解析5G安全(一):5G网络架构
移动通信网络分为接入网、传输网和核心网,如图1所示。
1. 接入网:基站部署于接入网,主要负责UE(User Equipment,用户终端)在无线侧的接入与管理;
2. 传输网:由一系列运营商的交换和路由设备组成,主要用于传输基站与核心网之间的控制信令与用户数据;
3. 核心网:部署了一系列核心网网元,这些网元协同对UE进行鉴权、计费和移动性管理等
不同制式(2/3/4/5G)的移动通信网络,基站、核心网网元的名称和功能划分也各有不同,如4G中的 SGW(Serving Gateway,服务网关)和PGW(PDN Gateway,PDN网关)的用户面功能在5G中是由专门的网元UPF(User Plane Function,用户面功能)实现。
1. UE选择某个制式(如4G)的网络,发起接入请求;
2. 基站接收UE的接入请求,为UE建立无线承载(相当于UE在无线侧的传输通道),因在基站侧不存储UE的签约信息,故无法对UE进行认证和鉴权,因此将请求转发到核心网;
3. 核心网对UE进行认证和鉴权,并为UE分配IP和核心网承载(相当于UE在核心网处的传输通道);
4. 基站接收到核心网的响应后,对无线承载进行重配置,将响应转发给UE;
5. UE接收到基站的响应后,通过分配的IP和承载(无线承载和核心网承载)接入外部网络
根据3GPP的规划,5G有两种组网模式:SA(Standalone,独立组网)和NSA(Non-Standalone,非独立组网)。独立与非在于是否利用4G基础设施进行部署。SA组网模式需要新建全套5G基础设施,而NSA组网会使用部分4G基础设施。
1NSA组网
图3 Option3和Option7方案
表1 Option3和Option7比较
NSA方案 | 相同点 | 不同点 |
Option3 | 控制锚点为4G基站 | 核心网为升级后的4G核心网 |
Option7 | 核心网为5G核心网 |
Option3又包括Option3、Option3a和Option3x三个子方案,如图4所示。三种子方案的划分依据为数据分流点(即对下行的用户面流量进行分流的位置)。数据分流点根据分流策略决定某些流量通过4G基站发送到UE,某些流量通过5G基站发送到UE。Option3的分流点为4G基站,即由eNodeB按照分流策略将下行流量直接发送给UE,或eNodeB在PDCP(Packet Data Convergence Protocol,分组数据汇聚协议)层将流量分流给5G基站gNB。Option3a的分流点为核心网,Option3x的分流点为gNB。现阶段多数运营商选择Option3x进行5G组网,如图5所示。这不仅是因为Option3x的组网方式更为简单,也因为Option3x可以充分释放gNB的处理能力。
图4 Option3、Option3a和Option3x
图5 现网Option3x方案
2SA组网
5G网络架构由接入网、传输网和核心网组成。本文中,我们将部署在接入网的数据中心称之为接入边缘DC,而将部署在传输网边缘的数据中心称之为传输边缘DC。边缘DC(接入边缘DC和传输边缘DC)可以承载核心网的UPF(User Plane Function,用户面功能),从而使核心网与外网的IP连接下移,降低服务时延。在核心DC处,部署有NFV(Network Function Virtualization,虚拟网络功能)化的核心网控制面网元。整个网络的流量通过SDN(Software Defined-Networking,软件定义网络)控制器进行引流与疏导。
5G中最引人注目的特点莫过于网络切片(Network Slicing)。网络切片的概念详见第三章,总体而言,它可以为不同的5G垂直行业应用提供差异化的服务质量保障。为了便于管理切片,5G网络还需要增加切片管理层。切片管理层一方面需要对5G业务进行配置与管理,另一方面需要对MEC、NFV和SDN等资源进行统一的编排与管理。
下面笔者将分别从接入网、传输网和核心网三个部分阐述5G的网络架构。
图6 SA 5G网络架构
2.1.1 网络结构
5G基站gNB分为三个部分,分别为AAU(无线接入单元)、DU(Distributed Unit,分布单元)和CU(Centralized Unit,集中单元)。每个单元处理协议栈的不同部分,如图7所示:
AAU负责射频和/或物理层的低层部分(由5G选择Option7或Option8方案决定)
DU负责MAC(Media Access Control,介质访问控制)层和RLC(Radio Link Control,无线链路层控制协议)层
CU负责PDCP和/或RRC(Radio Resource Control,无线资源控制)层(由上层Payload是用户面数据还是控制信令决定)
图7 AAU、DU和CU划分
2.1.2 部署方案
如图8和图9所示,CU属于可云化部分,而DU属于难以云化部分。这是因为,DU处理的部分偏向于底层、对实时性要求较高、对专用硬件设备的依赖性大,因而不容易云化[4];而CU对实时性要求不高、对专用硬件设备的依赖性较小,因而更容易云化。
在图6总架构图中,我们倾向于将CU云化,并与分布式应用联合部署,这样一方面可以降低服务时延,另一方面也有利于CU的灵活调度,实现接入侧的网络切片。
图8 方案一
图9 方案二
2.1.3 数据包格式
当传输控制信令时,UE发出的数据包格式如图10所示。其中,NAS(Non-Access-Stratum,非接入层)协议用于UE的移动性管理和会话管理。基站在接收到UE发送的数据包后,提取NAS,构造SCTP(Stream Control Transmission Protocol,流控制传输协议)数据包,然后将数据包转发到核心网网元AMF(Access and Mobility Management Function,接入和移动性管理功能)。从基站的协议栈可知,UE的Payload(即NAS)在基站是透传的。NAS包含用户的身份信息,故在基站侧无法对UE进行鉴权。
图10 UE发送控制信令[5]
当传输用户数据时,UE发出的数据包格式如图11所示。与4G数据面协议不同的是,5G引入了SDAP(Service Data Adaptation Protocol)。SDAP层在封装IP数据包时,会为这些数据包添加指定的QoS标识符,从而实现基于IP流的QoS控制。与4G用户面协议一致的是,与传输控制信令相比,用户面数据不进行RRC层处理。基站在接收到UE发送的数据包后,提取Payload(即User Plane PDU),构造GTP-U数据包,然后将数据包转发到核心网处网元UPF处。
2.2.1 传输网技术瓶颈
1. 控制面复杂:MPLS需要独立的控制面信令用于标签的分配和管理,如LDP、RSVP、MP-BGP等;
2. 配置效率低:转发路径变更时需要为端到端连接路径上的所有节点重新下发配置信息;
3. 扩展难:每个LSR(Label Switch Router,标签交换路由器)都需要FEC(Forwarding Equivalence Class,转发等价类)维护连接信息。
因此,在5G传输网流量灵活调度的要求下,MPLS面临很大的挑战。
2.2.2 分段路由技术
1.控制面简单:虽然有的实现需要独立的信令协议,但不需要逐跳请求和分配标签;
2. 效率较高:路径变更时只需要修改首节点的路径信息(对于MPLS-SR是标签栈,对于SRv6来说Ipv6头部扩展中的分段路由头部),无需为所有节点下发配置信息;
3. 扩展简单:中间节点只需要转发,不用维护连接的状态。
SR技术分为两种。基于MPLS实现的SR技术称为MPLS-SR。基于IPv6头部扩展实现的SR技术称为SRv6。他们的工作原理相同,都是控制器进行路径计算,下发结果到入节点,入节点将计算结果通过标签栈(MPLS-SR)或IPv6扩展(SRv6)添加到数据包中。
2.2.3 数据包格式
图12 传输网上的SRv6
2.3.1 网络架构
根据[1],5G核心网由一系列核心网网元构成,包括但不仅限于以下网元:
AMF(Access and Mobility Management Function,接入和移动性管理功能):负责用户接入和移动性管理、SMF选择等;
SMF(Session Management Function,会话管理功能):负责会话管理、UE IP地址分配和承载QoS控制等;
UPF(User Plane Function,用户面功能):连接外部网络,负责数据包的路由;
PCF(Policy Control function,策略控制功能):负责签约策略的下发等功能;
UDM(Unified Data Management,统一数据管理):负责管理用户数据;
AUSF(Authentication Server Function,鉴权服务器网元):实现对用户的鉴权和认证;
NSSF(Network Slice Selection Function,网络切片选择功能) :负责网络切片的选择;
与4G相比,5G的核心网整体架构有如下几点变化:
控制面和用户面分离:4G网关SGW和PGW的用户面功能融合成了5G的UPF,如图13所示。而控制面功能则成为了5G SMF网元的一部分。这么做的好处在于,一方面UPF可以专注于转发,提升转发效率,另一方面控制面位于核心DC处(安全性可靠性得到保障),而UPF可以下沉到边缘侧,与MEC结合,降低传输时延、减少带宽压力。
控制面功能解耦:有别于4G网络中存在着的网元功能强耦合,部分网元还存在功能重叠的情况,5G将4G网元的控制面功能进行拆分,同时将相同的控制面功能进行合并,由专门的网元实现。如图13所示,4G网元MME的控制面可以拆分为会话管理功能、接入管理功能等。4G网元SGW和PGW的控制面也负责会话管理。在5G中,将MME的会话管理功能、SGW和PGW的会话管理功能提取出来,合并成单一的会话管理功能SMF。
控制面网元间使用服务化接口进行通信:5G网络功能可以在NRF(NF Repository Function,NF贮存功能)处登记自身的服务能力,同时订阅其他网络功能的服务能力。网络功能之间使用基于TCP/HTTP 2.0的服务化接口进行通信,如图14所示。
图13 控制面用户分离、控制面解耦
图14 网元间使用服务化接口通信
2.3.2 部署场景
2.3.3 数据包格式
图15 核心网接口[5]
网络切片的实现离不开SDN和NFV技术。SDN技术能够提供端到端的差异化流量控制,而NFV技术使得5G网元能够在整个5G网络中灵活部署。下面,我们选取了两个应用场景来分析不同场景下的切片部署方式,如图16所示。
场景一
大规模物联网连接(如远程抄表):切片的部署如图16的绿色部分切片1所示。大规模物联网连接对连接数有特殊的要求,但对带宽和时延要求不高。因此,在该切片中,我们可以将物联网应用和核心网用户面部署于核心网上,将CU部署于传输边缘DC上。这是因为当应用的部署位置越上移(靠近核心网),应用的服务范围越广,同时该场景对于时延要求不高,因此无需将物联网应用部署于边缘处。
场景二
VR(Virtual Reality,虚拟现实):切片的部署如图16的红色部分切片2所示。[6]提到实时CG类云渲染VR需要低于5ms的网络时延和高达100 Mbps至9.4 Gbps的带宽。因此,该类应用至少应该下沉至边缘DC处,最好是部署在基站侧,以满足超低时延和大带宽需求。
图16 两种场景的切片部署方案
需要说明的是MEC和边缘计算的关系。MEC是边缘计算的子集,可以部署在接入网、传输网的边缘侧、核心网和外部网络之间。边缘计算需要数据中心承载,在本文中,我们将MEC部署于边缘DC上(接入边缘DC和传输边缘DC)。
ETSI发布的5G MEC白皮书[8]中,MEC的部署方案可以分为在UPF之后或UPF之前两种场景。
图17 MEC平台
1MEC位于UPF之后
图18 MEC位于UPF之后
该部署方案的优点在于经过UPF转发出的流量已经剥离掉了外部的GTP报头,MEC平台可以直接处理IP数据包,而不需要再进行数据包的拆解与封装。
但是,该部署方案也存在着明显的不足。首先,因为基站与UPF之间存在回传网路,故MEC并不能减轻回传网络的带宽压力。此外,某些超低时延的场景,服务时延也难以得到保障。
2MEC位于UPF之前
该部署方案的优点在于MEC能够提供超低时延的服务、同时降低回传带宽压力,且能够利用实时的接入网侧信息进行链路优化。
缺点在于MEC需要对从CU侧截获到的GTP数据包进行解封与封装,根据上层(MEC控制器)下发的转发策略进行流量转发。同时MEC处需要对流量进行计费,但因为MEC远离核心网,UPF无法对MEC处的流量进行管控(尤其在漫游场景下),可能会存在虚假计费的情况(针对该情况,文献[9]有进行相关的讨论)。此外,因为下沉到基站侧,MEC服务的范围变小,当UE进行移动时,可能需要多个MEC平台进行交互与协作,从而增加5G网络的移动性管理的复杂性。
图19 MEC位于UPF之前
图20 5G网络安全问题
为了解决5G中存在的这些安全问题,一个常用的方式是部署安全服务链。安全服务链按照一定的顺序串接各种虚拟(或物理)安全设备,对5G网络切片进行安全防护,如图21所示。图中vSF(Virtualized Security Function,虚拟安全功能)泛指各种安全设备,如防火墙、WAF、IPS、IDS等。根据用户需求,vSF部署于5G中的不同位置,可以专属于某一个网络切片,也可以是多个切片共用。当vSF部署于DU和CU之间时,可以处理来自无线侧的DDoS;当vSF部署于UPF和外部网络之间时,可以处理来自外部网络(如Internet)的攻击;当vSF部署于控制面切片内,可以监听网元间的流量。通过在5G网络中引入安全服务链,可以有效提高整个网络的安全性和可靠性。
图21 5G安全服务链
参考链接:
[1].3GPP TS 23.501
[2].迈向5G C-RAN:需求、架构与挑战白皮书
[3].中国联通网络切片白皮书
[4].5G网络架构与无线网虚拟化研究
[5].3GPP TS 38.300
[6].华为5G时代十大应用场景白皮书
[7].ETSI GS MEC 003
[8].ETSI White Paper No. 28 MEC in 5G networks
[9].NGMN: Mobile Edge Computing/Low Latency/Consistent User Experience
内容编辑:星云实验室 吴宏晶 责任编辑:肖晴
往期回顾
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。
关于我们
绿盟科技研究通讯由绿盟科技创新中心负责运营,绿盟科技创新中心是绿盟科技的前沿技术研究部门。包括云安全实验室、安全大数据分析实验室和物联网安全实验室。团队成员由来自清华、北大、哈工大、中科院、北邮等多所重点院校的博士和硕士组成。
绿盟科技创新中心作为“中关村科技园区海淀园博士后工作站分站”的重要培养单位之一,与清华大学进行博士后联合培养,科研成果已涵盖各类国家课题项目、国家专利、国家标准、高水平学术论文、出版专业书籍等。
我们持续探索信息安全领域的前沿学术方向,从实践出发,结合公司资源和先进技术,实现概念级的原型系统,进而交付产品线孵化产品并创造巨大的经济价值。
长按上方二维码,即可关注我们