端到端網(wǎng)絡(luò)切片安全部署算法研究

張 磊

(保定職業(yè)技術(shù)學(xué)院 計算機信息工程系,河北 保定 071000)

0 引言

5G網(wǎng)絡(luò)由多種核心技術(shù)構(gòu)成,網(wǎng)絡(luò)切片技術(shù)是其中較為重要的一種,屬于新型的網(wǎng)絡(luò)架構(gòu),指的是在一個共享網(wǎng)絡(luò)內(nèi),可同時產(chǎn)生多個邏輯網(wǎng)絡(luò),以此向不同客戶提供通信服務(wù)。該技術(shù)在5G網(wǎng)絡(luò)中具有諸多作用,如資源與安全隔離、確定性時延、靈活制定拓撲連接、自動化管理等。這些作用使得整個5G網(wǎng)絡(luò)能夠快速、穩(wěn)定、安全地運行。隨著現(xiàn)代5G網(wǎng)絡(luò)技術(shù)的快速發(fā)展,越來越多的人員重視網(wǎng)絡(luò)切片技術(shù),并對該技術(shù)展開了大量研究:徐俊梅等[1]提出了一種網(wǎng)絡(luò)切片安全映射算法。張鳳巖等[2]根據(jù)二階粒子群算法(SecPSO)為依托,提出了一種5G網(wǎng)絡(luò)切片安全隔離算法。蔣建峰等[3]利用Bayes可靠性評估的方式,設(shè)計出了一種網(wǎng)絡(luò)切片安全映射算法。徐子鈞等[4]針對5G網(wǎng)絡(luò)常見的安全需求與問題,從網(wǎng)絡(luò)切片認證、切片安全隔離、安全管理及編排等角度著手,以SM2國密算法為依據(jù),設(shè)計出了一種網(wǎng)絡(luò)切片二次認證算法。這些研究成果為現(xiàn)代5G網(wǎng)絡(luò)的構(gòu)建提供了理論支持。但需要注意的是,現(xiàn)有研究中依然存在一些缺陷,如大部分內(nèi)容類似,從而對這些研究成果的應(yīng)用價值帶來一定影響。針對這一情況,本文以“端到端網(wǎng)絡(luò)切片安全部署算法”為課題展開了研究,設(shè)計出一種更加完善的網(wǎng)絡(luò)切片安全部署方法,為更好地建設(shè)現(xiàn)代5G網(wǎng)絡(luò)提供有力的支持。

1 數(shù)學(xué)模型

1.1 問題描述

5G網(wǎng)絡(luò)運行時,由于不同環(huán)境所處理的業(yè)務(wù)存在差異,導(dǎo)致對應(yīng)切片對物理網(wǎng)絡(luò)資源的需求略有不同,需要部署不同網(wǎng)絡(luò)切片。具體部署時,網(wǎng)絡(luò)切片直接與各層網(wǎng)絡(luò)連接到一起,且在各切片間相互連接,共同完成資源配置工作。在5G網(wǎng)絡(luò)中,采用安全信任值的方式體現(xiàn)網(wǎng)絡(luò)資源的安全性,該數(shù)值在[0,1]范圍內(nèi),其數(shù)值越高,網(wǎng)絡(luò)安全性越強。根據(jù)節(jié)點安全部署的原理,可得到如圖2所示結(jié)構(gòu),在節(jié)點安全部署結(jié)構(gòu)當(dāng)中,可劃分成左右兩部分:一部分為VNF部署請求,另一部分為網(wǎng)絡(luò)資源拓撲結(jié)構(gòu)。VNF部署結(jié)構(gòu)由3個模塊構(gòu)成:VNF1表示CPF資源值、VNF2表示安全信任需求值、VNF3表示自身的安全信任值。右側(cè)結(jié)構(gòu)包含與左側(cè)相對應(yīng)的模塊。在切片部署時,工作人員需要在VNF部署請求上設(shè)置合理的參數(shù),確保所有參數(shù)值均超過網(wǎng)絡(luò)資源對應(yīng)的參數(shù),以使各節(jié)點在獲取較多資源的基礎(chǔ)上,提升整個網(wǎng)絡(luò)的安全性[5]。

圖1 節(jié)點安全部署結(jié)構(gòu)

1.2 模型分析

1.2.1 跨域基礎(chǔ)設(shè)施網(wǎng)絡(luò)模型

1.2.2 端到切片請求模型

2 端到端網(wǎng)絡(luò)切片安全部署算法

2.1 節(jié)點安全等級指標(biāo)

2.1.1 節(jié)點容量

在切片部署時,節(jié)點容量是核心指標(biāo)之一,其數(shù)值越大,表明VNF的安全信任越強,同時,共享其他資源時,所受到的VNF攻擊的等級并不是很高。

2.1.2 鏈路通信量

對于一個節(jié)點來說,在某一時間點上,所有流入信息與導(dǎo)出信息的總和,表達公式為:

(1)

式中,Li為通信量的總和,t為單位時間。對于不同網(wǎng)絡(luò)來說,由于切片業(yè)務(wù)存在一定差異,因而需要不同的通信量,這種情況使得切片間信息在不斷傳輸?shù)倪^程中,會出現(xiàn)一定的攻擊問題。

2.1.3 節(jié)點資源需求

對于這一指標(biāo)來說,表達公式為:

(2)

式中,α與β表示調(diào)節(jié)系數(shù),用于調(diào)節(jié)由于量綱存在差異而導(dǎo)致的差異。該指標(biāo)表示節(jié)點存在的能力,若其需求的資源量較多,應(yīng)采用較高的安全等級,以提升該節(jié)點處的安全性[7]。

2.1.4 節(jié)點重要性

該指標(biāo)用于反映節(jié)點信息傳輸時可對信息流的承載性能,其由兩部分構(gòu)成,一個是節(jié)點度,即與其相連邊的個數(shù),以反映其對網(wǎng)絡(luò)的影響,具體為:

(3)

若i與j相連,δij=1,反之,則δij=0。若網(wǎng)絡(luò)中共由N個節(jié)點,則di≤N-1,對其進行歸一化處理后可得:

(4)

另一個是節(jié)點介數(shù)中心性,用于反映其對網(wǎng)絡(luò)信息傳播的控制能力,表達公式是:

(5)

式中,σmn為兩節(jié)點間所有最短路徑的個數(shù),σmn(i)為節(jié)點m經(jīng)過節(jié)點i到節(jié)點n的最短路徑數(shù)量。若網(wǎng)絡(luò)中共包含N個節(jié)點,則有bi≤(N-1)(N-2)/2,對其歸一化處理后可得:

(6)

將上述兩個因子整合到一起后,即可得到節(jié)點重要性指標(biāo),具體為:

(7)

在整個網(wǎng)絡(luò)運行時,若重要性較高的節(jié)點被惡意攻擊,對網(wǎng)絡(luò)運行的干擾越嚴(yán)重,因而在網(wǎng)絡(luò)切片部署時,節(jié)點的重要性越高,所設(shè)置的安全等級越高。

2.2 VNF部署與鏈路部署

(8)

在此基礎(chǔ)上,選擇廣度優(yōu)先搜索算法的方式,按照由大到小的順序,對節(jié)點排列,之后,通過映射的方式,再次對配列后的節(jié)點予以處理,以得到節(jié)點映射集合。

在確保鏈路帶寬符合標(biāo)準(zhǔn)的基礎(chǔ)上,通過K最小路徑算法的方式,對路徑映射處理,以確定映射處理后各節(jié)點間的最短鏈路,使得切片部署時,防止出現(xiàn)由鏈路過長而帶來較強的安全風(fēng)險,提升網(wǎng)絡(luò)的安全性。

2.3 面向業(yè)務(wù)的端到端網(wǎng)絡(luò)切片部署

2.3.1 網(wǎng)絡(luò)切片安全部署的數(shù)學(xué)模型

在數(shù)學(xué)模型構(gòu)建的過程中,應(yīng)考慮兩個方面的問題,一個是部署成本,具體解釋為:

(9)

另一個是安全部署收益,具體解釋為:

(10)

2.3.2 優(yōu)化目標(biāo)

為了保證整個5G網(wǎng)絡(luò)安全、穩(wěn)定地運行,應(yīng)確保網(wǎng)絡(luò)切片部署滿足部署成本最低的目標(biāo),具體為:

(11)

2.3.3 約束條件

(12)

(13)

(14)

在上述3個公式當(dāng)中,所有虛擬AN、TN與CN只可以映射到對應(yīng)的物理AN、TN與CN上,同時,對于每個物理AN、TN與CN來說,只可以承載1個虛擬AN、TN與CN。

針對這一情況,可確定出具體的部署條件,即:

(15)

(16)

(17)

(18)

其中,在節(jié)點安全部署時,約束條件為公式(18)所示;對鏈路安全部署時,約束條件為公式(19)所示。通過公式(17)的計算,工作人員可以推導(dǎo)出物理層各節(jié)點參數(shù)值,其應(yīng)處于物理網(wǎng)絡(luò)所能夠提供的資源范圍區(qū)間當(dāng)中。通過公式(18)計算,工作人員能夠推導(dǎo)出物理網(wǎng)絡(luò)所有鏈路的帶寬值,其應(yīng)處于物理網(wǎng)絡(luò)所能提供的帶寬范圍內(nèi)。

2.3.4 網(wǎng)絡(luò)切片的跨域安全部署

在不同環(huán)境當(dāng)中,網(wǎng)絡(luò)切片對網(wǎng)絡(luò)需求存在一定差異,因而在具體部署時,應(yīng)針對實際需求情況,設(shè)置出最佳的安全部署方案。

增強移動帶寬eMBB。在該環(huán)境下,相對于傳統(tǒng)4 G網(wǎng)絡(luò)來說,不論是在峰值速率方面,還是在用戶操作速率方面,均提高了10余倍,也就是說,這一場景常見于高流量用戶的連接。若用戶較為密集,且移動性較低,將產(chǎn)生更高的網(wǎng)絡(luò)需求;若僅選擇傳統(tǒng)的網(wǎng)絡(luò)安全方案,則很難起到應(yīng)用的防護作用,為網(wǎng)絡(luò)的運行帶來安全隱患。在這類網(wǎng)絡(luò)切片當(dāng)中,無需低實驗與高速率,因而在部署時,可采用的方案為,錄入:eMBB類型切片Re,網(wǎng)絡(luò)資源GP;輸出:部署結(jié)果。(1)對節(jié)點進行排列,獲得序列S(NR);(2)對虛擬節(jié)點ANs與CNs映射處理;(3)對虛擬鏈路映射處理;(4)根據(jù)鏈路的映射結(jié)果,對節(jié)點TNs映射處理(5)跳轉(zhuǎn)到部署結(jié)果。在確保切片安全部署的基礎(chǔ)上,降低網(wǎng)絡(luò)資源占用量,并提升網(wǎng)絡(luò)的吞吐率。

海量機器類通信mMTC。在該類型環(huán)境下,在同一個5G網(wǎng)絡(luò)當(dāng)中,用戶連接密度出現(xiàn)了較大變化,由以往的1×105臺/km2,提高到了1×106臺/km2,設(shè)備數(shù)量明顯增加,受到這一情況的影響,導(dǎo)致MMTC部署時,不僅需要更高的數(shù)據(jù)運算與處理能力,而且還因為短時間內(nèi)傳入非常龐大的數(shù)據(jù)量,對網(wǎng)絡(luò)的運行造成了較強的安全風(fēng)險,在一定條件下,網(wǎng)絡(luò)在非常短的時間內(nèi)增加到峰值,從而出現(xiàn)信令風(fēng)暴。對該場景下的切片部署時,具體方案為,錄入:mMTC類型切片Rm,網(wǎng)絡(luò)資源GP;輸出:部署結(jié)果。(1)對節(jié)點進行排列,獲得序列S(NR);(2)對虛擬節(jié)點CNs映射處理;(3)從中提取出符合要求的ANs節(jié)點,以此當(dāng)做候選節(jié)點;(4)在CNs節(jié)點與候選ANs節(jié)點間,采集所有鏈路集合,并針對采集結(jié)果,進行鏈路的映射;(5)針對鏈路的映射情況,對TNs節(jié)點映射處理;(6)跳轉(zhuǎn)到部署結(jié)果。降低物理鏈路的帶寬,防止出現(xiàn)數(shù)據(jù)擁堵的問題。

高可靠低時延通信uRLLC。在該環(huán)境下,切片通信過程中,信息傳輸時延迅速下降,由傳統(tǒng)的10 ms,減少到1 ms,常見于對時延要求較低的工況當(dāng)中,如自動駕駛等。由此可以發(fā)現(xiàn),在切片部署時,安全性要求遠高于上述兩種環(huán)境,且被攻擊的概率更高。針對這一情況,部署方案為,錄入:uRLLC類型切片Ru,網(wǎng)絡(luò)資源GP;輸出:部署結(jié)果。(1)對節(jié)點進行排列,獲得序列S(NR);(2)從中提取出符合要求的ANs節(jié)點,以此當(dāng)做CNs的候選節(jié)點;(3)在CNs節(jié)點與候選ANs節(jié)點間,采集所有鏈路集合,并針對采集結(jié)果,進行鏈路的映射;(4)針對鏈路的映射情況,對TNs節(jié)點映射處理;(5)分別對ANs與CNs節(jié)點映射處理;(6)跳轉(zhuǎn)到部署結(jié)果。控制數(shù)據(jù)傳輸?shù)臅r延。

3 仿真驗證

4 結(jié)語

本文針對端到端網(wǎng)絡(luò)切片部署的要求,分別針對不同的網(wǎng)絡(luò)環(huán)境,提出了不同的安全部署算法,通過這一部署算法的應(yīng)用,不僅降低了切片的部署成本,而且還提升了部署的安全收益,對整個5G網(wǎng)絡(luò)安全、穩(wěn)定地運行具有重要意義。需要注意的是,本研究也存在一些缺陷,如果只是通過仿真分析的方式對該算法的應(yīng)用效果進行了驗證,而未通過實際案例進行風(fēng)險評估,那么可能對本文應(yīng)用效果帶來一定干擾。在未來生活與工作中,筆者還應(yīng)進一步對該課題展開研究,不斷完善研究內(nèi)容,使其在現(xiàn)代5G網(wǎng)絡(luò)建設(shè)時發(fā)揮出更大的作用。