CN108234495A

CN108234495A - 一种基于自治系统多维属性的网络带宽分配方法

Info

Publication number: CN108234495A
Application number: CN201810008887.7A
Authority: CN
Inventors: 张尧
Original assignee: Zhengzhou Yunhai Information Technology Co Ltd
Current assignee: Suzhou Inspur Intelligent Technology Co Ltd
Priority date: 2018-01-04
Filing date: 2018-01-04
Publication date: 2018-06-29
Anticipated expiration: 2038-01-04
Also published as: CN108234495B

Abstract

本发明公开一种基于自治系统多维属性的网络带宽分配方法，包括网络权证建立过程和可用性指数的计算与更新过程。本方法权证在途经自治域之间通过逐跳的形式建立，同时根据本地存储并更新的各个自治域可用性指数，用户所需的接入带宽得以分配。在可用性指数的计算与更新过程中，详细考虑了多个维度的自治域网络属性，从而保证了具有延展性的用户层面带宽接入，以及具有公平性的源自治域层面带宽分配。该发明通过网络带宽分配技术，将有效提升当前数据中心网络对于DDoS攻击的免疫力，保障数据中心的服务性能与高可用性。

Description

一种基于自治系统多维属性的网络带宽分配方法

技术领域

本发明涉及自治系统网络带宽分配领域，具体涉及一种基于自治系统多维属性的网络带宽分配方法。

背景技术

云计算服务的蓬勃发展促进了网络数据中心的广泛部署与应用。然而，分布式拒绝服务(DDoS)攻击依旧是数据中心设施最具危害性的一项威胁。作为有效的DDoS防御手段之一，权证防御技术被提出并得到了逐步的发展。在权证方案中，接收者通过对某一发送者的数据流进行明确的授权，将该数据流的优先权进行保证。优先权通过发送者的权证进行反映，而每一权证由在数据传输路径上生成的一系列密码令牌，以及对应于每个数据流的受保障带宽所组成。

基于权证技术，数据中心网络可以实现有效的DDoS防护，合法的、携带权证的数据流隔离了未授权的恶意流。然而，如何在授权的数据流之间对网络带宽进行可延展的分配，依然是一项困难的问题――当世界范围内数以百万计的僵尸用户作为潜在的带宽竞争者时，基于每一数据流或者每个用户的带宽分配粒度显然无法保障DDoS防护的延展性。

为了在流的产生源头将其遏制，引入自治系统/自治域(AS，Autonomous System)概念的方案于近期被提出，并被认为是实现具有延展性权证方案的可行途径。但本质上现有技术使用了基于源自治域的均分策略来解决带宽分配问题，这一方式在提供AS层面的公平性上显得过于粗糙。例如，不同的自治域可能包含了数量上具有显著性差异的用户群体，对这些自治域进行网络资源均分显然不合情理。在缺乏对自治域本身进行全面评估的情况下，自治域层面的DDoS攻击防御效果将会大打折扣。因此对自治域的多维度网络属性进行全方位的研究并改进，对设计高性能的权证方案变得格外重要。

发明内容

为解决上述问题，本发明提供一种基于自治系统多维属性的网络带宽分配方法。

本发明的技术方案是：一种基于自治系统多维属性的网络带宽分配方法，包括网络权证建立过程和可用性指数的计算与更新过程；

所述网络权证建立过程包括以下步骤：

S1-1：发送者进行发送数据包的初始化；

S1-2：当数据包由源自治域发送至数据中心自治域时，途经自治域依次实施准入控制过程，并生成对应于该申请的网络权证；该步骤中本地尚未使用的网络带宽将根据每个源自治域的可用性指数被加权平均分配；

S1-3：依照基于可用性指数的加权平均分配结果，每个叶子节点将被给予一个可接入带宽的上界值；每个自治域可用带宽将被其内部产生的所有数据发送者共享；如果正在申请的数据流符合准入控制要求，即该申请所需带宽没有超过共享的平均上界值，则该申请所需带宽将在途经自治域被暂时性地分配，同时途经自治域为该申请生成权证密码令牌；若所有途经自治域都批准了该申请，则数据中心自治域将生成最终权证；

S1-4：数据中心自治域将新生成的权证发送回请求用户，以确认权证的申请；当收到新生成权证的时候，每个途经自治域将最终为该用户分配相应的带宽；

所述可用性指数的计算与更新过程包括以下步骤：

S2-1：当发送者带宽申请数据包到达路径上某一自治域时，会首先在该自治域的可用性指数表中，查询是否有申请包中源自治域标识符所对应的可用性指数，若存在，则根据该自治域的可用性指数表中实时的可用性指数，通过准入控制模块进行准入控制的过程；

S2-2：如果不存在源自治域的可用性指数，则数据包的权证信息将被发送至AI计算与更新模块，该AI计算与更新模块将为源自治域初始化一个可用性指数，并将该值返回至可用性指数表，从而带宽申请数据包将得以继续进行准入控制的过程；在权证建立路径的每个自治域，给定源自治域的原始可用性指数的计算方法如下：

AI'_S＝(P_S)^α·(R_S)^β·(C_S)^γ·(L_S)^ω,(0＜α,β,γ,ω＜1)

其中α，β，γ，ω均是加权参数，且满足α+β+γ+ω＝1；P_S，R_S，C_S和L_S分别是连接活跃度指数、带宽分配指数、带宽占用指数、本地属性指数的单个字节的变量，其取值范围在预设MIN到MAX变化；

S2-3：可用性指数计算与更新模块周期性地对所有活跃的源自治域的可用性指数值进行更新，并将更新后的可用性指数值同步至可用性指数表。

进一步地，步骤S1-1中发送者进行发送数据包的初始化具体包括以下步骤：

源自治域根据BGP协议，获悉一条路径向量，使每个位于源自治域中的用户在数据包中添加该路径来发送权证申请请求；

发送者在申请包中配置包括所需带宽的编码bw，并在申请包中标注数据流标识符flow_id、源自治域标识符AS_ID和权证截止时间exp。

进一步地，步骤S1-3中，途经自治域为该申请所生成权证密码令牌为：

Req(src)＝bw||exp||flow_id||AS_ID，

其中，k_i是仅由自治域ASi知悉的隐秘的CBC-MAC私钥；T_i(src)指自治域AS i处生成的权证密码令牌；

数据中心自治域所生成最终权证为：

C_src＝T₀(src)||T₁(src)||…||T_N+1(src)，

其中，N为途经自治域的个数。

进一步地，步骤S2-2中，参数L_S通过下式计算：

其中，n为路径中节点跳数，l为判断某一路径的基准值。

进一步地，步骤S2-3中可用性指数值通过以下公式进行更新：

AI_S[t]＝(1-x)AI'_S+xAI_S[t-1],(t>1,0＜x＜1)

其中x为迭代计算的阻尼系数值。

进一步地，步骤S2-3中可用性指数计算与更新模块周期性地对所有活跃的源自治域的可用性指数值进行更新包括对连接活跃指数与带宽分配指数的更新，连接活跃指数更新P_S[t_pr]与带宽分配指数更新R_S[t_pr]的计算公式分别如下：

其中N_S[t_pr]和B_S[t_pr]分别是当前更新间隔内给定源自治域中已连接用户的数量与该源自治域已分配带宽量。

进一步地，步骤S2-3中可用性指数计算与更新模块周期性地对所有活跃的源自治域的可用性指数值进行更新包括对带宽占用指数的更新，带宽占用指数更新C_S[t_c]由下式计算得到：

其中，B_S[t_c]对应更新间隔t_c内源自治域的合法带宽分配，参数r是合法使用带宽的激励值，参数p为过度使用带宽的惩罚值。

进一步地，网络权证建立过程还包括步骤：

S1-5：当在某一途经自治域或数据中心自治域处，权证申请被拒绝时，一个错误信息包会被返回给发送者。

本发明提供的基于自治系统多维属性的网络带宽分配方法，权证在途经自治域之间通过逐跳的形式建立，同时根据本地存储并更新的各个自治域可用性指数，用户所需的接入带宽得以分配。在可用性指数的计算与更新过程中，详细考虑了多个维度的自治域网络属性，从而保证了具有延展性的用户层面带宽接入，以及具有公平性的源自治域层面带宽分配。该发明通过网络带宽分配技术，将有效提升当前数据中心网络对于DDoS攻击的免疫力，保障数据中心的服务性能与高可用性。

附图说明

图1是本发明具体实施例网络权证建立过程示意图。

图2是本发明具体实施例可用性指数计算与更新过程示意图。

具体实施方式

下面结合附图并通过具体实施例对本发明进行详细阐述，以下实施例是对本发明的解释，而本发明并不局限于以下实施方式。

本发明所涉及术语解释如下：

计算机网络中，Autonomous System(AS)称之为自治系统，也叫自治域。

源自治域是指数据包发送者所在的自治域；数据包发送者(是一个用户)即source，简称为src。

目标自治域是指数据包接收者所在的自治域。数据包接收者(也可以是一个用户)为destination，即目标。当目标为数据中心时，称为数据中心自治域。

叶子自治域或叶子节点是指包含用户的自治域。特别的，源自治域和目标自治域都属于叶子自治域。

途经自治域(transit AS，即途经AS)是指起数据包传递作用的其他自治域。在网络架构中，途经自治域不存在终端用户，仅仅起到数据传递作用。

本发明所提供的基于自治系统多维属性的网络带宽分配方法，其核心思想是：结合了源自治域动态和静态的网络属性，具体涉及了四项关键的自治域指标，即在权证建立的过程中详细考虑了(1)用户连接活跃性，(2)带宽分配量，(3)实际带宽占用量，(4)域间路径长度四个源自治域属性。根据上述属性，在途经自治域(的边缘路由器)以及数据中心，每个源自治域的可用性指数(AI，Availability Index)被独立、周期性地更新。更高的连接用户数和带宽分配量将对AI产生积极的反馈影响(反之亦然)，而带宽的过度使用将对AI产生消极影响，因为在此情况下源自治域有可能被僵尸网络污染。进一步地，距离数据中心更近的源自治域将得到更高的AI值(反之亦然)，因为一般情况下本地区(即来自临近自治域)访问占据了数据中心的大部分数据流。在权证生成阶段，自治域的当前AI值将为该自治域确定一个带宽使用的上界值，该上界带宽将被平均分配给自治域中的所有数据发送者。这样，源自治域之间细粒度的带宽分配得以实现，同时自治域内部每个终端用户具有延展性的带宽防护也得到了保障。

本方法具体包括网络权证的建立过程与可用性指数的计算与更新过程。在此考虑一个由多个途经自治域与叶子自治域构成的数据中心网络。作为一个特殊的叶子自治域，数据中心自治域是所有用户网络连接的终点，以接收网络数据。而在发送数据之前，每个源自治域使用BGP协议(Border Gateway Protocol，边界网关协议)获取一条域间路径。

以如图1所示示例进行说明，网络权证建立过程包括以下步骤：

步骤1-1：发送者src进行发送数据包的初始化。初始化具体包括如下步骤：

步骤1-1.1：源自治域根据BGP协议，获悉了一条路径向量。例如，图1所示的示例中，该路径向量为(AS 0，AS 1，AS 2，AS 3)，其中AS 0为源自治域，AS3为数据中心自治域。这样每个位于源自治域中的用户(包括发送者src)在数据包中添加该路径，来发送权证申请请求。

步骤1-1.2：发送者src在申请数据包中配置包括所需带宽的编码值bw。

步骤1-1.3：发送者src在申请包中标注数据流标识符flow_id，该标识符使用位于数据包中的网络五元组，即发送者IP地址、发送者端口号、接收者IP地址、接收者端口号、协议编号。

步骤1-1.4：发送者src在申请包中标注源自治域标识符AS_ID，该标识符使用自治系统编号(ASN)。

步骤1-1.5：发送者src在申请包中标注权证截止时间exp，具体来说，权证截止时间是一个相对于当前时间，具有固定有效期限(如30秒)的时间戳。

步骤1-2：当数据包由源自治域发送至数据中心自治域时，途经AS依次实施准入控制过程，并生成对应于该申请的网络权证。上述操作的实现依赖于途经AS独立存储并更新的源自治域本地可用性指数(AI)，根据每个源自治域的可用性指数，本地尚未使用的网络带宽将被加权平均分配。例如，当五个叶子节点均为活跃AS时，AS 1，AS 2，AS 5将分别维持2个，5个，2个AI值。在AS 1处，如果AS4对应的AI值是AS 0的AI值的一半，那么AS 1给AS 0的带宽分配量将是AS 4可用带宽量的2倍。

S1-3：依照基于可用性指数的加权平均分配结果，每个叶子节点将被给予一个可接入带宽的上界值；每个自治域可用带宽将被其内部产生的所有数据发送者共享；如果正在申请的数据流符合准入控制要求，即该申请所需带宽没有超过共享的平均上界值，则该申请所需带宽将在途经自治域被暂时性地分配，同时途经自治域为该申请生成权证密码令牌：

Req(src)＝bw||exp||flow_id||AS_ID，

其中k_i是仅由ASi知悉的隐秘的CBC-MAC(CBC，Cipher Block Chaining密码分组链接模式；MAC，Message Authentication Code消息认证码)私钥。T_i指自治域ASi处生成的权证密码令牌。

若所有途经自治域都批准了该申请，则数据中心自治域将生成最终权证:

C_src＝T₀(src)||T₁(src)||…||T_N+1(src)，

其中N为途经AS的个数。

步骤1-4：数据中心将新生成的权证发送回请求用户，以确认权证的申请。当收到新生成权证的时候，每个途经AS将最终为该用户分配相应的带宽。因此，用户可以在后续的数据包中插入新权证，来获取受保证的网络数据传输服务。由于权证仅在短时间内有效，用户根据需要选择周期性地更新并延续自身的权证。按照这样的方式，网络运营商(途经AS)便可以有效地重新整合本地资源，单个用户的带宽分配也将始终保持与最新的可用性指数相一致。

步骤1-5：当在某一途经AS或数据中心AS处，权证申请被拒绝时，一个错误信息包会被返回给发送者。在信息包将编码以提示错误的类型，如目的地策略不符或者申请带宽过量。此外根据错误信息包，之前已暂时为某一发送者分配的临时带宽，也可以在其他途经AS处被释放。

如图2所示为可用性指数的计算与更新过程，其计算(包括初始化)与更新过程如附图2所示。从带宽接入的角度出发，发明结合在可用性指数计算中4个自治系统属性维度：(1)用户连接活跃性(对应连接活跃指数P)，即具有合法权证的连接用户数；(2)带宽分配量(对应带宽分配指数R)，即由某一自治域申请并分配的整体带宽量；(3)实际带宽占用量(对应带宽占用指数C)，即从某一自治域发送的网络数据流量；(4)域间路径长度(对应本地属性指数L)，即由既定自治域到数据中心AS之间的域间路由距离。具体包括以下步骤：

步骤2-1：当发送者带宽申请数据包到达路径上某一自治域时，会首先在该自治域的可用性指数表中，查询是否有申请包中源自治域标识符所对应的可用性指数，若存在，则根据表中实时的可用性指数，通过准入控制模块进行准入控制的过程(参见上述步骤1-2)。

步骤2-2：如果不存在源自治域的可用性指数，则数据包的权证信息C_src将被发送至AI计算与更新模块，该模块将为源自治域初始化一个可用性指数，并将该值返回至可用性指数表，从而带宽申请数据包将得以继续进行准入控制的过程。在权证建立路径的每个自治域，给定源自治域(用ASS表示源自治域)的原始可用性指数的计算方法如下：

AI'_S＝(P_S)^α·(R_S)^β·(C_S)^γ·(L_S)^ω,(0＜α,β,γ,ω＜1)

其中α，β，γ，ω均是加权参数，且满足α+β+γ+ω＝1。P_S，R_S，C_S和L_S分别是连接活跃度指数、带宽分配指数、带宽占用指数、本地属性指数的单个字节的变量，其取值范围在预设MIN(设为0)到MAX(设为255)变化。

P_S与R_S的更新间隔都为分钟级。与之相比，C_S的更新更为频繁，这是由于某一自治域的实际数据发送速率可能会产生不可预知的波动。对某新加入源AS的参数进行初始化时，P_S，R_S，C_S将被分别配置中间值MID(128)。而由于源自治域的域间路由路径往往保持稳定，在上式中使用常量值L_S来刻画某一源自治域的本地属性。

步骤2-2.1：对于途经AS，由于L_S值的判断不仅需要源自治域的信息，同时还需要所有源自治域及其对应目标自治域的二元对的信息。这是因为在某一途经AS处，可能有来自多个自治域的数据包，分别发送到多个不同的数据中心(即目标自治域可能不同)，所以需要每个源自治域、目标自治域二元对信息。这样的二元对的维护和查询，不仅操作繁琐、代价高，而且在考虑可在目标自治域直接进行L_S值控制的情形下，也变得冗余。因此，在途经AS一个默认的L_S常量值将被设置(如MID)。

步骤2-2.2：数据中心自治域将负责设置每个特定源自治域的域间路径长度值(本地属性指数)。因为临近域的带宽使用占数据中心带宽的主要部分，因此具有更近域间距离的网络连接将具有更高的优先级。具体来说，域间位置信息可以通过数据包中所建立的权证信息C_src得到确认：当一个包含4个密码令牌的权证到达数据中心自治域时，该权证也间接验证了一个具有三跳(3-hop)距离的域间路径。所以，参数L_S可以通过下式计算：

其中n为路径中节点跳数，l为判断某一路径的基准值。该基准值充分短，不失一般性地，在此选择4作为上式计算中的基准值。

步骤2-3：AI计算与更新模块周期性地对所有活跃的源自治域的AI值进行更新，并将更新后的AI值同步至可用性指数表。由于网络属性参数本身的变化具有振荡性质，发明使用前一时间间隔内的AI值作为反馈，进行迭代计算得到当前时间间隔内修正后的可用性指数值：

AI_S[t]＝(1-x)AI'_S+xAI_S[t-1],(t>1,0＜x＜1)

其中x为迭代计算的阻尼系数值，t代表当前时间间隔，t-1则代表上一时间间隔；AI'_S是在每个时间间隔内，计算得到的原始可用性指数的值，见步骤2-2。在某一属性指数出现更新时，AI’的计算与AI的更新将被执行。因此在AI更新进一步包括如下步骤：

步骤2-3.1：连接活跃指数与带宽分配指数的更新。在权证建立的过程中，一旦某一数据流被授权，其分配的带宽量在途经所有AS的带宽审计表中记录。带宽审计表来记录更新周期内所有来自每一源AS的带宽分配。根据带宽审计表，每个途经AS都可以周期性地检查表中各分配项，从而评估活跃叶子自治域节点的连接活跃度与带宽分配属性。为了叙述的简洁性，对于连接活跃指数与带宽分配指数，在此考虑同等大小的更新时间间隔。在每个更新间隔中，途经AS清点(1)所有连接用户的总数N_all[t_pr]以及(2)已分配的总带宽量B_all[t_pr]。这样，对于给定的源自治域，实时的连接活跃指数P_S[t_pr]与带宽分配指数R_S[t_pr]的计算方法分别如下：

其中N_S[t_pr]和B_S[t_pr]分别是当前更新间隔内给定源自治域中已连接用户的数量与该源自治域已分配带宽量。需要注明的是，P_S和R_S的最小值下界均为1，这保证了每个合法叶子自治域都可以获取一定量的数据中心接入带宽。

步骤2-3.2：带宽占用指数的更新。当终端用户建立权证之后，在权证有效期内该用户获得了具有带宽保障的数据中心接入能力。但如果大量用户发送的数据流量都超出所分配的带宽，数据中心将会出现拥堵甚至崩溃。发明通过带宽占用指数刻画给定自治域的实际带宽消耗情况。从自治域层面解决带宽过度使用问题，避免了精确监控每个恶意数据流所造成的高额代价，同时，自治域角度的(群体行为)解决策略也可以最小化由于单个用户流量出现正常激增而造成的误判情形。具体来说，通过途经自治域流量监控模块对于某一源自治域的普通数据流量的监控结果，可以得到既定源自治域AS S在每个更新间隔内的实际带宽占用量U_S[t_c]。进一步，通过带宽分配审计表的协助，AS S的带宽占用指数C_S[t_c]可由下式计算得到：

其中B_S[t_c]对应更新间隔t_c内AS S的合法带宽分配，参数r是合法使用带宽的激励值，参数p为过度使用带宽的惩罚值。带宽占用指数的计算中，第二部分的惩罚值由一个增长率为d的指数函数控制，因此细微的带宽过度使用只会造成C_S[t_c]上接近p+1的常量值缩减。然而，当出现显著的过度使用带宽时，第二部分惩罚值将以指数形式陡增，使得C_S[t_c]锐减到MIN值。

带宽占有指数为MIN的源自治域，其AI值也会逐渐降至0，将强制使其无法获得任何带宽资源。此外，对于带宽占用指数为MIN的自治域，AI计算与更新模块将把这些自治域的标识符反馈给流量监控模块，这些标识符将被添加至黑名单中。这样来自这些自治域的数据流量会被路径上的AS丢弃，其屏蔽时间取决于这些途经AS的本地策略。

本发明结合了4项自治系统属性，并给出了各个属性更新的机制与实现方法。发明可以保证全球范围内用户接入数据中心的可延展性，以及不同源自治域之间实现了网络带宽资源分配的公平性。发明充分结合了现有的互联网协议和轻量级的计算操作，可有效地被现今的大型数据中心所部署。

以上公开的仅为本发明的优选实施方式，但本发明并非局限于此，任何本领域的技术人员能思之的没有创造性的变化，以及在不脱离本发明原理前提下所作的若干改进和润饰，都应落在本发明的保护范围内。

Claims

1.一种基于自治系统多维属性的网络带宽分配方法，其特征在于，包括网络权证建立过程和可用性指数的计算与更新过程；

所述网络权证建立过程包括以下步骤：

S1-1：发送者进行发送数据包的初始化；

所述可用性指数的计算与更新过程包括以下步骤：

AI'_S＝(P_S)^a·(R_S)^β·(C_S)^γ·(L_S)^ω,(0＜α,β,γ,ω＜1)

2.根据权利要求1所述的基于自治系统多维属性的网络带宽分配方法，其特征在于，步骤S1-1中发送者进行发送数据包的初始化具体包括以下步骤：

3.根据权利要求2所述的基于自治系统多维属性的网络带宽分配方法，其特征在于，步骤S1-3中，途经自治域为该申请所生成权证密码令牌为：

Req(src)＝bw||exp||flow_id||AS_ID，

数据中心自治域所生成最终权证为：

C_src＝T₀(src)||T₁(src)||…||T_N+1(src)，

其中，N为途经自治域的个数。

4.根据权利要求1、2或3所述的基于自治系统多维属性的网络带宽分配方法，其特征在于，步骤S2-2中，参数L_S通过下式计算：

其中，n为路径中节点跳数，l为判断某一路径的基准值。

5.根据权利要求4所述的基于自治系统多维属性的网络带宽分配方法，其特征在于，步骤S2-3中可用性指数值通过以下公式进行更新：

AI_S[t]＝(1-x)AI'_S+xAI_S[t-1],(t>1,0＜x＜1)

其中x为迭代计算的阻尼系数值。

6.根据权利要求5所述的基于自治系统多维属性的网络带宽分配方法，其特征在于，步骤S2-3中可用性指数计算与更新模块周期性地对所有活跃的源自治域的可用性指数值进行更新包括对连接活跃指数与带宽分配指数的更新，连接活跃指数更新P_S[t_pr]与带宽分配指数更新R_S[t_pr]的计算公式分别如下：

7.根据权利要求6所述的基于自治系统多维属性的网络带宽分配方法，其特征在于，步骤S2-3中可用性指数计算与更新模块周期性地对所有活跃的源自治域的可用性指数值进行更新包括对带宽占用指数的更新，带宽占用指数更新C_S[t_c]由下式计算得到：

8.根据权利要求1-3、5-7任一项所述的基于自治系统多维属性的网络带宽分配方法，其特征在于，网络权证建立过程还包括步骤：