©2008 Pearson Prentice Hall

Information Systems Security

Privacy-preserving location-based services

1

1-2

Nội dung trình bày

• Giới thiệu

• Giới thiệu Location Based Services (LBS).

• Vấn đề tính riêng tư trong LBS.

• Các mô hình bảo vệ tính riêng tư

• Non-cooperative Architecture

• Centralized Architecture

• Peer-to-peer Architecture

• Các mô hình tấn công và giải pháp

• Adversary Attempts

• Adversary Attack Models

• Giải pháp

• Privacy-aware Location-based Query Processing

• Summary

• Tài liệu tham khảo

1-3

1. Vấn đề về riêng tư khi sử dụng các dịch vụ dựa trên vị trí

1-4

Sơ khai của dịch vụ dựa trên vị trí

là hệ thống các biển báo giao thông, chỉ đường

1-5

Khái niệm về Location-based service

• Dịch vụ dựa trên vị trí (Location-based service –LBS) hiểu theo nghĩa chung nhất, là những dịchvụ cung cấp nội dung và khả năng tương tác vớingười sử dụng dựa trên vị trí hiện tại của họ.

• Dịch vụ LBS đầu tiên trên thế giới được đưa vàosử dụng hồi năm 2001 bởi TeliaSonera ở ThụyĐiển với các tính năng như FriendFinder, thôngtin trang vàng, cuộc gọi khẩn cấp, dựa trên hệthống định vị di động của Ericsson (MPS).

1-6

LBS hiện đại

Dịch vụ LBS là phần giao của ba

công nghệ chính được thể hiện như

trong minh họa trên bao gồm:

• GIS - Hệ thống thông tin địa lý

• Internet

• Thiết bị di động

1-7

LBS hiện đại

• Phục vụ giao thông

• VD: thông tin về các giao lộ đang đông xe ở thời điểm hiện tại; tìm đường đi ngắn nhất;…

• Tìm vị trí cửa hàng gần nhất

• VD: trạm ATM gần nhất; các quán ăn ngon/mới mở gần nhất;…

• Quảng cáo

• Các dịch vụ quảng cáo trực tuyến trở nên hiệu quả hơn với thông tin vị trí của khách hàng

1-8

LBS hiện đại

Foursquare và Foody

1-9

LBS hiện đại

Ứng dụng thông tin

bản đồ Google MapsQuảng cáo dựa trên

vị trí

1-10

LBS hiện đại – những ứng dụng mới

• Mạng xã hội: check-in, hiển thị thông tin vịtrí qua tin nhắn (Facebook, Foursquare)

• Chụp ảnh: gắn thẻ vị trí nhằm chia sẻ vị tríchụp hình (PhotoTag, Facebook)

• Trợ lý ảo: yêu cầu sử dụng GPS để đưa ratrợ giúp (Siri, GoogleNow, Cortana)

• Tìm thiết bị: Find my phone (WindowsPhone)

• V.v…

1-11

Yêu cầu về quyền riêng tư

Do you use any of these devices?

Do you ever feel that you are tracked?

• Con người hiện đại sử dụng

các thiết bị di động hầu như

hàng ngày.

• Thông tin vị trí là thông tin

riêng tư của mỗi cá nhân và

cần được bảo vệ

• Các nhà cung cấp dịch vụ LBS

có thể định vị địa điểm chính

xác của người sử dụng

1-12

Database Privacy Location Privacy

1.Mục đích là giữ tính bí mật của dữ liệu lưu trữ.(hồ sơ bệnh nhân)

2.Câu truy vấn công khai.

3.Áp dụng cho dữ liệu ít bị thay đổi.

4.Yêu cầu bảo mật được thiết lập cho toàn bộ các dữ liệu.

1.Mục đích là giữ tính bí mật dữ liệu nhưng không lưu trữ.

2.Câu truy vấn bị che giấu.

3.Cho các dữ liệu thay đổi liên tục.

4.Yêu cầu bảo mật được cá nhân hoá.

Database Privacyvà Location Privacy

1-13

Nhận thức của người dùng

Một vấn đề - Hai góc nhìn

Hey..!! We have a

coupon for you

Chúng tôi biết ngài

thích cà phê sữa,

chúng tôi có suất

đặc biệt đây!

Ồ! Hình như tuần trước ngài

vừa đi du lịch Hawaii, vậy thì

chắc là ngài sẽ sẵn sàng móc

hầu bao cho suất ăn sáng hạng

thương gia của chúng tôi!

À, mà sếp của ngài

cùng với 5 đồng

nghiệp nữa đang ở

trong quán chúng tôi

rồi đấy!

LBS-Industry sử dụng ví dụ

này để minh hoạ cho sự tiện

lợi của công nghệ LBS.

Privacy-Industry sử dụng

cũng chính ví dụ này để

minh hoạ cho sự phiền phức

mà công nghệ LBS mang lại

cho sự riêng tư của người

dùng

1-14

LBS dựa trên giả định ngầm rằng người dùng đồng ýcung cấp thông tin riêng tư về vị trí của họ.

LBS đánh đổi giữa chất lượng dịch vụ của họ và quyềnriêng tư của người dùng.

Nếu người dùng muốn bảo đảm quyền riêng tư về vị trí hiện tại,anh ta phải tắt đi thiết bị có chức năng nhận biết vị trí của mìnhhoặc tạm thời huỷ đăng ký dịch vụ LBS.

Các nghiên cứu gần đây cho thấy người dùng ngày càngnhận thức rõ ràng hơn về quyền riêng tư của mình và họcó thể ngừng sử dụng các dịch vụ LBS

Nhận thức của người dùng

1-15

Đánh đổi giữa chất lượng dịch vụ và sự riêng tư

VD: Tìm trạm xăng gần nhất

Service

10

0%

100%

0%Privacy

0%

1-16

Yêu cầu

• Đáp ứng mong muốn của người dùng:

Serv

ice Sử dụng

các tiệních mà LBSmang lại

Priva

cy Đồng thờiđảm bảoriêng tư vềthông tinvị trí củahọ

1-17

Các mô hình bảo vệ tính riêng tư

• Non-cooperative Architecture

• Centralized Architecture

• Peer-to-Peer Architecture

1-18

Location Perturbation

• Thông tin địa điểm của người dùngđược biểu diễn sai.

• Việc bảo mật được thực hiện bằng cáchthông báo sai vị trí của người dùng.

• Tính hiệu quả chủ yếu phụ thuộc vào vịtrí báo cáo.

1-19

Location Perturbation

1-20

Spatial Cloaking

• Location cloaking, location blurring,location obfuscation

• Vị trí của người dùng được biễu diễnbằng một không gian xung quanhngười dùng.

• Kẻ tấn công có thể biết được vị trícủa người dùng trong một khu vựcnhưng không thể biết chính xác vị trícủa người dùng.

1-21

Spatial Cloaking

1-22

Concept for Location Privacyk-anonymity

• Khu vực che giấu(cloaked) bao gồm kngười dùng.

• Người dùng không thể phân biệt đượcvới k người dùng còn lại.

• Độ lớn của vùng che giấu phụ thuộcvào số lượng người trong khu vực.

1-23

Concept for Location Privacy

1-24

Mô hình bảo vệ tính riêng tư

• Non-cooperative architecture : người dùngdựa vào kiến thức của họ để bảo vệ tínhriêng tư.

• Centralized trusted party architecture : Bênthứ 3 sẽ thu thập thông tin và đảm bảotính riêng tư cho người dùng.

• Peer-to-Peer cooperative architecture :người dùng hợp tác với những người khácthông qua bên thứ 3 để cá nhân hóa tínhriêng tư của mình.

1-25

Non-cooperative Architecture

Location-based

Database Server

1: Query +

Scrambled Location

Information

2: Candidate

Answer

Scrambling the

location

Privacy-aware

Query

Processor

1-26

• Người dùng gian lận bằng cách làm giảthông tin định danh và vị trí của mình.

• Dễ thực hiện và tích hợp các công nghệhiện có.

• Hiệu quả thấp và dễ bị tấn công.

• Ví dụ : “Pseudonomity”, “false dummies”,và “landmark object”.

Non-cooperative Architecture

1-27

Non-cooperative ArchitectureFalse Dummies

• Người dùng sẽ gửi m vị trí trong đó có 1 vịtrí đúng và m-1 vị trí ảo.

• Server trả kết quả cho từng vị trí nhậnđược.

• Người sử dụng là người duy nhất có thểbiết vị trí chính xác, do đó có thể biết đượccâu trả lời chính xác.

• Các False Dummies phải giống với ngườidùng thật, nhưng khác vị trí.

1-28

Non-cooperative ArchitectureFalse Dummies

Server

A separate answer for

each received location 1-29

• Thay vì báo cáo chính xác vị trí người dùng thì nó chỉ ra đặc điểm của vị trí gần nhất.

• Câu truy vấn trả về dựa trên mốc gần nhất.

• Voronoi diagrams : dùng để định nghĩa các mốc gần đó

Non-cooperative ArchitectureLandmark objects

1-30

Non-cooperative ArchitectureLandmark objects

1-31

Centralized Trusted Party Architecture

Location-based

Database Server

Privacy-

aware Query

Processor

Third trusted party that is

responsible on blurring the

exact location information.

3: Candidate

Answer

4: Candidate

Answer

Location Anonymizer

1: Query +

Location Information

2: Query +

Cloaked Spatial

Region

1-32

• Bên thứ 3 nhận thông tin chính xác từ người dùng, sau đó làm mờ và gửi tới server.

• Cung cấp dịch vụ riêng tư và đảm bảo chất lượng cao.

• Hệ thống bị “botleneck” và khó hiện thực.

• Ví dụ: Caspaer, CliqueCloak, and Spatio-temporal cloaking.

Centralized Trusted Party Architecture

1-33

• Được định nghĩa là một không gian kết nối kích thước tối đa mà người dùng không đăng ký cho một ứng dụng.

• Người dùng có thể thay đổi bút danh của họ khi vào một vùng hỗn hợp.

• Một người dùng có thể từ chối để gửi bất kỳ cập nhật nếu Mix Zones có ít hơn k người dùng.

Centralized Trusted Party ArchitectureMix Zones

1-34

• Sau khi xuất hiện từMix Zones, một đối thủkhông biết được mộttrong những người sửdụng đã xuất hiện.

Centralized Trusted Party ArchitectureMix Zones

Mix Zones

App

Zone

App

ZoneApp

Zone

1-35

Centralized Trusted Party Architecturek-area cloaking

• Khu vực nhạy cảm được xác định trước.

• Các không gian được chia thành một tậphợp các vùng mà mỗi khu vực có ít nhất kkhu vực nhạy cảm.

• Tất cả cập nhật vị trí cho người dùng trongmột khu vực nhất định được đệm.

• Sau khi rời khỏi một khu vực, địa điểmngười dùng chỉ tiết lộ nếu người dùngkhông truy cập bất kỳ khu vực nhạy cảm.

1-36

Centralized Trusted Party Architecturek-area cloaking

1-37

Centralized Trusted Party ArchitectureQuadtree Spatial Cloaking

Achieve k-anonymity, i.e., a user isindistinguishable from other k-1 users.

Recursively divide the space intoquadrants until a quadrant has less thank users.

The previous quadrant, which still meetthe k-anonymity constraint, is returned.

1-38

Achieve 5-anonmity for

Centralized Trusted Party ArchitectureQuadtree Spatial Cloaking

1-39

Cooperative (Peer-to-Peer) Architecture

1: Query +

Cloaked Location

Information

2: Candidate

Answer

Location-based

Database ServerPrivacy-

aware Query

Processor

1-40

• Người dùng tương tác với người dùngkhác để tùy chỉnh thông tin cá nhân.

• Áp dụng công nghệ Peer-to-Peer trên diđộng.

• Không cần sự tham gia của bên thứ 3.

Cooperative (Peer-to-Peer) Architecture

1-41

Peer-to-Peer Cooperative Architecture

Group Formation

Ý tưởng : khi người dùng muốn tạo một truy vấn vị trí thì người dùng tạo ra một nhóm với những người lân cận, sau đó chọn ngẫu nhiên một người để gửi thông tin đi.

42

Peer-to-Peer Cooperative Architecture

Group Formation Bước 1: tìm kiếm.

Gửi yêu cầu cho tới khi k-1 người

được tìm thấy.

Bước 2: điều chỉnh vị trí.

Hiệu chỉnh lại vị trí sử dụng vận tốc.

Bước 3: làm mờ không gian

Làm mờ vị trí người dùng trong

mạng lưới phủ vị trí k-1 người.

Ngoài ra còn có : Hierarchical Hilbert Peer-to-Peer ,

Non-Hierarchical Hilbert Peer-to-Peer …

Ví dụ: k = 7

43

Các mô hình tấn công

• Adversary Attempts

• Adverary Attack Models

• Giải pháp

1-44

Mô hình tấn công bảo mật Adversary Attempts : Biết vị trí của người dùng

Nếu kẻ thù cố gắng tìm kiếm thông tin về vị trícủa bạn, kẻ thù có thể kết nối tới vị trí ngườidùng để hỏi họ. Có 2 cách để biết vị trí ngườidùng:

1. Vị trí người dùng được công khai . Ví dụ:Nhân viên ở văn phòng làm việc suốt thờigian làm việc.

2. Kẻ thù có thể thuê ai đó sử dụng hệ thốngtheo dõi vị trí thật của người sử dụngtrong một địa điểm hoặc khu vực nhấtđịnh.

45

Mô hình tấn công bảo mật Adversary Attempts : Biết vị trí của người dùng

Có 2 chế độ bảo mật: Bảo mật vị trí và bảo

mật truy vấn.

Bảo mật vị trí:

Người sử dụng muốn ẩn đi vị trí và truy

vấn của họ.

Bảo mật truy vấn :

Người dùng không quan tâm hay là bị

ép buộc để lộ vị trí của họ.Tuy nhiên,

họ muốn dấu truy vấn của mình.

Ví dụ: công nhân ở nơi làm việc.46

Mô hình tấn công bảo mậtAdversary Attempts: Theo dõi vị trí và truy vấn

Theo dõi vị trí: Kẻ thù có thể liên kết dữ liệu từ một

số trường hợp mà các vị trí liền kề sử dụng cùng 1

bút danh.

Theo dõi vị trí có thể

tránh được bằng cách tạo

ra bút danh khác nhau cho

mỗi lần cập nhật vị trí.

47

Mô hình tấn công bảo mậtAdversary Attempts: Theo dõi vị trí và truy vấn

Theo dõi truy vấn : Kẻ thù có thể theo dõi các truy

vấn liên tục bất thường mà từ đó có thể tiết lộ danh

tính người dùng.

Ngay cả với bút danh

khác nhau, các truy vấn

khác thường có thể bị liên

kết với nhau.

48

Mô hình tấn công bảo mật Location Distribution Attack

Tấn công rải rác vị trí xảy ra khi :

Biết vị trí của người sử dụng .

Một số người dùng ở ngoài vùng.

Việc sử dụng thuật toán không gian

che giấu có xu hướng tạo ra các khu

vực nhỏ nhất.

C

D

E

B

A

F

Với một vùng không gian che giấu bao gồm một khu

vực thưa thớt (người sử dụng A) và một phần khu vực

dày đặc ( người sử dụng B , C, và D ) , => dễ dàng tìm

ra rằng người phát ra truy vấn nằm ở vùng ngoài.49

Mô hình tấn công bảo mật Maximum Movement Boundary Attack

Maximum Movement Boundary Attack xảy ra khi :

Việc cập nhật vị trí hoặccác truy vấn liên tục đượcchú ý tới.

Các bút danh được dùngchung cho hai bản cập nhậtliên tiếp.

Tốc độ tối đa có thể đượcbiết đến

Ri

Ri+1

50

Mô hình tấn công bảo mật Maximum Movement Boundary Attack

Tốc độ tối đa được sử dụng để cóđược một ranh giới chuyển độngtối đa ( MBB ).

Người dùng đang nằm ở giaođiểm của MBB với khu vực đượcche giấu mới.

Ri

Ri+1

I know you are

here!

51

Mô hình tấn công bảo mật Query Tracking Attack

Cuộc tấn công này xảy ra khi :

Việc cập nhật vị trí hoặc các

truy vấn liên tục được chú ý

đến.

Các bút danh cùng được sử

dụng cho một số cập nhật liên

tiếp.

Vị trí người sử dụng được biết

đến.

52

C

D E

BI

J

A

F

H

K

G

Mô hình tấn công bảo mật Query Tracking Attack

Khi một truy vấn được ban

hành, tất cả người dùng trong

khu vực truy vấn có thể là

người phát ra truy vấn đó.

Nếu truy vấn được báo cáo một

lần nữa, các giao điểm của các

ứng cử viên giữa các trường

hợp truy vấn làm giảm sự riêng

tư của người sử dụng.

C

D E

BI

J

A

F

H

K

G

At time ti {A,B,C,D,E}

At time ti+1{A,B,F,G,H}

At time ti+2 {A,F,G,H,I}

53

Tutorial Outline PART I: Privacy Concerns of location-based Services

PART II: Realizing Location Privacy in Mobile Environments

PART III: Privacy Attack Models Adversary Attempts

Adversary Attack Models

Solutions for Attack Models

PART IV: Privacy-aware Location-based Query Processing

PART V: Summary and Future Research Directions

54

Giải pháp cho Location Distribution Attack.

k-Sharing Region Property.

k-Sharing Region Property : Một

khu vực không gian được che giấu

không chỉ chứa ít nhất k người dùng

khác, mà nó còn được chia sẻ bởi ít

nhất k người sử dụng này.

Các khu vực không gian che giấu

giống nhau được tạo nên từ k người

sử dụng. Kẻ thù không thể liên kết

tới khu vực bên ngoài.

C

D

E

B

A

F

55

Giải pháp cho Location Distribution

Attack. k-Sharing Region Property.

C

D

E

B

A

F

Có thể không tạo được khu vực

che giấu tốt nhất cho mỗi người

dùng , tuy nhiên , nó sẽ tạo ra

một môi trường tổng thể nhận

thức-riêng tư hơn.

Ví dụ về một trong các kỹ thuật

được sử dụng là CliqueCloak.

56

Giải pháp cho Maximum Movement

Boundary Attack.Safe Update Property

Hai vùng che giấu liên tiếp Ri và Ri+1 của cùng một người sửdụng có thể tránh khỏi sự tấn công ranh giới chuyển động tốiđa nếu chứa một trong ba điều kiện sau:

Ri

Ri+1

①Các khu vực chồng

lấn đáp ứng yêu cầu

người sử dụng

Ri

Ri+1

② Ri hoàn toàn

bao phủ Ri+1

Ri

Ri+1

③ MBB của Ri hoàn toàn

bao phủ Ri+1

57

Giải pháp cho Maximum Movement

Boundary Attack. Patching and Delaying

Patching: Kết hợp các

vùng không gian che giấu

ở hiện tại với trước đó.

Delaying: Trì hoãn việc cập

nhật cho đến khi MMB che

phủ các khu vực không gian

che giấu ở hiện tại.

Ri

Ri+1

Ri

Ri+1

1-58

Giải pháp cho Query Tracking Attack.Memorization Property

Ghi nhớ một tập hợp các ngườidùng S được chứa trong khu vựckhông gian che giấu khi truy vấnđược đăng ký ban đầu với máychủ cơ sở dữ liệu.

Thiết lập các khu vực khônggian che giấu tiếp theo để chứa ítnhất k người sử dụng này.

C

D E

BI

J

A

F

H

K

G

Điều này có thể dẫn đến một vùng không gian che giấu

rất lớn. Tại một số điểm, các máy chủ có thể quyết định

ngắt kết nối truy vấn và khởi động lại với một tên mới .

59

Một giải pháp hợp nhất –

Dynamic Groups

Một nhóm người sử dụng nên có các thuộc tính

sau:

Số lượng người dùng trong một nhóm yêu

cầu truy vấn k-anonymity giới hạn trong số

tất cả người dùng truy vấn trong nhóm.

K = 3

K = 2

Tất cả người dùng trong cùng một nhóm báo cáo

khu vực được che giấu giống như khu vực truy vấn

che giấu của họ.

Đối với mỗi nhóm , nếu có nhiều hơn một người

dùng phát ra cùng một truy vấn , truy vấn chỉ được

đăng ký với máy chủ cơ sở dữ liệu một lần.1-60

Phát hành 1 truy vấn.

Người sử dụng không

chung nhóm: Thành lập

một nhóm với k-1 người sử

dụng gần nhất, hoặc tham

gia một nhóm hiện có bao

gồm người sử dụng.

Người sử dụng cùng

nhóm: thêm thành viên nếu

cần thiết.

k=5k=4

Một giải pháp hợp nhất –

Dynamic Groups

1-61

Thành viên dời đi

Người dùng không truy vấn:

Thêm 1 người dùng gần trung

tâm nhất.

Truy vấn người dùng: Hủy bỏ

sử dụng nếu cần thiết hoặc xóa

nhóm nếu truy vấn không có

nhiều người sử dụng , và xoá

đăng ký các truy vấn sau khi đã

hết giá trị bộ đếm thời gian

ngẫu nhiên.

k=5k=4

Một giải pháp hợp nhất –

Dynamic Groups

1-62

Chấm dứt một truy vấn

Loại bỏ người sử dụng

nếu kích thước nhóm là

lớn hơn so với yêu cầu k-

giấu tên giới hạn trong

số tất cả người dùng truy

vấn.

Xóa tên nếu như không

có người dùng truy vấn

thêm.

k=5k=4

Một giải pháp hợp nhất –

Dynamic Groups

1-63

Privacy-aware Location-based Query Processing

• Required Changes in Query Processors

• Range Queries

• Aggregate Queries

• Nearest-Neighbor Queries

1-64

Qúa trình truy vấn Privacy-awareĐịa chỉ giả mạo

Địa điểm giả mạo có thể là bất cứ cái gì hoặc là một địa điểm mốc.

Địa điểm giả mạo có khoảng cách d tính từ địa điểm thật

d là một tham số của người dùng đặc tả để quy định và xác đinh sự riêng tư cân thiết

Trường hợp xấu nhất: Câu trả lời = 2d

Trường hợp trung bình: Câu trả lời= d

Không có sự thay đổi nào trong quá trình truy vấn.

Không cần nhiều chi phí hơn để truy vấn.

d

X

d+X

1-65

Qúa trình truy vấn Privacy-awareĐịa chỉ ảo

Bộ xử lý truy vấn sẽ đánh giá một truy vấn cho mỗi vị trí giả cá nhân

Người dùng có thể chọn ra câu trả lời của riêng mình dựa trên vị trí thực tế

Không có sự thay đổi cần thiết trong xử lý truy vấn

Tăng chi phí để xử lý truy vấn như các truy vấn dư thừa vẫnsẽ được xử lý

1-66

The Privacy-aware Query ProcessorĐối phó với các khu vực được che giấu

Một bộ xử lý mới về truy vấn riêng sẽ được nhúng vào bên trong các máy chủ cơ sở dữ liệu dựa trên địa điểm để giao dịch với các khu vực được che giấu chứ không phải là thông tin vị trí chính xác.

Truy vấn truyền thống:

Hãy chỉ cho tôi trạm xăng nào gần nhất , Tôi đang ở địa chỉ x.

New Query:

Hãy chỉ cho tôi trạm xăng nào gần nhất , Tôi đang ở GẦN địa chỉ x.

1-67

The Privacy-aware Query ProcessorĐối phó với các khu vực được che giấu

2 kiểu dữ liệu:

• Public data: Trạm xăng, sân vận động, khách sạn

• Private data. Các dòng chứa giữ liệu của người dùng

3 kiểu truy vấn:

• Private queries over public data

Trạm xăng nào gần tôi nhất

• Public queries over private data

Có bao nhiêu xe ô tô trong trung tâm thành phố

• Private queries over private data

Người bạn hiện gần tôi nhất đang ở đâu?

1-68

Vùng Truy VấnPrivate Queries over Public Data

Range query

Ví dụ: Tìm tất cả các trạm xăng trong vòng x dặm tính từ vị trí của tôi, vị trí của tôi là ở đâu đó trong khu vực không gian che giấu.

Ý tưởng cơ bản là mở rộng các khu vực được che giấu theo khoảng cách x theo mọi hướng.

Mỗi trạm xăng trong khu vực mở rộng là một ứng cử viên của câu trả lời.

1-69

Vùng Truy VấnPrivate Queries over Public Data

Mở rộng vùng truy vấn theo mọi hướng bằng 1 khoảng cách định trước.

0.4

0.25

0.4

0.05

0.1

Câu trả lời trong 1

vùng diện tíchProbabilistic Answer

Tất cả câu trả lời có thể

Có 3 cách trả lời đại diện:

1-70

Truy vấn tổng hợpPublic Queries over Private Data

Truy vấn tổng hợp: Có bao nhiêuđối tượng trong vùng giao nhau?

Ít nhất: 1, Nhiều nhất: 5

Trung bình: 0.3 + 0.2 + 1 + 0.6 + 0.4 = 2.5

Xác suất truy vấn tập hợp: Có bao nhiêu đối

tượng (với xác suất) trong khu vực quan

tâm. Prob(1)=(0.7)(0.8)(0.4)(0.6)=0.1344

….

[1, 0.1344], [2, 0.3824], [3,0.3464],

[4, 0.1244], [5,0.0144]

Nhiều số liệu thống kê có thể được

tính

A

C

B

FE

D

I

G

J

H

1-71

Truy vấn tổng hợpPrivate Queries over Private Data / Continuous Queries

Private Queries over Private Data: Để có thể tính toán các uẩn, chúng ta sẽ phải đi qua nhiều các thủ tục tương tự cho các truy vấn hoặc là tính toán xác suất của từng đối tượng hoặc phân chia khu vực truy vấn vào một phần khu vực với một câu trả lời cho từng vùng

Continuous Queries: Tương tự như hỗ trợ các truy vấn liên tục.

A

C

B

FE

D

I

G

J

H

1-72

Nearest-Neighbor QueriesPrivate Queries over Public Data

NN query

Ví dụ: Tôi đang ở đâu đó trong 1vùng được che kín, hãy tìm cho tôitrạm xăng nơi gần nhất.

Ý tưởng đơn giản nhất là tìm tất cảcác ứng cử viên cho câu trả lời.

There is a trade-off between thearea of the cloaked spatial region(privacy) and the size of thecandidate answer (quality ofservice).

1-73

Nearest-Neighbor QueriesPrivate Queries over Public Data: Optimal Answer

Câu trả lời tối ưu có thể có là cáccâu trả lời với các ứng cử viên chínhxác. Mỗi ứng cử viên trong câu trảlời đều có thể là 1 phần của kếtquả.

Rất cồng kềnh trong tính toán.

Một cách thông minh để có đưuọccâu trả lời tối ưu là tìm tất cả các vịtrí có khoảng cách nhỏ nhất baogồm tất cả các ứng cử viên nằmtrong câu trả lời.

Sai tích cự sẽ xảy ra.

1-74

Nearest-Neighbor QueriesPrivate Queries over Public Data: Optimal Answer (1-D)

Cho 1 tia L = [start, end], 1 tập các đối tượng O= {o1, o2,…,on}, Tìm 1 câu trả lời là bộ <oi ,T> với oi Є O và T L sao cho oi là đối tượng gần nhất trong tất cả các điểm thuộc L.

Được phát triển cho truy vấn nearest-neighbor tiếp diễn.

Câu trả lời tối ưu được chọn từ tập các câu trả lời có thể. Không có các câu trả lời dư thừa.

Câu trả lời có thể là Tất cả các đối tượng, theo xác suất, hoặc theo khu vực. 1-75

Nearest-Neighbor QueriesPrivate Queries over Public Data: Optimal Answer (1-D)

AB

C

D

E

G

Fs e

Tìm các đối tượng bằng cách quéttrong mặt phẳng.

Duy trì 2 vòng tròn cận trung tâmcủa điểm bắt đầu và điểm kết thúc.

Nếu 1 đối tượng nằm trong 2 vòngtròn thì loại các đối tượng trước đó.

Nếu 1 đối tượng chỉ nằm trong 1vòng tròn thì các đối tượng trước đólà 1 phần của câu trả lời. Vẽ đương phân giác để có câu trả

lời Cập nhật điểm bắt đầu.

Bỏ qua các đối tượng nằm ngoài 2vòng tròn.

1-76

Nearest-Neighbor QueriesPrivate Queries over Public Data: Optimal Answer (2-D)

Đối với mỗi cạnh thuộc vùng được chegiấu, Quét các đối tượng trên mặtphẳng quét

Lấy giao điểm của đường trung trựccủa 2 điểm liên tiếp và cạnh hiện tại

Dựa trên các thiết lập và xác định xemđiểm đó có là hàng xóm gần nhất đếncạnh đó tính tới thời điểm hiện tại.

Tất cả các đối tượng trong vùng giaonhau đều là câu trả lời

p2

p5p7

s es2s1

p1

p3

p4

p6

p8

s2

1-77

Nearest-Neighbor QueriesPrivate Queries over Public Data: Finding a Range

Bước 1: Xác định vị trí bốn bộ lọc. Các đối tượng mục tiêu NN cho mỗi đỉnh

Bước 2: Tìm điểm trung bình. Điểm xa nhất trên các cạnh tới hai bộ lọc

Bước 3: Mở rộng phạm vi truy vấn

Bước 4: Ứng cử viên trả lời m12

m34

m13

T1

T4T3

T2

v1 v2

v3 v4

m24

Phương pháp này đã được

chứng minh rằng:

① Inclusive. Câu trả lời chính xác được bao gồm trong các câu trả lời ứng cử

viên

② Minimal. Phạm vi truy vấn là tối thiểu cho một thiết lập ban đầu của các

bộ lọc. 1-78

Nearest-Neighbor QueriesPrivate Queries over Public Data: Finding an Optimal Range

Tương tự như các phỏng đoán

trước đó với ngoại lệ là một cạnh

có thể được chia thành hai phân

đoạn nếu một trong hai điều kiện

chứa:

① khoảng cách giữa các trung

điểm và bộ lọc là tối đa, và

② các đối tượng mục tiêu NN

cho trung điểm là một bộ lọc

mới.

Đoạn thẳng được đệ quy chia

cho đến khi không thể được nữa.

m12

m24

m34

m13

v1 v2

v3 v4

1-79

Nearest-Neighbor QueriesPrivate Queries over Public Data: Answer Representation

Bất kể phương pháp nào để tínhtoán để cho kết quả đều có 3lựa chọn:

• Trả lại 1 danh sách các ứng cửviên câu trả lời.

• Sử dụng lược đồ Vorôni cho tấtcả các đối tượng trong danhsách ứng cử viên để có xác suấtcủa mỗi đối tượng.

• Lược đồ Voronoi có thể cungcấp câu trả lời về khu vực

v1 v2

v3 v4

1-80

Nearest-Neighbor QueriesPrivate Queries over Public Data: Continuous Queries

Để có được danh sách các câutrả lời tối ưu, cần tính toán mởrộng cho mỗi thể hiện của mỗitruy vấn.

Để có được phạm vi tối ưu,mỗi truy vấn NN sẽ dịch đếnbốn phạm vi truy vấn liên tụccho các đối tượng bộ lọc

Kỹ thuật cố định các điểm lướicó thể được sử dụng để làmgiảm đáng kể chi phí tính toán

Điểm bộ lọc sẽ được chia sẻcho nhiều truy vấn

14 continuous queries turn on 35

query points.

1-81

Nearest-Neighbor QueriesPublic Queries over Private Data

NN query

Ví dụ: Tìm xe gần nhất củatôi

Một số đối tượng có thể làứng cử viên nearest-neighbor

Độ chính xác của các truyvấn rất phụ thuộc vào kíchthước của vùng được chegiấu

Rất khó khăn để khái quátcho các truy vấn k-nearest-neighbor

1-82

Nearest-Neighbor QueriesPublic Queries over Private Data

Truy vấn Nearest-Neighbor:Tìm người bạn gần tôi nhất.

Lọc các bước:• Tính khoảng các xa nhất tời các đối

tượng.

• MinMax = khoảng cách “ngắn nhất”của “khoảng cách xa nhất”

• Lọc các đối tượng nằm trong vòngtròn co bán kính MinMax

Tính toán khoảng cách tốithiểu cho từng đối tượng cóthể để phân tích thêm

A

C

B

FE

D

I

G

H

1-83

Nearest-Neighbor QueriesPublic Queries over Private Data

Tất cả các câu trả lời: (sắp xếp theo MinDist) D, H, F, C, B, G

Xác suất câu trả lời: Tính toán xác suất chính xác của mỗi câu trả lời là nearest-

neighbor. Các phân phối xác suất của một đối tượng trong một phạm vi là

không thống nhất.

Một phiên bản dễ dàng hơn nhiều (và thực tế hơn) là đểtìm những đối tượng có thể được nearest-neighbor với xácsuất nhất định.

D

C

B

G

F

H

1-84

Nearest-Neighbor QueriesPrivate Queries over Private Data

Step 1: Xác định vị trí bốnbộ lọc

Các đối tượng mục tiêuNN cho mỗi đỉnh

Step 2: Tìm các trungđiểm

Điểm xa nhất trên cáccạnh tới hai bộ lọc

Step 3: Mở rộng phạm vitruy vấn

Step 4: Trả lời các ứng cửviên

m12

m24m34

m13

v1 v2

v3

v4

1-85

Summary

1-86

Summary (1)Các đối tượng

Privacy

Profile

Anonymization

Process

Location-based

Server

DatabaseSocial

ScienceHCI Network Security MDM

Feedback

1-87

Summary (2)

Bảo mật vị trí là một trở ngại lớn trong việc triển khai phổ biến của các dịch vụ dựa trên địa điểm

Các mối đe dọa bảo mật lớn với kịch bản thực tế cuộc sống đang diễn ra do việc sử dụng các thiết bị định vị phát hiện.

Một số nghiên cứu xã hội cho thấy người sử dụng trở nên ý thức hơn về sự riêng tư của họ.

Bảo mật vị trí là khác nhau đáng kể từ cơ sở dữ liệu riêng tư như mục đích để bảo vệ dữ liệu vào và truy vấn không phải là dữ liệu được lưu trữ.

Ba kiến trúc chính cho vị trí ẩn danh: Kiến trúc hợp tác, kiến trúc tập trung, và peer-to-peer kiến trúc.

1-88

Summary (3)

Các cuộc tấn công đối thủ có thể nhằm mục đích để có được dữliệu về thông tin vị trí người dùng hoặc liên kết địa điểm / cập nhậttruy vấn.

Ba mô hình tấn công được thảo luận: vị trí tấn công phân phối, tấncông tối đa ranh giới chuyển động, và các cuộc tấn công theo dõitruy vấn.

Ba loại tiểu thuyết của các truy vấn được thảo luận: truy vấn riêngtrên dữ liệu công cộng, các truy vấn của công chúng về dữ liệucông cộng, và các truy vấn riêng trên dữ liệu cá nhân.

Bộ vi xử lý truy vấn xác suất truy vấn và phương pháp tiếp cận dữliệu không chắc chắn có thể được sử dụng để hỗ trợ bộ vi xử lýtruy vấn riêng tư nhận thức.

1-89

Open Research IssuesSocial Science / HCI

Cách thực tế rằng người dùng có thể sử dụng để bày tỏ sự riêng tư của họ

Người dùng bình thường thực sự không có được những ý tưởng của ẩn danh, che đậy, và làm mờ

Cung cấp các mô hình như sự riêng tư nghiêm ngặt, bảo mật trung bình, riêng tư thấp, và bảo mật tùy chỉnh

Lập bản đồ từ các mô hình được xác định trước đó với các điều khoản kỹ thuật (ví dụ như, k-anonymity)

Điều chỉnh các yêu cầu riêng tư người sử dụng dựa trên các dịch vụ nhận được

1-90

Open Research IssuesLocation Anonymization

Việc loại bỏ các Anonymizer và các đồng nghiệp khác.

Một định nghĩa chính thức cho các vùng không gian tối ưu tànghình.

Phát triển khối lượng công việc chuẩn sẽ được sử dụng để so sánhcác kỹ thuật ẩn danh khác nhau. Biện pháp so sánh sẽ là khả năngmở rộng, hiệu quả về mặt thời gian, khu vực gần-to-tối ưu tànghình.

Phát triển thuật toán mới có hỗ trợ các yêu cầu sử dụng khác nhau.

Làm cho quá trình ẩn danh phổ biến trong các thiết bị người dùngbằng cách sử dụng dữ liệu lưu trữ ở phía người sử dụng.

1-91

Open Research IssuesAdversary Attacks

Bằng chứng chính thức rằng quá trình ẩn danh là miễn phí của các cuộc tấn công kẻ thù nhất định

Xác định mức độ ẩn danh dựa trên tính bền vững của các cuộc tấn công kẻ thù

Lượng tử chính thức của rò rỉ riêng tư của dịch vụ dựa trên địa điểm

Phát triển các cuộc tấn công kẻ thù mới có thể sử dụng aprioiri kiến thức của người sử dụng địa điểm / thói quen

Phát triển các cuộc tấn công kẻ thù cho mỗi truy vấn dựa trên địa điểm

Phát triển các cuộc tấn công kẻ thù dựa trên các kỹ thuật khai thác dữ liệu

1-92

Open Research IssuesQuery Processing

Bằng cách sử dụng bộ vi xử lý truy vấn có sẵn mà không cần bất kỳ thay đổi

Hỗ trợ các loại khác nhau của các truy vấn dựa trên địa điểm vượt quá phạm vi, tổng hợp và truy vấn gần nhất hàng xóm

Kỹ thuật khai thác dữ liệu riêng tư bảo quản cho vị trí dữ liệu

Chẩn đoán khả năng mở rộng và hiệu quả cho các truy vấn riêng tư nhận thức

Không có ý nghĩa để trả lại một đối tượng với một xác suất 0,0005 là một phần của câu trả lời

1-93

Tài liệu tham khảo

Mokbel Aref. Privacy in LBS-State of the art and Research Directions

http://conservancy.umn.edu/handle/11299/91934

http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.112.7902

1-94