JP6712670B2 - ネットワークインフラストラクチャのエンドポイント設定に基づく動的な展開 - Google Patents

ネットワークインフラストラクチャのエンドポイント設定に基づく動的な展開 Download PDF

Info

Publication number
JP6712670B2
JP6712670B2 JP2019157108A JP2019157108A JP6712670B2 JP 6712670 B2 JP6712670 B2 JP 6712670B2 JP 2019157108 A JP2019157108 A JP 2019157108A JP 2019157108 A JP2019157108 A JP 2019157108A JP 6712670 B2 JP6712670 B2 JP 6712670B2
Authority
JP
Japan
Prior art keywords
devices
network
infrastructure
iot
deployment platform
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2019157108A
Other languages
English (en)
Other versions
JP2020058021A (ja
Inventor
ヘンリー ヘグラット,ブラッドフォード
ヘンリー ヘグラット,ブラッドフォード
デサイ,ヴィクラム
ジェームズ リプシンスキー,ベンジャミン
ジェームズ リプシンスキー,ベンジャミン
ジョリエット,サダナ
Original Assignee
アクセンチュア グローバル ソリューションズ リミテッド
アクセンチュア グローバル ソリューションズ リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アクセンチュア グローバル ソリューションズ リミテッド, アクセンチュア グローバル ソリューションズ リミテッド filed Critical アクセンチュア グローバル ソリューションズ リミテッド
Publication of JP2020058021A publication Critical patent/JP2020058021A/ja
Application granted granted Critical
Publication of JP6712670B2 publication Critical patent/JP6712670B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/085Retrieval of network configuration; Tracking network configuration history
    • H04L41/0853Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W4/00Services specially adapted for wireless communication networks; Facilities therefor
    • H04W4/70Services for machine-to-machine communication [M2M] or machine type communication [MTC]
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B15/00Systems controlled by a computer
    • G05B15/02Systems controlled by a computer electric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本開示は、全般的に、ネットワークインフラストラクチャの、エンドポイント設定に基づく動的な展開のためのデバイスおよび方法に関する。
モノのインターネット(IoT:Internet−of−Things)デバイス、産業用制御システムのコンポーネントおよび/または同様のものなどのデバイスは、一般的に、有線または無線のネットワーク上で互いに通信する。
産業用制御システムなど、多くの既存システムは、単純且つ効率的なシステムの管理および更新を可能にするように設計されていない。よって、既存システムは、十分なセキュリティを備えた設計となっていない。同じく、IoTデバイスのネットワークが有するセキュリティ制御または編成制御も最低限か皆無である。
一部の可能な実装によれば、方法は、インフラストラクチャ展開プラットフォームによって、複数のデバイスに関係する設定データを受信するステップを含んでもよい。複数のデバイスは、システムのコンポーネントとして含まれてもよい。本方法は、インフラストラクチャ展開プラットフォームによって、設定データを受信した後に設定データを処理するステップと、設定データを処理するステップに基づき、インフラストラクチャ展開プラットフォームによって、複数のデバイスに関するコンテキスト情報を判断するステップとを含んでもよい。コンテキスト情報は、複数のデバイス間の通信関係または関連付けを特定してもよい。本方法は、インフラストラクチャ展開プラットフォームによって、複数のデバイスのネットワークの編成構造を定義するステップを含んでもよい。編成構造は、通信関係または関連付けに基づき複数のデバイス間の通信を制約してもよい。本方法は、インフラストラクチャ展開プラットフォームによって、コンテキスト情報または編成構造についてのデータをネットワークインフラストラクチャコントローラデバイスに送信するステップを含んでもよい。本方法は、インフラストラクチャ展開プラットフォームによって、編成構造に基づくネットワークの展開を生じさせるアクションを実行するステップを含んでもよい。
上記の方法の一部の可能な実装によれば、コンテキスト情報は、複数のデバイスのうちの2つ以上のデバイスに関連する機能をさらに特定してもよく、編成構造を定義するステップは、機能にさらに基づき編成構造が複数のデバイス間の通信を制約するように、編成構造を定義するステップを含んでもよい。
上記の方法の一部の可能な実装によれば、編成構造を定義するステップは、仮想ローカルエリアネットワーク(VLAN:virtual local area network)、物理的なセグメンテーション、ファイアウォール、論理的なセグメンテーション、ホワイトリスト登録またはブラックリスト登録のうちの少なくとも1つを使用して編成構造を定義するステップを含んでもよい。
上記の方法の一部の可能な実装によれば、設定データは、複数のデバイスのうちの1つ以上のデバイスに関連する制御論理、複数のデバイスのうちの2つ以上のデバイスのデバイス識別情報または複数のデバイスのうちの2つ以上のデバイスに関連するアドレス情報を含んでもよい。
上記の方法の一部の可能な実装によれば、設定データを受信するステップは、システムに関連する初期の設定データおよび/または命令コードに対する変更の検知に基づき、設定データを受信するステップを含んでもよい。
上記の方法の一部の可能な実装によれば、アクションを実行するステップは、複数のデバイスに関係する送信のレイヤ2イーサネットフレームにセキュリティタグが付加されるように、ネットワークの展開を生じさせるアクションを実行するステップを含んでもよい。
上記の方法の一部の可能な実装によれば、システムは、産業用制御システム(ICS:industrial control system)、分散制御システム(DCS:distributed control system)、ビルオートメーションシステム(BAS:building automation system)、ビルマネジメントシステム(BMS:building management system)、産業用モノのインターネット(IIoT:industrial Internet−of−Things)システム、モノのインターネット(IoT)システム、1つ以上の医療デバイスを含むシステムまたは1つ以上の車両を含むシステムのうちの少なくとも1つを含む。
上記の方法の一部の可能な実装によれば、インフラストラクチャ展開プラットフォームは、複数のデバイスから遠隔に位置したサーバデバイスから設定データを受信してもよい。
上記の方法の一部の可能な実装によれば、ネットワークインフラストラクチャコントローラデバイスは、複数のデバイスから遠隔に位置してもよい。
一部の可能な実装によれば、デバイスは、1つ以上のメモリと、1つ以上のメモリに通信結合されシステムの複数のエンドポイントに関係する少なくとも1つの設定ファイルを受信するように構成された1つ以上のプロセッサとを含んでもよい。1つ以上のプロセッサは、少なくとも1つの設定ファイルを受信した後に、少なくとも1つの設定ファイルをパースしてもよい。1つ以上のプロセッサは、少なくとも1つの設定ファイルをパースすることに基づき、複数のエンドポイントに関するコンテキスト情報を判断してもよい。コンテキスト情報は、複数のエンドポイントに関連する機能および/または複数のエンドポイント間の通信関係を特定してもよい。1つ以上のプロセッサは、複数のエンドポイントのネットワークインフラストラクチャを定義してもよい。ネットワークインフラストラクチャは、機能および/または通信関係に基づき複数のエンドポイント間の通信を制約してもよい。1つ以上のプロセッサは、ネットワークインフラストラクチャに基づくネットワークの実装を生じさせるアクションを実行してもよい。
上記のデバイスの一部の可能な実装によれば、1つ以上のプロセッサは、ネットワークインフラストラクチャを定義するとき、識別子と、複数のエンドポイントのうちの2つ以上のエンドポイントとを関連付けることにより、ネットワークインフラストラクチャを定義するように構成されてもよい。
上記のデバイスの一部の可能な実装によれば、1つ以上のプロセッサは、ネットワークインフラストラクチャを定義するとき、仮想ローカルエリアネットワーク(VLAN)スキーマ、物理的なセグメンテーション、ファイアウォールスキーム、論理的なセグメンテーション、ホワイトリスト登録またはブラックリスト登録のうちの少なくとも1つに基づきネットワークインフラストラクチャを定義するように構成されてもよい。
上記のデバイスの一部の可能な実装によれば、複数のエンドポイントは、制御デバイス、入出力(I/O:input/output)デバイス、ヒューマンマシンインターフェース(HMI:human machine interface)デバイスまたはコンピューティングデバイスを含んでもよい。
上記のデバイスの一部の可能な実装によれば、複数のエンドポイントは、モノのインターネット(IoT)デバイスを含んでもよい。
上記のデバイスの一部の可能な実装によれば、システムは、複数のプロセスを実装するように構成されてもよく、コンテキスト情報は、複数のエンドポイントのうちの各エンドポイントについて、エンドポイントと、複数のプロセスのうちの1つ以上のプロセスとの関連付けを特定してもよい。
上記のデバイスの一部の可能な実装によれば、システムは、動的車両通信システムまたは車両制御システムを含んでもよい。
一部の可能な実装によれば、非一時的コンピュータ可読媒体は、命令を保存してもよい。命令は、1つ以上のプロセッサにより実行されると1つ以上のプロセッサに複数のモノのインターネット(IoT)デバイスに関係する設定データを受信させる、1つ以上の命令を含んでもよい。複数のIoTデバイスは、ネットワークのネットワークインフラストラクチャコントローラに通信結合されてもよい。1つ以上の命令は、1つ以上のプロセッサにより実行されると1つ以上のプロセッサに、設定データを受信した後に、設定データを処理させてもよい。1つ以上のプロセッサに設定データを処理させる1つ以上の命令は、1つ以上のプロセッサに、設定データにおいて、複数のIoTデバイスのうちの各IoTデバイスに関係するネットワーク情報を特定することと、ネットワーク情報に基づき1つ以上のコマンドを得ることとをさせてもよい。1つ以上の命令は、1つ以上のプロセッサにより実行されると1つ以上のプロセッサに、1つ以上のコマンドをネットワークインフラストラクチャコントローラに提供させてもよい。1つ以上のコマンドは、ネットワークインフラストラクチャコントローラに、複数のIoTデバイスのうちの各IoTデバイスについて、IoTデバイスから発生するエグレス通信をフィルタリングさせるように構成されてもよい。
上記の非一時的コンピュータ可読媒体の一部の可能な実装によれば、ネットワーク情報は、複数のIoTデバイスのうちの各IoTデバイスについて、IoTデバイスに関連する意図される個々の通信受信側を特定してもよい。
上記の非一時的コンピュータ可読媒体の一部の可能な実装によれば、1つ以上のコマンドは、複数のIoTデバイスのうちの各IoTデバイスから発生するエグレス通信のフィルタリングを、ネットワークインフラストラクチャコントローラに、IoTデバイスに関連する意図される個々の通信受信側に宛てられた特定のエグレス通信のみネットワークを横断することを許可させることにより、ネットワークインフラストラクチャコントローラにさせるように構成されてもよい。
上記の非一時的コンピュータ可読媒体の一部の可能な実装によれば、ネットワーク情報は、複数のIoTデバイスのうちの各IoTデバイスについて、IoTデバイスに関連する意図された個々の通信受信側に関連するインターネットプロトコル(IP:Internet Protocol)アドレス、または意図された個々の通信受信側に関連するドメイン名を特定してもよい。
本願明細書に記載される例示の実装の図である。 本願明細書に記載される例示の実装の図である。 本願明細書に記載される例示の実装の図である。 本願明細書に記載されるシステムおよび/または方法が実装され得る例示の環境の図である。 図2の1つ以上のデバイスの例示のコンポーネントの図である。 システムのネットワークを構造化および展開する例示のプロセスのフローチャートである。 システムのネットワークを構造化および展開する例示のプロセスのフローチャートである。 デバイス間の通信を制御する例示のプロセスのフローチャートである。
以下の例示の実装の詳細な説明は、添付の図面を参照する。異なる図面にある同じ参照番号は、同じまたは類似の構成要素を特定し得る。
