潘启润，黄开枝，游伟

基于隔离等级的网络切片部署方法

潘启润，黄开枝，游伟

（战略支援部队信息工程大学，河南 郑州 450001）

为了兼顾网络切片的性能隔离需求和安全隔离需求，提出了一种基于隔离等级的网络切片部署方法。该方法首先从性能隔离和安全隔离两方面确定了网络切片实例的隔离等级，在选择合适的位置部署虚拟节点时，不但保证所有网络切片实例均能达到各自的性能水平和安全水平，而且从隔离等级差值入手对虚拟节点共存的条件进行限制；然后利用整数线性规划方法对该问题进行建模，把部署成本最小化作为目标函数；最后使用基于遗传算法改进的粒子群算法求出最终的部署结果。仿真结果表明，该方法具有较低的部署成本和较高的收益开销比，并且能够同时保证性能和安全两方面的需求。

网络切片；隔离；性能下降；侧信道攻击

1 引言

5G作为新一代移动通信技术的发展方向，不但要满足海量物联网的需求，而且要能够深度融合工业、医疗、交通等行业，实现真正的“万物互联”。5G有三大应用场景——增强型移动带宽（eMBB）、海量机器类通信（mMTC）、超可靠低时延通信（uRLLC）。传统网络无法满足不同应用场景的多样化服务需求，故提出了网络切片（NS，network slicing）的概念。网络切片本质上是一个虚拟网络，多个虚拟网络部署在相同的物理基础设施上，每个虚拟网络为不同的用户提供端到端的定制化服务[1]，这个定制化的虚拟网络称之为网络切片实例（NSI，network slice instance）。每个网络切片实例是一个相对独立的网络域，具备各自的网络资源和业务信息。但是，不同的虚拟网络共享底层物理资源，使不同切片间可能存在无意或恶意的干扰行为，造成性能下降或信息泄露。

一方面，多个网络切片过度竞争底层硬件资源，造成虚拟节点（VM）的性能下降。为了应对该问题，文献[2]提出了一种基于层次聚类和优化搜索的功耗感知算法，从资源利用率的角度量化了VM间的资源使用情况。文献[3]基于Xen IO机制和VCPU调度机制设计了一个性能评估模型，根据该模型估计VM迁移前以及迁移后的性能下降程度，并提出了一种轻量级的干扰感知的VM在线迁移方法。文献[4]设计了一种VM整合方法，该方法不但可以保证VM的性能在可接受的范围内下降，而且最大限度减少耗费的资源。文献[5]对VM部署问题进行了研究，当使用提出的方法把多个VM放置到一个服务器上时，能够降低VM的性能下降程度。另一方面，恶意用户基于共享的物理资源可以发动侧信道攻击[6]，窃取用户隐私数据。为了防御侧信道攻击，文献[7]分析对比了3种在防御侧信道攻击时使用的VM分配策略，并提出了一种优先选择服务器的VM分配方法，即优先将同一用户的VM部署到相同服务器上。文献[8]基于博弈论研究了VM“何时迁”的问题，不但给出了防御侧信道攻击的策略，还降低了迁移成本。文献[9]将中国墙的思想引入VM的部署和迁移中，将用户之间的关系分为联盟关系和冲突关系，根据这两种关系进行VM的部署和迁移。文献[10]对所有物理服务器进行了分组，在部署VM时依次进行组选择和组内服务器选择，并分别进行安全优化和资源优化，该方法认为部署在同组服务器上的所有VM之间发生侧信道攻击的可能性很小。

但是，网络切片的部署本身就是一个很复杂的问题，在实际中往往会同时考虑多方面的因素。但现在的部署方法未能联合考虑虚拟节点上存在的性能下降和侧信道攻击，为解决该问题，本文提出了一种基于隔离等级的网络切片部署方法。该方法从资源供需比的角度评估NSI虚拟节点的性能隔离水平，计算与NSI共享资源的其他NSI的数量，用来评估安全隔离水平，并基于二者求出对应的隔离等级；在部署时，不但要保证所有的NSI均能满足隔离需求，而且仅允许固定隔离等级的NSI共享资源，并将NSI部署在成本开销最小的位置上；利用整数线性规划方法对该问题进行建模，而且使用基于遗传−离散粒子群算法求出最终的部署结果。仿真结果表明，该方法具有较低的部署成本和较高的收益开销比，并且能够同时保证性能隔离和安全隔离。

2 网络模型及问题描述

2.1 网络模型

网络切片利用软件定义网络（SDN，software defined network）和网络功能虚拟化（NFV，network function vituralization）技术实现按需组网，利用SDN技术将网元功能解耦成控制面功能和用户面功能[11]，并在它们之间定义可编程接口；利用NFV技术将物理网络根据场景需求虚拟化成多个相互独立的虚拟网络，按照不同的业务场景和话务模型定制裁剪网络功能，管理编排相应的网络资源，为不同的用户提供端到端的定制化服务。

当用户发起服务请求时，虚拟网络提供商首先根据用户的服务需求选择或设计虚拟网络功能，按照一定顺序将这些网络功能连接起来，形成提供专用服务的虚拟网络，如图1所示；然后将物理网络的资源分配给NSI，激活所提供的服务；当用户设备与切片实例的服务关联成功后，网络流量开始流过切片；系统会持续监控网络切片的相关指标（如资源利用率、端到端延迟和数据吞吐量等），按需重新配置网络切片[12]。

图1 网络切片实例

Figure 1 Network slicing instance

图2 网络切片实例部署细节

Figure 2 Network slicing instance deployment

2.2 隔离问题描述

不同的切片类型、不同租户的网络切片之间需要实施隔离，本文主要研究同一服务器上多个VM之间的隔离，当多个NSI部署到同一物理网络上时，必然存在多个VM部署到同一物理服务器上的情况。如图3所示，服务器上承载着3种类型的NSI，分别是普通NSI、目标NSI和恶意NSI。不同的NSI间存在两种类型的隔离问题。①性能隔离，在共享物理资源的NSI间，可能由于误操作或过载而占用大量物理资源，造成性能严重下降，影响用户体验[13]。在服务器D上部署了较多VM，故VM间过度竞争底层硬件资源的可能性很大，由此带来VM的性能下降。 ②安全隔离，恶意NSI为窃取目标NSI的隐私信息，首先针对目标NSI所属区域和类型，启动大量相同区域和相同类型的VM实例；然后进行VM同驻检测，查看是否和目标VM同驻成功；最后在同驻成功的服务器上实施侧信道攻击。在服务器C上，VM会故意向VM发送特定服务请求，VM在处理该请求时，会对底层物理资源产生一定影响，之后虚拟机监视器（Hypervisor）切换到VM运行，因Hypervisor并不会立即清空物理资源中的数据，VM经过评估和测量，可以推断出VM的隐私信息，“侧信道”便建立起来[14]。

图3 底层物理网络的部署

Figure 3 VM deployment on physical network

3 部署方法描述

3.1 隔离等级的确定

表1 隔离等级

3.2 部署位置的选择

4 部署模型建立

4.1 变量设定

4.2 目标函数

4.3 约束条件

式(4)表示一个虚拟节点只能映射到一个服务器上，不能对其进行分割；式(5)表示请求部署的NSI的所有虚拟节点全都部署到物理网络上，式(4)和式(5)即唯一性约束。

5 算法描述

网络切片的映射问题是一个NP难问题，在多项式时间内无法利用传统方法进行求解，为解决该问题，采用基于遗传算法（GA，genetic algorithm）优化的离散粒子群（DPSO，discrete particle swarm optimization）算法[15]进行求解。在粒子群算法的每个种群更新速度和位置后，进行交叉和变异操作，改进后的算法有效克服了粒子群算法在求极值时存在的早熟问题，增强了算法全局寻优的能力，提高了求解的精度。

图4 GA-PSO算法流程

Figure 4 GA-PSO algorithm flow

1) 设置种群规模、最大迭代次数MAX及1和2；

3) 用算法2求初始种群所有粒子适应度值，并求出个体最优和全局最优值；

9) 使用算法2计算适应度值，更新个体最优值、全局最优值；

10) end for

11) end for

10) else=+1，go to (7)；end if

11) end while

14) end if

15) end for

6 仿真分析

6.1 实验环境

表2 网络参数

表3 仿真参数

6.2 结果分析

将本文提出的方法（方法1）与文献[16]（方法2）及最小化共存度的方法（方法3）进行比较。方法2是为了应对侧信道攻击提出的，该方法将VM分成高中低3个安全等级，在映射时仅允许同安全等级的虚拟节点共享资源。方法3是为了应对性能下降提出的，该方法把最小化与其他网络切片实例共存的数量作为目标函数。从部署成本、请求接受率、收益开销比、性能等级未达标NSI数量的占比、安全等级未达标NSI数量的占比和隔离等级未达标NSI数量的占比这几方面对比这3种方法。

图5显示了不同方法的部署成本总和的变化情况。可以看出，随着NSI请求数量增多，这3种方法的部署成本总和均呈现增长的趋势，但本文方法的部署成本总和增长速率低于方法2和方法3，方法3部署成本增长速率最高。图6反映了不同方法的收益开销比的变化情况。随着NSI请求数量增多，这3种方法的收益开销比最终稳定在不同的区间上，本文方法收益开销比高于其他两种方法，方法3收益开销比最低。相较于对比的其他方法，本文方法在部署成本和收益开销比两方面，均表现出了较好的效果，这是因为本文方法在部署时不但保证服务器上虚拟节点的共存数量与虚拟资源和物理资源的供需比都满足节点部署要求，而且保证“新”“老”虚拟节点的部署需求，使底层物理网络的碎片资源数量相对较少，降低了部署成本且提高了收益开销比。

图5 部署成本

Figure 5 Deployment cost

图6 收益开销比

Figure 6 Revenue-to-cost ratio

图7显示了不同方法的请求接受率的变化情况。随着NSI请求数量增多，这3种方法的请求接受率都存在不同程度的下降，而且随着NSI请求数量的增多都趋于稳定。在刚开始部署时，物理网上承载的NSI数量很少，所以3种方法在开始时请求接受率都比较高，随着物理网络资源被占用增多，请求接受率产生较为明显的下降。但本文方法请求接受率最低，主要是因为本文方法在部署时需要兼顾安全和性能两方面的约束条件，使部署成功的概率变得更小，即用较低的请求接受率换取了较高的隔离水平。

图7 请求接受率

Figure 7 Request acceptance rate

图8 性能等级未达标NSI所占比例

Figure 8 Proportion of NSI whose performance level is not up to standard

图9 安全等级未达标NSI所占比例

Figure 9 Proportion of NSI whose security level is not up to standard

图10 隔离等级未达标NSI所占比例

Figure 10 Proportion of NSI whose isolation level is not up to standard

7 结束语

网络切片是基于虚拟化技术实现的，虚拟化技术的引入使多个NSI可以部署到同一物理基础设施上，虽然提高了系统的灵活性和效率并降低了成本，但其共享底层资源的特点也带来了性能下降和侧信道攻击的问题，故本文提出了一种基于隔离等级的网络切片部署方法。在部署时，将部署成本最小作为目标函数，最终的部署位置一方面保证“新”“老”NSI均能达到各自的隔离要求，另一方面按需求将处于不同隔离等级的NSI划分到不同分组，避免了隔离等级差距很大的NSI共存。采用改进型的离散粒子群算法进行迭代寻优，求出最终的部署结果。最终仿真结果证明本文方法可以同时保证用户在安全和性能两方面的隔离需求，但网络请求接受率降低，在未来的研究中将对该方法做进一步的改进。

[1] FOUKAS X, PATOUNA S G, ELMOKASHFIA, et al. Network slicing in 5G: survey and challenges[J]. IEEE Communications Magazine, 2017, 55(5): 94-100.

[2] ZHU Q, ZHU J D, AGRAWALG. Power-aware consolidation of scientific workflows in virtualized environments[C]//High Performance Computing, Networking, Storage & Analysis. 2010: 1-12.

[3] XU F, LIU F M, LIU L H, et al. iAware: making live migration of virtual machines interference-aware in the cloud[J]. IEEE Transactions on Computers, 2014, 63(12): 3012-3025.

[4] ALANR, AMANK, SRIRAMG, et al. PACMan: performance aware virtual machine consolidation[C]//The 10th International Conference on Autonomic Computing. 2013: 83-94.

[5] ROOZBEHM, ALBERTY Z. Managing performance degradation of collocated virtual machines in private cloud[C]//The 18th International Conference on High Performance Computing and Communications. 2016: 128-135.

[6] GULMEZOGLUB, MEHMETS İ, IRAZOQUIG, et al. Cross-VM cache attacks on AES[J]. IEEE Transactions on Multi-Scale Computing Systems, 2017, 2(3): 211-222.

[7] HAN Y, CHAN J, ALPCAN T, et al. Using virtual machine allocation policies to defend against co-resident attacks in cloud computing[J]. IEEE Transactions on Dependable and Secure Computing, 2017, 14(1): 95-108.

[8] AHMED H A, GEORGE A, MINA G, et al. It's time to migrate! A game-theoretic framework for protecting a multi-tenant cloud against collocation attacks[C]//IEEE International Conference on Cloud Computing. 2018: 725-731.

[9] YU S, GUI X, LIN J, et al. A security-awareness virtual machine management scheme based on Chinese wall policy in cloud computing[J]. The Scientific World Journal, 2014(5): 805-923.

[10] LIANG X, GUI X L, JIANA N, et al. Mitigating cloud co-resident attacks via grouping-based virtual machine placement strategy[C]//IEEE International Performance Computing and Communications Conference. 2017: 1-8.

[11] SAMAM R, AN X L, WEI Q, et al. Reshaping the mobile core network via function decomposition and network slicing for the 5G era[C]//IEEE Wireless Communications and Networking Conference Workshops. 2016: 90-96.

[12] SAMEERKUMARS, RAYMONDM, ANDREAF. A cloud-native approach to 5G network slicing[J]. IEEE Journals & Magazines. 2017, 55(8): 120-127.

[13] TOMASL, LAKEWE B, ELMROTHE. Service level and performance aware dynamic resource allocation in overbooked data centers[C]//IEEE/ACM International Symposium on Cluster. 2016.

[14] 梁鑫, 桂小林, 戴慧珺, 等. 云环境中跨虚拟机的Cache侧信道攻击技术研究[J]. 计算机学报, 2017, 40(2): 317-336.

LIANG X, GUI X L, DAI H J, et al. Research on Cache side channel attack technology of virtual machines in cloud environment [J]. Chinese Journal of Computers, 2017, 40(2): 317-336.

[15] 潘勇, 郭晓东. 一种基于遗传算法改进的粒子群优化算法[J]. 计算机应用与软件, 2011, 28(9): 222-224.

PAN Y, GUO X D. An improved particle swarm optimization algorithm based on genetic algorithm[J]. Computer Applications and Software, 2011, 28(9): 222-224.

[16] 赵硕, 季新生, 毛宇星,等. 基于安全等级的虚拟机动态迁移方法[J]. 通信学报, 2017, 38(7): 165-174.

ZHAO S, JI X S, MAO Y X, et al. Research on dynamic migration of virtual machine based on security level[J]. Journal on Communications, 2017, 38(7): 165-174.

Network slicing deployment method based on isolation level

PAN Qirun, HUANG Kaizhi, YOU Wei

Strategic Support Force Information Engineering University, Zhengzhou 450001, China

In order to balance the performance isolation requirements and security isolation requirements of network slicing, a network slice deployment method based on isolation level was proposed. The method first determined the isolation level of the network slice instance from the aspects of performance isolation and security isolation. When deploying the virtual nodes in the appropriate location, not only ensured that all network slice instances could reach their respective performance levels and security levels, but also isolated them. The gradation difference started to limit the coexistence condition of the virtual node. Then the integer linear programming method was used to model the problem, and the deployment cost was minimized as the objective function. Finally, the particle swarm optimization algorithm based on genetic algorithm was used to find the final deployment result. The simulation results show that the method has lower deployment cost and higher benefit-to-cost ratio, and can guarantee both performance and security.

network slicing, isolation, performance degradation, side channel attack

The National Key R&D Program Cyberspace Security Project (No.2016YFB0801605), The National Natural Science Foundation Innovation Group Project (No.61521003), The National Natural Science Foundation of China (No.61801515)

TP393

A

10.11959/j.issn.2096−109x.2020003

潘启润（1993− ），女，河北石家庄人，战略支援部队信息工程大学硕士生，主要研究方向为新一代移动通信技术、网络切片。

黄开枝（1973−），女，安徽滁州人，战略支援部队信息工程大学教授、博士生导师，主要研究方向为移动通信、无线物理层安全。

游伟（1984−），男，江西丰城人，战略支援部队信息工程大学讲师，主要研究方向为密码学、5G网络安全。

2019−04−02；

2019−06−06

潘启润，pangqirun03@163.com

国家重点研发计划网络空间安全专项基金资助项目（No.2016YFB0801605）；国家自然科学基金创新群体基金资助项目（No.61521003）；国家自然科学基金资助项目（No.61801515）

论文引用格式：潘启润, 黄开枝, 游伟. 基于隔离等级的网络切片部署方法[J]. 网络与信息安全学报, 2019, 6(2): 96-105.

PAN Q R, HUANG K Z, YOU W. Network slicing deployment method based on isolation level[J]. Chinese Journal of Network and Information Security, 2019, 6(2): 96-105.