丁绍虎，谢记超，张鹏，普黎明，谷允捷

（信息工程大学信息技术研究所，河南 郑州 450002）

1 引言

随着新兴网络服务和业务模式的飞速发展，传统的基于专用硬件的服务功能链（SFC,service function chain）部署方式存在的问题日益凸显[1-2]，如成本高、资源利用率低、新服务上线周期长等。网络功能虚拟化基础设施即服务（NFVIaaS,network function virtualization infrastructure as a service）模式的出现为解决当前网络服务提供方式所面临的困境提供了有效途径，其主要思想是，租户按需租用云服务提供商池化的资源，将所需的网络功能以虚拟网络功能（VNF,virtual network function）软件的形式运行在通用硬件设备中，即可灵活、高效地构建网络服务所需的SFC。然而，这种新型的SFC 部署方式面临许多新的安全挑战，主要分为NFV 特有的安全威胁、通用网络安全威胁和通用虚拟化安全威胁[3-4]，本文重点关注通用虚拟化安全威胁中VNF 面临的侧信道攻击[5-8]问题。侧信道攻击是当前云计算环境下多租户间信息泄露的重要途径。

在NFVIaaS 的多租户环境下，云服务提供商借助虚拟化技术的逻辑隔离手段实现了物理资源在多租户间的高效复用，然而，这也为恶意租户实施侧信道攻击提供了可能。恶意租户在成功实现与目标租户VNF 共存后，可利用共享硬件资源（如CPU、内存、磁盘、网络）构建各种类型的侧信道突破逻辑隔离，进而从共存的VNF 中获取隐私信息和敏感数据，范围可从粗粒度的工作负载、流量速率到细粒度的加密密钥等[3]。因此，能否抵抗NFVIaaS所面临的侧信道攻击，将直接影响NFVIaaS 商业模式的推广。

在相关虚拟机部署和虚拟网映射领域，针对侧信道攻击的防御方法主要分为以下四类，可在侧信道攻击的实施进程中依次展开。第一类方法是使用部署策略提高共存难度[9-11]，该类方法可显著提高恶意租户在实施侧信道攻击前创造共存条件的难度，但是无法解决已共存节点所面临的侧信道攻击风险；第二类方法是增加验证共存的难度[12]，但是相关研究表明，恶意租户仍可不断开发出新的验证共存手段；第三类方法是消除侧信道[13]，该类方法通常需要详细的针对特定攻击方法的修复，不能覆盖未来不断被发掘出的侧信道攻击手段，不具备防御各类侧信道攻击手段的通用性；第四类方法是定期迁移[14-16]和触发迁移[17]，该类方法在防御各类侧信道攻击时具有良好的通用性，但是在迁移过程中会造成一定时间的服务中断，影响服务质量。相关防御方法可相互结合，从而构建复合的防御体系，全方位提高恶意租户实现侧信道攻击的难度。

已有的研究工作中，伊鹏等[18]针对现有服务功能链部署方法下恶意租户实现VNF 共存的难度小、代价低的问题，提出了一种基于租户分类与历史信息的服务功能链部署方法，该部署方法在初始部署阶段较大幅度提高了潜在恶意租户对目标租户实施侧信道攻击的难度和代价，但不能解决已共存VNF 所面临的侧信道攻击风险，租户VNF 若长期与某一未知租户的VNF 共存，则其所含隐私信息依然面临着一定的安全隐患。因此，本文从VNF在同一位置部署时长的时间纬度出发，引入VNF的迁移方法，以解决租户VNF 长期与某一未知租户VNF 共存时其隐私信息面临的安全隐患。

在相关领域，迁移方法是防御侧信道攻击的一类重要可行手段，但是相关迁移方法应用于VNF领域时仍存在一些缺陷。Moon 等[15]首次对侧信道信息泄露进行建模，总结了影响信息泄露速率的3 个重要因素，即共存时间、攻击者虚拟机（VM,virtual machine）间是否协同以及目标VM 间隐私信息是否一致，基于此所建立的信息泄露模型具有很好的参考价值，但所设计的定期式迁移方法存在以下缺陷：需要对所有节点进行迁移，存在迁移节点过多和开销过大的问题；若以较低的迁移频率进行迁移，则不能防御一些快速的侧信道攻击；应用于VNF 迁移领域时，不能简单地将需求抽象为VM 插槽，需要深入考虑服务器支持VNF 的类型约束和资源约束等；此外，进行迁移时需要考虑SFC 严格有序的链式结构，避免迁移后SFC 路径过长问题。赵硕等[14]在Moon 等[15]的研究基础上，为了降低节点迁移数量与迁移频率，提出了基于安全等级的虚拟节点迁移方法，通过VM 安全等级分类，对租户定义的关键VM 执行定期式迁移，显著降低了VM迁移数量和频率，但该方法采用的基于安全等级的分域部署策略存在一定缺陷，关键VM 由租户自行设定，分类具有租户主观性，使恶意租户可通过高安全需求的资源请求实现与高安全需求租户的轻易共存。Zhang 等[17]提出对侧通道攻击进行实时检测，并采用触发式的VM 迁移方法来防止信息泄露，虽然可显著降低迁移频率与迁移开销，但是需要掌握相关侧信道攻击手段的具体特征，难以应对众多特征未知的侧信道攻击手段，此外相关侧信道攻击检测系统需要额外部署软件甚至硬件，会产生一定的服务器资源开销，对性能有一定影响。

本文在相关研究的基础上，针对现有迁移方法存在的局限性，提出了一种基于风险感知的关键虚拟网络功能动态迁移方法，目标是在较大幅度降低已共存VNF 所面临的侧信道攻击风险的前提下，解决VNF 迁移节点多、迁移频率高、迁移后SFC路径过长的问题。

2 问题描述与模型建立

2.1 符号定义

本文所采用的相关符号定义与先前的研究工作[18]一致。表1 对本文所采用的关键符号及其定义进行了表述。

2.2 VNF 迁移问题描述

利用云计算的技术优势，租户可根据实际需求按需租用资源，灵活高效地构建网络服务所需的服务功能链（如Web 服务、邮件服务等）。服务功能链部署如图1 所示。2 条服务功能链请求实例如图1上部所示，每条服务功能链分别含有3 个VNF 节点，为了便于描述，本文简化了租户实际需要的VNF 数量以及所需的VNF 类型。云服务提供商根据租户请求，结合云平台资源状态，按照设定的规则和策略将租户的服务功能链请求部署到云平台，图1 展示了2 条服务功能链请求在云平台中的部署情况，服务功能链1 的3 个VNF 分别部署在服务器节点N1、N5和N3，服务功能链2 的3 个VNF 分别部署在服务器节点N4、N5和N6。

为了充分发挥云计算的优势，实现云资源的高效复用，云服务提供商借助虚拟化技术实现逻辑隔离，使多租户间可共享底层基础设施。如图1 中所示，2 条服务功能链中的VNF 共用了服务器节点N5，然而这种共享资源模式在为租户带来巨大成本优势的同时也引入了安全风险。

表1 关键符号定义

图1 服务功能链部署

现实中，恶意租户可绕过逻辑隔离，借助共享资源（如CPU、内存、磁盘等）构建各类侧信道，进而从共存租户的VNF 中窃取敏感信息，图2 中右半部分表示侧信道攻击的实施。为了解决租户隐私信息面临的失窃风险，一种有效的防御方法是为租户的VNF 提供迁移服务，在恶意租户实现对目标租户隐私信息的完整窃取前，迁移租户VNF 以中断侧信道攻击进程，图2 展示了VNF 迁移过程，服务功能链1 的虚拟网络功能VNF2由节点N5迁移到节点N2。图3 展示了迁移完成后相关服务功能链的部署情况。

图2 侧信道攻击与虚拟网路功能迁移

图3 虚拟网络功能迁移后服务功能链部署

然而，VNF 的迁移并非没有代价，迁移VNF在降低租户所面临的侧信道攻击风险同时，也带来了一些负面影响。例如，迁移会造成短暂的服务中断，影响租户服务体验；迁移过程存在迁移开销（计算资源消耗和带宽资源消耗），影响云服务提供商成本；若迁移目的服务器节点选取不当则会导致服务功能链路径过长，增加服务时延和服务提供商链路资源成本。为了保证租户VNF 隐私信息的安全，云服务提供商可为租户提供VNF 迁移服务。对VNF 进行迁移时需要解决以下问题。1)待迁移VNF 的选择问题，如何减少待迁移VNF 的数量。2)迁移时机的选择问题，如何在保证隐私信息安全的情况下降低迁移频率，以减少云服务提供商成本及对租户服务质量的影响。3)迁移目的节点的选择问题，如何选择最优的迁移目的服务器节点。为此，需要设计合理的迁移方法，在保证安全性的同时降低迁移带来的负面影响。

2.3 VNF 迁移模型

图4 VNF 迁移模型

VNF 部署在任何服务器节点的计算资源消耗是一致的，而部署位置极大地影响着链路资源开销，因此，本文以最小化迁移后链路资源开销为优化目标，建立了迁移模型。

目标为最小化链路资源开销，目标函数如式(1)所示。

选取迁移目的服务器节点的约束条件如下。

3 VNF 动态迁移方法

侧信道攻击手段从防御者角度可分为两类，即特征已知的侧信道攻击和特征未知的侧信道攻击。本文从以下两方面实现侧信道攻击风险的感知与规避：对于特征已知的侧信道攻击手段，可利用现有侧信道攻击检测系统对攻击实施进程进行检测，并基于检测结果对相关VNF 执行触发式迁移；对于特征未知的侧信道攻击手段，基于侧信道攻击信息泄露模型评估潜在攻击成功实施的可能性，并据此对相关VNF 进行定期式迁移，以降低侧信道攻击成功实施的可能性。

为了解决2.2 节所述VNF 迁移面临的问题，本文提出了基于风险感知的关键VNF 动态迁移方法，包含以下3 个策略：1)VNF 安全需求分类，仅对具有安全需求的VNF 进行迁移，以降低待迁移节点数量；2)定期式迁移结合触发式迁移，充分利用不断演进的侧信道攻击检测系统，提升侧信道防御性能的同时降低迁移频率；3)基于逼近理想解排序（TOPSIS,technique for order preference by similarity to ideal solution）的多属性节点的排序法，优化迁移目的服务器节点的选取。

3.1 VNF 安全需求分类

针对待迁移VNF 的选择问题，将全部的VNF进行迁移是不合理的，且并非所有VNF 均含有隐私数据，因此不需要对所全部的VNF 进行迁移。本文参考赵硕等[14]的工作，引入VNF 分类策略，将VNF 分为有安全需求和无安全需求两类。有安全需求的VNF 含有隐私信息，信息被窃取会造成一定的危害；无安全需求VNF 中仅含可公开信息，信息泄露不会造成危害。

定义二值矩阵SRr×m表示安全需求矩阵，元素SRr,i表示第r个请求中的第i个VNF 的安全需求，若SRr,i=1，则表示有安全需求，需要对其进行迁移操作。为租户提供自定义VNF 安全需求接口，租户在请求SFC 时，可根据实际需要对相关VNF 的安全需求进行设定。因此，VNF 迁移模型应添加安全需求约束条件，如式(5)所示。

3.2 定期式迁移结合触发式迁移

针对迁移时机的选择问题，本文参考赵硕等[14]和Moon 等[15]建立的侧信道攻击信息泄露模型，使用Δ表示迁移系统所采用的时间间隔，λ表示迁移系统所设置的单位时间间隔信息泄露量，Γ表示租户间VNF 共存的时间间隔数量，Ir,i表示信息被成功窃取所需的最小信息量。

迁移系统以Δ为周期检查VNF 的共存时间间隔情况，并对达到共存时间间隔数量阈值的VNF进行定期式迁移。由于每个服务器节点都存在不需要迁移的VNF，因此可对共存时间的维护做以下简化，仅需统计有安全需求的VNF 在所部署服务器节点的部署时间即可，当有安全需求的VNF 在服务器节点部署的时间超过共存时间阈值时，应对该VNF 进行定期式迁移。用表示在服务器节点n部署的时间间隔数量，则为了保证VNF 隐私信息的安全性，应满足

此外，可结合现有侧信道攻击检测系统[16-17]，对相关VNF 执行触发式迁移。假设有π种类型的检测系统，定义二值矩阵ALERTπ×n表示侧信道攻击检测矩阵，元素ALERTi,j表示检测系统i观察到的服务器j中的侧信道攻击发生状况，ALERTi,j=1表示检测系统i发现服务器j内正在发生侧信道攻击，ALERTi,j=0表示检测系统i认为服务器j内未发生侧信道攻击。则当式(9)成立时，说明在服务器节点j正在发生侧信道攻击问题，需要对该服务器中的关键VNF 执行触发式迁移。

3.3 多属性节点排序

针对迁移目的节点的选择问题，目前的迁移方法仅考虑节点的资源属性，如计算资源、邻接带宽资源，而未深入考虑底层网络的拓扑属性以及服务功能链VNF 严格而有序的链式结构，进行迁移节点的选取时，可能会造成迁移节点距离过远，进而在链路部署阶段导致路径过长（跳数过大），不仅浪费链路资源，还会造成服务功能链数据传输时延增加。

本文参考龚水清等[19]的工作，引入基于TOPSIS 的多属性节点排序方法。进行迁移目的服务器节点选择时，本文所关注的影响节点排序的关键属性如下：节点的资源余量、与前置VNF 所部署服务器节点的距离和可用带宽、与后置VNF 所部署服务器节点的距离和可用带宽，以实现服务器节点资源属性与拓扑属性的综合考虑。此外，本文方法具有可扩展性，后续可根据实际需要对影响节点排序的关键属性进行调整。本节以图5 为例进行说明，在选择目的迁移服务器节点时，若N2、N4均支持的部署，且CPU 资源余量也基本一致时，此时将N2选为目的服务器节点更为合适，这是因为将该VNF 迁移到N2比迁移到N4的SFC整体的链路更短，可在降低服务时延的同时节约带宽资源。

图5 迁移目的服务器节点的选择

接下来，对影响目的迁移服务器节点选择的关键属性进行量化，并引入基于TOPSIS 的多属性节点排序方法，以实现目的迁移服务器节点的最优选择。

1)服务器节点的资源余量（为了简化问题仅考虑具有代表性的CPU 资源）可表示为

2)服务器节点n距离待迁移VNF 的前置VNF和后置VNF 的距离之和如式(11)所示，其中，DISprev(n)表示距离前置VNF 所部署服务器节点的最短路径跳数，DISnext(n)表示距离后置VNF 部署服务器节点的最短路径跳数。

3)可用带宽如式(12)所示，其中，RBprev(n)表示距离前置VNF 部署服务器节点的最短路径可用带宽余量，RBnext(n)表示距离后置VNF 部署服务器节点的最短路径可用带宽余量。

参考龚水清等[19]的工作，引入基于TOPSIS 的多属性节点排序方法，以存在n个待选服务器节点、h个关键属性评价指标为例（本文中仅使用了上述3 个关键属性作为评价指标）。基于TOPSIS 的多属性节点排序方法分为以下6 个步骤。

1)构建特征矩阵。特征矩阵如式(13)所示，其中xi,j表示第i个节点的第j个评价指标的数值。

2)计算规范化矩阵。规范化矩阵如式(14)所示，由于各评价指标的类型、量纲、值均不同，为了便于比较，需对各属性值进行规范化，属性值规范化的方法多样，本文采用与龚水清等[19]相同的方法，yij的计算方法如式(15)所示。

3)计算权重规范化矩阵。权重规范化矩阵如式(16)所示，其中，wj表示第j个评价指标的权重，wj约束条件如式(17)所示，zij的计算方法如式(18)所示。

4)确定正理想解A+和负理想解A-。正理想解A+如式(19)所示，负理想解A-如式(20)所示。

5)计算距离尺度。为每个候选服务器节点i计算距离正理想解和负理想解的距离，即

6)计算理想解贴近度。为每个候选服务器节点i计算距离理想解的贴近度，即

最后，根据理想解贴近度Oi的大小对候选服务器节点进行排序，并选出最优的迁移目的服务器节点。

4 算法设计

本节以最小化链路资源开销为优化目标，设计了风险感知的关键虚拟网络功能迁移（RVNFM,risk-aware key virtual network function migration）算法，RVNFM 算法由迁移决策算法和VNF 迁移算法2 个子算法构成。算法主要流程如下：以时间间隔Δ为周期，周期性地调用迁移决策算法，迁移决策算法实现VNF 的迁移决策，并调用VNF 迁移算法实现VNF 迁移。

迁移决策算法如算法1 所示。

算法1迁移决策算法

迁移决策算法具体描述如下。遍历网络中的服务器节点（第1)行），若检测到服务器节点发生侧信道攻击，则对部署于该服务器节点且具有安全需求的VNF 执行触发式迁移（第2)～5)行），遍历部署于该服务器节点的VNF（第3)行），若VNF 具有安全需求（第4)行），则调用VNF 迁移算法执行触发式迁移（第5)行）；若服务器节点未检测到侧信道攻击，则对VNF 执行定期式迁移（第6)～9)行），遍历部署于该服务器节点的VNF（第7)行），若具有安全需求的VNF 位于该服务器的部署时间超过阈值（第8)行），则调用VNF 迁移算法执行定期式迁移（第9)行）。

VNF 迁移算法如算法2 所示。

算法2VNF 迁移算法

输入待迁移

输出迁移方案

VNF 迁移算法的具体描述如下。算法分为VNF部署阶段（第1)～6)行）与虚拟链路部署阶段（第7)～11)行）2 个阶段。筛选网络中支持该类型VNF部署且资源足够的服务器（第2)行），计算满足条件服务器节点的关键属性（第4)行），使用基于TOPSIS 的多属性节点排序方法对服务器节点进行排序（第5)行），选择最优服务器节点作为目的迁移服务器，更新节点资源余量（第6)行）。为2 条虚拟链路筛选带宽资源充足的物理链路（第8)行），并从中筛选部署代价最小的链路集合（存在多条长度相等的链路）（第9)行），选择带宽资源余量最大的物理链路（第10)行），记录所使用的物理链路并更新链路资源余量。

算法复杂度分析如下。算法1 中，执行触发式迁移算法的最大计算复杂度为，其中，表示网络中服务器节点的总数量，表示虚拟网络功能的总数量；执行定期式迁移算法的最大计算复杂度为，因此算法1的最大计算复杂度为。算法2 中，基于TOPSIS 的多属性节点排序VNF 部署方法的最大计算复杂度为，其中，h为评价指标的数量；虚拟链路部署阶段的最大计算复杂度为为网络中物理链路的总数量。因此，本文算法的计算复杂度为，为多项式函数复杂度。

5 实验仿真

5.1 实验环境设置

实验算法使用Python 实现，运行于Intel Core i5-3230 2.6 GHz、16 GB 内存的计算机。采用与Li等[20]一致的数据中心胖树拓扑网络结构，包含54 个服务器、45 个交换机和162 条链路，每个服务器节点的计算资源为45 个，每条链路带宽容量为45 个。实验中设置了8 种不同类型的VNF，其中4 种为常用VNF 实例，另外4 种为用户自定义（UD,user defined）VNF 实例。根据文献[21]对VNF 资源需求系数进行设置，相关VNF 资源需求系数如表2 所示，每个服务器节点从8 种类型的VNF 中随机选取6 种作为可承载VNF。每个SFC 请求需要处理的流量大小从{1,2,3}中随机选取，所含的VNF 从8种类型的VNF 中随机选取4 种，并随机选取其中的2 个定义为具有安全需求的VNF，相关VNF 信息被成功窃取的最小信息量I从{500,1 000,1 500}中随机选取。迁移系统所采用的时间间隔Δ=10，单位时间间隔信息泄露量λ根据下述实验具体需求进行设置。参考常见云平台的负载情况，本文对工作负载进行设置，使稳定状态下服务器的平均资源使用率为50%，此时网络中已部署约58 条SFC请求。

本文对网络中存在的侧信道攻击方法做如下简化。将其分为已知特征和未知特征的侧信道攻击手段，根据单位时间间隔信息窃取量δ将相关侧信道攻击方法的泄露速率分为快速、中速和慢速，仿真实验中潜在恶意租户可采用的单位时间间隔信息窃取量δ如表3 所示。实验中采用饱和式攻击，假设每个服务器节点均存在侧信道攻击，随机从表3中选取一种可用的侧信道攻击手段。

表2 VNF 资源需求系数

表3 侧信道攻击方法分类

为了评估本文所提方法的有效性，将本文所提的RVNFM 迁移方法与下述相关方法进行对比实验，采用定期式迁移策略的迁移方法（DMBSL,dynamic migration of virtual machine based on security level）[14]、采用触发式迁移策略的迁移方法（MBHMU,migration based on heavy memory utilization）[17]和不执行迁移的方法（NM,no migration）。

5.2 评价指标

主要从以下4 个方面对比相关方法在防御侧信道攻击时的性能。1)迁移VNF 的数量，随着时间推移，系统为抵御侧信道攻击所迁移的VNF 数量。2)时间间隔Δ内迁移VNF 的平均数量，在系统时间间隔Δ内，迁移VNF 数量的统计平均值。3)泄露信息的VNF 所占比例，随着时间推移，由于不能防御的侧信道攻击手段而发生信息泄露的VNF占总体有安全需求VNF 的比例。4)迁移后距前后VNF 的跳数和，在完成VNF 迁移后，目的迁移服务器节点距离前置VNF 所部署服务器节点和后置VNF 所部署服务器节点的跳数和。

5.3 实验结果分析

本文实验部分通过2 个实验进行对比分析。

1)不同迁移方法防御侧信道攻击的性能

首先，对比不同迁移方法在防御侧信道攻击时的性能，令λ=6。图6 展示了饱和侧信道攻击环境下，随时间推移不同迁移方法泄露信息VNF 所占比例，以NM 方法为基线。从图6 可以看出，本文所提RVNFM 算法防御侧信道攻击的性能最优，这是因为RVNFM 方法结合触发式迁移与定期式迁移，触发式迁移可有效抵御所有特征已知的侧信道攻击，而定期式迁移方法能有效防御信息窃取速率δ＜λ的侧信道攻击（无论特征是否已知），结合两者可有效防御绝大多数侧信道攻击手段，但是对于特征未知的快速侧信道攻击（δ＞λ），仍不能较好地解决，需要系统采用更大的λ值。此外，还可以看出，在本实验所设置的参数下，仅使用定期式迁移策略的DMBSL 算法防御效果稍劣于仅使用触发式迁移策略的MBHMU 算法。

图6 随时间推移系统中泄露信息的VNF 所占比例

图7 展示了不同迁移方法下系统迁移VNF 的数量情况。不进行迁移的NM 方法无VNF 迁移；采用触发式迁移策略的MBHMU 算法迁移的VM数量非常少，因此产生的迁移开销很小；采用定期式迁移策略的 DMBSL 算法和本文所提出的RVNFM 算法均进行了大量的VNF 迁移，相较于MBHMU 算法而言具有很大的迁移开销。此外，RVNFM 算法虽然比DMBSL 算法增添了触发式迁移策略，直观上应有更多的VNF 迁移数量，但实际上迁移数量基本一致，这是由于RVNFM 算法在对VNF 进行迁移决策时，对于信息泄露速率低于δ＜λ的已知特征侧信道攻击不进行触发式迁移，而采用定期式迁移，可降低VNF 的迁移数量。

图7 随时间推移系统迁移的VNF 数量情况

从图8 可以看出，MBHMU 算法迁移后的链路跳数和较大，会造成较大的链路资源开销，增加服务的时延，这是由于MBHMU 采用随机策略选择目的迁移服务器节点，无论是在本文所使用的数据中心网络拓扑还是其他网络拓扑，通常情况下随机选择迁移目的节点极易造成迁移后路径过长问题。而DMBSL 算法与本文提出的RVNFM算法迁移后的跳数之和均较小，这是由于DMBSL算法在对迁移节点进行选择时考虑了链路部署开销，有效避免选择路径过长的目的迁移服务器节点。而RVNFM 算法在选择迁移目的节点时，采用了基于TOPSIS 的多属性节点排序算法，其中一项节点评价指标是迁移后链路跳数，因此可有效避免迁移后链路过长问题。对于图8 中存在跳数为0 的情况，是由于本文忽略了服务器到交换机这一跳，若2 个服务器在同一个交换机下则跳数距离为0。

图8 迁移后距前后VNF 的跳数之和

2)λ对相关迁移算法的影响

λ对相关迁移算法防御效果的影响如图9 所示。其中，采用触发式迁移策略的MBHMU 算法不受λ影响，不再列出不同参数下的状况。而DMBSL算法和本文提出的RVNFM算法随λ的增大防御效果逐渐提升，可以看出相同的λ下，RVNFM 算法优于DMBSL 算法。RVNFM 算法甚至可在λ=6的情况下达到接近DMBSL 算法在λ=8时的防御性能，而更大的λ，意味着更多的VNF 迁移数量（如图10 所示），也将面临着更高的迁移开销和更大的服务影响。在相同的防御性能下，RVNFM 具有更低的节点迁移数量与迁移频率。

图9 λ对相关迁移算法防御效果的影响

图10 λ对VNF 迁移数量的影响

如图10 所示，虽然增大λ可显著提高相关算法防御侧信道攻击的性能，但是也显著提高了VNF 迁移数量，由此会造成较大的迁移开销。服务提供商应根据实际情况及租户需求，合理地对λ进行设置，可对不同λ进行差异化定价。图11展示了不同λ下，相关迁移算法在时间间隔Δ内迁移VNF 的平均数量情况。可以看出，MBHMU算法在时间间隔Δ内迁移VNF 的平均数量较少，且不受λ的影响。而RVNFM 和DMBSL 算法在时间间隔Δ内迁移VNF 的平均数量随λ的增大而显著提高。

图11 时间间隔Δ内迁移VNF 的平均数量情况

6 结束语

本文对多租户环境下租户VNF 长期共存所面临的侧信道攻击问题进行了描述，分析了现有迁移算法存在的问题与不足，并概述了VNF 进行迁移时需要解决的3 个关键问题：待迁移VNF、迁移时机及迁移目的节点的选择问题。由此提出了基于风险感知的关键虚拟网络功能动态迁移算法，并验证了算法的有效性。本文围绕SFC 中虚拟网络功能面临的安全性问题展开研究，而未深入考虑SFC 中虚拟链路所面临的安全威胁。然而租户间虚拟链路共享底层资源时也同样面临着信息泄露风险，在未来的研究工作中将试图解决SFC 虚拟链路面临的安全风险，进一步提高SFC 隐私信息的安全性。