多接取邊緣運算之用戶辨識技術

工研院資通所 陳建成 文國煒


在2019年,5G已從技術驗證逐步邁向商業化,並以5G企業專網應用為主,且在未來10年,5G移動通訊、萬物智慧聯網將成為主要趨勢。然而,是否開放企業使用電信公司競標拍賣的頻譜爭議多時,對中小企業而言,如何取得5G頻譜將是一道難題,難以滿足5G專網的使用需求。本文將描述當企業網路與電信業者進行整合時,多接取邊緣運算(Multi-access Edge Computing,MEC)從中建立用戶的辨識與路由控制機制,在企業私網與電信業者之間提供彈性的5G應用服務。

 

精彩內容

1. MEC 5G應用服務核心技術 支撐5G多元服務

2. 5G專網運作面臨的用戶認證及辨識問題  MEC技術可為第三方整合角色

3. 工研院開發之MEC暨UE辨識解決方案

MEC 5G應用服務核心技術 支撐5G多元服務

邊緣運算技術即是將小型邊緣伺服器架設在終端用戶和雲端運算平台之間,將部分雲端運算平台上的服務資源卸載至邊緣運算平台當中,藉由邊緣運算平台提供在地的即時分析,同時減少部署開支,並加速催生眾多需要極低延遲時間的應用服務,因此,在5G通訊網路當中,邊緣運算扮演舉足輕重的角色,根據3GPP標準組織所提供的系統架構[1],5G的網路架構將是由通訊業務驅動,具備高靈活度與彈性的系統架構來滿足各種不同通訊業務的需求,除了將過去的核心網路元件虛擬化,整合SDN、NFV技術外,並允許Multi-access Edge Computing(簡稱MEC)與5G系統在路由控制與策略進行協同合作,來支撐起多元服務的5G網路架構。

 

圖1 Integrated MEC deployment in 5G network




圖1 Integrated MEC deployment in 5G network
歐洲電信標準協會(ETSI)的多接取邊緣運算技術標準工作組針對4G/5G核網整合上提出假設[2],如圖1所示,由MEC Orchestrator對MEC系統進行控制,對MEC內部的資源/Service進行管控,即對應到5G核網的AF(Application Function);並整合5G的UPF(User Plan Function)業務,形成一個MEC system,藉由Naf介面提供MEC中的服務資訊給SMF(Session Management Function),使之建立/調整用戶存取至MEC服務的通道(類似於4G PDN)。

5G專網運作面臨的用戶認證及辨識問題 MEC技術可為第三方整合角色

當企業欲建立起5G專網環境時,首當其衝就是取得可用頻譜的議題,根據行政院科技會報執行秘書蔡志宏表示,在「電信管理法」立法通過之前,企業要蓋5G企業專網或私網,可向電信業租用網路,「電信管理法」通過後,才會開放企業向電信業租用頻譜;換言之,企業現階段無法取得完整或是使用保證的頻譜資源,勢必須與電信業者的電信網路進行整合。然而,礙於企業的資訊較須保密,難以將私有網路全程交由電信商進行管理,因此,MEC技術可視為第三方的整合角色,將MEC部署於企業網路中,並介接電信商的核心網路及無線接取網路,MEC除了部署電信商的公有服務外,企業也可以上載私自的服務於MEC中,提供區域中的用戶就近存取低延遲的服務。
目前現存MEC平台運作的分流機制[3][4],僅針對用戶的網路存取目標加以引導,當MEC分析這筆用戶的網路封包目的地與MEC上的服務相符時,則主動將用戶引導入MEC服務中,提供在地的行動運算服務。在這樣的情況下,現有的MEC運作機制未具備用戶辨識能力,將使該電信的所有用戶裝置,皆可直接存取到MEC上企業專屬的應用服務。因此,本文所介紹的MEC用戶辨識及路由控制技術,將說明MEC取得封包與用戶身分的關係建立,使MEC具有能力辨識用戶的身分,並執行不同的路由繞送,滿足企業與用戶的服務需求。


工研院開發之MEC暨UE辨識解決方案

1. 企業認證機制與MEC整合 行動通訊用戶與身分建立

首先,以4G LTE為例,MEC介於用戶端與核網之間,對流通於網路中的封包資訊,皆經過加密處理動作,難以單透過封包辨識用戶的企業身分,僅能藉由底層GUTI/GTP-U/Source IP等此類網路身分訊息辨別用戶。


因此,當MEC欲將用戶裝置(User Equipment)資訊與企業身分做比對,可能的方式是向電信營運商取得該筆IP資訊的用戶身分資訊,如IMSI、註冊門號及相關用戶裝置資訊等,但這些資料仍無法取得該用戶於企業的身分,難以憑此進行路由控制。


圖2 MEC向企業取得UE的身分流程
圖2 MEC向企業取得UE的身分流程


工研院針對上述問題提出的解決方法是將企業認證機制與MEC進行整合,圖2說明工研院MEC研發的用戶認證及辨識技術,由企業提供身分認證的管道,即MEC將用戶提供的身分資料利用認證協定(如RADIUS或TACACS+協定)與企業AAA(Authentication、Authorization及Accounting)伺服器進行認證,認證通過的用戶即可取得授權。例如,當一個用戶UE欲存取企業專有的雲端服務時,MEC則會請求UE進入認證程序(如企業用戶登入窗口),將取得的UE身分資訊轉發至企業進行AAA認證,如圖2的步驟~,直到企業的AAA伺服器回傳該UE在企業中的網路權限(即步驟),MEC即將此用戶的網路身分進行標記,將UE IP及企業身分等紀錄於MEC的資料庫當中;而後MEC辨識到該IP歸屬於特定企業用戶時,則進行特定的路由,並將提供用戶存取企業部署的私有服務,同時,攔阻非企業用戶存取此類型的服務。此方法對企業而言,用戶的認證行為仍保留在企業端,兼顧用戶及企業的安全性及隱私,並提供最低限度的資訊給MEC進行網路用戶及企業用戶的資訊比對,使MEC可辨識出不同權限等級的UE進行路由控制。

2. MEC提供多種路由策略 企業服務上架與權限彈性設定
為了使用戶、企業及電信商達到彈性的MEC部署及私有服務存取機制,工研院MEC可部署在企業內部機房或是電信業者的機房,當企業欲使用4G電信網路存取私有服務時,除了將服務上架至MEC,尚須提供該服務的認證流程,並設定用戶認證後的相關權限及服務存取的路由至工研院MEC進行管理。如圖3所示,MEC更可以將企業用戶設定服務存取的權限等級,對不同等級的企業用戶,提供多種的路由策略。例如,當網路使用壅塞時,較高權限的企業用戶仍可以保證其傳輸品質。

 

圖3 MEC對不同身分別的用戶進行路由控制。
圖3 MEC對不同身分別的用戶進行路由控制。


結論

工研院MEC提供高彈性的部署方式,接近企業端或用戶端、又或是網路整合端,都可以部署MEC的服務,提供低延遲的傳輸服務體驗,藉由工研院MEC用戶身分辨識與路由控制機制,免去企業及電信商雙方須進行的用戶資料同步問題,且在不影響現有電信商的網路環境中,對用戶進行認證機制,提供企業使用電信商的網路,存取MEC中的私有企業雲端服務,達到5G企業專網的應用情境。


參考文獻

[1]  3GPP TS 23.501 V15.1.0, “3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; System Architecture for the 5G System; Stage 2 (Release 15)” (2018-03)

[2] ETSI White Paper No. 28, MEC in 5G networks. [online]. Available: https://www.etsi.org/images/files/ETSIWhitePapers/etsi_wp28_mec_in_5G_FINAL.pdf

[3] Shih-Chun Huang, Yu-Cing Luo, Bing-Liang Chen, Yeh-Ching Chung and Jerry Chou, “Application-aware Traffic Redirection: A Mobile Edge Computing Implementation toward Future 5G Networks,” 2017 IEEE 7th International Symposium on Cloud and Service Computing.

[4] Cesar A. Garcia-Perez and Pedro Merino, “Enabling low latency services in standard LTE networks,” 2016 IEEE 1st International Workshops on Foundations and Applications of Self-* Systems.

 

文章轉載自工業技術研究院電腦與通訊月刊