3. Nội dung trình bày
• Giới thiệu
• Giới thiệu Location Based Services (LBS).
• Vấn đề tính riêng tư trong LBS.
• Các mô hình bảo vệ tính riêng tư
• Non-cooperative Architecture
• Centralized Architecture
• Peer-to-peer Architecture
• Các mô hình tấn công và giải pháp
• Adversary Attempts
• Adversary Attack Models
• Giải pháp
• Privacy-aware Location-based Query Processing
• Summary
• Tài liệu tham khảo
1-3
4. 1. Vấn đề về riêng tư khi sử
dụng các dịch vụ dựa trên vị trí
1-4
5. Sơ khai của dịch vụ dựa trên vị
trí
là hệ thống các biển báo giao thông, chỉ đường
1-5
6. Khái niệm về Location-based
service
• Dịch vụ dựa trên vị trí (Location-based service –
LBS) hiểu theo nghĩa chung nhất, là những dịch
vụ cung cấp nội dung và khả năng tương tác với
người sử dụng dựa trên vị trí hiện tại của họ.
• Dịch vụ LBS đầu tiên trên thế giới được đưa vào
sử dụng hồi năm 2001 bởi TeliaSonera ở Thụy
Điển với các tính năng như FriendFinder, thông
tin trang vàng, cuộc gọi khẩn cấp, dựa trên hệ
thống định vị di động của Ericsson (MPS).
1-6
7. LBS hiện đại
Dịch vụ LBS là phần giao của ba
công nghệ chính được thể hiện như
trong minh họa trên bao gồm:
• GIS - Hệ thống thông tin địa lý
• Internet
• Thiết bị di động
1-7
8. LBS hiện đại
• Phục vụ giao thông
• VD: thông tin về các giao lộ đang đông xe ở
thời điểm hiện tại; tìm đường đi ngắn nhất;…
• Tìm vị trí cửa hàng gần nhất
• VD: trạm ATM gần nhất; các quán ăn
ngon/mới mở gần nhất;…
• Quảng cáo
• Các dịch vụ quảng cáo trực tuyến trở nên hiệu
quả hơn với thông tin vị trí của khách hàng
1-8
10. LBS hiện đại
Ứng dụng thông tin
bản đồ Google Maps
Quảng cáo dựa trên
vị trí
1-10
11. LBS hiện đại – những ứng
dụng mới
• Mạng xã hội: check-in, hiển thị thông tin vị
trí qua tin nhắn (Facebook, Foursquare)
• Chụp ảnh: gắn thẻ vị trí nhằm chia sẻ vị trí
chụp hình (PhotoTag, Facebook)
• Trợ lý ảo: yêu cầu sử dụng GPS để đưa ra
trợ giúp (Siri, GoogleNow, Cortana)
• Tìm thiết bị: Find my phone (Windows
Phone)
• V.v…
1-11
12. Yêu cầu về quyền riêng tư
Do you use any of these devices?
Do you ever feel that you are tracked?
• Con người hiện đại sử dụng
các thiết bị di động hầu như
hàng ngày.
• Thông tin vị trí là thông tin
riêng tư của mỗi cá nhân và
cần được bảo vệ
• Các nhà cung cấp dịch vụ LBS
có thể định vị địa điểm chính
xác của người sử dụng
1-12
13. Database Privacy
và Location Privacy
Database Privacy Location Privacy
1.Mục đích là giữ tính bí mật của dữ
liệu lưu trữ.(hồ sơ bệnh nhân)
2.Câu truy vấn công khai.
3.Áp dụng cho dữ liệu ít bị thay đổi.
4.Yêu cầu bảo mật được thiết lập
cho toàn bộ các dữ liệu.
1.Mục đích là giữ tính bí mật dữ liệu
nhưng không lưu trữ.
2.Câu truy vấn bị che giấu.
3.Cho các dữ liệu thay đổi liên tục.
4.Yêu cầu bảo mật được cá nhân
hoá.
1-13
14. Nhận thức của người dùng
Một vấn đề - Hai góc nhìn
Hey..!! We have a
coupon for you
Chúng tôi biết ngài
thích cà phê sữa,
chúng tôi có suất
đặc biệt đây!
Ồ! Hình như tuần trước ngài
vừa đi du lịch Hawaii, vậy thì
chắc là ngài sẽ sẵn sàng móc
hầu bao cho suất ăn sáng hạng
thương gia của chúng tôi!
À, mà sếp của ngài
cùng với 5 đồng
nghiệp nữa đang ở
trong quán chúng tôi
rồi đấy!
LBS-Industry sử dụng ví dụ
này để minh hoạ cho sự tiện
lợi của công nghệ LBS.
Privacy-Industry sử dụng
cũng chính ví dụ này để
minh hoạ cho sự phiền phức
mà công nghệ LBS mang lại
cho sự riêng tư của người
dùng
1-14
15. Nhận thức của người dùng
LBS dựa trên giả định ngầm rằng người dùng đồng ý
cung cấp thông tin riêng tư về vị trí của họ.
