CN115803739A - 服务的编排 - Google Patents
服务的编排 Download PDFInfo
- Publication number
- CN115803739A CN115803739A CN202180049406.7A CN202180049406A CN115803739A CN 115803739 A CN115803739 A CN 115803739A CN 202180049406 A CN202180049406 A CN 202180049406A CN 115803739 A CN115803739 A CN 115803739A
- Authority
- CN
- China
- Prior art keywords
- resource
- service
- orchestrator
- trusted computing
- computing policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/5033—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering data affinity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种由编排器执行的方法。该方法包括接收请求编排器编排服务并且指示可信计算策略的信令,资源必须证明符合该可信计算策略,以便服务用该资源来编排。该方法还包括发送响应,该响应指示编排器是否已经根据所接收的信令编排服务。
Description
技术领域
本公开总体上涉及通信系统,并且更具体地,涉及可信计算切片。
背景技术
网络运营商传统上使用物理网络节点来实现网络功能,使得网络功能与其运行的基础设施紧密耦合。因此,设计和部署端到端服务需要经由运营支持系统(OSS)执行手动过程,交付周期长达数周或数月。
诸如网络功能虚拟化(NFV)的虚拟化技术为网络运营商提供了以软件为中心的方法,以更高的效率、灵活性和成本效益创建、部署和管理他们的服务。虚拟化将底层基础设施的硬件资源(例如,计算、存储和网络资源)抽象化,以定义虚拟化资源。这些虚拟化资源用于提供虚拟化网络功能(VNF),例如以路由器、网关、业务分析、防火墙等的形式。VNF可以彼此链接和/或与物理网络功能(PNF)链接,作为提供网络服务的构件,例如,其可以包括端到端网络服务的全部或部分。
编排是指控制资源和/或依赖这些资源的网络服务的过程。编排例如可以涉及控制对用于VNF或网络服务的资源的访问和/或分配。编排可以备选地或附加地涉及实例化、缩放、更新和/或终止网络服务,例如通过协调VNF组以实现网络服务。因此,编排可能需要将来自客户驻地设备的给定服务请求解释和翻译成资源(物理的和/或虚拟的)的配置,这是为客户驻地设备建立所请求的服务所需要的。
虽然编排有利地从客户驻地设备抽象出服务建立的细节,但是该抽象固有地将服务建立上的显著自主权委托给编排器,从而对客户驻地设备控制和确保服务的安全性制造了障碍。
发明内容
本文的一些实施例有利地在为客户驻地设备编排服务中利用可信计算。在这样做时,一些实施例向客户驻地设备提供保证,即编排器用来编排服务的资源符合客户驻地设备指定的可信计算策略。例如,在一个或多个实施例中,资源必须向编排器、客户驻地设备或两者证明该资源符合可信计算策略,作为在服务编排中使用资源的条件。该资源例如可以通过向编排器、客户驻地设备或两者提供远程证明来证明这一点,该远程证明证明符合可信计算策略和/或证明该资源具有可信计算策略所需的特定标识、配置、行为或属性。然后,编排器、客户驻地设备或两者可以鉴定或验证所提供的远程证明,并且将令人满意的鉴定或验证作为在服务编排中使用资源的条件。因此,本文的一些实施例有利地经由编排从客户驻地设备抽象出服务建立的细节,同时向客户驻地设备提供关于编排的服务的安全性的保证。
更具体地,本文的实施例包括一种由编排器执行的方法。该方法包括:接收请求编排器编排服务并且指示可信计算策略的信令,资源必须证明符合该可信计算策略,以便服务用该资源来编排。在一些实施例中,该方法还包括:发送对信令的响应,该响应指示编排器是否已经根据所接收的信令编排服务。
实施例还包括编排器,其包括处理电路和存储器。存储器包含可由处理电路执行的指令,由此编排器被配置为执行接收信令,该信令请求编排器编排服务并且指示可信计算策略,资源必须证明符合该可信计算策略,以便服务用该资源来编排。在一些实施例中,编排器还被配置为执行:发送对信令的响应,该响应指示编排器是否已经根据所接收的信令编排服务。
实施例还包括一种由客户驻地设备执行的方法。该方法包括:从所述客户驻地设备向编排器发送信令,所述信令请求所述编排器为所述客户驻地设备编排服务并且指示可信计算策略,资源必须证明符合所述可信计算策略,以便所述服务用所述资源来编排。在一些实施例中,该方法还包括:从所述编排器接收响应,所述响应指示所述编排器是否已经根据所接收的信令为所述客户驻地设备编排所述服务。
实施例还包括客户驻地设备,其包括处理电路和存储器。存储器包含可由处理电路执行的指令,由此客户驻地设备被配置为执行从客户驻地设备向编排器发送信令,所述信令请求编排器为客户驻地设备编排服务并且指示可信计算策略,资源必须证明符合所述可信计算策略,以便所述服务用该资源来编排。在一些实施例中,客户驻地设备还被配置为执行:从所述编排器接收响应,所述响应指示所述编排器是否已经根据所接收的信令为所述客户驻地设备编排所述服务。
本文的实施例还包括一种由资源设备执行的方法,该资源设备可配置成向客户驻地设备提供服务的至少一部分。该方法包括:从编排器接收信令,该信令请求资源证明资源符合由信令指示的可信计算策略。该方法还可以包括:向编排器发送响应,该响应证明资源符合由信令指示的可信计算策略。
本文的实施例还包括一种资源设备,该资源设备包括处理电路和存储器,该存储器包含可由处理电路执行的指令,由此该资源设备被配置为执行从编排器接收信令,该信令请求资源证明资源符合由该信令指示的可信计算策略。资源设备还被配置为执行向编排器发送响应,该响应证明资源符合由信令指示的可信计算策略。
本文的实施例还包括一种计算机程序产品,该计算机程序产品包括存储程序代码的非暂时性计算机可读介质,该程序代码被配置用于由本文公开的处理器执行并且被配置为执行本文描述的操作。
本文的实施例还包括一种计算机程序,当被执行时,执行本文描述的操作。
附图说明
附图示出了本发明构思的某些非限制性实施例,该附图被包括以提供对本公开的进一步理解,且被并入并构成本申请的一部分。
图1是根据一些实施例的图。
图2示出了根据一些实施例的传输切片的使用。
图3是示出了根据一些实施例的连接性要求的图。
图4是示出了根据一些实施例的实现的示例的图。
图5是示出了根据一些实施例的实现的物理布局的示例的图。
图6是示出了根据一些实施例的证明过程的图。
图7是示出了根据一些实施例的分阶段安全引导过程的图。
图8是示出了根据一些实施例的实现切片的可信计算飞地和软件的图。
图9是示出了根据一些实施例的具有可信计算的切片编排器的图。
图10是示出了根据一些实施例的整个过程的流程图。
图11是示出了其中编排作为NFV的一部分来执行的一些实施例的一个上下文的附加细节的图。
图12是示出了其中NFV框架对应于NFV管理和编排(MANO)架构的一些实施例的附加细节的图。
图13至图15是可以根据本公开的一些实施例执行的操作的流程图。
图16是根据本公开的一些实施例配置的编排器的元件的框图。
图17是根据本公开的一些实施例配置的客户驻地设备的元件的框图。
图18是根据本公开的一些实施例配置的资源设备的元件的框图。
图19是根据本公开的一些实施例的无线网络的框图。
图20是根据本公开的一些实施例的用户设备或其他终端的框图。
具体实施方式
根据图1所示的一些实施例,将为例如与无线通信网络相关联的客户驻地设备12建立服务10。服务10例如可以是网络切片、传输切片,或者提供两个端点14A、14B之间的私有通信机制,其中一个端点可以是客户驻地设备10本身。这些和其他实施例中的服务10可以依赖于一个或多个底层资源16,例如链接在一起以提供服务10的各个部分。这种资源16可以采取基础设施、一个或多个网络实体或一个或多个网络功能的形式,并且可以是物理的或虚拟的。例如,资源16可以包括用于提供虚拟化网络功能(VNF)的虚拟化硬件资源(例如,计算、存储和网络资源),例如,以路由器、网关、深度分组检查(DPI)、防火墙(FW)等的形式提供功能。
如图所示,客户驻地设备12向编排器18分派编排服务10的任务。这种编排可以涉及确定建立服务10需要哪些资源16,发现这些资源16中的哪些可用于提供服务10的相应部分,和/或根据建立服务10的需要实例化或配置可用资源。为了在这方面提示和帮助编排器18,如图所示的客户驻地设备12向编排器18发送包括编排请求22的信令20。编排请求22请求编排器18编排服务10,例如,如请求22中包括的描述服务10和/或服务10的一个或多个参数的信息所指定的。
接收到该请求22后,编排器18转而向一个或多个资源16中的每一个发送包括资源请求26的信令24。资源请求26可以请求关于资源16的能力和/或可用性的信息,以提供服务10的至少一部分,例如作为资源发现的一部分。备选地或附加地,资源请求26实际上可以请求资源16提供服务10的至少一部分。无论如何,编排器18从请求26被发送到的每个资源16接收响应28。响应28可以提供任何请求的信息,诸如关于资源的能力和/或可用性的信息,或者可以指示资源16是否接受编排器的请求以提供服务10的至少一部分。
基于来自一个或多个资源16的响应28,编排器18转而可以向客户驻地设备30发送响应30,以指示编排器18是否能够按照请求编排服务10。然后,通常,以这种方式编排服务10意味着客户驻地设备12将资源选择和配置的任务委托给编排器18。
本文的一些实施例有利地使得客户驻地设备10仍然能够控制、影响和/或验证编排器18用来编排服务10的资源16的安全程度。在这方面,图1示出了根据一些实施例的客户驻地设备12向编排器18指示可信计算策略32。可信计算策略32可以例如由请求服务10的编排的信令20来指示,例如,可信计算策略32可以被包括在编排请求22中或者以其他方式与编排请求22相关联。根据一些实施例,该可信计算策略32指定以下要求:用其编排服务10的资源16必须具有特定标识、配置、行为或属性,例如,该要求满足客户驻地设备10资源16是安全的和/或可信任的。例如,对于作为或实现虚拟化或基于软件的资源的资源16,可信计算策略32可以指定资源16必须被识别为特定软件映像或版本,由特定软件供应商生产,和/或具有特定软件状态或配置。相比之下,对于作为物理资源或托管物理资源的资源16,可信计算策略32可以指定资源16必须具有特定硬件标识符或由特定制造商制造。因此,在这些和其他实施例中,可信计算策略32可以有效地指定以下要求:要用其编排服务10的资源16必须执行特定软件映像或版本,必须执行由特定软件提供商提供的软件,必须执行由特定软件认证者认证的软件,必须具有特定硬件,必须具有由特定硬件制造商提供的硬件,必须具有由特定硬件认证者认证的硬件,或其任意组合。如这些示例所示,然后策略32可以控制、影响和/或促进对编排器18用来编排服务10的资源16的安全程度的验证。
事实上,在一些实施例中,资源16必须证明符合可信计算策略32,以便服务10用该资源16编排。也就是说,证明资源16符合可信计算策略32是资源16被用于编排服务10的条件。例如,资源16必须证明该资源16具有可信计算策略32所需的特定标识、配置、行为或属性,以便服务用该资源16编排。资源16必须证明符合可信计算策略32可以由信令20、24显式指示,或者可以通过在信令20、24中包括可信计算策略32来隐式指示。
为了证明符合可信计算策略32,资源16必须提供这种符合的可靠证据。在一些实施例中,如可信计算上下文中所理解的,符合性证明可以采取远程证明的形式。资源16可以例如提供远程证明,该远程证明证明符合可信计算策略32和/或证明资源16具有可信计算策略32所需的特定标识、配置、行为或属性。这样的远程证明由此可以相当于关于与可信计算策略32相关的资源的符合性、标识、配置、行为或属性的声明,以及支持该声明的证据。远程证明所基于的证据可以包括原始证据,诸如指示资源16的标识、配置、行为或属性的测量。备选地或附加地,远程证明所基于的证据可以包括简化或概括的证据,诸如原始证据的散列。远程证明所基于的证据备选地或附加地采取由原始或概括证据的可信鉴定者或评估者提供的凭证(例如,加密签名)的形式,例如,以便担保原始或概括证据支持资源的声明的事实。在其他实施例中,远程证明可以包括上述内容的组合,例如,结合来自可信鉴定者或评估者的凭证提供的原始或概括证据。
例如,在一个或多个实施例中,可信计算策略32有效地要求资源16使用可信平台模块(TPM)或用作信任根的其他硬件设备来提供上述证明。为此,资源16必须将反映资源16的标识、配置、行为或属性的测量放入平台配置寄存器(PCR)。资源的TMP或其他可信硬件设备对PCR内容的报告进行加密签名,作为资源的标识、配置、行为或属性的证据。将这样的报告鉴定或验证为特定PCR值上的有效签名证明资源16符合可信计算策略32,该可信计算策略要求资源具有那些PCR值所反映的标识、配置、行为或属性。
无论从资源16需要的远程证明的具体形式如何,图1示出了在一些实施例中,编排器18例如在与资源请求26相关联的信令24内向资源16指示所有或一些可信计算策略32。以这种方式向资源16指示可信计算策略32可以使资源16能够收集正确的证据来支持资源16符合可信计算策略32的声明。例如,配备了可信计算策略32,资源16可以知道进行哪些测量和/或提供哪些标识、配置、行为或属性的证据。已经以远程证明的形式收集了这样的证据,资源16可以响应于信令24而向编排器18提供这样的远程证明。在这方面,图1示出了资源可以发送具有远程证明34的响应28,该远程证明证明资源符合可信计算策略32和/或资源16具有(可信计算策略32可能需要的)特定标识、配置、行为或属性。
在一些实施例中,资源16必须向编排器18证明其符合性。在这种情况下,编排器18可以充当资源16提供以支持它的资源16符合可信计算策略32和/或资源16具有特定标识、配置、行为或属性的声明的任何证据的鉴定者或验证者。在该证明采取远程证明的形式的情况下,例如,编排器18可以例如通过检查任何附属的加密签名是否有效,检查资源的测量的任何散列是否包括在反映可信计算策略32所需的标识、配置、行为或属性的有效散列的列表中等来鉴定或验证远程证明。无论如何,如果编排器18的鉴定或验证揭示资源16实际上不符合可信计算策略32,则编排器18可以避免或中止用该资源16编排服务10。编排器18由此可以代表客户驻地设备12或者为了客户驻地设备12的利益而强制执行可信计算策略32。另一方面,如果编排器的鉴定或验证确认资源的符合性,则编排器18可以发起或继续用于用该资源16编排服务10的过程。由此,编排器18可以分别根据编排器18是否验证资源16符合可信计算策略32来用资源16编排或避免用资源16编排服务10。
在一些实施例中,编排器18显式地向客户驻地设备12指示编排器18用来编排服务10的资源16符合可信计算策略32。编排器18可以例如在其对客户驻地设备12的响应30中显式地指示这一点。然而,在其他实施例中,编排器18通过提供显式地指示编排器18为客户驻地设备12编排服务10的响应30来隐式地指示这一点。也就是说,通过根据请求22指示成功的编排,编排器18暗示用来编排服务10的资源16符合该伴随请求22的可信计算策略32。备选地或附加地,编排器18可以通过自身向客户驻地设备12提供远程证明36来有效地指示编排器18用来编排服务10的资源16符合可信计算策略32。该远程证明36可以显式地证明编排器18本身符合可信计算策略32,并且在这样做时隐式地证明编排器18用来编排服务10的资源16符合可信计算策略32。基于对编排器的远程证明36的验证有效地或隐式地验证了用于编排服务10的资源16符合可信计算策略32,客户驻地设备12在接收到这样的远程证明36时可以鉴定或验证它。
在其他实施例中,资源16符合可信计算策略32的证明可以备选地或附加地由客户驻地设备10直接验证。在一个这样的实施例中,编排器14可以从资源16请求或获得这样的证明,然后将该证明中继给客户驻地设备10,使得客户驻地设备10本身可以例如以与上面针对编排器18描述的类似方式来鉴定或验证该证明。例如,如图1所示,编排器18可以从资源16接收远程证明34,并且将这些远程证明34作为远程证明36中继到客户驻地设备12。如果客户驻地设备对远程证明的鉴定或验证揭示资源16不符合可信计算策略32,则客户驻地设备12可以声明其对服务10的编排的请求22未得到满足。在这种情况下,客户驻地设备12可以向编排器18通知不满意的编排,以触发随后的编排尝试,或者触发对编排失败的补救动作。另一方面,如果客户驻地设备对远程证明的鉴定或验证揭示资源16确实符合可信计算策略32,则客户驻地设备12可以声明其对服务10的编排的请求22得到满足。因此,客户驻地设备10强制执行符合可信计算策略32,作为声明对服务10的编排的请求22得到满足的条件。
注意,为了避免由于不符合可信计算策略32而导致的编排失败,在一些实施例中,编排器14基于哪个(哪些)资源16声称能够符合可信计算策略32来主动执行对用于服务编排的资源16的发现。这种发现方法可以有利地减少由于失败的编排而导致的编排时延,和/或节省信令和计算资源,否则信令和计算资源将浪费在失败的编排上。
还要注意,客户驻地设备12可以备选地或附加地要求编排器14本身符合可信计算策略32,例如,作为声明编排请求22得到满足的条件。在这种情况下,客户驻地设备12可以请求编排器14提供符合性的远程证明,使得客户驻地设备12可以鉴定或验证远程证明。不仅要求来自资源16的符合性证明,而且要求来自编排器14的符合性证明可以有利地形成全面的信任链或信任网,其向客户驻地设备12提供服务10已经被安全地编排并且将被安全地提供的保证。
然而,在一些实施例中,客户驻地设备12可以仅有条件地要求符合可信计算策略32的证明。在这种情况下,到编排器14的信令20可以指示一个或多个条件,在该一个或多个条件下,要求资源16证明符合可信计算策略32。一个或多个条件可以包括例如资源16对服务10的未加密数据的处理。这样,如果资源16不处理服务10的未加密数据,而是仅只能访问服务10的加密数据,则资源16不需要证明符合可信计算策略32。实际上,考虑到资源对服务10的数据的访问的性质,这种符合性可以是不必要的或没有实际意义。这些实施例由此可以节省信令和处理资源,否则信令和处理资源将浪费在证明不必要的符合性上。
一些实施例可以用于以网络切片或传输切片的形式编排服务10。网络切片是完整的逻辑网络,其向客户提供具有特定保证和功能的完整服务。网络切片可以用于实现特定的服务质量(QoS)配置文件,或甚至特殊的软件版本、不同的网络节点和不同的功能。
5G网络中的网络切片被定义为端到端机制。诸如虚拟化、虚拟专用网络、业务工程和传输网络切片之类的底层技术可以用作资源16来实现这些移动网络特定切片。然后,在这些和其他实施例中,资源16可以被示例化为术语“网络元件”。网络虚拟化是网络管理,涉及在单独的虚拟网络中处理不同的业务类别,具有单独的生命周期管理以及资源、技术和拓扑选择。虚拟专用网络(VPN)可以以各种不同的方式实现,从运营商提供的多协议标签交换(MPLS)网络到从加密隧道创建的VPN。业务工程是管理网络以为特定业务或来自特定用户组的业务设置适当的性能的一般做法。传输切片是正在开发中的IETF概念,包括在单个框架内管理不同的业务工程、路由和VPN机制。
例如,图2中示出了传输切片的使用。在该示例中,5G网络的客户具有要求使用切片的需求。该需求被传送或输入到更高级别的操作系统中,例如5G运营商的网络管理系统。该系统为切片设置必要的移动网络功能。这可以包括例如特定的核心网络服务、配置无线电网络以给予切片中的业务适当的资源和优先级等。
更高级别的操作系统也请求不同的系统(传输切片控制器(TSC))以在移动网络功能之间设置适当的传输连接。在一些实施例中,TSC是图1中的编排器18的一个示例。“传输切片”表示用于特定目的的这种连接。例如,对于非常高带宽的应用,切片可以需要无线电网络与核心网络之间特定的高带宽连接。TSC的任务是设置这样的连接。TSC具有接收请求的北向接口(TSC NBI)。
对传输网络切片的请求被映射到所需传输切片的特定实现。例如,可以在底层网络中设置特定的MPLS或VPN连接,以实现必要的连接。
可以在共享底层网络基础设施上提供许多传输切片服务。每个传输切片包括覆盖连接和在共享底层网络中分配的专用网络资源和/或功能的特定集合二者,以满足传输切片消费者的需求。
使用传输切片通常涉及以下内容[4]。TSC从管理系统或其他应用接收请求,然后经由NBI传送。该接口承载传输切片用户提供的数据对象,根据拓扑、适用的服务级别目标(SLO)以及可以适用的任何监视和报告要求来描述所需的传输切片。注意,在该上下文中,“拓扑”是指从用户的角度来看,传输切片连接看起来像什么;它可以像相互(且对称)连接的端点列表一样简单,或者它可以因连接不对称、每个连接的SLO要求等细节而复杂。假设这些请求由一个或多个底层系统翻译,这些底层系统用于在底层网络基础设施之上建立特定的传输切片实例。TSC维护从用户请求到切片实例的映射记录,这是允许后续控制功能(诸如修改或删除所请求的切片)所需要的,并且也是任何所请求的监视和报告功能所需要的。
可以使用特定的一个或多个底层技术在网络中实现传输切片。在一些实施例中,新传输切片的创建将通过以下三个步骤来发起:
步骤1:更高级别的系统经由NBI请求具有特定特性的连接。
步骤2:该请求将由传输切片控制器处理,该传输切片控制器指定北向请求到任何IETF服务、隧道和路径模型之间的映射。
步骤3:创建服务、隧道和路径的一系列请求将被发送到网络,以实现传输切片。
注意,对传输切片的请求表达了客户端的连接需求,例如连接A、B和C,如图3中的示例所示。但是实现可以使用更复杂的拓扑,涉及诸如以太网交换机、VPN网关、MPLS节点或IP路由器之类的网络元件。对于实现的示例,参见图4。该图示出了A、B和C之间的一个中间VPN网关,以及位置A、B和C旁边的三个VPN CPE(客户驻地设备)的集合。CPE对在网关处端接的VPN隧道中的业务进行加密。所有连接都经由网关,而不是直接连接,并且系统依赖于网关的正确操作,不会向外界透露业务等。一旦业务通过网关,它会重新进入另一个加密隧道到达最终目的地。
图5示出了图4中实现的物理布局的示例。CPE是托管点A、B和C的计算机中的软件过程。并且VPN网关是单独的物理网络元件。
本文的一些实施例由此在这样的编排上下文中利用可信计算技术。在该上下文中,一些实施例采用可信计算证明,使得资源16可以证明关于其自身的某些东西,诸如它在特定类型的中央处理单元(CPU)上运行,并且证明软件映像是某些东西。这种证明可以是远程的,即,证明可以被发送到观察在可信计算硬件上运行的资源16的另一个实体(例如,编排器18或客户驻地设备12)。在一些实施例中,证明取决于信任链,诸如编排器18或客户驻地设备12信任CPU制造商,CPU制造商信任他们放入特定CPU中的密钥是有效的,然后CPU使用该密钥签署声明。
然后,在一些实施例中,为了在资源16中运行服务10的一部分,需要来自资源16的签名证明,证明正在特定类型的CPU上运行服务10的一部分,运行特定软件,并且该CPU被制造商信任。因此,基础设施所有者或其他方不能例如通过窥探服务10内处理的数据或以某种方式破坏服务10的结果来对在该资源16上运行的服务10的部分造成损害。
在一些实施例中,可信计算策略符合性的证明采取基于图6所示证明的形式,图6示出了从资源16到编排器18的证明。虽然未示出,但是在其他实施例中类似的证明过程可以直接应用于资源16与客户驻地设备10之间。无论如何,在图6所示的一些实施例中,资源16处的可信平台(即,与资源16相关联的CPU)获取其初始状态(例如,软件和配置)的散列。然后,它使用证明密钥(AK)对该状态进行签名。CPU制造商信任证明密钥,这可以经由例如CPU制造商的凭证(即签名)来显示。有了来自可信平台的签名和其制造商的另一个签名,编排器16现在知道,除了CPU中的漏洞之外,由资源16执行的计算对每个人都是安全的,包括对资源16的所有者可能进行的任何窥探是安全的。
在图6中,编排器18和资源16还建立由密钥K保护的安全通信信道。这可以经由Diffie-Hellman交换来执行,但是其他方法也是可以的。在一些实施例中建立了安全信道,因为假定攻击者可以窥探或改变在编排器18和资源16之间传送的数据或结果,否则资源16关于数据隐私或服务10的忠实执行的任何保证都将被败坏。
然后,根据一些实施例的远程证明的实现可以使用如[8]所述的三种技术:
·标识:平台标识可以基于例如IEEE 802.1AR设备标识。一些具有更复杂的制造后供应链的应用程序(例如增值经销商)或者有隐私问题的应用可能希望使用替代的平台认证机制。
·证明:可以在现场设备的整个寿命周期中实现可变元素的证明,以提供认证机制来报告每次重启时设备上实际启动了什么软件。
·参考完整性测量:参考完整性测量必须从软件授权(通常是嵌入式系统的制造商)传送到将要进行验证的系统。
在一个或多个实施例中,证明可以涉及以下内容。在资源16的启动期间,测量(即,作为文件指纹计算的散列)被“扩展”或连同被添加到信息日志的条目存储在资源16处的可信平台模块(TPM)中。TPM是保持可信计算密钥的加密处理器,并且能够执行一些主要的加密操作。在一些实施例中,测量过程通常遵循在测量引导中使用的信任链模型,其中系统的每个阶段在启动下一个阶段之前测量下一个阶段。参见图7。一旦资源16正在运行并且具有可操作的网络连接,单独的可信服务器或编排器18可以询问资源16,以检索日志和通过散列每个软件对象收集的摘要(由仅TPM知道的密钥签名)的副本。
虽然一些实施例已经如上所述被一般性地举例说明,但是也可以使用可信计算的其他实现方式。
因此,本文的一些实施例在存在多层框架的上下文中有利地利用可信计算。这里,客户驻地设备12处的单个用户可见应用需要依赖于多个底层组件,每个组件包括它们自身的在特定任务上协作的计算机网络。本文的实施例向客户驻地设备12处的该应用确保那些组件满足它在自身的计算元件上设置的安全要求。
例如,在切片的上下文中,复杂切片可以需要多个计算元件(作为资源16的示例)内的功能和网络处理。一些实施例使用可信计算来确保所有这些部分都是安全的。并且一些实施例以向客户提供可信计算被使用并且以满足该客户的信任要求的方式被使用的切片保证的方式来这样做。此外,一些实施例向客户提供来自各种计算元件的关于所执行的特定功能的证明列表。此外,一些实施例使客户能够知道这些计算元件是服务于客户切片的所有计算元件。
一些实施例通过将可信计算请求添加到对切片的请求中来实现这一点。备选地或附加地,一些实施例使编排器间接提供来自其自身和用于设置切片的网络元件的证明。
考虑示例,其中客户驻地设备12希望确保图3至图5所示的VPN服务完全在可信硬件中运行,并且VPN元件(即,资源)运行来自可信VPN提供商之一的软件。在这种情况下,客户驻地设备12信任来自供应商(供应商1)和开源-1的1.2.3版本的任何东西。
图8示出了示例布置,即如何在形成切片的四个计算元件中实现所请求的切片。这四个元件均在支持可信计算的硬件上运行。针对VPN功能的必要软件(作为示例性资源16)在可信计算飞地中运行,受到保护免受外部影响,并且能够证明它运行什么硬件和软件。
作为编排器18的示例,切片编排器根据本文的一些实施例对此进行设置。图9示出了这方面的一个示例。
在一些实施例中,这是通过客户驻地设备12向编排器18发出使用可信计算资源的请求以及关于可信制造商和软件的信息来实现的。编排器18(也被称为管理实体)接收该请求。它设置切片,为所需的资源16设置必要的可信计算飞地。在一些实施例中,编排器18还将提供(a)来自其自身和(b)来自所需资源(例如,网络元件)二者的证明。经由编排器18的这种间接性确保客户可以验证编排过程正确运行,所有使用的资源被报告,以及资源本身依赖于可信制造商和软件。
图10示出了根据一个示例性实施例的整个处理流程,其中客户驻地设备10表示为“客户”,编排器18表示为“编排器”,并且资源16表示为“网络元件”。
图10中请求切片的客户行为如下:
1.确定针对特定切片是否需要可信计算。例如,客户应用的敏感性质可能需要它。
2.如果不需要可信计算,继续发出请求,否则将中止该过程。
3.否则,就需要可信计算。确定哪些CPU制造商是可信的,并且哪些软件供应商或特定软件版本是可信的。
4.通过创建所需连接或功能的描述来请求切片,将步骤1和2中确定的可信计算参数作为描述的一部分嵌入,并将描述发送给编排器。
5.如果编排器响应它已经为客户创建了切片,并且如果需要可信计算,则检查编排器的证明是否有效。
6.类似地,检查编排器针对每个参与网络元件返回的证明是否有效。
7.如果任何证明缺失或无效,则中止并且声明无法满足对切片的请求。
8.否则,将切片投入使用。
图10中的编排器行为如下:
1.从客户接收对切片的请求。该请求可以包括对可信计算以及相关联可信CPU制造商、软件制造商和/或特定可信软件版本的嵌入式请求。
2.如果存在对可信计算的嵌入式请求,则从步骤3开始,否则继续进行编排器通常将进行的操作。
3.如果编排器无法在可信飞地中运行,则发信号通知错误并且中止该过程。
4.确定需要什么网络元件来实现所请求的切片,使得每个网络元件能够满足所请求的可信计算要求。
5.如果找不到满足要求的网络元件集合,则发信号通知错误并且中止该过程。
6.设置网络元件以提供在步骤1中接收的切片请求中指定的切片。
7.对于每个网络元件,如果针对切片中的网络元件的角色需要可信计算,则请求网络元件提供证明。在该请求中提供必要的参数,以便网络元件能够符合步骤1中接收的客户要求。
8.向客户提供来自编排器的证明。
9.提供支持切片所涉及的网络元件的列表、它们的角色、以及是否需要可信计算来执行它们的角色。
10.从之前收集的网络元件证明向客户提供证明。
在图10中,编排器返回它自身和所有需要的计算元件的证明。但是,在另一实施例中,编排器仅返回它自身的证明,这表明(给定它运行的软件),它已要求来自所有相关网络元件的相同证明。这可以被称为委托证明检查。
在另一备选实施例中,在要求来自网络元件的证明和该网络元件是否处理未加密数据之间存在绑定。例如,在将分组进一步向前发送到其他加密隧道之前对分组进行解密的VPN网关是看到明文业务的网络元件。然而,转发加密隧道分组的路由器或交换机没看到。因此,可以想象,编排器仅需要来自那些实际看到明文业务的网络元件的证明。
本文的一些实施例可以适用于IETF TEAS工作组为传输切片指定的标准,该标准将包括概念(诸如切片的特定请求特性)和必须以具体方式传送概念(诸如表达带宽或可信计算要求)的具体南向和北向接口。一些实施例可以例如并入这种标准:
-请求可信计算。例如,这可以经由客户或更高级别编排器与传输切片编排器(TSC)之间的北向接口中的YANG数据模型来指定。
-在编排器与网络元件或较低级别编排器之间的南向接口中表达相同内容的方式。
这些扩展特定于侧重于比特传输的IETF工作。在端到端切片层面,3GPP中可能需要类似的扩展和开发。
通常,然后,根据一些实施例,客户实体向编排器给出设置服务(例如,端点之间的私有通信机制)的请求。客户实体针对编排器18及其设置的服务指定可信计算要求。编排器18找到设置服务所需的合适的网络元件,其中编排器和网络元件都提供关于它们运行的硬件和软件的可信计算证明。在一些实施例中,编排器18将这些证明中继回客户实体。
一些实施例由此使得可以请求基于可信计算的服务,例如网络切片。这允许更值得信任的服务,例如,切片中更值得信任的业务处理。
备选地或附加地,一些实施例使得可以不仅必须信任/检查一个实体(诸如编排器),而且能够检查注册以帮助单个实体的其他网络元件实际上是值得信任的:
-来自编排器的证明确保它实际上正在运行客户信任的软件,并且由于可信计算硬件保护软件的执行,编排器的动作不可能被外部操纵。因此,客户可以确保,编排器已经将客户所请求的切片中涉及的所有网络元件都告诉了客户。
-来自所涉及的网络元件的证明确保它们实际上正在运行客户信任的软件,并且再次确保不可能被外部操纵。因此,客户可以确保网络元件实际上正在执行所请求的,而不是例如从VPN向某个外部实体发送明文业务。
例如,一些实施例使得可以表达诸如“我只想在该切片中包括爱立信认可的软件”或“我只认可Linux路由器的该软件版本”或“对于该通信网络,我只信任AMD CPU”的要求。
一些实施例还使得可以表达诸如“看到我的业务的明文形式的每个网络元件需要运行英特尔SGX和爱立信认可的软件”的要求,并且使系统自动布置,同时向客户提供这确实是这样做的证明。
这与当前的实践形成对比,其中要求可以在商业协议中表达,但是它们不能在技术上被认可,并且不能提供证据。虽然商业协议当然可以并且应该得到尊重,但是能够通过加密和可信计算机制表明确实提供了所请求的内容,这是更强大的能力。
注意,本文的实施例可以适用于云计算、软件定义网络(SDN)、网络功能虚拟化(NFV)等上下文中的编排。此外,本文的实施例适用于任何类型的参考架构框架。示例架构框架包括例如ETSI NFV管理和编排(MANO)框架和开放网络自动化平台(ONAP)框架。
图11示出了其中编排作为NFV的一部分执行的一些实施例的一个上下文的附加细节。如图11所示,VNF 41是能够在NFV基础设施(NFVI)43上运行的一个或多个网络功能(NF)的虚拟实现。NFVI43包括一系列物理/硬件资源44(例如,硬件计算机资源44A、硬件存储资源44B和硬件网络资源44C)以及它们经由虚拟化层46虚拟化为虚拟计算机资源48A、虚拟存储资源48B和虚拟网络资源48C。这些资源中的任何一个都可以是本文的资源16的示例。NFVI 43以这种方式支持VNF 41的执行。NFV管理和编排50涵盖支持基础设施虚拟化的物理和/或虚拟资源的编排和生命周期管理,以及VNF的生命周期管理。NFV管理和编排50侧重于NFV框架中必需的所有虚拟化特定管理任务。在该上下文中,来自本文图1的编排器18包括NFV管理和编排50或者是NFV管理和编排50的一部分。
NFV框架使得能够对VNF实例以及它们之间关于数据、控制、管理、依赖性和其他属性的关系的管理进行动态构建。因此,NFV框架提供了跨不同但标准化的NFVI存在点多供应商环境加载、执行和移动VNF的能力。
图12示出了一些实施例的附加细节,其中NFV框架对应于由欧洲电信标准协会工业规范组(ETSI ISG)标准化的NFV管理和编排(MANO)架构。如图所示,NFV-MANO包括一个或多个虚拟化基础设施管理器(VIM)60,每个虚拟化基础设施管理器负责管理一个NFVI 61域的资源。它的操作包括保持虚拟资源到物理资源的分配清单,以便编排NFVI资源的分配、升级、释放和回收,并且优化它们的使用。VIM 64还通过组织虚拟链路、网络、子网和端口来支持VNF转发图的管理。VIM 64还管理NFVI硬件资源和软件资源的储存库,以及发现能力和特征以优化这些资源的使用。
NFV-MANO还包括监督VNF实例的生命周期管理的VNF管理器(VNFM)62。例如,VNFM62负责实例化VNF、缩放VNF、更新和/或升级VNF以及终止VNF。假设所有VNF都具有相关联的VNF管理器。
NFV-MANO还包括NFV编排器(NFVO)64,负责新网络服务和VNF封装的载入、NFV生命周期管理、全局资源管理、NFVI资源请求的验证和授权。NFVO 64具有独立于任何特定VIM60来协调、授权、释放和占用NFVI资源的能力。它还提供对共享NFVI 61的资源的VNF实例的治理。为了提供服务编排,NFVO 64在不同的VNF之间创建端到端服务,这些服务可以由NFVO与之协调的不同VNFM管理。在该框架内,来自图1的编排器18可以对应于针对域的NFVO64。
NFVO 64在网络服务(NS)目录66、VNF目录68、NFV实例70的列表和NFVI资源72的列表的帮助下执行该角色。VNF目录68是所有可用VNF描述符的储存库,其中VNF描述符(VNFD)是可部署的模板,其根据VNF的部署和操作行为要求来描述VNF。它主要由VNFM 62在VNF实例化和VNF实例的生命周期管理的过程中使用。NFVO还使用VNFD中提供的信息来管理和编排网络服务和NFVI 61上的虚拟化资源。然后,对于对应于服务的VNF,VNF目录68包括服务模板(例如,以VNF描述符的形式)。
NS目录66是可用网络服务的目录。NS目录66包括在VNF方面的网络服务的部署模板以及它们通过虚拟链路的连接的描述。NS目录66包括那些相应服务的服务模板(例如,以网络服务描述符的形式)。作为示例,顶级服务模板可以是包含(抽象)VNF和/或PNF节点模板的网络服务描述符,并且每个VNF或PNF节点模板可以由对应的详细VNF或PNF描述符,即低级服务模板来代替。
NFV实例70的列表保持关于网络服务实例和相关VNF实例的所有细节。并且NFVI资源72是用于建立NFV服务目的的NFVI资源的储存库。在该上下文中,本文的资源16可以被例示为NFVI资源72或NFV实例70。
为了完整性,图12中还示出了元件管理系统(EMS)74负责VNF73的功能部分的故障、配置、记账、性能和安全管理。并且操作支持系统(OSS)/业务支持系统(BSS)76包括服务提供商用于操作其业务的系统和应用的集合。NFV与OSS/BSS 76协调工作。
此外,虽然关于客户驻地设备12进行了举例说明,但是本文的实施例可以由被配置为请求服务编排的任何设备利用。无论设备是否位于客户驻地或由客户控制,也无论所请求的服务是否是设备本身的利益或由设备本身消费的服务,都是这种情况。例如,在一些实施例中,一个编排器可以将服务的编排委托给另一个编排器,使得从一个编排器到另一个编排器的编排请求可以包括可信计算策略32。
还要注意,本文的资源16可以指可以在其上建立服务10的任何类型的资源。资源16例如可以指基础设施、网络实体、网络功能、网络服务等,无论是物理的还是虚拟的。在物理形式中,资源可以是或被包括在资源设备中。在虚拟或软件形式中,资源可以被托管在资源设备上。
鉴于上述修改和变化,图13描绘了根据特定实施例的由编排器18执行的方法。该方法包括:接收信令20,该信令20请求编排器18编排服务10,并且指示可信计算策略32,资源16必须证明符合该可信计算策略,以便服务10用该资源16编排(框1300)。
在一些实施例中,该方法包括:基于声称能够符合可信计算策略32的资源16,发现资源16以编排服务10(框1310)。
在一些实施例中,该方法备选地或附加地包括:通过验证所接收的远程证明34是否证明符合可信计算策略32来强制执行可信计算策略32(框1320)。
在一些实施例中,该方法备选地或附加地包括:响应于接收到信令20,用资源16来编排或试图编排服务10,资源16提供证明符合可信计算策略32的远程证明36(框1330)。
在一些实施例中,该方法包括:发送响应30,该响应30指示编排器18是否已经根据所接收的信令20编排服务10(框1340)。
图14描绘了根据其他特定实施例的由客户驻地设备12执行的方法。该方法包括:从客户驻地设备12向编排器18发送信令20,该信令20请求编排器18为客户驻地设备12编排服务10,并且指示可信计算策略32,资源16必须证明符合该可信计算策略,以便服务10用该资源16编排(框1400)。
在一些实施例中,该方法还包括:从编排器18接收响应30,该响应30指示编排器18是否已经根据信令20为客户驻地设备12编排服务10(框1410)。
在一些实施例中,该方法包括:从编排器18接收远程证明36,该远程证明36证明已经用来编排服务10的资源16符合可信计算策略32(框1420)。在一个这样的实施例中,该方法还可以包括:验证接收的远程证明36,作为声明对服务10的编排的请求22得到满足的条件(框1430)。
在一些实施例中,该方法备选地或附加地包括:从编排器接收远程证明36(框1440)。在一个这样的实施例中,该方法还包括:验证远程证明36是否证明编排器18本身符合可信计算策略32(框1450)。
图15描绘了根据其他特定实施例的由被配置为或托管资源16的资源设备执行的方法。该方法包括:从编排器18接收信令24,该信令24请求资源16证明资源16符合由信令24指示的可信计算策略32(框1500)。该方法还可以包括:向编排器18发送响应28,该响应28证明资源16符合由信令24指示的可信计算策略32(框1510)。
本文的实施例还包括对应的装置。本文的实施例例如包括编排器16,该编排器16被配置为执行以上针对编排器16描述的任何实施例的任何步骤。
实施例还包括编排器16,其包括处理电路和电源电路。处理电路被配置为执行以上针对编排器16描述的任何实施例的任何步骤。电源电路被配置为向编排器16供电。
实施例还包括编排器16,其包括处理电路。处理电路被配置为执行以上针对编排器16描述的任何实施例的任何步骤。在一些实施例中,编排器16还包括通信电路。
实施例还包括编排器16,其包括处理电路和存储器。存储器包含可由处理电路执行的指令,由此编排器16被配置为执行以上针对编排器16描述的任何实施例的任何步骤。
本文的实施例还包括客户驻地设备12,该客户驻地设备12被配置为执行以上针对客户驻地设备12描述的任何实施例的任何步骤
实施例还包括客户驻地设备12,其包括处理电路和电源电路。处理电路被配置为执行以上针对客户驻地设备12描述的任何实施例的任何步骤。电源电路被配置为向客户驻地设备12供电。
实施例还包括客户驻地设备12,其包括处理电路。处理电路被配置为执行以上针对客户驻地设备12描述的任何实施例的任何步骤。在一些实施例中,客户驻地设备12还包括通信电路。
实施例还包括客户驻地设备12,其包括处理电路和存储器。存储器包含可由处理电路执行的指令,由此客户驻地设备12被配置为执行以上针对客户驻地设备12描述的任何实施例的任何步骤。
本文的实施例还包括资源设备,该资源设备被配置为作为或托管用于提供服务10的至少一部分的资源16。资源设备可以被配置为执行以上与资源16相关联描述的任何实施例的任何步骤。
本文的实施例还包括资源设备,该资源设备被配置为作为或托管用于提供服务10的至少一部分的资源16。资源设备可以包括处理电路和电源电路。处理电路被配置为执行以上与资源16相关联描述的任何实施例的任何步骤。电源电路被配置成向资源设备供电。
本文的实施例还包括资源设备,该资源设备被配置为作为或托管用于提供服务10的至少一部分的资源16。资源设备可以包括处理电路。处理电路被配置为执行以上与资源16相关联描述的任何实施例的任何步骤。在一些实施例中,资源设备还包括通信电路。
本文的实施例还包括资源设备,该资源设备被配置为作为或托管用于提供服务10的至少一部分的资源16。资源设备可以包括处理电路和存储器。存储器包含可由处理电路执行的指令,由此资源设备被配置为执行以上与资源16相关联描述的任何实施例的任何步骤。
更具体地,上述装置可以通过实现任何功能装置、模块、单元或电路来执行本文的方法和任何其他处理。例如,在一个实施例中,装置包括被配置为执行方法附图中所示的步骤的相应电路或电路系统。在这方面,电路或电路系统可以包括专用于执行某些功能处理的电路和/或与存储器结合的一个或多个微处理器。例如,电路可以包括一个或多个微处理器或微控制器以及其他数字硬件,该其他数字硬件可以包括数字信号处理器(DSP)、专用数字逻辑等。处理电路可以被配置为执行存储在存储器中的程序代码,该存储器可以包括一种或若干种类型的存储器,例如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存设备、光学存储设备等。在若干实施例中,存储在存储器中的程序代码可以包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于执行本文所述的一种或多种技术的指令。在采用存储器的实施例中,存储器存储程序代码,该程序代码在由一个或多个处理器执行时执行本文描述的技术。
例如,图16示出了如根据一个或多个实施例实现的编排器18。如图所示,编排器18包括处理电路1610和通信电路1620。通信电路1620被配置为向一个或多个其他节点(诸如客户驻地设备12和/或资源16)发送信息和/或从该一个或多个其他节点接收信息。处理电路1610被配置为例如通过执行存储在存储器1630中的指令来执行例如图13中的上述处理。在这方面,处理电路1610可以实现某些功能装置、单元或模块。
图17示出了如根据一个或多个实施例实现的客户驻地设备12。如图所示,客户驻地设备12包括处理电路1710和通信电路1720。通信电路1720被配置为向一个或多个其他节点(诸如编排器18和/或资源16)发送信息和/或从该一个或多个其他节点接收信息。处理电路1710被配置为例如通过执行存储在存储器1730中的指令来执行例如图14中的上述处理。在这方面,处理电路1710可以实现某些功能装置、单元或模块。
图18示出了如根据一个或多个实施例实现的被配置为作为或托管资源16的资源设备1800。如图所示,资源设备1800包括处理电路1810和通信电路1820。通信电路1820被配置为向一个或多个其他节点(例如,编排器18和/或客户驻地设备12)发送信息和/或从该一个或多个其他节点接收信息。处理电路1810被配置为例如通过执行存储在存储器1830中的指令来执行例如图15中的上述处理。在这方面,处理电路1810可以实现某些功能装置、单元或模块。
本领域技术人员还将理解,本文的实施例还包括对应的计算机程序。
计算机程序包括指令,该指令当在装置的至少一个处理器上执行时使该装置执行上述任何相应处理。在这方面,计算机程序可以包括与上述装置或单元相对应的一个或多个代码模块。
实施例还包括包含这样的计算机程序的载体。该载体可以包括电信号、光信号、无线电信号或计算机可读存储介质之一。
在这方面,本文的实施例还包括在非暂时性计算机可读(存储或记录)介质上存储的计算机程序产品,且该计算机程序产品包括指令,该指令在由装置的处理器执行时,使装置如上所述地执行。
实施例还包括计算机程序产品,其包括程序代码部分,当该计算机程序产品由计算设备执行时,该程序代码部分执行本文中任何实施例的步骤。该计算机程序产品可以存储在计算机可读记录介质上。
现在将描述附加实施例。出于说明性目的,这些实施例中的至少一些可以被描述为适用于某些上下文和/或无线网络类型,但是这些实施例同样地适用于未明确描述的其他上下文和/或无线网络类型。
虽然本文描述的主题可以使用任何合适的组件在任何适合类型的系统中实现,但是本文公开的一些实施例是关于无线网络(例如图19中所示的示例无线网络)描述的。为简单起见,图19的无线网络仅描绘了网络1906、网络节点1960和1960b、以及WD 1910、1910b和1910c。实际上,无线网络还可以包括适于支持无线设备之间或无线设备与另一通信设备(例如,陆线电话、服务提供商或任何其他网络节点或终端设备)之间的通信的任何附加元件。在所示组件中,以附加细节描绘网络节点1960和无线设备(WD)1910。无线网络可以向一个或多个无线设备提供通信和其他类型的服务,以便于无线设备接入和/或使用由无线网络提供或经由无线网络提供的服务。
无线网络可以包括任何类型的通信、电信、数据、蜂窝和/或无线电网络或其他类似类型的系统,和/或与任何类型的通信、电信、数据、蜂窝和/或无线电网络或其他类似类型的系统接口连接。在一些实施例中,无线网络可以被配置为根据特定标准或其他类型的预定义规则或过程来操作。因此,无线通信网络的特定实施例可以实现诸如全球移动通信系统(GSM)、通用移动电信系统(UMTS)、长期演进(LTE)、窄带物联网(NB-IoT)和/或其他合适的2G、3G、4G或5G标准之类的通信标准;诸如IEEE 802.11标准之类的无线局域网(WLAN)标准;和/或诸如全球微波接入互操作性(WiMax)、蓝牙、Z-Wave和/或ZigBee标准之类的任何其他适合的无线通信标准。
网络1906可以包括一个或多个回程网络、核心网络、IP网络、公共交换电话网络(PSTN)、分组数据网络、光网络、广域网(WAN)、局域网(LAN)、无线局域网(WLAN)、有线网络、无线网络、城域网和其他网络,以实现设备之间的通信。
网络节点1960和WD 1910包括下面更详细描述的各种组件。这些组件一起工作以提供网络节点和/或无线设备功能,例如在无线网络中提供无线连接。在不同的实施例中,无线网络可以包括任何数量的有线或无线网络、网络节点、基站、控制器、无线设备、中继站和/或可以促进或参与数据和/或信号的通信(无论是经由有线连接还是经由无线连接)的任何其他组件或系统。
如本文所使用的,网络节点指的是能够、被配置、被布置和/或可操作以直接或间接地与无线设备和/或与无线网络中的其他网络节点或设备通信,以实现和/或提供向无线设备的无线接入和/或执行无线网络中的其他功能(例如,管理)的设备。网络节点的示例包括但不限于接入点(AP)(例如,无线电接入点)、基站(BS)(例如,无线电基站、节点B(NodeB)、演进NodeB(eNB)和NR NodeB(gNB))。基站可以基于它们提供的覆盖的量(或者换言之,基于它们的发射功率水平)来分类,于是它们还可以被称为毫微微基站、微微基站、微基站或宏基站。基站可以是中继节点或控制中继的中继宿主节点。网络节点还可以包括分布式无线电基站的一个或多个(或所有)部分,例如集中式数字单元和/或远程无线电单元(RRU)(有时被称为远程无线电头端(RRH))。这种远程无线电单元可以与或可以不与天线集成为天线集成无线电。分布式无线电基站的部分也可以称为分布式天线系统(DAS)中的节点。网络节点的又一些示例包括多标准无线电(MSR)设备(如MSR BS)、网络控制器(如无线电网络控制器(RNC)或基站控制器(BSC))、基站收发机站(BTS)、传输点、传输节点、多小区/多播协调实体(MCE)、核心网络节点(例如,MSC、MME)、O&M节点、OSS节点、SON节点、定位节点(例如,E-SMLC)和/或MDT。然而,更一般地,网络节点可以表示如下的任何合适的设备(或设备组):该设备(或设备组)能够、被配置、被布置和/或可操作以实现和/或向无线设备提供对无线网络的接入,或向已接入无线网络的无线设备提供某种服务。
在图19中,网络节点1960包括处理电路1970、设备可读介质1980、接口1990、辅助设备1984、电源1986、电源电路1987和天线1962。尽管图19的示例无线网络中示出的网络节点1960可以表示包括所示硬件组件的组合的设备,但是其他实施例可以包括具有不同组件组合的网络节点。应当理解,网络节点包括执行本文公开的任务、特征、功能和方法所需的硬件和/或软件的任何适合组合。此外,虽然网络节点1960的组件被描绘为位于较大框内或嵌套在多个框内的单个框,但实际上,网络节点可包括构成单个图示组件的多个不同物理组件(例如,设备可读介质1980可以包括多个单独的硬盘驱动器以及多个RAM模块)。
类似地,网络节点1960可以由多个物理上分离的组件(例如,NodeB组件和RNC组件、或BTS组件和BSC组件等)组成,每个这些组件可以具有其各自的相应组件。在网络节点1960包括多个分离的组件(例如,BTS和BSC组件)的某些场景中,可以在若干网络节点之间共享这些分离的组件中的一个或多个。例如,单个RNC可以控制多个NodeB。在这种场景中,每个唯一的NodeB和RNC对在一些实例中可以被认为是单个单独的网络节点。在一些实施例中,网络节点1960可被配置为支持多种无线电接入技术(RAT)。在这种实施例中,一些组件可被复制(例如,用于不同RAT的单独的设备可读介质1980),并且一些组件可被重用(例如,可以由RAT共享相同的天线1962)。网络节点1960还可以包括用于集成到网络节点1960中的不同无线技术(例如,GSM、WCDMA、LTE、NR、WiFi或蓝牙无线技术)的多组各种所示组件。这些无线技术可以被集成到网络节点1960内的相同或不同芯片或芯片组和其他组件中。
处理电路1970被配置为执行本文描述为由网络节点提供的任何确定、计算或类似操作(例如,某些获得操作)。由处理电路1970执行的这些操作可以包括通过以下操作对由处理电路1970获得的信息进行处理:例如,将获得的信息转换为其他信息,将获得的信息或转换后的信息与存储在网络节点中的信息进行比较,和/或基于获得的信息或转换后的信息执行一个或多个操作,并根据所述处理的结果做出确定。
处理电路1970可以包括下述中的一个或多个的组合:微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或者任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合,其可操作为单独地或与其他网络节点1960组件(例如,设备可读介质1980)相结合来提供网络节点1960功能。例如,处理电路1970可以执行存储在设备可读介质1980中或存储在处理电路1970内的存储器中的指令。这样的功能可以包括提供本文讨论的各种无线特征、功能或益处中的任何一个。在一些实施例中,处理电路1970可以包括片上系统(SOC)。
在一些实施例中,处理电路1970可以包括射频(RF)收发机电路1972和基带处理电路1974中的一个或多个。在一些实施例中,射频(RF)收发机电路1972和基带处理电路1974可以位于单独的芯片(或芯片组)、板或单元(例如无线电单元和数字单元)上。在备选实施例中,RF收发机电路1972和基带处理电路1974的部分或全部可以在同一芯片或芯片组、板或单元上。
在某些实施例中,本文描述为由网络节点、基站、eNB或其他这样的网络设备提供的一些或所有功能可由处理电路1970执行,处理电路1970执行存储在设备可读介质1980或处理电路1970内的存储器上的指令。在备选实施例中,功能中的一些或全部可以例如以硬连线方式由处理电路1970提供,而无需执行存储在单独的或分立的设备可读介质上的指令。在任何这些实施例中,无论是否执行存储在设备可读存储介质上的指令,处理电路1970都可以被配置为执行所描述的功能。由这种功能提供的益处不仅限于处理电路1970或不仅限于网络节点1960的其他组件,而是作为整体由网络节点1960和/或总体上由终端用户和无线网络享有。
设备可读介质1980可以包括任何形式的易失性或非易失性计算机可读存储器,包括但不限于永久存储设备、固态存储器、远程安装存储器、磁介质、光学介质、随机存取存储器(RAM)、只读存储器(ROM)、大容量存储介质(例如,硬盘)、可移除存储介质(例如,闪存驱动器、致密盘(CD)或数字视频盘(DVD))和/或任何其他易失性或非易失性、非暂时性设备可读和/或计算机可执行存储器设备,其存储可由处理电路1970使用的信息、数据和/或指令。设备可读介质1980可以存储任何合适的指令、数据或信息,包括计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路1970执行并由网络节点1960使用的其他指令。设备可读介质1980可以用于存储由处理电路1970做出的任何计算和/或经由接口1990接收的任何数据。在一些实施例中,可以认为处理电路1970和设备可读介质1980是集成的。
接口1990用于网络节点1960、网络1906和/或WD 1910之间的信令和/或数据的有线或无线通信。如图所示,接口1990包括端口/端子1994,用于例如通过有线连接向网络1906发送数据和从网络1906接收数据。接口1990还包括无线电前端电路1992,其可以耦合到天线1962,或者在某些实施例中是天线1962的一部分。无线电前端电路1992包括滤波器1998和放大器1996。无线电前端电路1992可以连接到天线1962和处理电路1970。无线电前端电路可以被配置为调节天线1962和处理电路1970之间通信的信号。无线电前端电路1992可以接收数字数据,该数字数据将通过无线连接向外发送给其他网络节点或WD。无线电前端电路1992可以使用滤波器1998和/或放大器1996的组合将数字数据转换为具有适合信道和带宽参数的无线电信号。然后可以通过天线1962发送无线电信号。类似地,当接收数据时,天线1962可以收集无线电信号,然后由无线电前端电路1992将其转换为数字数据。数字数据可以被传递给处理电路1970。在其他实施例中,接口可包括不同组件和/或组件的不同组合。
在某些备选实施例中,网络节点1960可以不包括单独的无线电前端电路1992,作为替代,处理电路1970可以包括无线电前端电路并且可以连接到天线1962,而无需单独的无线电前端电路1992。类似地,在一些实施例中,RF收发机电路1972的全部或一些可以被认为是接口1990的一部分。在其他实施例中,接口1990可以包括一个或多个端口或端子1994、无线电前端电路1992和RF收发机电路1972(作为无线电单元(未示出)的一部分),并且接口1990可以与基带处理电路1974(是数字单元(未示出)的一部分)通信。
天线1962可以包括被配置为发送和/或接收无线信号的一个或多个天线或天线阵列。天线1962可以耦合到无线电前端电路1990,并且可以是能够无线地发送和接收数据和/或信号的任何类型的天线。在一些实施例中,天线1962可以包括一个或多个全向、扇形或平板天线,其可操作用于发送/接收在例如2GHz和66GHz之间的无线电信号。全向天线可以用于在任何方向上发送/接收无线电信号,扇形天线可以用于向/从在特定区域内的设备发送/接收无线电信号,以及平板天线可以是用于以相对直线的方式发送/接收无线电信号的视线天线。在一些情况下,使用多于一个天线可以称为MIMO。在某些实施例中,天线1962可以与网络节点1960分离,并且可以通过接口或端口连接到网络节点1960。
天线1962、接口1990和/或处理电路1970可以被配置为执行本文描述为由网络节点执行的任何接收操作和/或某些获得操作。可以从无线设备、另一网络节点和/或任何其他网络设备接收任何信息、数据和/或信号。类似地,天线1962、接口1990和/或处理电路1970可以被配置为执行本文描述的由网络节点执行的任何发送操作。可以将任何信息、数据和/或信号发送给无线设备、另一网络节点和/或任何其他网络设备。
电源电路1987可以包括电源管理电路或耦合到电源管理电路,并且被配置为向网络节点1960的组件提供电力以执行本文描述的功能。电源电路1987可以从电源1986接收电力。电源1986和/或电源电路1987可以被配置为以适合于各个组件的形式(例如,在每个相应组件所需的电压和电流水平处)向网络节点1960的各种组件提供电力。电源1986可以被包括在电源电路1987和/或网络节点1960中或在电源电路1987和/或网络节点1960外部。例如,网络节点1960可以经由输入电路或诸如电缆的接口连接到外部电源(例如,电源插座),由此外部电源向电源电路1987供电。作为另一个示例,电源1986可以包括电池或电池组形式的电源,其连接到或集成在电源电路1987中。如果外部电源发生故障,电池可以提供备用电力。也可以使用其他类型的电源,例如光伏器件。
网络节点1960的备选实施例可以包括超出图19中所示的组件的附加组件,所述附加组件可以负责提供网络节点的功能(包括本文描述的功能中的任一者和/或支持本文描述的主题所需的任何功能)的某些方面。例如,网络节点1960可以包括用户接口设备,以允许将信息输入到网络节点1960中并允许从网络节点1960输出信息。这可以允许用户针对网络节点1960执行诊断、维护、修复和其他管理功能。
如本文所使用的,无线设备(WD)指的是能够、被配置为、被布置为和/或可操作以与网络节点和/或其他无线设备无线通信的设备。除非另有说明,否则术语WD在本文中可与用户设备(UE)互换使用。无线传送可以包括使用电磁波、无线电波、红外波和/或适于通过空气传送信息的其他类型的信号来发送和/或接收无线信号。在一些实施例中,WD可以被配置为在没有直接人类交互的情况下发送和/或接收信息。例如,WD可以被设计为当由内部或外部事件触发时,或者响应于来自网络的请求,以预定的调度向网络发送信息。WD的示例包括但不限于智能电话、移动电话、蜂窝电话、IP语音(VoIP)电话、无线本地环路电话、台式计算机、个人数字助理(PDA)、无线摄像头、游戏控制台或设备、音乐存储设备、回放设备、可穿戴终端设备、无线端点、移动台、平板计算机、便携式计算机、便携式嵌入式设备(LEE)、便携式安装设备(LME)、智能设备、无线客户驻地设备(CPE)、车载无线终端设备等。WD可以例如通过实现用于副链路通信的3GPP标准来支持设备到设备(D2D)通信、车辆到车辆(V2V)通信,车辆到基础设施(V2I)通信,车辆到任何事物(V2X)通信,并且在这种情况下可以被称为D2D通信设备。作为又一特定示例,在物联网(IoT)场景中,WD可以表示执行监视和/或测量并将这种监视和/或测量的结果发送给另一WD和/或网络节点的机器或其他设备。在这种情况下,WD可以是机器到机器(M2M)设备,在3GPP上下文中它可以被称为MTC设备。作为一个具体示例,WD可以是实现3GPP窄带物联网(NB-IoT)标准的UE。这种机器或设备的具体示例是传感器、计量设备(例如,电表)、工业机器、或者家用或个人设备(例如,冰箱、电视等)、个人可穿戴设备(例如,手表、健身追踪器等)。在其他场景中,WD可以表示能够监视和/或报告其操作状态或与其操作相关联的其他功能的车辆或其他设备。如上所述的WD可以表示无线连接的端点,在这种情况下,该设备可以被称为无线终端。此外,如上所述的WD可以是移动的,在这种情况下,它也可以称为移动设备或移动终端。
如图所示,无线设备1910包括天线1911、接口1914、处理电路1920、设备可读介质1930、用户接口设备1932、辅助设备1934、电源1936和电源电路1937。WD 1910可以包括用于WD 1910支持的不同无线技术(例如,GSM、WCDMA、LTE、NR、WiFi、WiMAX、NB-IoT或蓝牙无线技术,仅提及一些)的多组一个或多个所示组件。这些无线技术可以集成到与WD 1910内的其他组件相同或不同的芯片或芯片组中。
天线1911可以包括被配置为发送和/或接收无线信号的一个或多个天线或天线阵列,并且连接到接口1914。在某些备选实施例中,天线1911可以与WD 1910分开并且可以通过接口或端口连接到WD1910。天线1911、接口1914和/或处理电路1920可以被配置为执行本文描述为由WD执行的任何接收或发送操作。可以从网络节点和/或另一个WD接收任何信息、数据和/或信号。在一些实施例中,无线电前端电路和/或天线1911可以被认为是接口。
如图所示,接口1914包括无线电前端电路1912和天线1911。无线电前端电路1912包括一个或多个滤波器1918和放大器1916。无线电前端电路1914连接到天线1911和处理电路1920,并且被配置为调节在天线1911和处理电路1920之间传送的信号。无线电前端电路1912可以耦合到天线1911或者是天线1911的一部分。在某些备选实施例中,WD 1910可以不包括单独的无线电前端电路1912;而是,处理电路1920可以包括无线电前端电路,并且可以连接到天线1911。类似地,在一些实施例中,RF收发机电路1922中的一些或全部可以被认为是接口1914的一部分。无线电前端电路1912可以接收数字数据,该数字数据将通过无线连接向外发送给其他网络节点或WD。无线电前端电路1912可以使用滤波器1918和/或放大器1916的组合将数字数据转换为具有适合信道和带宽参数的无线电信号。然后可以通过天线1911发送无线电信号。类似地,当接收数据时,天线1911可以收集无线电信号,然后由无线电前端电路1912将其转换为数字数据。数字数据可以被传递给处理电路1920。在其他实施例中,接口可包括不同组件和/或组件的不同组合。
处理电路1920可以包括下述中的一个或多个的组合:微处理器、控制器、微控制器、中央处理单元、数字信号处理器、专用集成电路、现场可编程门阵列、或者任何其它合适的计算设备、资源、或硬件、软件和/或编码逻辑的组合,其可操作为单独地或与其他WD1910组件(例如设备可读介质1930)相结合来提供WD 1910功能。这样的功能可以包括提供本文讨论的各种无线特征或益处中的任何一个。例如,处理电路1920可以执行存储在设备可读介质1930中或处理电路1920内的存储器中的指令,以提供本文公开的功能。
如图所示,处理电路1920包括RF收发机电路1922、基带处理电路1924和应用处理电路1926中的一个或多个。在其他实施例中,处理电路可以包括不同的组件和/或组件的不同组合。在某些实施例中,WD 1910的处理电路1920可以包括SOC。在一些实施例中,RF收发机电路1922、基带处理电路1924和应用处理电路1926可以在单独的芯片或芯片组上。在备选实施例中,基带处理电路1924和应用处理电路1926的一部分或全部可以组合成一个芯片或芯片组,并且RF收发机电路1922可以在单独的芯片或芯片组上。在另外的备选实施例中,RF收发机电路1922和基带处理电路1924的一部分或全部可以在同一芯片或芯片组上,并且应用处理电路1926可以在单独的芯片或芯片组上。在其他备选实施例中,RF收发机电路1922、基带处理电路1924和应用处理电路1926的一部分或全部可以组合在同一芯片或芯片组中。在一些实施例中,RF收发机电路1922可以是接口1914的一部分。RF收发机电路1922可以调节RF信号以用于处理电路1920。
在某些实施例中,本文描述为由WD执行的一些或所有功能可以由处理电路1920提供,处理电路1920执行存储在设备可读介质1930上的指令,在某些实施例中,设备可读介质1930可以是计算机可读存储介质。在备选实施例中,功能中的一些或全部可以例如以硬连线方式由处理电路1920提供,而无需执行存储在单独的或分立的设备可读存储介质上的指令。在任何这些特定实施例中,无论是否执行存储在设备可读存储介质上的指令,处理电路1920都可以被配置为执行所描述的功能。由这种功能提供的益处不仅限于处理电路1920或者不仅限于WD 1910的其他组件,而是作为整体由WD 1910和/或总体上由终端用户和无线网络享有。
处理电路1920可以被配置为执行本文描述为由WD执行的任何确定、计算或类似操作(例如,某些获得操作)。由处理电路1920执行的这些操作可以包括通过以下操作对由处理电路1920获得的信息进行处理:例如,将获得的信息转换为其他信息,将获得的信息或转换后的信息与由WD 1910存储的信息进行比较,和/或基于获得的信息或转换后的信息执行一个或多个操作,并根据所述处理的结果做出确定。
设备可读介质1930可操作以存储计算机程序、软件、包括逻辑、规则、代码、表等中的一个或多个的应用、和/或能够由处理电路1920执行的其他指令。设备可读介质1930可以包括计算机存储器(例如,随机存取存储器(RAM)或只读存储器(ROM))、大容量存储介质(例如,硬盘)、可移除存储介质(例如,致密盘(CD)或数字视频盘(DVD))、和/或任何其他易失性或非易失性、非暂时性设备可读和/或计算机可执行存储器设备,其存储可由处理电路1920使用的信息、数据和/或指令。在一些实施例中,可以认为处理电路1920和设备可读介质1930是集成的。
用户接口设备1932可以提供允许人类用户与WD 1910交互的组件。这种交互可以具有多种形式,例如视觉、听觉、触觉等。用户接口设备1932可操作以向用户产生输出,并允许用户向WD 1910提供输入。交互的类型可以根据安装在WD 1910中的用户接口设备1932的类型而变化。例如,如果WD 1910是智能电话,则交互可以经由触摸屏进行;如果WD 1910是智能仪表,则交互可以通过提供用量的屏幕(例如,使用的加仑数)或提供可听警报的扬声器(例如,如果检测到烟雾)进行。用户接口设备1932可以包括输入接口、设备和电路、以及输出接口、设备和电路。用户接口设备1932被配置为允许将信息输入到WD 1910中,并且连接到处理电路1920以允许处理电路1920处理输入信息。用户接口设备1932可以包括例如麦克风、接近或其他传感器、按键/按钮、触摸显示器、一个或多个相机、USB端口或其他输入电路。用户接口设备1932还被配置为允许从WD 1910输出信息,并允许处理电路1920从WD1910输出信息。用户接口设备1932可以包括例如扬声器、显示器、振动电路、USB端口、耳机接口或其他输出电路。通过使用用户接口设备1932的一个或多个输入和输出接口、设备和电路,WD 1910可以与终端用户和/或无线网络通信,并允许它们受益于本文描述的功能。
辅助设备1934可操作以提供可能通常不由WD执行的更具体的功能。这可以包括用于针对各种目的进行测量的专用传感器,用于诸如有线通信等之类的其他类型通信的接口等。辅助设备1934的组件的包括和类型可以根据实施例和/或场景而变化。
在一些实施例中,电源1936可以是电池或电池组的形式。也可以使用其他类型的电源,例如外部电源(例如电源插座)、光伏器件或电池单元。WD 1910还可以包括用于从电源1936向WD 1910的各个部分输送电力的电源电路1937,WD 1910的各个部分需要来自电源1936的电力以执行本文描述或指示的任何功能。在某些实施例中,电源电路1937可以包括电源管理电路。电源电路1937可以附加地或备选地可操作以从外部电源接收电力;在这种情况下,WD 1910可以通过输入电路或诸如电力线缆的接口连接到外部电源(例如电源插座)。在某些实施例中,电源电路1937还可操作以将电力从外部电源输送到电源1936。例如,这可以用于电源1936的充电。电源电路1937可以对来自电源1936的电力执行任何格式化、转换或其他修改,以使电力适合于被供电的WD 1910的各个组件。
图20示出了根据本文描述的各个方面的UE的一个实施例。如本文中所使用的,“用户设备”或“UE”可能不一定具有在拥有和/或操作相关设备的人类用户的意义上的“用户”。作为替代,UE可以表示意在向人类用户销售或由人类用户操作但可能不或最初可能不与特定的人类用户相关联的设备(例如,智能喷水控制器)。备选地,UE可以表示不意在向终端用户销售或由终端用户操作但可以与用户的利益相关联或针对用户的利益操作的设备(例如,智能电表)。UE 20200可以是由第三代合作伙伴计划(3GPP)识别的任何UE,包括NB-IoTUE、机器类型通信(MTC)UE和/或增强型MTC(eMTC)UE。如图20所示,UE 2000是根据第三代合作伙伴计划(3GPP)发布的一个或多个通信标准(例如3GPP的GSM、UMTS、LTE和/或5G标准)被配置用于通信的WD的一个示例。如前所述,术语WD和UE可以互换使用。因此,尽管图20是UE,但是本文讨论的组件同样适用于WD,反之亦然。
在图20中,UE 2000包括处理电路2001,其可操作地耦合到输入/输出接口2005、射频(RF)接口2009、网络连接接口2011、包括随机存取存储器(RAM)2017、只读存储器(ROM)2019和存储介质2021等的存储器2015、通信子系统2031、电源2033和/或任何其他组件,或其任意组合。存储介质2021包括操作系统2023、应用程序2025和数据2027。在其他实施例中,存储介质2021可以包括其他类似类型的信息。某些UE可以使用图20中所示的所有组件,或者仅使用这些组件的子集。组件之间的集成水平可以从一个UE到另一个UE而变化。此外,某些UE可以包含组件的多个实例,例如多个处理器、存储器、收发机、发射机、接收机等。
在图20中,处理电路2001可以被配置为处理计算机指令和数据。处理电路2001可以被配置为实现任何顺序状态机,其可操作为执行存储为存储器中的机器可读计算机程序的机器指令,所述状态机例如是:一个或多个硬件实现的状态机(例如,以离散逻辑、FPGA、ASIC等来实现);可编程逻辑连同适当的固件;一个或多个存储的程序、通用处理器(例如,微处理器或数字信号处理器(DSP))连同适合的软件;或以上的任何组合。例如,处理电路2001可以包括两个中央处理单元(CPU)。数据可以是适合于由计算机使用的形式的信息。
在所描绘的实施例中,输入/输出接口2005可以被配置为向输入设备、输出设备或输入和输出设备提供通信接口。UE 2000可以被配置为经由输入/输出接口2005使用输出设备。输出设备可以使用与输入设备相同类型的接口端口。例如,USB端口可用于提供向UE2000的输入和从UE 2000的输出。输出设备可以是扬声器、声卡、视频卡、显示器、监视器、打印机、致动器、发射机、智能卡、另一输出设备或其任意组合。UE 2000可以被配置为经由输入/输出接口2005使用输入设备以允许用户将信息捕获到UE 2000中。输入设备可以包括触摸敏感或存在敏感显示器、相机(例如,数字相机、数字摄像机、网络相机等)、麦克风、传感器、鼠标、轨迹球、方向板、触控板、滚轮、智能卡等。存在敏感显示器可以包括电容式或电阻式触摸传感器以感测来自用户的输入。传感器可以是例如加速度计、陀螺仪、倾斜传感器、力传感器、磁力计、光学传感器、接近传感器、另一类似传感器或其任意组合。例如,输入设备可以是加速度计、磁力计、数字相机、麦克风和光学传感器。
在图20中,RF接口2009可以被配置为向诸如发射机、接收机和天线之类的RF组件提供通信接口。网络连接接口2011可以被配置为提供对网络2043a的通信接口。网络2043a可以包括有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一类似网络或其任意组合。例如,网络2043a可以包括Wi-Fi网络。网络连接接口2011可以被配置为包括接收机和发射机接口,接收机和发射机接口用于根据一个或多个通信协议(例如,以太网、TCP/IP、SONET、ATM等)通过通信网络与一个或多个其他设备通信。网络连接接口2011可以实现适合于通信网络链路(例如,光学的、电气的等)的接收机和发射机功能。发射机和接收机功能可以共享电路组件、软件或固件,或者备选地可以分离地实现。
RAM 2017可以被配置为经由总线2002与处理电路2001接口连接,以在诸如操作系统、应用程序和设备驱动之类的软件程序的执行期间提供数据或计算机指令的存储或高速缓存。ROM 2019可以被配置为向处理电路2001提供计算机指令或数据。例如,ROM 2019可以被配置为存储用于存储在非易失性存储器中的基本系统功能的不变低层系统代码或数据,基本系统功能例如基本输入和输出(I/O)、启动或来自键盘的击键的接收。存储介质2021可以被配置为包括存储器,诸如RAM、ROM、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、磁盘、光盘、软盘、硬盘、可移除磁带盒或闪存驱动器。在一个示例中,存储介质2021可以被配置为包括操作系统2023、诸如web浏览器应用的应用程序2025、小部件或小工具引擎或另一应用以及数据文件2027。存储介质2021可以存储供UE 2000使用的各种操作系统中的任何一种或操作系统的组合。
存储介质2021可以被配置为包括多个物理驱动单元,如独立磁盘冗余阵列(RAID)、软盘驱动器、闪存、USB闪存驱动器、外部硬盘驱动器、拇指盘驱动器、笔式随身盘驱动器、钥匙盘驱动器、高密度数字多功能盘(HD-DVD)光盘驱动器、内置硬盘驱动器、蓝光光盘驱动器、全息数字数据存储(HDDS)光盘驱动器,外置迷你双列直插式存储器模块(DIMM),同步动态随机存取存储器(SDRAM),外部微DIMM SDRAM,诸如用户身份模块或可移除用户身份(SIM/RUIM)模块的智能卡存储器,其他存储器或其任意组合。存储介质2021可以允许UE2000访问存储在暂时性或非暂时性存储器介质上的计算机可执行指令、应用程序等,以卸载数据或上载数据。诸如利用通信系统的制品之类的制品可以有形地体现在存储介质2021中,存储介质2021可以包括设备可读介质。
在图20中,处理电路2001可以被配置为使用通信子系统2031与网络2043b通信。网络2043a和网络2043b可以是一个或多个相同的网络或一个或多个不同的网络。通信子系统2031可以被配置为包括用于与网络2043b通信的一个或多个收发机。例如,通信子系统2031可以被配置为包括用于根据一个或多个通信协议(例如IEEE 802.20、CDMA、WCDMA、GSM、LTE、UTRAN、WiMax等)与能够进行无线通信的另一设备(例如,另一WD、UE)或无线电接入网(RAN)的基站的一个或多个远程收发机通信的一个或多个收发机。每个收发机可以包括发射机2033和/或接收机2035,以分别实现适合于RAN链路的发射机或接收机功能(例如,频率分配等)。此外,每个收发机的发射机2033和接收机2035可以共享电路组件、软件或固件,或者替代地可以分离地实现。
在所示实施例中,通信子系统2031的通信功能可以包括数据通信、语音通信、多媒体通信、诸如蓝牙的短程通信、近场通信、基于位置的通信(诸如用于确定位置的全球定位系统(GPS)的使用)、另一个类似通信功能,或其任意组合。例如,通信子系统2031可以包括蜂窝通信、Wi-Fi通信、蓝牙通信和GPS通信。网络2043b可以包括有线和/或无线网络,诸如局域网(LAN)、广域网(WAN)、计算机网络、无线网络、电信网络、另一类似网络或其任意组合。例如,网络2043b可以是蜂窝网络、Wi-Fi网络和/或近场网络。电源2013可以被配置为向UE 2000的组件提供交流(AC)或直流(DC)电力。
本文描述的特征、益处和/或功能可以在UE 2000的组件之一中实现,或者在UE2000的多个组件之间划分。此外,本文描述的特征、益处和/或功能可以以硬件、软件或固件的任何组合来实现。在一个示例中,通信子系统2031可以被配置为包括本文描述的任何组件。此外,处理电路2001可以被配置为通过总线2002与任何这样的组件通信。在另一个示例中,任何这样的组件可以由存储在存储器中的程序指令表示,当由处理电路2001执行时,程序指令执行本文描述的对应功能。在另一示例中,任何这样的组件的功能可以在处理电路2001和通信子系统2031之间划分。在另一示例中,任何这样的组件的非计算密集型功能可以用软件或固件实现,并且计算密集型功能可以用硬件实现。
可以通过一个或多个虚拟装置的一个或多个功能单元或模块来执行本文公开的任何适当的步骤、方法、特征、功能或益处。每个虚拟装置可以包括多个这些功能单元。这些功能单元可以通过处理电路实现,处理电路可以包括一个或多个微处理器或微控制器以及其他数字硬件(可以包括数字信号处理器(DSP)、专用数字逻辑等)。处理电路可以被配置为执行存储在存储器中的程序代码,该存储器可以包括一种或若干类型的存储器,例如只读存储器(ROM)、随机存取存储器(RAM)、高速缓冲存储器、闪存设备、光学存储设备等。存储在存储器中的程序代码包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于执行本文所述的一种或多种技术的指令。在一些实现中,处理电路可用于使相应功能单元根据本公开的一个或多个实施例执行对应功能。
通常,除非明确给出和/或从使用了术语的上下文中暗示不同的含义,否则本文中使用的所有术语将根据其在相关技术领域中的普通含义来解释。除非另有明确说明,否则对一/一个/所述元件、设备、组件、装置、步骤等的所有引用应被开放地解释为指代元件、设备、组件、装置、步骤等中的至少一个实例。除非必须明确地将一个步骤描述为在另一步骤之后或之前和/或隐含地一个步骤必须在另一步骤之后或之前,否则本文所公开的任何方法的步骤不必以所公开的确切顺序执行。在适当的情况下,本文公开的任何实施例的任何特征可以应用于任何其他实施例。同样地,任何实施例的任何优点可以适用于任何其他实施例,反之亦然。通过描述,所附实施例的其他目的、特征和优点将显而易见。
术语单元可以在电子产品、电气设备和/或电子设备领域中具有常规含义,并且可以包括例如用于执行各个任务、过程、计算、输出和/或显示功能等(例如本文所述的那些功能)的电气和/或电子电路、设备、模块、处理器、存储器、逻辑固态和/或分立设备、计算机程序或指令。
本文中所使用的术语“A和/或B”涵盖具有单独的A、单独的B或A和B二者的实施例。因此,术语“A和/或B”可以等同地表示“A和B中的任何一个或多个中的至少一个”。
参考附图更全面地描述本文中设想的一些实施例。然而,其他实施例包含在本文公开的主题的范围内。所公开的主题不应被解释为仅限于本文所阐述的示例;相反,这些实施例是通过示例方式提供的,以向本领域技术人员传达本主题的范围。
Claims (51)
1.一种由编排器执行的方法,所述方法包括:
接收请求所述编排器编排服务并且指示可信计算策略的信令,资源必须证明符合所述可信计算策略,以便所述服务用所述资源来编排;以及
发送响应,所述响应指示所述编排器是否已经根据所接收的信令编排所述服务。
2.根据权利要求1所述的方法,其中,所述可信计算策略指定以下要求:要用来编排所述服务的资源必须具有特定标识、配置、行为或属性,其中,所述资源必须通过提供证明所述资源具有所述特定标识、配置、行为或属性的远程证明来证明符合所述可信计算策略。
3.根据权利要求1至2中任一项所述的方法,其中,所述可信计算策略指定以下要求:要用来编排所述服务的资源必须执行特定软件映像或版本,必须执行由特定软件提供商提供的软件,必须执行由特定软件认证者认证的软件,必须具有特定硬件,必须具有由特定硬件制造商提供的硬件,必须具有由特定硬件认证者认证的硬件,或其任意组合。
4.根据权利要求1至3中任一项所述的方法,还包括:
针对远程证明请求资源,所述远程证明声称证明符合所述可信计算策略;以及
从所述资源接收所请求的远程证明。
5.根据权利要求4所述的方法,还包括:通过验证所接收的远程证明是否证明符合所述可信计算策略来强制执行所述可信计算策略。
6.根据权利要求5所述的方法,其中,基于所述编排器验证所接收的远程证明,所述响应包括证明所述编排器本身符合所述可信计算策略的远程证明,并且所述远程证明隐式地指示用来编排所述服务的资源已经证明符合所述可信计算策略。
7.根据权利要求1至6中任一项所述的方法,其中,所述响应包括证明用来编排所述服务或将用来编排所述服务的资源符合所述可信计算策略的远程证明。
8.根据权利要求1至7中任一项所述的方法,还包括:响应于接收到所述信令,用资源来编排或试图编排所述服务,所述资源提供证明符合所述可信计算策略的远程证明。
9.根据权利要求1至8中任一项所述的方法,还包括:基于声称能够符合所述可信计算策略的资源,发现资源以编排所述服务。
10.根据权利要求1至9中任一项所述的方法,其中,所述信令指示一个或多个条件,在所述一个或多个条件下,要求资源证明符合所述可信计算策略。
11.根据权利要求10所述的方法,其中,所述一个或多个条件包括由资源处理所述服务的未加密数据。
12.根据权利要求1至11中任一项所述的方法,其中,所述信令还请求所述编排器本身证明所述编排器符合所述可信计算策略,并且其中,所述响应包括证明所述编排器本身符合所述可信计算策略的远程证明。
13.根据权利要求1至12中任一项所述的方法,其中,所述服务提供客户驻地设备与另一端点之间的私有通信机制,其中,所述请求是为所述客户驻地设备编排所述服务的请求。
14.根据权利要求1至13中任一项所述的方法,其中,所述服务是网络切片或传输切片。
15.根据权利要求1至14中任一项所述的方法,其中,所述服务是无线通信网络中的服务。
16.根据权利要求1至15中任一项所述的方法,其中,所述资源是计算资源、通信资源、或其组合。
17.根据权利要求1至16中任一项所述的方法,其中,所述请求是从要被编排所述服务的客户驻地设备接收的,或者其中,所述请求是从要编排所述服务的一部分的另一编排器接收的。
18.根据权利要求1至17中任一项所述的方法,还包括:向另一编排器发送信令,所述信令请求编排所述服务的至少一部分并且指示所述可信计算策略,资源必须证明符合所述可信计算策略,以便所述服务的至少一部分要用所述资源来编排。
19.一种由客户驻地设备执行的方法,所述方法包括:
从所述客户驻地设备向编排器发送信令,所述信令请求所述编排器为所述客户驻地设备编排服务并且指示可信计算策略,资源必须证明符合所述可信计算策略,以便所述服务用所述资源来编排;以及
从所述编排器接收响应,所述响应指示所述编排器是否已经根据所述信令为所述客户驻地设备编排所述服务。
20.根据权利要求19所述的方法,其中,所述可信计算策略指定以下要求:要用来编排所述服务的资源必须具有特定标识、配置、行为或属性,其中,所述资源必须通过提供证明所述资源具有所述特定标识、配置、行为或属性的远程证明来证明符合所述可信计算策略。
21.根据权利要求19至20中任一项所述的方法,其中,所述可信计算策略指定以下要求:要用来编排所述服务的资源必须执行特定软件映像或版本,必须执行由特定软件提供商提供的软件,必须执行由特定软件认证者认证的软件,必须具有特定硬件,必须具有由特定硬件制造商提供的硬件,必须具有由特定硬件认证者认证的硬件,或其任意组合。
22.根据权利要求19至21中任一项所述的方法,其中,所述响应指示所述编排器已经通过编排所述服务的资源强制执行符合所述可信计算策略。
23.根据权利要求19至22中任一项所述的方法,其中,所述响应包括远程证明,所述远程证明显式地证明所述编排器本身符合所述可信计算策略,并且隐式地证明所述编排器已经用来编排所述服务的资源符合所述可信计算策略。
24.根据权利要求19至23中任一项所述的方法,还包括:
从所述编排器接收证明已经用来编排所述服务的资源符合所述可信计算策略的远程证明;以及
验证所接收的远程证明,作为声明对所述服务的编排的所述请求得到满足的条件。
25.根据权利要求19至24中任一项所述的方法,其中,所述信令指示一个或多个条件,在所述一个或多个条件下,要求资源证明符合所述可信计算策略。
26.根据权利要求25所述的方法,其中,所述一个或多个条件包括由资源处理所述服务的未加密数据。
27.根据权利要求19至26中任一项所述的方法,其中,所述信令还请求所述编排器本身证明所述编排器符合所述可信计算策略,并且其中,所述方法还包括:
从所述编排器接收远程证明;以及
验证所述远程证明是否证明所述编排器本身符合所述可信计算策略。
28.根据权利要求19至27中任一项所述的方法,其中,所述服务提供所述客户驻地设备与另一端点之间的私有通信机制。
29.根据实施例19至28中任一项所述的方法,其中,所述服务是网络切片或传输切片。
30.根据权利要求19至29中任一项所述的方法,其中,所述服务是无线通信网络中的服务。
31.根据权利要求19至30中任一项所述的方法,其中,所述资源是计算资源、通信资源、或其组合。
32.一种由资源设备执行的方法,所述资源设备被配置为作为或托管用于提供至少一部分服务的资源,所述方法包括:
从编排器接收信令,所述信令请求所述资源证明所述资源符合由所述信令指示的可信计算策略;以及
向所述编排器发送响应,所述响应证明所述资源符合由所述信令指示的可信计算策略。
33.根据权利要求32所述的方法,其中,所述可信计算策略指定以下要求:所述资源必须具有特定标识、配置、行为或属性,并且其中,所述响应包括证明所述资源具有所述特定标识、配置、行为或属性的远程证明。
34.根据权利要求32至33中任一项所述的方法,其中,所述可信计算策略指定以下要求:所述资源必须执行特定软件映像或版本,必须执行由特定软件提供商提供的软件,必须执行由特定软件认证者认证的软件,必须具有特定硬件,必须具有由特定硬件制造商提供的硬件,必须具有由特定硬件认证者认证的硬件,或其任意组合。
35.根据权利要求32至34中任一项所述的方法,其中,所述信令请求所述资源提供证明符合所述可信计算策略的远程证明,并且其中,所述信令指示需要所述远程证明,以便所述资源提供所述服务的一部分。
36.根据权利要求32至35中任一项所述的方法,还包括:基于所述信令,从所述资源向所述编排器发送证明符合所述可信计算策略的远程证明。
37.根据权利要求32至36中任一项所述的方法,其中,所述信令指示一个或多个条件,在所述一个或多个条件下,要求所述资源符合所述可信计算策略。
38.根据权利要求37所述的方法,其中,所述一个或多个条件包括由资源处理所述服务的未加密数据。
39.根据权利要求32至38中任一项所述的方法,其中,所述服务提供客户驻地设备与另一端点之间的私有通信机制。
40.根据权利要求32至39中任一项所述的方法,其中,所述服务是网络切片或传输切片。
41.根据权利要求32至40中任一项所述的方法,其中,所述服务是无线通信网络中的服务。
42.根据权利要求32至41中任一项所述的方法,其中所述资源是计算资源、通信资源、或其组合。
43.一种编排器,包括:
处理电路和存储器,所述存储器包含由所述处理电路能够执行的指令,由此所述编排器被配置为执行根据权利要求1至18中任一项所述的任何步骤。
44.一种计算机程序,包括指令,所述指令在由编排器的至少一个处理器执行时使编排器设备执行根据权利要求1至18中任一项所述的步骤。
45.一种包含根据权利要求44所述的计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质之一。
46.一种客户驻地设备,包括
处理电路和存储器,所述存储器包含由所述处理电路能够执行的指令,由此所述客户驻地设备被配置为执行根据权利要求19至31中任一项所述的任何步骤。
47.一种计算机程序,包括指令,所述指令在由客户驻地设备的至少一个处理器执行时使所述客户驻地设备执行根据权利要求19至31中任一项所述的步骤。
48.一种包含根据权利要求47所述的计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质之一。
49.一种资源设备,包括:
处理电路和存储器,所述存储器包含由所述处理电路能够执行的指令,由此所述资源设备被配置为执行根据权利要求32至42中任一项所述的任何步骤。
50.一种计算机程序,包括指令,所述指令在由资源设备的至少一个处理器执行时使所述资源设备执行根据权利要求32至42中任一项所述的步骤。
51.一种包含根据权利要求50所述的计算机程序的载体,其中,所述载体是电信号、光信号、无线电信号或计算机可读存储介质之一。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202063056701P | 2020-07-26 | 2020-07-26 | |
| US63/056,701 | 2020-07-26 | ||
| PCT/EP2021/069917 WO2022023068A1 (en) | 2020-07-26 | 2021-07-16 | Orchestration of a service |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115803739A true CN115803739A (zh) | 2023-03-14 |
Family
ID=77104032
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180049406.7A Pending CN115803739A (zh) | 2020-07-26 | 2021-07-16 | 服务的编排 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230359498A1 (zh) |
| EP (1) | EP4189570A1 (zh) |
| CN (1) | CN115803739A (zh) |
| WO (1) | WO2022023068A1 (zh) |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2018075930A1 (en) * | 2016-10-20 | 2018-04-26 | Idac Holdings, Inc. | Determining and communicating security posture attributes |
| US11757650B2 (en) * | 2018-02-01 | 2023-09-12 | Intel Corporation | Distributed self sovereign identities for network function virtualization |
| US11611491B2 (en) * | 2018-04-12 | 2023-03-21 | Intel Corporation | Edge computing service global validation |
| US11327735B2 (en) * | 2018-10-16 | 2022-05-10 | Intel Corporation | Attestation manifest derivation and distribution using software update image |
-
2021
- 2021-07-16 EP EP21746675.4A patent/EP4189570A1/en active Pending
- 2021-07-16 US US18/017,519 patent/US20230359498A1/en active Pending
- 2021-07-16 WO PCT/EP2021/069917 patent/WO2022023068A1/en active Application Filing
- 2021-07-16 CN CN202180049406.7A patent/CN115803739A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20230359498A1 (en) | 2023-11-09 |
| WO2022023068A1 (en) | 2022-02-03 |
| EP4189570A1 (en) | 2023-06-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220171648A1 (en) | Container-first architecture | |
| US11451555B2 (en) | Resource-driven dynamic authorization framework | |
| US11669322B2 (en) | Firmware upgrade method and apparatus | |
| US20220286354A1 (en) | Blockchains For Securing IoT Devices | |
| US11907704B2 (en) | Attestation manifest derivation and distribution using software update image | |
| CN107548499B (zh) | 用于虚拟网络功能的安全自举的技术 | |
| US10574636B2 (en) | System, apparatus and method for migrating a device having a platform group | |
| US11734458B2 (en) | Extensible layered trusted computing base for computing devices | |
| El Jaouhari et al. | Secure firmware Over-The-Air updates for IoT: Survey, challenges, and discussions | |
| US20230131703A1 (en) | Systems and methods for configuring a network function proxy for secure communication | |
| US20220303123A1 (en) | Security profiles for ocf devices and trusted plaforms | |
| US11956634B2 (en) | Trusted solutions for enabling user equipment belonging to a home network to access data communication services in a visited network | |
| TWI752301B (zh) | 支援不同無線通訊系統之間的交互工作及/或移動性 | |
| US20230359498A1 (en) | Orchestration of a Service | |
| Raniyal et al. | An inter-device authentication scheme for smart homes using one-time-password over infrared channel | |
| WO2023216913A1 (zh) | 通信方法及装置 | |
| GB2595928A (en) | Machine to machine communications | |
| WO2022123287A1 (en) | Portability of configuration policies for service mesh-based composite applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |