[发明专利]一种弹性用户云计算资源的安全保护方法

摘要

本发明公开了一种弹性用户云计算资源的安全保护方法，从用户的历史带宽使用量去预测用户未来一段时间内的带宽使用情况，然后将预测带宽与额定带宽之间的差值对应的安全处理资源用于为其他用户提供同样的安全服务；而当原用户使用超过预测带宽时，立即为共享安全处理资源的其他用户创建新的安全处理资源进行承载，同时保证了原用户的安全服务质量；这样使云服务提供商有了动态分配基础安全处理功能的能力，又能为用户和自身平台提供安全保障，同时还节省了虚拟化资源。

主权项

1.一种弹性用户云计算资源的安全保护方法，其特征在于，包括以下步骤：(1)、初始化网络拓扑G(1.1)、记录G中所有节点node信息，包括节点编号node_id和节点CPU数量node_cpu_num；(1.2)、记录G中所有链路edge信息，包括链路编号edge_id、链路带宽容量edge_bw和链路权重W，并初始化W＝1；(2)、设置安全服务功能CPU‑BW映射表集合为每种安全服务功能设置一个CPU‑BW映射表，所有类型的安全服务功能对应的CPU‑BW映射表构成安全服务功能CPU‑BW映射表集合；(3)、设置K最短路(K‑Shortest Path，KSP)多级索引数据结构ksp_dict，其中，ksp_dict中存储由起始节点编号和终止节点编号对应的索引，一级索引为起始节点编号，二级索引为终止节点编号，对应值为K最短路信息；(4)、设置用户安全需求集合T和用户安全解决方案集合S(4.1)、设置用户安全需求集合T，并初始化T为空集；其中，T中存储的元素为用户安全需求t，t包含起始节点编号、终止节点编号、申请带宽容量和安全处理服务功能类型序列SF，SF的格式为：SF＝{sf₁,sf₂,…,sf_u}，共计u个用户安全处理服务功能类型sf；(4.2)、设置用户安全解决方案集合S，并初始化S为空集；其中，S中存储的元素为用户安全解决方案s，s包括当前能够处理的总带宽bw_sum、各个安全服务功能所占用的总CPU数量集合R_SUM、安全服务功能链集合SFC；其中，R_SUM的格式为：R_SUM＝{r₁,r₂,…,r_u}，r_u表示第u个用户安全处理服务功能所占用的总CPU数量；SFC的格式为：SFC＝{sfc₁,sfc₂,…,sfc_q}，且所有安全服务功能链按照安全服务功能链长度递增的方式排列，sfc_q表示第q个安全服务功能链sfc；进一步地，每个安全服务功能链sfc包括安全服务功能实例集合SFI，SFI的格式为：SFI＝{sfi₁,sfi₂,…sfi_u}，sfi_u表示第u个用户的安全服务功能实例sfi，每个sfi又包括占用CPU数量集合为R、能处理的带宽bw和对应的路径PATH；其中，R的格式为：R＝{r₁,r₂,…r_u}，PATH的格式为：PATH＝{node_id₀,node_id₁,…,node_id_v}，其中，node_id₀是起始节点编号，node_id_v是终止节点编号；(5)、用户用户安全需求处理(5.1)、开启安全需求监听线程，监听T中是否有未处理的用户安全需求t，如果有，则取出未处理的t，进入步骤(5.2)，否则，跳转至步骤(6)；(5.2)、设置用户安全需求t对应的用户安全解决方案s，并初始化s中bw_sum值为bw值；通过bw_sum查找到对应类型安全服务功能获取相应的CPU‑BW映射表，再通过bw_sum查找到对应类型安全服务功能所需的CPU数量，并赋值给R中r；初始化SFC为空集；(5.3)、根据t的起始节点编号和终止节点编号，从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径；(5.4)、从K最短路径中，筛选出路径剩余带宽最小值大于bw，且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量，且路径长度最短的一条路径，记为sp；(5.5)、在sp中剩余CPU数量充足的节点上分别依次部署多个类型sfi，再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点，作为该节点剩余CPU数量；(5.6)、遍历sp中各个链路edge，将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge，作为该链路的剩余带宽；(5.7)、将sfc加入到SFC中，并将s加入S中，然后返回至步骤(5.1)；(6)、业务带宽处理(6.1)、设置遍历因子i，初始化i的值为1；(6.2)、若i小于等于S集合的大小，则执行步骤(6.3)，否则，跳转至步骤(6.4)；(6.3)、取S中第i个解决方案s，并对s进行弹性管理；(6.3.1)、设置多余带宽bw_rest，并初始化bw_rest等于bw_sum减去s对应用户业务数据的当前带宽；(6.3.2)、将bw_sum赋值为s对应用户业务数据的当前带宽；(6.3.3)、设置遍历因子j，初始化j的值为SFC的集合大小；(6.3.4)、比较遍历因子j的大小，若j大于0，则取SFC中第j个sfc，并对第j个sfc执行以下子步骤；否则，跳转至步骤(6.3.5)；(6.3.4.1)、设置待释放带宽bw_release，若bw_rest小于bw，则初始化bw_release值为bw_rest；否则，初始化bw_release值为bw；(6.3.4.2)、将bw去bw_release的差值重新赋值给bw，如果赋值后的bw为0，则将sfc从SFC中移除；同时，根据对应sfi的安全服务功能类型获取对应的CPU‑BW映射表，再通过带宽大小bw_release查找安全服务功能所需减少的CPU数量，将各sfi对应的CPU数量值r进行自减；(6.3.4.3)、将bw_rest减去bw_release的差值重新赋值给bw_rest，如果赋值后的bw_rest为0，则跳转至步骤(6.4)；(6.3.4.4)、将j自减1，并跳转至步骤(6.3.4)；(6.3.5)、将i自增1，并跳转至步骤(6.2)；(6.4)、重新初始化i的值为1；(6.5)、若i小于等于当前sfi的数量，则取出第i个sfi，并执行以下子步骤，否则，跳转至步骤(7)；(6.5.1)、设置当前sfi的弹性优化范围为sfi关联的所有sfc的链路交集；(6.5.2)、在弹性优化范围内，寻找相同类型的sfi，计算每个可合并sfi的合并收益，作为备选方案；(6.5.3)、判断当前是否存在备选方案，如果有备选方案，则在弹性优化范围内选择备选方案对多个sfi进行合并，然后将i赋值为1，进入步骤(7)；否则，i自增1，返回步骤(6.5)；(7)、资源弹性管理(7.1)、依次检查所有用户业务数据的带宽大小，找到第一个用户业务数据的带宽超过该用户对应的安全解决方案s所能处理的总带宽bw_sum的用户，然后进入步骤(7.2)；若所有用户中均未找到，则跳转至步骤(8)；(7.2)、设置安全服务需要增加的带宽容量bw_add，并初始化bw_add值为找到的用户的业务数据带宽减去该用户对应的安全解决方案s所能处理的总带宽bw_sum的差值；(7.3)、修改该用户安全解决方案s，将bw_sum与bw_add的和重新赋值给bw_sum；然后，根据对应类型安全服务功能获取相应的CPU‑BW映射表，再通过bw_sum查找到对应类型安全服务功能所需的CPU数量，并赋值给R中的r；(7.4)、根据t的起始节点编号和终止节点编号，从ksp_dict中查找出对应起始节点与终止节点之间的K最短路径；(7.5)、从K最短路径中，筛选出路径剩余带宽最小值大于bw_add，且路径中所有节点剩余CPU数量大于部署安全服务功能所需的CPU数量，且路径长度最短的一条路径，记为sp^*；(7.6)、在sp^*中剩余CPU数量充足的节点上分别依次部署多个类型sfi，再将对应节点剩余CPU数量减去新建sfi消耗的CPU数量的差值赋值给对应节点，作为该节点剩余CPU数量；(7.7)、遍历sp^*中各个链路edge，将每个链路edge的剩余带宽减去bw_sum的差值赋值给对应链路edge，作为该链路的剩余带宽；(7.8)、将sfc加入到SFC中，然后重复步骤(7.1)；(8)、弹性用户云计算资源的安全服务结束。