5G網(wǎng)絡(luò)切片安全隔離機制與應(yīng)用

　　【摘 要】介紹了滿足多樣化垂直行業(yè)應(yīng)用的5G網(wǎng)絡(luò)服務(wù)化架構(gòu)和網(wǎng)絡(luò)切片實現(xiàn)。針對5G網(wǎng)絡(luò)架構(gòu)重構(gòu)、網(wǎng)絡(luò)部署形態(tài)的變化，研究提出了網(wǎng)絡(luò)切片端到端安全隔離的實現(xiàn)方法，包括切片在接入網(wǎng)絡(luò)、承載網(wǎng)絡(luò)和核心網(wǎng)絡(luò)中的隔離實現(xiàn)。結(jié)合典型行業(yè)應(yīng)用的要求，給出了定制化切片的隔離實現(xiàn)案例。

　　【關(guān)鍵詞】垂直行業(yè);服務(wù)化架構(gòu);網(wǎng)絡(luò)切片;切片隔離

　　《職教通訊》是全國最早創(chuàng)辦的幾家職教刊物之一，創(chuàng)刊20年來，《職教通訊》逐步形成了切合時代脈博，貼近職責(zé)實際，準確把握職教熱點與難點，及時為職教實踐提供有益指導(dǎo)，融理論性、報道性綜合性于一體的辦刊特色，連續(xù)評為江蘇省一級期刊、全國優(yōu)秀職教期刊一等獎。

　　1 引言

　　移動通信的發(fā)展經(jīng)歷了模擬時代、數(shù)字時代和移動互聯(lián)時代。在近40年的發(fā)展中，由于人們對更高性能通信服務(wù)的持續(xù)需求，網(wǎng)絡(luò)在不斷升級換代以提升性能。如今，這種需求不僅沒有停止，而且還在向物聯(lián)、車聯(lián)、工業(yè)互聯(lián)等領(lǐng)域蔓延。通信服務(wù)不僅需要進一步滿足人們對超高帶寬的增強移動互聯(lián)需求，還需要實現(xiàn)由個人應(yīng)用向行業(yè)應(yīng)用的跨越。應(yīng)用場景的多樣化對網(wǎng)絡(luò)時延、傳輸速率、連接數(shù)、移動性等提出了更高的要求[1]。傳統(tǒng)移動通信網(wǎng)絡(luò)由于受架構(gòu)、部署方式、運維復(fù)雜度等限制，已難以跟上新應(yīng)用需求的步伐。供給與需求間的缺口推動了現(xiàn)有網(wǎng)絡(luò)的架構(gòu)變革和網(wǎng)絡(luò)重構(gòu)，以滿足未來萬物互聯(lián)對網(wǎng)絡(luò)的要求。

　　2 5G網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)切片

　　2.1 服務(wù)化網(wǎng)絡(luò)架構(gòu)

　　行業(yè)應(yīng)用是多樣化的，甚至有些應(yīng)用是小眾化、短生命周期的，它們對網(wǎng)絡(luò)性能的需求也是差異化的，例如用于工業(yè)控制的網(wǎng)絡(luò)需具備較小的時延，而對于固定終端的傳感器網(wǎng)絡(luò)不需要網(wǎng)絡(luò)具備移動性功能。傳統(tǒng)移動網(wǎng)絡(luò)基于專用設(shè)備組網(wǎng)，網(wǎng)元功能以專用設(shè)備形態(tài)存在，在組網(wǎng)、網(wǎng)絡(luò)擴容、提供差異化網(wǎng)絡(luò)服務(wù)等方面不夠靈活，運維復(fù)雜、建設(shè)維護成本較高，因此傳統(tǒng)移動網(wǎng)絡(luò)難以滿足多樣化應(yīng)用所需的差異化服務(wù)需求，難以快速響應(yīng)應(yīng)用需求的變化，也無法承擔(dān)碎片化運營帶來的運營成本。為了更好地滿足差異化服務(wù)的需求，提高網(wǎng)絡(luò)系統(tǒng)部署靈活性，降低網(wǎng)絡(luò)建設(shè)運維成本，5G網(wǎng)絡(luò)采用了服務(wù)化網(wǎng)絡(luò)架構(gòu)[2]，引入虛擬化、網(wǎng)絡(luò)能力開放、網(wǎng)絡(luò)切片等新技術(shù)，從而具備高度可定制性。垂直行業(yè)可以結(jié)合應(yīng)用需求，基于開放的網(wǎng)絡(luò)能力定制服務(wù)網(wǎng)絡(luò)，并且可以靈活地對網(wǎng)絡(luò)容量進行彈性伸縮，以應(yīng)對動態(tài)變化的需求。5G服務(wù)化網(wǎng)絡(luò)架構(gòu)如圖1所示。

