CN116208501A - Nfv中的tee资源编排方法、系统、设备及存储介质 - Google Patents
Nfv中的tee资源编排方法、系统、设备及存储介质 Download PDFInfo
- Publication number
- CN116208501A CN116208501A CN202211693686.8A CN202211693686A CN116208501A CN 116208501 A CN116208501 A CN 116208501A CN 202211693686 A CN202211693686 A CN 202211693686A CN 116208501 A CN116208501 A CN 116208501A
- Authority
- CN
- China
- Prior art keywords
- tee
- nfvo
- authentication
- host
- capability
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 230000006870 function Effects 0.000 claims abstract description 57
- OOXMVRVXLWBJKF-DUXPYHPUSA-N n-[3-[(e)-2-(5-nitrofuran-2-yl)ethenyl]-1,2,4-oxadiazol-5-yl]acetamide Chemical compound O1C(NC(=O)C)=NC(\C=C\C=2OC(=CC=2)[N+]([O-])=O)=N1 OOXMVRVXLWBJKF-DUXPYHPUSA-N 0.000 claims abstract description 37
- 238000012795 verification Methods 0.000 claims abstract description 10
- 238000007726 management method Methods 0.000 claims description 37
- 230000004044 response Effects 0.000 claims description 12
- 238000013468 resource allocation Methods 0.000 claims description 11
- 238000004590 computer program Methods 0.000 claims description 10
- 230000003993 interaction Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 8
- 238000012384 transportation and delivery Methods 0.000 claims description 4
- 238000012545 processing Methods 0.000 abstract description 8
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 238000009434 installation Methods 0.000 description 2
- 229920003087 methylethyl cellulose Polymers 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000004321 preservation Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000013175 transesophageal echocardiography Methods 0.000 description 1
- 230000007723 transport mechanism Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Stored Programmes (AREA)
Abstract
本发明提供一种NFV中的TEE资源编排方法、系统、设备及存储介质,涉及云计算技术领域,该方法包括:NFVO接收主机通过其归属管理的VIM通报的主机的TEE能力信息;NFVO根据接收到的TEE能力信息并基于用户侧的TEE能力需求,选择具有TEE能力的主机归属管理的VIM及关联的VNFM,并向VNFM发起VNF实例化请求,在具有TEE能力的主机中分配资源,以实现NFVO的TEE资源编排;主机在TEE能力开启后进行TEE实例远程验证;第三方应用对TEE应用实例进行验证。本发明提供的技术方案使得NFVO在部署VNF时,可以将对数据和代码隐私保护要求高的处理功能或模块部署在支持TEE的基础设施资源中。
Description
技术领域
本发明涉及云计算技术领域,尤其涉及一种NFV中的TEE资源编排方法、一种NFV中的TEE资源编排系统、一种TEE资源编排设备以及一种计算机可读存储介质。
背景技术
随着NFV(网络功能虚拟化,Network Functions Virtualisation)成为5G网络重要的使能技术,网络中的5G核心网、IMS、业务网元已经广泛采用NFV技术并实际部署。共同的NFVI(网络功能虚拟化基础设施,NFV Infrastructure)用于承载多个厂家的VNF(虚拟化的网络功能模块,Virtual Network Functions),或者同一个x86主机中存在多个厂家的VNFC(虚拟化的网络功能模块组件,Virtualised Network Function Component)。部分VNF网元存储有业务敏感数据(如用户合约数据、用户身份数据、用户位置数据等)以及秘钥数据(如TLS私钥数据等)。异厂家共用基础设施存在一定的隐私泄露隐患。此外,NFV也被MEC(多接入边缘计算,Multi-access Edge Computing)作为使能技术,MANO(管理与编排系统,Management and Orchestration)可以管理VNF(MEC APP)在边缘计算基础设施部署。然而MEC部署在网络边缘,环境复杂,基础设施及应用归属不同所有方,因此对数据处理的可信及隐私保护提出了新的要求。一方面,一些业务处理涉及到敏感数据,如人脸识别、位置数据、生产数据等,在通用x86构建的共用虚拟环境存在隐私泄露风险;另一方面,对于在园区本地处理的数据,需要对本地数据和第三方算法提供双向保护。基于TEE(可信执行环境,Trusted Execution Environment)的机密计算被认为可以用来实现“数据可用不可得”的一种可扩展性方案。通过将敏感数据和程序代码以密文形式输入TEE实例完成计算,并将计算结果输出,从而保护了数据和代码的隐私。
然而NFV在对NFVI(包括VM或者Docker的计算、存储、网络)资源进行编排时,存在如下问题:主机不能将自身是否支持TEE、以及TEE功能是否开启、支持何种TEE类型等信息告知VIM(NFVI管理模块,Virtualized Infrastructure Managers)及上层NFVO(网络功能虚拟化编排器,NFV Orchestrator);NFVO在进行资源编排时,一方面VNFD(VNFDescriptor,即,虚拟化的网络功能模块描述符)或NSD(NS Descriptor)中没有对TEE需求描述,另一方面NFVO没有对TEE资源编排的亲和性处理;涉及到使用TEE实例的远程认证,NFV未提供认证方法选择。
发明内容
为了至少部分解决现有技术中存在的NFVI服务器不支持TEE能力上报、NFVO在进行资源编排时没有对TEE需求描述和对TEE资源编排的亲和性处理、NFV未提供认证方法选择等技术问题而完成了本发明。
根据本发明的一方面,提供一种网络功能虚拟化NFV中的可信执行环境TEE资源编排方法,所述方法包括以下步骤:S1、网络功能虚拟化编排器NFVO接收用作网络功能虚拟化基础设施NFVI的主机通过所述主机归属管理的网络功能虚拟化基础设施管理模块VIM通报的所述主机的TEE能力信息;S2、所述NFVO根据接收到的所述TEE能力信息并基于用户侧的TEE能力需求,选择具有TEE能力的主机归属管理的VIM及关联的虚拟化的网络功能模块管理模块VNFM,并向所述VNFM发起虚拟化的网络功能模块VNF实例化请求,在所述具有TEE能力的主机中分配资源,以实现所述NFVO的TEE资源编排;S3、所述具有TEE能力的主机在TEE能力开启后进行TEE实例远程验证;S4、第三方应用对TEE应用实例环境进行验证。
可选地,所述TEE能力信息包括TEE支持与否情况、TEE支持类型、TEE开启情况和TEE(必要)配置信息情况,并且步骤S1包括:S11、所述主机将所述TEE能力信息通报给所述VIM;S12、所述VIM记录所述TEE能力信息,并将所述TEE能力信息通报给所述NFVO;S13、所述NFVO接收所述TEE能力信息,并记录所述主机的所述TEE支持与否情况以及关于所述VIM的信息。
可选地,所述用户侧的TEE能力需求通过在虚拟化的网络功能模块描述符VNFD的描述文件中增加TEE相关描述要求来提供。
可选地,步骤S2包括:S201、所述NFVO接收操作支持系统OSS发送的VNF实例化请求;S202、所述NFVO检查所述OSS发送的包括所述描述文件的VNF package配置,解析所述描述文件中资源需求及所述TEE能力需求,选择具有TEE能力的主机归属管理的VIM及关联的VNFM;S203、所述NFVO向所述VNFM发起VNF实例化请求;S204、所述VNFM向所述VIM发送资源分配请求,并在请求消息中携带VNF软件镜像信息;S205、所述VIM基于所述VNFM的请求在所述具有TEE能力的主机上分配相应资源、下载VNF软件镜像并在所述具有TEE能力的主机上实例化镜像;S206、所述VIM向所述VNFM发送资源分配请求响应;S207、所述VNFM向VNF/虚拟化的网络功能模块组件VNFC发送服务配置请求,其中所述服务配置请求包括TEE特定支持库文件和TEE远程验证配置;S208、所述VNF/VNFC向所述VNFM发送服务配置请求响应;S209、所述VNFM向所述NFVO发送VNF实例化结果响应,并将资源分配情况上报所述NFVO;S210、所述NFVO向所述OSS返回所述VNF实例化结果响应。
可选地,步骤S3包括:S301、所述具有TEE能力的主机在TEE能力开启后,向所述VIM发送认证信息和CA证书申请信息,所述认证信息至少包括CPU ID、TEE实例ID和TEE实例公钥;S302、所述VIM将所述认证信息和所述CA证书申请信息转发给所述VIM归属管理的NFVO;S303、所述NFVO将所述认证信息和所述CA证书申请信息转发给TEE厂商服务器;S304、所述TEE厂商服务器基于TEE的出厂信息,验证所述认证信息表示的TEE实例是否为真实TEE环境,并获得远程认证结果;如果所述远程认证结果为通过,则为所述具有TEE能力的主机提供的所述TEE公钥签发CA证书;S305、所述TEE厂商服务器将所述远程认证结果和所述CA证书返回给所述NFVO;S306、所述NFVO检查所述远程认证结果,并将所述CA证书在本地保存;S307、所述NFVO将所述远程认证结果和所述CA证书返回给所述VIM;S308、所述VIM将所述远程认证结果和所述CA证书返回给所述具有TEE能力的主机;S309、所述具有TEE能力的主机在本地保存所述CA证书。
可选地,当所述第三方应用与所述TEE应用实例处于相同的NFV环境中时,步骤S4包括:S411、所述TEE应用实例在本地生成认证report,并将所述认证report发送给所述第三方应用;S412、所述第三方应用向其归属管理的VNFM发送所述认证report以请求认证;S413、所述VNFM向其归属管理的NFVO发送所述认证report以请求认证;所述NFVO基于本地存储的CA证书,验证所述认证report中的签名信息,完成远程认证,并向所述VNFM返回远程认证结果;S414、所述VNFM向所述第三方应用返回所述远程认证结果;S415、所述第三方应用根据所述远程认证结果,判断与所述TEE应用实例是否继续交互;如果所述远程认证结果为通过,则所述第三方应用与所述TEE应用实例建立可信通信继续交互。
可选地,当所述第三方应用与所述TEE应用实例不在同一个NFV环境时,步骤S4包括:S421、所述TEE应用实例在本地生成认证report,并将所述认证report发送给所述第三方应用;S422、所述第三方应用向其归属管理的VNFM发送所述认证report以请求认证;S423、所述VNFM向其归属管理的第一NFVO发送所述认证report以请求认证;所述第一NFVO基于所述认证report中的地址,向所述TEE应用实例归属管理的第二NFVO发送认证请求;所述第二NFVO验证所述认证report中的签名信息,完成远程认证,并向所述第一NFVO返回远程认证结果;S424、所述第一NFVO向所述VNFM返回所述远程认证结果;S425、所述VNFM向所述第三方应用返回所述远程认证结果;S426、所述第三方应用根据所述远程认证结果,判断与所述TEE应用实例是否继续交互;如果所述远程认证结果为通过,则所述第三方应用与所述TEE应用实例建立可信通信继续交互。
可选地,当所述第三方应用不在NFV环境时,步骤S4包括:S431、所述TEE应用实例在本地生成认证report,并将所述认证report发送给所述第三方应用;S432、所述第三方应用向所述NFVO发送所述认证report以请求认证;所述NFVO验证所述认证report中的签名信息,完成远程认证;S433、所述NFVO向所述第三方应用返回认证结果。
根据本发明的另一方面,提供一种网络功能虚拟化NFV中的可信执行环境TEE资源编排系统,所述系统包括:虚拟化的网络功能模块VNF、用于管理所述VNF的虚拟化的网络功能模块管理模块VNFM、用作为所述VNF提供运行环境的网络功能虚拟化基础设施NFVI的主机、用于管理所述NFVI的网络功能虚拟化基础设施管理模块VIM、以及用于管理整个NFV的网络功能虚拟化编排器NFVO,所述NFVO用于接收所述主机通过所述主机归属管理的VIM通报的所述主机的TEE能力信息;所述NFVO根据接收到的所述TEE能力信息并基于用户侧的TEE能力需求,选择具有TEE能力的主机归属管理的VIM及关联的VNFM,并向所述VNFM发起VNF实例化请求,在所述具有TEE能力的主机中分配资源,以实现所述NFVO的TEE资源编排;并且所述具有TEE能力的主机用于在TEE能力开启后进行TEE实例远程验证,并且第三方应用能够对TEE应用实例环境进行远程认证。
根据本发明的又一方面,提供一种TEE资源编排设备,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行前述NFV中的TEE资源编排方法。
根据本发明的再一方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行前述NFV中的TEE资源编排方法。
本发明提供的技术方案可以包括以下有益效果:
本发明提供的NFV中的TEE资源编排方法,通过在NFV增加支持TEE的计算资源编排能力,使得NFVO在部署VNF时,可以将对数据和代码隐私保护要求高的处理功能或者模块部署在支持TEE的基础设施资源中,从而保护在复杂环境部署的NFV中业务安全及数据隐私。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本发明的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
图1为本发明实施例提供的NFV中的TEE资源编排方法的流程示意图;
图2为本发明实施例提供的NFV中的TEE资源编排系统的结构示意图;
图3为本发明实施例提供的NFV中的TEE资源编排方法中的NFVI服务器TEE能力上报的流程示意图;
图4为本发明实施例提供的NFV中的TEE资源编排方法中的NFVO对TEE资源需求识别与编排的流程示意图;
图5为本发明实施例提供的NFV中的TEE资源编排方法中的TEE身份认证及CA证书获取的流程示意图;
图6为本发明实施例提供的NFV中的TEE资源编排方法中的第三方应用对TEE实例环境认证的第一实施例的流程示意图;
图7为本发明实施例提供的NFV中的TEE资源编排方法中的第三方应用对TEE实例环境认证的第二实施例的流程示意图;
图8为本发明实施例提供的NFV中的TEE资源编排方法中的第三方应用对TEE实例环境认证的第三实施例的流程示意图;
图9为本发明实施例提供的TEE资源编排设备的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
可信执行环境(TEE)是一种强制只有授权程序代码才能在TEE内执行的执行环境,并且该程序代码使用的数据不能被TEE之外的代码读取或篡改。TEE是CPU内的一个安全区域。TEE运行在一个独立的环境中且与操作系统并行运行。CPU确保TEE中代码和数据的机密性和完整性都得到保护。在TEE中运行的受信任应用程序可以访问设备主处理器和内存的全部功能,而硬件隔离保护这些组件不受主操作系统中运行的用户安装应用程序的影响。因此,一些数据敏感的应用处理可以在TEE中执行,如秘钥生成及保存、支付账户认证、隐私数据处理等。通常硬件TEE包括Intel SGX、ARM TrustZone,AMD SEV等,可以部署在通用X86服务器中。
网络功能虚拟化(NFV)是指把传统的基于专用硬件实现的网络设备运行在基于X86通用服务器之上的虚拟化环境中,并能够进行自动化管理和统一资源编排。网络功能虚拟化通过部署虚拟化的网络功能模块(VNF),一方面摆脱了专用硬件的厂家锁定,另一方面可以利用云计算技术的优点,可以灵活的进行网元缩扩容、网络业务(NS networkservices)编排等。NFV作为5G使能技术,已经广泛应用在5G核心网以及5G MEC中。
ETSI(欧洲电信标准化协会)NFV功能虽然一直处于演进过程中,但其基本架构保持稳定。NFV主要包括如下几个网元(参考图2):
VNF(虚拟化的网络功能模块,Virtual Network Functions),其指虚拟机及部署在虚拟机上的业务网元、网络功能软件等。
NFVI(网络功能虚拟化基础设施,NFV Infrastructure),NFV基础设施,包括所需的硬件及软件,为VNF提供运行环境。NFVI包括:硬件层(Hardware),其包括提供计算、网络、存储资源能力的硬件设备;虚拟化层(Virtualization Layer),其主要完成对硬件资源的抽象,形成虚拟资源,如虚拟计算资源、虚拟存储资源、虚拟网络资源。
MANO(管理与编排系统,Management and Orchestration),其负责NFV的管理和编排,包括VIM,VNFM及NFVO,提供对VNF和NFVI资源的统一管理和编排功能。VIM(NFVI管理模块,即,网络功能虚拟化基础设施管理模块,Virtualized Infrastructure Managers)主要功能包括:资源的发现、虚拟资源的管理分配、故障处理等。VNFM(VNF管理模块,即,虚拟化的网络功能模块管理模块,VNF Managers)主要对VNF的生命周期(实例化、配置、关闭等)进行控制。NFVO(网络功能虚拟化编排器,NFV Orchestrator)实现对整个NFV基础架构、软件资源、网络服务的编排和管理。
通常地,NFVI服务器不支持TEE能力上报、NFVO在进行资源编排时没有对TEE需求描述和对TEE资源编排的亲和性处理、NFV未提供认证方法选择。参考图1,本公开提供一种NFV中TEE计算资源编排方法(NFV中可信执行环境计算资源编排方法)。该方法包括:NFVI服务器(主机)TEE能力上报(S1)、NFVO对TEE资源需求识别与编排(S2)以及NFVO对TEE应用实例远程认证(S3)。
更具体而言,本公开提供一种NFV中TEE计算资源编排方法。该方法包括以下步骤:S1、NFVO 16(参考图2)接收用作NFVI 13的主机通过主机归属管理的VIM 14通报(上报)的主机的TEE能力信息;
S2、NFVO 16根据接收到的TEE能力信息并基于用户侧的TEE能力需求,选择具有TEE能力的主机归属管理的VIM 14及关联的VNFM 15,并向VNFM 15发起VNF实例化请求,在具有TEE能力的主机中分配资源,以实现NFVO 16的TEE资源编排;S3、具有TEE能力的主机在TEE能力开启后进行TEE实例远程验证;S4、第三方应用对TEE应用实例环境进行认证。
下面具体描述NFV中TEE计算资源编排方法的具体步骤S1~S3。
NFVI服务器TEE能力上报(S1)
参考图3,步骤S1包括以下步骤:
S11:作为NFVI 13的通用服务器主机(以下还简称为主机)将其TEE支持与否情况、支持类型、TEE能力开启情况以及其他TEE配置信息情况(TEE必要配置信息情况)通告给主机归属管理的VIM 14(主机归属管理的VIM意思是,VIM是用于管理该主机的VIM)。TEE支持与否情况是指该主机是否支持硬件TEE能力。TEE支持类型是指具体厂家及TEE型号、CPU型号等,例如Inte SGX2,Xeon D-2752TER。TEE能力开启是指主机中TEE能力是否已启用。其他TEE配置信息(TEE必要配置信息)包括TEE远程认证URL、证书类型等。需要说明的是,在主机向VIM通告TEE支持与否情况前,主机应已经完成了必要TEE支持库文件安装和配置。
S12:VIM 14记录主机通报的关于TEE信息,并将TEE支持与否情况、支持类型、TEE能力开启情况以及其他TEE配置信息情况(TEE必要配置信息情况)通告给该VIM 14归属管理的NFVO 16;
S13:NFVO 16记录主机TEE支持与否情况信息,及其归属的VIM14及数据中心信息(这里,NFVO归属的VIM是指,NFVO是用于管理该VIM的NFVO)。
NFVO对TEE资源需求识别与编排(S2)
NFVO 16依据用户侧需求对基础设施资源进行编排,以满足VNF创建所需要的计算资源、存储资源和网络资源。NFVO 16依据VNFD(VNF Descriptor)的描述来创建资源。ETSIGS NFV-IFA 011v4.2.1中定义了VDU数据类型,用于描述对VNF 12的最小单元VNFC虚拟计算、虚拟内存、虚拟硬盘等资源的要求。但是VNFD中未包含对TEE能力的相关参数。为了提供NFVO 16对TEE资源需求识别及进行编排,满足用户侧需求,VNFD中需要提供对VNF 12所需资源是否需要TEE支持,所需TEE类型,所需TEE版本,以及对TEE资源需求的标识描述。本公开提供了TEE计算资源在VNFD中的类型定义,例如包括如下表所示的在VDU数据类型中新增加数据字段:
在如上所述通过在VNFD的描述文件中增加TEE相关描述要求来提供用户侧的TEE能力需求之后,可以进行NFVO 16对TEE计算资源编排。
具体而言,NFVO 16对TEE计算资源编排的前提条件是:VNF on-board package已经由用户侧生成,通过OSS 11(操作支持系统,Operations Support System)发送给NFVO,并完成在NFVO 16加载(onboard)。VNF onboard package中包含的VNF镜像需要TEE能力支持,并在VNFD描述符中说明。VNF package中包含构建VNF的软件镜像(或者镜像链接)以及VNFD描述文件。
参考图4,一个包含TEE能力要求的VNF实例化资源编排步骤(步骤S2)可以包括如下步骤:
S201:OSS 11向NFVO 16发送VNF实例化请求。
S202:NFVO 16检查VNF package配置,解析VNFD描述文件中资源需求及TEE能力需求,选择具有TEE能力的VIM 14(具有TEE能力的主机归属管理的VIM)及关联的VNFM 15。
S203:NFVO 16向VNFM 15发起VNF实例化请求。
S204:VNFM 15向管理具有TEE能力的主机的VIM 14发送资源分配请求,并在请求消息中携带VNF软件镜像信息(如镜像地址)。请求资源包括计算资源、存储资源、网络资源、TEE使用的内存空间等。
S205:VIM 14基于VNFM 15的请求在NFVI服务器(具有TEE能力的主机)分配相应资源,下载VNF软件镜像并在NFVI服务器实例化镜像。
S206:VIM 14向VNFM 15发送资源分配请求响应。
S207:VNFM 15发送对VNF/VNFC的服务配置请求,其中包括TEE特定支持库文件、TEE远程验证配置等。
S208:VNF/VNFC向VNFM 15发送服务配置请求响应。
S209:VNFM 15向NFVO 16发送VNF实例化结果响应,并将资源分配情况上报NFVO16。
S210:NFVO 16向OSS 11返回VNF实例化结果响应。
需要说明的是,VNF可能包含多个VNFC,也可能只包含一个VNFC;当一个VNF存在多个VNFC时,对TEE计算资源无需求的VNFC按照NFV原有方式进行资源编排。
NFVI服务器进行TEE实例远程验证(S3)
当TEE功能在NFVI服务器(具有TEE能力的主机)开启时,对于在TEE中没有事先安装证书的,需要完成对TEE身份及在TEE中生成的秘钥进行验证并签发证书。需要说明的是,所述在TEE中没有事先安装证书的,是指TEE开启后生成私钥,自行申请CA证书;但是由于具有TEE的NFVI服务器不是总能直接访问internet由包含TEE的CPU生产厂家直接对TEE身份及TEE实例进行远程认证,需要NFV网元承担代理功能。
具体由NFV网元涉及的到TEE的认证流程主要包括:1.TEE开通时的TEE身份认证及CA证书获取;2.验证TEE实例环境是否满足完整性及可信执行能力真实性。
下面参考图5描述TEE身份认证及CA证书获取,具体可以包括以下步骤。
S301:NFVI服务器(具有TEE能力的主机)将TEE能力开启后,完成TEE需要的库文件安装及配置,设置远程认证方式及远程认证URL地址。NFVI服务器向NFVO发起远程认证,携带CPU ID、TEE实例ID、TEE实例本地生成的公钥等信息、认证地址等,认证TEE环境是否真实以及TEE环境是否具备可信执行能力,并向TEE厂商服务器(例如signer服务器)申请CA证书。需要说明的是,NFVI服务器配置远程认证,URL地址可以是NFVO作为代理地址,或者TEE厂商signer服务器地址。当NFVI服务器不能直接连接internet时,应配置为NFVO作为代理地址(本发明中的情况);TEE厂商signer一般指TEE芯片的生产厂家。
S302:VIM 14收到NFVI服务器的认证请求及CA证书申请消息后,将该信息转发给VIM 14归属管理的NFVO 16。
S303:NFVO 16收到VIM 14转发的NFVI服务器的认证请求及CA证书申请消息后,根据预先配置的代理设置,将该消息转发给TEE对应的TEE厂商signer服务器。可选地,NFVO16使用自身私钥对NFVI服务器的认证请求及CA证书申请消息进行签名。
S304:TEE厂商signer服务器基于TEE的ID等出厂信息,验证TEE实例是否为真实TEE环境;如果验证通过,则为NFVI服务器TEE提供的公钥签发CA证书。
S305:TEE厂商signer服务器将远程认证结果及CA证书返回给NFVO 16。
S306:NFVO 16检查远程认证结果,将CA证书在本地保存。
S307:NFVO 16将TEE实例远程认证结果和CA证书返回给VIM 14。
S308:VIM 14将TEE实例远程认证结果和CA证书返回给NFVI服务器。
S309:NFVI服务器在本地保存该CA证书。
第三方应用对TEE应用实例环境进行验证(S4)
下面参考图6至图8描述第三方应用对TEE实例环境(TEE应用实例)认证的各个实施例。
当第三方应用需要与TEE实例环境中的执行程序进行交互,如将加密的数据作为TEE实例环境中代码的输入,需要判断TEE实例环境是否为真实的可信环境;需要说明的是,TEE实例环境可以是TEE的一个单独的应用实例环境,也可以是TEE环境本身;TEE实例环境用于承载第三方应用程序代码和敏感数据。
参考图6,当第三方应用与TEE应用实例处于相同的NFV环境中时,第三方应用对TEE应用实例进行认证可以包括以下步骤:
S411:TEE应用实例在本地生成认证report。认证report可以包括CPU安全信息、TEE安全信息、TEE应用实例执行环境安全属性及配置信息摘要、TEE CA证书、认证report完整性签名等。TEE应用实例将认证report发送给第三方应用。
S412:第三方应用向其归属管理的VNFM 15发送TEE应用实例认证report请求认证。
S413:VNFM 15向其归属管理的NFVO 16发送TEE应用实例认证report请求认证;NFVO 16基于本地存储的TEE CA证书,验证TEE应用实例认证report中签名信息,完成远程认证,并返回认证结果。
S414:VNFM 15向第三方应用返回TEE应用实例认证结果。
S415:第三方应用根据TEE应用实例认证结果,判断与TEE应用实例是否继续交互;如果TEE应用实例认证通过,则第三方应用与TEE应用实例可以建立可信通信继续交互。
参考图7,当第三方应用与TEE应用实例不在同一个NFV环境时,第三方可以访问本地NFVO对TEE应用实例的远程认证,具体而言,第三方应用对TEE应用实例进行认证可以包括以下步骤:
S421:TEE应用实例在本地生成认证report。认证report可以包括CPU安全信息、TEE安全信息、TEE应用实例执行环境安全属性及配置信息摘要、TEE CA证书、认证report完整性签名等。TEE应用实例将认证report发送给第三方应用。
S422:第三方应用向其归属管理的VNFM 15发送TEE应用实例认证report请求认证。
S423:VNFM 15向其归属管理的第一NFVO(NFVO-1)发送TEE应用实例认证report请求认证;第一NFVO基于TEE应用实例认证report中的URL地址,向TEE应用实例归属管理的第二NFVO(NFVO-2)发送认证请求;第二NFVO基于本地存储的TEE CA证书,验证TEE应用实例认证report中签名信息,完成远程认证,并向第一NFVO返回认证结果。
S424:第一NFVO向VNFM 15返回TEE应用实例远程认证结果。
S425:VNFM 15向第三方应用返回TEE应用实例远程认证结果。
S426:第三方应用根据TEE应用实例认证结果,判断与TEE应用实例是否继续交互;如果TEE应用实例认证通过,则第三方应用与TEE应用实例可以建立可信通信继续交互。
参考图8,当第三方应用不在NFV环境时,第三方可以以直接访问NFVO进行对TEE应用实例的远程认证,具体而言,第三方应用对TEE应用实例进行认证可以包括以下步骤:
S431:TEE应用实例在本地生成认证report。TEE应用实例将认证report发送给第三方应用。
S432:第三方应用向NFVO 16发送TEE应用实例认证report请求认证;NFVO 16基于本地存储的TEE CA证书,验证TEE应用实例认证report中签名信息,完成远程认证。
S433:NFVO 16向第三方应用返回认证结果。
本发明实施例还提供一种NFV中的TEE资源编排系统10,参考图2,该系统包括VNF12、用于管理VNF 12的VNFM 15、用作为VNF 12提供运行环境的NFVI 13的主机、用于管理NFVI 13的VIM 14、以及用于管理整个NFV的NFVO 16,NFVO 16接收主机通过主机归属管理的VIM 14通报的主机的TEE能力信息;NFVO 16用于根据接收到的TEE能力信息并基于用户侧的TEE能力需求,选择具有TEE能力的主机归属管理的VIM 14及关联的VNFM 15,并向VNFM15发起VNF实例化请求,在具有TEE能力的主机中分配资源,以实现NFVO 16的TEE资源编排;并且具有TEE能力的主机用于在TEE能力开启后进行TEE实例远程验证,并且第三方应用能够对TEE应用实例环境进行远程认证。通过NFV中的TEE资源编排系统10可以执行上述NFV中的TEE资源编排方法。应理解的是,TEE资源编排系统10还可以包括例如OSS(或者BSS)11、WIM、EM等其它必要的模块。
