CN107612731A - 一种基于软件定义可信的网络切片生成与可信恢复系统 - Google Patents
一种基于软件定义可信的网络切片生成与可信恢复系统 Download PDFInfo
- Publication number
- CN107612731A CN107612731A CN201710845437.9A CN201710845437A CN107612731A CN 107612731 A CN107612731 A CN 107612731A CN 201710845437 A CN201710845437 A CN 201710845437A CN 107612731 A CN107612731 A CN 107612731A
- Authority
- CN
- China
- Prior art keywords
- ovs
- credible
- odl
- section
- modules
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开一种基于软件定义可信的网络切片的生成与可信恢复系统,将软件定义网络与可信计算技术结合,通过定义的可信规则完成网络切片的生成与可信恢复,其包括SDN控制器和OpenFlow交换机。所述SDN控制器为OpenDaylight控制器,包含VTN模块、SDT模块、基本网络服务功能模块;所述OpenFlow交换机为OpenvSwitch交换机,包含TPM模块、SDT模块、基本网络服务功能模块。本发明能够按照用户的带宽与可信度需求生成相应的网络切片,并在切片运行过程中,监控切片内资源的可信性,若出现不可信现象,由OVS回退与流表恢复算法对其进行恢复,该方法在保障切片可信性的同时,提高了资源利用率与可信恢复效率。
Description
技术领域
本发明涉及软件定义网络技术领域,尤其涉及一种基于软件定义可信的网络切片的生成与可信恢复系统。
背景技术
随着网络应用场景发展的多样化以及用户数量的飞速增长,在未来网络中,包括移动带宽、大规模物联网、任务关键的物联网等混杂的业务场景,不同的应用场景需要不同类型的网络,在移动性、安全性、可靠性等方面有着不同的要求,“一刀切”的传统网络架构无法满足未来网络发展的需要。《5G网络架构设计白皮书》中指出使用网络切片(NetworkSlice,NS)技术来解决这一问题。网络切片可以将物理网络虚拟化成多个虚拟的逻辑网络,每一个网络切片是一组网络功能及其资源的集合,为特定的业务场景的不同需求(功能、性能、安全等方面)提供差异化的服务。每个网络切片根据用户需求进行定制,切片间是逻辑隔离的,一个切片的调整不会影响到其他切片,在保障用户需求与资源利用最优化的同时增强了网络的安全性与灵活性。
网络切片技术主要基于软件定义网络(Software Defined Network,SDN)和网络功能虚拟化(Network Function Virtualization,NFV)技术来实现,在部署网络切片时,需要考虑到网络切片的管理、资源的抽象、切片间的隔离以及切片的粒度等方面的因素。
目前,对于网络切片的研究,大多围绕切片的QoS需求、资源的抽象等方面进行探讨,对于安全可信方面研究尚少。一旦网络切片内出现不可信的资源,可能会导致用户无法正常使用该切片,为了解决这个问题,通用的方式是将不可信的切片删除重新分配新的可信切片给用户,而这种方式势必会降低资源利用率,并且可能会消耗更多的时间从而降低切片恢复效率与可信度。
本发明在网络切片运行的整个生命周期中对其进行监控,在切片内资源出现不可信现象时,通过OVS回退和流表恢复的方式来对切片进行动态调整。
发明内容
为了解决上述问题,本发明提出一种基于软件定义可信的网络切片生成与可信恢复系统和系统。
为实现上述目的,本发明采用如下的技术方案:
一种基于软件定义可信的网络切片的生成与可信恢复系统,够按照用户的需求为其生成可信切片,并在分配后对切片进行管理维护,一旦出现问题,对该切片进行动态调整。整个系统包括一OpenDaylight控制器(ODL)和多个OpenvSwitch交换机(OVS),其中多个OVS之间相互连接,每个OVS均通过OpenFLow协议与ODL连接;
所述ODL包含:VTN模块、SDT模块、基本网络服务功能模块;
其中,VTN模块负责对网络切片的创建、删除与管理;
SDT模块负责处理从OVS采集的可信度量结果,并能够根据不同的情况给出切片资源可信恢复的策略;
基本网络服务功能模块主要用于与OVS进行交互,并完成SDN控制器应具备的功能。
所述OVS交换机包含:TPM模块、SDT模块、基本网络服务功能模块;
其中,TPM模块用于协助SDT模块完成可信度量;
SDT模块在负责对度量对象进行可信度量,并生成度量结果;
基本网络服务功能模块主要用于与ODL进行交互,并完成OpenFlow交换机应具备的功能。
当ODL接收到来自用户发送的切片生成请求时,选择满足用户带宽需求的资源并向相应的交换机发送可信度量请求;OVS接收到可信度量请求后,对OVS中进程的度量,并将度量结果上报给ODL;ODL收到结果后结合历史可信度根据判定规则判断该资源是否满足可信需求,若满足则分配给用户,否则,重新选择满足用户需求的资源;在切片运行中,由ODL监控切片内资源的可信状态,若某一OVS中进程不可信,则采用OVS回退的方式进行可信恢复;若某一OVS中流表不可信,则采用流表恢复的方式完成可信恢复。
本发明在生成切片加入了带宽、可信度条件,满足了不同用户对于资源的不同可信需求;切片运行后,在出现不可信资源时,通过可信恢复的方式来是的切片仍然可以正常使用。因此,比起将不可信切片删除重新生成可信切片的传统方式,提高了资源利用率与恢复效率。
附图说明
图1是本发明系统抽象图;
图2是本发明系统实现具体拓扑图;
图3是本发明系统中OVS启动链示意图;
图4是本发明系统中OVS回退方法的示意图。
具体实施方式
下面结合附图对本发明作进一步详细说明。
本发明提供一种基于软件定义可信的网络切片的生成与可信恢复系统,参见图1,系统通过控制器对物理资源进行管控,根据需求生成不同的网络切片供不同的用户使用;参见图2,系统包括一OVS和四台OVS以及连接到交换机上的终端,四台OVS启动时参照图3,以TPM为可信根,构造一条ovs kernel module、ovs-vswitchd到ovsdb-server的可信链,由上一层级度量下一层级的可执行程序,在确保下一层级可信后将可信控制权转移给该层级,继续度量下一层级,直至OVS成功启动,然后按照图中方式连接并连接到ODL,当ODL接收到用户的切片请求时(如在h1和h3之间创建网络切片,带宽需求200M,可信度需求0.75),按照如下步骤生成切片:
步骤1:由ODL中基本网络功能服务模块选择满足带宽需求的OVS及相应链路;
步骤2:SDT模块向选中的OVS发送可信度量请求;
步骤3:OVS收到可信度量请求后,由SDT模块和TPM模块对OVS中的两个进程ovs-vswitchd进程和ovsdb-server进程的代码段进行可信度量,并将度量结果通过基本网络功能服务模块上报给ODL;
步骤4:ODL收到度量结果后,由SDT模块根据OVS的历史可信度以及当前的度量结果来判定选中的OVS是否满足可信度需求,若满足,则分配给用户,否则,回到步骤1。
在切片运行的整个生命周期,由ODL对其进行监控,一旦切片内某一OVS出现不可信现象,按照如下步骤进行恢复:
步骤1:若由ODL监测出OVS中某一进程不可信,执行步骤2;若在数据包发送过程中,OVS中执行流表项中动作前,相应流表项中的指令集的哈希值与事先写入指令集基准值元组中的基准值不相同,则执行步:3;
步骤2:参照图4,判断进程不可信的来源,若ovsdb-server进程不可信,则向相应的OVS发送可信恢复消息,由OVS中的ovs-vswitchd进程将ovsdb-server进程杀死,重新生成一个新的可信ovsdb-server进程;若ovs-vswitchd进程不可信,则表明该OVS无法恢复可信;
步骤3:OVS向ODL请求相应流表项,ODL在切片创建时维护了每个切片的可信流表项,在收到请求后,ODL查询该流表,将相应的流表项下发给该OVS,完成流表的快速恢复。
Claims (3)
1.一种基于软件定义可信的网络切片的生成与可信恢复系统,其特征在于,包括一OpenDaylight控制器(ODL)和多个OpenvSwitch交换机(OVS),其中多个OVS之间相互连接,每个OVS均通过OpenFLow协议与ODL连接;当ODL接收到来自用户发送的切片生成请求时,选择满足用户带宽需求的资源并向相应的交换机发送可信度量请求;OVS接收到可信度量请求后,对OVS中进程的度量,并将度量结果上报给ODL;ODL收到结果后结合历史可信度根据判定规则判断该资源是否满足可信需求,若满足则分配给用户,否则,重新选择满足用户需求的资源;在切片运行中,由ODL监控切片内资源的可信状态,若某一OVS中进程不可信,则采用OVS回退的方式进行可信恢复;若某一OVS中流表不可信,则采用流表恢复的方式完成可信恢复。
2.如权利要求1所述的一种基于软件定义可信的网络切片的生成与可信恢复系统,其特征在于,所述ODL包含:VTN模块、SDT模块、基本网络服务功能模块;
其中,VTN模块负责对网络切片的创建、删除与管理;
SDT模块负责处理从OVS采集的可信度量结果,并能够根据不同的情况给出切片资源可信恢复的策略;
基本网络服务功能模块主要用于与OVS进行交互,并完成SDN控制器应具备的功能。
所述OVS交换机包含:TPM模块、SDT模块、基本网络服务功能模块;
其中,TPM模块用于协助SDT模块完成可信度量;
SDT模块在负责对度量对象进行可信度量,并生成度量结果;
基本网络服务功能模块主要用于与ODL进行交互,并完成OpenFlow交换机应具备的功能。
3.如权利要求1所述的一种基于软件定义可信的网络切片的生成与可信恢复系统,其特征在于,当ODL接收到用户的切片请求时,按照如下步骤生成切片:
步骤1:由ODL中基本网络功能服务模块选择满足带宽需求的OVS及相应链路;
步骤2:SDT模块向选中的OVS发送可信度量请求;
步骤3:OVS收到可信度量请求后,由SDT模块和TPM模块对OVS中的两个进程ovs-vswitchd进程和ovsdb-server进程的代码段进行可信度量,并将度量结果通过基本网络功能服务模块上报给ODL;
步骤4:ODL收到度量结果后,由SDT模块根据OVS的历史可信度以及当前的度量结果来判定选中的OVS是否满足可信度需求,若满足,则分配给用户,否则,回到步骤1;
在切片运行的整个生命周期,由ODL对其进行监控,一旦切片内某一OVS出现不可信现象,按照如下步骤进行恢复:
步骤1:若由ODL监测出OVS中某一进程不可信,执行步骤2;若在数据包发送过程中,OVS中执行流表项中动作前,相应流表项中的指令集的哈希值与事先写入指令集基准值元组中的基准值不相同,则执行步:3;
步骤2:判断进程不可信的来源,若ovsdb-server进程不可信,则向相应的OVS发送可信恢复消息,由OVS中的ovs-vswitchd进程将ovsdb-server进程杀死,重新生成一个新的可信ovsdb-server进程;若ovs-vswitchd进程不可信,则表明该OVS无法恢复可信;
步骤3:OVS向ODL请求相应流表项,ODL在切片创建时维护了每个切片的可信流表项,在收到请求后,ODL查询该流表,将相应的流表项下发给该OVS,完成流表的快速恢复。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710845437.9A CN107612731A (zh) | 2017-09-19 | 2017-09-19 | 一种基于软件定义可信的网络切片生成与可信恢复系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710845437.9A CN107612731A (zh) | 2017-09-19 | 2017-09-19 | 一种基于软件定义可信的网络切片生成与可信恢复系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107612731A true CN107612731A (zh) | 2018-01-19 |
Family
ID=61060382
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710845437.9A Pending CN107612731A (zh) | 2017-09-19 | 2017-09-19 | 一种基于软件定义可信的网络切片生成与可信恢复系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107612731A (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110602150A (zh) * | 2019-10-16 | 2019-12-20 | 山东超越数控电子股份有限公司 | 一种sdn节点间可信认证方法 |
| CN112243264A (zh) * | 2020-10-14 | 2021-01-19 | 中国联合网络通信集团有限公司 | 一种业务定制的方法、系统及网络设备 |
| US11243882B2 (en) | 2020-04-15 | 2022-02-08 | International Business Machines Corporation | In-array linked list identifier pool scheme |
| CN117784743A (zh) * | 2024-02-28 | 2024-03-29 | 西安热工研究院有限公司 | 一种可信dcs控制系统及方法 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905523A (zh) * | 2013-12-23 | 2014-07-02 | 浪潮(北京)电子信息产业有限公司 | 一种基于sdn的云计算网络虚拟化实现方法及系统 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| CN104579832A (zh) * | 2014-12-30 | 2015-04-29 | 华中科技大学 | 一种OpenFlow网络安全检测方法及系统 |
| CN105933245A (zh) * | 2016-06-23 | 2016-09-07 | 北京工业大学 | 一种软件定义网络中安全的可信接入方法 |
| CN106210042A (zh) * | 2016-07-11 | 2016-12-07 | 清华大学 | 一种基于端到端网络切片的用户服务请求选择方法 |
| CN106411972A (zh) * | 2015-07-29 | 2017-02-15 | 中国科学院沈阳自动化研究所 | 一种基于Openflow协议的实时数据分发系统和方法 |
| CN106850443A (zh) * | 2017-02-10 | 2017-06-13 | 济南浪潮高新科技投资发展有限公司 | 一种基于tpm的sdn流表下发方法 |
-
2017
- 2017-09-19 CN CN201710845437.9A patent/CN107612731A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103905523A (zh) * | 2013-12-23 | 2014-07-02 | 浪潮(北京)电子信息产业有限公司 | 一种基于sdn的云计算网络虚拟化实现方法及系统 |
| CN103929422A (zh) * | 2014-04-08 | 2014-07-16 | 北京工业大学 | 基于sdn的可信域间安全认证协议 |
| CN104579832A (zh) * | 2014-12-30 | 2015-04-29 | 华中科技大学 | 一种OpenFlow网络安全检测方法及系统 |
| CN106411972A (zh) * | 2015-07-29 | 2017-02-15 | 中国科学院沈阳自动化研究所 | 一种基于Openflow协议的实时数据分发系统和方法 |
| CN105933245A (zh) * | 2016-06-23 | 2016-09-07 | 北京工业大学 | 一种软件定义网络中安全的可信接入方法 |
| CN106210042A (zh) * | 2016-07-11 | 2016-12-07 | 清华大学 | 一种基于端到端网络切片的用户服务请求选择方法 |
| CN106850443A (zh) * | 2017-02-10 | 2017-06-13 | 济南浪潮高新科技投资发展有限公司 | 一种基于tpm的sdn流表下发方法 |
Non-Patent Citations (3)
| Title |
|---|
| L.JACQUIN等: ""Towards trusted software-defined networks using a hardware-based Integrity Measurement Architecture"", 《PROCEEDINGS OF THE 2015 1ST IEEE CONFERENCE ON NETWORK SOFTWARIZATION (NETSOFT)》 * |
| 赖英旭等: "基于软件定义可信的网络切片技术", 《北京工业大学学报》 * |
| 邵彤: "基于软件定义可信的网络切片技术", 《中国优秀硕士学位论文全文数据库 信息科技辑》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110602150A (zh) * | 2019-10-16 | 2019-12-20 | 山东超越数控电子股份有限公司 | 一种sdn节点间可信认证方法 |
| US11243882B2 (en) | 2020-04-15 | 2022-02-08 | International Business Machines Corporation | In-array linked list identifier pool scheme |
| CN112243264A (zh) * | 2020-10-14 | 2021-01-19 | 中国联合网络通信集团有限公司 | 一种业务定制的方法、系统及网络设备 |
| CN112243264B (zh) * | 2020-10-14 | 2023-11-24 | 中国联合网络通信集团有限公司 | 一种业务定制的方法、系统及网络设备 |
| CN117784743A (zh) * | 2024-02-28 | 2024-03-29 | 西安热工研究院有限公司 | 一种可信dcs控制系统及方法 |
| CN117784743B (zh) * | 2024-02-28 | 2024-05-17 | 西安热工研究院有限公司 | 一种可信dcs控制系统及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2017214932A1 (zh) | 一种网络切片的资源管理方法和装置 | |
| CN107612731A (zh) | 一种基于软件定义可信的网络切片生成与可信恢复系统 | |
| WO2020258920A1 (zh) | 一种网络切片资源管理方法及设备 | |
| US9361039B2 (en) | Method, related apparatus, and system for virtual network migration | |
| CN106664216B (zh) | 一种切换vnf的方法和装置 | |
| Alleg et al. | Joint diversity and redundancy for resilient service chain provisioning | |
| CN105242956A (zh) | 虚拟功能服务链部署系统及其部署方法 | |
| Zhou et al. | Enhancing reliability via checkpointing in cloud computing systems | |
| WO2016058318A1 (zh) | 虚拟机vm资源弹性伸缩处理方法、装置及系统 | |
| CN109151045A (zh) | 一种分布式云系统及监控方法 | |
| US10735253B2 (en) | Alarm information reporting method and apparatus | |
| CN104298565B (zh) | 一种初始化端口的方法及装置 | |
| CN105700955A (zh) | 服务器系统的资源分配方法 | |
| CN109245926A (zh) | 智能网卡、智能网卡系统及控制方法 | |
| CN106598700A (zh) | 基于pacemaker的虚拟机的秒级高可用实现方法 | |
| CN114661462A (zh) | 资源分配方法、系统、计算机可读存储介质及电子设备 | |
| Addya et al. | A strategy for live migration of virtual machines in a cloud federation | |
| WO2018166366A1 (zh) | 用于虚拟网络功能扩容的方法和装置 | |
| Hanafy et al. | A new infrastructure elasticity control algorithm for containerized cloud | |
| CN110780974B (zh) | 一种移动边缘计算环境下面向工作流的容错调度方法 | |
| CN107306230B (zh) | 一种网络资源部署的方法、装置、控制器及核心网设备 | |
| CN109739634A (zh) | 一种原子任务执行方法及装置 | |
| WO2016000244A1 (zh) | 一种云计算下业务弹性的方法和装置 | |
| Ali et al. | Probabilistic normed load monitoring in large scale distributed systems using mobile agents | |
| CN106464541A (zh) | 基于网络功能虚拟化的故障处理方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180119 |
|
| RJ01 | Rejection of invention patent application after publication |