本公開描述了用于定義安全數據通道的安全措施的技術，該安全數據通道能夠使數據饋送從入口點發送到出口點同時維持期望的安全保護。本公開還描述了這樣的技術：通過確定并進一步將數據敏感度級別與通過安全數據通道發送的各個數據饋送相關聯來量化期望的安全保護。在某些示例中，安全數據通道的數據敏感度級別被鎖定在與主體的訪問許可相稱的默認級別或鄰近的安全數據容器的數據敏感度級別。可替換地，數據敏感度級別可基于通過安全數據通道發送的數據饋送來動態設置或基于在安全數據通道的入口點或出口點的數據饋送的數據敏感度級別來設置。

相關申請

本申請要求于2015年9月25日提交的標題為“分布式大數據安全體系架構(Distributed Big Data Security Architecture)”的共同待決、共同擁有的第62/233,153號美國臨時專利申請以及于2016年9月26日提交的標題為“分布式大數據安全體系架構(Distributed Big Data Security Architecture)”的第15/276,567號美國非臨時專利申請的優選權，其全部內容通過引用合并于此。

背景技術

傳統信息技術(IT)體系架構已依賴于集中式計算結構，由此在中央服務器上執行全部或大部分處理和計算。集中式計算可以使得能夠部署、運營和管理中央服務器計算資源。通常，計算處理涉及集中式計算結構對結果數據饋送(data feed)的提取、轉換和加載。

然而，集中式計算結構的成本和性能低效已將IT體系架構引向分散式(decentralized)計算結構，由此數據饋送被提取、上傳到分散式計算平臺并隨后被轉換。這樣做可以提供成本和性能效率，這是由于執行計算處理的基礎設施可以外包給專門從事此類工作的實體。

隨著分散式計算的發展，數據的速度和多樣性可能會導致某些安全措施對延遲、可擴展性和恢復性能產生影響。因此，安全性可被視為服務約束。因此，需要在優化平臺的操作需求時平衡安全約束與其他競爭服務約束。

附圖說明

參照附圖闡述具體實施方式。在附圖中，參考標號的最左側數字標識參考標號首次出現的圖。在不同圖中使用相同參考標號指示相似或相同的項目或特征。

圖1示出輔助主體(subject)經由安全數據通道在主體與安全數據容器之間建立安全會話的計算環境100的示意圖。

圖2A示出描述在用例和/或安全數據容器內的數據對象、數據元素和數據饋送之間的關系的信息圖的框圖。圖2B示出對特定控制和特定數據饋送的主體許可的示圖的框圖。

圖3A示出與對主體授權訪問特權相關聯的示例性許可網格(lattice)的框圖。圖3B示出針對數據饋送的控制級別來對控制進行分類的數據敏感度網格。

圖4示出可經由安全數據通道在主體裝置與安全數據容器之間建立通信連接的資源管理平臺的框圖。

圖5示出描述使用安全數據通道在主體與安全數據容器之間建立會話的過程的流程圖。

圖6示出描述至少部分基于數據饋送的數據敏感度來動態設置安全數據通道的數據敏感度級別的過程的流程圖。

具體實施方式