亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        5G 企業(yè)專網(wǎng)與運營商公共網(wǎng)絡的信令互通方案

        2022-10-22 02:05:48陳潔李思含尹君劉國榮
        廣東通信技術 2022年9期
        關鍵詞:網(wǎng)元專網(wǎng)信令

        [陳潔 李思含 尹君 劉國榮]

        1 引言

        面向行業(yè)客戶不同的需求,運營商可以提供虛擬專網(wǎng)、邊緣專網(wǎng)、私享專網(wǎng)三種定制專網(wǎng)服務,滿足客戶對網(wǎng)絡資源和設備的差異化定制需求。虛擬專網(wǎng)的服務特點是廣域覆蓋、公專協(xié)同、快速開通等。邊緣專網(wǎng)的服務特點是無線按需增強、數(shù)據(jù)不出場、算力下沉等。私享專網(wǎng)的服務特點是無線按需專屬定制、網(wǎng)絡設備按需定制、高隔離高安全等。不同的行業(yè)專網(wǎng)服務需求相應地會引入不同的組網(wǎng)需求及不同的技術手段組合,如圖1 所示。

        圖1 三種5G 定制專網(wǎng)服務組網(wǎng)示例

        根據(jù)不同的服務需求特征,虛擬專網(wǎng)可以引入QOS、切片、定制DNN 等技術手段,邊緣專網(wǎng)可以引入定制UPF、MEC、無線網(wǎng)絡增強等,私享專網(wǎng)可以引入定制5GC 網(wǎng)元、專用基站定制等。運營商可根據(jù)行業(yè)客戶具體的業(yè)務能力需求,適配不同的端到端網(wǎng)絡能力,通過規(guī)劃設計形成滿足客戶定制需求的5G 定制網(wǎng)絡方案,為客戶提供差異化的專網(wǎng)服務。

        邊緣專網(wǎng)和私享專網(wǎng)的服務模式將運營商核心網(wǎng)的邊界延伸到用戶側,大大增加運營商核心網(wǎng)與企業(yè)專網(wǎng)網(wǎng)元對接和接口適配、網(wǎng)絡數(shù)據(jù)配置的復雜度,同時在網(wǎng)絡運行維護管理、在網(wǎng)絡和設備和數(shù)據(jù)安全、用戶和業(yè)務數(shù)據(jù)安全等方面都對運營商帶來較大的挑戰(zhàn)。本文將結合5G SA 網(wǎng)絡互通技術在3GPP 標準的現(xiàn)狀,對5G 企業(yè)專網(wǎng)與運營商5G 公共網(wǎng)絡(下文統(tǒng)稱為5G 公網(wǎng))信令互通的方案進行探討。

        2 標準現(xiàn)狀

        3GPP 針對5G SA 架構的PLMN 網(wǎng)絡內(nèi)相同信任區(qū)網(wǎng)元的互通、不同PLMN 間網(wǎng)元的互通、及非3GPP 接入都分別定義了相應的互通網(wǎng)元功能,包括SCP、SEPP/IPUPS、N3IWF 等。如圖2 所示。

        圖2 3GPP SA 網(wǎng)絡內(nèi)部及對外互通架構

        其中,3GPP 已定義的互通網(wǎng)元功能如下:

        (1)SCP(Service Communication Proxy,服務通信代理):5G 網(wǎng)絡內(nèi)部網(wǎng)元功能之間可通過SCP 進行的非直接通信。SCP 負責代理服務發(fā)現(xiàn)、把消息轉發(fā)至目標網(wǎng)元功能、以及網(wǎng)元功能之間負載均衡和負載控制等。

        (2)N3IWF(None-3GPP InterWorking Function,非3GPP 交互功能):非3GPP 接入(如WiFi 接入)通過N3IWF 接入5GC 網(wǎng)絡。N3IWF 主要功能包括:支持與UE 間的IPSec 隧道的建立;作為連接到5G 核心網(wǎng)的控制面N2 接口及用戶面N3 接口的終結點;在UE 和AMF 間傳遞上行和下行的NAS 消息;在UE 和UPF 之間傳遞上下行用戶面數(shù)據(jù)包等。

        (3)SEPP(Security Edge Protection Proxy,安全邊緣保護代理):PLMN 之間、SNPN 之間、以及SNPN 與CH(Credentials Holder,擁有UDM 和AUSF 網(wǎng)元的第三方憑證持有者)之間控制面接口的消息過濾、監(jiān)管、拓撲隱藏。

        (4)IPUPS(Inter-PLMN UP Security,PLMN 間 用戶面安全):5G 系統(tǒng)架構在不同PLMN 間通過IPUPS 來保護用戶面數(shù)據(jù)傳遞。IPUPS 是UPF 的功能之一,可以作為UPF 內(nèi)置功能進行部署,也可以作為獨立IPUPS 功能部署。IPUPS 負責不同PLMN 的UPF 之間N9 接口的GTP-U 安全保護。

        從以上互通架構可以看到,3GPP 標準未定義相同PLMN 內(nèi)兩個不同信任區(qū)域的5G 企業(yè)專網(wǎng)與5G 公共網(wǎng)絡互通場景。但是隨著運營商依托5G 公共網(wǎng)絡拓展5G專網(wǎng)業(yè)務,企業(yè)客戶要求在園區(qū)下沉部署5GC 網(wǎng)元的需求日益增多,亟需進一步加強5G 公共網(wǎng)絡和企業(yè)園區(qū)5G專網(wǎng)的互通安全性。

        3 解決方案

        為了解決上述問題,本文介紹一種在5G 企業(yè)專網(wǎng)與5G 公網(wǎng)之間引入信令互通網(wǎng)關的方案,企業(yè)園區(qū)的專網(wǎng)網(wǎng)元可通過信令互通網(wǎng)關C-IWF(Customized-InterWorking Function,定制化信令互通網(wǎng)關)接入5G 公共網(wǎng)絡。根據(jù)不同行業(yè)客戶的需求差異,部署在企業(yè)園區(qū)的5G 專網(wǎng)網(wǎng)元組合可以包括UPF、AMF+SMF+UPF、AMF+SMF+UPF+UDM 等。如圖3 所示。

        圖3 基于C-IWF 的5G 企業(yè)專網(wǎng)與5G 公網(wǎng)的互通架構

        其中C-IWF 的核心功能主要是安全隔離和信令代理。

        3.1 安全隔離

        安全隔離的關鍵技術包括網(wǎng)元認證、網(wǎng)絡隔離與訪問控制、異常信令過濾等。如圖4 所示。

        圖4 C-IWF 的安全隔離功能

        (1)網(wǎng)元認證

        安全接入是網(wǎng)元間通信安全的基礎,C-IWF 支持與企業(yè)園區(qū)內(nèi)網(wǎng)元的雙向認證和傳輸保護,分別支持服務化接口對接和N4 接口對接兩個應用場景。

        C-IWF 轉發(fā)服務化接口信令時,采用3GPP 協(xié)議推薦的TLS機制實現(xiàn)C-IWF與企業(yè)園區(qū)內(nèi)網(wǎng)元之間傳輸保護。TLS 支持1.2 以上版本,使用傳輸保護模式。

        C-IWF 轉發(fā)基于PFCP 協(xié)議的N4 接口信令時,采用3GPP NDS/IP 機制提供完整性和機密性保護,即基于IKEv2 實現(xiàn)安全聯(lián)盟、密鑰協(xié)商及雙向認證,基于IPSec ESP 實現(xiàn)傳輸加密。

        C-IWF 支持基于預共享密鑰、數(shù)字證書等實現(xiàn)與企業(yè)園區(qū)內(nèi)網(wǎng)元的雙向認證。對于新入網(wǎng)網(wǎng)元,可基于設備商預制憑證,實現(xiàn)密鑰分發(fā)、證書注冊等憑證自動分發(fā)機制,滿足企業(yè)園區(qū)網(wǎng)絡快速部署的要求。

        (2)網(wǎng)絡隔離與訪問控制

        C-IWF 作為5GC 網(wǎng)元功能代理提供企業(yè)園區(qū)內(nèi)網(wǎng)元與5G 公共網(wǎng)絡網(wǎng)元的信令互通,雙方網(wǎng)元對外完全不可見,從而實現(xiàn)了對外的網(wǎng)絡拓撲隱藏和安全隔離。

        在此基礎上,C-IWF 進一步對企業(yè)園區(qū)網(wǎng)元與5G 公共網(wǎng)絡網(wǎng)元的互通請求服務和數(shù)據(jù)進行管控。授權策略由運營商管理員進行管理和維護,管理員發(fā)布5G 公共網(wǎng)絡網(wǎng)元可供調(diào)用的網(wǎng)絡服務、可被請求的數(shù)據(jù)范圍。C-IWF根據(jù)管理員發(fā)布的內(nèi)容來維護數(shù)據(jù)和服務調(diào)用關系,并對調(diào)用請求進行驗證控制。只有通過合法性驗證和開放服務授權后,企業(yè)園區(qū)網(wǎng)元才具備訪問和使用公共網(wǎng)絡服務的條件。

        (3)異常信令過濾

        C-IWF 代理轉發(fā)信令消息前,將進行異常信令控制,防止資源擠占和安全事件跨園區(qū)蔓延,最大限度保障客戶網(wǎng)絡正常通信。

        異常信令消息包括畸形或異常TCP/IP 數(shù)據(jù)包、不符合3GPP 協(xié)議定義等。對于發(fā)送的異常報文,C-IWF 會根據(jù)策略進行丟棄。對于企業(yè)園區(qū)內(nèi)的網(wǎng)元在一定時期內(nèi)持續(xù)發(fā)送異常報文超過閾值時,C-IWF 將啟用熔斷機制,發(fā)出告警,并在一段時間內(nèi)暫停其使用公共網(wǎng)絡服務。

        C-IWF 從流量大小、消息類型等多個維度對流量進行學習,建立正常流量模型,并持續(xù)監(jiān)測異常流量。當單一方向業(yè)務流量與模型偏差超出閾值時,C-IWF 會對該方向流量進行限速,防止過度占用資源而影響其他客戶的正常使用。當信令總流量超過閾值時,C-IWF 提供過載保護,對總流量進行限速,防止業(yè)務中斷。

        3.2 信令代理

        針對5GC 部分網(wǎng)元下沉的園區(qū)級“比鄰”和“如翼”兩種模式的定制服務,C-IWF 支持5G 公共網(wǎng)絡和企業(yè)園區(qū)專網(wǎng)網(wǎng)元之間的信令代理。如圖5 所示。

        圖5 C-IWF 的信令代理功能

        C-IWF 支持基于FQDN、用戶號段、切片、位置等一種或多種組合的信令路由轉發(fā)能力,并支持UDM/AUSF訪問代理、專網(wǎng)AMF 注冊代理及重定向代理功能,以滿足各種專網(wǎng)應用場景需求,及提升快速交付能力。

        (1)UDM/AUSF 訪問代理

        C-IWF 的UDM/AUSF 訪問代理功能指N8/N10/N12接口的信令代理。N8/N10 接口為AMF/SMF 與UDM 之間的接口,主要用于AMF/SMF 向UDM 獲取和訂閱用戶的簽約數(shù)據(jù),以及向UDM 進行用戶注冊認證。N12 接口為AMF 與AUSF 之間的接口,用于AMF 與AUSF 之間用戶鑒權信息的交互。

        C-IWF 收到企業(yè)專網(wǎng)用戶發(fā)起注冊、鑒權、會話建立等流程時通過企業(yè)專網(wǎng)AMF/SMF 發(fā)送的業(yè)務請求,C-IWF根據(jù)用戶號段等將信令消息轉發(fā)至正確的公共網(wǎng)絡UDM和AUSF。對于訂閱等存在回調(diào)地址的信令流程,C-IWF對訂閱請求中的回調(diào)地址進行替換以確保通知消息正確下發(fā)給專網(wǎng)網(wǎng)元。

        (2)專網(wǎng)AMF 注冊代理及重定向代理

        C-IWF 的專網(wǎng)AMF 注冊代理功能指專網(wǎng)AMF 向公共網(wǎng)絡NRF 注冊的信令代理,重定向代理指N14 接口信令代理。N14 接口為AMF 之間的接口,用于AMF 之間傳遞消息。

        在5G 公共網(wǎng)絡和企業(yè)專網(wǎng)共享基站的場景下,當終端不支持在注冊請求中上報自己的切片信息時,基站無法根據(jù)切片信息進行AMF 的選擇。為保證運營商公眾用戶的業(yè)務使用,通?;驹O置為默認將終端接入運營商公共網(wǎng)絡AMF。如果企業(yè)客戶的終端需要接入專網(wǎng)的切片,則需要進行公共網(wǎng)絡AMF 與專網(wǎng)AMF 間的重定向流程。此場景下,專網(wǎng)AMF 需要通過C-IWF 向公共網(wǎng)絡NRF進行網(wǎng)元注冊,使公共網(wǎng)絡AMF 可以正確將重定向請求消息發(fā)送至C-IWF,C-IWF 再根據(jù)切片和位置等信息,將重定向請求消息發(fā)送至企業(yè)終端所屬的專網(wǎng)AMF。如圖6 所示。

        圖6 專網(wǎng)AMF 注冊代理及重定向代理

        C-IWF 支持以下兩種注冊代理方式:

        ①C-IWF 以AMF 身份向NRF 注冊方式:C-IWF 代理所轄區(qū)域下所有專網(wǎng)AMF 并以一個AMF 的身份向公共網(wǎng)絡NRF 發(fā)起注冊,在這種情況下,公共網(wǎng)絡AMF 可以通過NRF 獲取C-IWF 的地址信息,并將重定向消息發(fā)送至C-IWF。

        ②專網(wǎng)AMF 經(jīng)C-IWF 向NRF 注冊方式:專網(wǎng)AMF可經(jīng)過C-IWF 直接向公共網(wǎng)絡NRF 注冊,C-IWF 對專網(wǎng)AMF 的注冊請求進行處理,隱藏專網(wǎng)AMF 的IP 地址信息并替換成FQDN 的形式,后續(xù)流程中,公共網(wǎng)絡AMF可以通過NRF 獲取專網(wǎng)AMF 的FQDN,但每一個專網(wǎng)AMF 的FQDN 均對應C-IWF 的IP 地址。

        4 應用場景及優(yōu)勢

        基于C-IWF 的5G 企業(yè)專網(wǎng)與5G 公網(wǎng)互通方案可以應用于邊緣專網(wǎng)和私享專網(wǎng)場景。如圖7 所示。

        圖7 C-IWF 應用于邊緣專網(wǎng)和私享專網(wǎng)場景的互通

        邊緣專網(wǎng)場景下,通過在企業(yè)園區(qū)部署UPF 并接入5G 公共網(wǎng)絡的混合專網(wǎng)模式滿足企業(yè)客戶數(shù)據(jù)不出園區(qū)和業(yè)務安全隔離的需求。C-IWF 作為信令代理網(wǎng)元,一方面隱藏了5G 企業(yè)專網(wǎng)和5G 公共網(wǎng)絡拓撲,對下沉邊緣UPF 進行接入訪問認證,對交互信令進行安全過濾和保障;另一方面,C-IWF 負責下沉邊緣UPF 與5G 公共網(wǎng)絡SMF 之間N4 接口的交互信令代理。

        私享專網(wǎng)場景下,通過在企業(yè)園區(qū)部署部分定制5GC網(wǎng)元并接入5G 公共網(wǎng)絡的混合專網(wǎng)模式滿足客戶對專網(wǎng)網(wǎng)絡和業(yè)務參數(shù)及策略的本地自主管理需求。企業(yè)終端號卡由運營商5G 公共網(wǎng)絡的UDM/AUSF 統(tǒng)一管理。C-IWF作為信令代理網(wǎng)元,一方面隱藏了5G 專網(wǎng)和公共網(wǎng)絡的拓撲,對下沉5GC 網(wǎng)元進行接入訪問認證,對交互信令進行安全防控;另一方面,C-IWF 負責5G 公共網(wǎng)絡AMF和專網(wǎng)AMF 之間的AMF 重定向信令代理,保障企業(yè)終端從園區(qū)的共享基站可以接入到定制5GC。同時負責專網(wǎng)AMF 和SMF 與5G 公共網(wǎng)絡UDM/AUSF 之間的交互信令代理和尋址,保障企業(yè)終端的接入認證和授權。

        C-IWF 方案具有以下優(yōu)勢:

        (1)安全隔離,訪問控制:當前5G 專網(wǎng)方案一般是通過防火墻等實現(xiàn)IP 層面訪問控制,缺乏信令層面的安全防護。通過引入C-IWF,可在架構上增強5G 公共網(wǎng)絡與企業(yè)園區(qū)專網(wǎng)之間及不同企業(yè)園區(qū)專網(wǎng)之間的安全隔離,并支持專網(wǎng)網(wǎng)元接入5G 公共網(wǎng)絡的認證和授權,從而避免安全隱患。

        (2)一點接入,快速交付:C-IWF 實現(xiàn)對所轄區(qū)域內(nèi)所有企業(yè)園區(qū)5G 專網(wǎng)的一點接入、信令匯聚和信令代理功能,簡化網(wǎng)絡組網(wǎng)架構,降低5G 混合專網(wǎng)的部署聯(lián)調(diào)復雜度,提升5G 專網(wǎng)快速交付能力,并避免5G 專網(wǎng)的發(fā)展影響5G 公共網(wǎng)絡和業(yè)務的穩(wěn)定。

        5 結束語

        隨著行業(yè)客戶對網(wǎng)絡隔離和功能定制提出了更高要求,運營商將部分定制5GC 網(wǎng)元入駐客戶側已成為當前5G 專網(wǎng)部署的重要方式之一,同時也導致運營商網(wǎng)絡及企業(yè)園區(qū)專網(wǎng)面臨多點互通和數(shù)據(jù)安全等諸多挑戰(zhàn)。本文對當前3GPP 標準在5G SA 網(wǎng)絡互通方面的3GPP 標準現(xiàn)狀進行分析,針對基于信令互通網(wǎng)關C-IWF 的5G 企業(yè)專網(wǎng)與運營商5G 公網(wǎng)安全互通方案進行了探討,并分析了該方案的可能應用場景及優(yōu)勢。后續(xù)隨著方案的進一步細化和完善,將可逐步向標準化發(fā)展和產(chǎn)品應用落地方面推廣。

        猜你喜歡
        網(wǎng)元專網(wǎng)信令
        SLS字段在七號信令中的運用
        無線專網(wǎng)通信在武漢配電自動化中的應用
        活力(2019年21期)2019-04-01 12:17:12
        移動信令在交通大數(shù)據(jù)分析中的應用探索
        一種全網(wǎng)時鐘同步管理方法
        無線通信技術在電力通信專網(wǎng)中的應用
        基于信令分析的TD-LTE無線網(wǎng)絡應用研究
        消費導刊(2017年24期)2018-01-31 01:28:37
        LTE網(wǎng)絡信令采集數(shù)據(jù)的分析及探討
        我國警用通信專網(wǎng)與公網(wǎng)比較研究
        警察技術(2015年3期)2015-02-27 15:36:53
        光網(wǎng)絡設備ECC常見問題解決思路剖析
        中國新通信(2014年5期)2014-10-17 01:49:03
        PTN在京津塘高速公路視頻專網(wǎng)中的應用
        日韩亚洲欧美中文高清在线| 亚洲男人天堂黄色av| 国产乱人偷精品人妻a片| 亚洲美女又黄又爽在线观看| 亚洲阿v天堂2018在线观看| 日本高清一区二区三区不卡| 精品综合一区二区三区| www射我里面在线观看| 国产又爽又黄的激情精品视频| 超高清丝袜美腿视频在线| 中文字幕人妻久久久中出| 正在播放强揉爆乳女教师| 九九热在线视频观看这里只有精品| 国产在线AⅤ精品性色| 蜜桃视频羞羞在线观看| 午夜精品久久久久久久99热| 在线观看av永久免费| 激,情四虎欧美视频图片| 午夜免费观看国产视频| 国产农村熟妇videos| 国产在线一91区免费国产91| 国产亚洲青春草在线视频| 漂亮丰满人妻被中出中文字幕| 窝窝午夜看片| 亚洲欧美日韩综合在线观看| 91麻豆精品激情在线观最新| 国精产品一区一区三区有限在线| 国产在线精品成人一区二区三区| 精品少妇爆乳无码aⅴ区| 国产成人精品一区二三区在线观看| 亚洲av综合色区无码专区桃色| 一本之道高清无码视频| 91免费国产| 91九色中文视频在线观看| 性裸交a片一区二区三区| 久久久国产精品樱花网站| 国产精品区二区东京在线| 很黄很色很污18禁免费| 中文字幕人妻偷伦在线视频| 中文字幕亚洲乱亚洲乱妇| 国产精品亚洲二区在线看|