设计和实现社交网络应用程序中的隐私控制（2）示例应用程序

look_w

示例应用程序应用程序概览图 1. 欢迎页面图 1 显示了一个名叫 “Friend Bridge” 的社交网络应用程序，它提供扩展用户社交圈的服务。图中显示的是用户 Bob，他将通讯记录上传给系统。当他登录到系统后，从通讯记录取得的直接朋友的名单将会显示出来。        
现在 Bob 可以通过单击一个单选按钮来选取一个朋友，然后单击 Find friends of someone 来找到更多朋友。        
图 2. 无隐私控制的查找结果图 2 中，Bob 已找到 Bacon 的三个朋友：Daisy、Ellis 和 Gilbert，并且邮箱地址也显示了出来。他可以与这些人进行联系，扩展社交圈。        
信息分类该应用程序十分简洁明了。它通过显示用户的直接朋友的朋友来扩展用户的社交圈。我将解释应用程序是如何运行的，以及这些场景背后的隐私问题。        
在此应用程序中，系统首先向找到的用户发送 opt-in 请求通知，请他们上传通讯数据。当其中一些用户上传通讯数据后，通过处理这些数据并将其存储在以用户的邮箱命名的文本文件中生成直接朋友关系。清单 1 显示的是用户 Bob 的示例数据。        
清单 1. bob@friendbridge.com.txt

1 2	bob@friendbridge.com    Bob US  field@friendbridge.com,bacon@friendbridge.com, james@friendbridge.com

在这个特殊示例中，Bob 上传了他的通讯数据，其他贡献者也会照此操作。系统会处理并分析通讯数据以生成存储用户关系的通讯配置文件。清单 1 就是存储在文件系统中的 Bob 的通讯配置文件。        
通讯配置文件根据选项卡分为四部分。第一列是文件所有者的邮箱地址，第二列是姓名。Bob 所在的国家的名称显示在第三列，第四列是邮箱地址列表。这些是与配置文件的所有者直接通讯的人员的邮箱地址。        
朋友关系（friend relationship）文件的内容被划分为私密信息，因为这是由属于私密数据的通讯记录生成的。
分析安全需要并设置角色模型（定义用户类型）正如我在前面的小节提到的，不是由管理员来定义显示哪些人的信息、什么样的信息，而是将选择权交给用户自己。这种方法不仅减轻了管理员定义各种隐私策略的繁重负担，同时提供了更好的用户体验。        
用户通过回复系统的 opt-in 通知来决定其信息使用哪种隐私策略。在示例系统中，用户有三个选择：

• 用户可以选择不在任何查询结果中显示（完全拒绝）。
• 用户可以选择在直接朋友列表中显示，在间接朋友查询中不显示（部分拒绝）。
• 用户可以选择在直接朋友列表和间接朋友查询中都显示（完全支持）。

根据这些可能的选择，该例中我们将用户分为四种类型：

• 无动作用户 — 用户未回复 opt-in 通知。
• Opt-in 用户 — 用户选择进入，但不想上传个人通讯数据。
• 贡献者 — 用户同意选择进入并向系统上传了个人通讯数据。
•   Opt-out 用户 — 用户在任何情况下都不希望系统引用其数据。