Luận văn Nghiên cứu kỹ thuật bảo vệ tính riêng tư và ứng dụng trong dịch vụ điện tử

1 Phần mở đầu Tóm tắt:  Nội dung phần mở đầu trình bày tổng quan về đề tài, mục tiêu và các đóng góp chính của luận văn. Nội dung tóm tắt của từng chương trong luận văn được trình bày ở cuối phần này. Giới thiệu chung Ngày nay, sự phát triển và bùng nổ công nghệ truyền thông và thông tin đã dẫn đến sự ra đời của nhiều dịch vụ điện tử hoạt động trên môi trường mạng máy tính (đặc biệt là mạng Internet). Các dịch vụ này đã mang lại nhiều lợi ích, tiện lợi, và làm cải thiện cuộc sống của con người. Việc giao tiếp, trao đổi dữ liệu, giới thiệu ý tưởng, mua bán hàng hóa và dịch vụ giữa con người với con người không còn giới hạn biên giới nữa khi mọi việc đều thực hiện thông qua mạng Internet. Trong hầu hết các dịch vụ điện tử mang lại nhiều lợi ích trên, nguồn dữ liệu thô (họ tên, ngày tháng năm sinh, sở thích,…) được cung cấp bởi người sử dụng cho các dịch vụ như vậy lại được quan tâm chưa đúng mức bởi chính bản thân người sử dụng dịch vụ. Một vài nghiên cứu trong vài năm gần đây đã nêu bật lên những rũi ro bảo mật và tính riêng tư cho người khai thác dịch vụ trực tuyến (như đánh cắp định danh, suy diễn dựa trên hồ sơ người dùng – user profile, tình trạng bị giám sát trực tuyến và lừa đảo, ...). Chính vì những lý do trên, Tổ chức hợp tác và Phát triển kinh tế thế giới - OECD (Organisation for Economic Co-operation and Development) đã cảnh báo về vấn đề bảo vệ tính riêng tư (privacy) trong các giao dịch trên mạng toàn cầu. Tính riêng tư về thông tin (information privacy) được hiểu là quyền lợi vĩnh viễn của một cá nhân trong việc kiểm soát cách thức thu thập, lưu trữ, xử lý, công bố và chia sẽ thông tin cá nhân của họ bởi các cá thể, tổ chức khác [1]. Bảo vệ tính riêng tư đặc biệt được quan tâm nhiều trong các hệ thống thực tế như hệ thống bầu cử trực 2 tuyến, hệ thống tư vấn sử dụng dịch vụ công cộng, hệ thống định vị… Trong phạm vi luận văn này, chúng tôi tập trung quan tâm đến vấn đề bảo vệ tính riêng tư cho các dịch vụ có liên quan đến vị trí (Location-based Services - LBS) trong các ứng dụng có sử dụng thông tin vị trí (Location-based Application - LBA). Đầu tiên, sự phát triển nhanh mạnh của các thiết bị điện tử có khả năng liên lạc với nhau trong môi trường mạng và có tích hợp khả năng định vị trong những năm gần đây đã cho ra đời hàng loạt các ứng dụng có liên quan đến vị trí của người sử dụng nhằm nâng cao chất lượng của cuộc sống. Dưới đây là một vài ứng dụng ví dụ:  Một trong các ứng dụng phải đề cập đến đầu tiên là dịch vụ theo dõi vị trí của hệ thống định vị toàn cầu - GPS (Global Prosition System) [2]. Hệ thống GPS sử dụng vệ tinh để hỗ trợ các thiết bị có khả năng xác định vị trí của mình với độ chính xác khác nhau tùy thuộc vào điều kiện môi trường xung quanh. Trong báo cáo [2], độ chính xác của GPS có thể đảm bảo trong phạm vi 4m so với vị trí thực. Với đặc tính vậy, GPS được tích hợp trong các ứng dụng liên quan đến bản đồ và tích hợp vào trong các thiết bị PDA cũng như các thiết bị hỗ trợ tính năng định vị khác.  Bên cạnh ứng dụng của GPS hoạt động tốt trong môi trường ngoài trời thì trong môi trường trong nhà, hệ thống Active Badges [3] của Phòng thí nghiệm AT&T trong trường đại học Cambridge cung cấp khả năng cho biết vị trí của nhân viên trong văn phòng. Hệ thống Active Badges sử dụng tín hiệu hồng ngoại phát ra từ một thiết bị gắn trên người nhân viên để xác định vị trí của nhân viên trong hệ thống phòng làm việc của công ty thông qua các bộ cảm biến đặt xung quanh.  Tương tự với hệ thống Active Badges, hệ thống Bat [4] được cải tiến sử dụng sóng siêu âm kết hợp với cơ chế định vị của loài dơi để tăng độ chính xác định vị lên tới phạm vi 4cm.  Hệ thống dẫn đường Cricket Location-Support System [5] cũng sử dụng giải pháp tương tự như hệ thống Bat. 3  Bên cạnh các hệ thống định vị phải phát triển trên các nền kỹ thuật mới, vẫn có nhiều hệ thống tận dụng rất tốt cơ sở hạ tầng mạng cũ để triển khai các dịch vụ có liên quan đến vị trí. Đầu tiên là hệ thống cảm biến vị trí của trường Đại học Carnegie Mellon [6] sử dụng mạng không dây nội bộ để xác định vị trí của các thiết bị thông qua chiều dài bước sóng khác nhau phát ra từ các trạm cảm biến.  Với chiếc điện thoại di động thông thường phục vụ cho việc trao đổi liên lạc với nhau, điện thoại di động còn được sử dụng làm thiết bị cung cấp thông tin vị trí, đây là yêu cầu E-911 [7] của Quân đội Mỹ nhằm xác định chính xác vị trí của nạn nhân khi họ gọi đến số điện thoại khẩn cấp; rõ ràng, đây là dịch vụ hết sức cần thiết cho cuộc sống.  Ứng dụng của kỹ thuật định danh dựa vào tần số sóng vô tuyến (Radio Frequency Identification - RFID) [8] đã thay thế dần việc quản lý hàng hóa bằng mã vạch Barcode. Bằng kỹ thuật gắn các thiết bị vi mạch sử dụng RFID lên từng mặt hàng, nhân viên kiểm kê hàng tồn kho có thể nhanh chóng ghi nhận tình trạng hiện diện của hàng hóa trong kho chỉ với thao tác đi ngang qua các kệ xếp hàng. Các ứng dụng nêu trên đã cho thấy lợi ích và hiệu quả của các ứng dụng có sử dụng thông tin vị trí LBA đối với cuộc sống con người. Bên cạnh các lợi ích trước mắt như vậy, các ứng dụng trên cũng kèm theo những rủi ro và thách thức mới liên quan đến quyền lợi riêng tư của người sử dụng dịch vụ của các ứng dụng trên. Đặc trưng của loại ứng dụng LBA là phải theo vết di chuyển của người sử dụng dịch vụ để từ đó, xác định được vị trí tương ứng và cung cấp dịch vụ tốt nhất. Tuy nhiên, người sử dụng loại dịch vụ này lại không mong muốn thông tin cần cho ứng dụng LBA lại bị tiết lộ với một tổ chức hay một cá nhân nào khác. Xét trường hợp một bệnh nhân đang tiến hành kiểm tra bệnh AIDS, họ hoàn toàn không mong muốn việc đến phòng khám của họ lại bị tiết lộ cho các hệ thống ứng dụng LBA tại công sở họ hoặc tại ngân hàng, đó còn chưa kể đến trường hợp các ứng dụng LBA tại phòng khám và công sở “bắt tay nhau”. Như vậy, người sử dụng dịch vụ hoàn toàn không 4 tin cậy vào bất kỳ ứng dụng LBA nào mà họ không kiểm soát được việc chia sẻ thông tin riêng tư của họ. Do đó, vấn đề về tính riêng tư trong các ứng dụng LBA phải được xem xét và quan tâm. Nhóm tác giả [9] đã chia các dịch vụ có sử dụng thông tin vị trí LBS (Location- based Service) của các ứng dụng LBA thành 3 nhóm chính để từ đó xem xét đến vấn đề về tính riêng tư.  Nhóm đầu tiên là loại dịch vụ LBS cần chính xác định danh của người dùng thì mới cung cấp đúng dịch vụ cần thiết.  Ví dụ: Dịch vụ cho phép đồng nghiệp của 1 nhân viên có thể biết được vị trí hiện tại của nhân viên khi nhân viên đó bước vào công ty, rõ ràng là nếu dịch vụ LBS này không xác định chính xác định danh của từng nhân viên khi họ bước vào văn phòng của công ty thì dịch vụ LBS không thể nào hoạt động được.  Nhóm dịch vụ thứ 2 là loại dịch vụ chỉ cần một định danh giả (pseudonym identification) thay vì định danh thực của người dùng là đủ để cung cấp dịch vụ.  Ví dụ: Dịch vụ cho phép một nhân viên khi đến gần một thiết bị máy tính thì máy tính đó tự động chuyển quyền điều khiển từ xa đến một máy tính khác mà nhân viên này có quyền điều khiển.  Nhóm dịch vụ thứ 3 là loại dịch vụ không cần đến định danh của người dùng cũng cung cấp được dịch vụ  Ví dụ: Khi một người dùng đi qua một quán café thì dịch vụ LBS sẽ cho biết thông tin giá của café tại quán đó, rõ ràng, loại dịch vụ này hoàn toàn không cần biết đến ai là người sử dụng dịch vụ, mà chỉ cần biết vị trí của người sử dụng dịch vụ là có thể cung cấp thông tin kết quả. Với 3 nhóm dịch vụ LBS đã nêu, rõ ràng nhóm dịch vụ đầu tiên dựa hoàn toàn vào định danh thật của người sử dụng để cung cấp dịch vụ. Với nhóm dịch vụ LBS này thì ta hoàn toàn không thể sử dụng dịch vụ mà không bị xâm phạm đến quyền lợi 5 riêng tư. Do đó, hầu hết các hướng tiếp cận đều tập trung vào việc giải quyết bài toán bảo vệ tính riêng tư cho dịch vụ LBS thuộc nhóm 2 và 3. Lý do thực hiện đề tài Công trình nghiên cứu đầu tiên được xem là công trình nghiên cứu liên quan đến vấn đề bảo vệ tính riêng tư của người dùng, cụ thể là bảo vệ định danh người dùng, là hệ thống gửi nhận thư điện tử an toàn có che giấu định danh của David Chaum [10] vào năm 1981. Sau đó, một loạt các hệ thống bảo vệ định danh người dùng dựa trên Mix [11] [12] ra đời. Tuy nhiên, do các dịch vụ có sử dụng vị trí LBS có đặc điểm là phải cung cấp kết quả cho người sử dụng theo thời gian thực. Vì vậy, các hệ thống Mix trên với thời gian trì hoãn cao (high latency) rất hiệu quả với các ứng dụng truyền thống thì lại hoàn toàn không phù hợp với loại ứng dụng cung cấp các dịch vụ dựa vào thông tin vị trí LBS. Bên cạnh đó, một số hệ thống sử dụng thời gian trì hoãn thấp (low latency) như hệ thống Tor [13], Tarzan [14] hoàn toàn có thể chống lại kỹ thuật tấn công dựa vào việc phân tích lưu lượng thông tin mạng, một trong những kỹ thuật tấn công các hệ thống bảo vệ định danh người dùng. Tuy nhiên, các hệ thống sử dụng kỹ thuật trì hoãn thấp chỉ hoạt động hiệu quả với môi trường mạng có lưu lượng mạng cao. Trong khi đó, môi trường mạng cho các dịch vụ LBS lại luôn trong trạng thái thấp. Vì vậy, các hướng tiếp cận của hệ thống Tor, Tarzan cũng không phù hợp với loại ứng dụng LBA. Mặc dù có nhiều hướng tiếp cận được đề xuất gần đây phù hợp với loại ứng dụng LBA, nhưng mỗi hướng đểu có một số hạn chế. Với hướng tiếp cận sử dụng kỹ thuật mở rộng câu truy vấn (query enlargement technique) [15] [16] [17] thì độ chính xác của kết quả trả về bị giảm do việc mở rộng câu truy vấn làm mở rộng không gian vị trí tìm kiếm dịch vụ. Với hướng tiếp cận sử dụng kỹ thuật che giấu không gian (spatial cloaking technique) [18] [19] [20] thì lại phụ thuộc quá nhiều vào sự phân phối không gian vị trí của người sử dụng dịch vụ, đồng thời việc truyền tải câu truy vấn và lọc các kết quả trả về từ dịch vụ LBS từ một lượng lớn các kết quả là hoàn toàn không hiệu quả, đặc biệt là đối với các thiết bị di động có bộ nhớ và bộ xử lý hạn chế. 6 Với hướng tiếp cận sử dụng thông tin giả (vị trí giả hoặc danh sách vị trí cố định hoặc người sử dụng giả - Dummy) [21] [22], mặc dù hướng tiếp cận này che dấu được vị trí cũng như định danh của người dùng, nhưng với phương pháp này, thiết bị ở phía người dùng phải được cài đặt thành phần phát sinh thông tin giả và gửi đồng thời thông tin giả với vị trí thực đến dịch vụ LBS. Phương pháp này làm giảm hiệu quả truyền tải tín hiệu, đồng thời phải phát sinh nhiều thông tin giả để đảm bảo độ an toàn và không tận dụng được tính toàn cục của các thông tin giả được phát sinh ở mỗi người sử dụng dịch vụ xung quanh. Hướng tiếp cận của hệ thống bảo vệ tính riêng tư vị trí dựa trên nền hệ thống Mix nhị thức (binomial-mix-based location anonymizer) [23] và phiên bản cải tiến - RPROB [24] đã tận dụng được những lợi ích của những người sử dụng dịch vụ xung quanh tại cùng thời điểm để làm giảm đáng kể tổng số thông tin giả phải phát sinh trong mỗi lần gửi truy vấn (với giải pháp phát sinh thông tin giả tập trung); đồng thời, chống được tấn công GAA (Global Active Adversary). Tuy nhiên, hướng tiếp cận này vẫn còn một số vấn đề chưa giải quyết:  Hệ thống chỉ thực hiện việc bảo vệ tính riêng tư vị trí của người sử dụng dịch vụ trong giai đoạn gửi thông điệp yêu cầu từ phía người sử dụng lên phía dịch vụ LBS. Vì vậy, giai đoạn ngược lại từ phía dịch vụ LBS gửi trả kết quả về cho người sử dụng lại không được đề cập, có nghĩa là chưa đề cập đến vấn đề bảo vệ thông tin kết quả từ dịch vụ LBS.  Với mỗi thông điệp yêu cầu được gửi đến dịch vụ LBS đều được hệ thống gán cho một giá trị che giấu vị trí (location-hiding value) [23] tương ứng với cấp độ bảo vệ tính riêng tư được yêu cầu của người sử dụng dịch vụ. Lợi dụng đặc tính này, kẻ tấn công hệ thống sẽ triển khai tấn công từ chối dịch vụ (denial-of-service - DoS) bằng cách tạo ra các thông điệp có giá trị che giấu vị trí cực kỳ cao. Từ đó, có thể suy diễn được mối liên hệ giữa người sử dụng dịch vụ và dịch vụ LBS nào sẽ được người đó sử dụng. 7 Dựa trên những vấn đề chưa giải quyết trong hướng tiếp cận của hệ thống bảo vệ tính riêng tư vị trí dựa trên nền hệ thống Mix nhị thức [23], luận văn đề xuất hướng tiếp cận của một hệ thống song hướng bảo vệ tính riêng tư vị trí dựa trên nền RPROB (bi-directional RPROB-based location anonymizer) nhằm bảo vệ tính riêng tư về vị trí cho người sử dụng dịch vụ LBS. Hướng tiếp cận này được đề xuất dựa trên nền của hệ thống RPROB [24] có lõi được phát triển trên nền hệ thống mix nhị thức [11] [12]. Tính song hướng của hướng tiếp cận được thể hiện qua việc bảo vệ tính riêng tư về vị trí cho người sử dụng dịch vụ không chỉ từ hướng gửi thông điệp từ người sử dụng đến dịch vụ LBS, mà còn từ hướng gửi kết quả từ dịch vụ LBS về phía người sử dụng tương ứng. Với giải pháp phát sinh thông tin giả tập trung, hệ thống đã đảm bảo được tính chất thời gian thực theo xác suất mà bị ràng buộc vào các hoạt động của người sử dụng [24]; đồng thời, đảm bảo được tính chất thời gian trì hoãn thấp của hệ thống (một trong các yêu cầu cần thiết cho các hệ thống dịch vụ LBS). Ngoài ra, hướng tiếp cận bảo vệ tính riêng tư về vị trí này còn chống lại được các hình thức tấn công theo mô hình tấn công GAA (như cô lập thông điệp, trì hoãn thông điệp, loại bỏ thông điệp, từ chối dịch vụ, …). Mục tiêu của luận văn  Nghiên cứu và phân tích một số phương pháp để xây dựng hệ thống bảo vệ tính riêng tư trong dịch vụ điện tử nói chung và đặc biệt trong dịch vụ dựa vào thông tin vị trí (Location-based Service - LBS).  Đề xuất một giải pháp nhằm bảo vệ tính riêng tư về vị trí trong hệ thống dịch vụ điện tử dựa vào thông tin vị trí. Giải pháp được đề nghị cần đảm bảo tính riêng tư về vị trí cho người sử dụng khi người sử dụng gửi câu truy vấn đến dịch vụ và khi người sử dụng nhận kết quả trả về từ dịch vụ.  Phân tích và khảo sát các tính chất của giải pháp được đề nghị.  Xây dựng một hệ thống giả lập cho mô hình đã đề suất để khảo sát lại tính chất của mô hình.Nội dung luận văn 8 Nội dung của luận văn được trình bày gồm:  Phần mở đầu - Giới thiệu tổng quát về bài toán bảo vệ tính riêng tư của người sử dụng trong các dịch vụ dựa vào vị trí và sơ lược về các hướng tiếp cận trong thời gian gần đây.  Chương 1 - Trình bày tổng quan về các giải pháp cơ bản cho bài toán bảo vệ tính riêng tư của người dùng trong các dịch vụ dựa vào vị trí (bao gồm các kỹ thuật mở rộng câu truy vấn dịch vụ dựa vào vị trí, kỹ thuật che giấu thông tin không gian, kỹ thuật làm rối thông tin và kỹ thuật che giấu thời gian). Phân tích ưu điểm và hạn chế của các hướng tiếp cận cơ sở này.  Chương 2 - Trình bày tổng quan về Mix và Mix-Network, tính chất và phân loại các hệ thống Mix-Network; đồng thời, trình bày các giải pháp bảo vệ tính riêng tư cho người sử dụng dịch vụ dựa vào vị trí LBS mà luận văn hướng đến dựa trên mô hình Mix, Mix nhị thức và RPROB.  Chương 3 – Phân tích mô hình tấn công GAA và tính chất che giấu thông tin vị trí. Từ đó, đề xuất mô hình cải tiến dựa trên mô hình Mix nhị thức và RPROB. Mô tả kiến trúc của mô hình cải tiến và khảo sát quá trình truyền và xử lý thông điệp yêu cầu của người sử dụng dịch vụ cũng như thông điệp phản hồi kết quả từ nhà cung cấp dịch vụ LBS.  Chương 4 – Phân tích và đánh giá mô hình mà luận văn đã đề xuất. Phân tích trên tính an toàn của hệ thống đối với vấn đề bảo vệ tính riêng tư cho người sử dụng dịch vụ thông qua các hình thức tấn công của mô hình tấn công GAA, phân tích tính chất thời gian thực mà hệ thống có thể đáp ứng được và bàn về vấn đề cân đối giữa chất lượng dịch vụ và mức độ riêng tư cho người sử dụng.  Chương 5 - Trình bày kết quả mà luận văn đạt được và hướng phát triển cho mô hình mà luận văn đã đề xuất. Một phần kết quả của luận văn được công bố trong công trình [25].