LBS đánh đổi giữa chất lượng dịch vụ của họ và quyền
riêng tư của người dùng.
Nếu người dùng muốn bảo đảm quyền riêng tư về vị trí hiện tại,
anh ta phải tắt đi thiết bị có chức năng nhận biết vị trí của mình
hoặc tạm thời huỷ đăng ký dịch vụ LBS.
Các nghiên cứu gần đây cho thấy người dùng ngày càng
nhận thức rõ ràng hơn về quyền riêng tư của mình và họ
có thể ngừng sử dụng các dịch vụ LBS
1-15
16. Đánh đổi giữa chất lượng dịch
vụ và sự riêng tư
VD: Tìm trạm xăng gần nhất
Service
100%
100%
0%
Privacy
0%
1-16
17. Yêu cầu
• Đáp ứng mong muốn của người dùng:
Service
Sử dụng
các tiện
ích mà LBS
mang lại
Privacy
Đồng thời
đảm bảo
riêng tư về
thông tin
vị trí của
họ
1-17
18. Các mô hình bảo vệ tính riêng
tư
• Non-cooperative Architecture
• Centralized Architecture
• Peer-to-Peer Architecture
1-18
19. Location Perturbation
• Thông tin địa điểm của người dùng
được biểu diễn sai.
• Việc bảo mật được thực hiện bằng cách
thông báo sai vị trí của người dùng.
• Tính hiệu quả chủ yếu phụ thuộc vào vị
trí báo cáo.
1-19
21. Spatial Cloaking
• Location cloaking, location blurring,
location obfuscation
• Vị trí của người dùng được biễu diễn
bằng một không gian xung quanh
người dùng.
• Kẻ tấn công có thể biết được vị trí
của người dùng trong một khu vực
nhưng không thể biết chính xác vị trí
của người dùng.
1-21
23. Concept for Location Privacy
k-anonymity
• Khu vực che giấu(cloaked) bao gồm k
người dùng.
• Người dùng không thể phân biệt được
với k người dùng còn lại.
• Độ lớn của vùng che giấu phụ thuộc
vào số lượng người trong khu vực.
1-23
25. Mô hình bảo vệ tính riêng tư
• Non-cooperative architecture : người dùng
dựa vào kiến thức của họ để bảo vệ tính
riêng tư.
• Centralized trusted party architecture : Bên
thứ 3 sẽ thu thập thông tin và đảm bảo
tính riêng tư cho người dùng.
• Peer-to-Peer cooperative architecture :
người dùng hợp tác với những người khác
thông qua bên thứ 3 để cá nhân hóa tính
riêng tư của mình.
1-25
26. Non-cooperative Architecture
Location-based
Database Server
Privacy-aware
Query
Processor
1: Query +
Scrambled Location
Information
2: Candidate
Answer
Scrambling the
location
1-26
27. Non-cooperative Architecture
• Người dùng gian lận bằng cách làm giả
thông tin định danh và vị trí của mình.
• Dễ thực hiện và tích hợp các công nghệ
hiện có.
• Hiệu quả thấp và dễ bị tấn công.
• Ví dụ : “Pseudonomity”, “false dummies”,
và “landmark object”.
1-27
28. Non-cooperative Architecture
False Dummies
• Người dùng sẽ gửi m vị trí trong đó có 1 vị
trí đúng và m-1 vị trí ảo.
• Server trả kết quả cho từng vị trí nhận
được.
• Người sử dụng là người duy nhất có thể
biết vị trí chính xác, do đó có thể biết được
câu trả lời chính xác.
• Các False Dummies phải giống với người
dùng thật, nhưng khác vị trí.
1-28
30. Non-cooperative Architecture
Landmark objects
• Thay vì báo cáo chính xác vị trí người
dùng thì nó chỉ ra đặc điểm của vị trí
gần nhất.
• Câu truy vấn trả về dựa trên mốc gần
nhất.
• Voronoi diagrams : dùng để định nghĩa
các mốc gần đó
1-30
32. Centralized Trusted Party Architecture
Location-based
Database Server
Privacy-aware
Query
Processor
2: Query +
Cloaked Spatial
Region
Third trusted party that responsible on blurring exact location information.
Candidate
Answer
Candidate
Answer
Location Anonymizer
1: Query +
Location Information
1-32
33. Centralized Trusted Party Architecture
• Bên thứ 3 nhận thông tin chính xác từ người
dùng, sau đó làm mờ và gửi tới server.
• Cung cấp dịch vụ riêng tư và đảm bảo chất
lượng cao.
• Hệ thống bị “botleneck” và khó hiện thực.
• Ví dụ: Caspaer, CliqueCloak, and Spatio-temporal
cloaking.
1-33
34. Centralized Trusted Party Architecture
Mix Zones
• Được định nghĩa là một không gian kết
nối kích thước tối đa mà người dùng
không đăng ký cho một ứng dụng.
