CN112956219A - 利用地理围栏认证的基于子网的设备分配 - Google Patents

利用地理围栏认证的基于子网的设备分配 Download PDF

Info

Publication number
CN112956219A
CN112956219A CN201980072419.9A CN201980072419A CN112956219A CN 112956219 A CN112956219 A CN 112956219A CN 201980072419 A CN201980072419 A CN 201980072419A CN 112956219 A CN112956219 A CN 112956219A
Authority
CN
China
Prior art keywords
iot
hub
iot device
devices
subnet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201980072419.9A
Other languages
English (en)
Inventor
N·E·贝尔迪
J·Z·布兰登
T·J·拉登
A·I·托尔皮恩
S·钱德拉莫罕
T·阿瓦德
M·阿罗巨
R·M·沃卡内
P·古普塔
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Technology Licensing LLC
Original Assignee
Microsoft Technology Licensing LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Technology Licensing LLC filed Critical Microsoft Technology Licensing LLC
Publication of CN112956219A publication Critical patent/CN112956219A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/02Services making use of location information
    • H04W4/021Services related to particular areas, e.g. point of interest [POI] services, venue services or geofences
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Small-Scale Networks (AREA)

Abstract

一种包括一个或多个服务器和数据库的IoT中心被配置为基于物联网(IoT)设备所连接的子网来将IoT启用设备自动指派给IoT解决方案。用户界面被配置为使得用户能够在所述客户的网络环境内定义子网,并将每个子网分配给IoT解决方案。在所述用户设立IoT设备与网络设备(诸如路由器)的网络连接后,所述IoT设备会将其网络信息传输给所述IoT中心。然后,所述IoT中心可以将所述IoT设备自动指派给特定IoT解决方案,而无需进一步的用户输入,或基于已知参数来预测该IoT设备要利用哪个IoT解决方案。

Description

利用地理围栏认证的基于子网的设备分配
背景技术
物联网(IoT)通过网络来连接具有各种类型、大小和功能的设备。例如,IoT中的设备(或“物”)可以是位置标签、连接的恒温器、监测相机、传感器设备、工业机器或可以通过网络连接传送数据的任何事物。IoT设备通常具有连接到互联网以向其他设备和/或服务报告遥测数据并且从其他设备或服务请求/接收信息的方式。
IoT设备通常连接到IoT中心(hub),该IoT中心可以是由云服务提供方操作的服务器和数据库的收集,使得IoT设备与客户账户相关联。这使得客户能够对IoT设备练习控制并且利用由IoT中心提供的IoT解决方案。
发明内容
IoT中心被配置为基于IoT设备所连接到的子网来将IoT设备自动指派给特定IoT解决方案。IoT设备被配置用于与联网设备(诸如路由器或网关)的连接性,该联网设备支持将分组转发给IoT中心。在通信会话的发起时,IoT设备将网络信息发送给IoT中心,该IoT中心使用该网络信息分配针对IoT设备的特定IoT解决方案。IoT解决方案可以包括被配置为支持特定的IoT设备功能性并与特定的IoT设备功能性互操作的软件。例如,IoT解决方案可以包括人工智能和机器学习算法和过程、分析工具、自动化操作和数据存储以及其他解决方案。由IoT中心监测通过跟踪事件(诸如设备创建、设备故障和设备连接)来帮助客户维持其解决方案的健康。
子网一般由联网设备来定义,IoT设备利用该联网设备用于网络连接性。在一些实施方式中,多个子网可以通过使用子网掩码并且针对主机IoT设备重新配置IP(互联网协议)地址来在单个联网设备后面被创建。IoT设备用户(例如针对IoT解决方案的客户)可以使用能够与服务提供方通信的IoT设备管理应用,来设定网络配置、创建子网并且将IoT设备子网指派给特定IoT解决方案。
网络配置可以包括针对IoT设备的分组代码,IoT中心可以利用该分组代码来实施各种IoT解决方案连接性选项。例如,选项可以包括IoT中心,该IoT中心将新连接的IoT设备自动指派给IoT解决方案,现有设备组从同一子网被连接到该IoT解决方案。由IoT中心利用的分组代码所使能的附加选项可能涉及预测算法的应用。IoT中心可以应用算法来预测IoT设备并将其分配给IoT解决方案,而不必依赖于用户输入。预测可以使用硬编码规则或机器学习技术(使用在IoT中心处可用的各种参数)而被执行。说明性机器学习参数可以包括IoT设备序列号、类型、型号、所利用的传感器的类型、所聚集的数据的类型、IoT设备所连接到的子网、以及IoT设备位于其内部的地理围栏。IoT中心可以使用预测的设备分组来缩短IoT设备设置和部署时间,并且减少用于客户的管理开销。
通过将IoT设备与地理围栏(即定义的地理区)相关联,地理围栏认证还可以被用作如下工具,该工具用于在针对用户增加设备和网络安全性的同时使IoT设备的验证简单化。当IoT设备处于地理围栏内部时,IoT中心使能与适当的IoT解决方案的连接。否则,IoT中心拒绝IoT设备连接。
当IoT设备发起与IoT中心的连接请求时,可能会发生地理围栏认证。在该过程中,IoT设备传输认证凭证、网络信息(例如用于上文所讨论的基于子网的指派特征)以及IoT中心使用其来证实IoT设备的位置的当前位置。IoT设备可以周期性地传输当前位置以增强其安全性,从而证实其没有被例如恶意软件窃取、错放或破坏。
备选地,整个连接请求过程可以被周期性地执行。例如,响应于验证,IoT中心可以将独特令牌指派给IoT设备,其中令牌被指派一个持续时间,令牌在该持续时间之后到期。对于继续使用IoT解决方案的IoT设备,它利用IoT中心至少重新验证其位置,以接收另一对时间敏感的令牌。
基于子网连接性和地理围栏认证特征的IoT设备的指派提供用于连接、管理和增强IoT设备的安全性的简单化的过程。使用到IoT解决方案的基于子网的连接性使得能够使用手动和自动方法的混合来对IoT设备进行微调控制,可以利用IoT管理应用来支持该手动和自动方法的混合。应用可以支持如下用户界面(UI),该用户界面(UI)使用户能够管理其基于子网的IoT基础设施。IoT管理应用通过减少IoT网络的设置时间、加快IoT设备实现、并且减少将IoT解决方案映射到IoT设备时的错误而提供许多技术益处。
地理围栏认证的实现还通过在准许到IoT解决方案的连接之前证实IoT设备位置在所定义的地理围栏内部,来增强网络和设备的安全性。通过增强对丢失、被窃取或被破坏的IoT设备的检测,周期性的地理围栏认证还可以提高安全性。
提供本发明内容以按照简化形式介绍构思的选择,这些构思在下文具体实施方式中被进一步描述。本发明内容既不旨在标识所要求保护的主题的关键特征或本质特征,也不旨在被用于辅助确定所要求保护的主题的范围。此外,所要求保护的主题不限于解决在本公开的任何部分中提到的任何或所有缺点。应了解,上文所描述的主题可以被实施为计算机控制的装置、计算机过程、计算系统或被实施为制品,诸如一个或多个计算机可读存储介质。这些和各种其他特征将通过阅读以下具体实施方式并且回顾相关联的附图而变得明显。
附图说明
图1示出了IoT设备连接到局域网以利用由IoT中心提供的IoT解决方案的说明性环境;
图2示出了IoT设备的说明性架构;
图3示出了针对子网的说明性定义;
图4示出了可以包括局域网(LAN)的说明性网络设备;
图5示出了其中IoT设备组基于IoT设备所连接到的子网被连接到特定IoT解决方案的说明性环境;
图6示出了其中连接请求和验证消息在IoT设备与IoT中心之间被交换的说明性环境;
图7示出了说明性图形用户界面,通过该图形用户界面,客户被提供对选择基于子网的IoT解决方案的手动控制;
图8示出了可以被IoT中心执行以将IoT设备指派给IoT解决方案的分组代码的说明性分类法;
图9示出了其中IoT中心将IoT设备自动指派给IoT解决方案的说明性环境;
图10示出了其中IoT中心使用预测算法将IoT设备指派给IoT解决方案的说明性环境;
图11示出了可以被机器学习算法利用来预测针对IoT设备的IoT解决方案的参数的分类法;
图12和图13示出了其中IoT中心使用示例性真实世界数据选择IoT解决方案的说明性场景;
图14示出了被用于验证具有IoT解决方案的IoT设备的说明性地理围栏;
图15示出了说明性流程图,IoT中心通过该说明性流程图来验证IoT设备;
图16-图18示出了由IoT中心、IoT设备或用户计算设备中的一个或多个执行的说明性过程;
图19是说明性数据中心(datacenter)的框图,该说明性数据中心可以至少部分地被用于实施利用地理围栏认证的现存的基于子网的设备分配;
图20是说明性计算系统或服务器的简化框图,该说明性计算系统或服务器可以部分地被用于实施利用地理围栏认证的现存的基于子网的设备分配;以及
图21是说明性计算机系统的简化框图,该说明性计算机系统可以部分地被用于实施利用地理围栏认证的现存的基于子网的设备分配。
在附图中,相似的附图标记指示相似的元件。除非以其他方式指示,否则元件未按比例绘制。
具体实施方式
客户可以实施IoT设备来与IoT中心通信,以管理针对IoT设备的某些功能和操作。例如,HVAC(供暖、通风和空调)行业可以利用传感器(例如温度计、恒温器、湿度传感器等)来实时监测状况、自动化处理并且随状况改变而执行实时诊断。HVAC部门可以是大学内的一个部门、制造车间、或实施IoT设备以管理任务和操作的其他部门或分部组织。组织内的每个部门可以实施大量的IoT设备来跟踪其行业、商业或操作的所有方面。在一些实施方式中,云服务提供方可以将IoT设备指派给地理上最近的IoT中心和解决方案。
IoT中心可以包括与IoT应用一起被使用的服务器和数据库的收集,以安全地连接、监测和管理多达数十亿个设备。IoT中心可以被实施为在云中所托管的受管理服务,该云充当用于IoT应用与其所管理的设备之间的双向通信的中央消息中心。IoT中心支持从设备到云以及从云到设备两者的通信。IoT中心可以支持多个消息收发模式,诸如设备到云遥测、从设备上传文件、以及用于从云控制设备的请求答复方法。
如下文更详细地讨论,在利用地理围栏认证的现存的基于子网的设备分配中,IoT中心将IoT设备指派给IoT解决方案并且验证IoT设备,但在一些实施方式中,在不同服务器上操作的供应服务可以执行这些操作并与IoT中心协同地操作。因此,对IoT中心的引用指示由远程服务器进行的操作,并且可以表示由供应服务、IoT中心或IoT中心和供应服务两者进行的操作。
现在转向附图,图1示出了说明性环境100,其中若干经物联网(IoT)配置的设备105被适配以通过网络125与由云服务提供方提供的IoT中心130通信,其可以分别包括一个或多个远程服务器和数据库。IoT设备可以在客户的处所上被利用,并连接到客户的局域网(LAN)110内的网络设备120(诸如路由器、接入点、边缘网关设备或其他类型的网络连接)以利用由IoT中心提议的IoT解决方案135。LAN的网络基础设施可以包括IoT设备利用的一个或多个子网115。子网可以是LAN上的不同网络,这些不同网络将IoT设备组分开。LAN可以通过一个或多个边缘网关设备与核心网络125通信,该核心网络125向IoT中心路由消息并且从IoT中心路由消息,并且可以包括广域网(WAN)和互联网。
图2示出了IoT设备105的说明性和通用的架构200。IoT设备可以通过各种网络互连和/或通信,并且通常利用一个或多个传感器出于特定原因来聚集对特定设备有用的相关数据。IoT设备可以利用各种传感器、致动器、软件、网络连接性以及与远程服务器(例如IoT中心)的连接,从而支持和建立对组件或其环境的全面知识、理解或洞察力。如图2中所示意性地示出,示例性IoT设备105可以包括商用机械(如起重机)或家用物品(诸如灯泡、恒温器等)。然而,这些设备仅是说明性的,因为可以被配置为IoT设备的对象或组件的数量、种类和/或类型实际上是不受限制的。可以包括片上系统(SoC)配置的示例性主板被示意性地示出,其可以实施IoT设备或使得设备、组件或对象能够转变为经IoT配置的设备。
架构被布置在层中,并且包括硬件层215、操作系统(OS)层210和应用层205。硬件层215将由IoT设备105使用的各种硬件的抽象提供给其上方的层。在该说明性示例中,硬件层支持一个或多个处理器220、存储器225、NIC(网络接口控制器)240、受信的平台模块(TPM)230、用于聚集数据的各种传感器235以及位置组件,如全球定位系统(GPS)245。
NIC可以包括接口(如无线电收发器和端口),以使能到网络路由器、蜂窝塔或接入点的以太网、移动宽带或Wi-Fi连接。NIC可以使用例如MAC(媒体访问控制)寻址在网络节点(例如路由器、交换机、接入点等)之间运输数据帧。TPM可以在IoT设备内提供受信的执行环境,以使得能够使用其中所存储的独特密钥来进行安全处理以及例如对IoT设备进行鉴别。GPS可以定期或周期性地操作以证实IoT设备的位置。取决于特定IoT设备及其应用,一个或多个传感器的不同集合可以与IoT设备一起被实施,该一个或多个传感器诸如温度传感器、压力传感器、气压计、接近传感器等。
在该说明性示例中,应用层205支持包括自动指派应用260的各种应用265。任何数量的应用可以被IoT设备105利用,无论是专有应用还是第三方应用。应用可以使用本地执行的代码被实施。然而,在一些状况下,应用可以依赖于远程服务器或其他计算平台所提供的服务和/或远程代码执行。自动指派应用可以是单机应用或较大应用内的模块,该模块执行针对IoT设备的各种过程和任务(单独或统称为“自动指派应用”)。自动指派应用可以负责向IoT中心130(图1)传输各种信息,诸如访问凭证、位置数据和网络信息诸如IoT设备所连接到的子网。
除其他操作以外,OS层210还支持管理操作系统250和操作应用255。OS层可以与应用层和硬件层互操作以支持程序的执行并且执行各种功能和特征。
图3示出了描述子网115的说明性图,该子网提供IoT设备对LAN110(图1)的访问。子网可以被定义为较大网络(例如WAN、LAN等)的一部分。在一些实施方式中,子网由IoT设备所连接的网关或网络设备305形成。例如,被连接到同一路由器的一个或多个IoT设备可以处于同一子网上。被连接到不同路由器的一个或多个其他IoT设备可以处于单独的子网上。子网还可以在以下场景中被定义:在该场景中,子网掩码在网络设备上针对共享其IP(互联网协议)地址中的网络前缀和子网号的IoT设备而被利用,如数字310所代表性地示出。因此,被连接到同一路由器的IoT设备可以被分到不同子网中。在框315内部示出了针对被连接到同一路由器的两个不同IoT设备或主机的示例性通用子网号(.83),根据该通用子网号,针对两个相应IP地址的IoT设备都在同一子网上。因此,当利用子网掩码和子网划分过程时,多个子网可以从单个网络设备被得出。
图4示出了示例性局域网(LAN)405,其包括边缘网关设备410、一个或多个路由器415和子网420,这些子网可以是同一路由器上的分开的网络。虽然图4示出了具有多个子网的路由器,但是取决于路由器的具体配置,路由器可以不被划分为分开的子网,或备选地可以被划分为更多或更少的子网。路由器可以与边缘网关设备通信,该边缘网关设备最终在IoT中心与LAN内的路由器之间路由消息。如图4中所示出,每个路由器和边缘网关设备也可以被视为针对LAN的子网。因此,虽然子网可以基于同一路由器上的不同网络,但是路由器本身同样地可以是唯一的子网。
图5示出了其中IoT设备105组535基于IoT设备所连接到的子网被连接到特定IoT解决方案并且利用这些特定IoT解决方案的说明性环境。每个子网505、子网510和子网515例如可以分别与组织内的特定部门或分区(诸如HVAC部门、技术部门和制造部门)相关联。由相应部门利用的IoT解决方案是分析520、数据存储525和机器学习530。因此,由于每个部门可能出于不同目的而使用云服务,因此被用于特定部门的IoT解决方案可能会有所不同。对基于子网的IoT解决方案的指派支持基于设备的虚拟局域网(VLAN)环境。即,VLAN由基于IoT设备所连接到的子网的IoT设备组构成,其可以按部门或分区被划分,如所说明性地示出。
图6示出了说明性环境,其中IoT设备105使用自动指派应用260将连接请求605传输给云服务提供方。虽然图6示出了IoT设备将连接请求传输给IoT中心,但是在一些实施方式中,IoT设备可以将连接请求传输给供应服务(未示出),该供应服务在使得IoT设备能够使用来自IoT中心130的IoT解决方案之前验证IoT设备。IoT中心或供应服务各自在具有数据库的一个或多个服务器上操作以与IoT设备通信并且验证该IoT设备。对IoT中心的引用指示由远程服务器进行的操作,并且可以表示由供应服务、IoT中心或IoT中心和供应服务两者进行的操作。
利用连接请求,IoT设备传输认证凭证610、当前位置615和网络信息620。认证凭证可以在IoT设备的TPM内包括私钥以及针对IoT中心的其他独特信息,以标识、验证和准许访问IoT解决方案。网络信息可以包括所指派的IP(互联网协议)地址,该所指派的IP地址可以被用于标识IoT设备所连接到的网络,诸如子网。子网信息可以从所提供的IP地址被解析,以支持到特定IoT解决方案的基于子网的分配。当前位置可以是地理坐标,诸如从IoT设备内的GPS所获得的纬度和经度。
响应于接收连接请求和相关联的细节,IoT中心执行分组代码625以标识将IoT设备指派给的IoT解决方案。这可以响应于连接到LAN而利用IoT中心使能IoT设备的快速设置和可操作性。在IoT中心使用从连接请求所接收到的信息来验证IoT设备之后,IoT中心传输验证消息630,以准许IoT设备使用IoT解决方案以及IoT解决方案指派635。关于IoT中心选择针对IoT设备的IoT解决方案的详细信息在下文更详细地被提供。
IoT中心可以向客户提供输入字段,以定义其子网并将每个子网指派给IoT解决方案。图7示出了客户的计算设备720可以使用例如IoT解决方案管理器应用或浏览器715访问的说明性图形用户界面(GUI)705。GUI提供输入字段710,输入字段710允许用户针对客户的子网选择在IoT中心上操作的特定IoT解决方案。尽管GUI示出了针对网络设备的多个子网,但是在其他示例性描绘中,网络设备也可以被认为是其自己的子网,使得被连接到网络设备的IoT设备是唯一子网的一部分。虽然GUI在图7中被示出,但是根据特定实施方式的需要,被布置以使得用户能够控制子网和IoT解决方案映射的其他类型的用户界面也可以被利用。
图8示出了分组代码的特征的分类法,该分类法支持IoT设备的快速设置以及对IoT解决方案的指派。例如,在客户的子网与特定IoT解决方案相关联之后,分组代码625可以包括实施方式选项815,实施方式选项815利用分开的过程用于针对IoT设备选择适当的IoT解决方案。客户可以基于其特定配置来利用一个或多个实施方式选项,并改变其被利用的顺序。实施方式选项的顺序可以默认地被设置或被客户定制。例如,图8中所描绘的实施方式选项可以按相继顺序被执行,该相继顺序可以默认地被设置或被用户定制。
由IoT中心执行的一个实施方式选项包括对作为同一子网的一部分或利用同一网络设备(例如边缘网关设备或路由器)的IoT设备自动分组,如由数字805所代表性地示出。如由图9中的数字905所描绘,响应于IoT设备连接到子网,IoT中心在连接请求中接收该网络信息620,并且将IoT设备105自动指派给相关联的IoT解决方案。自动指派的IoT解决方案可以基于从用户的选择得出的用户的配置910(图7)。
实施方式选项可以备选地或附加地使用子网信息来预测设备分组,如图8中的数字810所代表性地示出。图10示出了说明性环境,其中IoT中心使用接收到的网络信息620,并且被执行的分组代码625使用硬编码规则1010或机器学习技术1015进行预测1005。硬编码规则可以是一系列如果……那么条件,其使用逻辑推论自动连接IoT设备。例如,如果客户利用单个IoT解决方案,那么IoT中心可以自动将IoT设备与IoT解决方案相关联。机器学习技术可以利用来自一个或多个客户或不同客户的各种参数1020,并且通过基于所收集的或众包数据来学习和识别模式来进行推论。
取决于给定的场景,各种无监督、有监督和强化的学习技术可以被实施,包括例如聚类、分类和回归。因此,IoT中心可以从客户接收数据并实施各种机器学习技术来组织、解析、学习和利用数据,以便标识、选择IoT设备并将该IoT设备指派给适当的IoT解决方案。
图11示出了说明性参数1020的分类法,说明性参数1020可以被机器学习决策过程利用并影响这些机器学习决策过程。针对IoT设备的参数可以包括序列号1105、类型1110、型号1115、传感器和/或所聚集的数据1120、IoT设备所连接的子网1125以及IoT设备位于其内部的地理区或地理围栏1130。对参数的利用结合IoT设备所已知的子网可以提供关于针对相应客户的组织的系统设置的有用信息。
使用各种参数,如果收集到的数据指示具有异构特性的类似IoT设备被连接到同一IoT解决方案,那么具有异构特性的IoT设备仍可以连接到同一IoT解决方案。例如,在一些场景中,接近传感器和温度传感器可以被客户利用来聚集环境的整体表示。虽然接近传感器和温度传感器是不同类型的传感器并且聚集不同的数据,但是它们仍可以利用同一IoT解决方案。预测可以基于那些传感器的已知分组被连接到同一子网并使用同一IoT解决方案来正确地选择针对两个不同的IoT设备的合适的IoT解决方案。
图12和图13示出了对IoT解决方案的预测被作出的说明性场景1200和说明性场景1300。在图12中,可用信息指示IoT设备是收集温度数据的恒温器,与子网3连接,并且其型号为XXQ。将该信息与其他相关信息一起解析使IoT中心做出IoT设备可以与数据存储IoT解决方案1210连接并使用数据存储IoT解决方案1210的预测1205。预测可以基于所提供的信息的一个、多个或所有字段。恒温器对子网3的利用和温度数据的收集可以指示并加强如下命题:这是至少相对于子网3上的该IoT设备使用数据存储IoT解决方案的HVAC部门。
在图13中,可用信息指示IoT设备是西北区设施处的起重机,该起重机被连接到子网2并且具有序列号789-284。基于所利用的子网、设备的类型和地理位置,IoT中心可以知道该区或地理围栏内的其他可用起重机利用分析IoT解决方案1310,并且从而做出该预测1305。
图14示出了说明图,其中IoT设备的位置被用作地理围栏认证过程的一部分,以增强公司所使用的IoT设备之上的安全性。例如,对于组织而言,启用IoT的设备(诸如机械或从医院装备到建筑装备的范围内的装备)可能很昂贵。一些设备比其他设备更易于运输,但是许多设备可能被意外错放或可能被盗。图14示出了说明性的所定义的地理区或地理围栏1405,其可以被用于证实IoT设备被正确定位。所定义的区或地理围栏可以在建筑物内部1420、在建筑物的部门(例如楼层、建筑物的区部、房间或其他分区)内部1425、在所定义的周界内部1430、所定义的地理区(例如国家、州或城镇的在度量距离内部的区部等)1435或根据某个其他定义1440。
IoT设备的当前位置可以在连接请求过程期间被传输(图6),并且因此可以被用作过程的一部分。如果IoT设备不在所定义的区或地理围栏内部,那么IoT中心可以选择使IoT设备无效,并且因此禁止设备使用IoT解决方案。如果IoT设备在所定义的区或地理围栏内部,那么IoT中心可以验证IoT设备,并且授权IoT设备使用IoT解决方案。IoT设备1410在所定义的区1405内部,并且因此是有效位置,而IoT设备1415在所定义的区外部,并且因此是无效位置。
图15示出了被用于验证IoT设备的说明性方法的流程图。除非特别说明,否则流程图中所示出和所附文本中所描述的方法或步骤不限于特定的顺序或序列。附加地,取决于这种实施方式的要求,其方法或步骤中的一些可以同时发生或同时被执行,并且并非所有方法或步骤都必须在给定的实施方式中被执行,并且一些方法或步骤可以可选地被利用。
在步骤1505中,IoT设备将连接请求传输给IoT中心。该步骤可以与图6中所描绘的步骤相当,其中IoT设备传输认证凭证、当前位置和网络信息。在步骤1510中,IoT中心证实IoT设备的凭证(例如私钥、订阅信息、客户付款是最新的)。在步骤1515中,IoT中心证实IoT设备位于授权区或地理围栏内部(图14)。在步骤1520中,IoT中心基于IoT设备所连接到的子网来验证IoT设备并将其指派给IoT解决方案。IoT中心可以周期性地重新验证IoT设备,并且因此过程再次在步骤1505处开始。
IoT设备可以自动地重新验证其自身,或响应于来自IoT中心的请求而这样做。在一些实施方式中,IoT设备接收短期令牌,该短期令牌被指派了到期之前的持续时间。当令牌到期时,客户被禁止使用IoT解决方案,直到利用IoT中心重新验证为止。在重新验证之后,可能会发生令牌的更新或从IoT中心接收新令牌。重新验证可以根据图15中所示出的步骤被完成,或备选地可以通过一个或多个步骤被完成,诸如证实IoT设备的位置。在该实施方式中,IoT设备可以将其当前位置传输给IoT中心,以供证实其在其地理围栏或所定义的区内部。响应于证实,IoT设备可以被指派新的短期令牌。
图16是可以由IoT中心使用一个或多个服务器执行的说明性方法1600的流程图。在步骤1605中,IoT中心从IoT设备接收连接请求和网络信息。在步骤1610中,IoT中心使用网络信息来标识IoT设备从其连接的子网。在步骤1615中,响应于接收到的连接请求并且基于所标识的子网,选择多个不同的IoT解决方案之中要与IoT设备连接的特定IoT解决方案。在步骤1620中,IoT中心向所选择的IoT解决方案连接IoT设备。
图17是可以由IoT中心使用一个或多个服务器执行的说明性方法1700的流程图。在步骤1705中,IoT中心执行IoT设备的自动分组或基于预测来执行IoT设备的分组。经分组的IoT设备能够被连接到IoT中心处的通用IoT解决方案。在步骤1710中,IoT中心从IoT设备接收用于与IoT中心连接的请求。在步骤1715中,IoT中心证实请求的IoT设备位于地理围栏内部,该地理围栏设置针对经批准操作的边界。在步骤1720中,响应于证实,IoT中心向所选择的IoT解决方案连接请求的IoT设备。
图18是可以由与IoT中心通信的IoT设备执行的说明性方法1800的流程图。在步骤1805中,IoT设备连接到网络。在步骤1810中,响应于连接到网络,IoT设备发起利用IoT中心的认证过程。在步骤1815中,当IoT中心验证IoT设备位于所定义的地理围栏内部时,IoT设备发起与IoT中心的通信。在步骤1820中,IoT设备通过周期性地重新发起利用IoT中心的认证过程来继续与IoT中心的通信。重新发起的认证过程可以至少包括将当前位置传输给IoT中心以证实IoT设备仍位于所定义的地理围栏内部。
图19是提供云计算服务或分布式计算服务的说明性数据中心1900的高级框图,该云计算服务或分布式计算服务可以被用于实施利用地理围栏认证的当前的基于子网的设备分配。多个服务器1901被数据中心管理控制器1902管理。负载均衡器1903在服务器1901上方分配请求和计算工作量,以避免其中单个服务器可能变得不堪重负的情形。负载均衡器1903使数据中心1900中的资源的可用容量和性能最大化。路由器/交换机1904经由外部网络1905(其例如可以是局域网(LAN)或互联网)来支持服务器1901之间以及数据中心1900与外部资源和用户(未示出)之间的数据业务。
服务器1901可以是单机计算设备,和/或它们可以被配置为一个或多个服务器设备的机架中的各个刀片。服务器1901具有管理与其他数据库实体的通信的输入/输出(I/O)连接器1906。每个服务器1901上的一个或多个主机处理器1907运行支持多个虚拟机(VM)1909的主机操作系统(O/S)1908。每个VM 1909可以运行其自己的O/S,以使得服务器上的每个VM O/S 1910是不同的或相同的或两者的混合。VM O/S 1910可以是例如相同O/S的不同版本(例如运行
Figure BDA0003048634100000141
操作系统的不同当前版本和旧版本的不同VM)。附加地或备选地,VM O/S 1910可以被不同制造者提供(例如,一些VM运行
Figure BDA0003048634100000142
操作系统,而其他VM运行
Figure BDA0003048634100000143
操作系统)。每个VM 1909还可以运行一个或多个应用(App)1911。每个服务器1901还包括可以被主机处理器1907和VM 1909访问和使用以供存储软件代码数据等的存储装置1912(例如硬盘驱动(HDD))和存储器1913(例如RAM)。在一个实施例中,VM 1909可以采用如本文中所公开的数据平面API。
数据中心1900提供池化的资源,客户可以在这些池化资源上根据需要动态地供应和扩展应用,而不必添加服务器或附加联网。这允许客户获得其所需的计算资源,而不必在每个应用的临时基础上取得、供应和管理基础设施。云计算数据中心1900允许客户动态地放大或缩小资源以满足其商业的当前要求。附加地,数据中心操作者可以向客户提供基于使用状况的服务,以使得这些客户当其需要使用资源时仅为其使用的资源付费。例如,客户最初可以使用服务器1901l上的一个VM 1909来运行其应用1911。当对应用1911的需求增加时,数据中心1900可以根据需要启动同一服务器1901l和/或新服务器1901N上的附加VM1909。如果稍后对应用的需求下降,那么这些附加VM 1909可以被停用。
数据中心1900可以提供有保证的可用性、灾难恢复和备份服务。例如,数据中心可以将服务器1901l上的一个VM 1909指定为客户的应用的主要位置,并可以启动相同或不同服务器上的第二VM 1909作为备用或备份,以防第一VM或服务器1901l发生故障。数据中心管理控制器1902将传入的用户请求从主VM自动移位到备份VM,而无需客户干预。尽管数据中心1900被图示为单个位置,但是应该理解,服务器1901可以被分布到全球的多个位置,以提供附加的冗余和灾难恢复能力。附加地,数据中心1900可以是向单个企业用户提供服务的预支的私有系统,或可以是向多个不相关的客户提供服务的可公开访问的分布式系统,或可以是两者的组合。
域名系统(DNS)服务器1914将域名和主机名分解为数据中心1900中所有角色、应用和服务的IP(互联网协议)地址。DNS日志1915维护已经通过角色被分解的域名的记录。应该理解,DNS在本文中被用作示例,并且其他名称分解服务和域名日志记录服务可以被用于标识相关性。
数据中心健康监测1916监测数据中心1900中的物理系统、软件和环境的健康。当数据中心1900中的服务器、刀片、处理器或应用的问题被检测到或当网络带宽或通信问题出现时,健康监测1916向数据中心管理器提供反馈。
图20是说明性计算机系统2000(诸如PC、客户端机器或服务器)的简化框图,利用地理围栏认证的当前的基于子网的设备分配可以利用该说明性计算机系统被实施。计算机系统2000包括处理器2005、系统存储器2011和系统总线2014,该系统总线将包括系统存储器2011的各种系统组件联接到处理器2005。系统总线2014可以是几种类型的总线结构中的任一种,包括使用各种总线架构中的任一种的存储器总线或存储器控制器、外围总线或局部总线。系统存储器2011包括只读存储器(ROM)2017和随机存取存储器(RAM)2021。基本输入/输出系统(BIOS)2025被存储在ROM 2017中,该基本输入/输出系统包含有助于在计算机系统2000内的元件之间(诸如在启动期间)传递信息的基本例程。计算机系统2000还可以包括:硬盘驱动2028,用于从内部安置的硬盘(未示出)读取和写入该内部安置的硬盘;磁盘驱动2030,用于从可移除磁盘2033(例如软盘)读取或写入该可移除磁盘;以及光盘驱动2038,用于从可移除光盘2043(诸如CD(光碟)、DVD(数字化通用磁盘)或其他光学介质)读取或写入该可移除光盘。硬盘驱动2028、磁盘驱动2030和光盘驱动2038分别通过硬盘驱动接口2046、磁盘驱动接口2049和光盘驱动接口2052被连接到系统总线2014。驱动及其相关联的计算机可读存储介质为计算机系统2000提供了计算机可读指令、数据结构、程序模块和其他数据的非易失性存储。尽管该说明性示例包括硬盘、可移除磁盘2033和可移除光盘2043,但是其他类型的计算机可读存储介质(其可以存储可由计算机访问的数据,诸如磁带盒、闪速存储器卡、数字视频光盘、数据磁带、随机存取存储器(RAM)、只读存储器(ROM)等)也可以被用于利用地理围栏认证的当前的基于子网的设备分配的一些应用中。附加地,如本文中所使用,术语计算机可读存储介质包括介质类型的一个或多个实例(例如一个或多个磁盘、一个或多个CD等)。出于本说明书和权利要求书的目的,短语“计算机可读存储介质”及其变型旨在涵盖非瞬态实施例,并且不包括波、信号和/或其他瞬态和/或无形的通信介质。
多个程序模块可以被存储在硬盘、磁盘2033、光盘2043、ROM2017或RAM 2021上,包括操作系统2055、一个或多个应用程序2057、其他程序模块2060和程序数据2063。用户可以通过输入设备(诸如键盘2066)和指向设备2068(诸如鼠标)将命令和信息键入计算机系统2000中。其他输入设备(未示出)可以包括麦克风、操纵杆、游戏垫、卫星天线、扫描仪、轨迹球、触摸板、触摸屏、触敏设备、语音命令模块或设备、用户运动或用户手势捕获设备等。这些和其他输入设备通常通过被联接到系统总线2014的串行端口接口2071被连接到处理器电路2005,但是可以通过其他接口(诸如并行端口、游戏端口或通用串行总线(USB))被连接。监测器2073或其他类型的显示设备还经由接口(诸如视频适配器2075)被连接到系统总线2014。除了监测器2073之外,个人计算机通常包括其他外围输出设备(未示出),诸如扬声器和打印机。图20中所示出的说明性示例还包括主机适配器2078、小型计算机系统接口(SCSI)总线2083和被连接到SCSI总线2083的外部存储设备2076。
计算机系统2000可使用与一个或多个远程计算机(诸如远程计算机2088)的逻辑连接在联网环境中操作。远程计算机2088可以被选择为另一个人计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,并且通常包括上文相对于计算机系统2000所描述的许多或所有元件,但仅单个代表性的远程存储器/存储装置2090在图20中被示出。图20中所描绘的逻辑连接包括局域网(LAN)2093和广域网(WAN)2095。这种联网环境通常被部署在例如办公室、企业范围计算机网络、内部网和互联网中。
当在LAN联网环境中被使用时,计算机系统2000通过网络接口或适配器2096被连接到局域网2093。当在WAN联网环境中被使用时,计算机系统2000通常包括宽带调制解调器2098、网络网关或用于通过广域网2095(诸如互联网)来建立通信的其他部件。可以是内部的或外部的宽带调制解调器2098经由串行端口接口2071被连接到系统总线2014。在联网环境中,与计算机系统2000相关的程序模块或其部分可以被存储在远程存储器存储装置2090中。应注意,图20中所示出的网络连接是说明性的,并且在计算机之间建立通信链路的其他手段可以取决于利用地理围栏认证的当前的基于子网的设备分配的应用的特定要求被使用。
图21示出了能够执行本文中所描述的各种组件以用于具有地理围栏认证的基于子网的设备分配的计算设备(诸如膝上型计算机或个人计算机)或IoT设备的说明性架构2100。图21中所图示的架构2100包括一个或多个处理器2102(例如中央处理单元、专用AI芯片、图形处理单元等)、包括RAM(随机存取存储器)2106和ROM(只读存储器)2108的系统存储器2104以及在操作上和功能上联接架构2100中的组件的系统总线2110。基本输入/输出系统通常被存储在ROM 2108中,该基本输入/输出系统包含有助于在架构2100内的元件之间(诸如在启动期间)传递信息的基本例程。架构2100还包括大容量存储设备2112,以用于存储被用于实施应用、文件系统和操作系统的软件代码或其他计算机执行的代码。大容量存储设备2112通过被连接到总线2110的大容量存储控制器(未示出)被连接到处理器2102。大容量存储设备2112及其相关联的计算机可读存储介质为架构2100提供了非易失性存储。尽管本文中所包含的计算机可读存储介质的描述是指大容量存储设备,诸如硬盘或CD-ROM驱动,但本领域的技术人员应该了解,计算机可读存储介质可以是可以被架构2100访问的任何可用的存储介质。
例如,但非限制性的,计算机可读存储介质可以包括在任何用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的方法或技术中所实施的易失性和非易失性、可移除和不可移除介质。例如,计算机可读介质包括但不限于RAM、ROM、EPROM(可擦除可编程只读存储器)、EEPROM(电可擦除可编程只读存储器)、闪速存储器或其他固态存储器技术、CD-ROM、DVD、HD-DVD(高清DVD)、蓝光或其他光学存储装置、磁带盒、磁带、磁盘存储装置或其他磁性存储设备,或可以被用于存储期望的信息并且可以被架构2100访问的任何其他介质。
根据各种实施例,架构2100可以使用通过网络与远程计算机的逻辑连接在联网环境中操作。架构2100可以通过被连接到总线2110的网络接口单元2116连接到网络。应了解,网络接口单元2116也可以被用于连接到其他类型的网络和远程计算机系统。架构2100还可以包括输入/输出控制器2118,以用于接收和处理来自多个其他设备的输入,这些输入/输出控制器包括键盘、鼠标、触摸板、触摸屏、诸如按钮和开关的控制设备或电子笔(在图21中未被示出)。类似地,输入/输出控制器2118可以向显示屏、用户界面、打印机或其他类型的输出设备(在图21中也未被示出)提供输出。
应该了解,本文中所描述的软件组件在被加载到处理器2102中并且被执行时可以将处理器2102和整体架构2100从通用计算系统转变成为了支持本文中所呈现的功能性而被定制的专用计算系统。处理器2102可以由任何数量的晶体管或其他离散电路元件构造,这些晶体管或其他离散电路元件可以单独地或共同地假定任何数量的状态。更具体地,响应于本文中所描述的软件模块内所包含的可执行指令,处理器2102可以作为有限状态机操作。这些计算机可执行指令可以通过指定处理器2102如何进行状态之间的转变来转变处理器2102,从而转变构成处理器2102的晶体管或其他离散硬件元件。
对本文中所呈现的软件模块进行编码也可以转变本文中所呈现的计算机可读存储介质的物理结构。在本说明书的不同实施方式中,物理结构的具体转变可以取决于多种因素。这种因素的示例可以包括但不限于被用于实施计算机可读存储介质的技术、计算机可读存储介质是否被表征为主存储装置或辅存储装置等。例如,如果计算机可读存储介质被实施为基于半导体的存储器,那么本文中所公开的软件可以通过转变半导体存储器的物理状态而被编码在计算机可读存储介质上。例如,软件可以转变构成半导体存储器的晶体管、电容器或其他离散电路元件的状态。软件还可以转变这种组件的物理状态以便将数据存储在其上。
作为另一示例,本文中所公开的计算机可读存储介质可以使用磁技术或光学技术被实施。在这种实施方式中,当软件被编码在磁介质或光学介质中时,本文中所呈现的软件可以转变磁介质或光学介质的物理状态。这些转变可以包括更改在给定磁介质内的特定位置的磁特性。这些转变还可以包括更改在给定光学介质内的特定位置的物理特征或特性,以改变这些位置的光学特性。利用仅被提供来支持本讨论的前述示例,在不脱离本说明书的范围和精神的状况下,物理介质的其他转变是可能的。
架构2100还可以包括一个或多个传感器2114或电池或功率源2120。传感器可以被联接到架构,以拾取关于环境或组件的数据,包括温度、压力等。供电电源可以针对可携带性利用AC电源线或电池(诸如可再充电电池)被调适。
鉴于上文,应该了解,在架构2100中发生许多类型的物理转变以便存储和执行本文中所呈现的软件组件。还应该了解,架构2100可以包括其他类型的计算设备,包括可穿戴式设备、手持式计算机、嵌入式计算机系统、智能电话、PDA以及本领域的技术人员所已知的其他类型的计算设备。还可以设想的是,架构2100可以不包括图21中所示出的所有组件,可以包括在图21中未被明确示出的其他组件,或可以利用与图21中所示出的架构完全不同的架构。
利用地理围栏认证的现存的基于子网的设备分配的各种示例性实施例现在通过说明而不是作为所有实施例的穷举性清单被呈现。示例包括一种由物联网IoT中心执行的方法,IoT中心使用一个或多个服务器被配置,一个或多个服务器被可操作地耦合到广域网,方法包括:从IoT设备接收连接请求和网络信息;使用网络信息,标识IoT设备从其连接的子网,其中子网提供到广域网的接口,以使能IoT设备与IoT中心之间的通信;响应于接收到的连接请求,基于所标识的子网,选择多个不同的IoT解决方案之中要与IoT设备连接的IoT解决方案;以及向所选择的IoT解决方案连接IoT设备。
在另一示例中,方法还包括:验证IoT设备处于由地理围栏定义的可接受位置中;从IoT设备接收位置信息;使用接收到的位置信息来证实IoT设备在所建立的地理围栏内;如果IoT设备的位置在所建立的地理围栏内部,那么将IoT设备与所选择的IoT解决方案连接;以及如果IoT设备的位置在所建立的地理围栏外部,那么拒绝所确定的IoT解决方案与IoT设备的连接和利用。在另一示例中,IoT设备位置信息和网络信息与连接请求的发起一起被包括。在另一示例中,方法还包括:接收用户输入用于对子网向相应IoT解决方案的指派,并且其中所选择的IoT解决方案基于指派。在另一示例中,IoT解决方案的选择响应于IoT设备与子网连接而被自动执行。在另一示例中,子网基于IoT设备被连接到的联网设备而被标识,或者基于针对IoT设备的互联网协议IP地址内所包含的网络前缀和子网号而被标识。在另一示例中,方法还包括:分析针对IoT设备组的参数;以及基于所分析的参数,预测要与IoT设备连接的IoT解决方案。在另一示例中,参数由IoT设备组内的各个IoT设备分组,并且参数包括以下一项或多项:IoT设备的类型、序列号、型号、所利用的一个或多个传感器、所聚集的数据的类型、当前子网利用、或者IoT设备位于其内部的地理区或地理围栏。在另一示例中,具有异构特性的IoT设备被分组到同一IoT解决方案。
另一示例包括包括一个或多个服务器的物联网IoT中心,IoT中心被配置为基于IoT设备配置来向IoT设备提供各种IoT解决方案,包括:一个或多个处理器;以及一个或多个基于硬件的存储器设备,存储计算机可读指令,计算机可读指令当被一个或多个处理器执行时使IoT中心:执行IoT设备的自动分组或基于预测来执行IoT设备的分组,其中经分组的IoT设备能够被连接到IoT中心处的通用IoT解决方案;从IoT设备接收用于与IoT中心连接的请求;证实所请求的IoT设备位于地理围栏内部,地理围栏定义针对经批准操作的边界;以及响应于证实向通用IoT解决方案连接所请求的IoT设备,其中通用子网后面的IoT设备被自动分组,并且其中与所请求的IoT设备相关联的子网信息被IoT中心使用以执行所预测的分组。
在另一示例中,自动分组和所预测的分组使用分组代码而被实施,其中分组代码对于如下每个客户都是独特的,客户具有连接到由中心提供的各种IoT解决方案的IoT设备组。在另一示例中,用于与IoT中心连接的请求包括网络信息的传输,网络信息包括对以下一项或多项的标识:互联网协议IP地址内的子网号、路由器、无线接入点或边缘网关设备。在另一示例中,针对路由器或无线接入点的标识包括服务集标识符SSID或基本服务集标识符BSSID。在另一示例中,所执行的指令还使IoT中心:周期性地从每个IoT设备接收位置信息;以及响应于接收位置信息来证实每个IoT设备位于由地理围栏定义的经批准边界内部。在另一示例中,所执行的指令还使IoT中心向经证实的IoT设备传输令牌,其中所传输的令牌被配置为在设定持续时间之后到期,在设定持续时间之后,经证实的IoT设备针对新令牌重新传输位置信息。在另一示例中,所执行的指令还使IoT中心由使用浏览器或客户端应用且具有对IoT中心的可扩展性的远程计算设备可访问,并且所执行的指令还使IoT中心:将用户界面(UI)的至少一部分传送给远程计算设备,以供管理IoT设备与IoT中心的连接,其中UI被配置为接收用于将子网指派给特定IoT解决方案的用户输入。
另一示例包括存储指令的一个或多个基于硬件的非瞬态计算机可读存储器设备,指令当被在包括用于网络连接性的硬件的物联网(IoT)设备中所安置的一个或多个处理器执行时,使IoT设备:连接到通信网络;响应于连接到网络,发起利用IoT中心的认证过程,其中认证过程包括将访问凭证、IoT设备的当前位置、以及网络信息传输给IoT中心,以验证IoT设备并且向IoT解决方案连接IoT设备;当IoT中心验证IoT设备位于所定义的地理围栏内部时,发起与IoT中心的通信,其中通信包括以下一项或多项:将数据传输给IoT中心或从IoT中心接收数据;以及通过周期性地重新发起至少包括将当前位置传输给IoT中心以验证IoT设备位于地理围栏内的认证过程来继续与IoT中心的通信。
在另一示例中,当与本地存储的令牌相关联的持续时间到期时,IoT设备重新发起认证过程,并且所执行的指令还使IoT设备响应于由IoT中心进行的验证来接收新令牌。在另一示例中,所传输的网络信息包括对网络或子网中的一个或多个的标识,网络或子网可以包括网关边缘设备、路由器、无线接入点、调制解调器或交换机,并且其中IoT设备所连接的IoT解决方案基于所传输的网络信息被确定。在另一示例中,IoT设备被配置为响应于建立与网络的连接而自动发起用于利用IoT中心的验证的认证过程,使得IoT设备被配置为响应于验证而操作,并且如果验证失败,那么被拒绝与IoT解决方案通信。
尽管本主题已经针对结构特征和/或方法动作被语言描述,但是应理解,所附权利要求书中所定义的主题不必限于上文所描述的特定特征或动作。相反,上文所描述的特定特征和动作作为实施权利要求书的示例形式被公开。

Claims (15)

1.一种由物联网IoT中心执行的方法,所述IoT中心使用一个或多个服务器被配置,所述一个或多个服务器被可操作地耦合到广域网,所述方法包括:
从IoT设备接收连接请求和网络信息;
使用所述网络信息,标识所述IoT设备从其连接的子网,其中所述子网提供到所述广域网的接口,以使能所述IoT设备与所述IoT中心之间的通信;
响应于接收到的所述连接请求,基于所标识的所述子网,选择多个不同的IoT解决方案之中要与所述IoT设备连接的IoT解决方案;以及
向所选择的所述IoT解决方案连接所述IoT设备。
2.根据权利要求1所述的方法,还包括:
验证所述IoT设备处于由地理围栏定义的可接受位置中;
从所述IoT设备接收位置信息;
使用接收到的所述位置信息来证实所述IoT设备在所建立的所述地理围栏内;
如果所述IoT设备的所述位置在所建立的所述地理围栏内部,那么将所述IoT设备与所选择的所述IoT解决方案连接;以及
如果所述IoT设备的所述位置在所建立的所述地理围栏外部,那么拒绝所确定的所述IoT解决方案与所述IoT设备的所述连接和利用。
3.根据权利要求2所述的方法,其中所述IoT设备位置信息和网络信息与所述连接请求的发起一起被包括。
4.根据权利要求1所述的方法,还包括:接收用户输入用于对子网向相应IoT解决方案的指派,并且其中所选择的所述IoT解决方案基于所述指派。
5.根据权利要求1所述的方法,其中所述IoT解决方案的选择响应于所述IoT设备与所述子网连接而被自动执行。
6.根据权利要求5所述的方法,其中所述子网基于所述IoT设备被连接到的联网设备而被标识,或者基于针对所述IoT设备的互联网协议IP地址内所包含的网络前缀和子网号而被标识。
7.根据权利要求1所述的方法,还包括:
分析针对IoT设备组的参数;以及
基于所分析的所述参数,预测要与所述IoT设备连接的IoT解决方案。
8.根据权利要求7所述的方法,其中所述参数由所述IoT设备组内的各个IoT设备分组,并且所述参数包括以下一项或多项:IoT设备的类型、序列号、型号、所利用的一个或多个传感器、所聚集的数据的类型、当前子网利用、或者IoT设备位于其内部的地理区或地理围栏。
9.根据权利要求7所述的方法,其中具有异构特性的IoT设备被分组到同一IoT解决方案。
10.一种包括一个或多个服务器的物联网IoT中心,所述IoT中心被配置为基于IoT设备配置来向IoT设备提供各种IoT解决方案,包括:
一个或多个处理器;以及
一个或多个基于硬件的存储器设备,存储计算机可读指令,所述计算机可读指令当被所述一个或多个处理器执行时使所述IoT中心:
执行IoT设备的自动分组或基于预测来执行IoT设备的分组,其中经分组的IoT设备能够被连接到所述IoT中心处的通用IoT解决方案;
从IoT设备接收用于与所述IoT中心连接的请求;
证实所请求的所述IoT设备位于地理围栏内部,所述地理围栏定义针对经批准操作的边界;以及
响应于证实向所述通用IoT解决方案连接所请求的所述IoT设备,
其中通用子网后面的IoT设备被自动分组,并且其中与所请求的所述IoT设备相关联的子网信息被所述IoT中心使用以执行所预测的所述分组。
11.根据权利要求10所述的IoT中心,其中所述自动分组和所预测的分组使用分组代码而被实施,其中所述分组代码对于如下每个客户都是独特的,所述客户具有连接到由所述中心提供的所述各种IoT解决方案的IoT设备组。
12.根据权利要求10所述的IoT中心,其中用于与所述IoT中心连接的所述请求包括网络信息的传输,所述网络信息包括对以下一项或多项的标识:互联网协议IP地址内的子网号、路由器、无线接入点或边缘网关设备。
13.根据权利要求12所述的IoT中心,其中针对所述路由器或无线接入点的所述标识包括服务集标识符SSID或基本服务集标识符BSSID。
14.根据权利要求10所述的IoT中心,其中所执行的所述指令还使所述IoT中心:
周期性地从每个IoT设备接收位置信息;以及
响应于接收所述位置信息来证实每个IoT设备位于由所述地理围栏定义的所述经批准边界内部。
15.根据权利要求14所述的IoT中心,其中所执行的所述指令还使所述IoT中心向经证实的IoT设备传输令牌,其中所传输的所述令牌被配置为在设定持续时间之后到期,在所述设定持续时间之后,所述经证实的IoT设备针对新令牌重新传输位置信息。
CN201980072419.9A 2018-11-05 2019-10-29 利用地理围栏认证的基于子网的设备分配 Pending CN112956219A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/180,742 2018-11-05
US16/180,742 US11843600B2 (en) 2018-11-05 2018-11-05 Subnet-based device allocation with geofenced attestation
PCT/US2019/058419 WO2020096799A1 (en) 2018-11-05 2019-10-29 Subnet-based device allocation with geofenced attestation

Publications (1)

Publication Number Publication Date
CN112956219A true CN112956219A (zh) 2021-06-11

Family

ID=68583533

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201980072419.9A Pending CN112956219A (zh) 2018-11-05 2019-10-29 利用地理围栏认证的基于子网的设备分配

Country Status (4)

Country Link
US (1) US11843600B2 (zh)
EP (1) EP3878191B1 (zh)
CN (1) CN112956219A (zh)
WO (1) WO2020096799A1 (zh)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10235726B2 (en) 2013-09-24 2019-03-19 GeoFrenzy, Inc. Systems and methods for secure encryption of real estate titles and permissions
US9906902B2 (en) 2015-06-02 2018-02-27 GeoFrenzy, Inc. Geofence information delivery systems and methods
US9363638B1 (en) 2015-06-02 2016-06-07 GeoFrenzy, Inc. Registrar mapping toolkit for geofences
US9906609B2 (en) 2015-06-02 2018-02-27 GeoFrenzy, Inc. Geofence information delivery systems and methods
US11606666B2 (en) 2014-07-29 2023-03-14 GeoFrenzy, Inc. Global registration system for aerial vehicles
US12022352B2 (en) 2014-07-29 2024-06-25 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US10979849B2 (en) 2015-06-02 2021-04-13 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US10932084B2 (en) 2014-07-29 2021-02-23 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US9986378B2 (en) 2014-07-29 2018-05-29 GeoFrenzy, Inc. Systems and methods for defining and implementing rules for three dimensional geofences
US11838744B2 (en) 2014-07-29 2023-12-05 GeoFrenzy, Inc. Systems, methods and apparatus for geofence networks
US11240628B2 (en) 2014-07-29 2022-02-01 GeoFrenzy, Inc. Systems and methods for decoupling and delivering geofence geometries to maps
US10582333B2 (en) * 2014-07-29 2020-03-03 GeoFrenzy, Inc. Systems and methods for geofence security
WO2016196496A1 (en) 2015-06-02 2016-12-08 GeoFrenzy, Inc. Geofence information delivery systems and methods
CN112181382B (zh) * 2020-11-27 2021-08-27 北京和利时系统工程有限公司 一种基于软件定义的工业智能控制系统
KR20220083221A (ko) * 2020-12-11 2022-06-20 삼성전자주식회사 IoT 환경의 허브 장치 및 로컬 네트워크 기반 이벤트 처리 방법
US11589407B2 (en) * 2021-06-06 2023-02-21 International Business Machines Corporation Dynamically grouping communicatively connected devices based on device location and tracked motion

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103685467A (zh) * 2013-11-15 2014-03-26 伏治军 一种物联网互联互通平台及其通信方法
US20160036764A1 (en) * 2014-07-31 2016-02-04 Convida Wireless, Llc Mechanism And Service For Device Naming
CN105340235A (zh) * 2013-06-26 2016-02-17 高通股份有限公司 基于用户存在性来控制与物联网(IoT)设备的远程通信
WO2018194971A1 (en) * 2017-04-17 2018-10-25 Intel Corporation Group based context and security for massive internet of things devices

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9853826B2 (en) * 2013-02-25 2017-12-26 Qualcomm Incorporated Establishing groups of internet of things (IOT) devices and enabling communication among the groups of IOT devices
US9917905B2 (en) * 2013-05-13 2018-03-13 International Business Machines Corporation Location-based domain name system service discovery
US9444735B2 (en) * 2014-02-27 2016-09-13 Cisco Technology, Inc. Contextual summarization tag and type match using network subnetting
US20160128043A1 (en) 2014-10-30 2016-05-05 Qualcomm Incorporated Dynamic mobile ad hoc internet of things (iot) gateway
EP3257320B1 (en) * 2015-06-01 2020-04-08 Huawei Technologies Co., Ltd. System and method for virtualized functions in control and data planes
US10142822B1 (en) * 2015-07-25 2018-11-27 Gary M. Zalewski Wireless coded communication (WCC) devices with power harvesting power sources triggered with incidental mechanical forces
US10027758B2 (en) 2015-10-05 2018-07-17 International Business Machines Corporation Distributed load processing using location-based internet of things device clusters
US10237351B2 (en) * 2015-11-23 2019-03-19 Dojo-Labs Ltd Sub-networks based security method, apparatus and product
US10715599B2 (en) * 2015-11-30 2020-07-14 Verizon Patent And Licensing, Inc. Internet of things (IoT) platform and application framework
US9949130B2 (en) 2016-02-04 2018-04-17 StarHome Mach GmbH Data security for internet of things (IOT) devices
US9781602B1 (en) 2016-03-31 2017-10-03 Ca, Inc. Geographically based access management for internet of things device data
JP6944950B2 (ja) 2016-04-25 2021-10-06 コンヴィーダ ワイヤレス, エルエルシー モノのインターネット(IoT)デバイスのグループのための連携サービス
US10291477B1 (en) * 2016-06-06 2019-05-14 Amazon Technologies, Inc. Internet of things (IoT) device registration
US11082296B2 (en) * 2017-10-27 2021-08-03 Palo Alto Networks, Inc. IoT device grouping and labeling
US10986602B2 (en) * 2018-02-09 2021-04-20 Intel Corporation Technologies to authorize user equipment use of local area data network features and control the size of local area data network information in access and mobility management function
GB2572982C (en) * 2018-04-18 2021-01-20 Gurulogic Microsystems Oy System and method for creating group networks between network devices
US10440579B1 (en) * 2018-08-22 2019-10-08 Verizon Patent And Licensing Inc. Internet of things location spoofing detection

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105340235A (zh) * 2013-06-26 2016-02-17 高通股份有限公司 基于用户存在性来控制与物联网(IoT)设备的远程通信
CN103685467A (zh) * 2013-11-15 2014-03-26 伏治军 一种物联网互联互通平台及其通信方法
US20160036764A1 (en) * 2014-07-31 2016-02-04 Convida Wireless, Llc Mechanism And Service For Device Naming
WO2018194971A1 (en) * 2017-04-17 2018-10-25 Intel Corporation Group based context and security for massive internet of things devices

Also Published As

Publication number Publication date
EP3878191A1 (en) 2021-09-15
US11843600B2 (en) 2023-12-12
WO2020096799A1 (en) 2020-05-14
EP3878191B1 (en) 2024-03-13
US20200145415A1 (en) 2020-05-07

Similar Documents

Publication Publication Date Title
US11843600B2 (en) Subnet-based device allocation with geofenced attestation
US11799727B2 (en) Extending center cluster membership to additional compute resources
US10547710B2 (en) Device gateway
US10419931B1 (en) Security for network computing environment using centralized security system
CN113016167B (zh) 在网络中使权利跟随终端设备的方法和装置
US11019490B2 (en) Group management in reconfigurable machine-to-machine systems
US11399283B2 (en) Tenant service set identifiers (SSIDs)
US10523537B2 (en) Device state management
US20180278607A1 (en) Device Credentials Management
US20170006030A1 (en) Device Communication Environment
WO2016060742A1 (en) Role based access control for connected consumer devices
CN107637043B (zh) 用于约束环境中资源管理的业务提供方法、系统和装置
US11418458B2 (en) Systems and methods of creating and operating a cloudless infrastructure of computing devices
CN105704042A (zh) 报文处理方法、bng及bng集群系统
US11343676B1 (en) Configuring devices to connect to a network
US11546318B2 (en) Sensor certificate lifecycle manager for access authentication for network management systems
EP3241363B1 (en) Resource link management at service layer
US11956639B2 (en) Internet of things device provisioning
WO2017004251A1 (en) Method and system for function and service discovery
US10135695B1 (en) System and method for managing a remote device
Gupta et al. Multi-layered cloud and fog based secure integrated transmission and storage framework for IoT based applications
US20230299979A1 (en) Device certificate management for zero touch deployment in an enterprise network

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination