用于在移动边缘进行计算的平台的制作方法

用于在移动边缘进行计算的平台
1.本技术是2017年2月24日提交的申请号为201780025063.4的同名专利申请的分案申请。
2.相关申请的交叉引用
3.此专利申请要求于2016年2月25日提交的共同未决的美国临时专利申请号62/299,673的权益，通过引用将其整体并入本文。
技术领域
4.本发明的实施例涉及用于在移动网络边界处和/或附近提供计算资源的软件和硬件组件的平台。


背景技术：

5.在网络系统并且尤其是在无线网络系统/结构中，网络边界存在于网络的私有管理侧和网络的提供商管理侧之间的分界处。在移动技术和云技术之前，网络边界是私有管理网络的服务范围(例如，校园或办公楼的物理分界)，来自私有管理网络的服务扩展到该处。然而，随着移动技术和/或云技术的出现，网络边界已变得更加无定形，扩展超出了“物理”服务范围，但仍局限于私有管理平台。例如，由于在距公司办公室的运程位置处操作客户端设备，所以客户端设备尽管在公共管理网络内却可以在私有管理网络上操作。因此，利用移动技术和云技术，客户端设备和应用可以在扩展网络上操作，其中网络边界可以是受信任的私有管理网络和不受信任的公共管理网络之间的界限。
6.在网络边界处和/或附近提供计算资源可以导致在不受信任的和/或恶劣的环境内的操作，这可能损害安全性。然而，平衡安全性和操作效率可能使得难以为在网络边界处和/或附近操作的客户端网络设备和客户端网络应用提供足够的保护对策和安全性策略。通常，在这样的操作环境内平衡安全性和操作需求往往会妨碍提供这样计算资源的平台的可扩展性和可缩放性方面。
7.本公开旨在克服上述问题中的一个或多个问题。


技术实现要素：

8.本文公开了用于在移动网络边界处和/或附近提供计算资源的软件和硬件组件的平台。该平台可以被用于经由在网络边界处或附近提供的至少一个移动边缘计算(“mec”)装置和至少一个mec控制器来提供与小小区无线电相邻的计算资源。在网络内的mec控制器和mec装置的实施方式可以生成安全的平台(例如，安全沙盒)以及促进分布式网络(例如，使用网络内的多个客户端设备)内的可缩放性和可扩展性的平台。此外，该平台还可以便于对由客户端设备和/或移动网络运营商(“mno”)使用的第三方应用的托管。
9.在一些实施例中，mec装置可以用作数据平面以支持客户端设备和网络之间的数据流通信量。例如，mec装置可以被用于通过经由沙盒方案实施多租户环境而在客户端设备上运行第三方应用。在一些实施例中，mec控制器可以用作控制平面，以提供对所有被管理
的mec装置设备的配置、策略管理和操作的带外控制(out of band control)。mec控制器本身可以使用或实施针对弹性、可缩放性和可扩展性设计的微服务架构。该平台可以被用于使mno的核心网络和/或相关联的宏小区网络拓扑去集中化，以生成比现有平台更灵活、更可靠和更高效的平台。
10.本发明平台可以包括用于在网络边界处和/或附近的分布式拓扑内的有效隐私和访问的安全性架构。这可以通过实施安全性模块来实现，该安全性模块对mec控制器发挥功能不可或缺并且为此扩展贯穿每个mec装置。安全性模块可以被配置为在被授权对网络的访问权限和/或被给于发布命令的权限(其将改变mec装置的操作环境中的一个或多个组件的配置或状态)之前，对在网络边界环境内、处和/或附近的任何平台组件的任何动作进行验证。在一些实施例中，安全性模块的框架可以是建立多个层的多个组件，每个组件被构造为解决每个层处的各种攻击矢量和潜在利用，以使未经授权的访问的风险最小化。
11.代替小小区无线电发起到mno安全网关的互联网协议安全性(“ipsec”)隧道，mec装置可以将自身安装在该数据路径中，以充当到小小区无线电的ipsec服务器和到mno的安全性网关服务器的ipsec客户端设备。mec控制器可以包括被设计为微服务架构的核心服务平台，以提供对由该平台提供的所有能力的集中控制和聚合，其可以将特定功能的范围隔离到可以被独立缩放的专用实例集合。此外，可以通过核心服务平台内的公共网关模块严格地进行与mec控制器的集成，以允许第三方集成和控制与网关模块结合或作为其代替物。
12.一些实施例可以包括发现服务模块，其作为负责在现场提供mec装置的平台的组件，其可以包括在网络边界环境处/附近内的自主供应。
13.利用去集中化方法以及安全性模块，该平台可以将移动应用部署或“推送”到网络边界环境边缘和/或附近，致使移动应用位于最接近终端用户的位置在技术上是可能的。另外，具有位于网络边界环境内、处和/或附近的装置的mno和/或客户端设备用户可以在对该平台内的其他模块的最小干扰或没有干扰的情况下，基于需求而容易地和有效地放大或缩小。
14.虽然通过本文提供的技术方案可以实现这些潜在优点，但是不要求其被实现。本公开的发明可以被实施为实现技术优点，无论是单独地还是组合地寻求或实现这些潜在优点。
15.根据对下面结合附图描述的示例性实施例和示例以及所附权利要求的研究，本发明的其他特征、方面、目的、优点和可能的应用将变得显而易见。
附图说明
16.根据结合以下附图呈现的以下更具体的描述，本发明的上述以及其他目的、方面、特征、优点和可能的应用将是显而易见的，在附图中：
17.图1示出了可以与本发明平台一起使用的示例性移动边缘计算(“mec”)服务器配置。
18.图2示出了可以与现场部署的mec装置一起使用的示例性mec控制器。
19.图3示出了可以被用于mec控制器的示例性核心服务平台微服务架构。
20.图4示出了可以与本发明平台一起使用的用于消息传递架构的示例性架构设计。
21.图5示出了通过可以由本发明平台执行的公共网关模块的示例性认证实施方案。
22.图6示出了可以由发现服务模块执行的用于注册新的mec装置的示例性处理步骤。
23.图7示出了本发明平台的示例性高级架构，其包括与无线电网络、网络运营商和互联网相关的mec装置和mec控制器两者。
24.图8示出了在本发明平台中除了mec控制器代理架构以外的第三方nfv epc组件的示例性3gpp控制和数据平面架构。
25.图9示出了可以由安全性模块使用的示例性pki实施方案。
26.图10示出了可以由安全性模块使用的示例性rbac实施方案。
具体实施方式
27.以下描述是目前考虑用于执行本发明的实施例。此描述不以限制意义来理解，而仅是为了描述本发明的一般原理和特征的目的做出的。应该参考权利要求来确定本发明的范围。
28.公开了用于在移动网络边界处和/或附近提供计算资源的软件和硬件组件的平台。该平台可以被用在能够与私有管理网络(例如，互联网或私有互联网)连接的无线网络内。无线网络可以包括至少一个服务器(例如，服务器计算机)，其使能在私有管理网络的客户端设备(例如，个人计算机、触摸板、移动智能电话等)与服务器和/或另一客户端设备之间的通信。服务器可以包括能够促进与无线网络的通信的无线电调制解调器。服务器还可以包括能够促进与私有管理网络和/或其他网络的通信的网络接口。因此，服务器可以充当网络之间的网关。服务器的网关功能可以在网络之间被传输的数据中做出任何必要的转换。在一些实施例中，私有管理网络可以基于传输控制协议/互联网协议(“tcp/ip”)协议来操作，并且无线网络可以经由在服务器内实施的路由器而与私有管理网络通信。
29.本发明平台可以被用于提供与小小区无线电相邻的计算资源(例如，硬件和软件组件、模块、应用、装置等)。可以在无线网络中采用小小区无线电作为用于无线连接的接入节点。此外，小小区无线电与mec设备的组合可以被用于生成智能小区无线电。可以在无线网络中采用智能小区无线电作为用于跨多个频谱范围和技术的无线连接的接入节点。智能小区连接不基于静态频谱(即，不依赖于所使用的天线的配置)。代替地，智能小区连接可以传送多种频率和技术，这是因为它们经由软件控制频谱的能力。无线连接可以通过包括基于静态频谱的连接的其他手段(诸如例如宏小区、wi-fi等)来实现。
30.本发明平台可以包括被放置在网络边界处或附近的至少一个移动边缘计算(“mec”)装置和至少一个mec控制器。在一些实施方式中，mec装置可以被放置在小小区和移动网络运营商(“mno”)之间的线路中，并且mec控制器可以驻留在mno的核心网络内。移动运营商的核心网络可以是移动网络的中心部分，其可以包括宏小区(例如，小区基站、小区塔等)，以向通过接入网络被连接到移动网络的客户端设备提供服务。mec控制器和mec装置的编排实施方式可以生成用于在分布式网络(例如，使用(一个或多个)网络内的多个客户端设备)下的网络边界处和/或附近进行计算的安全平台。本发明平台还可以促进可扩展性和可缩放性，使客户端设备用户和/或mno能够扩展、添加、移除和/或修改网络的能力。本发明平台还可以便于对由客户端设备和/或mno使用的第三方应用的托管。第三方可以是mno授权对管理上限定的网络环境的范围的委托控制的权限的实体。
31.mec装置是硬件组件，其可以被配置为提供数据服务和安全性机制以用于运行来
自第三方的程序，其可能包括来自未经验证的第三方的不受信任的程序。在一些实施例中，mec装置可以用作数据平面以支持客户端设备和网络之间的数据流通信量。例如，mec装置可以是确定数据的路径的路由器架构的一部分。mec装置可以使用计算标准来提供额外的特征、组件和/或能力，其允许在网络内的任何类型的环境中大规模地部署和管理mec装置。例如，mec装置可以被用于通过经由在mec装置的编程配置中体现的沙盒方案实施多租户环境(即，网络内的多个客户端设备)来在客户端设备上运行第三方应用，以在mec装置上运行第三方应用的同时控制诸如存储器、文件描述符和/或系统空间的资源。在一个实施方式中，mec装置可以被用于与第三代合作伙伴计划(“3gpp”)标准演进分组核心(“epc”)接口(例如，3g、lte、4g等)直接集成，以用于为源自网络边界环境处和/或附近内的客户端设备的所有数据通信量提供数据处理服务。在至少一个实施例中，所有数据服务允许将数据通信量选择性地路由到本地应用和/或服务。出于检查和分析通信量的目的，数据服务还可以允许将所有通信量选择性地复制和递送到本地或远程应用和/或服务。
32.mec控制器是可以被构造为命令和控制用于给定mno的所有mec装置的硬件和软件组件的收集。mec控制器可以提供扩展到mec装置、mno和/或第三方中的能力，并且其可以被用于大规模操作mec装置。在一些实施例中，mec控制器可以用作控制平面，以经由控制逻辑来提供策略和配置参数，mec装置通过其来转发数据。例如，mec控制器可以被构造为使能对网络的接入点名称(“apn”)的选择性访问，其中apn可以被用于服务(诸如但不限于基于互联网协议(“ip”)架构来统一语音和数据)，使得语音可以被视为ip应用。在一些实施例中，mec控制器可以内部地实施微服务架构，以向mec装置和mno两者提供安全的、模块化的和可缩放的服务。
33.微服务架构可以被设计用于弹性、可缩放性和可扩展性。例如，mec控制器中的每个组件可以被水平地缩放(例如，如与向单个节点添加资源相反，而向网络添加更多节点)和被独立地扩展。mec控制器中的每个组件还可以被配置用于故障和安全性隔离，以及被加密保护，包括对经认证和加密的通信的使用。此外，mec控制器可以主要是无状态的、异步的，并经由带外通信活动进行操作。因此，可以在不影响mec装置的性能或可用性的情况下来操作mec控制器。
34.如以上指出的，mec控制器和mec装置的编排实施方式可以生成用于在分布式网络下的网络边界环境内、处和/或附近进行计算的安全平台。其中本发明平台实现这的一种方式是采用该平台来对mno的核心网络和/或相关联的宏小区网络拓扑进行去集中化。通过mec装置和mec控制器的使用来对拓扑进行去集中化可以生成比现有平台更灵活、更可靠和更高效的平台。此外，可扩展平台可用于在网络边界环境内、处和/或附近操作的所有形式的客户端设备，使mno能够部署驻留在网络边界处和/或附近的高度可缩放的、分布式计算资源池。例如，本发明平台可以能够部署递送要在该网络上运行的第三方应用的通用x86平台生态系统的资源，促进可以与被设计用于任何传统系统、产品或技术的输入一起操作的指令集。这些软件资源不需要被改变以适应移动网络的架构，并且代替地可以被部署为犹如在传统的企业局域网(“lan”)中运行一样。
35.这种去集中化可以通过使能在客户端设备和正运行的应用之间的直接访问来提供云计算方面的显著增强，本文中的操作被称为云边缘计算。换句话说，与在移动网络之外操作的如服务(“iaas”)的现有基础架构或如服务(“paas”)云计算机服务的平台不同，本发
明平台可以允许将应用部署到移动网络边界边缘，致使应用位于最接近终端用户(例如，在网络边界处/附近的客户端设备)处在技术上是可能的。为了向应用开发人员提供促进用于使用无线传输(over-the-air transmission)的客户端设备的最分布式和最低延迟网络的平台，mec装置还可以被配置为针对小的用户-到-主机比率编程的紧凑的且功能强大的装置。
36.如以上指出的，本发明平台可以被用于构建驻留在网络边界边缘处和/或附近的x86计算资源的安全分布式网络环境。这可以通过由平台内的各种组件支持的服务的编排实施方式来实现。例如，mec装置服务可以包括但不限于：1)配置和策略执行；2)报告和监视；以及3)软件分布和版本控制。mec控制器和/或mno服务可以包括但不限于：1)基于角色的访问控制(“rbac”)使能的表述性状态转移(“rest”)应用程序接口(“api”)，以经由用于mec装置和相关服务的控制的开源信息空间(例如，万维网)的软件架构生成调节对网络的访问的方法，包括用于对第三方实体的委托访问的支持；2)用于选择性供应的epc集成；以及3)来自mec装置的卸载和集中化操作的元数据处理。第三方服务可以包括但不限于：1)将相邻服务器硬件上的本地运行服务的直接连接扩展到客户端设备；2)集成到现有的用户认证服务中；3)集成到现有的通信服务中；以及4)用于委托的和/或允许的动作的控制的rest api。
37.本发明平台可以包括用于在网络边界环境处和/或附近的分布式拓扑内的有效隐私和访问的安全性架构。这可以通过安全性模块的实施方式来实现，该安全性模块对mec控制器发挥功能不可或缺并且为此扩展贯穿每个mec装置。例如，安全性模块可以被用于本发明平台的白名单访问和控制。在一些实施例中，mec控制器和mec装置中的所有组件可以被构建在安全性模块的框架的顶部上。在一个实施方式中，安全性模块的框架可以是零信任模型，从而来自在网络边界环境内、处和/或附近的任何组件的通信可以被强制为在被授权对网络的访问权限之前证明其身份。此外，安全性模块可以被配置为在被授权对网络的访问权限之前验证在网络边界环境内、处和/或附近的任何平台组件的任何动作。安全性模块还可以被配置为使得只有在与使用确保通信应用之间的隐私的传输分层安全性(“tls”)协议的加密会话一起使用时才可以允许任何服务间通信。在一些实施方式中，可以通过本地接口和/或远程接口来允许加密的tls会话。在一个实施方式中，tls协议可以在被授权对网络的访问权限之前要求显式认证。这可以通过对每个通信传输实例使用x.509证书来实现。
38.证书可以被广泛地用在针对tls客户端设备和针对服务器认证以及服务/原理身份的整个安全性架构中。例如，本发明平台可以被构造为将所有证书与来自外部公共密钥基础架构(“pki”)环境的扩展的信任链锚定在一起，或者可以建立新的根锚(root anchor)。另外，动作验证可以根据以下步骤：1)由有效用户提出请求；2)对于经认证的用户，允许所请求的动作；以及3)在限定的动作范围内，允许所请求的动作。一旦成功验证，所请求的动作可以被加密地签名和传输到能够执行该动作的目的地服务。
39.在一些实施例中，安全性框架可以是建立多个层的多个组件，每个组件能够被构造为解决每层处的各种攻击矢量和潜在利用，以使未经授权的访问的风险最小化。第一个安全性层可以在mec装置中，并且使用硬件加密单元(诸如受信任平台模块(“tpm”))而基于密钥加密来构建，所述硬件加密单元被物理地附接到用于存储被用于对装置上所存储的所有密钥进行加密的主密钥的本地主机。例如，第一安全性层可以使用公共密钥和私有密钥
进行认证和加密，其中在客户端设备和/或服务之间不共享私有密钥。这可以通过以下来实现：确保通过对被用于解密私有密钥的tpm(如果存在的话)的使用来保护私有密钥。可以期望永远不在服务或原理之间共享私有密钥。此外，安全性框架可以被配置为使得无论其是服务、mec装置实例还是使用公共api操作的人，其都是保护其安全性的私有密钥的所有者的责任。tpm模块(如果存在的话)的使用可以为与在本发明平台中运行的服务或装置相关联的私有密钥添加密钥的额外硬件保护。
40.tpm的使用可以促进第二安全性层的生成，第二安全性层可以是受信任引导平台(boot platform)，其验证网络内的操作环境的完整性。在操作环境内可以是第三安全性层，其可以是具有安全性机制的运行时安全性模块，以控制应用及其用户与网络元件交互的能力。运行时安全性模块可以使用进程隔离和存储器加密两者。进程隔离的使用可以通过将对系统资源的访问限制到对于该进程操作所需的那些资源来使攻击者可用的攻击矢量最小化。存储器加密的使用可以为在本发明平台中的组件上运行的服务提供防止对存储器中存储的敏感数据的未经授权访问的额外保护。第四安全性层可以是由在mec装置和/或mec控制器中运行的实际应用代码实施的安全性框架。其他实施例可以包括更多或更少的安全性层。
41.作为示例性实施例，安全性框架可以被配置为安全性模块，其可以经由内部通信总线向请求对mec控制器api的访问或环境中的组件之间的通信的任何原理提供认证、授权和计费(“aaa”)服务。安全性模块可以实施用于原理身份、角色和权限的持久存储的内部关系数据库，以向安全性模块提供完整的基于角色的访问控制(“rbac”)策略框架，以用于控制对mec装置的操作环境的访问。安全性模块中的原理可以指作为平台的一部分的服务实例、访问公共api的外部服务或人类操作员。例如，安全性模块可以经由安全性断言标记语言(“saml”)数据格式的使用而将原理的认证和授权委托给外部身份提供商服务。安全性模块还可以提供对所有原理活动的全面审计，这是因为可以期望由原理执行的动作被安全性模块接收和加密签名。安全性模块还可以提供公共密钥基础架构(“pki”)，以用于发布和撤销被用于原理认证和授权的数字证书。pki中的信任锚可以由mec控制器根证书颁发机构或者由网络运营商的现有证书颁发机构来建立。安全性模块可以基于aaa和pki服务来构建，以加密地识别原理并验证任何所请求的动作的范围(特别是将受该(一个或多个)动作影响的服务或设备)，并且允许由该原理做出改变。
42.安全性框架可以通过以下来提供层：(1)经认证的连接建立，其中，不允许原理与不使用加密会话的任何原理或服务通信，并且为此使用原理的数字证书对其进行加密认证；(2)通信的隔离，其中，改变或更改环境的状态的模块之间的所有通信可以被要求为只有经由安全性模块进行通信才这样做，这是因为直接通信不被允许；(3)权限的约束，其中，安全性模块外部的模块可以被配置为仅接收指令并提供由执行那些指令产生的响应，其中所有指令可以作为请求而被发送到安全性模块，并且仅来自安全性模块的加密签名的指令可以被环境中的任何其他服务接受，以对其相应配置进行更改；(4)对非安全性模块组件没有信任的假设，其中，安全性模块可以被配置为使得除非由现有安全性模块明确授权并发布加密签名的数字证书，否则组件(包括安全性模块实例的新实例)不被信任在该环境中进行通信；以及(5)范围和功能的隔离，其中，安全性模块可以被配置为使得模块不共享功能，并因此具有独立的攻击矢量，这意味着一个模块的利用不会直接影响另一个模块的功能或
安全性。
43.图1示出了可以与本发明平台一起使用的示例性mec服务器配置。mec装置可以是运行硬化linux操作环境的嵌入式x86硬件设备、mec控制器代理(即，装置服务代理)、所选择的数据平面网络功能虚拟化(“nfv”)epc模块以及核心第三方应用。linux操作环境和nfv epc数据平面模块可以经由安全的互联网协议(“ipsec”)套件接收和传输数据进出mec装置，以用于认证和加密通信会话的每个ip分组。mec装置可以包括mec控制器代理，由nfv epc数据平面模块提供的语音固定移动覆盖(“fmc”)功能和在mec装置中运行的本地语音服务以及nfv epc数据平面模块。示例性第三方应用被示出为内容递送节点(“cdn”)、企业应用公共网络接口和视频分析探测器。mec装置可以提供核心数据处理功能，其包括但不限于：1)缓存-经由第三方缓存应用来选择性缓存和/或存储本地装置上的内容；2)本地疏导(local breakout)，也称为本地ip访问-将选择通信量(traffic)路由到本地服务或本地连接的服务器；3)边缘交换机端口分析器(“span”)-镜像所有通信量以供数据分析。
44.代替小小区无线电发起到mno安全性网关的ipsec隧道，mec装置可以将自身安装在该数据路径中，充当到小小区无线电的ipsec服务器和到mno安全性网关服务器的ipsec客户端设备。因此，在此拓扑下不必改变小小区无线电的功能和控制。相反，mec装置可以在被传输到网络运营商的核心网络之前添加新的数据处理功能。单独此特征就可以使mec装置非常适合在恶劣的、不受信任的环境(诸如例如户外体育场或公共办公区域)中操作。
45.mec控制器可以经由多个平台模块为移动边缘计算装置、功能和服务提供集中化供应和管理平台。这些可以包括但不限于核心服务平台、营运商服务网关、企业服务网关、装置服务代理和发现服务。总体上，该平台模块可以提供以下核心服务：1)在网络边界环境处和/或附近内的所有计算装置的硬件和软件组件的集中化编排；2)为在网络边界环境处和/或附近内的服务运行选择第三方api的聚合和标准化；3)装置固件和软件(包括操作环境)、核心装置软件特征和第三方软件的生命周期和配置管理；4)集中化报告和容量规划；以及5)集成到现有epc模块和第三方基础架构中的brac、mec装置和用户供应。
46.图2示出了示例性拓扑以及各种组件之间的关系。核心服务平台可以用作mec控制器的核心，并且其可以执行对控制平面和操作服务的所有处理。例如，核心服务平台可以被设计为微服务架构，其提供由该平台提供的所有能力的集中控制和聚合。此设计可以将特定功能的范围隔离到用于独立缩放、故障和攻击矢量隔离的专用实例集合。企业服务网关和营运商服务网关是用于分别为客户端设备用户和营运营商用户提供网络用户接口的公共接口，并且稍后将更详细地讨论。
47.如图3-图4中所示，核心服务平台可以包括多个组件和/或模块。这些可以包括但不限于：1)安全性模块；2)装置模块；3)遥测模块；4)epc模块；以及5)公共网关模块。核心服务平台可以通过在图3中示出的作为服务间api的标准化api来与每个微服务进行通信。
48.安全性模块可以经由对颁发的x.509证书的支持来对所有动作进行加密认证和签名。在一些实施方式中，可以针对给定原理(例如，用户或服务)的期望范围来授权动作。安全性模块可以使用联邦信息处理标准(“fips”)186-4和/或国家安全局(“nsa”)套件b标准。安全性模块还可以被配置为利用内置rbac和审计能力来显式授权和跟踪每个动作。所有服务和原理可以经由为数字身份颁发的x.509证书来提供其身份。
49.参考图9，安全性模块pki拓扑可以具有信任锚，其实施根证书颁发机构(“ca”)或
由mno管理的现有pki签名的中间ca。每个安全性模块可以充当信任锚的中间ca，并且任何一个安全性模块实例可以向原理颁发数字身份，并且被用于经由在线证书状态协议(“ocsp”)来验证所有服务的证书链。
50.装置模块可以被配置用于mec装置的一对多管理。例如，装置模块可以促进与已部署的mec装置的通信。装置模块可以促进应用和装置的生命周期管理。装置模块还可以被配置为与装置保持持久通信，并且可以被进行水平缩放以允许添加多达100,000 个装置。因此，该模块可以简化与北界业务支持系统(“bss”)和操作支持系统(“oss”)平台的编排和集成。装置模块可以管理对被发送到mec装置的异步命令的状态的跟踪，以向其他模块提供抽象(abstraction)以观察请求的最终状态。装置模块还可以管理从核心服务平台接收到的经认证和授权的消息到一个或多个mec装置的分发，如经认证的消息中所指示的。
51.遥测模块可以被用于统计和记录。例如，来自mec装置和mec控制器的所有事件和度量可以被遥测模块捕获。遥测模块还可以支持基于触发的动作、提供对整个环境的近实时分析、以及从mec装置卸载遥测分析。在一些实施方式中，所有事件数据处理是经由遥测模块进行的。与在其他地方执行事件数据处理相比，这可以减少装置的计算资源需求。遥测模块还可以提供用于来自在对核心服务平台的支持中所使用的第三方应用的事件处理的接口。例如，服务网关(“sgw”)的控制平面元件可以将专有通知发送到为遥测模块的一部分的监听服务。遥测模块可以提供回调能力，特别是如果已经超过阈值或者已经发生特定事件则通知不同服务的能力。这可以允许对针对那些想要接收通知的服务的条件类型的适当服务的异步推送通知，其可以被用于进一步处置和处理。
52.epc模块可以与mno的epc组件通信，并且因此使能与mno epc的集成和通信，以用于网络供应和策略执行。epc模块可以包含nfv epc控制平面sgw和分组数据网络网关(“pgw”)元件。epc模块还可以被配置为执行策略和用户更改以及支持gx、s5和s11接口。当mec装置被部署或停止使用时，epc模块还可以分别提供对mec装置中运行的数据平面实例的添加或移除。
53.公共网关模块可以向mec控制器和/或mec装置提供公共rest api，并且因此能够为外部服务和用户向平台提供rest api端点。本发明平台可以被配置为使得公共网关模块对第三方消费者访问核心服务平台而言是唯一的公共接口。换句话说，与本发明平台接口的唯一方式将是通过公共网关模块的rest api。公共网关模块可以被配置为使得由运营商(例如，经由mec身份存储)授权对网络的所有访问。公共网关模块还可以被配置为使用由安全性模块出于授权连接尝试目的而提供的aaa认证框架，支持网络用户接口网关，并且可以被单独构建、或者进一步扩展或消费现有客户端门户rest api。
54.可以通过由核心服务平台内的公共网关模块提供的rest api严格地进行与mec控制器的集成，以允许第三方集成和控制与企业服务和/或营运商服务网关结合或者作为其代替物。因此，可以通过企业服务和/或营运商服务网关中的任一个或者通过遵从核心服务平台公共网关api的第三方产品来执行用户与核心服务平台的交互。
55.此外，平台可以被构造为使得任何mec装置的控制仅限于装置和核心服务平台之间的安全持久连接。如上所述，任何mec装置的控制可以是核心服务平台的功能的中心。因此，安全性框架的核心可以由核心服务平台内的安全性模块来实施并由其来提供。此软件套件可以负责授权对意图与网络进行通信的任何组件的访问权限。安全性模块还可以对其
他服务的所有命令进行加密签名，以验证任何命令的完整性和有效性。
56.参考图4，安全性框架也可以被实施在整个核心服务平台中，使得在没有使用例如x.509证书的显式认证的情况下，没有模块被信任与另一模块通信。在内部，核心服务平台的模块之间(服务间api)的所有通信可以由专有的javascript对象表示法(“json”)消息格式来处理、经由高级消息队列协议(“amqp”)来传输，该协议从另一模块抽象出任一模块的实施方式。交换的消息可以是统一格式的，被称为命令消息，表示所请求要在接收微服务上执行的范围、动作和动作的参数。标准化的命令消息格式可以在不依赖于远程微服务的设计或架构的情况下允许不同的微服务进行通信。符合amqp的消息总线可以在服务之间提供安全的、隔离的和/或受控制的消息的递送，并且可以被用于实施同步通信(诸如远程过程调用(“rpc”))或异步通信。此外，消息总线可以允许隔离的故障域，使得任何一个给定的微服务不负责管理状态或与远程微服务的通信。核心服务平台可以使用json键值存储来跟踪和记录在远程微服务上调用的异步命令的状态。
57.因此，消息传递协议可以允许给定模块的完整架构隔离，以出于以下目的而在不影响其他模块的情况下允许独立性：1)改变模块的底层实施方式；2)扩展或添加特征；3)增加或减少生产中的模块实例的数量；4)故障隔离；以及5)攻击矢量隔离。这样的设计还可以使核心服务平台在任何云托管环境中动态地缩放。例如，如果额外的或更冗长的遥测数据需要被收集，可以在不影响其他模块的情况下将额外的遥测模块部署为处置额外的处理需求。此缩放方案可以被应用于核心服务平台内的任何模块，以允许将资源仅分配给需要它的精确功能。
58.如以上指出的，mec控制器的核心服务平台组件可以提供rest api。企业和营运商服务网关可以向mec控制器提供实施rest客户端的网络用户接口。可以使这些企业和营运商服务网关用作向环境提供人接口的唯一功能。如图5中所示，企业和营运商服务网关可以实施由mec控制器所要求的证书认证，并且实施和代理传统的用户认证方法。因此，本发明平台可以被配置为使得企业和营运商服务网关是平台的可选组件。例如，实施用于mno环境的控制的用户接口的外部服务可以在不需要企业和营运商网关存在的情况下消费rest api。外部服务可以通过开发遵从mec控制器公共rest api网关规范的rest客户端和通过使用颁发的x.509数字身份证书来打开与rest api的经认证的连接而直接消费rest api。
59.装置服务代理可以用作mec装置中运行的所有组件和服务之间的接口，而这些服务由mec控制器管理。虽然mec控制器不需要mec控制器来处理移动网络上的数据，但该平台可以被配置为使得任何命令和控制功能仅可以从mec控制器发出。例如，当新的mec装置(被放置在移动网络边界的边缘处)被初始化并加入该网络时，装置服务代理可以负责与核心服务平台进行通信以更新epc控制平面元件，因此建立对驻留在装置内的epc数据平面模块的控制。因此，装置服务代理可以提供在网络边界环境内、处和/或附近安全地管理mec装置的生态系统的手段。此外，装置服务代理可以在mec装置中运行的第三方应用之间提供api转换和本地化消息传递和通知。例如，装置服务代理可以中继用于处理位置信息所需的数据，或者其可以将位置信息从一个服务转发到另一个服务，两者都本地运行并由装置服务代理进行代理。
60.发现服务可以是本发明平台的组件，其可以负责在现场(即，在网络边界环境内、处和/或附近)的mec装置的供应，其可以包括自主供应。发现服务可以驻留在mno的外部。发
现服务可以允许新的工厂交付的mec装置用mno来注册，以为所有通信和认证建立加密密钥并对mno特定的已签名的x.509数字身份证书。例如，客户端设备可以通过仅仅对客户端设备供电来连接到网络运营商以自动注册和获得证书(即，自主供应)。单独的功能和/或操作可以批准客户端设备加入该网络，但是可以经由发现服务使认证和验证的过程自动化。图6示出了可以被涉及的处理步骤，其可以包括在mec装置、云托管的发现服务和mno内运行的mec控制器之间的通信，以确保在自主供应期间的任何时间处不共享或传输私有密钥。此过程可以包括对tls客户端认证的使用。
61.如以上指出的，本发明平台可以在网络边界处和/或附近提供云边缘计算。具有位于现场的装置的mno和/或客户端设备用户可以在对该平台内的模块的最小干扰或没有干扰的情况下，基于需求而容易地且有效地放大和/或缩小。这可以部分地通过对mno的核心网络进行去集中化来完成，从而产生由零信任安全性模块管理的多个小系统。该平台可以在网络边界边缘处部署移动应用，致使移动应用位于最接近终端用户处在技术上是可能的。对mno的核心网络进行去集中化还可以促进增强的缩放管理，以在对模块没有干扰并且在每次添加装置时对安全性框架没有调整的情况下满足数据流需求。此外，mec装置可以对从mec控制器发送的所有通信和命令的有效性进行验证。因此，如果客户端设备向装置发送命令(例如，重启客户端设备)，则除了该系统以外，mec装置可以验证此动作。
62.如以上指出的，遥测模块可以从mec装置和mec控制器两者捕获所有事件和度量，因此在mec装置处发生的每个事件可以被发送到遥测模块。如果客户端设备用户发出无法由mec装置执行的请求，则该事件可以由遥测模块记录。此信息可以被用于更新该装置，使得针对相同内容的随后请求可以被执行。
63.参考图7，公开了本发明平台的示例性高级架构。此实施例示出了具有与无线电网络、网络运营商和互联网相关的mec装置和mec控制器两者的平台。在该图中，mec装置被示出为驻留在移动边缘处并且经由由安全性模块形成的加密隧道与至少一个小小区无线电以及mno epc矢量进行通信。
64.图8示出了除了mec控制器代理架构以外的第三方nfv epc组件的示例性3gpp控制和数据平面架构，其可以被用在图7的架构中。
65.图9示出了可以由安全性模块使用的示例性pki实施方案或pki拓扑，其展示了可以通过信任锚发生的安全性模块的各种实例。
66.图10示出了可以由安全性模块使用的示例性rbac实施方案。
67.对于本领域技术人员将显而易见的是，鉴于本公开的以上教导，所描述的示例和实施例的许多修改和变化是可能的。所公开的示例和实施例仅出于说明的目的而被示出。其他可替选实施例可以包括本文公开的特征中的一些或全部。因此，意图覆盖可以落入此发明的真正范围内的所有这样修改和可替代实施例，此发明的真正范围被给于其的完全宽度。另外，一系列值的公开是该范围内的每个数值的公开，包括端点。