5G ToB客戶ToC業務的網絡安全與精細化引流

王新寬 孟 凡 范學領 張淏湜 謝 敏

1.中國移動江蘇公司揚州分公司；2.南京大學；3.西安交通大學；4.南京郵電大學

0 引言

隨著5G的普及，5G應用進入上升期，現有5G三大應用場景中，ToB客戶（To Busines）成為互聯網大廠的技術與業務創新、運營商增收的藍海，但某頭部互聯網企業提出與本地移動運營商合作ToC（To Customer）短視頻應用，以實現視頻快速分享，提升客戶感知，實現增收。大流量、快速分享等特點，使短視頻App企業與運營商從業務合作轉入深層的技術合作，比如將服務器放置于更貼近用戶的場景。

為此，本研究利用5G邊緣計算技術低延遲、高帶寬的優勢，將短視頻服務器下沉到5G UPF（User Port Function，用戶平面功能，5G核心網的一部分），但也帶來了網絡結構新的變換，產生了新的痛點：（1）對于涉詐、涉黃內容，需要監管、審核、屏蔽；（2）對于運營商來說，將ToB客戶的服務器接入核心網，可能引起網絡安全問題；（3）5G網絡中核心網用戶面和控制面徹底分離，控制面網元在大區部署，而用戶面網元（UPF）則可以根據實際業務需求靈活部署，因此傳統的數據采集部署方案不能適應新的網絡架構；（4）5G網絡引入了SDN/NFV、虛擬化等新技術，使得網元設備形態發生變化，且網元數量大量增加，采集接口、接入ToB客戶服務器的接口與4G網絡不同。

1 業務與管控要求

1.1 業務需求

將GPU視頻服務器下沉至本地移動核心節點后，根據現有的視頻調度策略，只能通過源IP調度的方案將本地移動的用戶流量訪問調度至本地節點，存在以下幾個具體問題：（1）請求報文需要繞行至該互聯網企業的調度運營中心，請求距離較長，無法直接通過本地GPU服務器進行響應，影響用戶感知；（2）目前5G用戶在快速增長階段，對應的IPv4及IPv6地址在持續擴容中，如果未及時告知該互聯網企業，將導致無法就近服務本地短視頻用戶；（3）調度運營中心為全局管控，若出現細微的問題，將導致調度的不精準，比如其他省用戶調度至江蘇本地節點，增大負荷的同時也會影響用戶的使用感知。

5G ToB垂直行業用戶也面臨著類似的問題，他們的需求主要是數據不出園區、邊緣計算等，對流量的精準引流提出了很高的要求。組網結構如圖1所示。

圖1 UPF結構圖

1.2 管控要求

管控需要對流量進行牽引，其基于策略的下發和執行，將特定的部分用戶面流量牽引至特定UPF進行采集、分析和管控。其中：（1）5G網絡中承載用戶面流量的網元是UPF，因此用戶面流量采集設備部署在UPF側。特定UPF用于承載牽引出的特定用戶面流量，僅采集特定UPF上的用戶面流量可以有效減少采集設備的部署，實現用戶面流量采集的降本增效。（2）流量牽引策略針對需求將網絡中的特定人群、特定業務、特定區域的用戶面流量牽引至特定UPF上，實現流量牽引。（3）基于修改用戶簽約數據的流量牽引技術，通過運營商業務支撐系統提供的開放接口或開放平臺修改終端用戶簽約數據（DNN）來實現流量牽引。策略下發要盡量簡單，盡量不增加網絡設備，易于實現。

2 方案設計與方案

2.1 設計思路

針對前述痛點、具體業務需求和管控要求，結合現有網絡結構、相關規范，進行設計。

2.1.1 策略統一管理和數據共享總體設計

5G統一數據分發共享平臺作為整個平臺系統聯動處置的執行方，下發流量牽引策略和流量采集命令，并對上傳的數據進行數據分析、數據管理以及統一規則策略管理聯動，并根據實際業務需求進行數據分發共享。同時作為數據采集的執行方，執行流量牽引和采集操作，進行數據采集和數據上報，其中采集的數據源包括5G信令流量、5G特定數據流量、XDR數據、工參數據以及其他系統數據。

2.1.2 策略和規則管理業務流程

統一策略和規則管理子系統可以與現有網絡安全平臺系統進行聯動，部署統一規則引擎、建立統一規則管理與協同聯動平臺，為后續基于已有安全系統實現統一規則管理及協同聯動提供指導，同時針對業務場景開展動態流量過濾與篩選試點，并通過統一管理平臺實現全網管理，提高流量價值，降低流量采集分析成本，實現目標對象的全監全管。

2.1.3 策略統一管理和數據共享總體設計

5G統一數據分發共享平臺可滿足安全監測的數據需求，有效提供5G應用數據的實時查詢和各種數據共享分發能力。

2.1.4 策略和規則管理業務流程

通過5G流量牽引技術實現針對特定用戶、特定切片、特定區域的流量牽引，實現5G低成本監測和管控的目標。

5G流量牽引后端系統部署在本地移動機房內，與流量牽引前端系統交互，下發流量牽引策略。流量牽引系統可對本身因業務需求提供流量牽引策略下發接口。

流量牽引前端執行系統部署在核心機房，接收后端系統下發的流量牽引策略，并將牽引的流量由5G DPI（Deep Packet Inspection，深度報文檢測）解析后生成日志與安全事件，并上報到后端系統；向下對接核心網網元，將牽引策略翻譯為核心網元的接口消息，執行流量牽引操作。

2.1.5 流量牽引業務流程

完成目標流量的牽引和采集過程需要經過6個實體：流量牽引管控后端平臺、5G流量牽引一體化系統的流量牽引管理子系統、5G流量牽引一體化系統的流量牽引前端執行系統（與5G網絡交互實現與流量牽引管理子系統策略的收發）、5G核心網、部署在5G核心網控制面的信令采集設備和部署在5G核心網專用UPF側的用戶面采集設備。

2.2 具體方案

在5G獨立組網SA架構下，參照網絡安全相關標準和規范、5GToB和5GToC的相關技術規范，制定如圖2所示的架構。

圖2 ToBToC網絡安全架構

基于如上安全架構，設計該網絡安全與流量牽引系統，以實現5G ToB ToC業務發展與監管要求，如圖3所示。

圖3 ToBToC安全與引流系統

2.2.1 5G應用安全監測平臺功能

5G應用安全監測平臺作為管控后端平臺，接收來自不同業務部門的業務需求，制定流量牽引策略，并依據不同的策略針對部分特定用戶面流量數據進行牽引，包括：流量牽引設置、數據信令跟蹤、數據交互和系統管理。同時，包含和運營商側DPI解析的訪問日志及安全事件上報接收接口。

（1）流量牽引設置

基于安全監測需求，并參考既定規則，將流量牽引策略下發給牽引前端。流量牽引策略粒度包括：

①對特定終端設置/取消流量牽引。根據輸入的手機號碼（MSISDN/SUPI/IMEI）、號碼段或者號碼列表等條件，實現對特定的用戶或者用戶群進行流量牽引設置和取消。

②對特定地理區域用戶設置/取消流量牽引。基于基站位置信息通過選擇基站信息，獲取該區域內用戶信息，實現針對特定地理區域的流量牽引設置和取消。

③對特定應用設置/取消流量牽引。基于特定的應用，獲取該應用的用戶信息，實現針對特定應用的流量牽引設置和取消。

（2）流量牽引策略校驗

流量牽引策略校驗指在邏輯上進行驗證，符合策略管理規則，保證前后不沖突，不重復，以保證牽引策略的合法、合理性，且不影響正常業務。

（3）策略牽引策略下發

將驗證后的牽引策略轉換為南向接口消息，發送給流量牽引執行網元，執行流量牽引操作。

（4）數據信令跟蹤

數據信令跟蹤模塊能夠對采集到的特定網絡流量進行信令和用戶數據的實時跟蹤分析，并實現信令回溯。①支持查詢各接口生成的話單記錄，包括信令面接口的控制記錄，以及用戶面上網的詳細記錄，準確呈現用戶信令流程和上網的業務過程，單擊某條記錄可以鉆取到該條記錄的原始信令流程。②根據單接口業務記錄，鉆取該接口的原始信令數據，呈現出業務詳細流程和原始的數據包格式，協助進行協議問題的分析定位。③可以按照時間、網元、業務和用戶等維度進行關鍵業務KPI的統計分析。

（5）數據交互

數據交互功能模塊負責與前端系統的牽引策略管理模塊交互，下發牽引策略并依據牽引策略管理模塊反饋的策略響應，完成流量牽引策略的校驗。

2.2.2 數據采集和解析功能

（1）信令面采集解析

當前CU分離和5G架構下，核心網采集架構主要有三點變化：①控制面C上移，在大區中心集中部署；②數據面U由各省公司下沉到地市；③核心網虛擬化，全部上云。

基于上述5G網絡帶來的變化，信令面和用戶面分離導致在地市的一個機房無法同時接入主要的兩種數據：N3用戶面數據、N11信令面數據。通過研究5G網絡架構和信令交互特點，可在5GC核心網側實現N11等信令面數據的采集和解析，在UPF側實現對N3數據的采集和解析，通過N11信令面數據可回填N3用戶面數據三碼身份信息。

（2）用戶面采集解析

目前5G匯聚分流設備和DPI設備已經可實現原始碼流的鏡像和話單數據的輸出。數據的采集解析方式分為兩種：①5G行業應用側將牽引后的所有流量統一匯聚傳輸到平臺進行統一采集解析；②本地5G行業應用流量牽引后由DPI解析生成日志，對日志統一匯聚傳輸到平臺進行采集解析。

本項目采用的部署方式為，用戶面流量采集解析設備對用戶面消息解析并生成話單，并將特定用戶面日志話單發送到核心網機房，之后根據信令面號碼關聯回填用戶三碼（MSI SDNSUPIPEI）等信息。

2.2.3 流量牽引管理功能

部署在本地移動前端設備中，對接收到的流量牽引策略進行管理和校驗，包含策略處理支撐、信令面數據支撐、用戶面數據支撐，負責與信令面和用戶面采集設備交互，為流量牽引策略的執行提供支撐。

（1）牽引策略處理支撐

策略處理支撐模塊負責流量牽引策略的接收和轉發，并完成牽引策略的校驗，同時支持基于地理區域流量牽引策略中用戶終端位置的計算。

策略處理支撐模塊負責實現流量牽引策略：①支持接收流量牽引管控后端下發的策略；②支持對后端系統下發流量牽引策略的初步邏輯驗證；③支持將流量牽引策略下發給流量牽引策略子系統；④支持接收流量牽引策略子系統業務支撐系統的策略響應、驗證和響應結果反饋。

（2）信令面數據支撐

信令面數據支撐模塊負責基于信令面數據相關功能：①支持信令面數據采集后關聯分析；②支持信令的終端狀態監測管理；③支持生成控制信令XDR話單。

（3）用戶面數據支撐

用戶面數據支撐模塊負責基于特定用戶面數據相關功能：①支持接收特定用戶流量數據；②支持特定用戶流量數據采集后關聯分析；③支持用戶面XDR數據的合成、存儲和管理；④支持專用UPF狀態的監測管理。

3 效果分析

3.1 實用性分析

該項目中使用的流量采集分析設備開發時涉及多系統、多引擎、多模塊。架構上采取分模塊、分系統設計思路，按照數據采集、存儲、分析、應用、展示等業務邏輯，對系統進行整合。即使本設備宕機，也不能對其他業務系統不產生任何影響。在一定規模的業務量上，在特殊時期，可以使用雙機熱備方案確保穩定性。

3.2 實施效果

本平臺具備在5G大流量場景下，在滿足一定實時性和終端用戶無感的前提下，實現在特定時間內對網絡中特定終端用戶面的流量牽引設置和取消的流量牽引功能，從而實現了5G SA網絡環境下基于流量牽引技術的對網絡特定部分的流量精細化采集，在降低數據采集分析成本的同時，提高了5G網絡流量采集、分析和重點安全監測的靈活性和效率。

4 結束語

本研究提出5G網絡環境下基于策略的網絡安全與流量牽引采集方案，構建完整的5G ToB ToC行業應用安全監測體系，包括5G應用安全監測平臺、數據采集和解析、流量牽引管理系統等。同時，很好地利用了5G邊緣計算技術低延遲、高帶寬的優勢，通過5G流量牽引技術實現針對特定用戶、特定切片、特定區域的流量牽引，實現5G低成本監測和管控的目標。本方案適用場景廣泛，不僅滿足了監管和網絡安全的需要，也有助于新業務的上線和增收。