場所のプライバシーの定量化と保護
概要
次の2つの問題は、プライバシーの計算における基本的な問題として識別されます:(i)異なるシステムでのプライバシーを一貫して数量化する;(ii)難読化メカニズムを使用してプライバシーを最適に保護する。
統計的(ベイジアン)推論問題では、推定誤差を計算するときに定量的プライバシーの問題が発生します。この問題では、対戦相手は観測力、背景知識、補助チャネル情報を組み合わせて、ユーザーの機密情報を推定します。これにより、さまざまなシステムのユーザーのプライバシーを評価し、さまざまなプライバシー保護メカニズムの有効性を常に比較できます。また、ユーザーのプライバシーを最適化する問題を定式化し、データユーティリティを、ユーザーと対戦相手の両方が自分の目標を最大化したいと考え、これらの目標が互いに矛盾するインタラクティブな最適化問題として扱いました。ロケーションベースのサービスでロケーションプライバシーを定量化して保護するために、この方法を適用します。
前書き
既存のロケーションプライバシー保護メカニズムの設計方法では、ユーザー(プライバシーとサービス品質)の要件と対戦相手の知識と目標を一貫してシミュレートできません。反対に、保護メカニズムは一時的に設計されており、相手のモデルとは何の関係もありません。したがって、これらの保護メカニズムの目標と結果には不一致があります。
プライバシー保護メカニズムを定量化する体系的な方法はありません。特に、敵対モデルに関する仮定はしばしば不完全であり、ユーザーの位置プライバシーが誤って推定されるリスクがあります。特定の保護メカニズムとプライバシーの評価には、一般的な分析フレームワークが欠けていると言えます。このフレームワークがなければ、効果的な保護メカニズムを設計することも、客観的に比較することもできません。
通常、敵対者モデルは通常、適切に解決および形式化されておらず、敵の可能な推論攻撃(背景知識を組み合わせながら)に適したモデルがありません。これにより、モバイルユーザーのロケーションプライバシーが誤って推定される可能性があります。
既存のいくつかの指標(特にエントロピーとk-匿名性)は、ロケーションプライバシーの定量化には適さないことを示します。
ロケーションプライバシーの定量化
相手の知識
このセクションでは、さまざまな再構築攻撃で使用される敵の事前知識を構築するためのモデルを提供します。ナレッジコンストラクション(KC)モジュールの構造を図1に示します。敵対者は、ユーザーの移動性に関するさまざまな情報を収集しました。一般に、そのような情報はイベントに変換できます。おそらく、イベントを変換にリンクできます。つまり、同じユーザーの2つのイベントに連続したタイムスタンプがあります。さらに、部分的または完全な追跡にさらにリンクできます。対戦相手のこれらのイベントの質はさまざまです。たとえば、ノイズが含まれている場合があります。対戦相手が取得した情報(ユーザの自宅の住所など)は、イベントに変換できないことは明らかです。次に、攻撃者は、イベント情報、つまり夜と朝の間の自宅でのユーザーの継続的な出現をエンコードする典型的なイベント(またはトレース)を作成できます。