Privacy protection for location-based services

par Nabil Ajam

Thèse de doctorat en Informatique

Sous la direction de Frédéric Cuppens.

Soutenue en 2010

à Télécom Bretagne en cotutelle avec Rennes 1 , dans le cadre de École doctorale Mathématiques, télécommunications, informatique, signal, systèmes, électronique (Rennes) , en partenariat avec Université de Rennes 1 (autre partenaire) et de Université européenne de Bretagne (autre partenaire) .

  • Titre traduit

    Protection de la vie privée pour les services de localisation


  • Résumé

    Dans cette thèse, nous nous intéressons à l'expression des principes de protection de la vie privée. Nous spécifions ces exigences de vie privée en proposant de les introduire dans les modèles des politiques de sécurité existants. Ainsi, nous suggérons l'application d'un seul modèle pour le contrôle d'accès et la protection de la vie privée. Le modèle de contrôle d'accès doit être étendu par de nouvelles conditions d'accès et de paramètres, à savoir les contextes, constituant les exigences de la vie privée. Pour cela, nous définissons le modèle Privacy-aware Organisation-Based Access Control (PrivOrBAC). L'administration de PrivOrBAC est manifestement différente des modèles d'administration des modèles contrôles d'accès. Nous identifions trois cas à introduire dans le modèle d'administration. Premièrement, à cause de l'attractivité des nouveaux services, les utilisateurs définissent généralement une politique de vie privée trop permissive qui ne correspond pas réellement à leurs préférences. Nous proposons que le contrôleur des données puisse prendre en charge la définition de la politique en se basant sur le contrat de service (SLA) incluant les préférences utilisateurs. Deuxièmement, le modèle d'administration doit prendre en compte la modélisation des interceptions légales. Cet accès est prioritaire vis à vis des préférences utilisateurs. Troisièmement, nous présentons le cas où les deux organisations, le contrôleur de données et les fournisseurs de services, doivent partager l'accès à la même ressource. Grâce au modèle d'interopérabilité O2O, les préférences utilisateurs peuvent être propagées et ainsi respectées par les organisations tierces demandant l'accès. Nous nous sommes focalisés sur les données de localisation qui représentent les données privées à protéger dans notre étude. Nous proposons une architecture prête à être déployer dans les systèmes d'information des services de localisation (LBS). Nous utilisons MotOrBAC, le prototype du modèle OrBAC, pour adapter notre solution au cadre des réseaux cellulaires. Nous avons aussi étendu la passerelle Parlay X par une nouvelle Privacy web service pour permettre un accès sécurisé et respectant la vie privée des fournisseurs de services aux données enregistrées dans les réseaux cellulaires.


  • Résumé

    In this dissertation, we propose the expression and the modelling of the most important principles of privacy. We deduce the relevant privacy requirements that should be integrated in existing security policy models, such as RBAC models. We suggest the application of a unique model for both access control and privacy requirements. Thus, an access control model is to be enriched with new access constraints and parameters, namely the privacy contexts, which should implement the consent and the notification concepts. For this purpose, we introduce the privacy-aware Organisation role Based Access Control (OrBAC) model. The administration of this new model is significantly different from previous models. Three cases are identified. First, the privacy policy may be defined by the data collector but data owners have the possibility to set their preferences through a contracted Service Level Agreement (SLA). Second, the administration model allows legal organisations, for legal purposes, to impose their needs by bypassing user's preferences. Third, we present the case of a privacy policy which is negotiated between the data collector and the requestor based on user's preferences, defined in the SLA. Overall, our proposal is a distributed administration of privacy policies. Focusing on Location Based Services (LBSs), we finally propose a complete privacy framework ready to be deployed in information systems. We use the model prototype to adapt our solution to cellular networks when the requesters are the service providers. This prototype uses parlay gateways with web services. We also extend the set of Parlay X gateway standardised web services by proposing a dedicated privacy web service to enforce privacy protection.

Consulter en bibliothèque

La version de soutenance existe sous forme papier

Informations

  • Détails : 1 vol. (165 p.)
  • Notes : Reproduction autorisée par le jury
  • Annexes : Bibliogr. p. [153]-165

Où se trouve cette thèse ?

  • Bibliothèque : Université de Rennes I. Service commun de la documentation. Section sciences et philosophie.
  • Disponible pour le PEB
  • Cote : TA RENNES 2010/176
  • Bibliothèque : IMT Atlantique campus de Rennes. Documentation.
  • Disponible pour le PEB
  • Cote : 2.28 AJAM
  • Bibliothèque : IMT Atlantique campus de Brest. Bibliothèque d'études.
  • Disponible pour le PEB
  • Cote : 2.28 AJAM
Voir dans le Sudoc, catalogue collectif des bibliothèques de l'enseignement supérieur et de la recherche.