Bảo vệ tính riêng tư cho các dịch vụ dựa trên vị trí ở mức cơ sở dự liệu

Một trong những giải pháp tiêu biểu được đề xuất là làm mờ bảo vệ thông tin riêng tư bằng cách làm giảm tính chính xác của vị trí người dùng.. Các dịch vụ LBS đã xuất hiện từ sớm, ví dụ

TRƯỜNG ĐẠI HỌC BÁCH KHOA

-

LÊ THN BẢO THU

BẢO VỆ TÍNH RIÊNG TƯ CHO CÁC DNCH VỤ DỰA TRÊN VN TRÍ Ở MỨC CƠ SỞ DỮ LIỆU

Chuyên ngành : Khoa học máy tính

LUẬN VĂN THẠC SĨ

TP HỒ CHÍ MINH, THÁNG 12 NĂM 2012

CÔNG TRÌNH ĐƯỢC HOÀN THÀNH TẠI TRƯỜNG ĐẠI HỌC BÁCH KHOA –ĐHQG –HCM

Cán bộ hướng dẫn khoa học 1 : PGS.TS Đặng Trần Khánh

Cán bộ hướng dẫn khoa học 2 : TS Trần Văn Hoài

Cán bộ chấm nhận xét 1 : TS Nguyễn Tuấn Đăng

Xác nhận của Chủ tịch Hội đồng đánh giá LV và Trưởng Khoa quản lý chuyên

ngành sau khi luận văn đã được sửa chữa (nếu có)

TRƯỜNG ĐẠI HỌC BÁCH KHOA

PHÒNG ĐÀO TẠO SĐH

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Độc lập – Tự do – Hạnh phúc

Tp HCM, ngày tháng năm

NHIỆM VỤ LUẬN VĂN THẠC SĨ

I TÊN ĐỀ TÀI: BẢO VỆ TÍNH RIÊNG TƯ CHO CÁC DNCH VỤ DỰA TRÊN VN TRÍ

Ở MỨC CƠ SỞ DỮ LIỆU

II NHIỆM VỤ VÀ NỘI DUNG:

- Tìm hiểu kiến thức về các dịch vụ dựa trên vị trí

- Tìm hiểu các kỹ thuật bảo vệ tính riêng tư trong LBS, đặc biệt là kỹ thuật làm mờ để bảo vệ thông tin vị trí người dùng

- Phát triển hoặc cải tiến một giải pháp làm mờ có tích hợp ngữ nghĩa để bảo vệ tính riêng tư về vị trí người sử dụng

- Cải tiến chất lượng dịch vụ

III NGÀY GIAO NHIỆM VỤ: 4/7/2011

IV NGÀY HOÀN THÀNH NHIỆM VỤ: 23/11/2012

Tóm tắt luận văn

Dịch vụ dựa trên vị trí, viết tắt là LBS (Location-based Service), là dịch vụ nhằm cung cấp các tiện ích cho người sử dụng dựa trên vị trí của họ N gày nay, các dịch vụ LBS ngày càng phát triển mạnh mẽ và phong phú hơn nhờ vào sự phát triển không ngừng của lĩnh vực thông tin di động, hệ thống định vị như Global Positioning System (GPS), internet (wireless, 3G)

Tuy nhiên, để sử dụng dịch vụ LBS, người dùng phải cung cấp cho nhà cung cấp dịch vụ một số thông tin riêng tư của mình như vị trí, tên, tuổi, sở thích,… Việc để lộ ra thông tin riêng

tư như thế có thể gây ra nguy hiểm cho người sử dụng

Mặc dù đã có rất nhiều các kỹ thuật được đề xuất để giải quyết vấn đề tính riêng tư về vị trí, một trong những lãnh vực nghiên cứu phổ biến trong LBS, một số giới hạn vẫn còn tồn đọng dẫn tới việc chúng chưa thể áp dụng vào thực tiễn Một trong những giải pháp tiêu biểu được đề xuất là làm mờ bảo vệ thông tin riêng tư bằng cách làm giảm tính chính xác của vị trí người dùng Tuy nhiên, thông tin càng không chính xác, tính bảo mật càng cao thì chất lượng dịch vụ lại càng thấp Do đó, mục tiêu của giải pháp làm mờ là cân bằng giữa hai yếu tố bảo mật và chất lượng dịch vụ

Trong luận văn này sẽ giới thiệu một hướng tiếp cận mới để bảo vệ thông tin riêng tư về vị trí của người dùng ở mức cơ sở dữ liệu, gọi là Semantic Bob-tree, cấu trúc chỉ mục có chứa thông tin ngữ nghĩa

Abstract

Location Based Service (LBS) is a concept that denotes applications supplying utilities to users by using their geographic location In recent years, with the development of technologies including mobile devices, modern positioning techniques such as Global Positioning System (GPS), internet (wireless, 3G), Location Based Services have become more and more popular However, when using these applications, the users will be asked to send their sensitive in-formation to the service provider, such as location, identity, name, etc Revealing this infor-mation may cause some dangerous

Although many techniques have been proposed to deal with location privacy problem, which is one of popular research issues in location based services, some limitations still remain and hence they cannot be applied to the real world One of the most typical proposed techniques

is obfuscation that preserves location privacy by degrading the quality of user’s location mation But the less exact information, the more secure and the less effective services can be supported Thus the goal of obfuscated techniques is balancing between privacy and quality of services However, most of obfuscated techniques are separated from database level, leading to other security and performance issues In this paper, we introduce a new approach to protect lo-cation privacy at database level, called Semantic Bob-tree, an index structure contains semantic aware information in its nodes

infor-Lời cam đoan

Tôi xin cam đoan đây là công trình nghiên cứu của bản thân

Các số liệu, kết quả trình bày trong luận văn là trung thực và chưa từng được ai công bố

trong bất kỳ công trình nào trước đây

Học viên

Mục lục

Lời cảm ơn i

Tóm tắt luận văn ii

Abstract iii

Lời cam đoan iv

Mục lục v

Mục lục hình viii

Chương 1 Giới thiệu đề tài 1

1.1 Mục đích nghiên cứu 2

1.2 Giới hạn đề tài 2

1.3 Ý nghĩa khoa học và thực tiễn của đề tài 3

1.3.1 Ý nghĩa khoa học 3

1.3.2 Ý nghĩa thực tiễn 3

Chương 2 Cơ sở lý thuyết 4

2.1 Hệ thống định vị toàn cầu 4

2.1.1 Định nghĩa 4

2.1.2 Các thành phần của GPS 4

2.1.3 Hoạt động của GPS 5

2.2 Hệ thống thông tin địa lý 6

2.2.1 Các thành phần Của GIS 6

2.2.2 Các quan điểm về GIS 7

2.2.3 Hoạt động của GIS 9

2.3 Dịch vụ dựa trên vị trí 10

2.3.1 Định nghĩa 10

2.3.2 Phân loại 11

2.4 Vấn đề tính riêng tư trong các dịch vụ dựa trên vị trí 14

2.4.1 Định nghĩa 14

2.4.2 Phân loại 14

2.4.3 Chính sách riêng tư 15

2.5 Đánh chỉ mục (Indexing) cho dữ liệu không-thời gian 17

2.6 Chất lượng dịch vụ 17

Chương 3 Các công trình nghiên cứu liên quan 19

3.1 Một số phương pháp bảo vệ tính riêng tư 19

3.1.1 Kiến trúc không cộng tác 19

3.1.1.1 Phương pháp sử dụng vùng đối tượng (Landmark objects) 20

3.1.1.2 Phương pháp sử dụng những yêu cầu giả 21

3.1.1.3 Phương pháp làm mờ vị trí 21

3.1.2 Kiến trúc sử dụng thành phần trung gian tin cậy 22

3.1.2.1 Phương pháp pha trộn các vùng 23

3.1.2.2 Phương pháp che dấu vùng nhạy cảm sử dụng thuật toán k-area 24

3.1.2.3 Phương pháp che dấu không gian chia ¼ 27

3.1.2.4 Thuật toán che giấu CliqueCloak – sử dụng đồ thị vô hướng 28

3.1.2.5 Thuật toán che giấu sử dụng lân cận gần nhất 29

3.1.2.6 Thuật toán che giấu không gian Hilbert 30

3.1.2.7 Phương pháp giảm độ chính xác vị trí 32

3.1.3 Kiến trúc cộng tác ngang hàng 33

3.1.3.1 Phương pháp thành lập nhóm 34

3.1.3.2 Phương pháp sử dụng mật mã 34

3.1.4 Nhận xét và đánh giá cho từng nhóm phương pháp 35

3.2 Kỹ thuật làm mờ 36

3.3 Làm mờ ngữ nghĩa (Semantic-Aware Obfuscation) 38

3.4 Bob-tree 39

Chương 4 Hướng tiếp cận và hiện thực 41

4.1 Một số khái niệm 41

4.1.1 Mức độ nhạy cảm (Sensitive level) 41

4.1.2 Giá trị ngưỡng nhạy cảm (Sensitive Threshold Value) 42

4.1.3 Loại nơi chốn (Feature type) 42

4.1.4 Thông tin bảo mật (Privacy Profile) 43

4.1.5 Tính toán mức độ bảo mật 43

4.2 Cấu trúc chỉ mục 45

4.3 Giải thuật tìm kiếm, thêm, sửa, xoá 47

4.4 Kiến trúc hệ thống 49

Chương 5 Đánh giá 52

5.1 Phân tích tính bảo mật 52

5.2 Phân tích độ hiệu quả 53

Chương 6 Tổng kết 56

6.1 Tổng kết 56

6.2 Hướng phát triển 57

Tài liệu tham khảo x

Phụ lục xiii

Mục lục hình

Hình 2.1: Hệ thống các vệ tinh của GPS 4

Hình 2.2: Các thành phần GPS 5

Hình 2.3: Các thành phần của GIS 7

Hình 2.4: GIS dưới cách nhìn là cơ sở dữ liệu 8

Hình 2.5: GIS dưới cách nhìn là bản đồ 9

Hình 2.6: GIS dưới cách nhìn mô hình 9

Hình 2.7: Sự hội tụ các công nghệ trong LBS 11

Hình 2.8: Phân loại dịch vụ LBS 12

Hình 3.1: Minh họa cho kiến trúc không cộng tác 20

Hình 3.2: Minh họa cho phương pháp sử dụng vùng đối tượng 20

Hình 3.3: Minh họa cho phương pháp làm sai thông tin vị trí 21

Hình 3.4: Minh họa cho phương pháp xáo trộn vị trí bằng đồ thị 22

Hình 3.5: Minh họa cho kiến trúc sử dụng thành phần trung gian tin cậy 23

Hình 3.6: Minh họa cho phương pháp Mix-zones 24

Hình 3.7: Minh họa kiến trúc xử lý che dấu vùng nhạy cảm 25

Hình 3.8: Minh họa cho thuật toán che dấu k- area 27

Hình 3.9: Minh họa cho thuật toán che dấu không gian chia ¼ 28

Hình 3.10: Minh họa cho thuật toán CliqueCloak 29

Hình 3.11: Minh họa cho thuật toán Nearest Neighbor k – anonymizing 29

Hình 3.12: Minh họa khuyết điểm của thuật toán sử dụng vùng lân cận gần nhất 30

Hình 3.13: Minh họa được cong Hilbert 4x4 và 8x8 phần không gian 31

Hình 3.14: Minh họa thuật toán HC 32

Hình 3.15: Mô hình hệ thống che dấu thông tin 33

Hình 3.16: Minh họa cho kiến trúc cộng tác ngang hàng 33

Hình 3.17: Minh họa cho phương pháp thành lập nhóm 34

Hình 3.18: Ví dụ làm mờ vị trí 37

Hình 3.19: Tính toán vùng làm mờ trong giải thuật làm mờ ngữ nghĩa 39

Hình 3.20: Cấu trúc B ob -tree 40

Hình 4.1: Ví dụ vùng nhạy cảm, vùng không đến được và vùng không nhạy cảm 43

Hình 4.2: Ví dụ tính toán mức độ nhạy cảm 44

Hình 4.3: Cấu trúc chỉ mục Semantic B ob -tree 46

Hình 4.4: Ví dụ cây Semantic B ob -tree với một người dùng 47

Hình 4.5: Kiến trúc hệ thống 50

Hình 5.1: Chi phí thêm mới 54

Hình 5.2: Chi chí tìm kiếm 54

Hình 5.3: Chi phí xoá 55

Hình 5.4: Chi phí chỉnh sửa 55

Chương 1 Giới thiệu đề tài

Dịch vụ dựa trên vị trí, viết tắt là LBS (Location-based Service), là dịch vụ nhằm cung cấp

các tiện ích cho người sử dụng dựa trên vị trí của họ Các dịch vụ LBS đã xuất hiện từ sớm, ví dụ như các biển báo trên đường, chỉ dẫn cho người đi xe biết được một số thông tin hữu ích như: điểm đến còn cách bao xa, hướng dẫn hướng đi tại các ngã tư, khoảng cách đến trạm xăng gần nhất,…

N gày nay, khoa học kĩ thuật tiến bộ không ngừng, cùng với đó là sự ra đời, phát triển và

ảnh hưởng tới cuộc sống con người ngày một mạnh mẽ của hệ thống định vị (GPS,

GeoLocation,…), hệ thống truyền tải không dây (3G, 4G), các thiết bị di động,… N hờ vào đó,

các ứng dụng dựa trên vị trí cũng càng lúc càng phong phú và đa dạng, cung cấp rất nhiều tiện ích cho cuộc sống chúng ta Chính từ sự tiện lợi mà LBS mang lại, số lượng người đăng kí sử dụng những dịch vụ này cũng tăng lên nhanh chóng

Tuy nhiên, khi sử dụng dịch vụ này, người dùng được yêu cầu phải cung cấp một số thông tin cá nhân như vị trí, danh định, tên tuổi, sở thích,… Hiện nay đã có nhiều hình thức tấn công dựa trên các thông tin riêng tư đó Vì vậy, vấn đề được người sử dụng dịch vụ LBS rất quan tâm

là độ bảo mật thông tin riêng tư của họ Một khi thông tin không mong muốn để lộ ra ngoài sẽ đem lại rất nhiều nguy hiểm cho người sử dụng Ví dụ kẻ tấn công biết được vị trí chính xác của mình đang ở đâu, hay suy đoán ra được lịch trình sinh hoạt hằng ngày… Tuy nhiên, tính bảo mật thông tin cá nhân lại tỷ lệ nghịch với chất lượng, độ hiệu quả mà dịch vụ mang lại N ghĩa là độ bảo mật càng cao thì chất lượng dịch vụ sẽ càng thấp Đây cũng là một trong những nguyên do

có thể gây trở ngại cho sự phát triển của lĩnh vực rất tiềm năng này Vì vậy yêu cầu đặt ra là phải đảm bảo sự cân bằng giữa hai yếu tố tính bảo mật và chất lượng dịch vụ

Có rất nhiều hướng tiếp cận để bảo vệ thông tin cá nhân như: bảo vệ định danh người dùng (nặc danh), bảo vệ thông tin vị trí (làm giảm độ chính xác của vị trí),… Tuy nhiên trong một số ứng dụng đòi hỏi cần định danh chính xác để xác thực người dùng Do nhu cầu cấp thiết trên, đề tài này được đưa ra nhằm giới thiệu một giải pháp làm mờ để bảo vệ thông tin vị trí nhưng vẫn phải đảm bảo được hiệu quả cao nhất có thể có của dịch vụ Khi mục đích trên đạt được, nền tảng cho các dịch vụ dựa trên vị trí sẽ trở nên vững chắc, tạo đà cho sự phát triển ngày càng mạnh mẽ

1.1 Mục đích nghiên cứu

Bảo vệ tính riêng tư trong các dịch vụ LBS là đề tài thu hút rất nhiều sự quan tâm nghiên cứu trong những năm qua Tuy nhiên hiện nay vẫn chưa có được một giải pháp tổng thể cho yêu cầu bảo vệ tính riêng tư trước sự phát triển nhanh và phong phú của các dịch vụ LBS Mỗi ứng dụng LBS với những yêu cầu riêng về tính riêng tư thì có những phương pháp riêng để bảo mật Các giải pháp bảo vệ tính riêng tư đã được đề xuất thường được thiết kế và hiện thực như những ứng dụng bên ngoài hệ quản trị cơ sở dữ liệu Vì thế, các giải pháp bảo vệ tính riêng tư hiện nay chưa tận dụng hết và kết hợp được một cách hiệu quả với khả năng lưu trữ và xử lý câu truy vấn ngay tại mức cơ sở dữ liệu

Mục đích nghiên cứu của đề tài này là phát triển được một giải pháp tổng thể bảo vệ tính riêng tư về vị trí ở ngay mức cơ sở dữ liệu, độc lập với dữ liệu và ứng dụng LBS và đáp ứng được yêu cầu về mặt chất lượng dịch vụ

1.2 Giới hạn đề tài

Có rất nhiều kỹ thuật khác nhau nhằm đạt được mục đích bảo vệ tính riêng tư như bảo vệ định danh, bảo vệ thông tin vị trí, bảo vệ tính riêng tư dựa vào chính sách

• Bảo vệ định danh (anonymity based): chú trọng ngăn ngừa khả năng kẻ tấn công dựa

vào những thông tin công khai để suy diễn ra định danh người dùng

• Bảo vệ thông tin riêng tư (private information based) Ở đây ta xem vị trí (location) là

thông tin riêng tư cần được bảo vệ Kỹ thuật thường gặp trong hướng tiếp cận này là

làm mờ vị trí của người dùng (location obfuscation), nhằm che giấu đi thông tin chính

xác

• Bảo vệ thông tin riêng tư dựa vào chính sách (Policy based): Bằng cách cho phép

người dùng đặc tả các chính sách về vị trí, hệ thống có thể điều khiển truy xuất vào dữ liệu vị trí, các chính sách chỉ ra ai và khi nào được phép truy xuất các thông tin vị trí của người dùng

Đề tài này chỉ tập trung nghiên cứu và phát triển mới một kỹ thuật làm mờ (obfuscation) –

đang rất được quan tâm để bảo vệ tính riêng tư về vị trí nhưng cũng đảm bảo được chất lượng dịch vụ

1.3 Ý nghĩa khoa học và thực tiễn của đề tài

• Giải pháp vừa đảm bảo che giấu thông tin cá nhân vừa đảm bảo được chất lượng dịch

vụ mong muốn

1.3.2 Ý nghĩa thực tiễn

N hư chúng ta đã biết, lĩnh vực thông tin di động ngày càng phát triển không ngừng và ảnh hưởng sâu rộng vào cuộc sống con người nhờ vào sự tiến bộ vượt bậc của khoa học kỹ thuật Chính điều này đã tạo tiền đề cho việc đi lên của các dịch vụ LBS, đem tới rất nhiều lợi ích cho chúng ta Từ đây vấn đề làm sao để cân bằng giữa tính bảo mật thông tin cá nhân và độ hiệu quả, chất lượng của dịch vụ được xem như chìa khoá đem đến sự thành công cho ngành khoa học và dịch vụ này Do đó, đề tài này mang lại rất nhiều ý nghĩa về mặt thực tiễn:

• Về phía người dùng: Với giải pháp này, người dùng bảo vệ được tính riêng tư của mình trong khi vẫn có được các lợi ích với hiệu quả cao do các ứng dụng LBS mang lại

• Về phía người phát triển ứng dụng LBS, việc cơ sở dữ liệu được tích hợp sẵn các phương pháp bảo vệ tính riêng tư với tính năng độc lập cao có thể kết hợp với nhiều cách tổ chức dữ liệu bên dưới sẽ làm giảm đáng kể công sức phát triển phần mềm

• Kích thích dịch vụ LBS phát triển: giải pháp của đề tài này nếu được áp dụng vào thực tiễn sẽ tạo sự an tâm của người dùng dịch vụ LBS để từ đó họ có thể mạnh dạn sử dụng các dịch vụ này

Chương 2 Cơ sở lý thuyết

2.1 Hệ thống định vị toàn cầu

2.1.1 Định nghĩa

Hệ thống định vị toàn cầu (Global Positioning System - GPS): là hệ thống xác định vị trí

trên trái đất dựa trên một mạng lưới 24 vệ tinh do bộ quốc phòng Mỹ phóng lên quỹ đạo Ban đầu, GPS được sử dụng trong lĩnh vực quân sự, đến năm 1980 thì chính phủ Mỹ cho phép sử dụng trên tất cả các lĩnh vực, bất kể đối tượng nào, không cần phải đăng ký hay phải trả phí để sử dụng [23]

Hình 2.1: Hệ thống các vệ tinh của GPS

N gày nay, GPS ngày càng trở nên phổ biến và được ứng dụng rộng rãi trên tất cả các lĩnh vực Đặc biệt, nó là thành phần không thể thiếu trong lĩnh vực giao thông vận tải như hàng không, giao thông đường bộ và cả giao thông hàng hải GPS được ứng dụng cả trong lĩnh vực kinh tế xã hội từ các hoạt động kinh tế: ngân hàng, nông nghiệp nông thôn, địa chất, các dịch vụ

du lịch để mang lại nhiều hiệu quả kinh doanh, cho đến việc nó hỗ trợ trong các trường hợp khNn cấp, thiên tai để cứu sống bao mạng người

2.1.2 Các thành phần của GPS

Hệ thống GPS được chia thành ba thành phần: hệ thống không gian, trạm điều khiển và người sử dụng [24]

Hình 2.2: Các thành phần GPS

Trong đó, hệ thống không gian (Space segment) bao gồm các vệ tinh truyền các tín hiệu

cần thiết cho hệ thống Các vệ tinh sẽ thu nhận và lưu trữ dữ liệu từ trạm điều khiển, cung cấp thời gian chính xác bằng các chuNn tần số nguyên tử đặt trên vệ tinh và truyền thông tin đến cho người sử dụng bằng tần số thích hợp

Trạm điều khiển (Ground segment) bao gồm các tiện ích trên mặt đất thực hiện nhiệm vụ

theo dõi vệ tinh, tính toán quĩ đạo cần thiết cho sự quản lý hệ thống không gian Các trạm điều khiển này theo dõi và cung cấp cho các vệ tinh thông tin về vị trí, thời gian với độ chính xác cao

Thành phần sau cùng là người sử dụng (User segment) N gười sử dụng dùng các thiết bị

thu và tính toán để cung cấp thông tin về vị trí của mình

2.1.3 Hoạt động của GPS

Các vệ tinh GPS bay vòng quanh Trái Đất hai lần trong một ngày theo một quỹ đạo rất chính xác và phát tín hiệu có thông tin xuống Trái Đất Các máy thu GPS nhận thông tin này và bằng phép tính lượng giác tính được chính xác vị trí của người dùng Về bản chất máy thu GPS

so sánh thời gian tín hiệu được phát đi từ vệ tinh với thời gian nhận được chúng Sai lệch về thời gian cho biết máy thu GPS ở cách vệ tinh bao xa Rồi với nhiều khoảng cách đo được tới nhiều

vệ tinh máy thu có thể tính được vị trí của người dùng và hiển thị lên bản đồ điện tử của máy

Máy thu phải nhận được tín hiệu của ít nhất ba vệ tinh để tính ra vị trí hai chiều (kinh độ và

vĩ độ) và để theo dõi được chuyển động Khi nhận được tín hiệu của ít nhất bốn vệ tinh thì máy thu có thể tính được vị trí ba chiều (kinh độ, vĩ độ và cao độ) Một khi vị trí người dùng đã tính được thì máy thu GPS có thể tính các thông tin khác như tốc độ, hướng chuyển động, bám sát di chuyển, khoảng hành trình, quãng cách tới điểm đến, thời gian mặt trời mọc, lặn và nhiều thứ khác nữa

2.2 Hệ thống thông tin địa lý

Hệ thống thông tin địa lý (Geographical Information System - GIS): là hệ thống sử dụng

máy tính để lập bản đồ và phân tích các sự vật hiện tượng trên trái đất Một định nghĩa khác, GIS

là tổ chức tổng thể của năm phần: phần cứng, phần mềm, cơ sở dữ liệu địa lý, con người và phương pháp phân tích nhằm tiếp nhận, lưu trữ, điều khiển, phân tích, hiển thị toàn bộ các dữ liệu địa lý

N gày nay, GIS là công cụ trợ giúp quyết định trong nhiều hoạt động kinh tế - xã hội, quốc phòng của nhiều quốc gia trên thế giới GIS có khả năng trợ giúp các cơ quan chính phủ, các nhà quản lý, các doanh nghiệp, các cá nhân đánh giá được hiện trạng của các quá trình, các thực thể

tự nhiên, kinh tế - xã hội thông qua các chức năng thu thập, quản lý, truy vấn, phân tích và tích hợp các thông tin được gắn với một nền hình học (bản đồ) nhất quán trên cơ sở toạ độ của các dữ liệu đầu vào

các công cụ cần thiết để lưu giữ, phân tích và hiển thị thông tin địa lý

Phần cơ sở dữ liệu địa lý (Data) có thể được coi thành phần quan trọng nhất trong một hệ

GIS Các dữ liệu địa lý và dữ liệu thuộc tính liên quan có thể được người sử dụng tự tập hợp hoặc được mua từ nhà cung cấp dữ liệu thương mại Hệ GIS sẽ kết hợp dữ liệu không gian với

các nguồn dữ liệu khác, thậm chí có thể sử dụng hệ quản trị cơ sở dữ liệu (Database

Manage-ment System - DBMS) để tổ chức lưu giữ và quản lý dữ liệu

Con người (People) ở đây là những chuyên gia kỹ thuật, người thiết kế và duy trì hệ thống

hoặc những người dùng GIS để giải quyết các vấn đề trong công việc

Thành phần thứ năm là các phương pháp phân tích (Methods) Các phương pháp này bao

gồm các chính sách và cách quản lý những thông tin thu thập, đây là thành phần đảm bảo cho sự hoạt động và thành công của hệ thống GIS

Hình 2.3: Các thành phần của GIS

2.2.2 Các quan điểm về GIS

Hệ thống GIS có thể được tiếp cận theo những cách nhìn khác nhau là theo quan điểm GIS

là cơ sở dữ liệu (Database), theo quan điểm GIS là bản đồ (Map hay Geovisualization) và theo quan điểm GIS là một mô hình (Model) [25]

Đầu tiên, theo quan điểm GIS là cơ sở dữ liệu (Database), GIS là một cơ sở dữ liệu địa lý (Geodatabase) N ó là một hệ thống thông tin về địa lý, là một cơ sở dữ liệu không gian chuyển

tải thông tin địa lý theo quan điểm gốc của mô hình dữ liệu GIS (yếu tố, topology, mạng lưới, raster ) (Hình 2.4)

Hình 2.4: GIS dưới cách nhìn là cơ sở dữ liệu

Theo quan điểm thứ hai, GIS là bản đồ (Map hay Geovisualization), GIS là tập hợp các

bản đồ thông minh, nó cho thấy các yếu tố của bề mặt trái đất và quan hệ giữa các yếu tố đó Bản đồ của hệ thống thông tin địa lý thông qua cơ sở dữ liệu, có thể truy vấn, phân tích, thay đổi chỉnh sửa các thông tin GIS có thể được hiểu như là một công nghệ xử lý các dữ liệu có toạ độ (bản đồ) để biến chúng thành các thông tin trợ giúp quyết định cho các nhà quản lý (Hình 2.5)

Theo quan điểm sau cùng, GIS là một mô hình (Model), GIS là một bộ cộng cụ biến đổi,

chuyển đổi thông tin thành các tập dữ liệu địa lý mới từ các tập dữ liệu đã có Các chức năng xử

lý thông tin địa lý lấy thông tin từ các tập dữ liệu thu thập, áp dụng các chức năng phân tích và ghi kết quả vào một tập mới (Hình 2.6)

Hiện nay công nghệ GIS đang được sử dụng rộng rãi, ở Việt N am nó cũng được thí điểm khá sớm và đến nay đã được ứng dụng trong khá nhiều ngành như quy hoạch nông lâm nghiệp, quản lý rừng, lưu trữ tư liệu địa chất, đo đạc bản đồ, địa chính, quản lý đô thị Tuy nhiên các ứng dụng có hiệu quả nhất mới giới hạn ở các lĩnh vực lưu trữ, in ấn các tư liệu bản đồ bằng công nghệ GIS Các ứng dụng GIS thuộc lĩnh vực quản lý, điều hành, trợ giúp quyết định hầu như mới dừng ở mức thử nghiệm và còn cần thời gian và đầu tư mới có thể đưa vào ứng dụng chính thức

Hình 2.5: GIS dưới cách nhìn là bản đồ

Hình 2.6: GIS dưới cách nhìn mô hình

2.2.3 Hoạt động của GIS

GIS lưu giữ thông tin về thế giới thực dưới dạng tập hợp các lớp chuyên đề có thể liên kết với nhau nhờ các đặc điểm địa lý N ó là một công cụ đa năng đã được chứng minh là rất có giá

trị trong việc giải quyết nhiều vấn đề thực tế, từ thiết lập tuyến đường phân phối của các chuyến

xe, đến lập báo cáo chi tiết cho các ứng dụng quy hoạch hay mô phỏng sự lưu thông khí quyển toàn cầu

GIS kết hợp các dữ liệu không gian bao gồm dữ liệu dạng vector, raster, lưới, các dữ liệu địa hình ba chiều, các số liệu đo đạc… với các đối tượng đồ họa để đưa ra các thông tin địa lý hữu ích và hiệu quả Các nguồn dữ liệu, thông tin tăng thêm nhờ sự kết hợp của GIS với GPS và công nghệ viễn thám đã cung cấp các công cụ thu thập dữ liệu hiệu quả hơn GIS đã được công nhận là một hệ thống với nhiều lợi ích không chỉ trong các công tác thu thập đo đạc địa lý mà còn trong các công tác điều tra tài nguyên thiên nhiên, phân tích hiện trạng và dự báo xu hướng diễn biến tài nguyên môi trường

Đối tượng ở đây không nhất thiết phải là người dùng dịch vụ mà có thể là các địa điểm du lịch, các nhà hàng, trạm xăng,… N ăm 2003, hiệp hội GSM đưa ra ba ví dụ cho các giá trị bổ sung là: lọc thông tin (ví dụ lựa chọn những địa điểm du lịch ở gần người dùng), chỉ ra vị trí của một đối tượng trên bản đồ, hoặc tự động kích hoạt dịch vụ khi đối tượng đến hoặc rời khỏi vị trí xác định trước

Tương tự, tổ chức 3GPP cũng đưa ra một định nghĩa cho LBS như sau:

“LBS là một dịch vụ do một nhà cung cấp đưa ra trong đó dịch vụ này có sử dụng đến các thông tin về vị trí của thiết bị đầu cuối” (a LBS is a service provided by a service provider that utilizes the available location information of the terminal) [11]

Các định nghĩa này dù được diễn đạt khác nhau nhưng đều có chung một ý là các các dịch

vụ LBS đều dựa vào thông tin vị trí để hoạt động

N goài ra, LBS còn là sự hội tụ của rất nhiều công nghệ như: thiết bị di động, Internet, GIS với cơ sở dữ liệu không gian Hình 2.7 mô phỏng sự giao nhau của các công nghệ sử dụng trong các ứng dụng LBS

Hình 2.7: Sự hội tụ các công nghệ trong LBS

2.3.2 Phân loại

Có nhiều cách phân loại các dịch vụ LBS Trong phần này sẽ trình bày hai hướng phân loại

các dịch vụ LBS Hướng thứ nhất là dựa vào cách thức kích hoạt dịch vụ, bao gồm reactive và

proactive (tạm dịch là kích hoạt theo người dùng và kích hoạt theo sự kiện) Hướng thứ hai là

dựa vào lĩnh vực dịch vụ của dịch vụ [12]

Theo hướng phân loại thứ nhất, ta có hai loại dịch vụ LBS:

• Reactive: Một dịch vụ LBS thuộc loại này sẽ được kích hoạt khi người dùng gửi yêu

cầu dịch vụ Ví dụ, người dùng gửi yêu cầu nhờ nhà cung cấp tìm các nhà hàng gần với

vị trí của mình nhất Điều này có nghĩa là chỉ khi người dùng gửi yêu cầu thì nhà cung cấp mới trả về kết quả

• Proactive: Một dịch vụ LBS thuộc loại này được kích hoạt khi có một sự kiện được

định nghĩa trước xảy ra Ví dụ, trong một bảo tàng, khi một du khách đến gần một vật

trưng bày nào đó thì tự động sẽ có lời hướng dẫn thuyết minh về vật đó vang lên cho

du khách nghe N hư vậy, việc kích hoạt dịch vụ này là không phải do người dùng ra

yêu cầu mà là do một sự kiện gây ra (trong ví dụ trên là sự kiện du khách đến gần vật

trưng bày ở một khoảng cách quy định trước)

Theo hướng phân loại thứ hai, tức dựa vào lĩnh vực dịch vụ, các dịch vụ LBS có các loại

như trong Hình 2.8) [11]

Mô tả chi tiết các dịch vụ LBS trong Hình 2.8 như sau:

• Dịch vụ khNn cấp (Emergency): Một trong các dịch vụ phổ biến của LBS là xác định

được vị trí của một cá nhân – người mà hoặc là không biết chính xác vị trí của họ hoặc

không thể để lộ vị trí trong một số trường hợp khNn cấp (bị thương, bị tấn công, )

Chẳng hạn như những lái xe ô tô khi bị hư xe và họ không biết được chính xác vị trí

của họ đang ở đâu, với việc xác định tự động, vị trí chính xác được gởi đến dịch vụ cấp

cứu để cung cấp trợ giúp kịp thời và hiệu quả

Hình 2.8: Phân loại dịch vụ LBS

• Dịch vụ định hướng (Navigation): Các dịch vụ định hướng dựa trên người dùng di

động để đưa ra những chỉ dẫn cần thiết trong phạm vi vị trí địa lý của họ Khả năng của mạng di động là xác định chính xác vị trí của người dùng di động được thể hiện trong một chuỗi các dịch vụ định hướng Ví dụ, với vị trí của một điện thoại di động, một bộ

xử lý có thể để cho người dùng biết chính xác ở đâu chúng cung cấp bảng hướng dẫn chi tiết làm thế nào để đến một cái đích mong muốn Trong hầu hết các hệ thống định hướng xe hơi hiện tại, thông tin hướng dẫn tuyến đường và dữ liệu đường đi không lưu tại thiết bị di động N gười dùng sẽ tính toán trước tuyến đường đi khi kết nối với mạng

di động

• Dịch vụ cung cấp thông tin (Information): N gười dùng có thể sử dụng các dịch vụ cung

cấp thông tin để tìm những dịch vụ, địa điểm du lịch gần họ nhất Hoặc khi du lịch ở một thành phố xa lạ, họ có thể yêu cầu cung cấp thông tin về bản đồ cục bộ liên quan

đến vị trí hiện tại của họ

• Các dịch vụ theo dõi (Tracking) và quản lý (Management): Các dịch vụ này có thể hỗ

trợ người dùng quản lý, theo dõi người dùng khác và các thiết bị dựa theo vị trí của chúng Một ví dụ phổ biến là theo dõi các gói bưu phNm để biết được ví trị hàng hóa vào bất cứ thời điểm nào Việc theo dõi xe cộ cũng được áp dụng để xác định vị trí và giải quyết nhanh chóng trường hợp cứu thương ở vị trí gần nhất so với nơi đưa ra cuộc gọi dịch vụ

• Dịch vụ thanh toán phí (Billing): Các dịch vụ này nhằm vào việc tính và thanh toán phí

tự động khi người dùng sử dụng một dịch vụ cụ thể nào đó dựa trên vị trí của họ Một

ví dụ là các dịch vụ thu phí giao thông tự động khi người lái xe đi qua một đoạn đường nào đó

• Dịch vụ quảng cáo (Advertising): Các dịch vụ dạng này thường áp dụng cho các cửa

hàng để gửi quảng cáo về các sản phNm, chương trình khuyến mãi hiện có tại cửa hàng đến với các khách hàng ở xung quanh cửa hàng

• Dịch vụ giải trí (Leisure, Games): Các dịch vụ trong lĩnh vực này phục vụ các dịch vụ

giải trí cho người dùng dựa theo vị trí của họ Các dịch vụ này có thể là tìm bạn, gửi tin nhắn và đặc biệt là các game tương tác giữa các người dùng dựa trên vị trí của họ Các loại dịch vụ kể trên không thể gọi là đầy đủ nhưng cũng có thể thấy được sự đa dạng

và phong phú của các dịch vụ dựa trên vị trí

2.4 Vấn đề tính riêng tư trong các dịch vụ dựa trên vị trí

2.4.1 Định nghĩa

Có rất nhiều định nghĩa cho tính riêng tư, tuy nhiên định nghĩa của Westin (1970) là được

nhiều người đồng ý nhất: “Tính riêng tư là quyền của các cá nhân, nhóm và tổ chức được tự

quyết định khi nào, bằng cách nào, và những thông tin riêng tư gì được sử dụng khi giao tiếp với người, nhóm người và tổ chức khác” (Privacy is the claim of individuals, groups, and institu- tions to determine for themselves, when, how, and to what extent information about them is communicated to others.) [1], [2], [11]

Thông tin riêng tư của mỗi người là tất cả các thông tin liên quan đến người đó như là tên, tuổi, hoàn cảnh gia đình, nghề nghiệp, sở thích, chỗ ở, … Trong các dịch vụ LBS, các thông tin riêng tư thường sử dụng là: danh định (tên), vị trí hiện tại, những địa điểm đã đi qua của người dùng Bên cạnh đó, tùy vào chức năng của từng dịch vụ, các thông tin riêng tư khác cũng sẽ được yêu cầu

Từ định nghĩa trên, tính riêng tư bao gồm bốn yêu cầu [11]:

• N ặc danh (Anonymity): Cho phép người dùng có thể nặc danh khi sử dụng dịch vụ

hoặc kết nối với các người dùng khác nhằm không bị lộ danh định riêng của mình

• Cô lập (Solitude): Là quyền của người dùng được bảo vệ với các hành vi xâm phạm,

làm gián đoạn hoặc theo dõi

• Riêng biệt (Intimacy): Là quyền được quyết định với ai, bao nhiêu, và khi nào thì

Tính riêng tư vị trí có thể được chia thành ba loại chính: tính riêng tư về định danh

(identity privacy), tính riêng tư về địa điểm (position privacy) và tính riêng tư về đường đi (path

privacy) [1]

• Tính riêng tư về định danh: Mục tiêu chính là bảo vệ định danh của người sử dụng mà

có thể được suy diễn một cách trực tiếp hoặc gián tiếp từ những thông tin vị trí Với mục đích này, những kĩ thuật bảo vệ tính riêng tư nhắm tới việc giảm thiểu những thông tin lộ ra mà kẻ tấn công có thể suy diễn một định danh của người sử dụng, chẳng hạn như địa chỉ nhà và nơi làm việc Tính riêng tư định danh thích hợp cho những dịch

vụ không yêu cầu định danh của người sử dụng như là một thông tin quan trọng Ví dụ như dịch vụ tìm đường đi ngắn nhất không đòi hỏi người sử dụng phải cho biết thông tin chính xác về định danh của mình mà chỉ cần cho nhà cung cấp dịch vụ biết thông tin về vị trí hiện tại của mình

• Tính riêng tư về địa điểm: Mục tiêu chính là bảo vệ những thông tin vị trí của những người sử dụng bằng cách xáo trộn những thông tin liên quan và làm giảm độ chính xác của thông tin vị trí Tính riêng tư về địa điểm thích hợp cho những dịch vụ mà những định danh của người sử dụng được yêu cầu để dịch vụ được hoạt động thành công và những thông tin vị trí được làm giảm độ chính xác sẽ không ảnh hưởng lớn đến chất lượng dịch vụ Các dịch vụ tìm bạn là một ví dụ điểm hình cho loại dịch vụ này

• Tính riêng tư về đường đi: Mục tiêu chính là bảo vệ tính riêng tư của những thông tin kết hợp với sự di chuyển của người sử dụng, ví dụ như dịch vụ hướng dẫn du lịch Tính riêng tư về đường đi thì phức tạp hơn, có thể dựa vào cả tính riêng tư về định danh và tính riêng tư về vị trí

2.4.3 Chính sách riêng tư

Theo [18], một chính sách riêng tư là một sự xác nhận một số thông tin có thể được cung cấp cho các đối tượng (hoặc nhóm các đối tượng) đi kèm với một tập các ràng buộc Sau đây là một số các ví dụ các chính sách riêng tư thông thường:

• Vợ của tôi được biết thông tin thành phố tôi đang ở

• Cấp trên của tôi được biết chính xác thông tin tọa độ của tôi nếu và chỉ nếu:

o N ếu việc này xảy ra trong suốt thời gian làm việc và

o Tôi đang ở các khuôn viên của công ty hoặc

o Tôi đang đi gặp khách hàng

• N goài giờ làm việc, cấp trên tôi không được phép biết những yêu cầu của tôi

• N hững thành viên trong hội của tôi nhận được thông tin vị trí của tôi vào cuối tuần thông qua dịch vụ tìm kiếm bạn thân

Các ví dụ này minh họa rõ ràng các ràng buộc bên trong của một chính sách riêng tư Các chính sách này chỉ rõ ai, ở đâu, khi nào, trong điều kiện nào mà dữ liệu riêng tư của họ được sử dụng Với ví dụ minh họa trên, mặc dù chưa đầy đủ nhưng cho thấy một cái nhìn tổng quát về các ràng buộc cho các chính sách bảo vệ riêng tư Trong [19], Myles và những cộng tác đã đưa ra một số ràng buộc sau:

• Các ràng buộc đối tượng (Actor constraints): đưa ra giới hạn quyền truy cập thông tin

vị trí cho một tập các đối tượng Ví dụ: người dùng sẽ phải xác định những người dùng LBS và nhà cung cấp nào có quyền truy cập đến thông tin vị trí của họ

• Các ràng buộc dịch vụ (Service constraints): người dùng có thể xác định một tập các

dịch vụ LBS hoặc các loại LBS mà họ muốn cấp quyền hoặc từ chối truy cập đến thông tin vị trí của mình và cho phép hoặc không cho phép xử lý nó cho các xử lý dịch vụ Ví

dụ họ có thể cho phép các dịch vụ định vị yêu cầu và xử lý thông tin vị trí của mình, nhưng có thể từ chối yêu cầu này của dịch vụ tìm kiếm bạn thân

• Ràng buộc về thời gian (Time constraints): người dùng có thể giới hạn vị trí và thông

tin vị trí truy cập trong một khoảng thời gian Việc này có thể được thực hiện bằng cách chỉ định một khoảng thời gian xác định trước hoặc kích hoạt và ngắt kích hoạt vị trí và thông tin vị trí truy cập

• Ràng buộc về vị trí (Location constraints): người dùng có thể giới hạn truy cập đến vị

trí và thông tin vị trí đã được xác định trước Ví dụ, người dùng cho phép không giới hạn vị trí trong khu nhà của công ty hoặc khuôn viên của trường đại học nhưng nghiêm cấm nếu ở ngoài các vị trí này

• Ràng buộc về thông báo (Noticifation constraints): với các ràng buộc này, người dùng

có thể chỉ định rõ liệu họ mong nhận được thông tin về vị trí hay truy cập thông tin vị

trí Với những thông báo gởi đến, nó có quyền xác nhận hoặc từ chối dịch vụ trong từng trường hợp cụ thể

• Ràng buộc về sự đúng đắn (Accuracy constraints): bằng việc chỉ định ràng buộc về

tính đúng đắn, người dùng có thể đánh giá độ chính xác về thông tin vị trí được gởi đến cho nhà cung cấp dịch vụ hoặc các người dùng khác

• Ràng buộc về định danh (Identify constraints): sử dụng ràng buộc định danh, người

dùng có thể xác định thông tin vị trí gởi đến cho các nhà cung cấp dịch vụ hoặc các người dùng khác bằng cách sử dụng nặc danh hoặc không cần sử dụng định danh nào

cả

2.5 Đánh chỉ mục (Indexing) cho dữ liệu không-thời gian

Cấu trúc đánh chỉ mục cho dữ liệu không-thời gian được dùng để tối ưu hóa các câu truy vấn trên dữ liệu không gian và thời gian Các cấu trúc đánh chỉ mục một chiều quen thuộc trong các DBMS hiện nay (như B+-tree, B-tree) không thể trả lời các câu hỏi mà dữ liệu phụ thuộc vào

cả không gian và thời gian, ví dụ như: “tìm địa chỉ khách sạn gần vị trí của tôi nhất trong 20

phút nữa” Cấu trúc đánh chỉ mục cho dữ liệu không-thời gian sẽ trả lời hiệu quả các câu truy

vấn tính đến cả hai yếu tố không gian và thời gian tương tự như thế

2.6 Chất lượng dịch vụ

Chất lượng dịch vụ (Quality of Service - QoS) đề cập đến khả năng trả về kết quả câu truy

vấn đúng và đủ cho người dùng trong một khoảng thời gian nào đó Thông thường khi đạt được mức độ bảo vệ tính riêng tư cao sẽ dẫn đến chất lượng dịch vụ giảm Ví dụ đơn giản nhất, để bảo mật vị trí của mình, người sử dụng gửi lên nơi cung cấp dịch vụ vị trí không chính xác (có thể là một vùng bao quanh chỗ mình đang đứng, hoặc địa điểm công cộng gần với vị trí của mình), yêu

cầu tìm một dịch vụ nào đó chẳng hạn “Tìm máy ATM gần đây nhất” N ơi cung cấp dịch vụ tìm

theo vị trí được cung cấp vốn đã không chính xác nên kết quả truy vấn trả về có thể sai lệch ít hoặc nhiều

Đối với người sử dụng các dịch vụ LBS thì khả năng cân bằng giữa mức độ bảo vệ thông tin riêng tư cá nhân và chất lượng dịch vụ là yêu cầu chính đáng và bức thiết Do đó, các giải pháp bảo vệ tính riêng trong các dịch vụ LBS cần phải đạt được sự cân bằng đó, đảm bảo vừa

không tiết lộ thông tin không mong muốn vừa cung cấp cho người dùng dịch vụ với chất lượng tốt nhất

Chương 3 Các công trình nghiên cứu liên quan

Sự đa dạng các dịch vụ LBS cũng như tính riêng tư trong dịch vụ LBS đã dẫn đến những yêu cầu bảo mật khác nhau mà sẽ được đáp ứng bởi nhiều kỹ thuật khác nhau Tính không thuần nhất của những vấn đề về tính riêng tư vị trí sẽ làm cho việc tìm ra một giải pháp chung có thể thỏa mãn tất cả những yêu cầu về tính riêng tư trở nên khó khăn hơn Sau đây, các phương pháp bảo vệ tính riêng tư của người sử dụng sẽ được đề cập và phân tích

3.1 Một số phương pháp bảo vệ tính riêng tư

Được giới thiệu trong tài liệu [2] kiến trúc hệ thống để bảo vệ tính riêng tư cho các dịch vụ LBS được chia làm ba loại dựa trên cách thức giao tiếp giữa phía những người dùng và phía nhà cung cấp dịch vụ:

• Kiến trúc không cộng tác (N on-cooperative architecture)

• Kiến trúc sử dụng thành phần trung gian tin cậy (Centralized Trusted Party ture)

Architec-• Kiến trúc cộng tác ngang hàng (Peer to peer Cooperative Architecture)

Phần tiếp theo của chương này sẽ giới thiệu lần lượt các kiến trúc này và các giải pháp bảo

vệ tính riêng tư cho từng kiến trúc

3.1.1 Kiến trúc không cộng tác

Kiến trúc không cộng tác là kiến trúc người dùng chỉ dựa vào những gì họ hiểu biết để bảo

vệ tính riêng tư vị trí [2] N gười dùng (client) sẽ phải tự tìm cách che dấu (như làm sai lệch, tạo những thông tin giả) thông tin vị trí thật của mình trước khi gửi lên máy chủ dịch vụ (server)

Kiến trúc này có một số đặc điểm sau:

• Phụ thuộc hoàn toàn vào khả năng, kiến thức và ý thức bảo vệ tính riêng tư của người

sử dụng

• Hiện thực đơn giản, dễ dàng tích hợp với các công nghệ hiện tại

• Khi nhận được kết quả trả về, người dùng phải tự lọc lại kết quả nào là phù hợp với mình Mục đích hướng đến tính riêng tư là chính

Hình 3.1: Minh họa cho kiến trúc không cộng tác

Một số phương pháp bảo vệ tính riêng tư sử dụng cho kiến trúc này gồm:

• Phương pháp sử dụng vùng đối tượng (Landmark objects)

• Phương pháp sử dụng những yêu cầu giả (False Dummies)

• Phương pháp làm mờ vị trí (Location obfuscation)

3.1.1.1 Phương pháp sử dụng vùng đối tượng (Landmark objects)

Phương pháp này có đặc điểm là: người dùng thay vì thông báo vị trí chính xác của mình

thì họ sẽ thông báo bằng vị trí của một khu vực (landmark object) gần nhất với vị trí của mình, rồi gửi cho máy chủ Thông tin về vị trí của người dùng có thể được mô tả như sau “tôi đang ở

gần nhà thờ ABC” Máy chủ sẽ dựa vào vùng được cung cấp mà gửi lại câu trả lời phù hợp N hư

vậy, máy chủ sẽ không biết người dùng ở chính xác vị trí nào mà chỉ biết người dùng đang ở gần hoặc trong khu vực nào đó [2]

Hình 3.2: Minh họa cho phương pháp sử dụng vùng đối tượng

3.1.1.2 Phương pháp sử dụng những yêu cầu giả

Trong phương pháp này, người dùng gởi m vị trí, trong đó chỉ có một vị trí đúng và còn lại

m-1 vị trí sai Máy chủ sẽ gửi trả m câu trả lời ứng với m vị trí Và người dùng chỉ việc chọn lại

câu trả lời nào là đúng với thông tin vị trí thật của mình và bỏ qua các câu trả lời khác Về phía

máy chủ, nó sẽ không thể phân biệt được đâu là vị trí thật trong m vị trí được gửi đến [2]

Việc phát sinh các vị trí sai nên theo một mẫu tương tự như mẫu của người dùng nhưng với

vị trí khác Và nhược điểm của cách này là chi phí sử dụng của người dùng cao, gấp m lần cho

• Các vị trí được thể hiện như các đỉnh trong đồ thị, trong đó mỗi cạnh thể hiện khoảng cách giữa hai đỉnh

• Vị trí không chính xác được trừu tượng như một tập các đỉnh

• Máy chủ ước lượng truy vấn dựa trên khoảng cách đến mỗi đỉnh của các vị trí không chính xác

Hình 3.4: Minh họa cho phương pháp xáo trộn vị trí bằng đồ thị

3.1.2 Kiến trúc sử dụng thành phần trung gian tin cậy

Trong kiến trúc này thành phần trung gian tin cậy có nhiệm vu thu thập thông tin và cung cấp theo yêu cầu về tính riêng tư của mỗi người dùng [2] Trong LBS, thành phần trung gian tin cậy bao gồm tập hợp các hàm API, các giao thức cũng như là dịch vụ hạ tầng mà có thể được sử dụng bởi nhiều dịch vụ LBS khác nhau Thành phần trung gian tin cậy đóng vai trò trung gian giữa các đối tượng trong dịch vụ LBS, như là đối tượng cung cấp thông tin vị trí, đối tượng cung cấp nội dung dịch vụ LBS và cả những người dùng các dịch vụ LBS

Mục đích của việc sử dụng thành phần trung gian tin cậy là nhằm làm trong suốt các thông

tin vị trí (postioning transparency) Việc làm trong suốt các thông tin vị trí là việc dấu tất cả các

thông tin liên quan đến vị trí, phương pháp định vị, cách phân bố dữ liệu với các dịch vụ Điều này nhằm bảo vệ tính riêng tư của người dùng

Cụ thể như sau: người dùng gửi thông tin vị trí thật của mình đến một thành phần thứ ba

tin cậy (trusted third party) Thành phần này nhận thông tin chính xác của người dùng và làm

mờ thông tin này, sau đó gởi thông tin đã làm mời mờ này đến máy chủ N hư vậy, thông tin vị trí thật của người dùng đã được che dấu trước khi đến máy chủ Sau khi nhận kết quả trả về từ máy chủ, thành phần này có nhiệm vụ sẽ lọc lại kết quả phù hợp với người dùng rồi trả kết quả đó về Phương pháp này có ưu điểm là cung cấp tính riêng tư mạnh và đảm bảo với chất lượng dịch vụ cao Tuy nhiên, hệ thống sẽ bị thắt cổ chai và xử lý phức tạp

Hình 3.5: Minh họa cho kiến trúc sử dụng thành phần trung gian tin cậy

Một số phương pháp bảo vệ tính riêng tư sử dụng cho kiến trúc này:

• Phương pháp pha trộn các vùng (Mix Zones)

• Phương pháp che dấu vùng nhạy cảm sử dụng thuật toán k-area

• Phương pháp che dấu không gian chia ¼ (Quadtree Spatial Cloaking)

• Thuật toán che dấu CliqueCloak – sử dụng đồ thị vô hướng

• Thuật toán che dấu sử dụng lân cận gần nhất (Nearest Neighbor Cloaking – NNC)

• Thuật toán che dấu không gian Hilbert (Hilbert Cloaking)

• Phương pháp giảm độ chính xác vị trí

3.1.2.1 Phương pháp pha trộn các vùng

Mô hình giả định tồn tại một hệ thống quản lý đăng ký dịch vụ của dịch vụ và người dùng Các dịch vụ đăng ký khoảng không gian cung cấp dịch vụ cũng như giới hạn số người dùng truy cập N gười dùng đăng ký sử dụng những dịch vụ nào họ muốn Mỗi người dùng sẽ có một hoặc nhiều vùng mà không có dịch vụ nào có thể theo dõi sự duy chuyển của họ Và vùng này được định nghĩa là vùng Mix-zones

Trong vùng Mix–zone các dịch vụ không thể nhận được định danh cụ thể của người dùng,

và thay vào đó là một định danh giả, định danh giả này cho phép người dùng và dịch vụ liên lạc với nhau và sự liên lạc này phải có một thành phần thứ ba để ngăn chặn việc suy diễn từ định

danh giả với định danh thật của người dùng Định danh giả này thay đổi bất cứ khi nào người dùng vào một vùng mix-zone

Mục tiêu của mô hình Mix-zones là nghiêm cấm theo dõi sự di chuyển của người dùng trong một thời gian dài, nhưng vẫn cho phép xử lý nhiều dịch vụ dựa trên vị trí vào một khoảng thời gian ngắn Trong mô hình này cho phép người dùng có thể từ chối gởi bất kỳ thông tin vị trí cập nhật nào nếu như vùng pha trộn ít hơn k người dùng Với quan điểm đưa ra ở trên thì đối phương không thể biết một người dùng đến từ đâu

Hình 3.6: Minh họa cho phương pháp Mix-zones

3.1.2.2 Phương pháp che dấu vùng nhạy cảm sử dụng thuật toán k-area

Phương pháp này đưa đến cho người dùng một số phương thức để định nghĩa vùng nhạy cảm (thông qua một chính sách), tuy nhiên người dùng có thể thay đổi khi cần Phương pháp này quan tâm đến vấn đề: đối phương có thể bất cứ là thành phần nào- cố gắng truy cập để ghi nhận các thông tin vị trí được gởi đến cho các trình cung cấp dịch vụ Đối phương tìm kiếm thông tin qua các vùng nhạy cảm hoặc đơn giản xác định vùng nhạy cảm mà người dùng truy cập đến, nhưng không cần phải truy cập vào trình quản lý vị trí Và thách thức đặt ra trong phương pháp này là: cung cấp mức độ cao hơn về tính riêng tư cho những vùng nhạy cảm Phương pháp đưa

ra sự phân biệt giữa bảo vệ tính riêng tư mạnh và yếu cho vùng nhạy cảm Với bảo vệ tính riêng

tư yếu cập nhật vị trí không đưa ra từ các vùng này Bảo vệ tính riêng tư mạnh phải nghiêm cấm

sự suy diễn vị trí, nghĩa là nghiêm cấm đối phương có thể suy diễn được vị trí từ trong quá trình cập nhật vị trí trước và sau của người dùng khi đến những vùng nhạy cảm Tuy nhiên trong bảo

vệ riêng tư mạnh không nên giảm đi tính hiệu lực của thông tin vị trí trong vùng nhạy cảm Tóm lại phương pháp này đưa ra các vấn đề:

• Phân loại khu vực nào nhạy cảm và không nhạy cảm

• Thuật toán bảo vệ tính riêng tư nên làm sai vị trí ít đối với các dịch vụ ở thành phần thứ

ba khi người dùng ở trong vùng không nhạy cảm, và làm sai vị trí nhiều khi người dùng ở trong vùng nhạy cảm

• Các thuật toán nên bảo vệ hiệu quả thông tin vị trí khi người dùng vào vùng nhạy cảm

và đảm bảo không một ai có thể suy ra được vị trí của người dùng đã đi qua trước đó hoặc tương lai Tuy nhiên các thuật toán không nên xử lý nghiêm ngặt hiệu lực thông tin vị trí khi người dùng vào vùng nhạy cảm

Hình 3.7 dưới đây minh họa các kỹ thuật quản lý sự cập nhật vị trí của người dùng được

nhúng bên trong hệ thống quản lý vị trí người dùng (Location broker) Hệ thống này gồm có hai thành phần: hệ thống quản lý khai báo (Notification manager) để giữ vết các yêu cầu vị trí của các nhà cung cấp dịch vụ bên ngoài và hệ thống quản lý tính riêng tư (Privacy manager) dùng để

lưu trữ sở thích tính riêng tư của người dùng và thực hiện các thuật toán để xác định liệu vị trí nào của người dùng liên quan đến những yêu cầu của nhà cung cấp dịch vụ Đặc biệt các thành phần hoạt động như sau:

Hình 3.7: Minh họa kiến trúc xử lý che dấu vùng nhạy cảm

Đầu tiên thiết bị người dùng cập nhật vị trí của nó đến hệ thống quản lý vị trí người dùng Với mỗi lần cập nhật từ người dùng, hệ thống quản lý khai báo xác định nhà cung cấp dịch vụ

nào được biết những cập nhật này Trước khi vị trí cập nhật được gởi đến nhà cung cấp dịch vụ,

hệ thống quản lý khai báo yêu cầu được sự chấp nhận của hệ thống quản lý tính riêng tư – kiểm tra tất cả chính sách riêng tư của người dùng với tất cả những ràng buộc nào đã được mô tả trước

đó Ràng buộc không gian được kiểm tra bằng bản đồ vị trí nhạy cảm, phân loại những vị trí nào nhạy cảm hay không nhạy cảm dựa trên chính sách của người dùng và những thiết lập mặc định

N ếu tất cả ràng buộc cho phép dữ liệu được cung cấp, hệ thống quản lý tính riêng tư sử dụng các thuật toán phân tích tính nhạy cảm để đưa ra quyết định sau cùng Xử lý này được lặp lại cho mỗi nhà cung cấp dịch vụ

Các thuật toán được sử dụng: Base, Bounded-rate và k-area Trong đó thuật toán Base, Bounded -rate dùng để minh họa cho các vấn đề đơn giản, còn thuật toán chính là k-area xử lý tri

thức về vị trí của vùng nhạy cảm Thử nghiệm của thuật toán sử dụng một bản đồ nhạy cảm

(sen-sitivity map), bản đồ này có thể phát sinh cho mỗi người dùng dựa trên sự chỉ định vùng nhạy

cảm của họ Bản đồ này ở ngoài phạm vi nghiên cứu thuật toán, tuy nhiên cách thức bản đồ phát sinh vùng nhạy cảm sẽ gây ảnh hưởng đến kết quả của thuật toán

• Thuật toán Base chỉ để kiểm tra cập nhật vị trí nhạy cảm bên trong bản đồ Thật toán kiểm tra mức độ độc lập của bản đồ nhạy cảm với vị trí cập nhật của người dùng khi gởi đến hệ thống quản lý vị trí

• Thuật toán Bounded-rate đảm bảo các cập nhật không được gởi đến thường xuyên lớn hơn một ngưỡng đã định Đối với những cập nhật thấp hơn ngưỡng, thuật toán giảm số lượng thông tin đưa ra trong các vùng nhạy cảm để tạo sự khó khăn cho những đối phương có ý suy diễn từ vị trí mà người dùng đã đi qua trong các vùng nhạy cảm

• Thuật toán k-area nghiêm cấm cập nhật thông tin khi một người dùng đi vào vùng nhạy cảm Hơn thế nữa, các cập nhật vị trí nên được đưa ra chỉ khi nào họ không đi vào vùng có ít hơn k vùng nhạy cảm: Chia bản đồ thành k vùng nhạy cảm khác biệt nhau Trong mỗi vùng nhạy cảm sẽ có ít nhất một vùng phổ biến, và không có một vùng nhạy cảm nào được tìm thấy nếu không đi qua một vùng phổ biến Tất cả cập nhật vị trí trong một vùng được lưu trữ và không được đưa ra cho đến khi người dùng đi qua một vùng khác

Hình 3.8: Minh họa cho thuật toán che giấu k- area

Hiện tại các thuật toán chỉ bảo vệ định danh của vị trí được viếng thăm Đối phương vẫn có thể tìm ra được các thông tin khác Ví dụ như suốt quá trình một cá nhân ở trong một vùng lớn, hoặc thường xuyên đi đến vùng lớn Để phát triển các thuật toán và thử nghiệm thuật toán hiệu quả, tác giả cho rằng việc bảo vệ tính riêng tư trong vùng nhạy cảm là việc rất khó, các vùng này nên được thiết lập thông qua các chính sách, vì các đối phương có thể suy ra chính xác các vị trí

từ các vị trí cập nhật trước và sau đó

3.1.2.3 Phương pháp che dấu không gian chia ¼

Phương pháp này nhằm tìm được vùng không gian nhỏ nhất có được k-người vô danh sao cho mỗi người dùng khác biệt với k-1 người dùng khác [2] Cách tiến hành như sau:

• Chia đệ qui không gian theo cung ¼ cho đến khi nào vùng chia ít hơn k người dùng

• N hững vùng chia trước đó vẫn còn đảm bảo ràng buộc k người dùng thì được trả về để chia tiếp

Phương pháp này có đặc điểm là nếu sự phân bố rời rạc và số người dùng nhỏ hơn k thì hệ

thống sẽ có thể sẽ không hoạt động được N gược lại, nếu sự phân bố dày đặc dẫn đến chi phí xử

lý lớn N ếu sự phân bố dày trong vùng không gian rộng có thể chất lượng dịch vụ sẽ giảm xuống

vì việc hồi đáp dịch vụ dựa trên vùng không gian rộng là mơ hồ

a) b) c) d) e)

Hình 3.9: Minh họa cho thuật toán che dấu không gian chia ¼

Trong đó hình a là toàn bộ không gian vị trí; hình b, c, d thể hiện các lần chia không gian thứ 1, 2, và 3 Còn hình e là kết quả của phép chia không gian, vùng màu sậm là vùng kết quả trả

về

3.1.2.4 Thuật toán che giấu CliqueCloak – sử dụng đồ thị vô hướng

Ý tưởng thuật toán che giấu không gian CliqueCloak đầu tiên được đưa ra trong [20] Ý tưởng chính của thuật toán này là đưa ra một mức độ che giấu vị trí bằng cách đưa ra mật độ phân bố vị trí để giảm độ chính xác của dữ liệu không gian Mức độ che giấu được áp dụng là sử dụng k-người vô danh trong một vùng, và ràng buộc k- người vô danh này được áp dụng cho tất

cả các thông điệp gởi từ người dùng đến dịch vụ Thuật toán phải chọn một vùng đủ lớn để tất cả các đối tượng nằm trong nó thỏa mãn ràng buộc che giấu Đến năm 2005, Ling Liu và Gedik [21] đã cải cải tiến ý tưởng thuật toán là áp dụng k-người vô danh cho từng thông điệp gởi từ người dùng đến dịch vụ Và đến năm 2008 Ling Liu và Gedik đã hoàn thiện việc cải tiến thuật toán CliqueCloak và đã cho cài đặt thử nghiệm [11] Thuật toán CliqueCloak cải tiến được mô tả như sau:

• Mỗi người dùng sẽ đưa ra mức độ che dấu k và vùng tối đa che dấu P

• Xây dựng một đồ thị vô hướng G(S, E), trong đó S là tập các đỉnh và E là tập các cạnh, hai đỉnh lân cận nhau nếu hai đỉnh đó khác biệt nhau và vùng tối đa P của mỗi đỉnh có chứa lẫn nhau và lúc đó ta vẽ một cạnh e vô hướng giữa hai đỉnh lân cận (e ∈ E)

• Với mỗi người dùng mới m, thêm m vào đồ thị, tìm tập nút lân cận với m trong đồ thị

và có mức che giấu ít hơn m.k

• Vùng che giấu là vùng bao gồm người dùng m và các nút lân cận Tất cả người dùng trong vùng che giấu đều sử dụng vùng che giấu như vùng che giấu của họ