一种基于云模型的虚拟网元信任度量方法及系统与流程

1.本发明涉及5g移动通信技术领域，尤其涉及一种基于云模型的虚拟网元信任度量方法及系统。


背景技术：

2.5g移动通信技术的快速发展，以及与其他技术的不断融合，成为了推动各行各业前进的新动能。5g移动通信技术基于网络功能虚拟化技术实现了网元在如容器、虚拟机等虚拟化平台上的部署，具有构建时间和成本低，灵活组排，弹性扩展等优点。
3.在现有的5g部署架构中，面临垂直行业用户与运营商网络的信任问题。同时，这个信任是一个双向的关系。现在5g网络中针对垂直用户部署方式存在多种形式，但是除了以自有频段自建通信网络与公有网络完全隔离之外，总会涉及到上诉的信任问题。例如，垂直行业用户的服务部署以核心网网关的形式来部署其服务。因此，在这种运营商与垂直行业深度交融的情况下，垂直行业用户租用运营商的网络服务，将自己企业服务部署在5g中就需要对运营商的服务进行信任评估，来确保服务的安全可靠；而运营商与垂直行业的用户之间的服务，也必定会是一个深度融合的过程，这样的融合会导致运营商配置接口的开放等问题，会加大运营商的攻击面，因此，运营商需要确保垂直行业用户的服务的安全可靠才能保证自身网络的安全。
4.网络功能技术基于虚拟化技术将业务网元整合到x86通用设备中，实现了通信网络软硬件解耦，通过对计算、存储和网络等硬件基础设施编排管理，完成了虚拟网元全生命周期管理和服务功能链构建，为网络提供可移植、可伸缩、高性能、稳定和安全的业务服务。在由虚拟网元组成的5g移动通信系统中，如何提高虚拟网元的安全性，完成对虚拟网元可信度进行评估，是实现安全5g移动通信系统的第一步。
5.当前大部分网络安全系统主要是由防火墙、入侵监测和病毒查杀等安全设施组成。基于已知特征检测的防护手段难以解决云计算等新兴环境下复杂的网络安全问题。因此，针对云原生的5g网络安全需求，可信计算技术可为云化网络基础设施提供内生安全机制。
6.国际通信组织通过利用可信计算技术，设置了6个虚拟网元完整性保护等级，其中最低等级无完整性检查，最高等级增加了运行期间vnf(virtual network function，虚拟网元)的度量。因此，虚拟网元的完整性保证水平也代表了虚拟网元的安全水平。在虚拟网元安全性方面，需要建立虚拟网元安全性风险评估策略。虚拟网元的风险评估策略可从虚拟网元的安全威胁、功能重要程度和当前的安全措施等因素对虚拟网元安全风险进行。同时，也可以根据实际部署情况添加其他的相关安全属性作为虚拟网元安全性的信任来源。虚拟网元的信任数据应当是多维、可配置的，信任数据的来源可为虚拟网元服务质量相关的监控数据、虚拟网元完整性保证水平等。将对移动通信网络虚拟网元的信任定义为虚拟网元能够按照预期方式行动的期望。在网络功能虚拟化架构下虚拟网元信任度量需要解决信任来源、信任监控数据可信采集和上报等问题。


技术实现要素：

7.有鉴于此，本发明提供了一种基于云模型的虚拟网元信任度量方法，有效解决了基于虚拟网络功能架构中虚拟网元信任来源、信任监控数据可信采集和信任评估结果上报等问题。
8.本发明提供了一种基于云模型的虚拟网元信任度量方法，包括：
9.面向网络功能虚拟化架构对虚拟网元可信代理进行设计，对虚拟网元信任监控数据进行可信采集和上报；
10.基于云模型的虚拟网元信任度量算法对所述监控数据进行信任值评估；
11.对虚拟网元迁移信任值进行评估计算。
12.优选地，所述面向网络功能虚拟化架构对虚拟网元可信代理进行设计，对虚拟网元信任监控数据进行可信采集和上报，包括：
13.在虚拟网元上线时，通过虚拟网元可信代理模块向虚拟网元信任管理模块告知所述虚拟网元的相关信息；
14.基于所述虚拟网元中的vtpm，通过所述虚拟网元信任管理模块对所述虚拟网元进行远程证明，并分配相关会话密钥；
15.根据业务需求，通过所述虚拟网元信任管理模块向所述虚拟网元可信代理模块下放信任监控策略；
16.通过所述虚拟网元可信代理模块根据信任监控策略，向所述虚拟网元信任管理模块上传vtpm签名后的信任监控数据；
17.通过所述虚拟网元信任管理模块基于所述信任监控数据计算虚拟网元信任值；
18.当需要更新虚拟网元信任值时，通过所述虚拟网元信任管理模块向所述虚拟网元可信代理模块询问最新的监控数据；
19.通过所述虚拟网元可信代理模块向所述虚拟网元信任管理模块提供最新的监控数据；
20.当所述虚拟网元信任管理模块多次询问所述虚拟网元可信代理模块未得到响应时，可判定虚拟网元下线，结束虚拟网元信任度量流程；或所述虚拟网元可信代理模块告知所述虚拟网元信任管理模块将结束服务时，结束虚拟网元信任度量流程。
21.优选地，所述基于云模型的虚拟网元信任度量算法对所述监控数据进行信任值评估，包括：
22.对m维安全相关属性进行采样，其中，采样周期为t，t为常数，将m维中安全属性s的监控采样数据记为x
s
{x
s1
,x
s2
…
x
s(n
‑
1)
,x
sn
}，其中1≤s≤m，n为采样数据窗口长度；
23.将采样得到的安全属性s数量为n的数据送入单属性云模型，计算出安全属性s的云模型，记作其中，为m维中安全属性s的监控采样数据的云模型熵值，为m维中安全属性s信任向量的均值，为m维中安全属性s的监控采样数据的信任元超熵；
24.对m维云模型进行聚合，得到虚拟网元主体信任云，记作tm'(e
x
',e
n
',e
he
')，其中，e
x
'表示虚拟网元历史信任云期望，e
n
'表示虚拟网元历史信任云熵，e
he
'表示虚拟网元历史信任云超熵；
25.对所述虚拟网元主体信任云进行更新；
26.通过主体信任云参数计算单个虚拟网元的信任等级。
27.优选地，所述对虚拟网元迁移信任值进行评估计算，包括：
28.在虚拟网元迁移后n*t时间内，将所述虚拟网元迁移前信任值mtv与迁移后根据采样数据实时计算出的信任值tv'作为虚拟网元信任来源；
29.在惩戒时间n*t内对虚拟网元迁移后的信任值进行惩戒，得到虚拟网元迁移后信任值tv＝ε*(mtv
‑
p) ξ*λ*tv'，其中，mtv为虚拟网元迁移前信任值，tv'为迁移后根据采样数据实时计算出的信任值，ε和ξ为迁移权值向量，满足ε ξ＝1，p为惩戒因子，λ为迁移信任惩戒因子；
30.在惩戒时间过去后，直接通过虚拟网元信任算法计算信任值tv。
31.优选地，所述p＝10，λ＝0.8。
32.一种基于云模型的虚拟网元信任度量系统，包括：
33.处理模块，用于面向网络功能虚拟化架构对虚拟网元可信代理进行设计，对虚拟网元信任监控数据进行可信采集和上报；
34.第一评估模块，用于基于云模型的虚拟网元信任度量算法对所述监控数据进行信任值评估；
35.第二评估模块，用于对虚拟网元迁移信任值进行评估计算。
36.优选地，所述处理模块具体用于：
37.在虚拟网元上线时，通过虚拟网元可信代理模块向虚拟网元信任管理模块告知所述虚拟网元的相关信息；
38.基于所述虚拟网元中的vtpm，通过所述虚拟网元信任管理模块对所述虚拟网元进行远程证明，并分配相关会话密钥；
39.根据业务需求，通过所述虚拟网元信任管理模块向所述虚拟网元可信代理模块下放信任监控策略；
40.通过所述虚拟网元可信代理模块根据信任监控策略，向所述虚拟网元信任管理模块上传vtpm签名后的信任监控数据；
41.通过所述虚拟网元信任管理模块基于所述信任监控数据计算虚拟网元信任值；
42.当需要更新虚拟网元信任值时，通过所述虚拟网元信任管理模块向所述虚拟网元可信代理模块询问最新的监控数据；
43.通过所述虚拟网元可信代理模块向所述虚拟网元信任管理模块提供最新的监控数据；
44.当所述虚拟网元信任管理模块多次询问所述虚拟网元可信代理模块未得到响应时，可判定虚拟网元下线，结束虚拟网元信任度量流程；或所述虚拟网元可信代理模块告知所述虚拟网元信任管理模块将结束服务时，结束虚拟网元信任度量流程。
45.优选地，所述第一评估模块具体用于：
46.对m维安全相关属性进行采样，其中，采样周期为t，t为常数，将m维中安全属性s的监控采样数据记为x
s
{x
s1
,x
s2
...x
s(n
‑
1)
,x
sn
}，其中1≤s≤m，n为采样数据窗口长度；
47.将采样得到的安全属性s数量为n的数据送入单属性云模型，计算出安全属性s的云模型，记作其中，为m维中安全属性s的监控采样数据的云
模型熵值，为m维中安全属性s信任向量的均值，为m维中安全属性s的监控采样数据的信任元超熵；
48.对m维云模型进行聚合，得到虚拟网元主体信任云，记作tm'(e
x
',e
n
',e
he
')，其中，e
x
'表示虚拟网元历史信任云期望，e
n
'表示虚拟网元历史信任云熵，e
he
'表示虚拟网元历史信任云超熵；
49.对所述虚拟网元主体信任云进行更新；
50.通过主体信任云参数计算单个虚拟网元的信任等级。
51.优选地，所述第二评估模块具体用于：
52.在虚拟网元迁移后n*t时间内，将所述虚拟网元迁移前信任值mtv与迁移后根据采样数据实时计算出的信任值tv'作为虚拟网元信任来源；
53.在惩戒时间n*t内对虚拟网元迁移后的信任值进行惩戒，得到虚拟网元迁移后信任值tv＝ε*(mtv
‑
p) ξ*λ*tv'，其中，mtv为虚拟网元迁移前信任值，tv'为迁移后根据采样数据实时计算出的信任值，ε和ξ为迁移权值向量，满足ε ξ＝1，p为惩戒因子，λ为迁移信任惩戒因子；
54.在惩戒时间过去后，直接通过虚拟网元信任算法计算信任值tv。
55.优选地，所述p＝10，λ＝0.8。
56.综上所述，本发明公开了一种基于云模型的虚拟网元信任度量方法，首先面向网络功能虚拟化架构对虚拟网元可信代理进行设计，对虚拟网元信任监控数据进行可信采集和上报；然后基于云模型的虚拟网元信任度量算法对所述监控数据进行信任值评估；对虚拟网元迁移信任值进行评估计算。本发明通过在标准虚拟网络功能架构中添加可信代理，通过vtpm对虚拟网元及其相关组件进行信任链扩展，完成完整性度量保护，实现可监控数据源的可信采集；另外，考虑到采集到的多维监控数据具有复杂性和多样性，采用基于云模型的虚拟网元信任度量算法，其特点是可以从多维虚拟网元的安全监控数据中计算出信任值，具有良好的拟合性和鲁棒性；考虑到特殊虚拟网元应用场景需要涉及负载均衡和冗余备份，增加了虚拟网元的迁移场景信任值计算；有效解决了基于虚拟网络功能架构中虚拟网元信任来源、信任监控数据可信采集和信任评估结果上报等问题。
附图说明
57.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
58.图1为本发明公开的一种基于云模型的虚拟网元信任度量方法的流程图；
59.图2为本发明公开的一种基于云模型的虚拟网元信任度量系统的结构示意图。
具体实施方式
60.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例，都属于本发明保护的范围。
61.如图1所示，为本发明公开的一种基于云模型的虚拟网元信任度量方法的流程图，所述方法可以包括以下步骤：
62.s101、面向网络功能虚拟化架构对虚拟网元可信代理进行设计，对虚拟网元信任监控数据进行可信采集和上报；
63.具体的，可以包括以下步骤：
64.步骤1.1：在虚拟网元上线时，通过虚拟网元可信代理模块向虚拟网元信任管理模块告知虚拟网元的相关信息；
65.步骤1.2：基于虚拟网元中的vtpm(virturaltrusted platform module，云环境的虚拟机)，通过虚拟网元信任管理模块对所述虚拟网元进行远程证明，确保虚拟元安全，并分配相关会话密钥；
66.步骤1.3：根据业务需求，通过虚拟网元信任管理模块向虚拟网元可信代理模块下放信任监控策略；
67.步骤1.4：通过虚拟网元可信代理模块根据信任监控策略，向虚拟网元信任管理模块上传vtpm签名后的信任监控数据，实现了监控数据的可信上传；
68.步骤1.5：通过虚拟网元信任管理模块基于信任监控数据计算虚拟网元信任值，完成虚拟网元的信任度量；
69.步骤1.6：当需要更新虚拟网元信任值时，通过虚拟网元信任管理模块向虚拟网元可信代理模块询问最新的监控数据；
70.步骤1.7：通过虚拟网元可信代理模块向虚拟网元信任管理模块提供最新的监控数据；
71.步骤1.8：当虚拟网元信任管理模块多次询问虚拟网元可信代理模块未得到响应时，可判定虚拟网元下线，结束虚拟网元信任度量流程；或虚拟网元可信代理模块告知虚拟网元信任管理模块将结束服务时，结束虚拟网元信任度量流程。
72.s102、基于云模型的虚拟网元信任度量算法对监控数据进行信任值评估；
73.具体的，可以包括以下步骤：
74.步骤2.1：对m维安全相关属性进行采样，其中，采样周期为t，t为常数，将m维中安全属性s的监控采样数据记为x
s
{x
s1
,x
s2
...x
s(n
‑
1)
,x
sn
}，其中1≤s≤m，n为采样数据窗口长度，一般令n＝n。根据上述可知，安全数据采样窗口时间为time＝n*t。为解决采样数据不足的问题，若虚拟网元采样时间st小于time时，令其他情况n＝n。
75.步骤2.2：将采样得到的安全属性s数量为n的数据送入单属性云模型，计算出安全属性s的云模型，记作其中，为m维中安全属性s的监控采样数据的云模型熵值，为m维中安全属性s信任向量的均值，为m维中安全属性s的监控采样数据的信任元超熵。
76.其中，步骤2.2具体可以通过以下步骤实现：
77.步骤2.2.1：根据公式步骤2.2.1：根据公式计算采样窗口内数据的均值作为该属性云模型的均值，其中，表示计算信任向量的均值，x
si
表示i取1到n范围内的监控采
样数据x
s
。
78.步骤2.2.2：根据公式计算采样窗口内数据的方差，得云模型的熵值。
79.步骤2.2.3：根据公式计算采样窗口内数据的标准差，得云模型的超熵。
80.步骤2.2.4：返回单属性云模型参数
81.步骤2.3：计算出虚拟网元单属性云模型参数后，需要对m维云模型进行聚合，将m维信任云聚合而成的云称为主体信任云，记作tm'(e
x
',e
n
',e
he
')，其中，e
x
'表示虚拟网元历史信任云期望，e
n
'表示虚拟网元历史信任云熵，e
he
'表示虚拟网元历史信任云超熵。在聚合主体信任云时，各属性信任云重要程度不同，需要为各安全属性提前设置聚合权重ω
s
，形式为其中ω是归一的。
82.其中，步骤2.3具体可以通过以下步骤实现：
83.步骤2.3.1：根据公式计算ψ
j
←
1/(1 e
j
‑
t
)不同历史云权重向量，其中，ψ
j
表示历史信任云中第j个历史信任云权重，t是虚拟网元历史信任云调节参数。
84.步骤2.3.2：将参数根据公式进行归一化处理。
85.步骤2.3.3：根据公式计算主体信任云tm的期望，其中，e
xj
表示主体信任云tm的期望，tm表示主体信任云模型参数集合，包括(e
x
,e
n
,e
he
)。
86.步骤2.3.4：根据公式计算主体信任云tm的熵，其中，假设，虚拟网元总采样次数为n次，由可以得出历史主体信任云数量为h个，e
nj
表示当处于h个主体信任云内的第j个信任云熵值。
87.步骤2.3.5：根据公式计算主体信任云tm的超熵，其中，假设虚拟网元总采样次数为n次，由可以得出历史主体信任云数量为h个，e
hej
表示当处于h个主体信任云内的第j个信任云超熵值。
88.步骤2.3.6：根据公式tm[e
x
,e
n
,e
he
]返回主体信任云。
[0089]
步骤2.4：虚拟网元主体信任云更新。
[0090]
其中，步骤2.4具体可以通过以下步骤实现：
[0091]
步骤2.4.1：计算历史信任云权重tmh。
[0092][0093]
步骤2.4.2：根据历史信任云参数计算归一化参数。
[0094]
步骤2.4.3：分别根据权重参数计算虚拟网元更新后的主体信任云的期望、熵值和超熵三个参数。
[0095]
步骤2.5通过主体信任云参数计算单个虚拟网元的信任等级。
[0096]
其中，步骤2.5具体可以通过以下步骤实现：
[0097]
步骤2.5.1：基于正向云发生器将定性概念转换到定量概念，其中正向发生器算法分为(1)根据两层正态随机函数，生成云滴x；(2)计算云滴x的隶属度μ
t
；(3)返回云滴drop(x,μ
t
)三个子过程。
[0098]
步骤2.5.2：可依据虚拟网元主体云参数产生云滴。在产生足够的主体信任云云滴后，通过虚拟网元信任值计算算法可计算出虚拟网元信任值tv。
[0099]
步骤2.5.3：利用云模型正向发生器生成虚拟网元主体信任云tm(e
x
,e
n
,e
he
)云滴n个，其中n要足够大能满足误差要求。
[0100]
步骤2.5.4：分别计算云滴在不同隶属度η
ij
，其中i为云滴标号，j为信任云标号。
[0101]
步骤2.5.5：根据云滴隶属度对不同信任云tc
j
分别计算相似度。
[0102]
步骤2.5.6：将6个信任云tc
j
按照相似度进行加权平均，最终得到虚拟网元信任值。
[0103]
s103、对虚拟网元迁移信任值进行评估计算。
[0104]
当虚拟网元从熟悉的环境迁移到陌生环境后，基础环境的变化将导致虚拟网元可信程度的下降。因此，需要对虚拟网元的迁移进行信任惩戒，防止恶意节点依靠迁移机制恶意刷新信任值。具体的，可以包括以下步骤：
[0105]
步骤3.1：虚拟网元迁移后n*t时间内，将虚拟网元迁移前信任值mtv与迁移后根据采样数据实时计算出的信任值tv'作为虚拟网元信任来源。
[0106]
步骤3.2：在惩戒时间n*t内对虚拟网元迁移后的信任值进行惩戒，可得虚拟网元迁移后信任值为tv＝ε*(mtv
‑
p) ξ*λ*tv'，mtv为虚拟网元迁移前信任值，tv'为迁移后根据采样数据实时计算出的信任值，ε和ξ为迁移权值向量，满足ε ξ＝1，p为惩戒因子，可根据情况选取，根据信任云设计，推荐选择p＝10，在虚拟网元迁移后下降一个信任等级。λ为迁移信任惩戒因子，设置为λ＝0.8。
[0107]
步骤3.3：在惩戒时间过去后，直接通过虚拟网元信任算法计算信任值tv。
[0108]
综上所述，针对虚拟网元的信任度量过程中信任源数据无法实现可信采集、信任评估结果上报的问题，本发明在标准虚拟网络架构中融入了可信代理，完成了信任链扩展，实现了对虚拟网元完整性度量保护，监控数据的可信采集。针对虚拟网元的源可信监控数据具有复杂性和多样性，传统信任度量评估算法无法对其信任值进行有效评估的问题，本发明提出可基于云模型的虚拟网元信任度量算法，从多维虚拟网元的安全监控数据中计算出信任值，具有良好的拟合性和鲁棒性。针对在5g特殊场景下，考虑到特殊虚拟网元应用场景需要涉及负载均衡和冗余备份，本发明增加了虚拟网元的迁移场景信任值计算。
[0109]
如图2所示，为本发明公开的一种基于云模型的虚拟网元信任度量系统的结构示意图，所述系统可以包括：
[0110]
处理模块201，用于面向网络功能虚拟化架构对虚拟网元可信代理进行设计，对虚拟网元信任监控数据进行可信采集和上报；
[0111]
第一评估模块202，用于基于云模型的虚拟网元信任度量算法对监控数据进行信任值评估；
[0112]
第二评估模块203，用于对虚拟网元迁移信任值进行评估计算。
[0113]
本实施例公开的基于云模型的虚拟网元信任度量系统的工作原理，与上述基于云模型的虚拟网元信任度量方法的工作原理相同，在此不再赘述。
[0114]
本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。
[0115]
专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。
[0116]
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd
‑
rom、或技术领域内所公知的任意其它形式的存储介质中。
[0117]
对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。