5G網絡切片安全隔離機制與應用

　　【摘 要】介紹了滿足多樣化垂直行業應用的5G網絡服務化架構和網絡切片實現。針對5G網絡架構重構、網絡部署形態的變化，研究提出了網絡切片端到端安全隔離的實現方法，包括切片在接入網絡、承載網絡和核心網絡中的隔離實現。結合典型行業應用的要求，給出了定制化切片的隔離實現案例。

　　【關鍵詞】垂直行業;服務化架構;網絡切片;切片隔離

　　《職教通訊》是全國最早創辦的幾家職教刊物之一，創刊20年來，《職教通訊》逐步形成了切合時代脈博，貼近職責實際，準確把握職教熱點與難點，及時為職教實踐提供有益指導，融理論性、報道性綜合性于一體的辦刊特色，連續評為江蘇省一級期刊、全國優秀職教期刊一等獎。

　　1 引言

　　移動通信的發展經歷了模擬時代、數字時代和移動互聯時代。在近40年的發展中，由于人們對更高性能通信服務的持續需求，網絡在不斷升級換代以提升性能。如今，這種需求不僅沒有停止，而且還在向物聯、車聯、工業互聯等領域蔓延。通信服務不僅需要進一步滿足人們對超高帶寬的增強移動互聯需求，還需要實現由個人應用向行業應用的跨越。應用場景的多樣化對網絡時延、傳輸速率、連接數、移動性等提出了更高的要求[1]。傳統移動通信網絡由于受架構、部署方式、運維復雜度等限制，已難以跟上新應用需求的步伐。供給與需求間的缺口推動了現有網絡的架構變革和網絡重構，以滿足未來萬物互聯對網絡的要求。

　　2 5G網絡架構和網絡切片

　　2.1 服務化網絡架構

　　行業應用是多樣化的，甚至有些應用是小眾化、短生命周期的，它們對網絡性能的需求也是差異化的，例如用于工業控制的網絡需具備較小的時延，而對于固定終端的傳感器網絡不需要網絡具備移動性功能。傳統移動網絡基于專用設備組網，網元功能以專用設備形態存在，在組網、網絡擴容、提供差異化網絡服務等方面不夠靈活，運維復雜、建設維護成本較高，因此傳統移動網絡難以滿足多樣化應用所需的差異化服務需求，難以快速響應應用需求的變化，也無法承擔碎片化運營帶來的運營成本。為了更好地滿足差異化服務的需求，提高網絡系統部署靈活性，降低網絡建設運維成本，5G網絡采用了服務化網絡架構[2]，引入虛擬化、網絡能力開放、網絡切片等新技術，從而具備高度可定制性。垂直行業可以結合應用需求，基于開放的網絡能力定制服務網絡，并且可以靈活地對網絡容量進行彈性伸縮，以應對動態變化的需求。5G服務化網絡架構如圖1所示。

　　服務化架構摒棄了傳統電信架構下網元間通信遵循請求者和響應者的點對點通信模式。傳統通信接口需預先定義和配置，且定義的接口只能用于特定的兩類網元間，這是一種相互耦合的通信模式，靈活性不強，不利于網絡靈活擴展。5G網絡服務化架構下，網元(NE)被進一步拆分成若干個自包含、自管理、可重用的網絡功能，如圖1中的AMF、SMF等。這些網絡功能相互解耦，具備獨立升級、獨立彈性的能力。網絡功能間的通信機制也進一步解耦為生產者和消費者模式，生產者發布相關能力，并不關注消費者是誰，在什么位置。消費者訂閱相關能力，不關注生產者是誰，在什么位置。網絡功能之間基于標準的服務化接口實現互通，并可通過網絡編排器根據不同應用場景的需求進行編排和網絡實例化部署。服務化架構的使用，使得網絡具備解耦、開放、可編排等傳統網絡架構所無法比擬的優點，是5G網絡迅速滿足行業應用需求的重要手段。

　　2.2 5G網絡切片

　　網絡切片是一組運行在通用物理硬件上的多個NF的編排組合，具備獨立提供網絡服務能力的端到端虛擬網絡。運營商通過能力開放接口和切片藍圖將5G網絡開放給垂直行業應用。切片藍圖是對網絡切片編排的完整描述，包含網絡切片所需的NF、NF配置、切片實例化等。結合應用需求完成切片藍圖制作后，網絡編排和管理系統根據切片藍圖完成網絡資源(計算、存儲、網絡)的分配和激活，完成網絡切片部署。

　　網絡切片的部署如圖2所示，與傳統移動通信網絡固定的網絡架構相比，網絡切片包含的NF按需設計，切片中僅包含為支持應用所必須的NF，避免包含其他非必要的NF。另外，具備相同功能的NF在不同網絡切片部署的位置也可能不同。例如，對于車聯網應用要求網絡具備超低時延，因此提供用戶面數據交換的UPF需要下沉至接入數據中心部署，而對于其他應用的網絡切片，UPF通常部署在核心數據中心。對于車聯網等應用通常要求網絡部署移動性功能，而對于遠程醫療應用不需要移動性，因此對應的網絡切片在編排部署過程中就不需要包含移動性功能。

　　借助于虛擬化技術，運營商可以在相同的物理基礎設施上同時配置部署多個網絡切片，為不同的應用提供網絡服務。由于網絡切片共享相同的網絡資源，因此切片之間的隔離就變得非常重要，這是5G網絡安全研究的重要方向之一[3]。做好網絡切片的端到端隔離，一方面可以避免切片之間發生資源相互競爭進而影響切片的正常部署和運行;另一方面也可以避免一個切片的異常(例如遭受內部安全威脅或者外部攻擊，影響到其他切片的安全)，有效防止攻擊擴散、切片數據泄露等安全威脅。

　　3 網絡切片端到端隔離

　　3.1 網絡切片在接入網絡的隔離實現

　　網絡切片是端到端虛擬網絡，與傳統移動通信網絡類似，也由無線接入、承載、核心網構成，因此網絡切片端到端的隔離包括切片在接入網、承載網和核心網的隔離實現。

　　接入網絡由無線空口和基礎處理資源構成。如圖3所示，5G正交頻分多址(OFDMA)系統中，無線頻譜從時域、頻域、空域維度被劃分為不同的資源塊，用于承載數據在無線空口的傳輸。無線頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網絡切片分配專用頻譜帶寬，這時分配給切片的資源塊是連續的。邏輯隔離是資源塊按照不同切片的要求按需分配，這時分配給每個切片的資源塊是不連續的，多個切片共享總的頻譜資源。

　　無線頻譜資源無論采用物理隔離還是邏輯隔離，由于資源塊的正交性，兩者的隔離能力相當，但是物理隔離方式下，使用專用頻譜的覆蓋范圍和覆蓋效果通常不如共享頻譜。當數據文件較大，或者用戶處于小區邊緣時，由于無法使用更寬的頻譜傳輸，使得采用頻譜物理隔離方式的切片往往無法達到很高的傳輸速率。此外，物理隔離方式實現成本較高，資源分配不夠靈活，尤其是頻譜租賃代價高昂。而邏輯隔離可以在共享頻譜的情況下由基站調度器動態調配資源塊以滿足不同切片的傳輸要求，有利于提高頻譜資源的利用率，因此，行業應用在無特殊要求的情況下，首選邏輯隔離方案來滿足網絡切片在無線空口側的隔離要求。