張 強(qiáng)，梁職業(yè)，劉建華（.中訊郵電咨詢?cè)O(shè)計(jì)院有限公司成都分公司，四川成都 60000；.湖北華網(wǎng)通信集團(tuán)有限公司，四川成都 60000）

0 引言

隨著“云、大、物、移、智”等先進(jìn)技術(shù)迅猛發(fā)展，電站運(yùn)行、維護(hù)、檢修、安防、監(jiān)測(cè)等工作均向著智能化發(fā)展，電站各業(yè)務(wù)場(chǎng)景對(duì)無線網(wǎng)絡(luò)覆蓋需求迫切，對(duì)無線網(wǎng)絡(luò)質(zhì)量、時(shí)延、帶寬、數(shù)據(jù)保密性、網(wǎng)絡(luò)控制權(quán)等提出了更高要求。5G技術(shù)作為新一代通信技術(shù)，其大帶寬、低時(shí)延、大連接特征契合了電站的通信需求。運(yùn)營(yíng)商可根據(jù)行業(yè)用戶的特定需求提供定制化的5G專網(wǎng)服務(wù)，在業(yè)務(wù)安全、數(shù)據(jù)隔離、網(wǎng)絡(luò)覆蓋、傳輸帶寬與時(shí)延等方面為行業(yè)用戶提供網(wǎng)絡(luò)保障。當(dāng)前5G專網(wǎng)已成為行業(yè)數(shù)字化轉(zhuǎn)型新引擎，部署5G專網(wǎng)成為企業(yè)拓展生產(chǎn)效能、提速數(shù)字化轉(zhuǎn)型的必要手段。

1 需求分析

電站5G 專網(wǎng)建設(shè)應(yīng)滿足業(yè)務(wù)需求，在安全管理上，5G 專網(wǎng)應(yīng)滿足電站專屬專用，提供可靠的業(yè)務(wù)隔離和業(yè)務(wù)質(zhì)量保障，能在接入安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)防泄露安全、惡意攻擊抵御等方面提供全方位的防護(hù)能力；在網(wǎng)絡(luò)運(yùn)營(yíng)上，電站對(duì)5G 專網(wǎng)有一定的自配置、自管理能力；在網(wǎng)絡(luò)可靠性上，5G 專網(wǎng)應(yīng)具備容災(zāi)安全保障，具備硬件備份、鏈路容災(zāi)及網(wǎng)元級(jí)容災(zāi)等不同程度的網(wǎng)絡(luò)容災(zāi)保障，在網(wǎng)絡(luò)單點(diǎn)故障情況下保障業(yè)務(wù)連續(xù)性。針對(duì)水電站高濕環(huán)境，基站設(shè)備需采用防潮防水措施。

如圖1 所示，智慧電站+5G 典型應(yīng)用場(chǎng)景涉及生產(chǎn)控制、智能巡檢、智能運(yùn)維和安全應(yīng)急4大類。針對(duì)不同的業(yè)務(wù)場(chǎng)景，5G 專網(wǎng)需提供差異化的網(wǎng)絡(luò)能力，例如在視頻監(jiān)控類場(chǎng)景下需要保障高帶寬、高吞吐量，智能移動(dòng)巡檢場(chǎng)景下的網(wǎng)絡(luò)需要有較強(qiáng)的移動(dòng)切換能力，數(shù)據(jù)采集類場(chǎng)景下需提供海量設(shè)備連接的能力，控制類場(chǎng)景要求的網(wǎng)絡(luò)時(shí)延可達(dá)到毫秒級(jí)別。

圖1 智慧電站基于5G典型應(yīng)用場(chǎng)景

2 電站5G專網(wǎng)建設(shè)方案

2.1 5G專網(wǎng)建設(shè)內(nèi)容

如圖2所示，5G專網(wǎng)建設(shè)涉及的網(wǎng)元主要包含5G基站、傳送網(wǎng)、核心網(wǎng)控制面轉(zhuǎn)發(fā)設(shè)備和核心網(wǎng)數(shù)據(jù)面轉(zhuǎn)發(fā)設(shè)備4個(gè)，信令的傳輸存在于各網(wǎng)元之間，確保網(wǎng)絡(luò)安全、可靠、穩(wěn)定地運(yùn)行；數(shù)據(jù)的傳輸存在于基站、傳送設(shè)備和核心網(wǎng)-數(shù)據(jù)面（UPF）之間，是傳送終端和園區(qū)內(nèi)網(wǎng)之間應(yīng)用數(shù)據(jù)傳輸?shù)母咚俟贰?/p>

圖2 5G專網(wǎng)建設(shè)內(nèi)容

在5G網(wǎng)絡(luò)中，各個(gè)網(wǎng)元的主要功能如下。

a）核心網(wǎng)-控制面。包括AMF、SMF 等網(wǎng)元，是5G 網(wǎng)絡(luò)的指揮樞紐，通過信令的交互，完成終端接入鑒權(quán)、安全管理、移動(dòng)性管理、會(huì)話管理、用戶數(shù)據(jù)管理和策略管理等，確保網(wǎng)絡(luò)安全、可靠、穩(wěn)定地運(yùn)行。

b）核心網(wǎng)-數(shù)據(jù)面。主要是指UPF 網(wǎng)元，是5G 網(wǎng)絡(luò)對(duì)外的數(shù)據(jù)出口，所有基站上的5G 數(shù)據(jù)通過GTPU隧道送到UPF，在UPF 上進(jìn)行轉(zhuǎn)發(fā)。UPF 的部署位置決定了數(shù)據(jù)的出口位置，如部署在園區(qū)內(nèi)部，則可確保應(yīng)用數(shù)據(jù)不出園區(qū)，在園區(qū)內(nèi)部閉環(huán)。

c）傳送網(wǎng)。連接5G 基站和核心網(wǎng)的傳輸設(shè)備，內(nèi)部通過切片方式確保數(shù)據(jù)之間的隔離。

d）5G 基站。5G 無線信號(hào)收發(fā)設(shè)備，輻射5G 無線信號(hào)實(shí)現(xiàn)數(shù)據(jù)的無線傳輸，同時(shí)將空口接收的數(shù)據(jù)通過GTP 隧道發(fā)送到UPF，5G 基站與UPF 之間可采用IPSec進(jìn)行加密，5G基站不對(duì)數(shù)據(jù)進(jìn)行任何解析。

2.2 5G專網(wǎng)組網(wǎng)模式

根據(jù)國(guó)家政策，現(xiàn)階段企業(yè)不具備自建5G專網(wǎng)條件，5G 專網(wǎng)由運(yùn)營(yíng)商為企業(yè)提供。運(yùn)營(yíng)商推出的5G專網(wǎng)模式有公網(wǎng)公用模式、公網(wǎng)專用模式和專網(wǎng)專用模式3種，其在不同運(yùn)營(yíng)商的名稱雖然不同，但網(wǎng)絡(luò)技術(shù)實(shí)質(zhì)沒有差別。各通信運(yùn)營(yíng)商專網(wǎng)名稱見表1。

表1 通信運(yùn)營(yíng)商5G專網(wǎng)模式分析

a）公網(wǎng)公用模式?；谶\(yùn)營(yíng)商提供的面向公眾的無線資源，通過QoS、切片等手段實(shí)現(xiàn)業(yè)務(wù)隔離，為企業(yè)提供邏輯專用網(wǎng)絡(luò)?？蓾M足企業(yè)對(duì)特定網(wǎng)絡(luò)速率、時(shí)延及可靠性的優(yōu)先保障需求。此模式下企業(yè)只需提出高優(yōu)先級(jí)QoS或切片需求，無需進(jìn)行網(wǎng)絡(luò)建設(shè)。

b）公網(wǎng)專用模式。運(yùn)營(yíng)商提供專用無線網(wǎng)絡(luò)，通過邊緣計(jì)算技術(shù)實(shí)現(xiàn)本地業(yè)務(wù)處理，滿足業(yè)務(wù)數(shù)據(jù)本地卸載、超低時(shí)延、高可靠性等需求。該模式下核心網(wǎng)用戶面網(wǎng)元UPF 為企業(yè)專用部署，無線基站和傳輸網(wǎng)可采用企業(yè)專用部署或共享運(yùn)營(yíng)商公網(wǎng)資源2種方式，核心網(wǎng)控制面網(wǎng)元復(fù)用運(yùn)營(yíng)商2B核心網(wǎng)控制面。

c）專網(wǎng)專用模式。從無線基站、傳輸網(wǎng)到核心網(wǎng)用戶面與控制面均專用部署，與公網(wǎng)完全隔離，公網(wǎng)業(yè)務(wù)的變化不會(huì)影響專網(wǎng)數(shù)據(jù)傳輸質(zhì)量，形成物理上高度封閉的行業(yè)應(yīng)用專網(wǎng)。該模式下網(wǎng)絡(luò)建設(shè)成本最高。

2.3 電站5G專網(wǎng)方案

結(jié)合電站需求、網(wǎng)絡(luò)建設(shè)成本以及運(yùn)營(yíng)商提供的專網(wǎng)模式，電站5G專網(wǎng)優(yōu)先采用混合專網(wǎng)模式。如圖3 所示，在電站內(nèi)部署專用的核心網(wǎng)用戶面網(wǎng)元MEC（UPF+MEP）、無線基站及傳輸網(wǎng)，核心網(wǎng)控制面網(wǎng)元復(fù)用運(yùn)營(yíng)商核心網(wǎng)控制面。通過邊緣計(jì)算等技術(shù)進(jìn)行業(yè)務(wù)本地分流，實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)不出企業(yè)內(nèi)網(wǎng)，滿足業(yè)務(wù)數(shù)據(jù)在本地卸載、超低時(shí)延、高可靠性等需求?；九cMEC 之間的數(shù)據(jù)通過新建的傳輸網(wǎng)連接，所有經(jīng)過MEC 的業(yè)務(wù)數(shù)據(jù)，經(jīng)防火墻后進(jìn)入電站內(nèi)的核心交換設(shè)備，進(jìn)而訪問企業(yè)內(nèi)網(wǎng)業(yè)務(wù)。

圖3 電站5G專網(wǎng)網(wǎng)絡(luò)架構(gòu)示意圖

a）核心網(wǎng)建設(shè)方案?；?G+MEC 的組網(wǎng)架構(gòu)，在電站內(nèi)部署1 套用戶數(shù)據(jù)網(wǎng)元MEC（UPF+MEP）。MEC 部署在電站核心機(jī)房?jī)?nèi)，吞吐能力及會(huì)話處理能力根據(jù)實(shí)際需求配置，建設(shè)初期可按吞吐能力20 Gbit/s、會(huì)話處理能力5 萬PDU 進(jìn)行建設(shè)，后續(xù)隨著業(yè)務(wù)增長(zhǎng)進(jìn)行擴(kuò)容。若有網(wǎng)元級(jí)容災(zāi)要求，可在電站內(nèi)異地部署2 套MEC 互為備份，正常情況下2 套MEC 雙活運(yùn)行，基于負(fù)荷分擔(dān)的方式選擇本站點(diǎn)其中1 套MEC 訪問業(yè)務(wù)。如果其中1 套MEC 設(shè)備故障，選擇使用本站內(nèi)另外1套MEC訪問業(yè)務(wù)。

b）無線網(wǎng)建設(shè)方案。通過專用5G 基站建設(shè)，對(duì)電站各區(qū)域進(jìn)行5G 專用網(wǎng)絡(luò)信號(hào)覆蓋。5G 無線接入網(wǎng)采用運(yùn)營(yíng)商主流5G 頻段，針對(duì)不同的覆蓋場(chǎng)景，5G基站可采用5G 宏站、5G 數(shù)字化室分、小站等設(shè)備，5G宏站主要用于廣覆蓋場(chǎng)景，5G數(shù)字化室分主要用于室內(nèi)密集場(chǎng)景。

c）承載網(wǎng)建設(shè)方案。5G 專網(wǎng)數(shù)據(jù)承載網(wǎng)采用“核心+匯聚+接入”的簡(jiǎn)化架構(gòu)實(shí)現(xiàn)業(yè)務(wù)綜合承載目標(biāo)，混合專網(wǎng)模式下，電站內(nèi)數(shù)據(jù)承載網(wǎng)建設(shè)只涉及匯聚和接入2 層。接入、匯聚上聯(lián)應(yīng)采用口字型組網(wǎng)成環(huán)，環(huán)網(wǎng)容量根據(jù)實(shí)際業(yè)務(wù)需求進(jìn)行規(guī)劃，建設(shè)初期接入環(huán)容量不低于20GE，接入設(shè)備具備平滑升級(jí)能力。

d）5G Wi-Fi 建設(shè)方案?？紤]當(dāng)前終端產(chǎn)業(yè)鏈及5G 支持情況，為解決非5G 終端接入5G 專網(wǎng)通信需求，在5G 專網(wǎng)覆蓋區(qū)域按需部署CPE，將5G 專網(wǎng)信號(hào)轉(zhuǎn)換為Wi-Fi信號(hào)，非5G 終端通過Wi-Fi信號(hào)接入5G專網(wǎng)。

2.4 業(yè)務(wù)數(shù)據(jù)流

在混合專網(wǎng)模式下，電站內(nèi)終端劃分為專網(wǎng)終端和公網(wǎng)終端2 種，通過規(guī)劃配置終端專網(wǎng)標(biāo)識(shí)對(duì)專網(wǎng)終端進(jìn)行識(shí)別。專網(wǎng)終端在專網(wǎng)覆蓋范圍內(nèi)可正常搜索到專網(wǎng)信號(hào)，并發(fā)起接入注冊(cè)流程，基站根據(jù)終端上報(bào)的專網(wǎng)標(biāo)識(shí)選擇核心網(wǎng)AMF，AMF 負(fù)責(zé)對(duì)用戶進(jìn)行接入認(rèn)證和鑒權(quán)（UDM 配合），認(rèn)證成功后建立會(huì)話，用戶可正常進(jìn)行數(shù)據(jù)業(yè)務(wù)。專網(wǎng)基站專用模式下，公網(wǎng)終端在電站可正常搜索到專網(wǎng)無線信號(hào)，但在發(fā)起注冊(cè)過程中，核心網(wǎng)經(jīng)過判斷其未上報(bào)專網(wǎng)標(biāo)識(shí)，拒絕用戶接入，用戶接入失敗。專網(wǎng)終端只能在專網(wǎng)覆蓋范圍內(nèi)使用，不能接入公網(wǎng)，圖4給出了專網(wǎng)業(yè)務(wù)數(shù)據(jù)流示意。

圖4 專網(wǎng)業(yè)務(wù)數(shù)據(jù)流示意圖

a）專網(wǎng)終端業(yè)務(wù)數(shù)據(jù)流。專網(wǎng)終端→專網(wǎng)基站/5G CPE→專網(wǎng)UPF/MEC→企業(yè)內(nèi)部應(yīng)用。員工公網(wǎng)終端在電站內(nèi)不能通過專網(wǎng)基站訪問5G專網(wǎng)，若有訪問企業(yè)內(nèi)網(wǎng)的需求，可通過CPE 轉(zhuǎn)換的Wi-Fi 接入企業(yè)內(nèi)網(wǎng)。

b）公網(wǎng)終端訪問專網(wǎng)業(yè)務(wù)數(shù)據(jù)流。公網(wǎng)終端→5G CPE→專網(wǎng)基站→專網(wǎng)UPF/MEC→企業(yè)內(nèi)部應(yīng)用。

2.5 專網(wǎng)安全方案

5G 專網(wǎng)安全可分為5 個(gè)部分，包括終端接入安全、數(shù)據(jù)傳輸安全、MEC 邊緣安全、企業(yè)內(nèi)外網(wǎng)安全和安全管理。

2.5.1 終端接入安全

終端分為2 大類，分別是5G 終端（如5G CPE、5G Dongle 和5G 攝像頭）和其他非5G 終端。針對(duì)5G 終端的接入安全，主要采用身份合法認(rèn)證和訪問控制限制2 種方案；對(duì)于非5G 終端接入5G CPE，主要通過在5G CPE 上進(jìn)行相關(guān)配置，支持白名單認(rèn)證、啟用Wi-Fi 鑒權(quán)加密和啟用CPE防火墻3種安全防護(hù)方案。

2.5.2 數(shù)據(jù)傳輸安全

5G 終端通過空口傳輸業(yè)務(wù)和信令數(shù)據(jù)，通過3GPP空口信令面和用戶面加密完保實(shí)現(xiàn)安全；基站與MEC/UPF之間的業(yè)務(wù)數(shù)據(jù)通過GTP-U隧道傳輸，可采用BBU 到MEC 之間的IPSec 加密方案；MEC 與企業(yè)內(nèi)網(wǎng)之間的業(yè)務(wù)數(shù)據(jù)可以采用IPSec 加密保護(hù)，以MEC側(cè)的防火墻作為起點(diǎn)，終結(jié)在企業(yè)內(nèi)網(wǎng)網(wǎng)關(guān)，IPSec 密鑰由企業(yè)掌握。

2.5.3 數(shù)據(jù)不出園

實(shí)現(xiàn)業(yè)務(wù)數(shù)據(jù)不出電站可采用3 種方案，一是利用防火墻控制UPF 和大網(wǎng)5GC 之間僅有信令和網(wǎng)管流量通過，可通過配置基于N4 接口的策略控制實(shí)現(xiàn)；二是在MEC/UPF 不設(shè)置對(duì)Internet 的出口，N6 口的業(yè)務(wù)流量導(dǎo)入到防火墻，由電站進(jìn)行流向策略控制，確保數(shù)據(jù)不出園；三是在N4防火墻上啟用網(wǎng)絡(luò)流量分析（NTA）功能，監(jiān)控防火墻到5GC的通信，以周期報(bào)表的形式呈現(xiàn)給客戶進(jìn)行確認(rèn)和審計(jì)，確保沒有業(yè)務(wù)數(shù)據(jù)流出。

2.5.4 MEC安全

將邊緣MEC 內(nèi)部劃分為運(yùn)營(yíng)商安全域（含網(wǎng)元子域UPF、平臺(tái)子域MEP 及自有APP）和工廠應(yīng)用安全域（包括機(jī)器視覺、AI 檢測(cè)等VM 及應(yīng)用），如圖5 所示。安全域之間采用防火墻實(shí)現(xiàn)通信隔離，MEC 組網(wǎng)層面上管理平面、信令平面、業(yè)務(wù)平面和企業(yè)APP 運(yùn)維平面4 個(gè)平面之間通過VLAN 邏輯平面隔離；MEC分區(qū)采用由外向內(nèi)的分層隔離與防護(hù)，F(xiàn)W1 實(shí)現(xiàn)外部攻擊防護(hù)，F(xiàn)W2實(shí)現(xiàn)內(nèi)部領(lǐng)域隔離。FW1和FW2可以通過MEC的DC-GW旁掛1對(duì)物理防火墻統(tǒng)一實(shí)現(xiàn)。

圖5 MEC安全域劃分示意圖

在MEC平臺(tái)的安全防護(hù)方面，MEC服務(wù)器基于硬件根安全啟動(dòng)和安全運(yùn)行，保證設(shè)備啟動(dòng)鏈的完整性，防止被植入后門；MEC主機(jī)安全加固，啟用MEC平臺(tái)API 安全能力，包括API 認(rèn)證鑒權(quán)、API 流控、API 調(diào)用TLS 加密等，防止通過APP 攻擊MEC 平臺(tái)和5GC；MEP/UPF 與APP 之間啟用防火墻策略，防止APP 通過N6/Mp1接口發(fā)起對(duì)UPF/MEP的流量攻擊等。

2.5.5 邊界安全保護(hù)

5G 專網(wǎng)邊界包括MEC 與5GC 控制面邊界、UPF與APP邊界以及MEC與企業(yè)內(nèi)網(wǎng)邊界，MEC與5GC邊界采用防火墻進(jìn)行隔離，通過設(shè)置信令面僅N2、N4 接口允許PFCP UDP 信令流通過，業(yè)務(wù)面禁止流量通過，防止業(yè)務(wù)數(shù)據(jù)出園；UPF與企業(yè)APP間部署防火墻，隔離UPF 與園區(qū)網(wǎng)絡(luò)；MEC 與企業(yè)內(nèi)網(wǎng)邊界采用防火墻隔離，設(shè)置隔離區(qū)，隔離企業(yè)內(nèi)網(wǎng)和MEC。

3 基于5G的應(yīng)用賦能

隨著人工智能技術(shù)與5G技術(shù)的應(yīng)用發(fā)展，智慧電站的建設(shè)理念不斷成熟，電站建設(shè)向自動(dòng)化、無人化、智能化方向發(fā)展。作為新一代移動(dòng)通信技術(shù)，5G技術(shù)契合了電站智能化、數(shù)字化轉(zhuǎn)型對(duì)無線網(wǎng)絡(luò)的應(yīng)用需求，能夠滿足工業(yè)環(huán)境下設(shè)備互聯(lián)和遠(yuǎn)程交互。一方面利用高可靠性網(wǎng)絡(luò)連續(xù)覆蓋，滿足企業(yè)各種差異化業(yè)務(wù)需求，實(shí)現(xiàn)隨時(shí)隨地的信息共享，推動(dòng)安全高質(zhì)量生產(chǎn)。另一方面5G技術(shù)可應(yīng)用在設(shè)備的遠(yuǎn)程監(jiān)測(cè)、識(shí)別、診斷、維護(hù)等方面，大大提高生產(chǎn)運(yùn)行效率。企業(yè)可以通過“5G+應(yīng)用”建設(shè)，實(shí)現(xiàn)遠(yuǎn)程智能監(jiān)測(cè)、智能診斷和遠(yuǎn)程維護(hù)，助力生產(chǎn)、維護(hù)模式升級(jí)。當(dāng)前基于5G的高清遠(yuǎn)程監(jiān)視、無人機(jī)巡檢、遠(yuǎn)程管理控制、遠(yuǎn)程機(jī)器人排查、AR/VR 等應(yīng)用已廣泛應(yīng)用于多個(gè)行業(yè)，可優(yōu)先在電站應(yīng)用部署。

4 結(jié)束語

本文分析了智慧電站建設(shè)對(duì)無線網(wǎng)絡(luò)功能、業(yè)務(wù)場(chǎng)景等方面的需求，研究了三大運(yùn)營(yíng)商為行業(yè)用戶提供的5G 專網(wǎng)服務(wù)模式?；谛枨蠛?G 專網(wǎng)服務(wù)模式，提出了電站5G 專網(wǎng)建設(shè)方案。從目前5G 的發(fā)展情況來看，很多垂直行業(yè)應(yīng)用仍舊處于探索階段。想要真正成為賦能千行百業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵技術(shù)，還需各方深入合作，逐步探索具體應(yīng)用場(chǎng)景，結(jié)合人工智能、物聯(lián)網(wǎng)等技術(shù)，構(gòu)建一個(gè)智慧互聯(lián)的電站。