SoftEdgeNet：节能型边缘计算架构

SoftEdgeNet：基于软件定义网络的节能型分布式网络架构用于边缘计算

摘要

由于物联网设备的爆炸式增长以及众多新型物联网应用的出现，数据流量呈指数级增长。由于物联网设备产生的大量数据、有限的带宽、高延迟以及实时分析需求，传统的集中式网络架构已无法满足用户需求。密集的实时数据分析是当前最先进的集中式架构面临的主要挑战之一，原因在于各类传感器的广泛部署。为应对当前挑战并遵循架构设计原则，我们提出了一种名为 SoftEdgeNet 的模型，这是一种新颖的基于软件定义网络（SDN）的分层分布式网络架构，结合区块链技术，用于构建可持续边缘计算网络。在雾层，我们引入了一种基于 SDN 的安全雾节点架构，以减轻安全攻击并提供实时分析服务。我们还在网络边缘提出了流规则划分与分配算法。评估结果表明，所提模型显著改善了实时数据传输中的交互性能。在抵御泛洪攻击能力方面，在硬件环境中，当攻击速率超过 2000 个数据包/秒之前，带宽始终维持在 9 兆比特/秒以上；而在软件环境中，带宽几乎保持不变。在模型可扩展性方面，所提算法表现更优，并随着流量的增加呈现线性增长趋势。

引言

如今，物联网技术的进步和广泛应用为我们的各种日常应用提供了最大的便利性和灵活性，彻底改变了社会的生活方式。物联网应用（如智能家居、智能电网、智能交通和智能医疗）在各自领域内具有独特的特征。尽管它们的核心相同，但每种物联网应用都通过连接大量物联网设备构建了自身的网络，以收集实时数据，从而实现更优的智能决策。根据最近的一份报告，到 2021 年，思科 [1]，全球每月移动数据流量将达到 49 艾字节，年流量将超过半泽字节。

目前，物联网由于需要生成大量用于实时分析的传感器数据而成为一个大数据问题 [2]。最准确的决策来自于物联网设备提供的最大规模实时数据报告。但计算该实时数据报告将消耗巨大的通信资源。当攻击者注入虚假数据时，情况会更加恶化 [3]。这会导致延迟增加，消耗更多带宽和能源，并使控制器做出错误决策。另一方面，随着对气候变化的关注日益增加，云数据中心也在寻求减少碳排放和电力成本的方法。因此，理想的技术应解决这些问题和挑战，以实现可持续网络。

最近，通过引入雾/边缘计算的概念，这种计算范式将计算和存储能力带到了网络边缘生成数据的设备附近。通过将存储和计算资源置于更接近终端用户的位置，雾/边缘计算在地理分布的公共基础设施中为下一代应用和服务提供了低通信延迟和高带宽。边缘、雾和云计算通常采用分层架构 [4, 5]。

同时，在实时网络中，软件定义网络（SDN）通过提供开发新协议和策略的灵活性，成为一种有前景的下一代网络架构。SDN 通过将控制平面移至逻辑上集中式的控制器，提供了可编程功能，以动态控制和管理数据包转发 [6, 7]；而在众多行业中，区块链技术吸引了利益相关方的关注，该技术能够实现分布式点对点网络，使不可信成员在无需可信中介的情况下进行可验证的交互 [8]。对于可持续边缘计算网络，我们可以利用区块链技术构建安全网状网络，并为物联网提供一个可靠互联的平台，避免影响集中式架构模型的安全威胁。最近，制造业和农业等多个行业已开始使用区块链为物联网系统提供动力，并实现安全、低功耗的网络，能够在无需集中式云模型的情况下远程管理物理操作。

此前，我们提出了 DistBlockNet，一种利用 SDN 和区块链技术保护物联网网络的分布式网状网络架构模型 [9]。在 DistBlockNet 模型中，我们重点通过区块链提升网状网络的可扩展性。随后，我们拓展了研究工作，提出了一种基于区块链的分布式云计算架构，在网络边缘部署安全的雾节点 [10]。受前期工作局限性的启发，我们正在设计一种新的边缘计算架构，将计算和存储资源推向物联网网络的极致边缘，以管理海量的实时流量数据，克服交换机上的资源限制，并通过高效的流规则划分与分配算法减少流量重定向，从而构建可持续边缘计算网络。

