CN110120978A - 一种弹性用户云计算资源的安全保护方法 - Google Patents

一种弹性用户云计算资源的安全保护方法 Download PDF

Info

Publication number
CN110120978A
CN110120978A CN201910412090.8A CN201910412090A CN110120978A CN 110120978 A CN110120978 A CN 110120978A CN 201910412090 A CN201910412090 A CN 201910412090A CN 110120978 A CN110120978 A CN 110120978A
Authority
CN
China
Prior art keywords
user
node
security
bandwidth
sfi
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910412090.8A
Other languages
English (en)
Other versions
CN110120978B (zh
Inventor
周潮
刘坚
许都
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Electronic Science and Technology of China
Original Assignee
University of Electronic Science and Technology of China
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by University of Electronic Science and Technology of China filed Critical University of Electronic Science and Technology of China
Priority to CN201910412090.8A priority Critical patent/CN110120978B/zh
Publication of CN110120978A publication Critical patent/CN110120978A/zh
Application granted granted Critical
Publication of CN110120978B publication Critical patent/CN110120978B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]

Abstract

本发明公开了一种弹性用户云计算资源的安全保护方法,从用户的历史带宽使用量去预测用户未来一段时间内的带宽使用情况,然后将预测带宽与额定带宽之间的差值对应的安全处理资源用于为其他用户提供同样的安全服务;而当原用户使用超过预测带宽时,立即为共享安全处理资源的其他用户创建新的安全处理资源进行承载,同时保证了原用户的安全服务质量;这样使云服务提供商有了动态分配基础安全处理功能的能力,又能为用户和自身平台提供安全保障,同时还节省了虚拟化资源。

Description

一种弹性用户云计算资源的安全保护方法
技术领域
本发明属于网络通信技术领域,更为具体地讲,涉及一种弹性用户云计算资源的安全保护方法。
背景技术
随着计算平台硬件能力的不断提升,虚拟化技术也愈发成熟。在过去的十年中,云计算逐渐发展成为IT领域一大研究与发展的重点方向。各大互联网厂商纷纷推出了自己的云计算平台,向中小型企业及个人提供云计算服务。而除了售卖虚拟化计算资源以外,云服务提供商同时需要对用户购买的虚拟化服务进行安全保障。
网络功能虚拟化(NFV)是由欧洲电信标准组织(ETSI)从网络运营商的角度出发提出的一种软件和硬件分离的架构,主要是希望通过标准化的IT虚拟化技术,采用业界标准的大容量服务器、存储和交换机承载各种各样的网络软件功能,实现软件的灵活加载,从而可以在数据中心、网络节点和用户端等不同位置灵活的部署配置。NFV打破了网络物理设备层和逻辑业务层之间的绑定关系,每个物理设备被虚拟化的网元所取代,能够对虚拟网元进行管理配置以满足独特的需求。
通过使用NFV可以减少甚至移除现有网络中部署的中间件,它能够让单一的物理平台运行不同的应用程序,用户/租户可以通过多版本和多租户同时使用网络功能。并且NFV支持全新的方法实现弹性、服务保证、测试诊断和安全监控。它能够促进软件网络环境中的新网络功能和服务的创新,NFV适用于任何数据平面和控制平面功能、固定或移动网络,也适合需要实现可伸缩性的自动化管理和配置。为了更加充分的利用资源,虚拟化云服务提供商往往期望提高资源的利用率、减少闲置率进而提高收益。
当前,云计算的设计和销售模式中,用户购买指定大小的虚拟化计算服务是获得了完全匹配的虚拟化资源量。在用户购买了虚拟化计算资源,运行了自己的网络服务之后,云服务提供商通常还需要为其提供网络安全服务,以保障其网络服务的正常运行和访问速度,同时保障自身平台的安全性。这一服务已成为各大云服务提供商的基础服务,即使用户不购买额外的安全处理功能,也必须提供最基础的网络服务访问安全质量保障。
而这一部分虚拟化网路安全功能的资源开销是可以由云服务提供商自主控制和弹性调整的。同时,这一部分的数据流量也是变化波动较大的,例如当用户将数据写入虚拟化计算资源期间,又如当用户网络服务迎来高峰期时,就有较大的数据带宽需求,对应了较大的数据带宽安全需求;当用户服务开始计算处理新写入的数据时,或网络服务进入低谷期,此时的通信带宽大量闲置,若此时以高峰期的带宽给该用户分配了较大的安全处理资源,就造成的极大的浪费。
发明内容
本发明的目的在于克服现有技术的不足,提供一种弹性用户云计算资源的安全保护方法,实现用户对闲置虚拟化资源的充分利用,以及用户流量激增时的动态处理。
为实现上述发明目的,本发明一种弹性用户云计算资源的安全保护方法,其特征在于,包括以下步骤:
(1)、初始化网络拓扑G
(1.1)、记录G中所有节点node信息,包括节点编号node_id和节点CPU数量node_cpu_num;
(1.2)、记录G中所有链路edge信息,包括链路编号edge_id、链路带宽容量edge_bw和链路权重W,并初始化W=1;
(2)、设置安全服务功能CPU-BW映射表集合
为每种安全服务功能设置一个CPU-BW映射表,所有类型的安全服务功能对应的CPU-BW映射表构成安全服务功能CPU-BW映射表集合;
(3)、设置K最短路(K-Shortest Path,KSP)多级索引数据结构ksp_dict,其中,ksp_dict中存储由起始节点编号和终止节点编号对应的索引,一级索引为起始节点编号,二级索引为终止节点编号,对应值为K最短路信息;
(4)、设置用户安全需求集合T和用户安全解决方案集合S
(4.1)、设置用户安全需求集合T,并初始化T为空集;其中,T中存储的元素为用户安全需求t,t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF,SF的格式为:SF={sf1,sf2,…,sfu},共计u个用户安全处理服务功能类型sf;
(4.2)、设置用户安全解决方案集合S,并初始化S为空集;其中,S中存储的元素为用户安全解决方案s,s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC;
其中,R_SUM的格式为:R_SUM={r1,r2,…,ru},ru表示第u个用户安全处理服务功能所占用的总CPU数量;
SFC的格式为:SFC={sfc1,sfc2,…,sfcq},且所有安全服务功能链按照安全服务功能链长度递增的方式排列,sfcq表示第q个安全服务功能链sfc;
进一步地,每个安全服务功能链sfc包括安全服务功能实例集合SFI,SFI的格式为:SFI={sfi1,sfi2,…sfiu},sfiu表示第u个用户的安全服务功能实例sfi,每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH;其中,R的格式为:R={r1,r2,…ru},PATH的格式为:PATH={node_id0,node_id1,…,node_idv},其中,node_id0是起始节点编号,node_idv是终止节点编号;
(5)、用户安全需求处理
(5.1)、开启安全需求监听线程,监听T中是否有未处理的用户安全需求t,如果有,则取出未处理的t,进入步骤(5.2),否则,跳转至步骤(6);
(5.2)、设置用户安全需求t对应的用户安全解决方案s,并初始化s中bw_sum值为bw值;通过bw_sum查找到对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中r;初始化SFC为空集;
(5.3)、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;
(5.4)、从K最短路径中,筛选出路径剩余带宽最小值大于bw,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp;
(5.5)、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;
(5.6)、遍历sp中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;
(5.7)、将sfc加入到SFC中,并将s加入S中,然后返回至步骤(5.1);
(6)、业务带宽处理
(6.1)、设置遍历因子i,初始化i的值为1;
(6.2)、若i小于等于S集合的大小,则执行步骤(6.3),否则,跳转至步骤(6.4);
(6.3)、取S中第i个解决方案s,并对s进行弹性管理;
(6.3.1)、设置多余带宽bwrest,并初始化bwrest等于bw_sum减去s对应用户业务数据的当前带宽;
(6.3.2)、将bw_sum赋值为s对应用户业务数据的当前带宽;
(6.3.3)、设置遍历因子j,初始化j的值为SFC的集合大小;
(6.3.4)、比较遍历因子j的大小,若j大于0,则取SFC中第j个sfc,并对第j个sfc执行以下子步骤;否则,跳转至步骤(6.3.5);
(6.3.4.1)、设置待释放带宽bwrelease,若bwrest小于bw,则初始化bwrelease值为bwrest;否则,初始化bwrelease值为bw;
(6.3.4.2)、将bw减去bwrelease的差值重新赋值给bw,如果赋值后的bw为0,则将sfc从SFC中移除;同时,根据对应sfi的安全服务功能类型获取对应的CPU-BW映射表,再通过带宽大小bwrelease查找安全服务功能所需减少的CPU数量,将各sfi对应的CPU数量值r进行自减;
(6.3.4.3)、将bwrest减去bwrelease的差值重新赋值给bwrest,如果赋值后的bwrest为0,则跳转至步骤(6.4);
(6.3.4.4)、将j自减1,并跳转至步骤(6.3.4);
(6.3.5)、将i自增1,并跳转至步骤(6.2);
(6.4)、重新初始化i的值为1;
(6.5)、若i小于等于当前sfi的数量,则取出第i个sfi,并执行以下子步骤,否则,跳转至步骤(7);
(6.5.1)、设置当前sfi的弹性优化范围为sfi关联的所有sfc的链路交集;
(6.5.2)、在弹性优化范围内,寻找相同类型的sfi,计算每个可合并sfi的合并收益,作为备选方案;
(6.5.3)、判断当前是否存在备选方案,如果有备选方案,则在弹性优化范围内选择备选方案对多个sfi进行合并,然后将i赋值为1,进入步骤(7);否则,i自增1,返回步骤(6.5);
(7)、资源弹性管理
(7.1)、依次检查所有用户业务数据的带宽大小,找到第一个用户业务数据的带宽超过该用户对应的安全解决方案s所能处理的总带宽bw_sum的用户,然后进入步骤(7.2);若所有用户中均未找到,则跳转至步骤(8);
(7.2)、设置安全服务需要增加的带宽容量bwadd,并初始化bwadd值为找到的用户的业务数据带宽减去该用户对应的安全解决方案s所能处理的总带宽bw_sum的差值;
(7.3)、修改该用户安全解决方案s,将bw_sum与bwadd的和重新赋值给bw_sum;然后,根据对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中的r;
(7.4)、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;
(7.5)、从K最短路径中,筛选出路径剩余带宽最小值大于bwadd,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp*
(7.6)、在sp*中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;
(7.7)、遍历sp*中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;
(7.8)、将sfc加入到SFC中,然后重复步骤(7.1);
(8)、弹性用户云计算资源的安全服务结束。
本发明的发明目的是这样实现的:
本发明一种弹性用户云计算资源的安全保护方法,从用户的历史带宽使用量去预测用户未来一段时间内的带宽使用情况,然后将预测带宽与额定带宽之间的差值对应的安全处理资源用于为其他用户提供同样的安全服务;而当原用户使用超过预测带宽时,立即为共享安全处理资源的其他用户创建新的安全处理资源进行承载,同时保证了原用户的安全服务质量;这样使云服务提供商有了动态分配基础安全处理功能的能力,又能为用户和自身平台提供安全保障,同时还节省了虚拟化资源。
同时,本发明一种弹性用户云计算资源的安全保护方法还具有以下有益效果:
(1)、高利用率;本发明所提出的弹性安全保护方法,结合虚拟机与容器技术,在保障已有安全服务的同时,能够更加充分利用计算资源。
(2)、可靠性;本发明在提供了安全功能服务的同时,保障了用户业务流增长时的安全可靠。
(3)、兼容性;本发明对底层的云服务支撑平台没有特殊的限制要求,仅针对所需的安全服务部署与调度进行优化。
附图说明
图1是本发明一种弹性用户云计算资源的安全保护方法流程图;
图2是用户安全需求处理流程图;
图3是业务带宽处理流程图;
图4是弹性资源管理流程图。
具体实施方式
下面结合附图对本发明的具体实施方式进行描述,以便本领域的技术人员更好地理解本发明。需要特别提醒注意的是,在以下的描述中,当已知功能和设计的详细描述也许会淡化本发明的主要内容时,这些描述在这里将被忽略。
实施例
图1是本发明一种弹性用户云计算资源的安全保护方法流程图。
在本实施例中,如图1所示,本发明一种弹性用户云计算资源的安全保护方法,包括以下步骤:
S1、初始化网络拓扑G
安全保护网络是为云计算资源提供安全保护方法的基础,安全保护网络拓扑应由交换设备(物理交换机)与计算设备(物理服务器)以及物理链路组成。交换设备与物理链路组成交换网络。每台交换设备通过物理链路连接若干台计算设备,并且一台计算设备只能连接一台交换设备;
S1.1、记录G中所有节点node信息,节点node为一个逻辑概念,是一台交换设备及其相连接的所有计算设备整合而成的,节点node信息包括节点编号node_id和节点CPU数量node_cpu_num;
S1.2、记录G中所有链路edge信息,包括链路编号edge_id、链路带宽容量edge_bw和链路权重W,并初始化W=1。
S2、设置安全服务功能CPU-BW映射表集合
为每种安全服务功能设置一个CPU-BW映射表,所有类型的安全服务功能对应的CPU-BW映射表构成安全服务功能CPU-BW映射表集合;其中,安全服务功能CPU-BW映射表支持双向索引,用于存放每种安全服务功能需要的CPU数量及对应的最大带宽容量BW。
S3、设置K最短路(K-Shortest Path,KSP)多级索引数据结构ksp_dict,其中,K最短路信息是由K个较短路径信息组成的列表,并以较短路径信息中路径长度递增的形式排列,具体保存格式为:起始节点与终止节点之间所有路径经过的节点的编号;ksp_dict中存储由起始节点编号和终止节点编号对应的索引,一级索引为起始节点编号,二级索引为终止节点编号,对应值为K最短路信息。
S4、设置用户安全需求集合T和用户安全解决方案集合S
S4.1、设置用户安全需求集合T,并初始化T为空集;其中,T中存储的元素为用户安全需求t,t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF,SF的格式为:SF={sf1,sf2,…,sfu},共计u个用户安全处理服务功能类型sf;
S4.2、设置用户安全解决方案集合S,并初始化S为空集;其中,S中存储的元素为用户安全解决方案s,s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC;
其中,R_SUM的格式为:R_SUM={r1,r2,…,ru},ru表示第u个用户安全处理服务功能所占用的总CPU数量;
SFC的格式为:SFC={sfc1,sfc2,…,sfcq},且所有安全服务功能链按照安全服务功能链长度递增的方式排列,sfcq表示第q个安全服务功能链sfc;
进一步地,每个安全服务功能链sfc包括安全服务功能实例集合SFI,SFI的格式为:SFI={sfi1,sfi2,…sfiu},sfiu表示第u个用户的安全服务功能实例sfi,每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH;其中,R的格式为:R={r1,r2,…ru},PATH的格式为:PATH={node_id0,node_id1,…,node_idv},其中,node_id0是起始节点编号,node_idv是终止节点编号;
S5、用户安全需求处理,如图2所示;
S5.1、开启安全需求监听线程,监听T中是否有未处理的用户安全需求t,如果有,则取出未处理的t,进入步骤S5.2,否则,跳转至步骤S6;
S5.2、设置用户安全需求t对应的用户安全解决方案s,并初始化s中bw_sum值为bw值;通过bw_sum查找到对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中r;初始化SFC为空集;
