边缘计算中的TEE资源编排方法、系统、设备及存储介质与流程

本发明涉及云计算，尤其涉及一种多接入边缘计算中的tee资源编排方法、一种多接入边缘计算中的tee资源编排系统、一种tee资源编排设备以及一种计算机可读存储介质。

背景技术：

1、随着5g的部署，尤其是5g专网的部署，数据在网络边缘处理的需求增加。一方面是特定业务低时延要求，要求业务提供敏捷快速反应，另一方面是数据管理政策需求，使得业务数据应在园区内处理。mec(多接入边缘计算，multi-access edge computing)可以在靠近网络边缘的数据中心提供it服务和云计算能力，逐渐被ott和运营商用于构建边缘业务生态的必要基础设施。然而mec部署在网络边缘，环境复杂，基础设施及应用归属不同所有方，因此对数据处理的可信及隐私保护提出了新的要求。一方面，一些业务处理涉及到敏感数据，如人脸识别、位置数据、生产数据等，在通用x86构建的共用虚拟环境存在隐私泄露风险；另一方面，对于在园区本地处理的数据，需要对本地数据和第三方算法提供双向保护。基于tee(可信执行环境，trusted execution environment)的机密计算被认为可以用来实现“数据可用不可得”的具备可扩展性的方案。通过将敏感数据和程序代码以密文形式输入tee完成计算，并将计算结果输出，从而保护了数据和代码的隐私。

2、然而mec在对iaas(包括vm或者docker)资源进行编排时，存在如下问题：mec主机不能将自身是否支持tee、以及tee功能是否开启、支持何种tee类型等信息告知vim(网络功能虚拟化基础设施管理模块或虚拟化基础设施管理器，virtualized infrastructuremanagers)及上层meo(多接入边缘计算编排器，mec orchestrator)；meo在进行资源编排时，一方面mec app descriptor中没有对tee需求描述，另一方面meo没有对tee资源编排的亲和性处理；涉及到使用tee的远程认证，mec未提供认证方法选择。

技术实现思路

1、为了至少部分解决现有技术中存在的mec主机不支持tee能力上报、meo在进行资源编排时没有对tee需求描述和对tee资源编排的亲和性处理、mec未提供认证方法选择等技术问题而完成了本发明。

2、根据本发明的一方面，提供一种多接入边缘计算中的可信执行环境tee资源编排方法，所述方法包括以下步骤：s1、多接入边缘计算编排器meo接收多接入边缘计算mec主机通过所述mec主机归属管理的网络功能虚拟化基础设施管理模块vim通报的所述mec主机的tee能力信息；s2、所述meo根据接收到的所述tee能力信息并基于用户侧的tee能力需求，选择具有tee能力的mec主机归属管理的vim及关联的mepm(移动边缘平台管理器，mobileedge platform manager)，并向所述mepm发起mep(移动边缘平台)app实例化请求，在所述具有tee能力的mec主机中分配资源，以实现所述meo的tee资源编排；s3、所述具有tee能力的mec主机在tee能力开启后进行tee实例远程验证；s4、第三方应用对tee应用实例环境进行验证。

3、可选地，所述tee能力信息包括tee支持与否情况、tee支持类型、tee开启情况和tee(必要)配置信息情况，并且步骤s1包括：s11、所述mec主机将所述tee能力信息通报给所述vim；s12、所述vim记录所述tee能力信息，并将所述tee能力信息通报给所述meo；

4、s13、所述meo接收所述tee能力信息，并记录所述mec主机的所述tee支持与否情况以及关于所述vim的信息。

5、可选地，所述用户侧的tee能力需求通过在mec app descriptor的描述文件中增加tee相关描述要求来提供。

6、可选地，步骤s2包括：s201、所述meo接收oss(操作支持系统，operations supportsystem)发送的mec app实例化请求；s202、所述meo检查所述oss发送的包括所述描述文件的mec app package配置，解析所述描述文件中资源需求及所述tee能力需求，选择具有tee能力的mec主机归属管理的vim及关联的mepm；s203、所述meo向所述mepm发起mep app实例化请求；s204、所述mepm向所述vim发送资源分配请求，并在请求消息中携带mec app软件镜像信息；s205、所述vim基于所述mepm的请求在所述具有tee能力的mec主机上分配相应资源、下载mec app软件镜像并在所述具有tee能力的mec主机上实例化镜像；s206、所述vim向所述mepm发送资源分配请求响应；s207、所述mepm向mep(移动边缘平台，mobile edgeplatform)发送对mec app的服务配置请求，其中所述服务配置请求包括tee特定支持库文件和tee远程验证配置；s208、所述mep对所述mec app进行服务配置；s209、所述mep向所述mepm发送服务配置请求响应；s210、所述mepm向所述meo发送mep app实例化结果响应，并将资源分配情况上报所述meo；s211、所述meo向所述oss返回所述mec app实例化结果响应。

7、可选地，步骤s3包括：s301、所述具有tee能力的mec主机在tee能力开启后，向所述vim发送认证信息和ca证书申请信息，所述认证信息至少包括cpu id、tee实例id和tee实例公钥；s302、所述vim将所述认证信息和所述ca证书申请信息转发给所述vim归属管理的meo；s303、所述meo将所述认证信息和所述ca证书申请信息转发给tee厂商服务器；s304、所述tee厂商服务器基于tee的出厂信息，验证所述认证信息表示的tee实例是否为真实tee环境，并获得远程认证结果；如果所述远程认证结果为通过，则为所述具有tee能力的mec主机提供的所述tee公钥签发ca证书；s305、所述tee厂商服务器将所述远程认证结果和所述ca证书返回给所述meo；s306、所述meo检查所述远程认证结果，并将所述ca证书在本地保存；s307、所述meo将所述远程认证结果和所述ca证书返回给所述vim；s308、所述vim将所述远程认证结果和所述ca证书返回给所述具有tee能力的mec主机；s309、所述具有tee能力的mec主机在本地保存所述ca证书。

8、可选地，在步骤s3中，当所述第三方应用与所述tee应用实例处于相同的mec环境中时，步骤s4包括：s411、所述tee应用实例在本地生成认证report，并将所述认证report发送给所述第三方应用；s412、所述第三方应用向其归属管理的mep发送所述认证report以请求认证；s413、所述mep向其归属管理的mepm发送所述认证report以请求认证；s414、所述mepm向其归属管理的meo发送所述认证report以请求认证；所述meo基于本地存储的ca证书，验证所述认证report中的签名信息，完成远程认证，并向所述mepm返回远程认证结果；s415、所述mepm向所述mep返回所述远程认证结果；s416、所述mep向所述第三方应用返回所述远程认证结果；s417、所述第三方应用根据所述远程认证结果，判断与所述tee应用实例是否继续交互；如果所述远程认证结果为通过，则所述第三方应用与所述tee应用实例建立可信通信继续交互。。

9、可选地，当所述第三方应用与所述tee应用实例不在同一个mec环境时，步骤s4包括：s421、所述tee应用实例在本地生成认证report，并将所述认证report发送给所述第三方应用；s422、所述第三方应用向meo发送所述认证report以请求认证；所述meo基于本地存储的ca证书，验证所述认证report中的签名信息，完成远程认证；s423、所述meo向所述第三方应用返回认证结果。

10、根据本发明的另一方面，提供一种多接入边缘计算中的可信执行环境tee资源编排系统，所述系统包括：可信执行环境mep、用于管理所述mep的移动边缘平台管理器mepm、多接入边缘计算mec主机、用于管理所述mec主机的网络功能虚拟化基础设施管理模块vim、以及多接入边缘计算编排器meo，所述meo用于接收所述mec主机通过所述mec主机归属管理的vim通报的所述mec主机的tee能力信息；所述meo根据接收到的所述tee能力信息并基于用户侧的tee能力需求，选择具有tee能力的mec主机归属管理的vim及关联的mepm，并向所述mepm发起mec app实例化请求，在所述具有tee能力的mec主机中分配资源，以实现所述meo的tee资源编排；并且所述具有tee能力的mec主机用于在tee能力开启后进行tee实例远程验证，并且第三方应用能够对tee应用实例环境进行远程认证。

11、根据本发明的又一方面，提供一种tee资源编排设备，包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行前述多接入边缘计算中的tee资源编排方法。

12、根据本发明的再一方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，所述处理器执行前述多接入边缘计算中的tee资源编排方法。

13、本发明提供的技术方案可以包括以下有益效果：

14、本发明提供的边缘计算中的tee资源编排方法，通过在mec增加支持tee的计算资源编排能力，使得边缘业务在部署app时，可以将对数据和代码隐私保护要求高的业务处理功能或者模块部署在支持tee的基础设施资源中，从而保护在复杂环境部署的mec中业务安全及数据隐私。

15、本发明的其它特征和优点将在随后的说明书中阐述，并且，部分地从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。