基于相同的技术构思,本发明实施例相应还提供一种TEE资源编排设备20,如图9所示,TEE资源编排设备20包括存储器21和处理器22,存储器21中存储有计算机程序,当处理器22运行存储器21存储的计算机程序时,处理器22执行前述NFV中的TEE资源编排方法。
基于相同的技术构思,本发明实施例相应还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时,处理器执行前述NFV中的TEE资源编排方法。
综上所述,本发明实施例提供的NFV中的TEE资源编排方法、系统、设备及存储介质,通过在NFV增加支持TEE的计算资源编排能力,使得NFVO在部署VNF时,可以将对数据和代码隐私保护要求高的处理功能或者模块部署在支持TEE的基础设施资源中,从而保护在复杂环境部署的NFV中业务安全及数据隐私。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。
Claims (11)
1.一种网络功能虚拟化NFV中的可信执行环境TEE资源编排方法,其特征在于,包括以下步骤:
S1、网络功能虚拟化编排器NFVO接收用作网络功能虚拟化基础设施NFVI的主机通过所述主机归属管理的网络功能虚拟化基础设施管理模块VIM通报的所述主机的TEE能力信息;
S2、所述NFVO根据接收到的所述TEE能力信息并基于用户侧的TEE能力需求,选择具有TEE能力的主机归属管理的VIM及关联的虚拟化的网络功能模块管理模块VNFM,并向所述VNFM发起虚拟化的网络功能模块VNF实例化请求,在所述具有TEE能力的主机中分配资源,以实现所述NFVO的TEE资源编排;
S3、所述具有TEE能力的主机在TEE能力开启后进行TEE实例远程验证;
S4、第三方应用对TEE应用实例环境进行验证。
2.根据权利要求1所述的NFV中的TEE资源编排方法,其特征在于,
所述TEE能力信息包括TEE支持与否情况、TEE支持类型、TEE开启情况和TEE配置信息情况,并且步骤S1包括:
S11、所述主机将所述TEE能力信息通报给所述VIM;
S12、所述VIM记录所述TEE能力信息,并将所述TEE能力信息通报给所述NFVO;
S13、所述NFVO接收所述TEE能力信息,并记录所述主机的所述TEE支持与否情况以及关于所述VIM的信息。
3.根据权利要求1所述的NFV中的TEE资源编排方法,其特征在于,所述用户侧的TEE能力需求通过在虚拟化的网络功能模块描述符VNFD的描述文件中增加TEE相关描述要求来提供。
4.根据权利要求3所述的NFV中的TEE资源编排方法,其特征在于,步骤S2包括:
S201、所述NFVO接收操作支持系统OSS发送的VNF实例化请求;
S202、所述NFVO检查所述OSS发送的包括所述描述文件的VNF package配置,解析所述描述文件中资源需求及所述TEE能力需求,选择具有TEE能力的主机归属管理的VIM及关联的VNFM;
S203、所述NFVO向所述VNFM发起VNF实例化请求;
S204、所述VNFM向所述VIM发送资源分配请求,并在请求消息中携带VNF软件镜像信息;
S205、所述VIM基于所述VNFM的请求在所述具有TEE能力的主机上分配相应资源、下载VNF软件镜像并在所述具有TEE能力的主机上实例化镜像;
S206、所述VIM向所述VNFM发送资源分配请求响应;
S207、所述VNFM向VNF/虚拟化的网络功能模块组件VNFC发送服务配置请求,其中所述服务配置请求包括TEE特定支持库文件和TEE远程验证配置;
S208、所述VNF/VNFC向所述VNFM发送服务配置请求响应;
S209、所述VNFM向所述NFVO发送VNF实例化结果响应,并将资源分配情况上报所述NFVO;
S210、所述NFVO向所述OSS返回所述VNF实例化结果响应。
5.根据权利要求1所述的NFV中的TEE资源编排方法,其特征在于,步骤S3包括:
S301、所述具有TEE能力的主机在TEE能力开启后,向所述VIM发送认证信息和CA证书申请信息,所述认证信息至少包括CPUID、TEE实例ID和TEE实例公钥;
S302、所述VIM将所述认证信息和所述CA证书申请信息转发给所述VIM归属管理的NFVO;
S303、所述NFVO将所述认证信息和所述CA证书申请信息转发给TEE厂商服务器;
S304、所述TEE厂商服务器基于TEE的出厂信息,验证所述认证信息表示的TEE实例是否为真实TEE环境,并获得远程认证结果;如果所述远程认证结果为通过,则为所述具有TEE能力的主机提供的所述TEE公钥签发CA证书;
S305、所述TEE厂商服务器将所述远程认证结果和所述CA证书返回给所述NFVO;
S306、所述NFVO检查所述远程认证结果,并将所述CA证书在本地保存;
S307、所述NFVO将所述远程认证结果和所述CA证书返回给所述VIM;
S308、所述VIM将所述远程认证结果和所述CA证书返回给所述具有TEE能力的主机;
S309、所述具有TEE能力的主机在本地保存所述CA证书。
6.根据权利要求1所述的NFV中的TEE资源编排方法,其特征在于,当所述第三方应用与所述TEE应用实例处于相同的NFV环境中时,步骤S4包括:
S411、所述TEE应用实例在本地生成认证report,并将所述认证report发送给所述第三方应用;
S412、所述第三方应用向其归属管理的VNFM发送所述认证report以请求认证;
S413、所述VNFM向其归属管理的NFVO发送所述认证report以请求认证;所述NFVO基于本地存储的CA证书,验证所述认证report中的签名信息,完成远程认证,并向所述VNFM返回远程认证结果;
S414、所述VNFM向所述第三方应用返回所述远程认证结果;
S415、所述第三方应用根据所述远程认证结果,判断与所述TEE应用实例是否继续交互;如果所述远程认证结果为通过,则所述第三方应用与所述TEE应用实例建立可信通信继续交互。
7.根据权利要求1所述的NFV中的TEE资源编排方法,其特征在于,当所述第三方应用与所述TEE应用实例不在同一个NFV环境时,步骤S4包括:
S421、所述TEE应用实例在本地生成认证report,并将所述认证report发送给所述第三方应用;
S422、所述第三方应用向其归属管理的VNFM发送所述认证report以请求认证;
S423、所述VNFM向其归属管理的第一NFVO发送所述认证report以请求认证;所述第一NFVO基于所述认证report中的地址,向所述TEE应用实例归属管理的第二NFVO发送认证请求;所述第二NFVO验证所述认证report中的签名信息,完成远程认证,并向所述第一NFVO返回远程认证结果;
S424、所述第一NFVO向所述VNFM返回所述远程认证结果;
S425、所述VNFM向所述第三方应用返回所述远程认证结果;
S426、所述第三方应用根据所述远程认证结果,判断与所述TEE应用实例是否继续交互;如果所述远程认证结果为通过,则所述第三方应用与所述TEE应用实例建立可信通信继续交互。
8.根据权利要求1所述的NFV中的TEE资源编排方法,其特征在于,当所述第三方应用不在NFV环境时,步骤S4包括:
S431、所述TEE应用实例在本地生成认证report,并将所述认证report发送给所述第三方应用;
S432、所述第三方应用向所述NFVO发送所述认证report以请求认证;所述NFVO验证所述认证report中的签名信息,完成远程认证;
S433、所述NFVO向所述第三方应用返回认证结果。
9.一种网络功能虚拟化NFV中的可信执行环境TEE资源编排系统,其特征在于,包括:虚拟化的网络功能模块VNF、用于管理所述VNF的虚拟化的网络功能模块管理模块VNFM、用作为所述VNF提供运行环境的网络功能虚拟化基础设施NFVI的主机、用于管理所述NFVI的网络功能虚拟化基础设施管理模块VIM、以及用于管理整个NFV的网络功能虚拟化编排器NFVO,所述NFVO用于接收所述主机通过所述主机归属管理的VIM通报的所述主机的TEE能力信息;所述NFVO根据接收到的所述TEE能力信息并基于用户侧的TEE能力需求,选择具有TEE能力的主机归属管理的VIM及关联的VNFM,并向所述VNFM发起VNF实例化请求,在所述具有TEE能力的主机中分配资源,以实现所述NFVO的TEE资源编排;并且所述具有TEE能力的主机用于在TEE能力开启后进行TEE实例远程验证,并且第三方应用能够对TEE应用实例环境进行远程认证。
10.一种TEE资源编排设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1至8中任一项所述的NFV中的TEE资源编排方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1至8中任一项所述的NFV中的TEE资源编排方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211693686.8A CN116208501A (zh) | 2022-12-28 | 2022-12-28 | Nfv中的tee资源编排方法、系统、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211693686.8A CN116208501A (zh) | 2022-12-28 | 2022-12-28 | Nfv中的tee资源编排方法、系统、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116208501A true CN116208501A (zh) | 2023-06-02 |
Family
ID=86508616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211693686.8A Pending CN116208501A (zh) | 2022-12-28 | 2022-12-28 | Nfv中的tee资源编排方法、系统、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116208501A (zh) |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170177396A1 (en) * | 2015-12-22 | 2017-06-22 | Stephen T. Palermo | Methods and apparatus for multi-stage vm virtual network function and virtual service function chain acceleration for nfv and needs-based hardware acceleration |
| CN107637018A (zh) * | 2015-06-16 | 2018-01-26 | 英特尔公司 | 用于安全监视虚拟网络功能的安全个性化的技术 |
| CN111464335A (zh) * | 2020-03-10 | 2020-07-28 | 北京邮电大学 | 一种内生可信网络的服务智能定制方法及系统 |
| CN111543029A (zh) * | 2018-02-01 | 2020-08-14 | 英特尔公司 | 网络功能虚拟化的分布式自主权身份 |
| CN112464251A (zh) * | 2015-05-11 | 2021-03-09 | 英特尔公司 | 用于虚拟网络功能的安全自举的技术 |
| CN114978912A (zh) * | 2021-02-23 | 2022-08-30 | 中国电信股份有限公司 | 资源授权方法、nfvo、网络系统以及存储介质 |
-
2022
- 2022-12-28 CN CN202211693686.8A patent/CN116208501A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112464251A (zh) * | 2015-05-11 | 2021-03-09 | 英特尔公司 | 用于虚拟网络功能的安全自举的技术 |
| CN107637018A (zh) * | 2015-06-16 | 2018-01-26 | 英特尔公司 | 用于安全监视虚拟网络功能的安全个性化的技术 |
| US20170177396A1 (en) * | 2015-12-22 | 2017-06-22 | Stephen T. Palermo | Methods and apparatus for multi-stage vm virtual network function and virtual service function chain acceleration for nfv and needs-based hardware acceleration |
| CN111543029A (zh) * | 2018-02-01 | 2020-08-14 | 英特尔公司 | 网络功能虚拟化的分布式自主权身份 |
| CN111464335A (zh) * | 2020-03-10 | 2020-07-28 | 北京邮电大学 | 一种内生可信网络的服务智能定制方法及系统 |
| CN114978912A (zh) * | 2021-02-23 | 2022-08-30 | 中国电信股份有限公司 | 资源授权方法、nfvo、网络系统以及存储介质 |
Non-Patent Citations (3)
| Title |
|---|
| TEODORA SECHKOVA; ENRICO BARBERIS; MICHELE PAOLINO: "Cloud & Edge Trusted Virtualized Infrastructure Manager (VIM) - Security and Trust in OpenStack", IEEE, 18 November 2019 (2019-11-18) * |
| 朱玉权: "网络功能虚拟化的自适应信任管理", CNKI, 30 April 2018 (2018-04-30) * |
| 邹晶晶;金晶;: "开放雾计算参考架构安全问题初探", 电子产品世界, no. 05, 4 May 2020 (2020-05-04) * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3937424B1 (en) | Blockchain data processing methods and apparatuses based on cloud computing | |
| EP3295648B1 (en) | Technologies for secure bootstrapping of virtual network functions | |
| EP1805571B1 (en) | Verifying binding of an initial trusted device to a secured processing system | |
| EP2862379B1 (en) | Method and apparatus for secure application execution | |
| KR101819102B1 (ko) | Nfc 장치에서의 보안 어플리케이션 실행 방법 | |
| EP2965192B1 (en) | Configuration and verification by trusted provider | |
| EP3382537B1 (en) | Verifying that usage of virtual network function (vnf) by a plurality of compute nodes comply with allowed usage rights | |
| US10489145B2 (en) | Secure update of firmware and software | |
| EP4191453A1 (en) | Platform security | |
| US11451405B2 (en) | On-demand emergency management operations in a distributed computing system | |
| CN114402295A (zh) | 安全运行时系统和方法 | |
| US10771462B2 (en) | User terminal using cloud service, integrated security management server for user terminal, and integrated security management method for user terminal | |
| US11588646B2 (en) | Identity-based application and file verification | |
| CN111783051A (zh) | 身份认证方法及装置和电子设备 | |
| CN113301107B (zh) | 节点计算平台及其实现方法、计算机可读存储介质 | |
| US11748520B2 (en) | Protection of a secured application in a cluster | |
| WO2016045042A1 (zh) | 一种安全单元中内容管理的方法及装置 | |
| CN116208501A (zh) | Nfv中的tee资源编排方法、系统、设备及存储介质 | |
| CN115278671A (zh) | 网元鉴权方法、装置、存储介质和电子设备 | |
| US11989279B2 (en) | Method and system for service image deployment in a cloud computing system based on distributed ledger technology | |
| CN115934348A (zh) | 边缘计算中的tee资源编排方法、系统、设备及存储介质 | |
| KR20140106940A (ko) | 모바일 단말용 애플리케이션 검증 장치 | |
| KR20130053867A (ko) | 보안 어플리케이션 다운로드 관리방법, 이를 적용한 보안 어플리케이션 다운로드 관리서버, 단말기, 및 관리시스템 | |
| CN109286494B (zh) | 一种虚拟网络功能vnf的初始化凭据生成方法及设备 | |
| WO2023066055A1 (zh) | 编排部署方法、设备及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |