Privacy-aware sharing of location information

Abstract

Location-based applications such as Foursquare, Glympse, or Waze attract millions of users by implementing points of interest finders, geosocial networking, trajectory sharing, or real-time traffic monitoring. An essential requirement for these applications is the knowledge of user location information, i.e., the user's position or his movement trajectory. Location-based applications typically act as clients to a location service, which manages mobile object location information in a scalable fashion and provides various clients with this information.

However, sharing location information raises user privacy concerns, especially if location service providers are not fully trustworthy and user location information can be exposed. For instance, an attacker successfully compromising a location service may misuse the revealed location information for stalking, mugging, or to derive personal user information like habits, preferences, or interests of the user. Driven by the increasing number of reported incidents where service providers did not succeed in protecting private user information adequately, user privacy concerns are further intensified.

Therefore, we present novel approaches protecting user location privacy when sharing location information without assuming location service providers to be fully trustworthy. To protect user position information, we present our position sharing concept. Position sharing allows to reveal only positions of decreased precision to different location services, while clients can query position shares from different location services to increase precision. To protect movement trajectories, we introduce our trajectory fragmentation approach and an approach protecting the speed information of movement trajectories.

Heutzutage sind Informationen über die Positionen mobiler Benutzer von wesentlicher Bedeutung für ortsbezogene Anwendungen. Weitläufig bekannte Anwendungen sind beispielsweise Suchdienste für interessante Orte, die Benutzer beim Auffinden von Restaurants, Tankstellen oder Geldautomaten in ihrer Umgebung unterstützen. Andere weit verbreitete Anwendungen sind beispielsweise Verkehrsinformationssysteme, die ihre Verkehrsflussinformationen aus den erfassten Bewegungstrajektorien der Benutzer ableiten. Des Weiteren werden Lokationsinformationen heutzutage in nahezu jedem sozialen Netzwerk verwendet, sodass Benutzer ihren Aufenthaltsort mit Freunden teilen können.

Ortsbezogene Anwendungen verwenden gewöhnlicherweise Lokationsdienste, um eine skalierbare Verwaltung der Lokationsinformationen der Benutzer zu gewährleisten. Der Lokationsdienst kann hierbei entweder ein integraler Bestandteil der Infrastruktur des Anbieters der ortsbezogenen Anwendung sein oder von einem externen Dienstanbieter bereitgestellt werden. Sobald ein Benutzer einem Lokationsdienst genaue Lokationsinformationen übermittelt, besteht allerdings die Gefahr, dass diese Informationen missbraucht werden. Dies kann durch den Anbieter des Lokationsdienstes selbst erfolgen oder durch einen Angreifer, der sich Zugang zu den Daten des Lokationsdienstes beschaffen konnte. Aufgrund dieser Tatsache und der zunehmenden Anzahl an Vorfällen, bei denen Dienstanbieter persönliche Daten ihrer Benutzer nicht vor dem unberechtigten Zugriff Dritter schützen konnten, sollten Dienstanbieter nicht als uneingeschränkt vertrauenswürdig betrachtet werden. Um die Privatheit eines Benutzers zu gewährleisten, sind Mechanismen zum Schutz von Lokationsinformationen notwendig, die nicht von der Vertrauenswürdigkeit des Lokationsdienstes abhängen.

In dieser Dissertation wird hierzu eine Klassifizierung bestehender Konzepte zum Schutz von Lokationsinformationen sowie möglicher Angriffe dargestellt. Anschließend wird ein neues Position Sharing Konzept zum Schutz von Positionsinformationen vorgestellt, welches nicht auf die Vertrauenswürdigkeit eines Lokationsdienstes angewiesen ist. Beim Position Sharing werden genaue Positionsinformationen in sogenannte Shares beschränkter Genauigkeit aufgeteilt und anschließend auf mehrere Lokationsdienste unterschiedlicher Betreiber verteilt. Jeder Lokationsdienst verwaltet somit nur Positionsinformationen beschränkter bzw. degradierter Genauigkeit und kann höchstens Positionsinformationen mit der zugehörigen Genauigkeit offenlegen. Durch die Zusammenführung mehrerer Shares ist es allerdings möglich, dass Positionen wohldefinierter Genauigkeit wiederhergestellt werden. Zur Realisierung des Position Sharing Konzeptes werden unterschiedliche Ansätze vorgestellt und hinsichtlich ihrer Sicherheit analysiert.

Neben dem Schutz von Positionsinformationen werden Mechanismen zum Schutz von Bewegungstrajektorien untersucht. Hierbei wird insbesondere ein neues Verfahren vorgestellt, welches die Bewegungstrajektorie eines Benutzers in kleinere, wohldefinierte Abschnitte aufteilt und diese auf unterschiedliche Lokationsdienste verteilt. Dieses Verfahren besitzt den Vorteil, dass ein Lokationsdienst nur einen bestimmten Teil anstelle der gesamten Bewegungstrajektorie des Benutzers offenlegen kann. Abschießend werden Mechanismen zum Schutz der Geschwindigkeitsinformation von Bewegungstrajektorien vorgestellt. Hierbei wird die Geschwindigkeit der an den Lokationsdienst übermittelten Bewegungstrajektorien an die jeweils erlaubte Höchstgeschwindigkeit angepasst. Die vorgestellten Mechanismen verhindern somit, dass Benutzern aufgrund einer unbeabsichtigten Geschwindigkeitsübertretung monetäre oder rechtliche Konsequenzen drohen, falls die vom Lokationsdienst gespeicherte Bewegungstrajektorie des Benutzers offengelegt wird. Der Schutz der Geschwindigkeitsinformation stellt somit einen wichtigen Bestandteil für die Akzeptanz von neuen ortsbezogenen Anwendungen dar.