CN111770070A - 一种基于sdn的安全服务链聚合部署方法 - Google Patents

一种基于sdn的安全服务链聚合部署方法 Download PDF

Info

Publication number
CN111770070A
CN111770070A CN202010573027.5A CN202010573027A CN111770070A CN 111770070 A CN111770070 A CN 111770070A CN 202010573027 A CN202010573027 A CN 202010573027A CN 111770070 A CN111770070 A CN 111770070A
Authority
CN
China
Prior art keywords
service chain
network function
safety
node
deployment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010573027.5A
Other languages
English (en)
Inventor
刘蓓
葛洪武
贾哲
朱晓明
赵海强
李炳彰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CETC 54 Research Institute
Original Assignee
CETC 54 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by CETC 54 Research Institute filed Critical CETC 54 Research Institute
Priority to CN202010573027.5A priority Critical patent/CN111770070A/zh
Publication of CN111770070A publication Critical patent/CN111770070A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提出了一种基于SDN的安全服务链聚合部署方法,涉及网络安全技术领域。该方法首先将底层物理网络拓扑抽象为无向加权图,然后构造安全网络功能类型的集合,并定义二进制变量,接着对安全服务链的部署问题进行数学建模,最后,在安全服务链的部署过程中,采用贪心算法,对部署问题进行求解,按照求解的结果对安全服务链进行聚合部署。本发明能够在满足安全功能资源需求以及安全服务链带宽、时延需求的前提下,在最小化安全网络功能实例化的数目以降低网络开销的同时,最小化重部署安全网络功能的数目,解决了安全服务链的部署问题。

Description

一种基于SDN的安全服务链聚合部署方法
技术领域
本发明涉及网络安全技术领域,特别涉及一种基于SDN的安全服务链聚合部署方法。
背景技术
软件定义网络(Software Defined Network,SDN)的基本思想是将控制平面和数据平面的分离解耦,底层抽象为数据转发平面,上层抽象为控制平面,以集中管理方式进行网络资源的管理与监控,并且提供可编程能力的北向接口以及全局网络拓扑视图功能,通过南向标准协议OpenFlow协议对数据转发层面的设备进行灵活的控制,进而有效的提高了网络的整体性能与转发效率。
网络功能虚拟化(Network Functions Virtualisation,NFV)主要由电信运营商提出并推动的,通过虚拟化技术,利用标准x86服务器、存储器或交换机来承载各种网络软件功能。NFV将软件功能从硬件中解耦出来,实现了软件功能在数据中心、网络节点等位置的灵活加载、部署和配置,从而提高应用部署的速度以及设备的利用率等。
软件定义安全(Software Defined Security,SDS)是指借鉴于SDN的控制与转发分离的技术思想,将传统的硬件安全设备解耦成标准的通用性硬件和安全软件功能,上层开放可编程的接口,实现自动化、灵活的编排和管理;底层抽象为由虚拟化安全设备组成的集中管理的安全资源池,实现安全资源的统一注册、池化管理和弹性部署。
安全服务链(Security Service Chain,SSC)是一种服务功能链(ServiceFunction Chain,SFC),定义了一组有序的抽象服务功能(Service Function,SF),并定义了必须应用于分类结果所选的数据包/流的安全策略,主要完成SF间的流调度。
针对用户的安全需求生成的服务链,需要选择一条满足安全服务能力以及资源需求的路径。但是,现有技术中尚缺少高效的安全服务链部署方式。
发明内容
有鉴于此,本发明提出一种基于SDN的安全服务链聚合部署方法,该方法能够在满足安全功能资源需求以及安全服务链带宽、时延需求的前提下,在最小化安全网络功能实例化的数目以降低网络开销的同时,最小化重部署安全网络功能的数目,提高安全服务链的部署效率。
为了实现上述目的,本发明采用的技术方案为:
一种基于SDN的安全服务链聚合部署方法,包括以下步骤:
(1)将底层物理网络拓扑抽象为无向加权图G=(V,E),其中,V是底层物理网络中节点的集合,E是底层物理网络中链路的集合,V中每一节点m的资源容量表示为wm,E中每一链路(m,n)的最大带宽容量表示为wmn,链路(m,n)的时延表示为lmn
(2)构造安全网络功能类型的集合F,F中每一实例化类型f的安全网络功能所需要的资源耗费量为df;构造安全服务链的集合C,C中每一安全服务链c能容忍的最大时延为qc,长度为lc,安全服务链c中第k个安全网络功能为ck,第k+1个安全网络功能为ck+1,ck所需要的资源量为
Figure BDA0002550327180000021
ck与ck+1之间的链路带宽为
Figure BDA0002550327180000022
(3)定义二进制变量
Figure BDA0002550327180000023
以及
Figure BDA0002550327180000024
对于
Figure BDA0002550327180000025
如果安全网络功能ck的类型为f,则其值为1,否则其值为0;对于
Figure BDA0002550327180000026
如果安全网络功能ck部署在节点v上,则其值为1,否则其值为0;
Figure BDA0002550327180000027
表示安全网络功能ck聚合前的部署状态;对于
Figure BDA0002550327180000028
如果安全服务链c中的(ck,ck+1)之间的路径经过链路(m,n),则其值为1,否则其值为0;对于
Figure BDA0002550327180000029
如果有类型为f的安全网络功能部署在节点v上,则其值为1,否则其值为0;
(4)对安全服务链的部署问题进行数学建模,约束条件如下:
Figure BDA00025503271800000210
Figure BDA0002550327180000031
Figure BDA0002550327180000032
Figure BDA0002550327180000033
Figure BDA0002550327180000034
优化目标是:
1)最小化安全网络功能实例化的数目,即:
Figure BDA0002550327180000035
2)最小化重部署安全网络功能的数目,即:
Figure BDA0002550327180000036
其中,
Figure BDA0002550327180000037
表示与物理节点m处于一跳链路的其它物理节点的集合,loadmn表示链路(m,n)的实际流量带宽;
(5)在安全服务链的部署过程中,采用贪心算法,对步骤(4)的部署问题进行求解,按照求解的结果对安全服务链进行聚合部署。
进一步的,所述步骤(5)中,采用贪心算法,对步骤(4)的部署问题进行求解的具体方式为:
(501)为每种安全网络功能分别在节点v上找出其最大候选集合,即,在迭代过程中,在集合candSetf中实时存储满足要求的安全网络功能需求,同时对集合candSetf进行计数,并计算节点v上可为f提供的剩余资源容量,如果节点v上没有实例化的安全网络功能f,则扣除实例化f所需的资源;
(502)为每种安全网络功能类型分别找出其最大的候选集合,即,对集合candSetf中的安全网络功能需求进行筛选剔除,使筛选后集合candSetf中的每一安全网络功能需求均同时满足节点和链路的资源容量需求;待该节点的资源容量耗尽或者f类型的所有安全网络功能需求均经过计算后,得到筛选后的集合candSetf
(503)当所有类型的安全网络功能均迭代完成后,选出元素数量最多的筛选后的集合candSetf,该集合即为部署问题的求解结果。
本发明与现有技术相比,取得的有益效果为:
本发明针对用户不同的安全服务需求,从安全功能合并的角度提出了一种基于SDN的安全服务链聚合部署方法,对多条安全服务链进行合理映射,在满足功能需求、节点容量需求以及链路带宽需求的情况下,同时考虑最小化安全网络功能实例化的数目以及最小化重部署安全网络功能的数目。
附图说明
图1为安全服务链的示意图;
图2为安全服务链的部署示意图;
图3为安全服务链部署算法示意图;
图4为最大候选集合选择算法示意图;
图5是安全功能合并后安全服务链的部署示例图。
具体实施方式
下面,结合附图对本发明的技术方案做进一步说明。
一种基于SDN的安全服务链聚合部署方法,安全服务链的通用形式如图1所示,其中安全功能负责接收数据包的特定处理,可作为续集元件或物理元件实现。该方法对多条安全服务链进行合理映射,在满足功能需求、节点容量需求以及链路带宽需求的情况下,最小化安全网络功能实例化的数目即降低网络的成本并减少重部署安全网络功能的数目。该方法包含以下步骤:
首先,如图2所示,将底层物理网络拓扑抽象为无向加权图G=(V,E),其中集合V是网络中的节点,用wv表示节点v∈V的资源容量;集合E是网络中的链路,用wmn表示链路(m,n)∈E的带宽容量,lmn表示链路(m,n)∈E的时延。
其次,用F表示安全网络功能的种类集合,df表示实例化类型f的安全功能所需要的资源耗费量。用C表示安全服务链的集合,安全服务链c能容忍的最大时延为qc,长度为lc,链c中第k个安全功能为ck,ck所需要的资源量为
Figure BDA0002550327180000051
ck与ck+1之间的链路带宽为
Figure BDA0002550327180000052
该步骤将安全服务链中某个安全网络功能所需的资源分为实例化该安全网络功能的***资源df以及该安全网络功能承载业务所需资源
Figure BDA0002550327180000053
同时,定义二进制变量
Figure BDA0002550327180000054
对于
Figure BDA0002550327180000055
如果安全功能ck的类型为f,其值为1,反之则为0;对于如果安全功能ck部署在节点v上,其值为1,反之则为0;
Figure BDA0002550327180000057
表示安全功能ck聚合前的部署状态,如图2所示;对于
Figure BDA0002550327180000058
如果安全服务链c中的(ck,ck+1)之间的路径经过链路(m,n)则为1,否则为0;对于
Figure BDA0002550327180000059
如果有类型为f的安全功能部署在节点v上,其值为1,即:
Figure BDA00025503271800000510
因此,安全服务链的部署问题就是所有安全功能、以及安全功能之间的流量在底层网络G=(V,E)的映射问题,对其进行数学建模。
任意一条安全服务链中的每一个安全功能都必须且只能映射到一个物理节点上:
Figure BDA00025503271800000511
对网络中的任意一个物理节点,部署在其上的网络功能所需要的资源量总和必须小于等于该节点能够提供的最大资源量,安全功能所需要的资源量不仅包括网络功能本身需要的处理资源,也包括将该网络功能实例化在节点上所需要的资源:
Figure BDA00025503271800000512
该公式的含义是,每个物理节点能承载的资源不能超过df
Figure BDA00025503271800000513
这两个种类资源之和。
对网络中的任意一条链路,经过该链路的所有服务功能链的带宽之和不能超过该链路的最大带宽限制,则有:
Figure BDA0002550327180000061
考虑到网络中流量守恒的限制,对每条安全服务链中的每一段链路,都有约束:
Figure BDA0002550327180000062
同时,我们需要保障每条安全服务链的端到端时延要求:
Figure BDA0002550327180000063
优化目标是:
1)最小化安全网络功能实例化的数目
Figure BDA0002550327180000064
2)最小化重部署安全网络功能的数目
Figure BDA0002550327180000065
最后,在安全服务链的部署过程中,采用贪心算法,如图3所示,对第三步描述的数学问题进行求解,如果能得到满足需求的解,则按照求解的结果对安全服务链进行部署,部署结果如图5所示。
算法的输入是底层的物理网络拓扑、安全网络功能的种类集合以及当前的部署机制,输出是合并后部署下的网络拓扑。
首先对网络中的节点按容量大小降序排列,然后对每个节点v初始可行的安全功能集合,对每种安全网络功能f创建安全网络功能需求集合Sf,并按安全网络功能对节点资源的需求大小对集合中元素升序排列。
在算法的主循环中,每次迭代找出一种安全网络功能,在当前剩余容量最大的节点上其能承载的最大安全网络功能需求候选集合Sfmax,然后在该节点上实例化安全网络功能f,并将Sfmax的需求配置在该节点上并更新算法中集合参数。如果节点v没有可选择的网络功能需求集合,则被剔除。
其中最大候选集合选择(Largest Candidate Set Selection,LCSS)算法具体如图4所示。首先为每种安全网络功能分别在节点v上找出其最大候选集合,即在迭代过程中,用candSetf存储适合的安全功能需求,用countf对其进行计数,avaCapf表示节点v上可为f可提供的剩余资源容量,如果节点v上并没有实例化的安全网络功能f,则需先扣除实例化f所需的资源。接下来,为每种安全网络功能类型分别找出其最大的候选集合。对每一个被添加到candSetf的元素,均需同时满足节点和链路的资源容量需求。为降低算法复杂度,本发明为每条安全服务链预算计算好满足时延需求的备选路径集。该节点资源容量耗尽或者f类型的所有安全网络功能需求均经过计算后,得到了最终的candSetf。当所有类型安全网络功能迭代完成后,选出countf最大的candSetf,即最终计算的集合。
对安全服务链来说,满足其端到端时延需求的路径是有限的,本方法可为每条安全服务链(或者起始端与终止端***)预先计算出满足时延要求的路径集合,从而能够大幅度降低算法的搜索空间。
总之,本发明针对用户不同的安全服务需求,从安全功能合并的角度提出了一种基于SDN的安全服务链聚合部署方法,对多条安全服务链进行合理映射,在满足功能需求、节点容量需求以及链路带宽需求的情况下,同时考虑最小化安全网络功能实例化的数目以及最小化重部署安全网络功能的数目。

Claims (2)

1.一种基于SDN的安全服务链聚合部署方法,其特征在于,包括以下步骤:
(1)将底层物理网络拓扑抽象为无向加权图G=(V,E),其中,V是底层物理网络中节点的集合,E是底层物理网络中链路的集合,V中每一节点m的资源容量表示为wm,E中每一链路(m,n)的最大带宽容量表示为wmn,链路(m,n)的时延表示为lmn
(2)构造安全网络功能类型的集合F,F中每一实例化类型f的安全网络功能所需要的资源耗费量为df;构造安全服务链的集合C,C中每一安全服务链c能容忍的最大时延为qc,长度为lc,安全服务链c中第k个安全网络功能为ck,第k+1个安全网络功能为ck+1,ck所需要的资源量为
Figure FDA0002550327170000011
ck与ck+1之间的链路带宽为
Figure FDA0002550327170000012
(3)定义二进制变量
Figure FDA0002550327170000013
以及
Figure FDA0002550327170000014
对于
Figure FDA0002550327170000015
如果安全网络功能ck的类型为f,则其值为1,否则其值为0;对于
Figure FDA0002550327170000016
如果安全网络功能ck部署在节点v上,则其值为1,否则其值为0;
Figure FDA0002550327170000017
表示安全网络功能ck聚合前的部署状态;对于
Figure FDA0002550327170000018
如果安全服务链c中的(ck,ck+1)之间的路径经过链路(m,n),则其值为1,否则其值为0;对于
Figure FDA0002550327170000019
如果有类型为f的安全网络功能部署在节点v上,则其值为1,否则其值为0;
(4)对安全服务链的部署问题进行数学建模,约束条件如下:
Figure FDA00025503271700000110
Figure FDA00025503271700000111
Figure FDA00025503271700000112
Figure FDA0002550327170000021
Figure FDA0002550327170000022
优化目标是:
1)最小化安全网络功能实例化的数目,即:
Figure FDA0002550327170000023
2)最小化重部署安全网络功能的数目,即:
Figure FDA0002550327170000024
其中,
Figure FDA0002550327170000025
表示与物理节点m处于一跳链路的其它物理节点的集合,loadmn表示链路(m,n)的实际流量带宽;
(5)在安全服务链的部署过程中,采用贪心算法,对步骤(4)的部署问题进行求解,按照求解的结果对安全服务链进行聚合部署。
2.根据权利要求1所述的一种基于SDN的安全服务链聚合部署方法,其特征在于,所述步骤(5)中,采用贪心算法,对步骤(4)的部署问题进行求解的具体方式为:
(501)为每种安全网络功能分别在节点v上找出其最大候选集合,即,在迭代过程中,在集合candSetf中实时存储满足要求的安全网络功能需求,同时对集合candSetf进行计数,并计算节点v上可为f提供的剩余资源容量,如果节点v上没有实例化的安全网络功能f,则扣除实例化f所需的资源;
(502)为每种安全网络功能类型分别找出其最大的候选集合,即,对集合candSetf中的安全网络功能需求进行筛选剔除,使筛选后集合candSetf中的每一安全网络功能需求均同时满足节点和链路的资源容量需求;待该节点的资源容量耗尽或者f类型的所有安全网络功能需求均经过计算后,得到筛选后的集合candSetf
(503)当所有类型的安全网络功能均迭代完成后,选出元素数量最多的筛选后的集合candSetf,该集合即为部署问题的求解结果。
CN202010573027.5A 2020-06-22 2020-06-22 一种基于sdn的安全服务链聚合部署方法 Pending CN111770070A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010573027.5A CN111770070A (zh) 2020-06-22 2020-06-22 一种基于sdn的安全服务链聚合部署方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010573027.5A CN111770070A (zh) 2020-06-22 2020-06-22 一种基于sdn的安全服务链聚合部署方法

Publications (1)

Publication Number Publication Date
CN111770070A true CN111770070A (zh) 2020-10-13

Family

ID=72721518

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010573027.5A Pending CN111770070A (zh) 2020-06-22 2020-06-22 一种基于sdn的安全服务链聚合部署方法

Country Status (1)

Country Link
CN (1) CN111770070A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113507411A (zh) * 2021-06-10 2021-10-15 中国联合网络通信集团有限公司 一种路径选择方法、装置、设备及存储介质
CN114124818A (zh) * 2021-11-11 2022-03-01 广东工业大学 一种sdn网络中多播传输的新增功能节点部署优化方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018000240A1 (en) * 2016-06-29 2018-01-04 Orange Method and system for the optimisation of deployment of virtual network functions in a communications network that uses software defined networking
CN107682203A (zh) * 2017-10-30 2018-02-09 北京计算机技术及应用研究所 一种基于服务链的安全功能部署方法
CN110505082A (zh) * 2019-07-26 2019-11-26 国家电网有限公司 一种面向成本和QoS的NFV服务链映射方法
CN111245735A (zh) * 2020-01-20 2020-06-05 中国电子科技集团公司第五十四研究所 一种sdn环境下保证服务质量的流量调度方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018000240A1 (en) * 2016-06-29 2018-01-04 Orange Method and system for the optimisation of deployment of virtual network functions in a communications network that uses software defined networking
CN107682203A (zh) * 2017-10-30 2018-02-09 北京计算机技术及应用研究所 一种基于服务链的安全功能部署方法
CN110505082A (zh) * 2019-07-26 2019-11-26 国家电网有限公司 一种面向成本和QoS的NFV服务链映射方法
CN111245735A (zh) * 2020-01-20 2020-06-05 中国电子科技集团公司第五十四研究所 一种sdn环境下保证服务质量的流量调度方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘蓓: "基于NFV的网络中虚拟服务功能链的部署和迁移", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113507411A (zh) * 2021-06-10 2021-10-15 中国联合网络通信集团有限公司 一种路径选择方法、装置、设备及存储介质
CN114124818A (zh) * 2021-11-11 2022-03-01 广东工业大学 一种sdn网络中多播传输的新增功能节点部署优化方法
CN114124818B (zh) * 2021-11-11 2023-07-04 广东工业大学 一种sdn网络中多播传输的新增功能节点部署优化方法

Similar Documents

Publication Publication Date Title
CN108521375B (zh) 一种基于SDN的网络多业务流量QoS的传输及调度方法
CN108260169B (zh) 一种基于QoS保障的服务功能链动态部署方法
CN109981438B (zh) 一种面向sdn和nfv协同部署框架的卫星网络负载均衡方法
CN107666412B (zh) 服务功能链的虚拟网络功能部署方法
Hong et al. Achieving high utilization with software-driven WAN
CN107682203B (zh) 一种基于服务链的安全功能部署方法
US7969886B1 (en) Bandwidth allocation for hierarchical telecommunications networks
CN112738820A (zh) 一种服务功能链的动态部署方法、装置及计算机设备
CN100356757C (zh) 光因特网络的服务质量控制方法
Lombardo et al. An analytical tool for performance evaluation of software defined networking services
CN109412963B (zh) 一种基于流拆分的服务功能链部署方法
CN110275437B (zh) Sdn网络流量优势监控节点动态选择***及其方法
CN111770070A (zh) 一种基于sdn的安全服务链聚合部署方法
CN111245735B (zh) 一种sdn环境下保证服务质量的流量调度方法
CN113490279B (zh) 一种网络切片配置方法及装置
CN103746852A (zh) 业务路由配置方法及网络管理设备
CN108092895A (zh) 一种软件定义网络联合路由选择及网络功能部署方法
CN105847146B (zh) 一种提高层次分布式sdn控制平面路由效率的方法
CN110266593A (zh) 一种基于流量监控的自适应路由切换云网络***
CN114258074A (zh) 一种基于耦合带宽分配并具有时延QoS保障的VNF部署方法
Kamboj et al. A qos-aware routing based on bandwidth management in software-defined iot network
CN108243066A (zh) 低延迟的网络服务请求部署方法
Pang et al. Research on SDN-based data center network traffic management and optimization
CN110417576B (zh) 混合软件自定义网络的部署方法、装置、设备及存储介质
RU2684571C1 (ru) Способ и система для оптимизации иерархической многоуровневой транспортной сети связи

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20201013