CN111543029A - 网络功能虚拟化的分布式自主权身份 - Google Patents

网络功能虚拟化的分布式自主权身份 Download PDF

Info

Publication number
CN111543029A
CN111543029A CN201880083922.XA CN201880083922A CN111543029A CN 111543029 A CN111543029 A CN 111543029A CN 201880083922 A CN201880083922 A CN 201880083922A CN 111543029 A CN111543029 A CN 111543029A
Authority
CN
China
Prior art keywords
contract
service
dwh
network
chain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201880083922.XA
Other languages
English (en)
Inventor
K·苏德
N·M·史密斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of CN111543029A publication Critical patent/CN111543029A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/50Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using hash chains, e.g. blockchains or hash trees
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0643Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3218Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using proof of knowledge, e.g. Fiat-Shamir, GQ, Schnorr, ornon-interactive zero-knowledge proofs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks

Abstract

公开了使用区块链技术分发网络服务编排的各种***和方法。通过使用DSFC契约区块链来发布使用NFV交付的网络服务编排的投标。使用自主权身份区块链标识设备、DSFC契约和对网络服务的请求的发起者。设备确定其是基于DSFC契约区块链来编排网络服务,并从包含网络服务的实体的DWH契约投标的DWH契约区块链标识用于提供网络服务的至少一个实体。实体和DWH契约使用自主权身份区块链进行标识。设备确保至少一个实体根据DWH契约执行DWH契约,并在履行后提供报酬。

