Module peer_class 

Peer-Class-Matching-Engine.

Diese Schicht nimmt die aus dem Governance-XML geparsten PeerClass-Regeln und klassifiziert einen Remote-Peer (repraesentiert durch seine PeerCapabilities) in die passende Klasse. Die GovernancePolicyEngine konsultiert das Resultat und gibt das entsprechende Protection-Level aus.

Matching-Regel

• Iteration ueber domain_rule.peer_classes in XML-Reihenfolge — first match wins.
• Eine Peer-Klasse passt, wenn alle gesetzten match_criteria-Felder erfuellt sind (UND-Verknuepfung):
  • auth_plugin_class — exakter String-Vergleich. "" matcht None im Peer (Legacy-Peer ohne Plugin).
  • cert_cn_pattern — Wildcard-Vergleich via cn_pattern_match. Ein Peer ohne Cert-CN matcht nicht.
  • suite — der Peer muss die Suite in seinen supported_suites listen (CSV-String-Vergleich).
  • require_ocsp — PeerCapabilities::has_valid_cert muss true sein.
• Leere match_criteria (alle Felder None/false) matcht jeden Peer — das ist die Default-/Fallback-Klasse, die typischerweise als letzter Eintrag im XML steht.

Spec-Referenz

• docs/architecture/08_heterogeneous_security.md §5.
• Plan-DoD §Stufe 8: “Governance-Beispiel mit 4 Peer-Classes (Legacy/Fast/Secure/HA) wird korrekt geparst” — resolve_peer_class ist die Runtime-Verifikation genau dieses Beispiels.

Functions

interface_accepts_class

Erlaubt-Liste-Check: darf ein Peer einer bestimmten Klasse auf dem gegebenen Interface kommunizieren?

peer_matches_class

Prueft ob eine PeerClass zu den Peer-Capabilities passt.

peer_matches_class_with_delegation

Erweiterte Variante von peer_matches_class, die zusaetzlich delegation_profile-Referenzen aufloest.

resolve_peer_class

Sucht die erste matchende Peer-Klasse fuer einen Peer. Gibt None zurueck wenn keine Klasse passt — der Caller faellt dann auf die Domain-Default-Protection zurueck.

resolve_protection

Extrahiert das Protection-Level einer matchenden Peer-Class. None wenn keine Klasse matched.