王新寬 孟 凡 范學(xué)領(lǐng) 張淏湜 謝 敏

1.中國移動江蘇公司揚(yáng)州分公司；2.南京大學(xué)；3.西安交通大學(xué)；4.南京郵電大學(xué)

0 引言

隨著5G的普及，5G應(yīng)用進(jìn)入上升期，現(xiàn)有5G三大應(yīng)用場景中，ToB客戶（To Busines）成為互聯(lián)網(wǎng)大廠的技術(shù)與業(yè)務(wù)創(chuàng)新、運(yùn)營商增收的藍(lán)海，但某頭部互聯(lián)網(wǎng)企業(yè)提出與本地移動運(yùn)營商合作ToC（To Customer）短視頻應(yīng)用，以實(shí)現(xiàn)視頻快速分享，提升客戶感知，實(shí)現(xiàn)增收。大流量、快速分享等特點(diǎn)，使短視頻App企業(yè)與運(yùn)營商從業(yè)務(wù)合作轉(zhuǎn)入深層的技術(shù)合作，比如將服務(wù)器放置于更貼近用戶的場景。

為此，本研究利用5G邊緣計算技術(shù)低延遲、高帶寬的優(yōu)勢，將短視頻服務(wù)器下沉到5G UPF（User Port Function，用戶平面功能，5G核心網(wǎng)的一部分），但也帶來了網(wǎng)絡(luò)結(jié)構(gòu)新的變換，產(chǎn)生了新的痛點(diǎn)：（1）對于涉詐、涉黃內(nèi)容，需要監(jiān)管、審核、屏蔽；（2）對于運(yùn)營商來說，將ToB客戶的服務(wù)器接入核心網(wǎng)，可能引起網(wǎng)絡(luò)安全問題；（3）5G網(wǎng)絡(luò)中核心網(wǎng)用戶面和控制面徹底分離，控制面網(wǎng)元在大區(qū)部署，而用戶面網(wǎng)元（UPF）則可以根據(jù)實(shí)際業(yè)務(wù)需求靈活部署，因此傳統(tǒng)的數(shù)據(jù)采集部署方案不能適應(yīng)新的網(wǎng)絡(luò)架構(gòu)；（4）5G網(wǎng)絡(luò)引入了SDN/NFV、虛擬化等新技術(shù)，使得網(wǎng)元設(shè)備形態(tài)發(fā)生變化，且網(wǎng)元數(shù)量大量增加，采集接口、接入ToB客戶服務(wù)器的接口與4G網(wǎng)絡(luò)不同。

1 業(yè)務(wù)與管控要求

1.1 業(yè)務(wù)需求

將GPU視頻服務(wù)器下沉至本地移動核心節(jié)點(diǎn)后，根據(jù)現(xiàn)有的視頻調(diào)度策略，只能通過源IP調(diào)度的方案將本地移動的用戶流量訪問調(diào)度至本地節(jié)點(diǎn)，存在以下幾個具體問題：（1）請求報文需要繞行至該互聯(lián)網(wǎng)企業(yè)的調(diào)度運(yùn)營中心，請求距離較長，無法直接通過本地GPU服務(wù)器進(jìn)行響應(yīng)，影響用戶感知；（2）目前5G用戶在快速增長階段，對應(yīng)的IPv4及IPv6地址在持續(xù)擴(kuò)容中，如果未及時告知該互聯(lián)網(wǎng)企業(yè)，將導(dǎo)致無法就近服務(wù)本地短視頻用戶；（3）調(diào)度運(yùn)營中心為全局管控，若出現(xiàn)細(xì)微的問題，將導(dǎo)致調(diào)度的不精準(zhǔn)，比如其他省用戶調(diào)度至江蘇本地節(jié)點(diǎn)，增大負(fù)荷的同時也會影響用戶的使用感知。

5G ToB垂直行業(yè)用戶也面臨著類似的問題，他們的需求主要是數(shù)據(jù)不出園區(qū)、邊緣計算等，對流量的精準(zhǔn)引流提出了很高的要求。組網(wǎng)結(jié)構(gòu)如圖1所示。

圖1 UPF結(jié)構(gòu)圖

1.2 管控要求

管控需要對流量進(jìn)行牽引，其基于策略的下發(fā)和執(zhí)行，將特定的部分用戶面流量牽引至特定UPF進(jìn)行采集、分析和管控。其中：（1）5G網(wǎng)絡(luò)中承載用戶面流量的網(wǎng)元是UPF，因此用戶面流量采集設(shè)備部署在UPF側(cè)。特定UPF用于承載牽引出的特定用戶面流量，僅采集特定UPF上的用戶面流量可以有效減少采集設(shè)備的部署，實(shí)現(xiàn)用戶面流量采集的降本增效。（2）流量牽引策略針對需求將網(wǎng)絡(luò)中的特定人群、特定業(yè)務(wù)、特定區(qū)域的用戶面流量牽引至特定UPF上，實(shí)現(xiàn)流量牽引。（3）基于修改用戶簽約數(shù)據(jù)的流量牽引技術(shù)，通過運(yùn)營商業(yè)務(wù)支撐系統(tǒng)提供的開放接口或開放平臺修改終端用戶簽約數(shù)據(jù)（DNN）來實(shí)現(xiàn)流量牽引。策略下發(fā)要盡量簡單，盡量不增加網(wǎng)絡(luò)設(shè)備，易于實(shí)現(xiàn)。

2 方案設(shè)計與方案

2.1 設(shè)計思路

針對前述痛點(diǎn)、具體業(yè)務(wù)需求和管控要求，結(jié)合現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、相關(guān)規(guī)范，進(jìn)行設(shè)計。

2.1.1 策略統(tǒng)一管理和數(shù)據(jù)共享總體設(shè)計

5G統(tǒng)一數(shù)據(jù)分發(fā)共享平臺作為整個平臺系統(tǒng)聯(lián)動處置的執(zhí)行方，下發(fā)流量牽引策略和流量采集命令，并對上傳的數(shù)據(jù)進(jìn)行數(shù)據(jù)分析、數(shù)據(jù)管理以及統(tǒng)一規(guī)則策略管理聯(lián)動，并根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行數(shù)據(jù)分發(fā)共享。同時作為數(shù)據(jù)采集的執(zhí)行方，執(zhí)行流量牽引和采集操作，進(jìn)行數(shù)據(jù)采集和數(shù)據(jù)上報，其中采集的數(shù)據(jù)源包括5G信令流量、5G特定數(shù)據(jù)流量、XDR數(shù)據(jù)、工參數(shù)據(jù)以及其他系統(tǒng)數(shù)據(jù)。

2.1.2 策略和規(guī)則管理業(yè)務(wù)流程

統(tǒng)一策略和規(guī)則管理子系統(tǒng)可以與現(xiàn)有網(wǎng)絡(luò)安全平臺系統(tǒng)進(jìn)行聯(lián)動，部署統(tǒng)一規(guī)則引擎、建立統(tǒng)一規(guī)則管理與協(xié)同聯(lián)動平臺，為后續(xù)基于已有安全系統(tǒng)實(shí)現(xiàn)統(tǒng)一規(guī)則管理及協(xié)同聯(lián)動提供指導(dǎo)，同時針對業(yè)務(wù)場景開展動態(tài)流量過濾與篩選試點(diǎn)，并通過統(tǒng)一管理平臺實(shí)現(xiàn)全網(wǎng)管理，提高流量價值，降低流量采集分析成本，實(shí)現(xiàn)目標(biāo)對象的全監(jiān)全管。

2.1.3 策略統(tǒng)一管理和數(shù)據(jù)共享總體設(shè)計

5G統(tǒng)一數(shù)據(jù)分發(fā)共享平臺可滿足安全監(jiān)測的數(shù)據(jù)需求，有效提供5G應(yīng)用數(shù)據(jù)的實(shí)時查詢和各種數(shù)據(jù)共享分發(fā)能力。

2.1.4 策略和規(guī)則管理業(yè)務(wù)流程

通過5G流量牽引技術(shù)實(shí)現(xiàn)針對特定用戶、特定切片、特定區(qū)域的流量牽引，實(shí)現(xiàn)5G低成本監(jiān)測和管控的目標(biāo)。

5G流量牽引后端系統(tǒng)部署在本地移動機(jī)房內(nèi)，與流量牽引前端系統(tǒng)交互，下發(fā)流量牽引策略。流量牽引系統(tǒng)可對本身因業(yè)務(wù)需求提供流量牽引策略下發(fā)接口。

流量牽引前端執(zhí)行系統(tǒng)部署在核心機(jī)房，接收后端系統(tǒng)下發(fā)的流量牽引策略，并將牽引的流量由5G DPI（Deep Packet Inspection，深度報文檢測）解析后生成日志與安全事件，并上報到后端系統(tǒng)；向下對接核心網(wǎng)網(wǎng)元，將牽引策略翻譯為核心網(wǎng)元的接口消息，執(zhí)行流量牽引操作。

2.1.5 流量牽引業(yè)務(wù)流程

完成目標(biāo)流量的牽引和采集過程需要經(jīng)過6個實(shí)體：流量牽引管控后端平臺、5G流量牽引一體化系統(tǒng)的流量牽引管理子系統(tǒng)、5G流量牽引一體化系統(tǒng)的流量牽引前端執(zhí)行系統(tǒng)（與5G網(wǎng)絡(luò)交互實(shí)現(xiàn)與流量牽引管理子系統(tǒng)策略的收發(fā)）、5G核心網(wǎng)、部署在5G核心網(wǎng)控制面的信令采集設(shè)備和部署在5G核心網(wǎng)專用UPF側(cè)的用戶面采集設(shè)備。

2.2 具體方案

在5G獨(dú)立組網(wǎng)SA架構(gòu)下，參照網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)和規(guī)范、5GToB和5GToC的相關(guān)技術(shù)規(guī)范，制定如圖2所示的架構(gòu)。

圖2 ToBToC網(wǎng)絡(luò)安全架構(gòu)

基于如上安全架構(gòu)，設(shè)計該網(wǎng)絡(luò)安全與流量牽引系統(tǒng)，以實(shí)現(xiàn)5G ToB ToC業(yè)務(wù)發(fā)展與監(jiān)管要求，如圖3所示。

圖3 ToBToC安全與引流系統(tǒng)

2.2.1 5G應(yīng)用安全監(jiān)測平臺功能

5G應(yīng)用安全監(jiān)測平臺作為管控后端平臺，接收來自不同業(yè)務(wù)部門的業(yè)務(wù)需求，制定流量牽引策略，并依據(jù)不同的策略針對部分特定用戶面流量數(shù)據(jù)進(jìn)行牽引，包括：流量牽引設(shè)置、數(shù)據(jù)信令跟蹤、數(shù)據(jù)交互和系統(tǒng)管理。同時，包含和運(yùn)營商側(cè)DPI解析的訪問日志及安全事件上報接收接口。

（1）流量牽引設(shè)置

基于安全監(jiān)測需求，并參考既定規(guī)則，將流量牽引策略下發(fā)給牽引前端。流量牽引策略粒度包括：

①對特定終端設(shè)置/取消流量牽引。根據(jù)輸入的手機(jī)號碼（MSISDN/SUPI/IMEI）、號碼段或者號碼列表等條件，實(shí)現(xiàn)對特定的用戶或者用戶群進(jìn)行流量牽引設(shè)置和取消。

②對特定地理區(qū)域用戶設(shè)置/取消流量牽引?；诨疚恢眯畔⑼ㄟ^選擇基站信息，獲取該區(qū)域內(nèi)用戶信息，實(shí)現(xiàn)針對特定地理區(qū)域的流量牽引設(shè)置和取消。

③對特定應(yīng)用設(shè)置/取消流量牽引?；谔囟ǖ膽?yīng)用，獲取該應(yīng)用的用戶信息，實(shí)現(xiàn)針對特定應(yīng)用的流量牽引設(shè)置和取消。

（2）流量牽引策略校驗(yàn)

流量牽引策略校驗(yàn)指在邏輯上進(jìn)行驗(yàn)證，符合策略管理規(guī)則，保證前后不沖突，不重復(fù)，以保證牽引策略的合法、合理性，且不影響正常業(yè)務(wù)。

（3）策略牽引策略下發(fā)

將驗(yàn)證后的牽引策略轉(zhuǎn)換為南向接口消息，發(fā)送給流量牽引執(zhí)行網(wǎng)元，執(zhí)行流量牽引操作。

（4）數(shù)據(jù)信令跟蹤

數(shù)據(jù)信令跟蹤模塊能夠?qū)Σ杉降奶囟ňW(wǎng)絡(luò)流量進(jìn)行信令和用戶數(shù)據(jù)的實(shí)時跟蹤分析，并實(shí)現(xiàn)信令回溯。①支持查詢各接口生成的話單記錄，包括信令面接口的控制記錄，以及用戶面上網(wǎng)的詳細(xì)記錄，準(zhǔn)確呈現(xiàn)用戶信令流程和上網(wǎng)的業(yè)務(wù)過程，單擊某條記錄可以鉆取到該條記錄的原始信令流程。②根據(jù)單接口業(yè)務(wù)記錄，鉆取該接口的原始信令數(shù)據(jù)，呈現(xiàn)出業(yè)務(wù)詳細(xì)流程和原始的數(shù)據(jù)包格式，協(xié)助進(jìn)行協(xié)議問題的分析定位。③可以按照時間、網(wǎng)元、業(yè)務(wù)和用戶等維度進(jìn)行關(guān)鍵業(yè)務(wù)KPI的統(tǒng)計分析。

（5）數(shù)據(jù)交互

數(shù)據(jù)交互功能模塊負(fù)責(zé)與前端系統(tǒng)的牽引策略管理模塊交互，下發(fā)牽引策略并依據(jù)牽引策略管理模塊反饋的策略響應(yīng)，完成流量牽引策略的校驗(yàn)。

2.2.2 數(shù)據(jù)采集和解析功能

（1）信令面采集解析

當(dāng)前CU分離和5G架構(gòu)下，核心網(wǎng)采集架構(gòu)主要有三點(diǎn)變化：①控制面C上移，在大區(qū)中心集中部署；②數(shù)據(jù)面U由各省公司下沉到地市；③核心網(wǎng)虛擬化，全部上云。

基于上述5G網(wǎng)絡(luò)帶來的變化，信令面和用戶面分離導(dǎo)致在地市的一個機(jī)房無法同時接入主要的兩種數(shù)據(jù)：N3用戶面數(shù)據(jù)、N11信令面數(shù)據(jù)。通過研究5G網(wǎng)絡(luò)架構(gòu)和信令交互特點(diǎn)，可在5GC核心網(wǎng)側(cè)實(shí)現(xiàn)N11等信令面數(shù)據(jù)的采集和解析，在UPF側(cè)實(shí)現(xiàn)對N3數(shù)據(jù)的采集和解析，通過N11信令面數(shù)據(jù)可回填N3用戶面數(shù)據(jù)三碼身份信息。

（2）用戶面采集解析

目前5G匯聚分流設(shè)備和DPI設(shè)備已經(jīng)可實(shí)現(xiàn)原始碼流的鏡像和話單數(shù)據(jù)的輸出。數(shù)據(jù)的采集解析方式分為兩種：①5G行業(yè)應(yīng)用側(cè)將牽引后的所有流量統(tǒng)一匯聚傳輸?shù)狡脚_進(jìn)行統(tǒng)一采集解析；②本地5G行業(yè)應(yīng)用流量牽引后由DPI解析生成日志，對日志統(tǒng)一匯聚傳輸?shù)狡脚_進(jìn)行采集解析。

本項(xiàng)目采用的部署方式為，用戶面流量采集解析設(shè)備對用戶面消息解析并生成話單，并將特定用戶面日志話單發(fā)送到核心網(wǎng)機(jī)房，之后根據(jù)信令面號碼關(guān)聯(lián)回填用戶三碼（MSI SDNSUPIPEI）等信息。

2.2.3 流量牽引管理功能

部署在本地移動前端設(shè)備中，對接收到的流量牽引策略進(jìn)行管理和校驗(yàn)，包含策略處理支撐、信令面數(shù)據(jù)支撐、用戶面數(shù)據(jù)支撐，負(fù)責(zé)與信令面和用戶面采集設(shè)備交互，為流量牽引策略的執(zhí)行提供支撐。

（1）牽引策略處理支撐

策略處理支撐模塊負(fù)責(zé)流量牽引策略的接收和轉(zhuǎn)發(fā)，并完成牽引策略的校驗(yàn)，同時支持基于地理區(qū)域流量牽引策略中用戶終端位置的計算。

策略處理支撐模塊負(fù)責(zé)實(shí)現(xiàn)流量牽引策略：①支持接收流量牽引管控后端下發(fā)的策略；②支持對后端系統(tǒng)下發(fā)流量牽引策略的初步邏輯驗(yàn)證；③支持將流量牽引策略下發(fā)給流量牽引策略子系統(tǒng)；④支持接收流量牽引策略子系統(tǒng)業(yè)務(wù)支撐系統(tǒng)的策略響應(yīng)、驗(yàn)證和響應(yīng)結(jié)果反饋。

（2）信令面數(shù)據(jù)支撐

信令面數(shù)據(jù)支撐模塊負(fù)責(zé)基于信令面數(shù)據(jù)相關(guān)功能：①支持信令面數(shù)據(jù)采集后關(guān)聯(lián)分析；②支持信令的終端狀態(tài)監(jiān)測管理；③支持生成控制信令XDR話單。

（3）用戶面數(shù)據(jù)支撐

用戶面數(shù)據(jù)支撐模塊負(fù)責(zé)基于特定用戶面數(shù)據(jù)相關(guān)功能：①支持接收特定用戶流量數(shù)據(jù)；②支持特定用戶流量數(shù)據(jù)采集后關(guān)聯(lián)分析；③支持用戶面XDR數(shù)據(jù)的合成、存儲和管理；④支持專用UPF狀態(tài)的監(jiān)測管理。

3 效果分析

3.1 實(shí)用性分析

該項(xiàng)目中使用的流量采集分析設(shè)備開發(fā)時涉及多系統(tǒng)、多引擎、多模塊。架構(gòu)上采取分模塊、分系統(tǒng)設(shè)計思路，按照數(shù)據(jù)采集、存儲、分析、應(yīng)用、展示等業(yè)務(wù)邏輯，對系統(tǒng)進(jìn)行整合。即使本設(shè)備宕機(jī)，也不能對其他業(yè)務(wù)系統(tǒng)不產(chǎn)生任何影響。在一定規(guī)模的業(yè)務(wù)量上，在特殊時期，可以使用雙機(jī)熱備方案確保穩(wěn)定性。

3.2 實(shí)施效果

本平臺具備在5G大流量場景下，在滿足一定實(shí)時性和終端用戶無感的前提下，實(shí)現(xiàn)在特定時間內(nèi)對網(wǎng)絡(luò)中特定終端用戶面的流量牽引設(shè)置和取消的流量牽引功能，從而實(shí)現(xiàn)了5G SA網(wǎng)絡(luò)環(huán)境下基于流量牽引技術(shù)的對網(wǎng)絡(luò)特定部分的流量精細(xì)化采集，在降低數(shù)據(jù)采集分析成本的同時，提高了5G網(wǎng)絡(luò)流量采集、分析和重點(diǎn)安全監(jiān)測的靈活性和效率。

4 結(jié)束語

本研究提出5G網(wǎng)絡(luò)環(huán)境下基于策略的網(wǎng)絡(luò)安全與流量牽引采集方案，構(gòu)建完整的5G ToB ToC行業(yè)應(yīng)用安全監(jiān)測體系，包括5G應(yīng)用安全監(jiān)測平臺、數(shù)據(jù)采集和解析、流量牽引管理系統(tǒng)等。同時，很好地利用了5G邊緣計算技術(shù)低延遲、高帶寬的優(yōu)勢，通過5G流量牽引技術(shù)實(shí)現(xiàn)針對特定用戶、特定切片、特定區(qū)域的流量牽引，實(shí)現(xiàn)5G低成本監(jiān)測和管控的目標(biāo)。本方案適用場景廣泛，不僅滿足了監(jiān)管和網(wǎng)絡(luò)安全的需要，也有助于新業(yè)務(wù)的上線和增收。