CN109314694A - 可重配置的机器对机器系统中的组管理 - Google Patents

可重配置的机器对机器系统中的组管理 Download PDF

Info

Publication number
CN109314694A
CN109314694A CN201680086577.6A CN201680086577A CN109314694A CN 109314694 A CN109314694 A CN 109314694A CN 201680086577 A CN201680086577 A CN 201680086577A CN 109314694 A CN109314694 A CN 109314694A
Authority
CN
China
Prior art keywords
equipment
group
assets
permission
described group
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201680086577.6A
Other languages
English (en)
Other versions
CN109314694B (zh
Inventor
S-W·杨
M·赵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN109314694A publication Critical patent/CN109314694A/zh
Application granted granted Critical
Publication of CN109314694B publication Critical patent/CN109314694B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0659Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities
    • H04L41/0661Management of faults, events, alarms or notifications using network fault recovery by isolating or reconfiguring faulty entities by reconfiguring faulty entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0813Configuration setting characterised by the conditions triggering a change of settings
    • H04L41/0816Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0894Policy-based network configuration management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0492Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload by using a location-limited connection, e.g. near-field communication or limited proximity of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services
    • H04W4/08User group management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/16Arrangements for providing special services to substations
    • H04L12/18Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
    • H04L12/185Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/06Selective distribution of broadcast services, e.g. multimedia broadcast multicast service [MBMS]; Services to user groups; One-way selective calling services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Multimedia (AREA)
  • Computer And Data Communications (AREA)
  • Telephonic Communication Services (AREA)

Abstract

由组权限主管将针对组的登记权限委派给注册器设备。该注册器设备识别与包括该组的机器对机器(M2M)系统的重配置相关联的特定资产设备。该注册器设备识别与M2M系统的重配置相关联的针对特定资产设备在设备组内的登记的登记请求,并且与特定设备进行通信以发起特定设备在该设备组内的登记,其中,特定设备的登记包括使特定设备配设有组访问凭证。

Description

可重配置的机器对机器系统中的组管理
技术领域
本公开总的来说涉及计算机系统领域,并且更具体地涉及机器对机器系统的管理。
技术背景
因特网已经使得世界各地的不同计算机网络的互连成为可能。虽然之前因特网连接限于常规的通用计算系统,但是正在对数量和类型不断增加的产品进行重新设计以适应在计算机网络(包括因特网)上的与其他设备的连接。例如,智能手机、平板计算机、可穿戴设备、以及其他移动计算设备已经变得非常受欢迎,甚至在最近几年取代了较庞大的、更传统的通用计算设备(诸如传统的台式计算机)。越来越多地使用具有较小的形状因子以及更受约束的特征集和操作系统的移动计算设备来执行传统上执行在通用计算机上的任务。进一步地,传统的电器和设备正在变得更“智能”,是因为它们是普遍存在的并且配备有连接至或消费来自因特网的内容的功能。例如,设备(诸如电视机、游戏系统、家用电器、温度调节装置、手表)已经装备有网络适配器以允许该设备直接地或通过与连接至网络的另一个计算机的连接来与因特网(或其他设备)连接。另外,这种增加的互连设备的总体也促进了计算机控制的传感器的增多,该计算机控制的传感器同样地被互连并收集新的和大的数据集。相信,越来越大量的设备(或“物体”)的互连预示了先进的自动化和互连性的新纪元(其有时被称为物联网(IoT))。
附图说明
图1A示出包括多个传感器设备的系统和示例数据管理系统的实施例;
图1B示出云计算网络的实施例;
图2示出包括示例数据管理系统的实施例;
图3A是示出资产抽象和绑定的示例的简化框图;
图3B是示出资产发现的示例的简化框图;
图3C是示出使用经发现的资产集的资产抽象和绑定的示例的简化框图;
图4A-4C是示出示例机器对机器网络的示例的示例重配置的简化框图;
图5是示出根据至少一些实施例的示例安全域的简化框图;
图6是示出根据至少一些实施例的设备登记过程的概览的过程流程图;
图7是示出根据至少一些实施例的设备登记过程的更详细实施例的过程流程图;
图8A-8C、图9和图10A-10B是示出根据至少一些实施例的关于实施设备登记协议的分别由登记器设备、经委派的注册器设备、以及组权限主管设备所采取的动作的过程流程图;
图11是示出用于使用注册器设备以执行对与IoT系统的重配置相结合的资产的经委派的登记的示例技术的流程图;
图12是根据一个实施例的示例性处理器的框图;以及
图13是根据一个实施例的示例性计算系统的框图。
各个附图中相似的附图标记和命名指示相似要素。
具体实施方式
图1A是示出系统100的简化的表示的框图,该系统100包括部署在整个环境中的一个或多个设备105a-d或资产。每个设备105a-d可以包括计算机处理器和/或通信模块,以允许每个设备105a-d与环境中的一个或多个其他的设备(例如,105a-d)或系统交互操作。每个设备能够进一步包括可以运用和利用(例如,通过其他设备或软件)于机器对机器系统或者物联网(IoT)系统或应用内的各种类型的传感器(例如,110a-c)、致动器(例如,115a-b)、存储器、电源、计算机处理、以及通信功能的一个或多个实例。传感器能够检测、测量、和生成描述了该传感器在其中驻留、安装或相连接的环境的特性的传感器数据。例如,给定的传感器(例如,110a-c)可以配置为检测一个或多个相应的特性(诸如,移动、重量、物理接触、温度、风、噪声、光、计算机通信、无线信号、位置、湿度、辐射的存在、液体、或特定的化学化合物以及多个其他示例)。实际上,如本文中所描述的传感器(例如,110a-c)预期发展为可能无限的多种传感器的总体,每个传感器被设计为且能够检测并产生针对新的和已知的环境特性的对应的传感器数据。致动器(例如,115a-b)能够允许设备执行某种动作以影响其环境。例如,该设备中的一个或多个设备(例如,105b、105d)可以包括接受输入并作为响应来执行其相应的动作的一个或多个相应的致动器。致动器能够包括控制器以激活附加的功能(诸如:选择性切换电源或警报的操作的致动器;相机(或其他传感器);供暖、通风和空气调节(HVAC)电器;家用电器;车载设备;照明;以及其他示例)。
在一些实现方式中,提供于设备105a-d上的传感器110a-c和致动器115a-b可以被包括于物联网(IoT)或机器对机器(M2M)系统中和/或体现物联网(IoT)或机器对机器(M2M)系统。单个物理设备(例如,105b)可能包括多个传感器和/或致动器(例如,105c、110a)。在一些情况中,可以认为物理设备(例如,105b)是M2M网络内的单个端点。在其他情况中,可以认为个体传感器或致动器(在单个设备上)是用于M2M网络的目的的分立的端点。M2M和IoT系统可以指,由交互操作和协同增强以交付一个或多个结果或交付物的多个不同的端点组成的新的或改进的自组织系统和网络。这样的自组织系统出现是因为越来越多的产品和装备演进到变得“智能”,其中,它们由计算处理器控制或监测并且被提供有用于与其他计算设备(以及具有网络通信能力的产品)通过计算机实现的机制来进行通信的设施。例如,IoT系统可以包括从集成在“物体”(诸如装备、玩具、工具、车辆等并且甚至为生物(例如,植物、动物、人类等))中或附连至“物体”的传感器和通信模块构建起的网络。在一些实例中,IoT系统可以有机地或意外地发展,其中传感器的集合监测各种物体和相关的环境,并与数据分析系统和/或控制一个或多个其他智能设备的系统互连,以实现各种用例和应用(包括之前未知的用例)。进一步地,可以从至今为止不接触彼此的设备来形成IoT系统,该系统被自发地或动态地组成和自动配置(例如,根据对交互进行限定或控制的IoT应用)。进一步地,IoT系统经常由连接设备的复杂的和多样的集合(例如,105a-d)(诸如由各种实体组供能或控制以及采用各种硬件、操作系统、软件应用、和技术的设备)。
当构建或定义IoT系统时,促进这样的多样的系统的成功的交互操作性以及其他示例考虑是一个重要的问题。可以开发软件应用来对IoT设备的集合可以如何交互以达到特定的目标或服务进行管控。在一些情况中,IoT设备可能一开始没有被构建或旨在参与到这样的服务中或与一个或多个其他类型的IoT设备进行协作。实际上,物联网的一部分前景是,随着这样的设备变得更加普遍并且新的“智能”设备或“连接”设备出现,许多领域中的创新者将创造涉及不同的IoT设备组的新的应用。然而,对这样的IoT应用进行编程或编码的动作可能对于这些可能的创新者而言是不熟悉的,因此限制了对这些新的应用进行开发以及将这些新的应用投入市场的能力,以及其他示例和问题。
如图1A的示例中所示,可以提供多个IoT端点(或“设备”)(例如,105a-d),从该多个IoT端点中可以构建一个或多个不同的IoT应用。例如,设备(例如105a-d)可以包括如下这样的示例:移动个人计算设备(诸如智能手机或平板设备);可穿戴计算设备(例如,智能手表、智能服装、智能眼镜、智能头盔、耳机等等);诸如家用自动化设备、建筑物自动化设备、车辆自动化设备的特制设备以及不太传统的计算机增强产品(例如,智能温度-通风-空气调节(HVAC)控制器以及传感器、光检测和控制、能源管理工具等);智能电器(例如,智能电视、智能冰箱等);以及其他示例。一些设备可以是特制的以主存传感器和/或致动器源(诸如包括与天气监测(例如,温度传感器、风传感器、湿度传感器等)相关的多个传感器的天气传感器设备)、交通传感器和控制器、以及许多的其他示例。可以将一些设备静态定位(诸如:安装在建筑物内的设备;安装在路灯柱、标志、水塔上的设备;固定于地面上(例如,在室内或在室外)的设备;或者其他固定的或静态的结构)。其他设备可以是可移动的(诸如:配设在车辆的内部或外部的传感器;包装内的传感器(例如,为了跟踪货物);活动的人类用户或动物用户所穿戴的可穿戴设备;空中无人机、基于地面的无人机、或水下无人机;以及其他示例)。实际上,可能期望一些传感器在环境中移动并且可以围绕涉及移动的对象或使用这样的设备改变环境的用例(包括涉及移动设备和静态设备这两者的用例)来构建应用,以及其他示例。
继续图1A的示例,可以提供基于软件的IoT管理平台(例如,140)以允许开发者和终端用户建立和配置IoT应用和系统。IoT应用可以提供软件支持以组织和管理一组IoT设备的操作以用于特定的目的或用例。在一些情况中,设备可以通过与网络中的其他设备的直接通信来形成网络或组。在一些情况中,可以提供一个或多个网关设备(例如,125),网络中的不同的设备可以通过该一个或多个网关设备来与外部的资源(诸如广域网(例如,120)、远程服务器、运计算资源、以及其他系统)进行通信。在示例中,网关(例如,125)可以执行用于机器对机器网络内的安全域的组权限主管设备或注册器设备的任务,以及其他功能和特征。远程系统(例如,145)可以用作用于机器对机器网络的聚合器,从来自任何数量的设备(例如,105a-c)的任何数量的传感器(例如,110a-c)的数据中收集数据,并且对这样的数据执行后端处理。后端系统、数据聚合器、以及其他系统(在或不在对应的机器对机器系统内)还可以执行用于安全域的组权限主管设备或注册器设备的任务,以及其他示例。
在一些情况中,IoT应用可以被体现为用户计算设备(例如,130)的操作系统上的应用或者用于在智能手机、平板计算机、智能手表、或其他移动设备(例如,132、135)上执行的移动应用(mobile app)。在一些情况中,该应用可以具有特定于应用的管理实用程序(utility),该管理实用程序允许用户配置设置和政策以管控一组设备(例如,105a-d)如何在应用的请境内进行操作。管理实用程序还可以用于选择与该应用一起使用哪些设备。例如,可以指定和授权设备的组参与作为特定应用或功能内的设备。管理实用程序可以保护经授权或经分组的设备之间的通信。在一些情况中,可以将惯于限定分组或安全域的终端用户设备指定为针对该组的组权限主管。在一些情况中,可以在组权限主管设备上提供管理实用程序的至少一部分。在其他情况中,可提供专用IoT管理应用(例如,在用户设备或应用服务器上),该专用IoT管理应用可以管理可能多个不同的IoT应用或系统。实际上,可以将IoT管理应用或系统主存在单个系统(诸如单个服务器系统(例如,140)或单个终端用户设备(例如,125、130、135))上。可替代地,IoT管理系统可以分布在多个主机设备(例如,130、132、135、140、145等)上。
在一些情况中,可以利用IoT管理系统的界面对应用进行编程或以其他方式创建或配置应用。在一些情况中,界面可以采取资产抽象以简化IoT应用构建过程。例如,用户可以简单地选择设备的种类或分类,并且在逻辑上将选择设备的集合分类组装,以建立IoT应用的至少一部分(例如,在不必提供关于配置、设备识别、数据转移等的细节的情况下)。进一步地,使用IoT管理系统建立的IoT应用系统可以是可共享的,其中,用户可以发送数据,该数据向另一个用户识别经创建的系统、允许其他用户抽象的系统定义简单地移植至其他用的环境(即使当该设备模型的组合与初始用户的系统的设备模型的组合不同时)。另外,由给定的用户限定的系统设定或应用设定可以配置为与其他用户是共享的或在不同环境之间是可移植的,以及其他示例特征。
在一些情况中,IoT系统可以与主存在基于云端的系统和其他远程系统(例如,145)中的远程服务(诸如数据存储、信息服务(例如,媒体服务、天气服务)、地理位置服务、和计算服务(例如,数据分析、搜索、诊断等))接合(通过对应的IoT管理系统或应用,或者通过参与的IoT设备中的一个或多个IoT设备)。例如,IoT系统可以通过一个或多个网络120连接至远程服务。在一些情况中,可以将远程服务自身认为是IoT应用的资产。可以由管控IoT应用和/或部件IoT设备中的一个或多个设备来消费远程主存的服务所接收的数据以使得一个或多个结果或动作被执行,以及其他示例。
一个或多个网络(例如,120)可以促进传感器设备(例如,105a-d)、终端用户设备(例如,130、132、135)、以及用于在环境中实现和管理IoT应用的其他系统(例如,140、145)之间的通信。这样的网络可以包括有线的和/或无线的本地网络、公共网络、广域网、宽带蜂窝网络、因特网等。
一般来说,示例计算环境100中的“服务器”、“客户”、“计算设备”、“网络元件”、“主机”、“系统类型系统实体”、“用户设备”、“传感器设备”、以及“系统”(例如,105a-d、125、130、132、135、140、145等)可以包括可操作用于接收、传输、处理、存储、或管理与计算环境100相关联的数据和信息的电子计算设备。如本文中使用的,术语“计算机”、“处理器”、“处理器设备”、或者“处理设备”旨在涵盖任何合适的处理装置。“端点”或“资产”可以指单个物理设备(该设备主存一个或多个传感器或致动器),以及(或可替代地)指每个被提供在设备上的个体传感器或致动器。在一些实例中,可以使用多个计算设备和处理器(诸如包括多个服务器计算机、设备、传感器、致动器等的多个池)来实现被展示为计算环境100内的单个设备的元件。进一步地,可将该计算设备中的任何计算设备、全部计算设备、或者一些计算设备适配为执行任何操作系统(包括Linux、UNIX、Microsoft Windows,、Apple OS、AppleiOS、Google Android、Windows Server等)以及适配为虚拟化特定操作系统(包括定制操作系统和专有操作系统)的执行的虚拟机。
虽然将图1A描述为包含多个元件或与多个元件相关联,但是可能并非将图1A的计算环境100内所展示的所有的元件利用在本公开的每个可替代实现方式中。另外,可以将联系图1A的示例所描述的元件中的一个或多个元件定位在计算环境100外部,同时在其他实例中,可以将某些元件包括在其他所描述的元件以及未在所展示的实现方式中描述的其他元件中的一个或多个元件内,或者作为其他所描述的元件以及未在所展示的实现方式中描述的其他元件中的一个或多个元件的一部分。进一步地,图1A中展示的某些元件可以与其他部件以及用于除本文中所描述的那些目的之外的可替代的目的或附加的目的的部件相组合。
如上所述,设备或端点的集合可以参与到物联网(IoT)网络中,其可以利用无线局域网(WLAN)(诸如根据IEEE 802.11标准族)标准化的那些、家域网(诸如根据Zigbee联盟(Zigbee Alliance)标准化的那些)、个人域网(诸如根据蓝牙特别兴趣小组(BluetoothSpecial Interest Group)标准化的那些)、蜂窝数据网络(诸如根据第三代伙伴项目(Third-Generation Partnership Project,3GPP)标准化的那些)以及具有无线连接或有线连接的其他类型的网络。例如,端点设备还可以通过总线接口(诸如通用串行总线(USB)类型连接、高清晰度多媒体接口(HDMI)等)达到至安全域的连接。
如在图1B的简化框图101中所示,在一些实例中,与IoT设备(例如,105a-d)的网状网络(其可被称为“雾”)进行通信的云计算网络或云端可以在云端的边缘操作。为了简化该图,没有对每个IoT设备105进行标记。
可以将雾170认为是大规模地互连的网络,其中数个IoT设备105例如通过无线电线路165与彼此进行通信。其可以使用由开放连接基金会(Open ConnectivityFoundationTM,OCF)在2015年12月23日发布的开放互连联盟(open interconnectconsortium,OIC)标准说明书1.0来被执行。该标准允许设备发现彼此并建立通信以用于互连。还可以使用其他互连协议(包括例如优化链路状态路由(OLSR)协议或移动自组织网络较佳方案(better approach to mobile ad-hoc networking B.A.T.M.A.N.)等)。
尽管在本示例中展示三种类型的IoT设备105:网关125、数据聚合器175、以及传感器180,但可以使用IoT设备105和功能的任何组合。网关125可以是提供云端160与雾170之间的通信的边缘设备,并且还可以充当用于传感器180的充电设备和定位设备。数据聚合器175可以向传感器180提供充电并且还可以定位传感器180。可以沿云端160通过网关125传递位置、充电警报、电池警报、以及其他数据或者这两者。如本文中所描述的,传感器180可以向其他设备或项目提供功率、位置服务、或这两者。
来自任何IoT设备105的通信可以沿IoT设备105之间的最方便的路径被传递以到达网关125。在这些网络中,互连的数目提供了大量冗余,这允许即使在损失数个IoT设备105的情况下也维持通信。
可将这些IoT设备105的雾170呈现给云端160中的设备(诸如服务器145)以作为位于云端160的边缘的单个设备(例如,雾170设备)。在该示例中,来自雾170设备的警报可以在不被识别为来自雾170内的特定IoT设备105的情况下被发送。例如,在不识别发送警报的任何特定的数据聚合器175的情况下,该警报可以指示需要返回传感器180以用于充电以及传感器180的位置。
在一些示例中,可以使用命令性编程风格来配置IoT设备105(例如,每个IoT设备105具有特定功能)。然而,可以以声明性编程风格来配置形成雾170设备的IoT设备105,这允许IoT设备105响应于状况、查询、以及设备失效来重新配置其操作并且确定所需的资源。例如,来自位于服务器145的用户的关于传感器180的位置的查询可能导致雾170设备选择回答查询所需的IoT设备105(诸如特定的数据聚合器175)。如果传感器180正在向与传感器180相关联的设备、传感器提供功率,则可以与该设备或其他设备上的传感器相配合地使用诸如功率需求、温度等以回答查询。在该示例中,雾170中的IoT设备105可以基于查询(诸如添加来自功率传感器或温度传感器的数据)来选择特定传感器180上的传感器。进一步地,如果IoT设备105中的某一设备不是运作的,例如,如果数据聚合器175失效了,则雾170设备中的其他IoT设备105可以提供代替物,允许确定位置。
进一步地,雾170可以基于传感器180和数据聚合器175的相对的物理位置将自身划分成较小的单元。在该示例中,可以沿传感器180的移动的路径向IoT设备105传递已经在雾170的一部分中被实例化的传感器180的通信。进一步地,如果将传感器180从一个位置移动到雾170的不同区域中的另一个位置,则可以将不同的数据聚合器175识别为传感器180的充电站。
作为示例,如果传感器180用于向化学工厂中的便携式设备(诸如个人碳氢化合物检测器)供能,则将把设备从初始位置(诸如储藏室或控制室)移动至化学工厂中的位置,该化学工厂中的位置可能距初始位置几百英尺至数千英尺。如果整个设施被包括在单个雾170充电结构中,则当设备移动时,可以在包括传感器180的警报和位置功能(例如,传感器180的实例化信息)的数据聚合器175之间交换数据。因此,如果针对传感器180的电池警报指示了需要对其进行充电,则雾170可以指示准备用于与便携式设备中的传感器180进行交换的经完全充电的传感器180的数据聚合器175。
随着IoT设备和系统的发展,存在越来越大量的市场中可获得的智能设备和连接设备(诸如能够用于家自动化、工厂自动化、智能工厂以及其他IoT应用和系统中的设备)。例如,在家用自动化系统中,家的自动化通常随着添加更多的IoT设备以用于感测和控制家的附加方面而增加。然而,由于设备的数目和种类增加,所以对“物体”(或IoT系统中包含的设备)变得非常地复杂和有挑战性。
可以利用预设的设置来配置一些设备管理应用,以允许用户快速地且配置设备的工作最小地建立他们的系统。然而,那些设置可能不是普遍地期望的,这可能限制了它们的灵活性和总体实用性。在设置是可配置的情况下,用户可能努力理解设定值的理想组合,求助于试验和错误来算出针对它们的系统(例如,智能家居、办公室、轿车等)的最优设定。实际上,对于一个用户而言理想的或最优的设定的组合可以是主观的,然而,其他用户仍可以对其他用户(该其他用户产生这些其他用户所期望的结果)所确定的设定值感兴趣。例如,第一用户的访客可以第一手地观察第一用户的系统的配置并期望在他们自己的系统中重新创建经观察的系统的属性。然而,在传统的系统中,假定通常将系统与系统设定关联以识别设备系统,则系统设定通常不是便携式可获得的。
在一些实例中,在特定的机器对机器网络(例如,与IoT应用相结合的机器对机器网络)中包含给定的设备可以涉及由用户来配置以使得网络中的设备或网络的子域受加密、认证或其他机制保护。被指定为组权限主管(并且被分派为管理和批准将设备添加至这样的安全域或从这样的安全域减去设备)可能不总是可用的,这使域的重配置复杂化,从而可以寻求添加或减去或重新登记域的组内的设备。例如,在不存在组权限主管的情况下,可能不对新的设备进行授权或认证以包括在域中,即使如此做将会以编程方式是可行的。
在一些实现方式中,可以提供改进的IoT管理功能以解决以上所介绍的示例问题中的至少一些问题。通常,改进的IoT管理系统可以通过资产抽象来简化IoT设备的部署,从而在部署和重新部署期间显著地降低人类触摸点。例如,IoT管理和应用可以采用如下范例:在该范例中,代替参考和被编程以与特定的IoT设备进行交互操作,系统可以参考IoT设备(或者“端点”或者“资产”,在本文中可交换使用)的经抽象的种类、或分类。可以借助于资产抽象来自动地配置具有最小的人类干预的经部署的IoT系统。实际上,在一些实例中,系统的配置可以在用户不必实际制定使用哪个设备的情况下进展。相反,代替地,可以由系统使用部署政策以自动选择和配置系统内的设备的至少一部分。进一步地,资产发现、资产抽象和资产绑定可以促进解决IoT应用的便携性的挑战,该挑战传统上已经限制了IoT应用的总体的可缩放性和弹性。
在一些实现方式中,利用资产抽象,只要资产落在分类中的相同的类别中(例如,占用感测、图像捕捉、计算等),则可以无差别地对待资产。结果,可使得IoT应用是便携式的、可重复使用的、以及可共享的,是因为可以在不指定意味着提供这些要求的精确的身份(或身份的目录)的情况下以仅指定要求的方式写入和存储该IoT应用。另外,通过识别具有功能特性的新的设备或替代的设备来代替已经被检测为故障、禁用或以其他方式不可用的其他设备(例如,在组或IoT网络中),资产发现和抽象可以允许自动地解决故障转移事件。资产发现允许搜索全部可用的资源以检测满足特定于给定的应用的(经抽象的)要求的那些资源并且在一些实例中基于以这些抽象为基础的可定制的或基于政策的准则来进一步选择该资源。
虽然可以通过自动化资产发现和抽象来促进机器对机器网络的自动化配置和重配置,但在要将设备添加至安全域的情况中,可能必须由组权限主管来将设备附加地登记在域中。然而,组权限主管可能并非总是可用于与设备进行通信和对设备进行认证,该设备已经被选择以包括在对应的组、域、或机器对机器网络的一部分中。在一些实现方式中,可能需要组权限主管连接至网络以使得组中的设备的安全登记成为可能。然而,这样的要求可能是低效的和不方便的。还可能在一些情况中不期望将组权限主管权利转移至另一个设备,因为向另一个设备(或控制设备方)授予完全的登记许可可能是不能接受的,这是由于组权限主管设备为了登记所利用的敏感数据(例如,密钥、证书、以及其他认证数据)的转移自身可能是不安全的,并且多个设备之间的这样的数据的共享可能危害这样的数据的完整性和管理。相应地,在一些实现方式中,可能仅将组权限主管的登记责任的一部分委派给另一个设备,诸如委派给被指定为针对对应的组的注册器设备的设备。例如,即使当组权限主管不存在于网络时,也可以委派注册器负责检测、导入、以及充当用于与组权限主管进行通信的代理。这可以允许即使在不存在现场组权限主管的情况下也可能对IoT和其他机器对机器系统进行在线重配置,以及其他特征和益处。
系统(诸如本文中所示出的和所展示的那些系统)可以包括以硬件和/或软件方式被实现的机器逻辑以实现被引入到本文中的解决方案并且解决以上的示例问题中的至少一部分(以及其他)。例如,图2示出展示了包括能够用于各种不同IoT应用中的多个IoT设备或资产(例如,105a-c)的系统的简化框图200。在图2的示例中,提供一个或多个主机系统205以主存特定IoT应用210。相同的主机系统可以主存IoT系统管理器215以用于识别和部署IoT系统,从而与应用210的应用逻辑220一起使用。在其他实现方式中,系统管理器215可以被提供为与应用210分开(例如,在提供IoT系统管理作为对应用210以及其主机的服务的远程服务器上)。
在图2的特定示例中,系统管理器215可以包括各种逻辑模块(该各种实现模块以硬件和/或软件的方式被实现),以向一个或多个IoT应用提供IoT系统管理并有效地部署和管理M2M或IoT网络中的设备(或“资产”)的网络。例如,资产发现模块225可以被提供为包括用于确定哪些IoT设备在彼此、一个或多个网关、或者主存了系统管理器215的设备(例如,205)的范围内的功能。在一些实现方式中,系统管理器215可以利用主机设备205的无线通信(例如,266)能力以试图与特定半径内的设备进行通信。例如,可以检测从主机设备205的(一个或多个)通信模块266(或资产(例如,105a-c)的(一个或多个)通信模块(例如,268、272、274))发射出的WiFi或蓝牙信号范围内的设备。与主机设备205进行通信的网关设备还可以报告(例如,向资产发现模块225)网关设备已经检测到哪些设备并且能够与该设备进行通信,以及其他示例。实际上,当确定了对于给定的系统或应用而言设备是否适于包含在设备列表中时,可以由资产发现模块225来考虑附加的属性。在一些实现方式中,可以限定条件以用于确定设备是否应当被包括在列表中。例如,资产发现模块220不仅可以尝试识别能够接触特定资产,还可确定资产的诸如物理位置、语义位置、时间相关性、设备的移动(例如,该设备是否在与发现模块的主机相同的方向上和/或以与发现模块的主机相同的速率移动)、设备的权限级别要求或访问级别要求、以及其他特性。作为示例,为了在针对类似家的或类似办公室的环境中部署每个房间的智能照明控制,可以基于每个“房间”来部署应用。相应地,资产发现模块225可以确定被识别(例如通过设备所报告的地理围栏或语义位置数据)为在特定房间内的设备的列表(尽管资产发现模块225能够与落在所期望的语义位置外的其他设备进行通信和检测落在所期望的语义位置外的其他设备)。可以在IoT应用(例如,210)自身中限定发现的条件,或发现的条件可以是可配置的以使得用户能够定制限定该条件中的至少一些条件。另外,在一些示例中,可以针对不同的资产类型(或分类)酌情限定不同的发现条件。例如,远程服务可以是完美的可接受的资产以用于在应用中所使用的一个资产分类,其中,可以忽略服务的主机的接近度,而对于其他类型的资产(诸如传感器、致动器等)接近度是重要的因素。
系统管理器215还可以包括资产抽象模块230。资产抽象模块230可以识别特定IoT设备之间或更一般地特定功能之间的经限定的映射,该特定功能可以被包括在具有经限定的分类或针对设备的资产抽象的集合的各种现有IoT设备或未来IoT设备中的任一个设备中。资产抽象模块230可以针对资产发现模块225所发现的每个资产来确定资产所“属于”的相应的资产抽象或分类。每个分类可以对应于资产的功能能力。可以将已知的资产或被确定为拥有该能力的资产分组在对应的分类内。可以确定一些多功能资产属于多个分类。在一些情况中,资产抽象模块230可以确定(一个或多个)抽象,该(一个或多个)抽象基于从资产接收的信息(例如,在被资产发现模块225发现期间)要被应用于给定的资产。在一些情况中,资产抽象模块可以从每个资产获取识别符并对与制造资产的模型相对应的预定抽象分配来对后端数据库进行查询,以及其他示例。进一步地,在一些实现方式中,资产抽象模块230可以查询每个资产(例如,根据经限定的协议)来确定资产的能力的列表,资产抽象模块230能够将资产从该列表映射至一个或多个经定义的抽象分类。资产抽象模块230允许应用将落在给定的分类内的每个资产视作该分类的实例,而不是迫使系统管理器215特定于精确的设备模型地被配置。资产抽象模块230可以访问分类框架(基于应用基础、系统基础、或通用基础来对该分类框架限定),该分类框架将精确的设备抽象成包括用于感测、致动、计算、存储的较高级别分类和较低级别分类以及其他分类的分类。利用资产抽象,只要资产落在分类(例如,占用感测)中的相同的分类内,就无差别地对待资产。可以通过资产抽象使IoT应用(例如,210)以及其设定是便携式的、可重复利用的和可共享的,因为可以以仅指定资产要求(即,分类)而没有它们的特定身份信息的方式写入和存储应用210。
系统管理器215还可以包括资产绑定模块235,该资产绑定模块235可以从被发现的资产中选择对于系统部署哪些资产。在一些情况中,基于选择资产,资产绑定模块235可以使对应的资产被配置以用于与应用210一起使用。这可以涉及:使资产配设有对应的代码(例如,以允许该资产与应用210和/或其他资产进行通信和交互操作),登入、解锁、或以其它方式开启资产,向该资产发送会话数据或请求与该资产的会话,以及其他示例。在已经识别了相同分类的多个资产(并且超过分类的实例的最大的所期望的数目)的情况中,资产绑定模块235可以附加地评估该资产中的哪个资产与应用210最适合。例如,应用205可以限定准则,该准则指示用于应用210中的资产的期望的属性。这些准则可以是应用于每个分类的实例的全局准则,或可以是分类特定的(即,仅应用于相同分类内的资产之间的判定)。资产绑定可以配设IoT应用(例如,210)所指定的资产以用于自动部署(在运行时之间或在运行时期间)。在一些实现方式中,可以将应用(例如,210)的部分分布的资产中的一个或多个资产上。一旦资产被配设,部署的资产可以共同用于实现为应用(例如,210)所设计的目标和功能。进一步地,在检测到(例如,使用资产发现模块225)新的设备或替代设备(例如,在经修改的网络或全新的网络中)的情况中,资产绑定模块235可以基于被限定用于IoT应用的资产抽象来动态地将新的设备绑定至针对IoT应用(例如,210)的准则集。
系统管理器215可以附加地提供(例如,通过设定管理器240)允许用于对被应用于应用210的经选择的资产分类(或要求)以及应用于应用210总体上的设定的功能。可以取决于由应用和应用的总体目标要使用的资产的集合来提供各种不同设定。可以限定默认设定值,并且可以进一步提供工具向以允许用户针对该设定(例如,空气调节的优选的温度设定、用于锁上智能锁或储物柜的秒数、用于触发运动传感器和控制的灵敏度设定等)限定他们自己的值。构成“理想”的设定可以是主观的并且涉及一些用户的修补。当用户对设定满意时,用户可以保存设定作为配置。在一些实现方式中,可以将这些配置本地保存(例如,保存在205处)或保存在云端上。在一些情况中,可以共享配置,以使得用户可以将他们认为理想的设定与其他用户(例如,朋友或社交网络联系人等)共享。每当应用要部署其发现的资产时,可以生成配置数据,系统管理器215在运行时自动地从该配置数据中重新采用该设定。结果,虽然特定设备松散地绑定至应用的用户的实例(因为该实例被抽象),但可以将设定紧密地绑定至用户,从而使得用户可以在环境(包括具有不同组设备的环境,该不同组设备在运行时被绑定至应用)之间迁移。不管被选择以满足应用的经抽象的资产要求的特定的设备识别符或实现方式如何,都可以应用相同设定(例如,如也涉及对资产(即,并非特定资产)的抽象的设定)。在不将特定设置应用于分类的经选择的实例的程度上,可以忽略设定。如果分类的经选择的实例拥有配置中的用户未限定的设定(例如,是因为它们对于特定资产是唯一的),则可以自动地设置这些设定的默认值,或可以警告用户这些设定是未限定的,以及其他示例。
可以附加地在运行时使用设定管理器240,以使特定设定被应用于被选择用于与应用210一起部署的IoT设备(资产)。系统管理器215(以及其组成模块)可以包括使系统管理器215能够使用各种不同的协议来与各种不同的设备进行通信的逻辑。实际上,甚至可以使用系统管理器215在协议之间转变以促进资产对资产通信。进一步地,设定管理器240可以向用于部署的经选择的资产中的每一个发送指令,以提示每个资产来根据针对被限定用于用户所限定的设定配置中的资产分类的那些对设定进行调整。其他设定可以解决应用或系统管理器的设定,并且可以在主存应用210和系统管理器215的(一个或多个)设备(例如,130)处以自动化和简单直接的方式完成应用这样的设定,以及其他示例。
配置管理器245可以附加地被提供具有系统管理器215以协助检测将设备添加或代替至用于由应用210使用的设备的M2M网络的机会。例如,配置管理器可以识别对网络中的新的或现有的资产和(一个或多个)设备的检测,并确定可以添加设备作为用于由应用210使用的附加的、冗余的或替代的设备。配置管理器245还可以利用配设在IoT系统中的设备来识别故障或错误,并且执行故障转移任务以识别可能替代的设备(由资产发现模块225检测)并且发起利用替代的设备来对失效的设备的更换,以及其他实例。配置管理器245可以附加地驱动这些新的设备的部署,并且动态地这样驱动,以便不干扰应用210所使用的IoT系统中的其他设备。进一步地,配置管理器245可以检测是否要将新的或替代的设备包括在当前IoT系统内的安全的组或域中以及是否可能引起登记管理器250(例如,组权限主管系统的登记管理器250)在安全域中登记新的设备,以及其他示例特征和功能。
在一些情况中,主存IoT应用(例如,210)和/或对应的IoT系统管理器(例如,215)的系统(例如,205)还可以体现对限定在IoT应用所使用的M2M IoT系统内的一个或多个组或安全域的组权限主管管理。相应地,主机系统205可以附加地包括登记管理器250以管理一个或多个IoT组内的设备的登记。在其他实现方式中,可以远离IoT应用(例如,210)的主机和/或对应的IoT系统管理器(例如,215)地实现登记管理器(和组权限主管)。例如,可以将登记管理器250与IoT系统管理器215一起提供在远离主存了IoT应用210的系统的共用系统(例如,IT管理员的系统)上,以及各种其他可能的替代性的实施例。
无论将登记管理250主存在何处,登记管理器250可以拥有包括登记引擎255、安全引擎260和委派引擎265以及可能的其他或附加的逻辑模块(该逻辑模块以硬件和/或软件的方式被实现)的功能。登记引擎255可以拥有识别和管理一个或多个组或者安全域的功能,并且跟踪每个组内的复合设备、每个组所利用的认证和安全政策、组所应用于的IoT应用以及用于限定和维持在一个或多个IoT网络内限定的组的其他信息。安全引擎260可以以与登记引擎250串联的方式操作,并且提供存储、管理、和使用认证数据(例如,加密密钥、证书、和其他加密数据)的功能,以建立登记管理器250(以及其主机系统)与要被包括在登记管理器250所管理的特殊组或安全域中的一个或多个资产(例如,105a-c)之间的可信关系。委派引擎265可以用于利用一个或多个注册器系统(例如,270)来发起和管理可信关系(由安全引擎260支持),对于登记管理器所管理的一个或多个组,登记管理器250的登记任务可以被委派给该一个或多个注册器系统。
主存IoT应用210、IoT系统管理器215、和/或登记管理器250的全部或一部分的设备(例如,205)可以包括一个或多个处理器(例如,276)、一个或多个存储器元件(例如,278)、操作系统(例如,279)、以及其他部件,通过以上部件可以实现IoT应用210的逻辑、IoT系统管理器215、和/或登记管理器250。在一些实现方式中,IoT应用210可以是至少部分地被主存在设备(例如,205)上的数个应用中的一个应用。在一些实现方式中,IoT系统管理器2215可以是与应用205分开的应用。
进一步地,被指定作为注册器设备的设备(例如,270)可以同样地包括一个或多个处理器(例如,282)、一个或多个存储器元件(例如,284)、通信模块(例如,286)、操作系统、和其他部件以用作用于一个或多个M2M IoT网络内的一个或多个组的经指定的注册器设备。在一些实例中,可以基于注册器设备270可能留在特定IoT网络内的假设或者基于设备270的特定特征(诸如其与某些资产类型进行通信的能力、设备的静态或固定位置、以及其他因素)来选择注册器设备270。在一个实现方式中,可以指定用作IoT系统内的网关的设备作为注册器设备270。注册器设备270可以被配设有登记注册器逻辑275以执行作为用于特定登记管理器(和组权限主管)的注册器。在一些实例中,可以将登记注册器逻辑275加载到响应于被指定(例如,由对应的登记管理器(例如,250))作为注册器设备的设备上。实际上,在一些情况中,登记管理器250(例如,使用委派引擎265)可以向注册器设备270提供登记注册器逻辑275和其他注册器数据(在安全的网络信道上)以便使设备270能够用作注册器设备。在一个示例中,登记注册器逻辑275可以包括登记引擎280以执行经委派的登记任务并与登记管理器250进行通信以协调这些任务的性能,以及可以包括安全引擎285以管理认证数据并执行用于建立和维持其对应组权限主管与IoT设备之间的可信关系的密码处理,登记引擎280协助其在对应的组中进行登记,以及其他示例功能。
资产抽象不仅可以协助释放系统的部署,还可以协助对IoT应用的编程。例如,可以提供开发系统,其提供声明性编程工具,从而允许用户(包括新手程序员)指定loT应用程序的广义或经抽象的要求(表示为各种限定的资产分类)。用户可以部分地通过以下方式开发IoT应用:声明经选择的分类中的两个或更多个分类之间的关系以指示输入-输出、传感器-致动器、或在对应的应用代码中要自动地限定的其他关系。还可以将应用逻辑(例如,220)的特定功能映射至特定分类以限定特定应用功能与特定资产类型或分类之间的关系。
继续图2的描述,IoT设备中的每一个设备(例如,105a-c)可以包括一个或多个处理器(例如,288、292、293)、一个或多个存储器元件(例如,296、297、298)、以及一个或多个通信模块(例如,268、272、274)以促进它们参与到各种IoT网络和应用中。每个设备(例如,105a-c)可以拥有唯一的硬件和其他逻辑(例如,290、295、298)以实现设备的(一个或多个)预期的功能。例如,设备可以被提供有如下这样的资源:各种类型的传感器(例如,110a、110c)、各种类型的致动器(例如,115a)、能量模块(例如,电池、太阳能电池等)、计算资源(例如,通过相应的处理器和/或软件逻辑)、安全特征、数据存储、以及其他资源。相应的IoT设备的活动逻辑(例如,290、295、298)可以命令这些传感器和致动器如何工作和发挥作用的。
转到图3A,示出表示资产抽象的简化示例的简化框图300a。可以在不同的级别处限定各种不同分类。例如,传感器分类可以对于多个特定传感器类型分类(例如,光线感测、运动感测、温度感测、液体感测、噪声感测等的子分类)而言是父代的以及其他示例。在图3A的示例中,已经将IoT应用限定为包括由分类“移动传感器305a”、“计算305b”、以及“警告305c表示的三个资产要求。”在资产发现期间,可将各种资产(例如,308a-f)识别为应用可使用的(例如,基于资产满足一个或多个经限定的发现条件)。可以对于资产308a-f中的每一个资产识别一个或多个对应的分类或抽象(例如,通过IoT管理系统)。抽象中的一些可能不与资产要求和应用的功能相关(诸如针对温度调节设备308f)的抽象(例如,温度传感器和/或HVAC致动器)。其他资产抽象可以匹配在IoT应用中被指定作为应用的资产要求的抽象(例如,305a-c)。实际上,可能有超过一个被发现的资产适合资产要求中的一个要求。例如,在图3A的示例中,将PIR传感器308a和相机308b各自识别为运动感测资产分类305a的实例。类似地,将基于云端的计算资源308c和网络网关308d识别为计算资产分类305b的实例。在其他实例中,可能只有单个被发现的设备满足应用资产要求(例如,警告分类305c的警报器308e),以及其他示例。
常规地,已经将IoT和无线传感器网络(WSN)应用开发为精致地限定一组物理设备中的数据流,这涉及开发时的设备级别发现以获取和硬编码对应的设备识别符和特性。通过利用资产抽象,可以促进开发以允许当运行时发现和确定设备(例如,在应用的启动时),附加地允许应用在系统和分类实例之间是便携式的。进一步地,可以通过允许开发者仅指定资产要求(例如,305a-c)来加快开发,而无需理解无线电协议、网络拓扑、和其他技术特征。
在一个示例中,资产抽象的分类可以涉及如以下这样的父代分类:感测资产(例如,光、存在、温度传感器等)、致动(例如,光、HVAC、机器控制器等)、电源(例如,电池供电的电源、地线供电的电源、太阳能供电的电源等)、存储(例如,SD、SSD、云存储等)、计算(例如,微控制器(MCU)、中央处理器(CPU)、图形处理单元(GPU)、云端等)、以及通信(例如,蓝牙、ZigBee、WiFi、以太网等)、以及其他可能的示例。可使用各种方法来执行发现哪些设备拥有哪些能力(以及属于哪些分类)。例如,可以从由系统管理系统经由通用描述性语言(例如,ZigBee的介绍、蓝牙的介绍、以及开放互连联盟的说明)从设备接收的信号直接地获取一些功能(例如,感测、致动、通信),同时可以通过较深度的查询来获取(利用被查询的设备的操作系统上的资源)其他特征(例如,电源、存储、计算),以及其他示例。
可以应用资产绑定来确定事实上要部署哪些被发现的资产(适合限定用于应用的资产要求(抽象))。可以在开发时限定准则和/或在运行之前/在运行时由应用的用户来限定准则,IoT系统管理器(例如,215)可以咨询该准则以便执行绑定。例如,如图3A中所示,根据针对应用(或者针对使用了应用的特定会话)的所阐述的准则,可以选择针对所需的分类的多个匹配的资产中的一个资产。例如,在PIR传感器308a和相机308b之间对应的准则(例如,要基本上在应用的所有分类和/或特定于运动感测分类305a的分类中应用的准则)可以导致选择要部署PIR传感器308a以满足应用的运动感测资产要求305a。类似地,可以访问准则以确定在网关308d与云端资源308c之间该网关308d是用于满足应用的计算要求305b的最佳候选。对于资产要求(例如,305c)(其中仅发现了资产分类的单个被发现的实例(例如,308e))而言,资产绑定是直接的。可以自动地将来自IoT系统管理器(例如,215)的或由该IoT系统管理器配置的资源配设给已经被选择的或被绑定的那些被发现的设备(例如,308a、308d、308e)以部署应用。未选择的资产(例如,308b、308c、308f)可以留在环境中,但未使用在应用中。在一些实例中,可以将未选择的资产识别为可替代的资产选择(例如,在被选择的资产中的一个资产失效的情况下),这允许了快速替换资产(对于对应的分类的示例,利用相同的设定来进行部署)。
在一些实例中,可以将资产绑定建模为二分匹配(或分配)问题,在该问题中,可以通过G=(R,A,E)(其中,R表示资产要求,A表示可用的资产,并且E中的e=(r,a),其中A中的a能够是R中的r)来表达二分图。注意到如果R请求特定资产中的n个实例,则可以将A’限定为:
从上式中可以计算出(最大)(权重)匹配问题的解。例如,当二分图中的的数目小并且从仅当a能够是r时才存在边缘(r,a)的意义上来讲边缘受约束时,可以应用穷举搜索。
转到图3B的简化框图300b,表示资产发现的一个示例。资产发现可以允许基于发现条件或准则(诸如与设备接近度、房间、建筑物、移动状态、移动方向、安全性、权限相关的条件,以及许多其他可能的(以及可配置的)条件)来限制可用的设备的范围。由于未检查的发现将返回许多可能的绑定(特别是在大规模的部署中),所以这样的目标发现的益处可以渗透至资产绑定上。例如,在智能工厂中,由于在工厂的设施中存在数百个传感器、电机、警告等,所以“部署预见性维护”的动作可能是模糊不清的。在一些实现方式中,将资产发现作为输入政策或用户输入,可以从该输入政策或用户数据中识别一组发现准则。基于检测资产的总体(应用可能利用该总体来操作),准则可以用于限制该组,在一些情况中,提供可用资产的得到的经排序的列表,这可以将其表达为f:C×D→D,其中,C表示准则,D表示一组设备,并且陪域是经完全排序的组。
例如,在图3B的示例中,识别两个发现准则315a、315b以用于应用。可以限定仅应用于资产的类别或分类中的一些类别或分类或特定一个类别或分类的附加的准则。基于该示例中的经限定的准则315a-b,根据搜索准则A315a的发现的输出导致环境中的设备的子集的陪域—LS1(310a)、LS2(310b)、GW2(310g)以及LA1(310h),而搜索准则B导致LS2(310b)、LS3(310c)、TS1(310d)、HS1(310e)、GW1(310f)、以及LA1(310h)。基于一组经限定的发现准则(例如,315a-b),资产发现可以尝试将经识别的资产的总集合减少至最佳解决方案。另外,基于应用的资产要求,确定用于绑定考虑的一组被发现的资产可以包含确定被发现的设备的最小组。例如,如果可能的话,可以在发现期间选择最小组以使得每个所需的分类中的至少一个资产存在于该组中。例如,在图3B的示例中,可以识别到(例如,通过系统管理器的资产发现模块),在发现中仅有准则B的应用产生了针对被限定用于应用的分类中的每一个分类的至少一个资产。
例如,图3C的框图300c展示系统管理器的端对端部署确定。例如,基于图3B的示例中实施的发现,“发现”了可能由应用使用的资产的子集(例如,LS2(310b)、LS3(310c)、TS1(310d)、HS1(310e)、GW1(310f)、以及LA1(310h))(例如,基于它们与准则B的依从性(以及依从于准则的资产的代表名额不足))。相应地,尽管每个资产是应用205的资产要求(例如,“光感测”、“计算”、以及“存储”)之一的实例并被发现为在网络内是可访问的,但不将资产LS1和GW2绑定至应用205(如虚线(例如,330)所指示的那样)。
如上所述,可以在资产绑定期间限定和应用附加的准则。在绑定期间(在该绑定期间被发现的资产的组包括超过一个特定的所需的资产分类(例如,如资产分类“光感测”中的资产L2和L3)),可以应用准则以自动地选择更加适合部署在受管控的、受控制的、或者以其他方式被应用205支持的IoT系统内的资产。进一步地,如图3C中所示,单个资产实例(例如,GW1)可能同时属于两种或多种分类,并且被选择用于绑定至应用以用于两个或更多个对应的资产要求(例如,“计算”和“存储”),如所示的那样。实际上,可以限定绑定准则以有利于可以通过单个资产来促进应用的多个资产要求的机会,以及其他示例。
如在图3C中总体上所表示的,资产发现能够提供限制“资产至应用”资产要求映射的范围的第一级别。用户或开发者可以指定(在一些情况中,在紧邻运行时前)针对特定应用的资产要求,并且可以评估环境来确定资产是否可用以满足这些资产要求。进一步地,如果在环境中发现必须的资产组合,系统管理器实用程序可以自动地部署并配设被发现的资产以实现该应用。附加地,系统管理器实用程序可以根据与应用相关联的用户所限定的配置自动地跨经部署的资产来应用设定值。然而,如果没有发现资产要求(所需的分类)中的一个或多个要求的实例,则可以确定应用不可部署于环境内。在这样的情况中,系统管理器实用程序可以生成警报以用于用户识别被请求的分类实例的短缺,包括识别对于该分类没有在环境内发现资产实例的那些分类,以及其他示例。
转至图4A,示出IoT系统或网络的表示(例如,建立在图3A-3C的示例之上),其已经被部署和配置以与IoT应用205一起使用。其他资产(例如,405、410、415)也可以能够连接至IoT系统和参与到IoT系统中,但没有被绑定(或以其他方式被选择)以包括在网络中。如上所述,可以能够方便地和甚至动态地重配置IoT系统,这造成新的或替代的资产添加(或绑定)至IoT系统。例如,在图4B的示例中,可以将新的资产420引入至IoT网络,这允许IoT系统管理器发现资产和确定是否将新的资产420绑定至被指定与特定应用205相连接的一个或多个资产抽象。当系统确定应该添加资产时,可以将新的资产420添加作为对应于特定资产抽象(例如,光致动)的附加的(冗余的或补充的)资产,该新的资产420可以替换现有的资产(例如,之前绑定至共用资产抽象的资产),或者可以绑定至之前未绑定的应用205的资产抽象要求(即,没有发现满足要求的资产),以及其他示例。在图4B的特定示例中,添加新的资产420作为附加的光致动器(以补充光致动器LA1)。
在其他实现方式中,如图4C中所展示的示例中所示,IoT系统的重配置可以涉及用另一个资产对一个资产的取代(例如,根据抽象和被设定用于抽象的准则)。例如,用另一个资产对一个资产的取代可以与被定义用于与IoT应用相关联的特定IoT系统的故障转移政策相结合地发生。例如,可能检测到涉及IoT系统中的资产430中的特定的一个资产的错误(例如,425)。根据政策,该错误的检测可以造成试图发现的资产(或者识别已经被发现但未绑定的资产)以替换资产430(在该资产430中检测到该错误)。随后可以将之前未绑定的资产435绑定至之前被绑定到有缺陷的资产430的一个或多个抽象要求。在新添加的资产也被添加至IoT系统的特定组或安全域的情况中,重配置还可以涉及组中的新的资产的登记(例如,作为组中的附加的资产或替代资产)。
转至图5,示出展示了被限定在IoT系统内的组或安全域505、510、515的表示的简化框图500。本文情境中的安全域可以是资产或端点的有组织的分组,在该分组中由管理实体(以及与管理实体相关联的设备)管理或控制组成员资格和连接。通常,可以使用设备认证和密码来确保对组内的访问特权的正确的授予以及对数据的保护和/或组的安全域的成员之间的通信。可以将一个或多个组505、510、515限定在单个IoT系统内。安全域或组权限主管(例如,520、525)的管理员可与每个组相关联。在一些情况中,组权限主管可以对应于用于限定组的用户和系统。组权限主管(例如,520)可以是IoT系统中的一个或多个不同的组(例如,505、510)的管理员。
如图5中所描绘的,可以由组管理员(GA)设备520初始限定特定安全域505。GA设备520可以限定组连接参数并控制对安全域505内的端点资产(例如,530、535、540)的组的访问。根据本文的连接参数包括诸如以下的参数:通信的模式、安全要求(例如,加密类型)、分组路由和寻址协议、直接存储器存取(DMA)寻址、WLAN的服务集标识符(SSID)等。如说明性示例那样,GA设备520可以是用户计算设备(例如,膝上型电脑、平板电脑、智能手机或其他设备)、网络设备(例如,WLAN路由器或桥接器)、在操作系统过程的控制下于计算硬件上执行的外围设备接口模块、控制系统头端设备、以及其他示例。
成员设备(例如,530、535、540)是被授予对安全域505的访问端点设备和中介设备。成员设备一般在它们之间进行通信。可以将安全域内的一组成员共同地称为组。如所示的,登记器设备545、550、555(一般单独地或共同地被称为登记器设备)是还未被承认作为组的成员的端点设备,但是跟随登记协议,该登记协议由组权限主管505管理以及在其他情况下使用一个或多个经委派的注册器(DR)设备270a、270b(一般单独地或共同地被称为DR设备270)来协助。
在一些实例中,GA设备520可以存在于组505的IoT网络上,并且可以能够与网络中的一个或多个资产进行直接通信,以便建立与资产的初始连接并且在没有DR设备的协助的情况下直接地执行登记。在其他实例中,DR设备(例如,270a-b)可被利用来建立与代表GA设备520的一个或多个登记器端点(例如,545、550、555)的初始连接。例如,GA设备520可能不拥有与端点(例如545、550、555)中的一个或多个端点进行直接通信的必需的功能,或者可能以其他方式不能直接地连接至登记器端点以完成端点的登记。可以在GA设备与一个或多个DR设备之间建立信任关系,以在GA设备不能执行登记任务的子集时向DR设备委派该登记任务的子集。例如,可以使用DR设备270来初始地与登记器设备(例如,545、550、555)进行通信以及可任选地认证和配置登记器设备,以定位最终由GA设备520管理的组、与该组进行通信、以及寻求对该组的许可。
可以使用多种不同的通信技术类型中的任何一种通信技术类型来建立与登记器设备的初始连接(通过GA设备或DR设备)。例如,与一个登记器设备(例如,545)的初始连接可以是通过蓝牙,而与另一个登记器设备(例如,550)的初始连接可以是通过Zigbee等。在一些实例中,组权限主管针对组所命令的连接的类型可能与用于建立与登记器端点的初始连接的连接类型不同。例如,组连接可以是基于IEEE 802.11标准族下的WLAN操作。这些类型的实施例可以有利地提供针对将登记员设备连接至一种类型的网络连接的解决方案,该种类型的网络连接在登记器设备上不存在用户界面的情况下不是轻易可配置的。例如,缺少数据输入设备可能使得输入用于WLAN的SSID是困难的,如果并非不可能的话。然而,蓝牙和其他自配置网络可以提供能够建立安全的初始连接的配对过程,通过该安全的初始连接,可以依据安全性、能力约束、和其他资格自动地向登记器设备(例如,545、550、555)提供针对组的连接参数,以及其他示例。
在使用DR设备(例如,270a)以协助GA设备520对特定登记器设备(例如,545)进行登记的实例中,DR设备可以相对于GA设备对该DR设备的登记活动进行协调。可以使得DR设备能够连接至GA设备520以直接地完成组登记任务(例如,没有授权DR设备由其自身来执行该组登记任务)以用于将端点登记为组(例如,505)的成员。在一些实现方式中,一些成员设备(例如,530、525、540)可能仅能够通过中介设备(诸如IoT网关)与GA设备520进行通信。例如,登记器设备不能够连接至由GA设备520建立或支持的一类网关。中介设备(该中介设备可以是DR设备270或另一个成员设备(例如,535))可以使得在设备的初始登记期间的与GA设备的通信成为可能,以及甚至在登记器设备作为成员设备加入组之后向该登记器设备提供兼容网络。
图6是示出根据一些实施例的由GA设备520、登记器设备545、以及DR设备270所实施的设备登记过程的概览的过程流程图。一开始,在605处,建立DR 270作为委派器设备。这里,对DR设备进行认证、利用组来注册、以及授予权限以作为登记器设备的初始注册器。结果,DR设备270存储授权凭证以用于与GA设备520进行交互。例如,授权凭证可以是在DR设备270与GA设备520之间共享的秘密对称密钥。
稍后,可以将登记器设备545识别为组的可能的成员。例如,可以将登记器设备545识别为进入网络的新的设备,或政策可以识别到应该将之前检测到的(但未绑定的和未登记的)登记器设备545添加至或替代网络和/或组中的其他设备。如果GA设备520能够的话,该GA设备520可以与登记器设备545对接以执行对于对应的组中的设备的完整的登记。如果GA设备是不可用的或以其他方式不能与登记器设备545进行通信,则可以使用DR设备270例如通过与DR设备270的初始交换610来建立初始通信,以建立初始信任关系并且获取要用于组登记过程的用途受限凭证。可以通过根据一种类型的示例的配对过程来建立初始信任关系。在相关的实施例中,信任建立过程包括自动化协商以从DR设备270所支持的多个协议中选择设备配对协议。例如,信任建立过程可以建立共享的秘密,并基于该共享的秘密建立初始对称密钥。在一些实现方式中,用途受限凭证可以旨在仅为了短期使用(例如,多达2分钟、10分钟、30分钟、1小时、或足以允许登记器设备545试图建立与GA设备520的通信的一些其他受限的时间段)。
在一种类型的实施例中,用途受限凭证可以包括一对令牌,其中,第一令牌基于初始连接的会话数据并且位于初始对称密钥上,以及第二令牌基于会话数据并且位于表示了DR设备270与GA设备520之间的信任关系的授权凭证(例如,对称密钥)上。一个或两个密钥可以是基于当前时间戳,该当前时间戳可以用于使得用途受限凭证失效。时间戳可以指示用途受限凭证的创建时间,或者该时间戳可以指示特征失效时间。在相关的实施例中,第一令牌和第二令牌各自包括在绑定了GA设备、DR设备、和登记器设备的当前会话内将两个令牌彼此绑定的共用秘密值。
在一些实现方式中,在初始交换610期间,登记器设备545还可以接收组连接参数以用于访问GA设备520。这些可以包括例如至GA设备520的网络路由、无线局域网络(WLAN)的服务集标识符(SSID)(通过该服务集标识符来促进至GA设备520的连接)、指示至GA设备520的路由的路由表、GA设备520的因特网协议(IP)或其他网络地址、GA设备520的DMA地址、以及其他势力参数以及(一个或多个)它们的值。
在初始交换610之后,可以由登记器设备545和GA设备520来执行第二交换615,在该第二交换中实施组登记过程。在组登记过程中,先登记器设备545向GA设备520提供用途受限凭证,并且基于对用途受限凭证的验证来接收使得登记器设备545能够作为成员设备加入安全域中的组访问密钥。在一些实例中,登记器设备545与GA设备520之间的交互(例如,615)可以在DR设备270上发生,其中,DR设备270充当中介设备,在该中介设备上登记器设备545和GA设备520可以进行通信。
图7是示出由GA设备520、登记器设备545、以及DR设备270所实施设备登记过程的更详细的实施例的过程流程图。在该示例中,初始交换610包括在705处的第一消息M1,该第一消息M1由登记器设备545广播或单一传播以由DR设备(诸如DR设备270)接收,以请求登记过程的开始。作为响应,DR设备270对登记器设备545进行认证,并且在710处的消息M2中提供用途受限凭证和组连接参数。
在一些示例中,在DR设备270利用在710处的消息M2中的用途受限凭证来响应于登记器设备545之前,DR设备270检验登记器设备545有资格键入组并且被授权这样做。由DR设备270与登记器设备545之间的授权秘密密钥来反映验证的成功。如果DR设备270和登记器设备545在执行登记协议之前已经建立了信任关系,则可以使用授权密钥来创建和保护消息M2。另一方面,如果DR设备270和登记器设备545不具有先前的信任关系,则设备可以实施协议来建立所需求的信任关系。在示例中,可以执行安全的配对协议的协商和执行来建立DR设备270与登记器设备545之间的信任。结果,建立授权秘密密钥以保护用于登记器设备545的用途受限凭证。
本示例中的第二交换615可以包括三个消息M3、M4和M5的系列,分别以参考标号715、720和725来指示该三个消息M3、M4和M5。登记器设备545向GA设备520提交用途受限凭证(例如,使用715处的消息M3在中介设备(例如,DR设备270)上)。GA设备520通过检验实际上是从DR设备270生成了用途受限凭证以用于当前协议实例来验证该用途受限凭证,并且创建用于登记器设备545的登记(该登记被用途受限凭证保护)的密钥材料,并且使用720处的消息M4将该密钥材料传输至登记器设备(例如,在中介设备(例如,DR设备270)上)。GA还可以在消息M4中安全地传输组访问密钥。作为响应,登记器设备545验证消息M4、恢复成员资格密钥材料、确认GA的最终授权以加入组、恢复组访问密钥、以及通过编写725处的消息M5(利用源于新建立的成员资格凭证的(一个或多个)密钥来保护该消息M5)检验对成员资格凭证匹配的成功接收。GA设备270随后可以验证对消息M5的成功接收,并确认组中的登记器设备545的成员资格登记的成功。
图8A-8C、图9和图10A-10B是示出根据某些实施例的关于实施设备登记协议的分别由登记器设备545、DR设备270、以及GA设备520所采取的动作的过程流程图。每个过程框包括对使用了安全协议标志的构成操作的详细的描述,其中,R表示登记器设备545,DR表示DR设备270,以及GA表示GA设备520。如所示的,图8A的操作802和804生成消息M1。图9的操作902-906生成消息M2。图8B的操作810-812生成消息M3。图10A的操作1002-1006生成消息M4。图8C的操作820和822生成消息M5。图10B的操作1010检验登记器设备545的登记的成功。
在图8A中,E发送消息M1作为对登记至安全组的请求,其被识别为G-id。消息M1被发送至DR,并且包括随机生成的值el以及E的标识符和E想要加入的组的标识符G-id。
参考图9,在操作902处,DR解析消息M1并且检索该消息M1的内容,以确定是否DR和E已经具有先前建立的信任关系。如果已经信任了E,则DR检索其与E共享的对称密钥KRE。否则,DR和E参与初始连接(例如,配对)协议,以建立所需求的信任以及要与该信任相关联的对称密钥KRE(例如,成对共享的秘钥)。配对方法的选择和协商可以取决于DR和E的能力和限制,以及取决于由GA颁布的组注册要求和政策。例如,DR可以检验E满足被承认作为可信组中的成员的要求(例如,固件的认证、OS完整性、设备制造商/模型/版本等)。
在904处,随着KRE的建立,DR生成随机生成临时值(nonce)r和要被用于E的用途受限凭证的新鲜的随机密钥材料(例如,种子值)k1。DR使用ek(从KRE导出和包括身份和随机数e1的协议实例数据导出的密钥)来创建针对E的令牌α,该令牌α利用协议会话数据和当前时间戳将k1加密为认证标签。DR使用kek(由DR和GA共享的密钥)来创建针对GA的令牌β,该令牌β利用协议会话数据和当前时间戳将k1加密为认证标签。令牌α和β各自包括值e1和r以及将这些令牌与E相关联的有关的身份。在906处,DR设备可以向消息M2发送两个令牌α和β以及E的组连接参数(GCP)信息以用于定位GA设备和与GA设备相连接。
如图8B中所示,在操作810中,E可以接收和解析消息M2,以及验证利用当前会话数据认证了令牌α。E从消息中恢复密钥材料k1,并且执行各种如详述的那样的其他的安全性相关的操作,包括随机值e2的生成。在812处,在消息M3中,E连接至GA并且将令牌β转发至GA,以开始与GA的交换。消息M3也包括e2
在图10A中,在1002处,GA解析和验证令牌β,以确保该令牌β利用当前会话数据被验证并且根据令牌中的时间戳和预定的新鲜度准则而言是合理地新鲜的。GA确认DR已经通过使用kek验证β的认证标签以及恢复相同的密钥材料k1来授权对E的登记。在1004处,GA通过生成新鲜的密钥材料(例如,种子值)k来将持久的成员资格发给E。在1006处,GA将消息M4发送至E(作为操作1002的一部分,该消息M4被从用途受限成员资格凭证k1导出的密钥tk加密)。还可以利用会话数据来认证加密,利用g的添加,由GA随机生成的值促成会话中的新鲜度验证。在消息M4中,GA向E提供组主密钥GMK以及k。密钥材料tk(其从k1导出)对消息M4的保护允许GA确认E对k1的持续的了解。随机数g的存在将消息M4与GA相关联。
在图8C中,在820处,利用对k1的了解,对消息M4进行解密以恢复新的密钥材料k和GMK。E随后通过使用从k导出的新导出的密钥kck在822处利用保护编写消息M5来向GA确认接收到k。也被包括在M5中的值sid基于G-id、idE、e1、e2、idGA、g、idR、r、以及T,因此表示其与协议的之前的操作的可检验的关联。进一步地,在图10B中所示的操作1010中,GA解析并验证消息M5以确认E的成员资格证书的成功建立以及与E的协议。E的成员资格密钥是从新的密钥材料k导出的,该密钥材料k与当前认证的会话数据绑定。图8A-8C、图9和图10A-10B的过程流程图展示了示例过程,该示例过程是可以如所描述的那样被实现的特征丰富的实施例;另外,在各种实施例中,可以实现过程的部分,而其他部分是可任选的或被排除。应该注意到,在各种实施例中,可以以不同的顺序并根据与图8A-8C、图9以及图10A-10B不同的公式和算法来执行某些过程操作,前提是逻辑流程和过程的完整性基本上不受干扰。
虽然将本文中所描述和所示出的系统和解决方案中的一些已经描述为包含多个元件或与多个元件相关联,但可以不将清晰地示出或描述的全部的组件用于本公开的每个可替代的实现方式中。另外,可以将所述元件中的一个或多个元件定位在系统外部,而在其他实例中,可以将某些元件包括在其他所述的元件以及未在所展示的实现方式中描述的其他元件中的一个或多个元件内,或者作为其他所述的元件以及未在所展示的实现方式中描述的其他元件中的一个或多个元件的一部分。进一步地,可以将某些元件与其他部件以及用于除本文中所描述的那些目的之外的可替代的目的或附加的目的的部件相组合。
进一步地,应该理解到,上文所呈现的示例是仅为了说明某些原则和特征的目的而提供的非限制性示例,并且不一定限制或约束本文中所描述的概念的可能的实施例。例如,可以利用本文中所描述的特征和部件的各种组合(包括通过本文中所描述的部件的各种实现方式实现的组合)来实现各种不同的实施例。应该从本说明书的内容中理解其他实现方式、特征和细节。
图11是示出用于使用注册器设备以与IoT系统的重新配置相联系地执行资产的经委派的登记的示例技术的简化流程图1100。在图11的示例中,在由组权限主管(GA)设备520将注册器设备270指定为登记权限的经授权的代表期间,注册器设备270可以被配设有授权凭证(例如,对称密钥)。在一些情况中,注册器设备270可以代表GA设备520来执行初始登记任务。可以将这些初始登记任务委派给注册器设备270以用于全部资产组登记中,或者当GA设备不能与登记器设备(例如,105)进行直接通行时可以选择性地参与(例如,通过GA设备或资产)。在一个示例中,注册器设备270可以检测1105经部署的IoT系统内的重配置事件。重配置事件可以是与IoT系统网络或注册器设备可通信的新的资产的发现,并且对应于将新的资产添加至IoT系统的机会。另一个重配置事件示例可以是检测到设备失效,以触发故障转移重配置,以及其他示例。可以由注册器设备270来检测事件的情况(例如,设备失效、网络上的新的设备等)并将该情况报告1110给GA设备1115。GA设备1115可以利用对关于网络上的设备(该设备可以被添加至IoT系统以解决重配置事件)的可用性的更多信息的请求来响应于重配置事件。这可以包括:对新加入的资产的认证;对可以补充或替代系统中的另一个资产(基于IoT系统的资产抽象)的新的或之前检测到的资产的认证;或者对解决应用的新的要求(例如,如资产抽象所限定的或被添加至应用逻辑的那样的要求)的新的或之前检测到的资产的识别;以及其他示例。可以将该请求1115传递1120至注册器设备,并且注册器设备1125可以识别满足请求1115的资产(例如,105)。
继续示例表,注册器设备270可以将指示经识别(在1125处)的资产(例如,105)数据1130发送至GA设备520。在一些情况中,响应于检测到资产或部署的变化(例如,以及不响应于对来自GA设备520的信息的特定请求),可以由注册器设备270自动地发送该数据1130。在任一情况中,GA设备520可以确定1135是否应该将经识别的设备登记在被限定于IoT系统内的一个或多个组内。在这样的示例中,GA设备520可以将请求传递(在1140处)至注册器设备270以基于GA设备520的确定1135来发起资产的登记。在其他实例中,注册器设备270可以与其初始发现和/或与资产的通信相联系地发起登记过程(即,在没有来自GA设备520的显式的指令的情况下),其中,如果不要将被发现的设备包括在组中,则GA设备520能够取消登记过程。实际上,在一些实现方式中,资产的初始发现和资产的登记的开始可以引起要被显示给用户的提示(例如,GA设备的用户或与GA设备进行交互的客户),以识别被发现的资产并允许用户拒绝或接收将被发现的资产登记在IoT系统中的一个或多个经限定的组内,以及其他示例。
注册器设备可以通过与特定资产进行通信以及确定或建立与特定资产的信任关系来发起注册过程1145。可以将关于会话或初始通信的信息用作共享的秘密,以允许注册器设备270和特定的资产105协商对应于它们的信任关系的另一个凭证。可以连同对应于GA设备与注册器设备270之间的关系的授权凭证一起地使用该凭证,以生成1150用途受限凭证以用于特定资产105的登记中。可以将用途受限凭证传递1155至特定资产105,并且特定资产105可以使用用途受限凭证以完成利用GA设备520的登记。例如,特定资产105可以将用途受限凭证传递1160给GA设备520。可以由注册器设备来促进GA设备520与特定资产105之间的通信(例如,1160、1180、1190),该注册器设备充当中介并且在GA设备520与特定资产105之间转发消息。基于接收到用途受限凭证,GA设备520可以确定用途受限凭证是否有效(例如,基于对应于GA设备与注册器设备之间的关系的授权凭证是否已经签署了用途受限凭证),并且如果是有效(并且GA设备确认资产要被登记在组中)的话,GA设备可以将组访问凭证发送(在1175处)至资产105,以允许资产加入组(例如,并参与到与其他组成员的安全的通信中)。资产105可以使用经接收的组访问凭证来生成1180确收(例如,该确收由组访问凭证签署)以向GA设备确认(在1185处)资产105由组访问凭证所拥有,并且该资产105拥有用于成功地利用该资产105的逻辑。GA设备随后可以完成基于确收来将资产105登记1190在组中。
图12-13是可根据本文中所公开的实施例来使用的示例性计算机架构的框图。还可以使用本领域已知的用于处理器和计算系统的其他计算机架构设计。一般来说,适用于本文中所公开的实施例的计算机架构可以包括但不限于图12-13中示出的配置。
图12是根据实施例的处理器的示例图示。处理器1200是可以与以上实现方式相联系地使用的一种硬件设备的示例。处理器1200可以是用于任何类型的处理器,诸如微处理器、嵌入式处理器、数字信号处理器(DSP)、网络处理器、多核处理器、单核处理器、或用于执行代码的其他设备。尽管图12展示了仅一个处理器1200,但处理元件可以可替代地包括多于一个图12中所展示的处理器1200。处理器1200可以是单线程的核,或者对于至少一个实施例,处理器1200可以是多线程的,因为所述处理器可以每个核包括多个硬件线程上下文(或“逻辑处理器”)。
图12还示出根据实施例的耦合至处理器1200的存储器1202。存储器1202可以是如本领域技术人员已知的或以其他方式可获得的多种多样的存储器(包括存储器层级的不同层)中的任何存储器。这样的存储器元件可以包括但不限于随机存取存储器(RAM)、只读存储器(ROM)、现场可编程门阵列(FPGA)的逻辑框、可擦除可编程只读存储器(EPROM)、以及电可擦除可编程ROM(EEPROM)。
处理器1200可以执行与本文中详细描述的算法、过程、或操作相关联的任何类型的指令。一般来说,处理器1200能够将要素或物品(例如,数据)从一种状态或事物变换成另一状态或事物。
代码1204(其可能是要由处理器1200来执行的一个或多个指令)可以将存储在存储器1202中,或者可以将该代码804存储在软件、硬件、固件、或其任何适合的组合中,或者存储在任何其他内部或外部的部件、设备、元件、或适合的且基于特定需求的对象中。在一个示例中,处理器1200可以遵循由代码1204指示的指令的程序序列。每个指令进入前端部分1206并且由一个或多个解码器1208进行处理。所述解码器可以生成诸如预定格式的固定宽度微操作的微操作作为其输出,或者可以生成反映原始代码指令的其他指令、微指令或控制信号。前端逻辑1206还包括寄存器重命名逻辑1210和调度逻辑1212,其通常分配资源并且对与用于执行的指令相对应的操作进行排队。
处理器1200还可以包括具有一组执行单元1216a、1216b、1216n等的执行逻辑1214。一些实施例可以包括专用于指定功能或功能组的大量执行单元。其他实施例可以仅包括一个执行单元或一个可执行特定功能的执行单元。执行逻辑1214执行由代码指令指定的操作。
在代码指令指定的操作执行完成之后,后端逻辑1218可引退代码1204的指令。在一个实施例中,处理器1200允许无序执行,但要求指令的有序引退。引退逻辑1220可采取各种已知的形式(例如,重排序缓冲器等等)。以此方式,至少在由解码器生成的输出、由寄存器重命名逻辑1210利用的硬件寄存器和表以及由执行逻辑1214修改的任何寄存器(未示出)方面,在代码1204的执行期间可以转换处理器1200。
尽管图12未示出,但处理元件可以包括具有处理器1200的芯片上的其他元件。例如,处理元件可以包括存储器控制逻辑连同处理器1200。处理元件可以包括I/O控制逻辑、和/或可以包括与存储器控制逻辑集成的I/O控制逻辑。处理元件还可以包括一个或多个高速缓存。在一些实施例中,还可将非易失性存储器(诸如闪速存储器或熔断器)包括在具有存储器1200的芯片上。
图13示出了根据实施例的被安排为点对点(PtP)配置的计算系统1300。具体地,图13示出了一种系统,在所述系统中,处理器、存储器以及输入/输出设备通过许多点对点接口互连。一般来说,可以按与计算系统1300相同或类似的方式来配置本文中所描述的计算系统中的一个或多个计算系统。
处理器1370和1380还可以各自包括用于与存储器元件1332和1334进行通信的集成存储器控制器逻辑(MC)1372和1382。在替代实施例中,存储器控制器逻辑1372和1382可以是与处理器1370和1380分开的分立逻辑。存储器元件1332和/或1334可以存储要由处理器1370和1380使用于获取本文中所概述的操作和功能中的各种数据。
处理器1370和1380可以是任何类型的处理器,诸如与其他附图相联系地讨论的那些处理器。处理器1370和1380可以分别使用点对点(PtP)接口电路1378和1388经由点对点(PtP)接口1350来交换数据。处理器1370和1380中可以各自使用点对点接口电路1376、1390、1386和1394经由单独的点对点接口1352和1354来与芯片集1398交换数据。芯片集1390还可以使用接口电路1392(其可以是PtP接口电路)经由高性能图形接口1338来与高性能图形电路1339交换数据。在替代实施例中,可以将图13中所示的任何或所有PtP链路实现为多站式总线而非有PtP链路。
芯片集1390可以经由接口电路1396与总线1320进行通信。总线1320可以具有与其通信的一个或多个设备,诸如总线桥接器1318和I/O设备1316。经由总线1310,总线桥接器1318可以与其他设备进行通信,诸如用户接口1312(诸如键盘、鼠标、触摸屏、或其他输入设备)、通信设备1326(诸如调制解调器、网络接口设备、或可通过计算机网络1360进行通信的其他类型的通信设备)、音频I/O设备1314、和/或数据存储设备1328。数据存储设备1328可以存储代码1330,该代码可以由处理器1370和/或1380来执行。在替代实施例中,可以利用一个或多个PtP链路实现总线架构的任何部分。
图13中描绘的计算机系统是可用于实现在此讨论的各种实施例的计算系统的实施例的示意性图示。将明白到,图13中描绘的各种组件可以在能够达到本文中所提供的示例和实现方式的功能和特征的片上系统(SoC)架构中或以任何其他合适的配置来组合。
尽管已经在某些实现方式和一般相关联方法的方面描述了本公开,这些实现方式和方法的更改和置换将对于本领域技术人员来说是显而易见的。例如,本文中描述的动作可以以与所描述的顺序不同的顺序来执行,并仍获得期望的结果。作为一个示例,在附图中描绘的过程不一定需要所示出的特定顺序或相继顺序来实现期望的结果。在某些实现方式中,多重任务处理和并行处理可能是有利的。另外,可以支持其他用户接口布局和功能。其他变体在下述权利要求书的范围内。
一般来说,可以将本说明书中所描述的主题中的一个方面体现在包括或导致以下动作的方法和被执行的指令中:该动作包括识别包括软件代码的样本、针对样本中所包括的多种功能中的每种功能来生成控制流程图、以及对应于一组控制流程片段类型来在该功能中的每个功能中识别特征。经识别的特征可以用于从经识别的特征生成样本的特征集。
这些实施例和其他实施例各自可以可任选地包括以下特征中的一个或多个特征。可以将针对所述功能中的每个功能所识别的特征进行组合以生成样本的合并字符串,并且可以从合并字符串生成特征集。可以针对所述功能中的每个功能来生成字符串,每个字符串描述了针对所述功能所识别的相应的特征。将特征组合可以包括:将多个功能中的特定的一个功能中的调用识别为多个函数中的另一个,并且将引用另一个功能的特定功能的字符串的一部分替换为另一个功能的字符串的内容。识别特征可以包括对功能的字符串中的每个字符串进行抽象从而使得在字符串中仅描述控制流程片段类型的集的特征。该组控制流程片段类型可以包括由功能进行的存储器访问以及由功能进行的功能调用。识别特征可以包括识别由该功能中的每一个功能来进行的存储器访问的实例以及识别由该功能中的每一个功能来进行的功能调用的实例。特征集可以识别针对该功能中的每一个功能所识别的特征中的每一个特征。特征集可以是n图。
进一步地,这些实施例和其他实施例各自可以可任选地包括以下特征中的一个或多个特征。可以提供特征集以用于对样本进行分类。例如,对样本进行分类可以包括基于样本的对应的特征将样本与其他样本群集。对样本进行分类可以进一步包括确定与样本的集群相关的特征的集。对样本进行分类还可以包括确定是否将样本分类为恶意软件和/或确定样本是否可能是恶意软件的一个或多个族中的一个。识别特征可以包括对所述控制流程图中的每个控制流程图进行抽象从而使得在控制流程图中仅描述控制流程片段类型的集的特征。可以接收多个样本,包括所述样本。在一些情况中,可以从多个源中接收多个样本。特征集可以识别在样本的功能的控制流程图中识别出的特征的子集。特征的子集可以对应于样本代码中的存储器访问和功能调用。
尽管本说明书包含许多特定实施细节,但是这些细节不应被解读为是对任何发明或者可能要求保护的内容的范围的限制,而应被解读为是对具体发明的具体实施例特有的特征的描述。在单独的实施例的背景下在本说明书中所描述的某些特征还可以组合地实现在单个实施例中。相反,在单一实施例的情境下描述的各个特征也可以被单独的或以任何合适的子组合的方式实现在多个实施例中。而且,虽然特征在上文可以被描述为以某些组合起作用并且甚至如此最初被要求,但来自所要求保护的组合的一个或多个特征在某些情况下可以与组合离体,并且所要求保护的组合可以针对子组合或子组合的变化。
类似地,虽然附图中以具体顺序描绘了操作,但这不应被理解成要求这种操作以所示出的具体顺序或以有序顺序执行,或者所有展示的操作可以被执行,以实现令人希望的结果。在某些情况下,多重任务处理和并行处理可能是有利的。而且,上述实施例中的不同系统部件的分离不应被理解成在所有实施例中都要求这种分离,并且应理解的是,所描述的程序部件和系统通常可以一起整合在单个软件产品中或封装进多个软件产品中。
以下示例与根据本说明书的实施例有关。一个或多个实施例可以提供具有可执行用于实现可对本地授权凭证进行访问的注册器的经存储的指令的方法、系统、装置和机器可读存储介质。该注册器用于识别与机器对机器(M2M)系统(该机器对机器系统包括多个资产设备以及包括该多个资产设备的至少一部分的经限定的组)的重配置相关联的特定资产设备。组权限主管设备被指定作为该组的组权限主管,并且授权凭证对应于与组权限主管设备的信任关系。识别与M2M系统的重配置相关联的登记请求,该登记请求针对特定资产设备在设备组内的登记,并且注册器与特定的设备进行通信以发起该设备组内的特定设备的登记,其中,特定设备的登记包括使特定设备配设有组访问凭证。
在一个示例中,注册器进一步用于确定组权限主管设备不能与特定设备进行直接通信,并且用于发起组内的特定设备的登记的由注册器与特定设备进行的通信是基于确定了组权限主管设备不能与特定设备进行直接通信。
在一个示例中,注册器进一步用于检测涉及组中的资产设备中的第一资产设备的失效事件,并且向组权限主管标识失效事件,其中,重配置响应于失效事件。
在一个示例中,特定设备用于替代组中的第一设备,并且组中的特定设备的登记响应于失效事件。
在一个示例中,注册器进一步用于确定特定资产设备是多个设备类型中的特定类型的设备,其中,至少部分地基于特定资产设备具有该特定类型来将特定资产设备登记在组中。
在一个示例中,特定设备类型对应于应用的特定资产抽象要求,并且应用用于使用M2M系统。
在一个示例中,注册器进一步用于检测特定资产设备进入网络,并且向组权限标识网络中的特定资产设备的进入,其中,重配置响应于特定资产设备的进入。
在一个示例中,发起特定资产设备的登记包括参与到基于授权凭证的用途受限凭证的生成,并且组访问凭证的配设是基于由组权限主管进行的用途受限凭证的验证。
在一个示例中,由组权限主管进行的用途受限凭证的验证包括在注册器上发送的组权限主管设备与特定资产设备之间的通信。
在一个示例中,组权限主管设备与特定资产设备之间的通信包括:将用途受限凭证从特定资产设备发送至组权限主管设备;基于由组权限主管进行的用途受限凭证的验证,将组访问凭证从组权限主管设备发送至特定资产设备;以及将确收从特定资产设备发送至组权限主管设备,其中,使用组访问凭证来生成该确收。
在一个示例中,用途受限凭证进一步基于初始对称密钥,该初始对称密钥基于注册器与特定资产设备之间共享的秘密。
在一个示例中,共享的秘密包括描述注册器与特定资产设备之间的初始连接的信息。
在一个示例中,组权限主管与管理员用户相关联,该管理员用户与组的限定相关联。
在一个示例中,基于由组权限主管进行的注册器的验证将授权凭证配设在存储器中。
在一个示例中,从组权限主管设备接收登记请求。
在一个示例中,从特定资产设备接收登记请求。
因此,己经描述了主题的具体实施例。其他实施例在以下权利要求的范围内。在一些情况下,权利要求书中所列举的动作可以用不同顺序来执行,并且仍然获得期望结果。此外,在附图中描绘的过程不一定需要所示出的特定顺序或相继顺序来实现期望的结果。

Claims (20)

1.一种装置,包括:
存储器,所述存储器用于存储授权凭证;以及
注册器,所述注册器包括逻辑,所述逻辑可执行用于:
识别与机器对机器(M2M)系统的重配置相关联的特定资产设备,其中,所述M2M系统包括多个资产设备和包括所述多个资产设备的至少一部分的经限定的组,组权限主管设备被指定作为所述组的组权限主管,并且所述授权凭证对应于与所述组权限主管设备的信任关系;
接收与所述M2M系统的所述重配置相关联的登记请求,所述登记请求针对所述特定资产设备在设备的所述组内的登记;以及
与所述特定设备进行通信,以发起所述特定设备在设备的所述组内的登记,其中,所述特定设备的登记包括将组访问凭证配设给所述特定设备。
2.如权利要求1所述的装置,其特征在于,所述注册器进一步用于确定所述组权限主管设备不能与所述特定设备进行直接通信,并且用于发起所述特定设备在所述组内的登记的由所述注册器与所特定设备进行的通信是基于确定所述组权限主管设备不能与所述特定设备进行直接通信。
3.如权利要求1所述的装置,其特征在于,所述注册器进一步用于:
检测涉及所述组中的所述资产设备中的第一资产设备的失效事件;以及
向所述组权限主管标识所述失效事件,
其中,所述重配置响应于所述失效事件。
4.如权利要求3所述的装置,其特征在于,所述特定设备用于替代所述组中的所述第一设备,并且所述特定设备在所述组中的登记响应于所述失效事件。
5.如权利要求1所述的装置,其特征在于,所述注册器进一步用于:
确定所述特定资产设备是多个设备类型中的特定类型的设备,其中,至少部分地基于所述特定资产设备具有所述特定类型来将所述特定资产设备登记在所述组中。
6.如权利要求5所述的装置,其特征在于,所述特定设备类型对应于应用的特定资产抽象要求,并且所述应用用于使用所述M2M系统。
7.如权利要求1所述的装置,其特征在于,所述注册器进一步用于:
检测所述特定资产设备进入所述网络;
向所述组权限主管标识所述网络中的所述特定资产设备的进入,
其中,所述重配置响应于所述特定资产设备的所述进入。
8.如权利要求1所述的装置,其特征在于,发起所述特定资产设备的登记包括参与到基于所述授权凭证的用途受限凭证的生成,并且所述组访问凭证的配设是基于由所述组权限主管进行的所述用途受限凭证的验证。
9.如权利要求8所述的装置,其特征在于,由所述组权限主管进行的所述用途受限凭证的验证包括在所述注册器上发送的所述组权限主管设备与所述特定资产设备之间的通信。
10.如权利要求9所述的装置,其特征在于,所述组权限主管设备与特定资产设备之间的通信包括:
将所述用途受限凭证从所述特定资产设备发送至所述组权限主管设备;
基于由所述组权限主管进行的所述用途受限凭证的验证,将所述组访问凭证从所述组权限主管设备发送至所述特定资产设备;以及
将确收从所述特定资产设备发送至所述组权限主管设备,其中,使用所述组访问凭证来生成所述确收。
11.如权利要求8所述的装置,其特征在于,所述用途受限凭证进一步基于初始对称密钥,所述初始对称密钥基于所述注册器与所述特定资产设备之间共享的秘密。
12.如权利要求11所述的装置,其特征在于,所述共享的秘密包括描述所述注册器与所述特定资产设备之间的初始连接的信息。
13.如权利要求1所述的装置,其特征在于,所述组权限主管与管理员用户相关联,所述管理员用户与所述组的限定相关联。
14.如权利要求1所述的装置,其特征在于,基于由所述组权限主管进行的所述注册器的验证,将所述授权凭证配设在所述存储器中。
15.一种方法,包括:
维持对应于与组权限主管设备的信任关系的授权凭证,其中,所述组权限主管设备被指定作为机器对机器(M2M)系统内的特定组的组权限主管,所述M2M系统包括多个资产设备,并且所述组至少包括所述多个资产设备的子集;
识别与所述M2M系统的重配置相关联的特定资产设备,其中,所述M2M系统的重配置包括将所述特定资产设备添加至所述M2M系统;
接收与所述M2M系统的所述重配置相关联的登记请求,所述登记请求针对所述特定资产设备在所述组内的登记;以及
与所述特定资产设备进行通信,以在设备的所述组内登记所述特定资产设备,其中,所述特定资产设备的登记包括将组访问密钥配设给所述特定资产设备。
16.如权利要求15所述的方法,其特征在于,从所述组权限主管设备接收所述登记请求。
17.如权利要求15所述的方法,其特征在于,从所述特定资产设备接收所述登记请求。
18.一种系统,包括:
组权限主管设备,所述组权限主管设备被指定作为机器对机器(M2M)系统内的特定组的组权限主管,所述M2M系统包括多个资产设备,并且所述组至少包括所述多个资产设备的子集;以及
注册器设备,由所述组权限主管基于授权密钥将登记权限委派给所述注册器设备,所述授权密钥通过与所述组权限主管设备的通信被配设在所述注册器设备上,其中,所述注册器设备用于:
识别影响所述M2M系统的重配置事件;
检测网络上的特定资产设备,其中,将所述特定资产设备与所述重配置事件相关联地添加至所述M2M系统;
接收与所述M2M系统的所述重配置相关联的登记请求,所述登记请求针对所述特定资产设备在所述组内的登记;
参与与所述特定资产设备的信任建立过程,以生成针对所述特定资产的用途受限凭证;以及
促进从所述特定资产设备到所述组权限主管设备的所述用途受限凭证的通信,以协助所述特定资产设备在所述组内的登记。
19.如权利要求18所述的系统,其特征在于,进一步包括:
设备的所述子集;以及
物联网(IoT)软件应用,所述IoT软件应用使用设备的所述子集。
20.如权利要求19所述的系统,其特征在于,基于所述IoT软件应用中所限定的资产抽象要求来自动地选择设备的所述子集以包括在所述M2M系统中,并且所述特定资产设备具有对应于所述资产抽象要求中的特定资产抽象要求的类型。
CN201680086577.6A 2016-07-01 2016-07-01 可重配置的机器对机器系统中的组管理 Active CN109314694B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2016/040608 WO2018004637A1 (en) 2016-07-01 2016-07-01 Group management in reconfigurable machine-to-machine systems

Publications (2)

Publication Number Publication Date
CN109314694A true CN109314694A (zh) 2019-02-05
CN109314694B CN109314694B (zh) 2021-11-19

Family

ID=60786958

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201680086577.6A Active CN109314694B (zh) 2016-07-01 2016-07-01 可重配置的机器对机器系统中的组管理

Country Status (4)

Country Link
US (1) US11019490B2 (zh)
CN (1) CN109314694B (zh)
DE (1) DE112016006827T5 (zh)
WO (1) WO2018004637A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021142849A1 (zh) * 2020-01-19 2021-07-22 Oppo广东移动通信有限公司 安全域的配置、发现和加入方法及装置、电子设备
WO2021179267A1 (zh) * 2020-03-12 2021-09-16 Oppo广东移动通信有限公司 配置客户端的方法和装置、及通信系统
CN114765558A (zh) * 2021-01-15 2022-07-19 台达电子工业股份有限公司 工业设备监控方法及工业设备监控系统
TWI784393B (zh) * 2021-01-15 2022-11-21 台達電子工業股份有限公司 工業設備監控方法及工業設備監控系統

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018004643A1 (en) * 2016-07-01 2018-01-04 Intel Corporation Automated configuration of machine-to-machine systems
US10270738B1 (en) 2016-09-19 2019-04-23 Amazon Technologies, Inc. Aggregated group state for a group of device representations
US10270875B1 (en) 2016-09-19 2019-04-23 Amazon Technologies, Inc. Dynamic grouping of device representations
US10887174B2 (en) * 2016-09-19 2021-01-05 Amazon Technologies, Inc. Group command management for device groups
US10756950B2 (en) * 2017-01-05 2020-08-25 Hewlett Packard Enterprise Development Lp Identifying a potentially erroneous device in an internet of things (IoT) network
US10972468B2 (en) * 2017-11-21 2021-04-06 Vmware, Inc. Adaptive device enrollment
US10728218B2 (en) * 2018-02-26 2020-07-28 Mcafee, Llc Gateway with access checkpoint
US11741196B2 (en) 2018-11-15 2023-08-29 The Research Foundation For The State University Of New York Detecting and preventing exploits of software vulnerability using instruction tags
DK3661155T3 (da) * 2018-11-29 2022-09-05 Tata Consultancy Services Ltd Autonomt kontekstbevidst status-udvekslende hierarkisk kognitivt edge-netværk
EP3939213A4 (en) * 2019-03-13 2022-10-05 Hitachi Vantara LLC SYSTEMS AND METHODS FOR CONFIGURING AND TESTING AN EXTERNAL DEVICE THROUGH A MOBILE DEVICE
US11579592B2 (en) * 2019-08-12 2023-02-14 Battelle Energy Alliance, Llc Systems and methods for control system security
US11310114B2 (en) 2019-08-14 2022-04-19 Cisco Technology, Inc. Industrial machine configuration using private wireless networking

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100162036A1 (en) * 2008-12-19 2010-06-24 Watchguard Technologies, Inc. Self-Monitoring Cluster of Network Security Devices
US20110137991A1 (en) * 2009-12-01 2011-06-09 Lester Paul Russell Systems and methods for management and collaboration in a private network
CN102238146A (zh) * 2010-04-27 2011-11-09 中国移动通信集团公司 认证方法、装置、认证中心及系统
WO2013180357A1 (ko) * 2012-05-30 2013-12-05 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
US8621569B1 (en) * 2009-04-01 2013-12-31 Netapp Inc. Intercluster relationship management
EP2903321A1 (en) * 2012-09-26 2015-08-05 ZTE Corporation Method and apparatus for registering terminal
CN105491025A (zh) * 2015-11-25 2016-04-13 西安电子科技大学 基于属性认证的无人机访问控制方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8942191B2 (en) * 2010-05-03 2015-01-27 Mformation Software Technologies Llc Providing dynamic group subscriptions for M2M device communication
US10015286B1 (en) * 2010-06-23 2018-07-03 F5 Networks, Inc. System and method for proxying HTTP single sign on across network domains
WO2012121566A2 (ko) * 2011-03-09 2012-09-13 엘지전자 주식회사 무선 통신 시스템에서 m2m 장치를 위한 그룹 자원 할당방법 및 장치
WO2013036068A1 (ko) 2011-09-09 2013-03-14 엘지전자 주식회사 M2m 서비스 제공 방법, m2m 통신을 위한 방법 및 장치
US11010390B2 (en) * 2012-05-15 2021-05-18 Splunk Inc. Using an electron process to determine a primary indexer for responding to search queries including generation identifiers
WO2014181941A1 (ko) 2013-05-09 2014-11-13 전자부품연구원 개방형 m2m 시스템 및 그의 리소스 관리와 인터페이스 방법
US10182351B2 (en) 2013-11-29 2019-01-15 Lg Electronics Inc. Method for service subscription resource-based authentication in wireless communication system
US10237351B2 (en) * 2015-11-23 2019-03-19 Dojo-Labs Ltd Sub-networks based security method, apparatus and product

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100162036A1 (en) * 2008-12-19 2010-06-24 Watchguard Technologies, Inc. Self-Monitoring Cluster of Network Security Devices
US8621569B1 (en) * 2009-04-01 2013-12-31 Netapp Inc. Intercluster relationship management
US20110137991A1 (en) * 2009-12-01 2011-06-09 Lester Paul Russell Systems and methods for management and collaboration in a private network
CN102238146A (zh) * 2010-04-27 2011-11-09 中国移动通信集团公司 认证方法、装置、认证中心及系统
WO2013180357A1 (ko) * 2012-05-30 2013-12-05 모다정보통신 주식회사 M2m 통신에서 리소스 접근 권한 설정 방법
EP2903321A1 (en) * 2012-09-26 2015-08-05 ZTE Corporation Method and apparatus for registering terminal
CN105491025A (zh) * 2015-11-25 2016-04-13 西安电子科技大学 基于属性认证的无人机访问控制方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021142849A1 (zh) * 2020-01-19 2021-07-22 Oppo广东移动通信有限公司 安全域的配置、发现和加入方法及装置、电子设备
CN113678421A (zh) * 2020-01-19 2021-11-19 Oppo广东移动通信有限公司 安全域的配置、发现和加入方法及装置、电子设备
WO2021179267A1 (zh) * 2020-03-12 2021-09-16 Oppo广东移动通信有限公司 配置客户端的方法和装置、及通信系统
CN114902611A (zh) * 2020-03-12 2022-08-12 Oppo广东移动通信有限公司 配置客户端的方法和装置、及通信系统
CN114902611B (zh) * 2020-03-12 2023-12-05 Oppo广东移动通信有限公司 配置客户端的方法和装置、及通信系统
CN114765558A (zh) * 2021-01-15 2022-07-19 台达电子工业股份有限公司 工业设备监控方法及工业设备监控系统
TWI784393B (zh) * 2021-01-15 2022-11-21 台達電子工業股份有限公司 工業設備監控方法及工業設備監控系統
US11838419B2 (en) 2021-01-15 2023-12-05 Delta Electronics, Inc. Method and system for monitoring industrial devices
CN114765558B (zh) * 2021-01-15 2024-04-09 台达电子工业股份有限公司 工业设备监控方法及工业设备监控系统

Also Published As

Publication number Publication date
US20190296967A1 (en) 2019-09-26
DE112016006827T5 (de) 2019-03-07
CN109314694B (zh) 2021-11-19
WO2018004637A1 (en) 2018-01-04
US11019490B2 (en) 2021-05-25

Similar Documents

Publication Publication Date Title
CN109314694A (zh) 可重配置的机器对机器系统中的组管理
JP7205994B2 (ja) モノのインターネット
Ravidas et al. Access control in Internet-of-Things: A survey
US12010144B2 (en) End-to-end device attestation
US20220191648A1 (en) Digital twin framework for next generation networks
Sinha et al. Building an E Ective IoT Ecosystem for Your Business
EP3479531B1 (en) Automated configuration of machine-to-machine systems
CN114026834A (zh) 边缘计算部署中的多实体资源、安全性和服务管理
Song et al. Networking systems of AI: On the convergence of computing and communications
Mubarakali An efficient authentication scheme using blockchain technology for wireless sensor networks
CN109845226A (zh) 用于分布式智能遥感系统的系统
CN107430660A (zh) 用于表征设备行为的自动化匿名众包的方法和系统
DE112022003844T5 (de) Regulierungsmechanismen für künstliche intelligenz
Ramgir Internet of Things-Architecture, Implementation, and Security
Casola et al. Toward automated threat modeling of edge computing systems
Vermesan Next generation internet of things–distributed intelligence at the edge and human-machine interactions
Yalli et al. Internet of things (iot): Origin, embedded technologies, smart applications and its growth in the last decade
Sellami Investigation of Deep Learning and Blockchain Applicability for Software-Defined Internet of Things
Kumar An Urban Sensing Architecture as Essential Infrastructure for Future Smart Cities Research
Cao Sofie: Smart Operating System For Internet Of Everything
Lea Edge Computing Simplified: Explore All Aspects of Edge Computing for Business Leaders and Technologists
Saravanan et al. An optimal cluster based security and resilience of smart home environments using hybrid soft computing techniques

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant