［陳潔 李思含 尹君 劉國榮］

1 引言

面向行業(yè)客戶不同的需求，運營商可以提供虛擬專網(wǎng)、邊緣專網(wǎng)、私享專網(wǎng)三種定制專網(wǎng)服務，滿足客戶對網(wǎng)絡資源和設備的差異化定制需求。虛擬專網(wǎng)的服務特點是廣域覆蓋、公專協(xié)同、快速開通等。邊緣專網(wǎng)的服務特點是無線按需增強、數(shù)據(jù)不出場、算力下沉等。私享專網(wǎng)的服務特點是無線按需專屬定制、網(wǎng)絡設備按需定制、高隔離高安全等。不同的行業(yè)專網(wǎng)服務需求相應地會引入不同的組網(wǎng)需求及不同的技術手段組合，如圖1 所示。

圖1 三種5G 定制專網(wǎng)服務組網(wǎng)示例

根據(jù)不同的服務需求特征，虛擬專網(wǎng)可以引入QOS、切片、定制DNN 等技術手段，邊緣專網(wǎng)可以引入定制UPF、MEC、無線網(wǎng)絡增強等，私享專網(wǎng)可以引入定制5GC 網(wǎng)元、專用基站定制等。運營商可根據(jù)行業(yè)客戶具體的業(yè)務能力需求，適配不同的端到端網(wǎng)絡能力，通過規(guī)劃設計形成滿足客戶定制需求的5G 定制網(wǎng)絡方案，為客戶提供差異化的專網(wǎng)服務。

邊緣專網(wǎng)和私享專網(wǎng)的服務模式將運營商核心網(wǎng)的邊界延伸到用戶側，大大增加運營商核心網(wǎng)與企業(yè)專網(wǎng)網(wǎng)元對接和接口適配、網(wǎng)絡數(shù)據(jù)配置的復雜度，同時在網(wǎng)絡運行維護管理、在網(wǎng)絡和設備和數(shù)據(jù)安全、用戶和業(yè)務數(shù)據(jù)安全等方面都對運營商帶來較大的挑戰(zhàn)。本文將結合5G SA 網(wǎng)絡互通技術在3GPP 標準的現(xiàn)狀，對5G 企業(yè)專網(wǎng)與運營商5G 公共網(wǎng)絡（下文統(tǒng)稱為5G 公網(wǎng)）信令互通的方案進行探討。

2 標準現(xiàn)狀

3GPP 針對5G SA 架構的PLMN 網(wǎng)絡內(nèi)相同信任區(qū)網(wǎng)元的互通、不同PLMN 間網(wǎng)元的互通、及非3GPP 接入都分別定義了相應的互通網(wǎng)元功能，包括SCP、SEPP/IPUPS、N3IWF 等。如圖2 所示。

圖2 3GPP SA 網(wǎng)絡內(nèi)部及對外互通架構

其中，3GPP 已定義的互通網(wǎng)元功能如下：

（1）SCP（Service Communication Proxy，服務通信代理）：5G 網(wǎng)絡內(nèi)部網(wǎng)元功能之間可通過SCP 進行的非直接通信。SCP 負責代理服務發(fā)現(xiàn)、把消息轉發(fā)至目標網(wǎng)元功能、以及網(wǎng)元功能之間負載均衡和負載控制等。

（2）N3IWF（None-3GPP InterWorking Function，非3GPP 交互功能）：非3GPP 接入（如WiFi 接入）通過N3IWF 接入5GC 網(wǎng)絡。N3IWF 主要功能包括：支持與UE 間的IPSec 隧道的建立；作為連接到5G 核心網(wǎng)的控制面N2 接口及用戶面N3 接口的終結點；在UE 和AMF 間傳遞上行和下行的NAS 消息；在UE 和UPF 之間傳遞上下行用戶面數(shù)據(jù)包等。

（3）SEPP（Security Edge Protection Proxy，安全邊緣保護代理）：PLMN 之間、SNPN 之間、以及SNPN 與CH（Credentials Holder，擁有UDM 和AUSF 網(wǎng)元的第三方憑證持有者）之間控制面接口的消息過濾、監(jiān)管、拓撲隱藏。

（4）IPUPS（Inter-PLMN UP Security，PLMN 間 用戶面安全）：5G 系統(tǒng)架構在不同PLMN 間通過IPUPS 來保護用戶面數(shù)據(jù)傳遞。IPUPS 是UPF 的功能之一，可以作為UPF 內(nèi)置功能進行部署，也可以作為獨立IPUPS 功能部署。IPUPS 負責不同PLMN 的UPF 之間N9 接口的GTP-U 安全保護。

從以上互通架構可以看到，3GPP 標準未定義相同PLMN 內(nèi)兩個不同信任區(qū)域的5G 企業(yè)專網(wǎng)與5G 公共網(wǎng)絡互通場景。但是隨著運營商依托5G 公共網(wǎng)絡拓展5G專網(wǎng)業(yè)務，企業(yè)客戶要求在園區(qū)下沉部署5GC 網(wǎng)元的需求日益增多，亟需進一步加強5G 公共網(wǎng)絡和企業(yè)園區(qū)5G專網(wǎng)的互通安全性。

3 解決方案

為了解決上述問題，本文介紹一種在5G 企業(yè)專網(wǎng)與5G 公網(wǎng)之間引入信令互通網(wǎng)關的方案，企業(yè)園區(qū)的專網(wǎng)網(wǎng)元可通過信令互通網(wǎng)關C-IWF（Customized-InterWorking Function，定制化信令互通網(wǎng)關）接入5G 公共網(wǎng)絡。根據(jù)不同行業(yè)客戶的需求差異，部署在企業(yè)園區(qū)的5G 專網(wǎng)網(wǎng)元組合可以包括UPF、AMF+SMF+UPF、AMF+SMF+UPF+UDM 等。如圖3 所示。

圖3 基于C-IWF 的5G 企業(yè)專網(wǎng)與5G 公網(wǎng)的互通架構

其中C-IWF 的核心功能主要是安全隔離和信令代理。

3.1 安全隔離

安全隔離的關鍵技術包括網(wǎng)元認證、網(wǎng)絡隔離與訪問控制、異常信令過濾等。如圖4 所示。

圖4 C-IWF 的安全隔離功能

（1）網(wǎng)元認證

安全接入是網(wǎng)元間通信安全的基礎，C-IWF 支持與企業(yè)園區(qū)內(nèi)網(wǎng)元的雙向認證和傳輸保護，分別支持服務化接口對接和N4 接口對接兩個應用場景。

C-IWF 轉發(fā)服務化接口信令時，采用3GPP 協(xié)議推薦的TLS機制實現(xiàn)C-IWF與企業(yè)園區(qū)內(nèi)網(wǎng)元之間傳輸保護。TLS 支持1.2 以上版本，使用傳輸保護模式。

C-IWF 轉發(fā)基于PFCP 協(xié)議的N4 接口信令時，采用3GPP NDS/IP 機制提供完整性和機密性保護，即基于IKEv2 實現(xiàn)安全聯(lián)盟、密鑰協(xié)商及雙向認證，基于IPSec ESP 實現(xiàn)傳輸加密。

C-IWF 支持基于預共享密鑰、數(shù)字證書等實現(xiàn)與企業(yè)園區(qū)內(nèi)網(wǎng)元的雙向認證。對于新入網(wǎng)網(wǎng)元，可基于設備商預制憑證，實現(xiàn)密鑰分發(fā)、證書注冊等憑證自動分發(fā)機制，滿足企業(yè)園區(qū)網(wǎng)絡快速部署的要求。

（2）網(wǎng)絡隔離與訪問控制

C-IWF 作為5GC 網(wǎng)元功能代理提供企業(yè)園區(qū)內(nèi)網(wǎng)元與5G 公共網(wǎng)絡網(wǎng)元的信令互通，雙方網(wǎng)元對外完全不可見，從而實現(xiàn)了對外的網(wǎng)絡拓撲隱藏和安全隔離。

在此基礎上，C-IWF 進一步對企業(yè)園區(qū)網(wǎng)元與5G 公共網(wǎng)絡網(wǎng)元的互通請求服務和數(shù)據(jù)進行管控。授權策略由運營商管理員進行管理和維護，管理員發(fā)布5G 公共網(wǎng)絡網(wǎng)元可供調(diào)用的網(wǎng)絡服務、可被請求的數(shù)據(jù)范圍。C-IWF根據(jù)管理員發(fā)布的內(nèi)容來維護數(shù)據(jù)和服務調(diào)用關系，并對調(diào)用請求進行驗證控制。只有通過合法性驗證和開放服務授權后，企業(yè)園區(qū)網(wǎng)元才具備訪問和使用公共網(wǎng)絡服務的條件。

（3）異常信令過濾

C-IWF 代理轉發(fā)信令消息前，將進行異常信令控制，防止資源擠占和安全事件跨園區(qū)蔓延，最大限度保障客戶網(wǎng)絡正常通信。

異常信令消息包括畸形或異常TCP/IP 數(shù)據(jù)包、不符合3GPP 協(xié)議定義等。對于發(fā)送的異常報文，C-IWF 會根據(jù)策略進行丟棄。對于企業(yè)園區(qū)內(nèi)的網(wǎng)元在一定時期內(nèi)持續(xù)發(fā)送異常報文超過閾值時，C-IWF 將啟用熔斷機制，發(fā)出告警，并在一段時間內(nèi)暫停其使用公共網(wǎng)絡服務。

C-IWF 從流量大小、消息類型等多個維度對流量進行學習，建立正常流量模型，并持續(xù)監(jiān)測異常流量。當單一方向業(yè)務流量與模型偏差超出閾值時，C-IWF 會對該方向流量進行限速，防止過度占用資源而影響其他客戶的正常使用。當信令總流量超過閾值時，C-IWF 提供過載保護，對總流量進行限速，防止業(yè)務中斷。

3.2 信令代理

針對5GC 部分網(wǎng)元下沉的園區(qū)級“比鄰”和“如翼”兩種模式的定制服務，C-IWF 支持5G 公共網(wǎng)絡和企業(yè)園區(qū)專網(wǎng)網(wǎng)元之間的信令代理。如圖5 所示。

圖5 C-IWF 的信令代理功能

C-IWF 支持基于FQDN、用戶號段、切片、位置等一種或多種組合的信令路由轉發(fā)能力，并支持UDM/AUSF訪問代理、專網(wǎng)AMF 注冊代理及重定向代理功能，以滿足各種專網(wǎng)應用場景需求，及提升快速交付能力。

（1）UDM/AUSF 訪問代理

C-IWF 的UDM/AUSF 訪問代理功能指N8/N10/N12接口的信令代理。N8/N10 接口為AMF/SMF 與UDM 之間的接口，主要用于AMF/SMF 向UDM 獲取和訂閱用戶的簽約數(shù)據(jù)，以及向UDM 進行用戶注冊認證。N12 接口為AMF 與AUSF 之間的接口，用于AMF 與AUSF 之間用戶鑒權信息的交互。

C-IWF 收到企業(yè)專網(wǎng)用戶發(fā)起注冊、鑒權、會話建立等流程時通過企業(yè)專網(wǎng)AMF/SMF 發(fā)送的業(yè)務請求，C-IWF根據(jù)用戶號段等將信令消息轉發(fā)至正確的公共網(wǎng)絡UDM和AUSF。對于訂閱等存在回調(diào)地址的信令流程，C-IWF對訂閱請求中的回調(diào)地址進行替換以確保通知消息正確下發(fā)給專網(wǎng)網(wǎng)元。

（2）專網(wǎng)AMF 注冊代理及重定向代理

C-IWF 的專網(wǎng)AMF 注冊代理功能指專網(wǎng)AMF 向公共網(wǎng)絡NRF 注冊的信令代理，重定向代理指N14 接口信令代理。N14 接口為AMF 之間的接口，用于AMF 之間傳遞消息。

在5G 公共網(wǎng)絡和企業(yè)專網(wǎng)共享基站的場景下，當終端不支持在注冊請求中上報自己的切片信息時，基站無法根據(jù)切片信息進行AMF 的選擇。為保證運營商公眾用戶的業(yè)務使用，通?；驹O置為默認將終端接入運營商公共網(wǎng)絡AMF。如果企業(yè)客戶的終端需要接入專網(wǎng)的切片，則需要進行公共網(wǎng)絡AMF 與專網(wǎng)AMF 間的重定向流程。此場景下，專網(wǎng)AMF 需要通過C-IWF 向公共網(wǎng)絡NRF進行網(wǎng)元注冊，使公共網(wǎng)絡AMF 可以正確將重定向請求消息發(fā)送至C-IWF，C-IWF 再根據(jù)切片和位置等信息，將重定向請求消息發(fā)送至企業(yè)終端所屬的專網(wǎng)AMF。如圖6 所示。

圖6 專網(wǎng)AMF 注冊代理及重定向代理

C-IWF 支持以下兩種注冊代理方式：

①C-IWF 以AMF 身份向NRF 注冊方式：C-IWF 代理所轄區(qū)域下所有專網(wǎng)AMF 并以一個AMF 的身份向公共網(wǎng)絡NRF 發(fā)起注冊，在這種情況下，公共網(wǎng)絡AMF 可以通過NRF 獲取C-IWF 的地址信息，并將重定向消息發(fā)送至C-IWF。

②專網(wǎng)AMF 經(jīng)C-IWF 向NRF 注冊方式：專網(wǎng)AMF可經(jīng)過C-IWF 直接向公共網(wǎng)絡NRF 注冊，C-IWF 對專網(wǎng)AMF 的注冊請求進行處理，隱藏專網(wǎng)AMF 的IP 地址信息并替換成FQDN 的形式，后續(xù)流程中，公共網(wǎng)絡AMF可以通過NRF 獲取專網(wǎng)AMF 的FQDN，但每一個專網(wǎng)AMF 的FQDN 均對應C-IWF 的IP 地址。

4 應用場景及優(yōu)勢

基于C-IWF 的5G 企業(yè)專網(wǎng)與5G 公網(wǎng)互通方案可以應用于邊緣專網(wǎng)和私享專網(wǎng)場景。如圖7 所示。

圖7 C-IWF 應用于邊緣專網(wǎng)和私享專網(wǎng)場景的互通

邊緣專網(wǎng)場景下，通過在企業(yè)園區(qū)部署UPF 并接入5G 公共網(wǎng)絡的混合專網(wǎng)模式滿足企業(yè)客戶數(shù)據(jù)不出園區(qū)和業(yè)務安全隔離的需求。C-IWF 作為信令代理網(wǎng)元，一方面隱藏了5G 企業(yè)專網(wǎng)和5G 公共網(wǎng)絡拓撲，對下沉邊緣UPF 進行接入訪問認證，對交互信令進行安全過濾和保障；另一方面，C-IWF 負責下沉邊緣UPF 與5G 公共網(wǎng)絡SMF 之間N4 接口的交互信令代理。

私享專網(wǎng)場景下，通過在企業(yè)園區(qū)部署部分定制5GC網(wǎng)元并接入5G 公共網(wǎng)絡的混合專網(wǎng)模式滿足客戶對專網(wǎng)網(wǎng)絡和業(yè)務參數(shù)及策略的本地自主管理需求。企業(yè)終端號卡由運營商5G 公共網(wǎng)絡的UDM/AUSF 統(tǒng)一管理。C-IWF作為信令代理網(wǎng)元，一方面隱藏了5G 專網(wǎng)和公共網(wǎng)絡的拓撲，對下沉5GC 網(wǎng)元進行接入訪問認證，對交互信令進行安全防控；另一方面，C-IWF 負責5G 公共網(wǎng)絡AMF和專網(wǎng)AMF 之間的AMF 重定向信令代理，保障企業(yè)終端從園區(qū)的共享基站可以接入到定制5GC。同時負責專網(wǎng)AMF 和SMF 與5G 公共網(wǎng)絡UDM/AUSF 之間的交互信令代理和尋址，保障企業(yè)終端的接入認證和授權。

C-IWF 方案具有以下優(yōu)勢：

（1）安全隔離，訪問控制：當前5G 專網(wǎng)方案一般是通過防火墻等實現(xiàn)IP 層面訪問控制，缺乏信令層面的安全防護。通過引入C-IWF，可在架構上增強5G 公共網(wǎng)絡與企業(yè)園區(qū)專網(wǎng)之間及不同企業(yè)園區(qū)專網(wǎng)之間的安全隔離，并支持專網(wǎng)網(wǎng)元接入5G 公共網(wǎng)絡的認證和授權，從而避免安全隱患。

（2）一點接入，快速交付：C-IWF 實現(xiàn)對所轄區(qū)域內(nèi)所有企業(yè)園區(qū)5G 專網(wǎng)的一點接入、信令匯聚和信令代理功能，簡化網(wǎng)絡組網(wǎng)架構，降低5G 混合專網(wǎng)的部署聯(lián)調(diào)復雜度，提升5G 專網(wǎng)快速交付能力，并避免5G 專網(wǎng)的發(fā)展影響5G 公共網(wǎng)絡和業(yè)務的穩(wěn)定。

5 結束語

隨著行業(yè)客戶對網(wǎng)絡隔離和功能定制提出了更高要求，運營商將部分定制5GC 網(wǎng)元入駐客戶側已成為當前5G 專網(wǎng)部署的重要方式之一，同時也導致運營商網(wǎng)絡及企業(yè)園區(qū)專網(wǎng)面臨多點互通和數(shù)據(jù)安全等諸多挑戰(zhàn)。本文對當前3GPP 標準在5G SA 網(wǎng)絡互通方面的3GPP 標準現(xiàn)狀進行分析，針對基于信令互通網(wǎng)關C-IWF 的5G 企業(yè)專網(wǎng)與運營商5G 公網(wǎng)安全互通方案進行了探討，并分析了該方案的可能應用場景及優(yōu)勢。后續(xù)隨著方案的進一步細化和完善，將可逐步向標準化發(fā)展和產(chǎn)品應用落地方面推廣。