本发明专利技术公开了一种弹性用户云计算资源的安全保护方法,从用户的历史带宽使用量去预测用户未来一段时间内的带宽使用情况,然后将预测带宽与额定带宽之间的差值对应的安全处理资源用于为其他用户提供同样的安全服务;而当原用户使用超过预测带宽时,立即为共享安全处理资源的其他用户创建新的安全处理资源进行承载,同时保证了原用户的安全服务质量;这样使云服务提供商有了动态分配基础安全处理功能的能力,又能为用户和自身平台提供安全保障,同时还节省了虚拟化资源。
A Security Protection Method for Flexible User Cloud Computing Resources
【技术实现步骤摘要】
一种弹性用户云计算资源的安全保护方法
本专利技术属于网络通信
,更为具体地讲,涉及一种弹性用户云计算资源的安全保护方法。
技术介绍
随着计算平台硬件能力的不断提升,虚拟化技术也愈发成熟。在过去的十年中,云计算逐渐发展成为IT领域一大研究与发展的重点方向。各大互联网厂商纷纷推出了自己的云计算平台,向中小型企业及个人提供云计算服务。而除了售卖虚拟化计算资源以外,云服务提供商同时需要对用户购买的虚拟化服务进行安全保障。网络功能虚拟化(NFV)是由欧洲电信标准组织(ETSI)从网络运营商的角度出发提出的一种软件和硬件分离的架构,主要是希望通过标准化的IT虚拟化技术,采用业界标准的大容量服务器、存储和交换机承载各种各样的网络软件功能,实现软件的灵活加载,从而可以在数据中心、网络节点和用户端等不同位置灵活的部署配置。NFV打破了网络物理设备层和逻辑业务层之间的绑定关系,每个物理设备被虚拟化的网元所取代,能够对虚拟网元进行管理配置以满足独特的需求。通过使用NFV可以减少甚至移除现有网络中部署的中间件,它能够让单一的物理平台运行不同的应用程序,用户/租户可以通过多版本和多租户同时使用网络功能。并且NFV支持全新的方法实现弹性、服务保证、测试诊断和安全监控。它能够促进软件网络环境中的新网络功能和服务的创新,NFV适用于任何数据平面和控制平面功能、固定或移动网络,也适合需要实现可伸缩性的自动化管理和配置。为了更加充分的利用资源,虚拟化云服务提供商往往期望提高资源的利用率、减少闲置率进而提高收益。当前,云计算的设计和销售模式中,用户购买指定大小的虚拟化计算服务是获得了完全匹配的虚拟化资源量。在用户购买了虚拟化计算资源,运行了自己的网络服务之后,云服务提供商通常还需要为其提供网络安全服务,以保障其网络服务的正常运行和访问速度,同时保障自身平台的安全性。这一服务已成为各大云服务提供商的基础服务,即使用户不购买额外的安全处理功能,也必须提供最基础的网络服务访问安全质量保障。而这一部分虚拟化网路安全功能的资源开销是可以由云服务提供商自主控制和弹性调整的。同时,这一部分的数据流量也是变化波动较大的,例如当用户将数据写入虚拟化计算资源期间,又如当用户网络服务迎来高峰期时,就有较大的数据带宽需求,对应了较大的数据带宽安全需求;当用户服务开始计算处理新写入的数据时,或网络服务进入低谷期,此时的通信带宽大量闲置,若此时以高峰期的带宽给该用户分配了较大的安全处理资源,就造成的极大的浪费。
技术实现思路
本专利技术的目的在于克服现有技术的不足,提供一种弹性用户云计算资源的安全保护方法,实现用户对闲置虚拟化资源的充分利用,以及用户流量激增时的动态处理。为实现上述专利技术目的,本专利技术一种弹性用户云计算资源的安全保护方法,其特征在于,包括以下步骤:(1)、初始化网络拓扑G(1.1)、记录G中所有节点node信息,包括节点编号node_id和节点CPU数量node_cpu_num;(1.2)、记录G中所有链路edge信息,包括链路编号edge_id、链路带宽容量edge_bw和链路权重W,并初始化W=1;(2)、设置安全服务功能CPU-BW映射表集合为每种安全服务功能设置一个CPU-BW映射表,所有类型的安全服务功能对应的CPU-BW映射表构成安全服务功能CPU-BW映射表集合;(3)、设置K最短路(K-ShortestPath,KSP)多级索引数据结构ksp_dict,其中,ksp_dict中存储由起始节点编号和终止节点编号对应的索引,一级索引为起始节点编号,二级索引为终止节点编号,对应值为K最短路信息;(4)、设置用户安全需求集合T和用户安全解决方案集合S(4.1)、设置用户安全需求集合T,并初始化T为空集;其中,T中存储的元素为用户安全需求t,t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF,SF的格式为:SF={sf1,sf2,…,sfu},共计u个用户安全处理服务功能类型sf;(4.2)、设置用户安全解决方案集合S,并初始化S为空集;其中,S中存储的元素为用户安全解决方案s,s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC;其中,R_SUM的格式为:R_SUM={r1,r2,…,ru},ru表示第u个用户安全处理服务功能所占用的总CPU数量;SFC的格式为:SFC={sfc1,sfc2,…,sfcq},且所有安全服务功能链按照安全服务功能链长度递增的方式排列,sfcq表示第q个安全服务功能链sfc;进一步地,每个安全服务功能链sfc包括安全服务功能实例集合SFI,SFI的格式为:SFI={sfi1,sfi2,…sfiu},sfiu表示第u个用户的安全服务功能实例sfi,每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH;其中,R的格式为:R={r1,r2,…ru},PATH的格式为:PATH={node_id0,node_id1,…,node_idv},其中,node_id0是起始节点编号,node_idv是终止节点编号;(5)、用户安全需求处理(5.1)、开启安全需求监听线程,监听T中是否有未处理的用户安全需求t,如果有,则取出未处理的t,进入步骤(5.2),否则,跳转至步骤(6);(5.2)、设置用户安全需求t对应的用户安全解决方案s,并初始化s中bw_sum值为bw值;通过bw_sum查找到对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中r;初始化SFC为空集;(5.3)、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;(5.4)、从K最短路径中,筛选出路径剩余带宽最小值大于bw,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp;(5.5)、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;(5.6)、遍历sp中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;(5.7)、将sfc加入到SFC中,并将s加入S中,然后返回至步骤(5.1);(6)、业务带宽处理(6.1)、设置遍历因子i,初始化i的值为1;(6.2)、若i小于等于S集合的大小,则执行步骤(6.3),否则,跳转至步骤(6.4);(6.3)、取S中第i个解决方案s,并对s进行弹性管理;(6.3.1)、设置多余带宽bwrest,并初始化bwrest等于bw_sum减去s对应用户业务数据的当前带宽;(6.3.2)、将bw_sum赋值为s对应用户业务数据的当前带宽;(6.3.3)、设置遍历因子j,初始化j的值为SFC的集合大小;(6.3.4)、比较遍历因子j的大小,若j大于0,则取SFC中第j个sfc,并对第j个sfc执行以下子步骤;否则,跳转至步骤(6.3.5);(6.3.4.1)、设置待释放带宽bw本文档来自技高网...
【技术保护点】
1.一种弹性用户云计算资源的安全保护方法,其特征在于,包括以下步骤:(1)、初始化网络拓扑G(1.1)、记录G中所有节点node信息,包括节点编号node_id和节点CPU数量node_cpu_num;(1.2)、记录G中所有链路edge信息,包括链路编号edge_id、链路带宽容量edge_bw和链路权重W,并初始化W=1;(2)、设置安全服务功能CPU‑BW映射表集合为每种安全服务功能设置一个CPU‑BW映射表,所有类型的安全服务功能对应的CPU‑BW映射表构成安全服务功能CPU‑BW映射表集合;(3)、设置K最短路(K‑Shortest Path,KSP)多级索引数据结构ksp_dict,其中,ksp_dict中存储由起始节点编号和终止节点编号对应的索引,一级索引为起始节点编号,二级索引为终止节点编号,对应值为K最短路信息;(4)、设置用户安全需求集合T和用户安全解决方案集合S(4.1)、设置用户安全需求集合T,并初始化T为空集;其中,T中存储的元素为用户安全需求t,t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF,SF的格式为:SF={sf1,sf2,…,sfu},共计u个用户安全处理服务功能类型sf;(4.2)、设置用户安全解决方案集合S,并初始化S为空集;其中,S中存储的元素为用户安全解决方案s,s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC;其中,R_SUM的格式为:R_SUM={r1,r2,…,ru},ru表示第u个用户安全处理服务功能所占用的总CPU数量;SFC的格式为:SFC={sfc1,sfc2,…,sfcq},且所有安全服务功能链按照安全服务功能链长度递增的方式排列,sfcq表示第q个安全服务功能链sfc;进一步地,每个安全服务功能链sfc包括安全服务功能实例集合SFI,SFI的格式为:SFI={sfi1,sfi2,…sfiu},sfiu表示第u个用户的安全服务功能实例sfi,每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH;其中,R的格式为:R={r1,r2,…ru},PATH的格式为:PATH={node_id0,node_id1,…,node_idv},其中,node_id0是起始节点编号,node_idv是终止节点编号;(5)、用户用户安全需求处理(5.1)、开启安全需求监听线程,监听T中是否有未处理的用户安全需求t,如果有,则取出未处理的t,进入步骤(5.2),否则,跳转至步骤(6);(5.2)、设置用户安全需求t对应的用户安全解决方案s,并初始化s中bw_sum值为bw值;通过bw_sum查找到对应类型安全服务功能获取相应的CPU‑BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中r;初始化SFC为空集;(5.3)、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;(5.4)、从K最短路径中,筛选出路径剩余带宽最小值大于bw,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp;(5.5)、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;(5.6)、遍历sp中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;(5.7)、将sfc加入到SFC中,并将s加入S中,然后返回至步骤(5.1);(6)、业务带宽处理(6.1)、设置遍历因子i,初始化i的值为1;(6.2)、若i小于等于S集合的大小,则执行步骤(6.3),否则,跳转至步骤(6.4);(6.3)、取S中第i个解决方案s,并对s进行弹性管理;(6.3.1)、设置多余带宽bwrest,并初始化bwrest等于bw_sum减去s对应用户业务数据的当前带宽;(6.3.2)、将bw_sum赋值为s对应用户业务数据的当前带宽;(6.3.3)、设置遍历因子j,初始化j的值为SFC的集合大小;(6.3.4)、比较遍历因子j的大小,若j大于0,则取SFC中第j个sfc,并对第j个sfc执行以下子步骤;否则,跳转至步骤(6.3.5);(6.3.4.1)、设置待释放带宽bwrelease,若bwrest小于bw,则初始化bwrelease值为bwrest;否则,初始化bwrelease值为bw;(6.3.4.2)、将bw去bwrelease的差值重新赋值给bw,如果赋值后的bw为0,则将sfc从SFC中移除;同时,根据对应s...
【技术特征摘要】
1.一种弹性用户云计算资源的安全保护方法,其特征在于,包括以下步骤:(1)、初始化网络拓扑G(1.1)、记录G中所有节点node信息,包括节点编号node_id和节点CPU数量node_cpu_num;(1.2)、记录G中所有链路edge信息,包括链路编号edge_id、链路带宽容量edge_bw和链路权重W,并初始化W=1;(2)、设置安全服务功能CPU-BW映射表集合为每种安全服务功能设置一个CPU-BW映射表,所有类型的安全服务功能对应的CPU-BW映射表构成安全服务功能CPU-BW映射表集合;(3)、设置K最短路(K-ShortestPath,KSP)多级索引数据结构ksp_dict,其中,ksp_dict中存储由起始节点编号和终止节点编号对应的索引,一级索引为起始节点编号,二级索引为终止节点编号,对应值为K最短路信息;(4)、设置用户安全需求集合T和用户安全解决方案集合S(4.1)、设置用户安全需求集合T,并初始化T为空集;其中,T中存储的元素为用户安全需求t,t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF,SF的格式为:SF={sf1,sf2,…,sfu},共计u个用户安全处理服务功能类型sf;(4.2)、设置用户安全解决方案集合S,并初始化S为空集;其中,S中存储的元素为用户安全解决方案s,s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC;其中,R_SUM的格式为:R_SUM={r1,r2,…,ru},ru表示第u个用户安全处理服务功能所占用的总CPU数量;SFC的格式为:SFC={sfc1,sfc2,…,sfcq},且所有安全服务功能链按照安全服务功能链长度递增的方式排列,sfcq表示第q个安全服务功能链sfc;进一步地,每个安全服务功能链sfc包括安全服务功能实例集合SFI,SFI的格式为:SFI={sfi1,sfi2,…sfiu},sfiu表示第u个用户的安全服务功能实例sfi,每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH;其中,R的格式为:R={r1,r2,…ru},PATH的格式为:PATH={node_id0,node_id1,…,node_idv},其中,node_id0是起始节点编号,node_idv是终止节点编号;(5)、用户用户安全需求处理(5.1)、开启安全需求监听线程,监听T中是否有未处理的用户安全需求t,如果有,则取出未处理的t,进入步骤(5.2),否则,跳转至步骤(6);(5.2)、设置用户安全需求t对应的用户安全解决方案s,并初始化s中bw_sum值为bw值;通过bw_sum查找到对应类型安全服务功能获取相应的CPU-BW映射表,再通过bw_sum查找到对应类型安全服务功能所需的CPU数量,并赋值给R中r;初始化SFC为空集;(5.3)、根据t的起始节点编号和终止节点编号,从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径;(5.4)、从K最短路径中,筛选出路径剩余带宽最小值大于bw,且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量,且路径长度最短的一条路径,记为sp;(5.5)、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi,再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点,作为该节点剩余CPU数量;(5.6)、遍历sp中各个链路edge,将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge,作为该链路的剩余带宽;(5.7)、将sfc加入到SFC中,并将s加入S中,然后返回至步骤(5.1);(6)、业务带宽处理(6.1)、设置遍历因子i,初始化i的值为1;(6.2)、若i小于等于S集合的大小,则执行步骤(6.3),否则,跳转至步骤(6.4);(6.3)、取S中第i个解决方案s,并对s进行弹性管理;(6.3.1)、设置多余带宽bwrest,并初始化bwrest等于bw_sum减去s对应用...
【专利技术属性】
技术研发人员:周潮,刘坚,许都,
申请(专利权)人:电子科技大学,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。