Пространственная маскировка

Пространственная маскировка — это механизм конфиденциальности , который используется для удовлетворения конкретных требований конфиденциальности путем размытия точного местоположения пользователей в замаскированных областях. ^{[1] [2]} Этот метод обычно интегрируется в приложения в различных средах, чтобы свести к минимуму раскрытие частной информации , когда пользователи запрашивают услугу на основе местоположения . Поскольку сервер базы данных не получает точную информацию о местоположении, набор, включающий удовлетворительное решение, будет отправлен обратно пользователю. ^[1] Общие требования конфиденциальности включают K-анонимность , максимальную и минимальную площадь. ^[3]

С появлением и популярностью услуг, основанных на определении местоположения , люди получают более персонализированные услуги, например, получение названий и местоположений близлежащих ресторанов и заправочных станций. Для получения этих услуг пользователи должны отправлять свои позиции прямо или косвенно поставщику услуг. Информация о местоположении пользователя может быть передана более 5000 раз за две недели. ^{[4] [5]} Таким образом, это удобство также подвергает конфиденциальность пользователей определенным рискам, поскольку злоумышленники могут незаконно идентифицировать местоположение пользователей и даже дополнительно использовать их личную информацию. ^{[6] [7]} Постоянное отслеживание местоположения пользователей было признано не только технической проблемой, но и проблемой конфиденциальности. ^[8] Было реализовано, что квазиидентификаторы , которые относятся к набору информационных атрибутов, могут использоваться для повторной идентификации пользователя при его связывании с некоторой внешней информацией. ^[7] Например, номер социального страхования может использоваться злоумышленниками для идентификации конкретного пользователя. ^[7] а объединенное раскрытие даты рождения, почтового индекса и пола может однозначно идентифицировать пользователя. ^[8] Таким образом, было предложено множество решений для сохранения и повышения конфиденциальности пользователей при использовании услуг, основанных на определении местоположения. Среди всех предложенных механизмов пространственная маскировка является одним из тех, которые получили широкое признание и пересмотрены и, таким образом, были интегрированы во многие практические приложения.

Конфиденциальность местоположения обычно считается подпадающей под категорию конфиденциальности информации , хотя относительно определения конфиденциальности местоположения нет единого мнения. ^[4] Часто существует три аспекта информации о местоположении: личность, местоположение (пространственная информация) и время (временная информация). ^{[2] [4]} Идентичность обычно относится к имени пользователя, адресу электронной почты или любой характеристике, которая отличает пользователя. Например, Pokémon Go требует постоянной идентификации пользователя, поскольку пользователям необходимо войти в систему. ^[4] Пространственная информация рассматривается как основной подход к определению местоположения. ^[4] Временная информация может быть разделена на информацию реального времени и нереального времени, и обычно она описывается как отметка времени с указанием места. ^[4] Если между ними установлена ​​связь, то конфиденциальность местоположения считается нарушенной. ^[2] Доступ к данным о личном местоположении рассматривается как серьезная проблема конфиденциальности, даже при наличии личного разрешения. ^[4] Таким образом, управление информацией о местоположении с учетом конфиденциальности было определено как важная задача, призванная обеспечить защиту конфиденциальности от злоупотребления информацией о местоположении. ^[8] Общая идея сохранения конфиденциальности местоположения состоит в том, чтобы ввести достаточно шума и квантования, чтобы снизить вероятность успешных атак. ^[9]

Пространственный краудсорсинг использует устройства с GPS (системой глобального позиционирования) и собирает информацию. ^[10] Полученные данные включают данные о местоположении, которые можно использовать для анализа карт и местных пространственных характеристик. ^[10] В последние годы исследователи установили связь между социальными аспектами и технологическими аспектами информации о местоположении. Например, если рассматривать информацию о совместном размещении как данные, которые потенциальные злоумышленники могут получить и принять во внимание, конфиденциальность местоположения снижается более чем на 60%. ^[11] Кроме того, благодаря постоянному сообщению информации о местоположении пользователя можно построить профиль передвижения для этого конкретного пользователя на основе статистического анализа, и на основе этого профиля можно использовать и генерировать большой объем информации, такой как местоположение офиса пользователя, медицинские записи, финансовое положение и политические взгляды. ^{[7] [12]} Поэтому все больше и больше исследователей учитывают социальное влияние в своих алгоритмах, поскольку эта информация из социальных сетей доступна общественности и может быть использована потенциальными злоумышленниками.

Чтобы удовлетворить требования пользователей к конфиденциальности местоположения в процессе транспортировки данных, исследователи изучают модели решения проблемы раскрытия частной информации. ^[3]

Модель безопасной многосторонней связи построена на основе идеи обмена точной информацией между n сторонами. Каждая сторона имеет доступ к определенному сегменту точной информации и в то же время не может получить другие части данных. ^{[3] [13]} Однако в процессе возникает проблема вычислений, поскольку для удовлетворения этого требования требуется большой объем обработки данных. ^[3]

Представлена ​​модель минимального обмена информацией, позволяющая использовать криптографические методы для выполнения операций соединения и пересечения. Однако негибкость этой модели для решения других запросов затрудняет ее удовлетворение большинством практических приложений. ^[3]

Ненадежная сторонняя модель применяется в одноранговых средах. ^[3]

Самая популярная модель на данный момент — это проверенная сторонняя модель. Некоторые практические приложения уже внедрили в свои сервисы идею доверенной третьей стороны для сохранения конфиденциальности. Например, Anonymizer интегрирован в различные веб-сайты, которые могут предоставлять своим пользователям услуги анонимного серфинга. ^[3] Кроме того, при покупке через PayPal пользователям не требуется предоставлять данные своей кредитной карты. ^[3] Таким образом, благодаря внедрению доверенной третьей стороны личная информация пользователей не передается напрямую поставщикам услуг. ^[3]

Многообещающий подход к сохранению конфиденциальности местоположения заключается в предоставлении данных о поведении пользователей и одновременной защите конфиденциальности личности и местоположения. ^[2] Было исследовано несколько методов повышения эффективности методов сохранения местоположения, таких как возмущение местоположения и сообщение об ориентирных объектах. ^[3]

Идея искажения местоположения заключается в замене точной информации о местоположении более грубым пространственным диапазоном, и, таким образом, будет введена неопределенность, когда злоумышленники попытаются сопоставить пользователя либо с известным идентификатором местоположения, либо с внешним наблюдением идентификатора местоположения. ^[8] Возмущение местоположения обычно устраняется с помощью пространственной маскировки, временной маскировки или маскировки местоположения . ^[3] Пространственная и временная маскировка означает неправильное или неточное местоположение и время, сообщаемые поставщикам услуг вместо точной информации. ^{[6] [9]} Например, конфиденциальность местоположения можно улучшить, увеличив время между отчетами о местоположении, поскольку более высокая частота отчетов делает более возможной повторную идентификацию посредством интеллектуального анализа данных. ^{[9] [14]} Существуют и другие случаи, когда сообщение информации о местоположении задерживается до тех пор, пока не будет идентифицировано посещение K пользователей в этом регионе. ^[2]

Однако этот подход может повлиять на качество услуг, о которых сообщают поставщики услуг, поскольку полученные ими данные не являются точными. При таком подходе обычно обсуждаются вопросы точности и вневременности. Кроме того, были обнаружены некоторые атаки, основанные на идее маскировки и нарушения конфиденциальности пользователей. ^[6]

В соответствии с идеей объектов- ориентиров , поставщику услуг сообщается о конкретном ориентире или значимом объекте, а не о регионе. ^[3]

Чтобы избежать отслеживания местоположения, поставщику услуг обычно передается меньше информации о местоположении или она отсутствует. ^[3] Например, при запросе погоды почтовый индекс вместо отслеживаемого местоположения будет достаточно точным для качества полученной услуги. ^[9]

Централизованная схема строится на основе анонимайзера центрального местоположения (анонимизирующего сервера) и рассматривается как промежуточное звено между пользователем и поставщиком услуг. ^{[15] [16]} Как правило, в обязанности анонимайзера местоположения входит отслеживание точного местоположения пользователей, ^[15] размытие информации о местоположении пользователя в замаскированных областях и связь с поставщиком услуг. ^{[1] [12]} Например, одним из способов добиться этого является замена правильных сетевых адресов поддельными идентификаторами перед передачей информации поставщику услуг. ^[7] Иногда личность пользователя скрыта, но при этом поставщик услуг может аутентифицировать пользователя и, возможно, взимать с пользователя плату за услугу. ^[7] Эти шаги обычно достигаются за счет пространственной маскировки или путаницы путей. За исключением некоторых случаев, когда для обеспечения высокого качества обслуживания отправляется правильная информация о местоположении, точная информация о местоположении или временная информация обычно изменяются для сохранения конфиденциальности пользователя. ^[17]

Выступая в качестве промежуточного звена между пользователем и сервером определения местоположения, анонимайзер местоположения обычно выполняет следующие действия: ^{[3] [7]}

• Получение точной информации о местоположении пользователей и личного профиля
• Размытие местоположения на замаскированные области в соответствии с конкретными требованиями конфиденциальности.
• В большинстве случаев удаление идентификаторов пользователей из информации о местоположении
• Сообщение о скрытой области поставщику услуг и получение списка решений, называемого списком кандидатов, от поставщика услуг, который удовлетворяет запросы пользователя.
• Выбор наиболее подходящего решения на основе точного местоположения пользователя и возврат точной информации о решении пользователю (некоторые анонимайзеры местоположения могут не выполнять этот шаг).

