大型公司如何实施隐私和用户访问控制

时间:2021-01-31 19:20:25

标签: security design-patterns implementation privacy

Facebook 和 Google 等公司如何大规模实施隐私控制?例如,Facebook 有一个选择的受众类型,其中包括公共、朋友、“朋友除外……”、只有我、特定朋友,甚至自定义。从实施和设计的角度来看,这些公司如何处理?他们是否定义了规则库访问控制,他们是否在这些功能中手动编码,他们是否有他们使用的隐私模型,还是混合方法?如果有人有公开可用的设计文档、会议链接、白皮书甚至研究论文的链接,请随时分享。每次我尝试搜索“X”公司如何进行隐私控制时,我都会得到有关隐私或访问控制的“业务”讨论,因为它与数据中心相关,这不是我要找的。

1 个答案:

答案 0 :(得分:0)

在 Google 的 this 专利中,他们描述了一个“用户隐私框架”,可以完成您提到的所有事情。

它使用一个数据库来存储每个用户的规则和隐私级别。 授权服务器管理此数据库并评估对用户数据的请求。

如果用户 A 想要访问用户 B 的数据,授权服务器会检查该请求是否被允许或违反规则或隐私级别。 然后请求被回答或拒绝。

从专利中看到这个流程图: Flow chart(抱歉,我还不能发布图片)

那么什么是隐私级别和隐私规则?

Rules 是用户请求其他用户信息时需要满足的条件。我在专利中找不到示例,但我怀疑规则可能类似于“用户 A 是否被用户 B 阻止?”。

隐私级别似乎比规则更通用。例如,如果没有规则禁止,“半公开”级别允许另一个用户访问所请求的信息。 “私有”级别允许将信息存储在授权服务器上,但禁止其他用户访问它。 “禁止访问”级别甚至禁止将信息存储在授权服务器上。

显然我不知道他们是否真的大规模使用它。但这当然是一种可能的实现,对我来说,用数据库和规则集来做这件事似乎是合理的。 希望这可以帮助。也许您会发现更多描述类似框架的专利。

相关问题