DE102021210707A1 - Biometrische sicherheit für edge-plattformverwaltung - Google Patents

Biometrische sicherheit für edge-plattformverwaltung Download PDF

Info

Publication number
DE102021210707A1
DE102021210707A1 DE102021210707.9A DE102021210707A DE102021210707A1 DE 102021210707 A1 DE102021210707 A1 DE 102021210707A1 DE 102021210707 A DE102021210707 A DE 102021210707A DE 102021210707 A1 DE102021210707 A1 DE 102021210707A1
Authority
DE
Germany
Prior art keywords
edge
entity
biometric
access
biometric data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021210707.9A
Other languages
English (en)
Inventor
Francesc Guim Bernat
Kshitij Arun Doshi
Suraj Prabhakaran
Ned M. Smith
Brinda Ganesh
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
INTEL CORPORATION (N. D. GES. D. STAATES DELAW, US
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE102021210707A1 publication Critical patent/DE102021210707A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0861Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • Biomedical Technology (AREA)
  • General Health & Medical Sciences (AREA)
  • Power Engineering (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Verschiedene Aspekte von Verfahren, Systemen und Verwendungsfällen für biometrische Sicherheit zur Edge-Plattformverwaltung. Ein Edge-Cloud-System zum Implementieren biometrischer Sicherheit zur Edge-Plattformverwaltung umfasst einen biometrischen Sensor; und einen Edge-Knoten in einem Edge-Netzwerk, wobei der Edge-Knoten ausgelegt ist zum: Empfangen einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen, von dem biometrischen Sensor, biometrischer Daten der Entität; Authentifizieren der Entität unter Verwendung der biometrischen Daten; und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren von Zugriff auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.

Description

  • HINTERGRUND
  • Edge-Computing auf allgemeiner Ebene bezieht sich auf die Implementierung, Koordination und Verwendung von Computing und Ressourcen an Orten näher am „Edge“ (Rand) oder einer Sammlung von „Edges“ des Netzwerks. Zweck dieser Anordnung ist es, die Gesamtkosten der Eigentümerschaft zu verbessern, Anwendungs- und Netzwerklatenz zu reduzieren, Netzwerk-Backhaul-Verkehr und assoziierten Energieverbrauch zu reduzieren, Dienstfähigkeiten zu verbessern und die Einhaltung von Sicherheits- oder Datenschutzvoraussetzungen (insbesondere gegenüber herkömmlichem Cloud-Computing) zu verbessern. Komponenten, die Edge-Rechenoperationen ausführen können („Edge-Knoten“), können sich an jedem Ort befinden, der von der Systemarchitektur oder dem Adhoc-Dienst benötigt wird (z. B. in einem Hochleistungsrechendatenzentrum oder einer Hochleistungs-Cloud-Installation; einem designierten Edge-Knoten-Server, einem Unternehmensserver, einem Straßenrandserver, einer Telekommunikationszentrale; oder einer lokalen oder Peer-at-the-Edge-Vorrichtung, die versorgt wird und Edge-Dienste verbraucht).
  • Anwendungen, die für Edge-Computing angepasst wurden, beinhalten unter anderem die Virtualisierung herkömmlicher Netzwerkfunktionen (z. B. um Telekommunikations- oder Internetdienste zu betreiben) und die Einführung von Merkmalen und Diensten der nächsten Generation (z. B. um 5G-Netzdienste zu unterstützen). Verwendungsfälle, deren Planung weitgehendes Nutzen von Edge-Computing vorsieht, beinhalten unter vielen anderen Netzwerken und rechenintensiven Diensten vernetzte selbstfahrende Autos, Überwachung, Internet-der-Dinge-Vorrichtungsdatenanalytik (IoT-Vorrichtungsdatenanalytik), Videocodierung und -analytik, ortsbewusste Dienste und Vorrichtungserfassung in Smart-Städten.
  • Edge-Computing kann in einigen Szenarien einen Cloud-ähnlichen verteilten Dienst anbieten oder hosten, um Orchestrierung und Verwaltung für Anwendungen und koordinierte Dienstinstanzen unter vielen Arten von Speicherungs- und Rechenressourcen anzubieten. Es ist zu erwarten, dass Edge-Computing auch fest in existierende Anwendungsfälle und Technologie integriert wird, die für IoT- und Fog- sowie verteilte Netzwerkkonfigurationen entwickelt wurden, da Endpunktvorrichtungen, Clients und Gateways versuchen, auf Netzwerkressourcen und Anwendungen an Orten zuzugreifen, die näher am Edge (Rand) des Netzwerks liegen.
  • Mit wachsenden Edge-Netzwerken werden mehr Hardware-Assets verwendet. Manche Edge-Hardware befindet sich entfernt und kann sich an einem unsicheren oder ungesicherten Ort befinden. Eine bessere Weise zur Absicherung der physischen Hardware-Assets ist erforderlich.
  • Figurenliste
  • In den Zeichnungen, die nicht unbedingt maßstabsgetreu gezeichnet sind, können gleiche Bezugszeichen ähnliche Komponenten in verschiedenen Ansichten beschreiben. Gleiche Ziffern mit verschiedenen angehängten Buchstaben können verschiedene Instanzen ähnlicher Komponenten repräsentieren. Einige Ausführungsformen sind beispielhaft und nicht beschränkend in den Figuren der begleitenden Zeichnungen veranschaulicht, in denen gilt:
    • 1 veranschaulicht einen Überblick über eine Edge-Cloud-Konfiguration für Edge-Computing.
    • 2 veranschaulicht Betriebsschichten zwischen Endpunkten, einer Edge-Cloud und Cloud-Rechenumgebungen.
    • 3 veranschaulicht einen beispielhaften Ansatz für Networking und Dienste in einem Edge-Rechensystem.
    • 4 veranschaulicht den Einsatz einer virtuellen Edge-Konfiguration in einem Edge-Rechensystem, das zwischen mehreren Edge-Knoten und mehreren Mandanten betrieben wird.
    • 5 veranschaulicht verschiedene Rechenanordnungen, die Container in einem Edge-Rechensystem einsetzen.
    • 6 veranschaulicht einen Rechen- und Kommunikationsverwendungsfall, der Mobilzugriff auf Anwendungen in einem Edge-Rechensystem involviert.
    • 7A stellt einen Überblick über beispielhafte Komponenten zur Berechnung bereit, die an einem Rechenknoten in einem Edge-Rechensystem eingesetzt werden.
    • 7B stellt einen weiteren Überblick über beispielhafte Komponenten innerhalb einer Rechenvorrichtung in einem Edge-Rechensystem bereit.
    • 8 ist ein Blockdiagramm, das einen Edge-Knoten gemäß einer Ausführungsform veranschaulicht.
    • 9 ist ein Flussdiagramm, das ein Verfahren zum Authentifizieren einer Entität an einem Edge-Knoten veranschaulicht, gemäß einer Ausführungsform.
    • 10 ist ein Flussdiagramm, das ein Verfahren zur biometrischen Sicherheit für eine Edge-Plattformverwaltung veranschaulicht, das in einer Edge-Rechenumgebung durchgeführt wird, gemäß einer Ausführungsform.
  • AUSFÜHRLICHE BESCHREIBUNG
  • Die folgenden Ausführungsformen betreffen allgemein die Verwendung biometrischer Sicherheit zum Sichern von Rechenhardwareressourcen in einer verteilten Edge-Rechenumgebung.
  • Im Folgenden werden zwei Hauptanfälligkeiten angesprochen. Die erste betrifft eine Subversion des Prozesses des Gebens biometrischer Informationen, bei der die Person, deren Biometrik gesucht wird, von einer Drittpartei dahingehend gezwungen oder getäuscht wird, oder bewusst oder unbewusst daran gehindert wird, einen Zugriff durchzuführen, weil ein Angreifer in der Lage ist, ausreichend Rauschen zu erzeugen, um die Fähigkeit eines biometrischen Sensors, innerhalb eines Rauschtoleranzniveaus zu inferieren, zu kompromittieren. Die zweite Anfälligkeit ist im Laufe der Zeit die Verwendung von Robotern oder anderen nichtbiologischen Agenten, die gegenwärtig vom Menschen durchgeführte Aufgaben übernehmen können. In diesem Fall kann der Angreifer unter der Annahme, dass die Systemdesigner eine alternative Weise zum Zugreifen auf eine Plattform für nichtmenschliche Agenten, wie etwa ein Zertifikat und einen Challenge-Response-Mechanismus (Challenge-Response - Herausforderung-Antwort), erzeugt haben, den Roboter selbst anvisieren (mit anderen Worten ändert der Angriff seine Gestalt).
  • Der physische Schutz von Rechenressourcen sollte zweischichtig sein, sodass, selbst wenn ein Angreifer die erste Schicht untergraben kann, indem er einige physische Maßnahmen anwendet, die zweite Schicht der Zulassungssteuerung einige Steuerelemente von dem Angreifer entfernt, bevor der Zugriff erlaubt wird. Um zum Beispiel auf eine Ressource zuzugreifen, benötigt ein Benutzer möglicherweise einen Netzhautscan, um in die erste Kammer einzutreten, und die Kammer isoliert gegen jegliche Möglichkeit einer Störung, sodass eine zweite unabhängige Authentifizierungs-, Zugriffsgewährungs- und Manipulationsversuchsdetektionsschicht nun den Zugriffsschutz durchsetzen kann, ohne rauschkompensierend sein zu müssen.
  • Herkömmliche Authentifizierung verwendet elektronische Mechanismen (z. B. Passworteingabe, Kartenscannen usw.), aber oft werden die gleichen Authentifizierungsmechanismen unabhängig von der durchgeführten Aufgabe verwendet. Physische Sicherheit ist wichtig, um Verfügbarkeit, verbesserte Latenz und Dienstgüte (QoS) und andere Zuverlässigkeitsfaktoren zu garantieren. Eines der für Edge-Computing relevanten Schlüsselelemente ist die Weise der sicheren Ermöglichung von Upgrades oder Änderungen von Plattformen am verteilten Ort. Ein hierin beschriebenes verbessertes System bietet eine erhöhte physische Sicherheit.
  • 1 ist ein Blockdiagramm 100, das einen Überblick über eine Konfiguration für Edge-Computing zeigt, die eine Verarbeitungsschicht beinhaltet, die in vielen der folgenden Beispiele als eine „Edge-Cloud“ bezeichnet wird. Wie gezeigt, ist die Edge-Cloud 110 an einem Edge-Ort kolokalisiert, wie etwa an einem Zugangspunkt oder einer Basisstation 140, einem lokalen Verarbeitungshub 150 oder einer Zentrale 120, und kann somit mehrere Entitäten, Vorrichtungen und Ausrüstungsinstanzen beinhalten. Die Edge-Cloud 110 befindet sich viel näher an den Endpunkt(Verbraucher und Erzeuger-Datenquellen 160 (z. B. autonome Fahrzeuge 161, Benutzergeräte 162, Unternehmens- und Industrieausrüstung 163, Videoaufnahmevorrichtungen 164, Drohnen 165, Smart-Städte- und -Gebäude-Vorrichtungen 166, Sensoren und IoT-Vorrichtungen 167 usw.) als das Cloud-Datenzentrum 130. Rechen-, Speicher- und Speicherungsressourcen, die an den Edges in der Edge-Cloud 110 angeboten werden, sind kritisch für das Bereitstellen von Antwortzeiten mit ultraniedriger Latenz für Dienste und Funktionen, die durch die Endpunktdatenquellen 160 verwendet werden, sowie für das Reduzieren von Netzwerk-Backhaul-Verkehr von der Edge-Cloud 110 zu dem Cloud-Datenzentrum 130, wodurch Energieverbrauch und Gesamtnetzwerknutzungen unter anderen Vorteilen verbessert werden.
  • Berechnung, Speicher und Speicherung sind knappe Ressourcen und nehmen im Allgemeinen in Abhängigkeit von dem Edge-Ort ab (wobei z. B. weniger Verarbeitungsressourcen an Verbraucherendpunktvorrichtungen verfügbar sind als an einer Basisstation als an einer Zentrale). Je näher sich der Edge-Ort jedoch am Endpunkt (z. B. Benutzergerät (UE)) befindet, desto mehr sind Raum und Leistung häufig eingeschränkt. Somit versucht Edge-Computing die Menge an Ressourcen, die für Netzwerkdienste benötigt werden, durch die Verteilung von mehr Ressourcen, die sich sowohl geographisch als auch in der Netzwerkzugriffszeit näher befinden, zu reduzieren. Auf diese Weise versucht Edge-Computing, die Rechenressourcen gegebenenfalls zu den Arbeitslastdaten zu bringen oder die Arbeitslastdaten zu den Rechenressourcen zu bringen.
  • Das Folgende beschreibt Aspekte einer Edge-Cloud-Architektur, die mehrere potentielle Einsätze abdeckt und Einschränkungen anspricht, die manche Netzwerkbetreiber oder Dienstanbieter in ihren eigenen Infrastrukturen aufweisen können. Diese beinhalten Variation von Konfigurationen basierend auf dem Edge-Ort (weil Edges auf einer Basisstationsebene zum Beispiel mehr eingeschränkte Leistungsfähigkeit und Fähigkeiten in einem Multi-Mandanten-Szenario aufweisen können); Konfigurationen basierend auf der Art von Berechnung, Speicher, Speicherung, Fabric, Beschleunigung oder ähnlichen Ressourcen, die Edge-Orten, Stufen von Orten oder Gruppen von Orten zur Verfügung stehen; die Dienst-, Sicherheits- und Verwaltungs- und Orchestrierungsfähigkeiten; und zugehörige Ziele zum Erreichen der Nutzbarkeit und Leistungsfähigkeit von Enddiensten. Diese Einsätze können eine Verarbeitung in Netzwerkschichten bewerkstelligen, die in Abhängigkeit von Latenz-, Entfernungs- und Timing-Charakteristiken als „Near-Edge“-, „Close-Edge“-, „Local-Edge“-, „Middle-Edge“- oder „Far-Edge“-Schichten betrachtet werden können.
  • Edge-Computing ist ein sich entwickelndes Paradigma, bei dem Computing an oder näher am „Edge“ (Rand) eines Netzwerks durchgeführt wird, typischerweise durch die Verwendung einer Rechenplattform (z. B. x86 oder ARM-Rechenhardwarearchitektur), die bei Basisstationen, Gateways, Netzwerkroutern oder anderen Vorrichtungen implementiert wird, die sich viel näher an Endpunktvorrichtungen befinden, die die Daten erzeugen und verbrauchen. Edge-Gateway-Server können zum Beispiel mit Pools von Speicher- und Speicherungsressourcen ausgestattet sein, um Rechenaufgaben in Echtzeit für Anwendungsfälle mit niedriger Latenz (z. B. autonomes Fahren oder Videoüberwachung) für verbundene Client-Vorrichtungen durchzuführen. Oder als ein Beispiel können Basisstationen mit Rechen- und Beschleunigungsressourcen erweitert werden, um Dienstarbeitslasten für verbundene Benutzergeräte direkt zu verarbeiten, ohne ferner Daten über Backhaul-Netzwerke zu kommunizieren. Oder als ein anderes Beispiel kann Zentralen-Netzwerkverwaltungshardware durch standardisierte Rechenhardware ersetzt werden, die virtualisierte Netzwerkfunktionen durchführt und Rechenressourcen für die Ausführung von Diensten und Verbraucherfunktionen für verbundene Vorrichtungen anbietet. Innerhalb von Edge-Rechennetzwerken kann es Szenarien in Diensten geben, in denen die Rechenressource zu den Daten „verschoben“ wird, sowie Szenarien geben, in denen die Daten zu der Rechenressource „verschoben“ werden. Oder als ein Beispiel können Basisstationsrechen-, Beschleunigungs- und Netzwerkressourcen Dienste bereitstellen, um die Arbeitslastbedürfnisse nach Bedarf durch Aktivieren ruhender Kapazität (Subskription, Kapazität nach Bedarf) zu skalieren, um Eckfälle, Notfälle zu verwalten oder Langlebigkeit für eingesetzte Ressourcen über einen wesentlich längeren implementierten Lebenszyklus bereitzustellen.
  • 2 veranschaulicht Betriebsschichten zwischen Endpunkten, einer Edge-Cloud und Cloud-Rechenumgebungen. Insbesondere stellt 2 Beispiele für Rechenverwendungsfälle 205 dar, die die Edge-Cloud 110 unter mehreren veranschaulichenden Schichten des Netzwerk-Computing nutzen. Die Schichten beginnen bei einer Endpunkt(Vorrichtungen und Dinge)-Schicht 200, die auf die Edge-Cloud 110 zugreift, um Datenerzeugungs-, Analyse- und Datenverbrauchsaktivitäten durchzuführen. Die Edge-Cloud 110 kann mehrere Netzwerkschichten überspannen, wie etwa eine Edge-Vorrichtungsschicht 210 mit Gateways, Vor-Ort-Servern oder Netzwerkgeräten (Knoten 215), die sich in physisch nahen Edge-Systemen befinden, eine Netzwerkzugangsschicht 220, umfassend Basisstationen, Funkverarbeitungseinheiten, Netzwerkhubs, regionale Datenzentren (DZ) oder lokale Netzwerkgeräte (Geräte 225); und beliebige Geräte, Vorrichtungen oder Knoten, die sich dazwischen befinden (in Schicht 212, nicht ausführlich veranschaulicht). Die Netzwerkkommunikationen innerhalb der Edge-Cloud 110 und zwischen den verschiedenen Schichten können über eine beliebige Anzahl von drahtgebundenen oder drahtlosen Medien stattfinden, einschließlich über Konnektivitätsarchitekturen und Technologien, die nicht dargestellt sind.
  • Beispiele für Latenz, die aus Netzwerkkommunikationsentfernungs- und Verarbeitungszeitbeschränkungen resultieren, können von weniger als einer Millisekunde (ms), wenn inmitten der Endpunktschicht 200, unter 5 ms an der Edge-Vorrichtungsschicht 210, bis sogar zwischen 10 und 40 ms, wenn mit Knoten an der Netzwerkzugangsschicht 220 kommuniziert, reichen. Jenseits der Edge-Cloud 110 befinden sich Schichten des Kernnetzwerks 230 und des Cloud-Datenzentrums 240, jeweils mit zunehmender Latenz
    (z. B. zwischen 50-60 ms an der Kernnetzwerkschicht 230 bis 100 oder mehr ms an der Cloud-Datenzentrumsschicht). Infolgedessen werden Operationen an einem Kernnetzwerk-Datenzentrum 235 oder einem Cloud-Datenzentrum 245 mit Latenzen von mindestens 50 bis 100 ms oder mehr nicht in der Lage sein, viele zeitkritische Funktionen der Verwendungsfälle 205 zu realisieren. Jeder dieser Latenzwerte wird zu Veranschaulichungs- und Kontrastzwecken bereitgestellt; es versteht sich, dass die Verwendung anderer Zugangsnetzwerkmedien und -technologien die Latenzen weiter reduzieren kann. Bei manchen Beispielen können jeweilige Teile des Netzwerks relativ zu einer Netzwerkquelle und einem Netzwerkziel als „Close-Edge“-, „Local-Edge“-, „Near-Edge“-, „Middle-Edge“- oder „Far-Edge“-Schichten kategorisiert sein. Beispielsweise kann aus der Perspektive des Kernnetzwerk-Datenzentrums 235 oder eines Cloud-Datenzentrums 245 ein Zentralen- oder Inhaltsdatennetzwerk als innerhalb einer „Near-Edge“-Schicht („near“ (nahe) an der Cloud, mit hohen Latenzwerten, wenn mit den Vorrichtungen und Endpunkten der Verwendungsfälle 205 kommuniziert wird) befindlich betrachtet werden, wohingegen ein Zugangspunkt, eine Basisstation, ein Vor-Ort-Server oder ein Netzwerk-Gateway als innerhalb einer „Far-Edge“-Schicht („far“ (fern) von der Cloud entfernt, mit niedrigen Latenzwerten, wenn mit den Vorrichtungen und Endpunkten der Verwendungsfälle 205 kommuniziert wird) befindlich betrachtet werden können. Es versteht sich, dass andere Kategorisierungen einer speziellen Netzwerkschicht als ein „Close“-, „Local“-, „Near“-, „Middle“- oder „Far“-Edge bildend auf Latenz, Entfernung, Anzahl von Netzwerksprüngen oder anderen messbaren Charakteristiken basieren können, wie von einer Quelle in einer beliebigen der Netzwerkschichten 200-240 gemessen.
  • Die diversen Verwendungsfälle 205 können aufgrund mehrerer Dienste, die die Edge-Cloud nutzen, auf Ressourcen unter Nutzungsdruck von eingehenden Strömen zugreifen. Um Ergebnisse mit niedriger Latenz zu erzielen, gleichen die Dienste, die innerhalb der Edge-Cloud 110 ausgeführt werden, variierende Voraussetzungen in Bezug auf Folgendes aus: (a) Priorität (Durchsatz oder Latenz) und Dienstgüte (QoS: Quality of Service) (z. B. kann Verkehr für ein autonomes Auto eine höhere Priorität als ein Temperatursensor hinsichtlich der Antwortzeitvoraussetzung aufweisen; oder eine Leistungsfähigkeitsempfindlichkeit/-engstelle kann an einer Rechen-/Beschleuniger-, Speicher-, Speicherungs- oder Netzwerkressource in Abhängigkeit von der Anwendung existieren); (b) Zuverlässigkeit und Widerstandsfähigkeit (z. B. müssen manche Eingangsströme bearbeitet und der Verkehr mit missionskritischer Zuverlässigkeit geleitet werden, wohingegen manche anderen Eingangsströme je nach Anwendung einen gelegentlichen Ausfall tolerieren können); und (c) physikalische Beschränkungen (z. B. Leistung, Kühlung und Formfaktor).
  • Die Ende-zu-Ende-Dienstansicht für diese Verwendungsfälle beinhaltet das Konzept eines Dienstflusses und ist mit einer Transaktion assoziiert. Die Transaktion gibt die Gesamtdienstvoraussetzung für die Entität an, die den Dienst verbraucht, sowie die assoziierten Dienste für die Ressourcen, Arbeitslasten, Arbeitsabläufe und Unternehmensfunktions- und Unternehmensebenenvoraussetzungen. Die Dienste, die mit den beschriebenen „Begriffen“ ausgeführt werden, können in jeder Schicht auf eine Weise verwaltet werden, dass Echtzeit- und Laufzeitvertragskonformität für die Transaktion während des Lebenszyklus des Dienstes sichergestellt wird. Wenn einer Komponente in der Transaktion ihr vereinbartes SLA fehlt, kann das System als Ganzes (Komponenten in der Transaktion) die Fähigkeit bereitstellen, (1) die Auswirkung der SLA-Verletzung zu verstehen und (2) andere Komponenten in dem System zu erweitern, um das gesamte Transaktions-SLA wiederaufzunehmen, und (3) Schritte zu implementieren, um Abhilfe zu schaffen.
  • Dementsprechend kann unter Berücksichtigung dieser Variationen und Dienstleistungsmerkmale Edge-Computing innerhalb der Edge-Cloud 110 die Fähigkeit bereitstellen, mehrere Anwendungen der Verwendungsfälle 205 (z. B. Objektverfolgung, Videoüberwachung, verbundene Autos usw.) in Echtzeit oder nahezu Echtzeit zu versorgen und auf diese zu reagieren und Voraussetzungen für ultraniedrige Latenz für diese mehreren Anwendungen zu erfüllen. Diese Vorteile ermöglichen eine ganz neue Klasse von Anwendungen (VNFs (Virtual Network Functions), FaaS (Function as a Service), Edge as a Service (EaaS), Standardprozesse usw.), die herkömmliches Cloud-Computing aufgrund von Latenz oder anderen Einschränkungen nicht nutzen können.
  • Mit den Vorteilen von Edge-Computing ergeben sich jedoch die folgenden Vorbehalte. Die am Edge befindlichen Vorrichtungen sind häufig ressourcenbeschränkt, sodass Druck auf die Nutzung von Edge-Ressourcen besteht. Typischerweise wird dies durch das Pooling von Speicher- und Speicherungsressourcen zur Verwendung durch mehrere Benutzer (Mandanten) und Vorrichtungen adressiert. Der Edge kann leistungs- und kühlungseingeschränkt sein, sodass der Leistungsverbrauch durch die Anwendungen berücksichtigt werden muss, die die meiste Leistung verbrauchen. Es kann inhärente Leistung-Leistungsfähigkeit-Kompromisse in diesen gepoolten Speicherressourcen geben, da viele von ihnen wahrscheinlich neu entwickelte Speichertechnologien verwenden, bei denen höhere Leistung eine größere Speicherbandbreite benötigt. Gleichermaßen sind verbesserte Sicherheit von Hardware und vertrauenswürdigen Root-of-Trust-Funktionen auch erforderlich, da Edge-Orte unbemannt sein können und sogar zugelassenen Zugriff benötigen können (z. B. wenn sie an einem Drittparteistandort untergebracht sind). Solche Probleme werden in der Edge-Cloud 110 in einem Multi-Mandanten-, Mehrfacheigentümer- oder Mehrfachzugriff-Umfeld vergrößert, in dem Dienste und Anwendungen von vielen Benutzern angefordert werden, insbesondere da die Netzwerknutzung dynamisch schwankt und sich die Zusammensetzung der mehreren Stakeholder, Verwendungsfälle und Dienste ändert.
  • Auf einer generischeren Ebene kann ein Edge-Rechensystem so beschrieben werden, dass es eine beliebige Anzahl von Einsätzen an den zuvor besprochenen Schichten umfasst, die in der Edge-Cloud 110 arbeiten (Netzwerkschichten 200-240), die eine Koordination vom Client und verteilten Rechenvorrichtungen bereitstellen. Ein oder mehrere Edge-Gateway-Knoten, ein oder mehrere Edge-Aggregationsknoten und ein oder mehrere Kerndatenzentren können über Schichten des Netzwerks verteilt sein, um eine Implementierung des Edge-Rechensystems durch oder im Auftrag eines Telekommunikationsdienstanbieters („Telco“ oder „TSP“), Internet-der-Dinge-Dienstanbieters, Cloud-Dienstanbieters (CSP), Unternehmensentität oder einer beliebigen anderen Anzahl von Entitäten bereitzustellen. Verschiedene Implementierungen und Konfigurationen des Edge-Rechensystems können dynamisch bereitgestellt werden, wie etwa, wenn orchestriert, um Dienstziele zu erfüllen.
  • Im Einklang mit den hierin bereitgestellten Beispielen kann ein Client-Rechenknoten als eine beliebige Art von Endpunktkomponente, -vorrichtung, -gerät oder anderer Sache umgesetzt sein, die/das dazu in der Lage ist, als ein Erzeuger oder Verbraucher von Daten zu kommunizieren. Ferner bedeutet die Bezeichnung „Knoten“ oder „Vorrichtung“, wie es in dem Edge-Rechensystem verwendet wird, nicht notwendigerweise, dass ein solcher Knoten oder eine solche Vorrichtung in einer Client- oder Agenten-/Minion-/Folgerrolle arbeitet; vielmehr beziehen sich beliebige der Knoten oder Vorrichtungen in dem Edge-Rechensystem auf einzelne Entitäten, Knoten oder Untersysteme, die diskrete oder verbundene Hardware- oder Softwarekonfigurationen beinhalten, um die Edge-Cloud 110 zu ermöglichen oder zu verwenden.
  • Von daher ist die Edge-Cloud 110 aus Netzwerkkomponenten und Funktionsmerkmalen gebildet, die durch und innerhalb von Edge-Gateway-Knoten, Edge-Aggregationsknoten oder anderen Edge-Rechenknoten unter den Netzwerkschichten 210-230 betrieben werden. Die Edge-Cloud 110 kann somit als eine beliebige Art von Netzwerk umgesetzt sein, das Edge-Computing- und/oder Speicherungsressourcen bereitstellt, die sich in der Nähe von Funkzugangsnetzwerk(RAN)-fähigen Endpunktvorrichtungen (z. B. Mobilrechenvorrichtungen, IoT-Vorrichtungen, Smart-Vorrichtungen usw.) befinden, die hierin besprochen werden. Mit anderen Worten kann die Edge-Cloud 110 als ein „Edge“ angesehen werden, der die Endpunktvorrichtungen und traditionelle Netzwerkzugangspunkte, die als ein Eingangspunkt in Dienstanbieter-Kernnetzwerke dienen, verbindet, einschließlich Mobilträgernetzen (z. B. GSM(Global System for Mobile Communications)-Netze, LTE(Long-Term Evolution)-Netze, 5G/6G-Netze usw.), während auch Speicherungs- und/oder Rechenfähigkeiten bereitgestellt werden. Andere Arten und Formen von Netzwerkzugang (z. B. WiFi, Long-Range-Wireless, drahtgebundene Netzwerke einschließlich optischer Netzwerke) können auch anstelle von oder in Kombination mit solchen 3GPP-Trägernetzen genutzt werden.
  • Die Netzwerkkomponenten der Edge-Cloud 110 können Server, Multi-Mandanten-Server, Geräterechenvorrichtungen und/oder eine beliebige andere Art von Rechenvorrichtungen sein. Zum Beispiel kann die Edge-Cloud 110 eine Geräterechenvorrichtung beinhalten, die eine eigenständige elektronische Einrichtung mit einer Einhausung, einem Chassis, einem Gehäuse oder einer Schale ist. Unter manchen Umständen kann die Einhausung für eine Tragbarkeit dimensioniert sein, sodass sie von einem Menschen getragen und/oder versandt werden kann. Beispielhafte Einhausungen können Materialien beinhalten, die eine oder mehrere Außenflächen bilden, die Inhalte des Geräts teilweise oder vollständig schützen, wobei der Schutz Wetterschutz, Schutz in gefährlichen Umgebungen (z. B. EMI, Vibration, extreme Temperaturen) beinhalten kann und/oder Eintauchbarkeit ermöglichen kann. Beispielhafte Einhausungen können Leistungsschaltungsanordnungen beinhalten, um Leistung für stationäre und/oder tragbare Implementierungen bereitzustellen, wie etwa AC-Leistungseingänge, DC-Leistungseingänge, AC/DC- oder DC/AC-Wandler, Leistungsregler, Transformatoren, Ladeschaltungsanordnungen, Batterien, drahtgebundene Eingänge und/oder drahtlose Leistungseingänge. Beispielhafte Einhausungen und/oder Oberflächen davon können Montagehardware beinhalten oder mit dieser verbunden sein, um eine Befestigung an Strukturen, wie etwa Gebäuden, Telekommunikationsstrukturen (z. B. Masten, Antennenstrukturen usw.) und/oder Racks (z. B. Server-Racks, Bladebefestigungen usw.), zu ermöglichen. Beispielhafte Einhausungen und/oder Oberflächen davon können einen oder mehrere Sensoren (z. B. Temperatursensoren, Vibrationssensoren, Lichtsensoren, Akustiksensoren, kapazitive Sensoren, Näherungssensoren usw.) unterstützen. Ein oder mehrere solcher Sensoren können in der Oberfläche enthalten, von dieser getragen oder anderweitig darin eingebettet und/oder an der Oberfläche des Geräts befestigt sein. Beispielhafte Einhausungen und/oder Oberflächen davon können mechanische Konnektivität unterstützen, wie etwa Antriebshardware (z. B. Räder, Propeller usw.) und/oder Gelenkhardware (z. B. Roboterarme, schwenkbare Anhänge usw.). Unter manchen Umständen können die Sensoren eine beliebige Art von Eingabevorrichtungen beinhalten, wie etwa Benutzerschnittstellenhardware (z. B. Tasten, Schalter, Wählscheiben, Schieber usw.). Unter manchen Umständen beinhalten beispielhafte Einhausungen Ausgabevorrichtungen, die darin enthalten, durch diese getragen, darin eingebettet und/oder daran angebracht sind. Ausgabevorrichtungen können Anzeigen, Touchscreens, Leuchten, LEDs, Lautsprecher, E/A-Ports (z. B. USB) usw. beinhalten. Unter manchen Umständen sind Edge-Vorrichtungen Vorrichtungen, die in dem Netzwerk für einen spezifischen Zweck (z. B. eine Ampel) vorhanden sind, können aber Verarbeitungs- und/oder andere Kapazitäten aufweisen, die für andere Zwecke genutzt werden können. Solche Edge-Vorrichtungen können unabhängig von anderen vernetzten Vorrichtungen sein und können mit einer Einhausung ausgestattet sein, die einen Formfaktor aufweist, der für seinen primären Zweck geeignet ist; aber dennoch für andere Rechenaufgaben verfügbar ist, die ihre primäre Aufgabe nicht stören. Edge-Vorrichtungen beinhalten Internet-der-Dinge-Vorrichtungen. Die Geräterechenvorrichtung kann Hardware- und Softwarekomponenten beinhalten, um lokale Probleme, wie etwa Vorrichtungstemperatur, Vibration, Ressourcenausnutzung, Aktualisierungen, Leistungsprobleme, physische Sicherheit und Netzwerksicherheit usw., zu verwalten. Beispielhafte Hardware zum Implementieren einer Geräterechenvorrichtung ist in Verbindung mit 7B beschrieben. Die Edge-Cloud 110 kann auch einen oder mehrere Server und/oder einen oder mehrere Multi-Mandanten-Server beinhalten. Ein solcher Server kann ein Betriebssystem und eine virtuelle Rechenumgebung beinhalten. Eine virtuelle Rechenumgebung kann einen Hypervisor beinhalten, der eine oder mehrere virtuelle Maschinen, einen oder mehrere Container usw. verwaltet (erzeugt, einsetzt, zerstört usw.). Solche virtuellen Rechenumgebungen stellen eine Ausführungsumgebung bereit, in der eine oder mehrere Anwendungen und/oder andere Software, Code oder Skripte ausgeführt werden können, während sie von einer oder mehreren anderen Anwendungen, Software, Code oder Skripten isoliert sind.
  • In 3 tauschen verschiedene Client-Endpunkte 310 (in Form von Mobilvorrichtungen, Computern, autonomen Fahrzeugen, Unternehmens-Rechenausrüstung, industrieller Verarbeitungsausrüstung) Anfragen und Antworten aus, die für die Art der Endpunktnetzwerkaggregation spezifisch sind. Beispielsweise können Client-Endpunkte 310 Netzwerkzugang über ein drahtgebundenes Breitbandnetzwerk erhalten, indem Anforderungen und Antworten 322 durch ein Vor-Ort-Netzwerksystem 332 ausgetauscht werden. Manche Client-Endpunkte 310, wie etwa mobile Rechenvorrichtungen, können Netzwerkzugang über ein drahtloses Breitbandnetzwerk erhalten, indem Anforderungen und Antworten 324 durch einen Zugangspunkt (z. B. Mobilfunkturm) 334 ausgetauscht werden. Manche Client-Endpunkte 310, wie etwa autonome Fahrzeuge, können Netzwerkzugang für Anforderungen und Antworten 326 über ein drahtloses Fahrzeugnetzwerk durch ein Straßennetzwerksystem 336 erhalten. Unabhängig von der Art des Netzwerkzugangs kann der TSP jedoch Aggregationspunkte 342, 344 innerhalb der Edge-Cloud 110 einsetzen, um Verkehr und Anforderungen zu aggregieren. Somit kann der TSP innerhalb der Edge-Cloud 110 verschiedene Rechen- und Speicherungsressourcen einsetzen, wie etwa bei Edge-Aggregationsknoten 340, um angeforderten Inhalt bereitzustellen. Die Edge-Aggregationsknoten 340 und andere Systeme der Edge-Cloud 110 sind mit einer Cloud oder einem Datenzentrum 360 verbunden, die/das ein Backhaul-Netzwerk 350 verwendet, um Anforderungen mit höherer Latenz von einer Cloud/einem Datenzentrum für Websites, Anwendungen, Datenbankserver usw. zu erfüllen. Zusätzliche oder konsolidierte Instanzen der Edge-Aggregationsknoten 340 und der Aggregationspunkte 342, 344, einschließlich jener, die auf einem einzigen Server-Framework eingesetzt werden, können auch innerhalb der Edge-Cloud 110 oder anderer Bereiche der TSP-Infrastruktur vorhanden sein.
  • 4 veranschaulicht Einsatz und Orchestrierung für virtuelle Edge-Konfigurationen über ein Edge-Rechensystem, das zwischen mehreren Edge-Knoten und mehreren Mandanten betrieben wird. Insbesondere stellt 4 eine Koordination eines ersten Edge-Knotens 422 und eines zweiten Edge-Knotens 424 in einem Edge-Rechensystem 400 dar, um Anforderungen und Antworten für verschiedene Client-Endpunkte 410 (z. B. Smart-Städte / -Gebäude-Systeme, Mobilvorrichtungen, Rechenvorrichtungen, Unternehmens-/Logistiksysteme, Industriesysteme usw.) zu erfüllen, die auf verschiedene virtuelle Edge-Instanzen zugreifen. Hier stellen die virtuellen Edge-Instanzen 432, 434 Edge-Rechenfähigkeiten und Verarbeitung in einer Edge-Cloud mit Zugriff auf eine Cloud/ein Datenzentrum 440 für Anforderungen mit höherer Latenz für Websites, Anwendungen, Datenbankserver usw. bereit. Die Edge-Cloud ermöglicht jedoch eine Koordination der Verarbeitung zwischen mehreren Edge-Knoten für mehrere Mandanten oder Entitäten.
  • In dem Beispiel von 4 beinhalten diese virtuellen Edge-Instanzen: einen ersten virtuellen Edge 432, der einem ersten Mandanten (Mandant 1) angeboten wird und eine erste Kombination von Edge-Speicherung, -Berechnung und -Diensten anbietet; und einen zweiten virtuellen Edge 434, der eine zweite Kombination von Edge-Speicherung, -Berechnung und -Diensten anbietet. Die virtuellen Edge-Instanzen 432, 434 sind unter den Edge-Knoten 422, 424 verteilt und können Szenarien beinhalten, in denen eine Anforderung und Antwort von demselben oder unterschiedlichen Edge-Knoten erfüllt werden. Die Konfiguration der Edge-Knoten 422, 424 zum Arbeiten auf eine verteilte, aber koordinierte Weise findet basierend auf Edge-Bereitstellungsfunktionen 450 statt. Die Funktionalität der Edge-Knoten 422, 424 zum Bereitstellen eines koordinierten Betriebs für Anwendungen und Dienste unter mehreren Mandanten findet basierend auf Orchestrierungsfunktionen 460 statt.
  • Es versteht sich, dass manche der Vorrichtungen in 410 Multi-Mandanten-Vorrichtungen sind, wobei Mandant 1 innerhalb eines Mandantl-„Slice“ funktionieren kann, während ein Mandant 2 innerhalb eines Mandant2-Slice funktionieren kann (und, in weiteren Beispielen können zusätzliche oder Sub-Mandanten existieren; und jeder Mandant kann sogar spezifisch berechtigt und transaktionell an einen spezifischen Satz von Merkmalen bis hin zu spezifischen Hardwaremerkmalen gebunden sein). Eine vertrauenswürdige Multi-Mandanten-Vorrichtung kann ferner einen mandantenspezifischen kryptografischen Schlüssel enthalten, sodass die Kombination aus Schlüssel und Slice als eine „Root of Trust“ (RoT) oder mandantenspezifische RoT angesehen werden kann. Eine RoT kann ferner dynamisch unter Verwendung einer DICE-Architektur (DICE: Device Identity Composition Engine) berechnet werden, sodass ein einzelner DICE-Hardwarebaustein verwendet werden kann, um geschichtete vertrauenswürdige Rechenbasiskontexte zum Schichten von Vorrichtungsfähigkeiten (wie etwa ein feldprogrammierbares Gate-Array (FPGA)) zu konstruieren. Die RoT kann ferner für einen vertrauenswürdigen Rechenkontext verwendet werden, um einen „Fan-Out“ zu ermöglichen, der zum Unterstützen von Multi-Mandanten nützlich ist. Innerhalb einer Multi-Mandanten-Umgebung können die jeweiligen Edge-Knoten 422, 424 als Sicherheitsmerkmaldurchsetzungspunkte für lokale Ressourcen arbeiten, die mehreren Mandanten pro Knoten zugewiesen sind. Zusätzlich dazu können Mandantenlaufzeit und Anwendungsausführung (z. B. in den Fällen 432, 434) als ein Durchsetzungspunkt für ein Sicherheitsmerkmal dienen, das eine virtuelle Edge-Abstraktion von Ressourcen erzeugt, die potenziell mehrere physische Hosting-Plattformen überspannen. Schließlich können die Orchestrierungsfunktionen 460 an einer Orchestrierungsentität als ein Sicherheitsmerkmaldurchsetzungspunkt zum Marshalling von Ressourcen entlang Mandantengrenzen arbeiten.
  • Edge-Rechenknoten können Ressourcen (Speicher, Zentralverarbeitungseinheit (CPU), Grafikverarbeitungseinheit (GPU), Interrupt-Steuerung, Eingabe/Ausgabe(E/A)-Steuerung, Speichersteuerung, Bussteuerung usw.) partitionieren, wobei jeweilige Partitionierungen eine RoT-Fähigkeit enthalten können und wobei Fan-Out und Schichtbildung gemäß einem DICE-Modell ferner auf Edge-Knoten angewendet werden können. Cloud-Rechenknoten, die aus Containern, FaaS-Engines, Servlets, Servern oder einer anderen Berechnungsabstraktion bestehen, können gemäß einer DICE-Schichtbildungs- und Fan-Out-Struktur partitioniert werden, um jeweils einen RoT-Kontext zu unterstützen. Dementsprechend können die jeweiligen Vorrichtungen 410, 422 und 440, die RoTs überspannen, die Erstellung einer verteilten vertrauenswürdigen Rechenbasis (DTCB: Distributed Trusted Computing Base) koordinieren, sodass ein mandantenspezifischer virtueller vertrauenswürdiger sicherer Kanal, der alle Elemente Ende-zu-Ende verknüpft, erstellt werden kann.
  • Ferner versteht es sich, dass ein Container daten- oder arbeitslastspezifische Schlüssel aufweisen kann, die seinen Inhalt vor einem vorherigen Edge-Knoten schützen. Als Teil der Migration eines Containers kann eine Pod-Steuerung an einem Quell-Edge-Knoten einen Migrationsschlüssel von einer Ziel-Edge-Knoten-Pod-Steuerung erhalten, wobei der Migrationsschlüssel zum Wrappen der containerspezifischen Schlüssel verwendet wird. Wenn der Container/Pod zu dem Ziel-Edge-Knoten migriert wird, wird der Unwrapping-Schlüssel der Pod-Steuerung preisgegeben, die dann die gewrappten Schlüssel entschlüsselt. Die Schlüssel können nun zur Durchführung von Operationen an containerspezifischen Daten verwendet werden. Die Migrationsfunktionen können durch korrekt attestierte Edge-Knoten und Pod-Manager (wie oben beschrieben) angesteuert werden.
  • In weiteren Beispielen wird ein Edge-Rechensystem erweitert, um Orchestrierung mehrerer Anwendungen durch die Verwendung von Containern (einer eingebundenen, einsetzbaren Softwareeinheit, die Code und benötigte Abhängigkeiten bereitstellt) in einer Multi-Eigentümer-, Multi-Mandanten-Umgebung bereitzustellen. Ein Multi-Mandanten-Orchestrator kann verwendet werden, um Schlüsselverwaltung, Vertrauensanker-Verwaltung und andere Sicherheitsfunktionen in Bezug auf die Bereitstellung und den Lebenszyklus des vertrauenswürdigen „Slice“-Konzepts in 4 durchzuführen. Beispielsweise kann ein Edge-Rechensystem dazu konfiguriert sein, Anforderungen und Antworten für verschiedene Client-Endpunkte von mehreren virtuellen Edge-Instanzen (und von einer Cloud oder einem entfernten Datenzentrum) zu erfüllen. Die Verwendung dieser virtuellen Edge-Instanzen kann mehrere Mandanten und mehrere Anwendungen (z. B. Augmented Reality (AR)/Virtual Reality (VR), Unternehmensanwendungen, Inhaltslieferung, Gaming, Rechen-Offload) gleichzeitig unterstützen. Ferner kann es mehrere Arten von Anwendungen innerhalb der virtuellen Edge-Instanzen geben (z. B. normale Anwendungen; latenzempfindliche Anwendungen; latenzkritische Anwendungen; Benutzerebenenanwendungen; Networking-Anwendungen usw.). Die virtuellen Edge-Instanzen können auch über Systeme mehrerer Eigentümer an unterschiedlichen geographischen Orten (oder jeweilige Rechensysteme und Ressourcen, den mehreren Eigentümern gemeinsam gehören oder gemeinsam von diesen verwaltet werden) gespannt sein.
  • Beispielsweise kann jeder Edge-Knoten 422, 424 die Verwendung von Containern implementieren, wie etwa unter Verwendung eines Container-„Pods“ 426, 428, der eine Gruppe von einem oder mehreren Containern bereitstellt. In einer Einstellung, die eine oder mehrere Container-Pods verwendet, ist eine Pod-Steuerung oder ein Orchestrator für die lokale Steuerung und Orchestrierung der Container im Pod verantwortlich. Verschiedene Edge-Knotenressourcen (z. B. Speicherung, Berechnung, Dienste, dargestellt mit Hexagonen), die für die jeweiligen Edge-Slices 432, 434 bereitgestellt werden, werden gemäß den Bedürfnissen jedes Containers partitioniert.
  • Bei der Verwendung von Container-Pods übersieht eine Pod-Steuerung die Partitionierung und Zuweisung von Containern und Ressourcen. Die Pod-Steuerung empfängt Anweisungen von einem Orchestrator (z. B. Orchestrator 460), die Steuerung darüber anzuweisen, wie und für welche Dauer physische Ressourcen am besten zu partitionieren sind, wie etwa durch Empfangen von KPI(Key Performance Indicator)-Zielen basierend auf SLA-Verträgen. Die Pod-Steuerung bestimmt, welcher Container welche Ressourcen und für wie lange benötigt, um die Arbeitslast abzuschließen und das SLA zu erfüllen. Die Pod-Steuerung verwaltet auch Container-Lebenszyklusvorgänge, wie etwa: Erzeugen des Containers, Versehen desselben mit Ressourcen und Anwendungen, Koordinieren von Zwischenergebnissen zwischen mehreren Containern, die auf einer verteilten Anwendung zusammenarbeiten, Zerlegen von Containern, wenn die Arbeitslast abgeschlossen ist, und dergleichen. Zusätzlich dazu kann eine Pod-Steuerung eine Sicherheitsrolle spielen, die eine Zuweisung von Ressourcen verhindert, bis sich der rechte Mandant authentifiziert, oder eine Bereitstellung von Daten oder einer Arbeitslast an einen Container verhindert, bis ein Attestierungsergebnis erfüllt ist.
  • Auch bei der Verwendung von Container-Pods können Mandantengrenzen weiterhin existieren, jedoch im Kontext jedes Pods von Containern. Falls jeder mandantenspezifische Pod eine mandantenspezifische Pod-Steuerung aufweist, wird es eine gemeinsam genutzte Pod-Steuerung geben, die Ressourcenzuweisungsanforderungen konsolidiert, um typische Ressourcenmangelsituationen zu vermeiden. Weitere Steuerungen können vorgesehen sein, um eine Attestierung und Vertrauenswürdigkeit des Pods und der Pod-Steuerung zu gewährleisten. Beispielsweise kann der Orchestrator 460 lokalen Pod-Steuerungen, die eine Attestierungsverifizierung durchführen, eine Attestierungsverifizierungsrichtlinie bereitstellen. Falls eine Attestierung eine Richtlinie für eine erste Mandanten-Pod-Steuerung, aber nicht eine zweite Mandanten-Pod-Steuerung erfüllt, dann könnte der zweite Pod zu einem anderen Edge-Knoten migriert werden, der ihn erfüllt. Alternativ dazu kann dem ersten Pod erlaubt werden, ausgeführt zu werden, und eine andere gemeinsam genutzte Pod-Steuerung wird installiert und aufgerufen, bevor der zweite Pod ausgeführt wird.
  • 5 veranschaulicht zusätzliche Rechenanordnungen, die Container in einem Edge-Rechensystem einsetzen. Als ein vereinfachtes Beispiel stellen die Systemanordnungen 510, 520 Einstellungen dar, bei denen eine Pod-Steuerung (z. B. Container-Manager 511, 521 und Container-Orchestrator 531) dazu ausgelegt ist, containerisierte Pods, Funktionen und Functions-as-a-Service-Instanzen durch Ausführung über Rechenknoten (515 in Anordnung 510) zu starten oder containerisierte virtualisierte Netzwerkfunktionen durch Ausführung über Rechenknoten (523 in Anordnung 520) separat auszuführen. Diese Anordnung ist zur Verwendung mehrerer Mandanten in der Systemanordnung 530 (unter Verwendung von Rechenknoten 537) eingerichtet, wobei containerisierte Pods (z. B. Pods 512), Funktionen (z. B. Funktionen 513, VNFs 522, 536) und Functions-as-a-Service-Instanzen (z. B. FaaS-Instanz 514) innerhalb virtueller Maschinen (z. B. VMs 534, 535 für Mandanten 532, 533) gestartet werden, die für jeweilige Mandanten spezifisch sind (abgesehen von der Ausführung virtualisierter Netzwerkfunktionen). Diese Anordnung ist ferner zur Verwendung in der Systemanordnung 540 eingerichtet, die Container 542, 543 oder die Ausführung der verschiedenen Funktionen, Anwendungen und Funktionen auf den Rechenknoten 544 bereitstellt, wie durch ein containerbasiertes Orchestrierungssystem 541 koordiniert.
  • Die in 5 dargestellten Systemanordnungen stellen eine Architektur bereit, die VMs, Container und Funktionen hinsichtlich der Anwendungszusammensetzung gleich behandelt (und resultierende Anwendungen sind Kombinationen dieser drei Bestandteile). Jeder Bestandteil kann die Verwendung einer oder mehrerer Beschleuniger(FPGA, ASIC)-Komponenten als ein lokales Backend beinhalten. Auf diese Weise können Anwendungen über mehrere Edge-Eigentümer aufgeteilt werden, koordiniert durch einen Orchestrator.
  • Im Kontext von 5 können die Pod-Steuerung/der Container-Manager, der Container-Orchestrator und die einzelnen Knoten einen Sicherheitsvollzugspunkt bereitstellen. Die Mandantenisolation kann jedoch orchestriert werden, wobei sich die Ressourcen, die einem Mandanten zugewiesen sind, von Ressourcen unterscheiden, die einem zweiten Mandanten zugewiesen sind, aber Edge-Eigentümer kooperieren, um zu gewährleisten, dass Ressourcenzuweisungen nicht über Mandantengrenzen hinweg geteilt werden. Oder Ressourcenzuweisungen könnten über Mandantengrenzen hinweg isoliert werden, da Mandanten eine „Verwendung“ über eine Subskriptions- oder Transaktions-/Vertragsbasis ermöglichen könnten. In diesen Zusammenhängen können Virtualisierungs-, Containerisierungs-, Enklaven- und Hardwarepartitionierungsschemen von Edge-Eigentümern verwendet werden, um die Mandanten zu vollziehen. Andere Isolationsumgebungen können beinhalten: Bare-Metal(dedizierte)-Geräte, virtuelle Maschinen, Container, virtuelle Maschinen auf Containern oder Kombinationen davon.
  • Bei weiteren Beispielen können Aspekte von softwaredefinierter oder gesteuerter Siliziumhardware und anderer konfigurierbarer Hardware mit den Anwendungen, Funktionen und Diensten eines Edge-Rechensystems integrieren. Softwaredefiniertes Silizium kann verwendet werden, um zu gewährleisten, dass mancher Ressourcen- oder Hardwarebestandteil einen Vertrag oder ein Service-Level-Agreement erfüllen kann, basierend auf der Fähigkeit des Bestandteils, einen Teil von sich selbst oder die Arbeitslast zu beheben (z. B. durch ein Upgrade, eine Rekonfiguration oder eine Bereitstellung neuer Merkmale innerhalb der Hardwarekonfiguration selbst).
  • Es versteht sich, dass die hierin besprochenen Edge-Rechensysteme und -Anordnungen bei verschiedenen Lösungen, Diensten und/oder Verwendungsfällen anwendbar sein können, die Mobilität involvieren. Als ein Beispiel zeigt 6 einen vereinfachten Fahrzeugberechnungs- und Kommunikationsverwendungsfall, der einen mobilen Zugriff auf Anwendungen in einem Edge-Rechensystem 600 involviert, das eine Edge-Cloud 110 implementiert. In diesem Verwendungsfall können jeweilige Client-Rechenknoten 610 als fahrzeuginterne Rechensysteme (z. B. fahrzeuginterne Navigations- und/oder Infotainment-Systeme) umgesetzt sein, die sich in entsprechenden Fahrzeugen befinden, die mit den Edge-Gateway-Knoten 620 während des Fahrens entlang einer Straße kommunizieren. Beispielsweise können sich die Edge-Gateway-Knoten 620 in einem Schaltschrank oder einer anderen Einhausung befinden, die in eine Struktur eingebaut ist, die einen anderen, separaten, mechanischen Nutzen aufweist und entlang der Straße, an Kreuzungen der Straße oder anderen Orten nahe der Straße platziert werden kann. Während jeweilige Fahrzeuge entlang der Straße fahren, kann die Verbindung zwischen ihrem Client-Rechenknoten 610 und einer speziellen Edge-Gateway-Vorrichtung 620 propagieren, um eine konsistente Verbindung und einen konsistenten Kontext für den Client-Rechenknoten 610 aufrechtzuerhalten. Gleichermaßen können mobile Edge-Knoten an den Diensten mit hoher Priorität oder gemäß den Durchsatz- oder Latenzauflösungsvoraussetzungen für den einen oder die mehreren zugrundeliegenden Dienste aggregieren (z. B. im Fall von Drohnen). Die jeweiligen Edge-Gateway-Vorrichtungen 620 beinhalten eine Menge an Verarbeitungs- und Speicherungsfähigkeiten und daher kann ein Teil der Verarbeitung und/oder Speicherung von Daten für die Client-Rechenknoten 610 auf einer oder mehreren der Edge-Gateway-Vorrichtungen 620 durchgeführt werden.
  • Die Edge-Gateway-Vorrichtungen 620 können mit einem oder mehreren Edge-Ressourcenknoten 640 kommunizieren, die veranschaulichend als Rechenserver, -geräte oder -komponenten umgesetzt sind, die sich an oder in einer Kommunikationsbasisstation 642 (z. B. einer Basisstation eines zellularen Netzwerks) befinden. Wie oben besprochen, beinhalten die jeweiligen Edge-Ressourcenknoten 640 eine Menge an Verarbeitungs- und Speicherungsfähigkeiten, und somit kann ein Teil der Verarbeitung und/oder Speicherung von Daten für die Client-Rechenknoten 610 auf dem Edge-Ressourcenknoten 640 durchgeführt werden. Zum Beispiel kann die Verarbeitung von Daten, die weniger dringend oder wichtig sind, durch den Edge-Ressourcenknoten 640 durchgeführt werden, während die Verarbeitung von Daten, die eine höhere Dringlichkeit oder Wichtigkeit aufweisen, durch die Edge-Gateway-Vorrichtungen 620 durchgeführt werden kann (in Abhängigkeit von zum Beispiel den Fähigkeiten jeder Komponente oder Informationen in der Anforderung, die die Dringlichkeit oder Wichtigkeit angeben). Basierend auf Datenzugriff, Datenort oder Latenz kann die Arbeit auf Edge-Ressourcenknoten fortgesetzt werden, wenn sich die Verarbeitungsprioritäten während der Verarbeitungsaktivität ändern. Gleichermaßen können konfigurierbare Systeme oder Hardwareressourcen selbst aktiviert werden (z. B. durch einen lokalen Orchestrator), um zusätzliche Ressourcen bereitzustellen, um den neuen Bedarf zu erfüllen (z. B. Anpassen der Rechenressourcen an die Arbeitslastdaten).
  • Der eine oder die mehreren Edge-Ressourcenknoten 640 kommunizieren auch mit dem Kerndatenzentrum 650, das Rechenserver, -geräte und/oder andere Komponenten beinhalten kann, die sich an einem Zentralort (z. B. einer Zentrale eines zellularen Kommunikationsnetzes) befinden. Das Kerndatenzentrum 650 kann ein Gateway zu der globalen Netzwerk-Cloud 660 (z. B. dem Internet) für die Operationen der Edge-Cloud 110 bereitstellen, die durch den einen oder die mehreren Edge-Ressourcenknoten 640 und die Edge-Gateway-Vorrichtungen 620 gebildet werden. Zusätzlich kann das Kerndatenzentrum 650 in manchen Beispielen eine Menge an Verarbeitungs- und Speicherungsfähigkeiten beinhalten und somit kann eine gewisse Verarbeitung und/oder Speicherung von Daten für die Client-Rechenvorrichtungen auf dem Kerndatenzentrum 650 durchgeführt werden (z. B. Verarbeitung mit niedriger Dringlichkeit oder Wichtigkeit oder hoher Komplexität).
  • Die Edge-Gateway-Knoten 620 oder die Edge-Ressourcenknoten 640 können die Verwendung zustandsbehafteter Anwendungen 632 und einer geographisch verteilten Datenbank 634 anbieten. Obwohl die Anwendungen 632 und die Datenbank 634 als horizontal auf einer Schicht der Edge-Cloud 110 verteilt veranschaulicht sind, versteht es sich, dass Ressourcen, Dienste oder andere Komponenten der Anwendung vertikal über die Edge-Cloud verteilt sein können (einschließlich eines Teils der Anwendung, der an dem Client-Rechenknoten 610 ausgeführt wird, anderer Teile an den Edge-Gateway-Knoten 620 oder den Edge-Ressourcenknoten 640 usw.). Zusätzlich dazu kann es, wie zuvor angegeben, Peer-Beziehungen auf einer beliebigen Ebene geben, um Dienstziele und Verpflichtungen zu erfüllen. Ferner können sich die Daten für einen speziellen Client oder eine spezielle Anwendung basierend auf sich ändernden Bedingungen von Edge zu Edge bewegen (z. B. basierend auf Beschleunigungsressourcenverfügbarkeit, Folgen der Autobewegung usw.). Beispielsweise kann basierend auf der „Abklingrate“ des Zugangs eine Vorhersage getroffen werden, um den nächsten fortsetzenden Eigentümer zu identifizieren, oder wann die Daten oder der rechnerische Zugang nicht mehr umsetzbar sein werden. Diese und andere Dienste können genutzt werden, um die Arbeit abzuschließen, die benötigt wird, um die Transaktion konform und verlustfrei zu halten.
  • Bei weiteren Szenarien kann ein Container 636 (oder ein Pod von Containern) flexibel von einem Edge-Knoten 620 zu anderen Edge-Knoten (z. B. 620, 640 usw.) migriert werden, sodass der Container mit einer Anwendung und Arbeitslast nicht rekonstituiert, rekompiliert, reinterpretiert werden muss, damit die Migration funktioniert. In solchen Einstellungen kann es jedoch einige angewendete Abhilfe- oder „Swizzling“-Übersetzungsoperationen geben. Zum Beispiel kann sich die physische Hardware am Knoten 640 vom Edge-Gateway-Knoten 620 unterscheiden und daher wird die Hardwareabstraktionsschicht (HAL), die den unteren Edge des Containers bildet, erneut auf die physische Schicht des Ziel-Edge-Knotens abgebildet. Dies kann irgendeine Form einer späten Bindungstechnik beinhalten, wie etwa binäre Übersetzung der HAL von dem nativen Containerformat in das physische Hardwareformat, oder kann Abbildungsschnittstellen
    und -operationen beinhalten. Eine Pod-Steuerung kann verwendet werden, um die Schnittstellenabbildung als Teil des Container-Lebenszyklus anzusteuern, was Migration zu/von verschiedenen Hardwareumgebungen beinhaltet.
  • Die Szenarien, die von 6 eingeschlossen werden, können verschiedene Arten von mobilen Edge-Knoten nutzen, wie etwa einen Edge-Knoten, der in einem Fahrzeug (Auto/Lastkraftwagen/Straßenbahn/Zug) gehostet wird, oder eine andere mobile Einheit, da sich der Edge-Knoten zu anderen geografischen Orten entlang der Plattform, die ihn hostet, bewegen wird. Bei Fahrzeug-zu-Fahrzeug-Kommunikationen können einzelne Fahrzeuge sogar als Netzwerk-Edge-Knoten für andere Autos fungieren (z. B. um Caching, Berichterstellung, Datenaggregation usw. durchzuführen). Somit versteht es sich, dass die Anwendungskomponenten, die in verschiedenen Edge-Knoten bereitgestellt sind, in statischen oder mobilen Einstellungen verteilt sein können, einschließlich Koordination zwischen einigen Funktionen oder Operationen an einzelnen Endpunktvorrichtungen oder den Edge-Gateway-Knoten 620, einigen anderen an dem Edge-Ressourcenknoten 640 und anderen in dem Kerndatenzentrum 650 oder der globalen Netzwerk-Cloud 660.
  • Bei weiteren Konfigurationen kann das Edge-Rechensystem FaaS-Rechenfähigkeiten durch die Verwendung jeweiliger ausführbarer Anwendungen und Funktionen implementieren. In einem Beispiel schreibt ein Entwickler Funktionscode (hier z. B. „Computercode“), der eine oder mehrere Computerfunktionen repräsentiert, und der Funktionscode wird auf eine FaaS-Plattform hochgeladen, die zum Beispiel durch einen Edge-Knoten oder ein Datenzentrum bereitgestellt wird. Ein Auslöser, wie beispielsweise ein Dienstverwendungsfall oder ein Edge-Verarbeitungsereignis, initiiert die Ausführung des Funktionscodes mit der FaaS-Plattform.
  • Bei einem Beispiel für FaaS wird ein Container verwendet, um eine Umgebung bereitzustellen, in der Funktionscode (z. B. eine Anwendung, die durch eine Drittpartei bereitgestellt werden kann) ausgeführt wird. Der Container kann eine beliebige Entität mit isolierter Ausführung sein, wie etwa ein Prozess, ein Docker- oder Kubernetes-Container, eine virtuelle Maschine usw. Innerhalb des Edge-Rechensystems werden verschiedene Datenzentrum-, Edge- und Endpunktvorrichtungen (einschließlich Mobilvorrichtungen) verwendet, um Funktionen „hochzufahren“ (z. B. Funktionshandlungen zu aktivieren und/oder zuzuweisen), die nach Bedarf skaliert werden. Der Funktionscode wird auf der physischen Infrastrukturvorrichtung (z. B. Edge-Rechenknoten) und zugrundeliegenden virtualisierten Containern ausgeführt. Schließlich wird der Container auf der Infrastruktur als Reaktion darauf, dass die Ausführung abgeschlossen ist, „heruntergefahren“ (z. B. deaktiviert und/oder freigegeben).
  • Weitere Aspekte von FaaS können das Einsetzen von Edge-Funktionen auf eine Dienstweise ermöglichen, einschließlich einer Unterstützung jeweiliger Funktionen, die Edge-Computing als einen Dienst unterstützen (Edge-as-a-Service oder „EaaS“). Zusätzliche Merkmale von FaaS können beinhalten: eine granuläre Abrechnungskomponente, die Kunden (z. B. Computercodeentwicklern) ermöglicht, nur zu bezahlen, wenn ihr Code ausgeführt wird; gemeinsame Datenspeicherung zum Speichern von Daten zur Wiederverwendung durch eine oder mehrere Funktionen; Orchestrierung und Verwaltung zwischen einzelnen Funktionen; Funktionsausführungsverwaltung, Parallelität und Konsolidierung; Verwaltung von Container- und Funktionsspeicherräumen; Koordination von Beschleunigungsressourcen, die für Funktionen verfügbar sind; und Verteilung von Funktionen zwischen Containern (einschließlich „warmer“ Container, die bereits eingesetzt oder betrieben werden, gegenüber „kalten“, die Initialisierung, Einsatz oder Konfiguration erfordern).
  • Das Edge-Rechensystem 600 kann einen Edge-Bereitstellungsknoten 644 beinhalten oder mit diesem in Kommunikation stehen. Der Edge-Bereitstellungsknoten 644 kann Software, wie etwa die beispielhaften computerlesbaren Anweisungen 782 von 7B, an verschiedene Empfangsparteien zum Implementieren eines beliebigen der hierin beschriebenen Verfahren verteilen. Der beispielhafte Edge-Bereitstellungsknoten 644 kann durch einen beliebigen Computerserver, einen Heimserver, ein Inhaltslieferungsnetzwerk, einen virtuellen Server, ein Softwareverteilungssystem, eine zentrale Anlage, eine Speicherungsvorrichtung, einen Speicherungsknoten, eine Datenanlage, einen Cloud-Dienst usw. implementiert werden, der/die/das in der Lage ist, Softwareanweisungen (z. B. Code, Skripte, ausführbare Binärcodes, Container, Pakete, komprimierte Dateien und/oder Ableitungen davon) zu speichern und/oder an andere Rechenvorrichtungen zu übertragen. Komponenten des beispielhaften Edge-Bereitstellungsknotens 644 können sich in einer Cloud, in einem lokalen Netzwerk, in einem Edge-Netzwerk, in einem Weitverkehrsnetzwerk, im Internet und/oder an einem beliebigen anderen Standort befinden, der kommunikativ mit der/den Empfangspartei(en) gekoppelt ist. Die Empfangsparteien können Kunden, Clients, Teilhaber, Benutzer usw. der Entität sein, die den Edge-Bereitstellungsknoten 644 besitzt und/oder betreibt. Beispielsweise kann die Entität, die den Edge-Bereitstellungsknoten 644 besitzt und/oder betreibt, ein Entwickler, ein Verkäufer und/oder ein Lizenzgeber (oder ein Kunde und/oder Verbraucher davon) von Softwareanweisungen, wie etwa die beispielhaften computerlesbaren Anweisungen 782 von 7B, sein. Die Empfangsparteien können Verbraucher, Dienstanbieter, Benutzer, Einzelhändler, OEMs usw. sein, die die Softwareanweisungen zur Verwendung erwerben und/oder lizenzieren und/oder wiederverkaufen und/oder unterlizenzieren.
  • Bei einem Beispiel beinhaltet der Edge-Bereitstellungsknoten 644 einen oder mehrere Server und eine oder mehrere Speicherungsvorrichtungen. Die Speicherungsvorrichtungen hosten computerlesbare Anweisungen, wie etwa die beispielhaften computerlesbaren Anweisungen 782 von 7B, wie unten beschrieben. Ähnlich den oben beschriebenen Edge-Gateway-Vorrichtungen 620 stehen der eine oder die mehreren Server des Edge-Bereitstellungsknotens 644 in Kommunikation mit einer Basisstation 642 oder einer anderen Netzwerkkommunikationsentität. Bei manchen Beispielen reagieren der eine oder die mehreren Server auf Anforderungen, die Softwareanweisungen als Teil einer kommerziellen Transaktion zu einer anfordernden Partei zu übertragen. Die Zahlung für die Lieferung, den Verkauf und/oder die Lizenz der Softwareanweisungen kann durch den einen oder die mehreren Server der Softwareverteilungsplattform und/oder über eine Drittpartei-Bezahlungsentität gehandhabt werden. Die Server ermöglichen Käufern und/oder Lizenzgebern, die computerlesbaren Anweisungen 782 von dem Edge-Bereitstellungsknoten 644 herunterzuladen. Zum Beispiel können die Softwareanweisungen, die den beispielhaften computerlesbaren Anweisungen 782 von 7B entsprechen können, zu der/den beispielhaften Prozessorplattform/en heruntergeladen werden, die die computerlesbaren Anweisungen 782 ausführen sollen, um die hierin beschriebenen Verfahren zu implementieren.
  • Bei manchen Beispielen können sich die Prozessorplattform(en), die die computerlesbaren Anweisungen 782 ausführen, physisch an verschiedenen geografischen Standorten, gesetzlichen Jurisdiktionen usw. befinden. Bei manchen Beispielen bieten, übertragen und/oder erzwingen ein oder mehrere Server des Edge-Bereitstellungsknotens 644 periodisch Aktualisierungen für die Softwareanweisungen (z. B. die beispielhaften computerlesbaren Anweisungen 782 von 7B), um zu gewährleisten, dass Verbesserungen, Patches, Aktualisierungen usw. verteilt und auf die Softwareanweisungen angewendet werden, die an den Endbenutzervorrichtungen implementiert sind. Bei manchen Beispielen können unterschiedliche Komponenten der computerlesbaren Anweisungen 782 von unterschiedlichen Quellen und/oder an unterschiedliche Prozessorplattformen verteilt werden; zum Beispiel können unterschiedliche Bibliotheken, Plug-Ins, Komponenten und andere Typen von Rechenmodulen, ob kompiliert oder interpretiert, von unterschiedlichen Quellen und/oder an unterschiedliche Prozessorplattformen verteilt werden. Zum Beispiel kann ein Teil der Softwareanweisungen (z. B. ein Skript, das an sich nicht ausführbar ist) von einer ersten Quelle verteilt werden, während ein Interpreter (der in der Lage ist, das Skript auszuführen) von einer zweiten Quelle verteilt werden kann.
  • In weiteren Beispielen können beliebige der Rechenknoten oder Vorrichtungen, die unter Bezugnahme auf die vorliegenden Edge-Rechensysteme und die vorliegende Umgebung erörtert wurden, basierend auf den Komponenten, die in den 7A und 7B dargestellt sind, erfüllt werden. Jeweilige Edge-Rechenknoten können als ein Typ von Vorrichtung, Gerät, Computer oder anderem „Ding“ umgesetzt sein, der/die/das in der Lage ist, mit anderen Edge-, Networking- oder Endpunktkomponenten zu kommunizieren. Zum Beispiel kann eine Edge-Rechenvorrichtung als ein Personal Computer, Server, Smartphone, eine mobile Rechenvorrichtung, ein Smart-Gerät, ein fahrzeuginternes Rechensystem (z. B. ein Navigationssystem), eine eigenständige Vorrichtung mit einem Außengehäuse, einer Umhüllung usw. oder eine andere Vorrichtung oder ein anderes System, die/das in der Lage ist, die beschriebenen Funktionen durchzuführen, umgesetzt sein.
  • In dem vereinfachten Beispiel, das in 7A dargestellt ist, beinhaltet ein Edge-Rechenknoten 700 eine Rechen-Engine (hierin auch als „Rechenschaltungsanordnung“ bezeichnet) 702, ein Eingabe/Ausgabe(E/A)-Subsystem 708, eine Datenspeicherung 710, ein Kommunikationsschaltungsanordnungssubsystem 712 und optional eine oder mehrere Peripherievorrichtungen 714. In anderen Beispielen können jeweilige Rechenvorrichtungen andere oder zusätzliche Komponenten beinhalten, wie etwa jene, die man typischerweise in einem Computer vorfindet (z. B. eine Anzeige, Peripherievorrichtungen usw.). Zusätzlich dazu können in manchen Beispielen eine oder mehrere der veranschaulichenden Komponenten in eine andere Komponente integriert sein oder anderweitig einen Teil davon bilden.
  • Der Rechenknoten 700 kann als eine beliebige Art von Engine, Vorrichtung oder Sammlung von Vorrichtungen umgesetzt sein, die in der Lage sind, verschiedene Rechenfunktionen durchzuführen. Bei manchen Beispielen kann der Rechenknoten 700 als eine einzige Vorrichtung ausgeführt sein, wie etwa eine integrierte Schaltung, ein eingebettetes System, ein feldprogrammierbares Gate-Array (FPGA), ein System-on-Chip (SOC) oder ein anderes integriertes System oder eine andere integrierte Vorrichtung. Bei dem veranschaulichenden Beispiel beinhaltet der Rechenknoten 700 einen Prozessor 704 oder einen Speicher 706 oder ist als diese ausgeführt. Der Prozessor 704 kann als eine beliebige Art von Prozessor umgesetzt sein, der in der Lage ist, die hierin beschriebenen Funktionen (z. B. Ausführen einer Anwendung) durchzuführen. Der Prozessor 704 kann zum Beispiel als ein oder mehrere Mehrkernprozessoren, ein Mikrocontroller, eine Verarbeitungseinheit, eine spezialisierte oder Spezial-Verarbeitungseinheit oder ein anderer Prozessor oder eine andere Verarbeitungs-/Steuerschaltung umgesetzt sein.
  • Bei manchen Beispielen kann der Prozessor 704 als ein FPGA, eine anwendungsspezifische integrierte Schaltung (ASIC), rekonfigurierbare Hardware oder Hardwareschaltungsanordnung oder andere spezialisierte Hardware umgesetzt sein, diese beinhalten oder mit diesen gekoppelt sein, um eine Leistungsfähigkeit der hierin beschriebenen Funktionen zu ermöglichen. Bei manchen Beispielen kann der Prozessor 704 auch als eine spezialisierte x-Verarbeitungseinheit (xPU) umgesetzt sein, die auch als eine Datenverarbeitungseinheit (DPU), eine Infrastrukturverarbeitungseinheit (IPU) oder eine Netzwerkverarbeitungseinheit (NPU) bekannt ist. Eine solche xPU kann als eine eigenständige Schaltung oder ein eigenständiges Schaltungs-Package umgesetzt sein, innerhalb eines SOC integriert sein oder mit einer Networking-Schaltungsanordnung (z. B. in einer SmartNIC oder erweiterten SmartNIC), einer Beschleunigungsschaltungsanordnung, Speicherungsvorrichtungen oder KI-Hardware (z. B. GPUs oder programmierte FPGAs) integriert sein. Eine solche xPU kann dazu ausgelegt sein, eine Programmierung zu empfangen, um einen oder mehrere Datenströme zu verarbeiten und spezifische Aufgaben und Aktionen für die Datenströme durchzuführen (wie etwa Hosten von Mikrodiensten, Durchführen von Dienstverwaltung oder Orchestrierung, Organisieren oder Verwalten von Server- oder Datenzentrum-Hardware, Verwalten von Dienst-Meshes oder Sammeln und Verteilen von Telemetrie), außerhalb der CPU oder Allzweckverarbeitungshardware. Es versteht sich jedoch, dass eine xPU, ein SOC, eine CPU und andere Variationen des Prozessors 704 koordiniert miteinander arbeiten können, um viele Arten von Operationen und Anweisungen innerhalb und im Auftrag des Rechenknotens 700 auszuführen.
  • Der Speicher 706 kann als ein beliebiger Typ von flüchtigem (z. B. dynamischer Direktzugriffsspeicher (DRAM) usw.) oder nichtflüchtigem Speicher oder flüchtiger oder nichtflüchtiger Datenspeicherung umgesetzt sein, der/die in der Lage ist, die hierin beschriebenen Funktionen durchzuführen. Ein flüchtiger Speicher kann ein Speicherungsmedium sein, das Leistung zum Aufrechterhalten des Zustands von durch das Medium gespeicherten Daten benötigt. Nichtbeschränkende Beispiele für flüchtigen Speicher können verschiedene Typen von Direktzugriffsspeicher (RAM), wie etwa DRAM oder statischen Direktzugriffsspeicher (SRAM), einschließen. Ein bestimmter Typ von DRAM, der in einem Speichermodul verwendet werden kann, ist synchroner dynamischer Direktzugriffsspeicher (SDRAM).
  • Bei einem Beispiel ist die Speichervorrichtung eine blockadressierbare Speichervorrichtung, wie etwa jene, die auf NAND- oder NOR-Technologien basieren. Eine Speichervorrichtung kann auch eine dreidimensionale Crosspoint-Speichervorrichtung (z. B. Intel® 3D XPoint™-Speicher) oder andere byteadressierbare nichtflüchtige Speichervorrichtungen mit ortsfestem Schreiben beinhalten. Die Speichervorrichtung kann sich auf den Die selbst und/oder auf ein verpacktes Speicherprodukt beziehen. Bei manchen Beispielen kann der 3D-Crosspoint-Speicher (z. B. Intel® 3D XPoint™ Speicher) eine transistorlose stapelbare Crosspoint-Architektur umfassen, bei der Speicherzellen am Schnittpunkt von Wortleitungen und Bitleitungen sitzen und einzeln adressierbar sind und bei der die Bitspeicherung auf einer Änderung des Volumenwiderstands basiert. Bei manchen Beispielen kann der gesamte oder ein Teil des Speichers 706 in den Prozessor 704 integriert sein. Der Speicher 706 kann verschiedene Software und Daten speichern, die während des Betriebs verwendet werden, wie etwa eine oder mehrere Anwendungen, Daten, die durch die Anwendung(en) bearbeitet werden, Bibliotheken und Treiber.
  • Die Rechenschaltungsanordnung 702 ist über das E/A-Subsystem 708, das als eine Schaltungsanordnung und/oder Komponenten umgesetzt sein kann, kommunikativ mit anderen Komponenten des Rechenknotens 700 gekoppelt, um Eingabe/Ausgabe-Operationen mit der Rechenschaltungsanordnung 702 (z. B. mit dem Prozessor 704 und/oder dem Hauptspeicher 706) und anderen Komponenten der Rechenschaltungsanordnung 702 zu ermöglichen. Das E/A-Untersystem 708 kann zum Beispiel als Speichersteuerungshubs, Eingabe/Ausgabe-Steuerungshubs, integrierte Sensorhubs, Firmwarevorrichtungen, Kommunikationslinks (z. B. Punkt-zu-Punkt-Links, Buslinks, Drähte, Kabel, Lichtleiter, Leiterbahnen usw.) und/oder andere Komponenten und Untersysteme umgesetzt sein oder diese anderweitig beinhalten, um die Eingabe/Ausgabe-Operationen zu erleichtern. Bei manchen Beispielen kann das E/A-Untersystem 708 einen Teil eines System-on-Chip (SoC) bilden und zusammen mit dem Prozessor 704 und/oder dem Speicher 706 und/oder anderen Komponenten der Rechenschaltungsanordnung 702 in die Rechenschaltungsanordnung 702 integriert sein.
