Information Flow Control for Privacy-preserving Advertising

Abstract

In online advertising, cross-site tracking enables advertisers to target potential customers by profiling their online behaviors. However, such practice raises privacy concerns because of the sensitivity of the collected user data. To address this issue, there have been proposals for privacy-preserving advertising. However, they allow ad companies to protect user privacy only by sacrificing the utility of the advertising. In this paper, I present a privacy-preserving advertising framework, PAVE, which allows ad companies to sustain the utility and current advertising mechanisms. PAVE provides an arbitrary ad program with an isolated execution environment equipped with a blackbox monitor, called a PAVEBOX, inspired by Secure Multi-Execution (SME). The PAVEBOX intercepts every data flow from the ad program and disallows any data flow that may explicitly or implicitly leak the user data. As the PAVEBOX is built on top of Intel SGX, its integrity can be remotely attested. I carry out the quantitative analysis with prototype-based experiments to show its feasibility.

온라인 광고에서는 사용자별로 맞춤화된 광고를 제공하기 위해 교차 사이트 추적 기법을 이용한다. 교차 사이트 추적은 사용자의 인터넷 활동 기록을 추적하는 방식으로, 이를 통해 사용자의 관심사를 알아낸다. 그러나 이러한 방식으로 수집된 데이터는 사용자의 민감 정보를 별도의 허가없이 수집하기 때문에 프라이버시 침해의 여지가 있다. 이 문제를 해결하기 위해 프라이버시를 보호하는 광고 시스템들이 제기되어 왔다. 그러나, 기존 연구에서는 사용자의 프라이버시를 보호하기 위해 광고의 유틸리티를 저해시킨다. 본 연구에서는, 프라이버시를 보호하는 광고 프레임워크인 PAVE를 제안한다. PAVE는 광고 회사들이 현재 광고의 유틸리티를 유지할 수 있고, Real-Time Bidding(RTB)과 같은 현재 광고 프로토콜을 지원한다. PAVE는 임의의 광고 프로그램에게 PAVEBOX라는 실시간 모니터가 존재하는 격리된 실행 공간을 제공한다. Secure Multi-Execution(SME)으로부터 영감을 받은 PAVEBOX는 모든 데이터 흐름을 가로채고 어떤 데이터 흐름이 사용자 데이터를 유출시킬 여지가 있다면 이를 금지시킨다. PAVEBOX는 Intel SGX로부터 보호받기 때문에 프로그램의 무결성을 원격에서 검증할 수 있다. 본 연구에서는 형식화된 보안 모델을 수립하고, 이를 통해 프라이버시를 형식적으로 증명한다. 또한 프로토타입을 개발하여 실험을 통해 모델의 성능적 타당성을 보여준다.