[发明专利]一种基于服务链的安全功能部署方法

说明书

本发明涉及一种基于服务链的安全功能部署方法，涉及网络安全技术领域。本发明针对用户的安全服务需求和由上层编排、下发的安全服务链，提出一种安全功能服务链部署方法，对同时到达的多条安全服务链进行合理映射，在满足功能要求、带宽需求的前提下降低网络成本，保障服务质量。

技术领域

本发明涉及网络安全技术领域，具体涉及一种基于服务链的安全功能部署方法。

背景技术

软件定义网络(Software Defined Networking，SDN)作为近几年来的新兴网络技术，为网络管理带来了新的机遇与挑战。其基本思想是将网络控制与数据转发相互分离，解耦网络控制功能和数据转发功能。采用编程模式实现集中化的管理控制功能，简化了网络管理的复杂性并促进网络的发展和创新。图1描述了SDN的三层逻辑架构图，从上至下依次为：应用层、控制层和基础设施层。

SDN架构通过控制层的可编程接口API，可在应用层灵活编写各种应用服务，满足多租户差异化、多样化的应用需求。位于整个架构中间位置的控制层负责维护全局网络拓扑，制定集中式的调度策略，并通过南向接口下发给基础设施层中的网络设备。最底层的基础设施层只需要通过南向接口(如OpenFlow等)接收SDN控制层的各种指令，完成单纯的数据处理和转发。

SDN将控制平面与数据平面分离，可降低硬件设备的复杂性，采用集中式的控制方法便于对网络设备进行统一管理。此外，利用SDN控制器掌握网络的全局信息，可制定更加智能的调度策略，更好的把握网络状态并进行更快速的调整，从而提高资源利用效率、简化网络管理并降低网络能耗成本。SDN技术的兴起，为基于全局网络视图的资源管理、负载均衡开辟了新的实现途径。

网络功能虚拟化(Network Function Virtualization，NFV)技术将传统专业网元设备上的网络功能提取出来，并以虚拟化、软件化的形式运行在通用的硬件平台上。实现软件化网络功能的灵活加载、按需部署和更新，大程度的方便远程管理和维护，降低服务提供商的资本支出(Capital Expenditure，CAPEX)和运营成本(Operating Expense，OPEX)。

NFV技术将服务器、存储设备、交换机、路由器等计算资源、存储资源、网络资源与相应的虚拟网络功能(Virtual Network Function，VNF)建立一一映射关系，形成虚拟计算资源组件、虚拟存储资源组件、虚拟网络资源组件等。本发明主要研究的虚拟安全资源组件，包括：虚拟网络地址翻译(virtual Network Address Translation，vNAT)、虚拟防火墙(virtual FireWall，vFW)，虚拟入侵检测系统(virtual Intrusion Detection System，vIDS)，虚拟入侵防御系统(virtual Intrusion Prevention Systems，vIPS)等，如图2所示。

随着SDN技术和NFV技术的不断发展，网络控制变得更加灵活并更具有扩展性。SDN以控制转发分离的特性，对底层物理网络进行虚拟化和逻辑抽象，通过SDN控制器引导转发流量自动通过虚拟服务节点，可实现灵活、便捷、高效的服务功能，这种流量按序通过虚拟服务功能节点组成的序列称为服务链，如图3所示。

因此，针对用户的安全服务需求和由上层编排、下发的安全服务链，需要选择一条满足安全服务能力、安全功能顺序、资源需求的最优路径，该问题即基于服务链的安全功能部署问题(或称为映射问题)，如图4所示。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何针对用户的安全服务需求和由上层编排、下发的安全服务链，提出一种安全功能服务链部署方法。(二)技术方案

为了解决上述技术问题，本发明提供了一种基于服务链的安全功能部署方法，包括以下步骤：