羅一鳴 權(quán)偉

(北京交通大學(xué)電子信息工程學(xué)院，北京100044)

0 引言

在網(wǎng)絡(luò)強(qiáng)國(guó)和網(wǎng)信立國(guó)的戰(zhàn)略背景下，云網(wǎng)融合通過(guò)結(jié)合通信技術(shù)與信息技術(shù)實(shí)現(xiàn)了網(wǎng)絡(luò)一體化的供給、運(yùn)營(yíng)與服務(wù)。云網(wǎng)融合要求網(wǎng)絡(luò)支撐業(yè)務(wù)的基本性能需求，以及保障差異化服務(wù)的實(shí)現(xiàn)，這就要求網(wǎng)絡(luò)業(yè)務(wù)提供統(tǒng)一的云網(wǎng)切片能力，融合計(jì)算、存儲(chǔ)、網(wǎng)絡(luò)云、數(shù)據(jù)、算力等多維度資源，進(jìn)行統(tǒng)一調(diào)度、優(yōu)化和管理[1]。

云網(wǎng)融合是一個(gè)發(fā)展演進(jìn)過(guò)程，需要基礎(chǔ)設(shè)施層、功能層和操作系統(tǒng)的不斷迭代與優(yōu)化，經(jīng)過(guò)協(xié)同階段、融合階段和一體階段，最終發(fā)展成熟。云網(wǎng)融合下的操作系統(tǒng)提供編排、自動(dòng)化、智能化的能力，通過(guò)云網(wǎng)切片適應(yīng)云資源的伸縮與彈性，靈活滿足不同場(chǎng)景需要。云網(wǎng)切片的關(guān)鍵技術(shù)包括統(tǒng)一編排、云網(wǎng)感知與自適應(yīng)調(diào)整[1]。統(tǒng)一編排支持云網(wǎng)資源包裝抽象為邏輯服務(wù)，將業(yè)務(wù)的資源需求轉(zhuǎn)化為云網(wǎng)資源的調(diào)用要求，從而實(shí)現(xiàn)云網(wǎng)資源的統(tǒng)一調(diào)度。云網(wǎng)感知通過(guò)采集業(yè)務(wù)、客戶和底層網(wǎng)絡(luò)的質(zhì)量和性能參數(shù)，通過(guò)評(píng)價(jià)模型來(lái)實(shí)時(shí)評(píng)估云網(wǎng)業(yè)務(wù)和網(wǎng)絡(luò)的運(yùn)行狀態(tài)。自適應(yīng)調(diào)整要求云網(wǎng)切片基于云網(wǎng)業(yè)務(wù)和網(wǎng)絡(luò)的運(yùn)行狀態(tài)，對(duì)云網(wǎng)服務(wù)進(jìn)行自動(dòng)化調(diào)整、優(yōu)化與調(diào)度，實(shí)現(xiàn)網(wǎng)絡(luò)資源與路徑選擇的智能化，在網(wǎng)絡(luò)切片的基礎(chǔ)上實(shí)現(xiàn)云資源利用的最優(yōu)化。

網(wǎng)絡(luò)切片[2]是指通過(guò)網(wǎng)絡(luò)功能虛擬化[3](Network Function Virtualization，NFV)與軟件定義網(wǎng)絡(luò)[4](Software Defined Networking，SDN)等技術(shù)，將底層物理網(wǎng)絡(luò)資源抽象為虛擬資源，將物理網(wǎng)絡(luò)抽象為邏輯網(wǎng)絡(luò)，通過(guò)差異化地定制網(wǎng)絡(luò)切片實(shí)例(Network Slice Instance，NSI)來(lái)為切片用戶提供通信功能，映射到物理網(wǎng)絡(luò)的過(guò)程稱作網(wǎng)絡(luò)切片編排[5]，云網(wǎng)切片要求切片具備統(tǒng)一編排和自適應(yīng)的調(diào)整能力[6]。目前,切片編排過(guò)程中安全保障技術(shù)尚不成熟，存在很多安全風(fēng)險(xiǎn)[7-8]，其中切片間資源競(jìng)爭(zhēng)造成的信息泄露[9]為云網(wǎng)切片面臨的主要挑戰(zhàn)。

文獻(xiàn)[10]通過(guò)定義隔離評(píng)估值，在一定程度上提高了編排收益，增強(qiáng)了編排的安全性能，但降低了編排后滿足NSI需求的切片比例。文獻(xiàn)[11]通過(guò)減少切片實(shí)例的共存時(shí)間來(lái)抵御信息泄露風(fēng)險(xiǎn)，但算法的收斂時(shí)間較長(zhǎng)，整體開銷較大。文獻(xiàn)[12]通過(guò)對(duì)底層服務(wù)器進(jìn)行分組，在編排部署時(shí)進(jìn)行了安全性能上的優(yōu)化，但在面對(duì)海量切片用戶的編排需求時(shí)，性能會(huì)降低。文獻(xiàn)[13]設(shè)計(jì)了多種遺傳算法來(lái)提高切片編排的鏈路利用率和帶寬利用率，但沒有進(jìn)行安全性能優(yōu)化。文獻(xiàn)[14]通過(guò)權(quán)衡帶寬和主機(jī)的消耗優(yōu)化部署模型，降低了部署成本，但這種算法沒有考慮各切片之間資源共享帶來(lái)的安全風(fēng)險(xiǎn)。文獻(xiàn)[15]通過(guò)一種自動(dòng)縮放切片的算法，在切片資源范圍內(nèi)進(jìn)行安全可信計(jì)算，但時(shí)間復(fù)雜度較高。文獻(xiàn)[16]通過(guò)遺傳算法實(shí)現(xiàn)了切片資源的分配優(yōu)化，但不能全局宏觀地自由調(diào)控資源的分配比例。文獻(xiàn)[17]建立了一種博弈機(jī)制來(lái)調(diào)節(jié)資源的分配情況，但不能滿足切片需要的差異化服務(wù)。文獻(xiàn)[18]對(duì)切片部署進(jìn)行了拓?fù)浞矫娴膬?yōu)化，但沒有對(duì)資源部署和安全性能作出保障。

綜上所述，目前切片編排優(yōu)化算法主要將優(yōu)化目標(biāo)集中在性能和成本上，忽略了切片使用者本身的安全屬性，欠缺對(duì)資源共享的整體評(píng)估。本文設(shè)計(jì)了基于資源共享評(píng)估和用戶安全評(píng)級(jí)的切片編排算法(Resource User Slicing Algorithm，RUSA)，將切片編排收益作為優(yōu)化目標(biāo)，通過(guò)評(píng)估切片編排的映射安全評(píng)級(jí)作為約束條件，保證了部署的NSI滿足安全性能要求，提高了算法收斂速率。

1 切片安全編排模型分析及描述

圖1是智融標(biāo)識(shí)網(wǎng)絡(luò)切片編排模型[19]，其中智慧服務(wù)層負(fù)責(zé)服務(wù)查詢與服務(wù)管理，驗(yàn)證用戶請(qǐng)求的合法性，解析請(qǐng)求并利用服務(wù)映射知識(shí)庫(kù)向資源適配層下發(fā)服務(wù)需求，再根據(jù)執(zhí)行結(jié)果向用戶作出反饋。資源適配層結(jié)合上層需求，在資源映射知識(shí)庫(kù)和編排算法知識(shí)庫(kù)中匹配對(duì)應(yīng)的網(wǎng)絡(luò)切片編排算法，構(gòu)造切片編排信息生成對(duì)應(yīng)的NSI，并下發(fā)至網(wǎng)絡(luò)組件層，此外還會(huì)動(dòng)態(tài)感知底層拓?fù)涞木W(wǎng)絡(luò)拓?fù)浜唾Y源信息，對(duì)切片集群進(jìn)行統(tǒng)一管理；網(wǎng)絡(luò)組件層是底層網(wǎng)絡(luò)設(shè)備和功能的集合，將設(shè)備狀態(tài)和拓?fù)錉顟B(tài)收集至資源適配層來(lái)進(jìn)行信息的一體化管理，負(fù)責(zé)將NSI映射到底層網(wǎng)絡(luò)節(jié)點(diǎn)，實(shí)現(xiàn)切片數(shù)據(jù)的存儲(chǔ)與轉(zhuǎn)發(fā)。

圖1 智融標(biāo)識(shí)網(wǎng)絡(luò)切片編排模型

網(wǎng)絡(luò)拓?fù)湟訥表示：G=(N,L,B,D)，其中N表示網(wǎng)絡(luò)拓?fù)涔?jié)點(diǎn)，L表示網(wǎng)絡(luò)拓?fù)滏溌?，B表示網(wǎng)絡(luò)拓?fù)涞膸?，D表示網(wǎng)絡(luò)拓?fù)涞臅r(shí)延。對(duì)應(yīng)地，切片拓?fù)湟訥v表示，Gv=(Nv,Lv,Bv,Dv)，其中Nv表示切片拓?fù)涞墓?jié)點(diǎn)，Lv表示切片拓?fù)渲械逆溌罚珺v表示切片拓?fù)涞膸捹Y源，Dv表示切片拓?fù)涞臅r(shí)延。

2 安全評(píng)估算法描述

2.1 用戶交互評(píng)價(jià)機(jī)制

在智慧服務(wù)層完成對(duì)切片用戶請(qǐng)求的身份驗(yàn)證后，資源適配層將分析該用戶的需求和交互過(guò)程，引入交互評(píng)價(jià)機(jī)制對(duì)本次交互行為作出評(píng)估，參考該用戶歷史交互的參數(shù)，最終得出其用戶安全等級(jí)。

設(shè)用戶的互動(dòng)值Sn如公式(1)所示：

(1)

其中，n為一定時(shí)間段內(nèi)該用戶訪問(wèn)切片的總次數(shù)，為了更準(zhǔn)確地反映該用戶的交互行為，首先設(shè)置一個(gè)優(yōu)先級(jí)隊(duì)列Q來(lái)限制加入評(píng)級(jí)計(jì)算的交互行為的數(shù)量上限，隊(duì)列的長(zhǎng)度為w，當(dāng)用戶的總交互次數(shù)超過(guò)w時(shí)，優(yōu)先級(jí)隊(duì)列Q將移除最先的交互行為，使得隊(duì)列僅記錄最近發(fā)生的w次交互行為。β為影響范圍參數(shù)，可以限制不同時(shí)間段發(fā)生的交互行為對(duì)安全評(píng)級(jí)的影響，使時(shí)間軸上較近的交互行為對(duì)評(píng)級(jí)的影響更大，削弱較久前交互行為的影響。λi為第i次歷史交互行為的評(píng)價(jià)值，當(dāng)評(píng)價(jià)為正常交互行為時(shí)為一個(gè)正數(shù)λg，當(dāng)評(píng)價(jià)為具備安全威脅的交互行為時(shí)，為一個(gè)負(fù)值piλb，其中λb為一個(gè)負(fù)數(shù)，pi為處罰系數(shù)，如公式(2)所示：

pi=a(eSi-1-1)

(2)

其中，a可以用來(lái)調(diào)整處罰程度，Si-1為上次交互時(shí)計(jì)算得到的該用戶的互動(dòng)值，處罰系數(shù)pi可以加大互動(dòng)值較高的用戶在發(fā)生具有安全威脅的交互行為時(shí)得到的降級(jí)處罰程度。

引入Logistic函數(shù)來(lái)建模用戶安全評(píng)級(jí)的增長(zhǎng)率。Logistic函數(shù)如公式(3)所示：

(3)

(4)

2.2 資源共享評(píng)估等級(jí)機(jī)制

(5)

(6)

2.3 映射安全等級(jí)機(jī)制

(7)

算法1：映射安全等級(jí)算法

輸入： 優(yōu)先級(jí)隊(duì)列Q的長(zhǎng)度w，用戶互動(dòng)總次數(shù)n，用戶歷史交互評(píng)價(jià)值λN，切片實(shí)例信息vj。

1： 初始化：設(shè)置影響范圍參數(shù)β，處罰系數(shù)pi，處罰程度a，評(píng)級(jí)變化程度k，權(quán)重系數(shù)δ、ε1、ε2。

2： 根據(jù)公式(2)計(jì)算交互評(píng)價(jià)λ。

3： ifn>w。

4：Q.poll()。

5： end if。

6： for 1≤i≤n≤wdo。

7： 根據(jù)公式(1)計(jì)算互動(dòng)值Sn。

8： end for。

3 RUSA算法描述

3.1 算法原理

RUSA算法采用一種粒子來(lái)模擬粒子群優(yōu)化算法[20]，隨機(jī)初始一個(gè)規(guī)模為X的粒子群，每個(gè)粒子代表vj的一種部署方法，定義vj有R個(gè)節(jié)點(diǎn)需映射，presenti=(presenti1,presenti2,…,presentiR)為粒子i的部署位置，其中i∈[1,X]，presentir表示粒子i把節(jié)點(diǎn)r映射到底層網(wǎng)絡(luò)中的位置。粒子的速度更新如公式(8)所示，位置更新如公式(9)所示：

vi(n+1)=ωvi(n)+c1rand()(pbesti(n)-presenti(n))+c2rand()(gbesti(n)-presenti(n))

(8)

presenti(n+1)=presenti(n)+vi(n+1)

(9)

其中，vi(n)代表粒子i的速度，presenti(n)表示粒子所處空間，ω為慣性系數(shù)，用于調(diào)節(jié)空間的搜索范圍，c1和c2表示學(xué)習(xí)參數(shù)，pbesti(n)表示粒子的當(dāng)期最優(yōu)值，gbesti(n)為整個(gè)粒子群的最優(yōu)值。

算法的優(yōu)化函數(shù)如公式(10)所示：

subjectto

(10)

3.2 算法流程

RUSA算法流程如下。

算法2：RUSA算法

輸出： 映射結(jié)果gbest。

1：初始化：設(shè)置慣性系數(shù)ω，學(xué)習(xí)參數(shù)c1和c2,粒子數(shù)X，迭代次數(shù)N，以及安全門限γ。

2：for each particle i。

3：初始化粒子的presenti、vi、profit、pbesti。

4：end for。

5：更新粒子群當(dāng)前的gbest。

6：fori=1 toN。

7：根據(jù)公式(8)更新粒子的vi。

8：根據(jù)公式(9)和(10)更新粒子的presenti。

9：更新gbest。

10：end for。

11：返回gbest。

步驟1～5為初始化階段，這個(gè)過(guò)程會(huì)初始化粒子群及其位置和速度屬性，步驟6～步驟10為第二階段，目的是根據(jù)NSI的映射安全等級(jí)和切片實(shí)例需求，結(jié)合網(wǎng)絡(luò)資源循環(huán)計(jì)算最優(yōu)部署結(jié)果來(lái)使編排收益最大化，并保證編排結(jié)果的安全性能高于制定安全門限γ，步驟11返回最優(yōu)部署結(jié)果。

4 試驗(yàn)及結(jié)果分析

4.1 試驗(yàn)環(huán)境設(shè)置

本次試驗(yàn)在Intel(R) Core(TM) i7-12700H 2.30 GHz、16.0 GB RAM的主機(jī)上進(jìn)行，使用Mininet生成網(wǎng)絡(luò)，采用OpenFlow南向協(xié)議控制流表下發(fā)，并用Matlab對(duì)結(jié)果進(jìn)行分析。方案中算法涉及的參數(shù)設(shè)置如表1所示。

表1 試驗(yàn)參數(shù)設(shè)置

4.2 試驗(yàn)結(jié)果分析

將本文的方法(RUSA)與文獻(xiàn)[6]中基于SecPSO優(yōu)化的編排算法(SecPSO)及無(wú)安全控制的編排算法(SLICE)作比較。

圖2顯示了三種編排方法滿足NSI請(qǐng)求的需求的比例隨NSI編排數(shù)量的變化情況。當(dāng)編排數(shù)量較少時(shí)，此時(shí)的網(wǎng)絡(luò)資源較為充足，三種方法的滿足率都是100 %。當(dāng)編排數(shù)量繼續(xù)增加時(shí)，三種方法的滿足率存在著不同程度的下降，由于SLICE是一種盡最大能力滿足NSI的編排請(qǐng)求的方法，所以下降的程度最小。RUSA的滿足率的下降程度其次，這是由于控制了NSI進(jìn)行資源共享的程度，會(huì)使得部分NSI的需求不能完全滿足，SecPSO的滿足率下降程度最高?？梢钥吹絉USA在NSI編排數(shù)量為50時(shí)，滿足率相較SecPSO提高了28 %。

圖2 編排滿足率

圖3是三種編排方法的資源利用率隨NSI編排數(shù)量的變化情況，可以看到RUSA和SLICE變化趨勢(shì)基本一致，隨著NSI編排數(shù)量的增加，利用率逐漸提高，最后趨于100 %，在NSI編排數(shù)量達(dá)到40 個(gè)左右時(shí)，SecPSO限制同節(jié)點(diǎn)的NSI數(shù)量，利用率會(huì)受到一定影響，本文方法可以在保證資源利用率的前提下，提升切片編排的安全性能。

圖3 資源利用率

設(shè)部署NSI時(shí)的帶寬和CPU資源有固定的部署成本，并設(shè)分配給NSI流量后可以獲取一定的固定租金費(fèi)，結(jié)合上文提到的收益，可以得到圖4的成本利潤(rùn)率。

可以看到，在NSI的編排數(shù)量低于37 個(gè)左右時(shí)，三種編排方法的成本利潤(rùn)率增長(zhǎng)趨勢(shì)相同，原因是NSI的需求基本都可以滿足，編排數(shù)量繼續(xù)增長(zhǎng)時(shí)，SecPSO和SLICE的增長(zhǎng)趨勢(shì)逐漸放緩，前者略高于后者，這是由于SecPSO此時(shí)的資源利用不夠充分，而SLICE由于分配策略不能接入更多的NSI，造成了收益損失。RUSA在NSI編排數(shù)量較多時(shí)，相較其他兩種方法，可以提高6 %左右的成本利潤(rùn)率。

5 結(jié)束語(yǔ)

云網(wǎng)融合下網(wǎng)絡(luò)架構(gòu)需要實(shí)現(xiàn)底層資源的統(tǒng)一抽象與調(diào)度，提供云網(wǎng)切片的服務(wù)能力。隨著NFV和SDN技術(shù)的演進(jìn)，切片編排部署的效率逐漸提高，但各切片共享網(wǎng)絡(luò)資源也帶來(lái)了切片管理的額外安全風(fēng)險(xiǎn)。本文提出的基于資源共享評(píng)估和用戶安全評(píng)級(jí)的切片編排算法RUSA，以最大化收益為目標(biāo)，通過(guò)映射安全等級(jí)來(lái)約束NSI的編排過(guò)程，使得編排結(jié)果滿足安全性能的要求。試驗(yàn)證明，本文方法可以在保證安全性能和編排收益的前提下，提升編排的滿足率、資源的利用率及編排的成本利潤(rùn)率。