本申请公开了用于通过使用边界标签来实施数据边界的方法、装置和系统。本文中公开的一种边缘网关的装置包括访问评估器,该访问评估器用于确定数据访问尝试在被准许的情况下是否将使得在该数据访问尝试中指定的数据跨越数据边界,该数据边界与在数据访问尝试中指定的数据将被准许跨越边界之前要满足的至少一个条件相关联。装置进一步包括:操作确定器,该操作确定器用于响应于确定数据访问尝试将使得数据跨越数据边界而确定要应用于正在被尝试访问的数据的操作;以及操作应用器,该操作应用器用于将操作应用于数据。将操作应用于数据使得条件被满足,以使得数据访问在符合该条件的情况下发生。条件的情况下发生。条件的情况下发生。
【技术实现步骤摘要】
用于通过使用边界标签来实施数据边界的方法、装置和系统
[0001]本公开总体上涉及网络计算,并且更具体地涉及用于通过使用边界标签来实施数据边界的方法、装置和系统。
技术介绍
[0002]近年来,已使用边缘计算节点提供了对更大量数据(敏感性数据和非敏感性数据两者)的访问。用于控制对此类数据的访问的现有方法通常很多,并且被调用以确保数据到达被授权的设备/用户同时试图阻止数据盗用和数据泄漏(无意的数据释放)。
附图说明
[0003]图1图示出用于边缘计算的边缘云配置的概览。
[0004]图2图示出端点、边缘云和云计算环境之间的操作层。
[0005]图3图示出用于边缘计算系统中的联网和服务的示例环境的框图。
[0006]图4图示出在多个边缘节点和多个租户之间操作的边缘计算系统中的虚拟边缘配置的部署。
[0007]图5图示出在边缘计算系统中部署容器的各种计算布置。
[0008]图6图示出涉及对示例边缘计算系统中的应用的移动接入的示例计算和通信用例。
[0009]图7是具有物联网平台、边缘云和核心云的示例三层网络的框图。
[0010]图8是图7的三层网络的框图,其中边缘云包括具有数据访问中间服务的边缘网关,并且其中核心云包括数据存储和第一数据/对象标注器。
[0011]图9是图8的示例第一数据/对象标注器的框图。
[0012]图10图示出具有多个数据成员和对应的边界标签的对象。
[0013]图11图示出示例的一组(N个)对象和与每个此类对象相对应的边界组标签。
[0014]图12图示出具有具有多个(K个)对象的、由边界组标签标识的示例对象集合。
[0015]图13是图8的数据访问中间服务的框图。
[0016]图14图示出用于生成实体元数据句柄的实体标签的散列化。
[0017]图15图示出利用以数据为中心的网络高速缓存来分布并用于为数据访问方确定实体元数据的基于账本的实体元数据存储。
[0018]图16表示通过图8和图13的数据访问中间服务的数据访问流。
[0019]图17A是表示可被执行以实现图8的对象标注器的机器可读指令的流程图。
[0020]图17B是表示可被执行以实现图8和图13的示例数据访问中间服务的机器可读指令的流程图。
[0021]图18A是可被部署在图1
‑
图4、图6、图7、图8、图9和/或图13中所图示的边缘计算系统中的一者中的示例计算节点的示例实现方式的框图。
[0022]图18B是可被部署在图1
‑
图4、图6、图7、图8、图9和/或图13中所图示的边缘计算系
统中的一者中的示例计算节点的示例实现方式的另一框图。
[0023]图19是示例软件分发平台的框图,该示例软件分发平台用于将软件(例如,与图17A和图17B的示例计算机可读指令相对应的软件)分发给诸如消费者(例如,用于许可、销售和/或使用)、零售商(例如,用于销售、转售、许可和/或分许可)、和/或原始设备制造商(OEM)(例如,用于包括在要分发给例如零售商和/或直接购买客户的产品中)之类的客户端设备。
[0024]这些图不是按比例的。一般来说,贯穿(多个)附图和所附书面说明书,相同的附图标记将用于指代相同或相似的部分。
[0025]除非另有特别说明,诸如“第一”、“第二”、“第三”等的描述符在本文中使用而不以任何方式强加或以其他方式指示优先级、物理顺序、列表中的排列和/或排序的任何含义,但仅用作标签和/或任意名称来区分要素以便于理解所公开的示例。在一些示例中,描述符“第一”可以用于指代具体实施方式中的要素,而在权利要求中可以使用诸如“第二”或“第三”之类的不同描述符来指代相同的要素。在此类情况下,应当理解,此类描述符仅用于清楚地标识那些可能例如以其他方式共享相同名称的要素。
具体实施方式
[0026]信息安全由于多种因素而成为边缘计算中的多头怪物。例如,由于对发生信息丢失/被盗的情况下的不利的操作、战略、财务和法律后果越来越敏感,因此保护数据访问方面的挑战变得更加复杂。此外,维护信息安全的挑战由于对关于每个人和每件事物的不断增长的数据量的渴求以及对容易地实时或接近实时地访问该数据的期望而加剧。在这种数据爆炸的情况下,信息安全攻击在复杂程度、规模和速度方面均有所增长。诸如GDPR之类的新的法规也为维护所收集、存储和挖掘的数据带来新的负担(责任)。另外,当等待时间期望成越来越“实时的”同时吞吐量需求又很高时,出于保护而对数据进行过滤和转换的机会受到实际限制。同时,当数据流中的一个薄弱环节被发现时,该薄弱环节可能被进一步利用的速度也大大缩减。
[0027]还存在其他挑战——例如,边缘云不具有良好定义的界限或静态拓扑。随着5G和6G技术被实现并且计算变得越来越普遍,防止敏感信息的故意或意外丢失以及监测、分析、调试、审核或证明信息并未从适用较强隐私条款的周边地区相对于通过具有较弱隐私条款的周边地区而泄漏变得极具挑战性。
[0028]另外,对信息的传输和转换进行集中化控制来确保不侵犯隐私、完整性和授权访问并非一种选项。此类方法不仅不切实际,而且妨碍了太多的效率——从高速缓存到负载平衡,到数据和资源的可缩放和分散供应。
[0029]本文中所公开的方法、装置、系统和技术通过将数据边界附接至数据本身而克服了与现有数据/信息安全方法相关联的许多挑战。由此,当数据被移动通过网络(例如,经由边缘节点)时,与数据一起行进的数据边界被检查,以确保敏感数据不会跨越数据边界(本文中也被称为边界)。在一些示例中,数据边界被称为标签并使用元数据来表示。在一些示例中,边界标识管理数据可以(或不可以)去往何处的策略/条件。通过在边缘节点(例如,边缘网关)处对数据的移动进行评估,对数据的访问可安全地受控。
[0030]在一些示例中,边界标签是不论数据是否被高速缓存、被存储、被转换、被压缩、被
访问跟踪、被分割(被投射为较小的尺寸或被次选)、被扩充等这些边界均应用到的数据的组成部分。在一些示例中,使用标识边界跨越何时敏感的计算结合其他信息来对边界进行评估。敏感边界是要求在数据可以通过该边界之前满足一个或多个条件的边界。在一些示例中,对要访问的数据进行转换,以使得这些条件可以被满足。在一些此类示例中,经转换的数据构成新的数据对象,为该新的数据对象生成新的边界并将该新的边界附接至该新的数据对象。
[0031]在本文中所公开的方法、装置和系统中,使用与信息/数据相关联的边界的概念来控制信息/数据从第一实体(主体A)到第二实体(主体B)的流动,这并非基于主体A是谁以及主体B是谁而是基于多种因素,包括例如角色、上下文、位置、主体A与主体B之间的从属关系、正在主体A与主体B之间传输的信息/数据等。为了检验边界并确保信息的流动是可准许的,引入了数据访问中间服务以及与信息相关联的边界标签。数据访问中间服务查阅与信息相关联的标签来确定寻求获得该信息的本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种边缘网关的装置,所述装置包括:访问评估器,所述访问评估器用于确定数据访问是否将使得由数据访问尝试指定的数据跨越数据边界,所述数据边界与在所述数据将被准许跨越所述边界之前要满足的至少一个条件相关联,边界标签与所述数据一起被包括,所述边界标签由所述访问评估器用来确定所述数据访问是否将使得所述数据访问尝试的所述数据跨越所述数据边界;操作确定器,所述操作确定器用于响应于确定所述数据访问尝试将使得所述数据跨越所述数据边界而确定要应用于正在被尝试访问的所述数据的操作;以及操作应用器,所述操作应用器用于将所述操作应用于所述数据,将所述操作应用于所述数据使得所述至少一个条件被满足,并且对所述操作的应用使得所述数据访问受制于所述至少一个条件而发生。2.如权利要求1所述的装置,其中,所述数据是数据对象,所述边界标签与所述数据对象一起在数据流中行进,并且所述边界标签包括元数据。3.如权利要求1或2所述的装置,其中,所述操作确定器用于确定要应用的多个操作,所述多个操作用于以顺序的方式被执行。4.如权利要求1所述的装置,其中,所述数据是数据对象,对所述操作的应用使得新的数据对象被创建,并且所述装置进一步包括用于为所述新的数据对象生成边界的结尾策略实施器,所述边界用于以元数据的形式被添加至所述新的数据对象。5.如权利要求1或4所述的装置,其中,所述访问评估器用于通过评估所述边界标签、与尝试进行所述数据访问的实体相关联的实体标签、以及所述数据访问正在其中被尝试的上下文来确定所述数据访问是否将使得所述数据访问尝试的所述数据跨越所述数据边界。6.如权利要求5所述的装置,其中,所述边界标签是边界元数据,并且所述实体标签是实体元数据,并且所述访问评估器用于通过对所述边界元数据、所述实体元数据并对所述上下文应用函数来评估所述边界标签。7.如权利要求2所述的装置,其中,所述数据对象的元数据是对象边界元数据,所述数据对象包括子对象,并且所述子对象中相应的子对象具有相应的子对象边界元数据。8.如权利要求7所述的装置,其中,所述访问评估器用于对所述对象边界并对所述子对象中相应的第一子对象的相应的第一子对象边界应用函数,以确定对所述第一子对象进行访问的尝试是否将使得所述第一子对象跨越所述数据边界。9.一种机器可读介质,包括指令,所述指令在由至少一个处理器执行时使得所述至少一个处理器至少用于:确定数据访问尝试在被准许的情况下是否将使得在所述数据访问尝试中指定的数据跨越数据边界,所述数据边界与在所述数据将被准许跨越所述边界之前要满足的至少一个条件相关联;响应于确定所述数据访问尝试将使得所述数据跨越所述数据边界,确定要应用于正在被尝试访问的所述数据的操作;以及将所述操作应用于所述数据,将所述操作应用于所述数据使得所述至少一个条件被满足,并且对所述操作的应用用于准许所述数据访问在所述至少一个条件下被准许。10.如权利要求9所述的机器可读介质,其中,所述数据是数据对象,并且所述边界标签与所述数据对象相关联并以元数据的形式被附接至所述数据对象。
11.如权利要求9或10所述的机器可读介质,其中,所述操作包括多个操作,所述多个操作用于以顺序的方式被应用于所述数据对象。12.如权利要求9所述的机器可读介质,其中,所述数据是数据对象,对所述操作的应用使得新的对象被创建,并且所述指令进一步使得所述至少一个处理器用于为所述新的对象生成边界,所述边界用于以元数据的形式与所述新的对象相关联。13.如权利要求9或12所述的机器可读介质,其中,所述指令使得所述至少一个处理器用于通过评估边界标签、与尝试进行所述数据访问的实体相关联的实体标签、以及所述数据访问正在其中被尝试的上...
【专利技术属性】
技术研发人员:K,
申请(专利权)人:英特尔公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。