研究贡献

在本文中，我们提出了一种基于软件定义网络（SDN）的分布式分层网络架构，并结合区块链技术用于可持续边缘计算网络。本研究工作的主要贡献总结如下：
- 我们提出了可持续边缘计算网络的架构设计原则。
- 我们提出了一种新颖的分层分布式网络架构，以满足可持续边缘计算网络所需的设计原则。
- 我们引入基于软件定义网络（SDN）的安全雾节点架构，以缓解安全攻击并提供实时分析服务。
- 我们介绍了基于软件定义网络（SDN）和区块链技术的边缘节点架构，并为可持续边缘计算网络提出了一种流规则划分与分配算法。

架构设计原则

由于边缘计算网络的严格要求以及需要解决的主要开放性挑战，我们必须设计一种可持续边缘计算网络架构，该架构需考虑以下列出的设计原则。

异构性 ：由于物联网及其应用的快速发展，通信、网络和设备的异构性已成为我们必须考虑的关键设计需求，以避免边缘网络中的异步性等问题。

实时分析 ：实时分析是边缘网络中执行实时分析并从实时物联网数据流中提取可用知识的最关键设计要求之一。

降低延迟和带宽 ：通信延迟的减少以及运行带宽成本的降低在引入边缘计算概念中起着重要作用。如果处理和存储能力靠近终端用户，延迟可以显著降低，并节省运行带宽的成本。

容错性 ：为了确保可持续边缘计算网络，所设计的架构需要具备容错能力。即使某些设备开始出现故障，系统也应继续运行并提供服务。

高能效 ：由于物联网应用和数据量的快速增长，所设计的架构应具备节能特性，并降低能耗，以实现可持续网络。

可扩展性 ：由于物联网设备数量迅速增加，可扩展性是一项重要的设计原则，必须在新的网络架构设计中予以支持。

安全性 ：为了预防和抵御来自外部攻击者的虚假数据注入和泛洪攻击，雾节点能够在网络边缘识别并缓解此类攻击。

提出的 SoftEdgeNet 模型架构

基于上述设计原则，我们提出了一种面向可持续边缘计算网络的新型网络架构 SoftEdgeNet。在本节中，我们将讨论所提出的 SoftEdgeNet 模型的设计概述、雾节点和边缘节点架构，以及 SoftEdgeNet 模型的工作流程。

SoftEdgeNet 设计概述

图 1 展示了所提出的 SoftEdgeNet 模型架构的概览。SoftEdgeNet 模型在系统级采用去中心化网络控制，以满足所需的设计原则。该架构采用分层模型设计，包含五层：数据生产层、用户层、边缘层、雾层和云层。在网络边缘，数据生产层是包含大量传感器节点和智能设备的传感网络。为了监测各种公共基础设施随时间变化的状态和环境，这些低成本且高可靠性的传感器可以广泛分布。

来自地理空间分布的传感器产生大量的传感数据，这些数据必须作为一致的数据集进行处理。数据生产层将过滤后的数据发送到边缘层和用户层进行本地消费。通过添加状态数据（如日期、温度和时间），可进一步增强所收集的数据。由于网络资源有限，数据的传输依赖于数据消费者提供的上下文信息和条件，从而消除大量无关数据。

在边缘层，数据层将原始数据转发到由位于网络边缘的一些高性能和低功耗的基于 SDN 的计算控制器组成的边缘层。边缘层中的每个 SDN 控制器都关联着一小群本地传感器，覆盖一个小型社区，并负责执行及时数据分析和服务交付。边缘层将数据处理结果输出报告给中间计算节点，即我们的模型中的雾层和用户层（如果需要）。基于数据处理结果输出，它还负责对小型本地公共基础设施进行快速反馈控制，以应对被监控基础设施组件的威胁并提供必要服务。

软边缘网雾节点架构

为了应对大规模数据分析的挑战，并在广域网络中提供快速响应，雾计算的分层架构提供了一个强大的计算和通信系统。为了避免计算中的潜在瓶颈，雾计算的大规模并行能够实现高性能计算，并轻松平衡所有计算节点和边缘设备之间的负载与吞吐量。通常情况下，在资源供应充足的前提下，应用程序应能够无缝扩展，但这也会引发新型攻击类别，这些攻击结合了已知和未知威胁，能够利用“零日”漏洞，并使用隐藏在文档和网络中的恶意软件。

考虑到所有这些方面，我们提出了一种面向可持续边缘计算网络的雾计算节点架构。该架构无需将数据生产层产生的大量原始数据传输至云层，而是通过分布式多层边缘以及位于边缘层和雾层的雾计算节点，在执行计算任务时仅提供数据表示，从而显著减少了传输到云的数据量。基于软件定义网络的雾层雾节点架构如图 2 所示。需要注意的是，我们借鉴了基于前期工作 [7] 所提出的 FS‐OpenSecurity 软件定义网络实用安全架构模型的优势。该软件定义网络雾节点包含四个模块：攻击缓解模块、服务管理、情境感知模块和分布式数据库。

攻击缓解模块

该安全性模块分为三个阶段：数据包解析器、图构建器和验证模块。在数据包解析器阶段，为了识别关键的 OpenFlow 消息并从传入的 OpenFlow 数据包中创建全局网络视图，它会监控并解析所有数据包。为了获取相关元数据，我们动态地监控这些 OpenFlow 消息。其他消息则直接通过该模块传输而不进行进一步处理。

为了识别策略违规或安全攻击，在图构建器阶段，我们基于数据包解析器阶段收集的信息，构建与网络流相关的增量拓扑流图。为了识别恶意的元数据更新，当交换机生成 PACKET_IN 消息以及传输消息的状态时，该模块会维护物理和逻辑拓扑的流信息，例如 IP‐MAC 绑定和主机 MAC‐端口。当控制器向交换机发送 FLOW_MOD 消息时，将确定流应采用的首选路径及后续更新。为了提取数据平面中流的统计级别信息，包括传输的字节数/数据包数，并收集交换配置（如端口状态），因此，当交换机首次连接到控制器时，我们使用 STATS REPLY 和 FEATURES REPLY。

验证阶段包含三个组件：验证器、缓解代理和缓存。为了验证流，我们在主动（离线）模式和反应式（在线）模式下生成路径条件。为了减少运行时控制器的开销，我们采用传统的符号算法在离线状态下遍历所有可能的路径以生成路径条件。我们使用反应式流调度器在运行时分析每条状态路径，并在运行时生成反应式流规则。缓解代理组件接收来自验证器组件的修改后消息，识别攻击并做出决策。在发生饱和攻击期间，缓解代理将流迁移至数据缓存，并触发流规则调度器生成新规则。这样，泛洪的数据包将不会冲击雾控制器。缓存组件用于在饱和攻击期间存储丢失的数据包。一旦生成新的流规则，丢失的数据包将从缓存中取出并重新处理。缓存通过分组分类器和缓冲队列根据数据包类型进行存储和检索。当模块识别出导致现有流行为发生变化或违反指定安全性策略的不可靠实体时，将触发警报，系统则根据警报类型采取进一步的适当措施。

服务管理

该模块提供基于策略的动态雾服务。与雾基础设施和服务类似，管理功能也是分布式的。服务管理模块包括服务编排、注册设备状态、策略管理器和目录。服务编排提供软件定义保护，并允许执行应用到适当的应用层。它提供了处理不同类型的威胁和网络配置变化所需的灵活性。策略管理器组件允许节点提供策略驱动服务。

情境感知模块和分布式数据库

随着在公共基础设施中部署的传感器数量迅速增加，数据量也在不断增长。为了提升原始传感器数据的价值，情境计算已被证明在理解传感器数据方面是有效的。情境感知（如活动感知和位置感知）能够识别不同的活动，并且当设备进入特定区域或远离特定区域时也能实现识别。与集中式存储相比，分布式数据库提供了更快的数据存储和检索速度，从而提高了可扩展性和容错性。它存储了实现雾管理所需的所有元数据、策略和应用数据。

边缘节点架构和工作流程

图 3 展示了基于软件定义网络的可持续边缘网络中边缘节点的架构。每个雾节点下的所有基站通过区块链技术以分布式方式连接，为特定范围的公共基础设施提供服务。每个基站节点都嵌入了一个基于软件定义网络的本地边缘控制器。该本地软件定义网络控制器节点包含多个模块：无线资源、流量监控、网络资源、信道监控、交换机信息和缓存管理。本地软件定义网络控制器将网络策略转换为流表中的具体规则，并通过每个网络交换机的三元内容可寻址内存（TCAM）实现这些流表。由于 TCAM 的限制，流表的条目不能超过几百条。

因此，当缓存未命中时，交换机会被动地缓存规则，导致较大的缓冲区和数据包延迟。Huang et al. [11] 提出了在考虑策略、依赖关系和流行度特性的基础上，在软件定义网络中实现异构流表分布的方法。他们引入了一种规则划分算法，将具有相同策略和依赖关系的流规则进行分组，并采用分配算法实现交换机的负载均衡。为了克服交换机上的资源限制并最小化流量重定向，Mosherf et al. [12] 提出了 vCRIB 算法。综合考虑上述各方面因素，为解决前述问题并高效地在网络交换机之间分配流规则，我们借鉴了 Huang et al. [11] 提出的基于策略和依赖关系的规则划分算法以及 Mosherf et al. [12] 提出的资源与流量感知分配机制，设计了流规则划分与分配算法 “RPAL”，如算法 1 所示。

RPAL 算法

RPAL 算法基于两个属性：策略，即流规则必须执行的策略之一；依赖关系，即流规则之间的依赖关系。RPAL 算法的步骤如下。

步骤 1 ：不同的交换机具有不同的流规则条目空间大小。我们从本地软件定义网络控制器中的交换机信息模块收集了所有交换机信息。令 S 为当前状态下交换机中可用的最大流规则条目空间大小。

步骤 2 ：将所有流规则划分为多个依赖集组。一个依赖集可能会使用多个策略。不同的依赖集不能依赖于流规则，并且在集合大小方面可能有所不同。如果单个依赖集的大小大于 S，我们使用基于切割的分解 (CBD) 算法 [13] 来打破规则之间的依赖关系，并将其划分为多个依赖集。

步骤 3 ：对于每个不相交集 i，我们使用 vCRIB 技术选择能最大化收益且对分区 i 最合适的可行目标设备 [12]。

步骤 4 ：如果所选设备的可用流表项 k 的大小小于不相交集 i 的大小，则使用 CBD 算法打破依赖关系，用 k 条规则更新所选目标设备，并为剩余规则创建另一个不相交的依赖关系集。

步骤 5 ：我们对所有不相交的集合重复了步骤 3 和步骤 4。

网络边缘的流规则表验证工作流程

在边缘网络中，所有基于 SDN 的基站控制器通过区块链技术连接。为了检查和验证基站处的流规则表版本，我们逐步描述如下流规则的验证方案 [9]。

步骤 1 ：基站节点 Bi 向所有相邻的连接基站节点发送流版本检查和更新请求。

步骤 2 ：每个请求接收节点将检查接收到的流规则版本与其自身的流规则版本。如果发现其流规则版本高于接收到的请求版本，则会以更新后的流规则版本进行响应。若接收到的请求版本比其自身版本更新，则该接收基站节点生成流版本检查，更新请求，并将其发送至所有邻近节点。

步骤 3 ：当请求节点收到来自其邻近节点的响应后，将采用规则证明方法并采取相应操作。在规则证明方法中，如果请求节点从邻近节点收到相同的响应，并且相同响应的总数超过工作量证明的阈值，则流规则表将被更新。工作量证明的阈值是可变的，取决于网络结构。在此，我们将工作量证明的阈值设定为相同响应数量占总响应数量的 2/3。

步骤 4 ：如果请求节点不满足工作量证明要求，则它将向中间雾节点发送请求，并相应地更新。

实验分析

在本节中，我们首先根据日志中的数据量上传到云和事件响应时间，评估并比较不同架构的性能。则我们分析雾节点在饱和攻击期间的防御能力，然后评估在网络边缘提出的规则划分和分配方法的性能。

为了模拟 open vSwichtes，我们在一台具有 10 台台式机的 Linux 服务器上使用了 Mininet，每台台式机均配备 Intel i7 处理器和 64GB DDR3 内存。对于雾节点和边缘节点，我们在托管于 Linux 服务器的独立虚拟机中运行控制器。为了比较我们所提出模型的性能，我们使用了 Amazon EC2 云数据中心。

性能比较 不同架构之间

为了收集实时数据，我们构建了一个原型，利用传感器和闭路电视监控我们大学校园内部及周边环境。通过使用如图 4a 所示的 1 公里直径区域，比较了每秒需要发送到云的数据量。我们研究了三种不同架构：核心模型、带有雾节点的 Soft‐EdgeNet 模型，以及带有雾节点和边缘节点的 Soft‐EdgeNet 模型。对于核心模型，我们采用了基于 Amazon EC2 云数据中心的传统架构。为了评估我们所提出模型的效率，我们绘制了三种不同架构下数据量的对数值。图 4a 显示，传输数据量显著减少，从而降低了传输带宽和能耗。

由于存在大量的数据传输负载，在实时交互的情况下，很难在核心架构中提供实时控制。考虑到这些方面，我们使用三种不同的计算架构分析了危险事件的响应时间。在实验中，我们分析了在固定和可变带宽下危险事件的响应时间。图 4a 还展示了在固定（1.5 Mb/s）和可变带宽下不同架构在危险事件期间的对数响应时间。我们的结果表明，我们提出的模型显著改善了实时交互。

雾节点的防御效果

为了评估我们的 SoftEdgeNet 模型在饱和攻击期间的性能，我们在硬件和软件环境中进行了测试。我们配置了三个客户端在网络边缘发起 UDP 洪水攻击。为了提供转发服务并发现拓扑，我们使用了 POX 控制器。在不同的攻击速率下，我们评估了使用和不使用 SoftEdgeNet 模型时两种环境中的带宽结果。图 4b 显示了在不同攻击速率下硬件和软件环境中的带宽结果。在硬件环境中，结果表明，在没有 SoftEdgeNet 模型的情况下，随着攻击速率的增加，带宽迅速下降。如图 4b 所示，在两种情况下，带宽初始值均为 9.7 兆比特/秒，当攻击速率达到每秒 1200 个数据包（PPS）时，没有 SoftEdgeNet 模型的情况下带宽下降到几乎一半，并且当攻击速率达到 6000 PPS 时开始出现故障。

使用 SoftEdgeNet 模型时，带宽在攻击速率超过 2000 个数据包/秒之前始终保持在 9 兆比特/秒以上。另一方面，在软件环境中，带宽初始值为 2 吉比特/秒，在两种情况下，随着攻击速率的增加，在没有 SoftEdgeNet 模型时带宽迅速下降。如图 4b 所示，当攻击速率达到 3600 PPS 时，整个网络在没有 SoftEdgeNet 模型的情况下开始出现故障。然而，使用 SoftEdgeNet 模型时，带宽几乎保持不变。

规则划分与分配方案的性能分析

为了测量所提规则划分与分配方案在网络边缘的性能，我们配置了 120 个交换机，每个交换机有八个条目用于存储子表。使用 6 位二进制字符串，每个子表可存储 30 条随机规则，这些随机规则之间产生依赖关系。我们随机生成了网络的流和拓扑。为了比较所提算法的性能，我们实现了基于依赖关系的分发（DBD）[14] 和 CAB 算法 [15]。我们使用了合成防火墙策略。此外，通过使用齐夫分布，规则被随机分配流量。图 5a 显示了 TCAM 缓存命中流量的百分比随 TCAM 缓存大小的变化情况。图 5a 的结果表明，与 DBD 和 CAB 相比，所提算法始终表现更优，并提供更好的缓存能力。

为了评估所提算法在大规模流量下的可扩展性性能，我们测量了不同流量速率（PPS）下的缓存未命中率。图 5b 显示了缓存未命中率与流量速率的关系结果。

基于这些最终结果，我们得出结论：通过将计算资源推向网络边缘，并采用高效的流规则划分与分配算法，所提算法相较于之前基于雾节点的模型 [10] 表现更优，且随着流量的增加呈现线性提升。

TCAM缓存命中率随TCAM缓存大小的变化；b) 每秒缓存未命中与流量速率 （PPS）的关系)

结论

我们得出结论，物联网对我们的日常生活非常有益。然而，我们必须解决物联网中的一些挑战，以充分利用它。在本文中，我们提出了一种称为 SoftEdgeNet 的分布式分层架构。通过在网络边缘部署基于软件定义网络（SDN）的雾节点，SoftEdgeNet 模型不仅能够及早过滤不准确和虚假数据，并减轻外部攻击者的攻击，还支持容错性。通过在边缘层引入结合 SDN 和区块链技术的边缘节点架构，我们可以满足可持续边缘计算网络所需的设计原则。此外，基于多种参数指标进行了广泛的性能评估，最终结果表明我们提出的模型在性能上具有优越性。

未来，我们将扩展我们的工作，通过在边缘网络中有效部署边缘节点来减少网络中的消息数量和数据访问延迟，以弥补我们所提出模型的局限性。