作者|中國移動研究院周欣都晨輝魏彬


(資料圖片僅供參考)

Labs 導(dǎo)讀

隨著5G與制造業(yè)融合的逐步深入,企業(yè)對于5G通信網(wǎng)絡(luò)的穩(wěn)定可靠運(yùn)行的要求也逐步提高。近日,中國移動為寧德時代建成了橫跨六個省市、七大基地,總覆蓋面積超500萬平方米的5G企業(yè)專網(wǎng),此次也是中國移動創(chuàng)新設(shè)計(jì)的5G UPF+解決方案的首次規(guī)模商用,助力企業(yè)實(shí)現(xiàn)了高可靠的5G專網(wǎng),保障企業(yè)專網(wǎng)不因外部網(wǎng)絡(luò)的故障或者異常而受到波及,可以實(shí)現(xiàn)在災(zāi)備狀態(tài)下本地自服務(wù),保障了企業(yè)的7*24小時運(yùn)維服務(wù)要求。

1技術(shù)方案簡介

當(dāng)前,面向行業(yè)客戶的專享、尊享5G專網(wǎng)需求,大部分是通過下沉部署標(biāo)準(zhǔn)的UPF來滿足的。但由于部分客戶的工作環(huán)境較為惡劣(如礦山)、部分客戶對于園區(qū)網(wǎng)絡(luò)持續(xù)運(yùn)行要求較高(如高精制造),這些客戶對于下沉UPF與大區(qū)中心控制面之間遠(yuǎn)距通信的可靠性有著較為嚴(yán)苛的要求。

5G UPF+解決方案面向此類高可靠網(wǎng)絡(luò)的需求,通過升級下沉UPF的能力,集成應(yīng)急態(tài)的用戶數(shù)據(jù)管理、接入和移動性管理以及會話管理功能,中國移動研究院結(jié)合行業(yè)需求和現(xiàn)網(wǎng)實(shí)際情況,攻關(guān)無線基站選網(wǎng)、用戶數(shù)據(jù)同步、慣性保持和無感回遷、下沉網(wǎng)絡(luò)安全等4大關(guān)鍵技術(shù),使其可以在與2B大網(wǎng)連接中斷時,保障在園區(qū)內(nèi)的用戶訪問業(yè)務(wù)不受大區(qū)鏈路故障的影響,實(shí)現(xiàn)用戶不掉線、業(yè)務(wù)不中斷,形成5G UPF+創(chuàng)新解決方案。

2技術(shù)創(chuàng)新點(diǎn)2.1 無線基站選網(wǎng)方案

AMF設(shè)備作為用戶接入控制和移動性管理的設(shè)備,通常部署在大區(qū)中心,距離園區(qū)較遠(yuǎn)。為了確保園區(qū)網(wǎng)絡(luò)和大區(qū)中心之間鏈路異常后,可以持續(xù)保障園區(qū)業(yè)務(wù)的正常接入和身份認(rèn)證,需要在下沉部署的UPF+中集成部署簡化的AMF模塊,負(fù)責(zé)應(yīng)急態(tài)下的用戶接入和移動性管理等職能。

園區(qū)的無線基站存在著到大區(qū)中心的AMF Pool,以及下沉部署的簡化AMF之間的選擇問題。根據(jù)UPF+應(yīng)急態(tài)的激活原則,僅在園區(qū)網(wǎng)絡(luò)和大區(qū)中心鏈路異常時,啟用本地的應(yīng)急態(tài)功能。因此無線基站將需要優(yōu)先選擇大區(qū)中心的AMF。

為了實(shí)現(xiàn)該目標(biāo),通過優(yōu)化AMF Set機(jī)制,將大區(qū)中心AMF和UPF+的AMF模塊組成一個Set,并將大區(qū)中心的AMF權(quán)重設(shè)置為255,UPF+中的AMF接入權(quán)重設(shè)置為0。此時,當(dāng)無線基站進(jìn)行AMF選擇時,其根據(jù)AMF Set的選擇機(jī)制,優(yōu)選非0權(quán)重的設(shè)備,即大區(qū)中心AMF。當(dāng)園區(qū)和大區(qū)之間鏈路故障時,無線基站無法連接到大區(qū)的任何一臺AMF,即Set中無任何可用的非0 AMF時,基站則會選用權(quán)重為0的UPF+中的AMF,激活其應(yīng)急態(tài)的移動性管理功能。

2.2 用戶數(shù)據(jù)同步方案

正常狀態(tài)下,園區(qū)用戶的簽約信息和鑒權(quán)數(shù)據(jù)都是在大區(qū)中心的UDM進(jìn)行存儲和管理。在網(wǎng)絡(luò)鏈路異常時為實(shí)現(xiàn)本地自服務(wù),UPF+引入了應(yīng)急態(tài)用戶數(shù)據(jù)管理模塊,臨時負(fù)責(zé)新接入網(wǎng)絡(luò)用戶的身份信息鑒權(quán)以及簽約信息管理。為保證UPF+中的簽約信息和鑒權(quán)數(shù)據(jù)與大區(qū)中心UDM的一致性,創(chuàng)新設(shè)計(jì)用戶數(shù)據(jù)同步方案,在網(wǎng)絡(luò)連接正常時,將大網(wǎng)UDM中的用戶卡的鑒權(quán)參數(shù)和業(yè)務(wù)簽約數(shù)據(jù)同步至UPF+中的用戶數(shù)據(jù)管理模塊,待連接中斷時激活UPF+中的應(yīng)急用戶數(shù)據(jù)管理模塊,完成上線接入流程,實(shí)現(xiàn)業(yè)務(wù)訪問。

大網(wǎng)UDM和UPF+上簽約數(shù)據(jù)的同步包括兩種方式:基于文件導(dǎo)出和UDM指令轉(zhuǎn)發(fā)。

基于文件導(dǎo)出方式的原理為,由大網(wǎng)UDM將導(dǎo)出的用戶數(shù)據(jù)文件壓縮后進(jìn)行加密,其中用戶卡鑒權(quán)參數(shù)(K、OPc)需要進(jìn)行二次加密,之后根據(jù)本地配置的導(dǎo)出周期、導(dǎo)出時間,基于用戶號段/DNN/切片/園區(qū)標(biāo)識將指定用戶的用戶數(shù)據(jù)導(dǎo)出至指定文件目錄的用戶數(shù)據(jù)文件中,之后由UPF+根據(jù)本地配置的用戶數(shù)據(jù)同步參數(shù)、優(yōu)先級等,定時或人工從大網(wǎng)UDM同步獲取用戶數(shù)據(jù),并將最新用戶數(shù)據(jù)文件導(dǎo)入至本地,將導(dǎo)入的文件進(jìn)行解密后再解壓縮,并對用戶卡鑒權(quán)參數(shù)進(jìn)行二次解密,最終完成數(shù)據(jù)同步。

UDM基于BOSS指令轉(zhuǎn)發(fā)的同步方式的原理為,當(dāng)BOSS發(fā)送業(yè)務(wù)開通指令時,大網(wǎng)UDM根據(jù)用戶號段/DNN/切片/園區(qū)標(biāo)識識別出歸屬的UPF+,再由大網(wǎng)UDM將指令轉(zhuǎn)發(fā)至UPF+,指令成功執(zhí)行后UPF+向大網(wǎng)UDM回復(fù)成功響應(yīng),并上報(bào)園區(qū)狀態(tài)(正常或異常)。當(dāng)大網(wǎng)UDM收到UPF+指令執(zhí)行成功的響應(yīng),則清除該條指令;若未收到UPF+執(zhí)行成功的響應(yīng)或收到園區(qū)狀態(tài)標(biāo)識為異常的消息,則緩存指令并向BOSS上報(bào)園區(qū)異常狀態(tài),BOSS暫停后續(xù)新指令的下發(fā),待園區(qū)狀態(tài)恢復(fù)正常后,大網(wǎng)UDM先轉(zhuǎn)發(fā)緩存指令,待緩存清空后再通知BOSS園區(qū)狀態(tài)恢復(fù)正常。

以上兩種同步方式各有特點(diǎn),可結(jié)合實(shí)際業(yè)務(wù)情況選擇合適的同步方案或其組合,如針對簽約信息變更較少的園區(qū)客戶建議采用文件同步方式,否則采用UDM指令轉(zhuǎn)發(fā)方式疊加人工文件同步方式的核查等。

表1 文件同步方式和UDM指令轉(zhuǎn)發(fā)方式能力對比

2.3 慣性保持和無感回遷

UPF+的設(shè)計(jì)目標(biāo)是在與大網(wǎng)的鏈路故障發(fā)生時,可以保證園區(qū)已在線用戶及業(yè)務(wù)的持續(xù)運(yùn)行,實(shí)現(xiàn)慣性保持;當(dāng)與大網(wǎng)的鏈路故障解除后,可以自動將相關(guān)業(yè)務(wù)管理權(quán)交還大網(wǎng),實(shí)現(xiàn)無感回遷。

慣性保持:當(dāng)UPF+感知到與大區(qū)SMF之間的N4接口鏈路故障時,UPF+解除已在線會話和N4接口的關(guān)聯(lián)關(guān)系,不因N4接口異常主動刪除相關(guān)會話,并對已建立的用戶面會話進(jìn)行保活并維持用戶面通道,保障已在線的業(yè)務(wù)可繼續(xù)運(yùn)行。

無感回遷:當(dāng)大區(qū)AMF和SMF感知到N2、N4接口鏈路故障時,封存已接入U(xiǎn)PF+用戶的上下文和會話,以便鏈路恢復(fù)時可接續(xù)管理;在鏈路故障期間大區(qū)AMF和SMF還需支持對PCF/UDM的策略變更消息主動攔截并回復(fù)執(zhí)行失敗的結(jié)果,確保PCF/UDM中的相關(guān)簽約、策略信息的不更新;當(dāng)N2、N4接口鏈路恢復(fù)正常后,園區(qū)UPF+將相關(guān)會話的管理權(quán)主動交還給大區(qū)SMF,大區(qū)SMF解除對相應(yīng)會話的封存狀態(tài),恢復(fù)到正常態(tài)進(jìn)行日常管理。

2.4 下沉網(wǎng)絡(luò)安全方案

UPF+下沉至園區(qū)側(cè)之后,對保障園區(qū)業(yè)務(wù)的連續(xù)性服務(wù)帶來了便利,另一方面也增加了大區(qū)核心網(wǎng)對外暴露的風(fēng)險(xiǎn),需要從網(wǎng)絡(luò)安全隔離和用戶簽約數(shù)據(jù)安全防護(hù)兩個方面進(jìn)一步增強(qiáng)安全防護(hù)機(jī)制。

在網(wǎng)絡(luò)安全隔離方面:

通過部署邊緣安全網(wǎng)關(guān),在園區(qū)網(wǎng)絡(luò)與大區(qū)網(wǎng)絡(luò)之間增設(shè)安全屏障,一方面實(shí)現(xiàn)數(shù)據(jù)的安全過濾,另一方面實(shí)現(xiàn)雙向的網(wǎng)絡(luò)拓?fù)潆[藏;通過配置白名單IP互訪機(jī)制,實(shí)現(xiàn)園區(qū)網(wǎng)絡(luò)與大區(qū)核心網(wǎng)之間的有限暴露;通過啟用IPSec功能,建立UPF+到大區(qū)核心網(wǎng)的安全信令通道,避免信令篡改;通過配置單向訪問權(quán)限,禁止園區(qū)網(wǎng)到UPF+的訪問;通過UPF+增設(shè)分權(quán)分域的運(yùn)維管理權(quán)限,確保設(shè)備運(yùn)營運(yùn)維和客戶自服務(wù)訪問的權(quán)責(zé)分明和安全隔離。

在用戶簽約數(shù)據(jù)安全防護(hù)方面:

大區(qū)UDM與UPF+間同步的敏感用戶數(shù)據(jù),采用SOAP over HTTPS協(xié)議,進(jìn)行加密傳輸;大區(qū)UDM與UPF+間同步的文件信息,采用SFTP協(xié)議,防止數(shù)據(jù)泄露;大區(qū)UDM對不同UPF+建立安全隔離通道,不同UPF+用戶數(shù)據(jù)采用不同加密密鑰;UPF+中的用戶數(shù)據(jù)進(jìn)行加密存儲,禁止非授權(quán)用戶訪問,禁止數(shù)據(jù)導(dǎo)出。3應(yīng)用效果

目前5G UPF+方案已經(jīng)在寧德時代工廠助力9種5G融合應(yīng)用的可靠性實(shí)施。其中“中央智慧工藝感知控制系統(tǒng)”憑借UPF+的下沉部署,保障了視頻采集與操作指令的同步處理和實(shí)時交互;而在“超高速運(yùn)動全量視頻流AI質(zhì)量檢測”工藝中,更是依賴UPF+的慣性運(yùn)行能力的保障,為高安全、高可靠的無人化生產(chǎn)保駕護(hù)航。

5G UPF+解決方案將在年底具備全網(wǎng)商用能力,憑借其慣性運(yùn)行特點(diǎn),將進(jìn)一步保障礦山、能源、港口、制造等行業(yè)專網(wǎng)的可用性和可靠性。

標(biāo)簽: 5G通信網(wǎng)絡(luò) 企業(yè)專網(wǎng)