1.   引言

端到端网络服务通常需要其流量经过一系列有序的网络功能和应用程序的处理，而这一组功能序列被称为服务功能链(Service Function Chain, SFC)^[1]。然而传统的网络服务提供方式需要部署大量复杂的网络功能，面临着不断扩展基础设施以及维护复杂网络所产生的巨大成本^[2]。网络功能与网络拓扑的紧耦合特性，也愈发难以满足新形势下网络服务对多样化、定制化和动态化网络功能的需求^[3]。云计算、软件定义网络(Software Defined Network, SDN)以及网络功能虚拟化(Network Function Virtualization, NFV)技术的出现为网络的发展注入了极大活力，基于三者的SFC部署方案为解决上述问题提供了良好的思路^[3]，利用云计算提供的按需索取的资源，借助NFV技术将各类网络功能以软件形式运行在通用硬件之上，即：虚拟网络功能(Virtual Network Function, VNF)，并基于SDN技术实现业务流量在VNFs间的灵活高效引导，这种新型的SFC部署方案为网络服务的部署提供了前所未有的灵活性。

然而这种新型的SFC部署方案在走向成熟的过程中仍面临着许多挑战，如：资源分配优化、动态服务映射、服务策略实施、服务可靠性、安全性等，现有SFC部署主要以端到端时延^[4]、运营成本^[5]、资源利用率^[6,7]、可靠性^[8]等作为优化目标，而在保证安全性方面考虑的较少。然而安全性始终是一个重要的焦点，NFV在落地实施的过程中也面临着众多的安全挑战，包括NFV特有的安全威胁、通用虚拟化安全威胁和通用网络威胁等^[9]。本文则重点关注通用虚拟化安全威胁中VNF面临的侧信道攻击^[10]问题。

在相关的虚拟机(Virtual Machine, VM)部署和虚拟网(Virtual Network, VN)映射领域，针对侧信道攻击的防御方法主要分为以下3类。

(1) 消除侧信道。如：修改调度程序、采用硬件隔离机制等，该类方法需要对硬件、VM或VM管理程序进行重大修改，难以很快被云服务提供商所采用，此外该类方法往往不能覆盖到未来不断被发掘出来的侧信道攻击手段^[11]，需要更加通用的防御方法。

(2) 定期迁移^[12,13]和触发迁移^[14]。文献[12]对亚马逊数据中心进行了为期5个月的实验，深入分析了攻击者实现共存的效果，并提出了一套权衡共存时间和迁移代价的迁移指南。文献[13]针对定期动态迁移方法存在迁移算法收敛时间长、开销过大的问题，提出了一种基于安全等级的VM动态迁移方法，显著降低了VM迁移的数量和频率，但是该方法对关键VM的定义具有一定的租户主观性。文献[14]建议对侧通道攻击进行实时检测，并采用触发式的VM迁移来防止信息的泄漏，但是此类方法需要掌握相关侧信道攻击手段的特征，难以应对特征未知的侧信道攻击。现有定期迁移和触发迁移方法虽然合理地控制了迁移频率和迁移开销，但是该类方法在迁移过程中会造成一定时间的服务中断，对服务质量有较大影响，此外VM在迁移过程中也面临着诸多安全风险^[15]。

(3) 提高共存难度。文献[16]为了解决VN中信息的机密性和完整性保护问题，引入了安全级别和安全性需求的概念，但是该方法使得恶意租户可通过高安全需求的资源请求实现与高安全需求租户的轻易共存。文献[17]比较了常用的VM部署策略在防御侧信道攻击时的安全性，并提出了基于博弈论的混合部署策略，并在之后的研究^[18]中，利用聚类分析和半监督学习方法实现对租户的分类，并基于租户分类结果对VM进行分域部署，但是所设计的分类方法过于复杂，且并不能严格准确地区分出恶意租户与合法租户，但是相关租户分类策略具有很好的参考价值，本文的研究便是受到了该研究的启发。

针对现有SFC部署方法缺乏对侧信道攻击问题的考虑，本文在借鉴相关领域防御方法之上，从提高共存难度的角度出发，提出了一种抗侧信道攻击的服务功能链部署方法，引入基于时间均值的租户分类策略以及结合历史信息的部署策略，并以租户所能覆盖的服务器数量为优化目标建立了部署模型，设计了基于贪婪选择的部署算法，最后通过实验对所提方法的性能进行了深入评估。

2.   问题描述与模型建立

2.1   侧信道攻击问题描述

云服务提供商可将VNF作为服务提供给租户，并借助虚拟化技术实现资源在多租户间的高效复用，租户可按需租用VNF。一个典型的租户SFC请求实例如图1上半部分所示，该请求包含4个VNF，图1描述了该SFC请求在网络中的部署情况。然而恶意租户可利用云服务提供商的资源分配缺陷，采用一定的SFC请求策略与目标租户以较大概率共存于同一服务器，图2简要描述了恶意租户实现共存的过程。恶意租户在成功实现与目标租户VNF共存后，可利用共享资源(如：CPU、内存、磁盘、网络)构建广泛的侧信道^[10]，如图3所示，进而从共存的VNF中获取敏感信息，范围可从粗粒度的工作负载、流量速率到细粒度的加密密钥等，有些看似无害的信息有时也是极其有用的，如工作负载统计信息可用于识别系统何时最易受攻击^[18]。如果不能很好地解决租户VNF面临的信道攻击风险，将直接影响这种新型网络服务提供方式的广泛应用。

图 2  恶意租户实现共存过程

下载: 全尺寸图片 幻灯片

图 3  恶意租户实施侧信道攻击

下载: 全尺寸图片 幻灯片

图 1  基于云环境的服务功能链部署示意图

下载: 全尺寸图片 幻灯片

2.2   系统模型

(1) 数据中心网路。可用一个无向图$\bar G = (\bar N,\bar S,$$\bar L)$表示，其中$\bar N_{}^{}$, $\bar S_{}^{}$, $\bar L_{}^{}$分别表示服务器、交换机和物理链路集合，用$n$, $s$, $l$分别表示服务器、交换机和物理链路的总数量。定义${\text{B}}_{S \times S}^{}$为交换机连接矩阵，元素$B_{i,j}^{} \in {R^ + }$表示交换机节点$i$到$j$的通信链路容量。用$V_{}^{} = \eta (u) = \{ v|{B_{u,v}} > 0\} \subseteq \bar S,u,v \in \bar S$表示与交换机$u$直连的交换机集合。定义二值矩阵${\text{H}}_{n \times s}^{}$为服务器与交换机连接矩阵，元素$H_{i,j}^{} \in \{ 0,1\}$表示服务器节点$i$是否连接在交换机$j$上。定义$K_{}^{}$为服务器资源类型(如：CPU、内存、存储)集合，用$k$表示资源类型总数量。定义${\text{C}}_{n \times k}^{}$为底层服务器资源容量矩阵，元素$C_{i,j}^{} \in {R^ + }$表示服务器节点$i$上可提供的第$j$类资源容量。定义矩阵${\text{C}}_{n \times k}^{{\rm{rem}}}$和${\text{B}}_{s \times s}^{{\rm{rem}}}$分别表示当前网络服务器资源和链路资源的剩余情况。

(2) 虚拟网络功能。定义$P\,$为VNF类型集合(如：Firewall, IDS等)，用$p$表示VNF类型总数量，定义${\text{Q}}_{p \times k}^{}$为VNF资源需求系数矩阵，元素$Q_{i,j}^{}$表示$i$类型VNF处理单位带宽流量所占用的$j$类资源数量。定义二值矩阵${{\text{S}}_{n \times p}}$，表示服务器节点可承载的VNF类型矩阵，元素${S_{i,j}} \in \{ 0,1\}$表示服务器节点$i$是否支持$j$类型VNF的部署。

(3) 服务功能链请求。租户集合用$\varOmega$表示，SFC请求集合用$R_{}^{}$表示，每一个请求信息可用一个6元组$r = < \eta _{}^r,\bar u_{}^r,\bar v_{}^r,\beta _{}^r,\tau _{}^r,\psi _{}^r >$表示，其中$\eta _{}^r \in \varOmega$表示该请求所属的租户，$\bar u_{}^r,\bar v_{}^r$表示接入和出口交换机，$\beta _{}^r$表示该服务链所需处理的流量大小，$\tau _{}^r$表示该请求的生命周期，$\psi _{}^r$表示处理流量所需的VNF序列，用$m$表示该请求中VNF的总数量，定义行向量${\text{T}}_{1 \times m}^r$表示该请求的VNF组成类型向量，元素$T_{1,i}^r \in P$表示请求中第$i \in \{ 1,2, ·\!·\!· ,m\}$个VNF的类型。每一个SFC请求均可用一个有向图$G_{}^r = (N_{}^r,L_{}^r)$表示，其中$N_{}^r$为节点(接入交换机，VNFs，出口交换机)集合，$L_{}^r$为连接这些节点的虚拟链路集合。

(4) 服务功能链部署。服务提供商接收到租户的SFC请求后，根据请求信息$r$以及当前网络资源状态，按照一定策略完成SFC部署。SFC部署可描述为将请求拓扑$G_{}^r$映射到物理网络拓扑$\bar G$之上，定义为$M:G_{}^r \to \bar G_{}^r \subseteq \bar G$，其中$\bar G_{}^r$是$\bar G$的子集，若映射成功，则随后完成所需VNF的实例化以及转发路径的下发。

2.3   服务功能链部署模型

本文以最小化租户所能覆盖的服务器数量为目标函数，建立了服务功能链部署模型。定义二值矩阵${\text{F}}_{m \times n}^r$表示请求$r$中的$m$个VNF与$n$个服务器节点间的映射关系，元素$F_{i,j}^r \in \{ 0,1\}$，表示第$i$个虚拟网络功能${{\rm VNF}_i}^r$是否部署在服务器节点$j$上。定义$n_i^r \in \bar N$，表示${{\rm VNF}_i}^r$部署的服务器节点。定义$s_i^r \in \bar S$，表示$VN{F_i}^r$部署的服务器节点$n_i^r$所直连的交换机。当$i = 0$时，令$s_0^r = \bar u_{}^r$，当$i = m + 1$，令$s_{m + 1}^r = \bar v_{}^r$，分别表示接入交换机和出口交换机。定义二值矩阵${\text{E}}_{s \times s}^{s_i^r,s_{i + 1}^r}$表示${{\rm VNF}_i}^r$与${\rm VNF}_{i + 1}^r$之间的虚拟链路$l_{i,i + 1}^r \in L_{}^r$与物理链路$\bar l_{u,v}^{} \in \bar L_{}^{}$之间的映射关系，元素$E_{u,v}^{s_i^r,s_{i + 1}^r} \in \{ 0,1\}$表示虚拟链路$l_{i,i + 1}^r$是否部署在物理链路$\bar l_{u,v}^{}$之上。此外用$B_{\cos t}^r$表示请求$r$的总的链路带宽资源消耗。

目标函数：最小化每个租户所能覆盖的服务器数量。

约束条件

式(2)表示SFC请求$r$中的每一个VNF仅能部署在一个服务器节点上，式(3)表示用于承载${\rm{VN}}{{\rm{F}}_i}^r$的服务器$n_i^r$必须支持该类型VNF的部署，式(4)表示部署请求$r$中全部的VNF所使用的各类资源数量不能超过每台服务器各类资源剩余量，式(5)表示部署请求$r$中全部的虚拟链路所占用的带宽不能超过各条物理链路剩余的带宽容量，式(6)表示请求$r$总的带宽资源消耗。

3.   基于租户分类和历史信息的部署方法

3.1   租户分类策略

文献[13,18]采用的租户分类策略(Tenant Classification Strategy, TCS)，在应对侧信道攻击问题时均取得了较好的效果，但是分类方法存在的一定的复杂性和租户主观性，为此本文提出一种更为简洁高效的分类方法，分类的目的也并非严格准确地区分出恶意租户与合法租户，而是迫使恶意租户表现的与目标租户一致，否则恶意租户将无法与目标租户同区域部署。

关注每一个租户$\eta$的SFC请求总数量${\rm{AMT}}_\eta ^{}$以及相关请求的运行时间$\tau$，并以此计算每个租户SFC的平均运行时间${\rm{AVG}}_\eta ^{}$。定义运算规则$\odot$，若$\eta = {\eta ^r}$, $\eta \odot {\eta ^r} = 1$；若$\eta \ne {\eta ^r}$, $\eta \odot {\eta ^r} = 0$，则

依据平均运行时间${\rm{AVG}}_\eta ^{}$将租户划分为潜在恶意租户(Potentially malicious Tenant, PT)、不确定租户(Uncertain Tenant, UT)和低风险租户(Low-risk Tenant, LT)3类，用XT表示租户所属分类。设定用于租户分类的低风险阈值(Low ThresHold, LTH)和高风险阈值(High ThresHold, HTH)，将${\rm{AVG}}_\eta ^{} \ge {\rm{LTH}}$的租户$\eta$划分为低风险租户，将${\rm{LTH}} > {\rm{AVG}}_\eta ^{} \ge {\rm{HTH}}$的租户$\eta$划分为不确定租户，将${\rm{AVG}}_\eta ^{} < {\rm{HTH}}$租户$\eta$划分为潜在恶意租户，即

定义$\bar N_{}^{{\rm{LT}}}$, $\bar N_{}^{{\rm{UT}}}$和$\bar N_{}^{{\rm{PT}}}$分别表示低风险租户可部署服务器集合、不确定租户可部署服务器集合和潜在恶意租户可部署服务器集合。当SFC请求$r$到达时，对该请求所属租户$\eta _{}^r$的分类信息进行更新，确定该租户所属分类${\rm{XT}} \in \{ {\rm{LT}},{\rm{UT}},{\rm{PT}}\}$，并依据租户当前的分类情况${\rm{XT}}$将其资源请求部署到相应服务器集合$\bar N_{}^{{\rm{XT}}}$，其中$\bar N_{}^{{\rm{XT}}} \in \{ \bar N_{}^{{\rm{LT}}},\bar N_{}^{{\rm{UT}}},\bar N_{}^{{\rm{PT}}}\} = \bar N$。

3.2   结合历史信息的部署策略

上述租户分类方法可显著提高恶意租户实现共存的成本，但是当恶意租户与目标租户被划分为同一类别时，恶意租户仍可通过新的资源请求不断尝试与同区域的目标租户共存，为了进一步提高共存的难度和代价，本文从限制租户VNF在域内扩散的角度出发，最小化租户所能占用的服务器数量。具体做法如下：在对租户的SFC请求进行部署时，首先根据3.1节的租户分类策略确定可部署的服务器集合$\bar N_{}^{{\rm{XT}}}$，之后再结合该租户SFC请求的历史部署信息(Combine Historical Deployment Information, CHDI)，优先选择该租户$\eta$当前已经占用或近期占用过的服务器，定义该类服务器集合为$\bar N_\eta ^{{\rm{XT}}}$，在保证服务器与VNF的相关约束条件下，最小化每个租户所能覆盖的服务器数量。此外，考虑到租户服务的可靠性问题，本文限制每台服务器可承载同一租户VNFs的最大数量为MNPT(Maximum Number of VNFs Per Tenant)，该约束条件可表示为

4.   算法设计

本文以最小化租户所能覆盖的服务器数量为目标，以式(2)—式(10)为约束条件，设计了一种基于贪婪选择的SFC部署算法，算法流程如表1所示，主要分为租户分类、VNF部署和虚拟链路部署3个阶段。

表 1  基于租户分类和历史信息的部署算法

输入：服务功能链请求信息$r$
输出：请求$r$的部署方案
(1) #租户分类
(2)计算平均运行时间${\rm{AVG}}_\eta ^{}$，确定请求所属租户${\eta ^r}$的分类XT；
(3)依据分类结果，确定可部署服务器集合$\bar N_{}^{{\rm{XT}}}$以及租户${\eta ^r}$在该 区域已占用的服务器集合$\bar N_{{\eta ^r}}^{{\rm{XT}}}$；
(4) #VNF部署
(5) SFCdpsucc=0, nodedpsucc=0#设置部署成败状态标志；
(6) For each ${\rm{VNF}}_i^{\rm{r}}$in $\psi _{}^r$#遍历SFC请求中所有的m个VNF；
(7)　　　筛选出$\bar N_{}^{{\rm{XT}}},\bar N_{{\eta ^r}}^{{\rm{XT}}}$中支持该类型VNF且剩余资源足够的 服务器集合$\bar N_{{\rm{VNF}}_i^{{r}}}^{{\rm{XT}}},\bar N_{{\eta ^r},{\rm{VNF}}_i^{{r}}}^{{\rm{XT}}}$；
(8)　　　If $\bar N_{{\eta ^r},{\rm{VNF}}_i^r}^{{\rm{XT}}}$不为空，则从中选取剩余资源最多的服务器 节点部署${\rm{VNF}}_i^r$；
(9)　　　If $\bar N_{{\eta ^r},{\rm{VNF}}_i^r}^{{\rm{XT}}}$为空，则从$\bar N_{{\rm{VNF}}_i^r}^{{\rm{XT}}}$中选取剩余资源最多的服 务器节点部署${\rm{VNF}}_i^r$；
(10)　　　记录${\rm{VNF}}_i^r$所部属的服务器节点$n_i^r$，并对节点$n_i^r$资源 余量和$\bar N_{{\eta ^r}}^{{\rm{XT}}}$进行预更新；
(11) If $\psi _{}^r$中所有的VNF均找到可部署服务器节点；
(12)　　　nodesucc=1，并对相关服务器节点资源余量和$\bar N_{{\eta ^r}}^{{\rm{XT}}}$进 行更新。
(13) #虚拟链路部署
(14) linkdpsucc=0#设置链路部署成败状态标志；
(15) If nodedpsucc==1；
(16)　　　For each $l_{i,i + 1}^r$ in $L_{}^r$#遍历该SFC请求中所有的虚拟 链路；
(17)　　　　　　确定节点$n_i^r$与$n_{i + 1}^r$之间带宽余量足够的可用链 路集合$\bar L_{n_i^r,n_{i + 1}^r}^{}$；
(18)　　　　　　从中筛选出部署代价$B_{\cos t}^r$最小的链路集合#存 在多条同等长度的链路；
(19)　　　　　　 从中选取带宽资源余量最大的链路；
(20)　　　　　　记录所使用的链路，并对链路资源余量进行预 更新；
(21)　　　If $L_{}^r$中所有的虚拟链路找到可部署的物理链路；
(22)　　　　　　linkdpsucc=1，并对相关物理链路资源余量进 行更新；
(23) If (nodedpsucc and linkdpsucc)==1；
(24)　　　SFCdpsucc=1#该SFC请求部署成功；

下载: 导出CSV 

| 显示表格

对上述算法的计算复杂度进行分析：租户分类过程的计算复杂度为$O(|R|)$，其中$|R|$为所有SFC请求的总数量；基于贪婪算法的VNF部署过程，其最大计算复杂度为$O(m(|\bar N_{{\eta ^r}}^{{\rm{XT}}}| + |\bar N_{}^{{\rm{XT}}}|))$；基于贪婪算法的虚拟链路部署过程，其最大计算复杂度为$O(|L_{}^r||\bar L|)$。因此本算法的计算复杂度为$O(|R| + m(|\bar N_{{\eta ^r}}^{{\rm{XT}}}| + |\bar N_{}^{{\rm{XT}}}|) + |L_{}^r||\bar L|)$，为多项式时间复杂度。

5.   实验仿真

5.1   实验设置

本算法使用Python实现，采用与文献[19]一致的数据中心胖树拓扑网络结构，包含54个服务器、45个交换机和162条链路，服务器节点的计算资源为50，链路的带宽容量为50。实验中设置了8种不同类型的VNF，参考文献[20]对VNF资源需求系数进行设置，如表2所示，每个服务器节点随机选取6种作为可承载VNF。SFC请求所需处理的流量大小从{1, 2, 3}中随机选取，所需的VNF从中随机选取4种。实验中设置了背景工作负载，使得稳定状态下服务器的平均资源使用率为50%。对恶意租户实现共存的过程做如下简化：待系统稳定后，随机在某一区域部署一条SFC请求作为目标租户，随后恶意租户采用一定的策略不断请求SFC尝试与目标租户共存，当恶意租户与目标租户有任何一个VNF共存于同一服务器时停止实验，此时判定恶意租户成功实现共存。每次实验重复100次，并对实验数据进行统计分析。

表 2  VNF资源需求系数

VNF类型	NAT	Firewall	Proxy	IDS	UD_1	UD_2	UD_3	UD_4
计算资源需求/(单位带宽)	1	2	2	6	1	2	3	4

下载: 导出CSV 

| 显示表格

部分设置需要根据子实验需求进行设定，主要有：SFC请求最小生命周期(Minimum Life Cycle, MLC)和风险阈值HTH, LTH，其中HTH=a×MLC, LTH=b×MLC；恶意租户所能使用的账户数量情况，单账户(Single Account, SA)或多账户(Multiple Accounts, MA)；以及每个SFC请求的生命周期。用于进行对比实验的相关部署方法有：快速高效的随机部署方法Random，考虑负载均衡性的最多资源部署方法Most，基于租户分类的部署方法Most+TCS，基于历史部署信息的部署方法Most+CHDI，以及结合两者的部署方法Most+TCS+CHDI。

5.2   评价指标

从以下4个方面对比相关方法在防御共存攻击的性能。(1)覆盖的服务器数量：指的是随着恶意租户所请求SFC数量的增加，恶意租户所能占用服务器数量的情况；(2)实现共存所请求的SFC数量；(3)SFC请求累计租用时间平均值：指的是在100次重复实验下，恶意租户每次成功实现共存所请求的全部SFC生命周期时间之和的统计平均值；(4)成功实现共存的概率：指的是100次重复实验下成功实现共存所请求的SFC数量的累计分布函数。

5.3   实验结果分析

实验分为以下3个子实验，分别展示单账户攻击场景下不同方法的效果，多账户攻击策略对相关方法的影响，以及不同的时间参数所产生的影响。

(1) 单账户攻击场景下不同部署方法的效果

相关设置如下：令MLC=6, a=2, b=4, MNPT=4。恶意租户使用单账户执行攻击，在Random, Most和Most+CHDI方法下，恶意租户每个SFC请求采用最小生命周期6，以最小化攻击成本。而在Most+TCS和Most+TCS+CHDI两个采用租户分类策略的方法下，令恶意租户拥有3个属于不同租户类别的账户，为了保持账户所属分类不变以及最小化攻击成本，3个账户SFC请求的生命周期分别为6, 12和24，并依序对3个不同区域进行共存攻击尝试。

图4展示了随租户请求的SFC数量增加，租户所能覆盖的服务器数量情况，可以看出使用CHDI策略的两种方法可显著降低租户覆盖服务器数量的增长趋势，这是由于对租户的SFC请求进行部署时，会优先选择租户已占用的或近期占用过的服务器。此外可以发现在Random方法下，租户无法覆盖全部的54个服务器，这是由于存在背景SFC负载将个别服务器资源用尽的现象，反映出Random部署算法在负载均衡性方面效果较差。图5展示了恶意租户实现共存所请求的SFC数量情况，可以看出采用CHDI策略的方法可提高恶意租户实现共存所请求的SFC平均数量，其中Most+CHDI方法最为优异。图6展示了100次重复试验下，成功实现共存的概率，可以看出在Random部署方法下，大约需要13条SFC请求一定可与目标租户实现共存，在Most和Most+TCS部署方法下，大约需要8条，而在Most+CHDI和Most+TCS+CHDI部署方法下，大约需要23条，由此可见本文所提Most+TCS+CHDI部署方法提高了恶意租户实现共存的难度和成本。

图 4  覆盖服务器数量的变化趋势

下载: 全尺寸图片 幻灯片

图 5  实现共存所请求的SFC数量情况

下载: 全尺寸图片 幻灯片

图 6  成功实现共存的概率

下载: 全尺寸图片 幻灯片

(2) 多账户攻击策略对相关部署方法的影响

为了验证多账户攻击策略的影响，采用子实验(1)的相关设置重新运行实验，参数MLC, HTH, LTH和MNPT均不变。恶意租户可采用单账户或多账户进行攻击，由于Random和Most方法平等的对待所有账户请求，多账户攻击策略对其无影响，不再列出。为了最大化多账户场景下的攻击效率和最小化攻击成本，在Most+CHDI方法下，恶意租户每个账户仅请求1条生命周期为6的SFC。而在Most+TCS和Most+TCS+CHDI方法下，由于租户分类策略的存在，每个新账户请求的第1条SFC只能部署在潜在恶意租户区域，第2条SFC请求才能根据分类结果部署到不确定租户区域或低风险租户区域。为了最小化共存攻击成本，恶意租户在潜在恶意租户区域无需进行额外的共存尝试，因此每个新账户请求的两条SFC生命周期为12或者24，攻击时先对不确定租户区域进行共存尝试，同时检查第1条SFC在潜在恶意租户区域是否实现共存，覆盖该区域全部服务器仍未实现共存时，再对低风险租户区域进行共存尝试。

图7展示了在单账户(SA)攻击策略和多账户(MA)攻击策略下，租户所能覆盖的服务器数量情况，可以看出MA对采用CHDI策略的部署方法影响很大，在MA攻击策略下，Most+CHDI和Most+TCS+CHDI的服务器覆盖趋势分别退化为Most和Most+TCS，这是由于CHDI策略无法分辨同一恶意租户的不同新账户。图8则展示了在MA攻击策略下，恶意租户实现共存所请求的SFC数量变化情况，MA攻击策略显著减少了恶意租户在Most+CHDI和Most+TCS+CHDI部署方法下需要请求的SFC数量。图9则展示了MA攻击策略对共存概率的影响，可以看出MA攻击策略显著降低了恶意租户在Most+CHDI和Most+TCS+CHDI部署方法下实现共存的难度。图10展示了攻击者采用SA攻击策略时成功实现共存所租用资源累计时间的统计平均值，而恶意租户的成本正比于租用资源时间的长度，可以看出TCS和CHDI两个策略均能很好地提高恶意租户实现共存所付出的租用资源成本，将两者结合的Most+TCS+CHDI方法能显著提高恶意租户的攻击成本。图11则展示了MA攻击策略对恶意租户实现共存所租用资源累计时间的影响，MA攻击策略提高了Most+TCS部署方法下的攻击成本，这是由于每个新账户的第1条SFC请求只能部署在潜在恶意租户区域，然而显著降低了Most+CHDI和Most+TCS+CHDI部署方法下的攻击成本。从图7—图11可以看出多账户攻击策略对本文所提部署方法性能影响较大，为了保证Most+TCS+CHDI部署方法的有效性，建议云服务提供商严格审批租户新账户的申请，以避免潜在恶意租户掌握大量可用账户。

图 7  MA对覆盖服务器数量的影响

下载: 全尺寸图片 幻灯片

图 8  MA对实现共存所请求SFC数量的影响

下载: 全尺寸图片 幻灯片

图 9  MA对共存概率的影响

下载: 全尺寸图片 幻灯片

图 10  实现共存所租用资源累计时间的平均值图

下载: 全尺寸图片 幻灯片

图 11  MA对租用资源累计时间平均值的影响

下载: 全尺寸图片 幻灯片

(3) 不同的时间参数所产生的影响

为了验证相关时间参数对部署方法性能的影响，采用以下3组参数分别进行重复实验，第1组：MLC=3,a=2, b=4；第2组：MLC=6, a=2,b=4；第3组：MLC=6, a=4, b=8。此外MNPT=4，恶意租户仅使用单账户攻击策略。时间参数的改变仅对实现共存所租用资源累计时间的平均值有影响，而对其他3个评价指标无影响。从图12可以看出最小生命周期MLC值的增大，可提高恶意租户在所有部署方法下实现共存所租用资源的成本，而风险阈值HTH和LTH的增大可进一步提高采用TCS策略部署方法下的攻击成本。

图 12  时间参数对租用资源累计时间平均值的影响

下载: 全尺寸图片 幻灯片

6.   结论

本文分析了多租户环境下现有SFC部署方法在应对侧信道攻击时存在的不足，提出了一种抗侧信道攻击的服务功能链部署方法。引入基于时间均值的租户分类策略，实现对租户的分类和分域部署，结合历史部署信息，优先选择租户正在使用或近期使用过的服务器，并以最小化租户所能覆盖的服务器数量为优化目标建立了部署模型，设计了基于贪婪选择的部署算法。最后通过实验，验证了单账户攻击场景下本文所提方法在提高恶意租户共存难度和成本的优异性能，展示了多账户攻击策略对相关方法的影响，并提出了合理化的建议，此外展示了相关时间参数对所提方法防御效果的影响。