面向典型行业的云网边协同与剪裁

从云计算到雾计算再到边缘计算，为了给用户提供极致的定制化服务体验，我们见证了无线网络与计算的不断融合与发展。然而，云计算会带来极高的传输延迟；而资源受限的边缘设备难以承担复杂的计算需求，且会给用户的数据隐私保护带来困难。所以可结合云端训练与边缘端推理，通过云网边端智能协同与剪裁技术实现按需的定制化服务，以支撑多种垂直行业的典型应用，这样不仅可以降低数据传输延迟，也可以保护用户的数据安全。由于面向典型行业的云网边端智能协同与剪裁技术目前还处于起步阶段，因此本白皮书旨在分析云网边端智能协同与剪裁的研究进展。主要包括：（1）云网边端智能协同与剪裁关键技术：首先对云计算和边缘计算的概念和特点进行简单描述。然后针对垂直行业的差异化需求，对裁剪技术（网络切片）、软件定义网络和人工智能等进行介绍，并分析其在云网边端协同中的应用。（2）云网边端协同安全研究：首先阐述了云网边端协同面临的诸多安全问题和挑战。然后分析云网边端协同的安全管理架构和安全技术等。最后对云网边端协同生命周期的安全管理进行（3）云网边端协同典型应用：作为白皮书的核心部分，对云网边端智能协同在新兴的代表性业务场景中的应用进行了分析，如物联网、智慧医疗、智慧交通和云手机等。1云网边端协同简介011.1国内外发展现状 1.1.1云网边端协同网络架构研究现状 1.1.2云网边端协同方式研究现状 1.2白皮书章节安排 2面向典型行业的云网边端协同架构032.1云边协同架构分析 2.2云网边端协同架构分析 3云网边端智能协同与剪裁关键技术研究063.1云计算和边缘计算基本概述 3.2.1基本概述 3.2.2在云网边端协同中的应用 3.3软件定义网络 3.3.1基本概述 3.3.2在云网边端协同中的应用 3.4人工智能 3.4.1基本概述 3.4.2机器学习在云网边端协同中的应用 3.4.3联邦学习在云网边端协同中的应用 3.4.4知识图谱在云网边端协同中的应用 4云网边端协同安全研究224.1云网边端协同面临的安全挑战 4.1.1缺乏安全可信的网络架构 4.1.2安全认证机制的不足 4.1.3隐私数据泄露风险 4.1.4基础设施安全风险 4.1.5开源软件安全风险 4.2云网边端协同的安全框架 4.2.1基础安全 4.2.2虚拟化安全 4.2.3数据安全 4.2.4应用安全 4.3云网边端协同安全的关键技术 4.3.1网络安全接入标准 4.3.2轻量级安全技术 4.3.3边缘计算安全 4.3.4数据隐私保护 4.3.5安全隔离 4.3.6高级持续性威胁防御技术 4.4云网边端协同生命周期的安全管理 4.4.1产品开发过程安全 4.4.2第三方组件安全 4.4.3运维安全管理 4.4.4安全事件管理 5云网边端协同典型应用案例365.1人脸识别 5.1.1场景概述 5.1.2性能需求分析 5.1.3对云网边端协同的潜在需求与应用 5.2自动驾驶 5.2.1场景概述 5.2.2性能分析 5.2.3对云网边端协同的潜在需求与应用 5.3物联网 5.3.1场景概述 5.3.2性能需求分析 5.3.3对云网边端协同的潜在需求 5.4音视频服务 5.4.1场景概述 5.4.2性能需求分析 5.4.3对云网边端协同的潜在需求与应用 5.5智慧交通 5.5.1场景概述 5.5.2性能需求分析 5.5.3对云网边协同的潜在需求与应用 5.6智慧医疗 5.6.1场景概述 5.6.2性能需求分析 5.6.3对云网边协同的潜在需求与应用 5.7云手机 5.7.1场景概述 5.7.2性能需求分析 5.7.3对云网边端协同的潜在需求与应用 6面向6G的云网边端智能化协同研究586.1面向6G云网边智能化架构 6.1.1架构总体描述 6.1.2架构特征 6.2.2服务化RAN技术特征 边缘计算能够提供近距离的智能服务，进行准确、快速的数据处理，具有占用资源少、处理低延时的优点，但难以实现资源的全局控制。云计算拥有足够的计算和存储资源，但处理速度较慢，用户交互延迟较大。通过构建云网边端协同架构，可以实现终端物联网设备的便捷通信和可靠的数据交互，满足不同结合云计算和边缘计算的优势，云网边端协同应运而生，通过云边协同网络，可在为终端用户提供低延时服务云网边端协同架构近年来受到产业界广泛关注。如，KubeEdge架构[1]产业界和学术界对资源协同、智能协同和数据协同等协同方式进行了大量研究。如联合通信和计算资源协同分同无论是在框架还是协同方式都已引起了国内外学者的关注，其中通过云网边端进行智能算法协同训练及推理第一章首先对云网边端协同架构与协同方式的国内外研究现状进行了分析，并简要介绍了全文的主要内容和结第四章对云网边端协同安全技术行了详细的介绍，首先介绍了云网边端协同面临的安全风险，然后云网边端协[7]W.Tangetal.,“WirelessCommunicationswithProgrammableMetasurface:NewParadigms,云网边端协同架构包括云中心、边缘域和网络部分。云中心是数据集中处理的中心，负责长期大流量数据的分析和处理，具有业务智能决策和管理能力，实现边缘节点全生命周期管理和周期性运维。边缘域或边缘节点可以接入云中心。云中心对边缘域和边缘节点上传的数据进行分析和处理。边缘域负责收集、存储和处理边缘节并由边缘服务器执行计算任务。当计算量较大、计算任务复杂度较高时，边缘服务器会将计算任务上传到云服务器进行处理。当云服务器完成计算任务后，会将计算结果下发至边缘服务器，再由边缘服务器将计算结果传下面以基于软件定义网络（SoftwareDefinedNetwork，SDN）的云边协同架构为例进行分析式SDN的控制平面可以提供云服务器和边缘服务器对不同资源的使用情况，根据不同的业务类型提供满足其需求的资源数量。其次，SDN与访问控制、广域网和云计算技术的兼容特性使得部署在无线接入网的虚拟网络功能灵活创建，从而极大程度地降低网络管理复杂度。最后，基于SDN的云边协同网络将更好地发挥云计图2.2描述了基于SDN的云边协同系统架构。从图中可以看到该架构主要由基础设施层、控制层、应用层和用户层组成。基础设施层由边缘服务器和云服务器组成，其中，边缘服务器负责收集网络当前状态，然后通过南向接口将当前状态的相关信息发送给控制层。控制层收到相关信息后，会按照其自身的规则处理数据并执行控制层通过北向接口连接至基础设施层，并逐级控制各个边缘计算网络和云计算网络环境，实现边缘计算和云计算的协调控制以及云和边缘的协同计算。控制层通过南向接口连接至应用层，应用层旨在为终端用户提供满足性能要求的应用程序，通过控制层提供的各类控制器，应用程序可以访问终端设备：终端设备发出的各种任务由应用层下发至控制层，由控制层进行决策并调用底层基础设施资源以实现应用层的各种任务。控制层是整个架构的核心，云计算设备和边缘计算设备可通过控制层合并到一个统一的体系架构中，该层包含局部控制器和全局控制器：其中，局部控制器控制局部范围内的资源调度和任务决策，当遇到较为复杂的计算任务时，局基于SDN的云边协同计算架构通过局部和全局控制器的协同实现负载优化、减少全局控制器的成本并降低延时，同时每层控制器的相对独立特性又保证了计算网络的安全性和稳定性。但云边协同体系涉及多个云计算平云网边端架构包括边缘计算设备、云计算设备及通信网络，通信网络包括接入网、承载网及核心网等。云网边端协同架构需要在通信网络中引入云计算和边缘计算，并在云计算与边缘计算中引入网络技术，是对网络架构5G核心网已经实现了全面云化，从而实现了海量数据的存储和处理。然而面对垂直行业的不同应用，其对网络的计算能力、存储能力及响应时间的需求是不同的：例如自动驾驶技术需要超低的响应时间，而超高清视频则需要较高的数据传输速率。因此需要通过边缘计算就近为用户提供低延时服务，同时边缘计算平台需要引入由于垂直行业会产生大量的承载网设备，其场景较为复杂、带宽需求量大，因此面向垂直行业的承载网需要大带宽、大容量。同时垂直行业的多种服务，例如工业控制、车联网、智慧医疗等需要低误码率以及低时延，因无线接入网是实现未来新兴应用的关键网络之一。随着垂直行业的持续发展，接入网技术也在不断提高，主要表现在以下几个方面：1）接入网的复杂程度在不断提高。不同的接入技术的竞争与综合使用，以及对不同垂直行业应用的支持，使得接入网的复杂程度不断增加。2）接入网应支持更复杂的业务，包括各种增强光纤技术的发展与光纤覆盖范围的扩展使接入网能够满足更多应用，并促进各种垂直行业的全光纤连接，实现云网边端协同架构将促使更多新兴业务产生。在云端，应用将不再被各种资源限制；在网络端，由网络连接的分布式的计算设备将促使更多低延时应用诞生；在边缘端，云边端协同将会产生云游戏等新兴应用。在云端和尽管云网边端协同发展催生了更多的应用，也为用户带来极致的服务体验，但在其发展过程中也存在着诸多问题。首先是网络技术的突破：新型的网络技术需要兼顾网络质量以及成本，如何权衡运营商在网络部署过程中的收益和成本将会成为制约云网边端协同发展的难点之一；其次，面对未来大量的泛在接入问题，在考虑收益和成本的同时更需要解决服务的灵活动态部署，需基于用户的服务等级协议需求，并综合考虑网络的多维资源使用情况，来提升网络的服务性能；最后，由于边缘服务器的算力有限，如何在边缘计算平台部署的轻量化设云网边端协同是云计算和边缘计算的进一步延伸。基于云计算和边缘计算，融合网络切片（剪裁技和人工智能等技术，实现云边按需协同互操作和系统的动态优化调度，进而支持垂直行业的复杂应用的构建、作为一种超级计算模式，云计算以互联网为基础，来实现用户的在线软硬件资源和信息资源共享，将计算机的存储和计算能力最大化。云计算在2007年由谷歌率先提出，在分布式计算、并行计算和网络计算的基础上形成的一种新的计算模型。广义上，云计算指用户通过网络在线以按需或易扩展的方式获得服务，这种服务包括软硬件和信息资源，对服务进行交易并收取费用。狭义上，云计算指把计算机基础设施作为商品进行交付和使云计算具备诸多优势：1）用户通过网络可随时随地对云端进行访问：云计算不仅拥有自己的系统，而且整合了各种异构的信息设备，用户可在拥有网络的前提下，接入云端访问资源。2）可以给用户提供自助式服务：极大地降低了运营成本。3）资源池化：云计算将所有的软硬件及信息资源放在虚拟化的运行环境中，用户请求服务时，这些资源就会按需组合，以满足用户的业务需求。4）弹性供给：云计算并不是静态地提供服务，当用户访问量过大时，可以自动提供更多资源，快速进行资源池化反应；当用户需求访问量减少时，则慢速云计算服务是一种集中式服务，所有数据都通过网络传输到云端进行处理，资源的高度集中使得云计算具有很高的通用性。然而，面对物联网设备和数据的爆发式增长，基于云计算模型的聚合性服务逐渐显露出其在实时为了弥补集中式云计算的不足，边缘计算的概念应运而生，它是指在靠近物或数据源头的网络边缘侧，融合网络、计算、存储和应用为一体的分布式开放平台，就近提供边缘服务。由于传输链路的缩短，边缘计算能够在数据产生侧快捷、高效地响应业务需求，数据的本地处理也可以提升用户隐私保护程度。另外，边缘计算减小边缘计算最早可以追溯至内容分发网络中的功能缓存概念，2015年边缘计算进入快速发展期后，以边缘计算为主题的协会与联盟相继成立，各类定义、标准与规范逐渐形成。旨在推动云操作系统的发展、传播和使用的OpenStack基金会以及由华为技术有限公司、中国科学院沈阳自动化研究所等联合成立的边缘计算产业联盟等组织对边缘计算进行了定义，尽管这些定义的描述不尽相同，但在边缘计算的核心概念上达成共识：边缘计算是指在网络边缘执行计算的一种新型计算模型，这里的边缘是指从数据源到云端之间的任意资源，其操作对边缘计算具备如下优势：1）在数据安全方面，边缘计算架构中的数据收集和计算都是在本地进行，数据不再被传输到云端，因此重要的敏感信息可不经过网络传输，有效地避免了传输过程中的隐私泄漏。2）在交互延迟方面：物联网应用面对的数据量极大，而边缘计算更靠近数据源，能够提供更实时、更快速的数据处理，降低了数据上传到云服务器的时间和数据回传带来的延时，从而提高了系统的效率。边缘计算的及时性和即时性对响应速度有苛刻时间要求的应用至关重要，比如自动驾驶应用、视频监控应用等。3）在带宽成本方面：随着物联网设备的增多，网络传输压力越来越大，而在边缘计算的过程中与云端的数据交互很少，无需要占用太多网络带宽。因此，边缘计算在数据计算和存储上均具有成本优势。这对基于互联网或者跨多个域数据转发的应用尤为关键，边缘计算既可以通过减少网络传输数据量来降低传输成本，也可以进一步提高云计算中心计算综合以上分析，云计算和边缘计算各有优势，单独依靠云计算或边缘计算都难以实现典型行业对各性能指标的面向物联网与垂直行业的无线网络为不同应用场景提供定制化服务，以满足不同应用场景的性能需求。例如，自动驾驶、智能工业等工业级应用场景要求超低时延和工业级可靠性保障；虚拟现实、增要求高带宽；智慧城市/家庭、智能水务等物联网传感器接入类业务要求大规模海量物联网终端接入。而张物理网络难以支撑千差万别的业务需求，而且移动互联网和物联网的快速发展带来的爆发式流量增长和设备接入引发了资源不足和管理困难等问题。因此，网络切片技术应运而生，其基本思想是为在统一的开放式网络架构下，基于共享的物理基础设施，通过网络功能的深度解耦和灵活重构按需组建多个具有不同特点彼此隔离的虚拟逻辑子网，不同的虚拟逻辑子网可为用户提供定制化服务，适配各种业务类型需求的同时提高了网络资（1）隔离性：隔离性是网络切片最基本、最重要的特性。即使不同用户在使用网络切片提供的服务时存在性能需求上的冲突，其也可以为网络中的每个用户提供性能和安全的双重保障。从性能上来说，各个网络切片的性能需求相互独立，当某一个网络切片的资源发生阻塞时不会对其他网络切片产生影响；从安全上来讲，当某一个网络切片发生故障时，其他网络切片所占有的资源和服务不会被影响且仍可以正常使用。网络切片的隔离性不仅涉及数据平面，还涉及控制平面，具体包括网络拓扑隔离、带宽隔离等。一般而言，可使用物理网络基（2）定制化：定制化确保了分配给网络切片中每个用户的资源可以得到有效利用，从而使得各自的服务需求得以满足。定制化可通过对底层物理网络基础设施的拓扑抽象，并且针对每个网络切片调度虚拟网络功能和资（3）虚拟化：虚拟化特性是实现网络切片的前提，运营商利用软件定义网络和网络功能虚拟化（Software（4）通用统一平台：网络切片可以基于SDN/NFV的通用基础设施和通用服务器平台构建，实现低成本对于网络切片应用，大规模数据适合在云数据中心进行集中处理，而部分小规模数据更适合在边缘计算中进行本地处理，处理结果可以上报到云数据中心，此时云边协同可以达到快速处理决策。因此，云计算和边缘计算），以电力网络切片为例，其网络切片结构将虚拟网络主控制器部署在云端，多个子控制器部署在边缘。主控制器管理整个网络，可以根据业务的实时需要创建网络切片来承载不同类型的网络服务，而子控制器接受网络主控制器的管理并控制本地网络（边缘网络）。虚拟网络控制中心通过在云端和边缘构建专用管理网络（物理管理平面实现对网络设备的统一控制及云端与边缘资源的互联。部署在云端的网络主控制器模块的网络子控制器构成虚拟网络控制结构。网络主控制器管理整个网络的网络策略和骨干网络配置，而网络子控制器管理网络边缘，接受网络主控制器的控制策略，并在边缘范围内管理网络策略。网络控制器对各种物理通信方式进行统一管理，可以屏蔽底层传输网络的差异，为网络应用提供统一的虚拟网络接口，并充分利用底层部署在云端的主控制器和边缘的子控制器通过网络控制协议进行信息交互。由于控制器类型的不同，网络控制器和受控网络设备之间使用不同的控制协议。网络主控制器管理整个网络的物理拓扑、路由、虚拟网络建设和转发规则发布等，并负责管理云端的网络虚拟化。此外，网络主控制器还管理所有子控制器，向每个子控制器发送网络控制策略，并与子控制器交换网络拓扑信息，形成全局网络拓扑。子控制器只管理其区域内的网络虚网络切片云网边端协同管理无处不在的通信物联网，解决了当前通信网络面临的海量终端的灵活接入调度问题，以及各种垂直行业对网络服务质量的不同需求和现有网络的运维问题，为无线网络的发展提供了方（1）网络主控制器与多个子控制器相结合的分层网络控制管理架构，克服了单个控制器控制范围过大、管理（2）实现了分层次多区域的协同控制：网络主控制器管理和控制网络子控制器，并管理子域与外部网络之间随着通信技术的飞速发展，应用多元化以及对业务的高冗余化需求，传统网络的弊端逐渐暴露出来。传统网络及其设备只能手动配置，无法编程，偏重静态，配置复杂，不易改动，且物理网络设备的功能无法充分利用。而软件定义网络（SoftwareDefinedNetwork，SDN）技术的出现解耦了数据平面与控制平面，并且SDN自诞生以来，便引发了全球学术界和产业界的极大关注和深入思考。SDN起源于美国斯坦福大学主导的Ethane项目，该项目最早提出了SDN的定义和核心思想。随后，全球各大高校和产业界重量级企业纷纷对SDN展开了如火如荼的研究。其中SDN最重要的标准化组织实属开放网络基金会组织（OpenNetworking方面通过南向接口与数据平面交互，抽象底层基础设施的状态、事件等供上层应用使用。另一方面通过SDN首先，收集网络状态信息，例如网络拓扑、流量统计等，将其发送至控制平面的控制器。其次，依据控制器下（4）控制管理平面负责承担配置基础设施层的交换设备、确定控制器的控制区域、签订服务等级协议等。在制平面的控制器负责全局逻辑上的控制，从全局的视角对数据平面的交换设备进行统一管理；由数据平面的交随着云计算的兴起，传统数据中心的设备利用率低、维护费用高、管理部署复杂等诸多问题也逐渐凸显。面对这些问题，SDN技术能很好解决大规模数据中心网络的集中管理、灵活组网、多路径转发、虚拟机灵活部署云网协同的SDN网络架构设计，需要满足云内网络、云间互联和上云网络的需求，需要管理复杂的多域和异构的多个网络资源系统，实现云网业务的协同工作和一站式管理服务。大型服务商的云网协同架构至少涵盖接入、骨干网和云中心等几个层面，这不仅涉及到整体架构的统一规划还涉及到多域技术整合。下面针对某一项该项目实现了云网协同统一管理、协同工作，基于SDN技术重构网络基础架构，对接公有云和私有云资源，提供端到端的网络服务自动部署和调度（SDN业务编排），为企业客户提供上云服务、跨云的连接（包括数针对客户的需求和服务流程，为客户提供多域的服务编排能力，对接公有云和混合云互联业务编排，L2/SLA服务质量保障、路径规划和VPN租户安全管理，同时提供从边缘到骨干以及与各家云商对接的多域业务多个网络域的烦恼，为客户业务提供云网协同能力奠定了基础。由于客户的业务需求、环境和重点考虑以下几点：在云中心考虑云资源池的VPC网络与物理资源池BM网络部署了混合Overlay组网，包括OpenstackNeutron联动。第二个是在不同的POD区采购了多厂商的网络设备，如何管理多厂商的的协同管理，实现VPC和边界路由器（GW/VBR）互通和统一纳管。项目基于大地与云中心以及租户分支机构对接，同时客户利用SRTE构新一代的骨干网实现流量调度和管理。由于PE节点要延伸到数据中心和公有云，PE和边界路由器（GW/新型云服务商追求资源逻辑管理和秒级响应，传统的运营商网络或传统网络模式已无法支撑业务的弹性和快速增长。云网协同和SDN技术的出现，将整个物理网络抽象并简化为“单一”逻辑网络资源池，并通过软件定SDN主要应用于网络切片控制体系中，如图3.4所示，在网络主控制器和网络子控制器部署在云端的网络主控制器和边缘云中的网络子控制器通过网络控制协议交换信息和控制。这些交换协议主要NetworkManagementProtoc深度神经网络识别信件中邮编的手写体字符。从1987年开始，随着电脑性能不断提升，人工智能的硬件市场并且该算法的训练时间和网络的大小和深度近乎线性关系，其带领人工智能重新进入人们的视野。人工智能进在以神经网络为基础的人工智能发展期间，以马尔可夫决策过程为基础的强化学习也在不断发展。1954年Minsky首次提出“强化”和“强化学习”的概念和术语。1957年，Bellman提出了求解最优控制问题以及最优控制问题的随机离散版本马尔可夫决策过程（MarkovDecisionProcess，MDP）的动态规划方法。随后Howard提出了求解马尔可夫决策过程的策略迭代方法。自此强化学习进入了一段长达三十年左右的低谷在强化学习中采用神经网络的方法成功将强化学习和神经网络结合起来，开启了深度强化学习（Deep随着5G网络的快速发展以及万物互联时代的出现，数量激涨的网络边缘侧设备将会产生海量的边缘侧数据。由于用户终端设备的计算能力有限，因此常常需要利用云计算数据中心的模式对上述数据进行计算、通信及存针对云计算模型所面临的问题，边缘计算模型被提出并用来对用户终端产生的海量数据进行处理与计算。移动），即为云计算数据中心与用户终端之间的任意位置，其主要针对用户终端所传输的上行数据以及云中心处理所得到的下行数据进行处理。边缘侧利用其优势逐渐引用并融合AI技术，令AI算法能够顺利在虽然边缘智能可以赋能人工智能于边缘计算甚至终端设备，但其受限于计算、存储以及网络资源，仅能完成低数据量的计算，而且5G网络的发展，使得网络传输速率大大提高。因此，联合云计算、5G网络以及边缘计检测信用卡欺诈、证券市场分析、DNA序列测序、语音和手写识别、战略游戏和机器人等领域。在学术界机同时，工业界也展开了机器学习在云网边端协同的落地。施耐德电气与亚马逊云科技合作，建立AI工业视觉检测平台，其由AmazonSageMaker机器学习及其他相关服务构建而成。该平台帮助施耐德自动化和智能化，提升了产品质量和可靠性，并通过云边协同，实现了云端对边缘的统一管理，确保多边缘端通过云、网、边的融合，发挥云网融合和云边协同的优势，布局AI算力资源，打造“连接+计算”的泛在智为了更好的实现机器学习在云网边端协同中的实现。国内外也开源了很多云边协同架构，比如华为发布的Sedna是一个边云协同AI项目，Sedna可以实现跨边云的协同训练和协同推理，如联合推理、增量学习、■LocalController：其主要负责边云协同AI任务的本地流程控制以及本地通用管理:模型，数据集，状■Worker：其主要负责执行训练或推理任务，基于现有AI框架开发的训练/推理程序以及不同特性对联邦学习于2016被提出，其目的是为了保护用户数据隐私以及解决数据孤岛等问题。根据参与各方数据源分布的情况不同，联邦学习分为三类：横向联邦学习、纵向联邦学习、联邦迁移学习。联邦学习的侧重点是在多方数据不出库的情况下通过加密技术实现多方之间的数据传输与交互，从而实现联合建模，侧重于数据交流之间的安全性计算。联邦学习的提出引发了学术界和工业界的广泛关注。图3.8为联邦学习基本架构图，其主要由服务端和客户端两部分组成。客户端利用本地隐私数据进行模型训练，随后将其模型参数或梯度上传给服务端；服务端采用同步者异步方式等待客户端传送的参数，一般采用联邦平均方式聚合模型参数，并将聚合后的联邦学习的一般设计包括在本地数据样本上训练本地模型，并在这些本地模型之间交换参数（例如，DNN中的权重）以生成全局模型。联邦学习算法可以使用中央服务器来协调算法的各个步骤并用作参考时钟，或在工业界，华为和中兴等企业为了解决设备数据采集难、架构封闭和数据孤岛等问题，推出了基于云原生开放架构的云边协同解决方案。华为公司根据业务需求的不同划分了云边视频分析协同、云边应用集成协同、云边物联感知协同、云边容器集群协同等场景，并在德邦快递和数字中国等企业落地了云边协同的应用场景，这些微众银行的联邦学习开源框架FATE与腾讯云神盾沙箱携手，让解决隐私泄露问题成为了可能。一方面，神盾沙箱将推动公有云上现有数据资产方使用沙箱部署FATE，帮助那些在己方行业维度上有数据优势的企业，在安全的基础上，更深入地挖掘数据的价值。另一方面，神盾数据沙箱也将借助FATE打造腾讯云上数字生态，助力对数据强依赖的企业、机构在隐私保护前提下进行AI应用落地。此外，在合作过程中，腾讯云神盾沙箱知识图谱的起源可以追溯至1960年，在人工智能的早起发展中，有两个主要的分支，也就是两派系，一个是符号派，注重模拟人的心智，研究如何用计算机符号表示人脑中的知识，以此模拟人的思考、推理过程；一个则是连接派，注重模拟人脑的生理结构，由此发展了人工神经网络。这个时候提出了SemanticNetworks，1970年，随着专家系统的提出和商业化发展，知识库（KnowledgeBase）构建和知识表示得到重视。专家系统的主要思想认为专家是基于脑中的知识来进行决策的，所以为了实现人工智能应该用计算机符号来表示这些知识，通过推理机来模仿人脑对知识进行处理。早期的专家系统常用的知识表示方法有基于框架的语言1980年，哲学概念“本体”（Ontology）被引入人工智能TimBerners-Lee在欧洲高能物理研究中心发明了万维网，人们可以通过链接把自图3.9表示整个云网边端协同知识图谱工作流程。该框架分为设备，边缘和云。设备是图像采集终端，边缘处理场景图生成的相关任务，并且云处理场景图共享和深级信息提取的任务。每个边缘对应于多个设备，并且由设备收集的图像数据上载到场景图生成的相应边缘。同时，相关设备可以订阅边缘生成的场景图数据，这可以解决多个设备之间的场景图分享问题。云对应于多个边缘终端，并且可以从所有边缘终端上载的场景图数据聚在工业界，国内外一些公司也将知识图谱运用到其公司产品中。腾讯知识图谱是一个集成图数擎和图可视化分析的一站式平台。在金融、安全、泛互联网、政府、企业等领域中，海量数据之间彼此关联产腾讯知识图谱支持千亿级节点关系的存储和计算，实时响应节点搜索、多跳查询、最短路径分析等在线查询操作；支持PageRank、社群发现、相似度计算、模糊子图匹配等离线计算模型。支持高效的从异构融合实体和关系生成知识图谱；支持多种图结构布局和渲染等可视化方案。基于腾讯海量的社交和业务数据进数据接入、管理、分析等方面，为客户提供从引擎级产品到行业知识落地的全套解决方案，原生图计算框架能实现知识获取、图谱构建与存储、图谱更新迭代、图谱计算与分析等功能，并且通过星环平台的高可用和健壮星环科技图谱知识方案更稳健，性能更快，支持超大规模图，支持图谱的对比分析、可视化统计、时序分析、在图数据库方面，星环科技的平台不是基于开源组件，而是基于星环科技自研的分布式图数据库StellarDB，的平台底层基于容器，资源管控更好，支持高可用；可以方便的进行资源共享；可以动态扩缩容。开源项目资源隔离性一般，用户操作不当，可能造成整个集群宕机，不支持高可用；难以实现资源共享功能；无法动态扩%AE%E4%B9%A6/%E6%98%9F%E7%8E%AFSophon%20KG%E7%9F%A5%E8%AF%86%E5%9B%BE%E8%B0%B1%E5大幅提升移动网络业务能力，支持增强移动宽带（eMBB）、海量机器类通信（mMTC）和超可靠低时延通信（uRLLC）等场景应用，更多的业务和应用也在向云化转移，从传统的人与人通信延伸覆盖到人与物、物与物之间的智能互联，使移动通信技术极快的发展和应用到更加广阔的领域。云、网、边随着业务的驱动，具备了新的特性，云网边端的融合是业务驱动下的必然选择。以业务和客户为中心规划云网边端，为客户上云当前整个网络攻击包括信息泄露、隐私安全给用户造成了极大的损失，未来以车联网、精密制造的云网边端协同业务为代表，对网络的安全和可靠性提出了相当高的要求。5G引入切片、NFV（网络功能虚拟化，业模式、信任与风险关系呈现出更加动态与复杂的态势。集中编排与软件定义能力的运用，在为网络带来新的中心化特征的同时，也对安全性带来了新的挑战。此外，监管、安全的法律法规也提出了更加严苛的要求，所方式进行防范，从而不断被动层叠局部安全技术，并未系统性地考虑面向全局应用的安全防护体系和机制，导现有网络防护模式以及安全能力难以满足新型面向服务网络的安全需求，不能适配网络多态化快速演进需求，传输和应用资源不可用等问题。从身份管理的角度看，身份管理系统为通信端提供一切交互行为的信任根源，未来网络中异构化的应用场景使得通信端的身份分发和检验机制变得复杂，缺乏协同式或联盟态的管大数据、云计算、互联网、社交网络及各种智能终端的普及使个人数据无处遁形，而自然人的天然弱势地位导依据隐私保护原则，客户的隐私信息需要保密，也就是说没有权限的人不能查看，也无权传播。在必须要传播的某些数据中，如果携带了用户数据，则需要对用户数据做匿名化处理。个人隐私数据指可以直接或者间接关称为直接个人信息。某些信息需要绕几个圈才能关联到用户信息的，称为间接个人信息。所谓的匿名化就是，■数据收集：数据收集可能会造成信息泄露。■数据传输：信令、数据在传输过程中可能会造成信息泄露；■数据使用、存储、维护、销毁：信令、数据在虚拟网络中的处理、存储、维护可能造成信息泄露；■数据对外提供：攻击者利用公用网络攻击业务系统获取用户信息，业务系统滥用、泄露用户信息。面临的安全威胁是损坏设备周围环境，如温度、烟雾等，或直接破坏设备的硬件。对于基站内的软件，面临的安全威胁是非授权登录基站、或普通账户登录基站后执行非授权访问，破坏基站的数据、文件，导致基站功能尽管开源软件是免费的、创新的、高效的，并且使得软件产品富有竞争力，但是它也必须按照资产进行管理，遵守许可证，必须像内部开发软件标准一样满足安全要求。需要意识到并理解与开源软件代码相关的安全漏洞同的威胁模型进行确认、评估及修复。开源设计选型时，需要充分考虑安全因素，包括编码安全、已披露安全典型的ToB行业应用混合专网场景，是指基站可以被ToC公网、ToB专网络防护边界变得模糊。网络虚拟化、开放化使得网络更易遭受攻击，并且集中部署的网络将导致网络威胁传播速度更快，波及更广。由于网络功能实体共享基础设施资源，因此需要其提供资源的安全隔离技术来保障上层5G网络功能系统运行的安全性。可以通过虚拟隔离机制来实现资源隔离，让承载每个网络的功能实体无法突破虚拟机/容器管理给出的资源限制。虚拟化网络的安全防护还需要保证网络基础设施的可信，这一点对于非信任环境部署的基础设施，例如基站云化、边缘计算等来说更为重要。通过可信计算技术，在网络功能实体平台上植入了硬件可信根，以构建从计算环境、基础软件到应用及服务的信任链，并依托逐级完整性检查，来实5G网络切片借助于网络虚拟化技术，在5G基础设施上细分出功能完整的逻辑网络，为垂直行业用户提供专区别于传统物理专网的私有性与封闭性，5G网络切片建立在开放环境下的虚拟化专用网络，为行业用户提供端到端的安全隔离机制和定制化的安全服务机制。5G网络切片安全涵盖无线侧、承载侧和核心网侧，除了提供传统移动网络安全机制（例如接入认证、接入层和非接入层信令安全、数据的加密和完整用户数据在传输过程中存在被窃听、篡改、泄露等威胁。为降低5G应用中的数据安全风险，5G提供了更强在机密性保护的密码算法方面，5G延用了4G所采用的AES（高级加密标准AdvancedEncryption被业界证明是安全的。同时，为应对将来量子计算可能对对称秘钥体系的影响，考虑采用更长的安全秘钥及更随着科技的发展，伪基站对移动网络的危害越来越大，攻击者可诱导行业用户接入到伪基站以非法获取用户数据信息。5G将对基站广播或者单播消息进行安全保护，行业用户在验证消息合法后再接入，避免接入到非法可根据数据的敏感度进行分类，建立不同安全域间的加密传输链路；根据不同的安全级别采用差异化的数据安全技术；对数据使用方进行授权和验证，保证数据使用的目的和范围符合安全策略；并对重要业务数据的使用针对工业互联网、物联网等网络的海量终端、泛在连接、多样化应用带来的安全需求和问题，结合新型网络结构体系特征，自顶而下地在网络设计和构造中深度融入安全因子，以全系统为视角构建一体化内生安全可信防护体系。将安全需求与安全属性融入系统架构，使安全可以随系统变化自适应地调整，持续保障云网边端协同可信安全标识符命名体系，全面涵盖用户、业务、网络等角色信息，结合多层面信任关联和传递机制，在保证支撑新型网络体系结构的立体化内生安全模型和架构，基于新型网络标识符命名体系，通过可信身份管理、证针对异构归属的全过程可信验证与转发机制，基于跨域身份管理、可信身份验证等技术，实现多方通信场景的端到端灵活的按需可信通信机制。从源主机、路由节点以及目标主机多角度设计身份可信方案，实现全系统的针对网络云化安全边界模糊导致的内部威胁防护困难及被动应对的局面，提出了动态隐匿网络模型，基于移动目标防御、数字身份动态实时验证与最小授权等技术，按需构造动态、隐匿的，且只允许合法的用户以最小权移动通信网作为商业化的电信网络，在标准设计之初，就充分考虑了网络接入的移动性、可靠性和安全性，）／5G提供了基于统一认证框架的双向认证能力，使终端和网络都能够确认对方身份的合法性。这样不仅能避免3GPPR15/R16的安全标准，重点研究5G系统安据的机密性和完整性保护、移动性和会话管理安全、用户身份的隐私保护以及与演进的分组系统（EPS）互通等相关内容。目前对安全技术的研究一般都偏高层，如传输层、网络层等，在物理层的研究较少，但5G的安加密，但攻击者通过物理层监听，仍有被窃听信息的漏洞。因此，有必要从全面保障5G产品安全和业务演进5G物理层安全主要面向5G通信系统所引入的新接入技术和新应用场景，从物理层的角度出发，重点分析适用于5G通信的物理层信息安全关键技术，构建5G通信系统物理层安全架构，并在此架构下进一步研究了信道估计、安全预编码、无线信道密钥生成等物理层安全关键技术。从而有效保护处于开放空间的空中接口，实部署位置更接近用户，从而减少对传输网的带宽压力，大幅降低网络时延，可满足车联网、工业互联网等低时由于部署的物理位置、网络边界和承载主体等方面的特殊性，使得行业客户在使用MEC提供的服务时，特别■行业应用和网络功能共平台部署时，网络边界模糊，如果缺乏信任、隔离等机制，容易滋生平台内部■为了提升业务体验，缩短业务时延，通常使用用户面传输功能下沉、行业服务接近用户部署、安全机MEC是一个多元系统，承载了移动通信网络功能、网络能力开放服务以及行业应用等多个系统，需要构建有效的信任关系，为多系统的安全共存提供信任基础。除了建立用户、行业应用及能力开放服务（如定位服务）也需要划分不同的功能域，如管理域、核心网域、基础服务域等，加强域间隔离和访问控制。根据需要，可进一步部署入侵检测技术、异常流量分析、反APT技术等，对恶意软件、恶意攻击等行为进行检测，防止威胁MEC节点位于网络边缘，处于运营商控制较弱的开放网络环境中，数据窃取、泄露的风险较高。为确保MEC上运行和存储的行业客户数据资产安全，需要对使用MEC的各方的行为执行认证、授权、审计，对数据资产数据进行识别，包括用户标识、接入位置等，对安全要求高的数据需要采用加密方式存储；对行业高价值资产泄露或被篡改。对数据处理、分析和使用，需要服从当地数据隐私规定，结合数据操作对象的认证、授权等方用户数据在传输过程中存在被窃听、篡改、泄露等安全威胁。为降低5G行业应用中的数据安全风险，5G提在机密性保护的密码算法方面，5G延用了4G所采用的AES（高级加密标准AdvancedEncryption被业界证明是安全的。同时，为应对将来量子计算可能对对称秘钥体系的影响，考虑采用更长的安全秘钥及更随着科技的发展，伪基站对移动网络的危害越来越大，攻击者可诱导行业用户接入到伪基站以非法获取用户数据信息。5G将对基站广播或者单播消息进行安全保护，行业用户在验证消息合法后再接入，避免接入到非法可根据数据的敏感度进行分类，建立不同安全域间的加密传输链路；根据不同的安全级别采用差异化的数据安全技术；对数据使用方进行授权和验证，保证数据使用的目的和范围符合安全策略；并对重要业务数据的使用5G网络切片借助于网络虚拟化技术，在5G基础设施上细分出功能完整的逻辑网络，为垂直行业用户提供专区别于传统物理专网的私有性与封闭性，网络切片建立在开放环境下的虚拟化专用网络，为行业用户端的安全隔离机制和定制化的安全服务机制。网络切片安全涵盖无线侧、承载侧和核心网侧，除了提供传统移动网络安全机制（例如接入认证、接入层和非接入层信令安在众多威胁形式中，高级持续性威胁APT破坏性较大，APT攻击旨在干扰基础设施运行及破坏其敏感信息，其攻击链分为侦查探测、渗透利用、命令控制、横向移动、数据泄露破坏等。自2010年极光、震网攻击发生以来，针对重要基础设施攻击事件层出不穷，也是5G行业应用中面临的最大挑战。在已正式实施的网络安全御方案，围绕APT攻击过程，基于行为检测原理，从恶意软件和异常流量两个角度出发，提供全面、智能化检测机制，并将人工智能技术运用于威胁检测及事件关联分析，提升威胁检测准确率，预测威胁态势，使5G4.4云网边端协同生命周期的安全管理4.4云网边端协同生命周期的安全管理该流程减少了软件中至少50%的漏洞13，大大提高了产品的安全性和开发效率，参考SDL的高效产品开发流程（HPPD）是中兴通讯研发领域共了业界最佳实践，并在各个阶段融入安全管控措施。在该流程基础上，中兴通讯持续提升关键安全技术和研发■需求和设计安全需求来自不同国家监管、客户、以及技术演进，中兴通讯将中长期安全需求纳入产品路标规划，短期安全用来识别和量化威胁，并确定应对措施的优先级以降低风险。其目的是在产品开发过程的早期阶段识别风险公司发布产品安全设计技术标准和技术栈目录，引入威胁建模工具，建立安全设计知识库，指导产品完成安全需求分析以及安全架构和特性安全设计。对社会各届关注的隐私保护和数据合规问题，中兴通讯遵循隐私保护设计理念，将治理动作前移，在需求阶段即纳入数据保护的需求，尽早发现数据保护合规风险，有效降低风险■开发和测试在开发测试阶段，采用的安全编码标准参考自业界通用指南，如计算机安全应急响应小组（CERT）系列安全（STIG）。安全编码规范在持续优化，不安全函数被替换。代码需量、可靠性、安全性、可维护性。工具扫描出的缺陷采取看板化管理，监控缺陷闭环，通过控制门确保达成安在开发测试阶段，我们依据安全测试规程和测试方案，对产品进行代码扫描、漏洞扫描、协议健壮性测试、渗■发布和维护中兴通讯制定了一套严格的发布流程，要求产品必须经过安全测试和工具扫描，通过产品安全风险评估，确保研发团队对现网已部署和使用中的产品制定持续的回归测试策略并执行测试，以判断新增漏洞是否影响现有版以及公司的产品安全红线要求。同时考虑第三方组件的可替代性及供应商承诺的产品生命周期，保证其与产品生命周期匹配，达成对客户的服务承诺。只有通过安全合规评估并确保经过认证的可靠来源的第三方组件才能进入公司的组件管理系统，开发人员通过审批之后才能获得这些软件的访问权限，选取第三方组件以供所产品所选用的第三方组件须通过安全测试，达成安全标准后才能随产品进行发布。在我一旦发现安全漏洞，不论发现人是客户、供应商、第三方还是我们自己，我们均会对该安全漏洞进行评估，提在产品生命周期内，当第三方软件因为功能、性能或安全性进行版本更新、引入补丁程序，或当第三方软件生命周期终止时，我们通过组件管理系统对第三方软件进行更新或宣布停用，以确保产品所使用的第三方软件是作为开源社区的积极贡献者，中兴通讯持续跟踪社区发布的漏洞，在使用漏洞修复方案的同时贡献安全漏洞修随着产品交付给客户，业务场景产生变化，新的安全风险也随之而来，需要采取适当的保护措施保证交付过程交付领域建立基于风险的交付安全治理体系，全面涵盖授权管理、安全部署、远程接入管理、网络数据保护、资产安全管理、事件响应、合作伙伴管理等模块，产品安全要求已全面融入开通、验收、移交和运维阶段，确保交付行为安全可靠、网络设备安全运行，客户网络和数据得到有效的保护。此外，应定期进行模拟演练和抽■授权管理在对客户的网络和数据进行操作前，如软件升级、安全加固、网络巡检，中兴通讯事先获取客户授权，并在约■安全部署为确保软件的端到端安全部署，严格的流程和管理制度需落实：仅授权人员才能从支撑网站下载所需版本或补丁，下载均有记录，且所有下载的软件会在升级前进行完整性检查和病毒检查。软件部署所需工具和软件均从■远程接入管理为确保高效安全的远程技术支持，中兴通讯在遵循所在地法律法规和客户授权的前提下，允许产品专家通过部署的全球一张网系统（AdvancedOperationsSuite，AOS）、安全隔离区远程访问客户网■网络数据保护为保护网络数据的安全，中兴通讯要求接入客户网络的个人移动设备做好基本的安全防护，如安装系统重要补丁和防病毒软件，仅安装授权的、与业务目的有关以及无信息安全风险的软件等。个人移动设备如需临时存储网络数据，需在客户同意后按照数据的敏感性进行相应的脱敏、加密等保护，并在遵循所在地法律法规的前提■资产安全管理为确保客户网络设备的防护能力不会随着内外部威胁的变化而降低，中兴通讯基于合同要求定期对网络设备进■事件响应品安全”标签。安全问题会汇聚到产品安全事件响应团队（PSIRT），并根据其严重等级分发到对应的产品支持团队，确保在客户服务水平协议（SLA）约定的时间内得到有效解决。此外，中兴通讯定期进行重大灾害、由于威胁和脆弱性会发生改变，网的安全风险不能完全消除。当安全风险转变为安全事件时，需及时缓解，以减轻安全事件带来的不利影响。同时，消减漏洞能在很大程度上避免安全事件的发生，因此，任何已识别的产■安全事件响应机制中兴通讯事件响应机制穿透了供应链、研发和工程服务领域，由专职团队PSIRT负责接收、处理和披露与中兴通讯产品和解决方案相关的安全漏洞。PSIRT协同客户和利益相关方有效合作，快速给出解决方案。对于安全事件和数据泄露建立分级响应机制，确保统安全事件处理采取预防、检测、纠正和恢复、事后反馈的闭环处件进行分析，采取必要措施控制事态发展，直到业务彻底恢复。事件得到有效控制后进行复盘改进，防止类似■安全漏洞处理机制中兴通讯重视与安全组织协作，对内外部发现的漏洞，秉承公开透明的原则，结合客户及相关方的意见和要求进行负责任的披露，并提供规避措施以及解决方案。在客户实施解决方案之后，对方案的有效性进行监控，并人脸识别是一种重要且可靠的身份识别技术。自生物特征识别技术提出以来，人脸识别技术即成为计算机视觉研究的重点。从广义上说，人脸识别就是通过摄像头采集图像信息，在此图像中检测出人脸，然后依照一定方人脸识别技术是借助计算机技术、人脸识别算法和摄像功能，完成对某一个作为一种基于人脸特征信息进行身份确认的技术，人脸识别近年来一直是人工智能、计算机视觉、心理学等领域的热门研究问题。类似用于身份识别的人体的其他生物特征，如指纹识别，人脸具备唯一性、一致性和高度不可复制性，为身份识别提供了稳定的条件。人脸识别的应用日益广泛，例如用于刑出入口控制、互联网服务等。人脸识别不同于传统的学科，它涉及到计算机视觉、心理学等诸多学科的理论方法，人脸识别技术的研究对相关人员知识体系的完备性提出公共安全领域是人脸识别技术从理论走向现实的起点，正是处于公共安全管理的实际需要，为了协助公安部门对管理区域和目标人员进行更好的布防与追踪，人脸识别技术才能够不断从理论走向实践，并且获得了大规模应用的实际场景需求。公共安全领域的人脸识别具体应用场景包括：对出入境敏感人物进行甄别过滤；对公共场所可能存在的危险人物进行识别排查，以减少安全隐患；对持证人进行核对，如身份证、驾驶证，检验是否伪造：在机要部门门禁系统中对准入人员进行许可确认。随着社会不断发展，公共安全领域的人脸识别运用场金融信息安全对于促进金融体系发展具有重要意义，但受限于金融信息安全保障技术手段的制约，金融信息安全长期停留在非生物特征识别的密钥识别技术层面。人脸识别技术为信息金融安全提供了全新的解决方案，依靠人脸识别技术，金融信息可以在涉及金融信息验证的银行账户和电子商务的开启、数据文件的加密解密、计算机登陆环节采用人脸识别技术，对于强调安全性和便利性的商用化信息金融安全而言，人脸识别技术具有无可比拟的优越性。同时，由于信息金融安全对于识别和检验精确度的高要求，人脸识别技术在信息金融安全领域的推广运用也反向促进了该技术本身的突破，逐渐建立起规模化的应用能力来应对多场景需求，能够具备良人机交互领域是一个较为笼统的领域分类，是根据人脸识别的应用模式得出的具体场景类别。具体而言，人机交互是指识别对象与提供识别功能的机器设备进行交互验证，从而完成人脸识别。人机交互是目前人脸识别商用化的主要实现手段，包括刷脸支付、考勤打卡、人脸验证门禁系统、身份验证系统等等，都属于传统的人机交互领域内的人脸识别应用。人机交互一般是将具有人脸识别功能的集成模块事先植入到特定的机器系统中，人脸识别的性能需求包括准确率和实时性。准确率是衡量准确识别人脸信息的精度指标，通常来说，系统人脸识别准确率需要高达99%，同时对有一定角度的侧面人脸也具有不错的识别效果；实时性表征的是系统身份FRR是生物识别安全系统错误拒绝授权用户访问的可能性的度量。人脸识别系统FRR是错误拒绝次数与尝试FAR是生物识别安全系统错误接受未经授权用户访问的可能性的度量。系统的FAR表示为错误接受次数与尝CRR测量匹配率和不匹配率的百分比，而不考虑FAR和FRR。在匹配的情况下，它是正确匹配的数量与数据面对多异地分布，多网段划分和多系统交互的情况，目前已经有的人脸识别解决方案，大多是将人脸信息下发到终端，在终端获取人脸信息之后进行算法处理；或者是将终端获取的人脸信息传送到云端，在云端进行算法处理；还有使用云边端融合技术，在边端进行人脸数据处理，将获取的人脸信息返回到云端进行对比。这些方终端人脸识别方案在于将人脸信息和相关数据存储在终端，这样会导致人脸信息的露，不能保证信息安全，而且ARM架构的终端设备性能有限，一旦人脸数量较多，比对的时间会大幅增大，导致体验不佳。在云端进行人脸识别具体是将在终端采集的人脸信息传回云端，在云端进行算法的处理比对和数据的管理，而数据到云端的传输过程消耗大量的时间，同时算法处理和数据管理都放在云端进行，这会导致云端计算压力过大，处理速度过慢，耦合度高。如果在云网边端协同的基础上运行人脸识别算法，会有效降低网络传基于云边端架构的人脸识别方法中，云边端架构包括依次通信连接的终端、边端和云端，终端与边端均安装在同一本地网段，云端安装在远程网段，方法包括通过终端实时采集人脸信息，对人脸信息进行质量检测和活体检测，将检测通过的人脸信息推送给边端；在边端对终端推送的人脸信息进行特征提取，然后和从云端传送至边端的人脸特征数据进行比对，获取比对结果；根据该对比结果控制终端的动作；云端对边端的对比结果进行基于云边端架构的人脸识别方法利用云边端架构，通过终端进行人脸信息采集，在边端进行人脸信息对比，由处在同一本地网段的终端和边端进行数据计算，实现将计算前置，使数据就近完成处理，传输更加安全，数据处理更加及时；使用多个边缘节点来处理数据，响应速度更快，计算效率更高；在异地部署云端，统一将数据在城市安防工作中人脸识别技术不可或缺。在云边端协同的计算模式以及视频人脸捕捉检测和识别能力不断提升的前提下，已建和新建的视频监控设备都可以被利用，实现城市中海量视频的人脸识别、比对布控能力，增加对城市视频图像的感知能力，在前端通过边缘计算实现布控比对报警，在边端实现人脸特征聚类分析，在云端实现大数据预警分析、城市人群态势感知等。人脸识别在云边协同系统中有效实现城市中海量人脸数据的采人脸识别是人工智能领域不断发展的产物，在智能家居、公共安全、智慧城市等领域应用广泛，人脸识别技术对图像处理速度、传输时延和用户数据的安全性有较高的要求，云网边端协同架构在一定程度上可以满足人脸识别的性能需求，同时提高人脸识别的准确率，因此越来越多的人脸识别系统运行在云网边端协同架构中，以自动驾驶是一种能够通过感知周围环境，在没有任何人为干预的情况下自行操作并执行必当ADS要求人类驾驶员重新获得控制权时，它必须能够重新获得控制权。在其余条件下，人类驾驶员执行必Level5，涉及完全自动化，车辆的ADS能够在所有条件下执行所有任务，无需人类驾驶员提供驾驶辅助。这种完全自动化将通过5G技术的应用实现，这将使车辆不仅可以相互通信，还可以与交通信号灯、标牌甚至道推理、决断和记忆；所谓“能力”指自动驾驶汽车能够确保“智慧”有效执行，可以实施主动控制，并能够进行人机交互与协同。自动驾驶是“智慧”和“能力”的有机结合，二者相辅相成，缺一不可。Everything，V2X）实现车辆与道路以及交通数据的全面感知，获取比单车的内外部传感器更多的信息，增强对非视距范围内环境的感知，并通过高清3D动态地图实时共享自动驾驶的位置。例如在恶劣天气下，或在交叉路口、拐弯等场景下，雷达和摄像头无法清晰辨别前方障碍，通过V2X来获取道路、行车等实时数据，可随着5G网络、边缘计算与云计算的发展，自动驾驶通过5G网络将数据传输到更靠近用户的边缘计算平台，时延敏感性、计算稀疏性业务在边缘计算处理；而时延非敏感性、计算密集性业务可以由云计算处理；5G网络根据汽车的移动，自动实现数据流向的转移以及网络切片的划分以保证汽车运行时数据的稳定传输，保证车目前运营商们都在建设更多的基站，甚至“微基站”来满足大量的终端的接入，由于汽车上可能有大量的感知设备，因此在边缘网络中，“多接入”和“低延迟”成为了无人多接入：自动驾驶需要的传感器系统主要有三种类型：摄像头、雷达和激光雷达，摄像头具有分辨颜色（识别指示牌和路标）的优势，易受恶劣天气环境和光线的影响，但雷达在测距、穿透雨雾等有优势，两者互补融合可作出更精确、更可靠的评估和判断。在接入层有大量的终端接入，每个终端或者每辆车需要一个IP，在路低延迟：5G核心网控制面与数据面相互分离，NFV令网络部署更加灵活，从而使能分布式的网络到达云端，从而降低时延和网络负荷，提升了数据安全性和隐私性。这对于时延要求极高、数据处理和存储量极大的自动驾驶领域而言，重要性不言而喻。未来对于靠近车辆的移动通信设备，如基站、路边单元等或均将部署车联网的边缘计算，来完成本地端的数据处理、加密和决策，并提供实时、高可靠的通图5.3具体描述了未来无人驾驶的场景，通过大型的基站，覆在基站附近建设边缘云，连接路边的其他基础设施，如红绿灯、路灯、摄像头，并连接路面上行驶的车辆。边缘计算云提供了基础设施服务，而上层的自动驾驶的软件应用将根据边缘计算采集的数据，进行智能分析，并自动驾驶是通过自动驾驶系统，部分或完全的代替人类驾驶员，安全地驾驶汽车。汽车自动驾驶系统是一个涵自动驾驶系统和其他的机器人系统类似，整体解决方案基本在计算机视觉、自然语言处理以及智能决策领域获得重大突破，学术和工业界也逐步开始在无人车系统的各个模块中进行基于人工智能和机器学习的探索。而无人驾驶系统作为代替人类驾驶的解决方案，其设计思路和解决方法背后都蕴含了很多对人类驾驶习惯和行为的理解。现在，无人驾驶已经成为自动驾驶是一个系统性的复杂工作，一般是在传统汽车上进行加装来构建整个系统。自部分：感知模块、自动驾驶计算机、供电模块、信号通信模块、执行和制动模块。因此自动驾驶主要分析交通感知模块可以代替传统驾驶汽车中驾驶员的眼睛和耳朵，并学习其驾驶经验。通常由摄像头、激光雷达、毫米红绿灯、交通标志等物体，以便进行定位。相比之下，激光雷达通过接收的反射数据，可以获取更加丰富而准确的信息，如目标距离、方位、高度、速度、姿态、甚至形状等参数，从而对目标进行探测、跟踪和识别以及并根据这两个数据建立二维的极坐标系，再通过获取不同俯仰角度的信号获得第三维的高度信息。毫米波雷达对于日常驾驶可能遇到的恶劣天气有很好的容错性，受天气和外界环境的变化的影响小，在实际应用中，对于雨雪天气、灰尘、阳光都有很强的适应。而且多普勒频移大，测量相对速度的精度提高，很适合自动驾驶高精实时性、算力利用率等，这是确保物体不被漏检或误检的前提。其中由于感知硬件设备中输入的超大分辨率图像问题，涉及单目或多目摄像头对感知输入的处理问题都是需要重点关注的。此类感知任务的难点或者优化方■如何处理高分辨的输入■如何提高密集小目标检测■如何解决类多目标重叠问题■如何利用少量的训练数据解决目标多样性问题■如何利用单目摄像头进行目标位置的精确估计接口。目前还有专门用于加速计算的专用处理器。根据汽车智能化的分级标准，L2级自动驾驶需要的计算力随着高级别智能驾驶的到来，智能汽车需要处理大量的图片/视频等非结构化数据，仅依靠传统MCU芯能满足运算需求，具备AI能力的主控芯片成为主流，汽车主控芯片结构形式也由M（另有说法为96TOPS同时支持16路摄像头感知计算。地平线基于自身强大的芯片能英伟达目前旗下有Xavier、Orin和Altan三款自动驾驶芯片。XaMobileye是通过多个芯片组成的一整套自动驾驶解决方案，在集成度上存在不足，但Mobileye的自动驾驶组合更加自由，从而提供给客户更多的解决方案。EyeQ3和EyeQ4是目前Mobileye在市场上的主流产品。L2、L2+/L3、L4等不同等级的自动驾驶系统提供不同的SoC。面向L1/L2级自动驾驶，配备单个高通骁龙2020年6月，黑芝麻智能推出了第二款自动驾驶计算芯片——华山二号A1第三类，环境特征匹配，基于激光雷达的定位，用观测到的特征与数据库及存储的特征进行匹配，得到车的位随着自动驾驶中各种传感器的加入，车辆会产生海量数据，车载计算机的性能始终有限，所以需要将一些数据上传到云计算平台中。但云计算与车辆的距离远，因此车辆不能将所有的任务都卸载到云端；随着5G网络和以掌握交通环境信息。为了保证数据的实时性，车辆可以将时延敏感型任务直接在本地计算以及通过5G网络的UPF将任务发布到边缘计算平台中。边缘计算接受到车辆发布的任务以后，通过本地计算完成相应的任务再回传给车辆。车辆中一些常见的日志信息，如果全部保存到本地，会消耗大量的存储资源。因此可以自动驾驶在云网边端多层级平台在横向维度上可按照“边缘”“区域”“中心”三个维度进行解构。其中，边缘MEC平台构筑在边缘机房，通过蜂窝通信模式，提供小区级微观交通服务。区域MEC平台部署在边缘管理、数据汇聚和业务调度。中心平台构筑于区域MEC平台之上，作为业务应用顶层，提供广域级宏观交通服务。在纵向维度上可按照“业务面”与“管理面”进行分解，在业务面上，各层级平台联合承载自动驾驶综合数据底座、车路协同事件与消息服务等业务类功能，支撑车路协同辅助/自动驾驶应用、通管理管制等服务。在管理面上，各层级平台协同负责路侧基础设施运维管理、车联网用户管理、平台安全管物联网（IoT，Internetofthings）即“万物互联的网络”，是在互联网基础上的延伸和扩展，它可以将各种传统的物联网架构分为感知层、网络层和应用层。感知层由各种各样的传感器设备组成，负责收集环境中产生的各种各样的数据；网络层由各种异构网络以及边缘和云平台组成，负责随着物联网技术的进一步发展，越来越多的物联网设备将会接入网络，预计到2025年全球物联网设备联网数升。由于物联网业务的进一步延伸以及终端数据量的爆炸式增长，对网络的各方面的性能提出了随着物联网设备的普及，海量的数据需要计算能力更加强大的物联网架构实现实时的处理；同时，物联网技术不断发展，基于物联网的应用广泛应用于智能交通、智能电网、智慧农业以及智慧家庭等领域。许多特殊的应用场景，比如自动驾驶，对数据处理的实时性要求很高，需要网络提供极低延时。传统的基于云计算的网络架构已无法支撑物联网应用的进一步发展。因此，需要一种边缘计算驱动的物联网架构，能够在满足物联网海量（4）终端应用产生的数据应该受到保护，以免出现恶意用户对数据发起攻击，同时由于边缘计算节点计算能物联网面临的新需求对云网边端协同架构提出了新的挑战。云计算虽然为数据处理提供了强大的计算能力，但是网络带宽的增长速度远远落后于物联网设备产生数据的增长速度，因此云计算的数据处理模型已经难以满足边缘计算作为云计算的补充，可以为物联网应用提供海量存储、强大算力以及极低延时，从而满足物联网应用除了云计算和边缘计算，物联网应用的发展也促使蜂网络技术的演进。首先，软件定义的无线传感器网络将成为未来物联网的使能技术之一，部署蜂窝技术的传统方法通常是基于硬件的。硬件部署限制了网络扩展的可扩展性。因此，软件定义的无线传感器网络是一种很有前途的范式，来客服网络扩展的限制性。软件定义的无线传感器网络是软件定义网络和无线传感器网络的混合。软件