CN116886309A - 智融标识网络的切片安全映射方法及*** - Google Patents
智融标识网络的切片安全映射方法及*** Download PDFInfo
- Publication number
- CN116886309A CN116886309A CN202310839075.8A CN202310839075A CN116886309A CN 116886309 A CN116886309 A CN 116886309A CN 202310839075 A CN202310839075 A CN 202310839075A CN 116886309 A CN116886309 A CN 116886309A
- Authority
- CN
- China
- Prior art keywords
- slice
- user
- network
- slicing
- algorithm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013507 mapping Methods 0.000 title claims abstract description 107
- 238000000034 method Methods 0.000 title claims abstract description 84
- 238000004422 calculation algorithm Methods 0.000 claims abstract description 130
- 230000008569 process Effects 0.000 claims abstract description 44
- 230000005540 biological transmission Effects 0.000 claims abstract description 32
- 230000011664 signaling Effects 0.000 claims abstract description 28
- 230000003993 interaction Effects 0.000 claims abstract description 20
- 230000006870 function Effects 0.000 claims description 119
- 238000007726 management method Methods 0.000 claims description 28
- 239000013598 vector Substances 0.000 claims description 25
- 230000007246 mechanism Effects 0.000 claims description 20
- 238000004590 computer program Methods 0.000 claims description 15
- 230000004927 fusion Effects 0.000 claims description 15
- 239000002245 particle Substances 0.000 claims description 14
- 238000012545 processing Methods 0.000 claims description 14
- 230000008901 benefit Effects 0.000 claims description 13
- 238000013519 translation Methods 0.000 claims description 11
- 230000006399 behavior Effects 0.000 claims description 10
- 238000011156 evaluation Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 6
- 238000003860 storage Methods 0.000 claims description 5
- 238000004806 packaging method and process Methods 0.000 claims description 4
- 230000008447 perception Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 230000002159 abnormal effect Effects 0.000 claims description 3
- 238000009795 derivation Methods 0.000 claims description 3
- 238000013468 resource allocation Methods 0.000 claims description 2
- 230000006854 communication Effects 0.000 abstract description 19
- 238000004891 communication Methods 0.000 abstract description 18
- 238000011084 recovery Methods 0.000 abstract description 4
- 238000013524 data verification Methods 0.000 abstract description 3
- 238000013461 design Methods 0.000 description 31
- 238000001514 detection method Methods 0.000 description 21
- 239000000523 sample Substances 0.000 description 18
- 230000009471 action Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 11
- 238000004364 calculation method Methods 0.000 description 9
- 239000008186 active pharmaceutical agent Substances 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000005538 encapsulation Methods 0.000 description 7
- 238000005457 optimization Methods 0.000 description 7
- 238000003064 k means clustering Methods 0.000 description 5
- 238000011160 research Methods 0.000 description 5
- 230000007547 defect Effects 0.000 description 4
- 239000004973 liquid crystal related substance Substances 0.000 description 4
- 230000006978 adaptation Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000009826 distribution Methods 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 230000002068 genetic effect Effects 0.000 description 2
- 230000010354 integration Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 238000012384 transportation and delivery Methods 0.000 description 2
- 235000017304 Ruaghas Nutrition 0.000 description 1
- 241000554738 Rusa Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000003213 activating effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000001152 differential interference contrast microscopy Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 238000004064 recycling Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012216 screening Methods 0.000 description 1
- 238000011524 similarity measure Methods 0.000 description 1
- 239000010454 slate Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
- 230000007306 turnover Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
