基于规则的设备注册的制作方法
对相关申请的交叉引用
本申请要求于2015年4月17日提交的标题为“rulebaseddeviceenrollment”的美国非临时申请no.14/689,733的权益和优先权,该申请要求于2014年9月24日提交的标题为“mobilesecuritymanager(msm)”的美国临时申请no.62/054,544的权益和优先权。以上识别出的专利申请的全部内容通过引用被结合于此,用于所有目的。
背景技术:
本公开内容一般而言涉及管理通信网络中的远程设备。更具体而言,公开了用于为通信网络中的各种类型的电子设备提供注册服务的技术。
移动设备管理(mdm)系统和/或移动应用管理(mam)系统通常便于管理和控制由不同电子设备对企业中的资源的访问,以确保对这些资源的访问是安全的。管理和控制对企业内的资源的访问可以包括传达关于合规性和资源的信息、以及为了维护对企业的访问而必须采取的动作。
具有数千个用户的企业可能面临管理访问企业的数千个设备的接入的任务。通常需要注册这些设备,以防止未经授权的用户获得对企业的内部网络的访问。因此,改进的用于管理通信网络内各种类型的电子设备的注册的技术是所期望的。
技术实现要素:
提供了用于为通信网络中的各种类型的电子设备提供注册服务的技术(例如,方法、系统、存储可由一个或多个处理器执行的代码或指令的非临时性计算机可读介质)。在某些实施例中,公开了控制通信网络内的设备的认证和注册的设备注册系统。
根据至少一些实施例,公开了一种用于注册通信网络中的多个电子设备的方法。该方法包括由设备注册系统检测通信网络中的多个电子设备并且认证多个电子设备。该方法然后包括确定多个电子设备中的第一设备与人类用户相关联并且识别与第一设备相关联的第一注册策略。该方法可以包括根据第一注册策略将第一注册规则集合应用于第一设备。在一些实施例中,该方法可以包括确认多个电子设备中的第二设备是不专用于任何一个用户的无头设备(headlessdevice),并且基于该确认和无头设备的地理位置识别与第二设备相关联的第二注册策略。该方法然后可以包括根据第二注册策略将第二注册规则集合应用于第二设备。在某些实施例中,该方法然后可以包括基于第一注册策略注册第一设备和基于第二注册策略注册第二设备。
在一些实施例中,可以基于第一设备的操作系统或类型来识别第一注册策略。在一些例子中,第一设备的类型可以是工作站、个人计算机、平板计算机、移动设备或可穿戴设备。在一些例子中,无头设备可以包括温度传感器、氧传感器、心电图(ekg)传感器、相机或医疗感测装备。无头设备可以包括恒温器、安全系统、烟雾报警器、冰箱、洗碗机、洗衣机、干衣机、热水加热器、空调、集中式炉或炉灶。无头设备也可以包括打印机、扫描仪、传真机、视频会议装备或ip语音(voip)电话。
在一些实施例中,第二注册策略可以基于通过固定网关的受信连接来识别。
在一些实施例中,认证电子设备可以包括向电子设备传输注册请求、响应于注册请求从电子设备接收凭证信息以及基于凭证信息认证设备。
在一些实施例中,认证电子设备可以包括确定电子设备是向系统预先登记的、向电子设备传输共享秘密和标识符、从电子设备接收经加密的标识符和共享秘密、解密经加密的标识符和共享秘密以及基于解密将数字证书传输到电子设备。
根据一些例子,第一注册规则集合和第二注册规则集合可以指定与系统中可以注册多个电子设备的用户、可以由系统的一个或多个用户注册的设备的类型以及可以由一个或多个用户向系统注册的设备的最大数量相关的信息。
在一些例子中,第一注册规则集合和第二注册规则集合可以指定与要被应用于向系统注册电子设备的特定认证机制相关的信息。
在一些例子中,第一注册规则集合和第二注册规则集合可以指定与电子设备的地理位置相关的信息。
根据一些实施例,设备注册系统可以被配置为检测连接到通信网络中的一个或多个电子设备的网关设备并且注册该网关设备。设备注册系统然后可以被配置为从网关设备接收向系统注册电子设备的注册请求。设备注册系统可以被配置为认证电子设备、识别为网关设备定义的注册策略、根据注册策略注册电子设备、以及向网关设备传输使已注册的一个或多个设备能够访问系统的资源的信息。
根据至少一些实施例,公开了一种设备注册系统。该设备注册系统包括:设备认证引擎,被配置为检测通信网络中的多个电子设备、认证多个电子设备、确定多个电子设备中的第一设备与人类用户相关联、以及确认多个电子设备中的第二设备是不专用于任何一个用户的无头设备;设备注册策略识别引擎,被配置为基于该确定来识别与第一设备相关联的第一注册策略,以及基于该确认和无头设备的地理位置识别与第二设备相关联的第二注册策略;以及设备注册引擎,被配置为根据第一注册策略将第一注册规则集合应用于第一设备和根据第二注册策略将第二注册规则集合应用于第二设备,以及基于第一注册策略注册第一设备和基于第二注册策略注册第二设备。
在一些实施例中,设备注册策略识别引擎还可以被配置为基于第一设备的操作系统或类型来识别第一注册策略,其中第一设备的类型选自包括以下各项的组:工作站、个人计算机、平板计算机、移动设备和可穿戴设备。
在一些实施例中,无头设备可以包括温度传感器、氧传感器、心电图(ekg)传感器、相机或医疗感测装备。
在一些实施例中,设备注册策略识别引擎还可以被配置为基于通过固定网关的受信连接来识别第二注册策略。
在一些实施例中,设备认证引擎还可以被配置为向多个电子设备发送注册请求;响应于注册请求从多个电子设备接收凭证信息;以及基于凭证信息认证多个电子设备。
在一些实施例中,设备认证引擎还可以被配置为通过确定多个电子设备是向系统预先登记的、基于该确定向一个或多个电子设备传输共享秘密和标识符、从一个或多个电子设备接收经加密的标识符和共享秘密、解密经加密的标识符和共享秘密、以及基于解密向多个电子设备传输数字证书来认证一个或多个电子设备。
在一些实施例中,第一注册规则集合和第二注册规则集合可以指定与系统中可以注册多个电子设备的用户、可以由系统的一个或多个用户注册的设备的类型以及可以由一个或多个用户向系统注册的设备的最大数量相关的信息中的一个或多个信息。
在一些实施例中,第一注册规则集合和第二注册规则集合可以指定与要被应用于向系统注册多个电子设备的特定认证机制相关的信息。
在一些实施例中,第一注册规则集合和第二注册规则集合可以指定与多个电子设备的地理位置相关的信息。
根据至少一些实施例,公开了一种设备注册系统。该设备注册系统包括:设备认证引擎,被配置为检测连接到通信网络中的一个或多个电子设备的网关设备,并且被配置为在网关设备的注册时从该网关设备接收向系统注册一个或多个电子设备的注册请求以及认证一个或多个电子设备;设备注册策略识别引擎,被配置为识别为网关设备定义的注册策略;以及设备注册引擎,被配置为注册网关设备、根据注册策略注册一个或多个电子设备、以及向网关设备传输使已注册的一个或多个设备能够访问系统的资源的信息。
在一些实施例中,设备认证引擎还可以被配置为从网关设备接收包括与一个或多个电子设备相关联的指纹信息的数字证书、验证数字证书、以及基于数字证书认证一个或多个电子设备。
在一些实施例中,设备注册引擎还可以被配置为将由注册策略定义的注册规则集合应用于一个或多个电子设备,以及根据该注册规则集合注册一个或多个电子设备。
在一些实施例中,注册规则集合可以指定与系统中可以注册一个或多个电子设备的用户、可以由系统的一个或多个用户注册的设备的类型以及可以由一个或多个用户向系统注册的设备的最大数量相关的信息中的一个或多个信息。
在一些实施例中,一个或多个电子设备可以包括无头设备,并且其中无头设备包括打印机、扫描仪、传真机、视频会议装备或ip语音(voip)电话。
根据至少一些实施例,公开了一种方法。该方法包括:检测连接到通信网络中的一个或多个电子设备的网关设备;注册网关设备;从网关设备接收向系统注册一个或多个电子设备的注册请求;认证一个或多个电子设备;识别为网关设备定义的注册策略;根据注册策略注册一个或多个电子设备;以及向网关设备传输使已注册的一个或多个设备能够访问系统的资源的信息。
在一些实施例中,该方法还可以包括从网关设备接收包括与一个或多个电子设备相关联的指纹信息的数字证书、验证数字证书、以及基于数字证书认证一个或多个电子设备。
在一些实施例中,该方法还可以包括将由注册策略定义的注册规则集合应用于一个或多个电子设备,以及根据注册规则集合注册一个或多个电子设备。
在一些实施例中,注册规则集合可以指定与系统中可以注册一个或多个电子设备的用户、可由系统的一个或多个用户注册的设备的类型以及可由一个或多个用户向系统注册的设备的最大数量相关的信息中的一个或多个信息。
在一些实施例中,一个或多个电子设备可以包括无头设备,并且其中无头设备包括打印机、扫描仪、传真机、视频会议装备或ip语音(voip)电话。
本发明的实施例的技术优点有很多。所公开的设备注册系统通过控制通信网络内的不同电子设备的认证和注册来提高在通信网络内注册不同设备的安全性。设备注册系统通过基于设备的类型识别用于不同类型的设备的不同注册策略来提高注册不同设备的安全性。例如,设备注册系统识别用于注册与用户相关联的设备的第一类型的注册策略和用于注册不与任何特定用户相关联的无头设备的不同类型的注册策略。在一些实施例中,所公开的设备注册系统经由通过固定网关设备的受信连接提高了注册不同设备的安全性。在一些方面,网关设备是向设备注册系统登记和/或注册的设备,并且向设备注册系统发起不同类型的设备的注册。
在参考以下说明书、权利要求和附图时,前述内容以及其它特征和实施例将变得更加清楚。
附图说明
图1绘出了根据本发明的某些实施例的计算环境100的简化高层级图。
图2绘出了根据本发明的实施例的设备注册系统的环境200的简化高层级图。
图3绘出了根据本发明的一个实施例的环境300的简化高层级图,其示出了设备注册系统认证和注册不与任何用户相关联的无头设备的方式。
图4绘出了根据本发明的一个实施例的环境400的简化高层级图,其示出了设备注册系统认证和注册通过固定网关设备连接的设备的方式。
图5示出了本文所描述的示例过程500的流程图,设备注册系统通过示例过程500为用户设备提供注册服务。
图6示出了本文所描述的示例过程600的流程图,设备注册系统通过示例过程600为无头设备提供注册服务。
图7示出了本文所描述的示例过程700的流程图,设备注册系统通过示例过程700为通过固定网关设备连接到通信网络的无头设备提供注册服务。
图8绘出了用于实现实施例的分布式系统800的简化图。
图9是根据本公开内容的实施例、在其中服务可以被提供为云服务的系统环境900的一个或多个组件的简化框图。
图10示出了可以用来实现本发明的实施例的示例性计算机系统1000。
具体实施方式
在以下描述中,为了说明的目的,阐述了具体的细节,以便提供对本发明的实施例的透彻理解。但是,将清楚的是,各个实施例可以在没有这些具体细节的情况下实践。附图和描述不旨在是限制性的。
在本发明的某些实施例中,公开了一种控制通信网络内的不同电子设备的认证和注册的设备注册系统。在一些例子中,该设备注册系统可以实现为企业内的子系统,以为企业提供设备注册服务。在其它例子中,该设备注册系统可以实现为可以向企业提供设备注册服务的它自身独立的服务。
在一些实施例中,该设备注册系统可以被配置为检测通信网络内的特定设备、基于设备的类型识别要应用于设备的注册策略的类型、根据注册策略将一组规则应用于设备、以及在由规则指定的一个或多个标准被设备满足的情况下注册该设备。在一些例子中,设备可以是与用户相关联的设备。例如,设备可以包括个人计算机、台式计算机、诸如膝上型计算机、移动电话、平板电脑等的移动或手持设备。在其它例子中,设备可以是不与任何用户相关联的无头设备。例如,无头设备可以包括网关设备、温度传感器、氧传感器、心电图(ekg)传感器、相机或医疗感测设备。无头设备也可以包括例如恒温器、安全系统、烟雾报警器、冰箱、洗碗机、洗衣机、干衣机、热水加热器、空调、集中式炉或炉灶。在一些例子中,无头设备可以包括打印机、扫描仪、传真机、视频会议设备或ip语音(voip)电话。在一些实施例中,无头设备可以是没有图形用户界面的设备。
根据至少一些实施例,设备注册系统可以经由通过固定网关设备的受信连接而连接到通信网络中的一个或多个设备的集合。在一些方面,网关设备可以是向设备注册系统登记和/或注册的设备。
在一些例子中,一个或多个设备的集合可以包括家庭局域网(lan)中的设备,诸如恒温器、安全系统、烟雾报警器、冰箱、洗碗机、洗衣机、干衣器、热水加热器、空调、集中式炉或炉灶。一个或多个设备的集合可以包括医院的lan中的设备,诸如温度传感器、氧传感器、心电图(ekg)传感器、相机或医疗感测装备。在一些例子中,一个或多个设备的集合也可以是公司的lan中的设备,诸如打印机、扫描仪、传真机、视频会议装备或ip语音(voip)电话。
在一些方面,网关设备可以被配置为检测一个或多个设备的集合中的特定设备,并发起针对设备注册系统的设备的注册。在一些实施例中,设备注册系统可以被配置为从网关设备接收注册请求并且执行设备的认证和注册。
图1绘出了根据本发明的某些实施例的计算环境100的简化高层级图。如图所示,计算环境100包括经由通信网络106通信地耦合到设备注册系统108的一个或多个远程用户设备102(1)-102(n)(统称为用户设备102)和一个或多个远程无头设备104(1)-104(n)(统称为无头设备104)。在一些实施例中,设备注册系统108可以为企业管理通信网络106中的设备102、104的认证和注册。如上面提到的,在一些例子中,设备注册系统108可以实现为企业内的子系统。在其它例子中,设备注册系统108也可以实现为向企业提供设备注册服务的它自身独立的服务。设备注册系统108可以实现为通用计算机、专用服务器计算机、服务器场、服务器集群、由一个或多个处理器执行的软件组件或任何其它适当的布置和/或组合。
在一些例子中,用户设备102可以包括与用户相关联的一个或多个电子设备(例如,用户_1...用户_m)。例如,用户设备102可以是各种类型的,包括但不限于,个人计算机、台式计算机、诸如膝上型计算机、移动电话、平板电脑等的移动或手持设备。用户设备也可以包括端点设备,诸如在另一设备上执行的工作空间。工作空间可以是受控环境,以在运行工作空间的设备上的提供对企业数据和应用的访问。例如,安全容器应用可以在用户设备102上运行。用户设备102也可以包括但不限于由企业发布的设备(例如,公司设备)或用户的个人设备(例如“带你自己的设备”(bringyourowndevice,byod))。
在一些例子中,无头设备104可以包括不与任何用户相关联的电子设备。在某些例子中,无头设备104可以包括经由通信网络106连接到设备注册系统108的局域网(lan)内的一个或多个设备的集合。例如,无头设备104可以包括家庭局域网(lan)内的一个或多个设备的集合。这些设备可以包括但不限于恒温器、安全系统、烟雾报警器、冰箱、洗碗机、洗衣机、干衣机、热水加热器、空调、集中式炉或炉灶。无头设备104可以包括医院的lan内的一个或多个设备的集合。这些设备可以包括但不限于温度传感器、氧传感器、心电图(ekg)传感器、相机或医疗感测装备。无头设备104也可以包括公司的lan内的一个或多个设备的集合。这些设备可以包括但不限于打印机、扫描仪、传真机、视频会议设备或ip语音(voip)电话。
通信网络106便于设备102、104与设备注册系统108之间的通信。通信网络106可以是各种类型的,并且可以包括一个或多个通信网络。例如,通信网络106可以包括但不限于互联网、广域网(wan)、局域网(lan)、以太网、公共或专用网络、有线网络、无线网络等及其组合。可以使用不同的通信协议来便于通信,包括有线协议和无线协议两者,诸如通过单个tcp连接提供全双工通信信道的websockets、ieee802.xx协议套件、tcp/ip、ipx、san、appletalk、蓝牙和其它协议。通常,通信网络106可以包括便于用户设备102和无头设备104与设备注册系统108之间的通信的任何通信网络或基础设施。
在一些实施例中,设备注册系统108可以被配置为执行用户设备102和无头设备104的认证和注册。在一些例子中,设备注册系统108可以被配置为初始地检测通信网络106中的设备102、104。存在设备注册系统108可以检测设备102、104的各种方式。例如,设备注册系统108可以被配置为基于唯一地识别设备的设备标识符来识别设备102、104。例如,设备标识符可以包括mac(介质访问控制)地址、唯一设备标识符(udid)或其它设备标识符。设备注册系统108然后可以被配置为在设备连接到通信网络106时基于设备标识符检测设备102、104。设备注册系统108也可以使用其它技术来检测设备102、104。例如,设备注册系统108可以被配置为基于设备102、104的地理位置或与设备相关联的其它信息来检测设备102、104。
在一些实施例中,当如上面讨论地检测设备102、104时,设备注册系统108可以被配置为认证设备102,104。存在设备注册系统108可以认证特定设备102或104的各种方式。例如,设备注册系统108可以利用特定的认证机制来认证与用户相关联的设备(例如,用户设备102)和利用不同的认证机制来认证不与任何用户相关联的设备(例如,无头设备104)。设备注册系统108可以认证用户设备102和无头设备104的方式分别关于图2和图3进行详细讨论。
在一些实施例中,当成功认证设备102,104时,设备注册系统108可以被配置为确定要应用于设备102、104以注册设备的注册策略的类型。在实施例中,设备注册系统108可以通过首先确定特定设备102或104的类型来确定注册策略的类型。例如,如果设备注册系统108确定特定设备是用户设备102,则设备注册系统108可以识别用于设备的第一注册策略。设备注册系统108然后可以被配置为根据第一注册策略将第一注册规则集合应用于用户设备,并且基于第一注册策略注册用户设备。在某些实施例中,设备注册系统108可以确定特定设备是无头设备104。在这种情况下,设备注册系统108可以识别用于无头设备的不同注册策略。设备注册系统108然后可以被配置为根据注册策略将第二注册规则集合应用于无头设备104,并且基于注册策略注册无头设备。在一些例子中,由设备注册系统108使用来注册用户设备的注册策略可以与由设备注册系统使用来注册无头设备的注册策略不同。设备注册系统可以注册用户设备或无头设备的方式关于图2-图4进行详细描述。一旦被成功注册,远程设备102、104就可以与设备注册系统108通信,以获得对连接到设备注册系统的目标系统(例如,企业)的资源的访问。
图2绘出了根据本发明实施例的设备注册系统的环境200的简化高层级图。设备注册系统210可以与图1中所描述的设备注册系统104相同或相似。在图2所绘出的实施例中,设备注册系统210包括设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216。设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216可以实现为通用计算机、专用服务器计算机、服务器群组、服务器集群、由一个或多个处理器执行的软件组件或任何其它适当的布置和/或组合。图2中绘出的设备注册系统210的各个组件仅用于说明的目的,并不旨在限制本发明的实施例的范围。可替代的实施例可以包括比图2中所示出的更多或更少的组件和/或更多或更少的设备。
图2中绘出的实施例示出了设备注册系统210可以执行与用户相关联的设备的认证和注册的方式。例如,如上所述,用户设备可以包括个人计算机、台式计算机、移动或手持设备(诸如膝上型计算机、移动电话、平板电脑等)、或与人类用户相关联的任何其它类型的设备。
如图所示,计算环境200包括经由通信网络208通信地耦合到设备注册系统210的用户设备202。通信网络208可以与图1中的通信网络106相同或相似。在一些实施例中,设备注册系统210可以首先被配置为检测连接到通信网络208的用户设备202。设备注册系统210可以检测设备的方式关于图1进行了讨论。
设备认证引擎212然后可以被配置为认证用户设备202。在一些例子中,设备认证引擎212可以首先基于在用户/设备信息数据库220中关于用户存储的信息来确定与用户设备202相关联的用户是否是已登记的用户。在一些例子中,用户/设备信息数据库220可以存储关于用户和与用户相关联的设备的信息,包括远程设备上的操作系统的类型、操作系统的版本、主机标识符(在远程设备托管在另一设备上的情况下)、设备类型、imei(国际移动设备身份)号码、远程设备的型号、远程设备的服务提供商(例如,运营商)、设备名称、设备状态或关于远程设备的其它信息。
在一些例子中,设备认证引擎212可以通过向用户设备202发送注册请求来认证用户设备202。然后,作为用户设备202上用户与注册请求的交互的结果,设备认证引擎212可以认证用户设备202。存在设备认证引擎212可以向用户设备202发送注册请求的各种方式。例如,设备注册系统210的管理员可以发起注册请求,并且管理员可以在电子邮件消息中将注册请求发送给设备202。作为另一个例子,设备认证引擎212可以自动地向用户设备202上的注册应用206发送注册请求,并且用户设备202的用户可以登录到注册应用中以查看注册请求。
在一些实施例中,设备认证引擎212可以指定要用于认证用户设备202的特定认证机制。例如,设备认证引擎212可以在注册请求中指定用户凭证形式的认证信息必须由用户设备202的用户指定以认证用户设备202。在其它例子中,设备认证引擎212可以在注册请求中向用户设备202的用户分配一次性密码。用户然后可以使用该一次性密码从设备注册系统获取数字证书,并且设备认证引擎212可以使用该证书来认证用户设备202。
在一些例子中,与用户设备202相关联的用户可以经由用户设备202上的浏览器应用204查看从设备注册系统接收到的注册请求。例如,用户可以经由浏览器应用查看在电子邮件消息中的注册请求。或者,例如,用户可以使用用户设备202上的注册应用206查看注册请求。在一些例子中,注册请求可以指定注册链接,诸如用户可以选择以便与注册请求交互的注册统一资源定位符(url)。用户然后可以选择注册链接来提供认证信息,诸如识别用户和/或用户设备202的用户凭证(例如,用户名和密码)。用户设备202然后可以将用户凭证传输到设备注册系统210。设备认证引擎212然后可以被配置为从用户设备210接收用户凭证并且基于用户凭证认证用户设备210。
当成功认证用户设备202时,设备注册系统210可以被配置为注册用户设备202。在一些实施例中,设备注册策略识别引擎214可以被配置为首先识别与用户设备相关联的注册策略。在一些例子中,可以基于设备的类型来识别用于设备(例如,用户设备202)的注册策略。例如,设备注册策略识别引擎214可以被配置为识别用于用户设备202的第一注册策略。在其它例子中,并且如将关于图3进行详细讨论的,设备注册策略识别引擎214可以被配置为识别用于不与任何用户相关联的无头设备的不同注册策略。
一旦已为设备识别出注册策略,设备注册引擎216就可以根据注册策略将规则集合应用于用户设备202。规则可以指定必须由用户设备202满足、以便用户设备202被注册到设备注册系统的附加标准。在一些例子中,与注册用户设备202相关联的规则可以不同于与注册无头设备相关联的规则。
在一些实施例中,规则可以存储在策略规则数据库218中。规则可以指定例如可以向设备注册系统注册的用户的类型、可以由系统注册的设备的类型、允许的可以被注册的设备的操作系统平台
在一些例子中,规则可以指定与设备的地理位置相关的信息。地理位置信息可以包括例如设备的物理位置、设备的地理方位(例如,纬度、经度)等。
在一些例子中,注册规则也可以指定对于设备可以允许的不同类型的注册。例如,如果安装在设备上的安全工作空间应用向设备注册系统登记,则注册规则可以为用户的个人设备(为例如(byod))指定基于mam的注册。基于策略对与设备相关联的用户所允许的内容,企业应用的目录可以被置为对设备可用。在其它例子中,注册规则可以为公司拥有的设备指定基于mdm和mam的注册,这是因为公司可能通常想要对设备的更多控制,而不仅仅是对设备上的安全工作空间的控制。在某些例子中,注册规则可以指定用于初始注册以及设备与设备注册系统的后续通信的基于证明的认证方案,或者可以允许选择诸如向设备颁发数字证书的认证机构(ca)之类的实体。
例如,在图2所示的实施例中,如果用户设备202满足由用于该设备的注册策略定义的规则集合,则设备注册引擎216可以注册用户设备202。例如,设备注册引擎216可以根据为用户设备识别的注册策略将规则集合应用于用户设备202,以确定对设备的用户是否允许特定类型的注册、确定允许用户登记的设备的数量是否在阈值限制内、确定设备的类型和设备的操作系统版本是否符合为设备识别的注册策略等。
一旦设备注册引擎216确定用户设备202满足由用于注册用户设备202的规则指定的附加标准,于是设备注册引擎216就可以向设备注册系统注册设备202。在一些例子中,设备注册引擎216可以为用户设备202生成数字证书,并将数字证书传输到用户设备202。用户设备202可以向设备注册引擎216提供已签名的证书。设备注册引擎216然后可以利用已签名的数字证书登记和/或注册用户设备202。
图2中绘出的实施例讨论了用于通过设备注册系统218认证和注册与用户相关联的设备(例如,用户设备202)的过程。在可替代的实施例中,并且如在图3和图4中所讨论的,设备注册系统218也可以被配置为认证和注册不与任何用户相关联的远程无头设备。
图3绘出了根据本发明的一个实施例的环境300的简化高层级图,其示出了设备注册系统认证和注册不与任何用户相关联的无头设备的方式。如所示的,计算环境300包括经由通信网络208通信地耦合到设备注册系统210的一个或多个远程无头设备302(1)-302(n)(统称为无头设备302)。如以上所讨论的,无头设备302可以包括网关设备、温度传感器、氧传感器、心电图(ekg)传感器、相机或医疗感测装备。无头设备302也可以包括例如恒温器、安全系统、烟雾报警器、冰箱、洗碗机、洗衣机、干衣机、热水加热器、空调、集中式炉或炉灶。在一些例子中,无头设备302可以包括打印机、扫描仪、传真机、视频会议设备或ip语音(voip)电话。还如上面提到的,在一些实施例中,无头设备302可以包括家庭lan、医院的lan或公司lan内的一个或多个设备的集合。
设备注册系统210可以与关于图2所讨论的设备注册系统相同或相似。例如,设备注册系统210可以包括设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216。在一些例子中,设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216可以实现为通用计算机、专用服务器计算机、服务器群组、服务器集群、由一个或多个处理器执行的软件组件或任何其它适当的布置和/或组合。
在一些实施例中,设备注册系统210可以首先被配置为检测连接到通信网络208的无头设备302。通信网络208可以与图1中所讨论的通信网络106相同或相似。然后,设备认证引擎212可以被配置为认证无头设备302。在一些例子中,设备认证引擎212可以通过首先预先登记无头设备302来认证无头设备302。预先登记无头设备302可以包括例如基于与无头设备302相关联的标识符识别无头设备302。例如,用于无头设备302的标识符可以存储在用户/设备信息数据库220中。标识符可以是mac(介质访问控制)地址、唯一设备标识符(udid)或与无头设备302相关联的其它设备标识符。
在一些实施例中,设备认证引擎212可以通过向无头设备302传输共享秘密和标识符来认证无头设备302。共享秘密可以包括例如可以由设备认证引擎212用于与无头设备302安全通信的预先共享密钥或密码。无头设备302可以接收共享秘密和标识符、利用该秘密加密标识符以及将经加密的标识符发送到设备认证引擎212。设备认证引擎212可以从无头设备302接收经加密的标识符、解密标识符以及确定经解密的标识符是否与无头设备302所关联的原始标识符匹配。在一些实施例中,如果发现匹配,则设备认证引擎212可以认证无头设备302。
当成功认证无头设备302时,设备注册系统210可以继续注册无头设备302。在一些实施例中,设备注册策略识别引擎214可以被配置为识别与无头设备302相关联的注册策略。一旦已为无头设备302识别注册策略,设备注册引擎216就可以根据注册策略将存储在用户/设备信息数据库220中的规则集合应用于无头设备302。如以上所讨论的,规则可以指定必须由无头设备302满足、以便无头设备302被注册到设备注册系统的附加标准。
例如,由设备注册引擎216应用于无头设备302的规则集合可以包括确定无头设备302的地理位置是否在距设备注册系统的预定距离内、确定对无头设备302是否允许特定类型的注册、确定无头设备302的类型和无头设备302的操作系统版本是否符合为无头设备302识别的注册策略等。
一旦设备注册引擎216确定无头设备302满足规则指定的附加标准,设备注册引擎216就可以注册无头设备302。在一些例子中,设备注册引擎216可以向无头设备302发送证书注册有效载荷。有效载荷可以包括识别设备注册系统信息和共享秘密。在接收到有效载荷时,无头设备302可以向设备注册系统发送证书签名请求(csr)。csr可以是无头设备302可以传输到设备注册系统的认证机构(ca)来验证ca所需的信息以便ca颁发数字证书的格式化的经加密的消息。如果csr中的秘密匹配,则设备注册系统可以利用ca处理csr以及提供已签名的证书并将证书供应给无头设备302。无头设备302然后可以将利用私有密钥签名的设备指纹发送给设备注册系统。设备注册系统可以处理设备指纹并且确定来自指纹的标识符是否与已签名的证书匹配。如果设备注册系统确定存在匹配,则设备注册系统可以注册无头设备302。
在图2和图3中绘出的实施例示出了经由通信网络208直接连接到设备注册系统210的设备(例如,用户设备和无头设备)。在图4中示出的可替代的实施例中,设备(例如,用户设备和无头设备)可以经由通过固定网关设备的受信连接连接到通信网络208。在一些实施例中,网关设备可以实现为通用计算机、专用服务器计算机、服务器群组、服务器集群、由一个或多个处理器执行的软件组件或任何其它适当的布置和/或组合。在某些实施例中,网关设备可以是向设备注册系统登记和/或注册的设备。网关设备可以被配置为检测通信网络内的新设备,并且向设备注册系统发起设备的注册。在一些实施例中,设备注册系统可以被配置为从网关设备接收注册请求并且执行设备的认证和注册。关于图4进行详细讨论设备注册系统可以执行连接到网关设备的设备的注册和认证的方式。
图4绘出了根据本发明的一个实施例的环境400的简化高层级图,其示出了设备注册系统认证和注册通过固定网关设备连接的设备的方式。如所示的,计算环境400包括经由通信网络408通信地耦合到设备注册系统210的一个或多个用户设备402-1和402-2(统称为用户设备402)。计算环境400也包括经由固定网关设备406通信地耦合到设备注册系统210的一个或多个无头设备404-1和404-2(统称为无头设备404)。尽管示例性系统环境400被示出为具有两个用户设备和两个无头设备,但是在其它实施例中可以支持任意数量的设备。用户设备402可以与关于图1和图2讨论的用户设备相同或相似。类似地,无头设备404可以与关于图1和图3讨论的无头设备相同或相似。通信网络408可以与关于图1-图3讨论的通信网络相同或相似。
在一些实施例中,设备注册系统210可以管理用户设备402和无头设备404的认证和注册。设备注册系统210可以与关于图2和图3讨论的设备注册系统相同或相似。例如,设备注册系统210可以包括设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216。在一些例子中,设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216可以实现为通用计算机、专用服务器计算机、服务器群组、服务器集群、由一个或多个处理器执行的软件组件或任何其它适当的布置和/或组合。
在图4所绘出的实施例中,用户设备402被示为经由通信网络408直接连接到设备注册系统210。这些设备可以以类似于图2中所描述的方式由设备注册系统210来认证和注册。无头设备404被示为经由固定网关设备406连接到设备注册系统210。尽管图4中绘出的实施例示出了无头设备404连接到网关设备406,但是在其它实施例中,用户设备402也可以连接到网关设备406,并且网关设备406可以被配置为检测用户设备(例如,402-1或402-2)和向设备注册系统210发起用户设备402的注册。
在一些实施例中,网关设备406可以被配置为检测无头设备(例如,404-1或404-2)和向设备注册系统210发起无头设备404的注册。例如,网关设备406可以被配置为基于唯一识别设备的设备标识符识别无头设备404。如上面提到的,设备标识符可以包括mac(介质访问控制)地址、唯一设备标识符(udid)或其它设备标识符。网关设备406然后可以被配置为在无头设备404连接到网关设备406时基于设备标识符检测无头设备404。
当检测到无头设备404时,网关设备406可以被配置为将注册请求传输到设备注册系统210。在一些例子中,注册请求可以包括与无头设备404相关联的指纹信息和识别网关设备406的网关证书。指纹信息可以包括例如设备的标识符或由网关设备406生成的设备的标识符。
在一些实施例中,设备认证引擎212可以通过从网关设备接收包括与无头设备404相关联的指纹信息的数字证书、验证数字证书以及在数字证书与无头设备404所关联的标识符匹配的情况下认证无头设备404来执行无头设备404的认证。
设备注册策略识别引擎214可以被配置为识别用于无头设备404的注册策略。设备注册策略识别引擎214然后可以被配置为确定与无头设备404相关联的注册策略是否被网关设备406允许以及无头设备是否是向设备注册系统预先登记的设备。如果与无头设备相关联的注册策略被网关设备允许并且如果无头设备是向设备注册系统预先登记的设备,则在一些实施例中,设备注册引擎216可以被配置为注册无头设备406。设备注册引擎216然后可以被配置为验证从指纹信息确定的无头设备406的类型是否与在设备的预先登记期间记录的设备的类型匹配。如果设备类型匹配,则在一些实施例中,设备注册引擎216可以继续向设备注册系统登记和/或注册无头设备404。
如果无头设备不是向设备注册系统预先登记的设备,则在某些实施例中,设备注册引擎216可以被配置为评估与网关设备406相关联的注册策略,以确定网关设备406允许向设备注册系统注册的设备的数量和类型。在一些例子中,设备注册引擎216可以基于存储在策略规则数据库218中的规则来评估与网关设备406相关联的注册策略。这些规则可以包括例如确定与网关设备相关联的设备组、网关设备的物理位置、网关设备的消费者的许可证类型等。如果满足规则,则设备注册引擎216可以接受网关生成的用于设备的注册标识符,并且向设备注册系统登记和/或注册无头设备404。
图5-图7示出了根据本发明的某些实施例的、示出提供设备注册服务的各个过程500、600和700的示例流程图。这些过程被示为逻辑流程图,其每个操作可以用硬件、计算机指令或其组合来实现。在计算机指令的上下文中,操作可以表示存储在一个或多个计算机可读存储介质上的计算机可执行指令,当指令由一个或多个处理器执行时,执行所记载的操作。一般而言,计算机可执行指令包括执行特定功能或实现特定数据类型的例程、程序、对象、组件、数据结构等。操作被描述的顺序不是旨在被解释为限制,并且任何数量的所描述的操作可以以任何顺序和/或并行地组合以实现过程。
此外,过程中的一些、任何或全部可以在配置有可执行指令的一个或多个计算机系统的控制下执行,并且可以实现为在一个或多个处理器上统一执行的代码(例如,可执行指令、一个或多个计算机程序或一个或多个应用)、可以由硬件执行或由其组合执行。如上面提到的,代码可以例如以包括可由一个或多个处理器执行的多个指令的计算机程序的形式存储在计算机可读存储介质上。计算机可读存储介质可以是非临时性的。在一些例子中,在至少图2(和其它图)中示出的设备注册系统210(例如,至少利用设备认证引擎、设备注册策略识别引擎和设备注册引擎)可以分别执行图5-图7的过程500、600和700。
图5示出了用于为与用户相关联的设备提供设备注册服务的示例过程500的流程图。当用户设备(例如,用户设备202)被设备注册系统210检测到时,过程500可以在步骤502处开始。在步骤504处,设备注册系统向用户设备传输注册请求。如关于图2所讨论的,在一些例子中,设备注册系统的管理员可以发起注册请求,并将注册请求作为电子邮件消息发送给用户设备。在其它例子中,设备注册系统可以自己自动地向用户设备上的注册应用发送注册请求,并且用户设备的用户可以登录到注册应用中以查看注册请求。
在步骤506处,设备注册系统接收识别用户设备的用户的用户凭证(例如,用户名和密码)。在步骤508处,设备注册系统通过将接收到的用户凭证与在用户/设备信息数据库(例如,220)中关于用户存储的信息进行比较来确定用户设备的认证是否成功。如果用户设备的认证不成功,则设备注册系统在步骤510中拒绝该设备的注册。
如果认证成功,则在一些实施例中,设备注册系统识别用于用户设备的注册策略。在步骤514处,设备注册系统根据注册策略将注册规则集合应用于用户设备。这些规则可以包括例如确定对设备的用户是否允许特定类型的注册、确定允许用户登记的设备的数量是否在阈值限制内、确定设备的类型和设备的操作系统版本是否符合为设备识别的注册策略等。
在步骤516处,设备注册系统确定用户设备是否满足由规则指定的附加标准。如果用户设备不满足由规则指定的附加标准,则设备注册系统在步骤510中拒绝用户设备的注册。如果用户设备满足由规则指定的附加标准,则在一些实施例中,设备注册系统在步骤518中注册用户设备。
图6示出了用于为不与任何用户相关联的无头设备提供设备注册服务的示例过程600的流程图。当无头设备(例如,无头设备302)被设备注册系统210检测到并且是向设备注册系统预先登记的时,过程600可以在步骤602处开始。在步骤604处,设备注册系统将共享秘密和标识符传输给无头设备。如上面提到的,共享秘密可以包括可以由设备注册系统使用以与无头设备安全通信的预先共享密钥或密码。在步骤606处,设备注册系统从无头设备接收经加密的标识符。在步骤608处,设备注册系统解密该标识符。
在一些实施例中,在步骤610处,设备注册系统确定经解密的标识符是否与无头设备所关联的标识符匹配。如果经解密的标识符与无头设备所关联的标识符不匹配,则设备注册系统拒绝该设备的注册。如果经解密的标识符与无头设备所关联的标识符匹配,则在一些实施例中,设备注册系统在步骤612处认证该无头设备。
在步骤614处,设备注册系统识别与无头设备相关联的注册策略。在步骤616处,设备注册系统根据注册策略将规则集合应用于无头设备。规则集合可以包括例如确定无头设备的地理位置是否在距离设备注册系统的预定距离内、确定对无头设备是否允许特定类型的注册、确定无头设备的类型和无头设备的操作系统版本是否符合为无头设备302识别的注册策略等。
在步骤618处,设备注册系统确定无头设备是否满足由规则指定的附加标准。如果无头设备不满足由规则指定的附加标准,则设备注册系统在步骤622中拒绝该无头设备的注册。如果无头设备满足由规则指定的附加标准,则在一些实施例中,设备注册系统在步骤620中注册该无头设备。
图7示出了根据本发明的实施例的用于为连接到网关设备的无头设备提供设备注册服务的示例过程700的流程图。当设备注册系统检测到网关设备时,过程700可以在步骤702处开始。在步骤704处,设备注册系统注册网关设备。在步骤706处,设备注册系统从网关设备接收注册无头设备的注册请求。在步骤708处,设备注册系统认证无头设备。在一些实施例中,无头设备的认证可以包括从网关设备接收包括与无头设备相关联的指纹信息的数字证书、验证数字证书以及在数字证书与无头设备所关联的标识符匹配的情况下认证该无头设备。
在一些实施例中,在步骤710处,设备注册系统识别与无头设备相关联的注册策略。在步骤712处,设备注册系统确定无头设备是否是预先登记的设备。如果设备是已预先登记的设备,则设备注册系统在步骤714处注册该设备。如果设备注册系统确定无头设备不是预先登记的设备,则在某些实施例中,设备注册系统评估与网关设备相关联的注册策略,以确定网关设备允许向设备注册系统注册的设备的数量和类型。如上面提到的,设备注册引擎可以基于存储在策略规则数据库(例如,218)中的规则来评估与网关设备相关联的注册策略。这些规则可以包括例如确定与网关设备相关联的设备组、网关设备的物理位置、网关设备的消费者的许可证类型等。
在步骤718处,设备注册系统确定用于无头设备的注册标准是否被满足。如果注册标准被满足,则设备注册系统在步骤720中注册该设备。如果设备注册系统确定无头设备不满足注册标准,则设备注册系统拒绝该设备的注册。
图8绘出了用于实现实施例的分布式系统800的简化图。在所示的实施例中,分布式系统800包括一个或多个客户端计算设备802、804、806和808,这一个或多个客户端计算设备被配置为通过一个或多个网络810执行和操作客户端应用,诸如web浏览器、专有客户端(例如oracleforms)等。服务器812可以经由网络810与远程客户端计算设备802、804、806和808通信地耦合。
在各个实施例中,服务器812可以适于运行一个或多个服务或软件应用,诸如提供设备注册服务的服务和应用。在某些实施例中,服务器812还可以提供其它服务,或者软件应用可以包括非虚拟环境和虚拟环境。在一些实施例中,这些服务可以作为基于web的或云服务或者在软件即服务(saas)模型下提供给客户端计算设备802、804、806和/或808的用户。操作客户端计算设备802、804、806和/或808的用户可以继而利用一个或多个客户端应用与服务器812交互,以利用由这些组件提供的服务。
在图8所绘出的配置中,系统800的软件组件818、820和822被示为在服务器812上实现。在其它实施例中,系统800的一个或多个组件和/或由这些组件提供的服务也可以由客户端计算设备802、804、806和/或808中的一个或多个实现。操作客户端计算设备的用户然后可以利用一个或多个客户端应用来使用由这些组件提供的服务。这些组件可以以硬件、固件、软件或其组合实现。应当理解,各种不同的系统配置是可能的,这些系统配置可以与分布式系统800不同。因此,图8中所示的实施例是用于实现实施例系统的分布式系统的一个例子,并且不旨在进行限制。
客户端计算设备802、804、806和/或808可以包括各种类型的计算系统。例如,客户端计算设备可以包括便携式手持设备(例如,
虽然图8中的分布式系统800被示为具有四个客户端计算设备,但是任何数量的客户端计算设备都可以被支持。其它设备(诸如具有传感器的设备等)可以与服务器812交互。
分布式系统800中的(一个或多个)网络810可以是对本领域技术人员熟悉的可以利用任何各种可用协议支持数据通信的任何类型的网络,其中各种协议包括但不限于tcp/ip(传输控制协议/互联网协议)、sna(系统网络体系架构)、ipx(互联网数据包交换)、appletalk等。仅仅作为例子,(一个或多个)网络810可以是局域网(lan)、基于以太网的网络、令牌环(token-ring)、广域网、互联网、虚拟网络、虚拟专用网络(vpn)、内联网、外联网、公共交换电话网络(pstn)、红外网络、无线网络(例如,在任何电气和电子协会(ieee)802.11协议套件、
服务器812可以由一个或多个通用计算机、专用服务器计算机(包括例如pc(个人计算机)服务器、
服务器812可以运行包括以上讨论的任何操作系统的操作系统,以及任何可商用的服务器操作系统。服务器812还可以运行任何各种附加的服务器应用和/或中间层应用,包括http(超文本传输协议)服务器、ftp(文件传输协议)服务器、cgi(公共网关接口)服务器、
在一些实现中,服务器812可以包括一个或多个应用,以分析和整合从客户端计算设备802、804、806和808的用户接收到的数据馈送和/或事件更新。作为例子,数据馈送和/或事件更新可以包括但不限于
分布式系统800也可以包括一个或多个数据库814和数据库816。这些数据库可以提供用于存储信息(诸如库存信息以及由本发明的实施例使用的其它信息)的机制。数据库814和数据库816可以驻留在各种位置中。作为例子,数据库814和数据库816中的一个或多个可以驻留在服务器812本地(和/或驻留在服务器812中)的非临时性存储介质上。可替代地,数据库814和数据库816可以远离服务器812,并且经由基于网络的连接或专用的连接与服务器812通信。在一组实施例中,数据库814和数据库816可以驻留在存储区域网络(san)中。类似地,用于执行服务器812所具有的功能的任何必要的文件可以适当地本地存储在服务器812上和/或远程存储。在一组实施例中,数据库814和数据库816可以包括适于响应于sql格式的命令存储、更新和检索数据的关系数据库,诸如由oracle提供的数据库。
在一些实施例中,上述设备注册服务可以被提供为经由云环境的服务。图9是根据本公开内容的实施例的、在其中服务可以被提供为云服务的系统环境900的一个或多个组件的简化框图。在图9所示的实施例中,系统环境900包括可以由用户使用以与提供云服务(包括用于响应使用模式动态修改文档(例如,网页)的服务)的云基础设施系统902交互的一个或多个客户端计算设备904、906和908。云基础设施系统902可以包括一个或多个计算机和/或服务器,这一个或多个计算机和/或服务器可以包括以上针对服务器812所描述的那些。
应当理解,图9中所绘出的云基础设施系统902可以具有除所绘出的那些之外的其它组件。另外,图9中所示的实施例仅仅是可以结合本发明的实施例的云基础设施系统的一个例子。在一些其它实施例中,云基础设施系统902可以具有比图中所示出的更多或更少的组件、可以合并两个或更多个组件、或者可以具有不同的组件配置或布置。
客户端计算设备904、906和908可以是与以上针对802、804、806和808所描述的客户端计算设备类似的设备。客户端计算设备904、906和908可以被配置为操作客户端应用,诸如web浏览器、专有客户端应用(例如,oracleforms)或一些其它应用,这些客户端应用可以被客户端计算设备的用户用来与云基础设施系统902交互以使用由云基础设施系统902提供的服务。虽然示例性系统环境900被示为具有三个客户端计算设备,但是任何数量的客户端计算设备都可以被支持。其它设备(诸如具有传感器的设备等)可以与云基础设施系统902交互。
(一个或多个)网络910可以便于客户端计算设备904、906和908与云基础设施系统902之间的通信和数据交换。每个网络可以是对本领域技术人员熟悉的可以利用各种可商用的协议中的任何协议支持数据通信的任何类型的网络,这些协议包括以上针对(一个或多个)网络1210所描述的那些协议。
在某些实施例中,由云基础设施系统902提供的服务可以包括对云基础设施系统的用户按需可用的许多服务。除了与设备管理有关的服务之外,还可以提供各种其它服务,包括但不限于在线数据存储和备份解决方案、基于web的电子邮件服务、托管的办公套件和文档协作服务、数据库处理、受管理的技术支持服务等。由云基础设施系统提供的服务可以动态扩展,以满足其用户的需求。
在某些实施例中,由云基础设施系统902提供的服务的具体实例化在本文中可以被称为“服务实例”。一般而言,来自云服务提供者的系统的、经由通信网络(诸如互联网)对用户可用的任何服务被称为“云服务”。通常,在公共云环境中,构成云服务提供者的系统的服务器和系统与客户自己的内部(on-premises)的服务器和系统不同。例如,云服务提供者的系统可以托管应用,并且用户可以经由诸如互联网的通信网络按需订购和使用应用。
在一些例子中,计算机网络云基础设施中的服务可以包括对由云供应商向用户提供的或者如本领域中已知的另外方式提供的存储空间、托管的数据库、托管的web服务器、软件应用或者其它服务的受保护的计算机网络访问。例如,服务可以包括通过互联网对云上的远程存储空间的受密码保护的访问。作为另一个例子,服务可以包括用于由联网的开发人员私人使用的基于web服务的托管的关系数据库和脚本语言中间件引擎。作为另一个例子,服务可以包括对在云供应商的网站上托管的电子邮件软件应用的访问。
在某些实施例中,云基础设施系统902可以包括以自助服务、基于订阅、弹性可扩展、可靠、高度可用和安全的方式交付给客户的一套应用、中间件和数据库服务供应物。这种云基础设施系统的例子是由本受让人提供的oracle公共云。
云基础设施系统902还可以提供与“大数据”相关的计算和分析服务。术语“大数据”一般用来指可由分析员和研究者存储和操纵以可视化大量数据、检测趋势和/或以其它方式与数据交互的极大数据集。这种大数据和相关应用可以在许多级别和不同规模上由基础设施系统托管和/或操纵。并行链接的数十个、数百个或数千个处理器可以作用于这种数据,以便呈现数据或者模拟对数据或数据所表示的内容的外力。这些数据集可以涉及结构化数据(诸如在数据库中组织或以其它方式根据结构化模型组织的数据)和/或非结构化数据(例如,电子邮件、图像、数据blob(二进制大对象)、网页、复杂事件处理)。通过利用实施例相对快速地将更多(或更少)的计算资源聚焦在目标上的能力,云基础设施系统可以更好地用于基于来自企业、政府机构、研究组织、私人个人、一群志同道合的个人或组织或其它实体的需求在大数据集上执行任务。
在各个实施例中,云基础设施系统902可以适于自动地供应、管理和跟踪客户对由云基础设施系统902提供的服务的订阅。云基础设施系统902可以经由不同的部署模型提供云服务。例如,服务可以在公共云模型下提供,在公共云模型中云基础设施系统902由销售云服务的组织拥有(例如,由oracle公司拥有)并且使服务对一般公众或不同的工业企业可用。作为另一个例子,服务可以在私有云模型下提供,在私有云模型中云基础设施系统902仅针对单个组织操作,并且可以为组织内的一个或多个实体提供服务。云服务还可以在社区云模型下提供,在社区云模型中云基础设施系统902和由云基础设施系统902提供的服务由相关社区中的若干个组织共享。云服务还可以在混合云模型下提供,混合云模型是两个或更多个不同模型的组合。
在一些实施例中,由云基础设施系统902提供的服务可以包括在软件即服务(saas)类别、平台即服务(paas)类别、基础设施即服务(iaas)类别、或包括混合服务的其它服务类别下提供的一个或多个服务。客户经由订阅订单可以订购由云基础设施系统902提供的一个或多个服务。云基础设施系统902然后执行处理,以提供客户的订阅订单中的服务。
在一些实施例中,由云基础设施系统902提供的服务可以包括但不限于应用服务、平台服务和基础设施服务。在一些例子中,应用服务可以由云基础设施系统经由saas平台提供。saas平台可以被配置为提供落在saas类别下的云服务。例如,saas平台可以提供在集成的开发和部署平台上构建和交付一套按需应用(on-demandapplication)的能力。saas平台可以管理和控制用于提供saas服务的底层软件和基础设施。通过利用由saas平台提供的服务,客户可以利用在云基础设施系统上执行的应用。客户可以获取应用服务,而无需客户购买单独的许可证和支持。可以提供各种不同的saas服务。例子包括但不限于为大型组织提供用于销售绩效管理、企业集成和业务灵活性的解决方案的服务。
在一些实施例中,平台服务可以由云基础设施系统902经由paas平台提供。paas平台可以被配置为提供落在paas类别下的云服务。平台服务的例子可以包括但不限于使组织(诸如oracle)能够在共享的公共体系架构上整合现有应用、以及整合构建利用由平台提供的共享服务的新应用的能力的服务。paas平台可以管理和控制用于提供paas服务的底层软件和基础设施。客户可以获取由云基础设施系统902提供的paas服务,而无需客户购买单独的许可证和支持。平台服务的例子包括但不限于oraclejava云服务(jcs)、oracle数据库云服务(dbcs)等。
通过利用由paas平台提供的服务,客户可以采用由云基础设施系统支持的编程语言和工具,并且还控制所部署的服务。在一些实施例中,由云基础设施系统提供的平台服务可以包括数据库云服务、中间件云服务(例如,oraclefusionmiddleware服务)和java云服务。在一个实施例中,数据库云服务可以支持共享服务部署模型,该共享服务部署模型使得组织能够汇集(pool)数据库资源并且以数据库云的形式向客户提供数据库即服务。在云基础设施系统中,中间件云服务可以为客户提供开发和部署各种业务应用的平台,以及java云服务可以为客户提供部署java应用的平台。
可以由云基础设施系统中的iaas平台提供各种不同的基础设施服务。基础设施服务便于底层计算资源(诸如存储装置、网络和其它基本计算资源)的管理和控制,以便客户利用由saas平台和paas平台提供的服务。
在某些实施例中,云基础设施系统902还可以包括基础设施资源930,用于提供用来向云基础设施系统的客户提供各种服务的资源。在一个实施例中,基础设施资源930可以包括执行由paas平台和saas平台提供的服务的硬件(诸如服务器、存储装置和联网资源)的预先集成和优化的组合、以及其它资源。
在一些实施例中,云基础设施系统902中的资源可以由多个用户共享并且按需动态地重新分配。此外,资源可以分配给在不同时区中的用户。例如,云基础设施系统902可以使第一时区内的第一用户集合能够在指定的小时数内利用云基础设施系统的资源,然后使得能够将相同资源重新分配给位于不同时区中的另一用户集合,从而最大化资源的利用。
在某些实施例中,可以提供多个内部共享服务932,多个内部共享服务932由云基础设施系统902的不同组件或模块共享以使得由云基础设施系统902能够供应服务。这些内部共享服务可以包括但不限于安全和身份服务、集成服务、企业储存库服务、企业管理器服务、病毒扫描和白名单服务、高可用性的备份和恢复服务、用于使得能够进行云支持的服务、电子邮件服务、通知服务、文件传输服务等。
在某些实施例中,云基础设施系统902可以提供对云基础设施系统中的云服务(例如,saas、paas和iaas服务)的综合管理。在一个实施例中,云管理功能可以包括用于供应、管理和跟踪由云基础设施系统902接收到的客户的订阅的能力等。
在一个实施例中,如图9中所绘出的,云管理功能可以由一个或多个模块提供,这些模块诸如订单管理模块920、订单编排模块922、订单供应模块924、订单管理和监视模块926以及身份管理模块928。这些模块可以包括一个或多个计算机和/或服务器,或者可以利用一个或多个计算机和/或服务器来提供,这一个或多个计算机和/或服务器可以是通用计算机、专用服务器计算机、服务器群组,服务器集群或任何其它适当的布置和/或组合。
在示例性操作中,在步骤934处,使用客户端设备(诸如客户端设备904、906或908)的客户可以通过请求由云基础设施系统902提供的一个或多个服务以及对由云基础设施系统902提供的一个或多个服务的订阅下订单来与云基础设施系统902交互。在某些实施例中,客户可以访问诸如云ui912、云ui914和/或云ui916的云用户接口(ui)并经由这些ui下订阅订单。响应于客户下订单而由云基础设施系统902接收到的订单信息可以包括识别客户以及客户打算订阅的由云基础设施系统902提供的一个或多个服务的信息。
在步骤936处,从客户接收到的订单信息可以存储在订单数据库918中。如果这是新的订单,则可以为该订单创建新的记录。在一个实施例中,订单数据库918可以是由云基础设施系统918操作以及与其它系统元件结合操作的若干数据库当中的一个。
在步骤938处,订单信息可以被转发到订单管理模块920,订单管理模块920可以被配置为执行与订单相关的计费和记帐功能,诸如验证订单以及在通过验证时接纳(book)订单。
在步骤940处,关于订单的信息可以被传送到订单编排模块922,订单编排模块922被配置为编排用于客户所下的订单的服务和资源的供应。在一些情况下,订单编排模块922可以使用用于供应的订单供应模块924的服务。在某些实施例中,订单编排模块922使得能够对与每个订单相关联的业务过程进行管理,并且应用业务逻辑来确定订单是否应当继续供应。
如图9中绘出的实施例所示,在步骤942处,在接收到新订阅的订单时,订单编排模块922向订单供应模块924发送分配资源和配置履行订阅订单所需的资源的请求。订单供应模块924使得能够为由客户订购的服务分配资源。订单供应模块924提供由云基础设施系统900提供的云服务和用来供应用于提供所请求的服务的资源的物理实现层之间的抽象层级。这使得订单编排模块924能够与实现细节(诸如服务和资源实际上是否即时供应,或者是否是预先供应并且仅在请求时才进行分配/指定)隔离。
在步骤944处,一旦供应了服务和资源,就可以向订阅的客户发送指示所请求的服务现在已准备好用于使用的通知。在一些情况下,可以向客户发送使得客户能够开始使用所请求的服务的信息(例如,链接)。
在步骤946处,可以由订单管理和监视模块926来管理和跟踪客户的订阅订单。在一些情况下,订单管理和监视模块926可以被配置为收集关于客户使用所订阅的服务的使用统计数据。例如,可以针对所使用的存储量、所传送的数据量、用户的数量以及系统启动时间和系统停机时间的量等来收集统计数据。
在某些实施例中,云基础设施系统900可以包括身份管理模块928,该模块被配置为提供身份服务,诸如云基础设施系统900中的访问管理和授权服务。在一些实施例中,身份管理模块928可以控制关于希望利用由云基础设施系统902提供的服务的客户的信息。这种信息可以包括认证这些客户的身份的信息和描述这些客户被授权相对于各种系统资源(例如,文件、目录、应用、通信端口、存储器段等)执行的动作的信息。身份管理模块928还可以包括对关于每个客户的描述性信息以及关于可以如何访问和修改该描述性信息和可以由谁来访问和修改该描述性信息的管理。
图10示出了可以用来实现本发明的实施例的示例性计算机系统1000。在一些实施例中,计算机系统1000可以用来实现上述各种服务器和计算机系统中的任何服务器和计算机系统。如图10所示,计算机系统1000包括各种子系统,各种子系统包括经由总线子系统1002与多个外围子系统通信的处理子系统1004。这些外围子系统可以包括处理加速单元1006、i/o子系统1008、存储子系统1018和通信子系统1024。存储子系统1018可以包括有形的计算机可读存储介质1022和系统存储器1010。
总线子系统1002提供用于让计算机系统1000的各个组件和子系统按照意图彼此通信的机制。虽然总线子系统1002被示意性地示为单个总线,但是总线子系统的可替代实施例可以利用多个总线。总线子系统1002可以是若干种类型的总线结构中的任何一种,包括利用各种总线体系架构中的任何总线体系架构的存储器总线或存储器控制器、外围总线和局部总线。例如,此类体系架构可以包括工业标准体系架构(isa)总线、微通道体系架构(mca)总线、增强型isa(eisa)总线、视频电子标准协会(vesa)局部总线和外围组件互连(pci)总线,其可以实现为根据ieeep1386.1标准制造的夹层(mezzanine)总线等。
处理子系统1004控制计算机系统1000的操作并且可以包括一个或多个处理单元1032、1034等。处理单元可以包括一个或多个处理器,这一个或多个处理器包括单核或多核处理器、处理器的一个或多个核、或其组合。在一些实施例中,处理子系统1004可以包括一个或多个专用协处理器,诸如图形处理器、数字信号处理器(dsp)等。在一些实施例中,处理子系统1004的处理单元中的一些或全部可以利用定制电路来实现,这些定制电路诸如专用集成电路(asic)或现场可编程门阵列(fpga)。
在一些实施例中,处理子系统1004中的处理单元可以执行存储在系统存储器1010中或存储在计算机可读存储介质1022上的指令。在各个实施例中,处理单元可以执行各种程序或代码指令,并且可以维护多个并发执行的程序或进程。在任何给定的时间,要执行的程序代码中的一些或全部可以驻留在系统存储器1010中和/或计算机可读存储介质1010上,潜在地包括存储在一个或多个存储设备上。通过适当的编程,处理子系统1004可以提供上述各种功能,用于响应于使用模式动态地修改文档(例如,网页)。
在某些实施例中,可以提供处理加速单元1006,用于执行定制的处理或用于卸载由处理子系统1004执行的一些处理,以便加速由计算机系统1000执行的整体处理。
i/o子系统1008可以包括用于向计算机系统1000输入信息和/或用于从计算机系统1000或经由计算机系统1000输出信息的设备和机制。一般而言,术语“输入设备”的使用旨在包括用于向计算机系统1000输入信息的所有可能类型的设备和机制。用户接口输入设备可以包括例如键盘、诸如鼠标或轨迹球的指点设备、结合到显示器中的触摸板或触摸屏、滚轮、点拨轮、拨盘、按钮、开关、键板、具有语音命令识别系统的音频输入设备、麦克风以及其它类型的输入设备。用户接口输入设备也可以包括运动感测和/或姿势识别设备(诸如使用户能够控制输入设备并与其交互的microsoft
用户接口输入设备的其它例子包括但不限于三维(3d)鼠标、操纵杆或指示杆、游戏板和图形平板、以及音频/视觉设备,诸如扬声器、数字相机、数字摄像机、便携式媒体播放器、网络摄像机、图像扫描仪、指纹扫描仪、条形码读取器3d扫描仪、3d打印机、激光测距仪、以及眼睛注视跟踪设备。此外,用户接口输入设备可以包括例如医疗成像输入设备,诸如计算机断层摄影、磁共振成像、位置发射断层摄影、医疗超声检查设备。用户接口输入设备也可以包括例如音频输入设备,诸如midi(乐器数字接口)键盘、数字乐器等。
用户接口输出设备可以包括显示子系统、指示器灯或诸如音频输出设备的非视觉显示器等。显示子系统可以是阴极射线管(crt)、诸如利用液晶显示器(lcd)或等离子体显示器的平板设备、投影设备、触摸屏等。一般而言,术语“输出设备”的使用旨在包括用于从计算机系统1000向用户或其它计算机输出信息的所有可能类型的设备和机制。例如,用户接口输出设备可以包括但不限于可视地传达文本、图形和音频/视频信息的各种显示设备,诸如监视器、打印机、扬声器、耳机、汽车导航系统、绘图仪、语音输出设备和调制解调器。
存储子系统1018提供用于存储由计算机系统1000使用的信息的储存库或数据存储库。存储子系统1018提供有形非临时性计算机可读存储介质,用于存储提供一些实施例的功能的基本编程和数据构造。当由处理子系统1004执行时提供上述功能的软件(程序、代码模块、指令)可以存储在存储子系统1018中。软件可以由处理子系统1004的一个或多个处理单元执行。存储子系统1018也可以提供用于存储根据本发明使用的数据的储存库。
存储子系统1018可以包括一个或多个非临时性存储器设备,包括易失性存储器设备和非易失性存储器设备。如图10所示,存储子系统1018包括系统存储器1010和计算机可读存储介质1022。系统存储器1010可以包括多个存储器,这多个存储器包括用于在程序执行期间存储指令和数据的易失性主随机存取存储器(ram)和其中存储固定指令的非易失性只读存储器(rom)或闪存存储器。在一些实现中,基本输入/输出系统(bios)通常可以存储在rom中,基本输入/输出系统(bios)包含有助于在诸如启动期间在计算机系统1000内的元件之间传送信息的基本例程。ram通常包含当前正由处理子系统1004操作和执行的数据和/或程序模块。在一些实现中,系统存储器1010可以包括多个不同类型的存储器,诸如静态随机存取存储器(sram)或动态随机存取存储器(dram)。
作为例子而非限制,如在图10中所绘出的,系统存储器1010可以存储应用程序1012、程序数据1014和操作系统1016,应用程序1012可以包括客户端应用、web浏览器、中间层应用、关系数据库管理系统(rdbms)等。作为例子,操作系统1016可以包括各种版本的microsoft
计算机可读存储介质1022可以存储提供一些实施例的功能的编程和数据构造。当由处理子系统1004执行时使处理器提供上述功能的软件(程序、代码模块、指令)可以存储在存储子系统1018中。作为例子,计算机可读存储介质1022可以包括非易失性存储器,诸如硬盘驱动器、磁盘驱动器、光盘驱动器(诸如cdrom、dvd、
在某些实施例中,存储子系统1000也可以包括计算机可读存储介质读取器1020,读取器1020可以进一步连接到计算机可读存储介质1022。计算机可读存储介质1022可以与系统存储器1010一起以及可选地与系统存储器1010组合来全面地表示用于存储计算机可读信息的远程、本地、固定和/或可移除存储设备加上存储介质。
在某些实施例中,计算机系统1000可以提供对执行一个或多个虚拟机的支持。计算机系统1000可以执行诸如管理程序(hypervisor)的程序,以便于配置和管理虚拟机。每个虚拟机可以被分配存储器、计算(例如,处理器、核)、i/o和联网资源。每个虚拟机通常运行它自己的操作系统,该操作系统可以与由计算机系统1000执行的其它虚拟机所执行的操作系统相同或不同。相应地,多个操作系统可以潜在地由计算机系统1000并发地运行。每个虚拟机一般独立于其它虚拟机运行。
通信子系统1024提供到其它计算机系统和网络的接口。通信子系统1024用作用于从其它系统接收数据和从计算机系统1000向其它系统传输数据的接口。例如,通信子系统1024可以使计算机系统1000能够经由互联网建立到一个或多个客户端设备的通信信道,用于从客户端设备接收信息和发送信息到客户端设备。
通信子系统1024可以支持有线通信协议和/或无线通信协议两者。例如,在某些实施例中,通信子系统1024可以包括用于接入无线语音和/或数据网络(例如,利用蜂窝电话技术、诸如3g、4g或edge(全球演进的增强数据速率)的高级数据网络技术、wifi(ieee802.11族标准、或其它移动通信技术、或其任意组合)的射频(rf)收发器组件、全球定位系统(gps)接收器组件和/或其它组件。在一些实施例中,作为无线接口的附加或替代,通信子系统1024还可以提供有线网络连接(例如,以太网)。
通信子系统1024可以接收和传输各种形式的数据。例如,在一些实施例中,通信子系统1024可以接收结构化和/或非结构化的数据馈送1026、事件流1028、事件更新1030等形式的输入通信。例如,通信子系统1024可以被配置为从社交媒体网络的用户和/或其它通信服务实时地接收(或发送)数据馈送1026,诸如
在某些实施例中,通信子系统1024可以被配置为接收连续数据流形式的数据,连续数据流可以包括实时事件的事件流1028和/或事件更新1030,连续数据流形式的数据本质上可能是连续的或无界的而没有明确结束。生成连续数据的应用的例子可以包括例如传感器数据应用、金融报价机、网络性能测量工具(例如网络监视和流量管理应用)、点击流分析工具、汽车流量监视等。
通信子系统1024也可以被配置为向一个或多个数据库输出结构化和/或非结构化的数据馈送1026、事件流1028、事件更新1030等,其中这一个或多个数据库可以与耦合到计算机系统1000的一个或多个流数据源计算机通信。
计算机系统1000可以是各种类型中的一种,包括手持便携式设备(例如,
由于计算机和网络不断变化的性质,对图10中绘出的计算机系统1000的描述旨在仅仅作为具体例子。具有比图10中所绘出的系统更多或更少组件的许多其它配置是可能的。基于本文所提供的公开和教导,本领域普通技术人员将理解实现各个实施例的其它方式和/或方法。
虽然已经描述了本发明的具体实施例,但是各种修改、更改、替代构造和等效物也包含在本发明的范围之内。本发明的实施例不限于在某些特定数据处理环境内的操作,而是可以在多个数据处理环境内自由操作。此外,虽然已利用特定的一系列事务和步骤描述了本发明的实施例,但是,对本领域技术人员应当清楚的是,本发明的范围不限于所描述的一系列事务和步骤。上述实施例的各种特征和方面可以被单独或结合使用。
另外,虽然已经利用硬件和软件的特定组合描述了本发明的实施例,但是应当认识到,硬件和软件的其它组合也在本发明的范围之内。本发明的实施例可以只用硬件、或只用软件、或利用其组合来实现。本文描述的各种过程可以在同一处理器或以任何组合的不同处理器上实现。相应地,在组件或模块被描述为被配置为执行某些操作的情况下,这种配置可以例如通过设计电子电路执行操作来实现、通过对可编程电子电路(诸如微处理器)进行编程以执行操作来实现、或通过它们的任意组合来实现。进程可以利用各种技术来通信,这些技术包括但不限于用于进程间通信的常规技术,并且不同的进程对可以使用不同的技术,或者同一进程对可以在不同时间使用不同的技术。
相应地,说明书和附图应当在说明性而不是限制性的意义上考虑。然而,将明白的是,在不背离权利要求中阐述的更广泛精神和范围的情况下,可以对其进行添加、减少、删除和其它修改和改变。因此,虽然已描述了具体的发明实施例,但是这些实施例不旨在进行限制。各种修改和等效物都在以下权利要求的范围之内。
在实施例中,设备注册系统可以实现为包括设备认证引擎、设备注册策略识别引擎和设备注册引擎,它们可以类似于如先前所述的设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216。设备认证引擎可以被配置为检测通信网络中的多个电子设备、认证多个电子设备、确定多个电子设备中的第一设备与人类用户相关联,以及确认多个电子设备中的第二设备是不专用于任何一个用户的无头设备。设备注册策略识别引擎可以被配置为基于该确定来识别与第一设备相关联的第一注册策略,以及基于该确认和无头设备的地理位置来识别与第二设备相关联的第二注册策略。设备注册引擎可以被配置为根据第一注册策略将第一注册规则集合应用于第一设备和根据第二注册策略将第二注册规则集合应用于第二设备,以及基于第一注册策略注册第一设备和基于第二注册策略注册第二设备。在一些实施例中,设备注册策略识别引擎还可以被配置为基于第一设备的操作系统或类型来识别第一注册策略,其中第一设备的类型选自包括工作站、个人计算机、平板计算机、移动设备和可穿戴设备的组。在一些实施例中,无头设备包括温度传感器、氧传感器、心电图(ekg)传感器、相机或医疗感测装备。在一些实施例中,设备注册策略识别引擎还可以被配置为基于通过固定网关的受信连接来识别第二注册策略。在一些实施例中,设备认证引擎还可以被配置为向多个电子设备传输注册请求、响应于注册请求从多个电子设备接收凭证信息、以及基于凭证信息认证多个电子设备。在一些实施例中,设备认证引擎还可以被配置为通过确定多个电子设备是向系统预先登记的、基于该确定向一个或多个电子设备传输共享秘密和标识符、从一个或多个电子设备接收经加密的标识符和共享秘密、解密经加密的标识符和共享秘密、以及基于解密将数字证书传输到多个电子设备来认证一个或多个电子设备。在一些实施例中,第一注册规则集合和第二注册规则集合可以指定与系统中可以注册多个电子设备的用户、可以由系统的一个或多个用户注册的设备的类型以及可以由一个或多个用户向系统注册的设备的最大数量相关的信息中的一个或多个信息。在一些实施例中,第一注册规则集合和第二注册规则集合可以指定与要被应用于向系统注册多个电子设备的特定认证机构相关的信息。在一些实施例中,第一注册规则集合和第二注册规则集合可以指定与多个电子设备的地理位置相关的信息。
根据至少一些实施例,设备注册系统实现为包括设备认证引擎、设备注册策略识别引擎和设备注册引擎,它们可以类似于如先前所述的设备认证引擎212、设备注册策略识别引擎214和设备注册引擎216。设备认证引擎可以被配置为检测连接到通信网络中的一个或多个电子设备的网关设备,并且被配置为在注册网关设备时从网关设备接收向系统注册一个或多个电子设备的注册请求,以及认证一个或多个电子设备。设备注册策略识别引擎可以被配置为识别为网关设备定义的注册策略。设备注册引擎可以被配置为注册网关设备、根据注册策略注册一个或多个电子设备、以及向网关设备传输使得已注册的一个或多个设备能够访问系统的资源的信息。在一些实施例中,设备认证引擎还可以被配置为从网关设备接收包括与一个或多个电子设备相关联的指纹信息的数字证书、验证数字证书以及基于数字证书认证一个或多个电子设备。在一些实施例中,设备注册引擎还可以被配置为将由注册策略定义的注册规则集合应用于一个或多个电子设备、以及根据注册规则集合注册一个或多个电子设备。在一些实施例中,注册规则集合指定与系统中可以注册一个或多个电子设备的用户、可以由系统的一个或多个用户注册的设备的类型、以及可以由一个或多个用户向系统注册的设备的最大数量相关的信息中的一个或多个信息。在一些实施例中,一个或多个电子设备包括无头设备,并且其中无头设备包括打印机、扫描仪、传真机、视频会议装备或ip语音(voip)电话。
- 还没有人留言评论。精彩留言会获得点赞!