智能边缘设备的制作方法
【专利摘要】一种示例系统包括控制器和多个智能边缘设备。该控制器选定多个智能边缘设备,并且通知所述多个智能边缘设备中的每一个在其它多个智能边缘设备中的哪些最接近于所述智能边缘设备。所述多个智能边缘设备各自用于:(i)与最接近于所述智能边缘设备的所述其它多个智能边缘设备建立信任关系,(ii)收集关于连接至所述智能边缘设备的客户端的基准个人信息,(iii)收集关于连接至所述智能边缘设备的客户端的动态个人信息,(iv)存储所述基准个人信息和所述动态个人信息,以及(v)将关于所述客户端的所述基准个人信息和所述动态个人信息传送给最接近于所述智能边缘设备的所述其它多个智能边缘设备中的至少一个。
【专利说明】智能边缘设备
【背景技术】
[0001]在典型的通信系统中,诸如接入点、路由器和/或交换机之类的边缘设备被设置在网络的外围。边缘设备提供到网络的进入点,并且经由有线/无线介质和各种通信协议在网络和客户端之间传递数据。例如,无线接入点可以被通信地联接到工作站和网络服务器,并且被配置成经由IEEE 802.1lx协议和一条或多条通信路径向工作站和网络服务器传送数据且从工作站和网络服务器传送数据。
[0002]在利用多个边缘设备的系统中,每个边缘设备一般服务于有限的地理覆盖区域。如果客户端从第一边缘设备的覆盖区域移动到第二边缘设备的覆盖区域,则该客户端被认为是正在漫游,并且漫游程序被启动以将服务从第一边缘设备转向第二边缘设备。也就是说,服务从第一边缘设备被“移交”给第二边缘设备,以使尽管客户端移动,但客户端与网络的会话持续成为可能。
【专利附图】
【附图说明】
[0003]参考附图并在以下【具体实施方式】中描述示例实施例,附图中:
[0004]图1描绘根据实施例的系统;
[0005]图2描绘根据实施例的智能边缘设备;
[0006]图3描绘根据实施例的可被智能边缘设备收集、存储和分配的示例个人信息;
[0007]图4通过图表描绘根据实施例的个人信息如何可以被收集、存储和分配;
[0008]图5通过图表描绘根据另一实施例的个人信息如何可以被收集、存储和分配;
[0009]图6通过图表描绘根据又一实施例的个人信息如何可以被收集、存储和分配;
[0010]图7通过图表描绘根据再一实施例的个人信息如何可以被收集、存储和分配;
[0011]图8通过图表描绘根据另一实施例的个人信息如何可以被收集、存储和分配;
[0012]图9描绘根据另一实施例的系统;以及
[0013]图10描绘根据实施例的过程流程图。
【具体实施方式】
[0014]本文所描述的各种实施例致力于智能边缘设备。更具体地并且如下面更详细地描述的那样,各种实施例致力于在不具有控制器或与控制器部分结合的情况下,利用其它智能边缘设备收集、存储和分配基准和动态个人信息的智能边缘设备。与当前的方法相反,此新颖的且之前未预见的方法允许在智能边缘设备间共享最新的个人信息,而不必主要依赖控制器来执行此功能。
[0015]在大多数现行通信系统中,当客户端附接到网络时,客户端被认证并被给予一组参数、安全证书、服务水平属性等(下文被称为“个人信息)。当客户端从第一边缘设备漫游到第二边缘设备时,网络会话保持并且个人信息被提供至第二边缘设备。然而,个人信息是基于客户端发起与第一边缘设备的网络会话时的初始状态,并且不反映自客户端发起网络会话起可能已发生的个人改变(例如,个人信息可以基于客户端接入的服务而被修改/增加)。换言之,大多数现行系统关注在与初始个人处于相同状态下提供持续连接,并且不提供与客户端漫游前所提供的相同服务水平、服务接入和/或安全水平。结果,客户端在漫游时可能不被提供一致的服务水平。
[0016]在一些可以恢复客户端漫游前所提供的全部或一部分服务水平的现行系统中,全部业务通过中央控制器来路由。例如,边缘设备可以对集中控制器使用反向通道程序来获取已进入边缘设备覆盖区域的客户端的当前个人信息。集中控制器追踪并存储在其域内的所有客户端的个人信息,并且该控制器通知每个边缘设备待实施的服务水平。此过程不需要边缘设备的实质参与而发生,并且由于集中控制器负责提供关于每个相关联客户端的个人信息,因此造成瓶颈并导致等待时间。此外,集中控制器受限于所收集到的个人信息的量,因此不向边缘设备提供相当数量的有用个人信息。
[0017]本文所描述的实施例通过利用在不具有集中控制器或与集中控制器部分地结合的情况下工作的智能边缘设备而至少解决上述问题。就智能边缘设备收集、存储和分配大量个人信息来说,智能边缘设备优于传统的“非智能”边缘设备。个人信息可以包括从客户端发起网络会话时的个人信息(下文被称为“基准个人信息”),以及在发起网络会话后修改的个人信息(下文被称为“动态个人信息”)。智能边缘设备可以响应于个人信息的改变、响应请求、或周期性地分配此基准和/或动态个人信息。此外,智能边缘设备可以直接向彼此(即,不通过集中控制器路由)分配此基准和/或动态个人信息。因此,实施例降低边缘设备对控制器(如果有的话)的依赖,并且因此减轻与现行系统相关联的瓶颈和等待时间问题。另外,实施例考虑在网络会话期间各种个人参数可以被更新、增加和/或去除,因此追踪和分配此信息使得客户端在漫游时可以接收一致的服务水平。此外,实施例允许追踪、分配和使用统计的/历史的客户端和网络信息,以基于学习到的行为帮助优化网络。更进一步,从客户端和网络立场来看,实施例提供相同的服务水平,因此给予客户端关于服务连续性的无缝漫游体验,并且在客户端漫游时保护网络。
[0018]在一个示例实施例中,提供一种系统。该系统包括控制器和多个智能边缘设备。该控制器被配置成选定多个智能边缘设备,并且通知多个智能边缘设备中的每个在其它多个智能边缘设备中的哪些最接近于该智能边缘设备。多个智能边缘设备各自被配置为:(i)与最接近于该智能边缘设备的其它多个智能边缘设备建立信任关系,(?)收集关于连接至该智能边缘设备的客户端的基准个人信息,(iii)收集关于连接至该智能边缘设备的客户端的动态个人信息,(iv)存储关于连接至该智能边缘设备的客户端的基准个人信息和动态个人信息,以及(V)将关于该客户端的基准个人信息和动态个人信息传送给最接近于该智能边缘设备的其它多个智能边缘设备中的至少一个。
[0019]在另一个示例实施例中,提供一种智能边缘设备。该智能边缘设备包括处理设备、通信接口和非暂时性计算机可读介质。该通信接口被配置成接收关于通信联接至智能边缘设备的客户端的个人信息,并且响应于从最接近的智能边缘设备接收请求关于客户端的信息的查询消息或者响应于客户端的个人信息改变,向至少一个最接近的智能边缘设备传送关于客户端的基准个人信息和动态个人信息。该非暂时性计算机可读介质被配置为存储关于通信联接至智能边缘设备的客户端的基准个人信息和动态个人信息。
[0020]在又一个示例实施例中,提供一种非暂时性计算机可读介质。该非暂时性计算机可读介质包括指令,当指令被执行时使得第一边缘设备:(i)至少部分地基于由控制器提供的信息与第二智能边缘设备建立信任关系,(ii)收集并存储关于通信联接至第一智能边缘设备的客户端的基准个人信息和动态个人信息,以及(iii)直接向第二智能边缘设备传送关于该客户端的基准个人信息和动态个人信息。
[0021]图1描绘根据一个实施例的系统100。应当容易显而易见,图1中描绘的系统100代表一般化的图示,并且在不背离本公开范围的情况下,其它组件可以被增加或者现有组件可以被去除、修改或重新布直。系统100包括多个智能边缘设备110、控制器120、客户?而130以及可信基础设施域140,其中的每一个在下面被更加详细地描述。
[0022]智能边缘设备110是被配置为提供至网络的进入点的设备,并且进一步被配置为在不具有控制器或者与控制器部分结合的情况下,利用其它智能边缘设备收集、存储和共享基准和/或动态个人信息。例如,智能边缘设备110可以是智能无线接入点或智能交换机。智能边缘设备110可以使用无线和/或有线介质以与客户端和网络基础设施通信(例如,射频(RF)、光纤、同轴电缆、双绞线等)。此外,智能边缘设备110可以使用各种通信协议以与客户端和/或网络基础设施通信(例如,802.1lx, TCP/IP等)。
[0023]智能边缘设备110被配置成与其它最接近的智能边缘设备110和/或与控制器建立信任关系。智能边缘设备110可以(i)基于由控制器120提供的信息、(ii)基于由智能边缘设备110通过监听最接近的通信和/或实施一个或多个发现算法而采集到的信息、和/或(iii)基于直接被编程到智能边缘设备中的信息,来获取关于最接近的智能边缘设备110的知识。一旦智能边缘设备110知道彼此,智能边缘设备110就可以彼此形成信任关系,这时证书可以被共享,并且安全、加密信道可以建立在智能安全设备110间。结果,包括例如控制器120和智能边缘设备110的可信基础设施域140被建立。
[0024]一旦可信基础设施被建立,智能边缘设备110就被设置成收集关于它们各自客户端130的基准和动态个人信息。如上所述,基准个人信息包括客户端发起网络会话时的个人信息(例如,初始端口信息、初始客户端信息、初始认证信息、初始连接成员信息、初始动态策略信息和/或初始会话状态信息)。而且动态个人信息包括发起网络会话后修改的个人信息(例如,修改的端口信息、修改的客户端信息、修改的认证信息、修改的连接成员信息、修改的动态策略信息和/或修改的会话状态信息)。因此,除了存储客户端130发起网络会话时的设置外,智能边缘设备110还被配置成追踪并存储在会话期间修改的设置。因此,当另一个智能边缘设备110响应于客户端漫游而请求客户端信息时,智能边缘设备110可以向请求设备提供最新的个人信息。可替代地,智能边缘设备110可以周期地或者响应于对个人信息的改变而发送这种信息。此外,智能边缘设备110可以提供历史个人信息以用于统计目的,或者在当前的个人设置无法实施并且可能需要使用较早的个人设置的情况下使用。
[0025]每个智能边缘设备110被配置为将至少关于它们各自客户端的基准和动态个人信息存储在内部存储器中。例如,每个智能边缘设备110可以包括用于存储各种客户端的个人信息的一个或多个数据库。每个智能边缘设备110被配置为响应于参数变化、响应请求或周期性地直接向另一个智能边缘设备传送关于客户端的基准和/或动态个人信息。此夕卜,每个智能边缘设备110可以被配置为向控制器120传送关于客户端的基准和动态个人信息。这种传送可以由如谷歌协议缓冲器等发生。此外,应当注意,基准和/或动态个人信息可以加密方式存储在每个智能边缘设备110和/或控制器120中。
[0026]控制器120被配置成为多个智能边缘设备110管理一个或多个服务。例如,控制器120可以至少为多个智能边缘设备110执行或另外支持服务质量(QoS)、防火墙、管理、连接、性能、移动、和/或安全服务。此外,控制器120被配置为选定多个智能边缘设备110并通知每一个关于最接近于该智能边缘设备的其它智能边缘设备110,从而可以建立可信基础设施域140。应当注意,控制器120可以包括根据实施例的一个或多个控制器。
[0027]如上所述,控制器120不负责为在可信基础设施域内漫游的每个客户端分配个人信息。相反地,智能边缘设备110可以彼此直接通信,并且所有的个人业务不需经过控制器120路由。因此,控制器120不会像传统系统那样制造瓶颈和引入等待时间。
[0028]客户端130是与边缘设备110连接的用户设备(例如,笔记本电脑、台式机、平板电脑、智能手机、医疗器械、科学仪器等)。在某些实施方式中,用于特定客户端的个人信息可以至少部分地基于与客户端和/或网络相关联的用户。
[0029]图2描绘根据一个实施例的智能边缘设备110。应当容易显而易见,图1中描绘的智能边缘设备110代表一般化的图示,并且在不背离本公开范围的情况下,其它组件可以被增加或者现有组件可以被去除、修改或重新布置。智能边缘设备110包括处理设备210、计算机可读介质220和通信接口 230,其中的每一个在下面更加详细地被描述。
[0030]处理设备210被配置成检索并执行在计算机可读介质220中存储的指令。处理设备210可以例如是处理器、中央处理单元(CPU)、微控制器或特殊应用集成电路(ASIC)。计算机可读介质220可以是被配置为存储机器可读指令、代码、数据和/或其它信息(例如,个人信息240)的非暂时性计算机可读介质。计算机可读介质220可以是一个或多个非易失性存储器、易失性存储器和/或一个或多个存储设备。非易失性存储器的示例包括但不限于电可擦除可编程只读存储器(EEPROM)和只读存储器(ROM)。易失性存储器的示例包括但不限于静态随机访问存储器(SRAM)和动态随机访问存储器(DRAM)。存储设备的示例包括但不限于硬盘驱动器、光盘驱动器、数字多用途盘驱动器、光学设备和闪存设备。在一些实施例中,计算机可读介质220可以与处理设备210集成,而在其它实施例中,计算机可读介质220可以与处理设备210分离。
[0031]通信接口 230被配置成传送和接收数据。这种数据可以至少包括在整篇本公开中描述的这些类型的数据。通信接口 230可以包括一个或多个组件,例如,发射机、接收机、收发机、天线、端口和/或PHY。应该理解,通信接口 230可以包括多个接口,并且每个接口可以服务于不同的目的(例如,与客户端接合、与有线基础设施接合等)。通信接口 230被配置成接收关于通信联接至智能边缘设备的客户端的个人信息240,并且还被配置成向至少一个最接近的智能边缘设备传送关于该客户端的个人信息240。
[0032]图3描绘根据实施例的可由智能边缘设备110收集、存储和分配的关于客户端的示例个人信息。应该理解,所描绘的个人信息只是示例,并且在不背离本公开范围的情况下,不同的个人信息可以被收集、存储和分配。
[0033]可被收集和分配的一种类型的信息是端口信息310。此端口信息310可以包括:(i)每个端口 /信道允许的用户数(例如,每个端口 /信道16个用户端口带宽(例如,54 Mbps),和/或(iii)端口最大数据率(例如,54 Mbps)。
[0034]可被收集和分配的另一种类型的信息是客户端信息320。此客户端信息320可以包括:(i)客户端MAC地址(例如,12:34:56:78:ab),(ii)客户端标识符(例如,joeuser),和 / 或(iii)客户端 IP 地址(例如,10.110.135.51(ipv4)和 2002:12d5:b8d7:10d4:b8d7(ipv6))。
[0035]可被收集和分配的又一种类型的信息是认证信息330。认证信息330可以包括:
(i)组成员信息(例如,授权用户、金融、管理),(?)授权信息(例如,0x0:未授权,Oxl:已授权,0x2:禁止/拦截,0x3:客人,或者0x4:隔离),和/或(iii)安全密钥(例如,Ia2b3c4d)。
[0036]可被收集和分配的再一种类型的信息是连接成员信息340。连接成员信息340可以包括:(i)虚拟服务网络(VSN)成员(例如,管理和基础设施),(ii)IP多播组(例如,
10.110.135.51(ipv4)和 2002:12d5:b8d7:10d4:b8d7 (ipv6)),和 / 或(iii) OpenFlow成员(例如,HPlswitch 和 HP2switch)。
[0037]可被收集和分配的另一种类型的信息是动态策略信息350。动态策略信息350可以包括⑴服务质量(QoS)信息(例如,Qos的十六进制数列、服务类型(ToS)和DiffSrv值),(?)入侵检测/防御系统(IDS/IPS)策略信息(例如,0x0:开放,Oxl:已约束,0x2:已禁止/拦截,0x3:捕获,0x4:隔离,0x5:已限制),(iii)接入策略信息(例如,日期/时间约束),和(iv)策略统计(例如,策略统计的十六进制值数列)。更进一步,动态策略信息可以包括使客户端重定向至IDS/IPS系统的路由信息(例如,10.110.135.51(ipv4)和2002:12d5:b8d7:10d4:b8d7(ipv6))。
[0038]可被收集和分配的再一种类型的信息是会话状态信息360。会话状态信息360可以包括:(i)打开会话信息(例如,打开会话标识的十六进制值数列),(ii)流信息(例如,具有源/目的地地址/端口的流标识的十六进制值数列,即源1:源端口 1:目的地1:目的地端口 1),和(iii)会话统计信息(例如,会话统计的十六进制值数列)。
[0039]以上所述类型的信息可以构成由智能边缘设备收集、存储和分配的基准和/或动态个人信息。例如并且如以下参考图4至图8更加详细地描述的那样,关于发起网络会话的客户端的基准个人信息可以包括:端口信息310、客户端信息320、认证信息330、连接成员信息340、动态策略信息350和会话状态信息360。如果这种基准个人信息在网络会话期间改变,则改变后的个人信息被认为是动态个人信息,并且该动态个人信息被传送给其它智能边缘设备。如下面参考图4至图8描述的那样,存在信息在网络会话期间不改变的情况,因此只有基准个人信息被分配。类似地,存在一些个人信息改变而其它个人信息不改变的情况,因此基准和动态个人信息被分配。以下参考图4至图8更加详细地解释这些情况以及其它示例情况。
[0040]图4通过图表描绘根据实施例的个人信息如何可以被收集、存储和分配。具体地,图4描绘了在位置A处的第一智能边缘设备410、在位置B处的第二智能边缘设备420、以及在位置C处的第三智能边缘设备430,这里客户端440从位置A漫游到位置B再到位置C,并且个人信息在位置A、B、C处改变。应该注意,图4至图6描绘了个人信息在客户端漫游时响应于请求被发送的实施方式(与之相对的是个人信息周期性地或当个人改变发生时被分配的实施方式)。
[0041]如所示,客户端440在位置A处与第一智能边缘设备410开始网络会话。当客户端发起与第一智能边缘设备410的会话时,初始/基准设置是“X”。然而,在网络会话期间,连接成员信息由“X”变为“Y”。当客户端漫游到位置B时,第二智能边缘设备420向可信基础设施域中的所有智能边缘设备传送对个人信息的请求。第一智能边缘设备410接收此请求,并以关于客户端440的最新个人信息来回复。在此情况下,此回复包括自发起网络会话起未改变的基准个人信息(即,端口信息、客户端信息、认证信息、动态策略信息和会话状态信息)和自发起网络会话起已改变的动态个人信息(即,连接成员信息)。第二智能边缘设备420接收来自于第一智能边缘设备410的基准和动态个人信息,并且此信息成为第二智能边缘设备440处关于客户端440的起始/基准个人信息。
[0042]在与第二智能边缘设备420会话期间,认证信息由“X”变为“Z”。因此,当客户端漫游到由第三智能边缘设备430服务的位置C时,第二智能边缘设备420接收来自第三智能边缘设备430的对个人信息的请求,并以最新的个人信息来回复,该最新的个人信息包括自发起与第二智能边缘设备420的网络会话起未改变的基准个人信息(即,端口信息、客户端信息、连接成员信息、动态策略信息和会话状态信息)和自发起与第二智能边缘设备420的网络会话起已改变的动态个人信息(即,认证信息)。然后,此基准和动态个人信息成为用于第三智能边缘设备430的起始/基准个人信息。
[0043]图5通过图表描绘根据另一实施例的个人信息如何可以被收集、存储和分配。与图4类似地,图5描绘了在位置A处的第一智能边缘设备410、在位置B处的第二智能边缘设备420、以及在位置C处的第三智能边缘设备430,这里客户端440从位置A漫游到位置B再到位置C。然而,与图4不同的是,个人改变并不在每个位置处都发生。例如,客户端440在位置A处以初始/基准设置“X”与第一智能边缘设备410开始网络会话。在与第一智能边缘设备410会话期间,个人参数没有改变。因此,当客户端440漫游到与第二智能边缘设备420相关联的位置B时,第一智能边缘设备410响应于来自第二智能边缘设备420的请求,向第二智能边缘设备420提供基准个人信息。换句话说,由于在发起与第一智能边缘设备410的会话后未发生个人改变,因此第一智能边缘设备410不向第二边缘设备420提供动态个人信息。相比之下,在与第二智能边缘设备420相关联的位置B处,关于客户端440的认证信息由“X”变为“Z”。结果,当客户端漫游到第三智能边缘设备430时,第二智能边缘设备420提供最新的个人信息,该最新的个人信息包括自发起网络会话起未改变的基准个人信息(即,端口信息、客户端信息、连接成员信息、动态策略信息和会话状态信息)和自发起与第二智能边缘设备420的网络会话起已改变的动态个人信息(即,认证信息)。然后,此基准和动态个人信息成为第三智能边缘设备430处的基准个人信息。
[0044]图6通过图表描绘根据又一实施例的个人信息如何可以被收集、存储和分配。在此实施例中,除了如图4和图5描述的那样提供最新的个人基准和/或动态个人信息外,还在每次漫游时提供历史个人信息。这种历史个人信息可能在一个智能边缘设备不能提供一定的个人水平但另一个智能边缘设备能够提供的情况下是有用的。例如,在图6中,当处于与第一智能边缘设备410相关联的位置A处时,客户端的连接成员信息由“X”变为“Y”。因此,当客户端440漫游到与第二智能边缘设备420相关联的位置B时,第一智能边缘设备410提供最新的个人信息,该最新的个人信息包括自发起与第一智能边缘设备410的网络会话起未改变的基准个人信息(即,端口信息、客户端信息、认证信息、动态策略信息和会话状态信息)和自发起与第一智能边缘设备410的网络会话起已改变的动态个人信息(即,连接成员信息)。除了基准和动态信息外,第一智能边缘设备410还提供关于客户端440的历史数据,该历史数据包括客户端440发起与第一智能边缘设备410的会话时的初始/基准设置。第二智能边缘设备420接收此信息,并且确定其不能支持由第一智能边缘设备410提供的连接成员水平“Y”。此后,第二智能边缘设备420参考所提供的历史信息并且确定客户端之前被提供过连接成员水平“X”,该连接成员水平“X”可以被第二智能边缘设备420支持。因此,第二智能边缘设备420实施关于客户端440的连接成员水平“X”。因此,如果最近的个人水平不能被智能边缘设备支持,则该智能边缘设备可以使用历史个人信息以提供以前的个人水平。
[0045]当客户端后来漫游到第三智能边缘设备430时,第三智能边缘设备430接收最新的个人信息和历史个人信息。基于历史个人信息,第三智能边缘设备430确定客户端之前在第一智能边缘设备410处具有连接成员水平“Y”,并且由于第二智能边缘设备420不能支持连接成员水平“Y”,因而此服务水平在第二智能边缘设备420处不被实施。因此,代替实施由第二智能边缘设备420提供的连接成员水平“X”,由于第三边缘设备430可以支持连接成员水平“Y”,因此第三边缘智能设备430实施连接成员水平“Y”。因此,历史个人信息可以被智能边缘设备使用,以提供客户端所期望的最高可支持的个人水平,即使此个人水平不被最近的智能边缘设备所提供。
[0046]图7通过图表描绘根据再一实施例的个人信息如何可以被收集、存储和分配。具体地,在图7所描绘的实施方式中,每次个人改变发生时,第一智能边缘设备410都分配个人信息。例如,在客户端440发起与第一智能边缘设备410的会话时,连接成员信息可以是“X”。在后一点处,此连接成员信息可以变为“Y”。当此改变发生时,第一智能边缘设备410可以关于此改变通知可信基础设施域内的所有其它智能边缘设备。这可以包括第一智能边缘设备410只分配动态个人信息(即,连接成员信息=“Y”),或可以包括第一智能边缘设备410分配基准和个人信息(即,端口信息=“X”,客户端信息= “X”,认证信息= “X”,连接成员信息=“Y”,动态策略信息=“X”,和会话状态信息=“X”)。不考虑分配技术,其它智能边缘设备被通知客户端的最新个人信息和连接成员信息的改变。如果连接成员信息在后一点处变为“Z”,则第一智能边缘设备410再次将关于个人改变的信息分配给可信基础设施域内的其它智能边缘设备。因此,当客户端漫游到与第二智能边缘设备420相关联的位置B时,第二智能边缘设备具有关于客户端的最新个人信息,并且不需要发送对关于客户端的个人信息的请求/查询。因此,第二智能边缘设备420基于接收到的最近信息(S卩,连接成员信息=“Z”)继续实施个人。
[0047]图8通过图表描绘根据另一实施例的个人信息如何可以被收集、存储和分配。更具体地,在图8描绘的实施方式中,第一智能边缘设备410周期性地分配个人信息。例如,在时间点A、t2和t3时,第一智能边缘设备410向可信基础设施域内的所有其它智能边缘设备分配关于客户端440的当前个人信息(即,基准和/或动态个人信息)。因此,当客户端440漫游到与第二智能边缘设备420相关联的位置B时,第二智能边缘设备具有关于客户端的最新个人信息,并且不需要发送对关于客户端的个人信息的请求/查询。因此,第二智能边缘设备420基于接收到的最近信息(即,认证信息= “Y”,并且连接成员信息= “Z”)实施个人。
[0048]图9描绘根据又一实施例的系统900。该系统包括控制器910、交换机920、安全装置930、智能交换机940、“非智能”接入点950、第一智能接入点960、第二智能接入点970、客户端980以及可信基础设施域990。
[0049]控制器910、第一智能接入点960、第二智能接入点970、智能边缘交换机940以及可信基础设施域990与以上参考图1所述的那些相似。安全装置930是诸如被配置为通过执行如授权、认证、深度包检测(DPI)等这样的过程来保护网络的入侵防御系统(IPS)或入侵检测系统(IDS)之类的设备。交换机920是通信联接诸如安全装置930、控制器910和智能边缘交换机940之类的各种组件的交换设备920。“非智能”接入点950是普通接入点,但当与智能边缘交换机940结合时,该结合可以一起工作以提供智能特征,如在不具有控制器910或与控制器910部分结合的情况下,收集、存储和分配个人信息,如上所述。由于基准和/或动态个人信息可以响应于个人改变、响应于个人请求或周期性地从第一智能接入点960被传送到智能边缘交换机940再到第二智能接入点970,因此客户端980可以从第一智能接入点960移动到“非智能”接入点950再到第二智能接入点970,并且以最小的延迟接收一致的服务。
[0050]图10描绘根据实施例的过程流程图1000。更具体地,图10描绘根据实施例的可以被智能边缘设备110执行的过程。
[0051]该过程可以开始于框1010,这里智能边缘设备110获得关于相邻智能边缘设备的信息。这种信息可以是:(i)由控制器提供,(ii)基于各种算法(例如,经由无线探测)由智能边缘设备本地确定,和/或(iii)被直接编程到智能边缘设备中。在框1020处,智能边缘设备110与相邻智能边缘设备建立信任关系。这可以包括共享证书和/或建立安全通信信道。在框1030处,智能边缘设备110接收来自客户端的接入请求。如果各种网络组件授予客户端接入该网络,则在框1040处,智能边缘设备110收集关于客户端的基准个人信息。如上所述,这种基准个人信息可以包括初始端口信息、初始客户端信息、初始认证信息、初始连接成员信息、初始动态策略信息和/或初始会话状态信息。此后,在网络会话期间并且如果个人改变发生,则在框1050处,智能边缘设备110收集关于客户端的动态个人信息。如上所述,这种动态个人信息可以包括修改的端口信息、修改的客户端信息、修改的认证信息、修改的连接成员信息、修改的动态策略信息和/或修改的会话状态信息。此后,智能边缘设备110响应于对个人信息的请求(框1060)、响应于个人改变(框1070)或周期性地(框1080)向一个或多个其它智能边缘设备和/或控制器分配基准和/或动态个人信息。
[0052]本公开已经参考前述的示例性实施例被示出并被描述。然而,应当理解,其它的形式、细节和实施例可以在不背离由所附权利要求限定的本公开的精神和范围的情况下做出。
【权利要求】
1.一种系统,包括: 控制器,用于选定多个智能边缘设备,并且通知所述多个智能边缘设备中的每一个在其它多个智能边缘设备中的哪些最接近于所述智能边缘设备;和 所述多个智能边缘设备,其中所述多个智能边缘设备中的每个用于: 与最接近于所述智能边缘设备的所述其它多个智能边缘设备建立信任关系; 收集关于连接至所述智能边缘设备的客户端的基准个人信息; 收集关于连接至所述智能边缘设备的客户端的动态个人信息; 存储关于连接至所述智能边缘设备的客户端的所述基准个人信息和所述动态个人信息;并且 将关于所述客户端的所述基准个人信息和所述动态个人信息传送给最接近于所述智能边缘设备的所述其它多个智能边缘设备中的至少一个。
2.根据权利要求1所述的系统,其中所述基准个人信息包括从所述客户端发起网络会话时起的个人信息,并且所述动态个人信息包括所述客户端发起网络会话后修改的个人信肩、O
3.根据权利要求1所述的系统,其中所述基准个人信息包括端口信息、客户端信息、认证信息、连接成员信息、动态策略信息和会话状态信息中的至少一种。
4.根据权利要求1所述的系统,其中所述多个智能边缘设备中的每个响应于接收请求关于所述客户端的信息的查询消息,向所述其它多个智能边缘设备中的至少一个传送所述基准个人信息和所述动态个人信息。
5.根据权利要求1所述的系统,其中所述多个智能边缘设备中的每个响应于关于所述客户端的个人信息改变,向所述其它多个智能边缘设备中的至少一个至少传送所述动态个人信息。
6.根据权利要求1所述的系统,其中所述多个智能边缘设备中的每个进一步向所述其它多个智能边缘设备中的至少一个传送历史个人信息。
7.根据权利要求1所述的系统,其中所述多个智能边缘设备中的每个直接向所述其它多个智能边缘设备中的至少一个传送关于所述客户端的所述基准个人信息和所述动态个人信息中的至少一种。
8.一种智能边缘设备,包括: 处理设备; 通信接口,用于接收关于通信联接至所述智能边缘设备的客户端的个人信息,并且响应于接收来自最接近的智能边缘设备的、请求关于所述客户端的信息的查询消息,或者响应于关于所述客户端的个人信息改变,向至少一个最接近的智能边缘设备传送关于所述客户端的基准个人信息和动态个人信息;和 非暂时性计算机可读介质,用于存储关于通信联接至所述智能边缘设备的所述客户端的所述基准个人信息和所述动态个人信息。
9.根据权利要求8所述的智能边缘设备,其中所述通信接口进一步向控制器传送关于所述客户端的所述基准个人信息和所述动态个人信息。
10.根据权利要求8所述的智能边缘设备,其中所述智能边缘设备包括智能边缘接入点或智能边缘交换机。
11.根据权利要求8所述的智能边缘设备,其中所述智能边缘设备和所述至少一个最接近的智能边缘设备处于至少部分地基于由控制器提供的信息而建立的可信基础设施域内。
12.根据权利要求8所述的智能边缘设备,其中所述智能边缘设备无需控制器的帮助而识别所述至少一个最接近的智能边缘设备。
13.一种非暂时性计算机可读介质,所述介质包括指令,当上述指令被执行时使得第一智能边缘设备: 至少部分地基于由控制器提供的信息,与第二智能边缘设备建立信任关系; 收集并存储关于通信联接至所述第一智能边缘设备的客户端的基准个人信息和动态个人信息;以及 直接向所述第二智能边缘设备传送关 于所述客户端的所述基准个人信息和所述动态个人信息。
14.根据权利要求13所述的非暂时性计算机可读介质,其中所述智能边缘设备包括智能边缘接入点或智能边缘交换机。
15.根据权利要求13所述的非暂时性计算机可读介质,其中所述指令进一步使得所述第一智能边缘设备:响应所述客户端从所述第一智能边缘设备的覆盖区域漫游到所述第二智能边缘设备的覆盖区域,向所述第二智能边缘设备传送所述基准个人信息和所述动态个人信息。
【文档编号】H04W36/08GK104081801SQ201280068085
【公开日】2014年10月1日 申请日期:2012年1月27日 优先权日:2012年1月27日
【发明者】马克·W·菲德勒, 肯尼斯·洛伊德·塔格德 申请人:惠普发展公司,有限责任合伙企业