一种基于软件定义可信的网络切片生成与可信恢复系统技术方案

本发明专利技术公开一种基于软件定义可信的网络切片的生成与可信恢复系统，将软件定义网络与可信计算技术结合，通过定义的可信规则完成网络切片的生成与可信恢复，其包括SDN控制器和OpenFlow交换机。所述SDN控制器为OpenDaylight控制器，包含VTN模块、SDT模块、基本网络服务功能模块；所述OpenFlow交换机为OpenvSwitch交换机，包含TPM模块、SDT模块、基本网络服务功能模块。本发明专利技术能够按照用户的带宽与可信度需求生成相应的网络切片，并在切片运行过程中，监控切片内资源的可信性，若出现不可信现象，由OVS回退与流表恢复算法对其进行恢复，该方法在保障切片可信性的同时，提高了资源利用率与可信恢复效率。

A trusted network slice generation and trusted recovery system based on software definition

The invention discloses a software based definition of trusted network chip generation and trusted recovery system, combined with the software defined network and trusted computing technology, through the definition of credible rules to generate network sections and trusted recovery, including SDN controller and OpenFlow exchange machine. The SDN controller is OpenDaylight controller, which includes VTN module, SDT module and basic network service function module. The OpenFlow switch is OpenvSwitch switch, which contains TPM module, SDT module and basic network service function module. The invention can according to bandwidth and credibility of user needs to generate the corresponding network section, and the section in the process of operation, the credibility of resources in monitoring sections, if there is no credible phenomenon, by OVS regression and flow table recovery algorithm to restore, the method in the security section of credibility at the same time, improve the utilization rate of resource recovery efficiency and credibility.

【技术实现步骤摘要】
一种基于软件定义可信的网络切片生成与可信恢复系统
本专利技术涉及软件定义网络
，尤其涉及一种基于软件定义可信的网络切片的生成与可信恢复系统。
技术介绍
随着网络应用场景发展的多样化以及用户数量的飞速增长，在未来网络中，包括移动带宽、大规模物联网、任务关键的物联网等混杂的业务场景，不同的应用场景需要不同类型的网络，在移动性、安全性、可靠性等方面有着不同的要求，“一刀切”的传统网络架构无法满足未来网络发展的需要。《5G网络架构设计白皮书》中指出使用网络切片(NetworkSlice，NS)技术来解决这一问题。网络切片可以将物理网络虚拟化成多个虚拟的逻辑网络，每一个网络切片是一组网络功能及其资源的集合，为特定的业务场景的不同需求(功能、性能、安全等方面)提供差异化的服务。每个网络切片根据用户需求进行定制，切片间是逻辑隔离的，一个切片的调整不会影响到其他切片，在保障用户需求与资源利用最优化的同时增强了网络的安全性与灵活性。网络切片技术主要基于软件定义网络(SoftwareDefinedNetwork，SDN)和网络功能虚拟化(NetworkFunctionVirtualization，NFV)技术来实现，在部署网络切片时，需要考虑到网络切片的管理、资源的抽象、切片间的隔离以及切片的粒度等方面的因素。目前，对于网络切片的研究，大多围绕切片的QoS需求、资源的抽象等方面进行探讨，对于安全可信方面研究尚少。一旦网络切片内出现不可信的资源，可能会导致用户无法正常使用该切片，为了解决这个问题，通用的方式是将不可信的切片删除重新分配新的可信切片给用户，而这种方式势必会降低资源利用率，并且可能会消耗更多的时间从而降低切片恢复效率与可信度。本专利技术在网络切片运行的整个生命周期中对其进行监控，在切片内资源出现不可信现象时，通过OVS回退和流表恢复的方式来对切片进行动态调整。
技术实现思路
为了解决上述问题，本专利技术提出一种基于软件定义可信的网络切片生成与可信恢复系统和系统。为实现上述目的，本专利技术采用如下的技术方案：一种基于软件定义可信的网络切片的生成与可信恢复系统，够按照用户的需求为其生成可信切片，并在分配后对切片进行管理维护，一旦出现问题，对该切片进行动态调整。整个系统包括一OpenDaylight控制器(ODL)和多个OpenvSwitch交换机(OVS)，其中多个OVS之间相互连接，每个OVS均通过OpenFLow协议与ODL连接；所述ODL包含：VTN模块、SDT模块、基本网络服务功能模块；其中，VTN模块负责对网络切片的创建、删除与管理；SDT模块负责处理从OVS采集的可信度量结果，并能够根据不同的情况给出切片资源可信恢复的策略；基本网络服务功能模块主要用于与OVS进行交互，并完成SDN控制器应具备的功能。所述OVS交换机包含：TPM模块、SDT模块、基本网络服务功能模块；其中，TPM模块用于协助SDT模块完成可信度量；SDT模块在负责对度量对象进行可信度量，并生成度量结果；基本网络服务功能模块主要用于与ODL进行交互，并完成OpenFlow交换机应具备的功能。当ODL接收到来自用户发送的切片生成请求时，选择满足用户带宽需求的资源并向相应的交换机发送可信度量请求；OVS接收到可信度量请求后，对OVS中进程的度量，并将度量结果上报给ODL；ODL收到结果后结合历史可信度根据判定规则判断该资源是否满足可信需求，若满足则分配给用户，否则，重新选择满足用户需求的资源；在切片运行中，由ODL监控切片内资源的可信状态，若某一OVS中进程不可信，则采用OVS回退的方式进行可信恢复；若某一OVS中流表不可信，则采用流表恢复的方式完成可信恢复。本专利技术在生成切片加入了带宽、可信度条件，满足了不同用户对于资源的不同可信需求；切片运行后，在出现不可信资源时，通过可信恢复的方式来是的切片仍然可以正常使用。因此，比起将不可信切片删除重新生成可信切片的传统方式，提高了资源利用率与恢复效率。附图说明图1是本专利技术系统抽象图；图2是本专利技术系统实现具体拓扑图；图3是本专利技术系统中OVS启动链示意图；图4是本专利技术系统中OVS回退方法的示意图。具体实施方式下面结合附图对本专利技术作进一步详细说明。本专利技术提供一种基于软件定义可信的网络切片的生成与可信恢复系统，参见图1，系统通过控制器对物理资源进行管控，根据需求生成不同的网络切片供不同的用户使用；参见图2，系统包括一OVS和四台OVS以及连接到交换机上的终端，四台OVS启动时参照图3，以TPM为可信根，构造一条ovskernelmodule、ovs-vswitchd到ovsdb-server的可信链，由上一层级度量下一层级的可执行程序，在确保下一层级可信后将可信控制权转移给该层级，继续度量下一层级，直至OVS成功启动，然后按照图中方式连接并连接到ODL，当ODL接收到用户的切片请求时(如在h1和h3之间创建网络切片，带宽需求200M，可信度需求0.75)，按照如下步骤生成切片：步骤1：由ODL中基本网络功能服务模块选择满足带宽需求的OVS及相应链路；步骤2：SDT模块向选中的OVS发送可信度量请求；步骤3：OVS收到可信度量请求后，由SDT模块和TPM模块对OVS中的两个进程ovs-vswitchd进程和ovsdb-server进程的代码段进行可信度量，并将度量结果通过基本网络功能服务模块上报给ODL；步骤4：ODL收到度量结果后，由SDT模块根据OVS的历史可信度以及当前的度量结果来判定选中的OVS是否满足可信度需求，若满足，则分配给用户，否则，回到步骤1。在切片运行的整个生命周期，由ODL对其进行监控，一旦切片内某一OVS出现不可信现象，按照如下步骤进行恢复：步骤1：若由ODL监测出OVS中某一进程不可信，执行步骤2；若在数据包发送过程中，OVS中执行流表项中动作前，相应流表项中的指令集的哈希值与事先写入指令集基准值元组中的基准值不相同，则执行步:3；步骤2：参照图4，判断进程不可信的来源，若ovsdb-server进程不可信，则向相应的OVS发送可信恢复消息，由OVS中的ovs-vswitchd进程将ovsdb-server进程杀死，重新生成一个新的可信ovsdb-server进程；若ovs-vswitchd进程不可信，则表明该OVS无法恢复可信；步骤3：OVS向ODL请求相应流表项，ODL在切片创建时维护了每个切片的可信流表项，在收到请求后，ODL查询该流表，将相应的流表项下发给该OVS，完成流表的快速恢复。本文档来自技高网...

【技术保护点】
一种基于软件定义可信的网络切片的生成与可信恢复系统，其特征在于，包括一OpenDaylight控制器(ODL)和多个OpenvSwitch交换机(OVS)，其中多个OVS之间相互连接，每个OVS均通过OpenFLow协议与ODL连接；当ODL接收到来自用户发送的切片生成请求时，选择满足用户带宽需求的资源并向相应的交换机发送可信度量请求；OVS接收到可信度量请求后，对OVS中进程的度量，并将度量结果上报给ODL；ODL收到结果后结合历史可信度根据判定规则判断该资源是否满足可信需求，若满足则分配给用户，否则，重新选择满足用户需求的资源；在切片运行中，由ODL监控切片内资源的可信状态，若某一OVS中进程不可信，则采用OVS回退的方式进行可信恢复；若某一OVS中流表不可信，则采用流表恢复的方式完成可信恢复。

【技术特征摘要】
1.一种基于软件定义可信的网络切片的生成与可信恢复系统，其特征在于，包括一OpenDaylight控制器(ODL)和多个OpenvSwitch交换机(OVS)，其中多个OVS之间相互连接，每个OVS均通过OpenFLow协议与ODL连接；当ODL接收到来自用户发送的切片生成请求时，选择满足用户带宽需求的资源并向相应的交换机发送可信度量请求；OVS接收到可信度量请求后，对OVS中进程的度量，并将度量结果上报给ODL；ODL收到结果后结合历史可信度根据判定规则判断该资源是否满足可信需求，若满足则分配给用户，否则，重新选择满足用户需求的资源；在切片运行中，由ODL监控切片内资源的可信状态，若某一OVS中进程不可信，则采用OVS回退的方式进行可信恢复；若某一OVS中流表不可信，则采用流表恢复的方式完成可信恢复。2.如权利要求1所述的一种基于软件定义可信的网络切片的生成与可信恢复系统，其特征在于，所述ODL包含：VTN模块、SDT模块、基本网络服务功能模块；其中，VTN模块负责对网络切片的创建、删除与管理；SDT模块负责处理从OVS采集的可信度量结果，并能够根据不同的情况给出切片资源可信恢复的策略；基本网络服务功能模块主要用于与OVS进行交互，并完成SDN控制器应具备的功能。所述OVS交换机包含：TPM模块、SDT模块、基本网络服务功能模块；其中，TPM模块用于协助SDT模块完成可信度量；SDT模块在负责对度量对象进行可信度量，并生成度量结果；基本网络服务功能模块主要用于与ODL进行交互，并完成OpenFlow交换机应具备的功能。3.如权利要求1所述的一种...

【专利技术属性】
技术研发人员：赖英旭，邵彤，刘岩，刘静，庄俊玺，
申请(专利权)人：北京工业大学，
类型：发明
国别省市：北京,11