5g切片隔离原理_5G切片编排器

大家好，又见面了，我是你们的朋友全栈君。如果您正在找激活码,请点击查看最新教程,关注关注公众号 “全栈程序员社区” 获取激活教程,可能之前旧版本教程已经失效.最新Idea2022.1教程亲测有效,一键激活。

Jetbrains全系列IDE稳定放心使用

5G网络切片安全隔离机制与应用*

毛玉欣1，陈林2，游世林1，闫新成1，吴强1

【摘 要】介绍了满足多样化垂直行业应用的5G网络服务化架构和网络切片实现。针对5G网络架构重构、网络部署形态的变化，研究提出了网络切片端到端安全隔离的实现方法，包括切片在接入网络、承载网络和核心网络中的隔离实现。结合典型行业应用的要求，给出了定制化切片的隔离实现案例。

【关键词】垂直行业；服务化架构；网络切片；切片隔离

引用格式：毛玉欣,陈林,游世林,等. 5G网络切片安全隔离机制与应用[J]. 移动通信, 2019,43(10): 31-37.

移动通信的发展经历了模拟时代、数字时代和移动互联时代。在近40年的发展中，由于人们对更高性能通信服务的持续需求，网络在不断升级换代以提升性能。如今，这种需求不仅没有停止，而且还在向物联、车联、工业互联等领域蔓延。通信服务不仅需要进一步满足人们对超高带宽的增强移动互联需求，还需要实现由个人应用向行业应用的跨越。应用场景的多样化对网络时延、传输速率、连接数、移动性等提出了更高的要求 [1] 。传统移动通信网络由于受架构、部署方式、运维复杂度等限制，已难以跟上新应用需求的步伐。供给与需求间的缺口推动了现有网络的架构变革和网络重构，以满足未来万物互联对网络的要求。

2 5G网络架构和网络切片

2.1 服务化网络架构

行业应用是多样化的，甚至有些应用是小众化、短生命周期的，它们对网络性能的需求也是差异化的，例如用于工业控制的网络需具备较小的时延，而对于固定终端的传感器网络不需要网络具备移动性功能。传统移动网络基于专用设备组网，网元功能以专用设备形态存在，在组网、网络扩容、提供差异化网络服务等方面不够灵活，运维复杂、建设维护成本较高，因此传统移动网络难以满足多样化应用所需的差异化服务需求，难以快速响应应用需求的变化，也无法承担碎片化运营带来的运营成本。为了更好地满足差异化服务的需求，提高网络系统部署灵活性，降低网络建设运维成本， 5G网络采用了服务化网络架构 [2] ，引入虚拟化、网络能力开放、网络切片等新技术，从而具备高度可定制性。垂直行业可以结合应用需求，基于开放的网络能力定制服务网络，并且可以灵活地对网络容量进行弹性伸缩，以应对动态变化的需求。 5G服务化网络架构如图1所示。

2.2 5G网络切片

网络切片是一组运行在通用物理硬件上的多个 NF的编排组合，具备独立提供网络服务能力的端到端虚拟网络。运营商通过能力开放接口和切片蓝图将 5G网络开放给垂直行业应用。切片蓝图是对网络切片编排的完整描述，包含网络切片所需的 NF、NF配置、切片实例化等。结合应用需求完成切片蓝图制作后，网络编排和管理系统根据切片蓝图完成网络资源（计算、存储、网络）的分配和激活，完成网络切片部署。

网络切片的部署如图2所示，与传统移动通信网络固定的网络架构相比，网络切片包含的NF按需设计，切片中仅包含为支持应用所必须的NF，避免包含其他非必要的NF。另外，具备相同功能的NF在不同网络切片部署的位置也可能不同。例如，对于车联网应用要求网络具备超低时延，因此提供用户面数据交换的UPF需要下沉至接入数据中心部署，而对于其他应用的网络切片，UPF通常部署在核心数据中心。对于车联网等应用通常要求网络部署移动性功能，而对于远程医疗应用不需要移动性，因此对应的网络切片在编排部署过程中就不需要包含移动性功能。

借助于虚拟化技术，运营商可以在相同的物理基础设施上同时配置部署多个网络切片，为不同的应用提供网络服务。由于网络切片共享相同的网络资源，因此切片之间的隔离就变得非常重要，这是 5G网络安全研究的重要方向之一 [3] 。做好网络切片的端到端隔离，一方面可以避免切片之间发生资源相互竞争进而影响切片的正常部署和运行；另一方面也可以避免一个切片的异常（例如遭受内部安全威胁或者外部攻击，影响到其他切片的安全），有效防止攻击扩散、切片数据泄露等安全威胁。

3 网络切片端到端隔离

3.1 网络切片在接入网络的隔离实现

网络切片是端到端虚拟网络，与传统移动通信网络类似，也由无线接入、承载、核心网构成，因此网络切片端到端的隔离包括切片在接入网、承载网和核心网的隔离实现。

接入网络由无线空口和基础处理资源构成。如图3所示， 5G正交频分多址（OFDMA）系统中，无线频谱从时域、频域、空域维度被划分为不同的资源块，用于承载数据在无线空口的传输。无线频谱资源的隔离可以分为物理隔离和逻辑隔离。物理隔离是给网络切片分配专用频谱带宽，这时分配给切片的资源块是连续的。逻辑隔离是资源块按照不同切片的要求按需分配，这时分配给每个切片的资源块是不连续的，多个切片共享总的频谱资源。

无线频谱资源无论采用物理隔离还是逻辑隔离，由于资源块的正交性，两者的隔离能力相当，但是物理隔离方式下，使用专用频谱的覆盖范围和覆盖效果通常不如共享频谱。当数据文件较大，或者用户处于小区边缘时，由于无法使用更宽的频谱传输，使得采用频谱物理隔离方式的切片往往无法达到很高的传输速率。此外，物理隔离方式实现成本较高，资源分配不够灵活，尤其是频谱租赁代价高昂。而逻辑隔离可以在共享频谱的情况下由基站调度器动态调配资源块以满足不同切片的传输要求，有利于提高频谱资源的利用率，因此，行业应用在无特殊要求的情况下，首选逻辑隔离方案来满足网络切片在无线空口侧的隔离要求。

5G接入网络的基站处理部分由 DU和 CU构成，因此网络切片在基站处理部分的隔离是切片在 DU和 CU上的隔离实现。 DU和 CU是对传统 RAN功能的重构。 DU用于处理物理（PHY）层和媒体接入控制（MAC）层功能，例如资源块调度、调制编码、功控等。 CU用于处理 MAC层以上的功能，例如分组数据汇聚、切换等。 DU目前依赖于专用硬件实现， CU可以使用专用硬件实现或者采用虚拟化技术以软件方式在通用服务器上运行。通过为不同切片分配不同的 DU单板或处理核实现网络切片在 DU上的物理隔离。当 CU软件运行在专用硬件上时，隔离方式类似 DU。当 CU软件运行在通用服务器上时，网络切片在 CU的隔离可基于网络功能虚拟化（NFV）隔离技术实现 [4] ，为不同的切片分配不同的虚机或容器，通过虚机或容器的隔离实现切片在 CU上的隔离。根据切片的安全隔离要求，在 DU、CU上的隔离机制可单独或组合使用。

3.2 网络切片在承载网络的隔离实现

5G网络依托数据中心部署，跨越数据中心的物理通信链路需要承载多个切片的业务数据。网络切片在承载网络的隔离也可通过软隔离或硬隔离技术实现。

软隔离方案基于现有网络机制，通过虚拟局域网（VLAN）标签与网络切片标识的映射实现。网络切片具备唯一的切片标识，根据切片标识为不同的切片数据映射封装不同的 VLAN标签，通过 VLAN隔离实现网络切片在承载网络的隔离。这种隔离方式虽然将不同切片的数据进行了 VLAN区分，但是标记有 VLAN标签的所有切片数据仍然混合调度转发，无法做到硬件、时隙层面的隔离。

硬隔离方案基于灵活以太网（FlexE）技术。 FlexE技术由光互联论坛（OIF）定义 [5] ，如图4所示，通过在以太网的物理编码子层（PCS）引入一个时分复用（TDM）的Flex垫层（Shim），实现了 MAC层和PHY层接口收发器的解耦，从而提升以太网组网灵活性 [6] 。 FlexE使用 Calendar分配每个子 Calendars上的66比特块给 FlexE客户（网络切片）。每 100G物理介质相关子层（PMD）分为20个时隙，颗粒度是 5G。 FlexE Shim层有 n×10个5G时隙。 FlexE客户的 64B/66B按照时隙方式插到 FlexE Shim层。 FlexE客户的 10G、25G、40G、n×50G分别在 Shim层占用 2、5、8、n×10个5G时隙。 FlexE客户在 FlexE Shim层占用时隙采用灵活方式，通过 FlexE开销指明时隙被哪个业务占用。 FlexE通过 Shim层的时隙配置支持多个客户业务，实现承载不同客户业务的网络切片之间的物理隔离。基于时隙调度的 FlexE分片将物理以太网端口划分为多个以太网弹性管道，使得承载网络既具备以太网统计复用、网络效率高的特点，又具备类似于 TDM独占时隙、隔离性好的特性。

网络切片在承载网络的隔离还可以使用软隔离和硬隔离结合的方式，在对网络切片使用 VLAN实现逻辑隔离的情况下，进一步利用 FlexE分片技术，实现在时隙层面的物理隔离。

3.3 网络切片在核心网络的隔离实现

5G核心网络基于虚拟化基础设施构建，其部署架构分为资源层、网络功能层和管理编排层。网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现，如图5所示。

根据应用对安全的需求，可提供物理隔离和逻辑隔离两种隔离方案。物理隔离是为网络切片分配独立的物理资源，各网络切片独占物理资源，互不影响，类似于传统物理专网。

逻辑隔离是对建立在共享资源池上的多个网络切片建立隔离机制。在资源层的隔离可参考NFV隔离机制 [4] 。网络层的NF隔离分为切片之间的隔离和切片内的隔离。切片之间 NF的隔离基于虚拟机或者容器的隔离机制。切片内部多个 NF由于功能不同，对安全的要求也不同，例如 UDM用于存储和处理用户签约数据，其对于安全的要求要高于其他 NF，因此切片内的多个 NF也存在隔离需求，可以通过划分安全域的方式 [7] 将多个 NF置于不同的安全域，并在安全域之间配置安全策略实现 NF的隔离。对于 NF之间存在通信的需求，在通信连接建立之前需要首先进行认证 [8] 。切片在管理层的隔离通过为使用切片的租户分配不同的账号和权限，每个租户仅能对属于自己的切片进行管理维护，无权对其他租户的切片实施管理。另外，需要通过通道加密等机制保证管理接口的安全。

4 网络切片隔离在电力行业的应用

电力行业是 5G技术探索的行业应用之一 [9] 。差动保护和配网自动化三遥是电网中两类典型的业务。两类业务可以由一个智能电力终端（DTU）承载。智能 DTU通过 CPE接入 5G网络。 CPE作为 5G网络的接入终端，配备一张 SIM卡。差动保护业务通过 5G网络实现在两个 DTU之间交互，而配网自动化三遥业务由 DTU经过 5G网络流向业务主站，如图6所示。两类业务对外需要实现物理隔离，两类业务之间需要实现逻辑隔离。

5G网络使用两张网络切片分别为上述业务提供网络服务。切片包含的所有网络功能都使用运营商电信云中独立的服务器加载，以实现电力业务与外界业务的物理隔离。

CPE上的 SIM卡上签约上述两类业务对应的网络切片标识（NSSAI）。当 CPE注册到 5G网络时，需要携带 NSSAI。 5G网络为 CPE选择对应的网络切片。 CPE同时接入两张网络切片，且分别建立分组数据单元（PDU）会话连接，即不同的GTP隧道，实现两类业务的逻辑隔离。

智能 DTU设备通过两个物理接口接入环网柜内的交换机，一个网口分配给差动保护业务，另一个网口分配给配网自动化三遥业务。交换机对所述两种业务进行 VLAN划分，实现两类业务的逻辑隔离，并通过一个网口发送至 CPE。

（1）无线空口处隔离。 5G基站由同一块基带处理板根据 PDU会话连接及优先级标识，为两类业务分配调度不同的时频资源块。由于资源块在时隙、频域上的彼此正交性，因此通过为不同业务分配不同的资源块实现承载这两类业务的网络切片在无线空口的隔离。如果业务需要独立频段，则可以通过分配专用的基带处理板，实现物理隔离。

（2）基站基带信息到基站处理单元（DU/CU）的隔离。该传输过程可以采用逻辑隔离方式，例如为不同的业务封装不同的 VLAN，也可使用物理隔离方式，即分配专用端口和传输线路以及专用处理板。

（4）核心网络的隔离。通过为两类业务对应的切片网络功能分配独立的硬件服务器或虚拟机，并对应到数据中心交换机独立的板卡上，从而实现两类业务对应的网络切片的物理或者逻辑隔离。在核心网出口设置防火墙，当业务流出核心网，运营商可通过传输专线的方式把电力业务送入安全接入区，安全接入区内部署有业务主站。传输专线可同样采用 FlexE技术、物理专线等方式。

5 结束语

本文从 5G时代业务多样化对网络性能的需求出发，介绍了 5G网络服务化架构和网络切片的实现机制。针对网络切片依托共享的网络基础设施构建存在的潜在安全问题，系统性地研究了网络切片在接入网络侧、承载网络以及核心网络侧的隔离机制。最后结合网络切片在电力行业的应用场景，分析了应用于电力行业的网络切片与其他行业网络切片的隔离实现，以及电力行业内不同业务对应的网络切片的隔离实现。目前， 5G网络处于商用部署的初始阶段， 5G网络切片的应用、部署、 5G网络与垂直行业应用的结合尚处于研究探索和试验阶段，对于网络切片安全隔离机制以及网络切片面临的其他潜在安全问题还需要不断深入研究和试验，以便为网络切片的规模商用提供必要的安全保障。

引用格式：毛玉欣,陈林,游世林,等. 5G网络切片安全隔离机制与应用[J]. 移动通信, 2019,43(10): 31-37.

作者简介

陈林：资深网络安全工程师，毕业于北京理工大学，现任中国电信股份有限公司网络安全产品运营中心运维总监，主要研究方向为运营商骨干网、核心网安全能力产品化。

游世林：资深技术预研工程师，毕业于电子科技大学，现任职于中兴通讯股份有限公司，先后从事过IMS、LTE、5G安全方向的标准预研和产品研发工作，牵头或者参与过多项国际国内技术标准的制定，拥有发明专利和标准提案数十篇。

闫新成：现任中兴通讯安全技术专家委员会主任，国际科技专家委员会专家委员，国家科技重大专项5G网络安全任务负责人，毕业于东南大学，现任职于中兴通讯股份有限公司，主要研究方向为5G网络安全，具体负责中兴通讯网络安全技术研究和规划工作。

吴强：研究员（正高），现任中兴通讯中心研究院总工程师，科技部“中青年科技创新领军人才”，移动网络和移动多媒体技术国家重点实验室学术委员会委员，移动互联网安全技术国家工程实验室学术委员会委员。曾获国家技术发明二等奖，国家科技进步二等奖，有省部级科技奖励8项，拥有授权发明专利百余项，发表论文20余篇