　　服務(wù)化架構(gòu)摒棄了傳統(tǒng)電信架構(gòu)下網(wǎng)元間通信遵循請求者和響應(yīng)者的點對點通信模式。傳統(tǒng)通信接口需預(yù)先定義和配置，且定義的接口只能用于特定的兩類網(wǎng)元間，這是一種相互耦合的通信模式，靈活性不強，不利于網(wǎng)絡(luò)靈活擴展。5G網(wǎng)絡(luò)服務(wù)化架構(gòu)下，網(wǎng)元(NE)被進一步拆分成若干個自包含、自管理、可重用的網(wǎng)絡(luò)功能，如圖1中的AMF、SMF等。這些網(wǎng)絡(luò)功能相互解耦，具備獨立升級、獨立彈性的能力。網(wǎng)絡(luò)功能間的通信機制也進一步解耦為生產(chǎn)者和消費者模式，生產(chǎn)者發(fā)布相關(guān)能力，并不關(guān)注消費者是誰，在什么位置。消費者訂閱相關(guān)能力，不關(guān)注生產(chǎn)者是誰，在什么位置。網(wǎng)絡(luò)功能之間基于標準的服務(wù)化接口實現(xiàn)互通，并可通過網(wǎng)絡(luò)編排器根據(jù)不同應(yīng)用場景的需求進行編排和網(wǎng)絡(luò)實例化部署。服務(wù)化架構(gòu)的使用，使得網(wǎng)絡(luò)具備解耦、開放、可編排等傳統(tǒng)網(wǎng)絡(luò)架構(gòu)所無法比擬的優(yōu)點，是5G網(wǎng)絡(luò)迅速滿足行業(yè)應(yīng)用需求的重要手段。

　　2.2 5G網(wǎng)絡(luò)切片

　　網(wǎng)絡(luò)切片是一組運行在通用物理硬件上的多個NF的編排組合，具備獨立提供網(wǎng)絡(luò)服務(wù)能力的端到端虛擬網(wǎng)絡(luò)。運營商通過能力開放接口和切片藍圖將5G網(wǎng)絡(luò)開放給垂直行業(yè)應(yīng)用。切片藍圖是對網(wǎng)絡(luò)切片編排的完整描述，包含網(wǎng)絡(luò)切片所需的NF、NF配置、切片實例化等。結(jié)合應(yīng)用需求完成切片藍圖制作后，網(wǎng)絡(luò)編排和管理系統(tǒng)根據(jù)切片藍圖完成網(wǎng)絡(luò)資源(計算、存儲、網(wǎng)絡(luò))的分配和激活，完成網(wǎng)絡(luò)切片部署。

　　網(wǎng)絡(luò)切片的部署如圖2所示，與傳統(tǒng)移動通信網(wǎng)絡(luò)固定的網(wǎng)絡(luò)架構(gòu)相比，網(wǎng)絡(luò)切片包含的NF按需設(shè)計，切片中僅包含為支持應(yīng)用所必須的NF，避免包含其他非必要的NF。另外，具備相同功能的NF在不同網(wǎng)絡(luò)切片部署的位置也可能不同。例如，對于車聯(lián)網(wǎng)應(yīng)用要求網(wǎng)絡(luò)具備超低時延，因此提供用戶面數(shù)據(jù)交換的UPF需要下沉至接入數(shù)據(jù)中心部署，而對于其他應(yīng)用的網(wǎng)絡(luò)切片，UPF通常部署在核心數(shù)據(jù)中心。對于車聯(lián)網(wǎng)等應(yīng)用通常要求網(wǎng)絡(luò)部署移動性功能，而對于遠程醫(yī)療應(yīng)用不需要移動性，因此對應(yīng)的網(wǎng)絡(luò)切片在編排部署過程中就不需要包含移動性功能。

　　借助于虛擬化技術(shù)，運營商可以在相同的物理基礎(chǔ)設(shè)施上同時配置部署多個網(wǎng)絡(luò)切片，為不同的應(yīng)用提供網(wǎng)絡(luò)服務(wù)。由于網(wǎng)絡(luò)切片共享相同的網(wǎng)絡(luò)資源，因此切片之間的隔離就變得非常重要，這是5G網(wǎng)絡(luò)安全研究的重要方向之一[3]。做好網(wǎng)絡(luò)切片的端到端隔離，一方面可以避免切片之間發(fā)生資源相互競爭進而影響切片的正常部署和運行;另一方面也可以避免一個切片的異常(例如遭受內(nèi)部安全威脅或者外部攻擊，影響到其他切片的安全)，有效防止攻擊擴散、切片數(shù)據(jù)泄露等安全威脅。

　　3 網(wǎng)絡(luò)切片端到端隔離

　　3.1 網(wǎng)絡(luò)切片在接入網(wǎng)絡(luò)的隔離實現(xiàn)

　　網(wǎng)絡(luò)切片是端到端虛擬網(wǎng)絡(luò)，與傳統(tǒng)移動通信網(wǎng)絡(luò)類似，也由無線接入、承載、核心網(wǎng)構(gòu)成，因此網(wǎng)絡(luò)切片端到端的隔離包括切片在接入網(wǎng)、承載網(wǎng)和核心網(wǎng)的隔離實現(xiàn)。

　　接入網(wǎng)絡(luò)由無線空口和基礎(chǔ)處理資源構(gòu)成。如圖3所示，5G正交頻分多址(OFDMA)系統(tǒng)中，無線頻譜從時域、頻域、空域維度被劃分為不同的資源塊，用于承載數(shù)據(jù)在無線空口的傳輸。無線頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網(wǎng)絡(luò)切片分配專用頻譜帶寬，這時分配給切片的資源塊是連續(xù)的。邏輯隔離是資源塊按照不同切片的要求按需分配，這時分配給每個切片的資源塊是不連續(xù)的，多個切片共享總的頻譜資源。

　　無線頻譜資源無論采用物理隔離還是邏輯隔離，由于資源塊的正交性，兩者的隔離能力相當，但是物理隔離方式下，使用專用頻譜的覆蓋范圍和覆蓋效果通常不如共享頻譜。當數(shù)據(jù)文件較大，或者用戶處于小區(qū)邊緣時，由于無法使用更寬的頻譜傳輸，使得采用頻譜物理隔離方式的切片往往無法達到很高的傳輸速率。此外，物理隔離方式實現(xiàn)成本較高，資源分配不夠靈活，尤其是頻譜租賃代價高昂。而邏輯隔離可以在共享頻譜的情況下由基站調(diào)度器動態(tài)調(diào)配資源塊以滿足不同切片的傳輸要求，有利于提高頻譜資源的利用率，因此，行業(yè)應(yīng)用在無特殊要求的情況下，首選邏輯隔離方案來滿足網(wǎng)絡(luò)切片在無線空口側(cè)的隔離要求。