[发明专利]分布式大数据安全体系架构

说明书

本公开描述了用于定义安全数据通道的安全措施的技术，该安全数据通道能够使数据馈送从入口点发送到出口点同时维持期望的安全保护。本公开还描述了这样的技术：通过确定并进一步将数据敏感度级别与通过安全数据通道发送的各个数据馈送相关联来量化期望的安全保护。在某些示例中，安全数据通道的数据敏感度级别被锁定在与主体的访问许可相称的默认级别或邻近的安全数据容器的数据敏感度级别。可替换地，数据敏感度级别可基于通过安全数据通道发送的数据馈送来动态设置或基于在安全数据通道的入口点或出口点的数据馈送的数据敏感度级别来设置。

相关申请

本申请要求于2015年9月25日提交的标题为“分布式大数据安全体系架构(Distributed Big Data Security Architecture)”的共同待决、共同拥有的第62/233,153号美国临时专利申请以及于2016年9月26日提交的标题为“分布式大数据安全体系架构(Distributed Big Data Security Architecture)”的第15/276,567号美国非临时专利申请的优选权，其全部内容通过引用合并于此。

背景技术

传统信息技术(IT)体系架构已依赖于集中式计算结构，由此在中央服务器上执行全部或大部分处理和计算。集中式计算可以使得能够部署、运营和管理中央服务器计算资源。通常，计算处理涉及集中式计算结构对结果数据馈送(data feed)的提取、转换和加载。

然而，集中式计算结构的成本和性能低效已将IT体系架构引向分散式(decentralized)计算结构，由此数据馈送被提取、上传到分散式计算平台并随后被转换。这样做可以提供成本和性能效率，这是由于执行计算处理的基础设施可以外包给专门从事此类工作的实体。

随着分散式计算的发展，数据的速度和多样性可能会导致某些安全措施对延迟、可扩展性和恢复性能产生影响。因此，安全性可被视为服务约束。因此，需要在优化平台的操作需求时平衡安全约束与其他竞争服务约束。

附图说明

参照附图阐述具体实施方式。在附图中，参考标号的最左侧数字标识参考标号首次出现的图。在不同图中使用相同参考标号指示相似或相同的项目或特征。

图1示出辅助主体(subject)经由安全数据通道在主体与安全数据容器之间建立安全会话的计算环境100的示意图。

图2A示出描述在用例和/或安全数据容器内的数据对象、数据元素和数据馈送之间的关系的信息图的框图。图2B示出对特定控制和特定数据馈送的主体许可的示图的框图。

图3A示出与对主体授权访问特权相关联的示例性许可网格(lattice)的框图。图3B示出针对数据馈送的控制级别来对控制进行分类的数据敏感度网格。

图4示出可经由安全数据通道在主体装置与安全数据容器之间建立通信连接的资源管理平台的框图。

图5示出描述使用安全数据通道在主体与安全数据容器之间建立会话的过程的流程图。

图6示出描述至少部分基于数据馈送的数据敏感度来动态设置安全数据通道的数据敏感度级别的过程的流程图。

具体实施方式