基于软件定义的安全功能服务链部署方法

为减少传统安全设备实现安全功能灵活性差、部署成本高等弊端,深入研究软件定义网络(SDN)、网络功能虚拟化(N F V)和基于软件定义的安全服务部署技术,建立安全服务链部署模型,提出一种启发式算法.从节点的安全功能需求、物理资源需求,以及节点之间的网络资源需求和传输时延等方面综合评估部署安全功能服务链的资源需求,优先部署资源需求较大的安全功能服务链,避免资源能力成为瓶颈.实验结果表明,该算法可有效提升部署成功率.     

可信服务链安全架构研究

针对网络功能虚拟化中服务链的安全性问题,提出一种基于可信计算的安全服务链架构。首先,基于可信计算为网络功能虚拟化架构设置可信管理中心模块,为虚拟网络功能实例的生成、服务链的生成和调整提供可信认证;然后,针对服务链的生成和调整设计了相关安全协议;最后,将HOTP协议引入模型之中,实现了服务链各实例之间的安全认证与安全传输,并支持服务链节点的动态扩充和调整。经过架构仿真分析表明,本安全架构在保证服务链动态性的同时提高了安全性。     

网络功能虚拟化与软硬件融合的系统设计与实现

随着信息技术的飞速发展,网络通信系统正经历着前所未有的变革。网络功能虚拟化和软硬件融合作为这一变革的重要组成部分,成为现代网络系统设计与实现的关键技术。网络功能虚拟化通过将传统的硬件网络设备功能抽象为软件模块,实现网络服务的灵活部署和管理。而软硬件融合则通过充分发挥软件和硬件的优势,优化系统性能和资源利用率。这两者相互结合,推动网络系统向更高效、灵活、可扩展的方向发展。文章深入研究网络功能虚拟化与软硬件融合的系统设计与实现,通过探讨和总结研究成果,为网络系统设计与实现提供有益指导。     

一种基于干扰估计的虚拟功能服务链创建及部署方法

针对网络功能虚拟化中服务链性能受到负载干扰的问题,提出一种考虑虚拟功能间干扰的虚拟功能服务链部署方法。首先,基于CPU利用率和I/O带宽对虚拟功能干扰度进行估计;然后,构建虚拟功能部署和链路创建模型,从链路速率、节点数量、延迟等角度提出了服务链部署优化目标;最后,以干扰度估计结果为依据,根据模拟退火思想提出一种服务链功能组合和选择方法,并利用部署模型将链路实例化。实验结果表明,和现有方法相比,本文方法能够有效提高服务链的执行性能并满足部署优化目标。     

安全服务链中虚拟网络功能分配与调度算法研究

安全服务链中的虚拟网络功能（virtual network function,VNF）将传统网络安全功能与硬件设备解耦,使得服务功能的部署更具动态性和可扩展性。然而,VNF向节点的合理分配以及节点上VNF的高效调度问题仍亟待解决。为此,基于软件定义网络（software defined network,SDN）和网络功能虚拟化（network function virtualization,NFV）环境,提出基于优化算法的解决方案。首先,对资源分配与调度问题进行举例并形式化定义问题的优化目标;其次,提出基于贪心算法的资源分配方案和基于混合蜂群算法的资源调度方案,统一协调解决VNF的资源分配与调度问题。最后,设计仿真实验,验证所提算法的时间复杂性和在总资源成本和总服务收益方面的提升;同时,对比混合蜂群算法和传统蜂群算法,结果显示前者具有更快的收敛速度。     

网络安全检测系统的设计与实现

网络安全问题是当今互联网应用的重要课题之一,强化网络应用安全一方面需要加强网络安全应用意识,另一方面通过技术手段部署网络安全检测系统,实时审计网络应用内容,实现对网络应用环境的监控和保护。本文设计和实现一款网络安全检测系统,该系统能够对用户身份进行管理、通过获取主机信息和硬件信息管理软件和硬件,建立网址黑名单屏蔽危险网站浏览,并对网络传输文件进行审计,确保网络应用安全。     

基于资源拆分的虚拟网络功能服务链映射算法

针对网络虚拟化环境下虚拟网络功能服务链的资源分配以及部署问题,提出了基于资源拆分的虚拟网络功能服务链部署策略。通过对租户的资源需求进行主动拆分,利用更小的资源分配粒度达到提高物理资源利用率的目的。利用最优化理论将虚拟网络功能服务链的资源分配问题建模成具有链式拓扑结构的虚拟网络映射问题,并通过设计高效的启发式算法以有效地解决这一问题。实验结果表明,该算法与其它虚拟网络映射算法相比,能有效提高物理资源的利用率以及租户请求的接收率。     

基于GPU加速的NFV系统的框架设计和性能优化

GPU可以显著提升一些网络功能的性能,但在GPU加速的网络功能虚拟化(Network Function Virtualization,NFV)系统中,由于网络功能需要以虚拟化方式独立开发和部署,其CPU-GPU处理流水线的CPU处理阶段会有较大的额外开销,使得网络功能GPU加速的效果不明显。为解决该问题,提出一个新的支持GPU加速的NFV系统框架。利用服务链中网络功能之间共享数据和流状态的特性,设计了共享式状态管理机制,以减少网络功能中重复性的协议栈处理和流状态管理开销,提升GPU加速的效果。对原型系统进行评估表明,相比于现有的系统框架,该框架能够显著地降低多种GPU加速的网络功能中CPU处理阶段的时间开销,并在常见的网络功能服务链上实现了高达2倍的吞吐量提升。     

基于模式匹配的计算机网络入侵防御系统

现今计算机网络信息入侵已经成为了常见的网络安全问题,面对日益严峻的网络安全威胁,各种网络防御技术成为了网络安全防护的重要手段,因此设计出了模式匹配下的计算机网络入侵防御系统。对系统当中的硬件和软件进行设计,使其能够实现数据包处理、安全响应、入侵事件检测等功能模块,最终利用模式匹配代码实现防御功能。通过仿真对比实验能够得出结论:设计出的防御系统在检测率方面高出传统系统20%,在误报率方面更低更稳定。     

网络功能虚拟化技术综述

无论是企业网还是数据中心,为实现相关应用功能、提升网络性能和加强网络安全等部署了大量的网络功能设备,但这些网络功能设备大多基于硬件,存在功能固化、扩展能力差、统一管理困难等问题。为解决上述问题,学术界和工业界不约而同将目光投向了网络功能虚拟化NFV技术。通过解耦网络功能和物理设备,使网络功能不受物理设备的约束,便于网络设备服务的升级更新,同时,NFV为新的体系结构、系统和应用的产生提供了可能。首先介绍了NFV技术,并与云计算和SDN进行对比,然后从VNF的系统结构、数据平面、控制平面、部署方式、实现语言和应用6个维度详细阐述了当前的研究成果,最后总结并展望了NFV未来的研究发展方向。     

基于SDN和NFV技术的网络安全架构

基于软件定义网络(SDN)和网络功能虚拟化(NFV)的新型网络取代传统网络势在必行,因此研究基于新网络环境的网络安全体系结构迫在眉睫.介绍了一种开放且通用的软件定义的SDS安全架构,它可以为安全服务、安全设备和安全管理提供一个开放的接口,并且支持不同的网络安全供应商部署其安全产品和安全解决方案.此外,可以实现虚拟安全功...     

网络服务功能链技术研究与建模

伴随着数据业务量的急剧增长,传统的静态网络服务模型日渐不能满足应用的需求,其构架中网络服务与专用硬件设备之间一一对应的紧耦合关系造成了网络资源不能共享、新业务难以融合等弊端。当网络规模扩大时,传统的管理和部署方式需要投入更多的成本来部署新业务。随着网络虚拟化的兴起与软件定义网络研究的推进,网络服务功能链这一概念应运而生。网络服务功能链由一个或多个虚拟网络功能组成,旨在降低网络建设与运维成本、提高网络资源利用率、提升网络与业务部署速度。针对当前服务功能链体系的研究及建模和应用进行了阐述,并对业内主流的服务功能链优化模型进行抽象建模。同时针对时延优化问题进行仿真,以启发式贪婪算法为代表,通过不同的启发值,从算法时间复杂度与优化效果的角度将服务功能链中启发式算法与穷举法进行对比。在网格状网络的环境下,启发式算法能取得更快的响应速度,并且能取得和穷举法相当的优化效果。因此,得出在大规模工业互联网中部署服务功能链过程中启发式算法能有更快的响应速度,且能达到或者接近最优解的结论。最后,就当前建模与部署存在的问题以及服务功能链未来的研究方向进行论述。     

A virtual service placement approach based on improved quantum genetic algorithm

Despite the critical role that middleboxes play in introducing new network functionality, management and innovation of them are still severe challenges for network operators, since traditional middleboxes based on hardware lack service flexibility and scalability. Recently, though new networking technologies, such as network function virtualization (NFV) and software-defined networking (SDN), are considered as very promising drivers to design cost-efficient middlebox service architectures, how to guarantee transmission efficiency has drawn little attention under the condition of adding virtual service process for traffic. Therefore, we focus on the service deployment problem to reduce the transport delay in the network with a combination of NFV and SDN. First, a framework is designed for service placement decision, and an integer linear programming model is proposed to resolve the service placement and minimize the network transport delay. Then a heuristic solution is designed based on the improved quantum genetic algorithm. Experimental results show that our proposed method can calculate automatically the optimal placement schemes. Our scheme can achieve lower overall transport delay for a network compared with other schemes and reduce 30% of the average traffic transport delay compared with the random placement scheme.     

多租户模式的业务平台云安全体系设计与实现

云计算技术目前已成为实现业务平台基础设施的可选方式之一。基于云计算技术,可以提供规模弹性、应用快速部署、资源按需分配与动念管理的业务平台云。但是在发展初期,云资源池主要以能力建设为主,对于安全体系的考虑尚不充分。通过对云资源池网络安全、应用安全及虚拟化安全等方面的分析和研究,给出了一种基于多租户模式的业务平台云安全体系,该方案已经广泛运用于中国电信业务平台云资源池,取得了显著的效果。     

基于改进BN模型的网络切片安全部署方法

为了满足5G垂直用户对于网络切片部署时细粒度安全隔离需求,同时兼顾用户的隔离需求和提高资源利用率,提出了一种基于改进BN模型的网络切片安全部署方法。首先提出了一种双层BN模型的网络切片部署架构,基于SBA（service based architecture）设计了虚拟机容器的双层虚拟化架构,将网络切片根据其所属用户的隔离需求分配利益冲突类标签,基于改进的BN模型部署规则确定网络切片的隔离部署策略;然后将该部署方法建立为整数线性规划模型,并将部署成本作为目标函数,通过最小化目标函数实现低成本部署网络切片;最后使用遗传算法对该问题仿真求解。实验结果表明,该安全部署方法在满足网络切片安全隔离需求的前提下降低了部署成本。     

一种基于软件定义网络的服务功能链优化部署机制

针对软件定义网络环境下现有服务链部署方法未能充分考虑全网资源利用率的问题,提出了一种基于高效启发式算法的服务链优化部署机制。首先,给出了服务链部署的总体结构,并引入了整数线性规划模型对其进行数学建模;其次,提出了一种高效启发式的模型求解算法,该算法以先排序后贪心的方式,能够在满足资源和时延约束下有效利用网络资源和均衡负载。仿真结果表明,与其他部署算法相比,该算法在降低负载均衡度和时间复杂度的同时提高了请求接受率。     

NfvInsight: A Framework for Automatically Deploying and Benchmarking VNF Chains

With the advent of virtualization techniques and software-defined networking (SDN), network function virtualization (NFV) shifts network functions (NFs) from hardware implementations to software appliances, between which exists a performance gap. How to narrow the gap is an essential issue of current NFV research. However, the cumbersomeness of deployment, the water pipe effect of virtual network function (VNF) chains, and the complexity of the system software stack together make it tough to figure out the cause of low performance in the NFV system. To pinpoint the NFV system performance, we propose NfvInsight, a framework for automatic deployment and benchmarking VNF chains. Our framework tackles the challenges in NFV performance analysis. The framework components include chain graph generation, automatic deployment, and fine granularity measurement. The design and implementation of each component have their advantages. To the best of our knowledge, we make the first attempt to collect rules forming a knowledge base for generating reasonable chain graphs. NfvInsight deploys the generated chain graphs automatically, which frees the network operators from executing at least 391 lines of bash commands for a single test. To diagnose the performance bottleneck, NfvInsight collects metrics from multiple layers of the software stack. Specifically, we collect the network stack latency distribution ingeniously, introducing only less than 2.2% overhead. We showcase the convenience and usability of NfvInsight in finding bottlenecks for both VNF chains and the underlying system. Leveraging our framework, we find several design flaws of the network stack, which are unsuitable for packet forwarding inside one single server under the NFV circumstance. Our optimization for these flaws gains at most 3x performance improvement.     

网络功能虚拟化下服务功能链的资源管理研究综述

伴随着云计算,软件定义网络和网络功能虚拟化等网络新技术的出现,未来网络运维向着虚拟化、智能化的方向不断迈进.网络功能虚拟化提供了一种服务节点虚拟化的方法,它采用通用服务器替代传统网络中的专用中间件,可以大大降低网络运营商的建设和运营成本,提升网络管理的灵活性和可扩展性.由于网络端到端服务通常需要不同的服务功能,采用虚拟化技术构建网络服务功能链,进行资源的合理分配和调度成为一个重要的研究课题,引起了学术界和工业界的广泛关注.从网络功能虚拟化的技术背景出发,介绍了网络功能虚拟化下服务功能链资源管理的基础架构、技术基础和应用场景.而后基于服务功能链编排的不同阶段,将现有理论研究划分为4个部分:组链、部署、调度和按需缩放分别展开论述,从问题出发介绍和分析了研究现状.最后,针对现有存在问题,提出了一些拟解决方案,并对未来的研究方向进行了展望.     

基于安全信任的网络切片部署策略研究

5G移动通信网虚拟化场景下,如何安全部署网络切片是未来5G大规模商用的前提。针对5G网络切片部署的安全性,提出一种基于安全信任的网络切片部署策略。该部署策略通过提出安全信任值概念,来有效量化分析VNF和网络资源的安全性,并以此为基础,利用0-1整数线性规划方法构建网络切片部署的数学模型,利用启发式算法进行求解,找到网络切片部署成本最小的部署方案。仿真实验表明,该部署策略在保证部署安全的前提下,减少了部署成本,同时获得较好的安全收益和部署收益率。