一种基于SDN技术的物理切片方法技术

本发明专利技术涉及一种基于SDN技术的物理切片方法，包括以下步骤：设置专用基础设施资源并分级；确定申请网络资源的用户的安全等级；根据用户的安全等级虚拟化形成独立的物理切片模板；根据用户需求，在所述物理切片模板上进行网络编排，实例化创建网络功能模块和接口，形成物理切片。采用该方法摆脱了公网基础设施在功能、性能和安全性上的限制，满足专用需求。专用设备的使用减少了专用用户与公网设备之间的交互。通过物理隔离的方式提高安全性，实现网络可信，安全分级。

A physical slicing method based on SDN Technology

The invention relates to a physical slicing method based on SDN technology, which comprises the following steps: setting special infrastructure resources and classification; determine the security level for cyber source users; based on Virtualization security level users form a physical template independent sections; according to user needs, network layout in the physical section of the template create a network, instantiating the function module and interface, the formation of physical sections. The method can get rid of the limitation of function, performance and security of the public network infrastructure, and meet the special requirement. The use of special equipment reduces the interaction between the dedicated user and the public network device. Through physical isolation, security is improved, and network trustworthiness and security classification are realized.

【技术实现步骤摘要】
一种基于SDN技术的物理切片方法
本专利技术涉及切片
，尤其涉及一种基于SDN技术的物理切片方法。
技术介绍
传统IT架构中的网络，根据业务需求部署上线以后，如果业务需求发生变动，重新修改相应网络设备(路由器、交换机、防火墙)上的配置是一件非常繁琐的事情，而在互联网/移动互联网瞬息万变的业务环境下，灵活性和敏捷性反而更为关键。SDN(SoftwareDefinedNetwork软件定义网络)技术的出现，对提高网络灵活性和敏捷性起到了至关重要的作用。SDN将网络设备上的控制权分离出来，由集中的控制器管理，无须依赖底层网络设备(路由器、交换机、防火墙)，屏蔽了来自底层网络设备的差异。而控制权是完全开放的，用户可以自定义任何想实现的网络路由和传输规则策略，从而更加灵活和智能。基于SDN特性提出的网络切片方法可以满足用户多样化的性能要求和功能要求，利用虚拟化技术将5G网络的物理基础设施资源根据场景需求虚拟化为多个相互独立、平行的虚拟网络切片模板，每个网络切片模板可以按照业务场景的需要进行网络功能的定制剪裁。运营商可以根据用户的需求对网络切片进行灵活的编排管理从而提供一种或多种网络服务来适应多样化的业务需求。然而，基于统一物理基础设施的网络切片技术无法满足不同安全等级用户的需求，特别是安全性的需求。在2G/3G/4G网络时代，面对高安全等级用户的通信要求，普遍采取的方法是建立专用移动通信网络即专网如图1所示。现有的专用移动核心网依托于公众网络基础设施构筑虚拟专网，专用移动核心网通过安全隔离关口与公网核心网互联，在“专用移动核心网”内部通过密码保护、隔离等技术加以防护。而这种专网建设方案的缺点在于：1)专网与公网相对独立，专网难以对外部网络态势进行有效感知和主动防御；2)由于公众网络基础设施自身存在的安全脆弱性，例如现有公网移动通信系统设备中的网元、核心部件和操作系统未针对专用领域应用进行特殊加固，因此信息在公众网络中传递的安全性难以评估；3)网络单一，不能按照用户安全等级的高低提供定制化的服务。为满足未来不同等级，不同领域应用可以通过切片技术实现专用业务的分级分域隔离：基于专用业务切片编排，建设不同安全等级的网元，并将不同安全等级的网元设备构建为不同等级的业务链，实现各等级业务流在相应等级业务链上的承载，从而达到业务流的安全隔离。根据不同安全等级需求，有如下的部署方案：方案一：针对一些安全性需求较低、应用灵活性需求较高的应用，可以基于公网业务平台生成专用业务模板，利用公网网元生成专用切片，实现专用业务，如图2所示。方案二：针对一些安全等级要求较高、应用灵活性需求一般的应用，可独立部署专用应用和业务支撑系统，基于公网接入平面与转发平面基础设施生成专用业务模板，与公网应用形成相对独立的专用切片，实现专用业务，如图3所示。然而，这种网路切片技术还是主要基于公网的基础设施进行，公网基础设施品类繁多，性能不一使得一些高安全等级用户的业务需求无法得到满足。
技术实现思路
鉴于上述的分析，本专利技术旨在提供一种基于SDN技术的物理切片方法，用以解决现有切片技术无法满足的安全性需求的问题。本专利技术的目的主要是通过以下技术方案实现的：一种基于SDN技术的物理切片方法，包括以下步骤：步骤S1、在转发平面中设置专用基础设施资源，并对所设置的专用基础设施资源进行分级；步骤S2、用户访问控制单元确定提出网络资源申请的用户的安全等级；步骤S5、根据用户安全等级选取相应等级的专用基础设施资源，并将选取出的相应等级的专用基础设施资源虚拟化形成物理切片模板；步骤S6、根据用户需求，利用NFV网络编排单元在物理切片模板上进行网络编排，为该用户提供一个专用的物理切片。进一步，步骤S1中专用基础设施资源为经过具有信息安全设备认证资质的单位进行认证的设备；将所述专用基础设施资源分为初级、中级和高级三个等级。进一步，运营商后台建立有用户安全等级列表，所述用户安全等级列表按照相关行业的网络功能使用权限将用户安全等级由低到高依次分为C级、B级和A级；C级用户为低级用户，具有相关行业内的普通网络功能使用权限。B级用户为中级用户，具有相关行业内的中级网络功能使用权限。A级用户为高级用户，具有相关行业内高级网络功能的使用权限。用户访问控制单元根据用户提出网络资源申请时所提供的行业证明确定用户所具有的相关行业的网络功能使用权限，进而调用用户安全等级列表确定用户的安全等级。进一步，在步骤S2之后还包括步骤S3及步骤S4；具体地，步骤S3、按照专用基础设置资源的分级设置不同等级的认证网元；步骤S4、将相应安全等级的用户数据流路由到对应等级的认证网元，认证用户行业证明是否正确，正确转步骤S5；不正确，结束。进一步，所述步骤S6包括，NFV网络编排单元根据用户需求提取要满足用户需求需具备的能力指标，根据所述能力指标在物理切片模板上进行编排，申请网络资源，并在申请到的网络资源上实例化创建网络功能模块和接口形成专用的物理切片。进一步，还包括步骤S7，根据用户的进一步需求，在专用物理切片中满足所述进一步需求的部分模块和接口单独划分出来，形成新的切片。进一步，所述转发平面仅设置有专用基础设施资源，为专用转发平面，相对应的设置专用控制平面，形成专网，在所述专网和公网之间设置安全隔离关口。本专利技术有益效果如下：(1)专用设备的使用，摆脱了公网基础设施在功能、性能和安全性上的限制，满足专用需求。(2)专用设备的使用减少了专用用户与公网设备之间的交互。(3)通过物理隔离的方式提高安全性。(4)实现网络可信，安全分级。(5)实现实体可信，内建免疫的网络结构。本专利技术的其他特征和优点将在随后的说明书中阐述，并且，部分的从说明书中变得显而易见，或者通过实施本专利技术而了解。本专利技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。附图说明附图仅用于示出具体实施例的目的，而并不认为是对本专利技术的限制，在整个附图中，相同的参考符号表示相同的部件。图1为现有技术中的专用移动通信网络示意图；图2为专用移动通信网络部署方案一；图3为专用移动通信网络部署方案二；图4为本专利技术所采用的实施例一示意图；图5为本专利技术实施例一流程示意图；图6为本专利技术实施例三示意图。具体实施方式下面结合附图来具体描述本专利技术的优选实施例，其中，附图构成本申请一部分，并与本专利技术的实施例一起用于阐释本专利技术的原理。新一代5G网络中，网络被分为接入平面，转发平面和控制平面。其中转发平面是由物理实体设备构成，实现数据的处理和转发功能，可将其中的物理实体设备称为基础设施资源。本专利技术基于SDN网络的物理切片技术主要作用于基础设施资源。将切片的概念移植到物理设备实体上，将可以实现某一个或某一些功能的物理设备划分到一个切片内形成可以满足某些特定需求的物理实体单元称之为物理切片。实施例一：如图4所示。具体物理切片方法，包括以下步骤：步骤S1、运营商在转发平面中设置专用基础设施资源，并将所设置的专用基础设施资源分为初级、中级和高级三个等级；具体地，专用基础设施资源为经过具有信息安全设备认证资质的单位进行认证的设备。根据专用基础设施资源所具备的可信等级和所能实现的功能，对基础设施资源进行分级；具体地，按其具备可信等级的高低及所本文档来自技高网...

【技术保护点】
一种基于SDN技术的物理切片方法，其特征在于，包括以下步骤：步骤S1、在转发平面中设置专用基础设施资源，并对所设置的专用基础设施资源进行分级；步骤S2、用户访问控制单元确定提出网络资源申请的用户的安全等级；步骤S5、根据用户安全等级选取相应等级的专用基础设施资源，并将选取出的相应等级的专用基础设施资源虚拟化形成物理切片模板；步骤S6、根据用户需求，利用NFV网络编排单元在物理切片模板上进行网络编排，为该用户提供一个专用的物理切片。

【技术特征摘要】
1.一种基于SDN技术的物理切片方法，其特征在于，包括以下步骤：步骤S1、在转发平面中设置专用基础设施资源，并对所设置的专用基础设施资源进行分级；步骤S2、用户访问控制单元确定提出网络资源申请的用户的安全等级；步骤S5、根据用户安全等级选取相应等级的专用基础设施资源，并将选取出的相应等级的专用基础设施资源虚拟化形成物理切片模板；步骤S6、根据用户需求，利用NFV网络编排单元在物理切片模板上进行网络编排，为该用户提供一个专用的物理切片。2.根据权利要求1所述的方法，其特征在于：步骤S1中专用基础设施资源为经过具有信息安全设备认证资质的单位进行认证的设备；将所述专用基础设施资源分为初级、中级和高级三个等级。3.根据权利要求2所述的方法，其特征在于，所述步骤2具体包括：运营商后台建立有用户安全等级列表，所述用户安全等级列表按照相关行业的网络功能使用权限将用户安全等级由低到高依次分为C级、B级和A级；C级用户为低级用户，具有相关行业内的普通网络功能使用权限；B级用户为中级用户，具有相关行业内的中级网络功能使用权限；A级用户为高级用户，具有相关行业内高级网络功能的使用权限；用户访问控制单元根据用户提出网络资源申请时所提供的行业证明确定用户所具有的相关行业的网络功能使用...

【专利技术属性】
技术研发人员：贾云鹤，王发，
申请(专利权)人：兴唐通信科技有限公司，
类型：发明
国别省市：北京,11