CN113490231B - 一种网络切片的可用性保障方法及装置 - Google Patents
一种网络切片的可用性保障方法及装置 Download PDFInfo
- Publication number
- CN113490231B CN113490231B CN202110731081.2A CN202110731081A CN113490231B CN 113490231 B CN113490231 B CN 113490231B CN 202110731081 A CN202110731081 A CN 202110731081A CN 113490231 B CN113490231 B CN 113490231B
- Authority
- CN
- China
- Prior art keywords
- backup
- availability
- network slice
- node set
- backup node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 43
- 238000002955 isolation Methods 0.000 claims abstract description 49
- 238000011156 evaluation Methods 0.000 claims abstract description 13
- 230000006870 function Effects 0.000 claims description 82
- 238000004590 computer program Methods 0.000 claims description 6
- 230000010365 information processing Effects 0.000 claims description 5
- 230000001174 ascending effect Effects 0.000 claims 1
- 230000008569 process Effects 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 8
- 238000004422 calculation algorithm Methods 0.000 description 7
- 238000011160 research Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000007123 defense Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 238000003860 storage Methods 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 2
- 230000001419 dependent effect Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000002708 enhancing effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 230000001965 increasing effect Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000008447 perception Effects 0.000 description 2
- 241000116710 Ferula foetidissima Species 0.000 description 1
- 238000009825 accumulation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000000052 comparative effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000009792 diffusion process Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000013210 evaluation model Methods 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 238000004088 simulation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/04—Arrangements for maintaining operational condition
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/22—Arrangements for detecting or preventing errors in the information received using redundant apparatus to increase reliability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45587—Isolation or security of virtual machine instances
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/44—Arrangements for executing specific programs
- G06F9/455—Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
