[发明专利]在网络计算环境中构建数据安全性的方法和系统

说明书

技术领域

总体上，本发明的实施例涉及数据安全性。更特别地，本发明涉及在网络计算环境（例如，共享云计算基础架构）中构建数据安全性。 

背景技术

网络计算环境（例如，云计算环境）是对上一代网格环境的增强，由此可通过一个或更多附加抽象层（例如，云层）进一步增强多个网格和其它计算资源，从而使不同设备对终端用户呈现为单个无缝资源池。这些资源可包含诸如物理或逻辑计算引擎、服务器和设备、设备存储器、储存器件等的事物。 

在常规的共享云数据基础架构中，用于多租户/客户数据分隔的工具处于单租户/客户关注水平，其中用于表行的接入控制是以用户为基础的。而且，对相关列的隐藏或显示数据的控制是以每个策略为基础确定的。这样，在识别多租户/客户需求、定义他们以及以自动方式将不同的约束插入到各种私人切片（shard）/分区组中的能力方面存在间隙。然而，仍然难以通过每租户/客户或分区组特定的安全约束在共享基础架构中设置多租户/客户数据的手动分隔。需要高技术数据库管理员（DBA）重复地跨越各种云基础架构设置这种分隔。这种方法会是高成本且低效率的。 

发明内容

总体上，本发明的实施例提供一种用于在共享云基础架构中提供多租户/客户分区组分隔器和安全器的方法（例如，作为对 基于标签的接入控制（LBAC）的扩展，和/或作为独立工具）。除了别 的之外，本发明的实施例为云管理员提供易于使用的可定制、可配置的安全约束构建器/工具，其具有内建的能实现多租户/客户的安全模型。此外，本发明的实施例使云管理员能够用租户/客户自身的安全约束来设立、配置和管理租户/客户和他们的私人切片。该工具的输出大大地减少了用于在共享云基础架构中为多租户/客户产生不可见（例如，软件）分隔墙的时间。 

本发明的第一方面提供一种用于在网络计算环境中构建数据安全性的计算机实施的方法，该方法包括：将网络计算环境的共享数据源分割成与一组客户相关的一组私人分区；从该组客户中的客户接收对共享数据源的连接请求，该连接请求具有与该客户相关联的密钥；响应于密钥的验证，产生用于该客户的信任隔间（compartment）；从该客户接收数据请求并利用敏感度索引验证该数据请求的有效性；使用与该客户对应的私人分区和缓冲池帧（buffer pool frame）来处理该数据请求；以及根据处理在与该客户对应的日志中产生条目。 

本发明的第二方面提供一种用于在网络计算环境中构建数据安全性的系统，该系统包括：包含指令的存储介质；与存储介质耦接的总线；以及耦接到总线的处理器，当执行该指令时，该处理器使该系统：将网络计算环境的共享数据源分割成与一组客户相关的一组私人分区；从该组客户中的客户接收对共享数据源的连接请求，该连接请求具有与该客户相关联的密钥；响应于密钥的验证，产生用于该客户的信任隔间；从该客户接收数据请求并利用敏感度索引验证该数据请求的有效性；使用与该客户对应的私人分区和缓冲池帧来处理该数据请求；以及根据处理在与该客户对应的日志中产生条目。 

本发明的第三方面提供一种用于在网络计算环境中构建数据安全性的计算机程序产品，该计算机程序产品包括计算机可读存储介质和存储于该计算机可读存储介质上的程序指令，该程序指令用于：将网络计算环境的共享数据源分割成与一组客户相关的一组私人分区；从该组客户中的客户接收对共享数据源的连接请求，该连接请求具有与该客户相关联的密钥；响应于密钥的验证，产生用于该客户的信任隔 间；从该客户接收数据请求并利用敏感度索引验证该数据请求的有效性；使用与该客户对应的私人分区和缓冲池帧来处理该数据请求；以及根据处理在与该客户对应的日志中产生条目。 

本发明的第四方面提供一种部署用于在网络计算环境中构建数据安全性的系统的方法：提供计算机基础架构，其能操作来：将网络计算环境的共享数据源分割成与一组客户相关的一组私人分区；从该组客户中的客户接收对共享数据源的连接请求，该连接请求具有与该客户相关联的密钥；响应于密钥的验证，产生用于该客户的信任隔间；从该客户接收数据请求并利用敏感度索引验证该数据请求的有效性；使用与该客户对应的私人分区和缓冲池帧来处理该数据请求；以及根据处理在与该客户对应的日志中产生条目。 

附图说明

通过结合附图对本公开示例性实施方式进行更详细的描述，本公开的上述以及其它目的、特征和优势将变得更加明显，其中，在本公开示例性实施方式中，相同的附图标记通常代表相同的部件。 

图1表示根据本发明一实施例的云计算节点； 

图2表示根据本发明一实施例的云计算环境；