树人论文网一个专业的学术咨询网站!!!
树人论文网

5G网络切片安全隔离机制与应用

来源: 树人论文网发表时间:2019-12-08
简要:【摘 要】介绍了满足多样化垂直行业应用的5G网络服务化架构和网络切片实现。针对5G网络架构重构、网络部署形态的变化,研究提出了网络切片端到端安全隔离的实现方法,包括切片

  【摘 要】介绍了满足多样化垂直行业应用的5G网络服务化架构和网络切片实现。针对5G网络架构重构、网络部署形态的变化,研究提出了网络切片端到端安全隔离的实现方法,包括切片在接入网络、承载网络和核心网络中的隔离实现。结合典型行业应用的要求,给出了定制化切片的隔离实现案例。

  【关键词】垂直行业;服务化架构;网络切片;切片隔离

职教通讯

  《职教通讯》是全国最早创办的几家职教刊物之一,创刊20年来,《职教通讯》逐步形成了切合时代脉博,贴近职责实际,准确把握职教热点与难点,及时为职教实践提供有益指导,融理论性、报道性综合性于一体的办刊特色,连续评为江苏省一级期刊、全国优秀职教期刊一等奖。

  1 引言

  移动通信的发展经历了模拟时代、数字时代和移动互联时代。在近40年的发展中,由于人们对更高性能通信服务的持续需求,网络在不断升级换代以提升性能。如今,这种需求不仅没有停止,而且还在向物联、车联、工业互联等领域蔓延。通信服务不仅需要进一步满足人们对超高带宽的增强移动互联需求,还需要实现由个人应用向行业应用的跨越。应用场景的多样化对网络时延、传输速率、连接数、移动性等提出了更高的要求[1]。传统移动通信网络由于受架构、部署方式、运维复杂度等限制,已难以跟上新应用需求的步伐。供给与需求间的缺口推动了现有网络的架构变革和网络重构,以满足未来万物互联对网络的要求。

  2 5G网络架构和网络切片

  2.1 服务化网络架构

  行业应用是多样化的,甚至有些应用是小众化、短生命周期的,它们对网络性能的需求也是差异化的,例如用于工业控制的网络需具备较小的时延,而对于固定终端的传感器网络不需要网络具备移动性功能。传统移动网络基于专用设备组网,网元功能以专用设备形态存在,在组网、网络扩容、提供差异化网络服务等方面不够灵活,运维复杂、建设维护成本较高,因此传统移动网络难以满足多样化应用所需的差异化服务需求,难以快速响应应用需求的变化,也无法承担碎片化运营带来的运营成本。为了更好地满足差异化服务的需求,提高网络系统部署灵活性,降低网络建设运维成本,5G网络采用了服务化网络架构[2],引入虚拟化、网络能力开放、网络切片等新技术,从而具备高度可定制性。垂直行业可以结合应用需求,基于开放的网络能力定制服务网络,并且可以灵活地对网络容量进行弹性伸缩,以应对动态变化的需求。5G服务化网络架构如图1所示。

  服务化架构摒弃了传统电信架构下网元间通信遵循请求者和响应者的点对点通信模式。传统通信接口需预先定义和配置,且定义的接口只能用于特定的两类网元间,这是一种相互耦合的通信模式,灵活性不强,不利于网络灵活扩展。5G网络服务化架构下,网元(NE)被进一步拆分成若干个自包含、自管理、可重用的网络功能,如图1中的AMF、SMF等。这些网络功能相互解耦,具备独立升级、独立弹性的能力。网络功能间的通信机制也进一步解耦为生产者和消费者模式,生产者发布相关能力,并不关注消费者是谁,在什么位置。消费者订阅相关能力,不关注生产者是谁,在什么位置。网络功能之间基于标准的服务化接口实现互通,并可通过网络编排器根据不同应用场景的需求进行编排和网络实例化部署。服务化架构的使用,使得网络具备解耦、开放、可编排等传统网络架构所无法比拟的优点,是5G网络迅速满足行业应用需求的重要手段。

  2.2 5G网络切片

  网络切片是一组运行在通用物理硬件上的多个NF的编排组合,具备独立提供网络服务能力的端到端虚拟网络。运营商通过能力开放接口和切片蓝图将5G网络开放给垂直行业应用。切片蓝图是对网络切片编排的完整描述,包含网络切片所需的NF、NF配置、切片实例化等。结合应用需求完成切片蓝图制作后,网络编排和管理系统根据切片蓝图完成网络资源(计算、存储、网络)的分配和激活,完成网络切片部署。

  网络切片的部署如图2所示,与传统移动通信网络固定的网络架构相比,网络切片包含的NF按需设计,切片中仅包含为支持应用所必须的NF,避免包含其他非必要的NF。另外,具备相同功能的NF在不同网络切片部署的位置也可能不同。例如,对于车联网应用要求网络具备超低时延,因此提供用户面数据交换的UPF需要下沉至接入数据中心部署,而对于其他应用的网络切片,UPF通常部署在核心数据中心。对于车联网等应用通常要求网络部署移动性功能,而对于远程医疗应用不需要移动性,因此对应的网络切片在编排部署过程中就不需要包含移动性功能。

  借助于虚拟化技术,运营商可以在相同的物理基础设施上同时配置部署多個网络切片,为不同的应用提供网络服务。由于网络切片共享相同的网络资源,因此切片之间的隔离就变得非常重要,这是5G网络安全研究的重要方向之一[3]。做好网络切片的端到端隔离,一方面可以避免切片之间发生资源相互竞争进而影响切片的正常部署和运行;另一方面也可以避免一个切片的异常(例如遭受内部安全威胁或者外部攻击,影响到其他切片的安全),有效防止攻击扩散、切片数据泄露等安全威胁。

  3 网络切片端到端隔离

  3.1 网络切片在接入网络的隔离实现

  网络切片是端到端虚拟网络,与传统移动通信网络类似,也由无线接入、承载、核心网构成,因此网络切片端到端的隔离包括切片在接入网、承载网和核心网的隔离实现。

  接入网络由无线空口和基础处理资源构成。如图3所示,5G正交频分多址(OFDMA)系统中,无线频谱从时域、频域、空域维度被划分为不同的资源块,用于承载数据在无线空口的传输。无线频谱资源的隔离可以分为物理隔离和逻辑隔离。物理隔离是给网络切片分配专用频谱带宽,这时分配给切片的资源块是连续的。逻辑隔离是资源块按照不同切片的要求按需分配,这时分配给每个切片的资源块是不连续的,多个切片共享总的频谱资源。

  无线频谱资源无论采用物理隔离还是逻辑隔离,由于资源块的正交性,两者的隔离能力相当,但是物理隔离方式下,使用专用频谱的覆盖范围和覆盖效果通常不如共享频谱。当数据文件较大,或者用户处于小区边缘时,由于无法使用更宽的频谱传输,使得采用频谱物理隔离方式的切片往往无法达到很高的传输速率。此外,物理隔离方式实现成本较高,资源分配不够灵活,尤其是频谱租赁代价高昂。而逻辑隔离可以在共享频谱的情况下由基站调度器动态调配资源块以满足不同切片的传输要求,有利于提高频谱资源的利用率,因此,行业应用在无特殊要求的情况下,首选逻辑隔离方案来满足网络切片在无线空口侧的隔离要求。