Анонимайзер местоположения также можно рассматривать как доверенную третью сторону. ^[12] поскольку пользователь доверяет ему точную информацию о местоположении и личный профиль, хранящийся в анонимайзере местоположения. ^[15] Однако это также может подвергнуть конфиденциальность пользователей большому риску. Во-первых, поскольку анонимайзер продолжает отслеживать информацию пользователей и имеет доступ к точному местоположению и данным профиля пользователей, он обычно является целью большинства злоумышленников и, следовательно, подвергается более высокому риску. ^{[12] [15]} Во-вторых, важно, насколько пользователи доверяют анонимайзерам местоположения. Если в алгоритм интегрирована полностью доверенная третья сторона, информация о местоположении пользователя будет постоянно передаваться анонимайзеру местоположения. ^[12] что может вызвать проблемы с конфиденциальностью, если анонимайзер будет скомпрометирован. ^[16] В-третьих, анонимайзер местоположения может привести к снижению производительности, когда представлено большое количество запросов, которые необходимо замаскировать. ^{[15] [16]} Это связано с тем, что анонимайзер местоположения отвечает за поддержание количества пользователей в регионе, чтобы обеспечить приемлемый уровень качества обслуживания. ^[15]

В распределенной среде пользователи анонимизируют информацию о своем местоположении через инфраструктуры фиксированной связи, такие как базовые станции. Обычно сервер сертификации вводится в распределенной схеме, где регистрируются пользователи. Прежде чем участвовать в этой системе, пользователи должны получить сертификат, означающий, что им доверяют. Таким образом, каждый раз после того, как пользователь запрашивает услугу определения местоположения и до того, как точная информация о местоположении будет отправлена ​​на сервер, вспомогательные пользователи, зарегистрированные в этой системе, сотрудничают, чтобы скрыть точное местоположение пользователя. Количество пользователей-помощников, участвующих в маскировке этого региона, основано на K-анонимности, которая обычно устанавливается для конкретного пользователя. ^[18] В тех случаях, когда поблизости недостаточно пользователей, обычно используется S-близость для создания большого количества парных идентификаторов пользователей и информации о местоположении, чтобы реальный пользователь был неразличим в конкретной области. ^[17] Другие профили и информацию о местоположении, отправляемые поставщику услуг, иногда также называют фиктивными. ^[3]

Однако сложность структуры данных, которая используется для анонимизации местоположения, может привести к трудностям при применении этого механизма к высокодинамичным мобильным приложениям на основе определения местоположения. ^[18] Кроме того, проблема больших вычислений и связи связана с окружающей средой. ^[15]

Одноранговая без среда (P2P) опирается на прямую связь и обмен информацией между устройствами в сообществе, где пользователи могут общаться только через многоскачковую маршрутизацию P2P инфраструктуры фиксированной связи. ^[1] Среда P2P направлена ​​на расширение зоны покрытия сотовой связи в разреженной среде. ^[19] В этой среде одноранговые узлы должны доверять друг другу и работать вместе, поскольку информация об их местоположении будет сообщаться друг другу при создании скрытой области для достижения желаемой K-анонимности во время запроса услуг на основе местоположения. ^{[1] [12]}

Исследователи обсуждают некоторые требования к конфиденциальности и безопасности, которые сделают методы сохранения конфиденциальности подходящими для одноранговой среды. Например, аутентификация и авторизация необходимы для защиты и идентификации пользователя и, таким образом, позволяют отличить авторизованных пользователей от неавторизованных пользователей. Конфиденциальность и целостность гарантируют, что только те, кто авторизован, имеют доступ к данным, передаваемым между узлами, и передаваемая информация не может быть изменена. ^[19]

Некоторые из недостатков, выявленных в одноранговой среде, — это затраты на связь, недостаточное количество пользователей и угрозы со стороны потенциальных злоумышленников, скрывающихся в сообществе. ^[2]

Мобильные устройства рассматривались как важный инструмент общения, и поэтому в последние годы мобильные компьютеры стали объектом исследовательского интереса. ^[17] От онлайн-покупок до онлайн-банкинга — мобильные устройства часто подключаются к поставщикам услуг для онлайн-действий и в то же время отправляют и получают информацию. ^[17] Как правило, мобильные пользователи могут получать очень персонализированные услуги из любого места в любое время с помощью услуг, основанных на определении местоположения. ^[16] В мобильных устройствах система глобального позиционирования (GPS) является наиболее часто используемым компонентом для предоставления информации о местоположении. ^[2] Кроме того, сигналы Глобальной системы мобильной связи (GSM) и Wi-Fi также могут помочь в оценке местоположения. ^[2] Обычно в мобильных средах существует два типа проблем конфиденциальности: конфиденциальность данных и контекстная конфиденциальность. Обычно конфиденциальность местоположения и конфиденциальность личных данных включаются в обсуждение контекстной конфиденциальности в мобильной среде. ^[17] в то время как данные, передаваемые между различными мобильными устройствами, обсуждаются в разделе « Конфиденциальность данных» . ^[17] В процессе запроса услуг на основе определения местоположения и обмена данными о местоположении как качество передаваемых данных, так и безопасность обмениваемой информации могут потенциально подвергаться риску злоумышленников.

Независимо от того, какое конкретное решение по сохранению конфиденциальности интегрировано для маскировки определенного региона, в котором находится запрашивающая услугу. Обычно он строится с нескольких сторон, чтобы лучше удовлетворить различные требования конфиденциальности. Эти стандарты либо настраиваются пользователями, либо определяются разработчиками приложений. ^[3] Некоторые параметры конфиденциальности включают K-анонимность, энтропию, минимальную и максимальную площадь. ^[3]

Концепция K-анонимности была впервые представлена ​​в сфере конфиденциальности реляционных данных, чтобы гарантировать полезность данных и конфиденциальность пользователей, когда владельцы данных хотят раскрыть свои данные. ^{[8] [20] [21] [22]} К-анонимность обычно относится к требованию, чтобы информация пользователя была неотличима от минимума ${\displaystyle k-1}$человек в одном регионе, где k — любое действительное число. ^{[3] [4] [9] [12] [15]} Таким образом, ожидается, что объем раскрытых местоположений будет продолжать расширяться до тех пор, пока ${\displaystyle k}$пользователи могут быть идентифицированы в регионе, и эти ${\displaystyle k}$люди образуют группу анонимности. ^{[9] [15]} Обычно чем выше К-анонимность, тем строже требования, тем выше уровень анонимности. ^[7] Если К-анонимность будет соблюдена, то возможность идентифицировать точного пользователя будет примерно ${\displaystyle 1/k}$ который подчиняется различным алгоритмам, поэтому конфиденциальность местоположения будет эффективно сохранена. Обычно, если при построении алгоритма область маскировки спроектирована так, чтобы она была более значимой, шансы определить точного инициатора запроса на услугу будут намного ниже, даже если точное местоположение пользователя будет раскрыто поставщикам услуг. ^[7] не говоря уже о способностях злоумышленников использовать сложное машинное обучение или передовые методы анализа.

Также обсуждались некоторые подходы, позволяющие внести в систему больше двусмысленности, такие как историческая K-анонимность, p-чувствительность и l-разнообразие . ^[4] Идея исторической К-анонимности предлагается для того, чтобы гарантировать движущиеся объекты, гарантируя наличие как минимум ${\displaystyle k-1}$пользователи, которые используют одни и те же исторические запросы, что требует от анонимайзера отслеживать не только текущее перемещение пользователя, но и последовательность его местонахождения. ^{[3] [4] [7] [15]} Таким образом, даже если раскрываются исторические точки местоположения пользователя, злоумышленники не могут отличить конкретного пользователя от группы потенциальных пользователей. ^[7] P-чувствительность используется для обеспечения того, чтобы критические атрибуты, такие как идентификационная информация, имели как минимум ${\displaystyle p}$разные ценности внутри ${\displaystyle k}$пользователи. ^{[4] [23]} Более того, l-разнообразие направлено на то, чтобы гарантировать невозможность идентификации пользователя из l разных физических мест. ^{[4] [24]}

Однако установка большого значения K также потребует дополнительной пространственной и временной маскировки, что приводит к низкому разрешению информации, что, в свою очередь, может привести к ухудшению качества обслуживания. ^[8]

Минимальный размер области относится к наименьшему региону, расширенному от точной точки местоположения, который удовлетворяет конкретным требованиям конфиденциальности. ^[3] Обычно, чем выше требования к конфиденциальности, тем большая площадь требуется, чтобы повысить сложность определения точного местоположения пользователей. Кроме того, идея минимальной площади особенно важна в густонаселенных районах, где K-анонимность может оказаться неэффективной для обеспечения гарантированного сохранения конфиденциальности. Например, если запрашивающий находится в торговом центре, где есть многообещающая скидка, вокруг него или нее может быть много людей, и, таким образом, это можно считать очень плотной средой. В такой ситуации большая K-анонимность, такая как L=100, будет соответствовать только небольшому региону, поскольку для включения 100 человек рядом с пользователем не требуется большая территория. Это может привести к неэффективной скрытой зоне, поскольку пространство, где потенциально может находиться пользователь, меньше по сравнению с ситуацией с тем же уровнем К-анонимности, но люди более разбросаны друг от друга. ^[3]

Поскольку в большинстве услуг, основанных на определении местоположения, существует компромиссное соотношение между качеством обслуживания и требованиями конфиденциальности. ^{[3] [4] [8]} иногда также требуется максимальный размер площади. Это связано с тем, что значительная скрытая область может внести слишком большую неточность в услугу, получаемую пользователем, поскольку увеличение сообщаемой скрытой области также увеличивает возможные результаты, удовлетворяющие запросу пользователя. ^[3] Эти решения будут соответствовать конкретным требованиям пользователя, но не обязательно применимы к точному местоположению пользователей.

Скрытая область, созданная методом пространственной маскировки, может вписываться в различные среды, такие как местоположение моментального снимка, непрерывное местоположение, пространственные сети и сети беспроводных датчиков. ^[3] Иногда алгоритмы, генерирующие замаскированную область, предназначены для использования в различных системах без изменения исходных координат. Фактически, благодаря спецификации алгоритмов и четкому установлению наиболее общепринятых механизмов, больше методов сохранения конфиденциальности разрабатываются специально для желаемой среды, чтобы лучше соответствовать различным требованиям конфиденциальности.

Геосоциальные приложения обычно предназначены для обеспечения социального взаимодействия на основе информации о местоположении. Некоторые из услуг включают в себя совместные сетевые сервисы и игры, купоны на скидку, рекомендации местных друзей по поводу ресторанов и магазинов, а также социальные встречи. ^[9] Например, Motion Based позволяет пользователям делиться маршрутом упражнений с другими. ^[9] Foursquare был одним из первых приложений на основе определения местоположения, позволяющих делиться местоположением с друзьями. ^[4] Более того, SCVNGR представляла собой платформу, основанную на определении местоположения, где пользователи могли зарабатывать баллы, посещая разные места. ^[6]

Несмотря на требования конфиденциальности, такие как K-анонимность, максимальный размер области и минимальный размер области, существуют и другие требования, касающиеся конфиденциальности, сохраняемой в геосоциальных приложениях. Например, местоположение и несвязность пользователя требуют, чтобы поставщик услуг не мог идентифицировать пользователя, который выполняет один и тот же запрос дважды, или соответствие между данной скрытой областью и ее местоположением в реальном времени. Кроме того, конфиденциальность данных о местоположении требует, чтобы поставщик услуг не имел доступа к содержимому данных в определенном месте. Например, LoX в основном предназначен для удовлетворения требований конфиденциальности геосоциальных приложений.

С популярностью и развитием систем глобального позиционирования (GPS) и беспроводной связи , ^[16] информационных услуг на основе определения местоположения . В последние годы наблюдается высокий рост ^[4] Он уже разработан и применяется как в академической, так и в практической сфере. ^[8] Многие практические приложения интегрировали идею и методы услуг, основанных на определении местоположения. ^[25] такие как мобильные социальные сети, поиск достопримечательностей (POI), игры дополненной реальности (AR), ^[4] осведомленность о геолокационной рекламе, транспортных услугах, ^{[1] [12]} отслеживание местоположения и услуги, связанные с местоположением. ^[17] Эти услуги обычно требуют, чтобы поставщики услуг анализировали полученную информацию о местоположении на основе своих алгоритмов и базы данных, чтобы найти оптимальное решение, а затем сообщали об этом запрашивающему пользователю. Обычно услуги на основе местоположения запрашиваются либо посредством запросов моментальных снимков, либо посредством непрерывных запросов. ^[3] Запросы моментальных снимков обычно требуют отчета о точном местоположении в определенное время, например «где находится ближайшая заправочная станция?» в то время как непрерывные запросы требуют отслеживания местоположения в течение определенного периода времени, например, «постоянно сообщать о близлежащих заправочных станциях». ^[3]

С развитием систем глобального позиционирования и развитием беспроводной связи, которые стали широко использоваться в приложениях, основанных на определении местоположения, возникли высокие риски для конфиденциальности пользователей. ^[8] И поставщики услуг, и пользователи подвергаются опасности подвергнуться атакам и злоупотреблениям информацией. ^{[8] [26]} Сообщалось, что некоторые устройства GPS использовались для использования личной информации и отслеживания личного местоположения. ^[3] Иногда сообщение только информации о местоположении уже указывает на большой объем конфиденциальной информации. ^{[3] [7]} Одной из атак, специфичных для услуг, основанных на местоположении, являются атаки, связанные с пространственным или временным выводом, при которых посещенное местоположение соотносится с конкретным временем, и это может привести к раскрытию частной жизни и частного бизнеса. ^{[8] [27]}

Некоторые из популярных услуг, основанных на местоположении, включают в себя: ^{[2] [7] [17]}

• Аварийная служба с учетом местоположения
• Реклама на основе местоположения
• Отчет о трафике в реальном времени
• Поиск магазинов по местоположению
• Карта и навигационная система

Непрерывное обслуживание на основе местоположения

Непрерывные услуги на основе определения местоположения требуют постоянного предоставления информации о местоположении поставщикам услуг. ^[12] В процессе запроса непрерывной услуги на основе определения местоположения было выявлено давление из-за проблем утечки конфиденциальной информации. Поскольку сообщается о серии скрытых областей, с развитием технологий можно создать корреляцию между размытыми областями. ^[12] Поэтому было проведено множество исследований, направленных на решение проблем конфиденциальности местоположения в непрерывных службах, основанных на определении местоположения. ^[12]

Службы моментальных снимков, основанные на местоположении

В то время как местоположение снимка обычно относится к линейной зависимости между конкретной точкой местоположения и точкой во временной координате.

Были предложены некоторые механизмы для решения проблем сохранения конфиденциальности в обеих средах одновременно или сосредоточения на выполнении каждого требования конфиденциальности соответственно. Например, предлагается использовать сетку конфиденциальности, называемую динамической сеткой, которая подходит как для моментальных снимков, так и для непрерывных сред предоставления услуг на основе местоположения.

Существующие решения по обеспечению конфиденциальности обычно делятся на две категории: конфиденциальность данных и конфиденциальность контекста. ^[17] Помимо решения проблем конфиденциальности местоположения, эти механизмы могут применяться и в других сценариях. Например, для лучшего сохранения конфиденциальности пользователей были предложены, обсуждены и протестированы такие инструменты, как криптография, анонимность, обфускация и кэширование. Эти механизмы обычно пытаются решить проблемы конфиденциальности местоположения с разных точек зрения и, таким образом, вписываются в разные ситуации.

• Криптография
• Анонимность
• Обфускация
• Кэширование
• Псевдонимная техника

Несмотря на то, что эффективность пространственной маскировки получила широкое признание и идея пространственной маскировки была интегрирована во множество проектов, по этому поводу все еще существуют некоторые опасения. Во-первых, обе схемы пространственной маскировки имеют свои ограничения. Например, в централизованной схеме, хотя другая личная информация пользователей, включая идентификационные данные, скрыта, само местоположение может раскрыть конфиденциальную информацию. ^[15] особенно когда конкретный пользователь запрашивает услугу несколько раз под одним и тем же псевдонимом. ^[7] В децентрализованной схеме возникают проблемы с большими вычислениями и недостаточным количеством узлов в регионе.

Во-вторых, возможности злоумышленников требуют более глубокого рассмотрения и исследования в соответствии с развитием таких технологий, как машинное обучение, и их связью с социальными отношениями, особенно с долей информации в Интернете.

В-третьих, доверие к доверенной третьей стороне также было названо одной из проблем. Ежедневно на рынках приложений публикуется большое количество программного обеспечения, причем некоторые из них не прошли строгую проверку. Ошибки программного обеспечения, ошибки конфигурации доверенных сторонних организаций и злонамеренные администраторы могут подвергнуть частные данные пользователей высокому риску. ^[6] По данным исследования 2010 года, две трети всех доверенных сторонних приложений на рынке Android считаются подозрительными в отношении конфиденциальной информации. ^[17]

В-четвертых, конфиденциальность местоположения признана персонализированным требованием и зависит от различных контекстов. ^[8] В последние годы изучается возможность настройки параметров конфиденциальности, поскольку разные люди имеют разные ожидания относительно степени сохраняемой конфиденциальности, и иногда настройки по умолчанию не полностью удовлетворяют потребности пользователей. ^{[4] [28]} Учитывая, что часто существует компромиссное соотношение между конфиденциальностью и персонализацией, а персонализация обычно приводит к улучшению обслуживания, ^{[4] [7] [8]} у людей будут разные предпочтения. В ситуациях, когда пользователи могут изменить конфигурации по умолчанию, принятие настроек по умолчанию вместо настройки кажется более популярным выбором. ^{[4] [29]} Кроме того, отношение людей к раскрытию информации о своем местоположении может варьироваться в зависимости от полезности услуги, гарантий конфиденциальности, раскрываемого количества и т. д. ^[9] В большинстве ситуаций люди взвешивают цену предоставления конфиденциальной информации и выгоды, которые они получают. ^[4]

В-пятых, в литературе предлагается множество механизмов защиты, но лишь немногие из них практически интегрированы в коммерческие приложения. ^[30] Поскольку анализа реализации механизмов сохранения конфиденциальности местоположения мало, между теорией и конфиденциальностью все еще существует большой разрыв. ^[4]

В процессе обмена данными три основные стороны — пользователь, сервер и сети — могут быть атакованы злоумышленниками. ^{[4] [17]} Знания, которыми обладают злоумышленники и которые могут быть использованы для проведения атак с указанием местоположения, включают в себя информацию о наблюдаемом местоположении, точную информацию о местоположении и контекстные знания. ^[4] Методы машинного обучения и больших данных также привели к появлению новой тенденции в области конфиденциальности местоположения. ^[4] а популярность интеллектуальных устройств привела к увеличению количества атак. ^[17] Некоторые из принятых подходов включают вирус, троянские приложения и несколько кибератак . ^[17]

• Атака «человек посередине»

Атаки «человек посередине» обычно происходят в мобильной среде, которая предполагает, что вся информация, проходящая процесс передачи от пользователя к поставщику услуг, может подвергнуться атакам и может быть подвергнута дальнейшему манипулированию со стороны злоумышленников, раскрывающих больше личной информации. ^[17]

• Межсервисная атака

Межсервисные атаки обычно происходят, когда пользователи используют плохо защищенное беспроводное соединение, особенно в общественных местах. ^[17]

• Атака на основе видео

Атаки на основе видео более распространены на мобильных устройствах, как правило, из-за использования Bluetooth, камеры и видеовозможностей, поскольку существуют вредоносные программные приложения, тайно записывающие данные о поведении пользователей и передающие эту информацию на удаленное устройство. Stealthy Video Capture — одно из специально разработанных приложений, которое шпионит за пользователем, находящимся без сознания, и сообщает дополнительную информацию. ^[17]

• Атака с перехватом датчиков

Атаки с перехватом датчиков обычно относятся к случаям, когда на устройстве установлены специально разработанные приложения. В этой ситуации, даже если злоумышленники не имеют физического контакта с мобильным устройством, личная информация пользователей все равно будет подвергаться риску раскрытия. ^[17]

• Атака, связывающая контекст

При атаке с использованием локализации контекстные знания объединяются с наблюдаемой информацией о местоположении для раскрытия точного местоположения. Контекстуальные знания также могут быть объединены с точной информацией о местоположении для проведения идентификационных атак. ^[4]

• Атака машинного/глубокого обучения

Интеграция алгоритмов обучения и других методов глубокого обучения создает огромную проблему для конфиденциальности местоположения, а также огромного объема данных в Интернете. ^[4] Например, современные методы глубокого обучения могут делать прогнозы о геолокации на основе личных фотографий из социальных сетей и выполнять типы обнаружения объектов на основе своих способностей анализировать миллионы фотографий и видео. ^{[4] [31] [32]}

В последние годы также обсуждались политические подходы, которые направлены на пересмотр соответствующих руководящих принципов или предложение новых правил для лучшего управления приложениями услуг, основанных на местоположении. Нынешнее технологическое состояние не имеет достаточно согласованной политики и правовой среды, и как научные круги, так и промышленность прилагают усилия для решения этой проблемы. ^[4] Двумя общепринятыми и устоявшимися требованиями являются осведомленность пользователей о политике конфиденциальности местоположения в конкретной службе и их согласие на отправку своего личного местоположения поставщику услуг. ^[15] Помимо этих двух подходов, исследователи также сосредоточили внимание на защите рынков приложений, поскольку небезопасный рынок приложений подвергнет неосведомленных пользователей нескольким рискам конфиденциальности. Например, на рынке Android-приложений выявлено множество вредоносных программ, предназначенных для проведения кибератак на Android-устройства. ^[17] Без эффективных и четких руководящих принципов регулирования информации о местоположении это создаст как этические, так и юридические проблемы. Поэтому в последнее время обсуждалось множество рекомендаций по мониторингу использования информации о местоположении.

Европейские рекомендации по защите данных были недавно пересмотрены, чтобы включить и указать конфиденциальность личных данных и личной информации (PII). Эти изменения призваны создать безопасную, но эффективную среду обслуживания. В частности, конфиденциальность местоположения повышается за счет того, что пользователи полностью осведомлены и согласны с информацией о местоположении, которая будет отправлена ​​поставщикам услуг. Еще одно важное изменение заключается в том, что полная ответственность за обработку личной информации пользователей будет возложена на поставщиков услуг. ^[17]

Директива Европейского Союза 95/46/EC о защите физических лиц в отношении обработки персональных данных и о свободном перемещении таких данных определяет, что ограниченная передача данных в страны, не входящие в ЕС, которые имеют «адекватный уровень конфиденциальности» защита». ^[33] Понятие явного согласия также введено в Директиве, в которой говорится, что, за исключением юридических и договорных целей, персональные данные могут обрабатываться только в том случае, если пользователь недвусмысленно дал свое согласие. ^[33]

Директива Европейского Союза 2002/58/EC о конфиденциальности и электронных коммуникациях четко определяет информацию о местоположении, требования к согласию пользователей и требования к корпоративной утилизации, что помогает регулировать и защищать конфиденциальность местонахождения европейских граждан. ^[30] В ситуации, когда данные не могут быть связаны с пользователем, правовые рамки, такие как Директива ЕС, не имеют ограничений на сбор анонимных данных. ^[33]

Закон о конфиденциальности электронных коммуникаций обсуждает правовые рамки защиты конфиденциальности и устанавливает стандарты доступа правоохранительных органов к электронным записям и сообщениям. ^[34] Это также очень важно при решении вопросов электронного наблюдения. ^[35]

GSMA опубликовала новое руководство по конфиденциальности, и некоторые мобильные компании в Европе подписали его и начали внедрять, чтобы пользователи могли лучше понимать информацию, записываемую и анализируемую при использовании услуг, основанных на определении местоположения. Также GSMA рекомендовала компаниям-операторам информировать своих клиентов о людях, имеющих доступ к личной информации пользователей. ^[17]

Несмотря на то, что многие механизмы сохранения конфиденциальности не были интегрированы в широкое использование из-за эффективности, действенности и практичности, некоторые поставщики услуг на основе определения местоположения начали решать проблемы конфиденциальности в своих приложениях. ^[4] Например, Twitter позволяет своим пользователям настраивать точность определения местоположения. ^[4] Места, опубликованные в Glympse, автоматически теряют силу. ^[4] Кроме того, SocialRadar позволяет своим пользователям выбирать анонимность или невидимость при использовании этого приложения. ^[4]

Было заявлено, что Google не соблюдает закон Европейского Союза о конфиденциальности данных, и поэтому все больше внимания уделяется защите руководящих принципов и политик в отношении конфиденциальности данных. ^[17]

Утверждается, что менее чем через неделю после того, как Facebook задействовал функцию «Места», содержание этой информации о местоположении было использовано ворами для вторжения в дом. ^[6]

В этом случае полиция использовала пейджер, чтобы отслеживать автомобиль подозреваемого. Используя только пейджер для отслеживания подозреваемого, полицейские получили ордер на обыск и подтвердили, что подозреваемый производил в фургоне запрещенные наркотики. Подозреваемый пытался скрыть доказательства на основе устройства слежения, использованного в процессе наблюдения, но суд это опроверг. Суд пришел к выводу, что «человек, путешествующий в автомобиле по общественной дороге [ sic ], не имеет разумных оснований рассчитывать на конфиденциальность при передвижении из одного места в другое». ^[36] Тем не менее суд оставил за собой обсуждение вопроса о том, будет ли круглосуточное наблюдение считаться обыском. ^{[35] [36]}

Однако случаи использования GPS и других устройств слежения в этом случае отличаются, поскольку GPS-слежение может осуществляться без взаимодействия с человеком, а звуковой сигнал рассматривается как метод повышения сенсорного восприятия полиции за счет поддержания визуального контакта с подозреваемым. ^[36] Присутствие полиции требуется при использовании пейджеров, но не требуется при использовании GPS для ведения наблюдения. Таким образом, агенты правоохранительных органов должны получить ордер, прежде чем получать информацию о местоположении транспортного средства с помощью устройств GPS-слежения. ^[35]

В данном случае ( https://www.oyez.org/cases/2011/10-1259 ) у полиции был ордер на обыск с целью установки системы глобального позиционирования на машине жены ответчика, тогда как фактическая установка произошла на 11-й день Мэриленд, вместо разрешенного района установки и сверх утвержденных десяти дней. Окружной суд постановил, что данные, записанные на дорогах общего пользования, допустимы, поскольку у ответчика Джонса не было разумных исключений в отношении конфиденциальности на общественных улицах, однако окружной суд округа Колумбия отменил это решение, нарушив Четвертую поправку о необоснованном использовании устройства GPS. ^[37]

• В Джорджа Оруэлла « романе 1984» изображен мир, в котором за каждым наблюдают практически в любое время и в любом месте. ^[8]
• Центр регистрации Brønnøysund ( https://www.brreg.no ) в Норвегии предоставляет бесплатную службу публичного реестра, где люди могут зарегистрироваться и указать, что они не хотят получать телефонные звонки или электронные письма прямого маркетинга или продаж. ^[28]

• Запутывание местоположения
• услуга на основе местоположения
• Криптография с открытым ключом
• Спуфинг-атака
• Отслеживание мобильного телефона
• Повсеместные вычисления
• Маскирующее устройство