针对数据不出园区的5G定制专网部署方案及安全策略研究

李朝阳 中国电信股份有限公司江西分公司 江西省南昌市 330000

胡鹏飞 周辉福 江西省邮电规划设计院有限公司 江西省南昌市 330002

0 引言

为应对未来不断涌现的各类新业务和应用场景，同时与行业深度融合，推动社会经济数字化转型，各通信运营商都启动了5G SA网络的建设及商用。综合利用5G、物联网、边缘计算和大数据等技术，基于客户需要建设5G定制专网，实现5G与企业内网的深度融合，提升企业在安全、环保、质量和经营等方面的管理水平，成为5G商用以来的新的课题。本文结合用户数据不出工业园区的具体案例，探讨相应的5G定制专网部署方案和安全策略的研究。

1 5G定制专网建设原则

1.1 总体原则

5G定制专网某运营商采用大区集约管理、省级集中控制的方式，按需构建多级2B业务转发面，形成“2+31”5G定制专网框架结构。

在集约层面，为满足物联类等有明确集约管理要求的2B业务需求，在sysynsyny核心城市部署5G定制专网集约节点，包括数据面网元UDM和部分信令面网元（PCF、NRF、SCP），满足用户数据、业务策略统一集约管理。

在省层面，分省部署控制面和用户面网元，2B/2C统筹规划与资源复用，充分发挥云网融合的优势，实现资源池化共享、弹性伸缩，在满足初期2B客户和业务需求的基础上，节省投资。后期随着用户规模的增长，根据方便网络维护管理等需求，逐步考虑独立2B网元。

在转发层面，依据客户需求和业务要求，转发面UPF按需下沉到地市级和园区级部署，形成转发面分级结构。

1.2 UPF下沉部署原则

省级UPF主要承载省内允许数据出园区的2B服务，以及有4G/5G互操作需求和跨多地市需求的2B业务；地市级UPF主要承载地市级允许数据出园区的2B服务；园区级主要承载明确数据管控要求的2B业务。

在5G定制专网中，UPF下沉部署原则和具体要求如下：

（1）地市级UPF部署

◎ 针对2B业务规模发展迅速的区域，如果由传输时延导致业务发展瓶颈，可考虑选取配套设施完善的地市部署UPF；

◎ 依据端到端时延测试结果，对比2B业务时延要求，作为UPF是否下沉部署地市级的重要依据；

◎ 综合评估部署成本、运维难度、配套条件等多重因素，重点关注投资效益。

（2）园区级UPF部署

◎ 针对明确数据管控需求的业务，可考虑下沉部署园区级UPF；

◎ 考虑运维和可管可控要求，建议将UPF部署在运营商机房；

◎ 根据客户需求，进行容灾部署；

◎ 网络与信息安全方面，园区级UPF与省级UPF同等要求；

◎ 综合评估客户要求、部署成本、运维难度、配套条件、终端成本等多重因素，重点关注投资效益。

1.3 5G定制专网优势

5G定制专网是“网定制、边智能、云协同、应用随选”融合协同的综合解决方案，是为行业客户打造的一体化定制融合服务，实现“云网一体、按需定制”。

5G 2B定制专网控制面采用集中部署和服务化架构，以虚拟化为实现方式，实现弹性扩缩容和网络切片功能；用户面下沉到各省、各地市和用户近端，实现流量就近引导和边缘计算。专网还可为行业客户部署专属无线接入和专属虚拟化网络，提供业务隔离和数据安全服务，助力行业数字化转型升级。

其部署的5G SA核心网为4/5G融合设备，可支持5G用户回落从4G基站接入。当5G用户从4G基站接入时，由MME负责识别并选择5G融合网元负责处理5G用户的业务，保持UPF/GW-C锚点不变，媒体流通过4G基站直连UPF/GW-C，不经EPC SGW绕转。这种网络优势可以弥补5G建设初期无线网络覆盖不足问题，保障用户业务不中断，提升用户使用感知。

2 园区5G定制网部署方案

现结合一个案例，具体分析数据不出园区的5G定制专网部署方案。下面这个案例是江西某县的一个结合5G的化工行业数据孪生工业互联网工程的应用。

2.1 需求分析

（1）时延要求

客户提出的需求中，有以实时数据监控为基础的大带宽、低时延特性需求，如无人机巡检、机器视觉安防监测等，时延要求一般为10~50ms。

（2）部署地点要求

客户要求数据不出园区，并要求核心网转发物理设备也要部署在客户园区内。

（3）容灾要求

客户暂未提出容灾备份需求，可接受一定时间内的业务中断，系统可用度99.9%（业务中断时长一年内可为8.76小时）。

2.2 UPF下沉部署方案

UPF是5G核心网的转发面，随着5G SA网络商用，5G核心网转发面UPF可以下沉，以缩短时延，并可根据用户需要，在地理位置上贴近用户，实现数据不出园区的需要。2B UPF部署方案主要有三类：

（1）省中心共享UPF；

（2）下沉地市级共享UPF；

（3）下沉园区级独享UPF。

由于客户要求物理设备不能出园区，UPF下沉部署只能按照在客户园区部署考虑。通过下沉园区级独享UPF，将生产终端与办公终端等内网5G业务流量分流到客户企业信息化网络，实现数据不出园区。

UPF下沉部署在园区，客户内网数据路由为三种2B UPF部署方案中最短的方案，因而可满足客户的时延要求。由于客户无容灾需求，只部署一套下沉园区级UPF；如后期客户有容灾需求，且有投资效益，可按1+1备份方式再部署一套UPF。

图1 2B UPF下沉园区典型组网架构

2.3 时延测试分析

为了满足业务对时延的要求，对该客户的UPF下沉前后的时延进行了多次测试分析，主要测试数据及分析情况如下。

（1）时延测试情况

①通过下沉园区级UPF访问园区服务器：最短6ms，最高15ms，平均10ms；

②通过园区公网访问园区服务器（即通过省中心UPF访问园区服务器）：最短26ms，最高51ms，平均28ms。

图2 时延测试数据所经网元连接示意图

（2）进一步时延测试

由于2种方式测试时延相差较大，针对通过园区公网访问园区服务器（即通过省中心UPF访问园区服务器）的方式进行了进一步的时延测试，如下表所示。

?

（3）时延测试分析

通过时延测试发现，UPF未下沉时用户报文需要经基站、承载网、核心网、骨干网及城域网再到达客户园区服务器， UPF下沉以后本地可以直达，缩短了报文传输的距离和跳数，明显减少了时延；因此，UPF贴近客户侧部署有助于明显改善数据时延。

5G网络主要用于满足客户低时延、大带宽业务需求，而UPF贴近客户侧部署可降低时延，并且可控制带宽需求在较小范围的网络内；因此，UPF贴近客户侧部署将是大势所趋。

2.4 分流方案

基于下沉部署的边缘UPF，园区生产及工作终端的业务数据在本地进行分流和处理，避免了流量在省中心层面核心网的迂回，既减少了业务传输时延，又满足数据安全性和隔离性需求。

图3 园区UPF分流示意图

针对园区特殊终端业务数据不出园的场景，如工业控制、视频监控等，采用专用DNN方案实现本地业务分流，分流架构如下：

图4 专用DNN分流架构图

园区生产及工作终端（UE）号卡在5G网络签约专用DNN（如CTmec/xx.xx.iot），实现用户PDU会话直接建立锚定在边缘UPF，终端通过边缘UPF直接访问MEC平台及企业内网，从而不直接接入Internet。传统大网用户签约 Internet DNN（如CTnet），业务访问走省中心UPF访问Internet。

3 下沉园区级UPF安全策略

UPF网元下沉，尤其是下沉到园区，部署在客户端对5GC的信息安全防护带来了很大的挑战和困难。由于5GC信息安全是个较大的课题，本文仅对下沉园区级UPF的相关安全策略进行初步研究。

3.1 下沉UPF设置机房要求

根据5G定制专网建设原则，考虑运维和可管可控要求，建议将UPF部署在运营商机房。

如UPF设置机房为客户机房，建议UPF设置在客户的独立机房，该机房由运营商直接管理，机房内部所有设备由运营商维护，机房动环、门禁系统由运营商管理，只有经运营商授权，其他人员方可进入机房，没有运营商人员陪同情况下，外部人员不得进入机房。

3.2 下沉UPF安全策略

下沉UPF是5GC与客户应用平台交互的重要通道，针对其自身安全防护策略，主要包括但不限于以下要求。

（1）UPF系统安全

a）安全域隔离功能

下沉园区级UPF和园区数据中心之间、和IPRAN承载网之间，通过防火墙进行隔离，保障园区数据中心、5GC的安全。

UPF可对管理域、核心网络域、无线接入域等进行VLAN划分隔离。UPF的数据面与信令面、管理面互相隔离。

b）TEID的唯一性

TEID由UPF分配，UPF保证所分配的TEID唯一。

c）用户数据的加密

UPF可保证N3口传输的用户数据的完整性、机密性和防重放攻击。

d）信令数据安全

UPF可对N4口传输信令进行机密性和完整性保护。（2）UPF业务安全

a）防DDoS等网络攻击

UPF可对DDoS攻击进行防范，可配置包过滤规则（访问控制列表）并据此对终端数据报文进行过滤。b）协议控制功能

UPF具备协议控制功能，允许禁止特定协议报文进入5GC网络，以保证网络的安全，该功能可通过防火墙实现。

c）UPF流量控制

包括信令和用户面数据流量的控制：

UPF对发送给SMF的信令流量及从SMF接收的信令流量进行限速以防发生DDoS攻击。

UPF对来自UE的及APP的流量进行限速，防止发生DDoS攻击。

4 结束语

随着政企5G行业应用业务的推广，对于低时延、大带宽的业务需求逐步增多，UPF的下沉部署也将增加，如何根据客户需求提供合理的UPF下沉方案将是后续建设时讨论的焦点，既需要考虑投资效益，又要考虑维护管理效益，还要兼顾信息安全。一般认为，对于数据可出园区、时延要求不高、带宽较小的需求，建议直接使用省集中部署的UPF；对于数据可出园区、时延要求较高且省集中UPF无法满足时延要求的需求，建议下沉部署地市级共享型UPF；对于数据不可出园区的需求，则建议下沉部署园区级独享型UPF。某运营商5G定制专网有4/5G融合的覆盖优势，这种网络优势可以弥补5G建设初期无线网络覆盖不足问题，保障用户业务不中断，提升用户使用感知。