- H04L41/122—Discovery or management of network topologies of virtualised topologies, e.g. software-defined networks [SDN] or network function virtualisation [NFV]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0414—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden during transmission, i.e. party's identity is protected against eavesdropping, e.g. by using temporary identifiers, but is known to the other party or parties involved in the communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种智融标识网络的切片安全映射方法及***,属于物联网通信技术领域,本发明提供了高可用的切片***对外接入的API,能够以较快速率和较低成本对用户请求做出响应,提升了用户身份数据校验的效率及面对重放攻击时的***表现,实现了记录用户互动行为的功能;能够准确反映用户的使用需求,实现在切片使用过程中节点不可用时的VNF容灾切换功能;通过安全编排算法,在提升资源利用率、成本利润率等条件下,引入安全控制的约束,提高了编排算法的安全性能;对编排信令进行数据加密;实现数据层的可编程传输转发功能,对底层传输设备进行切片网络的构建,将用户数据转为不同网络协议形式的切片数据在网络中传输。
Description
技术领域
本发明涉及物联网通信技术领域,具体涉及一种智融标识网络的切片安全映射方法及***。
背景技术
传统互联网架构旨在提升网络的通用性与异构性,随着网络的规模不断扩大与应用场景逐渐增多,传统互联网架构携带数据但不知其数据具体意义的弊端也逐渐显现。面对如今多样化的业务需求,传统互联网架构难以对其进行管理和控制,且不易衡量性能指标,网络安全问题也层出不穷,研究人员开始逐步探索新型的网络架构。
网络功能虚拟化NFV等技术的发展使虚拟化机制成为了互联网的重要架构属性之一,其核心思想是使得多个虚拟网络共享同一套物理基础设施,在其上承载不同的通信协议与支持不同的虚拟功能等。Kim等提出了一个利用多资源基础设施的网络架构,它可以应用NFV技术,使网络运营商基于不同网络协议体系,在相同基础设备上运行多种端到端的网络定制服务,将虚拟化技术拓展到了共享设备上。Albert等提出了4D网络架构,将网络分为四种平面:决策面、传播面、发现面与数据面,将决策逻辑与转发逻辑分离,路由器和交换机会在决策平面的要求下转发分组,收集测量数据以帮助决策面控制网络。物联网推动着物理世界与虚拟世界的融合,越来越多的资源被虚拟化和软件定义化,智能环境框架中的传感器设备通过NFV等技术提供着丰富的信息。美国国家科学基金会提出了GENI计划,分析了传统互联网的缺陷与下一代互联网的技术走向,由此提出了提升网络性能的一系列措施,成为了新型互联网架构的研究热点之一。上述新型互联网架构在决策控制与数据平面转发等层面进行了创新与探索,但在面对网络切片这种需要高度集中资源与服务的新技术时,仍无法满足资源间的集中控制协作要求和切片用户群体庞大的个人定制需求。为此张宏科院士团队基于标识网络与智慧标识网络概念,提出了SINET,能够结合切片编排策略灵活实现虚拟网络功能的连接与映射,为用户提供端到端的定制化的切片服务。
SINET通过整合多维资源,满足个性化服务需求,其整体架构分为三层:智慧服务层、资源适配层和网络组件层。智慧服务层负责管理描述切片服务的标识和以及一些特定的行为,此外还负责管理标识和行为之间的映射关系。资源适配层可以根据智慧服务层发布的服务需求,动态匹配对应的网络切片编排算法,对VNF资源进行管理,并将编排结果发送到网络组件层,生成对应的NSI。网络组件层根据编排映射结果,设计数据层面的转发逻辑,构建切片实体并完成通信数据的交付和网络信息的收集。SINET实现了网络集成服务体系,在保证通信服务的基本性能要求上,提出了实现网络切片的差异化服务、统一调度和管理。SINET可以支持将现有网络资源抽象为逻辑服务,将用户的业务需求转换为抽象资源的调用需求,通过收集底层网络的参数信息和切片用户的相关需求,构建模型来描述切片状态。
切片***多以RESTful API的形式对切片用户提供用户认证服务,REST的含义是表述性状态传递(Representational State Transfer,REST),是一种软件架构风格,由Roy在2000年提出。REST是一种针对网络应用的设计和开发方式,优点是降低了开发复杂性并提高了***可伸缩性。REST定义了一组体系架构原则,使开发人员可以按照该原则,通过HTTP方式处理和传输网络资源的状态。针对用户使用RESTful API接入服务***的安全问题,国内外学者展开了一系列研究。具体地,Tao等提出基于RESTful架构的资源白名单和令牌检查机制,该机制在降低网络攻击风险的同时,可以减少高级安全域服务器的压力。Serme等指出现在的主流服务提供商正在转向基于REST的服务,并提出一种REST安全协议来提供安全的服务通信,利用证书签名、对称加密等方法保证通信安全性。Hittu等介绍了物联网中的中间件通过RESTful API公开设备数据并隐藏细节,从而作为用户与传感器数据交互的接口。Huang等为保护RESTful API的交互信息不被窃取,提出了一种基于令牌的用户认证机制,客户端使用公共令牌、私有令牌和时间戳生成一次性令牌,交由服务器验证,使得每次通信只在固定的时间段内有效。
切片需要经过编排部署才能在底层网络中实现数据转发功能,5G切片网络以用户为中心,改变了传统网络单一化的服务模式,基于通用共享基础设施为不同用户提供按需定制的服务,切片编排过程中对VNF的部署算法需要满足用户的QoS需求,编排算法需要具备高效率、高性能性和高安全性的要求。现有技术中基于不同优化目标设计了不同的切片编排部署算法。具体地,Cao等基于多种遗传算法,将带宽消耗和最大链路利用率作为优化目标,提出了切片的VNF布局优化算法。Savi等以提升切片编排性能为目标,提出了下文切换成本和升级成本的概念,作为多个VNF之间共享资源的约束条件。Liang等针对切片部署存在的侧通道攻击风险,提出了一种基于分组的VNF编排映射策略,以牺牲部分资源利用率等编排效益为代价,提升了编排映射的安全性。Khettab等提出了一种自动缩放切片的算法,解决切片网络的灵活性和弹性支持等为切片管理带来的安全问题。Zahedi等以最小化切片编排过程中的总功耗为优化目标,提出了基于遗传算法的启发式和元启发式模型来优化切片编排过程。Zhu等建立了一种博弈机制来调节切片资源的映射方案,以降低网络成本。Baumgartner等以最小化映射成本为优化目标,结合网络拓扑优化方案提出了一种线性规划算法。Cohen等提出一种近似算法,优化目标为减少映射成本和减少切片编排映射带来的运营成本。蒋等提出了SecPSO算法,基于粒子群算法,将网络物理链路资源利用率和网络收益作为优化目标,以切片安全隔离评估值为约束条件,优化网络切片的映射编排过程。
在VNF映射的物理节点发生宕机,或因病毒攻击等不同攻击方式导致节点不可用时,会使映射在该节点上的VNF集合不可用,此时需要进行切片重构以恢复切片的正常功能,以此为场景的研究主要围绕可生存性的虚拟网络映射(Survivable Virtual NetworkEmbedding,SVNE)方法展开。Wang等提出了一种基于节点重要性测量的VNF节点备份机制,通过备份关键虚拟网络功能节点来提高网络切片的可靠性。Chowdhury等提出了一套VNF映射专用保护机制,为单个VNF的每个维度的资源提供冗余互斥的备份资源,使得网络可以快速恢复。Kibalya等提出了一种基于多级图的切片重构算法,允许非关键用户使用高优先级用户未使用的备份资源,并降低其可能经历的抢占概率。Rahman等提出了一种启发式混合策略,利用预先保留的配额在每个物理链路上对VNF进行备份。Hu等提出了一个VNF映射框架来处理单个物理节点故障,故障节点若运行着某个虚拟网络服务,该框架会将该节点进行恢复,并使其执行的服务具备生存能力。
申请号为CN202210003854X的中国发明专利申请公开了一种基于粒子群遗传的网络切片编排算法,该技术在使用上有如下不足之处:在进行安全认证鉴权后,没有将用户认证信息融入到切片映射编排方案中,没有有效通过用户信息提升映射安全性;映射算法只关注到了性能和收益上的收敛效益,忽略了过度重复利用容器可能造成的信息泄露等安全风险,映射算法的安全性有待提升;切片映射只能利用IPV4网络,不能适应今后多网络协议共存的网络背景。
申请号为CN2021115984643的中国发明专利申请公开了一种基于5G的网络切片资源编排与映射方法,该技术在使用上有如下不足之处:描述的保证切片可靠性指切片生命周期的完整性,切片使用过程中的认证安全性、映射环节中数据泄露安全性、数据传输过程中的安全性依然没有保障;缺乏一套统一的标识描述服务管理机制,拓展性较差。
综上,网络切片的构建与编排已成为研究热点,然而网络切片构建与编排过程中暴露出的安全问题对切片的可用性与应用推广提出巨大的挑战;一方面,切片***交互接口的用户认证机制尚不完善,缺乏统一的数据校验与防止重放攻击的安全保障;另一方面,目前切片编排算法集中于优化编排性能与收益,尚未关注同驻攻击对切片构成的安全威胁。
发明内容
本发明的目的在于提供一种智融标识网络的切片安全映射方法及***,以解决上述背景技术中存在的至少一项技术问题。
为了实现上述目的,本发明采取了如下技术方案:
一方面,本发明提供一种智融标识网络的切片安全映射***,包括:
用户认证模块,用于实现切片用户访问智融标识网络切片***时的身份认证,采用签名认证算法在切片***和用户之间建立可信任的访问通道;
