[[388838]]

一、什么是UPF

用戶面功能(UPF，User Plane Function)是3GPP 5G 核心網(wǎng)系統(tǒng)架構(gòu)的重要組成部分，主要負(fù)責(zé)5G核心網(wǎng)用戶面數(shù)據(jù)包的路由和轉(zhuǎn)發(fā)相關(guān)功能。UPF 在5G 面向低時(shí)延、大帶寬的邊緣計(jì)算和網(wǎng)絡(luò)切片技術(shù)上發(fā)揮著舉足輕重的作用。

1、歷史

用戶面功能(UPF，User Plane Function)代表控制和用戶平面分離(CUPS，Control and User Plane Separation)策略在數(shù)據(jù)平面的演進(jìn)。

2016 年前后，3GPP在Release 14 規(guī)范中作為對(duì)4G 核心網(wǎng)(EPC)的擴(kuò)展而引入了CUPS 策略，把分組網(wǎng)關(guān)(PGW)和服務(wù)網(wǎng)關(guān)(SGW)進(jìn)行了功能解耦，拆分為控制面(PGW-C和SGW-C)和用戶面(PGW-U和SGW-U)。PGW-U 可以分散化部署，增加了流量轉(zhuǎn)發(fā)的靈活性，使更靠近網(wǎng)絡(luò)邊緣的設(shè)備可以執(zhí)行數(shù)據(jù)包處理和流量聚合，在減輕核心網(wǎng)負(fù)擔(dān)的同時(shí)提高帶寬效率。

CUPS 策略允許核心網(wǎng)用戶面的下沉，能夠支撐對(duì)大帶寬和低時(shí)延有強(qiáng)烈需求的業(yè)務(wù)場(chǎng)景。但CUPS 的設(shè)計(jì)本身對(duì)4G EPC 演進(jìn)力度大，雖然用戶平面得以分離下沉，但與核心網(wǎng)其它功能實(shí)體間的交互環(huán)節(jié)仍存在巨大的限制。隨著5G 摒棄了傳統(tǒng)設(shè)備功能實(shí)體的設(shè)計(jì)，核心網(wǎng)白盒化和虛擬化，采用了基于服務(wù)的軟件架構(gòu) (SBA，Service Based Architectures)微服務(wù)的設(shè)計(jì)理念，CUPS 策略中拆分出的用戶面網(wǎng)絡(luò)功能也逐步演進(jìn)為了目前5G 核心網(wǎng)架構(gòu)中的UPF 網(wǎng)元。演進(jìn)歷程如圖1 所示。

圖1. UPF的演進(jìn)歷程(2017 年)

UPF 涵蓋了CUPS 策略后SGW-U 和PGW-U 的職能，主要用于流量的傳輸，并通過北向接口(N4)接收轉(zhuǎn)發(fā)策略類的控制信息。此外，4G EPC 中鑒權(quán)、會(huì)話控制、用戶數(shù)據(jù)管理等功能也逐步演變?yōu)榱?G 核心網(wǎng)中負(fù)責(zé)控制面的網(wǎng)元。

2、功能

UPF 作為5GC 網(wǎng)絡(luò)用戶面網(wǎng)元，主要支持UE 業(yè)務(wù)數(shù)據(jù)的路由和轉(zhuǎn)發(fā)、數(shù)據(jù)和業(yè)務(wù)識(shí)別、動(dòng)作和策略執(zhí)行等。UPF 通過N4 接口與會(huì)話管理功能(SMF，Session Management Function)進(jìn)行交互，直接受SMF 控制和管理，依據(jù)SMF下發(fā)的各種策略執(zhí)行業(yè)務(wù)流的處理。根據(jù)3GPP TS 23.501 V16.7.0，本文涉及到的UPF 主要功能如下：

1)無(wú)線接入網(wǎng)絡(luò)與數(shù)據(jù)網(wǎng)絡(luò)(DN，Data Network)之間的互聯(lián)點(diǎn)，用于用戶面的GTP隧道協(xié)議(GTP-U，GPRS Tunneling Protocol for User Plane)的封裝和解封裝;

2)協(xié)議數(shù)據(jù)單元會(huì)話錨點(diǎn)(PSA，PDU Session Anchor)，用于在無(wú)線接入時(shí)的提供移動(dòng)性;

3)5G SA 數(shù)據(jù)包的路由和本地分流，作為中繼UPF(I-UPF，Intermediate UPF)充當(dāng)上行分類器(UL-CL，Uplink Classifier)或者分支節(jié)點(diǎn)UPF(Branching Point UPF)。

4)除上述功能外，UPF 還有應(yīng)用程序監(jiān)測(cè)、數(shù)據(jù)流QoS 處理、流量使用情況報(bào)告、IP 管理、移動(dòng)性適配、策略控制和計(jì)費(fèi)等功能，可參考3GPP TS 23.501 規(guī)范[2]。除了網(wǎng)絡(luò)功能性需求外，UPF還要考慮數(shù)據(jù)安全性、物理環(huán)境需求和部署功耗等指標(biāo)。

圖2. UPF 部分接口示意圖

UPF 作為移動(dòng)網(wǎng)絡(luò)和數(shù)據(jù)網(wǎng)絡(luò)(DN，Data Network)的連接點(diǎn)，重要接口包括N3、N4、N6、N9、N19、Gi/SGi、S5/S8-U、S1-U 等。以N 開頭是UPF 與5G 核心網(wǎng)控制面網(wǎng)元或者外部網(wǎng)絡(luò)交互的接口，如圖2 所示[2]。其余部分接口可滿足對(duì)現(xiàn)網(wǎng)已有網(wǎng)絡(luò)設(shè)施的兼容，UPF 在5G 組網(wǎng)建設(shè)中仍需兼容現(xiàn)網(wǎng)已有的網(wǎng)絡(luò)設(shè)施，實(shí)際部署中UPF 將整合SGW-U 和PGW-U 的職能，兼容已有的核心網(wǎng)絡(luò)，物理層面將會(huì)存在UPF + PGW-U 的融合網(wǎng)元。

N3 接口是NG RAN 與UPF 間的接口，采用GTP-U 協(xié)議進(jìn)行用戶數(shù)據(jù)的隧道傳輸。

N4 接口是SMF 和UPF 之間的接口，控制面用于傳輸節(jié)點(diǎn)消息和會(huì)話消息，采用PFCP 協(xié)議，用戶面用于傳輸SMF 需要通過UPF接收或發(fā)送的報(bào)文，采用GTP-U 協(xié)議。

N6 接口是UPF 和外部DN 之間的接口，在特定場(chǎng)景下(例如企業(yè)專用MEC 訪問)，N6 接口要求支持專線或L2/L3 層隧道，可基于IP 與DN 網(wǎng)絡(luò)通信。

N9 接口是UPF 之間的接口，在移動(dòng)場(chǎng)景下，UE 與PSA UPF 之間插入I-UPF 進(jìn)行流量轉(zhuǎn)發(fā)，兩個(gè)UPF 之間使用GTP-U 協(xié)議進(jìn)行用戶面報(bào)文的傳輸。

N19 接口是使用5G LAN 業(yè)務(wù)時(shí)，兩個(gè)PSA UPF 之間的用戶面接口，在不使用N6 接口的情況下直接路由不同PDU 會(huì)話之間的流量，如圖3 所示。

圖3. 5G LAN N19 接口

Gi 接口是2/3G 接入用戶通過GGSN 和外部DN 之間的接口;SGi 接口是PGW-U 和外部DN 之間的接口，需要支持IPv6/IPv4 雙棧和IPSEC，L2TP 和GRE 等隧道協(xié)議。

S5/S8-U 接口是融合網(wǎng)元UPF/PGW-U 和SGW-U 之間的用戶面接口。S5-U 接口是網(wǎng)絡(luò)內(nèi)部SGW 和PGW-U 間的接口，提供用戶移動(dòng)過程中連接跨區(qū)域SGW 并傳輸數(shù)據(jù)的功能。S8-U 是跨PLMN 的SGW-U 和PGW-U 之間的用戶面接口，應(yīng)具備漫游情況下的S5-U 接口功能。

S1-U 接口是eNodeB 和SGW-U 之間的接口，采用GTP-U 協(xié)議在eNodeB 和SGW-U 之間進(jìn)行用戶數(shù)據(jù)的隧道傳輸。

3、開放

用戶面功能(UPF，User Plane Function)作為5G核心網(wǎng)的重要網(wǎng)絡(luò)功能，擔(dān)負(fù)著用戶面數(shù)據(jù)流量的處理、路由等核心功能。隨著5G邊緣計(jì)算的拓展，UPF已逐漸成為連接運(yùn)營(yíng)商和垂直行業(yè)的橋梁，是5G拓展行業(yè)市場(chǎng)的鑰匙。不同應(yīng)用場(chǎng)景下對(duì)UPF的需求各有不同，面向行業(yè)應(yīng)用場(chǎng)景(ToB)與面向傳統(tǒng)用戶(ToC)的需求有顯著差異，需要輕量化、低成本、靈活部署、定制化的UPF。

當(dāng)前，UPF與會(huì)話管理功能(SMF，Session Management Function)的接口(N4)尚未完全開放、服務(wù)化能力尚未完全實(shí)現(xiàn)，一定程度上影響了5G滿足行業(yè)客戶需求的能力。N4接口的非標(biāo)準(zhǔn)化，造成UPF與SMF同廠商的綁定，無(wú)法滿足邊緣用戶側(cè)UPF輕量化、低成本和靈活部署的需求。

為了助力5G服務(wù)垂直行業(yè)用戶，2020年3月11日發(fā)布《5G OpenUPF白皮書》，提出的OpenUPF合作伙伴計(jì)劃從開放接口、開放設(shè)備、開放服務(wù)和開放智能四個(gè)方面定義可靠、可管、可信、簡(jiǎn)潔、靈活、開放的UPF，通過構(gòu)建完整的技術(shù)體系以推動(dòng)產(chǎn)業(yè)成熟、增強(qiáng)網(wǎng)絡(luò)能力。在2020年6月11日召開的3GPP會(huì)議上，5G N4接口開放和增強(qiáng)標(biāo)準(zhǔn)化項(xiàng)目開啟。

二、UPF 分流技術(shù)原理

UPF 作為5G 網(wǎng)絡(luò)和多接入邊緣計(jì)算(MEC，Multi-Access Edge Computing)之間的連接錨點(diǎn)，所有核心網(wǎng)數(shù)據(jù)必須經(jīng)過UPF轉(zhuǎn)發(fā)，才能流向外部網(wǎng)絡(luò)。MEC 是5G 業(yè)務(wù)應(yīng)用的標(biāo)志能力?；?GC 的C/U 分離式架構(gòu)，控制面NF 在中心DC 集中部署，UPF下沉到網(wǎng)絡(luò)邊緣部署，這樣可以減少傳輸時(shí)延，實(shí)現(xiàn)數(shù)據(jù)流量的本地分流，緩解核心網(wǎng)的數(shù)據(jù)傳輸壓力，從而提升網(wǎng)絡(luò)數(shù)據(jù)處理效率，滿足垂直行業(yè)對(duì)網(wǎng)絡(luò)超低時(shí)延、超高帶寬以及安全等方面的訴求。

UPF 如何將用戶數(shù)據(jù)流分流至MEC 平臺(tái)，是真正實(shí)現(xiàn)網(wǎng)絡(luò)與業(yè)務(wù)深度融合及落地應(yīng)用的第一步，也是實(shí)現(xiàn)5G 邊緣計(jì)算商用部署的關(guān)鍵步驟。

5G 用戶建立會(huì)話連接將優(yōu)先選擇中心UPF(中心UPF參考以下章節(jié))，當(dāng)用戶需訪問MEC應(yīng)用時(shí)才選擇或插入邊緣UPF，邊緣資源按需提供給用戶，避免由于大量用戶擠占造成性能瓶頸。5G 網(wǎng)絡(luò)需要配合MEC做好用戶數(shù)據(jù)的本地分流，主流的5GC 邊緣部署分流技術(shù)主要有三種：上行分類器(UL CL，Uplink Classifier)方案、IPv6 多歸屬(Multi-homing)方案、本地?cái)?shù)據(jù)網(wǎng)絡(luò)(LADN，Local Area Data Network)方案和數(shù)據(jù)網(wǎng)絡(luò)標(biāo)識(shí)(DNN，Data Network Name)方案。UL CL和IPv6 Multi-homing 屬于單PDU會(huì)話的本地分流，用戶數(shù)據(jù)分流在網(wǎng)絡(luò)側(cè)進(jìn)行;DNN 和LADN 屬于多PDU 會(huì)話的本地分流，用戶數(shù)據(jù)分流從終端開始。

1、UL CL方案

對(duì)于IPv4 或IPv6 或IPv4v6 類型的PDU 會(huì)話，可以采用UL CL 方案。在用戶PDU 會(huì)話建立過程中或建立完成后，SMF 可以在PDU 會(huì)話的數(shù)據(jù)路徑中插入或者刪除一個(gè)或多個(gè)UL CL。UL CL 支持基于SMF 提供的流量檢測(cè)和流量轉(zhuǎn)發(fā)規(guī)則向不同的PDU 會(huì)話錨點(diǎn)UPF 轉(zhuǎn)發(fā)上行業(yè)務(wù)流，分流至MEC 平臺(tái);并且將來(lái)自鏈路上的不同PDU 會(huì)話錨點(diǎn)UPF 的下行業(yè)務(wù)流合并到5G 終端，有點(diǎn)像路由表的作用。UL CL 采用流過濾規(guī)則(例如檢查UE 發(fā)送的上行IP 數(shù)據(jù)包的目的IP 地址/前綴)來(lái)決定數(shù)據(jù)包如何路由。

UE 不感知UL CL 的分流，不參與UL CL 的插入和刪除。UE 將網(wǎng)絡(luò)分配的單一IPv4 地址或者單一IP 前綴或者兩者關(guān)聯(lián)到該P(yáng)DU 會(huì)話。

下圖展示了一個(gè)PDU 會(huì)話擁有兩個(gè)錨點(diǎn)的場(chǎng)景。UL CL 插在N3 口終結(jié)點(diǎn)的UPF 上，錨點(diǎn)1 和錨點(diǎn)2 終結(jié)N6 接口，上行分類器UPF 和錨點(diǎn)UPF 之間通過N9 接口傳輸。

圖4. UL CL 方案

基于不同的觸發(fā)條件，UL CL 方案可以分為一下幾種：

1)特定位置UL CL 方案：分流策略配置在SMF。在用戶移動(dòng)到MEC 區(qū)域時(shí)，SMF 根據(jù)配置策略和AMF 上報(bào)的用戶位置信息，觸發(fā)UL CL 插入流程。特定位置觸發(fā)UL CL 和LADN 場(chǎng)景類似，都是用戶移動(dòng)到特定位置時(shí)觸發(fā)分流，觸發(fā)條件簡(jiǎn)單易實(shí)現(xiàn)，適用于對(duì)公眾用戶開放的MEC 場(chǎng)景。由于MEC 區(qū)域所有用戶(即使不使用MEC 業(yè)務(wù))都會(huì)接入邊緣UPF，可能會(huì)對(duì)邊緣UPF 造成壓力。

2)位置及用戶簽約UL CL 方案：分流策略配置在PCF，需要用戶在PCF 上簽約支持使用MEC業(yè)務(wù)。在用戶移動(dòng)到MEC 區(qū)域時(shí)，AMF通過SMF向PCF上報(bào)用戶位置信息，PCF 根據(jù)用戶位置信息及簽約信息，觸發(fā)UL CL 插入流程，新增邊緣UPF錨點(diǎn)并插入U(xiǎn)L CL。當(dāng)在MEC 區(qū)域內(nèi)要區(qū)分用戶群體時(shí)，可采用位置及用戶簽約觸發(fā)UL CL 的方案，避免MEC 區(qū)域所有用戶都占用邊緣UPF資源。

3)位置及應(yīng)用檢測(cè)UL CL方案：分流策略配置在PCF，需要將應(yīng)用相關(guān)信息(五元組信息、應(yīng)用URL)配置在PCF。在用戶移動(dòng)到MEC 區(qū)域并使用特定應(yīng)用時(shí)，UPF根據(jù)應(yīng)用標(biāo)識(shí)對(duì)應(yīng)的過濾器檢測(cè)出業(yè)務(wù)流，通過SMF上報(bào)PCF。PCF 結(jié)合用戶位置信息及應(yīng)用流檢測(cè)結(jié)果，觸發(fā)UL CL 插入流程。位置及應(yīng)用檢測(cè)UL CL 方案可按應(yīng)用觸發(fā)分流策略，可控粒度更細(xì);缺點(diǎn)是缺乏合適的UL CL 刪除觸發(fā)機(jī)制。

4)能力開放UL CL方案：分流策略配置在MEC/APP。在用戶移動(dòng)到MEC 區(qū)域時(shí)，AMF 通過NEF把用戶位置信息通知給MEC/APP。MEC/APP 通過N5/N33 接口與PCF/NEF 進(jìn)行交互，將分流規(guī)則告知PCF。PCF 結(jié)合用戶位置信息及應(yīng)用流檢測(cè)結(jié)果，觸發(fā)UL CL 插入流程。能力開放UL CL 是一種與應(yīng)用緊耦合的方案，應(yīng)用可根據(jù)業(yè)務(wù)需求動(dòng)態(tài)地觸發(fā)UL CL 策略，更為靈活，但是能力開放接口的調(diào)用請(qǐng)求需提供用戶標(biāo)識(shí)(5GC 分配的私網(wǎng)IP 地址)，應(yīng)用還需要感知用戶位置信息，有一定開發(fā)門檻。

2、IPv6 Multi-homing 方案

IPv6 多歸屬(Multi-homing)方案只能應(yīng)用于IPv6 類型的PDU 會(huì)話。

UE 在請(qǐng)求建立類型為IPv6 或IPv4v6 的PDU 會(huì)話時(shí)，要告知網(wǎng)絡(luò)其是否支持IPv6 Multi-homing PDU 會(huì)話。在實(shí)際部署中，網(wǎng)絡(luò)將會(huì)為終端分配多個(gè)IPv6 前綴地址，對(duì)不同業(yè)務(wù)使用不同的IPv6 前綴地址，可以一個(gè)IP 地址做遠(yuǎn)端業(yè)務(wù)，一個(gè)IP 地址做本地MEC 業(yè)務(wù)，通過分支點(diǎn)進(jìn)行分流。

在PDU 會(huì)話建立過程中或建立完成后，SMF 可以在PDU 會(huì)話的數(shù)據(jù)路徑中插入或者刪除多歸屬(Multi-homing)會(huì)話分支點(diǎn)(Branching Point)。在Multi-homing 場(chǎng)景下，一個(gè)PDU 會(huì)話可以關(guān)聯(lián)多個(gè)IPv6 前綴，分支點(diǎn)UPF 根據(jù)SMF 下發(fā)的過濾規(guī)則，通過檢查數(shù)據(jù)包源IP 地址進(jìn)行分流，將不同IPv6 前綴的上行業(yè)務(wù)流轉(zhuǎn)發(fā)至不同的PDU 會(huì)話錨點(diǎn)UPF，再接入數(shù)據(jù)網(wǎng)絡(luò)，以及將來(lái)自鏈路上的不同PDU 會(huì)話錨點(diǎn)UPF的下行業(yè)務(wù)流合并到5G 終端。UPF 可同時(shí)作為IPv6 多歸屬的分支點(diǎn)和PDU 會(huì)話錨點(diǎn)。IPv6 Multi-homing 分流如圖5 所示。

圖5. IPv6 Multi-homing 方案

3、DNN 方案

數(shù)據(jù)網(wǎng)絡(luò)標(biāo)識(shí)(DNN，Data Network Name)方案中，需要終端配置專用DNN 并在核心網(wǎng)統(tǒng)一數(shù)據(jù)管理功能(UDM，Unified Data Management)上面簽約專用DNN。用戶通過專用DNN 發(fā)起會(huì)話建立請(qǐng)求，SMF 選擇UPF 時(shí)，根據(jù)5G 終端提供的專用DNN 以及所在的TA選擇目的邊緣UPF，完成邊緣PDU 會(huì)話的建立，即可接入與邊緣UPF 對(duì)接的MEC 平臺(tái)。

DNN 方案對(duì)終端、網(wǎng)絡(luò)的要求較小，5G 商用初期可選擇此方案實(shí)現(xiàn)MEC 業(yè)務(wù)快速上線。但隨著5G 業(yè)務(wù)發(fā)展，如果為每個(gè)MEC 客戶分配獨(dú)立DNN，對(duì)核心網(wǎng)設(shè)備特別是UPF 支持DNN 的數(shù)量將會(huì)是極大挑戰(zhàn)。

4、LADN 方案

本地?cái)?shù)據(jù)網(wǎng)絡(luò)(LADN，Local Area Data Network)方案中，用戶簽約LADN DNN，AMF 上配置LADN 服務(wù)區(qū)域(Tracking Area，TA)與LADN DNN 的關(guān)系。5G 終端在向網(wǎng)絡(luò)注冊(cè)時(shí)，可以從核心網(wǎng)獲取LADN 信息(如LADN服務(wù)區(qū)和LADN DNN)。當(dāng)5G 終端移動(dòng)到LADN 服務(wù)區(qū)域時(shí)，將會(huì)請(qǐng)求建立這個(gè)LADN DNN 的PDU 會(huì)話。AMF 確定5G 終端出現(xiàn)在該LADN 區(qū)域，且請(qǐng)求的DNN 在AMF 中配置為L(zhǎng)ADN DNN，則轉(zhuǎn)發(fā)給SMF;SMF 通過選擇合適的本地邊緣UPF，建立本地PDU 會(huì)話，實(shí)現(xiàn)本地網(wǎng)絡(luò)接入和本地應(yīng)用訪問。此時(shí)一個(gè)5G 用戶可能擁有兩個(gè)PDU 會(huì)話：Internet 會(huì)話及LADN 會(huì)話如，圖6 所示。

AMF 跟蹤終端的位置信息，并通知SMF 終端位置和LADN 服務(wù)區(qū)的關(guān)系，包括：在服務(wù)區(qū)、不在服務(wù)區(qū)和不確定在不在服務(wù)區(qū)等。當(dāng)用戶的位置不在LADN 的服務(wù)區(qū)內(nèi)時(shí)，不能接入LADN。LAND 服務(wù)區(qū)用一組TA 標(biāo)識(shí)，使用LADN 用于邊緣計(jì)算流量分流時(shí)，通常LADN 的TA 和邊緣計(jì)算上應(yīng)用的服務(wù)區(qū)域是對(duì)應(yīng)的。

圖6. LDAN 方案

LADN 僅用于非漫游場(chǎng)景或者本地業(yè)務(wù)分流漫游場(chǎng)景，在實(shí)際部署中，用戶通過LADN 會(huì)話訪問MEC 業(yè)務(wù)，其余業(yè)務(wù)通過Internet 會(huì)話訪問。

三、UPF應(yīng)用

5G 網(wǎng)絡(luò)將業(yè)務(wù)流分流至MEC 平臺(tái)，主要應(yīng)用的是UL CL 方案。UL CL 方案適用于商業(yè)綜合體、博物館、體育場(chǎng)館、酒店等公眾用戶使用手機(jī)終端訪問MEC 應(yīng)用的場(chǎng)景，如視頻直播、云游戲等，可同時(shí)支持公眾訪問Internet 應(yīng)用。

IPv6 Multi-homing 方案適用于物聯(lián)網(wǎng)、高可靠性專網(wǎng)等場(chǎng)景，但由于要采用IPv6，目前實(shí)施難度較大。

LADN 屬于5G 新引入特性，對(duì)終端有新的功能要求，包括支持在特定TA 區(qū)域下發(fā)起或釋放LADN 會(huì)話、支持URSP(UE Route Selection Policy，UE路由選擇策略)用于配置LADN DNN 并將應(yīng)用流綁定到LADN DNN 上。根據(jù)對(duì)產(chǎn)業(yè)鏈的調(diào)研，5G 核心網(wǎng)設(shè)備已支持LADN 功能，而終端對(duì)該功能的支持還要視商業(yè)需求而定，因此端到端LADN 方案的成熟還需要一段時(shí)間的開發(fā)測(cè)試及驗(yàn)證。

四、UPF部署方式

在實(shí)際部署時(shí)，UPF 需要按照不同業(yè)務(wù)場(chǎng)景對(duì)時(shí)延、帶寬、可靠性等差異化的需求靈活部署，典型的部署位置包括：中心、區(qū)域、邊緣、企業(yè)園區(qū)。

1、中心級(jí)UPF

中心級(jí)UPF，適用于時(shí)延不敏感，吞吐量需求較高且相對(duì)集中的業(yè)務(wù)，如普通互聯(lián)網(wǎng)訪問、VoNR、NB-IoT 等業(yè)務(wù)，中心級(jí)UPF 需具備如下特點(diǎn)。

一是滿足ToC 網(wǎng)絡(luò)的2G/3G/4G/5G/Fixed 全融合接入、報(bào)文識(shí)別、內(nèi)容計(jì)費(fèi)等功能需求。在實(shí)際網(wǎng)絡(luò)部署中，在一定時(shí)間內(nèi)會(huì)存在多種接入網(wǎng)絡(luò)并存的情況，UPF 須同時(shí)支持多種無(wú)線接入，滿足全融合接入需求;當(dāng)用戶跨接入網(wǎng)絡(luò)移動(dòng)時(shí)，實(shí)現(xiàn)相同會(huì)話IP 地址不變，保證業(yè)務(wù)連續(xù)性。

二是具備虛擬運(yùn)營(yíng)商網(wǎng)絡(luò)共享能力，通過網(wǎng)絡(luò)切片、網(wǎng)關(guān)核心網(wǎng)絡(luò)(GWCN，GateWay Core Network)等網(wǎng)絡(luò)技術(shù)，支持多UPF 實(shí)例、多租戶、分權(quán)分域運(yùn)維，滿足不同虛擬運(yùn)營(yíng)商的差異化業(yè)務(wù)需求。

三是針對(duì)集中建設(shè)帶來(lái)的高帶寬轉(zhuǎn)發(fā)能力要求，可通過擴(kuò)展計(jì)算資源規(guī)模疊加單根I/O 虛擬化(SR-IOV，Single Root I/O Virtualization) + 矢量轉(zhuǎn)發(fā)技術(shù)來(lái)提升轉(zhuǎn)發(fā)效率，或者采用基于智能網(wǎng)卡的異構(gòu)硬件來(lái)實(shí)現(xiàn)轉(zhuǎn)發(fā)能力提升。

四是提供面向N6/Gi/SGi 接口流量的安全防護(hù)以及網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Transform)功能，可以選用外置硬件防火墻、虛擬化防火墻以及UPF內(nèi)置防火墻功能等方式進(jìn)行部署。其中防火墻以及NAT 作為UPF 的業(yè)務(wù)功能組件存在，提升集成度，降低部署成本。

2、區(qū)域級(jí)UPF

區(qū)域級(jí)UPF，通常部署于地市級(jí)區(qū)域，主要承載地市區(qū)域范圍的用戶面業(yè)務(wù)，包括互聯(lián)網(wǎng)訪問、音視頻以及本地企業(yè)業(yè)務(wù)等。區(qū)域級(jí)UPF 實(shí)現(xiàn)用戶面下沉部署，有助于減少數(shù)據(jù)流量回傳對(duì)承載網(wǎng)的傳輸壓力;也可實(shí)現(xiàn)本地?cái)?shù)據(jù)業(yè)務(wù)下沉，降低業(yè)務(wù)時(shí)延。較為典型的應(yīng)用場(chǎng)景為大視頻業(yè)務(wù)，為了提升用戶體驗(yàn)，需要在各地市部署區(qū)域UPF，就近接入本地視頻業(yè)務(wù)服務(wù)端，還可以通過在區(qū)域數(shù)據(jù)中心聯(lián)合部署UPF 和CDN/Cache 節(jié)點(diǎn)的方式來(lái)縮短傳輸路徑，如圖7 所示。

圖7. 區(qū)域級(jí)UPF 本地分流方案

區(qū)域級(jí)UPF 部署帶來(lái)了運(yùn)維管理方面的復(fù)雜度，存在集中運(yùn)維管理的需求，可以通過網(wǎng)元管理系統(tǒng)(EMS，Element Management System)拉遠(yuǎn)的方式來(lái)接入?yún)^(qū)域級(jí)UPF或者通過擴(kuò)展N4/Sx 接口的方式來(lái)實(shí)現(xiàn)配置下發(fā)以及運(yùn)維數(shù)據(jù)上報(bào)，考慮到未來(lái)對(duì)N4/Sx 接口解耦的需要，目前業(yè)界更傾向于前者的實(shí)現(xiàn)方式。

3、邊緣級(jí)UPF

邊緣級(jí)UPF，通常部署于區(qū)縣邊緣，應(yīng)對(duì)高帶寬、時(shí)延敏感、數(shù)據(jù)機(jī)密性強(qiáng)等業(yè)務(wù)。將UPF 下沉到移動(dòng)邊緣節(jié)點(diǎn)，可基于數(shù)據(jù)網(wǎng)絡(luò)標(biāo)識(shí)(DNN，Data Network Name)或IP 地址等識(shí)別用戶，并根據(jù)分流策略對(duì)用戶流量進(jìn)行分流，對(duì)需要本地處理的數(shù)據(jù)流進(jìn)行本地轉(zhuǎn)發(fā)和路由，避免流量迂回，降低數(shù)據(jù)轉(zhuǎn)發(fā)時(shí)延，提升用戶體驗(yàn)。邊緣業(yè)務(wù)分流場(chǎng)景如圖8 所示。

圖8. 邊緣業(yè)務(wù)分流場(chǎng)景

使用到的分流策略分為以下幾種，其中網(wǎng)元級(jí)和會(huì)話級(jí)分流已在前面章節(jié)中說(shuō)明：

邊緣級(jí)UPF 在部署運(yùn)維上可通過軟硬件預(yù)裝、自動(dòng)納管、配置自動(dòng)下發(fā)等方式實(shí)現(xiàn)設(shè)備即插即用;在正常運(yùn)維中，可通過EMS 進(jìn)行集中配置下發(fā)和運(yùn)維管理。

邊緣級(jí)UPF 下沉部署，通過N4 接口對(duì)接中心的SMF，需要考慮N4 接口安全，一般可以通過將N4 接口劃分成獨(dú)立的網(wǎng)絡(luò)平面，或者通過部署防火墻/IPSEC 進(jìn)行安全策略增強(qiáng)。

4、企業(yè)級(jí)UPF

企業(yè)級(jí)UPF，部署于企業(yè)機(jī)房，通過超高帶寬、超低時(shí)延和超高可靠的連接提升工業(yè)控制的效率和自動(dòng)化水平;同時(shí)生產(chǎn)數(shù)據(jù)能夠在園區(qū)內(nèi)終結(jié)，與公眾網(wǎng)數(shù)據(jù)安全隔離，確保生產(chǎn)的安全可靠。

行業(yè)應(yīng)用和工業(yè)環(huán)境與公眾網(wǎng)有很大的不同，企業(yè)級(jí)UPF 除了滿足基本的流量轉(zhuǎn)發(fā)、本地分流以外，還需要重點(diǎn)滿足以下要求：

基于5G LAN 實(shí)現(xiàn)的私網(wǎng)接入和管理能力。通過UPF 內(nèi)的本地交換和UPF 間的N19 隧道技術(shù)，構(gòu)建企業(yè)專屬的“局域網(wǎng)”，如圖9 所示。

圖9. 5G LAN 企業(yè)跨分支通信應(yīng)用

基于時(shí)間敏感網(wǎng)絡(luò)(TSN，Time Sensitive Networking)技術(shù)，通過對(duì)傳輸時(shí)延和抖動(dòng)的控制，實(shí)現(xiàn)確定性網(wǎng)絡(luò)。針對(duì)TSN 場(chǎng)景，增強(qiáng)支持高精度時(shí)鐘，以及在高精度時(shí)鐘管理下的報(bào)文排隊(duì)和調(diào)度機(jī)制;UPF 下沉到企業(yè)現(xiàn)場(chǎng)，實(shí)現(xiàn)納秒級(jí)授時(shí)精度、毫秒級(jí)端到端時(shí)延和99.9999%的可靠性。

基于uRLLC 技術(shù)的超高傳輸可靠性。通過在N3/N9 接口建立雙GTP-U 隧道，實(shí)現(xiàn)用戶面冗余傳輸;或者建立端到端雙PDU 會(huì)話，將相同的報(bào)文在兩個(gè)會(huì)話中傳輸，確保連接的可靠性，如圖10 所示。

圖10. 5G uRLLC 多路徑超高可靠性傳輸

企業(yè)級(jí)UPF需要解決起步成本高、設(shè)備功能復(fù)雜、部署和運(yùn)維難度高等問題，需要引入輕量化的最簡(jiǎn)UPF解決方案，功能更有針對(duì)性，可以根據(jù)場(chǎng)景需求靈活搭配，并且實(shí)現(xiàn)出廠預(yù)安裝、現(xiàn)場(chǎng)開箱即用，同時(shí)支持本地運(yùn)維和遠(yuǎn)程運(yùn)維。

企業(yè)級(jí)UPF通常部署于運(yùn)營(yíng)商網(wǎng)絡(luò)之外，需要考慮運(yùn)營(yíng)商網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)的雙重安全，需要提供安全過濾、雙向數(shù)字鑒權(quán)、數(shù)據(jù)加密、防惡意攻擊等能力。

5、全場(chǎng)景UPF部署

在“5G 新基建”引領(lǐng)下，中國(guó)移動(dòng)為滿足分布式建網(wǎng)、集約化運(yùn)維需求，5G 核心網(wǎng)采用大區(qū)制建設(shè)方案，提供全場(chǎng)景UPF。因?yàn)門oC 和ToB 網(wǎng)絡(luò)在產(chǎn)業(yè)成熟度、網(wǎng)絡(luò)功能、市場(chǎng)應(yīng)用上存在較大差異，采用兩張網(wǎng)獨(dú)立建設(shè)，UPF 也進(jìn)行分開建設(shè)。為滿足業(yè)務(wù)差異及各行業(yè)碎片化需求，UPF 采用分布式多級(jí)部署，如圖11 所示。

圖11. 中國(guó)移動(dòng)全場(chǎng)景UPF 說(shuō)明

ToC UPF 部署在中心級(jí)和區(qū)域級(jí)，兼顧業(yè)務(wù)時(shí)延和傳輸成本，滿足大帶寬、低時(shí)延需求，從成本和長(zhǎng)期演進(jìn)維度，全部采用100G 智能網(wǎng)卡加速，配置一步到位，更加契合5G 長(zhǎng)期業(yè)務(wù)發(fā)展需求。

ToB UPF部署在中心級(jí)、區(qū)域級(jí)、邊緣級(jí)和企業(yè)園區(qū)級(jí)。

UPF的各級(jí)典型部署(中心、區(qū)域、邊緣、企業(yè)園區(qū))對(duì)UPF的吞吐量、時(shí)延、功能、應(yīng)用場(chǎng)景、形態(tài)等需求如下表所示。

五、UPF開放

1、目標(biāo)

聚焦ToB場(chǎng)景，避免大而全，追求小而精。傳統(tǒng)UPF功能全面，但功能和設(shè)計(jì)愈發(fā)復(fù)雜、牽一發(fā)而動(dòng)全身。ToB場(chǎng)景更需要的是輕量化、可定制的UPF。

OpenUPF計(jì)劃的重要目標(biāo)，一是：以“全集”UPF為基礎(chǔ)，定義簡(jiǎn)單高效的“最簡(jiǎn)”UPF。通過最簡(jiǎn)UPF的功能滿足高效靈活的部署，降低5G進(jìn)入千行百業(yè)的門檻。二是：滿足行業(yè)差異化需求、探索功能定制的“增量”UPF。通過增量提升產(chǎn)業(yè)價(jià)值，同時(shí)避免碎片化的定制需求帶來(lái)研發(fā)和維護(hù)成本的上升。

2、策略1，統(tǒng)一架構(gòu)、開放接口

統(tǒng)一UPF架構(gòu)設(shè)計(jì)，實(shí)現(xiàn)開放、標(biāo)準(zhǔn)的5G控制面和用戶面之間的N4接口，構(gòu)建測(cè)試認(rèn)證體系，Open UPF統(tǒng)一架構(gòu)如下圖所示。

圖. Open UPF統(tǒng)一架構(gòu)設(shè)想

為了更好地滿足ToB業(yè)務(wù)更加靈活的發(fā)展需求，在功能方面，相對(duì)于部署在網(wǎng)絡(luò)核心的通用UPF，ToB UPF的功能可按需進(jìn)行簡(jiǎn)化和分級(jí)，梳理出必須支持的基本功能和按需支持的可選功能，實(shí)現(xiàn)場(chǎng)景驅(qū)動(dòng)的“按單點(diǎn)菜”;在性能方面，ToB UPF應(yīng)可提供不同吞吐量規(guī)格的設(shè)備，滿足各種規(guī)模的行業(yè)需求。

除以上基本功能外，還可根據(jù)需求支持以太網(wǎng)數(shù)據(jù)傳輸、頭增強(qiáng)、白名單、重定向、Framed Routing、GRE/L2TP/IPSec 隧道等功能。為匹配不同業(yè)務(wù)場(chǎng)景的業(yè)務(wù)規(guī)模，ToB UPF應(yīng)可提供支持不同吞吐量規(guī)格的設(shè)備。

目前3GPP對(duì)UPF和SMF之間N4接口的定義存在兩大問題，一是功能方案冗余，為實(shí)現(xiàn)同一功能特性有多種可選方案，由廠家自行選擇;二是常用技術(shù)方案缺失，一些常用功能由廠家私有實(shí)現(xiàn)完成，缺乏標(biāo)準(zhǔn)化支撐，導(dǎo)致不同產(chǎn)品在協(xié)議實(shí)現(xiàn)上的差異，N4接口仍然為事實(shí)上的私有接口。非標(biāo)準(zhǔn)化直接導(dǎo)致了N4接口缺乏互操作性，降低了網(wǎng)絡(luò)部署的靈活性，增加了網(wǎng)絡(luò)管理的復(fù)雜度，限制了5G網(wǎng)絡(luò)服務(wù)行業(yè)客戶的生態(tài)發(fā)展。

聚焦基礎(chǔ)接入能力的“最簡(jiǎn)”UPF，為接口開放提供了可能。標(biāo)準(zhǔn)化的N4接口定義，通過如下三個(gè)途徑達(dá)到：

做選擇：對(duì)于標(biāo)準(zhǔn)中定義了多選方案的功能，進(jìn)行對(duì)比后選擇更優(yōu)方案，統(tǒng)一技術(shù)實(shí)現(xiàn);

去歧義：對(duì)于標(biāo)準(zhǔn)定義不清晰的功能或字段，明確使用方法;

補(bǔ)漏洞：對(duì)于標(biāo)準(zhǔn)定義無(wú)法滿足需求或未定義的功能，通過復(fù)用已有字段或擴(kuò)展Vendor IE 實(shí)現(xiàn)。

需要說(shuō)明的是，UPF的功能定制和N4接口的解耦也會(huì)對(duì)SMF有相關(guān)功能要求。考慮到網(wǎng)絡(luò)建設(shè)和維護(hù)成本等因素，SMF通常需要同時(shí)管理通用UPF和簡(jiǎn)化的ToB UPF，運(yùn)營(yíng)商網(wǎng)內(nèi)UPF需要在一些基礎(chǔ)功能上盡量保持一致，避免對(duì)SMF等控制面功能頻繁的改造。此外，在網(wǎng)絡(luò)運(yùn)維中，UPF和SMF解耦后在問題定位、網(wǎng)絡(luò)規(guī)劃等方面也需要更好的協(xié)同。

3、策略2，規(guī)范平臺(tái)、開放設(shè)備

研究軟硬件參考設(shè)計(jì)，設(shè)計(jì)面向不同典型場(chǎng)景的硬件規(guī)格，共同定義UPF功能基線要求，兼顧系統(tǒng)的靈活度和可擴(kuò)展性，打造可復(fù)制易部署統(tǒng)一平臺(tái)。

圖. Open UPF統(tǒng)一平臺(tái)

行業(yè)客戶往往存在定制需求，功能迭代頻繁，部分場(chǎng)景有邊緣計(jì)算的需求，要求UPF支持面向第三方業(yè)務(wù)的能力開放，對(duì)外提供IaaS與PaaS能力。因此，建議UPF按照虛擬化(包括容器化)形態(tài)部署和運(yùn)行在通用服務(wù)器上，同時(shí)提供硬件和軟件功能，如下圖所示。(這并不意味著對(duì)一體機(jī)的摒棄，在特定邊緣場(chǎng)景情況下，一體機(jī)會(huì)帶來(lái)商務(wù)和部署的便利。)

在硬件選擇上遵循標(biāo)準(zhǔn)化和通用化原則，可根據(jù)不同的業(yè)務(wù)場(chǎng)景選擇服務(wù)器與交換機(jī)兩種硬件方案。

服務(wù)器形態(tài)UPF主要用于通用CPU+專用加速芯片(ASIC、SOC、FPGA、NP 等)為核心處理單元的架構(gòu)中。針對(duì)不同的業(yè)務(wù)場(chǎng)景統(tǒng)一規(guī)劃不同CPU平臺(tái)的配置模型，兼容Intel、ARM架構(gòu);同時(shí)具備擴(kuò)展性，包括內(nèi)存、PCIE 插槽的擴(kuò)展。建議采用標(biāo)準(zhǔn)網(wǎng)卡的自動(dòng)散列等功能與CPU具備的頻率負(fù)載調(diào)配功能提升性價(jià)比。在對(duì)UPF吞吐與時(shí)延要求不高的場(chǎng)景，可考慮使用軟硬件結(jié)合的加速方案。在對(duì)吞吐與時(shí)延要求嚴(yán)格的場(chǎng)景，可考慮使用硬件加速技術(shù)，建議使用FPGA智能網(wǎng)卡作為標(biāo)準(zhǔn)加速硬件。服務(wù)器形態(tài)UPF既適用于功能復(fù)雜，性能要求較高的場(chǎng)景，又可用于功能較簡(jiǎn)單，性能要求一般的場(chǎng)景，是當(dāng)前業(yè)界主流產(chǎn)品的形態(tài)。

交換機(jī)形態(tài)UPF主要用于中低端通用CPU+交換芯片的交換機(jī)硬件架構(gòu)中。通過通用CPU 實(shí)現(xiàn)虛擬化，利用交換芯片卸載UPF部分?jǐn)?shù)據(jù)處理任務(wù)和轉(zhuǎn)發(fā)功能，在提升系統(tǒng)的處理能力的同時(shí)釋放CPU資源用于核心任務(wù)處理。交換機(jī)形態(tài)UPF在分組路由和轉(zhuǎn)發(fā)、GTP 隧道處理以及根據(jù)用戶面策略進(jìn)行分流等方面都具有優(yōu)勢(shì)。綜合功耗、散熱以及空間等因素，交換機(jī)方案有助于降低整體成本和功耗，同時(shí)提升系統(tǒng)的處理能力。適合在多端口、低成本、低功耗的場(chǎng)景中應(yīng)用，例如智能停車、智能消防、智能家電等NB-IoT應(yīng)用場(chǎng)景。

虛擬化基礎(chǔ)設(shè)施管理器(VIM，Virtualised Infrastructure Manager)建議具備輕量化、認(rèn)證管理、虛擬機(jī)模板/規(guī)格/生命周期管理、裸機(jī)管理、秘鑰管理、存儲(chǔ)卷及快照管理、網(wǎng)絡(luò)資源管理、加速器管理等功能。VIM 版本建議基于開源社區(qū)OpenStack Train版本，或北向接口匹配OpenStack Train 版本的商業(yè)虛擬化管理器。

虛擬機(jī)管理器(Hypervisor)建議采用實(shí)時(shí)性內(nèi)核，支持實(shí)時(shí)性虛擬機(jī)操作系統(tǒng)(Guest OS)、CPU模式設(shè)定、CPU核綁定、NUMA/PCI NUMA親和性、虛擬機(jī)親和性/反親和性組、虛擬網(wǎng)卡多隊(duì)列、VLAN透?jìng)?、加速?SR-IOV,GPU,FPGA)等功能，按需滿足行業(yè)UPF 的功能和性能要求。

容器平臺(tái)需支持應(yīng)用及各種資源對(duì)象的編排，底層網(wǎng)絡(luò)和存儲(chǔ)的編排，以及租戶管理等功能，以實(shí)現(xiàn)容器化UPF的整個(gè)生命周期管理;應(yīng)具備數(shù)據(jù)庫(kù)、消息隊(duì)列、中間件、微服務(wù)間通信及治理等服務(wù)能力，構(gòu)建可對(duì)外提供平臺(tái)通用服務(wù)能力的開放的PaaS平臺(tái)。建議運(yùn)行容器的操作系統(tǒng)基于開源標(biāo)準(zhǔn)Linux并增強(qiáng)，支持滿足開放容器標(biāo)準(zhǔn)(OCI，Open Container Initiative)和容器運(yùn)行時(shí)接口(CRI，Container Runtime Interface)的容器運(yùn)行。建議容器層管理軟件采用基于開源Kubernetes并增強(qiáng)。

4、策略3，拓展行業(yè)、開放服務(wù)

ToB UPF應(yīng)為運(yùn)營(yíng)商、合作伙伴逐步提供可調(diào)用的API、可編程的環(huán)境，成為網(wǎng)絡(luò)價(jià)值的創(chuàng)造點(diǎn)如下圖。

圖. Open UPF開放服務(wù)架構(gòu)圖

UPF的服務(wù)能力分為兩部分，基礎(chǔ)功能與增值定制功能?；A(chǔ)功能是5G UPF基礎(chǔ)能力，即表2中支持的功能;定制功能，是根據(jù)行業(yè)需求疊加定制的特色能力，如虛擬網(wǎng)絡(luò)、本地轉(zhuǎn)發(fā)、位置、認(rèn)證等。僅僅滿足基礎(chǔ)功能的ToB UPF是不夠的，隨著標(biāo)準(zhǔn)技術(shù)的演進(jìn)和新的開放服務(wù)模式的出現(xiàn)，UPF還需開放更多網(wǎng)絡(luò)基礎(chǔ)能力，不斷引入新的特性，進(jìn)一步豐富定制化能力;同時(shí)能將功能調(diào)用的API提供給運(yùn)營(yíng)商，并在業(yè)務(wù)合約下提供給垂直行業(yè)伙伴，例如開放信息的訂閱、網(wǎng)絡(luò)連接的管理(如二次認(rèn)證)、IP 地址的自主分配等能力。

UPF的開放服務(wù)還可以提供給邊緣計(jì)算平臺(tái)和能力開放平臺(tái)，支持邊緣計(jì)算平臺(tái)將開放服務(wù)直接提供給邊緣應(yīng)用或者對(duì)服務(wù)數(shù)據(jù)進(jìn)行加工后提供給邊緣應(yīng)用。UPF獲取的數(shù)據(jù)在獲得授權(quán)后，也可以反饋給網(wǎng)絡(luò)開放功能(NEF)、網(wǎng)絡(luò)數(shù)據(jù)分析功能(NWDAF)、網(wǎng)管平臺(tái)，作為基礎(chǔ)數(shù)據(jù)助力核心網(wǎng)智能信息分析及處理，加強(qiáng)大數(shù)據(jù)平臺(tái)分析結(jié)果的準(zhǔn)確性，更好的優(yōu)化網(wǎng)絡(luò)配置策略。

5、策略4，面向演進(jìn)、開放智能

UPF不只是一個(gè)簡(jiǎn)單的轉(zhuǎn)發(fā)網(wǎng)關(guān)，作為服務(wù)行業(yè)的抓手，需要發(fā)揮其計(jì)算處理的能力，為行業(yè)提供智能的網(wǎng)絡(luò)及服務(wù)。將智能融合到UPF的設(shè)計(jì)中，用網(wǎng)絡(luò)的智能化為產(chǎn)業(yè)界的發(fā)展打開想象的空間。

連接智能：UPF是網(wǎng)絡(luò)智能調(diào)控的關(guān)鍵節(jié)點(diǎn)?？紤]多接入方式對(duì)連接質(zhì)量的不同要求，需要UPF具備智能的連接管理、流量識(shí)別、質(zhì)量感知等能力。

運(yùn)維智能：UPF數(shù)量多、類型多、功能有差異，需要其運(yùn)營(yíng)和管理更加的簡(jiǎn)單、自動(dòng)化、智能化。在組網(wǎng)上盡可能即插即用、運(yùn)行中自動(dòng)排障，降低人為現(xiàn)場(chǎng)維護(hù)和管理的需要。

業(yè)務(wù)智能：以UPF為窗口，將運(yùn)營(yíng)商的智能化能力提供給行業(yè)伙伴，幫助其在視頻處理、圖像識(shí)別、語(yǔ)音識(shí)別等方面提供基礎(chǔ)能力。

網(wǎng)絡(luò)可編程：UPF需要更加靈活和智能化的架構(gòu)和接口設(shè)計(jì)，實(shí)現(xiàn)接口、功能、網(wǎng)絡(luò)可編程。使其能夠滿足多樣化場(chǎng)景需求，快速適應(yīng)多樣化的數(shù)據(jù)格式、協(xié)議類型和處理要求，加快新業(yè)務(wù)上線速度，如下圖。

6、安全要求

部署在用戶側(cè)的UPF相比在核心機(jī)房的UPF具有更多的暴露面，更易被攻擊。通用硬件、操作系統(tǒng)、中間件的漏洞更易被攻擊者發(fā)現(xiàn)。另外，以虛擬機(jī)或容器部署時(shí)，還會(huì)受到虛擬化軟件漏洞被利用，虛擬機(jī)逃逸、容器鏡像被篡改等相關(guān)安全風(fēng)險(xiǎn)。

為了能夠安全的為垂直行業(yè)和5G網(wǎng)絡(luò)提供服務(wù)，OpenUPF首先需滿足電信設(shè)備通用安全要求，確保軟硬件安全。其次，應(yīng)支持5G標(biāo)準(zhǔn)UPF的安全機(jī)制。此外，還應(yīng)支持如下安全要求：

組網(wǎng)安全：支持管理、業(yè)務(wù)和存儲(chǔ)三平面隔離，可與垂直行業(yè)應(yīng)用/服務(wù)器進(jìn)行安全隔離。當(dāng)部署在客戶現(xiàn)場(chǎng)時(shí)，應(yīng)支持內(nèi)置安全功能(如IPSec，虛擬防火墻功能)。

物理安全：具備物理安全保護(hù)機(jī)制。當(dāng)部署在客戶現(xiàn)場(chǎng)時(shí)，所在的物理服務(wù)器應(yīng)具備可信啟動(dòng)和遠(yuǎn)程度量功能，保證OpenUPF處于可信狀態(tài)。

基礎(chǔ)設(shè)施安全：支持對(duì)其使用的操作系統(tǒng)、中間件、數(shù)據(jù)庫(kù)以及web管理接口進(jìn)行安全加固;當(dāng)部署在虛擬機(jī)或容器上時(shí)，應(yīng)保證OpenUPF功能所在的虛擬機(jī)或容器與其它虛擬機(jī)或容器安全隔離，鏡像有防篡改保護(hù)等。

接口安全：支持對(duì)SMF等通信對(duì)端進(jìn)行認(rèn)證，并對(duì)API的調(diào)用進(jìn)行認(rèn)證和授權(quán)。

數(shù)據(jù)安全：支持對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù);對(duì)存儲(chǔ)的敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，并對(duì)訪問進(jìn)行控制。

策略沖突檢查：支持對(duì)SMF通過可編程接口下發(fā)的策略進(jìn)行沖突檢查。

信令過載限制：支持限制發(fā)送給SMF的信令流以及從SMF接收的信令流，防止信令過載。

小結(jié)

5G 改變社會(huì)，服務(wù)的是各行各業(yè)，用戶體驗(yàn)要求很高，UPF 是核心網(wǎng)最重要的網(wǎng)元之一，必須具備電信級(jí)的產(chǎn)品品質(zhì)。

UPF 作為5G 數(shù)據(jù)處理和轉(zhuǎn)發(fā)的核心功能，已經(jīng)逐步成為運(yùn)營(yíng)商服務(wù)垂直行業(yè)的橋頭堡，正逐步從“核心”走到行業(yè)用戶的園區(qū)。作為推動(dòng)5G 與干行百業(yè)融合的重要網(wǎng)絡(luò)節(jié)點(diǎn)，UPF 應(yīng)該做到規(guī)模化部署和更貼近客戶側(cè)部署的“點(diǎn)面”結(jié)合，滿足客戶需求，服務(wù)干行百業(yè)。

UPF 的下沉需要傳輸網(wǎng)和IP 承載網(wǎng)共同支持，也意味著邊緣云的下沉。邊緣UPF 不僅需要和運(yùn)營(yíng)商的通信網(wǎng)絡(luò)云互通，還需要和運(yùn)營(yíng)商的IT 云、第三方公有云的協(xié)同，全面推動(dòng)云網(wǎng)融合能力和云邊協(xié)同能力。

當(dāng)前，UPF 與SMF 的N4 接口尚未完全開放、服務(wù)化能力尚未完全實(shí)現(xiàn)。為了滿足垂直行業(yè)輕量化、低成本、靈活部署的需求，OpenUPF 合作伙伴計(jì)劃，從開放接口、設(shè)備、服務(wù)和智能四個(gè)方面定義開放的UPF，提升網(wǎng)絡(luò)能力和業(yè)務(wù)開展靈活性，助力5G 融入百業(yè)、服務(wù)大眾。

UPF是5G開啟垂直行業(yè)的金鑰匙。需要在不斷發(fā)展中完善規(guī)范推進(jìn)解耦，解耦不是一蹴而就，要在測(cè)試驗(yàn)證、應(yīng)用驗(yàn)證和發(fā)展演進(jìn)中不斷完善。