一种基于SDN技术的物理切片方法与流程

本发明涉及切片技术领域，尤其涉及一种基于SDN技术的物理切片方法。

背景技术：

传统IT架构中的网络，根据业务需求部署上线以后，如果业务需求发生变动，重新修改相应网络设备(路由器、交换机、防火墙)上的配置是一件非常繁琐的事情，而在互联网/移动互联网瞬息万变的业务环境下，灵活性和敏捷性反而更为关键。

SDN(Software Defined Network软件定义网络)技术的出现，对提高网络灵活性和敏捷性起到了至关重要的作用。SDN将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备(路由器、交换机、防火墙)，屏蔽了来自底层网络设备的差异。而控制权是完全开放的，用户可以自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。

基于SDN特性提出的网络切片方法可以满足用户多样化的性能要求和功能要求，利用虚拟化技术将5G网络的物理基础设施资源根据场景需求虚拟化为多个相互独立、平行的虚拟网络切片模板，每个网络切片模板可以按照业务场景的需要进行网络功能的定制剪裁。运营商可以根据用户的需求对网络切片进行灵活的编排管理从而提供一种或多种网络服务来适应多样化的业务需求。

然而，基于统一物理基础设施的网络切片技术无法满足不同安全等级用户的需求，特别是安全性的需求。

在2G/3G/4G网络时代，面对高安全等级用户的通信要求，普遍采取的方法是建立专用移动通信网络即专网如图1所示。现有的专用移动核心网依托于公众网络基础设施构筑虚拟专网，专用移动核心网通过安全隔离关口与公网核心网互联，在“专用移动核心网”内部通过密码保护、隔离等技术加以防护。而这种专网建设方案的缺点在于：

1)专网与公网相对独立，专网难以对外部网络态势进行有效感知和主动防御；

2)由于公众网络基础设施自身存在的安全脆弱性，例如现有公网移动通信系统设备中的网元、核心部件和操作系统未针对专用领域应用进行特殊加固，因此信息在公众网络中传递的安全性难以评估；

3)网络单一，不能按照用户安全等级的高低提供定制化的服务。

为满足未来不同等级，不同领域应用可以通过切片技术实现专用业务的分级分域隔离：基于专用业务切片编排，建设不同安全等级的网元，并将不同安全等级的网元设备构建为不同等级的业务链，实现各等级业务流在相应等级业务链上的承载，从而达到业务流的安全隔离。根据不同安全等级需求，有如下的部署方案：

方案一：针对一些安全性需求较低、应用灵活性需求较高的应用，可以基于公网业务平台生成专用业务模板，利用公网网元生成专用切片，实现专用业务，如图2所示。

方案二：针对一些安全等级要求较高、应用灵活性需求一般的应用，可独立部署专用应用和业务支撑系统，基于公网接入平面与转发平面基础设施生成专用业务模板，与公网应用形成相对独立的专用切片，实现专用业务，如图3所示。

然而，这种网路切片技术还是主要基于公网的基础设施进行，公网基础设施品类繁多，性能不一使得一些高安全等级用户的业务需求无法得到满足。

技术实现要素：

鉴于上述的分析，本发明旨在提供一种基于SDN技术的物理切片方法，用以解决现有切片技术无法满足的安全性需求的问题。

本发明的目的主要是通过以下技术方案实现的：

一种基于SDN技术的物理切片方法，包括以下步骤：

步骤S1、在转发平面中设置专用基础设施资源，并对所设置的专用基础设施资源进行分级；

步骤S2、用户访问控制单元确定提出网络资源申请的用户的安全等级；

步骤S5、根据用户安全等级选取相应等级的专用基础设施资源，并将选取出的相应等级的专用基础设施资源虚拟化形成物理切片模板；

步骤S6、根据用户需求，利用NFV网络编排单元在物理切片模板上进行网络编排，为该用户提供一个专用的物理切片。

进一步，步骤S1中专用基础设施资源为经过具有信息安全设备认证资质的单位进行认证的设备；将所述专用基础设施资源分为初级、中级和高级三个等级。

进一步，运营商后台建立有用户安全等级列表，所述用户安全等级列表按照相关行业的网络功能使用权限将用户安全等级由低到高依次分为C级、B级和A级；

C级用户为低级用户，具有相关行业内的普通网络功能使用权限。

B级用户为中级用户，具有相关行业内的中级网络功能使用权限。

A级用户为高级用户，具有相关行业内高级网络功能的使用权限。

用户访问控制单元根据用户提出网络资源申请时所提供的行业证明确定用户所具有的相关行业的网络功能使用权限，进而调用用户安全等级列表确定用户的安全等级。

进一步，在步骤S2之后还包括步骤S3及步骤S4；具体地，

步骤S3、按照专用基础设置资源的分级设置不同等级的认证网元；

步骤S4、将相应安全等级的用户数据流路由到对应等级的认证网元，认证用户行业证明是否正确，正确转步骤S5；不正确，结束。

进一步，所述步骤S6包括，NFV网络编排单元根据用户需求提取要满足用户需求需具备的能力指标，根据所述能力指标在物理切片模板上进行编排，申请网络资源，并在申请到的网络资源上实例化创建网络功能模块和接口形成专用的物理切片。

进一步，还包括步骤S7，根据用户的进一步需求，在专用物理切片中满足所述进一步需求的部分模块和接口单独划分出来，形成新的切片。

进一步，所述转发平面仅设置有专用基础设施资源，为专用转发平面，相对应的设置专用控制平面，形成专网，在所述专网和公网之间设置安全隔离关口。

本发明有益效果如下：

(1)专用设备的使用，摆脱了公网基础设施在功能、性能和安全性上的限制，满足专用需求。

(2)专用设备的使用减少了专用用户与公网设备之间的交互。

(3)通过物理隔离的方式提高安全性。

(4)实现网络可信，安全分级。

(5)实现实体可信，内建免疫的网络结构。

本发明的其他特征和优点将在随后的说明书中阐述，并且，部分的从说明书中变得显而易见，或者通过实施本发明而了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。

附图说明

附图仅用于示出具体实施例的目的，而并不认为是对本发明的限制，在整个附图中，相同的参考符号表示相同的部件。

图1为现有技术中的专用移动通信网络示意图；

图2为专用移动通信网络部署方案一；

图3为专用移动通信网络部署方案二；

图4为本发明所采用的实施例一示意图；

图5为本发明实施例一流程示意图；

图6为本发明实施例三示意图。

具体实施方式

下面结合附图来具体描述本发明的优选实施例，其中，附图构成本申请一部分，并与本发明的实施例一起用于阐释本发明的原理。

新一代5G网络中，网络被分为接入平面，转发平面和控制平面。其中转发平面是由物理实体设备构成，实现数据的处理和转发功能，可将其中的物理实体设备称为基础设施资源。本发明基于SDN网络的物理切片技术主要作用于基础设施资源。将切片的概念移植到物理设备实体上，将可以实现某一个或某一些功能的物理设备划分到一个切片内形成可以满足某些特定需求的物理实体单元称之为物理切片。

实施例一：如图4所示。

具体物理切片方法，包括以下步骤：

步骤S1、运营商在转发平面中设置专用基础设施资源，并将所设置的专用基础设施资源分为初级、中级和高级三个等级；

具体地，专用基础设施资源为经过具有信息安全设备认证资质的单位进行认证的设备。

根据专用基础设施资源所具备的可信等级和所能实现的功能，对基础设施资源进行分级；具体地，按其具备可信等级的高低及所实现功能的多少将专用基础设施资源分为初级、中级和高级；

专用基础设施资源的可信等级划分机制依据为《信息安全等级保护管理办法(试行)》第四条规定：信息系统的安全保护等级分为以下五级：自主保护级、指导保护级、监督保护级、强制保护级、专控保护级。其由具有相关等级设备(核密、普密和商密)生产资质的单位生产。

所实现的功能包括具有多高的计算能力和存储能力等。

例，按照其是具有普通密码保护的普密设备还是具有商用密码保护的商密设备，具有多高的计算能力和存储能力等来确定将其划分为初级、中级还是高级。

步骤S2、用户访问控制单元确定提出网络资源申请的用户的安全等级；

具体地，运营商后台建立有用户安全等级列表，所述用户安全等级列表按照相关行业的网络功能使用权限将用户安全等级由低到高依次分为C级、B级和A级。

C级用户为低级用户，具有相关行业内的普通网络功能使用权限。

B级用户为中级用户，具有相关行业内的中级网络功能使用权限。

A级用户为高级用户，具有相关行业内高级网络功能的使用权限。

用户访问控制单元根据用户提出网络资源申请时所提供的行业证明确定用户所具有的相关行业的网络功能使用权限，进而调用用户安全等级列表确定用户的安全等级。

步骤S3、运营商按照用户安全等级设置不同等级的认证网元，用户安全等级越高，认证机制越严格；具体认证机制可选择密码、证书、动态口令、指纹等之一或多种相结合的方式。

步骤S4、将相应安全等级的用户数据流路由到对应等级的认证网元，认证用户行业证明是否正确，正确转步骤S5；不正确，结束；

具体地，根据用户提出网络资源申请时所提供的登录请求、认证请求等由认证网元进行用户身份认证，以确定用户行业证明的正确与否；通过认证的用户才能继续其业务，进一步保证了安全性。

步骤S5、根据用户安全等级选取相应等级的专用基础设施资源，并将选取出的相应等级的专用基础设施资源虚拟化形成物理切片模板；

具体地，物理切片模板包括用户提出网络资源申请时所要进行的业务场景所需的网络功能模块、各网络功能模块之间的接口以及这些功能模块所需的网络资源；

物理切片模板的含义可以理解为是一组功能的集合，比如存储功能和计算功能等，各功能都提供一组API接口供其他功能来使用，如计算功能完成一次计算后可以调存储功能的API接口将计算出的数据保存起来。

用户安全等级与专用基础设施资源的分级一一对应；不同安全等级的用户只能使用相应等级的专用基础设施资源实现业务。具体地，低级的专用基础设施资源对应实现低级用户需求，中级的专用基础设施资源对应实现中级用户需求，高级的专用基础设施资源对应实现高级用户需求。

举例说明：普通手机用户使用手机接入公网互联网时，只能使用普通的网络功能，比如浏览网页，观看视频等。如果该用户想使用在线支付等业务，则需要出示银行系统颁发的证书或者用户名密码等信息，才可以进行在线支付，则该用户的安全等级为中级用户。金融行业用户相对于一般用户来说，属于高级用户。

步骤S6、根据用户需求，运营商利用NFV网络编排单元在物理切片模板上进行网络编排，为该用户提供一个专用的物理切片。

具体地，NFV(Network Function Virtualization)网络编排单元根据用户需求提取要满足用户需求需具备的能力指标，根据所述能力指标在物理切片模板上进行编排，申请网络资源，并在申请到的网络资源上实例化创建网络功能模块和接口形成专用的物理切片。

当用户有进一步需求时，针对该需求在原有物理切片上进行按需重构，将原物理切片上可以满足进一步需求的部分设备单独划分出来为用户的进一步需求服务。比如，在一个物理切片内可以满足用户进行大量数据快速计算的能力和数据存储能力，但是用户还希望可以将其中一些特殊数据进行特殊处理并单独存储(称为需求2)，此时，即可以针对该需求重新在原有的物理切片上进行按需重构，将原物理切片上可以满足计算和存储需求的部分设备单独划分出来为需求2服务。

该实施例一转发平面包括了普通设备和专用设备，也即，是在公网的转发平面上使用专用设备实现切片。

本实施例，将当前某个业务应用的网络资源与其它业务应用的网络资源区分开、隔离开，每个分片的拥塞、过载、配置的调整不影响其他分片，增强整体网络的健壮性和可靠性，保证当前业务质量的同时，也提供了可靠的安全保护机制；满足用户的动态需求，例如用户临时提出某种业务需求，网络具有动态分配资源的能力，从而提高网络资源利用率；必要时可以将切片进行融合，以更灵活地适配用户动态的业务需求。

实施例二：

以在线支付场景为例，对实施例一进行说明。

1)设置专用基础设施资源并分级；在线支付需要的基础设施资源为计算设备，数据存储设备。因此运营商的基础设施资源中应包含这两类设备。

2)确定用户等级；能够提供在线支付功能的用户按其所能提供的使用规模，使用人的安全等级(普通用户，VIP用户等)划分等级。

3)形成物理切片模板；根据用户等级，在专用的基础设施资源中选取对应等级的设备(如可以提供1000次/秒运算能力，10000次/秒运算能力等)形成物理切片模板。

4)收到用户需求后，通过NFV编排单元形成物理切片。比如某银行终端的需求是可以提供10000名普通用户的支付能力，可能的指标也许为10000次/秒的计算能力和1GB的数据存储能力。NFV网络编排器根据这些指标在物理切片模板内实现物理切片。

实施例三：

针对一些安全等级更高、应用灵活性需求较低的应用，可独立部署专用应用和业务支撑系统及专用转发平面，专用转发平面只有专用设备，是为了某些特定业务和单独划分出来的，与公网的转发平面没有关系。与公众网络通过有限的安全隔离关口互联实现专用业务，专用业务是指某些安全等级特别高的业务，如果该业务受到威胁，将对整个系统造成不可挽回的损害。比如特殊行业的控制系统的控制指令业务。如图6所示。相比于上述技术，该代替方案不仅使用专用的基础设施资源，而且将专用基础设施资源与公网设备完全分离开来，仅通过安全隔离关口进行通信，只要保护好安全隔离关口，就可以确保专用网络的安全。

安全隔离关口可为接入网关，接入防火墙、黑白名单等。

本发明：

1、使用专用设备代替公网基础设施进行安全隔离。

2、专用设施按生产厂商，功能性能进行安全分级。

3、用户按安全等级进行分级。

4、用户安全等级与专用设备等级一一对应，不允许跨等级。

5、应用SDN技术进行物理切片。

6、使用NFV编排技术实现按需构建网络。

本领域技术人员可以理解，实现上述实施例方法的全部或部分流程，可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于计算机可读存储介质中。其中，所述计算机可读存储介质为磁盘、光盘、只读存储记忆体或随机存储记忆体等。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。