[发明专利]分布式大数据安全体系架构

权利要求书

1.一种资源管理平台的系统，包括：

一个或更多个处理器；

存储器，耦合到所述一个或更多个处理器，所述存储器包括一个或更多个模块，所述一个或更多个模块由所述一个或更多个处理器执行以：

从主体接收消息，所述消息包括访问与第一安全数据容器相关联的数据项的集合的请求，其中所述主体是用户、非用户实体、第二安全数据容器、或者能够请求访问对安全数据容器中的数据馈送的许可的任何其他数据结构，并且其中，安全数据容器是包括与应用程序的操作相关联的数据项的安全数据结构；

至少部分基于所述消息，识别与所述主体相关联的许可集，所述消息包括授权所述主体以访问具有第一数据敏感度级别的所述数据项的集合的访问许可集；

基于所述访问许可集和与所述第一安全数据容器相关联的第二数据敏感度级别之间的比较，确定所述主体被授权访问所述第一安全数据容器；

在所述主体与所述第一安全数据容器之间建立安全数据通道，所述安全数据通道是用于在所述主体和所述第一安全数据容器之间传输数据馈送的通信信道，所述安全数据通道具有至少部分基于所述第一数据敏感度级别和所述第二数据敏感度级别的第三数据敏感度级别；

在所述安全数据通道的入口点处检测数据馈送，所述入口点对应于所述主体处的终点，从而进入的数据馈送旨在从所述主体，经由所述安全数据通道，然后传输至邻近的第一安全数据容器；

确定所述数据馈送的数据敏感度级别比所述安全数据通道的所述第三数据敏感度级别更加敏感；以及

响应于确定所述数据馈送的所述数据敏感度级别比所述安全数据通道的所述第三数据敏感度级别更加敏感，将所述安全数据通道的所述第三数据敏感度级别动态地设置为等于所述数据馈送的数据敏感度级别。

2.如权利要求1所述的系统，其中所述数据项的集合是数据项的第一集合，并且所述消息是第一消息，其中所述第一消息还包括对数据项的第二集合进入所述第一安全数据容器的请求，并且其中所述一个或更多个模块还由所述一个或更多个处理器执行以：

确定与所述数据项的第二集合相关联的附加数据敏感度级别；

确定相较于所述第一安全数据容器的所述第二数据敏感度级别，所述附加数据敏感度级别更敏感，所述第二数据敏感度级别是所述数据项的第二集合进入所述第一安全数据容器的最大敏感度阈值；

确定所述安全数据通道的所述第三数据敏感度级别被锁定；以及

向所述主体发送第二消息，所述第二消息指示所述数据项的第二集合无法通过所述安全数据通道安全地发送。

3.如权利要求1所述的系统，其中与所述安全数据通道相关联的所述第三数据敏感度级别被动态地设置为至少等于与所述第一安全数据容器相关联的所述第一数据敏感度级别。

4.如权利要求1所述的系统，其中与所述安全数据通道相关联的所述第三数据敏感度级别至少部分基于与在所述安全数据通道的入口点或出口点处的各个数据馈送相关联的各个控制参数，所述各个控制参数包括以下中的至少一个：显式读取规定、显式写入规定、显式导入规定或显式导出规定。

5.如权利要求4所述的系统，其中所述各个控制参数最初被指派给一个或更多个数据对象，其中所述一个或更多个数据对象的各个数据对象被链接到一个或更多个数据元素，并且所述一个或更多个数据元素经由连通图进一步被链接到所述各个数据馈送。

6.如权利要求1所述的系统，其中所述数据项的集合是数据项的第一集合，并且其中所述一个或更多个模块还由所述一个或更多个处理器执行以：

确定相较于与所述第一安全数据容器相关联的所述第二数据敏感度级别，与所述主体相关联的所述第一数据敏感度级别更不敏感；

至少部分基于所述第一数据敏感度级别和所述第二数据敏感度级别，确定所述主体未被授权读取所述第一安全数据容器内的数据项；以及

配置所述安全数据通道以防止所述安全数据通道将所述数据项的第一集合从所述第一安全数据容器发送到所述主体。