• Người dùng có thể thay đổi bút danh
của họ khi vào một vùng hỗn hợp.
• Một người dùng có thể từ chối để gửi
bất kỳ cập nhật nếu Mix Zones có ít hơn
k người dùng.
1-34
35. Centralized Trusted Party Architecture
Mix Zones
• Sau khi xuất hiện từ
Mix Zones, một đối thủ
không biết được một
trong những người sử
dụng đã xuất hiện.
App
Zone
Mix Zones
App
App Zone
Zone
1-35
36. Centralized Trusted Party Architecture
k-area cloaking
• Khu vực nhạy cảm được xác định trước.
• Các không gian được chia thành một tập
hợp các vùng mà mỗi khu vực có ít nhất k
khu vực nhạy cảm.
• Tất cả cập nhật vị trí cho người dùng trong
một khu vực nhất định được đệm.
• Sau khi rời khỏi một khu vực, địa điểm
người dùng chỉ tiết lộ nếu người dùng
không truy cập bất kỳ khu vực nhạy cảm.
1-36
38. Centralized Trusted Party Architecture
Quadtree Spatial Cloaking
Achieve k-anonymity, i.e., a user is
indistinguishable from other k-1 users.
Recursively divide the space into
quadrants until a quadrant has less than
k users.
The previous quadrant, which still meet
the k-anonymity constraint, is returned.
1-38
40. Cooperative (Peer-to-Peer) Architecture
1: Query +
Cloaked Location
Information
2: Candidate
Answer
Location-based
Database Server
Privacy-aware
Query
Processor
1-40
41. Cooperative (Peer-to-Peer) Architecture
• Người dùng tương tác với người dùng
khác để tùy chỉnh thông tin cá nhân.
• Áp dụng công nghệ Peer-to-Peer trên di
động.
• Không cần sự tham gia của bên thứ 3.
1-41
42. Peer-to-Peer Cooperative Architecture
Group Formation
Ý tưởng : khi người dùng muốn tạo một truy vấn
vị trí thì người dùng tạo ra một nhóm với những
người lân cận, sau đó chọn ngẫu nhiên một người
để gửi thông tin đi.
42
43. Peer-to-Peer Cooperative Architecture
Group Formation
Bước 1: tìm kiếm.
Gửi yêu cầu cho tới khi k-1 người
được tìm thấy.
Bước 2: điều chỉnh vị trí.
Hiệu chỉnh lại vị trí sử dụng vận tốc.
Bước 3: làm mờ không gian
Làm mờ vị trí người dùng trong
mạng lưới phủ vị trí k-1 người.
Ngoài ra còn có : Hierarchical Hilbert Peer-to-Peer ,
Non-Hierarchical Hilbert Peer-to-Peer …
Ví dụ: k = 7
43
44. Các mô hình tấn công
• Adversary Attempts
• Adverary Attack Models
• Giải pháp
1-44
45. Mô hình tấn công bảo mật
Adversary Attempts : Biết vị trí của người dùng
Nếu kẻ thù cố gắng tìm kiếm thông tin về vị trí
của bạn, kẻ thù có thể kết nối tới vị trí người
dùng để hỏi họ. Có 2 cách để biết vị trí người
dùng:
1. Vị trí người dùng được công khai . Ví dụ:
Nhân viên ở văn phòng làm việc suốt thời
gian làm việc.
2. Kẻ thù có thể thuê ai đó sử dụng hệ thống
theo dõi vị trí thật của người sử dụng
trong một địa điểm hoặc khu vực nhất
định.
45
46. Mô hình tấn công bảo mật
Adversary Attempts : Biết vị trí của người dùng
Có 2 chế độ bảo mật: Bảo mật vị trí và bảo
mật truy vấn.
Bảo mật vị trí:
Người sử dụng muốn ẩn đi vị trí và truy
vấn của họ.
Bảo mật truy vấn :
Người dùng không quan tâm hay là bị
ép buộc để lộ vị trí của họ.Tuy nhiên,
họ muốn dấu truy vấn của mình.
Ví dụ: công nhân ở nơi làm việc.
46
47. Mô hình tấn công bảo mật
Adversary Attempts: Theo dõi vị trí và truy vấn
Theo dõi vị trí: Kẻ thù có thể liên kết dữ liệu từ một
số trường hợp mà các vị trí liền kề sử dụng cùng 1
bút danh.
Theo dõi vị trí có thể
tránh được bằng cách tạo
ra bút danh khác nhau cho
mỗi lần cập nhật vị trí.
47
48. Mô hình tấn công bảo mật
Adversary Attempts: Theo dõi vị trí và truy vấn
Theo dõi truy vấn : Kẻ thù có thể theo dõi các truy
vấn liên tục bất thường mà từ đó có thể tiết lộ danh
tính người dùng.
Ngay cả với bút danh
khác nhau, các truy vấn
khác thường có thể bị liên
kết với nhau.
48
49. Mô hình tấn công bảo mật
Location Distribution Attack
Tấn công rải rác vị trí xảy ra khi :
Biết vị trí của người sử dụng .
Một số người dùng ở ngoài vùng.
Việc sử dụng thuật toán không gian
che giấu có xu hướng tạo ra các khu
vực nhỏ nhất.
E
D
C
B
A
F
Với một vùng không gian che giấu bao gồm một khu
vực thưa thớt (người sử dụng A) và một phần khu vực
dày đặc ( người sử dụng B , C, và D ) , => dễ dàng tìm
ra rằng người phát ra truy vấn nằm ở vùng ngoài.
49
50. Mô hình tấn công bảo mật
Maximum Movement Boundary Attack
Maximum Movement
Boundary Attack xảy ra khi :
Việc cập nhật vị trí hoặc
các truy vấn liên tục được
chú ý tới.
Các bút danh được dùng
chung cho hai bản cập nhật
liên tiếp.
Tốc độ tối đa có thể được
biết đến
Ri
Ri+1
50
51. Mô hình tấn công bảo mật
Maximum Movement Boundary Attack
Tốc độ tối đa được sử dụng để có
được một ranh giới chuyển động
tối đa ( MBB ).
Người dùng đang nằm ở giao
điểm của MBB với khu vực được
che giấu mới. Ri
Ri+1
I know you are
here!
51
52. Mô hình tấn công bảo mật
Query Tracking Attack
Cuộc tấn công này xảy ra khi :
Việc cập nhật vị trí hoặc các
truy vấn liên tục được chú ý
đến.
Các bút danh cùng được sử
dụng cho một số cập nhật liên
tiếp.
Vị trí người sử dụng được biết
đến.
52
D E
C
B
I
J
A
F
H
G
K
53. Mô hình tấn công bảo mật
Query Tracking Attack
Khi một truy vấn được ban
hành, tất cả người dùng trong
khu vực truy vấn có thể là
người phát ra truy vấn đó.
Nếu truy vấn được báo cáo một
lần nữa, các giao điểm của các
ứng cử viên giữa các trường
hợp truy vấn làm giảm sự riêng
tư của người sử dụng.
D E
C
B
I
J
A
F
H
G
K
At time ti {A,B,C,D,E}
At time ti+1{A,B,F,G,H}
At time ti+2 {A,F,G,H,I}
53
54. Tutorial Outline
PART I: Privacy Concerns of location-based Services
PART II: Realizing Location Privacy in Mobile
Environments
PART III: Privacy Attack Models
Adversary Attempts
Adversary Attack Models
Solutions for Attack Models
PART IV: Privacy-aware Location-based Query
Processing
PART V: Summary and Future Research Directions
54
55. Giải pháp cho Location Distribution Attack.
k-Sharing Region Property.
k-Sharing Region Property : Một
khu vực không gian được che giấu
không chỉ chứa ít nhất k người dùng
khác, mà nó còn được chia sẻ bởi ít
nhất k người sử dụng này.
Các khu vực không gian che giấu
giống nhau được tạo nên từ k người
sử dụng. Kẻ thù không thể liên kết
tới khu vực bên ngoài.
E
D
C
B
A
F
55
56. Giải pháp cho Location Distribution
Attack.
k-Sharing Region Property.
E
D
C
B
A
F
Có thể không tạo được khu vực
che giấu tốt nhất cho mỗi người
dùng , tuy nhiên , nó sẽ tạo ra
một môi trường tổng thể nhận
thức-riêng tư hơn.
Ví dụ về một trong các kỹ thuật
được sử dụng là CliqueCloak.
56
57. Giải pháp cho Maximum Movement
Boundary Attack.
Safe Update Property
Hai vùng che giấu liên tiếp Ri và Ri+1 của cùng một người sử
dụng có thể tránh khỏi sự tấn công ranh giới chuyển động tối
đa nếu chứa một trong ba điều kiện sau:
① Các khu vực chồng
lấn đáp ứng yêu cầu
Ri
người sử dụng
Ri+1
② Ri hoàn toàn
Ri
bao phủ Ri+1
Ri+1
③ MBB của Ri hoàn toàn
bao phủ Ri+1
Ri
Ri+1
57
58. Giải pháp cho Maximum Movement
Boundary Attack.
Patching and Delaying
Patching: Kết hợp các
vùng không gian che giấu
ở hiện tại với trước đó.
Delaying: Trì hoãn việc cập
nhật cho đến khi MMB che
phủ các khu vực không gian
che giấu ở hiện tại.
Ri
Ri+1
Ri
Ri+1
1-58
59. Giải pháp cho Query Tracking Attack.
Memorization Property
Ghi nhớ một tập hợp các người
dùng S được chứa trong khu vực
không gian che giấu khi truy vấn
được đăng ký ban đầu với máy
chủ cơ sở dữ liệu.
Thiết lập các khu vực không
gian che giấu tiếp theo để chứa ít
nhất k người sử dụng này.
D E
C
B
I
J
A
F
H
G
K
Điều này có thể dẫn đến một vùng không gian che giấu
rất lớn. Tại một số điểm, các máy chủ có thể quyết định
ngắt kết nối truy vấn và khởi động lại với một tên mới .
59
60. Một giải pháp hợp nhất –
Dynamic Groups
Một nhóm người sử dụng nên có các thuộc tính
sau:
Số lượng người dùng trong một nhóm yêu
cầu truy vấn k-anonymity giới hạn trong số
tất cả người dùng truy vấn trong nhóm.
K = 3
K = 2
Tất cả người dùng trong cùng một nhóm báo cáo
khu vực được che giấu giống như khu vực truy vấn
che giấu của họ.
Đối với mỗi nhóm , nếu có nhiều hơn một người
dùng phát ra cùng một truy vấn , truy vấn chỉ được
đăng ký với máy chủ cơ sở dữ liệu một lần.
1-60
61. Phát hành 1 truy vấn.
Người sử dụng không
chung nhóm: Thành lập
một nhóm với k-1 người sử
dụng gần nhất, hoặc tham
gia một nhóm hiện có bao
gồm người sử dụng.
Người sử dụng cùng
nhóm: thêm thành viên nếu
cần thiết.
k=4 k=5
Một giải pháp hợp nhất –
Dynamic Groups
1-61
62. Thành viên dời đi
Người dùng không truy vấn:
Thêm 1 người dùng gần trung
tâm nhất.
Truy vấn người dùng: Hủy bỏ
sử dụng nếu cần thiết hoặc xóa
nhóm nếu truy vấn không có
nhiều người sử dụng , và xoá
đăng ký các truy vấn sau khi đã
hết giá trị bộ đếm thời gian
ngẫu nhiên.
k=4 k=5
Một giải pháp hợp nhất –
Dynamic Groups
1-62
63. Một giải pháp hợp nhất –
Dynamic Groups
Chấm dứt một truy vấn
Loại bỏ người sử dụng
nếu kích thước nhóm là
lớn hơn so với yêu cầu k-giấu
tên giới hạn trong
số tất cả người dùng truy
vấn.
Xóa tên nếu như không
có người dùng truy vấn
thêm.
k=4 k=5
1-63
65. Qúa trình truy vấn Privacy-aware
Địa chỉ giả mạo
Địa điểm giả mạo có thể là bất cứ cái gì hoặc là một địa
điểm mốc.
Địa điểm giả mạo có khoảng cách d tính từ địa điểm
thật
d là một tham số của người dùng đặc tả để quy định
và xác đinh sự riêng tư cân thiết
Trường hợp xấu nhất: Câu trả lời = 2d
Trường hợp trung bình: Câu trả lời= d
Không có sự thay đổi nào trong quá trình truy vấn.
Không cần nhiều chi phí hơn để truy vấn.
d+X
d
X
1-65
66. Qúa trình truy vấn Privacy-aware
Địa chỉ ảo
Bộ xử lý truy vấn sẽ đánh giá
một truy vấn cho mỗi vị trí giả
cá nhân
Người dùng có thể chọn ra câu
trả lời của riêng mình dựa trên
vị trí thực tế
Không có sự thay đổi cần thiết
trong xử lý truy vấn
Tăng chi phí để xử lý truy vấn
như các truy vấn dư thừa vẫn
sẽ được xử lý
1-66
67. The Privacy-aware Query Processor
Đối phó với các khu vực được che giấu
Một bộ xử lý mới về truy vấn riêng sẽ được nhúng vào
bên trong các máy chủ cơ sở dữ liệu dựa trên địa điểm để
giao dịch với các khu vực được che giấu chứ không phải
là thông tin vị trí chính xác.
Truy vấn truyền thống:
Hãy chỉ cho tôi trạm xăng nào gần nhất , Tôi
đang ở địa chỉ x.
New Query:
Hãy chỉ cho tôi trạm xăng nào gần nhất , Tôi
đang ở GẦN địa chỉ x.
1-67
68. The Privacy-aware Query Processor
Đối phó với các khu vực được che giấu
2 kiểu dữ liệu:
• Public data: Trạm xăng, sân vận động, khách sạn
• Private data. Các dòng chứa giữ liệu của người dùng
3 kiểu truy vấn:
• Private queries over public data
Trạm xăng nào gần tôi nhất
• Public queries over private data
Có bao nhiêu xe ô tô trong trung tâm thành phố
• Private queries over private data
Người bạn hiện gần tôi nhất đang ở đâu?
1-68
69. Vùng Truy Vấn
Private Queries over Public Data
Range query
Ví dụ: Tìm tất cả các trạm xăng
trong vòng x dặm tính từ vị trí của
tôi, vị trí của tôi là ở đâu đó trong
khu vực không gian che giấu.
Ý tưởng cơ bản là mở rộng các khu
vực được che giấu theo khoảng
cách x theo mọi hướng.
Mỗi trạm xăng trong khu vực mở
rộng là một ứng cử viên của câu
trả lời.
1-69
70. Vùng Truy Vấn
Private Queries over Public Data
Mở rộng vùng truy vấn theo mọi hướng bằng 1 khoảng cách định trước.
Có 3 cách trả lời đại diện:
Tất cả câu trả lời có thể
0.4
0.25
0.4
0.05
0.1
Câu trả lời trong 1
Probabilistic Answer vùng diện tích
1-70
71. Truy vấn tổng hợp
Public Queries over Private Data
Truy vấn tổng hợp: Có bao nhiêu
đối tượng trong vùng giao nhau?
Ít nhất: 1, Nhiều nhất: 5
Trung bình: 0.3 + 0.2 + 1 +
0.6 + 0.4 = 2.5
Xác suất truy vấn tập hợp: Có bao nhiêu đối
tượng (với xác suất) trong khu vực quan
tâm. Prob(1)=(0.7)(0.8)(0.4)(0.6)=0.1344
….
[1, 0.1344], [2, 0.3824], [3,0.3464],
[4, 0.1244], [5,0.0144]
Nhiều số liệu thống kê có thể được
tính
A
C
B
F
E
D
I
G
H
J
1-71
72. Truy vấn tổng hợp
Private Queries over Private Data / Continuous Queries
Private Queries over Private
Data: Để có thể tính toán các
uẩn, chúng ta sẽ phải đi qua
nhiều các thủ tục tương tự cho
các truy vấn hoặc là tính toán
xác suất của từng đối tượng
hoặc phân chia khu vực truy
vấn vào một phần khu vực với
một câu trả lời cho từng vùng
Continuous Queries: Tương tự
như hỗ trợ các truy vấn liên
tục.
A
C
B
F
E
D
I
G
H
J
1-72
73. Nearest-Neighbor Queries
Private Queries over Public Data
NN query
Ví dụ: Tôi đang ở đâu đó trong 1
vùng được che kín, hãy tìm cho tôi
trạm xăng nơi gần nhất.
Ý tưởng đơn giản nhất là tìm tất cả
các ứng cử viên cho câu trả lời.
There is a trade-off between the
area of the cloaked spatial region
(privacy) and the size of the
candidate answer (quality of
service).
1-73
74. Nearest-Neighbor Queries
Private Queries over Public Data: Optimal Answer
Câu trả lời tối ưu có thể có là các
câu trả lời với các ứng cử viên chính
xác. Mỗi ứng cử viên trong câu trả
lời đều có thể là 1 phần của kết
quả.
Rất cồng kềnh trong tính toán.
Một cách thông minh để có đưuọc
câu trả lời tối ưu là tìm tất cả các vị
trí có khoảng cách nhỏ nhất bao
gồm tất cả các ứng cử viên nằm
trong câu trả lời.
Sai tích cự sẽ xảy ra.
1-74
75. Nearest-Neighbor Queries
Private Queries over Public Data: Optimal Answer (1-D)
Cho 1 tia L = [start, end], 1 tập các đối tượng O= {o1, o2,…,on},
Tìm 1 câu trả lời là bộ <oi ,T> với oi Є O và T L sao cho oi là
đối tượng gần nhất trong tất cả các điểm thuộc L.
Được phát triển cho truy vấn nearest-neighbor tiếp diễn.
Câu trả lời tối ưu được chọn từ tập các câu trả lời có thể.
Không có các câu trả lời dư thừa.
Câu trả lời có thể là Tất cả các đối tượng, theo xác suất,
hoặc theo khu vực. 1-75
76. Nearest-Neighbor Queries
Private Queries over Public Data: Optimal Answer (1-D)
A
B
s e
C
D
E
G
F
Tìm các đối tượng bằng cách quét
trong mặt phẳng.
Duy trì 2 vòng tròn cận trung tâm
của điểm bắt đầu và điểm kết thúc.
Nếu 1 đối tượng nằm trong 2 vòng
tròn thì loại các đối tượng trước đó.
Nếu 1 đối tượng chỉ nằm trong 1
vòng tròn thì các đối tượng trước đó
là 1 phần của câu trả lời.
Vẽ đương phân giác để có câu trả
lời
Cập nhật điểm bắt đầu.
Bỏ qua các đối tượng nằm ngoài 2
vòng tròn.
1-76
77. Nearest-Neighbor Queries
Private Queries over Public Data: Optimal Answer (2-D)
Đối với mỗi cạnh thuộc vùng được che
giấu, Quét các đối tượng trên mặt
phẳng quét
Lấy giao điểm của đường trung trực
của 2 điểm liên tiếp và cạnh hiện tại
Dựa trên các thiết lập và xác định xem
điểm đó có là hàng xóm gần nhất đến
cạnh đó tính tới thời điểm hiện tại.
Tất cả các đối tượng trong vùng giao
nhau đều là câu trả lời
p2
p5
p7
s s e 2 s1
p1
p3
p4
p6
p8
s2
1-77
78. Nearest-Neighbor Queries
Private Queries over Public Data: Finding a Range
Bước 1: Xác định vị trí bốn bộ lọc. Các
đối tượng mục tiêu NN cho mỗi đỉnh
Bước 2: Tìm điểm trung bình. Điểm xa
nhất trên các cạnh tới hai bộ lọc
Bước 3: Mở rộng phạm vi truy vấn
m34
v3 v4
m13
T1
m24
Bước 4: Ứng cử viên trả lời m12
T4
T3
T2
v1 v2
Phương pháp này đã được
chứng minh rằng:
① Inclusive. Câu trả lời chính xác được bao gồm trong các câu trả lời ứng cử
viên
② Minimal. Phạm vi truy vấn là tối thiểu cho một thiết lập ban đầu của các
bộ lọc. 1-78
79. Nearest-Neighbor Queries
Private Queries over Public Data: Finding an Optimal Range
Tương tự như các phỏng đoán
trước đó với ngoại lệ là một cạnh
có thể được chia thành hai phân
đoạn nếu một trong hai điều kiện
chứa:
① khoảng cách giữa các trung
điểm và bộ lọc là tối đa, và
② các đối tượng mục tiêu NN
cho trung điểm là một bộ lọc
mới.
Đoạn thẳng được đệ quy chia
cho đến khi không thể được nữa.
v3 v4
m24
m12
m34
m13
v1 v2
1-79
80. Nearest-Neighbor Queries
Private Queries over Public Data: Answer Representation
Bất kể phương pháp nào để tính
toán để cho kết quả đều có 3
lựa chọn:
• Trả lại 1 danh sách các ứng cử
viên câu trả lời.
• Sử dụng lược đồ Vorôni cho tất
cả các đối tượng trong danh
sách ứng cử viên để có xác suất
của mỗi đối tượng.
• Lược đồ Voronoi có thể cung
cấp câu trả lời về khu vực
v3 v4
v1 v2
1-80
81. Nearest-Neighbor Queries
Private Queries over Public Data: Continuous Queries
Để có được danh sách các câu
trả lời tối ưu, cần tính toán mở
rộng cho mỗi thể hiện của mỗi
truy vấn.
Để có được phạm vi tối ưu,
mỗi truy vấn NN sẽ dịch đến
bốn phạm vi truy vấn liên tục
cho các đối tượng bộ lọc
Kỹ thuật cố định các điểm lưới
có thể được sử dụng để làm
giảm đáng kể chi phí tính toán
Điểm bộ lọc sẽ được chia sẻ
cho nhiều truy vấn
14 continuous queries turn on 35
query points.
1-81
82. Nearest-Neighbor Queries
Public Queries over Private Data
NN query
Ví dụ: Tìm xe gần nhất của
tôi
Một số đối tượng có thể là
ứng cử viên nearest-neighbor
Độ chính xác của các truy
vấn rất phụ thuộc vào kích
thước của vùng được che
giấu
Rất khó khăn để khái quát
cho các truy vấn k-nearest-neighbor
1-82
83. Nearest-Neighbor Queries
Public Queries over Private Data
Truy vấn Nearest-Neighbor:
Tìm người bạn gần tôi nhất.
Lọc các bước:
• Tính khoảng các xa nhất tời các đối
tượng.
• MinMax = khoảng cách “ngắn nhất”
của “khoảng cách xa nhất”
• Lọc các đối tượng nằm trong vòng
tròn co bán kính MinMax
Tính toán khoảng cách tối
thiểu cho từng đối tượng có
thể để phân tích thêm
A
C
B
F
E
D
I
G
H
1-83
84. Nearest-Neighbor Queries
Public Queries over Private Data
D
H
F
C
B
G
Tất cả các câu trả lời: (sắp xếp theo MinDist)
D, H, F, C, B, G
Xác suất câu trả lời:
Tính toán xác suất chính xác của mỗi câu trả lời là nearest-neighbor.
Các phân phối xác suất của một đối tượng trong một phạm vi là
không thống nhất.
Một phiên bản dễ dàng hơn nhiều (và thực tế hơn) là để
tìm những đối tượng có thể được nearest-neighbor với xác
suất nhất định.
1-84
85. Nearest-Neighbor Queries
Private Queries over Private Data
Step 1: Xác định vị trí bốn
bộ lọc
Các đối tượng mục tiêu
NN cho mỗi đỉnh
Step 2: Tìm các trung
điểm
Điểm xa nhất trên các
cạnh tới hai bộ lọc
Step 3: Mở rộng phạm vi
truy vấn
Step 4: Trả lời các ứng cử
viên
m12
v4
m24
m34
m13
v3
v1 v2
1-85
87. Summary (1)
Các đối tượng
Privacy
Profile
Anonymization
Process
Location-based
Server
Database
Social
Science
HCI Network Security MDM
Feedback
1-87
88. Summary (2)
Bảo mật vị trí là một trở ngại lớn trong việc triển khai phổ biến của các
dịch vụ dựa trên địa điểm
Các mối đe dọa bảo mật lớn với kịch bản thực tế cuộc sống đang diễn ra
do việc sử dụng các thiết bị định vị phát hiện.
Một số nghiên cứu xã hội cho thấy người sử dụng trở nên ý thức hơn về sự
riêng tư của họ.
Bảo mật vị trí là khác nhau đáng kể từ cơ sở dữ liệu riêng tư như mục đích
để bảo vệ dữ liệu vào và truy vấn không phải là dữ liệu được lưu trữ.
Ba kiến trúc chính cho vị trí ẩn danh: Kiến trúc hợp tác, kiến trúc tập trung,
và peer-to-peer kiến trúc.
1-88
89. Summary (3)
Các cuộc tấn công đối thủ có thể nhằm mục đích để có được dữ
liệu về thông tin vị trí người dùng hoặc liên kết địa điểm / cập nhật
truy vấn.
Ba mô hình tấn công được thảo luận: vị trí tấn công phân phối, tấn
công tối đa ranh giới chuyển động, và các cuộc tấn công theo dõi
truy vấn.
Ba loại tiểu thuyết của các truy vấn được thảo luận: truy vấn riêng
trên dữ liệu công cộng, các truy vấn của công chúng về dữ liệu
công cộng, và các truy vấn riêng trên dữ liệu cá nhân.
Bộ vi xử lý truy vấn xác suất truy vấn và phương pháp tiếp cận dữ
liệu không chắc chắn có thể được sử dụng để hỗ trợ bộ vi xử lý
truy vấn riêng tư nhận thức.
1-89
90. Open Research Issues
Social Science / HCI
Cách thực tế rằng người dùng có thể sử dụng để bày tỏ sự riêng tư
của họ
Người dùng bình thường thực sự không có được những ý tưởng
của ẩn danh, che đậy, và làm mờ
Cung cấp các mô hình như sự riêng tư nghiêm ngặt, bảo mật trung
bình, riêng tư thấp, và bảo mật tùy chỉnh
Lập bản đồ từ các mô hình được xác định trước đó với các điều
khoản kỹ thuật (ví dụ như, k-anonymity)
Điều chỉnh các yêu cầu riêng tư người sử dụng dựa trên các dịch
vụ nhận được
1-90
91. Open Research Issues
Location Anonymization
Việc loại bỏ các Anonymizer và các đồng nghiệp khác.
Một định nghĩa chính thức cho các vùng không gian tối ưu tàng
hình.
Phát triển khối lượng công việc chuẩn sẽ được sử dụng để so sánh
các kỹ thuật ẩn danh khác nhau. Biện pháp so sánh sẽ là khả năng
mở rộng, hiệu quả về mặt thời gian, khu vực gần-to-tối ưu tàng
hình.
Phát triển thuật toán mới có hỗ trợ các yêu cầu sử dụng khác nhau.
Làm cho quá trình ẩn danh phổ biến trong các thiết bị người dùng
bằng cách sử dụng dữ liệu lưu trữ ở phía người sử dụng.
1-91
92. Open Research Issues
Adversary Attacks
Bằng chứng chính thức rằng quá trình ẩn danh là miễn phí của các cuộc tấn
công kẻ thù nhất định
Xác định mức độ ẩn danh dựa trên tính bền vững của các cuộc tấn công kẻ
thù
Lượng tử chính thức của rò rỉ riêng tư của dịch vụ dựa trên địa điểm
Phát triển các cuộc tấn công kẻ thù mới có thể sử dụng aprioiri kiến thức của
người sử dụng địa điểm / thói quen
Phát triển các cuộc tấn công kẻ thù cho mỗi truy vấn dựa trên địa điểm
Phát triển các cuộc tấn công kẻ thù dựa trên các kỹ thuật khai thác dữ liệu
1-92
93. Open Research Issues
Query Processing
Bằng cách sử dụng bộ vi xử lý truy vấn có sẵn mà không cần bất
kỳ thay đổi
Hỗ trợ các loại khác nhau của các truy vấn dựa trên địa điểm vượt
quá phạm vi, tổng hợp và truy vấn gần nhất hàng xóm
Kỹ thuật khai thác dữ liệu riêng tư bảo quản cho vị trí dữ liệu
Chẩn đoán khả năng mở rộng và hiệu quả cho các truy vấn riêng
tư nhận thức
Không có ý nghĩa để trả lại một đối tượng với một xác suất 0,0005
là một phần của câu trả lời
1-93
94. Tài liệu tham khảo
Mokbel Aref. Privacy in LBS-State of the art and Research
Directions
http://conservancy.umn.edu/handle/11299/91934
http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.112.7902
1-94