Description

网络功能虚拟化的分布式自主权身份
优先权要求
本专利申请要求2018年2月1日提交的美国临时专利申请第62/625,177号的优先权的权益,该申请通过引用整体结合于此。
技术领域
本文描述的实施例通常涉及无线电接入网络。一些实施例涉及蜂窝网络中的网络功能虚拟化(NFV),这些蜂窝网络包括第三代合作伙伴计划长期演进(3GPP LTE)网络和先进LTE(LTE-A)网络以及***(4G)网络和第五代/下一代(5G/NG)网络。一些实施例涉及使用NFV的网络的安全认证。
背景技术
由于使用网络资源的用户设备(UE)的设备类型以及由在这些UE上运行的各种应用(诸如视频流送)使用的数据量和带宽的增加,因此3GPP LTE***(包括LTE和先进LTE***)的使用已经增加。因此,LTE***与下一代无线通信***5G一起不断发展,以改善对信息的访问和数据共享。5G***希望提供统一的网络,该网络能够满足由不同的服务和应用所驱动的巨大差异且有时冲突的性能维度和服务,同时保持与传统UE和应用的兼容性。
随着通信设备数量和多样性的大大增加,相对应的网络环境(包括路由器、交换机、网桥、网关、防火墙和负载平衡器)变得越来越复杂,尤其随着5G***的出现。为了增加由网络设备提供的各种服务的复杂性,网络设备的许多物理实现是适当的,并且可能无法合并新的或经调节的物理组件来补偿不同的网络状况。这导致了网络功能虚拟化(NFV)的发展,其可以提供一种虚拟化环境,该环境能够提供能在数据中心中的通用计算***上作为软件应用(称为虚拟网络功能(VNF)交付的任何网络功能或服务)。NFV的使用可以为配置网络元件提供灵活性、实现动态网络优化和较快地适应新技术。
现有服务提供商已开始在通用云部署上采用NFV作为功能即服务(FaaS)模型的一部分。除了被现有服务提供商所使用外,NFV还可以减少进入电信市场的障碍,电信市场以前限制新参与者进入该技术。NFV可能开放诸如供应链、创收和采购等功能。换句话说,电信***使用NFV进行演进,该NFV可以解决、管理和实现组成用于交付NFV服务的VNF的多源分布式服务功能链(DSFC)组件的创收。NFV服务和功能的独特方面在于,与传统的电信服务和功能不同,NFV服务和功能可以基于需求来进行修改(创建和删除)。
随着现有的电信***部署已设计为用于封闭或高度受控的电信***,5G***的出现使事情变得复杂。5G/边缘动态和分布式服务交付模型正在发展,导致现有部署无法在NFV分解的超分布式服务交付模型中扩展,或甚至无法工作。
附图说明
在附图中(这些附图不一定是按比例绘制的),同样的数字可描述不同视图中的类似组件。具有不同的字母后缀的相同的数字可表示类似组件的不同实例。在所附附图的图中通过示例的方式而非限制性地图示出一些实施例,其中:
图1示出根据示例的通过网络功能虚拟化实现的4G和5G***;
图2示出根据一些实施例的NFV网络管理架构。
图3示出根据示例的用于实现网络功能虚拟化的***;
图4示出根据示例的用于在网络功能虚拟化环境中实现自主权身份的分布式***的区块链模型;
图5示出根据示例的前进到网络功能虚拟化的电信方法的演进上下文;
图6示出根据示例的用于自主权身份的分布式***中的网络功能虚拟化的各种类型的描述符;
图7示出根据示例的用于网络功能虚拟化服务的分布式和自动化网络服务交付;
图8示出根据示例的基于区块链的身份管理流程;
图9示出根据示例的区块链***实现方式;
图10是根据示例的可在处理设备中存在的组件的示例的框图;
图11是示出可在其上实现一个或多个实施例的机器的示例的框图;以及
图12是示出根据示例的电信服务的示例交付的框图。
具体实施方式
在以下描述中,公开了方法、配置和相关设备,用于通过使用区块链技术和类似的身份管理工具在NFV和5G/边缘***中提供自主权身份和处理操作。通过使用区块链来保护单个身份的使用允许在整个管理生命周期中安全地管理NFV功能。公开了基于区块链技术的***的实施例,这些实施例可以提供底层结构,在该底层结构上可以动态地创建、交付和管理NFV或其他电信服务和网络功能。该方法实现细粒度的管理,包括在管理模型的每个层级的供应链管理。例如,本文公开的实施例包括用于管理电信服务、基础设施和资源的每个层级的身份和组件的机制,从而使NFV能够作为开放业务模型运行,其中任何实体可以扮演任何角色。
如本文所述,以下技术可适用于NFV管理的各种实现和建议,诸如由NFV ETSI行业规范组织(ISG)以及由ETSI许可式分布式账本(PDL)ISG和由ETSI许可式分布式账本(PDL)ISG发布的NFV身份和安全管理规范。在5G***中需要一种分布式、动态的服务交付模型,并且以下公开内容提供了用于管理该新基础架构组件的技术。自动化的、自主权契约模型可以帮助解决NFV电信部署中的安全性、认证、资源使用以及其他技术问题的许多方面。以下技术对其他电信服务部署和***的适用性也将显而易见。
在示例中,NFV提供商群体使用区块链(分布式账本)技术变成完全分布式,其中历史上由管理和网络编排(MANO)***集中的NFV编排是公平分布的。如本文所公开的,保存在区块链上的某些信息作为共享数据库或账本存在。数据库或账本维护不断增长的数据记录或事务(诸如用于NFV的那些记录或事务)的列表。NFV节点或服务器维护块,并且每个节点在创建时能够看到存储在块中的事务数据。因此,数据库可以形成不可变且不可逆的记录。账本的过账可能无法修改或篡改——甚至数据库操作员也无法修改或篡改。网络的分布式性质意味着计算机服务器要达成共识,从而允许未知方之间发生事务。冲突或重复事务不写入数据集中,并且事务自动发生。
在一些实施例中,NFV模块可以通过一个或多个区块链实现方式来实现。在示例中,这些区块链实现方式可包括:a)自主权身份区块链;b)分布式服务功能(SF)链契约区块链;c)托管区块链的分布式服务功能链(DSFC)工作负载;以及d)DSFC工作负载托管(DWH)操作区块链。此类区块链的其他用途也将显而易见。区块链可能未经许可或经许可,例如,后者基于超账本框架或以太坊的变体。
自主权身份通常包含以下概念:人们和企业可以将自己的身份数据存储在自己的设备上,并将身份数据提供给其他设备/***以验证身份数据,而无需依赖身份数据的中央存储库。因此,自主权身份区块链确保在整个DSFC契约和运营阶段使用的标识符是唯一的,身份所有权由请求方实体保留,并且无需使用中央机构即可解决身份争议。
SF链是提供服务的各个服务功能(诸如分组数据网络网关、防火墙和负载平衡器)的有序序列。分布式SF链契约区块链可以使任何NFV提供商签发DSFC契约:其他NFV群体请求(投标)提供一些或所有的契约组件。DSFC区块链减少或消除了篡改契约投标过程的可能性,从而确保契约投标过程是公平的。
在一些实施例中,可以响应于DSFC契约而提供DSFC工作负载托管(DWH)契约。DSFC契约可以提供DWH契约的详细信息。DWH契约可以向可以托管DSFC契约的基础设施提供商公开招标。与DSFC区块链类似,DWH区块链确保契约招标过程公平。
DWH契约可以导致各种DWH操作的执行。DWH操作可以记录在相关联的区块链中。DWH操作区块链可以记录例如监管链、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全遵从性。
因此,公开的实施例使用一个或多个区块链或其他账本作为分布式机制来管理契约、操作、交互以及网络功能和功能性(functions and functionality)的其他方面。在示例中,此类分布式契约定义了NFV服务运营的要求、功能、控制和参数。相比之下,当前的电信***架构依赖于维护客户关系并以虚拟化网络功能形式“分包”一部分工作负载的中央编排实体。本文公开的技术允许移除中央实体,经由NFV生态***中的任何参与者可占有的区块链用服务契约编排器功能替换中央实体。一些公开的区块链数据技术还可以与现有的电信***方法集成(例如,以允许具有唯一身份的新设备或参与者被添加并集成到电信服务和功能中)。
图1示出根据示例的通过网络功能虚拟化实现的4G和5G***。***100包括4G和5G网络功能两者。4G核心网(也称为演进分组核心-EPC)包含,为每个实体(诸如移动性管理实体(MME)122、服务网关(S-GW)124和分组网关(P-GW)126)定义的协议和参考点,该分组网关(P-GW)126分为控制和用户平面功能。如图1所示的5G架构包括多个网络功能(NF)和连接网络功能的参考点。可以将网络功能实现为专用硬件上的离散网络元素、在专用硬件上运行的软件实例、或实现为在适当平台(例如,专用硬件或云基础架构)上实例化的虚拟化功能。
在5G网络中,控制平面和用户平面可以是分开的,这可以允许每个平面的资源的独立缩放和分发。UE 102可以连接到接入网或随机接入网(RAN)110和/或可以连接到5G-RAN 130(gNB)或接入和移动性功能(AMF)142。RAN可以是eNB或一般的非3GPP接入点(诸如Wi-Fi接入点)。5G核心网可包含除AMF 112之外的多个网络功能。网络功能可包括用户平面功能(UPF)146、会话管理功能(SMF)144、策略控制功能(PCF)132、应用功能(AF)148、认证服务器功能(AUSF)152和用户数据管理(UDM)128。各元件通过图1所示的5G参考点连接。
AMF 142可以提供基于UE的认证、授权、移动性管理等。AMF 142可以独立于接入技术。SMF 144可以负责会话管理以及IP地址至UE 102的分配。SMF 144还可以选择和控制UPF146以供数据传输。SMF 144可以与UE 102的单个会话或UE 102的多个会话相关联。也就是说,UE 102可具有多个5G会话。可以将不同的SMF分配给每个会话。使用不同的SMF可以允许对每个会话进行单独管理。结果,每个会话的功能可以彼此独立。UPF 126可以与UE 102可以与之通信的数据网络连接,UE 102向数据网络发送上行链路数据或从数据网络接收下行链路数据。
AF 148可以将关于分组流的信息提供给PCF 132,该PCF 132负责策略控制以支持期望的QoS。PCF 132可以为UE 102设置移动性和会话管理策略。为此,PCF 132可以使用分组流信息来确定用于AMF 142和SMF 144的正确操作的适当策略。AUSF 152可以存储用于UE认证的数据。UDM 128可以类似地存储UE订阅数据。
gNB 130可以是独立的gNB或非独立的gNB,例如,作为由eNB 110通过X2接口控制的推进器在双连接性(DC)模式下操作。可以共享EPC和5G CN的至少某些功能(或者,可以将单独的组件用于所示的每个组合组件)。eNB 110可以通过S1接口与EPC的MME 122连接,并且可以通过S1-U接口与EPC 120的SGW 124连接。MME 122可以通过S6a接口与HSS 128连接,而UDM通过N8接口连接到AMF 142。SGW 124可以通过S5接口与PGW 126连接(通过S5-C与控制平面PGW-C连接而通过S5-U与用户平面PGW-U连接)。PGW 126可以用作通过互联网的数据的IP锚点。
如上所述,5G CN可包含AMF 142、SMF 144和UPF 146等。eNB110和gNB 130可以与EPC 120的SGW 124和5G CN的UPF 146传输数据。如果N26接口由EPC 120支持,则MME 122和AMF 142可以经由N26接口连接以在其之间提供控制信息。在一些实施例中,当gNB 130是独立的gNB时,5G CN和EPC 120可以经由N26接口连接。
图2示出根据一些实施例的NFV网络管理架构。如图所示,NFV网络管理架构200可包括数个元件(每个元件可以包含物理和/或虚拟化组件),包括NFV基础设施(NFVI)210、网络元件(NE)290、虚拟网络功能(VNF)220、域管理器(DM)230、元件管理器(EM)232、网络管理器(NM)242以及NFV管理和编排(NFV-MANO)280。如本文中指示的可由多个NFV-MANO替换的NFV-MANO 280,其可包括虚拟化基础设施管理器(VIM)270、VNF管理器(VNFM)250和网络功能虚拟化编排器(NFVO)260。NM242可以包含在操作支持***/业务支持***(OSS/BSS)240中,其中DM 230和NM 242形成3GPP管理***214。
NFV网络管理架构200可以由例如包括云中的一个或多个服务器的数据中心来实现。在一些实施例中,NFV网络管理架构200可包括托管在分布式计算平台、云计算平台、集中式硬件***、服务器、计算设备和/或外部网络到网络接口设备等上的一个或多个物理设备和/或一个或多个应用。在一些情况下,虚拟化的资源性能测量可包括例如延迟、抖动、带宽、分组丢失、节点连接性、计算、网络和/或存储资源、计帐、故障和/或安全性测量。具体而言,NE 290可包括物理网络功能(PNF),该物理网络功能包括诸如处理器、天线、放大器、发射和接收链之类的硬件以及软件。VNF 220可以在一个或多个服务器中实例化。VNF 220、DM230和NE 290中的每一个可以包含EM 222、232、292。
NFV管理和编排(NFV-MANO)280可以管理NFVI 210。NFV-MANO 280可以编排网络服务的实例化,以及VNF 220所使用的资源分配。NFV-MANO 280可以与OSS/BSS 240一起被外部实体用来交付各种NFV业务收益。OSS/BSS 240可包括服务提供商用来操作其业务的***和管理应用的集合:客户、订单、产品和收入(例如,支付或账目事务)以及电信网络组件和支持过程(包括网络组件配置、网络服务供应和故障处理)的管理。NFV-MANO 280可以创建或终止VNF 220、增加或减少VNF容量、或者更新或升级VNF的软件和/或配置。NFV-MANO 280可包括虚拟化基础设施管理器(VIM)270、VNF管理器(VNFM)250和NFV编排器(NFVO)260。NFV-MANO280可以访问各种数据存储库,包括网络服务、可用的VNF、用于确定资源分配的NFV实例和NFVI资源。
VIM 270可以经由基础设施子域内的Nf-Vi参考点来控制和管理NFVI资源。VIM270可以进一步收集性能测量和事件,并经由Vi-VNFM将其转发到VNFM 250,以及经由Or-Vi参考点转发到NFVO 260。NFVO 260可以负责管理新的VNF和其他网络服务,包括不同网络服务的生命周期管理,网络服务可包括VNF实例、全局资源管理、NFVI资源请求的证实和授权以及各种网络服务的策略管理。NFVO 260可以协调作为网络服务的一部分的VNF220,网络服务联合地实现更复杂的功能,包括联合实例化和配置、配置不同VNF 220之间的所需连接以及管理配置的动态变化。NFVO 260可以通过OS-Ma-NFVO参考点向NM 242提供该编排。VNFM 250可以经由VIM 270编排NFVI资源,并提供VIM 270与EM和NM之间的配置和事件报告的总体协调和适配。前者可涉及发现可用服务、管理虚拟化资源可用性/分配/释放以及提供虚拟化资源故障/性能管理。后者可涉及生命周期管理,该生命周期管理可包括实例化VNF、缩放和更新VNF实例,以及终止网络服务、将服务的NFVI资源释放到NFVI资源池以供其他服务使用。
VNFM 250可以经由Ve-VNFM-VNF参考点负责VNF 220的生命周期管理,并且可以通过Ve-VNFM-EM参考点与EM 222、232接口。可以向VNFM 250分配对单个VNF 220的管理,或者对相同类型或不同类型的多个VNF 220的管理。因此,尽管在图2中仅示出了一个VNFM 250,不同的VNFM250可以与不同的VNF 220相关联以用于性能测量和其他职责。VNFM 250可以提供数个VNF功能,包括实例化(以及配置——如果VNF部署模板需要的话)、软件更新/升级、修改、横向缩小/横向放大和纵向放大/纵向缩小(scaling out/in and up/down)、NFVI性能测量结果和故障/事件信息的收集、以及与VNF实例相关的事件/故障、修复、终止、生命周期管理更改通知、完整性管理和事件报告的关联。
VIM 270可负责控制和管理NFVI计算、存储和网络资源,通常在一个运营商的基础设施域内。VIM 270可以专用于处理某种类型的NFVI资源(例如,仅计算、仅存储、仅联网),或者可能能够管理多个类型的NFVI资源。除其他外,VIM 270可以协调NFVI资源的分配/升级/释放/回收(包括此类资源使用的优化),以及管理虚拟化资源与物理计算、存储、联网资源的关联,并管理NFVI硬件资源(计算、存储、联网)和软件资源(例如,管理程序)的存储库库存相关信息,以及此类资源的(例如,与使用优化有关的)功能和特征的发现。
NVFI 210本身可包含各种虚拟化和非虚拟化资源。这些可包括可提供计算能力(CPU)的多个虚拟机(VM)212、可在块或文件***层级提供存储的一个或多个存储器214,以及可包括网络、子网、端口、地址、链路和转发规则的用于确保VNF内部的连接和VNF之间的连接的一个或多个联网元件216。
每个VNF 220可以提供与用于提供网络功能的基础设施资源(计算资源、联网资源、存储器)解耦的网络功能。尽管未示出,但是VNF 220可以与其他VNF 220和/或其他物理网络功能链接以实现网络服务。虚拟化资源可以向VNF 220提供期望的资源。NFVI 210中的资源分配可以同时满足许多要求和约束,诸如到其他通信端点的低延迟或高带宽链接。
类似于NE 290,VNF 220可以由一个或多个EM 222、232、292来管理。取决于实例,EM可以提供用于虚拟或物理网络元件的管理的功能。EM可以管理各个网络元件和子网的网络元件,其可包括网络元件之间的关系。例如,VNF 220的EM 222可负责对VNF 220提供的网络功能进行配置、对VNF220提供的网络功能进行故障管理、解决VNF功能的使用并收集VNF220提供的功能的性能测量结果。
可以由OSS/BSS 240的NM 242通过Itf-N参考点来管理EM 222、232、292(无论是在VNF 220还是NE 290中)。NM 242可以通过主要由EM232支持来提供负责网络管理的功能,但也可以涉及直接访问网络元件。NM242可以应NFVO 260的请求将VNF外部接口与物理网络功能接口连接和断开。
如上所述,***的各组件可以通过不同的参考点连接。NFV-MANO280与***功能块之间的参考点可包括NM 242与NFVO 260之间的Os-Ma-NFVO、EM 222和EM 232与VNFM 250之间的Ve-VNFM-EM、VNF 220与VNFM 250之间的Ve-VNFM-VNF、NFVI 210与VIM 270之间的Nf-Vi、NFVO 260与VNFM 250之间的Or-VNFM、NFVO 260与VIM 270之间的Or-Vi,以及VIM 270与VNFM 250之间的Vi-VNFM。Or-Vi接口可以实现VNF软件图像管理接口,以及用于在Or-Vi参考点上管理虚拟化资源、其目录、性能和故障的接口。Or-Vnfm接口可以在Or-Vnfm参考点上实现虚拟化资源管理接口。Ve-Vnfm接口可以在Ve-Vnfm参考点上实现虚拟化资源性能/故障管理。
图3示出用于实现网络功能虚拟化的***的示例。***300提供了图2中所示的***的替代视图。在一些实施例中,仅使用软件机制。将理解的是:提供***300作为NFV部署可以采用的能力和形式的示例说明,以及本公开可以使用对NFV***的结构和功能的许多变型。
所示的***300包括NFV基础设施302、编排器(NFVO)304、OSS/业务支持***(BSS)306、VNFM 308、VIM 310和网络分析工具312。更少或其他组件可以被集成到***300中。
NFV基础设施302虚拟化可以链接在一起以创建例如通信服务的网络节点功能。如图所示,NFV基础设施302包括VNF 316A、316B、316C和316D、交换机/路由器318和运营商基础设施320。
VNF 316A-316D是以前由专用硬件执行的虚拟化任务。VNF316A-316D将先前由专用硬件执行的这些操作移至软件实例化。VNF316A-316D借助主机322的硬件和/或软件编程进行操作。
交换机/路由器318在平台326A-326B和/或VNF 316A-316D之间提供通信能力。交换机可用于连接计算机或其他网络设备。路由器可用于将网络连接在一起,诸如通过将网络连接到因特网。路由器通常可以管理提供给另一网络或网络内的设备之间的数据路径(例如,请求、消息或响应等)。
运营商基础设施320例如可以托管其他运营商的VNF,并包括主机322(例如,操作***(OS)、云OS和/或管理程序)、固件接口324(例如,统一的可扩展固件接口(UEFI)或基本输入/输出***(BIOS)、多个平台326A和326B(例如)和互连电路***328(例如,输入/输出(I/O)端口、网络接口控制器(NIC)、交换机、主机结构接口(HFI)等)。
主机322可包括用于提供由VNF 316A-316D用来执行其操作的资源的硬件或软件。主机322可包括VNF 316A-316D可以在其上操作的OS、云OS、管理程序等。固件接口324可包括统一可扩展固件接口(UEFI)、基本输入/输出***(BIOS)等。固件接口324定义了主机322与固件(例如,VNF316A-316D)之间的软件接口。
平台326A-326B为连接到通信网络的设备提供通信功能。平台326A-326B提供的用户功能的示例包括语音会话(诸如互联网协议语音(VoIP)、PTT会话、组通信会话)和数据服务(诸如互联网访问和社交联网服务)以及用于支持语音和互联网访问的操作等。平台326A包括存储器330(与平台326B一样,但是未示出存储以免模糊***300的视图)。平台326A-326B可以通过互连电路***328通信地耦合。
NFVO 304执行资源和/或网络服务编排。NFVO 304绑定由VNF316A-316D提供的功能,诸如用于在原本分散的NFV环境中创建服务。NFVO304可以帮助确保足够的计算、存储和/或其他网络资源可用于提供网络服务。NFVO 304可以授权、协调、释放和管理共享基础设施302的资源的VNF316A-316D。
在示例中,OSS/BSS 306是电信服务提供商用来管理其网络的计算机***。OSS/BSS 306可以支持网络库存、配置、故障管理和/或服务供应。
VNFM 308与NFVO 304和VIM 310一起工作以提供VNF功能。VNFM 308可以实例化VNF 316A-316D、缩放VNF 316A-316D、更新和/或升级VNF 316A-316D,和/或终止VNF 316A-316D。VNFM 308可以管理单个VNF或多个VNF。VNFM 308维护支持VNF 316A-316D的虚拟化资源。
如图所示的VIM 310包括软件定义的联网(SDN)控制器314。VIM310控制和管理基础设施302的计算、存储和其他网络资源。VIM 310可以处理一个或多个基础设施中的基础设施,诸如可包括基础设施302。VIM 310可以维护哪些虚拟资源分配了哪些物理资源的列表、管理安全组策略(用于访问控制)、管理NFV硬件资源和软件资源的存储库,诸如用于帮助改善和优化***资源的使用。
SDN控制器314是管理(诸如网络内的)流控制的应用。SDN控制器314允许服务器或其他网络资源选择交换的分组目的地,从而向交换机指示向哪里发送分组。SDN控制器314可以采用网络硬件的控制平面并将其作为软件运行。SDN控制器314可以分发监视策略。
网络分析工具312可以提供用于分析遥测数据的功能,诸如NSM功能。网络分析工具312可包括虚拟EPC(vEPC)、虚拟客户驻地设备(vCPE)NFV分析、数据存储、网络异常检测和/或恶意软件检测等。
网络安全性监视(NSM)通信量由箭头332、334、336和338指示。本文讨论的实施例可以“加速”该NSM通信量的流程。如箭头338和332的组合所指示的,VIM 310的SDN控制器314可以向VNF 316D提供策略(例如,安全监视(SecMon)VNF)。可以安全地终止提供给VNF316D的通信量。VNF 316D可以监视交换机/路由器318上的通信量(例如,所有通信量)(如箭头332所示)。VNF 316D可以将提供的监视策略应用于通信量。VNF 316D基于监视策略向互连电路***328提供监视的通信量(如箭头334或箭头340和338所示)。互连电路***328将所监视的通信量提供给网络分析工具312,如箭头336所示。网络分析工具312可包括安全和联网分析***、元数据收集器、网络概况分析、逐租户监视***和/或逐流监视***和/或在租户监视***上。
通过功能虚拟化和通过NFV操作管理,以下技术可用于分散NFV基础设施以供提供网络服务。在示例中,可以使用四个区块链(或具有四个不同操作功能的至少一个区块链)来促进生态***参与者之间的安全、公平和可靠的交互。
图4示出用于在网络功能虚拟化环境中实现自主权身份的分布式***的区块链模型。如上所述,DSFC用于捕获DSFC契约发起者期望的服务类型和服务质量的细节,然后这些细节将DSFC与区块链身份相关联。区块链身份可以是DSFC契约区块链。DSFC契约可具有提供给自主权身份区块链的唯一ID。在一些实施例中,可以以电子契约的形式捕获DSFC。
DSFC契约可以经由广播通知传播给供应商(或服务提供商实体)、可以仅直接发送给那些选择接收新的DSFC或具有某种类型/QoS的DSFC的通知的供应商或者被发布以允许任何供应商确定是否希望参与特定的DSFC契约。
在一些实施例中,维护终端用户客户群体的任何供应商可以通过将投标发布到DSFC区块链来发起DSFC契约的投标。投标可包括投标者ID,该投标者ID也被提供给自主权身份区块链,并且如果被接受则最终与DSFC契约ID相关联。DSFC契约可以由可以履行契约的至少一部分(或全部)的服务提供商实体投标。
DSFC契约发起者通过使用DSFC契约区块链来选择将履行DSFC契约的供应商。该选择可以基于供应商的纯报酬措施、在供应商之间随机、基于履行DSFC契约的最少数量供应商或按照供应商之间的预定优先级等等。
如所示,在一些实施例中,DSFC电子契约、发起者和投标者使用自主权身份区块链来以下方式向所选择的参与者签发标识符:使得关于服务定义、条款、条件、提供商的潜在争议和任何需要消歧身份的事物可以建立明确的优先顺序(时间上)和安全的(不可欺骗的)监管链证据。
分布式NFV的第二阶段是DWH契约协商。在DWH契约协商期间,将(定义要交付的服务的)前一阶段契约与可以满足托管要求的服务交付基础设施进行匹配。第二轮DWH契约再次向所有投标者开放,包括那些可能已参与赢得DSFC契约的投标者。契约发起者选择将满足DWH契约的团队作为区块链电子契约执行计划的最后一步。
第三阶段是DWH执行,其中DWH和DSFC契约开始运营。在运营期间,收集遥测数据,该遥测数据报告实际的服务交付经验(例如,满足SLA的差异)。服务契约编排器验证DWH契约是否根据契约执行,并且验证参与者从客户电子钱包中相应地得到支付。
图5示出用于电信方法的演进环境,其前进到网络功能虚拟化。NFV生态***是复杂的,具有许多组件和子***。这个生态***已经在走向更开放的市场的道路上,多年来这个市场一直被少数电信公司所主导。
图5中示出NFV演进的三个阶段。第一阶段实质上是封闭的***。第二阶段允许网络功能虚拟化堆栈的一部分向VNF提供商开放,VNF提供商相互竞争以提供更好的“功能”,但其中“功能”通常由电信提供商集中编排。
第三阶段也使编排分布。通过该更改,任何NFV生态***参与者可以竞争以提供任何或所有组件和服务。
图6示出用于自主权身份的分布式***中的网络功能虚拟化的各种类型的描述符。在示例中,(添加到现有网络服务描述符集合中的)新的NFV描述符用于扩展完全分布式区块链的契约(例如,NFV描述符)。
描述符的此列表示出可以在过程中的每个层实现的示例契约结构。当前的ETSINFV标准(例如,ETSI NFV MANO001规范)描述了现有服务的各种现有描述符(包含参数的数据结构)。至少一些描述符可以在ETSI NFV定义的协议以及本文指示的扩展内交付。
利用当前配置,可以将附加契约和扩展添加到现有描述符。这些契约可以由相应的生态***合作伙伴发布,并且这些事务将添加到各区块链中,并用于自主权身份发布和完整的供应链管理(计帐、生命周期管理、横向缩小/横向放大等)。新描述符和扩展与编排器和资源有关。具体而言,如图所示,编排器描述符可能包含基本元素的信息,诸如ID、供应商、服务契约ID、财务条款等……、网络服务列表(NS1、NS2……NSn)、SLA信息(例如,性能要求、安全性要求、带宽和延迟要求、事务等)等。网络服务描述符可包括编排器描述符的扩展,其中包括编排器描述符ID、SLA参数、财务条款等。新资源描述符可以指示资源类型(例如,平台、机架、cpu、存储器联网、存储)、基本元素信息(例如,ID、供应商、资源参数(例如,IA、ISA、SGX、QAT、RDT、KPT、MK-TME)、监视/遥测详细信息、组件的ID等)、资源详细信息(例如,ID、参数)、网络服务ID、SLA参数、财务条款等。
图7示出用于网络功能虚拟化服务的分布式且自动化的网络服务交付。具体地,该图图示出在包括多个层的完全分布式架构中作为所有自主和独立子***运营的NFV/SDN/5G服务的自动化交付。
在示例中,服务契约可以由服务提供商发起,从而将功能扩展到传统的电信提供商和从事内容和服务交付的较新的互联网服务提供商实体。这些契约被发布到区块链中,并由一个或多个分布式、自主的编排器进行编排,这些编排器签发随后由网络服务编排器(NS-Orch)提供服务的契约。同样,网络服务契约也由资源编排器提供服务。在每个层级,下一层级的契约和交付由多个区块链(例如,在图4中标识的配置中)管理。
图8图示出示例基于区块链的身份管理流程,该流程用于身份创建和基于区块链的验证以及记录到身份区块链中(例如,针对参考图4所示和讨论的身份区块链)。在示例中,该方法可包括:
1.创建服务、服务功能链、VNF、FaaS、资源、硬件飞地或虚拟分区、容器的实例或任何其他组件实例。
2.这些实例创建自生成的标识符(例如,全局唯一ID(GUID)或随机数),该标识符和实例的密码散列、初始配置的密码散列和标识符的密码散列一起被密码散列化并提交给区块链处理操作。
3.区块链矿工验证每个操作,并且在标识符的情形中,则检查同一身份是否先前未被提交并接受到区块链中。在冲突的情形中,将重新启动操作。
4.一旦被接受到区块链中,身份就可用于公共用途,包括用于计帐、监视、性能跟踪、SLA实施、诸如合法拦截和数据保护之类的监管目的等。也可以应用更多用途。
在示例中,图8的流程可适用于管理或跟踪实例的整个生命周期,包括实例的创建、销毁和使用的时间。这对于基于动态需求的服务的横向缩小和横向放大很有用。实例的配置管理——包括跟踪实例图像更新、对配置的更新(例如,网络散列表、网络策略、分组网络路由更新等)。该配置被绑定到实例的身份。
在示例中,图8的流程也可适用于跟踪资源利用和加载,包括平台和硬件/硅组件,诸如CPU、虚拟CPU、存储器(DIMM、英特尔3DXP等)、存储、可编程和ASIC加速器(深度学习、人工智能(AI)、现场可编程门阵列(FPGA)等)、网络加速器(英特尔快速辅助加密加速器、压缩)以及密钥保护和安全性(英特尔密钥保护技术、软件保护扩展、多密钥总存储器加密)。根据方法流程管理特定用途和使用时间。
图9图示出可与当前公开的技术或类似方法一起使用的示例区块链***实现如所理解的,区块链是分布式数据库(例如,分布式账本),其维护不断增长的数据记录列表,这些数据记录经过了强化,以对抗篡改和修改。区块链包括“块”,其保存数据或数据和程序。每个块保存区块链参与者之间批量的各个“事务”。每个块包括时间戳和将当前块链接到前一个块的链接信息(通常是散列值);该链接信息允许(在任一方向)遍历区块链。
区块链事务使用分布式散列算法进行完整性保护,该算法要求每个事务处理器(例如,“矿工”)接受区块链中的下一个块。通过多个矿工的共识来实现完整性,每个矿工可以访问自己的账本副本。如果大多数矿工同意账本的内容,则那些同意的内容将成为账本的“真值”;持不同意见的矿工将接受大多数人的真值(否则,他们将无法运作)。完整性是可证明的,因为攻击者将不得不向大多数矿工妥协并修改其账本副本,这是极其困难的(如果不是不可能的话)。
在示例中,区块链实现方式可以涉及在参与者之间执行的使用事务,以使用写入到区块链的信息来实现零知识承诺和验证知识的零知识证明。此类技术可以允许与NFV操作有关地写入到区块链的数据的增强的私密性(例如,对契约或网络参与者的详细信息保密)。在示例中,在该情况下应用的零知识证明包括以下步骤——(1)将秘密数据承诺给区块链,以及(2)使用密码协议对秘密数据的知识证明。
作为密码协议的特定示例,为了创建某些信息的证明(诸如新设备已知的标识符m),新设备可以创建
Figure BDA0002555436270000161
形式的佩德森承诺(Pedersen’s commitment),其中r是由用户选择的随机值而g1和h1是注册者的公共参数。该承诺已在区块链登记。在登记时,区块链签署承诺M以输出σ=Mχ作为签名,其中χ是区块链(诸如半许可区块链)的秘密密钥(诸如链锚点),其在区块链之上添加了身份和隐私保护层。
在示例中,知识或验证的零知识证明操作如下。令σ1、σ2、……、σt是与设备需要向新设备所有者证明的标识符相对应的签名。在注册时,设备将签名汇总为
Figure BDA0002555436270000162
其中σi是承诺值
Figure BDA0002555436270000163
的签名。(注意——这在仅需证明一个秘密标识符的情况下可以只是一个签名。但是对于注册不仅需要身份而且还需要其他属性的情况,这可以被概括为属性的集合)。这些属性作为零知识证明的一部分包含在内,以在满足注册要求的同时避免信息泄漏。
然后新设备计算
Figure BDA0002555436270000164
用户将σ,M,Mi,1≤i≤t发送给验证器。下一步,新设备和验证器将执行以下ZKPK协议(其中希腊字母表示正被证明其知识的量,而所有其他参数发送给验证器):
Figure BDA0002555436270000165
在验证器接受承诺的零知识证明后,它检查以下认证是否成功:
Figure BDA0002555436270000166
以及e(σ,g2)=e(M,v)
其中g2是公共参数,v是注册者的公共密钥而e是双线性映射。如果上一步成功,则验证器将接受已签署承诺的ZKPK。
如上所述,NFV和5G***中的每个实体使用一个身份。实体本身可以是动态的,即按需实例化、暂停和关闭,也可以不那么动态,诸如平台、固件、OS、存储、网络。实体可以是软件、固件、硬件或其组合。实体可以是服务:网络、编排、企业或子服务。可以使用复杂的供应链通过多个供应商采购实体。实体可由多个消费者消费,并以多种方式计帐。为了采用区块链,在第一阶段,DSFC可以在电子契约中捕获服务的类型和质量。可以创建服务契约并将其发布到区块链。在第二阶段中,包括VNF的DWH契约可以根据需求自动投标和匹配。契约可以由一个或多个分布式网络服务编排器进一步处理,并发布到区块链中。在第三阶段,DSFC和DWH契约开始运行,并且可以通过***遥测进行认证。契约可以由一个或多个分布式网络服务编排器和资源编排器进一步处理,并发布到区块链中。契约可以通过区块链交付、运营、管理、满足SLA、计帐。至少可以使用4个单独的区块链,或者具有4个不同的操作功能的1个区块链,以促进生态***合作伙伴之间的安全、公平和可靠的交互。
在各示例中,本文中描述的操作和功能可由电子设备机器来具体化,在该电子设备机器内,可执行指令集合或序列以使电子处理***执行本文中讨论的根据示例实施例的方法中的任一方法。该机器可以是由以下各项的多个方面具体化的机器:个人计算机(PC)、平板PC、个人数字助理(PDA)、移动电话或智能电话、物联网(IoT)设备、网络网关、交换机或网桥、服务器或基于群集的***、或能够执行指定要由该机器采取的动作的指令(顺序地或以其他方式)的任何机器。此外,尽管在上述示例中可能仅描绘并引用了单个机器,但是也应当认为此类机器包括单独地或联合地执行一组(或多组)指令以执行本文中所讨论的方法中的任何一种或多种方法的机器的任何集合。此外,对于基于处理器的***的这些示例和类似示例应当被认为包括由处理器(例如,计算机)控制或操作以单独地或联合地执行指令来执行本文中所讨论的方法中的任何一种或多种方法的一个或多个机器的任何集合。
图10是可存在于处理设备1050中用于实现本文中描述的技术的组件的示例的框图。设备1050可包括在上文公开内容中的示例中示出或在上文公开内容中引用的组件的任何组合。这些组件可被实现为IC、IC的部分、分立电子器件,或其他模块、逻辑、硬件、软件、固件或其适用于设备1050中的组合,或者作为以其他方式被并入在更大的***的机架内的组件。此外,图10的框图旨在描绘设备1050的组件的高级视图。然而,可省略所示出的组件中的一些组件,可存在附加的组件,并且所示出的组件的不同布置可在其他实现方式中发生。
设备1050可包括处理器1052,该处理器1052可以是微处理器、多核处理器、多线程处理器、超低电压处理器、嵌入式处理器,或其他已知的处理元件。处理器1052可以是芯片上***(SoC)的部分,在该SoC中,处理器1052和其他组件被形成到单个集成电路或单个封装中,诸如来自英特尔的爱迪生TM(EdisonTM)或伽利略TM(GalileoTM)SoC板。作为示例,处理器1052可包括基于
Figure BDA0002555436270000181
架构酷睿TM(CoreTM)的处理器(诸如QuarkTM、AtomTM、i3、i5、i7或MCU类处理器)、或可从加利福尼亚州圣克拉拉市的
Figure BDA0002555436270000182
公司获得的另一此类处理器。然而,可使用任何数量的其他处理器,诸如,可从加利福尼亚州桑尼威尔市的超微半导体公司(AMD)获得的处理器、来自加利福尼亚州桑尼威尔市的MIPS技术公司的基于MIPS的设计、许可自ARM控股有限公司的基于ARM的设计,或从上述各公司的客户、被许可方或采纳方获得的处理器。处理器可包括诸如以下单元:来自
Figure BDA0002555436270000184
公司的A5-A12处理器、来自
Figure BDA0002555436270000183
技术公司的骁龙TM(SnapdragonTM)处理器或来自德州仪器公司的OMAPTM处理器。
处理器1052可通过互连1056(例如,总线)来与***存储器1054通信。任何数量的存储器设备可被用来提供给定量的***存储器。作为示例,存储器可以是根据联合电子器件工程委员会(JEDEC)设计(诸如,DDR或移动DDR标准(例如,LPDDR、LPDDR2、LPDDR3或LPDDR4))的随机存取存储器(RAM)。在各种实现方式中,单独的存储器设备可以是任何数量的不同封装类型,诸如单管芯封装(SDP)、双管芯封装(DDP)或四管芯封装(Q17P)。在一些示例中,这些设备可以直接焊接到主板上,以提供较低轮廓的解决方案,而在其他示例中,设备被配置为一个或多个存储器模块,这些存储器模块进而通过给定的连接器耦合到主板。可使用任何数量的其他存储器实现方式,诸如,其他类型的存储器模块,例如,不同种类的双列直插存储器模块(DIMM),包括但不限于microDIMM(微DIMM)或MiniDIMM(迷你DIMM)。
为了提供对信息(诸如数据、应用、操作***等)的持久性存储,存储1058还可经由互连1056而耦合至处理器1052。在示例中,存储1058可经由固态盘驱动器(SSDD)来实现。可用于存储1058的其他设备包括闪存卡(诸如SD卡、microSD卡、xD图片卡,等等)和USB闪存驱动器。在低功率实现中,存储1058可以是与处理器1052相关联的管芯上存储器或寄存器。然而,在一些示例中,存储1058可使用微硬盘驱动器(HDD)来实现。此外,作为所描述的技术的补充或替代,可将任何数量的新技术用于存储1058,诸如,阻变存储器、相变存储器、全息存储器或化学存储器,等等。
组件可通过互连1056进行通信。互连1056可包括任何数量的技术,包括工业标准架构(ISA)、扩展ISA(EISA)、***组件互连(PCI)、***组件互连扩展(PCIx)、PCI快速(PCIe)或任何数量的其他技术。互连1056可以是例如在基于SoC的***中使用的专属总线。其他总线***可被包括,诸如I2C接口、SPI接口、点对点接口、功率总线,等等。
互连1056可将处理器1052耦合至收发机1062,以便云、雾(fog)或网格网络设备1064通信。收发机1062可使用任何数量的频率和协议,诸如IEEE 802.15.4标准下的2.4千兆赫兹(GHz)传输,使用如由
Figure BDA0002555436270000191
特别兴趣小组定义的
Figure BDA0002555436270000193
低能量(BLE)标准、或
Figure BDA0002555436270000192
标准,等等。为特定的无线通信协议配置的任何数量的无线电可用于到设备1064的连接。例如,WLAN单元可用于根据电气和电子工程师协会(IEEE)802.11标准实现Wi-FiTM通信。另外,例如根据蜂窝或其他无线广域协议的无线广域通信可经由WWAN单元发生。
收发机1062可使用用于不同范围的通信的多种标准或无线电来进行通信。例如,设备1050可使用基于BLE的或另一低功率无线电的本地收发机与接近的(例如,在约10米内的)设备通信以节省功率。更远的(例如,在约50米内的)设备1064可通过ZigBee或其他中间功率的无线电而被联络到。这两种通信技术能以不同的功率水平通过单个无线电发生,或者可通过分开的收发机而发生,分开的收发机例如使用BLE的本地收发机以及使用ZigBee的分开的收发机。
无线网络收发机1066可被包括,以经由局域网协议或广域网协议来与云1000中的设备或服务通信。无线网络收发机1066可以是遵循IEEE802.15.4或IEEE 802.15.4g标准等的LPWA收发机。设备1050可使用由Semtech和LoRa联盟开发的LoRaWANTM(长距离广域网)在广域上通信。本文中所描述的技术不限于这些技术,而使可与实现长距离、低带宽通信(诸如Sigfox和其他技术)的任何数量的其他云收发机一起使用。进一步地,可使用其他通信技术,诸如,在IEEE 802.15.4e规范中描述的时分信道跳。
除了针对如本文中所述的收发机1062和无线网络收发机1066而提及的***之外,还可使用任何数量的其他无线电通信和协议。例如,无线电收发机1062和1066可包括使用扩展频谱(SPA/SAS)通信以实现高速通信的LTE或其他蜂窝收发机。此外,可使用任何数量的其他协议,诸如,用于中速通信和供应网络通信的
Figure BDA0002555436270000201
网络。
无线电收发机1062和1066可包括与任何数量的3GPP(第三代合作伙伴计划)规范(尤其是长期演进(LTE)、长期演进-高级(LTE-A)和长期演进-高级加强版(LTE-A Pro))兼容的无线电。可以注意到,可选择与任何数量的其他固定的、移动的或卫星通信技术和标准兼容的无线电。这些可包括例如任何蜂窝广域无线通信技术,其可包括例如第5代(5G)通信***、全球移动通信(GSM)无线电通信***、通用分组无线电服务(GPRS)无线电通信技术、或GSM演进(EDGE)增强数据速率无线电通信技术、UMTS(通用移动电信***)通信技术,除了上面列出的标准外,任何数量的卫星上行链路技术都可以用于无线网络收发器1066,包括例如符合由ITU(国际电信联盟)或ETSI(欧洲电信标准协会)发布标准的无线电等。本文中所提供的示例因此可被理解为适用于各种现有的和尚未制定的各种其他通信技术。
网络接口控制器(NIC)1068可被包括以提供到云1000或到其他设备(诸如设备1064)的有线通信。有线通信可提供以太网连接,或可基于其他类型的网络,诸如控制器区域网(CAN)、本地互连网(LIN)、设备网络(DeviceNet)、控制网络(ControlNet)、数据高速路+、现场总线(PROFIBUS)或工业以太网(PROFINET),等等。附加的NIC 1068可被包括以允许到第二网络的连接,例如,NIC 1068通过以太网提供到云的通信,并且第二NIC 1068通过另一类型的网络提供到其他设备的通信。
互连1056可将处理器1052耦合至外部接口1070,该外部接口1070用于连接外部设备或子***。外部设备可包括传感器1072,诸如加速度计、水平传感器、流传感器、光学光传感器、相机传感器、温度传感器、全球定位***(GPS)传感器、压力传感器、气压传感器,等等。外部接口1070可进一步用于将设备1050连接至致动器1074(诸如电源开关、阀致动器、可听见声音发生器、视觉警告设备等)。
在一些任选的示例中,各种输入/输出(I/O)设备可存在于设备1050内,或可连接至设备1050。例如,显示器或其他输出设备1084可被包括以显示信息,诸如传感器读数或致动器位置。输入设备1086(诸如触摸屏或键区)可被包括以接受输入。输出设备1084可包括任何数量的音频或视觉显示形式,包括:简单视觉输出,诸如二进制状态指示器(例如,LED);多字符视觉输出;或更复杂的输出,诸如显示屏(例如,LCD屏),其具有从设备1050的操作生成或产生的字符、图形、多媒体对象等的输出。
电池1076可为设备1050供电,但是在其中设备1050被安装在固定位置的示例中,该设备1050可具有耦合至电网的电源。电池1076可以是锂离子电池或金属-空气电池(诸如锌-空气电池、铝-空气电池、锂-空气电池),等等。
电池监测器/充电器1078可被包括在设备1050中以跟踪电池1076的充电状态(SoCh)。电池监测器/充电器1078可用于监测电池1076的其他参数以提供失效预测,诸如,电池1076的健康状态(SoH)和功能状态(SoF)。电池监视器/充电器1078可包括电池监视集成电路,诸如来自线性技术公司(Linear Technologies)的LTC4020或LTC2990、来自亚利桑那州的凤凰城的安森美半导体公司(ON Semiconductor)的ADT7488A、或来自德克萨斯州达拉斯的德州仪器公司的UCD90xxx族的IC。电池监测器/充电器1078可通过互连1056将电池1076上的信息传递至处理器1052。电池监测器/充电器1078也可包括允许处理器1052直接监测电池1076的电压或来自电池1076的电流的模数(ADC)转换器。电池参数可被用于确定设备1050可执行的动作,诸如传输频率、网格网络操作、感测频率,等等。
功率块1080或耦合至网格的其他电源可与电池监测器/充电器1078耦合以对电池1076充电。在一些示例中,功率块1080可用无线功率接收机代替,以便例如通过设备1050中的环形天线来无线地获得功率。无线电池充电电路(诸如来自加利福尼亚州的苗比达市的线性技术公司的LTC4020芯片,等等)可被包括在电池监测器/充电器1078中。所选择的特定的充电电路取决于电池1076的尺寸,并因此取决于所需的电流。可使用由无线充电联盟(Airfuel Alliance)颁布的Airfuel标准、由无线电力协会(Wireless Power Consortium)颁布的Qi无线充电标准、由无线电力联盟(Alliance for Wireless Power)颁布的Rezence充电标准等等执行充电。
存储1058可包括用于实现本文中公开的技术的软件、固件或硬件命令形式的指令1082。虽然此类指令1082被示出为被包括在存储器1054和存储1058中的代码块,但是可以理解,可用例如被建立到专用集成电路(ASIC)中的硬连线电路替换代码块中的任一个。
在示例中,经由存储器1054、存储1058或处理器1052提供的指令1082可具体化为非暂态机器可读介质1060,该非暂态机器可读介质1060包括用于指示处理器1052执行设备1050中的电子操作的代码。处理器1052可通过互连1056访问非暂态机器可读介质1060。例如,非暂态机器可读介质1060可由针对图10的存储1058所描述的设备来具体化,或者可包括特定的存储单元,诸如光盘、闪存驱动器或任何数量的其他硬件设备。非暂态机器可读介质1060可进一步包括、提供或调用用于指示处理器1052执行例如像参照上文中描绘的操作和功能的(多个)流程图和(多个)框图而描述的特定的动作序列或动作流的指令1088。
在示例中,处理器1052上的指令1088(单独地或与机器可读介质1060的指令1088结合)可以配置受信任执行环境(TEE)1090的执行或操作。在示例中,TEE 1090作为处理器1052可访问的保护区域来操作,以用于对数据的安全访问和指令的安全执行。例如,可以通过使用
Figure BDA0002555436270000221
软件防护扩展(SGX)或
Figure BDA0002555436270000222
硬件安全扩展、
Figure BDA0002555436270000223
管理引擎(ME)或
Figure BDA0002555436270000224
Figure BDA0002555436270000225
融合安全可管理性引擎(CSME)来提供TEE 1090的各种实现方式以及处理器1052或存储器1054中伴随的安全区域。安全强化、硬件信任根、和受信任或受保护操作的其他方面可以通过TEE 1090和处理器1052在设备1050中实现。
在进一步的示例中,机器可读介质也包括任何有形介质,该有形介质能够存储、编码或承载供由机器执行并且使机器执行本公开方法中的任何一种或多种方法的指令,或者该有形介质能够存储、编码或承载由此类指令利用或与此类指令相关联的数据结构。“机器可读介质”因此可包括但不限于固态存储器、光学介质和磁介质。机器可读介质的特定示例包括非易失性存储器,作为示例,包括但不限于:半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)和闪存设备;诸如内部硬盘及可移除盘之类的磁盘;磁光盘;以及CD-ROM和DVD-ROM盘。可使用传输介质,经由网络接口设备,利用数个传输协议中的任何一种协议(例如,HTTP),进一步通过通信网络来传输或接收由机器可读介质具体化的指令。
应当理解,在本说明书中所描述的功能单元或能力可被称为或标记为组件或模块,从而特别强调其实现的独立性。此类组件可由任何数量的软件或硬件形式具体化。例如,组件或模块可被实现为硬件电路,该硬件电路包括:定制的超大规模集成(VLSI)电路或门阵列,诸如逻辑芯片、晶体管之类的现成的半导体,或其他分立组件。组件或模块也可被实现在可编程硬件器件(诸如现场可编程门阵列、可编程阵列逻辑、可编程逻辑器件等等)中。组件或模块也能以软件来实现,以供由各种类型的处理器执行。可执行代码的所标识的组件或模块可以例如包括计算机指令的一个或多个物理或逻辑块,其例如可被组织成例如对象、过程、或函数。然而,所标识的组件或模块的可执行件不必在物理上在一起,而是可包括存储在不同位置中的不同指令,当这些指令在逻辑上结合在一起时,包括组件或模块,并且针对该组件或模块实现所声称的目的。
实际上,可执行代码的组件或模块可以是单条指令或许多条指令,并且甚至可以分布在若干不同的代码段上,分布在不同的程序之间,以及跨若干存储器设备或处理***而分布。具体而言,所描述的过程的一些方面(诸如代码重写和代码分析)可发生在与代码部署在其中的处理***(例如,在嵌入在传感器或机器人中的计算机中)不同的处理***(例如,在数据中心中的计算机中)上。类似地,操作数据在此可被标识并图示在组件或模块内,并且能以任何合适的形式被具体化并被组织在任何合适类型的数据结构内。操作数据可以被收集为单个数据集,或者可分布在不同位置上(包括分布在不同的存储设备上),并且可以至少部分地仅作为电子信号而存在于***或网络上。组件或模块可以是无源或有源的,包括用于执行所需功能的代理。
图11图示了可在其上执行本文中所讨论的技术(例如,方法)中的任何一项或多项的示例机器的框图。如本文中所述的示例可包括机器1100中的逻辑或多个组件或机制,或可由机器1100中的逻辑或多个组件或机制操作。电路***(例如,处理电路***)是在机器1100的有形实体中实现的、包括硬件(例如,简单电路、门、逻辑等)的电路的集合。电路***成员关系可以是随时间而灵活的。电路***包括在操作时可单独地或组合地执行所指定操作的成员。在示例中,电路***的硬件可被不可改变地设计为执行特定操作(例如,硬连线式)。在示例中,电路***的硬件可包括可变连接的物理组件(例如,执行单元、晶体管、简单电路等),这些物理组件包括在物理上被修改(例如,对不变的聚集粒子磁性地、电气地、可移动地布置等)以对特定操作的指令进行编码的机器可读介质。在连接物理组件时,硬件组成部分的底层电气属性例如从绝缘体改变为导体,或反过来从导体变成绝缘体。这些指令使嵌入式硬件(例如,执行单元或加载机构)能够经由可变连接而在硬件中创建电路***的成员以在操作时执行特定操作的多个部分。相应地,在示例中,机器可读介质元件是电路***的部分,或者在设备正在运行时通信地耦合至电路***的其他组件。在示例中,物理组件中的任一个可在多于一个电路***的多于一个成员中使用。例如,在操作下,执行单元可在一个时刻在第一电路***的第一电路中被使用,并且在不同的时间由第一电路***中的第二电路重新使用,或由第二电路***中的第三电路重新使用。下面是关于机器1100的这些组件的附加示例。
在替代实施例中,机器1100可作为独立式设备操作,或可被连接(例如,联网)至其他机器。在联网的部署中,机器1100能以服务器-客户端网络环境中的服务器机器、客户端机器或这两者的身份来操作。在示例中,机器1100可充当对等(P2P)(或其他分布式)网络环境中的对等机器。机器1100可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、移动电话、web设备、网络路由器、交换机或桥、或者能够执行指定要由该机器采取的动作的指令(顺序的或以其他方式)的任何机器。进一步地,虽然仅图示出单个机器,但是术语“机器”也应当认为包括单独或联合地执行一组(或多组)指令以便执行本文所讨论的方法中的任何一种或多种方法的机器的任何集合,诸如云计算、软件即服务(SaaS)、其他计算机集群配置。
机器(例如,计算机***)1100可包括硬件处理器1102(例如,中央处理单元(CPU)、图形处理单元(GPU)、硬件处理器核、或其任何组合)、主存储器1104、静态存储器(例如,用于固件、微代码、基本输入输出(BIOS)、统一可扩展固件接口(UEFI)的存储器或存储等)1106和大容量存储1108(例如,硬驱动器、磁带驱动器、闪存存储或其他块设备),其中的一些或全部可以经由互连链路(例如,总线)1130彼此通信。机器1100可进一步包括显示单元1110、字母数字输入设备1112(例如,键盘)以及用户界面(UI)导航设备1114(例如,鼠标)。在示例中,显示单元1110、输入设备1112以及UI导航设备1114可以是触摸屏显示器。机器1100可附加地包括存储设备(例如,驱动单元)1108、信号生成设备1118(例如,扬声器)、网络接口设备1120以及一个或多个传感器1116(诸如全球定位***(GPS)传感器、罗盘、加速度计或其他传感器)。机器1100可包括用于连通或者控制一个或多个***设备(例如,打印机、读卡器等)的输出控制器1128,诸如串行(例如,通用串行总线(USB))、并行、或者其他有线或无线(例如,红外(IR)、近场通信(NFC)等)连接。
处理器1102的寄存器、主存储器1104、静态存储器1106或大容量存储1108可以是或者可包括机器可读介质1122,在该机器可读介质1122上存储有一组或多组数据结构或指令1124(例如,软件),该数据结构或指令1124具体化本文中描述中的技术或功能中的任何一种或多种或由本文中描述中的技术或功能中的任何一种或多种利用。指令1124还可以在由机器1100对其执行期间完全或至少部分地驻留在处理器1102的寄存器、主存储器1104、静态存储器1106内或大容量存储1108中的任一者内。在示例中,硬件处理器1102、主存储器1104、静态存储器1106或大容量存储1108中的一者或任何组合都可以构成机器可读介质1122。尽管机器可读介质1122被图示为单个介质,但是术语“机器可读介质”可包括被配置成用于存储一条或多条指令1124的单个介质或多个介质(例如,集中式或分布式数据库、和/或相关联的高速缓存和服务器)。
术语“机器可读介质”可包括能够存储、编码或承载供机器1100执行并且使机器1100执行本公开的技术中的任何一项或多项技术的指令、或者能够存储、编码或承载由此类指令使用或与此类指令相关联的数据结构的任何介质。非限制性机器可读介质示例可包括固态存储器、光学介质、磁介质和信号(例如,射频信号、其他基于光子的信号、声音信号等)。在示例中,非暂态机器可读介质包括具有多个粒子的机器可读介质,这些粒子具有不变(例如,静止)质量,并且因此是物质的组合物。相应地,非暂态机器可读介质是不包括暂态传播信号的机器可读介质。非暂态机器可读介质的特定示例可包括:非易失性存储器,诸如,半导体存储器设备(例如,电可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))以及闪存设备;磁盘,诸如内部硬盘和可移动盘;磁光盘;以及CD-ROM和DVD-ROM盘。
还可以利用多种传输协议(例如,帧中继、网际协议(IP)、传输控制协议(TCP)、用户数据报协议(UDP)、超文本传输协议(HTTP)等等)中的任何一种协议,经由网络接口设备1120,使用传输介质,通过通信网络1126来进一步发送或接收指令1124。示例通信网络可包括局域网(LAN)、广域网(WAN)、分组数据网络(例如,因特网)、移动电话网络(例如,蜂窝网络)、普通老式电话(POTS)网络、以及无线数据网络(例如,称为
Figure BDA0002555436270000261
的电气与电子工程师协会(IEEE)802.11标准族)、IEEE 802.15.4标准族、对等(P2P)网络,等等。在示例中,网络接口设备1120可包括用于连接至通信网络1126的一个或多个物理插口(jack)(例如,以太网插口、同轴插口、或电话插口)或者一根或多根天线。在示例中,网络接口设备1120可包括使用单输入多输出(SIMO)、多输入多输出(MIMO),或多输入单输出(MISO)技术中的至少一种无线地进行通信的多根天线。术语“传输介质”应当认为包括能够存储、编码或承载供由机器1100执行的指令的任何无形介质,并且“传输介质”包括数字或模拟通信信号或者用于促进此类软件的通信的其他无形介质。传输介质是机器可读介质。
机器可读介质可以由能够以非暂态格式托管数据的存储设备或其他设备提供。在示例中,存储在机器可读介质上或以其他方式提供在机器可读介质上的信息可以表示指令,诸如指令本身或可以从中导出指令的格式。可以从中导出指令的这种格式可包括源代码、编码指令(例如,以压缩或加密形式)、打包指令(例如,分成多个包)等。可以通过处理电路***将表示机器可读介质中的指令的信息处理为用于实施本文讨论的任何操作的指令。例如,从信息中导出指令(例如,由处理电路***处理)可包括:编译(例如,从源代码、目标代码等)、解释、加载、组织(例如,动态或静态链接)、编码、解码、加密、取消加密、打包、拆包或以其他方式将信息操纵到指令中。
在示例中,指令的导出可包括信息的组装、编译或解释(例如,通过处理电路***),以根据由机器可读介质提供的某种中间或预处理格式来创建指令。当信息以多个部分提供时,可以进行组合、拆包和修改以创建指令。例如,该信息可以位于一个或多个远程服务器上的多个压缩的源代码包(或目标代码或二进制可执行代码等)中。可以在通过网络传输时对源代码包进行加密,并在必要时对其进行解密、取消压缩、组装(例如,链接),并在本地机器上对其进行编译或解释(例如,编译或解释到库中、独立的可执行件中等),并由本地机器执行。
因此,如图12中所示,区块链技术可用于支持网络功能。图12是图示根据示例的电信服务的示例交付的框图。希望启动新服务(诸如语音服务)的实体(客户)使用描述符记录描述期望的服务。客户签署描述符并将描述符提供给区块链。可以经由描述符消息将描述符提供给注册表提供商(注册者)。提供商群体可能希望提供全部或部分服务。区块链挖矿群体确保描述符消息确实已提交,并且注册提供商已接收到描述符消息。挖矿群体可以复制注册者内容,从而使描述符消息无处不在地可供有权访问区块链块副本的任何人使用。在一些实施例中,注册者可以向客户发送报酬(例如,电子硬币),或者可以秒取一部分报酬(例如,部分电子硬币)以确认接收到描述符。例如,契约是编排即服务的描述符,客户是用户,而服务提供商是编排器群体。
寻求提供由描述符定义的服务的服务提供商可以不断监视到注册者的事务。例如,服务提供商可以检查任何矿工的区块链事务列表。本质上,区块链可用于实现发布-订阅机制。
感兴趣的服务提供商可以通过创建由服务提供商签名并作为区块链事务发送给客户的投标记录来响应所提交的描述符。客户通过向(所考虑投标的)每个投标者发送一部分报酬(例如,部分电子硬币)来确认收到投标。客户可包括作出决定的时间范围和/或投标者可包括接收投标的时间范围。时间范围可以是不同的。如果在接受投标之前时间范围已期满,则区块链将记录时间的流逝,并确保审计器清楚时间范围是什么以及时间范围是否期满。
客户通过签署契约并将已签署的契约发送给发起者来接收投标。区块链记录接受消息被发送。投标者通过发送用于赢得契约的电子硬币支付或部分电子硬币(如果定义了其他支付条件)来确认已接收接受。此时,区块链知道契约以及契约的条款已被接受。
因此,如图12中所示,可以在每个步骤应用区块链技术。一旦请求了新的网络服务(例如,语音服务),就基于用于服务的编排的描述符来选择编排提供商。对于DSFC,编排器创建语音服务的服务功能链,并处理语音服务的描述符、SLA、安全性、QoS和其他参数。编排器选择语音服务,并基于分布式服务功能链接受语音服务的SLA。然后,编排器基于描述符来发布服务托管契约和联网服务契约。在这种情况下,契约是由功能即服务功能的序列/图组成的分布式服务的描述符。现在,客户可以是编排者,而服务提供商是边缘服务解决方案提供商。
各个分布式实体承包服务托管契约和网络服务契约的投标。编排器选择托管由DSFC标识的离散功能的提供商的集合。对于DWH,契约是离散网络功能(VNF、COTS等)的,客户是边缘服务解决方案提供商,而服务提供商是FaaS托管提供商的群体。
然后,根据SLA执行服务。具体而言,通过编排要使用的资源(例如,基站的CPU、NIC、VF、L1-L3功能)来实现DWH。通过针对语音服务的网络服务的编排来实现网络服务(例如,vEPC VNF)。然后,用户执行服务水平协议并接收分布式执行的结果。执行步骤可以由区块链进行监视,因为FaaS节点可以在对执行服务的确认中记录(审计)执行、提供遥测数据和/或接受/返回电子硬币。客户因此可以开始使用由服务提供商提供的服务。这可能取决于服务提供商提供访问权限、公开服务接口等。这可能在区块链上或下发生。在履行契约并交付语音服务之后,可以取消语音服务。
当前所描述的方法、***和设备实施例的附加示例包括下列非限制性的配置。下列非限制性示例中的每一个示例可以独立存在,或可以与以下所提供的或遍及本公开的其他示例中的一个或更多示例按照任何排列或组合进行结合。
示例
示例1是一种设备,包括:处理电路***,布置成用于:使用网络功能虚拟化(NFV)发布对要交付的网络服务的编排的请求,投标使用分布式服务功能链(DSFC)契约区块链发布,其中设备、DSFC契约和对网络服务的请求的发起者是使用自主权身份区块链来标识的;基于DSFC契约区块链来确定设备从已指示编排网络服务的能力的实体之中编排网络服务;响应于确定设备编排网络服务,从DSFC工作负载托管(DWH)契约区块链中标识用于提供网络服务的至少一个实体,该DSFC工作负载托管(DWH)契约区块链包含网络服务的实体的DWH契约投标,其中实体和DWH契约是使用自主权身份区块链来标识的;以及验证至少一个实体正在根据DWH契约执行DWH契约;以及配置成用于存储DWH契约的存储器。
在示例2中,示例1的主题包括:其中处理电路***进一步被布置成用于验证至少一个实体被提供履行DWH契约的报酬。
在示例3中,示例1-2的主题包括,其中处理电路***进一步被布置成创建网络服务的服务功能链。
在示例4中,示例3的主题包括,其中处理电路***进一步被布置成用于通过收集报告以下各项中的一项或多项的遥测数据基于服务功能链来验证DWH契约正在由至少一个实体根据DWH契约来执行:监管链遵从性、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全性遵从性。
在示例5中,示例1-4的主题包括,其中处理电路***进一步被布置成用于从DWH契约区块链中选择用于提供网络服务的至少一个实体。
在示例6中,示例1-5的主题包括,其中网络服务包括虚拟网络功能(VNF)。
在示例7中,示例6的主题包括,其中处理电路***进一步被布置成用于编排托管用于提供VNF的离散功能的多个提供商。
在示例8中,示例1-7的主题包括其中自主权身份区块链、DSFC契约区块链或DWH契约区块链中至少一个的条目描述符在欧洲电信标准协会(ETSI)NFV标准中定义。
在示例9中,示例1-8的主题包括,其中处理电路***进一步被布置成用于生成随机的自生成的标识符、用密码散列对标识符进行散列化以形成经密码散列化的标识符,以及提交经密码散列化的标识符到自主权身份区块链作为设备的区块链标识符。
在示例10中,示例1-9的主题包括,其中DSFC契约包含DSFC契约有效的时间范围。
在示例11中,示例1-10的主题包括,其中网络服务是分布式网络服务,并且处理电路***进一步被布置成用于使用区块链来签发分布式网络服务的DWH契约和网络服务契约。
在示例12中,示例1-11的主题包括,其中自主权身份区块链、DSFC区块链和DWH区块链经由单个分布式数字账本来并入。
示例13是包括指令的存储设备,其中在指令由计算设备的处理电路***执行时,使处理电路***执行以下操作:使用分布式服务功能链(DSFC)契约区块链发布网络服务编排的请求,其中计算设备、DSFC契约和对网络服务的请求的发起者是使用自主权身份区块链来标识的;响应于使用DSFC契约区块链确定计算设备用于编排网络服务,基于DSFC工作负载托管(DWH)契约区块链来为用于提供网络服务的至少一个实体创建网络服务的服务功能链,DSFC工作负载托管(DWH)契约区块链包含用于网络服务的实体的DWH契约投标,其中实体和DWH契约是使用自主权身份区块链来标识的;以及验证至少一个实体正在根据DWH执行DWH契约。
在示例14中,示例13的主题包括,其中指令进一步使处理电路***用于通过收集报告以下各项的遥测数据基于服务功能链来验证DWH契约正在由至少一个实体根据DWH契约来执行:监管链遵从性、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全性遵从性。
在示例15的主题中,示例13-14的主题包括,其中指令进一步使处理电路***从DWH契约区块链中选择用于提供网络服务的至少一个实体。
在示例16中,示例13-15的主题包括,其中网络服务包括虚拟网络功能(VNF)。
在示例17中,示例16的主题包括,其中指令进一步使处理电路***用于编排托管用于提供VNF的离散功能的多个提供商。
在示例18中,示例13-17的主题包括,其中指令进一步使处理电路***生成随机的自生成的标识符,用密码散列对标识符进行散列化以形成经密码散列化的标识符,以及提交经密码散列化的标识符到自主权身份区块链作为计算设备的区块链标识符。
在示例19中,示例13-18的主题包括,其中网络服务是分布式网络服务,并且指令进一步使处理电路***使用区块链来签发DWH契约和用于分布式网络服务的网络服务契约。
在示例20中,示例13-19的主题包括,其中自主权身份区块链、DSFC区块链和DWH区块链经由单个分布式数字账本来并入。
示例21是编排网络服务的方法,包括:选择要交付的网络服务;使用用于标识编排提供商的自主权身份区块链以及用于将编排提供商与网络服务链接的分布式服务功能链(DSFC)契约区块链来选择网络服务的编排提供商;为至少一个提供商创建网络服务的服务功能链,以托管由DSFC基于DSFC工作负载托管(DWH)契约区块链所标识的离散功能,DSFC工作负载托管(DWH)契约区块链包含网络服务提供商的DWH契约投标,DWH契约区块链用于将提供商和功能链接;以及根据服务功能链标识的服务水平协议(SLA)执行网络服务。
在示例22中,示例21的主题包括,其中将使用网络功能虚拟化(NFV)来交付网络服务,并且功能中的至少一个是虚拟网络功能(VNF)。
在示例23中,示例22的主题包括,编排托管用于提供VNF的离散功能的多个提供商。
在示例24中,示例21-23的主题包括,收集遥测数据,并基于服务功能链和遥测数据来验证DWH契约正在由至少一个实体按照DWH契约执行,该遥测数据报告监管链遵从性、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全性遵从性。
在示例25中,示例21-24的主题包括,为编排提供商和提供商中的每一者生成随机的自生成的标识符,用密码散列对标识符进行散列化以形成经密码散列化的标识符,以及提交经密码散列化的标识符到自主权身份区块链作为区块链标识符。
示例26是一种设备,包括:用于选择要交付的网络服务的装置;用于使用用来标识编排提供商的自主权身份区块链和用来将编排提供商与网络服务链接的分布式服务功能链(DSFC)契约区块链来选择网络服务的编排提供商的装置;用于为至少一个提供商创建网络服务的服务功能链,以托管DSFC基于DSFC工作负载托管(DWH)契约区块链所标识的离散功能的装置,该DSFC工作负载托管(DWH)契约区块链包含网络服务提供商的DWH契约投标,DWH契约区块链用于将提供商和功能链接;以及用于根据服务功能链标识的服务水平协议(SLA)执行网络服务的装置。
在示例27中,示例26的主题包括,其中网络服务将使用网络功能虚拟化(NFV)来交付,并且功能中的至少一个是虚拟网络功能(VNF)。
在示例28中,示例27的主题包括用于编排托管用于提供VNF的离散功能的多个提供程序的装置。
在示例29中,示例26-28的主题包括:用于收集遥测数据的装置,以及用于基于服务功能链和遥测数据来验证DWH契约正在由至少一个实体根据DWH契约执行的装置,遥测数据报告监管链遵从性、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全性遵从性。
在示例30中,示例26-29的主题包括用于为编排提供商和提供商中的每一者生成随机的自生成的标识符、用密码散列对标识符进行散列化以形成经密码散列化的标识符以及提交经密码散列化的标识符到自主权身份区块链作为区块链标识符的装置。
在示例31中,示例26-30的主题包括,其中自主权身份区块链、DSFC区块链和DWH区块链经由单个分布式数字账本来并入。
示例32可包括一种设备,该设备包括用于执行示例1-31中任何一个所描述的或与之相关的方法或本文所述的任何其他方法或过程的一个或多个要素的装置。
示例33可包括一种或多种非暂态计算机可读介质,其包括指令,以在电子设备的一个或多个处理器执行指令后,使电子设备执行示例1-31中的任何一个所描述的或与之相关的方法或者本文所述的任何其他方法或过程的一个或多个要素。
示例34可包括一种设备,该设备包括逻辑、模块或电路,以执行示例1-31中的任何一个所描述的或与之相关的方法或者本文所述的任何其他方法或过程的一个或多个要素。
示例35可包括如示例1-31中的任何一个所描述的或与之相关的方法、技术或过程,或者其部分或局部。
示例36可包括一种设备,该设备包括:一个或多个处理器以及包括指令的一个或多个计算机可读介质,当指令由一个或多个处理器执行时,该指令使一个或多个处理器执行示例1-31中的任何一个所描述的或与之相关的方法、技术或过程,或者其部分。
示例37可包括如示例1-31中的任何一个所描述的或与之相关的信号或者其部分或局部。
示例38可包括如示例1-31中的任何一个所描述的或与之相关,或者如本文中以其他方式示出和描述的无线网络中的信号。
示例39可包括如示例1-31中的任何一个所描述的或与之相关的,或者如本文中以其他方式示出和描述的在无线网络中进行通信的方法。
示例40可包括如示例1-31中的任何一个所描述的或与之相关的,或者如本文中以其他方式示出和描述的用于提供无线通信的***。
示例41可包括如示例1-31中的任何一个或与之相关的,或者如本文中以其他方式示出和描述的用于提供无线通信的设备。
示例42是包括用于执行示例1-31或者如本文中以其他方式示出和描述的任何操作的各个设备和设备通信介质的网络。
示例43是4G/5G通信网络拓扑,该网络拓扑包括适于为示例1-31中的任一者的操作或者如本文中以其他方式所示出和所描述的操作执行通信的相应通信链路。
示例44是边缘云计算设备实现,其包括适于执行示例1-31或者如本文中以其他方式示出和描述的的任何操作的处理节点和计算单元。
示例45是ETSI NFV***实现,其包括适于执行示例1-31或者如本文中以其他方式示出和描述的的任何操作的设备、处理节点和计算单元。
示例46是边缘云网络平台,其包括适于执行示例1-31或者如本文中以其他方式示出和描述的任何操作的物理和逻辑计算资源。
示例47是一种设备,该设备包括用于执行示例1-31或者如本文中以其他方式示出和描述的的任何操作的各个装置。
示例48是用于执行示例1-31中的任一项的操作或者如本文中以其他方式示出和描述的操作的***。
示例49是包括表示指令的信息的至少一种机器可读存储介质,这些指令在由处理电路***执行时使得该处理电路***执行用于实现示例1-48中的任一项的操作。
在以上具体实施方式中,可将各特征组合在一起以使本公开流畅。然而,适用于这些特征的权利要求可以不陈述本文中所公开的每一特征,因为实施例可以表征所述特征的子集。进一步地,实施例可包括比特定示例中所公开的那些特征更少的特征。

Claims (25)

1.一种设备,包括:
处理电路***,所述处理电路***被布置成用于:
使用网络功能虚拟化(NFV)发布对要交付的网络服务的编排的请求,投标是使用分布式服务功能链(DSFC)契约区块链来发布的,其中所述设备、DSFC契约和对所述网络服务的请求的发起者是使用自主权身份区块链来标识的;
基于DSFC契约区块链来确定所述设备用于从已指示编排所述网络服务的能力的实体之中编排所述网络服务;
响应于确定所述设备用于编排所述网络服务,从DSFC工作负载托管(DWH)契约区块链中标识用于提供所述网络服务的至少一个实体,所述DSFC工作负载托管(DWH)契约区块链包含所述网络服务的实体的DWH契约投标,其中所述实体和DWH契约是使用所述自主权身份区块链来标识的;以及
验证所述至少一个实体正在根据所述DWH契约执行所述DWH契约;以及
配置成用于存储所述DWH契约的存储器。
2.如权利要求1所述的设备,其中所述处理电路***进一步被布置成用于验证所述至少一个实体被提供履行DWH契约的报酬。
3.如权利要求1所述的设备,其中所述处理电路***进一步被布置成用于创建所述网络服务的服务功能链。
4.如权利要求3所述的设备,其中所述处理电路***进一步被布置成用于通过收集报告以下各项中的一项或多项的遥测数据基于所述服务功能链来验证所述DWH契约正在由所述至少一个实体根据所述DWH契约来执行:监管链遵从性、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全性遵从性。
5.如权利要求1所述的设备,其中所述处理电路***进一步被布置成用于从所述DWH契约区块链中选择用于提供所述网络服务的至少一个实体。
6.如权利要求1所述的设备,其中所述网络服务包括虚拟网络功能(VNF)。
7.如权利要求6所述的设备,其中所述处理电路***进一步被布置成用于编排托管用于提供VNF的离散功能的多个提供商。
8.如权利要求1所述的设备,其中所述自主权身份区块链、所述DSFC契约区块链或所述DWH契约区块链中至少一个的条目描述符在欧洲电信标准协会(ETSI)NFV标准中定义。
9.如权利要求8所述的设备,其中所述描述符包括编排器描述符、资源描述符和网络服务描述符,而所述网络服务描述符包括编排器描述符身份、服务水平协议(SLA)参数和财务条款。
10.如权利要求1所述的设备,其中所述处理电路***进一步被布置成用于生成随机的自生成的标识符、用密码散列对所述标识符进行散列化以形成经密码散列化的标识符,以及提交所述经密码散列化的标识符到所述自主权身份区块链作为所述设备的区块链标识符。
11.如权利要求1所述的设备,其中所述DSFC契约包含所述DSFC契约有效的时间范围。
12.如权利要求1所述的设备,其中所述网络服务是分布式网络服务,并且所述处理电路***进一步被布置成用于使用区块链签发所述分布式网络服务的DWH契约和网络服务契约。
13.如权利要求1所述的设备,其中所述自主权身份区块链、DSFC区块链和DWH区块链是经由单个分布式数字账本来并入的。
14.一种包括指令的存储设备,其中在所述指令由计算设备的处理电路***执行时,使所述处理电路***执行以下操作:
使用分布式服务功能链(DSFC)契约区块链发布对网络服务的编排的请求,其中所述计算设备、DSFC契约和对所述网络服务的请求的发起者是使用自主权身份区块链来标识的;
响应于使用DSFC契约区块链确定所述计算设备用于编排所述网络服务,基于DSFC工作负载托管(DWH)契约区块链来为用于提供网络服务的至少一个实体创建所述网络服务的服务功能链,所述DSFC工作负载托管(DWH)契约区块链包含用于所述网络服务的实体的DWH契约投标,其中所述实体和DWH契约是使用所述自主权身份区块链来标识的;以及
验证所述至少一个实体正在根据所述DWH执行所述DWH契约。
15.如权利要求14所述的存储设备,其中所述指令进一步使所述处理电路***用于通过收集报告以下各项的遥测数据基于所述服务功能链来验证所述DWH契约正在由所述至少一个实体根据所述DWH契约来执行:监管链遵从性、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全性遵从性。
16.如权利要求14所述的存储设备,其中所述指令进一步使所述处理电路***从所述DWH契约区块链中选择用于提供所述网络服务的至少一个实体。
17.如权利要求14所述的存储设备,其中所述网络服务包括虚拟网络功能(VNF)并且所述指令进一步使所述处理电路***用于编排托管用于提供VNF的离散功能的多个提供商。
18.如权利要求14所述的存储设备,其中所述指令进一步使所述处理电路***用于生成随机的自生成的标识符,用密码散列对所述标识符进行散列化以形成经密码散列化的标识符,以及提交所述经密码散列化的标识符到所述自主权身份区块链作为所述计算设备的区块链标识符。
19.如权利要求14所述的存储设备,其中所述网络服务是分布式网络服务,并且所述指令进一步使所述处理电路***使用区块链签发DWH契约和用于所述分布式网络服务的网络服务契约。
20.如权利要求14所述的存储设备,其中所述自主权身份区块链、DSFC区块链和DWH区块链是经由单个分布式数字账本并入的。
21.一种编排网络服务的方法,包括:
选择要交付的网络服务;
使用用于标识所述编排提供商的自主权身份区块链和用于将所述编排提供商与所述网络服务链接的分布式服务功能链(DSFC)契约区块链来选择网络服务的编排提供商;
为至少一个提供商创建所述网络服务的服务功能链,以托管由DSFC基于DSFC工作负载托管(DWH)契约区块链所标识的离散功能,所述DSFC工作负载托管(DWH)契约区块链包含所述网络服务的提供商的DWH契约投标,DWH契约区块链用于将所述提供商和所述功能链接;以及
根据所述服务功能链标识的服务水平协议(SLA)执行所述网络服务。
22.如权利要求21所述的方法,其中将使用网络功能虚拟化(NFV)来交付所述网络服务,并且所述功能中的至少一个是虚拟网络功能(VNF)。
23.如权利要求22所述的方法,进一步包括编排托管用于提供VNF的离散功能的多个提供商。
24.如权利要求21所述的方法,进一步包括:收集遥测数据,并基于所述服务功能链和所述遥测数据来验证所述DWH契约正在由所述至少一个实体根据所述DWH契约执行,所述遥测数据报告监管链遵从性、法规遵从性、服务水平协议(SLA)遵从性、服务质量(QoS)遵从性和安全性遵从性。
25.如权利要求21所述的方法,进一步包括,为所述编排提供商和所述提供商中的每一者生成随机的自生成的标识符,用密码散列对所述标识符进行散列化以形成经密码散列化的标识符,以及提交所述经密码散列化的标识符到所述自主权身份区块链作为区块链标识符。
CN201880083922.XA 2018-02-01 2018-12-28 网络功能虚拟化的分布式自主权身份 Pending CN111543029A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862625177P 2018-02-01 2018-02-01
US62/625,177 2018-02-01
PCT/US2018/067866 WO2019152119A1 (en) 2018-02-01 2018-12-28 Distributed self sovereign identities for network function virtualization

Publications (1)

Publication Number Publication Date
CN111543029A true CN111543029A (zh) 2020-08-14

Family

ID=67478488

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880083922.XA Pending CN111543029A (zh) 2018-02-01 2018-12-28 网络功能虚拟化的分布式自主权身份

Country Status (4)

Country Link
US (1) US11757650B2 (zh)
CN (1) CN111543029A (zh)
DE (1) DE112018007007T5 (zh)
WO (1) WO2019152119A1 (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113159113A (zh) * 2021-03-09 2021-07-23 西华大学 信息恶意篡改下可修复遥测量的智能电网故障诊断方法
CN113873040A (zh) * 2021-09-29 2021-12-31 国网河南省电力公司信息通信公司 基于区块链的电力物联网跨域服务功能链编排方法
CN114423035A (zh) * 2022-01-12 2022-04-29 重庆邮电大学 一种网络切片场景下服务功能链异常检测方法
US11757650B2 (en) 2018-02-01 2023-09-12 Intel Corporation Distributed self sovereign identities for network function virtualization

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020013742A1 (en) * 2018-07-13 2020-01-16 Telefonaktiebolaget Lm Ericsson (Publ) Verification of lawful interception data
US10855757B2 (en) * 2018-12-19 2020-12-01 At&T Intellectual Property I, L.P. High availability and high utilization cloud data center architecture for supporting telecommunications services
US20220100739A1 (en) * 2019-03-23 2022-03-31 British Telecommunications Public Limited Company Distributed sequential transactional database selection
US20200374127A1 (en) * 2019-05-21 2020-11-26 The University Of Akron Blockchain-powered cloud management system
US11621973B2 (en) * 2019-07-03 2023-04-04 Battelle Memorial Institute Blockchain cybersecurity audit platform
US11005757B1 (en) * 2019-10-28 2021-05-11 Sprint Communications Company L.P. Network interface controller (NIC) with trusted execution environment (TEE) that redirects packets based on a processing policy
US11184395B1 (en) * 2020-05-13 2021-11-23 International Business Machines Corporation Cross-network identity provisioning
CN111654541B (zh) * 2020-06-02 2021-12-07 中国联合网络通信集团有限公司 面向边缘计算业务的服务功能链编排方法、***及编排器
US20230359498A1 (en) * 2020-07-26 2023-11-09 Telefonaktiebolaget Lm Ericsson (Publ) Orchestration of a Service
CN113676331B (zh) * 2021-08-12 2022-06-21 云南电网有限责任公司信息中心 一种基于区块链的sdn架构轻量级共识方法及sdn交换机
DE102021004762A1 (de) 2021-09-21 2021-11-18 Daimler Ag Verfahren zur Freigabe von Datenpaketen
KR20230108953A (ko) * 2022-01-12 2023-07-19 (주)가민정보시스템 자기 주권 신원 기반 인증 서비스 관리 시스템
CN114172937B (zh) * 2022-01-19 2023-12-29 广州市宝思信息科技有限公司 基于深度强化学习的动态服务功能链编排方法及***

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9998563B2 (en) * 2015-10-12 2018-06-12 Fujitsu Limited Vertex-centric service function chaining in multi-domain networks
US9860164B2 (en) 2016-01-21 2018-01-02 Ciena Corporation Flow based virtual network function orchestration
US10447478B2 (en) 2016-06-06 2019-10-15 Microsoft Technology Licensing, Llc Cryptographic applications for a blockchain system
US20190102850A1 (en) * 2017-09-29 2019-04-04 David McMakin Wheeler Smart city commodity exchange with smart contracts
US10868865B2 (en) * 2017-11-20 2020-12-15 Moshe Shadmon System and apparatus to manage data using a peer-to-peer network and the blockchain
WO2019104159A1 (en) * 2017-11-22 2019-05-31 Geoverse, LLC Distributed ledger system for management and tracking of exchanges of wireless services between wireless service providers
CN111543029A (zh) 2018-02-01 2020-08-14 英特尔公司 网络功能虚拟化的分布式自主权身份

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11757650B2 (en) 2018-02-01 2023-09-12 Intel Corporation Distributed self sovereign identities for network function virtualization
CN113159113A (zh) * 2021-03-09 2021-07-23 西华大学 信息恶意篡改下可修复遥测量的智能电网故障诊断方法
CN113159113B (zh) * 2021-03-09 2022-07-01 西华大学 信息恶意篡改下可修复遥测量的智能电网故障诊断方法
CN113873040A (zh) * 2021-09-29 2021-12-31 国网河南省电力公司信息通信公司 基于区块链的电力物联网跨域服务功能链编排方法
CN113873040B (zh) * 2021-09-29 2023-04-28 国网河南省电力公司信息通信公司 基于区块链的电力物联网跨域服务功能链编排方法
CN114423035A (zh) * 2022-01-12 2022-04-29 重庆邮电大学 一种网络切片场景下服务功能链异常检测方法
CN114423035B (zh) * 2022-01-12 2023-09-19 北京宇卫科技有限公司 一种网络切片场景下服务功能链异常检测方法

Also Published As

Publication number Publication date
US11757650B2 (en) 2023-09-12
US20200366493A1 (en) 2020-11-19
DE112018007007T5 (de) 2020-11-12
WO2019152119A1 (en) 2019-08-08

Similar Documents

Publication Publication Date Title
US11757650B2 (en) Distributed self sovereign identities for network function virtualization
US11611491B2 (en) Edge computing service global validation
US11907704B2 (en) Attestation manifest derivation and distribution using software update image
TWI815443B (zh) 用於物聯網之非暫時性機器可讀取媒體
US20200084202A1 (en) Attestation token sharing in edge computing environments
US20210144517A1 (en) Multi-entity resource, security, and service management in edge computing deployments
EP4020880A1 (en) Method, apparatus and machine-readable storage to verify trained models in an edge environment
US11888858B2 (en) Calculus for trust in edge computing and named function networks
EP3975476A1 (en) Trust-based orchestration of an edge node
CN111543070A (zh) 受信任iot设备配置和装载
US20220255916A1 (en) Methods and apparatus to attest objects in edge computing environments
KR20210134649A (ko) 프라이버시 보호 자율 증명
KR20220041722A (ko) 에지 플랫폼 관리를 위한 바이오메트릭 보안
KR20220088306A (ko) 트러스트 크리덴셜의 자동 에스컬레이션
EP4199426A1 (en) Methods, systems, articles of manufacture and apparatus to improve mobile edge platform resiliency
US20230140252A1 (en) Localized device attestation
US11838406B2 (en) Systems and methods for control-data plane partitioning in virtual distributed ledger networks
JP2023047294A (ja) ネットワークアプライアンスを使用したコンテンツ挿入
US20230106581A1 (en) Confidential computing environment including devices connected to a network interface device
US20230216849A1 (en) Attestation verifier role delegation
US10708129B1 (en) Changing hardware capabilities of a device
US20230344716A1 (en) Methods and apparatus to autonomously implement policies at the edge
US20220329433A1 (en) Methods, systems, articles of manufacture and apparatus to protect distributed data
CN117121006A (zh) 用于机密计算的证明即服务
WO2023075828A1 (en) Secure key management for service mesh deployments

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination