贺伟
天翼电子商务有限公司上海分公司200085
摘要:
本文提出一种利用高性能5G网络通道将手机端算力密集型算法代理至云端完成的节点实现方案。本文详细描述了所提出系统的详细实现方案,并分析了应用场景。该技术可为轻量级移动端设备提供本地化的高性能计算能力,以实现虚拟超级移动计算节点,为移动设备加载如区块链或隐私强化场景功能构建算力基础。
A proxy-computing scheme is proposed in this paper, which carries the computing-intensive tasks to the cloud servers through the high-performance 5G wireless channels.This paper describes the system and analyzes the application scenarios in details.The proposed scheme provides localized high-performance computing power to the light-weight mobile devices,so as to realize the virtulization of super mobile computing node. The system provids computing base for executing the blockchain nodes or privacy-enhanced functions on mobile devices.
关键词:5G Wireless Communication - 5G无线通信,Cloud Computing - 云计算,Privacy Protocol - 隐私协议,Cloud Storage - 云存储,Trusted Execution Environment(TEE) - 可信执行环境TEE
I前言
随时移动通信技术的不断发展,手机已越来越多承载了人们的日常工作与生活需求。但移动设备(如手机)受制于有限的处理器计算能力,有限的存储空间,有限的电池容量,导致移动设备无法满足密集计算任务的使用场景,例如作为区块链移动端节点所需的全量交易计算,或实现高级隐私协议所需的海量隐私密文计算,以及作为边缘计算节点所需完成的海量数据预处理计算。
随着移动互联网金融业务深入至百姓生活,金融业务方可轻易大量获取用户数据,数据风险事件日益增多。欧盟委员会2018年实施的《通用数据保护条例》GDPR对用户隐私管理做了严苛的规定,我国也正加速制定《个人信息保护法》《数据安全法》等相关法律法规。在监管法规日益趋严的今天,现有的移动互金业务亟待采用新技术来解决商业的数据隐私风险问题。随着手机性能提升与功能的丰富,手机在互金网络中已开始承担越来越重要的计算任务,特别是涉及到大量的隐私算法协议的关键参数生成与计算。受限于有限的电池容量,CPU算力及存储能力,高频隐私算法在手机中难以得到有力支撑。特别是涉及到一些高算力,大存储应用,如区块链节点计算任务,零知识证明[6],同态加密[7]等隐私算法;手机终端作为物联网边缘计算Edge Computing[8]节点对数据的预处理计算;手机作为内容分发网络CDN终端对大量数据的存储等等。
本文提出一种新型的手机移动端高算力云端代理计算实现方案,该方案基于5G网络[4],移动终端,安全执行环境TEE,云存储/云计算等多技术的融合,构建云端算力本地化的移动端虚拟计算能力,其价值在于方案通过5G移动信道所带来的高带宽,低延迟,海量接入特性,使得手机端所承载的在高密集计算或者大数据量存储可高效代理至云端完成,并实时反馈回手机端,同时云端计算在安全执行环境TEE内完成,使得云端资源虚拟化为手机自有资源。性能的提升可实现手机在区块链移动端轻节点计算,移动端隐私算法,移动端边缘计算,内容分发网络等场景下的应用能力。
II 正文:设计方案:
A.背景技术
1.可信执行环境Trusted Execution Environment (TEE)[5]
可信执行环境(TEE)可以通过硬件在非可信的计算环境中隔离出一个可信的执行环境,可以将敏感数据以及对应的执行程序存储在可信执行环境中,从而在实现数据处理功能需求的同时实现隐私保护、完整性保护等安全特性。最新的CPU架构通常内置可信执行环境,如Intel SGX[1]以及ARM TrustZone[2]等。
TEE可实现对隐私数据的安全处理,代码的可信执行,其安全等级可保证指令及数据可存储、执行于软硬件双重隔离的内存空间,因而保障执行过程极难被攻击,数据极难被篡改。同时,TEE(如Intel公司SGX)[1]可对指令执行的安全进行签名,外界对签名进行验证即可确认指令结果是可信执行所获取的。
本文中将利用TEE作为手机上载至云端的算力密集型操作算法的执行环境,以防止代理计算任务在云端泄露移动端数据信息。
2.区块链
区块链是将一定时间内发生的交易封装为交易块,将交易块以时间先后顺序用密码学方式串连起来的链式数据处理与存储结构[3]。区块链以分布式结构为基础,运行多方共识的智能合约,以达到可信地执行预定逻辑。区块链作为一种区别于中心化方案的基础设备,所带来特性包括:
1)去信任:无需中心化系统(或有一定中心化的弱中心化系统)即可达到既定合约逻辑的可信执行。
2)分布式多方记帐:多方共同维护统一帐本。
3)共识协议:多方对每笔交易进行共识可才可入帐,因此有较强抗恶意攻击能力。
4)不可篡改:交易入帐即不可更改。
B.总体实现方案
1.系统整体架构
方案描述如下图1所示,该案整体框架如图所示,其主要包括如下执行流程:
a)“指令接收”:手机终端作为独立节点收到其它节点传来的指令
b)“指令拆分为子算子”:该指令在手机终端被拆分为若干子算子
c)“算子上载”:算力密集型子算子由5G通道上载至云端
d)“云端计算”:所上载算子在云端完成计算
e)“结果下载”:云端计算的结果通过5G通道下载至手机端
f)“计算结果整合”:手机端将本地计算子算子与云端计算子算子结果进行整合,得到整个指令计算结果
g)“指令返回”:根据协议,手机将指令结果返回至指令下达节点,或者传输至其它节点。
.png)
2.指令拆分
指令拆分即将手机端所获取的外部指令通过指令编译方式拆分为若干子算子,并将大量消耗算力的算法部分剥离出来[9]。如下图示例所述,指令Req_A通过手机端本地编译被拆分为n个算子Op,其中Op3与Opi为消耗算力的子算子,将被上载至云端 完成计算,其余算力轻量级子算子可在手机本地端完成。
算子Op3的读集合R3可由Op2计算获取;Opi的读集合Ri可由Opi-1计算获取。写集合W3, Wi由云端计算完成后获取。拆分方案如图2所示。
图2. 指令拆分方案。
指令拆分遵循如下原则,常用固化的算法作为独立算子拆分,如:
1.区块链场景下手机节点作为工作量证明(Proof-of-Work)所进行的哈希计算;
2.验证节点所需要的大量签名验证(Signature Verification)计算;
3.隐私场景下零知识证明所采用的椭圆曲线配对算法(Elliptic Curve Pairing)等等。
需要注意的是,常用算力密集型算子由于算法相对固定,因而可方便地在云端TEE环境中进行预置,计算过程中从云端直接调用,从而降低了端云间传输数据量与时间消耗。
3.云端代理执行过程
代理执行流程如图3所述。
1.外部指令接收;
2.手机端指令预处理,指令拆分为若干独立算子,计算Rin=Cin(R, Op), Hin=Hash(Rin)封装,基中Op为算力密集型算子;
3.Rin, Hin上载至云端;
4.云端指令执行,计算结果Rout=Cout(R/W, Op), Hout=Hash(Rout),TEE签名SigTee;
5.Rout, Hout, Sig下载至手机端;
6.拆包,验证SigTee,验证Hash,验证通过即可载入R/W,刷新W数据,完成计算指令;
7.指令执行完成,输出结果。
.png)
上述代理计算详细流程如图4所示。
.png)
4.多节点组网
采用所提出的多手机节点,结合5G移动通道、云端TEE环境所构建的网络框架可构成去中心化的区块链网络,如图5所述。由5G通道耦合的手机移动端与云环境可视为高算力大存储的“虚拟超级手机终端”,完成常用手机所无法完成的特殊计算任务。
.png)
C.技术应用场景分析
通过5G通信所赋予的高带宽eMBB,低延迟uRLLC,海量接入mMTC信道,将手机与云端设备打通,构建“手机移动端+5G+云”高性能移动端节点,使云资源可虚拟为手机后台资源,将手机端所需完成的密集计算、大存储任务通过高带宽,低延迟5G通道代理至云端实时完成并反馈计算结果。该方案可使用户家用手机成为高性能计算节点,实现区块链节点通用计算任务,同态加密、零知识证明等高级密码隐私协议,在用户手机端最终满足高强度高隐私需求。
我国主要运营商已基本完成5G通讯网络的规模化部署,云与终端设备间的高带宽,低延时通信已具备可行性。本文所提出方案中,手机终端所需要的云资源有三个主要来源:
1.手机厂商提供。在存储技术与电池利用率已达极限的情况下,厂商有意愿为用户配置厂商自有云端资源或外部云资源,从而使手机可支持更多高资源消耗的业务场景需求。高速5G网络使得云资源与手机本地协同计算、存储成为可能;
2.用户自我配置。为适应特殊应用需求,如支付交易,销售交易,企业票据处理交易等,用户有需求为手机配置自有云资源。本文中所提出的系统可支持异构节点入网,用户仅需在云端与手机端运行脚本,即可快速加入已有移动网络;
3.业务方提供。为实现如金融交易的隐私业务,相关经营者可为该业务客户提供5G接入的云资源以实现客户手机与云的节点虚拟化。
本文所提出的技术方案具有良好的通用性,具有大量潜在应用场景,可覆盖以手机终端的支付业务,边缘计算,异构隐私身份认证。并且通过定制不同智能合约,该技术可延伸至诸多移动终端的互联网金融场景,为支付,保险,理财,征信等场景提供高可信,隐私的交易方式,保障用户数据主权,降低数据滥用情况的发生,实现移动互金的合规经营。
以下部分讨论典型的移动端小额支付场景,如图6所示,众多商户、用户构成区块链架构下的金融支付网络。用户手机移动端采用本专利方案与云资源通过5G通道构成“虚拟超级手机终端”,由于算力的极大提升:1.用户与用户间的转帐交易;2.用户与商户间的支付交易可采用高强度的隐私交易算法,如零知识证明,同态加密,多方安全计算,用以保护交易不可被非交易相关所获取。
.png)
在上述应用中,隐私算法所采用算力密集型常规算子被预先配置于云端TEE可信执行环境,通过5G通道算法被代理至云端高效计算完成,并实时反馈至用户手机移动端。由于算力密集算法被执行于云端,因而对手机侧并不带来性能压力,从而保证手机在区块链中可承担全节点作用。
基于区块链的移动身份场景如图7所述。该应用基于区块链的异构系统的身份识别与互通方案,异构系统身份识别为身份管理的难题,如个人用户的车联网,银行系统,社交,保险,政务等无法统一管理互通。该实施便采用区块链方案在合约中实现异构身份的智能合约,合约采用基于零知识证明的隐私算法:简洁非交互式零知识证明(ZK-Snark)[10]来识别用户身份信息,并在加密状态实现验证。由于涉及到极耗算力的ZK-Snark证明数据生成,无法在一般手机移动端实现。
.png)
基于本文所述系统,可通过5G+云构建移动端虚拟超级手机节点以实现手机端对ZK-Snark算法的有效执行。从而在手机端支撑区块链隐私合约身份识别交易。对不同系统身份的识别可对用户的异构身份进行统一有效管理,并保障用户隐私,降低了解客户(KYC)成本。
结束语(总结)
本文介绍了一种融合5G通道、云端计算、可信执行环境的虚拟计算实施方案,该方案通过5G高速通道打通端云,可为轻量级移动设备虚拟出本地化高性能计算能力,以实现移动端的算力密集计算需求。本文详述了系统具体实现方案,并针对移动金融场景与区块链分布式数字身份场景详细讨论了系统应用方法。该方案有潜力在5G时代规模化增加轻量级移动设备的承载功能并提升设备金融交易隐私安全性。
参考文献
[1] Zhao, C. C. , et al. "On the Performance of Intel SGX." 2016 13th Web Information Systems and Applications Conference (WISA) IEEE, 2016.
[2] Santos, N. , et al. "Using ARM TrustZone to Build a Trusted Language Runtime for Mobile Applications." International Conference on Architectural Support for Programming Languages & Operating Systems 2016.
[3] Marc, P. . "Blockchain Technology: Principles and Applications." Post-Print (2016).
[4] Gupta, A. , and R. K. Jha . "A Survey of 5G Network: Architecture and Emerging Technologies." IEEE Access 3(2015):1206-1232.
[5] Sabt, M. , M. Achemlal , and A. Bouabdallah . "Trusted Execution Environment: What It is, and What It is Not." 2015 IEEE Trustcom/BigDataSE/ISPA IEEE, 2015.
[6] Kilian, J. , and E. Petrank . "An Efficient Noninteractive Zero-Knowledge Proof System for NP with General Assumptions." Journal of Cryptology 11.1(1998):1-27.
[7] Fontaine, C. , and F Galand. "A Survey of Homomorphic Encryption for Nonspecialists." Eurasip Journal on Information Security 2007.1(2007):1-10.
[8] Shi, W. , et al. "Edge Computing: Vision and Challenges." Internet of Things Journal, IEEE 3.5(2016):637-646.
[9] Ding, Y. , et al. "Control flow-based opcode behavior analysis for Malware detection." Computers & Security 44.jul.(2014):65-74.
[10] Veeningen, M. . "Pinocchio-Based Adaptive zk-SNARKs and Secure/Correct Adaptive Function Evaluation." Springer, Cham (2017).