  • Die eine oder die mehreren veranschaulichenden Datenspeicherungsvorrichtungen 710 können als eine beliebige Art von Vorrichtungen umgesetzt sein, die zur Kurzzeit- oder Langzeitspeicherung von Daten konfiguriert sind, wie etwa zum Beispiel Speichervorrichtungen und -schaltungen, Speicherkarten, Festplattenlaufwerke, Solid-State-Laufwerke oder andere Datenspeicherungsvorrichtungen. Einzelne Datenspeicherungsvorrichtungen 710 können eine Systempartitionierung beinhalten, die Daten und Firmwarecode für die Datenspeicherungsvorrichtung 710 speichert. Einzelne Datenspeicherungsvorrichtungen 710 können auch eine oder mehrere Betriebssystempartitionierungen beinhalten, die Datendateien und ausführbare Dateien für Betriebssysteme in Abhängigkeit von zum Beispiel der Art des Rechenknotens 700 speichern.
  • Die Kommunikationsschaltungsanordnung 712 kann als eine beliebige Kommunikationsschaltung, -vorrichtung oder -sammlung davon umgesetzt sein, die in der Lage ist, Kommunikationen über ein Netzwerk zwischen der Rechenschaltungsanordnung 702 und einer anderen Rechenvorrichtung (z. B. einem Edge-Gateway eines implementierenden Edge-Rechensystems) zu ermöglichen. Die Kommunikationsschaltungsanordnung 712 kann dazu konfiguriert sein, eine oder mehrere beliebige Kommunikationstechnologien (z. B. drahtgebundene oder drahtlose Kommunikationen) und assoziierte Protokolle (z. B. ein zellulares Networking-Protokoll, wie etwa einen 3GPP-, 4G- oder 5G-Standard, ein drahtloses lokales Netzwerkprotokoll, wie etwa IEEE 802.11/Wi-Fi®, ein drahtloses Weitverkehrsnetzwerkprotokoll, Ethernet, Bluetooth®, Bluetooth Low Energy, ein IoT-Protokoll, wie etwa IEEE 802.15.4 oder ZigBee®, LPWAN(Low-Power Wide Area Network)- oder LPWA(Low-Power Wide Area)-Protokolle usw.) zu verwenden, um eine solche Kommunikation zu bewirken.
  • Die veranschaulichende Kommunikationsschaltungsanordnung 712 beinhaltet eine Netzwerkschnittstellensteuerung (NIC) 720, die auch als eine Host-Fabric-Schnittstelle (HFI: Host Fabric Interface) bezeichnet werden kann. Die NIC 720 kann als eine oder mehrere Add-In-Platinen, Tochterkarten, Netzwerkschnittstellenkarten, Steuerungschips, Chipsätze oder andere Vorrichtungen umgesetzt sein, die durch den Rechenknoten 700 verwendet werden können, um sich mit einer anderen Rechenvorrichtung (z. B. einem Edge-Gateway-Knoten) zu verbinden. Bei manchen Beispielen kann die NIC 720 als Teil eines System-on-Chip (SoC) umgesetzt sein, das einen oder mehrere Prozessoren beinhaltet, oder kann auf einem Mehrchip-Package enthalten sein, das auch einen oder mehrere Prozessoren beinhaltet. Bei manchen Beispielen kann die NIC 720 einen lokalen Prozessor (nicht gezeigt) und/oder einen lokalen Speicher (nicht gezeigt) beinhalten, die beide lokal für die NIC 720 sind. Bei solchen Beispielen kann der lokale Prozessor der NIC 720 dazu in der Lage sein, eine oder mehrere der Funktionen der hierin beschriebenen Rechenschaltungsanordnung 702 durchzuführen. Zusätzlich oder alternativ dazu kann in solchen Beispielen der lokale Speicher der NIC 720 in eine oder mehrere Komponenten des Client-Rechenknotens auf Platinenebene, Socket-Ebene, Chip-Ebene und/oder anderen Ebenen integriert sein.
  • Zusätzlich kann in manchen Beispielen ein jeweiliger Rechenknoten 700 eine oder mehrere Peripherievorrichtungen 714 beinhalten. Solche Peripherievorrichtungen 714 können eine beliebige Art von Peripherievorrichtung beinhalten, die in einer Rechenvorrichtung oder einem Server gefunden wird, wie etwa Audioeingabevorrichtungen, eine Anzeige, andere Eingabe/Ausgabe-Vorrichtungen, Schnittstellenvorrichtungen und/oder andere Peripherievorrichtungen, in Abhängigkeit von der speziellen Art des Rechenknotens 700. In weiteren Beispielen kann der Rechenknoten 700 durch einen jeweiligen Edge-Rechenknoten (egal ob ein Client, Gateway oder Aggregationsknoten) in einem Edge-Rechensystem oder ähnlichen Formen von Geräten, Computern, Untersystemen, Schaltungsanordnungen oder anderen Komponenten umgesetzt sein.
  • In einem ausführlicheren Beispiel veranschaulicht 7B ein Blockdiagramm eines Beispiels für Komponenten, die in einem Edge-Rechenknoten 750 zum Implementieren der hierin beschriebenen Techniken (z. B. Operationen, Prozesse, Verfahren und Methoden) vorhanden sein können. Dieser Edge-Rechenknoten 750 stellt eine nähere Ansicht der jeweiligen Komponenten des Knotens 700 bereit, wenn er als oder als Teil einer Rechenvorrichtung (z. B. als eine Mobilvorrichtung, eine Basisstation, ein Server, ein Gateway usw.) implementiert wird. Der Edge-Rechenknoten 750 kann beliebige Kombinationen der hierin genannten Hardware- oder Logikkomponenten beinhalten, und er kann eine beliebige Vorrichtung, die mit einem Edge-Kommunikationsnetzwerk oder einer Kombination solcher Netzwerke verwendbar ist, beinhalten oder mit dieser gekoppelt sein. Die Komponenten können als integrierte Schaltungen (ICs), Teile davon, diskrete elektronische Vorrichtungen oder andere Module, Anweisungssätze, programmierbare Logik oder Algorithmen, Hardware, Hardwarebeschleuniger, Software, Firmware oder eine Kombination davon, die im Edge-Rechenknoten 750 angepasst sind, oder als Komponenten, die anderweitig in ein Gehäuse eines größeren Systems integriert sind, implementiert sein.
  • Die Edge-Rechenvorrichtung 750 kann eine Verarbeitungsschaltungsanordnung in der Form eines Prozessors 752 beinhalten, der ein Mikroprozessor, ein Mehrkernprozessor, ein Multithread-Prozessor, ein Ultraniederspannungsprozessor, ein eingebetteter Prozessor, eine xPU/DPU/IPU/NPU, eine Spezialverarbeitungseinheit, eine spezialisierte Verarbeitungseinheit oder andere bekannte Verarbeitungselemente sein kann. Der Prozessor 752 kann ein Teil eines System-on-Chip (SoC) sein, in dem der Prozessor 752 und andere Komponenten in einer einzigen integrierten Schaltung oder einem einzigen Package ausgebildet sind, wie etwa die Edison™ oder Galileo™-SoC-Platinen von Intel Corporation, Santa Clara, Kalifornien, USA. Als ein Beispiel kann der Prozessor 752 einen auf Intel® Architecture Core™ basierenden CPU-Prozessor, wie etwa einen Quark™-, einen Atom™-, einen i3-, einen i5-, einen i7-, einen i9- oder einen MCU-Klasse-Prozessor oder einen anderen solchen Prozessor, der von Intel® verfügbar ist, beinhalten. Eine beliebige Anzahl anderer Prozessoren kann jedoch verwendet werden, wie etwa erhältlich von der Firma Advanced Micro Devices, Inc. (AMD®) aus Sunnyvale, Kalifornien, USA, ein MIPS®-basiertes Design der Firma MIPS Technologies, Inc. aus Sunnyvale, Kalifornien, USA, ein ARM®-basiertes Design, lizenziert von ARM Holdings, Ltd. oder ein Kunde davon, oder deren Lizenznehmer oder Adopter. Die Prozessoren können Einheiten beinhalten, wie etwa einen A5-A13-Prozessor von Apple® Inc., einen Snapdragon™-Prozessor von Qualcommon® Technologies, Inc., oder einen OMAP™-Prozessor von Texas Instruments, Inc. Der Prozessor 752 und die begleitende Schaltungsanordnung können in einem einzigen Socket-Formfaktor, mehreren Socket-Formfaktoren oder einer Vielfalt anderer Formate bereitgestellt sein, einschließlich in beschränkten Hardwarekonfigurationen oder Konfigurationen, die weniger als alle in 7B gezeigten Elemente beinhalten.
  • Der Prozessor 752 kann über ein Interconnect 756 (z. B. einen Bus) mit einem Systemspeicher 754 kommunizieren. Eine beliebige Anzahl an Speichervorrichtungen kann verwendet werden, um eine gegebene Menge an Systemspeicher bereitzustellen. Als Beispiele kann der Speicher 754 Direktzugriffsspeicher (RAM) gemäß einem JEDEC-Design (JEDEC: Joint Electron Devices Engineering Council) sein, wie etwa den DDR- oder mobilen DDR-Standards (z. B. LPDDR, LPDDR2, LPDDR3 oder LPDDR4). In bestimmten Beispielen kann eine Speicherkomponente einem von JEDEC vertriebenen DRAM-Standard entsprechen, wie etwa JESD79F für DDR-SDRAM, JESD79-2F für DDR2-SDRAM, JESD79-3F für DDR3-SDRAM, JESD79-4A für DDR4-SDRAM, JESD209 für Low-Power-DDR (LPDDR), JESD209-2 für LPDDR2, JESD209-3 für LPDDR3 und JESD209-4 für LPDDR4. Solche Standards (und ähnliche Standards) können als DDR-basierte Standards bezeichnet werden und Kommunikationsschnittstellen der Speicherungsvorrichtungen, die solche Standards implementieren, können als DDR-basierte Schnittstellen bezeichnet werden. Bei diversen Implementierungen können die einzelnen Speichervorrichtungen von einer beliebigen Anzahl von verschiedenen Package-Typen sein, wie etwa Single Die Package (SDP), Dual Die Package (DDP) oder Quad Die Package (Q17P). Diese Vorrichtungen können bei manchen Beispielen direkt auf eine Hauptplatine gelötet werden, um eine Lösung mit niedrigerem Profil bereitzustellen, während die Vorrichtungen bei anderen Beispielen als ein oder mehrere Speichermodule konfiguriert sind, die der Reihe nach durch einen gegebenen Verbinder mit der Hauptplatine gekoppelt sind. Eine beliebige Anzahl anderer Speicherimplementierungen kann verwendet werden, wie etwa andere Typen von Speichermodulen, z. B. Dual Inline Memory Modules (DIMMs) verschiedener Varianten, einschließlich unter anderem microDIMMs oder MiniDIMMs.
  • Um eine dauerhafte Speicherung von Informationen, wie etwa Daten, Anwendungen, Betriebssystemen und so weiter, bereitzustellen, kann eine Speicherung 758 auch über das Interconnect 756 mit dem Prozessor 752 gekoppelt sein. Bei einem Beispiel kann der Speicher 758 über ein Solid-State-Laufwerk (SSDD) implementiert werden. Andere Vorrichtungen, die für die Speicherung 758 verwendet werden können, beinhalten Flash-Speicherkarten, wie etwa Secure-Digital(SD)-Karten, microSD-Karten, eXtreme-Digital-(XD)-Bildkarten und dergleichen und Universal-Serial-Bus(USB)-Flash-Laufwerke. Bei einem Beispiel kann die Speichervorrichtung Speichervorrichtungen sein oder beinhalten, die Chalkogenidglas, NAND-Flash-Speicher mit mehreren Schwellenpegeln, NOR-Flash-Speicher, Einzel- oder Mehrfachpegel-Phasenwechselspeicher (PCM), einen resistiven Speicher, Nanodrahtspeicher, ferroelektrischen Transistor-Direktzugriffsspeicher (FeTRAM), antiferroelektrischen Speicher, magnetoresistiven Direktzugriffsspeicher (MRAM), Speicher, der Memristortechnologie beinhaltet, resistiven Speicher einschließlich der Metalloxid-Basis, der Sauerstoffleerstellenbasis und den Leitfähige-Brücke-Direktzugriffsspeicher (CB-RAM) oder Spin-Transfer-Torque(STT)-MRAM, einer auf spintronischen Magnetübergangsspeicher basierte Vorrichtung, eine Magnettunnelübergang(MTJ)-basierte Vorrichtung, eine DW(Domänenwand)- und SOT(Spin-Orbit-Transfer)-basierte Vorrichtung, eine thyristorbasierte Speichervorrichtung oder eine Kombination von beliebigen der obigen oder eines anderen Speichers verwenden.
  • In Niederleistungsimplementierungen kann die Speicherung 758 ein On-Die-Speicher oder Register sein, die mit dem Prozessor 752 assoziiert sind. Bei manchen Beispielen kann die Speicherung 758 jedoch unter Verwendung eines Mikro-Festplattenlaufwerks (HDD) implementiert werden. Ferner kann eine beliebige Anzahl neuer Technologien für die Speicherung 758 zusätzlich zu den, oder anstelle der, beschriebenen Technologien verwendet werden, wie etwa unter anderem Widerstandswechselspeicher, Phasenwechselspeicher, holografische Speicher oder chemische Speicher.
  • Die Komponenten können über das Interconnect 756 kommunizieren. Das Interconnect 756 kann eine beliebige Anzahl von Technologien beinhalten, einschließlich Industry Standard Architecture (ISA), extended ISA (EISA), Peripheral Component Interconnect (PCI), Peripheral Component Interconnect Extended (PCIx), PCI Express (PCIe) oder eine beliebige Anzahl anderer Technologien. Das Interconnect 756 kann ein proprietärer Bus sein, der zum Beispiel in einem SoC-basierten System verwendet wird. Andere Bussysteme können enthalten sein, wie etwa unter anderem eine Inter-Integrated-Circuit(I2C)-Schnittstelle, eine Serial-Peripheral-Interface(SPI)-Schnittstelle, Punkt-zu-Punkt-Schnittstellen und ein Leistungsbus.
  • Das Interconnect 756 kann den Prozessor 752 mit einem Sendeempfänger 766 koppeln, um mit den verbundenen Edge-Vorrichtungen 762 zu kommunizieren. Der Sendeempfänger 766 kann eine beliebige Anzahl von Frequenzen und Protokollen verwenden, wie z. B. 2,4-Gigahertz (GHz)-Übertragungen nach dem IEEE-802.15.4-Standard, unter Verwendung des Bluetooth®-Low-Energy(BLE)-Standards, wie von der Bluetooth® Special Interest Group definiert, oder des ZigBee®-Standards unter anderem. Eine beliebige Anzahl von Funkgeräten, die für ein bestimmtes Drahtloskommunikationsprotokoll konfiguriert sind, kann für die Verbindungen zu den verbundenen Edge-Vorrichtungen 762 verwendet werden. Zum Beispiel kann eine WLAN-Einheit (WLAN: Wireless Local Area Network - drahtloses Lokalnetzwerk) verwendet werden, um WiFi® -Kommunikationen gemäß dem IEEE (Institute of Electrical and Electronics Engineers) 802.11-Standard zu implementieren. Außerdem können Drahtlos-Weitbereichskommunikationen, z. B. gemäß einem zellularen oder anderen Drahtlos-Weitbereichsprotokoll über eine Drahtlos-Weitbereichsnetzwerk(WWAN)-Einheit stattfinden.
  • Der Drahtlosnetzwerksendeempfänger 766 (oder mehrere Sendeempfänger) kann unter Verwendung mehrerer Standards oder Funkgeräte für Kommunikationen mit einer anderen Reichweite kommunizieren. Beispielsweise kann der Edge-Rechenknoten 750 mit nahen Vorrichtungen, z. B. innerhalb von etwa 10 Metern, unter Verwendung eines lokalen Sendeempfängers basierend auf Bluetooth Low Energy (BLE) oder eines anderen Niedrigleistungsfunkgeräts kommunizieren, um Leistung zu sparen. Entferntere verbundene Edge-Vorrichtungen 762, z. B. innerhalb von etwa 50 Metern, können über ZigBee® oder andere Zwischenleistungsfunkgeräte erreicht werden. Beide Kommunikationstechniken können über ein einziges Funkgerät mit unterschiedlichen Leistungspegeln stattfinden oder können über separate Sendeempfänger stattfinden, zum Beispiel einen lokalen Sendeempfänger, der BLE verwendet, und einen separaten Mesh-Sendeempfänger, der ZigBee® verwendet.
  • Ein Drahtlosnetzwerksendeempfänger 766 (z. B. ein Funksendeempfänger) kann enthalten sein, um mit Vorrichtungen oder Diensten in der Edge-Cloud 795 über Lokal- oder Weitbereichsnetzwerkprotokolle zu kommunizieren. Der Drahtlosnetzwerksendeempfänger 766 kann ein LPWA-Sendeempfänger (LPWA: Low Power Wide Area) sein, der unter anderem den Standards IEEE 802.15.4 oder IEEE 802.15.4g folgt. Der Edge-Rechenknoten 750 kann über einen weiten Bereich unter Verwendung von LoRaWAN™ (Long Range Wide Area Network), das von Semtech und der LoRa Alliance entwickelt wurde, kommunizieren. Die hierin beschriebenen Techniken sind nicht auf diese Technologien beschränkt, sondern können mit einer beliebigen Anzahl von anderen Cloud-Sendeempfängern verwendet werden, die Kommunikationen mit großer Reichweite, niedriger Bandbreite implementieren, wie etwa Sigfox, und anderen Technologien. Ferner können andere Kommunikationstechniken, wie beispielsweise Kanalspringen mit Zeitschlitzen, das in der Spezifikation IEEE 802.15.4e beschrieben ist, verwendet werden.
  • Eine beliebige Anzahl anderer Funkkommunikationen und -protokolle kann zusätzlich zu den für den Drahtlosnetzwerksendeempfänger 766 erwähnten Systemen verwendet werden, wie hierin beschrieben. Zum Beispiel kann der Sendeempfänger 766 einen zellularen Sendeempfänger umfassen, der Spreizspektrum(SPA/SAS)-Kommunikationen zum Implementieren von Hochgeschwindigkeitskommunikationen verwendet. Ferner kann eine beliebige Anzahl anderer Protokolle verwendet werden, wie etwa WiFi®-Netze für Kommunikationen mittlerer Geschwindigkeit und Bereitstellung von Netzkommunikationen. Der Sendeempfänger 766 kann Funkgeräte umfassen, die mit einer beliebigen Anzahl von 3GPP(Third Generation Partnership Project)-Spezifikationen kompatibel sind, wie etwa Long Term Evolution (LTE) und Kommunikationssysteme der fünften Generation (5G), die am Ende der vorliegenden Offenbarung ausführlicher erörtert werden. Eine Netzwerkschnittstellensteuerung (NIC) 768 kann enthalten sein, um eine drahtgebundene Kommunikation zu Knoten der Edge-Cloud 795 oder zu anderen Vorrichtungen, wie etwa den verbundenen Edge-Vorrichtungen 762 (die z. B. in einem Mesh arbeiten), bereitzustellen. Die drahtgebundene Kommunikation kann eine Ethernet-Verbindung bereitstellen oder kann auf anderen Arten von Netzwerken basieren, wie etwa Controller Area Network (CAN), Local Interconnect Network (LIN), DeviceNet, ControlNet, Data Highway+, PROFIBUS oder PROFINET unter vielen anderen. Eine zusätzliche NIC 768 kann enthalten sein, um eine Verbindung mit einem zweiten Netzwerk zu ermöglichen, beispielsweise eine erste NIC 768, die Kommunikationen zu der Cloud über Ethernet bereitstellt, und eine zweite NIC 768, die Kommunikationen zu anderen Vorrichtungen über einen anderen Netzwerktyp bereitstellt.
  • Angesichts der Vielfalt von Arten anwendbarer Kommunikationen von der Vorrichtung zu einer anderen Komponente oder einem anderen Netzwerk kann zutreffende Kommunikationsschaltungsanordnung, die von der Vorrichtung verwendet wird, eine oder mehrere der Komponenten 764, 766, 768 oder 770 beinhalten oder durch diese verkörpert sein. Dementsprechend können bei verschiedenen Beispielen anwendbare Mittel zum Kommunizieren (z. B. Empfangen, Senden usw.) durch eine solche Kommunikationsschaltungsanordnung verkörpert werden.
  • Der Edge-Rechenknoten 750 kann eine Beschleunigungsschaltungsanordnung 764 beinhalten oder mit dieser gekoppelt sein, die durch einen oder mehrere Beschleuniger mit künstlicher Intelligenz (KI), einen neuronalen Rechen-Stick, neuromorphe Hardware, ein FPGA, eine Anordnung von GPUs, eine Anordnung aus xPUs/DPUs/IPU/NPUs, ein oder mehrere SoCs, eine oder mehreren CPUs, einen oder mehreren Digitalsignalprozessoren, dedizierte ASICs oder andere Formen spezialisierter Prozessoren oder Schaltungsanordnungen umgesetzt sein, die zum Erfüllen einer oder mehrerer spezialisierter Aufgaben ausgelegt sind. Diese Aufgaben können KI-Verarbeitung (einschließlich Maschinenlern-, Trainings-, Inferenz- und Klassifizierungsoperationen), visuelle Datenverarbeitung, Netzdatenverarbeitung, Objektdetektion, Regelanalyse oder dergleichen beinhalten. Zu diesen Aufgaben können auch die an anderer Stelle in diesem Dokument besprochenen spezifischen Edge-Rechenaufgaben für Dienstverwaltung und Dienstoperationen gehören.
  • Das Interconnect 756 kann den Prozessor 752 mit einem Sensorhub oder einer externen Schnittstelle 770 koppeln, der/die zum Verbinden zusätzlicher Vorrichtungen oder Subsysteme verwendet wird. Die Vorrichtungen können Sensoren 772, wie etwa Beschleunigungsmesser, Pegelsensoren, Strömungssensoren, optische Lichtsensoren, Kamerasensoren, Temperatursensoren, Sensoren eines globalen Navigationssystems (z. B. GPS), Drucksensoren, barometrische Drucksensoren und dergleichen beinhalten. Der Hub oder die Schnittstelle 770 kann ferner verwendet werden, um den Edge-Rechenknoten 750 mit Aktoren 774 zu verbinden, wie etwa Leistungsschaltern, Ventilaktoren, einem akustischen Tongenerator, einer visuellen Warnvorrichtung und dergleichen.
  • Bei manchen optionalen Beispielen können verschiedene Eingabe/Ausgabe(E/A)-Vorrichtungen innerhalb des Edge-Rechenknotens 750 vorhanden sein oder mit diesem verbunden sein. Beispielsweise kann eine Anzeige oder eine andere Ausgabevorrichtung 784 enthalten sein, um Informationen, wie etwa Sensorablesungen oder Aktorposition, zu zeigen. Eine Eingabevorrichtung 786, wie beispielsweise ein Touchscreen oder eine Tastenfeld, kann enthalten sein, um Eingaben anzunehmen. Eine Ausgabevorrichtung 784 kann eine beliebige Anzahl von Formen einer akustischen oder visuellen Anzeige beinhalten, einschließlich einfacher visueller Ausgaben, wie binärer Statusindikatoren (z. B. Leuchtdioden (LEDs)) und visueller Mehrzeichenausgaben, oder komplexere Ausgaben, wie Anzeigebildschirme (z. B. Flüssigkristallanzeige(LCD)-Bildschirme), wobei die Ausgabe von Zeichen, Grafiken, Multimediaobjekten und dergleichen aus dem Betrieb des Edge-Rechenknotens 750 generiert oder erzeugt wird. Eine Anzeigen- oder Konsolenhardware kann im Kontext des vorliegenden Systems verwendet werden, um eine Ausgabe bereitzustellen und eine Eingabe eines Edge-Rechensystems zu empfangen; Komponenten oder Dienste eines Edge-Rechensystems zu verwalten; einen Zustand einer Edge-Rechenkomponente oder eines Edge-Dienstes zu identifizieren, oder eine beliebige andere Anzahl von Verwaltungs- oder Administrationsfunktionen oder Dienstanwendungsfällen durchzuführen.
  • Eine Batterie 776 kann den Edge-Rechenknoten 750 mit Leistung versorgen, wobei sie in Beispielen, in denen der Edge-Rechenknoten 750 an einem festen Ort montiert ist, eine Leistungsversorgung aufweisen kann, die mit einem Stromnetz gekoppelt ist, oder die Batterie kann als ein Backup oder für temporäre Funktionen verwendet werden. Die Batterie 776 kann eine Lithium-Ionen-Batterie oder eine Metall-Luft-Batterie, wie beispielsweise eine Zink-Luft-Batterie, eine Aluminium-Luft-Batterie, eine Lithium-Luft-Batterie und dergleichen sein.
  • Ein Batterieüberwachungs-/-ladegerät 778 kann in dem Edge-Rechenknoten 750 enthalten sein, um den Ladezustand (SoCh: State of Charge) der Batterie 776, falls enthalten, zu verfolgen. Das Batterieüberwachungs-/-ladegerät 778 kann dazu verwendet werden, andere Parameter der Batterie 776 zu überwachen, um Ausfallvorhersagen bereitzustellen, wie etwa den Gesundheitszustand (SoH: State of Health) und den Funktionszustand (SoF: State of Function) der Batterie 776. Das Batterieüberwachungs-/-ladegerät 778 kann eine integrierte Batterieüberwachungsschaltung beinhalten, wie etwa einen LTC4020 oder einen LTC2990 von Linear Technologies, einen ADT7488A von ON Semiconductor aus Phoenix, Arizona, USA, oder einen IC der UCD90xxx-Familie von Texas Instruments aus Dallas, TX, USA. Das Batterieüberwachungs-/-ladegerät 778 kann die Informationen über die Batterie 776 über das Interconnect 756 an den Prozessor 752 kommunizieren. Das Batterieüberwachungs-/-ladegerät 778 kann auch einen Analog-Digital-Wandler (ADC) beinhalten, der es dem Prozessor 752 ermöglicht, die Spannung der Batterie 776 oder den Stromfluss von der Batterie 776 direkt zu überwachen. Die Batterieparameter können verwendet werden, um Aktionen zu bestimmen, die der Edge-Rechenknoten 750 ausführen kann, wie etwa Übertragungsfrequenz, Mesh-Netzwerkoperation, Erfassungsfrequenz und dergleichen.
  • Ein Leistungsblock 780 oder eine andere Leistungsversorgung, die an ein Stromnetz gekoppelt ist, kann mit dem Batterieüberwachungs-/-ladegerät 778 gekoppelt werden, um die Batterie 776 zu laden. Bei einigen Beispielen kann der Leistungsblock 780 durch einen drahtlosen Leistungsempfänger ersetzt werden, um die Leistung drahtlos, zum Beispiel durch eine Schleifenantenne im Edge-Rechenknoten 750, zu erhalten. Eine Drahtlosbatterieladeschaltung, wie unter anderem ein LTC4020-Chip von Linear Technologies aus Milpitas, Kalifornien, kann in dem Batterieüberwachungs-/-ladegerät 778 enthalten sein. Die spezifischen Ladeschaltungen können basierend auf der Größe der Batterie 776 und somit dem erforderlichen Strom ausgewählt werden. Das Aufladen kann unter anderem unter Verwendung des von der Airfuel Alliance veröffentlichten Airfuel-Standard, dem vom Wireless Power Consortium veröffentlichten Qi-Ladestandard oder dem von der Alliance for Wireless Power veröffentlichten Rezence-Ladestandard durchgeführt werden.
  • Die Speicherung 758 kann Anweisungen 782 in Form von Software-, Firmware- oder Hardwarebefehlen enthalten, um die hierin beschriebenen Techniken zu implementieren. Obwohl solche Anweisungen 782 als Codeblöcke gezeigt sind, die in dem Speicher 754 und der Speicherung 758 enthalten sind, versteht es sich, dass beliebige der Codeblöcke durch festverdrahtete Schaltungen ersetzt werden können, die zum Beispiel in einer anwendungsspezifischen integrierten Schaltung (ASIC: Application Specific Integrated Circuit) eingebaut sind.
  • Bei einem Beispiel können die Anweisungen 782, die über den Speicher 754, die Speicherung 758 oder den Prozessor 752 bereitgestellt werden, als ein nichtflüchtiges maschinenlesbares Medium 760 umgesetzt sein, das Code beinhaltet, um den Prozessor 752 anzuweisen, elektronische Operationen in dem Edge-Rechenknoten 750 durchzuführen. Der Prozessor 752 kann über das Interconnect 756 auf das nichtflüchtige maschinenlesbare Medium 760 zugreifen. Beispielsweise kann das nichtflüchtige maschinenlesbare Medium 760 von Vorrichtungen umgesetzt werden, die für die Speicherung 758 beschrieben sind, oder kann spezifische Speichereinheiten, wie etwa optische Platten, Flash-Laufwerke oder eine beliebige Anzahl anderer Hardwarevorrichtungen, beinhalten. Das nichtflüchtige, maschinenlesbare Medium 760 kann Anweisungen beinhalten, um den Prozessor 752 anzuweisen, eine spezifische Sequenz oder einen spezifischen Fluss von Aktionen durchzuführen, wie zum Beispiel mit Bezug auf das Flussdiagramm bzw. die Flussdiagramme und das Blockdiagramm bzw. die Blockdiagramme von Operationen und Funktionalität, die oben dargestellt sind, beschrieben. Wie hierin verwendet, sind die Begriffe „maschinenlesbares Medium“ und „computerlesbares Medium“ austauschbar.
  • Auch in einem spezifischen Beispiel können die Anweisungen 782 auf dem Prozessor 752 (separat oder in Kombination mit den Anweisungen 782 des maschinenlesbaren Mediums 760) die Ausführung oder Operation einer vertrauenswürdigen Ausführungsumgebung (TEE) 790 konfigurieren. In einem Beispiel arbeitet die TEE 790 als ein geschützter Bereich, der für den Prozessor 752 zur sicheren Ausführung von Anweisungen und zum sicheren Zugriff auf Daten zugänglich ist. Verschiedene Implementierungen der TEE 790 und eines begleitenden sicheren Bereichs in dem Prozessor 752 oder dem Speicher 754 können beispielsweise durch Verwendung von Intel® Software Guard Extensions (SGX) oder ARM® TrustZone® Hardwaresicherheitserweiterungen, Intel® Management Engine (ME) oder Intel® Converged Security Manageability Engine (CSME) bereitgestellt werden. Andere Aspekte von Sicherheitsverhärtung, Hardware-Rootsof-Trust und vertrauenswürdigen oder geschützten Operationen können in der Vorrichtung 750 durch die TEE 790 und den Prozessor 752 implementiert werden.
  • In weiteren Beispielen beinhaltet ein maschinenlesbares Medium auch irgendein greifbares Medium, das zum Speichern, Codieren oder Führen von Anweisungen zur Ausführung durch eine Maschine imstande ist und das bewirkt, dass die Maschine beliebige einer oder mehrerer der Methodologien der vorliegenden Offenbarung durchführt, oder das zum Speichern, Codieren oder Führen von Datenstrukturen imstande ist, die von solchen Anweisungen genutzt werden oder damit assoziiert sind. Ein „maschinenlesbares Medium“ kann somit Solid-State-Speicher und optische und magnetische Medien umfassen, ist jedoch nicht darauf beschränkt. Zu spezifischen Beispielen für maschinenlesbare Medien zählen nichtflüchtiger Speicher, wie zum Beispiel Halbleiterspeichervorrichtungen (z. B. elektrisch programmierbarer Nurlesespeicher (Electrically Programmable Read-Only Memory, EPROM), elektrisch löschbarer programmierbarer Nurlesespeicher (Electrically Erasable Programmable Read-Only Memory, EEPROM)) und Flash-Speichervorrichtungen, Magnetplatten, wie zum Beispiel interne Festplatten und austauschbare Speicherplatten, magnetooptische Speicherplatten und CD-ROM- und DVD-ROM-Speicherplatten. Die Anweisungen, die durch ein maschinenlesbares Medium umgesetzt sind, können ferner über ein Kommunikationsnetzwerk unter Verwendung eines Übertragungsmediums über eine Netzwerkschnittstellenvorrichtung übertragen oder empfangen werden, die ein beliebiges einer Anzahl von Übertragungsprotokollen (z. B. Hypertext Transfer Protocol (HTTP)) nutzt.
  • Ein maschinenlesbares Medium kann durch eine Speicherungsvorrichtung oder eine andere Einrichtung bereitgestellt werden, die dazu in der Lage ist, Daten in einem nichtflüchtigen Format zu hosten. Bei einem Beispiel können auf einem maschinenlesbaren Medium gespeicherte oder anderweitig bereitgestellte Informationen die Anweisungen repräsentieren, wie etwa die Anweisungen selbst oder ein Format, aus dem die Anweisungen abgeleitet werden können. Dieses Format, aus dem die Anweisungen abgeleitet werden können, kann Quellcode, codierte Anweisungen (z. B. in komprimierter oder verschlüsselter Form), verpackte Anweisungen (z. B. in mehrere Pakete aufgeteilt) oder dergleichen beinhalten. Die die Anweisungen repräsentierenden Informationen im maschinenlesbaren Medium können durch eine Verarbeitungsschaltungsanordnung in die Anweisungen zum Implementieren beliebige der hierin besprochenen Operationen verarbeitet werden. Das Ableiten der Anweisungen aus den Informationen (z. B. Verarbeitung durch die Verarbeitungsschaltungsanordnung) kann beispielsweise beinhalten: Kompilieren (z. B. aus Quellcode, Objektcode usw.), Interpretieren, Laden, Organisieren (z. B. dynamisches oder statisches Verknüpfen), Codieren, Decodieren, Verschlüsseln, Entschlüsseln, Verpacken, Entpacken oder anderweitig Manipulieren der Informationen in die Anweisungen.
  • Bei einem Beispiel kann die Ableitung der Anweisungen Zusammenstellung, Kompilierung oder Interpretation der Informationen (z. B. durch die Verarbeitungsschaltungsanordnung) beinhalten, um die Anweisungen aus einem Zwischenformat oder vorverarbeiteten Format, das durch das maschinenlesbare Medium bereitgestellt wird, zu erzeugen. Wenn die Informationen in mehreren Teilen bereitgestellt werden, können sie kombiniert, entpackt und modifiziert werden, um die Anweisungen zu erzeugen. Die Informationen können sich zum Beispiel in mehreren komprimierten Quellcodepaketen (oder Obj ektcode oder ausführbarer Binär-Code usw.) auf einem oder mehreren Fernservern befinden. Die Quellcodepakete können verschlüsselt sein, wenn sie über ein Netzwerk übertragen werden, und können an einer lokalen Maschine falls notwendig entschlüsselt, dekomprimiert, zusammengesetzt (z. B. verknüpft) und kompiliert oder interpretiert (z. B. in eine Bibliothek, selbständige ausführbare Datei usw.) werden und durch die lokale Maschine ausgeführt werden.
  • 8 ist ein Blockdiagramm, das einen Edge-Knoten 800 gemäß einer Ausführungsform veranschaulicht. Bei verschiedenen Implementierungen kann der Edge-Knoten 800 in einen Mobilfunkturm, eine Basisstation, eine Telekommunikationszentrale (CO), einen designierten Edge-Knotenserver, einen Unternehmensserver, einen Straßenrandserver oder eine lokale oder Peer-at-the-Edge-Vorrichtung, die versorgt wird und Edge-Dienste verbraucht, integriert sein. Der Edge-Knoten 800 wird verwendet, um den Zugriff auf Hardware, Software oder andere Komponenten von Ausrüstung zu steuern, die sich häufig an entfernten Orten befinden.
  • Der Edge-Knoten 800 beinhaltet einen Biometrieprozessor 802, einen Biometriespeicherungscache 804, einen Biometriecacherichtliniencoprozessor 806 und eine Biometrieschnittstellenschaltung 808. Diese Komponenten arbeiten in Kombination, um eine Schicht biometrischer Sicherheit auf die physische Hardware des Edge-Knotens 800 einzuführen.
  • Der Biometrieprozessor 802 kann als ein FPGA, eine ASIC, rekonfigurierbare Hardware oder Hardwareschaltungsanordnung oder andere spezialisierte Hardware umgesetzt sein, diese beinhalten oder mit diesen gekoppelt sein, um die Durchführung der hierin beschriebenen Funktionen zu ermöglichen. Alternativ dazu kann der Biometrieprozessor 802 als Software oder Firmware implementiert sein, die in einer TEE 790 ausgeführt wird. Der Biometriespeicherungscache 804 kann als eine beliebige Art von flüchtigem oder nichtflüchtigem Speicher oder flüchtiger oder nichtflüchtiger Datenspeicherung umgesetzt sein, der/die zum Durchführen der hierin beschriebenen Funktionen in der Lage ist. Der Biometriecacherichtliniencoprozessor 806 kann als ein FPGA, eine ASIC, rekonfigurierbare Hardware oder Hardwareschaltungsanordnung oder andere spezialisierte Hardware, Software oder Firmware umgesetzt sein, diese beinhalten oder mit diesen gekoppelt sein, um die Durchführung der hierin beschriebenen Funktionen zu ermöglichen. Die Biometrieschnittstellenschaltung 808 kann als ein FPGA, eine ASIC, rekonfigurierbare Hardware oder Hardwareschaltungsanordnung oder andere spezialisierte Hardware umgesetzt sein, diese beinhalten oder mit diesen gekoppelt sein, um eine Durchführung der hierin beschriebenen Funktionen zu ermöglichen.
  • Zusätzlich zu einem beliebigen biometrischen Sensor kann es einen Lebenszeichentest geben, der von einem Sensor angewendet wird (zusätzlich zu der biometrischen Erfassungsoperation, die biometrische Sensoren durchführen). Die Lebenszeichentests können unter anderem Probenahme von Blutfluss oder Kapillaraktivität, zum Beispiel in einem Fingerabdruckscan, Benutzer-Frage-Antwort-Sitzungen, wie etwa dass der Sensor den Benutzer auffordert, zu zwinkern oder andere Gesichtsmuskelbewegungen durchzuführen, oder andere Lebenszeichentests, die andere spontane Benutzerinteraktionstests beinhalten können, die nicht einfach vorhergesagt werden können, beinhalten. Solche Lebenszeichentests können CAPTCHA-Interaktionen, randomisierte(s) PIN-Pad/PIN-Eingabe oder PAVP (Protected Audio Visual Path - geschützter audiovisueller Pfad) beinhalten. In dem Fall, dass eine Roboterentität einen Zugriff versucht, kann der Roboter Lebenszeichentests unterzogen werden, um sicherzustellen, dass der Roboter ein tatsächliches physisch vorhandenes Objekt ist. Zum Beispiel kann ein Roboter mit einer Zeigefähigkeit und einem visuellen und Sichtprozessor in der Lage sein, Lebenszeichentests unter Verwendung einer randomisierten Tastatur zum Eingeben einer PIN durchzuführen. Der Roboter würde nicht an kurzzeitigen Speicherbeschränkungen leiden und könnte schnell das Layout einer randomisierten Tastatur verarbeiten, die eine viel größere Anzahl von Zeichen aufweist als der Mensch verarbeiten kann.
  • Bei einer Implementierung ist die Biometrieschnittstellenschaltung 808 kommunikativ mit einem oder mehreren biometrischen Sensoren 810 gekoppelt. Die biometrischen Sensoren 810 können Fingerabdrucklesegeräte, Mikrofone, Kameras oder dergleichen beinhalten. Die biometrischen Sensoren 810 dienen zur Erfassung biometrischer Informationen zur Biometrieanalyse. Biometrische Informationen sind physische oder verhaltensbezogene Charakteristiken, die verwendet werden können, um einen Anforderer (z. B. eine Person oder einen Roboter) zu identifizieren. Biometrie ist die Verwendung statistischer Analyse an biometrischen Daten. Im Rahmen dieser Implementierung wird anhand der Biometrie bestimmt, ob einem Anforderer Zugriff gewährt oder verweigert werden soll. Die biometrischen Sensoren 810 können eine mobile Vorrichtung, wie etwa ein Smartphone oder eine zellulare Vorrichtung, beinhalten, die sich typischerweise im Besitz des Anforderers befindet. Der Anforderer kann sich gegenüber der mobilen Vorrichtung authentifiziert haben und biometrische Signaturen können als Teil eines Authentifizierungsprotokolls an die Biometrieschnittstellenschaltung 808 weitergeleitet werden.
  • Der Biometrieprozessor 802 wird dazu verwendet, mit der Biometrieschnittstellenschaltung 808 eine Schnittstelle zu bilden und biometrische Daten zu erhalten, die zur Authentifizierung verwendet werden. Der Biometrieprozessor 802 kann dann eine Schnittstelle mit dem Biometriespeicherungscache 804 bilden, um den Anforderer am Edge-Knoten 800 zu authentifizieren.
  • Der Biometriespeicherungscache 804 kann biometrische Signaturen, Richtliniendaten und andere Arten von Informationen speichern, die zum Steuern des Zugriffs an dem Edge-Knoten 800 verwendet werden. Biometriedaten können durch einen Eigentümer des Edge-Knotens 800 bereitgestellt werden, um Benutzer für den Zugriff auf den Edge-Knoten 800 vorzuregistrieren. Der Biometriespeicherungscache 804 kann auch Passwörter, persönliche Identifikationsnummern (PIN) oder andere Zugangscodes speichern, die in Verbindung mit biometrischen Authentifizierungstechniken verwendet werden können.
  • Der Biometriespeicherungscache 804 kann durch den Biometriecacherichtliniencoprozessor 806 konfiguriert und verwaltet werden. Der Biometriecacherichtliniencoprozessor 806 kann auf Caching-Richtlinien, wie etwa die Zeitdauer zum Beibehalten einer biometrischen Signatur, Verschlüsselungsschlüssel, die zum Verschlüsseln von Signaturen verwendet werden, oder andere Merkmale, die zum Speichern und Schützen von biometrischen Daten oder Biometriedaten in dem Biometriespeicherungscache 804 verwendet werden, zugreifen. Die Richtlinien, Regeln oder anderen Konfigurationsdaten können in dem Biometriecacherichtliniencoprozessor 806 gespeichert sein.
  • Zugriffsrechte werden basierend auf einer Biometrieanalyse gewährt und sind auf eine bestimmte Teilmenge von Funktionen oder Aktionen beschränkt, die der Anforderer durchführen kann. Die Funktionen oder Aktionen werden auf gewisse Privilegklassen abgebildet. Privilegien können in Folgendes gruppiert oder klassifiziert werden: Firmware aktualisieren, Betriebssystem (OS) aktualisieren, Vorrichtung ersetzen, Speichermodul (z. B. DIMM oder NVRAM) ersetzen oder dergleichen. Beispielsweise kann der Edge-Knoten 800 erfordern, dass der Anforderer die Aktion auf der Plattform durchführt, um das gegebene Passwort auszusprechen. Stimmt sowohl die Biometrie für die Stimme als auch das Token mit den erwarteten Werten überein, so wird die Aktion erlaubt und es wird kein Alarm erzeugt. Bei manchen Implementierungen wird erwartet, dass der Bediener das Token nach jedem Zugriff aktualisiert, um die Sicherheit zu verstärken. Zusätzliche Anti-Spoofing-Mechanismen können zur Sicherung der biometrischen Angriffe verwendet werden.
  • Die biometrische Authentifizierung kann in einer Edge-Plattform implementiert werden, die mehreren Edge-Clients zur Verfügung steht. Zur Verwendung der biometrischen Authentifizierungsfunktionen der Edge-Plattform werden mehrere Schnittstellen zwischen der Edge-Plattform (z. B. dem Edge-Knoten 422) und den Clients (z. B. den Client-Endpunkten 410) eingerichtet. Die Schnittstellen beinhalten eine Biometriekonfigurationsschnittstelle und eine Biometrieanforderungsschnittstelle.
  • Die Biometriekonfigurationsschnittstelle wird verwendet, um Regeln, Richtlinien und Konfigurationsdaten für die Edge-Plattform zu definieren. Die Biometriekonfigurationsschnittstelle kann einem Administratorbenutzer exponiert sein. Unter Verwendung der Biometriekonfigurationsschnittstelle kann der Administrator Zugriffsrechte verwalten, Caching-Richtlinien konfigurieren, gespeicherte biometrische Signaturen verwalten und eine andere Regelverwaltung in dem Biometriespeicherungscache 804 durchführen.
  • Regeln, die in dem Biometriespeicherungscache gespeichert sind, können eine Entitätskennung, eine Merkmalskennung, eine Biometrie-Forderung und Biometrieauthentifizierungsdaten beinhalten. Die Regeln können auch Zeit- und Datumsbeschränkungen beinhalten, sodass Entitäten, die Zugriff auf ein Merkmal anfordern, nur während zulässiger Zeiten oder Daten Zugriff gewährt werden kann.
  • Die Entitätskennung ist eine eindeutige Kennung, die mit einer Person, einem Roboter oder einer anderen Entität, der Zugriff auf eine Ressource gewährt werden kann, assoziiert ist. Die Entitätskennung kann eine beliebige Kennung, ein Benutzername, eine Medienzugriffssteuerung(MAC)-Adresse, eine IMSI-Nummer (IMSI: International Mobile Subscriber Identity - internationale Mobilteilnehmeridentität) oder dergleichen sein. Allgemein kann die Entitätskennung aus einer global eindeutigen Kennung (GUID) implementiert werden.
  • Die Merkmalskennung ist eine Kennung, die verwendet wird, um anzugeben, mit welchen Merkmalen, Elementen, Komponenten oder Assets die Entität interagieren darf. Merkmale können elektronische Komponenten beinhalten, wie etwa Speicher (z. B. DDR-Speichereinheiten), Speicherung (z. B. NVRAM, SSD-Laufwerke, Flash-Laufwerke), Netzwerkressourcen (z. B. Netzwerkschnittstellenkarten) oder dergleichen. Merkmale können Software- oder Firmware-Assets beinhalten, wie etwa BIOS (Basic Input Output System) oder UEFI (Unified Extensible Firmware Interface), Hardwaretreiber, Betriebssystemdateien, ausführbare Benutzerraum-Dateien oder dergleichen. Andere Merkmale können mit Merkmalskennungen definiert und enumeriert werden. Eine Entität kann Zugriff auf ein oder mehrere Merkmale haben.
  • Die Biometrie-Challenge (Challenge - Herausforderung) in den Regeln bezieht sich auf die Art der erfassten biometrischen Daten und wie diese erfasst werden. Beispielsweise kann die Biometrie-Challenge eine Videoidentifikation, eine Sprachauthentifikation, eine Fingerabdruckauthentifikation, eine Netzhautscanauthentifikation, eine Gesichtserkennungsauthentifikation oder dergleichen beinhalten. Es können mehrere Biometrie-Challenges in Kombination verwendet werden. Manche Biometrie-Challenges, wie etwa Gesichtserkennung, sind möglicherweise nicht auf bestimmte Arten von Entitäten, wie etwa Roboter, anwendbar. Bei Robotern können zusätzliche oder alternative Challenges verwendet werden, um den Roboter eindeutig zu identifizieren.
  • Roboter können mit Hardware-Root-of-Trust-Technologie erstellt sein, wie etwa PUFs (Physical Unclonable Function), die eine Entropiequelle und einen Mechanismus zum Speichern oder Erzeugen einer eindeutigen und nicht klonbaren Kennung enthält. Der Roboter kann auch Attestierungsfähigkeiten implementieren, die viele andere Eigenschaften des Roboters selbst prüfen und beschreiben (wie etwa seinen Autonomiemodus). Andere Charakteristiken können im Laufe der Zeit oder aufgrund von Abnutzung zu identifizierbaren oder charakteristischen Beobachtungen führen, können eine zuverlässige Form von Authentifizierung (wie etwa PUFs und HW-Root-of-Trust) erweitern, wie etwa Verwenden eines Mikrofons zum Horchen nach Betriebsgeräuschen, die für einen bestimmten Robotertyp charakteristisch sind, oder Bewegung, Latenz oder andere Aspekte der Roboterautonomie beobachten, die charakteristisch für den Robotertyp sind. Diese werden jedoch nicht als Authentifikatoren in einem Authentifizierungs-Challenge/Response-Protokoll als zuverlässig angesehen. Ferner können Roboter an interaktiven Lebenszeichentests, wie oben beschrieben, teilnehmen. Lebenszeichentests werden verwendet, wenn eine Authentifizierungs-Challenge etwas ist, die normalerweise von der Authentifizierungsinstanz wiedergegeben wird.
  • Die Biometrieauthentifizierungsdaten werden verwendet, um die durch den biometrischen Sensor in der Biometrie-Challenge empfangenen Informationen zu überprüfen. Die Biometrieauthentifizierungsdaten können ein Foto oder Bild des Gesichts einer Person zum Vergleichen mit Videodaten sein, die durch die Biometrie-Challenge empfangen werden. Bei den Biometrieauthentifizierungsdaten kann es sich um ein Modell handeln, das gespeichert und zum Vergleich mit detektierten Sensorwerten verwendet wird. Beispielsweise kann das Modell eine Reihe von Messungen von Merkmalen auf dem Gesicht einer Person sein. Die Messungen können ein Abstand zwischen Merkmalen oder Größe, Form, Farbe, Anzahl anderer Metriken von Merkmalen sein. Ähnliche Modelle können zum Beispiel für Blutgefäße einer Person in einer Retina, Rillen auf einem Finger oder Hautzellmuster auf einem Teil einer Hand konstruiert werden. Tonwerte können als ein bei der Sprachauthentifizierung zu vergleichendes Sprachmodell erfasst und gespeichert werden. Biometrische Identifikationsinformationen, die als Teil der Biometrieauthentifizierungsdaten gespeichert sind (auch als biometrische Vorlagendaten bezeichnet), können verschlüsselt oder anderweitig sicher gespeichert werden, um zu verhindern, dass unbefugte Lesevorgänge oder Kopiervorgänge vorgenommen werden, die während einer Challenge/Response wiedergegeben werden können, um den Benutzer zu imitieren.
  • Während der Authentifizierung kann der Edge-Knoten 800 mit anderen Peer-Edge-Knoten 812 eine Schnittstelle bilden, um Biometrieauthentifizierungsdaten zu erhalten. Jeder Edge-Knoten 800, 812 kann nur kürzlich verwendete Biometriedaten in dem Biometriespeicherungscache 804 speichern. Neuheit ist eine Eigenschaft, wie wahrscheinlich sich der Biometrie mit der Zeit ändern kann. Eine DNA-Sequenzierungs-Challenge ändert sich über das Leben der Person nicht wesentlich. Wohingegen sich ein Kapillarscan aufgrund einer Verletzung oder eines anderen biologischen Prozesses, der Gewebe repariert, signifikant ändern kann. Falls es daher einen Cache-Fehltreffer gibt, wenn eine Entität versucht, sich gegenüber dem Edge-Knoten 800 für einen Zugriff auf ein Merkmal zu authentifizieren, kann der Edge-Knoten 800 mit Peers in dem Edge-Netzwerk kommunizieren, um zu bestimmen, ob sie Biometriedaten bezüglich der Entität aufweisen. Wenn keiner der Edge-Knoten 800 die Biometriedaten aufweist, die zum Authentifizieren einer Entität benötigt werden, kann der Edge-Knoten 800 Biometriedaten von einer Kernvorrichtung (z. B. einem Orchestrator oder Verwaltungssystem) anfordern, auf die über ein Netzwerk 814 zugegriffen werden kann.
  • Die Grundidee besteht darin, dass, falls die gecachten Kopien biometrischer Vorlagendaten veraltet werden, eine Möglichkeit besteht, die Entität (Mensch / Roboter) zu lokalisieren, um eine neue biometrische Challenge anzufordern. Der Cache kann auch eine neuere „biometrische Vorlage“ speichern, die verwendet wird, um die biometrischen Challenge-Daten zu vergleichen. Die neuere biometrische Vorlage kann in einem Repositorium gespeichert sein, das durch einen Orchestrator oder durch eine Benutzervorrichtung (z. B. Mobiltelefon oder Smartcard des Benutzers) gesteuert wird. Der Orchestrator kann die biometrische Vorlage aus einer Smartcard-Kopie auffrischen, falls es einen sicheren Kanal zwischen ihnen gibt, wie etwa eine Benutzersubskriptionsvereinbarung, die das Einrichten von Schlüsseln involvierte, die zum Erzeugen eines sicheren Kanals verwendet werden. Alternativ dazu kann der Orchestrator einen Edge-Knoten mit biometrischen Sensoren, von denen der Orchestrator weiß, dass sie nicht kompromittiert sind, verwenden, um eine neue biometrische Vorlage zu erfassen. Diese neue biometrische Vorlage kann verwendet werden, um die Biometrische-Vorlagen-Caches für andere Edge-Knoten aufzuwärmen, die versuchen, eine biometrische Challenge-Response mit der Benutzer- oder Benutzeragentenhardware (z. B. Mobiltelefon/Smartcard) durchzuführen, die das Challenge-Ergebnis lokal gespeichert haben können. Typischerweise kann der Lebenszeichentest nicht gespeichert/gecacht werden und muss durchgeführt werden, wenn die biometrische Challenge an den Challenger geliefert wird.
  • 9 ist ein Flussdiagramm, das ein Verfahren 900 zum Authentifizieren einer Entität an einem Edge-Knoten veranschaulicht, gemäß einer Ausführungsform. Die Entität kann eine Person, ein Roboter oder eine andere Entität sein, die versucht, auf ein oder mehrere Merkmale einer Vorrichtung zuzugreifen, wobei der Zugriff auf die Vorrichtung teilweise durch den Edge-Knoten gesteuert wird. Typischerweise ist die Entität bei dem Edge-Knoten mit einer Zugriffskontrolldatenstruktur registriert. Die Zugriffskontrolldatenstruktur kann einen Datensatz beinhalten, der die Identifikation, den erlaubten Zugriff und Biometriedaten der Entität, die zum Authentifizieren der Entität verwendet werden, speichert.
  • Bei 902 präsentiert sich die Entität dem Edge-Knoten zur Authentifizierung. Die Entität kann eine eindeutige Kennung und eine Merkmalskennung bereitstellen. Die Merkmalskennung kann ein Name, eine Zahl, ein Bitvektor oder ein anderer Wert sein, der/die jene Merkmale angibt, für die die Entität einen Zugriff anfordert. Merkmale können Kategorien oder Aufgaben beinhalten, wie etwa Vorrichtungsaktualisierung, Firmware-Aktualisierung, Speicheraktualisierung, Betriebssystemaktualisierung oder dergleichen.
  • Bei 904 durchsucht der Edge-Knoten den Biometriespeicherungscache auf dem Edge-Knoten, um zu bestimmen, ob die Biometriedaten, die zum Authentifizieren der Entität benötigt werden, in dem Biometriespeicherungscache verfügbar sind. Falls dies der Fall ist, geht das Verfahren 900 bei Entscheidung 906 zu Operation 912 über.
  • Falls sich die Biometriedaten nicht in dem Biometriespeicherungscache befinden, dann fordert der Edge-Knoten bei 908 die Biometriedaten für die Entität von Peer-Edge-Knoten an. Falls ein Peer-Edge-Knoten in der Lage ist, die Biometriedaten für die Entität bereitzustellen, dann geht das Verfahren zu Operation 912 über. Falls dies nicht der Fall ist, dann fährt das Verfahren fort und bei 910 fordert der Edge-Knoten die Biometriedaten von einer Kernnetzwerkvorrichtung oder einem Kernnetzwerksystem an. Die Kernnetzwerkvorrichtung oder das Kernnetzwerksystem kann zum Beispiel ein Plattformanbieter oder ein Orchestrator sein. Die Kernnetzwerkvorrichtung oder das Kernnetzwerksystem stellt die Biometriedaten bereit und das Verfahren geht zu Operation 912 über. Aufgrund von Latenz, Bandbreitennutzung, Rechennutzung und anderen Faktoren ist das Anfordern der Biometriedaten von dem Kern weniger wünschenswert als das Anfordern der Biometriedaten von Peers.
  • Es wird bestimmt, welche Biometriedaten benötigt werden. Falls „biometrische Vorlagen“-Daten benötigt werden, dann können Peer-Edge-Knoten eine gecachte Kopie aufweisen, die noch nicht veraltet ist. Falls alle Peer-Knoten-Caches veraltete biometrische Vorlagen aufweisen, dann findet der „Kern“-Knoten oder Orchestrator die Vorlage aus der Langzeitspeicherungsressource des Benutzers. Falls die Vorlage abgelaufen ist, was bedeutet, dass sie jenseits der erwarteten Drift für den Biometrietyp liegt, dann wird der Benutzer aufgefordert, die Vorlage neu zu registrieren oder neu zu trainieren.
  • Falls Biometriedaten „biometrische Challenge“-Daten (d. h. „biometrische Proben“- oder „Proben“-Daten) sind, können die Peer-Knoten eine frische Probe aufweisen, die innerhalb der Zeit genommen wurde, in der eine Probe abläuft. Beispielsweise könnte eine Probe zehn Minuten lang gültig sein, nachdem sie genommen wurde. Ist die Probe nicht frisch, so muss der Benutzer erneut aufgefordert werden, um eine neue Probe zu erhalten. In manchen Fällen ist es möglich, sich darauf zu verlassen, dass die Vorrichtung des Benutzers periodisch einen Strom von Proben nimmt. Beispielsweise kann eine Mobiltelefonkamera mit Gesichtserkennungssensor jedes Mal abtasten, wenn Bewegung und Umgebungslicht oder Näherungssensoren detektieren, dass die Kamera auf das Gesicht des Benutzers zeigt.
  • Der Lebenszeichentest muss auch innerhalb des Probenablaufzeitraums durchgeführt werden. Dies kann für den Benutzer störender sein. Jedoch kann ein alternativer Sensor für die Lebenszeichen verwendet werden, wie etwa ein Herzfrequenzüberwachungssensor, der Kapillarscans durchführt, die mit einem Lebenszeichentest kombiniert werden können, der einen Gesichtsscan (oder eine frische gecachte Probe) verwendet. Dieser Mehrfaktor-Lebenszeichentest kombiniert mit Kopplungskontext (z. B. dass der Herzfrequenzüberwachungssensor mit dem Telefon gekoppelt ist) legt den vollen Kontext für die „Proben“-Daten fest.
  • Von daher greift der Edge-Knoten bei 912 auf verschiedene Sensoren zu, um biometrische Daten der Entität zu sammeln. Die Sensoren können von verschiedenen Typen sein, einschließlich unter anderem Kameras, Mikrofonen, Gewichtssensoren oder dergleichen. Die Entität kann mit dem Sensor interagieren, um die biometrischen Daten zu erhalten. Beispielsweise kann eine Person ihren Finger auf einem Fingerabdruckscanner halten oder ihr Gesicht nahe einem Netzhautscanner ruhen, um biometrische Daten bereitzustellen. Alternativ dazu kann der Sensor dazu ausgelegt sein, die biometrischen Daten ohne Beteiligung der Entität zu erhalten. Beispielsweise kann der Sensor eine Kamera sein, die Bilder des Gesichts der Person erfasst, wenn sie einen Raum betritt.
  • Die Authentifizierung des Sensors 914 ist ein zusätzlicher Schritt, der verifiziert, dass es einen vertrauenswürdigen Pfad zwischen dem Sensor und dem Root-of-Trust-Prozessor gibt, der den Rest der Authentifizierungsverarbeitung bearbeitet. Dementsprechend authentifiziert der Edge-Knoten bei 914 den Sensor oder die Sensoren, der/die zum Erhalten der biometrischen Daten verwendet wird/werden. Dies kann unter Verwendung von Attestierungsdaten, wie etwa einer Signatur, die durch die Sensorvorrichtung an den Edge-Knoten geliefert wird, durchgeführt werden. Der Edge-Knoten kann ein Register vertrauenswürdiger Sensorvorrichtungen aufweisen und eine Suche im Register durchführen, um die Sensorvorrichtung zu authentifizieren. Die Signatur kann ein Hash einer Firmware-Version, eine eindeutige Vorrichtungskennung, eine Betriebssystemversion oder andere eindeutig identifizierende Informationen der Sensorvorrichtung sein. Der Edge-Knoten kann eine Kooperation von Peer-Edge-Knoten oder von der Kernnetzwerkvorrichtung anfordern, den Sensor zu authentifizieren, falls der Sensor nicht sofort von dem Edge-Knoten erkannt wird.
  • Bei 916 vergleicht der Edge-Knoten, nachdem der Sensor authentifiziert wurde, die biometrischen Daten, die durch den Sensor erhalten wurden, mit den Biometriedaten, die in der Operation 904, 908 oder 910 abgerufen wurden. Falls es eine Übereinstimmung gibt, dann ist die Entität autorisiert, und bei 918 prüft der Edge-Knoten, ob die Entität auf das angeforderte Merkmal zugreifen kann. Falls ja, wird der Entität bei 920 Zugriff auf das angeforderte Merkmal gewährt. Falls die biometrische Prüfung fehlschlägt oder die Entität nicht auf das Merkmal zugreifen darf, dann wird der fehlgeschlagene Zugriff bei 922 protokolliert.
  • Um Zugriff auf das Merkmal zu gewähren, kann der Edge-Knoten ein Signal an eine Vorrichtung liefern, die einen Teil der Vorrichtung entsperren kann, damit die Entität auf das Merkmal zugreifen kann. Beispielsweise kann der Edge-Knoten einer Vorrichtung signalisieren, dass es der Entität erlaubt ist, auf das Gehäuse der Vorrichtung zuzugreifen, um neue Speichermodule (z. B. SIMM, DIMM, DDR-RAM usw.) zu installieren. Ein Gehäuse-Intrusionssystem kann für einen Zeitraum deaktiviert werden, um der Person zu ermöglichen, auf die Hauptplatine zuzugreifen und neue Speichermodule auszutauschen. Zusätzliche Zugriffsrechte können bereitgestellt werden, um auf dieses Merkmal zuzugreifen. Zum Beispiel muss die Person die Vorrichtung möglicherweise neu starten, um sicherzustellen, dass die Speichermodule vollständig und korrekt installiert sind. Die Person muss gegebenenfalls auch auf BIOS oder UEFI zugreifen, um das Speichermodul zu konfigurieren oder zu testen. Von daher können diese Merkmale temporär entsperrt werden, damit die Person die Speichermodule vollständig installiert und testet.
  • Anstatt die Biometriedaten von Peer-Edge-Knoten in Operation 908 zu kopieren, können die Peer-Edge-Knoten stattdessen eine Indikation bereitstellen, dass Biometriedaten verfügbar sind. Dann kann der Edge-Knoten später in Operation 916 die Sensordaten an den Peer-Edge-Knoten weitergeben, sodass diese gegen die Biometriedaten geprüft werden. Der Peer kann dann ein Authentifizierung-Bestanden- oder -Fehlgeschlagen-Signal zurückgeben.
  • 10 ist ein Flussdiagramm, das ein Verfahren 1000 für biometrische Sicherheit für eine Edge-Plattformverwaltung veranschaulicht, das in einer Edge-Rechenumgebung durchgeführt wird, gemäß einer Ausführungsform. Das Verfahren 1000 kann durch einen Edge-Knoten in einer Edge-Cloud durchgeführt werden, wie oben in 1 besprochen.
  • Bei 1002 empfängt ein Edge-Knoten in einem Edge-Netzwerk eine Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst.
  • In einer Ausführungsform umfasst das Merkmal ein Hardwareelement des Edge-Knotens. In einer weiteren Ausführungsform ist das Hardwareelement ein Speichermodul. In einer anderen Ausführungsform ist das Hardwareelement eine Speicherungsvorrichtung.
  • In einer Ausführungsform umfasst das Merkmal ein Softwareelement des Edge-Knotens. In einer weiteren Ausführungsform ist die Softwarekomponente ein Firmwareelement.
  • In einer Ausführungsform ist die Entität eine Person. In einer verwandten Ausführungsform ist die Entität ein Roboter.
  • Bei 1004 werden biometrische Daten der Entität empfangen. In einer Ausführungsform umfasst das Empfangen biometrischer Daten der Entität Zugreifen auf ein Bild der Entität und Analysieren des Bildes, um die biometrischen Daten zu erhalten.
  • In einer Ausführungsform umfasst das Empfangen biometrischer Daten der Entität Zugreifen auf ein Tonmuster der Entität und Analysieren des Tonmusters, um die biometrischen Daten zu erhalten.
  • In einer Ausführungsform umfasst das Empfangen biometrischer Daten der Entität Zugreifen auf einen Fingerabdruckscan der Entität und Analysieren des Fingerabdruckscans, um die biometrischen Daten zu erhalten.
  • Bei 1006 wird die Entität unter Verwendung der biometrischen Daten authentifiziert.
  • In einer Ausführungsform umfasst das Authentifizieren der Entität unter Verwendung der biometrischen Daten Bestimmen, dass biometrische Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind, und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten.
  • In einer Ausführungsform umfasst das Authentifizieren der Entität unter Verwendung der biometrischen Daten Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; Anfordern der biometrischen Authentifizierungsdaten von einem zweiten System; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten von dem zweiten System. In einer weiteren Ausführungsform ist das zweite System ein Peer-Edge-Knoten. In einer anderen Ausführungsform ist das zweite System eine Kernnetzwerkvorrichtung.
  • In einer Ausführungsform umfasst das Authentifizieren der Entität unter Verwendung der biometrischen Daten: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind, und Anfordern einer Authentifizierung der Entität von einem zweiten System, das Zugriff auf biometrische Authentifizierungsdaten für die Entität hat. In einer weiteren Ausführungsform ist das zweite System ein Peer-Edge-Knoten. In einer anderen Ausführungsform ist das zweite System eine Kernnetzwerkvorrichtung.
  • Bei 1008 wird als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten Zugriff auf das Merkmal basierend auf einem Überprüfen mittels einer Zugriffskontrollliste, die Entitätskennungen beinhaltet, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung gewährt.
  • In einer Ausführungsform umfasst das Gewähren von Zugriff auf das Merkmal, dass ein Gehäuse entsperrt wird, um physischen Zugriff auf das Gehäuse bereitzustellen. In einer anderen Ausführungsform umfasst das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff zu einem BIOS(Basic Input Output)-System des Edge-Knotens. In einer anderen Ausführungsform umfasst das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf ein Betriebssystem des Edge-Knotens. In einer anderen Ausführungsform umfasst das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf eine Anwendung, die auf dem Edge-Knoten ausgeführt wird. In einer anderen Ausführungsform umfasst das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf einen physischen Raum, in dem der Edge-Knoten installiert ist.
  • Es versteht sich, dass die in dieser Schrift beschriebenen funktionalen Einheiten oder Fähigkeiten als Komponenten oder Module bezeichnet oder beschriftet worden sein können, um insbesondere ihre Implementierungsunabhängigkeit hervorzuheben. Solche Komponenten können durch eine beliebige Anzahl von Software- oder Hardwareformen umgesetzt werden. Beispielsweise kann eine Komponente oder ein Modul als eine Hardwareschaltung implementiert werden, die angepasste VLSI(Very-Large-Scale-Integration)-Schaltungen oder Gate-Arrays, handelsübliche Halbleiter, wie etwa Logikchips, Transistoren oder andere diskrete Komponenten, umfasst. Eine Komponente oder ein Modul kann auch in programmierbaren Hardwarevorrichtungen implementiert werden, wie etwa feldprogrammierbaren Gate-Arrays, programmierbarer Arraylogik, programmierbaren Logikvorrichtungen oder dergleichen. Komponenten oder Module können auch in Software zur Ausführung durch verschiedene Arten von Prozessoren implementiert werden. Eine identifizierte Komponente oder ein identifiziertes Modul aus ausführbarem Code kann beispielsweise einen oder mehrere physische oder logische Blöcke von Computeranweisungen umfassen, die beispielsweise als ein Objekt, eine Prozedur oder eine Funktion organisiert sein können. Nichtsdestotrotz müssen die ausführbaren Elemente einer identifizierten Komponente oder eines identifizierten Moduls nicht physisch zusammen lokalisiert sein, sondern können unterschiedliche Anweisungen umfassen, die an verschiedenen Orten gespeichert sind, die, wenn sie logisch miteinander verbunden sind, die Komponente oder das Modul umfassen und den angegebenen Zweck für die Komponente oder das Modul erfüllen.
  • Tatsächlich kann eine Komponente oder ein Modul eines ausführbaren Codes eine einzige Anweisung oder viele Anweisungen sein und kann sogar über mehrere verschiedene Codesegmente, unter verschiedenen Programmen und über einige Speichervorrichtungen oder Verarbeitungssysteme hinweg verteilt sein. Insbesondere können manche Aspekte des beschriebenen Prozesses (wie etwa Codeumschreiben und Codeanalyse) auf einem anderen Verarbeitungssystem (z. B. in einem Computer in einem Datenzentrum) als jenem stattfinden, in dem der Code eingesetzt wird (z. B. in einem Computer, der in einen Sensor oder Roboter eingebettet ist). Auf ähnliche Weise können Betriebsdaten hierin innerhalb von Komponenten oder Modulen identifiziert und veranschaulicht werden und können in einer beliebigen geeigneten Form umgesetzt und in einer beliebigen geeigneten Art von Datenstruktur organisiert sein. Die Betriebsdaten können als ein einziger Datensatz erfasst werden oder können über verschiedene Orte, einschließlich über verschiedene Speicherungsvorrichtungen, verteilt werden und können zumindest teilweise lediglich als elektronische Signale in einem System oder Netzwerk existieren. Die Komponenten oder Module können passiv oder aktiv sein, einschließlich Agenten, die dazu betreibbar sind, gewünschte Funktionen auszuführen.
  • Zusätzliche Beispiele der vorliegend beschriebenen Verfahrens-, System- und Vorrichtungsausführungsformen beinhalten die folgenden, nicht beschränkenden Implementierungen. Jedes der folgenden nicht einschränkenden Beispiele kann für sich allein stehen oder kann in einer beliebigen Permutation oder Kombination mit einem oder mehreren beliebigen der anderen Beispiele, die unten oder in der gesamten vorliegenden Offenbarung bereitgestellt werden, kombiniert werden.
  • Zusätzliche Anmerkungen & Beispiele:
  • Beispiel 1 ist ein Edge-Cloud-System zum Implementieren biometrischer Sicherheit zur Edge-Plattformverwaltung, umfassend: einen biometrischen Sensor; und einen Edge-Knoten in einem Edge-Netzwerk, wobei der Edge-Knoten ausgelegt ist zum: Empfangen einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen, von dem biometrischen Sensor, biometrischen Daten der Entität; Authentifizieren der Entität unter Verwendung der biometrischen Daten; und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren von Zugriff auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen beinhaltet, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
  • In Beispiel 2 beinhaltet der Gegenstand von Beispiel 1, wobei die Entität eine Person ist.
  • In Beispiel 3 beinhaltet der Gegenstand der Beispiele 1-2, wobei die Entität ein Roboter ist.
  • In Beispiel 4 beinhaltet der Gegenstand der Beispiele 1-3, wobei das Merkmal ein Hardwareelement des Edge-Knotens umfasst.
  • In Beispiel 5 beinhaltet der Gegenstand des Beispiels 4, wobei das Hardwareelement ein Speichermodul ist.
  • In Beispiel 6 beinhaltet der Gegenstand der Beispiele 4-5, wobei das Hardwareelement eine Speicherungsvorrichtung ist.
  • In Beispiel 7 beinhaltet der Gegenstand der Beispiele 1-6, wobei das Merkmal ein Softwareelement des Edge-Knotens umfasst.
  • In Beispiel 8 beinhaltet der Gegenstand von Beispiel 7, wobei die Softwarekomponente ein Firmwareelement ist.
  • In Beispiel 9 beinhaltet der Gegenstand der Beispiele 1-8, wobei der biometrische Sensor eine Kamera ist und wobei zum Empfangen biometrischer Daten der Entität der biometrische Sensor ausgelegt ist zum: Zugreifen auf ein Bild der Entität; und Analysieren des Bildes, um die biometrischen Daten zu erhalten.
  • In Beispiel 10 beinhaltet der Gegenstand der Beispiele 1-9, wobei der biometrische Sensor ein Mikrofon ist, und wobei zum Empfangen biometrischer Daten der Entität der biometrische Sensor ausgelegt ist zum: Zugreifen auf ein Tonmuster der Entität; und Analysieren des Tonmusters, um die biometrischen Daten zu erhalten.
  • In Beispiel 11 beinhaltet der Gegenstand der Beispiele 1-10, wobei der biometrische Sensor ein Fingerabdruckscanner ist, und wobei zum Empfangen biometrischer Daten der Entität der biometrische Sensor ausgelegt ist zum: Zugreifen auf einen Fingerabdruckscan der Entität; und Analysieren des Fingerabdruckscans, um die biometrischen Daten zu erhalten.
  • In Beispiel 12 beinhaltet der Gegenstand der Beispiele 1-11, wobei zum Authentifizieren der Entität unter Verwendung der biometrischen Daten der Edge-Knoten Folgendes ausgelegt ist zum: Bestimmen, dass biometrische Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten.
  • In Beispiel 13 beinhaltet der Gegenstand der Beispiele 1-12, wobei zum Authentifizieren der Entität unter Verwendung der biometrischen Daten der Edge-Knoten ausgelegt ist zum: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; Anfordern der biometrischen Authentifizierungsdaten von einem zweiten System in dem Edge-Cloud-System; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten von dem zweiten System.
  • In Beispiel 14 beinhaltet der Gegenstand von Beispiel 13, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 15 beinhaltet der Gegenstand der Beispiele 13-14, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 16 beinhaltet der Gegenstand der Beispiele 1-15, wobei zum Authentifizieren der Entität unter Verwendung der biometrischen Daten der Edge-Knoten ausgelegt ist zum: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Anfordern einer Authentifizierung der Entität von einem zweiten System, das Zugriff auf biometrische Authentifizierungsdaten für die Entität hat.
  • In Beispiel 17 beinhaltet der Gegenstand von Beispiel 16, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 18 beinhaltet der Gegenstand der Beispiele 16-17, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 19 beinhaltet der Gegenstand der Beispiele 1-18, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Veranlassen, dass ein Gehäuse entsperrt wird, um physischen Zugriff auf das Gehäuse bereitzustellen.
  • In Beispiel 20 beinhaltet der Gegenstand der Beispiele 1-19, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf ein BIOS(Basic Input Output)-System des Edge-Knotens.
  • In Beispiel 21 beinhaltet der Gegenstand der Beispiele 1-20, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf ein Betriebssystem des Edge-Knotens.
  • In Beispiel 22 beinhaltet der Gegenstand der Beispiele 1-21, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf eine Anwendung, die auf dem Edge-Knoten ausgeführt wird.
  • In Beispiel 23 beinhaltet der Gegenstand der Beispiele 1-22, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf einen physischen Raum, in dem der Edge-Knoten installiert ist.
  • Beispiel 24 ist ein Verfahren für biometrische Sicherheit zur Edge-Plattformverwaltung, das in einer Edge-Rechenumgebung ausgeführt wird, umfassend: Empfangen, an einem Edge-Knoten in einem Edge-Netzwerk, einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen biometrischer Daten der Entität; Authentifizieren der Entität unter Verwendung der biometrischen Daten, und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren von Zugriff auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
  • In Beispiel 25 beinhaltet der Gegenstand von Beispiel 24, wobei die Entität eine Person ist.
  • In Beispiel 26 beinhaltet der Gegenstand der Beispiele 24-25, wobei die Entität ein Roboter ist.
  • In Beispiel 27 beinhaltet der Gegenstand der Beispiele 24-26, wobei das Merkmal ein Hardwareelement des Edge-Knotens umfasst.
  • In Beispiel 28 beinhaltet der Gegenstand des Beispiels 27, wobei das Hardwareelement ein Speichermodul ist.
  • In Beispiel 29 beinhaltet der Gegenstand der Beispiele 27-28, wobei das Hardwareelement eine Speicherungsvorrichtung ist.
  • In Beispiel 30 beinhaltet der Gegenstand der Beispiele 24-29, wobei das Merkmal ein Softwareelement des Edge-Knotens umfasst.
  • In Beispiel 31 beinhaltet der Gegenstand von Beispiel 30, wobei die Softwarekomponente ein Firmwareelement ist.
  • In Beispiel 32 beinhaltet der Gegenstand der Beispiele 24-31, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf ein Bild der Entität; und Analysieren des Bildes, um die biometrischen Daten zu erhalten.
  • In Beispiel 33 beinhaltet der Gegenstand der Beispiele 24-32, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf ein Tonmuster der Entität; und Analysieren des Tonmusters, um die biometrischen Daten zu erhalten.
  • In Beispiel 34 beinhaltet der Gegenstand der Beispiele 24-33, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf einen Fingerabdruckscan der Entität; und Analysieren des Fingerabdruckscans, um die biometrischen Daten zu erhalten.
  • In Beispiel 35 beinhaltet der Gegenstand der Beispiele 24 bis 34, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass biometrische Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten.
  • In Beispiel 36 beinhaltet der Gegenstand der Beispiele 24-35, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; Anfordern der biometrischen Authentifizierungsdaten von einem zweiten System; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten von dem zweiten System.
  • In Beispiel 37 beinhaltet der Gegenstand von Beispiel 36, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 38 beinhaltet der Gegenstand der Beispiele 36-37, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 39 beinhaltet der Gegenstand der Beispiele 24-38, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Anfordern einer Authentifizierung der Entität von einem zweiten System, das Zugriff auf biometrische Authentifizierungsdaten für die Entität hat.
  • In Beispiel 40 beinhaltet der Gegenstand von Beispiel 39, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 41 beinhaltet der Gegenstand der Beispiele 39-40, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 42 beinhaltet der Gegenstand der Beispiele 24-41, wobei das Gewähren von Zugriff auf das Merkmal Veranlassen, dass ein Gehäuse entsperrt wird, umfasst, um physischen Zugriff auf das Gehäuse bereitzustellen.
  • In Beispiel 43 beinhaltet der Gegenstand der Beispiele 24-42, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf ein BIOS(Basic Input Output)-System des Edge-Knotens umfasst.
  • In Beispiel 44 beinhaltet der Gegenstand der Beispiele 24-43, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf ein Betriebssystem des Edge-Knotens umfasst.
  • In Beispiel 45 beinhaltet der Gegenstand der Beispiele 24-44, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf eine Anwendung umfasst, die auf dem Edge-Knoten ausgeführt wird.
  • In Beispiel 46 beinhaltet der Gegenstand der Beispiele 24-45, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf einen physischen Raum, in dem der Edge-Knoten installiert ist, umfasst.
  • Beispiel 47 ist ein Edge-Rechensystem, das mehrere Edge-Rechenknoten umfasst, wobei die mehreren Edge-Rechenknoten mit den biometrischen Sicherheitsverfahren nach einem der Beispiele 24 bis 46 konfiguriert sind.
  • Beispiel 48 ist ein Edge-Rechenknoten, der in einem Edge-Rechensystem betreibbar ist und Verarbeitungsschaltungsanordnungen umfasst, die dazu ausgelegt sind, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 49 ist ein Edge-Rechenknoten, der als ein Server in einem Edge-Rechensystem betreibbar ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 durchzuführen.
  • Beispiel 50 ist ein Edge-Rechenknoten, der als ein Client in einem Edge-Rechensystem betreibbar ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 durchzuführen.
  • Beispiel 51 ist ein Edge-Rechenknoten, der in einer Schicht eines Edge-Rechennetzwerks als ein Aggregationsknoten, Netzwerkhubknoten, Gateway-Knoten oder Kerndatenverarbeitungsknoten betreibbar ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 durchzuführen.
  • Beispiel 52 ist ein Edge-Rechennetzwerk, das Networking- und Verarbeitungskomponenten umfasst, die dazu ausgelegt sind, ein Kommunikationsnetzwerk bereitzustellen oder zu betreiben, um einem Edge-Rechensystem zu ermöglichen, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 53 ist ein Zugangspunkt, der Networking- und Verarbeitungskomponenten umfasst, die dazu ausgelegt sind, ein Kommunikationsnetzwerk bereitzustellen oder zu betreiben, um es einem Edge-Rechensystem zu ermöglichen, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 54 ist eine Basisstation, die Networking- und Verarbeitungskomponenten umfasst, die dazu ausgelegt sind, ein Kommunikationsnetzwerk bereitzustellen oder zu betreiben, um es einem Edge-Rechensystem zu ermöglichen, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 55 ist eine Straßenrandeinheit, die Networking-Komponenten umfasst, die dazu ausgelegt sind, ein Kommunikationsnetzwerk bereitzustellen oder zu betreiben, um es einem Edge-Rechensystem zu ermöglichen, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 56 ist ein Vor-Ort-Server, der in einem privaten Kommunikationsnetzwerk betreibbar ist, das sich von einem öffentlichen Edge-Rechennetzwerk unterscheidet, wobei der Server dazu ausgelegt ist, einem Edge-Rechensystem zu ermöglichen, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 57 ist ein 3GPP-4G-/LTE-Mobildrahtloskommunikationssystem, das Networking- und Verarbeitungskomponenten umfasst, die mit den biometrischen Sicherheitsverfahren nach einem der Beispiele 24 bis 46 konfiguriert sind.
  • Beispiel 58 ist ein 5G-Netzwerk-Mobildrahtloskommunikationssystem, das Networking- und Verarbeitungskomponenten umfasst, die mit den biometrischen Sicherheitsverfahren nach einem der Beispiele 24 bis 46 konfiguriert sind.
  • Beispiel 59 ist eine Benutzergerätevorrichtung, die Networking- und Verarbeitungsschaltungsanordnungen umfasst, die dazu konfiguriert sind, sich mit einem Edge-Rechensystem zu verbinden, das dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 60 ist eine Client-Rechenvorrichtung, die eine Verarbeitungsschaltungsanordnung umfasst, die dazu ausgelegt ist, Rechenoperationen mit einem Edge-Rechensystem zu koordinieren, wobei das Edge-Rechensystem dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 61 ist ein Edge-Bereitstellungsknoten, der in einem Edge-Rechensystem betreibbar ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 62 ist ein Dienstorchestrierungsknoten, der in einem Edge-Rechensystem betreibbar ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 63 ist ein Anwendungsorchestrierungsknoten, der in einem Edge-Rechensystem betreibbar ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 64 ist ein Multi-Mandanten-Verwaltungsknoten, der in einem Edge-Rechensystem betreibbar ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 65 ist ein Edge-Rechensystem, das eine Verarbeitungsschaltungsanordnung umfasst, wobei das Edge-Rechensystem dazu ausgelegt ist, eine(n) oder mehrere Funktionen und Dienste zu betreiben, um eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 66 ist Networking-Hardware mit darauf implementierten Netzwerkfunktionen, die innerhalb eines Edge-Rechensystems betreibbar ist und mit den biometrischen Sicherheitsverfahren nach einem der Beispiele 24 bis 46 konfiguriert ist.
  • Beispiel 67 ist Beschleunigungshardware mit darauf implementierten Beschleunigungsfunktionen, die in einem Edge-Rechensystem betreibbar sind, wobei die Beschleunigungsfunktionen dazu ausgelegt sind, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 68 ist Speicherungshardware mit darauf implementierten Speicherungsfähigkeiten, die in einem Edge-Rechensystem betreibbar ist, wobei die Speicherungshardware dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 69 ist Berechnungshardware mit darauf implementierten Rechenfähigkeiten, die in einem Edge-Rechensystem betreibbar ist, wobei die Berechnungshardware dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 70 ist ein Edge-Rechensystem, das zum Unterstützen von Fahrzeug-zu-Fahrzeug(V2V)-, Fahrzeug-zu-Allem(V2X)- oder Fahrzeug-zu-Infrastruktur(V2I)-Szenarien eingerichtet ist und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 71 ist ein Edge-Rechensystem, das zum Arbeiten gemäß einer oder mehreren ETSI(European Telecommunications Standards Institute)-Multi-Access-Edge-Computing(MEC)-Spezifikationen eingerichtet ist, wobei das Edge-Rechensystem dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 72 ist ein Edge-Rechensystem, das zum Betreiben einer oder mehrerer Multi-Access-Edge-Computing(MEC)-Komponenten eingerichtet ist, wobei die MEC-Komponenten von einem oder mehreren der Folgenden bereitgestellt werden: einem MEC-Proxy, einem MEC-Anwendungsorchestrator, einer MEC-Anwendung, einer MEC-Plattform oder einem MEC-Dienst gemäß einer ETSI(European Telecommunications Standards Institute)-Multi-Access-Edge-Computing(MEC)-Konfiguration, wobei die MEC-Komponenten dazu ausgelegt sind, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 73 ist ein Edge-Rechensystem, das als ein Edge-Mesh konfiguriert ist, das mit einem Mikrodienstcluster, einem Mikrodienstcluster mit Sidecars oder verknüpften Mikrodienstclustern mit Sidecars versehen ist, das dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 74 ist ein Edge-Rechensystem, das eine Schaltungsanordnung umfasst, die dazu ausgelegt ist, eine oder mehrere Isolationsumgebungen zu implementieren, die unter dedizierter Hardware, virtuellen Maschinen, Containern, virtuellen Maschinen auf Containern bereitgestellt werden, die dazu ausgelegt sind, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 75 ist ein Edge-Rechenserver, der zum Betrieb als ein Unternehmens server, Straßenrandserver, Kabelverteilerkastenserver oder Telekommunikationsserver konfiguriert ist, der dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 76 ist ein Edge-Rechensystem, das dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 mit Verwendungsfällen zu implementieren, die von einem oder mehreren der Folgenden bereitgestellt werden: Rechen-Offload, Daten-Caching, Videoverarbeitung, Netzwerkfunktionsvirtualisierung, Funkzugangsnetzverwaltung, erweiterte Realität, virtuelle Realität, autonomes Fahren, Fahrzeugassistenz, Fahrzeugkommunikation, industrielle Automatisierung, Einzelhandelsdienste, Herstellungsoperationen, Smart-Gebäude, Energiemanagement, Internet-der-Dinge-Operationen, Objektdetektion, Spracherkennung, Gesundheitswesensanwendungen, Gaming-Anwendungen oder beschleunigte Inhaltsverarbeitung.
  • Beispiel 77 ist ein Edge-Rechensystem, das Rechenknoten umfasst, die von mehreren Eigentümern an unterschiedlichen geografischen Orten betrieben werden, und dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 78 ist ein Cloud-Rechensystem, das Datenserver umfasst, die jeweilige Cloud-Dienste betreiben, wobei die jeweiligen Cloud-Dienste dazu ausgelegt sind, mit einem Edge-Rechensystem zu koordinieren, um eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 79 ist ein Server, der Hardware zum Betreiben von Cloudlet-, Edgelet- oder Applet-Diensten umfasst, wobei die Dienste dazu ausgelegt sind, mit einem Edge-Rechensystem zu koordinieren, um eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 80 ist ein Edge-Knoten in einem Edge-Rechensystem, das eine oder mehrere Vorrichtungen mit mindestens einem Prozessor und Speicher umfasst, um eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 81 ist ein Edge-Knoten in einem Edge-Rechensystem, wobei der Edge-Knoten einen oder mehrere Dienste betreibt, die aus Folgendem bereitgestellt werden: einem Verwaltungskonsolendienst, einem Telemetriedienst, einem Bereitstellungsdienst, einem Anwendungs- oder Dienstorchestrierungsdienst, einem Virtuelle-Maschine-Dienst, einem Container-Dienst, einem Funktionseinsatzdienst oder einem Recheneinsatzdienst oder einem Beschleunigungsverwaltungsdienst, wobei der eine oder die mehreren Dienste dazu ausgelegt sind, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 82 ist ein Satz verteilter Edge-Knoten, die unter einer Netzwerkschicht eines Edge-Rechensystems verteilt sind, wobei die Netzwerkschicht eine Close-Edge-, Local-Edge-, Enterprise-Edge-, On-Premise-Edge-, Near-Edge-, Middle-Edge- oder Far-Edge-Netzwerkschicht umfasst, die dazu ausgelegt ist, eines der Verfahren der Beispiele 24 bis 46 zu implementieren.
  • Beispiel 83 ist eine Einrichtung eines Edge-Rechensystems, die Folgendes umfasst: einen oder mehrere Prozessoren und ein oder mehrere computerlesbare Medien, die Anweisungen umfassen, die, wenn sie durch den einen oder die mehreren Prozessoren ausgeführt werden, bewirken, dass der eine oder die mehreren Prozessoren eines der Verfahren der Beispiele 24 bis 46 ausführen.
  • Beispiel 84 ist ein oder mehrere computerlesbare Speicherungsmedien, die Anweisungen umfassen, um zu bewirken, dass eine elektronische Vorrichtung eines Edge-Rechensystems bei Ausführung der Anweisungen durch einen oder mehrere Prozessoren der elektronischen Vorrichtung eines der Verfahren der Beispiele 24 bis 46 durchführt.
  • Beispiel 85 ist ein Kommunikationssignal, das in einem Edge-Rechensystem kommuniziert wird, um eines der Verfahren der Beispiele 24 bis 46 auszuführen.
  • Beispiel 86 ist eine Datenstruktur, die in einem Edge-Rechensystem kommuniziert wird, wobei die Datenstruktur ein Datagramm, ein Paket, ein Frame, ein Segment, eine Protokolldateneinheit (PDU) oder eine Nachricht umfasst, um eines der Verfahren der Beispiele 24 bis 46 auszuführen.
  • Beispiel 87 ist ein Signal, das in einem Edge-Rechensystem kommuniziert wird, wobei das Signal mit einem Datagramm, einem Paket, einem Frame, einem Segment, einer Protokolldateneinheit (PDU), einer Nachricht oder Daten codiert ist, um eines der Verfahren der Beispiele 24 bis 46 auszuführen.
  • Beispiel 88 ist ein elektromagnetisches Signal, das in einem Edge-Rechensystem kommuniziert wird, wobei das elektromagnetische Signal computerlesbare Anweisungen führt, wobei die Ausführung der computerlesbaren Anweisungen durch einen oder mehrere Prozessoren bewirkt, dass der eine oder die mehreren Prozessoren eines der Verfahren der Beispiele 24 bis 46 durchführen.
  • Beispiel 89 ist ein Computerprogramm, das in einem Edge-Rechensystem verwendet wird, wobei das Computerprogramm Anweisungen umfasst, wobei die Ausführung des Programms durch ein Verarbeitungselement in dem Edge-Rechensystem bewirken soll, dass das Verarbeitungselement eines der Verfahren der Beispiele 24 bis 46 durchführt.
  • Beispiel 90 ist eine Einrichtung eines Edge-Rechensystems, die Mittel zum Durchführen eines der Verfahren der Beispiele 24 bis 46 umfasst.
  • Beispiel 91 ist eine Einrichtung eines Edge-Rechensystems, die Logik, Module oder eine Schaltungsanordnung zum Durchführen eines der Verfahren der Beispiele 24 bis 46 umfasst.
  • Beispiel 92 ist ein System für biometrische Sicherheit zur Edge-Plattformverwaltung, das in einer Edge-Rechenumgebung ausgeführt wird, umfassend: einen Prozessor; und Speicher, der Anweisungen beinhaltet, die, wenn sie durch den Prozessor ausgeführt werden, bewirken, dass der Prozessor Operationen durchführt, die Folgendes umfassen: Empfangen, an einem Edge-Knoten in einem Edge-Netzwerk, einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen biometrischer Daten der Entität; Authentifizieren der Entität unter Verwendung der biometrischen Daten; und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren des Zugriffs auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
  • In Beispiel 93 beinhaltet der Gegenstand von Beispiel 92, wobei die Entität eine Person ist.
  • In Beispiel 94 beinhaltet der Gegenstand der Beispiele 92-93, wobei die Entität ein Roboter ist.
  • In Beispiel 95 beinhaltet der Gegenstand der Beispiele 92-94, wobei das Merkmal ein Hardwareelement des Edge-Knotens umfasst.
  • In Beispiel 96 beinhaltet der Gegenstand des Beispiels 95, wobei das Hardwareelement ein Speichermodul ist.
  • In Beispiel 97 beinhaltet der Gegenstand der Beispiele 95-96, wobei das Hardwareelement eine Speicherungsvorrichtung ist.
  • In Beispiel 98 beinhaltet der Gegenstand der Beispiele 92-97, wobei das Merkmal ein Softwareelement des Edge-Knotens umfasst.
  • In Beispiel 99 beinhaltet der Gegenstand von Beispiel 98, wobei die Softwarekomponente ein Firmwareelement ist.
  • In Beispiel 100 beinhaltet der Gegenstand der Beispiele 92-99, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf ein Bild der Entität; und Analysieren des Bildes, um die biometrischen Daten zu erhalten.
  • In Beispiel 101 beinhaltet der Gegenstand der Beispiele 92-100, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf ein Tonmuster der Entität; und Analysieren des Tonmusters, um die biometrischen Daten zu erhalten.
  • In Beispiel 102 beinhaltet der Gegenstand der Beispiele 92-101, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf einen Fingerabdruckscan der Entität; und Analysieren des Fingerabdruckscans, um die biometrischen Daten zu erhalten.
  • In Beispiel 103 beinhaltet der Gegenstand der Beispiele 92 bis 102, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass biometrische Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten.
  • In Beispiel 104 beinhaltet der Gegenstand der Beispiele 92-103, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; Anfordern der biometrischen Authentifizierungsdaten von einem zweiten System; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten von dem zweiten System.
  • In Beispiel 105 beinhaltet der Gegenstand von Beispiel 104, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 106 beinhaltet der Gegenstand der Beispiele 104-105, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 107 beinhaltet der Gegenstand der Beispiele 92-106, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Anfordern einer Authentifizierung der Entität von einem zweiten System, das Zugriff auf biometrische Authentifizierungsdaten für die Entität hat.
  • In Beispiel 108 beinhaltet der Gegenstand von Beispiel 107, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 109 beinhaltet der Gegenstand der Beispiele 107-108, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 110 beinhaltet der Gegenstand der Beispiele 92-109, wobei das Gewähren von Zugriff auf das Merkmal Veranlassen, dass ein Gehäuse entsperrt wird, umfasst, um physischen Zugriff auf das Gehäuse bereitzustellen.
  • In Beispiel 111 beinhaltet der Gegenstand der Beispiele 92-110, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf ein BIOS(Basic Input Output)-System des Edge-Knotens umfasst.
  • In Beispiel 112 beinhaltet der Gegenstand der Beispiele 92-111, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf ein Betriebssystem des Edge-Knotens umfasst.
  • In Beispiel 113 beinhaltet der Gegenstand der Beispiele 92-112, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf eine Anwendung umfasst, die auf dem Edge-Knoten ausgeführt wird.
  • In Beispiel 114 beinhaltet der Gegenstand der Beispiele 92-113, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf einen physischen Raum, in dem der Edge-Knoten installiert ist, umfasst.
  • Beispiel 115 ist mindestens ein maschinenlesbares Medium, das Anweisungen für biometrische Sicherheit zur Edge-Plattformverwaltung, die in einer Edge-Rechenumgebung ausgeführt wird, beinhaltet, die, wenn sie durch eine Maschine ausgeführt werden, bewirken, dass die Maschine Operationen ausführt, die Folgendes umfassen: Empfangen, an einem Edge-Knoten in einem Edge-Netzwerk, einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen biometrischer Daten der Entität; Authentifizieren der Entität unter Verwendung der biometrischen Daten; und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren des Zugriffs auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
  • In Beispiel 116 beinhaltet der Gegenstand von Beispiel 115, wobei die Entität eine Person ist.
  • In Beispiel 117 beinhaltet der Gegenstand der Beispiele 115-116, wobei die Entität ein Roboter ist.
  • In Beispiel 118 beinhaltet der Gegenstand der Beispiele 115-117, wobei das Merkmal ein Hardwareelement des Edge-Knotens umfasst.
  • In Beispiel 119 beinhaltet der Gegenstand des Beispiels 118, wobei das Hardwareelement ein Speichermodul ist.
  • In Beispiel 120 beinhaltet der Gegenstand der Beispiele 118-119, wobei das Hardwareelement eine Speicherungsvorrichtung ist.
  • In Beispiel 121 beinhaltet der Gegenstand der Beispiele 115-120, wobei das Merkmal ein Softwareelement des Edge-Knotens umfasst.
  • In Beispiel 122 beinhaltet der Gegenstand von Beispiel 121, wobei die Softwarekomponente ein Firmwareelement ist.
  • In Beispiel 123 beinhaltet der Gegenstand der Beispiele 115-122, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf ein Bild der Entität; und Analysieren des Bildes, um die biometrischen Daten zu erhalten.
  • In Beispiel 124 beinhaltet der Gegenstand der Beispiele 115-123, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf ein Tonmuster der Entität; und Analysieren des Tonmusters, um die biometrischen Daten zu erhalten.
  • In Beispiel 125 beinhaltet der Gegenstand der Beispiele 115-124, wobei das Empfangen biometrischer Daten der Entität Folgendes umfasst: Zugreifen auf einen Fingerabdruckscan der Entität; und Analysieren des Fingerabdruckscans, um die biometrischen Daten zu erhalten.
  • In Beispiel 126 beinhaltet der Gegenstand der Beispiele 115 bis 125, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass biometrische Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten.
  • In Beispiel 127 beinhaltet der Gegenstand der Beispiele 115-126, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; Anfordern der biometrischen Authentifizierungsdaten von einem zweiten System; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten von dem zweiten System.
  • In Beispiel 128 beinhaltet der Gegenstand von Beispiel 127, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 129 beinhaltet der Gegenstand der Beispiele 127-128, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 130 beinhaltet der Gegenstand der Beispiele 115-129, wobei das Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Anfordern einer Authentifizierung der Entität von einem zweiten System, das Zugriff auf biometrische Authentifizierungsdaten für die Entität hat.
  • In Beispiel 131 beinhaltet der Gegenstand von Beispiel 130, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 132 beinhaltet der Gegenstand der Beispiele 130-131, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 133 beinhaltet der Gegenstand der Beispiele 115-132, wobei das Gewähren von Zugriff auf das Merkmal Veranlassen, dass ein Gehäuse entsperrt wird, umfasst, um physischen Zugriff auf das Gehäuse bereitzustellen.
  • In Beispiel 134 beinhaltet der Gegenstand der Beispiele 115-133, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf ein BIOS(Basic Input Output)-System des Edge-Knotens umfasst.
  • In Beispiel 135 beinhaltet der Gegenstand der Beispiele 115-134, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf ein Betriebssystem des Edge-Knotens umfasst.
  • In Beispiel 136 beinhaltet der Gegenstand der Beispiele 115-135, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf eine Anwendung umfasst, die auf dem Edge-Knoten ausgeführt wird.
  • In Beispiel 137 beinhaltet der Gegenstand der Beispiele 115-136, wobei das Gewähren von Zugriff auf das Merkmal Bereitstellen von Zugriff auf einen physischen Raum, in dem der Edge-Knoten installiert ist, umfasst.
  • Beispiel 138 ist eine Einrichtung zum Bereitstellen biometrischer Sicherheit zur Edge-Plattformverwaltung, die in einer Edge-Rechenumgebung durchgeführt wird, wobei die Einrichtung Folgendes umfasst: Mittel zum Empfangen, an einem Edge-Knoten in einem Edge-Netzwerk, einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Mittel zum Empfangen biometrischer Daten der Entität; Mittel zum Authentifizieren der Entität unter Verwendung der biometrischen Daten; und Mittel zum, als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren des Zugriffs auf das Merkmal basierend auf eine Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
  • In Beispiel 139 beinhaltet der Gegenstand von Beispiel 138, wobei die Entität eine Person ist.
  • In Beispiel 140 beinhaltet der Gegenstand der Beispiele 138-139, wobei die Entität ein Roboter ist.
  • In Beispiel 141 beinhaltet der Gegenstand der Beispiele 138-140, wobei das Merkmal ein Hardwareelement des Edge-Knotens umfasst.
  • In Beispiel 142 beinhaltet der Gegenstand des Beispiels 141, wobei das Hardwareelement ein Speichermodul ist.
  • In Beispiel 143 beinhaltet der Gegenstand der Beispiele 141-142, wobei das Hardwareelement eine Speicherungsvorrichtung ist.
  • In Beispiel 144 beinhaltet der Gegenstand der Beispiele 138-143, wobei das Merkmal ein Softwareelement des Edge-Knotens umfasst.
  • In Beispiel 145 beinhaltet der Gegenstand von Beispiel 144, wobei die Softwarekomponente ein Firmwareelement ist.
  • In Beispiel 146 beinhaltet der Gegenstand der Beispiele 138-145, wobei das Mittel zum Empfangen biometrischer Daten der Entität Folgendes umfasst: Mittel zum Zugreifen auf ein Bild der Entität; und Mittel zum Analysieren des Bildes, um die biometrischen Daten zu erhalten.
  • In Beispiel 147 beinhaltet der Gegenstand der Beispiele 138-146, wobei das Mittel zum Empfangen biometrischer Daten der Entität Folgendes umfasst: Mittel zum Zugreifen auf ein Tonmuster der Entität; und Mittel zum Analysieren des Tonmusters, um die biometrischen Daten zu erhalten.
  • In Beispiel 148 beinhaltet der Gegenstand der Beispiele 138-147, wobei das Mittel zum Empfangen biometrischer Daten der Entität Folgendes umfasst: Mittel zum Zugreifen auf einen Fingerabdruckscan der Entität; und Mittel zum Analysieren des Fingerabdruckscans, um die biometrischen Daten zu erhalten.
  • In Beispiel 149 beinhaltet der Gegenstand der Beispiele 138-148, wobei das Mittel zum Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Mittel zum Bestimmen, dass biometrische Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Mittel zum Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten.
  • In Beispiel 150 beinhaltet der Gegenstand der Beispiele 138-149, wobei das Mittel zum Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Mittel zum Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; Mittel zum Anfordern der biometrischen Authentifizierungsdaten von einem zweiten System; und Mittel zum Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten von dem zweiten System.
  • In Beispiel 151 beinhaltet der Gegenstand von Beispiel 150, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 152 beinhaltet der Gegenstand der Beispiele 150-151, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 153 beinhaltet der Gegenstand der Beispiele 138-152, wobei das Mittel zum Authentifizieren der Entität unter Verwendung der biometrischen Daten Folgendes umfasst: Mittel zum Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Mittel zum Anfordern einer Authentifizierung der Entität von einem zweiten System, das Zugriff auf biometrische Authentifizierungsdaten für die Entität hat.
  • In Beispiel 154 beinhaltet der Gegenstand von Beispiel 153, wobei das zweite System ein Peer-Edge-Knoten ist.
  • In Beispiel 155 beinhaltet der Gegenstand der Beispiele 153-154, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  • In Beispiel 156 beinhaltet der Gegenstand der Beispiele 138-155, wobei das Mittel zum Gewähren von Zugriff auf das Merkmal Mittel zum Bewirken umfasst, dass ein Gehäuse entsperrt wird, um physischen Zugriff auf das Gehäuse bereitzustellen.
  • In Beispiel 157 beinhaltet der Gegenstand der Beispiele 138-156, wobei das Mittel zum Gewähren von Zugriff auf das Merkmal Mittel zum Bereitstellen von Zugriff auf ein BIOS(Basic Input Output)-System des Edge-Knotens umfasst.
  • In Beispiel 158 beinhaltet der Gegenstand der Beispiele 138-157, wobei das Mittel zum Gewähren von Zugriff auf das Merkmal Mittel zum Bereitstellen von Zugriff auf ein Betriebssystem des Edge-Knotens umfasst.
  • In Beispiel 159 beinhaltet der Gegenstand der Beispiele 138-158, wobei das Mittel zum Gewähren von Zugriff auf das Merkmal Mittel zum Bereitstellen von Zugriff auf eine Anwendung, die auf dem Edge-Knoten ausgeführt wird, umfasst.
  • In Beispiel 160 beinhaltet der Gegenstand der Beispiele 138-159, wobei das Mittel zum Gewähren von Zugriff auf das Merkmal Mittel zum Bereitstellen von Zugriff auf einen physischen Raum, in dem der Edge-Knoten installiert ist, umfasst.
  • Beispiel 161 ist mindestens ein maschinenlesbares Medium einschließlich Anweisungen, die bei Ausführung durch eine Verarbeitungsschaltungsanordnung veranlassen, dass die Verarbeitungsschaltungsanordnung Operationen zum Implementieren eines der Beispiele 1-160 durchführt.
  • Beispiel 162 ist eine Einrichtung, die Mittel zum Implementieren eines der Beispiele 1-160 umfasst.
  • Beispiel 163 ist ein System zum Implementieren eines der Beispiele 1-160.
  • Beispiel 164 ist ein Verfahren zum Implementieren eines der Beispiele 1-160.
  • Obwohl diese Implementierungen unter Bezugnahme auf spezifische beispielhafte Aspekte beschrieben wurden, versteht es sich, dass verschiedene Modifikationen und Änderungen an diesen Aspekten vorgenommen werden können, ohne von dem breiteren Schutzumfang der vorliegenden Offenbarung abzuweichen. Viele der hierin beschriebenen Anordnungen und Prozesse können in Kombination oder in parallelen Implementierungen verwendet werden, um eine größere Bandbreite/einen größeren Durchsatz bereitzustellen und die Auswahl von Edge-Diensten zu unterstützen, die den zu versorgenden Edge-Systemen zur Verfügung gestellt werden können. Entsprechend sind die Beschreibung und die Zeichnungen in einem veranschaulichenden und nicht in einem einschränkenden Sinne aufzufassen. Die begleitenden Zeichnungen, die einen Teil hiervon bilden, zeigen spezielle Aspekte, in denen der Gegenstand ausgeführt werden kann, als Veranschaulichung und nicht als Beschränkung. Die veranschaulichten Aspekte sind hinreichend detailliert beschrieben, um einen Fachmann zu befähigen, die hierin offenbarten Lehren auszuüben. Andere Aspekte können genutzt und aus diesen abgeleitet werden, sodass strukturelle und logische Substitutionen und Änderungen vorgenommen werden können, ohne den Schutzumfang dieser Offenbarung zu verlassen. Diese ausführliche Beschreibung ist daher nicht in einem beschränkenden Sinn aufzufassen und der Schutzumfang verschiedener Aspekte ist nur durch die angehängten Ansprüche, zusammen mit dem vollen Umfang von Äquivalenten, zu denen solche Ansprüche berechtigt sind, definiert.
  • Auf solche Aspekte des erfindungsgemäßen Gegenstands kann hierin einzeln und/oder kollektiv lediglich der Einfachheit halber und ohne beabsichtigt zu sein, den Schutzumfang dieser Anmeldung freiwillig auf einen beliebigen einzelnen Aspekt oder einen beliebigen einzelnen Erfindungsgedanken zu beschränken, falls tatsächlich mehr als einer offenbart ist, in Bezug genommen werden. Obwohl spezielle Aspekte hierin veranschaulicht und beschrieben wurden, sollte man daher verstehen, dass eine beliebige Einrichtung, die berechnet ist, um denselben Zweck zu erfüllen, die gezeigten speziellen Ausführungsformen ersetzen kann. Diese Offenbarung soll jegliche und alle Anpassungen oder Variationen verschiedenster Aspekte abdecken. Kombinationen der obigen Aspekte und andere Aspekte, die hierin nicht speziell beschrieben sind, ergeben sich für Fachleute bei der Durchsicht der oben stehenden Beschreibung.

Claims (25)

  1. Edge-Cloud-System zum Implementieren biometrischer Sicherheit zur Edge-Plattformverwaltung, umfassend: einen biometrischen Sensor; und einen Edge-Knoten in einem Edge-Netzwerk, wobei der Edge-Knoten ausgelegt ist zum: Empfangen einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen von biometrischen Daten der Entität von dem biometrischen Sensor; Authentifizieren der Entität unter Verwendung der biometrischen Daten; und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren eines Zugriffs auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
  2. Edge-Cloud-System nach Anspruch 1, wobei die Entität eine Person ist.
  3. Edge-Cloud-System nach Anspruch 1, wobei die Entität ein Roboter ist.
  4. Edge-Cloud-System nach Anspruch 1, wobei das Merkmal ein Hardwareelement des Edge-Knotens umfasst.
  5. Edge-Cloud-System nach Anspruch 4, wobei das Hardwareelement ein Speichermodul ist.
  6. Edge-Cloud-System nach Anspruch 4, wobei das Hardwareelement eine Speicherungsvorrichtung ist.
  7. Edge-Cloud-System nach Anspruch 1, wobei das Merkmal ein Softwareelement des Edge-Knotens umfasst.
  8. Edge-Cloud-System nach Anspruch 7, wobei die Softwarekomponente ein Firmwareelement ist.
  9. Edge-Cloud-System nach Anspruch 1, wobei der biometrische Sensor eine Kamera ist und wobei zum Empfangen biometrischer Daten der Entität der biometrische Sensor ausgelegt ist zum: Zugreifen auf ein Bild der Entität; und Analysieren des Bildes, um die biometrischen Daten zu erhalten.
  10. Edge-Cloud-System nach Anspruch 1, wobei der biometrische Sensor ein Mikrofon ist und wobei zum Empfangen biometrischer Daten der Entität der biometrische Sensor ausgelegt ist zum: Zugreifen auf ein Tonmuster der Entität; und Analysieren des Tonmusters, um die biometrischen Daten zu erhalten.
  11. Edge-Cloud-System nach Anspruch 1, wobei der biometrische Sensor ein Fingerabdruckscanner ist und wobei zum Empfangen biometrischer Daten der Entität der biometrische Sensor ausgelegt ist zum: Zugreifen auf einen Fingerabdruckscan der Entität; und Analysieren des Fingerabdruckscans, um die biometrischen Daten zu erhalten.
  12. Edge-Cloud-System nach Anspruch 1, wobei zum Authentifizieren der Entität unter Verwendung der biometrischen Daten der Edge-Knoten ausgelegt ist zum: Bestimmen, dass biometrische Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten.
  13. Edge-Cloud-System nach Anspruch 1, wobei zum Authentifizieren der Entität unter Verwendung der biometrischen Daten der Edge-Knoten ausgelegt ist zum: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Kknotens vorhanden sind; Anfordern der biometrischen Authentifizierungsdaten von einem zweiten System in dem Edge-Cloud-System; und Authentifizieren der empfangenen biometrischen Daten unter Verwendung der biometrischen Authentifizierungsdaten von dem zweiten System.
  14. Edge-Cloud-System nach Anspruch 13, wobei das zweite System ein Peer-Edge-Knoten ist.
  15. Edge-Cloud-System nach Anspruch 13, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  16. Edge-Cloud-System nach Anspruch 1, wobei zum Authentifizieren der Entität unter Verwendung der biometrischen Daten der Edge-Knoten ausgelegt ist zum: Bestimmen, dass keine biometrischen Authentifizierungsdaten für die Entität in einem lokalen biometrischen Speicherungscache des Edge-Knotens vorhanden sind; und Anfordern einer Authentifizierung der Entität von einem zweiten System, das Zugriff auf biometrische Authentifizierungsdaten für die Entität hat.
  17. Edge-Cloud-System nach Anspruch 16, wobei das zweite System ein Peer-Edge-Knoten ist.
  18. Edge-Cloud-System nach Anspruch 16, wobei das zweite System eine Kernnetzwerkvorrichtung ist.
  19. Edge-Cloud-System nach Anspruch 1, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Veranlassen, dass ein Gehäuse entsperrt wird, um physischen Zugriff auf das Gehäuse bereitzustellen.
  20. Edge-Cloud-System nach Anspruch 1, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf ein BIOS(Basic Input Output)-System des Edge-Knotens.
  21. Edge-Cloud-System nach Anspruch 1, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf ein Betriebssystem des Edge-Knotens.
  22. Edge-Cloud-System nach Anspruch 1, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf eine Anwendung, die auf dem Edge-Knoten ausgeführt wird.
  23. Edge-Cloud-System nach Anspruch 1, wobei zum Gewähren von Zugriff auf das Merkmal der Edge-Knoten ausgelegt ist zum Bereitstellen von Zugriff auf einen physischen Raum, in dem der Edge-Knoten installiert ist.
  24. Verfahren für biometrische Sicherheit zur Edge-Plattformverwaltung, das in einer Edge-Rechenumgebung durchgeführt wird, umfassend: Empfangen, an einem Edge-Knoten in einem Edge-Netzwerk, einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen biometrischer Daten der Entität; Authentifizieren der Entität unter Verwendung der biometrischen Daten; und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren von Zugriff auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
  25. Maschinenlesbares Medium bzw. maschinenlesbare Medien, die Anweisungen für biometrische Sicherheit zur Edge-Plattformverwaltung beinhalten, die in einer Edge-Rechenumgebung durchgeführt wird, die, wenn sie durch eine Maschine ausgeführt werden, bewirken, dass die Maschine Operationen durchführt, die Folgendes umfassen: Empfangen, an einem Edge-Knoten in einem Edge-Netzwerk, einer Anforderung zum Zugreifen auf ein Merkmal des Edge-Knotens, wobei die Anforderung von einer Entität stammt, wobei die Anforderung eine Entitätskennung und eine Merkmalskennung umfasst; Empfangen biometrischer Daten der Entität; Authentifizieren der Entität unter Verwendung der biometrischen Daten; und als Reaktion auf das Authentifizieren der Entität unter Verwendung der biometrischen Daten, Gewähren von Zugriff auf das Merkmal basierend auf einer Überprüfung mittels einer Zugriffskontrollliste, die Entitätskennungen enthält, die mit Merkmalskennungen korreliert sind, unter Verwendung der empfangenen Entitätskennung und der empfangenen Merkmalskennung.
DE102021210707.9A 2020-09-25 2021-09-24 Biometrische sicherheit für edge-plattformverwaltung Pending DE102021210707A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/032,696 US20210021594A1 (en) 2020-09-25 2020-09-25 Biometric security for edge platform management
US17/032,696 2020-09-25

Publications (1)

Publication Number Publication Date
DE102021210707A1 true DE102021210707A1 (de) 2022-03-31

Family

ID=74346295

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021210707.9A Pending DE102021210707A1 (de) 2020-09-25 2021-09-24 Biometrische sicherheit für edge-plattformverwaltung

Country Status (3)

Country Link
US (1) US20210021594A1 (de)
KR (1) KR20220041722A (de)
DE (1) DE102021210707A1 (de)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11770377B1 (en) * 2020-06-29 2023-09-26 Cyral Inc. Non-in line data monitoring and security services
CN113783862B (zh) * 2021-09-02 2023-06-02 北京国联视讯信息技术股份有限公司 一种边云协同过程中进行数据校验的方法及装置
CN116186662A (zh) * 2021-11-26 2023-05-30 奥图码股份有限公司 显示系统及其操作方法
CN114785788B (zh) * 2022-04-25 2023-11-10 四川智能建造科技股份有限公司 一种流程交互系统和方法
CN116389513B (zh) * 2023-05-29 2023-08-04 宜宾四川大学产业技术研究院 基于云架构的多机器人视觉协同通信控制方法及系统
KR102633147B1 (ko) 2023-11-03 2024-02-02 주식회사 이투온 에지-클라우드 플랫폼 시스템

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9293016B2 (en) * 2012-04-24 2016-03-22 At&T Intellectual Property I, Lp Method and apparatus for processing sensor data of detected objects
US9367672B2 (en) * 2013-03-13 2016-06-14 Blackberry Limited Method of locking an application on a computing device
WO2021050803A1 (en) * 2019-09-11 2021-03-18 Selfiecoin, Inc. Enhanced biometric authentication

Also Published As

Publication number Publication date
KR20220041722A (ko) 2022-04-01
US20210021594A1 (en) 2021-01-21

Similar Documents

Publication Publication Date Title
EP3975476B1 (de) Vertrauensbasierte orchestrierung eines randknotens
US20220191648A1 (en) Digital twin framework for next generation networks
DE102021210707A1 (de) Biometrische sicherheit für edge-plattformverwaltung
US20220116445A1 (en) Disintermediated attestation in a mec service mesh framework
DE102021122880A1 (de) Infrastrukturverarbeitungseinheit
DE112020000054T5 (de) Ressourcen-, sicherheits- und dienstmanagement für mehrere entitäten in edge-computing-anwendungen
US12058119B2 (en) Automatic escalation of trust credentials
DE102021209019A1 (de) Kontinuierliches testen, integrieren und einsatzverwaltung für edge-computing
DE102021210882A1 (de) Erweitertes peer-to-peer (p2p) mit edge-vernetzung
DE102021207160A1 (de) Verfahren und einrichtung zur verwaltung der dienstgüte in bezug auf service-level-agreements in einer rechenvorrichtung
DE112020007229T5 (de) Föderiertes mec-framework für kraftfahrzeugdienste
DE102022203249A1 (de) Mehrfachzugriff-edge-computing- (mec-) fahrzeug-zu-alles-(v2x-) interoperabilitätsunterstützung für mehrere v2x-nachrichtenbroker
DE102022121227A1 (de) Dynamische slice-rekonfiguration während fafo(fault-attack-failure-outage)-ereignissen
DE102021209043A1 (de) Methods and apparatus to select a location of execution of a computation
US20230045110A1 (en) Import of deployable containers and source code in cloud development environment
US20240241960A1 (en) Trusted provenance authority for cloud native computing platforms
US20240243924A1 (en) Attestation microservices and service mesh for distributed workloads
DE112021003656T5 (de) Rollendelegierung bei attestierungsverifizierern
US20210089685A1 (en) Monitoring memory status using configurable hardware secured by a dice root of trust
US20230027152A1 (en) Upgrade of network objects using security islands
US20240053973A1 (en) Deployable container scheduling and execution on cloud development environment
US20240160717A1 (en) Attestation-as-a-service for confidential computing
EP3972295B1 (de) Geofence-basierte kantendienststeuerung und authentifizierung
US20240236017A1 (en) Automated node configuration tuning in edge systems
DE102022202582A1 (de) Verteilte telemetrieplattform

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: INTEL CORPORATION (N. D. GES. D. STAATES DELAW, US

Free format text: FORMER OWNERS: DOSHI, KSHITIJ ARUN, TEMPE, AZ, US; GANESH, BRINDA, PORTLAND, OR, US; GUIM BERNAT, FRANCESC, BARCELONA, ES; PRABHAKARAN, SURAJ, 52072 AACHEN, DE; SMITH, NED M., BEAVERTON, OR, US