CN116015936B - 一种安全能力编排方法、装置及计算机可读存储介质 - Google Patents

一种安全能力编排方法、装置及计算机可读存储介质 Download PDF

Info

Publication number
CN116015936B
CN116015936B CN202211726919.XA CN202211726919A CN116015936B CN 116015936 B CN116015936 B CN 116015936B CN 202211726919 A CN202211726919 A CN 202211726919A CN 116015936 B CN116015936 B CN 116015936B
Authority
CN
China
Prior art keywords
security
node
security capability
alternative
pool
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211726919.XA
Other languages
English (en)
Other versions
CN116015936A (zh
Inventor
程筱彪
徐雷
张曼君
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202211726919.XA priority Critical patent/CN116015936B/zh
Publication of CN116015936A publication Critical patent/CN116015936A/zh
Application granted granted Critical
Publication of CN116015936B publication Critical patent/CN116015936B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种安全能力编排方法、装置及计算机可读存储介质,该方法包括:获取用户需求的目标安全能力数据;获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数;计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延;根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。该方法、装置及介质能够解决现有的安全能力编排方法没有考虑网络时延带来的数据传输成本升高,也不能根据安全池所能提供的安全能力进行安全能力编排的问题。

Description

一种安全能力编排方法、装置及计算机可读存储介质
技术领域
本发明涉及一种安全能力编排方法、装置及计算机可读存储介质。
背景技术
基于NFV(Network Functions Virtualization,网络功能虚拟化)技术可以实现安全硬件的虚拟化,构建包含多种安全功能的安全资源池,并支持安全功能的灵活管理和动态部署。目前的相关安全能力编排方法仅仅把原来的物理安全设备虚拟化为安全资源池状态,编排逻辑仍未传统的1对1调用,即按照安全需求调用对应的安全能力节点,没有考虑网络时延带来的数据传输成本升高,也不能根据安全池所能提供的安全能力进行安全能力编排。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种安全能力编排方法、装置及计算机可读存储介质,在进行安全能力编排时,加入网络时延以及安全池所能提供的安全能力因素,用以解决现有的安全能力编排方法没有考虑网络时延带来的数据传输成本升高,也不能根据安全池所能提供的安全能力进行安全能力编排的问题。
第一方面,本发明提供一种安全能力编排方法,包括:
获取用户需求的目标安全能力数据;
获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数;
计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延;
根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。
优选地,所述目标安全能力数据包括:
用户所需安全能力集D以及安全能力集D中各项安全能力上传需要的数据量Bj
其中,所述安全能力集D中包括用户所需的K个安全能力,K为不小于1的正整数,j=1,......,K。
优选地,所述计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延,满足以下公式:
其中,Li为用户与第i个安全池的交互节点之间进行数据传输的时延,为安全能力集中各项安全能力上传需要的数据量之和,V(i,u)为用户与第i个安全池的交互节点之间数据传输的速率。
优选地,所述根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合,包括:
S1,按照所述时延从小到大的顺序对N个安全池进行排序;
S2,初始化i为1;
S3,将排在第i位的安全池作为当前安全池;
S4,根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合;
S5,计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合;
S6,判断i是否等于N,若是,则执行步骤S7,否则,令i加1,返回步骤S3;
S7,计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,选择其中数据传输时延最小的第二备选节点集合作为目标安全能力节点集合。
优选地,所述根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合,包括:
初始化所述第一备选节点集合;
将所述当前安全池中的安全能力与所述安全能力集D有交集的安全能力节点作为所述备选节点放入所述第一备选节点集合中。
优选地,所述计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合之前,还包括:
获取所述第一备选节点集合中各个备选节点的CPU利用率以及与当前安全池的交互节点之间进行数据传输的速率;
所述计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合,包括:
S11,计算所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延;
S12,初始化目标需求集合d=D,
S13,根据所述目标需求集合d以及所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延计算所述第一备选节点集合中各个备选节点的评分;
S14,将评分最高的备选节点加入所述第二备选节点集合并从第一备选节点集合中删除;
S15,将评分最高的备选节点拥有的安全能力从目标需求集合d中删除以更新d,判断d是否为空,若是,则结束此流程,得到第i个第二备选节点集合,否则,返回步骤S13。
优选地,所述计算所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延,满足以下公式:
其中,t(i,m)为所述第一备选节点集合中第m个备选节点与所述当前安全池交互节点之间进行数据传输的时延,E(m)∩D为所述第一备选节点集合中第m个备选节点与用户所需的安全能力集中重合的能力,为所述重合的能力所需传输的数据量,NV(i,m)为所述第一备选节点集合中第m个备选节点到所述当前安全池的交互节点之间数据传输的速率。
优选地,所述根据所述目标需求集合d以及所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延计算所述第一备选节点集合中各个备选节点的评分,满足以下公式:
其中,P(m)为所述第一备选节点集合中第m个备选节点的评分,NUM(E(m)∩d)为所述第一备选节点集合中第m个备选节点与目标需求集合中重合的能力数量,C(m)为所述第一备选节点集合中第m个备选节点的CPU利用率。
优选地,所述计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,包括:
将各个第二备选节点集合中的备选节点与对应的安全池交互节点之间的数据传输时延分别相加以得到安全池内部传输总时延;
将所述安全池内部传输总时延与对应的安全池交互节点与用户之间数据传输时延相加,得到所述第二备选节点集合与用户之间进行数据传输的总时延。
第二方面,本发明还提供一种安全能力编排装置,包括:
第一获取模块,获取用户需求的目标安全能力数据;
第二获取模块,与所述第一获取模块连接,用于获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数;
计算模块,与所述第二获取模块连接,用于计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延;
集合模块,与所述计算模块连接,用于根据所述N个安全池中的交互节点与用户之间进行数据传输的时延时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。
第三方面,本发明还提供一种安全能力编排装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现上述第一方面所述的安全能力编排方法。
第四方面,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如上述第一方面所述的安全能力编排方法。
本发明提供的安全能力编排方法、装置及计算机可读存储介质,首先获取用户需求的目标安全能力数据,再获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数,然后计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延,最后根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。由于本发明在进行安全能力编排时,加入网络时延以及安全池所能提供的安全能力因素,从而解决了现有的安全能力编排方法没有考虑网络时延带来的数据传输成本升高,也不能根据安全池所能提供的安全能力进行安全能力编排的问题。
附图说明
图1为本发明实施例1的一种安全能力编排方法的流程图;
图2为图1中步骤S104的流程图;
图3为本发明实施例2的一种安全能力编排装置的结构示意图;
图4为本发明实施例3的一种安全能力编排装置的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面将结合附图对本发明实施方式作进一步地详细描述。
可以理解的是,此处描述的具体实施例和附图仅仅用于解释本发明,而非对本发明的限定。
可以理解的是,在不冲突的情况下,本发明中的各实施例及实施例中的各特征可相互组合。
可以理解的是,为便于描述,本发明的附图中仅示出了与本发明相关的部分,而与本发明无关的部分未在附图中示出。
可以理解的是,本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构,也可由多个实体结构组成,或者,多个单元、模块也可集成为一个实体结构。
可以理解的是,在不冲突的情况下,本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
可以理解的是,本发明的流程图和框图中,示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可代表一个单元、模块、程序段、代码,其包含用于实现规定的功能的可执行指令。而且,框图和流程图中的每个方框或方框的组合,可用实现规定的功能的基于硬件的系统实现,也可用硬件与计算机指令的组合来实现。
可以理解的是,本发明实施例中所涉及的单元、模块可通过软件的方式实现,也可通过硬件的方式来实现,例如单元、模块可位于处理器中。
实施例1:
本实施例提供一种安全能力编排方法,如图1所示,该方法包括:
步骤S101:获取用户需求的目标安全能力数据。
在本实施例中,当用户有新的安全需求时,上传安全需求对应的安全能力数据。
可选地,所述目标安全能力数据包括:
用户所需安全能力集D以及安全能力集D中各项安全能力上传需要的数据量Bj
其中,所述安全能力集D中包括用户所需的K个安全能力,K为不小于1的正整数,j=1,......,K。
步骤S102:获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数。
在本实施例中,安全池是基于NFV技术实现的安全硬件虚拟化后构建的包含多种安全能力的资源池,可以支持安全能力的灵活管理和动态部署。
步骤S103:计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延。
在本实施例中,每一个安全池中都包含有一个交互节点和不少于一个的安全能力节点,每一个安全能力节点都可以通过交互节点向外提供该安全能力节点拥有的安全能力,预设范围可以是用户可达的安全池范围,N可以是用户可达的全部安全池数量。
可选地,所述计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延,满足以下公式:
其中,Li为用户与第i个安全池的交互节点之间进行数据传输的时延,为安全能力集中各项安全能力上传需要的数据量之和,V(i,u)为用户与第i个安全池的交互节点之间数据传输的速率。
步骤S104:根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。
在本实施例中,进行安全能力编排时,需要考虑安全池中安全能力节点可提供的安全能力以及安全池中安全能力节点提供安全能力时进行数据传输的时延,这样在保证用户的安全需求得到满足的同时,可以减少数据传输造成的损耗与资源浪费以及避免因时延过高给用户带来不好的体验。
可选地,如图2所示,所述根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合,包括:
S1,按照所述时延从小到大的顺序对N个安全池进行排序;
S2,初始化i为1;
S3,将排在第i位的安全池作为当前安全池;
S4,根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合;
S5,计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合;
S6,判断i是否等于N,若是,则执行步骤S7,否则,令i加1,返回步骤S3;
S7,计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,选择其中数据传输时延最小的第二备选节点集合作为目标安全能力节点集合。
在本实施例中,从交互节点与用户之间数据传输时延最小的安全池开始,逐个计算出每个安全池在提供所有用户所需的安全能力时进行数据传输造成的时延。
可选地,所述根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合,包括:
初始化所述第一备选节点集合;
将所述当前安全池中的安全能力与所述安全能力集D有交集的安全能力节点作为所述备选节点放入所述第一备选节点集合中。
可选地,所述计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合之前,还包括:
获取所述第一备选节点集合中各个备选节点的CPU利用率以及与当前安全池的交互节点之间进行数据传输的速率;
所述计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合,包括:
S11,计算所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延;
S12,初始化目标需求集合d=D,
S13,根据所述目标需求集合d以及所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延计算所述第一备选节点集合中各个备选节点的评分;
S14,将评分最高的备选节点加入所述第二备选节点集合并从第一备选节点集合中删除;
S15,将评分最高的备选节点拥有的安全能力从目标需求集合d中删除以更新d,判断d是否为空,若是,则结束此流程,得到第i个第二备选节点集合,否则,返回步骤S13。
在本实施例中,每个安全池中包含有多个安全能力节点,可能存在部分安全能力节点所提供的的安全能力有重合部分,所以在选择最终提供安全能力的节点时同时考虑安全能力节点数据传输的时延以及所能提供的能力作为参考。
可选地,所述计算所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延,满足以下公式:
其中,t(i,m)为所述第一备选节点集合中第m个备选节点与所述当前安全池交互节点之间进行数据传输的时延,E(m)∩D为所述第一备选节点集合中第m个备选节点与用户所需的安全能力集中重合的能力,为所述重合的能力所需传输的数据量,NV(i,m)为所述第一备选节点集合中第m个备选节点到所述当前安全池的交互节点之间数据传输的速率。
可选地,所述根据所述目标需求集合d以及所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延计算所述第一备选节点集合中各个备选节点的评分,满足以下公式:
其中,P(m)为所述第一备选节点集合中第m个备选节点的评分,NUM(E(m)∩d)为所述第一备选节点集合中第m个备选节点与目标需求集合中重合的能力数量,C(m)为所述第一备选节点集合中第m个备选节点的CPU利用率。
在本实施例中,在同一个安全池中选择备选节点时,某个用户需要的安全能力d1已经被一个选中的安全能力节点提供后,在后续选择其他安全能力节点以提供除了d1之外的安全能力时,能够提供安全能力d1的安全能力节点不再获得额外评分。
可选地,所述计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,包括:
将各个第二备选节点集合中的备选节点与对应的安全池交互节点之间的数据传输时延分别相加以得到安全池内部传输总时延;
将所述安全池内部传输总时延与对应的安全池交互节点与用户之间数据传输时延相加,得到所述第二备选节点集合与用户之间进行数据传输的总时延。
在本实施例中,总时延包括各个安全能力节点到对应的交互节点之间数据传输的时延以及交互节点到用户之间数据传输的时延,选择出总时延最小的安全池作为最终用于提供安全能力的安全池,该安全池对应的第二备选节点集合作为目标安全能力节点集合。
在一个具体的实施例中,该安全能力编排方法可以包括以下步骤:
S01,当有新的安全需求时,首先统计该用户所需要的安全能力集为D,各项安全能力需上传的数据量大小B,针对该用户需求设置目标安全能力节点集合TN;
S02,分别计算提出需求的用户到各可达安全池N中交互节点的延迟,并进行排序,从延迟最小的安全池交互节点N1开始并举例说明,首先将N1加入TN中,计算延迟公式如下:
其中V(i,u)代表用户u与安全池N1间的传输速率,代表各项安全需求所需上传数据大小之和;
S03,将N1所在安全池各节点所能提供的安全能力与该用户的安全需求进行对比,剔除掉两者没有交集的功能节点,其他有交集的安全能力节点作为第一备选节点集合;
S04,备选节点进一步筛选过程需要综合考虑该节点到N1的网络时延、剩余处理能力和该功能节点能够提供的安全能力数量,利用如下两个公式计算各备选节点的综合评分:
该公式计算各节点到N1的网络时延,NV(1,M)指各功能节点到交互节点的传输速率,E指各节点所能提供的安全能力集合,E(m)∩D指用户的安全需求和m节点能够提供的安全需求重合的部分,指重合的需求所需传输的数据,因考虑时延的数量级较大,计算各节点的网络时延后需进行归一化计算;
该公式计算各功能节点的综合评分,其中T(1,m)指各功能节点到交互节点的路由时延,NUM(E(m)∩D)指重合的需求数量,C(m)指该节点当前的CPU利用率;
S05,评分计算完成后,选择评分最高的节点加入目标安全能力节点集合TN中,然后将该节点从备选节点集合中删去该节点,将E(m)∩D中重合的需求从D中删除,得到尚未满足的需求集合
S06,将步骤4公式中的D替换为最新的需求集合重复步骤S04直到需求集合/>为空,此时TN中的节点为第一套安全节点的编排方案,计算该套编排方案的总体网络时延,包括N1到用户的时延和其他功能节点到N1的时延之和;
S07,重复步骤S02到步骤S06,选择总体时延最小的编排方案,即符合该用户安全需求的安全节点集合TN。
本发明实施例提供的安全能力编排方法,首先获取用户需求的目标安全能力数据,再获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数,然后计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延,最后根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。由于本发明在进行安全能力编排时,加入网络时延以及安全池所能提供的安全能力因素,从而解决了现有的安全能力编排方法没有考虑网络时延带来的数据传输成本升高,也不能根据安全池所能提供的安全能力进行安全能力编排的问题。
实施例2:
如图3所示,本实施例提供一种安全能力编排装置,用于执行上述安全能力编排方法,包括:
第一获取模块11,获取用户需求的目标安全能力数据;
第二获取模块12,与所述第一获取模块连接,用于获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数;
计算模块13,与所述第二获取模块连接,用于计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延;
集合模块14,与所述计算模块连接,用于根据所述N个安全池中的交互节点与用户之间进行数据传输的时延时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。
优选地,所述目标安全能力数据包括:
用户所需安全能力集D以及安全能力集D中各项安全能力上传需要的数据量Bj
其中,所述安全能力集D中包括用户所需的K个安全能力,K为不小于1的正整数,j=1,……,K。
优选地,计算模块13满足以下公式:
其中,Li为用户与第i个安全池的交互节点之间进行数据传输的时延,为安全能力集中各项安全能力上传需要的数据量之和,V(i,u)为用户与第i个安全池的交互节点之间数据传输的速率。
优选地,集合模块14包括:
排序单元,用于按照所述时延从小到大的顺序对N个安全池进行排序;
第一初始化单元,用于初始化i为1;
当前安全池单元,用于将排在第i位的安全池作为当前安全池;
第一备选单元,用于根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合;
第二备选单元,用于计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合;
判断单元,用于判断i是否等于N,若是,则执行目标单元,否则,令i加1,返回当前安全池单元;
目标单元,用于计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,选择其中数据传输时延最小的第二备选节点集合作为目标安全能力节点集合。
优选地,所述第一备选单元包括:
第二初始化单元,用于初始化所述第一备选节点集合;
放入单元,用于将所述当前安全池中的安全能力与所述安全能力集D有交集的安全能力节点作为所述备选节点放入所述第一备选节点集合中。
优选地,所述装置还包括:
速率模块,用于获取所述第一备选节点集合中各个备选节点的CPU利用率以及与当前安全池的交互节点之间进行数据传输的速率;
所述第二备选单元包括:
计算单元,用于计算所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延;
第三初始化单元,用于初始化目标需求集合d=D,
评分单元,用于根据所述目标需求集合d以及所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延计算所述第一备选节点集合中各个备选节点的评分;
加入单元,用于将评分最高的备选节点加入所述第二备选节点集合并从第一备选节点集合中删除;
删除单元,用于将评分最高的备选节点拥有的安全能力从目标需求集合d中删除以更新d,判断d是否为空,若是,则结束此流程,得到第i个第二备选节点集合,否则,返回步骤S13。
优选地,所述计算单元满足以下公式:
其中,t(i,m)为所述第一备选节点集合中第m个备选节点与所述当前安全池交互节点之间进行数据传输的时延,E(m)∩D为所述第一备选节点集合中第m个备选节点与用户所需的安全能力集中重合的能力,为所述重合的能力所需传输的数据量,NV(i,m)为所述第一备选节点集合中第m个备选节点到所述当前安全池的交互节点之间数据传输的速率。
优选地,所述评分单元满足以下公式:
其中,P(m)为所述第一备选节点集合中第m个备选节点的评分,NUM(E(m)∩d)为所述第一备选节点集合中第m个备选节点与目标需求集合中重合的能力数量,C(m)为所述第一备选节点集合中第m个备选节点的CPU利用率。
优选地,所述目标单元包括:
相加单元,用于将各个第二备选节点集合中的备选节点与对应的安全池交互节点之间的数据传输时延分别相加以得到安全池内部传输总时延;
总时延单元,用于将所述安全池内部传输总时延与对应的安全池交互节点与用户之间数据传输时延相加,得到所述第二备选节点集合与用户之间进行数据传输的总时延。
实施例3:
如图4所示,本实施例提供一种安全能力编排装置,用于执行上述安全能力编排方法,包括存储器21和处理器22,存储器21中存储有计算机程序,处理器22被设置为运行所述计算机程序以执行实施例1中的安全能力编排方法。
其中,存储器21与处理器22连接,存储器21可采用闪存或只读存储器或其他存储器,处理器22可采用中央处理器或单片机。
实施例4:
本实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现上述实施例1中的安全能力编排方法。
该计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于RAM(RaNdom Access Memory,随机存取存储器),ROM(Read-ONly Memory,只读存储器),EEPROM(Electrically ErasableProgrammable read oNly memory,带电可擦可编程只读存储器)、闪存或其他存储器技术、CD-ROM(Compact Disc Read-ONly Memory,光盘只读存储器),数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
实施例2至实施例4提供的安全能力编排装置及计算机可读存储介质,首先获取用户需求的目标安全能力数据,再获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数,然后计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延,最后根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合。由于本发明在进行安全能力编排时,加入网络时延以及安全池所能提供的安全能力因素,从而解决了现有的安全能力编排方法没有考虑网络时延带来的数据传输成本升高,也不能根据安全池所能提供的安全能力进行安全能力编排的问题。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (9)

1.一种安全能力编排方法,其特征在于,包括:
获取用户需求的目标安全能力数据;
获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数;安全池是基于网络功能虚拟化NFV技术实现的安全硬件虚拟化后构建的包含多种安全能力的资源池;每一个安全池中都包含有一个交互节点和不少于一个的安全能力节点,每一个安全能力节点都能够通过交互节点向外提供该安全能力节点拥有的安全能力;
计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延;
根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合;
所述目标安全能力数据包括:
用户所需安全能力集D以及安全能力集D中各项安全能力上传需要的数据量Bj
其中,所述安全能力集D中包括用户所需的K个安全能力,K为不小于1的正整数,j=1,……,K;
所述计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延,满足以下公式:
其中,Li为用户与第i个安全池的交互节点之间进行数据传输的时延,为安全能力集中各项安全能力上传需要的数据量之和,V(i,u)为用户与第i个安全池的交互节点之间数据传输的速率;
所述根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合,包括:
S1,按照所述时延从小到大的顺序对N个安全池进行排序;
S2,初始化i为1;
S3,将排在第i位的安全池作为当前安全池;
S4,根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合;
S5,计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合;
S6,判断i是否等于N,若是,则执行步骤S7,否则,令i加1,返回步骤S3;
S7,计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,选择其中数据传输时延最小的第二备选节点集合作为目标安全能力节点集合。
2.根据权利要求1所述的安全能力编排方法,其特征在于,所述根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合,包括:
初始化所述第一备选节点集合;
将所述当前安全池中的安全能力与所述安全能力集D有交集的安全能力节点作为所述备选节点放入所述第一备选节点集合中。
3.根据权利要求1所述的安全能力编排方法,其特征在于,所述计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合之前,还包括:
获取所述第一备选节点集合中各个备选节点的CPU利用率以及与当前安全池的交互节点之间进行数据传输的速率;
所述计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合,包括:
S11,计算所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延;
S12,初始化目标需求集合d=D,
S13,根据所述目标需求集合d以及所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延计算所述第一备选节点集合中各个备选节点的评分;
S14,将评分最高的备选节点加入所述第二备选节点集合并从第一备选节点集合中删除;
S15,将评分最高的备选节点拥有的安全能力从目标需求集合d中删除以更新d,判断d是否为空,若是,则结束此流程,得到第i个第二备选节点集合,否则,返回步骤S13。
4.根据权利要求3所述的安全能力编排方法,其特征在于,所述计算所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延,满足以下公式:
其中,t(i,m)为所述第一备选节点集合中第m个备选节点与所述当前安全池交互节点之间进行数据传输的时延,E(m)∩D为所述第一备选节点集合中第m个备选节点与用户所需的安全能力集中重合的能力,为所述重合的能力所需传输的数据量,NV(i,m)为所述第一备选节点集合中第m个备选节点到所述当前安全池的交互节点之间数据传输的速率。
5.根据权利要求4所述的安全能力编排方法,其特征在于,所述根据所述目标需求集合d以及所述第一备选节点集合中各个备选节点与所述当前安全池的交互节点之间进行数据传输的时延计算所述第一备选节点集合中各个备选节点的评分,满足以下公式:
其中,P(m)为所述第一备选节点集合中第m个备选节点的评分,NUM(E(m)∩d)为所述第一备选节点集合中第m个备选节点与目标需求集合中重合的能力数量,C(m)为所述第一备选节点集合中第m个备选节点的CPU利用率。
6.根据权利要求1所述的安全能力编排方法,其特征在于,所述计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,包括:
将各个第二备选节点集合中的备选节点与对应的安全池交互节点之间的数据传输时延分别相加以得到安全池内部传输总时延;
将所述安全池内部传输总时延与对应的安全池交互节点与用户之间数据传输时延相加,得到所述第二备选节点集合与用户之间进行数据传输的总时延。
7.一种安全能力编排装置,其特征在于,包括:
第一获取模块,获取用户需求的目标安全能力数据;
第二获取模块,与所述第一获取模块连接,用于获取预设范围内的N个安全池中安全能力节点所能提供的安全能力,N为不小于1的整数;安全池是基于网络功能虚拟化NFV技术实现的安全硬件虚拟化后构建的包含多种安全能力的资源池;每一个安全池中都包含有一个交互节点和不少于一个的安全能力节点,每一个安全能力节点都能够通过交互节点向外提供该安全能力节点拥有的安全能力;
计算模块,与所述第二获取模块连接,用于计算预设范围内的N个安全池中的交互节点与用户之间进行数据传输的时延;
集合模块,与所述计算模块连接,用于根据所述N个安全池中的交互节点与用户之间进行数据传输的时延以及N个安全池中安全能力节点所能提供的安全能力确定满足所述目标安全能力数据的目标安全能力节点集合;
所述目标安全能力数据包括:
用户所需安全能力集D以及安全能力集D中各项安全能力上传需要的数据量Bj
其中,所述安全能力集D中包括用户所需的K个安全能力,K为不小于1的正整数,j=1,……,K;
所述计算模块满足以下公式:
其中,Li为用户与第i个安全池的交互节点之间进行数据传输的时延,为安全能力集中各项安全能力上传需要的数据量之和,V(i,u)为用户与第i个安全池的交互节点之间数据传输的速率;
所述集合模块包括:
排序单元,用于按照所述时延从小到大的顺序对N个安全池进行排序;
第一初始化单元,用于初始化i为1;
当前安全池单元,用于将排在第i位的安全池作为当前安全池;
第一备选单元,用于根据所述当前安全池中安全能力节点所能提供的安全能力获取第一备选节点集合;
第二备选单元,用于计算所述第一备选节点集合中备选节点的评分,并根据评分结果确定第i个第二备选节点集合;
判断单元,用于判断i是否等于N,若是,则执行目标单元,否则,令i加1,返回当前安全池单元;
目标单元,用于计算获取的N个第二备选节点集合与用户之间进行数据传输的总时延,选择其中数据传输时延最小的第二备选节点集合作为目标安全能力节点集合。
8.一种安全能力编排装置,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如权利要求1-6中任一项所述的安全能力编排方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-6中任一项所述的安全能力编排方法。
CN202211726919.XA 2022-12-30 2022-12-30 一种安全能力编排方法、装置及计算机可读存储介质 Active CN116015936B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211726919.XA CN116015936B (zh) 2022-12-30 2022-12-30 一种安全能力编排方法、装置及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211726919.XA CN116015936B (zh) 2022-12-30 2022-12-30 一种安全能力编排方法、装置及计算机可读存储介质

Publications (2)

Publication Number Publication Date
CN116015936A CN116015936A (zh) 2023-04-25
CN116015936B true CN116015936B (zh) 2024-05-03

Family

ID=86031411

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211726919.XA Active CN116015936B (zh) 2022-12-30 2022-12-30 一种安全能力编排方法、装置及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN116015936B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019218294A1 (zh) * 2018-05-17 2019-11-21 东莞理工学院 一种5g系统中的ip地址池管理方法
WO2021108978A1 (zh) * 2019-12-03 2021-06-10 深圳市网心科技有限公司 验证人节点选择方法、电子设备、系统及介质
CN114024747A (zh) * 2021-11-04 2022-02-08 全球能源互联网研究院有限公司 基于软件定义nfv的安全服务链编排部署方法及系统
CN114968573A (zh) * 2022-05-24 2022-08-30 中国联合网络通信集团有限公司 一种算力资源调度方法、装置及计算机可读存储介质
CN115396172A (zh) * 2022-08-22 2022-11-25 深信服科技股份有限公司 安全服务接入方法、装置、设备及存储介质
CN115426320A (zh) * 2022-08-25 2022-12-02 绿盟科技集团股份有限公司 一种安全资源调度方法、装置、电子设备及存储介质

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109525407B (zh) * 2017-09-18 2020-05-26 中国科学院声学研究所 一种同层无交集全覆盖嵌套容器生成方法及可读存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019218294A1 (zh) * 2018-05-17 2019-11-21 东莞理工学院 一种5g系统中的ip地址池管理方法
WO2021108978A1 (zh) * 2019-12-03 2021-06-10 深圳市网心科技有限公司 验证人节点选择方法、电子设备、系统及介质
CN114024747A (zh) * 2021-11-04 2022-02-08 全球能源互联网研究院有限公司 基于软件定义nfv的安全服务链编排部署方法及系统
CN114968573A (zh) * 2022-05-24 2022-08-30 中国联合网络通信集团有限公司 一种算力资源调度方法、装置及计算机可读存储介质
CN115396172A (zh) * 2022-08-22 2022-11-25 深信服科技股份有限公司 安全服务接入方法、装置、设备及存储介质
CN115426320A (zh) * 2022-08-25 2022-12-02 绿盟科技集团股份有限公司 一种安全资源调度方法、装置、电子设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
基于SDN/NFV的安全服务链自动编排部署框架;张奇;;计算机系统应用;20180315(第03期);全文 *
天地一体化信息网络安全动态赋能研究;李凤华;郭云川;耿魁;房梁;李晖;;无线电通信技术(第05期);全文 *

Also Published As

Publication number Publication date
CN116015936A (zh) 2023-04-25

Similar Documents

Publication Publication Date Title
CN110163368B (zh) 基于混合精度的深度学习模型训练方法、装置及系统
CN106407207B (zh) 一种实时新增数据更新方法和装置
US9251156B2 (en) Information processing devices, method, and recording medium with regard to a distributed file system
CN109408590B (zh) 分布式数据库的扩容方法、装置、设备及存储介质
CN107391031A (zh) 一种基于混合存储的计算系统中的数据迁移方法及装置
CN102013991B (zh) 自动扩容的方法、管理设备及系统
CN109117273B (zh) 数据存储方法、装置及设备
CN110321225B (zh) 负载均衡方法、元数据服务器及计算机可读存储介质
CN109669631B (zh) 一种存储池规划方法、装置、设备及计算机可读存储介质
CN111414136A (zh) 一种存储池的创建方法、系统、设备以及介质
CN107465729B (zh) 基于访问次数排名的虚拟节点副本调整系统及方法
CN108073507A (zh) 一种内核崩溃现场数据的处理方法及装置
CN113506035A (zh) 一种审批流程的确定方法、装置和设备
CN110851427A (zh) 数据库容量变更方法和装置
CN116015936B (zh) 一种安全能力编排方法、装置及计算机可读存储介质
CN109544329B (zh) 撮合匹配方法、装置和系统
CN111399898B (zh) 多模块系统代码版本的管理方法、装置和计算机设备
JP5914699B2 (ja) マイグレーションによるデータベースの作業負荷バランシング
CN109634524B (zh) 一种数据处理守护进程的数据分区配置方法、装置及设备
CN112698783A (zh) 对象存储方法、装置及系统
CN106557581B (zh) 一种基于多层次框架及超边迁移的超图划分方法
CN111836274B (zh) 一种业务处理的方法及装置
CN109582938B (zh) 报表生成方法和装置
CN117076387B (zh) 基于磁带的海量小文件的快速归档恢复系统
RU2750642C2 (ru) Система и способ регистрации уникального идентификатора мобильного устройства

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant