基于風險感知的關鍵虛擬網絡功能動態遷移方法

丁紹虎，謝記超，張鵬，普黎明，谷允捷

（信息工程大學信息技術研究所，河南 鄭州 450002）

1 引言

隨著新興網絡服務和業務模式的飛速發展，傳統的基于專用硬件的服務功能鏈（SFC,service function chain）部署方式存在的問題日益凸顯[1-2]，如成本高、資源利用率低、新服務上線周期長等。網絡功能虛擬化基礎設施即服務（NFVIaaS,network function virtualization infrastructure as a service）模式的出現為解決當前網絡服務提供方式所面臨的困境提供了有效途徑，其主要思想是，租戶按需租用云服務提供商池化的資源，將所需的網絡功能以虛擬網絡功能（VNF,virtual network function）軟件的形式運行在通用硬件設備中，即可靈活、高效地構建網絡服務所需的SFC。然而，這種新型的SFC 部署方式面臨許多新的安全挑戰，主要分為NFV 特有的安全威脅、通用網絡安全威脅和通用虛擬化安全威脅[3-4]，本文重點關注通用虛擬化安全威脅中VNF 面臨的側信道攻擊[5-8]問題。側信道攻擊是當前云計算環境下多租戶間信息泄露的重要途徑。

在NFVIaaS 的多租戶環境下，云服務提供商借助虛擬化技術的邏輯隔離手段實現了物理資源在多租戶間的高效復用，然而，這也為惡意租戶實施側信道攻擊提供了可能。惡意租戶在成功實現與目標租戶VNF 共存后，可利用共享硬件資源（如CPU、內存、磁盤、網絡）構建各種類型的側信道突破邏輯隔離，進而從共存的VNF 中獲取隱私信息和敏感數據，范圍可從粗粒度的工作負載、流量速率到細粒度的加密密鑰等[3]。因此，能否抵抗NFVIaaS所面臨的側信道攻擊，將直接影響NFVIaaS 商業模式的推廣。

在相關虛擬機部署和虛擬網映射領域，針對側信道攻擊的防御方法主要分為以下四類，可在側信道攻擊的實施進程中依次展開。第一類方法是使用部署策略提高共存難度[9-11]，該類方法可顯著提高惡意租戶在實施側信道攻擊前創造共存條件的難度，但是無法解決已共存節點所面臨的側信道攻擊風險；第二類方法是增加驗證共存的難度[12]，但是相關研究表明，惡意租戶仍可不斷開發出新的驗證共存手段；第三類方法是消除側信道[13]，該類方法通常需要詳細的針對特定攻擊方法的修復，不能覆蓋未來不斷被發掘出的側信道攻擊手段，不具備防御各類側信道攻擊手段的通用性；第四類方法是定期遷移[14-16]和觸發遷移[17]，該類方法在防御各類側信道攻擊時具有良好的通用性，但是在遷移過程中會造成一定時間的服務中斷，影響服務質量。相關防御方法可相互結合，從而構建復合的防御體系，全方位提高惡意租戶實現側信道攻擊的難度。

已有的研究工作中，伊鵬等[18]針對現有服務功能鏈部署方法下惡意租戶實現VNF 共存的難度小、代價低的問題，提出了一種基于租戶分類與歷史信息的服務功能鏈部署方法，該部署方法在初始部署階段較大幅度提高了潛在惡意租戶對目標租戶實施側信道攻擊的難度和代價，但不能解決已共存VNF 所面臨的側信道攻擊風險，租戶VNF 若長期與某一未知租戶的VNF 共存，則其所含隱私信息依然面臨著一定的安全隱患。因此，本文從VNF在同一位置部署時長的時間緯度出發，引入VNF的遷移方法，以解決租戶VNF 長期與某一未知租戶VNF 共存時其隱私信息面臨的安全隱患。

在相關領域，遷移方法是防御側信道攻擊的一類重要可行手段，但是相關遷移方法應用于VNF領域時仍存在一些缺陷。Moon 等[15]首次對側信道信息泄露進行建模，總結了影響信息泄露速率的3 個重要因素，即共存時間、攻擊者虛擬機（VM,virtual machine）間是否協同以及目標VM 間隱私信息是否一致，基于此所建立的信息泄露模型具有很好的參考價值，但所設計的定期式遷移方法存在以下缺陷：需要對所有節點進行遷移，存在遷移節點過多和開銷過大的問題；若以較低的遷移頻率進行遷移，則不能防御一些快速的側信道攻擊；應用于VNF 遷移領域時，不能簡單地將需求抽象為VM 插槽，需要深入考慮服務器支持VNF 的類型約束和資源約束等；此外，進行遷移時需要考慮SFC 嚴格有序的鏈式結構，避免遷移后SFC 路徑過長問題。趙碩等[14]在Moon 等[15]的研究基礎上，為了降低節點遷移數量與遷移頻率，提出了基于安全等級的虛擬節點遷移方法，通過VM 安全等級分類，對租戶定義的關鍵VM 執行定期式遷移，顯著降低了VM遷移數量和頻率，但該方法采用的基于安全等級的分域部署策略存在一定缺陷，關鍵VM 由租戶自行設定，分類具有租戶主觀性，使惡意租戶可通過高安全需求的資源請求實現與高安全需求租戶的輕易共存。Zhang 等[17]提出對側通道攻擊進行實時檢測，并采用觸發式的VM 遷移方法來防止信息泄露，雖然可顯著降低遷移頻率與遷移開銷，但是需要掌握相關側信道攻擊手段的具體特征，難以應對眾多特征未知的側信道攻擊手段，此外相關側信道攻擊檢測系統需要額外部署軟件甚至硬件，會產生一定的服務器資源開銷，對性能有一定影響。

本文在相關研究的基礎上，針對現有遷移方法存在的局限性，提出了一種基于風險感知的關鍵虛擬網絡功能動態遷移方法，目標是在較大幅度降低已共存VNF 所面臨的側信道攻擊風險的前提下，解決VNF 遷移節點多、遷移頻率高、遷移后SFC路徑過長的問題。

2 問題描述與模型建立

2.1 符號定義

本文所采用的相關符號定義與先前的研究工作[18]一致。表1 對本文所采用的關鍵符號及其定義進行了表述。

2.2 VNF 遷移問題描述

利用云計算的技術優勢，租戶可根據實際需求按需租用資源，靈活高效地構建網絡服務所需的服務功能鏈（如Web 服務、郵件服務等）。服務功能鏈部署如圖1 所示。2 條服務功能鏈請求實例如圖1上部所示，每條服務功能鏈分別含有3 個VNF 節點，為了便于描述，本文簡化了租戶實際需要的VNF 數量以及所需的VNF 類型。云服務提供商根據租戶請求，結合云平臺資源狀態，按照設定的規則和策略將租戶的服務功能鏈請求部署到云平臺，圖1 展示了2 條服務功能鏈請求在云平臺中的部署情況，服務功能鏈1 的3 個VNF 分別部署在服務器節點N1、N5和N3，服務功能鏈2 的3 個VNF 分別部署在服務器節點N4、N5和N6。

為了充分發揮云計算的優勢，實現云資源的高效復用，云服務提供商借助虛擬化技術實現邏輯隔離，使多租戶間可共享底層基礎設施。如圖1 中所示，2 條服務功能鏈中的VNF 共用了服務器節點N5，然而這種共享資源模式在為租戶帶來巨大成本優勢的同時也引入了安全風險。

表1 關鍵符號定義

圖1 服務功能鏈部署

現實中，惡意租戶可繞過邏輯隔離，借助共享資源（如CPU、內存、磁盤等）構建各類側信道，進而從共存租戶的VNF 中竊取敏感信息，圖2 中右半部分表示側信道攻擊的實施。為了解決租戶隱私信息面臨的失竊風險，一種有效的防御方法是為租戶的VNF 提供遷移服務，在惡意租戶實現對目標租戶隱私信息的完整竊取前，遷移租戶VNF 以中斷側信道攻擊進程，圖2 展示了VNF 遷移過程，服務功能鏈1 的虛擬網絡功能VNF2由節點N5遷移到節點N2。圖3 展示了遷移完成后相關服務功能鏈的部署情況。

圖2 側信道攻擊與虛擬網路功能遷移

圖3 虛擬網絡功能遷移后服務功能鏈部署

然而，VNF 的遷移并非沒有代價，遷移VNF在降低租戶所面臨的側信道攻擊風險同時，也帶來了一些負面影響。例如，遷移會造成短暫的服務中斷，影響租戶服務體驗；遷移過程存在遷移開銷（計算資源消耗和帶寬資源消耗），影響云服務提供商成本；若遷移目的服務器節點選取不當則會導致服務功能鏈路徑過長，增加服務時延和服務提供商鏈路資源成本。為了保證租戶VNF 隱私信息的安全，云服務提供商可為租戶提供VNF 遷移服務。對VNF 進行遷移時需要解決以下問題。1)待遷移VNF 的選擇問題，如何減少待遷移VNF 的數量。2)遷移時機的選擇問題，如何在保證隱私信息安全的情況下降低遷移頻率，以減少云服務提供商成本及對租戶服務質量的影響。3)遷移目的節點的選擇問題，如何選擇最優的遷移目的服務器節點。為此，需要設計合理的遷移方法，在保證安全性的同時降低遷移帶來的負面影響。

2.3 VNF 遷移模型

圖4 VNF 遷移模型

VNF 部署在任何服務器節點的計算資源消耗是一致的，而部署位置極大地影響著鏈路資源開銷，因此，本文以最小化遷移后鏈路資源開銷為優化目標，建立了遷移模型。

目標為最小化鏈路資源開銷，目標函數如式(1)所示。

選取遷移目的服務器節點的約束條件如下。

3 VNF 動態遷移方法

側信道攻擊手段從防御者角度可分為兩類，即特征已知的側信道攻擊和特征未知的側信道攻擊。本文從以下兩方面實現側信道攻擊風險的感知與規避：對于特征已知的側信道攻擊手段，可利用現有側信道攻擊檢測系統對攻擊實施進程進行檢測，并基于檢測結果對相關VNF 執行觸發式遷移；對于特征未知的側信道攻擊手段，基于側信道攻擊信息泄露模型評估潛在攻擊成功實施的可能性，并據此對相關VNF 進行定期式遷移，以降低側信道攻擊成功實施的可能性。

為了解決2.2 節所述VNF 遷移面臨的問題，本文提出了基于風險感知的關鍵VNF 動態遷移方法，包含以下3 個策略：1)VNF 安全需求分類，僅對具有安全需求的VNF 進行遷移，以降低待遷移節點數量；2)定期式遷移結合觸發式遷移，充分利用不斷演進的側信道攻擊檢測系統，提升側信道防御性能的同時降低遷移頻率；3)基于逼近理想解排序（TOPSIS,technique for order preference by similarity to ideal solution）的多屬性節點的排序法，優化遷移目的服務器節點的選取。

3.1 VNF 安全需求分類

針對待遷移VNF 的選擇問題，將全部的VNF進行遷移是不合理的，且并非所有VNF 均含有隱私數據，因此不需要對所全部的VNF 進行遷移。本文參考趙碩等[14]的工作，引入VNF 分類策略，將VNF 分為有安全需求和無安全需求兩類。有安全需求的VNF 含有隱私信息，信息被竊取會造成一定的危害；無安全需求VNF 中僅含可公開信息，信息泄露不會造成危害。

定義二值矩陣SRr×m表示安全需求矩陣，元素SRr,i表示第r個請求中的第i個VNF 的安全需求，若SRr,i=1，則表示有安全需求，需要對其進行遷移操作。為租戶提供自定義VNF 安全需求接口，租戶在請求SFC 時，可根據實際需要對相關VNF 的安全需求進行設定。因此，VNF 遷移模型應添加安全需求約束條件，如式(5)所示。

3.2 定期式遷移結合觸發式遷移

針對遷移時機的選擇問題，本文參考趙碩等[14]和Moon 等[15]建立的側信道攻擊信息泄露模型，使用Δ表示遷移系統所采用的時間間隔，λ表示遷移系統所設置的單位時間間隔信息泄露量，Γ表示租戶間VNF 共存的時間間隔數量，Ir,i表示信息被成功竊取所需的最小信息量。

遷移系統以Δ為周期檢查VNF 的共存時間間隔情況，并對達到共存時間間隔數量閾值的VNF進行定期式遷移。由于每個服務器節點都存在不需要遷移的VNF，因此可對共存時間的維護做以下簡化，僅需統計有安全需求的VNF 在所部署服務器節點的部署時間即可，當有安全需求的VNF 在服務器節點部署的時間超過共存時間閾值時，應對該VNF 進行定期式遷移。用表示在服務器節點n部署的時間間隔數量，則為了保證VNF 隱私信息的安全性，應滿足

此外，可結合現有側信道攻擊檢測系統[16-17]，對相關VNF 執行觸發式遷移。假設有π種類型的檢測系統，定義二值矩陣ALERTπ×n表示側信道攻擊檢測矩陣，元素ALERTi,j表示檢測系統i觀察到的服務器j中的側信道攻擊發生狀況，ALERTi,j=1表示檢測系統i發現服務器j內正在發生側信道攻擊，ALERTi,j=0表示檢測系統i認為服務器j內未發生側信道攻擊。則當式(9)成立時，說明在服務器節點j正在發生側信道攻擊問題，需要對該服務器中的關鍵VNF 執行觸發式遷移。

3.3 多屬性節點排序

針對遷移目的節點的選擇問題，目前的遷移方法僅考慮節點的資源屬性，如計算資源、鄰接帶寬資源，而未深入考慮底層網絡的拓撲屬性以及服務功能鏈VNF 嚴格而有序的鏈式結構，進行遷移節點的選取時，可能會造成遷移節點距離過遠，進而在鏈路部署階段導致路徑過長（跳數過大），不僅浪費鏈路資源，還會造成服務功能鏈數據傳輸時延增加。

本文參考龔水清等[19]的工作，引入基于TOPSIS 的多屬性節點排序方法。進行遷移目的服務器節點選擇時，本文所關注的影響節點排序的關鍵屬性如下：節點的資源余量、與前置VNF 所部署服務器節點的距離和可用帶寬、與后置VNF 所部署服務器節點的距離和可用帶寬，以實現服務器節點資源屬性與拓撲屬性的綜合考慮。此外，本文方法具有可擴展性，后續可根據實際需要對影響節點排序的關鍵屬性進行調整。本節以圖5 為例進行說明，在選擇目的遷移服務器節點時，若N2、N4均支持的部署，且CPU 資源余量也基本一致時，此時將N2選為目的服務器節點更為合適，這是因為將該VNF 遷移到N2比遷移到N4的SFC整體的鏈路更短，可在降低服務時延的同時節約帶寬資源。

圖5 遷移目的服務器節點的選擇

接下來，對影響目的遷移服務器節點選擇的關鍵屬性進行量化，并引入基于TOPSIS 的多屬性節點排序方法，以實現目的遷移服務器節點的最優選擇。

1)服務器節點的資源余量（為了簡化問題僅考慮具有代表性的CPU 資源）可表示為

2)服務器節點n距離待遷移VNF 的前置VNF和后置VNF 的距離之和如式(11)所示，其中，DISprev(n)表示距離前置VNF 所部署服務器節點的最短路徑跳數，DISnext(n)表示距離后置VNF 部署服務器節點的最短路徑跳數。

3)可用帶寬如式(12)所示，其中，RBprev(n)表示距離前置VNF 部署服務器節點的最短路徑可用帶寬余量，RBnext(n)表示距離后置VNF 部署服務器節點的最短路徑可用帶寬余量。

參考龔水清等[19]的工作，引入基于TOPSIS 的多屬性節點排序方法，以存在n個待選服務器節點、h個關鍵屬性評價指標為例（本文中僅使用了上述3 個關鍵屬性作為評價指標）。基于TOPSIS 的多屬性節點排序方法分為以下6 個步驟。

1)構建特征矩陣。特征矩陣如式(13)所示，其中xi,j表示第i個節點的第j個評價指標的數值。

2)計算規范化矩陣。規范化矩陣如式(14)所示，由于各評價指標的類型、量綱、值均不同，為了便于比較，需對各屬性值進行規范化，屬性值規范化的方法多樣，本文采用與龔水清等[19]相同的方法，yij的計算方法如式(15)所示。

3)計算權重規范化矩陣。權重規范化矩陣如式(16)所示，其中，wj表示第j個評價指標的權重，wj約束條件如式(17)所示，zij的計算方法如式(18)所示。

4)確定正理想解A+和負理想解A-。正理想解A+如式(19)所示，負理想解A-如式(20)所示。

5)計算距離尺度。為每個候選服務器節點i計算距離正理想解和負理想解的距離，即

6)計算理想解貼近度。為每個候選服務器節點i計算距離理想解的貼近度，即

最后，根據理想解貼近度Oi的大小對候選服務器節點進行排序，并選出最優的遷移目的服務器節點。

4 算法設計

本節以最小化鏈路資源開銷為優化目標，設計了風險感知的關鍵虛擬網絡功能遷移（RVNFM,risk-aware key virtual network function migration）算法，RVNFM 算法由遷移決策算法和VNF 遷移算法2 個子算法構成。算法主要流程如下：以時間間隔Δ為周期，周期性地調用遷移決策算法，遷移決策算法實現VNF 的遷移決策，并調用VNF 遷移算法實現VNF 遷移。

遷移決策算法如算法1 所示。

算法1遷移決策算法

遷移決策算法具體描述如下。遍歷網絡中的服務器節點（第1)行），若檢測到服務器節點發生側信道攻擊，則對部署于該服務器節點且具有安全需求的VNF 執行觸發式遷移（第2)～5)行），遍歷部署于該服務器節點的VNF（第3)行），若VNF 具有安全需求（第4)行），則調用VNF 遷移算法執行觸發式遷移（第5)行）；若服務器節點未檢測到側信道攻擊，則對VNF 執行定期式遷移（第6)～9)行），遍歷部署于該服務器節點的VNF（第7)行），若具有安全需求的VNF 位于該服務器的部署時間超過閾值（第8)行），則調用VNF 遷移算法執行定期式遷移（第9)行）。

VNF 遷移算法如算法2 所示。

算法2VNF 遷移算法

輸入待遷移

輸出遷移方案

VNF 遷移算法的具體描述如下。算法分為VNF部署階段（第1)～6)行）與虛擬鏈路部署階段（第7)～11)行）2 個階段。篩選網絡中支持該類型VNF部署且資源足夠的服務器（第2)行），計算滿足條件服務器節點的關鍵屬性（第4)行），使用基于TOPSIS 的多屬性節點排序方法對服務器節點進行排序（第5)行），選擇最優服務器節點作為目的遷移服務器，更新節點資源余量（第6)行）。為2 條虛擬鏈路篩選帶寬資源充足的物理鏈路（第8)行），并從中篩選部署代價最小的鏈路集合（存在多條長度相等的鏈路）（第9)行），選擇帶寬資源余量最大的物理鏈路（第10)行），記錄所使用的物理鏈路并更新鏈路資源余量。

算法復雜度分析如下。算法1 中，執行觸發式遷移算法的最大計算復雜度為，其中，表示網絡中服務器節點的總數量，表示虛擬網絡功能的總數量；執行定期式遷移算法的最大計算復雜度為，因此算法1的最大計算復雜度為。算法2 中，基于TOPSIS 的多屬性節點排序VNF 部署方法的最大計算復雜度為，其中，h為評價指標的數量；虛擬鏈路部署階段的最大計算復雜度為為網絡中物理鏈路的總數量。因此，本文算法的計算復雜度為，為多項式函數復雜度。

5 實驗仿真

5.1 實驗環境設置

實驗算法使用Python 實現，運行于Intel Core i5-3230 2.6 GHz、16 GB 內存的計算機。采用與Li等[20]一致的數據中心胖樹拓撲網絡結構，包含54 個服務器、45 個交換機和162 條鏈路，每個服務器節點的計算資源為45 個，每條鏈路帶寬容量為45 個。實驗中設置了8 種不同類型的VNF，其中4 種為常用VNF 實例，另外4 種為用戶自定義（UD,user defined）VNF 實例。根據文獻[21]對VNF 資源需求系數進行設置，相關VNF 資源需求系數如表2 所示，每個服務器節點從8 種類型的VNF 中隨機選取6 種作為可承載VNF。每個SFC 請求需要處理的流量大小從{1,2,3}中隨機選取，所含的VNF 從8種類型的VNF 中隨機選取4 種，并隨機選取其中的2 個定義為具有安全需求的VNF，相關VNF 信息被成功竊取的最小信息量I從{500,1 000,1 500}中隨機選取。遷移系統所采用的時間間隔Δ=10，單位時間間隔信息泄露量λ根據下述實驗具體需求進行設置。參考常見云平臺的負載情況，本文對工作負載進行設置，使穩定狀態下服務器的平均資源使用率為50%，此時網絡中已部署約58 條SFC請求。

本文對網絡中存在的側信道攻擊方法做如下簡化。將其分為已知特征和未知特征的側信道攻擊手段，根據單位時間間隔信息竊取量δ將相關側信道攻擊方法的泄露速率分為快速、中速和慢速，仿真實驗中潛在惡意租戶可采用的單位時間間隔信息竊取量δ如表3 所示。實驗中采用飽和式攻擊，假設每個服務器節點均存在側信道攻擊，隨機從表3中選取一種可用的側信道攻擊手段。

表2 VNF 資源需求系數

表3 側信道攻擊方法分類

為了評估本文所提方法的有效性，將本文所提的RVNFM 遷移方法與下述相關方法進行對比實驗，采用定期式遷移策略的遷移方法（DMBSL,dynamic migration of virtual machine based on security level）[14]、采用觸發式遷移策略的遷移方法（MBHMU,migration based on heavy memory utilization）[17]和不執行遷移的方法（NM,no migration）。

5.2 評價指標

主要從以下4 個方面對比相關方法在防御側信道攻擊時的性能。1)遷移VNF 的數量，隨著時間推移，系統為抵御側信道攻擊所遷移的VNF 數量。2)時間間隔Δ內遷移VNF 的平均數量，在系統時間間隔Δ內，遷移VNF 數量的統計平均值。3)泄露信息的VNF 所占比例，隨著時間推移，由于不能防御的側信道攻擊手段而發生信息泄露的VNF占總體有安全需求VNF 的比例。4)遷移后距前后VNF 的跳數和，在完成VNF 遷移后，目的遷移服務器節點距離前置VNF 所部署服務器節點和后置VNF 所部署服務器節點的跳數和。

5.3 實驗結果分析

本文實驗部分通過2 個實驗進行對比分析。

1)不同遷移方法防御側信道攻擊的性能

首先，對比不同遷移方法在防御側信道攻擊時的性能，令λ=6。圖6 展示了飽和側信道攻擊環境下，隨時間推移不同遷移方法泄露信息VNF 所占比例，以NM 方法為基線。從圖6 可以看出，本文所提RVNFM 算法防御側信道攻擊的性能最優，這是因為RVNFM 方法結合觸發式遷移與定期式遷移，觸發式遷移可有效抵御所有特征已知的側信道攻擊，而定期式遷移方法能有效防御信息竊取速率δ＜λ的側信道攻擊（無論特征是否已知），結合兩者可有效防御絕大多數側信道攻擊手段，但是對于特征未知的快速側信道攻擊（δ＞λ），仍不能較好地解決，需要系統采用更大的λ值。此外，還可以看出，在本實驗所設置的參數下，僅使用定期式遷移策略的DMBSL 算法防御效果稍劣于僅使用觸發式遷移策略的MBHMU 算法。

圖6 隨時間推移系統中泄露信息的VNF 所占比例

圖7 展示了不同遷移方法下系統遷移VNF 的數量情況。不進行遷移的NM 方法無VNF 遷移；采用觸發式遷移策略的MBHMU 算法遷移的VM數量非常少，因此產生的遷移開銷很小；采用定期式遷移策略的 DMBSL 算法和本文所提出的RVNFM 算法均進行了大量的VNF 遷移，相較于MBHMU 算法而言具有很大的遷移開銷。此外，RVNFM 算法雖然比DMBSL 算法增添了觸發式遷移策略，直觀上應有更多的VNF 遷移數量，但實際上遷移數量基本一致，這是由于RVNFM 算法在對VNF 進行遷移決策時，對于信息泄露速率低于δ＜λ的已知特征側信道攻擊不進行觸發式遷移，而采用定期式遷移，可降低VNF 的遷移數量。

圖7 隨時間推移系統遷移的VNF 數量情況

從圖8 可以看出，MBHMU 算法遷移后的鏈路跳數和較大，會造成較大的鏈路資源開銷，增加服務的時延，這是由于MBHMU 采用隨機策略選擇目的遷移服務器節點，無論是在本文所使用的數據中心網絡拓撲還是其他網絡拓撲，通常情況下隨機選擇遷移目的節點極易造成遷移后路徑過長問題。而DMBSL 算法與本文提出的RVNFM算法遷移后的跳數之和均較小，這是由于DMBSL算法在對遷移節點進行選擇時考慮了鏈路部署開銷，有效避免選擇路徑過長的目的遷移服務器節點。而RVNFM 算法在選擇遷移目的節點時，采用了基于TOPSIS 的多屬性節點排序算法，其中一項節點評價指標是遷移后鏈路跳數，因此可有效避免遷移后鏈路過長問題。對于圖8 中存在跳數為0 的情況，是由于本文忽略了服務器到交換機這一跳，若2 個服務器在同一個交換機下則跳數距離為0。

圖8 遷移后距前后VNF 的跳數之和

2)λ對相關遷移算法的影響

λ對相關遷移算法防御效果的影響如圖9 所示。其中，采用觸發式遷移策略的MBHMU 算法不受λ影響，不再列出不同參數下的狀況。而DMBSL算法和本文提出的RVNFM算法隨λ的增大防御效果逐漸提升，可以看出相同的λ下，RVNFM 算法優于DMBSL 算法。RVNFM 算法甚至可在λ=6的情況下達到接近DMBSL 算法在λ=8時的防御性能，而更大的λ，意味著更多的VNF 遷移數量（如圖10 所示），也將面臨著更高的遷移開銷和更大的服務影響。在相同的防御性能下，RVNFM 具有更低的節點遷移數量與遷移頻率。

圖9 λ對相關遷移算法防御效果的影響

圖10 λ對VNF 遷移數量的影響

如圖10 所示，雖然增大λ可顯著提高相關算法防御側信道攻擊的性能，但是也顯著提高了VNF 遷移數量，由此會造成較大的遷移開銷。服務提供商應根據實際情況及租戶需求，合理地對λ進行設置，可對不同λ進行差異化定價。圖11展示了不同λ下，相關遷移算法在時間間隔Δ內遷移VNF 的平均數量情況。可以看出，MBHMU算法在時間間隔Δ內遷移VNF 的平均數量較少，且不受λ的影響。而RVNFM 和DMBSL 算法在時間間隔Δ內遷移VNF 的平均數量隨λ的增大而顯著提高。

圖11 時間間隔Δ內遷移VNF 的平均數量情況

6 結束語

本文對多租戶環境下租戶VNF 長期共存所面臨的側信道攻擊問題進行了描述，分析了現有遷移算法存在的問題與不足，并概述了VNF 進行遷移時需要解決的3 個關鍵問題：待遷移VNF、遷移時機及遷移目的節點的選擇問題。由此提出了基于風險感知的關鍵虛擬網絡功能動態遷移算法，并驗證了算法的有效性。本文圍繞SFC 中虛擬網絡功能面臨的安全性問題展開研究，而未深入考慮SFC 中虛擬鏈路所面臨的安全威脅。然而租戶間虛擬鏈路共享底層資源時也同樣面臨著信息泄露風險，在未來的研究工作中將試圖解決SFC 虛擬鏈路面臨的安全風險，進一步提高SFC 隱私信息的安全性。