基于改進BN模型的網絡切片安全部署方法

摘要：為了滿足5G垂直用戶對于網絡切片部署時細粒度安全隔離需求，同時兼顧用戶的隔離需求和提高資源利用率，提出了一種基于改進BN模型的網絡切片安全部署方法。首先提出了一種雙層BN模型的網絡切片部署架構，基于SBA（servicebasedarchitecture）設計了虛擬機容器的雙層虛擬化架構，將網絡切片根據其所屬用戶的隔離需求分配利益沖突類標簽，基于改進的BN模型部署規則確定網絡切片的隔離部署策略；然后將該部署方法建立為整數線性規劃模型，并將部署成本作為目標函數，通過最小化目標函數實現低成本部署網絡切片；最后使用遺傳算法對該問題仿真求解。實驗結果表明，該安全部署方法在滿足網絡切片安全隔離需求的前提下降低了部署成本。

關鍵詞：網絡切片；網絡功能虛擬化；安全部署；虛擬網絡功能

中圖分類號：TP393文獻標志碼：A

文章編號：1001-3695（2023）05-030-1480-06

0引言

第五代移動通信系統（5G）的微服務架構不僅實現了移動通信網絡服務與基礎設施的解耦，而且為垂直行業提供了更加靈活便利的網絡服務。網絡切片技術［1］使得運營商可以為不同用戶提供更加個性化的通信服務。5G網絡切片主要依賴軟件定義網絡（software-definednetwork，SDN）和網絡功能虛擬化（networkfunctionvirtualization，NFV）兩大關鍵技術。SDN實現了5G網絡控制平面和數據平面的解耦，NFV則實現了網絡功能與硬件的解耦。得益于NFV和SDN，運營商可以更靈活高效地管理網絡切片，從而減少運營時的成本支出［2］。

5G網絡切片實質上是一組邏輯上互聯的虛擬網絡功能（virtualnetworkfunction，VNF），為用戶提供端到端的網絡服務。通過將虛擬化后的用戶面功能（userplanefunction，UPF）、移動接入管理功能（accessandmobilitymanagementfunction，AMF）等VNF部署在虛擬機或容器中，從而實現網絡切片的靈活部署。雖然NFV為5G網絡切片的資源管理帶來了極大的便利，但針對共享物理主機的虛擬機同駐攻擊行為嚴重威脅著虛擬網絡功能的安全。文獻［3］介紹了一種利用AMD-V漏洞惡意控制硬件資源的攻擊手段，通過硬件虛擬化漏洞達到攻擊主機的目的。文獻［4］介紹了一種云環境下的內存攻擊方式，攻擊者通過rowhammer攻擊破壞虛擬機內存的隔離，致使同一臺物理主機上的不同虛擬機的內存信息被泄露。文獻［5］中介紹了一種拒絕服務攻擊手段，攻擊者通過惡意占用內存造成同主機上其他用戶的虛擬機無法正常工作。文獻［6］提出了一種Flush+Reload的攻擊手段，通過跨虛擬機的刷新+重載緩存從而成功恢復受害者虛擬機中運行的AES密鑰。為了應對上述虛擬機同駐攻擊，研究者們通過設置VNF的部署策略來增強網絡切片的安全性。文獻［7］量化虛擬網絡和物理網絡的安全級別，并將兩者的安全級別作為能否嵌入的約束，從而實現虛擬網絡的安全嵌入。文獻［7］利用信息商的TOPSIS方法對節點排序，根據排序結果對虛擬節點進行嵌入，從而實現了虛擬網絡的安全嵌入。文獻［8］通過量化底層基礎設施節點的安全等級來輔助虛擬網絡的映射，在滿足用戶服務質量要求的同時增強了安全性。文獻［9］則是從網絡切片實例的性能安全入手，通過評價網絡切片實例資源的供需比來評價網絡切片實例的隔離等級，在部署切片時以安全等級差值作為是否能共存的依據，該方法在滿足運營商收益成本比的同時保證了網絡切片實例的性能安全。文獻［11］在有安全需求的網絡切片實例中插入具有安全保護功能的VNF增強網絡切片實例的安全性，在部署階段根據VNF的安全約束確定部署位置。

以上研究在部署切片時僅提供了單層虛擬化架構下網絡切片安全隔離，當用戶有更細粒度的隔離需求時，單層隔離架構無法滿足運營商成本支出最小化的需求。例如同一金融機構內包含不同的部門，相互間的利益競爭關系弱于機構間的競爭關系，但部門之間的用戶切片也需要一定程度的隔離環境，因此為了運營商的成本支出最小化，為用戶提供虛擬機隔離即可滿足需求。文獻［10～12］中的基于服務的架構提供了靈活便利的部署環境，目前基于該架構下網絡切片安全部署的需要開展研究，為了實現網絡切片更細粒度的安全部署，本文基于BN模型提出了一種適用虛擬機容器雙層虛擬化架構下的網絡切片安全部署方法。該方法將網絡切片實例的所有者劃分為不同的利益沖突類，通過BN模型的利益沖突限制確定網絡切片實例的VNF（容器）能否共存部署，在部署時通過網絡切片實例的標簽判斷確定候選節點，將相同利益沖突類的VNF共存部署，從而消除不同機構間發動虛擬機同駐攻擊的可能性，與此同時雙層虛擬化架構也為同一機構下不同部門發動攻擊增加了難度；在部署時不僅要考慮到網絡切片的安全約束，并且還要從運營商的成本支出出發盡可能地降低運營商的部署成本；最后利用整數線性規劃對該部署問題建模，同時使用遺傳算法求解出部署結果。

1問題描述

1.1隔離問題描述

不同垂直用戶的網絡切片在部署時為了安全起見往往希望獨立主機部署，但在實際情況中運營商是無法滿足多用戶的獨立主機部署需求的，若不對用戶的隔離需求進行分析，不僅會增加網絡切片部署時的復雜程度，而且會對基礎設施的資源造成極大的浪費。本文通過對垂直用戶的利益沖突關系進行細分，確定了切片間隔離需求的強弱，再結合虛擬機容器的雙層虛擬化架構的隔離優勢，為垂直用戶提供了容器隔離、虛擬機隔離、主機隔離三種由弱到強的隔離方式，最后通過對BN模型進行改進，確立了不同機構間的主機隔離、同一機構下不同部門間的虛擬機隔離的部署策略。這種隔離策略的優勢是明顯的，例如惡意用戶的VNF想要通過提權攻擊獲取有用的敏感信息，由于機構與機構間已經形成了主機隔離、部門與部門間形成虛擬機隔離，這使得提權攻擊實施起來不會那么順利，即使惡意用戶提權成功發動同駐攻擊獲取了同主機上用戶的信息，但由于同一主機上都是同一機構的VNF，所以獲取的信息對于攻擊者來說也沒有太大價值。為了方便運營商為用戶提供雙層隔離的運行環境，結合NFV技術標準ETSIGRNFV-IFA029［13］中基于服務的虛擬化架構，同時考慮到運營商提供服務的方式［12］，本文設計了虛擬機容器雙層虛擬化架構。基于服務的架構是通過VNF組件為用戶提供接口化的服務，雖然在靈活性方面得到了極大提升，但是由于最大化共享的使用原則（同一VNF組件可以由多個VNF調用），所以不能滿足垂直用戶的隔離需求。與基于服務的架構不同，本文將VNF直接以容器的方式部署到虛擬機中，并提供了兩層隔離環境，安全性方面得到了提升。如圖1所示，運營商搭建提供底層的基礎設施，首先通過虛擬化層為用戶提供若干個虛擬機，然后將網絡切片的VNF以容器的方式實例化部署在運營商提供的虛擬機上。該架構具有良好的隔離性，最頂層VNF之間可以形成容器隔離，中間層容器之間可以形成虛擬機隔離，最底層虛擬機之間可以形成物理主機隔離。三種隔離的特性由上向下依次增強，可以為用戶提供不同粒度的隔離服務。

1.2BN模型的改進

1.2.1BN模型簡介

BN模型是Brewer等人［14］在1988年根據現實的商業策略提出的中國墻（Chinesewall）安全模型。該安全模型試圖解決相互競爭的客體通過主體訪問的歷史數據，建立一道虛擬的墻來保護客體的數據不被非法訪問。其安全策略的本質是將全體數據劃分為利益沖突類，通過強制性約束，主體至多訪問每個利益沖突類的一個數據集。該模型中包含主體、客體和利益沖突類三個要素。本文通過對該模型中主體、客體和利益沖突類進行重新定義，使5G網絡切片中不同用戶的VNF形成不同粒度的隔離，從而增強用戶的安全隔離性，降低攻擊者攻擊成功的可能性。

1.2.2基于雙層BN模型的5G切片架構

圖2為雙層BN模型的5G切片的組織架構，與BN模型不同，為了區分同一機構下的不同機構部門本文增加了子利益沖突類。

a）最底層：客體，即網絡切片中特定功能的VNF，每一個VNF僅能屬于某一個網絡切片。

b）中間層：網絡切片集，該集合由所有屬于網絡切片實例的VNF組成。

c）次高層：子利益沖突類，是同一機構下的所有具有利益沖突關系的部門的網絡切片集合。

d）最高層：利益沖突類，不同機構下具有利益沖突關系的部門的網絡切片集合。

確定客體VNF的從屬關系后，首先通過網絡切片的從屬關系可以將其歸屬到相應的利益沖突類，再根據其在機構內部的關系劃歸到不同的子利益沖突類。利益沖突類是區分網絡切片擁有者的機構關系，子利益沖突類是為了區分同一機構內不同部門的關系集合。通過兩層利益沖突類的劃分，不僅可以實現不同機構間的隔離關系，也可以實現同一機構內不同部門間的隔離關系。利益沖突類的隔離關系要求較高，運營商可以為某一機構分配物理主機的集合使其形成主機隔離，子利益沖突類屬于同一機構內部的不同部門，隔離屬性相對較弱，因此可以分配虛擬機集合使不同部門形成虛擬機隔離。為了保證在同一個虛擬機上部署的VNF應用環境的獨立性，需要不同VNF形成容器隔離。雙層BN模型的5G切片的組織架構通過利益沖突類的分層關系與虛擬機容器隔離度的耦合實現了不同機構間的隔離，同時也實現了同一機構下的不同部門之間的隔離。類似于BN模型的數據集標簽的實現方法，本文將網絡切片也賦予相應的標簽，根據網絡切片擁有者之間的沖突關系確定部署時應采用的隔離度，不同機構間的主機隔離可以有效避免虛擬機同駐攻擊行為的發生，同一機構內的不同部門形成的虛擬機隔離可以有效防御容器逃逸后對其他部門的攻擊行為，同一虛擬機上的VNF可以通過容器隔離避免應用運行環境依賴帶來的相互干擾。

1.2.3形式化模型

為了更好地描述雙層BN模型的5G切片部署規則，現對該模型中的主體、客體、部署操作和安全標簽做如下定義：

定義1客體集合O，是指待部署的VNF集合O={oi|o1，…，on}，其中oi代表一個待部署的VNF，VNF以容器的方式實現。

定義2一級主體集合S1，是指虛擬機的載體集合，虛擬機的載體是物理主機S1={s1j|s11，…，s1m}，其中s1j代表一個等待容器部署的物理主機，虛擬機需要部署到物理主機上。

定義3一級主體集合S2，是指容器的載體集合，容器的載體是虛擬機S2={s2k|s21，…，s2p}，其中s2k代表一個等待容器部署的虛擬機，VNF容器需要部署到虛擬機中。

定義4部署操作EMB（i，j，k），將客體VNF容器oi部署在一級主體物理主機s1j上的二級主體虛擬機s2k中。

定義5安全標簽用于定義客體所屬的組織VNF集合與利益沖突類。L1表示一個一級安全標簽集（x，y），其中x代表利益沖突類，y代表組織VNF集合;L2表示一個二級安全標簽集（z，y），z代表子利益沖突類，y代表組織VNF集合。每一個客體都有一組一級安全標簽集和一組二級安全標簽集。引入X（oi）和Y（oi）來表示將標簽（x，y）賦予某一指定客體，Z（oi）和Y（oi）表示將二級標簽（z，y）賦予某一指定客體。對于每一個oi，xi表示其利益沖突類，zi表示特定子利益沖突類，yi表示其切片集。

定義6部署狀態矩陣。令M為一個布爾型矩陣，M的行對應每一個主體，M的列對應的是客體，M的層對應的是主機上的虛擬機，EMB（i，j，k）表示一級主體物理主機s2k上的二級主體虛擬機s1j是否部署了客體容器oi，當為TRUE時表示已部署，為FALSE時表示未部署。客體在完成部署后要將相應的元素置為TRUE并刷新矩陣M，被打上一級標簽的一級主體物理主機在下一次部署時就不能被其他利益沖突類的客體容器部署，被打上二級標簽的二級主體虛擬機在下一次部署時就不能被其他子利益沖突類的客體容器部署。

下面對安全部署規則進行推導：

客體VNF只能部署在沒有部署過與其利益沖突類標簽不同物理服務器上的虛擬機中，且共用虛擬機部署的條件為子利益沖突類標簽必須相同，部署過其他利益沖突類標簽VNF的物理服務器不能部署在與該VNF利益沖突類標簽不同的VNF，且同一主機上的同一虛擬機上不能部署子利益沖突類標簽不同的VNF。

1.2.4基于雙層BN模型的5G切片安全部署示例

圖3表示不同利益沖突類的網絡切片部署示例，其中網絡切片1和2分別屬于兩個金融機構，其中網絡切片1的利益沖突類標簽為A，網絡切片2的利益沖突類標簽為B，因此在部署階段網絡切片1應選擇部署在含有利益沖突類A的VNF的物理主機上或部署在沒有部署其他VNF的物理主機上。在實際情況中，隨著網絡切片請求實例的到達，基礎設施會根據利益沖突類形成一個動態變化的分域，不同利益沖突類的網絡切片實例不能在與其利益沖突類不同的主機上部署。圖4表示在同一家金融機構不同兩個部門的網絡切片部署示意圖，由于網絡切片1和2都屬于同一金融機構，所以其利益沖突類標簽是一致的，其VNF可以共用主機部署。由于網絡切片1和2分別屬于不同的部門，所以其子利益沖突類標簽不相同，其部署的過程為：網絡切片首先選擇部署的物理節點，而后再選擇部署的虛擬機，VNF在部署時應先判斷候選虛擬機的標簽，其應選擇與自身子利益沖突類標簽相同的虛擬機進行部署。網絡切片部署時，利益沖突類標簽保證VNF的主機隔離，子利益沖突類標簽保證VNF形成虛擬機隔離，經過以上兩階段的分域部署，使網絡切片的安全性得到了明顯提升。

2安全部署方法

為了方便網絡切片的部署結果求解，本文將該問題建模為整數線性規劃。在部署網絡切片時，需要滿足以下限制條件：a）NFVi物理節點所承載VNF的請求資源數總和不得超過其擁有的資源數；b）每條物理鏈路承載虛擬鏈路需求帶寬資源數的總和不得超過該鏈路擁有的資源數；c）不同利益沖突類的VNF不能共用物理主機部署；d）不同子利益沖突類的VNF不得共用虛擬機部署。上述約束條件限制是滿足網絡切片成功部署的可行性條件，但在實際部署網絡切片時還要盡可能地降低部署時的成本支出，因此本文將網絡切片的部署成本作為目標函數。

2.1網絡模型

網絡切片的部署問題實質上就是虛擬網絡的映射問題（virtualnetworkembedding，VNE）［15］，網絡切片實質上就是一個虛擬網絡，映射問題就是將虛擬網絡部署到基礎設施的節點上。VNE是一個NP-hard難題［16］，如VNE問題一樣網絡切片的映射同樣具有相同的復雜性，在部署網絡切片時不僅要考慮基礎設施的節點和鏈路的承載能力，還要考慮網絡切片的服務質量（qualityofservice，QoS）保證以及運營商的成本收益。大多數解決方案是將該問題轉換為線性規劃問題并采用啟發式算法求解，研究者們可以通過改變約束條件和目標函數獲得預想的解決方案［17，18］。類似于VNE的數學模型，網絡切片的映射就是將網絡切片實例映射到NFV基礎設施（NFVinfrastructure，NFVi）上。為了方便求解該問題，本文將NFVi抽象為一個有權無向連通圖GS={NS，LS，CN，CL，PS}，NS表示NFVi中的物理主機集合，LS表示NFVi中物理鏈路集合，CN表示NFVi中的物理主機剩余計算資源數的集合（CPU資源、ROM資源以及RAM資源的總和），CL表示NFVi中物理鏈路剩余帶寬資源數集合，PS表示NFVi中的物理主機計算資源單位計算資源價格的集合。網絡切片實例同樣為一個有權無向連通圖GV={NV，LV，RN，RL，Θ，B}，NV表示網絡切片實例中VNF的集合，LV表示網絡切片中虛擬鏈路的集合，RN表示VNF需求計算資源數的集合，RL表示切片邏輯鏈路需求計算資源數的集合，Θ表示該切片屬于的利益沖突類標簽，B表示該切片屬于的子利益沖突類標簽。為了后續建立約束條件計算方便，本文將Θ和B的類型均定義為一組one-hot向量，其維度與標簽類型數量相同，假設兩類標簽形成的矩陣為Λ和τ，其行數為VNF的總數，列數為利益沖類和子利益沖突類的個數（分別為δ和λ）。由于本文采取的架構為容器部署在虛擬機上的情況，所以虛擬機也會產生相應的資源消耗，其資源消耗量為一個常數設為M，每個虛擬機可以承載容器的個數為D個。

2.2部署模型

根據前文所述的模型架構以及網絡切片部署模型，網絡切片的部署實際上就是將網絡切片請求GV映射到基礎上設施GS上，假設當前第q個網絡切片請求GqV等待部署，GqV中共有t個虛擬節點和f個虛擬鏈路，基礎設施中共有r個計算機節點和w條物理鏈路，當前已經共有n個VNF部署在基礎設施中，所有VNF的利益沖突類標簽形成的矩陣為Λn，δ，子利益沖突類形成的矩陣為τn，λ，為了求解該部署問題定義兩個二進制（0-1）決策變量：a）ω～q，x，y表示將GqV中的第x個VNFuxV∈NqV映射到基礎設施中的第y個物理節點uyS∈NS上，此時ω～q，x，y的值為1，此時所有已部署的VNF形成的矩陣為πn，r;b）μq，lm，ξ表示將GqV中的第l個VNFulV∈NqV和第m個VNFumV∈NqV之間的虛擬鏈路映射到uaS∈NS（假設ulV映射到該節點）到ubS∈NS（假設umV映射到該節點）物理鏈路集Ξ上，此時μq，lm，ξ值為1。

2.3部署算法

網絡切片的映射是一個復雜的問題，無法在短時間內窮舉其所有解并求出最優解，由于該問題為混合整數規劃模型且是NP-hard問題，多項式時間內無法求解出部署結果。為了方便該問題的求解，本文結合遺傳算法設計了基于改進BN模型的部署算法（improvedBNmodelgeneticalgorithm，IBN-GA）。

2.3.1遺傳算法細節設計

定義域空間隨節點數量和VNF的數量呈指數級增長，其搜索空間為rt（其中r為服務器的數量，t為網絡切片中虛擬節點的數量），由于約束條件中包括含節點限制、標簽限制以及鏈路限制，所以可行域的空間遠小于搜索空間的數量級。為了盡快地獲得預想結果必須加大隨機搜索的范圍，因此對交叉、變異步驟采用了改進的策略。

1）適應度值函數本文算法要求盡可能降低運營商的部署成本，因此將成本支出作為評價基因好壞的適應度值函數，如式（1）所示。

2）染色體編碼本文算法的染色體編碼采用十進制編碼，具體為一個向量，長度為網絡切片實例中VNF的數量，每個基因的取值為［1，r］，個體基因表示的具體意義為網絡切片中第ε個VNF映射到了基礎設施中第σ個物理主機上。

3）生成初始種群初始種群中的個體采用隨機的策略生成，若生成的個體滿足式（2）～（6）的條件約束，則將新個體加入種群。

4）選擇由于VNF映射物理主機的直接位置影響了切片實例部署的成本支出，所以本文采用選擇最優個體的策略，即選擇種群中適應度值較低的個體參與下一步的操作。

5）交叉為了使交叉操作的隨機性更大，本文采取了隨機點位、隨機位數的雙隨機交叉策略。

6）變異本文采用隨機選擇個體，隨機選擇點位變異的雙隨機變異策略。

2.3.2IBN-GA算法描述

當用戶的網絡切片請求到達以后，獲取當前的基礎設施網絡的數據，然后利用算法1進行優化。本文算法為兩階段映射算法，即先映射虛擬節點再映射虛擬鏈路。虛擬鏈路的映射規則采用K階最短路徑算法（K的取值為3），即每次選出兩個物理節點所有路徑中前K短的路徑作為候選路徑。

3仿真與分析

3.1實驗環境設置

在配置為IntelCoreTMi5-4200H2.8GHzCPU，12GB內存的PC上，仿真用Networkx集成環境生成NFVi網絡和切片請求數據，并使用Python編程對實驗結果進行仿真分析。網絡和請求參數設置如表1所示，仿真參數設置如表2所示，虛擬機的系統開銷為5，每個虛擬機最多可承載4個容器。實驗通過對比不同數量利益沖突類網絡切片部署時的請求接受率、部署成本以及資源占比等數據評估本文算法的有效性。其中請求接受率為成功部署網絡切片的數量與總的切片請求數量的比值，該值越大說明成功部署的切片的數量越多；部署成本為當前網絡切片占用計算資源的總價，該值越小說明成本支出越小；節點計算資源利用率為當前切片占用的節點計算資源與物理網絡所有節點計算資源的總和之比，該值越大說明網絡中節點計算資源利用率越高；鏈路帶寬資源利用率同節點資源利用率，值越大說明網絡鏈路資源利用率越高。

3.2結果分析

為了評價本文方法的有效性，選擇與單層虛擬化架構下的隔離部署對比實驗（方法1），本文方法（方法2）將網絡切片的利益沖突類設置為3個，每個利益沖突類下面設置3個子利益沖突類，所有標簽均為隨機生成。為了滿足與方法2同樣的條件設置，即每一個利益沖突類下的子利益沖突類均應滿足隔離部署，由于方法1只有一層虛擬化隔離，所以當利益沖突類數量為9時才能滿足所有用戶網絡切片的隔離需求。在部署成本方面本文選擇與隨即部署算法對比，隨機部署算法是在滿足約束條件的前提下隨機生成一個結果作為部署結果。實驗表明，與隨機部署算法相比本文算法部署成本平均下降了33.3%（多次實驗取平均值）。

圖5為方法1和2在請求接受率方面的對比變化曲線。隨著網絡切片請求數量的到達數量的增加，兩者均出現了接受率下降的趨勢，但方法2首次出現接受率下降的切片請求數量明顯多于方法1的切片請求數量，且曲線的下降趨勢方法1遠高于方法2，該實驗結果表明在相同的基礎設施上方法2可以部署更多的網絡切片。

圖6顯示了部署成本的變化情況。如圖所示，隨著切片請求數量的增多，兩種方法的部署成本與隨機部署方法均呈現逐步上升的趨勢，本文算法的部署成本明顯低于隨機部署算法的成本，說明本文算法有效地降低了部署切片時產生的成本。

圖7顯示了節點計算資源利用率情況。如圖所示，隨著切片請求的不斷增多，兩種部署方法資源利用率均呈上升趨勢并在到達一定數量后趨于穩定。這是由于隨著切片請求的到達資源占用逐步增加，到達一定數量后網絡基礎設施剩余的資源無法滿足更多的切片請求，所以會趨于穩定。但方法1的節點資源利用率明顯低于方法2的利用率，這是由于方法1中單層虛擬化架構簡單和利益沖突類數量多造成的，即每一類型切片都需要形成主機隔離，所以網絡基礎設置上可以承載的切片數量遠小于方法2的數量，雖然安全性有所提高，但是資源開銷巨大，在到達穩定后資源利用率只有30%左右，遠低于方法2的資源利用率。圖8顯示了鏈路資源利用率情況。如圖所示，隨著切片請求數量的不斷增多兩種部署方法的帶寬資源利用率均呈上升趨勢并在到達一定數量后趨于穩定，其原因與節點計算資源利用率的情況相同。但方法1的鏈路資源利用率明顯低于方法2，其原因與節點計算資源利用率的情況相同。

4結束語

基于NFV和SDN的網絡切片部署技術可以有效地提高5G網絡基礎設施的資源利用率，但用戶的隔離部署需求也帶來了極大挑戰。本文從用戶的細粒度安全隔離需求入手提出了一種基于雙層BN模型的網絡切片部署方法。該方法是將網絡切片的用戶劃分成利益沖突集合，根據垂直用戶利益沖突關系的強弱確定應該采取的隔離方式，并結合虛擬機容器雙層虛擬化架構的優點，既保證了用戶網絡切片的隔離需求，又能兼顧底層網絡的資源利用率。為了評估本文所提的部署方法，進行了建模仿真，并進行了對比實驗。實驗表明，本文方法有效降低了網絡切片部署的成本支出。由于本文所提的云化框架并非ETSI標準文檔中的架構，所以在后續的研究中可以利用現有開源環境完成工程實現，驗證所提架構的可行性。

參考文獻：

[1]張雪貝，黃倩，楊文聰，等.5G端到端網絡切片進展與挑戰分析［J］.移動通信，2022，46（2）：43-48.（ZhangXuebei，HuangQian，YangWencong，etal.Progressandchallengeanalysisof5Gend-to-endnetworkslicing［J］.JournalofMobileCommunications，2022，46（2）：43-48）

［2]倪青.考慮時延感知的5G網絡切片節點映射成本與時延平衡控制［J］.信息技術與信息化，2021（5）：174-175.（NiQing.Costanddelaybalancecontrolofslicenodemappingin5Gnetworksconside-ringdelayawareness［J］.InformationTechnologyandInformatization，2021（5）：174-175.）

［3]DesnosA，FiliolE，LefouI.Detecting（andcreating！）aHVMrootkit（akaBluePill-like）［J］.JournalinComputerVirology，2011，7（1）：23-49.

［4]XiaoYuan，ZhangXiaokuan，ZhangYinqian，etal.Onebitflips，onecloudflops：cross-VMrowhammerattacksandprivilegeescalation［C］//Procofthe25thUSENIXSecuritySymposium.［S.l.］：USENIXAssociation，2016：19-35.

［5]ZhangTianwei，ZhangYinqian，LeeRB.DoSattacksonyourme-moryinthecloud［C］//ProcofACMSymposiumonInformation，ComputerandCommunicationsSecurity.NewYork：ACMPress，2017：253-265.

［6]IrazoquiG，InciMS，EisenbarthT，etal.Waitaminute！Afast，cross-VMattackonAES［C］//ProcofInternationalWorkshoponRecentAdvancesinIntrusionDetection.Cham：Springer，2014：299-319.

［7]ZhangPeiying，WangChao，JiangChunxiao，etal.Security-awarevirtualnetworkembeddingalgorithmbasedonreinforcementlearning［J］.IEEETransonNetworkScienceandEngineering，2020，8（2）：1095-1105.

［8]ZhangPeiying，LiHaisheng，NiYongjing，etal.SecurityawarevirtualnetworkembeddingalgorithmusinginformationentropyTOPSIS［J］.JournalofNetworkandSystemsManagement，2020，28（1）：35-57.

［9]潘啟潤，黃開枝，游偉.基于隔離等級的網絡切片部署方法［J］.網絡與信息安全學報，2020，6（2）：96-105.（PanQirun，HuangKaizhi，YouWei.Networkslicedeploymentmethodbasedonisolationlevel［J］.JournalofNetworkandInformationSecurity，2020，6（2）：96-105.）

［10]JmilaH，BlancG.Towardssecurity-aware5Gsliceembedding［J］.Computersamp;Security，2021，100：102075.

［11]張皓然.基于微服務的5G核心網管理與編排技術研究［D］.西安：西安電子科技大學，2021.（ZhangHaoran.Microservice-basedmanagementandorchestrationfor5Gcorenetwork［D］.Xi’an：XidianUniversity，2021.）

［12]王波.5GSA的網絡架構和關鍵技術［J］.移動通信，2020，44（1）：24-32.（WangBo.Networkarchitectureandkeytechnologiesof5GSA［J］.MobileCommunications，2020，44（1）：24-32.）

［13]QianDazan，GuoSonghui，SunLei，etal.Anintegritymeasurementschemeforcontainerizedvirtualnetworkfunction［J］.JournalofPhysics，2021，2137（1）：012029.

［14]ETSI.ETSIGRNFV-IFA029V3.3.1，Networkfunctionsvirtualisation（NFV）release3architecture;reportontheenhancementsoftheNFVarchitecturetowards\"cloud-native\"and\"PaaS\"［S］.2017.

［15]BrewerDFC，NashMJ.TheChinesewallsecuritypolicy［C］//ProcofIEEESymposiumonSecurityandPrivacy.Piscataway，NJ：IEEEPress，1989：206-214.

［16]BoutignyF，Betge-BrezetzS，BlancG，etal.Solvingsecurityconstraintsfor5Gsliceembedding：aproof-of-concept［J］.Computersamp;Security，2020，89：101662.

［17]KuoTW，LiouBH，LinKCJ，etal.Deployingchainsofvirtualnetworkfunctions：ontherelationbetweenlinkandserverusage［J］.IEEE/ACMTransonNetworking，2018，26（4）：1562-1576.

［18]趙季紅，馮晴，王智，等.面向多業務場景的端到端網絡切片安全部署算法［J］.電子與信息學報，2022，44（4）：1421-1428.（ZhaoJihong，FengQing，WangZhi，etal.Anend-to-endnetworkslicesecuritydeploymentalgorithmformulti-servicescenarios［J］.JournalofElectronicsamp;InformationTechnology，2022，44（4）：1421-1428.）

［19]吳玄，姬偉峰，翁江，等.基于安全感知的網絡切片部署策略［J］.空軍工程大學學報，2022，23（4）：99-106.（WuXuan，JiWeifeng，WengJiang，etal.Networkslicedeploymentstrategybasedonsecurityawareness［J］.JournalofAirForceEngineeringUniversity，2022，23（4）：99-106.）