基于隔離等級的網絡切片部署方法

潘啟潤，黃開枝，游偉

基于隔離等級的網絡切片部署方法

潘啟潤，黃開枝，游偉

（戰略支援部隊信息工程大學，河南 鄭州 450001）

為了兼顧網絡切片的性能隔離需求和安全隔離需求，提出了一種基于隔離等級的網絡切片部署方法。該方法首先從性能隔離和安全隔離兩方面確定了網絡切片實例的隔離等級，在選擇合適的位置部署虛擬節點時，不但保證所有網絡切片實例均能達到各自的性能水平和安全水平，而且從隔離等級差值入手對虛擬節點共存的條件進行限制；然后利用整數線性規劃方法對該問題進行建模，把部署成本最小化作為目標函數；最后使用基于遺傳算法改進的粒子群算法求出最終的部署結果。仿真結果表明，該方法具有較低的部署成本和較高的收益開銷比，并且能夠同時保證性能和安全兩方面的需求。

網絡切片；隔離；性能下降；側信道攻擊

1 引言

5G作為新一代移動通信技術的發展方向，不但要滿足海量物聯網的需求，而且要能夠深度融合工業、醫療、交通等行業，實現真正的“萬物互聯”。5G有三大應用場景——增強型移動帶寬（eMBB）、海量機器類通信（mMTC）、超可靠低時延通信（uRLLC）。傳統網絡無法滿足不同應用場景的多樣化服務需求，故提出了網絡切片（NS，network slicing）的概念。網絡切片本質上是一個虛擬網絡，多個虛擬網絡部署在相同的物理基礎設施上，每個虛擬網絡為不同的用戶提供端到端的定制化服務[1]，這個定制化的虛擬網絡稱之為網絡切片實例（NSI，network slice instance）。每個網絡切片實例是一個相對獨立的網絡域，具備各自的網絡資源和業務信息。但是，不同的虛擬網絡共享底層物理資源，使不同切片間可能存在無意或惡意的干擾行為，造成性能下降或信息泄露。

一方面，多個網絡切片過度競爭底層硬件資源，造成虛擬節點（VM）的性能下降。為了應對該問題，文獻[2]提出了一種基于層次聚類和優化搜索的功耗感知算法，從資源利用率的角度量化了VM間的資源使用情況。文獻[3]基于Xen IO機制和VCPU調度機制設計了一個性能評估模型，根據該模型估計VM遷移前以及遷移后的性能下降程度，并提出了一種輕量級的干擾感知的VM在線遷移方法。文獻[4]設計了一種VM整合方法，該方法不但可以保證VM的性能在可接受的范圍內下降，而且最大限度減少耗費的資源。文獻[5]對VM部署問題進行了研究，當使用提出的方法把多個VM放置到一個服務器上時，能夠降低VM的性能下降程度。另一方面，惡意用戶基于共享的物理資源可以發動側信道攻擊[6]，竊取用戶隱私數據。為了防御側信道攻擊，文獻[7]分析對比了3種在防御側信道攻擊時使用的VM分配策略，并提出了一種優先選擇服務器的VM分配方法，即優先將同一用戶的VM部署到相同服務器上。文獻[8]基于博弈論研究了VM“何時遷”的問題，不但給出了防御側信道攻擊的策略，還降低了遷移成本。文獻[9]將中國墻的思想引入VM的部署和遷移中，將用戶之間的關系分為聯盟關系和沖突關系，根據這兩種關系進行VM的部署和遷移。文獻[10]對所有物理服務器進行了分組，在部署VM時依次進行組選擇和組內服務器選擇，并分別進行安全優化和資源優化，該方法認為部署在同組服務器上的所有VM之間發生側信道攻擊的可能性很小。

但是，網絡切片的部署本身就是一個很復雜的問題，在實際中往往會同時考慮多方面的因素。但現在的部署方法未能聯合考慮虛擬節點上存在的性能下降和側信道攻擊，為解決該問題，本文提出了一種基于隔離等級的網絡切片部署方法。該方法從資源供需比的角度評估NSI虛擬節點的性能隔離水平，計算與NSI共享資源的其他NSI的數量，用來評估安全隔離水平，并基于二者求出對應的隔離等級；在部署時，不但要保證所有的NSI均能滿足隔離需求，而且僅允許固定隔離等級的NSI共享資源，并將NSI部署在成本開銷最小的位置上；利用整數線性規劃方法對該問題進行建模，而且使用基于遺傳?離散粒子群算法求出最終的部署結果。仿真結果表明，該方法具有較低的部署成本和較高的收益開銷比，并且能夠同時保證性能隔離和安全隔離。

2 網絡模型及問題描述

2.1 網絡模型

網絡切片利用軟件定義網絡（SDN，software defined network）和網絡功能虛擬化（NFV，network function vituralization）技術實現按需組網，利用SDN技術將網元功能解耦成控制面功能和用戶面功能[11]，并在它們之間定義可編程接口；利用NFV技術將物理網絡根據場景需求虛擬化成多個相互獨立的虛擬網絡，按照不同的業務場景和話務模型定制裁剪網絡功能，管理編排相應的網絡資源，為不同的用戶提供端到端的定制化服務。

當用戶發起服務請求時，虛擬網絡提供商首先根據用戶的服務需求選擇或設計虛擬網絡功能，按照一定順序將這些網絡功能連接起來，形成提供專用服務的虛擬網絡，如圖1所示；然后將物理網絡的資源分配給NSI，激活所提供的服務；當用戶設備與切片實例的服務關聯成功后，網絡流量開始流過切片；系統會持續監控網絡切片的相關指標（如資源利用率、端到端延遲和數據吞吐量等），按需重新配置網絡切片[12]。

圖1 網絡切片實例

Figure 1 Network slicing instance

圖2 網絡切片實例部署細節

Figure 2 Network slicing instance deployment

2.2 隔離問題描述

不同的切片類型、不同租戶的網絡切片之間需要實施隔離，本文主要研究同一服務器上多個VM之間的隔離，當多個NSI部署到同一物理網絡上時，必然存在多個VM部署到同一物理服務器上的情況。如圖3所示，服務器上承載著3種類型的NSI，分別是普通NSI、目標NSI和惡意NSI。不同的NSI間存在兩種類型的隔離問題。①性能隔離，在共享物理資源的NSI間，可能由于誤操作或過載而占用大量物理資源，造成性能嚴重下降，影響用戶體驗[13]。在服務器D上部署了較多VM，故VM間過度競爭底層硬件資源的可能性很大，由此帶來VM的性能下降。 ②安全隔離，惡意NSI為竊取目標NSI的隱私信息，首先針對目標NSI所屬區域和類型，啟動大量相同區域和相同類型的VM實例；然后進行VM同駐檢測，查看是否和目標VM同駐成功；最后在同駐成功的服務器上實施側信道攻擊。在服務器C上，VM會故意向VM發送特定服務請求，VM在處理該請求時，會對底層物理資源產生一定影響，之后虛擬機監視器（Hypervisor）切換到VM運行，因Hypervisor并不會立即清空物理資源中的數據，VM經過評估和測量，可以推斷出VM的隱私信息，“側信道”便建立起來[14]。

圖3 底層物理網絡的部署

Figure 3 VM deployment on physical network

3 部署方法描述

3.1 隔離等級的確定

表1 隔離等級

3.2 部署位置的選擇

4 部署模型建立

4.1 變量設定

4.2 目標函數

4.3 約束條件

式(4)表示一個虛擬節點只能映射到一個服務器上，不能對其進行分割；式(5)表示請求部署的NSI的所有虛擬節點全都部署到物理網絡上，式(4)和式(5)即唯一性約束。

5 算法描述

網絡切片的映射問題是一個NP難問題，在多項式時間內無法利用傳統方法進行求解，為解決該問題，采用基于遺傳算法（GA，genetic algorithm）優化的離散粒子群（DPSO，discrete particle swarm optimization）算法[15]進行求解。在粒子群算法的每個種群更新速度和位置后，進行交叉和變異操作，改進后的算法有效克服了粒子群算法在求極值時存在的早熟問題，增強了算法全局尋優的能力，提高了求解的精度。

圖4 GA-PSO算法流程

Figure 4 GA-PSO algorithm flow

1) 設置種群規模、最大迭代次數MAX及1和2；

3) 用算法2求初始種群所有粒子適應度值，并求出個體最優和全局最優值；

9) 使用算法2計算適應度值，更新個體最優值、全局最優值；

10) end for

11) end for

10) else=+1，go to (7)；end if

11) end while

14) end if

15) end for

6 仿真分析

6.1 實驗環境

表2 網絡參數

表3 仿真參數

6.2 結果分析

將本文提出的方法（方法1）與文獻[16]（方法2）及最小化共存度的方法（方法3）進行比較。方法2是為了應對側信道攻擊提出的，該方法將VM分成高中低3個安全等級，在映射時僅允許同安全等級的虛擬節點共享資源。方法3是為了應對性能下降提出的，該方法把最小化與其他網絡切片實例共存的數量作為目標函數。從部署成本、請求接受率、收益開銷比、性能等級未達標NSI數量的占比、安全等級未達標NSI數量的占比和隔離等級未達標NSI數量的占比這幾方面對比這3種方法。

圖5顯示了不同方法的部署成本總和的變化情況。可以看出，隨著NSI請求數量增多，這3種方法的部署成本總和均呈現增長的趨勢，但本文方法的部署成本總和增長速率低于方法2和方法3，方法3部署成本增長速率最高。圖6反映了不同方法的收益開銷比的變化情況。隨著NSI請求數量增多，這3種方法的收益開銷比最終穩定在不同的區間上，本文方法收益開銷比高于其他兩種方法，方法3收益開銷比最低。相較于對比的其他方法，本文方法在部署成本和收益開銷比兩方面，均表現出了較好的效果，這是因為本文方法在部署時不但保證服務器上虛擬節點的共存數量與虛擬資源和物理資源的供需比都滿足節點部署要求，而且保證“新”“老”虛擬節點的部署需求，使底層物理網絡的碎片資源數量相對較少，降低了部署成本且提高了收益開銷比。

圖5 部署成本

Figure 5 Deployment cost

圖6 收益開銷比

Figure 6 Revenue-to-cost ratio

圖7顯示了不同方法的請求接受率的變化情況。隨著NSI請求數量增多，這3種方法的請求接受率都存在不同程度的下降，而且隨著NSI請求數量的增多都趨于穩定。在剛開始部署時，物理網上承載的NSI數量很少，所以3種方法在開始時請求接受率都比較高，隨著物理網絡資源被占用增多，請求接受率產生較為明顯的下降。但本文方法請求接受率最低，主要是因為本文方法在部署時需要兼顧安全和性能兩方面的約束條件，使部署成功的概率變得更小，即用較低的請求接受率換取了較高的隔離水平。

圖7 請求接受率

Figure 7 Request acceptance rate

圖8 性能等級未達標NSI所占比例

Figure 8 Proportion of NSI whose performance level is not up to standard

圖9 安全等級未達標NSI所占比例

Figure 9 Proportion of NSI whose security level is not up to standard

圖10 隔離等級未達標NSI所占比例

Figure 10 Proportion of NSI whose isolation level is not up to standard

7 結束語

網絡切片是基于虛擬化技術實現的，虛擬化技術的引入使多個NSI可以部署到同一物理基礎設施上，雖然提高了系統的靈活性和效率并降低了成本，但其共享底層資源的特點也帶來了性能下降和側信道攻擊的問題，故本文提出了一種基于隔離等級的網絡切片部署方法。在部署時，將部署成本最小作為目標函數，最終的部署位置一方面保證“新”“老”NSI均能達到各自的隔離要求，另一方面按需求將處于不同隔離等級的NSI劃分到不同分組，避免了隔離等級差距很大的NSI共存。采用改進型的離散粒子群算法進行迭代尋優，求出最終的部署結果。最終仿真結果證明本文方法可以同時保證用戶在安全和性能兩方面的隔離需求，但網絡請求接受率降低，在未來的研究中將對該方法做進一步的改進。

[1] FOUKAS X, PATOUNA S G, ELMOKASHFIA, et al. Network slicing in 5G: survey and challenges[J]. IEEE Communications Magazine, 2017, 55(5): 94-100.

[2] ZHU Q, ZHU J D, AGRAWALG. Power-aware consolidation of scientific workflows in virtualized environments[C]//High Performance Computing, Networking, Storage & Analysis. 2010: 1-12.

[3] XU F, LIU F M, LIU L H, et al. iAware: making live migration of virtual machines interference-aware in the cloud[J]. IEEE Transactions on Computers, 2014, 63(12): 3012-3025.

[4] ALANR, AMANK, SRIRAMG, et al. PACMan: performance aware virtual machine consolidation[C]//The 10th International Conference on Autonomic Computing. 2013: 83-94.

[5] ROOZBEHM, ALBERTY Z. Managing performance degradation of collocated virtual machines in private cloud[C]//The 18th International Conference on High Performance Computing and Communications. 2016: 128-135.

[6] GULMEZOGLUB, MEHMETS ?, IRAZOQUIG, et al. Cross-VM cache attacks on AES[J]. IEEE Transactions on Multi-Scale Computing Systems, 2017, 2(3): 211-222.

[7] HAN Y, CHAN J, ALPCAN T, et al. Using virtual machine allocation policies to defend against co-resident attacks in cloud computing[J]. IEEE Transactions on Dependable and Secure Computing, 2017, 14(1): 95-108.

[8] AHMED H A, GEORGE A, MINA G, et al. It's time to migrate! A game-theoretic framework for protecting a multi-tenant cloud against collocation attacks[C]//IEEE International Conference on Cloud Computing. 2018: 725-731.

[9] YU S, GUI X, LIN J, et al. A security-awareness virtual machine management scheme based on Chinese wall policy in cloud computing[J]. The Scientific World Journal, 2014(5): 805-923.

[10] LIANG X, GUI X L, JIANA N, et al. Mitigating cloud co-resident attacks via grouping-based virtual machine placement strategy[C]//IEEE International Performance Computing and Communications Conference. 2017: 1-8.

[11] SAMAM R, AN X L, WEI Q, et al. Reshaping the mobile core network via function decomposition and network slicing for the 5G era[C]//IEEE Wireless Communications and Networking Conference Workshops. 2016: 90-96.

[12] SAMEERKUMARS, RAYMONDM, ANDREAF. A cloud-native approach to 5G network slicing[J]. IEEE Journals & Magazines. 2017, 55(8): 120-127.

[13] TOMASL, LAKEWE B, ELMROTHE. Service level and performance aware dynamic resource allocation in overbooked data centers[C]//IEEE/ACM International Symposium on Cluster. 2016.

[14] 梁鑫, 桂小林, 戴慧珺, 等. 云環境中跨虛擬機的Cache側信道攻擊技術研究[J]. 計算機學報, 2017, 40(2): 317-336.

LIANG X, GUI X L, DAI H J, et al. Research on Cache side channel attack technology of virtual machines in cloud environment [J]. Chinese Journal of Computers, 2017, 40(2): 317-336.

[15] 潘勇, 郭曉東. 一種基于遺傳算法改進的粒子群優化算法[J]. 計算機應用與軟件, 2011, 28(9): 222-224.

PAN Y, GUO X D. An improved particle swarm optimization algorithm based on genetic algorithm[J]. Computer Applications and Software, 2011, 28(9): 222-224.

[16] 趙碩, 季新生, 毛宇星,等. 基于安全等級的虛擬機動態遷移方法[J]. 通信學報, 2017, 38(7): 165-174.

ZHAO S, JI X S, MAO Y X, et al. Research on dynamic migration of virtual machine based on security level[J]. Journal on Communications, 2017, 38(7): 165-174.

Network slicing deployment method based on isolation level

PAN Qirun, HUANG Kaizhi, YOU Wei

Strategic Support Force Information Engineering University, Zhengzhou 450001, China

In order to balance the performance isolation requirements and security isolation requirements of network slicing, a network slice deployment method based on isolation level was proposed. The method first determined the isolation level of the network slice instance from the aspects of performance isolation and security isolation. When deploying the virtual nodes in the appropriate location, not only ensured that all network slice instances could reach their respective performance levels and security levels, but also isolated them. The gradation difference started to limit the coexistence condition of the virtual node. Then the integer linear programming method was used to model the problem, and the deployment cost was minimized as the objective function. Finally, the particle swarm optimization algorithm based on genetic algorithm was used to find the final deployment result. The simulation results show that the method has lower deployment cost and higher benefit-to-cost ratio, and can guarantee both performance and security.

network slicing, isolation, performance degradation, side channel attack

The National Key R&D Program Cyberspace Security Project (No.2016YFB0801605), The National Natural Science Foundation Innovation Group Project (No.61521003), The National Natural Science Foundation of China (No.61801515)

TP393

A

10.11959/j.issn.2096?109x.2020003

潘啟潤（1993? ），女，河北石家莊人，戰略支援部隊信息工程大學碩士生，主要研究方向為新一代移動通信技術、網絡切片。

黃開枝（1973?），女，安徽滁州人，戰略支援部隊信息工程大學教授、博士生導師，主要研究方向為移動通信、無線物理層安全。

游偉（1984?），男，江西豐城人，戰略支援部隊信息工程大學講師，主要研究方向為密碼學、5G網絡安全。

2019?04?02；

2019?06?06

潘啟潤，pangqirun03@163.com

國家重點研發計劃網絡空間安全專項基金資助項目（No.2016YFB0801605）；國家自然科學基金創新群體基金資助項目（No.61521003）；國家自然科學基金資助項目（No.61801515）

論文引用格式：潘啟潤, 黃開枝, 游偉. 基于隔離等級的網絡切片部署方法[J]. 網絡與信息安全學報, 2019, 6(2): 96-105.

PAN Q R, HUANG K Z, YOU W. Network slicing deployment method based on isolation level[J]. Chinese Journal of Network and Information Security, 2019, 6(2): 96-105.