CN107682203A

CN107682203A - 一种基于服务链的安全功能部署方法

Info

Publication number: CN107682203A
Application number: CN201711041932.0A
Authority: CN
Inventors: 于冰; 于然; 曾颖明; 王斌; 刘滋润; 姚金利; 郭敏
Original assignee: Beijing Institute of Computer Technology and Applications
Current assignee: Beijing Institute of Computer Technology and Applications
Priority date: 2017-10-30
Filing date: 2017-10-30
Publication date: 2018-02-09
Anticipated expiration: 2037-10-30
Also published as: CN107682203B

Abstract

本发明涉及一种基于服务链的安全功能部署方法，涉及网络安全技术领域。本发明针对用户的安全服务需求和由上层编排、下发的安全服务链，提出一种安全功能服务链部署方法，对同时到达的多条安全服务链进行合理映射，在满足功能要求、带宽需求的前提下降低网络成本，保障服务质量。

Description

一种基于服务链的安全功能部署方法

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于服务链的安全功能部署方法。

背景技术

软件定义网络(Software Defined Networking，SDN)作为近几年来的新兴网络技术，为网络管理带来了新的机遇与挑战。其基本思想是将网络控制与数据转发相互分离，解耦网络控制功能和数据转发功能。采用编程模式实现集中化的管理控制功能，简化了网络管理的复杂性并促进网络的发展和创新。图1描述了SDN的三层逻辑架构图，从上至下依次为：应用层、控制层和基础设施层。

SDN架构通过控制层的可编程接口API，可在应用层灵活编写各种应用服务，满足多租户差异化、多样化的应用需求。位于整个架构中间位置的控制层负责维护全局网络拓扑，制定集中式的调度策略，并通过南向接口下发给基础设施层中的网络设备。最底层的基础设施层只需要通过南向接口(如OpenFlow等)接收SDN控制层的各种指令，完成单纯的数据处理和转发。

SDN将控制平面与数据平面分离，可降低硬件设备的复杂性，采用集中式的控制方法便于对网络设备进行统一管理。此外，利用SDN控制器掌握网络的全局信息，可制定更加智能的调度策略，更好的把握网络状态并进行更快速的调整，从而提高资源利用效率、简化网络管理并降低网络能耗成本。SDN技术的兴起，为基于全局网络视图的资源管理、负载均衡开辟了新的实现途径。

网络功能虚拟化(Network Function Virtualization，NFV)技术将传统专业网元设备上的网络功能提取出来，并以虚拟化、软件化的形式运行在通用的硬件平台上。实现软件化网络功能的灵活加载、按需部署和更新，大程度的方便远程管理和维护，降低服务提供商的资本支出(Capital Expenditure，CAPEX)和运营成本(Operating Expense，OPEX)。

NFV技术将服务器、存储设备、交换机、路由器等计算资源、存储资源、网络资源与相应的虚拟网络功能(Virtual Network Function，VNF)建立一一映射关系，形成虚拟计算资源组件、虚拟存储资源组件、虚拟网络资源组件等。本发明主要研究的虚拟安全资源组件，包括：虚拟网络地址翻译(virtual Network Address Translation，vNAT)、虚拟防火墙(virtual FireWall，vFW)，虚拟入侵检测***(virtual Intrusion Detection System，vIDS)，虚拟入侵防御***(virtual Intrusion Prevention Systems，vIPS)等，如图2所示。

随着SDN技术和NFV技术的不断发展，网络控制变得更加灵活并更具有扩展性。SDN以控制转发分离的特性，对底层物理网络进行虚拟化和逻辑抽象，通过SDN控制器引导转发流量自动通过虚拟服务节点，可实现灵活、便捷、高效的服务功能，这种流量按序通过虚拟服务功能节点组成的序列称为服务链，如图3所示。

因此，针对用户的安全服务需求和由上层编排、下发的安全服务链，需要选择一条满足安全服务能力、安全功能顺序、资源需求的最优路径，该问题即基于服务链的安全功能部署问题(或称为映射问题)，如图4所示。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何针对用户的安全服务需求和由上层编排、下发的安全服务链，提出一种安全功能服务链部署方法。(二)技术方案

为了解决上述技术问题，本发明提供了一种基于服务链的安全功能部署方法，包括以下步骤：

第一步、将底层网络拓扑用一个加权图表示G_S＝(V_S,E_S)，其中V_S是由转发节点、安全功能节点构成的物理节点集合，V_S＝T_S∪N_S，T_S表示路由等资源转发节点集合，N_S为防火墙等安全功能节点集合，E_S是物理网络中链路集合，存在属性带宽能力，包含链路e_s的上行带宽容量B(e_s↑)和下行带宽容量B(e_s↓)，e_s＝(v_i,v_j)，v_i和v_j为链路e_s的两个端点，如果i<j，则称由v_i流向v_j的流量为上行流量，反向为下行流量，以跳数hop(v_i,v_j)表示v_i和v_j之间的传输时延；

第二步、定义同时到达的R条服务链请求集合为Φ＝{Q₁,Q₂,…,Q_R}，其中服务链请求表示为有向序列Q_r＝(q_r,1,q_r,2,…,q_r,h-1,q_r,h,q_r,h+1,…,q_r,H)，共包含H个安全功能需求，其中q_r,h-1是q_r,h的前一个安全功能需求，q_r,h+1是q_r,h的后一个安全功能需求，从q_r,h到q_r,h+1的需求链路表示为link(q_r,h,q_r,h+1)，对应的带宽表示为bw(q_r,h,q_r,h+1)；

第三步、定义N_r(q_r,h)表示部署服务链Q_r中安全功能需求q_r,h的物理节点，N_r(q_r,h)∈N_S，服务链中的每个安全功能需求能且仅能部署在一个物理安全功能节点上，使用L_r(q_r,h,q_r,h+1)表示服务链Q_r中安全功能需求q_r,h到q_r,h+1之间的流量路径，即链路link(q_r,h,q_r,h+1)在G_S上的部署路径，定义服务链部署产生的网络成本为：

第四步、在服务链部署过程中，采用分治法，将每条服务链的部署问题划分为较小的子服务链部署问题。

优选地，第四步中，划分依据为：对于服务链Q_r中的安全功能需求q_r,h，如果在底层拓扑G_S中只存在唯一的安全功能节点v_i可提供q_r,h功能需求，即功能需求q_r,h能且仅能部署在节点上v_i，则将功能需求q_r,h部署在节点v_i上，即N_r(q_r,h)＝v_i，并以q_r,h为界分割服务链Q_r，形成子服务链，依次对划分后的子服务链进行部署，将得到的子服务链部署结果和路由结果按顺序连接起来即为该服务链的部署结果。

优选地，第四步中，对于每条子服务链，对通信链路按照带宽需求排序，并依据此顺序依次部署链路。

优选地，第四步中，对于每条子服务链，对通信链路按照带宽需求排序，并依据此顺序依次部署链路具体为：

如果链路link(q_r,h,q_r,h+1)的两端的功能需求q_r,h和q_r,h+1均未部署，则标记链路link(q_r,h,q_r,h+1)为待定状态，并部署下一条流量；如果链路link(q_r,h,q_r,h+1)的一个端点已经成功部署，则对链路link(q_r,h,q_r,h+1)进行部署，选择链路link(q_r,h,q_r,h+1)中尚未部署的另一个端点，如果端点q_r,h的前一个和后一个安全功能均已部署，则根据端点q_r,h的前一个安全功能需求q_r,h－1和后一个安全功能需求q_r,h+1，在G_s可提供q_r,h功能的候选节点中，选择满足link(q_r,h,q_r,h+1)和link(q_r,h－1,q_r,h)两段链路带宽需求且两段链路网络成本最小的安全功能物理节点作为q_r,h的部署节点；如果q_r,h的前一个或后一个安全功能未部署，在可提供q_r,h功能的所有候选物理节点中选择满足link(q_r,h,q_r,h+1)带宽需求的、网络成本最小的节点和链路进行分配，并判断Q_r中经过功能q_r,h的另一条链路link(q_r,h－1,q_r,h)是否处于待定状态，如果链路link(q_r,h－1,q_r,h)处于待定状态，则使用相同的方法对链路link(q_r,h－1,q_r,h)及其端点进行部署，并继续判断经过功能q_r,h－1的未分配链路是否处于待定状态；如果链路link(q_r,h－1,q_r,h)不是待定状态，则根据带宽需求排序得到的顺序部署下一条链路，直至服务链Q_r中的所有功能需求和链路需求均部署完成；如果在部署过程中，G_s无法提供服务链需要的安全功能或无法满足服务链的带宽需求，则该服务链部署失败。

(三)有益效果

本发明针对用户的安全服务需求和由上层编排、下发的安全服务链，提出一种安全功能服务链部署方法，对同时到达的多条安全服务链进行合理映射，在满足功能要求、带宽需求的前提下降低网络成本，保障服务质量。

附图说明

图1是SDN典型架构图；

图2是NAT实现虚拟安全资源组件示意图；

图3是服务链示意图；

图4是基于服务链的安全功能部署示意图，其中a为底层安全功能网络拓扑图，b为安全功能服务链示意图；

图5是底层网络拓扑和服务链请求示例图；其中a为底层网络拓扑图，b为服务链请求示意图；

图6是服务链部署结果示例图。

具体实施方式

为使本发明的目的、内容、和优点更加清楚，下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。

安全功能服务链(Security Service Function Chain，SSFC)是一组有序的安全功能集合，流量按照指定的策略依次通过多个安全功能节点，形成指定功能和顺序的安全服务。由于在网络中每一种安全功能可能分布着多个安全功能组件，因此安全功能服务链的部署过程即安全功能组件的选择以及它们之间的路由选择过程。

本发明提出一种安全功能服务链部署方法，对同时到达的多条安全服务链进行合理映射，在满足功能要求、带宽需求的前提下降低网络成本，保障服务质量。该方法包括以下步骤：

首先将底层网络拓扑用一个加权图表示G_S＝(V_S,E_S)，其中V_S是由转发节点、安全功能节点构成的物理节点集合，V_S＝T_S∪N_S。T_S表示路由等资源转发节点集合，N_S为防火墙等安全功能节点集合。E_S是物理网络中链路集合，存在属性带宽能力，包含链路e_s的上行带宽容量B(e_s↑)和下行带宽容量B(e_s↓)。e_s＝(v_i,v_j)，v_i和v_j为链路e_s的两个端点。如果i<j，则称由v_i流向v_j的流量为上行流量，反向为下行流量。以跳数hop(v_i,v_j)表示v_i和v_j之间的传输时延。例如，在图5(a)中，底层网络拓扑G_S共包含14个物理节点，即V_S＝{v₁,v₂,v₃,v₄,v₅,v₆,v₇,v₈,v₉,v₁₀,v₁₁,v₁₂,v₁₃,v₁₄}。其中安全功能节点集合N_S和转发节点集合T_S分别为N_S＝{v₁,v₂,v₃,v₅,v₆,v₁₀,v₁₁,v₁₃}、T_S＝{v₄,v₇,v₈,v₉,v₁₂,v₁₄}。每条链路旁边的数字表示链路的带宽(或称带宽容量)，“/”左侧为上行带宽容量，右侧为下行带宽容量。图5(a)中链路(v₁,v₂)的上行带宽容量和下行带宽容量分别为8Mbps和10Mbps，即B((v₁,v₂)_↑)＝8Mbps，B((v₁,v₂)_↓)＝10Mbps，v₁与v₂之间的跳数hop(v₁,v₂)＝1。

其次，定义同时到达的R条服务链请求集合为Φ＝{Q₁,Q₂,…,Q_R}，其中服务链请求表示为有向序列Q_r＝(q_r,1,q_r,2,…,q_r,h-1,q_r,h,q_r,h+1,…,q_r,H)，共包含H个安全功能需求。其中q_r,h-1是q_r,h的前一个安全功能需求，q_r,h+1是q_r,h的后一个安全功能需求，从q_r,h到q_r,h+1的需求链路表示为link(q_r,h,q_r,h+1)，对应的带宽表示为bw(q_r,h,q_r,h+1)。如图5(b)所示的服务链请求集合Φ＝{Q₁,Q₂,Q₃}，其中Q₁＝(FW,IDS,NAT)，Q₂＝(NAT,LB,IPS)，Q₃＝(IDS,IPS,FW,NAT,LB)。以Q₁为例，Q₁共包含3个安全功能需求，依次为防火墙(FW)、入侵检测(IDS)和网络地址转换(NAT)，FW是IDS的前一个安全功能需求，NAT是IDS的后一个安全功能需求。从FW功能到IDS功能的链路link(FW,IDS)对应的带宽需求bw(FW,IDS)＝4Mbps，从IDS功能到NAT功能的链路link(IDS,NAT)对应的带宽需求bw(IDS,NAT)＝3Mbps。在服务链部署过程中，既要满足安全功能的按序排列，也要满足安全功能之间的带宽需求。

因此，服务链Q_r的生成过程可看作所有安全功能需求、以及它们之间的通信流量在底层网络G_S上的部署问题。第三步定义N_r(q_r,h)表示部署服务链Q_r中安全功能需求q_r,h的物理节点，N_r(q_r,h)∈N_S，服务链中的每个安全功能需求能且仅能部署在一个物理安全功能节点上。使用L_r(q_r,h,q_r,h+1)表示服务链Q_r中安全功能需求q_r,h到q_r,h+1之间的流量路径，即链路link(q_r,h,q_r,h+1)在G_S上的部署路径。本发明不仅考虑链的带宽需求，也将传输延迟纳入网络成本。定义服务链部署产生的网络成本为：

为了最小化部署安全服务链所产生的网络成本，本发明在满足服务链带宽需求、成功部署安全功能的前提下，将网络成本最小化作为服务链生成时的优化目标。面向同时到达的多个服务链请求，本发明优先部署通信带宽较大的服务链，避免带宽资源成为服务链部署瓶颈并同时降低网络成本。因此第四步在服务链部署过程中，采用分治方法，将每条服务链的部署问题划分为较小的子服务链部署问题，从而降低算法复杂度。划分依据为：对于服务链Q_r中的安全功能需求q_r,h，如果在底层拓扑G_S中只存在唯一的安全功能节点v_i可提供q_r,h功能需求，即功能需求q_r,h能且仅能部署在节点上v_i，则将功能需求q_r,h部署在节点v_i上(即N_r(q_r,h)＝v_i)，并以q_r,h为界分割服务链Q_r，形成子服务链。如图5(b)服务链Q₂中的LB功能需求，在图5(a)的G_S中只有节点v₅可提供LB功能，因此Q₂中的LB功能需求只能部署在节点v₅上，并以LB功能需求为界将Q₂分割为两个子服务链。依次对划分后的子服务链进行部署，将得到的子服务链部署结果和路由结果按顺序连接起来即为该服务链的部署结果。

对于每条子服务链，对通信链路按照带宽需求排序，并依据此顺序依次部署链路。如果链路link(q_r,h,q_r,h+1)的两端的功能需求q_r,h和q_r,h+1均未部署，则标记链路link(q_r,h,q_r,h+1)为待定状态，并部署下一条流量；如果链路link(q_r,h,q_r,h+1)的一个端点已经成功部署，则对链路link(q_r,h,q_r,h+1)进行部署。选择链路link(q_r,h,q_r,h+1)中尚未部署的另一个端点(以q_r,h为例，则q_r,h+1表示已成功部署的端点)，如果端点q_r,h的前一个和后一个安全功能均已部署，则根据端点q_r,h的前一个安全功能需求q_r,h－1和后一个安全功能需求q_r,h+1，在G_s可提供q_r,h功能的候选节点中，选择满足link(q_r,h,q_r,h+1)和link(q_r,h－1,q_r,h)两段链路带宽需求且两段链路网络成本最小的安全功能物理节点作为q_r,h的部署节点；如果q_r,h的前一个或后一个安全功能未部署，在可提供q_r,h功能的所有候选物理节点中选择满足link(q_r,h,q_r,h+1)带宽需求的、网络成本最小的节点和链路进行分配，并判断Q_r中经过功能q_r,h的另一条链路link(q_r,h－1,q_r,h)是否处于待定状态。如果链路link(q_r,h－1,q_r,h)处于待定状态，则使用相同的方法对链路link(q_r,h－1,q_r,h)及其端点进行部署，并继续判断经过功能q_r,h－1的未分配链路是否处于待定状态。如果链路link(q_r,h－1,q_r,h)不是待定状态，则根据带宽需求排序得到的顺序部署下一条链路，直至服务链Q_r中的所有功能需求和链路需求均部署完成。如果在部署过程中，G_s无法提供服务链需要的安全功能或无法满足服务链的带宽需求，则该服务链部署失败。

下面举例什么本发明的方法流程。

输入：底层安全功能网络拓扑G_S＝(V_S,E_S)，同时到达的服务链请求Q₁、Q₂、Q₃，如图5所示；

输出：服务链请求的安全节点部署结果和节点之间路由结果；

1.比较服务链请求Q₁、Q₂、Q₃的最大链路带宽需求(分别为4Mbps、8Mbps、10Mbps)，并根据最大链路带宽需求降序排列，按照Q₃、Q₂、Q₁的顺序依次部署服务链。

2.对于请求Q₃＝(IDS,IPS,FW,NAT,LB)，由于在底层拓扑G_S中存在唯一的FW功能节点(节点v₁)和LB功能节点(节点v₅)，则将Q₃中的FW和LB功能需求分别部署在v₁和v₅上(即N₃(q_3,3)＝v₁，N₃(q_3,5)＝v₅)，并以FW和LB功能需求为界分割服务链Q₃。得到子服务链序列Q₃ ¹＝(IDS,IPS,FW)，Q₃ ²＝(FW,NAT,LB)。

3.部署子服务链Q₃ ¹，优先部署Q₃ ¹中带宽需求较大的链路，即先部署link(IDS,IPS)，后部署link(IPS,FW)。

3.1对于即将部署的链路link(IDS,IPS)，由于IDS和IPS均未部署，则将链路link(IDS,IPS)标记为待定状态，部署下一条链路link(IPS,FW)；

3.2对于链路link(IPS,FW)，FW已成功部署在节点v₁上，IPS在服务链Q₃ ¹中的上一个功能需求(IDS)尚未部署，则在G_S中选择可提供IPS安全功能的节点(称为候选节点，即v₃,v₆)部署服务链Q₃ ¹中的IPS需求；在候选节点中选择与v₁之间带宽能力可满足链路link(IPS,FW)的带宽需求bw(IPS,FW)，且IPS和FW之间网络成本最小的节点部署IPS需求，即将IPS部署在节点v₆，即N₃(q_3,2)＝v₆，L₃(q_3,2,q_3,3)为v₆→v₁；判断经过服务链Q₃ ¹中IPS功能的另一条流量(即link(IDS,IPS))是否处于待定状态。

3.3因为link(IDS,IPS)处于待定状态，根据步骤3.2部署链路link(IDS,IPS)，得到N₃(q_3,1)＝v₂，L₃(q_3,1,q_3,2)为v₂→v₇→v₆；子服务链Q₃ ¹部署成功。

4.部署子服务链Q₃ ²，优先部署Q₃ ²中带宽需求较大的链路，即先部署link(FW,NAT)，后部署link(NAT,LB)link。

4.1对于链路link(FW,NAT)，FW已成功部署在节点v₁上，NAT在服务链Q₃ ²中的下一个功能需求(LB)已成功部署在节点v₅，则在G_S中NAT功能的候选节点(v₁₀，v₁₁)中选择满足两段链路带宽需求bw(FW,NAT)和bw(NAT,LB)，且两段链路网络总成本最小的安全功能物理节点部署NAT，即N₃(q_3,4)＝v₁₀，L₃(q_3,3,q_3,5)为v₁→v₆→v₁₀→v₁₂→v₁₃→v₅；子服务链Q₃ ²部署成功，服务链Q₃部署成功。

5.部署服务链请求Q₂＝(NAT,LB,IPS)，根据步骤2分割为子服务链Q₂ ¹＝(NAT,LB)，Q₂ ²＝(LB,IPS)，且将LB功能需求部署在节点v₅上，即N₂(q_2,2)＝v₅。

6.部署子服务链Q₂ ¹，由于LB功能已成功部署且NAT功能为第一个安全功能需求，不存在上一个安全功能需求，则在NAT功能的候选节点(v₁₀，v₁₁)中选择与v₅之间带宽能力可满足链路link(NAT,LB)的带宽需求bw(NAT,LB)，且NAT和LB之间网络成本最小的节点部署NAT需求，即，将NAT部署在节点v₁₁，即N₂(q_2,1)＝v₁₁，L₂(q_2,1,q_2,2)为v₁₁→v₁₃→v₅；子服务链Q₂ ¹部署成功。

7.部署子服务链Q₂ ²，由于LB功能已成功部署且IPS功能为最后一个安全功能需求，不存在下一个安全功能需求，则在IPS功能的候选节点(v₃，v₆)中选择与v₅之间带宽能力可满足链路link(LB,IPS)的带宽需求bw(LB,IPS)，且LB和IPS之间网络成本最小的节点部署IPS需求，即，将IPS部署在节点v₃，即N₂(q_2,3)＝v₃，L₂(q_2,2,q_2,3)为v₅→v₄→v₃；子服务链Q₂ ²部署成功。服务链Q₂部署成功。

8.部署服务链请求Q₁＝(FW,IDS,NAT)，根据步骤2，将FW功能部署在节点v₁，即N₁(q_1,1)＝v₁。Q₁无法继续分割为子服务链，直接部署Q₁。优先部署Q₁中带宽需求较大的链路，即先部署link(FW,IDS)，后部署link(IDS,NAT)。

8.1对于链路link(FW,IDS)，FW已成功部署在节点v₁上，IDS在服务链Q₁中的下一个功能需求(NAT)尚未部署，则在G_S中选择可提供IDS安全功能的节点(称为候选节点，即v₂,v₁₃)部署服务链Q₁中的IDS需求；在候选节点中选择与v₁之间带宽能力可满足链路link(FW,IDS)的带宽需求bw(FW,IDS)，且IDS和FW之间网络成本最小的节点部署IDS需求，即将IDS部署在节点v₂，即N₁(q_1,2)＝v₂，L₁(q_1,1,q_1,2)为v₁→v₂；判断经过服务链Q₁中IDS功能的另一条流量(即link(IDS,NAT))是否处于待定状态。

8.2链路link(IDS,NAT)不是待定状态，则依序处理Q₁中的下一条链路，即link(IDS,NAT)。根据步骤8.1部署链路link(IDS,NAT)，得到N₁(q_1,3)＝v₁₁，L₁(q_1,2,q_1,3)为v₂→v₃→v₁₁；服务链Q₁部署成功。

9.到达的所有服务链请求部署完毕，算法结束，输出部署结果。服务链Q₁,Q₂,Q₃的部署结果如图6所示，即Q₁:N₁(q_1,1)＝v₁，N₁(q_1,2)＝v₂，N₁(q_1,3)＝v₁₁，流量路由L₁为v₁→v₂→v₃→v₁₁；Q₂:N₂(q_2,1)＝v₁₁，N₂(q_2,2)＝v₅，N₂(q_2,3)＝v₃，流量路由L₂为v₁₁→v₁₃→v₅→v₄→v₃；Q₃:N₃(q_3,1)＝v₂，N₃(q_3,2)＝v₆，N₃(q_3,3)＝v₁，N₃(q_3,4)＝v₁₀，N₃(q_3,5)＝v₅，流量路由L₃为v₂→v₇→v₆→v₁→v₆→v₁₀→v₁₂→v₁₃→v₅。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。

Claims

1.一种基于服务链的安全功能部署方法，其特征在于，包括以下步骤：

<mrow> <mi>cos</mi> <mi>t</mi> <mo>=</mo> <msubsup> <mi>&Sigma;</mi> <mrow> <mi>r</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>R</mi> </msubsup> <msubsup> <mi>&Sigma;</mi> <mrow> <mi>h</mi> <mo>=</mo> <mn>1</mn> </mrow> <mrow> <mi>H</mi> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <mrow> <mo>(</mo> <mi>h</mi> <mi>o</mi> <mi>p</mi> <mo>(</mo> <mrow> <msub> <mi>N</mi> <mi>r</mi> </msub> <mrow> <mo>(</mo> <msub> <mi>q</mi> <mrow> <mi>r</mi> <mo>,</mo> <mi>h</mi> </mrow> </msub> <mo>)</mo> </mrow> <mo>,</mo> <msub> <mi>N</mi> <mi>r</mi> </msub> <mrow> <mo>(</mo> <msub> <mi>q</mi> <mrow> <mi>r</mi> <mo>,</mo> <mi>h</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> </mrow> <mo>)</mo> <mo>&times;</mo> <mi>b</mi> <mi>w</mi> <mo>(</mo> <mrow> <msub> <mi>q</mi> <mrow> <mi>r</mi> <mo>,</mo> <mi>h</mi> </mrow> </msub> <mo>,</mo> <msub> <mi>q</mi> <mrow> <mi>r</mi> <mo>,</mo> <mi>h</mi> <mo>+</mo> <mn>1</mn> </mrow> </msub> </mrow> <mo>)</mo> <mo>)</mo> </mrow> </mrow>

2.如权利要求1所述的方法，其特征在于，第四步中，划分依据为：对于服务链Q_r中的安全功能需求q_r,h，如果在底层拓扑G_S中只存在唯一的安全功能节点v_i可提供q_r,h功能需求，即功能需求q_r,h能且仅能部署在节点上v_i，则将功能需求q_r,h部署在节点v_i上，即N_r(q_r,h)＝v_i，并以q_r,h为界分割服务链Q_r，形成子服务链，依次对划分后的子服务链进行部署，将得到的子服务链部署结果和路由结果按顺序连接起来即为该服务链的部署结果。

3.如权利要求2所述的方法，其特征在于，第四步中，对于每条子服务链，对通信链路按照带宽需求排序，并依据此顺序依次部署链路。

4.如权利要求3所述的方法，其特征在于，第四步中，对于每条子服务链，对通信链路按照带宽需求排序，并依据此顺序依次部署链路具体为：