất lớn hơn 1 - (x). Để đạt
được điều này, hai vấn đề sau cần được xem xét:
Kẻ tấn công không thể tạo được mối liên kết giữa một thông điệp yêu cầu x
được gửi đến nhà cung cấp dịch vụ LBS và người sử dụng sk với xác suất
lớn hơn 1 - (x). Điều này có nghĩa là thông điệp gửi đi x đạt được tính
chất che giấu nguồn với ngưỡng 1 - (x).
Kẻ tấn công không thể tạo được mối liên kết giữa thông điệp kết quả y
tương ứng với thông điệp yêu cầu x được gửi cho người sử dụng dịch vụ sk
với xác suất lớn hơn 1 - (x). Điều này có nghĩa là thông điệp kết quả y đạt
được tính chất che giấu đích với ngưỡng 1 - (x).
3.3 Các thành phần của hệ thống đề xuất
3.3.1 Mô tả các thành phần của hệ thống
Hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB (bi-
directional RPROB-based location anonymizer - RBLA2) là hệ thống bảo vệ tính
riêng tư về vị trí cho người sử dụng dịch vụ LBS.
Luận văn đề xuất kiến trúc của hệ thống bảo vệ có sử dụng 2 thành phần có cấu
trúc tương tự nhau (TLArequest và TLAresponse) và nhật ký dữ liệu (Log Database). Hai
thành phần có cấu trúc tương tự (TLArequest và TLAresponse) được xây dựng dựa trên nền
RPROB của hệ thống RBLA (RPROB-Based Location Anomymizer) [24] và có bổ
sung một số tham số hệ thống.
38
RBLA
Log Database
TLA Response
TLA Request
Người sử dụng
dịch vụ LBS
Nhà cung cấp
dịch vụ LBS
Hình 3-5: Kiến trúc các thành phần của hệ thống RBLA2
Hệ thống RBLA2 gồm có các thành phần chính sau:
TLArequest (Trusted Location Anonymizer Request): Đây là thành phần bảo
vệ tính riêng về vị trí đáng tin cậy, xử lý tất cả các thông điệp yêu cầu dịch
vụ được gửi đến từ người sử dụng dịch vụ LBS.
TLAresponse (Trusted Location Anonymizer Response): Đây là thành phần
bảo vệ tính riêng về vị trí đáng tin cậy, xử lý tất cả các thông điệp kết quả
từ các dịch vụ LBS gửi về.
Nhật ký dữ liệu (Log Database) : Đây là nhật ký dữ liệu của hệ thống được
sử dụng để ánh xạ một thông điệp kết quả trả về sẽ tương ứng với thông
điệp yêu cầu nào. Nhật ký này sẽ được sử dụng bởi 2 thành phần TLArequest
và TLAresponse.
Hình 3-5 mô tả một cách tổng quát kiến trúc và quá trình hoạt động của hệ thống
RBLA2. Để sử dụng dịch vụ LBS, người sử dụng sẽ gửi một thông điệp đến hệ thống
RBLA2, kèm theo thông điệp yêu cầu này là vị trí chính xác hiện tại của người sử
dụng. Hoạt động này được diễn ra trên một kênh truyền an toàn. Tại hệ thống RBLA2,
thành phần TLArequest chịu trách nhiệm tổng hợp và xử lý tất cả thông điệp đến. Tùy
vào cơ chế hoạt động của hệ thống bảo vệ, các thông điệp yêu cầu này sẽ được chọn
lựa và chuyển tiếp đến nhà cung cấp dịch vụ LBS tương ứng. Việc chuyển tiếp thông
39
điệp này được thực hiện dưới hình thức sao cho kẻ tấn công hệ thống không thể nào
tạo được một liên kết tương ứng giữa một thông điệp yêu cầu được chuyển tiếp đến
nhà cung cấp dịch vụ LBS và một người sử dụng dịch vụ cụ thể với một xác suất dự
đoán lớn hơn ngưỡng riêng tư. Ngưỡng riêng tư này được người sử dụng dịch vụ đính
kèm với thông điệp khi thông điệp gửi đến hệ thống RBLA2. Ngoài ra, trước khi
chuyển tiếp thông điệp đến nhà cung cấp dịch vụ LBS, hệ thống sẽ lưu lại một số
thông tin liên quan đến người sử dụng vào nhật ký dữ liệu.
Sau khi nhận được các thông điệp yêu cầu dịch vụ từ hệ thống RBLA2, nhà cung
cấp dịch vụ LBS tiến hành xử lý để trả kết quả về. Kết quả truy vấn dịch vụ sẽ được
gửi trả về cho hệ thống RBLA2. Tại hệ thống RBLA2, thành phần TLAresponse chịu
trách nhiệm tổng hợp các kết quả truy vấn dịch vụ từ các nhà cung cấp dịch vụ LBS.
Kết hợp với thông tin lưu trong nhật ký dữ liệu trước đó, thành phần TLAresponse sẽ
xử lý và chuyển tiếp các kết quả trả về này đến người sử dụng dịch vụ tương ứng. Cơ
chế chuyển tiếp thông điệp phải đảm bảo sao cho kẻ tấn công không thể nào tạo được
một liên kết tương ứng giữa một thông điệp kết quả của nhà cung cấp dịch vụ LBS và
một người sử dụng dịch vụ cụ thể nào đã gửi yêu cầu tương ứng với kết quả đang xét
với một xác suất lớn hơn một ngưỡng riêng tư mà người sử dụng dịch vụ mong muốn.
Hiển nhiên, kênh truyền từ hệ thống RBLA2 đến người sử dụng dịch vụ phải là kênh
truyền an toàn.
Với thiết kế trên, tất cả thông điệp trao đổi giữa hệ thống RBLA2 và người sử
dụng dịch vụ phải được mã hóa (và chỉ người nhận tương ứng mới giải mã lại được).
Vì vậy, kẻ tấn công không thể đọc được nội dung bên trong của các thông điệp gửi.
Bên cạnh đó, thiết kế hệ thống RBLA2 cũng mong muốn các thông điệp trao đổi giữa
hệ thống RBLA2 với các nhà cung cấp dịch LBS cũng được mã hóa an toàn. Tuy
nhiên, thực tế cho thấy, không phải nhà cung cấp dịch vụ LBS nào cũng hỗ trợ kênh
truyền an toàn. Vì vậy, hướng tiếp cận của luận văn sẽ chấp nhận ràng buộc về kênh
truyền mặc định giữa hệ thống RBLA2 với nhà cung cấp dịch vụ LBS.
Cùng với đề xuất kiến trúc hai chiều của hệ thống như trên, luận văn cũng đề xuất
danh sách các tham số toàn cục cho hệ thống RBLA2 được đặc tả chi tiết trong Bảng
3-1. Các tham số này sẽ được sử dụng để phân tích tính an toàn của hệ thống trong
Chương 4.
40
Bảng 3-1: Danh sách tham số cho hệ thống RBLA2
Tham số Mô tả ý nghĩa
max Ngưỡng cận trên của giá trị tính chất che giấu vị trí cho một thông điệp yêu
cầu ( ). Nếu giá trị tính chất che giấu vị trí của thông điệp yêu
cầu bất kỳ lớn hơn ngưỡng max này thì hệ thống RBLA2 sẽ gán lại giá trị
tính chất che giấu vị trí của thông điệp yêu cầu bằng max.
grequest Hàm mix được sử dụng để xác định xác suất mà một thông điệp yêu cầu có
thể được chọn để chuyển đi trong chu kỳ xử lý hiện tại của hệ thống.
gresponse Hàm mix được sử dụng để xác định xác suất mà một thông điệp kết quả có
thể được chọn để chuyển đi trong chu kỳ xử lý hiện tại của hệ thống.
trequest Thời gian chờ cho mỗi chu kỳ xử lý thông điệp yêu cầu.
tresponse Thời gian chờ cho mỗi chu kỳ xử lý thông điệp kết quả.
request Thời gian chờ tối đa cho một thông điệp yêu cầu. Nếu khoảng thời gian
truyền thông điệp từ người sử dụng dịch vụ đến hệ thống RBLA2 vượt quá
thời gian chờ tối đa này thì hệ thống sẽ tự động hủy bỏ thông điệp yêu cầu
nhằm đảm bảo tính an toàn cho hệ thống.
response Thời gian chờ tối đa cho một thông điệp kết quả. Nếu khoảng thời gian
truyền thông điệp từ nhà cung cấp dịch vụ LBS đến hệ thống RBLA2 vượt
quá thời gian chờ tối đa này thì hệ thống sẽ không chấp nhận kết quả này
nhằm đảm bảo tính an toàn cho hệ thống.
Roundmax Tổng số chu kỳ tối đa mà một thông điệp bị giữ lại trong hệ thống.
Dummymin Tổng số thông điệp có vị trí giả phải có trong hệ thống vào cuối mỗi chu kỳ.
rmin Bán kính vùng tối thiểu mà tất cả các thông điệp trong hàng đợi thông điệp
ra phải phủ đủ.
3.3.2 Tính chất che giấu thông tin vị trí trong hệ thống được đề suất
Để đảm bảo tính riêng tư về thông tin vị trí của người sử dụng dịch vụ LBS, hệ thống
RBLA2 phải đảm bảo được tính chất che giấu thông tin vị trí về thông tin nguồn từ phía
người sử dụng dịch vụ. Có nghĩa là kẻ tấn công không thể suy diễn được mối liên kết
giữa thông điệp chuyển tiếp ra khỏi hệ thống bảo vệ với người đã gửi thông điệp đó.
Do kênh truyền từ hệ thống RBLA2 đến nhà cung cấp dịch vụ LBS không bắt buộc
phải đảm bảo an toàn, vì vậy, hệ thống RBLA2 không thể nào đảm bảo được tính chất
che giấu vị trí về thông tin đích của thông điệp đối với nhà cung cấp dịch vụ. Ngược lại,
41
hệ thống RBLA2 sẽ đảm bảo tính chất che giấu vị trí về thông tin đích của thông điệp kết
quả của nhà cung cấp dịch vụ gửi về cho người sử dụng dịch vụ.
Kẻ tấn
công
Người
Sử dụng LBS
Nhà cung cấp
LBS
Hệ thống
bảo vệ tính riêng tư
x x
Tính chất che giấu vị trí
(Location hiding property)
y
y
Tính chất che giấu vị trí
(Location hiding property)
Hình 3-6: Tính chất che giấu vị trí trong hệ thống được đề xuất
Hình 3-6 mô tả các vị trí cần đảm bảo tính chất che giấu thông tin vị trí mà hệ
thống RBLA2 phải đảm bảo để bảo vệ tính riêng tư về vị trí cho người sử dụng dịch
vụ LBS trong hai hướng truyền và nhận dữ liệu.
3.4 Khảo sát quá trình xử lý thông điệp đến
Thông điệp đến là thông điệp yêu cầu dịch vụ được gửi từ người sử dụng dịch vụ
LBS đến hệ thống bảo mật RBLA2. Thành phần TLArequest của hệ thống RBLA2 chịu
trách nhiệm tổng hợp và xử lý các thông điệp đến này.
Đề xuất: Trong quá trình xử lý của thành phần TLArequest, luận văn đề xuất cấu
trúc của thông điệp gửi và sử dụng bổ sung các tham số sau:
Tham số ngưỡng cận trên max của giá trị tính chất che dấu thông tin vị trí
được sử dụng để hệ thống chống tấn công từ chối dịch vụ DoS.
Tham số thời gian chờ request kết hợp với nhãn thời gian của thông điệp
được sử dụng để chống tấn công trì hoãn thông điệp.
Tham số Roundmax nhằm hạn chế số lượng chu kỳ bị giữ lại của thông điệp
trong hệ thống.
42
Tham số Dummymin nhằm đảm bảo trước mỗi chu kỳ xử lý, hệ thống luôn
có sẵn một lượng thông điệp có vị trí giả trong hàng đợi.
Tham số rmin nhằm đảm bảo trước khi gửi thông điệp ra khỏi hệ thống, các
thông điệp được chọn phải phủ tối thiểu trong một vùng có bán kính r.
Quá trình xử lý thông điệp yêu cầu dịch vụ khi được gửi đến hệ thống sẽ gồm 5
bước xử lý sau:
Bước 1: Xử lý quá trình thu thập thông điệp yêu cầu được gửi đến.
Bước 2: Xử lý quá trình phát sinh thông điệp giả cho hệ thống bảo vệ.
Bước 3: Xử lý việc lựa chọn thông điệp để gửi ra khỏi hệ thống bảo vệ.
Bước 4: Xử lý vùng không gian chứa các thông điệp được chọn.
Bước 5: Xử lý quá trình biến đổi thông điệp và gửi thông điệp đến nhà
cung cấp dịch vụ LBS.
3.4.1 Quá trình thu thập thông điệp đến
RBLA
TLA Request
Kênh truyền an toàn
Người sử dụng
dịch vụ LBS
Giải mã
thông điệp
yêu cầu
Câu truy vấn
Vị trí chính xác
Thông tin LBS
Giá trị
Nhãn thời gian
max (Nếu > max)
request
Cache thông điệp
yêu cầu
≥
<
Thông điệp đã giải mã
Thông điệp được mã hóa
Hình 3-7: Quá trình thu thập thông điệp đến
Trong mỗi chu kỳ r, thành phần TLArequest nhận và lưu trữ lại mỗi thông điệp
(
đến trong hệ thống. Mỗi thông điệp đến này được truyền đi trên kênh truyền an
toàn và được mã hóa (chỉ có thành phần TLArequest mới giải mã thông điệp được).
43
Khi thông điệp đến được TLArequest , thông điệp sẽ được giải mã và lưu trong vùng
đệm hàng đợi xử lý của thành phần TLArequest.
Nội dung của thông điệp yêu cầu có cấu trúc bao gồm: câu truy vấn yêu cầu dịch
vụ, vị trí chính xác của người sử dụng dịch vụ, thông tin dịch vụ LBS sẽ sử dụng và
giá trị tính chất che giấu thông tin vị trí (
( ).
Dựa vào bản đồ tính riêng tư về vị trí của người sử dụng dịch vụ, giá trị tính chất
che giấu thông tin vị trí (
( ) này sẽ mang giá trị khác nhau ở các vùng không gian
khác nhau. Nếu giá trị này không được đính kèm với thông điệp yêu cầu thì hệ thống
bảo vệ sẽ gán giá trị mặc định là 0. Giá trị này càng lớn thì nhu cầu về tính riêng tư
của thông điệp càng lớn. Tuy nhiên, nếu giá trị về tính chất che giấu thông điệp quá
lớn thì hệ thống bảo vệ cần phải chờ một số lượng lớn các thông điệp yêu cầu khác
được gửi đến và sẽ gửi toàn bộ đến nhà cung cấp dịch vụ LBS; từ đó, sẽ dẫn đến tình
trạng hệ thống bảo vệ bị chờ trong thời gian quá dài qua nhiều chu kỳ xử lý. Giải
quyết cho vấn đề này, nhóm tác giả [23] sử dụng các thông điệp giả được phát sinh
trong chu kỳ của thông điệp để làm giảm thời gian chờ. Tuy nhiên, giải pháp này lại
tạo ra khả năng gián tiếp gây ra tấn công từ chối dịch vụ cho các nhà cung cấp dịch
vụ LBS (do gửi quá nhiều thông điệp yêu cầu không cần thiết đến nhà cung cấp dịch
vụ LBS). Để khắc phục hạn chế này, luận văn đã đề nghị sử dụng thêm tham số
ngưỡng cận trên max của giá trị tính chất che dấu thông tin vị trí. Nếu giá trị về tính
chất che giấu thông tin vị trí đính kèm thông điệp yêu cầu của người sử dụng dịch vụ
lớn hơn tham số max thì sẽ bị cập nhật lại bằng giá trị của max.
Ngoài ra, luận văn cũng đề nghị sử dụng bổ sung tham số nhãn thời gian cho
thông điệp gửi đến hệ thống. Nhãn thời gian sẽ thể hiện thời gian bắt đầu giao dịch
của người sử dụng dịch vụ và sẽ được đính kèm với thông điệp yêu cầu. Nếu khoảng
thời gian truyền thông điệp yêu cầu từ người sử dụng dịch vụ đến hệ thống RBLA2
vượt qua thời gian chờ tối đa cho phép request dành cho thông điệp yêu cầu thì điều đó
chứng tỏ có khả năng có kẻ tấn công đang thực hiện mô hình tấn công trì hoãn thông
điệp làm cho thông điệp yêu cầu bị trì hoãn trong quá trình truyền. Với lý do nghi ngờ
vậy, thành phần TLArequest sẽ tiến hành loại bỏ thông điệp yêu cầu này khỏi hệ thống.
44
3.4.2 Phát sinh các thông điệp yêu cầu giả
Vào cuối mỗi chu kỳ r, giả sử có ar thông điệp yêu cầu mới được gửi đến hệ
thống và
(
thông điệp yêu cầu cũ còn được giữ lại trong hệ thống trong chu kỳ
xử lý trước (r-1).
Với mỗi thông điệp yêu cầu x được chọn và sẽ được chuyển tiếp từ hệ thống
RBLA2 đến nhà cung cấp dịch vụ LBS, kẻ tấn công có khả năng tính toán được xác
suất để thông điệp x này được gửi bởi người gửi sk. Nếu kẻ tấn công đã nắm được
thông tin xác suất này của thông điệp x thì coi như sẽ suy diễn được vị trí của người
gửi sk với cùng một xác suất.
Thực tế cho thấy, không phải nhà cung cấp dịch LBS nào cũng hỗ trợ cung cấp
dịch vụ trên kênh truyền an toàn có mã hóa. Vì lý do trên, các hệ thống bảo vệ buộc
phải thực hiện việc truyền nhận dữ liệu với các nhà cung cấp dịch vụ với kênh truyền
dữ liệu truyền thống (không có mã hóa dữ liệu). Nếu dữ liệu được truyền trên kênh
không an toàn thì kẻ tấn công hoàn toàn có thể biết được thông tin vị trí trong thông
điệp yêu cầu x. Ngoài ra, dù kênh truyền từ hệ thống bảo vệ đến nhà cung cấp dịch vụ
là kênh an toàn thì vẫn có khả năng bị lộ thông tin vị trí trong thông điệp x nếu kẻ tấn
công có quyền kiểm soát hoặc đã thỏa thuận với nhà cung cấp dịch vụ LBS. Vì vậy,
hệ thống cho phép người sử dụng dịch vụ định nghĩa một ngưỡng riêng tư đối với vị
trí cho mỗi yêu cầu gửi đến hệ thống nhằm che giấu thông tin vị trí đến một mức độ
mong muốn để làm giảm xác suất suy đoán của kẻ tấn công.
Công thức tính xác suất để xác định một thông điệp yêu cầu x được gửi bởi người
sử dụng dịch vụ sk tại chu kỳ thứ r được chứng minh trong công trình [24] như sau:
( (
|
(
|
∑
|
(
|
(∏
(
)
(3-1)
Trong công thức (3-1),
(
là số lượng thông điệp được người sử dụng sk gửi vào
hệ thống trong chu kỳ thứ r; nr là tổng số thông điệp có trong hệ thống vào cuối chu
kỳ thứ r;
(
là tổng số thông điệp đã được giữ lại trong hệ thống trong chu kỳ xử lý
45
thứ i. Chi tiết chứng minh cho công thức (3-1) của công trình [24] được trình bày tóm
tắt lại trong phần 4.1.1 của luận văn.
Theo công thức (3-1), kẻ tấn công hệ thống theo mô hình GAA phải biết chính
xác tổng số thông điệp yêu cầu nr có trong hàng đợi thông điệp yêu cầu của hệ thống
trong chu kỳ r và những chu kỳ trước đó để có thể tính được chính xác xác suất thông
điệp x là thông điệp của người gửi sk. Tuy nhiên, thật tế là kẻ tấn công không thể ước
luợng chính xác con số tổng này [24]. Điều đó đã đảm bảo được việc chống lại kẻ tấn
công tính toán chính xác con số xác suất trên.
Tuy nhiên, nhằm đảm bảo tính riêng tư cho người sử dụng dịch vụ dù kẻ tấn công
có biết được chính xác hay ước lượng được các tham số trong công thức (3-1), nếu
thông điệp yêu cầu đến hệ thống mà không thỏa tính chất che giấu thông tin vị trí của
thông điệp tại thời điểm đó thì thành phần TLArequest sẽ phát sinh các thông điệp có
chứa vị trí giả (dummy message) cho đến khi toàn bộ thông điệp trong hàng đợi để
thỏa tính chất che giấu thông tin vị trí.
RBLA
TLA Request
Giải mã
thông điệp
yêu cầu
Cache thông điệp
yêu cầu
Thông điệp đã giải mã
Thông điệp được mã hóa
Thỏa tính chất
che giấu thông tin
vị trí
Lựa chọn thông
điệp để phân
phát
Thỏa
Không
Thỏa
Phát sinh
thông điệp
giả
Thông điệp giả
Hình 3-8: Quá trình phát sinh các thông điệp yêu cầu giả
46
Thuật toán MLN (Moving in a Limited Neighborhood) [21] được áp dụng để phát
sinh các thông điệp giả có ý nghĩa. Trong các thông điệp giả này, thông tin liên quan
đến nhà cung cấp dịch vụ LBS được thành phần TLArequest chọn ngẫu nhiên, thông tin
về loại dịch vụ sử dụng cũng được lấy ngẫu nhiên từ nhà cung cấp dịch vụ LBS đã
chọn và giá trị tính chất che giấu thông tin vị trí của các thông điệp giả này được gán
bằng 0.
Chiến lược phát sinh một số lượng thông điệp giả phải đảm bảo giá trị tính chất
che giấu thông tin vị trí của mỗi thông điệp yêu cầu trong hàng đợi của hệ thống được
thỏa theo công thức (3-2) sau:
( ( (
(3-2)
trong đó, (x) là ngưỡng riêng tư của thông điệp x.
Trong chu kỳ r của hệ thống,
(
thông điệp giả được bổ sung vào, vậy tổng số
thông điệp trong hàng đợi sẽ là
(
thông điệp. Từ công thức (3-1) và công
thức (3-2) ta có :
|
(
| ∑ |
(
| (∏
(
)
( (
(3-3)
Trong đó,
(
là tập hợp tất cả các thông điệp của một người sử dụng dịch vụ sk
đã gửi trong chu kỳ r của hệ thống. Vì vậy, để đảm bảo yêu cầu về tính riêng tư cho
một thông điệp x cụ thể thì tổng số lượng thông điệp giả
(
phải bổ sung vào hàng
đợi phải nhỏ hơn số sau:
|
(
| ∑ |
(
| (∏
(
)
(
(3-4)
47
Vậy, tổng số thông điệp giả phải phát sinh tối thiểu trong chu kỳ r tương ứng với
từng thông điệp yêu cầu thật x của toàn hệ thống được tính theo công thức (3-5) :
{
⌈
⌈
⌈
⌈
⌈
|
(
| ∑ |
(
| (∏
(
)
(
⌉
⌉
⌉
⌉
⌉
}
(3-5)
Việc phát sinh thông điệp yêu cầu giả bổ sung vào hàng đợi của hệ thống nhằm
đảm bảo tất cả thông điệp trong hàng đợi tại chu kỳ r đều đủ điều kiện để được xét
chọn trong bước xử lý kế. Như vậy, các thông điệp đều có cơ hội được chọn để
chuyển ra khỏi hệ thống bảo vệ ngay trong chu kỳ mà thông điệp yêu cầu đi vào hệ
thống. Điều này đã làm giảm thời gian chờ của mỗi thông điệp trong hệ thống.
Trước khi qua bước xử lý kế tiếp, thành phần TLArequest sẽ kiểm tra tổng số thông
điệp giả có trong hàng đợi. Với
(
là tổng số thông điệp giả còn giữ lại trong hệ
thống trong chu kỳ trước (r-1). Nếu
(
(
và trong hệ
thống có ít nhất một thông điệp thật thì một lượng thông điệp có vị trí giả khác
(
được bổ sung thêm vào hệ thống để thỏa điều kiện trên. Như vậy, vào cuối bước này,
ta có tổng số thông điệp giả phải phát sinh thêm trong hệ thống là
(
(
(
và
(
(
. Việc phát sinh bổ sung thông điệp giả
vào cuối bước này nhằm đảm bảo trong hệ thống lúc nào cũng có một lượng thông
điệp giả nằm cùng với các thông điệp thật của hệ thống.
3.4.3 Lựa chọn thông điệp yêu cầu
Sau quá trình phát sinh thông điệp yêu cầu giả vào hàng đợi thông điệp của hệ
thống, tất cả các thông điệp trong hàng đợi đều đã thỏa tính chất che giấu thông tin vị
trí và sẵn sàng được chọn để chuyển tiếp đến các nhà cung cấp dịch vụ LBS trong
bước xử lý kế tiếp. Trong bước xử lý này, tổng số thông điệp trong hàng đợi của
thành phần TLArequest là :
(
(
.
48
Với mỗi thông điệp yêu cầu
(
, kiểm tra tổng số chu kỳ mà thông điệp bị giữ lại
trong hệ thống trong các chu kỳ trước. Nếu thông điệp đã bị giữ lại hơn Roundmax chu
kỳ thì thông điệp yêu cầu
(
được chọn để chuyển ra khỏi hệ thống. Gọi cr là tổng
số thông điệp bị giữ lại quá Roundmax chu kỳ. Số lượng cr thông điệp này sẽ được ưu
tiên cho ra khỏi hệ thống.
Mỗi thông điệp yêu cầu trong danh sách (nr-cr) thông điệp còn lại được lựa chọn
một cách độc lập với xác suất được tính dựa vào giá trị của hàm mix grequest(nr). Ký
hiệu br là tổng số thông điệp yêu cầu được chọn trong chu kỳ thứ r của hệ thống để
phân phát đến các nhà cung cấp dịch vụ LBS (đã bao gồm cr thông điệp bị giữ quá số
lượng chu kỳ cho phép, ). Do việc chọn lựa cho các thông điệp yêu cầu
(thật và giả) được thực hiện độc lập với nhau, vì vậy, việc chọn lựa này tuân theo
phân phối nhị thức.
Sau lần chọn lựa thông điệp này, trong hàng đợi thông điệp của thành phần
TLArequest sẽ còn lại
(
thông điệp yêu cầu (bao gồm cả thông điệp thật
lẫn thông điệp giả). Số lượng thông điệp này sẽ nằm lại trong hàng đợi và chờ lần
chọn lựa kế tiếp trong chu kỳ kế r + 1.
RBLA
TLA Request
Giải mã
thông điệp
yêu cầu
Cache thông điệp
yêu cầu
Thông điệp đã giải mã
Thông điệp được mã hóa
Lựa chọn
thông điệp
để phân phát
Thông điệp giả
grequest
Thông điệp
đi ra hệ thống
Thông điệp
ở lại hệ thống
Hình 3-9: Quá trình chọn thông điệp yêu cầu
49
3.4.4 Xử lý vùng không gian chứa các thông điệp được chọn
Để đảm bảo được tính che giấu vị trí cho các thông điệp trong hệ thống trong
trường hợp tất cả thông điệp được chọn để gửi ra hệ thống có vị trí quá gần nhau, hệ
thống đưa ra ngưỡng bán kính an toàn rmin.
Với br thông điệp được chọn để gửi ra ngoài, hệ thống tính vùng không gian chứa
vừa đủ br thông điệp trên. Gọi rr là bán kính chứa br thông điệp được gửi ra ngoài tại
chu kỳ r. Nếu thì tiến hành mở rộng vùng không gian chứa thông điệp ra
ngoài sao cho có thể đạt được ngưỡng vùng không gian an toàn.
Trong trường hợp có tồn tại k thông điệp giả trong số br thông điệp được chọn để
gửi ra, hệ thống tiến hành thay đổi thông tin vị trí của k thông điệp giả này sao cho
vùng không gian chứa br thông điệp đạt được ngưỡng vùng không gian an toàn.
Trong trường hợp không có bất kỳ thông điệp giả trong số br thông điệp được
chọn để gửi, hệ thống sẽ lấy Dummymin thông điệp giả bị giữ lại trong chu kỳ r của hệ
thống bổ sung vào br thông điệp được chọn đi để đảm bảo vùng không gian bao phủ
tất cả thông điệp gửi ra ngoài đểu nằm trong vùng không gian an toàn. Đồng thời,
Dummymin thông điệp này sẽ được cập nhật lại thông tin vị trí để thỏa điều kiện vùng
không gian an toàn cho thông điệp gửi đi.
3.4.5 Biến đổi và chuyển tiếp thông điệp yêu cầu đến LBS
Sau bước xử lý vùng không gian chứa các thông điệp yêu cầu được chọn trong
hàng đợi, hệ thống đã lựa chọn được br thông điệp yêu cầu để xử lý gửi đi. Ký hiệu
(
là thông điệp yêu cầu thứ j được biến đổi trong số br thông điệp để chuyển đi đến
nhà cung cấp dịch vụ LBS. Nội dụng thông điệp chuyển đi gồm có: nội dung câu truy
vấn, vị trí người sử dụng dịch vụ (được xem như là tham số cho câu truy vấn).
Theo mô hình hoạt động của hệ thống bảo vệ trong công trình [24], thông điệp
chuyển đi từ hệ thống bảo vệ đến nhà cung cấp dịch vụ LBS sẽ truyền trên một kênh
truyền an toàn. Đây là mô hình lý tưởng để bảo vệ tính riêng tư của người sử dụng
dịch vụ. Tuy nhiên, thực tế là không phải tất cả dịch vụ đều hỗ trợ kênh truyền an
toàn. Vì thế, thông điệp chuyển đi từ thành phần TLArequest của hệ thống đến nhà
cung cấp dịch vụ LBS sẽ thực hiện trên kênh truyền không bắt buộc phải an toàn.
50
Điều này có nghĩa là nội dung của thông điệp chuyển đi (có thể) sẽ không được mã
hóa. Trước khi chuyển các thông điệp ứng viên này ra khỏi hệ thống, thứ tự của các
thông điệp này (so với thứ tự các thông điệp được gửi vào hệ thống từ các người sử
dụng dịch vụ) sẽ bị thay đổi theo một trật tự ngẫu nhiên.
Toàn bộ br thông điệp sẽ bị xóa khỏi hàng đợi thông điệp của thành phần
TLArequest. Ngoài ra, thành phần TLArequest sẽ ghi xuống nhật ký dữ liệu (log
database) thông tin nhạy cảm của các thông điệp chuyển đi (Session ID, người đã gửi
thông điệp yêu cầu, giá trị tính chất che giấu thông tin vị trí của thông điệp gốc, nhãn
thời gian lúc chuyển đi). Những thông tin lưu trong nhật ký này sẽ được sử dụng để
xử lý thông điệp kết quả phản hồi từ nhà cung cấp dịch vụ LBS sau này.
Hình 3-10 mô tả quá trình xử lý việc biến đổi và chuyển tiếp các thông điệp yêu
cầu đến nhà cung cấp dịch vụ LBS.
RBLA
TLA Request
Giải mã
thông điệp
yêu cầu
Cache thông điệp
yêu cầu
Thông điệp đã giải mã
Thông điệp được mã hóa
Thông điệp giả
Mã hóa
thông điệp
Thông tin LBS
Nhà cung cấp
dịch vụ LBS
Kênh truyền an toàn
Kênh truyền bình thường
Thông điệp
đi ra hệ thống
Câu truy vấn
Vị trí
Giá trị
Nhãn thời gian
Thông tin Sender
Session ID
Log Database
Hình 3-10: Quá trình biến đổi và chuyển thông điệp yêu cầu
51
3.6 Khảo sát quá trình xử lý thông điệp phản hồi
Thông điệp phản hồi là thông điệp kết quả truy vấn dịch vụ được gửi từ nhà cung
cấp dịch vụ LBS đến hệ thống bảo mật RBLA2. Thành phần TLAresponse của hệ thống
RBLA2 sẽ chịu trách nhiệm tổng hợp, xử lý các thông điệp phản hồi này. Thông điệp
phản hồi này sẽ chứa nội dung kết quả truy vấn dịch vụ tương ứng với thông điệp yêu
cầu được gửi từ thành phần TLArequest đến nhà cung cấp dịch vụ LBS trước đó.
Nếu thành phần TLAresponse của hệ thống nhận được thông điệp phản hồi m từ nhà
cung cấp dịch vụ LBS và chuyển ngay thông điệp này đến người sử dụng dịch vụ
tương ứng sk thì kẻ tấn công sẽ dễ dàng suy diễn được thông điệp phản hồi m sẽ là
thông điệp phản hồi cho người sk. Trong trường hợp, kẻ tấn công kiểm soát được nhà
cung cấp dịch vụ LBS nữa thì kẻ tấn công sẽ dễ dàng suy diễn ra được vị trí ban đầu
của người sử dụng dịch vụ sk. Như vậy, thành phần TLAresponse cũng phải thu thập
thông điệp phản hồi từ các nhà cung cập dịch vụ và lưu giữ lại trong hàng đợi trong
một khoảng thời gian chờ tresponse trước khi xử lý và chuyển các thông điệp phản hồi
đến người sử dụng dịch vụ tương ứng theo lô.
Luận văn cũng đề xuất 4 bước xử lý thông điệp phản hồi tương tự với 4/5 bước xử
lý thông điệp yêu cầu của thành phần TLArequest. Tuy nhiên, mỗi bước xử lý của thành
phần TLAresponse sẽ có các thao tác xử lý khác.
Bước 1: Xử lý quá trình thu thập thông điệp phản hồi được gửi đến.
Bước 2: Xử lý quá trình phát sinh thông điệp giả cho hệ thống bảo vệ.
Bước 3: Xử lý việc lựa chọn thông điệp để gửi ra khỏi hệ thống bảo vệ.
Bước 4: Xử lý quá trình biến đổi thông điệp và gửi thông điệp phản hồi về
cho người sử dụng dịch vụ LBS.
3.6.1 Thu thập thông điệp phản hồi
Tương tự như thành phần TLArequest, tại mỗi chu kỳ xử lý r, thành phần TLAresponse
cũng thu thập các thông điệp phản hồi từ nhà cung cấp dịch vụ LBS và lưu trữ lại
trong hàng đợi thông điệp phản hồi của thành phần TLAresponse. Thông điệp phản hồi
m có thể ở dạng thô hoặc dạng mã hóa (tùy thuộc vào nhà cung cấp dịch vụ LBS có
52
hỗ trợ kênh truyền an toàn không). Nếu thông điệp phản hồi m bị mã hóa thì thông
điệp sẽ được giải mã tại thành phần TLAresponse của hệ thống.
RBLA
TLA Response
Kênh truyền an toàn
Thông điệp đã giải mã
Thông điệp được mã hóa
Thông điệp giả
KQ truy vấn
Log Database
Session ID
Kênh truyền bình thường
Giải mã
thông điệp
Thông tin LBS
Nhà cung cấp
dịch vụ LBS
Session ID
Session ID
Giá trị
Nhãn thời gian
Thông tin Sender
KQ truy vấn
Thông tin Sender
Giá trị
Nhãn thời gian
response
Cache thông điệp
Kết quả
≥
<
Hình 3-11: Quá trình thu thập thông điệp phản hồi
Không giống như cấu trúc nội dung của thông điệp yêu cầu, nội dung thông điệp
phản hồi chỉ có thông tin kết quả truy vấn dịch vụ, không có bất kỳ thông tin nào liên
quan đến yêu cầu về tính riêng tư cũng như nhãn thời gian. Tuy nhiên, mỗi giao dịch
kết nối giữa hệ thống RBLA2 với nhà cung cấp dịch vụ LBS đều được thiết lập và
duy trì, vì vậy, thành phần TLAresponse sẽ dễ dàng tìm lại thông tin nhật ký của thông
điệp yêu cầu x (tương ứng với thông điệp phản hồi m) thông qua SessionID đã lưu trữ
trước đó. Như vậy, dựa vào thông tin lưu trong nhật ký dữ liệu, thông điệp phản hồi
m sẽ có thêm các thông tin liên quan sau: thông tin người sử dụng đã gửi yêu cầu dịch
vụ tương ứng với kết quả này, giá trị tính chất che giấu thông tin vị trí và nhãn thời
gian lúc hệ thống bắt đầu giao dịch gửi yêu cầu đến nhà cung cấp dịch vụ LBS.
Với thông tin nhãn thời gian bổ sung vào thông điệp phản hồi, thành phần
TLAresponse sẽ quyết định xem có chấp nhận hay loại bỏ thông điệp phản hồi này. Nếu
53
thời gian giao dịch từ lúc hệ thống gửi thông điệp yêu cầu x đi cho đến khi nhận được
thông điệp phản hồi m này vượt quá thời gian chờ đối đa cho phép response thì thông
điệp phản hồi này sẽ bị từ chối nhằm tránh rò rỉ thông tin của người sử dụng dịch vụ
và đảm bảo tính an toàn, chống tấn công theo mô hình trì hoãn thông điệp cho hệ
thống. Ngược lại, thông điệp phản hồi sẽ được đưa vào hàng đợi thông điệp của thành
phần TLAresponse , chờ xử lý và chuyển đi cho người sử dụng dịch vụ tương ứng.
Ngoài ra, nếu thông điệp phản hồi m tương ứng với thông điệp yêu cầu x là thông
điệp giả thì hệ thống sẽ hủy thông điệp phản hồi kết quả m.
3.6.2 Phát sinh thông điệp phản hồi giả
Vào cuối chu kỳ r, trong hàng đợi thông điệp phản hồi của hệ thống sẽ có ar thông
điệp phản hồi mới và
(
thông điệp phản hồi còn tồn lại trong hệ thống trong chu
kỳ trước đó r-1. Nhờ vào các thông tin bổ sung từ nhật ký dữ liệu, mỗi thông điệp
phản hồi đều được gán thêm một giá trị tính chất che giấu thông tin vị trí của thông
điệp yêu cầu tương ứng.
Tương tự quy trình gửi, thành phần TLAresponse cũng tính xác suất để kẻ tấn công
có thể suy diễn được người sử dụng sk được nhận thông điệp phản hồi m trong chu kỳ
r gửi thông điệp của TLAresponse theo công thức (3-6) sau:
( (
|
(
|
∑
|
(
|
(∏
(
)
(3-6)
Trong đó,
(
là tập hợp các thông điệp phản hồi được gửi cho người sử dụng
dịch vụ sk trong chu kỳ r của hệ thống.
Tương tự như giai đoạn phát sinh thông điệp yêu cầu giả trên 3.4.2, nếu mỗi thông
điệp phản hồi trong hàng đợi thông điệp đều thỏa tính chất che giấu thông tin vị trí
tương ứng của từng thông điệp thì không cần phải phát sinh bổ sung các thông điệp
phản hồi giả. Ngược lại, thành phần TLAresponse sẽ phải phát sinh ngẫu nhiên
(
thông điệp phản hồi giả, mỗi thông điệp giả này sẽ được gửi đến một trong
những người sử dụng dịch vụ được chọn ngẫu nhiên.
54
RBLA
TLA Response
Thông điệp đã giải mã
Thông điệp được mã hóa
Thông điệp giả
…….
Cache thông điệp
yêu cầu
Thỏa tính chất
che giấu thông tin
vị trí
Lựa chọn thông
điệp để gửi
Thỏa
Không
Thỏa
Phát sinh
thông điệp
giả
Hình 3-12: Quá trình phát sinh thông điệp phản hồi giả
Việc sử dụng các thông điệp phản hồi giả nhằm chống lại kẻ tấn công có khả năng
suy đoán ra mối liên kết giữa người gửi sk với một thông điệp phản hồi cụ thể với xác
suất lớn hơn giá trị tính chất che giấu thông tin vị trí. Một điều cần lưu ý là thông điệp
phản hồi giả không thật sự tương ứng với một người sử dụng dịch vụ LBS cụ thể, vì
vậy, giá trị tính chất che giấu thông tin vị trí của thông điệp phản hồi giả sẽ bằng 0.
Do các thông điệp phản hồi giả không nhất thiết phải là thông điệp có nghĩa, vì
vậy, việc phát sinh thông điệp phản hồi giả không phức tạp như việc phát sinh các
thông điệp yêu cầu giả. Các thông điệp phản hồi giả đơn giản được tạo ra có nội dung
là một dãy bit ngẫu nhiên. Tương tự như phần 3.4.2, số lượng thông điệp phản hồi giả
tối thiểu
(
phải phát sinh trong chu kỳ r cho từng thông điệp phản hồi thật m được
tính theo công thức (3-7) sau:
{
⌈
⌈
⌈
⌈
⌈
|
(
| ∑ |
(
| (∏
(
)
(
⌉
⌉
⌉
⌉
⌉
}
(3-7)
55
3.6.3 Lựa chọn thông điệp phản hồi
Mỗi thông điệp phản hồi được lựa chọn một cách độc lập với xác suất được tính
dựa trên giá trị của hàm mix gresponse(mr). Ký hiệu br là tổng số thông điệp phản hồi
được chọn trong chu kỳ thứ r của hệ thống để gửi về cho người sử dụng tương ứng.
Việc chọn lựa này tuân theo phân phối nhị thức.
Sau lần chọn lựa thông điệp này, trong hàng đợi thông điệp của thành phần
TLAresponse sẽ còn lại
(
thông điệp phản hồi (cả thông điệp thật lẫn
thông điệp giả). Số lượng thông điệp còn lại này sẽ nằm lại trong hàng đợi và chờ lần
chọn lựa trong chu kỳ kế tiếp r + 1.
RBLA
TLA Response
Thông điệp đã giải mã
Thông điệp được mã hóa
Thông điệp giả
…….
Lựa chọn thông
điệp để gửi
gresponse
Thông điệp
đi ra hệ thống
Thông điệp
ở lại hệ thống
Hình 3-13: Quá trình lựa chọn thông điệp phản hồi
3.6.4 Biến đổi và phân phát thông điệp phản hồi
Do kênh truyền giữa hệ thống (cụ thể là thành phần TLAresponse) và người sử dụng
dịch vụ là kênh truyền an toàn. Vì vậy, thông tin trong thông điệp phản hồi được chọn
để gửi đi sẽ được mã hóa và gửi đến người sử dụng dịch vụ tương ứng. Các thông
điệp thật sẽ được giải mã tại thiết bị phía người sử dụng dịch vụ để lấy kết quả phản
hồi từ dịch vụ LBS, riêng các thông điệp giả được phát sinh sẽ bị loại bỏ.
56
RBLA
TLA Response
Người sử dụng
dịch vụ LBS
Thông điệp đã giải mã
Thông điệp được mã hóa
Thông điệp giả
…….
Thông điệp
đi ra hệ thống
Mã hóa
thông điệp
Kênh truyền an toàn
Giải mã
thông điệp
Hình 3-14: Quá trình biến đổi và chuyển thông điệp phản hồi ra hệ thống
Một trong các vấn đề cần phải giải quyết trong bước này là ứng với mỗi thông
điệp yêu cầu khác nhau gửi đến nhà cung cấp dịch vụ LBS sẽ có các thông điệp phản
hồi kết quả khác nhau, đặc biệt và quan trọng là khác nhau về kích thước. Vì vậy, dù
thông điệp phản hồi đã được mã hóa trước khi gửi về cho người sử dụng, nhưng nếu
kích thước các thông điệp phân biệt quá lớn thì cũng dễ dàng bị kẻ tấn công phát
hiện. Do đó, để giải quyết trường hợp này, trước khi các thông điệp kết quả được gửi
về cho người sử dụng dịch vụ tương ứng, hệ thống sẽ tách nhỏ các thông điệp kết quả
thành những thông điệp kết quả nhỏ, có kích thước gần nhau, sau đó gửi về cho người
sử dụng.
3.7 Kết luận
Chương này trình bày chi tiết mô hình hệ thống bảo vệ được đề xuất của luận văn.
Với việc phân tích 2 mô hình tấn GDA và GAA rất hiệu quả cho các hệ thống bảo vệ
được phát triển trên mô hình tập trung, luận văn đã đề xuất một mô hình bảo vệ 2
chiều truyền dữ liệu và nhận kết quả cho người sử dụng dịch vụ LBS và kèm theo
danh sách các tham số hệ thống được đề nghị sử dụng cho hệ thống. Bên cạnh đó,
57
chương này cũng mô tả chi tiết quá trình hoạt động của hệ thống bảo vệ từ pha nhận
thông tin yêu cầu truy vấn dịch vụ LBS đến pha trả kết quả truy vấn của nhà cung cấp
dịch vụ LBS về cho người sử dụng dịch vụ.
Chương kế tiếp sẽ phân tích và đánh giá tính an toàn và hiệu quả của mô hình hệ
thống được luận văn đề xuất trên 2 mặt: Lý thuyết và mô phỏng hệ thống.