CN108432210A - 有机组成的IoT网络 - Google Patents
有机组成的IoT网络 Download PDFInfo
- Publication number
- CN108432210A CN108432210A CN201680075105.0A CN201680075105A CN108432210A CN 108432210 A CN108432210 A CN 108432210A CN 201680075105 A CN201680075105 A CN 201680075105A CN 108432210 A CN108432210 A CN 108432210A
- Authority
- CN
- China
- Prior art keywords
- field
- node
- service
- father node
- father
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5041—Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
- H04L41/5054—Automatic deployment of services triggered by the service manager, e.g. service implementation by automatic configuration of network components
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/70—Services for machine-to-machine communication [M2M] or machine type communication [MTC]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/044—Network management architectures or arrangements comprising hierarchical management structures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
在各示例中所公开的是允许全异的IoT网络以有机并且独立的方式结合形成更大的网络的方法、设备以及机器可读介质。遵循本文中所公开的机制,新形成的网络被良好拓扑地形成,并且不需要使用网关或其他专用设备来提供IoT领域服务。事实上,网络内的单独节点执行先前由网关设备执行的密钥管理、访问管理和网络操作功能。
Description
优先权要求
本申请要求2015年12月22日提交的题为“ORGANICALLY COMPOSABLE IOTNETWORKS(有机组成的IoT网络)”的美国专利申请序列号14/977,870的优先权的权益,该申请通过引用整体结合于此。
版权声明
本专利文件的公开的部分内容包括受到版权保护的材料。版权所有者不反对任何人复制如呈现在专利和商标局专利文件或记录中的本专利文档或专利公开内容,但在别的方面无论如何都保留所有版权。下列声明应用到如下文和在形成此文件的部分的图中所描述的软件和数据:版权英特尔,保留所有权利。
技术领域
实施例涉及物联网(IoT)网络。一些实施例涉及从其他的、全异的IoT网络自动创建IoT网络。
背景技术
IoT是嵌入有电子、软件和传感器的物理对象或“物”的网络,IoT使这些对象能够在它们自身之间以及其他计算设备之间收集和交换数据。示例“物”包括连接的家用电器、汽车中的传感器、生物芯片等等。标准组已经开始了制定标准的过程,该标准指定用于设备发现、设备间通信、服务发现、安全性的程序,以及用于形成和维护IoT网络的其他程序。示例组包括开放互连联盟(OIC)、智能对象互联网协议(IPSO)联盟和工业互联网联盟。
附图说明
在附图中(这些附图不一定是按比例绘制的),相同的数字可以描述在不同视图中的类似的组件。具有不同的字母后缀的相同的数字可以表示类似组件的不同实例。附图一般通过示例的方式而不是限制的方式来图示在本文档中所讨论的各实施例。
图1示出根据本公开的一些示例的两个全异的IoT领域的示意图。
图2示出了根据本公开的一些示例的从领域R1和R2创建超领域R3的示意图。
图3示出了根据本公开的一些示例的节点数据结构的示意图。
图4示出根据本公开的一些示例的节点数据结构的示意图。
图5示出了根据本公开的一些示例所示出的从第一和第二领域形成超领域的方法的流程图。
图6示出了根据本公开的一些示例的示例IoT节点的示意图。
图7是图示出可在其上实现一个或多个实施例的机器的示例的框图。
具体实施方式
IoT可被描述为“网络的网络”,设备在其中利用诸如互联网之类的底层通信网络和技术来通信,但形成IoT设备(称为节点)的其自身的逻辑网络。IoT设备的这些逻辑网络可被称为IoT领域。在一些示例中,两个或更多个全异的IoT领域可组合以形成被称为超领域的更大的领域。用于形成这些超领域的当前技术涉及网关或云服务器的使用,该网关或云服务器承担仿真、虚拟化和表示网关之外全异领域的操作的角色。例如,网关在充当连接桥的同时通常还承担提供领域服务的附加任务,该附加任务允许对由IoT节点控制的资源的安全访问。这些领域服务包括密钥管理,访问管理、网络操作、供应、节点和资源发现、以及用于促进领域节点之间的通信的其他领域服务。结果是,网关成为了用于攻击的单点故障。此外,网关的使用不能良好地扩展,因为网关的使用假定它将具有用于为网络提供服务的处理能力和带宽容量,到2020年该网络预期将具有300-500亿个端点。此类增长只有使用将处理移动到云中的云计算才是可实现的。然而,将IoT网络整体移动到“云”服务器中是不合理的,因为IoT网络具有不能移动到云中的物理组件。有机组成的IoT网络提供了解决方案。
除了可扩展性问题之外,新形成的领域的安全性也是问题。在形成这些更大的领域时,应当保持较小的组分领域的操作完整性。保持操作完整性是重要的,因为参与这些网络的物理对象和传感器需要被保护而免于如攻击者能够损坏这些传感器的情况下可导致的重大现实世界的损坏。如果当领域形成超领域时未保持操作完整性,则较大的超领域可能不实施与较小的组分领域相同种类的安全性约束,从而将设备暴露给攻击。
在各示例中所公开的是允许多个全异的IoT领域结合以按照有机的和独立的方式形成更大的领域的方法、设备以及机器可读介质。遵循本文中所公开的机制,新形成的领域以拓扑方式被很好地形成,并且不需要使用网关或其他专用设备来提供IoT领域服务。事实上,超领域内的单独的节点执行先前由网关设备执行的密钥管理、访问管理、网络操作、供应、节点和资源发现、以及促进领域节点之间的通信的其他领域服务。在一些示例中,这通过具有向节点提供关于怎样执行这些服务的指令的脚本库来实现。使用一组规则和机制来形成网络,当被应用到IoT领域形成时,该组规则和机制导致可与第二、全异的IoT领域结合的领域形成超领域。然后,该超领域可与一个或多个其他领域有机结合,以形成又一甚至更大的领域。
所公开的方法、系统和机器可读介质通过定义IoT领域拓扑可如何有机地演化以使存在用于组成这些原为全异领域的定义明确的方法的规则,改进了现存的用于链接IoT领域的自组织方法。此系统允许全异的IoT领域被实例化并独立地无限演进,允许IoT网络通过选择新的父节点在一个或多个接触点处有机地合并,并且通过将访问和操作完整性约束向下下放到它们可被解释和实施所在的端点节点来保留现存的操作完整性和安全性。通过指定预期设备交互和工作流,脚本库中的脚本资源包含访问策略。当领域被结合时,从脚本库创作或者获取新的脚本,该脚本库应用可被映射到在全异的领域中发现的设备上的工作流交互。
IoT网络构建块包括一组设备(节点)和由该节点执行的一组IoT领域服务。节点被选择以执行领域服务中的一者,或者被分配以执行该领域服务中的一者。领域服务包括凭证管理服务、访问管理服务、网络操作服务、供应服务、节点发现服务、资源发现服务,等等。这些服务可由一个或多个脚本资源定义,可通过脚本库获取或者在节点上预配置该脚本资源。用于服务的脚本具有用于节点的关于执行给定服务的指令。脚本库可以是通过网络可访问的,并且可由基于网络的服务提供。
领域被组织为父节点和子节点。父节点负责网络操作领域服务(其包括本文中所描述的父选择程序和领域组织及管理),并可负责剩余的服务,或将剩余的服务委派给另一节点。领域可被正式定义为具有共同父节点的IoT节点的集合。节点既可以是父节点(例如,一个领域的父节点)也可以是子节点(另一领域中的子节点)。因此,领域可以是分层的。父节点还负责在领域中正在执行IOT领域服务之一的节点之一脱机或离开领域的情况下,确保该功能将被重新分配给另一个节点。为了进一步改善弹性,节点可具有它们自己的冗余实例。这些冗余实例可被父节点认为是单个节点。
节点可被归类为三种不同的类型:顶部节点、中间节点和端点节点(T、M、E)。端点节点是领域中的子节点并且具有单个父节点,该单个父节点寻求安全性凭证、访问控制策略和跨领域访问策略的提供。中间节点在一些领域中是父节点,并且在其他领域中是子节点。顶部节点是仅为父节点且在任一领域中都不是子节点的节点。
当遵循所公开的程序的全异的IoT领域确定它们将被结合,两个网络(领域)中的顶层父节点可从该领域中的一者或另一者选择新的父节点。该新的父节点创建执行父节点功能(例如,执行或委派传统上会由网关执行的领域服务)的新领域。该新领域包含另外两个网络作为子领域。
新领域可包含可由父节点实施或可被委派给子节点实施的领域特定的操作约束。示例约束可包括对领域之间交换的数据的反病毒扫描或包括白名单、黑名单、异常检测和隐私过滤的其他形式的安全性扫描。其他操作约束可包括信息标记(分配诸如HR、工程、营销之类的类别;分配诸如秘密、机密、绝密之类的级别)。操作约束还可能包括扫描攻击性词汇信息或知识产权的不当公开。可通过向被发布到领域子节点的凭证分配领域约束来实现委派。由于子节点中的至少一者可以是子领域的父节点,因此父领域处的领域约束可通过其父节点向下下放到该子领域。因此,端点到端点的交互可具有以其凭证和访问策略表示的完整的领域分层结构。这些可以以此类方式来评估以阻止权限升级。例如,第一领域中的端点可以已经建立了到第二领域中的端点的通信信道。领域之间的信息可以自由地交换,除了访问策略可限制信息交换以排除未明确授权给第二领域(或给第二领域中的特定设备)的文件、记录和资源。类似地,凭证可向第二领域中的设备授予第一领域中的设备根据访问控制列表(ACL——参见下文)能识别的权限(诸如,类别或级别分配——例如,HR-绝密),该访问控制列表向(第二领域中)具有权限“HR-绝密”的设备授予访问权限。
现在转向图1,根据本公开的一些示例示出了两个全异的IoT领域的示意图1000。领域R1 1010包括父节点R1N4 1020和三个端点节点R1N1、R1N2、和R1N3(分别为1030、1040、和1050)。类似地,领域R2 1060包括父节点R2N3 1070和两个端点节点R2N1 1080和R2N21090。
一旦领域R1 1010和R2 1060变得彼此通信可达,R1 1010和R2 1060就可决定形成由R1 1010和R2 1060两者组成的超领域R3。通信可达包括例如互联网工程任务组模型中的链路、互联网和传输层连接,以及通过广播或其他发现消息或技术知晓彼此的存在。这可以是直接的或者可以是间接的(例如,通过第三设备)。通过引入R1 1010中通信地耦合至R21060的设备、引入R2 1060中通信地耦合至R1 1010的设备,或者通过引入在R1 1010和R21060两者外部且通信地耦合至R1 1010和R2 1060两者的设备,R1 1010和R2 1060可变得通信地耦合。
可基于来自上述脚本资源的一项或多项策略规则由父节点R1N4 1020和R12N31070根据协议作出形成超领域的决策。策略规则可规定领域在什么条件下可以与另一领域联合来形成一个新的超领域。条件可指定何时不适合形成超领域。例如,在安全可能存在风险等情况下,国际条约可禁止信息(例如,关于被禁止的技术/可交易商品和非法物质)的交换。例如,由于危险品事故增加的可能性,因此铀浓缩过程不应当与互联网社区及社交媒体相关联。化学、健康、环境过程自动化具有类似的安全风险考虑,该安全风险考虑阻止大多数条件下超领域的形成。这些策略规则可从父节点1020、1070的非易失性存储器设备获取,或者可通过网络从脚本库动态地获取。
现在转向图2,根据本公开的一些示例示出了从领域R1 2020和R2 2030创建超领域R3的示意图2000。R3N4 2060被实例化,并且变得通信地耦合至R1 2020及R2 2030,允许R1 2020与R2 2030之间的通信。一旦这些节点被通信地耦合,IoT实现中的节点发现技术(例如,通过节点ID的广播)就允许R1 2020和R2 2030中的节点变得彼此知晓。R1 2020和R22030决定基于一项或多项策略规则来创建超领域R3 2010。
一旦节点决定创建R3 2010,选择方法可被应用,该选择方法可任命R1 2020或R22030中的一个现有节点来充当新的超领域R3 2010的父节点。用于选择节点的程序可在设备制造时被预先约定(并因此被嵌入在节点的代码中),可以是脚本库中的一个或多个脚本资源的部分(其可以已经从web服务被下载)等等。示例选择过程可包括使用Mega-Merger(巨型合并)算法、Yo-Yo算法等来选择具有最低或最高标识符(例如,UUID、MAC地址等)的节点,选择最大组分子领域的父节点,选择最小子领域的父节点。在此示例中,R3N1 2040(原R1N4)赢得该选择,并成为新的父节点。在一些示例中,作为R3N1 2040被选择为R3 2010的父节点的结果,领域R1 2020的子节点被选择以接管成为R1 2020的新的节点。在图2的示例中,R1N3 2050已假定R1 2020的父节点的角色。R3 2010现在成为超领域,该超领域安排(orchestrate)领域R1 2020和R2 2030中的一者或两者先前未执行过的更高级的控制和分析功能。这些控制和分析功能不覆盖(override)涉及与R3 2010的交互的对R1 2020和R22030的任何领域特定的约束(例如,凭证需求和访问控制列表等)。
一旦新的领域R3被创建,R3N1 2040可将用于R3 2010的一个或多个IoT领域服务分配或提供给领域R1 2020和R2 2030的一个或多个节点,该一个或多个IoT领域服务诸如访问管理、凭证管理、供应、节点发现、资源发现等等。基于通过角色分配服务被分配到节点的节点角色、处理功率等等,此分配可被随机地完成。在一些示例中,用于IoT领域服务的分配规则可基于来自脚本库的一个或多个脚本资源。一旦这些任务被分配,父节点可将这些分配广播到R3 2010中的节点(并且甚至于R1 2020和R2 2030中的节点)。在其他示例中,分配给这些角色的节点广播它们现在正在提供这些领域服务。
虽然仅单个节点,但R3N4 2060也被合并到R3 2010中。本公开构想了如先前所描述的一个或多个单个节点到一个或多个领域中的合并。本公开还构想了多于两个全异的领域到超领域的合并。例如,三个、四个、五个或更多领域可被合并以形成超领域。
现在转向图3,根据本公开的一些示例示出了节点数据结构3000的示意图。节点数据结构3000可包括元数据3010。如已经提到,节点可以是以下中的一者:顶部、中间或端点(T、M、E)。这些类型被存储为节点类型3020。根据一个或多个节点元约束,节点可被重组为IoT网络演进的部分。例如,在图2中,可将R1N3从端点节点重组为中间节点。节点元约束3040可规定节点是否被允许重组以及它被允许重组为何种类型。例如,可约束节点不充当父节点(例如,约束成仅为端点并且不被重组为中间节点或顶部节点)。这些元约束可在制造时被存储在节点中,或者可从脚本库检取。具体而言,节点元约束可规定当作出子节点和父节点分配时对图形圆形度检查的约束。节点还可具有用于将节点委托到网络中的节点ID3030。在一些示例中,节点ID不用于将节点标识为所定义的领域内的正常操作的部分。分开的ID可用于标识节点在其中是父节点的领域以及节点在其中是子节点的领域中的节点。多个ID的使用阻止了一个领域中的节点活动在另一领域中被跟踪,从而增加了隐私性。
每个节点还定义一个或多个本机功能和资源3050,即与设备表示的实际的“物”相关联的功能,例如,智能冰箱具有一个或多个功能,诸如温度、状态等等。这些本机功能可包括取决于访问约束和凭证对子领域或父领域中其他节点可见的一个或多个资源(例如,属性)。
在IoT网络的上下文内,有两个附加上下文,一个上下文定义了充当子节点3060时的节点行为,并且另一上下文在节点是定义充当父节点3070时的节点行为的节点时有效。子节点上下文3060包括子领域ID 3080分配(节点在其中是子节点的第一领域)。子领域ID3080是由此节点在其中是子节点的领域内的子节点使用的ID。此领域ID可以与节点在其中是父节点的领域所使用的领域ID不同。这用于阻止节点被跟踪。子节点上下文3060还包括子领域凭证3090,该子领域凭证3090可以是起到子节点作用时使用的一个或多个凭证,该一个或多个凭证由此节点在其中是子节点的领域的凭证服务发布。子节点上下文3060还包括子领域约束3100。约束可包括例如净化资源数据以确保满足质量、完整性和隐私性需求的要求。子节点上下文3060还包括访问控制列表(ACL),当是同一领域的成员的、或者是该节点在其中为子节点的其他领域的成员的另一节点试图访问本机功能和资源3050时可应用该ACL。该子节点可要求领域特定的服务,诸如密钥管理、访问管理、网络操作、供应、节点和资源发现以及其他领域服务。子节点上下文3060包括用于那些领域服务的提供者的标识符,该领域服务提供者诸如凭证管理提供者3120、访问管理提供者3130以及供应提供者3140。可按照需求存储其他领域服务的其他标识符。标识符可包括提供这些领域服务、联系信息(诸如IP地址)等的节点的节点标识符。
如果节点是T类型或M类型,则父节点上下文3070被使用。父节点上下文3070镜像子节点上下文3060的结构,从而允许该父节点上下文同时存在于第二领域中。父节点上下文3070包括唯一地标识父领域中的节点的父领域ID3150。此ID可与子领域ID 3080或节点ID 3030不同,以阻止在多个领域中跟踪此节点。父凭证3160可以是起父节点作用时使用的一个或多个凭证,该一个或多个凭证由用于节点在其中是父节点的领域的凭证服务发布。父节点上下文3070还包括父领域约束3170。例如,父可断言由它的领域内的IoT设备产生的所有数据被标记为绝密。该父领域约束可使得子领域在子设备产生的数据上包括元数据标签来详细说明它的安全性分类。父节点上下文3070还包括访问控制列表(ACL),当此节点对其而言是父节点的领域中的设备试图访问资源3180或该父节点充当ACL供应服务时的另一节点的资源时,可应用该ACL。分开的ACL上下文的使用使得子领域(此节点相对于该领域是父节点)中的子节点能够访问本机功能和资源而无需暴露到超领域(此节点在该领域中是子节点)。这种隔离确保自主网络操作,同时允许“M”节点类型主控对其两个领域可见的本机功能和资源。在一些示例中,安全和安全性考量可阻止本机功能和资源同时在两个领域中的暴露。高级的节点架构可通过创建虚拟化的或容器化的本机功能来解决此问题。在其他示例中,实现可具有拒绝领域中的一者访问资源中的一些资源的ACL。
父节点可为子领域中的子节点分配或提供领域特定的服务,诸如密钥管理、访问管理、供应服务、节点发现、以及资源发现等等。可将节点提供这些领域服务作为父节点操作的部分向领域中的其他节点告知。父节点上下文3070包括用于这些领域服务的节点标识符,该领域服务诸如凭证管理提供者3190、访问管理提供者3200以及供应提供者3210等等。标识符可包括提供这些领域服务、联系信息(诸如IP地址)等的节点的节点标识符。在一些示例中,节点可在该节点在其中是父节点的领域中提供这些领域服务。
在一些示例中,在某些情况下,通过从子节点领域服务器索求帮助来转发不能被立即满足的领域服务请求对于父节点是适当的。这可在子领域的子节点寻求凭证以与通过超领域中包含的领域服务可达的对等领域交互时发生。因此,所期望的行为是分层网络拓扑的行为。
在一些示例中,节点可以是提供或管理顶层父节点领域服务和本机功能的“T”级节点。可存在对等顶层节点不期望新的超领域的形成而期望在对等顶层节点之间共享访问的使用情况。该共享访问可由互联网DNS命名实体(DANE)RFC6698服务促进,该互联网DNS命名实体(DANE)RFC6698服务填充子节点参数中的一些而不使得节点类型改变为“M”。在这些示例中,用于凭证管理提供者和供应提供者的领域服务器将请求转发到ta DANE服务器,以获取应用到相应的对等节点的验证凭证。当试图建立到对等顶层节点的连接时,DANE可另外提供规定对等设备的白名单或黑名单的数据,该白名单或黑名单已经被确定适合于请求节点应用。
现在转向图4,根据本公开的一些示例示出了节点数据结构4000的示意图。该结构包含子节点上下文4060和父节点上下文4070。在该数据结构中,根据本公开的一些示例,节点是T类型节点,并且其已经通过DANE服务器建立了与另一领域中的另一T节点的对等关系。在此示例中,元数据结构的字段与图3的元数据结构字段相同,除了元约束4040、子领域约束4100、子领域ACL 4110和访问管理提供者4130在这种情况下不适用。该访问管理提供者4130由DANE服务器提供。
现在转向图5,根据本公开的一些示例示出了从第一领域和第二领域形成超领域的方法5000的流程图。在操作5010处,第一领域和第二领域的父节点发现另一领域是通信可达的。这可以是新的设备被添加到这两个领域之一或者第三设备由第一领域和第二领域可达的结果。示例设备可包括网关。
在操作5020处,这两个领域同意形成超领域。在一些示例中,每个领域的父节点可评估用于网络的一项或多项策略规则。示例策略规则可包括设备或领域的能安全用来创建超领域的白名单、指示该领域不应与其创建超领域的设备或领域的黑名单等等。在其他示例中,策略可包含将创建多少超领域的规则。例如,在一定的大小处,节点可能不希望添加附加层。在另外的其他示例中,策略可规定该领域不旨在创建超领域(例如,领域是非常安全性敏感的)。策略规则可被存储在脚本库中,并可从网络服务器获取。在评估策略时,父节点可单独地评估策略规则,并且随后如果创建超领域满足每个单独的策略,则父节点向另一个父节点指示它同意创建超领域。如果两个父节点都同意,则两个领域已同意形成超领域。
在操作5030处,每个组分领域的父节点为新的超领域选择新的父节点。用于选择节点的程序可在设备制造时被预先约定(并因此被嵌入在节点的代码中),可以是从web服务下载的一个或多个脚本资源的部分等等。示例选择过程可包括使用Mega-Merger(巨型合并)算法、Yo-Yo算法等来选择具有最低或最高标识符(例如,UUID、MAC地址等)的节点,选择是最大子领域的父节点的节点,选择是最小子领域的父节点的节点。在一些示例中,其父节点被选择作为超领域的父节点的组分领域可选择用于该组分领域的新的父节点。选择可如为选择超领域所描述地进行。在一些示例中,节点元约束可判定领域节点中的一者或多者可以不是新的超领域的父节点或者组分领域的父节点。在这些示例中,将不适格的节点从选择过程中移除。如果仅一个节点留在选择过程中,则默认选择另一节点。
在操作5040处,超领域的父节点供应IoT领域服务,诸如密钥管理、访问管理、网络操作、供应、节点和资源发现、以及用于促进领域的节点之间的通信的其他领域服务。父节点可将这些领域服务中的一者或多者供应给其自身,或给超领域的组分领域的父节点,或给超领域的组分领域的子节点。此分配可以是随机的(例如,选择超领域中的随机节点),可以基于角色来分配(例如,一些节点具有一定的执行这些领域服务的能力),等等。
在操作5050处,被分配它们的领域服务的节点开始执行这些功能。用于这些节点的身份和联系信息被广播给其他节点,所以那些节点可利用所提供的服务。
现在转向图6,根据本公开的一些示例的示例IoT节点6000的示意图。IoT节点6000是计算设备。示例计算设备包括智能仪表、智能传感器、连接的恒温器、连接的烟雾报警器、安全性系统、智能电话、膝上型计算机、台式计算机、平板计算机、服务器等等。IoT节点6000包括一个或多个资源模块6010,该资源模块6010在计算设备上执行用于实现IoT设备的功能的操作。资源模块6010可提供和管理IoT资源和功能。IoT资源专用于IoT节点6000的类型并实现设备的功能。例如,对于连接的恒温器,资源可包括设置或改变加热或冷却设置点、打开或关闭系统以及改变该系统的一个或多个设置的能力。
IoT节点6000包括实现该节点的参与IoT领域的领域联网模块6020。领域联网模块6020实现IoT领域的创建和管理。领域联网模块6020基于(可被存储在节点数据6040中的)节点元约束确定此节点的角色。角色包括父节点或子节点,以及顶部、中间和端点。领域联网模块6020可实现图5的方法以检测另一领域,确定此节点对其是父节点的领域将与另一领域合并以形成超领域,选择该超领域的新的父节点,以及分配节点以执行用于新的超领域的IoT领域服务。
领域联网模块6020基于一个或多个访问控制列表(ACL)确定来自IoT设备的对IoT资源和功能的请求被允许还是被拒绝。领域联网模块6020从告知给IoT节点6000的一个或多个凭证授予服务获取用于设备的凭证。凭证可被存储在节点数据6040中,并且可被用于向其他节点认证IoT节点6000,以及用于与其他IoT节点安全通信。
通信模块6030实现对启用节点到节点通信必要的联网协议栈的层。这些层可包括物理层、链路层、互联网层、传输层以及一些情况下的应用层协议(例如,超文本传输协议(HTTP))。在一些示例中,节点可使用HTTP来彼此通信。在一些示例中,节点利用代表性状态转移(REST)协议。
节点数据6040包括如在图3和图4中所示出的节点数据和上下文。节点数据6040可包括访问控制列表(ACL)、用于该节点的元约束、关于领域形成的策略、其他策略等等。节点数据6040中的数据可由设备制造商预加载,或可由一个或多个远程数据源提供。在一些示例中,ACL、策略等可由一个或多个被授权更新该数据的其他IoT节点更新。
领域服务6050可提供一个或多个IoT领域服务,诸如密钥管理、访问管理、网络操作、供应、节点和资源发现、以及用于促进领域的节点之间的通信的其他领域服务。在一些示例中,通过执行来自脚本模块6060的一个或多个脚本来提供领域服务。脚本模块6060可存储、管理、创建、和或检取一个或多个脚本。在以下的文本中提供这些领域服务的进一步描述。
密钥管理领域服务
访问控制列表(ACL)是用于访问节点的资源和功能的预定义的访问策略和规则集。具有可由另一节点访问的资源的每个节点具有相关联的ACL。ACL包含一个或多个访问控制条目(ACE)。每个ACE是基于主体的访问控制(SBAC)条目或者基于角色的访问控制(RBAC)条目。SBAC条目包含另一节点的身份、资源、以及由该条目访问该资源的一组许可。RBAC条目包含另一节点的角色、资源、以及由该角色访问该资源的一组许可。许可根据在ACE中所描述的条目是否具有创建(Create)、读取(Read)、更新(Update)、删除(Delete)、以及通知(Notify)(CRUDN)许可来定义。当请求节点正在请求对来自服务器节点的资源的访问时,该请求节点向服务器节点呈现其凭证。服务器节点验证该凭证(以验证请求者的身份),并随后检查其ACL,以判定请求节点是否具有访问资源的许可。如果ACL判定请求节点不具有该许可,则请求将被拒绝。ACL可被预编程到节点中,或者可从访问管理服务(AMS)被获取。
虽然节点可本地主控ACL,但AMS可集中化访问控制决策。如上所述,AMS可由领域的节点中的一者或多者实现。服务器节点仍然保持实施的职责。当节点请求功能或资源时,它联系服务器节点。该服务器节点可查询其本地ACL,该本地ACL将请求重定向到AMS。然后,服务器节点联系AMS,该AMS基于其集中化的ACL来接受或拒绝该请求。然后,此响应被转发到请求者节点。在其他示例中,服务器节点将客户端重定向到AMS。如果AMS授予许可,则它将经签名的ACL(SACL)资源授予给请求者节点。然后,该请求者节点重新请求对功能或资源的访问,并且该请求者节点包括SACL。然后,由服务器节点验证该SACL,并且如果该SACL有效,则访问被授予。
ACL供应领域服务和访问管理领域服务两者可以是由父节点为领域供应的服务。可由父节点或由一个或多个子节点执行这些服务。
密钥管理领域服务
密钥管理功能包括供应和管理凭证。凭证供应服务向节点供应许多不同类型的凭证。这些包括成对对称密钥、组对称密钥、非对称密钥和经签名的非对称密钥。这些密钥用于与网络上的其他节点安全地通信,并且是通过与凭证供应领域服务的通信来创建的。当请求对节点中的一者上的资源的访问时,由节点使用密钥以彼此认证。密钥管理功能还包括在需要时撤销已发布的凭证。这通过维护所撤销的凭证的列表和它们对应的设备来实现。
供应领域服务
供应包括提供对结合领域以及对访问IoT领域服务必要的新的IoT节点信息。示例信息包括节点发现、地理位置、时区、安全性需求等等。此信息可被预加载到IoT节点上,或可从供应服务获取。
节点发现和资源发现领域服务
节点发现是节点发现彼此所用的过程。这可通过向多播地址发送发现请求来完成。订阅此地址的节点向请求者节点发送应答。资源发现是节点发现其他节点的资源所用的过程。此发现过程可以是直接的、间接的等等。直接发现是指资源在主控设备的节点处被本地公布并通过对等询问被发现。间接发现是指资源被公布到第三方资源发现服务,并且节点公布和执行针对此服务的发现。节点发现和资源发现领域服务可通过维护领域内可用的节点、功能和资源的列表来辅助节点和资源发现过程。节点将它们的存在以及它们的资源和功能公布到服务,并且还能够通过该服务发现其他节点以及它们的资源和功能。
虽然已经分开描述了以上领域服务,本领域普通技术人员利用申请人的公开的益处将领会,服务可被结合,或者所列出的服务可被划分为多个子服务。在另外的其他实施例中,其他服务可由领域中父节点提供,或者被委派给子节点。
机器硬件描述
图7图示出本文中所讨论的技术(例如,方法)中的任何一者或多者可在其上执行的示例机器7000的框图。在替代实施例中,机器7000可作为独立设备或可被连接(例如,联网)至其他机器来操作。在联网的部署中,机器7000可在服务器-客户端网络环境中的服务器、客户端或其两者的能力内操作。在示例中,机器7000可充当对等(P2P)(或其他分布式)网络环境中的对等机器。机器7000可以是IoT节点(例如,计算设备)、个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、移动电话、智能电话、网络设备、网络路由器、开关或桥、或者是能够(顺序地或以其他方式)执行规定由该机器采取的动作的指令的任何机器。此外,尽管只图示了单一的机器,但是术语“机器”还应当被认为包括单独地或者联合地执行一组(或多组)指令以执行本文中所讨论的方法(诸如,云计算、软件即服务(SaaS)、其他计算机集群配置)中的任何一者或多者的任何机器集合。
如本文中所描述的示例可包括逻辑或者多个组件、模块或机制,或可在逻辑或者多个组件、模块或机制上操作。模块是能够执行规定的操作的有形实体(例如,硬件),并且可以以特定的方式来配置或布置。在示例中,能以规定的方式将电路(例如,内部地或者相对于诸如其他电路之类的外部实体)布置为模块。在示例中,一个或多个计算机系统(例如,独立的客户机或服务器计算机系统)或一个或多个硬件处理器的全部或部分可由固件或软件(例如,指令、应用部分、或者应用)配置为操作用于执行规定操作的模块。在示例中,软件可驻留在机器可读介质上。在示例中,软件在由模块的底层硬件执行时,使得该硬件执行规定的操作。
因此,术语“模块”被理解为涵盖有形实体,该有形实体是物理地构建、具体地配置(例如,硬连线)、或者临时地(例如,瞬态地)配置(例如,编程)从而以规定的方式操作或者执行本文中所描述的任何操作的部分或全部的实体。考虑到其中临时配置模块的示例,这些模块中的每一个不需要在任何一个时刻进行例示。例如,在这些模块包括使用软件配置的通用硬件处理器的情况下,通用硬件处理器可在不同的时间被配置为各个不同的模块。软件可以相应地配置硬件处理器,例如以便在一个时间实例处构成特定的模块,并且在不同的时间实例处构成不同的模块。
机器(例如,计算机系统)7000可包括硬件处理器7002(例如,中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核心或者其任何组合)、主存储器7004以及静态存储器7006,这些部件中的一些或全部可经由互连(例如,总线)7008彼此通信。机器7000还可包括显示单元7010、字母数字输入设备7012(例如,键盘)以及用户界面(UI)导航设备7014(例如,鼠标)。在示例中,显示单元7010、输入设备7012以及UI导航设备7014可以是触摸屏显示器。机器7000可另外包括存储设备(例如,驱动单元)7016、信号生成设备7018(例如,扬声器)、网络接口设备7020以及一个或多个传感器7021(诸如,全球定位系统(GPS)传感器、罗盘、加速度计或其他传感器)。机器7000可包括连通或者控制一个或多个外围设备(例如,打印机、读卡器等)的输出控制器7028,诸如串行(例如,通用串行总线(USB))、并行、或者其他有线或无线(例如,红外线(IR)、近场通信(NFC)等)连接。
存储设备7016可包括在其上存储一组或者多组数据结构或指令7024(例如,软件)的机器可读介质7022,该数据结构或指令7024由本文中所描述的技术或功能中的任何一者或多者体现或利用。指令7024还可在机器7000执行它的期间完全地或至少部分地驻留在主存储器7004内、在静态存储器7006内、或者在硬件处理器7002内。在示例中,硬件处理器7002、主存储器7004、静态存储器7006或存储设备7016的其中一者或任何组合都可以构成机器可读介质。
虽然机器可读介质7022被图示为单一介质,但是术语“机器可读介质”可包括被配置成用于存储一个或多个指令7024的单一介质或多个介质(例如,集中式或分布式数据库、和/或相关联的高速缓存和服务器)。
术语“机器可读介质”可包括能够存储、编码或承载用于由机器7000执行并且使机器7000执行本公开的技术中的任何一者或多者的指令,或能够存储、编码或承载由此类指令使用或与此类指令相关联的数据结构的任何介质。非限制性的机器可读介质示例可以包括固态存储器以及光和磁介质。机器可读介质的特定示例可包括:非易失性存储器,诸如,半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))以及闪存设备;磁盘,诸如,内部硬盘和可移动盘;磁光盘;随机存取存储器(RAM);固态驱动器(SSD)以及CD-ROM和DVD-ROM盘。在一些示例中,机器可读介质可包括非瞬态机器可读介质。在一些示例中,机器可读介质可包括不是短暂传播信号的机器可读介质。
可使用传输介质经由网络接口设备7020在通信网络7026上进一步发送或接收指令7024。机器7000可利用数个传输协议(例如,帧中继、互联网协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等)中的任何一者来与一个或多个其他机器通信。示例通信网络可包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,互联网)、移动电话网络(例如,蜂窝网络)、普通老式电话(POTS)网络、以及无线数据网络(例如,称为的电气与电子工程师协会(IEEE)802.11标准族、称为的IEEE 802.16标准族)、IEEE 802.15.4标准族、长期演进(LTE)标准族、通用移动电信系统(UMTS)标准族、对等(P2P)网络等。在示例中,网络接口设备7020可包括用于连接到通信网络7026的一个或多个物理插口(jack)(例如,以太网、共轴、或电话插口)或者一根或多根天线。在示例中,网络接口设备7020可包括使用单输入多输出(SIMO)、多输入多输出(MIMO),或多输入单输出(MISO)技术中的至少一种无线地通信的多根天线。在一些示例中,网络接口设备7020可使用多用户MIMO技术来无线地通信。
其他注释和示例
示例1是一种包括指令的非瞬态机器可读介质,该指令在由机器执行时使机器执行操作,该操作包括:在包括至少一个子节点的第一领域中的父节点处:确定包括至少一个父节点的第二领域对第一领域通信可达;通过与第二领域的父节点的协议,确定形成包括作为子领域的第一领域和第二领域的第三领域;通过选择过程,选择第一领域的父节点作为第三领域的父节点;供应至少一个领域服务,以服务第三领域的子节点的至少一个请求;以及将至少一个领域服务广播到第三领域的子节点。
在示例2中,示例1的主题任选地包括:其中,至少一个领域服务包括以下一者:凭证管理服务、访问管理服务、供应服务、节点发现服务或资源发现服务。
在示例3中,示例1-2中的任何一项或多项的主题任选地包括:其中,用于确定形成包括第一领域和第二领域的第三领域的操作包括确定从服务器获取的策略规则指示第一领域和第二领域应当形成第三领域的操作。
在示例4中,示例1-3中的任何一项或多项的主题任选地包括:其中,用于供应至少一个领域服务以服务第三领域的子节点的至少一个请求的操作包括在父节点处提供至少一个领域服务的操作。
在示例5中,示例4的主题任选地包括:其中,在父节点处提供至少一个领域服务包括执行来自通过网络从脚本库获取的脚本的指令。
在示例6中,示例1-5中的任何一项或多项的主题任选地包括:其中,用于供应至少一个领域服务以服务第三领域的子节点的至少一个请求的操作包括分配第一领域的子节点以提供至少一个领域服务的操作。
在示例7中,示例1-6中的任何一个或多个的主题任选地包括,其中,操作包括:确定包括至少一个父节点的第四领域对第三领域通信可达;通过与第四领域的父节点的通信,确定形成包括作为子领域的第三领域和第四领域的第五领域;以及通过选择过程,选择第四领域的父节点作为第五领域的父节点。
在示例8中,示例7的主题任选地包括:其中,操作包括:为第三领域提供第一访问控制列表,并且为第五领域提供第二访问控制列表,该第一访问控制列表为父节点的至少一个资源规定针对第三领域中的其他节点的访问控制,该第二访问控制列表为该至少一个资源规定针对第五领域中的其他节点的访问控制。
在示例9中,示例8的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、节点的标识符以及允许该节点访问的类型的标识符。
在示例10中,示例8的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、角色的标识符以及允许该角色访问的类型的标识符。
示例11是一种设备,该设备包括:计算机处理器;存储指令的非瞬态存储器,该指令在由计算机处理器执行时使设备执行操作,该操作包括:在包括至少一个子节点的第一领域中的父节点处:确定包括至少一个父节点的第二领域对第一领域通信可达;通过与第二领域的父节点的协议,确定形成包括作为子领域的第一领域和第二领域的第三领域;通过选择过程,选择第一领域的父节点作为第三领域的父节点;供应至少一个领域服务,以服务第三领域的子节点的至少一个请求;以及将至少一个领域服务广播到第三领域的子节点。
在示例12中,示例11的主题任选地包括:其中,至少一个领域服务包括以下一者:凭证管理服务、访问管理服务、供应服务、节点发现服务或资源发现服务。
在示例13中,示例11-12中的任何一项或多项的主题任选地包括:其中,用于确定形成包括第一领域和第二领域的第三领域的操作包括确定从服务器获取的策略规则指示第一领域和第二领域应当形成第三领域的操作。
在示例14中,示例11-13中的任何一项或多项的主题任选地包括:其中,用于供应至少一个领域服务以服务第三领域的子节点的至少一个请求的操作包括在父节点处提供至少一个领域服务的操作。
在示例15中,示例14的主题任选地包括:其中,在父节点处提供至少一个领域服务包括执行来自在网络上从脚本库获取的脚本的指令。
在示例16中,示例11-15中的任何一项或多项的主题任选地包括:其中,用于供应至少一个领域服务以服务第三领域的子节点的至少一个请求的操作包括分配第一领域的子节点以提供至少一个领域服务的操作。
在示例17中,示例11-16中的任何一个或多个的主题任选地包括,其中,操作包括:确定包括至少一个父节点的第四领域对第三领域通信可达;通过与第四领域的父节点的通信,确定形成包括作为子领域的第三领域和第四领域的第五领域;以及通过选择过程,选择第四领域的父节点作为第五领域的父节点。
在示例18中,示例17的主题任选地包括:其中,操作包括:为第三领域提供第一访问控制列表,并且为第五领域提供第二访问控制列表,该第一访问控制列表为父节点的至少一个资源规定针对第三领域中的其他节点的访问控制,该第二访问控制列表为该至少一个资源规定针对第五领域中的其他节点的访问控制。
在示例19中,示例18的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、节点的标识符以及允许该节点访问的类型的标识符。
在示例20中,示例18-19中的任何一项或多项的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、角色的标识符以及允许该角色访问的类型的标识符。
示例21是一种方法,该方法包括:使用计算机处理器,在包括至少一个子节点的第一领域中的父节点处:确定包括至少一个父节点的第二领域对第一领域通信可达;通过与第二领域的父节点的协议,确定形成包括作为子领域的第一领域和第二领域的第三领域;通过选择过程,选择第一领域的父节点作为第三领域的父节点;供应至少一个领域服务,以服务第三领域的子节点的至少一个请求;以及将至少一个领域服务广播到第三领域的子节点。
在示例22中,示例21的主题任选地包括:其中,至少一个领域服务包括以下一者:凭证管理服务、访问管理服务、供应服务、节点发现服务或资源发现服务。
在示例23中,示例21-22中的任何一项或多项的主题任选地包括:其中,确定形成包括第一领域和第二领域的第三领域包括确定从服务器获取的策略规则指示第一领域和第二领域应当形成第三领域。
在示例24中,示例21-23中的任何一项或多项的主题任选地包括:其中,供应至少一个领域服务以服务第三领域的子节点的至少一个请求包括在父节点处提供至少一个领域服务。
在示例25中,示例24的主题任选地包括:其中,在父节点处提供至少一个领域服务包括执行来自在网络上从脚本库获取的脚本的指令。
在示例26中,示例21-25中的任何一项或多项的主题任选地包括:其中,供应至少一个领域服务以服务第三领域的子节点的至少一个请求包括分配第一领域的子节点以提供至少一个领域服务。
在示例27中,示例21-26中的任何一个或多个的主题任选地包括:确定包括至少一个父节点的第四领域对第三领域通信可达;通过与第四领域的父节点的通信,确定形成包括作为子领域的第三领域和第四领域的第五领域;以及通过选择过程,选择第四领域的父节点作为第五领域的父节点。
在示例28中,示例27的主题任选地包括:为第三领域提供第一访问控制列表,并且为第五领域提供第二访问控制列表,该第一访问控制列表为父节点的至少一个资源规定针对第三领域中的其他节点的访问控制,该第二访问控制列表为该至少一个资源规定针对第五领域中的其他节点的访问控制。
在示例29中,示例28的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、节点的标识符以及允许该节点访问的类型的标识符。
在示例30中,示例28-29中的任何一项或多项的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、角色的标识符以及允许该角色访问的类型的标识符。
示例31是一种设备,该设备包括:使用计算机处理器,在包括至少一个子节点的第一领域中的父节点处:用于确定包括至少一个父节点的第二领域对第一领域通信可达的装置;用于通过与第二领域的父节点的协议来确定形成包括作为子领域的第一领域和第二领域的第三领域的装置;用于通过选择过程来选择第一领域的父节点作为第三领域的父节点的装置;用于供应至少一个领域服务以服务第三领域的子节点的至少一个请求的装置;以及用于将至少一个领域服务广播到第三领域的子节点的装置。
在示例32中,示例31的主题任选地包括:其中,至少一个领域服务包括以下一者:凭证管理服务、访问管理服务、供应服务、节点发现服务或资源发现服务。
在示例33中,示例31-32中的任何一项或多项的主题任选地包括:其中,用于确定形成包括第一领域和第二领域的第三领域的装置包括用于确定从服务器获取的策略规则指示第一领域和第二领域应当形成第三领域的装置。
在示例34中,示例31-33中的任何一项或多项的主题任选地包括:其中,用于供应至少一个领域服务以服务第三领域的子节点的至少一个请求的装置包括用于在父节点处提供至少一个领域服务的装置。
在示例35中,示例34的主题任选地包括:其中,用于在父节点处提供至少一个领域服务的装置包括用于执行来自在网络上从脚本库获取的脚本的指令的装置。
在示例36中,示例31-35中的任何一项或多项的主题任选地包括:其中,用于供应至少一个领域服务以服务第三领域的子节点的至少一个请求的装置包括用于分配第一领域的子节点以提供至少一个领域服务的装置。
在示例37中,示例31-36中的任何一项或多项的主题任选地包括:用于确定包括至少一个父节点的第四领域对第三领域通信可达的装置;用于通过与第四领域的父节点的通信来确定形成包括作为子领域的第三领域和第四领域的第五领域的装置;以及通过选择过程来选择第四领域的父节点作为第五领域的父节点的装置。
在示例38中,示例37的主题任选地包括:用于为第三领域提供第一访问控制列表并为第五领域提供第二访问控制列表的装置,该第一访问控制列表为父节点的至少一个资源规定针对第三领域中的其他节点的访问控制,该第二访问控制列表为该至少一个资源规定针对第五领域中的其他节点的访问控制。
在示例39中,示例38的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、节点的标识符以及允许该节点访问的类型的标识符。
在示例40中,示例38-39中的任何一项或多项的主题任选地包括:其中,访问控制列表包括至少一个资源的标识符、角色的标识符以及允许该角色访问的类型的标识符。
Claims (25)
1.一种包括指令的非瞬态机器可读介质,所述指令在由机器执行时使所述机器执行操作,所述操作包括:
在包括至少一个子节点的第一领域中的父节点处:
确定包括至少一个父节点的第二领域对所述第一领域通信可达;
通过与所述第二领域的父节点的协议,确定形成包括作为子领域的所述第一领域和所述第二领域的第三领域;
通过选择过程,选择所述第一领域的父节点作为所述第三领域的父节点;
供应至少一个领域服务,以服务所述第三领域的子节点的至少一个请求;以及
将所述至少一个领域服务广播到所述第三领域的子节点。
2.如权利要求1所述的机器可读介质,其中,所述至少一个领域服务包括以下一者:凭证管理服务、访问管理服务、供应服务、节点发现服务或资源发现服务。
3.如权利要求1所述的机器可读介质,其中,用于确定形成包括所述第一领域和所述第二领域的第三领域的操作包括确定从服务器获取的策略规则指示所述第一领域和所述第二领域应当形成第三领域的操作。
4.如权利要求1所述的机器可读介质,其中,用于供应所述至少一个领域服务以服务所述第三领域的子节点的至少一个请求的操作包括在父节点处提供所述至少一个领域服务的操作。
5.如权利要求4所述的机器可读介质,其中,在所述父节点处提供所述至少一个领域服务包括执行来自通过网络从脚本库获取的脚本的指令。
6.如权利要求1所述的机器可读介质,其中,用于供应所述至少一个领域服务以服务所述第三领域的子节点的至少一个请求的操作包括分配所述第一领域的子节点以提供所述至少一个领域服务的操作。
7.如权利要求1所述的机器可读介质,其中,所述操作包括:
确定包括至少一个父节点的第四领域对所述第三领域通信可达;
通过与所述第四领域的父节点的通信,确定形成包括作为子领域的所述第三领域和所述第四领域的第五领域;以及
通过选择过程,选择所述第四领域的所述父节点作为所述第五领域的父节点。
8.如权利要求7所述的机器可读介质,其中,所述操作包括:为所述第三领域提供第一访问控制列表,并且为所述第五领域提供第二访问控制列表,所述第一访问控制列表为父节点的至少一个资源规定针对所述第三领域中的其他节点的访问控制,所述第二访问控制列表为所述至少一个资源规定针对所述第五领域中的其他节点的访问控制。
9.如权利要求8所述的机器可读介质,其中,访问控制列表包括所述至少一个资源的标识符、节点的标识符以及允许所述节点访问的类型的标识符。
10.如权利要求8所述的机器可读介质,其中,访问控制列表包括所述至少一个资源的标识符、角色的标识符以及允许所述角色访问的类型的标识符。
11.一种设备,包括:
计算机处理器;
存储指令的非瞬态存储器,所述指令在由所述计算机处理器执行时使所述设备执行操作,所述操作包括:
在包括至少一个子节点的第一领域中的父节点处:
确定包括至少一个父节点的第二领域对所述第一领域通信可达;
通过与所述第二领域的父节点的协议,确定形成包括作为子领域的所述第一领域和所述第二领域的第三领域;
通过选择过程,选择所述第一领域的父节点作为所述第三领域的父节点;
供应至少一个领域服务,以服务所述第三领域的子节点的至少一个请求;以及
将所述至少一个领域服务广播到所述第三领域的子节点。
12.如权利要求11所述的设备,其中,所述至少一个领域服务包括以下一者:凭证管理服务、访问管理服务、供应服务、节点发现服务或资源发现服务。
13.如权利要求11所述的设备,其中,用于确定形成包括所述第一领域和所述第二领域的第三领域的操作包括确定从服务器获取的策略规则指示所述第一领域和所述第二领域应当形成第三领域的操作。
14.如权利要求11所述的设备,其中,用于供应所述至少一个领域服务以服务所述第三领域的子节点的至少一个请求的操作包括在父节点处提供所述至少一个领域服务的操作。
15.如权利要求14所述的设备,其中,在所述父节点处提供所述至少一个领域服务包括执行来自通过网络从脚本库获取的脚本的指令。
16.如权利要求11所述的设备,其中,用于供应所述至少一个领域服务以服务所述第三领域的子节点的至少一个请求的操作包括分配所述第一领域的子节点以提供所述至少一个领域服务的操作。
17.如权利要求11所述的设备,其中,所述操作包括:
确定包括至少一个父节点的第四领域对所述第三领域通信可达;
通过与所述第四领域的父节点的通信,确定形成包括作为子领域的所述第三领域和所述第四领域的第五领域;以及
通过选择过程,选择所述第四领域的所述父节点作为所述第五领域的父节点。
18.如权利要求17所述的设备,其中,所述操作包括:为所述第三领域提供第一访问控制列表,并且为所述第五领域提供第二访问控制列表,所述第一访问控制列表为父节点的至少一个资源规定针对所述第三领域中的其他节点的访问控制,所述第二访问控制列表为所述至少一个资源规定针对所述第五领域中的其他节点的访问控制。
19.如权利要求18所述的设备,其中,访问控制列表包括所述至少一个资源的标识符、节点的标识符以及允许所述节点访问的类型的标识符。
20.如权利要求18所述的设备,其中,访问控制列表包括所述至少一个资源的标识符、角色的标识符以及允许所述角色访问的类型的标识符。
21.一种方法,包括:
使用计算机处理器,在包括至少一个子节点的第一领域中的父节点处:
确定包括至少一个父节点的第二领域对所述第一领域通信可达;
通过与所述第二领域的父节点的协议,确定形成包括作为子领域的所述第一领域和所述第二领域的第三领域;
通过选择过程,选择所述第一领域的父节点作为所述第三领域的父节点;
供应至少一个领域服务,以服务所述第三领域的子节点的至少一个请求;以及
将所述至少一个领域服务广播到所述第三领域的子节点。
22.如权利要求21所述的方法,其中,所述至少一个领域服务包括以下一者:凭证管理服务、访问管理服务、供应服务、节点发现服务或资源发现服务。
23.如权利要求21所述的方法,其中,确定形成包括所述第一领域和所述第二领域的第三领域包括确定从服务器获取的策略规则指示所述第一领域和所述第二领域应当形成第三领域。
24.如权利要求21所述的方法,其中,供应所述至少一个领域服务以服务所述第三领域的子节点的至少一个请求包括在父节点处提供所述至少一个领域服务。
25.如权利要求24所述的方法,其中,在所述父节点处提供所述至少一个领域服务包括执行来自通过网络从脚本库获取的脚本的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/977,870 | 2015-12-22 | ||
| US14/977,870 US20170180208A1 (en) | 2015-12-22 | 2015-12-22 | Organically composable iot networks |
| PCT/US2016/062232 WO2017112144A1 (en) | 2015-12-22 | 2016-11-16 | Organically composable iot networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108432210A true CN108432210A (zh) | 2018-08-21 |
| CN108432210B CN108432210B (zh) | 2021-08-10 |
Family
ID=59066756
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680075105.0A Active CN108432210B (zh) | 2015-12-22 | 2016-11-16 | 用于有机组成的IoT网络的方法和设备 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20170180208A1 (zh) |
| CN (1) | CN108432210B (zh) |
| DE (1) | DE112016005914T5 (zh) |
| WO (1) | WO2017112144A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10164983B2 (en) * | 2017-01-20 | 2018-12-25 | Verizon Patent And Licensing Inc. | Distributed authentication for internet-of-things resources |
| WO2019075317A1 (en) | 2017-10-12 | 2019-04-18 | Convida Wireless, Llc | INTERWORKING SERVICE FOR THE INTERNET OF RESTOUS OBJECTS |
| US10917298B2 (en) | 2018-04-05 | 2021-02-09 | Aeris Communications, Inc. | Global device management architecture for IoT devices with regional autonomy |
| US11678181B2 (en) | 2018-04-05 | 2023-06-13 | Aeris Communications, Inc. | Global device management architecture for IoT devices with regional autonomy |
| US20200076683A1 (en) * | 2018-08-31 | 2020-03-05 | Hewlett Packard Enterprise Development Lp | Dynamic Cloud-Based Provisioning of Branch-Based Networking Devices |
| CN109684868A (zh) * | 2018-12-03 | 2019-04-26 | 成都睿码科技有限责任公司 | Acl多租户系统的权限设置方法 |
| JP7247628B2 (ja) * | 2019-02-12 | 2023-03-29 | 日本電信電話株式会社 | 作成装置、作成システム、作成方法および作成プログラム |
| US12081979B2 (en) * | 2020-11-05 | 2024-09-03 | Visa International Service Association | One-time wireless authentication of an Internet-of-Things device |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571363A (zh) * | 2004-05-13 | 2005-01-26 | 上海交通大学 | 大型复杂网络的网络分割方法 |
| US20060165014A1 (en) * | 2005-01-26 | 2006-07-27 | Yasushi Ikeda | Peer-to-peer content distribution system |
| CN102123471A (zh) * | 2010-12-15 | 2011-07-13 | 北京理工大学 | 一种物联网的末端网络及其渗流数传方法 |
| CN102547680A (zh) * | 2010-12-17 | 2012-07-04 | 北京创毅视讯科技有限公司 | 一种物联网系统及物联网系统的安全管理方法 |
| CN103248726A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种多根对等的物联网标识解析方法 |
| US8934366B2 (en) * | 2012-04-20 | 2015-01-13 | Cisco Technology, Inc. | Distributed node migration between routing domains |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070100830A1 (en) * | 2005-10-20 | 2007-05-03 | Ganesha Beedubail | Method and apparatus for access control list (ACL) binding in a data processing system |
| US20070189329A1 (en) * | 2006-02-14 | 2007-08-16 | Nokia Corporation | System for combining networks of different addressing schemes |
| KR101394357B1 (ko) * | 2007-10-09 | 2014-05-13 | 삼성전자주식회사 | 무선 센서 네트워크 시스템 및 그의 클러스터 관리 방법 |
| US7688802B2 (en) * | 2008-05-23 | 2010-03-30 | Honeywell International Inc. | System and method for time synchronization in a wireless network |
| JP5568776B2 (ja) * | 2010-11-05 | 2014-08-13 | 株式会社日立製作所 | 計算機のモニタリングシステム及びモニタリング方法 |
| US10250557B2 (en) * | 2012-10-16 | 2019-04-02 | Nokia Solutions And Networks Oy | Enabling multi-realm service access for a single IP stack UE |
| EP2930879B1 (en) * | 2012-12-05 | 2021-02-24 | LG Electronics Inc. | Method and apparatus for authenticating access authorization in wireless communication system |
| US9510347B2 (en) * | 2014-05-08 | 2016-11-29 | Cisco Technology, Inc. | Timeslot distribution in a distributed routing protocol for deterministic wireless networks |
-
2015
- 2015-12-22 US US14/977,870 patent/US20170180208A1/en not_active Abandoned
-
2016
- 2016-11-16 DE DE112016005914.0T patent/DE112016005914T5/de not_active Withdrawn
- 2016-11-16 CN CN201680075105.0A patent/CN108432210B/zh active Active
- 2016-11-16 WO PCT/US2016/062232 patent/WO2017112144A1/en active Application Filing
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1571363A (zh) * | 2004-05-13 | 2005-01-26 | 上海交通大学 | 大型复杂网络的网络分割方法 |
| US20060165014A1 (en) * | 2005-01-26 | 2006-07-27 | Yasushi Ikeda | Peer-to-peer content distribution system |
| CN102123471A (zh) * | 2010-12-15 | 2011-07-13 | 北京理工大学 | 一种物联网的末端网络及其渗流数传方法 |
| CN102547680A (zh) * | 2010-12-17 | 2012-07-04 | 北京创毅视讯科技有限公司 | 一种物联网系统及物联网系统的安全管理方法 |
| US8934366B2 (en) * | 2012-04-20 | 2015-01-13 | Cisco Technology, Inc. | Distributed node migration between routing domains |
| CN103248726A (zh) * | 2013-05-23 | 2013-08-14 | 中国科学院计算机网络信息中心 | 一种多根对等的物联网标识解析方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170180208A1 (en) | 2017-06-22 |
| WO2017112144A1 (en) | 2017-06-29 |
| CN108432210B (zh) | 2021-08-10 |
| DE112016005914T5 (de) | 2018-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108432210A (zh) | 有机组成的IoT网络 | |
| Viriyasitavat et al. | Blockchain technology for applications in internet of things—mapping from system design perspective | |
| US10244001B2 (en) | System, apparatus and method for access control list processing in a constrained environment | |
| TWI503689B (zh) | 社交網路中的內容安全 | |
| US11799911B2 (en) | Systems and methods for security protocol execution in a hierarchical state machine-driven execution plan | |
| CN105684482B (zh) | 为代理设备建立受信任身份的方法 | |
| US9100453B2 (en) | Social device security in a social network | |
| CN102405630B (zh) | 多个域和域所有权的系统 | |
| JP2006099777A (ja) | レガシー・オートメーション・システムのための集中管理プロキシ・ベースのセキュリティ | |
| CN107534658A (zh) | 使用公钥机制在服务层的端对端认证 | |
| CN105706416B (zh) | 用于网络接入的用户设备和计算机可读介质 | |
| JP2021535475A (ja) | アクセスコントロールポリシーの配置方法、装置、システム及び記憶媒体 | |
| Ferreira et al. | Proposal of a secure, deployable and transparent middleware for internet of things | |
| WO2017091287A1 (en) | Resilient network construction using enhanced privacy identification | |
| CN106537368A (zh) | 移动设备管理代理器 | |
| CN103778379B (zh) | 管理设备上的应用执行和数据访问 | |
| Smirnov et al. | Context-based access control model for smart space | |
| Makhdoom et al. | PrivySharing: A Blockchain-based Framework for Integrity and Privacy-preserving Data Sharing in Smart Cities. | |
| EP2741465B1 (en) | Method and device for managing secure communications in dynamic network environments | |
| WO2017053992A1 (en) | Distributed big data security architecture | |
| Prathibha et al. | Exploring security and authentication issues in Internet of Things | |
| Hao et al. | Dbac: Directory-based access control for geographically distributed iot systems | |
| EP3353702B1 (en) | Distributed big data security architecture | |
| JP2009031831A (ja) | コミュニティ通信ネットワーク、通信制御方法、コミュニティ管理サーバ、コミュニティ管理方法、およびプログラム | |
| CN106341399A (zh) | 一种用户访问的控制方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |