CN113259175A - 一种边缘计算环境下的安全服务与功能服务联合编排方法 - Google Patents

一种边缘计算环境下的安全服务与功能服务联合编排方法 Download PDF

Info

Publication number
CN113259175A
CN113259175A CN202110649247.6A CN202110649247A CN113259175A CN 113259175 A CN113259175 A CN 113259175A CN 202110649247 A CN202110649247 A CN 202110649247A CN 113259175 A CN113259175 A CN 113259175A
Authority
CN
China
Prior art keywords
service
edge
vnf
chain
delay
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110649247.6A
Other languages
English (en)
Other versions
CN113259175B (zh
Inventor
郭得科
郑龙
秦煜东
罗来龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
National University of Defense Technology
Original Assignee
National University of Defense Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by National University of Defense Technology filed Critical National University of Defense Technology
Priority to CN202110649247.6A priority Critical patent/CN113259175B/zh
Publication of CN113259175A publication Critical patent/CN113259175A/zh
Application granted granted Critical
Publication of CN113259175B publication Critical patent/CN113259175B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0893Assignment of logical groups to network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • H04L41/0803Configuration setting
    • H04L41/0823Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network

Abstract

本发明公开了一种边缘计算环境下的安全服务与功能服务联合编排方法,包括以下步骤:A、建立一个具有
Figure DEST_PATH_IMAGE001
个异构边缘站点和一个远程云的边缘系统,所述边缘站点通过回程网络连接,每个边缘站点与无线接入点相关联;B、服务提供商在边缘系统部署功能服务和安全服务;C、用户通过接入点向边缘系统发送请求,每个用户请求都与它需要的功能服务和它到达的边缘站点相关联;D、设立高效安全部署问题,所述高效安全部署问题的目标是在安全部署模式下,获得在服务延迟上界内处理的最大用户请求数;E、使用启发式算法求解高效安全部署问题的最优解。本发明能够解决现有技术的不足,在提供延迟保证的同时,实现了安全保护和高资源利用率。

Description

一种边缘计算环境下的安全服务与功能服务联合编排方法
技术领域
本发明涉及网络通讯技术领域,具体是一种边缘计算环境下的安全服务与功能服务联合编排方法。
背景技术
近年来,边缘计算作为一种能够提高网络服务质量的计算模式得到了极大的发展。它在更接近用户的网络边缘提供存储和计算资源。在这一模式下,服务提供商可以将他们的网络服务从远程的云卸载到网络边缘,这对延迟敏感或计算密集型的服务有很大增益。
网络功能虚拟化(NFV)是近年来另一种具有良好应用前景的技术,服务提供商能够利用这项技术在降低资本和运营成本的情况下灵活地提供服务。NFV将网络功能从专用硬件转换为基于软件的模块。这些软件模块被称为虚拟网络功能(VNFs),他们可以快速灵活地在商用服务器上安装或卸载。使用NFV,服务提供商可以提供由VNF链实现的网络服务,该链通常由一系列有序的VNF组成。在这种情况下,网络服务处理用户请求的过程,就是用户请求被VNF链中的VNF按顺序处理的过程。在实际应用中,同一服务的不同vnf可以部署在网络中的不同设备上。
通过在边缘服务器上部署VNFs,服务提供商可以减少网络服务与用户之间的端到端延迟,从而改善用户体验。此外,通过灵活部署VNF,服务提供商可以通过按需模式为用户提供服务,减少维护费用,提高资源利用率。由于对用户和服务提供商都有益处,在网络边缘上部署服务(VNF链)的研究变得越来越有吸引力。无论是服务提供商向网络运营商租用边缘资源,还是建立自己的边缘站点,现有的边缘资源都是有限的、异构的,给服务部署带来了很大的挑战。因此,现有的大多数工作都从成本或QoS的角度关注边缘资源的有效利用。
然而,上述工作是基于一个理想的假设,即边缘环境是完全安全的(即不存在恶意用户,或者边缘站点可以提供足够强大的安全保护)。因此,服务提供商可以使用所有资源来部署功能服务来为用户提供服务。我们认为这种假设是不实际的。首先,网络中可能总是有恶意用户试图窃取信息或干扰VNF的正常运行。其次,一些边缘站点是由微型服务器或过时的边缘设备组成的,而这些设备无法保证高级别的安全性。因此,在没有考虑安全保护的情况下部署功能服务是存在较大风险的。这就是为什么生产网络总是需要防火墙、深度包检测、入侵检测等安全服务的原因。换句话说,安全服务和功能服务应该共存于网络边缘。只有经过安全服务的检查,数据流才能进入功能服务。当用户请求爆炸时,这两种服务可能会竞争有限的边缘资源。
由于边缘站点的资源有限且异构,一个自然会想到的问题是如何联合部署安全和功能服务来满足最多数目的用户请求。我们注意到当前有很多工作,单独考虑部署其中某一类型的服务,即单独部署安全服务或功能服务。然而,这些方法不适用于我们的情况。原因是他们未能在这两种服务之间取得平衡。因此,需要一种新的编排方案来解决安全服务与功能服务的联合部署问题。
发明内容
本发明要解决的技术问题是提供一种边缘计算环境下的安全服务与功能服务联合编排方法,能够解决现有技术的不足,在提供延迟保证的同时,实现了安全保护和高资源利用率。
本发明的内容包括以下步骤:
A、建立一个具有N个异构边缘站点和一个远程云的边缘系统,所述边缘站点通过回程网络连接,使得用户请求被非本地边缘站点服务,从边缘站点i到j的传输延迟被表示为
Figure 628982DEST_PATH_IMAGE001
,设
Figure 368530DEST_PATH_IMAGE002
Figure 418394DEST_PATH_IMAGE003
,每个边缘站点与无线接入点相关联;当边缘系统无法满足用户请求时,用户请求将通过互联网迁移到远程云上处理,
Figure 124926DEST_PATH_IMAGE004
表示边缘站点i的资源容量,所述资源为一个包含计算、带宽和存储容量的三维向量;
B、服务提供商在边缘系统部署功能服务,用以满足用户需求;服务提供商在边缘系统部署安全服务,用以检查用户请求存在的安全风险;功能服务的集合表示为F,安全服务表示为
Figure 311056DEST_PATH_IMAGE005
C、用户通过接入点向边缘系统发送请求,设有U个用户请求,
Figure 362451DEST_PATH_IMAGE006
Figure 758666DEST_PATH_IMAGE007
表示需要功能服务f的用户请求集合,每个用户请求都与它需要的功能服务和它到达的边缘站点相关联,如果用户请求没有在边缘系统上调度,它将被传输到远程云处理;
D、设立高效安全部署问题,所述高效安全部署问题的目标是在安全部署模式下,获得在服务延迟上界内处理的最大用户请求数,表示为在约束条件下的整数规划模型
Figure 144255DEST_PATH_IMAGE008
Figure 184892DEST_PATH_IMAGE009
,表示用户请求u是否在边缘站点被处理;
E、使用启发式算法求解高效安全部署问题的最优解。
作为优选,步骤B中,
每个服务都具体实现为一个特定的VNF链,VNF为虚拟网络功能,该链由一个有序的VNF序列组成;
Figure 735084DEST_PATH_IMAGE010
表示服务f的VNF链中的链路集合,对于服务i的VNF链,
Figure 103749DEST_PATH_IMAGE011
表示该链的处理能力,即这条链可以同时处理的最大用户请求数,
Figure 122389DEST_PATH_IMAGE012
表示包含在服务f的VNF链中的VNF集合,
Figure 516068DEST_PATH_IMAGE013
表示v的资源需求,部署服务是指确定相应VNF链的实例数,以及每个VNF链实例的嵌入方案。
作为优选,服务提供商为用户提供的不同种类的功能服务具有延迟上界;在安全部署模式中,延迟上界把安全服务所消耗的时间包含在内;设VNF处理用户请求所花费的时间是恒定的,总的延迟中不确定的部分仅与边缘站点之间的传输延迟有关。
作为优选,步骤D中,约束条件包括,
安全约束,为了提供安全保护,在边缘上处理的用户请求必须由安全服务处理,
Figure 345484DEST_PATH_IMAGE014
处理能力约束,对于安全服务和功能服务的每个VNF链实例,处理能力约束保证调度给它的用户请求不会超过它的处理能力,
Figure 326078DEST_PATH_IMAGE015
Figure 915454DEST_PATH_IMAGE016
资源约束,对于每个边缘站点,放置在其上的所有VNF所需的总资源不得超过其资源容量,
Figure 399525DEST_PATH_IMAGE017
完整性约束,对于每个VNF链实例,其中包含的所有VNF都应该放在某个边缘站点上,以确保链正常工作,
Figure 399842DEST_PATH_IMAGE018
QoS约束,对于边缘系统处理的每个用户请求,应该由其所需的功能服务来处理,
Figure 287639DEST_PATH_IMAGE019
Figure 664393DEST_PATH_IMAGE020
定义为功能服务f的VNF链实例
Figure 35594DEST_PATH_IMAGE021
所引起的延迟,
Figure 190501DEST_PATH_IMAGE022
Figure 755474DEST_PATH_IMAGE023
Figure 559089DEST_PATH_IMAGE024
分别表示服务i的VNF链中的第一个与最后一个VNF,
Figure 142386DEST_PATH_IMAGE025
为实例j中从
Figure 484506DEST_PATH_IMAGE023
Figure 162874DEST_PATH_IMAGE024
的传输时延,
Figure 130699DEST_PATH_IMAGE026
Figure 231420DEST_PATH_IMAGE027
表示用户请求u到达和离开的边缘站点,
Figure 10020DEST_PATH_IMAGE028
为从
Figure 408641DEST_PATH_IMAGE029
到实例i的
Figure 681621DEST_PATH_IMAGE023
的传输时延,
Figure 114877DEST_PATH_IMAGE030
为实例i的
Figure 798799DEST_PATH_IMAGE031
Figure 42305DEST_PATH_IMAGE032
的传输时延,
Figure 102665DEST_PATH_IMAGE033
Figure 390427DEST_PATH_IMAGE034
延迟约束描述为,
Figure 995983DEST_PATH_IMAGE035
决策变量约束,
Figure 634775DEST_PATH_IMAGE036
Figure 233246DEST_PATH_IMAGE037
Figure 998683DEST_PATH_IMAGE038
Figure 414621DEST_PATH_IMAGE039
Figure 884917DEST_PATH_IMAGE040
其中,
Figure 37812DEST_PATH_IMAGE041
表示服务j部署的VNF链实例的数目,
Figure 644374DEST_PATH_IMAGE042
表示用户请求u是否被相应功能服务的第i个VNF链实例处理,
Figure 231213DEST_PATH_IMAGE043
表示用户请求u是否被安全服务的第i个VNF链实例处理,
Figure 202186DEST_PATH_IMAGE044
表示服务f的第i个VNF链实例中的v是否部署在边缘站点n;
Figure 142461DEST_PATH_IMAGE045
的定义为:边缘站点集合;
Figure 259321DEST_PATH_IMAGE046
的定义为:用户请求集合,需要服务
Figure 643160DEST_PATH_IMAGE047
的用户请求的集合;
Figure 822469DEST_PATH_IMAGE048
的定义为:功能服务集合,安全服务;
Figure 956647DEST_PATH_IMAGE049
的定义为:在服务i的VNF链中,VNF的集合与链路的集合;
Figure 551183DEST_PATH_IMAGE050
的定义为:边缘站点i的资源容量;
Figure 479825DEST_PATH_IMAGE051
的定义为:VNF
Figure 677588DEST_PATH_IMAGE052
的资源需求与处理容量;
Figure 710397DEST_PATH_IMAGE053
的定义为:功能服务i的延迟上界;
Figure 801850DEST_PATH_IMAGE054
的定义为:边缘站点i与j的传输时延;
Figure 776759DEST_PATH_IMAGE055
的定义为:用户请求u是否在边缘站点被处理的标志符;
Figure 350566DEST_PATH_IMAGE056
的定义为:用户请求u是否被安全服务的第i个VNF链实例处理,是否被相应功能服务的第i个VNF链实例处理的标志符;
Figure 826547DEST_PATH_IMAGE057
的定义为:服务f的第i个VNF链实例中的VNF
Figure 398605DEST_PATH_IMAGE052
是否部署在边缘站点
Figure 934629DEST_PATH_IMAGE058
的标志符;
Figure 841405DEST_PATH_IMAGE059
的定义为:服务i部署的VNF链实例的数目。
作为优选,所述高效安全部署问题为NP难问题。
作为优选,步骤E中,使用增量资源分配策略作为启发式算法的整体框架;
所述增量资源分配策略包括,
部署方案,用于记录每一个服务是如何部署的,包含每一个VNF链实例的嵌入方案;
调度方案,用于记录每一个用户请求分别被安全服务和功能服务的哪一个VNF链实例所处理;
当边缘系统资源不足时,增量资源分配策略终止;使用VNF链嵌入算法为每个服务的VNF链生成嵌入方案
Figure 354032DEST_PATH_IMAGE060
;嵌入方案记录了一个VNF链实例的每一个VNF放置在哪一个边缘站点上;VNF链嵌入方法表示为函数
Figure 810290DEST_PATH_IMAGE061
,如果当前资源足够嵌入服务i的VNF链,
Figure 487522DEST_PATH_IMAGE061
Figure 881594DEST_PATH_IMAGE062
的值置为
Figure 699377DEST_PATH_IMAGE063
,否则置为
Figure 243097DEST_PATH_IMAGE064
,如果当前资源无法放置任何服务的VNF链,那么这个过程将停止;函数
Figure 120924DEST_PATH_IMAGE065
用于计算增益和调度方案,具有最大增益的VNF链被实际嵌入,嵌入新链后,相关参数将更新;函数
Figure 736713DEST_PATH_IMAGE066
是以贪婪的方式实现的,对于每个尚未调度的用户请求,函数
Figure 718706DEST_PATH_IMAGE066
检查每个安全服务和相应的功能服务的VNF链实例构成的实例对,如果该用户请求能够被其中任意一个实例对在延迟上界内处理,则将该用户添加到
Figure 493764DEST_PATH_IMAGE067
中去,将该实例组合添加到
Figure 152279DEST_PATH_IMAGE068
中去。
作为优选,资源分配次数为恒定的k,每次都会触发
Figure 26604DEST_PATH_IMAGE065
函数和
Figure 186190DEST_PATH_IMAGE061
函数S次,S是所有服务的数量,每次运行
Figure 425542DEST_PATH_IMAGE065
函数需要
Figure 146635DEST_PATH_IMAGE069
次计算,U是用户请求数,
Figure 986284DEST_PATH_IMAGE061
函数每次运行需要
Figure 559348DEST_PATH_IMAGE070
次计算,T是VNF链的VNF数,N是边缘站点数,总计算复杂度为
Figure 541954DEST_PATH_IMAGE071
作为优选,步骤E中,使用VNF链嵌入方法具体描述框架中服务部署的步骤,
每个VNF的放置位置有N种,根据评估指标对这
Figure 791539DEST_PATH_IMAGE073
个选择中的每一个进行评分;设
Figure 869216DEST_PATH_IMAGE074
表示VNF链中的第t个VNF,
Figure 872069DEST_PATH_IMAGE075
表示在边缘站点i上放置
Figure 600860DEST_PATH_IMAGE076
的评分;放置
Figure 772078DEST_PATH_IMAGE077
的评分是基于放置
Figure 960221DEST_PATH_IMAGE076
的评分计算的;根据
Figure 858775DEST_PATH_IMAGE076
的每个选择计算
Figure 84483DEST_PATH_IMAGE078
,并选出其中得分最高的一个,即
Figure 692181DEST_PATH_IMAGE079
Figure 728139DEST_PATH_IMAGE080
是当
Figure 69866DEST_PATH_IMAGE076
放置在站点k上时,
Figure 258402DEST_PATH_IMAGE077
放置在站点i上的评估指标;对于每个边缘站点
Figure 161636DEST_PATH_IMAGE081
计算
Figure 186354DEST_PATH_IMAGE078
,并记录其对应的
Figure 708603DEST_PATH_IMAGE076
的选择,用最高的分数做为最后的选择,然后回溯到
Figure 141858DEST_PATH_IMAGE082
在嵌入VNF链时,具有资源限制和传输延迟两个约束;要嵌入的VNF链有T个VNF,并将第i个VNF表示为
Figure 839162DEST_PATH_IMAGE083
,所有的VNF都有相同的N种选择进行放置,它们被描述为
Figure 459499DEST_PATH_IMAGE084
Figure 785439DEST_PATH_IMAGE085
表示VNF被放置在边缘站点i上;
计算矩阵M来记录每个边缘站点的可用资源,M的第i行表示选择
Figure 433720DEST_PATH_IMAGE085
,第j列表示在每种选择下边缘站点j的剩余资源,
Figure 413177DEST_PATH_IMAGE086
表示第i行和第j列的交点,VNF链中的VNF按顺序更新矩阵M
Figure 927335DEST_PATH_IMAGE087
定义资源指标
Figure 273609DEST_PATH_IMAGE088
来评估在边缘站点i上放置
Figure 150299DEST_PATH_IMAGE076
的选择,设其前一个VNF放置在边缘站点k上,其中
Figure 707182DEST_PATH_IMAGE089
是放置
Figure 69155DEST_PATH_IMAGE076
所需的资源,
Figure 720585DEST_PATH_IMAGE090
是一个小于最小资源单位的正值,用以防止
Figure 592726DEST_PATH_IMAGE091
Figure 943680DEST_PATH_IMAGE092
导致的错误,
Figure 150539DEST_PATH_IMAGE093
Figure 982491DEST_PATH_IMAGE094
表示在
Figure 974718DEST_PATH_IMAGE076
选择
Figure 591513DEST_PATH_IMAGE085
的情况下
Figure 925149DEST_PATH_IMAGE077
选择
Figure 669114DEST_PATH_IMAGE085
的概率,
Figure 640481DEST_PATH_IMAGE095
表示从边缘站点i到边缘站点j的延迟,
Figure 195222DEST_PATH_IMAGE096
对于没有前一个VNF的第一个VNF,将延迟指标计算为
Figure 127405DEST_PATH_IMAGE097
,其中
Figure 799695DEST_PATH_IMAGE098
表示从初始边缘站点到边缘站点i的延迟,并且初始边缘站点是具有最多相应请求的站点,
Figure 537754DEST_PATH_IMAGE099
对于第一个VNF,资源指标被计算为
Figure 637298DEST_PATH_IMAGE100
,矩阵M和资源指标是动态更新的,通过回溯得分最高的最终选择,生成嵌入方案。
作为优选,当出现恶意用户请求时,估计恶意用户请求在所有用户请求中所占的比例
Figure 56778DEST_PATH_IMAGE101
,当恶意用户请求是非自适应的时候,使用观察到的经验平均值作为估计值;将功能服务的总处理能力提高
Figure 158857DEST_PATH_IMAGE102
,然后调度用户请求,当调度到同一VNF链的正常请求超过了处理能力,则随机挑选超量的请求迁移到云。
作为优选,根据延迟和资源指标对VNF的每个选择进行评分,具有以下3种模式,
1)负载均衡模式,资源指标值随着边缘站点的可用资源增加而升高;
2)集中模式,根据资源利用率设计资源指标,站点被选择放置一个新的VNF的概率随着VNF放置数量增加而升高;
3)QoS模式,根据延迟来计算评分,当边缘站点有足够的资源用于放置新的VNF时,将资源指标的值设置为1,否则该值将设置为0。
本发明的有益效果是:本发明提出一种安全部署模式来消除服务提供商在安全防护有限的的边缘环境中部署服务时的安全顾虑。该模式的目标是同时满足安全保护和QoS要求,同时将此模式建模为一个优化问题。本发明开创性的研究安全服务和功能服务联合部署问题,并提出了一种启发式算法来解决它,在执行时间和平均服务请求数方面能够取得较好的效果。
附图说明
图1为仿真实验中不同站点规模下的运行时间对比图。
图2为仿真实验中不同用户请求数目下的运行时间对比图。
图3为仿真实验中不同站点规模下的平均服务用户请求数对比图。
图4为仿真实验中不同用户请求数目的平均服务用户请求数对比图。
图5为仿真实验中服务种类对于平均服务请求数目影响的对比图。
图6为仿真实验中VNF链长度对于平均服务请求数目影响的对比图。
图7为仿真实验中站点资源容量对于平均服务请求数目影响的对比图。
图8为仿真实验中延迟上界对于平均服务请求数目影响的对比图。
图9为仿真实验中恶意用户请求占比对于平均服务请求数目影响的对比图。
具体实施方式
一种边缘计算环境下的安全服务与功能服务联合编排方法,包括以下步骤:
A、建立一个具有
Figure 104816DEST_PATH_IMAGE103
个异构边缘站点和一个远程云的边缘系统,所述边缘站点通过回程网络连接,使得用户请求被非本地边缘站点服务,从边缘站点i到j的传输延迟被表示为
Figure 985047DEST_PATH_IMAGE001
,设
Figure 374047DEST_PATH_IMAGE002
Figure 653719DEST_PATH_IMAGE003
,每个边缘站点与无线接入点相关联;当边缘系统无法满足用户请求时,用户请求将通过互联网迁移到远程云上处理,
Figure 329551DEST_PATH_IMAGE004
表示边缘站点i的资源容量,所述资源为一个包含计算、带宽和存储容量的三维向量;
B、服务提供商在边缘系统部署功能服务,用以满足用户需求;服务提供商在边缘系统部署安全服务,用以检查用户请求存在的安全风险;功能服务的集合表示为F,安全服务表示为
Figure 537940DEST_PATH_IMAGE104
C、用户通过接入点向边缘系统发送请求,设有U个用户请求,
Figure 915701DEST_PATH_IMAGE006
Figure 232019DEST_PATH_IMAGE007
表示需要功能服务f的用户请求集合,每个用户请求都与它需要的功能服务和它到达的边缘站点相关联,如果用户请求没有在边缘系统上调度,它将被传输到远程云处理;
D、设立高效安全部署问题,所述高效安全部署问题的目标是在安全部署模式下,获得在服务延迟上界内处理的最大用户请求数,表示为在约束条件下的整数规划模型
Figure 27937DEST_PATH_IMAGE008
Figure 764818DEST_PATH_IMAGE009
,表示用户请求u是否在边缘站点被处理;
E、使用启发式算法求解高效安全部署问题的最优解。
步骤B中,
每个服务都具体实现为一个特定的VNF链,VNF为虚拟网络功能,该链由一个有序的VNF序列组成;
Figure 6706DEST_PATH_IMAGE010
表示服务f的VNF链中的链路集合,对于服务i的VNF链,
Figure 503546DEST_PATH_IMAGE011
表示该链的处理能力,即这条链可以同时处理的最大用户请求数,
Figure 13025DEST_PATH_IMAGE012
表示包含在服务f的VNF链中的VNF集合,
Figure 419342DEST_PATH_IMAGE013
表示v的资源需求,部署服务是指确定相应VNF链的实例数,以及每个VNF链实例的嵌入方案。
服务提供商为用户提供的不同种类的功能服务具有延迟上界;在安全部署模式中,延迟上界把安全服务所消耗的时间包含在内;设VNF处理用户请求所花费的时间是恒定的,总的延迟中不确定的部分仅与边缘站点之间的传输延迟有关。
步骤D中,约束条件包括,
安全约束,为了提供安全保护,在边缘上处理的用户请求必须由安全服务处理,
Figure 788006DEST_PATH_IMAGE014
处理能力约束,对于安全服务和功能服务的每个VNF链实例,处理能力约束保证调度给它的用户请求不会超过它的处理能力,
Figure 682013DEST_PATH_IMAGE015
Figure 937676DEST_PATH_IMAGE016
资源约束,对于每个边缘站点,放置在其上的所有VNF所需的总资源不得超过其资源容量,
Figure 767092DEST_PATH_IMAGE017
完整性约束,对于每个VNF链实例,其中包含的所有VNF都应该放在某个边缘站点上,以确保链正常工作,
Figure 482107DEST_PATH_IMAGE018
QoS约束,对于边缘系统处理的每个用户请求,应该由其所需的功能服务来处理,
Figure 802974DEST_PATH_IMAGE019
Figure 552624DEST_PATH_IMAGE020
定义为功能服务f的VNF链实例
Figure 818520DEST_PATH_IMAGE105
所引起的延迟,
Figure 381351DEST_PATH_IMAGE022
Figure 882739DEST_PATH_IMAGE023
Figure 96683DEST_PATH_IMAGE106
分别表示服务i的VNF链中的第一个与最后一个VNF,
Figure 156649DEST_PATH_IMAGE025
为实例j中从
Figure 705311DEST_PATH_IMAGE023
Figure 885757DEST_PATH_IMAGE106
的传输时延,
Figure 111464DEST_PATH_IMAGE026
Figure 702851DEST_PATH_IMAGE027
表示用户请求u到达和离开的边缘站点,
Figure 112711DEST_PATH_IMAGE028
为从
Figure 96847DEST_PATH_IMAGE107
到实例i的
Figure 534651DEST_PATH_IMAGE023
的传输时延,
Figure 939349DEST_PATH_IMAGE030
为实例i的
Figure 869128DEST_PATH_IMAGE031
Figure 125797DEST_PATH_IMAGE032
的传输时延,
Figure 57588DEST_PATH_IMAGE033
Figure 990777DEST_PATH_IMAGE034
延迟约束描述为,
Figure 17639DEST_PATH_IMAGE035
决策变量约束,
Figure 438519DEST_PATH_IMAGE036
Figure 116493DEST_PATH_IMAGE108
Figure 883503DEST_PATH_IMAGE038
Figure 866502DEST_PATH_IMAGE039
Figure 979820DEST_PATH_IMAGE040
其中,
Figure 889133DEST_PATH_IMAGE041
表示服务j部署的VNF链实例的数目,
Figure 914858DEST_PATH_IMAGE042
表示用户请求u是否被相应功能服务的第i个VNF链实例处理,
Figure 634421DEST_PATH_IMAGE043
表示用户请求u是否被安全服务的第i个VNF链实例处理,
Figure 925332DEST_PATH_IMAGE044
表示服务f的第i个VNF链实例中的v是否部署在边缘站点n;
Figure 797473DEST_PATH_IMAGE045
的定义为:边缘站点集合;
Figure 384312DEST_PATH_IMAGE046
的定义为:用户请求集合,需要服务
Figure 92636DEST_PATH_IMAGE047
的用户请求的集合;
Figure 564069DEST_PATH_IMAGE048
的定义为:功能服务集合,安全服务;
Figure 415350DEST_PATH_IMAGE049
的定义为:在服务i的VNF链中,VNF的集合与链路的集合;
Figure 530680DEST_PATH_IMAGE050
的定义为:边缘站点i的资源容量;
Figure 241147DEST_PATH_IMAGE051
的定义为:VNF
Figure 109746DEST_PATH_IMAGE052
的资源需求与处理容量;
Figure 707212DEST_PATH_IMAGE053
的定义为:功能服务i的延迟上界;
Figure 511220DEST_PATH_IMAGE054
的定义为:边缘站点i与j的传输时延;
Figure 302458DEST_PATH_IMAGE055
的定义为:用户请求u是否在边缘站点被处理的标志符;
Figure 863496DEST_PATH_IMAGE056
的定义为:用户请求u是否被安全服务的第i个VNF链实例处理,是否被相应功能服务的第i个VNF链实例处理的标志符;
Figure 299157DEST_PATH_IMAGE057
的定义为:服务f的第i个VNF链实例中的VNF
Figure 664279DEST_PATH_IMAGE052
是否部署在边缘站点
Figure 568912DEST_PATH_IMAGE058
的标志符;
Figure 44893DEST_PATH_IMAGE059
的定义为:服务i部署的VNF链实例的数目。
所述高效安全部署问题为NP难问题。
步骤E中,使用增量资源分配策略作为启发式算法的整体框架;
所述增量资源分配策略包括,
部署方案,用于记录每一个服务是如何部署的,包含每一个VNF链实例的嵌入方案;
调度方案,用于记录每一个用户请求分别被安全服务和功能服务的哪一个VNF链实例所处理;
当边缘系统资源不足时,增量资源分配策略终止;使用VNF链嵌入算法为每个服务的VNF链生成嵌入方案
Figure 600639DEST_PATH_IMAGE109
;嵌入方案记录了一个VNF链实例的每一个VNF放置在哪一个边缘站点上;VNF链嵌入方法表示为函数
Figure 759832DEST_PATH_IMAGE061
,如果当前资源足够嵌入服务i的VNF链,
Figure 791241DEST_PATH_IMAGE061
Figure 680700DEST_PATH_IMAGE062
的值置为
Figure 982631DEST_PATH_IMAGE063
,否则置为
Figure 548610DEST_PATH_IMAGE110
,如果当前资源无法放置任何服务的VNF链,那么这个过程将停止;函数
Figure 677103DEST_PATH_IMAGE111
用于计算增益和调度方案,具有最大增益的VNF链被实际嵌入,嵌入新链后,相关参数将更新;函数
Figure 993422DEST_PATH_IMAGE111
是以贪婪的方式实现的,对于每个尚未调度的用户请求,函数
Figure 773028DEST_PATH_IMAGE111
检查每个安全服务和相应的功能服务的VNF链实例构成的实例对,如果该用户请求能够被其中任意一个实例对在延迟上界内处理,则将该用户添加到
Figure 995062DEST_PATH_IMAGE112
中去,将该实例组合添加到
Figure 361583DEST_PATH_IMAGE068
中去。
资源分配次数为恒定的k,每次都会触发
Figure 983057DEST_PATH_IMAGE111
函数和
Figure 367902DEST_PATH_IMAGE061
函数S次,S是所有服务的数量,每次运行
Figure 915165DEST_PATH_IMAGE111
函数需要
Figure 267518DEST_PATH_IMAGE113
次计算,U是用户请求数,
Figure 194148DEST_PATH_IMAGE061
函数每次运行需要
Figure 964657DEST_PATH_IMAGE114
次计算,T是VNF链的VNF数,N是边缘站点数,总计算复杂度为
Figure 715445DEST_PATH_IMAGE071
步骤E中,使用VNF链嵌入方法具体描述框架中服务部署的步骤,
每个VNF的放置位置有N种,根据评估指标对这
Figure 663416DEST_PATH_IMAGE115
个选择中的每一个进行评分;设
Figure 751326DEST_PATH_IMAGE074
表示VNF链中的第t个VNF,
Figure 110763DEST_PATH_IMAGE075
表示在边缘站点i上放置
Figure 2758DEST_PATH_IMAGE076
的评分;放置
Figure 329703DEST_PATH_IMAGE077
的评分是基于放置
Figure 87485DEST_PATH_IMAGE076
的评分计算的;根据
Figure 567008DEST_PATH_IMAGE076
的每个选择计算
Figure 128440DEST_PATH_IMAGE078
,并选出其中得分最高的一个,即
Figure 178566DEST_PATH_IMAGE079
Figure 93433DEST_PATH_IMAGE116
是当
Figure 552096DEST_PATH_IMAGE076
放置在站点k上时,
Figure 907597DEST_PATH_IMAGE077
放置在站点i上的评估指标;对于每个边缘站点
Figure 694288DEST_PATH_IMAGE081
计算
Figure 537479DEST_PATH_IMAGE078
,并记录其对应的
Figure 476747DEST_PATH_IMAGE076
的选择,用最高的分数做为最后的选择,然后回溯到
Figure 989768DEST_PATH_IMAGE082
在嵌入VNF链时,具有资源限制和传输延迟两个约束;要嵌入的VNF链有T个VNF,并将第i个VNF表示为
Figure 653968DEST_PATH_IMAGE117
,所有的VNF都有相同的N种选择进行放置,它们被描述为
Figure 64964DEST_PATH_IMAGE118
Figure 622853DEST_PATH_IMAGE085
表示VNF被放置在边缘站点i上;
计算矩阵M来记录每个边缘站点的可用资源,M的第i行表示选择
Figure 198453DEST_PATH_IMAGE085
,第j列表示在每种选择下边缘站点j的剩余资源,
Figure 959736DEST_PATH_IMAGE086
表示第i行和第j列的交点,VNF链中的VNF按顺序更新矩阵M
Figure 269363DEST_PATH_IMAGE087
定义资源指标
Figure 790081DEST_PATH_IMAGE088
来评估在边缘站点i上放置
Figure 176063DEST_PATH_IMAGE076
的选择,设其前一个VNF放置在边缘站点k上,其中
Figure 408330DEST_PATH_IMAGE089
是放置
Figure 632900DEST_PATH_IMAGE076
所需的资源,
Figure 916114DEST_PATH_IMAGE090
是一个小于最小资源单位的正值,用以防止
Figure 332052DEST_PATH_IMAGE119
Figure 550150DEST_PATH_IMAGE120
导致的错误,
Figure 217892DEST_PATH_IMAGE093
Figure 480246DEST_PATH_IMAGE121
表示在
Figure 427605DEST_PATH_IMAGE076
选择
Figure 775410DEST_PATH_IMAGE085
的情况下
Figure 981263DEST_PATH_IMAGE077
选择
Figure 455713DEST_PATH_IMAGE085
的概率,
Figure 213454DEST_PATH_IMAGE095
表示从边缘站点i到边缘站点j的延迟,
Figure 658341DEST_PATH_IMAGE096
对于没有前一个VNF的第一个VNF,将延迟指标计算为
Figure 153039DEST_PATH_IMAGE122
,其中
Figure 124406DEST_PATH_IMAGE098
表示从初始边缘站点到边缘站点i的延迟,并且初始边缘站点是具有最多相应请求的站点,
Figure 662835DEST_PATH_IMAGE099
对于第一个VNF,资源指标被计算为
Figure 608401DEST_PATH_IMAGE100
,矩阵M和资源指标是动态更新的,通过回溯得分最高的最终选择,生成嵌入方案。
当出现恶意用户请求时,估计恶意用户请求在所有用户请求中所占的比例
Figure 15111DEST_PATH_IMAGE101
,当恶意用户请求是非自适应的时候,使用观察到的经验平均值作为估计值;将功能服务的总处理能力提高
Figure 981930DEST_PATH_IMAGE102
,然后调度用户请求,当调度到同一VNF链的正常请求超过了处理能力,则随机挑选超量的请求迁移到云。
根据延迟和资源指标对VNF的每个选择进行评分,具有以下3种模式,
1)负载均衡模式,资源指标值随着边缘站点的可用资源增加而升高;
2)集中模式,根据资源利用率设计资源指标,站点被选择放置一个新的VNF的概率随着VNF放置数量增加而升高;
3)QoS模式,根据延迟来计算评分,当边缘站点有足够的资源用于放置新的VNF时,将资源指标的值设置为1,否则该值将设置为0。
仿真实验
从真实的出租车轨迹中提取用户请求和边缘站点(数据来源:滴滴出行盖亚倡议)。数据覆盖的区域根据粒度的不同划分为2个网格,即10×10和3×3网格。生成的100个单元和9个单元分别表示100个边缘站点和9个功能服务。每个用户轨迹都转换为一个用户请求。对于每个用户轨迹,边缘站点网格中的出发位置转换为用户请求到达的边缘站点,功能服务网格中的目的地位置转换为所需的功能服务。边缘站点的资源容量是根据相应格子内的出租车数目设置的。两个边缘站点之间的传输延迟是基于用户轨迹在其相应格子间的平均旅行时间来设置的。功能服务的延迟边界是基于目的地为相应单元的用户轨迹的平均旅行时间来设置的。对于每个实验,对随机抽取的用户请求进行10次实验,并对结果取平均值。所有的算法都是用python3.6.9实现的,并在配置为ubuntu18.04、2.4GHz Xeon-Skylake处理器和2GB内存的云服务器上运行。
在仿真实验中,将本发明所提出的算法与其他2种启发式算法进行了比较。本发明算法包括两部分,即增量资源分配策略(IRSA)和VNF链嵌入算法(VCEA)。利用这两部分结合其他的解决方案生成另外3种算法。具体情况如下。
增广链策略+VNF链嵌入算法(ACS+VCEA)。每个功能服务的VNF链都用安全服务的VNF链进行扩充。因此,它只需要考虑功能服务的部署。
固定分配策略+VNF链嵌入算法(FAS+VCEA)。根据固定的资源分配策略,将资源分配给安全服务和功能服务,并且这两类服务各获得每个边缘站点一半的资源。
增量资源分配策略+最优嵌入算法(IRAS+OEA)。该算法通过列举所有可能的嵌入方案,选择其中增益最大的方案作为最优嵌入方案。
从执行时间和平均服务用户请求数两个方面来评估性能。首先比较了本发明的算法和基准测试在不同的站点规模和请求数下的执行时间。图1示出了边缘站点数目对执行时间的影响。请求数都设置为200。我们可以看到,所有3种算法的执行都随着站点规模的增加而增加。我们的算法比其他两个算法快一点。图2示出了不同请求数下的执行时间。站点数目设置为50。我们可以看到,当请求数超过100时,执行时间趋于稳定。这是因为边缘站点上的资源耗尽,算法终止。
图3显示了平均服务的请求数量随着站点规模的增加而增加。其原因是站点规模的增加为嵌入VNF链提供了更多的资源,导致处理能力的提高。本发明算法的性能明显优于其他两种算法,与FAS+VCE算法相比,当站点数为30时,差距可达31%。图4示出了服务请求的平均数目随着请求数目的增加而增加。请求数的增加为提高嵌入式VNF链的利用率提供了更多的可能性。本发明的算法与基准测试之间的差距可以达到35%(当请求数为150时,与FAS+VCE相比)。
与最优方案的差距:为了评估本发明的VNF链嵌入算法的性能,我们将其与最优嵌入算法(OEA)进行了比较,后者通过列举所有可能的解来找出最优嵌入方案。我们在3种不同规模的边缘站点下进行了实验,即5个站点、10个站点和15个站点。用户请求数目是50。
Figure 848517DEST_PATH_IMAGE123
上表显示了执行时间和在边缘上处理的用户请求数的比较结果。一方面,OEA在边缘上服务了更多的用户请求。在3个站点规模下,本发明的算法与最优解的差距分别为0、0.04和0.08。另一方面,本发明的算法更高效。它求解所花费时间远远少于1秒,而OEA的执行时间边缘站点数量的增加而显著增长。OEA的执行时间最多达到了VCEA执行时间的7678倍。
服务类型数的影响:为了探讨服务类型数的影响,我们将功能服务的种类数目进一步细分为12和16。图5显示了比较结果。用户请求数目和边缘站点数目分别默认为200和50。随着服务类型数的增加,平均服务的请求数减少。本发明的算法优于其他两个基准算法,但是当服务类型增加到12和16时,其结果仍然分别下降了12.4%和16.5%。原因是服务种类的增加导致需要每种服务的请求数减少,因为总请求数是固定的。因此,VNF链的利用率更有可能降低。
VNF链长度的影响:在我们的实验中,VNF链的长度范围默认为[3,6]。为了评价VNF链长的影响,我们将VNF链长范围分别扩大了1.5倍和2倍,得到了VNF链长范围[3,9]和[3,12]。图6显示了VNF链长度的影响。显然,VNF链越长,边缘上可以服务的用户请求就越少,因为当VNF链的长度增加时,它需要更多的资源来服务相同数量的请求。当长度范围扩大1.5倍和2倍时,本发明的算法的结果分别下降了21.4%和50.4%,仍然优于其他两个基准算法。
资源容量的影响:为了评估站点资源容量对我们算法性能的影响,我们将每个边缘站点的资源容量分别缩放0.5倍和1.5倍。边缘站点的资源容量直接决定了可以嵌入的VNF链的数量。图7展示了实验结果。当边缘站点上的资源减少一半时,服务的平均请求数量将显著减少。
延迟上界的影响:为了评估功能服务的延迟上界的影响,我们将延迟上界分别缩小为0.6倍和0.8倍。显然,延迟上界的减少导致了服务请求数量的减少。如图8所示,当延迟上界减小为0.6倍和0.8倍时,算法的结果分别降低了24.7%和17.4%。
被安全服务判定为恶意或非法的用户请求将不会被功能服务处理,从而导致功能服务为其预留的资源未被使用。为了进一步提高资源利用率,我们根据恶意用户请求的预期比例,通过在功能服务中增加虚拟容量来优化算法。将通用算法和优化算法分别表示为GA和OA。我们比较了GA和OA所处理的包含恶意和正常用户请求的总用户请求数(标签中后缀为total),以及正常用户请求数(标签后缀为normal)。我们将恶意用户请求的比例从5%逐步提升为50%。结果如图9所示。可以看出,通过优化算法计算出的处理请求数随着恶意请求所占比例的增加而增加。这是因为OA中针对恶意请求只部署安全服务,从而充分利用了GA中浪费的资源。当然,整个请求中的恶意程度越高,在边缘上处理的正常请求就越少。OA和GA下正常请求的处理次数均随恶意请求比例的增加而减少。OA在处理总请求数和正常请求数方面分别比GA高出20.6%和18.1%。

Claims (10)

1.一种边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于包括以下步骤:
A、建立一个具有N个异构边缘站点和一个远程云的边缘系统,所述边缘站点通过回程网络连接,使得用户请求被非本地边缘站点服务,从边缘站点i到j的传输延迟被表示为
Figure 57206DEST_PATH_IMAGE001
,设
Figure 602457DEST_PATH_IMAGE002
Figure 698195DEST_PATH_IMAGE003
,每个边缘站点与无线接入点相关联;当边缘系统无法满足用户请求时,用户请求将通过互联网迁移到远程云上处理,
Figure 733016DEST_PATH_IMAGE004
表示边缘站点i的资源容量,所述资源为一个包含计算、带宽和存储容量的三维向量;
B、服务提供商在边缘系统部署功能服务,用以满足用户需求;服务提供商在边缘系统部署安全服务,用以检查用户请求存在的安全风险;功能服务的集合表示为F,安全服务表示为
Figure 284346DEST_PATH_IMAGE005
C、用户通过接入点向边缘系统发送请求,设有U个用户请求,
Figure 367708DEST_PATH_IMAGE006
Figure 225943DEST_PATH_IMAGE007
表示需要功能服务f的用户请求集合,每个用户请求都与它需要的功能服务和它到达的边缘站点相关联,如果用户请求没有在边缘系统上调度,它将被传输到远程云处理;
D、设立高效安全部署问题,所述高效安全部署问题的目标是在安全部署模式下,获得在服务延迟上界内处理的最大用户请求数,表示为在约束条件下的整数规划模型
Figure 133463DEST_PATH_IMAGE008
Figure 405044DEST_PATH_IMAGE009
,表示用户请求u是否在边缘站点被处理;
E、使用启发式算法求解高效安全部署问题的最优解。
2.根据权利要求1所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:步骤B中,
每个服务都具体实现为一个特定的VNF链,VNF为虚拟网络功能,该链由一个有序的VNF序列组成;
Figure 855879DEST_PATH_IMAGE010
表示服务f的VNF链中的链路集合,对于服务i的VNF链,
Figure 896516DEST_PATH_IMAGE011
表示该链的处理能力,即这条链可以同时处理的最大用户请求数,
Figure 115883DEST_PATH_IMAGE012
表示包含在服务f的VNF链中的VNF集合,
Figure 937077DEST_PATH_IMAGE013
表示v的资源需求,部署服务是指确定相应VNF链的实例数,以及每个VNF链实例的嵌入方案。
3.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:服务提供商为用户提供的不同种类的功能服务具有延迟上界;在安全部署模式中,延迟上界把安全服务所消耗的时间包含在内;设VNF处理用户请求所花费的时间是恒定的,总的延迟中不确定的部分仅与边缘站点之间的传输延迟有关。
4.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:步骤D中,约束条件包括,
安全约束,为了提供安全保护,在边缘上处理的用户请求必须由安全服务处理,
Figure 863707DEST_PATH_IMAGE014
处理能力约束,对于安全服务和功能服务的每个VNF链实例,处理能力约束保证调度给它的用户请求不会超过它的处理能力,
Figure 962113DEST_PATH_IMAGE015
Figure 978480DEST_PATH_IMAGE016
资源约束,对于每个边缘站点,放置在其上的所有VNF所需的总资源不得超过其资源容量,
Figure 723188DEST_PATH_IMAGE017
完整性约束,对于每个VNF链实例,其中包含的所有VNF都应该放在某个边缘站点上,以确保链正常工作,
Figure 889727DEST_PATH_IMAGE018
QoS约束,对于边缘系统处理的每个用户请求,应该由其所需的功能服务来处理,
Figure 937580DEST_PATH_IMAGE019
Figure 593689DEST_PATH_IMAGE020
定义为功能服务f的VNF链实例
Figure 999263DEST_PATH_IMAGE021
所引起的延迟,
Figure 327083DEST_PATH_IMAGE022
Figure 868922DEST_PATH_IMAGE023
Figure 994135DEST_PATH_IMAGE024
分别表示服务i的VNF链中的第一个与最后一个VNF,
Figure 621426DEST_PATH_IMAGE025
为实例j中从
Figure 988822DEST_PATH_IMAGE023
Figure 235037DEST_PATH_IMAGE024
的传输时延,
Figure 905053DEST_PATH_IMAGE026
Figure 911317DEST_PATH_IMAGE027
表示用户请求u到达和离开的边缘站点,
Figure 692192DEST_PATH_IMAGE028
为从
Figure 333257DEST_PATH_IMAGE029
到实例i的
Figure 606DEST_PATH_IMAGE023
的传输时延,
Figure 868068DEST_PATH_IMAGE030
为实例i的
Figure 78731DEST_PATH_IMAGE024
Figure 449670DEST_PATH_IMAGE031
的传输时延,
Figure 586122DEST_PATH_IMAGE032
Figure 236153DEST_PATH_IMAGE033
延迟约束描述为,
Figure DEST_PATH_IMAGE034
决策变量约束,
Figure 47245DEST_PATH_IMAGE035
Figure 272690DEST_PATH_IMAGE036
Figure 580043DEST_PATH_IMAGE037
Figure 655053DEST_PATH_IMAGE038
Figure 706055DEST_PATH_IMAGE039
其中,
Figure 786006DEST_PATH_IMAGE040
表示服务j部署的VNF链实例的数目,
Figure 234568DEST_PATH_IMAGE041
表示用户请求u是否被相应功能服务的第i个VNF链实例处理,
Figure 157393DEST_PATH_IMAGE042
表示用户请求u是否被安全服务的第i个VNF链实例处理,
Figure 385987DEST_PATH_IMAGE043
表示服务f的第i个VNF链实例中的v是否部署在边缘站点n;
Figure 445079DEST_PATH_IMAGE044
的定义为:边缘站点集合;
Figure 500759DEST_PATH_IMAGE045
的定义为:用户请求集合,需要服务
Figure 412346DEST_PATH_IMAGE021
的用户请求的集合;
Figure 8412DEST_PATH_IMAGE046
的定义为:功能服务集合,安全服务;
Figure 561491DEST_PATH_IMAGE047
的定义为:在服务i的VNF链中,VNF的集合与链路的集合;
Figure 912707DEST_PATH_IMAGE048
的定义为:边缘站点i的资源容量;
Figure 419911DEST_PATH_IMAGE049
的定义为:VNF
Figure 321134DEST_PATH_IMAGE050
的资源需求与处理容量;
Figure 620397DEST_PATH_IMAGE051
的定义为:功能服务i的延迟上界;
Figure 985257DEST_PATH_IMAGE052
的定义为:边缘站点i与j的传输时延;
Figure 635550DEST_PATH_IMAGE053
的定义为:用户请求u是否在边缘站点被处理的标志符;
Figure 245523DEST_PATH_IMAGE054
的定义为:用户请求u是否被安全服务的第i个VNF链实例处理,是否被相应功能服务的第i个VNF链实例处理的标志符;
Figure 104020DEST_PATH_IMAGE055
的定义为:服务f的第i个VNF链实例中的VNF
Figure 265880DEST_PATH_IMAGE050
是否部署在边缘站点
Figure 511791DEST_PATH_IMAGE056
的标志符;
Figure 50088DEST_PATH_IMAGE057
的定义为:服务i部署的VNF链实例的数目。
5.根据权利要求1所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:所述高效安全部署问题为NP难问题。
6.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:步骤E中,使用增量资源分配策略作为启发式算法的整体框架;
所述增量资源分配策略包括,
部署方案,用于记录每一个服务是如何部署的,包含每一个VNF链实例的嵌入方案;
调度方案,用于记录每一个用户请求分别被安全服务和功能服务的哪一个VNF链实例所处理;
当边缘系统资源不足时,增量资源分配策略终止;使用VNF链嵌入算法为每个服务的VNF链生成嵌入方案
Figure 199310DEST_PATH_IMAGE058
;嵌入方案记录了一个VNF链实例的每一个VNF放置在哪一个边缘站点上;VNF链嵌入方法表示为函数
Figure 299115DEST_PATH_IMAGE059
,如果当前资源足够嵌入服务i的VNF链,
Figure 268208DEST_PATH_IMAGE059
Figure 866590DEST_PATH_IMAGE060
的值置为
Figure 870318DEST_PATH_IMAGE061
,否则置为
Figure 577243DEST_PATH_IMAGE062
,如果当前资源无法放置任何服务的VNF链,那么这个过程将停止;函数
Figure 394152DEST_PATH_IMAGE063
用于计算增益和调度方案,具有最大增益的VNF链被实际嵌入,嵌入新链后,相关参数将更新;函数
Figure 477514DEST_PATH_IMAGE063
是以贪婪的方式实现的,对于每个尚未调度的用户请求,函数
Figure 958918DEST_PATH_IMAGE063
检查每个安全服务和相应的功能服务的VNF链实例构成的实例对,如果该用户请求能够被其中任意一个实例对在延迟上界内处理,则将该用户添加到
Figure 774427DEST_PATH_IMAGE064
中去,将该实例组合添加到
Figure 609790DEST_PATH_IMAGE065
中去。
7.根据权利要求6所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:资源分配次数为恒定的k,每次都会触发
Figure 903368DEST_PATH_IMAGE063
函数和
Figure 740743DEST_PATH_IMAGE059
函数S次,S是所有服务的数量,每次运行
Figure 553585DEST_PATH_IMAGE063
函数需要
Figure 984566DEST_PATH_IMAGE066
次计算,U是用户请求数,
Figure 707934DEST_PATH_IMAGE059
函数每次运行需要
Figure 275181DEST_PATH_IMAGE067
次计算,T是VNF链的VNF数,N是边缘站点数,总计算复杂度为
Figure 25969DEST_PATH_IMAGE068
8.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:步骤E中,使用VNF链嵌入方法具体描述框架中服务部署的步骤,
每个VNF的放置位置有N种,根据评估指标对这
Figure 567415DEST_PATH_IMAGE069
个选择中的每一个进行评分;设
Figure 202796DEST_PATH_IMAGE070
表示VNF链中的第t个VNF,
Figure 516228DEST_PATH_IMAGE071
表示在边缘站点i上放置
Figure 110020DEST_PATH_IMAGE072
的评分;放置
Figure 374648DEST_PATH_IMAGE073
的评分是基于放置
Figure 577834DEST_PATH_IMAGE072
的评分计算的;根据
Figure 447570DEST_PATH_IMAGE072
的每个选择计算
Figure 572783DEST_PATH_IMAGE074
,并选出其中得分最高的一个,即
Figure 465653DEST_PATH_IMAGE075
Figure 770732DEST_PATH_IMAGE076
是当
Figure 55827DEST_PATH_IMAGE072
放置在站点k上时,
Figure 725842DEST_PATH_IMAGE073
放置在站点i上的评估指标;对于每个边缘站点
Figure 466528DEST_PATH_IMAGE077
计算
Figure 512981DEST_PATH_IMAGE074
,并记录其对应的
Figure 622888DEST_PATH_IMAGE072
的选择,用最高的分数做为最后的选择,然后回溯到
Figure 555816DEST_PATH_IMAGE078
在嵌入VNF链时,具有资源限制和传输延迟两个约束;要嵌入的VNF链有T个VNF,并将第i个VNF表示为
Figure 282332DEST_PATH_IMAGE079
,所有的VNF都有相同的N种选择进行放置,它们被描述为
Figure 368362DEST_PATH_IMAGE080
Figure 863934DEST_PATH_IMAGE081
表示VNF被放置在边缘站点i上;
计算矩阵M来记录每个边缘站点的可用资源,M的第i行表示选择
Figure 702184DEST_PATH_IMAGE081
,第j列表示在每种选择下边缘站点j的剩余资源,
Figure 525784DEST_PATH_IMAGE082
表示第i行和第j列的交点,VNF链中的VNF按顺序更新矩阵M
Figure 38673DEST_PATH_IMAGE083
定义资源指标
Figure 765583DEST_PATH_IMAGE084
来评估在边缘站点i上放置
Figure 338516DEST_PATH_IMAGE072
的选择,设其前一个VNF放置在边缘站点k上,其中
Figure 914991DEST_PATH_IMAGE085
是放置
Figure 487965DEST_PATH_IMAGE072
所需的资源,
Figure 895812DEST_PATH_IMAGE086
是一个小于最小资源单位的正值,用以防止
Figure 78794DEST_PATH_IMAGE087
Figure 1620DEST_PATH_IMAGE088
导致的错误,
Figure 230214DEST_PATH_IMAGE089
Figure 554885DEST_PATH_IMAGE090
表示在
Figure 344986DEST_PATH_IMAGE072
选择
Figure 725414DEST_PATH_IMAGE081
的情况下
Figure 524743DEST_PATH_IMAGE073
选择
Figure 671297DEST_PATH_IMAGE081
的概率,
Figure 553671DEST_PATH_IMAGE091
表示从边缘站点i到边缘站点j的延迟,
Figure 624658DEST_PATH_IMAGE092
对于没有前一个VNF的第一个VNF,将延迟指标计算为
Figure 86732DEST_PATH_IMAGE093
,其中
Figure 556634DEST_PATH_IMAGE094
表示从初始边缘站点到边缘站点i的延迟,并且初始边缘站点是具有最多相应请求的站点,
Figure 111374DEST_PATH_IMAGE095
对于第一个VNF,资源指标被计算为
Figure 964930DEST_PATH_IMAGE096
,矩阵M和资源指标是动态更新的,通过回溯得分最高的最终选择,生成嵌入方案。
9.根据权利要求8所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:当出现恶意用户请求时,估计恶意用户请求在所有用户请求中所占的比例
Figure 932492DEST_PATH_IMAGE097
,当恶意用户请求是非自适应的时候,使用观察到的经验平均值作为估计值;将功能服务的总处理能力提高
Figure 820683DEST_PATH_IMAGE098
,然后调度用户请求,当调度到同一VNF链的正常请求超过了处理能力,则随机挑选超量的请求迁移到云。
10.根据权利要求9所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:根据延迟和资源指标对VNF的每个选择进行评分,具有以下3种模式,
1)负载均衡模式,资源指标值随着边缘站点的可用资源增加而升高;
2)集中模式,根据资源利用率设计资源指标,站点被选择放置一个新的VNF的概率随着VNF放置数量增加而升高;
3)QoS模式,根据延迟来计算评分,当边缘站点有足够的资源用于放置新的VNF时,将资源指标的值设置为1,否则该值将设置为0。
CN202110649247.6A 2021-06-10 2021-06-10 一种边缘计算环境下的安全服务与功能服务联合编排方法 Active CN113259175B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110649247.6A CN113259175B (zh) 2021-06-10 2021-06-10 一种边缘计算环境下的安全服务与功能服务联合编排方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110649247.6A CN113259175B (zh) 2021-06-10 2021-06-10 一种边缘计算环境下的安全服务与功能服务联合编排方法

Publications (2)

Publication Number Publication Date
CN113259175A true CN113259175A (zh) 2021-08-13
CN113259175B CN113259175B (zh) 2021-09-24

Family

ID=77187466

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110649247.6A Active CN113259175B (zh) 2021-06-10 2021-06-10 一种边缘计算环境下的安全服务与功能服务联合编排方法

Country Status (1)

Country Link
CN (1) CN113259175B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113778677A (zh) * 2021-09-03 2021-12-10 天津大学 面向sla的云边协同资源编排与请求调度智能优化方法
CN114265630A (zh) * 2021-11-26 2022-04-01 深圳大学 一种资源共享感知的在线任务卸载方法

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180183855A1 (en) * 2016-12-28 2018-06-28 Intel Corporation Application computation offloading for mobile edge computing
CN108768736A (zh) * 2018-06-05 2018-11-06 中国人民解放军国防科技大学 一种混合型服务功能链嵌入代价的优化方法
CN109729175A (zh) * 2019-01-22 2019-05-07 中国人民解放军国防科技大学 一种不稳定信道条件下的边缘协同数据卸载方法
CN110958192A (zh) * 2019-12-04 2020-04-03 西南大学 一种基于虚拟交换机的虚拟数据中心资源分配系统及方法
CN110995858A (zh) * 2019-12-17 2020-04-10 大连理工大学 一种基于深度q网络的边缘网络请求调度决策方法
CN111148252A (zh) * 2019-12-30 2020-05-12 国网辽宁省电力有限公司电力科学研究院 基于拍卖的lte电力无线专网资源分配方法
CN112738822A (zh) * 2020-12-25 2021-04-30 中国石油大学(华东) 移动边缘计算环境中基于noma的安全卸载和资源分配方法

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180183855A1 (en) * 2016-12-28 2018-06-28 Intel Corporation Application computation offloading for mobile edge computing
CN108768736A (zh) * 2018-06-05 2018-11-06 中国人民解放军国防科技大学 一种混合型服务功能链嵌入代价的优化方法
CN109729175A (zh) * 2019-01-22 2019-05-07 中国人民解放军国防科技大学 一种不稳定信道条件下的边缘协同数据卸载方法
CN110958192A (zh) * 2019-12-04 2020-04-03 西南大学 一种基于虚拟交换机的虚拟数据中心资源分配系统及方法
CN110995858A (zh) * 2019-12-17 2020-04-10 大连理工大学 一种基于深度q网络的边缘网络请求调度决策方法
CN111148252A (zh) * 2019-12-30 2020-05-12 国网辽宁省电力有限公司电力科学研究院 基于拍卖的lte电力无线专网资源分配方法
CN112738822A (zh) * 2020-12-25 2021-04-30 中国石油大学(华东) 移动边缘计算环境中基于noma的安全卸载和资源分配方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
WEIGANG HOU: "Novel Framework of Risk-Aware Virtual Network", 《IEEE》 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113778677A (zh) * 2021-09-03 2021-12-10 天津大学 面向sla的云边协同资源编排与请求调度智能优化方法
CN114265630A (zh) * 2021-11-26 2022-04-01 深圳大学 一种资源共享感知的在线任务卸载方法

Also Published As

Publication number Publication date
CN113259175B (zh) 2021-09-24

Similar Documents

Publication Publication Date Title
Yang et al. Distributed blockchain-based trusted multidomain collaboration for mobile edge computing in 5G and beyond
Yao et al. Fog resource provisioning in reliability-aware IoT networks
Ren et al. A survey on end-edge-cloud orchestrated network computing paradigms: Transparent computing, mobile edge computing, fog computing, and cloudlet
Zhang et al. Adaptive interference-aware VNF placement for service-customized 5G network slices
US20240069942A1 (en) Centralized networking configuration in distributed systems
Sun et al. Forecast-assisted NFV service chain deployment based on affiliation-aware vNF placement
CN113259175B (zh) 一种边缘计算环境下的安全服务与功能服务联合编排方法
CN102497362A (zh) 异常网络流量的攻击源追踪方法及装置
Ejaz et al. Performance and efficiency optimization of multi-layer IoT edge architecture
Karakaya et al. A novel IoT-based health and tactical analysis model with fog computing
Rankothge et al. On the scaling of virtualized network functions
CN113490231B (zh) 一种网络切片的可用性保障方法及装置
CN110535705B (zh) 一种自适应用户时延要求的服务功能链构建方法
Emu et al. Latency aware VNF deployment at edge devices for IoT services: An artificial neural network based approach
CN106789322B (zh) 空间信息网络中关键节点的确定方法和装置
Dwiardhika et al. Virtual network embedding based on security level with VNF placement
Jararweh et al. Software Defined based smart grid architecture
Masoumi et al. Dynamic online VNF placement with different protection schemes in a MEC environment
Qiu et al. Online Security-Aware and Reliability-Guaranteed AI Service Chains Provisioning in Edge Intelligence Cloud
CN107528742B (zh) 一种面向云数据中心网络优化的虚拟机部署方法
Jaber et al. Application of edge computing-based information-centric networking in smart cities
CN111107035B (zh) 基于行为辨识的安全态势感知与防护方法及装置
Qin et al. A joint orchestration of security and functionality services at network edge
Hongvanthong et al. A novel four‐tier software‐defined network architecture for scalable secure routing and load balancing
Fan et al. On credibility-based service function chain deployment

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant