蒋建峰，张凤岩，张趁香

(1.南京邮电大学 计算机学院，江苏 南京 210003； 2.苏州工业园区服务外包职业学院，江苏 苏州 215123； 3.中国电信安徽公司，安徽 合肥 230601； 4.苏州大学 计算机科学与技术学院，江苏 苏州 215123)

0 引言

移动通信技术改变了语音、数据、视频传输的模式。5G作为最新的移动通信技术，在高可靠性、超低延迟等特性方面都有着很大优势。随着信息通信技术(ICT)的不断发展，虚拟现实、自动驾驶和人工智能等高可靠、低延迟应用，对网络服务质量(QoS)提出了更严苛的要求，为了进一步提升QoS，边缘计算和网络切片技术得到了快速的发展与应用。

2019年底5G网络开始商用，其初期使用方式是 5G NSA(Non Stand-Alone)。目前，5G SA(Stand-Alone)技术已经不断成熟，成为主流的5G网络架构[1]，该架构实现了控制面与用户面的完全分离，且控制面板采用了服务化架构,这使得网络切片技术可以在核心、汇聚以及接入层面得以实施和部署。当前运营商面对企业用户，用户面功能(User Plane Function，UPF)一般在核心层部署，面对消费者用户的UPF可以下沉到园区部署，但无论UPF的位置部署在哪个层面，网络切片所构建的虚拟网络最终都会映射到实际物理网络上。随着切片数量的增加，底层物理网络承载的虚拟网络切片就越多，不同的切片间会进行网络资源的竞争,从而导致QoS下降。另一方面，切片间可能存在相互干扰行为,造成信息泄露等安全问题。

研究表明[2,3]，网络切片数量过多会导致切片竞争底层物理资源，导致虚拟节点(VM)产生安全隐患。文献[4]提出了一种轻量级VM迁移方法，能够在一定程度上提升网络性能指标，但是其没有解决网络切片之间干扰所产生的安全问题。文献[5]对比了信道攻击的防御策略，提出了优化选择服务器的VM分配方法，将相同类属的VM部署到相同的服务器来解决安全问题，能够在一定程度上降低安全风险，但是此分配方法是以牺牲一定网络性能为前提，所以不能充分保障QoS。当前国内外学者对于网络切片优化以及安全防范等的研究工作，大部分都是基于仿真环境进行模拟分析，并没有5G现网的实际研究测试。如AHMED和GEORGE等人[6]研究了VM的迁移机制，从时间分配的角度进行了仿真模拟，给出了信道攻击的防御方法，能够从一定程度上满足5G网络切片的隔离，同时还降低了成本。Yu等人[7]通过引入中国墙的思想指导VM的部署和迁移，并且通过用户的关联级别和冲突关系来调度VM的部署，能够提高切片的安全性能。

5G网络切片的部署是一个综合工程，资源和时间的计算复杂度很高，在面对垂直行业的实际部署中需要考虑很多因素。针对不同的业务种类和应用场景，其部署策略也不尽相同。现有的部署策略和方法都未能联合考虑虚拟节点资源的利用率、收益成本和安全性能方面的关联，网络切片的隔离程度越高，则资源消耗越大。如何根据网络状态资源高效地映射端到端的网络切片，并且提高收益是运营商面临的重要难题之一。针对以上问题，本文提出了一种基于安全PSO的切片安全隔离算法，通过计算安全隔离评估值作为PSO算法的约束条件，以网络实际链路的收益作为适值函数迭代求解切片映射的部署方案。通过国内一线城市警务系统网络切片测试，结果显示该算法具有较高的安全性能，并且能够保障5G网络的服务质量。

1 智慧警务系统

智能技术在公安防控、指挥、执法、巡逻、安保等场景有着广泛的应用[8-9]。智慧警务系统是以信息技术推动治理体系和治理能力提升的系统实现。面对严峻复杂的社会治安形势，提高公安机关的快速反应和应对能力，是智慧警务的首要任务。智慧警务要求应对警务事件的反应速度和时延应控制在1～10 ms，对数据、语音、视频的传输速率要高于2 Mb/s，并且系统要求网络能够充分保障数据传输的安全性能。智慧警务的整体架构如图1所示。

(1) 应用层

由现场执法、日常巡逻、接警处警和重点安保等基础业务和综合业务组成。基础业务包括人车核验、临时布卡等，需要具有传输语音、图像、视屏等数据的功能；综合业务包括追逃抓捕、重点人员管控等，需要视频回传、人脸识别等功能，所有这些业务，对网络时延的要求很高。

(2) 服务层

主要提供集群通信服务和警务大数据服务，通过互联网专线连接公安视频专网和公安信息专网。通常情况下服务层主要实现集群化的群组呼叫、指挥调度等功能。通过2个专网大数据中心，提供统一的公安机关数据库资源，同时引入市局和分局专网数据，并结合社会数据资源优化数据质量，为应用层提供数据支撑服务。

(3) 传输层

通过运营商网络传输及交互，核心网切片传输控制信令，边缘计算和警务切片专网设定5QI[8]参数和保证比特速率(Guaranteed Bit Rate，GBR)参数传输语音、视频和图像数据。根据智慧警务平台要求，经过运营商采集数据按照警务要求上传至公安视频专网和公安信息专网。

(4) 终端层

终端层包括目前主流的警务系统终端，如5G执法仪、5G无人机、5G摄像头、AR眼镜、ToC手机等以及其他各种形态的5G终端。

图1 智慧警务系统架构Fig.1 Smart police system architecture

2 智慧警务网络架构

2.1 5G网络切片

网络切片是以逻辑网络与物理网络资源，向客户提供的5G端到端的定制网络连结型业务，包含核心子网(CN)、承载子网(TN)、无线子网(AN)等多个子网切片[11-14]。当前，受限于产业成熟度，无线子网切片仍采用基于QoS的资源相对优先调度的方式，实现差异化需求服务。网络切片实例(Network Slice Instance，NSI)是一个端到端(E2E)的逻辑网络，包括一组网络功能、资源和连接关系，它将多个虚拟网络部署在相同的物理基础设施上。NSI通常涵盖多个技术领域，包括终端、接入网、传输网络和核心网，不同的NSI可能具有不同的网络功能和网络物理资源。

2.2 网络切片组网架构

网络切片管理系统(NSM)能够根据网络能力和服务等级协议(SLA)的要求设计网络切片模板，包括切片实例和配置功能，并且通过观察NSI的运行状态来确保SLA。NSM基于最先进的技术，具有增强云管理技术支持网络切片的功能，并提供流线型的运维能力服务。根据智慧警务网络的需求，5G警务网络可以选择低、中、高服务保障等级，设计3个网络切片,如表1所示，也可以根据警务业务种类继续增加切片数量，在实验测试阶段将会从3个切片起依次增加数量进行测试，相应的智慧警务系统的逻辑网络架构如图2所示。

表1 智慧警务方案

图2 智慧警务的网络切片架构Fig.2 Network slicing architecture of smart police

3 网络切片安全隔离评估

3.1 分布式边缘计算网络切片

5G无线接入网络的边缘计算以及核心网络的边缘计算是网络切片的关键步骤。根据警务系统协同终端进行呼叫控制的特点，需要采用分布式服务集群[15](MECS)来实现，以保证语音、图像和视频数据流的同步采集、显示和回传。

MECS之间的协同算法是实现服务集群的关键，根据集群通信的特点，通过分布式MECS服务器集群来取代传统的中心集中控制终端来实现组呼，这就要求必须对服务器集群进行协同控制，同步协调来保证信号的控制和数据的同步传输。

分布式协同控制包括分布式协调技术和同步控制技术。分布式协调技术可以采用成熟的组建实现命令服务、负载均衡、配置、节点选举和队列控制等服务。同步控制是为了保证MECS之间的状态保持一致，其类似于多智能体网络，因此通过建立MECS分布式一致模型来保证协同控制[16]。在规模为N个节点的网络中，每个节点表示为一阶n维动力学系统，节点使用交互式状态信息耦合机制，则第i个节点的动力学行为表示为:

(1)

(2)

sτ(t)=smτ，mτ≤t<(m+1)τ，

(3)

(4)

图3 网络切片协同控制步骤Fig.3 Network slicing collaborative control steps

3.2 切片安全隔离等级评估

网络切片实例到实际物理网络的映射过程称为网络切片的编排调度[17-20]，实际上就是将虚拟节点映射到物理服务器上。通过MECS首先将网络切片进行编排，主要涉及节点编排和链路编排。将底层网络的拓扑以有向图G表示，G=(N,L,B,D)，其中N和L表示物理节点和链路资源结合，B表示带宽，D表示网络时延。同样切片网络用有向图Gv表示，Gv=(Nv,Lv,Bv,Dv)，Gv和Lv分别表示虚拟节点和虚拟链路，Bv和Dv分别表示带宽和时延资源需求量。

不同切片类型、不同用户的网络切片之间需要尽可能地实施隔离保障安全性能，当虚拟节点映射到物理服务器上时，如果多个虚拟节点映射到相同的物理服务器上，那么切片之间就会形成干扰，引起安全风险，因此定义切片的安全隔离评估值Evai是性能隔离等级Peri和安全隔离等级Seci的加权和，定义：

Evai=αPeri+βSeci，

(5)

式中，α+β=1，且α，β∈[0,1]；α为性能影响因子；β为安全影响因子。

定义性能隔离等级Peri为网络切片虚拟资源的需求量与物理服务器的剩余资源量的比值，也就是虚拟资源需求越多，物理服务器的资源剩余越少，则性能等级越差：

(6)

带宽和时延是5G网络最重要的2个性能指标。式(6)中，γ+δ=1，且γ，δ∈[0,1]；γ为带宽性能因子；δ为时延性能因子。对于一个NSI来说，与其共享物理资源的NSI越多，其存在安全风险的可能性就越大，因此定义安全隔离等级Seci为网络切片虚拟节点与链路资源与实际映射物理节点与链路的比值，比值越大说明切片占用物理节点和链路的资源越多，则安全风险越高：

(7)

式中，φ+ε=1，且φ，ε∈[0,1]；φ为节点安全因子；ε为链路安全因子。将式(6)和式(7)代入式(5)得到网络切片的安全隔离评估值计算式：

(8)

4 改进的PSO优化算法SecPSO

4.1 算法原理

粒子群优化算法(PSO)，是根据鸟群生活规律提出的一种群体智能理论的迭代算法[21]。基于粒子群算法，定义有N个切片提供空闲资源的第i个资源分配方案为Pi={pi1，pi2，…，piN}，如pi1表示N个切片中第1个切片在第i个解中的资源量，如2个切片的原始资源分别为20和100，有一个粒子Pi={10，25}则表示按照此解进行编排，则第1个切片预留10个单位的资源，第2个切片预留75个单位的资源，其余的资源可以分配给拥塞链路，粒子速度Vi={vi1，vi2，…，viN}表示第i个粒子中各个切片的资源变化量。优化的PSO算法SecPSO通过粒子速度Vi,即资源量变化调整资源的分配方案，资源分配方案通过式(9)计算，粒子i通过式(10)调整资源变化量：

vi(n+1)=ωvi(n)+c1rand1()(Pi(n)-pi(n))+

c2rand2()(Pg(n)-pi(n)) ，

(9)

pi(n+1)=pi(n)+vi(n+1) ，

(10)

式中，vi为粒子i的速度信息；pi为粒子i的位置信息；ω为粒子的惯性权重；rand1()和rand2()是值为[0,1]的随机函数；c1和c2为加速常数；Pi(n)是粒子i的最优位置记录；Pg(n)是整个群体中最优的粒子位置记录，粒子群优化算法在式(9)和式(10)的迭代下求得最优解答，它收敛速度快，能够很快计算出切片编排的映射关系。

4.1.1 适值函数

在粒子群算法中，适值函数是评价资源分配方案好坏的依据[22]。对于物理链路L上分配的一个网络切片的虚拟链路v-Link的带宽租用价格为p，单位带宽收益为g，则此链路的实际收益Revenue为：

Rev=C×p-B×g，

(11)

式中，C和B分别为v-Link的当前速率和分配带宽，因此在迭代求解的过程中需要找到收益较大的分配方案。

4.1.2 粒子聚合度设计

粒子群算法通过迭代求解，寻找最优分配方案的同时进行网络切片安全隔离的等级评估，设置网络切片的平均安全隔离评估值作为算法聚合度，为了避免算法陷入局部最优的情况，定义粒子聚合度为：

(12)

式中，n为粒子群规模；Evaavg为所有粒子的平均适应度：

(13)

当粒子聚合度σ小于设定的阈值时，将当前适值和上一轮粒子计算的适值比较，如果当前粒子的适值小于上一轮的适值，则更新粒子最优位置。

4.2 算法步骤

网络切片调度策略的目的是在有限的网络资源前提下动态地调整网络切片的利用率，并且根据切片安全隔离等级的评估保障切片安全性能，具体调度策略步骤如下。

步骤1：初始化粒子群粒子维度、粒子个数与迭代次数，粒子的每个维度表示一个网络切片的资源量，表示每次调整最多考虑K个切片提供资源。

步骤2：随机生成N个K维粒子，作为初始种群(在测试阶段以实际的网络切片数量为标准)。

步骤3：通过v-Link链路速率和带宽等资源计算适值函数值，并计算当前的粒子隔离安全评估值作为约束条件，适值函数的值为最大时是当前的最优解，意味着该向量的解是当前网络切片的资源分配方案，能够获得最大的资源利用率，并且满足切片安全隔离的条件。

步骤4：根据粒子的速度和位置信息更新粒子属性，并且重新计算适值函数值。

步骤5：迭代次数减一，直到粒子迭代了N次，返回最优解。当网络切片完成数据传输工作，进入下一轮数据通信，否则返回步骤3。

5 5G网络切片测试

5.1 网络参数

本文的5G网络切片测试基于国内某一线城市智慧警务系统，该城市是国内5G SA网络的首批商用城市之一，方案中算法的参数如表2所示。

表2 SecPSO优化策略参数

切片服务质量根据业务需求设定5QI等级范围为4～7，承载网5QI实现逻辑隔离，安排5G SA网络最大保障带宽为50 Mb/s，单终端带宽上限为10 Mb/s，根据智慧警务具体业务种类和场景，测试切片数量分别设定为3～10。通过对比无安全措施的切片方案SLICE、文献[18]提出的切片隔离算法IsoGP与SecPSO优化的切片方案资源利用率、收益成本比和安全性能等级三方面的数据，最后给出了网络实际测试的服务质量效果。

5.2 网络切片测试

5.2.1 资源利用率

资源利用率如图4所示。随着网络切片的数量增加，物理资源的利用率稳步提升，最终趋于稳定。SecPSO算法在保障切片隔离安全的前提下仍然能够保障资源的利用率。

图4 资源利用率Fig.4 Resource utilization

5.2.2 收益成本比

收益成本比如图5所示。随着网络切片数量的增加，切片的收益成本比呈下降趋势，因为随着切片数量的增加，底层网络资源的竞争变得激烈，为了使切片成功映射，算法的计算复杂度变高，这就增加了编排成本，SecPSO算法具有明显的优势。

图5 收益成本比Fig.5 Cost-benefit ratio

5.2.3 切片安全隔离评估

图6显示了3种切片方案虚拟资源和物理资源映射时的切片安全隔离评估值。从数据可以得出结论，另外2种切片方案的安全风险等级明显要高于SecPSO优化算法。

5.2.4 网络服务质量分析

通过5G网络对警务专网用户配置网络切片(3个切片)，并且经过SecPSO优化调度，在最大程度上保障警务专网用户的业务带宽得到优先调度，在网络压力下配置QoS的警务用户可以抢占普通用户带宽。有网络负载的情况下，进行上传警务业务时，警务用户抢占普通用户带宽并达到稳定；有负载的情况下，进行下载警务业务时，警务用户能抢占普通用户带宽并达到稳定，其QoS测试结果如图7所示。

图7 QoS测试结果Fig.7 QoS test results

6 结束语

在5G新技术发展的浪潮中，边缘计算和网络切片能够充分地发挥5G SA特色能力，支撑垂直市场需要。随着5G SA网络与终端能力的完善，业务模式也在不断地推进。网络切片是基于虚拟化技术实现逻辑网络和物理网络的映射来保障网络的服务质量，本文针对当前网络切片技术存在的安全风险进行了研究，提出了设定网络切片安全隔离评估值的方法，在保障网络切片安全隔离的前提下提升网络服务质量，通过国内一线城市实际智慧警务系统的5G网络切片方案测试，方案具有明显的先进性和可靠性，结论能够对垂直行业需要的5G网络切片方案提供参考。