1、面向典型行业的云网边端智能协同与剪裁WHITE PAPER V9.0D2023.03摘 要从云计算到雾计算再到边缘计算，为了给用户提供极致的定制化服务体验，我们见证了无线网络与计算的不断融合与发展。然而，云计算会带来极高的传输延迟；而资源受限的边缘设备难以承担复杂的计算需求，且会给用户的数据隐私保护带来困难。所以可结合云端训练与边缘端推理，通过云网边端智能协同与剪裁技术实现按需的定制化服务，以支撑多种垂直行业的典型应用，这样不仅可以降低数据传输延迟，也可以保护用户的数据安全。由于面向典型行业的云网边端智能协同与剪裁技术目前还处于起步阶段，因此本白皮书旨在分析云网边端智能协同与剪裁的研究进展。主

2、要包括：（1）云网边端智能协同与剪裁关键技术：首先对云计算和边缘计算的概念和特点进行简单描述。然后针对垂直行业的差异化需求，对裁剪技术（网络切片）、软件定义网络和人工智能等进行介绍，并分析其在云网边端协同中的应用。（2）云网边端协同安全研究：首先阐述了云网边端协同面临的诸多安全问题和挑战。然后分析云网边端协同的安全管理架构和安全技术等。最后对云网边端协同生命周期的安全管理进行了阐述。（3）云网边端协同典型应用：作为白皮书的核心部分，对云网边端智能协同在新兴的代表性业务场景中的应用进行了分析，如物联网、智慧医疗、智慧交通和云手机等。云网边端协同简介 国内外发展现状 云网边端协同网络架构研究现状云

3、网边端协同方式研究现状 白皮书章节安排 面向典型行业的云网边端协同架构 云边协同架构分析 云网边端协同架构分析 云网边端智能协同与剪裁关键技术研究 云计算和边缘计算基本概述网络切片基本概述在云网边端协同中的应用软件定义网络基本概述在云网边端协同中的应用人工智能基本概述机器学习在云网边端协同中的应用联邦学习在云网边端协同中的应用知识图谱在云网边端协同中的应用云网边端协同安全研究云网边端协同面临的安全挑战缺乏安全可信的网络架构安全认证机制的不足隐私数据泄露风险基础设施安全风险开源软件安全风险云网边端协同的安全框架基础安全虚拟化安全数据安全应用安全1 1.1 1.1.11.1.21.22 2.1 2

4、.2 3 3.1 3.2 3.2.1 3.2.2 3.3 3.3.1 3.3.23.4 3.4.1 3.4.23.4.33.4.44 4.1 4.1.14.1.24.1.34.1.44.1.54.24.2.14.2.24.2.34.2.401 01 010101 0303050606070709632324242526262727目录云网边端协同安全的关键技术 网络安全接入标准轻量级安全技术 边缘计算安全数据隐私保护安全隔离 高级持续性威胁防御技术 云网边端协同生命周期的安全管理 产品开发过程安全第三方组件安全运维安全管理安全事件管理云网边端协同典型

5、应用案例人脸识别场景概述性能需求分析对云网边端协同的潜在需求与应用自动驾驶场景概述性能分析对云网边端协同的潜在需求与应用物联网场景概述性能需求分析对云网边端协同的潜在需求音视频服务场景概述性能需求分析对云网边端协同的潜在需求与应用智慧交通场景概述性能需求分析对云网边协同的潜在需求与应用智慧医疗场景概述4.3 4.3.14.3.2 4.3.3 4.3.4 4.3.5 4.3.6 4.4 4.4.14.4.24.4.34.4.455.15.1.15.1.25.1.35.25.2.15.2.25.2.35.35.3.15.3.25.3.35.45.4.15.4.25.4.35.55.5.15.5.2

6、5.5.35.65.6.128 2829 29 30 31 32 32 32333435363636373840448505050553性能需求分析 对云网边协同的潜在需求与应用云手机 场景概述 性能需求分析 对云网边端协同的潜在需求与应用 面向 6G 的云网边端智能化协同研究 面向 6G 云网边智能化架构架构总体描述架构特征服务化 RAN服务化 RAN 概述服务化 RAN 技术特征致谢5.6.2 5.6.35.7 5.7.1 5.7.2 5.7.3 6 6.1 6.1.16.1.26.26.2.16.2.2754 5556 56 57 58 58

7、58 595959606162-01-面向典型行业的云网边端智能协同与剪裁1.云网边端协同简介1.1 国内外发展现状边缘计算能够提供近距离的智能服务，进行准确、快速的数据处理，具有占用资源少、处理低延时的优点，但难以实现资源的全局控制。云计算拥有足够的计算和存储资源，但处理速度较慢，用户交互延迟较大。通过构建云网边端协同架构，可以实现终端物联网设备的便捷通信和可靠的数据交互，满足不同行业的差异化服务。结合云计算和边缘计算的优势，云网边端协同应运而生，通过云边协同网络，可在为终端用户提供低延时服务的同时提高数据的处理速度。1.1.1 云网边端协同网络架构研究现状云网边端协同架构近年来受到产业界广

8、泛关注。如，KubeEdge 架构 1 将云应用程序部署到边缘节点，具备云边协同、边缘自治和计算沉降能力 2。OpenYurt 架构 3 依托云原生，实现了在云服务器统一管理海量边缘资源、数据和业务的能力。1.1.2 云网边端协同方式研究现状产业界和学术界对资源协同、智能协同和数据协同等协同方式进行了大量研究。如联合通信和计算资源协同分配算法 45，云边协同计算卸载、计算和通信资源分配方案 6，用于煤矿井下环境实时智能视频监控的云边协同框架 7，集成云边端Deep Adapter 框架 8，边边协作人工智能按需学习卸载机制 9，用于大规模监控视频流的云边协同实时查询系统 Surveil Edg

9、e10，工业云边协同计算平台 Sophon Edge11。云网边端协同无论是在框架还是协同方式都已引起了国内外学者的关注，其中通过云网边端进行智能算法协同训练及推理来实现万物智联显得尤为重要。1.2 白皮书章节安排本白皮书一共分为七个章节，各章节内容安排如下：第一章首先对云网边端协同架构与协同方式的国内外研究现状进行了分析，并简要介绍了全文的主要内容和结构安排。第二章探讨了云网边端协同的主要架构。分别就云边协同和云网边端协同架构进行了简单的分析。第三章针对云网边端协同的关键技术进行了介绍，并着重介绍了这些技术在云网边端协同中的应用。第四章对云网边端协同安全技术行了详细的介绍，首先介绍了云网边端

10、协同面临的安全风险，然后云网边端协同安全框架与安全管理技术详细的描述说明。第五章介绍了典型场景中的云网边端协同，首先对应用场景进行了简要描述，然后介绍了应用场景的性能需求，最后对云网边端协同在典型行业中的应用进行了分析。第六章对 6G 时代的云网边端智能协同架构进行了展望。第七章对本白皮书的所有撰写者进行了衷心的感谢。参考文献1 J.Chen and X.Ran,“Deep Learning With Edge Computing:A Review,”Proceedings of the IEEE,vol.107,no.8,pp.1655-1674,Aug.2019.2 刘光毅,金婧,王启星,

11、等.6G 愿景与需求:数字孪生、智能泛在 J.移动通信,2020,44(6):3-9.3 喻鹏,面向 B5G/6G 边缘网络的智能管控架构 J.移动通信,2020,44(6):90-95.4 J.Ren,G.Yu,Y.He and G.Y.Li,“Collaborative Cloud and Edge Computing for Latency Minimization,”IEEE Transactions on Vehicular Technology,vol.68,no.5,pp.5031-5044,May 2019.5 J.Ren,Y.He,G.Yu and G.Y.Li,“Joint

12、 Communication and Computation Resource Allocation for Cloud-Edge Collaborative System,”2019 IEEE Wireless Communications and Networking Conference(WCNC),2019,pp.1-6.6 C.Kai,H.Zhou,Y.Yi and W.Huang,“Collaborative Cloud-Edge-End Task Offloading in Mobile-Edge Computing Networks With Limited Communica

13、tion Capability,”IEEE Transactions on Cognitive Communications and Networking,vol.7,no.2,pp.624-634,Jun.2021.7 W.Tang et al.,“Wireless Communications with Programmable Metasurface:New Paradigms,Opportunities,and Challenges on Transceiver Design,”IEEE Wireless Communications,vol.27,no.2,pp.180-187,Ap

14、r.2020.8 Y.Zhao,H.Yu,H.Xu,“6G mobile communication networks:vision,challenges,and key technologies,”Scientia Sinica Informations,2019,49(8):963-987.9 张彤,任奕璟,闫实.人工智能驱动的 6G 网络:智慧内生 J.电信科学,2020,9:14-22.10 Y.Sun,Z.Wang,S.Yuan,et al.“The sixth-generation mobile communication network with endogenous intel

15、ligence:architectures,use cases and challenges,”Application of Electronic Technique,2021,47(3):8-13.11 N.Dragoni,I.Lanese,S.Larsen,et al.“Microservices:How to make your application scale,”International Andrei Ershov Memorial Conference on Perspectives of System Informatics,2017:95-104.-02-面向典型行业的云网边

16、端智能协同与剪裁下面以基于软件定义网络（Software Defined Network，SDN）的云边协同架构为例进行分析。首先，集中式 SDN 的控制平面可以提供云服务器和边缘服务器对不同资源的使用情况，根据不同的业务类型提供满足其需求的资源数量。其次，SDN 与访问控制、广域网和云计算技术的兼容特性使得部署在无线接入网的虚拟网络功能灵活创建，从而极大程度地降低网络管理复杂度。最后，基于 SDN 的云边协同网络将更好地发挥云计算和边缘计算的优势，满足云边协同网络在资源分配、任务调度等方面的需求。图 2.1 云边协同架构-03-2.面向典型行业的云网边端协同架构云网边端协同架构包括云中心、边

17、缘域和网络部分。云中心是数据集中处理的中心，负责长期大流量数据的分析和处理，具有业务智能决策和管理能力，实现边缘节点全生命周期管理和周期性运维。边缘域或边缘节点可以接入云中心。云中心对边缘域和边缘节点上传的数据进行分析和处理。边缘域负责收集、存储和处理边缘节点的数据。网络部分包括核心网，承载网和接入网等。2.1 云边协同架构传统的云边协同架构处理数据的流程主要是在终端设备产生数据之后，由无线接入网将数据上传至边缘服务器，并由边缘服务器执行计算任务。当计算量较大、计算任务复杂度较高时，边缘服务器会将计算任务上传到云服务器进行处理。当云服务器完成计算任务后，会将计算结果下发至边缘服务器，再由边缘服

18、务器将计算结果传输至终端设备，由此实现云边协同，如图 2.1 所示。面向典型行业的云网边端智能协同与剪裁图 2.2 基于 SDN 的云边协同架构图 2.2 描述了基于 SDN 的云边协同系统架构。从图中可以看到该架构主要由基础设施层、控制层、应用层和用户层组成。基础设施层由边缘服务器和云服务器组成，其中，边缘服务器负责收集网络当前状态，然后通过南向接口将当前状态的相关信息发送给控制层。控制层收到相关信息后，会按照其自身的规则处理数据并执行计算任务。控制层通过北向接口连接至基础设施层，并逐级控制各个边缘计算网络和云计算网络环境，实现边缘计算和云计算的协调控制以及云和边缘的协同计算。控制层通过南向

19、接口连接至应用层，应用层旨在为终端用户提供满足性能要求的应用程序，通过控制层提供的各类控制器，应用程序可以访问终端设备：终端设备发出的各种任务由应用层下发至控制层，由控制层进行决策并调用底层基础设施资源以实现应用层的各种任务。控制层是整个架构的核心，云计算设备和边缘计算设备可通过控制层合并到一个统一的体系架构中，该层包含局部控制器和全局控制器：其中，局部控制器控制局部范围内的资源调度和任务决策，当遇到较为复杂的计算任务时，局部控制器会将任务反馈给全局控制器，由全局控制器进行决策和任务处理。基于 SDN 的云边协同计算架构通过局部和全局控制器的协同实现负载优化、减少全局控制器的成本并降低延时，同

20、时每层控制器的相对独立特性又保证了计算网络的安全性和稳定性。但云边协同体系涉及多个云计算平台、多设备的接入控制及资源调度，因此基于 SDN 的云边协同体系架构仍需要进一步的统一标准。-04-面向典型行业的云网边端智能协同与剪裁2.2 云网边端协同架构分析云网边端架构包括边缘计算设备、云计算设备及通信网络，通信网络包括接入网、承载网及核心网等。云网边端协同架构需要在通信网络中引入云计算和边缘计算，并在云计算与边缘计算中引入网络技术，是对网络架构的深刻变革，需要云网边端高度协同、相互借鉴。5G 核心网已经实现了全面云化，从而实现了海量数据的存储和处理。然而面对垂直行业的不同应用，其对网络的计算能力

21、、存储能力及响应时间的需求是不同的：例如自动驾驶技术需要超低的响应时间，而超高清视频则需要较高的数据传输速率。因此需要通过边缘计算就近为用户提供低延时服务，同时边缘计算平台需要引入容器、网络功能虚拟化等技术进一步提高平台效率，降低运维成本。由于垂直行业会产生大量的承载网设备，其场景较为复杂、带宽需求量大，因此面向垂直行业的承载网需要大带宽、大容量。同时垂直行业的多种服务，例如工业控制、车联网、智慧医疗等需要低误码率以及低时延，因此要求承载网能够提供和处理超低时延服务。无线接入网是实现未来新兴应用的关键网络之一。随着垂直行业的持续发展，接入网技术也在不断提高，主要表现在以下几个方面：1）接入网的

22、复杂程度在不断提高。不同的接入技术的竞争与综合使用，以及对不同垂直行业应用的支持，使得接入网的复杂程度不断增加。2）接入网应支持更复杂的业务，包括各种增强移动宽带（Enhanced Mobile Broadband，eMBB）、超可靠低时延通信（Ultra-reliable and Low Latency Communications，uRLLC）和海量机器类通信（Massive Machine Type Communication，mMTC）业务。3）光纤技术的发展与光纤覆盖范围的扩展使接入网能够满足更多应用，并促进各种垂直行业的全光纤连接，实现统一的全光结构。云网边端协同架构将促使更多新兴

23、业务产生。在云端，应用将不再被各种资源限制；在网络端，由网络连接的分布式的计算设备将促使更多低延时应用诞生；在边缘端，云边端协同将会产生云游戏等新兴应用。在云端和边缘端的基础上，网络将辅助各种垂直行业进行资源高效流通，从而提升整个网络结构的运营能力。尽管云网边端协同发展催生了更多的应用，也为用户带来极致的服务体验，但在其发展过程中也存在着诸多问题。首先是网络技术的突破：新型的网络技术需要兼顾网络质量以及成本，如何权衡运营商在网络部署过程中的收益和成本将会成为制约云网边端协同发展的难点之一；其次，面对未来大量的泛在接入问题，在考虑收益和成本的同时更需要解决服务的灵活动态部署，需基于用户的服务等级

24、协议需求，并综合考虑网络的多维资源使用情况，来提升网络的服务性能；最后，由于边缘服务器的算力有限，如何在边缘计算平台部署的轻量化设备中引入用户隐私保密技术也是一个亟待解决的难题。-05-面向典型行业的云网边端智能协同与剪裁3.云网边端智能协同与剪裁关键技术研究 云网边端协同是云计算和边缘计算的进一步延伸。基于云计算和边缘计算，融合网络切片（剪裁技术）、SDN和人工智能等技术，实现云边按需协同互操作和系统的动态优化调度，进而支持垂直行业的复杂应用的构建、运行和评估。3.1 云计算和边缘计算基本概述作为一种超级计算模式，云计算以互联网为基础，来实现用户的在线软硬件资源和信息资源共享，将计算机的存储

25、和计算能力最大化。云计算在 2007 年由谷歌率先提出，在分布式计算、并行计算和网络计算的基础上形成的一种新的计算模型。广义上，云计算指用户通过网络在线以按需或易扩展的方式获得服务，这种服务包括软硬件和信息资源，对服务进行交易并收取费用。狭义上，云计算指把计算机基础设施作为商品进行交付和使用，通过互联网并根据用户需要，选择付费享用软硬件资源信息。云计算具备诸多优势：1）用户通过网络可随时随地对云端进行访问：云计算不仅拥有自己的系统，而且整合了各种异构的信息设备，用户可在拥有网络的前提下，接入云端访问资源。2）可以给用户提供自助式服务：云计算提供了自动化的软件运行环境，用户可按照个性化需要，得到

26、请求的服务，无需与服务提供商进行交互，极大地降低了运营成本。3）资源池化：云计算将所有的软硬件及信息资源放在虚拟化的运行环境中，用户请求服务时，这些资源就会按需组合，以满足用户的业务需求。4）弹性供给：云计算并不是静态地提供服务，当用户访问量过大时，可以自动提供更多资源，快速进行资源池化反应；当用户需求访问量减少时，则慢速反应，使其一直处于动静结合的状态，以满足不同访问量的需要。5）服务可计量：云计算提供的服务是可度量的，资源池会根据用户对服务的不同需求进行动态扩展或收缩，用户只需按接受服务的内容和次数交付费用。图 3.1 云计算和边缘计算示意图-06-面向典型行业的云网边端智能协同与剪裁云计

27、算服务是一种集中式服务，所有数据都通过网络传输到云端进行处理，资源的高度集中使得云计算具有很高的通用性。然而，面对物联网设备和数据的爆发式增长，基于云计算模型的聚合性服务逐渐显露出其在实时性、网络制约、资源开销和隐私保护等方面的不足。为了弥补集中式云计算的不足，边缘计算的概念应运而生，它是指在靠近物或数据源头的网络边缘侧，融合网络、计算、存储和应用为一体的分布式开放平台，就近提供边缘服务。由于传输链路的缩短，边缘计算能够在数据产生侧快捷、高效地响应业务需求，数据的本地处理也可以提升用户隐私保护程度。另外，边缘计算减小了服务对网络的依赖，在离线状态下也能够提供基础服务。边缘计算最早可以追溯至内容

28、分发网络中的功能缓存概念，2015 年边缘计算进入快速发展期后，以边缘计算为主题的协会与联盟相继成立，各类定义、标准与规范逐渐形成。旨在推动云操作系统的发展、传播和使用的OpenStack 基金会以及由华为技术有限公司、中国科学院沈阳自动化研究所等联合成立的边缘计算产业联盟等组织对边缘计算进行了定义，尽管这些定义的描述不尽相同，但在边缘计算的核心概念上达成共识：边缘计算是指在网络边缘执行计算的一种新型计算模型，这里的边缘是指从数据源到云端之间的任意资源，其操作对象包括来自云服务的下行数据和万物互联服务的上行数据。边缘计算具备如下优势：1）在数据安全方面，边缘计算架构中的数据收集和计算都是在本地

29、进行，数据不再被传输到云端，因此重要的敏感信息可不经过网络传输，有效地避免了传输过程中的隐私泄漏。2）在交互延迟方面：物联网应用面对的数据量极大，而边缘计算更靠近数据源，能够提供更实时、更快速的数据处理，降低了数据上传到云服务器的时间和数据回传带来的延时，从而提高了系统的效率。边缘计算的及时性和即时性对响应速度有苛刻时间要求的应用至关重要，比如自动驾驶应用、视频监控应用等。3）在带宽成本方面：随着物联网设备的增多，网络传输压力越来越大，而在边缘计算的过程中与云端的数据交互很少，无需要占用太多网络带宽。因此，边缘计算在数据计算和存储上均具有成本优势。这对基于互联网或者跨多个域数据转发的应用尤为关

30、键，边缘计算既可以通过减少网络传输数据量来降低传输成本，也可以进一步提高云计算中心计算效率。4）在能耗方面：由于数据可在网络边缘进行处理，云端不必处理海量数据，从而可以降低云服务器的能耗。综合以上分析，云计算和边缘计算各有优势，单独依靠云计算或边缘计算都难以实现典型行业对各性能指标的需求。在此背景下，需要产业界和学术界研究合适的网络架构以适应各种垂直行业的发展。3.2 网络切片3.2.1 基本概述面向物联网与垂直行业的无线网络为不同应用场景提供定制化服务，以满足不同应用场景的性能需求。例如，-07-面向典型行业的云网边端智能协同与剪裁自动驾驶、智能工业等工业级应用场景要求超低时延和工业级可靠性

31、保障；虚拟现实、增强现实和全息影像等要求高带宽；智慧城市/家庭、智能水务等物联网传感器接入类业务要求大规模海量物联网终端接入。而同一张物理网络难以支撑千差万别的业务需求，而且移动互联网和物联网的快速发展带来的爆发式流量增长和设备接入引发了资源不足和管理困难等问题。因此，网络切片技术应运而生，其基本思想是为在统一的开放式网络架构下，基于共享的物理基础设施，通过网络功能的深度解耦和灵活重构按需组建多个具有不同特点彼此隔离的虚拟逻辑子网，不同的虚拟逻辑子网可为用户提供定制化服务，适配各种业务类型需求的同时提高了网络资源的利用率。作为 5G/6G 网络的关键技术之一，网络切片具有以下特性：（1）隔离性

32、：隔离性是网络切片最基本、最重要的特性。即使不同用户在使用网络切片提供的服务时存在性能需求上的冲突，其也可以为网络中的每个用户提供性能和安全的双重保障。从性能上来说，各个网络切片的性能需求相互独立，当某一个网络切片的资源发生阻塞时不会对其他网络切片产生影响；从安全上来讲，当某一个网络切片发生故障时，其他网络切片所占有的资源和服务不会被影响且仍可以正常使用。网络切片的隔离性不仅涉及数据平面，还涉及控制平面，具体包括网络拓扑隔离、带宽隔离等。一般而言，可使用物理网络基础设施和资源的共享或专用程度来衡量网络切片的隔离程度。（2）定制化：定制化确保了分配给网络切片中每个用户的资源可以得到有效利用，从而

33、使得各自的服务需求得以满足。定制化可通过对底层物理网络基础设施的拓扑抽象，并且针对每个网络切片调度虚拟网络功能和资源来实现。（3）虚拟化：虚拟化特性是实现网络切片的前提，运营商利用软件定义网络和网络功能虚拟化（Software Defined Network/Network Function Virtualization,SDN/NFV）技术在通用的物理基础设施上对网络中的计算、存储和通信资源以及所需的网络功能进行虚拟化之后才可以实现网络切片的创建。（4）通用统一平台：网络切片可以基于 SDN/NFV 的通用基础设施和通用服务器平台构建，实现低成本的同时保障高效运营。（5）网络复杂度低：在传统

34、网络中，网络功能之间的依赖性较强，每种通信业务都需要专用的设备，且各个设备之间存在功能重复和依赖，网络复杂度较高。而网络切片技术通过软硬件解耦，将网络功能虚拟化，保证了每个网络切片仅包含各自服务类型所需的网络功能，并且各个切片之间的功能互不影响，降低了网络的复杂度。-08-面向典型行业的云网边端智能协同与剪裁3.2.2 在云网边端协同中的应用对于网络切片应用，大规模数据适合在云数据中心进行集中处理，而部分小规模数据更适合在边缘计算中进行本地处理，处理结果可以上报到云数据中心，此时云边协同可以达到快速处理决策。因此，云计算和边缘计算相辅相成，网络切片可跨越不同的资源域（包括云和边缘），并在不同资

35、源域提供可用性保障。以电力网络切片为例，其网络切片结构将虚拟网络主控制器部署在云端，多个子控制器部署在边缘。主控制器管理整个网络，可以根据业务的实时需要创建网络切片来承载不同类型的网络服务，而子控制器接受网络主控制器的管理并控制本地网络（边缘网络）。虚拟网络控制中心通过在云端和边缘构建专用管理网络（物理管理平面），实现对网络设备的统一控制及云端与边缘资源的互联。部署在云端的网络主控制器模块和部署在边缘的网络子控制器构成虚拟网络控制结构。网络主控制器管理整个网络的网络策略和骨干网络配置，而网络子控制器管理网络边缘，接受网络主控制器的控制策略，并在边缘范围内管理网络策略。网络控制器对各种物理通信方

36、式进行统一管理，可以屏蔽底层传输网络的差异，为网络应用提供统一的虚拟网络接口，并充分利用底层物理网络的特点，将其创建为不同的网络切片，实现网络功能和资源的灵活调度与网络服务的按需定制。部署在云端的主控制器和边缘的子控制器通过网络控制协议进行信息交互。由于控制器类型的不同，网络控制器和受控网络设备之间使用不同的控制协议。网络主控制器管理整个网络的物理拓扑、路由、虚拟网络建设和转发规则发布等，并负责管理云端的网络虚拟化。此外，网络主控制器还管理所有子控制器，向每个子控制器发送网络控制策略，并与子控制器交换网络拓扑信息，形成全局网络拓扑。子控制器只管理其区域内的网络虚拟化，接受网络控制中心（主控制器

37、）的管理，并与网络控制中心交换其管理区域内的网络信息。网络切片云网边端协同管理无处不在的通信物联网，解决了当前通信网络面临的海量终端的灵活接入、安全和调度问题，以及各种垂直行业对网络服务质量的不同需求和现有网络的运维问题，为无线网络的发展提供了方便灵活的网络基础设施支持，具备诸多优势：（1）网络主控制器与多个子控制器相结合的分层网络控制管理架构，克服了单个控制器控制范围过大、管理效率低下以及云端与边缘协同控制的难题。（2）实现了分层次多区域的协同控制：网络主控制器管理和控制网络子控制器，并管理子域与外部网络之间的数据传输，而网络子控制器管理其网络子域中的数据传输。（3）通过多网络融合控制，并与

38、 5G 网络进行协调和控制，实现了多个物理网络的统一管理。-09-面向典型行业的云网边端智能协同与剪裁3.3 软件定义网络随着通信技术的飞速发展，应用多元化以及对业务的高冗余化需求，传统网络的弊端逐渐暴露出来。传统网络及其设备只能手动配置，无法编程，偏重静态，配置复杂，不易改动，且物理网络设备的功能无法充分利用。而软件定义网络（Software Defined Network，SDN）技术的出现解耦了数据平面与控制平面，并且提供了控制可编程特性，为未来网络提供了更灵活、更方便的解决方案。3.3.1 基本概述SDN 自诞生以来，便引发了全球学术界和产业界的极大关注和深入思考。SDN 起源于美国斯

39、坦福大学主导的Ethane 项目，该项目最早提出了 SDN 的定义和核心思想。随后，全球各大高校和产业界重量级企业纷纷对SDN 展开了如火如荼的研究。其中 SDN 最重要的标准化组织实属开放网络基金会组织（Open Networking Foundation，ONF），该组织是 2011 年初由 Google、Facebook、Yahoo 等企业联合成立的一个非营利性组织，集中精力于 SDN 的开发、标准化和商业化。ONF 给出的 SDN 定义如下：作为一种新兴的网络体系架构，SDN 将控制平面与数据平面解耦并支持网络可编程。SDN 具备其独特的搭建方式，图 3.2 所示为 ONF 组织提出的

40、 SDN 网络架构。该架构图包含应用平面、控制平面、数据平面和控制管理平面以及各个平面之间的接口。以下为各个平面的功能：（1）应用平面包含若干 SDN 应用程序，旨在满足用户需求，是用户最为关注的一部分。其通过开放的北向接口（Northbound Interface，NBI）与控制平面通信，以可编程的方式将用户的请求发送给控制平面的控制器。此外，这些应用程序也可以通过抽象、封装自身的应用逻辑对外提供更高级别的北向接口。（2）控制平面由 SDN 控制器构成，是 SDN 实现集中控制的关键组件。其位于数据平面与应用平面之间，一方面通过南向接口与数据平面交互，抽象底层基础设施的状态、事件等供上层应用

41、使用。另一方面通过 SDN北向接口将应用平面的请求发送至下层基础设施。在大型 SDN 网络中控制平面存在多个 SDN 控制器，这些控制器之间通过东西向接口通信，以便控制器间共享网络信息并协调其决策过程。（3）数据平面由若干交换设备（如交换机，路由器等）组成。这些交换设备不具备控制功能，主要负责两个任务，首先，收集网络状态信息，例如网络拓扑、流量统计等，将其发送至控制平面的控制器。其次，依据控制器下发的转发策略完成数据包的转发。-10-面向典型行业的云网边端智能协同与剪裁（4）控制管理平面负责承担配置基础设施层的交换设备、确定控制器的控制区域、签订服务等级协议等。在多数 SDN 架构中，控制管理

42、平面设计较少。面向典型行业的云网边端智能协同与剪裁图 3.2 SDN 架构图基于上述 SDN 的定义及架构，可以总结出 SDN 具有如下优势：（1）转发和控制分离：SDN 打破了传统网络中控制和转发紧密耦合的状态，将其分离，使其各司其职。由控制平面的控制器负责全局逻辑上的控制，从全局的视角对数据平面的交换设备进行统一管理；由数据平面的交换设备分布式地完成高性能的网络转发；（2）网络灵活可编程：SDN可编程性体现在很多方面，除了通过强大的编程接口赋予网络灵活可编程的能力外，基础设施层的交换机、控制层的控制器等都可以通过软件编程实现，使得用户可以灵活地进行功能拓展；（3）集中控制：SDN通过控制器

43、提供整个网络的集中控制，控制器利用可编程方式对所有的网络元素，如交换机、路由器等进行管理。该特点有助于依据网络流量的变化实时动态地调整转发策略，以增强整个网络的性能。-11-3.3.2 在云网边端协同中的应用随着云计算的兴起，传统数据中心的设备利用率低、维护费用高、管理部署复杂等诸多问题也逐渐凸显。面对这些问题，SDN 技术能很好解决大规模数据中心网络的集中管理、灵活组网、多路径转发、虚拟机灵活部署和智能迁移、虚拟多租户、IaaS 等方面的需求及挑战。云网协同的 SDN 网络架构设计，需要满足云内网络、云间互联和上云网络的需求，需要管理复杂的多域和异构的多个网络资源系统，实现云网业务的协同工作

44、和一站式管理服务。大型服务商的云网协同架构至少涵盖接入、骨干网和云中心等几个层面，这不仅涉及到整体架构的统一规划还涉及到多域技术整合。下面针对某一项目实例简要介绍 SDN 在云网协同中的应用。该项目实现了云网协同统一管理、协同工作，基于 SDN 技术重构网络基础架构，对接公有云和私有云资源，提供端到端的网络服务自动部署和调度（SDN 业务编排），为企业客户提供上云服务、跨云的连接（包括数据中心、公有云、私有云）和分支组网等多重场景，包括解决云计算落地“最后一公里”的问题。该架构采用大地云网 SDN 解决方案，如图 3.3 所示：下面就部署情况加以详细介绍：（1）SDN 编排和服务平台针对客户的

45、需求和服务流程，为客户提供多域的服务编排能力，对接公有云和混合云互联业务编排，L2/图 3.3 SDN 云网协同架构图（来源：https:/ 服务质量保障、路径规划和 VPN 租户安全管理，同时提供从边缘到骨干以及与各家云商对接的多域业务的统一北向 API 规范和 YANG 模型，实现异厂家控制器对接和解耦。大大简化了传统的客户业务系统需要调用多个网络域的烦恼，为客户业务提供云网协同能力奠定了基础。由于客户的业务需求、环境和流程比较复杂，项目基于大地Terra业务编排器并做了大量定制开发。同时在Terra业务编排协同层纳管SDN数据中心控制器，SD-Core 骨干网控制器和 SD-WAN 边缘

46、接入控制器。（2）云数据中心网络重点考虑以下几点：在云中心考虑云资源池的 VPC 网络与物理资源池 BM 网络部署了混合 Overlay 组网，包括 Openstack Neutron 联动。第二个是在不同的 POD 区采购了多厂商的网络设备，如何管理多厂商的VXLAN/EVPN 网络，为上层提供统一逻辑网络服务能力；第三个重点设计考虑 VPC 与外部网络尤其是骨干网的协同管理，实现 VPC 和边界路由器（GW/VBR）互通和统一纳管。项目基于大地云网 TerraDC 控制器实现上述功能，并增加 L4-L7 的 NFV 服务管理。（3）骨干网络重点考虑 L2VPN、L3VPN 业务的自动开通和

47、重要业务的 SLA 和流量工程设计。该服务商的骨干网采用以多协议标签交换（MPLS）/分段路由隧道（SRTE）为主骨干网路由器组网，通过虚拟专用网络（L2VPN/L3VPN）与云中心以及租户分支机构对接，同时客户利用 SRTE 实现不同业务的 SLA 质量保障，客户采用 SR+SDN 重构新一代的骨干网实现流量调度和管理。由于 PE 节点要延伸到数据中心和公有云，PE 和边界路由器（GW/VBR）互通以及和 SD-WAN 接入实现自动对接也是重点，上述功能基于大地云网 TerraCore 控制器实现。（4）边缘接入网在设计时重点考虑 SD-WAN POP 点组网设计和探测，多线 POP 节点设

48、计和组网以及 POP 点如何和骨干网的MPLS 整合为一体，接入侧 CPE 设备利用自动探测技术选择最佳的 POP 节点，还有一点与 MPLS 的整合组网要考虑如何防止路由的环路和倒灌，以及SD-WAN租户与MPLS租户的完美统一，解决MPLS最后一公里问题。这部分基于大地云网 TerraEdge 实现上述功能。新型云服务商追求资源逻辑管理和秒级响应，传统的运营商网络或传统网络模式已无法支撑业务的弹性和快速增长。云网协同和 SDN 技术的出现，将整个物理网络抽象并简化为“单一”逻辑网络资源池，并通过软件定义用户业务的自动化流程，实现多个系统联动、多个域网络联动，完成业务端到端快速自动部署。-1

49、3-部署在云端的网络主控制器和边缘云中的网络子控制器通过网络控制协议交换信息和控制。这些交换协议主要包括 OpenFlow 协议、边界网关协议（Border Gateway Protocol，BGP）、Netconf、简单网管协议（Simple Network Management Protocol，SNMP）等。该方案采用区域协同控制方式，每个子控制器管理一个边缘云区域网络，主控制器通过管理和协调每个子控制器来管理和控制整个网络。云边协同网络控制架构中融合 SDN 和 NFV 技术，解决现有网络设备对新技术支持不足的问题，并为新型网络业务发展提供便携灵活的网络基础设施支撑。3.4 人工智能3

50、.4.1 基本概述人工智能（Artificial Intelligence，AI）是由 McCarthy 于 1956 年在 Dartmouth 学会上正式提出；随后，在20 世纪 60 年代，感知机被提出；专家系统、知识工程于 20 世纪 70 年代开始出现。在接下来的十多年里，人在电力网切片云边协同研究中，云与边缘协同的电力网络切片技术方案被提出，采用网络控制器部署在中心云，子控制器部署在边缘的控制方式、SDN 和 NFV，根据需求对电力通信网络进行灵活切片。SDN 主要应用于网络切片控制体系中，如图 3.4 所示，在网络主控制器和网络子控制器中部署 SDN 控制器或NFV 管理控制器，并

51、在受控网络设备上部署 SDN 客户端或 NFV 代理。网络主控制器部署在中心云，网络子控制器部署在边缘云，以协调网络虚拟化和传输控制。-14-图 3.4 云边协同控制架构(W.Chuanjun,W.Hailin,C.Jinming and J.Hao,Research on Power Network Slicing Technology Based on Cloud-Edge Collaboration,2021 IEEE International Conference on Power Electronics,Computer Applications(ICPECA),2021,pp.7

52、43-753)面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-15-工智能进入了低谷期。直到 20 世纪 80 年代到中期开始，有关人工神经元网络的研究取得了突破性的进展并带领人工智能走进全新的发展领域。Rumelhart 于 1969 年提出了反向传播（back propagation-BP）学习算法，解决了多层人工神经元网络的学习问题，掀起了人工神经元网络的研究热潮。1985 年，Geoffrey Hinton 使用多个隐藏层来代替感知机中原先的单个特征层，并使用 BP 算法来计算网络参数。1989 年，Yann LeCun 使用深度神经网络识别信件中邮编的手写体

53、字符。从 1987 年开始，随着电脑性能不断提升，人工智能的硬件市场急剧萎缩，人工智能经历了第二次寒冬。直到2006年，Hinton提出了深度置信网络（Deep Belief Networks,DBN），其降低了学习隐藏层参数的难度，并且该算法的训练时间和网络的大小和深度近乎线性关系，其带领人工智能重新进入人们的视野。人工智能进入了新一轮的快速发展阶段，迎来了第三次浪潮。2010 年，美国国防部 DARPA 计划首次资助深度学习项目。2012 年，Hinton 将 ImageNet 图片分类问题的 Top5 错误率由 26%降低至 15%。2014 年，Google 将语言识别的精准度从 20

54、12 年的 84%提升到如今的 98%，移动端 Android 系统的语言识别正确率提高了 25%。人脸识别方面，Google 的人脸识别系统 FaceNet 在 LFW 上达到 99.63%的准确率。2016 年，DeepMind 使用了 1920 个 CPU 集群和 280 个 GPU 的深度学习围棋软件 AlphaGo 战胜人类围棋冠军李世石。2017 年 4 月，AlphaGo 向柯洁等中国棋手再下战书，人工智能进入快速发展阶段。图 3.5 人工智能发展史(来源：https:/ 年Minsky 首次提出“强化”和“强化学习”的概念和术语。1957 年，Bellman 提出了求解最优控制

55、问题以及最优控制问题的随机离散版本马尔可夫决策过程（Markov Decision Process，MDP）的动态规划方法。随后 Howard 提出了求解马尔可夫决策过程的策略迭代方法。自此强化学习进入了一段长达三十年左右的低谷期。直到 1989 年，Watkins 提出的 Q 学习进一步拓展了强化学习的应用和完备了强化学习。此后一段时间，强化学习被监督学习（supervised learning）的光芒所遮掩，直到 2013 年，DeepMind 发表了利用强化学习玩 Atari 游戏的论文，至此强化学习开始了新的十年。2015 年 10 月，由 Google DeepMind 公司开发的A

56、lphaGo 程序击败了人类高级选手樊麾。2016 年 3 月，透过自我对弈数以万计盘进行练习强化，AlphaGo 在-16-一场五番棋比赛中 4:1 击败顶尖职业棋手李世石。Master（AlphaGo 版本）于 2016 年 12 月开始出现于弈城围棋网和腾讯野狐围棋网，取得 60 连胜的成绩，以其空前的实力轰动了围棋界。在强化学习中采用神经网络的方法成功将强化学习和神经网络结合起来，开启了深度强化学习（Deep Reinforcement Learning，DRL）。深度强化学习在自动驾驶、控制论、推荐系统、智能电网、智能交通网络及网络流领域被广泛使用。随着 5G 网络的快速发展以及万物

57、互联时代的出现，数量激涨的网络边缘侧设备将会产生海量的边缘侧数据。由于用户终端设备的计算能力有限，因此常常需要利用云计算数据中心的模式对上述数据进行计算、通信及存储。然而，传统云计算模型在应对急剧增长的数据量时，存在着实时性、带宽以及数据隐私安全等多方面不足。针对云计算模型所面临的问题，边缘计算模型被提出并用来对用户终端产生的海量数据进行处理与计算。移动边缘计算（Mobile Edge Computing，MEC），即在网络边缘侧实现通信数据的传输及计算，其中，网络边缘即为云计算数据中心与用户终端之间的任意位置，其主要针对用户终端所传输的上行数据以及云中心处理所得到的下行数据进行处理。边缘侧利

58、用其优势逐渐引用并融合 AI 技术，令 AI 算法能够顺利在边缘侧运行，即边缘智能。虽然边缘智能可以赋能人工智能于边缘计算甚至终端设备，但其受限于计算、存储以及网络资源，仅能完成低数据量的计算，而且 5G 网络的发展，使得网络传输速率大大提高。因此，联合云计算、5G 网络以及边缘计算实现人工智能的应用显得非常有必要。3.4.2 机器学习在云网边端协同中的应用近二十年来，机器学习已广泛应用于数据挖掘、计算机视觉、自然语言处理、生物特征识别、搜索引擎、医学诊断、检测信用卡欺诈、证券市场分析、DNA 序列测序、语音和手写识别、战略游戏和机器人等领域。在学术界机图 3.6 强化学习发展过程（来源 ht

59、tps:/ 5G 网络、边缘计算以及云计算的发展，学术界开始将机器学习应用到云网边端协同中。同时，工业界也展开了机器学习在云网边端协同的落地。施耐德电气与亚马逊云科技合作，建立 AI 工业视觉检测平台，其由 Amazon SageMaker 机器学习及其他相关服务构建而成。该平台帮助施耐德电气实现了检测自动化和智能化，提升了产品质量和可靠性，并通过云边协同，实现了云端对边缘的统一管理，确保多边缘端能够同时完成模型迭代升级和管控。中国移动积极布局 AI 新基建，包括 AI 基础设施新基建、平台能力新基建、云网新基建三方面。构建云网边端协同的AI基础设施。中国移动的网络遍布全国各城市，建设中心云和

60、边缘云，通过云、网、边的融合，发挥云网融合和云边协同的优势，布局 AI 算力资源，打造“连接+计算”的泛在智能基础设施，建设海量数据资源体系。为了更好的实现机器学习在云网边端协同中的实现。国内外也开源了很多云边协同架构，比如华为发布的Sedna 是一个边云协同 AI 项目，Sedna 可以实现跨边云的协同训练和协同推理，如联合推理、增量学习、联邦学习、终身学习等。Sedna 支持目前广泛使用的 AI 框架，如 TensorFlow、Pytorch、PaddlePaddle、MindSpore 等，现有 AI 类应用可以无缝迁移到 Sedna，快速实现边云协同的训练和推理，可在降低成本、提升模型

61、性能、保护数据隐私等方面获得提升。图 3.7 Sedna 架构图Sedna 由以下组件构建：GlobalManager：其主要负责统一边云协同 AI 任务管理，跨边云协同管理与协同以及中心配置管理。LocalController：其主要负责边云协同 AI 任务的本地流程控制以及本地通用管理:模型，数据集，状态同步等。-18-Worker：其主要负责执行训练或推理任务，基于现有 AI 框架开发的训练/推理程序以及不同特性对应不同的 worker 组，worker 可部署在边上或云上，并进行协同。Lib：其主要面向 AI 开发者和应用开发者，暴露边云协同 AI 功能与应用。3.4.3 联邦学习在云

62、网边端协同中的应用联邦学习于 2016 被提出，其目的是为了保护用户数据隐私以及解决数据孤岛等问题。根据参与各方数据源分布的情况不同，联邦学习分为三类：横向联邦学习、纵向联邦学习、联邦迁移学习。联邦学习的侧重点是在多方数据不出库的情况下通过加密技术实现多方之间的数据传输与交互，从而实现联合建模，侧重于数据交流之间的安全性计算。联邦学习的提出引发了学术界和工业界的广泛关注。图 3.8 为联邦学习基本架构图，其主要由服务端和客户端两部分组成。客户端利用本地隐私数据进行模型训练，随后将其模型参数或梯度上传给服务端；服务端采用同步者异步方式等待客户端传送的参数，一般采用联邦平均方式聚合模型参数，并将聚

63、合后的参数重新发送给客户端，如此循环直到模型达相应精确度。联邦学习的一般设计包括在本地数据样本上训练本地模型，并在这些本地模型之间交换参数（例如，DNN 中的权重）以生成全局模型。联邦学习算法可以使用中央服务器来协调算法的各个步骤并用作参考时钟，或者它们可以是对等的，不存在中央服务器。联邦学习过程分为多轮，每轮包括四个步骤：第 1 步：本地训练所有本地服务器计算训练梯度或参数，并将本地训练的模型参数发送到中央服务器。第2步：模型聚合中央服务器对来自“n”个本地服务器的上传参数执行安全聚合，而无需学习任何本地信息。第 3 步：参数广播中央服务器将聚合参数广播到“n”个本地服务器。第 4 步：模型

64、更新所有本地服务器使用接收到的聚合参数更新各自的模型，并检查更新模型的性能。经过中央服务器与其关联的本地服务器间的多次本地训练和更新交换，实现全局最优学习模型。图 3.8 联邦学习架构面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-19-在工业界，华为和中兴等企业为了解决设备数据采集难、架构封闭和数据孤岛等问题，推出了基于云原生开放架构的云边协同解决方案。华为公司根据业务需求的不同划分了云边视频分析协同、云边应用集成协同、云边物联感知协同、云边容器集群协同等场景，并在德邦快递和数字中国等企业落地了云边协同的应用场景，这些应用场解决了带宽、能耗、通信效率等问题，并保证用

65、户隐私安全。微众银行的联邦学习开源框架 FATE 与腾讯云神盾沙箱携手，让解决隐私泄露问题成为了可能。一方面，神盾沙箱将推动公有云上现有数据资产方使用沙箱部署 FATE，帮助那些在己方行业维度上有数据优势的企业，在安全的基础上，更深入地挖掘数据的价值。另一方面，神盾数据沙箱也将借助 FATE 打造腾讯云上数字生态，助力对数据强依赖的企业、机构在隐私保护前提下进行 AI 应用落地。此外，在合作过程中，腾讯云神盾沙箱团队也进一步对 FATE 进行了完善。3.4.4 知识图谱在云网边端协同中的应用知识图谱（Knowledge Graph）是人工智能的重要分支技术，它在 2012 年由谷歌提出，是结构

66、化的语义知识库，用于以符号形式描述物理世界中的概念及其相互关系，其基本组成单位是“实体关系实体”三元组，以及实体及其相关属性值对，实体间通过关系相互联结，构成网状的知识结构。知识图谱的起源可以追溯至 1960 年，在人工智能的早起发展中，有两个主要的分支，也就是两派系，一个是符号派，注重模拟人的心智，研究如何用计算机符号表示人脑中的知识，以此模拟人的思考、推理过程；一个则是连接派，注重模拟人脑的生理结构，由此发展了人工神经网络。这个时候提出了 Semantic Networks，即语义网络，作为一种知识表示的方法，主要用于自然语言理解领域。1970 年，随着专家系统的提出和商业化发展，知识库（

67、Knowledge Base）构建和知识表示得到重视。专家系统的主要思想认为专家是基于脑中的知识来进行决策的，所以为了实现人工智能应该用计算机符号来表示这些知识，通过推理机来模仿人脑对知识进行处理。早期的专家系统常用的知识表示方法有基于框架的语言（Frame-based Languages）和产生式规则（Production Rules）。框架语言用来描述客观世界的类别、个体、属性等，多用于辅助自然语言理解；产生式规则主要用于描述逻辑结构，用于刻画过程性知识。1980 年，哲学概念“本体”（Ontology）被引入人工智能领域来刻画知识，我理解的本体大概可以说是知识的本体，一条知识的主体可以是

68、人，可以是物，可以是抽象的概念，本体就是这些知识的本体的统称。1989 年，Tim Berners-Lee 在欧洲高能物理研究中心发明了万维网，人们可以通过链接把自己的文档链入其中，在万维网概念的基础上，1998 年又提出了语义网（Semantic Web）的概念，与万维网不同的是，链入网络的不止是网页，还包括客观实际的实体（如人、机构、地点等）。2012 年谷歌发布了基于知识图谱的搜索引擎。-20-图 3.9 表示整个云网边端协同知识图谱工作流程。该框架分为设备，边缘和云。设备是图像采集终端，边缘处理场景图生成的相关任务，并且云处理场景图共享和深级信息提取的任务。每个边缘对应于多个设备，并且

69、由设备收集的图像数据上载到场景图生成的相应边缘。同时，相关设备可以订阅边缘生成的场景图数据，这可以解决多个设备之间的场景图分享问题。云对应于多个边缘终端，并且可以从所有边缘终端上载的场景图数据聚合更多一般知识图。在工业界，国内外一些公司也将知识图谱运用到其公司产品中。腾讯知识图谱是一个集成图数据库、图计算引擎和图可视化分析的一站式平台。在金融、安全、泛互联网、政府、企业等领域中，海量数据之间彼此关联产生了大量数据，这种复杂的关联关系数据隐藏着大量的业务信息和商业价值。腾讯知识图谱支持千亿级节点关系的存储和计算，实时响应节点搜索、多跳查询、最短路径分析等在线查询操作；支持 PageRank、社群

70、发现、相似度计算、模糊子图匹配等离线计算模型。支持高效的从异构数据中抽取融合实体和关系生成知识图谱；支持多种图结构布局和渲染等可视化方案。基于腾讯海量的社交和业务数据进行测试验证，为客户在各个场景的定制化需求提供一站式的解决方案。物联网终端设备，如医疗仪器、运输业车辆 GPS 等，可轻易且持续的产生 TB 级数据。腾讯知识图谱在物联网数据接入、管理、分析等方面，为客户提供从引擎级产品到行业知识落地的全套解决方案，原生图计算框架能帮助客户从这些数据中挖掘出其隐含的巨大价值。图 3.9 知识图谱工作流程（来源：https:/ieeexplore.ieee.org/stamp/stamp.jsp?t

71、p=&arnumber=9651576）面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-21-图 3.10 知识图谱应用于物联网场景图星环科技基于自主研发的分布式图数据库 StellarDB+知识图谱平台 Sophon KG，为银行等用户构建图谱平台，实现知识获取、图谱构建与存储、图谱更新迭代、图谱计算与分析等功能，并且通过星环平台的高可用和健壮性，可以满足客户高可用、资源管控、可视化效果、NLP 能力等的需求。星环科技图谱知识方案更稳健，性能更快，支持超大规模图，支持图谱的对比分析、可视化统计、时序分析、多种布局和样式的设置、3D 大图展示，支持 NLP 等。相比于

72、基于开源系统构建知识图谱平台，基于星环科技自研产品构建知识图谱平台具有明显优势：在图数据库方面，星环科技的平台不是基于开源组件，而是基于星环科技自研的分布式图数据库 Stellar DB，性能更好，比开源快 4-6 倍；可支持万亿边规模图数据存储，具备查询速度快、分析能力强、稳定性高的特点。在支持图算法方面，星环科技的 KG 与 StellarDB 平台支持的图算法丰富，内设金融场景 NLP 模型支持半自动化文本构图；而开源的方案支持的图算法需要手动开发，开发成本高，且不支持 NLP。在集群方面，星环科技的平台底层基于容器，资源管控更好，支持高可用；可以方便的进行资源共享；可以动态扩缩容。开源

73、项目资源隔离性一般，用户操作不当，可能造成整个集群宕机，不支持高可用；难以实现资源共享功能；无法动态扩缩容等。-22-图 3.11 星环知识图谱架构（来源：https:/marketing-1253207870.cos.ap- 云网边端协同面临的安全挑战当前整个网络攻击包括信息泄露、隐私安全给用户造成了极大的损失，未来以车联网、精密制造的云网边端协同业务为代表，对网络的安全和可靠性提出了相当高的要求。5G 引入切片、NFV（网络功能虚拟化，面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-23-Network Function Virtualization）、MEC 等

74、新技术以支持智能网络服务的定制，使得网络的形态、生态、商业模式、信任与风险关系呈现出更加动态与复杂的态势。集中编排与软件定义能力的运用，在为网络带来新的中心化特征的同时，也对安全性带来了新的挑战。此外，监管、安全的法律法规也提出了更加严苛的要求，所以安全问题面临更多挑战。4.1.1 缺乏安全可信的网络架构现有的 IP 网络未考虑网络安全可信的问题，缺乏基本的安全性设计，导致互联网的安全性通过业务层“补丁”方式进行防范，从而不断被动层叠局部安全技术，并未系统性地考虑面向全局应用的安全防护体系和机制，导致防护冗余、方案完整性缺失以及代价过大等缺陷。考虑到用户/终端行为的不确定性、威胁的泛在多变性，

75、现有网络防护模式以及安全能力难以满足新型面向服务网络的安全需求，不能适配网络多态化快速演进需求，严重制约未来网络的发展与应用。4.1.2 安全认证机制的不足未来 B5G/6G 网络中，车联网、远程医疗、工业网络、算力与网络融合等应用场景衍生了新型网络体系结构，具有泛在互联、万物互动等特点，对网络安全可信提出了更高要求。海量终端、泛在异构接入和多样化应用为地址假冒和 DDoS 攻击提供了有利条件，从而造成流量非法重定向、传输和应用资源不可用等问题。从身份管理的角度看，身份管理系统为通信端提供一切交互行为的信任根源，未来网络中异构化的应用场景使得通信端的身份分发和检验机制变得复杂，缺乏协同式或联盟

76、态的管理机制，同时，中心化的管理系统存在不可信或被攻击风险，从而导致严重的安全问题。4.1.3 隐私数据泄露风险大数据、云计算、互联网、社交网络及各种智能终端的普及使个人数据无处遁形，而自然人的天然弱势地位导致其难以掌控自身数据。在云网边端架构中，涉及的个人隐私数据安全风险如图 4.1 所示：-24-图 4.1 个人隐私数据安全风险示意图依据隐私保护原则，客户的隐私信息需要保密，也就是说没有权限的人不能查看，也无权传播。在必须要传播的某些数据中，如果携带了用户数据，则需要对用户数据做匿名化处理。个人隐私数据指可以直接或者间接关联到用户个人的信息，如已知用户号码，能反查到用户姓名，那么用户号码就

77、是个人隐私。这种关联比较直接，称为直接个人信息。某些信息需要绕几个圈才能关联到用户信息的，称为间接个人信息。所谓的匿名化就是，在任何有导出文件的地方，如果涉及到用户隐私相关的信息，做散列或者加密处理，保护数据安全。在终端、接入网和核心网的数据处理中，涉及的隐私数据泄露风险包括：数据收集：数据收集可能会造成信息泄露。数据传输：信令、数据在传输过程中可能会造成信息泄露；数据使用、存储、维护、销毁：信令、数据在虚拟网络中的处理、存储、维护可能造成信息泄露；数据对外提供：攻击者利用公用网络攻击业务系统获取用户信息，业务系统滥用、泄露用户信息。4.1.4 基础设施安全风险基站设备的基础设备包括部署环境、

78、硬件设备以及基站内部的软件版本、数据、文件等。对于部署环境和硬件，面临的安全威胁是损坏设备周围环境，如温度、烟雾等，或直接破坏设备的硬件。对于基站内的软件，面临的安全威胁是非授权登录基站、或普通账户登录基站后执行非授权访问，破坏基站的数据、文件，导致基站功能不可用。4.1.5 开源软件安全风险尽管开源软件是免费的、创新的、高效的，并且使得软件产品富有竞争力，但是它也必须按照资产进行管理，遵守许可证，必须像内部开发软件标准一样满足安全要求。需要意识到并理解与开源软件代码相关的安全漏洞面向典型行业的云网边端智能协同与剪裁会在产品中出现，所有开源软件已知的安全漏洞和在安全社区公布的安全漏洞必须在 H

79、PPD 研发过程中使用相同的威胁模型进行确认、评估及修复。开源设计选型时，需要充分考虑安全因素，包括编码安全、已披露安全漏洞修复等。识别出代码中用到的开源代码，对现有开源组件进行安全性检查（如黑鸭子安全漏洞扫描）。4.2 云网边端协同的安全框架典型的云网边端协同的网络架构如图 4.2 所示：典型的 ToB 行业应用混合专网场景，是指基站可以被 ToC 公网、ToB 专网共用，因客户业务本地处理需求，下沉部署园区专用UPF/MEC的本地分流网关，软件上通过切片方式隔离出专用资源，提供给ToB行业用户使用，切片在同小区进行切片的逻辑切分时，无线空口侧资源使用基于时、频、空域的资源调度方式隔离，互不

80、影响，不同切片的数据（DRB）承载映射到不同的PRB，各切片所需的PRB按频域或按照总资源百分比进行切分调度。典型面向行业应用的云网边端协同安全框架如图 4.3 所示：面向典型行业的云网边端智能协同与剪裁-25-图 4.2 云网边端协同的网络架构示意-26-图 4.3 云网边端协同安全框架4.2.1 基础安全软硬件解耦，NFV、SDN 的引入，使得原来私有、封闭的专用网络设备变成标准、开放的通用设备，也使得网络防护边界变得模糊。网络虚拟化、开放化使得网络更易遭受攻击，并且集中部署的网络将导致网络威胁传播速度更快，波及更广。由于网络功能实体共享基础设施资源，因此需要其提供资源的安全隔离技术来保障

81、上层5G 网络功能系统运行的安全性。可以通过虚拟隔离机制来实现资源隔离，让承载每个网络的功能实体无法突破虚拟机/容器管理给出的资源限制。虚拟化网络的安全防护还需要保证网络基础设施的可信，这一点对于非信任环境部署的基础设施，例如基站云化、边缘计算等来说更为重要。通过可信计算技术，在网络功能实体平台上植入了硬件可信根，以构建从计算环境、基础软件到应用及服务的信任链，并依托逐级完整性检查，来实现网络功能实体的软硬件环境的完整性保护。4.2.2 虚拟化安全5G 网络切片借助于网络虚拟化技术，在 5G 基础设施上细分出功能完整的逻辑网络，为垂直行业用户提供专用的、安全的、差异化的网络服务。区别于传统物理

82、专网的私有性与封闭性，5G 网络切片建立在开放环境下的虚拟化专用网络，为行业用户提供端到端的安全隔离机制和定制化的安全服务机制。5G 网络切片安全涵盖无线侧、承载侧和核心网侧，除了提供传统移动网络安全机制（例如接入认证、接入层和非接入层信令安全、数据的加密和完整性保护等），还提供网络切片之间端到端安全隔离机制，并根据用户需要提供定制化的安全服务。面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-27-4.2.3 数据安全用户数据在传输过程中存在被窃听、篡改、泄露等威胁。为降低 5G 应用中的数据安全风险，5G 提供了更强壮的数据安全保护方法。在机密性保护的密码算法方面，

83、5G 延用了 4G 所采用的 AES（高级加密标准 Advanced Encryption Standard）、SNOW3G（3GPP 流密码算法）、ZUC（祖冲之密码算法）等算法，这些算法采用 128 位密钥长度，被业界证明是安全的。同时，为应对将来量子计算可能对对称秘钥体系的影响，考虑采用更长的安全秘钥及更强的安全保护算法。为保护数据在网络间传输，5G 新增了安全边缘保护代理功能（Security Edge Protection Proxies：SEPP）。SEPP 在运营商之间建立 TLS 安全传输通道，对需要保护的信息进行机密性和完整性保护，有效防止数据在网间传输时被篡改或窃听。随着科

84、技的发展，伪基站对移动网络的危害越来越大，攻击者可诱导行业用户接入到伪基站以非法获取用户数据信息。5G 将对基站广播或者单播消息进行安全保护，行业用户在验证消息合法后再接入，避免接入到非法的伪基站造成数据泄露。此外，5G 针对行业应用中的数据产生、处理、使用等环节提供了完整的安全保护。在数据产生和处理过程中，可根据数据的敏感度进行分类，建立不同安全域间的加密传输链路；根据不同的安全级别采用差异化的数据安全技术；对数据使用方进行授权和验证，保证数据使用的目的和范围符合安全策略；并对重要业务数据的使用进行审计，最终为行业用户提供数据的机密性和完整性保护。4.2.4 应用安全针对工业互联网、物联网等

85、网络的海量终端、泛在连接、多样化应用带来的安全需求和问题，结合新型网络结构体系特征，自顶而下地在网络设计和构造中深度融入安全因子，以全系统为视角构建一体化内生安全可信防护体系。将安全需求与安全属性融入系统架构，使安全可以随系统变化自适应地调整，持续保障云网边端协同的安全。包括以下特征：（1）可信安全标识符命名体系可信安全标识符命名体系，全面涵盖用户、业务、网络等角色信息，结合多层面信任关联和传递机制，在保证网络网络参与者身份真实有效的同时，满足异构网络大规模开放互联场景中的可信互通需求。-28-（2）新型网络内生安全模型和架构支撑新型网络体系结构的立体化内生安全模型和架构，基于新型网络标识符命

86、名体系，通过可信身份管理、证明、授权、验证等技术，协同业务面、控制面、管理面多层级实现端到端流量安全传输能力。（3）异构通信、可信通信及零信任防御技术针对异构归属的全过程可信验证与转发机制，基于跨域身份管理、可信身份验证等技术，实现多方通信场景的网络流量全过程可信转发。端到端灵活的按需可信通信机制。从源主机、路由节点以及目标主机多角度设计身份可信方案，实现全系统的可信保障。结合用户、应用或场景需求，按需在不同节点对关键信息验证，以实现高性能轻量化的实时检验机制。针对网络云化安全边界模糊导致的内部威胁防护困难及被动应对的局面，提出了动态隐匿网络模型，基于移动目标防御、数字身份动态实时验证与最小授

87、权等技术，按需构造动态、隐匿的，且只允许合法的用户以最小权限访问的网络，动态变换攻击面，实现了对安全访问的精准、有序管理和对内部攻击的免疫。（4）高性能可信转发应用支持可信转发的高性能路由设备，满足新型网络标识符体系，支持基于可信标识的验证与转发。4.3 云网边端协同安全的关键技术4.3.1 网络安全接入标准移动通信网作为商业化的电信网络，在标准设计之初，就充分考虑了网络接入的移动性、可靠性和安全性，通过 SIM（用户识别卡，ubscriber Identity Module）USIM（全球用户识别卡，Universal Subscriber Identity Module）等身份标识、认证授

88、权、访问控制、信道与承载加密等方式，提供了良好的安全通信能力。5G 网络继承了 4G 的安全特性，并对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进行了优化。相对 WiFi、企业专网等非 3GPP 接入机制，5G 提供了更大范围的移动性，也为用户提供了更健壮的业务安全、更严密的数据保护及更强的用户隐私保护。5G 提供了基于统一认证框架的双向认证能力，使终端和网络都能够确认对方身份的合法性。这样不仅能避免非法用户接入，也能避免利用伪基站、伪热点进行诈骗或者窃取用户信息。面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-29-4.3.2 轻量级安全技术3GPP R

89、15/R16 的安全标准，重点研究 5G 系统安全架构和流程相关要求，包括安全框架、接入安全、用户数据的机密性和完整性保护、移动性和会话管理安全、用户身份的隐私保护以及与演进的分组系统（EPS）互通等相关内容。目前对安全技术的研究一般都偏高层，如传输层、网络层等，在物理层的研究较少，但 5G 的安全漏洞往往都是从物理层开始，例如 GSMA CVD-2019-0030 ReVoLTE attack 安全漏洞，虽然在 PDCP 层做了加密，但攻击者通过物理层监听，仍有被窃听信息的漏洞。因此，有必要从全面保障 5G 产品安全和业务演进的多维度风险分析，完善 5G 安全体系和开展关键技术研究。5G 物

90、理层安全主要面向 5G 通信系统所引入的新接入技术和新应用场景，从物理层的角度出发，重点分析适用于 5G 通信的物理层信息安全关键技术，构建 5G 通信系统物理层安全架构，并在此架构下进一步研究了信道估计、安全预编码、无线信道密钥生成等物理层安全关键技术。从而有效保护处于开放空间的空中接口，实现用户接入设备和接入网络之间的比特流安全传输。4.3.3 边缘计算安全多接入边缘计算技术（MEC）是使能 5G 业务多元化的核心技术之一。MEC 将服务能力和应用推进到网络边缘，部署位置更接近用户，从而减少对传输网的带宽压力，大幅降低网络时延，可满足车联网、工业互联网等低时延业务的需求。5G 网络通过用户

91、面功能（User Plane Function：UPF）下沉部署、灵活分流等功能，实现对 MEC 的支持。MEC 平台需要承载部分网络功能和垂直行业应用，如图 4.4 所示：图 4.4 网络功能和垂直行业示意图-30-由于部署的物理位置、网络边界和承载主体等方面的特殊性，使得行业客户在使用 MEC 提供的服务时，特别关注行业数据资产的安全：行业应用和网络功能共平台部署时，网络边界模糊，如果缺乏信任、隔离等机制，容易滋生平台内部威胁（虚拟机逃逸、镜像篡改、数据窃取等），增大了行业敏感数据资产泄露风险；为了提升业务体验，缩短业务时延，通常使用用户面传输功能下沉、行业服务接近用户部署、安全机制轻量化

92、等措施，可能导致资产数据在传输时面临被窃取或被篡改的风险。对此，需要从平台层、网络层和业务管理层等多个方面对 MEC 进行安全加固，确保行业数据资产传输、处理、存储过程中的安全。MEC 是一个多元系统，承载了移动通信网络功能、网络能力开放服务以及行业应用等多个系统，需要构建有效的信任关系，为多系统的安全共存提供信任基础。除了建立用户、行业应用及能力开放服务（如定位服务）之间的信任关系，还需要考虑构建移动终端、网络切片与 MEC 平台之间的信任。MEC 平台安全通过引入可信计算技术，从系统启动到上层应用，逐级验证，构建可信的 MEC 平台。平台内部也需要划分不同的功能域，如管理域、核心网域、基础

93、服务域等，加强域间隔离和访问控制。根据需要，可进一步部署入侵检测技术、异常流量分析、反 APT 技术等，对恶意软件、恶意攻击等行为进行检测，防止威胁横向扩展。MEC 节点位于网络边缘，处于运营商控制较弱的开放网络环境中，数据窃取、泄露的风险较高。为确保 MEC上运行和存储的行业客户数据资产安全，需要对使用 MEC 的各方的行为执行认证、授权、审计，对数据资产的所有权、使用权和运维权进行分权分域管理。在 MEC 部署及业务运行过程中，必须对 MEC 应用可能涉及的数据进行识别，包括用户标识、接入位置等，对安全要求高的数据需要采用加密方式存储；对行业高价值资产数据，应使用 IPSec/TLS（传输

94、层安全，Transport Layer Security）等安全传输方式，避免传输过程中数据泄露或被篡改。对数据处理、分析和使用，需要服从当地数据隐私规定，结合数据操作对象的认证、授权等方式规范数据处理，并记录操作过程；如果涉及数据隐私，在使用之前需要对数据进行脱敏处理。4.3.4 数据隐私保护用户数据在传输过程中存在被窃听、篡改、泄露等安全威胁。为降低 5G 行业应用中的数据安全风险，5G 提供了更强壮的数据安全保护方法。面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-31-在机密性保护的密码算法方面，5G 延用了 4G 所采用的 AES（高级加密标准 Advanc

95、ed Encryption Standard）、SNOW 3G（3GPP流密码算法）、ZUC（祖冲之密码算法）等算法，这些算法采用128位密钥长度，被业界证明是安全的。同时，为应对将来量子计算可能对对称秘钥体系的影响，考虑采用更长的安全秘钥及更强的安全保护算法。为保护数据在网络间传输，5G 新增了安全边缘保护代理功能（Security Edge Protection Proxies：SEPP）。SEPP 在运营商之间建立 TLS 安全传输通道，对需要保护的信息进行机密性和完整性保护，有效防止数据在网间传输时被篡改或窃听。随着科技的发展，伪基站对移动网络的危害越来越大，攻击者可诱导行业用户接入到

96、伪基站以非法获取用户数据信息。5G 将对基站广播或者单播消息进行安全保护，行业用户在验证消息合法后再接入，避免接入到非法的伪基站造成数据泄露。此外，5G 针对行业应用中的数据产生、处理、使用等环节提供了完整的安全保护。在数据产生和处理过程中，可根据数据的敏感度进行分类，建立不同安全域间的加密传输链路；根据不同的安全级别采用差异化的数据安全技术；对数据使用方进行授权和验证，保证数据使用的目的和范围符合安全策略；并对重要业务数据的使用进行审计，最终为行业用户提供数据的机密性和完整性保护。4.3.5 安全隔离5G 网络切片借助于网络虚拟化技术，在 5G 基础设施上细分出功能完整的逻辑网络，为垂直行业

97、用户提供专用的、安全的、差异化的网络服务。区别于传统物理专网的私有性与封闭性，网络切片建立在开放环境下的虚拟化专用网络，为行业用户提供端到端的安全隔离机制和定制化的安全服务机制。网络切片安全涵盖无线侧、承载侧和核心网侧，除了提供传统移动网络安全机制（例如接入认证、接入层和非接入层信令安全、数据的加密和完整性保护等），还需要提供网络切片之间端到端安全隔离机制，并根据用户需要提供定制化的安全服务。图 4.5 网络切片安全隔离机制-32-4.3.6 高级持续性威胁防御技术在众多威胁形式中，高级持续性威胁 APT 破坏性较大，APT 攻击旨在干扰基础设施运行及破坏其敏感信息，其攻击链分为侦查探测、渗透

98、利用、命令控制、横向移动、数据泄露破坏等。自 2010 年极光、震网攻击发生以来，针对重要基础设施攻击事件层出不穷，也是 5G 行业应用中面临的最大挑战。在已正式实施的网络安全等级保护 2.0 标准中，抗 APT 攻击技术被列为确保行业网络安全的必备测评项。为应对 APT 攻击对 5G 网络乃至其相关行业用户所带来的安全威胁，我们提出基于态势感知理念的高级威胁防御方案，围绕 APT 攻击过程，基于行为检测原理，从恶意软件和异常流量两个角度出发，提供全面、智能化检测机制，并将人工智能技术运用于威胁检测及事件关联分析，提升威胁检测准确率，预测威胁态势，使 5G及其行业应用网络具备高级威胁防御能力。

99、4.4 云网边端协同生命周期的安全管理4.4.1 产品开发过程安全安全嵌入的研发流程对交付高质量安全的产品至关重要。早在 2001 年，微软提出安全开发生命周期（SDL），该流程减少了软件中至少 50%的漏洞 13，大大提高了产品的安全性和开发效率，成为全世界众多公司软件开发流程的蓝本，并加以定制和发展。参考 SDL 的高效产品开发流程（HPPD）是中兴通讯研发领域共同遵循的流程，经过多年的发展，其成功借鉴了业界最佳实践，并在各个阶段融入安全管控措施。在该流程基础上，中兴通讯持续提升关键安全技术和研发安全成熟度，提高安全治理核心人员的专业能力。需求和设计安全需求来自不同国家监管、客户、以及技术

100、演进，中兴通讯将中长期安全需求纳入产品路标规划，短期安全需求纳入产品版本规划。我们通过威胁建模来分析安全需求。威胁建模是安全设计中的核心步骤，是一种分析和解决问题的结构化方法，用来识别和量化威胁，并确定应对措施的优先级以降低风险。其目的是在产品开发过程的早期阶段识别风险并进行控制。我们参考业界最佳实践，如 ITU-T X.805，微软 STRIDE/DREAD，新思 ARA 等模型，建立了适合通讯产品的系统威胁建模方法，以发现威胁，识别风险，输出针对威胁的应对措施。面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-33-公司发布产品安全设计技术标准和技术栈目录，引入威胁

101、建模工具，建立安全设计知识库，指导产品完成安全需求分析以及安全架构和特性安全设计。对社会各届关注的隐私保护和数据合规问题，中兴通讯遵循隐私保护设计理念，将治理动作前移，在需求阶段即纳入数据保护的需求，尽早发现数据保护合规风险，有效降低风险防控成本。开发和测试在开发测试阶段，采用的安全编码标准参考自业界通用指南，如计算机安全应急响应小组（CERT）系列安全编码规范、开放式 Web 应用程序安全项目（OWASP）开发指南、通用缺陷列表（CWE）、安全技术实施指南（STIG）。安全编码规范在持续优化，不安全函数被替换。代码需通过静态检查和自动化扫描，衡量代码的质量、可靠性、安全性、可维护性。工具扫描

102、出的缺陷采取看板化管理，监控缺陷闭环，通过控制门确保达成安全缺陷控制目标。在开发测试阶段，我们依据安全测试规程和测试方案，对产品进行代码扫描、漏洞扫描、协议健壮性测试、渗透测试、病毒扫描等安全类测试，充分验证包含个人数据保护等安全需求的实现并修复缺陷。发布和维护中兴通讯制定了一套严格的发布流程，要求产品必须经过安全测试和工具扫描，通过产品安全风险评估，确保遵从中兴通讯产品安全红线，且产品必须配备安全加固手册和工具方可发布。研发团队对现网已部署和使用中的产品制定持续的回归测试策略并执行测试，以判断新增漏洞是否影响现有版本，并且及时更新安全补丁或部署安全加固方案，确保现网产品安全风险得以消除或控制

103、。4.4.2 第三方组件安全对产品使用的包含开源的第三方组件实施，包括从引入到退出的全生命周期管理，并且嵌入了 HPPD 流程，由DevOps 工具链支撑。在第三方组件引入阶段，充分分析和验证其功能和性能，确保达成出口管制、数据保护、开源许可等合规要求，以及公司的产品安全红线要求。同时考虑第三方组件的可替代性及供应商承诺的产品生命周期，保证其与我们产品生命周期匹配，达成对客户的服务承诺。只有通过安全合规评估并确保经过认证的可靠来源的第三方组件才能进入公司的组件管理系统，开发人员通过审批之后才能获得这些软件的访问权限，选取第三方组件以供所需产品使用。-34-产品所选用的第三方组件须通过安全测试，

104、达成安全标准后才能随产品进行发布。在我们的产品生命周期内，一旦发现安全漏洞，不论发现人是客户、供应商、第三方还是我们自己，我们均会对该安全漏洞进行评估，提供解决方案或者规避措施，以及时消除风险。在产品生命周期内，当第三方软件因为功能、性能或安全性进行版本更新、引入补丁程序，或当第三方软件生命周期终止时，我们通过组件管理系统对第三方软件进行更新或宣布停用，以确保产品所使用的第三方软件是最新的。第三方软件的安全风险评估贯穿从组件选型、引入、测试、交付到维护的全过程，并纳入 HPPD 流程的节点管控，确保及时发现安全风险，快速评估并提供恰当的安全解决方案或规避措施。同时，我们将第三方软件作为产品配置

105、项纳入配置管理流程，以确保其使用可追溯。特别是当发现安全漏洞时，我们可以追踪其应用范围，彻底解决所有与第三方软件使用相关的问题。作为开源社区的积极贡献者，中兴通讯持续跟踪社区发布的漏洞，在使用漏洞修复方案的同时贡献安全漏洞修复方案。4.4.3 运维安全管理随着产品交付给客户，业务场景产生变化，新的安全风险也随之而来，需要采取适当的保护措施保证交付过程中产品和数据的完整性、机密性和可用性，实现端到端的安全。交付领域建立基于风险的交付安全治理体系，全面涵盖授权管理、安全部署、远程接入管理、网络数据保护、资产安全管理、事件响应、合作伙伴管理等模块，产品安全要求已全面融入开通、验收、移交和运维阶段，确

106、保交付行为安全可靠、网络设备安全运行，客户网络和数据得到有效的保护。此外，应定期进行模拟演练和抽查，确保人员安全意识和规范动作到位。授权管理在对客户的网络和数据进行操作前，如软件升级、安全加固、网络巡检，中兴通讯事先获取客户授权，并在约定的范围和时间段完成操作，操作过程记录在案，实施操作的人员可通过日志进行追溯。安全部署为确保软件的端到端安全部署，严格的流程和管理制度需落实：仅授权人员才能从支撑网站下载所需版本或补面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-35-丁，下载均有记录，且所有下载的软件会在升级前进行完整性检查和病毒检查。软件部署所需工具和软件均从指定官

107、方渠道获取，确保安全可信和知识产权合规。远程接入管理为确保高效安全的远程技术支持，中兴通讯在遵循所在地法律法规和客户授权的前提下，允许产品专家通过部署的全球一张网系统（Advanced Operations Suite，AOS）、安全隔离区远程访问客户网络，进行问题排查或业务支持等。对客户网络的所有远程操作均可事后审计，确保符合客户预期的授权。网络数据保护为保护网络数据的安全，中兴通讯要求接入客户网络的个人移动设备做好基本的安全防护，如安装系统重要补丁和防病毒软件，仅安装授权的、与业务目的有关以及无信息安全风险的软件等。个人移动设备如需临时存储网络数据，需在客户同意后按照数据的敏感性进行相应的

108、脱敏、加密等保护，并在遵循所在地法律法规的前提下，按照“最小范围”和“知所必需”原则进行传播。资产安全管理为确保客户网络设备的防护能力不会随着内外部威胁的变化而降低，中兴通讯基于合同要求定期对网络设备进行安全检查、加固和风险评估，践行对客户资产应尽的风险关注和处置义务。事件响应当客户网络出现安全问题时，现场工程师会立即上报至中兴通讯全球客户支持中心（GCSC）系统，并置上“产品安全”标签。安全问题会汇聚到产品安全事件响应团队（PSIRT），并根据其严重等级分发到对应的产品支持团队，确保在客户服务水平协议（SLA）约定的时间内得到有效解决。此外，中兴通讯定期进行重大灾害、网络攻击等突发事件的应急

109、演练，持续提升事件响应和处置的能力。4.4.4 安全事件管理由于威胁和脆弱性会发生改变，网的安全风险不能完全消除。当安全风险转变为安全事件时，需及时缓解，以减轻安全事件带来的不利影响。同时，消减漏洞能在很大程度上避免安全事件的发生，因此，任何已识别的产品漏洞信息应及时披露给客户，并提供漏洞处理方案。此外，安全事件响应和漏洞处理机制有赖于利益相关方协同、高效地分享信息并及时响应，以有效缓解安全风险。安全事件响应机制中兴通讯事件响应机制穿透了供应链、研发和工程服务领域，由专职团队 PSIRT 负责接收、处理和披露与中兴通讯产品和解决方案相关的安全漏洞。PSIRT 协同客户和利益相关方有效合作，快速

110、给出解决方案。对于安全事件和数据泄露建立分级响应机制，确保统一协作并快速修复，迅速恢复业务。安全事件处理采取预防、检测、纠正和恢复、事后反馈的闭环处理机制，一旦发生安全事件，PSIRT 迅速对事件进行分析，采取必要措施控制事态发展，直到业务彻底恢复。事件得到有效控制后进行复盘改进，防止类似事件再次发生。安全漏洞处理机制中兴通讯重视与安全组织协作，对内外部发现的漏洞，秉承公开透明的原则，结合客户及相关方的意见和要求进行负责任的披露，并提供规避措施以及解决方案。在客户实施解决方案之后，对方案的有效性进行监控，并根据反馈情况进行方案迭代，实现漏洞闭环管理。5.云网边端协同典型应用案例5.1 人脸识别

111、人脸识别是一种重要且可靠的身份识别技术。自生物特征识别技术提出以来，人脸识别技术即成为计算机视觉研究的重点。从广义上说，人脸识别就是通过摄像头采集图像信息，在此图像中检测出人脸，然后依照一定方法提取人脸特征，最后将人脸特征与计算机中储存的人脸特征进行比对，得到比对结果。从这个定义可以得知，人脸识别技术是借助计算机技术、人脸识别算法和摄像功能，完成对某一个体或某一人群的身份识别。5.1.1 场景概述作为一种基于人脸特征信息进行身份确认的技术，人脸识别近年来一直是人工智能、计算机视觉、心理学等领域的热门研究问题。类似用于身份识别的人体的其他生物特征，如指纹识别，人脸具备唯一性、一致性和高度不可复制

112、性，为身份识别提供了稳定的条件。人脸识别的应用日益广泛，例如用于刑事案件侦破、智慧交通、出入口控制、互联网服务等。人脸识别不同于传统的学科，它涉及到计算机视觉、心理学等诸多学科的理论方法，人脸识别技术的研究对相关人员知识体系的完备性提出了较高要求，具有丰富的研究意义。-36-面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-37-下面介绍人脸识别的几种典型应用场景：（1）公共安全领域公共安全领域是人脸识别技术从理论走向现实的起点，正是处于公共安全管理的实际需要，为了协助公安部门对管理区域和目标人员进行更好的布防与追踪，人脸识别技术才能够不断从理论走向实践，并且获得了大规

113、模应用的实际场景需求。公共安全领域的人脸识别具体应用场景包括：对出入境敏感人物进行甄别过滤；对公共场所可能存在的危险人物进行识别排查，以减少安全隐患；对持证人进行核对，如身份证、驾驶证，检验是否伪造：在机要部门门禁系统中对准入人员进行许可确认。随着社会不断发展，公共安全领域的人脸识别运用场景也在不断拓展，人脸识别技术对于公共安全管理具有重要价值。（2）信息金融安全现代市场经济发展对于金融体系的依赖度愈发提升，金融领域内长期关注的核心问题之一就在于金融信息安全。金融信息安全对于促进金融体系发展具有重要意义，但受限于金融信息安全保障技术手段的制约，金融信息安全长期停留在非生物特征识别的密钥识别技术

114、层面。人脸识别技术为信息金融安全提供了全新的解决方案，依靠人脸识别技术，金融信息可以在涉及金融信息验证的银行账户和电子商务的开启、数据文件的加密解密、计算机登陆环节采用人脸识别技术，对于强调安全性和便利性的商用化信息金融安全而言，人脸识别技术具有无可比拟的优越性。同时，由于信息金融安全对于识别和检验精确度的高要求，人脸识别技术在信息金融安全领域的推广运用也反向促进了该技术本身的突破，逐渐建立起规模化的应用能力来应对多场景需求，能够具备良好可复制性和推广性的人脸识别技术解决方案。（3）人机交互领域人机交互领域是一个较为笼统的领域分类，是根据人脸识别的应用模式得出的具体场景类别。具体而言，人机交互

115、是指识别对象与提供识别功能的机器设备进行交互验证，从而完成人脸识别。人机交互是目前人脸识别商用化的主要实现手段，包括刷脸支付、考勤打卡、人脸验证门禁系统、身份验证系统等等，都属于传统的人机交互领域内的人脸识别应用。人机交互一般是将具有人脸识别功能的集成模块事先植入到特定的机器系统中，依据该系统的设计功能导向进行人机交互式的人脸识别。5.1.2 性能需求分析人脸识别的性能需求包括准确率和实时性。准确率是衡量准确识别人脸信息的精度指标，通常来说，系统人脸识别准确率需要高达 99%，同时对有一定角度的侧面人脸也具有不错的识别效果；实时性表征的是系统身份识别快慢的指标，要求系统在至多1s内输出身份识别

116、结果。多数情况下，人脸识别的性能按照以下指标来评判。-38-（1）错误拒绝率（False Rejection Rate，FRR）FRR 是生物识别安全系统错误拒绝授权用户访问的可能性的度量。人脸识别系统 FRR 是错误拒绝次数与尝试识别次数的比值。（2）错误接受率（False Acceptance Rate，FAR）FAR 是生物识别安全系统错误接受未经授权用户访问的可能性的度量。系统的 FAR 表示为错误接受次数与尝试识别次数的比值，定义为“不同人的面部图像被错误匹配的概率”。（3）相等错误率（Equal Error Rate，EER）通过取 FAR 和 FRR 具有相同值的点，从收敛区域（

117、Region of Convergence，ROC）图中获得了 FAR 和 FRR相等的速率。EER 是一种比较具有不同 ROC 曲线的系统精度的方法，通常具有最低 EER 的系统最准确。（4）正确识别率（Correct Recognition Rate，CRR）CRR 测量匹配率和不匹配率的百分比，而不考虑 FAR 和 FRR。在匹配的情况下，它是正确匹配的数量与数据库中对象总数的比值；在不匹配的情况下，它是不匹配的数量与数据库中对象总数的比率。由上述指标可知，FRR、FAR、EER 的值越小，CRR 的值越大，系统的识别性能越好。5.1.3 对云网边端协同的潜在需求与应用面对多异地分布，多

118、网段划分和多系统交互的情况，目前已经有的人脸识别解决方案，大多是将人脸信息下发到终端，在终端获取人脸信息之后进行算法处理；或者是将终端获取的人脸信息传送到云端，在云端进行算法处理；还有使用云边端融合技术，在边端进行人脸数据处理，将获取的人脸信息返回到云端进行对比。这些方案都能实现人脸识别的功能，但实施起来都存在一些缺陷以待提升。终端人脸识别方案在于将人脸信息和相关数据存储在终端，这样会导致人脸信息的露，不能保证信息安全，而且 ARM 架构的终端设备性能有限，一旦人脸数量较多，比对的时间会大幅增大，导致体验不佳。在云端进行人脸识别具体是将在终端采集的人脸信息传回云端，在云端进行算法的处理比对和数

119、据的管理，而数据到云端的传输过程消耗大量的时间，同时算法处理和数据管理都放在云端进行，这会导致云端计算压力过大，处理速度过慢，耦合度高。如果在云网边端协同的基础上运行人脸识别算法，会有效降低网络传输压力和计算时延，实现本地分析、快速处理、实时响应，从而提升用户体验。基于云边端架构的人脸识别方法中，云边端架构包括依次通信连接的终端、边端和云端，终端与边端均安装在同一本地网段，云端安装在远程网段，方法包括通过终端实时采集人脸信息，对人脸信息进行质量检测和活体面向典型行业的云网边端智能协同与剪裁面向典型行业的云网边端智能协同与剪裁-39-检测，将检测通过的人脸信息推送给边端；在边端对终端推送的人脸信

120、息进行特征提取，然后和从云端传送至边端的人脸特征数据进行比对，获取比对结果；根据该对比结果控制终端的动作；云端对边端的对比结果进行管理和存储，并与边端进行数据交互。具体流程如图 5.1 所示。基于云边端架构的人脸识别方法利用云边端架构，通过终端进行人脸信息采集，在边端进行人脸信息对比，由处在同一本地网段的终端和边端进行数据计算，实现将计算前置，使数据就近完成处理，传输更加安全，数据处理更加及时；使用多个边缘节点来处理数据，响应速度更快，计算效率更高；在异地部署云端，统一将数据在云端管理，增加了数据的安全性。该方法具有减少了网络带宽的压力，提升了人脸识别效率和可靠性等优点。在城市安防工作中人脸识

121、别技术不可或缺。在云边端协同的计算模式以及视频人脸捕捉检测和识别能力不断提升的前提下，已建和新建的视频监控设备都可以被利用，实现城市中海量视频的人脸识别、比对布控能力，增加对城市视频图像的感知能力，在前端通过边缘计算实现布控比对报警，在边端实现人脸特征聚类分析，在云端实现大数据预警分析、城市人群态势感知等。人脸识别在云边协同系统中有效实现城市中海量人脸数据的采集和处理，达到人脸信息的精准识别。人脸识别是人工智能领域不断发展的产物，在智能家居、公共安全、智慧城市等领域应用广泛，人脸识别技术对图像处理速度、传输时延和用户数据的安全性有较高的要求，云网边端协同架构在一定程度上可以满足人脸图 5.1

122、云边端架构人脸识别流程图（来源：郭勇,潘怡,谢一菡.一种基于云边端架构的人脸识别方法和系统.）识别的性能需求，同时提高人脸识别的准确率，因此越来越多的人脸识别系统运行在云网边端协同架构中，以达到性能提升，精准识别的效果。5.2 自动驾驶自动驾驶是一种能够通过感知周围环境，在没有任何人为干预的情况下自行操作并执行必要功能的技术。有六个不同级别的自动化，随着级别的提高，无人驾驶汽车在操作控制方面的独立程度也会增加。Level 0，汽车无法控制其运行，人类驾驶员完成所有驾驶。Level 1，车辆的高级驾驶员辅助系统（Advanced Driver Assistance System，ADAS）能够通

123、过转向或加速和制动来支持驾驶员。Level 2，ADAS 可以在某些情况下监督转向、加速和制动，尽管人类驾驶员需要在整个旅程中继续完全注意驾驶环境，同时还要执行其余的必要任务。Level 3，高级驾驶系统（Advanced Driving System，ADS）可以在某些条件下执行所有部分的驾驶任务，但当 ADS 要求人类驾驶员重新获得控制权时，它必须能够重新获得控制权。在其余条件下，人类驾驶员执行必要的任务。Level 4，车辆的 ADS 在无需人工注意的特定条件下独立执行所有驾驶任务。Level 5，涉及完全自动化，车辆的 ADS 能够在所有条件下执行所有任务，无需人类驾驶员提供驾驶辅助。

124、这种完全自动化将通过 5G 技术的应用实现，这将使车辆不仅可以相互通信，还可以与交通信号灯、标牌甚至道路本身进行通信。面向典型行业的云网边端智能协同与剪裁-40-面向典型行业的云网边端智能协同与剪裁-41-图 5.2 自动驾驶等级（来源：https:/ 场景概述汽车自动驾驶具有“智慧”和“能力”两层含义。所谓“智慧”指汽车能够像人一样智能地感知、综合、判断、推理、决断和记忆；所谓“能力”指自动驾驶汽车能够确保“智慧”有效执行，可以实施主动控制，并能够进行人机交互与协同。自动驾驶是“智慧”和“能力”的有机结合，二者相辅相成，缺一不可。为了实现 L4 级或 L5 级的自动驾驶，仅仅实现单车的“智慧

125、”是不够的。需要通过车联网（Vehicle to Everything，V2X）实现车辆与道路以及交通数据的全面感知，获取比单车的内外部传感器更多的信息，增强对非视距范围内环境的感知，并通过高清 3D 动态地图实时共享自动驾驶的位置。例如在恶劣天气下，或在交叉路口、拐弯等场景下，雷达和摄像头无法清晰辨别前方障碍，通过 V2X 来获取道路、行车等实时数据，可以实现智能预测路况，避免意外事故的发生。随着 5G 网络、边缘计算与云计算的发展，自动驾驶通过 5G 网络将数据传输到更靠近用户的边缘计算平台，时延敏感性、计算稀疏性业务在边缘计算处理；而时延非敏感性、计算密集性业务可以由云计算处理；5G 网

126、络根据汽车的移动，自动实现数据流向的转移以及网络切片的划分以保证汽车运行时数据的稳定传输，保证车辆的安全驾驶。通过与5G技术的结合，实现了高宽带和低延时的网络通信能力，但是光是网络层面仍远远不够，目前运营商们都在建设更多的基站，甚至“微基站”来满足大量的终端的接入，由于汽车上可能有大量的感知设备，因此在边缘网络中，“多接入”和“低延迟”成为了无人驾驶场景中的关键特性。面向典型行业的云网边端智能协同与剪裁-42-多接入：自动驾驶需要的传感器系统主要有三种类型：摄像头、雷达和激光雷达，摄像头具有分辨颜色（识别指示牌和路标）的优势，易受恶劣天气环境和光线的影响，但雷达在测距、穿透雨雾等有优势，两者互

127、补融合可作出更精确、更可靠的评估和判断。在接入层有大量的终端接入，每个终端或者每辆车需要一个 IP，在路段拥堵的情况下，可能存在大量的 IP 需求，那么 IPv6 的需求会增强。低延迟：5G 核心网控制面与数据面相互分离，NFV 令网络部署更加灵活，从而使能分布式的边缘计算部署。边缘计算将更多的数据计算和存储从“核心”下沉到“边缘”，部署于接近数据源的地方，一些数据不必经过网络到达云端，从而降低时延和网络负荷，提升了数据安全性和隐私性。这对于时延要求极高、数据处理和存储量极大的自动驾驶领域而言，重要性不言而喻。未来对于靠近车辆的移动通信设备，如基站、路边单元等或均将部署车联网的边缘计算，来完成

128、本地端的数据处理、加密和决策，并提供实时、高可靠的通信能力。图 5.3 具体描述了未来无人驾驶的场景，通过大型的基站，覆盖一部分路段，并提供大量的计算、存储能力，在基站附近建设边缘云，连接路边的其他基础设施，如红绿灯、路灯、摄像头，并连接路面上行驶的车辆。边缘计算云提供了基础设施服务，而上层的自动驾驶的软件应用将根据边缘计算采集的数据，进行智能分析，并快速地为汽车提供准确、安全的操作指令。5.2.2 性能分析自动驾驶是通过自动驾驶系统，部分或完全的代替人类驾驶员，安全地驾驶汽车。汽车自动驾驶系统是一个涵盖了多个功能模块和多种技术的复杂软硬件结合的系统。在机器学习、大数据和人工智能技术大规模崛起

129、之前，图 5.3 无人驾驶场景面向典型行业的云网边端智能协同与剪裁-43-自动驾驶系统和其他的机器人系统类似，整体解决方案基本依赖于传统的优化技术。随着人工智能和机器学习在计算机视觉、自然语言处理以及智能决策领域获得重大突破，学术和工业界也逐步开始在无人车系统的各个模块中进行基于人工智能和机器学习的探索。而无人驾驶系统作为代替人类驾驶的解决方案，其设计思路和解决方法背后都蕴含了很多对人类驾驶习惯和行为的理解。现在，无人驾驶已经成为最具前景的应用之一。自动驾驶是一个系统性的复杂工作，一般是在传统汽车上进行加装来构建整个系统。自动驾驶硬件系统包含五部分：感知模块、自动驾驶计算机、供电模块、信号通信

130、模块、执行和制动模块。因此自动驾驶主要分析交通环境感知、车载芯片以及高精度定位性能。（1）环境感知：感知模块可以代替传统驾驶汽车中驾驶员的眼睛和耳朵，并学习其驾驶经验。通常由摄像头、激光雷达、毫米波雷达和GNSS/IMU组成。摄像头相当于人类驾驶员的眼睛，主要用于获取图像信息，可用于识别行人、车、树、红绿灯、交通标志等物体，以便进行定位。相比之下，激光雷达通过接收的反射数据，可以获取更加丰富而准确的信息，如目标距离、方位、高度、速度、姿态、甚至形状等参数，从而对目标进行探测、跟踪和识别以及更加准确的定位，其三维测距原理是通过测量激光信号的时间差、相位差确定距离，通过水平旋转扫描测角度，并根据这

131、两个数据建立二维的极坐标系，再通过获取不同俯仰角度的信号获得第三维的高度信息。毫米波雷达工作频率为一般为 24GHz 和 77GHz，通过获取反射数据，可用于识别障碍物和测距。与其他主流雷达相比，毫米波雷达性能更佳，不受目标物体形状颜色和大气紊流的影响，具有很好的稳定的探测性能，环境适应性好。对于日常驾驶可能遇到的恶劣天气有很好的容错性，受天气和外界环境的变化的影响小，在实际应用中，对于雨雪天气、灰尘、阳光都有很强的适应。而且多普勒频移大，测量相对速度的精度提高，很适合自动驾驶高精度定位、识别等功能，对自动驾驶的工程应用有很大的促进作用。GNSS/IMU组合则用于实时获取全局位置信息。当前，所

132、有感知问题的关键仍然是神经网络算法，对于域控制器处理过程能力来说，其需要重点考虑计算精度、实时性、算力利用率等，这是确保物体不被漏检或误检的前提。其中由于感知硬件设备中输入的超大分辨率图像问题，涉及单目或多目摄像头对感知输入的处理问题都是需要重点关注的。此类感知任务的难点或者优化方向核心主要在于如下几个方向：如何处理高分辨的输入 如何提高密集小目标检测 如何解决类多目标重叠问题 如何利用少量的训练数据解决目标多样性问题 如何利用单目摄像头进行目标位置的精确估计面向典型行业的云网边端智能协同与剪裁-44-（2）车载芯片自动驾驶计算负责进行自动驾驶相关的数据处理，一般包含五部分：CPU、GPU、内

133、存、硬盘存储空间和硬件接口。目前还有专门用于加速计算的专用处理器。根据汽车智能化的分级标准，L2 级自动驾驶需要的计算力100TOPS，L5 需要的算力目前未有明确定义（有预测需要至少 1000TOPS），自动驾驶等级每增加一级，算力需求增长一个数量级。如果考虑功能安全的冗余备份，算力需求还要翻倍。根据行业推算，全自动驾驶时代，每辆汽车每天产生的数据量高达 4000GB。随着高级别智能驾驶的到来，智能汽车需要处理大量的图片/视频等非结构化数据，仅依靠传统 MCU 芯片不能满足运算需求，具备 AI 能力的主控芯片成为主流，汽车主控芯片结构形式也由 MCU 向 SOC 异构芯片方向发展。而各大自动

134、驾驶汽车厂家也发布了自己的解决方案。地平线宣布第三代车规级产品征程 5 芯片流片成功，该芯片主打高算力低功耗，面向 L4 高等级自动驾驶的大算力需求。征程 5 系列芯片算力最高 128TOPS（另有说法为 96TOPS），同时支持 16 路摄像头感知计算。地平线基于自身强大的芯片能力，可提供全系列自动驾驶解决方案。包括 Horizon Matrix Mono 辅助驾驶解决方案、Horizon Matrix Pilot 领航驾驶解决方案，以及 Horizon Matrix FSD 全自动驾驶解决方案，面对不同的应用场景提供相应的算力。特斯拉 FSD 计算平台横空出世，以 144 TOPS 算力的

135、全自动驾驶双冗余（单芯片算力为 72 TOPS）引领车载芯片市场，重新定义智能汽车时代核心技术，也标志着特斯拉正式步入 HW3.0 时代。英伟达目前旗下有 Xavier、Orin 和 Altan 三款自动驾驶芯片。Xavier 芯片算力 30TOPS，支持 L2-L3；Orin单颗芯片算力 200TOPS，支持 L3-L4，目前还未量产；Altan 单颗芯片算力达到了 1000TOPS，支持 L4-L5。图 5.4 FSD 芯片内部简单架构图（来源：https:/ 是通过多个芯片组成的一整套自动驾驶解决方案，在集成度上存在不足，但 Mobileye 的自动驾驶组合更加自由，从而提供给客户更多的

136、解决方案。EyeQ3 和 EyeQ4 是目前 Mobileye 在市场上的主流产品。EyeQ3 发布于 2014 年，主要负责视觉处理；EyeQ4 芯片算力为 2.5 TOPS，最高支持 L3 级自动驾驶。而性能更强大的 EyeQ5 芯片，算力达到了 24 TOPS。高通推出了 Snapdragon Ride 自动驾驶解决方案，可以为 L1/L2、L2+/L3、L4 等不同等级的自动驾驶系统提供不同的 SoC。面向 L1/L2 级自动驾驶，配备单个高通骁龙ADAS 应用处理器；面向 L2+/L3 级自动驾驶，可以采用算力达到 30 TOPS 等级单颗 SoC，如果是 L4/L5 级自动驾驶，则

137、可以采用多颗 SoC，算力超过 700 TOPS，功耗为 130W 的设备。华为在自研芯片领域的技术底蕴大家也都有所了解。自动驾驶领域，华为自主研发的 MDC 810 是面对 L4-L5 级自动驾驶推出的高算力自动驾驶SOC芯片，支持400TOPS/800TOPS两档算力。2019年，黑芝麻发布了旗下第一颗芯片华山一号（A500）。2020 年 6 月，黑芝麻智能推出了第二款自动驾驶计算芯片华山二号 A1000，这是针对 L3、L4 智能自动驾驶级别而设计的芯片，单芯片算力高达 70TOPS。（3）高精度定位：高精度定位可以按照不同的定位技术分为三类：第一类，基于信号的定位，如 GNSS（全球

138、导航卫星系统）定位。第二类，依靠 IMU（惯性测量单元）等进行航迹推算，根据上一时刻的位置和方位推断现在的位置和方位。第三类，环境特征匹配，基于激光雷达的定位，用观测到的特征与数据库及存储的特征进行匹配，得到车的位置和姿态。图 5.5 自动驾驶芯片（来源：https:/ 和 4G/5G 通常用于室外定位，UWB 用于室内定位。通过结合不同的定位技术，5G 与车身传感器融合（雷达，摄像头，激光雷达和地图相结合）是人口稠密地区 L4/L5 自动驾驶的两种最佳解决方案。然而，卫星定位更适用于人口稀少的地方，因为它不适合大规模建设 5G 基站。具有米级定位精度的 GNSS 远远不能实现自动驾驶。厘米级

139、卫星定位需要校正由电离层引起的 GNSS 定位误差，这通常通过实时动态（RTK）来完成，RTK 是从传统的 1+1 或 1+2 系统演变为广域差分系统的技术。在一些城市建立的连续运行参考站（CORS）可以显着改善了 RTK 测量范围。5.2.3 对云网边端协同的潜在需求与应用随着自动驾驶中各种传感器的加入，车辆会产生海量数据，车载计算机的性能始终有限，所以需要将一些数据上传到云计算平台中。但云计算与车辆的距离远，因此车辆不能将所有的任务都卸载到云端；随着 5G 网络和边缘计算的发展，车辆接入 5G 网络，可以快速稳定的将数据传输到边缘计算以及云计算平台中。因此，自动驾驶未来将依赖云计算、边缘计

140、算和 5G 网络达到更高级别。自动驾驶将何种任务卸载到边缘计算、何种任务卸载到云计算平台中，5G网络如何保证自动驾驶数据传输的时延以及安全性，是目前亟需考虑的问题。另外，自动驾驶汽车中的各种传感器也可以通过 5G 网络接入云计算以及边缘计算平台，将云计算、边缘计算、5G 网络以及终端设备协同起来，以实现更好的自动驾驶。图 5.6 GNSS 定位（来源：https:/ MEC 平台构筑在边缘机房，通过蜂窝通信模式，提供小区级微观交通服务。区域 MEC 平台部署在边缘MEC 平台之上，可与一个或多个边缘 MEC 平台联动，提供大区级宏观交通服务，实现更上层、更全局的用户管理、数据汇聚和业务调度。中

141、心平台构筑于区域 MEC 平台之上，作为业务应用顶层，提供广域级宏观交通服务。在纵向维度上可按照“业务面”与“管理面”进行分解，在业务面上，各层级平台联合承载自动驾驶综合数据底座、车路协同事件与消息服务等业务类功能，支撑车路协同辅助/自动驾驶应用、公共交通出行、交通管理管制等服务。在管理面上，各层级平台协同负责路侧基础设施运维管理、车联网用户管理、平台安全管理等管理类功能，为产业可持续化运营提供基础支撑。平台的业务面与管理面联动配合，支撑实现车路协同场景。5.3 物联网5.3.1 场景概述物联网（IoT，Internet of things）即“万物互联的网络”，是在互联网基础上的延伸和扩展，

142、它可以将各种信息传感设备结合起来形成一个巨大网络，实现任何时间、任何地点，人、机、物的互联互通。面向典型行业的云网边端智能协同与剪裁-47-图 5.7 描述了云网边端协同下的自动驾驶整体架构。其中自动驾驶车辆通过自身的传感器与周围环境进行交互，以掌握交通环境信息。为了保证数据的实时性，车辆可以将时延敏感型任务直接在本地计算以及通过 5G 网络的 UPF 将任务发布到边缘计算平台中。边缘计算接受到车辆发布的任务以后，通过本地计算完成相应的任务再回传给车辆。车辆中一些常见的日志信息，如果全部保存到本地，会消耗大量的存储资源。因此可以将大部分常见的日志信息传输到云计算平台中，让云计算保存。由于云计算

143、具有海量的存储资源以及强大的计算资源，一方面可以满足数据存储功能；另一方面也可以借助强算力进行数据的挖掘进一步的实现智能算法的更新迭代。图 5.7 云网边端协同下的自动驾驶面向典型行业的云网边端智能协同与剪裁-48-传统的物联网架构分为感知层、网络层和应用层。感知层由各种各样的传感器设备组成，负责收集环境中产生的各种各样的数据；网络层由各种异构网络以及边缘和云平台组成，负责处理由环境产生的各种各样的数据；应用层主要实现物联网 场景下的一些智能应用。随着物联网技术的进一步发展，越来越多的物联网设备将会接入网络，预计到 2025 年全球物联网设备联网数量将达到 252 亿个，同时智慧工业、智慧交通

144、、智慧健康等领域的发展，对物联网设备的需求量也会进一步提升。由于物联网业务的进一步延伸以及终端数据量的爆炸式增长，对网络的各方面的性能提出了更高的要求。随着物联网设备的普及，海量的数据需要计算能力更加强大的物联网架构实现实时的处理；同时，物联网技术不断发展，基于物联网的应用广泛应用于智能交通、智能电网、智慧农业以及智慧家庭等领域。许多特殊的应用场景，比如自动驾驶，对数据处理的实时性要求很高，需要网络提供极低延时。传统的基于云计算的网络架构已无法支撑物联网应用的进一步发展。因此，需要一种边缘计算驱动的物联网架构，能够在满足物联网海量设备接入的同时提供低时延以及高计算能力。5.3.2 性能需求分析

145、在物联网应用场景下，对无线网络的能力提出了新的要求，主要体现在一下四个方面：（1）对于高可靠低延时的服务，端到端的延时要小于 1ms 并且可靠性要高于 99.999%；（2）对于大规模物联网应用，无线网络的承载能力要达到每平方公里能接入 100 万个设备；（3）对于移动宽带应用，用户的数据速率要大于 50Mb/s;（4）终端应用产生的数据应该受到保护，以免出现恶意用户对数据发起攻击，同时由于边缘计算节点计算能力的有限性，轻量级的加密方案应该被采用。5.3.3 对云网边端协同的潜在需求物联网面临的新需求对云网边端协同架构提出了新的挑战。云计算虽然为数据处理提供了强大的计算能力，但是网络带宽的增长

146、速度远远落后于物联网设备产生数据的增长速度，因此云计算的数据处理模型已经难以满足物联网行业对于数据处理的实时安全等性能需求。边缘计算作为云计算的补充，可以为物联网应用提供海量存储、强大算力以及极低延时，从而满足物联网应用对于实时性、隐私保护以及降低能耗的需求。除了云计算和边缘计算，物联网应用的发展也促使蜂网络技术的演进。首先，软件定义的无线传感器网络将成为未来物联网的使能技术之一，部署蜂窝技术的传统方法通常是基于硬件的。硬件部署限制了网络扩展的可扩面向典型行业的云网边端智能协同与剪裁-49-展性。因此，软件定义的无线传感器网络是一种很有前途的范式，来客服网络扩展的限制性。软件定义的无线传感器网

147、络是软件定义网络和无线传感器网络的混合。软件定义网络应用于数据中心（有线通信网络）和互联网连接。目前，它被设想为 5G 技术的推动者。最初使用软件定义网络部署 5G 网络的主要目的是将控制逻辑平面从网络设备中分散出来，并提供对整个网络进行编程的集中机制。由于大量连接设备的需求不断增加，需要像软件定义网络这样的集中式软件模式来满足服务质量一致性的需求。软件定义网络将简化网络管理问题，如链路/节点下线问题、资源分配和部署新的链路/节点等。不同的 SDN 解决方案有 Soft Air、Cloud RAN 和CONTENT。因此，它被视为未来下一代 5G 物联网技术发展的关键推动者。其次是网络功能虚拟

148、化。虚拟网络功能可以被实现为软件包，这些软件包可以用于提供网络服务需求。网络功能虚拟化的概念源于对虚拟机的理解，虚拟机可以安装在同一台服务器的不同操作系统上。由于网络虚拟化概念支持网络可伸缩性机制、分布式云上的网络切片、实时处理能力（在切片网络中优化速度和容量），并维护其异构性，这是基于物联网的 5G 的重要特性和要求之一，因此网络功能虚拟化是成功部署 5G 物联网的有希望的候选者。不仅如此，网络功能虚拟化还能节约能源和成本，从而减少资本和运营支出。最后是认知无线电，物联网的大规模应用导致了网络资源的过载，并且导致频谱资源越来越稀缺。因此在物联网应用中需要一种有效且智能的频谱使用方式来满足日益

149、增长的需求，认知无线电以一种机会主义的方式使用/共享频谱资源，巧妙地解决了而这个问题。认知无线电可根据其工作环境的相互作用调整其发射机参数，其通用架构由射频前端和基带处理器组成。为了适应时变的射频环境，各组件都附加了控制总线。认知无线电与传统无线电的不同之处在于认知无线电的射频前端由宽带天线、功率放大器和自适应滤波器组成。射频前端的这些特性使其具有宽带传感能力。由于认知无线电旨在适应无线电环境的需求，因此它遵循频谱感知、频谱分析和频谱决策三个基本步骤。首先，认知无线电感知主要用户的喜好、流量的变化以及用户的移动，这些可以通过认知无线电的发射机检测、协作检测和基于干扰的检测等各种技术实现；然后对

150、频谱的特性进行了估计和分析，包括干扰、路径损耗、无线链路误差、链路层延迟和保持时间等参数；最后，通过以上操作，认知无线电决定传输的合适的传输速率，带宽和传输模式。这些特征使得认知无线电成为物联网应用成功部署的有效候选技术之一。5.4 音视频服务5.4.1 场景概述随着现代通信技术和业务的发展，人们对通信已经由最初的单一语音需求转变为对视频和音频的通信需求，以传送语音、数据、视频为一体的音视频通信业务成为通信领域发展的热点，并在会议电视、远程视频医疗、远程视频教育等方面得到越来越广泛的应用。音视频通信业务种类繁多，包括会议电视、视频电话、远程视频教育、远程视频医疗、互动电视以及远程视频购物等。从

151、当前发展趋势看，音视频业务的发展主要呈现出以下趋势：（1）越来越注重服务质量。先前的视频会议、视频监控、视频点播等的图像质量由于受到网络带宽等方面的限制，不能提供令人满意的图像质量。现在，随着人们对音视频通信服务的依赖性越来越大，对它的服务质量要求也越来越高。（2）融合应用越来越多。固定与无线的融合、电信与广电融合、网络的 IP 化等使得 IP 电视、宽带电视、手机电视等新型音视频通信业务越来越多。（3）个人音视频应用越来越广泛。在音视频通信初期，由于价格昂贵等因素的影响，基本上都是在教育、医疗、金融、政府和企业等范围内应用。现在，随着技术不断进步、业务模式的不断拓展以及人们消费观念转变等方面

152、的影响，音视频服务正在逐渐走向大众化，向个人应用倾斜，视频电话、视频聊天、视频博客、IP 电视等正在吸引越来越多的用户。5.4.2 性能需求分析常见的音视频业务在网络性能方面具备如下需求：（1）在吞吐量方面，音视频业务通常需传输大量的数据，特别是高清、超清视频等，对吞吐量提出了较高的要求，一般的吞吐量在 100Mbps 以上。（2）在延迟方面，诸多音视频业务对时延要求比较敏感，如沉浸式虚拟现实业务，通常需要延迟在150ms以下。（3）在算力方面，一些音视频业务涉及到对音视频数据进行转码或渲染，对算力方面具有较高的要求，如虚拟缓存解码，虚拟现实和增强现实的渲染，对算力的要求在 10 CPU cy

153、cle/s 以上。面向典型行业的云网边端智能协同与剪裁-50-8面向典型行业的云网边端智能协同与剪裁-51-5.4.3 对云网边端协同的潜在需求与应用云网边端协同对音视频业务的服务质量带来了巨大的提升。例如，边缘设备（如数据基站）具备强大的存储能力，可将其服务范围内所有用户频繁请求的音视频文件进行缓存，当有用户请求到达且请求的音视频文件已缓存在边缘，则边缘设备无需到云端请求，直接将文件发送至请求的用户，节约了承载网的通信资源。目前诸多终端设备也具备存储能力，对于单个用户频繁请求而其他用户请求较少的音视频文件，可将其存储至终端设备，用户需要时无需向基站和云端发送请求，大大节省了承载网和接入网的通

154、信资源，减少了数据量的传输，降低了网络拥塞和通信延迟。由此可见，通过网络边缘和终端的存储资源与承载网和接入网的通信资源相互协同，可提高资源利用率和用户音视频服务的体验，改善网络的多方面性能。同时，随着边缘计算的迅速发展，边缘设备强大的计算能力能够与边缘缓存相互协作、相互补充可改善网络性能。对于用户频繁请求的音视频文件，可物理缓存到边缘设备，当用户请求达到时可直接通过接入网发送给用户。对于用户请求较少的文件，可将压缩的音视频元文件在边缘，即虚拟缓存。由于其尺寸相较于未压缩的文件要小很多，因此其占用的存储空间可忽略不计。当用户请求虚拟缓存的音视频文件时，被压缩的音视频元文件可经过处理，转码为相应的

155、音视频文件在传输给用户。这一过程消耗了边缘设备的计算资源，节约了边缘设备的存储资源和承载网的通信资源的消耗，用户的音视频服务请求同样无需发送至云端即可得到相应的音视频文件。虚拟缓存的引入进一步降低了传输时延，提高了用户的服务体验。图 5.8 虚拟缓存示意图5.5 智慧交通5.5.1 场景概述根据“智研咨询”的研究报告，截止至2021年12月，中国机动车保有量达3.95亿辆，较2020年增加了0.23亿辆，同比增长 6.18%；对于轨道交通而言，截止 2021 年底，中国开通轨道交通运营线路 269 条，较 2020 年增长36 条，增长率为 15.45%。运力的提升对城市承载的交通流量、智能化

156、管理都提出了更高要求，为解决交通需求总量增长与交通设施供给不足之间的矛盾，寇带建设被提出来满足全方位业务需求。智慧交通是城市智能化建设必不可少的一部分，其可将多种先进技术融合一体，例如卫星导航与定位技术、无线传感网络、资源管理等技术，从而推动城市交通的现代化建设，解决交通拥堵、交通管控等问题。智慧交通的应用场景非常广泛，不仅包括车辆、轨道交通，还包括停车场、公路等空间数据信息的共享。由于涉及到大量视频监控、宏观和微观交通流信息的共享，智慧交通对通信网络有着高传输速率、低时延和大连接的要求，因此，必须借助通信网络、数据存储和资源调度等技术构建集分析和展示综合一体化的智能交通平台。5.5.2 性能

157、需求分析基于智慧交通的安全属性，低时延和大连接是其基本需求。另外，智慧交通中数字监控视频需求急剧上升，且车辆和街边单元，以及车辆之间在信息共享的过程中会产生大量的时间、空间和用户应用等信息，而单一车辆的计算资源有限，因此需要云端提供算力。然而传统的云计算在处理海量数据时存在开销大、负荷高、时延高等问题，因为，要满足高传输速率、低时延和大连接的需求，是智能交通领域中的一大挑战。5.5.3 对云网边端协同的潜在需求与应用面对智慧交通特性和性能需求，可以考虑将交通网络中产生的大量数据上传到云端，由云端提供算力，但是这样势必会导致网络资源被大量占用。而且，所有信息都上载到传统云端，用户侧信息从传感器上

158、传到距离较远的云端时，存在信息泄露的风险，同时在云端进行鉴权和数据处理的时候也会增加资源的占用。针对以上传统云端的局限性，可利用边缘计算（Edge Computing，EC）框架解决，将部分计算任务卸载到数据边缘侧进行本地处理，形成“云、网、边、端”的协同一体化平台。“云、网、边、端”一体化的智慧交通基本架构主要感知层、网络层、边缘层、云中心层构成，如图 5.9 所示，1）感知层负责采集底层交通流信息和路况以及气象信息，车辆终端业务信息上报至路侧单元，各类传感器上报温湿度等气象信息；2）网络层支持多种接入方式，有线可采用光纤传输数据，无线可采用 3G/4G/5G、WiFi、面向典型行业的云网边

159、端智能协同与剪裁-52-面向典型行业的云网边端智能协同与剪裁-53-LoRa 等技术；3）边缘层由边缘控制器、边缘网关和边缘云构成；近用户侧边缘云，可以将采集到的海量数据在边缘服务器进行处理，为云端分担部分负载，从而解决了传统云端时延高、负载高的缺点；4）云中心层由高性能服务器集群搭建而成，并利用高性能算法对上传数据进行处理和分析，负责数据的全局分析存储，相当于智慧交通体系中的“大脑”。图 5.9“云、网、边、端”一体化的智慧交通基本架构5.6 智慧医疗5.6.1 场景概述智慧医疗将传统医疗设备与物联网相结合，目的是提高医疗设备的传感和处理能力，通过泛在健康检测网络的发展，将患者的身体指标上传

160、至网络，随时随地实现远程监测服务。另外一方面，为了更好的诊断疾病，医疗设备也不断提升，比如 200 万像素的全高清电子内窥镜，逐行扫描，每秒 60 帧 1080P 画面输出，未压缩的原始数据约 3Gbps，而 4K 超高清内窥镜，输出 4K 超高清画面，是全高清图像的 4 倍，可以观察到更细微的面向典型行业的云网边端智能协同与剪裁-54-组织结构，其未压缩数据量达到 13Gbps。4K 超高清图像在实际传输中应用压缩编码后的传输需求约 50Mbps左右。其未压缩数据量达到13Gbps。4K超高清图像在实际传输中应用压缩编码后的传输需求约50Mbps左右。一方面造成了海量数据的产生和存储，另外一

161、方面，提高了对数据传输速率的要求。总结来看，智慧医疗5G专网分为面向医务人员“智慧医疗”、面向患者“智慧服务”、面向医院管理者“智慧管理”三个方面。具体的业务需求如图 5.10 所示。5.6.2 性能需求分析智慧医疗的性能需求主要分为五个方面：（1）安全要求：医患敏感数据不出院，业务可分级 QoS 管理，设备及终端可管控，无线接入认证授权以及网络系统备份容灾；（2）时延要求：为满足实时远程操控和监控的需求，需实现设备快速处理，业务响应时间端，数据在本地可分流，小区切换速度快等；速率要求：高清动态影像速率高；（3）带宽要求：为满足传输的稳定性，需要实现医院区域无线全覆盖，如果采用 4.9GHz，

162、100MHz 载波带宽，单用户峰值速率可达到下行峰值:1.45Gbps，上行峰值:375Mbps 的技术指标，根据需要还可以采用大上行帧格式配置，使单用户上行峰值速率达到 770Mbps；（4）融合要求：智慧医疗需要实现无线和医院应用融合，其中关键需求包括通用平台云化部署，IT 和 CT 可深度融合，网络连接能力开放，算力资源能力开放以及第三方应用集成开发；图 5.10 智慧医疗业务需求面向典型行业的云网边端智能协同与剪裁-55-（5）物联要求：医院物联传感需要实现大连接，即通信物联一体化，并实现多样式行业终端，室内皮基站集成多物联接口和高精度室内定位，支持 RJ45/11（POE）接口和 U

163、WB/蓝牙定位等。5.6.3 对云网边端协同的潜在需求与应用经过 5.6.2 节对智慧医疗的性能分析，在超高清医学影像设备上结合 5G 大带宽传输功能，从而实现实时分享本地的采集图像，实现分布式多屏输出，可实现不同区域同步诊断分析；同时 5G 高速的将现场大量医学影像采集数据上传到云端服务平台，结合人工智能辅助开展医学影像分析，能更加快速处理海量记录数据，更加高效的辅助阅片与勾画。然而所有的数据上传到一个云端服务平台上，会出现负载过高，时延大等问题，从而影响医疗平台的实时和安全可靠等属性。MEC 被认为是解决此类障碍的有利范例。通过将医疗分析任务卸载到附近的边缘服务器，可以减轻本地设备的负担。

164、如图 5.11 所示，为智慧医疗 5G 专网架构示例。目前已有一些医院部署了智慧医疗网络，例如北京大学深圳医院部署了智慧医疗专网，采用 3.5G 频段 5G小基站，SA 组网，实现 5G 智能终端接入、5G 医疗小车、智能穿戴设备 5G 数据回传等应用，其方案架构如图 5.12 所示。图 5.11 智慧医疗 5G 专网架构示例2019 年以来，福田区医联体、中国移动、华为等单位联合在深圳开展 5G+智慧医疗战略合作。通过部署医联体医疗专网，在实现全区医疗机构（7家医院，83家社康）信息高效安全互通的基础上，率先完成5G远程急救、5G 远程会诊、5G 移动诊疗、5G 社康急救指导、5G 智慧病房

165、等应用，实现福田医联体服务的远程化、移动化、信息化快速升级改造。在疫情期间，基于 5G+MEC 的医疗专网，通过床旁会诊、远程会诊、社康急救切实落实分级诊疗，助力精准疫情防控。5.7 云手机5.7.1 场景概述算力是数字化经济时代的新生产力，包括网络、计算和存储等多维度资源。在基于 5G 移动连接的数字化系统中，业务所需的计算通常在端侧和云端执行，5G 系统提供端侧和服务器的连接通道辅助完成计算任务。在 6G时代构建自由连接的物理与数字融合世界，面向沉浸式 XR、交互型虚拟数字人、高度智能机器人、无人驾驶、多感官互联等场景，将面临终端侧本地计算能力（算力、存储、智能）不足，云端距离远时延不满足

166、需求的挑战。通过部署 MEC 可满足部分场景需求，但算网融合度不高。6G 将内生部署融合计算功能，通过算网融合技术，提供包括 AI 在内的融合计算服务，更好的使能物理与数字世界高度融合 1。参考文献1 vivo 通信研究院，6G 服务，能力与使能技术白皮书，2022 年 7 月面向典型行业的云网边端智能协同与剪裁-56-图 5.12 北京大学深圳医院智慧医疗专网方案面向典型行业的云网边端智能协同与剪裁-57-手机等终端作为物理世界和数字世界融合的媒介将支持更加丰富和精良的应用，屏幕、摄像头、陀螺仪、指纹传感器和环境光传感器等显示和传感器仍然是手机的重要组成部分。同时受限于重量、体积、功耗和成本

167、等因素，手机本地的计算和存储能力难以满足部分应用的良好用户体验需求。因此，当算力需求超过终端本地能力时，云手机可通过移动网络（如 6G）获得近似本地计算服务质量体验的计算服务，从而满足高性能计算需求。云手机对物理手机起到了非常好的延伸和拓展作用，可以用在如交互型虚拟数字人、云手游、移动办公等场景。5.7.2 性能需求分析云手机的性能需求与算力的应用场景有关，本节以交互型虚拟数字人为例分析云手机的性能需求。中国虚拟数字人影响力指数报告指出 2021 年元宇宙概念兴起，叠加疫情下国人对虚拟内容需求增加、消费级 VR 硬件快速发展，虚拟数字人发展进入快车道。虚拟数字人将以新媒介角色，广泛应用在元宇宙

168、新生态中，担任着信息制造、传递的责任，是元宇宙中“人”与“人”、“人”与事物或事物与事物之间产生联系或发生孪生关系的新介质。交互型 3D 虚拟数字人有望成为 2030+元宇宙时代的普遍应用，建模、驱动、渲染是虚拟数字人制作过程的三大关键技术。通常人物形象和形象建模过程基于多方位摄像头等扫描，基于形象设计和算法进行建模，可离线完成。驱动和渲染用于交互过程中虚拟数字人的人物表达。驱动通常是通过智能合成和动作捕捉迁移来实现，目前 3D 数字人已实现嘴型动作的智能合成，其他身体部位的动作还只支持录播。通过将捕捉采集的动作迁移至数字人是目前 3D 数字人动作生成的主要方式，核心技术是动作捕捉（光学、惯性

169、、基于计算机视觉的动作捕捉）。渲染在电脑绘图中是指用软件从模型生成图像的过程。模型是用严格定义的语言或者数据结构对于三维物体的描述，它包括几何、视点、纹理以及照明信息。将三维场景中的模型，按照设定好的环境、灯光、材质及渲染参数，来进行二维投影成数字图像的过程。因此，渲染将驱动所输出的模型信息转换为呈现给用户的数字图像。考虑终端侧的计算资源情况，通常终端侧的驱动算法采用轻量级的神经网络模型，渲染所采用的人物模型面数较云端渲染少。基于 mobilenet v1 计算量和 50 万面级别的人物模型原始面数初步测算，50 万面级别的高精度高智慧交互型虚拟数字人，人物表达所需的驱动和渲染的计算需求预计不

170、小于 10TFLOPS（floating-point operations per second,T=10e9），超过大多智能终端本地算力范围。实时交互体验要求数字人对人的语言动作反馈总时延不超过 200ms，去掉其它开销，6G 系统中的计算时延要求在 10ms-100ms 内，云端渲染几乎无法满足需求，需要 6G 系统提供低时延计算服务。进一步的，假设高价值场景活跃用户密度 0.2 人/平米，每人每天使用数字人的平均时间为 30 分钟，忙时集中率(系数)为 10%，小区覆盖面积为 10000 平米为例。关于用户性能指标，移动通信网络目标覆盖范围内单用户可获得的峰值计算性能约为 10TFLOP

171、S，其中 FLOPS是每秒所执行的浮点运算次数。关于系统性能指标，移动通信网络单位覆盖面积能提供的算力约为100000TFLOPS/平方千米数量级。因不同计算用例需求的差异性，运营商的 6G 计算能力需根据业务需求合理部署规划。5.7.3 对云网边端协同的潜在需求与应用综上所述，云手机场景从通信需求上看需要终端、网络和应用之间的低时延通信协同；从算力需求上看需要终端和位于边缘的网络计算功能单元计算协同。云手机潜在的应用包括交互型虚拟数字人等。6.面向 6G 的云网边端智能化协同研究在 6G 时代，云边协同将会进入一个新的时期，越发丰富的应用场景，不仅对云网融合提出了新的需求，且边侧设备也会跟随

172、着 6G 的脚步发生变化，会越加智能。智能化作为 6G 的特征对云网边端协同的演进给出新的方向，本部分将阐述面向 6G 云网边端智能化架构，同时介绍未来在接入侧的服务化 RAN 技术。6.1 面向 6G 云网边端智能化架构如图 6.1 所示为面向 6G 云网边端智能化架构，该架构兼具云化、智能化和服务化的特征，能够根据算力的分布实现平台中智能化元素的灵活部署，协同边侧业务处理。面向典型行业的云网边端智能协同与剪裁-58-图 6.1 面向 6G 云网边端智能化架构6.1.1 架构总体描述本架构延续了云化的演进路线，接入侧支持多种接入方式，其中重点考虑以用户为中心的无蜂窝接入方式。异构资源抽象为云

173、化资源池，统一调度编排，且为智能化单元提供通用的调度接口。开放的服务提供方式支撑更多的云网边端行业应用，实现典型行业的应用场景的智能化支撑。在面向差异化的服务场景时，图 6.1 中的大云台和小云台能够根据算力的分布灵活部署。大云台适合部署在算法较为丰富的节点中，大云台兼具智能化模型训练、推理和数据集构建的功能。小云台适应更靠近边侧场景的节点部署，小云台能够接收大云台下发的已训练完成的智能化模型，进而业务场景能够根据需求请求对应的智能化模型来实现业务处理。6.1.2 架构特征（1）云化云网边端场景需对边缘侧业务做出快速响应、多样化接入和灵活部署，云化消除了异构设备和异构网络的差异性，统一的资源调

174、度方便了网络和云资源的协同部署和调度。在云化的基础上，能够快速实现新的边侧业务的部署、更新和维护，提升了资源利用率和处理效率。（2）智能化内生智能是 6G 愿景中的一个目标，智能化的演进也从外挂智能逐步融入网络“内心”。智能化是云网边端协同的大脑，边侧设备通过何种接入方式接入网络，云网边端侧异构资源的分配，以及处理边侧场景算法的选择，都需要智能化给出精准的决策。（3）服务化服务化的方法具备模块化、无状态、独立化的特点，可实现网络功能灵活快速部署，并融合云中间件能力，支撑边侧场景，助力更多典型行业的应用。6.2 服务化 RAN为实现面向 6G 的云网边端智能化协同，云（中心云/边缘云）与网的深度

175、融合是业界认可的探索和演进方向。而要实现云网边端协同，使无线网络基于云原生底座，充分利用和发挥云架构、云能力和云技术的优势，实现网络功能灵活快速部署和动态伸缩，适应不同场景的多种业务需求，服务化是 6G 网络架构的重要发展趋势。面向典型行业的云网边端智能协同与剪裁-59-当前 5G 核心网已经引入服务化架构，网络功能间采用轻量级服务化接口，利用服务化架构模块化、无状态、独立化、扁平化、自主化的优势，推动网络走向开放化、虚拟化、软件化。但无线接入网（Radio Access Network，RAN）依旧采用传统的点对点结构，针对未来全息通信、数字孪生、元宇宙等新型应用，无法支持6G 无线网络的业

176、务需求和技术演进以及云网边端深度协同。因此服务化 RAN 是 6G 服务化架构的核心研究方向之一。6.2.1 服务化 RAN 概述服务化 RAN 架构旨在结合面向服务的架构（Service-Oriented Architecture，SOA）和基于微服务体系结构的优点，实现网络功能服务的灵活、快速、高效部署和动态扩缩容，能够独立轻松地扩展网络功能组件，实现面向用户和业务的定制化服务。RAN 服务化有助于促进 RAN 与分布式核心网功能的融合统一及端到端服务化，还可以实现高效的网络功能生命周期的管理、资源的协同调度、网络能力的开放及智能可编程等。图 6.2 为基于深度边缘云的端到端服务化参考架构

177、，顶层为智能可编程模块和服务管理模块，并与服务总线连接。智能可编程模块用于构建面向服务化的智能可编程体系框架。服务管理模块则用于对 RAN 及分布式核心网（Core Network，CN）所提供的服务进行管理，包括服务注册、服务发现、服务鉴权验证、负载管理、状态保持等。服务总线连接 RAN 和 CN 的多种服务，CN 服务包括连接管理控制和安全保障服务、会话管理服务、数据传输处理服务等，可按需部署和提供。RAN 服务包括四大类，分为无线连接服务 API、无线会话服务 API、无线 AI服务 API 以及能力开放服务 API，每一类服务 API 提供多种服务，支持实时动态调整。面向典型行业的云网

178、边端智能协同与剪裁-60-图 6.2 基于深度边缘云的端到端服务化参考架构面向典型行业的云网边端智能协同与剪裁-61-边缘云）与网的深度融合是业界认可的探索和演进方向。而要实现云网边端协同，使无线网络基于云原生底座，充分利用和发挥云架构、云能力和云技术的优势，实现网络功能灵活快速部署和动态伸缩，适应不同场景的多种业务需求，服务化是 6G 网络架构的重要发展趋势。架构横向分为三层，即计算层、控制层和处理层，每一层都包含具体的功能组件，纵向服务 API 针对提供的具体服务，可对横向每一层的功能组件进行灵活编排，统一提供相应服务。6.2.2 服务化 RAN 技术特征服务化 RAN 支持如下关键技术特

179、征：RAN 与 CN 深度融合：5G 核心网已采用控制面与用户面分离架构，并实现用户处理及转发功能下沉到边缘侧。面向 6G 需求，控制面相关功能可能进一步下沉至边缘侧提升网络运行效率，支持特定 2B 应用场景和业务定制化。这些服务与 RAN 服务一起，统一被管理控制，提升效率。AI 作为关键服务：结合当前 6G 应用需求，无线接入网 AI 内生是关键能力，因此提供无线 AI 服务API，增加计算层，并在控制层和处理层中均会新增 AI 处理组件。面向典型行业的云网边端智能协同与剪裁-62-7.致谢诚挚的感谢如下人员对本白皮书做出的贡献：牵头单位：西安电子科技大学、西安电子科技大学广州研究院：王云峰 赵力强 顾汇贤 李因新 赵春宇参与单位：广东省新一代通信与网络创新研究院：朱伏生 王志刚 李芳中兴通讯股份有限公司：陆海涛 娄笃仕中国电信股份有限公司研究院：刘 洋 王晴天维沃通信：袁雁南 秦飞 姜大洁