5G 网络切片技术分级原则及架构Word文档格式.docx
- 文档编号:18262976
- 上传时间:2022-12-14
- 格式:DOCX
- 页数:18
- 大小:367.29KB
5G 网络切片技术分级原则及架构Word文档格式.docx
《5G 网络切片技术分级原则及架构Word文档格式.docx》由会员分享,可在线阅读,更多相关《5G 网络切片技术分级原则及架构Word文档格式.docx(18页珍藏版)》请在冰豆网上搜索。
面向普通行业用户,存在一定的隔离、业务质量保障需求,在连接管理等方面有定制化差异。
2)特需行业需求:
面向电网、党政军等具有高度隔离、或者高业务质量保障等特殊需求的用户,安全等级要求极高。
5G公众网与行业网既有共享,又有区隔。
公众网与行业网共享核心网硬件资源池、传输资源、无线资源,充分发挥网络规模效应;
此外,公众网与行业网用户层面可以分别采用物联网码号和公众网码号进行隔离,又可独立网元、独立资源、独立基站等,提供多样的灵活架构和配置方式。
行业网和公众网组网方式
总之,为应对上述两大类5G网络切片需求,综合考虑隔离性以及部署运营要求,5G网络切片分为公众网切片、行业网切片两个相对独立的网络。
本文针对性的推出不同能力的多等级切片解决5G用户的差异化需求。
根据网络现有能力,在不同切片等级内组合无线、传输、核心网和安全及运营等能力,匹配网络最有可能的部署策略,总共形成5种切片能力等级满足5G三大类需求。
网络切片分级说明
网络切片分级
切片等级
网络类型
等级划分
定义
资源定制
业务体验
资源隔离
安全
运营运维
定制化服务
L0
公众网
普通
基于5G公众网基础设施构建,无特殊需求
完全共享
基本安全
无
默认
L1
VIP
基于5G公众网基础设施构建,叠加定制化需求
完全共享(或部分独占)
eMBB增强安全
定制化
L2
行业网
基于5G行业网基础设施构建,提供增值服务
业务特性安全
可视
L3
特需
基于5G行业网基础设施构建,提供部分资源独占及高级服务
部分独占
业务特性高阶安全
可管
L4
基于5G行业专网设施构建,提供全部资源独占能力及可靠性服务。
完全独立
全面高阶安全
1、切片等级:
一共五个切片等级:
L0-L42、网络类型:
一共两种网络类型:
公众网,行业网3、等级划分:
公众网有两种等级:
普通、VIP;
行业网有三种等级:
普通、VIP和特需
4、切片分级定义:
为每一种切片等级进行具体的定义。
5、资源定制:
一共三种选项:
完全共享、部分独占和完全独立。
建设初期会将公众网和行业网区分开,具有天6、业务体验:
1)安全:
一共五种选项:
基本安全、eMBB增强安全、业务特性安全、业务特性高阶安全和全面高阶安全,根据不同切片等级及网络类型配套不同的安全能力。
2)运营运维:
无运营运维,行业可视和行业可管,具体分类说明详见3.3章。
3)定制化服务:
除公众网普通用户无特殊需求外,从L1-L4均需要不同的质量保障能力,需根据不同场景按需求提供。
除上述几大网络基础能力(网络资源、隔离性、运营运维、安全和SLA)外,不同的垂直行业还会有各自的定制化需求,需要网络切片提供定制化能力,如支持Non-IP传输、支持时钟同步、支持设备高处理速度等,都可以在上述每种能力等级基础上额外叠加。
当前切片分级白皮书主要针对eMBB和低时延切片,后续uRLLC及mMTC场景根据标准完善情况和现网成熟度再进行等级优化。
三、分级方案
我们已经将5G网络切片根据三种类型需求分为L0-L4五种能力等级,主要通过四个维度:
网络资源隔离性、运营运维、安全和定制化服务来区分每种能力等级。
本章将基于上述维度,从各个域分析,给出五种分级能力的详细方案。
1、5G网络切片隔离能力
1)无线切片隔离方案
无线侧当前能提供4组组合能力,根据切片等级划分原则进行映射。
以下是无线侧组合划分及映射原则:
无线切片隔离方案主要实现网络切片在NRRAN部分的资源隔离和保障。
根据业务的时延,可靠性,和隔离要求,可以分为切片级QoS保障、空口动态预留、静态预留。
结合不同业务场景的不同需求,这里给出典型的无线侧切片分级建议,以及每级隔离度可对应的典型行业和业务场景划分如下表。
5G无线网络切片分级建议
在无线空口保障中,绝大部分都是通过差异化QoS优先级方式进行业务保障,以提升频谱这类稀缺资源的使用效率,但随着5G逐步渗透到各行各业的生产和管理环节,就需要无线侧提供不同等级保障;
(一)无线空口资源调度可能的方式包括QoS(5QI)优先级、RB资源预留和载波隔离。
1、基于QoS的调度:
可以确保在资源有限的情况下,不同业务“按需定制”,为业务提供差异化服务质量的网络服务,包括业务调度权重、接纳门限、队列管理门限等,在资源抢占时,高优先级业务能够优先调度空口的资源,在资源拥塞时,高优先级业务也可能受影响;
2、RB资源预留:
允许多个切片共用同一个小区的RB资源。
根据各切片的资源需求,为特定切片预留分配一定量RB资源。
RB预留分为静态预留和动态共享。
3、载波隔离:
不同切片使用不同的载波小区,每个切片仅使用本小区的空口资源,切片间严格区分确保各自资源。
2)传输切片隔离方案
RAN与CN之间的移动传输网络根据对切片安全和可靠性不同诉求,分为硬隔离和软隔离,根据业务要求隔离度、时延和可靠性不同需求,传输承载技术包括:
FlexE/MTN接口隔离、MTN交叉隔离和VPN+Qos隔离不同技术。
(一)硬隔离(HardIsolation)技术
1、FlexE接口隔离:
FlexE/MTN接口是基于时隙调度将一个物理以太网端口划分为多个以太网弹性硬管道,在网络接口层面基于时隙进行业务接入,在设备层面基于以太网进行统计复用。
2、MTN交叉隔离:
基于以太网64/66B码块的交叉技术,在接口及设备内部实现TDM(时分复用)时隙隔离,从而实现极低的转发时延和隔离效果。
单跳设备转发时延最低5~10us,较传统分组交换设备较大提升。
FlexE/MTN接口隔离技术可以组合MTN交叉隔离技术或分组转发技术进行报文传输,每个FlexE/MTN接口的Qos调度是隔离的。
(二)软隔离(SoftIsolation)技术
VPN+Qos隔离:
VPN实现多种业务在一个物理基础网络上相互隔离。
VPN+Qos软隔离不能实现硬件、时隙层面的隔离,无法达到物理隔离效果。
传输侧当前能提供4组通道能力,根据切片等级划分原则进行映射。
以下是传输侧通道划分及映射:
5G传输网络切片分级建议
切片等级映射
传输切片类型
传输业务
应用行业
VPN共享+Qos调度
5G2C个人流量套餐业务
上网,OTT视频
VPN共享+FlexE/MTN接口隔离(隧道隔离)
5G2C个人游戏,CloudVR流量套餐业务,移动接入区域不固定的行业应用
云游戏,家庭CloudVR,行业应用:
移动救护,无人机,移动监控等
VPN隔离+FlexE/MTN接口隔离(隧道隔离)
固定接入区域的5G2B垂直行业生产类业务
电网,制造,医疗,矿山,港口,车联网
VPN隔离+FlexE/MTN接口隔离(隧道隔离)或者端到端MTN通道(MTN接口+MTN交叉,E2E物理隔离)
固定接入区域的5G2B垂直行业生活类业务
政企专线,抄表采集类,视频监控,媒体直播
端到端MTN通道(MTN接口+MTN交叉,E2E物理隔离)
固定2B白金专线业务(一跳直达)
政府/党政军/金融/证券专线,电网
1、VPN共享+Qos调度:
组合VPN共享+Qos调度技术,转发基于IP包转发,流量参与Qos调度;
2、VPN共享+FlexE/MTN接口隔离:
组合FlexE/MTN接口+Qos调度,业务接入基于时隙隔离,转发基于IP包转发,VPN共享,流量参与Qos调度,较传统分组交换设备隔离效果提升,但弱于MTN通道转发;
3、VPN隔离+FlexE/MTN接口隔离:
组合FlexE/MTN接口隔离+Qos调度,业务接入基于时隙隔离,转发基于IP包转发,VPN隔离,流量参与Qos调度,较传统分组交换设备隔离效果提升,但弱于MTN通道转发;
4、端到端MTN通道:
组合MTN接口和MTN交叉隔离技术,业务接入基于时隙隔离,转发基于MTN交叉技术,业务为物理隔离,单跳设备转发时延最低5~10us,较传统分组交换设备有较大提升。
3)核心网切片隔离方案
核心网切片隔离方案主要实现网络切片在5GCORE部分的资源和组网隔离与SLA保障。
其中资源视图主要针对为切片隔离分配的5G核心网硬件资源层、虚拟资源层和网元功能层;
而组网视图则主要针5G核心网数据中心内的交换机/路由器设备的隔离性。
核心网切片隔离方案
基于上述5G核心网的资源和组网两个视图,结合不同业务场景的不同隔离性需求,这里给出典型的隔离度分级建议,以及每级隔离度可对应的典型行业和业务场景如下表:
5G核心网络切片分级建议
核心网切片类型
关键隔离技术
典型业务场景
硬件资源层
虚拟资源层
网元功能层
DC内传输
公众网-普通
NA
默认2C基础业务(上网、视频等,尽力而为)
公众网-VIP
共享或部分独占
公众网优享业务:
运营商自营游戏加速、视频加速类业务
行业网-普通
游戏、视频、教育
游戏加速、4K/AR/VR直播、AR/VR教育
行业网-VIP
医疗、工业
医院本地网、工业园区本地网
行业网-特需
按需独占
公安、电力
公安应急网络、电力I/II区业务
1、硬件资源层:
主要指基于X86或者ARM架构的各种服务器,可支持“共享”和“独占”两种隔离模式,其中独占模式也就是我们常说的“物理隔离”;
2、虚拟资源池:
亦即网络功能虚拟化基础设施(NFVI:
NetworkFunctionsvirtualisationInfrastructure),通过虚拟机、容器等虚拟化技术,在通用性硬件上承载传统通信设备功能的软件处理,从而实现新业务的快速开发、部署和弹性缩扩容。
虚拟资源池同样可支持“共享”和“独占”两种隔离模式,其中独占模式也就是我们常说的“逻辑隔离”;
3、网元功能层:
如上所述,得益于3GPP标准定义的网络虚拟化(NFV:
NetworkFunctionsVirtualisation)和服务化架构(SBA:
ServiceBasedArchitecture),5G核心网的网络功能/虚拟网络功能层(NF/VNF:
NetworkFunction/VirtualNetworkFunction)同样可以支持不同层级的按需隔离模式,保证不同切片间的业务独立性:
独立性:
1)完全共享模式:
能力等同于2/3/4G网络的“一条跑道、尽力而为”,通常适用于公众网的普通消费者业务,对于安全隔离性无任何特殊需求;
2)部分独占模式:
结合行业实际需求,通过共享大部分网元功能+少量网元功能独占专享的方式,在安全隔离性需求和成本之间做到最佳平衡,从而能够满足大多数通用行业的网络切片分级需求。
3)完全独占模式:
能力等同于建设一张完整的行业专用核心网,安全隔离性最好、但建设和运营成本也最高。
因此仅适用于极个别需要超高安全隔离性而对成本不敏感的特殊行业。
5G核心网网元功能层隔离模式示意图
2、5G网络切片安全能力
为支持不同业务的端到端安全保护,需要灵活的安全架构,提供多层次的切片安全保障,当垂直行业用户有特定的安全需求时,可向运营商定制不同等级安全保护的网络切片。
差异化安全能力包括管理安全能力、网络设备资源安全能力。
5G网络切片安全能力
安全管理能力:
1)5G网络的安全态势可视能力:
包括应用层安全、基础设施安全、用户面/信令面/管理面的安全监控可视,实现人工+自动化的快速响应闭环,保障运营商网络和数据不受来自外部和内部用户的入侵和破坏,同时对内部人员误操作和非法操作进行审计监控,作为事后追溯的可靠证据来源,便与事后责任追踪。
可为行业客户提供切片安全态势感知portal。
2)安全服务:
针对不同行业用户的差异化安全诉求,网络切片提供可分级的安全运维能力和安全服务,例如:
企业可选择异常终端检测能力,可提供网络流量清洗,恶意网址检测,网络封堵服务。
此外,在客户有需求时,还可提供安全测试、安全培训、代码审计、等保测评、安全集成等安全服务。
1)接入鉴权:
5G切片可利用5G系统所提供的基础鉴权能力,即首次认证及统一认证框架(默认能力)实现用户接入鉴权并建立独立于接入技术的统一的密钥体系,5G同时提供可选的切片认证和二次认证机制,实现灵2)信令面及数据面保护:
终端和gNB之间、终端和AMF之间提供对信令的强制完整性保护和可选的加密保护,对用户数据可选的加密保护和可选的完整性保护。
对于语音、视频以及普通用户数据,空口不启用用户面完整性保护;
对于物联网数据业务,以及可靠性要求较高的特殊数据业务,空口启用用户面完整性保护。
3)隐私保护:
使用临时用户识别(5G-GUTI或5G-TMSI)替代国际移动用户识别号(SUPI)进行保护,为解决UE初始接入消息用户信息泄露的风险,可使用增强空口隐私保护,即SUPI加密(SUCI)机制。
4)SBA安全:
5GC功能模块间可通过NRF发现及授权服务,可选使用HTTPS保护传递信息安全并通过TLS双向身份认证防止假冒NF接入网络,实现SBA架构下的安全能力。
设备资源安全能力:
除了计算、存储、无线网络及承载网络资源的有效隔离和资源预留外,5G切片也强化了安全机制,满足安全分级诉求:
1)传输安全:
接入网与核心网之间N2/N3接口,UPF与企业云的N6接口,以及基站间Xn接口的传输安全继承了4G的IPSec安全保护方案,防止传输网络的数据泄密和非法篡改攻击。
2)外网设备访问安全:
在切片内NF与外网设备间,部署虚拟防火墙或物理防火墙,保护切片内网与外网的安全。
企业也可以选择部署智能防火墙,智能分析并识别N4消息和OM消息,仅相关的数据流量才能流入流出。
3)边缘计算安全:
当UPF下沉到行业用户的园区时,可提供边缘计算平台安全、通信安全、管控及监管等,高阶安全可提供边缘计算数据安全,能力开放安全等措施。
5G切片安全分级建议
切片安全等级
切片安全能力(分类依据)
管理安全能力
网络协议安全能力
设备资源安全能力
5G网络基本安全
运营商视图:
端到端5G网络的安全态势可视能力,最终用户不感知。
3GPP基础鉴权基础隐私保护信令完整性保护
资源共享安全
提供eMBB专属安全能力
3GPP基础鉴权基础隐私保护增强空口隐私防护信令完整性保护用户面加密保护SBA安全切片传输安全
资源共享安全外网设备访问安全
满足行业特性的基本安全需求
切片安全态势感知portal
3GPP基础鉴权基础隐私保护信令完整性保护用户面加密和完整性保护
资源预留,共享安全外网设备访问安全边缘计算安全
提供满足行业特性的高级安全需求,可选的接入控制能力
切片安全态势感知portal安全服务
3GPP基础鉴权基础隐私保护增强空口隐私防护加密及完保切片认证/二次认证SBA安全切片传输安全
资源预留,共享安全企业智能防火墙边缘计算高阶安全
高阶专网隔离+加密,数据不出园
切片安全态势感知portal边缘计算安全安全服务
3GPP基础鉴权基础隐私保护信令完整性保护用户面加密和完整性保护3GPP基础鉴权基础隐私保护增强空口隐私防护加密及完保切片认证/二次认证SBA安全切片传输安全
资源专享企业智能防火墙IPSec加密边缘计算安全
运营运维模式
切片运营运维按运营运维难度和系统开放性可将租户需要的运营管理活动分为2种场景。
切片运维运营场景
切片运维运营场景
场景
能力开放程度
可监控
可管理
租户Portal(KPI可视化)
通过租户Portal查看切片状态、查看UE信息、查看账单、获取SLA报表等
不涉及
租户Portal(KPI可视化+业务自助)
通过自服务Portal实现:
1、业务订购、修改、终止等;
2、UE生命周期管理(UE开销户、停复机等)3、简单故障诊断。
如实时诊断、历史信息关联诊断(非实时诊断)、位置服务等
API能力开放(KPI可视化+业务自助)
通过开放API,租户自己用APP实现切片业务监控
通过开放API,租户自己用APP实现切片业务管理
租户自服务Portal提供的功能如下:
1、切片业务监控。
租户自运营Portal支持租户监控和查看切片相关的各种信息,主要包括:
1)切片业务信息查询:
包括切片状态查询、切片SLA报表等。
2)切片账单查询:
与切片业务相关的账单信息。
3)UE基本信息查询:
包括UE状态查询、UE生命周期信息查询、UE套餐业务查询、UE群组信息查询等。
2、切片业务办理。
租户自运营Portal支持租户自助进行业务办理,主要包括:
1)切片业务自助办理:
如申请开通新的切片业务,或者在已开通切片中调整套餐内容,或者申请暂停/停止切片业务等。
2)UE生命周期管理:
包括UE的开户销户、停机复机、UE的业务套餐修改等。
3)业务自动化策略管理:
租户可对业务自助处理的策略进行设置,包括消息通知、业务变更、数据采集设置等。
3、切片业务保障。
租户自运营Portal支持租户自助做一些简单的故障诊断,包括:
1)实时诊断:
支持在线查询UE信息,根据UE实时状态信息来诊断切片业务故障。
2)非实时诊断:
支持关联查询相关历史信息(如UE状态信息、UDM等5GC网元开放的信息),用于综合评估故障原因。
3)位置信息服务:
支持查看UE或UE群的位置,辅助进行故障诊断。
4、切片API能力开放场景,对于希望自己开发APP的租户,可通过调用CSMF的能力开放API,自行实现上述所有运营能力。
1)监控能力:
包括运营能力开放、切片网络数据开放。
租户所需的网络能力可统一由CSMF接口。
2)业务办理能力:
包括租户自助服务所需的API。
注:
租户选择建议:
对期望聚焦于切片使用而不希望自己做太多运维投入的中小租户,建议优先选择租户自运营PORTAL完成自助服务或运营;
对于希望对切片业务有更多掌握,且有较多运维预算的大型租户,可通过切片API能力开放自建APP。
四、5G网络切片应用场景及安全需求
5G网络切片应用场景主要包括eMBB(增强移动宽带)、uRLLC(超可靠低时延通信)和mMTC(海量机器类通信)。
1、eMBB应用场景及安全需求
eMBB典型应用场景主要包括高清视频、AR/VR、海量实时数据交互等移动互联网业务,以及视频监控、移动医疗等物联网业务,5G时代,人们希望在体育赛事、演唱会等人员超密集场景下以及在高铁上等高速移动环境下也能获得连续的优质业务体验。
这些业务对5G网络的流量、传输速率都提出了很高的要求,包括高用户体验速率、高用户峰值速率、高清视频流的流畅播放、高速移动时大流量密度、高用户密度场景下的高数据速率、业务连续性、根据用户数自动扩缩容、优化用户面数据传输路径等。
eMBB应用场景的大流量、高速率对现有网络安全防护手段提出了挑战:
大流量、高速率带来网络边缘数据流量的大幅提升,现有网络中部署的防火墙、入侵检测系统、数据及信息保护系统等安全设备在流量检测、链路覆盖、数据存储、计算与处理能力等方面将面临较大挑战。
因此,需要对安全防护技术和设备进行演进和升级,如在现有防护手段中引入虚拟化、服务化技术等,以适应和应对大流量、高速率带来的冲击。
2、uRLLC应用场景及安全需求
uRLLC典型应用场景主要包括工业控制、远程医疗、自动驾驶、智能电网以及公共安全等。
这些业务对端到端时延、安全性和可靠性提出了很高的要求,包括毫秒级时延、高可靠性、低丢包率、低抖动、多样性安全机制以及业务隔离等。
uRLLC应用场景的低时延需求造成复杂的安全机制部署受限。
安全机制的部署,例如接入认证、数据传输安全保护、终端移动过程中切换、数据加解密等均会增加
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 5G 网络切片技术分级原则及架构 网络 切片 技术 分级 原则 架构