Data degradation to enhance privacy for the Ambient Intelligence

Increasing research in ubiquitous computing techniques towards the development of an Ambient Intelligence raises issues regarding privacy. To gain the required data needed to enable application in this Ambient Intelligence to offer smart services to users, sensors will monitor users' behavior to fill personal context histories. Those context histories will be stored on database/information systems which we consider as honest: they can be trusted now, but might be subject to attacks in the future. Making this assumption implies that protecting context histories by means of access control might be not enough. To reduce the impact of possible attacks, we propose to use limited retention techniques. In our approach, we present applications a degraded set of data with a retention delay attached to it which matches both application requirements and users privacy wishes. Data degradation can be twofold: the accuracy of context data can be lowered such that the less privacy sensitive parts are retained, and context data can be transformed such that only particular abilities for application remain available. Retention periods can be specified to trigger irreversible removal of the context data from the system

Exploring personalized life cycle policies

Ambient Intelligence imposes many challenges in protecting people's privacy. Storing privacy-sensitive data permanently will inevitably result in privacy violations. Limited retention techniques might prove useful in order to limit the risks of unwanted and irreversible disclosure of privacy-sensitive data. To overcome the rigidness of simple limited retention policies, Life-Cycle policies more precisely describe when and how data could be first degraded and finally be destroyed. This allows users themselves to determine an adequate compromise between privacy and data retention. However, implementing and enforcing these policies is a difficult problem. Traditional databases are not designed or optimized for deleting data. In this report, we recall the formerly introduced life cycle policy model and the already developed techniques for handling a single collective policy for all data in a relational database management system. We identify the problems raised by loosening this single policy constraint and propose preliminary techniques for concurrently handling multiple policies in one data store. The main technical consequence for the storage structure is, that when allowing multiple policies, the degradation order of tuples will not always be equal to the insert order anymore. Apart from the technical aspects, we show that personalizing the policies introduces some inference breaches which have to be further investigated. To make such an investigation possible, we introduce a metric for privacy, which enables the possibility to compare the provided amount of privacy with the amount of privacy required by the policy

Privacy-aware data management by means of data degradation -making private data less sensitive over time

Dienstverleners verzamelen steeds meer privacygevoelige gegevens, ondanks het feit dat het moeilijk is om deze gegevens te beschermen tegen krakers, zwak privacybeleid, nalatigheid, en kwaadwillende gegevensbeheerders. In dit proefschrift nemen we de positie in dat het eindeloos bewaren van privacygevoelige gegevens onvermijdelijk zal leiden tot het op straat komen te liggen van deze gegevens. Door het beperken van de opslagperiode kan de privacyschending bij dergelijke gevallen ook beperkt worden. Vaak wordt er een lange opslagperiode gehanteerd in het voordeel van de dienstverlener. Wij modelleren het belang van zowel de dienstverlener als de gebruiker op een abstracte, kwalitatieve manier; met een dergelijk model is het mogelijk een opslagperiode te bepalen die optimaal is voor het belang van zowel de dienstverlener als de gebruiker. Door gegevens ineens volledig te verwijderen gaat ook elk mogelijk nut van de gegevens verloren. Door de gegevens langzaam te vervagen, wordt het mogelijk om een betere afweging te maken tussen het belang van dienstverleners en gebruikers. Bij elke vervagingsstap neemt de nauwkeurigheid van een gegeven af; wij nemen aan dat gegevens met een lagere nauwkeurigheid nog steeds bruikbaar zijn voor dienstverleners, maar ook minder privacygevoelig, zodat een langere opslagperiode acceptabel is. Het vervagen van gegevens heeft invloed op de manier hoe gegevens intern technisch opgeslagen worden, het gebruik van indices, transactiebeheer, en logmechanismen. Om aan te tonen dat het vervagen van gegevens practisch doenlijk is, beschrijven we verschillende technieken om gegevensvervaging te implementeren. Dit komt hoofdzakelijk neer op het gesorteerd houden van gegevens op het tijdstip van vervaging, en het gebruik van encryptiemethoden. Onze technieken worden onderbouwd door een prototype en een theoretische analyse. Daarnaast verkennen we verschillende modellen die voortborduren op het concept gegevensvervaging. Dit leidt tot verschillende perspectieven van waaruit het vervagen van gegevens in de toekomst verder ingezet kan worden

De databasearchitectuur van Panradio -een zelflerende gedistribueerde muziekspeler-

Panradio is een systeem waarbij een gebruiker muziek voorgeschoteld krijgt die past bij zijn smaak. Het systeem is zelflerend, zodat het smaakprofiel van de gebruiker met het verloop van de tijd steeds beter wordt. Het systeem is gedistribueerd: de muziek wordt gehaald van de computers van alle gebruikers van Panradio. Dit artikel beschrijft voornamelijk de architectuur, met bijzondere aandacht voor de systeemprestaties: het aantal gebruikers dat het systeem aan kan. Er wordt een model opgesteld dat de systeemprestaties beschrijft en kritische factoren aangeeft. Door uitgebreide tests zijn benaderingen van functies in het model gevonden, en optimalisaties geidentificeerd