[发明专利]一种降低侧信道风险的服务功能链动态与异构的迁移方法

说明书

本发明涉及一种降低侧信道风险的服务功能链动态与异构的迁移方法，是根据租户风险评估系统的评估信息，对租户风险等级信息库进行更新维护并对其分类，再根据分类结果，对到达的租户服务功能链请求信息进行分域部署，根据分域部署情况，更新维护租户关键虚拟网络功能共存信息库，并对部署的超过共存时间的关键虚拟网络功能序列进行定期式动态迁移以及根据侧信道风险检测系统发现的异常的虚拟网络功能序列，对共存的关键虚拟网络功能序列执行触发式动态迁移，同时向租户风险评估系统提交监测信息，并并考虑迁移前后承载关键虚拟网络功能序列的功能服务器的异构性。本方法是一种通用的侧信道攻击防御方法，能有效降低各种侧信道攻击风险。

技术领域

本发明涉及云计算、服务功能链和网络安全领域，具体涉及一种降低侧信道风险的服务功能链动态与异构的迁移方法。

背景技术

信息化时代下，网络服务已经深入到社会的各个领域，与此同时随着社会的飞速发展，对网络服务的提供方式提出了更高的要求，传统的网络服务提供方式需要在网络中部署大量的专有硬件，难以应对网络需求多样化、快速变化需求。云计算、软件定义网络以及网络功能虚拟化等技术的出现，为解决网络服务需求的飞速发展变化问题提供了良好的技术方案。基于云计算、软件定义网络以及网络功能虚拟化等技术的服务功能链部署技术为网络的发展注入了极大的活力，借助云计算的弹性资源提供方式，使虚拟网络功能可以按需的以软件的形式运行在通用硬件之上，借助SDN技术对网络转发的可编程控制，实现业务流量的灵活路由，借助这些最新的网络技术可以很好实现服务功能链的灵活部署与弹性放缩，满足当前社会对网络服务的多变需求。

然而，基于云环境的服务功能链部署技术真正完全落地还有很多问题急需解决，其中在多租户环境下如何保护用户数据、信息的安全问题便是其中之一，近年来云环境下的侧信道安全事件频发，越来越多的侧信道攻击手段被探索出来，多租户资源共享是其根源，但是多租户间的资源统计复用也是云计算技术的发展动力，所以无法实现租户间的完全隔离。针对侧信道攻击问题，大多数现有的解决方式主要是对设施的功能软件以及底层硬件进行修改，但是无法应对新的侧信道攻击模型。只有扫除了服务功能链技术上云所面临的各项问题，才能进一步推进云环境服务功能链部署技术的落地。

发明内容

本发明针对上述问题，借鉴移动目标防御和拟态防御的思想，提出了一种降低侧信道风险的服务功能链动态与异构的迁移方法，本发明从减少关键虚拟网络功能与其他虚拟网络功能的共存几率、共存时间角度出发，并借助服务器异构性改变迁移前后实现侧信道攻击方法的差异性，来显著提升恶意租户实现侧信道攻击的难度，降低租户所面临的侧信道攻击风险。

本发明的技术方案是：一种降低侧信道风险的服务功能链动态与异构的迁移方法，所述方法包括：

步骤1.：根据租户风险评估系统的评估信息，对租户风险等级信息库进行更新维护并对其分类；

步骤2：根据租户风险等级信息库的分类结果，并依据租户服务功能链请求信息对其进行虚拟网络功能的分域部署；

步骤3：根据租户服务功能链中虚拟网络功能的分域部署情况，更新维护租户关键虚拟网络功能共存信息库；

步骤4：根据租户关键虚拟网络功能共存信息库，对部署的超过共存时间的关键虚拟网络功能序列进行定期式动态迁移；根据侧信道风险检测系统发现的异常的虚拟网络功能序列，对共存的关键虚拟网络功能序列执行触发式动态迁移，同时向租户风险评估系统提交监测信息；

步骤5：在执行定期式动态迁移和触发式动态迁移时，考虑迁移前后用于承载关键虚拟网络功能序列的物理服务器的异构性。