关键词:
软件定义网络
网络功能虚拟化
安全服务链
映射
匹配博弈
强化学习
摘要:
随着多样化网络业务的迅猛发展,传统网络安全服务模式在动态性、灵活性、可扩展性等方面的弊端愈发突显,革新网络安全服务模式势在必行。软件定义网络(software-defined networking,SDN)的发展和网络功能虚拟化(network function virtualization,NFV)技术的兴起为探寻新型网络安全服务模式提供了支撑。SDN通过逻辑平面和物理平面的分离,将控制功能从传统的分布式网络设备迁移到集中化的控制平台,进而实现网络的集中管控和开放可编程。NFV将以专有硬件形式部署的网络功能转变为在通用服务器上运行的虚拟网络功能(virtual network function,VNF),将传统网络设备的软件功能和硬件载体解耦,减少了在网络特定位置部署专用中间盒子的开销,增加了网络设备部署的灵活性。由此,借助SDN/NFV的安全服务链(security service chain,SSC)技术应运而生。SSC在利用NFV技术将传统安全服务功能虚拟化并部署在服务节点的基础上,借助SDN的流量集中管控功能,根据用户/业务的安全服务请求(security service request,SSR)引导流量按序经过服务节点上的虚拟安全功能(virtual security function,VSF)实例,从而为用户/业务提供可定制的安全服务。作为实现SSC的重要环节,SSC映射问题亟待解决。因此,本文重点针对不同映射范围及可靠性要求下的SSC映射问题进行了深入研究,主要工作如下:1、提出了基于成本优化的单域安全服务链映射机制。针对现有单域映射机制存在难以兼顾映射效率与安全服务供应商成本收益的问题,提出了一种SSC映射成本模型SCMC,将SSC映射问题建模为离散解空间下的组合优化问题;提出了基于马尔科夫近似过程的SCMC-MA算法,采用动态规划思想将一条SSC的映射问题解耦为多个VSF的部署问题,在降低映射请求处理时间的同时提升了安全服务供应商的成本收益;提出了基于多对一匹配博弈理论的SCMC-MG算法解决SCMC-MA算法在大规模网络中状态空间爆炸的问题,通过二者间的博弈选择快速搜索到解空间中的稳定匹配,增强了算法对大规模物理网络的适应性。2、提出了基于强化学习的跨域安全服务链映射机制。针对现有单域映射机制难以解决跨域多个Open Flow自治域的SSC映射问题,提出了一种区域集中管理、全局协作调度的跨域SSC映射框架,包含跨域资源管控架构和跨域SSC映射处理流程2部分,在实现跨域资源有效管控的同时避免了跨域映射请求处理出现冲突和全局服务代理发生过载;将跨域SSC映射问题建模为以最小化映射开销为目标的整数线性规划(integer linear programming,ILP)问题,设计了基于Q-learning机制的跨域SSC构建请求分割算法进行优化求解,实现了跨域SSC在各个Open Flow自治域内的有效映射。3、提出了基于资源预留的安全服务链故障恢复机制。针对现有生存性映射机制存在难以兼顾故障恢复效率与保证新进SSR不受资源制约的问题,提出了一种基于比例资源预留的备份恢复方法,预先在物理网络中按比例划分主备用资源并构造节点/链路候选集合;当发生节点故障时,从候选集合中选取重映射目标并为其分配预留的备用资源,利用改进的离散粒子群算法解决了节点故障重映射问题,在降低资源占用的同时提高了故障修复率;当发生链路故障时,通过动态改变底层物理路径流量分割比例,将受影响流量迁移到候选集合的可用链路中,设计了动态路径分割算法解决链路故障重定向问题,实现了底层物理网络资源剩余价值的最大化。通过仿真实验验证了上述机制的可行性与有效性,可为实现SDN/NFV环境下的新型网络安全服务模式提供有力的支撑。
