CN113259175A - 一种边缘计算环境下的安全服务与功能服务联合编排方法 - Google Patents
一种边缘计算环境下的安全服务与功能服务联合编排方法 Download PDFInfo
- Publication number
- CN113259175A CN113259175A CN202110649247.6A CN202110649247A CN113259175A CN 113259175 A CN113259175 A CN 113259175A CN 202110649247 A CN202110649247 A CN 202110649247A CN 113259175 A CN113259175 A CN 113259175A
- Authority
- CN
- China
- Prior art keywords
- service
- edge
- vnf
- chain
- delay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0893—Assignment of logical groups to network elements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0823—Configuration setting characterised by the purposes of a change of settings, e.g. optimising configuration for enhancing reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
Abstract
Description
技术领域
本发明涉及网络通讯技术领域,具体是一种边缘计算环境下的安全服务与功能服务联合编排方法。
背景技术
近年来,边缘计算作为一种能够提高网络服务质量的计算模式得到了极大的发展。它在更接近用户的网络边缘提供存储和计算资源。在这一模式下,服务提供商可以将他们的网络服务从远程的云卸载到网络边缘,这对延迟敏感或计算密集型的服务有很大增益。
网络功能虚拟化(NFV)是近年来另一种具有良好应用前景的技术,服务提供商能够利用这项技术在降低资本和运营成本的情况下灵活地提供服务。NFV将网络功能从专用硬件转换为基于软件的模块。这些软件模块被称为虚拟网络功能(VNFs),他们可以快速灵活地在商用服务器上安装或卸载。使用NFV,服务提供商可以提供由VNF链实现的网络服务,该链通常由一系列有序的VNF组成。在这种情况下,网络服务处理用户请求的过程,就是用户请求被VNF链中的VNF按顺序处理的过程。在实际应用中,同一服务的不同vnf可以部署在网络中的不同设备上。
通过在边缘服务器上部署VNFs,服务提供商可以减少网络服务与用户之间的端到端延迟,从而改善用户体验。此外,通过灵活部署VNF,服务提供商可以通过按需模式为用户提供服务,减少维护费用,提高资源利用率。由于对用户和服务提供商都有益处,在网络边缘上部署服务(VNF链)的研究变得越来越有吸引力。无论是服务提供商向网络运营商租用边缘资源,还是建立自己的边缘站点,现有的边缘资源都是有限的、异构的,给服务部署带来了很大的挑战。因此,现有的大多数工作都从成本或QoS的角度关注边缘资源的有效利用。
然而,上述工作是基于一个理想的假设,即边缘环境是完全安全的(即不存在恶意用户,或者边缘站点可以提供足够强大的安全保护)。因此,服务提供商可以使用所有资源来部署功能服务来为用户提供服务。我们认为这种假设是不实际的。首先,网络中可能总是有恶意用户试图窃取信息或干扰VNF的正常运行。其次,一些边缘站点是由微型服务器或过时的边缘设备组成的,而这些设备无法保证高级别的安全性。因此,在没有考虑安全保护的情况下部署功能服务是存在较大风险的。这就是为什么生产网络总是需要防火墙、深度包检测、入侵检测等安全服务的原因。换句话说,安全服务和功能服务应该共存于网络边缘。只有经过安全服务的检查,数据流才能进入功能服务。当用户请求爆炸时,这两种服务可能会竞争有限的边缘资源。
由于边缘站点的资源有限且异构,一个自然会想到的问题是如何联合部署安全和功能服务来满足最多数目的用户请求。我们注意到当前有很多工作,单独考虑部署其中某一类型的服务,即单独部署安全服务或功能服务。然而,这些方法不适用于我们的情况。原因是他们未能在这两种服务之间取得平衡。因此,需要一种新的编排方案来解决安全服务与功能服务的联合部署问题。
发明内容
本发明要解决的技术问题是提供一种边缘计算环境下的安全服务与功能服务联合编排方法,能够解决现有技术的不足,在提供延迟保证的同时,实现了安全保护和高资源利用率。
本发明的内容包括以下步骤:
A、建立一个具有N个异构边缘站点和一个远程云的边缘系统,所述边缘站点通过回程网络连接,使得用户请求被非本地边缘站点服务,从边缘站点i到j的传输延迟被表示为,设,,每个边缘站点与无线接入点相关联;当边缘系统无法满足用户请求时,用户请求将通过互联网迁移到远程云上处理,表示边缘站点i的资源容量,所述资源为一个包含计算、带宽和存储容量的三维向量;
C、用户通过接入点向边缘系统发送请求,设有U个用户请求,,表示需要功能服务f的用户请求集合,每个用户请求都与它需要的功能服务和它到达的边缘站点相关联,如果用户请求没有在边缘系统上调度,它将被传输到远程云处理;
E、使用启发式算法求解高效安全部署问题的最优解。
作为优选,步骤B中,
每个服务都具体实现为一个特定的VNF链,VNF为虚拟网络功能,该链由一个有序的VNF序列组成;表示服务f的VNF链中的链路集合,对于服务i的VNF链,表示该链的处理能力,即这条链可以同时处理的最大用户请求数,表示包含在服务f的VNF链中的VNF集合,表示v的资源需求,部署服务是指确定相应VNF链的实例数,以及每个VNF链实例的嵌入方案。
作为优选,服务提供商为用户提供的不同种类的功能服务具有延迟上界;在安全部署模式中,延迟上界把安全服务所消耗的时间包含在内;设VNF处理用户请求所花费的时间是恒定的,总的延迟中不确定的部分仅与边缘站点之间的传输延迟有关。
作为优选,步骤D中,约束条件包括,
安全约束,为了提供安全保护,在边缘上处理的用户请求必须由安全服务处理,
处理能力约束,对于安全服务和功能服务的每个VNF链实例,处理能力约束保证调度给它的用户请求不会超过它的处理能力,
资源约束,对于每个边缘站点,放置在其上的所有VNF所需的总资源不得超过其资源容量,
完整性约束,对于每个VNF链实例,其中包含的所有VNF都应该放在某个边缘站点上,以确保链正常工作,
QoS约束,对于边缘系统处理的每个用户请求,应该由其所需的功能服务来处理,
延迟约束描述为,
决策变量约束,
其中,表示服务j部署的VNF链实例的数目,表示用户请求u是否被相应功能服务的第i个VNF链实例处理,表示用户请求u是否被安全服务的第i个VNF链实例处理,表示服务f的第i个VNF链实例中的v是否部署在边缘站点n;的定义为:边缘站点集合;的定义为:用户请求集合,需要服务的用户请求的集合;的定义为:功能服务集合,安全服务;的定义为:在服务i的VNF链中,VNF的集合与链路的集合;的定义为:边缘站点i的资源容量;的定义为:VNF的资源需求与处理容量;的定义为:功能服务i的延迟上界;的定义为:边缘站点i与j的传输时延;的定义为:用户请求u是否在边缘站点被处理的标志符;的定义为:用户请求u是否被安全服务的第i个VNF链实例处理,是否被相应功能服务的第i个VNF链实例处理的标志符;的定义为:服务f的第i个VNF链实例中的VNF是否部署在边缘站点的标志符;的定义为:服务i部署的VNF链实例的数目。
作为优选,所述高效安全部署问题为NP难问题。
作为优选,步骤E中,使用增量资源分配策略作为启发式算法的整体框架;
所述增量资源分配策略包括,
部署方案,用于记录每一个服务是如何部署的,包含每一个VNF链实例的嵌入方案;
调度方案,用于记录每一个用户请求分别被安全服务和功能服务的哪一个VNF链实例所处理;
当边缘系统资源不足时,增量资源分配策略终止;使用VNF链嵌入算法为每个服务的VNF链生成嵌入方案;嵌入方案记录了一个VNF链实例的每一个VNF放置在哪一个边缘站点上;VNF链嵌入方法表示为函数,如果当前资源足够嵌入服务i的VNF链,将的值置为,否则置为,如果当前资源无法放置任何服务的VNF链,那么这个过程将停止;函数用于计算增益和调度方案,具有最大增益的VNF链被实际嵌入,嵌入新链后,相关参数将更新;函数是以贪婪的方式实现的,对于每个尚未调度的用户请求,函数检查每个安全服务和相应的功能服务的VNF链实例构成的实例对,如果该用户请求能够被其中任意一个实例对在延迟上界内处理,则将该用户添加到中去,将该实例组合添加到中去。
作为优选,资源分配次数为恒定的k,每次都会触发函数和函数S次,S是所有服务的数量,每次运行函数需要次计算,U是用户请求数,函数每次运行需要次计算,T是VNF链的VNF数,N是边缘站点数,总计算复杂度为。
作为优选,步骤E中,使用VNF链嵌入方法具体描述框架中服务部署的步骤,
每个VNF的放置位置有N种,根据评估指标对这个选择中的每一个进行评分;设表示VNF链中的第t个VNF,表示在边缘站点i上放置的评分;放置的评分是基于放置的评分计算的;根据的每个选择计算,并选出其中得分最高的一个,即,是当放置在站点k上时,放置在站点i上的评估指标;对于每个边缘站点计算,并记录其对应的的选择,用最高的分数做为最后的选择,然后回溯到;
作为优选,当出现恶意用户请求时,估计恶意用户请求在所有用户请求中所占的比例,当恶意用户请求是非自适应的时候,使用观察到的经验平均值作为估计值;将功能服务的总处理能力提高,然后调度用户请求,当调度到同一VNF链的正常请求超过了处理能力,则随机挑选超量的请求迁移到云。
作为优选,根据延迟和资源指标对VNF的每个选择进行评分,具有以下3种模式,
1)负载均衡模式,资源指标值随着边缘站点的可用资源增加而升高;
2)集中模式,根据资源利用率设计资源指标,站点被选择放置一个新的VNF的概率随着VNF放置数量增加而升高;
3)QoS模式,根据延迟来计算评分,当边缘站点有足够的资源用于放置新的VNF时,将资源指标的值设置为1,否则该值将设置为0。
本发明的有益效果是:本发明提出一种安全部署模式来消除服务提供商在安全防护有限的的边缘环境中部署服务时的安全顾虑。该模式的目标是同时满足安全保护和QoS要求,同时将此模式建模为一个优化问题。本发明开创性的研究安全服务和功能服务联合部署问题,并提出了一种启发式算法来解决它,在执行时间和平均服务请求数方面能够取得较好的效果。
附图说明
图1为仿真实验中不同站点规模下的运行时间对比图。
图2为仿真实验中不同用户请求数目下的运行时间对比图。
图3为仿真实验中不同站点规模下的平均服务用户请求数对比图。
图4为仿真实验中不同用户请求数目的平均服务用户请求数对比图。
图5为仿真实验中服务种类对于平均服务请求数目影响的对比图。
图6为仿真实验中VNF链长度对于平均服务请求数目影响的对比图。
图7为仿真实验中站点资源容量对于平均服务请求数目影响的对比图。
图8为仿真实验中延迟上界对于平均服务请求数目影响的对比图。
图9为仿真实验中恶意用户请求占比对于平均服务请求数目影响的对比图。
具体实施方式
一种边缘计算环境下的安全服务与功能服务联合编排方法,包括以下步骤:
A、建立一个具有个异构边缘站点和一个远程云的边缘系统,所述边缘站点通过回程网络连接,使得用户请求被非本地边缘站点服务,从边缘站点i到j的传输延迟被表示为,设,,每个边缘站点与无线接入点相关联;当边缘系统无法满足用户请求时,用户请求将通过互联网迁移到远程云上处理,表示边缘站点i的资源容量,所述资源为一个包含计算、带宽和存储容量的三维向量;
C、用户通过接入点向边缘系统发送请求,设有U个用户请求,,表示需要功能服务f的用户请求集合,每个用户请求都与它需要的功能服务和它到达的边缘站点相关联,如果用户请求没有在边缘系统上调度,它将被传输到远程云处理;
E、使用启发式算法求解高效安全部署问题的最优解。
步骤B中,
每个服务都具体实现为一个特定的VNF链,VNF为虚拟网络功能,该链由一个有序的VNF序列组成;表示服务f的VNF链中的链路集合,对于服务i的VNF链,表示该链的处理能力,即这条链可以同时处理的最大用户请求数,表示包含在服务f的VNF链中的VNF集合,表示v的资源需求,部署服务是指确定相应VNF链的实例数,以及每个VNF链实例的嵌入方案。
服务提供商为用户提供的不同种类的功能服务具有延迟上界;在安全部署模式中,延迟上界把安全服务所消耗的时间包含在内;设VNF处理用户请求所花费的时间是恒定的,总的延迟中不确定的部分仅与边缘站点之间的传输延迟有关。
步骤D中,约束条件包括,
安全约束,为了提供安全保护,在边缘上处理的用户请求必须由安全服务处理,
处理能力约束,对于安全服务和功能服务的每个VNF链实例,处理能力约束保证调度给它的用户请求不会超过它的处理能力,
资源约束,对于每个边缘站点,放置在其上的所有VNF所需的总资源不得超过其资源容量,
完整性约束,对于每个VNF链实例,其中包含的所有VNF都应该放在某个边缘站点上,以确保链正常工作,
QoS约束,对于边缘系统处理的每个用户请求,应该由其所需的功能服务来处理,
延迟约束描述为,
决策变量约束,
其中,表示服务j部署的VNF链实例的数目,表示用户请求u是否被相应功能服务的第i个VNF链实例处理,表示用户请求u是否被安全服务的第i个VNF链实例处理,表示服务f的第i个VNF链实例中的v是否部署在边缘站点n;的定义为:边缘站点集合;的定义为:用户请求集合,需要服务的用户请求的集合;的定义为:功能服务集合,安全服务;的定义为:在服务i的VNF链中,VNF的集合与链路的集合;的定义为:边缘站点i的资源容量;的定义为:VNF的资源需求与处理容量;的定义为:功能服务i的延迟上界;的定义为:边缘站点i与j的传输时延;的定义为:用户请求u是否在边缘站点被处理的标志符;的定义为:用户请求u是否被安全服务的第i个VNF链实例处理,是否被相应功能服务的第i个VNF链实例处理的标志符;的定义为:服务f的第i个VNF链实例中的VNF是否部署在边缘站点的标志符;的定义为:服务i部署的VNF链实例的数目。
所述高效安全部署问题为NP难问题。
步骤E中,使用增量资源分配策略作为启发式算法的整体框架;
所述增量资源分配策略包括,
部署方案,用于记录每一个服务是如何部署的,包含每一个VNF链实例的嵌入方案;
调度方案,用于记录每一个用户请求分别被安全服务和功能服务的哪一个VNF链实例所处理;
当边缘系统资源不足时,增量资源分配策略终止;使用VNF链嵌入算法为每个服务的VNF链生成嵌入方案;嵌入方案记录了一个VNF链实例的每一个VNF放置在哪一个边缘站点上;VNF链嵌入方法表示为函数,如果当前资源足够嵌入服务i的VNF链,将的值置为,否则置为,如果当前资源无法放置任何服务的VNF链,那么这个过程将停止;函数用于计算增益和调度方案,具有最大增益的VNF链被实际嵌入,嵌入新链后,相关参数将更新;函数是以贪婪的方式实现的,对于每个尚未调度的用户请求,函数检查每个安全服务和相应的功能服务的VNF链实例构成的实例对,如果该用户请求能够被其中任意一个实例对在延迟上界内处理,则将该用户添加到中去,将该实例组合添加到中去。
步骤E中,使用VNF链嵌入方法具体描述框架中服务部署的步骤,
每个VNF的放置位置有N种,根据评估指标对这个选择中的每一个进行评分;设表示VNF链中的第t个VNF,表示在边缘站点i上放置的评分;放置的评分是基于放置的评分计算的;根据的每个选择计算,并选出其中得分最高的一个,即,是当放置在站点k上时,放置在站点i上的评估指标;对于每个边缘站点计算,并记录其对应的的选择,用最高的分数做为最后的选择,然后回溯到;
当出现恶意用户请求时,估计恶意用户请求在所有用户请求中所占的比例,当恶意用户请求是非自适应的时候,使用观察到的经验平均值作为估计值;将功能服务的总处理能力提高,然后调度用户请求,当调度到同一VNF链的正常请求超过了处理能力,则随机挑选超量的请求迁移到云。
根据延迟和资源指标对VNF的每个选择进行评分,具有以下3种模式,
1)负载均衡模式,资源指标值随着边缘站点的可用资源增加而升高;
2)集中模式,根据资源利用率设计资源指标,站点被选择放置一个新的VNF的概率随着VNF放置数量增加而升高;
3)QoS模式,根据延迟来计算评分,当边缘站点有足够的资源用于放置新的VNF时,将资源指标的值设置为1,否则该值将设置为0。
仿真实验
从真实的出租车轨迹中提取用户请求和边缘站点(数据来源:滴滴出行盖亚倡议)。数据覆盖的区域根据粒度的不同划分为2个网格,即10×10和3×3网格。生成的100个单元和9个单元分别表示100个边缘站点和9个功能服务。每个用户轨迹都转换为一个用户请求。对于每个用户轨迹,边缘站点网格中的出发位置转换为用户请求到达的边缘站点,功能服务网格中的目的地位置转换为所需的功能服务。边缘站点的资源容量是根据相应格子内的出租车数目设置的。两个边缘站点之间的传输延迟是基于用户轨迹在其相应格子间的平均旅行时间来设置的。功能服务的延迟边界是基于目的地为相应单元的用户轨迹的平均旅行时间来设置的。对于每个实验,对随机抽取的用户请求进行10次实验,并对结果取平均值。所有的算法都是用python3.6.9实现的,并在配置为ubuntu18.04、2.4GHz Xeon-Skylake处理器和2GB内存的云服务器上运行。
在仿真实验中,将本发明所提出的算法与其他2种启发式算法进行了比较。本发明算法包括两部分,即增量资源分配策略(IRSA)和VNF链嵌入算法(VCEA)。利用这两部分结合其他的解决方案生成另外3种算法。具体情况如下。
增广链策略+VNF链嵌入算法(ACS+VCEA)。每个功能服务的VNF链都用安全服务的VNF链进行扩充。因此,它只需要考虑功能服务的部署。
固定分配策略+VNF链嵌入算法(FAS+VCEA)。根据固定的资源分配策略,将资源分配给安全服务和功能服务,并且这两类服务各获得每个边缘站点一半的资源。
增量资源分配策略+最优嵌入算法(IRAS+OEA)。该算法通过列举所有可能的嵌入方案,选择其中增益最大的方案作为最优嵌入方案。
从执行时间和平均服务用户请求数两个方面来评估性能。首先比较了本发明的算法和基准测试在不同的站点规模和请求数下的执行时间。图1示出了边缘站点数目对执行时间的影响。请求数都设置为200。我们可以看到,所有3种算法的执行都随着站点规模的增加而增加。我们的算法比其他两个算法快一点。图2示出了不同请求数下的执行时间。站点数目设置为50。我们可以看到,当请求数超过100时,执行时间趋于稳定。这是因为边缘站点上的资源耗尽,算法终止。
图3显示了平均服务的请求数量随着站点规模的增加而增加。其原因是站点规模的增加为嵌入VNF链提供了更多的资源,导致处理能力的提高。本发明算法的性能明显优于其他两种算法,与FAS+VCE算法相比,当站点数为30时,差距可达31%。图4示出了服务请求的平均数目随着请求数目的增加而增加。请求数的增加为提高嵌入式VNF链的利用率提供了更多的可能性。本发明的算法与基准测试之间的差距可以达到35%(当请求数为150时,与FAS+VCE相比)。
与最优方案的差距:为了评估本发明的VNF链嵌入算法的性能,我们将其与最优嵌入算法(OEA)进行了比较,后者通过列举所有可能的解来找出最优嵌入方案。我们在3种不同规模的边缘站点下进行了实验,即5个站点、10个站点和15个站点。用户请求数目是50。
上表显示了执行时间和在边缘上处理的用户请求数的比较结果。一方面,OEA在边缘上服务了更多的用户请求。在3个站点规模下,本发明的算法与最优解的差距分别为0、0.04和0.08。另一方面,本发明的算法更高效。它求解所花费时间远远少于1秒,而OEA的执行时间边缘站点数量的增加而显著增长。OEA的执行时间最多达到了VCEA执行时间的7678倍。
服务类型数的影响:为了探讨服务类型数的影响,我们将功能服务的种类数目进一步细分为12和16。图5显示了比较结果。用户请求数目和边缘站点数目分别默认为200和50。随着服务类型数的增加,平均服务的请求数减少。本发明的算法优于其他两个基准算法,但是当服务类型增加到12和16时,其结果仍然分别下降了12.4%和16.5%。原因是服务种类的增加导致需要每种服务的请求数减少,因为总请求数是固定的。因此,VNF链的利用率更有可能降低。
VNF链长度的影响:在我们的实验中,VNF链的长度范围默认为[3,6]。为了评价VNF链长的影响,我们将VNF链长范围分别扩大了1.5倍和2倍,得到了VNF链长范围[3,9]和[3,12]。图6显示了VNF链长度的影响。显然,VNF链越长,边缘上可以服务的用户请求就越少,因为当VNF链的长度增加时,它需要更多的资源来服务相同数量的请求。当长度范围扩大1.5倍和2倍时,本发明的算法的结果分别下降了21.4%和50.4%,仍然优于其他两个基准算法。
资源容量的影响:为了评估站点资源容量对我们算法性能的影响,我们将每个边缘站点的资源容量分别缩放0.5倍和1.5倍。边缘站点的资源容量直接决定了可以嵌入的VNF链的数量。图7展示了实验结果。当边缘站点上的资源减少一半时,服务的平均请求数量将显著减少。
延迟上界的影响:为了评估功能服务的延迟上界的影响,我们将延迟上界分别缩小为0.6倍和0.8倍。显然,延迟上界的减少导致了服务请求数量的减少。如图8所示,当延迟上界减小为0.6倍和0.8倍时,算法的结果分别降低了24.7%和17.4%。
被安全服务判定为恶意或非法的用户请求将不会被功能服务处理,从而导致功能服务为其预留的资源未被使用。为了进一步提高资源利用率,我们根据恶意用户请求的预期比例,通过在功能服务中增加虚拟容量来优化算法。将通用算法和优化算法分别表示为GA和OA。我们比较了GA和OA所处理的包含恶意和正常用户请求的总用户请求数(标签中后缀为total),以及正常用户请求数(标签后缀为normal)。我们将恶意用户请求的比例从5%逐步提升为50%。结果如图9所示。可以看出,通过优化算法计算出的处理请求数随着恶意请求所占比例的增加而增加。这是因为OA中针对恶意请求只部署安全服务,从而充分利用了GA中浪费的资源。当然,整个请求中的恶意程度越高,在边缘上处理的正常请求就越少。OA和GA下正常请求的处理次数均随恶意请求比例的增加而减少。OA在处理总请求数和正常请求数方面分别比GA高出20.6%和18.1%。
Claims (10)
1.一种边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于包括以下步骤:
A、建立一个具有N个异构边缘站点和一个远程云的边缘系统,所述边缘站点通过回程网络连接,使得用户请求被非本地边缘站点服务,从边缘站点i到j的传输延迟被表示为,设,,每个边缘站点与无线接入点相关联;当边缘系统无法满足用户请求时,用户请求将通过互联网迁移到远程云上处理,表示边缘站点i的资源容量,所述资源为一个包含计算、带宽和存储容量的三维向量;
C、用户通过接入点向边缘系统发送请求,设有U个用户请求,,表示需要功能服务f的用户请求集合,每个用户请求都与它需要的功能服务和它到达的边缘站点相关联,如果用户请求没有在边缘系统上调度,它将被传输到远程云处理;
E、使用启发式算法求解高效安全部署问题的最优解。
3.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:服务提供商为用户提供的不同种类的功能服务具有延迟上界;在安全部署模式中,延迟上界把安全服务所消耗的时间包含在内;设VNF处理用户请求所花费的时间是恒定的,总的延迟中不确定的部分仅与边缘站点之间的传输延迟有关。
4.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:步骤D中,约束条件包括,
安全约束,为了提供安全保护,在边缘上处理的用户请求必须由安全服务处理,
处理能力约束,对于安全服务和功能服务的每个VNF链实例,处理能力约束保证调度给它的用户请求不会超过它的处理能力,
资源约束,对于每个边缘站点,放置在其上的所有VNF所需的总资源不得超过其资源容量,
完整性约束,对于每个VNF链实例,其中包含的所有VNF都应该放在某个边缘站点上,以确保链正常工作,
QoS约束,对于边缘系统处理的每个用户请求,应该由其所需的功能服务来处理,
延迟约束描述为,
决策变量约束,
其中,表示服务j部署的VNF链实例的数目,表示用户请求u是否被相应功能服务的第i个VNF链实例处理,表示用户请求u是否被安全服务的第i个VNF链实例处理,表示服务f的第i个VNF链实例中的v是否部署在边缘站点n;的定义为:边缘站点集合;的定义为:用户请求集合,需要服务的用户请求的集合;的定义为:功能服务集合,安全服务;的定义为:在服务i的VNF链中,VNF的集合与链路的集合;的定义为:边缘站点i的资源容量;的定义为:VNF的资源需求与处理容量;的定义为:功能服务i的延迟上界;的定义为:边缘站点i与j的传输时延;的定义为:用户请求u是否在边缘站点被处理的标志符;的定义为:用户请求u是否被安全服务的第i个VNF链实例处理,是否被相应功能服务的第i个VNF链实例处理的标志符;的定义为:服务f的第i个VNF链实例中的VNF是否部署在边缘站点的标志符;的定义为:服务i部署的VNF链实例的数目。
5.根据权利要求1所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:所述高效安全部署问题为NP难问题。
6.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:步骤E中,使用增量资源分配策略作为启发式算法的整体框架;
所述增量资源分配策略包括,
部署方案,用于记录每一个服务是如何部署的,包含每一个VNF链实例的嵌入方案;
调度方案,用于记录每一个用户请求分别被安全服务和功能服务的哪一个VNF链实例所处理;
当边缘系统资源不足时,增量资源分配策略终止;使用VNF链嵌入算法为每个服务的VNF链生成嵌入方案;嵌入方案记录了一个VNF链实例的每一个VNF放置在哪一个边缘站点上;VNF链嵌入方法表示为函数,如果当前资源足够嵌入服务i的VNF链,将的值置为,否则置为,如果当前资源无法放置任何服务的VNF链,那么这个过程将停止;函数用于计算增益和调度方案,具有最大增益的VNF链被实际嵌入,嵌入新链后,相关参数将更新;函数是以贪婪的方式实现的,对于每个尚未调度的用户请求,函数检查每个安全服务和相应的功能服务的VNF链实例构成的实例对,如果该用户请求能够被其中任意一个实例对在延迟上界内处理,则将该用户添加到中去,将该实例组合添加到中去。
8.根据权利要求2所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:步骤E中,使用VNF链嵌入方法具体描述框架中服务部署的步骤,
每个VNF的放置位置有N种,根据评估指标对这个选择中的每一个进行评分;设表示VNF链中的第t个VNF,表示在边缘站点i上放置的评分;放置的评分是基于放置的评分计算的;根据的每个选择计算,并选出其中得分最高的一个,即,是当放置在站点k上时,放置在站点i上的评估指标;对于每个边缘站点计算,并记录其对应的的选择,用最高的分数做为最后的选择,然后回溯到;
10.根据权利要求9所述的边缘计算环境下的安全服务与功能服务联合编排方法,其特征在于:根据延迟和资源指标对VNF的每个选择进行评分,具有以下3种模式,
1)负载均衡模式,资源指标值随着边缘站点的可用资源增加而升高;
2)集中模式,根据资源利用率设计资源指标,站点被选择放置一个新的VNF的概率随着VNF放置数量增加而升高;
3)QoS模式,根据延迟来计算评分,当边缘站点有足够的资源用于放置新的VNF时,将资源指标的值设置为1,否则该值将设置为0。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110649247.6A CN113259175B (zh) | 2021-06-10 | 2021-06-10 | 一种边缘计算环境下的安全服务与功能服务联合编排方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110649247.6A CN113259175B (zh) | 2021-06-10 | 2021-06-10 | 一种边缘计算环境下的安全服务与功能服务联合编排方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113259175A true CN113259175A (zh) | 2021-08-13 |
CN113259175B CN113259175B (zh) | 2021-09-24 |
Family
ID=77187466
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110649247.6A Active CN113259175B (zh) | 2021-06-10 | 2021-06-10 | 一种边缘计算环境下的安全服务与功能服务联合编排方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113259175B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113778677A (zh) * | 2021-09-03 | 2021-12-10 | 天津大学 | 面向sla的云边协同资源编排与请求调度智能优化方法 |
CN114265630A (zh) * | 2021-11-26 | 2022-04-01 | 深圳大学 | 一种资源共享感知的在线任务卸载方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180183855A1 (en) * | 2016-12-28 | 2018-06-28 | Intel Corporation | Application computation offloading for mobile edge computing |
CN108768736A (zh) * | 2018-06-05 | 2018-11-06 | 中国人民解放军国防科技大学 | 一种混合型服务功能链嵌入代价的优化方法 |
CN109729175A (zh) * | 2019-01-22 | 2019-05-07 | 中国人民解放军国防科技大学 | 一种不稳定信道条件下的边缘协同数据卸载方法 |
CN110958192A (zh) * | 2019-12-04 | 2020-04-03 | 西南大学 | 一种基于虚拟交换机的虚拟数据中心资源分配系统及方法 |
CN110995858A (zh) * | 2019-12-17 | 2020-04-10 | 大连理工大学 | 一种基于深度q网络的边缘网络请求调度决策方法 |
CN111148252A (zh) * | 2019-12-30 | 2020-05-12 | 国网辽宁省电力有限公司电力科学研究院 | 基于拍卖的lte电力无线专网资源分配方法 |
CN112738822A (zh) * | 2020-12-25 | 2021-04-30 | 中国石油大学(华东) | 移动边缘计算环境中基于noma的安全卸载和资源分配方法 |
-
2021
- 2021-06-10 CN CN202110649247.6A patent/CN113259175B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20180183855A1 (en) * | 2016-12-28 | 2018-06-28 | Intel Corporation | Application computation offloading for mobile edge computing |
CN108768736A (zh) * | 2018-06-05 | 2018-11-06 | 中国人民解放军国防科技大学 | 一种混合型服务功能链嵌入代价的优化方法 |
CN109729175A (zh) * | 2019-01-22 | 2019-05-07 | 中国人民解放军国防科技大学 | 一种不稳定信道条件下的边缘协同数据卸载方法 |
CN110958192A (zh) * | 2019-12-04 | 2020-04-03 | 西南大学 | 一种基于虚拟交换机的虚拟数据中心资源分配系统及方法 |
CN110995858A (zh) * | 2019-12-17 | 2020-04-10 | 大连理工大学 | 一种基于深度q网络的边缘网络请求调度决策方法 |
CN111148252A (zh) * | 2019-12-30 | 2020-05-12 | 国网辽宁省电力有限公司电力科学研究院 | 基于拍卖的lte电力无线专网资源分配方法 |
CN112738822A (zh) * | 2020-12-25 | 2021-04-30 | 中国石油大学(华东) | 移动边缘计算环境中基于noma的安全卸载和资源分配方法 |
Non-Patent Citations (1)
Title |
---|
WEIGANG HOU: "Novel Framework of Risk-Aware Virtual Network", 《IEEE》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113778677A (zh) * | 2021-09-03 | 2021-12-10 | 天津大学 | 面向sla的云边协同资源编排与请求调度智能优化方法 |
CN114265630A (zh) * | 2021-11-26 | 2022-04-01 | 深圳大学 | 一种资源共享感知的在线任务卸载方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113259175B (zh) | 2021-09-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Yang et al. | Distributed blockchain-based trusted multidomain collaboration for mobile edge computing in 5G and beyond | |
Yao et al. | Fog resource provisioning in reliability-aware IoT networks | |
Ren et al. | A survey on end-edge-cloud orchestrated network computing paradigms: Transparent computing, mobile edge computing, fog computing, and cloudlet | |
Zhang et al. | Adaptive interference-aware VNF placement for service-customized 5G network slices | |
US20240069942A1 (en) | Centralized networking configuration in distributed systems | |
Sun et al. | Forecast-assisted NFV service chain deployment based on affiliation-aware vNF placement | |
CN113259175B (zh) | 一种边缘计算环境下的安全服务与功能服务联合编排方法 | |
CN102497362A (zh) | 异常网络流量的攻击源追踪方法及装置 | |
Ejaz et al. | Performance and efficiency optimization of multi-layer IoT edge architecture | |
Karakaya et al. | A novel IoT-based health and tactical analysis model with fog computing | |
Rankothge et al. | On the scaling of virtualized network functions | |
CN113490231B (zh) | 一种网络切片的可用性保障方法及装置 | |
CN110535705B (zh) | 一种自适应用户时延要求的服务功能链构建方法 | |
Emu et al. | Latency aware VNF deployment at edge devices for IoT services: An artificial neural network based approach | |
CN106789322B (zh) | 空间信息网络中关键节点的确定方法和装置 | |
Dwiardhika et al. | Virtual network embedding based on security level with VNF placement | |
Jararweh et al. | Software Defined based smart grid architecture | |
Masoumi et al. | Dynamic online VNF placement with different protection schemes in a MEC environment | |
Qiu et al. | Online Security-Aware and Reliability-Guaranteed AI Service Chains Provisioning in Edge Intelligence Cloud | |
CN107528742B (zh) | 一种面向云数据中心网络优化的虚拟机部署方法 | |
Jaber et al. | Application of edge computing-based information-centric networking in smart cities | |
CN111107035B (zh) | 基于行为辨识的安全态势感知与防护方法及装置 | |
Qin et al. | A joint orchestration of security and functionality services at network edge | |
Hongvanthong et al. | A novel four‐tier software‐defined network architecture for scalable secure routing and load balancing | |
Fan et al. | On credibility-based service function chain deployment |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |