【摘 要】介紹了滿足多樣化垂直行業應用的5G網絡服務化架構和網絡切片實現。針對5G網絡架構重構、網絡部署形態的變化，研究提出了網絡切片端到端安全隔離的實現方法，包括切片在接入網絡、承載網絡和核心網絡中的隔離實現。結合典型行業應用的要求，給出了定制化切片的隔離實現案例。

　　【關鍵詞】垂直行業;服務化架構;網絡切片;切片隔離

　　《無線通信技術》(季刊)創刊于1971年，由信息產業部電信科學技術第四研究所主辦。本刊是一本有關無線電通信領域的專業性技術刊物，國內外公開發行。

　　1 引言

　　移動通信的發展經歷了模擬時代、數字時代和移動互聯時代。在近40年的發展中，由于人們對更高性能通信服務的持續需求，網絡在不斷升級換代以提升性能。如今，這種需求不僅沒有停止，而且還在向物聯、車聯、工業互聯等領域蔓延。通信服務不僅需要進一步滿足人們對超高帶寬的增強移動互聯需求，還需要實現由個人應用向行業應用的跨越。應用場景的多樣化對網絡時延、傳輸速率、連接數、移動性等提出了更高的要求[1]。傳統移動通信網絡由于受架構、部署方式、運維復雜度等限制，已難以跟上新應用需求的步伐。供給與需求間的缺口推動了現有網絡的架構變革和網絡重構，以滿足未來萬物互聯對網絡的要求。

　　2 5G網絡架構和網絡切片

　　2.1 服務化網絡架構

　　行業應用是多樣化的，甚至有些應用是小眾化、短生命周期的，它們對網絡性能的需求也是差異化的，例如用于工業控制的網絡需具備較小的時延，而對于固定終端的傳感器網絡不需要網絡具備移動性功能。傳統移動網絡基于專用設備組網，網元功能以專用設備形態存在，在組網、網絡擴容、提供差異化網絡服務等方面不夠靈活，運維復雜、建設維護成本較高，因此傳統移動網絡難以滿足多樣化應用所需的差異化服務需求，難以快速響應應用需求的變化，也無法承擔碎片化運營帶來的運營成本。為了更好地滿足差異化服務的需求，提高網絡系統部署靈活性，降低網絡建設運維成本，5G網絡采用了服務化網絡架構[2]，引入虛擬化、網絡能力開放、網絡切片等新技術，從而具備高度可定制性。垂直行業可以結合應用需求，基于開放的網絡能力定制服務網絡，并且可以靈活地對網絡容量進行彈性伸縮，以應對動態變化的需求。5G服務化網絡架構如圖1所示。

　　服務化架構摒棄了傳統電信架構下網元間通信遵循請求者和響應者的點對點通信模式。傳統通信接口需預先定義和配置，且定義的接口只能用于特定的兩類網元間，這是一種相互耦合的通信模式，靈活性不強，不利于網絡靈活擴展。5G網絡服務化架構下，網元(NE)被進一步拆分成若干個自包含、自管理、可重用的網絡功能，如圖1中的AMF、SMF等。這些網絡功能相互解耦，具備獨立升級、獨立彈性的能力。網絡功能間的通信機制也進一步解耦為生產者和消費者模式，生產者發布相關能力，并不關注消費者是誰，在什么位置。消費者訂閱相關能力，不關注生產者是誰，在什么位置。網絡功能之間基于標準的服務化接口實現互通，并可通過網絡編排器根據不同應用場景的需求進行編排和網絡實例化部署。服務化架構的使用，使得網絡具備解耦、開放、可編排等傳統網絡架構所無法比擬的優點，是5G網絡迅速滿足行業應用需求的重要手段。

　　2.2 5G網絡切片

　　網絡切片是一組運行在通用物理硬件上的多個NF的編排組合，具備獨立提供網絡服務能力的端到端虛擬網絡。運營商通過能力開放接口和切片藍圖將5G網絡開放給垂直行業應用。切片藍圖是對網絡切片編排的完整描述，包含網絡切片所需的NF、NF配置、切片實例化等。結合應用需求完成切片藍圖制作后，網絡編排和管理系統根據切片藍圖完成網絡資源(計算、存儲、網絡)的分配和激活，完成網絡切片部署。

　　網絡切片的部署如圖2所示，與傳統移動通信網絡固定的網絡架構相比，網絡切片包含的NF按需設計，切片中僅包含為支持應用所必須的NF，避免包含其他非必要的NF。另外，具備相同功能的NF在不同網絡切片部署的位置也可能不同。例如，對于車聯網應用要求網絡具備超低時延，因此提供用戶面數據交換的UPF需要下沉至接入數據中心部署，而對于其他應用的網絡切片，UPF通常部署在核心數據中心。對于車聯網等應用通常要求網絡部署移動性功能，而對于遠程醫療應用不需要移動性，因此對應的網絡切片在編排部署過程中就不需要包含移動性功能。

　　借助于虛擬化技術，運營商可以在相同的物理基礎設施上同時配置部署多個網絡切片，為不同的應用提供網絡服務。由于網絡切片共享相同的網絡資源，因此切片之間的隔離就變得非常重要，這是5G網絡安全研究的重要方向之一[3]。做好網絡切片的端到端隔離，一方面可以避免切片之間發生資源相互競爭進而影響切片的正常部署和運行;另一方面也可以避免一個切片的異常(例如遭受內部安全威脅或者外部攻擊，影響到其他切片的安全)，有效防止攻擊擴散、切片數據泄露等安全威脅。

　　3 網絡切片端到端隔離

　　3.1 網絡切片在接入網絡的隔離實現

　　網絡切片是端到端虛擬網絡，與傳統移動通信網絡類似，也由無線接入、承載、核心網構成，因此網絡切片端到端的隔離包括切片在接入網、承載網和核心網的隔離實現。

　　接入網絡由無線空口和基礎處理資源構成。如圖3所示，5G正交頻分多址(OFDMA)系統中，無線頻譜從時域、頻域、空域維度被劃分為不同的資源塊，用于承載數據在無線空口的傳輸。無線頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網絡切片分配專用頻譜帶寬，這時分配給切片的資源塊是連續的。邏輯隔離是資源塊按照不同切片的要求按需分配，這時分配給每個切片的資源塊是不連續的，多個切片共享總的頻譜資源。

　　無線頻譜資源無論采用物理隔離還是邏輯隔離，由于資源塊的正交性，兩者的隔離能力相當，但是物理隔離方式下，使用專用頻譜的覆蓋范圍和覆蓋效果通常不如共享頻譜。當數據文件較大，或者用戶處于小區邊緣時，由于無法使用更寬的頻譜傳輸，使得采用頻譜物理隔離方式的切片往往無法達到很高的傳輸速率。此外，物理隔離方式實現成本較高，資源分配不夠靈活，尤其是頻譜租賃代價高昂。而邏輯隔離可以在共享頻譜的情況下由基站調度器動態調配資源塊以滿足不同切片的傳輸要求，有利于提高頻譜資源的利用率，因此，行業應用在無特殊要求的情況下，首選邏輯隔離方案來滿足網絡切片在無線空口側的隔離要求。

　　5G接入網絡的基站處理部分由DU和CU構成，因此網絡切片在基站處理部分的隔離是切片在DU和CU上的隔離實現。DU和CU是對傳統RAN功能的重構。DU用于處理物理(PHY)層和媒體接入控制(MAC)層功能，例如資源塊調度、調制編碼、功控等。CU用于處理MAC層以上的功能，例如分組數據匯聚、切換等。DU目前依賴于專用硬件實現，CU可以使用專用硬件實現或者采用虛擬化技術以軟件方式在通用服務器上運行。通過為不同切片分配不同的DU單板或處理核實現網絡切片在DU上的物理隔離。當CU軟件運行在專用硬件上時，隔離方式類似DU。當CU軟件運行在通用服務器上時，網絡切片在CU的隔離可基于網絡功能虛擬化(NFV)隔離技術實現[4]，為不同的切片分配不同的虛機或容器，通過虛機或容器的隔離實現切片在CU上的隔離。根據切片的安全隔離要求，在DU、CU上的隔離機制可單獨或組合使用。

　　3.2 網絡切片在承載網絡的隔離實現

　　5G網絡依托數據中心部署，跨越數據中心的物理通信鏈路需要承載多個切片的業務數據。網絡切片在承載網絡的隔離也可通過軟隔離或硬隔離技術實現。

　　軟隔離方案基于現有網絡機制，通過虛擬局域網(VLAN)標簽與網絡切片標識的映射實現。網絡切片具備唯一的切片標識，根據切片標識為不同的切片數據映射封裝不同的VLAN標簽，通過VLAN隔離實現網絡切片在承載網絡的隔離。這種隔離方式雖然將不同切片的數據進行了VLAN區分，但是標記有VLAN標簽的所有切片數據仍然混合調度轉發，無法做到硬件、時隙層面的隔離。

　　硬隔離方案基于靈活以太網(FlexE)技術。FlexE技術由光互聯論壇(OIF)定義[5]，如圖4所示，通過在以太網的物理編碼子層(PCS)引入一個時分復用(TDM)的Flex墊層(Shim)，實現了MAC層和PHY層接口收發器的解耦，從而提升以太網組網靈活性[6]。FlexE使用Calendar分配每個子Calendars上的66比特塊給FlexE客戶(網絡切片)。每100G物理介質相關子層(PMD)分為20個時隙，顆粒度是5G。FlexE Shim層有n×10個5G時隙。FlexE客戶的64B/66B按照時隙方式插到FlexE Shim層。FlexE客戶的10G、25G、40G、n×50G分別在Shim層占用2、5、8、n×10個5G時隙。FlexE客戶在FlexE Shim層占用時隙采用靈活方式，通過FlexE開銷指明時隙被哪個業務占用。FlexE通過Shim層的時隙配置支持多個客戶業務，實現承載不同客戶業務的網絡切片之間的物理隔離。基于時隙調度的FlexE分片將物理以太網端口劃分為多個以太網彈性管道，使得承載網絡既具備以太網統計復用、網絡效率高的特點，又具備類似于TDM獨占時隙、隔離性好的特性。

　　網絡切片在承載網絡的隔離還可以使用軟隔離和硬隔離結合的方式，在對網絡切片使用VLAN實現邏輯隔離的情況下，進一步利用FlexE分片技術，實現在時隙層面的物理隔離。

　　3.3 網絡切片在核心網絡的隔離實現

　　5G核心網絡基于虛擬化基礎設施構建，其部署架構分為資源層、網絡功能層和管理編排層。網絡切片的安全隔離可通過切片對應基礎資源層的隔離、網絡層的隔離以及管理層隔離的三級隔離方式實現，如圖5所示。

　　根據應用對安全的需求，可提供物理隔離和邏輯隔離兩種隔離方案。物理隔離是為網絡切片分配獨立的物理資源，各網絡切片獨占物理資源，互不影響，類似于傳統物理專網，如圖5的工業控制切片。

　　邏輯隔離是對建立在共享資源池上的多個網絡切片建立隔離機制。在資源層的隔離可參考NFV隔離機制[4]。網絡層的NF隔離分為切片之間的隔離和切片內的隔離。切片之間NF的隔離基于虛擬機或者容器的隔離機制。切片內部多個NF由于功能不同，對安全的要求也不同，例如UDM用于存儲和處理用戶簽約數據，其對于安全的要求要高于其他NF，因此切片內的多個NF也存在隔離需求，可以通過劃分安全域的方式[7]將多個NF置于不同的安全域，并在安全域之間配置安全策略實現NF的隔離。對于NF之間存在通信的需求，在通信連接建立之前需要首先進行認證[8]。切片在管理層的隔離通過為使用切片的租戶分配不同的賬號和權限，每個租戶僅能對屬于自己的切片進行管理維護，無權對其他租戶的切片實施管理。另外，需要通過通道加密等機制保證管理接口的安全。

　　4 網絡切片隔離在電力行業的應用

　　電力行業是5G技術探索的行業應用之一[9]。差動保護和配網自動化三遙是電網中兩類典型的業務。兩類業務可以由一個智能電力終端(DTU)承載。智能DTU通過CPE接入5G網絡。CPE作為5G網絡的接入終端，配備一張SIM卡。差動保護業務通過5G網絡實現在兩個DTU之間交互，而配網自動化三遙業務由DTU經過5G網絡流向業務主站，如圖6所示。兩類業務對外需要實現物理隔離，兩類業務之間需要實現邏輯隔離。

　　5G網絡使用兩張網絡切片分別為上述業務提供網絡服務。切片包含的所有網絡功能都使用運營商電信云中獨立的服務器加載，以實現電力業務與外界業務的物理隔離。

　　CPE上的SIM卡上簽約上述兩類業務對應的網絡切片標識(NSSAI)。當CPE注冊到5G網絡時，需要攜帶NSSAI。5G網絡為CPE選擇對應的網絡切片。CPE同時接入兩張網絡切片，且分別建立分組數據單元(PDU)會話連接，即不同的GTP隧道，實現兩類業務的邏輯隔離。

　　智能DTU設備通過兩個物理接口接入環網柜內的交換機，一個網口分配給差動保護業務，另一個網口分配給配網自動化三遙業務。交換機對所述兩種業務進行VLAN劃分，實現兩類業務的邏輯隔離，并通過一個網口發送至CPE。

　　(1)無線空口處隔離。5G基站由同一塊基帶處理板根據PDU會話連接及優先級標識，為兩類業務分配調度不同的時頻資源塊。由于資源塊在時隙、頻域上的彼此正交性，因此通過為不同業務分配不同的資源塊實現承載這兩類業務的網絡切片在無線空口的隔離。如果業務需要獨立頻段，則可以通過分配專用的基帶處理板，實現物理隔離。