中國(guó)5G網(wǎng)絡(luò)切片簡(jiǎn)介、分級(jí)原則及架構(gòu)、5G網(wǎng)絡(luò)切片應(yīng)用場(chǎng)景、安全需求及產(chǎn)業(yè)應(yīng)用建議分析

中國(guó)5G網(wǎng)絡(luò)切片簡(jiǎn)介、分級(jí)原則及架構(gòu)、5G網(wǎng)絡(luò)切片應(yīng)用場(chǎng)景、安全需求及產(chǎn)業(yè)應(yīng)用建議分析

一、5G網(wǎng)絡(luò)切片簡(jiǎn)介

1、網(wǎng)絡(luò)切片概述

網(wǎng)絡(luò)切片是指為服務(wù)某個(gè)行業(yè)或某種應(yīng)用場(chǎng)景，從網(wǎng)絡(luò)中選取特定的特性和功能，定制出一個(gè)邏輯上獨(dú)立的虛擬專用網(wǎng)絡(luò)。一個(gè)虛擬專用網(wǎng)絡(luò)就是一個(gè)切片，不同切片之間相互隔離。也就是說(shuō)，在同一個(gè)物理網(wǎng)絡(luò)上切分出多個(gè)功能、特性各不相同的邏輯網(wǎng)絡(luò)，同時(shí)支持多種業(yè)務(wù)場(chǎng)景，相當(dāng)于為每一個(gè)場(chǎng)景專門搭建一個(gè)網(wǎng)絡(luò)。每個(gè)5G端到端網(wǎng)絡(luò)切片都可以提供一套完整網(wǎng)絡(luò)的功能，包括接入網(wǎng)功能和核心網(wǎng)功能。

網(wǎng)絡(luò)切片技術(shù)使得網(wǎng)絡(luò)運(yùn)營(yíng)商能夠在統(tǒng)一的基礎(chǔ)設(shè)施上為多個(gè)行業(yè)用戶提供滿足其定制化需求的多個(gè)專用虛擬網(wǎng)絡(luò)，典型的網(wǎng)絡(luò)切片架構(gòu)如圖1所示。網(wǎng)絡(luò)切片具有的特點(diǎn)：一是可根據(jù)業(yè)務(wù)需求對(duì)網(wǎng)絡(luò)功能進(jìn)行定制裁剪和靈活組網(wǎng)，從而優(yōu)化業(yè)務(wù)流程和數(shù)據(jù)路由；二是切片生命周期結(jié)束之后可以將資源釋放給其他虛擬網(wǎng)絡(luò)，實(shí)現(xiàn)網(wǎng)絡(luò)資源的動(dòng)態(tài)分配和靈活調(diào)整，提高網(wǎng)絡(luò)資源利用率；三是可以隔離不同業(yè)務(wù)場(chǎng)景所需的網(wǎng)絡(luò)資源，提供網(wǎng)絡(luò)資源保障，從而增強(qiáng)整體網(wǎng)絡(luò)的健壯性和可靠性；四是可提供差異化、端到端的安全機(jī)制，滿足各應(yīng)用場(chǎng)景不同的安全需求；同時(shí)，良好的切片間隔離還可以保障任何一個(gè)切片發(fā)生故障都不會(huì)影響到其他切片，增強(qiáng)網(wǎng)絡(luò)的安全性。

傳統(tǒng)網(wǎng)絡(luò)通常是一種架構(gòu)滿足所有業(yè)務(wù)需求，而5G時(shí)代，利用網(wǎng)絡(luò)切片技術(shù)，可以做到為每種有特定需求的業(yè)務(wù)量身定做專用虛擬網(wǎng)絡(luò)（切片），其中特定需求包括功能需求（如優(yōu)先級(jí)、計(jì)費(fèi)、策略控制、安全、移動(dòng)性等）、性能需求（如時(shí)延、移動(dòng)性、可靠性、速率等）、服務(wù)對(duì)象（如所有用戶、漫游用戶、虛擬運(yùn)營(yíng)商等等。

因此，網(wǎng)絡(luò)切片技術(shù)將從根本上改變傳統(tǒng)的移動(dòng)通信網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)規(guī)劃及部署模式，同時(shí)也給運(yùn)營(yíng)商開(kāi)拓商業(yè)模式帶來(lái)新的契機(jī)，如給垂直行業(yè)提供網(wǎng)絡(luò)切片服務(wù)，使其可在給定的權(quán)限范圍內(nèi)控制運(yùn)營(yíng)商的網(wǎng)絡(luò)切片，實(shí)現(xiàn)定制化服務(wù)。

2、網(wǎng)絡(luò)切片實(shí)現(xiàn)方案

一個(gè)UE（用戶設(shè)備）通過(guò)5G接入網(wǎng)可以同時(shí)連接到一個(gè)或多個(gè)網(wǎng)絡(luò)切片（最多8個(gè)）。服務(wù)于UE的AMF（接入管理功能）在邏輯上屬于為UE服務(wù)的每個(gè)網(wǎng)絡(luò)切片，即該AMF對(duì)于服務(wù)于UE的網(wǎng)絡(luò)切片來(lái)說(shuō)屬于共享網(wǎng)絡(luò)功能。同時(shí)，由于切片隔離，AMF可能只為部分切片服務(wù)，因此終端發(fā)起注冊(cè)請(qǐng)求時(shí)，接入網(wǎng)需要先進(jìn)行初始AMF選擇，然后AMF進(jìn)一步進(jìn)行切片選擇，某些場(chǎng)景下可能會(huì)觸發(fā)AMF的重選流程來(lái)適配終端希望連接的切片。注冊(cè)完成后，AMF會(huì)通知UE其可以接入的切片信息。當(dāng)AMF接收到來(lái)自UE的PDU會(huì)話建立請(qǐng)求消息時(shí)，該AMF會(huì)進(jìn)一步發(fā)起網(wǎng)絡(luò)切片中的SMF發(fā)現(xiàn)和選擇過(guò)程。

二、分級(jí)原則及架構(gòu)

《2020-2026年中國(guó)5G網(wǎng)絡(luò)建設(shè)行業(yè)發(fā)展模式及投資價(jià)值研究報(bào)告》數(shù)據(jù)顯示：不同于傳統(tǒng)的4G網(wǎng)絡(luò)“一條管道、盡力而為”形式，5G網(wǎng)絡(luò)切片旨在基于統(tǒng)一基礎(chǔ)設(shè)施和統(tǒng)一的網(wǎng)絡(luò)提供多種端到端邏輯“專用網(wǎng)絡(luò)”，最優(yōu)適配行業(yè)用戶的各種業(yè)務(wù)需求。從性能指標(biāo)、功能差異、對(duì)網(wǎng)絡(luò)的需求、運(yùn)維模式等方面分析后，可以將用戶對(duì)5G需求歸納為2大類：1.公眾網(wǎng)用戶需求：全面繼承4G時(shí)為個(gè)人提供的業(yè)務(wù)，保證一致甚至更好的用戶體驗(yàn)。2.行業(yè)網(wǎng)用戶需求：1）普通行業(yè)需求：面向普通行業(yè)用戶，存在一定的隔離、業(yè)務(wù)質(zhì)量保障需求，在連接管理等方面有定制化差異。2）特需行業(yè)需求：面向電網(wǎng)、黨政軍等具有高度隔離、或者高業(yè)務(wù)質(zhì)量保障等特殊需求的用戶，安全等級(jí)要求極高。5G公眾網(wǎng)與行業(yè)網(wǎng)既有共享，又有區(qū)隔。公眾網(wǎng)與行業(yè)網(wǎng)共享核心網(wǎng)硬件資源池、傳輸資源、無(wú)線資源，充分發(fā)揮網(wǎng)絡(luò)規(guī)模效應(yīng)；此外，公眾網(wǎng)與行業(yè)網(wǎng)用戶層面可以分別采用物聯(lián)網(wǎng)碼號(hào)和公眾網(wǎng)碼號(hào)進(jìn)行隔離，又可獨(dú)立網(wǎng)元、獨(dú)立資源、獨(dú)立基站等，提供多樣的靈活架構(gòu)和配置方式。

總之，為應(yīng)對(duì)上述兩大類5G網(wǎng)絡(luò)切片需求，綜合考慮隔離性以及部署運(yùn)營(yíng)要求，5G網(wǎng)絡(luò)切片分為公眾網(wǎng)切片、行業(yè)網(wǎng)切片兩個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)。本文針對(duì)性的推出不同能力的多等級(jí)切片解決5G用戶的差異化需求。根據(jù)網(wǎng)絡(luò)現(xiàn)有能力，在不同切片等級(jí)內(nèi)組合無(wú)線、傳輸、核心網(wǎng)和安全及運(yùn)營(yíng)等能力，匹配網(wǎng)絡(luò)最有可能的部署策略，總共形成5種切片能力等級(jí)滿足5G三大類需求。

1、切片等級(jí)：一共五個(gè)切片等級(jí)：L0-L42、網(wǎng)絡(luò)類型：一共兩種網(wǎng)絡(luò)類型：公眾網(wǎng)，行業(yè)網(wǎng)3、等級(jí)劃分：公眾網(wǎng)有兩種等級(jí)：普通、VIP；行業(yè)網(wǎng)有三種等級(jí)：普通、VIP和特需

4、切片分級(jí)定義：為每一種切片等級(jí)進(jìn)行具體的定義。5、資源定制：一共三種選項(xiàng)：完全共享、部分獨(dú)占和完全獨(dú)立。建設(shè)初期會(huì)將公眾網(wǎng)和行業(yè)網(wǎng)區(qū)分開(kāi)，具有天6、業(yè)務(wù)體驗(yàn)：1）安全：一共五種選項(xiàng)：基本安全、eMBB增強(qiáng)安全、業(yè)務(wù)特性安全、業(yè)務(wù)特性高階安全和全面高階安全，根據(jù)不同切片等級(jí)及網(wǎng)絡(luò)類型配套不同的安全能力。2）運(yùn)營(yíng)運(yùn)維：一共三種選項(xiàng)：無(wú)運(yùn)營(yíng)運(yùn)維，行業(yè)可視和行業(yè)可管，具體分類說(shuō)明詳見(jiàn)3.3章。3）定制化服務(wù)：除公眾網(wǎng)普通用戶無(wú)特殊需求外，從L1-L4均需要不同的質(zhì)量保障能力，需根據(jù)不同場(chǎng)景按需求提供。除上述幾大網(wǎng)絡(luò)基礎(chǔ)能力（網(wǎng)絡(luò)資源、隔離性、運(yùn)營(yíng)運(yùn)維、安全和SLA）外，不同的垂直行業(yè)還會(huì)有各自的定制化需求，需要網(wǎng)絡(luò)切片提供定制化能力，如支持Non-IP傳輸、支持時(shí)鐘同步、支持設(shè)備高處理速度等，都可以在上述每種能力等級(jí)基礎(chǔ)上額外疊加。當(dāng)前切片分級(jí)白皮書(shū)主要針對(duì)eMBB和低時(shí)延切片，后續(xù)uRLLC及mMTC場(chǎng)景根據(jù)標(biāo)準(zhǔn)完善情況和現(xiàn)網(wǎng)成熟度再進(jìn)行等級(jí)優(yōu)化。

三、分級(jí)方案

我們已經(jīng)將5G網(wǎng)絡(luò)切片根據(jù)三種類型需求分為L(zhǎng)0-L4五種能力等級(jí)，主要通過(guò)四個(gè)維度：網(wǎng)絡(luò)資源隔離性、運(yùn)營(yíng)運(yùn)維、安全和定制化服務(wù)來(lái)區(qū)分每種能力等級(jí)。本章將基于上述維度，從各個(gè)域分析，給出五種分級(jí)能力的詳細(xì)方案。

1、5G網(wǎng)絡(luò)切片隔離能力

1）無(wú)線切片隔離方案

無(wú)線側(cè)當(dāng)前能提供4組組合能力，根據(jù)切片等級(jí)劃分原則進(jìn)行映射。以下是無(wú)線側(cè)組合劃分及映射原則：無(wú)線切片隔離方案主要實(shí)現(xiàn)網(wǎng)絡(luò)切片在NRRAN部分的資源隔離和保障。根據(jù)業(yè)務(wù)的時(shí)延，可靠性，和隔離要求，可以分為切片級(jí)QoS保障、空口動(dòng)態(tài)預(yù)留、靜態(tài)預(yù)留。結(jié)合不同業(yè)務(wù)場(chǎng)景的不同需求，這里給出典型的無(wú)線側(cè)切片分級(jí)建議，以及每級(jí)隔離度可對(duì)應(yīng)的典型行業(yè)和業(yè)務(wù)場(chǎng)景劃分如下表。

在無(wú)線空口保障中，絕大部分都是通過(guò)差異化QoS優(yōu)先級(jí)方式進(jìn)行業(yè)務(wù)保障，以提升頻譜這類稀缺資源的使用效率，但隨著5G逐步滲透到各行各業(yè)的生產(chǎn)和管理環(huán)節(jié)，就需要無(wú)線側(cè)提供不同等級(jí)保障；(一)無(wú)線空口資源調(diào)度可能的方式包括QoS（5QI）優(yōu)先級(jí)、RB資源預(yù)留和載波隔離。1、基于QoS的調(diào)度：可以確保在資源有限的情況下，不同業(yè)務(wù)“按需定制”，為業(yè)務(wù)提供差異化服務(wù)質(zhì)量的網(wǎng)絡(luò)服務(wù)，包括業(yè)務(wù)調(diào)度權(quán)重、接納門限、隊(duì)列管理門限等，在資源搶占時(shí)，高優(yōu)先級(jí)業(yè)務(wù)能夠優(yōu)先調(diào)度空口的資源，在資源擁塞時(shí)，高優(yōu)先級(jí)業(yè)務(wù)也可能受影響；2、RB資源預(yù)留：允許多個(gè)切片共用同一個(gè)小區(qū)的RB資源。根據(jù)各切片的資源需求，為特定切片預(yù)留分配一定量RB資源。RB預(yù)留分為靜態(tài)預(yù)留和動(dòng)態(tài)共享。3、載波隔離：不同切片使用不同的載波小區(qū)，每個(gè)切片僅使用本小區(qū)的空口資源，切片間嚴(yán)格區(qū)分確保各自資源。

2）傳輸切片隔離方案

RAN與CN之間的移動(dòng)傳輸網(wǎng)絡(luò)根據(jù)對(duì)切片安全和可靠性不同訴求，分為硬隔離和軟隔離，根據(jù)業(yè)務(wù)要求隔離度、時(shí)延和可靠性不同需求，傳輸承載技術(shù)包括：FlexE/MTN接口隔離、MTN交叉隔離和VPN+Qos隔離不同技術(shù)。

(一)硬隔離(HardIsolation)技術(shù)

1、FlexE接口隔離：FlexE/MTN接口是基于時(shí)隙調(diào)度將一個(gè)物理以太網(wǎng)端口劃分為多個(gè)以太網(wǎng)彈性硬管道，在網(wǎng)絡(luò)接口層面基于時(shí)隙進(jìn)行業(yè)務(wù)接入，在設(shè)備層面基于以太網(wǎng)進(jìn)行統(tǒng)計(jì)復(fù)用。2、MTN交叉隔離：基于以太網(wǎng)64/66B碼塊的交叉技術(shù)，在接口及設(shè)備內(nèi)部實(shí)現(xiàn)TDM（時(shí)分復(fù)用）時(shí)隙隔離，從而實(shí)現(xiàn)極低的轉(zhuǎn)發(fā)時(shí)延和隔離效果。單跳設(shè)備轉(zhuǎn)發(fā)時(shí)延最低5~10us，較傳統(tǒng)分組交換設(shè)備較大提升。FlexE/MTN接口隔離技術(shù)可以組合MTN交叉隔離技術(shù)或分組轉(zhuǎn)發(fā)技術(shù)進(jìn)行報(bào)文傳輸，每個(gè)FlexE/MTN接口的Qos調(diào)度是隔離的。

(二)軟隔離(SoftIsolation)技術(shù)

VPN+Qos隔離：VPN實(shí)現(xiàn)多種業(yè)務(wù)在一個(gè)物理基礎(chǔ)網(wǎng)絡(luò)上相互隔離。VPN+Qos軟隔離不能實(shí)現(xiàn)硬件、時(shí)隙層面的隔離，無(wú)法達(dá)到物理隔離效果。傳輸側(cè)當(dāng)前能提供4組通道能力，根據(jù)切片等級(jí)劃分原則進(jìn)行映射。以下是傳輸側(cè)通道劃分及映射：

1、VPN共享+Qos調(diào)度：組合VPN共享+Qos調(diào)度技術(shù),轉(zhuǎn)發(fā)基于IP包轉(zhuǎn)發(fā)，流量參與Qos調(diào)度；2、VPN共享+FlexE/MTN接口隔離：組合FlexE/MTN接口+Qos調(diào)度，業(yè)務(wù)接入基于時(shí)隙隔離，轉(zhuǎn)發(fā)基于IP包轉(zhuǎn)發(fā)，VPN共享，流量參與Qos調(diào)度，較傳統(tǒng)分組交換設(shè)備隔離效果提升，但弱于MTN通道轉(zhuǎn)發(fā)；3、VPN隔離+FlexE/MTN接口隔離：組合FlexE/MTN接口隔離+Qos調(diào)度，業(yè)務(wù)接入基于時(shí)隙隔離，轉(zhuǎn)發(fā)基于IP包轉(zhuǎn)發(fā)，VPN隔離，流量參與Qos調(diào)度，較傳統(tǒng)分組交換設(shè)備隔離效果提升，但弱于MTN通道轉(zhuǎn)發(fā)；4、端到端MTN通道：組合MTN接口和MTN交叉隔離技術(shù)，業(yè)務(wù)接入基于時(shí)隙隔離，轉(zhuǎn)發(fā)基于MTN交叉技術(shù)，業(yè)務(wù)為物理隔離，單跳設(shè)備轉(zhuǎn)發(fā)時(shí)延最低5~10us，較傳統(tǒng)分組交換設(shè)備有較大提升。

3）核心網(wǎng)切片隔離方案

核心網(wǎng)切片隔離方案主要實(shí)現(xiàn)網(wǎng)絡(luò)切片在5GCORE部分的資源和組網(wǎng)隔離與SLA保障。其中資源視圖主要針對(duì)為切片隔離分配的5G核心網(wǎng)硬件資源層、虛擬資源層和網(wǎng)元功能層；而組網(wǎng)視圖則主要針5G核心網(wǎng)數(shù)據(jù)中心內(nèi)的交換機(jī)/路由器設(shè)備的隔離性。

基于上述5G核心網(wǎng)的資源和組網(wǎng)兩個(gè)視圖，結(jié)合不同業(yè)務(wù)場(chǎng)景的不同隔離性需求，這里給出典型的隔離度分級(jí)建議，以及每級(jí)隔離度可對(duì)應(yīng)的典型行業(yè)和業(yè)務(wù)場(chǎng)景如下表：

1、硬件資源層：主要指基于X86或者ARM架構(gòu)的各種服務(wù)器，可支持“共享”和“獨(dú)占”兩種隔離模式，其中獨(dú)占模式也就是我們常說(shuō)的“物理隔離”；2、虛擬資源池：亦即網(wǎng)絡(luò)功能虛擬化基礎(chǔ)設(shè)施（NFVI：NetworkFunctionsvirtualisationInfrastructure），通過(guò)虛擬機(jī)、容器等虛擬化技術(shù)，在通用性硬件上承載傳統(tǒng)通信設(shè)備功能的軟件處理，從而實(shí)現(xiàn)新業(yè)務(wù)的快速開(kāi)發(fā)、部署和彈性縮擴(kuò)容。虛擬資源池同樣可支持“共享”和“獨(dú)占”兩種隔離模式，其中獨(dú)占模式也就是我們常說(shuō)的“邏輯隔離”；3、網(wǎng)元功能層：如上所述，得益于3GPP標(biāo)準(zhǔn)定義的網(wǎng)絡(luò)虛擬化（NFV：NetworkFunctionsVirtualisation）和服務(wù)化架構(gòu)（SBA：ServiceBasedArchitecture），5G核心網(wǎng)的網(wǎng)絡(luò)功能/虛擬網(wǎng)絡(luò)功能層（NF/VNF：NetworkFunction/VirtualNetworkFunction）同樣可以支持不同層級(jí)的按需隔離模式，保證不同切片間的業(yè)務(wù)獨(dú)立性：獨(dú)立性：1）完全共享模式：能力等同于2/3/4G網(wǎng)絡(luò)的“一條跑道、盡力而為”，通常適用于公眾網(wǎng)的普通消費(fèi)者業(yè)務(wù)，對(duì)于安全隔離性無(wú)任何特殊需求；2）部分獨(dú)占模式：結(jié)合行業(yè)實(shí)際需求，通過(guò)共享大部分網(wǎng)元功能+少量網(wǎng)元功能獨(dú)占專享的方式，在安全隔離性需求和成本之間做到最佳平衡，從而能夠滿足大多數(shù)通用行業(yè)的網(wǎng)絡(luò)切片分級(jí)需求。3）完全獨(dú)占模式：能力等同于建設(shè)一張完整的行業(yè)專用核心網(wǎng)，安全隔離性最好、但建設(shè)和運(yùn)營(yíng)成本也最高。因此僅適用于極個(gè)別需要超高安全隔離性而對(duì)成本不敏感的特殊行業(yè)。

2、5G網(wǎng)絡(luò)切片安全能力

為支持不同業(yè)務(wù)的端到端安全保護(hù)，需要靈活的安全架構(gòu)，提供多層次的切片安全保障，當(dāng)垂直行業(yè)用戶有特定的安全需求時(shí)，可向運(yùn)營(yíng)商定制不同等級(jí)安全保護(hù)的網(wǎng)絡(luò)切片。差異化安全能力包括管理安全能力、網(wǎng)絡(luò)設(shè)備資源安全能力。

安全管理能力：

1）5G網(wǎng)絡(luò)的安全態(tài)勢(shì)可視能力：包括應(yīng)用層安全、基礎(chǔ)設(shè)施安全、用戶面/信令面/管理面的安全監(jiān)控可視，實(shí)現(xiàn)人工+自動(dòng)化的快速響應(yīng)閉環(huán)，保障運(yùn)營(yíng)商網(wǎng)絡(luò)和數(shù)據(jù)不受來(lái)自外部和內(nèi)部用戶的入侵和破壞，同時(shí)對(duì)內(nèi)部人員誤操作和非法操作進(jìn)行審計(jì)監(jiān)控，作為事后追溯的可靠證據(jù)來(lái)源，便與事后責(zé)任追蹤?？蔀樾袠I(yè)客戶提供切片安全態(tài)勢(shì)感知portal。2）安全服務(wù)：針對(duì)不同行業(yè)用戶的差異化安全訴求，網(wǎng)絡(luò)切片提供可分級(jí)的安全運(yùn)維能力和安全服務(wù)，例如：企業(yè)可選擇異常終端檢測(cè)能力，可提供網(wǎng)絡(luò)流量清洗，惡意網(wǎng)址檢測(cè)，網(wǎng)絡(luò)封堵服務(wù)。此外，在客戶有需求時(shí)，還可提供安全測(cè)試、安全培訓(xùn)、代碼審計(jì)、等保測(cè)評(píng)、安全集成等安全服務(wù)。1）接入鑒權(quán)：5G切片可利用5G系統(tǒng)所提供的基礎(chǔ)鑒權(quán)能力，即首次認(rèn)證及統(tǒng)一認(rèn)證框架（默認(rèn)能力）實(shí)現(xiàn)用戶接入鑒權(quán)并建立獨(dú)立于接入技術(shù)的統(tǒng)一的密鑰體系，5G同時(shí)提供可選的切片認(rèn)證和二次認(rèn)證機(jī)制，實(shí)現(xiàn)靈2）信令面及數(shù)據(jù)面保護(hù)：終端和gNB之間、終端和AMF之間提供對(duì)信令的強(qiáng)制完整性保護(hù)和可選的加密保護(hù)，對(duì)用戶數(shù)據(jù)可選的加密保護(hù)和可選的完整性保護(hù)。對(duì)于語(yǔ)音、視頻以及普通用戶數(shù)據(jù)，空口不啟用用戶面完整性保護(hù)；對(duì)于物聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)，以及可靠性要求較高的特殊數(shù)據(jù)業(yè)務(wù)，空口啟用用戶面完整性保護(hù)。3）隱私保護(hù)：使用臨時(shí)用戶識(shí)別（5G-GUTI或5G-TMSI）替代國(guó)際移動(dòng)用戶識(shí)別號(hào)（SUPI）進(jìn)行保護(hù)，為解決UE初始接入消息用戶信息泄露的風(fēng)險(xiǎn)，可使用增強(qiáng)空口隱私保護(hù)，即SUPI加密（SUCI）機(jī)制。4）SBA安全：5GC功能模塊間可通過(guò)NRF發(fā)現(xiàn)及授權(quán)服務(wù)，可選使用HTTPS保護(hù)傳遞信息安全并通過(guò)TLS雙向身份認(rèn)證防止假冒NF接入網(wǎng)絡(luò)，實(shí)現(xiàn)SBA架構(gòu)下的安全能力。

設(shè)備資源安全能力：

除了計(jì)算、存儲(chǔ)、無(wú)線網(wǎng)絡(luò)及承載網(wǎng)絡(luò)資源的有效隔離和資源預(yù)留外，5G切片也強(qiáng)化了安全機(jī)制，滿足安全分級(jí)訴求：1）傳輸安全：接入網(wǎng)與核心網(wǎng)之間N2/N3接口，UPF與企業(yè)云的N6接口，以及基站間Xn接口的傳輸安全繼承了4G的IPSec安全保護(hù)方案，防止傳輸網(wǎng)絡(luò)的數(shù)據(jù)泄密和非法篡改攻擊。2）外網(wǎng)設(shè)備訪問(wèn)安全：在切片內(nèi)NF與外網(wǎng)設(shè)備間，部署虛擬防火墻或物理防火墻，保護(hù)切片內(nèi)網(wǎng)與外網(wǎng)的安全。企業(yè)也可以選擇部署智能防火墻，智能分析并識(shí)別N4消息和OM消息，僅相關(guān)的數(shù)據(jù)流量才能流入流出。3）邊緣計(jì)算安全：當(dāng)UPF下沉到行業(yè)用戶的園區(qū)時(shí)，可提供邊緣計(jì)算平臺(tái)安全、通信安全、管控及監(jiān)管等，高階安全可提供邊緣計(jì)算數(shù)據(jù)安全，能力開(kāi)放安全等措施。

運(yùn)營(yíng)運(yùn)維模式

切片運(yùn)營(yíng)運(yùn)維按運(yùn)營(yíng)運(yùn)維難度和系統(tǒng)開(kāi)放性可將租戶需要的運(yùn)營(yíng)管理活動(dòng)分為2種場(chǎng)景。

租戶自服務(wù)Portal提供的功能如下：1、切片業(yè)務(wù)監(jiān)控。租戶自運(yùn)營(yíng)Portal支持租戶監(jiān)控和查看切片相關(guān)的各種信息，主要包括：1)切片業(yè)務(wù)信息查詢：包括切片狀態(tài)查詢、切片SLA報(bào)表等。2)切片賬單查詢：與切片業(yè)務(wù)相關(guān)的賬單信息。3)UE基本信息查詢：包括UE狀態(tài)查詢、UE生命周期信息查詢、UE套餐業(yè)務(wù)查詢、UE群組信息查詢等。

2、切片業(yè)務(wù)辦理。租戶自運(yùn)營(yíng)Portal支持租戶自助進(jìn)行業(yè)務(wù)辦理，主要包括：1)切片業(yè)務(wù)自助辦理：如申請(qǐng)開(kāi)通新的切片業(yè)務(wù)，或者在已開(kāi)通切片中調(diào)整套餐內(nèi)容，或者申請(qǐng)暫停/停止切片業(yè)務(wù)等。2)UE生命周期管理：包括UE的開(kāi)戶銷戶、停機(jī)復(fù)機(jī)、UE的業(yè)務(wù)套餐修改等。3)業(yè)務(wù)自動(dòng)化策略管理：租戶可對(duì)業(yè)務(wù)自助處理的策略進(jìn)行設(shè)置，包括消息通知、業(yè)務(wù)變更、數(shù)據(jù)采集設(shè)置等。

3、切片業(yè)務(wù)保障。租戶自運(yùn)營(yíng)Portal支持租戶自助做一些簡(jiǎn)單的故障診斷，包括：1)實(shí)時(shí)診斷：支持在線查詢UE信息，根據(jù)UE實(shí)時(shí)狀態(tài)信息來(lái)診斷切片業(yè)務(wù)故障。2)非實(shí)時(shí)診斷：支持關(guān)聯(lián)查詢相關(guān)歷史信息（如UE狀態(tài)信息、UDM等5GC網(wǎng)元開(kāi)放的信息），用于綜合評(píng)估故障原因。3)位置信息服務(wù)：支持查看UE或UE群的位置，輔助進(jìn)行故障診斷。

4、切片API能力開(kāi)放場(chǎng)景，對(duì)于希望自己開(kāi)發(fā)APP的租戶，可通過(guò)調(diào)用CSMF的能力開(kāi)放API，自行實(shí)現(xiàn)上述所有運(yùn)營(yíng)能力。1)監(jiān)控能力：包括運(yùn)營(yíng)能力開(kāi)放、切片網(wǎng)絡(luò)數(shù)據(jù)開(kāi)放。租戶所需的網(wǎng)絡(luò)能力可統(tǒng)一由CSMF接口。2)業(yè)務(wù)辦理能力：包括租戶自助服務(wù)所需的API。注：租戶選擇建議：對(duì)期望聚焦于切片使用而不希望自己做太多運(yùn)維投入的中小租戶，建議優(yōu)先選擇租戶自運(yùn)營(yíng)PORTAL完成自助服務(wù)或運(yùn)營(yíng)；對(duì)于希望對(duì)切片業(yè)務(wù)有更多掌握，且有較多運(yùn)維預(yù)算的大型租戶，可通過(guò)切片API能力開(kāi)放自建APP。

四、5G網(wǎng)絡(luò)切片應(yīng)用場(chǎng)景及安全需求

5G網(wǎng)絡(luò)切片應(yīng)用場(chǎng)景主要包括eMBB（增強(qiáng)移動(dòng)寬帶）、uRLLC（超可靠低時(shí)延通信）和mMTC（海量機(jī)器類通信）。

1、eMBB應(yīng)用場(chǎng)景及安全需求

eMBB典型應(yīng)用場(chǎng)景主要包括高清視頻、AR/VR、海量實(shí)時(shí)數(shù)據(jù)交互等移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)，以及視頻監(jiān)控、移動(dòng)醫(yī)療等物聯(lián)網(wǎng)業(yè)務(wù)，5G時(shí)代，人們希望在體育賽事、演唱會(huì)等人員超密集場(chǎng)景下以及在高鐵上等高速移動(dòng)環(huán)境下也能獲得連續(xù)的優(yōu)質(zhì)業(yè)務(wù)體驗(yàn)。這些業(yè)務(wù)對(duì)5G網(wǎng)絡(luò)的流量、傳輸速率都提出了很高的要求，包括高用戶體驗(yàn)速率、高用戶峰值速率、高清視頻流的流暢播放、高速移動(dòng)時(shí)大流量密度、高用戶密度場(chǎng)景下的高數(shù)據(jù)速率、業(yè)務(wù)連續(xù)性、根據(jù)用戶數(shù)自動(dòng)擴(kuò)縮容、優(yōu)化用戶面數(shù)據(jù)傳輸路徑等。

eMBB應(yīng)用場(chǎng)景的大流量、高速率對(duì)現(xiàn)有網(wǎng)絡(luò)安全防護(hù)手段提出了挑戰(zhàn)：大流量、高速率帶來(lái)網(wǎng)絡(luò)邊緣數(shù)據(jù)流量的大幅提升，現(xiàn)有網(wǎng)絡(luò)中部署的防火墻、入侵檢測(cè)系統(tǒng)、數(shù)據(jù)及信息保護(hù)系統(tǒng)等安全設(shè)備在流量檢測(cè)、鏈路覆蓋、數(shù)據(jù)存儲(chǔ)、計(jì)算與處理能力等方面將面臨較大挑戰(zhàn)。因此，需要對(duì)安全防護(hù)技術(shù)和設(shè)備進(jìn)行演進(jìn)和升級(jí)，如在現(xiàn)有防護(hù)手段中引入虛擬化、服務(wù)化技術(shù)等，以適應(yīng)和應(yīng)對(duì)大流量、高速率帶來(lái)的沖擊。

2、uRLLC應(yīng)用場(chǎng)景及安全需求

uRLLC典型應(yīng)用場(chǎng)景主要包括工業(yè)控制、遠(yuǎn)程醫(yī)療、自動(dòng)駕駛、智能電網(wǎng)以及公共安全等。這些業(yè)務(wù)對(duì)端到端時(shí)延、安全性和可靠性提出了很高的要求，包括毫秒級(jí)時(shí)延、高可靠性、低丟包率、低抖動(dòng)、多樣性安全機(jī)制以及業(yè)務(wù)隔離等。

uRLLC應(yīng)用場(chǎng)景的低時(shí)延需求造成復(fù)雜的安全機(jī)制部署受限。安全機(jī)制的部署，例如接入認(rèn)證、數(shù)據(jù)傳輸安全保護(hù)、終端移動(dòng)過(guò)程中切換、數(shù)據(jù)加解密等均會(huì)增加時(shí)延，過(guò)于復(fù)雜的安全機(jī)制不能滿足低時(shí)延業(yè)務(wù)的要求。另外，uRLLC應(yīng)用場(chǎng)景通常需要借助部署多接入邊緣計(jì)算（MEC）系統(tǒng)來(lái)實(shí)現(xiàn)超可靠、低時(shí)延指標(biāo)，而MEC的部署特點(diǎn)是將邊緣計(jì)算節(jié)點(diǎn)下沉到核心網(wǎng)邊緣，邊緣環(huán)境受到物理攻擊的可能性增大。因此，需要建立面向低時(shí)延需求的安全機(jī)制，優(yōu)化業(yè)務(wù)接入認(rèn)證、數(shù)據(jù)加解密等環(huán)節(jié)帶來(lái)的時(shí)延；同時(shí)，對(duì)邊緣計(jì)算設(shè)施予以物理保護(hù)和網(wǎng)絡(luò)防護(hù)，充分利用已有的安全技術(shù)進(jìn)行平臺(tái)加固并增強(qiáng)邊緣設(shè)施自身的防盜防破壞措施，盡力提升低時(shí)延條件下安全防護(hù)能力。

3、mMTC應(yīng)用場(chǎng)景及安全需求

mMTC典型應(yīng)用場(chǎng)景主要包括智能家居、智慧城市、環(huán)境監(jiān)測(cè)、智慧農(nóng)業(yè)、智能抄表和智能穿戴等物聯(lián)網(wǎng)業(yè)務(wù)。這些應(yīng)用覆蓋領(lǐng)域廣，接入設(shè)備數(shù)量巨大，應(yīng)用地域和設(shè)備供應(yīng)商標(biāo)準(zhǔn)分散，業(yè)務(wù)種類多，業(yè)務(wù)在低功耗、大連接方面有突出需求，包括高密度的海量設(shè)備連接、多樣化連接模式、高效的輕量級(jí)通信、低頻率數(shù)據(jù)傳輸下的高資源使用率、輕量級(jí)的設(shè)備配置和管理、低能耗、通信安全性、在線和離線計(jì)費(fèi)等。

mMTC應(yīng)用場(chǎng)景的海量多樣化終端易被攻擊利用，對(duì)網(wǎng)絡(luò)運(yùn)行安全造成威脅。預(yù)計(jì)到2025年全球物聯(lián)網(wǎng)設(shè)備聯(lián)網(wǎng)數(shù)量將達(dá)到252億，其中大量功耗低、計(jì)算和存儲(chǔ)資源有限的終端難以部署復(fù)雜的安全策略，一旦被攻擊利用形成設(shè)備僵尸網(wǎng)絡(luò)，將會(huì)成為攻擊源，進(jìn)而引發(fā)對(duì)用戶應(yīng)用和后臺(tái)系統(tǒng)等的網(wǎng)絡(luò)攻擊，帶來(lái)網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓等安全風(fēng)險(xiǎn)。因此，需要構(gòu)建基于海量機(jī)器類通信場(chǎng)景的安全模型，優(yōu)化終端設(shè)備接入安全機(jī)制，建立智能動(dòng)態(tài)防御體系應(yīng)對(duì)網(wǎng)絡(luò)攻擊，防止網(wǎng)絡(luò)安全威脅橫向擴(kuò)散。

五、5G網(wǎng)絡(luò)切片標(biāo)準(zhǔn)進(jìn)展

1、國(guó)際標(biāo)準(zhǔn)

5G網(wǎng)絡(luò)切片相關(guān)的國(guó)際標(biāo)準(zhǔn)主要在第三代合作伙伴（3GPP）研究制定，目前重點(diǎn)研究網(wǎng)絡(luò)切片架構(gòu)、流程以及管理和編排等方面的內(nèi)容，后續(xù)研究的熱點(diǎn)包括智能切片及無(wú)線接入網(wǎng)切片等。其中，智能切片主要研究切片管理系統(tǒng)如何依據(jù)用戶體驗(yàn)信息靈活、動(dòng)態(tài)地調(diào)整資源配置；無(wú)線接入網(wǎng)切片主要研究切片空口資源保障及資源隔離等。

在網(wǎng)絡(luò)切片安全方面，重點(diǎn)研究5G網(wǎng)絡(luò)切片安全需求、認(rèn)證架構(gòu)及流程、隱私保護(hù)、切片安全管理、切片服務(wù)安全能力開(kāi)放等。3GPP分階段研究不同的關(guān)鍵問(wèn)題：R14階段，主要研究切片隔離、網(wǎng)絡(luò)切片安全機(jī)制差異化、接入安全等內(nèi)容；R15階段，重點(diǎn)研究用戶接入數(shù)據(jù)網(wǎng)絡(luò)中的切片認(rèn)證流程；R16階段，聚焦接入特定網(wǎng)絡(luò)切片的認(rèn)證、密鑰隔離、網(wǎng)絡(luò)切片即服務(wù)（NSaas）安全功能以及安全隱私等方面。

3GPP在網(wǎng)絡(luò)切片方面的主要研究成果有：系統(tǒng)架構(gòu)（3GPPTS23.501）、5G系統(tǒng)流程（3GPPTS23.502）、下一代系統(tǒng)安全研究（3GPPTR33.899）、5G系統(tǒng)安全架構(gòu)和流程（3GPPTS33.501）、網(wǎng)絡(luò)切片增強(qiáng)研究（3GPPTR23.740）、網(wǎng)絡(luò)和網(wǎng)絡(luò)切片的管理和編排（3GPPTS28.531）、網(wǎng)絡(luò)切片增強(qiáng)安全研究（3GPPTR33.813）、網(wǎng)絡(luò)切片管理的基本概念、相關(guān)角色和管理需求（3GPPTS28.530）、網(wǎng)絡(luò)切片管理和編排：切片提供（3GPPTS28.531）、管理服務(wù)（3GPPTS28.532）、架構(gòu)框架（3GPPTS28.533）、性能保障（3GPPTS28.550）、性能測(cè)量和保障（3GPPTS28.552）、端到端KPI指標(biāo)（3GPPTS28.554）、網(wǎng)絡(luò)資源模型（3GPPTS28.540、3GPPTS28.541）等。

2、國(guó)內(nèi)標(biāo)準(zhǔn)

我國(guó)5G網(wǎng)絡(luò)切片相關(guān)標(biāo)準(zhǔn)主要在中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)（CCSA）研究制定，目前在研項(xiàng)目主要包括移動(dòng)通信網(wǎng)網(wǎng)絡(luò)切片管理技術(shù)要求、5G核心網(wǎng)絡(luò)切片場(chǎng)景及關(guān)鍵技術(shù)研究、5G核心網(wǎng)智能切片的應(yīng)用研究、5G網(wǎng)絡(luò)切片安全技術(shù)研究、支持5G承載的IP網(wǎng)絡(luò)切片技術(shù)研究、傳送網(wǎng)網(wǎng)絡(luò)切片技術(shù)研究等行業(yè)標(biāo)準(zhǔn)和研究課題。

為了更好地支撐切片的商用部署，加快制定端到端切片配套的標(biāo)準(zhǔn)，CCSA專門成立了“5G網(wǎng)絡(luò)端到端切片特設(shè)項(xiàng)目組”，2019年12月30日，項(xiàng)目組召開(kāi)了第一次會(huì)議。會(huì)議提出建立5G網(wǎng)絡(luò)切片標(biāo)準(zhǔn)體系，該標(biāo)準(zhǔn)體系主要包括切片基礎(chǔ)能力和切片SLA（服務(wù)等級(jí)協(xié)議）保障兩大部分。隨著研究工作的進(jìn)展，后續(xù)還會(huì)對(duì)該體系進(jìn)行進(jìn)一步修改完善。后續(xù)將加緊制定以下行業(yè)標(biāo)準(zhǔn)及研究課題：《5G網(wǎng)絡(luò)切片端到端總體技術(shù)要求》《5G網(wǎng)絡(luò)切片基于切片分組網(wǎng)絡(luò)（SPN）承載的端到端切片對(duì)接技術(shù)要求》《5G網(wǎng)絡(luò)切片基于IP承載的端到端切片