切片控制模块,用于接收处理数据传输模块收集到的拓扑信息,将用户的切片使用意图映射为待启动的虚拟网络功能单元VNF集合,在VNF产生故障或节点不可用时提供VNF的水平重构切换;
切片编排模块,用于采用切片编排算法将切片控制模块生成的VNF列表在底层网络进行编排映射,采用基于SM9的加密算法,利用用户身份标识对编排信息进行加密;
数据传输模块,用于将切片编排模块生成的编排映射结果在网络组件层的可编程功能节点上实现,利用数据平面的可编程语言P4来实现切片的转发逻辑,将用户数据封装为不同类型的切片进行传输,基于INT的带内感知遥测对切片拓扑进行全局感知与记录。
第二方面,本发明提供一种利用如上所述的***实现的智融标识网络的切片安全映射方法,包括:
切片用户访问智融标识网络切片***时的身份认证,采用签名认证算法在切片***和用户之间建立可信任的访问通道;
接收处理数据传输模块收集到的拓扑信息,将用户的切片使用意图映射为待启动的虚拟网络功能单元VNF集合,在VNF产生故障或节点不可用时提供VNF的水平重构切换;
采用切片编排算法将切片控制模块生成的VNF列表在底层网络进行编排映射,采用基于SM9的加密算法,利用用户身份标识对编排信息进行加密;
将切片编排模块生成的编排映射结果在网络组件层的可编程功能节点上实现,利用数据平面的可编程语言P4来实现切片的转发逻辑,将用户数据封装为不同类型的切片进行传输,基于INT的带内感知遥测对切片拓扑进行全局感知与记录。
第三方面,本发明提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质用于存储计算机指令,所述计算机指令被处理器执行时,实现如上所述的智融标识网络的切片安全映射方法。
第四方面,本发明提供一种计算机程序产品,包括计算机程序,所述计算机程序当在一个或多个处理器上运行时,用于实现如上所述的智融标识网络的切片安全映射方法。
第五方面,本发明提供一种电子设备,包括:处理器、存储器以及计算机程序;其中,处理器与存储器连接,计算机程序被存储在存储器中,当电子设备运行时,所述处理器执行所述存储器存储的计算机程序,以使电子设备执行实现如上所述的智融标识网络的切片安全映射方法的指令。
术语解释:
①软件定义网络:Software Defined Network,软件定义网络是由美国斯坦福大学Clean-Slate课题研究组提出的一种新型网络创新架构,是网络虚拟化的一种实现方式。其核心技术OpenFlow通过将网络设备的控制面与数据面分离开来,从而实现了网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供了良好的平台。
②P4可编程数据平面:Programming Protocol-independent PacketProcessors,P4是一种用于网络设备的域特定语言,指定数据平面设备(交换机、NIC、路由器、过滤器等)如何处理数据包。
③智融标识网络:Smart Integration Identifier Networking,SINET是一种新型网络体系架构,由北京交通大学张宏科院士团队提出,其前身为标识网络和智慧标识网络。
④网络切片:Network Slicing,网络切片是一种虚拟化,它允许在一个共享的物理网络基础架构上,运行多个逻辑网络。每个逻辑网络之间是隔离的,并且能提供定制的网络特性,如带宽、延时、容量等。同时,每个逻辑网络里除了网络资源外,还包含了计算和存储资源。
⑤网络切片实例:Network Slice instance,NSI是实现网络切片概念的核心,它是一个端到端的逻辑网络,包含了一系列的网络功能、资源和连接关系。
⑥网络功能虚拟化:Network Functions Virtualization,NFV利用虚拟化技术,将网络节点阶层的功能分割成几个功能区块,分别以软件方式实作,不再拘限于硬件架构。
⑦虚拟网络功能:Virtual Network Function,VNF是在NFV背景下运行的网络功能。
⑧带内网络遥测:In-bandNetwork Telemetry,INT是一种直接从数据平面上采集和报告网络状态的网络监控框架。
本发明有益效果:基于智融标识网络的切片安全编排机制,提高了用户认证与切片编排过程的安全性,为切片提供水平容灾方案,完成切片数据的交付与网络信息的收集;提出基于用户信任度与签名摘要的切片用户认证算法,能够校验交互过程并提高认证效率,减少请求数据长度与***响应时间,提高用户请求接受率;提出基于意图翻译和k-means聚类的切片重构算法,能够构建切片向量模型,完成用户需求与可用虚拟网络功能之间的映射过程,完成不可用节点上虚拟网络功能的水平替换,提高切片的可用性与容灾能力;提出基于映射安全水平的切片编排算法,能够在提高编排性能的同时,使映射安全水平高于门限值,提高切片编排过程中的安全性;此外,利用用户身份标识,对映射信令进行基于SM9的加解密处理,保护切片用户的数据隐私安全;提出基于P4的构建切片与带内网络遥测算法,能够按需定制不同协议类型的切片,包括IPv4切片、IPv6切片和智融标识网络切片,实时收集网络信息,包括带宽、队列深度和时延等。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例所述的智融标识网络切片安全编排机制模型功能原理图。
图2为本发明实施例所述的切片安全编排机制***功能原理图。
图3为本发明实施例所述的用户认证模块流程图。
图4为本发明实施例所述的HMAC-SHA256算法步骤流程图。
图5为本发明实施例所述的标识映射及管理工作流程示意图。
图6为本发明实施例所述的切片生命周期管理模块图。
图7为本发明实施例所述的信令安全加解密模块功能原理框图。
图8为本发明实施例所述的切片数据包报头解析流程图。
图9为本发明实施例所述的带内感知遥测子模块的INT报头格式图。
图10为本发明实施例所述的带内感知遥测模块运作模型结构图。
图11为本发明实施例所述的带内感知遥测模块数据包处理流程图。
图12为本发明实施例所述的带内感知遥测子模块中可编程功能节点在接受到数据包时处理的流程图。
其中:1-子网网关路由;2-接入控制设备;3-切片控制器;4-可编程功能节点;5-编排控制器;6-切片转发设备。
具体实施方式
下面详细叙述本发明的实施方式,所述实施方式的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过附图描述的实施方式是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本领域技术人员应该理解,附图只是实施例的示意图,附图中的部件并不一定是实施本发明所必须的。
网络切片通过共享公共物理基础设施,在其上创建多个逻辑隔离的虚拟网络,以此来满足不同切片用户和网络服务提供商提出的通信需求。NFV、云网络和SDN等技术使得网络切片***能够根据用户需求映射为VNF集合,通过连接各个VNF单元构成NSI,将NSI映射在底层网络组件等通用设备中运行切片功能。在上述背景下,如何以较低的时间、金钱等成本进行编排过程中的安全性设计成为网络切片推广应用的重要挑战。
因此,本实施例中设计了切片安全编排机制需要具备以下特点:
(1)提供高可用的切片***对外接入的API,能够以较快速率和较低成本对用户请求做出响应,提升用户身份数据校验的效率及面对重放攻击时的***表现,实现记录用户互动行为的功能。
(2)实现将用户的切片使用需求与切片***中可用VNF的相似性映射功能,能够准确反映用户的使用需求,其次实现在切片使用过程中节点不可用时的VNF容灾切换功能。
(3)考虑同驻一套基础设备的VNF的使用过程中潜在的数据泄露与攻击风险,实现一种安全编排算法,在提升资源利用率、成本利润率等条件下,引入安全控制的约束,提高编排算法的安全性能。同时对编排信令进行数据加密,保证用户数据的隐私安全。
(4)实现数据层的可编程传输转发功能,对底层传输设备进行切片网络的构建,将用户数据转为不同网络协议形式的切片数据在网络中传输。此外将切片拓扑中的资源信息等进行探测与日志记录等,实现带内网络遥测功能。
智融标识网络切片安全编排机制模型设计如图1所示。切片用户接入智融标识网络切片***时,发送携带接入数据的请求数据包,数据包经过子网网关路由1后,到达位于智慧服务层的接入控制设备2。请求数据包会在接入控制设备2处进行用户认证,认证结束后接入请求若被切片控制***判定为合法请求,会对用户的配置信息进行分析处理,并将这部分用户配置信息通过控制链路中的切片转发设备6传递到由切片控制器3组成的切片控制集群。切片控制集群将对服务标识进行管理,为该用户、接入位置以及联络终端和位置以及后续服务分配相应标识,分析用户历史交互行为与网络状况,计算出本次切片交互的用户信任度属性,并将相关信息记录到数据库中。切片控制集群会定时进行全局网络状态感知,分析可编程功能节点4以及各链路的使用情况和剩余资源分布情况,在此基础上构造虚拟及物理网络资源的分布模型。在获得可用资源情况和用户配置情况后,进行用户意图翻译工作,根据用户的功能和性能需求匹配最佳的VNF,生成编排配置信息,为用户提供服务。切片控制集群同时还承担切片生命周期的管理功能,通过对切片使用情况和状态的监测,提供切片重构、下线等服务。
切片控制集群将编排配置信息通过控制链路发送到位于资源适配层的由编排控制器5组成的编排控制集群,编排控制集群具有管理切片编排映射算法的功能,根据用户需求、VNF和请求链路的需求选择编排算法,结合用户信任度属性,在保证编排效益的情况下,为网络组件层下发切片映射信令,编排算法将保证编排结果的安全性。相关映射信令将得到信令安全加密处理,以防映射信令受到篡改和伪造等。
切片映射信令下发到位于网络组件层的可编程功能节点4后,可编程功能节点4将对用户数据进行切片封装与转发。这些可编程功能节点4搭载有P4数据平面可编程语言,通过预设转发逻辑来为不同数据包匹配相应的封装与转发逻辑,通过定期进行网络拓扑资源收集,将拓扑信息反馈到智慧服务层,这些节点具备多协议协同转发功能,可以适配具有复杂协议的网络。
