一种应用于云雾计算网络的服务功能链安全部署方法与流程

本发明属于网络功能虚拟化技术领域，具体涉及一种应用于云雾计算网络的服务功能链安全部署方法的设计。

背景技术：

虚拟化技术是一种可以提高网络灵活性的前沿技术，随着虚拟化技术的发展，网络功能虚拟化(Network Function Virtualization，NFV)技术已经被提出来将传统的网络功能转移到虚拟网络功能(Virtual Network Function，VNF)，从而提高网络的灵活性。多个虚拟网络功能按特定的顺序组成服务功能链(Service Function Chain，SFC)来保证用户的服务策略，然后被部署到云网络中为用户提供服务。

随着云网络用户的增多，集中式的云计算正面临一些挑战，如网络拥塞和网络延迟变得越来越严重，服务的安全性也受到了挑战。为了解决这些挑战，分布式的雾计算被提出来扩展和补充云计算。基于雾计算的无线接入网，即雾无线接入网，已成为无线接入网的一个新的研究方向。在雾无线接入网中，有一些带有雾计算能力的节点，与云计算的节点相似，这些雾节点可以为用户提供服务，但雾节点的服务资源容量通常小于云节点的服务资源容量。类似于云节点，可以对这些雾节点进行虚拟化，以改善无线接入网的灵活性。联合使用云计算和雾计算可以减少网络拥塞和网络延迟，并且为移动用户提供更安全的服务。

在云计算中部署服务功能链是当前研究的热点，已经有了很多研究。例如，有研究者研究了流量感知和能量有效的服务功能链的部署问题，提出了一种启发式算法来部署服务功能链到云计算环境以减少总的部署成本。这个算法可以减少总的部署成本，但作者没有研究雾计算。联合使用云计算和雾计算可以减少网络拥塞和网络延迟，并为移动用户提供更安全的服务。有研究者进行了基于云雾计算5G服务的SDN/NFV部署实验，来优化VNF部署同时满足约束(例如延迟)。

随着服务功能链请求的增加，如何保证服务的安全性成为一个巨大的挑战。为了在服务受到攻击时保证服务的安全，已经有部分关于NFV安全的研究，例如SAMA算法，其主要思想是基于流量感知和能量有效的方法进行服务功能链的部署，来最小化总的部署成本，同时满足网络节点的大小约束。虽然该方法能够实现虚拟网络功能的部署，但是它没有考虑服务功能链的安全性问题，也没有考虑雾计算网络的特性和相关约束，不能利用雾计算的优势。

针对虚拟网络功能的部署问题，相关研究人员还提出了PATH-EXTENSION，其主要思想考虑了共享和重用存在的虚拟网络功能，从而减少网络资源的消耗。虽然该方法能够实现虚拟网络功能的放置，并考虑了共享和重用存在的虚拟网络功能，但是它同样没有考虑雾计算网络的特性和相关约束，不能利用雾计算的优势，而且没有考虑整个服务功能链的安全性问题。

技术实现要素：

本发明的目的是为了在考虑整个服务功能链请求中每个虚拟网络功能的链路连接情况和满足安全需求等相关约束条件下，将云雾计算底层网络的节点资源和带宽资源分配给每个服务功能链请求，使得在提高服务功能链请求的部署成功率和底层网络的资源利用率的同时总的映射花销最小，提出了一种应用于云雾计算网络的服务功能链安全部署方法。

本发明的技术方案为：一种应用于云雾计算网络的服务功能链安全部署方法，包括以下步骤：

S1、构建初始SFC部署请求队列ArrivalSFC，将其中过期的SFC请求存储到过期SFC请求集合FinishedSFC中，并设置初始总部署成本TCost＝0，初始被阻塞SFC部署请求集合SFCblo为空。

S2、判断ArrivalSFC是否为空，若是则进入步骤S9，否则进入步骤S3。

S3、根据集合FinishedSFC释放过期的SFC请求占用的资源。

S4、采用MSSFCD算法、MCSGSFCD算法或MCSGFCDFA算法部署ArrivalSFC中的第一个SFC部署请求SFC1，并得到SFC1的部署方案集合DS的部署成本TCost(DS)。

S5、判断集合DS是否为空，若是则进入步骤S7，否则进入步骤S6。

S6、根据TCost(DS)更新总部署成本TCost和物理网络，进入步骤S8。

S7、将SFC1添加进SFCblo。

S8、将SFC1从ArrivalSFC中清除，返回步骤S2。

S9、输出TCost和SFCblo。

本发明的有益效果是：

(1)适用范围广：传统的虚拟网络功能或服务功能链部署算法大多是针对虚拟网络和数据中心网络提出的，或者没有考虑在云雾计算网络中的部署服务功能链。本发明能适用于云雾计算网络中的服务功能链请求，因此与传统的部署算法相比，本发明的适用范围更广。

(2)部署成本低：由于本发明提出了MSSFCD算法/MCSGSFCD算法/MCSGFCDFA算法，在利用云雾计算结合的优势部署服务功能链请求，这样找到的部署方案的成本也就更低。

(3)映射阻塞率小：由于本发明中考虑了部署方案的安全性，在满足服务功能链的安全需求的约束下，能够有效的减少网络资源的消耗，所以映射成功的可能性也就越大，阻塞率也就越小。

附图说明

图1所示为本发明实施例提供的一种应用于云雾计算网络的服务功能链安全部署方法流程图。

图2所示为本发明实施例提供的MSSFCD算法流程图。

图3所示为本发明实施例提供的MCSGSFCD算法流程图。

图4所示为本发明实施例提供的MCSGFCDFA算法流程图。

具体实施方式

现在将参考附图来详细描述本发明的示例性实施方式。应当理解，附图中示出和描述的实施方式仅仅是示例性的，意在阐释本发明的原理和精神，而并非限制本发明的范围。

本发明实施例提供了一种应用于云雾计算网络的服务功能链安全部署方法，如图1所示，包括以下步骤S1-S9：

S1、构建初始SFC部署请求队列ArrivalSFC，将其中过期的SFC请求存储到过期SFC请求集合FinishedSFC中，并设置初始总部署成本TCost＝0，初始被阻塞SFC部署请求集合SFCblo为空。

S2、判断ArrivalSFC是否为空，若是则进入步骤S9，否则进入步骤S3。

S3、根据集合FinishedSFC释放过期的SFC请求占用的资源。

S4、采用MSSFCD算法、MCSGSFCD算法或MCSGFCDFA算法部署ArrivalSFC中的第一个SFC部署请求SFC1，并得到SFC1的部署方案集合DS的部署成本TCost(DS)。

S5、判断集合DS是否为空，若是则进入步骤S7，否则进入步骤S6。

S6、根据TCost(DS)更新总部署成本TCost和物理网络，进入步骤S8。

其中，更新总部署成本TCost的公式为：

TCost＝TCostb+TCost(DS) (16)

其中TCost表示更新后的总部署成本，TCostb表示更新前的总部署成本。

S7、将SFC1添加进SFCblo。

S8、将SFC1从ArrivalSFC中清除，返回步骤S2。

S9、输出TCost和SFCblo。

本发明实施例中，MSSFCD算法为安全性最大化的部署算法，被用来最大限度地提高服务功能链部署方案的安全性。在MSSFCD算法中，使用安全最大化策略来部署虚拟网络功能到最安全的物理节点，并寻找最安全的路径，来最大限度的提高服务功能链部署方案的安全性，最终得到最安全的部署方案。当部署每个虚拟网络功能vfi到物理节点nj，并找到最安全的路径pem时，会找到从当前的物理节点nj到用户的最安全的路径pⁱ⁺¹(nj,LU)，优化部署的解决方案，从而改善最终部署方案的阻塞率和安全性。如果MSSFCD算法求解的服务功能链部署方案的安全不能满足服务功能链部署请求的安全需求，这个服务功能链部署请求将被拒绝。

如图2所示，MSSFCD算法包括以下步骤：

S4-1-1、遍历NF中的每一个虚拟网络功能vfi，i＝1,2,…,|NF|；NF为SFC部署请求的虚拟网络功能集合，|NF|为NF中虚拟网络功能的数量。

S4-1-2、判断NF中的虚拟网络功能是否被遍历完，若是则进入步骤S4-1-17，否则进入步骤S4-1-3。

S4-1-3、遍历物理网络中的每个物理节点nj∈NP，NP为物理网络中的物理节点集合；j＝1,2,…,|NP|，|NP|为物理网络中物理节点的数量。

S4-1-4、判断物理网络中的物理节点是否被遍历完，若是则进入步骤S4-1-10，否则进入步骤S4-1-5。

S4-1-5、判断物理节点nj是否满足虚拟网络功能vfi的位置约束，若是则进入步骤S4-1-6，否则返回步骤S4-1-3。

S4-1-6、将vfi部署到物理节点nj上，并计算vfi的部署方案的安全性VNFSecurity(vfi→nj)和部署成本VNFCost(vfi→nj)。

VNFSecurity(vfi→nj)的计算公式为：

VNFSecurity(vfi→nj)＝s(nj) (1)

其中s(nj)表示物理节点nj的安全系数。

VNFCost(vfi→nj)的计算公式为：

VNFCost(vfi→nj)＝p(nj)ε(vfi) (2)

其中p(nj)表示物理节点nj的单位成本，ε(vfi)表示虚拟网络功能vfi的节点资源需求。

S4-1-7、查找SFC链路em的最小成本路径pem以及从nj到用户部署位置约束LU的最安全路径pⁱ⁺¹(nj,LU)；m＝1,2,…,|EF|，|EF|为SFC链路数量。

S4-1-8、计算路径pem的安全性PathSecurity(pem)，路径pem的部署成本PathCost(pem)以及路径pⁱ⁺¹(nj,LU)的安全性PathSecurity(pⁱ⁺¹(nj,LU))。

PathSecurity(pem)的计算公式为：

其中s(lk)表示物理链路lk的安全系数；k＝1,2,…,|EP|，|EP|为物理网络中物理链路的数量。

PathCost(pem)的计算公式为：

其中p(lk)表示物理链路lk的单位成本，ε(em)表示SFC链路em的带宽资源需求。

PathSecurity(pⁱ⁺¹(nj,LU))的计算公式为：

S4-1-9、根据VNFSecurity(vfi→nj)、VNFCost(vfi→nj)、PathSecurity(pem)、PathCost(pem)和PathSecurity(pⁱ⁺¹(nj,LU))计算将虚拟网络功能vfi部署到物理节点nj的整体安全性TSecurity(vfi→nj)和部署成本TCost(vfi→nj)，返回步骤S4-1-3。

TSecurity(vfi→nj)的计算公式为：

TCost(vfi→nj)的计算公式为：

S4-1-10、判断是否能够找到整体安全性TSecurity(vfi→nj)最大的部署方案，若是则进入步骤S4-1-12，否则进入步骤S4-1-11。

S4-1-11、清空SFC1的部署方案集合DS，进入步骤S4-1-16。

S4-1-12、将虚拟网络功能vfi和SFC链路em的部署方案储存到SFC1的部署方案集合DS中，进入步骤S4-1-13。

S4-1-13、计算DS的整体安全性TSecurity(DS)’，计算公式为：

其中VNFSecurity(DS(vfa))表示托管第a个虚拟网络功能vfa的物理节点DS(vfa)的安全性，a＝1,2,…,i；PathSecurity(DS(em))表示托管SFC链路em的物理链路DS(em)的安全性，s(DS(vfa))表示物理节点DS(vfa)的安全系数。

S4-1-14、判断是否满足TSecurity(DS)’<SR，若是则进入步骤S4-1-15，否则返回步骤S4-1-1。

S4-1-15、清空SFC1的部署方案集合DS，进入步骤S4-1-16。

S4-1-16、输出DS为空，并令TCost(DS)＝0，进入步骤S5。

S4-1-17、根据公式(3)计算SFC链路e|ES|的所有映射路径的安全性，从所有映射路径中查找安全性最高的路径pe|ES|，将其存储到DS中，并计算部署成本TCost(DS)，计算公式为：

其中VNFCost(DS(vfi))表示托管第i个虚拟网络功能vfi的物理节点DS(vfi)的部署成本，PathCost(DS(em))表示托管SFC链路em的物理链路DS(em)的部署成本，p(DS(vfi))表示物理节点DS(vfi)的单位成本。

S4-1-18、输出DS和TCost(DS)，进入步骤S5。

由于较高的安全部署方案将导致更高的总部署成本，为了在满足服务功能链部署请求的安全性需求的同时减少总的部署成本，本发明实施例还提出了成本最小化和安全保障的部署算法MCSGSFCD。在MCSGSFCD算法中，用成本最小化和安全保障策略作为引导策略部署来部署虚拟网络功能，在满足服务功能链部署请求的部署方案的安全需求的同时，减少服务功能链部署请求的部署方案的总部署成本。在MCSGSFCD算法中，类似于MSSFCD算法，将找到从当前的物理节点nj到用户的最安全的路径pⁱ⁺¹(nj,LU)来减少总的部署成本。

如图3所示，MCSGSFCD算法包括以下步骤：

S4-2-1、遍历NF中的每一个虚拟网络功能vfi，i＝1,2,…,|NF|；NF为SFC部署请求的虚拟网络功能集合，|NF|为NF中虚拟网络功能的数量。

S4-2-2、判断NF中的虚拟网络功能是否被遍历完，若是则进入步骤S4-2-14，否则进入步骤S4-2-3。

S4-2-3、遍历物理网络中的每个物理节点nj∈NP，NP为物理网络中的物理节点集合；j＝1,2,…,|NP|，|NP|为物理网络中物理节点的数量。

S4-2-4、判断物理网络中的物理节点是否被遍历完，若是则进入步骤S4-2-10，否则进入步骤S4-2-5。

S4-2-5、判断物理节点nj是否满足虚拟网络功能vfi的位置约束，若是则进入步骤S4-2-6，否则返回步骤S4-2-3。

S4-2-6、将vfi部署到物理节点nj上，并计算vfi的部署方案的部署成本VNFCost(vfi→nj)。

VNFCost(vfi→nj)的计算公式为：

VNFCost(vfi→nj)＝p(nj)ε(vfi) (2)

其中p(nj)表示物理节点nj的单位成本，ε(vfi)表示虚拟网络功能vfi的节点资源需求；

S4-2-7、查找SFC链路em的最小成本路径pem以及从nj到用户部署位置约束LU的最安全路径pⁱ⁺¹(nj,LU)；m＝1,2,…,|EF|，|EF|为SFC链路数量。

S4-2-8、计算路径pem的安全性PathSecurity(pem)，路径pem的部署成本PathCost(pem)，路径pⁱ⁺¹(nj,LU)的安全性PathSecurity(pⁱ⁺¹(nj,LU))，路径pⁱ⁺¹(nj,LU)的部署成本PathCost(pⁱ⁺¹(nj,LU))以及剩余虚拟网络功能的预部署方案的最大安全性MaxSecurity(pⁱ⁺¹(nj,LU))。

PathSecurity(pem)的计算公式为：

其中s(lk)表示物理链路lk的安全系数；k＝1,2,…,|EP|，|EP|为物理网络中物理链路的数量。

PathCost(pem)的计算公式为：

其中p(lk)表示物理链路lk的单位成本，ε(em)表示SFC链路em的带宽资源需求。

PathSecurity(pⁱ⁺¹(nj,LU))的计算公式为：

其中s(lk)表示物理链路lk的安全系数；k＝1,2,…,|EP|，|EP|为物理网络中物理链路的数量。

PathCost(pⁱ⁺¹(nj,LU))的计算公式为：

其中ε(em+1)表示SFC链路em+1的带宽资源需求。

MaxSecurity(pⁱ⁺¹(nj,LU))的计算公式为：

其中s(nt)表示物理节点nt的安全系数，nt表示路径pⁱ⁺¹(nj,LU)中的物理节点。

S4-2-9、根据VNFCost(vfi→nj)、PathCost(pem)、PathSecurity(pⁱ⁺¹(nj,LU))、PathCost(pⁱ⁺¹(nj,LU))和MaxSecurity(pⁱ⁺¹(nj,LU))计算部署方案集合DS的整体安全性TSecurity(DS)”和将虚拟网络功能vfi部署到物理节点nj的部署成本TCost(vfi→nj)”，返回步骤S4-2-3。

TSecurity(DS)”的计算公式为：

其中VNFSecurity(DS(vfa))表示托管第a个虚拟网络功能vfa的物理节点DS(vfa)的安全性，a＝1,2,…,i；PathSecurity(DS(em))表示托管SFC链路em的物理链路DS(em)的安全性，s(DS(vfa))表示物理节点DS(vfa)的安全系数。

TCost(vfi→nj)”的计算公式为：

S4-2-10、判断是否能够找到部署成本TCost(vfi→nj)”最小，且整体安全性TSecurity(DS)”≥SR的部署方案，若是则进入步骤S4-2-11，否则进入步骤S4-2-12；SR表示SFC部署请求的总体安全需求指数。

S4-2-11、将虚拟网络功能vfi和SFC链路em的部署方案储存到SFC1的部署方案集合DS中，返回步骤S4-2-1。

S4-2-12、清空SFC1的部署方案集合DS，进入步骤S4-2-13。

S4-2-13、输出DS为空，并令TCost(DS)＝0，进入步骤S5。

S4-2-14、根据公式(3)计算SFC链路e|ES|的所有映射路径的安全性，从所有映射路径中查找安全性最高的路径pe|ES|，将其存储到DS中，并计算部署成本TCost(DS)，计算公式为：

其中VNFCost(DS(vfi))表示托管第i个虚拟网络功能vfi的物理节点DS(vfi)的部署成本，PathCost(DS(em))表示托管SFC链路em的物理链路DS(em)的部署成本，p(DS(vfi))表示物理节点DS(vfi)的单位成本。

S4-2-15、输出DS和TCost(DS)。

MCSGSFCD算法使用成本最小化和安全保障策略作为部署虚拟网络功能的引导策略来最小化总部署成本。虽然这个MCSGSFCD算法可以减少总部署成本，但是使用成本最小化和安全保障策略作为引导策略将导致阻塞率的增加。因此，本发明实施例中提出了MCSGFCDFA算法来降低阻塞率。在MCSGFCDFA算法中，首先采用MSSFCD算法获得一个安全性最大化的初始部署方案，然后尝试找到一个最小总部署成本的部署方案。如果找到这样一个新的部署方案，并且这个新的部署方案的安全性满足服务功能链请求的安全需求，并且这个新部署方案的总部署成本比初始部署方案的总部署成本低，则使用新的部署方案来取代初始部署方案。通过这样的反馈调整过程，可以降低总部署成本和阻塞率。

如图4所示，MCSGFCDFA算法包括以下步骤：

S4-3-1、采用MSSFCD算法得到SFC1的部署方案集合DS及其部署成本TCost(DS)。

S4-3-2、遍历NF中的每一个虚拟网络功能vfi，i＝1,2,…,|NF|；NF为SFC部署请求的虚拟网络功能集合，|NF|为NF中虚拟网络功能的数量。

S4-3-3、判断NF中的虚拟网络功能是否被遍历完，若是则进入步骤S4-3-17，否则进入步骤S4-3-4。

S4-3-4、遍历物理网络中的每个物理节点nj∈NP，NP为物理网络中的物理节点集合；j＝1,2,…,|NP|，|NP|为物理网络中物理节点的数量。

S4-3-5、判断物理网络中的物理节点是否被遍历完，若是则进入步骤S4-3-11，否则进入步骤S4-3-6。

S4-3-6、判断物理节点nj是否满足虚拟网络功能vfi的位置约束，若是则进入步骤S4-3-7，否则返回步骤S4-3-4。

S4-3-7、将vfi部署到物理节点nj上，并计算vfi的部署方案的部署成本VNFCost(vfi→nj)，计算公式为：

VNFCost(vfi→nj)＝p(nj)ε(vfi) (2)

其中p(nj)表示物理节点nj的单位成本，ε(vfi)表示虚拟网络功能vfi的节点资源需求。

S4-3-8、查找SFC链路em的最小成本路径pem以及从nj到用户部署位置约束LU的最安全路径pⁱ⁺¹(nj,LU)；m＝1,2,…,|EF|，|EF|为SFC链路数量。

S4-3-9、计算路径pem的部署成本PathCost(pem)以及路径pⁱ⁺¹(nj,LU)的部署成本PathCost(pⁱ⁺¹(nj,LU))。

PathCost(pem)的计算公式为：

其中p(lk)表示物理链路lk的单位成本，ε(em)表示SFC链路em的带宽资源需求。

PathCost(pⁱ⁺¹(nj,LU))的计算公式为：

其中ε(em+1)表示SFC链路em+1的带宽资源需求。

S4-3-10、根据VNFCost(vfi→nj)、PathCost(pem)和PathCost(pⁱ⁺¹(nj,LU))计算将虚拟网络功能vfi部署到物理节点nj的部署成本TCost(vfi→nj)”，返回步骤S4-3-4。

TCost(vfi→nj)”的计算公式为：

S4-3-11、判断是否能够找到部署成本TCost(vfi→nj)”最小的部署方案，若是则进入步骤S4-3-13，否则进入步骤S4-3-12。

S4-3-12、清空SFC1的部署方案集合DS’，进入步骤S4-3-20。

S4-3-13、将虚拟网络功能vfi和SFC链路em的部署方案储存到SFC1的部署方案集合DS’中，进入步骤S4-3-14。

S4-3-14、计算DS’的整体安全性TSecurity(DS’)，计算公式为：

其中VNFSecurity(DS’(vfa))表示托管第a个虚拟网络功能vfa的物理节点DS’(vfa)的安全性，a＝1,2,…,i；PathSecurity(DS’(em))表示托管SFC链路em的物理链路DS’(em)的安全性，s(DS’(vfa))表示物理节点DS’(vfa)的安全系数。

S4-3-15、判断是否满足TSecurity(DS’)<SR，若是则进入步骤S4-3-16，否则返回步骤S4-3-2；SR表示SFC部署请求的总体安全需求指数。

S4-3-16、清空SFC1的部署方案集合DS’，进入步骤S4-3-20。

S4-3-17、根据公式(4)计算SFC链路e|ES|的所有映射路径的部署成本，从所有映射路径中查找部署成本最小的路径pe|ES|，将其存储到DS’中，并计算部署成本TCost(DS’)与整体安全性TSecurity(DS’)。

TCost(DS’)的计算公式为：

其中VNFCost(DS’(vfi))表示托管第i个虚拟网络功能vfi的物理节点DS’(vfi)的部署成本，PathCost(DS’(em))表示托管SFC链路em的物理链路DS(em)的部署成本，p(DS’(vfi))表示物理节点DS’(vfi)的单位成本。

S4-3-18、判断是否满足DS’不为空，且TSecurity(DS’)≥SR，且TCost(DS’)<TCost(DS)，若是则进入步骤S4-3-19，否则进入步骤S4-3-20。

S4-3-19、令DS＝DS’，TCost(DS)＝TCost(DS’)。

S4-3-20、输出DS和TCost(DS)，进入步骤S5。

本发明实施例可以部署在基于SDN的云雾计算网络中，以实现服务功能链的部署。基于SDN的云雾计算网络——相对于传统网络架构而言，SDN是一种革命性的变革。它将控制功能从网络交换设备中分离出来，将其移入逻辑上独立的控制环境——网络控制系统之中，并且SDN网络基于OpenFlow协议传输报文。该系统可在通用的服务器上运行，任何用户可随时、直接进行控制功能编程。因此，控制功能既不再局限于路由器中，也不再局限于只有设备的生产厂商才能够编程和定义。SDN的本质是逻辑集中控制层的可编程化。

SDN有助于实现网络的虚拟化，从而实现了网络的计算和存储资源的整合，最终使得只要通过一些简单的软件工具组合，就能实现对整个网络的控制和管理。这是基于SDN的云雾计算网络的众多优势之一，也是决定可以用它实现服务功能链的在云雾计算网络中部署的关键因素。

网络运营商可以将本发明实施例所提出的在基于SDN的云雾计算网络部署服务功能链的方法部署在SDN的控制路由器中的控制层上，SDN控制路由器可以调度自身带有的控制管理功能收集全网信息，获取网络中所有节点资源情况，以及链路的资源，时延等信息。通过这种集中式的控制方式该路由器就可以获取全网的拓扑以及相应的资源信息。

当有服务功能链请求到来时，SDN控制路由器可以根据自己所掌握的全网信息，调度部署在其控制层上的基于服务功能链的部署方法，计算出部署成本、拒绝率等关键参数，并反馈给运营商。

本领域的普通技术人员将会意识到，这里所述的实施例是为了帮助读者理解本发明的原理，应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合，这些变形和组合仍然在本发明的保护范围内。