Các mô hình tấn công tính riêng tƣ

Một phần của tài liệu Vấn đề bảo vệ tính riêng tư trong các dịch vụ dựa trên vị trí (Trang 47)

Nếu kẻ địch điều khiển để lấy đƣợc thông tin về vị trí của những ngƣời dùng, kẻ địch này có thể liên kết đƣợc các vị trí ngƣời dùng với các truy vấn của họ. Hai cách sau đây để biết đƣợc các vị trí ngƣời dùng:

+ Vị trí những ngƣời dùng có thể là công khai.

+ Kẻ địch có thể thuê ngƣời nào đó để sử dụng hệ thống và giữ sự quan sát vị trí thực của ngƣời dùng với vị trí hoặc vùng đƣợc đƣa ra.

Hai cách thức của sự riêng tƣ: Vị trí riêng tƣ và truy vấn riêng tƣ

(1)Vị trí riêng tƣ: Những ngƣời dùng muốn giấu thông tin vị trí và thông tin truy vấn của họ

(2)Truy vấn riêng tƣ: Những ngƣời dùng không chủ tâm hoặc bắt buộc để lộ ra vị trí của họ. Tuy nhiên, họ muốn giấu các truy vấn của họ.

2.3.2. Kẻ địch cố gắng theo dõi vị trí và truy vấn ngƣời dùng

Theo dõi vị trí: Kẻ địch có thể liên kết dữ liệu từ một vài vị trí liên tiếp nhau, sử dụng ký hiệu giống nhau. Theo dõi vị trí có thể tránh đƣợc bằng việc sinh ra các ký hiệu khác nhau cho mỗi vị trí cập nhật.

Theo dõi truy vấn: Kẻ địch có thể quan sát các truy vấn liên tiếp đáng chú ý có thể để phát hiện nhận dạng ngƣời dùng. Thậm chí với các ký hiệu khác nhau, các truy vấn đáng chú ý có thể đƣợc liên kết với nhau.

2.3.3. Mô hình kẻ địch tấn công

2.3.3.1. Vị trí rải rác

Vị trí rải rác lấy đƣợc vị trí khi: - Các vị trí ngƣời dùng đã biết

- Một vài ngƣời dùng có các vị trí nằm ngoài

Vùng không gian che giấu nói trên phủ một vùng thƣa thớt (ngƣời dùng A) và một bộ phận vùng dày đặc (các ngƣời dùng B,C, và D), kẻ địch có thể dễ dàng tính toán ngƣời đƣa ra truy vấn là một vùng ngoài [12].

2.3.3.2. Vùng biên di chuyển lớn nhất (Hình 2.11)

Vùng biên di chuyển lớn nhất lấy đƣợc vị trí khi:

- Vị trí liên tiếp đƣợc cập nhật hoặc các truy vấn liên tục đƣợc tính toán - Các ký hiệu giống nhau đƣợc sử dụng cho hai lần cập nhật liên tiếp

- Tốc độ có thể cực đại đã đƣợc biết. Tốc độ cực đại đƣợc sử dụng để lấy vùng biên di chuyển lớn nhất (MBB). Ngƣời dùng đƣợc định vị tại vùng giao của MBB với vùng che giấu mới [12]:

2.3.3.3. Tấn công theo dõi truy vấn

Cách tấn công này lấy đƣợc vị trí khi:

- Vị trí cập nhật liên tục hoặc truy vấn liên tục đƣợc tính toán

- Các kí hiệu giống nhau đƣợc sử dụng cho vài lần cập nhật liên tiếp - Các vị trí ngƣời dùng đã đƣợc biết

- Mỗi lần truy vấn đƣợc đƣa ra, tất cả ngƣời dùng trong vùng truy vấn là các ứng cử viên để trở thành truy vấn đƣa ra.

Nếu truy vấn này đƣợc đƣa ra lần nữa, phần giao của các ứng cử viên giữa các khoảng cách truy vấn làm giảm sự riêng tƣ của ngƣời dùng.

Ví dụ:

+ Tại thời điểm ti gồm các vị trí của ngƣời dùng {A,B,C,D,E} + Tại thời điểm ti+1 gồm các vị trí của ngƣời dùng {A,B,F,G,H} + Tại thời điểm ti+2 gồm các vị trí của ngƣời dùng {A,F,G,H,I}

2.3.4. Các giải pháp cho các mô hình tấn công

2.3.4.1. Giải pháp cho vị trí rải rác:

Vùng thuộc tính k-Sharing: Một vùng không gian che giấu không chỉ chứa ít

nhất k ngƣời dùng khác, mà còn đƣợc chia sẻ với ít nhất k ngƣời dùng này. Các vùng không gian che giấu giống nhau đƣợc đƣa ra từ k ngƣời dùng. Kẻ địch

không thể liên kết vào vùng này từ một vùng ngoài. Có thể không có kết quả trong vùng che giấu tốt nhất cho mỗi ngƣời dùng, nhƣng nó có thể có kết quả trong một môi trƣờng quan tâm đến sự riêng tƣ [7,8].

2.3.4.2. Giải pháp cho vùng biên di chuyển lớn nhất

* Thuộc tính cập nhật an toàn: Hai vùng che giấu liên tiếp Ri và Ri+1 từ

các ngƣời dùng giống nhau đƣợc giải phóng từ vùng biên di chuyển lớn nhất khi rơi vào một trong 3 điều kiện sau:

(1) Vùng giao thỏa mãn yêu cầu ngƣời dùng

Hình 2.12. Thuộc tính cập nhật an toàn

* Patching và Delaying:

+ Patching: Kết hợp vùng không gian che giấu hiện thời với vùng trƣớc đó:

Hình 2.13. Patching

+ Delaying: Mở rộng vùngcập nhật cho đến khi MBB bao phủ vùng không gian che giấu hiện thời

Hình 2.14. Delaying

2.3.4.3. Giải pháp cho tấn công theo dõi truy vấn

Ghi nhớ thuộc tính: Nhớ một tập ngƣời dùng S đƣợc chứa trong vùng không gian che giấu khi truy vấn đƣợc bắt đầu đăng ký với cơ sở dữ liệu server. Điều chỉnh các vùng không gian che giấu tiếp sau để chứa ít nhất k ngƣời dùng. Nếu ngƣời dùng S không đƣợc chứa trong vùng không gian che giấu điều chỉnh, ngƣời dùng này lập tức bị di chuyển từ S. Kết quả này trong vùng không gian che giấu rất rộng. Tại vài thời điểm, server có thể quyết định để ngắt kết nối truy vấn và khởi động lại nó với một định danh mới.

2.4. Một số giải pháp bảo vệ vị trí riêng tư

2.4.1. Sự rủi ro của vị trí riêng tƣ

Sự phát triển của công nghệ định vị toàn cầu và công nghệ truyền thông di động tạo ra nhiều cơ hội cho các ứng dụng di động dựa trên vị trí, nhƣng chúng còn tạo ra những nguy hiểm đáng kể. Mặc dù với các dịch vụ dựa trên vị trí (LBSs), các khách hàng di động có thể thu đƣợc các dịch vụ thông tin dựa trên vị trí rất đa dạng, và các nhà kinh doanh có thể mở rộng các lợi thế cạnh tranh của họ trong thƣơng mại di động và cung cấp dịch vụ ở khắp nơi, sự triển khai rộng rãi của LBSs có thể tạo cơ hội cho kẻ địch gây nguy hiểm cho tính riêng tƣ của các khách hàng di động và đƣa LBSs vào tình thế gây nguy hiểm đáng kể bởi sự lạm dụng.

Hiểm họa chủ yếu khi sử dụng LBS là tính riêng tƣ của vị trí bị xâm phảm bởi kẻ địch suy luận các không gian và thời gian liên quan. Ví dụ, sự xâm phạm lấy ra địa điểm khi bên thứ ba không đƣợc ủy quyền truy nhập vào thông tin, phát hiện ra cá thể thông qua vị trí đã đi qua. Kẻ địch có thể sử dụng thông tin vị trí này để suy luận chi tiết về cuộc sống riêng tƣ của một cá thể, nhƣ mối quan hệ chính trị, kiểu sống lập dị, hoặc các vấn đề về bệnh tật của cá thể, hoặc các bí mật kinh doanh của một tổ chức[8].

Một khách hàng di động nhận đƣợc thông tin giao thông và dịch vụ thông tin đƣờng phố từ một nhà cung cấp LBS. Nếu một ngƣời dùng đƣa ra các yêu cầu dịch vụ với thông tin vị trí nguyên bản, tính riêng tƣ của ngƣời dùng có thể đƣợc thỏa hiệp trong một vài cách thức. Ví dụ, nếu nhà cung cấp LBS truy cập đến thông tin, kết hợp vị trí với định danh của ngƣời dùng A sống ở vị trí L, và nếu nó quan sát đƣợc tất cả các tin nhắn yêu cầu trong phạm vi vị trí L là từ

ngƣời dùng đơn, sau đó nó có thể suy luận ra rằng định danh của ngƣời dùng đang yêu cầu thông tin dịch vụ là A. Một khi, định danh của ngƣời dùng bị phát hiện, hơn nữa trong các vị trí tƣơng lai có thể bị theo dõi bởi việc sử dụng cách tiếp cận kết nối đơn giản. Kiểu tấn công này gọi là Giới hạn không gian nhận dạng. Một cách tấn công khác là phát hiện ra định danh bằng cách liên hệ một

vài định danh vị trí theo dõi đƣợc với một tin nhắn. Ví dụ, nếu ngƣời dùng A cho biết vị trí đến thăm L trong khoảng thời gian τ, và nếu nhà cung cấp dịch vụ xác định rằng tất cả các tin nhắn trong khoảng thời gian τ đã đến từ ngƣời dùng đơn trong phạm vi L, và nó có thể phát hiện ra định danh của ngƣời dùng trong câu hỏi là A. Kiểu tấn công thứ hai này gọi là Theo dõi định danh [6].

2.4.2. Bảo vệ vị trí riêng tƣ với cá nhân hóa k-Anonymity

Đối với việc bảo vệ thông tin vị trí từ bên thứ 3 là nửa tin cậy nhƣng không hoàn toàn đƣợc ủy quyền, chúng ta định nghĩa một vành đai bảo vệ xung quanh khách hàng di động. Một vành đai bảo vệ bao gồm khách hàng di động, server đƣợc ủy quyền ẩn danh và một kênh an toàn giao tiếp giữa 2 đối tƣợng này đƣợc bảo vệ thống qua sự mã hóa (hình 2.15). Các nhà cung cấp LBS bên thứ ba là tin cậy và có thể xử lý đúng và trả lời các tin nhắn, nhƣng điều lạ là chúng có thể cố gắng xác định định danh của ngƣời dùng dựa trên những gì họ thấy, bao gồm các thông tin trong thế giới vật lý, có thể liên kết hoặc kết hợp định danh vị trí. Chúng ta không quan tâm trƣờng hợp các nhà cung cấp LBS là cố tính làm hại. Vì vậy, chúng ta không quan tâm đến các kịch bản tấn công mà các nhà cung cấp LBS có thể xen vào một lƣợng lớn các ngƣời dùng giả vào trong hệ thống [10] .

Hình 2.15. Hệ thống kiến trúc

Hệ thống kiến trúc (hình 2.15) các khách hàng di động giao tiếp với nhà cung cấp LBS bên thứ ba thông qua server ẩn danh. Server ẩn danh là một cổng an toàn đến các nhà cung cấp nửa tin cậy LBS của các khách hàng di động. Nó chạy một tin nhắn gắn trạng thái lo lắng, thực thi vị trí lo lắng trên tin nhắn nhận đƣợc từ các khách hàng di động trƣớc khi chuyển chúng đến nhà cung cấp LBS. Mỗi tin nhắn đƣợc chuyển đến một nhà cung cấp LBS chứa thông tin vị trí của khách hàng di động, một nhãn thời gian, thêm vào server thông tin chi tiết. Nhờ vào việc nhận một tin nhắn từ khách hàng di động, server ẩn danh di chuyển bất cứ các định danh, ví dụ nhƣ địa chỉ IP, và làm xáo trộn thông tin vị trí thông qua không gian – thời gian che giấu, và sau đó chuyển tin nhắn ẩn danh đến nhà cung cấp LBS. Không gian che giấu xem xét đến việc thay thế điểm vị trí hai chiều bởi một vùng không gian, ở đó điểm vị trí nguyên bản nằm ở bất kỳ chỗ nào trong vùng này. Thời gian che giấu xem xét đến việc thay thế một điểm thời gian kết hợp với vị trí điểm với một khoảng thời gian bao gồm điểm thời gian nguyên bản. Giới hạn vị trí lo lắng xem xét đến việc kết nối không gian che giấu và thời gian che giấu.

2.4.3. Bảo vệ vị trí riêng tư bằng kỹ thuật giao tiếp ẩn danh sử dụng các vật giả

Trong những năm gần đây, nhờ vào sự phát triển của công nghệ, chúng ta có thể sử dụng các thiết bị định vị độ chính xác cao nhƣ GPS để thu đƣợc dữ liệu vị trí của các đối tƣợng di động. Dữ liệu vị trí đƣợc dùng trong trong các loại dịch vụ dựa trên vị trí khác nhau. Ví dụ, LBSs cung cấp thông tin về các nhà hàng gần nhất đến ngƣời dùng, bao gồm vị trí, thực đơn, giờ làm việc… Trong LBSs, ngƣời dùng thƣờng phải gửi dữ liệu vị trí thực đến một nhà cung cấp dịch vụ. Các nhà cung cấp dịch vụ lƣu trữ dữ liệu này vào một cơ sở dữ liệu. Sau khi gửi dữ liệu, ngƣời dùng không thể xóa hoặc sửa đổi nó. Ngƣời dùng không thể ngăn chặn đƣợc các nhà cung cấp dịch vụ phân tích các mẫu di chuyển sử dụng lƣu trữ dữ liệu vị trí thực. Để tránh vấn đề này, cần phải phát triển một hệ thống ngăn chặn các nhà cung cấp dịch vụ học đƣợc dữ liệu vị trí thực của ngƣời dùng.

Một kỹ thuật giao tiếp các ẩn danh đƣợc đề xuất để bảo vệ vị trí riêng tƣ của ngƣời sử dụng LBSs. Trong kỹ thuật này, ngƣời dùng sinh thêm một vài dữ liệu vị trí sai (vật giả) để gửi cho các nhà cung cấp dịch vụ cùng với dữ liệu vị trí đúng của ngƣời dùng. Nhà cung cấp dịch vụ sẽ tạo ra một tin nhắn trả lời cho mỗi dữ liệu vị trí nhận đƣợc. Ngƣời dùng đơn giản trích ra thông tin cần thiết từ tin nhắn trả lời. Trong cách này, nhà cung cấp dịch vụ lƣu trữ một tập các dữ liệu vị trí nên không nhận ra dữ liệu vị trí đúng từ tập dữ liệu vị trí này. [5]

Bảo vệ vị trí riêng tƣ với cá nhân hóa k-Anonymity phù hợp với kiến trúc ủy quyền bên thứ ba. Kiến trúc này cần phải có một bên thứ ba đứng ra làm nhiệm vụ ẩn danh vị trí bằng các kỹ thuật và các thuật toán. Do vậy, nên việc triển khai là khó khăn.

Với kỹ thuật ẩn danh vị trí, ngƣời dùng sử dụng vật giả gửi đến nhà cung cấp dịch vụ phù hợp với hệ thống kiến trúc Client – server nên tác giả lựa chọn để phân tích thiết kế và cài đặt thử nghiệm.

CHƢƠNG 3. KỸ THUẬT GIAO TIẾP ẨN DANH SỬ DỤNG CÁC VẬT GIẢ CHO CÁC ỨNG DỤNG LBS

Chương này phân tích các yêu cầu của vị trí ẩn danh cho các ứng dụng LBS, thuật toán sinh các vật giả để kẻ địch khó khăn trong việc phát hiện vị trí đúng của người sử dụng.

3.1. Vị trí riêng tư cho LBSs

Hình 3.1. Một ví dụ về LBS

LBSs khai thác các kiến thức về vị trí của các ngƣời dùng. Quy trình của dịch vụ từ lúc bắt đầu đến khi kết thúc nhƣ sau [4]:

1. Ngƣời sử dụng LBS thu đƣợc dữ liệu vị trí đúng nhờ vào thiết bị định vị , chẳng hạn GPS.

2. Ngƣời dùng này gửi dữ liệu vị trí đến một nhà cung cấp dịch vụ

3. Nhà cung cấp dịch vụ này tạo ra tin nhắn trả lời yêu cầu từ dữ liệu vị trí nhận đƣợc và gửi nó đến ngƣời dùng.

4. Ngƣời dùng này nhận tin nhắn trả lời.

Trong một dịch vụ, tin nhắn đã gửi của ngƣời dùng bao gồm ít nhất một ID ngƣời dùng và dữ liệu vị trí đúng. Nếu nhƣ chúng ta giả sử rằng một ID ngƣời dùng không đƣợc kết nối với thông tin riêng tƣ vì có biệt hiệu. Tuy nhiên, thậm chí là một ID ngƣời dùng đƣợc ẩn đi, tính riêng tƣ vẫn có thể bị xâm phạm bởi dữ liệu vị trí. Ví dụ, một LBS gửi tới ngƣời dùng thông tin khi nào xe buýt sẽ đến địa điểm dừng gần nhất trong phạm vi một vùng lân cận. Một ngƣời đi đến phòng khám hàng tuần và sử dụng dịch vụ này tại nhà và phòng khám mỗi

lần đi. Nếu nhƣ dữ liệu vị trí đƣợc chọn và phân tích, nhân viên và bệnh nhân phòng khám có thể học đƣợc địa chỉ của ngƣời này. Ví dụ này cho thấy rằng, dựa vào dữ liệu vị trí có thể bị xâm phạm. Để bảo vệ nó, các nhà cung cấp dịch vụ phải ngăn chặn việc học vị trí đúng của các ngƣời dùng. Vì thế, cần phải giấu đi dữ liệu vị trí. Công việc này đƣợc gọi là sự hóa trang của dữ liệu vị trí “vị trí ẩn danh”[13].

3.2. Định nghĩa về vị trí ẩn danh

Pfitzmann và Kohntopp đã định nghĩa “ẩn danh” là “một trạng thái của một sự vật không thể nhận biết trong phạm vi một tập các đối tƣợng”. Có nhiều nghiên cứu về đặc điểm chung của giao tiếp ẩn danh nhƣ Crowds và Onion Routing, ẩn danh một ngƣời bằng bởi câu hỏi :” Ai đã gửi dữ liệu này?”. Tuy nhiên, đến bây giờ dữ liệu vị trí ẩn danh trong một LBS có một vài thảo luận về ẩn danh một vị trí, nhƣ “Dữ liệu này đã đến từ đâu?”. Định nghĩa vị trí ẩn anh đƣợc thảo luận bởi hai điều kiện để làm tăng vị trí ẩn danh trong một LBS. Ngƣời dùng LBS có thể ẩn danh thành công định danh của họ [5]:

(1) Ubiquity:Tính rộng khắp

Các đối tƣợng tồn tại trong toàn bộ một vùng. Khi tất cả ngƣời dùng nằm

Một phần của tài liệu Vấn đề bảo vệ tính riêng tư trong các dịch vụ dựa trên vị trí (Trang 47)

Tải bản đầy đủ (PDF)

(84 trang)