[发明专利]一种安全功能服务链部署方法

说明书

本发明涉及一种安全功能服务链部署方法，涉及网络安全技术领域。本发明考虑了物理节点可提供多种安全功能的情况，提出一种改进的安全功能服务链部署方法，基于所需计算资源需求、存储资源需求和网络资源需求之间的权重关系综合评估服务链部署所需的资源。并根据所得服务链综合需求大小，部署安全功能服务链，在满足服务链资源需求、成功部署安全功能的前提下，实现了网络成本最小。

技术领域

本发明涉及网络安全技术领域，具体涉及一种安全功能服务链部署方法。

背景技术

随着电子商务、社交网络、即时通讯等海量新型互联网应用的出现，目前以TCP/IP协议为核心的互联网体系架构已很难满足快速增长的业务需求，亟需突破传统烟囱式的刚性网络体系和封闭式架构。在此需求下，软件定义网络(Software Defined Networking，SDN)和网络功能虚拟化(Network Function Virtualization，NFV)等技术应运而生，可实现自动化的流量部署、敏捷的资源池化和按需动态的服务提供等能力，通过松耦合模式达到降低硬件设备复杂度、节约成本的目的。基于SDN/NFV理念架构下，如何合理、高效部署满足用户多样化需求的服务功能链(Service Function Chain，SFC)已成为学术界和产业界关注的热点问题之一。

在基于SDN/NFV理念架构中，通过控制转发分离的特性，网络控制变得更加灵活并更具有扩展性。通过对底层物理网络进行虚拟化和逻辑抽象，由SDN控制器引导转发流量自动通过虚拟服务节点，可实现灵活、便捷、高效的服务功能，这种流量按序通过虚拟服务功能节点组成的序列称为服务链，如图1所示。

面向用户的安全服务需求，编排形成安全服务链并下发。因此，需要选择一条满足安全服务能力、安全功能顺序、资源需求的最优路径，该问题即基于服务链的安全功能部署问题(或称为映射问题)，如图2所示。其中，图2(a)为一条安全服务链请求，按其功能请求顺序可表示为(FW,NAT,IPS)。存在多种部署方式可满足安全服务链的功能需求，如图2(b)和图2(c)。但从图中可知，图2(c)中的第二种部署方式明显优于图2(b)中的第一种部署方式。因此，需要开展安全功能服务链部署问题的研究，即依据安全服务需求序列选择相应的安全功能组件并进行路由，在最大限度满足功能需求、资源需求的前提下降低网络成本，保障服务质量。

在现有技术方案中，大多没有考虑同时到达的多条服务链的部署顺序，或是忽略了物理节点可提供的功能类型。部分方案限定物理节点仅可提供某一种安全功能，且仅考虑了安全功能之间的带宽需求，未考虑实现安全功能部署所需要的计算资源和存储资源。因此，为了更好的刻画服务链的综合需求，描述各需求之间的关系，需要提出一种改进的安全功能服务链部署方法。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何提出一种改进的安全功能服务链部署方法，在满足服务链资源需求、成功部署安全功能的前提下，实现了网络成本最小。

(二)技术方案

为了解决上述技术问题，本发明提供了、一种安全功能服务链部署方法，包括以下步骤：