[发明专利]一种弹性用户云计算资源的安全保护方法

权利要求书

1.一种弹性用户云计算资源的安全保护方法，其特征在于，包括以下步骤：

(1)、初始化网络拓扑G

(1.1)、记录G中所有节点node信息，包括节点编号node_id和节点CPU数量node_cpu_num；

(1.2)、记录G中所有链路edge信息，包括链路编号edge_id、链路带宽容量edge_bw和链路权重W，并初始化W＝1；

(2)、设置安全服务功能CPU-BW映射表集合

为每种安全服务功能设置一个CPU-BW映射表，所有类型的安全服务功能对应的CPU-BW映射表构成安全服务功能CPU-BW映射表集合；

(3)、设置K最短路(K-Shortest Path，KSP)多级索引数据结构ksp_dict，其中，ksp_dict中存储由起始节点编号和终止节点编号对应的索引，一级索引为起始节点编号，二级索引为终止节点编号，对应值为K最短路信息；

(4)、设置用户安全需求集合T和用户安全解决方案集合S

(4.1)、设置用户安全需求集合T，并初始化T为空集；其中，T中存储的元素为用户安全需求t，t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF，SF的格式为：SF＝{sf₁,sf₂,…,sf_u}，共计u个用户安全处理服务功能类型sf；

(4.2)、设置用户安全解决方案集合S，并初始化S为空集；其中，S中存储的元素为用户安全解决方案s，s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC；

其中，R_SUM的格式为：R_SUM＝{r₁,r₂,…,r_u}，r_u表示第u个用户安全处理服务功能所占用的总CPU数量；

SFC的格式为：SFC＝{sfc₁,sfc₂,…,sfc_q}，且所有安全服务功能链按照安全服务功能链长度递增的方式排列，sfc_q表示第q个安全服务功能链sfc；

进一步地，每个安全服务功能链sfc包括安全服务功能实例集合SFI，SFI的格式为：SFI＝{sfi₁,sfi₂,…sfi_u}，sfi_u表示第u个用户的安全服务功能实例sfi，每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH；其中，R的格式为：R＝{r₁,r₂,…r_u}，PATH的格式为：PATH＝{node_id₀,node_id₁,…,node_id_v}，其中，node_id₀是起始节点编号，node_id_v是终止节点编号；

(5)、用户安全需求处理

(5.1)、开启安全需求监听线程，监听T中是否有未处理的用户安全需求t，如果有，则取出未处理的t，进入步骤(5.2)，否则，跳转至步骤(6)；

(5.2)、设置用户安全需求t对应的用户安全解决方案s，并初始化s中bw_sum值为bw值；通过bw_sum查找到对应类型安全服务功能获取相应的CPU-BW映射表，再通过bw_sum查找到对应类型安全服务功能所需的CPU数量，并赋值给R中r；初始化SFC为空集；

(5.3)、根据t的起始节点编号和终止节点编号，从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径；

(5.4)、从K最短路径中，筛选出路径剩余带宽最小值大于bw，且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量，且路径长度最短的一条路径，记为sp；

(5.5)、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi，再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点，作为该节点剩余CPU数量；

(5.6)、遍历sp中各个链路edge，将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge，作为该链路的剩余带宽；

(5.7)、将sfc加入到SFC中，并将s加入S中，然后返回至步骤(5.1)；

(6)、业务带宽处理

(6.1)、设置遍历因子i，初始化i的值为1；

(6.2)、若i小于等于S集合的大小，则执行步骤(6.3)，否则，跳转至步骤(6.4)；

(6.3)、取S中第i个解决方案s，并对s进行弹性管理；

(6.3.1)、设置多余带宽bw_rest，并初始化bw_rest等于bw_sum减去s对应用户业务数据的当前带宽；

(6.3.2)、将bw_sum赋值为s对应用户业务数据的当前带宽；

(6.3.3)、设置遍历因子j，初始化j的值为SFC的集合大小；

(6.3.4)、比较遍历因子j的大小，若j大于0，则取SFC中第j个sfc，并对第j个sfc执行以下子步骤；否则，跳转至步骤(6.3.5)；

(6.3.4.1)、设置待释放带宽bw_release，若bw_rest小于bw，则初始化bw_release值为bw_rest；否则，初始化bw_release值为bw；

(6.3.4.2)、将bw减去bw_release的差值重新赋值给bw，如果赋值后的bw为0，则将sfc从SFC中移除；同时，根据对应sfi的安全服务功能类型获取对应的CPU-BW映射表，再通过带宽大小bw_release查找安全服务功能所需减少的CPU数量，将各sfi对应的CPU数量值r进行自减；

(6.3.4.3)、将bw_rest减去bw_release的差值重新赋值给bw_rest，如果赋值后的bw_rest为0，则跳转至步骤(6.4)；

(6.3.4.4)、将j自减1，并跳转至步骤(6.3.4)；

(6.3.5)、将i自增1，并跳转至步骤(6.2)；

(6.4)、重新初始化i的值为1；

(6.5)、若i小于等于当前sfi的数量，则取出第i个sfi，并执行以下子步骤，否则，跳转至步骤(7)；

(6.5.1)、设置当前sfi的弹性优化范围为sfi关联的所有sfc的链路交集；

(6.5.2)、在弹性优化范围内，寻找相同类型的sfi，计算每个可合并sfi的合并收益，作为备选方案；

(6.5.3)、判断当前是否存在备选方案，如果有备选方案，则在弹性优化范围内选择备选方案对多个sfi进行合并，然后将i赋值为1，进入步骤(7)；否则，i自增1，返回步骤(6.5)；

(7)、资源弹性管理

(7.1)、依次检查所有用户业务数据的带宽大小，找到第一个用户业务数据的带宽超过该用户对应的安全解决方案s所能处理的总带宽bw_sum的用户，然后进入步骤(7.2)；若所有用户中均未找到，则跳转至步骤(8)；

(7.2)、设置安全服务需要增加的带宽容量bw_add，并初始化bw_add值为找到的用户的业务数据带宽减去该用户对应的安全解决方案s所能处理的总带宽bw_sum的差值；

(7.3)、修改该用户安全解决方案s，将bw_sum与bw_add的和重新赋值给bw_sum；然后，根据对应类型安全服务功能获取相应的CPU-BW映射表，再通过bw_sum查找到对应类型安全服务功能所需的CPU数量，并赋值给R中的r；

(7.4)、根据t的起始节点编号和终止节点编号，从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径；

(7.5)、从K最短路径中，筛选出路径剩余带宽最小值大于bw_add，且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量，且路径长度最短的一条路径，记为sp^*；

(7.6)、在sp^*中剩余CPU数量充足的节点上分别依次部署多个类型sfi，再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点，作为该节点剩余CPU数量；

(7.7)、遍历sp^*中各个链路edge，将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge，作为该链路的剩余带宽；

(7.8)、将sfc加入到SFC中，然后重复步骤(7.1)；

(8)、弹性用户云计算资源的安全服务结束。