王新寬 孟 凡 范學領 張淏湜 謝 敏

1.中國移動江蘇公司揚州分公司；2.南京大學；3.西安交通大學；4.南京郵電大學

0 引言

隨著5G的普及，5G應用進入上升期，現(xiàn)有5G三大應用場景中，ToB客戶（To Busines）成為互聯(lián)網(wǎng)大廠的技術與業(yè)務創(chuàng)新、運營商增收的藍海，但某頭部互聯(lián)網(wǎng)企業(yè)提出與本地移動運營商合作ToC（To Customer）短視頻應用，以實現(xiàn)視頻快速分享，提升客戶感知，實現(xiàn)增收。大流量、快速分享等特點，使短視頻App企業(yè)與運營商從業(yè)務合作轉入深層的技術合作，比如將服務器放置于更貼近用戶的場景。

為此，本研究利用5G邊緣計算技術低延遲、高帶寬的優(yōu)勢，將短視頻服務器下沉到5G UPF（User Port Function，用戶平面功能，5G核心網(wǎng)的一部分），但也帶來了網(wǎng)絡結構新的變換，產(chǎn)生了新的痛點：（1）對于涉詐、涉黃內容，需要監(jiān)管、審核、屏蔽；（2）對于運營商來說，將ToB客戶的服務器接入核心網(wǎng)，可能引起網(wǎng)絡安全問題；（3）5G網(wǎng)絡中核心網(wǎng)用戶面和控制面徹底分離，控制面網(wǎng)元在大區(qū)部署，而用戶面網(wǎng)元（UPF）則可以根據(jù)實際業(yè)務需求靈活部署，因此傳統(tǒng)的數(shù)據(jù)采集部署方案不能適應新的網(wǎng)絡架構；（4）5G網(wǎng)絡引入了SDN/NFV、虛擬化等新技術，使得網(wǎng)元設備形態(tài)發(fā)生變化，且網(wǎng)元數(shù)量大量增加，采集接口、接入ToB客戶服務器的接口與4G網(wǎng)絡不同。

1 業(yè)務與管控要求

1.1 業(yè)務需求

將GPU視頻服務器下沉至本地移動核心節(jié)點后，根據(jù)現(xiàn)有的視頻調度策略，只能通過源IP調度的方案將本地移動的用戶流量訪問調度至本地節(jié)點，存在以下幾個具體問題：（1）請求報文需要繞行至該互聯(lián)網(wǎng)企業(yè)的調度運營中心，請求距離較長，無法直接通過本地GPU服務器進行響應，影響用戶感知；（2）目前5G用戶在快速增長階段，對應的IPv4及IPv6地址在持續(xù)擴容中，如果未及時告知該互聯(lián)網(wǎng)企業(yè)，將導致無法就近服務本地短視頻用戶；（3）調度運營中心為全局管控，若出現(xiàn)細微的問題，將導致調度的不精準，比如其他省用戶調度至江蘇本地節(jié)點，增大負荷的同時也會影響用戶的使用感知。

5G ToB垂直行業(yè)用戶也面臨著類似的問題，他們的需求主要是數(shù)據(jù)不出園區(qū)、邊緣計算等，對流量的精準引流提出了很高的要求。組網(wǎng)結構如圖1所示。

圖1 UPF結構圖

1.2 管控要求

管控需要對流量進行牽引，其基于策略的下發(fā)和執(zhí)行，將特定的部分用戶面流量牽引至特定UPF進行采集、分析和管控。其中：（1）5G網(wǎng)絡中承載用戶面流量的網(wǎng)元是UPF，因此用戶面流量采集設備部署在UPF側。特定UPF用于承載牽引出的特定用戶面流量，僅采集特定UPF上的用戶面流量可以有效減少采集設備的部署，實現(xiàn)用戶面流量采集的降本增效。（2）流量牽引策略針對需求將網(wǎng)絡中的特定人群、特定業(yè)務、特定區(qū)域的用戶面流量牽引至特定UPF上，實現(xiàn)流量牽引。（3）基于修改用戶簽約數(shù)據(jù)的流量牽引技術，通過運營商業(yè)務支撐系統(tǒng)提供的開放接口或開放平臺修改終端用戶簽約數(shù)據(jù)（DNN）來實現(xiàn)流量牽引。策略下發(fā)要盡量簡單，盡量不增加網(wǎng)絡設備，易于實現(xiàn)。

2 方案設計與方案

2.1 設計思路

針對前述痛點、具體業(yè)務需求和管控要求，結合現(xiàn)有網(wǎng)絡結構、相關規(guī)范，進行設計。

2.1.1 策略統(tǒng)一管理和數(shù)據(jù)共享總體設計

5G統(tǒng)一數(shù)據(jù)分發(fā)共享平臺作為整個平臺系統(tǒng)聯(lián)動處置的執(zhí)行方，下發(fā)流量牽引策略和流量采集命令，并對上傳的數(shù)據(jù)進行數(shù)據(jù)分析、數(shù)據(jù)管理以及統(tǒng)一規(guī)則策略管理聯(lián)動，并根據(jù)實際業(yè)務需求進行數(shù)據(jù)分發(fā)共享。同時作為數(shù)據(jù)采集的執(zhí)行方，執(zhí)行流量牽引和采集操作，進行數(shù)據(jù)采集和數(shù)據(jù)上報，其中采集的數(shù)據(jù)源包括5G信令流量、5G特定數(shù)據(jù)流量、XDR數(shù)據(jù)、工參數(shù)據(jù)以及其他系統(tǒng)數(shù)據(jù)。

2.1.2 策略和規(guī)則管理業(yè)務流程

統(tǒng)一策略和規(guī)則管理子系統(tǒng)可以與現(xiàn)有網(wǎng)絡安全平臺系統(tǒng)進行聯(lián)動，部署統(tǒng)一規(guī)則引擎、建立統(tǒng)一規(guī)則管理與協(xié)同聯(lián)動平臺，為后續(xù)基于已有安全系統(tǒng)實現(xiàn)統(tǒng)一規(guī)則管理及協(xié)同聯(lián)動提供指導，同時針對業(yè)務場景開展動態(tài)流量過濾與篩選試點，并通過統(tǒng)一管理平臺實現(xiàn)全網(wǎng)管理，提高流量價值，降低流量采集分析成本，實現(xiàn)目標對象的全監(jiān)全管。

2.1.3 策略統(tǒng)一管理和數(shù)據(jù)共享總體設計

5G統(tǒng)一數(shù)據(jù)分發(fā)共享平臺可滿足安全監(jiān)測的數(shù)據(jù)需求，有效提供5G應用數(shù)據(jù)的實時查詢和各種數(shù)據(jù)共享分發(fā)能力。

2.1.4 策略和規(guī)則管理業(yè)務流程

通過5G流量牽引技術實現(xiàn)針對特定用戶、特定切片、特定區(qū)域的流量牽引，實現(xiàn)5G低成本監(jiān)測和管控的目標。

5G流量牽引后端系統(tǒng)部署在本地移動機房內，與流量牽引前端系統(tǒng)交互，下發(fā)流量牽引策略。流量牽引系統(tǒng)可對本身因業(yè)務需求提供流量牽引策略下發(fā)接口。

流量牽引前端執(zhí)行系統(tǒng)部署在核心機房，接收后端系統(tǒng)下發(fā)的流量牽引策略，并將牽引的流量由5G DPI（Deep Packet Inspection，深度報文檢測）解析后生成日志與安全事件，并上報到后端系統(tǒng)；向下對接核心網(wǎng)網(wǎng)元，將牽引策略翻譯為核心網(wǎng)元的接口消息，執(zhí)行流量牽引操作。

2.1.5 流量牽引業(yè)務流程

完成目標流量的牽引和采集過程需要經(jīng)過6個實體：流量牽引管控后端平臺、5G流量牽引一體化系統(tǒng)的流量牽引管理子系統(tǒng)、5G流量牽引一體化系統(tǒng)的流量牽引前端執(zhí)行系統(tǒng)（與5G網(wǎng)絡交互實現(xiàn)與流量牽引管理子系統(tǒng)策略的收發(fā)）、5G核心網(wǎng)、部署在5G核心網(wǎng)控制面的信令采集設備和部署在5G核心網(wǎng)專用UPF側的用戶面采集設備。

2.2 具體方案

在5G獨立組網(wǎng)SA架構下，參照網(wǎng)絡安全相關標準和規(guī)范、5GToB和5GToC的相關技術規(guī)范，制定如圖2所示的架構。

圖2 ToBToC網(wǎng)絡安全架構

基于如上安全架構，設計該網(wǎng)絡安全與流量牽引系統(tǒng)，以實現(xiàn)5G ToB ToC業(yè)務發(fā)展與監(jiān)管要求，如圖3所示。

圖3 ToBToC安全與引流系統(tǒng)

2.2.1 5G應用安全監(jiān)測平臺功能

5G應用安全監(jiān)測平臺作為管控后端平臺，接收來自不同業(yè)務部門的業(yè)務需求，制定流量牽引策略，并依據(jù)不同的策略針對部分特定用戶面流量數(shù)據(jù)進行牽引，包括：流量牽引設置、數(shù)據(jù)信令跟蹤、數(shù)據(jù)交互和系統(tǒng)管理。同時，包含和運營商側DPI解析的訪問日志及安全事件上報接收接口。

（1）流量牽引設置

基于安全監(jiān)測需求，并參考既定規(guī)則，將流量牽引策略下發(fā)給牽引前端。流量牽引策略粒度包括：

①對特定終端設置/取消流量牽引。根據(jù)輸入的手機號碼（MSISDN/SUPI/IMEI）、號碼段或者號碼列表等條件，實現(xiàn)對特定的用戶或者用戶群進行流量牽引設置和取消。

②對特定地理區(qū)域用戶設置/取消流量牽引?；诨疚恢眯畔⑼ㄟ^選擇基站信息，獲取該區(qū)域內用戶信息，實現(xiàn)針對特定地理區(qū)域的流量牽引設置和取消。

③對特定應用設置/取消流量牽引。基于特定的應用，獲取該應用的用戶信息，實現(xiàn)針對特定應用的流量牽引設置和取消。

（2）流量牽引策略校驗

流量牽引策略校驗指在邏輯上進行驗證，符合策略管理規(guī)則，保證前后不沖突，不重復，以保證牽引策略的合法、合理性，且不影響正常業(yè)務。

（3）策略牽引策略下發(fā)

將驗證后的牽引策略轉換為南向接口消息，發(fā)送給流量牽引執(zhí)行網(wǎng)元，執(zhí)行流量牽引操作。

（4）數(shù)據(jù)信令跟蹤

數(shù)據(jù)信令跟蹤模塊能夠對采集到的特定網(wǎng)絡流量進行信令和用戶數(shù)據(jù)的實時跟蹤分析，并實現(xiàn)信令回溯。①支持查詢各接口生成的話單記錄，包括信令面接口的控制記錄，以及用戶面上網(wǎng)的詳細記錄，準確呈現(xiàn)用戶信令流程和上網(wǎng)的業(yè)務過程，單擊某條記錄可以鉆取到該條記錄的原始信令流程。②根據(jù)單接口業(yè)務記錄，鉆取該接口的原始信令數(shù)據(jù)，呈現(xiàn)出業(yè)務詳細流程和原始的數(shù)據(jù)包格式，協(xié)助進行協(xié)議問題的分析定位。③可以按照時間、網(wǎng)元、業(yè)務和用戶等維度進行關鍵業(yè)務KPI的統(tǒng)計分析。

（5）數(shù)據(jù)交互

數(shù)據(jù)交互功能模塊負責與前端系統(tǒng)的牽引策略管理模塊交互，下發(fā)牽引策略并依據(jù)牽引策略管理模塊反饋的策略響應，完成流量牽引策略的校驗。

2.2.2 數(shù)據(jù)采集和解析功能

（1）信令面采集解析

當前CU分離和5G架構下，核心網(wǎng)采集架構主要有三點變化：①控制面C上移，在大區(qū)中心集中部署；②數(shù)據(jù)面U由各省公司下沉到地市；③核心網(wǎng)虛擬化，全部上云。

基于上述5G網(wǎng)絡帶來的變化，信令面和用戶面分離導致在地市的一個機房無法同時接入主要的兩種數(shù)據(jù)：N3用戶面數(shù)據(jù)、N11信令面數(shù)據(jù)。通過研究5G網(wǎng)絡架構和信令交互特點，可在5GC核心網(wǎng)側實現(xiàn)N11等信令面數(shù)據(jù)的采集和解析，在UPF側實現(xiàn)對N3數(shù)據(jù)的采集和解析，通過N11信令面數(shù)據(jù)可回填N3用戶面數(shù)據(jù)三碼身份信息。

（2）用戶面采集解析

目前5G匯聚分流設備和DPI設備已經(jīng)可實現(xiàn)原始碼流的鏡像和話單數(shù)據(jù)的輸出。數(shù)據(jù)的采集解析方式分為兩種：①5G行業(yè)應用側將牽引后的所有流量統(tǒng)一匯聚傳輸?shù)狡脚_進行統(tǒng)一采集解析；②本地5G行業(yè)應用流量牽引后由DPI解析生成日志，對日志統(tǒng)一匯聚傳輸?shù)狡脚_進行采集解析。

本項目采用的部署方式為，用戶面流量采集解析設備對用戶面消息解析并生成話單，并將特定用戶面日志話單發(fā)送到核心網(wǎng)機房，之后根據(jù)信令面號碼關聯(lián)回填用戶三碼（MSI SDNSUPIPEI）等信息。

2.2.3 流量牽引管理功能

部署在本地移動前端設備中，對接收到的流量牽引策略進行管理和校驗，包含策略處理支撐、信令面數(shù)據(jù)支撐、用戶面數(shù)據(jù)支撐，負責與信令面和用戶面采集設備交互，為流量牽引策略的執(zhí)行提供支撐。

（1）牽引策略處理支撐

策略處理支撐模塊負責流量牽引策略的接收和轉發(fā)，并完成牽引策略的校驗，同時支持基于地理區(qū)域流量牽引策略中用戶終端位置的計算。

策略處理支撐模塊負責實現(xiàn)流量牽引策略：①支持接收流量牽引管控后端下發(fā)的策略；②支持對后端系統(tǒng)下發(fā)流量牽引策略的初步邏輯驗證；③支持將流量牽引策略下發(fā)給流量牽引策略子系統(tǒng)；④支持接收流量牽引策略子系統(tǒng)業(yè)務支撐系統(tǒng)的策略響應、驗證和響應結果反饋。

（2）信令面數(shù)據(jù)支撐

信令面數(shù)據(jù)支撐模塊負責基于信令面數(shù)據(jù)相關功能：①支持信令面數(shù)據(jù)采集后關聯(lián)分析；②支持信令的終端狀態(tài)監(jiān)測管理；③支持生成控制信令XDR話單。

（3）用戶面數(shù)據(jù)支撐

用戶面數(shù)據(jù)支撐模塊負責基于特定用戶面數(shù)據(jù)相關功能：①支持接收特定用戶流量數(shù)據(jù)；②支持特定用戶流量數(shù)據(jù)采集后關聯(lián)分析；③支持用戶面XDR數(shù)據(jù)的合成、存儲和管理；④支持專用UPF狀態(tài)的監(jiān)測管理。

3 效果分析

3.1 實用性分析

該項目中使用的流量采集分析設備開發(fā)時涉及多系統(tǒng)、多引擎、多模塊。架構上采取分模塊、分系統(tǒng)設計思路，按照數(shù)據(jù)采集、存儲、分析、應用、展示等業(yè)務邏輯，對系統(tǒng)進行整合。即使本設備宕機，也不能對其他業(yè)務系統(tǒng)不產(chǎn)生任何影響。在一定規(guī)模的業(yè)務量上，在特殊時期，可以使用雙機熱備方案確保穩(wěn)定性。

3.2 實施效果

本平臺具備在5G大流量場景下，在滿足一定實時性和終端用戶無感的前提下，實現(xiàn)在特定時間內對網(wǎng)絡中特定終端用戶面的流量牽引設置和取消的流量牽引功能，從而實現(xiàn)了5G SA網(wǎng)絡環(huán)境下基于流量牽引技術的對網(wǎng)絡特定部分的流量精細化采集，在降低數(shù)據(jù)采集分析成本的同時，提高了5G網(wǎng)絡流量采集、分析和重點安全監(jiān)測的靈活性和效率。

4 結束語

本研究提出5G網(wǎng)絡環(huán)境下基于策略的網(wǎng)絡安全與流量牽引采集方案，構建完整的5G ToB ToC行業(yè)應用安全監(jiān)測體系，包括5G應用安全監(jiān)測平臺、數(shù)據(jù)采集和解析、流量牽引管理系統(tǒng)等。同時，很好地利用了5G邊緣計算技術低延遲、高帶寬的優(yōu)勢，通過5G流量牽引技術實現(xiàn)針對特定用戶、特定切片、特定區(qū)域的流量牽引，實現(xiàn)5G低成本監(jiān)測和管控的目標。本方案適用場景廣泛，不僅滿足了監(jiān)管和網(wǎng)絡安全的需要，也有助于新業(yè)務的上線和增收。