边缘计算中的TEE资源编排方法、系统、设备及存储介质技术方案

本发明专利技术提供一种多接入边缘计算中的TEE资源编排方法、系统、设备及存储介质，涉及云计算技术领域，该方法包括：MEO接收MEC主机通过其归属管理的VIM通报的MEC主机的TEE能力信息；MEO根据接收到的TEE能力信息并基于用户侧的TEE能力需求，选择具有TEE能力的MEC主机归属管理的VIM及关联的MEPM，并向MEPM发起MEP APP实例化请求，在具有TEE能力的MEC主机中分配资源，以实现MEO的TEE资源编排；MEC主机在TEE能力开启后进行TEE实例远程验证；第三方应用对TEE应用实例环境进行验证。本发明专利技术提供的技术方案使得边缘业务在部署APP时，可以将对数据和代码隐私保护要求高的业务处理功能或者模块部署在支持TEE的基础设施资源中。块部署在支持TEE的基础设施资源中。块部署在支持TEE的基础设施资源中。

【技术实现步骤摘要】
边缘计算中的TEE资源编排方法、系统、设备及存储介质


[0001]本专利技术涉及云计算
，尤其涉及一种多接入边缘计算中的TEE资源编排方法、一种多接入边缘计算中的TEE资源编排系统、一种TEE资源编排设备以及一种计算机可读存储介质。

技术介绍

[0002]随着5G的部署，尤其是5G专网的部署，数据在网络边缘处理的需求增加。一方面是特定业务低时延要求，要求业务提供敏捷快速反应，另一方面是数据管理政策需求，使得业务数据应在园区内处理。MEC(多接入边缘计算，Multi
‑
access Edge Computing)可以在靠近网络边缘的数据中心提供IT服务和云计算能力，逐渐被OTT和运营商用于构建边缘业务生态的必要基础设施。然而MEC部署在网络边缘，环境复杂，基础设施及应用归属不同所有方，因此对数据处理的可信及隐私保护提出了新的要求。一方面，一些业务处理涉及到敏感数据，如人脸识别、位置数据、生产数据等，在通用x86构建的共用虚拟环境存在隐私泄露风险；另一方面，对于在园区本地处理的数据，需要对本地数据和第三方算法提供双向保护。基于TEE(可信执行环境，Trusted Execution Environment)的机密计算被认为可以用来实现“数据可用不可得”的具备可扩展性的方案。通过将敏感数据和程序代码以密文形式输入TEE完成计算，并将计算结果输出，从而保护了数据和代码的隐私。
[0003]然而MEC在对IaaS(包括VM或者Docker)资源进行编排时，存在如下问题：MEC主机不能将自身是否支持TEE、以及TEE功能是否开启、支持何种TEE类型等信息告知VIM(网络功能虚拟化基础设施管理模块或虚拟化基础设施管理器，Virtualized Infrastructure Managers)及上层MEO(多接入边缘计算编排器，MEC orchestrator)；MEO在进行资源编排时，一方面MEC APP Descriptor中没有对TEE需求描述，另一方面MEO没有对TEE资源编排的亲和性处理；涉及到使用TEE的远程认证，MEC未提供认证方法选择。

技术实现思路

[0004]为了至少部分解决现有技术中存在的MEC主机不支持TEE能力上报、MEO在进行资源编排时没有对TEE需求描述和对TEE资源编排的亲和性处理、MEC未提供认证方法选择等技术问题而完成了本专利技术。
[0005]根据本专利技术的一方面，提供一种多接入边缘计算中的可信执行环境TEE资源编排方法，所述方法包括以下步骤：S1、多接入边缘计算编排器MEO接收多接入边缘计算MEC主机通过所述MEC主机归属管理的网络功能虚拟化基础设施管理模块VIM通报的所述MEC主机的TEE能力信息；S2、所述MEO根据接收到的所述TEE能力信息并基于用户侧的TEE能力需求，选择具有TEE能力的MEC主机归属管理的VIM及关联的MEPM(移动边缘平台管理器，Mobile edge platform manager)，并向所述MEPM发起MEP(移动边缘平台)APP实例化请求，在所述具有TEE能力的MEC主机中分配资源，以实现所述MEO的TEE资源编排；S3、所述具有TEE能力的MEC主机在TEE能力开启后进行TEE实例远程验证；S4、第三方应用对TEE应用实例环境进
行验证。
[0006]可选地，所述TEE能力信息包括TEE支持与否情况、TEE支持类型、TEE开启情况和TEE(必要)配置信息情况，并且步骤S1包括：S11、所述MEC主机将所述TEE能力信息通报给所述VIM；S12、所述VIM记录所述TEE能力信息，并将所述TEE能力信息通报给所述MEO；
[0007]S13、所述MEO接收所述TEE能力信息，并记录所述MEC主机的所述TEE支持与否情况以及关于所述VIM的信息。
[0008]可选地，所述用户侧的TEE能力需求通过在MEC APP Descriptor的描述文件中增加TEE相关描述要求来提供。
[0009]可选地，步骤S2包括：S201、所述MEO接收OSS(操作支持系统，Operations Support System)发送的MEC APP实例化请求；S202、所述MEO检查所述OSS发送的包括所述描述文件的MEC APP package配置，解析所述描述文件中资源需求及所述TEE能力需求，选择具有TEE能力的MEC主机归属管理的VIM及关联的MEPM；S203、所述MEO向所述MEPM发起MEP APP实例化请求；S204、所述MEPM向所述VIM发送资源分配请求，并在请求消息中携带MEC APP软件镜像信息；S205、所述VIM基于所述MEPM的请求在所述具有TEE能力的MEC主机上分配相应资源、下载MEC APP软件镜像并在所述具有TEE能力的MEC主机上实例化镜像；S206、所述VIM向所述MEPM发送资源分配请求响应；S207、所述MEPM向MEP(移动边缘平台，Mobile edge platform)发送对MEC APP的服务配置请求，其中所述服务配置请求包括TEE特定支持库文件和TEE远程验证配置；S208、所述MEP对所述MEC APP进行服务配置；S209、所述MEP向所述MEPM发送服务配置请求响应；S210、所述MEPM向所述MEO发送MEP APP实例化结果响应，并将资源分配情况上报所述MEO；S211、所述MEO向所述OSS返回所述MEC APP实例化结果响应。
[0010]可选地，步骤S3包括：S301、所述具有TEE能力的MEC主机在TEE能力开启后，向所述VIM发送认证信息和CA证书申请信息，所述认证信息至少包括CPU ID、TEE实例ID和TEE实例公钥；S302、所述VIM将所述认证信息和所述CA证书申请信息转发给所述VIM归属管理的MEO；S303、所述MEO将所述认证信息和所述CA证书申请信息转发给TEE厂商服务器；S304、所述TEE厂商服务器基于TEE的出厂信息，验证所述认证信息表示的TEE实例是否为真实TEE环境，并获得远程认证结果；如果所述远程认证结果为通过，则为所述具有TEE能力的MEC主机提供的所述TEE公钥签发CA证书；S305、所述TEE厂商服务器将所述远程认证结果和所述CA证书返回给所述MEO；S306、所述MEO检查所述远程认证结果，并将所述CA证书在本地保存；S307、所述MEO将所述远程认证结果和所述CA证书返回给所述VIM；S308、所述VIM将所述远程认证结果和所述CA证书返回给所述具有TEE能力的MEC主机；S309、所述具有TEE能力的MEC主机在本地保存所述CA证书。
[0011]可选地，在步骤S3中，当所述第三方应用与所述TEE应用实例处于相同的MEC环境中时，步骤S4包括：S411、所述TEE应用实例在本地生成认证report，并将所述认证report发送给所述第三方应用；S412、所述第三方应用向其归属管理的MEP发送所述认证report以请求认证；S413、所述MEP向其归属管理的MEPM发送所述认证report以请求认证；本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种多接入边缘计算中的可信执行环境TEE资源编排方法，其特征在于，包括以下步骤：S1、多接入边缘计算编排器MEO接收多接入边缘计算MEC主机通过所述MEC主机归属管理的网络功能虚拟化基础设施管理模块VIM通报的所述MEC主机的TEE能力信息；S2、所述MEO根据接收到的所述TEE能力信息并基于用户侧的TEE能力需求，选择具有TEE能力的MEC主机归属管理的VIM及关联的移动边缘平台管理器MEPM，并向所述MEPM发起移动边缘平台MEP APP实例化请求，在所述具有TEE能力的MEC主机中分配资源，以实现所述MEO的TEE资源编排；S3、所述具有TEE能力的MEC主机在TEE能力开启后进行TEE实例远程验证；S4、第三方应用对TEE应用实例环境进行验证。2.根据权利要求1所述的多接入边缘计算中的TEE资源编排方法，其特征在于，所述TEE能力信息包括TEE支持与否情况、TEE支持类型、TEE开启情况和TEE配置信息情况，并且步骤S1包括：S11、所述MEC主机将所述TEE能力信息通报给所述VIM；S12、所述VIM记录所述TEE能力信息，并将所述TEE能力信息通报给所述MEO；S13、所述MEO接收所述TEE能力信息，并记录所述MEC主机的所述TEE支持与否情况以及关于所述VIM的信息。3.根据权利要求1所述的多接入边缘计算中的TEE资源编排方法，其特征在于，所述用户侧的TEE能力需求通过在MEC APP Descriptor的描述文件中增加TEE相关描述要求来提供。4.根据权利要求3所述的多接入边缘计算中的TEE资源编排方法，其特征在于，步骤S2包括：S201、所述MEO接收操作支持系统OSS发送的MEC APP实例化请求；S202、所述MEO检查所述OSS发送的包括所述描述文件的MEC APP package配置，解析所述描述文件中资源需求及所述TEE能力需求，选择具有TEE能力的MEC主机归属管理的VIM及关联的MEPM；S203、所述MEO向所述MEPM发起MEP APP实例化请求；S204、所述MEPM向所述VIM发送资源分配请求，并在请求消息中携带MEC APP软件镜像信息；S205、所述VIM基于所述MEPM的请求在所述具有TEE能力的MEC主机上分配相应资源、下载MEC APP软件镜像并在所述具有TEE能力的MEC主机上实例化镜像；S206、所述VIM向所述MEPM发送资源分配请求响应；S207、所述MEPM向MEP发送对MEC APP的服务配置请求，其中所述服务配置请求包括TEE特定支持库文件和TEE远程验证配置；S208、所述MEP对所述MEC APP进行服务配置；S209、所述MEP向所述MEPM发送服务配置请求响应；S210、所述MEPM向所述MEO发送MEP APP实例化结果响应，并将资源分配情况上报所述MEO；S211、所述MEO向所述OSS返回MEC APP实例化结果响应。
5.根据权利要求1所述的多接入边缘计算中的TEE资源编排方法，其特征在于，步骤S3包括：S301、所述具有TEE能力的MEC主机在TEE能力开启后，向所述VIM发送认证信息和CA证书申请信息，所述认证信息至少包括CPUID、TEE实例ID和TEE实例公钥；S302、所述VIM将所述认证信息和所述CA证书申请信息转发给所述VIM归属管理的MEO；S303、所述MEO将所述认证信息和所述CA证书申请信息转发给TEE厂商服务器；S304、所述TEE厂商服务器基于TEE的出厂信息，验证所述认证信息表示的TEE实例是否为真实TEE环境，并获得远程认证...

【专利技术属性】
技术研发人员：薛淼，任杰，任梦璇，马少武，
申请(专利权)人：中国联合网络通信集团有限公司，
类型：发明
国别省市：