5G ToB客户ToC业务的网络安全与精细化引流

王新宽 孟 凡 范学领 张淏湜 谢 敏

1.中国移动江苏公司扬州分公司；2.南京大学；3.西安交通大学；4.南京邮电大学

0 引言

随着5G的普及，5G应用进入上升期，现有5G三大应用场景中，ToB客户（To Busines）成为互联网大厂的技术与业务创新、运营商增收的蓝海，但某头部互联网企业提出与本地移动运营商合作ToC（To Customer）短视频应用，以实现视频快速分享，提升客户感知，实现增收。大流量、快速分享等特点，使短视频App企业与运营商从业务合作转入深层的技术合作，比如将服务器放置于更贴近用户的场景。

为此，本研究利用5G边缘计算技术低延迟、高带宽的优势，将短视频服务器下沉到5G UPF（User Port Function，用户平面功能，5G核心网的一部分），但也带来了网络结构新的变换，产生了新的痛点：（1）对于涉诈、涉黄内容，需要监管、审核、屏蔽；（2）对于运营商来说，将ToB客户的服务器接入核心网，可能引起网络安全问题；（3）5G网络中核心网用户面和控制面彻底分离，控制面网元在大区部署，而用户面网元（UPF）则可以根据实际业务需求灵活部署，因此传统的数据采集部署方案不能适应新的网络架构；（4）5G网络引入了SDN/NFV、虚拟化等新技术，使得网元设备形态发生变化，且网元数量大量增加，采集接口、接入ToB客户服务器的接口与4G网络不同。

1 业务与管控要求

1.1 业务需求

将GPU视频服务器下沉至本地移动核心节点后，根据现有的视频调度策略，只能通过源IP调度的方案将本地移动的用户流量访问调度至本地节点，存在以下几个具体问题：（1）请求报文需要绕行至该互联网企业的调度运营中心，请求距离较长，无法直接通过本地GPU服务器进行响应，影响用户感知；（2）目前5G用户在快速增长阶段，对应的IPv4及IPv6地址在持续扩容中，如果未及时告知该互联网企业，将导致无法就近服务本地短视频用户；（3）调度运营中心为全局管控，若出现细微的问题，将导致调度的不精准，比如其他省用户调度至江苏本地节点，增大负荷的同时也会影响用户的使用感知。

5G ToB垂直行业用户也面临着类似的问题，他们的需求主要是数据不出园区、边缘计算等，对流量的精准引流提出了很高的要求。组网结构如图1所示。

图1 UPF结构图

1.2 管控要求

管控需要对流量进行牵引，其基于策略的下发和执行，将特定的部分用户面流量牵引至特定UPF进行采集、分析和管控。其中：（1）5G网络中承载用户面流量的网元是UPF，因此用户面流量采集设备部署在UPF侧。特定UPF用于承载牵引出的特定用户面流量，仅采集特定UPF上的用户面流量可以有效减少采集设备的部署，实现用户面流量采集的降本增效。（2）流量牵引策略针对需求将网络中的特定人群、特定业务、特定区域的用户面流量牵引至特定UPF上，实现流量牵引。（3）基于修改用户签约数据的流量牵引技术，通过运营商业务支撑系统提供的开放接口或开放平台修改终端用户签约数据（DNN）来实现流量牵引。策略下发要尽量简单，尽量不增加网络设备，易于实现。

2 方案设计与方案

2.1 设计思路

针对前述痛点、具体业务需求和管控要求，结合现有网络结构、相关规范，进行设计。

2.1.1 策略统一管理和数据共享总体设计

5G统一数据分发共享平台作为整个平台系统联动处置的执行方，下发流量牵引策略和流量采集命令，并对上传的数据进行数据分析、数据管理以及统一规则策略管理联动，并根据实际业务需求进行数据分发共享。同时作为数据采集的执行方，执行流量牵引和采集操作，进行数据采集和数据上报，其中采集的数据源包括5G信令流量、5G特定数据流量、XDR数据、工参数据以及其他系统数据。

2.1.2 策略和规则管理业务流程

统一策略和规则管理子系统可以与现有网络安全平台系统进行联动，部署统一规则引擎、建立统一规则管理与协同联动平台，为后续基于已有安全系统实现统一规则管理及协同联动提供指导，同时针对业务场景开展动态流量过滤与筛选试点，并通过统一管理平台实现全网管理，提高流量价值，降低流量采集分析成本，实现目标对象的全监全管。

2.1.3 策略统一管理和数据共享总体设计

5G统一数据分发共享平台可满足安全监测的数据需求，有效提供5G应用数据的实时查询和各种数据共享分发能力。

2.1.4 策略和规则管理业务流程

通过5G流量牵引技术实现针对特定用户、特定切片、特定区域的流量牵引，实现5G低成本监测和管控的目标。

5G流量牵引后端系统部署在本地移动机房内，与流量牵引前端系统交互，下发流量牵引策略。流量牵引系统可对本身因业务需求提供流量牵引策略下发接口。

流量牵引前端执行系统部署在核心机房，接收后端系统下发的流量牵引策略，并将牵引的流量由5G DPI（Deep Packet Inspection，深度报文检测）解析后生成日志与安全事件，并上报到后端系统；向下对接核心网网元，将牵引策略翻译为核心网元的接口消息，执行流量牵引操作。

2.1.5 流量牵引业务流程

完成目标流量的牵引和采集过程需要经过6个实体：流量牵引管控后端平台、5G流量牵引一体化系统的流量牵引管理子系统、5G流量牵引一体化系统的流量牵引前端执行系统（与5G网络交互实现与流量牵引管理子系统策略的收发）、5G核心网、部署在5G核心网控制面的信令采集设备和部署在5G核心网专用UPF侧的用户面采集设备。

2.2 具体方案

在5G独立组网SA架构下，参照网络安全相关标准和规范、5GToB和5GToC的相关技术规范，制定如图2所示的架构。

图2 ToBToC网络安全架构

基于如上安全架构，设计该网络安全与流量牵引系统，以实现5G ToB ToC业务发展与监管要求，如图3所示。

图3 ToBToC安全与引流系统

2.2.1 5G应用安全监测平台功能

5G应用安全监测平台作为管控后端平台，接收来自不同业务部门的业务需求，制定流量牵引策略，并依据不同的策略针对部分特定用户面流量数据进行牵引，包括：流量牵引设置、数据信令跟踪、数据交互和系统管理。同时，包含和运营商侧DPI解析的访问日志及安全事件上报接收接口。

（1）流量牵引设置

基于安全监测需求，并参考既定规则，将流量牵引策略下发给牵引前端。流量牵引策略粒度包括：

①对特定终端设置/取消流量牵引。根据输入的手机号码（MSISDN/SUPI/IMEI）、号码段或者号码列表等条件，实现对特定的用户或者用户群进行流量牵引设置和取消。

②对特定地理区域用户设置/取消流量牵引。基于基站位置信息通过选择基站信息，获取该区域内用户信息，实现针对特定地理区域的流量牵引设置和取消。

③对特定应用设置/取消流量牵引。基于特定的应用，获取该应用的用户信息，实现针对特定应用的流量牵引设置和取消。

（2）流量牵引策略校验

流量牵引策略校验指在逻辑上进行验证，符合策略管理规则，保证前后不冲突，不重复，以保证牵引策略的合法、合理性，且不影响正常业务。

（3）策略牵引策略下发

将验证后的牵引策略转换为南向接口消息，发送给流量牵引执行网元，执行流量牵引操作。

（4）数据信令跟踪

数据信令跟踪模块能够对采集到的特定网络流量进行信令和用户数据的实时跟踪分析，并实现信令回溯。①支持查询各接口生成的话单记录，包括信令面接口的控制记录，以及用户面上网的详细记录，准确呈现用户信令流程和上网的业务过程，单击某条记录可以钻取到该条记录的原始信令流程。②根据单接口业务记录，钻取该接口的原始信令数据，呈现出业务详细流程和原始的数据包格式，协助进行协议问题的分析定位。③可以按照时间、网元、业务和用户等维度进行关键业务KPI的统计分析。

（5）数据交互

数据交互功能模块负责与前端系统的牵引策略管理模块交互，下发牵引策略并依据牵引策略管理模块反馈的策略响应，完成流量牵引策略的校验。

2.2.2 数据采集和解析功能

（1）信令面采集解析

当前CU分离和5G架构下，核心网采集架构主要有三点变化：①控制面C上移，在大区中心集中部署；②数据面U由各省公司下沉到地市；③核心网虚拟化，全部上云。

基于上述5G网络带来的变化，信令面和用户面分离导致在地市的一个机房无法同时接入主要的两种数据：N3用户面数据、N11信令面数据。通过研究5G网络架构和信令交互特点，可在5GC核心网侧实现N11等信令面数据的采集和解析，在UPF侧实现对N3数据的采集和解析，通过N11信令面数据可回填N3用户面数据三码身份信息。

（2）用户面采集解析

目前5G汇聚分流设备和DPI设备已经可实现原始码流的镜像和话单数据的输出。数据的采集解析方式分为两种：①5G行业应用侧将牵引后的所有流量统一汇聚传输到平台进行统一采集解析；②本地5G行业应用流量牵引后由DPI解析生成日志，对日志统一汇聚传输到平台进行采集解析。

本项目采用的部署方式为，用户面流量采集解析设备对用户面消息解析并生成话单，并将特定用户面日志话单发送到核心网机房，之后根据信令面号码关联回填用户三码（MSI SDNSUPIPEI）等信息。

2.2.3 流量牵引管理功能

部署在本地移动前端设备中，对接收到的流量牵引策略进行管理和校验，包含策略处理支撑、信令面数据支撑、用户面数据支撑，负责与信令面和用户面采集设备交互，为流量牵引策略的执行提供支撑。

（1）牵引策略处理支撑

策略处理支撑模块负责流量牵引策略的接收和转发，并完成牵引策略的校验，同时支持基于地理区域流量牵引策略中用户终端位置的计算。

策略处理支撑模块负责实现流量牵引策略：①支持接收流量牵引管控后端下发的策略；②支持对后端系统下发流量牵引策略的初步逻辑验证；③支持将流量牵引策略下发给流量牵引策略子系统；④支持接收流量牵引策略子系统业务支撑系统的策略响应、验证和响应结果反馈。

（2）信令面数据支撑

信令面数据支撑模块负责基于信令面数据相关功能：①支持信令面数据采集后关联分析；②支持信令的终端状态监测管理；③支持生成控制信令XDR话单。

（3）用户面数据支撑

用户面数据支撑模块负责基于特定用户面数据相关功能：①支持接收特定用户流量数据；②支持特定用户流量数据采集后关联分析；③支持用户面XDR数据的合成、存储和管理；④支持专用UPF状态的监测管理。

3 效果分析

3.1 实用性分析

该项目中使用的流量采集分析设备开发时涉及多系统、多引擎、多模块。架构上采取分模块、分系统设计思路，按照数据采集、存储、分析、应用、展示等业务逻辑，对系统进行整合。即使本设备宕机，也不能对其他业务系统不产生任何影响。在一定规模的业务量上，在特殊时期，可以使用双机热备方案确保稳定性。

3.2 实施效果

本平台具备在5G大流量场景下，在满足一定实时性和终端用户无感的前提下，实现在特定时间内对网络中特定终端用户面的流量牵引设置和取消的流量牵引功能，从而实现了5G SA网络环境下基于流量牵引技术的对网络特定部分的流量精细化采集，在降低数据采集分析成本的同时，提高了5G网络流量采集、分析和重点安全监测的灵活性和效率。

4 结束语

本研究提出5G网络环境下基于策略的网络安全与流量牵引采集方案，构建完整的5G ToB ToC行业应用安全监测体系，包括5G应用安全监测平台、数据采集和解析、流量牵引管理系统等。同时，很好地利用了5G边缘计算技术低延迟、高带宽的优势，通过5G流量牵引技术实现针对特定用户、特定切片、特定区域的流量牵引，实现5G低成本监测和管控的目标。本方案适用场景广泛，不仅满足了监管和网络安全的需要，也有助于新业务的上线和增收。