［陳潔 李思含 尹君 劉國榮］

1 引言

面向行業(yè)客戶不同的需求，運營商可以提供虛擬專網(wǎng)、邊緣專網(wǎng)、私享專網(wǎng)三種定制專網(wǎng)服務(wù)，滿足客戶對網(wǎng)絡(luò)資源和設(shè)備的差異化定制需求。虛擬專網(wǎng)的服務(wù)特點是廣域覆蓋、公專協(xié)同、快速開通等。邊緣專網(wǎng)的服務(wù)特點是無線按需增強、數(shù)據(jù)不出場、算力下沉等。私享專網(wǎng)的服務(wù)特點是無線按需專屬定制、網(wǎng)絡(luò)設(shè)備按需定制、高隔離高安全等。不同的行業(yè)專網(wǎng)服務(wù)需求相應(yīng)地會引入不同的組網(wǎng)需求及不同的技術(shù)手段組合，如圖1 所示。

圖1 三種5G 定制專網(wǎng)服務(wù)組網(wǎng)示例

根據(jù)不同的服務(wù)需求特征，虛擬專網(wǎng)可以引入QOS、切片、定制DNN 等技術(shù)手段，邊緣專網(wǎng)可以引入定制UPF、MEC、無線網(wǎng)絡(luò)增強等，私享專網(wǎng)可以引入定制5GC 網(wǎng)元、專用基站定制等。運營商可根據(jù)行業(yè)客戶具體的業(yè)務(wù)能力需求，適配不同的端到端網(wǎng)絡(luò)能力，通過規(guī)劃設(shè)計形成滿足客戶定制需求的5G 定制網(wǎng)絡(luò)方案，為客戶提供差異化的專網(wǎng)服務(wù)。

邊緣專網(wǎng)和私享專網(wǎng)的服務(wù)模式將運營商核心網(wǎng)的邊界延伸到用戶側(cè)，大大增加運營商核心網(wǎng)與企業(yè)專網(wǎng)網(wǎng)元對接和接口適配、網(wǎng)絡(luò)數(shù)據(jù)配置的復(fù)雜度，同時在網(wǎng)絡(luò)運行維護管理、在網(wǎng)絡(luò)和設(shè)備和數(shù)據(jù)安全、用戶和業(yè)務(wù)數(shù)據(jù)安全等方面都對運營商帶來較大的挑戰(zhàn)。本文將結(jié)合5G SA 網(wǎng)絡(luò)互通技術(shù)在3GPP 標(biāo)準(zhǔn)的現(xiàn)狀，對5G 企業(yè)專網(wǎng)與運營商5G 公共網(wǎng)絡(luò)（下文統(tǒng)稱為5G 公網(wǎng)）信令互通的方案進行探討。

2 標(biāo)準(zhǔn)現(xiàn)狀

3GPP 針對5G SA 架構(gòu)的PLMN 網(wǎng)絡(luò)內(nèi)相同信任區(qū)網(wǎng)元的互通、不同PLMN 間網(wǎng)元的互通、及非3GPP 接入都分別定義了相應(yīng)的互通網(wǎng)元功能，包括SCP、SEPP/IPUPS、N3IWF 等。如圖2 所示。

圖2 3GPP SA 網(wǎng)絡(luò)內(nèi)部及對外互通架構(gòu)

其中，3GPP 已定義的互通網(wǎng)元功能如下：

（1）SCP（Service Communication Proxy，服務(wù)通信代理）：5G 網(wǎng)絡(luò)內(nèi)部網(wǎng)元功能之間可通過SCP 進行的非直接通信。SCP 負(fù)責(zé)代理服務(wù)發(fā)現(xiàn)、把消息轉(zhuǎn)發(fā)至目標(biāo)網(wǎng)元功能、以及網(wǎng)元功能之間負(fù)載均衡和負(fù)載控制等。

（2）N3IWF（None-3GPP InterWorking Function，非3GPP 交互功能）：非3GPP 接入（如WiFi 接入）通過N3IWF 接入5GC 網(wǎng)絡(luò)。N3IWF 主要功能包括：支持與UE 間的IPSec 隧道的建立；作為連接到5G 核心網(wǎng)的控制面N2 接口及用戶面N3 接口的終結(jié)點；在UE 和AMF 間傳遞上行和下行的NAS 消息；在UE 和UPF 之間傳遞上下行用戶面數(shù)據(jù)包等。

（3）SEPP（Security Edge Protection Proxy，安全邊緣保護代理）：PLMN 之間、SNPN 之間、以及SNPN 與CH（Credentials Holder，擁有UDM 和AUSF 網(wǎng)元的第三方憑證持有者）之間控制面接口的消息過濾、監(jiān)管、拓?fù)潆[藏。

（4）IPUPS（Inter-PLMN UP Security，PLMN 間 用戶面安全）：5G 系統(tǒng)架構(gòu)在不同PLMN 間通過IPUPS 來保護用戶面數(shù)據(jù)傳遞。IPUPS 是UPF 的功能之一，可以作為UPF 內(nèi)置功能進行部署，也可以作為獨立IPUPS 功能部署。IPUPS 負(fù)責(zé)不同PLMN 的UPF 之間N9 接口的GTP-U 安全保護。

從以上互通架構(gòu)可以看到，3GPP 標(biāo)準(zhǔn)未定義相同PLMN 內(nèi)兩個不同信任區(qū)域的5G 企業(yè)專網(wǎng)與5G 公共網(wǎng)絡(luò)互通場景。但是隨著運營商依托5G 公共網(wǎng)絡(luò)拓展5G專網(wǎng)業(yè)務(wù)，企業(yè)客戶要求在園區(qū)下沉部署5GC 網(wǎng)元的需求日益增多，亟需進一步加強5G 公共網(wǎng)絡(luò)和企業(yè)園區(qū)5G專網(wǎng)的互通安全性。

3 解決方案

為了解決上述問題，本文介紹一種在5G 企業(yè)專網(wǎng)與5G 公網(wǎng)之間引入信令互通網(wǎng)關(guān)的方案，企業(yè)園區(qū)的專網(wǎng)網(wǎng)元可通過信令互通網(wǎng)關(guān)C-IWF（Customized-InterWorking Function，定制化信令互通網(wǎng)關(guān)）接入5G 公共網(wǎng)絡(luò)。根據(jù)不同行業(yè)客戶的需求差異，部署在企業(yè)園區(qū)的5G 專網(wǎng)網(wǎng)元組合可以包括UPF、AMF+SMF+UPF、AMF+SMF+UPF+UDM 等。如圖3 所示。

圖3 基于C-IWF 的5G 企業(yè)專網(wǎng)與5G 公網(wǎng)的互通架構(gòu)

其中C-IWF 的核心功能主要是安全隔離和信令代理。

3.1 安全隔離

安全隔離的關(guān)鍵技術(shù)包括網(wǎng)元認(rèn)證、網(wǎng)絡(luò)隔離與訪問控制、異常信令過濾等。如圖4 所示。

圖4 C-IWF 的安全隔離功能

（1）網(wǎng)元認(rèn)證

安全接入是網(wǎng)元間通信安全的基礎(chǔ)，C-IWF 支持與企業(yè)園區(qū)內(nèi)網(wǎng)元的雙向認(rèn)證和傳輸保護，分別支持服務(wù)化接口對接和N4 接口對接兩個應(yīng)用場景。

C-IWF 轉(zhuǎn)發(fā)服務(wù)化接口信令時，采用3GPP 協(xié)議推薦的TLS機制實現(xiàn)C-IWF與企業(yè)園區(qū)內(nèi)網(wǎng)元之間傳輸保護。TLS 支持1.2 以上版本，使用傳輸保護模式。

C-IWF 轉(zhuǎn)發(fā)基于PFCP 協(xié)議的N4 接口信令時，采用3GPP NDS/IP 機制提供完整性和機密性保護，即基于IKEv2 實現(xiàn)安全聯(lián)盟、密鑰協(xié)商及雙向認(rèn)證，基于IPSec ESP 實現(xiàn)傳輸加密。

C-IWF 支持基于預(yù)共享密鑰、數(shù)字證書等實現(xiàn)與企業(yè)園區(qū)內(nèi)網(wǎng)元的雙向認(rèn)證。對于新入網(wǎng)網(wǎng)元，可基于設(shè)備商預(yù)制憑證，實現(xiàn)密鑰分發(fā)、證書注冊等憑證自動分發(fā)機制，滿足企業(yè)園區(qū)網(wǎng)絡(luò)快速部署的要求。

（2）網(wǎng)絡(luò)隔離與訪問控制

C-IWF 作為5GC 網(wǎng)元功能代理提供企業(yè)園區(qū)內(nèi)網(wǎng)元與5G 公共網(wǎng)絡(luò)網(wǎng)元的信令互通，雙方網(wǎng)元對外完全不可見，從而實現(xiàn)了對外的網(wǎng)絡(luò)拓?fù)潆[藏和安全隔離。

在此基礎(chǔ)上，C-IWF 進一步對企業(yè)園區(qū)網(wǎng)元與5G 公共網(wǎng)絡(luò)網(wǎng)元的互通請求服務(wù)和數(shù)據(jù)進行管控。授權(quán)策略由運營商管理員進行管理和維護，管理員發(fā)布5G 公共網(wǎng)絡(luò)網(wǎng)元可供調(diào)用的網(wǎng)絡(luò)服務(wù)、可被請求的數(shù)據(jù)范圍。C-IWF根據(jù)管理員發(fā)布的內(nèi)容來維護數(shù)據(jù)和服務(wù)調(diào)用關(guān)系，并對調(diào)用請求進行驗證控制。只有通過合法性驗證和開放服務(wù)授權(quán)后，企業(yè)園區(qū)網(wǎng)元才具備訪問和使用公共網(wǎng)絡(luò)服務(wù)的條件。

（3）異常信令過濾

C-IWF 代理轉(zhuǎn)發(fā)信令消息前，將進行異常信令控制，防止資源擠占和安全事件跨園區(qū)蔓延，最大限度保障客戶網(wǎng)絡(luò)正常通信。

異常信令消息包括畸形或異常TCP/IP 數(shù)據(jù)包、不符合3GPP 協(xié)議定義等。對于發(fā)送的異常報文，C-IWF 會根據(jù)策略進行丟棄。對于企業(yè)園區(qū)內(nèi)的網(wǎng)元在一定時期內(nèi)持續(xù)發(fā)送異常報文超過閾值時，C-IWF 將啟用熔斷機制，發(fā)出告警，并在一段時間內(nèi)暫停其使用公共網(wǎng)絡(luò)服務(wù)。

C-IWF 從流量大小、消息類型等多個維度對流量進行學(xué)習(xí)，建立正常流量模型，并持續(xù)監(jiān)測異常流量。當(dāng)單一方向業(yè)務(wù)流量與模型偏差超出閾值時，C-IWF 會對該方向流量進行限速，防止過度占用資源而影響其他客戶的正常使用。當(dāng)信令總流量超過閾值時，C-IWF 提供過載保護，對總流量進行限速，防止業(yè)務(wù)中斷。

3.2 信令代理

針對5GC 部分網(wǎng)元下沉的園區(qū)級“比鄰”和“如翼”兩種模式的定制服務(wù)，C-IWF 支持5G 公共網(wǎng)絡(luò)和企業(yè)園區(qū)專網(wǎng)網(wǎng)元之間的信令代理。如圖5 所示。

圖5 C-IWF 的信令代理功能

C-IWF 支持基于FQDN、用戶號段、切片、位置等一種或多種組合的信令路由轉(zhuǎn)發(fā)能力，并支持UDM/AUSF訪問代理、專網(wǎng)AMF 注冊代理及重定向代理功能，以滿足各種專網(wǎng)應(yīng)用場景需求，及提升快速交付能力。

（1）UDM/AUSF 訪問代理

C-IWF 的UDM/AUSF 訪問代理功能指N8/N10/N12接口的信令代理。N8/N10 接口為AMF/SMF 與UDM 之間的接口，主要用于AMF/SMF 向UDM 獲取和訂閱用戶的簽約數(shù)據(jù)，以及向UDM 進行用戶注冊認(rèn)證。N12 接口為AMF 與AUSF 之間的接口，用于AMF 與AUSF 之間用戶鑒權(quán)信息的交互。

C-IWF 收到企業(yè)專網(wǎng)用戶發(fā)起注冊、鑒權(quán)、會話建立等流程時通過企業(yè)專網(wǎng)AMF/SMF 發(fā)送的業(yè)務(wù)請求，C-IWF根據(jù)用戶號段等將信令消息轉(zhuǎn)發(fā)至正確的公共網(wǎng)絡(luò)UDM和AUSF。對于訂閱等存在回調(diào)地址的信令流程，C-IWF對訂閱請求中的回調(diào)地址進行替換以確保通知消息正確下發(fā)給專網(wǎng)網(wǎng)元。

（2）專網(wǎng)AMF 注冊代理及重定向代理

C-IWF 的專網(wǎng)AMF 注冊代理功能指專網(wǎng)AMF 向公共網(wǎng)絡(luò)NRF 注冊的信令代理，重定向代理指N14 接口信令代理。N14 接口為AMF 之間的接口，用于AMF 之間傳遞消息。

在5G 公共網(wǎng)絡(luò)和企業(yè)專網(wǎng)共享基站的場景下，當(dāng)終端不支持在注冊請求中上報自己的切片信息時，基站無法根據(jù)切片信息進行AMF 的選擇。為保證運營商公眾用戶的業(yè)務(wù)使用，通?；驹O(shè)置為默認(rèn)將終端接入運營商公共網(wǎng)絡(luò)AMF。如果企業(yè)客戶的終端需要接入專網(wǎng)的切片，則需要進行公共網(wǎng)絡(luò)AMF 與專網(wǎng)AMF 間的重定向流程。此場景下，專網(wǎng)AMF 需要通過C-IWF 向公共網(wǎng)絡(luò)NRF進行網(wǎng)元注冊，使公共網(wǎng)絡(luò)AMF 可以正確將重定向請求消息發(fā)送至C-IWF，C-IWF 再根據(jù)切片和位置等信息，將重定向請求消息發(fā)送至企業(yè)終端所屬的專網(wǎng)AMF。如圖6 所示。

圖6 專網(wǎng)AMF 注冊代理及重定向代理

C-IWF 支持以下兩種注冊代理方式：

①C-IWF 以AMF 身份向NRF 注冊方式：C-IWF 代理所轄區(qū)域下所有專網(wǎng)AMF 并以一個AMF 的身份向公共網(wǎng)絡(luò)NRF 發(fā)起注冊，在這種情況下，公共網(wǎng)絡(luò)AMF 可以通過NRF 獲取C-IWF 的地址信息，并將重定向消息發(fā)送至C-IWF。

②專網(wǎng)AMF 經(jīng)C-IWF 向NRF 注冊方式：專網(wǎng)AMF可經(jīng)過C-IWF 直接向公共網(wǎng)絡(luò)NRF 注冊，C-IWF 對專網(wǎng)AMF 的注冊請求進行處理，隱藏專網(wǎng)AMF 的IP 地址信息并替換成FQDN 的形式，后續(xù)流程中，公共網(wǎng)絡(luò)AMF可以通過NRF 獲取專網(wǎng)AMF 的FQDN，但每一個專網(wǎng)AMF 的FQDN 均對應(yīng)C-IWF 的IP 地址。

4 應(yīng)用場景及優(yōu)勢

基于C-IWF 的5G 企業(yè)專網(wǎng)與5G 公網(wǎng)互通方案可以應(yīng)用于邊緣專網(wǎng)和私享專網(wǎng)場景。如圖7 所示。

圖7 C-IWF 應(yīng)用于邊緣專網(wǎng)和私享專網(wǎng)場景的互通

邊緣專網(wǎng)場景下，通過在企業(yè)園區(qū)部署UPF 并接入5G 公共網(wǎng)絡(luò)的混合專網(wǎng)模式滿足企業(yè)客戶數(shù)據(jù)不出園區(qū)和業(yè)務(wù)安全隔離的需求。C-IWF 作為信令代理網(wǎng)元，一方面隱藏了5G 企業(yè)專網(wǎng)和5G 公共網(wǎng)絡(luò)拓?fù)洌瑢ο鲁吝吘塙PF 進行接入訪問認(rèn)證，對交互信令進行安全過濾和保障；另一方面，C-IWF 負(fù)責(zé)下沉邊緣UPF 與5G 公共網(wǎng)絡(luò)SMF 之間N4 接口的交互信令代理。

私享專網(wǎng)場景下，通過在企業(yè)園區(qū)部署部分定制5GC網(wǎng)元并接入5G 公共網(wǎng)絡(luò)的混合專網(wǎng)模式滿足客戶對專網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)參數(shù)及策略的本地自主管理需求。企業(yè)終端號卡由運營商5G 公共網(wǎng)絡(luò)的UDM/AUSF 統(tǒng)一管理。C-IWF作為信令代理網(wǎng)元，一方面隱藏了5G 專網(wǎng)和公共網(wǎng)絡(luò)的拓?fù)洌瑢ο鲁?GC 網(wǎng)元進行接入訪問認(rèn)證，對交互信令進行安全防控；另一方面，C-IWF 負(fù)責(zé)5G 公共網(wǎng)絡(luò)AMF和專網(wǎng)AMF 之間的AMF 重定向信令代理，保障企業(yè)終端從園區(qū)的共享基站可以接入到定制5GC。同時負(fù)責(zé)專網(wǎng)AMF 和SMF 與5G 公共網(wǎng)絡(luò)UDM/AUSF 之間的交互信令代理和尋址，保障企業(yè)終端的接入認(rèn)證和授權(quán)。

C-IWF 方案具有以下優(yōu)勢：

（1）安全隔離，訪問控制：當(dāng)前5G 專網(wǎng)方案一般是通過防火墻等實現(xiàn)IP 層面訪問控制，缺乏信令層面的安全防護。通過引入C-IWF，可在架構(gòu)上增強5G 公共網(wǎng)絡(luò)與企業(yè)園區(qū)專網(wǎng)之間及不同企業(yè)園區(qū)專網(wǎng)之間的安全隔離，并支持專網(wǎng)網(wǎng)元接入5G 公共網(wǎng)絡(luò)的認(rèn)證和授權(quán)，從而避免安全隱患。

（2）一點接入，快速交付：C-IWF 實現(xiàn)對所轄區(qū)域內(nèi)所有企業(yè)園區(qū)5G 專網(wǎng)的一點接入、信令匯聚和信令代理功能，簡化網(wǎng)絡(luò)組網(wǎng)架構(gòu)，降低5G 混合專網(wǎng)的部署聯(lián)調(diào)復(fù)雜度，提升5G 專網(wǎng)快速交付能力，并避免5G 專網(wǎng)的發(fā)展影響5G 公共網(wǎng)絡(luò)和業(yè)務(wù)的穩(wěn)定。

5 結(jié)束語

隨著行業(yè)客戶對網(wǎng)絡(luò)隔離和功能定制提出了更高要求，運營商將部分定制5GC 網(wǎng)元入駐客戶側(cè)已成為當(dāng)前5G 專網(wǎng)部署的重要方式之一，同時也導(dǎo)致運營商網(wǎng)絡(luò)及企業(yè)園區(qū)專網(wǎng)面臨多點互通和數(shù)據(jù)安全等諸多挑戰(zhàn)。本文對當(dāng)前3GPP 標(biāo)準(zhǔn)在5G SA 網(wǎng)絡(luò)互通方面的3GPP 標(biāo)準(zhǔn)現(xiàn)狀進行分析，針對基于信令互通網(wǎng)關(guān)C-IWF 的5G 企業(yè)專網(wǎng)與運營商5G 公網(wǎng)安全互通方案進行了探討，并分析了該方案的可能應(yīng)用場景及優(yōu)勢。后續(xù)隨著方案的進一步細(xì)化和完善，將可逐步向標(biāo)準(zhǔn)化發(fā)展和產(chǎn)品應(yīng)用落地方面推廣。