关于5G UDM保护机制及网元快速恢复的研究
摘要:随着5G网络快速发展,5G UDM承载用户规模不断增加,用户业务安全保障、网络安全需求不断提升,本文主要从网络安全方面、用户数据整体快速恢复方面进行理论分析、实地测试、优化调整和提升安全措施。
关键词:UDM 安全  用户数据
1、引言
5G网络全面虚拟化云化,用户不断从234G向5G网络迁移,在带来功能灵活性的同时,也带来很多技术和维护安全挑战。网络规模不断扩大,网络结构日趋复杂,用户数据也逐步采用分层存储架构。虚拟化的网络使得跨层故障定界定位过程更加复杂,边缘计算方式网元数目倍增,也导致维护工作量成倍增加。
2、当前现状及存在的问题
UDM系统结构设计遵循云化的Cloud Native结构,在云化系统中,存储、计算、网络设备以资源池的形式进行分类,分别组成存储池、计算池、网络池。通过云化技术,业务处理系统的各个子系统通过容器可以直接动态调用共享资源池的资源。UDM作为统一数据管理中心,为运营商提供2/3/4/5G多种网络场景下用户业务签约服务,具备高效的用户数据处理能力,在整个网络中处于核心位置,当前的组网方式多为1+1主备、1+1互备或者1+N主备方式。
当UDM单平面网元出现异常时,可以通过备份平面快速接管业务,实现用户业务的无缝衔接,用户基本无感知。但如果两个DC资源池异常,或者UDM双平面出现异常,则整个UDM无法正常承载业务,引起大范围用户业务失效问题。
3、安全机制的难点
DC资源池成对配置,主备或者互备的UDM网元分别放置在成对的两个DC资源池中,进行1:1部署或者1:N部署,可以有效提升DC资源池内安全运行能力,对于资源池内的单点故障,进行有效的保护。在极端特殊的情况下,如果整个DC资源池对外连接中断,或者UDM两个平面同时异常,UDM自身无法实现容灾保护。
3.1、第三DC容灾保护机制
为了提升UDM安全运行机制,在DC双平面建设之外,再进行第三容灾DC建设,通过第三DC提升UDM设备冗余度和安全性。建设UDM第三DC平面,UDM中的用户数据除了在主备BE上存放,在异城市的第三DC中实时生成镜像数据,确保第三DC中UDM的BE用户签约数据与现网保持一致,FE按照现网大区单平面FE最大配置部署,提供除了双DC外的第
三平面保护。该方案可有效提升UDM安全运行能力,且能够实现用户业务在双DC网元同时不可用时,仍然能够快速进行业务切换,确保用户业务无损失。
3.2、4G逃生保护机制
在UDM散号路由/Proxy初期,尚未实现第三DC容灾保护条件下,需部署4G逃生保护机制,当整个UDM无法提供正常业务时,将UDM用户紧急逃生到FE-Relay对应的HSS中,尽快恢复用户的2/3/4G语音、短信和数据等基本业务,缩短用户业务恢复时间,将损失降到最小。部署4G逃生,需确认逃生接管的HSS容量能够全部接管UDM用户,否则应考虑分批次、分用户逃生。还需提前部署第三方FTP服务器,每天自动将UDM用户备份文件传递第三方备份服务器。开发备份文件解析工具,提前筛选逃生目标用户明细以及用户鉴权ki,利用固定的开户模板,生成统一的批量开户脚本,确保在4G逃生时,快速的将用户开户信息导入逃生HSS中。导入HSS中的逃生用户,并不带动态位置信息,因此逃生数据导入完毕后,需要HSS发送reset操作,强制用户进行位置更新,重新发起网络注册,让逃生用户重新注册到逃生HSS中,用户集中发起位置更新,发起网络注册请求,对网络有较大冲击,操作前需详细评估网络负荷情况,周边网元流控部署情况,确保整个网络负荷在安全范围内。
由于HSS无法承载UDM的所有签约业务,该机制为有损业务保护逃生,作为兜底安全保护措施。
3.3、故障UDM网元快速恢复机制
如果由于用户数据库异常损坏导致UDM网元无法承载业务,则需要考虑损坏数据库的快速恢复机制。UDM网元需要部署第三方备份机制,开发部署第三方自动备份任务,每天定时备份用户数据恢复文件,每天定时备份营帐日志记录文件,以及定期的系统恢复文件备份。定期进行备份文件完整性检查,利用测试平台进行备份文件恢复验证检查,确保备份文件有效可用。在第三方备份服务器中开发部署快速恢复程序,实现恢复文件自动上传至故障UDM的CGPLite文件目录,自动通过PAAS登录UDM网元CGP虚拟机,完成内存库备份传送,将文件拷贝至目标RSU虚拟机的/home/mtuser目录下。拷贝完成后,登录RSU虚
拟机、容器,将用户数据恢复至/opt/uscdb/snp/DUMP目录,并完成解压与权限修改,加载模块数据进行恢复内存库数据操作。
4、结束语
5G通信网络的建设和发展,是我国重要的发展方向,是促进全球经济一体化的重要举措之一,本文从5G网络架构,5G UDM在核心网中的位置和作用进行理论研究和深入分析,结合运营商建网模式,分析第三DC容灾保护和4G逃生安全保护机制的优缺点,对故障网元快速恢复机制进行研究,利用Python研发自动恢复程序,提出了一些创造性的使用设想,在网络异常时,缩短用户业务影响时间,提升网络安全等级。
参考文献:
1、杨炼,王悦,蒲浩杰,蒋明燕 等 5G核心网关键技术与网络云化部署
2、吴成林,陶伟宜,张子扬,赵迎升,周悦,徐伟杰,景建新 等 5G核心网规划与应用
3、3GPP TS 22.261 V18.1.1 3rd generation partnership project; technical specification gr
oup services and system aspects; service requirements for the 5G system; stage 1(release 18)[2]. Valbonne: 3GPP, 2021.

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。