边缘计算设备中算法模型的鉴权方法、系统与流程

1.本技术涉及边缘计算技术领域，具体涉及一种边缘计算设备中算法模型的鉴权方法、系统。


背景技术：

2.随着技术的发展，边缘计算技术已经普遍应用于各个领域。通过边缘计算网关在靠近数据源的一侧进行本地计算分析，从而获得更高的计算实时性。并且随着算法模型技术的成熟，应用场景也越来越丰富，算法模型也逐渐从云端市场向边缘设备中迁移。
3.在算法模型更广泛地应用于边缘计算设备中实现一些计算分析的情况下，为保证算法模型安全部署，需保证算法模型在边缘计算设备上合法运行以及在其他非授权的边缘计算设备上不能运行。


技术实现要素：

4.为了解决上述技术问题，本技术提供了一种边缘计算设备中算法模型的鉴权方法、系统。
5.第一方面，提供了一种边缘计算设备中算法模型的鉴权方法，包括：
6.发起鉴权请求并提供算法模型的身份信息；
7.获取边缘计算设备的身份信息；
8.基于所述算法模型和所述边缘计算设备的身份信息在线鉴权或者离线鉴权。
9.可选地，基于所述算法模型和所述边缘计算设备的身份信息在线鉴权或者离线鉴权的步骤包括：
10.判断边缘计算设备与云服务端间是否符合通信条件；以及
11.基于判断结果进行在线鉴权或者进行离线鉴权。
12.可选地，基于判断结果进行在线鉴权的步骤包括：
13.将所述算法模型和所述边缘计算设备的身份信息上报云服务端；
14.根据所述云服务端的第一授权文件鉴定所述边缘计算设备是否有权限运行所述算法模型，所述第一授权文件中包含算法模型在边缘计算设备的授权信息。
15.可选地，基于所述算法模型和所述边缘计算设备的身份信息离线鉴权的步骤包括：
16.解析所述边缘计算设备中的第二授权文件得到算法模型在边缘计算设备的授权信息，所述第二授权文件中包含了算法模型在边缘计算设备的授权信息的加密信息；
17.根据所述授权信息鉴定所述边缘计算设备是否有权限运行所述算法模型。
18.可选地，还包括：
19.所述云服务端的第一授权文件更新的情况下，将更新后的第一授权文件加密处理后同步至所述边缘计算设备中并覆盖第二授权文件。
20.可选地，所述算法模型的身份信息包括名称或版本信息，和/或所述边缘计算设备
的身份信息包括设备标识码。
21.第二方面，提供了一种边缘计算设备中算法模型的鉴权系统，包括：
22.边缘计算设备，用于发起鉴权请求并提供算法模型的身份信息，以及提供边缘计算设备的身份信息，并基于所述算法模型和所述边缘计算设备的身份信息在线鉴权或者离线鉴权；以及
23.云服务端，与所述边缘计算设备通信，并支持在线鉴权。
24.可选地，所述边缘计算设备还用于判断其与所述云服务端间是否符合通信条件，并基于判断结果进行在线鉴权或者进行离线鉴权。
25.可选地，所述边缘计算设备进行在线鉴权操作的情况下，所述边缘计算设备将所述算法模型和所述边缘计算设备的身份信息上报云服务端，所述云服务端根据第一授权文件鉴定所述边缘计算设备是否有权限运行所述算法模型，并将鉴权结果返回至所述边缘计算设备，所述第一授权文件中包含算法模型在边缘计算设备的授权信息。
26.可选地，所述边缘计算设备进行离线鉴权操作的情况下，所述边缘计算设备解析第二授权文件得到算法模型在边缘计算设备的授权信息，并根据所述授权信息鉴定所述边缘计算设备是否有权限运行所述算法模型，所述第二授权文件中包含了算法模型在边缘计算设备的授权信息的加密信息。
27.可选地，所述边缘计算设备还用于在所述云服务端的第一授权文件更新的情况下，将更新后的第一授权文件加密处理后同步至所述边缘计算设备中并覆盖第二授权文件。
28.可选地，所述算法模型的身份信息包括名称或版本信息，和/或所述边缘计算设备的身份信息包括设备标识码。
29.本技术提供的边缘计算设备中算法模型的鉴权方法、系统，可以在边缘计算设备上进行离线鉴权，或者通过边缘计算设备和云服务端的配合进行在线鉴权，以保护算法模型在边缘计算设备上安全部署。
30.应当说明的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
31.图1示出根据本技术实施例提供的一种边缘计算设备中算法模型的鉴权系统的结构示意图；
32.图2示出根据本技术实施例提供的又一种边缘计算设备中算法模型的鉴权系统的结构示意图；
33.图3示出根据本技术实施例提供的又一种边缘计算设备中算法模型的鉴权系统的结构示意图；
34.图4示出根据本技术实施例提供的一种边缘计算设备中算法模型的鉴权方法的流程示意图；
35.图5示出图4中步骤s300的流程示意图；
36.图6a示出根据本技术实施例提供的鉴权方法中在线鉴权的流程示意图；
37.图6b示出根据本技术实施例提供的鉴权方法中离线鉴权的流程示意图。
具体实施方式
38.为了便于理解本技术，下面将参照相关附图对本技术进行更全面的描述。附图中给出了本技术的较佳实施例。但是，本技术可以通过不同的形式来实现，并不限于本文所描述的实施例。相反的，提供这些实施例的目的是使对本技术的公开内容的理解更加透彻全面。
39.边缘计算将计算资源部署在靠近用户和数据的边缘端，通过更靠近数据源的位置执行计算，可以提供更高带宽、更低延迟、更低功耗、更高安全的计算服务。目前，边缘计算设备承担越来越多的计算任务，在边缘计算设备中存放有至少一种算法模型。为保证边缘计算的安全性，在边缘计算设备中运行的算法模型需要在本设备中注册授权以具备运行权限。然而，目前存在一些算法模型被非法复制到其他未注册授权的边缘计算设备中的情况，如若算法模型在非注册的边缘计算设备中非法运行，则会造成安全事故。本技术提供的边缘计算设备及其算法模型的鉴权方法、系统，其算法模型可以在边缘计算设备上进行离线鉴权或者在线鉴权，以保护算法模型在边缘计算设备上安全部署。
40.图1示出根据本技术实施例提供的一种边缘计算设备中算法模型的鉴权系统的结构示意图。
41.参见图1，边缘计算设备中算法模型的鉴权系统包括云服务端100和边缘计算设备200。边缘计算设备200中的算法模型在该边缘计算设备200中运行前，会发起鉴权请求，上述系统提供在线鉴权模式或离线鉴权模式以鉴定边缘计算设备200上是否有权限运行算法模型。云服务端100可以与边缘计算设备200通信，并支持在线鉴权。边缘计算设备200用于发起鉴权请求并提供算法模型的身份信息，以及提供边缘计算设备的身份信息，并基于算法模型和边缘计算设备的身份信息在线鉴权或者离线鉴权。
42.进一步地，边缘计算设备200例如包括算法模型模块210、鉴权模块220、以及代理模块230。算法模型模块210中存放至少一种算法模型，且其中一种算法模型运行前先发起鉴权请求并提供自身的身份信息。代理模块230提供边缘计算设备200自身的身份信息。鉴权模块220接收鉴权请求并基于从算法模型模块210接收的算法模型的身份信息以及经由代理模块230提供的边缘计算设备自身的身份信息进行在线鉴权或者离线鉴权。
43.进一步地，算法模型模块210中的其中一个算法模型运行前，算法模型模块210中的软件开发工具包(sdk，software development kit)发起鉴权请求并提供对应算法模型的身份信息。其中，算法模型的身份信息例如包括算法模型的名称(例如由开发者命名)或版本信息(例如为版本号)。
44.进一步地，代理模块230提供的边缘计算设备200自身的身份信息例如为边缘计算设备200的唯一标识码，例如通过读取带电可擦可编程只读存储器(eeprom，electrically erasable programmable read only memory)获得。
45.需要说明，上述算法模型模块210提供的算法模型的身份信息在边缘计算设备200内部传送。且鉴权模块220通过代理模块230获取边缘计算设备200的身份信息是采用内部方法调用得到，不需要与外部传输。
46.进一步地，边缘计算设备200还用于判断其与云服务端间是否符合通信条件，并基于判断结果进行在线鉴权或者进行离线鉴权。
47.图2示出根据本技术实施例提供的又一种边缘计算设备中算法模型的鉴权系统的
结构示意图。
48.参见图2，示出了支持在线鉴权的系统。边缘计算设备200进行在线鉴权操作的情况下，边缘计算设备200将算法模型和边缘计算设备的身份信息上报云服务端100，云服务端100根据第一授权文件鉴定边缘计算设备是否有权限运行所述算法模型，并将鉴权结果返回至边缘计算设备100。其中，第一授权文件中包含算法模型在边缘计算设备的授权信息。
49.进一步地，在图1所示的系统基础上，边缘计算设备200中的鉴权模块220包括：通信单元221和鉴权单元222。
50.鉴权模块220中的通信单元221用于判断边缘计算设备200与云服务端100间是否符合通信条件。鉴权单元222根据判断结果进行在线鉴权或者进行离线鉴权，以及基于鉴权请求控制代理模块230获取边缘计算设备200的身份信息。鉴权单元222在在线鉴权模式下向云服务端100上报算法模型和边缘计算设备200的身份信息，云服务端100根据内部的第一授权文件鉴定边缘计算设备200上是否有权限运行算法模型。其中，第一授权文件中包含了多个算法模型在至少一个边缘计算设备200上的授权信息，例如包括算法模型的身份信息与授权该算法模型运行的边缘计算设备的身份信息的对应关系。其中，第一授权文件中包含的边缘计算设备200例如与云服务端100之间可以通信。
51.在其他实施例中，边缘计算设备中例如还设置有加密模块，用于将算法模型和边缘计算设备200的身份信息加密，之后上报至云服务端100。
52.图3示出根据本技术实施例提供的又一种边缘计算设备中算法模型的鉴权系统的结构示意图。
53.参见图3，示出了支持离线鉴权的系统，该系统中例如仅包含了实际参与离线鉴权的部件结构。也即通过边缘计算设备200即可实现离线鉴权。在图1所示的系统基础上，边缘计算设备200中的鉴权模块220包括：鉴权单元222、存储单元225和解密单元223。存储单元225存放第二授权文件，第二授权文件例如为包含了多个算法模型在至少一个边缘计算设备200上的授权信息的加密信息，例如包括算法模型的身份信息与授权该算法模型运行的边缘计算设备的身份信息的对应关系的加密后的内容。解密单元223用于解析第二授权文件得到算法模型在边缘计算设备的授权信息。
54.鉴权单元222在离线鉴权模式下通过解密单元223解析第二授权文件中的授权信息。并将由解密单元223解析得到的授权信息与算法模型和边缘计算设备的身份信息进行比对，并由鉴权单元222将鉴权结果回传至边缘计算设备200的算法模型模块210中。进一步地，鉴权单元222将授权信息分别与算法模型和边缘计算设备的身份信息比对，以判断边缘计算设备200是否有权限运行算法模型。
55.在其他实施例中，边缘计算设备200的鉴权模块220还用于在云服务端100的第一授权文件更新的情况下，将更新后的第一授权文件加密处理后同步至边缘计算设备200中以覆盖在先存储的第二授权文件。以保证离线鉴权模式下的鉴权结果的可靠性。
56.图4示出根据本技术实施例提供的一种边缘计算设备中算法模型的鉴权方法的流程示意图。图5示出图4中步骤s300的流程示意图。图6a示出根据本技术实施例提供的鉴权方法中在线鉴权的流程示意图。图6b示出根据本技术实施例提供的鉴权方法中离线鉴权的流程示意图。
57.参见图4，边缘计算设备中算法模型的鉴权方法例如包括如下步骤：
58.步骤s100：发起鉴权请求并提供算法模型的身份信息。进一步地，边缘计算设备200中的算法模型在该边缘计算设备200中运行前，会发起鉴权请求并提供对应算法模型的身份信息。其中，边缘计算设备200中的算法模型模块210中的软件开发工具包(sdk，software development kit)发起鉴权请求并提供对应算法模型的身份信息。其中，算法模型的身份信息例如包括算法模型的名称(例如由开发者命名)或版本信息(例如为版本号)。
59.步骤s200：获取边缘计算设备的身份信息。边缘计算设备200中的鉴权模块220接收到算法模型模块210发起的鉴权请求，并采用边缘计算设备200中的代理模块230获取边缘计算设备200的身份信息。进一步地，代理模块230提供的边缘计算设备200自身的身份信息例如为边缘计算设备200的唯一设备标识码，例如通过读取带电可擦可编程只读存储器(eeprom，electrically erasable programmable read only memory)获得。在其他实施例中，该步骤可以在进行在线鉴权或者离线鉴权的过程中执行。
60.步骤s300：基于算法模型和边缘计算设备的身份信息在线鉴权或者离线鉴权。边缘计算设备200的鉴权模块220在接收到鉴权请求之后分别经算法模型模块210得到算法模型的身份信息，以及经代理模块230获取得到边缘计算设备200的身份信息。之后基于上述二者的身份信息可以通过边缘计算设备200自身进行离线鉴权以鉴定边缘计算设备200是否有权限运行算法模型，或者可以通过边缘计算设备200和云服务端100配合进行在线鉴权以鉴定边缘计算设备200是否有权限运行算法模型。进一步地，参见附图5，步骤s300包括如下步骤：
61.步骤s310：判断边缘计算设备与云服务端间是否符合通信条件。边缘计算设备200中的鉴权模块220中的通信单元221与云服务端100通信，并判断与云服务端100的通信是否流畅。
62.步骤s320：基于判断结果进行在线鉴权或者进行离线鉴权。边缘计算设备200中的鉴权模块220中的鉴权单元222接收通信单元221的判断结果，在通信不流畅(例如包括卡顿、无网络等情况)时通过边缘计算设备200自身进行离线鉴权，或者在通信流畅时可以通过边缘计算设备200和云服务端100配合进行在线鉴权。进一步地，参见图6a，步骤s320中基于判断结果进行在线鉴权包括如下步骤：
63.步骤s321：将算法模型和边缘计算设备的身份信息上报云服务端。边缘计算设备200中的鉴权模块220中的鉴权单元222在在线鉴权模式下，将算法模型和边缘计算设备的身份信息例如通过通信单元221上报至云服务端100。
64.步骤s323：根据云服务端中的第一授权文件鉴定边缘计算设备是否有权限运行算法模型。其中，第一授权文件中包含了多个算法模型在至少一个边缘计算设备200上的授权信息，例如包括算法模型的身份信息与授权该算法模型运行的边缘计算设备的身份信息的对应关系。其中，第一授权文件中包含的边缘计算设备200例如与云服务端100之间可以通信。云服务端100将上报的算法模型和边缘计算设备的身份信息与第一授权文件中的授权信息进行比对，并由云服务端100将鉴权结果回传至边缘计算设备200的鉴权模块220的鉴权单元222中。进而将鉴权结果返回至算法模型模块210中。
65.进一步地，参见图6b，步骤s320中基于判断结果进行离线鉴权包括如下步骤：
66.步骤s322：解析边缘计算设备中的第二授权文件得到算法模型在边缘计算设备的
授权信息。边缘计算设备200中鉴权模块220的存储单元225中存放了第二授权文件，其中第二授权文件例如为包含了多个算法模型在至少一个边缘计算设备200上的授权信息的加密信息，例如包括算法模型的身份信息与授权该算法模型运行的边缘计算设备的身份信息的对应关系的加密后的内容。边缘计算设备200中鉴权模块220的鉴权单元222在离线鉴权模式下通过解密单元223解析第二授权文件中的授权信息。
67.步骤s324：根据解析得到的授权信息鉴定边缘计算设备是否有权限运行算法模型。边缘计算设备200中鉴权模块220的鉴权单元222将由解密单元223解析得到的授权信息与算法模型和边缘计算设备的身份信息进行比对，并由鉴权单元222将鉴权结果回传至边缘计算设备200的算法模型模块210中。
68.在其他实施例中，边缘计算设备中算法模型的鉴权方法还包括：云服务端100的第一授权文件更新的情况下，将更新后的第一授权文件加密处理后同步至边缘计算设备200中并覆盖第二授权文件。进一步地，云服务端100将更新后的第一授权文件加密处理后经由通信单元221同步至存储单元225中以覆盖存储单元225中存储的第二授权文件。以保证离线鉴权模式下的鉴权结果的可靠性。
69.本技术提供离线鉴权和在线鉴权两种模式，可以更全面地保护算法模型在边缘计算设备上安全部署。另外，本技术中的鉴权主体为算法模型的名称和/或边缘计算设备的设备标识码，可以避免算法模型和边缘计算设备中的敏感信息被暴露，增强了边缘计算设备中算法模型的安全部署。
70.需要说明的是，本文中的数值均仅用于示例性的说明，在本技术的其它实施例中，也可以采样其它的数值来实现本方案，具体应根据实际情况进行合理设置，本技术对此不作限定。
71.最后应说明的是：显然，上述实施例仅仅是为清楚地说明本技术所作的举例，而并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本技术的保护范围之中。
72.还应理解，本文采用的术语和表述方式只是用于描述，本说明书的一个或多个实施例并不应局限于这些术语和表述。使用这些术语和表述并不意味着排除任何示意和描述(或其中部分)的等效特征，应认识到可能存在的各种修改也应包含在权利要求范围内。其他修改、变化和替换也可能存在。相应的，权利要求应视为覆盖所有这些等效物。