[go: up one dir, main page]

IT202300017760A1 - CONTROL SYSTEM FOR OVERLAY NETWORKS AND RELATED CONTROL METHOD - Google Patents

CONTROL SYSTEM FOR OVERLAY NETWORKS AND RELATED CONTROL METHOD

Info

Publication number
IT202300017760A1
IT202300017760A1 IT102023000017760A IT202300017760A IT202300017760A1 IT 202300017760 A1 IT202300017760 A1 IT 202300017760A1 IT 102023000017760 A IT102023000017760 A IT 102023000017760A IT 202300017760 A IT202300017760 A IT 202300017760A IT 202300017760 A1 IT202300017760 A1 IT 202300017760A1
Authority
IT
Italy
Prior art keywords
controller
peripheral devices
peripheral device
peripheral
central government
Prior art date
Application number
IT102023000017760A
Other languages
Italian (it)
Inventor
Andrew Brown
Ettore Palanca
Oscar Bevoni
Original Assignee
Cyberinova Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyberinova Ltd filed Critical Cyberinova Ltd
Priority to IT102023000017760A priority Critical patent/IT202300017760A1/en
Publication of IT202300017760A1 publication Critical patent/IT202300017760A1/en

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/64Routing or path finding of packets in data switching networks using an overlay routing layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Description

Descrizione a corredo della domanda di brevetto per invenzione industriale dal titolo: Description accompanying the patent application for an industrial invention entitled:

Sistema di controllo per reti overlay e relativo metodo di controllo Overlay network control system and its control method

Ambito dell?invenzione Scope of the invention

[001] La presente invenzione ? relativa ad un sistema di controllo, il quale sistema di controllo pu? essere utilizzato per la sicurezza di reti dati in genere. [001] The present invention relates to a control system, which control system can be used for the security of data networks in general.

[002] Preferibilmente ma non limitatamente, le reti dati a cui si rivolge tale sistema di controllo sono reti overlay. [002] Preferably but not limited to, the data networks addressed by such a control system are overlay networks.

[003] In altre parole, il sistema di controllo permette di costruire connessioni dinamiche ed indipendenti per qualsiasi strato dati di reti overlay sicure. [003] In other words, the control system allows building dynamic and independent connections for any data layer of secure overlay networks.

[004] Detto sistema di controllo della presente invenzione, nel seguito, pu? essere indicato anche con l?acronimo DYNOC (DYNAMIC OVERLAY CONTROL). [004] The control system of the present invention may hereinafter also be referred to by the acronym DYNOC (DYNAMIC OVERLAY CONTROL).

[005] Con il termine rete overlay (nota anche come SDN), per la presente invenzione, si intende una qualsiasi rete logica di telecomunicazioni di elaboratori elettronici (computer) che ? costruita sopra un?altra rete ed ? supportata dalla sua infrastruttura (componenti fisici). I nodi della rete overlay sono interconnessi utilizzando collegamenti virtuali o logici, che formano una topologia overlay, sebbene questi nodi possano essere collegati tramite collegamenti fisici nelle reti sottostanti. Inoltre, le reti overlay si collegano alla rete esistente tramite nodi virtuali o fisici. [005] The term overlay network (also known as SDN) for the purposes of this invention means any logical computer telecommunications network that is built on top of another network and is supported by its infrastructure (physical components). The nodes of the overlay network are interconnected using virtual or logical links, which form an overlay topology, although these nodes may be connected via physical links in the underlying networks. Additionally, overlay networks connect to the existing network via virtual or physical nodes.

[006] La presente invenzione ? relativa, inoltre, ad un metodo di controllo, il quale metodo di controllo pu? essere utilizzato per la sicurezza di reti dati in genere. [006] The present invention also relates to a control method, which control method can be used for the security of data networks in general.

[007] Preferibilmente ma non limitatamente, le reti dati a cui si rivolge tale metodo di controllo sono reti overlay. [007] Preferably but not limited to, the data networks addressed by this control method are overlay networks.

[008] In altre parole, il metodo di controllo permette di costruire connessioni dinamiche ed indipendenti per qualsiasi strato dati di reti overlay sicure. [008] In other words, the control method allows building dynamic and independent connections for any data layer of secure overlay networks.

[009] A puro scopo esemplificativo e non limitativo, esempi di implementazioni di reti overlay includono reti private virtuali (VPN), reti peer-to-peer (P2P), reti di distribuzione di contenuti (CDN), servizi Voice over IP (VoIP). [009] By way of example and not limitation, examples of overlay network implementations include virtual private networks (VPNs), peer-to-peer (P2P) networks, content delivery networks (CDNs), Voice over IP (VoIP) services.

[0010] La presente invenzione riguarda quindi il campo della sicurezza delle reti e della connettivit?. Pi? in particolare, riguarda come realizzare uno strato di controllo, tramite algoritmi e logiche di controllo a messaggi di governo (funzioni Brain), per governare tramite messaggi (funzioni Broker) una qualsiasi rete overlay elevandone i livelli di sicurezza intrinseca (Zero Trust) permettendo comunicazioni sicure per qualsiasi pluralit? di dispositivi informatici e consentendone la fruizione sicura sopra una intranet o l?Internet pubblica. [0010] The present invention therefore concerns the field of network and connectivity security. More specifically, it concerns how to create a control layer, through algorithms and control logics based on governing messages (Brain functions), to govern any overlay network via messages (Broker functions), raising its intrinsic security levels (Zero Trust), allowing secure communications for any plurality of computing devices and permitting their secure use on an intranet or the public Internet.

[0011] La metodologia di controllo del Brain ? basata sull'identit? degli utenti e dei dispositivi con la garanzia che solo identit? autenticate e autorizzate abbiano visibilit? e accesso agli endpoint utilizzatori della rete secondo policy atte a stabilire una rete logica sovrapposta completamente crittografata e privata. [0011] The Brain control methodology is based on the identity of users and devices with the guarantee that only authenticated and authorised identities have visibility and access to the endpoints using the network according to policies aimed at establishing a fully encrypted and private logical overlay network.

[0012] La presente invenzione supera le limitazioni della tecnologia odierna delle reti overlay fornendo un sistema e un metodo per supportare comunicazioni sicure per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico delle connessioni fra i nodi e dispositivi di una tipica rete dati overlay. [0012] The present invention overcomes the limitations of current overlay network technology by providing a system and method for supporting secure communications for a plurality of computing devices, enabling dynamic governance and control of connections between nodes and devices in a typical overlay data network.

Brevi cenni alla tecnica nota Brief notes on the prior art

[0013] Com?? noto, nel corso degli ultimi anni, nel settore tecnico delle comunicazioni dati, sono state sviluppate reti a maglia (altrimenti indicate come reti Mesh) quali soluzioni per la protezione criptata punto a punto dei dati in transito. [0013] As is known, in recent years, in the technical sector of data communications, mesh networks (otherwise known as Mesh networks) have been developed as solutions for the encrypted point-to-point protection of data in transit.

[0014] Le attuali tecnologie di networking presentano diversi inconvenienti. [0014] Current networking technologies have several drawbacks.

[0015] I limiti pi? importanti delle tecnologie di arte nota riguardano l?architettura proprietaria, la gestione della rete limitata al solo strato dati e, di conseguenza, necessitano di configurazioni statiche e limitate quindi a topologia di connessioni predefinite, non quindi dinamicamente controllabili dall?utente finale e/o ad ogni modo sempre dipendenti dal livello tecnologico ed organizzativo esprimibile dal fornitore del livello overlay. [0015] The most important limitations of the prior art technologies concern the proprietary architecture, the network management limited to the data layer only and, consequently, they require static configurations and therefore limited to predefined connection topologies, which are therefore not dynamically controllable by the end user and/or in any case always dependent on the technological and organizational level expressible by the overlay layer supplier.

Sintesi dell?invenzione Summary of the invention

[0016] Scopo della presente invenzione ? quello di fornire un sistema di controllo, preferibilmente ma non limitatamente destinato a reti overlay, che permetta di ottenere un elevato livello di sicurezza e di implementare funzioni di governo e controllo dinamico. [0016] The purpose of the present invention is to provide a control system, preferably but not limited to overlay networks, which allows a high level of security to be achieved and dynamic control and governance functions to be implemented.

[0017] Inoltre, scopo della presente invenzione ? quello di fornire anche un metodo di controllo, preferibilmente ma non limitatamente destinato a reti overlay, che permetta di ottenere un elevato livello di sicurezza e di implementare funzioni di governo e controllo dinamico. [0017] Furthermore, the purpose of the present invention is to also provide a control method, preferably but not limited to overlay networks, which allows a high level of security to be achieved and dynamic control and governance functions to be implemented.

[0018] Secondo la presente invenzione, viene realizzato un sistema di controllo, come definito nella rivendicazione 1. [0018] According to the present invention, a control system, as defined in claim 1, is provided.

[0019] In particolare, detto sistema 1 di controllo per reti overlay 100 comprende: [0019] In particular, said overlay network control system 100 comprises:

[0020] Almeno un controllore di governo centrale 110; [0020] At least one central government controller 110;

[0021] Almeno un controllore di intermediazione 120 connesso a detto almeno un controllore di governo centrale 110 attraverso almeno una prima connessione 101; [0021] At least one intermediary controller 120 connected to said at least one central government controller 110 through at least a first connection 101;

[0022] Una pluralit? di dispositivi periferici 131 connessi a detto almeno un controllore di intermediazione 120 attraverso almeno una seconda connessione 102. [0022] A plurality of peripheral devices 131 connected to said at least one intermediary controller 120 through at least a second connection 102.

[0023] Detto sistema ? configurato per configurare e/o regolare l?operativit? di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 mediante detto almeno un controllore di governo centrale 110 attraverso detto almeno un controllore di intermediazione 120. [0023] Said system is configured to configure and/or regulate the operation of at least one peripheral device of said plurality of peripheral devices 131 by said at least one central government controller 110 through said at least one intermediary controller 120.

[0024] Tale soluzione risolve tutti i suddetti inconvenienti tecnici. [0024] This solution solves all the above mentioned technical drawbacks.

[0025] Tale configurazione del sistema 1 di controllo permette di realizzare uno strato di controllo, tramite algoritmi e logiche di controllo a messaggi di governo (del controllore di governo centrale 110, altrimenti indicato come Brain), per governare tramite messaggi (del controllore di intermediazione 120, altrimenti indicato come Broker) una qualsiasi rete overlay elevandone i livelli di sicurezza intrinseca (Zero Trust) permettendo comunicazioni sicure per qualsiasi pluralit? di dispositivi informatici e consentendone la fruizione sicura sopra una intranet o l?Internet pubblica. [0025] This configuration of the control system 1 allows the creation of a control layer, through algorithms and control logics with government messages (of the central government controller 110, otherwise indicated as Brain), to govern any overlay network through messages (of the intermediation controller 120, otherwise indicated as Broker), raising its intrinsic security levels (Zero Trust), allowing secure communications for any plurality of IT devices and allowing their secure use on an intranet or the public Internet.

[0026] La presente invenzione supera le limitazioni della tecnologia odierna delle reti overlay fornendo un sistema per supportare comunicazioni sicure per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico delle connessioni fra i nodi e dispositivi di una tipica rete dati overlay. [0026] The present invention overcomes the limitations of current overlay network technology by providing a system for supporting secure communications for a plurality of computing devices, enabling dynamic governance and control of connections between nodes and devices of a typical overlay data network.

[0027] Secondo la presente invenzione, viene fornito anche un metodo di controllo per reti overlay 100, detto metodo comprendendo le seguenti fasi: [0027] In accordance with the present invention, there is also provided a control method for overlay networks 100, said method comprising the following steps:

[0028] Fornire almeno un controllore di governo centrale 110; [0028] Provide at least one central government controller 110;

[0029] Fornire almeno un controllore di intermediazione 120 connesso a detto almeno un controllore di governo centrale 110; [0029] Providing at least one intermediary controller 120 connected to said at least one central government controller 110;

[0030] Fornire una pluralit? di dispositivi periferici 131 connessi a detto almeno un controllore di intermediazione 120. [0030] Providing a plurality of peripheral devices 131 connected to said at least one brokering controller 120.

[0031] L?operativit? di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 ? configurata e/o regolata da detto almeno un controllore di governo centrale 110 attraverso detto almeno un controllore di intermediazione 120. [0031] The operation of at least one peripheral device of said plurality of peripheral devices 131 is configured and/or regulated by said at least one central government controller 110 through said at least one intermediary controller 120.

[0032] Tale soluzione risolve tutti i suddetti inconvenienti tecnici. [0032] This solution solves all the above mentioned technical drawbacks.

[0033] Tale configurazione del metodo di controllo permette di realizzare uno metodo di controllo, tramite algoritmi e logiche di controllo a messaggi di governo (funzioni Brain), per governare tramite messaggi (funzioni Broker) una qualsiasi rete overlay elevandone i livelli di sicurezza intrinseca (Zero Trust) permettendo comunicazioni sicure per qualsiasi pluralit? di dispositivi informatici e consentendone la fruizione sicura sopra una intranet o l?Internet pubblica. [0033] This control method configuration allows the creation of a control method, through algorithms and control logics with governing messages (Brain functions), to govern any overlay network through messages (Broker functions), raising its intrinsic security levels (Zero Trust), allowing secure communications for any plurality of IT devices and allowing their secure use over an intranet or the public Internet.

[0034] La presente invenzione supera le limitazioni della tecnologia odierna delle reti overlay fornendo un metodo per supportare comunicazioni sicure per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico delle connessioni fra i nodi e dispositivi di una tipica rete dati overlay. [0034] The present invention overcomes the limitations of current overlay network technology by providing a method of supporting secure communications for a plurality of computing devices, enabling dynamic governance and control of connections between nodes and devices of a typical overlay data network.

[0035] Ulteriori vantaggi sono desumibili dalle rivendicazioni dipendenti. [0035] Further advantages can be deduced from the dependent claims.

Breve descrizione dei disegni Brief description of the drawings

[0036] Per una migliore comprensione della presente invenzione viene ora descritta una forma di realizzazione preferita, a puro titolo di esempio non limitativo, con riferimento ai disegni allegati, nei quali: [0036] For a better understanding of the present invention, a preferred embodiment is now described, purely by way of non-limiting example, with reference to the attached drawings, in which:

[0037] la figura 1 mostra uno schema di dettaglio di un sistema di controllo, secondo una forma realizzativa di invenzione; [0037] Figure 1 shows a detailed diagram of a control system, according to an embodiment of the invention;

[0038] la figura 2 mostra uno schema di applicazione di un sistema di controllo, secondo una forma realizzativa di invenzione. [0038] Figure 2 shows an application diagram of a control system, according to an embodiment of the invention.

Descrizione di alcune forme realizzative preferite [0039] L'implementazione del sistema e del metodo della presente invenzione comporta l'esecuzione o il completamento di determinati compiti o passi selezionati manualmente, automaticamente o una loro combinazione. In particolare, diversi passi selezionati possono essere implementati dall'hardware o dal software in un sistema operativo, dal firmware e/o una loro combinazione. Per esempio, i passi selezionati di almeno alcune forme di realizzazione dell?invenzione possono essere implementati come implementazioni hardware in chip o circuiti dedicati quali ad esempio ASIC. In modo analogo, i passi selezionati di almeno alcune forme di realizzazione dell?invenzione in oggetto possono essere implementati come un numero di istruzioni software eseguite da un computer (ad esempio, un processore del computer) utilizzando un sistema operativo. In ogni caso, i passi selezionati per alcune forme di realizzazione della presente invenzione possono essere descritti, nel sistema 1 di controllo, come eseguiti da un controllore, inteso come un sistema informatico per l'esecuzione di una sequenza di istruzioni. Description of Some Preferred Embodiments [0039] Implementation of the system and method of the present invention involves performing or completing certain selected tasks or steps manually, automatically, or a combination thereof. In particular, several selected steps may be implemented by hardware or software in an operating system, firmware, and/or a combination thereof. For example, selected steps of at least some embodiments of the invention may be implemented as hardware implementations in dedicated chips or circuits such as ASICs. Similarly, selected steps of at least some embodiments of the subject invention may be implemented as a number of software instructions executed by a computer (e.g., a computer processor) using an operating system. In any case, selected steps for some embodiments of the present invention may be described, in control system 1, as being executed by a controller, understood as a computer system for executing a sequence of instructions.

[0040] Il software (ad esempio, un'applicazione, le istruzioni del computer) configurato per eseguire (o causare l'esecuzione) di determinate funzionalit? pu? anche essere indicato come "modulo" o ?servizio? software per eseguire tale funzionalit?, e pu? anche essere indicato come "controllore" per eseguire tale funzionalit?. Pertanto, il controllore di un servizio, secondo alcune forme di realizzazione, pu? essere un componente hardware o, secondo altre forme di realizzazione, un componente software, o entrambi. [0040] Software (e.g., an application, computer instructions) configured to perform (or cause to perform) certain functionality may also be referred to as a "module" or "service" software to perform that functionality, and may also be referred to as a "controller" to perform that functionality. Thus, the controller of a service, according to some embodiments, may be a hardware component, or, according to other embodiments, a software component, or both.

[0041] In aggiunta, in alcune forme di realizzazione, un controllore pu? anche essere indicato come un modulo e/o servizio; in altre forme di realizzazione, un controllore pu? comprendere uno o pi? moduli e/o servizi. In altre forme di realizzazione ancora, un modulo pu? comprendere istruzioni per computer (che possono essere un insieme di istruzioni, un'applicazione, un software) che sono utilizzabili su un dispositivo computazionale (ad esempio, un processore) per fare in modo che il dispositivo computazionale conduca e/o raggiunga uno o pi? funzionalit? pi? specifiche. Pertanto, per alcune forme di realizzazione, la caratteristica/funzionalit? esplicitata da un controllore pu? essere descritta/rivendicata in diversi modi (ad esempio, dispositivo di calcolo, processore, modulo, software, applicazione, istruzioni per computer e simili). [0041] Additionally, in some embodiments, a controller may also be referred to as a module and/or service; in other embodiments, a controller may comprise one or more modules and/or services. In still other embodiments, a module may comprise computer instructions (which may be a set of instructions, an application, software) that are usable on a computing device (e.g., a processor) to cause the computing device to conduct and/or achieve one or more more specific functionalities. Therefore, for some embodiments, the feature/functionality embodied by a controller may be described/claimed in multiple ways (e.g., computing device, processor, module, software, application, computer instructions, and the like).

[0042] Alcune forme di realizzazione sono descritte come riguardanti un "computer", una "rete di computer" e/o un "computer operante su una rete di computer". Qualsiasi dispositivo dotato di un processore con la capacit? di eseguire sequenze di istruzioni pu? essere descritto come un controllore ed essere costituito, a titolo esemplificativo, da personal computer (PC), server, telefono cellulare, telefono IP, smartphone, PDA (Personal Digital Assistant), thin-client, dispositivo di comunicazione mobile, smartwatch o altro dispositivo indossabile in grado di comunicare con l'esterno, processore virtuale o basato su cloud, quantum processor unit, cercapersone e/o dispositivo simile. [0042] Some embodiments are described as relating to a "computer," a "computer network," and/or a "computer operating on a computer network." Any device having a processor with the capability to execute sequences of instructions may be described as a controller and may include, but is not limited to, a personal computer (PC), server, mobile phone, IP phone, smartphone, personal digital assistant (PDA), thin client, mobile communication device, smartwatch or other wearable device capable of external communication, virtual or cloud-based processor, quantum processor unit, pager, and/or similar device.

[0043] Facendo riferimento alla figura 1 ed alla figura 2, il sistema 1 di controllo, preferibilmente per reti overlay 100, comprende almeno un controllore di governo centrale 110. [0043] Referring to Figure 1 and Figure 2, the control system 1, preferably for overlay networks 100, comprises at least one central governing controller 110.

[0044] Preferibilmente, il sistema 1 comprende almeno un controllore di intermediazione 120 connesso a detto almeno un controllore di governo centrale 110, preferibilmente attraverso almeno una prima connessione 101. [0044] Preferably, the system 1 comprises at least one intermediary controller 120 connected to said at least one central government controller 110, preferably through at least a first connection 101.

[0045] Preferibilmente, detta almeno una prima connessione 101 ? una connessione sicura. [0045] Preferably, said at least one first connection 101 is a secure connection.

[0046] Preferibilmente, il sistema 1 comprende una pluralit? di dispositivi periferici 131 (altrimenti indicati come nodi periferici) connessi a detto almeno un controllore di intermediazione 120, preferibilmente attraverso almeno una seconda connessione 102. [0046] Preferably, the system 1 comprises a plurality of peripheral devices 131 (otherwise referred to as peripheral nodes) connected to said at least one intermediation controller 120, preferably through at least a second connection 102.

[0047] Preferibilmente, detta almeno una seconda connessione 102 ? una connessione sicura. [0047] Preferably, said at least one second connection 102 is a secure connection.

[0048] Vantaggiosamente, detto sistema 1 ? configurato per configurare e/o regolare l?operativit? di almeno un dispositivo periferico (altrimenti indicato come nodo periferico) di detta pluralit? di dispositivi periferici 131 mediante detto almeno un controllore di governo centrale 110 attraverso detto almeno un controllore di intermediazione 120. [0048] Advantageously, said system 1 is configured to configure and/or regulate the operation of at least one peripheral device (otherwise referred to as a peripheral node) of said plurality of peripheral devices 131 by means of said at least one central government controller 110 through said at least one intermediary controller 120.

[0049] In particolare, il controllore di governo centrale 110 interagisce con il controllore di intermediazione 120 attraverso la prima connessione 101, in modo che il controllore di intermediazione 120 possa trasmettere la regolazione dell?operativit? (impartita dal controllore di governo centrale 110) ad un dispositivo periferico della pluralit? di dispositivi periferici 131 mediante la seconda connessione 102. [0049] In particular, the central government controller 110 interacts with the intermediary controller 120 via the first connection 101, so that the intermediary controller 120 can transmit the operation regulation (imparted by the central government controller 110) to a peripheral device of the plurality of peripheral devices 131 via the second connection 102.

[0050] Tali caratteristiche derivano dalle prove sperimentali effettuate dalla Richiedente, in cui la Richiedente ha provato differenti soluzioni alternative, per individuare la soluzione che maggiormente garantisse di ottenere un elevato livello di sicurezza implementando funzioni di governo e controllo dinamico. [0050] These characteristics derive from the experimental tests carried out by the Applicant, in which the Applicant tried different alternative solutions, to identify the solution that best guaranteed obtaining a high level of safety by implementing dynamic control and governance functions.

[0051] In dettaglio, rispetto all?arte nota, uno dei vantaggi del sistema 1 di controllo ? rappresentato dalla presenza di detto almeno un controllore di governo centrale 110 il quale, attraverso l?interazione con l?almeno un controllore di intermediazione 120 attraverso la prima connessione 101, ? in grado di configurare e/o regolare l?operativit? di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131. [0051] In detail, compared to the prior art, one of the advantages of the control system 1 is represented by the presence of said at least one central government controller 110 which, through interaction with the at least one intermediary controller 120 via the first connection 101, is able to configure and/or regulate the operation of at least one peripheral device of said plurality of peripheral devices 131.

[0052] Tale configurazione del sistema 1 consente di realizzare uno strato di controllo, tramite algoritmi e logiche di controllo a messaggi di governo (del controllore di governo centrale 110, altrimenti indicato come Brain) per governare tramite messaggi (del controllore di intermediazione 120, altrimenti indicato come Broker) una qualsiasi rete overlay 100 elevandone i livelli di sicurezza intrinseca (Zero Trust) permettendo comunicazioni sicure per qualsiasi pluralit? di dispositivi informatici e consentendone la fruizione sicura sopra una intranet o l?Internet pubblica. [0052] This configuration of the system 1 allows the creation of a control layer, through algorithms and control logics with government messages (of the central government controller 110, otherwise indicated as Brain) to govern through messages (of the intermediation controller 120, otherwise indicated as Broker) any overlay network 100, raising its intrinsic security levels (Zero Trust), allowing secure communications for any plurality of IT devices and allowing their secure use over an intranet or the public Internet.

[0053] Tale configurazione supera le limitazioni della tecnologia odierna delle reti overlay 100, fornendo un sistema 1 per supportare comunicazioni sicure per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico delle connessioni fra i nodi e dispositivi di una tipica rete dati overlay 100. [0053] This configuration overcomes the limitations of current overlay network 100 technology by providing a system 1 to support secure communications for a plurality of computing devices, enabling dynamic governance and control functions of connections between nodes and devices of a typical overlay data network 100.

[0054] Secondo un ulteriore aspetto dell?invenzione, detto almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 pu? comunicare con almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 utilizzando un protocollo di rete se ci? ? consentito da una prima policy restrittiva gestita da detto almeno un controllore di governo centrale 110. [0054] According to a further aspect of the invention, said at least one peripheral device of said plurality of peripheral devices 131 may communicate with at least one peripheral device of said plurality of peripheral devices 131 using a network protocol if this is permitted by a first restrictive policy managed by said at least one central government controller 110.

[0055] In altre parole, l?almeno un controllore di governo centrale 110 ? configurato per gestire una prima policy restrittiva, la quale regola la possibilit? o non possibilit?, con le varie modalit? di controllo capillare di un firewall, ad almeno un dispositivo periferico di comunicare con almeno un altro dispositivo periferico (della pluralit? di dispositivi periferici 131). [0055] In other words, the at least one central government controller 110 is configured to manage a first restrictive policy, which regulates the possibility or non-possibility, with the various fine-grained control modes of a firewall, for at least one peripheral device to communicate with at least one other peripheral device (of the plurality of peripheral devices 131).

[0056] Vantaggiosamente, tale comunicazione pu? avvenire tramite un protocollo di rete. [0056] Advantageously, such communication can occur via a network protocol.

[0057] La metodologia di controllo del Brain ? basata sull'identit? degli utenti e dei dispositivi con la garanzia che solo identit? autenticate e autorizzate abbiano visibilit? e accesso agli endpoint utilizzatori della rete secondo policy atte a stabilire una rete logica sovrapposta completamente crittografata e privata. [0057] The Brain control methodology is based on the identity of users and devices with the guarantee that only authenticated and authorised identities have visibility and access to the endpoints using the network according to policies aimed at establishing a fully encrypted and private logical overlay network.

[0058] Secondo un ulteriore aspetto dell?invenzione, se la comunicazione ? consentita tra almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 con almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131, viene stabilito un tunnel cifrato tra ciascun dispositivo periferico coinvolto allo scopo di trasmettere tale comunicazione. [0058] According to a further aspect of the invention, if communication is permitted between at least one peripheral device of said plurality of peripheral devices 131 with at least one peripheral device of said plurality of peripheral devices 131, an encrypted tunnel is established between each peripheral device involved for the purpose of transmitting such communication.

[0059] In altre parole, qualora sia permesso (da detta prima policy restrittiva gestita dall?almeno un controllore di governo centrale 110) ad almeno un dispositivo periferico di comunicare con almeno un altro dispositivo periferico (della pluralit? di dispositivi periferici 131), viene preferibilmente stabilito un tunnel cifrato tra ciascun dispositivo periferico coinvolto nella comunicazione, allo scopo di trasmettere tale comunicazione. Tale tunnel cifrato garantisce un elevato livello di sicurezza per la rete (in particolare overlay 100), implementando una funzione di governo e controllo dinamico. [0059] In other words, if at least one peripheral device is allowed (by said first restrictive policy managed by the at least one central governance controller 110) to communicate with at least one other peripheral device (of the plurality of peripheral devices 131), an encrypted tunnel is preferably established between each peripheral device involved in the communication, for the purpose of transmitting such communication. Such encrypted tunnel ensures a high level of security for the network (in particular overlay 100), implementing a dynamic governance and control function.

[0060] Secondo un ulteriore aspetto dell?invenzione, detta almeno una seconda connessione 102 implementa un protocollo di crittografia basato su certificati, preferibilmente ibridi PQ (Post Quantum). [0060] According to a further aspect of the invention, said at least one second connection 102 implements a cryptographic protocol based on certificates, preferably hybrid PQ (Post Quantum).

[0061] In altre parole, la comunicazione tra l?almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 e l?almeno un controllore di intermediazione 120, avviene attraverso un protocollo di crittografia a base certificati ibridi PQ (Post Quantum), garantendo un elevato livello di sicurezza per la rete (in particolare overlay 100). [0061] In other words, the communication between the at least one peripheral device of said plurality of peripheral devices 131 and the at least one intermediation controller 120, occurs through a cryptographic protocol based on hybrid certificates PQ (Post Quantum), guaranteeing a high level of security for the network (in particular overlay 100).

[0062] Vantaggiosamente, almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 ? in grado di comunicare su base messaggio con detto almeno un controllore di intermediazione 120 previa verifica che detto almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 sia autorizzato da detto almeno un controllore di governo centrale 110. [0062] Advantageously, at least one peripheral device of said plurality of peripheral devices 131 is capable of communicating on a message basis with said at least one intermediary controller 120 upon verification that said at least one peripheral device of said plurality of peripheral devices 131 is authorized by said at least one central government controller 110.

[0063] In altre parole, l?almeno un controllore di governo centrale 110 ? configurato per autorizzare o non autorizzare la comunicazione su base messaggio tra l?almeno un dispositivo periferico con l?almeno un controllore di intermediazione 120. Ci? permette di ottenere elevati livelli di versatilit?, riconoscibilit? (e design) per detto strato 2 e per detto pannello 1 multistrato, garantendo la possibilit? di realizzare molteplici tipologie di prodotto mediante detto pannello 1 multistrato. [0063] In other words, the at least one central government controller 110 is configured to authorize or not authorize message-based communication between the at least one peripheral device with the at least one intermediary controller 120. This allows for high levels of versatility, recognizability (and design) for said layer 2 and for said multilayer panel 1, ensuring the possibility of creating multiple product types using said multilayer panel 1.

[0064] Ci? permette di realizzare uno strato di controllo, tramite algoritmi e logiche di controllo a messaggi di governo (funzioni Brain) per governare tramite messaggi (funzioni Broker) una qualsiasi rete overlay 100 elevandone i livelli di sicurezza intrinseca (Zero Trust) permettendo comunicazioni sicure per qualsiasi pluralit? di dispositivi informatici e consentendone la fruizione sicura sopra una intranet o l?Internet pubblica. [0064] This allows the creation of a control layer, through algorithms and control logics with government messages (Brain functions) to govern any overlay network 100 through messages (Broker functions), raising its intrinsic security levels (Zero Trust), allowing secure communications for any plurality of IT devices and allowing their secure use over an intranet or the public Internet.

[0065] Secondo un ulteriore aspetto dell?invenzione, detta almeno una seconda connessione 102 implementa un protocollo che comprende l'identit? dell'utente e/o dell?almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131. [0065] According to a further aspect of the invention, said at least one second connection 102 implements a protocol that includes the identity of the user and/or of the at least one peripheral device of said plurality of peripheral devices 131.

[0066] In dettaglio, per elevare ulteriormente il livello di sicurezza della rete di riferimento (in particolare, overlay 100), il protocollo di crittografia implementato dall?almeno una seconda connessione 102 comprende preferibilmente l?identit? dell?utente e/o l?identit? dell?almeno un dispositivo periferico coinvolto nella comunicazione. [0066] In detail, to further increase the security level of the reference network (in particular, overlay 100), the encryption protocol implemented by the at least one second connection 102 preferably includes the identity of the user and/or the identity of the at least one peripheral device involved in the communication.

[0067] Tale configurazione permette di ottenere un ulteriore miglioramento della sicurezza delle comunicazioni per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico, controllabili anche dall?utente finale, delle connessioni/comunicazioni fra i dispositivi di una tipica rete dati, ad esempio overlay 100. [0067] This configuration allows for a further improvement in the security of communications for a plurality of computing devices, enabling dynamic governance and control functions, also controllable by the end user, of the connections/communications between the devices of a typical data network, for example overlay 100.

