面向5G的多接入边缘计算架构设计与应用*

陈 强，储云凤，朱皆一

（中国电信股份有限公司上海分公司，上海 200120）

0 引言

随着5G技术可以提供增强电信宽带（enhanced Mobile Broadband，eMBB）、海量机器类通信（massive Machine Type of Communication，mMTC）和超可靠低时延通信（ultra-Reliable Low Latency Communications，uRLLC）等网络服务，产生了如高清监控、车辆联网等新的应用场景。这些新应用领域对网络能力提出了更高要求，不仅要求更低的业务时延，也要求业务能感知用户的具体位置，并根据具体需求进行深度定制和业务优化。

这种情况下，边缘计算的出世为满足日益增长的业务需求提供了很好的技术和网络架构支撑。据美国咨询公司Chetan Sharma Consulting预测，到2030年，边缘计算经济价值将超过4.1万亿美元。

多接入边缘计算（Multi-access Edge Computing，MEC）由ETSI标准组织提出[1]。MEC通过将计算、存储等网络资源部署到尽可能靠近用户的网络边缘，使得移动应用、内容与网络三者之间进行有机联合，进而提高了网络可靠性，提供了极致的用户体验。

Multi-access多接入技术[2]的前身是移动网络，而随着网络架构的演进，在5G网络中用户可以利用不同接入网络技术接入5G核心网。MEC作为统一业务平台，可以运行多种接入方式实现不同的移动应用[2]。因此，多接入可以实现无处不在的一致性用户体验。

Edge边缘[3]是指网络功能和应用从网络中心位置部署到靠近终端的网络边缘，从而可以实现超低时延的网络传输。

Computing计算指的是网络的计算能力。MEC可以将计算资源也部署到边缘，实现视频编解码、图像分析、AI应用等，从而有效节省传输带宽，提升网络效能[4]。

MEC的关键技术包括本地流量分流、边缘计费和缓存、网络能力开放以及平台能力开放等。

（1）本地流量分流。对于一些区域性的业务，部署在网络边缘的MEC可以将本地业务的数据直接分流到本地部署的服务器上进行处理和缓存，使流量不必通过核心网传输到云服务器，使业务传输时延降低的同时减轻了骨干网络的压力。例如，在大学举行毕业典礼，可以将超高清视频传输到本地服务器进行编码处理并进行缓存，然后直接在校园覆盖的5G网络上发送，师生们即可享受超低时延的毕业典礼直播。

（2）边缘计费和缓存。对边缘部署的MEC支持与核心网的控制面对接协同，实现对本地流量的计费和策略控制[5]。

（3）网络能力开放。边缘与核心网协同的网络能力开放主要以下方面。第一，无线网络能力开放API。RAN与MEC APIGW协同，将用户位置信息、基站、用户、承载带宽信息开放给本地应用。第二，核心网能力开放。MEC API GW向中心网络曝光功能（Network Exposure Function，NEF）获取用户计费、QoS、业务控制等策略。第三，用户策略更新。中心NEF同步下发到MEC API GW或SMF下发到UPF[6-7]。第四，MEC平台能力开放，如编解码转换、IPSec、AI能力等，通过MEP开放Restful API的方式供本地应用调用。

（4）开放平台能力。在MEC平台的边缘节点上可以集成不同种类的第三方应用，从而用来应对不同的商业场景。由于MEC平台包含了防火墙、NAT等网络功能，这些网络设施不需要再额外部署，从而减少了网络设备上的投资。另外，各种应用的统一运维、生命周期管理均可以由MEC平台进行管理，大大节约了运维成本。

1 面向5G的MEC智能架构设计

1.1 5G MEC边缘计算的接入

边缘计算在无线侧为用户提供所需服务，用于加速网络中各项应用的转发下载，让用户享有不间断、超低时延、超高带宽的高质量服务。在5G移动通信网络中，MEC所处的网络位置如图1所示。通过部署MEC，将核心网的用户面下沉到客户侧，5G SA核心网可实现用户面和控制面的彻底分离。数据由MEC平台就近处理，快速向用户提供服务[8]。

图1 5G MEC的网络位置

5G MEC专网架构结构如图2所示。MEC部署于园区和SA核心网之间，在应用园区建设5G基站，同时通过部署MEC设备进行数据本地分流，实现关键数据不出厂区，用户对本地业务资源低时延、高带宽的接入访问[9]。另外，5G MEC的无线专网可基于独立DNN对MEC用户进行分流，实现用户侧内网和公网数据的访问隔离。

图2 5G MEC专网架构

1.2 基于MEC技术的本地分流技术

MEC技术能够提供低时延、高带宽传输的前提条件是业务应用的本地化和近距离架构。此时，MEC平台首先需要具备的是数据本地分流的技术和业务能力[10]。5G核心网络可利用SMF动态的会话管理机制，对本地流量进行分流。同时，独立DNN、“上行分类”和IPv6 Multi-Homing技术可实现本地流量的卸载。

独立DNN方案是在SIM卡中签约特定的DNN，分流至边缘UPF。

上行分类（Up-link classification，UL CL）方案结构，如图3所示。MF根据移动设备在切换过程中的位置，确定是否添加和去除UL CL。当用户移动设备进入MEC覆盖范围后，SMF由N4接口与UPF连接，通过对UPF增加UL CL和PDU Session Anchor，建立本地流量通路。在每个PDU数据通路中，SMF可以接入多个支持UL CL功能的UPF。IPv4和IPv6均可适用于PDU Session，UL CL根据传输特征信息判断业务流的分流[11]。

IPv6 Multi-Homing方案（如图4所示）可以添加或去除Branching Point，设立本地业务锚点Anchor进行分流。SMF还可以调整UPF的功能，当会话类型为IPv6时，Branching Point可将本地流量分流到相应的Anchor上去[12]。由于PDU session可关联多个IPv6前缀，多个IPv6 PDU锚点均可通过N6接口接入DN。

图3 MEC本地分流上行分类方案

图4 MEC本地分流IPv6 Multi-Homing方案

若园区内MEC终端无访问公网业务诉求，可采用独立DNN；若园区内MEC终端还需要访问公网业务，适合采用ULCL方案。

1.3 组网和传输安全保障

1.3.1 无线侧CU+DU合一架构对MEC安全影响挑战

CU+DU合一架构模式，如图5所示。无线侧与边缘DC和中心DC之间均是3GPP定义标准接口，均由IPSec保护。5G MEC架构至边缘DC时，未改变RAN和核心网之间的安全模式[13]。

1.3.2 无线侧CU/DU分离架构对MEC安全的影响

CU/DU分离架构，如图6所示。无线侧与核心网之间接口未变，仍需IPSec保护，核心网不感知无线架构模式。

图5 MEC安全保障无线侧CU+DU合一架构

图6 MEC安全保障无线侧CU/DU分离架构

1.3.3 无线侧CU集中云化架构对MEC安全影响挑战

CU集中云化架构，如果与MEC节点共享I层架构会带来安全挑战，如：不同VNF之间抢占资源；通过Cloud OS入侵等实现非法访问；单VNF问题引起整体DC业务风险。为解决上述安全风险，可考虑隔离架构[14]。因RAN与MEC很大可能来自于不同厂家，在边缘DC规划时就统一划分为不同VDC，实现硬件隔离；RAN与MEC之间的接口启用独立防火墙，实现接口业务检查。

1.3.4 可信域与非可信域之间传输不可靠，有数据被非法窃取的安全挑战

因为3GPP标准未强制要求接口数据加密，如用户面数据是不加密的。为解决可信域与非可信域间传输安全风险，在可信域与非可信域之间需要启动IPSec，确保数据不被非法窃取[15]。不同于4G中心架构eNB与核心网之间启动IPSec，5G分布式架构组网中非可靠传输间均须启动IPSec。

1.3.5 边缘DC机房硬体环境

MEC架构设计（如图7所示）中部分边缘DC机房硬体环境存在不可靠因素，有供电安全、防盗、防止物理侵入等安全挑战。为确保未来高价值5G业务得到安全可靠的环境保障，对边缘MEC所在机房进行物理安防、边界安防、安防系统以及可靠性改造，使边缘MEC成为安全可信域。

图7 MEC网络NFV安全架构

1.3.6 边缘DC内共享NFVI（网络功能虚拟化基础设施）资源

MEC网络NFV安全架构，如图7所示。当边缘DC内RAN CU、UPF、第三方应用共享NFVI资源时，存在资源非法访问、Cloud OS入侵等I层的安全挑战。为解决此类问题，采用外部防攻击、领域隔离、MEC子域隔离[16]、应用隔离以及NFV安全方案等完善MEC NFV环境安全构筑，由外向内分层隔离与防护方案。

1.3.7 第三方应用集成安全

第三方应用架构在电信网内有不少安全上的挑战，如病毒/木马注入、漏洞被利用、越权访问等。为解决此问题，自有应用和第三方应用需要进行统一管理。架构时使用数字签名验证，同时自有应用和第三方非可信应用根据架构位置的不同有不同的安全策略[18-19]，如表1所示。

表1 MEC不同应用的安全策略

2 示范应用成果

随着企业业务和管理模式的不断创新，业务对网络及平台提出了新的诉求，即大流量、低时延、大量终端连接以及传感数据多样等。本地产生、本地终结的业务，希望电信网络具备本地智能分流、应用本地化架构的能力，同时需要电信网络具备数据本地汇聚、处理等功能，提升企业生产效能，丰富场景应用[20]。

上海电信与宝钢股份携手，在上海宝钢股份宝山基地产成品物流智能仓库建立面向5G的MEC智能应用部署。该仓库是目前我国最大的无人化钢材成品仓库，占地面积超过6×104m2，是国内首个完全依照无人化、信息化标准设计的仓库。通过近1年的努力，搭载电信5G信号的国内最大载重AGV（自动导引运输车）实现了高精度、高智能的自主导航与无人驾驶作业，完成万吨钢卷从仓库到码头的全天候取运货任务。

借助5G MEC低时延、高带宽的能力，从仓库到码头，整个厂内物流过程在指挥中心完全透明化、实时化。各部门可以对计划把握到毫秒级精准，与车队的调度完美衔接，贯通了以往独立运行的无人仓库与无人码头。所有环节构成了一个完整闭环，将人工作业的事故隐患降低到0，平均单卷作业时间从小时缩短为3分30秒[21]。全天候作业使得夜间作业不再是瓶颈，无人运输24 h持续工作。与相同规模的传统仓库相比，该仓库所需的员工从130人降至不足30人，节约了仓储费用约1亿元。

作为冶金行业首个工业化示范应用，5G MEC充分验证了其在大型工业化中应用的可行性。工业园区5G MEC应用示意图，如图8所示。MEC架构可将5G无线网络和企业网打通，从而保持企业业务本地化。一方面避免了路由迂回实现低时延，另一方面强化了本地传输内容的安全性，以实现更多业务场景。一个边缘计算中心可以服务区域内的几百至上千辆智能运输车，并可以根据需求动态配置数据中心的服务器资源，具有低成本和可灵活扩展的优势[22]。目前，第一批搭载5G信号指路设备的7辆无人驾驶重载框架车已经成为宝钢股份上海宝山基地运输成品卷材的主力军，最终配备的无人车将超过130辆。

工业规模级的应用推动了5G MEC技术架构的成熟，深化了通信与垂直行业的融通发展，形成了良好的示范作用，但还存在一些问题有待进一步研究完善。

一是需要推进运营商、设备商和企业之间的标准化发展。虽然5G R15技术体系的标准化已经基本完成，但在实际应用解决方案的过程中依然会出现对标准理解不一致等情况，需要协调跨行业应用的数据及接口规范。目前，国内信息通信、工业互联等领域的行业及标准化组织均在积极探索5G+行业的应用，但尚未形成标准、简洁、高效的应用体系，需进一步加强不同行业间的沟通，挖掘行业需求，打造跨行业协同的5G MEC智能网络架构，以利于开发与推广。

图8 工业园区5G MEC应用

二是需要推动构建全面的MEC信息安全体系。5G面向企业应用需要极高的信息安全等级，但安全依然是5G面临的一大挑战。MEC等新技术应用尚需建立更完整的安全保障体系[23]，需要跨行业的研究推动边缘计算信息安全解决方案，构建可靠的安全保障体系。

三是需要进一步研究5G边缘计算商业模式。目前，5G商业模式仍处于设计阶段，行业使能价值尚待进一步探索。需协同产业各方，选取典型应用，挖掘商业价值，以推动产业链发展。

3 结语

本文提出面向5G应用的MEC边缘计算智能架构设计，重点介绍了本地流量分流、网络传输应用安全等方面的关键技术，并基于上海电信和上海宝钢在智能仓库装运管理的实际应用，证明了该设计的可实施性及其良好效果。

在2019年6月底上海举办的世界移动通信大会上，中国电信股份有限公司和华为公司一起提出了5G“超级上行”相关解决方案。该方案提供了时分/频分复用协同、高频/低频互补、时域/频域聚合的思路，从而使数据的上行速度和时延均得到了改善。如果在本项目中应用“超级上行”，将可以进一步实现更精准的厘米级定位，将是本项目未来深入研究应用的方向。