Consiguiendo k-anonimato en servicios consientes en la privacidad basados en localización

Con el rápido desarrollo de los dispositivos móviles y las redes sociales, servicios basados en
localización (LBS) se han vuelto una parte vital en nuestras actividades diarias en los años recientes.
Con smartphones o tablets, los usuarios pueden descargar aplicaciones basadas en la localización
desde la Apple Store o Google Play Store. Con la ayuda de estas aplicaciones, los usuarios pueden
enviar fácilmente preguntas a los servidores LBS y obtener LBSs relacionados a algún punto de
interés. Por ejemplo, usuarios pueden chequear el itinerario del bus, el precio de los restaurantes
cercanos o de las gasolineras, etc.

Al administrar consultas LBS, los usuarios pueden disfrutar la conveniencia provista por LBS. Sin
embargo, desde que los servidores LBS poco confiables tienen toda la información acerca de los
usuarios, tales como dónde están a qué hora, que clase de consultas hacen, que están haciendo,
etc. El servidor puede rastrear usuarios de varias maneras o soltar sus datos personales a terceros.
En consecuencia, necesitamos poner más atención a la privacidad del usuario.

Para señalar el problema de la privacidad, muchas enfoques han sido propuestos en la literatura en
los recientes años. La mayor parte de ellos están basados en perturbación de la localización y la
ofuscación, los cuales emplean métricas bien conocidas tales como k-anonimato y confía en un
servidor de terceros. Para alcanzar el k-anonimato, una solicitud LBS es presentada al servidor LBS
mediante un anonimizador de locaciones centralizado, lo cual amplía la localización consultada en
una región de encubrimiento más grande, cubriendo varios otros usuarios geográficamente. Como
resultado, es difícil para el servidor LBS extraño el distinguir la localización real del usuario de las
otras k-1 localizaciones falsas. Sin embargo, esos enfoques sobre usar k-anonimidad tienen algunas
limitaciones. Primero, confía fuertemente en el anonimizador de localizaciones, el cual sufre de un
único punto de fallo. Si el adversario gana control de este, la privacidad de todos los usuarios se verá
comprometida. Además existe un cuello de botella en el desempeño, debido a que todas las
consultas realizadas tienen que ir a través del anonimizador de localizaciones. Segundo, a pesar de
que las localizaciones falsas pueden ser usadas para alcanzar el k-anonimato, el cómo se selecciona
estas localizaciones es un desafío. La mayoría de los enfoques existentes asumen que el adversario
no tiene información complementaria, tal como la probabilidad de las consultas relacionadas a la
localización y el tiempo, y la información relacionada a la semántica de la consulta, como podría ser
el género y el estado social del usuario, y entonces las localizaciones falsas son generadas basado
en un modelo de caminata aleatorio, o un modelo circular/de grilla. Ya que algunos adversarios
pueden tener información complementaria como esa, esos algoritmos de generaciones falsas
pueden no trabajar bien. Por ejemplo, algunas selecciones falsas elegidas puedes caer en algunas
localizaciones como lagos, pantanos y montañas escarpadas, y pueden ser fácilmente filtradas por
el adversario. Así, es difícil garantizar efectivamente el k-anonimato deseado.
En este artículo, diseñamos los algoritmos de selección de localizaciones falsas (DLS) para lograr el
k-anonimato para los usuarios en el LBS. Diferente de los enfoques existentes, DLS selecciona
cuidadosamente localizaciones falsas considerando que información complementaria podría ser
explotada por los adversarios. Primero escogemos esas localizaciones falsas basada en la entropía
métrica, y entonces mejoramos el algoritmo, llamado DLS mejorado, al asegurarnos que las
localizaciones falsas están esparcidas muy lejos. Las mayores contribuciones técnicas de este
artículo son las siguientes:

- Para proteger la privacidad de la localización del usuario contra el adversario con

información complementaria, diseñamos un algoritmo DLS basado en entropía para
alcanzar el k-anonimato al escoger cuidadosamente las localizaciones falsas.
- Proponemos un algoritmo DLS mejorado, el cual considera ambos, entropía y CR para
mantener la entropía mientras asegura que las localizaciones falsas seleccionadas estén tan
dispersas como sea posible.
- Presentamos una solución basada en un Access Point WiFi para implementar nuestra idea.
Resultados analíticos y de simulación muestran que nuestros algoritmos pueden alcanzar
nuestros objetivos eficientemente.

El resto del artículo está organizado de la siguiente manera. Discutimos el trabajo relacionado en la
sección II. La sección III presenta algunos preliminares de este artículo. Presentamos el algoritmo
DLS y DLS mejorado en la sección IV, junto con algún análisis de seguridad y una solución práctica
para implementar nuestro trabajo. La sección V muestra los resultados de la evaluación. Concluimos
el artículo en la sección VI.

II. Trabajo relacionado

Los problemas de privacidad en las redes sociales móviles han sido bien estudiados en la literatura
(ej., privacy in LBSs, privacy in mobile sensing, etc.). En esta sección, revisamos algo de investigación
existente en problemas de privacidad en usuarios por LBSs.

A. Métricas para privacidad de localización

Desde que una ubicación siempre puede ser especificada como una única coordenada, para
cuantificar la privacidad de la ubicación, deberíamos encontrar cuán preciso un adversario podría
inferir acerca de esta coordenada. Basado en este principio, varias métricas de privacidad de
ubicaciones han sido propuestas. La mayoría de las métricas existentes son basadas en el incierto.
Gruteser propuso medir la habilidad del adversario para diferenciar al usuario real de los otros
dentro del conjunto de anonimato. La habilidad del adversario para juntar dos seudónimos de un
usuario particular o distinguir los caminos por los que el usuario puede viajar ha sido investigada en
[2] y [17] respectivamente. Por consiguiente, un parámetro sencillo para determinar el grado de
privacidad es el tamaño del conjunto de anonimato, por ejemplo, k-anonimidad (o variaciones, tales
como l-adversario y t-proximidad), los cuales tratan de ocultar la información real de un usuario
dentro de otros k-1 usuarios. Basado en este modelo, una serie de trabajos de seguimiento aparece,
por ejemplo [8], [18]. Recientemente, como una buena medición para la incertidumbre de la
privacidad de ubicación, las métricas basadas en entropía han sido adoptadas. Algunas otras
métricas están basadas en el error de estimación del adversario para cuantificar la privacidad de
ubicación. Sin embargo, en nuestro trabajo, no introducimos ningún error de ubicación tanto en la
ubicación real como en las ubicaciones falsas. Así, escogemos métricas basadas en entropía para
cuantificar la privacidad de la ubicación.

B. Protegiendo la privacidad de ubicación

Proteger la privacidad de ubicación del usuario en los LBSs ha recibido una atención considerable
en los años recientes. Entre ellos Mecanismos de Protección de la Privacidad de la Ubicación,
perturbación de la ubicación y ofuscación han sido ampliamente usados. Esto protege la privacidad
de ubicación a través de pseudónimos, perturbación, añadir ubicaciones falsas y reducir la precisión.
En trabajos recientes, Gruteser introdujo k-anonymity en la privacidad de ubicación, lo cual protege
la privacidad al esconder la ubicación del usuario del servidor LBS. Después CliqueCloack fue
propuesto como un modelo k-anonymity personaizado en el cual los usuarios pueden ajustar su
nivel de anonimidad. Desafortunadamente, la mayor parte de esos trabajos aún confían en un
anonimizador de ubicación para alargar la ubicación consultada en una región de encubrimiento
más grande, y