- G06F9/45533—Hypervisors; Virtual machine monitors
- G06F9/45558—Hypervisor-specific management and integration aspects
- G06F2009/45595—Network integration; Enabling network access in virtual machine instances
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种网络切片的可用性保障方法及装置,其中,所述可用性保障方法包括:获取网络切片;其中,所述网络切片对应至少两个虚拟网络功能单元构成的第一序列,所述第一序列中的虚拟网络功能单元的类型仅出现一次;对所述第一序列中的虚拟网络功能单元进行安全评估,确定所述虚拟网络功能单元的隔离等级;根据所述隔离等级对所述网络切片的虚拟网络功能单元进行备份,获得备份节点,直到满足所述网络切片的可用性要求。
Description
技术领域
本申请涉及网络切片技术领域,尤其涉及一种网络切片的可用性保障方法及装置。
背景技术
5G的发展使得移动通信服务于自动驾驶、制造业等各种垂直行业,将面临业务需求的多样性。遵循传统网络的建设思路来满足这些差异巨大的业务需求成本巨大同时效率低下,网络切片技术可以有效解决这一问题。5G网络切片是指将网络资源灵活分配,网络能力按需组合,基于一个5G网络虚拟出多个具备不同特性的逻辑子网,其实现依赖于软件定义网络SDN和网络功能虚拟化NFV技术在5G网络中的应用。运营商可以通过功能公开,智能调度和安全隔离为共享网络基础架构上的多个行业应用编排单独的5G网络切片,以提供差异化的网络服务。
构建网络切片时,通过虚拟网络功能(virtual network function,VNF)的组合链接来实现网络服务提升了网络的灵活性、可扩展性和可重构能力。但与高可用性的硬件网络设备相比,基于软件实现的VNF可用性较低。硬件故障、软件故障、后门等潜在的风险都将导致VNF的失效。通常对失效的VNF采用部署备份节点的方法提供可用性保障,当原VNF发生故障时可以立即启用备用VNF替换。还应注意的是,网络切片是建立在通用基础架构上的虚拟化专用网络,网络的虚拟化、开放化使得网络更易受攻击,并且集中部署的网络将导致网络威胁传播速度更快,波及更广。5G除了提供传统的移动网络安全性机制(例如访问身份验证,访问层和非访问层信令和数据的加密和完整性保护)外,还需要在网络切片间和切片内提供隔离。一方面可以避免切片之间发生资源相互竞争进而影响网络切片的正常部署和运行;另一方面也可以避免一个网络切片或服务功能的异常(例如遭受内部安全威胁或者外部攻击)影响到其他网络切片或服务功能的安全,有效防止攻击扩散、切片数据泄露等安全威胁。
目前已有的对可用性保障的研究主要有专有备份、共享备份和联合备份几种策略。多数研究只面向VNF的随机故障,研究目标集中在降低备份资源及提高备份效率上。少数研究面向安全攻击,通过将VNF或其备份节点映射到安全性较高的资源层来提高其安全防御能力。但这些研究并没有结合5G网络切片特殊的安全隔离需求,隔离意味着资源的独立性,其实现必然依赖于更多的资源消耗,如何实现隔离与资源节约的平衡,保障网络切片的可用性具有非常重要的研究意义。
发明内容
鉴于此,本申请提出一种网络切片的可用性保障方法及装置,解决5G网络切片运营中隔离与资源节约的平衡。
为实现上述目的,本申请实施方式提供一种网络切片的可用性保障方法,所述可用性保障方法包括:
获取网络切片;其中,所述网络切片对应至少两个虚拟网络功能单元构成的第一序列,所述第一序列中的虚拟网络功能单元的类型仅出现一次;
对所述第一序列中的虚拟网络功能单元进行安全评估,确定所述虚拟网络功能单元的隔离等级;
根据所述隔离等级对所述网络切片的虚拟网络功能单元进行备份,获得备份节点,直到满足所述网络切片的可用性要求。
对应地,为实现上述目的,本申请实施方式提供一种网络切片的可用性保障装置,所述可用性保障装置包括存储器和处理器;其中,
所述存储器,用于存储计算机程序指令;
所述处理器,用于执行所述计算机程序指令以实现上述所述的网络切片的可用性保障方法。
通过以上技术手段,可以实现以下有益效果:
本申请提出一种网络切片的可用性保障方案,该方案首先建立了网络功能安全评估和分级隔离模型,进一步提出了基于备份节点集合的可用性近似计算方法,最后提出了基于分级隔离和资源感知的备份方法,实现了隔离与资源利用率之间的平衡。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为5G网络切片整体架构图;
图2为本申请提出的一种网络切片的可用性保障方法流程图;
图3为网络切片中虚拟网络功能单元的隔离等级确定流程图;
图4为备份方案流程图;
图5为本申请提出的一种网络切片的可用性保障装置示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
NFV,即网络功能虚拟化,Network Function Virtualization。将许多类型的网络设备(如servers,switches和storage等)构建为一个Data Center Network,通过使用x86等通用性硬件以及虚拟化技术,来承载很多功能的软件处理。从而降低网络昂贵的设备成本。使网络设备功能不再依赖于专用硬件,资源可以充分灵活共享,实现新业务的快速开发和部署。
VNF,指的是具体的虚拟网络功能,提供某种网络服务,在软件层面实现,利用NFVI提供的基础设施部署在云侧的资源中。云侧的资源包括但不限于虚拟机、容器或者bare-metal物理机。
进一步地,一个NFV的标准架构包括NFV infrastructure(NFVI),MANO(Management and Orchestration)和VNFs。其中,VNF是NFV架构中的虚拟网络功能单元。可以理解为对电信业务网络中现有物理网元进行功能虚拟化的过程,将以软件模块形式部署在NFVI提供的虚拟资源上,从而实现网络功能的虚拟化。由此可知,NFV、VNF三个同样的字母调换了顺序,含义截然不同。NFV是一种虚拟化技术或概念,解决了将网络功能部署在通用硬件上的问题。
一台台硬件电子设备作为端侧设备构成了网络,网络上飞奔的都是比特数据流。对所有端侧设备的各种类型的业务进行充分研究之后,对不同的业务的需求排出个优先级,优先保证对网络要求高的业务,然后再兼顾低优先级的业务,这是提出网络切片的现实需求。
如图1所示,为5G网络切片整体架构图。5G端到端的网络切片是指将网络资源灵活分配,按需组网,基于5G网络虚拟出多个具有不同特点且互相隔离的逻辑子网,每个端到端网络切片均由无线网、传输网、核心网子切片组合而成,并通过端到端切片管理系统进行统一的管理。在uRLLC切片中,自动驾驶/辅助驾驶、远程控制等场景对网络有着极为苛刻的时延要求。在mMTC切片中,大规模物联网业务场景具有海量连接,网络中交互的数据量较小,要求高计算资源和低拥塞。在eMBB切片中,3D/超高清视频等大流量移动宽带业务具有用户数据速率高、带宽高的特点。基于此,合理的配置资源,利用有限的网络,根据不同的业务对网络的需求不一样,通过切片网络配置不同的网络切片,使得运营商能够根据第三方需求和网络状况以低成本为用户灵活提供个性化的网络服务。
为了解现有可用性保障方法,对已有的论文和专利进行了检索、比较和分析,发现如下文献方案:
文献方案1:《RABA:Resource-Aware Backup Allocation For A Chain ofVirtual Network Functions》中,作者考虑了不同VNF对资源的差异性需求,采用专有备份和共享备份策略实现可用性保障,目标是满足总体可用性需求的同时最小化备份资源的消耗。作者证明了该问题是NP-hard的,并提出了基于差分进化的RABA-CDDE算法来求解。此外,为了提高算法的计算效率,提出了一种贪心算法来解决该问题。通过实验证明,作者在该文献中提出的方案在专用和共享备份中分别可以减少约15%和35%的资源消耗。
文献方案2:《Enhancing the Reliability of Services in NFV with theCost-Efficient Redundancy Scheme》中,作者提出了成本感知重要性度量(CIM)的备份方案,依据VNF转发图结构进行备份选择,目标是获得最优的成本效率。此外,为了减少过度备份并提高底层资源的利用率,作者还将选择过程和放置过程结合起来,将备份节点映射到高可用性的物理节点上。结果表明,所提出的算法可以有效减低46%的备份成本,并保持较高的成本效率。
文献方案3:《Joint Availability Guarantee and Resource Optimization ofVirtual Network Function Placement in Data Center Networks》中,作者以可用性保障和资源优化为目标研究了数据中心网络中VNF的放置问题,首先定义了可用性模型来评估整体可用性,该模型同时考虑了物理设备故障和VNF软件故障。然后提出了一种综合考虑路径备份和节点备份的JPV(Joint Path-VNF)模型,并通过共享备份实现资源节约。最后,设计了基于相似性的算法来减少链路资源消耗。
上述文献方案1-3讨论了面向随机故障的可用性保障问题,研究目标集中在降低备份资源和提高备份效率上。文献方案1-2采用共享备份的策略为节点增加冗余来提升可用性,文献方案3综合考虑了节点备份和路径备份来提高可用性,同样采用共享备份实现资源节约。上述方案均针对VNF的随机故障提供可用性保障,而未考虑到通用架构下外部攻击带来的安全问题。
文献方案4:《Enhancing the Reliability of NFV with HeterogeneousBackup》中,作者关注持久性和隐蔽性的攻击场景,将攻击过程建模为博弈论过程,设计了异构备份模型以避免针对单一漏洞的持续攻击,建立异构备份池,通过动态切换VNF执行器来防御隐藏式攻击,提高入侵容错性。通过仿真和博弈论分析,验证了该方法的有效性。
上述文献方案4考虑了虚拟化环境面临的攻击威胁,将网络攻防过程建立为博弈论模型,认为网络攻击者会以较快的速度攻破“已知”节点,通过为VNF建立异构备份池,提高了VNF的安全防御能力。但是5G切片面临着数据泄露和资源竞争等安全威胁,上述方案没有考虑切片对隔离的需求。
基于上述分析,本披露提出一种基于分级隔离和资源感知的网络切片的可用性保障方案,既满足5G网络切片的隔离需求,也可以尽最大可能降低备份成本和提高资源利用率。首先,该方案建立虚拟网络功能安全评估和分级隔离模型,综合多种安全相关评估参量对虚拟网络功能进行安全性评分,并据此确定其安全隔离等级,对不同安全隔离等级的虚拟网络功能(VNF)采用不同的备份策略。然后提出基于分级隔离的共享备份方法用最少的备份资源实现可用性保障。此外,该方法提出一种备份节点集合的计算方法解决共享备份中可用性计算这一NP难问题。
在本方案中,用表示5G网络中网络切片集合,/>表示网络切片的数量,对于任一网络切片/>是一个VNF集合,Ni=|Si|表示该网络切片中包含的VNF数量。本方案假设一个网络切片中一种VNF类型仅出现一次,VNF个数即其类型数。/>表示第i个网络切片中第j种VNF,同时也表示第i个网络切片对应的VNF序列中第j个VNF。VNF具有一定的资源量/>和可用性/>网络切片通过VNF的链接完成服务,可以看做VNF的串联,在为网络切片提供备份节点前,网络切片可用性可以表示为:
网络切片的可用性要求表示为Rq,当第i(i=1,…,M)个网络切片的可用性Ri低于Rq时,需要为该网络切片分配备份节点。考虑到不同VNF对安全隔离需求的差异性,我们用表示不同VNF的隔离等级,不同的隔离等级,对其采用不同的备份策略。假设备份节点的类型与网络切片的VNF的类型一一对应。其中,备份节点的可用性/>与对应的网络切片的VNF的可用性/>相等,备份节点的资源量/>与对应的网络切片的VNF的资源量/>相等。本技术方案的目标是确定各类型备份节点的数量,消耗最少的备份资源使备份后的网络切片的可用性达到可用性要求。完成可用性保障需要确定下面三个决策变量:
表示VNF的隔离等级,/>分别表示片间共享、片内共享和片内不共享三种隔离等级。
备份节点数量,/>表示不对第i个网络切片中的第j个VNF提供备份节点。同类型的备份节点构成备份节点集合,/>表示备份节点集合中备份节点的个数。备份节点集合的个数与网络切片的VNF的个数相等。亦即备份节点集合与网络切片的VNF是一对一的关系。
表示网络切片中VNF与备份节点集合的对应关系,/>表示第i个网络切片中第q个备份节点集合为第i个网络切片中的第p个VNF提供备份。
对于本技术方案来说,问题的目标函数为:
总体来说,本方案可以被分为两步,第一步对网络切片的每个VNF进行安全评估,确定其隔离等级划分到对应的虚拟隔离域中,虚拟隔离域间备份节点不共享,第二步确定用最少资源达到可用性要求的每个备份节点集合中备份节点的数目。
基于上述描述,如图2所示,为本申请提出的一种网络切片的可用性保障方法流程图。所述方法包括:
步骤201):获取网络切片;其中,所述网络切片对应至少两个虚拟网络功能单元构成的第一序列,所述第一序列中的虚拟网络功能单元的类型仅出现一次。
步骤202):对所述第一序列中的虚拟网络功能单元进行安全评估,确定所述虚拟网络功能单元的隔离等级。
步骤203):根据所述隔离等级对所述网络切片的虚拟网络功能单元进行备份,获得备份节点,直到满足所述网络切片的可用性要求。
本实施例在实现网络切片的可用性保障过程中引入切片的安全隔离机制,满足切片的安全需求并最小化资源消耗。
在另一实施例中,为有效对VNF进行隔离域的划分,并满足备份过程中可用性约束条件,结合5G网络环境特点提出一种节点安全参数评估模型,确定虚拟网络功能单元(VNF)的隔离等级。如图3所示,网络切片中虚拟网络功能单元的隔离等级确定流程图。具体步骤包括:
步骤A):对所述第一序列中虚拟网络功能单元进行安全性评分,获得对应的安全分数;
步骤B):对安全分数进行评估,获得评估结果;
步骤C):根据所述评估结果确定所述序列中虚拟网络功能单元的隔离等级。
进一步详述,设表示第i个网络切片的第j种VNF,该VNF的安全评分为/>取值范围为0~1,由以下几个评估参量决定:
1.VNF所在网络切片的应用类型参量5G网络的网络切片支持多种共享类型进行灵活组网,不同网络切片的应用类型对安全隔离的需求不同,据此对其打分,分值范围为0~1。
2.VNF功能参量虚拟网络功能单元包括用户面功能网元和控制面功能网元。其中,用户面功能网元和控制面功能网元对安全性的需求会存在一定差异,可据此进行打分,分值范围0~1。
3.VNF信息处理参量根据VNF信息处理量的多少设定高中低等多个标准进行打分,分值范围为0~1。
4.VNF中心度参量根据网络切片中该VNF与网络切片中其他VNF的链接情况进行打分,分值范围为0~1。
所述安全分数根据所述虚拟网络功能单元所在网络切片应用类型参量、所述虚拟网络功能单元的功能参量、所述虚拟网络功能单元的信息处理参量、所述虚拟网络功能单元的中心度参量以及对应参量的权重确定的。最后得到VNF的安全评分为以上各评估参量的加权累加:
其中,α、β、γ、δ为以上各参量所占权重,在不同应用场景中可灵活调整。有α+β+γ+δ=1。
在本实施例中,在这里着重考虑了网络切片的应用类型对安全需求的影响,α、β、γ、δ各参量所占权重分别为0.4,0.2,0.2和0.2。
VNF所在网络切片的应用类型参量将核心网的切片划分为GROUP A,B,C三种组网方式,其中GROUP A安全隔离度最高、对成本不敏感,适用于远程医疗、工业自动化等场景;GROUP B隔离要求相对较低,适用于辅助驾驶、车载娱乐等场景;GROUP C隔离要求最低,对成本敏感,适用手机视频、智能抄表等场景。若VNF所在切片属于GROUP A,则若属于GROUP B,则/>若属于GROUP C,则/>
VNF功能参量对于用户面功能网元/>控制面功能网元
VNF信息处理参量设定信息处理量的低、中、高标准,并据此分别打分0、0.5、1。
VNF中心度参量若一个VNF与其他n个VNF链接,则有:
进一步地,可以设置两个参考标准值DH和DL,上述安全评分与两个参考标准值DH和DL进行比较,获得评估结果。并根据评估结果将网络切片中的VNF划分到不同的虚拟隔离域中采取不同的备份策略:
将同一网络切片中的VNF划分到第一等级的虚拟隔离域,第一等级的虚拟隔离域内的同一网络切片的虚拟网络功能单元执行专有备份。例如:网络切片的第一序列中VNF1、VNF3、VNF4归入第一等级的虚拟隔离域,在同一网络切片中,处于第一等级的虚拟隔离域的每个VNF有对应的备份节点集合,每个VNF与备份节点集合是一一对应关系。该备份节点集合中的备份节点仅仅针对对应VNF进行备份,不对其他VNF进行备份。
将同一网络切片中的VNF划分到第二等级的虚拟隔离域,第二等级的虚拟隔离域内的同一网络切片的虚拟网络功能单元执行片内共享备份。例如:网络切片的第一序列中VNF2、VNF5归入第二等级的虚拟隔离域,在同一网络切片中,基于实际需求,处于第二等级的虚拟隔离域的同一备份节点集合中的备份节点可能即对VNF2进行备份,也可能对VNF5进行备份。
将所有网络切片中的VNF划分到第三等级的虚拟隔离域,在第三等级的虚拟隔离域内,所有网络切片的虚拟网络功能单元执行片间共享备份。例如:第1个网络切片的第一序列中的VNF6、VNF7归入第三等级的虚拟隔离域,第2个网络切片的第一序列中的VNF4、VNF8归入第三等级的虚拟隔离域。基于实际需求,处于第三等级的虚拟隔离域的同一备份节点集合中的备份节点可能即对第1个网络切片的VNF6进行备份,也可能对第2个网络切片的VNF4进行备份。
在本实施例中,建立了虚拟网络功能单元(VNF)的安全评估和分级隔离模型。综合多种安全相关评估参量对虚拟网络功能单元(VNF)进行安全评分,并据此确定其安全隔离等级,选择专有备份、切片内共享备份或切片间共享备份进行可用性保障。
基于上述描述可知,确定了网络切片的每个VNF的安全隔离等级,不同的安全隔离等级,对应不同的备份策略。基于此,下面需要确定用最少资源达到网络切片的可用性要求的每个备份节点集合中备份节点的数目。
本方案采用基于分级隔离的备份算法,对划分到各个虚拟隔离域的VNF进行备份。在每个虚拟隔离域中,对备份节点集合中的备份节点进行增量分配,直到满足整体可用性要求。由于每次备份完都需要判断是否达到目标,该算法依赖于备份后可用性的计算结果。如图4所示,为备份方案流程图。包括:
步骤a):获得备份前所述网络切片的可用性;其中,同类型的所述备份节点构成备份节点集合,所述备份节点集合与所述网络切片的虚拟网络功能单元一一对应;在备份前,所述备份节点集合中备份节点的个数为0;
步骤b):选择一个所述备份节点集合,在所述备份节点集合中增加一个备份节点,执行一次备份;
步骤c):每次备份后,迭代计算,获得对应的备份后的所述网络切片的可用性,直至满足所述网络切片的可用性要求。
在本实施例中,在进行备份前,所有备份节点集合内备份节点的数量都设置为0,此时计算出总体可用性Rnow,当Rnow不满足可用性要求时,将选择一个备份节点集合中的备份节点分配给VNF。在选择要增加的备份节点集合时,引入单位资源可用性提升率ρi来描述增加的备份节点对网络切片的整体可用性的提升效果,每次选择一个备份节点集合,在选中的备份节点集合中加入一个备份节点,执行一次备份。获得对应的单位资源可用性提升率ρi。假如网络切片有4个备份节点集合,执行4次备份,每次选一个备份节点集合,在选中的备份节点集合中加入一个备份节点。共获得4个单位资源可用性提升率。从4个单位资源可用性提升率中选出最大值对应的备份节点集合作为选择结果。设第m次备份前系统可用性为Rm-1,此次备份后系统可用性为Rm,那么有:
其中,表示增加的备份节点的资源量。
如果选出的备份节点集合对应第一等级虚拟隔离域的VNF,则在备份节点集合中增加一个备份节点,执行专有备份。在专有备份中,每个备份节点仅保护对应类型的VNF,即当前备份节点集合对应第i个网络切片的第一序列中的第j个VNF,且该备份节点集合中有个备份节点。该/>个备份节点与对应的VNF并联,第j个VNF执行专有备份后,第i个网络切片中的第j个VNF备份后的可用性为:
式中, 表示第i个网络切片的第一序列中第j个VNF的可用性;/>表示第i个网络切片的第一序列中的第j个VNF的数量。/>表示第i个网络切片的第一序列中第j个VNF对应的备份节点集合中增加一个备份节点后的可用性。Ri'表示增加备份节点后第i个网络切片的可用性。
如果选出的备份节点集合对应第二等级虚拟隔离域的VNF或第三等级虚拟隔离域的VNF,则在备份节点集合中增加一个备份节点,执行共享备份。
共享备份中可用性计算流程为:
Step1:为简化计算,将所述网络切片的备份节点集合按可用性递增的顺序排序,获得第二序列。
在本实施例中,在共享备份的情况下,备份节点要对VNF提供备份,必须满足的条件是:备份节点的可用性、资源和安全性均大于VNF的可用性、资源和安全性。这样在备份时只需考虑资源和安全参数约束。
Step2:将多个相同类型的备份节点构成一个备份节点集合,该备份节点集合作为一个等效备份节点。多个同类型的备份节点可以看作并联连接,只要有一个备份节点有效即可实现备份。此时,其等效备份节点的可用性可以等效为:
其中,表示第i个网络切片的第二序列中第b个VNF对应的备份节点的可用性;表示第i个网络切片的第二序列中的第b个VNF的数量。
Step3:计算第二序列中的第一个备份节点集合对应虚拟网络功能单元执行备份后的可用性。第一个备份节点集合仅对第二序列中的第一个虚拟网络功能单元进行一次共享备份,备份后第i个网络切片的可用性为:
式中,b=0,表示第i个网络切片的第二序列中第b个VNF的可用性。/>表示第i个网络切片的第二序列中的第b个VNF的数量。
Step4:计算第二序列中第b个(b>0)备份节点集合备份后的可用性。第b个备份节点集合即可对第二序列中第b个及之前所有满足资源量及安全性约束的VNF节点进行一次共享备份,若第b个备份节点集合的资源量和安全参数值均大于第(b-1)个备份节点集合对应的虚拟网络功能单元的资源量和安全参数,则第b个备份节点集合对对应VNF执行一次共享备份后的网络切片的可用性更新为:
上式中,等号右边的R′为上一个备份节点集合进行一次共享备份后网络切片的可用性。
若不满足资源量及安全性约束,则仅对第二序列中第b个备份节点集合所对应的VNF执行一次共享备份。此时,共享备份后的网络切片的可用性更新为:
上式中,等号右边的R′为上一个备份节点集合进行一次共享备份后网络切片的可用性。
Step5:所有备份节点集合执行一次共享备份后,R′即为共享备份后的网络切片的可用性。
对于本实施例来说,未达到可用性目标的网络切片,每次选择可用性最低的备份节点集合中增加一个备份实例,直到每个网络切片满足可用性目标,提高了备份效率并减少备份资源消耗。该方案实现了安全隔离和资源节约之间的平衡。另外,为判断每次备份后是否达到可用性目标,提出了基于备份节点集合的可用性近似计算方法,解决了共享备份中可用性计算这一PP-complete问题。
如图5所示,为本申请提出的一种网络切片的可用性保障装置示意图。包括:存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如图2所示的网络切片的可用性保障方法。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施方式或者实施方式的某些部分所述的方法。
本说明书中的各个实施方式均采用递进的方式描述,各个实施方式之间相同相似的部分互相参见即可,每个实施方式重点说明的都是与其他实施方式的不同之处。尤其,针对客户端和服务器的实施方式来说,均可以参照前述方法的实施方式的介绍对照解释。
本申请可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。也可以在分布式计算环境中实践本申请,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。
Claims (8)
1.一种网络切片的可用性保障方法,其特征在于,所述可用性保障方法包括:
获取网络切片;其中,所述网络切片对应至少两个虚拟网络功能单元构成的第一序列,所述第一序列中的虚拟网络功能单元的类型仅出现一次;
根据所述虚拟网络功能单元所在网络切片应用类型参量、所述虚拟网络功能单元的功能参量、所述虚拟网络功能单元的信息处理参量、所述虚拟网络功能单元的中心度参量以及对应参量的权重确定所述第一序列中的虚拟网络功能单元的安全分数,所述中心度参量为网络切片中当前虚拟网络功能单元与其他虚拟网络功能单元链接所对应的分值;
根据对安全分数进行评估而获得的评估结果,确定所述虚拟网络功能单元的隔离等级;
根据所述隔离等级对所述网络切片的虚拟网络功能单元进行备份,获得备份节点,直到满足所述网络切片的可用性要求。
2.如权利要求1所述的方法,其特征在于,根据对安全分数进行评估而获得的评估结果,确定所述虚拟网络功能单元的隔离等级的步骤包括:
如果所述安全分数大于第一参考标准值,则将所述虚拟网络功能单元划分至第一等级虚拟隔离域;其中,所述第一等级虚拟隔离域内的同一网络切片的虚拟网络功能单元执行专有备份;
如果所述安全分数大于第二参考标准值,且小于等于所述第一参考标准值,则将所述虚拟网络功能单元划分至第二等级虚拟隔离域;其中,所述第二等级虚拟隔离域内的同一网络切片的虚拟网络功能单元执行片内共享备份;
如果所述安全分数小于等于第二参考标准值,则将所述虚拟网络功能单元划分至第三等级虚拟隔离域;其中,所述第三等级虚拟隔离域内的所有网络切片的虚拟网络功能单元执行片间共享备份。
3.如权利要求1所述的方法,其特征在于,根据所述隔离等级对所述网络切片的虚拟网络功能单元进行备份的步骤包括:
获得备份前所述网络切片的可用性;其中,同类型的所述备份节点构成备份节点集合,所述备份节点集合与所述网络切片的虚拟网络功能单元一一对应;在备份前,所述备份节点集合中备份节点的个数为0;
选择一个所述备份节点集合,在所述备份节点集合中增加一个备份节点,执行一次备份;
每次备份后,迭代计算,获得对应的备份后的所述网络切片的可用性,直至满足所述网络切片的可用性要求。
4.如权利要求3所述的方法,其特征在于,选择一个所述备份节点集合的步骤为:
每次对所述网络切片中的一个虚拟网络功能单元进行备份,并获得对应的备份后的所述网络切片的可用性;
根据备份前所述网络切片的可用性、备份后的所述网络切片的可用性以及备份时所述网络切片的虚拟网络功能单元的资源量获得对应的单位资源可用性提升率;
从每次备份对应的单位资源可用性提升率中最大值对应的所述备份节点集合作为选择结果。
5.如权利要求3所述的方法,其特征在于,获得对应的备份后的所述网络切片的可用性的步骤为:
在所述备份节点集合中增加一个备份节点,执行一次专有备份;
根据所述备份节点集合对应的虚拟网络功能单元的可用性、所述备份节点集合中备份节点的个数,获得备份后的所述网络切片的可用性。
6.如权利要求3所述的方法,其特征在于,获得对应的备份后的所述网络切片的可用性的步骤为:
在所述备份节点集合中增加一个备份节点,执行一次共享备份;其中,所述共享备份为片内共享备份或片间共享备份;
将所述网络切片的备份节点集合按可用性递增的顺序排序,获得第二序列;
根据所述网络切片的虚拟网络功能单元对应备份节点的可用性、所述网络切片的虚拟网络功能单元对应所述备份节点集合中备份节点的个数,获得所述备份节点集合的可用性;
所述第二序列的第一个备份节点集合对应的虚拟网络功能单元的可用性、所述第一个备份节点集合中备份节点的个数,获得所述第一个备份节点集合执行一次共享备份后的网络切片的可用性;
根据上一个备份节点集合对应的虚拟网络功能单元的资源量和安全参数、与第二序列中当前备份节点集合的资源量和安全参数的比较,获得比较结果;
根据所述比较结果、所述第二序列中上一个备份节点集合执行一次共享备份后的可用性,迭代计算,获得当前备份节点集合执行一次共享备份后的网络切片的可用性,直至所有备份节点集合执行一次共享备份。
7.如权利要求6所述的方法,其特征在于,所述获得比较结果的步骤为第二序列中当前备份节点集合的资源量和安全参数均大于上一个备份节点集合对应的虚拟网络功能单元的资源量和安全参数,则所述第二序列中当前备份节点集合以及之前的备份节点集合分别对应的虚拟网络功能单元进行备份;否则,所述第二序列中当前备份节点集合对应的虚拟网络功能单元进行备份。
8.一种网络切片的可用性保障装置,其特征在于,所述可用性保障装置包括存储器和处理器;其中,
所述存储器,用于存储计算机程序指令;
所述处理器,用于执行所述计算机程序指令以实现所述权利要求1~7任一项权利要求所述的网络切片的可用性保障方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110731081.2A CN113490231B (zh) | 2021-06-29 | 2021-06-29 | 一种网络切片的可用性保障方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110731081.2A CN113490231B (zh) | 2021-06-29 | 2021-06-29 | 一种网络切片的可用性保障方法及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113490231A CN113490231A (zh) | 2021-10-08 |
CN113490231B true CN113490231B (zh) | 2024-04-23 |
Family
ID=77936925
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110731081.2A Active CN113490231B (zh) | 2021-06-29 | 2021-06-29 | 一种网络切片的可用性保障方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113490231B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115086175B (zh) * | 2022-04-26 | 2023-06-30 | 北京邮电大学 | 资源优化的方法及装置 |
CN116668535B (zh) * | 2023-07-27 | 2023-09-19 | 之江实验室 | 一种基于增强型服务架构的业务执行方法、装置及设备 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108616394A (zh) * | 2018-04-25 | 2018-10-02 | 电子科技大学 | 一种虚拟网络功能备份和部署方法 |
US10291543B1 (en) * | 2015-01-26 | 2019-05-14 | Amdocs Development Limited | System, method, and computer program for defragmenting a network based on network function virtualization (NFV) |
CN110190987A (zh) * | 2019-05-08 | 2019-08-30 | 南京邮电大学 | 基于备份收益与重映射的虚拟网络功能可靠性部署方法 |
CN111147307A (zh) * | 2019-12-30 | 2020-05-12 | 重庆邮电大学 | 基于深度强化学习的服务功能链可靠部署方法 |
WO2020205552A1 (en) * | 2019-03-29 | 2020-10-08 | Apple Inc. | Synchronization signal block (ssb) measurement accuracy testing |
WO2020258920A1 (zh) * | 2019-06-26 | 2020-12-30 | 华为技术有限公司 | 一种网络切片资源管理方法及设备 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10581666B2 (en) * | 2017-03-21 | 2020-03-03 | Huawei Technologies Co., Ltd. | Method and apparatus for operating network slices using shared risk groups |
-
2021
- 2021-06-29 CN CN202110731081.2A patent/CN113490231B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10291543B1 (en) * | 2015-01-26 | 2019-05-14 | Amdocs Development Limited | System, method, and computer program for defragmenting a network based on network function virtualization (NFV) |
CN108616394A (zh) * | 2018-04-25 | 2018-10-02 | 电子科技大学 | 一种虚拟网络功能备份和部署方法 |
WO2020205552A1 (en) * | 2019-03-29 | 2020-10-08 | Apple Inc. | Synchronization signal block (ssb) measurement accuracy testing |
CN110190987A (zh) * | 2019-05-08 | 2019-08-30 | 南京邮电大学 | 基于备份收益与重映射的虚拟网络功能可靠性部署方法 |
WO2020258920A1 (zh) * | 2019-06-26 | 2020-12-30 | 华为技术有限公司 | 一种网络切片资源管理方法及设备 |
CN111147307A (zh) * | 2019-12-30 | 2020-05-12 | 重庆邮电大学 | 基于深度强化学习的服务功能链可靠部署方法 |
Non-Patent Citations (6)
Title |
---|
5G新技术面临的安全挑战及应对策略;郝梓萁;《信息安全研究》;20200805;全文 * |
Availability Aware VNF Deployment in Datacenter Through Shared Redundancy and Multi-Tenancy;Defang Li et al.;《 IEEE Transactions on Network and Service Management 》;全文 * |
The Location Problem for the Provisioning of Protected Slices in NFV-Based MEC Infrastructure;Hernani D. Chantre et al.;《 IEEE Journal on Selected Areas in Communications》;全文 * |
基于联合备份的服务功能链可靠性保障的部署方法;汤红波 等;《电子与信息学报》;20191215;全文 * |
面向可靠性的5G网络切片映射算法研究;赵国繁;《中国优秀硕士学位论文全文数据库 信息科技辑》;全文 * |
面向可靠性的5G网络切片重构及映射算法;赵国繁 等;《电子与信息学报》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN113490231A (zh) | 2021-10-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20240069942A1 (en) | Centralized networking configuration in distributed systems | |
US10855545B2 (en) | Centralized resource usage visualization service for large-scale network topologies | |
US9647904B2 (en) | Customer-directed networking limits in distributed systems | |
US9712390B2 (en) | Encoding traffic classification information for networking configuration | |
CN113490231B (zh) | 一种网络切片的可用性保障方法及装置 | |
Hu et al. | Anomaly detection system in secure cloud computing environment | |
EP3066569B1 (en) | Centralized networking configuration in distributed systems | |
Hu et al. | MNOS: a mimic network operating system for software defined networks | |
Liu et al. | A dynamic composition mechanism of security service chaining oriented to SDN/NFV-enabled networks | |
Liu et al. | Security-aware resource allocation for mobile cloud computing systems | |
Li et al. | A cooperative defense framework against application-level DDoS attacks on mobile edge computing services | |
Jararweh et al. | Software Defined based smart grid architecture | |
CN113259175B (zh) | 一种边缘计算环境下的安全服务与功能服务联合编排方法 | |
Lin et al. | Security function virtualization based moving target defense of SDN-enabled smart grid | |
Zhu et al. | Cost-efficient VNF placement strategy for IoT networks with availability assurance | |
Qiu et al. | Online Security-Aware and Reliability-Guaranteed AI Service Chains Provisioning in Edge Intelligence Cloud | |
Lee et al. | Optimal flow rate control for SDN-based naval systems | |
CN117176735A (zh) | 基于云边端的区块链共识机制自适应选择方法及系统 | |
CN115297014B (zh) | 零信任算网操作系统、管理方法、电子设备、存储介质 | |
Al Ghamdi | An optimized and secure energy-efficient blockchain-based framework in IoT | |
Khan et al. | Resource Allocation in Networking and Computing Systems: a Security and Dependability Perspective | |
Hongvanthong et al. | A novel four‐tier software‐defined network architecture for scalable secure routing and load balancing | |
Zhai et al. | Security service function chain deployment using a viterbi-based algorithm | |
Dao et al. | Toward Privacy-Sensitive Heterogeneous Hypercomputing | |
Legkov et al. | Model of the corporation information subsystem functioning |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |