2020年中國5G網(wǎng)絡(luò)切片簡介、分級原則及架構(gòu)、5G網(wǎng)絡(luò)切片應(yīng)用場景、安全需求及產(chǎn)業(yè)應(yīng)用建議分析[圖]

5G網(wǎng)絡(luò)切片李玲玲 2020-04-10 05:39 來源：智研咨詢

一、5G網(wǎng)絡(luò)切片簡介

1、網(wǎng)絡(luò)切片概述

網(wǎng)絡(luò)切片是指為服務(wù)某個行業(yè)或某種應(yīng)用場景，從網(wǎng)絡(luò)中選取特定的特性和功能，定制出一個邏輯上獨立的虛擬專用網(wǎng)絡(luò)。一個虛擬專用網(wǎng)絡(luò)就是一個切片，不同切片之間相互隔離。也就是說，在同一個物理網(wǎng)絡(luò)上切分出多個功能、特性各不相同的邏輯網(wǎng)絡(luò)，同時支持多種業(yè)務(wù)場景，相當(dāng)于為每一個場景專門搭建一個網(wǎng)絡(luò)。每個5G端到端網(wǎng)絡(luò)切片都可以提供一套完整網(wǎng)絡(luò)的功能，包括接入網(wǎng)功能和核心網(wǎng)功能。

網(wǎng)絡(luò)切片技術(shù)使得網(wǎng)絡(luò)運營商能夠在統(tǒng)一的基礎(chǔ)設(shè)施上為多個行業(yè)用戶提供滿足其定制化需求的多個專用虛擬網(wǎng)絡(luò)，典型的網(wǎng)絡(luò)切片架構(gòu)如圖1所示。網(wǎng)絡(luò)切片具有的特點：一是可根據(jù)業(yè)務(wù)需求對網(wǎng)絡(luò)功能進行定制裁剪和靈活組網(wǎng)，從而優(yōu)化業(yè)務(wù)流程和數(shù)據(jù)路由；二是切片生命周期結(jié)束之后可以將資源釋放給其他虛擬網(wǎng)絡(luò)，實現(xiàn)網(wǎng)絡(luò)資源的動態(tài)分配和靈活調(diào)整，提高網(wǎng)絡(luò)資源利用率；三是可以隔離不同業(yè)務(wù)場景所需的網(wǎng)絡(luò)資源，提供網(wǎng)絡(luò)資源保障，從而增強整體網(wǎng)絡(luò)的健壯性和可靠性；四是可提供差異化、端到端的安全機制，滿足各應(yīng)用場景不同的安全需求；同時，良好的切片間隔離還可以保障任何一個切片發(fā)生故障都不會影響到其他切片，增強網(wǎng)絡(luò)的安全性。

網(wǎng)絡(luò)切片架構(gòu)示意圖

數(shù)據(jù)來源：公開資料整理

傳統(tǒng)網(wǎng)絡(luò)通常是一種架構(gòu)滿足所有業(yè)務(wù)需求，而5G時代，利用網(wǎng)絡(luò)切片技術(shù)，可以做到為每種有特定需求的業(yè)務(wù)量身定做專用虛擬網(wǎng)絡(luò)（切片），其中特定需求包括功能需求（如優(yōu)先級、計費、策略控制、安全、移動性等）、性能需求（如時延、移動性、可靠性、速率等）、服務(wù)對象（如所有用戶、漫游用戶、虛擬運營商等等。

因此，網(wǎng)絡(luò)切片技術(shù)將從根本上改變傳統(tǒng)的移動通信網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)規(guī)劃及部署模式，同時也給運營商開拓商業(yè)模式帶來新的契機，如給垂直行業(yè)提供網(wǎng)絡(luò)切片服務(wù)，使其可在給定的權(quán)限范圍內(nèi)控制運營商的網(wǎng)絡(luò)切片，實現(xiàn)定制化服務(wù)。

2、網(wǎng)絡(luò)切片實現(xiàn)方案

一個UE（用戶設(shè)備）通過5G接入網(wǎng)可以同時連接到一個或多個網(wǎng)絡(luò)切片（最多8個）。服務(wù)于UE的AMF（接入管理功能）在邏輯上屬于為UE服務(wù)的每個網(wǎng)絡(luò)切片，即該AMF對于服務(wù)于UE的網(wǎng)絡(luò)切片來說屬于共享網(wǎng)絡(luò)功能。同時，由于切片隔離，AMF可能只為部分切片服務(wù)，因此終端發(fā)起注冊請求時，接入網(wǎng)需要先進行初始AMF選擇，然后AMF進一步進行切片選擇，某些場景下可能會觸發(fā)AMF的重選流程來適配終端希望連接的切片。注冊完成后，AMF會通知UE其可以接入的切片信息。當(dāng)AMF接收到來自UE的PDU會話建立請求消息時，該AMF會進一步發(fā)起網(wǎng)絡(luò)切片中的SMF發(fā)現(xiàn)和選擇過程。

二、分級原則及架構(gòu)

智研咨詢發(fā)布的《2020-2026年中國5G網(wǎng)絡(luò)建設(shè)行業(yè)發(fā)展模式及投資價值研究報告》數(shù)據(jù)顯示：不同于傳統(tǒng)的4G網(wǎng)絡(luò)“一條管道、盡力而為”形式，5G網(wǎng)絡(luò)切片旨在基于統(tǒng)一基礎(chǔ)設(shè)施和統(tǒng)一的網(wǎng)絡(luò)提供多種端到端邏輯“專用網(wǎng)絡(luò)”，最優(yōu)適配行業(yè)用戶的各種業(yè)務(wù)需求。從性能指標(biāo)、功能差異、對網(wǎng)絡(luò)的需求、運維模式等方面分析后，可以將用戶對5G需求歸納為2大類：1.公眾網(wǎng)用戶需求：全面繼承4G時為個人提供的業(yè)務(wù)，保證一致甚至更好的用戶體驗。2.行業(yè)網(wǎng)用戶需求：1）普通行業(yè)需求：面向普通行業(yè)用戶，存在一定的隔離、業(yè)務(wù)質(zhì)量保障需求，在連接管理等方面有定制化差異。2）特需行業(yè)需求：面向電網(wǎng)、黨政軍等具有高度隔離、或者高業(yè)務(wù)質(zhì)量保障等特殊需求的用戶，安全等級要求極高。5G公眾網(wǎng)與行業(yè)網(wǎng)既有共享，又有區(qū)隔。公眾網(wǎng)與行業(yè)網(wǎng)共享核心網(wǎng)硬件資源池、傳輸資源、無線資源，充分發(fā)揮網(wǎng)絡(luò)規(guī)模效應(yīng)；此外，公眾網(wǎng)與行業(yè)網(wǎng)用戶層面可以分別采用物聯(lián)網(wǎng)碼號和公眾網(wǎng)碼號進行隔離，又可獨立網(wǎng)元、獨立資源、獨立基站等，提供多樣的靈活架構(gòu)和配置方式。

行業(yè)網(wǎng)和公眾網(wǎng)組網(wǎng)方式

數(shù)據(jù)來源：公開資料整理

總之，為應(yīng)對上述兩大類5G網(wǎng)絡(luò)切片需求，綜合考慮隔離性以及部署運營要求，5G網(wǎng)絡(luò)切片分為公眾網(wǎng)切片、行業(yè)網(wǎng)切片兩個相對獨立的網(wǎng)絡(luò)。本文針對性的推出不同能力的多等級切片解決5G用戶的差異化需求。根據(jù)網(wǎng)絡(luò)現(xiàn)有能力，在不同切片等級內(nèi)組合無線、傳輸、核心網(wǎng)和安全及運營等能力，匹配網(wǎng)絡(luò)最有可能的部署策略，總共形成5種切片能力等級滿足5G三大類需求。

網(wǎng)絡(luò)切片分級說明

數(shù)據(jù)來源：公開資料整理

網(wǎng)絡(luò)切片分級

網(wǎng)絡(luò)切片分級
切片等級	網(wǎng)絡(luò)類型	等級劃分	定義	資源定制	業(yè)務(wù)體驗
切片等級	網(wǎng)絡(luò)類型	等級劃分	定義	資源隔離	安全	運營運維	定制化服務(wù)
L0	公眾網(wǎng)	普通	基于5G公眾網(wǎng)基礎(chǔ)設(shè)施構(gòu)建，無特殊需求	完全共享	基本安全	無	默認
L1	公眾網(wǎng)	VIP	基于5G公眾網(wǎng)基礎(chǔ)設(shè)施構(gòu)建，疊加定制化需求	完全共享（或部分獨占）	eMBB增強安全	無	定制化
L2	行業(yè)網(wǎng)	普通	基于5G行業(yè)網(wǎng)基礎(chǔ)設(shè)施構(gòu)建，提供增值服務(wù)	完全共享（或部分獨占）	業(yè)務(wù)特性安全	可視	定制化
L3		特需	基于5G行業(yè)網(wǎng)基礎(chǔ)設(shè)施構(gòu)建，提供部分資源獨占及高級服務(wù)	部分獨占	業(yè)務(wù)特性高階安全	可管	定制化
L4		VIP	基于5G行業(yè)專網(wǎng)設(shè)施構(gòu)建，提供全部資源獨占能力及可靠性服務(wù)。	完全獨立	全面高階安全	可管	定制化

數(shù)據(jù)來源：公開資料整理

1、切片等級：一共五個切片等級：L0-L42、網(wǎng)絡(luò)類型：一共兩種網(wǎng)絡(luò)類型：公眾網(wǎng)，行業(yè)網(wǎng)3、等級劃分：公眾網(wǎng)有兩種等級：普通、VIP；行業(yè)網(wǎng)有三種等級：普通、VIP和特需

4、切片分級定義：為每一種切片等級進行具體的定義。5、資源定制：一共三種選項：完全共享、部分獨占和完全獨立。建設(shè)初期會將公眾網(wǎng)和行業(yè)網(wǎng)區(qū)分開，具有天6、業(yè)務(wù)體驗：1）安全：一共五種選項：基本安全、eMBB增強安全、業(yè)務(wù)特性安全、業(yè)務(wù)特性高階安全和全面高階安全，根據(jù)不同切片等級及網(wǎng)絡(luò)類型配套不同的安全能力。2）運營運維：一共三種選項：無運營運維，行業(yè)可視和行業(yè)可管，具體分類說明詳見3.3章。3）定制化服務(wù)：除公眾網(wǎng)普通用戶無特殊需求外，從L1-L4均需要不同的質(zhì)量保障能力，需根據(jù)不同場景按需求提供。除上述幾大網(wǎng)絡(luò)基礎(chǔ)能力（網(wǎng)絡(luò)資源、隔離性、運營運維、安全和SLA）外，不同的垂直行業(yè)還會有各自的定制化需求，需要網(wǎng)絡(luò)切片提供定制化能力，如支持Non-IP傳輸、支持時鐘同步、支持設(shè)備高處理速度等，都可以在上述每種能力等級基礎(chǔ)上額外疊加。當(dāng)前切片分級白皮書主要針對eMBB和低時延切片，后續(xù)uRLLC及mMTC場景根據(jù)標(biāo)準(zhǔn)完善情況和現(xiàn)網(wǎng)成熟度再進行等級優(yōu)化。

三、分級方案

我們已經(jīng)將5G網(wǎng)絡(luò)切片根據(jù)三種類型需求分為L0-L4五種能力等級，主要通過四個維度：網(wǎng)絡(luò)資源隔離性、運營運維、安全和定制化服務(wù)來區(qū)分每種能力等級。本章將基于上述維度，從各個域分析，給出五種分級能力的詳細方案。

1、5G網(wǎng)絡(luò)切片隔離能力

1）無線切片隔離方案

無線側(cè)當(dāng)前能提供4組組合能力，根據(jù)切片等級劃分原則進行映射。以下是無線側(cè)組合劃分及映射原則：無線切片隔離方案主要實現(xiàn)網(wǎng)絡(luò)切片在NRRAN部分的資源隔離和保障。根據(jù)業(yè)務(wù)的時延，可靠性，和隔離要求，可以分為切片級QoS保障、空口動態(tài)預(yù)留、靜態(tài)預(yù)留。結(jié)合不同業(yè)務(wù)場景的不同需求，這里給出典型的無線側(cè)切片分級建議，以及每級隔離度可對應(yīng)的典型行業(yè)和業(yè)務(wù)場景劃分如下表。

5G無線網(wǎng)絡(luò)切片分級建議

數(shù)據(jù)來源：公開資料整理

在無線空口保障中，絕大部分都是通過差異化QoS優(yōu)先級方式進行業(yè)務(wù)保障，以提升頻譜這類稀缺資源的使用效率，但隨著5G逐步滲透到各行各業(yè)的生產(chǎn)和管理環(huán)節(jié)，就需要無線側(cè)提供不同等級保障；(一)無線空口資源調(diào)度可能的方式包括QoS（5QI）優(yōu)先級、RB資源預(yù)留和載波隔離。1、基于QoS的調(diào)度：可以確保在資源有限的情況下，不同業(yè)務(wù)“按需定制”，為業(yè)務(wù)提供差異化服務(wù)質(zhì)量的網(wǎng)絡(luò)服務(wù)，包括業(yè)務(wù)調(diào)度權(quán)重、接納門限、隊列管理門限等，在資源搶占時，高優(yōu)先級業(yè)務(wù)能夠優(yōu)先調(diào)度空口的資源，在資源擁塞時，高優(yōu)先級業(yè)務(wù)也可能受影響；2、RB資源預(yù)留：允許多個切片共用同一個小區(qū)的RB資源。根據(jù)各切片的資源需求，為特定切片預(yù)留分配一定量RB資源。RB預(yù)留分為靜態(tài)預(yù)留和動態(tài)共享。3、載波隔離：不同切片使用不同的載波小區(qū)，每個切片僅使用本小區(qū)的空口資源，切片間嚴(yán)格區(qū)分確保各自資源。

2）傳輸切片隔離方案

RAN與CN之間的移動傳輸網(wǎng)絡(luò)根據(jù)對切片安全和可靠性不同訴求，分為硬隔離和軟隔離，根據(jù)業(yè)務(wù)要求隔離度、時延和可靠性不同需求，傳輸承載技術(shù)包括：FlexE/MTN接口隔離、MTN交叉隔離和VPN+Qos隔離不同技術(shù)。

(一)硬隔離(HardIsolation)技術(shù)

1、FlexE接口隔離：FlexE/MTN接口是基于時隙調(diào)度將一個物理以太網(wǎng)端口劃分為多個以太網(wǎng)彈性硬管道，在網(wǎng)絡(luò)接口層面基于時隙進行業(yè)務(wù)接入，在設(shè)備層面基于以太網(wǎng)進行統(tǒng)計復(fù)用。2、MTN交叉隔離：基于以太網(wǎng)64/66B碼塊的交叉技術(shù)，在接口及設(shè)備內(nèi)部實現(xiàn)TDM（時分復(fù)用）時隙隔離，從而實現(xiàn)極低的轉(zhuǎn)發(fā)時延和隔離效果。單跳設(shè)備轉(zhuǎn)發(fā)時延最低5~10us，較傳統(tǒng)分組交換設(shè)備較大提升。FlexE/MTN接口隔離技術(shù)可以組合MTN交叉隔離技術(shù)或分組轉(zhuǎn)發(fā)技術(shù)進行報文傳輸，每個FlexE/MTN接口的Qos調(diào)度是隔離的。

(二)軟隔離(SoftIsolation)技術(shù)

VPN+Qos隔離：VPN實現(xiàn)多種業(yè)務(wù)在一個物理基礎(chǔ)網(wǎng)絡(luò)上相互隔離。VPN+Qos軟隔離不能實現(xiàn)硬件、時隙層面的隔離，無法達到物理隔離效果。傳輸側(cè)當(dāng)前能提供4組通道能力，根據(jù)切片等級劃分原則進行映射。以下是傳輸側(cè)通道劃分及映射：

5G傳輸網(wǎng)絡(luò)切片分級建議

5G傳輸網(wǎng)絡(luò)切片分級建議
切片等級映射	傳輸切片類型	傳輸業(yè)務(wù)	應(yīng)用行業(yè)
L1	VPN共享+Qos調(diào)度	5G 2C個人流量套餐業(yè)務(wù)	上網(wǎng)，OTT視頻
L0	VPN共享+FlexE/MTN接口隔離(隧道隔離)	5G 2C個人游戲，CloudVR流量套餐業(yè)務(wù)，移動接入?yún)^(qū)域不固定的行業(yè)應(yīng)用	云游戲，家庭CloudVR，行業(yè)應(yīng)用：移動救護，無人機，移動監(jiān)控等
L2	VPN隔離+FlexE/MTN接口隔離（隧道隔離)	固定接入?yún)^(qū)域的5G2B垂直行業(yè)生產(chǎn)類業(yè)務(wù)	電網(wǎng)，制造，醫(yī)療，礦山，港口,車聯(lián)網(wǎng)
L3	VPN隔離+FlexE/MTN接口隔離（隧道隔離)或者端到端MTN通道(MTN接口+MTN交叉,E2E物理隔離)	固定接入?yún)^(qū)域的5G2B垂直行業(yè)生活類業(yè)務(wù)	政企專線，抄表采集類，視頻監(jiān)控，媒體直播
L4	端到端MTN通道(MTN接口+MTN交叉,E2E物理隔離)	固定2B白金專線業(yè)務(wù)（一跳直達）	政府/黨政軍/金融/證券專線，電網(wǎng)

數(shù)據(jù)來源：公開資料整理

1、VPN共享+Qos調(diào)度：組合VPN共享+Qos調(diào)度技術(shù),轉(zhuǎn)發(fā)基于IP包轉(zhuǎn)發(fā)，流量參與Qos調(diào)度；2、VPN共享+FlexE/MTN接口隔離：組合FlexE/MTN接口+Qos調(diào)度，業(yè)務(wù)接入基于時隙隔離，轉(zhuǎn)發(fā)基于IP包轉(zhuǎn)發(fā)，VPN共享，流量參與Qos調(diào)度，較傳統(tǒng)分組交換設(shè)備隔離效果提升，但弱于MTN通道轉(zhuǎn)發(fā)；3、VPN隔離+FlexE/MTN接口隔離：組合FlexE/MTN接口隔離+Qos調(diào)度，業(yè)務(wù)接入基于時隙隔離，轉(zhuǎn)發(fā)基于IP包轉(zhuǎn)發(fā)，VPN隔離，流量參與Qos調(diào)度，較傳統(tǒng)分組交換設(shè)備隔離效果提升，但弱于MTN通道轉(zhuǎn)發(fā)；4、端到端MTN通道：組合MTN接口和MTN交叉隔離技術(shù)，業(yè)務(wù)接入基于時隙隔離，轉(zhuǎn)發(fā)基于MTN交叉技術(shù)，業(yè)務(wù)為物理隔離，單跳設(shè)備轉(zhuǎn)發(fā)時延最低5~10us，較傳統(tǒng)分組交換設(shè)備有較大提升。

3）核心網(wǎng)切片隔離方案

核心網(wǎng)切片隔離方案主要實現(xiàn)網(wǎng)絡(luò)切片在5GCORE部分的資源和組網(wǎng)隔離與SLA保障。其中資源視圖主要針對為切片隔離分配的5G核心網(wǎng)硬件資源層、虛擬資源層和網(wǎng)元功能層；而組網(wǎng)視圖則主要針5G核心網(wǎng)數(shù)據(jù)中心內(nèi)的交換機/路由器設(shè)備的隔離性。

核心網(wǎng)切片隔離方案

數(shù)據(jù)來源：公開資料整理

基于上述5G核心網(wǎng)的資源和組網(wǎng)兩個視圖，結(jié)合不同業(yè)務(wù)場景的不同隔離性需求，這里給出典型的隔離度分級建議，以及每級隔離度可對應(yīng)的典型行業(yè)和業(yè)務(wù)場景如下表：

5G核心網(wǎng)絡(luò)切片分級建議

5G核心網(wǎng)絡(luò)切片分級建議
切片等級映射	核心網(wǎng)切片類型	關(guān)鍵隔離技術(shù)				應(yīng)用行業(yè)	典型業(yè)務(wù)場景
		硬件資源層	虛擬資源層	網(wǎng)元功能層	DC內(nèi)傳輸
L0	公眾網(wǎng)-普通	完全共享				NA	默認2C基礎(chǔ)業(yè)務(wù)（上網(wǎng)、視頻等，盡力而為）
L1	公眾網(wǎng)-VIP	共享或部分獨占				NA	公眾網(wǎng)優(yōu)享業(yè)務(wù)：運營商自營游戲加速、視頻加速類業(yè)務(wù)
L2	行業(yè)網(wǎng)-普通	共享或部分獨占				游戲、視頻、教育	游戲加速、4K/AR/VR直播、AR/VR教育
L3	行業(yè)網(wǎng)-VIP	共享或部分獨占				醫(yī)療、工業(yè)	醫(yī)院本地網(wǎng)、工業(yè)園區(qū)本地網(wǎng)
L4	行業(yè)網(wǎng)-特需	按需獨占				公安、電力	公安應(yīng)急網(wǎng)絡(luò)、電力I/II區(qū)業(yè)務(wù)

數(shù)據(jù)來源：公開資料整理

1、硬件資源層：主要指基于X86或者ARM架構(gòu)的各種服務(wù)器，可支持“共享”和“獨占”兩種隔離模式，其中獨占模式也就是我們常說的“物理隔離”；2、虛擬資源池：亦即網(wǎng)絡(luò)功能虛擬化基礎(chǔ)設(shè)施（NFVI：NetworkFunctionsvirtualisationInfrastructure），通過虛擬機、容器等虛擬化技術(shù)，在通用性硬件上承載傳統(tǒng)通信設(shè)備功能的軟件處理，從而實現(xiàn)新業(yè)務(wù)的快速開發(fā)、部署和彈性縮擴容。虛擬資源池同樣可支持“共享”和“獨占”兩種隔離模式，其中獨占模式也就是我們常說的“邏輯隔離”；3、網(wǎng)元功能層：如上所述，得益于3GPP標(biāo)準(zhǔn)定義的網(wǎng)絡(luò)虛擬化（NFV：NetworkFunctionsVirtualisation）和服務(wù)化架構(gòu)（SBA：ServiceBasedArchitecture），5G核心網(wǎng)的網(wǎng)絡(luò)功能/虛擬網(wǎng)絡(luò)功能層（NF/VNF：NetworkFunction/VirtualNetworkFunction）同樣可以支持不同層級的按需隔離模式，保證不同切片間的業(yè)務(wù)獨立性：獨立性：1）完全共享模式：能力等同于2/3/4G網(wǎng)絡(luò)的“一條跑道、盡力而為”，通常適用于公眾網(wǎng)的普通消費者業(yè)務(wù)，對于安全隔離性無任何特殊需求；2）部分獨占模式：結(jié)合行業(yè)實際需求，通過共享大部分網(wǎng)元功能+少量網(wǎng)元功能獨占專享的方式，在安全隔離性需求和成本之間做到最佳平衡，從而能夠滿足大多數(shù)通用行業(yè)的網(wǎng)絡(luò)切片分級需求。3）完全獨占模式：能力等同于建設(shè)一張完整的行業(yè)專用核心網(wǎng)，安全隔離性最好、但建設(shè)和運營成本也最高。因此僅適用于極個別需要超高安全隔離性而對成本不敏感的特殊行業(yè)。

5G核心網(wǎng)網(wǎng)元功能層隔離模式示意圖

數(shù)據(jù)來源：公開資料整理

2、5G網(wǎng)絡(luò)切片安全能力

為支持不同業(yè)務(wù)的端到端安全保護，需要靈活的安全架構(gòu)，提供多層次的切片安全保障，當(dāng)垂直行業(yè)用戶有特定的安全需求時，可向運營商定制不同等級安全保護的網(wǎng)絡(luò)切片。差異化安全能力包括管理安全能力、網(wǎng)絡(luò)設(shè)備資源安全能力。

5G網(wǎng)絡(luò)切片安全能力

數(shù)據(jù)來源：公開資料整理

安全管理能力：

1）5G網(wǎng)絡(luò)的安全態(tài)勢可視能力：包括應(yīng)用層安全、基礎(chǔ)設(shè)施安全、用戶面/信令面/管理面的安全監(jiān)控可視，實現(xiàn)人工+自動化的快速響應(yīng)閉環(huán)，保障運營商網(wǎng)絡(luò)和數(shù)據(jù)不受來自外部和內(nèi)部用戶的入侵和破壞，同時對內(nèi)部人員誤操作和非法操作進行審計監(jiān)控，作為事后追溯的可靠證據(jù)來源，便與事后責(zé)任追蹤?？蔀樾袠I(yè)客戶提供切片安全態(tài)勢感知portal。2）安全服務(wù)：針對不同行業(yè)用戶的差異化安全訴求，網(wǎng)絡(luò)切片提供可分級的安全運維能力和安全服務(wù)，例如：企業(yè)可選擇異常終端檢測能力，可提供網(wǎng)絡(luò)流量清洗，惡意網(wǎng)址檢測，網(wǎng)絡(luò)封堵服務(wù)。此外，在客戶有需求時，還可提供安全測試、安全培訓(xùn)、代碼審計、等保測評、安全集成等安全服務(wù)。1）接入鑒權(quán)：5G切片可利用5G系統(tǒng)所提供的基礎(chǔ)鑒權(quán)能力，即首次認證及統(tǒng)一認證框架（默認能力）實現(xiàn)用戶接入鑒權(quán)并建立獨立于接入技術(shù)的統(tǒng)一的密鑰體系，5G同時提供可選的切片認證和二次認證機制，實現(xiàn)靈2）信令面及數(shù)據(jù)面保護：終端和gNB之間、終端和AMF之間提供對信令的強制完整性保護和可選的加密保護，對用戶數(shù)據(jù)可選的加密保護和可選的完整性保護。對于語音、視頻以及普通用戶數(shù)據(jù)，空口不啟用用戶面完整性保護；對于物聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)，以及可靠性要求較高的特殊數(shù)據(jù)業(yè)務(wù)，空口啟用用戶面完整性保護。3）隱私保護：使用臨時用戶識別（5G-GUTI或5G-TMSI）替代國際移動用戶識別號（SUPI）進行保護，為解決UE初始接入消息用戶信息泄露的風(fēng)險，可使用增強空口隱私保護，即SUPI加密（SUCI）機制。4）SBA安全：5GC功能模塊間可通過NRF發(fā)現(xiàn)及授權(quán)服務(wù)，可選使用HTTPS保護傳遞信息安全并通過TLS雙向身份認證防止假冒NF接入網(wǎng)絡(luò)，實現(xiàn)SBA架構(gòu)下的安全能力。

設(shè)備資源安全能力：

除了計算、存儲、無線網(wǎng)絡(luò)及承載網(wǎng)絡(luò)資源的有效隔離和資源預(yù)留外，5G切片也強化了安全機制，滿足安全分級訴求：1）傳輸安全：接入網(wǎng)與核心網(wǎng)之間N2/N3接口，UPF與企業(yè)云的N6接口，以及基站間Xn接口的傳輸安全繼承了4G的IPSec安全保護方案，防止傳輸網(wǎng)絡(luò)的數(shù)據(jù)泄密和非法篡改攻擊。2）外網(wǎng)設(shè)備訪問安全：在切片內(nèi)NF與外網(wǎng)設(shè)備間，部署虛擬防火墻或物理防火墻，保護切片內(nèi)網(wǎng)與外網(wǎng)的安全。企業(yè)也可以選擇部署智能防火墻，智能分析并識別N4消息和OM消息，僅相關(guān)的數(shù)據(jù)流量才能流入流出。3）邊緣計算安全：當(dāng)UPF下沉到行業(yè)用戶的園區(qū)時，可提供邊緣計算平臺安全、通信安全、管控及監(jiān)管等，高階安全可提供邊緣計算數(shù)據(jù)安全，能力開放安全等措施。

5G切片安全分級建議

5G切片安全分級建議
切片等級映射	切片安全等級	切片安全能力（分類依據(jù)）	管理安全能力	網(wǎng)絡(luò)協(xié)議安全能力	設(shè)備資源安全能力
L0	公眾網(wǎng)-普通	5G網(wǎng)絡(luò)基本安全	運營商視圖：端到端5G網(wǎng)絡(luò)的安全態(tài)勢可視能力，最終用戶不感知。	3GPP基礎(chǔ)鑒權(quán)基礎(chǔ)隱私保護信令完整性保護	資源共享安全
L1	公眾網(wǎng)-VIP	提供eMBB專屬安全能力	運營商視圖：端到端5G網(wǎng)絡(luò)的安全態(tài)勢可視能力，最終用戶不感知。	3GPP基礎(chǔ)鑒權(quán)基礎(chǔ)隱私保護增強空口隱私防護信令完整性保護用戶面加密保護SBA安全切片傳輸安全	資源共享安全外網(wǎng)設(shè)備訪問安全
L2	行業(yè)網(wǎng)-普通	滿足行業(yè)特性的基本安全需求	切片安全態(tài)勢感知portal	3GPP基礎(chǔ)鑒權(quán)基礎(chǔ)隱私保護信令完整性保護用戶面加密和完整性保護	資源預(yù)留，共享安全外網(wǎng)設(shè)備訪問安全邊緣計算安全
L3	行業(yè)網(wǎng)-VIP	提供滿足行業(yè)特性的高級安全需求，可選的接入控制能力	切片安全態(tài)勢感知portal安全服務(wù)	3GPP基礎(chǔ)鑒權(quán)基礎(chǔ)隱私保護增強空口隱私防護加密及完保切片認證/二次認證SBA安全切片傳輸安全	資源預(yù)留，共享安全企業(yè)智能防火墻邊緣計算高階安全
L4	行業(yè)網(wǎng)-特需	高階專網(wǎng)隔離+加密，數(shù)據(jù)不出園	切片安全態(tài)勢感知portal邊緣計算安全安全服務(wù)	3GPP基礎(chǔ)鑒權(quán)基礎(chǔ)隱私保護信令完整性保護用戶面加密和完整性保護3GPP基礎(chǔ)鑒權(quán)基礎(chǔ)隱私保護增強空口隱私防護加密及完保切片認證/二次認證SBA安全切片傳輸安全	資源專享企業(yè)智能防火墻IPSec加密邊緣計算安全

數(shù)據(jù)來源：公開資料整理

運營運維模式

切片運營運維按運營運維難度和系統(tǒng)開放性可將租戶需要的運營管理活動分為2種場景。

切片運維運營場景

切片運維運營場景
切片等級	場景	能力開放程度	可監(jiān)控	可管理
L3	行業(yè)網(wǎng)-普通	租戶Portal（KPI可視化）	通過租戶Portal查看切片狀態(tài)、查看UE信息、查看賬單、獲取SLA報表等	不涉及
L2	行業(yè)網(wǎng)-VIP	租戶Portal（KPI可視化+業(yè)務(wù)自助）	通過租戶Portal查看切片狀態(tài)、查看UE信息、查看賬單、獲取SLA報表等	通過自服務(wù)Portal實現(xiàn)：1、業(yè)務(wù)訂購、修改、終止等；2、UE生命周期管理（UE開銷戶、停復(fù)機等）3、簡單故障診斷。如實時診斷、歷史信息關(guān)聯(lián)診斷（非實時診斷）、位置服務(wù)等
L4	行業(yè)網(wǎng)-特需	API能力開放（KPI可視化+業(yè)務(wù)自助）	通過開放API，租戶自己用APP實現(xiàn)切片業(yè)務(wù)監(jiān)控	通過開放API，租戶自己用APP實現(xiàn)切片業(yè)務(wù)管理

數(shù)據(jù)來源：公開資料整理

租戶自服務(wù)Portal提供的功能如下：1、切片業(yè)務(wù)監(jiān)控。租戶自運營Portal支持租戶監(jiān)控和查看切片相關(guān)的各種信息，主要包括：1)切片業(yè)務(wù)信息查詢：包括切片狀態(tài)查詢、切片SLA報表等。2)切片賬單查詢：與切片業(yè)務(wù)相關(guān)的賬單信息。3)UE基本信息查詢：包括UE狀態(tài)查詢、UE生命周期信息查詢、UE套餐業(yè)務(wù)查詢、UE群組信息查詢等。

2、切片業(yè)務(wù)辦理。租戶自運營Portal支持租戶自助進行業(yè)務(wù)辦理，主要包括：1)切片業(yè)務(wù)自助辦理：如申請開通新的切片業(yè)務(wù)，或者在已開通切片中調(diào)整套餐內(nèi)容，或者申請暫停/停止切片業(yè)務(wù)等。2)UE生命周期管理：包括UE的開戶銷戶、停機復(fù)機、UE的業(yè)務(wù)套餐修改等。3)業(yè)務(wù)自動化策略管理：租戶可對業(yè)務(wù)自助處理的策略進行設(shè)置，包括消息通知、業(yè)務(wù)變更、數(shù)據(jù)采集設(shè)置等。

3、切片業(yè)務(wù)保障。租戶自運營Portal支持租戶自助做一些簡單的故障診斷，包括：1)實時診斷：支持在線查詢UE信息，根據(jù)UE實時狀態(tài)信息來診斷切片業(yè)務(wù)故障。2)非實時診斷：支持關(guān)聯(lián)查詢相關(guān)歷史信息（如UE狀態(tài)信息、UDM等5GC網(wǎng)元開放的信息），用于綜合評估故障原因。3)位置信息服務(wù)：支持查看UE或UE群的位置，輔助進行故障診斷。

4、切片API能力開放場景，對于希望自己開發(fā)APP的租戶，可通過調(diào)用CSMF的能力開放API，自行實現(xiàn)上述所有運營能力。1)監(jiān)控能力：包括運營能力開放、切片網(wǎng)絡(luò)數(shù)據(jù)開放。租戶所需的網(wǎng)絡(luò)能力可統(tǒng)一由CSMF接口。2)業(yè)務(wù)辦理能力：包括租戶自助服務(wù)所需的API。注：租戶選擇建議：對期望聚焦于切片使用而不希望自己做太多運維投入的中小租戶，建議優(yōu)先選擇租戶自運營PORTAL完成自助服務(wù)或運營；對于希望對切片業(yè)務(wù)有更多掌握，且有較多運維預(yù)算的大型租戶，可通過切片API能力開放自建APP。

四、5G網(wǎng)絡(luò)切片應(yīng)用場景及安全需求

5G網(wǎng)絡(luò)切片應(yīng)用場景主要包括eMBB（增強移動寬帶）、uRLLC（超可靠低時延通信）和mMTC（海量機器類通信）。

1、eMBB應(yīng)用場景及安全需求

eMBB典型應(yīng)用場景主要包括高清視頻、AR/VR、海量實時數(shù)據(jù)交互等移動互聯(lián)網(wǎng)業(yè)務(wù)，以及視頻監(jiān)控、移動醫(yī)療等物聯(lián)網(wǎng)業(yè)務(wù)，5G時代，人們希望在體育賽事、演唱會等人員超密集場景下以及在高鐵上等高速移動環(huán)境下也能獲得連續(xù)的優(yōu)質(zhì)業(yè)務(wù)體驗。這些業(yè)務(wù)對5G網(wǎng)絡(luò)的流量、傳輸速率都提出了很高的要求，包括高用戶體驗速率、高用戶峰值速率、高清視頻流的流暢播放、高速移動時大流量密度、高用戶密度場景下的高數(shù)據(jù)速率、業(yè)務(wù)連續(xù)性、根據(jù)用戶數(shù)自動擴縮容、優(yōu)化用戶面數(shù)據(jù)傳輸路徑等。

eMBB應(yīng)用場景的大流量、高速率對現(xiàn)有網(wǎng)絡(luò)安全防護手段提出了挑戰(zhàn)：大流量、高速率帶來網(wǎng)絡(luò)邊緣數(shù)據(jù)流量的大幅提升，現(xiàn)有網(wǎng)絡(luò)中部署的防火墻、入侵檢測系統(tǒng)、數(shù)據(jù)及信息保護系統(tǒng)等安全設(shè)備在流量檢測、鏈路覆蓋、數(shù)據(jù)存儲、計算與處理能力等方面將面臨較大挑戰(zhàn)。因此，需要對安全防護技術(shù)和設(shè)備進行演進和升級，如在現(xiàn)有防護手段中引入虛擬化、服務(wù)化技術(shù)等，以適應(yīng)和應(yīng)對大流量、高速率帶來的沖擊。

2、uRLLC應(yīng)用場景及安全需求

uRLLC典型應(yīng)用場景主要包括工業(yè)控制、遠程醫(yī)療、自動駕駛、智能電網(wǎng)以及公共安全等。這些業(yè)務(wù)對端到端時延、安全性和可靠性提出了很高的要求，包括毫秒級時延、高可靠性、低丟包率、低抖動、多樣性安全機制以及業(yè)務(wù)隔離等。

uRLLC應(yīng)用場景的低時延需求造成復(fù)雜的安全機制部署受限。安全機制的部署，例如接入認證、數(shù)據(jù)傳輸安全保護、終端移動過程中切換、數(shù)據(jù)加解密等均會增加時延，過于復(fù)雜的安全機制不能滿足低時延業(yè)務(wù)的要求。另外，uRLLC應(yīng)用場景通常需要借助部署多接入邊緣計算（MEC）系統(tǒng)來實現(xiàn)超可靠、低時延指標(biāo)，而MEC的部署特點是將邊緣計算節(jié)點下沉到核心網(wǎng)邊緣，邊緣環(huán)境受到物理攻擊的可能性增大。因此，需要建立面向低時延需求的安全機制，優(yōu)化業(yè)務(wù)接入認證、數(shù)據(jù)加解密等環(huán)節(jié)帶來的時延；同時，對邊緣計算設(shè)施予以物理保護和網(wǎng)絡(luò)防護，充分利用已有的安全技術(shù)進行平臺加固并增強邊緣設(shè)施自身的防盜防破壞措施，盡力提升低時延條件下安全防護能力。

3、mMTC應(yīng)用場景及安全需求

mMTC典型應(yīng)用場景主要包括智能家居、智慧城市、環(huán)境監(jiān)測、智慧農(nóng)業(yè)、智能抄表和智能穿戴等物聯(lián)網(wǎng)業(yè)務(wù)。這些應(yīng)用覆蓋領(lǐng)域廣，接入設(shè)備數(shù)量巨大，應(yīng)用地域和設(shè)備供應(yīng)商標(biāo)準(zhǔn)分散，業(yè)務(wù)種類多，業(yè)務(wù)在低功耗、大連接方面有突出需求，包括高密度的海量設(shè)備連接、多樣化連接模式、高效的輕量級通信、低頻率數(shù)據(jù)傳輸下的高資源使用率、輕量級的設(shè)備配置和管理、低能耗、通信安全性、在線和離線計費等。

mMTC應(yīng)用場景的海量多樣化終端易被攻擊利用，對網(wǎng)絡(luò)運行安全造成威脅。預(yù)計到2025年全球物聯(lián)網(wǎng)設(shè)備聯(lián)網(wǎng)數(shù)量將達到252億，其中大量功耗低、計算和存儲資源有限的終端難以部署復(fù)雜的安全策略，一旦被攻擊利用形成設(shè)備僵尸網(wǎng)絡(luò)，將會成為攻擊源，進而引發(fā)對用戶應(yīng)用和后臺系統(tǒng)等的網(wǎng)絡(luò)攻擊，帶來網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓等安全風(fēng)險。因此，需要構(gòu)建基于海量機器類通信場景的安全模型，優(yōu)化終端設(shè)備接入安全機制，建立智能動態(tài)防御體系應(yīng)對網(wǎng)絡(luò)攻擊，防止網(wǎng)絡(luò)安全威脅橫向擴散。

五、5G網(wǎng)絡(luò)切片標(biāo)準(zhǔn)進展

1、國際標(biāo)準(zhǔn)

5G網(wǎng)絡(luò)切片相關(guān)的國際標(biāo)準(zhǔn)主要在第三代合作伙伴（3GPP）研究制定，目前重點研究網(wǎng)絡(luò)切片架構(gòu)、流程以及管理和編排等方面的內(nèi)容，后續(xù)研究的熱點包括智能切片及無線接入網(wǎng)切片等。其中，智能切片主要研究切片管理系統(tǒng)如何依據(jù)用戶體驗信息靈活、動態(tài)地調(diào)整資源配置；無線接入網(wǎng)切片主要研究切片空口資源保障及資源隔離等。

在網(wǎng)絡(luò)切片安全方面，重點研究5G網(wǎng)絡(luò)切片安全需求、認證架構(gòu)及流程、隱私保護、切片安全管理、切片服務(wù)安全能力開放等。3GPP分階段研究不同的關(guān)鍵問題：R14階段，主要研究切片隔離、網(wǎng)絡(luò)切片安全機制差異化、接入安全等內(nèi)容；R15階段，重點研究用戶接入數(shù)據(jù)網(wǎng)絡(luò)中的切片認證流程；R16階段，聚焦接入特定網(wǎng)絡(luò)切片的認證、密鑰隔離、網(wǎng)絡(luò)切片即服務(wù)（NSaas）安全功能以及安全隱私等方面。

3GPP在網(wǎng)絡(luò)切片方面的主要研究成果有：系統(tǒng)架構(gòu)（3GPPTS23.501）、5G系統(tǒng)流程（3GPPTS23.502）、下一代系統(tǒng)安全研究（3GPPTR33.899）、5G系統(tǒng)安全架構(gòu)和流程（3GPPTS33.501）、網(wǎng)絡(luò)切片增強研究（3GPPTR23.740）、網(wǎng)絡(luò)和網(wǎng)絡(luò)切片的管理和編排（3GPPTS28.531）、網(wǎng)絡(luò)切片增強安全研究（3GPPTR33.813）、網(wǎng)絡(luò)切片管理的基本概念、相關(guān)角色和管理需求（3GPPTS28.530）、網(wǎng)絡(luò)切片管理和編排：切片提供（3GPPTS28.531）、管理服務(wù)（3GPPTS28.532）、架構(gòu)框架（3GPPTS28.533）、性能保障（3GPPTS28.550）、性能測量和保障（3GPPTS28.552）、端到端KPI指標(biāo)（3GPPTS28.554）、網(wǎng)絡(luò)資源模型（3GPPTS28.540、3GPPTS28.541）等。

2、國內(nèi)標(biāo)準(zhǔn)

我國5G網(wǎng)絡(luò)切片相關(guān)標(biāo)準(zhǔn)主要在中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）研究制定，目前在研項目主要包括移動通信網(wǎng)網(wǎng)絡(luò)切片管理技術(shù)要求、5G核心網(wǎng)絡(luò)切片場景及關(guān)鍵技術(shù)研究、5G核心網(wǎng)智能切片的應(yīng)用研究、5G網(wǎng)絡(luò)切片安全技術(shù)研究、支持5G承載的IP網(wǎng)絡(luò)切片技術(shù)研究、傳送網(wǎng)網(wǎng)絡(luò)切片技術(shù)研究等行業(yè)標(biāo)準(zhǔn)和研究課題。

為了更好地支撐切片的商用部署，加快制定端到端切片配套的標(biāo)準(zhǔn)，CCSA專門成立了“5G網(wǎng)絡(luò)端到端切片特設(shè)項目組”，2019年12月30日，項目組召開了第一次會議。會議提出建立5G網(wǎng)絡(luò)切片標(biāo)準(zhǔn)體系，該標(biāo)準(zhǔn)體系主要包括切片基礎(chǔ)能力和切片SLA（服務(wù)等級協(xié)議）保障兩大部分。隨著研究工作的進展，后續(xù)還會對該體系進行進一步修改完善。后續(xù)將加緊制定以下行業(yè)標(biāo)準(zhǔn)及研究課題：《5G網(wǎng)絡(luò)切片端到端總體技術(shù)要求》《5G網(wǎng)絡(luò)切片基于切片分組網(wǎng)絡(luò)（SPN）承載的端到端切片對接技術(shù)要求》《5G網(wǎng)絡(luò)切片基于IP承載的端到端切片對接技術(shù)要求》《5G網(wǎng)絡(luò)切片服務(wù)等級協(xié)議（SLA）保障技術(shù)要求》《5G網(wǎng)絡(luò)端到端切片標(biāo)識研究》

六、產(chǎn)業(yè)應(yīng)用建議

和3GPP協(xié)議Release15、Release16和Release17的標(biāo)準(zhǔn)演進節(jié)奏類似，端到端網(wǎng)絡(luò)切片解決方案的發(fā)展同樣不是一蹴而就的，而是會不停迭代、逐步成熟。與此同時，不同網(wǎng)絡(luò)切片提供的服務(wù)等級不同、其所需付出的網(wǎng)絡(luò)成本和代價也勢必存在差異，因此對于不同行業(yè)的客戶而言，能夠根據(jù)自身的應(yīng)用場景和需求特點、按需選擇和定制最適宜等級的網(wǎng)絡(luò)切片才是明智之舉，要避免一味追求最高等級服務(wù)而帶來的需求過剩。綜上，基于5G網(wǎng)絡(luò)切片的隔離性、SLA/QoS保障、切片運維運營這三個核心能力，結(jié)合標(biāo)準(zhǔn)技術(shù)具備度與行業(yè)客戶原始需求之間的匹配關(guān)系，5G網(wǎng)絡(luò)切片的整體產(chǎn)業(yè)節(jié)奏可以分為如下3個階段：

5G網(wǎng)絡(luò)切片的整體產(chǎn)業(yè)節(jié)奏3階段

數(shù)據(jù)來源：公開資料整理

Phase1（已ready）：如前文所述，在隔離性上，5G承載網(wǎng)和5G核心網(wǎng)均已經(jīng)可以支持不同的軟、硬隔離方案，而5GNR側(cè)則主要依托于5QI（Qos調(diào)度機制）實現(xiàn)廣域場景下的軟隔離，或通過園區(qū)行業(yè)專用5GNR（包括微站、室分等多形態(tài)小型無線基站）實現(xiàn)局域場景下的硬隔離。在業(yè)務(wù)體驗保障上，主要通過5QI實現(xiàn)不同切片間的差異化SLA保障。而在切片運維運營能力上，可以實現(xiàn)網(wǎng)絡(luò)切片的端到端KPI可視化管理。這也意味著，自2020年起，面向公眾網(wǎng)普通客戶、公眾網(wǎng)VIP客戶、行業(yè)網(wǎng)-普通客戶（如超高清直播上行、AR廣告等應(yīng)用場景）已經(jīng)具備E2E切片的商用交付能力，針對行業(yè)網(wǎng)-VIP及行業(yè)網(wǎng)特需客戶則需要針對性的溝通可交付能力。在隔離性上，5GNR側(cè)增強支持無線RB資源預(yù)技術(shù)（包括靜態(tài)預(yù)留和動態(tài)預(yù)留兩種模式），從而可以實現(xiàn)廣域場景下的E2E網(wǎng)絡(luò)資源隔離切片。在業(yè)務(wù)體驗保障上，通過增強支持5GLAN、5GTSN等特性，可以進一步實現(xiàn)不同切片間的差異化+確定性的SLA保障。而在切片運維運營能力上，則在切片租戶級KPI可視化的基礎(chǔ)上，可進一步支持行業(yè)對于所租用切片的有限自助服務(wù)。在該階段，運營商可以具備完善的服務(wù)行業(yè)網(wǎng)-VIP客戶（如AR/VR云游戲、無人機巡檢等）、行業(yè)網(wǎng)特需客戶（如電力控制類業(yè)務(wù)、工業(yè)園區(qū)及公安等）的能力。在該階段，5G網(wǎng)絡(luò)切片可以實現(xiàn)真正基于AI和負向反饋機制的SLA動態(tài)閉環(huán)，實現(xiàn)網(wǎng)絡(luò)自優(yōu)化，從而可以更好的服務(wù)于具有強移動性、強漫游性、強業(yè)務(wù)延續(xù)性需求的行業(yè)（如5GV2X）。同時，面向行業(yè)的綜合服務(wù)能力也會得到進一步增強和演進。

本文采編：CY331