CN111756542A - 用于对边缘设备信任链进行加速编排和证明的技术 - Google Patents
用于对边缘设备信任链进行加速编排和证明的技术 Download PDFInfo
- Publication number
- CN111756542A CN111756542A CN202010181408.9A CN202010181408A CN111756542A CN 111756542 A CN111756542 A CN 111756542A CN 202010181408 A CN202010181408 A CN 202010181408A CN 111756542 A CN111756542 A CN 111756542A
- Authority
- CN
- China
- Prior art keywords
- certificate
- component
- edge device
- edge
- device apparatus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 230000008569 process Effects 0.000 claims abstract description 27
- 230000015654 memory Effects 0.000 claims description 32
- 238000003860 storage Methods 0.000 claims description 16
- 230000004044 response Effects 0.000 claims description 13
- 230000002776 aggregation Effects 0.000 claims description 9
- 238000004220 aggregation Methods 0.000 claims description 9
- 238000012795 verification Methods 0.000 claims description 8
- 230000000694 effects Effects 0.000 claims description 5
- 230000006870 function Effects 0.000 description 17
- 238000004891 communication Methods 0.000 description 15
- 238000013500 data storage Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000001133 acceleration Effects 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000013461 design Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 230000004931 aggregating effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- 230000006837 decompression Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000007613 environmental effect Effects 0.000 description 1
- 239000004744 fabric Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000013403 standard screening design Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/20—Network management software packages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5019—Ensuring fulfilment of SLA
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
- H04L67/63—Routing a service request depending on the request content or context
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0895—Configuration of virtualised networks or elements, e.g. virtualised network function or OpenFlow elements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
用于加速编排和证明的技术包括多个边缘设备。边缘装置设备对其组件的每一个执行证明过程,以生成组件证书。边缘装置设备生成装置证书,该装置证书指示组件证书和边缘装置设备的当前利用,并且向依赖方提供装置证书。依赖方可以是边缘编排器设备。边缘编排器设备接收具有服务水平协议要求的工作负载调度请求。边缘编排器设备验证装置证书,并且基于装置证书来确定是否满足服务水平协议要求。如果满足,则将工作负载调度到边缘装置设备。通过边缘装置设备进行的装置证书的证明和生成可以由边缘装置设备的加速器执行。描述并要求保护其他实施例。
Description
背景技术
某些云计算架构可以提供功能即服务(FaaS)服务。典型的FaaS系统允许客户端按需调用特定的功能,而不需要执行专用的服务过程。FaaS功能可以由由多个组件组成的装置来执行。执行FaaS服务的用户数量或用户量可以是无限制的。
附图说明
在附图中,以示例方式而不是以限制方式例示出本文中所描述的概念。为说明简单和清楚起见,附图中所例示出的元件不一定是按比例绘制的。在认为适当的情况下,已在多个附图之间重复了附图标记以指示对应的或类似的元件。
图1是用于加速的编排和证明的系统的至少一个实施例的简化框图;
图2是图1的系统的各实施例的至少一个实施例的简化框图;
图3是可以由图1-2的系统的边缘装置设备执行的用于聚合证明的方法的至少一个实施例的简化流程图;
图4是可以由图1-2的系统的边缘编排设备执行的用于证明和编排的方法的至少一个实施例的简化流程图;以及
图5是可包括图1-2的系统的边缘架构的至少一个实施例的简化框图。
具体实施方式
尽管本公开的概念易于具有各种修改和替代形式,但是,本公开的特定实施例已作为示例在附图中示出并将在本文中详细描述。然而,应当理解,没有将本公开的概念限制于所公开的特定形式的意图,而相反,意图旨在涵盖符合本公开和所附权利要求书的所有修改、等效方案和替代方案。
说明书中对“一个实施例”、“实施例”、“说明性实施例”等的引用指示所描述的实施例可包括特定特征、结构或特性,但是,每一个实施例可包括或可以不一定包括该特定特征、结构或特性。此外,此类短语不一定是指同一个实施例。进一步地,当结合实施例来描述特定的特征、结构或特性时,认为结合无论是否被明确描述的其他实施例来实施此类特征、结构或特性均落在本领域技术人员的知识范围之内。附加地,应当领会,以“A、B和C中的至少一者”的形式包括在列表中的术语可意指(A);(B);(C);(A和B);(A和C);(B和C);或(A、B和C)。类似地,以“A、B或C中的至少一者”的形式列出的项可以意指(A);(B);(C);(A和B);(A和C);(B和C);或(A、B和C)。
在一些情况下,所公开的实施例能以硬件、固件、软件或其任何组合来实现。所公开的多个实施例也可被实现为由暂态或非暂态机器可读(例如,计算机可读)存储介质承载或存储于其上的可由一个或多个处理器读取并执行的指令。此外,所公开的实施例最初可被编码为(例如,在机器可读存储介质上编码的)初步指令的集合,该初步指令的集合可需要初步处理操作以使指令准备好在目的地设备上执行。初步处理可包括将指令与设备上存在的数据进行组合,将指令转换为不同的格式,执行压缩、解压缩、加密和/或解密,将包括指令的不同部分的多个文件进行组合,将指令与设备(诸如库、操作系统等)上存在的其他代码进行集合或类似的操作。初步处理可以由源计算设备(例如,将要发送指令的设备)、目的地计算设备(例如,将要执行指令的设备)或中间设备来执行。机器可读存储介质可被具体化为用于以可由机器读取的形式存储或传送信息的任何存储设备、机制或其他物理结构(例如,易失性或非易失性存储器、介质盘、或其他介质设备)。
在附图中,一些结构或方法特征可按特定布置和/或排序示出。然而,应当领会,此类特定布置和/或排序可以不是必需的。相反,在一些实施例中,能以与在示例性附图中示出的不同的方式和/或次序来布置此类特征。另外,在特定附图中包括结构或方法特征不意味着暗示在所有实施例中都需要此类特征,并且在一些实施例中,可以不包括此类特征,或此类特征可以与其他特征相结合。
现在参考图1,用于加速编排和证明的系统100包括多个边缘设备102和多个端点设备104。在使用中,如下面进一步描述的,可以将一个或多个边缘设备102组合到边缘装置设备102中或以其他方式建立边缘装置设备102,该边缘装置设备102用于执行功能即服务(FaaS)请求或其他服务。边缘装置设备102使用加速逻辑来生成装置证书。装置证书证明边缘装置设备102的一个或多个组件的配置和利用。边缘装置设备102向编排器(诸如边缘编排器设备102)提供装置证书。边缘编排器设备102验证装置证书,并且将装置证书与和租户工作负载相关联的服务水平协议(SLA)要求进行比较。因此,系统100允许在低等待时间的情况下验证边缘装备的组件的完整信任根。此外,系统100允许在发布SLA之前对工作负载计划进行验证,从而将信任根验证扩展到工作负载调度中。
每个边缘设备102可被具体化为能够执行本文所描述的功能的任何类型的设备。例如,边缘设备102可被具体化为但不限于,计算机、服务器、工作站、多处理器系统、分布式计算设备、交换机、路由器、网络设备、虚拟化系统(例如,在诸如(多个)虚拟机或(多个)容器之类的(多个)虚拟化环境中执行的一个或多个功能,其中底层的硬件资源对于在(多个)虚拟化环境中执行的软件表现为物理硬件,但通过抽象层与软件分开)和/或消费者电子设备。附加地或替代地,边缘设备102可被具体化为一个或多个计算撬板、存储器撬板或其他机架、撬板、计算底座或物理上分解的计算设备的其他组件。如图1中所示,说明性边缘设备102包括计算引擎120、I/O子系统122、存储器124、数据存储设备126以及通信子系统128。另外,在一些实施例中,说明性组件中的一个或多个可被结合到另一组件中,或以其他方式形成另一组件的部分。例如,在一些实施例中,存储器124或其部分可被并入在计算引擎120中。
计算引擎120可被具体化为能够执行本文所描述的功能的任何类型的计算引擎。例如,计算引擎120可被具体化为(多个)单核或多核处理器、数字信号处理器、微控制器、场可编程门阵列(FPGA)、或其他可配置电路、专用集成电路(ASIC)或者其他处理器或处理/控制电路或其虚拟化版本。类似地,存储器124可被具体化为能够执行本文所描述功能的任何类型的易失性或非易失性存储器或数据存储。在操作中,存储器124可以存储在边缘设备102的操作过程中使用的各种数据和软件,诸如操作系统、应用、程序、库以及驱动程序。如图所示,存储器124可经由I/O子系统122通信地耦合到计算引擎120,该I/O子系统122可被具体化为用于促进与边缘设备102的计算引擎120、存储器124以及其他组件之间的输入/输出操作的电路和/或组件。例如,I/O子系统122可被具体化为或以其他方式包括存储器控制器中枢、输入/输出控制中枢、传感器中枢、主机控制器、固件设备、通信链路(即,点对点链路、总线链路、线路、缆线、光导、印刷电路板迹线等)和/或用于促进输入/输出操作的其他组件和子系统。在一些实施例中,存储器124可以例如经由集成的存储器控制器中枢直接耦合到计算引擎120。另外,在一些实施例中,I/O子系统122可以形成片上系统(SoC)的一部分,并且可连同边缘设备102的计算引擎120、存储器124、加速器130和/或其他组件一起被合并在单个集成电路芯片上。
数据存储设备126可被具体化为被配置成用于数据的短期或长期存储的任何类型的一个或多个设备,诸如例如存储器设备和电路、存储器卡、硬盘驱动器、固态驱动器、非易失性闪存或其他数据存储设备。通信子系统128可被具体化为能够通过网络114实现边缘设备102与其他远程设备之间的通信的任何通信电路、设备或其集合。通信子系统128可被配置成用于使用任何一个或多个通信技术(例如,有线或无线通信)和相关联的协议(例如,以太网、
WiMAX、3G、4G LTE、5G等)来实现此类通信。
加速器130可被具体化为现场可编程门阵列(FPGA)、专用集成电路(ASIC)、协处理器或能够执行加速功能(例如,加速应用功能、加速网络功能或其他加速功能)的其他数字逻辑设备。说明性地,加速器130是FPGA,其可被具体化为包括可编程的数字逻辑资源的集成电路,该数字逻辑资源可以在制造后配置。例如,FPGA可包括通过可配置的数据交换进行通信的可配置的逻辑块阵列。加速器130可以经由诸如外围总线(例如,PCI Express总线)或处理器间互连(例如,芯片内互连(IDI)或快速路径互连(QPI)))或经由任何其他适当的互连耦合至计算引擎120。在一些实施例中,加速器130可与边缘设备102的一个或多个其他组件(诸如通信子系统128的网络接口控制器(NIC))合并或以其他方式耦合。
每个端点设备104可被具体化为能够执行本文所述功能的任何类型的计算或计算机设备,包括但不限于计算机、移动计算设备、可穿戴计算设备、网络设施、web装置、分布式计算系统、自主车辆、自主飞行器、物联网(IoT)传感器、IoT网关、工业自动化设备、基于处理器的系统和/或消费类电子设备。这样,每个端点设备104可包括与边缘设备102类似的组件和特征,诸如计算引擎120、I/O子系统122、存储器124、数据存储126、通信子系统128和/或各种外围设备。每个端点设备104的那些各个组件可与边缘设备102的相对应组件类似,对边缘设备102的相对应组件的描述适用于端点设备104的相对应组件,并且为了本说明清楚而不再重复。
如以下更详细讨论的,边缘设备102和端点设备104可被配置成通过网络106在彼此之间传送和接收数据和/或与系统100的其他设备传送和接收数据。网络106可被具体化为任何数量的各种有线和/或无线网络、或其混合或组合。例如,网络106可被具体化为或以其他方式包括:移动接入网、边缘网络基础结构、有线或无线局域网(LAN)和/或有线或无线广域网(WAN)。由此,网络106可包括任何数量的附加设备,诸如用于促进系统100的设备之间的通信的附加的基站、接入点、计算机、路由器和交换机。在说明性实施例中,网络106被具体化为边缘网络结构。
现在参考图2,在说明性实施例中,每个边缘装置设备102a都在操作期间建立环境200。说明性环境200包括加速器130和一个或多个组件206。加速器130包括证明管理器202和平台验证器204。每个组件206包括证明器208。环境200的各组件可被具体化为硬件、固件、软件或其组合。如此,在一些实施例中,环境200的组件中的一个或多个可被具体化为电气设备的电路或集合(例如,证明管理器电路202、平台验证器电路204和/或组件电路206)。应当理解,在此类实施例中,证明管理器电路202、平台验证器电路204和/或组件电路206中的一个或多个可以形成计算引擎120、I/O子系统、存储器124、数据存储设备126、加速器130和/或边缘设备102的其他组件的一部分。另外,在一些实施例中,说明性组件中的一个或多个可形成另一组件的部分和/或说明性组件中的一个或多个可彼此独立。
证明管理器202被配置成标识包含在边缘设备102a中的组件206。证明管理器202进一步被配置成对边缘装置设备102a的每个组件206执行证明过程。证明过程为每个组件206生成一个组件证书。组件证书指示组件206的固件210和/或组件206的硬件或固件配置212。证明管理器202进一步被配置成接收来自每个组件206的认证的遥测214。认证的遥测214指示该组件206的当前利用。
平台验证器204被配置成生成装置证书。装置证书指示组件206的聚合组件证书和边缘装置设备102a的当前利用。平台验证器204进一步被配置成向依赖方提供装置证书。例如,依赖方可以是远程边缘编排器设备102b或平台活动的信任根(例如,加速器130)。例如,平台活动的信任根可以是平台验证器204,其中平台验证器204在诸如FPGA之类的加速器130中实现。
每个组件206可被具体化为计算引擎120或其他计算平台(例如,处理器、SoC、或其他计算元件和主板或其他相关联的电路板)、存储器设备124(例如,DIMM或其他存储器元件)、数据存储设备126、加速器130、功能块、IP块或边缘装置设备102的另一组件。在一些实施例中,组件206可包括一个或多个分解的组件,诸如存储器撬板、存储撬板、计算撬板、加速器撬板或其他机架规模设计分解的组件。组件206包括证明器208,该证明器被配置成执行包括生成组件206的组件证书的证明过程。组件证书指示组件的固件210、硬件或固件配置212和/或认证的遥测214。例如,组件证书可包括或基于指示固件210和/或配置212的散列值。配置212可以指示硬件特性、固件特性或组件206的其他配置。例如,组件证书可以指示组件206提供的可信执行环境,包括可信执行环境的一个或多个安全属性。
仍参考图2,在说明性实施例中,边缘编排器设备102b在操作期间建立环境220。说明性环境220包括工作负载编排器222和聚合证明管理器224。环境220的各组件可被具体化为硬件、固件、软件或其组合。这样,在一些实施例中,环境220的组件中的一个或多个可被具体化为电子设备的电路或集合(例如,工作负载编排器电路222和/或聚合证明管理器电路224)。应当理解,在此类实施例中,一个或多个工作负载编排器电路222和/或聚合证明管理器电路224可以构成计算引擎120、I/O子系统122、加速器130和/或边缘设备102的其他组件的一部分。另外,在一些实施例中,说明性组件中的一个或多个可形成另一组件的部分和/或说明性组件中的一个或多个可彼此独立。
聚合证明管理器224被配置成接收来自边缘装置设备102a的装置证书。如上所述,装置证书指示聚合组件证书和边缘装置设备102a的当前利用。聚合组件证书指示边缘装置设备102a的每个组件206的配置,包括固件210和/或配置210。聚合证明管理器224进一步被配置成验证装置证书。验证装置证书可包括将装置证书与指示边缘装置设备102a的每个组件206的预期配置210的预期证书进行比较。
工作负载编排器222被配置成接收指示与工作负载相关联的服务水平协议(SLA)要求的工作负载调度请求。工作负载编排器222进一步被配置成基于装置证书来确定边缘装置设备102a是否满足SLA要求,如果满足,则将工作负载调度到边缘装置设备102a。例如,工作负载编排器222可以评估组件206提供的可信执行环境的安全属性,以确定边缘装置设备102a是否满足SLA要求。
附加地或可替代地,在一些实施例中,聚合证明管理器224可被配置成执行类似于证明管理器202和/或平台验证器204的功能,从而管理边缘装置设备102之间的证明(类似于组件206之间在设备级别上的证明)。在那些实施例中,边缘装置设备102的证明管理器202可能向聚合证明管理器224表现为好像证明管理器202是证明器208。在那些实施例中,每个证明管理器202可以转发源自证明器208的证明,或者每个证明管理器202可以将证明聚合为代表(例如,来自平台验证器204的)平台验证结果发言的简化的证明声明。
现在参考图3,在使用中,边缘装置设备102a可执行用于聚合证明的方法300。应当理解,在一些实施例中,方法300的操作可由如图2所示的边缘装置设备102a的环境200的一个或多个组件(诸如加速器130)执行。方法300开始于框302,其中边缘装置设备102a标识或以其他方式选择包含在边缘装置设备102a中的组件206。在一些实施例中,在框304中,边缘装置设备102b可以选择一个或多个加速器130。在一些实施例中,在框306中,边缘装置设备102b可以选择一个或多个计算平台。每个计算平台可包括计算引擎120和相关联的主板或其他支持电路。在一些实施例中,在框308中,边缘装置设备102b可以选择一个或多个存储器或存储组件。例如,边缘装置设备102b可以选择一个或多个存储器DIMM、非易失性闪存芯片、SSD、3D XPoint存储器DIMM或其他易失性或非易失性存储器或存储组件。在一些实施例中,在框310中,边缘装置设备102b可以选择一个或多个功能块、IP块或SoC的的其他子组件或其他计算机芯片。在一些实施例中,在框312中,边缘装置设备102b可以选择一个或多个远程和/或分解的组件206。例如,边缘装置设备102b可以标识一个或多个远程边缘装置设备102,诸如存储器撬板、存储撬板、计算撬板、加速器撬板或其他机架或机架规模设计的分解的组件。
在框314中,边缘装置设备102a对边缘装置设备102a的组件206执行证明过程。在证明过程期间,在框316中,边缘装置设备102a接收来自组件206的组件证书。组件证书包括对组件206的标识和配置的可验证断言。因此,组件证书可以指示组件206的固件210版本、组件206的特定硬件或固件特性或组件206的其他属性。例如,组件证书可以指示边缘装置设备102a提供的可信执行环境的特定安全属性。安全属性可以指示对由边缘装置设备102a处理的代码或数据可用的密码或隔离保护,诸如密钥或其他敏感数据。
边缘装置设备102a和组件206可以执行任何适当的证明协议。例如,在一些实施例中,组件206可以执行由可信计算组(TCG)发布的基于隐式身份的设备证明(ImplicitIdentity Based Device Attestation)。在那些实施例中,组件206的证明器208可被具体化为可信设备标识符组合引擎(DICE)或以其他方式包括可信设备标识符组合引擎(DICE)。DICE测量组件206的第一可变代码(例如,固件210的部分或所有),并将测量与唯一的设备机密(例如,使用散列或单向函数)安全地组合来生成复合设备标识符(CDI)。组件206基于用作组件206的设备身份的CDI来导出非对称密钥对,并基于该密钥对来生成证书。在一些实施例中,组件206可以基于固件210(例如,基于可更新固件210)来导出别名密钥,并使用设备标识符来生成别名证书。因此,设备证书和别名证书指示组件206的身份(例如,唯一的设备机密)和组件206的配置(例如,固件210的部分或全部的内容)。相应地,设备证书和/或别名证书可被用作组件206的组件证书。
在框318中,边缘装置设备102a可以验证组件206的组件证书。边缘装置设备102a可以使用任何适当的验证技术来验证证书。例如,对于基于隐式身份的设备证明,边缘装置设备102a可以使用组件206的设备标识符的公钥来验证证书。公钥可以由组件206提供,并且在一些实施例中,公钥可以由可信方(诸如制造商、供应商或与组件206相关联的其他实体)进行认证。如果证书没有被成功验证,则边缘装置设备102a可能会产生错误,或以其他方式表明验证不成功。在验证成功时,方法300前进至框320。
在框320中,边缘装置设备102a可以接收来自组件206的认证的遥测214。认证的遥测214指示组件206的利用。例如,遥测214可以指示计算引擎120的处理器利用、存储器或存储利用或其他利用统计。遥测214可以由组件206认证,例如通过用组件206的设备标识符、别名标识符或其他密钥签名。边缘装置设备102a可以(例如使用装置证书)来验证认证的遥测214。
在框322中,边缘装置设备102a确定是否有附加组件206留待证明。如果是,则方法300循环回框314,以继续执行对剩余组件206的证明。如果没有附加组件,则方法300前进至框324。
在框324中,边缘装置设备102a生成装置证书。装置证书基于所有组件证书的聚合证书和边缘装置设备102a的当前利用。例如,边缘装置设备102a可以将所有组件206的证书与当前利用串接(concatenate)起来,然后在该串接上生成装置证书。
在框326中,边缘装置设备102a向依赖方提供装置证书。在一些实施例中,在框328中,边缘装置设备102a可以向远程边缘编排器设备102b提供装置证书。在一些实施例中,在框330中,边缘装置设备102b可以向另一边缘设备102提供装置证书。例如,装置证书可以被提供给另一边缘设备102的平台活动的信任根(例如,加速器)。因此,系统100可以执行嵌套的、聚合证明。在提供装置证明之后,方法300循环回框302以继续执行证明。
现在参考图4,在使用中,边缘编排器设备102b可执行用于证明和编排的方法400。应当理解,在一些实施例中,方法400的操作可由如图2所示的边缘编排器设备102b的环境220的一个或多个组件执行。方法400开始于框402,其中边缘编排器设备102b接收来自租户的工作负载调度请求。请求可以标识一个或多个虚拟机、功能即服务(FaaS)实例或要由边缘装置设备102a执行的其他工作负载。在框404中,边缘编排器设备102b接收对工作负载请求的服务水平协议(SLA)要求。SLA要求可以标识一个或多个处理能力、等待时间、存储或与工作负载相关联的其他要求。
在框406中,边缘编排器设备102b标识用于执行工作负载的边缘装置设备102a。例如,边缘编排器设备102b可以从可用的边缘设备102的池中选择边缘装置设备102a。在一些实施例中,边缘编排器设备102b可以从多个分解的组件组成边缘装置设备102a。例如,边缘编排器设备102b可以从多个计算撬板、加速器撬板、存储器撬板、存储撬板和/或其他边缘设备102组成边缘装置设备102a。
在框408中,边缘编排器设备102b接收来自边缘装置设备102a的装置证书。如上所述,装置证书指示边缘装置设备102a的组件206的聚合组件证书和边缘装置设备102a的当前利用。
在框410中,边缘编排器设备102b验证装置证书。边缘编排器设备102b可以验证边缘装置设备102a的每个组件206的组件证书,以及装置证书的利用信息。在框412中,边缘编排器设备102b可以将每个组件证书与相对应的预期证书进行比较。例如,预期证书可与边缘装置设备102a的每个特定组件206的预期的身份或预期的固件210版本相关联。在框414中,边缘编排器设备102b检查装置证书是否经过验证。如果没有,则方法400循环回框402以处理附加的工作负载请求。边缘编排器设备102b可以指示错误,或以其他方式指示装置证书未经验证。返回到框414,如果装置证书被成功验证,则方法400前进至框416。
在框416中,边缘编排器设备102b将SLA要求与认证的组件206和边缘装置设备102a的利用进行比较。例如,边缘编排器102b可以确定边缘装置设备102a的组件206是否提供SLA要求所请求的特性或特定组件。作为另一个示例,边缘编排器102b可以基于边缘装置设备102a的当前利用来确定边缘装置设备102a是否能够满足SLA要求所请求的性能或等待时间标准。在一些实施例中,在框418中,边缘编排器设备102b可以评估由边缘装置设备102a提供的可信执行环境的一个或多个安全功能。例如,计算引擎120可以提供可信执行环境,诸如
SGX安全飞地。装置证书可以指示由可信执行环境对代码、密钥或其他敏感数据提供的密码或其他隔离保护。
在框420中,边缘编排器设备102b确定边缘装置设备102a是否满足SLA要求。如果否,则方法400循环回到框402以处理附加的工作负载请求。在一些实施例中,边缘编排器设备102b可以指示错误,或以其他方式指示SLA要求无法被满足。附加地或可替代地,在一些实施例中,边缘编排器设备102b可以基于装置证书中指示的能力来建议降低SLA。返回参考框420,如果SLA要求可被满足,则方法400分支到框422,在框422中边缘编排器102b对边缘装置设备102a调度工作负载。边缘装置设备102a使用组件206执行工作负载。例如,工作负载可以在具有上述应用证书所指示的保护的可信执行环境中执行。在调度工作负载之后,方法400循环回框402,以继续处理工作负载调度请求。
现在参考图5,图500示出了可包括系统100的边缘架构。如图所示,边缘架构包括多个层级502、504、506、508。每个层级包括可以经由边缘结构与同一层级的其他节点和/或其他层级的节点通信的多个节点。如图所示,端点设备104以被包括在物/端点层级502中。物/端点层级502可包括大量端点设备104,它们是异构的,可以是移动的,并且可以在地理上分布广泛。接入/边缘层504可包括接入网络组件,诸如无线塔、接入点、基站、中间节点、网关、雾节点、中心局以及其他接入网络或边缘组件。接入/边缘层级504的组件可以分布在建筑物、小型小区、邻域或小区规模上。因此,接入/边缘层级504的组件在物理上可以相对接近于物/端点层级502的组件。核心网络层级506可包括核心网络路由器、网络网关、服务器和其他更集中的计算设备。核心网络层级506的组件可以区域性地或全国性地分布。云/互联网层级508可包括互联网骨干路由器、云服务提供商、数据中心和其他云资源。云/互联网层级508的组件可以全局地分布。如图所示,边缘设备102(例如,边缘装置设备102a和/或边缘编排器设备102b)可被包括在接入/边缘层级504、核心网络层级506和/或云/互联网层级508的所有中。
如图所示,根据从全局的、基于云的组件到本地的端点设备的逻辑梯度510来组织边缘架构。与更接近网络核心(即,更接近云/互联网层级508)的组件相比,更接近网络边缘(即,更接近端点层级502)的组件可能更小但数量更多,具有更少的处理资源和更低的功耗。然而,与遍历更接近网络核心的层级的通信相比,更接近网络边缘的组件之间的网络通信可能更快和/或具有更低的等待时间。相同的逻辑梯度510可以应用于某一层级内的组件。例如,接入/边缘层504可包括众多、广泛分布的基站、街道橱柜和其他接入节点以及数量较少但更复杂的中心局或其他聚合节点。因此,与传统的基于云计算的FaaS架构相比,通过在接入/边缘层级504或接近网络边缘(例如,逻辑上接近端点设备104)的其他组件中包括密钥高速缓存功能,系统100可以改善等待时间和性能。
除了上述的移动边缘计算实施方案之外,应当理解,前述系统和方法可以在其中布置有设备并且设备以类似于参考图1描述的方式进行互操作的任何环境(例如,智能工厂、智能城市、智能建筑等)中实现,尽管各个设备的名称在不同的实施方案中可能有所不同。例如,在智能工厂中,以上系统和方法可以提高执行一个或多个制造操作的准确性、效率和/或安全性,特别是在其中实时或接近实时(例如,低等待时间非常重要)执行操作的情况下。在智能城市中,以上系统和方法可以提高交通控制系统、环境监测系统和/或其他自动化或半自动化系统的操作的准确性、效率和/或安全性。同样,在智能建筑中,以上公开可应用于改善依赖传感器来收集所收集的信息并对其采取行动的任何系统(例如,威胁检测和疏散管理系统、视频监控系统、电梯控制系统等)的操作。
应当理解,在一些实施例中,方法300和/或400可被具体化为存储在计算机可读介质上的各种指令,这些指令可由边缘设备102的计算引擎120、I/O子系统122、加速器130和/或其他组件执行,以使边缘设备102执行相应的方法300和/或400。计算机可读介质可被具体化为能够被边缘设备102读取的任何类型的介质,包括但不限于边缘设备102的存储器124、数据存储设备126、固件设备、其他存储器或数据存储设备、可由边缘设备102的外围设备读取的便携式介质、和/或其他介质。
示例
下面提供了本文中所公开的技术的说明性示例。这些技术的实施例可包括下文所描述的示例中的任何一个或多个以及其任何组合。
示例1包括一种用于装置证明的边缘装置设备,该边缘装置设备包括:证明管理器,用于对边缘装置设备的组件执行证明过程,以生成组件证书;以及平台验证器,用于:(i)生成装置证书,其中装置证书指示组件证书和边缘装置设备的当前利用,以及(ii)向依赖方提供装置证书。
示例2包括示例1的主题,并且其中边缘装置设备包括加速器,并且其中加速器包括证明管理器和平台验证器。
示例3包括示例1和2中任一项的主题,并且其中平台验证器进一步用于从组件接收认证的遥测,其中认证的遥测指示组件的当前利用;以及生成装置证书包括基于组件的当前利用来生成装置证书。
示例4包括示例1-3中任一项的主题,其中组件包括加速器、计算平台、存储器组件、存储组件或边缘装置设备的功能块。
示例5包括示例1-4中任一项的主题,并且其中组件包括边缘装置设备的分解资源。
示例6包括示例1-5中任一项的主题,并且其中证明管理器进一步用于:(i)标识边缘装置设备的多个组件,其中多个组件包括组件,以及(ii)对多个组件的每个组件执行证明过程,以生成多个组件的每个组件的组件证书;以及装置证书指示多个组件的每个组件的组件证书。
示例7包括示例1-6中任一项的主题,并且其中执行证明过程包括接收指示由该组件提供的可信执行环境的组件证书。
示例8包括示例1-7中任一项的主题,并且其中组件证书指示可信执行环境的安全属性。
示例9包括示例1-8中任一项的主题,并且其中执行证明过程包括安全地接收指示组件的硬件配置和固件配置的组件证书。
示例10包括示例1-9中任一项的主题,并且其中组件证书包括指示组件的硬件配置和固件配置的散列值。
示例11包括示例1-10中任一项的主题,并且其中向依赖方提供装置证书包括向远程编排器设备提供装置证书。
示例12包括示例1-11中任一项的主题,并且其中向依赖方提供装置证书包括向平台活动的信任根提供装置证书。
示例13包括一种用于装置编排的计算设备,该计算设备包括用于接收工作负载调度请求的工作负载编排器,其中工作负载调度请求指示与工作负载相关联的服务水平协议要求;以及聚合证明管理器,用于接收来自边缘装置设备的装置证书,其中装置证书指示聚合组件证书和边缘装置设备的当前利用,其中聚合组件证书指示边缘装置设备的多个组件的每个组件的配置;其中工作负载编排器进一步用于:(i)基于装置证书来确定边缘装置设备是否满足服务水平协议要求,以及(ii)响应于确定边缘装置设备满足服务水平协议要求,将工作负载调度到边缘装置设备。
示例14包括示例13的主题,并且其中聚合证明管理器进一步用于:响应于接收到装置证书,验证装置证书;其中调度工作负载进一步包括响应于装置证书的验证而调度工作负载。
示例15包括示例13和14中任一项的主题,并且其中验证装置证书包括将装置证书与预期证书进行比较,其中预期证书指示边缘装置设备的多个组件的每个组件的预期配置。
示例16包括示例13-15中任一项的主题,并且其中装置证书指示由边缘装置设备提供的可信执行环境。
示例17包括示例13-16中任一项的主题,并且其中确定边缘装置设备是否满足服务水平协议要求包括:评估可信执行环境的安全属性。
示例18包括一种用于装置证明的方法,该方法包括:通过边缘装置设备对边缘装置设备的组件执行证明过程,以生成组件证书;通过边缘装置设备生成装置证书,其中装置证书指示组件证书和边缘装置设备的当前利用;以及通过边缘装置设备向依赖方提供装置证书。
示例19包括示例18的主题,其中执行证明过程包括通过边缘装置设备的加速器执行证明过程;生成装置证书包括通过加速器生成装置证书;以及提供装置证书包括通过加速器提供装置证书。
示例20包括示例18和19中任一项的主题,并且进一步包括通过边缘装置设备接收来自组件的认证的遥测,其中认证的遥测指示组件的当前利用;其中生成装置证书包括基于组件的当前利用来生成装置证书。
示例21包括示例18-20中任一项的主题,并且其中组件包括加速器、计算平台、存储器组件、存储组件或边缘装置设备的功能块。
示例22包括示例18-21中任一项的主题,并且其中组件包括边缘装置设备的分解资源。
示例23包括示例18-22中任一项的主题,并且进一步包括通过边缘装置设备标识该边缘装置设备的多个组件,其中多个组件包括组件;以及通过边缘装置设备对多个组件的每个组件执行证明过程,以生成多个组件的每个组件的组件证书;其中装置证书指示多个组件的每个组件的组件证书。
示例24包括示例18-23中任一项的主题,并且其中执行证明过程包括接收指示由组件提供的可信执行环境的组件证书。
示例25包括示例18-24中任一项的主题,并且其中组件证书指示可信执行环境的安全属性。
示例26包括示例18-25中任一项的主题,并且其中执行证明过程包括安全地接收指示组件的硬件配置和固件配置的组件证书。
示例27包括示例18-26中任一项的主题,并且其中组件证书包括指示组件的硬件配置和固件配置的散列值。
示例28包括示例18-27中任一项的主题,并且其中向依赖方提供装置证书包括向远程编排器设备提供装置证书。
示例29包括示例18-28中任一项的主题,并且其中向依赖方提供装置证书包括向平台活动的信任根提供装置证书。
示例30包括一种用于装置编排的方法,该方法包括:通过计算设备接收工作负载调度请求,其中工作负载调度请求指示与工作负载相关联的服务水平协议要求;通过计算设备接收来自边缘装置设备的装置证书,其中装置证书指示聚合组件证书和边缘装置设备的当前利用,其中聚合组件证书指示边缘装置设备的多个组件的每个组件的配置;通过计算设备基于装置证书来确定边缘装置设备是否满足服务水平协议要求;以及通过计算设备响应于确定边缘装置设备满足服务水平协议要求而将工作负载调度到边缘装置设备。
示例31包括示例30的主题,并且进一步包括:通过计算设备响应于接收到装置证书而验证装置证书;其中调度工作负载进一步包括响应于装置证书的验证而调度工作负载。
示例32包括示例30和31中任一项的主题,并且其中验证装置证书包括将装置证书与预期证书进行比较,其中预期证书指示边缘装置设备的多个组件的每个组件的预期配置。
示例33包括示例30-32中任一项的主题,并且其中装置证书指示由边缘装置设备提供的可信执行环境。
示例34包括示例30-33中任一项的主题,并且其中确定边缘装置设备是否满足服务水平协议要求包括评估可信执行环境的安全属性。
示例35包括一种计算设备,该计算设备包括处理器;以及存储器,具有储存在其中的多条指令,这些指令在由处理器执行时使计算设备执行示例18-34中的任何一项所述的方法。
示例36包括一种或多种非暂态计算机可读存储介质,包括存储于其上的多条指令,这些指令响应于被执行,使计算设备执行示例18-34中任一项的方法。
示例37包括一种计算设备,该计算设备包括用于执行示例18-34中的任一项的方法的装置。
Claims (25)
1.一种用于装置证明的边缘装置设备,所述边缘装置设备包括:
证明管理器,用于对所述边缘装置设备的组件执行证明过程,以生成组件证书;以及
平台验证器,用于:(i)生成装置证书,其中所述装置证书指示所述组件证书和所述边缘装置设备的当前利用,以及(ii)向依赖方提供所述装置证书。
2.如权利要求1所述的边缘装置设备,其中所述边缘装置设备包括加速器,并且其中所述加速器包括所述证明管理器和所述平台验证器。
3.如权利要求1所述的边缘装置设备,其中:
平台验证器,进一步用于从所述组件接收认证的遥测,其中所述认证的遥测指示所述组件的当前利用;以及
生成所述装置证书包括基于所述组件的当前利用来生成所述装置证书。
4.如权利要求1所述的边缘装置设备,其中所述组件包括加速器、计算平台、存储器组件、存储组件或所述边缘装置设备的功能块。
5.如权利要求1所述的边缘装置设备,其中所述组件包括所述边缘装置设备的分解资源。
6.如权利要求1所述的边缘装置设备,其中:
证明管理器,进一步用于:(i)标识所述边缘装置设备的多个组件,其中所述多个组件包括组件,以及(ii)对所述多个组件的每个组件执行证明过程,以生成所述多个组件的每个组件的组件证书;以及
装置证书指示所述多个组件的每个组件的组件证书。
7.如权利要求1所述的边缘装置设备,其中执行证明过程包括接收组件证书,所述组件证书指示所述组件提供的可信执行环境。
8.如权利要求7所述的边缘装置设备,其中组件证书指示所述可信执行环境的安全属性。
9.如权利要求1所述的边缘装置设备,其中执行证明过程包括安全地接收指示所述组件的硬件配置和固件配置的组件证书。
10.如权利要求9所述的边缘装置设备,其中所述组件证书包括指示所述组件的硬件配置和固件配置的散列值。
11.如权利要求1所述的边缘装置设备,其中向所述依赖方提供所述装置证书包括向远程编排器设备提供所述装置证书。
12.如权利要求1所述的边缘装置设备,其中向所述依赖方提供所述装置证书包括向平台活动的信任根提供所述装置证书。
13.一种用于装置证明的方法,所述方法包括:
通过边缘装置设备对边缘装置设备的组件执行证明过程,以生成组件证书;
通过边缘装置设备生成装置证书,其中所述装置证书指示所述组件证书和所述边缘装置设备的当前利用;以及
通过边缘装置设备向依赖方提供所述装置证书。
14.如权利要求13所述的方法,其中:
执行证明过程包括通过所述边缘装置设备的加速器来执行证明过程;
生成装置证书包括通过所述加速器来生成装置证书;以及
提供装置证书包括通过所述加速器来提供装置证书。
15.如权利要求13所述的方法,进一步包括:
通过边缘装置设备接收来自组件的认证的遥测,其中所述认证的遥测指示所述组件的当前利用;
其中生成装置证书包括基于所述组件的当前利用来生成装置证书。
16.如权利要求13所述的方法,进一步包括:
通过边缘装置设备标识所述边缘装置设备的多个组件,其中所述多个组件包括所述组件;以及
通过边缘装置设备对所述多个组件的每个组件执行证明过程,以生成所述多个组件的每个组件的组件证书;
其中装置证书指示所述多个组件的每个组件的组件证书。
17.如权利要求13所述的方法,其中执行证明过程包括安全地接收指示所述组件的硬件配置和固件配置的组件证书。
18.一种用于装置编排的虚拟化系统,所述虚拟化系统包括:
工作负载编排器,用于接收工作负载调度请求,其中所述工作负载调度请求指示与工作负载相关联的服务水平协议要求;以及
聚合证明管理器,用于接收来自边缘装置设备的装置证书,其中所述装置证书指示聚合组件证书和所述边缘装置设备的当前利用,其中所述聚合组件证书指示所述边缘装置设备的多个组件的每个组件的配置;
其中所述工作负载编排器进一步用于:(i)基于所述装置证书来确定所述边缘装置设备是否所述满足服务水平协议要求,以及(ii)响应于确定所述边缘装置设备满足所述服务水平协议要求,将工作负载调度到所述边缘装置设备。
19.如权利要求18所述的虚拟化系统,其中:
所述聚合证明管理器进一步用于:响应于接收到所述装置证书,验证所述装置证书;
其中调度工作负载进一步包括响应于所述装置证书的验证而调度所述工作负载。
20.如权利要求19所述的虚拟化系统,其中验证所述装置证书包括:将所述装置证书与预期证书进行比较,其中所述预期证书指示所述边缘装置设备的多个组件的每个组件的预期配置。
21.如权利要求18所述的虚拟化系统,其中所述装置证书指示由所述边缘装置设备提供的可信执行环境。
22.如权利要求21所述的虚拟化系统,其中确定所述边缘装置设备是否满足所述服务水平协议要求包括评估所述可信执行环境的安全属性。
23.一种用于装置编排的方法,所述方法包括:
通过计算设备接收工作负载调度请求,其中所述工作负载调度请求指示与工作负载相关联的服务水平协议要求;
通过计算设备接收来自边缘装置设备的装置证书,其中所述装置证书指示聚合组件证书和所述边缘装置设备的当前利用,其中聚合组件证书指示所述边缘装置设备的多个组件的每个组件的配置;
通过计算设备基于所述装置证书来确定所述边缘装置设备是否满足所述服务水平协议要求;以及
响应于确定所述边缘装置设备满足所述服务水平协议要求,通过计算设备将工作负载调度到边缘装置设备。
24.如权利要求23所述的方法,进一步包括:
通过计算设备响应于接收到装置证书而验证装置证书;
其中调度工作负载进一步包括响应于所述装置证书的验证而调度工作负载。
25.如权利要求23所述的方法,其中所述装置证书指示由所述边缘装置设备提供的可信执行环境。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311083665.9A CN116980139A (zh) | 2019-03-29 | 2020-03-16 | 用于对边缘设备信任链进行加速编排和证明的技术 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/368,980 | 2019-03-29 | ||
| US16/368,980 US11444846B2 (en) | 2019-03-29 | 2019-03-29 | Technologies for accelerated orchestration and attestation with edge device trust chains |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311083665.9A Division CN116980139A (zh) | 2019-03-29 | 2020-03-16 | 用于对边缘设备信任链进行加速编排和证明的技术 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111756542A true CN111756542A (zh) | 2020-10-09 |
Family
ID=67299474
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311083665.9A Pending CN116980139A (zh) | 2019-03-29 | 2020-03-16 | 用于对边缘设备信任链进行加速编排和证明的技术 |
| CN202010181408.9A Pending CN111756542A (zh) | 2019-03-29 | 2020-03-16 | 用于对边缘设备信任链进行加速编排和证明的技术 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311083665.9A Pending CN116980139A (zh) | 2019-03-29 | 2020-03-16 | 用于对边缘设备信任链进行加速编排和证明的技术 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US11444846B2 (zh) |
| EP (1) | EP3716107B1 (zh) |
| CN (2) | CN116980139A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220207127A1 (en) * | 2020-12-30 | 2022-06-30 | Dell Products, L.P. | Console-based validation of secure assembly and delivery of information handling systems |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019025384A1 (en) * | 2017-08-02 | 2019-02-07 | British Telecommunications Public Limited Company | MALICIOUS HOST DETECTION |
| US11734458B2 (en) * | 2019-02-26 | 2023-08-22 | Intel Corporation | Extensible layered trusted computing base for computing devices |
| US11456880B2 (en) | 2019-03-25 | 2022-09-27 | Micron Technology, Inc. | Cryptographically secure mechanism for remotely controlling an autonomous vehicle |
| US11924060B2 (en) * | 2019-09-13 | 2024-03-05 | Intel Corporation | Multi-access edge computing (MEC) service contract formation and workload execution |
| US11416422B2 (en) | 2019-09-17 | 2022-08-16 | Micron Technology, Inc. | Memory chip having an integrated data mover |
| US20210081353A1 (en) * | 2019-09-17 | 2021-03-18 | Micron Technology, Inc. | Accelerator chip connecting a system on a chip and a memory chip |
| US20220255916A1 (en) * | 2019-09-30 | 2022-08-11 | Intel Corporation | Methods and apparatus to attest objects in edge computing environments |
| CN113422683B (zh) * | 2021-03-04 | 2023-05-26 | 上海数道信息科技有限公司 | 一种边云协同数据传输方法、系统、存储介质及终端 |
| US12039049B2 (en) * | 2021-06-21 | 2024-07-16 | Micron Technology, Inc. | Secure identity chaining between components of trusted computing base |
| US20230032343A1 (en) * | 2021-07-30 | 2023-02-02 | International Business Machines Corporation | Conditions-based container orchestration |
| CN115934348A (zh) * | 2022-12-28 | 2023-04-07 | 中国联合网络通信集团有限公司 | 边缘计算中的tee资源编排方法、系统、设备及存储介质 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6459682B1 (en) * | 1998-04-07 | 2002-10-01 | International Business Machines Corporation | Architecture for supporting service level agreements in an IP network |
| US9794247B2 (en) * | 2006-08-22 | 2017-10-17 | Stmicroelectronics, Inc. | Method to prevent cloning of electronic components using public key infrastructure secure hardware device |
| EP2898442A1 (en) * | 2012-09-19 | 2015-07-29 | Interdigital Patent Holdings, Inc. | Layered certification |
| US9380019B2 (en) * | 2013-08-26 | 2016-06-28 | Verisign, Inc. | Command performance monitoring |
| US9590810B2 (en) * | 2015-04-13 | 2017-03-07 | Infineon Technologies Ag | Device security |
| US10169591B2 (en) * | 2015-12-07 | 2019-01-01 | Amazon Technologies, Inc. | Chained security systems |
| EP3471454B1 (en) * | 2016-07-07 | 2022-11-30 | Huawei Technologies Co., Ltd. | Network resource management method, apparatus and system |
| US10440096B2 (en) | 2016-12-28 | 2019-10-08 | Intel IP Corporation | Application computation offloading for mobile edge computing |
| US10104039B1 (en) | 2017-09-28 | 2018-10-16 | Cloudflare, Inc. | Establishing and using a tunnel from an origin server in a distributed edge compute and routing service |
| US20190109877A1 (en) * | 2017-10-11 | 2019-04-11 | Microsoft Technology Licensing, Llc | Secure application metering |
| US10884814B2 (en) | 2018-09-28 | 2021-01-05 | Intel Corporation | Mobile edge-cloud security infrastructure |
-
2019
- 2019-03-29 US US16/368,980 patent/US11444846B2/en active Active
-
2020
- 2020-02-18 EP EP20158073.5A patent/EP3716107B1/en active Active
- 2020-03-16 CN CN202311083665.9A patent/CN116980139A/zh active Pending
- 2020-03-16 CN CN202010181408.9A patent/CN111756542A/zh active Pending
-
2022
- 2022-08-19 US US17/891,780 patent/US20230045505A1/en active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20220207127A1 (en) * | 2020-12-30 | 2022-06-30 | Dell Products, L.P. | Console-based validation of secure assembly and delivery of information handling systems |
Also Published As
| Publication number | Publication date |
|---|---|
| US11444846B2 (en) | 2022-09-13 |
| EP3716107B1 (en) | 2022-07-20 |
| US20230045505A1 (en) | 2023-02-09 |
| CN116980139A (zh) | 2023-10-31 |
| US20190230002A1 (en) | 2019-07-25 |
| EP3716107A1 (en) | 2020-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3716107A1 (en) | Technologies for accelerated orchestration and attestation with edge device trust chains | |
| US20210099516A1 (en) | Technologies for transparent function as a service arbitration for edge systems | |
| US11425111B2 (en) | Attestation token sharing in edge computing environments | |
| US20220075653A1 (en) | Scheduling method and apparatus, and related device | |
| KR102199278B1 (ko) | 가속 자원 처리 방법 및 장치, 및 네트워크 기능 가상화 시스템 | |
| US11611636B2 (en) | Quality of service in a distributed system | |
| US20190044886A1 (en) | Technologies for accelerating edge device workloads | |
| CN114365452A (zh) | 用于在边缘计算环境中证明对象的方法和装置 | |
| WO2017210142A1 (en) | System and method for providing fast platform telemetry data | |
| US11438147B2 (en) | Technologies for multiple device authentication in a heterogeneous network | |
| JP2024505692A (ja) | ブロックチェーンネットワークに基づくデータ処理方法、装置及びコンピュータ機器 | |
| JP2023046248A (ja) | プログラマブルネットワークデバイスを用いたメトリックおよびセキュリティベースのアクセラレータサービスリスケジューリング並びに自動スケーリング | |
| US20190229897A1 (en) | Technologies for accelerated hierarchical key caching in edge systems | |
| US11956639B2 (en) | Internet of things device provisioning | |
| US20180063108A1 (en) | Adaptive Enhanced Environment-Aware Authentication for IoT Devices | |
| Wang et al. | Virtual network embedding with pre‐transformation and incentive convergence mechanism | |
| US20220360454A1 (en) | Methods and devices for securing a multiple-access peripheral network | |
| CN116158103A (zh) | 用于设备到设备认证的技术 | |
| US10284563B2 (en) | Transparent asynchronous network flow information exchange | |
| US11943221B2 (en) | Preventing masquerading service attacks | |
| US11777944B2 (en) | Scalable authentication management | |
| US9043592B1 (en) | Communicating trust models to relying parties | |
| US20230188341A1 (en) | Cryptographic operations in edge computing networks | |
| US20240236056A1 (en) | Authenticating work order requests in a multiple node environment | |
| US20240232314A1 (en) | Authenticator to authorize persistent operations |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |