Anonymity for Users of Mobile Devices through Location Addressing

Anonymität für Benutzer mobiler Geräte durch Ortsadressierung

Alf Zugenmaier

Kurzübersicht

Sacrificing privacy is a heavy price to pay for the advantages of mobile communication but today’s growing number of users on the move are left no alternative. Existing mechanisms for providing the anonymity essential to privacy protection fail to meet the demands of mobile use. Alf Zugenmaier takes us the first mile in bridging this gap. His conceptual model, the „Freiburg privacy diamond“, systematically identifies the characteristic features of mobility. He then uses it to deduce „location addressing“, an innovative anonymizing mechanism which places the users’ mobility at the core of the solution. Highly recommended reading for lecturers, students and ICT professionals who wish to consider privacy aspects in their work.
ISBN: 978-3-930894-96-3
Veröffentlicht: 2003, 1. Auflage. Auflage, Einband: Broschur, Seiten 168, Format DIN A5, Gewicht 0.26 kg
Lieferzeit: 7 Werktage
Verfügbarkeit: Auf Lager
22,30 €

Anonymity for Users of Mobile Devices through Location Addressing

Mehr Ansichten

Details

Alf Zugenmaier

Anonymity for Users of Mobile Devices through Location Addressing

(Anonymität für Benutzer mobiler Geräte durch Ortsadressierung)


168 Seiten, Sprache: Englisch, 1. Auflage, Einband: Broschur, Format DIN A5, Gewicht 0.26 kg, Preis: 22,30 Euro, ISBN: 978-3-930894-96-3, Rhombos-Verlag, Berlin 2003

Zugleich
Dissertation zur Erlangung des Doktorgrades der Fakultät für Angewandte Wissenschaften der Albert-Ludwigs-Universität Freiburg im Breisgau
Betreuer: Prof. Dr. Günter Müller
Erstreferent:  Prof. Dr. Günter Müller, Universität Freiburg
Zweitreferent:  Prof. Dr. David Basin, Eidgenössische Technische Hochschule Zürich
Datum der Disputation: 5. Februar 2003

Sacrificing privacy is a heavy price to pay for the advantages of mobile communication but today’s growing number of users on the move are left no alternative. Existing mechanisms for providing the anonymity essential to privacy protection fail to meet the demands of mobile use.
Alf Zugenmaier takes us the first mile in bridging this gap. His conceptual model, the „Freiburg privacy diamond“, systematically identifies the characteristic features of mobility. He then uses it to deduce „location addressing“, an innovative anonymizing mechanism which places the users’ mobility at the core of the solution.
Highly recommended reading for lecturers, students and ICT professionals who wish to consider privacy aspects in their work.
Introduction (english) >>>


In Zusammenhang mit dem elektronischen Handel, dem E-Commerce, hat sich gezeigt, dass persönliche Daten zunehmend auch zu einem handelbaren Gut werden. Um den Handel mit diesen Daten auch einem Endkunden in einer E-Commerce Transaktion zu ermöglichen, muss er1 von Anfang an dafür sorgen, dass er seine Daten nicht ohne Gegenleistung preisgibt. Zu Beginn einer Transaktion muss er also anonym sein. Für einen Kunden, der von seinem PC aus am E-Commerce teilnimmt, existieren verschiedene Mechanismen, um Anonymität zu erreichen. Aufgrund der zunehmenden Verbreitung von mobilen persönlichen Geräten, die auch für den E-Commerce eingesetzt werden können, stellt sich die Frage, ob Anonymität auch für Benutzer dieser mobilen Endgeräte gewährleistet werden kann. Im ersten Teil der Arbeit werden Kriterien abgeleitet, die ein Anonymitätsmechanismus erfüllen muss, um den Anforderungen eines mobilen Einsatzes gerecht zu werden. Es wird gezeigt, dass die existierenden Anonymitätsmechanismen diese Kriterien nicht erfüllen, also für den mobilen Einsatz nicht geeignet sind. Die Mobilität wurde im Design dieser Mechanismen nicht berücksichtigt.
Im zweiten Teil der Arbeit wird ein Angreifermodell vorgestellt, in dem der spezielle Aspekt der Mobilität in den Vordergrund gerückt wird, nämlich die Trennung von Gerät, mit dem eine Aktion durchgeführt wird, Benutzer, der sie ausführt und Ort, von dem aus diese Aktion ausgeführt wird. Ausgehend von dieser Trennung werden Möglichkeiten aufgezeigt, mit denen ein Angreifer dieIdentität des Nutzers aufdecken kann. Aus diesem Modell werden Klassen möglicher Anonymisierungsmechanismen abgeleitet. Eine dieser Klassen ist für den mobilen Einsatz besonders gut geeignet, da sie sowohl die Nutzung eines persönlichen Gerätes zulässt, als auch im Netzwerk Optimierungen abhängig vom aktuellen Aufenthaltsort erlaubt.
Im dritten Teil dieser Arbeit wird ein Mechanismus entwickelt, der dieser Klasse zuzuordnen ist. In diesem Mechanismus, Ortsadressierung genannt, wird ausgenutzt, dass durch die Mobilität des Benutzers sowohl die Beziehung zwischen Ort und Benutzer als auch die zwischen Ort und Gerät nicht fix ist. Wenn sich aus dem Ort, an dem sich der Benutzer mit seinem Endgerät befindet, keine Rückschlüsse auf die Identität des Nutzers ziehen lassen, darf der Ort, an dem die Aktion durchgeführt wurde, dem Angreifer bekannt werden. Die Merkmale, die das Gerät oder den Nutzer identifizieren, müssen jedoch weiterhin verdeckt werden. Da es bereits Mechanismen gibt, mit denen ein Nutzer sicherstellen kann, dass er keine persönlich identifizierenden Merkmale in einer Aktion verrät, muss der Mechanismus der Ortsadressierung darüberhinaus nur noch dafür sorgen, dass das Gerät keine das Gerät selber identifizierenden Merkmale herausgibt. Einen solchen Mechanismus kann man auf der Basis von existierenden Kommunikationsprotokollen mit folgender Methodik aufbauen: Die einzelnen Kommunikationsprotokolle auf allen Schichten des Protokollstapels werden untersucht, in wie fern sie identifizierende Merkmale preisgeben. Diese werden dann geblendet, also so weit wie möglich durch zufällige Werte ersetzt. Das wichtigste identifizierende Merkmal ist die Adresse des Gerätes. Eine Adresse wird benötigt, um eine Nachricht an den richtigen Ort zu bringen. Daher kann die Geräteadresse nicht vollständig zufällig sein. Die Adresse des Gerätes wird aus dem Ort, an dem es sich gerade befindet, abgeleitet. Dem Netzwerk wird somit die Möglichkeit gegeben, das Routing zu optimieren. Desweiteren wird die Adresse oft auch zur Zuordnung von Nachrichten zu einer Verbindung verwendet. Deswegen muss die Adresse, die für Nachrichten im Zusammenhang mit einer Verbindung eingesetzt wird, für die Dauer dieser Verbindung konstant sein. Das Design einer Implementierung, genannt Freiburg Location Addressing SCHEme (FLASCHE), wird vorgestellt, basierend auf einem Endgerät mit dem Betriebssystem UNIX, einer Funkschnittstelle nach IEEE 802.11b, einem TCP/ IP Protokollstapel mit IPv6-Unterstützung und einem Web-Browser.
Im vierten Teil der Arbeit wird verifiziert, dass der so entworfene Mechanismus tatsächlich den Kriterien, die im ersten Teil der Arbeit aufgestellt wurden, entspricht. Zudem werden mögliche Angriffe auf den Mechanismus untersucht und bewertet.
Ein Beitrag dieser Arbeit ist das Angreifermodell, mit dem sich einerseits Anonymitätsmechanismen untersuchen lassen, das sich andererseits auch konstruktiv zum Entwurf neuer Anonymitätsmechanismen eingesetzen lässt. Ein weiterer Beitrag ist die Entwurfsmethodik, die für das Design von FLASCHE angewandt wurde, und die es darüber hinaus ermöglicht, den Anonymitätsmechanismus „Ortsadressierung“ auch auf anderen Kommunikationstechnologien aufzubauen.

 

Introduction
Security, a key factor for the acceptance of new technologies, accompanies technology, due to the fact that new technologies entail new threats, as well as new possibilities. Most of the threats arising from the use of information and communication technologies are related to the privacy of the users of these technologies. In the early years of computing, protection of the privacy of users could be regulated by data protection legislation based on a central data processing model. The emergence of the Internet and the increasing networking of computers and corporations raised security questions that were solved by mapping the new topologies onto the old ones: firewalls separate the outside from the inside, areas with sensitive information are protected against access from other networks. In order to benefit from networking, authorized access has to be allowed. The authentication of authorized users can be ensured, e.g., by a public key infrastructure.
These mechanisms, firewalls [ChBe1994] and public key infrastructures [ITU2000], reach their limit with the current trend towards wireless networks, spontaneous and ad hoc networking, miniaturized devices and seemingly ubiquitous computing. Information is processed on mobile devices in constantly changing networks. New devices may join the network, others may leave, changing the environment and the available services. If a network can be reached via its radio interface a device may join this network at any time. The primary operators and users in a network may not be interested in protecting security, in particular protecting the privacy of the user of an additional device. In view of this changing environment it is necessary to look at existing security mechanisms and see whether they are suitable for the new environment as well.
The concept of multilateral security [RaPfMü1997],[RaPfMü1999] recognizes this problem and offers all involved participants a means of expressing their respective protection goals. A main protection goal defined in multilateral security which is related to the privacy of the user is anonymity. This complies with the essential goal of a user not to be identifiable in certain situations. Anonymity becomes important in the digital economy as soon as personal identification information is viewed as a negotiable value. A basis for negotiation regarding the controlled release of this information can only be achieved if anonymity is provided. It is then possible to reveal the identity stepwise as the negotiation proceeds. In this sense, anonymity is not a protection goal that has to be achieved all the time and under all possible circumstances. It can be seen as a protection goal that is required at the start of the communication.
A number of mechanisms may ensure anonymity, however, they either require an anonymizing infrastructure like “mix” networks [Chaum1981], “Crowds” [ReRu1998], and “onion routing” [GoReSy1996] or they require a lot of resources like “DC-networks” [Chaum1988] which demand continuous activity on the part of all participants. For a mobile user with a mobile device, these resources may not be available and the anonymizing infrastructure may not be accessible. A different approach to anonymizing is proposed in this thesis.

1.1 Thesis Statement
A new approach to providing anonymity for the communication of users with mobile devices is required. In this thesis, the property of a mobile user to be at different locations which cannot be attributed to the user is exploited to anonymize the user. Of course, for this mechanism to work, all information identifying the mobile device or the user must be anonymized. Addresses often include information identifying a device, which could be used to discover the identity of the user. To remove this information, addressing of the device is done only through the location of the user. This thesis asserts that location addressing provides a way to achieve anonymity for a mobile user. It describes a design method and the design of an instance of a communication system for mobile users employing location addressing. The concept and the design are derived from an explicit attacker model, the Freiburg privacy diamond, which has been developed in the course of this thesis.

1.2 Thesis Assumptions
Mobile users use services in the local environment as clients. If users have to, or wish to, identify themselves they may choose to do so. Users are considered mobile if they are outside of their home or office environment. An example of a situation where these assumptions apply is that of a user at a train station checking time tables. This example does not require the user to surrender privacy by identifying himself. A user acessing the system from home will be identifiable by his or her location or at least the number of people coming into question will be reduced to the number of people staying there. Therefore, a violation of these assumptions yields reduced or no anonymity at all. The group of people which the user can use to conceal his identity is significantly reduced.

1.3 Thesis Organization
The next chapter deals with mobile applications and deduces demands these applications make on the communication system they use. It describes existing communication systems which can be used for these mobile applications. Subsequently, the concept of multilateral security and, in greater detail, the protection goal of anonymity are introduced. Existing security mechanisms for achieving anonymity are described and their inadequacies for use with mobile applications are illustrated..
Security mechanisms attempt to enforce a protection goal in the presence of an attacker. The third chapter presents the attacker model used in this thesis to describe the capabilities of an attacker. The Freiburg privacy diamond is developed at this point. It is a model for describing the knowledge an observer, the attacker, has about the user who wishes to remain anonymous. The privacy diamond represents the attacker’s knowledge as relations and can be extended to incorporate probabilities. The approach of probabilistic logic used for this extension originates in expert systems and artificial intelligence [Nilsson1986]. Some of the anonymizing techniques described in Chapter Two are evaluated using the privacy diamond, to show that this model can be applied to anonymizing techniques. In Chapter Four, the Freiburg privacy diamond is used to classify possible anonymizing systems. The concept of location addressing is described. It shows how this anonymity mechanism can be integrated, both in networks which have an infrastructure and networks which lack one. A method is presented which illustrates how this mechanism can be integrated into existing communication systems by introducing minor modifications on the client side only. FLASCHE (Freiburg location addressing scheme), an implementation design for a network with an infrastructure, is proposed.

Chapter Five evaluates FLASCHE with respect to achievable anonymity. The Freiburg privacy diamond is used to assess the possibilities for an attacker to link several transactions and, ultimately, to link these to the identity of the user. The interoperability of FLASCHE with other security mechanisms is assessed at a conceptual level and at the implementation design level. Evidence is given that FLASCHE does, in fact, fulfil the requirements for an anonymizing technique for use with mobile devices which are cited in Chapter Two. The last chapter summarizes the contributions made by this thesis and discusses areas for further research.

Table of Contents

1        Introduction    1
1.1    Thesis Statement    2
1.2    Thesis Assumptions.    3
1.3    Thesis Organization    3


2    Anonymity in Mobile Communication Systems    5
2.1    Mobility    6
2.1.1    Dimensions of Mobility     6
2.1.2    Requirements of Mobility on the Communication System7 2.2  Mobile Communication Systems    10
2.3    Security    14
2.4    Anonymity    18
2.4.1    Definition of Anonymity      18
2.4.2    Strength of Anonymity    20
2.4.3    Anonymity Mechanisms    21
2.4.4    Evaluating Anonymity Mechanisms for Mobile Users ...24 2.5  Conclusion    27

3       The Attacker Model    29
3.1    Sources of Information for an Attacker    30
3.1.1    Position of the Attacker within the Network    30
3.1.2    Position of the Attacker within the Protocol Stack    31
3.2    The Privacy Diamond    32
3.2.1    Model Assumptions    33
3.2.2    Semantics for the Privacy Diamond    34
3.3    The Privacy Diamond using Relations    35
3.3.1    Formulation of the Attacker Model.    35
3.3.2    Examples of the Attacker Model.    37
3.4    Attacks with Context Information    40
3.4.1    Recognition Attack    40
3.4.2    Linking Attack    42
3.4.3    Intersection Attack    43
3.5    A Probabilistic Attacker Model    45
3.5.1    Formulation of the Probabilistic Attacker Model    45
3.5.2    Examples for the Probabilistic Model    47
3.6    Conclusions    50

4    FLASCHE    53
4.1    Anonymity Mechanisms in the Freiburg Privacy Diamond    54
4.2    Location Addressing    57
4.3    Location Addresses    58
4.3.1    Location    59
4.3.2    Random Part    60
4.3.3    Use with Connectionless Services    61
4.3.4    Use with Connection Oriented Services    62
4.4    Method for Introduction of Location Addressing    63
4.5    Design Choices    63
4.6    Network Configurations    64
4.6.1    Location in Networks with Infrastructure    64
4.6.2    Location in Networks without an Infrastructure    65
4.7    Modification of Network Layers    67
4.7.1    Physical Layer    67
4.7.2    Data Link Layer    68
4.7.3    Network Layer    72
4.7.4    Transport Layer    80
4.7.5    Application Layer.    82
4.7.6    Reference Scenario.    84
 
4.8    Phases of Operation    91
4.9    Architecture    92
4.10    Conclusions    97


5 Evaluating FLASCHE    99
5.1    Possible Attacks on FLASCHE    99
5.2    Accordance with Multilateral Security    104
5.3    Suitability for Mobile Use    106
5.4    Interoperability of FLASCHE with Encryption    112
5.4.1    WEP    112
5.4.2    IPSec    113
5.4.3    HTTPS    114
5.5    Networking Challenges    115
5.5.1    Awkward Hardware    115
5.5.2    Working with IPv4    116
5.5.3    Roaming    116
5.6  Conclusions    117

6       Conclusion    119
6.1    Contributions    120
6.2    Outlook    120
6.3    Areas for Further Research    121
References    123
Acronyms    141
List of Tables    145
List of Figures    147
Index    149

Zusatzinformation

Gewicht 0.2550
Lieferzeit 7 Werktage