S5.3、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;
S5.4、从K最短路径中,筛选出路径剩余带宽最小值大于bw,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp;
S5.5、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;
S5.6、遍历sp中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;
S5.7、将sfc加入到SFC中,并将s加入S中,然后返回至步骤S5.1;
S6、业务带宽处理,具体流程如图3所示;
S6.1、设置遍历因子i,初始化i的值为1;
S6.2、若i小于等于S集合的大小,则执行步骤S6.3,否则,跳转至步骤S6.4;
S6.3、取S中第i个解决方案s,并对s进行弹性管理;
S6.3.1、设置多余带宽bwrest,并初始化bwrest等于bw_sum减去s对应用户业务数据的当前带宽;
S6.3.2、将bw_sum赋值为s对应用户业务数据的当前带宽;
S6.3.3、设置遍历因子j,初始化j的值为SFC的集合大小;
S6.3.4、比较遍历因子j的大小,若j大于0,则取SFC中第j个sfc,并对第j个sfc执行以下子步骤;否则,跳转至步骤S6.3.5;
S6.3.4.1、设置待释放带宽bwrelease,若btswer小于bw,则初始化bwrelease值为bwrest;否则,初始化bwrelease值为bw;
S6.3.4.2、将bw减去bwrelease的差值重新赋值给bw,如果赋值后的bw为0,则将sfc从SFC中移除;同时,根据对应sfi的安全服务功能类型获取对应的CPU-BW映射表,再通过带宽大小bwrelease查找安全服务功能所需减少的CPU数量,将各sfi对应的CPU数量值r进行自减;
S6.3.4.3、将btswer减去bwrelease的差值重新赋值给bwrest,如果赋值后的bwrest为0,则跳转至步骤S6.4;
S6.3.4.4、将j自减1,并跳转至步骤S6.3.4;
S6.3.5、将i自增1,并跳转至步骤S6.2;
S6.4、重新初始化i的值为1;
S6.5、若i小于等于当前sfi的数量,则取出第i个sfi,并执行以下子步骤,否则,跳转至步骤S7;
S6.5.1、设置当前sfi的弹性优化范围为sfi关联的所有sfc的链路交集;
S6.5.2、在弹性优化范围内,寻找相同类型的sfi,计算每个可合并sfi的合并收益,作为备选方案;
在本实施例中,合并收益的计算方式为:每个sfi所占用的资源为整型数值,而承载的相关服务功能链的某一项服务功能类型所消耗的资源为浮点型数值,因而,将多个sfi相关部分闲置资源合并,当闲置资源量大于1后便可以释放相关整型数值的资源,而合并开销主要为sfi合并所需成本,可根据实际***应用而确定。
S6.5.3、判断当前是否存在备选方案,如果有备选方案,则在弹性优化范围内选择备选方案对多个sfi进行合并,然后将i赋值为1,进入步骤S7;否则,i自增1,返回步骤S6.5;
S7、资源弹性管理,具体流程如图4所示;
S7.1、依次检查所有用户业务数据的带宽大小,找到第一个用户业务数据的带宽超过该用户对应的安全解决方案s所能处理的总带宽bw_sum的用户,然后进入步骤S7.2;若所有用户中均未找到,则跳转至步骤S8;
S7.2、设置安全服务需要增加的带宽容量bwadd,并初始化bwadd值为找到的用户的业务数据带宽减去该用户对应的安全解决方案s所能处理的总带宽bw_sum的差值;
S7.3、修改该用户安全解决方案s,将bw_sum与bwadd的和重新赋值给bw_sum;然后,根据对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中的r;
S7.4、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;
S7.5、从K最短路径中,筛选出路径剩余带宽最小值大于bwadd,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp*
S7.6、在sp*中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;
S7.7、遍历sp*中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;
S7.8、将sfc加入到SFC中,然后重复步骤S7.1;
S8、弹性用户云计算资源的安全服务结束。
尽管上面对本发明说明性的具体实施方式进行了描述,以便于本技术领域的技术人员理解本发明,但应该清楚,本发明不限于具体实施方式的范围,对本技术领域的普通技术人员来讲,只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内,这些变化是显而易见的,一切利用本发明构思的发明创造均在保护之列。

Claims (4)

1.一种弹性用户云计算资源的安全保护方法,其特征在于,包括以下步骤:
(1)、初始化网络拓扑G
(1.1)、记录G中所有节点node信息,包括节点编号node_id和节点CPU数量node_cpu_num;
(1.2)、记录G中所有链路edge信息,包括链路编号edge_id、链路带宽容量edge_bw和链路权重W,并初始化W=1;
(2)、设置安全服务功能CPU-BW映射表集合
为每种安全服务功能设置一个CPU-BW映射表,所有类型的安全服务功能对应的CPU-BW映射表构成安全服务功能CPU-BW映射表集合;
(3)、设置K最短路(K-Shortest Path,KSP)多级索引数据结构ksp_dict,其中,ksp_dict中存储由起始节点编号和终止节点编号对应的索引,一级索引为起始节点编号,二级索引为终止节点编号,对应值为K最短路信息;
(4)、设置用户安全需求集合T和用户安全解决方案集合S
(4.1)、设置用户安全需求集合T,并初始化T为空集;其中,T中存储的元素为用户安全需求t,t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF,SF的格式为:SF={sf1,sf2,…,sfu},共计u个用户安全处理服务功能类型sf;
(4.2)、设置用户安全解决方案集合S,并初始化S为空集;其中,S中存储的元素为用户安全解决方案s,s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC;
其中,R_SUM的格式为:R_SUM={r1,r2,…,ru},ru表示第u个用户安全处理服务功能所占用的总CPU数量;
SFC的格式为:SFC={sfc1,sfc2,…,sfcq},且所有安全服务功能链按照安全服务功能链长度递增的方式排列,sfcq表示第q个安全服务功能链sfc;
进一步地,每个安全服务功能链sfc包括安全服务功能实例集合SFI,SFI的格式为:SFI={sfi1,sfi2,…sfiu},sfiu表示第u个用户的安全服务功能实例sfi,每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH;其中,R的格式为:R={r1,r2,…ru},PATH的格式为:PATH={node_id0,node_id1,…,node_idv},其中,node_id0是起始节点编号,node_idv是终止节点编号;
(5)、用户用户安全需求处理
(5.1)、开启安全需求监听线程,监听T中是否有未处理的用户安全需求t,如果有,则取出未处理的t,进入步骤(5.2),否则,跳转至步骤(6);
(5.2)、设置用户安全需求t对应的用户安全解决方案s,并初始化s中bw_sum值为bw值;通过bw_sum查找到对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中r;初始化SFC为空集;
(5.3)、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;
(5.4)、从K最短路径中,筛选出路径剩余带宽最小值大于bw,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp;
(5.5)、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;
(5.6)、遍历sp中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;
(5.7)、将sfc加入到SFC中,并将s加入S中,然后返回至步骤(5.1);
(6)、业务带宽处理
(6.1)、设置遍历因子i,初始化i的值为1;
(6.2)、若i小于等于S集合的大小,则执行步骤(6.3),否则,跳转至步骤(6.4);
(6.3)、取S中第i个解决方案s,并对s进行弹性管理;
(6.3.1)、设置多余带宽bwrest,并初始化bwrest等于bw_sum减去s对应用户业务数据的当前带宽;
(6.3.2)、将bw_sum赋值为s对应用户业务数据的当前带宽;
(6.3.3)、设置遍历因子j,初始化j的值为SFC的集合大小;
(6.3.4)、比较遍历因子j的大小,若j大于0,则取SFC中第j个sfc,并对第j个sfc执行以下子步骤;否则,跳转至步骤(6.3.5);
(6.3.4.1)、设置待释放带宽bwrelease,若bwrest小于bw,则初始化bwrelease值为bwrest;否则,初始化bwrelease值为bw;
(6.3.4.2)、将bw去bwrelease的差值重新赋值给bw,如果赋值后的bw为0,则将sfc从SFC中移除;同时,根据对应sfi的安全服务功能类型获取对应的CPU-BW映射表,再通过带宽大小bwrelease查找安全服务功能所需减少的CPU数量,将各sfi对应的CPU数量值r进行自减;
(6.3.4.3)、将bwrest减去bwrelease的差值重新赋值给bwrest,如果赋值后的bwrest为0,则跳转至步骤(6.4);
(6.3.4.4)、将j自减1,并跳转至步骤(6.3.4);
(6.3.5)、将i自增1,并跳转至步骤(6.2);
(6.4)、重新初始化i的值为1;
(6.5)、若i小于等于当前sfi的数量,则取出第i个sfi,并执行以下子步骤,否则,跳转至步骤(7);
(6.5.1)、设置当前sfi的弹性优化范围为sfi关联的所有sfc的链路交集;
(6.5.2)、在弹性优化范围内,寻找相同类型的sfi,计算每个可合并sfi的合并收益,作为备选方案;
(6.5.3)、判断当前是否存在备选方案,如果有备选方案,则在弹性优化范围内选择备选方案对多个sfi进行合并,然后将i赋值为1,进入步骤(7);否则,i自增1,返回步骤(6.5);
(7)、资源弹性管理
(7.1)、依次检查所有用户业务数据的带宽大小,找到第一个用户业务数据的带宽超过该用户对应的安全解决方案s所能处理的总带宽bw_sum的用户,然后进入步骤(7.2);若所有用户中均未找到,则跳转至步骤(8);
(7.2)、设置安全服务需要增加的带宽容量bwadd,并初始化bwadd值为找到的用户的业务数据带宽减去该用户对应的安全解决方案s所能处理的总带宽bw_sum的差值;
(7.3)、修改该用户安全解决方案s,将bw_sum与bwadd的和重新赋值给bw_sum;然后,根据对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中的r;
(7.4)、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;
(7.5)、从K最短路径中,筛选出路径剩余带宽最小值大于bwadd,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp*
(7.6)、在sp*中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;
(7.7)、遍历sp*中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;
(7.8)、将sfc加入到SFC中,然后重复步骤(7.1);
(8)、弹性用户云计算资源的安全服务结束。
2.根据权利要求1所述的一种弹性用户云计算资源的安全保护方法,其特征在于,所述的安全服务功能CPU-BW映射表支持双向索引,用于存放每种安全服务功能需要的CPU数量及对应的最大带宽容量BW。
3.根据权利要求1所述的一种弹性用户云计算资源的安全保护方法,其特征在于,所述的K最短路信息是由K个较短路径信息组成的列表,并以较短路径信息中路径长度递增的形式排列,具体保存格式为:起始节点与终止节点之间所有路径经过的节点的编号。
4.根据权利要求1所述的一种弹性用户云计算资源的安全保护方法,其特征在于,所述的合并收益的计算方式为:将相同类型的sfi对应的闲置资源进行合并,并作为合并收益。
CN201910412090.8A 2019-05-17 2019-05-17 一种弹性用户云计算资源的安全保护方法 Expired - Fee Related CN110120978B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910412090.8A CN110120978B (zh) 2019-05-17 2019-05-17 一种弹性用户云计算资源的安全保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910412090.8A CN110120978B (zh) 2019-05-17 2019-05-17 一种弹性用户云计算资源的安全保护方法

Publications (2)

Publication Number Publication Date
CN110120978A true CN110120978A (zh) 2019-08-13
CN110120978B CN110120978B (zh) 2021-05-14

Family

ID=67522548

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910412090.8A Expired - Fee Related CN110120978B (zh) 2019-05-17 2019-05-17 一种弹性用户云计算资源的安全保护方法

Country Status (1)

Country Link
CN (1) CN110120978B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113225211A (zh) * 2021-04-27 2021-08-06 中国人民解放军空军工程大学 细粒度的服务功能链扩展方法
CN114666223A (zh) * 2020-12-04 2022-06-24 ***通信集团设计院有限公司 云计算资源池处理方法、装置及可读存储介质

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580120A (zh) * 2013-10-28 2015-04-29 北京启明星辰信息技术股份有限公司 一种可按需服务的虚拟化网络入侵检测方法和装置
CN105955824A (zh) * 2016-04-21 2016-09-21 华为技术有限公司 一种虚拟资源配置方法以及装置
CN106254154A (zh) * 2016-09-19 2016-12-21 杭州华三通信技术有限公司 一种资源共享方法和装置
CN106411941A (zh) * 2016-11-24 2017-02-15 济南浪潮高新科技投资发展有限公司 一种云环境下安全认证资源分配和管理方法
US20170104847A1 (en) * 2015-10-12 2017-04-13 Fujitsu Limited Vertex-centric service function chaining in multi-domain networks
CN107332913A (zh) * 2017-07-04 2017-11-07 电子科技大学 一种5g移动网络中服务功能链的优化部署方法
CN108063830A (zh) * 2018-01-26 2018-05-22 重庆邮电大学 一种基于mdp的网络切片动态资源分配方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104580120A (zh) * 2013-10-28 2015-04-29 北京启明星辰信息技术股份有限公司 一种可按需服务的虚拟化网络入侵检测方法和装置
US20170104847A1 (en) * 2015-10-12 2017-04-13 Fujitsu Limited Vertex-centric service function chaining in multi-domain networks
CN105955824A (zh) * 2016-04-21 2016-09-21 华为技术有限公司 一种虚拟资源配置方法以及装置
CN106254154A (zh) * 2016-09-19 2016-12-21 杭州华三通信技术有限公司 一种资源共享方法和装置
CN106411941A (zh) * 2016-11-24 2017-02-15 济南浪潮高新科技投资发展有限公司 一种云环境下安全认证资源分配和管理方法
CN107332913A (zh) * 2017-07-04 2017-11-07 电子科技大学 一种5g移动网络中服务功能链的优化部署方法
CN108063830A (zh) * 2018-01-26 2018-05-22 重庆邮电大学 一种基于mdp的网络切片动态资源分配方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114666223A (zh) * 2020-12-04 2022-06-24 ***通信集团设计院有限公司 云计算资源池处理方法、装置及可读存储介质
CN114666223B (zh) * 2020-12-04 2023-11-21 ***通信集团设计院有限公司 云计算资源池处理方法、装置及可读存储介质
CN113225211A (zh) * 2021-04-27 2021-08-06 中国人民解放军空军工程大学 细粒度的服务功能链扩展方法
CN113225211B (zh) * 2021-04-27 2022-09-02 中国人民解放军空军工程大学 细粒度的服务功能链扩展方法

Also Published As

Publication number Publication date
CN110120978B (zh) 2021-05-14

Similar Documents

Publication Publication Date Title
CN103369027B (zh) 混合云环境中的位置感知虚拟服务配备
CN103827825B (zh) 虚拟资源对象组件
US9417903B2 (en) Storage management for a cluster of integrated computing systems comprising integrated resource infrastructure using storage resource agents and synchronized inter-system storage priority map
CN105103506B (zh) 用于为云计算网络中的非均匀带宽请求分配带宽的方法和***
EP2652594B1 (en) Multi-tenant, high-density container service for hosting stateful and stateless middleware components
CN105242956B (zh) 虚拟功能服务链部署***及其部署方法
CN103825964B (zh) 一种基于云计算PaaS平台的SLS调度装置和方法
CN104468803B (zh) 一种虚拟数据中心资源映射方法和设备
CN104335182A (zh) 基于云的应用的单点故障消除的方法和装置
CN109445802A (zh) 基于容器的私有化Paas平台及其发布应用的方法
CN104601680B (zh) 一种资源管理方法及装置
CN105468435A (zh) Nfv动态资源分配方法
CN103747107B (zh) 一种兼容式云操作平台及其实现方法
Elmroth et al. Self-management challenges for multi-cloud architectures
Wang et al. Bandwidth guaranteed virtual network function placement and scaling in datacenter networks
CN108667867A (zh) 数据存储方法及装置
Grönkvist Accelerating column generation for aircraft scheduling using constraint propagation
CN109327319A (zh) 部署网络切片的方法、设备及***
US11093288B2 (en) Systems and methods for cluster resource balancing in a hyper-converged infrastructure
CN110120978A (zh) 一种弹性用户云计算资源的安全保护方法
CN109639498B (zh) 一种基于sdn与nfv的面向业务质量的资源柔性配置方法
CN107967175A (zh) 一种基于多目标优化的资源调度***及方法
CN109471725A (zh) 资源分配方法、装置和服务器
CN106961440B (zh) 基于企业级资源运行监控管理的云平台
CN106385330A (zh) 一种网络功能虚拟化编排器的实现方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210514

CF01 Termination of patent right due to non-payment of annual fee