DE112016005914T5 - Organisch zusammensetzbare IDD-Netzwerke - Google Patents

Organisch zusammensetzbare IDD-Netzwerke Download PDF

Info

Publication number
DE112016005914T5
DE112016005914T5 DE112016005914.0T DE112016005914T DE112016005914T5 DE 112016005914 T5 DE112016005914 T5 DE 112016005914T5 DE 112016005914 T DE112016005914 T DE 112016005914T DE 112016005914 T5 DE112016005914 T5 DE 112016005914T5
Authority
DE
Germany
Prior art keywords
realm
node
service
predecessor
realms
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE112016005914.0T
Other languages
English (en)
Inventor
Ned M. Smith
Nathan Heldt-Sheller
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of DE112016005914T5 publication Critical patent/DE112016005914T5/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/50Network service management, e.g. ensuring proper service fulfilment according to agreements
    • H04L41/5041Network service management, e.g. ensuring proper service fulfilment according to agreements characterised by the time relationship between creation and deployment of a service
    • H04L41/5054Automatic deployment of services triggered by the service manager, e.g. service implementation by automatic configuration of network components
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/044Network management architectures or arrangements comprising hierarchical management structures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Geoffenbart in einigen Beispielen sind Verfahren, Vorrichtungen und maschinenlesbare Medien, die ermöglichen, dass sich disparate IdD-Netzwerke kombinieren, um größerer Netzwerke in einer organischen und unabhängigen Weise zu bilden. Gemäß den hierin geoffenbarten Verfahren ist das neu gebildete Netzwerk in topologischer Weise gut gebildet und die Verwendung von Gateways oder anderer spezialisierter Vorrichtungen ist nicht erforderlich, um IdD-Realm-Dienste bereitzustellen. Tatsächlich führen einzelne Knoten innerhalb des Netzwerks die Schlüsselverwaltung, Zugriffsverwaltung und Netzwerkbetriebsfunktionen durch, die zuvor von der Gateway-Vorrichtung durchgeführt worden sind.

Description

  • PRIORITÄTSANSPRUCH
  • Diese Anmeldung beansprucht die Priorität gegenüber der US-Patentanmeldung mit der Seriennummer 14/977,870 , eingereicht am 22. Dezember 2015 mit dem Titel „ORGANICALLY COMPOSABLE IOT NETWORKS“, welche hierin durch Verweis in ihrer Gesamtheit aufgenommen ist.
  • URHEBERRECHTS-MITTEILUNG
  • Ein Teil der Offenbarung dieses Patentdokuments enthält Material, das dem Urheberrecht unterliegt. Der Inhaber des Urheberrechts hat keinen Einwand gegen die Herstellung einer originalgetreuen Kopie des Patentdokuments oder der Patenoffenbarung durch Dritte, da diese in den Patentdateien oder -aufzeichnungen des Patentamts aufscheint, behält sich aber ansonsten alle Urheberrechte welcher Art auch immer vor. Die folgende Ankündigung gilt für die Software und die Daten, wie sie nachfolgend und in den Zeichnungen, die einen Teil dieses Dokuments bilden, beschrieben sind: Copyright Intel, alle Rechte vorbehalten.
  • TECHNISCHES GEBIET
  • Ausführungsformen gehören zu Internet-der-Dinge-Netzwerken (IdD). Einige Ausführungsformen beziehen sich auf die automatische Erzeugung von IdD-Netzwerken aus anderen disparaten IdD-Netzwerken.
  • HINTERGRUND
  • Das IdD ist ein Netzwerk aus physischen Gegenständen oder „Dingen“, die mit Elektronik, Software und Sensoren versehen sind, die es diesen Gegenständen ermöglichen, Daten zu sammeln und zwischen sich und zwischen anderen Rechenvorrichtungen auszutauschen. So umfassen z.B. „Dinge“ verbundene Haushaltsgeräte, Sensoren in Automobilen, Biochips und dergleichen. Standardgruppen haben bereits den Prozess der Formulierung von Standards gestartet, die Verfahren zur Vorrichtungs-Discovery, Kommunikation zwischen Vorrichtungen, Dienst-Discovery, Sicherheit und andere bei der Bildung und dem Erhalt von IdD-Netzwerken verwendete Verfahren spezifizieren. Beispielgruppen umfassen das Open Interconnect Consortium (OIC), die Internet Protocol for Smart Objects (IPSO) Alliance und das Industrial Internet Consortium.
  • Figurenliste
  • In den Zeichnungen, die nicht notwendigerweise maßstabsgetreu sind, können gleiche Zahlen ähnliche Komponenten in unterschiedlichen Ansichten beschrieben. Gleiche Zahlen mit unterschiedlichen Zahlvorzeichen können unterschiedliche Fälle ähnlicher Komponenten darstellen. Die Zeichnungen veranschaulichen im Allgemeinen anhand eines Beispiels, aber ohne Einschränkung, verschiedene Ausführungsformen, die im vorliegenden Dokument erläutert werden.
    • 1 zeigt eine schematische Ansicht von zwei disparaten IdD-Realms gemäß einigen Beispielen der vorliegenden Offenbarung.
    • 2 zeigt eine schematische Ansicht der Erzeugung eines Super-Realms R3 aus dem Realm R1 und R2 gemäß einigen Beispielen der vorliegenden Offenbarung.
    • 3 zeigt eine schematische Ansicht einer Knotendatenstruktur gemäß einigen Beispielen der vorliegenden Offenbarung.
    • 4 zeigt eine schematische Ansicht einer Knotendatenstruktur gemäß einigen Beispielen der vorliegenden Offenbarung.
    • 5 zeigt ein Ablaufdiagramm eines Verfahrens zum Bilden eines Super-Realms aus einem ersten und einem zweiten Realm gemäß einigen Beispielen der vorliegenden Offenbarung.
    • 6 zeigt eine schematische Ansicht eines beispielhaften IdD-Knotens gemäß einigen Beispielen der vorliegenden Offenbarung.
    • 7 ist ein Blockdiagramm, das ein Beispiel einer Maschine veranschaulicht, auf welcher eine oder mehrere Ausführungsformen implementiert sein können.
  • DETAILLIERTE BESCHREIBUNG
  • IdD kann als ein „Netzwerk aus Netzwerken“ beschrieben werden, worin Vorrichtungen zugrundeliegende Kommunikationsnetzwerke und - technologien wie das Internet zur Kommunikation nützen, aber ihre eigenen logischen Netzwerke aus IdD-Vorrichtungen (als Knoten bezeichnet) bilden. Diese logischen Netzwerke aus IdD-Vorrichtungen können als ein IdD-Realm bezeichnet werden. In einigen Beispielen können sich zwei oder mehr disparate IdD-Realme kombinieren, um einen größeren Realm zu bilden, der als ein Super-Realm bezeichnet wird. Die aktuellen Techniken, die zur Bildung dieser Super-Realms verwendet werden, beinhalten die Verwendung von Gateways oder Cloud-Servern, welche die Rolle einnehmen, die Operation der disparaten Realms außerhalb des Gateways zu emulieren, virtualisieren und darzustellen. So werden z.B. oftmals die Gateways, während sie als Konnektivitätsbrücken dienen, mit den zusätzlichen Aufgaben des Bereitstellens von Realm-Diensten beauftragt, die einen sicheren Zugriff auf von IdD-Knoten kontrollierte Ressourcen ermöglichen. Diese Realm-Dienste umfassen Schlüsselverwaltung, Zugriffsverwaltung, Netzwerkoperationen, Bereitstellung, Knoten- und Ressourcen-Discovery sowie andere Realm-Dienste, um die Kommunikation unter den Knoten des Realms zu vereinfachen. Das Resultat davon ist, dass das Gateway zu einer einzelnen Bruchstelle (SPOF) für einen Angriff wird. Darüber hinaus skaliert die Verwendung eines Gateways nicht so gut, da für die Verwendung eines Gateways angenommen wird, dass er eine Verarbeitungs- und Bandbreitenkapazität haben wird, um Netzwerken zu dienen, von welchen erwartet wird, dass sie bis zum Jahr 2020 über 30-50 Milliarden Endpunkte besitzen. Ein solches Wachstum kann nur durch die Verwendung einer Cloud-Berechnung erreicht werden, wobei die Verarbeitung in die Cloud verlagert wird. Die Verlagerung von IdD-Netzwerken zur Gänze in einen „Cloud“-Server ist aber nicht vernünftig, da IdD-Netzwerke eine physische Komponente besitzen, die nicht in die Cloud verlagert werden kann. Organisch zusammengesetzte IdD-Netzwerke bieten dafür eine Lösung.
  • Abgesehen von Problemen der Skalierbarkeit, stellt auch die Sicherheit des neu gebildeten Realms ein Problem dar. Bei der Bildung dieser größeren Realms sollte die Betriebsintegrität der kleineren bestehenden Realms erhalten bleiben. Das Bewahren der Betriebsintegrität ist wichtig, weil die physischen Gegenstände und Sensoren, die an diesen Netzwerken teilnehmen, vor einem Angriff geschützt werden müssen, da ein signifikanter Schaden in der echten Welt resultieren kann, wenn Angreifer in der Lage sind, diese Sensoren zu beschädigen. Wird die Betriebsintegrität nicht bewahrt, wenn die Realms den Super-Realm bilden, so kann der größere Super-Realm nicht dieselbe Art von Sicherheitsbeschränkungen wie die kleineren bestehenden Realms durchsetzen, was die Vorrichtung für einen Angriff öffnet.
  • Geoffenbart in verschiedenen Beispielen sind Verfahren, Vorrichtungen und maschinenlesbare Medien, die ermöglichen, dass sich disparate IdD-Realms kombinieren, um größere Realms in einer organischen und unabhängigen Weise zu bilden. Gemäß den hierin geoffenbarten Mechanismen ist der neu gebildete Realm topologisch gesehen gut gebildet und erfordert nicht die Verwendung von Gateways oder anderen spezialisierten Vorrichtungen, um IdD-Realm-Dienste bereitzustellen. Tatsächlich führen einzelne Knoten innerhalb des Super-Realms Schlüsselverwaltung, Zugriffsverwaltung, Netzwerkoperationen, Bereitstellung, Knoten- und Ressourcen-Discovery sowie andere Realm-Dienste, die die Kommunikation unter den Knoten des Realms vereinfachen, durch, welche zuvor von der Gateway-Vorrichtung durchgeführt worden sind. Dies wird in einigen Beispielen dadurch erzielt, dass sie eine Bibliothek von Skripten aufweisen, die Instruktionen für Knoten bereitstellen, wie diese Dienste durchzuführen sind. Die Netzwerke bilden sich unter Verwendung eines Satzes von Regeln und Mechanismen, die, wenn sie auf die Bildung des IdD-Realms angewendet werden, in einem Realm resultieren, der sich organisch mit einem zweiten disparaten IdD-Realm kombinieren kann, um einen Super-Realm zu bilden. Der Super-Realm kann sich daraufhin organisch mit einem oder mehreren anderen Realms kombinieren, um noch einen anderen, sogar noch größeren Realm zu bilden.
  • Die geoffenbarten Verfahren, Systeme und maschinenlesbaren Medien verbessern sich aufgrund des bestehenden ad-hoc-Ansatzes, IdD-Realms zu verknüpfen, indem Regeln definiert werden, wie sich eine IdD-Realm-Topologie organisch entwickeln kann, so dass ein gut definiertes Verfahren gegeben ist, um diese ansonsten disparaten Realms zusammenzusetzen. Dieses System ermöglicht, dass disparate IdD-Realms instanziiert werden und sich unabhängig unendlich entwickeln, es ermöglicht, dass IdD-Netzwerke sich an einem oder mehreren Berührungspunkten durch Wahl eines neuen Vorgängerknotens vereinigen und eine bestehende Betriebsintegrität und Sicherheit durch kaskadierenden Zugriff und Betriebsintegritätsbeschränkungen bis hinunter zu den Endpunkten, wo sie interpretiert und durchgesetzt werden können, erhalten wird. Skript-Ressourcen in einer Bibliothek von Skripten enthalten Zugriffs-Policys, indem die beabsichtigten Interaktionen und Arbeitsabläufe der Vorrichtung spezifiziert werden. Werden Realms kombiniert, so werden neue Skripten verfasst oder von einer Skript-Bibliothek erhalten, die eine Arbeitsflussinteraktion anwendet, die auf in den disparaten Realms gefundene Vorrichtungen gemappt werden kann.
  • Die IdD-Netzwerk-Baublöcke umfassen einen Satz von Vorrichtungen (Knoten) und einen Satz von IdD-Realm-Diensten, die durch die Knoten durchgeführt werden. Knoten werden entweder ausgewählt, um einen der Realm-Dienste durchzuführen, oder sie werden zugewiesen, einen der Realm-Dienste durchzuführen. Realm-Dienste umfassen einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Netzwerkbetriebsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst, einen Ressourcen-Discovery-Dienst oder dergleichen. Die Dienste können von einer oder mehreren Skript-Ressourcen definiert sein, die durch eine Skript-Bibliothek erhalten werden können oder auf den Knoten vorkonfiguriert sind. Ein Skript für einen Dienst weist Instruktionen für den Knoten auf, einen gegebenen Dienst durchzuführen. Auf die Skript-Bibliothek kann über ein Netzwerk zugegriffen werden, oder sie kann durch einen auf dem Netzwerk basierenden Dienst bereitgestellt sein.
  • Ein Realm ist in Vorgängerknoten und Nachfolgerknoten organisiert. Der Vorgängerknoten ist für die Realm-Dienste der Netzwerkoperationen verantwortlich (was die hierin beschriebenen Vorgängerwahlverfahren und die Realm-Organisation und -verwaltung umfasst), und kann für die übrigen Dienste die Verantwortung übernehmen oder sie an einen anderen Knoten übertragen. Ein Realm kann formal als eine Sammlung von IdD-Knoten mit einem gemeinsamen Vorgängerknoten definiert sein. Knoten können sowohl Vorgängerknoten (z.B. ein Vorgänger eines Realms) als auch Nachfolgerknoten (Nachfolger in einem anderen Realm) sein. Somit können Realms hierarchisch sein. Vorgängerknoten können auch dafür verantwortlich zeichnen, sicherzustellen, dass, wenn einer der Knoten im Realm, der einen der IdD-Realm-Dienste durchführt, offline geht oder den Realm verlässt, die Funktion erneut einem anderen Knoten zugewiesen wird. Um die Resilienz weiter zu verbessern, können Knoten redundante Fälle von sich selbst aufweisen. Diese redundanten Fälle können vom Vorgängerknoten als ein einzelner Knoten angesehen werden.
  • Knoten können in drei verschiedene Typen kategorisiert werden: obere Knoten, mittlere Knoten und Endpunktknoten (T, M und E). Endpunktknoten sind Nachfolgerknoten in einem Realm und weisen einen einzelnen Vorgängerknoten auf, der besucht wird, um Sicherheits-Anmeldeinformationen, Zugriffskontroll-Policys und Realm-übergreifende Zugriffs-Policys bereitzustellen. Mittlere Knoten sind Knoten, die in manchen Realms ein Vorgänger und in anderen Realms ein Nachfolger sind. Obere Knoten sind Knoten, die nur ein Vorgängerknoten und kein Nachfolgerknoten in einem anderen Realm sind.
  • Wenn disparate IdD-Realms nach den geoffenbarten Verfahren bestimmen, dass sie zu kombinieren sind, können die Vorgängerknoten der oberen Ebene in den zwei Netzwerken (Realms) einen neuen Vorgängerknoten aus dem einen oder dem anderen Realm bestimmen. Der neue Vorgänger erzeugt einen neuen Realm, der die Funktionen eines Vorgängerknotens durchführt (z.B. die Realm-Dienste durchführt oder delegiert, die traditionellerweise von Gateways durchgeführt würden). Der neue Realm enthält die anderen zwei Netzwerke als Sub-Realms.
  • Der neue Realm kann Realm-spezifische Betriebsbeschränkungen enthalten, die von den Vorgängerknoten durchgesetzt werden können oder die an einen Nachfolgerknoten für die Durchsetzung delegiert werden können. Beispielhafte Beschränkungen können Anti-Virus-Scans von Daten umfassen, die zwischen Realms ausgetauscht werden, oder andere Formen des Sicherheits-Scans, umfassend White List, Black List, Anomaliedetektion und Datenschutzfilterung. Andere Betriebsbeschränkungen können Informationsmarkierungen umfassen (Zuweisen einer Kategorie wie HR, Engineering, Marketing; Zuweisen einer Ebene wie vertraulich, geheim oder streng geheim). Betriebsbeschränkungen könnten auch das Scannen von Informationen nach beleidigenden Wörtern oder die nicht-sachgemäße Offenbarung von geistigem Eigentum umfassen. Die Delegation kann erzielt werden, indem Realm-Beschränkungen Anmeldeinformationen zugewiesen werden, die an Realm-Nachfolgerknoten ausgegeben werden. Da mindestens einer der Nachfolgerknoten ein Vorgänger für einen Sub-Realm sein kann, können Realm-Beschränkungen an einem Vorgänger-Realm zum Sub-Realm durch seinen Vorgänger hinunter kaskadiert werden. Folglich können Endpunktzu-Endpunkt-Interaktionen die komplette Realm-Hierarchie aufweisen, die in ihren Anmeldeinformationen und ihren Zugriffs-Policys dargestellt ist. Diese können in einer solchen Weise evaluiert werden, um Eskalationen von Privilegien zu verhindern. So kann z.B. ein Endpunkt in einem ersten Realm einen Kommunikationskanal zu einem Endpunkt in einem zweiten Realm festgelegt haben. Information zwischen den Realms kann frei ausgetauscht werden, ausgenommen, eine Zugriffs-Policy kann den Informationsaustausch beschränken, um Daten, Aufzeichnungen und Ressourcen auszuschließen, die nicht explizit dem zweiten Realm (oder einer spezifischen Vorrichtung im zweiten Realm) zugestanden sind. Ebenso kann eine Anmeldeinformation einer Vorrichtung in einem zweiten Realm Privilegien verleihen (z.B. eine Zuweisung von Kategorie oder Ebene - z.B. HR-streng geheim), die eine Vorrichtung in einem ersten Realm gemäß einer Zugriffskontrollliste erkennt (ACL - siehe nachfolgend), die Zugriff auf Vorrichtungen gewährt, die das Privileg HR-streng geheim (im zweiten Realm) tragen.
  • Wendet man sich nunmehr 1 zu, so ist eine schematische Darstellung 1000 von zwei disparaten IdD-Realms gemäß einigen Beispielen der vorliegenden Offenbarung gezeigt. Realm R1 1010 umfasst einen Vorgängerknoten R1N4 1020 und drei Endpunktknoten R1N1, R1N2 und R1N3 (1030, 1040 bzw. 1050). Ebenso umfasst Realm R2 1060 einen Vorgängerknoten R2N3 1070 und zwei Endpunktknoten, R2N1 1080 und R2N2 1090.
  • Sobald die Realms R1 1010 und R2 1060 kommunikativ für einander erreichbar werden, können R1 1010 und R2 1060 entscheiden, einen Super-Realm R3 zu bilden, der aus beiden Realms R1 1010 und R2 1060 besteht. Kommunikativ erreichbar umfasst z.B. Verknüpfungen, Internet und Transportschichtkonnektivität in einem Internet Engineering Task Force Model sowie Wissen über die Existenz von einander durch Verbreitung oder andere Discovery-Nachrichten oder -Techniken. Dies kann direkt oder indirekt sein (z.B. durch eine dritte Vorrichtung). R1 1010 und R2 1060 können durch die Einführung einer Vorrichtung im Realm R1 1010 kommunikativ gekoppelt werden, die kommunikativ mit R2 1060 gekoppelt ist, die Einführung einer Vorrichtung im Realm R2 1060, die kommunikativ mit R1 1010 gekoppelt ist, oder durch die Einführung einer Vorrichtung außerhalb der beiden Realms R1 1010 und R2 1060, die kommunikativ mit sowohl R1 1010 als auch R2 1060 gekoppelt ist.
  • Die Entscheidung, einen Super-Realm zu bilden, kann durch Übereinstimmung durch die Vorgängerknoten R1N4 1020 und R12N3 1070 aufgrund einer oder mehrerer Policy-Regeln aus den zuvor erwähnten Skript-Ressourcen getroffen werden. Die Policy-Regel kann spezifizieren, unter welchen Bedingungen ein Realm sich mit einem anderen Realm verbinden kann, um einen neuen Super-Realm zu bilden. Bedingungen können diktieren, wann es unpassend ist, einen Super-Realm zu bilden. So kann z.B. ein internationaler Vertrag den Austausch von Informationen (z.B. über verbotene Technologie / handelbare Güter und illegale Substanzen) verbieten, wenn die Sicherheit gefährdet sein kann oder dergleichen. So sollten z.B. Uraniumanreicherungsprozesse nicht mit Internet-Communitys und Social Media aufgrund der erhöhten Möglichkeit eines Gefahrengüterzwischenfalls verknüpft werden. Bei der Automatisierung von chemischen, Gesundheits- und Umweltprozessen gibt es ähnliche Überlegungen zum Sicherheitsrisiko, welche die Bildung von Super-Realms unter den meisten Bedingungen verhindern würden. Dieses Policy-Regeln können von einer nichtflüchtigen Speichervorrichtung aus Vorgängerknoten 1020, 1070 erhalten werden, oder sie können dynamisch von einer Skript-Bibliothek über ein Netzwerk erhalten werden.
  • Wendet man sich nunmehr 2 zu, so ist eine schematische Darstellung 2000 der Erzeugung eines Super-Realms aus den Realms R1 2020 und R2 2030 gemäß einigen Beispielen der vorliegenden Offenbarung gezeigt. R3N4 2060 wird instanziiert und wird kommunikativ mit R1 2020 und R2 2030 gekoppelt, wodurch die Kommunikation zwischen R1 2020 und R2 2030 ermöglicht wird. Sobald die Knoten kommunikativ gekoppelt sind, ermöglichen Knoten-Discovery-Techniken in IdD-Implementierungen (z.B. durch die Verbreitung einer Knoten-ID), dass die Knoten in R1 2020 und R2 2030 einander erkennen. R1 2020 und R2 2030 entscheiden, den Super-Realm R3 2010 basierend auf der einen oder mehreren Policy-Regeln zu erzeugen.
  • Sobald die Knoten entscheiden, R3 2010 zu erzeugen, kann ein Wahlverfahren angewendet werden, das einen bestehenden Knoten in entweder R1 2020 oder R2 2030 nominiert, als der Vorgänger des neuen Super-Realms R3 2010 zu dienen. Die Verfahren zur Wahl eines Knotens können zum Zeitpunkt der Herstellung der Vorrichtung zuvor vereinbart werden (und somit im Code des Knotens eingebettet werden), sie können Teil einer oder mehrerer Script-Ressourcen in der Skript-Bibliothek sein (die von einem Web-Dienst heruntergeladen worden sein kann) oder dergleichen. Ein beispielhafter Wahlprozess kann das Wählen des Knotens mit dem niedrigsten oder höchsten Identifikator umfassen (z.B. ein UUID, eine MAC Adresse oder dergleichen), das Wählen des Knotens, der Vorgänger des größten Sub-Realms ist, das Wählen des Knotens, der Vorgänger des kleinsten Sub-Realms ist, unter Verwendung des Mega-Merger-Algorithmus, des Yo-Yo-Algorithmus oder dergleichen. In diesem Beispiel gewinnt R3N1 2040 (zuvor R1N4) die Wahl und wird der neue Vorgängerknoten. In einigen Beispielen wird ein Nachfolgerknoten des Realms R1 2020 gewählt, um als der neue Vorgänger von R1 2020 zu übernehmen, als ein Resultat davon, dass R3N1 2040 als Vorgänger von R3 2010 gewählt wurde. Im Beispiel der 2 hat R1N3 2050 die Rolle des Vorgängers von R1 2020 angenommen. R3 2010 ist nunmehr ein Super-Realm, der Kontrollfunktionen auf höherer Ebene und Analysefunktionen instrumentiert, die zuvor nicht von einem oder beiden der Realms R1 2020 und R2 2030 durchgeführt wurden. Die Kontroll- und Analysefunktionen sind nicht etwaigen Realm-spezifischen Beschränkungen (z.B. Anmeldeinformations-Anforderungen und Zugriffskontrolllisten und dergleichen) auf R1 2020 und R2 2030 übergeordnet, die zu Interaktionen mit R3 2010 gehören.
  • Sobald der neue Realm R3 erzeugt ist, kann R3N1 2040 einen oder mehrere IdD-Realm-Dienste wie Zugriffsverwaltung, Anmeldeinformations-Verwaltung, Bereitstellung, Knoten-Discovery, Ressourcen-Discovery und dergleichen für R3 2010 zu einem oder mehreren Knoten der Realms R1 2020 und R2 2030 zuweisen oder dafür bereitstellen. Diese Zuweisung kann randomisiert, auf der Grundlage von Knotenrollen, die den Knoten durch einen Rollenzuweisungsdienst zugewiesen werden, Verarbeitungsleistung oder dergleichen erfolgen. In einigen Beispielen können die Regeln für das Zuweisen der IdD-Realm-Dienste auf einer oder mehreren Skript-Ressourcen aus der Skript-Bibliothek basieren. Sobald diese Aufgaben zugewiesen wurden, kann der Vorgänger diese Zuweisungen zu den Knoten in R3 2010 (und durch Erweiterung zu den Knoten in R1 2020 und R2 2030) verbreiten. In anderen Beispielen verbreiten die diesen Rollen zugewiesenen Knoten, dass sie nunmehr diese Realm-Dienste bereitstellen.
  • R3N4 2060 wurde, während er nur ein einzelner Knoten ist, auch in R3 2010 aufgenommen. Die vorliegende Offenbarung sieht die Vereinigung eines oder mehrerer einzelner Knoten in einen oder mehrere Realms vor, wie dies zuvor beschrieben wurde. Die vorliegende Offenbarung sieht auch die Vereinigung von mehr als zwei disparaten Realms in einen Super-Realm vor. So können z.B. drei, vier, fünf oder mehr Realms zur Bildung eines Super-Realms vereinigt werden.
  • Wendet man sich nunmehr 3 zu, so ist eine schematische Darstellung einer Knotendatenstruktur 3000 gemäß einigen Beispielen der vorliegenden Offenbarung gezeigt. Die Knotendatenstruktur 3000 kann Metadaten 3010 umfassen. Wie bereits erwähnt wurde, können die Knoten sein: obere, mittlere oder Endpunktknoten (T, M, E). Diese Typen sind als der Knotentyp 3020 gespeichert. Knoten können als Teil der IdD-Netzwerkevolution gemäß einer oder mehrerer Knoten-Metabeschränkungen umgestaltet werden. So wurde z.B. in 2 R1N3 von einem Endpunktknoten in einen mittleren Knoten umgestaltet. Knoten-Metabeschränkungen 3040 können spezifizieren, ob ein Knoten umgestaltet werden darf und welchen Typen es erlaubt ist, umgestaltet zu werden. So kann z.B. ein Knoten beschränkt sein, nicht als ein Vorgänger zu wirken (z.B. um nur ein Endpunktknoten zu sein und nicht als ein mittlerer oder oberer Knoten umgestaltet zu werden). Diese Metabeschränkungen können im Knoten zum Zeitpunkt der Herstellung gespeichert werden, oder sie können von der Skript-Bibliothek entnommen werden. Insbesondere die Knoten-Metabeschränkungen können Beschränkungen spezifizieren, die bei der Herstellung von Nachfolger- oder Vorgängerknotenzuweisungen auf eine Darstellungszirkularität überprüfen. Knoten können auch eine Knoten-ID 3030 aufweisen, die dazu verwendet wird, den Knoten in ein Netzwerk zu kommissionieren. In einigen Beispielen wird die Knoten-ID nicht verwendet, um den Knoten als Teil eines Normalbetriebs innerhalb eines definierten Realms zu identifizieren. Separate IDs können verwendet werden, um den Knoten in Realms zu identifizieren, in welchen er ein Vorgänger ist, und in Realms, in welchen er ein Nachfolger ist. Die Verwendung von mehreren IDs verhindert, dass die Aktivitäten eines Knotens in einem Realm in einem anderen Realm verfolgt werden können, wodurch der Datenschutz erhöht wird.
  • Jeder Knoten kann auch eine oder mehrere native Funktion und Ressourcen 3050 definieren - d.h. Funktionen, die mit dem tatsächlichen „Ding“, das die Vorrichtung darstellt, assoziiert sind, z.B. kann ein Smart-Kühlschrank eine oder mehrere Funktionen wie Temperatur, Status und dergleichen aufweisen. Diese nativen Funktionen können eine oder mehrere Ressourcen (z.B. Eigenschaften) umfassen, die für andere Knoten in den Nachfolger- und Vorgänger-Realms sichtbar sind, abhängig von den Zugriffsbeschränkungen und den Anmeldeinformationen.
  • Innerhalb des Kontexts der Konstruktion eines IdD-Netzwerks gibt es zwei zusätzliche Kontexte, wobei einer das Verhalten des Knotens definiert, wenn dieser als ein Nachfolger 3060 wirkt, und einen anderen Kontext, der gilt, wenn ein Knoten ein Vorgänger ist, der das Knotenverhalten definiert, wenn er als ein Vorgänger 3070 wirkt. Ein Nachfolgerknotenkontext 3060 umfasst eine Zuweisung einer Nachfolger-Realm-ID 3080 (der erste Realm, in welchem der Knoten ein Nachfolger ist). Die Nachfolger-Real-ID 3080 ist eine ID, die vom Nachfolger innerhalb des Realms verwendet wird, in welchem dieser Knoten ein Nachfolger ist. Diese Realm-ID kann anders als die Realm-ID sein, die für den Realm verwendet wird, in welchem der Knoten ein Vorgänger ist. Dies dient dazu zu verhindern, dass der Knoten verfolgt wird. Der Nachfolgerknotenkontext 3060 umfasst auch Nachfolger-Realm-Anmeldeinformationen 3090, die eine oder mehrere Anmeldeinformationen sein können, die verwendet werden, wenn sie als ein Nachfolgerknoten verwendet werden, die von den Anmeldeinformations-Diensten für den Realm ausgegeben wurden, in welchem dieser Knoten ein Nachfolger ist. Der Nachfolgerknotenkontext 3060 umfasst auch Nachfolger-Realm-Beschränkungen 3100. Beschränkungen können z.B. eine Anforderung umfassen, Ressource-Daten zu sanitisieren, um sicherzustellen, dass diese die Anforderungen an Qualität, Integrität und Datenschutz erfüllen. Der Nachfolgerknotenkontext 3060 umfasst auch Zugriffskontrolllisten (access control lists, ACLs), die angewendet werden können, wenn ein anderer Knoten, der ein Mitglied desselben Realms oder anderer Realms ist, für welcher dieser Knoten ein Nachfolger ist, auf native Funktionen und Ressourcen 3050 zuzugreifen versucht. Der Nachfolgerknoten kann Realm-spezifische Dienste wie Schlüsselverwaltung, Zugriffsverwaltung, Netzwerk-Operationen, Bereitstellung, Knoten- und Ressourcen-Discovery und andere Realm-Dienste erfordern. Der Nachfolgerknotenkontext 3060 umfasst Identifikatoren für die Provider dieser Realm-Dienste, so z.B. Anmeldeinformationsverwaltungs-Provider 3120, Zugriffsverwaltungs-Provider 3130 und Bereitstellungs-Provider 3140. Andere Identifikatoren anderer Realm-Dienste können bei Bedarf gespeichert sein. Identifikatoren können die Knoten-Identifikatoren der Knoten umfassen, die diese Realm-Dienste, Kontaktinformationen (wie eine IP-Adresse) oder dergleichen bereitstellen.
  • Ist der Knoten vom Typ T oder M, so wird der Vorgängerknotenkontext 3070 verwendet. Der Vorgängerknotenkontext 3070 spiegelt die Struktur des Nachfolgerknotenkontexts 3060 wider, was ermöglicht, dass der Vorgänger gleichzeitig in einem zweiten Realm existiert. Der Vorgängerknotenkontext 3070 umfasst eine Vorgänger-Realm-ID 3150, die in eindeutiger Weise den Knoten im Vorgänger-Realm identifiziert. Diese ID kann anders als die Nachfolger-Realm-ID 3080 oder die Knoten-ID 3080 sein, um zu verhindern, dass dieser Knoten in mehreren Realms verfolgt wird. Vorgänger-Anmeldeinformationen 3160 können ein oder mehrere Anmeldeinformationen sein, die verwendet werden, wenn er als ein Vorgängerknoten verwendet wird, welche von den Anmeldeinformations-Diensten für den Realm ausgegeben wurden, in welchem der Knoten ein Vorgänger ist. Der Vorgängerknotenkontext 3070 umfasst auch Vorgänger-Realm-Beschränkungen 3170. So kann z.B. ein Vorgänger feststellen, dass alle von den IdD-Vorrichtungen innerhalb seines Realms produzierten Daten als streng geheim markiert sind. Die Vorgänger-Realm-Beschränkung kann bewirken, dass der Nachfolger einen Metadaten-Tag auf Daten umfasst, die die Nachfolgervorrichtung produziert, welche dessen Sicherheitsklassifizierung näher angibt. Der Vorgängerknotenkontext 3070 umfasst auch Zugriffskontrolllisten (ACLs), die angewendet werden können, wenn eine Vorrichtung in dem Realm, für welchen dieser Knoten ein Vorgänger ist, auf Ressourcen 3180 zugreifen will, oder Ressourcen eines anderen Knotens, wenn der Vorgänger als ein ACL-Bereitstellungsdienst dient. Die Verwendung von separaten ACL-Kontexten ermöglicht, dass Nachfolgerknoten im Sub-Realm (dem Realm, für welchen dieser Knoten ein Vorgänger ist) auf native Funktionen und Ressourcen zugreifen können, ohne eine Aussetzung gegenüber dem Super-Realm (dem Realm, in welchem dieser Knoten ein Nachfolger ist) zu erfordern. Diese Isolierung stellt autonome Netzwerkoperationen sicher, während es dem „M“-Knotentyp ermöglicht, native Funktionen und Ressourcen zu hosten, die für seine beiden Realms sichtbar sind. In einigen Beispielen können Überlegungen bezüglich der Sicherheit eine Aussetzung von nativen Funktionen und Ressourcen in zwei Realms gleichzeitig verhindern. Fortgeschrittene Knotenarchitekturen können dies ansprechen, indem virtualisierte oder containerisierte native Funktionen erzeugt werden. In anderen Beispielen kann eine Implementierung eine ACL besitzen, die einigen der Ressourcen den Zugriff auf einen der Realms verweigert.
  • Der Vorgängerknoten kann Realm-spezifische Dienste für Nachfolgerknoten im Sub-Realm zuweisen oder bereitstellen, so z.B. Schüsselverwaltung, Zugriffsverwaltung, Bereitstellungsdienste, Knoten-Discovery- und Ressourcen-Discovery-Funktionen oder dergleichen. Die Knoten, die diese Realm-Dienste bereitstellen, können den anderen Knoten im Realm als Teil von Vorgängerknotenoperationen angekündigt werden. Der Vorgängerknotenkontext 3070 umfasst die Knoten-Identifikatoren für diese Realm-Dienste, so z.B. den Anmeldeinformationsverwaltungs-Provider 3190, Zugriffsverwaltungs-Provider 3200 und Bereitstellungsdient-Provider 3210 und dergleichen. In einigen Beispielen kann der Knoten diese Realm-Dienste in dem Realm bereitstellen, in welchem er ein Vorgänger ist.
  • In einigen Beispielen kann es unter gewissen Umständen für den Vorgängerknoten passend sein, Realm-Dienst-Anfragen, die nicht unmittelbar von ihm erfüllt werden können, weiterzuleiten, indem er von den Nachfolgerknoten-Realm-Servern Hilfe erbittet. Dies kann erfolgen, wenn ein Nachfolgerknoten eines Sub-Realms Anmeldeinformationen sucht, um mit einem Peer-Realm, der durch Realm-Dienste, die im Super-Realm enthalten sind, erreichbar ist, zu interagieren. Somit ist das erwünschte Verhalten jenes einer hierarchischen Netzwerktopologie.
  • In einigen Beispielen kann ein Knoten ein Knoten der „T“-Ebene sein, der Vorgängerknoten-Realm-Dienste und native Funktionen der obersten Ebene liefert oder verwaltet. Es kann Fälle der Verwendung geben, in welchen Peer-Knoten der obersten Ebene keine Bildung eines neuen Super-Realms wünschen, aber dennoch einen gemeinsamen Zugriff zwischen Peer-Knoten der obersten Ebene wünschen. Dieser gemeinsame Zugriff kann durch einen Internet DNS Named Entities (DANE) RFC6698 Dienst vereinfacht werden, der einige der Nachfolgerknotenparameter populiert, ohne eine Änderung des Knotentyps zu „M“ zu bewirken. In diesen Beispielen leiten die Realm-Dienste für den Anmeldeinformationsverwaltungs-Provider und den Bereitstellungs-Provider Anfragen an einen ta DANE Server weiter, um Verifizierungs-Anmeldeinformationen zu erhalten, die auf den jeweiligen Peer-Knoten angewendet werden. DANA kann zusätzlich Daten bereitstellen, die eine White List oder Black List von Peers spezifiziert, von welchen bestimmt wurde, dass sie passenderweise für den anfragenden Knoten geeignet sind, wenn dieser eine Verbindung mit einem Peer-Knoten der obersten Ebene festlegen will.
  • Wendet man sich nunmehr 4 zu, so ist eine schematische Darstellung einer Knotendatenstruktur 4000 gemäß einiger Beispiele der vorliegenden Offenbarung gezeigt. Diese Struktur enthält einen Nachfolgerknotenkontext 406 und einen Vorgängerknotenkontext 4070. In dieser Datenstruktur ist der Knoten ein Knoten vom Typ T gemäß einigen Beispielen der vorliegenden Offenbarung, und es wurde eine Peer-Beziehung mit einem anderen T-Knoten in einem anderen Realm durch einen DANE Server festgelegt. In diesem Beispiel sind die Felder der Metadatenstruktur dieselben wie jene der 3, mit der Ausnahme, dass die Metadatenbeschränkungen 4040, die Nachfolger-Realm-Beschränkungen 4100, die Nachfolger-Realm-ACL 4110 und der Zugriffsverwaltungs-Provider 4130 nicht in diesem Fall angewendet werden können. Der Zugriffsverwaltungs-Provider 4130 wird vom DANE Server bereitgestellt.
  • Wendet man sich nun 5 zu, so ist ein Ablaufdiagramm eines Verfahrens 5000 zum Bilden eines Super-Realms aus einem ersten und einem zweiten Realm gemäß einigen Beispielen der vorliegenden Offenbarung gezeigt. In der Operation 5010 entdecken die Vorgängerknoten der ersten und zweiten Realms, dass das andere Realm kommunikativ erreichbar ist. Dies kann das Resultat davon sein, dass eine neue Vorrichtung zu einem der Realms hinzugefügt wurde, oder eine dritte Vorrichtung, die von den ersten und zweiten Realms erreichbar ist. Eine beispielhafte Vorrichtung kann ein Gateway umfassen.
  • In der Operation 5020 stimmen die Realms überein, einen Super-Realm zu bilden. In einigen Beispielen können die Vorgängerknoten jedes Realms eine oder mehrere Policy-Regeln für das Netzwerk evaluieren. Beispielhafte Policy-Regeln können eine White List von Vorrichtungen oder Realms umfassen, die sicher sind, um einen Super-Realm zu erzeugen, eine Black List, die Vorrichtungen oder Realms angibt, mit welchem der Realm keinen Super-Realm erzeugen sollte und dergleichen. In anderen Beispielen kann die Policy Regeln darüber enthalten, wie viele Super-Realms zu erzeugen sind. So können bei einer gewissen Größe z.B. die Knoten nicht wünschen, zusätzliche Schichten hinzuzufügen. In noch anderen Beispielen kann die Policy spezifizieren, dass der Realm keinen Super-Realm erzeugen soll (z.B. ist der Realm sehr sicherheitsempfindlich). Policy-Regeln können in der Skript-Bibliothek gespeichert werden, und sie können von einem Netzwerk-Server erhalten werden. Bei der Evaluierung der Policy können die Vorgängerknoten die Policy-Regeln einzeln evaluieren, und danach, wenn das Erzeugen des Super-Realms jede einzelne Policy erfüllt, zeigt der Vorgängerknoten dem anderen Vorgängerknoten an, dass er damit übereinstimmt, den Super-Realm zu erzeugen. Stimmen beide Vorgängerknoten überein, so haben die Realms übereingestimmt, den Super-Realm zu bilden.
  • In der Operation 5030 wählen die Vorgängerknoten jedes bestehenden Realms einen neuen Vorgängerknoten für den neuen Super-Realm. Die Verfahren zum Wählen eines Knotens können zum Zeitpunkt der Herstellung der Vorrichtung vorvereinbart (und somit im Code des Knotens eingebettet) worden sein, sie können Teil eines oder mehrere Skript-Ressourcen sein, die von einem Web-Dienst heruntergeladen werden oder dergleichen. Ein beispielhafter Wahlprozess kann das Wählen des Knotens mit dem niedrigsten oder höchsten Identifikator (z.B. einer UUID, einer MAC Adresse oder dergleichen), das Wählen des Knotens, welcher der Vorgänger des größten Sub-Realms ist, das Wählen des Knotens, welcher der Vorgänger des kleinsten Sub-Realms ist, unter Verwendung des Mega-Merger-Algorithmus, des Yo-Yo-Algorithmus oder dergleichen sein. In einigen Beispielen kann der bestehende Realm, für welchen der Vorgängerknoten zum Vorgängerknoten des Super-Realms gewählt wurde, einen neuen Vorgänger für den bestehenden Realm wählen. Wahlen können vor sich gehen, wie dies für die Wahl des Super-Realms beschrieben worden ist. In einigen Beispielen können die Knoten-Metabeschränkungen bestimmen, dass einer oder mehrere der Knoten des Realms nicht der Vorgänger des neuen Super-Realms sein können, oder ein Vorgänger eines der bestehenden Realms. In diesen Beispielen wird der Knoten, der disqualifiziert wird, aus dem Wahlprozess entfernt. Verbleibt nur ein Knoten im Wahlprozess, so wird der andere Knoten standardmäßig gewählt.
  • In der Operation 5040 stellt der Vorgänger des Super-Realms IdD-Realm-Dienste wie Schlüsselverwaltung, Zugriffsverwaltung, Netzwerkoperationen, Bereitstellung, Knoten- und Ressourcen-Discovery und andere Realm-Dienste bereit, um die Kommunikation unter den Knoten des Realms zu vereinfachen. Der Vorgänger kann einen oder mehrere dieser Realm-Dienste für sich selbst bereitstellen, oder für Vorgängerknoten der bestehenden Realms, oder für Nachfolgerknoten der bestehenden Realms des Super-Realms. Diese Zuweisung kann zufällig erfolgen (z.B. ein zufälliger Knoten im Super-Realm wird ausgewählt), sie kann basierend auf der Rolle zugewiesen werden (z.B. einige Knoten sind in gewisser Weise dazu fähig, diese Realm-Dienste durchzuführen), oder dergleichen.
  • In der Operation 5050 beginnen die Knoten, die ihren IdD-Realm-Diensten zugewiesen worden sind, damit, diese Funktionen durchzuführen. Die Identitäten und Kontaktinformationen für diese Knoten werden an andere Knoten verbreitet, so dass diese Knoten die bereitgestellten Dienste nutzen können.
  • Wendet man sich nun 6 zu, so ist eine schematische Darstellung eines beispielhaften IdD-Knotens 6000 gemäß einigen Beispielen der vorliegenden Offenbarung gezeigt. Der IdD-Knoten 6000 ist eine Rechenvorrichtung. Beispielhafte Rechenvorrichtungen umfassen Smart Meter, Smart Sensoren, verbundene Thermostate, verbundene Rauchmelder, Sicherheitssysteme, Smartphones, Laptops, Desktop-Computer, Tablet-Computer, Server und dergleichen. Der IdD-Knoten 6000 umfasst ein oder mehrere Ressourcen-Module 6010, welche Operationen auf der Rechenvorrichtung ausführen, um die Funktionen der IdD-Vorrichtung zu implementieren. Ressourcen-Module 6010 können IdD-Ressourcen und Funktionen bereitstellen und implementieren. IdD-Ressourcen sind für den Typ des IdD-Knotens 6000 spezifisch und implementieren die Funktionen der Vorrichtung. So können z.B. für einen verbundenen Thermostat Ressourcen die Fähigkeit umfassen, einen Heiz- oder Kühlnennwert festzulegen oder zu ändern, das System ein- oder abzuschalten und eine oder mehrere Einstellungen des Systems zu ändern.
  • Der IdD-Knoten 6000 umfasst ein Realm-Netzwerkmodul 6020, das die Teilnahme des Knotens in einem IdD-Realm implementiert. Das Realm-Netzwerkmodul 6020 implementiert die Erzeugung und Verwaltung von IdD-Realms. Das Realm-Netzwerkmodul 6020 bestimmt die Rolle dieses Knotens basierend auf Knoten-Metabeschränkungen (die in den Knotendaten 6040 gespeichert sein können). Rollen umfassen Vorgänger oder Nachfolger und oberer, mittlerer und Endpunkt. Das Realm-Netzwerkmodul 6020 kann das Verfahren der 5 implementieren, um einen anderen Realm zu detektieren, zu bestimmen, dass ein Realm, für welchen dieser Knoten ein Vorgänger ist, sich mit einem anderen Realm vereinigen soll, um einen Super-Realm zu bilden, einen neuen Vorgänger des neuen Super-Realms zu wählen und Knoten zuzuweisen, IdD-Realm-Dienste für den neuen Super-Realm durchzuführen.
  • Das Realm-Netzwerkmodul 6020 bestimmt basierend auf einer oder mehreren Zugriffskontrolllisten (ACLs), ob eine Anfrage von einer anderen IdD-Vorrichtung für IdD-Ressourcen und Funktionen zulässig ist oder abgelehnt wird. Das Realm-Netzwerkmodul 6020 erhält Anmeldeinformationen für die Vorrichtung von einem oder mehreren Anmeldeinformationserstellungsdiensten, die dem IdD-Knoten 6000 angezeigt werden. Anmeldeinformationen können in den Knotendaten 6040 gespeichert sein, und sie können dazu verwendet werden, den IdD-Knoten 6000 gegenüber anderen Knoten zu authentifizieren und um sicher mit anderen IdD-Knoten zu kommunizieren.
  • Das Kommunikationsmodul 6030 implementiert Schichten eines Netzwerkprotokollstapels, um Knoten-zu-Knoten-Kommunikationen ermöglichen zu können. Diese Schichten können physische Schichten, Verknüpfungsschichten, Internetschichten, Transportschichten und in einigen Fällen gewissen Anwendungsschichtprotokolle (z.B. HyperText Transfer Protocol (HTTP)) umfassen. In einigen Beispielen können Knoten mit einander unter Verwendung von http kommunizieren. In einigen Beispielen nutzen Knoten ein Representational State Transfer-Protokoll (REST-Protokoll).
  • Die Knotendaten 6040 umfassen Knotendaten und Kontexte, wie dies in den 3 und 4 gezeigt ist. Knotendaten 6040 können Zugriffskontrolllisten (ACLs), Metabeschränkungen für diesen Knoten, Policys für die Realm-Bildung, andere Policys und dergleichen umfassen. Die Daten in den Knotendaten 6040 können vom Hersteller einer Vorrichtung vorab geladen werden, oder sie können von einer oder mehreren entfernten Datenquellen bereitgestellt werden. In einigen Beispielen können ACLs, Policys und dergleichen von einem oder mehreren anderen IdD-Knoten, die autorisiert sind, diese Daten zu aktualisieren, aktualisiert werden.
  • Das Realm-Dienste-Modul 6050 kann einen oder mehrere IdD-Realm-Dienste wie Schlüsselverwaltung, Zugriffsverwaltung, Netzwerkoperationen, Bereitstellung, Knoten- und Ressourcen-Discovery und die anderen Realm-Dienste bereitstellen, um die Kommunikation unter den Knoten des Realms zu vereinfachen. In einigen Beispielen werden die Realm-Dienste bereitgestellt, indem ein oder mehrere Skripten vom Skripten-Modul 6060 ausgeführt werden. Das Skripten-Modul 6060 kann ein oder mehrere Skripten speichern, verwalten, erzeugen oder abrufen. Eine weitere Beschreibung dieser Realm-Dienste wird im folgenden Text bereitgestellt.
  • REALM-DIENSTE FÜR DIE ZUGRIFFSVERWALTUNG
  • Zugriffskontrolllisten (Access Control Lists, ACLs) sind ein vordefinierter Satz von Zugriffs-Policys und Regeln für den Zugriff auf Ressourcen und Funktionen eines Knotens. Jeder Knoten, der eine Ressource aufweist, auf die von einem anderen Knoten zugegriffen werden kann, weist eine assoziierte ACL auf. ACLs enthalten einen oder mehrere Zugriffskontrolleinträge (Access Control Entries, ACE). Jeder ACE ist entweder ein gegenstandbasierter Zugriffskontrolleintrag (subject-based access control, SBAC) oder ein rollenbasierter Zugriffskontrolleintrag /Role-based Access control, RBAC). SBAC Einträge enthalten eine Identität eines anderen Knotens, eine Ressource und einen Satz von Zugriffsberechtigungen von dieser Einheit für die Ressource. RBAC Einträge enthalten eine Rolle eines anderen Knotens, eine Ressource und einen Satz von Zugriffsberechtigungen von dieser Rolle für die Ressource. Berechtigungen werden dadurch definiert, ob der im ACE beschriebene Eintrag Create, Read, Update, Delete und Notify (CRUDN) Berechtigungen besitzt oder nicht. Stellt ein anfragender Knoten eine Zugriffsanfrage an eine Ressource von einem Server-Knoten, so präsentiert der anfragende Knoten seine Anmeldeinformationen dem Server-Knoten. Der Server-Knoten validiert die Anmeldeinformationen (um die Identität der anfragenden Einheit zu validieren) und untersucht danach seine ACL, um zu bestimme, ob der anfragende Knoten die Berechtigung hat, auf die Ressource zuzugreifen. Bestimmt die ACL, dass der anfragende Knoten keine Berechtigung hat, so wird die Anfrage abgelehnt. Eine ACL kann in den Knoten vorprogrammiert werden, oder sie kann von einem Zugriffsverwaltungsdienst (Access Management Service, AMS) erhalten werden.
  • Während Knoten ACLs lokal hosten können, kann ein AMS Zugriffskontrollentscheidungen zentralisieren. Wie zuvor erwähnt, kann der AMS von einem oder mehreren der Knoten eines Realms implementiert werden. Server-Knoten behalten dennoch Durchsetzungsaufgaben. Stellt ein Knoten eine Anfrage für eine Funktion oder Ressource, so kontaktiert er den Server-Knoten. Der Server-Knoten kann seine lokale ACL konsultieren, welche die Anfrage an den AMS weiterleitet. Der Server-Knoten kontaktiert daraufhin den AMS, der den Zugriff basierend auf seiner zentralisierten ACL annimmt oder ablehnt. Diese Antwort wird daraufhin zum anfragenden Knoten weitergeleitet. In anderen Beispielen leitet der Server-Knoten den Client an den AMS weiter. Gewährt der AMS eine Berechtigung, so gewährt er eine unterzeichnete ACL (signed ACL, SACL) dem anfragenden Knoten. Der anfragende Knoten stellt daraufhin erneut eine Anfrage auf Zugriff auf die Funktion oder Ressource und umfasst die SACL. Die SACL wird daraufhin vom Server-Knoten validiert, und wenn sie validiert ist, wird der Zugriff gewährt.
  • Sowohl ACL bereitstellende Realm-Dienste als auch Zugriffsverwaltungsdienste können Dienste sein, die von einem Vorgängerknoten für einen Realm bereitgestellt werden. Diese Dienste können vom Vorgängerknoten oder von einem oder mehreren Nachfolgerknoten durchgeführt werden.
  • REALM-DIENSTE ZUR SCHLÜSSELVERWALTUNG
  • Schlüsselverwaltungsfunktionen umfassen die Bereitstellung und Verwaltung von Anmeldeinformationen. Anmeldeinformationen bereitstellende Dienste stellen viele verschiedene Typen von Anmeldeinformationen für die Knoten bereit. Diese umfassen paarweise symmetrische Schlüssel, gruppensymmetrische Schlüssel, asymmetrische Schlüsse und unterzeichnete asymmetrische Schlüssel. Diese Schlüssel werden verwendet, um sicher mit anderen Knoten des Netzwerks zu kommunizieren, und sie werden durch Kommunikationen mit den Anmeldeinformation bereitstellenden Realm-Diensten erzeugt. Schlüssel werden von Knoten verwendet, um einander zu authentifizieren, wenn ein Zugriff auf eine Ressource auf einem der Knoten angefragt wird. Schlüsselverwaltungsfunktionen umfassen auch das Widerrufen von erteilten Anmeldeinformationen, sollte dies erforderlich sein. Dies erfolgt durch Wartung einer Liste von widerrufenden Anmeldeinformationen und ihren entsprechenden Vorrichtungen.
  • REALM-DIENSTE ZUR BEREITSTELLUNG
  • Die Bereitstellung umfasst die Bereitstellung der neuen IdD-Knoten-Information, die erforderlich ist, um dem Realm beizutreten und auf IdD-Realm-Dienste zuzugreifen. Beispielhafte Informationen umfassen Knoten-Discovery, geografischer Ort, Zeitzone, Sicherheitsanforderungen und dergleichen. Diese Informationen können vorab auf einen IdD-Knoten geladen werden, oder sie können vom Bereitstellungsdienst erhalten werden.
  • REALM-DIENSTE ZUR KNOTEN-DISCOVERY UND RESSOURCEN-DISCOVERY
  • Die Knoten-Discovery ist der Prozess, mit welchem die Knoten einander entdecken. Dies kann erfolgen, indem eine Discovery-Anfrage an eine Multi-Cast-Adresse gesendet wird. Knoten, die diese Adresse abonniert haben, senden Antworten an den anfragenden Knoten. Die Ressourcen-Discovery ist der Prozess, mit welchem Knoten Ressourcen der anderen Knoten auffinden können. Dieser Discovery-Prozess kann direkt, indirekt oder dergleichen sein. Es handelt sich um eine direkte Discovery, wenn Ressourcen lokal am Knoten, der die Vorrichtungen hostet, veröffentlicht werden und durch eine Peer-Nachfrage gefunden werden. Es handelt sich um eine indirekte Discovery, wenn Ressourcen für einen Ressourcen-Discovery-Dienst einer dritten Partei veröffentlicht werden und Knoten die Discovery gegen diesen Dienst veröffentlichen und durchführen. Die Knoten-Discovery und die Ressourcen-Discovery-Realm-Dienste können den Prozess der Knoten- und Ressourcen-Discovery unterstützen, indem eine Liste von Knoten, Funktionen und Ressourcen geführt wird, die innerhalb des Realms verfügbar sind. Knoten veröffentlichen ihre Gegenwart und ihre Ressourcen und Funktionen dem Dienst und können auch andere Knoten und ihre Ressourcen und Dienste durch den Dienst auffinden.
  • Während die obigen Realm-Dienste getrennt beschrieben wurde, wird eine Person mit allgemeinen Kenntnissen der Technik mit dem Vorteil der Offenbarung der Anmelderin erkennen, dass die Dienste kombiniert werden können oder die aufgelisteten Dienste in Teildienste aufgeteilt werden können. In noch anderen Beispielen können andere Dienste für den Vorgängerknoten in einem Realm bereitgestellt oder an einen Nachfolgerknoten delegiert werden.
  • BESCHREIBUNG DER MASCHINEN-HARDWARE
  • 7 veranschaulicht ein Blockdiagramm einer beispielhaften Maschine 7000, auf welcher eine beliebige oder mehrere der hierin erläuterten Techniken (z.B. Methodiken) durchgeführt werden können. In alternativen Ausführungsformen kann die Maschine 7000 als eine freistehende Vorrichtung operieren, oder sie kann an andere Maschinen angeschlossen sein (z.B. über ein Netzwerk verbunden sein). In einem Netzwerkeinsatz kann die Maschine 7000 in der Rolle einer Server-Maschine, einer Client-Maschine oder beide in Server-Client-Netzwerkumgebungen arbeiten. In einem Beispiel kann die Maschine 7000 als eine Peer-Maschine in einer Peer-zu-Peer-Netzwerkumgebung (P2P) (oder mit einer anderen Verteilung) arbeiten. Die Maschine 7000 kann ein IdD-Knoten (z.B. eine Rechenvorrichtung), ein Personal Computer (PC), ein Tablet-PC, eine Set-Top-Box (STB), ein Personal Digital Assistant (PDA), ein Mobiltelefon, ein Smartphone, eine Webanwendung, ein Netzwerk-Router, ein Switch oder eine Brücke oder jede Maschine sein, die in der Lage ist, Instruktionen (sequenziell oder anders) auszuführen, die Aktionen spezifiziert, die von dieser Maschine durchzuführen sind. Während nur eine einzelne Maschine veranschaulicht ist, kann ferner der Begriff „Maschine“ auch so aufgefasst werden, dass er eine beliebige Sammlung von Maschinen umfasst, die einzeln oder zusammen einen Satz (oder mehrere Sätze) von Instruktionen ausführen, um eine oder mehrere der hierin erläuterten Methodiken durchzuführen, so z.B. Cloud Computing, Software as a Service (SaaS), oder Computer-Cluster-Konfigurationen.
  • Beispiele, wie sie hierin beschrieben sind, können Logik oder eine Anzahl von Komponenten, Modulen oder Mechanismen umfassen oder betreiben. Module sind konkrete Einheiten (z.B. Hardware), die in der Lage sind, spezifizierte Operationen durchzuführen, und sie können in einer gewissen Weise konfiguriert oder angeordnet sein. In einem Beispiel können Schaltkreise in einer spezifizierten Weise als ein Modul angeordnet sein (z.B. z.B. innerhalb oder mit Bezug auf die externen Einheiten wie andere Schaltkreise). In einem Beispiel können das gesamte oder ein Teil eines oder mehrere Computersysteme (z.B. ein freistehendes, Client- oder Server-Computersystem) oder ein oder mehrere Hardware-Prozessoren durch Firmware oder Software (z.B. Instruktionen, einen Anwendungsabschnitt oder eine Anwendung) als ein Modul konfiguriert werden, das wirkt, um spezifizierte Operationen durchzuführen. In einem Beispiel kann die Software auf einem maschinenlesbaren Medium liegen. In einem Beispiel bewirkt die Software, wenn sie von der darunterliegenden Hardware des Moduls ausgeführt wird, dass die Hardware die spezifizierten Operationen durchführt.
  • Demgemäß ist der Begriff „Modul“ so zu verstehen, dass er eine konkrete Einheit umfasst, sei dies nun eine Einheit, die physisch konstruiert, spezifisch konfiguriert (z.B. festverdrahtet), oder temporär (z.B. vorübergehend) konfiguriert ist (z.B. programmiert), um in einer spezifischen Weise zu arbeiten oder um einen Teil oder alle der hierin beschriebenen Operationen durchzuführen. Unter Berücksichtigung von Beispielen, in welchen Module temporär konfiguriert sind, muss nicht jedes der Module zu jedem Zeitpunkt instanziiert sein. Wenn z.B. die Module einen Allzweck-Hardware-Prozessor aufweisen, der unter Verwendung von Software konfiguriert wird, kann der Allzweck-Hardware-Prozessor als jeweils verschiedene Module zu verschiedenen Zeitpunkten konfiguriert werden. Software kann demgemäß einen Hardware-Prozessor konfigurieren, um z.B. ein bestimmtes Modul zu einem Zeitpunkt zu konstituieren und ein anderes Modul zu einem anderen Zeitpunkt zu konstituieren.
  • Die Maschine (z.B. ein Computersystem) 7000 kann einen Hardware-Prozessor 7002 (z.B. eine zentrale Verarbeitungseinheit (central processing unit, CPU), eine Grafikverarbeitungseinheit (graphics processing unit, GPU), einen Hardware-Prozessor-Kern oder jede beliebige Kombination davon), einen Hauptspeicher 7004 und einen statischen Speicher 7006 umfassen, wovon einige oder alle miteinander über einen Interlink (z.B. Bus) 7008 kommunizieren können. Die Maschine 7000 kann ferner eine Anzeigeeinheit 7010, eine alphanummerische Eingabevorrichtung 7012 (z.B. eine Tastatur) und eine Benutzerschnittstellen-Navigationsvorrichtung (user interface, UI) 7014 (z.B. eine Maus) umfassen. In einem Beispiel können die Anzeigeeinheit 7010, die Eingabevorrichtung 7012 und die UI-Navigationsvorrichtung 7014 eine Touch-Screen-Anzeige sein. Die Maschine 7000 kann zusätzlich eine Speichervorrichtung (z.B. eine Antriebseinheit) 7016, eine Signalerzeugungsvorrichtung 7018 (z.B. einen Lautsprecher), eine Netzwerk-Schnittstellenvorrichtung 7020 und einen oder mehrere Sensoren 7021 wie einen Global Positioning System (GPS) Sensor, einen Kompass, einen Beschleunigungsmesser oder einen anderen Sensor umfassen. Die Maschine 7000 kann eine Ausgabesteuerung 7028 wie einen seriellen (z.B. universellen seriellen Bus (USB), parallelen oder anders verdrahteten oder drahtlosen (z.B. Infrarot (IR), Nahfeldkommunikation (NFC) etc.) Anschluss umfassen, um mit einer oder mehreren peripheren Vorrichtungen (z.B. einem Drucker, einem Kartenlesegerät etc.) zu kommunizieren oder diese zu steuern.
  • Die Speichervorrichtung 7016 kann ein maschinenlesbares Medium 7022 umfassen, auf welchem ein oder mehrere Sätze von Datenstrukturen oder Instruktionen 7024 (z.B. Software) gespeichert sind, die eine oder mehrere der hierin beschriebenen Techniken oder Funktionen enthalten oder von diesen genutzt werden. Die Instruktionen 7024 können auch, vollständig oder zumindest teilweise, im statischen Speicher 7006 oder innerhalb des Hardware-Prozessors 7002 während der Ausführung dieser durch die Maschine 7000 liegen. In einem Beispiel können eine oder eine beliebige Kombinationen aus dem Hardware-Prozessor 7002, dem Hauptspeicher 7004, dem statischen Speicher 7006 oder der Speichervorrichtung 7016 die maschinenlesbaren Daten darstellen.
  • Während das maschinenlesbare Medium 7022 als ein einzelnes Medium veranschaulicht ist, kann der Begriff „maschinenlesbares Medium“ ein einzelnes Medium oder mehrere Medien umfassen (z.B. eine zentralisierte oder verteilte Datenbank und/oder assoziierte Caches und Server), die dazu konfiguriert sind, die eine oder mehrere Instruktionen 7024 zu speichern.
  • Der Begriff „maschinenlesbares Medium“ kann jedes Medium umfassen, das in der Lage ist, Instruktionen zum Ausführen durch die Maschine 7000 zu speichern, zu kodieren oder zu tragen, und das die Maschine 7000 veranlassen kann, eine oder mehrere der Techniken der vorliegenden Offenbarung durchzuführen, oder das in der Lage ist, von solchen Instruktionen verwendete oder damit assoziierte Datenstrukturen zu speichern, zu kodieren oder zu tragen. Nicht-einschränkende Beispiele für ein maschinenlesbares Medium können monolithische Speicher und optische und magnetische Medien umfassen. Spezifische Beispiele für maschinenlesbare Medien können umfassen: nichtflüchtigen Speicher wie Halbleiter-Speichervorrichtungen (z.B. Electrically Programmable Read-Only Memory (EPROM), Electrically Erasable Programmable Read-Only Memory (EEPROM)) und Flash-Memory-Vorrichtungen; Magnet-Disks wie interne Hard-Disks und entfernbare Disks; magnetisch-optische Disks; Random Access Memory (RAM); Solid State Drives (SSD); und CD-ROM und DVD-ROM Disks. In einigen Beispielen können die maschinenlesbaren Medien nichtflüchtige maschinenlesbare Medien umfassen. In einigen Beispielen können maschinenlesbare Medien maschinenlesbare Medien umfassen, die keine vorübergehenden propagierenden Signale sind.
  • Die Instruktionen 7024 können ferner über ein Kommunikationsnetzwerk 7026 unter Verwendung eines Übertragungsmediums über die Netzwerk-Schnittstellenvorrichtung 7020 übertragen oder empfangen werden. Die Maschine 7000 kann mit einer oder mehreren anderen Maschinen kommunizieren, wobei sie ein beliebiges einer Anzahl von Transferprotokollen nutzt (z.B. Frame-Relay, Internet-Protokoll (IP), Transmission Control Protocol (TCP), User Datagram Protocol (UDP), Hypertext Transfer Protocol (HTTP) etc.). Beispielhafte Kommunikationsnetzwerke können ein Local Area Network (LAN), ein Wide Area Network (WAN), ein Packet Data Network (z.B. das Internet), Mobiltelefonnetzwerke (z.B. Mobilnetzwerke), Plain Old Telephone (POTS) Netzwerke und drathlose Datennetzwerke (z.B. Institute of Electrical and Electronics Engineers (IEEE) 802.11 Normenfamilie, bekannt als Wi-Fi®, IEEE 802.16 Normenfamilie, bekannt als WiMax®), IEEE 802.15.4 Normenfamilie, eine Long Term Evolution (LTE) Normenfamilie, eine Universal Mobile Telecommunications System (UMTS) Normenfamilie, Peer-zu-Peer-Netzwerke (P2P) networks, um nur einige zu nennen. In einem Beispiel kann die Netzwerk-Schnittstellenvorrichtung 7020 eine oder mehrere physische Buchsen (z.B. Ethernet-, koaxiale oder Telefonbuchsen) umfassen, oder eine oder mehrere Antennen, um sich mit dem Kommunikationsnetzwerk 7026 zu verbinden. In einem Beispiel kann die Netzwerk-Schnittstellenvorrichtung 7020 eine Mehrzahl von Antennen umfassen, um drahtlos unter Verwendung mindestens einer der Single-Input Multiple-Output (SIMO), Multiple-Input Multiple-Output (MIMO) oder Multiple-Input Single-Output (MISO) Techniken zu kommunizieren. In einigen Beispielen kann die Netzwerk-Schnittstellenvorrichtung 7020 drahtlos unter Verwendung von MIMO Techniken für mehrere Benutzer kommunizieren.
  • ANDERE ANMERKUNGEN UND BEISPIELE
  • Beispiel 1 ist ein nichtflüchtiges maschinenlesbares Medium, umfassend Instruktionen, die, wenn sie von der Maschine durchgeführt werden, die Maschine veranlassen, Operationen durchzuführen, die umfassen: an einem Vorgängerknoten in einem ersten Realm, der mindestens einen Nachfolgerknoten umfasst: Bestimmen, dass ein zweiter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den ersten Realm erreichbar ist; Bestimmen, einen dritten Realm, umfassend die ersten und zweiten Realms als Sub-Realms, durch Übereinstimmung mit dem Vorgängerknoten des zweiten Realms zu bilden; Wählen, durch einen Wahlvorgang, des Vorgängerknotens des ersten Realms als einen Vorgängerknoten des dritten Realms; Bereitstellen mindestens eines Realm-Dienstes, um mindestens eine Anfrage eines Nachfolgerknotens des dritten Realms zu bedienen; und Verbreiten des mindestens einen Realm-Dienstes an die Nachfolgerknoten des dritten Realms
  • Im Beispiel 2 umfasst der Gegenstand des Beispiels 1 optional, wobei mindestens ein Realm-Dienst einen davon umfasst: einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst oder einen Ressourcen-Discovery-Dienst.
  • Im Beispiel 3 umfasst der Gegenstand eines oder mehrere der Beispiele 1-2 optional, wobei die Operationen zum Bestimmen, einen dritten Realm zu bilden, der die ersten und zweiten Realms umfasst, die Operationen zum Bestimmen umfasst, dass eine Policy-Regel, die von einem Server erhalten wird, anzeigt, dass die ersten und zweiten Realms einen dritten Realm bilden sollten.
  • Im Beispiel 4 umfasst der Gegenstand eines oder mehrere der Beispiele 1-3 optional, wobei die Operationen zum Bereitstellen des mindestens einen Realm-Diensts, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen zum Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten umfassen.
  • Im Beispiel 5 umfasst der Gegenstand des Beispiels 4 optional, wobei das Bereitstellen mindestens eines Realm-Dienstes am Vorgängerknoten das Ausführen von Instruktionen von einem Skript, das über ein Netzwerk von einer Skript-Bibliothek erhalten wird, umfasst.
  • Im Beispiel 6 umfasst der Gegenstand eines oder mehrere der Beispiele 1-5 optional, wobei die Operationen zum Bereitstellen des mindestens eines Realm-Dienstens, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen des Zuweisens eines Nachfolgerknotens des ersten Realms umfassen, um den mindestens einen Realm-Dienst bereitzustellen.
  • Im Beispiel 7 umfasst der Gegenstand eines oder mehrere der Beispiele 1-6 optional, wobei die Operationen umfassen: Bestimmen, dass ein vierter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den dritten Realm erreichbar ist; Bestimmen, durch Kommunikation mit dem Vorgängerknoten des vierten Realms, einen fünften Realm, umfassend den dritten Realm und den vierten Realm als Sub-Realms, zu bilden; und Wählen, durch einen Wahlprozess, des Vorgängerknotens des vierten Realms als einen Vorgängerknoten des fünften Realms.
  • Im Beispiel 8 umfasst der Gegenstand des Beispiels 7 optional, wobei die Operationen umfassen: Bereitstellen einer ersten Zugriffskontrollliste für den dritten Realm und einer zweiten Zugriffskontrollliste für den fünften Realm, wobei die erste Zugriffskontrollliste Zugriffskontrollen für mindestens eine Ressource des Vorgängerknotens für andere Knoten im dritten Realm spezifiziert, wobei die zweite Zugriffskontrollliste Zugriffskontrollen für die mindestens eine Ressource für andere Knoten im fünften Realm spezifiziert.
  • Im Beispiel 9 umfasst der Gegenstand des Beispiels 8 optional, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator eines Knotens und einen Identifikator eines Zugriffstyps umfasst, der für den Knoten zugelassen ist.
  • Im Beispiel 10 umfasst der Gegenstand eines oder mehrere der Beispiele 8-9 optional, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator einer Rolle und einen Identifikator eines Zugriffstyps umfasst, der für die Rolle zugelassen ist.
  • Beispiel 11 ist eine Vorrichtung, die umfasst: einen Computer-Prozessor; einen nichtflüchtigen Speicher, der Instruktionen speichert, die, wenn sie vom Computer-Prozessor durchgeführt werden, die Vorrichtung veranlassen, Operationen durchzuführen, umfassend: an einem Vorgängerknoten in einem ersten Realm umfassend mindestens einen Nachfolgerknoten: Bestimmen, dass ein zweiter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den ersten Realm erreichbar ist; Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm als Sub-Realms, durch Übereinstimmung mit dem Vorgängerknoten des zweiten Realms zu bilden; Wählen, durch einen Wahlprozess, des Vorgängerknotens des ersten Realms als einen Vorgängerknoten des dritten Realms; Bereitstellen mindestens eines Realm-Dienstes, um mindestens eine Anfrage eines Nachfolgerknotens des dritten Realms zu bedienen; und Verbreiten des mindestens einen Realm-Dienstes an Nachfolgerknoten des dritten Realms.
  • Im Beispiel 12 umfasst der Gegenstand des Beispiels 11 optional, wobei der mindestens eine Realm-Dienst einen der Folgenden umfasst: einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst oder einen Ressourcen-Discovery-Dienst.
  • Im Beispiel 13 umfasst der Gegenstand eines oder mehrere der Beispiele 11-12 optional, wobei die Operationen zum Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm, zu bilden, die Operationen zum Bestimmen umfassen, dass eine von einem Server erhaltene Policy-Regel angibt, dass die ersten und zweiten Realms einen dritten Realm bilden sollten.
  • Im Beispiel 14 umfasst der Gegenstand eines oder mehrere der Beispiele 11-13 optional, wobei die Operationen zum Bereitstellen des mindestens einen Realm-Dienstens, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen des Bereitstellens des mindestens einen Realm-Dienstes am Vorgängerknoten umfassen.
  • Im Beispiel 15 umfasst der Gegenstand des Beispiels 14 optional, wobei das Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten das Ausführen von Instruktionen von einem über ein Netzwerk von einer Bibliothek von Skripten erhaltenen Skript umfasst.
  • Im Beispiel 16 umfasst der Gegenstand eines oder mehrere der Beispiele 11-15 optional, wobei die Operationen zum Bereitstellen des mindestens einen Realm-Dienstes, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen zum Zuweisen eines Nachfolgerknotens des ersten Realms umfassen, um den mindestens einen Realm-Dienst bereitzustellen.
  • Im Beispiel 17 umfasst der Gegenstand eines oder mehrere der Beispiele 11-16 optional, wobei die Operationen umfassen: Bestimmen, dass ein vierter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den dritten Realm erreichbar ist; Bestimmen, durch Kommunikation mit dem Vorgängerknoten des vierten Realms, einen fünften Realm, umfassend den dritten Realm und den vierten Realm als Sub-Realms, zu bilden; und Wählen, durch einen Wahlprozess, des Vorgängerknotens des vierten Realms als einen Vorgängerknoten des fünften Realms.
  • Im Beispiel 18 umfasst der Gegenstand des Beispiels 17 optional, wobei die Operationen umfassen: Bereitstellen einer ersten Zugriffskontrollliste für den dritten Realm und einer zweiten Zugriffskontrollliste für den fünften Realm, wobei die erste Zugriffskontrollliste Zugriffskontrollen für mindestens eine Ressource des Vorgängerknotens für andere Knoten im dritten Realm spezifiziert, wobei die zweite Zugriffskontrollliste Zugriffskontrollen für die mindestens eine Ressource für andere Knoten im fünften Realm spezifiziert.
  • Im Beispiel 19 umfasst der Gegenstand des Beispiels 18 optional, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator eines Knotens und einen Identifikator eines Zugriffstyps umfasst, der für den Knoten zugelassen ist.
  • Im Beispiel 20 umfasst der Gegenstand eines oder mehrere der Beispiele 18-19 optional, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator einer Rolle und einen Identifikator eines Zugriffstyps umfasst, der für die Rolle zugelassen ist.
  • Beispiel 21 ist ein Verfahren, das umfasst: an einem Vorgängerknoten in einem ersten Realm, umfassend mindestens einen Nachfolgerknoten, unter Verwendung eines Computer-Prozessors: Bestimmen, dass ein zweiter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den ersten Realm erreichbar ist; Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm als Sub-Realms, durch Übereinstimmung mit dem Vorgängerknoten des zweiten Realms zu bilden; Wählen, durch einen Wahlprozess, des Vorgängerknotens des ersten Realms als einen Vorgängerknoten des dritten Realms; Bereitstellen mindestens eines Realm-Dienstes, um mindestens eine Anfrage eines Nachfolgerknotens des dritten Realms zu bedienen; und
    Verbreiten des mindestens einen Realm-Dienstes an Nachfolgerknoten des dritten Realms.
  • Im Beispiel 22 umfasst der Gegenstand des Beispiels 21 optional, 22, wobei der mindestens eine Realm-Dienst einen der Folgenden umfasst: einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst oder einen Ressourcen-Discovery-Dienst.
  • Im Beispiel 23 umfasst der Gegenstand eines oder mehrere der Beispiele 21-22 optional, wobei die das Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm, zu bilden, das Bestimmen umfasst, dass eine von einem Server erhaltene Policy-Regel angibt, dass die ersten und zweiten Realms einen dritten Realm bilden sollten.
  • Im Beispiel 24 umfasst der Gegenstand eines oder mehrere der Beispiele 21-23 optional, wobei das Bereitstellen des mindestens einen Realm-Dienstens, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, das Bereitstellen des mindestens einen Realm-Diensts am Vorgängerknoten umfasst.
  • Im Beispiel 25 umfasst der Gegenstand des Beispiels 24 optional, wobei das Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten das Ausführen von Instruktionen von einem über ein Netzwerk von einer Bibliothek von Skripten erhaltenen Skript umfasst.
  • Im Beispiel 26 umfasst der Gegenstand eines oder mehrere der Beispiele 21-25 optional, wobei das Bereitstellen des mindestens eines Realm-Dienstes, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, das Zuweisen eines Nachfolgerknotens des ersten Realms umfasst, um den mindestens einen Realm-Dienst bereitzustellen.
  • Im Beispiel 27 umfasst der Gegenstand eines oder mehrere der Beispiele 21-26 optional: Bestimmen, dass ein vierter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den dritten Realm erreichbar ist; Bestimmen, durch Kommunikation mit dem Vorgängerknoten des vierten Realms, einen fünften Realm, umfassend den dritten Realm und den vierten Realm als Sub-Realms, zu bilden; und Wählen, durch einen Wahlprozess, des Vorgängerknotens des vierten Realms als einen Vorgängerknoten des fünften Realms.
  • Im Beispiel 28 umfasst der Gegenstand des Beispiels 27 optional: Bereitstellen einer ersten Zugriffskontrollliste für den dritten Realm und einer zweiten Zugriffskontrollliste für den fünften Realm, wobei die erste Zugriffskontrollliste Zugriffskontrollen für mindestens eine Ressource des Vorgängerknotens für andere Knoten im dritten Realm spezifiziert, wobei die zweite Zugriffskontrollliste Zugriffskontrollen für die mindestens eine Ressource für andere Knoten im fünften Realm spezifiziert.
  • Im Beispiel 29 umfasst der Gegenstand des Beispiels 28 optional, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator eines Knotens und einen Identifikator eines Zugriffstyps umfasst, der für den Knoten zugelassen ist.
  • Im Beispiel 30 umfasst der Gegenstand eines oder mehrere der Beispiele 28-29 optional, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator einer Rolle und einen Identifikator eines Zugriffstyps umfasst, der für die Rolle zugelassen ist.
  • Beispiel 31 ist eine Vorrichtung, umfassend: an einem Vorgängerknoten in einem ersten Realm, der mindestens einen Nachfolgerknoten umfasst, unter Verwendung eines Computer-Prozessors: Mittel zum Bestimmen, dass ein zweiter Realm, der mindestens einen Vorgängerknoten umfasst, kommunikativ für den ersten Realm erreichbar ist; Mittel zum Bestimmen, einen dritten Realm zu bilden, der die ersten und zweiten Realms als Sub-Realms umfasst, durch Übereinstimmung mit dem Vorgängerknoten des zweiten Realms; Mittel zum Wählen, durch einen Wahlprozess, des Vorgängerknotens des ersten Realms als einen Vorgängerknoten des dritten Realms; Mittel zum Bereitstellen mindestens eines Realm-Dienstes, um mindestens eine Anfrage eines Nachfolgerknotens des dritten Realms zu bedienen; und Mittel zum Verbreiten des mindestens einen Realm-Dienstes an Nachfolgerknoten des dritten Realms.
  • Im Beispiel 32 umfasst der Gegenstand des Beispiels 31 optional, wobei der mindestens eine Realm-Dienst einen der Folgenden umfasst: einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst oder einen Ressourcen-Discovery-Dienst.
  • Im Beispiel 33 umfasst der Gegenstand eines oder mehrere der Beispiele 31-35 optional, wobei das Mittel zum Bestimmen, einen dritten Realm zu bilden, der die ersten und zweiten Realms umfasst, Mittel zum Bestimmen umfasst, dass eine Policy-Regel, die von einem Server erhalten wird, angibt, dass die ersten und zweiten Realms einen dritten Realm bilden sollten.
  • Im Beispiel 34 umfasst der Gegenstand eines oder mehrere der Beispiele 31-33 optional, wobei das Mittel zum Bereitstellen des mindestens einen Realm-Dienstes, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, Mittel zum Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten umfasst.
  • Im Beispiel 35 umfasst der Gegenstand des Beispiels 34 optional, wobei das Mittel zum Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten Mittel zum Ausführen von Instruktionen von einem Skript umfasst, das von einem Skript über ein Netzwerk von einer Bibliothek von Skripten erhalten wird.
  • Im Beispiel 36 umfasst der Gegenstand eines oder mehrere der Beispiele 31-35 optional, wobei das Mittel zum Bereitstellen des mindestens einen Realm-Diensts, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, Mittel zum Zuweisen eines Nachfolgerknotens des ersten Realms umfasst, um den mindestens einen Realm-Dienst bereitzustellen.
  • Im Beispiel 37 umfasst der Gegenstand eines oder mehrere der Beispiele 31-36 optional: Mittel zum Bestimmen, dass ein vierter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den dritten Realm erreichbar ist; Mittel zum Bestimmen, durch Kommunikation mit dem Vorgängerknoten des vierten Realms, einen fünften Realm, umfassend den dritten Realm und den vierten Realm als Sub-Realms, zu bilden; und Mittel zum Wählen, durch einen Wahlprozess, des Vorgängerknotens des vierten Realms als einen Vorgängerknoten des fünften Realms.
  • Im Beispiel 38 umfasst der Gegenstand des Beispiels 37 optional: Mittel zum Bereitstellen einer ersten Zugriffskontrollliste für den dritten Realm und einer zweiten Zugriffskontrollliste für den fünften Realm, wobei die erste Zugriffskontrollliste Zugriffskontrollen für mindestens eine Ressource des Vorgängerknotens für andere Knoten im dritten spezifiziert, wobei die zweite Zugriffskontrollliste Zugriffskontrollen für die mindestens eine Ressource für andere Knoten im fünften Realm spezifiziert.
  • Im Beispiel 39 umfasst der Gegenstand des Beispiels 38 optional, Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator eines Knotens und einen Identifikator eines Zugriffstyps umfasst, der für den Knoten zugelassen ist.
  • Im Beispiel 40 umfasst der Gegenstand eines oder mehrere der Beispiele 38-39 optional, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator einer Rolle und einen Identifikator eines Zugriffstyps umfasst, der für die Rolle zugelassen ist.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 14/977870 [0001]

Claims (25)

  1. Nichtflüchtiges maschinenlesbares Medium, umfassend Instruktionen, welche, wenn sie von der Maschine durchgeführt werden, die Maschine veranlassen, Operationen durchzuführen, umfassend: an einem Vorgängerknoten in einem ersten Realm, umfassend mindestens einen Nachfolgerknoten: Bestimmen, dass ein zweiter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den ersten Realm erreichbar ist; Bestimmen, einen dritten Realm, umfassend den ersten und zweiten Realm als Sub-Realms, durch Übereinstimmung mit dem Vorgängerknoten des zweiten Realms zu bilden; Wählen, durch einen Wahlvorgang, des Vorgängerknotens des ersten Realms als einen Vorgängerknoten des dritten Realms; Bereitstellen mindestens eines Realm-Dienstes, um mindestens eine Anfrage eines Nachfolgerknotens des dritten Realms zu bedienen; und Verbreiten des mindestens einen Realm-Dienstes an Nachfolgerknoten des dritten Realms.
  2. Maschinenlesbares Medium nach Anspruch 1, wobei der mindestens eine Realm-Dienst einen der Folgenden umfasst: einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst oder einen Ressourcen-Discovery-Dienst.
  3. Maschinenlesbares Medium nach Anspruch 1, wobei die Operationen zum Bestimmen, einen dritten Realm, umfassend den ersten und zweiten Realm, zu bilden, die Operationen des Bestimmens umfassen, dass eine von einem Server erhaltene Policy-Regel angibt, dass der erste und zweite Realm einen dritten Realm bilden sollten.
  4. Maschinenlesbares Medium nach Anspruch 1, wobei die Operationen zum Bereitstellen des mindestens einen Realm-Dienstens, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen des Bereitstellens des mindestens einen Realm-Dienstes am Vorgängerknoten umfassen.
  5. Maschinenlesbares Medium nach Anspruch 4, wobei das Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten das Ausführen von Instruktionen von einem über ein Netzwerk von einer Bibliothek von Skripten erhaltenen Skript umfasst.
  6. Maschinenlesbares Medium nach Anspruch 1, wobei die Operationen zum Bereitstellen des mindestens einen Realm-Dienstes, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen zum Zuweisen eines Nachfolgerknotens des ersten Realms umfassen, um den mindestens einen Realm-Dienst bereitzustellen.
  7. Maschinenlesbares Medium nach Anspruch 1, wobei die Operationen umfassen: Bestimmen, dass ein vierter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den dritten Realm erreichbar ist; Bestimmen, durch Kommunikation mit dem Vorgängerknoten des vierten Realms, einen fünften Realm, umfassend den dritten Realm und den vierten Realm als Sub-Realms, zu bilden; und Wählen, durch einen Wahlprozess, des Vorgängerknotens des vierten Realms als einen Vorgängerknoten des fünften Realms.
  8. Maschinenlesbares Medium nach Anspruch 7, wobei die Operationen umfassen: Bereitstellen einer ersten Zugriffskontrollliste für den dritten Realm und einer zweiten Zugriffskontrollliste für den fünften Realm, wobei die erste Zugriffskontrollliste Zugriffskontrollen für mindestens eine Ressource des Vorgängerknotens für andere Knoten im dritten Realm spezifiziert, wobei die zweite Zugriffskontrollliste Zugriffskontrollen für die mindestens eine Ressource für andere Knoten im fünften Realm spezifiziert.
  9. Maschinenlesbares Medium nach Anspruch 8, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator eines Knotens und einen Identifikator eines Zugriffstyps umfasst, der für den Knoten zugelassen ist.
  10. Maschinenlesbares Medium nach Anspruch 8, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator einer Rolle und einen Identifikator eines Zugriffstyps umfasst, der für die Rolle zugelassen ist.
  11. Vorrichtung, umfassend: einen Computer-Prozessor; einen nichtflüchtigen Speicher, der Instruktionen speichert, die, wenn sie vom Computer-Prozessor durchgeführt werden, die Vorrichtung veranlassen, Operationen durchzuführen, umfassend: an einem Vorgängerknoten in einem ersten Realm umfassend mindestens einen Nachfolgerknoten: Bestimmen, dass ein zweiter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den ersten Realm erreichbar ist; Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm als Sub-Realms, durch Übereinstimmung mit dem Vorgängerknoten des zweiten Realms zu bilden; Wählen, durch einen Wahlprozess, des Vorgängerknotens des ersten Realms als einen Vorgängerknoten des dritten Realms; Bereitstellen mindestens eines Realm-Dienstes, um mindestens eine Anfrage eines Nachfolgerknotens des dritten Realms zu bedienen; und Verbreiten des mindestens einen Realm-Dienstes an Nachfolgerknoten des dritten Realms.
  12. Vorrichtung nach Anspruch 11, wobei der mindestens eine Realm-Dienst einen der Folgenden umfasst: einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst oder einen Ressourcen-Discovery-Dienst.
  13. Vorrichtung nach Anspruch 11, wobei die Operationen zum Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm, zu bilden, die Operationen zum Bestimmen umfassen, dass eine von einem Server erhaltene Policy-Regel angibt, dass der erste und zweite Realm einen dritten Realm bilden sollten.
  14. Vorrichtung nach Anspruch 11, wobei die Operationen zum Bereitstellen des mindestens einen Realm-Dienstens, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen des Bereitstellens des mindestens einen Realm-Dienstes am Vorgängerknoten umfassen.
  15. Vorrichtung nach Anspruch 14, wobei das Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten das Ausführen von Instruktionen von einem über ein Netzwerk von einer Bibliothek von Skripten erhaltenen Skript umfasst.
  16. Vorrichtung nach Anspruch 11, wobei die Operationen zum Bereitstellen des mindestens einen Realm-Dienstes, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, die Operationen zum Zuweisen eines Nachfolgerknotens des ersten Realms umfassen, um den mindestens einen Realm-Dienst bereitzustellen.
  17. Vorrichtung nach Anspruch 11, wobei die Operationen umfassen: Bestimmen, dass ein vierter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den dritten Realm erreichbar ist; Bestimmen, durch Kommunikation mit dem Vorgängerknoten des vierten Realms, einen fünften Realm, umfassend den dritten Realm und den vierten Realm als Sub-Realms, zu bilden; und Wählen, durch einen Wahlprozess, des Vorgängerknotens des vierten Realms als einen Vorgängerknoten des fünften Realms.
  18. Vorrichtung nach Anspruch 17, wobei die Operationen umfassen: Bereitstellen einer ersten Zugriffskontrollliste für den dritten Realm und einer zweiten Zugriffskontrollliste für den fünften Realm, wobei die erste Zugriffskontrollliste Zugriffskontrollen für mindestens eine Ressource des Vorgängerknotens für andere Knoten im dritten Realm spezifiziert, wobei die zweite Zugriffskontrollliste Zugriffskontrollen für die mindestens eine Ressource für andere Knoten im fünften Realm spezifiziert.
  19. Vorrichtung nach Anspruch 18, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator eines Knotens und einen Identifikator eines Zugriffstyps umfasst, der für den Knoten zugelassen ist.
  20. Vorrichtung nach Anspruch 18, wobei die Zugriffskontrollliste einen Identifikator der mindestens einen Ressource, einen Identifikator einer Rolle und einen Identifikator eines Zugriffstyps umfasst, der für die Rolle zugelassen ist.
  21. Verfahren, umfassend: an einem Vorgängerknoten in einem ersten Realm, umfassend mindestens einen Nachfolgerknoten, unter Verwendung eines Computer-Prozessors: Bestimmen, dass ein zweiter Realm, umfassend mindestens einen Vorgängerknoten, kommunikativ für den ersten Realm erreichbar ist; Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm als Sub-Realms, durch Übereinstimmung mit dem Vorgängerknoten des zweiten Realms zu bilden; Wählen, durch einen Wahlprozess, des Vorgängerknotens des ersten Realms als einen Vorgängerknoten des dritten Realms; Bereitstellen mindestens eines Realm-Dienstes, um mindestens eine Anfrage eines Nachfolgerknotens des dritten Realms zu bedienen; und Verbreiten des mindestens einen Realm-Dienstes an Nachfolgerknoten des dritten Realms.
  22. Verfahren nach Anspruch 21, wobei der mindestens eine Realm-Dienst einen der Folgenden umfasst: einen Anmeldeinformationsverwaltungsdienst, einen Zugriffsverwaltungsdienst, einen Bereitstellungsdienst, einen Knoten-Discovery-Dienst oder einen Ressourcen-Discovery-Dienst.
  23. Verfahren nach Anspruch 21, wobei das Bestimmen, einen dritten Realm, umfassend den ersten und den zweiten Realm, zu bilden, das Bestimmen umfasst, dass eine von einem Server erhaltene Policy-Regel angibt, dass der erste und zweite Realm einen dritten Realm bilden sollten.
  24. Verfahren nach Anspruch 21, wobei das Bereitstellen des mindestens einen Realm-Dienstens, um mindestens eine Anfrage des Nachfolgerknotens des dritten Realms zu bedienen, das Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten umfasst.
  25. Verfahren nach Anspruch 24, wobei das Bereitstellen des mindestens einen Realm-Dienstes am Vorgängerknoten das Ausführen von Instruktionen von einem über ein Netzwerk von einer Bibliothek von Skripten erhaltenen Skript umfasst.
DE112016005914.0T 2015-12-22 2016-11-16 Organisch zusammensetzbare IDD-Netzwerke Withdrawn DE112016005914T5 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/977,870 US20170180208A1 (en) 2015-12-22 2015-12-22 Organically composable iot networks
US14/977,870 2015-12-22
PCT/US2016/062232 WO2017112144A1 (en) 2015-12-22 2016-11-16 Organically composable iot networks

Publications (1)

Publication Number Publication Date
DE112016005914T5 true DE112016005914T5 (de) 2018-09-20

Family

ID=59066756

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112016005914.0T Withdrawn DE112016005914T5 (de) 2015-12-22 2016-11-16 Organisch zusammensetzbare IDD-Netzwerke

Country Status (4)

Country Link
US (1) US20170180208A1 (de)
CN (1) CN108432210B (de)
DE (1) DE112016005914T5 (de)
WO (1) WO2017112144A1 (de)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10164983B2 (en) * 2017-01-20 2018-12-25 Verizon Patent And Licensing Inc. Distributed authentication for internet-of-things resources
US11470168B2 (en) * 2017-10-12 2022-10-11 Convida Wireless, Llc Interworking service for the restful internet of things
US11678181B2 (en) 2018-04-05 2023-06-13 Aeris Communications, Inc. Global device management architecture for IoT devices with regional autonomy
US10917298B2 (en) 2018-04-05 2021-02-09 Aeris Communications, Inc. Global device management architecture for IoT devices with regional autonomy
US20200076683A1 (en) * 2018-08-31 2020-03-05 Hewlett Packard Enterprise Development Lp Dynamic Cloud-Based Provisioning of Branch-Based Networking Devices
CN109684868A (zh) * 2018-12-03 2019-04-26 成都睿码科技有限责任公司 Acl多租户系统的权限设置方法
JP7247628B2 (ja) * 2019-02-12 2023-03-29 日本電信電話株式会社 作成装置、作成システム、作成方法および作成プログラム
US20220141658A1 (en) * 2020-11-05 2022-05-05 Visa International Service Association One-time wireless authentication of an internet-of-things device

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1326362C (zh) * 2004-05-13 2007-07-11 上海交通大学 大型复杂网络的网络分割方法
JP4103892B2 (ja) * 2005-01-26 2008-06-18 オンキヨー株式会社 ピアツーピアコンテンツ配信システム
US20070100830A1 (en) * 2005-10-20 2007-05-03 Ganesha Beedubail Method and apparatus for access control list (ACL) binding in a data processing system
US20070189329A1 (en) * 2006-02-14 2007-08-16 Nokia Corporation System for combining networks of different addressing schemes
KR101394357B1 (ko) * 2007-10-09 2014-05-13 삼성전자주식회사 무선 센서 네트워크 시스템 및 그의 클러스터 관리 방법
US8189494B2 (en) * 2008-05-23 2012-05-29 Honeywell International Inc. System and method for merging clusters of wireless nodes in a wireless network
JP5568776B2 (ja) * 2010-11-05 2014-08-13 株式会社日立製作所 計算機のモニタリングシステム及びモニタリング方法
CN102123471B (zh) * 2010-12-15 2013-11-06 北京理工大学 一种物联网的末端网络及其渗流数传方法
CN102547680B (zh) * 2010-12-17 2015-07-08 北京创毅视讯科技有限公司 一种物联网系统及物联网系统的安全管理方法
US8934366B2 (en) * 2012-04-20 2015-01-13 Cisco Technology, Inc. Distributed node migration between routing domains
CN104904159A (zh) * 2012-10-16 2015-09-09 诺基亚通信公司 实现针对单ip栈ue的多区域服务访问
WO2014088340A1 (ko) * 2012-12-05 2014-06-12 엘지전자 주식회사 무선 통신 시스템에서 접근 권한 인증을 위한 방법 및 장치
CN103248726B (zh) * 2013-05-23 2015-09-16 中国科学院计算机网络信息中心 一种多根对等的物联网标识解析方法
US9510347B2 (en) * 2014-05-08 2016-11-29 Cisco Technology, Inc. Timeslot distribution in a distributed routing protocol for deterministic wireless networks

Also Published As

Publication number Publication date
WO2017112144A1 (en) 2017-06-29
US20170180208A1 (en) 2017-06-22
CN108432210B (zh) 2021-08-10
CN108432210A (zh) 2018-08-21

Similar Documents

Publication Publication Date Title
DE112016005914T5 (de) Organisch zusammensetzbare IDD-Netzwerke
DE112010003464B4 (de) Modifikation von Zugangskontrolllisten
DE102019103927A1 (de) Systeme und Verfahren zur Ausführung eines Sicherheitsprotokolls in einem durch hierarchische Zustandsautomaten gesteuerten Ausführungsplan
US8806578B2 (en) Data driven role based security
DE10296804T5 (de) Verfahren und System zum Autorisieren des Zugriffs auf Betriebsmittel auf einem Server
DE102019103890A1 (de) Vertrauenswürdige Übertragung des Besitzes von Peripherievorrichtungen
DE112015004699B4 (de) Über mehrere Sites verteiltes Sicherheitssystem
DE112018004411T5 (de) Zugriffssteuerung in mikrodienst-architekturen
DE102015112026A1 (de) Auf geringste Rechte basierende Sicherheitsarchitektur für Fertigungssteuerungssoftware
DE112015003106T5 (de) Drahtloser LAN-Netzwerkzugriff
DE102012203561A1 (de) Die Personifikation/Bevollmächtigung eines Benutzers in einem Merkmal-basierenden Authentifizierungssystem
DE112017007393T5 (de) System und verfahren für netzwerkvorrichtungssicherheits- und vertrauenswertbestimmung
EP3276518B1 (de) Mobiles kommunikationsgerät mit mehrzahl über eine pin freischaltbarer anwendungen
EP3143728B1 (de) Effiziente kaskadierung von fluss-tabellen in softwaredefinierten netwerken
DE112015003686T5 (de) Umgang mit drahtlosem Verkehr auf Benutzerbasis
DE102020204846A1 (de) Inhaltsablieferung auf namenraumrichtlinien-basis in informationszentrischen netzwerken
Mortier et al. Homework: Putting interaction into the infrastructure
DE112021005478T5 (de) Verfahren zum schutz eines edge-gerät-vertrauenswerts
DE112016002392T5 (de) Autorisierung in einem verteilten System unter Verwendung von Zugriffssteuerungslisten und Gruppen
CA3164102A1 (en) Programmable switching device for network infrastructures
DE112021005656T5 (de) Analyse der rollenerreichbarkeit mit transitiven tags
Hariri et al. UCON+: Comprehensive Model, Architecture and Implementation for Usage Control and Continuous Authorization
US20230254320A1 (en) Access Control Enforcement Architectures for Dynamic Manufacturing Systems
Jin et al. RB-GACA: an RBAC based grid access control architecture
Buehrer et al. CA-ABAC: Class algebra attribute-based access control

Legal Events

Date Code Title Description
R409 Internal rectification of the legal status completed
R082 Change of representative

Representative=s name: MAIWALD PATENTANWALTS- UND RECHTSANWALTSGESELL, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee