李沸樂 張雪貝 楊文聰 唐雄燕 王立文

中國聯(lián)通研究院 北京 100048

引言

當(dāng)前數(shù)字化浪潮席卷全球，在新基建政策推動下，5G產(chǎn)業(yè)快速發(fā)展，5G網(wǎng)絡(luò)將助力各行業(yè)向數(shù)字化智能化轉(zhuǎn)型，開啟數(shù)字經(jīng)濟(jì)新時代。運(yùn)營商作為5G建設(shè)的主力軍，積極響應(yīng)推動5G SA網(wǎng)絡(luò)的商用部署及5G產(chǎn)業(yè)鏈的不斷成熟。5G正在加速與工業(yè)、交通、醫(yī)療等各行各業(yè)深度融合，同時，面向行業(yè)客戶的5G專網(wǎng)也面臨著來自行業(yè)的巨大挑戰(zhàn)，需要滿足不同場景下的差異化需求，比如大上行、多業(yè)務(wù)共存、高可靠的業(yè)務(wù)保障、超低時延等。其中，鋼鐵、采礦、核電等特殊領(lǐng)域都對業(yè)務(wù)的高可靠性及安全隔離性提出了較高的需求，因此本文分析了重點行業(yè)的5G定制專網(wǎng)核心網(wǎng)高可靠性需求，并基于此提出了分級UDM架構(gòu)以及高可靠性方案，為產(chǎn)業(yè)界規(guī)劃設(shè)計5G定制專網(wǎng)核心網(wǎng)容災(zāi)方案及行業(yè)客戶本地部署5G定制專網(wǎng)提供參考和技術(shù)支撐。

1 5G定制專網(wǎng)核心網(wǎng)的高可靠性需求分析

為滿足行業(yè)用戶差異化通信服務(wù)需求，保障生產(chǎn)、辦公、管理、調(diào)度等業(yè)務(wù)環(huán)節(jié)，運(yùn)營商基于5G核心網(wǎng)服務(wù)化架構(gòu)，發(fā)揮運(yùn)營商網(wǎng)絡(luò)頻譜資源及移動通信網(wǎng)絡(luò)運(yùn)營優(yōu)勢，設(shè)計并提供“專建專維·專用專享”的專有核心網(wǎng)。5G專網(wǎng)核心網(wǎng)有多種部署形態(tài)，各家運(yùn)營商和設(shè)備商在專網(wǎng)核心網(wǎng)的名稱和內(nèi)涵的詮釋上有一些差異[1-3]，但是從技術(shù)的角度來說，根據(jù)網(wǎng)絡(luò)定制化資源獨享程度的不同，均可歸為5G虛擬專網(wǎng)核心網(wǎng)、5G混合專網(wǎng)核心網(wǎng)、5G定制專網(wǎng)核心網(wǎng)三類[4]。虛擬專網(wǎng)核心網(wǎng)為公網(wǎng)核心網(wǎng)的切片?；旌蠈＞W(wǎng)核心組網(wǎng)模式靈活，其控制面網(wǎng)元或全部與公網(wǎng)共用，或部分按需下沉，或為公網(wǎng)核心網(wǎng)控制面的切片；其用戶面網(wǎng)元為下沉部署至園區(qū)本地的專用UPF。定制專網(wǎng)核心網(wǎng)與公網(wǎng)核心網(wǎng)相對隔離，是下沉到園區(qū)本地的5G輕量化核心網(wǎng)，采用基于SBA的“3+2+X”的系統(tǒng)架構(gòu)：“3”是指進(jìn)行功能裁剪與定制增強(qiáng)后下沉到行業(yè)本地的“AMF+SMF+UPF”網(wǎng)元；“2”是指與公網(wǎng)共用的“UDM+AUSF”網(wǎng)元，由運(yùn)營商統(tǒng)一管理用戶開卡業(yè)務(wù)和用戶數(shù)據(jù)；“X”是指PCF、NSSF、CHF等網(wǎng)絡(luò)功能實體，非必須網(wǎng)元，可根據(jù)行業(yè)用戶需求決定是否定制部署。

5G定制專網(wǎng)采用按需下沉的定制專網(wǎng)核心網(wǎng)，保證公網(wǎng)故障或網(wǎng)絡(luò)調(diào)整時專網(wǎng)業(yè)務(wù)不受影響，可實現(xiàn)專網(wǎng)行業(yè)業(yè)務(wù)的控制指令、業(yè)務(wù)數(shù)據(jù)流不出園區(qū)，為行業(yè)用戶提供安全可靠的用戶連接與數(shù)據(jù)傳輸，故往往承載著業(yè)務(wù)連續(xù)性和災(zāi)難保護(hù)重要性更為突出的行業(yè)業(yè)務(wù)，如果沒有完善的容災(zāi)機(jī)制，災(zāi)難發(fā)生時重點業(yè)務(wù)和系統(tǒng)的突然中斷會造成人員嚴(yán)重傷亡、資金大量損失的情況，后果不堪設(shè)想。高端制造、交通運(yùn)輸、航空服務(wù)等領(lǐng)域的大中型企業(yè)以及礦井、油田、碼頭、核電、軍隊等局域封閉場景均對5G定制專網(wǎng)以及高可靠特性有強(qiáng)烈的需求。

5G核心網(wǎng)高可靠性需求涉及多個層面，通常包括5GC硬件層、虛擬層、應(yīng)用層等的容災(zāi)保護(hù)，而5G定制專網(wǎng)核心網(wǎng)除了要確保園區(qū)本地多網(wǎng)元節(jié)點故障情況下的業(yè)務(wù)零中斷，還需重點關(guān)注公網(wǎng)UDM網(wǎng)元設(shè)備故障或公網(wǎng)UDM與專網(wǎng)5GC之間的傳輸網(wǎng)被破壞等公網(wǎng)UDM失聯(lián)場景，提出創(chuàng)新方法以避免5G定制專網(wǎng)核心網(wǎng)與公網(wǎng)UDM之間信令層不通導(dǎo)致新的業(yè)務(wù)請求無法發(fā)起，以及新進(jìn)入網(wǎng)絡(luò)的終端以及離線終端無法接入到網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)處理。

2 5G定制專網(wǎng)分級UDM高可靠性方案

本章將提出一種新型5G定制專網(wǎng)分級UDM系統(tǒng)架構(gòu)并制定高可靠性方案以保障公網(wǎng)UDM失聯(lián)時專網(wǎng)用戶能夠不受影響地接入和保障業(yè)務(wù)連續(xù)性。

2.1 分級UDM系統(tǒng)架構(gòu)

目前業(yè)內(nèi)流行采用的5GC容災(zāi)系統(tǒng)架構(gòu)為跨DC部署同款NF，NF容災(zāi)模式有1+1主備、1+1互備和組POOL三種方式[5]，但此類容災(zāi)架構(gòu)并不能直接解決5G定制專網(wǎng)的公網(wǎng)UDM失聯(lián)問題。因為，公網(wǎng)UDM網(wǎng)元產(chǎn)品功能完備性能強(qiáng)勁，通常與專網(wǎng)網(wǎng)元并非同款設(shè)備，若在園區(qū)同步部署一套公網(wǎng)UDM網(wǎng)元作為容災(zāi)備份網(wǎng)元，其昂貴的價格和更高的技術(shù)門檻將大大增加網(wǎng)絡(luò)建設(shè)運(yùn)維成本和資源消耗，且不符合各運(yùn)營商UDM/UDR網(wǎng)元不下沉至園區(qū)、號卡資源不開放給園區(qū)的專網(wǎng)建網(wǎng)模式。因此，本文新創(chuàng)一種5G定制專網(wǎng)分級UDM系統(tǒng)架構(gòu)，如圖1所示。

圖1 5G定制專網(wǎng)分級UDM系統(tǒng)架構(gòu)圖

行業(yè)內(nèi)5GC產(chǎn)品通常將UDM和AUSF融合部署為UDM網(wǎng)元，實際網(wǎng)絡(luò)建設(shè)部署中也可為分開部署，本文均擬定為融合部署。所有5G定制專網(wǎng)均共用公網(wǎng)的UDM網(wǎng)元，并在本地部署一套專網(wǎng)UDM，專網(wǎng)UDM定位為容災(zāi)備份，僅能實施少量運(yùn)維操作，不能進(jìn)行放號或簽約修改。與公網(wǎng)通訊正常時，專網(wǎng)優(yōu)先連接公網(wǎng)UDM，專網(wǎng)AMF和SMF從公網(wǎng)UDM處獲取用戶數(shù)據(jù)；當(dāng)公網(wǎng)UDM失聯(lián)時，由專網(wǎng)UDM接管，負(fù)責(zé)用戶鑒權(quán)、注冊、接入等基本功能，以保持業(yè)務(wù)連續(xù)性。此分級UDM架構(gòu)既能保證由運(yùn)營商統(tǒng)一管理用戶開卡業(yè)務(wù)和用戶數(shù)據(jù)，又能完成公網(wǎng)UDM失聯(lián)時的專網(wǎng)應(yīng)急處理。

2.2 方案研究與設(shè)計

本文將從以下幾個方面來研究與設(shè)計5G定制專網(wǎng)分級UDM高可靠性方案。

2.2.1 分級UDM數(shù)據(jù)同步

為保證公網(wǎng)UDM失聯(lián)時專網(wǎng)系統(tǒng)可正常提供業(yè)務(wù)，需使可從本地專網(wǎng)UDM處獲取用戶5G簽約數(shù)據(jù)和鑒權(quán)數(shù)據(jù)，以完成專網(wǎng)用戶的5G鑒權(quán)、注冊、接入等基本業(yè)務(wù)流程。目前，業(yè)內(nèi)不同5GC網(wǎng)元獲取用戶數(shù)據(jù)分別采用兩種方法，一是UDM從BOSS(Business Operations Support Systems，業(yè)務(wù)運(yùn)營支撐系統(tǒng))營賬系統(tǒng)獲取，BOSS通過SOAP(Simple Object Access Protocol，簡單對象訪問協(xié)議)指令向UDM分發(fā)用戶數(shù)據(jù)；二是其他5GC NF從UDM網(wǎng)元獲取，NF作為客戶端采用3GPP協(xié)議標(biāo)準(zhǔn)信令Nudm_SDM_Get消息從公網(wǎng)UDM處獲取。但上述方法均不適用于專網(wǎng)UDM獲取并保存最新的本專網(wǎng)用戶5G簽約數(shù)據(jù)和鑒權(quán)數(shù)據(jù)。因為，若使用方法一，則BOSS需要維持與成千上萬甚至更多專網(wǎng)的連接分發(fā)，會大大增加運(yùn)營商BOSS系統(tǒng)操作維護(hù)的壓力，此外，指令分發(fā)操作依賴于BOSS能準(zhǔn)確識別各專網(wǎng)UDM所管理用戶特別是離散用戶，而目前BOSS系統(tǒng)不具備此能力；若使用方法二，現(xiàn)有通信標(biāo)準(zhǔn)只涉及簽約數(shù)據(jù)，無法獲取原始鑒權(quán)數(shù)據(jù)，本地專網(wǎng)UDM無法支撐用戶的接入鑒權(quán)。故本文制定一種新的分級UDM數(shù)據(jù)同步方法。

傳統(tǒng)媒體的信息傳播過程是單向的，僅僅是向用戶傳遞信息，對于用戶的需求，觀眾對于信息的反饋，媒體處于封閉狀態(tài)，與觀眾的互動較少。新媒體的信息傳遞，更重要的是形成傳遞的閉環(huán)。新媒體融合，既保持傳統(tǒng)媒體信息傳遞的主要功能，又將觀眾的需求和節(jié)目的互動結(jié)合，形成良好的互動機(jī)制。觀眾借助新媒體平臺發(fā)表自己的意見見解，參與到節(jié)目過程中，活躍節(jié)目氣氛，提高節(jié)目收視率。打破傳統(tǒng)媒體信息來源單一的弊病，新媒體的發(fā)展使得每一個用戶都成為信息的收集者，拓展信息來源渠道。

網(wǎng)絡(luò)系統(tǒng)引入外置文件服務(wù)器平臺，公網(wǎng)UDM周期性生成各專網(wǎng)的用戶數(shù)據(jù)文件并導(dǎo)出上傳到平臺后再由各專網(wǎng)UDM定期從平臺下載本園區(qū)用戶數(shù)據(jù)文件到本地并加載生效。此方法公專網(wǎng)異廠家UDM適配難度低，通過對網(wǎng)絡(luò)系統(tǒng)和設(shè)備進(jìn)行一定的功能增強(qiáng)即可快速落地實施。雖然文件服務(wù)器存在受攻擊的安全風(fēng)險，用戶敏感數(shù)據(jù)的導(dǎo)入導(dǎo)出過程存在被盜取和篡改的安全風(fēng)險，但可通過部署SFTP安全傳輸通道傳輸數(shù)據(jù)文件，因此，公專網(wǎng)UDM均應(yīng)支持SFTP客戶端功能，并增加對用戶數(shù)據(jù)文件的加解密功能，以提高整個網(wǎng)絡(luò)系統(tǒng)的可靠性。同時，UDM需能識別歸納出各專網(wǎng)所簽約的用戶，考慮到不同園區(qū)本地定制專網(wǎng)通常有各自專屬的DNN(Data Network Name，數(shù)據(jù)網(wǎng)絡(luò)名稱)，公網(wǎng)UDM應(yīng)支持基于DNN識別導(dǎo)出園區(qū)用戶數(shù)據(jù)，通過配置DNN關(guān)聯(lián)到專網(wǎng)UDM， 導(dǎo)出時間周期可配置。

步驟1：完成各項配置。文件服務(wù)器作為SFTP服務(wù)端，為公網(wǎng)UDM和專網(wǎng)UDM分配獨立的用戶名和密碼、訪問目錄、IP接入控制等。公網(wǎng)UDM完成專網(wǎng)UDM的專用K4密鑰配置、DNN值與專網(wǎng)UDM的對應(yīng)關(guān)系配置、其和文件服務(wù)器的對接配置；專網(wǎng)UDM完成專用K4密鑰等鑒權(quán)相關(guān)屬性配置以及其和文件服務(wù)器的對接配置。

步驟2：BOSS在公網(wǎng)UDM內(nèi)給專網(wǎng)用戶開戶，下發(fā)用戶數(shù)據(jù)，包括簽約數(shù)據(jù)和原始鑒權(quán)數(shù)據(jù)。

步驟3：公網(wǎng)UDM定時按照專網(wǎng)專屬DNN導(dǎo)出園區(qū)用戶數(shù)據(jù)到文件和對應(yīng)目錄，并對用戶數(shù)據(jù)進(jìn)行雙重加密。公網(wǎng)UDM負(fù)責(zé)維護(hù)公網(wǎng)和專網(wǎng)兩套K4密鑰，為每個園區(qū)專網(wǎng)分配不同的專用K4密鑰，先使用此園區(qū)專用K4密鑰對KI值和OPC值等關(guān)鍵敏感用戶數(shù)據(jù)進(jìn)行單獨加密后再對導(dǎo)出的數(shù)據(jù)文件加密。文件密鑰與數(shù)據(jù)加密的密鑰單獨維護(hù)，使用不同的密鑰，文件加密算法可以選擇某標(biāo)準(zhǔn)加密算法。

步驟4：公網(wǎng)UDM通過SFTP安全加密方式上傳最新導(dǎo)出的用戶數(shù)據(jù)文件到文件服務(wù)器。

步驟6：專網(wǎng)UDM解密用戶數(shù)據(jù)文件并用專用秘鑰解密KI值和OPC值，然后將數(shù)據(jù)文件加載到系統(tǒng)里激活生效，并導(dǎo)入專網(wǎng)本地數(shù)據(jù)庫。

公網(wǎng)UDM導(dǎo)出各園區(qū)數(shù)據(jù)的內(nèi)容和格式要求并無通用標(biāo)準(zhǔn)和現(xiàn)行方案可循，需對所導(dǎo)出用戶數(shù)據(jù)文件的格式、解壓縮格式、命名方式、文件加解密算法等進(jìn)行統(tǒng)一規(guī)范；需定制模板規(guī)范用戶數(shù)據(jù)的類別、屬性、格式、是否必選、缺省值、屬性取值說明、備注等。

2.2.2 切換與回切

公網(wǎng)UDM網(wǎng)元容災(zāi)部署多采用1+1主備模式，5G定制專網(wǎng)核心網(wǎng)控制面網(wǎng)元AMF/SMF與公網(wǎng)主UDM/AUSF、公網(wǎng)備UDM/AUSF、專網(wǎng)UDM/AUSF之間均建立信令鏈接，如圖2所示，專網(wǎng)N12(AMF-AUSF)、N8(AMF-UDM)、N10(SMF-UDM)接口均各有三條鏈路，且在網(wǎng)元上設(shè)置鏈路選擇優(yōu)先級，優(yōu)先級從高到低設(shè)置為N8/N12(1)＞N8/N12(2)＞N8/N12(3)、N10(1)＞N10(2)＞N10(3)。

圖2 5G定制專網(wǎng)核心網(wǎng)控制面信令鏈路圖

專網(wǎng)5GC在選擇鏈路時優(yōu)選可用最高優(yōu)先級的鏈路。網(wǎng)絡(luò)正常時專網(wǎng)AMF和SMF使用公網(wǎng)主用UDM網(wǎng)元，使用最高優(yōu)先級鏈路N8/N12(1)和N10(1)；當(dāng)公網(wǎng)主用UDM網(wǎng)元宕機(jī)時切換為公網(wǎng)備用UDM網(wǎng)元接管業(yè)務(wù)，啟用次高優(yōu)先級鏈路N8/N12(2)和N10(2)；當(dāng)公網(wǎng)UDM網(wǎng)元失聯(lián)時，專網(wǎng)AMF/SMF如與UDM有信令交互需求，則切換到專網(wǎng)UDM完成相關(guān)業(yè)務(wù)處理，啟用最低優(yōu)先級鏈路N8/N12(3)和N10(3)。

專網(wǎng)UDM的功能定位為備份用戶數(shù)據(jù)，僅緊急時刻使用，需盡量避免專網(wǎng)長期運(yùn)營在專網(wǎng)UDM模式。與公網(wǎng)通訊恢復(fù)后，回切為公網(wǎng)UDM網(wǎng)元接管專網(wǎng)業(yè)務(wù)，專網(wǎng)AMF、SMF與公網(wǎng)UDM有信令交互時啟用可用的最高優(yōu)先級鏈路N8/N12(1)和N10(1)或者次高優(yōu)先級鏈路N8/N12(2)和N10(2)。

2.2.3 用戶保活及回遷

專網(wǎng)的終端種類和業(yè)務(wù)類型豐富，在公專網(wǎng)UDM用戶數(shù)據(jù)實時同步的前提下，需持續(xù)有效保障專網(wǎng)用戶運(yùn)行不受影響且園區(qū)業(yè)務(wù)數(shù)據(jù)能穩(wěn)定傳輸。

本方案可保證公網(wǎng)UDM失聯(lián)對處于不同狀態(tài)的專網(wǎng)用戶的業(yè)務(wù)運(yùn)行均無影響：對于在線用戶而言，由于專網(wǎng)AMF上已具有用戶的鑒權(quán)向量和簽約數(shù)據(jù)，用戶無需重鑒權(quán)和向UDM發(fā)起重注冊，專網(wǎng)SMF上也已經(jīng)具有簽約數(shù)據(jù)，無需向UDM重新獲取，可保障運(yùn)行中的業(yè)務(wù)的連續(xù)性；對于離線用戶和新用戶而言，用戶發(fā)起注冊和會話建立請求時，專網(wǎng)AMF、SMF會自動選擇可用的鏈路向?qū)＞W(wǎng)UDM獲取用戶數(shù)據(jù)，完成專網(wǎng)用戶的本地應(yīng)急接入以及業(yè)務(wù)的啟用。

公網(wǎng)連接恢復(fù)后，專網(wǎng)AMF和SMF檢測到公網(wǎng)UDM可用，則在一定時間內(nèi)將注冊到專網(wǎng)UDM上的用戶全部遷移到公網(wǎng)UDM上。若此時段內(nèi)用戶發(fā)起TAU或鑒權(quán)等信令則會觸發(fā)專網(wǎng)AMF和SMF將注冊消息轉(zhuǎn)發(fā)到公網(wǎng)UDM；若此時段內(nèi)無用戶信令，則需要新的機(jī)制來將在專網(wǎng)本地應(yīng)急接入的用戶遷移重注冊至公網(wǎng)UDM。為避免自動遷移導(dǎo)致業(yè)務(wù)受損，可通過人工方式完成用戶遷移，專網(wǎng)AMF和SMF定時掃描用戶，篩選出待遷移的本地應(yīng)急接入的用戶并由專網(wǎng)網(wǎng)絡(luò)管理員在園區(qū)業(yè)務(wù)空閑時人工啟動用戶回遷。

3 結(jié)束語

容災(zāi)始終是行業(yè)客戶重點關(guān)注的問題，本文面向公網(wǎng)UDM失聯(lián)場景下5G定制專網(wǎng)核心網(wǎng)容災(zāi)需求提出了分級UDM架構(gòu)以及高可靠性方案。該方案采用完善的容災(zāi)機(jī)制保證專網(wǎng)用戶在公網(wǎng)UDM失聯(lián)時仍能不受影響地接入并使用園區(qū)應(yīng)用服務(wù)，同時提供對失聯(lián)前專網(wǎng)已有業(yè)務(wù)的連續(xù)性保障。隨著企業(yè)數(shù)字化程度的不斷提高，企業(yè)對通信網(wǎng)絡(luò)的依賴程度越來越高，系統(tǒng)的連續(xù)性和災(zāi)難保護(hù)的重要性也越來越突出。運(yùn)營商將繼續(xù)以客戶為中心，以行業(yè)需求為出發(fā)點，在專網(wǎng)容災(zāi)方案、關(guān)鍵技術(shù)以及商業(yè)模式等方面持續(xù)創(chuàng)新，為垂直行業(yè)打造性能優(yōu)良、安全穩(wěn)定的高可靠5G精品專網(wǎng)。