用于支持基于网络的计算服务的系统和方法与流程

本发明总体上涉及基于网络的计算服务领域，并且更具体地涉及支持、管理和提高计算服务的安全性的方法，在所述计算服务中，计算和存储主要在靠近网络边缘的网络节点上执行。

背景技术：

1、边缘计算(edge computing，ec)是一种通过使计算和存储靠近网络边缘并因此更靠近终端用户来减少传输延迟和带宽消耗的计算方式。这种网络和计算的融合预计将成为包括6g在内的下一代无线系统的典型场景。

2、典型的ec应用包括具有大的带宽或严格的延迟要求的应用，例如，人工智能(artificial intelligence，ai)应用、增强现实(augmented reality，ar)游戏、虚拟现实(virtual reality，vr)游戏、机械等。随着ec技术的进一步发展，预期ec能力和平台(例如，边缘云)将深入部署在网络中(例如，在无线电节点上)并广泛使用。

3、在本发明中，除非另有说明，否则“计算服务”、“服务”和“应用”是等同的，可以互换使用。

4、通常，为了利用ec，经授权的服务提供商可以请求在网络中部署其计算服务。然而，边缘云可以由不同的供应商提供并由不一定相互信任的不同方(例如，不同的网络运营商和其他第三方)管理。在这种比当前网络和上一代网络更加开放和多样化的多边环境中，基础设施网络安全性是固有的挑战，必须在系统架构层面解决。为了解决人们日益关注的隐私问题，6g网络有望为客户提供隐私保护，包括设备隐私保护和数据隐私保护。

5、现有技术缺乏用于缓解在计算资源被分配给由一方控制的应用并利用另一方的资源来执行时所固有的安全风险的方法。例如，在由网络运营商运营的网络的边缘执行第一方的应用的情况下。因此，需要从系统架构设计的角度出发，通过以能够减少相关安全风险的方式管理和支持服务来消除或缓解现有技术的一个或更多个局限性的方法和系统。

6、提供背景技术的目的是揭示申请人认为可能与本发明相关的信息。不必也不应解释为任何上述信息构成本发明的现有技术。

技术实现思路

1、本发明的实施例通过采用系统架构方法来解决与边缘计算相关的安全风险。实施例涉及在网络设置中部署和操作计算服务，在这种网络设置下，可以执行一个或更多个基于网络的任务。任务是需要在至少两个不同网络实体之间交互的过程。举例来说，在人工智能(artificial intelligence，ai)模型构建时，任务的示例是数据准备任务、模型训练任务和模型验证。每个任务可以包括多个例程，每个例程包括在两个服务功能之间经由隐私路由器进行的数据通信。服务功能可以被链接起来，并且每个例程对应于链中的两个相邻服务功能。例程可以基于来自例程管理器的信息被执行。例程管理器可以从任务管理器获得数据，任务管理器可以从工作管理器获得数据，工作管理器可以从服务管理器获得数据。与现有技术的方法相比，通过根据来自例程管理器的指令经由隐私路由器在网络节点上执行计算服务的例程以及具有根据实施例的架构，计算服务可以被实现为在在安全性得以改善的网络云上执行。

2、实施例包括一种进行操作以执行计算服务的系统，计算服务包括至少一个例程和至少一个服务功能，每个例程与例程服务器功能和例程客户端功能相关联，所述系统包括：至少一个例程管理器，该至少一个例程管理器进行操作以执行例程并且用于：接收与例程相关联的同步要求；根据同步要求，邀请第一例程客户端执行与例程服务器的第一数据通信，其中第一例程客户端是例程客户端功能的实例，例程服务器是例程服务器功能的实例；根据同步要求，邀请第二例程客户端执行与例程服务器的第二数据通信，其中第二例程客户端是例程客户端功能的实例；至少一个第一隐私路由器，该至少一个第一隐私路由器进行操作以转发与例程服务器和第一例程客户端之间的第一数据通信相关联的数据业务；至少一个第二隐私路由器，该至少一个第二隐私路由器进行操作以转发与例程服务器和第二例程客户端之间的第二数据通信相关联的数据业务。在实施例中，同步要求可以是针对顺序通信的，并且邀请第二例程客户端可以在第一数据通信之前执行。在实施例中，同步要求可以是针对并行通信的，并且邀请第二例程客户端执行与例程服务器的第二数据通信可以在第一数据通信完成之前发生。在实施例中，邀请第二例程客户端还包括接收关于第一数据通信完成的通知。在实施例中，隐私路由器可以从例程管理器接收指示对数据业务执行代理重新加密的指令，并相应地执行该指令。在实施例中，第一隐私路由器和第二隐私路由器可以是同一实体。在实施例中，至少一个例程客户端可以是终端设备。在实施例中，同步要求可以包括标识例程客户端功能和例程服务器功能中的至少一者的信息。在实施例中，计算服务的例程和服务功能可以被分组为至少一个任务，并且所述系统还可以包括至少一个任务管理器，该任务管理器用于：被接口成与至少一个例程管理器通信，并且进行操作以：接收用于执行任务的命令；根据例程间依赖关系，协调任务的例程的执行；针对每个例程执行分配执行标识符；标识与每个例程相关联的至少一个例程管理器；以及通知例程管理器执行例程。在实施例中，任务可以被分组为工作，并且该系统还可以包括工作管理器，该工作管理器用于：被接口成与至少一个任务管理器通信，以及进行操作以：接收用于执行工作的命令；根据任务间依赖关系，协调工作的任务的执行；选择至少一个任务管理器来执行工作的任务；以及将每个任务命令发送给所选择的任务管理器。在实施例中，计算服务可以包括工作，并且所述系统还可以包括服务管理器，其中，服务管理器用于：被接口成与至少一个工作管理器通信，以及进行操作以：接收工作命令；基于每个工作管理器的工作量针对每个工作命令选择工作管理器；分配标识每个工作命令的信息；分配标识所述执行的信息；将所述信息发送给所选择的工作管理器；将所标识的工作命令转发给所选择的工作管理器；以及触发与所述服务相关联的工作的执行。在一些实施例中，该方法还包括分配标识工作的执行的信息。在实施例中，服务管理器还可以进行操作以：获得与工作相关联的任务间依赖关系数据；以及向工作管理器提供任务间依赖关系数据。在实施例中，系统还可以包括应用控制器，应用控制器被接口成与服务管理器通信，并且进行操作以通过与服务管理器交互来管理计算服务，所述交互包括：向服务管理器发送工作命令，以及接收所述工作命令的执行完成的通知。在实施例中，系统还可以包括至少一个服务数据存储库，该至少一个服务数据存储库被接口成与至少服务管理器、工作管理器和任务管理器通信，并且进行操作以接收、存储和发送包括以下中的一项或更多项的信息：标识每个计算服务的信息；针对每个计算服务的服务配置文件；标识每个工作的信息；指示任务间依赖关系的工作数据；指示例程间依赖关系的任务数据；指示同步要求的例程数据；指示至少一个第一隐私路由器和至少一个第二隐私路由器的计算平面数据；指示例程服务器功能和例程客户端功能的服务功能数据；以及指示第一例程客户端、第二例程客户端和例程服务器的部署数据。在实施例中，所述至少一个服务数据存储库还可以进行操作以接收、存储和发送包括用户订阅数据的信息。在实施例中，所述至少一个服务数据存储库还可以进行操作以接收、存储和发送包括设备状态信息的信息。在实施例中，任务管理器还进行操作以选择至少k个设备，以确保设备之间的k匿名，其中，数量k的值可以在例程数据、任务数据或者在本地配置中指示。在实施例中，任务管理器还进行操作以选择设备、将设备与例程管理器相关联以及向例程管理器通知这些设备，以便例程管理器能够邀请这些设备。

3、实施例包括一种执行计算服务的方法，所述方法包括：由例程管理器根据相应的同步要求，协调构成计算服务的例程的执行；其中，例程的执行包括以下处理：对来自例程的数据执行代理重新加密；转发来自例程的数据。在实施例中，协调例程的执行可以包括触发例程的执行，触发例程的执行可以包括：向隐私路由器发送第一通知，其中，所述隐私路由器用于处理与例程执行相关的数据，所述处理包括通过使用与数据的接收器相关的重新加密密钥对数据执行代理重新加密并转发来自例程的经重新加密的数据，以及将第二通知转发给例程服务器功能的实例，其中，所述第一通知包括标识计算服务的信息和标识例程的信息；向隐私路由器发送第三通知，其中，所述隐私路由器用于处理与例程执行相关的数据，所述处理包括通过使用与数据的接收器相关的重新加密密钥对数据执行代理重新加密并转发来自例程的经重新加密的数据，以及将第四通知转发给例程客户端功能的实例，其中，所述第三通知包括标识计算服务的信息和标识例程的信息；其中，至少一个隐私路由器还用于根据通信指令发起例程服务器功能的实例与例程客户端功能的实例之间的通信；并且处理与例程执行相关的数据是根据通信指令而执行的。在实施例中，通信指令可以包括在给隐私路由器的通知中。在实施例中，处理与例程执行相关的数据还可以包括通过使用与数据的接收器相关的重新加密密钥对数据执行代理重新加密。在实施例中，重新加密密钥可以被预先配置在隐私路由器中，或者作为通信指令的一部分从例程管理器接收。在实施例中，所述方法还包括由例程管理器从例程服务器功能的实例或例程客户端功能的实例接收数据通信完成的通知。在实施例中，例程管理器可以从例程客户端功能的实例接收数据通信完成的通知。在实施例中，协调例程的执行可以包括：由例程管理器向服务功能的第一实例发送第一邀请消息；由例程管理器向服务功能的第二实例发送第二邀请消息；由例程管理器从服务功能的第一实例接收第一接受消息，其中，所述第一接受消息包括用于对例程数据执行代理重新加密的安全材料；以及由例程管理器从服务功能的第二实例接收第二接受消息，其中，所述第二接受消息包括用于对例程数据执行代理重新加密的安全材料；其中，通过隐私路由器来促进每个消息的发送。在实施例中，第一邀请消息和第二邀请消息中的一个或更多个还包括以下中的一项或更多项：标识计算服务的信息；标识例程的信息；标识例程执行的信息。在实施例中，发送邀请消息还可以包括发送包括邀请消息的外部消息。在实施例中，外部消息还可以包括与隐私路由器相关的路由信息。在实施例中，协调例程的执行可以包括：由例程管理器从已获得与计算服务的服务配置文件相关联的信息的任务管理器接收执行例程的通知；从例程管理器向任务管理器发送确认；从例程管理器向例程服务器功能的实例发送邀请，以促进例程执行；从例程管理器向例程客户端功能的至少一个实例发送邀请，以促进至少一次例程执行；由例程管理器执行与例程客户端功能的每个实例的例程通信过程。在实施例中，协调例程的执行还可以包括：由包括所述例程管理器的至少一个例程管理器基于通过任务管理器获得的数据来执行至少一个例程，所述数据包括：使得能够选择所述至少一个例程管理器的数据；与所述至少一个例程相关联的例程数据；与任务关联的任务数据；与任务相关的计算平面数据；以及来自工作管理器的用于触发包括所述至少一个例程的任务的请求。在实施例中，工作管理器可以由服务管理器选择、接收来自服务管理器的工作命令，以及进行操作以接收与工作相关联的工作数据、接收关于如何执行工作的信息并接收至少一个执行条件。在实施例中，任务管理器还可以进行操作以选择至少k个设备，以确保设备之间的k匿名，其中，数量k的值可以在例程数据、任务数据或者在本地配置中指示。在实施例中，任务管理器还可以进行操作以选择设备、将设备与例程管理器相关联以及向例程管理器通知这些设备，以便例程管理器能够邀请这些设备。

4、另外的实施例包括用于执行本文中描述的方法的装置和系统。例如，一种装置，该装置包括处理器，该处理器与存储有指令的存储器耦接，所述指令在由处理器执行时将装置配置成执行如本文所描述且要求保护的方法。

5、另外的实施例包括一种机器可读介质，该机器可读介质存储有指令，所述指令在由处理器执行时将处理器配置成执行如本文所描述且要求保护的方法。