産業用制御システムなど、多くの既存システムは、単純且つ効率的なシステムの管理および更新を可能にするように設計されていない。例として、産業用制御システムに対し何らかのインフラストラクチャの変更が行われる必要がある場合、例えば、或るユーザ(例えばオペレータ)がプロセスの動作における追加の機能性を必要として、さらなるユーザ(例えば制御システムのエンジニア)に、産業プロセスの要件をネットワークインフラストラクチャに移すこと(例えばコマンドラインインターフェースを利用したコードの変更および/または同様のこと)、およびネットワークにおける適切な調整を実装する別のユーザ(例えばネットワークエンジニア)に要件を提供することを要求するなど、複数のユーザが関与する必要があるかもしれない。多数の既存システムが様々なソリューションベンダからのツールおよびコンポーネントも組み込むという事実も、追加の知識および専門技術が必要とされ得ることから問題を悪化させ、システムのメンテナンスおよび更新を複雑で非常に時間がかかる仕事にしている。このようなシステムの管理および更新に関する問題の結果として、これらのシステムは、ネットワーク設定を時間の経過とともに(例えばデバイスが追加されるにつれて、脅威が出現するにつれて)発展させることを、当該変更の難しさが原因で行わず、そのため、かかるシステムはセキュアでないことが多い。
よって、既存システムは、十分なセキュリティを備えた設計となっていない。例として、そのようなシステムのために展開されるネットワークは、一般に、デバイス間の通信経路を、当該デバイスの一部が互いに通信する必要がそもそもあるのかどうかも問わずに構成する、場当たり的な構成の大規模な「はきだめ」である。同じく、IoTデバイスのネットワークが有するセキュリティ制御または編成制御も最低限か皆無であり、デバイスが攻撃および侵害を受けやすくするだけでなく、相互接続されたネットワーク環境全体にリスクを及ぼす。
本願明細書に記載される一部の実装は、システム(例えば産業用制御システム、IoTデバイスのシステム、動的車両通信システムおよび/または同様のもの)のネットワークインフラストラクチャの、エンドポイント設定に基づく動的な展開を提供できるインフラストラクチャ展開プラットフォームを提供する。一部の実装において、インフラストラクチャ展開プラットフォームは、1つ以上の機械学習アルゴリズムを採用して、自動化されたシステム設定分析、ならびにネットワークの設計および展開を提供してもよい。
一部の実装において、インフラストラクチャ展開プラットフォームは、システムのデバイスまたはエンドポイントに関係する設定データ(例えばデバイス間の通信関係または関連付け、デバイスに関係する制御論理、ディレクトリ構造および/または同様のものを特定するデータ)を処理すること、デバイスに関するコンテキスト情報(例えばデバイス間の通信経路、デバイス間のプロトコルフロー、デバイスが関連するシステムのプロセス(例えば産業プロセス)、各デバイスの種類、デバイスの目的および/もしくは役割(例えば機能および/または同様のもの)ならびに/または同様のものを特定する情報)を判断すること、コンテキスト情報(デバイスが関連するシステムプロセス、デバイスが互いに相互作用し得る条件および(例えば産業上の観点からの)システムの全体的なレイアウトについて洞察を提供し得る)を利用してデバイス間通信を制約するネットワークの編成構造(例えば、デバイスの機能に基づき、プロセスの要求および/またはデバイス間通信の要求に基づき制約される)を定義すること、および編成構造に基づきネットワークを展開することにより、ネットワークインフラストラクチャの設計および展開を調整するように構成されてもよい。
一部の実装において、インフラストラクチャ展開プラットフォームは、仮想ローカルエリアネットワーク(VLAN)などの組織的なネットワーク構成概念を活用してネットワークの編成構造を定義してもよい。例として、インフラストラクチャ展開プラットフォームは、システムの個々のプロセスと整合し且つ/またはデバイスの意図される機能に基づく論理グループにデバイスを配置するために、システムのデバイスと関連付けるVLAN IDおよびサブネットを動的に選択するように構成されてもよい。これは、随時の実施を含み得るが、限定はされない。ネットワークの編成構造の定義に関連して、インフラストラクチャ展開プラットフォームが基づき活用し得る各種制御手段の他の例として、物理的なセグメンテーション、ファイアウォール、論理的なセグメンテーション(例えばレイヤ2またはレイヤ3アドレス指定に関する)、ホワイトリスト登録、ブラックリスト登録および/または同様のものが挙げられる。
一部の実装において、インフラストラクチャ展開プラットフォームは、展開されたネットワークにおいて(例えば、レイヤ2イーサネットフレームにおけるセキュリティタグの使用を伴うものおよび/または同様のものなどのセキュリティメカニズムを採用することにより)セキュリティをオーバーレイし、ネットワーク内の通信をさらにセキュアにし得る。
一部の実装において、インフラストラクチャ展開プラットフォームは、システムのデバイスの通信制御を実装するように構成され得る。例として、IoTデバイスのシステムにおいて、インフラストラクチャ展開プラットフォームは、デバイスに関係する設定データを処理することと、設定データからネットワーク情報(例えばデバイス間の通信関係または関連付け)を判断することと、例えばエグレス通信またはトラフィックを適切な受信側デバイス、上流ネットワークおよび/または同様のもののみに制限するなどしてデバイスに送信され且つ/またはデバイスから発生する通信を管理するネットワークインフラストラクチャコントローラに(例えば適切なフォーマットの)ネットワーク情報を提供することと、をするように構成されてもよい。
このように、インフラストラクチャ展開プラットフォームは、システム(エンジニアリングおよび制御された結果の有限のセットを有する産業用制御システムおよび/または同様のものなど)の構造化された性質を活用して、システムの中のデバイスのセキュアなネットワークインフラストラクチャを設計および展開し得る。本願明細書に記載されるように、コンテキスト情報に基づきデバイス間通信が制約されるようにネットワークインフラストラクチャを編成することは、デバイスの全体的な通信アーキテクチャを強固にし(例えば強化し)、これは、攻撃をより受けにくいよりセキュアなネットワークを提供する。これはさらに、全体的なネットワークを単純化し、それにより、システムおよびまたはネットワークに対する更新および/またはアップグレードのより効率的な展開が可能になる。本願明細書に記載されるように、システム設定が行われる間にリアルタイム(または準リアルタイム)でネットワークを設計および展開するのを可能にすることで、ネットワークの様々な部分を、開発プロセスの早期に、且つその全体にわたってシミュレーションおよび/またはテストすることもでき、これは、最終的なネットワークの信頼性をさらに向上させる。さらに、本願明細書に記載されるように(例えばIoTデバイスおよび/または同様のもののシステムの)ネットワークにおいてエグレス通信またはトラフィックをフィルタリングすることは、悪意のある行為者によるネットワークの侵害を制限し、これは、全体的なシステムセキュリティを改善する。
図1A〜図1Cは、本願明細書に記載される例示の実装100の図である。例示の実装100は、インフラストラクチャ展開プラットフォームおよびシステム(例えば産業用制御システムおよび/または同様のもの)の様々なデバイスを含んでもよい。例として、デバイスは、制御デバイス(例えばプログラマブルロジックコントローラ(PLC:programmable logic controller)および/または同様のもの)、入出力(I/O)デバイス、ヒューマンマシンインターフェース(HMI)デバイス、コンピューティングデバイス(例えばワークステーション)および/または同様のもの、IoTデバイス、車両システムコンポーネントおよび/または同様のものなどの産業用制御システムコンポーネントを含んでもよい。一部の実装において、これらのデバイスのうちの1つ以上が単一のデバイスに含まれてもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、インフラストラクチャ展開プラットフォームの1つ以上のプロセッサに、本願明細書に記載された様々な動作を自動化された形で実行させるように構成された、1つ以上のアプリケーション(例えばアプリケーションコードおよび/またはアルゴリズム)を含んでもよい。
図1Aに示されているように、デバイスは設定データ(例えば設定ファイルおよび/または同様のもの)に関連してもよい。一部の実装において、設定データは、デバイスのうちの1つ以上に関係するデバイス識別情報(例えばデバイスID、デバイスアドレス(例えばインターネットプロトコル(IP)アドレスおよび/または同様のもの)、デバイスのうちの1つ以上に関連する制御論理(例えばPLCコードおよび/または同様のもの)、デバイス間の通信関係もしくは関連付けについての情報(例えば特定のデバイスが通信し得る他のデバイスを(例えばIPアドレスおよび/または同様のものにより)特定する情報)、ディレクトリ構造(例えばHMIディレクトリ構造および/または同様のもの)および/または同様のもの)を含んでもよい。一部の実装において、設定ファイルは、ファームウェアベースとすること、ダウンロードされること、アップロードされること、手動で適用されること(例えばPLC設定、ケーブルモデルの運用と同様に)、および/または同様のことが可能である。
図1Aにさらに示され、参照番号102により示されているように、インフラストラクチャ展開プラットフォームは、様々なデバイスに関係する設定データを受信してもよい。参照番号104により示されているように、インフラストラクチャ展開プラットフォームは設定データを処理してもよい。一部の実装において、設定データは、機械可読フォーマット(例えば拡張可能マークアップ言語(XML:Extensible Markup Language)フォーマットおよび/または同様のもの)であってもよい。そのような事例では、インフラストラクチャ展開プラットフォームは設定データをパースしてもよい。
参照番号106により示されているように、インフラストラクチャ展開プラットフォームは、設定データに基づきデバイスに関するコンテキスト情報を判断してもよい。例として、コンテキスト情報は、デバイス間の通信経路についての情報、デバイス間のプロトコルフローについての情報、デバイスが関連する、システムの個々のプロセス(例えば産業プロセス)についての情報、デバイスそれぞれの種類についての情報、デバイスの目的および/もしくは役割(例えば機能および/もしくは同様のもの)についての情報、人間との相互作用から獲得される情報(例えばHMIファイル)ならびに/または同様のものを含んでもよい。そのようなコンテキスト情報は、インフラストラクチャ展開プラットフォームが、デバイスが関連するシステムプロセス、デバイスが互いに相互作用し得る条件および(例えば産業上の観点からの)システムの全体的なレイアウトについて洞察を得ることを可能にしてもよく、その一部または全部をインフラストラクチャ展開プラットフォームが活用して、デバイスの適切なネットワークを構造化および展開してもよい。そのようなコンテキスト情報は、インフラストラクチャ展開プラットフォームが、構成要素の障害および/もしくは除去のリスクならびに/もしくは産業プロセスおよび/もしくはシステムのノードの重要度を予想し且つ/または判断すること、ならびに/またはメンテナンス計画および/もしくはインシデントレスポンスを強化することを可能にしてもよい。一部の事例において、これはリアルタイムまたは準リアルタイムで実施されてもよい。
一部の実装において、インフラストラクチャ展開プラットフォームは、第1のデバイスに関係する第1の設定データを処理することに基づき、第1のデバイスが通信してもよい第2のデバイスを特定し、第2のデバイスに関係する第2の設定データを取得し、第2の設定データを同様に処理して第2のデバイスが通信してもよい他の任意のデバイスを特定するなどしてもよい。そのような事例において、インフラストラクチャ展開プラットフォームは、コンテキスト情報の判断に使用するために、システムの中の様々なデバイス間接続および/または関係すべてについてのデータを反復的に集約してもよい。
図1Bに示され、参照番号108により示されているように、インフラストラクチャ展開プラットフォームは、デバイスについて、デバイス間の通信を制約するネットワークの編成構造を定義してもよい。参照番号110により示されているように、インフラストラクチャ展開プラットフォームは、(例えばコンテキスト情報または編成構造についてのデータをネットワークインフラストラクチャコントローラデバイスに送信すること、様々なネットワークデバイス(例えばスイッチ、ルータ、ファイアウォールおよび/または同様のもの)を必要に応じて設定することおよび/または同様のことにより)編成構造に基づきネットワークを展開してもよい。例として、インフラストラクチャ展開プラットフォームは、必要とされる通信経路またはリンクのみをネットワークが含むように、コンテキスト情報に基づき(例えば、デバイスが関連し得るプロセス、デバイスの機能、(例えば設定データにおいて指定される)デバイスのうちの1つ以上が他のデバイスのうちの1つ以上と通信する現実の必要性および/または同様のものに基づき)編成構造を定義してもよい。つまり、例として、ネットワークインフラストラクチャは、コンテキスト情報に基づき互いに通信する必要のない2つのデバイス間の通信経路を含まなくてもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、デバイスの、意図される、個々の、および/または集合的な機能に基づき、デバイスを論理的にグループに配置してもよい。
コンテキスト情報に基づきデバイス間通信が制約されるようにネットワークインフラストラクチャを編成することは、デバイスの全体的な通信アーキテクチャを強固にし(例えば強化し)、これが、攻撃をより受けにくく且つ/または(例えば攻撃者のラテラルムーブメントを防止することにより)侵害の影響を最小化する、よりセキュアなネットワークをもたらす。これはさらに、ネットワークの全体的な動作を単純化し、それにより、システムおよび/またはネットワークに対する更新および/またはアップグレードのより効率的な展開が可能になる。
一部の実装において、インフラストラクチャ展開プラットフォームは、適切な任意のネットワークの組織的な構成概念を使用して、ネットワークの編成構造を定義してもよい。例として、一部の実装においてインフラストラクチャ展開プラットフォームは、仮想ローカルエリアネットワーク(VLAN)を活用して編成構造を定義してもよい。例として、インフラストラクチャ展開プラットフォームは、VLANの論理サブネットワークの性質を活用して、各グループがシステムまたは複数システムのうちのシステムの個々のプロセスと整合するような形でデバイスをグループにまとめてもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、VLANスキーマを利用して、デバイスのVLANを設定してもよい。例として、(例えばユーザ入力(例えば制御システムエンジニア、ネットワークエンジニア、プロセスエキスパートおよび/または同様のものによる入力)に基づき)VLANスキーマは予め定義されてもよい。一部の実装においてインフラストラクチャ展開プラットフォームは、VLANスキーマに基づきデバイスの特定のサブネットと特定のVLAN IDとを関連付けることにより、デバイスをグループにまとめてもよい。
このように、インフラストラクチャ展開プラットフォームは、デバイスの機能性および/またはデバイス間の必要とされる通信経路もしくはリンクに基づき、デバイスを動的にVLANに構成してもよい。
一部の実装においてインフラストラクチャ展開プラットフォームは、1つ以上の機械学習アルゴリズムを利用して、ネットワークの編成構造の設計を自動化してもよい。例として、一部の実装においてインフラストラクチャ展開プラットフォームは、デバイスとVLAN IDとを適切に関連付ける仕方を学習するように構成された1つ以上の機械学習アルゴリズムを使用してもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、デバイスとVLAN IDとの関連付けについての情報を、1つ以上の機械学習アルゴリズムに入力として提供してもよく、機械学習アルゴリズムは、機械学習を実行して、デバイスとVLAN IDとの関連付けの将来の判断または予測を自動化してもよい。例として、インフラストラクチャ展開プラットフォームは、既知の入力(例えば1つ以上のVLANスキーマ、デバイス機能性についての情報、デバイス間通信についての情報、デバイスに関連するシステムプロセスについての情報および/または同様のもの)および既知の出力(例えばデバイスとVLAN IDとの現実の関連付けおよび/または同様のもの)に基づき、機械学習アルゴリズムを訓練してもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、インフラストラクチャ展開プラットフォームのユーザからおよび/もしくは他の1つ以上のデバイス(例えば管理デバイス(単数または複数))から受信されるフィードバック、ならびに/または脅威インテリジェンスフィードおよび/もしくは同様のものなどの他の情報フィードに基づき、機械学習アルゴリズムを洗練してもよい。例として、インフラストラクチャ展開プラットフォームおよび/または1つ以上の管理デバイスのユーザは、機械学習アルゴリズムにより行われたデバイスとVLAN IDとの関連付けの予測が正確且つ/または有用であるかどうかを示す情報を提供してもよい。この情報が、特定の予測が正確および/または有用であることを示すと、インフラストラクチャ展開プラットフォームは、機械学習アルゴリズムを、デバイスとVLAN IDとの関連付けの予測を、特定の予測に基づき行うように(例えば、デバイスとVLAN IDとの関連付けを特定の予測が行われたのと同様の形で予測するように)設定してもよい。情報が、特定の予測が正確および/または有用でないことを示すと、インフラストラクチャ展開プラットフォームは、機械学習アルゴリズムを、特定の予測が行われた形でデバイスとVLAN IDとを関連付けることを回避するように設定してもよい。このように、インフラストラクチャ展開プラットフォームは、機械学習アルゴリズムに基づきデバイスとVLAN IDとの関連付けを予測することができ、これは、予測の精度を改善し、他の場合であればデバイスとVLAN IDとの関連付けを予測するためのルールを生成および保存するために使用され得るプロセッサリソースおよび/またはストレージリソースを節約する。
一部の実装において、インフラストラクチャ展開プラットフォームは、ネットワークの編成構造を定義することおよび/またはネットワークを展開することの一環としてトラフィック制御メカニズムを活用するように構成されてもよい。例として、VLANは、トラフィックフロー管理のためのアクセス制御リスト(ACL:access control list)の展開を可能にする。一部の実装において、インフラストラクチャ展開プラットフォームは、ネットワークにおけるセキュリティ能力として、そのようなACLを展開してもよい。さらに、または代わりに、インフラストラクチャ展開プラットフォームは、セキュリティメカニズム(例えば、動的アプリケーション制御のためレイヤ2イーサネットフレームにおけるセキュリティタグの使用を伴う、メディアアクセス制御セキュリティ(MACsec:media access control security)暗号化、認証ストアおよび/または同様のもの)を利用して、ネットワーク内の通信(例えば、レイヤ2トラフィックならびに上位レイヤプロトコルを使用して送信されるトラフィック(例えばIPトラフィック))をさらにセキュアにしてもよい。
このように、インフラストラクチャ展開プラットフォームは、VLANにより提供されるものなど、組織的な構成概念を活用して(例えば、トラフィックの観点から、さらに物理的なプロセス、デバイスの機能および/または同様のものに関連して)すっきりとした単純なネットワーク環境を設計してもよく、結果として生じるネットワークインフラストラクチャにセキュリティをオーバーレイしてデバイス間の認証およびアクセスを制御してもよく、さらに/または障害を動的に克服して産業プロセスを維持できるように完全に動的であるための能力を含んでもよい。
図1Cに示され、参照番号112により示されているように、インフラストラクチャ展開プラットフォームは、システムに対する更新を(例えばリアルタイム(または準リアルタイム)で)検知してもよい。例として、一部の事例においてユーザ(例えば制御システムエンジニアおよび/または同様のもの)は、(例えば設定データの中の制御論理に関係する)命令コードに変更を加えるかもしれず、例えばユーザは、システムのリポジトリの命令コードをチェックアウトし、命令コードを編集し、編集された命令コードをリポジトリにチェックインして戻すかもしれない。別の例として、ユーザ(例えば制御システムエンジニアおよび/または同様のもの)は、1つ以上のデバイスをシステムに追加することおよび/または1つ以上のデバイスをシステムから除去すること、ならびに関連性のある設定データを変更することにより、システムハードウェアに変更を加えるかもしれない。
参照番号114により示されているように、インフラストラクチャ展開プラットフォームは、コンテキスト情報およびネットワークの編成構造に対する対応する更新(単数または複数)を判断してもよい。例として、インフラストラクチャ展開プラットフォームは、設定データにおける変更に基づき、コンテキスト情報(例えばデバイスとプロセスとの関連付け、デバイス間の通信関係または関連付け、デバイスの機能および/または同様のもの)に対する任意の変更を判断し、それに応じて編成構造を更新してもよい(例えば上述のように機械学習を使用して)。参照番号116により示されるように、インフラストラクチャ展開プラットフォームは、更新された編成構造をネットワークが反映するように、更新を実装してもよい。一部の実装において、(例えば上述したように)インフラストラクチャ展開プラットフォームが機械学習アルゴリズム(単数または複数)を採用する事例で、機械学習アルゴリズム(単数または複数)は、ネットワークレベルの適切な設計変更を判断し、ネットワークインフラストラクチャにおいて変更を実装するように構成されてもよい。
このように、インフラストラクチャ展開プラットフォームは、システムに加えられる任意の変更を反映するように、ネットワークインフラストラクチャを(例えばリアルタイムまたは準リアルタイムで)シームレスに更新することにより、ユーザ(例えば制御システムエンジニア)とシステムとの間の相互作用を自動化および調整してもよい。
さらに、既存のシステム開発プロセスは、概して、一般的なネットワーク構成概念(例えば一般的なレイアウト、サブネット、IPアドレスおよび/または同様のもの)を組み入れて、開発中のネットワークの様々な側面(例えばI/Oデバイスおよび/または同様のもの)のテストを怠る。本願明細書に記載されるインフラストラクチャ展開プラットフォームは、システム設定が行われている間(例えば上述の設定データが生成および/または作成されている間、制御論理がコーディングされている間および/または同様)にネットワークをリアルタイム(または準リアルタイム)で設計および展開するために利用されてもよい。これは、開発プロセスの全体にわたってネットワークの様々な部分をテストできるようにし、これが、システムのための全体として強化され、機能ベースで信頼性が高いネットワークをもたらすことを可能にする。
一部の実装において、インフラストラクチャ展開プラットフォームは、追加のセキュリティ制御機能を提供するように構成されてもよい。例として、一部の実装においてインフラストラクチャ展開プラットフォームは、システムおよび/または対応するネットワークのセキュリティ監視を実行して、攻撃を受けているかもしれないシステムの中の任意のデバイスを特定し、上述したコンテキスト情報(例えばどのデバイスが他のデバイスと比べてより高い優先順位を有するか、どのデバイスがシステムにとって重要か、および/または同様のことを示し得る)に基づき、産業上の機能が安全に継続できるようにするためにコンテキストの中で講じられる必要があり得る1つ以上のアクション(例えば、どのデバイス(単数または複数)が攻撃を受けているかに応じてシステムの中のデバイスの一部を無効化する、またはシステムの中のすべてのデバイスを無効化するなど)を判断してもよい。これは、追加のセキュリティ機能がネットワークに展開される必要性を削減または排除する、サイバー防御のためのより戦略的なアプローチを提供し、それによってコンピューティングリソースおよびメモリリソースを節約する。これはさらに、攻撃がシステムおよび/またはネットワーク全体を動作不能にする可能性を削減または排除し、これが、他の場合であれば危機管理および/または同様のことのために費やされる必要があるかもしれないコストを節約する。
さらに、または代わりに、インフラストラクチャ展開プラットフォームは、コンテキスト情報を別のセキュリティシステムに提供して、セキュリティシステムが攻撃を特定し、是正措置を適宜実装することを可能にするように構成されてもよい。
本願明細書に記載された、エンドポイントの設定に基づく動的なインフラストラクチャ展開手法は、様々な用途のために活用され得る。例として、インフラストラクチャ展開プラットフォームは、産業用制御システム、産業用IoTデバイスのシステム、スマートシティIoTデバイスのシステム、コンシューマIoTデバイスのシステム(例えばサポート用ハードウェアルータおよび/またはアクセスポイントを備える)、動的車両通信(例えば車両とモノの間(V2X:Vehicle−to−everything)、車車間(V2V:Vehicle−to−Vehicle)、路車間(V2I:Vehicle−to−Infrastructure)および/または同様のもの)および/またはその他非標準の特化型コンピューティング環境などの、システムのネットワークを設計および展開するように構成されてもよい。
一部の実装において、インフラストラクチャ展開プラットフォームは、所与のデバイスがそのデバイスの機能(単数または複数)を実行する一環として必要とされる当該デバイス(単数または複数)のみと通信できるように、デバイスのエグレス通信をフィルタリングできてもよい。このように、エグレス通信を、(例えば設定データから得られる所与のデバイスの既知の機能性に基づき)正当な通信として承認できる。これは、デバイスにうまくアクセスした外部のソース(例えば悪意のある行為者)が、そのデバイスを利用してシステムの他のデバイスの攻撃および/またはデータの抽出をすることができないように制限し、このことが、システムの全体的なセキュリティを改善する。
例として、IoTデバイス環境(例えば家庭用IoTデバイス、産業用IoTデバイス、スマートシティIoTデバイスおよび/または同様のものなど)において、インフラストラクチャ展開プラットフォームは、IoTデバイスのエグレス通信をフィルタリングするように構成されてもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、IoTデバイスに関係する設定データを(例えばIoTデバイスおよび/または同様のものを管理するように構成されたサーバデバイスから)取得し、設定データを処理(例えばパース)して、意図される、または対象の受信側(単数または複数)との通信関係または関連付けを特定する情報などのネットワーク情報を特定するように構成されてもよい。例として、ネットワーク情報は、所与のIoTデバイスについて、IoTデバイスがIoTデバイスの通常の機能の一環として通信するために必要とする、IoTサーバデバイス(単数または複数)に関連付けられたデバイスID、アドレス(例えばIPアドレス)、ドメイン名および/または同様のものを特定してもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、ネットワーク情報を(例えばトラフィックフィルタリングを実装するために所定の形でネットワーク情報のフォーマット設定をすることにより)処理して、処理されたネットワーク情報をネットワークインフラストラクチャコントローラに提供して(例えばアップロードし且つ/または同様のことをして)、例えばIoTデバイスに関連する意図された受信側に宛てられた当該通信のみネットワーク中を横断することを許可されるように、IoTデバイスから発生する通信をネットワークインフラストラクチャコントローラがフィルタリングすることを可能にするように構成されてもよい。一部の実装においてインフラストラクチャ展開プラットフォームは、リアルタイム(または準リアルタイム)で、設定データに対する変更(例えば通信関係または関連付けおよび/または同様のものに対する変更)に基づき、ネットワークインフラストラクチャコントローラに更新されたネットワーク情報を提供するように構成されてもよい。
このように、インフラストラクチャ展開プラットフォームは、エグレス通信を適切な受信側デバイス、上流ネットワークおよび/または同様のもののみに制限することにより当該通信をフィルタリングしてもよい。これは、IoTデバイスが乗っ取られて、例として攻撃手段として使用されることを防止してもよい。さらにこれは、他の場合であれば攻撃を受けやすいIoTデバイス環境においてサイバーセキュリティシステムを提供し、ネットワークインフラストラクチャの変更および/または新たな脅威の出現に伴う、IoTデバイスの通信の動的制御を可能にする。
上記で指摘したように、図1A〜図1Cは、単に例として提供される。他の例が可能であり、図1A〜図1Cに関して記載されたものとは異なってもよい。
図2は、本願明細書に記載されるシステムおよび/または方法が実装され得る例示の環境200の図である。図2に示されているように、環境200は、システムデバイス(単数または複数)210、インフラストラクチャ展開プラットフォーム215、ネットワークデバイス(単数または複数)230およびネットワーク235を含んでもよい。環境200のデバイスは、有線接続、無線接続または有線接続と無線接続との組み合わせを介して相互接続してもよい。
システムデバイス(単数または複数)210は、システム(例えば産業用制御システム(ICS)、分散制御システム(DCS)、ビルオートメーションシステム(BAS)、ビルマネジメントシステム(BMS)、産業用モノのインターネット(IIoT)システム、モノのインターネット(IoT)システム、1つ以上の医療デバイスを含むシステム、1つ以上の車両を含むシステムおよび/または同様のものに関連するデータを受信、生成、保存、処理および/または提供できる1つ以上のデバイスを含む。
IoTデバイスのシステム、動的車両通信システムおよび/または同様のもの)。例として、システムデバイス(単数または複数)210は、1つ以上の産業用制御デバイス(例えば1つ以上の制御デバイス、I/Oデバイス、HMIデバイス、コンピューティングデバイスおよび/または同様のもの)、1つ以上のIoTデバイス(例えば1つ以上のコンピュータ、ラップトップ、タブレット、スマートフォン、スマートウォッチ、スマートセンサ、スマートアクセサリ、スマートテレビ、スマートセキュリティシステム、スマートホームシステム、ネットワーク化デバイス(例えば電気器具、周辺装置、照明システム、車両アクセサリおよび/または同様のもの)、通信デバイス、IoTデバイスと通信するサーバデバイス)および/または同様のものを含んでもよい。一部の実装において、システムデバイス(単数または複数)210は、設定データに関連してもよく、本願明細書の他の箇所に記載されているように、設定データをインフラストラクチャ展開プラットフォーム(例えばインフラストラクチャ展開プラットフォーム215)が処理および利用して、システムデバイス(単数または複数)210のネットワークを構造化および展開してもよい。
インフラストラクチャ展開プラットフォーム215は、システムデバイス(単数または複数)210および/またはネットワークデバイス(単数または複数)230に関連するデータを受信、生成、保存、処理および/または提供できる1つ以上のデバイスを含む。一部の実装において、インフラストラクチャ展開プラットフォーム215は、デバイス(例えばシステムデバイス(単数または複数)210)に関係する設定データを利用して、本願明細書の他の箇所に記載されているように、デバイスのネットワーク(例えばネットワーク235)を(例えばネットワークデバイス(単数または複数)230を使用して)構造化および展開してもよい。一部の実装において、本願明細書の他の箇所に記載されているように、インフラストラクチャ展開プラットフォーム215は、1つ以上の機械学習アルゴリズムを採用してネットワークを構造化および展開してもよい。
インフラストラクチャ展開プラットフォーム215は、サーバデバイスまたはサーバデバイスのグループを含んでもよい。図のように、一部の実装では、インフラストラクチャ展開プラットフォーム215はクラウドコンピューティング環境220においてホストできる。特に、本願明細書に記載される実装は、インフラストラクチャ展開プラットフォーム215がクラウドコンピューティング環境220においてホストされるものとして表現するが、一部の実装では、インフラストラクチャ展開プラットフォーム215はクラウドベースでなく、または部分的にクラウドベースとすることができる。
クラウドコンピューティング環境220は、コンピュータ処理をサービスとして提供する環境を含み、それによって共有リソース、サービスなどをシステムデバイス(単数または複数)210、ネットワークデバイス(単数または複数)230および/または他の1つ以上のインフラストラクチャ展開プラットフォーム215に提供できる。クラウドコンピューティング環境220は、サービスを提供するシステムおよび/またはデバイスの物理的な位置および構成についてエンドユーザの知識を要求しない演算、ソフトウェア、データアクセス、ストレージおよび/または他のサービスを提供することができる。図のように、クラウドコンピューティング環境220は、コンピューティングリソース222のセットを含むことができる。
コンピューティングリソース222は、1つ以上のパーソナルコンピュータ、ワークステーションコンピュータ、サーバデバイスまたは別のタイプの演算および/もしくは通信デバイスを含む。一部の実装において、コンピューティングリソース222はインフラストラクチャ展開プラットフォーム215をホストすることができる。一部の実装において、クラウドリソースは、コンピューティングリソース222において実行される計算インスタンス、コンピューティングリソース222において提供されるストレージデバイス、コンピューティングリソース222により提供されるデータ転送デバイスなどを含むことができる。一部の実装において、コンピューティングリソース222は、有線接続、無線接続または有線接続と無線接続との組み合わせを介して他のコンピューティングリソース222と通信することができる。
図2にさらに示されているように、コンピューティングリソース222は、1つ以上のアプリケーション(「APP(application)」)222−1、1つ以上の仮想マシン(「VM(virtual machine)」)222−2、仮想化ストレージ(「VS(virtualized storage)」)222−3、1つ以上のハイパーバイザ(「HYP(hypervisor)」)222−4および/または同様のものなどのクラウドリソースのグループを含むことができる。
アプリケーション222−1は、システムデバイス(単数または複数)210および/もしくはネットワークデバイス(単数または複数)230に提供できる、またはシステムデバイス(単数または複数)210および/もしくはネットワークデバイス(単数または複数)230によりアクセスできる、1つ以上のソフトウェアアプリケーションを含む。アプリケーション222−1は、システムデバイス(単数または複数)210および/またはネットワークデバイス(単数または複数)230上でソフトウェアアプリケーションをインストールして実行する必要性を排除することができる。例として、アプリケーション222−1は、インフラストラクチャ展開プラットフォーム215に関連するソフトウェア、および/またはクラウドコンピューティング環境220を介して提供できる他の任意のソフトウェアを含むことができる。一部の実装において、1つのアプリケーション222 1は、仮想マシン222−2を介して他の1つ以上のアプリケーション222−1との間で情報を送受信することができる。
仮想マシン222−2は、物理マシンのようにプログラムを実行するマシン(例えばコンピュータ)のソフトウェア実装を含む。仮想マシン222−2は、用途、および仮想マシン222−2の任意の実マシンとの類似の程度に応じて、システム仮想マシンまたはプロセス仮想マシンのいずれかとすることができる。システム仮想マシンは、完全なオペレーティングシステム(OS:operating system)の実行をサポートする完全なシステムプラットフォームを提供することができる。プロセス仮想マシンは、単一のプログラムを実行することができ、単一のプロセスをサポートすることができる。一部の実装において、仮想マシン222−2は、ユーザ(例えばシステムデバイス210および/またはネットワークデバイス230)の代わりに、さらに/または他の1つ以上のインフラストラクチャ展開プラットフォーム215の代わりに実行することができ、データ管理、同期化または長期データ転送など、クラウドコンピューティング環境220のインフラストラクチャの管理をすることができる。
仮想化ストレージ222−3は、コンピューティングリソース222のストレージシステムまたはデバイスの中の仮想化手法を使用する1つ以上のストレージシステムおよび/または1つ以上のデバイスを含む。一部の実装において、ストレージシステムのコンテキストの中で、仮想化のタイプはブロック仮想化およびファイル仮想化を含むことができる。ブロック仮想化は、物理ストレージからの論理ストレージの抽象化(または分離)を指すことができ、その結果、物理ストレージまたはヘテロジニアス構造と無関係にストレージシステムにアクセスできる。この分離は、ストレージシステムの管理者がエンドユーザに対しどのようにストレージを管理するかの点で、柔軟性を管理者に認めることができる。ファイル仮想化は、ファイルレベルでアクセスされるデータと、ファイルが物理的に保存される場所との間の依存関係を排除することができる。これは、ストレージ使用の最適化、サーバコンソリデーション、および/または無停止ファイルマイグレーションの実行を可能にすることができる。
ハイパーバイザ222−4は、複数のオペレーティングシステム(例えば「ゲストオペレーティングシステム」)がコンピューティングリソース222などのホストコンピュータ上で同時に実行できるようにするハードウェア仮想化手法を提供する。ハイパーバイザ222−4は、ゲストオペレーティングシステムに仮想オペレーティングプラットフォームを提示することができ、ゲストオペレーティングシステムの実行を管理することができる。様々なオペレーティングシステムの複数のインスタンスが、仮想化ハードウェアリソースを共有することができる。
ネットワークデバイス(単数または複数)230は、システムデバイス(単数または複数)210に関連するトラフィック(例えばパケット)を受信、保存、生成、処理および/もしくは転送できる、且つ/またはシステムデバイス(単数または複数)210および/もしくはネットワーク235のトラフィックを監視できる、1つ以上のデバイスを含む。例として、ネットワークデバイス230は、ルータ、ゲートウェイ、スイッチ、ハブ、ブリッジ、リバースプロキシ、サーバ(例えばプロキシサーバ、ウェブサーバ、ホストサーバ、ストレージサーバ、データセンタまたはクラウドコンピューティング環境の中のサーバなど)、ファイアウォール、セキュリティデバイス、侵入検知デバイス、ロードバランサまたは類似の種類のデバイスを含んでもよい。ネットワークデバイス230は、単一のシステムデバイス210またはシステムデバイス210のグループ(例えばプライベートネットワーク、データセンタなどに関連したシステムデバイス210)に関連して使用されてもよい。一部の実装において、通信は、ネットワークデバイス230を介してルーティングされ、システムデバイス210のグループに到達してもよい。さらに、または代わりに、通信が1つ以上のシステムデバイス210宛てである場合、通信は、ネットワークデバイス230にルーティングされてもよい。一部の実装において、ネットワークデバイス230は、筐体などのハウジング内に実装される物理デバイスであってもよい。一部の実装において、ネットワークデバイス230は、クラウドコンピューティング環境またはデータセンタの1つ以上のコンピュータデバイスにより実装される仮想デバイスであってもよい。
ネットワーク235は、システムデバイス(単数または複数)210およびネットワークデバイス(単数または複数)230に関連するネットワークを含む。例として、ネットワーク235は、VLAN、サブネット、無線ネットワーク、有線ネットワーク、特定のネットワークセグメント(例えば1つ以上のネットワークゲートウェイに接続されたネットワーク化デバイスのグループ)、イーサネットセグメント、複数のネットワークセグメント、複数のイーサネットセグメントおよび/または同様のものを含んでもよい。一部の実装において、ネットワーク235は、本願明細書の他の箇所に記載されているように、インフラストラクチャ展開プラットフォーム(例えばインフラストラクチャ展開プラットフォーム215)により構造的に編成および展開されてもよい。
図2に示されたデバイスおよびネットワークの数および配置は、例として示されている。実際には、図2に示されたものと比べて、追加のデバイスおよび/もしくはネットワーク、より少数のデバイスおよび/もしくはネットワーク、異なるデバイスおよび/もしくはネットワーク、または別様に配置されたデバイスおよび/もしくはネットワークがあってもよい。さらに、図2に示されている2つ以上のデバイスが単一のデバイス内に実装されてもよく、または、図2に示されている単一のデバイスが複数の分散型デバイスとして実装されてもよい。さらに、または代わりに、環境200のデバイスのセット(例えば1つ以上のデバイス)が、環境200のデバイスの別のセットにより実行されるものとして記載されている1つ以上の機能を実行してもよい。
図3は、デバイス300の例示のコンポーネントの図である。デバイス300は、システムデバイス(単数または複数)210、インフラストラクチャ展開プラットフォーム215および/またはネットワークデバイス(単数または複数)230に対応し得る。一部の実装において、システムデバイス(単数または複数)210、インフラストラクチャ展開プラットフォーム215および/またはネットワークデバイス(単数または複数)230は、1つ以上のデバイス300および/またはデバイス300の1つ以上のコンポーネントを含んでもよい。図3に示されているように、デバイス300は、バス310、プロセッサ320、メモリ330、ストレージコンポーネント340、入力コンポーネント350、出力コンポーネント360および通信インターフェース370を含んでもよい。
バス310は、デバイス300のコンポーネント間の通信を可能にするコンポーネントを含む。プロセッサ320は、ハードウェア、ファームウェアまたはハードウェアとソフトウェアとの組み合わせにおいて実装される。プロセッサ320は、中央処理ユニット(CPU:central processing unit)、グラフィックス処理ユニット(GPU:graphics processing unit)、アクセラレーテッド処理ユニット(APU:accelerated processing unit)、マイクロプロセッサ、マイクロコントローラ、デジタル信号プロセッサ(DSP:digital signal processor)、フィールドプログラマブルゲートアレイ(FPGA:field−programmable gate array)、特定用途向け集積回路(ASIC:application−specific integrated circuit)または別の種類の処理コンポーネントである。一部の実装において、プロセッサ320は、機能を実行するようにプログラムされることが可能な1つ以上のプロセッサを含む。メモリ330は、プロセッサ320により使用される情報および/または命令を保存するランダムアクセスメモリ(RAM:random access memory)、読み取り専用メモリ(ROM:read only memory)および/または別の種類の動的もしくは静的ストレージデバイス(例えばフラッシュメモリ、磁気メモリおよび/または光学メモリ)を含む。
ストレージコンポーネント340は、デバイス300の動作および使用に関係する情報および/またはソフトウェアを保存する。例としてストレージコンポーネント340は、ハードディスク(例えば磁気ディスク、光学ディスク、光磁気ディスクおよび/またはソリッドステートディスク)、コンパクトディスク(CD:compact disc)、デジタル多用途ディスク(DVD:digital versatile disc)、フロッピーディスク、カートリッジ、磁気テープおよび/または別の種類の非一時的コンピュータ可読媒体を、対応するドライブとともに含んでもよい。
入力コンポーネント350は、デバイス300が、ユーザ入力(例えばタッチスクリーンディスプレイ、キーボード、キーパッド、マウス、ボタン、スイッチおよび/またはマイクロホン)などを介して情報を受信することを可能にするコンポーネントを含む。さらに、または代わりに、入力コンポーネント350は、情報を感知するセンサ(例えばグローバルポジショニングシステム(GPS:global positioning system)コンポーネント、加速度計、ジャイロスコープ、アクチュエータおよび/または画像センサ(単数または複数)(例えばカメラ(単数または複数)))を含んでもよい。出力コンポーネント360は、デバイス300からの出力情報を提供するコンポーネントを含む(例えばディスプレイ、スピーカおよび/または1つ以上のLED)。
通信インターフェース370は、デバイス300が有線接続、無線接続または有線接続と無線接続との組み合わせなどを介して他のデバイスと通信することを可能にする、トランシーバのようなコンポーネント(例えばトランシーバならびに/または別々の受信機および送信機)を含む。通信インターフェース370は、デバイス300が、別のデバイスから情報を受信し、且つ/または別のデバイスに情報を提供することを可能にしてもよい。例として、通信インターフェース370は、イーサネットインターフェース、光インターフェース、同軸インターフェース、赤外線インターフェース、無線周波数(RF:radio frequency)インターフェース、ユニバーサルシリアルバス(USB:universal serial bus)インターフェース、無線ローカルエリアネットワークインターフェース、セルラネットワークインターフェースおよび/または同様のものを含んでもよい。
デバイス300は、本願明細書に記載された1つ以上のプロセスを実行してもよい。デバイス300は、メモリ330および/またはストレージコンポーネント340などの非一時的コンピュータ可読媒体により保存されたソフトウェア命令をプロセッサ320が実行するのに基づきこれらのプロセスを実行してもよい。本願明細書において、コンピュータ可読媒体は非一時的メモリデバイスと定義される。メモリデバイスは、単一の物理ストレージデバイス内のメモリ空間、または複数の物理ストレージデバイスにまたがったメモリ空間を含む。
ソフトウェア命令は、メモリ330および/またはストレージコンポーネント340に別のコンピュータ可読媒体から、または通信インターフェース370を介して別のデバイスから読み込まれてもよい。メモリ330および/またはストレージコンポーネント340に保存されたソフトウェア命令は、実行されると本願明細書に記載された1つ以上のプロセスをプロセッサ320に実行させてもよい。さらに、または代わりに、本願明細書に記載の1つ以上のプロセスを実行するために、配線による回路構成がソフトウェア命令の代わりに、またはソフトウェア命令と組み合わせて使用されてもよい。したがって、本願明細書に記載された実装は、ハードウェア回路構成とソフトウェアとのいかなる特定の組み合わせにも限定されない。
図3に示されたコンポーネントの数および配置は、例として示されている。実際には、デバイス300は、図3に示されたものと比べて、追加のコンポーネント、より少数のコンポーネント、異なるコンポーネント、または別様に配置されたコンポーネントを含んでもよい。さらに、または代わりに、デバイス300のコンポーネントのセット(例えば1つ以上のコンポーネント)が、デバイス300のコンポーネントの別のセットにより実行されるものとして記載されている1つ以上の機能を実行してもよい。
図4は、システムのネットワークを構造化および展開する例示のプロセス400のフローチャートである。一部の実装において、図4の1つ以上のプロセスブロックは、インフラストラクチャ展開プラットフォーム(例えばインフラストラクチャ展開プラットフォーム215)により実行されてもよい。一部の実装において、図4の1つ以上のプロセスブロックは、システムデバイス(単数または複数)210および/またはネットワークデバイス(単数または複数)230など、インフラストラクチャ展開プラットフォームとは別個の、またはインフラストラクチャ展開プラットフォームを含む、別のデバイスまたはデバイスのグループにより実行されてもよい。
図4に示されているように、プロセス400は、複数のデバイス(例えばシステムデバイス210)に関係する設定データを受信することを含んでもよく、複数のデバイスは、システムのコンポーネントとして含まれる(ブロック410)。例として、図1A〜図1Cに関連して上述したように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340、入力コンポーネント350、通信インターフェース370および/または同様のものを使用する)は、複数のデバイスに関係する設定データを受信してもよい。一部の実装において、複数のデバイスは、システムのコンポーネントとして含まれてもよい。
図4にさらに示されているように、プロセス400は、設定データを受信した後に、設定データを処理することを含んでもよい(ブロック420)。例として、図1A〜図1Cに関連して上述されたように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340および/または同様のものを使用する)は、設定データを受信した後に、設定データを処理してもよい。
図4にさらに示されているように、プロセス400は、設定データを処理することに基づき、複数のデバイスに関するコンテキスト情報を判断することを含んでもよく、コンテキスト情報は、複数のデバイス間の通信関係または関連付けを特定する(ブロック430)。例として、図1A〜図1Cに関連して上述されたように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340および/または同様のものを使用する)は、設定データを処理することに基づき、複数のデバイスに関するコンテキスト情報を判断してもよい。一部の実装において、コンテキスト情報は、複数のデバイス間の通信関係または関連付けを特定してもよい。
図4にさらに示されているように、プロセス400は、複数のデバイスのネットワーク(例えばネットワーク235)の編成構造を定義することを含んでもよく、編成構造は、通信関係または関連付けに基づき複数のデバイス間の通信を制約する(ブロック440)。例として、図1A〜図1Cに関連して上述されたように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340および/または同様のものを使用する)は、複数のデバイスのネットワークの編成構造を定義してもよい。一部の実装において、編成構造は、通信関係または関連付けに基づき複数のデバイス間の通信を制約してもよい。
図4にさらに示されているように、プロセス400は、コンテキスト情報および/または編成構造についてのデータをネットワークインフラストラクチャコントローラデバイスに送信することを含んでもよい。例として、図1A〜図1Cに関連して上述したように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340、通信インターフェース370および/または同様のものを使用する)は、コンテキスト情報および/または編成構造についてのデータをネットワークインフラストラクチャコントローラデバイスに送信してもよい。
図4にさらに示されているように、プロセス400は、編成構造に基づくネットワークの展開を生じさせるアクションを実行することを含んでもよい(ブロック450)。例として、図1A〜図1Cに関連して上述したように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340、通信インターフェース370および/または同様のものを使用する)は、編成構造に基づくネットワークの展開を生じさせるアクションを実行してもよい。
プロセス400は、後述される、および/または本願明細書の他の箇所に記載された他の1つ以上のプロセスに関連して記載される、任意の単一の実装または任意の実装の組み合わせなど、追加の実装を含んでもよい。
一部の実装において、コンテキスト情報はさらに、複数のデバイスのうちの2つ以上のデバイスに関連する機能を特定してもよい。一部の実装において、編成構造を定義するとき、インフラストラクチャ展開プラットフォームは、機能にさらに基づき複数のデバイス間の通信を編成構造が制約するように、編成構造を定義してもよい。一部の実装において、編成構造を定義するとき、インフラストラクチャ展開プラットフォームは、仮想ローカルエリアネットワーク(VLAN)、物理的なセグメンテーション、ファイアウォール、論理的なセグメンテーション、ホワイトリスト登録またはブラックリスト登録を使用して編成構造を定義してもよい。
一部の実装において、設定データは、複数のデバイスのうちの1つ以上のデバイスに関連する制御論理、複数のデバイスのうちの2つ以上のデバイスのデバイス識別情報または複数のデバイスのうちの2つ以上のデバイスに関連するアドレス情報を含んでもよい。一部の実装において、設定データを受信するとき、インフラストラクチャ展開プラットフォームは、システムに関連する初期の設定データおよび/または命令コードに対する変更の検知に基づき、設定データを受信してもよい。
一部の実装において、アクションを実行するとき、インフラストラクチャ展開プラットフォームは、複数のデバイスに関係する送信のレイヤ2イーサネットフレームにセキュリティタグが付加されるようにネットワークの展開を生じさせるアクションを実行してもよい。一部の実装において、システムは、産業用制御システム(ICS)、分散制御システム(DCS)、ビルオートメーションシステム(BAS)、ビルマネジメントシステム(BMS)、産業用モノのインターネット(IIoT)システム、モノのインターネット(IoT)システム、1つ以上の医療デバイスを含むシステム、1つ以上の車両を含むシステムおよび/または同様のもののうちの少なくとも1つを含んでもよい。
一部の実装において、インフラストラクチャ展開プラットフォームは、複数のデバイスから遠隔に位置したサーバデバイスから設定データを受信する。
一部の実装において、ネットワークインフラストラクチャコントローラデバイスは、複数のデバイスから遠隔に位置する。
図4はプロセス400の例示のブロックを示すが、一部の実装ではプロセス400は、図4に示されたものと比べて追加のブロック、より少数のブロック、異なるブロックまたは別様に配置されたブロックを含んでもよい。さらに、または代わりに、プロセス400のブロックのうちの2つ以上が並列実行されてもよい。
図5は、システムのネットワークを構造化および展開する例示のプロセス500のフローチャートである。一部の実装において、図5の1つ以上のプロセスブロックは、インフラストラクチャ展開プラットフォーム(例えばインフラストラクチャ展開プラットフォーム215)により実行されてもよい。一部の実装において、図5の1つ以上のプロセスブロックは、システムデバイス(単数または複数)210および/またはネットワークデバイス(単数または複数)230など、インフラストラクチャ展開プラットフォームとは別個の、またはインフラストラクチャ展開プラットフォームを含む、別のデバイスまたはデバイスのグループにより実行されてもよい。一部の実装において、デバイス(例えばインフラストラクチャ展開プラットフォーム)は、1つ以上のメモリおよび1つ以上のメモリに通信結合されプロセス500を実行するように構成された1つ以上のプロセッサを含んでもよい。
図5に示されているように、プロセス500は、システムの複数のエンドポイント(例えばシステムデバイス210)に関係する少なくとも1つの設定ファイルを受信することを含んでもよい(ブロック510)。例として、図1A〜図1Cに関連して上述したように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340、入力コンポーネント350、通信インターフェース370および/または同様のものを使用する)は、システムの複数のエンドポイントに関係する少なくとも1つの設定ファイルを受信してもよい。
図5にさらに示されているように、プロセス500は、少なくとも1つの設定ファイルを受信した後に、少なくとも1つの設定ファイルをパースすることを含んでもよい(ブロック520)。例として、図1A〜図1Cに関連して上述されたように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340および/または同様のものを使用する)は、少なくとも1つの設定ファイルを受信した後に、少なくとも1つの設定ファイルをパースしてもよい。
図5にさらに示されているように、プロセス500は、少なくとも1つの設定ファイルをパースすることに基づき、複数のエンドポイントに関するコンテキスト情報を判断することを含んでもよく、コンテキスト情報は、複数のエンドポイントに関連する機能および/または複数のエンドポイント間の通信関係を特定する(ブロック530)。例として、図1A〜図1Cに関連して上述されたように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340および/または同様のものを使用する)は、少なくとも1つの設定ファイルをパースすることに基づき、複数のエンドポイントに関するコンテキスト情報を判断してもよい。一部の実装において、コンテキスト情報は、複数のエンドポイントに関連する機能および/または複数のエンドポイント間の通信関係を特定してもよい。
図5にさらに示されているように、プロセス500は、複数のエンドポイントのネットワークインフラストラクチャを定義することを含んでもよく、ネットワークインフラストラクチャは、機能および/または通信関係に基づき複数のエンドポイント間の通信を制約する(ブロック540)。例として、図1A〜図1Cに関連して上述されたように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340および/または同様のものを使用する)は、複数のエンドポイントのネットワークインフラストラクチャを定義してもよい。一部の実装において、ネットワークインフラストラクチャは、機能および/または通信関係に基づき複数のエンドポイント間の通信を制約してもよい。
図5にさらに示されているように、プロセス500は、ネットワークインフラストラクチャに基づくネットワークの実装を生じさせるアクションを実行することを含んでもよい(ブロック550)。例として、図1A〜図1Cに関連して上述したように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340、通信インターフェース370および/または同様のものを使用する)は、ネットワークインフラストラクチャに基づくネットワークの実装を生じさせるアクションを実行してもよい。
プロセス500は、後述される、および/または本願明細書の他の箇所に記載された他の1つ以上のプロセスに関連して記載される、任意の単一の実装または任意の実装の組み合わせなど、追加の実装を含んでもよい。
一部の実装において、ネットワークインフラストラクチャを定義するとき、インフラストラクチャ展開プラットフォームは、仮想ローカルエリアネットワーク(VLAN)識別子と、複数のエンドポイントのうちの2つ以上のエンドポイントとを関連付けることにより、ネットワークインフラストラクチャを定義してもよい。一部の実装において、ネットワークインフラストラクチャを定義するとき、インフラストラクチャ展開プラットフォームは、仮想ローカルエリアネットワーク(VLAN)スキーマ、物理的なセグメンテーション、ファイアウォールスキーム、論理的なセグメンテーション、ホワイトリスト登録またはブラックリスト登録に基づきネットワークインフラストラクチャを定義してもよい。
一部の実装において、複数のエンドポイントは、制御デバイス、入出力(I/O)デバイス、ヒューマンマシンインターフェース(HMI)デバイスまたはコンピューティングデバイスを含んでもよい。一部の実装において、複数のエンドポイントは、モノのインターネット(IoT)デバイスを含んでもよい。
一部の実装において、システムは、複数のプロセスを実装するように構成されてもよく、コンテキスト情報は、複数のエンドポイントのうちの各エンドポイントについて、エンドポイントと、複数のプロセスのうちの1つ以上のプロセスとの関連付けを特定してもよい。一部の実装において、システムは、動的車両通信システムを含んでもよい。
図5はプロセス500の例示のブロックを示すが、一部の実装ではプロセス500は、図5に示されたものと比べて追加のブロック、より少数のブロック、異なるブロックまたは別様に配置されたブロックを含んでもよい。さらに、または代わりに、プロセス500のブロックのうちの2つ以上が並列実行されてもよい。
図6は、デバイス間の通信を制御する例示のプロセス600のフローチャートである。一部の実装において、図6の1つ以上のプロセスブロックは、インフラストラクチャ展開プラットフォーム(例えばインフラストラクチャ展開プラットフォーム215)により実行されてもよい。一部の実装において、図6の1つ以上のプロセスブロックは、システムデバイス(単数または複数)210および/またはネットワークデバイス(単数または複数)230など、インフラストラクチャ展開プラットフォームとは別個の、またはインフラストラクチャ展開プラットフォームを含む、別のデバイスまたはデバイスのグループにより実行されてもよい。一部の実装において、非一時的コンピュータ可読媒体は、命令を含んでもよい。一部の実装において、インフラストラクチャは、デバイス(例えばインフラストラクチャ展開プラットフォーム)の1つ以上のプロセッサにより実行されると1つ以上のプロセッサにプロセス600を実行させる1つ以上の命令を含んでもよい。
図6に示されているように、プロセス600は、複数のモノのインターネット(IoT)デバイス(例えばシステムデバイス210)に関係する設定データを受信することを含んでもよく、複数のIoTデバイスは、ネットワーク(例えばネットワーク235)のネットワークインフラストラクチャコントローラに通信結合されている(ブロック610)。例として、図1A〜図1Cに関連して上述したように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340、入力コンポーネント350、通信インターフェース370および/または同様のものを使用する)は、複数のモノのインターネット(IoT)デバイスに関係する設定データを受信してもよい。一部の実装において、複数のIoTデバイスは、ネットワークのネットワークインフラストラクチャコントローラに通信結合されてもよい。
図6にさらに示されているように、プロセス600は、設定データを受信した後に、設定データにおいて、複数のIoTデバイスのうちの各IoTデバイスに関係するネットワーク情報を特定し、ネットワーク情報に基づき1つ以上のコマンドを得ることにより、設定データを処理することを含んでもよい(ブロック620)。例として、図1A〜図1Cに関連して上述されたように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340および/または同様のものを使用する)は、設定データを受信した後に、設定データを処理してもよい。一部の実装において、インフラストラクチャ展開プラットフォームは、設定データにおいて、複数のIoTデバイスのうちの各IoTデバイスに関係するネットワーク情報を特定し、ネットワーク情報に基づき1つ以上のコマンドを得ることにより、設定データを処理してもよい。
図6にさらに示されているように、プロセス600は、ネットワークインフラストラクチャコントローラに1つ以上のコマンドを提供することを含んでもよく、1つ以上のコマンドは、ネットワークインフラストラクチャコントローラに、複数のIoTデバイスのうちの各IoTデバイスについて、IoTデバイスから発生するエグレス通信をフィルタリングさせるように構成される(ブロック630)。例として、図1A〜図1Cに関連して上述したように、インフラストラクチャ展開プラットフォーム(例えばコンピューティングリソース222、プロセッサ320、メモリ330、ストレージコンポーネント340、出力コンポーネント360、通信インターフェース370および/または同様のものを使用する)は、ネットワークインフラストラクチャコントローラに1つ以上のコマンドを提供してもよい。一部の実装において、1つ以上のコマンドは、ネットワークインフラストラクチャコントローラに、複数のIoTデバイスのうちの各IoTデバイスについて、IoTデバイスから発生するエグレス通信をフィルタリングさせるように構成されてもよい。
プロセス600は、後述される、および/または本願明細書の他の箇所に記載された他の1つ以上のプロセスに関連して記載される、任意の単一の実装または任意の実装の組み合わせなど、追加の実装を含んでもよい。
一部の実装において、ネットワーク情報は、複数のIoTデバイスのうちの各IoTデバイスについて、IoTデバイスに関連する意図される個々の通信受信側を特定してもよい。一部の実装において、1つ以上のコマンドは、ネットワークインフラストラクチャコントローラに、IoTデバイスに関連する意図される個々の通信受信側に宛てられた特定のエグレス通信のみネットワークを横断することを許可させることにより、複数のIoTデバイスのうちの各IoTデバイスから発生するエグレス通信のフィルタリングをネットワークインフラストラクチャコントローラにさせるように構成されてもよい。
一部の実装において、ネットワーク情報は、複数のIoTデバイスのうちの各IoTデバイスについて、IoTデバイスに関連する意図された個々の通信受信側に関連するインターネットプロトコル(IP)アドレス、または意図された個々の通信受信側に関連するドメイン名を特定してもよい。一部の実装において、複数のIoTデバイスは、コンシューマIoTデバイス、産業用IoTデバイスまたはスマートシティIoTデバイスを含んでもよい。一部の実装において、設定データを受信するとき、インフラストラクチャ展開プラットフォームは、複数のIoTデバイスを管理するように構成されたサーバデバイスから設定データを受信してもよい。
図6はプロセス600の例示のブロックを示すが、一部の実装ではプロセス600は、図6に示されたものと比べて追加のブロック、より少数のブロック、異なるブロックまたは別様に配置されたブロックを含んでもよい。さらに、または代わりに、プロセス600のブロックのうちの2つ以上が並列実行されてもよい。
このように、インフラストラクチャ展開プラットフォームは、システム(制御された結果の有限のセットを有する産業用制御システムおよび/または同様のものなど)の構造化された性質を活用して、システムの中のデバイスのセキュアなネットワークインフラストラクチャを設計し得る。本願明細書に記載されるように、コンテキスト情報に基づきデバイス間通信が制約されるようにネットワークインフラストラクチャを編成することは、デバイスの全体的な通信アーキテクチャを強固にし(例えば強化し)、これは、攻撃をより受けにくいよりセキュアなネットワークを提供する。これはさらに、全体的なネットワークを単純化し、それにより、システムおよびまたはネットワークに対する更新および/またはアップグレードのより効率的な展開が可能になる。本願明細書に記載されるように、システム設定が行われている間にリアルタイム(または準リアルタイム)でネットワークを設計および展開することを可能にすることで、ネットワークの様々な部分を、開発プロセスの全体にわたってテストすることもでき、これは、最終的なネットワークの信頼性をさらに向上させる。さらに、本願明細書に記載されるように(例えばIoTデバイスおよび/または同様のもののシステムの)ネットワークにおいてエグレス通信またはトラフィックをフィルタリングすることは、悪意のある行為者によるネットワークの侵害を制限し、これは、全体的なシステムセキュリティを改善する。
前述の開示は、例示および説明を提供するが、網羅的であることも、実装を開示された厳密な形態に限定することも意図していない。上記の開示を考慮して変更および変形を考え得るし、または実装の実践から変更および変形が習得されるかもしれない。
本願明細書で使用されるとき、コンポーネントという用語は、ハードウェア、ファームウェアまたはハードウェアとソフトウェアとの組み合わせとして広く解釈されるよう意図される。
本願明細書で使用されるとき、パケットとは、プロトコルデータユニット(PDU:protocol data unit)、ネットワークパケット、フレーム、データグラム、セグメント、メッセージ、ブロック、セル、フレーム、サブフレーム、スロット、シンボル、上記のうちいずれかの一部、および/または別の種類の、ネットワークを介して送信でき、フォーマット設定された、もしくはフォーマット設定されていないデータのユニットなどの、情報を伝達する通信構造を指し得る。
当然のことながら、本願明細書に記載されたシステムおよび/または方法は、異なる形態のハードウェア、ファームウェアまたはハードウェアとソフトウェアとの組み合わせに実装されてもよい。これらのシステムおよび/または方法を実装するために使用される実際の専用制御ハードウェアまたはソフトウェアコードは、実装を限定するものではない。したがって、システムおよび/または方法の動作および挙動は、特定のソフトウェアコードを参照することなく本願明細書に記載されたが、当然のことながら、ソフトウェアおよびハードウェアは、本願明細書の記載に基づくシステムおよび/または方法を実装するよう設計されてもよい。
特徴の特定の組み合わせが特許請求の範囲に記載され且つ/または明細書で開示されるが、これらの組み合わせは可能な実装の開示を限定することを意図されたものではない。実際には、これらの特徴の多くが、具体的に特許請求の範囲に記載および/または明細書に開示されなかった形で組み合わされてもよい。下記に列挙される各従属クレームは、1つのみのクレームに直接従属するかもしれないが、可能な実装の開示は、クレームセットの中の他のすべてのクレームと組み合わせた各従属クレームを含む。
本願明細書で使用されるいずれの構成要素、動作または命令も、重要または必須とは、そのように明示的に記載されない限りは、解釈されてはならない。さらに、本願明細書で使用されるとき、冠詞「或る(aおよびan)」は、1つ以上の項目を含むよう意図され、「1つ以上の(one or more)」と交換可能なように使用され得る。さらに、本願明細書で使用されるとき、「セット(set)」という用語は、1つ以上の項目(例えば関係する項目、無関係の項目、関係する項目と無関係の項目との組み合わせなど)を含むよう意図され、「1つ以上の(one or more)」と交換可能なように使用され得る。1つのみの項目が意図される場合、「1つの(one)」という用語または同様の文言が使用される。さらに、本願明細書で使用されるとき、「有する(has、have、having)」という用語および/または同様のものは、非限定的な用語であるものと意図される。さらに、「基づく(based on)」という語句は、別段の記載が明示的にされない限り「少なくとも部分的に基づく(based,at least in part,on)」を意味するよう意図される。

Claims (20)

  1. インフラストラクチャ展開プラットフォームによって、複数のデバイスに関係する設定データを受信するステップであって、
    前記複数のデバイスは、システムのコンポーネントとして含まれている、
    前記受信するステップと、
    前記設定データを受信した後に、前記インフラストラクチャ展開プラットフォームによって前記設定データを処理するステップと、
    前記設定データを処理するステップに基づき、前記インフラストラクチャ展開プラットフォームによって、前記複数のデバイスに関するコンテキスト情報を判断するステップであって、
    前記コンテキスト情報は、前記複数のデバイス間の通信関係または関連付けを特定する、
    前記判断するステップと、
    前記インフラストラクチャ展開プラットフォームによって、前記複数のデバイスのネットワークの編成構造を定義するステップであって、
    前記編成構造は、前記通信関係または関連付けに基づき前記複数のデバイス間の通信を制約する、
    前記定義するステップと、
    前記インフラストラクチャ展開プラットフォームによって、前記コンテキスト情報または前記編成構造についてのデータをネットワークインフラストラクチャコントローラデバイスに送信するステップと、
    前記インフラストラクチャ展開プラットフォームによって、前記編成構造に基づく前記ネットワークの展開を生じさせるアクションを実行するステップと、
    を含む方法。
  2. 前記コンテキスト情報は、
    前記複数のデバイスのうちの2つ以上のデバイスに関連する機能
    をさらに特定し、
    前記編成構造を定義するステップは、
    前記機能にさらに基づき前記編成構造が前記複数のデバイス間の前記通信を制約するように、前記編成構造を定義するステップ
    を含む、請求項1に記載の方法。
  3. 前記編成構造を定義するステップは、
    仮想ローカルエリアネットワーク(VLAN)、
    物理的なセグメンテーション、
    ファイアウォール、
    論理的なセグメンテーション、
    ホワイトリスト登録、または
    ブラックリスト登録
    のうちの少なくとも1つを使用して前記編成構造を定義するステップ
    を含む、請求項1に記載の方法。
  4. 前記設定データは、
    前記複数のデバイスのうちの1つ以上のデバイスに関連する制御論理、
    前記複数のデバイスのうちの2つ以上のデバイスのデバイス識別情報、または
    前記複数のデバイスのうちの前記2つ以上のデバイスに関連するアドレス情報
    を含む、請求項1に記載の方法。
  5. 前記設定データを受信するステップは、
    前記システムに関連する初期の設定データおよび/または命令コードに対する変更の検知に基づき、前記設定データを受信するステップ
    を含む、請求項1に記載の方法。
  6. 前記アクションを実行するステップは、
    前記複数のデバイスに関係する送信のレイヤ2イーサネットフレームにセキュリティタグが付加されるように前記ネットワークの展開を生じさせる前記アクションを実行するステップ
    を含む、請求項1に記載の方法。
  7. 前記システムは、
    産業用制御システム(ICS)、
    分散制御システム(DCS)、
    ビルオートメーションシステム(BAS)、
    ビルマネジメントシステム(BMS)、
    産業用モノのインターネット(IIoT)システム、
    モノのインターネット(IoT)システム、
    1つ以上の医療デバイスを含むシステム、または
    1つ以上の車両を含むシステム
    のうちの少なくとも1つを含む、請求項1に記載の方法。
  8. 前記インフラストラクチャ展開プラットフォームは、前記複数のデバイスから遠隔に位置したサーバデバイスから前記設定データを受信する、請求項1に記載の方法。
  9. 前記ネットワークインフラストラクチャコントローラデバイスは、前記複数のデバイスから遠隔に位置する、請求項1に記載の方法。
  10. 1つ以上のメモリと、
    前記1つ以上のメモリに通信結合された1つ以上のプロセッサと、
    を含むデバイスであって、前記1つ以上のプロセッサは、
    システムの複数のエンドポイントに関係する少なくとも1つの設定ファイルを受信することと、
    前記少なくとも1つの設定ファイルを受信した後に、前記少なくとも1つの設定ファイルをパースすることと、
    前記少なくとも1つの設定ファイルをパースすることに基づき、前記複数のエンドポイントに関するコンテキスト情報を判断することであって、
    前記コンテキスト情報は、前記複数のエンドポイントに関連する機能および/または前記複数のエンドポイント間の通信関係を特定する、
    前記判断することと、
    前記複数のエンドポイントのネットワークインフラストラクチャを定義することであって、
    前記ネットワークインフラストラクチャは、前記機能および/または前記通信関係に基づき前記複数のエンドポイント間の通信を制約する、
    前記定義することと、
    前記ネットワークインフラストラクチャに基づくネットワークの実装を生じさせるアクションを実行することと、
    をするように構成される、デバイス。
  11. 前記1つ以上のプロセッサは、前記ネットワークインフラストラクチャを定義するとき、
    識別子と、前記複数のエンドポイントのうちの2つ以上のエンドポイントとを関連付けることにより、前記ネットワークインフラストラクチャを定義すること
    をするように構成される、請求項10に記載のデバイス。
  12. 前記1つ以上のプロセッサは、前記ネットワークインフラストラクチャを定義するとき、
    仮想ローカルエリアネットワーク(VLAN)スキーマ、
    物理的なセグメンテーション、
    ファイアウォールスキーム、
    論理的なセグメンテーション、
    ホワイトリスト登録、または
    ブラックリスト登録、
    のうちの少なくとも1つに基づき前記ネットワークインフラストラクチャを定義すること
    をするように構成される、請求項10に記載のデバイス。
  13. 前記複数のエンドポイントは、
    制御デバイス、
    入出力(I/O)デバイス、
    ヒューマンマシンインターフェース(HMI)デバイス、または
    コンピューティングデバイス
    を含む、請求項10に記載のデバイス。
  14. 前記複数のエンドポイントは、モノのインターネット(IoT)デバイスを含む、請求項10に記載のデバイス。
  15. 前記システムは、複数のプロセスを実装するように構成され、
    前記コンテキスト情報は、前記複数のエンドポイントのうちの各エンドポイントについて、前記エンドポイントと、前記複数のプロセスのうちの1つ以上のプロセスとの関連付けを特定する、請求項10に記載のデバイス。
  16. 前記システムは、動的車両通信システムまたは車両制御システムを含む、請求項10に記載のデバイス。
  17. 命令を含む非一時的コンピュータ可読媒体であって、前記命令は、
    1つ以上の命令
    を含み、前記1つ以上の命令は、デバイスの1つ以上のプロセッサにより実行されると前記1つ以上のプロセッサに、
    複数のモノのインターネット(IoT)デバイスに関係する設定データを受信することであって、
    前記複数のIoTデバイスは、ネットワークのネットワークインフラストラクチャコントローラに通信結合されている、
    前記受信することと、
    前記設定データを受信した後に、前記設定データを処理することと、
    前記ネットワークインフラストラクチャコントローラに1つ以上のコマンドを提供することであって、
    前記1つ以上のコマンドは、前記ネットワークインフラストラクチャコントローラに、前記複数のIoTデバイスのうちの各IoTデバイスについて、前記IoTデバイスから発生するエグレス通信をフィルタリングさせるように構成される、
    前記提供することと、
    をさせ、
    前記1つ以上のプロセッサに前記設定データを処理することをさせる前記1つ以上の命令は、前記1つ以上のプロセッサに、
    前記設定データにおいて、前記複数のIoTデバイスのうちの各IoTデバイスに関係するネットワーク情報を特定することと、
    前記ネットワーク情報に基づき前記1つ以上のコマンドを得ることと、
    をさせる、非一時的コンピュータ可読媒体。
  18. 前記ネットワーク情報は、前記複数のIoTデバイスのうちの各IoTデバイスについて、前記IoTデバイスに関連する意図される個々の通信受信側を特定する、請求項17に記載の非一時的コンピュータ可読媒体。
  19. 前記1つ以上のコマンドは、前記複数のIoTデバイスのうちの各IoTデバイスから発生するエグレス通信のフィルタリングを、
    前記ネットワークインフラストラクチャコントローラに、前記IoTデバイスに関連する前記意図される個々の通信受信側に宛てられた特定のエグレス通信のみ前記ネットワークを横断することを許可させること
    により、前記ネットワークインフラストラクチャコントローラにさせるように構成される、請求項18に記載の非一時的コンピュータ可読媒体。
  20. 前記ネットワーク情報は、前記複数のIoTデバイスのうちの各IoTデバイスについて、
    前記IoTデバイスに関連する前記意図された個々の通信受信側に関連するインターネットプロトコル(IP)アドレス、または
    前記意図された個々の通信受信側に関連するドメイン名
    を特定する、請求項18に記載の非一時的コンピュータ可読媒体。
JP2019157108A 2018-08-30 2019-08-29 ネットワークインフラストラクチャのエンドポイント設定に基づく動的な展開 Active JP6712670B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US16/117,847 US10348570B1 (en) 2018-08-30 2018-08-30 Dynamic, endpoint configuration-based deployment of network infrastructure
US16/117,847 2018-08-30

Publications (2)

Publication Number Publication Date
JP2020058021A JP2020058021A (ja) 2020-04-09
JP6712670B2 true JP6712670B2 (ja) 2020-06-24

Family

ID=67106285

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2019157108A Active JP6712670B2 (ja) 2018-08-30 2019-08-29 ネットワークインフラストラクチャのエンドポイント設定に基づく動的な展開

Country Status (5)

Country Link
US (1) US10348570B1 (ja)
EP (1) EP3618353B1 (ja)
JP (1) JP6712670B2 (ja)
CN (1) CN110875847B (ja)
CA (1) CA3053054C (ja)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3451248A1 (en) * 2017-09-02 2019-03-06 Tata Consultancy Services Limited Systems and methods for computing and evaluating internet of things (iot) readiness of a product
US20210092103A1 (en) * 2018-10-02 2021-03-25 Arista Networks, Inc. In-line encryption of network data
US11411884B2 (en) * 2019-11-13 2022-08-09 Amdocs Development Limited Multiple network controller system, method, and computer program for providing enhanced network service
US11700282B2 (en) * 2020-10-26 2023-07-11 Netskope, Inc. Dynamic hyper context-driven microsegmentation
CN112511604A (zh) * 2020-11-17 2021-03-16 用友网络科技股份有限公司 计算装置的关联方法、系统、电子设备和存储介质
US11601348B2 (en) * 2020-12-10 2023-03-07 Amazon Technologies, Inc. Managing radio-based private networks
US11870788B2 (en) 2021-04-28 2024-01-09 Accenture Global Solutions Limited Utilizing a machine learning model to determine real-time security intelligence based on operational technology data and information technology data

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10180809B2 (en) * 2006-05-17 2019-01-15 Richard Fetik Secure application acceleration system, methods and apparatus
US8565108B1 (en) * 2010-09-28 2013-10-22 Amazon Technologies, Inc. Network data transmission analysis
EP2547047B1 (en) * 2011-07-08 2016-02-17 Alcatel Lucent Centralized system for routing ethernet packets over an internet protocol network
US8893125B2 (en) * 2011-11-18 2014-11-18 Broadcom Corporation Network port profile deployment in a pre-provisioned or dynamically provisioned network infrastructure
DE102012101799A1 (de) * 2012-03-02 2013-09-05 ropa development GmbH Netzinfrastrukturkomponente, Verbundsystem mit einer Mehrzahl von Netzinfrastrukturkomponenten sowie Verwendung des Verbundsystems
US9882995B2 (en) * 2012-06-25 2018-01-30 Sonos, Inc. Systems, methods, apparatus, and articles of manufacture to provide automatic wireless configuration
JP2015144357A (ja) * 2014-01-31 2015-08-06 日本電気株式会社 通信システム、制御装置、トポロジ構成収集方法及びプログラム
US20160191594A1 (en) * 2014-12-24 2016-06-30 Intel Corporation Context aware streaming media technologies, devices, systems, and methods utilizing the same
US9979606B2 (en) * 2015-03-04 2018-05-22 Qualcomm Incorporated Behavioral analysis to automate direct and indirect local monitoring of internet of things device health
US9509574B2 (en) * 2015-04-03 2016-11-29 Illumio, Inc. End-to-end policy enforcement in the presence of a traffic midpoint device
US10027543B2 (en) * 2015-04-17 2018-07-17 Microsoft Technology Licensing, Llc Reconfiguring an acceleration component among interconnected acceleration components
US10135791B2 (en) * 2015-08-25 2018-11-20 Anchorfree Inc. Secure communications with internet-enabled devices
US9967274B2 (en) * 2015-11-25 2018-05-08 Symantec Corporation Systems and methods for identifying compromised devices within industrial control systems
US11438417B2 (en) * 2016-03-02 2022-09-06 Nec Corporation Network system, terminal, sensor data collection method, and program
WO2017175154A1 (en) * 2016-04-06 2017-10-12 Karamba Security Automated security policy generation for controllers
US10887397B2 (en) * 2016-07-28 2021-01-05 Citrix Systems, Inc. System and method for controlling internet of things devices using namespaces
US9961100B2 (en) 2016-07-29 2018-05-01 Accenture Global Solutions Limited Network security analysis system
JP6737955B2 (ja) * 2016-09-27 2020-08-12 エーナイン・ドット・コム インコーポレイテッドA9.com, Inc. ネットワーク設定を共有する方法
US20180191677A1 (en) * 2016-12-30 2018-07-05 IoT Defense, Inc. Firewall and method thereof
US10038671B2 (en) * 2016-12-31 2018-07-31 Fortinet, Inc. Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows
JP6666863B2 (ja) * 2017-01-31 2020-03-18 日本電信電話株式会社 仮想閉域網の形成システム及び方法並びにプログラム
US10698714B2 (en) * 2017-04-07 2020-06-30 Nicira, Inc. Application/context-based management of virtual networks using customizable workflows
US10587621B2 (en) * 2017-06-16 2020-03-10 Cisco Technology, Inc. System and method for migrating to and maintaining a white-list network security model

Also Published As

Publication number Publication date
EP3618353A1 (en) 2020-03-04
JP2020058021A (ja) 2020-04-09
CA3053054A1 (en) 2020-02-29
CA3053054C (en) 2021-06-15
CN110875847B (zh) 2020-11-27
US10348570B1 (en) 2019-07-09
EP3618353B1 (en) 2021-03-31
CN110875847A (zh) 2020-03-10

Similar Documents

Publication Publication Date Title
JP6712670B2 (ja) ネットワークインフラストラクチャのエンドポイント設定に基づく動的な展開
US10728340B2 (en) Internet of things (IOT) platform for device configuration management and support
EP3878191B1 (en) Subnet-based device allocation with geofenced attestation
US11799732B2 (en) Internet of things device discovery and configuration
Valdivieso Caraguay et al. SDN: Evolution and opportunities in the development IoT applications
US10348866B2 (en) Apparatus, system and method to provide IoT cloud backend service
CN111327451B (zh) 用于使用隐马尔可夫模型(hmm)标识和协助网络服务配置的创建和实现的系统
US9870580B2 (en) Network-as-a-service architecture
US9654513B1 (en) Automated network security policy deployment in a dynamic environment
WO2016160533A1 (en) Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
CN104718723A (zh) 用于虚拟网络中的联网和安全服务的框架
US11909845B2 (en) Methods and systems for managing applications of a multi-access edge computing environment
CN110958169B (zh) 根据需求生成灵活、可编程且可扩展的网络隧道
WO2012121899A2 (en) System and method to provide remote device management for mobile virtualized platforms
US9716623B2 (en) Automatic and secure activation of a universal plug and play device management device
US20210312271A1 (en) Edge ai accelerator service
US20210037061A1 (en) Managing machine learned security for computer program products
CN111193699A (zh) 用于检测ZigBee设备安全漏洞的方法和装置
US12114408B2 (en) Controller for providing uninterrupted control of a node in a lighting network and a method thereof
EP4340312A1 (en) Translation of a source intent policy model to a target intent policy model
Vemuri Policy Carry-Over for Mobility in Software Defined Networks

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20191226

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20191226

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20200212

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200526

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200601

R150 Certificate of patent or registration of utility model

Ref document number: 6712670

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250