一种网络功能虚拟化NFV网络的资源管理系统的制作方法

一种网络功能虚拟化nfv网络的资源管理系统
技术领域
1.本发明涉及云计算领域，特别是涉及一种网络功能虚拟化nfv网络的资源管理系统。


背景技术：

2.网络功能虚拟化(network functions virtualization，nfv)是一种关于网络架构的概念。我们平时使用的x86服务器由硬件厂商生产，在安装了不同的操作系统以及软件后实现了各种各样的功能。而传统的网络设备并没有采用这种模式，路由器、交换机、防火墙、负载均衡等设备均有自己独立的硬件和软件系统。nfv借鉴了x86服务器的架构，它将路由器、交换机、防火墙、负载均衡这些不同的网络功能封装成独立的模块化软件，通过在硬件设备上运行不同的模块化软件，在单一硬件设备上实现多样化的网络功能。
3.nfv架构是欧洲电信标准协会(etsi)提出的用于定义nfv实施标准的一种标准架构。nfv的理念是将标准化的网络功能应用于统一制式的硬件上。不同于传统物理设备中软件与硬件强绑定的关系，在nfv架构中，实现各种网络功能的标准化软件必须能够应用在同一台硬件设备上。这就要求nfv需要有一个统一的标准。nfv架构由基础网络功能虚拟化架构、虚拟网络功能、管理自动化及网络编排三个部分组成：
4.基础网络虚拟化架构(network functions virtualization infrastructure，nfvi)：nfvi就好比各手机厂商推出的手机系统，它给硬件设备赋予基本的组件，支持网络应用所需要的软件或者容器管理平台。
5.虚拟网络功能(virtual network functions，vnf)：vnf是实现网络功能(转发服务、ip配置等)的软件应用，就好比手机上的app。在nfv架构中，各种vnf在nfvi的基础上实现。由于nfvi是标准化的架构，使得不同的vnf获得了通用性，不再依赖于原来的黑盒设备。
6.管理自动化及网络编排(management and orchestration，mano)：mano是用于管理各vnf以及nfvi的统一框架，方便运维人员进行业务编排与设备管理。
7.现有的nfv网络在部署完成后，很少考虑后续硬件扩容对系统安全性的影响。


技术实现要素：

8.本发明主要解决的技术问题是提供一种网络功能虚拟化nfv网络的资源管理系统，能够实现对网络功能虚拟化云平台上的资源进行安全性管理和调度。
9.本发明在现有的nfv框架中mano部分增加资源认证模块及资源调度模块，能够实现对nfv网络中的全部设备进行硬件认证，在未对新增硬件认证时，资源调度模块在数据分配前进行敏感度计算，高敏数据在经过资源调度模块时仅分配至对应硬件完成认证的vnf中。
10.为解决上述技术问题，本发明采用的技术方案是：提供一种网络功能虚拟化nfv网络的资源管理系统，包括：
11.虚拟化网络功能模块，虚拟化网络设施模块，管理、自动化和网络编排模块；
12.所述虚拟化网络功能模块，为提供网络功能的软件应用；
13.所述虚拟化网络设施模块，包括基础架构组件，及将物理资源虚拟化为虚拟资源；
14.所述管理、自动化和网络编排模块，包括：虚拟化基础架构管理模块、虚拟化网络功能管理模块、虚拟化网络功能编排模块、物理资源认证模块、虚拟资源调度模块；
15.所述虚拟化基础架构管理模块，控制虚拟化网络功能的虚拟资源分配；
16.所述虚拟化网络功能管理模块，管理虚拟化网络功能的生命周期；
17.所述虚拟化网络功能编排模块，管理网络业务的生命周期，并协调虚拟化基础架构管理模块、虚拟化网络功能管理模块的运行；
18.所述基础架构组件，包括：物理资源，虚拟资源，虚拟化层。
19.进一步的，所述物理资源认证模块，包括：已有物理资源认证、新增物理资源认证；
20.所述已有物理资源认证，对网络功能虚拟化云平台上已有的物理资源进行安全性认证，若认证结果为安全设备，则将认证结果作为该资源的物理层标签；若认证结果为风险设备，则向管理人员发出风险预警，并将认证结果作为该资源的物理层标签，同时由虚拟化基础架构管理模块对该资源对应的虚拟资源进行风险标记；
21.所述新增物理资源认证，当物理层扩容后，对新增部分物理资源进行安全性认证，若认证结果为安全设备，则将认证结果作为该资源的物理层标签，作为基础架构组件进行正常应用；若认证结果为风险设备，当该资源为必须设备时，将认证结果作为该资源的物理层标签，虚拟化基础架构管理模块对该资源虚拟化后对应的虚拟资源进行风险标记；
22.当新增物理资源未进行安全性认证，或认证结果为风险设备但为非必须设备时，暂停该物理资源的虚拟化及应用；
23.当虚拟资源包含风险标记时，虚拟化网络功能管理模块加强对该虚拟资源对应网络业务的状态监控，并将数据或计算任务优先调度至不包含风险标记的虚拟资源中。
24.进一步的，所述虚拟资源调度模块，包括：
25.对网络功能虚拟化云平台上数据及计算任务进行敏感度划分，当进行虚拟资源调度时对其中的高敏部分进行识别，当虚拟资源不足时，优先调度高敏部分数据及计算任务至不包含风险标记的虚拟资源；当不包含风险标记的虚拟资源仍不足时，对高敏部分数据及计算任务进行脱敏、加密后再进行调度。
26.进一步的，所述敏感度划分，包括：
27.对数据及计算任务建立敏感度特征，计算不同数据及计算任务的敏感度特征值，按数值由低到高对敏感度特征值进行排序；
28.对排序结果进行划分，其中前30％的数据及计算任务作为低敏部分，后30％的数据及计算任务作为高敏部分，中间40％的数据及计算任务作为普通部分；
29.所述建立敏感度特征，对数据及计算任务的来源、涉及的用户信息、处理结果类型进行判定，根据预设权重计算得到高维向量值，将所述高维向量值作为敏感度特征。
30.本发明的有益效果是：
31.本发明提出敏感度特征，并将其与任务编排的过程进行结合，同时，本发明还考虑到物理层面可能存在的安全性问题，对其进行一定程度的量化并作为任务编排过程中的重要部分进行区分，能够有效的在物理层面保障数据及计算任务的信息安全。
附图说明
32.图1是本发明一种网络功能虚拟化nfv网络的资源管理系统的结构示意图。
具体实施方式
33.下面结合附图对本发明的较佳实施例进行详细阐述，以使本发明的优点和特征能更易于被本领域技术人员理解，从而对本发明的保护范围做出更为清楚明确的界定。
34.请参阅图1，本发明实施例包括：
35.一种网络功能虚拟化nfv网络的资源管理系统，包括：
36.虚拟化网络功能模块，虚拟化网络设施模块，管理、自动化和网络编排模块；
37.所述虚拟化网络功能模块，为提供网络功能的软件应用；
38.所述虚拟化网络设施模块，包括基础架构组件，及将物理资源虚拟化为虚拟资源；
39.所述管理、自动化和网络编排模块，包括：虚拟化基础架构管理模块、虚拟化网络功能管理模块、虚拟化网络功能编排模块、物理资源认证模块、虚拟资源调度模块；
40.所述虚拟化基础架构管理模块，控制虚拟化网络功能的虚拟资源分配；
41.所述虚拟化网络功能管理模块，管理虚拟化网络功能的生命周期；
42.所述虚拟化网络功能编排模块，管理网络业务的生命周期，并协调虚拟化基础架构管理模块、虚拟化网络功能管理模块的运行；
43.所述基础架构组件，包括：物理资源，虚拟资源，虚拟化层。
44.进一步的，所述物理资源认证模块，包括：已有物理资源认证、新增物理资源认证；
45.所述已有物理资源认证，对网络功能虚拟化云平台上已有的物理资源进行安全性认证，若认证结果为安全设备，则将认证结果作为该资源的物理层标签；若认证结果为风险设备，则向管理人员发出风险预警，并将认证结果作为该资源的物理层标签，同时由虚拟化基础架构管理模块对该资源对应的虚拟资源进行风险标记；
46.所述新增物理资源认证，当物理层扩容后，对新增部分物理资源进行安全性认证，若认证结果为安全设备，则将认证结果作为该资源的物理层标签，作为基础架构组件进行正常应用；若认证结果为风险设备，当该资源为必须设备时，将认证结果作为该资源的物理层标签，虚拟化基础架构管理模块对该资源虚拟化后对应的虚拟资源进行风险标记；
47.当新增物理资源未进行安全性认证，或认证结果为风险设备但为非必须设备时，暂停该物理资源的虚拟化及应用；
48.当虚拟资源包含风险标记时，虚拟化网络功能管理模块加强对该虚拟资源对应网络业务的状态监控，并将数据或计算任务优先调度至不包含风险标记的虚拟资源中。
49.所述安全性认证，由物理资源认证模块对物理资源层的设备进行认证，认证内容包括：设备型号、设备mac地址、设备容量、设备运行安全性；其中，设备运行安全性由系统管理人员根据实际应用及网络环境进行综合评估，并以若干预设等级作为设备安全性评估结果。
50.所述预设等级，根据云计算平台需求由系统管理人员进行设定。
51.进一步的，所述虚拟资源调度模块，包括：
52.对网络功能虚拟化云平台上数据及计算任务进行敏感度划分，当进行虚拟资源调度时对其中的高敏部分进行识别，当虚拟资源不足时，优先调度高敏部分数据及计算任务
至不包含风险标记的虚拟资源；当不包含风险标记的虚拟资源仍不足时，对高敏部分数据及计算任务进行脱敏、加密后再进行调度。
53.进一步的，所述敏感度划分，包括：
54.对数据及计算任务建立敏感度特征，计算不同数据及计算任务的敏感度特征值，按数值由低到高对敏感度特征值进行排序；
55.对排序结果进行划分，其中前30％的数据及计算任务作为低敏部分，后30％的数据及计算任务作为高敏部分，中间40％的数据及计算任务作为普通部分；
56.所述建立敏感度特征，对数据及计算任务的来源、涉及的用户信息、处理结果类型进行判定，根据预设权重计算得到高维向量值，将所述高维向量值作为敏感度特征。
57.以计算中心对云计算平台进行扩容为例，在物理资源层扩容5台运算设备、10台储存设备，针对该部分新增设备，先由物理资源认证模块对各设备的详细信息进行认证，其中设备安全性由于涉及人力资源问题仅完成3台运算设备、8台储存设备。
58.在云计算平台运行后，已完成安全性认证的设备经虚拟层虚拟化后投入使用，未完成认证的部分设备保留至安全性认证完成，当云计算平台任务量触发扩容阈值时，可对未完成认证的部分设备进行风险标记，再经虚拟化层虚拟化后投入使用，由该部分物理资源层设备虚拟化出的虚拟资源，同样进行风险标记，作为虚拟资源调度的安全性前提。
59.以电力系统云计算平台中电费计算任务及用电量查询任务为例，电费计算任务所需数据涉及电表号、用户联系方式、用户缴费信息、用电量信息、电价信息，用电量查询任务所需数据涉及电表号、用电量信息；电费计算任务来源于系统定期任务，用电量查询任务来源于用户发起；根据以上内容结合预设权重得到两项任务的敏感度特征为电费计算任务的敏感度特征大于用电量查询任务，则其中电费计算任务优先由不包含风险标记的虚拟资源进行计算。
60.以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。