【摘 要】介紹了滿足多樣化垂直行業(yè)應(yīng)用的5G網(wǎng)絡(luò)服務(wù)化架構(gòu)和網(wǎng)絡(luò)切片實(shí)現(xiàn)。針對(duì)5G網(wǎng)絡(luò)架構(gòu)重構(gòu)、網(wǎng)絡(luò)部署形態(tài)的變化，研究提出了網(wǎng)絡(luò)切片端到端安全隔離的實(shí)現(xiàn)方法，包括切片在接入網(wǎng)絡(luò)、承載網(wǎng)絡(luò)和核心網(wǎng)絡(luò)中的隔離實(shí)現(xiàn)。結(jié)合典型行業(yè)應(yīng)用的要求，給出了定制化切片的隔離實(shí)現(xiàn)案例。

　　【關(guān)鍵詞】垂直行業(yè);服務(wù)化架構(gòu);網(wǎng)絡(luò)切片;切片隔離

　　《無(wú)線通信技術(shù)》(季刊)創(chuàng)刊于1971年，由信息產(chǎn)業(yè)部電信科學(xué)技術(shù)第四研究所主辦。本刊是一本有關(guān)無(wú)線電通信領(lǐng)域的專業(yè)性技術(shù)刊物，國(guó)內(nèi)外公開發(fā)行。

　　1 引言

　　移動(dòng)通信的發(fā)展經(jīng)歷了模擬時(shí)代、數(shù)字時(shí)代和移動(dòng)互聯(lián)時(shí)代。在近40年的發(fā)展中，由于人們對(duì)更高性能通信服務(wù)的持續(xù)需求，網(wǎng)絡(luò)在不斷升級(jí)換代以提升性能。如今，這種需求不僅沒(méi)有停止，而且還在向物聯(lián)、車聯(lián)、工業(yè)互聯(lián)等領(lǐng)域蔓延。通信服務(wù)不僅需要進(jìn)一步滿足人們對(duì)超高帶寬的增強(qiáng)移動(dòng)互聯(lián)需求，還需要實(shí)現(xiàn)由個(gè)人應(yīng)用向行業(yè)應(yīng)用的跨越。應(yīng)用場(chǎng)景的多樣化對(duì)網(wǎng)絡(luò)時(shí)延、傳輸速率、連接數(shù)、移動(dòng)性等提出了更高的要求[1]。傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)由于受架構(gòu)、部署方式、運(yùn)維復(fù)雜度等限制，已難以跟上新應(yīng)用需求的步伐。供給與需求間的缺口推動(dòng)了現(xiàn)有網(wǎng)絡(luò)的架構(gòu)變革和網(wǎng)絡(luò)重構(gòu)，以滿足未來(lái)萬(wàn)物互聯(lián)對(duì)網(wǎng)絡(luò)的要求。

　　2 5G網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)切片

　　2.1 服務(wù)化網(wǎng)絡(luò)架構(gòu)

　　行業(yè)應(yīng)用是多樣化的，甚至有些應(yīng)用是小眾化、短生命周期的，它們對(duì)網(wǎng)絡(luò)性能的需求也是差異化的，例如用于工業(yè)控制的網(wǎng)絡(luò)需具備較小的時(shí)延，而對(duì)于固定終端的傳感器網(wǎng)絡(luò)不需要網(wǎng)絡(luò)具備移動(dòng)性功能。傳統(tǒng)移動(dòng)網(wǎng)絡(luò)基于專用設(shè)備組網(wǎng)，網(wǎng)元功能以專用設(shè)備形態(tài)存在，在組網(wǎng)、網(wǎng)絡(luò)擴(kuò)容、提供差異化網(wǎng)絡(luò)服務(wù)等方面不夠靈活，運(yùn)維復(fù)雜、建設(shè)維護(hù)成本較高，因此傳統(tǒng)移動(dòng)網(wǎng)絡(luò)難以滿足多樣化應(yīng)用所需的差異化服務(wù)需求，難以快速響應(yīng)應(yīng)用需求的變化，也無(wú)法承擔(dān)碎片化運(yùn)營(yíng)帶來(lái)的運(yùn)營(yíng)成本。為了更好地滿足差異化服務(wù)的需求，提高網(wǎng)絡(luò)系統(tǒng)部署靈活性，降低網(wǎng)絡(luò)建設(shè)運(yùn)維成本，5G網(wǎng)絡(luò)采用了服務(wù)化網(wǎng)絡(luò)架構(gòu)[2]，引入虛擬化、網(wǎng)絡(luò)能力開放、網(wǎng)絡(luò)切片等新技術(shù)，從而具備高度可定制性。垂直行業(yè)可以結(jié)合應(yīng)用需求，基于開放的網(wǎng)絡(luò)能力定制服務(wù)網(wǎng)絡(luò)，并且可以靈活地對(duì)網(wǎng)絡(luò)容量進(jìn)行彈性伸縮，以應(yīng)對(duì)動(dòng)態(tài)變化的需求。5G服務(wù)化網(wǎng)絡(luò)架構(gòu)如圖1所示。

　　服務(wù)化架構(gòu)摒棄了傳統(tǒng)電信架構(gòu)下網(wǎng)元間通信遵循請(qǐng)求者和響應(yīng)者的點(diǎn)對(duì)點(diǎn)通信模式。傳統(tǒng)通信接口需預(yù)先定義和配置，且定義的接口只能用于特定的兩類網(wǎng)元間，這是一種相互耦合的通信模式，靈活性不強(qiáng)，不利于網(wǎng)絡(luò)靈活擴(kuò)展。5G網(wǎng)絡(luò)服務(wù)化架構(gòu)下，網(wǎng)元(NE)被進(jìn)一步拆分成若干個(gè)自包含、自管理、可重用的網(wǎng)絡(luò)功能，如圖1中的AMF、SMF等。這些網(wǎng)絡(luò)功能相互解耦，具備獨(dú)立升級(jí)、獨(dú)立彈性的能力。網(wǎng)絡(luò)功能間的通信機(jī)制也進(jìn)一步解耦為生產(chǎn)者和消費(fèi)者模式，生產(chǎn)者發(fā)布相關(guān)能力，并不關(guān)注消費(fèi)者是誰(shuí)，在什么位置。消費(fèi)者訂閱相關(guān)能力，不關(guān)注生產(chǎn)者是誰(shuí)，在什么位置。網(wǎng)絡(luò)功能之間基于標(biāo)準(zhǔn)的服務(wù)化接口實(shí)現(xiàn)互通，并可通過(guò)網(wǎng)絡(luò)編排器根據(jù)不同應(yīng)用場(chǎng)景的需求進(jìn)行編排和網(wǎng)絡(luò)實(shí)例化部署。服務(wù)化架構(gòu)的使用，使得網(wǎng)絡(luò)具備解耦、開放、可編排等傳統(tǒng)網(wǎng)絡(luò)架構(gòu)所無(wú)法比擬的優(yōu)點(diǎn)，是5G網(wǎng)絡(luò)迅速滿足行業(yè)應(yīng)用需求的重要手段。

　　2.2 5G網(wǎng)絡(luò)切片

　　網(wǎng)絡(luò)切片是一組運(yùn)行在通用物理硬件上的多個(gè)NF的編排組合，具備獨(dú)立提供網(wǎng)絡(luò)服務(wù)能力的端到端虛擬網(wǎng)絡(luò)。運(yùn)營(yíng)商通過(guò)能力開放接口和切片藍(lán)圖將5G網(wǎng)絡(luò)開放給垂直行業(yè)應(yīng)用。切片藍(lán)圖是對(duì)網(wǎng)絡(luò)切片編排的完整描述，包含網(wǎng)絡(luò)切片所需的NF、NF配置、切片實(shí)例化等。結(jié)合應(yīng)用需求完成切片藍(lán)圖制作后，網(wǎng)絡(luò)編排和管理系統(tǒng)根據(jù)切片藍(lán)圖完成網(wǎng)絡(luò)資源(計(jì)算、存儲(chǔ)、網(wǎng)絡(luò))的分配和激活，完成網(wǎng)絡(luò)切片部署。

　　網(wǎng)絡(luò)切片的部署如圖2所示，與傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)固定的網(wǎng)絡(luò)架構(gòu)相比，網(wǎng)絡(luò)切片包含的NF按需設(shè)計(jì)，切片中僅包含為支持應(yīng)用所必須的NF，避免包含其他非必要的NF。另外，具備相同功能的NF在不同網(wǎng)絡(luò)切片部署的位置也可能不同。例如，對(duì)于車聯(lián)網(wǎng)應(yīng)用要求網(wǎng)絡(luò)具備超低時(shí)延，因此提供用戶面數(shù)據(jù)交換的UPF需要下沉至接入數(shù)據(jù)中心部署，而對(duì)于其他應(yīng)用的網(wǎng)絡(luò)切片，UPF通常部署在核心數(shù)據(jù)中心。對(duì)于車聯(lián)網(wǎng)等應(yīng)用通常要求網(wǎng)絡(luò)部署移動(dòng)性功能，而對(duì)于遠(yuǎn)程醫(yī)療應(yīng)用不需要移動(dòng)性，因此對(duì)應(yīng)的網(wǎng)絡(luò)切片在編排部署過(guò)程中就不需要包含移動(dòng)性功能。

　　借助于虛擬化技術(shù)，運(yùn)營(yíng)商可以在相同的物理基礎(chǔ)設(shè)施上同時(shí)配置部署多個(gè)網(wǎng)絡(luò)切片，為不同的應(yīng)用提供網(wǎng)絡(luò)服務(wù)。由于網(wǎng)絡(luò)切片共享相同的網(wǎng)絡(luò)資源，因此切片之間的隔離就變得非常重要，這是5G網(wǎng)絡(luò)安全研究的重要方向之一[3]。做好網(wǎng)絡(luò)切片的端到端隔離，一方面可以避免切片之間發(fā)生資源相互競(jìng)爭(zhēng)進(jìn)而影響切片的正常部署和運(yùn)行;另一方面也可以避免一個(gè)切片的異常(例如遭受內(nèi)部安全威脅或者外部攻擊，影響到其他切片的安全)，有效防止攻擊擴(kuò)散、切片數(shù)據(jù)泄露等安全威脅。

　　3 網(wǎng)絡(luò)切片端到端隔離

　　3.1 網(wǎng)絡(luò)切片在接入網(wǎng)絡(luò)的隔離實(shí)現(xiàn)

　　網(wǎng)絡(luò)切片是端到端虛擬網(wǎng)絡(luò)，與傳統(tǒng)移動(dòng)通信網(wǎng)絡(luò)類似，也由無(wú)線接入、承載、核心網(wǎng)構(gòu)成，因此網(wǎng)絡(luò)切片端到端的隔離包括切片在接入網(wǎng)、承載網(wǎng)和核心網(wǎng)的隔離實(shí)現(xiàn)。

　　接入網(wǎng)絡(luò)由無(wú)線空口和基礎(chǔ)處理資源構(gòu)成。如圖3所示，5G正交頻分多址(OFDMA)系統(tǒng)中，無(wú)線頻譜從時(shí)域、頻域、空域維度被劃分為不同的資源塊，用于承載數(shù)據(jù)在無(wú)線空口的傳輸。無(wú)線頻譜資源的隔離可以分為物理隔離和邏輯隔離。物理隔離是給網(wǎng)絡(luò)切片分配專用頻譜帶寬，這時(shí)分配給切片的資源塊是連續(xù)的。邏輯隔離是資源塊按照不同切片的要求按需分配，這時(shí)分配給每個(gè)切片的資源塊是不連續(xù)的，多個(gè)切片共享總的頻譜資源。

　　無(wú)線頻譜資源無(wú)論采用物理隔離還是邏輯隔離，由于資源塊的正交性，兩者的隔離能力相當(dāng)，但是物理隔離方式下，使用專用頻譜的覆蓋范圍和覆蓋效果通常不如共享頻譜。當(dāng)數(shù)據(jù)文件較大，或者用戶處于小區(qū)邊緣時(shí)，由于無(wú)法使用更寬的頻譜傳輸，使得采用頻譜物理隔離方式的切片往往無(wú)法達(dá)到很高的傳輸速率。此外，物理隔離方式實(shí)現(xiàn)成本較高，資源分配不夠靈活，尤其是頻譜租賃代價(jià)高昂。而邏輯隔離可以在共享頻譜的情況下由基站調(diào)度器動(dòng)態(tài)調(diào)配資源塊以滿足不同切片的傳輸要求，有利于提高頻譜資源的利用率，因此，行業(yè)應(yīng)用在無(wú)特殊要求的情況下，首選邏輯隔離方案來(lái)滿足網(wǎng)絡(luò)切片在無(wú)線空口側(cè)的隔離要求。

　　5G接入網(wǎng)絡(luò)的基站處理部分由DU和CU構(gòu)成，因此網(wǎng)絡(luò)切片在基站處理部分的隔離是切片在DU和CU上的隔離實(shí)現(xiàn)。DU和CU是對(duì)傳統(tǒng)RAN功能的重構(gòu)。DU用于處理物理(PHY)層和媒體接入控制(MAC)層功能，例如資源塊調(diào)度、調(diào)制編碼、功控等。CU用于處理MAC層以上的功能，例如分組數(shù)據(jù)匯聚、切換等。DU目前依賴于專用硬件實(shí)現(xiàn)，CU可以使用專用硬件實(shí)現(xiàn)或者采用虛擬化技術(shù)以軟件方式在通用服務(wù)器上運(yùn)行。通過(guò)為不同切片分配不同的DU單板或處理核實(shí)現(xiàn)網(wǎng)絡(luò)切片在DU上的物理隔離。當(dāng)CU軟件運(yùn)行在專用硬件上時(shí)，隔離方式類似DU。當(dāng)CU軟件運(yùn)行在通用服務(wù)器上時(shí)，網(wǎng)絡(luò)切片在CU的隔離可基于網(wǎng)絡(luò)功能虛擬化(NFV)隔離技術(shù)實(shí)現(xiàn)[4]，為不同的切片分配不同的虛機(jī)或容器，通過(guò)虛機(jī)或容器的隔離實(shí)現(xiàn)切片在CU上的隔離。根據(jù)切片的安全隔離要求，在DU、CU上的隔離機(jī)制可單獨(dú)或組合使用。

　　3.2 網(wǎng)絡(luò)切片在承載網(wǎng)絡(luò)的隔離實(shí)現(xiàn)

　　5G網(wǎng)絡(luò)依托數(shù)據(jù)中心部署，跨越數(shù)據(jù)中心的物理通信鏈路需要承載多個(gè)切片的業(yè)務(wù)數(shù)據(jù)。網(wǎng)絡(luò)切片在承載網(wǎng)絡(luò)的隔離也可通過(guò)軟隔離或硬隔離技術(shù)實(shí)現(xiàn)。

　　軟隔離方案基于現(xiàn)有網(wǎng)絡(luò)機(jī)制，通過(guò)虛擬局域網(wǎng)(VLAN)標(biāo)簽與網(wǎng)絡(luò)切片標(biāo)識(shí)的映射實(shí)現(xiàn)。網(wǎng)絡(luò)切片具備唯一的切片標(biāo)識(shí)，根據(jù)切片標(biāo)識(shí)為不同的切片數(shù)據(jù)映射封裝不同的VLAN標(biāo)簽，通過(guò)VLAN隔離實(shí)現(xiàn)網(wǎng)絡(luò)切片在承載網(wǎng)絡(luò)的隔離。這種隔離方式雖然將不同切片的數(shù)據(jù)進(jìn)行了VLAN區(qū)分，但是標(biāo)記有VLAN標(biāo)簽的所有切片數(shù)據(jù)仍然混合調(diào)度轉(zhuǎn)發(fā)，無(wú)法做到硬件、時(shí)隙層面的隔離。

　　硬隔離方案基于靈活以太網(wǎng)(FlexE)技術(shù)。FlexE技術(shù)由光互聯(lián)論壇(OIF)定義[5]，如圖4所示，通過(guò)在以太網(wǎng)的物理編碼子層(PCS)引入一個(gè)時(shí)分復(fù)用(TDM)的Flex墊層(Shim)，實(shí)現(xiàn)了MAC層和PHY層接口收發(fā)器的解耦，從而提升以太網(wǎng)組網(wǎng)靈活性[6]。FlexE使用Calendar分配每個(gè)子Calendars上的66比特塊給FlexE客戶(網(wǎng)絡(luò)切片)。每100G物理介質(zhì)相關(guān)子層(PMD)分為20個(gè)時(shí)隙，顆粒度是5G。FlexE Shim層有n×10個(gè)5G時(shí)隙。FlexE客戶的64B/66B按照時(shí)隙方式插到FlexE Shim層。FlexE客戶的10G、25G、40G、n×50G分別在Shim層占用2、5、8、n×10個(gè)5G時(shí)隙。FlexE客戶在FlexE Shim層占用時(shí)隙采用靈活方式，通過(guò)FlexE開銷指明時(shí)隙被哪個(gè)業(yè)務(wù)占用。FlexE通過(guò)Shim層的時(shí)隙配置支持多個(gè)客戶業(yè)務(wù)，實(shí)現(xiàn)承載不同客戶業(yè)務(wù)的網(wǎng)絡(luò)切片之間的物理隔離。基于時(shí)隙調(diào)度的FlexE分片將物理以太網(wǎng)端口劃分為多個(gè)以太網(wǎng)彈性管道，使得承載網(wǎng)絡(luò)既具備以太網(wǎng)統(tǒng)計(jì)復(fù)用、網(wǎng)絡(luò)效率高的特點(diǎn)，又具備類似于TDM獨(dú)占時(shí)隙、隔離性好的特性。

　　網(wǎng)絡(luò)切片在承載網(wǎng)絡(luò)的隔離還可以使用軟隔離和硬隔離結(jié)合的方式，在對(duì)網(wǎng)絡(luò)切片使用VLAN實(shí)現(xiàn)邏輯隔離的情況下，進(jìn)一步利用FlexE分片技術(shù)，實(shí)現(xiàn)在時(shí)隙層面的物理隔離。

　　3.3 網(wǎng)絡(luò)切片在核心網(wǎng)絡(luò)的隔離實(shí)現(xiàn)

　　5G核心網(wǎng)絡(luò)基于虛擬化基礎(chǔ)設(shè)施構(gòu)建，其部署架構(gòu)分為資源層、網(wǎng)絡(luò)功能層和管理編排層。網(wǎng)絡(luò)切片的安全隔離可通過(guò)切片對(duì)應(yīng)基礎(chǔ)資源層的隔離、網(wǎng)絡(luò)層的隔離以及管理層隔離的三級(jí)隔離方式實(shí)現(xiàn)，如圖5所示。

　　根據(jù)應(yīng)用對(duì)安全的需求，可提供物理隔離和邏輯隔離兩種隔離方案。物理隔離是為網(wǎng)絡(luò)切片分配獨(dú)立的物理資源，各網(wǎng)絡(luò)切片獨(dú)占物理資源，互不影響，類似于傳統(tǒng)物理專網(wǎng)，如圖5的工業(yè)控制切片。

　　邏輯隔離是對(duì)建立在共享資源池上的多個(gè)網(wǎng)絡(luò)切片建立隔離機(jī)制。在資源層的隔離可參考NFV隔離機(jī)制[4]。網(wǎng)絡(luò)層的NF隔離分為切片之間的隔離和切片內(nèi)的隔離。切片之間NF的隔離基于虛擬機(jī)或者容器的隔離機(jī)制。切片內(nèi)部多個(gè)NF由于功能不同，對(duì)安全的要求也不同，例如UDM用于存儲(chǔ)和處理用戶簽約數(shù)據(jù)，其對(duì)于安全的要求要高于其他NF，因此切片內(nèi)的多個(gè)NF也存在隔離需求，可以通過(guò)劃分安全域的方式[7]將多個(gè)NF置于不同的安全域，并在安全域之間配置安全策略實(shí)現(xiàn)NF的隔離。對(duì)于NF之間存在通信的需求，在通信連接建立之前需要首先進(jìn)行認(rèn)證[8]。切片在管理層的隔離通過(guò)為使用切片的租戶分配不同的賬號(hào)和權(quán)限，每個(gè)租戶僅能對(duì)屬于自己的切片進(jìn)行管理維護(hù)，無(wú)權(quán)對(duì)其他租戶的切片實(shí)施管理。另外，需要通過(guò)通道加密等機(jī)制保證管理接口的安全。

　　4 網(wǎng)絡(luò)切片隔離在電力行業(yè)的應(yīng)用

　　電力行業(yè)是5G技術(shù)探索的行業(yè)應(yīng)用之一[9]。差動(dòng)保護(hù)和配網(wǎng)自動(dòng)化三遙是電網(wǎng)中兩類典型的業(yè)務(wù)。兩類業(yè)務(wù)可以由一個(gè)智能電力終端(DTU)承載。智能DTU通過(guò)CPE接入5G網(wǎng)絡(luò)。CPE作為5G網(wǎng)絡(luò)的接入終端，配備一張SIM卡。差動(dòng)保護(hù)業(yè)務(wù)通過(guò)5G網(wǎng)絡(luò)實(shí)現(xiàn)在兩個(gè)DTU之間交互，而配網(wǎng)自動(dòng)化三遙業(yè)務(wù)由DTU經(jīng)過(guò)5G網(wǎng)絡(luò)流向業(yè)務(wù)主站，如圖6所示。兩類業(yè)務(wù)對(duì)外需要實(shí)現(xiàn)物理隔離，兩類業(yè)務(wù)之間需要實(shí)現(xiàn)邏輯隔離。

　　5G網(wǎng)絡(luò)使用兩張網(wǎng)絡(luò)切片分別為上述業(yè)務(wù)提供網(wǎng)絡(luò)服務(wù)。切片包含的所有網(wǎng)絡(luò)功能都使用運(yùn)營(yíng)商電信云中獨(dú)立的服務(wù)器加載，以實(shí)現(xiàn)電力業(yè)務(wù)與外界業(yè)務(wù)的物理隔離。

　　CPE上的SIM卡上簽約上述兩類業(yè)務(wù)對(duì)應(yīng)的網(wǎng)絡(luò)切片標(biāo)識(shí)(NSSAI)。當(dāng)CPE注冊(cè)到5G網(wǎng)絡(luò)時(shí)，需要攜帶NSSAI。5G網(wǎng)絡(luò)為CPE選擇對(duì)應(yīng)的網(wǎng)絡(luò)切片。CPE同時(shí)接入兩張網(wǎng)絡(luò)切片，且分別建立分組數(shù)據(jù)單元(PDU)會(huì)話連接，即不同的GTP隧道，實(shí)現(xiàn)兩類業(yè)務(wù)的邏輯隔離。

　　智能DTU設(shè)備通過(guò)兩個(gè)物理接口接入環(huán)網(wǎng)柜內(nèi)的交換機(jī)，一個(gè)網(wǎng)口分配給差動(dòng)保護(hù)業(yè)務(wù)，另一個(gè)網(wǎng)口分配給配網(wǎng)自動(dòng)化三遙業(yè)務(wù)。交換機(jī)對(duì)所述兩種業(yè)務(wù)進(jìn)行VLAN劃分，實(shí)現(xiàn)兩類業(yè)務(wù)的邏輯隔離，并通過(guò)一個(gè)網(wǎng)口發(fā)送至CPE。

　　(1)無(wú)線空口處隔離。5G基站由同一塊基帶處理板根據(jù)PDU會(huì)話連接及優(yōu)先級(jí)標(biāo)識(shí)，為兩類業(yè)務(wù)分配調(diào)度不同的時(shí)頻資源塊。由于資源塊在時(shí)隙、頻域上的彼此正交性，因此通過(guò)為不同業(yè)務(wù)分配不同的資源塊實(shí)現(xiàn)承載這兩類業(yè)務(wù)的網(wǎng)絡(luò)切片在無(wú)線空口的隔離。如果業(yè)務(wù)需要獨(dú)立頻段，則可以通過(guò)分配專用的基帶處理板，實(shí)現(xiàn)物理隔離。