5G ToB客戶ToC業(yè)務(wù)的網(wǎng)絡(luò)安全與精細(xì)化引流

王新寬 孟 凡 范學(xué)領(lǐng) 張淏湜 謝 敏

1.中國(guó)移動(dòng)江蘇公司揚(yáng)州分公司；2.南京大學(xué)；3.西安交通大學(xué)；4.南京郵電大學(xué)

0 引言

隨著5G的普及，5G應(yīng)用進(jìn)入上升期，現(xiàn)有5G三大應(yīng)用場(chǎng)景中，ToB客戶（To Busines）成為互聯(lián)網(wǎng)大廠的技術(shù)與業(yè)務(wù)創(chuàng)新、運(yùn)營(yíng)商增收的藍(lán)海，但某頭部互聯(lián)網(wǎng)企業(yè)提出與本地移動(dòng)運(yùn)營(yíng)商合作ToC（To Customer）短視頻應(yīng)用，以實(shí)現(xiàn)視頻快速分享，提升客戶感知，實(shí)現(xiàn)增收。大流量、快速分享等特點(diǎn)，使短視頻App企業(yè)與運(yùn)營(yíng)商從業(yè)務(wù)合作轉(zhuǎn)入深層的技術(shù)合作，比如將服務(wù)器放置于更貼近用戶的場(chǎng)景。

為此，本研究利用5G邊緣計(jì)算技術(shù)低延遲、高帶寬的優(yōu)勢(shì)，將短視頻服務(wù)器下沉到5G UPF（User Port Function，用戶平面功能，5G核心網(wǎng)的一部分），但也帶來(lái)了網(wǎng)絡(luò)結(jié)構(gòu)新的變換，產(chǎn)生了新的痛點(diǎn)：（1）對(duì)于涉詐、涉黃內(nèi)容，需要監(jiān)管、審核、屏蔽；（2）對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)，將ToB客戶的服務(wù)器接入核心網(wǎng)，可能引起網(wǎng)絡(luò)安全問(wèn)題；（3）5G網(wǎng)絡(luò)中核心網(wǎng)用戶面和控制面徹底分離，控制面網(wǎng)元在大區(qū)部署，而用戶面網(wǎng)元（UPF）則可以根據(jù)實(shí)際業(yè)務(wù)需求靈活部署，因此傳統(tǒng)的數(shù)據(jù)采集部署方案不能適應(yīng)新的網(wǎng)絡(luò)架構(gòu)；（4）5G網(wǎng)絡(luò)引入了SDN/NFV、虛擬化等新技術(shù)，使得網(wǎng)元設(shè)備形態(tài)發(fā)生變化，且網(wǎng)元數(shù)量大量增加，采集接口、接入ToB客戶服務(wù)器的接口與4G網(wǎng)絡(luò)不同。

1 業(yè)務(wù)與管控要求

1.1 業(yè)務(wù)需求

將GPU視頻服務(wù)器下沉至本地移動(dòng)核心節(jié)點(diǎn)后，根據(jù)現(xiàn)有的視頻調(diào)度策略，只能通過(guò)源IP調(diào)度的方案將本地移動(dòng)的用戶流量訪問(wèn)調(diào)度至本地節(jié)點(diǎn)，存在以下幾個(gè)具體問(wèn)題：（1）請(qǐng)求報(bào)文需要繞行至該互聯(lián)網(wǎng)企業(yè)的調(diào)度運(yùn)營(yíng)中心，請(qǐng)求距離較長(zhǎng)，無(wú)法直接通過(guò)本地GPU服務(wù)器進(jìn)行響應(yīng)，影響用戶感知；（2）目前5G用戶在快速增長(zhǎng)階段，對(duì)應(yīng)的IPv4及IPv6地址在持續(xù)擴(kuò)容中，如果未及時(shí)告知該互聯(lián)網(wǎng)企業(yè)，將導(dǎo)致無(wú)法就近服務(wù)本地短視頻用戶；（3）調(diào)度運(yùn)營(yíng)中心為全局管控，若出現(xiàn)細(xì)微的問(wèn)題，將導(dǎo)致調(diào)度的不精準(zhǔn)，比如其他省用戶調(diào)度至江蘇本地節(jié)點(diǎn)，增大負(fù)荷的同時(shí)也會(huì)影響用戶的使用感知。

5G ToB垂直行業(yè)用戶也面臨著類似的問(wèn)題，他們的需求主要是數(shù)據(jù)不出園區(qū)、邊緣計(jì)算等，對(duì)流量的精準(zhǔn)引流提出了很高的要求。組網(wǎng)結(jié)構(gòu)如圖1所示。

圖1 UPF結(jié)構(gòu)圖

1.2 管控要求

管控需要對(duì)流量進(jìn)行牽引，其基于策略的下發(fā)和執(zhí)行，將特定的部分用戶面流量牽引至特定UPF進(jìn)行采集、分析和管控。其中：（1）5G網(wǎng)絡(luò)中承載用戶面流量的網(wǎng)元是UPF，因此用戶面流量采集設(shè)備部署在UPF側(cè)。特定UPF用于承載牽引出的特定用戶面流量，僅采集特定UPF上的用戶面流量可以有效減少采集設(shè)備的部署，實(shí)現(xiàn)用戶面流量采集的降本增效。（2）流量牽引策略針對(duì)需求將網(wǎng)絡(luò)中的特定人群、特定業(yè)務(wù)、特定區(qū)域的用戶面流量牽引至特定UPF上，實(shí)現(xiàn)流量牽引。（3）基于修改用戶簽約數(shù)據(jù)的流量牽引技術(shù)，通過(guò)運(yùn)營(yíng)商業(yè)務(wù)支撐系統(tǒng)提供的開(kāi)放接口或開(kāi)放平臺(tái)修改終端用戶簽約數(shù)據(jù)（DNN）來(lái)實(shí)現(xiàn)流量牽引。策略下發(fā)要盡量簡(jiǎn)單，盡量不增加網(wǎng)絡(luò)設(shè)備，易于實(shí)現(xiàn)。

2 方案設(shè)計(jì)與方案

2.1 設(shè)計(jì)思路

針對(duì)前述痛點(diǎn)、具體業(yè)務(wù)需求和管控要求，結(jié)合現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)、相關(guān)規(guī)范，進(jìn)行設(shè)計(jì)。

2.1.1 策略統(tǒng)一管理和數(shù)據(jù)共享總體設(shè)計(jì)

5G統(tǒng)一數(shù)據(jù)分發(fā)共享平臺(tái)作為整個(gè)平臺(tái)系統(tǒng)聯(lián)動(dòng)處置的執(zhí)行方，下發(fā)流量牽引策略和流量采集命令，并對(duì)上傳的數(shù)據(jù)進(jìn)行數(shù)據(jù)分析、數(shù)據(jù)管理以及統(tǒng)一規(guī)則策略管理聯(lián)動(dòng)，并根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行數(shù)據(jù)分發(fā)共享。同時(shí)作為數(shù)據(jù)采集的執(zhí)行方，執(zhí)行流量牽引和采集操作，進(jìn)行數(shù)據(jù)采集和數(shù)據(jù)上報(bào)，其中采集的數(shù)據(jù)源包括5G信令流量、5G特定數(shù)據(jù)流量、XDR數(shù)據(jù)、工參數(shù)據(jù)以及其他系統(tǒng)數(shù)據(jù)。

2.1.2 策略和規(guī)則管理業(yè)務(wù)流程

統(tǒng)一策略和規(guī)則管理子系統(tǒng)可以與現(xiàn)有網(wǎng)絡(luò)安全平臺(tái)系統(tǒng)進(jìn)行聯(lián)動(dòng)，部署統(tǒng)一規(guī)則引擎、建立統(tǒng)一規(guī)則管理與協(xié)同聯(lián)動(dòng)平臺(tái)，為后續(xù)基于已有安全系統(tǒng)實(shí)現(xiàn)統(tǒng)一規(guī)則管理及協(xié)同聯(lián)動(dòng)提供指導(dǎo)，同時(shí)針對(duì)業(yè)務(wù)場(chǎng)景開(kāi)展動(dòng)態(tài)流量過(guò)濾與篩選試點(diǎn)，并通過(guò)統(tǒng)一管理平臺(tái)實(shí)現(xiàn)全網(wǎng)管理，提高流量?jī)r(jià)值，降低流量采集分析成本，實(shí)現(xiàn)目標(biāo)對(duì)象的全監(jiān)全管。

2.1.3 策略統(tǒng)一管理和數(shù)據(jù)共享總體設(shè)計(jì)

5G統(tǒng)一數(shù)據(jù)分發(fā)共享平臺(tái)可滿足安全監(jiān)測(cè)的數(shù)據(jù)需求，有效提供5G應(yīng)用數(shù)據(jù)的實(shí)時(shí)查詢和各種數(shù)據(jù)共享分發(fā)能力。

2.1.4 策略和規(guī)則管理業(yè)務(wù)流程

通過(guò)5G流量牽引技術(shù)實(shí)現(xiàn)針對(duì)特定用戶、特定切片、特定區(qū)域的流量牽引，實(shí)現(xiàn)5G低成本監(jiān)測(cè)和管控的目標(biāo)。

5G流量牽引后端系統(tǒng)部署在本地移動(dòng)機(jī)房?jī)?nèi)，與流量牽引前端系統(tǒng)交互，下發(fā)流量牽引策略。流量牽引系統(tǒng)可對(duì)本身因業(yè)務(wù)需求提供流量牽引策略下發(fā)接口。

流量牽引前端執(zhí)行系統(tǒng)部署在核心機(jī)房，接收后端系統(tǒng)下發(fā)的流量牽引策略，并將牽引的流量由5G DPI（Deep Packet Inspection，深度報(bào)文檢測(cè)）解析后生成日志與安全事件，并上報(bào)到后端系統(tǒng)；向下對(duì)接核心網(wǎng)網(wǎng)元，將牽引策略翻譯為核心網(wǎng)元的接口消息，執(zhí)行流量牽引操作。

2.1.5 流量牽引業(yè)務(wù)流程

完成目標(biāo)流量的牽引和采集過(guò)程需要經(jīng)過(guò)6個(gè)實(shí)體：流量牽引管控后端平臺(tái)、5G流量牽引一體化系統(tǒng)的流量牽引管理子系統(tǒng)、5G流量牽引一體化系統(tǒng)的流量牽引前端執(zhí)行系統(tǒng)（與5G網(wǎng)絡(luò)交互實(shí)現(xiàn)與流量牽引管理子系統(tǒng)策略的收發(fā)）、5G核心網(wǎng)、部署在5G核心網(wǎng)控制面的信令采集設(shè)備和部署在5G核心網(wǎng)專用UPF側(cè)的用戶面采集設(shè)備。

2.2 具體方案

在5G獨(dú)立組網(wǎng)SA架構(gòu)下，參照網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)和規(guī)范、5GToB和5GToC的相關(guān)技術(shù)規(guī)范，制定如圖2所示的架構(gòu)。

圖2 ToBToC網(wǎng)絡(luò)安全架構(gòu)

基于如上安全架構(gòu)，設(shè)計(jì)該網(wǎng)絡(luò)安全與流量牽引系統(tǒng)，以實(shí)現(xiàn)5G ToB ToC業(yè)務(wù)發(fā)展與監(jiān)管要求，如圖3所示。

圖3 ToBToC安全與引流系統(tǒng)

2.2.1 5G應(yīng)用安全監(jiān)測(cè)平臺(tái)功能

5G應(yīng)用安全監(jiān)測(cè)平臺(tái)作為管控后端平臺(tái)，接收來(lái)自不同業(yè)務(wù)部門(mén)的業(yè)務(wù)需求，制定流量牽引策略，并依據(jù)不同的策略針對(duì)部分特定用戶面流量數(shù)據(jù)進(jìn)行牽引，包括：流量牽引設(shè)置、數(shù)據(jù)信令跟蹤、數(shù)據(jù)交互和系統(tǒng)管理。同時(shí)，包含和運(yùn)營(yíng)商側(cè)DPI解析的訪問(wèn)日志及安全事件上報(bào)接收接口。

（1）流量牽引設(shè)置

基于安全監(jiān)測(cè)需求，并參考既定規(guī)則，將流量牽引策略下發(fā)給牽引前端。流量牽引策略粒度包括：

①對(duì)特定終端設(shè)置/取消流量牽引。根據(jù)輸入的手機(jī)號(hào)碼（MSISDN/SUPI/IMEI）、號(hào)碼段或者號(hào)碼列表等條件，實(shí)現(xiàn)對(duì)特定的用戶或者用戶群進(jìn)行流量牽引設(shè)置和取消。

②對(duì)特定地理區(qū)域用戶設(shè)置/取消流量牽引?；诨疚恢眯畔⑼ㄟ^(guò)選擇基站信息，獲取該區(qū)域內(nèi)用戶信息，實(shí)現(xiàn)針對(duì)特定地理區(qū)域的流量牽引設(shè)置和取消。

③對(duì)特定應(yīng)用設(shè)置/取消流量牽引。基于特定的應(yīng)用，獲取該應(yīng)用的用戶信息，實(shí)現(xiàn)針對(duì)特定應(yīng)用的流量牽引設(shè)置和取消。

（2）流量牽引策略校驗(yàn)

流量牽引策略校驗(yàn)指在邏輯上進(jìn)行驗(yàn)證，符合策略管理規(guī)則，保證前后不沖突，不重復(fù)，以保證牽引策略的合法、合理性，且不影響正常業(yè)務(wù)。

（3）策略牽引策略下發(fā)

將驗(yàn)證后的牽引策略轉(zhuǎn)換為南向接口消息，發(fā)送給流量牽引執(zhí)行網(wǎng)元，執(zhí)行流量牽引操作。

（4）數(shù)據(jù)信令跟蹤

數(shù)據(jù)信令跟蹤模塊能夠?qū)Σ杉降奶囟ňW(wǎng)絡(luò)流量進(jìn)行信令和用戶數(shù)據(jù)的實(shí)時(shí)跟蹤分析，并實(shí)現(xiàn)信令回溯。①支持查詢各接口生成的話單記錄，包括信令面接口的控制記錄，以及用戶面上網(wǎng)的詳細(xì)記錄，準(zhǔn)確呈現(xiàn)用戶信令流程和上網(wǎng)的業(yè)務(wù)過(guò)程，單擊某條記錄可以鉆取到該條記錄的原始信令流程。②根據(jù)單接口業(yè)務(wù)記錄，鉆取該接口的原始信令數(shù)據(jù)，呈現(xiàn)出業(yè)務(wù)詳細(xì)流程和原始的數(shù)據(jù)包格式，協(xié)助進(jìn)行協(xié)議問(wèn)題的分析定位。③可以按照時(shí)間、網(wǎng)元、業(yè)務(wù)和用戶等維度進(jìn)行關(guān)鍵業(yè)務(wù)KPI的統(tǒng)計(jì)分析。

（5）數(shù)據(jù)交互

數(shù)據(jù)交互功能模塊負(fù)責(zé)與前端系統(tǒng)的牽引策略管理模塊交互，下發(fā)牽引策略并依據(jù)牽引策略管理模塊反饋的策略響應(yīng)，完成流量牽引策略的校驗(yàn)。

2.2.2 數(shù)據(jù)采集和解析功能

（1）信令面采集解析

當(dāng)前CU分離和5G架構(gòu)下，核心網(wǎng)采集架構(gòu)主要有三點(diǎn)變化：①控制面C上移，在大區(qū)中心集中部署；②數(shù)據(jù)面U由各省公司下沉到地市；③核心網(wǎng)虛擬化，全部上云。

基于上述5G網(wǎng)絡(luò)帶來(lái)的變化，信令面和用戶面分離導(dǎo)致在地市的一個(gè)機(jī)房無(wú)法同時(shí)接入主要的兩種數(shù)據(jù)：N3用戶面數(shù)據(jù)、N11信令面數(shù)據(jù)。通過(guò)研究5G網(wǎng)絡(luò)架構(gòu)和信令交互特點(diǎn)，可在5GC核心網(wǎng)側(cè)實(shí)現(xiàn)N11等信令面數(shù)據(jù)的采集和解析，在UPF側(cè)實(shí)現(xiàn)對(duì)N3數(shù)據(jù)的采集和解析，通過(guò)N11信令面數(shù)據(jù)可回填N3用戶面數(shù)據(jù)三碼身份信息。

（2）用戶面采集解析

目前5G匯聚分流設(shè)備和DPI設(shè)備已經(jīng)可實(shí)現(xiàn)原始碼流的鏡像和話單數(shù)據(jù)的輸出。數(shù)據(jù)的采集解析方式分為兩種：①5G行業(yè)應(yīng)用側(cè)將牽引后的所有流量統(tǒng)一匯聚傳輸?shù)狡脚_(tái)進(jìn)行統(tǒng)一采集解析；②本地5G行業(yè)應(yīng)用流量牽引后由DPI解析生成日志，對(duì)日志統(tǒng)一匯聚傳輸?shù)狡脚_(tái)進(jìn)行采集解析。

本項(xiàng)目采用的部署方式為，用戶面流量采集解析設(shè)備對(duì)用戶面消息解析并生成話單，并將特定用戶面日志話單發(fā)送到核心網(wǎng)機(jī)房，之后根據(jù)信令面號(hào)碼關(guān)聯(lián)回填用戶三碼（MSI SDNSUPIPEI）等信息。

2.2.3 流量牽引管理功能

部署在本地移動(dòng)前端設(shè)備中，對(duì)接收到的流量牽引策略進(jìn)行管理和校驗(yàn)，包含策略處理支撐、信令面數(shù)據(jù)支撐、用戶面數(shù)據(jù)支撐，負(fù)責(zé)與信令面和用戶面采集設(shè)備交互，為流量牽引策略的執(zhí)行提供支撐。

（1）牽引策略處理支撐

策略處理支撐模塊負(fù)責(zé)流量牽引策略的接收和轉(zhuǎn)發(fā)，并完成牽引策略的校驗(yàn)，同時(shí)支持基于地理區(qū)域流量牽引策略中用戶終端位置的計(jì)算。

策略處理支撐模塊負(fù)責(zé)實(shí)現(xiàn)流量牽引策略：①支持接收流量牽引管控后端下發(fā)的策略；②支持對(duì)后端系統(tǒng)下發(fā)流量牽引策略的初步邏輯驗(yàn)證；③支持將流量牽引策略下發(fā)給流量牽引策略子系統(tǒng)；④支持接收流量牽引策略子系統(tǒng)業(yè)務(wù)支撐系統(tǒng)的策略響應(yīng)、驗(yàn)證和響應(yīng)結(jié)果反饋。

（2）信令面數(shù)據(jù)支撐

信令面數(shù)據(jù)支撐模塊負(fù)責(zé)基于信令面數(shù)據(jù)相關(guān)功能：①支持信令面數(shù)據(jù)采集后關(guān)聯(lián)分析；②支持信令的終端狀態(tài)監(jiān)測(cè)管理；③支持生成控制信令XDR話單。

（3）用戶面數(shù)據(jù)支撐

用戶面數(shù)據(jù)支撐模塊負(fù)責(zé)基于特定用戶面數(shù)據(jù)相關(guān)功能：①支持接收特定用戶流量數(shù)據(jù)；②支持特定用戶流量數(shù)據(jù)采集后關(guān)聯(lián)分析；③支持用戶面XDR數(shù)據(jù)的合成、存儲(chǔ)和管理；④支持專用UPF狀態(tài)的監(jiān)測(cè)管理。

3 效果分析

3.1 實(shí)用性分析

該項(xiàng)目中使用的流量采集分析設(shè)備開(kāi)發(fā)時(shí)涉及多系統(tǒng)、多引擎、多模塊。架構(gòu)上采取分模塊、分系統(tǒng)設(shè)計(jì)思路，按照數(shù)據(jù)采集、存儲(chǔ)、分析、應(yīng)用、展示等業(yè)務(wù)邏輯，對(duì)系統(tǒng)進(jìn)行整合。即使本設(shè)備宕機(jī)，也不能對(duì)其他業(yè)務(wù)系統(tǒng)不產(chǎn)生任何影響。在一定規(guī)模的業(yè)務(wù)量上，在特殊時(shí)期，可以使用雙機(jī)熱備方案確保穩(wěn)定性。

3.2 實(shí)施效果

本平臺(tái)具備在5G大流量場(chǎng)景下，在滿足一定實(shí)時(shí)性和終端用戶無(wú)感的前提下，實(shí)現(xiàn)在特定時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)中特定終端用戶面的流量牽引設(shè)置和取消的流量牽引功能，從而實(shí)現(xiàn)了5G SA網(wǎng)絡(luò)環(huán)境下基于流量牽引技術(shù)的對(duì)網(wǎng)絡(luò)特定部分的流量精細(xì)化采集，在降低數(shù)據(jù)采集分析成本的同時(shí)，提高了5G網(wǎng)絡(luò)流量采集、分析和重點(diǎn)安全監(jiān)測(cè)的靈活性和效率。

4 結(jié)束語(yǔ)

本研究提出5G網(wǎng)絡(luò)環(huán)境下基于策略的網(wǎng)絡(luò)安全與流量牽引采集方案，構(gòu)建完整的5G ToB ToC行業(yè)應(yīng)用安全監(jiān)測(cè)體系，包括5G應(yīng)用安全監(jiān)測(cè)平臺(tái)、數(shù)據(jù)采集和解析、流量牽引管理系統(tǒng)等。同時(shí)，很好地利用了5G邊緣計(jì)算技術(shù)低延遲、高帶寬的優(yōu)勢(shì)，通過(guò)5G流量牽引技術(shù)實(shí)現(xiàn)針對(duì)特定用戶、特定切片、特定區(qū)域的流量牽引，實(shí)現(xiàn)5G低成本監(jiān)測(cè)和管控的目標(biāo)。本方案適用場(chǎng)景廣泛，不僅滿足了監(jiān)管和網(wǎng)絡(luò)安全的需要，也有助于新業(yè)務(wù)的上線和增收。