2020年Covid-19疫情爆發後,人們的日常生活與工作有著不同程度的改變,企業因應情況允許員工在家工作,需要遠端與客戶進行即時溝通、產品展示與線上會議;學生與老師上課的教室移置網路,需要適應線上會議與平台的使用;而餐飲物流也將電子商務應用更為全面化;展覽、音樂會甚至各大國際性賽事也在現場無觀眾的參與之下,透過網路即時轉播。這些應用場景都大幅提升各界對於5G行動網路的期待與需求。
5G網路有三點特性,其包含高速的大流量通訊、高可靠度且低延遲通訊與大規模機器型通訊。使人們未來有更佳上網體驗的同時,將擁有保持連線的電動車,甚至無人駕駛和物聯網,以提高生活品質。而要建起5G網路架構,網路切片將成為關鍵技術。
5G網路切片定義
5G網路切片是將網路切割成多個虛擬端到端、每片獨立的網路,從設備、基地台到傳輸以及核心網路。根據不同且多種的使用者情境,提升核心網路(Core Network)與連接網路(Radio Access Network)的靈活性,比如時間延遲(Latency)、頻寬(Bandwidth)、安全性(Security)等,隨時調度有限的網路資源,體現共享經濟。
網路切片可分成水平與垂直兩部分,水平網路切片的其中一個例子是便攜式設備切出其部分資源給穿戴式裝置使用,資源包括儲存空間、通訊、運算。透過邊緣雲端運算,縮短通訊延遲(Transmission Latency),提升其效率。
垂直網路切片則為裝置到基地台通往核網的路徑,提供不同的服務品質(QoS)。舉例來說,汽車有導航、地圖、即時交通狀況、通訊、娛樂等服務,首要考慮安全原則,通訊及娛樂等設備可比其他服務的QoS低。或者如世足賽球場運用的網路切片技術,一部分傳送電視轉播的供應商,依照服務級別協定(Service-Level Agreement, SLA)提供較大的行動寬頻;另一個用於安全監控,並有足夠的QoS讓球迷上傳自拍照,每個都有不同的要求和優先等級,啟用每個切片的功能將能各自分布,因此即使所有球迷透過分享錄製的影音慶祝進球,也能確保安全和廣播切片中的流量,擁有足夠的頻寬。
在4G時代,APN(Access Point Name)成為形成網路切片的初型。當使用者上網時,行動網路業者會透過APN得知使用者,分配相應的IP地址給裝置,了解網路存取設定。4G也以多營運商核心網路(Multi-Operator Core Network, MOCN)和DCN(Dedicated Core Networks)管理端到端服務協作。
5G方面,則由軟體定義網路(Software-Defined Networking, SDN)和網路功能虛擬化(Network Functions Virtualization, NFV)來完成。以NFV將網路功能與硬體拆分,重新配置資源使用(虛擬化)來提高效率,同時運用SDN協調控制用戶、各型管理者的網路流量設定,使資源有效共享於不同層的網路切片。
5G網路切片標準流程
圖1為5G系統架構圖,灰色部分為5G核心網路,其中幾個較重要的功能包括接取和移動管理功能(Access and Mobility Management Function, AMF),主要提供註冊、連接及移動管理。其中註冊管理是指UE必須透過AMF完成註冊程序,才能獲得使用5G服務的授權。
圖1 5G系統架構圖
會話管理功能(Session Management Function, SMF)負責與資料層(Data Plane)交涉,會話層協定數據單元(Protocol Data Unit, PDU)的建立、修改、釋放。而用戶面管理功能(User Plane Function, UPF)則是負責數據封包檢查、路由和轉發、QoS處理等。
使用者終端設備(User Equipment, UE)如手機、平板電腦等,將向RAN請求NSSAI,RAN將要求傳遞至目標AMF。AMF認證UE的訂閱即要求NSSF(Network Slice Selection Function)提供屬於UE的NSSAI。NSSF將向AMF發送該UE的切片條件。最後AMF將配置UE的切片並向UE發送消息,以接受切片登記,如圖2所示。
圖2 終端設備架構圖
5G網路切片加速營運效率
5G網路切片的優點是可以利用單個網路,根據不同的需求提供服務,網路營運商可以根據網路切片分配適當數量的所需資源,有助於提高網路資源利用的有效性和效率。在基線假設下,有效減少40%網路費用(OPEX)和資本支出(CAPEX),潛在收入增加35%,達成推估整體增加150%的經濟效益,大幅提升營運效率和5G網路服務交付的上市時間。
5G網路切片使用情境
智慧生活涵蓋交通、智慧家庭、遠端醫療、虛擬音樂會等各個層面,要進一步將生活與網路連結,5G網路切片能擴大使用規模,讓用戶有更佳的使用者體驗。
.自動化
正因虛擬網路使網路切片能在軟體上操作,其能不限時間、地域設定,藉由自動化機制在短時間內完成改動。若道路發生故障或有臨時維修工程,網路營運商可即時透過導航建議車輛改道,藉由SLA重新分配網路資源優先給維修工程或急救人員與車輛。網路切片能為自動駕駛提供一定的QoS,以保障高可靠度和低延遲的道路資訊,車輛可從路邊基礎設備或其他車輛中,取得所需資訊或提供資訊,進行換道或超車,提供安全距離,以降低交通事故發生。
.醫療系統
遠距醫療能為醫療資源稀缺或交通不便的地區提供服務。根據報導,一年來耳鼻喉科、眼科與皮膚科的遠距視訊門診已超過千人。門診的數據、影像等,需增強型行動寬頻通訊(Enhanced Mobile Broadband, eMBB)的傳輸及檢視,未來以深度學習輔助傷口範圍偵測技術等,應用於長期照護、手術等需低延遲通訊,方便醫師判定病患狀況。網路切片可彈性調整傳輸容量並提供較低的延遲,有效將醫療站的數據資源,經由水平網路切片,同時傳輸容量龐大的畫面及檔案給其他門診,並且有效維護病人隱私。
.公用事業
5G應用場景能拓展於能源工業,包含智慧電廠、智慧電網、智慧煤礦、智慧油氣、綜合能源等方面。網路切片可為能源系統基礎建設,制定彈性調度與建立安全防護。藉由網路切片技術為5G所帶來的可靠度和低延遲,提升能源分配網路自動化,除了更好掌握工業與家庭用電的狀況與管理,對於電網傳輸損耗的監控與判斷,能在遠端進行相應的措施。
例如中國工程院院士王國法在人民網的報導中提到,智慧煤礦利用人工智慧、大數據等相關技術改造傳統採礦業。網路進入地下複雜且極端的礦場環境,透過網路切片技術,確保穩定傳輸大規模數據分析、自動割煤智慧決策與控制等,能獨立傳輸及QoS,減少整體產業風險和意外所造成的不幸傷亡。
.新興直播市場
市場分析報告指出,去年全球直播市場總值501.1億美金,預計未來每年持續成長20%。更高畫質的直播及智慧家庭設備,都能透過網路切片控制,調節至所需的低延遲與相應QoS,持續對攝影機的智慧控制,以提供良好的直播現場體驗。
大型活動如跨年活動,網路應用及需求量龐大,包括參加人數的數據需求、場地設備的通訊如申請通過的無人機空拍、公眾安全的系統運作等,有的需要低延遲與大量裝置通訊,有的需要高速、大流量等不統一的需求,透過應用與電信業者的SLA協定,使業者能提供相應的服務品質。
端對端(End-to-end)網路切片協作的技術,能自動管理無線接取網路(RAN)、傳輸與接取,以及透過核心網建立網路資源,提供給各個面向應用。結合成從使用者的設備到資料中心,以端到端的方式傳送資訊。與此同時,不同的目標客戶如圖3所示的自動駕駛、直播、遠端醫療等都會遵循該形式,擁有各自的5G網路切片技術。
圖3 5G端對端網路切片的應用
5G切片安全疑慮
5G網路切片使用虛擬化網路功能設施進行虛擬切片,因此5G網路切片安全威脅,主要在於網路切片本身以及網路虛擬化帶來的安全威脅。駭客可以在獲得5G服務化架構的存取權限後,透過阻斷服務攻擊(Denial-of-Service Attack, DoS),竊取5G切片管理者的重要訊息,以該權限進入營運商的核心網路,對網路切片進行控制和分配。
邁克菲(McAfee)於2021年3月揭發專門針對電信產業工作的人員而打造的Operation Diànxùn全球網路刺探活動,從2020年8月之今,全球已有至少23家電信業者疑似成為目標,範圍涵蓋東南亞及歐美。該公司建議建構一個具有適應性及融合度的安全基礎設施,以避免成為此類威脅的受害者。
5G切片有三大可能的潛在安全威脅,AdaptiveMobile Security研究者發現,有關位置追蹤的訊息洩露,由於3GPP標準和規範,缺乏安全功能相關內容,因此位置追蹤是可能存在的疑慮。
AdaptiveMobile Security 5G安全研究負責人Silke Holtmanns表示,現以3GPP標準和規範來看,用戶身分和授權票之間沒有關聯匹配,攻擊者可獲取設備位置等數據。換句話說,它並沒有認證用戶身分,確認其是否真的屬於發送請求及相關授權的令牌。駭客在連接到營運商服務化架構的邊緣網路功能後,可利用網路切片標準設計中的缺陷,存取營運商的核心網路和其他企業的網路切片,導致網路營運商及其客戶失去保護。
用戶資料的風險,不僅是個人身分訊息、財務和付款訊息、身分驗證訊息、位置等都有可能被非法使用,亦影響用戶正常通訊。假如能將身分交叉檢查並確認其身分,如用戶是否使用屬於它的切片、IP位置是否與ID情況吻合,應該能有助提升可靠性。
另一風險則是在2022年3GPP第17版修訂標準之前,存在資料洩漏和冒用的可能。比如有人取得不屬於他的ID、切片ID或IP地址作為發出請求及授權使用時,其就能以他人身分進入網路。而使用TLS身分驗證和通訊安全不足以保護服務,實際上也不足以保護5G網路,在不同網路切片之間、RAN網路切片及核心網路切片之間都需要進行通訊,網路切片之間的接口更可能會受到攻擊,導致網路切片無法正常工作。
DOS攻擊是一種惡意攻擊,以影響其目標系統,例如網站或應用程式可用性的行為。攻擊者會產生大量的封包或請求,以致該系統無法負荷。而對於切片而言,攻擊者在存取一個切片時,可能消耗其他切片的資源,導致資源不足,可能會對其他切片造成DoS攻擊。
當5G內部沒有相關訊息說明超載時,這種攻擊會阻止5G中的訊息同步和即時更新以及策略的執行。比如一個異常的切片B想對切片A進行DoS攻擊,切片B會將切片A過載訊息的標頭,連同切片B的令牌請求的訊息發送到他們共同的伺服器,伺服器會檢查切片B的令牌並將切片A的狀態改為過載。在不會有任何公告之下,導致切片A的用戶不知道自己已是目標。這種不匹配可能會導致濫用3GPP的過載控制功能,導致部分網路延遲或中斷,該問題有望於3GPP規範的Release 17第3階段有詳細說明和改善。
解決安全威脅以發揮5G網路優勢
5G帶來不僅是產業,各式的創新智慧運用也將實現許多想像,為人們的生活型態帶來重大變革。而使用網路切片作為5G組成的關鍵技術之一,優先解決無線網路中的安全威脅,才能更可靠、安全、完整地將應用場景呈現於生活之中,以發揮5G網路最大優勢。
(本文由台灣資通產業標準協會提供,作者為台科大電子工程系助理教授)