La lecture en ligne est gratuite
Le téléchargement nécessite un accès à la bibliothèque YouScribe
Tout savoir sur nos offres
Télécharger Lire

Location privacy in vehicular communication systems [Elektronische Ressource] : a measurement approach / Zhendong Ma

195 pages
Universit at UlmFakult at fur Ingenieurwissenschaften und InformatikInstitut fur MedieninformatikLocation Privacy in Vehicular CommunicationSystems: a Measurement ApproachDissertation zur Erlangung des Doktorgrades Dr. rer. nat.der Fakult at fur Ingenieurwissenschaften und Informatikder Universit at UlmZhendong Maaus Shanghai, China2011Amtierender Dekan: Prof. Dr.-Ing. Klaus DietmayerGutachter: Prof. Dr. Michael WeberGutachter: Prof. Dr. Manfred ReichertGutachter: Prof. Dr. Levente Butty anTag der Promotion: 21.1.2011AbstractAs an enabling technology for boosting cooperations on the road, the emerging vehicularcommunication systems have the promise to greatly improve road safety, tra c e ciency,and driver convenience through vehicle-to-vehicle and vehicle-to-infrastructure commu-nications. However, since many envisioned applications and services require a user toconstantly reveal his locations, the user is in danger of loosing his location privacy.Hence, in the context of vehicular communication systems, a meaningful location pri-vacy metric is indispensable for the assessment of potential location privacy risk, thedevelopment of privacy-enhanced technologies, and the evaluation and benchmarking ofany given location privacy-protection mechanisms.Measuring a user’s location privacy is a non-trivial task.
Voir plus Voir moins

Universit at Ulm
Fakult at fur Ingenieurwissenschaften und Informatik
Institut fur Medieninformatik
Location Privacy in Vehicular Communication
Systems: a Measurement Approach
Dissertation zur Erlangung des Doktorgrades Dr. rer. nat.
der Fakult at fur Ingenieurwissenschaften und Informatik
der Universit at Ulm
Zhendong Ma
aus Shanghai, China
2011Amtierender Dekan: Prof. Dr.-Ing. Klaus Dietmayer
Gutachter: Prof. Dr. Michael Weber
Gutachter: Prof. Dr. Manfred Reichert
Gutachter: Prof. Dr. Levente Butty an
Tag der Promotion: 21.1.2011Abstract
As an enabling technology for boosting cooperations on the road, the emerging vehicular
communication systems have the promise to greatly improve road safety, tra c e ciency,
and driver convenience through vehicle-to-vehicle and vehicle-to-infrastructure commu-
nications. However, since many envisioned applications and services require a user to
constantly reveal his locations, the user is in danger of loosing his location privacy.
Hence, in the context of vehicular communication systems, a meaningful location pri-
vacy metric is indispensable for the assessment of potential location privacy risk, the
development of privacy-enhanced technologies, and the evaluation and benchmarking of
any given location privacy-protection mechanisms.
Measuring a user’s location privacy is a non-trivial task. The location privacy metric
must consider technical aspects speci c to vehicular communication systems as well as
social and legal aspects of privacy in such context. Existing privacy metrics have various
limitations which make them incapable to fully capture a user’s location privacy and
give meaningful and accurate privacy measurements. We cannot manage what we can-
not measure. In this dissertation, we aim at developing a location privacy metric for the
users of vehicular communication systems. Our measurement approach provides solu-
tions for various issues in the concept, theory, and application of the metric. Taking legal
and social aspects and vehicle mobility into consideration, we measure location privacy
as the relationship between a user and his vehicle trips from an attacker’s perspective.
Based on a capture-model-measure paradigm, the metric captures related information
in snapshots, processes the information, and gives quantitative measurements of a user’s
level of location privacy in the system. To truthfully reect the underlying privacy
values, we extend the metric and provide solutions for measuring a user’s location pri-
vacy in multiple dimensions such as privacy in timely-ordered snapshots and privacy
in snapshots with interrelated users. Our approach is evaluated by various scenarios
and simulations. We also demonstrate the practicability of our approach by a proof-
of-concept implementation based on realistic dataset, and use the developed metric to
assess the e ectiveness of privacy-protection mechanisms such as mix zone and changing
pseudonyms.
Altogether, in this dissertation, we give a comprehensive answer to how to measure
ia user’s location privacy in vehicular communication systems while taking into account
domain speci c aspects and privacy in multiple dimensions. The location privacy metric
lls an important gap in current research and facilitates the estimation of the privacy
level in emerging vehicular communication systems and the benchmarking of di erent
privacy-protection mechanisms on a common basis. Furthermore, our measurement
approach provides insights into the cause of the location privacy problem, on which
cost-e ective privacy-protection mechanisms can be developed to bene t the users of
vehicular communication systems.
iiZusammenfassung
Kooperatives Verhalten zwischen Fahrzeugen auf der Stra e wird zunehmend durch
Technologien wie Fahrzeug-Fahrzeug-Kommunikationssysteme unterstutzt und tr agt entschei-
dend zu einer Erh ohung der Verkehrsicherheit und -e zienz sowie des Fahrkomforts bei.
Kooperationen nden dabei durch Kommunikation zwischen Fahrzeugen untereinander
und zwischen Fahrzeugen und Infrastruktur statt. Damit eine Fahrzeugkommunikation
ub erhaupt m oglich wird, mussen die Nutzer einer solchen Technologie st andig ihre Loka-
tionsdaten preisgeben. Dies stellt naturlic h eine m ogliches Risiko fur die Privatheit der
Lokationsdaten (Location Privacy) der Nutzer dar. Um dieses Risiko genau absch atzen
zu k onnen, bedarf es eines ad aquaten "Messinstruments", genauer gesagt einer Metrik
zur Messung des Grades an Location Privacy der Nutzer in einem Fahrzeug-Fahrzeug-
Kommunikationssystem. Neben der Risikoeinsch atzung erm oglicht eine solche Metrik
auch die Evaluatierung bestehender Mechanismen zum Schutz von Location Privacy
sowie deren Neu- und Weiterentwicklung.
Allerdings stellt die Entwicklung einer geeigneten Metrik keine einfache Aufgabe dar,
da diese sowohl technischen Aspekten von Fahrzeug-Fahrzeug-Kommunikationssystemen
als auch sozialen und rechtlichen Anforderungen genugen muss. Existierende Metriken
weisen eine Reihe von Einschr ankungen auf, die eine sinnvolle und akkurate Bestim-
mung des Grades and Location Privacy erschweren oder sogar unm oglich machen. Kurz
gesagt: Man kann nicht kontrollieren, was man nicht messen kann! Gem a dieses Grund-
satzes ist das Ziel dieser Dissertation eine Metrik zur Messung von Location Privacy
der Nutzer von Fahrzeug-Fahrzeug-Kommunikationssystemen zu entwickeln, und zwar
ohne die Beschr ankungen existierender Metriken. Unser Ansatz vereint hierbei Theorie,
Konzept und Anwendung der Metrik. Auf der Grundlage einer realistischen Betrachtung
des Fahrverhaltens wird Location Privacy als die F ahigkeit eines Angreifers gemessen,
einen Nutzer den Wegstrecken, die er mit seinem Fahrzeug zuruc kgelegt hat, zuzuord-
nen. Um dies in numerischen Kenngr o en abbilden zu k onnen, werden Schnappschusse
des Fahrzeug-Fahrzeug-Kommunikationssystems verwendet, um die Verbindung zwis-
chen Wegstrecken und Nutzern zu modellieren. In einem ersten Schritt werden Schnapp-
schusse getrennt voneinander betrachtet, dann jedoch sukzessive um den zeitlichen Ver-
lauf zwischen den Schnappschussen und die Verbindung zwischen mehreren Nutzern des
iiiFahrzeug-Fahrzeug-Kommunikationssystems im Modell erweitert. Diese zus atzlichen Di-
mensionen liefern weitere Informationen, die in der Metrik zu realistischen Bewertung
von Location Privacy verwendet werden k onnen. Die Messung von Location Privacy
in unserem Modell erfolgt in einem informationtheoretischen Ansatz. Alle Ergebnisse
werden mittels unterschiedlicher Simulationen evaluiert. Au erdem erfolgt eine proto-
typische Umsetzung des Gesamtansatzes durch Analyse eine realistischen Datensatzes.
Zusammenfassend bietet die Dissertation einen umfassenden Ansatz zur Messung
von Location Privacy der Nutzer in einem Fahrzeug-Fahrzeug-Kommunikationssystem.
Damit fullt die Arbeit eine wichtige Luc ke in existierenden Ans atzen, da durch die Metrik
zum ersten Mal eine umfassende Bewertung und Vergleich von Mechanismen zum Schutz
von Location Privacy m oglich wird. Darub er hinaus bietet die Arbeit fundamentale Ein-
sichten in die Grunde fur m ogliche Privacy Verletzungen, womit eine Entwicklung von
e ektiveren Schutzmechanismen erm oglich wird.
ivAcknowledgements
It is my pleasure to thank those who made this dissertation possible. First of all, I am
deeply grateful for Prof. Dr. Michael Weber, whose belief, supervision, and support has
got this work started and accomplished. I also own my gratitude to Prof. Dr. Manfred
Reichert, whose corrections and suggestions have brought the dissertation to a higher
level of standard. I am also thankful to Prof. Dr. Frank Kargl, who has given valuable
guidance in various stages of this work.
No man is an island. I am grateful for the inspiring discussions with my colleagues
in the once \VANET" group. Especially, I would like to thank Elmar Schoch, Florian
Schaub, and Bj orn Widersheim for their fruitful cooperations. The same gratitude also
goes to the partners in the SEVECOM and PRECIOSA project.
This dissertation would not have been possible without the encouragement, support,
and love of Stefanie, Jennie, and Johnny. I am also thankful to my parents, Baodi Yang
and Mingfu Ma, who taught me to pursuit excellence at a very early age.
vviContents
1. Introduction 1
1.1. Location privacy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
1.2. Measurement approach . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.3. Contribution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
1.4. Organization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2. Background 9
2.1. System and threat model . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.1. System model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.2. Threat model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
2.1.3. Attacks on location privacy . . . . . . . . . . . . . . . . . . . . . . 10
2.1.4. Privacy model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.2. Existing privacy-protection mechanisms . . . . . . . . . . . . . . . . . . . 13
2.2.1. Information ow control . . . . . . . . . . . . . . . . . . . . . . . . 13
2.2.2. Anonymization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2.2.3. Degradation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.2.4. Dummy tra c . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.2.5. Real-world implementations . . . . . . . . . . . . . . . . . . . . . . 24
2.3. Existing privacy metrics . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.3.1. Privacy-related concepts and notions . . . . . . . . . . . . . . . . . 25
2.3.2. Anonymity set-based metrics . . . . . . . . . . . . . . . . . . . . . 26
2.3.3. Mix zone-based metrics . . . . . . . . . . . . . . . . . . . . . . . . 28
2.3.4. Tracking-based . . . . . . . . . . . . . . . . . . . . . . . . . 31
2.3.5. Distance-based metrics . . . . . . . . . . . . . . . . . . . . . . . . . 33
2.4. Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
2.4.1. Requirements on privacy metrics . . . . . . . . . . . . . . . . . . . 35
2.4.2. Analysis of requirement ful llment . . . . . . . . . . . . . . . . . . 35
2.4.3. Summary and outlook . . . . . . . . . . . . . . . . . . . . . . . . . 39
vii3. Location privacy in snapshot view 41
3.1. Location privacy revisited . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
3.1.1. Measuring vehicle location privacy . . . . . . . . . . . . . . . . . . 45
3.2. Methodology of measuring location privacy . . . . . . . . . . . . . . . . . 50
3.3. Capture information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51
3.4. Model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.4.1. Observation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
3.4.2. Formalization . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
3.5. Calculate information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.5.1. Entropy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59
3.5.2. Extract information . . . . . . . . . . . . . . . . . . . . . . . . . . 60
3.5.3. Quantify . . . . . . . . . . . . . . . . . . . . . . . . . . 61
3.6. Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.6.1. Use Case I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65
3.6.2. Use Case II . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.7. Discussion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67
3.8. Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69
4. Location privacy in time series 71
4.1. Accumulated information . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
4.2. Measurements based on multiple snapshots . . . . . . . . . . . . . . . . . 75
4.2.1. Frequency based approach . . . . . . . . . . . . . . . . . . . . . . . 75
4.2.2. Bayesian approach . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
4.3. Evaluation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
4.3.1. Evaluation criteria . . . . . . . . . . . . . . . . . . . . . . . . . . . 80
4.3.2. Ev setup . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81
4.3.3. Simulation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
4.4. Heuristic algorithm for dynamic trip constellations . . . . . . . . . . . . . 87
4.4.1. Finding an adequate measurement of similarity . . . . . . . . . . . 88
4.4.2. Constellation tting . . . . . . . . . . . . . . . . . . . . . . . . . . 90
4.4.3. Heuristic algorithm . . . . . . . . . . . . . . . . . . . . . . . . . . . 92
4.5. Evaluation of heuristic algorithm . . . . . . . . . . . . . . . . . . . . . . . 94
4.5.1. Evaluation with respect to constellation dynamics . . . . . . . . . 94
4.5.2. Ev with respect to p-value . . . . . . . . . . . . . . . . . . 96
4.5.3. Evaluation with respect to cluster of re-appearing trips . . . . . . 98
4.6. Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100
viii

Un pour Un
Permettre à tous d'accéder à la lecture
Pour chaque accès à la bibliothèque, YouScribe donne un accès à une personne dans le besoin