[发明专利]一种基于服务链的安全功能部署方法

权利要求书

1.一种基于服务链的安全功能部署方法，其特征在于，包括以下步骤：

第一步、将底层网络拓扑用一个加权图表示G_S＝(V_S,E_S)，其中V_S是由转发节点、安全功能节点构成的物理节点集合，V_S＝T_S∪N_S，T_S表示路由资源转发节点集合，N_S为防火墙安全功能节点集合，E_S是物理网络中链路集合，存在属性带宽能力，包含链路e_s的上行带宽容量B(e_s↑)和下行带宽容量B(e_s↓)，e_s＝(v_i,v_j)，v_i和v_j为链路e_s的两个端点，如果ij，则称由v_i流向v_j的流量为上行流量，反向为下行流量，以跳数hop(v_i,v_j)表示v_i和v_j之间的传输时延；

第二步、定义同时到达的R条服务链请求集合为Φ＝{Q₁,Q₂,…,Q_R}，其中服务链请求表示为有向序列Q_r＝(q_r,1,q_r,2,…,q_r,h-1,q_r,h,q_r,h+1,…,q_r,H)，共包含H个安全功能需求，其中q_r,h-1是q_r,h的前一个安全功能需求，q_r,h+1是q_r,h的后一个安全功能需求，从q_r,h到q_r,h+1的需求链路表示为link(q_r,h,q_r,h+1)，对应的带宽表示为bw(q_r,h,q_r,h+1)；

第三步、定义N_r(q_r,h)表示部署服务链Q_r中安全功能需求q_r,h的物理节点，N_r(q_r,h)∈N_S，服务链中的每个安全功能需求能且仅能部署在一个物理安全功能节点上，使用L_r(q_r,h,q_r,h+1)表示服务链Q_r中安全功能需求q_r,h到q_r,h+1之间的流量路径，即链路link(q_r,h,q_r,h+1)在G_S上的部署路径，定义服务链部署产生的网络成本为：

第四步、在服务链部署过程中，采用分治法，将每条服务链的部署问题划分为较小的子服务链部署问题；

第四步中，划分依据为：对于服务链Q_r中的安全功能需求q_r,h，如果在底层拓扑G_S中只存在唯一的安全功能节点v_i可提供q_r,h功能需求，即功能需求q_r,h能且仅能部署在节点上v_i，则将功能需求q_r,h部署在节点v_i上，即N_r(q_r,h)＝v_i，并以q_r,h为界分割服务链Q_r，形成子服务链，依次对划分后的子服务链进行部署，将得到的子服务链部署结果和路由结果按顺序连接起来即为该服务链的部署结果；

第四步中，对于每条子服务链，对通信链路按照带宽需求排序，并依据此顺序依次部署链路，具体为：

如果链路link(q_r,h,q_r,h+1)的两端的功能需求q_r,h和q_r,h+1均未部署，则标记链路link(q_r,h,q_r,h+1)为待定状态，并部署下一条流量；如果链路link(q_r,h,q_r,h+1)的一个端点已经成功部署，则对链路link(q_r,h,q_r,h+1)进行部署，选择链路link(q_r,h,q_r,h+1)中尚未部署的另一个端点，如果端点q_r,h的前一个和后一个安全功能均已部署，则根据端点q_r,h的前一个安全功能需求q_r,h－1和后一个安全功能需求q_r,h+1，在G_s可提供q_r,h功能的候选节点中，选择满足link(q_r,h,q_r,h+1)和link(q_r,h－1,q_r,h)两段链路带宽需求且两段链路网络成本最小的安全功能物理节点作为q_r,h的部署节点；如果q_r,h的前一个或后一个安全功能未部署，在可提供q_r,h功能的所有候选物理节点中选择满足link(q_r,h,q_r,h+1)带宽需求的、网络成本最小的节点和链路进行分配，并判断Q_r中经过功能q_r,h的另一条链路link(q_r,h－1,q_r,h)是否处于待定状态，如果链路link(q_r,h－1,q_r,h)处于待定状态，则使用相同的方法对链路link(q_r,h－1,q_r,h)及其端点进行部署，并继续判断经过功能q_r,h－1的未分配链路是否处于待定状态；如果链路link(q_r,h－1,q_r,h)不是待定状态，则根据带宽需求排序得到的顺序部署下一条链路，直至服务链Q_r中的所有功能需求和链路需求均部署完成；如果在部署过程中，G_s无法提供服务链需要的安全功能或无法满足服务链的带宽需求，则该服务链部署失败。