本实施例中,切片安全编排机制***设计如下图2所示,共分为四个模块,分别为:用户认证模块、切片控制模块、切片编排模块和数据传输模块。
各模块具体功能如下:
(1)用户认证模块负责实现切片用户访问智融标识网络切片***时的身份认证,即在切片***中识别操作员的数字身份,验证访问人员身份的合法性。本模块采用签名认证算法在切片***和用户之间建立可信任的访问通道,其中认证算法包括:摘要算法和签名算法。本模块提出信任度算法为切片生命周期管理、编排算法管理提供数据支持。
(2)切片控制模块负责实现智融标识网络切片***的核心控制功能。切片控制模块支持多种控制器应用协作,保障切片***的正常运行周转功能。本模块的输入是用户配置信息,接收到用户配置信息后,通过用户意图翻译模块对用户关于切片的资源需求进行分析,虚拟/物理网络资源管理模块在整理***资源后将相应资源数据量提供给用户意图翻译模块,从而进行资源的匹配,整个服务过程都将得到智融标识网络的服务标识管理与监控,参与到切片的生命周期管理中,将切片编排配置传输给切片编排模块。
(3)切片编排模块负责实现智融标识网络切片在网络组件层的映射过程。本模块包括编排算法管理模块、信令安全加密和切片编排控制集群。编排算法管理负责分析用户需求和网络情况,采用不同的切片编排映射方法来满足用户对切片使用的性能需求,设计了智融标识网络切片编排算法,在保证编排收益的同时,使得编排满足一定的安全需求。信令安全加密模块可以保障切片映射命令传输过程中的信息安全,增强映射环节安全性。切片编排控制集群负责将相应编排命令映射到网络组件层,组成网络切片实体,高可靠、高有效地构建切片网络,监测切片状态。
(4)数据传输模块负责实现网络组件层的数据传输功能。本模块通过INT收集处理网络拓扑信息,为切片编排模块提供网络实时资源信息,结合P4可编程数据平面编写数据层转发命令,具备重复配置性、平台无关性、协议无关性的特点,采用多种协议的切片形式灵活传输用户数据,为切片控制模块提供数据支持。
本实施例中,用户认证模块需要保障切片用户通过对外API访问智融标识网络切片***的访问安全性,此模块流程图如图3所示。通过服务标识管理服务给予本次访问过程标识管理,并将相关数据存入数据库中以供查询。在确认用户身份的访问合法性后,获取用户对切片的使用需求,并根据用户信任度算法给予访问过程信任度的标识管理,为切片编排提供安全属性的数据准备。
本实施例中,对于用户签名认证子模块的设计如下:
切片用户在访问智融标识网络切片***并申请切片资源时,根据自身的带宽需求、可接受的时延需求、安全性需求等需求选择切片类型,生成相应的用户需求元数据。这部分用户需求元数据将通过摘要算法计算出数据摘要,摘要算法对智融标识网络切片***和切片用户是公开的,本实施中采用的摘要算法是将用户请求的关键字段进行拼接,SummaryData由SINET_Access_Key、TypeData、MD5Data、SignatureMethod和Timestamp组成。其中,SummaryData是经过拼接得到的数据摘要。SINET_Access_Key保存了切片用户的身份信息,智融标识网络切片***据此进行用户身份核验,TypeData保存了切片用户的业务请求信息,MD5Data是对业务请求信息加密保护后产生的序列,可以避免请求信息被截获后的篡改或伪造,SignatureMethod可以由用户指定其他签名算法,Timestamp保存了切片用户请求过程的有效期,用于抵御重放攻击。数据摘要SummaryData结合切片密钥在签名算法下生成唯一签名,签名算法对智融标识网络切片***也是公开的,通常为散列算法或加密算法,本模块采用散列算法HMAC-SHA256来作为签名认证时的签名算法。
HMAC-SHA256算法是一种通过SHA-256方法来产生哈希值的HMAC算法,HMAC算法的过程如公式(4-1)所示:
其中k为密钥,k'为根据k推导出的密钥,m为需要进行签名认证的消息,H为密码HASH函数,stuff为比特填充。
HMAC-SHA256算法如公式(4-2)所示:
其中SHA256为SHA-256加密算法,输出的散列值长度为256比特。
HMAC-SHA256算法的步骤如图4所示,首先计算密钥k',如果密钥k的长度小于SHA-256的长度512比特,需要在密钥k的比特末尾添加0直到密钥k的长度为512比特,此时得到密钥k';若密钥k的长度大于512比特,此时密钥k'为密钥k经过SHA-256函数处理得到的散列值。SHA-256是一种哈希函数,它可以将任意长度的消息转化为长度为256比特的哈希值,转化过程首先将待处理的消息切分为a个长度为512比特的子消息,其中最后一个子消息进行比特补全,再进行a次子消息迭代,最后的迭代结果就是长度为256比特的哈希值。将得到的密钥k',与将00110110比特序列循环填充至512比特的序列进行异或运算,得到长度为512比特的序列结果SA。将该序列结果拼接到需要进行签名认证的消息m的首部,并将拼接结果作为SHA-256函数的输入,输出长度为256比特的哈希值HA。密钥k'再与将01011100比特序列循环填充至512比特的序列进行异或运算,得到长度为512比特的序列结果SB。将HA拼接在SB之后,并将拼接结果作为SHA-256函数的输入,输出得到长度为256比特的用户签名。最终切片用户将请求元数据及生成的用户签名发送到智融标识网络切片***的接入控制设备。
接入控制设备在获取到切片用户发来的数据序列后,根据已公开的摘要算法计算获取到摘要,再根据HMAC-SHA256算法,经过上述步骤的计算得到用户签名,通过对比该签名与切片用户请求携带的签名的幂等性,验证该切片用户访问请求的合法性。
本实施例中,对于用户信任度子模块的设计如下:
在完成对切片用户请求的合法性验证后,用户认证模块将根据该用户的历史交互行为,结合交互评价机制对本次切片用户的访问接入行为作出评估,计算其用户信任度。
设用户的互动值Vn计算方式如公式(4-3)所示:
其中,n为切片用户访问智融标识网络切片***的历史次数,本***通过队列Q来记录切片用户的历史访问数据,长度为l,当切片用户的历史访问统计次数大于l时,将清除队列首部访问记录较早的用户数据。α为系数因子,可以调节各历史阶段存在的切片用户访问数据对信任度计算的影响幅度,使发生时间较近的访问数据对信任度的修正幅度更大。ηi为第i次切片用户访问智融标识网络切片***的安全评估数据,评估正常时为一个正数ηp,评估为非正常访问数据时得到一个负数fiηn,其中fi为调节因子,计算过程如公式(4-4)所示:
其中,Vi-1为切片用户最近一次访问时的互动值。
本实施例中通过Logistic曲线模拟切片用户信任度变化趋势,如公式(4-5)所示:
其中,D(0)是初始信任度,F为信任度最大限值,a调节曲线变化幅度,且a>0。将切片用户的互动值Vn代入公式(4-5),并设F=1,可得到本次用户访问的信任度如公式(4-6)所示:
其中, 的数值越小表明信任度越低。
智融标识网络切片***的智慧服务层可以根据用户信任度,结合自身访问控制策略来调整切片用户的访问权限。首先,根据用户的信任程度对用户进行划分。如果用户具备历史交互行为评价较差,计算得到相对较低的信任度,即D<L,其中L为信任度访问门限,将拒绝用户使用切片资源。如果用户具备历史交互行为评价满足策略,即D>L,则允许用户短期访问切片资源,其中若信任度较高,即D>H>L,H为可信任阈值,则允许用户长期访问切片资源。通过引入切片用户信任度概念,设置用户访问的有效持续时间,可以提高访问决策的效率,并实现用户对资源访问权限的动态变化。
此外,用户信任度还将作为收敛条件之一加入到切片编排算法中,结合网络可用资源共同调整切片编排策略,提升编排效益的同时,可以增强编排的安全性与可靠性。
本实施例中,对于切片控制模块,此模块负责接收处理数据传输模块收集到的拓扑信息,将用户的切片使用意图映射为待启动的虚拟网络功能单元VNF集合,在VNF产生故障或节点不可用时提供VNF的水平重构切换。此模块设计分为用户意图翻译子模块设计和切片生命周期管理子模块设计。
本实施例中,对于用户意图翻译子模块的设计如下:
用户意图翻译模块的设计目的是使用户输入服务需求,通过智融标识网络智慧服务层中的切片控制***将这些需求转换为VNF的数据配置,执行资源编排。切片控制模块实时监听网络组件层中的物理链路拓扑信息,据此完成虚拟可用资源集合的统计,将网络组件层中底层网络拓扑以G表示:G=(N,L,B,D),其中N表示网络拓扑中的可编程功能节点,L表示可编程功能节点之间的网络拓扑链路,B表示网络拓扑的带宽,D表示网络拓扑的时延。对应地,切片网络拓扑以Gv表示:Gv=(Nv,Lv,Bv,Dv),其中Nv表示切片拓扑的可编程功能节点,Lv表示切片拓扑中的链路,Bv表示切片拓扑的带宽资源,Dv表示切片拓扑的时延。以CN={cband,ccpu}表示底层网络中的资源集合,其中cband、ccpu分别表示网络带宽资源和服务器的内存资源。假设有S个NSI需要映射到网络组件层,NSI用字符v表示,第j个NSI表示为vj,vj的有向图表示为Gj v=(Nj v,Lj v,Bj v,Dj v),对应地,定义为vj所需的资源集合。
本实施例中,结合余弦相似度匹配法来将用户意图映射为智融标识网络切片***中的VNF集合。将智融标识网络切片***中的VNF按带宽、时延、内存、通信安全等级、功能标号等不同维度划分为向量,每个维度给予一定的数值等级划分,将用户意图对应为各维度空间的向量集合,通过用户意图余弦相似度算法找到与用户意图需求的资源量分配情况最为匹配的可用VNF,组成NSI。
余弦相似度通过向量空间中两个向量夹角的余弦值来度量二者的相似度,相似度越接近1,两个向量的夹角越接近0度,证明两个向量越接近。设向量与向量/>在二维空间的坐标分别为(x1,y1)和(x2,y2),则两个向量的余弦相似度计算公式如(4-7)所示:
切片用户输入所需的功能服务列表需求,以及为每项功能服务设置所需的资源列表集合,切片控制***在接收到用户需求后,将其转换为与VNF资源属性相对应的VNF需求集合,将用户需求列表与从切片控制***数据库中提取出的可用VNF列表集合通过余弦相似度算法进行匹配,并按照VNF差异度进行筛选,差异度计算方法公式如(4-8)所示:
其中Diff代表差异值,值越接近0代表用户需要的VNF与切片控制***中可用的VNF相似性越接近,α和β分别代表可用VNF的向量长度与用户需求的向量长度,cosθ代表两个向量的余弦相似度,λ和μ分别为向量长度比值与余弦相似度的调整系数。通过将用户需求向量集合与可用向量集合进行对比,筛选出差异度最小的可用向量,作为用户需求向量的映射对象,最终得出映射向量集合。
具体算法过程如算法1所示:
用户意图余弦相似度算法通过输入用户意图向量和可用切片VNF向量集合来进行相似度对比,通过设置一个匹配阈值来限制参与对比过程的最低相似度大小。步骤2对一些中间变量进行初始化,包括向量涉及的维度,可用切片VNF集合的大小,以及设置一个最初的最佳匹配切片向量和最佳差异值。步骤3~9将每个可用切片的全维度属性进行用户意图余弦相似度算法匹配,计算出差异值,更新最佳匹配切片VNF向量和最佳差异值,最后通过步骤10返回最佳匹配结果。
为了适应不同网络协议类型,标记并管理切片服务,记录切片服务的版本信息、使用情况与切片用户的身份、位置信息等,本实施例中采用服务标识对切片服务进行管理。在切片用户接入智融标识网络切片***服务时,切片控制器将为该用户提供切片服务,并记录服务标识,设计了Integer数据类型的版本ID对切片版本进行标识,初始版本为1,在用户提出新需求或切片网络链路故障需要进行重新编排时会逐次增加,切片用户可以通过切片版本ID和切片ID的数据记录读取到各个版本的切片运行状态参数和切片参数,可以选择相应的切片版本ID进行回溯,切片控制***也可以根据版本ID提取切片各版本的信息。为了方便对不同切片进行区分,设计了Integer数据类型的切片ID字段,是服务标识管理中的主要字段,作为主键记录在服务标识的数据库中,通过切片ID,切片用户和切片控制***可以迅速锁定切片对象,进而搜索到关于该切片的其他记录信息。为了标记切片所包含的资源数据量,设计了长度为5个Integer数据类型,共20字节的切片参数字段,分别存储该切片的带宽需求、CPU需求、安全等级需求、时延需求和一个预留字段,从这些字段可以读取到该切片携带的性能参数需求。切片的状态包括设计状态、实例化未投入使用、使用状态、重构状态、故障状态和下线状态,通过Integer数据类型的状态参数字段来标识切片的可用状态。此外还设计了Integer数据类型的用户身份标识和接入位置标识,对切片用户的接入状态进行记录,通过Integer数据类型的目的接入身份标识和目的接入位置标识对切片网络的通信终端进行记录,后续的切片数据包转发将携带这些关键数据进行通信,提升通信效率。通过Integer数据类型的协议标识来标记切片采用的协议类型,方便在切片的出口侧进行协议的还原等,标识的内容分布如下表1所示。
表1
本模块的工作流程如图5所示,首先切片用户与切片联络终端请求通过接入控制设备来接入智融标识切片***。接入控制设备在接收到接入请求后,将用户提交的相关身份信息和接入信息递交到切片控制器集群。切片控制器集群在完成身份验证等步骤后,将身份标识与位置标识分配到接入控制设备,同时将标识信息保存记录到数据库中。切片用户在发送数据时,数据到达可编程节点时会携带用户本身与切片联络终端的标识信息,据此进行数据的转发,参与后续根据标识采取的切片映射策略与切片管理服务操作等。
本实施例中,对于切片生命周期管理子模块的设计如下:
网络切片生命周期管理主要包含以下过程:首先需要定义一个切片,将切片用户需要的VNF集合连接,构成一条NSI。在定义了切片构成后,需要对切片进行实例化。实例化阶段要求切片编排控制器为切片保留相关资源,创建切片并将相关转发流表信息下发到网络组件层的可编程功能节点上,同时激活这些可编程功能节点上对应的VNF功能并使其可供使用。在激活阶段,网络切片的状态将被监听与监测。在切片实例化成功之后,监控程序将持续反馈切片运行状态信息,并根据服务需求将切片运行状态记录在数据库中。当用户的需求发生改变、可编程功能节点异常或链路异常时,将进行切片的重构,将VNF重新映射,并进行切片的实例化操作等,在完成重构后将重构结果与链路状态信息再次反馈给切片控制***进行监测与监听等。当切片达到其寿命或用户失去使用需求时,切片将进入下线状态,此时需要将可编程功能节点上的相关VNF功能关闭,通过编排控制器将切片转发信息通过下发流表的方式进行删除,同时更新数据库中关于切片的使用状态等,完成切片的下线工作。
本***将切片的生命周期分为切片设计、切片实例化、切片状态检测、切片重构与切片下线五个阶段,模块划分如图6所示。切片设计阶段将根据用户提出的功能性需求对切片涵盖的VNF进行组合与设计,通过用户意图翻译模块将用户需求映射为VNF集合,再将VNF集合连接组成NSI。切片实例化阶段将设计好的NSI通过编排控制器集群映射到底层物理网络。切片状态监测阶段将观测切片的运行状态,记录使用日志、网络情况、宕机状态等,通过网络组件层中的带内感知遥测收集网络拓扑中的带宽和时延信息等。切片重构阶段将根据切片状态与用户需求进行切片的重新构造与映射。切片下线阶段将回收切片的网络资源,解除切片连接。
在切片重构阶段,若某个可编程功能节点发生故障,需要进行VNF的重新布局与映射,本发明提出了基于k-means聚类算法的VNF重构算法,通过将所有VNF集合划分为k个簇,使得簇内对象彼此相似,簇间对象不相似,使VNF可以在簇内的节点之中得到替换。本实施例中选择了基于划分的聚类算法,假设可编程功能节点个数为N,节点集合划分为k个子集,即构成k个类,将N个功能节点划分到这k个类中,使得每个功能节点到对应类的中心距离最小,聚类基础是误差平方和准则,如公式(4-9)所示:
其中代表了第i个聚类中心,Ei代表第i个样本子集,Ni代表第i个簇中包含的可编程功能节点的个数,x代表了子集中的一个样本,S为产生的总的误差平方。需要通过找到合适的ai使S全局最小,基于k-means聚类算法的VNF重构算法流程如算法2所示:
/>
/>
Ni=Ni-1 (4-13)
Nk=Nk+1 (4-16)
基于k-means聚类的VNF重构算法根据可编程功能节点集合、故障节点和簇个数,经过k-means聚类与替换节点的选择后,得到误差平方、各个簇集合与替换节点x1',...,xn'。步骤2为初始化阶段,对簇进行初始划分和,对相关中间变量值进行初始化计算。步骤3至步骤18为样本修正阶段,通过迭代循环,计算出簇的划分结果。步骤19至步骤25从簇中选择故障节点的替换节点,若簇的大小不为1,则替换节点为与故障节点处于同一簇下的另外一个随机节点,并从可选节点集合中将该故障节点与替换节点去除。若簇的大小为1,即簇内只有故障节点1个节点,证明簇的k值较大,需要将k值缩小后,进行下一轮重新划分簇的计算过程。步骤26至步骤29的目的是将上述没有替换节点对象的故障节点进行k值的重新划分,之后循环直至全部故障节点完成节点的替换。步骤30返回误差平方、各个簇分类结果与替换节点集合。关于k值的选取,可以采用手肘法,选取总误差平方和减少的趋势不再明显处的值,也就是拐点处。
本实施例中,切片编排模块负责将切片控制模块生成的VNF列表在底层网络进行编排映射,设计一种切片编排算法,在优化编排性能的同时,提升编排过程中的安全性,采用一种基于SM9的加密算法,利用用户身份标识对编排信息进行加密。此模块设计分为编排算法子模块设计和信令安全加密子模块设计。
对于编排算法子模块的设计如下:
定义节点利用水平为NSI映射到可编程功能节点上时,该可编程功能节点能够提供给切片用户使用的资源量与NSI需要的资源量的比值。设切片实例vj存在k个VNF需要映射至网络组件层,网络组件层的可编程功能节点数量为R,则第i个VNF映射结束后的节点利用水平计算方式如公式(4-17)所示:
其中,平衡倍数δ1与δ2可以用来调整vj所需的资源量的比例,δ1+δ2=1,为可编程功能节点所剩的可使用的带宽资源,/>为所剩的可使用的CPU资源,/>为vj映射在第i个可编程功能节点上所需的带宽资源,/>为vj映射在第i个可编程功能节点所需的CPU资源。该NSI对应的节点利用水平/>如公式(4-18)所示:
其中,k为需要映射在网络组件层可编程功能节点的总节点数,通过评估各可编程功能节点的节点利用水平的加权平均值,可以计算出该NSI的节点利用水平,的值越大代表节点利用水平越高,值越小代表节点利用水平越低。vj的映射安全水平/>如公式(4-19)所示:
其中,是vj的节点利用水平,/>是vj的用户信任度,ε1+ε2=1,可以根据需求调整取值平衡评级权重,映射安全水平算法的具体过程如算法3所示:
步骤2为初始化阶段,设置算法需要的参数值,步骤3~步骤10为第二阶段,目的是根据用户的历史交互评价值来循环计算出用户信任度步骤11为第三阶段,根据vj计算出节点利用水平,步骤12和步骤13为最终阶段,计算并返回映射安全水平/>
首先初始化大小为R的粒子群,单枚粒子代表一种网络切片实例vj的映射方法,设vj共有A个节点需要进行映射,positioni=(positioni1,positioni2,...,positioniA)为粒子i的映射位置,其中i∈[1,R],positionia代表粒子i将网络功能a映射在物理网络中的具***置。粒子的速度更新如公式(4-20)所示,位置更新如公式(4-21)所示:
vi(n+1)=ωvi(n)+c1rand()(pbesti(n)-presenti(n))+c2rand()(gbesti(n)-presenti(n)) (4-20)
positioni(n+1)=positioni(n)+vi(n+1) (4-21)
本***编排算法的优化函数如公式(4-22)所示:
max{p·c'band+(cband-c'band)·b+dc'cpu}
subject to
其中,vi(n)为粒子i的偏移速度,positioni(n)为粒子在物理网络中的位置,ω为惯性系数,用来调节位置空间的搜索速度,c1和c2为粒子的学习系数,pbesti(n)代表粒子当期映射最优值,gbesti(n)为所有粒子中的最佳映射值。c'band为vj分配的带宽,c'cpu为vj分配的CPU资源,p为vj的单位带宽收益,b为分配给非切片用途时的单位带宽收益,d为vj分配的单位CPU收益,γ为安全门限。定义智融标识网络切片编排算法(RUSA)流程如算法4所示:
步骤2~6对编排算法涉及的中间变量进行初始化,包括粒子群的初始位置和初始速度大小,步骤7~步骤11依据切片映射的安全性能要求,结合实际物理资源集合,循环得出最佳映射位置,保证编排收益的同时,使映射结果满足安全门限γ,最后通过步骤12返回最佳映射位置。
对于信令安全加密子模块的设计如下:
切片编排模块的信令安全加解密模块如图7所示,本模块融合了智融标识网络的标识分配机制,设计了基于SM9的智融标识网络信令安全加密算法,对编排模块中转发的指令进行数据加密安全处理。本加密算法是一种建立在双线性对上的具有标识的加密算法,通过切片用户的用户身份标识来为切片用户的编排过程中的信令发送过程提供加解密服务,因其在利用过程中并不需要第三方的证书库或密钥库,更利于切片控制***对编排安全的控制,在一定程度上也缓解了加解密过程的长周期与成本耗费较大的问题。
设编排信令为信号流S,l为S的比特长度,用户的身份标识User_ID的长度为User_len,目的接入身份标识Dest_ID的长度为Dest_len,加密算法流程如算法5所示。首先计算群G1中的元素QB,之后产生随机数r,再计算群G1的元素C1以及群GT中的元素g和w。本算法中加密明文的方法是结合密钥派生函数的分组密码算法,因此计算得到整数klen,并计算得到C2和C3,并得到最终密文C。
设mlen为C2的比特长度,用户的身份标识User_ID的长度为User_len,目的接入身份标识Dest_ID的长度为Dest_len,解密算法流程如算法6所示。算法中首先检验最终密文C中的比特串C1是否为椭圆曲线G1上的点,检验通过后计算得到群GT中的元素w',将其转换为比特串,算法中加密明文的方法是结合密钥派生函数的分组密码算法,因此解密中计算得到整数klen,并计算得出M'。最后计算u并与比特串C3进行比较,输出明文M'。
通过基于SM9的智融标识网络信令安全加解密算法可以对编排模块中转发的信令进行加密保护,防止编排信令被窃取而泄露用户隐私数据,增强了智融标识网络切片***映射过程的安全性。
本实施例中,数据传输模块负责将切片编排模块生成的编排映射结果在网络组件层的可编程功能节点上实现,利用数据平面的可编程语言P4来实现切片的转发逻辑,将用户数据封装为不同类型的切片进行传输,此外设计了基于INT的带内感知遥测功能,对切片拓扑进行全局感知与记录。此模块设计分为可编程转发子模块设计和带内感知遥测子模块设计。
本实施例中对于可编程转发子模块的设计如下:
设计了三种切片网络数据传输格式,分别为:IPv4切片、IPv6切片和SINET切片,即网络层的传输协议包含以上三种类型,其中以太网字段中的协议类型EtherType的映射关系如下表2所示,报文格式如图8所示。
表2协议类型映射关系
其中IPv4切片在以太网的映射字段为0x0800,IPv6切片的映射字段为0x86dd,SINET切片在以太网的映射字段为0x8999。在切片封装阶段,可编程交换机将在切片用户原数据包的基础上,为其添加各协议类型切片的封装报头。因此需要将以太网数据字段的协议类型进行相应更新,当切片数据即将传出切片网络,即切片数据抵达最后一个转发可编程功能节点时,将完成以太网协议字段的还原。
分别对三种切片传输数据报头的字段功能进行阐述,其中IPv4切片的报头字段功能如下表3所示。
表3IPv4切片的报头字段功能
本模块设计支持ipv4/ipv6/SINET三种协议切片协同传输模式,每种切片逻辑隔离互不影响,用户可以选择单一协议切片形式来传输数据,还可以根据自身需求和联络终端的协议状态来选择切换其他协议类型的切片传输形式,或者同时选择两种以上的不同协议切片传输模式对数据进行传输。由于IPv6协议是近年提出的网络协议,寿命相对较短,目前IPv4协议仍然还是大多数互联网设备运行的基础协议,多数设备的端口仍然配置着IPv4地址,因此本模式设计支持IPv4协议类型的切片来为用户提供通信。此外也设计了IPv6协议类型的切片,可以承接部分设备的协议更新,为其提供IPv6的通信模式。此外设计了SINET切片,提供身份标识与接入标识,提升通信的灵活性。IPv6切片的报头字段功能如下表4所示:
表4IPv6切片的报头字段功能
SINET切片的报头字段功能如下表5所示:
表5SINET切片的报头字段功能
接下来对可编程功能节点接收到切片数据时的转发逻辑进行设计,图9是报头解析过程流程图。
首先是数据包到达之后的报头解析流程:
(1)在数据包抵达后首先提取以太网字段,检查其协议类型,判断切片类型,提取出IPv4报头、IPv6报头或SINET报头。
(2)若是SINET切片类型,还需要提取其src_id_len字段,判断其携带的主机节点标识的长度,根据判断结果转入相应的解析过程,提取不同长度的主机节点标识。
(3)若是SINET切片类型,还需要提取pid字段,用来标识并还原用户协议类型。
完成切片数据包的报头解析流程后,需要对处理切片的相关动作进行设计:
(1)首先需要一个SINET封装的执行动作,其入参即需要的流表信息包含目的mac地址、源和目的可编程功能节点标识和主机标识以及出端口,通过该动作可以为用户组装一个SINET切片报头,并传入标识用于指示切片的转发路径,根据所传src_id_len所指示的不同长度的节点标识,需要对应数量,匹配该长度的封装动作。
(2)IPv6切片数据包的封装动作,入参为目的mac地址、出端口、源IPv6和目的IPv6地址,用于创建IPv6切片,转发该切片数据包。
(3)基于IPv4切片标识的转发动作,入参为目的mac地址以及出端口,用于指示该切片的传输路径。
(4)基于SINET切片标识的转发动作,入参为目的mac地址以及出端口,根据采用的主机标识的不同长度,需要设计对应数量的转发动作。
(5)基于IPv6切片标识的转发动作,入参为目的mac地址和出端口,根据标识进行切片转发路径的设置。
(6)解除SINET切片数据封装的动作,在SINET切片数据包抵达最后一个可编程功能节点,即将传出切片网络时,需要将切片类型还原为用户原始数据包的对应协议类型,此时入参包含目的mac地址以及出端口。
(7)解除IPv6切片数据封装的动作,原理同上,需要的入参是目的mac地址以及出端口,将切片协议还原为用户接入时的数据协议,交付切片数据。
(8)丢包动作,切片数据不匹配任意表时,即不满足切片转发逻辑时,将该数据包丢弃。
之后将上述各个动作组装为表与流表进行对应,表的相关功能设计如下表6所示:
表6可编程转发子模块表相关功能设计
当可编程功能节点接收到用户数据包,将按照上述表的匹配方式将用户数据包按照映射结果组装为相应协议的切片类型进行转发,当用户选择多协议切片时,将通过寄存器来控制数据包转化的协议类型。发包比例也将通过寄存器的值进行设置,并控制该切片占用的带宽等。
本实施例中,对于带内感知遥测子模块的设计如下:
本模块采用INT技术从网络组件层提取网络拓扑信息,通过在切片传输路径的可编程功能节点上为数据包头部添加探测信息的方式,可以获取到该切片的带宽、传输时延、丢包情况、队列深度情况等网络信息,并将数据反馈给切片控制模块,作为切片控制***对切片生命周期和映射策略进行调整的数据支撑。首先对INT报头进行设计,在原IPV4报头结构的基础上,在IPV4数据字段与TCP/UDP数据字段之后设计额外的Probe、Probe_data、Probe_fwd报头,最终设计的带内感知遥测子模块的INT报头格式如图10所示,报头中的各字段功能如表7所示。
表7带内感知遥测子模块INT报头字段功能
在本模块中,INT探测报文将周期性地从INT发送源遍历整个切片网络,获取网络拓扑信息,如带宽、时延、丢包、队列深度情况,在INT接收端将上述信息整理反馈至带内感知遥测控制平面存储并供其他模块取用,切片用户在网络中发送的数据包情况将被实时记录并上传至控制平面。探测报文中Probe将作为探测标识,记录目前在某切片上的遍历可编程功能节点的个数,每个探测报文将携带一个Probe报头。Probe_fwd报头用于为探测报头指示路径,通过egress_spec字段来控制探测的方向,拓展功能是通过swid字段为可编程功能节点赋予节点标识,以及为节点的不同端口处的切片赋予特定的发包比例。在INT发送源处,将事先根据拓扑信息,为探测报文构建与探测路径中可编程功能节点个数对等的Probe_fwd报头。Probe_data报头中记录有可编程功能节点关于各切片端口的字节数、入口数据包数、出口数据包数、队列深度、包到达时间与离开时间等数据,这些数据保存在寄存器对应端口号的位数上,在有探测报文抵达时会进行更新,并构造Probe_data报头,每经过一次可编程功能节点都会构造一个相应的Probe_data报头。最终组装完成的探测报文将抵达INT接收端,将Probe_data报头的信息提取并上传至带内感知遥测控制平面进行解析保存,记录在日志中。上述带内感知遥测模块运作模型如图11所示。
接下来对数据采集流程进行设计,图12为带内感知遥测子模块中可编程功能节点在接受到数据包时处理的流程图:
(1)为了周期性地感知切片网络中各条链路的资源信息,需要在INT发送端周期性地发送INT探测报文。INT发送源要初始化探测报文,根据拓扑信息构造以太网头部,设置以太网类型etherType为INT探测报文,初始化Probe报文头部,将hop_cnt置为0,代表此时还没有经过可编程功能节点。此外INT发送源需要根据需求设置learn字段,若切片用户有使用多切片的需求,则可以通过learn字段为用户初始化在各个切片处的发包比例。之后初始化ProbeFwd报头,根据探测路径上所需经过的可编程功能节点交换机的个数,为探测报文添加相应数量的ProbeFwd报头,并根据希望探测的路径为各个ProbeFwd报头设置egress_spec字段值,来代表到达对应可编程功能节点时的数据包出端口。
(2)可编程功能节点在接收到探测报文时,会根据以太网报头的etherType类型来选择报头的解析流程。若类型为IPv4、IPv6以及SINET报文,则代表是正常的用户切片数据流,按照切片转发逻辑来解析数据包头部并继续后续的转发流程。若类型为INT探测包,首先会提取Probe报头,并根据Probe报头中的hop_cnt字段值来判断其是否含有Probe_data报头。hop_cnt为0时代表此时的INT探测包尚未经过可编程功能节点,此时将解析Probe_fwd报头获取探测报文的出端口,以及若用户有需求,可以提取出希望使用的多切片的切片发包比例。hop_cnt大于0时代表此处可编程功能节点接收到的探测包在此前已经经过了一些节点,存有了记录的拓扑信息的Probe_data报头,此时将循环提取对应数量的Probe_data,并在Probe_data报头提取完毕后转入提取Probe_fwd报头。
(3)在可编程功能节点对报头解析完毕后,需要根据提取到的报头信息对数据包作进一步处理。首先需要借助寄存器来读取以该数据包进入节点时的端口值位数处的值,来获取一个探测周期内从对应端口处接受到的数据包的个数,并在此基础上数量加一,若不是Probe报头,则将新的数据包个数继续存放在对应端口位数的寄存器中,否则清零,代表一个周期内计数完毕。
(4)统计数据包个数后,若用户开启了多切片发送数据的模式,则需要从寄存器中读取从该可编程功能节点切片对应的各个出端口处发送的数据包的个数,与本次数据包该发送的端口,并查询设置的发包比例。
(5)若是Probe探测报文,需要根据learn字段的值为该可编程功能节点设置相应端口处的发包比例;若是普通切片数据流,则根据在第(4)步中获取的发包个数来判断本次的发包端口,将端口号通过元数据的方式传递给节点。
(6)在决定发送端口时,将根据目前已发的数据包个数,和对应端口处发送的数据包个数,根据设置的各条路的发包比例来更新寄存器中存储的值来决定下次的发包端口,之后将数据包从对应的端口处发出。
(7)在发送的端口处,需要借助寄存器来设置Probe_data各字段值,统计拓扑信息。首先读取在对应端口号为位数的寄存器的值,获取在一个探测周期内从该端口已发送的数据包个数,若本数据包不为Probe探测报文,则代表周期未结束,在已有数据的基础上加一并再次存入对应端口位数的寄存器中,达到更新数据的目。若周期结束,则将数据清零,意味着新一轮的统计周期开启。此外需要以同样的方式获取从对应端口发送出的字节数量,并从寄存器中读取周期开始时第一个从对应端口发送出去的数据包的时间,存放在last_time字段中,将当前***时间存放在cur_time字段,入口数据包个数存放在pckcont字段,出口数据包个数存放在enpckcont字段,从元数据中获取处理该数据包时的队列深度存放在qdepth字段。此外还需根据Probe.hop_cnt是否为1来设置Probe_data的bos字段为1,为下次节点的报头解析作标识。
INT接收端在接收到INT探测包,可以根据ProbeData中byte_cnt字段和cur_time与last_time的差值计算切片的带宽,由qdepth得到队列深度,enpckcont与pckcont差值得到丢包率,首个ProbeData报头的cur_time与新ProbeData报头的cur_time作差可以得到时延,将拓扑信息以日志形式打印在带内遥测感知控制平面中,供控制平面读取信息。
实施例2
本实施例2提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质用于存储计算机指令,所述计算机指令被处理器执行时,实现智融标识网络的切片安全映射方法。
实施例3
本实施例3提供一种计算机程序产品,包括计算机程序,所述计算机程序当在一个或多个处理器上运行时,用于实现智融标识网络的切片安全映射方法。
实施例4
本实施例4提供一种电子设备,包括:处理器、存储器以及计算机程序;其中,处理器与存储器连接,计算机程序被存储在存储器中,当电子设备运行时,所述处理器执行所述存储器存储的计算机程序,以使电子设备执行实现智融标识网络的切片安全映射方法的指令。
综上所述,本发明实施例所述的智融标识网络的切片安全映射方法及***,能够在用户认证时,通过摘要算法和签名算法防篡改、防伪造、防重放、防抵赖。能够通过用户信任度算法计算出用户信任度,影响流表下发判决,增强切片编排的安全性能。能够通过智融标识网络,对切片服务进行标识管理,对底层网络资源进行抽象管理,实现切片的全生命周期管理和用户意图翻译工作等。能够通过基于映射安全水平的切片编排算法,提升切片编排的性能效益和安全性能。能够适应多种协议的网络,拓展性能较强。数据平面转发节点的交换机搭载有P4语言,具备自定义数据包转发处理逻辑的功能。数据平面转发节点的交换机搭载配置有INT代码逻辑,能够收集底层网络拓扑中的时延、带宽、队列深度等拓扑信息。数据平面转发节点的交换机搭载有P4语言,能够通过智融标识网路协议,具备各种复杂协议之间的通信功能。切片编排过程中的控制信令受到基于SM9的标识加解密算法的安全控制,可以增强切片编排过程中的安全性。SDN应用层中的切片生命周期管理具有连接Mysql数据库的功能,并可以将切片状态数据定时写入数据库,用以记录与追溯切片状态信息。SDN网络控制器具有读取配置文件中配置信息的功能。SDN网络控制器可以根据切片编排需求,生成相应流表,并将流表下发至数据平面的可编程交换节点。
本发明基于智融标识网络架构基础,设计了一种基于智融标识网络的切片安全编排机制及***,能够通过标识对切片内的各项服务、交换机、主机、用户等信息给予统一的管理。具体优点如下:通过用户签名认证机制对切片用户身份的合法性进行确认,加强交互API的安全性与可用性,可以在一定程度上增强切片***与用户之间的信息交互的安全性。通过用户信任度模型,基于切片用户与切片***的历史交互数据为编排过程提供安全保护,为用户增加一个信任度维度的属性,用于切片的访问判决。设计了用户意图余弦相似度算法完成用户意图与VNF之间的映射,以及基于聚类的VNF重构算法提升容灾水平。提出了智融标识网络切片编排算法来提高切片编排安全水平与性能,在保证切片编排的性能收益的同时,提升切片映射的安全性。设计的切片编排过程中的信令经过SM9安全加密,可以增强编排命令下发的安全性,一定程度上保护了用户的隐私数据,增强了通信过程的安全性。通过使用P4可编程语言,提出的数据传输机制可以实现不同协议类型的切片数据的封装转发,按需为不同协议的网络之间提供数据通信服务支持,具有较高的拓展性。使用INT收集网络信息,为切片的生命周期管理提供数据支持,从而动态对切片网络进行更新、重构等,具有较高的灵活性。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明公开的技术方案的基础上,本领域技术人员在不需要付出创造性劳动即可做出的各种修改或变形,都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种智融标识网络的切片安全映射***,其特征在于,包括:
用户认证模块,用于实现切片用户访问智融标识网络切片***时的身份认证,采用签名认证算法在切片***和用户之间建立可信任的访问通道;
切片控制模块,用于接收处理数据传输模块收集到的拓扑信息,将用户的切片使用意图映射为待启动的虚拟网络功能单元VNF集合,在VNF产生故障或节点不可用时提供VNF的水平重构切换;
切片编排模块,用于采用切片编排算法将切片控制模块生成的VNF列表在底层网络进行编排映射,采用基于SM9的加密算法,利用用户身份标识对编排信息进行加密;
数据传输模块,用于将切片编排模块生成的编排映射结果在网络组件层的可编程功能节点上实现,利用数据平面的可编程语言P4来实现切片的转发逻辑,将用户数据封装为不同类型的切片进行传输,基于INT的带内感知遥测对切片拓扑进行全局感知与记录。
2.根据权利要求1所述的智融标识网络的切片安全映射***,其特征在于,用户认证模块包括用户签名认证子模块和用户信任度子模块;
所述用户签名认证子模块中,采用的摘要算法是将用户请求的关键字段进行拼接后得到数据摘要、保存切片用户的身份信息、保存切片用户的业务请求信息对业务请求信息加密保护后产生的序列以及保存切片用户请求过程的有效期;采用散列算法HMAC-SHA256来作为签名认证时的签名算法;
所述用户信任度子模块,用于在完成对切片用户请求的合法性验证后,根据该用户的历史交互行为,结合交互评价机制对本次切片用户的访问接入行为作出评估,计算其用户信任度。
3.根据权利要求1所述的智融标识网络的切片安全映射***,其特征在于,切片控制模块包括用户意图翻译子模块和切片生命周期管理子模块;
所述用户意图翻译子模块,用于通过智融标识网络智慧服务层中的切片控制***将用户输入的服务需求转换为VNF的数据配置,执行资源编排;其中,结合余弦相似度匹配法来将用户服务需求映射为智融标识网络切片***中的VNF集合;将用户服务需求对应智融标识网络切片***各特征维度空间的向量集合,通过用户意图余弦相似度算法找到与用户服务需求的资源量分配情况最为匹配的可用VNF,组成NSI;
所述切片生命周期管理子模块,用于将切片用户需要的VNF集合连接,构成NSI,对切片进行实例化,持续反馈切片运行状态信息,并根据服务需求将切片运行状态记录在数据库中;当用户的需求发生改变、可编程功能节点异常或链路异常时,将进行切片的重构,将VNF重新映射,并进行切片的实例化操作,在完成重构后将重构结果与链路状态信息再次反馈给切片控制***进行监测与监听。
4.根据权利要求1所述的智融标识网络的切片安全映射***,其特征在于,切片编排模块包括编排算法子模块和信令安全加密子模块;
所述编排算法子模块,用于定义节点利用水平为NSI映射到可编程功能节点上时,该可编程功能节点能够提供给切片用户使用的资源量与NSI需要的资源量的比值;其中,设置算法需要的参数值,根据用户的历史交互评价值来循环计算出用户信任度,根据切片实例信息计算出节点利用水平,计算并返回映射安全水平;
所述信令安全加密子模块,用于基于SM9的智融标识网络信令安全加密算法,对编排模块中转发的指令进行数据加密安全处理;其中,所述的安全加密算法建立在双线性对上的具有标识的加密算法,通过切片用户的用户身份标识来为切片用户的编排过程中的信令发送过程提供加解密服务。
5.根据权利要求4所述的智融标识网络的切片安全映射***,其特征在于,所述的切片编排算法包括:对中间变量进行初始化,中间变量包括粒子群的初始位置和初始速度大小;依据切片映射的安全性能要求,结合实际物理资源集合,循环得出最佳映射位置,保证编排收益的同时,使映射结果满足安全门限,返回最佳映射位置。
6.根据权利要求4所述的智融标识网络的切片安全映射***,其特征在于,基于SM9的智融标识网络信令安全加密算法,包括:首先计算群G1中的元素QB,之后产生随机数r,再计算群G1的元素C1以及群GT中的元素g和w;其中,加密明文的方法是结合密钥派生函数的分组密码算法,因此计算得到整数klen,并计算得到C2和C3,并得到最终密文C;
基于SM9的智融标识网络信令安全解密算法,包括:首先检验最终密文C中的比特串C1是否为椭圆曲线G1上的点,检验通过后计算得到群GT中的元素w',将其转换为比特串;算法中加密明文的方法是结合密钥派生函数的分组密码算法,因此,解密中计算得到整数klen,并计算得出M';最后计算u并与比特串C3进行比较,输出明文M'。
7.一种利用如权利要求1-6任一项所述的***实现的智融标识网络的切片安全映射方法,其特征在于,包括:
切片用户访问智融标识网络切片***时的身份认证,采用签名认证算法在切片***和用户之间建立可信任的访问通道;
接收处理数据传输模块收集到的拓扑信息,将用户的切片使用意图映射为待启动的虚拟网络功能单元VNF集合,在VNF产生故障或节点不可用时提供VNF的水平重构切换;
采用切片编排算法将切片控制模块生成的VNF列表在底层网络进行编排映射,采用基于SM9的加密算法,利用用户身份标识对编排信息进行加密;
将切片编排模块生成的编排映射结果在网络组件层的可编程功能节点上实现,利用数据平面的可编程语言P4来实现切片的转发逻辑,将用户数据封装为不同类型的切片进行传输,基于INT的带内感知遥测对切片拓扑进行全局感知与记录。
8.一种计算机程序产品,其特征在于,包括计算机程序,所述计算机程序当在一个或多个处理器上运行时,用于实现如权利要求7所述的智融标识网络的切片安全映射方法。
9.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质用于存储计算机指令,所述计算机指令被处理器执行时,实现如权利要求7所述的智融标识网络的切片安全映射方法。
10.一种电子设备,其特征在于,包括:处理器、存储器以及计算机程序;其中,处理器与存储器连接,计算机程序被存储在存储器中,当电子设备运行时,所述处理器执行所述存储器存储的计算机程序,以使电子设备执行实现如权利要求7所述的智融标识网络的切片安全映射方法的指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310839075.8A CN116886309A (zh) | 2023-07-10 | 2023-07-10 | 智融标识网络的切片安全映射方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310839075.8A CN116886309A (zh) | 2023-07-10 | 2023-07-10 | 智融标识网络的切片安全映射方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116886309A true CN116886309A (zh) | 2023-10-13 |
Family
ID=88256124
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310839075.8A Pending CN116886309A (zh) | 2023-07-10 | 2023-07-10 | 智融标识网络的切片安全映射方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116886309A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117689227A (zh) * | 2023-12-11 | 2024-03-12 | 广州智业节能科技有限公司 | 一种数字化运营管理平台、数据标准化方法及装置 |
-
2023
- 2023-07-10 CN CN202310839075.8A patent/CN116886309A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117689227A (zh) * | 2023-12-11 | 2024-03-12 | 广州智业节能科技有限公司 | 一种数字化运营管理平台、数据标准化方法及装置 |
| CN117689227B (zh) * | 2023-12-11 | 2024-06-04 | 广州智业节能科技有限公司 | 一种数字化运营管理平台、数据标准化方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11240213B2 (en) | Resource obtaining, distribution, and download method and apparatus, device, and storage medium | |
| CN113454971B (zh) | 基于远程智能nic的服务加速 | |
| Hwang et al. | IoT service slicing and task offloading for edge computing | |
| US10868743B2 (en) | System and method for providing fast platform telemetry data | |
| US20200374127A1 (en) | Blockchain-powered cloud management system | |
| EP3716107B1 (en) | Technologies for accelerated orchestration and attestation with edge device trust chains | |
| CN108243106A (zh) | 控制网络切片的方法、转发设备、控制设备和通信*** | |
| CN105683918B (zh) | 分布式***中的集中式联网配置 | |
| TW201728124A (zh) | 以彈性地定義之通信網路控制器為基礎之網路控制、操作及管理 | |
| US11601365B2 (en) | Wide area networking service using provider network backbone network | |
| CN104054067A (zh) | 基于减负装置的数据包处理的框架和接口 | |
| Zeng et al. | Intelligent blockchain‐based secure routing for multidomain SDN‐enabled IoT networks | |
| Jin et al. | Parallel simulation of software defined networks | |
| CN111818081B (zh) | 虚拟加密机管理方法、装置、计算机设备和存储介质 | |
| CN116886309A (zh) | 智融标识网络的切片安全映射方法及*** | |
| Sabir et al. | Authentication and load balancing scheme based on JSON Token for Multi-Agent Systems | |
| EP3288235B1 (en) | System and apparatus for enforcing a service level agreement (sla) in a cloud environment using digital signatures | |
| Liu et al. | Bs-iot: blockchain based software defined network framework for internet of things | |
| Ellinidou et al. | A SDN solution for system-on-chip world | |
| Guo et al. | A novel security mechanism for software defined network based on Blockchain | |
| CN113691608B (zh) | 流量分发的方法、装置、电子设备及介质 | |
| WO2022246974A1 (zh) | 一种基于区块链的可信软件定义网络构建方法 | |
| Xu et al. | Curb: Trusted and scalable software-defined network control plane for edge computing | |
| CN113794596B (zh) | 一种基于城域网的网络重构方法 | |
| da Silva et al. | A secure and distributed control plane for software defined networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |