专题丨切片分组网安全技术研究

切片分组网安全技术研究

李勤  韩柳燕  李晗  张德朝

（中国移动通信有限公司研究院，北京 100053）

摘要：随着5G技术的广泛部署和应用，承载5G基站的切片分组网（Slicing Packet Network，SPN）成为保障5G网络安全性的重要基石。首先阐述了SPN安全技术，包括SPN安全隔离技术和网络层安全技术，其中安全隔离技术主要关注SPN小颗粒切片安全隔离，网络层安全技术包括认证和加密、访问控制、防攻击以及应急恢复等技术；其次说明了SPN安全技术在中国移动SPN现网的应用；最后对SPN安全技术进行了总结和展望。

关键词：小颗粒切片；认证和加密；访问控制；防攻击；应急恢复

0  引言

随着中国移动通信有限公司（简称“中国移动”）5G技术的广泛部署和应用，传输网的数据传输速度和容量有了显著的提升。自动驾驶、远程医疗、工业数智化等新业务的出现对传输网的稳定性和安全性提出了更高的要求。此外，政企客户业务也在快速增长，承载5G基站和政企业务的切片分组网（Slicing Packet Network，SPN）安全变得愈发重要。SPN传输网的安全是确保5G网络和政企网络稳定运行、用户数据安全的关键，需要加强技术创新以应对不断变化的网络威胁和挑战。

1  SPN简介

SPN是中国移动面向5G和政企客户提出的创新技术体系，是以切片以太网内核为基础的新一代融合承载网络架构，具备低时延、大带宽、超高精度同步、灵活管控等技术优势，同时SPN兼容以太网生态链，具备低成本、易部署等特性^[1]。中国移动2023年年度报告显示，近年来，中国移动已在全国300多个城市建设了约40万个SPN传输设备，承载5G基站超194万个，政企客户数超2 800万。

SPN为5G和政企客户提供低成本大带宽传输管道，通过多层网络技术的高效融合，实现灵活软硬管道分片，提供L0~L3的多层业务承载能力。为了更好地满足多业务承载需求，SPN支持N×5G颗粒的城域传输网（Metro Transport Network，MTN）硬隔离技术和N×10M颗粒的基于细粒度单元（Fine Granularity Unit，FGU）硬隔离技术。SPN由切片分组层（Slicing Packet Layer，SPL）、切片通道层（Slicing Channel Layer，SCL）、切片传送层（Slicing Transport Layer，STL），以及时间/时钟同步功能模块和管理、控制平面组成（见图1）^[2]。

图1   SPN技术架构示意图

SPL用于分组业务和固定速率业务（Constant Bit Rate，CBR）业务处理。当承载分组业务时，对分组客户信号以及分组业务的封装处理，面向传送的分段路由技术（Segment Routing-Transport Profile，SR-TP）、尽力而为的分段路由技术（Segment Routing-Best Effort，SR-BE）或多协议标签交换传送特性（Multiprotocol Label Switching-Transport Profile，MPLS-TP）隧道处理，以及分组业务与以太网二层介质访问控制（Media Access Control，MAC）映射处理^[3]。当承载CBR业务时，对CBR业务进行比特透明映射以及容器封装处理。SCL采用基于时分复用（Time Division Multiplexing，TDM）时隙的FGU、MTN Path和MTN Section技术，提供硬管道交叉连接能力。STL用于提供IEEE 802.3-2015以太物理层编解码和光传输媒介质处理^[4]。SPN细粒度承载技术分层模型如图1所示，FGU可承载于MTN Path层或10 GE/GE以太网物理层，FGU和CBR业务为SPN细粒度承载技术在SPN原有总体分层模型基础上的新增部分。

SPN传输网的安全对于保障整个5G网络和政企网络的安全性和稳定性至关重要。安全技术措施涵盖了安全隔离的网络切片技术，网络层的认证和加密技术、访问控制、防攻击和应急恢复等多个方面，这些技术共同构成了SPN传输网安全的防护体系。

2  SPN安全技术

2.1  SPN安全隔离技术

为了满足各种业务体验保障以及不同业务相互隔离的诉求，构筑差异化的竞争力，SPN以MTN/FGU物理层硬切片技术为基础，实现从物理层到网络层的多层次组网，构建多种类型的切片隔离能力。

FGU通过层次化设计，将细粒度切片技术融入SPN整体架构，提供端到端低成本、精细化、硬隔离的小颗粒承载管道^[1]。为确保小颗粒业务独享时隙资源，严格硬隔离，FGU采用TDM机制循环发送FGU帧，每帧时隙数量及位置均严格固定，因此每时隙具有固定的发送周期，实现对SPN通道层5 Gbit/s颗粒的时隙划分与复用。SPN网络基于FGU Client码块进行数据流的交叉连接，提供端到端切片通道物理层组网。

为确保前向兼容，FGU采用了与位于IEEE 802.3 PCS层的SPN通道层相同的64/66 B编码格式。FGU帧结构的设计，将开销和包含多个时隙的净荷编码后封装到固定长度的“S块+D块+T块”序列（见图2）。

图2   FGU帧结构

FGU基本单元帧固定由197个66 B码块组成：1个开始码块（S0）、195个数据码块（D）和1个结束码块（T7）。数据码块和结束码块提供了1 560字节的净荷和7字节的开销，其中净荷划分为相同大小的24个子时隙（Sub-Slot），每个子时隙长度为65字节，承载8个65 bit码块，承载来自业务的66 B码块经过66 B到65 B压缩的数据^[1]，具体如图3所示。

图3   FGU帧的基本单元与时隙划分^[1]

SPN还支持不同业务之间通过切片分组层SR-TP隧道或者MPLS-TP隧道隔离的软切片技术，部署服务质量（Quality of Service，QoS）机制保障不同业务带宽，根据客户需求定制切片组网，硬切片软切片两类均可选。

SPN切片具备如下特性。

一是切片硬隔离，服务级别协议（Service-Level Agreement，SLA）承诺保障。网络切片需要在网络设备的转发面上为不同业务预留独立资源，通过在同一个物理接口上划分不同的MTN/FGU接口，为高价值业务提供确定性的时延和带宽保障，在其他业务突发情况下，分片业务仍可以做到确定性的SLA保障，有效隔离恶意攻击并保障数据的安全传输。

二是切片粒度业界最细，需求精准匹配。使用MTN/FGU小颗粒接口技术，切片最小粒度可以达到10 Mbps^[1]，能够实现对任意带宽政企专线业务的安全保障。

三是切片部署分钟级使能，业务快速恢复。切片部署方案主要有分步式部署和一键式部署，分步式部署使用管控平台先创建分片，再部署业务并选择已创建好的分片；一键式部署使用管控平台部署业务的同时驱动分片创建。无论采用哪种方案，切片的部署都可以在分钟级完成，实现分片业务的快速部署和快速恢复。

四是切片带宽动态调整，业务稳定无损。当分片业务负载变化时，需要通过调整分片带宽来匹配业务诉求。管控平台会根据用户行为、业务流量模型、流量增长情况，对分片资源进行智能化弹性扩缩容，并且在进行资源调整时，业务不受任何影响，充分保证业务的稳定性。

2.2  SPN网络层安全技术

相对于分组传送网（Packet Transport Network，PTN）技术，SPN网络的三层业务应用更多，SPN网络层安全一方面继承了账号口令管理、漏洞扫描等安全技术，另一方面加强了认证和加密、访问控制、防攻击、应急恢复等多方面技术方案，以下介绍4类典型技术。

2.2.1  认证和加密

SPN管控平台通过标准化南向接口与小型化SPN设备连接，标准化南向接口采用网络配置协议（Network Configuration Protocol，NETCONF），认证和加密采用安全外壳（Secure Shell，SSH）网络安全协议。

SSH由服务器和客户端组成，SPN管控平台（简称“管控平台”）作为客户端，SPN设备（简称“设备”）作为服务器，为建立安全的SSH通道，双方需要先建立TCP连接，然后协商使用的版本号和各类算法，并生成相同的会话密钥用于后续的对称加密。在完成用户认证后，双方即可建立会话进行数据交互。SSH的工作流程包括如图4所示。

图4   SPN的SSH工作流程

认证可以采用密钥认证和密码认证方式，密钥认证登录流程如下：管控平台生成自己的公钥私钥对，并将自己的公钥存放在设备上。管控平台向设备发送登录请求，设备根据请求中的用户名等信息在本地搜索管控平台的公钥，并用这个公钥加密一个随机数发送给管控平台。管控平台使用自己的私钥对返回信息进行解密，并发送给设备。设备验证管控平台解密的信息是否正确，如果正确则认证通过。也可以选择密码认证登录，但是密码认证方式存在中间人攻击的风险。

认证通过后，管控平台向设备发送会话请求，请求与服务器建立相应的会话。会话建立后，设备和管控平台在该会话上进行数据信息的交互，双方发送的数据均使用会话密钥进行加解密，防止数据在传输过程中被窃听或篡改。

管控平台和设备之间还支持开放式最短路径优先（Open Shortest Path First，OSPF）MD5来认证SPN设备，通过对比管控平台和管控平台计算得到的MD5值是否一致来确认信息的完整性和真实性，可以有效防止SPN设备被伪装或篡改，确保SPN网络通信的安全性。

2.2.2  访问控制

SPN访问控制可以分为管控平台对设备的访问控制列表（Access Control List，ACL），以及设备对流量的ACL（见图5）。

图5   SPN的访问控制列表

SPN管控平台支持配置VLAN、VLAN优先级、源或目的MAC地址、源或目的IP地址、DSCP/IP TOS、源或宿TCP/UDP端口号，以及以上任意组合的ACL。SPN管控平台配置相应的ACL后，只允许符合ACL规则的SPN设备接入。SPN设备除了支持以上组合的ACL能力，还可以针对报文的协议类型等定义过滤规则，基于规则设置业务流的允许和禁止。例如在SPN设备之间创建业务，符合ACL允许的流分类规则的流量能够正确接收，符合ACL拒绝的流分类规则的流量不能正常接收。

2.2.3  防攻击

SPN支持多种防攻击技术，例如支持防地址解析协议（Address Resolution Protocol， ARP）欺骗、防MAC泛洪攻击以及防互联网组管理协议（Internet Group Management Protocol，IGMP）泛洪攻击等。配置防ARP欺骗攻击可以防止伪造的ARP报文恶意修改SPN设备或网络内其他设备的ARP表项^[5]，造成SPN网络中的报文转发异常。配置防MAC泛洪攻击，当SPN设备收到大量的正常ARP请求报文时，超过阈值的流量被丢弃，SPN设备收到大量的非法ARP报文时，识别后也会直接丢弃。IGMP泛洪攻击是一种常见的分布式拒绝服务（Distributed Denial of Service Attack，DDoS）攻击，在根节点启用IGMP窥探功能，配置为立即离开模式，避免大量IGMP数据包攻击导致SPN设备内存耗尽。

2.2.4  应急恢复

SPN具备电信级可靠性和多层级应急恢复能力，支持对网络中各逻辑层次、各类网络连接、各类业务进行监控，及时发现异常行为，实现全方位网络可靠性。SPN网络采用分层保护架构，保护体系可分为细粒度SCL保护、SPL保护和客户业务层保护、接入链路保护等^[6]。

SPN保护模块通过一定的冗余机制，提供备份资源，实现网络级保护和设备级保护。网络级保护能够在某些网络节点、链路失效时，提供业务快速愈合的能力，保护的触发条件包括信号故障、外部命令、线路性能劣化等；设备级保护能够在设备主控、交叉、电源等单元发生故障时，提供备份保护，保证设备正常运行，业务正常承载。SPN还可以使用拓扑无关的无环路备份路径（Topology Independent-Loop Free Alternate，TI-LFA）保护机制，通过运行内部网关协议（Interior Gateway Protocol，IGP），扩散节点标签并生成到目的节点的最优转发路径；同时，IGP协议为SPN设备计算生成一条到目的节点的次优转发路径，无需人工规划部署，是SPN备份资源机制的补充。另外保护体系全部失效后，还可以采用恢复体系依赖控制面实现业务恢复。

3  SPN安全技术应用

为了满足行业对各种业务安全保障的要求，在中国移动通信集团四川有限公司现网开展应用试点，组网示意图如图6所示，四川SPN省内干线通过成都核心汇聚设备连接绵阳市SPN网络和德阳市SPN网络，试点从绵阳三台移动基站到德阳玉泉新景观基站。

图6   四川SPN组网示意图

在SPN网络蓝色业务路径建立5G和政企多条业务，对硬切片安全隔离技术进行验证。采用两种配置方式作对比分析，第一种配置共享VPN，不采用物理层小颗粒硬切片，依靠业务优先级进行调度，应用效果是优先级高的业务有性能保障，优先级低的业务受拥塞影响非常大，发生大量丢包，时延明显变大。据本文测试，第二种配置是将多条业务配置在物理层小颗粒硬切片，1 518字节5G业务单向时延低于5 ms，政企E1业务时延8.9 ms，无论背景流轻载、重载或拥塞，无论背景流优先级高或低，5G和政企业务均不会产生丢包。充分说明采用物理层硬切片技术有很好的安全隔离，5G和政企业务不受其他业务影响，带宽和时延性能可以得到很好的保障。

同时本文验证了网络层安全技术，在管控平台和SPN设备之间应用SSH认证和加密，在相应链路上进行抓包分析，加密数据内容无法被解析，防止数据在传输过程中被窃听或篡改。在蓝色路径测试了目的MAC地址加目的IP地址的业务流过滤规则，不符合规划的业务无法接入网络。另外在蓝色业务路径产生德阳市内SPN网络故障（故障1）以及德阳和成都域间SPN网络故障（故障2），模拟应急恢复场景，据测试，从蓝色业务路径切换到红色业务路径的倒换时间小于50 ms，5G和政企业务迅速恢复。

4  结束语

本文介绍了SPN的安全隔离技术以及网络层安全技术，目前SPN传输网已经具备较好的安全防护能力，随着无人机低空经济、端侧大模型、手机直连卫星通话等新业务的不断发展和新型网络威胁的不断涌现，SPN传输网的安全仍然面临着诸多挑战，还需要进一步完善SPN安全防护技术体系，未来将加强SPN物理层安全和MAC层安全技术研究，例如在物理层开展65 bit码块加密，以及SPN转发芯片的MAC数据帧安全性等研究，维护SPN网络的安全和稳定。

Research on security technology of sliced packet network

LI Qin, HAN Liuyan, LI Han, ZHANG Dechao

（Research Institute of China Mobile Communications Co., Ltd., Beijing 100053, China）

Abstract: With the wide deployment and application of 5G technology, the sliced packet network (SPN) that carries 5G base stations has become an important cornerstone to ensure the security of 5G network. Firstly, SPN security technology is elaborated, including SPN security isolation technology and network layer security technology. The security isolation technology mainly focuses on SPN small-grain slicing security isolation, and the network layer security technology includes authentication and encryption, access control, anti-attack, and emergency recovery. Then, the application of security technology in the current SPN network of China Mobile is explained. Finally, the SPN security technology is summarized and prospected.

Keywords:  small granular slicing; authentication and encryption; access control; attack prevention; emergency recovery

本文刊于《信息通信技术与政策》2024年 第8期

《信息通信技术与政策》投稿指南！

为进一步提高期刊信息化建设水平，为广大学者提供更优质的服务，我刊官方网站（http://ictp.caict.ac.cn）已正式投入运行，欢迎投稿！

   推荐阅读  

专题丨数字化转型背景下制造侧网络安全发展情况与建议

专题丨全球主要网络安全指数研究

导读：网络安全

《信息通信技术与政策》2024年第50卷第8期目次及摘要

你“在看”我吗？