解析5G安全（一）：5G网络架构

5G飞速发展的今天，了解5G的网络结构、建立5G网络全局观是我们进行下一步5G研究工作的基础。本文首先从接入网、传输网、核心网三个部分解析5G网络结构，然后分析网络切片、MEC（Multi-access Edge Computing，多接入边缘计算）和安全功能在5G中的部署。

一、移动通信网架构

在介绍5G网络架构之前，笔者先带大家回顾下移动通信网络的通用架构。

移动通信网络分为接入网、传输网和核心网，如图1所示。

通用架构

1. 接入网：基站部署于接入网，主要负责UE（User Equipment，用户终端）在无线侧的接入与管理；

2. 传输网：由一系列运营商的交换和路由设备组成，主要用于传输基站与核心网之间的控制信令与用户数据；

3. 核心网：部署了一系列核心网网元，这些网元协同对UE进行鉴权、计费和移动性管理等

图1 移动通信网通用架构

不同制式（2/3/4/5G）的移动通信网络，基站、核心网网元的名称和功能划分也各有不同，如4G中的 SGW（Serving Gateway，服务网关）和PGW（PDN Gateway，PDN网关）的用户面功能在5G中是由专门的网元UPF（User Plane Function，用户面功能）实现。

在了解了移动通信网络的通用架构后，我们再来看看当手机开机后接入到移动通信网络（也称UE附着）的简要过程，如图2所示（省略了密钥协商等过程）。

简要过程

1. UE选择某个制式（如4G）的网络，发起接入请求；

2. 基站接收UE的接入请求，为UE建立无线承载（相当于UE在无线侧的传输通道），因在基站侧不存储UE的签约信息，故无法对UE进行认证和鉴权，因此将请求转发到核心网；

3. 核心网对UE进行认证和鉴权，并为UE分配IP和核心网承载（相当于UE在核心网处的传输通道）；

4. 基站接收到核心网的响应后，对无线承载进行重配置，将响应转发给UE；

5. UE接收到基站的响应后，通过分配的IP和承载（无线承载和核心网承载）接入外部网络

图2 UE附着过程

二、5G组网

在介绍了移动通信网络的通用架构后，我们再来了解下5G的组网模式。

根据3GPP的规划，5G有两种组网模式：SA（Standalone，独立组网）和NSA（Non-Standalone，非独立组网）。独立与非在于是否利用4G基础设施进行部署。SA组网模式需要新建全套5G基础设施，而NSA组网会使用部分4G基础设施。

1NSA组网

NSA组网分为Option3和Option7两种方案，如图3所示。两种方案的异同点如表1所示。Option3和Option7都以4G基站eNodeB作为控制面锚点，即eNodeB传输 UE和核心网间的控制信令，而在NSA模式下，5G基站gNB不传输UE和核心网间的控制信令（4G基站和5G基站都需要传输用户面数据）。两种方案的区别在于：Option3基于4G EPC（Evolved Packet Core，分组核心网）部署，而Option7基于5GC（5G Core，5G核心网）部署。在当前5G核心网并未正式部署的背景下，我们所谈的NSA一般指Option3。然而即使是选择Option3，4G原有的核心网也需要进行升级以支持双连接等功能。

图3 Option3和Option7方案

表1 Option3和Option7比较

Option3又包括Option3、Option3a和Option3x三个子方案，如图4所示。三种子方案的划分依据为数据分流点（即对下行的用户面流量进行分流的位置）。数据分流点根据分流策略决定某些流量通过4G基站发送到UE，某些流量通过5G基站发送到UE。Option3的分流点为4G基站，即由eNodeB按照分流策略将下行流量直接发送给UE，或eNodeB在PDCP（Packet Data Convergence Protocol，分组数据汇聚协议）层将流量分流给5G基站gNB。Option3a的分流点为核心网，Option3x的分流点为gNB。现阶段多数运营商选择Option3x进行5G组网，如图5所示。这不仅是因为Option3x的组网方式更为简单，也因为Option3x可以充分释放gNB的处理能力。

图4 Option3、Option3a和Option3x

图5 现网Option3x方案

需要注意的是，虽然Option7包含5GC和gNB，但在NSA组网中，Option7的5G基站gNB并不能完成基站控制面功能，控制面功能仍需要借助4G基站完成。此外，虽然Option3和Option7的4G基站既是控制面锚点，又负责用户面的数据传输，但5G基站gNB拥有更大的带宽，能够提供更高的速率，因此也是不可或缺的。

2SA组网

3GPP TS 23.501标准[1]规定了网元的连接关系，据此笔者认为未来SA组网模式下的5G网络结构如图6所示。

5G网络架构由接入网、传输网和核心网组成。本文中，我们将部署在接入网的数据中心称之为接入边缘DC，而将部署在传输网边缘的数据中心称之为传输边缘DC。边缘DC（接入边缘DC和传输边缘DC）可以承载核心网的UPF（User Plane Function，用户面功能），从而使核心网与外网的IP连接下移，降低服务时延。在核心DC处，部署有NFV（Network Function Virtualization，虚拟网络功能）化的核心网控制面网元。整个网络的流量通过SDN（Software Defined-Networking，软件定义网络）控制器进行引流与疏导。

5G中最引人注目的特点莫过于网络切片（Network Slicing）。网络切片的概念详见第三章，总体而言，它可以为不同的5G垂直行业应用提供差异化的服务质量保障。为了便于管理切片，5G网络还需要增加切片管理层。切片管理层一方面需要对5G业务进行配置与管理，另一方面需要对MEC、NFV和SDN等资源进行统一的编排与管理。

下面笔者将分别从接入网、传输网和核心网三个部分阐述5G的网络架构。

图6 SA 5G网络架构

2.1

接入网

>>>>

2.1.1 网络结构

5G基站gNB分为三个部分，分别为AAU（无线接入单元）、DU（Distributed Unit，分布单元）和CU（Centralized Unit，集中单元）。每个单元处理协议栈的不同部分，如图7所示：

• AAU负责射频和/或物理层的低层部分（由5G选择Option7或Option8方案决定）
• DU负责MAC（Media Access Control，介质访问控制）层和RLC（Radio Link Control，无线链路层控制协议）层
• CU负责PDCP和/或RRC（Radio Resource Control，无线资源控制）层（由上层Payload是用户面数据还是控制信令决定）

图7 AAU、DU和CU划分

>>>>

2.1.2 部署方案

AAU、DU和CU的部署方案有很多种。总结中国移动的部署方案[2]和中国联通网络切片白皮书[3]，可以有以下两种部署方案

1

方案一：DU和CU可以集中部署，如在接入机房，如图8所示。该方案的优点在于DU和CU集中部署可以省去两者间的路由，降低了时延。该方案的缺点在于网络对前传带宽要求较高；

2

方案二：DU和CU分布部署，如DU位于接入机房，CU位于传输网边缘DC上，如图9所示。该方案的优点是CU能够按需灵活部署，缺点是CU上移会增加传输时延。

方案一和方案二有各自适用的场景。方案一更适合对时延敏感的场景，而方案二更适合对带宽需求不高、对时延也不敏感的场景。

如图8和图9所示，CU属于可云化部分，而DU属于难以云化部分。这是因为，DU处理的部分偏向于底层、对实时性要求较高、对专用硬件设备的依赖性大，因而不容易云化[4]；而CU对实时性要求不高、对专用硬件设备的依赖性较小，因而更容易云化。

在图6总架构图中，我们倾向于将CU云化，并与分布式应用联合部署，这样一方面可以降低服务时延，另一方面也有利于CU的灵活调度，实现接入侧的网络切片。

图8 方案一

图9 方案二

>>>>

2.1.3 数据包格式

3GPP TS 38.300 [5]定义了UE和基站间通信的数据包格式。

当传输控制信令时，UE发出的数据包格式如图10所示。其中，NAS（Non-Access-Stratum，非接入层）协议用于UE的移动性管理和会话管理。基站在接收到UE发送的数据包后，提取NAS，构造SCTP（Stream Control Transmission Protocol，流控制传输协议）数据包，然后将数据包转发到核心网网元AMF（Access and Mobility Management Function，接入和移动性管理功能）。从基站的协议栈可知，UE的Payload（即NAS）在基站是透传的。NAS包含用户的身份信息，故在基站侧无法对UE进行鉴权。

图10 UE发送控制信令[5]

当传输用户数据时，UE发出的数据包格式如图11所示。与4G数据面协议不同的是，5G引入了SDAP（Service Data Adaptation Protocol）。SDAP层在封装IP数据包时，会为这些数据包添加指定的QoS标识符，从而实现基于IP流的QoS控制。与4G用户面协议一致的是，与传输控制信令相比，用户面数据不进行RRC层处理。基站在接收到UE发送的数据包后，提取Payload（即User Plane PDU），构造GTP-U数据包，然后将数据包转发到核心网处网元UPF处。

图11 UE发送用户面数据[5]

2.2

传输网

>>>>

2.2.1 传输网技术瓶颈

当前4G传输网主要使用MPLS（Multi-Protocol Label Switching，多协议标签交换）。虽然MPLS通过结合二层转发和三层路由可以有效提高转发效率，但存在着以下几个问题：

1. 控制面复杂：MPLS需要独立的控制面信令用于标签的分配和管理，如LDP、RSVP、MP-BGP等；

2. 配置效率低：转发路径变更时需要为端到端连接路径上的所有节点重新下发配置信息；

3. 扩展难：每个LSR（Label Switch Router，标签交换路由器）都需要FEC（Forwarding Equivalence Class，转发等价类）维护连接信息。

因此，在5G传输网流量灵活调度的要求下，MPLS面临很大的挑战。

>>>>

2.2.2 分段路由技术

基于IPv6或MPLS的分段路由（Segment Routing，SR）技术可以有效解决MPLS面临的难题，因此有望在未来5G中得到广泛应用。SR技术具有以下几个优点：

1.控制面简单：虽然有的实现需要独立的信令协议，但不需要逐跳请求和分配标签；

2. 效率较高：路径变更时只需要修改首节点的路径信息（对于MPLS-SR是标签栈，对于SRv6来说Ipv6头部扩展中的分段路由头部），无需为所有节点下发配置信息；

3. 扩展简单：中间节点只需要转发，不用维护连接的状态。

SR技术分为两种。基于MPLS实现的SR技术称为MPLS-SR。基于IPv6头部扩展实现的SR技术称为SRv6。他们的工作原理相同，都是控制器进行路径计算，下发结果到入节点，入节点将计算结果通过标签栈（MPLS-SR）或IPv6扩展（SRv6）添加到数据包中。

前文中提到，网络切片是5G的一大特色。切片的范围覆盖接入网、传输网和核心网。在未来的5G传输网中，通过结合SDN控制器，SR可以为不同切片提供不同转发路径和QoS支持。同时通过SR将特定流量引流到物理（或虚拟）安全设备，还可以提高切片网络的安全性。

>>>>

2.2.3 数据包格式

下面，笔者以SRv6为例介绍传输网上的分段路由技术。如图12所示，来自gNB的GTP-U数据包，经过传输网边缘处的路由设备R1时会在头部增加IPv6扩展报头。扩展报头里包含由IPv6地址列表组成的路径。该路径是由控制器根据SR节点信息、链路信息和切片QoS需求等信息运行CSPF（ Constrained Shortest Path First，约束最短路径算法）计算出来的。数据包经过中间设备时，如果中间设备支持分段路由（如R2），则进行报头更新（将扩展报头里的下一个地址写入到外层IPv6目的地址上），否则进行正常的IPv6数据包转发。当数据到达核心网与传输网交接的PE设备（R3）时，PE设备会去除数据包的外部IPv6报头，将GTP-U数据包转发至UPF。

图12 传输网上的SRv6

2.3

核心网

>>>>

2.3.1 网络架构

根据[1]，5G核心网由一系列核心网网元构成，包括但不仅限于以下网元：

• AMF（Access and Mobility Management Function，接入和移动性管理功能）：负责用户接入和移动性管理、SMF选择等；
• SMF（Session Management Function，会话管理功能）：负责会话管理、UE IP地址分配和承载QoS控制等；
• UPF（User Plane Function，用户面功能）：连接外部网络，负责数据包的路由；
• PCF（Policy Control function，策略控制功能）：负责签约策略的下发等功能；
• UDM（Unified Data Management，统一数据管理）：负责管理用户数据；
• AUSF（Authentication Server Function，鉴权服务器网元）：实现对用户的鉴权和认证；
• NSSF（Network Slice Selection Function，网络切片选择功能） ：负责网络切片的选择；

与4G相比，5G的核心网整体架构有如下几点变化：

控制面和用户面分离：4G网关SGW和PGW的用户面功能融合成了5G的UPF，如图13所示。而控制面功能则成为了5G SMF网元的一部分。这么做的好处在于，一方面UPF可以专注于转发，提升转发效率，另一方面控制面位于核心DC处（安全性可靠性得到保障），而UPF可以下沉到边缘侧，与MEC结合，降低传输时延、减少带宽压力。

控制面功能解耦：有别于4G网络中存在着的网元功能强耦合，部分网元还存在功能重叠的情况，5G将4G网元的控制面功能进行拆分，同时将相同的控制面功能进行合并，由专门的网元实现。如图13所示，4G网元MME的控制面可以拆分为会话管理功能、接入管理功能等。4G网元SGW和PGW的控制面也负责会话管理。在5G中，将MME的会话管理功能、SGW和PGW的会话管理功能提取出来，合并成单一的会话管理功能SMF。

控制面网元间使用服务化接口进行通信：5G网络功能可以在NRF（NF Repository Function，NF贮存功能）处登记自身的服务能力，同时订阅其他网络功能的服务能力。网络功能之间使用基于TCP/HTTP 2.0的服务化接口进行通信，如图14所示。

图13 控制面用户分离、控制面解耦

图14 网元间使用服务化接口通信

>>>>

2.3.2 部署场景

笔者认为未来5G核心网网元应是以VNF的方式运行于核心DC（UPF可以下沉到边缘DC处）的虚拟化平台（如OpenStack、Kubernetes等）之上。为了满足电信级别的转发效率，这些虚拟化平台的数据平面往往还需要集成如DPDK（Data Plane Development Kit，数据平面开发套件）、VPP（Vector Packet Processing，矢量数据包处理）等技术。DC内东西流量（如AMF向位于不同主机的AUSF发起UE鉴权的流量）可以走Overlay网络，而DC间的流量（核心DC的SMF向边缘DC的UPF配置转发策略）可以走Underlay网络。

>>>>

2.3.3 数据包格式

根据通信数据包格式的不同，核心网网元之间存在的接口可以分为两类：一类是服务化接口，另一类是SMF与UPF之间的N4接口，如图15所示。服务化接口使用TCP/HTTP 2.0。而核心网控制面与用户面间的N4接口走UDP/PFCP协议。

图15 核心网接口[5]

三、SDN、NFV和网络切片

在介绍完5G两种组网模式后，我们再来分析5G的业务。国际电信联盟将5G业务划分为三个类型：增强型移动宽带（eMBB）、超高可靠性低时延业务（URLLC）和海量机器类通信（mMTC）。每个类型有不同的服务质量需求，如URLLC业务需要满足低时延、高带宽，而海量机器类通信需要支持大连接，但对网络时延并不敏感。[6]更为详细地分析了5G时代十大应用场景在移动性、实时性、数据流量、QoS保障和单位区域连接数等指标上的不同需求。为了能够根据不同业务构建不同网络，5G引入了网络切片的概念。网络切片是指在运营商的物理网络之上构建多个虚拟网络，每个虚拟网络提供差异化的网络服务。

网络切片的实现离不开SDN和NFV技术。SDN技术能够提供端到端的差异化流量控制，而NFV技术使得5G网元能够在整个5G网络中灵活部署。下面，我们选取了两个应用场景来分析不同场景下的切片部署方式，如图16所示。

场景一

大规模物联网连接（如远程抄表）：切片的部署如图16的绿色部分切片1所示。大规模物联网连接对连接数有特殊的要求，但对带宽和时延要求不高。因此，在该切片中，我们可以将物联网应用和核心网用户面部署于核心网上，将CU部署于传输边缘DC上。这是因为当应用的部署位置越上移（靠近核心网），应用的服务范围越广，同时该场景对于时延要求不高，因此无需将物联网应用部署于边缘处。

场景二

VR（Virtual Reality，虚拟现实）：切片的部署如图16的红色部分切片2所示。[6]提到实时CG类云渲染VR需要低于5ms的网络时延和高达100 Mbps至9.4 Gbps的带宽。因此，该类应用至少应该下沉至边缘DC处，最好是部署在基站侧，以满足超低时延和大带宽需求。

图16 两种场景的切片部署方案

四、MEC在5G中的部署

当我们谈到5G总是会提到MEC（Multi-access Edge Computing，多接入边缘计算）。MEC是在网络边缘侧提供计算、存储及各种应用服务能力的处理平台，上面承载着各类低延迟需求的MEC应用。这些MEC应用可以为用户或其他应用提供各种服务，如运行计算机视觉处理系统（如Intel OpenVINO）、为CDN应用提供转码能力等。因而，MEC可以助力5G实现高带宽、低时延的目标。我们对ETSI提出的MEC架构[7]进行简化，如图17所示。

需要说明的是MEC和边缘计算的关系。MEC是边缘计算的子集，可以部署在接入网、传输网的边缘侧、核心网和外部网络之间。边缘计算需要数据中心承载，在本文中，我们将MEC部署于边缘DC上（接入边缘DC和传输边缘DC）。

ETSI发布的5G MEC白皮书[8]中，MEC的部署方案可以分为在UPF之后或UPF之前两种场景。

图17 MEC平台

1MEC位于UPF之后

在该部署方案中，UPF根据SMF下发的转发策略决定流量到MEC平台或外部网络。如图18所示，根据UPF是否运行在MEC平台上，又可以细分为UPF和MEC分开部署与UPF以VNF的形式运行于MEC平台上两种方式。

图18 MEC位于UPF之后

该部署方案的优点在于经过UPF转发出的流量已经剥离掉了外部的GTP报头，MEC平台可以直接处理IP数据包，而不需要再进行数据包的拆解与封装。

但是，该部署方案也存在着明显的不足。首先，因为基站与UPF之间存在回传网路，故MEC并不能减轻回传网络的带宽压力。此外，某些超低时延的场景，服务时延也难以得到保障。

2MEC位于UPF之前

如图19所示，MEC位于UPF之前、gNB之后。

该部署方案的优点在于MEC能够提供超低时延的服务、同时降低回传带宽压力，且能够利用实时的接入网侧信息进行链路优化。

缺点在于MEC需要对从CU侧截获到的GTP数据包进行解封与封装，根据上层（MEC控制器）下发的转发策略进行流量转发。同时MEC处需要对流量进行计费，但因为MEC远离核心网，UPF无法对MEC处的流量进行管控（尤其在漫游场景下），可能会存在虚假计费的情况（针对该情况，文献[9]有进行相关的讨论）。此外，因为下沉到基站侧，MEC服务的范围变小，当UE进行移动时，可能需要多个MEC平台进行交互与协作，从而增加5G网络的移动性管理的复杂性。

图19 MEC位于UPF之前

五、安全功能在5G中的部署

MEC、NFV、SDN等技术提升5G性能的同时，也带来了众多安全问题。比如，SDN技术可实现流量的灵活调度，然而其本身便存在着一些安全问题，如控制器可能会遭受DDoS攻击、南向接口容易泄露数据等问题。再如，5G引入了虚拟化和NFV技术以实现网元的灵活部署、降低运营和维护成本，但这也使得网络边界变得模糊，传统安全设备可能难以监听网元间通信流量。我们对这些安全问题出现的位置进行了总结，如图20所示。在下一篇文章中，我们将为大家详细介绍这些安全问题。

图20 5G网络安全问题

为了解决5G中存在的这些安全问题，一个常用的方式是部署安全服务链。安全服务链按照一定的顺序串接各种虚拟（或物理）安全设备，对5G网络切片进行安全防护，如图21所示。图中vSF（Virtualized Security Function，虚拟安全功能）泛指各种安全设备，如防火墙、WAF、IPS、IDS等。根据用户需求，vSF部署于5G中的不同位置，可以专属于某一个网络切片，也可以是多个切片共用。当vSF部署于DU和CU之间时，可以处理来自无线侧的DDoS；当vSF部署于UPF和外部网络之间时，可以处理来自外部网络（如Internet）的攻击；当vSF部署于控制面切片内，可以监听网元间的流量。通过在5G网络中引入安全服务链，可以有效提高整个网络的安全性和可靠性。

图21 5G安全服务链

六、总结

纵观5G全局网络结构，笔者认为最大的特点莫过于“灵活”二字。无论是接入网侧对CU进行云化，还是传输网结合SDN和新兴路由技术对流量进行调度，亦或是核心网处网元功能的拆分与云化，无不体现着5G架构为了实现灵活部署，相对于传统移动通信网络所做出的改变。

然而，为了实现架构上的灵活性，5G又引入了如SDN、NFV、云基础设施等众多新型技术，同时也引入了更多新的安全问题；5G云化的基础设施之上引入了众多第三方的应用，客观上带来的更大的暴露面和攻击面，值得我们关注和分析其安全对策。在第五节，我们简单地介绍了下5G安全问题和安全功能在5G中的部署，下一篇文章中，我们将为读者更加详细地介绍5G中存在的安全问题和相应的安全解决方案。

参考链接：

[1].3GPP TS 23.501

[2].迈向5G C-RAN：需求、架构与挑战白皮书

[3].中国联通网络切片白皮书

[4].5G网络架构与无线网虚拟化研究

[5].3GPP TS 38.300

[6].华为5G时代十大应用场景白皮书

[7].ETSI GS MEC 003

[8].ETSI White Paper No. 28 MEC in 5G networks

[9].NGMN: Mobile Edge Computing/Low Latency/Consistent User Experience

内容编辑：星云实验室 吴宏晶 责任编辑：肖晴