[0068] Secondo un ulteriore aspetto dell?invenzione, detta prima policy restrittiva per le comunicazioni da e verso ciascun dispositivo periferico coinvolto di detta pluralit? di dispositivi periferici 131 comprende regole dinamiche. [0068] According to a further aspect of the invention, said first restrictive policy for communications to and from each involved peripheral device of said plurality of peripheral devices 131 comprises dynamic rules.

[0069] In dettaglio, come gi? descritto, almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 pu? comunicare con almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131, utilizzando un protocollo di rete, se ci? ? consentito da detta prima policy restrittiva gestita da detto almeno un controllore di governo centrale 110. La prima policy restrittiva, atta a regolare le comunicazioni da e verso ciascun dispositivo periferico coinvolto nella comunicazione, comprende regole dinamiche. Ci? permette di ottimizzare la sicurezza delle comunicazioni per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico controllabili anche dall?utente finale. [0069] In detail, as already described, at least one peripheral device of said plurality of peripheral devices 131 can communicate with at least one peripheral device of said plurality of peripheral devices 131, using a network protocol, if this is permitted by said first restrictive policy managed by said at least one central governance controller 110. The first restrictive policy, capable of regulating communications to and from each peripheral device involved in the communication, comprises dynamic rules. This allows for optimizing the security of communications for a plurality of computing devices, enabling dynamic governance and control functions that can also be controlled by the end user.

[0070] Secondo un ulteriore aspetto dell?invenzione, detto sistema 1 comprende una seconda policy restrittiva per ulteriori sorgenti di comunicazione da e verso ciascun dispositivo periferico coinvolto di detta pluralit? di dispositivi periferici 131. [0070] According to a further aspect of the invention, said system 1 comprises a second restrictive policy for further communication sources to and from each involved peripheral device of said plurality of peripheral devices 131.

[0071] In dettaglio, la seconda policy restrittiva ? atta a regolare le comunicazioni da e verso ciascun dispositivo periferico coinvolto nella comunicazione tra loro, in aggiunta o in alternativa a detta prima policy restrittiva. Ci? permette di ottimizzare la sicurezza delle comunicazioni per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico controllabili anche dall?utente finale. [0071] In detail, the second restrictive policy is designed to regulate communications to and from each peripheral device involved in communication with each other, in addition to or as an alternative to the first restrictive policy. This allows for optimizing the security of communications for a plurality of computing devices, enabling dynamic governance and control functions that can also be controlled by the end user.

[0072] In altre parole, la seconda policy restrittiva pu? regolare la comunicazione da e verso dispositivi periferici la cui comunicazione tra loro ? gi? regolata dalla prima policy restrittiva. In alternativa, la seconda policy restrittiva pu? regolare la comunicazione da e verso dispositivi periferici la cui comunicazione tra loro non ? regolata dalla prima policy restrittiva. [0072] In other words, the second restrictive policy can regulate communication to and from peripheral devices whose communication with each other is already regulated by the first restrictive policy. Alternatively, the second restrictive policy can regulate communication to and from peripheral devices whose communication with each other is not regulated by the first restrictive policy.

[0073] Preferibilmente, detta seconda policy restrittiva ? gestita dall?almeno un controllore di governo centrale 110, preferibilmente attraverso l?interazione del controllore di governo centrale 110 con l?almeno un controllore di intermediazione 120. [0073] Preferably, said second restrictive policy is managed by the at least one central government controller 110, preferably through interaction of the central government controller 110 with the at least one intermediary controller 120.

[0074] Secondo un ulteriore aspetto dell?invenzione, il sistema 1 di controllo comprende almeno una terza connessione 103 atta a connettere e permettere la comunicazione di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 con almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131. [0074] According to a further aspect of the invention, the control system 1 comprises at least a third connection 103 adapted to connect and allow communication of at least one peripheral device of said plurality of peripheral devices 131 with at least one peripheral device of said plurality of peripheral devices 131.

[0075] Preferibilmente, detta almeno una terza connessione 103 implementa un protocollo di crittografia, preferibilmente basato su certificati ibridi PQ (Post Quantum), per elevare la sicurezza delle comunicazioni tra i dispositivi periferici coinvolti nelle comunicazioni. [0075] Preferably, said at least third connection 103 implements an encryption protocol, preferably based on PQ (Post Quantum) hybrid certificates, to enhance the security of communications between the peripheral devices involved in the communications.

[0076] Secondo un ulteriore aspetto dell?invenzione, il sistema 1 di controllo comprende almeno un portale di gestione 150 connesso a detto almeno un controllore di governo centrale 110. [0076] According to a further aspect of the invention, the control system 1 comprises at least one management portal 150 connected to said at least one central government controller 110.

[0077] Preferibilmente, detto almeno un portale di gestione 150 ? connesso a detto almeno un controllore di governo centrale 110 attraverso detta almeno una prima connessione 101. [0077] Preferably, said at least one management portal 150 is connected to said at least one central government controller 110 through said at least one first connection 101.

[0078] Vantaggiosamente, l?almeno un portale di gestione 150 ? atto a regolare l?operativit? di detto almeno un controllore di governo centrale 110. [0078] Advantageously, the at least one management portal 150 is adapted to regulate the operation of said at least one central government controller 110.

[0079] Secondo una preferita forma di attuazione, l?almeno un portale di gestione 150 ? configurata per regolare l?operativit? dell?almeno un controllore di governo centrale 110, ad esempio comprendendo la prima policy restrittiva e/o la seconda policy restrittiva, in modo da regolare l?operativit? dell?almeno un controllore di governo centrale 110 e, in cascata, l?operativit? dell?almeno un controllore di intermediazione 120 e l?operativit? di almeno un dispositivo periferico della pluralit? di dispositivi periferici 131. [0079] According to a preferred embodiment, the at least one management portal 150 is configured to regulate the operation of the at least one central government controller 110, for example by comprising the first restrictive policy and/or the second restrictive policy, so as to regulate the operation of the at least one central government controller 110 and, in cascade, the operation of the at least one intermediation controller 120 and the operation of at least one peripheral device of the plurality of peripheral devices 131.

[0080] Secondo un ulteriore aspetto dell?invenzione, il sistema 1 di controllo comprende almeno una unit? di memorizzazione 160 atta a memorizzare ogni scambio dati tra detto almeno un controllore di governo centrale 110 e detto almeno un controllore di intermediazione 120 e/o ogni scambio dati tra detto almeno un controllore di intermediazione 120 e ciascun dispositivo periferico di detta pluralit? di dispostivi periferici 131 e/o ogni scambio dati tra almeno due dispositivi periferici di detta pluralit? di dispositivi periferici (131). [0080] According to a further aspect of the invention, the control system 1 comprises at least one storage unit 160 adapted to store each data exchange between said at least one central government controller 110 and said at least one intermediation controller 120 and/or each data exchange between said at least one intermediation controller 120 and each peripheral device of said plurality of peripheral devices 131 and/or each data exchange between at least two peripheral devices of said plurality of peripheral devices (131).

[0081] In altre parole, l?almeno una unit? di memorizzazione 160 ? configurata per memorizzare gli scambi dati che avvengono tra l?almeno un controllore di governo centrale 110 e l?almeno un controllore di intermediazione 120. [0081] In other words, the at least one storage unit 160 is configured to store data exchanges that occur between the at least one central government controller 110 and the at least one intermediary controller 120.

[0082] In alternativa o in aggiunta, l?almeno una unit? di memorizzazione 160 ? configurata per memorizzare gli scambi dati che avvengono tra l?almeno un controllore di intermediazione 120 e ciascun dispositivo periferico di detta pluralit? di dispostivi periferici 131. [0082] Alternatively or additionally, the at least one storage unit 160 is configured to store data exchanges that occur between the at least one intermediary controller 120 and each peripheral device of said plurality of peripheral devices 131.

[0083] In alternativa o in aggiunta, l?almeno una unit? di memorizzazione 160 ? configurata per memorizzare gli scambi dati che avvengono tra almeno due dispositivi periferici di detta pluralit? di dispositivi periferici 131, preferibilmente tra tutti i dispositivi periferici di detta pluralit? di dispositivi periferici 131. [0083] Alternatively or additionally, the at least one storage unit 160 is configured to store data exchanges that occur between at least two peripheral devices of said plurality of peripheral devices 131, preferably between all peripheral devices of said plurality of peripheral devices 131.

[0084] Tale configurazione permette di migliorare la sicurezza della rete dati di base (ad esempio, rete overlay 100), in quanto eventuali scambi/comunicazioni non autorizzati o che minacciano la sicurezza della rete dati stessa, verrebbero tracciati sull?unit? di memorizzazione 160. [0084] This configuration allows to improve the security of the basic data network (for example, overlay network 100), since any unauthorized exchanges/communications or those that threaten the security of the data network itself, would be traced on the storage unit 160.

[0085] Secondo un ulteriore aspetto dell?invenzione, il sistema 1 di controllo costituisce una rete logica per le comunicazioni di controllo a messaggi tra detto almeno un controllore di governo centrale 110, detto almeno un controllore di intermediazione 120 e detta pluralit? di dispositivi periferici 131 (altrimenti indicati come nodi). [0085] According to a further aspect of the invention, the control system 1 constitutes a logical network for message-based control communications between said at least one central government controller 110, said at least one intermediary controller 120 and said plurality of peripheral devices 131 (otherwise referred to as nodes).

[0086] Tale configurazione realizza uno strato di controllo, tramite algoritmi e logiche di controllo a messaggi di governo (funzioni Brain), in particolare dinamiche, per governare tramite messaggi (funzioni Broker) una qualsiasi rete overlay 100 elevandone i livelli di sicurezza intrinseca a livello di rete virtuale sicura (Zero Trust), permettendo comunicazione per qualsiasi pluralit? di dispositivi informatici e consentendone la fruizione sicura sopra una intranet o l?Internet pubblica. [0086] This configuration creates a control layer, through algorithms and control logics with government messages (Brain functions), in particular dynamic ones, to govern any overlay network 100 through messages (Broker functions), raising its intrinsic security levels to the level of a secure virtual network (Zero Trust), allowing communication for any plurality of IT devices and allowing their secure use over an intranet or the public Internet.

[0087] Secondo una preferita forma di attuazione, le tecnologie utilizzate per la prima e seconda connessione 101 e 102 di servizio sono diverse da quella utilizzata per la terza connessione 103, di specifica pertinenza dello strato dati. [0087] According to a preferred embodiment, the technologies used for the first and second service connections 101 and 102 are different from that used for the third connection 103, specifically pertaining to the data layer.

[0088] Nella topologia possono esistere pi? controllori di governo centrale (Brain) 110, con resilienza per replica consistente, e pi? controllori di intermediazione (Broker) 120, con resilienza per numerosit?, dove ogni nodo periferico 131 opera indipendentemente. [0088] In the topology there may exist multiple central government controllers (Brain) 110, with resilience due to consistent replication, and multiple intermediation controllers (Broker) 120, with resilience due to numerosity, where each peripheral node 131 operates independently.

[0089] Ogni nodo periferico si connette a un controllore di intermediazione 120 operante con tecnologia MQ (metodi di comunicazione Message Queuing) per stabilire un controllo distribuito in coordinamento con il controllore di governo centrale 110. [0089] Each edge node connects to an intermediary controller 120 operating with MQ (Message Queuing Communication Methods) technology to establish distributed control in coordination with the central governing controller 110.

[0090] Il controllore di intermediazione 120 include anche servizi propri dello strato dati di overlay 100, anche se questi ultimi possono esistere altrove. [0090] The intermediary controller 120 also includes services unique to the overlay data layer 100, although these may exist elsewhere.

[0091] Almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 pu? essere un nodo consumatore CN (Consumer Node) che rappresenta, per esempio, un asset endpoint (server, postazioni, terminali, ecc.) dove i servizi di controllo distribuiti sono attivi nei relativi ambienti operativi ed applicazioni software. [0091] At least one peripheral device of said plurality of peripheral devices 131 may be a consumer node CN (Consumer Node) representing, for example, an endpoint asset (server, workstation, terminal, etc.) where the distributed control services are active in the related operating environments and software applications.

[0092] Almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 pu? essere un nodo periferico EN (Edge Node) che serve invece un numero limitato di istanze consumatrici fisiche o virtuali di ambienti operativi CI (Consumer Instance) e relativi asset come sistemi IoT/OT, laptop, stampanti, tramite una rete dedicata, che pu? o meno prendere parte alla rete overlay 100 secondo le policy dello strato dati. [0092] At least one edge device of said plurality of edge devices 131 may be an edge node EN (Edge Node) that instead serves a limited number of physical or virtual consumer instances of CI (Consumer Instance) operating environments and related assets such as IoT/OT systems, laptops, printers, via a dedicated network, which may or may not take part in the overlay network 100 according to the data layer policies.

[0093] Almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 pu? essere un nodo di gateway GN (Gateway Node) che serve invece sotto gerarchie/reti di asset quali intere istanze fisiche o virtuali di data center DCI (Data Center Instance), On Premises o in Cloud, attraverso una rete dedicata autorizzata dal correlato strato dati. [0093] At least one peripheral device of said plurality of peripheral devices 131 may be a gateway node GN (Gateway Node) that instead serves under hierarchies/networks of assets such as entire physical or virtual instances of DCI data centers (Data Center Instance), On Premises or in Cloud, through a dedicated network authorized by the related data layer.

[0094] Il portale di gestione 150 ? connesso attraverso la prima connessione 101 con i controllori di governo centrale 110 (Brain) per le attivit? di gestione amministrative di controllo del sistema 1 (DYNOC) e delle policy abilitative correlate agli utenti utilizzatori. [0094] The management portal 150 is connected through the first connection 101 with the central government controllers 110 (Brain) for the administrative management activities of the system 1 control (DYNOC) and the enabling policies related to the users.

[0095] Il portale di gestione 150 uniforma con modalit? e protocolli certificati ibridi PQ (Post Quantum) la partecipazione al sistema 1 (DYNOC) di asset ed utenti fruitori del medesimo definendo, tramite policy, la relazione fra asset, rotte di connessione dei medesimi ed infine le politiche operative degli utenti a questi correlate. [0095] The management portal 150 standardizes with hybrid PQ (Post Quantum) certified methods and protocols the participation of assets and users using the same in system 1 (DYNOC) by defining, through policies, the relationship between assets, their connection routes and finally the operating policies of the users related to them.

[0096] L?unit? di memorizzazione 160 ? il collettore di ogni attivit? ed evento che si realizza nel sistema 1 (DYNOC) con scopi di memorizzazione a norma GDPR delle informazioni e viene acceduto con connessioni specifiche per la collazione di eventi e traffico da tutte le funzioni centrali e distribuite. [0096] The storage unit 160 is the collector of every activity and event that occurs in the system 1 (DYNOC) for GDPR compliant information storage purposes and is accessed with specific connections for event and traffic collation from all central and distributed functions.

[0097] I controllori 110 e 120, il portale di gestione 150 e l?unit? di memorizzazione 160 possono essere composti da uno o pi? server fisici, macchine virtuali, microservizi o istanze serverless e/o docker. [0097] Controllers 110 and 120, management portal 150, and storage unit 160 may be composed of one or more physical servers, virtual machines, microservices, or serverless instances and/or docker.

[0098] Ad esempio, i controllori 110 e 120, il portale di gestione 150 e l?unit? di memorizzazione 160 possono comprendere un processore e una memoria, o possono comprendere una pluralit? di tali processori e memorie. Con il termine processore, per la presente invenzione, ci si riferisce generalmente a un dispositivo o una combinazione di dispositivi aventi circuiteria finalizzata per implementare funzioni logiche e/o di comunicazione di un determinato controllore. [0098] For example, controllers 110 and 120, management portal 150, and storage unit 160 may comprise a processor and memory, or may comprise a plurality of such processors and memories. The term processor, as used in the present invention, generally refers to a device or combination of devices having circuitry designed to implement logic and/or communication functions of a given controller.

[0099] I controllori 110 e 120, il portale di gestione 150 e l?unit? di memorizzazione 160 possono comprendere un dispositivo di elaborazione di segnali digitali, un dispositivo microprocessore, vari convertitori analogicodigitale / digitale-analogico e altri circuiti di supporto e/o combinazioni dei precedenti. Le funzioni di controllo e di segnalazione del sistema 1 sono allocate tra questi dispositivi di elaborazione in base alle rispettive capacit?. [0099] Controllers 110 and 120, management portal 150, and storage unit 160 may include a digital signal processing device, a microprocessor device, various analog-to-digital / digital-to-analog converters, and other support circuitry and/or combinations of the foregoing. The control and signaling functions of system 1 are allocated among these processing devices based on their respective capabilities.

[00100] I controllori 110 e 120, il portale di gestione 150 e l?unit? di memorizzazione 160 possono ulteriormente comprendere funzionalit? per seguire uno o pi? programmi software basati su codici programma eseguibili dello stesso, che possono essere memorizzati in una memoria. [00100] The controllers 110 and 120, the management portal 150 and the storage unit 160 may further include functionality for running one or more software programs based on executable program codes thereof, which may be stored in a memory.

[00101] I controllori 110 e 120, il portale di gestione 150 e l?unit? di memorizzazione 160 possono essere configurati per eseguire una determinata funzione in una variet? di modi, incluso, ad esempio, attraverso uno o pi? circuiti di uso generale che eseguono un particolare codice in formato eseguibile incorporato in un supporto leggibile dal computer e/o attraverso uno o pi? circuiti applicativi specifici che svolgono la funzione. [00101] Controllers 110 and 120, management portal 150, and storage unit 160 may be configured to perform a particular function in a variety of ways, including, for example, through one or more general purpose circuits executing particular code in executable format embedded in computer-readable media and/or through one or more specific application circuits performing the function.

[00102] Il controllore di governo centrale 110 (Brain) comprende i micro-servizi di governo dei nodi periferici 131 della rete dati overlay 100 sottostante con flussi a messaggi, che in forma semplificativa e non esaustiva consistono in: [00102] The central government controller 110 (Brain) comprises the micro-governance services of the peripheral nodes 131 of the underlying overlay data network 100 with message flows, which in a simplified and non-exhaustive form consist of:

[00103] - Flusso di registrazione/de-registrazione nodo nel sistema 1 (DYNOC); [00103] - Node registration/de-registration flow in system 1 (DYNOC);

[00104] - Flusso di abilitazione/disabilitazione nodo nel flusso dati della rete overlay 100 governata; [00104] - Node enable/disable flow in the governed overlay network 100 data flow;

[00105] - Correlazione entit? nodi, dispositivi/utilizzatori nodi, policy di controllo relazioni fra i nodi, policy di controllo operazioni ammesse per dispositivi/utilizzatori; [00105] - Correlation of entities? nodes, devices/users nodes, control policies for relationships between nodes, control policies for operations permitted for devices/users;

[00106] - Distribuzione ai nodi di policy, configurazioni e certificati ibridi PQ (Post Quantum) per la connessione sicura fra i nodi; [00106] - Distribution of hybrid PQ (Post Quantum) policies, configurations and certificates to nodes for secure connection between nodes;

[00107] - Ritenzione, in modalit? non volatile, di tali dati e topologia della reta overlay 100 cos? dinamicamente definita tramite servizi database RDBMS e Non-RDBMS. [00107] - Non-volatile retention of such data and overlay network topology 100 thus dynamically defined through RDBMS and Non-RDBMS database services.

[00108] I messaggi di controllo sono generati da uno o pi? Microservices, inoltrati da un Orchestrator nella forma di messaggi al controllore di intermediazione 120 (Broker) e da questo resi disponibili ai servizi e nodi 131 riceventi, con determinazione certa del destinatario in doppia codifica univoca basata su MAC address (chiave univoca fisica) e chiave (TAG) derivata da Serial Number / UID Number dei dispositivi (chiave univoca logica). Le risposte a tali messaggi sono recepite con i correlati messaggi di risposta con flusso inverso (controllore di intermediazione 120, Orchestrator, Microservices) e definiscono gli eventi funzionali di risposta attuati dal servizio Microservices. Infine, il servizio Proxy e Load Balancer assicura l?alta affidabilit? e ridondanza alle funzionalit? eseguite dal controllore di governo centrale 110 (Brain) e l?interfaccia Web Socket per la comunicazione remota sicura. [00108] Control messages are generated by one or more Microservices, forwarded by an Orchestrator in the form of messages to the intermediation controller 120 (Broker) and made available by this to the receiving services and nodes 131, with certain determination of the recipient in double unique coding based on MAC address (physical unique key) and key (TAG) derived from the Serial Number / UID Number of the devices (logical unique key). The responses to these messages are received with the related response messages with reverse flow (intermediation controller 120, Orchestrator, Microservices) and define the functional response events implemented by the Microservices service. Finally, the Proxy and Load Balancer service ensures high reliability and redundancy to the functions performed by the central governance controller 110 (Brain) and the Web Socket interface for secure remote communication.

[00109] Secondo una forma di realizzazione, il controllore di intermediazione 120 del sistema 1 ospita il servizio di accesso dei nodi 131 ai servizi di controllo del controllore di governo centrale 110 con tecnologia MQ (Message Queuing) e la comunicazione dati protetta da certificati ibridi PQ (Post Quantum) e da policy (per esempio, white-list o blacklist di controllo dei nodi destinazione ammessi e non). [00109] According to one embodiment, the intermediary controller 120 of the system 1 hosts the access service of the nodes 131 to the control services of the central government controller 110 with MQ (Message Queuing) technology and the data communication protected by hybrid PQ (Post Quantum) certificates and by policies (for example, white-list or blacklist of control of the admitted and non-admitted destination nodes).

[00110] Il controllore di intermediazione 120 pu? comprendere anche il servizio Data Layer Central Services (di seguito indicato in DLCS) proprio dello strato dati della rete overlay 100 governata e la rispettiva policy, anche se questi ultimi possono esistere altrove nella rete 100, e il servizio di aggiornamento (Secure Update Services) del software di controllo distribuito nei nodi 131. [00110] The intermediary controller 120 may also include the Data Layer Central Services (hereinafter referred to as DLCS) service specific to the data layer of the governed overlay network 100 and the respective policy, even if the latter may exist elsewhere in the network 100, and the update service (Secure Update Services) of the control software distributed in the nodes 131.

[00111] Il portale di gestione 150 del sistema 1 (DYNOC) pu? comprendere le seguenti funzioni: [00111] The system management portal 150 (DYNOC) may include the following functions:

[00112] Identity & Access Management (IDM); [00112] Identity & Access Management (IDM);

[00113] User Login & Policy Management; [00113] User Login & Policy Management;

[00114] Brain Admin & Configuration Management. [00114] Brain Admin & Configuration Management.

[00115] La funzione Identity & Access Management gestisce le identit? di tutte le entit? costituenti il layer di controllo quindi nodi, gruppi di nodi, policy nodi, gruppi di policy nodi, identit? utenti, gruppi e ruoli utenti. La funzione Identity & Access Management realizza e garantisce anche l?integrazione ed interscambio credenziali da/verso sistemi di autenticazione esterni On-Premise con protocolli standard quali Ldap,Saml e OAuth. [00115] The Identity & Access Management function manages the identities of all the entities constituting the control layer, therefore nodes, node groups, node policies, node policy groups, user identities, user groups and roles. The Identity & Access Management function also creates and guarantees the integration and exchange of credentials to/from external on-premise authentication systems with standard protocols such as LDAP, SAML and OAuth.

[00116] La funzione User Login & Policy Management gestisce, tramite layer di interfaccia Web, la configurazione del servizio IAM attuando cos? la funzione di interfaccia utente (user interface) al sistema di autenticazione e gestione credenziali di accesso del sistema 1 (DYNOC). [00116] The User Login & Policy Management function manages, via the Web interface layer, the configuration of the IAM service, thus implementing the user interface function to the authentication and access credentials management system of system 1 (DYNOC).

[00117] La funzione Brain Admin & Configuration Management realizza l?interfaccia utente per la programmazione e configurazione dei Microservices del controllore di governo centrale 110, recependo dall?amministratore le configurazioni di nodi 131, utenti e policy di sicurezza e memorizzandole, in modalit? non volatile, tramite il richiamo ai servizi database RDBMS e Non-RDBMS. [00117] The Brain Admin & Configuration Management function creates the user interface for programming and configuring the Microservices of the central government controller 110, receiving the configurations of nodes 131, users and security policies from the administrator and storing them, in non-volatile mode, by calling the RDBMS and Non-RDBMS database services.

[00118] Secondo una forma di realizzazione, l?unit? di memorizzazione 160 comprende le funzioni di collazionamento dei log di funzionamento ed errore sia dei layer di controllo, sia dati della rete overlay 100, quali: [00118] According to one embodiment, the storage unit 160 includes the functions of collating the operation and error logs of both the control layers and data of the overlay network 100, such as:

[00119] Log di utilizzo nodi 131, volumi e tipologia di traffico nella rete overlay 100 (layer dati); [00119] Node 131 usage log, volumes and types of traffic in the overlay network 100 (data layer);

[00120] Log degli eventi nel layer di controllo dinamico (start/stop nodi mesh, eventi di errore ecc.); [00120] Event log in the dynamic control layer (start/stop mesh nodes, error events, etc.);

[00121] Metadati ed attributi logici della rete (indirizzi nodi, rotte di traffico, protocolli e porte utilizzate, sessioni, volumi dati transitati ecc.); [00121] Metadata and logical attributes of the network (node addresses, traffic routes, protocols and ports used, sessions, data volumes transited, etc.);

[00122] Statistiche inerenti tutte le entit? indicate, in modalit? singola o con correlazioni tra queste. [00122] Statistics relating to all the entities indicated, individually or with correlations between them.

[00123] Tutti i record sono aggregati tramite un Data Collector e memorizzati in modo permanente dal Document Oriented Database, dove sono acceduti con capacit? analitica profonda tramite una User Visual Interface. [00123] All records are aggregated via a Data Collector and stored permanently by the Document Oriented Database, where they are accessed with deep analytical capabilities via a User Visual Interface.

[00124] Le funzioni AI (Artificial Intelligence)/KM (Knowledge management)/ML (Machine Learning) dell?unit? di memorizzazione 160 aggiungono autonomia decisionale e autoapprendimento, con la capacit?, a titolo di esempio ma non limitativa, di esclusione proattiva di nodi a fronte di comportamento sospetto. [00124] The AI (Artificial Intelligence)/KM (Knowledge management)/ML (Machine Learning) functions of the storage unit 160 add decision-making autonomy and self-learning, with the ability to, by way of example but not limitation, proactively exclude nodes in the face of suspicious behavior.

[00125] Secondo una forma di realizzazione, per uno schema di un nodo 131 generico dove il servizio dello strato dati e le rispettive policy sono gestite dallo strato di controllo controllore di governo centrale 110/controllore di intermediazione 120 del sistema 1 (DYNOC), terminata positivamente la fase di autenticazione e autorizzazione con l?IDM, il controllore di governo centrale 110 elabora i metadati necessari all?attivazione della rete mesh nel nodo con le policy e li invia al Control Layer Distributed Service nel nodo tramite un messaggio di richiesta di attivazione della rete mesh. Il relativo servizio elabora i metadati ricevuti producendo tutti gli elementi necessari al funzionamento dello strato dati e ne attiva il relativo servizio, che pu? agire sulla policy locale di routing per la raggiungibilit? di tutte le rotte certificate e autorizzate nella rete mesh. La sicurezza esterna del nodo 131 ? assicurata dallo stesso sistema operativo del nodo 131 e dalla configurazione del suo firewall a livello kernel con le policy. La configurazione dell?ambiente operativo del nodo ? modificabile dallo strato di controllo con l?esecuzione di diversi possibili comandi quali, ad esempio: comando di shell generica (comandi nella lista di quelli autorizzati), comando peanut e comando di controllo operativo, che consente di accedere al dispositivo (nodo) da remoto. Tutti gli eventi e i metadati di traffico sono inviati dal servizio di Event e Traffic Logging verso l?unit? di memorizzazione in forma compressa ed omogenea della sessione di traffico coinvolta. Non esistono di fatto limitazioni di architettura tecnica e/o di sistema operativo per il codice dello strato di controllo e del servizio di logging che pu? essere prodotto, per esempio, per OpenWRT con CPU ARM (32 e 64 bit) e AMD/INTEL (64bit), Linux (64 bit). [00125] According to one embodiment, for a generic node 131 scheme where the data layer service and the respective policies are managed by the central governance controller 110/intermediation controller 120 control layer of system 1 (DYNOC), once the authentication and authorization phase with the IDM has been successfully completed, the central governance controller 110 processes the metadata necessary for the activation of the mesh network in the node with the policies and sends them to the Control Layer Distributed Service in the node via a mesh network activation request message. The relevant service processes the received metadata, producing all the elements necessary for the operation of the data layer, and activates the relevant service, which can act on the local routing policy for the reachability of all certified and authorized routes in the mesh network. The external security of the node 131 is ensured by the operating system of the node 131 itself and by the configuration of its kernel-level firewall with the policies. The configuration of the operating environment of the node is ensured by the central governance controller 110. The control layer can be modified by executing various possible commands, such as the generic shell command (commands in the authorized list), the peanut command, and the operational control command, which allows remote access to the device (node). All events and traffic metadata are sent by the Event and Traffic Logging service to the storage unit in a compressed and homogeneous form for the traffic session involved. There are virtually no technical architecture and/or operating system limitations for the control layer and logging service code, which can be produced, for example, for OpenWRT with ARM (32 and 64-bit) and AMD/INTEL (64-bit) CPUs, or Linux (64-bit).

[00126] Di seguito, si riporta un esempio non limitativo di sequenza di comunicazione a messaggi scambiati tra un Control Layer Distributed Service e il controllore di intermediazione 120, ed infine il controllore di governo centrale 110 via detto controllore di intermediazione 120. All?evento di accensione (power on), il servizio attiva la seconda connessione 102 (istanziazione di un oggetto cliente con specifiche opzioni di resilienza) con il certificato ibridi PQ (Post Quantum) e le definizioni incluse nelle policy distribuite. La richiesta viene processata dal controllore di intermediazione 120 e, se accettata, un canale di comunicazione riservato viene reso disponibile, referenziabile unicamente dal nodo con lo specifico Serial Number. In caso di mancata risposta e conseguente Timeout, viene intrapresa un?azione di ripristino (failure recovery). Una volta attivato il canale protetto di comunicazione, lo stato diventa Unregistered e il servizio invia sul canale al controllore di governo centrale 110 la richiesta di registrazione con formato RegisterDevice. In caso di mancata risposta, la richiesta viene rinnovata <n> volte e al termine viene intrapresa un?azione di ripristino (failure recovery). Alla ricezione della conferma di registrazione, che pu? riportare le condizioni nuova registrazione o registrazione gi? effettuata, il servizio entra nello stato Registered. Questo stato viene raggiunto sia nel caso il nodo sia presente nel database del controllore di governo centrale 110 per registrazione manuale tramite un Management Portal, sia che per avvenuta auto-registrazione in fase di accensione del nodo 131 nella rete mesh. [00126] Below is a non-limiting example of a message communication sequence exchanged between a Control Layer Distributed Service and the intermediation controller 120, and finally the central governance controller 110 via said intermediation controller 120. Upon power on, the service activates the second connection 102 (instantiation of a client object with specific resilience options) with the PQ (Post Quantum) hybrid certificate and the definitions included in the distributed policies. The request is processed by the intermediation controller 120 and, if accepted, a reserved communication channel is made available, referencing only by the node with the specific Serial Number. In the event of a no-response and consequent timeout, a failure recovery action is undertaken. Once the protected communication channel is activated, the state becomes Unregistered and the service sends the registration request in RegisterDevice format to the central governance controller 110 on the channel. If there is no response, the request is renewed <n> times and, at the end, a failure recovery action is initiated. Upon receipt of the registration confirmation, which may indicate the conditions "new registration" or "registration already performed," the service enters the Registered state. This state is reached whether the node is present in the central government controller 110 database through manual registration via a Management Portal, or through self-registration during the power-up of node 131 in the mesh network.

[00127] L?attivazione del servizio dello strato dati, riferito qui come registrazione del nodo 131 nella rete mesh in senso generico, viene quindi attuato sia nel caso di nodi periferici (edge node) 131 non presidiati per IoT/OT dall?amministratore attraverso il portale di gestione 150 che tramite orchestratore a partire dai Serial Number autorizzati se ? la prima registrazione, diversamente non ne viene richiesta autorizzazione. L?evento di registrazione permette che le policy dello strato dati siano scritte su un supporto non volatile. Nel caso di utenti remoti (remote worker) l?attivazione della rete mesh richiede sempre prima un?autenticazione all?IDM e una autorizzazione basata sulle policy attraverso un portale utente o Management Portal. In questo caso, le policy dello strato dati sono scritte su un supporto volatile, attivate, quindi cancellate per non permettere qualsiasi forma di clonazione in caso di violazione del nodo 131. [00127] The activation of the data layer service, referred to here as registration of node 131 in the mesh network in a generic sense, is therefore implemented both in the case of unattended edge nodes 131 for IoT/OT by the administrator through the management portal 150 and by the orchestrator starting from the authorized Serial Numbers if it is the first registration, otherwise no authorization is required. The registration event allows the data layer policies to be written to a non-volatile medium. In the case of remote users (remote workers), the activation of the mesh network always requires first authentication to the IDM and a policy-based authorization through a user portal or Management Portal. In this case, the data layer policies are written to a volatile medium, activated, and then deleted to prevent any form of cloning in the event of a violation of node 131.

[00128] Se il servizio dello strato dati viene autorizzato, il controllore di governo centrale 110 invia il messaggio di richiesta di attivazione della rete mesh a cui il servizio risponde, una volta configurata e attivata secondo le policy distribuite dello strato dati, entrando nello stato Authenticated. Da questo momento, il nodo 131 e le istanze consumatrici 1141 collegate possono operare sulla rete mesh secondo le policy proprie dello strato dati. [00128] If the data layer service is authorized, the central governance controller 110 sends the mesh network activation request message to which the service responds, once configured and activated according to the distributed policies of the data layer, by entering the Authenticated state. From this moment, the node 131 and the connected consumer instances 1141 can operate on the mesh network according to the policies of the data layer.

[00129] Durante la sua attivit?, un nodo 131 pu? ricevere via controllore di intermediazione 120 comandi di esecuzione di programmi dal controllore di governo centrale 110, come per esempio richieste di aggiornamento dall?orchestratore, sia dal portale di gestione 150 sia dal portale utente. Queste esecuzioni differiscono per l?oggetto della richiesta, che pu? essere un comando di ping, per conoscere istantaneamente la reattivit? di un nodo 131, un insieme autorizzato di comandi di sistema operativo, un comando specializzato dello strato di controllo (peanuts), o una richiesta di attivazione di una sessione di controllo operativo verso un server di gestione (debugging). Una volta eseguita la richiesta, il servizio risponde restituendo l?esito e i valori dell?esecuzione. Nel caso di comandi peanuts, lo scambio avviene attraverso testi opportunamente strutturati con messaggi in formato Json. [00129] During its activity, a node 131 can receive program execution commands from the central government controller 110 via the intermediary controller 120, such as update requests from the orchestrator, both from the management portal 150 and from the user portal. These executions differ in the object of the request, which can be a ping command, to instantly know the reactivity of a node 131, an authorized set of operating system commands, a specialized command from the control layer (peanuts), or a request to activate an operational control session towards a management server (debugging). Once the request has been executed, the service responds by returning the outcome and values of the execution. In the case of peanuts commands, the exchange occurs through appropriately structured texts with messages in JSON format.

[00130] Per inviare lo stato di corretta funzionalit? al portale di gestione 150 e per monitorare lo stato di interoperativit? con il controllore di intermediazione 120, periodicamente il servizio invia un messaggio di vita (alive request), riportando informazioni interne di stato, come lo stato della rete mesh, e esterne, come lo stato dei nodi 131 neighbors sulla rete. [00130] To send the status of correct functionality to the management portal 150 and to monitor the interoperability status with the intermediation controller 120, the service periodically sends an alive request, reporting internal status information, such as the status of the mesh network, and external status information, such as the status of the neighboring nodes 131 on the network.

[00131] A fronte della mancata risposta per <n> tentativi, viene intrapresa un?azione di ripristino. Nel caso di positiva risposta, il ciclo viene ripreso dopo aver atteso per un intervallo. [00131] If no response is received after <n> attempts, recovery action is taken. If there is a successful response, the cycle is resumed after waiting a certain interval.

[00132] La Figura 2 riporta lo schema concettuale complessivo e riassuntivo dei tre strati topologici del sistema 1 (DYNOC): Dynamic Control Layer, Data Layer ed Existing Network Infrastructure. [00132] Figure 2 shows the overall conceptual and summary scheme of the three topological layers of system 1 (DYNOC): Dynamic Control Layer, Data Layer and Existing Network Infrastructure.

[00133] Nello strato Dynamic Control Layer sono allocati i controllori di governo centrale 110, i controllori di intermediazione 120 e i Distributed Control Services e Distributed Policies dei nodi 131, quali Consumer Node, Edge Node e Gateway Node. [00133] The Dynamic Control Layer houses the central government controllers 110, the intermediary controllers 120 and the Distributed Control Services and Distributed Policies of the nodes 131, such as the Consumer Node, Edge Node and Gateway Node.

[00134] Nel Data Layer sono allocati i Data Services 1140 dei nodi 131 suddetti che implementano la rete overlay 100 attraverso tunnel aperti dinamicamente. La gestione dei Data Service 1140, che include configurazione e policy, ? governata dai Control Services e dalle relative policy secondo le attribuzioni del controllore di governo centrale 110, in base alle policy (gruppi di sicurezza) a cui il nodo 131 appartiene. [00134] The Data Layer hosts the Data Services 1140 of the aforementioned nodes 131, which implement the overlay network 100 through dynamically opened tunnels. The management of the Data Services 1140, which includes configuration and policies, is governed by the Control Services and their related policies according to the attributions of the central governance controller 110, based on the policies (security groups) to which the node 131 belongs.

[00135] L?Existing Network Infrastructure rappresenta l?infrastruttura esistente di rete con tutti i suoi dispositivi, che include, come esempio non limitativo, le istanze consumatrici (Consumer Instance) 1141 e Data Center Instance 1142 (ad esempio, la rete Internet), ciascuno connesso ad un rispettivo Data Service 1140. [00135] The Existing Network Infrastructure represents the existing network infrastructure with all its devices, which includes, but is not limited to, the Consumer Instances 1141 and Data Center Instances 1142 (e.g., the Internet), each connected to a respective Data Service 1140.

[00136] Secondo un ulteriore aspetto dell?invenzione, il metodo di controllo, preferibilmente per reti overlay 100, comprende una fase di fornire almeno un controllore di governo centrale 110. [00136] According to a further aspect of the invention, the control method, preferably for overlay networks 100, comprises a step of providing at least one central governing controller 110.

[00137] Detto metodo di controllo comprende una fase di fornire almeno un controllore di intermediazione 120 connesso a detto almeno un controllore di governo centrale 110. [00137] Said control method comprises a step of providing at least one intermediary controller 120 connected to said at least one central government controller 110.

[00138] Il metodo di controllo comprende una fase di fornire una pluralit? di dispositivi periferici 131 connessi a detto almeno un controllore di intermediazione 120. [00138] The control method comprises a step of providing a plurality of peripheral devices 131 connected to said at least one intermediary controller 120.

[00139] Vantaggiosamente, l?operativit? di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131 ? configurata e/o regolata da detto almeno un controllore di governo centrale 110 attraverso detto almeno un controllore di intermediazione 120. [00139] Advantageously, the operation of at least one peripheral device of said plurality of peripheral devices 131 is configured and/or regulated by said at least one central government controller 110 through said at least one intermediary controller 120.

[00140] Tali caratteristiche derivano dalle prove sperimentali effettuate dalla Richiedente, in cui la Richiedente ha provato differenti soluzioni alternative, per individuare la soluzione che maggiormente garantisse di ottenere un elevato livello di sicurezza implementando funzioni di governo e controllo dinamico. [00140] These characteristics derive from the experimental tests carried out by the Applicant, in which the Applicant tried different alternative solutions, to identify the solution that best guaranteed obtaining a high level of safety by implementing dynamic control and governance functions.

[00141] In dettaglio, rispetto all?arte nota, uno dei vantaggi del metodo di controllo ? rappresentato dalla presenza di detto almeno un controllore di governo centrale 110 il quale, attraverso l?interazione con l?almeno un controllore di intermediazione 120, ? in grado di configurare e/o regolare l?operativit? di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici 131. [00141] In detail, compared to the prior art, one of the advantages of the control method is represented by the presence of said at least one central government controller 110 which, through interaction with the at least one intermediary controller 120, is able to configure and/or regulate the operation of at least one peripheral device of said plurality of peripheral devices 131.

[00142] Tale configurazione del metodo consente di realizzare uno strato di controllo, tramite algoritmi e logiche di controllo a messaggi di governo (funzioni Brain) per governare tramite messaggi (funzioni Broker) una qualsiasi rete overlay 100 elevandone i livelli di sicurezza intrinseca (Zero Trust) permettendo comunicazioni sicure per qualsiasi pluralit? di dispositivi informatici e consentendone la fruizione sicura sopra una intranet o l?Internet pubblica. [00142] This method configuration allows the creation of a control layer, through algorithms and control logics with governing messages (Brain functions) to govern any overlay network 100 through messages (Broker functions), raising its intrinsic security levels (Zero Trust), allowing secure communications for any plurality of IT devices and allowing their secure use over an intranet or the public Internet.

[00143] Tale configurazione supera le limitazioni della tecnologia odierna delle reti overlay 100, fornendo un metodo per supportare comunicazioni sicure per una pluralit? di dispositivi computazionali, abilitando funzioni di governo e controllo dinamico delle connessioni fra i nodi e dispositivi di una tipica rete dati overlay 100. [00143] This configuration overcomes the limitations of current overlay 100 network technology by providing a method for supporting secure communications for a plurality of computing devices, enabling dynamic governance and control of connections between nodes and devices in a typical overlay 100 data network.

[00144] Risulta infine chiaro che al sistema di controllo ed al relativo metodo di controllo, qui descritti ed illustrati, possono essere apportate modifiche e varianti senza per questo uscire dall?ambito protettivo della presente invenzione, come definito nelle rivendicazioni allegate. [00144] Finally, it is clear that modifications and variations can be made to the control system and the related control method, described and illustrated herein, without departing from the protective scope of the present invention, as defined in the attached claims.

Claims (12)

RIVENDICAZIONI 1. Sistema (1) di controllo per reti overlay (100), detto sistema (1) comprendendo:1. Control system (1) for overlay networks (100), said system (1) comprising: - Almeno un controllore di governo centrale (110);- At least one central government controller (110); - Almeno un controllore di intermediazione (120) connesso a detto almeno un controllore di governo centrale (110) attraverso almeno una prima connessione (101);- At least one intermediary controller (120) connected to said at least one central government controller (110) through at least a first connection (101); - Una pluralit? di dispositivi periferici (131) connessi a detto almeno un controllore di intermediazione (120) attraverso almeno una seconda connessione (102),- A plurality of peripheral devices (131) connected to said at least one intermediation controller (120) through at least one second connection (102), detto sistema (1) essendo configurato per configurare e/o regolare l?operativit? di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) mediante detto almeno un controllore di governo centrale (110) attraverso detto almeno un controllore di intermediazione (120).said system (1) being configured to configure and/or regulate the operation of at least one peripheral device of said plurality of peripheral devices (131) by means of said at least one central government controller (110) through said at least one intermediary controller (120). 2. Sistema secondo la rivendicazione 1, in cui almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) pu? comunicare con almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) utilizzando un protocollo di rete se ci? ? consentito da una prima policy restrittiva gestita da detto almeno un controllore di governo centrale (110).2. System according to claim 1, wherein at least one peripheral device of said plurality of peripheral devices (131) can communicate with at least one peripheral device of said plurality of peripheral devices (131) using a network protocol if this is permitted by a first restrictive policy managed by said at least one central governing controller (110). 3. Sistema secondo la rivendicazione 1 o 2, in cui se la comunicazione ? consentita tra almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) con almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131), viene stabilito un tunnel cifrato tra ciascun dispositivo periferico coinvolto allo scopo di trasmettere tale comunicazione.3. System according to claim 1 or 2, wherein if communication is permitted between at least one peripheral device of said plurality of peripheral devices (131) with at least one peripheral device of said plurality of peripheral devices (131), an encrypted tunnel is established between each peripheral device involved for the purpose of transmitting such communication. 4. Sistema secondo una o pi? delle rivendicazioni precedenti, in cui detta almeno una seconda connessione (102) implementa un protocollo di crittografia basato su certificati, preferibilmente ibridi PQ (Post Quantum), almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) essendo in grado di comunicare su base messaggio con detto almeno un controllore di intermediazione (120) previa verifica che detto almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) sia autorizzato da detto almeno un controllore di governo centrale (110).4. System according to one or more of the preceding claims, wherein said at least one second connection (102) implements a cryptographic protocol based on certificates, preferably hybrid PQ (Post Quantum), at least one peripheral device of said plurality of peripheral devices (131) being able to communicate on a message basis with said at least one intermediation controller (120) after verifying that said at least one peripheral device of said plurality of peripheral devices (131) is authorised by said at least one central government controller (110). 5. Sistema secondo una o pi? delle precedenti rivendicazioni, in cui detta almeno una seconda connessione (102) implementa un protocollo che comprende l'identit? dell'utente e/o dell?almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131).5. System according to one or more of the preceding claims, wherein said at least one second connection (102) implements a protocol comprising the identity of the user and/or of the at least one peripheral device of said plurality of peripheral devices (131). 6. Sistema secondo una o pi? delle precedenti rivendicazioni, in cui detta prima policy restrittiva per le comunicazioni da e verso ciascun dispositivo periferico coinvolto di detta pluralit? di dispositivi periferici (131) comprende regole dinamiche.6. System according to one or more of the preceding claims, wherein said first restrictive policy for communications to and from each involved peripheral device of said plurality of peripheral devices (131) comprises dynamic rules. 7. Sistema secondo una o pi? delle precedenti rivendicazioni, comprendente una seconda policy restrittiva per ulteriori sorgenti di comunicazione da e verso ciascun dispositivo periferico coinvolto di detta pluralit? di dispositivi periferici (131).7. System according to one or more of the preceding claims, comprising a second restrictive policy for further communication sources to and from each involved peripheral device of said plurality of peripheral devices (131). 8. Sistema secondo una o pi? delle precedenti rivendicazioni, comprendente almeno una terza connessione (103) atta a connettere e permettere la comunicazione di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) con almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131).8. System according to one or more of the preceding claims, comprising at least a third connection (103) adapted to connect and allow communication of at least one peripheral device of said plurality of peripheral devices (131) with at least one peripheral device of said plurality of peripheral devices (131). 9. Sistema secondo una o pi? delle rivendicazioni precedenti, comprendente almeno un portale di gestione (150) connesso a detto almeno un controllore di governo centrale (110) preferibilmente attraverso detta almeno una prima connessione (101), detto almeno un portale di gestione (150) essendo atto a regolare l?operativit? di detto almeno un controllore di governo centrale (110).9. System according to one or more of the preceding claims, comprising at least one management portal (150) connected to said at least one central government controller (110) preferably through said at least one first connection (101), said at least one management portal (150) being adapted to regulate the operation of said at least one central government controller (110). 10. Sistema secondo una o pi? delle rivendicazioni precedenti, comprendente almeno una unit? di memorizzazione (160) atta a memorizzare ogni scambio dati tra detto almeno un controllore di governo centrale (110) e detto almeno un controllore di intermediazione (120) e/o ogni scambio dati tra detto almeno un controllore di intermediazione (120) e ciascun dispositivo periferico di detta pluralit? di dispostivi periferici (131) e/o ogni scambio dati tra almeno due dispositivi periferici di detta pluralit? di dispositivi periferici (131).? 10. System according to one or more of the preceding claims, comprising at least one storage unit (160) adapted to store each data exchange between said at least one central government controller (110) and said at least one intermediation controller (120) and/or each data exchange between said at least one intermediation controller (120) and each peripheral device of said plurality of peripheral devices (131) and/or each data exchange between at least two peripheral devices of said plurality of peripheral devices (131).? 11. Sistema secondo una o pi? delle rivendicazioni precedenti, costituente una rete logica per le comunicazioni di controllo a messaggi tra detto almeno un controllore di governo centrale (110), detto almeno un controllore di intermediazione (120) e detta pluralit? di dispositivi periferici (131).11. System according to one or more of the preceding claims, constituting a logical network for message control communications between said at least one central government controller (110), said at least one intermediary controller (120) and said plurality of peripheral devices (131). 12. Metodo di controllo per reti overlay (100) comprendente le seguenti fasi:12. Control method for overlay networks (100) comprising the following steps: - Fornire almeno un controllore di governo centrale (110); - Fornire almeno un controllore di intermediazione (120) connesso a detto almeno un controllore di governo centrale (110);- Provide at least one central government controller (110); - Provide at least one intermediary controller (120) connected to said at least one central government controller (110); - Fornire una pluralit? di dispositivi periferici (131) connessi a detto almeno un controllore di intermediazione (120),- Providing a plurality of peripheral devices (131) connected to said at least one intermediation controller (120), l?operativit? di almeno un dispositivo periferico di detta pluralit? di dispositivi periferici (131) essendo configurata e/o regolata da detto almeno un controllore di governo centrale (110) attraverso detto almeno un controllore di intermediazione (120). the operation of at least one peripheral device of said plurality of peripheral devices (131) being configured and/or regulated by said at least one central government controller (110) through said at least one intermediary controller (120).
IT102023000017760A 2023-08-29 2023-08-29 CONTROL SYSTEM FOR OVERLAY NETWORKS AND RELATED CONTROL METHOD IT202300017760A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
IT102023000017760A IT202300017760A1 (en) 2023-08-29 2023-08-29 CONTROL SYSTEM FOR OVERLAY NETWORKS AND RELATED CONTROL METHOD

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
IT102023000017760A IT202300017760A1 (en) 2023-08-29 2023-08-29 CONTROL SYSTEM FOR OVERLAY NETWORKS AND RELATED CONTROL METHOD

Publications (1)

Publication Number Publication Date
IT202300017760A1 true IT202300017760A1 (en) 2025-03-01

Family

ID=88585002

Family Applications (1)

Application Number Title Priority Date Filing Date
IT102023000017760A IT202300017760A1 (en) 2023-08-29 2023-08-29 CONTROL SYSTEM FOR OVERLAY NETWORKS AND RELATED CONTROL METHOD

Country Status (1)

Country Link
IT (1) IT202300017760A1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140282817A1 (en) * 2013-03-14 2014-09-18 Fortycloud Ltd. Dynamic secured network in a cloud environment
WO2018006163A1 (en) * 2016-07-06 2018-01-11 Teloip Inc. System and method for providing a control plane for quality of service
US20200177503A1 (en) * 2018-11-30 2020-06-04 Cisco Technology, Inc. End-to-end identity-aware routing across multiple administrative domains
US11729620B1 (en) * 2022-04-29 2023-08-15 strongDM, Inc. Managing and monitoring infrastructure access in networked environments

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140282817A1 (en) * 2013-03-14 2014-09-18 Fortycloud Ltd. Dynamic secured network in a cloud environment
WO2018006163A1 (en) * 2016-07-06 2018-01-11 Teloip Inc. System and method for providing a control plane for quality of service
US20200177503A1 (en) * 2018-11-30 2020-06-04 Cisco Technology, Inc. End-to-end identity-aware routing across multiple administrative domains
US11729620B1 (en) * 2022-04-29 2023-08-15 strongDM, Inc. Managing and monitoring infrastructure access in networked environments

Similar Documents

Publication Publication Date Title
CN112956219B (en) Subnet-based device allocation with geofence authentication
US11700244B2 (en) Structure of policies for evaluating key attributes of encryption keys
US10805175B2 (en) Software defined networking system
US11706102B2 (en) Dynamically deployable self configuring distributed network management system
US11537195B2 (en) Policy-enabled encryption keys having complex logical operations
Amoretti et al. A scalable and secure publish/subscribe-based framework for industrial IoT
US20210185026A1 (en) System and method for hierarchy manipulation in an encryption key management system
CA2979054A1 (en) Systems and methods for organizing devices in a policy hierarchy
US11063980B2 (en) System and method for associating encryption key management policy with device activity
US20170250811A1 (en) Policy-enabled encryption keys having ephemeral policies
CN107181720A (en) A kind of method and device of software definition networking SDN secure communications
US20220150226A1 (en) Computing System Operational Methods and Apparatus
US11838854B2 (en) 5G network slicing and resource orchestration using holochain
AlJemy et al. Improving IoT security using blockchain
Bautista et al. Mpc-as-a-service: a customizable management protocol for running multi-party computation on iot devices
IT202300017760A1 (en) CONTROL SYSTEM FOR OVERLAY NETWORKS AND RELATED CONTROL METHOD
Rani et al. Secure edge computing: An architectural approach and industrial use case
EP2028822B1 (en) Method and system for securing a commercial grid network over non-trusted routes
US20250293875A1 (en) Distribution of security keys in a storage network