5G网络切片安全隔离机制与应用

毛玉欣 陈林 游世林 闫新成 吴强

【摘  要】介绍了满足多样化垂直行业应用的5G网络服务化架构和网络切片实现。针对5G网络架构重构、网络部署形态的变化，研究提出了网络切片端到端安全隔离的实现方法，包括切片在接入网络、承载网络和核心网络中的隔离实现。结合典型行业应用的要求，给出了定制化切片的隔离实现案例。

【关键词】垂直行业;服务化架构;网络切片;切片隔离

1   引言

移动通信的发展经历了模拟时代、数字时代和移动互联时代。在近40年的发展中，由于人们对更高性能通信服务的持续需求，网络在不断升级换代以提升性能。如今，这种需求不仅没有停止，而且还在向物联、车联、工业互联等领域蔓延。通信服务不仅需要进一步满足人们对超高带宽的增强移动互联需求，还需要实现由个人应用向行业应用的跨越。应用场景的多样化对网络时延、传输速率、连接数、移动性等提出了更高的要求[1]。传统移动通信网络由于受架构、部署方式、运维复杂度等限制，已难以跟上新应用需求的步伐。供给与需求间的缺口推动了现有网络的架构变革和网络重构，以满足未来万物互联对网络的要求。

2   5G网络架构和网络切片

2.1  服务化网络架构

行业应用是多样化的，甚至有些应用是小众化、短生命周期的，它们对网络性能的需求也是差异化的，例如用于工业控制的网络需具备较小的时延，而对于固定终端的传感器网络不需要网络具备移动性功能。传统移动网络基于专用设备组网，网元功能以专用设备形态存在，在组网、网络扩容、提供差异化网络服务等方面不够灵活，运维复杂、建设维护成本较高，因此传统移动网络难以满足多样化应用所需的差异化服务需求，难以快速响应应用需求的变化，也无法承担碎片化运营带来的运营成本。为了更好地满足差异化服务的需求，提高网络系统部署灵活性，降低网络建设运维成本，5G网络采用了服务化网络架构[2]，引入虚拟化、网络能力开放、网络切片等新技术，从而具备高度可定制性。垂直行业可以结合应用需求，基于开放的网络能力定制服务网络，并且可以灵活地对网络容量进行弹性伸缩，以应对动态变化的需求。5G服务化网络架构如图1所示。

服务化架构摒弃了传统电信架构下网元间通信遵循请求者和响应者的点对点通信模式。传统通信接口需预先定义和配置，且定义的接口只能用于特定的两类网元间，这是一种相互耦合的通信模式，灵活性不强，不利于网络灵活扩展。5G网络服务化架构下，网元（NE）被进一步拆分成若干个自包含、自管理、可重用的网络功能，如图1中的AMF、SMF等。这些网络功能相互解耦，具备独立升级、独立弹性的能力。网络功能间的通信机制也进一步解耦为生产者和消费者模式，生产者发布相关能力，并不关注消费者是谁，在什么位置。消费者订阅相关能力，不关注生产者是谁，在什么位置。网络功能之间基于标准的服务化接口实现互通，并可通过网络编排器根据不同应用场景的需求进行编排和网络实例化部署。服务化架构的使用，使得网络具备解耦、开放、可编排等传统网络架构所无法比拟的优点，是5G网络迅速满足行业应用需求的重要手段。

2.2  5G网络切片

网络切片是一组运行在通用物理硬件上的多个NF的编排组合，具备独立提供网络服务能力的端到端虚拟网络。运营商通过能力开放接口和切片蓝图将5G网络开放给垂直行业应用。切片蓝图是对网络切片编排的完整描述，包含网络切片所需的NF、NF配置、切片实例化等。结合应用需求完成切片蓝图制作后，网络编排和管理系统根据切片蓝图完成网络资源（计算、存储、网络）的分配和激活，完成网络切片部署。

网络切片的部署如图2所示，与传统移动通信网络固定的网络架构相比，网络切片包含的NF按需设计，切片中仅包含为支持应用所必须的NF，避免包含其他非必要的NF。另外，具备相同功能的NF在不同网络切片部署的位置也可能不同。例如，对于车联网应用要求网络具备超低时延，因此提供用户面数据交换的UPF需要下沉至接入数据中心部署，而对于其他应用的网络切片，UPF通常部署在核心数据中心。对于车联网等应用通常要求网络部署移动性功能，而对于远程医疗应用不需要移动性，因此对应的网络切片在编排部署过程中就不需要包含移动性功能。

借助于虚拟化技术，运营商可以在相同的物理基础设施上同时配置部署多個网络切片，为不同的应用提供网络服务。由于网络切片共享相同的网络资源，因此切片之间的隔离就变得非常重要，这是5G网络安全研究的重要方向之一[3]。做好网络切片的端到端隔离，一方面可以避免切片之间发生资源相互竞争进而影响切片的正常部署和运行;另一方面也可以避免一个切片的异常（例如遭受内部安全威胁或者外部攻击，影响到其他切片的安全），有效防止攻击扩散、切片数据泄露等安全威胁。

3   网络切片端到端隔离

3.1  网络切片在接入网络的隔离实现

网络切片是端到端虚拟网络，与传统移动通信网络类似，也由无线接入、承载、核心网构成，因此网络切片端到端的隔离包括切片在接入网、承载网和核心网的隔离实现。

接入网络由无线空口和基础处理资源构成。如图3所示，5G正交频分多址（OFDMA）系统中，无线频谱从时域、频域、空域维度被划分为不同的资源块，用于承载数据在无线空口的传输。无线频谱资源的隔离可以分为物理隔离和逻辑隔离。物理隔离是给网络切片分配专用频谱带宽，这时分配给切片的资源块是连续的。逻辑隔离是资源块按照不同切片的要求按需分配，这时分配给每个切片的资源块是不连续的，多个切片共享总的频谱资源。

无线频谱资源无论采用物理隔离还是逻辑隔离，由于资源块的正交性，两者的隔离能力相当，但是物理隔离方式下，使用专用频谱的覆盖范围和覆盖效果通常不如共享频谱。当数据文件较大，或者用户处于小区边缘时，由于无法使用更宽的频谱传输，使得采用频谱物理隔离方式的切片往往无法达到很高的传输速率。此外，物理隔离方式实现成本较高，资源分配不够灵活，尤其是频谱租赁代价高昂。而逻辑隔离可以在共享频谱的情况下由基站调度器动态调配资源块以满足不同切片的传输要求，有利于提高频谱资源的利用率，因此，行业应用在无特殊要求的情况下，首选逻辑隔离方案来满足网络切片在无线空口侧的隔离要求。

5G接入网络的基站处理部分由DU和CU构成，因此网络切片在基站处理部分的隔离是切片在DU和CU上的隔离实现。DU和CU是对传统RAN功能的重构。DU用于处理物理（PHY）层和媒体接入控制（MAC）层功能，例如资源块调度、调制编码、功控等。CU用于处理MAC层以上的功能，例如分组数据汇聚、切换等。DU目前依赖于专用硬件实现，CU可以使用专用硬件实现或者采用虚拟化技术以软件方式在通用服务器上运行。通过为不同切片分配不同的DU单板或处理核实现网络切片在DU上的物理隔离。当CU软件运行在专用硬件上时，隔离方式类似DU。当CU软件运行在通用服务器上时，网络切片在CU的隔离可基于网络功能虚拟化（NFV）隔离技术实现[4]，为不同的切片分配不同的虚机或容器，通过虚机或容器的隔离实现切片在CU上的隔离。根据切片的安全隔离要求，在DU、CU上的隔离机制可单独或组合使用。

3.2  网络切片在承载网络的隔离实现

5G网络依托数据中心部署，跨越数据中心的物理通信链路需要承载多个切片的业务数据。网络切片在承载网络的隔离也可通过软隔离或硬隔离技术实现。

软隔离方案基于现有网络机制，通过虚拟局域网（VLAN）标签与网络切片标识的映射实现。网络切片具备唯一的切片标识，根据切片标识为不同的切片数据映射封装不同的VLAN标签，通过VLAN隔离实现网络切片在承载网络的隔离。这种隔离方式虽然将不同切片的数据进行了VLAN区分，但是标记有VLAN标签的所有切片数据仍然混合调度转发，无法做到硬件、时隙层面的隔离。

硬隔离方案基于灵活以太网（FlexE）技术。FlexE技术由光互联论坛（OIF）定义[5]，如图4所示，通过在以太网的物理编码子层（PCS）引入一个时分复用（TDM）的Flex垫层（Shim），实现了MAC层和PHY层接口收发器的解耦，从而提升以太网组网灵活性[6]。FlexE使用Calendar分配每个子Calendars上的66比特块给FlexE客户（网络切片）。每100G物理介质相关子层（PMD）分为20个时隙，颗粒度是5G。FlexE Shim层有n×10个5G时隙。FlexE客户的64B/66B按照时隙方式插到FlexE Shim层。FlexE客户的10G、25G、40G、n×50G分别在Shim层占用2、5、8、n×10个5G时隙。FlexE客户在FlexE Shim层占用时隙采用灵活方式，通过FlexE开销指明时隙被哪个业务占用。FlexE通过Shim层的时隙配置支持多个客户业务，实现承载不同客户业务的网络切片之间的物理隔离。基于时隙调度的FlexE分片将物理以太网端口划分为多个以太网弹性管道，使得承载网络既具备以太网统计复用、网络效率高的特点，又具备类似于TDM独占时隙、隔离性好的特性。

网络切片在承载网络的隔离还可以使用软隔离和硬隔离结合的方式，在对网络切片使用VLAN实现逻辑隔离的情况下，进一步利用FlexE分片技术，实现在时隙层面的物理隔离。

3.3  网络切片在核心网络的隔离实现

5G核心网络基于虚拟化基础设施构建，其部署架构分为资源层、网络功能层和管理编排层。网络切片的安全隔离可通过切片对应基础资源层的隔离、网络层的隔离以及管理层隔离的三级隔离方式实现，如图5所示。

根据应用对安全的需求，可提供物理隔离和逻辑隔离两种隔离方案。物理隔离是为网络切片分配独立的物理资源，各网络切片独占物理资源，互不影响，类似于传统物理专网，如图5的工业控制切片。

逻辑隔离是对建立在共享资源池上的多个网络切片建立隔离机制。在资源层的隔离可参考NFV隔离机制[4]。网络层的NF隔离分为切片之间的隔离和切片内的隔离。切片之间NF的隔离基于虚拟机或者容器的隔离机制。切片内部多个NF由于功能不同，对安全的要求也不同，例如UDM用于存储和处理用户签约数据，其对于安全的要求要高于其他NF，因此切片内的多个NF也存在隔离需求，可以通过划分安全域的方式[7]将多个NF置于不同的安全域，并在安全域之间配置安全策略实现NF的隔离。对于NF之间存在通信的需求，在通信连接建立之前需要首先进行认证[8]。切片在管理层的隔离通过为使用切片的租戶分配不同的账号和权限，每个租户仅能对属于自己的切片进行管理维护，无权对其他租户的切片实施管理。另外，需要通过通道加密等机制保证管理接口的安全。

4   网络切片隔离在电力行业的应用

电力行业是5G技术探索的行业应用之一[9]。差动保护和配网自动化三遥是电网中两类典型的业务。两类业务可以由一个智能电力终端（DTU）承载。智能DTU通过CPE接入5G网络。CPE作为5G网络的接入终端，配备一张SIM卡。差动保护业务通过5G网络实现在两个DTU之间交互，而配网自动化三遥业务由DTU经过5G网络流向业务主站，如图6所示。两类业务对外需要实现物理隔离，两类业务之间需要实现逻辑隔离。

5G网络使用两张网络切片分别为上述业务提供网络服务。切片包含的所有网络功能都使用运营商电信云中独立的服务器加载，以实现电力业务与外界业务的物理隔离。

CPE上的SIM卡上签约上述两类业务对应的网络切片标识（NSSAI）。当CPE注册到5G网络时，需要携带NSSAI。5G网络为CPE选择对应的网络切片。CPE同时接入两张网络切片，且分别建立分组数据单元（PDU）会话连接，即不同的GTP隧道，实现两类业务的逻辑隔离。

智能DTU设备通过两个物理接口接入环网柜内的交换机，一个网口分配给差动保护业务，另一个网口分配给配网自动化三遥业务。交换机对所述两种业务进行VLAN划分，实现两类业务的逻辑隔离，并通过一个网口发送至CPE。

（1）无线空口处隔离。5G基站由同一块基带处理板根据PDU会话连接及优先级标识，为两类业务分配调度不同的时频资源块。由于资源块在时隙、频域上的彼此正交性，因此通过为不同业务分配不同的资源块实现承载这两类业务的网络切片在无线空口的隔离。如果业务需要独立频段，则可以通过分配专用的基带处理板，实现物理隔离。

（2）基站基带信息到基站处理单元（DU/CU）的隔离。该传输过程可以采用逻辑隔离方式，例如为不同的业务封装不同的VLAN，也可使用物理隔离方式，即分配专用端口和传输线路以及专用处理板。

（3）承载网络的隔离。首先利用FlexE技术构建一张针对电力行业的网络切片，以实现与其他行业的网络切片的物理隔离。承载接入设备根据VLAN信息识别两类业务，并将这两个不同VLAN标签的业务映射到同一个FlexE端口。同时其他承载设备需要配置相应的FlexE端口以保障上述两类业务全程在物理刚性管道上。如果在所述FlexE网络切片内还需要隔离这两类业务，可以通过不同的VLAN进行业务的逻辑隔离。当业务流到达核心网络入口边缘时，由三层承载设备解析GTP隧道头部信息，并将两类业务路由至核心网不同的网络切片的UPF上。

（4）核心网络的隔离。通过为两类业务对应的切片网络功能分配独立的硬件服务器或虚拟机，并对应到数据中心交换机独立的板卡上，从而实现两类业务对应的网络切片的物理或者逻辑隔离。在核心网出口设置防火墙，当业务流出核心网，运营商可通过传输专线的方式把电力业务送入安全接入区，安全接入区内部署有业务主站。传输专线可同样采用FlexE技术、物理专线等方式。

5   結束语

本文从5G时代业务多样化对网络性能的需求出发，介绍了5G网络服务化架构和网络切片的实现机制。针对网络切片依托共享的网络基础设施构建存在的潜在安全问题，系统性地研究了网络切片在接入网络侧、承载网络以及核心网络侧的隔离机制。最后结合网络切片在电力行业的应用场景，分析了应用于电力行业的网络切片与其他行业网络切片的隔离实现，以及电力行业内不同业务对应的网络切片的隔离实现。目前，5G网络处于商用部署的初始阶段，5G网络切片的应用、部署、5G网络与垂直行业应用的结合尚处于研究探索和试验阶段，对于网络切片安全隔离机制以及网络切片面临的其他潜在安全问题还需要不断深入研究和试验，以便为网络切片的规模商用提供必要的安全保障。

参考文献：

[1] ITU. ITU-R M.2083-0： IMT Vision - Framework and Overall Objectives of the Future Development of IMT for 2020 and Beyond[R]. 2015.

[2] 3GPP. 3GPP TS 23.501： System Architecture for the 5G System[S]. 2018.

[3] IMT-2020. 5G网络安全需求与架构白皮书[R]. 2017.

[4] SDN/NFV产业联盟. 基于SDN/NFV的电信网安全技术白皮书[R]. 2018.

[5] Optical Internetworking Forum. Flex Ethernet Implementation Agreement OIF-FLEXE-01.0[R]. 2016.

[6] 李光，赵福川，王延松. 5G承载网的需求、架构和解决方案[J]. 中兴通讯技术， 2017（5）： 56-60.

[7] 3GPP. 3GPP TS 33.210： Network Domain Security （NDS） IP network layer security[S]. 2008.

[8] 3GPP. 3GPP TS 33.501. Security Architecture and Procedures for 5G System[S]. 2018.

[9] 陆平，李建华，赵维铎. 5G在垂直行业中的应用[J]. 中兴通讯技术， 2019（1）： 67-74.