TU Darmstadt / ULB / TUbiblio

Privacy in Participatory Sensing - User-controlled Privacy-preserving Solutions for Mobile Sensing Applications

Christin, Delphine (2013)
Privacy in Participatory Sensing - User-controlled Privacy-preserving Solutions for Mobile Sensing Applications.
Technische Universität Darmstadt
Dissertation, Erstveröffentlichung

Kurzbeschreibung (Abstract)

Information and Communication Technology is commonly recognized as one of the key enablers in improving the quality of life in our modern society. By including citizens in the digital world, the efficiency of existing services has already been improved. In a second wave, the technological advances of mobile phones promise to further bridge the gap between physical world and cyberspace. Using sensors embedded in mobile phones, a torrent of data about the physical world can be collected. The inclusion of the gathered data into the digital world contributes to the realization of the vision of so-called smart spaces, ranging from smart homes to smart cities and beyond. These smart spaces can substantially increase the quality of life by leveraging the participation of billions of citizens by, e.g., monitoring traffic congestion and noise pollution. The collection of sensor readings in participatory sensing applications however puts the privacy of the users at risk, as they may reveal sensitive information about themselves, such as the locations they visited. Users aware of such threats may decide to opt out of the application, thus decreasing the quantity and quality of the gathered data. Privacy protection is therefore mandatory to encourage potential contributions.

Most existing privacy-preserving solutions specifically tailored to participatory sensing applications fail to include users in the loop, despite the individual nature of the conception of privacy. They are mainly preconfigured by application administrators and cannot be personalized by users according to their privacy preferences. Moreover, a majority of existing approaches relies on a central entity responsible for the users’ privacy protection. In addition to be a single point of failure, users need to entrust them not to disclose sensitive information to unauthorized third parties. In order to address these shortcomings and ultimately foster the users’ contributions, we propose three privacy-preserving solutions in which users are in control of their privacy protection and can adapt the underlying mechanisms to their own preferences. Furthermore, the provided privacy protection is independent of the trustworthiness of the application server.

In particular, we present a scheme in which users mutually preserve their privacy by physically exchanging sensor readings, along with the time and location of their collection, during opportunistic meetings. By breaking the association between users’ identities and sensor readings, the exchanges prevent curious application administrators from inferring the locations visited by the participants based on the uploaded sensor readings. This scheme, however, relies on the collaboration of all participating users. In order to assess the users’ degrees of collaboration, we therefore propose mechanisms based on user ratings that readily identify and quarantine malicious users. Using both schemes, users are hence able to determine the applied exchange strategy based the assessed trust levels of encountered users as well as their individual preferences. As a result, the collected data are obfuscated prior to their upload to the application server.

Furthermore, we propose an innovative scheme based on periodic pseudonyms that allows the application server to assess the trustworthiness of the contributed sensor readings without endangering the users’ privacy. In addition to rely on blind signatures, our scheme introduces the concept of reputation cloaking in order to prevent curious application administrators from linking consecutive pseudonyms based on an analysis of their reputation. By applying different proposed cloaking schemes, users can control and balance the inherent trade-off between anonymity protection and loss in reputation according to their personal preferences.

In addition to proposing these three schemes, we investigate the degree of privacy protection achieved by the devised solutions by means of extensive simulations under realistic scenarios and conditions. Besides, we assess the applicability of our contributions in participatory sensing applications by using real-world data traces and through prototypical implementation. Based on our thorough evaluation, we provide guidelines for the parametrization of the proposed schemes by considering both the user and application perspectives.

Typ des Eintrags: Dissertation
Erschienen: 2013
Autor(en): Christin, Delphine
Art des Eintrags: Erstveröffentlichung
Titel: Privacy in Participatory Sensing - User-controlled Privacy-preserving Solutions for Mobile Sensing Applications
Sprache: Englisch
Referenten: Hollick , Prof. Dr.- Matthias ; Fischer-Hübner, Prof. Dr.- Simone ; Kanhere, Prof. Salil S.
Publikationsjahr: 2013
Ort: Darmstadt
Datum der mündlichen Prüfung: 13 Februar 2013
URL / URN: http://tuprints.ulb.tu-darmstadt.de/3347
Kurzbeschreibung (Abstract):

Information and Communication Technology is commonly recognized as one of the key enablers in improving the quality of life in our modern society. By including citizens in the digital world, the efficiency of existing services has already been improved. In a second wave, the technological advances of mobile phones promise to further bridge the gap between physical world and cyberspace. Using sensors embedded in mobile phones, a torrent of data about the physical world can be collected. The inclusion of the gathered data into the digital world contributes to the realization of the vision of so-called smart spaces, ranging from smart homes to smart cities and beyond. These smart spaces can substantially increase the quality of life by leveraging the participation of billions of citizens by, e.g., monitoring traffic congestion and noise pollution. The collection of sensor readings in participatory sensing applications however puts the privacy of the users at risk, as they may reveal sensitive information about themselves, such as the locations they visited. Users aware of such threats may decide to opt out of the application, thus decreasing the quantity and quality of the gathered data. Privacy protection is therefore mandatory to encourage potential contributions.

Most existing privacy-preserving solutions specifically tailored to participatory sensing applications fail to include users in the loop, despite the individual nature of the conception of privacy. They are mainly preconfigured by application administrators and cannot be personalized by users according to their privacy preferences. Moreover, a majority of existing approaches relies on a central entity responsible for the users’ privacy protection. In addition to be a single point of failure, users need to entrust them not to disclose sensitive information to unauthorized third parties. In order to address these shortcomings and ultimately foster the users’ contributions, we propose three privacy-preserving solutions in which users are in control of their privacy protection and can adapt the underlying mechanisms to their own preferences. Furthermore, the provided privacy protection is independent of the trustworthiness of the application server.

In particular, we present a scheme in which users mutually preserve their privacy by physically exchanging sensor readings, along with the time and location of their collection, during opportunistic meetings. By breaking the association between users’ identities and sensor readings, the exchanges prevent curious application administrators from inferring the locations visited by the participants based on the uploaded sensor readings. This scheme, however, relies on the collaboration of all participating users. In order to assess the users’ degrees of collaboration, we therefore propose mechanisms based on user ratings that readily identify and quarantine malicious users. Using both schemes, users are hence able to determine the applied exchange strategy based the assessed trust levels of encountered users as well as their individual preferences. As a result, the collected data are obfuscated prior to their upload to the application server.

Furthermore, we propose an innovative scheme based on periodic pseudonyms that allows the application server to assess the trustworthiness of the contributed sensor readings without endangering the users’ privacy. In addition to rely on blind signatures, our scheme introduces the concept of reputation cloaking in order to prevent curious application administrators from linking consecutive pseudonyms based on an analysis of their reputation. By applying different proposed cloaking schemes, users can control and balance the inherent trade-off between anonymity protection and loss in reputation according to their personal preferences.

In addition to proposing these three schemes, we investigate the degree of privacy protection achieved by the devised solutions by means of extensive simulations under realistic scenarios and conditions. Besides, we assess the applicability of our contributions in participatory sensing applications by using real-world data traces and through prototypical implementation. Based on our thorough evaluation, we provide guidelines for the parametrization of the proposed schemes by considering both the user and application perspectives.

Alternatives oder übersetztes Abstract:
Alternatives AbstractSprache

Informations- und Kommunikationstechnologie wird als einer der wichtigsten Wegbereiter zur Verbesserung der Lebensqualität in unserer modernen Gesellschaft gesehen. Insbesondere die verstärkte Einbindung der Bürger in die digitale Welt führt zu neuartigen Möglichkeiten der Erfassung und Verarbeitung nutzergenerierter Inhalte. Gleichzeitig trägt der technologische Fortschritt bei Mobiltelefonen dazu bei, dass die Grenzen zwischen physikalischer Umgebung und der virtuellen Welt nach und nach verschwimmen. So können mit Hilfe von in heutigen Mobiltelefonen eingebetteten Sensoren große Datenmengen über die Umgebung der Nutzer gesammelt werden. Die Integration dieser Daten in die digitale Welt kann zur Realisierung der Vision intelligenter Umgebungen genutzt werden. Diese Vision reicht von intelligenten Gebäuden bis hin zu ganzen intelligenten Städten und darüber hinaus. Eine Realisierung solcher intelligenter Umgebungen ermöglicht die Beteiligung von Milliarden von Einwohnern, etwa zur Erfassung von Lärmbelästigungen, und kann so zu einer signifikanten Verbesserung der Lebensqualität aller führen. Die derartige Sammlung von Messwerten in den so genannten partizipativen Sensornetzen kann jedoch die Privatsphäre der Nutzer gefährden, da durch sie sensible Informationen über die Nutzer, z.B. besuchte Orte, preisgegeben werden können. Die Kenntnis solcher Bedrohungen der Privatsphäre kann die Teilnahmebereitschaft der Nutzer negativ beeinflussen und damit sowohl Quantität als auch Qualität der gesammelten Daten mindern. Es ist daher ein adäquater Schutz der Privatsphäre vonnöten, um entsprechende Nutzerbeiträge zu fördern.

In den meisten existierenden partizipativen Sensornetzen werden die Nutzer in Entscheidungen über den Schutz ihrer Privatsphäre nicht einbezogen, trotz des nachweislich individuellen Charakters des Konzepts der Privatsphäre. Stattdessen werden die Entscheidungen hauptsächlich von Anwendungsadministratoren getroffen und können nicht von Benutzern personalisiert oder ihren Präferenzen entsprechend konfiguriert werden. Zudem beruht die Mehrheit vorhandener Ansätze auf einer zentralen Instanz, die für den Schutz der Privatsphäre der Nutzer verantwortlich ist. Diese zentrale Instanz stellt allerdings nicht nur einen “single point of failure” dar, die Nutzer müssen darüber hinaus auch darauf vertrauen, dass von dieser Instanz keine sensiblen Nutzerinformationen an unbefugte Dritte weitergeben werden.

Um diese Einschränkungen aufzuheben und somit letztendlich die Beteiligung von Nutzern in partizipativen Sensornetzen zu steigern, werden im Rahmen dieser Arbeit drei Lösungen vorgeschlagen, mit welchen die Nutzer ihre Privatsphäre wirksam schützen und die zugrunde liegenden Mechanismen an ihre eigenen Wünsche anpassen können. Darüber hinaus ist der erzielte Schutz der Privatsphäre in den vorgestellten Verfahren unabhängig von der Vertrauenswürdigkeit eines Anwendungsservers. Zunächst wird eine Lösung zur Verschleierung von Bewegungsmustern vorgestellt, in der Nutzer kollaborieren, um ihre Privatsphäre durch den opportunistischen Austausch zeitlich und örtlich annotierter Sensorwerte zu schützen. Durch diesen Vorgang wird die Verbindung zwischen Nutzeridentitäten und gesammelten Sensorwerten aufgehoben, sodass auch Anwendungsadministratoren auf Basis zur Verfügung gestellter Sensorwerte nicht mehr auf besuchte Orte schließen können.

Die Effektivität der vorgeschlagenen Lösung hängt von der Zusammenarbeit aller beteiligten Nutzer ab. Entsprechend werden zusätzliche Mechanismen vorgestellt, mit denen der Kollaborationsgrad von Nutzern bewertet werden kann und bösartige Nutzer identifiziert und gezielt ausgeschlossen werden können. Durch die Verwendung dieser Mechanismen können Nutzer ihre Strategien zum Datenaustausch anhand von Vertrauensbewertungen und ihren individuellen Präferenzen festlegen.

Schließlich wird im Rahmen dieser Arbeit ein Verfahren vorgestellt, das es einem Anwendungsserver ermöglicht, auf Basis periodischer Pseudonyme die Vertrauenswürdigkeit der übertragenen Sensorwerte ohne Gefährdung der Privatsphäre der Nutzer zu beurteilen. Hierzu wird das Konzept der “Reputationsverschleierung” eingeführt, um zu verhindern, dass Anwendungsadministratoren aufeinanderfolgende Pseudonyme durch eine Analyse ihrer Reputationswerte in Verbindung zueinander bringen können. Durch die Verwendung verschiedener Methoden zur Reputationsverschleierung können die Nutzer selbst das Verhältnis zwischen Anonymität und dem Reputationsverlust, der mit einer Reputationsverschleierung einhergeht, auf Basis ihrer persönlichen Präferenzen festlegen.

Für alle vorgestellten Lösungen wird der erreichte Grad des Schutzes der Privatsphäre mittels umfangreicher Simulationen anhand von realistischen Szenarien untersucht. Außerdem wird die Anwendbarkeit der Lösungen durch Anwendung realer Datensätze und prototypischer Implementierungen evaluiert.

Deutsch
Freie Schlagworte: Privacy, trust, reputation, participatory sensing, mobile sensing applications, path jumbling, reputation cloaking
URN: urn:nbn:de:tuda-tuprints-33477
Sachgruppe der Dewey Dezimalklassifikatin (DDC): 000 Allgemeines, Informatik, Informationswissenschaft > 004 Informatik
Fachbereich(e)/-gebiet(e): 20 Fachbereich Informatik
20 Fachbereich Informatik > Sichere Mobile Netze
Hinterlegungsdatum: 31 Mär 2013 19:55
Letzte Änderung: 31 Mär 2013 19:55
PPN:
Referenten: Hollick , Prof. Dr.- Matthias ; Fischer-Hübner, Prof. Dr.- Simone ; Kanhere, Prof. Salil S.
Datum der mündlichen Prüfung / Verteidigung / mdl. Prüfung: 13 Februar 2013
Export:
Suche nach Titel in: TUfind oder in Google
Frage zum Eintrag Frage zum Eintrag

Optionen (nur für Redakteure)
Redaktionelle Details anzeigen Redaktionelle Details anzeigen