5G独立非公共网络技术演进及应用*

任驰，穆佳，王泽林

（中国联合网络通信有限公司研究院，北京 100048）

0 引言

随着5G技术与各个垂直行业应用的持续深入结合，5G应用的主战场正逐渐从传统的个人移动业务向工业、电力、医疗、港口等垂直领域扩展和渗透[1]。对比传统的个人消费业务，垂直行业存在业务场景差异性大、业务部署区域性强等特点，业务需求、终端形态、部署区域等方面的差异造成不同的垂直行业对网络能力具有完全不同的要求[2]。为适应5G垂直行业业务特点和发展趋势，3GPP定义了非公共网络（Non-Public Network）的概念，并定义了非公共网络的2种部署形态，即SNPN（Standalone Non-Public Network，独立非公共网络）和PNI-NPN（Public Network Integrated Non-Public Network，公网集成的非公共网络）[3]，为垂直行业提供端到端的、可定制化的行业专网解决方案。

而在以上2种部署形态中，SNPN技术又以其更强的独立性，更高的隔离性，以及规划和部署方面更大的自由度而在后续的标准演进过程中成为了研究的重点。随着行业应用场景的不断丰富，行业需求也开始呈现进一步复杂化和分散化的特点，标准化初期所定义的SNPN架构已经逐渐无法满足持续发展的业务场景。如：同一个企业或组织同时管理多个SNPN时，不同的SNPN间如何协同并统一管理；针对可以适用于多种行业的通用终端，如何高效地为其配置对应SNPN的签约和接入信息；用户需要同时访问SNPN和PLMN（Public Land Mobile Network，公共陆地移动网）业务的情况下，如何实现业务的接入和QoS保障。这些问题的解决对SNPN未来的应用和部署具有重要意义。基于此，本文针对前述的SNPN应用中的关键需求，研究了SNPN统一认证授权，SNPN终端的签约凭证及选网信息远程配置，以及SNPN/PLMN网络间的QoS映射3项SNPN关键增强能力。重点针对凭证持有方的引入及主要的部署和应用要求，引导网络（Onboarding Network）和默认凭证服务器在UE签约凭证和选网信息远程配置过程中的作用，以及上层网络和下层网络的概念及网络间业务协同要求等方面进行了分析。最后，针对SNPN未来进一步的演进方向如托管网络的引入，多接入能力的支持等进行了展望，指出了面向SNPN技术下一阶段的重点研究方向。

1 独立非公共网络标准演进

SNPN的概念最早在3GPP Rel-16阶段提出。在SNPN的部署形态下，非公共网络独立部署和管理，所有业务和控制数据在SNPN内闭环运行，非SNPN用户无法接入SNPN网络。SNPN组网形态如图1所示。

图1 SNPN部署形态示意图

SNPN通过PLMN ID和NID（Network identifier，网络标识符）的组合进行标识[4]。SNPN的NG-RAN节点广播PLMN ID+NID用于辅助UE进行网络选择和接入。相对应的，UE会配置特定SNPN的签约标识和凭证信息用于SNPN接入[5-7]。

在Rel-16定义的SNPN架构下，用户的签约、认证授权、网络接入和业务使用都在单一的SNPN内进行，从SNPN部署和应用的角度来说，这就导致SNPN提供广域业务覆盖和灵活的业务配置的能力存在一定的不足，为此，3GPP在Rel-17阶段针对SNPN进行了进一步的增强，包括：

（1）支持统一的SNPN凭证管理和用户认证授权。引入CH（Credentials Holder，凭证持有方）的概念。CH独立于单个SNPN存在并可以同时对接多个SNPN，进而实现多园区/厂区协同场景下UE的统一认证授权。存在SNPN外部的CH的情况下，UE认证授权不再由SNPN内部处理，而是通过与该SNPN对接的CH来进行。

（2）支持UE签约凭证和选网信息的远程配置。Rel-16阶段，UE的签约凭证信息是本地配置在UE内的，但针对部分终端类型，如物流机器人这类在多种行业内通用的终端，终端在生产过程中尚不能确定未来会被用在哪个企业的生产环境中，也就无法为其预先配置特定SNPN的签约凭证和选网信息。因此，需要根据终端提供方和终端使用方间的协议，通过远程配置流程在UE首次启动时为其配置接入特定SNPN所需的信息。

（3）支持PLMN 和SNPN 互访场景中上层网络（Overlay Network）和下层网络（Underlay Network）间的QoS映射。

2 SNPN统一认证授权

2.1 增强的SNPN选择机制

同一企业/组织可以通过统一的CH对下属多个SNPN的UE进行统一的认证授权管理，这一过程可以通过CH所管理的UDM/AUSF或AAA服务器执行。如果一个UE支持由一个CH对其在SNPN接入过程中进行认证授权，那么UE和SNPN网络需要支持通过GIN（Group ID for Network Selection，网络选择群组标识）来完成SNPN的发现和选择。

如果一个SNPN支持使用CH所管理的凭证进行访问，那么NG-RAN会以每SNPN粒度广播一个该SNPN支持使用CH的指示，并广播对应的GIN列表信息，以辅助UE进行SNPN的搜索和选择。如果一个UE支持使用CH所管理的凭证，那么UE上会额外地配置以下信息：

（1）用户控制的优选SNPN优先级列表；

（2）CH控制的优选SNPN优先级列表；

（3）CH控制的GIN优先级列表。

UE会基于NG-RAN的广播信息，按以上顺序选择优先级列表，并根据列表内的优先级顺序进行SNPN选择[8]。CH控制的SNPN/GIN优先级列表可以配置在UDM中，并作为UE签约数据的一部分下发给UE。如果新下发的CH控制的SNPN/GIN优先级列表和UE中已有列表不同，那么这一过程就可能触发UE进行SNPN的重选。

此外，NG-RAN还可以额外地广播一个其是否允许未成功匹配SNPN/GIN优先级信息的UE接入SNPN的指示，即：如果UE未搜索到匹配的PLMN ID+NID或GIN，但同时UE又希望能够接入一个SNPN（如UE被设置为SNPN接入模式），那么UE可以尝试接入一个广播了上述指示的SNPN。

2.2 通过CH的SNPN用户认证授权

CH可以使用UDM/AUSF完成对SNPN用户的认证和授权（如CH是一个运营商PLMN的情况），这种情况对应的系统架构如图2所示。

图2 CH使用UDM/AUSF进行SNPN用户认证的系统架构

在CH管理UDM/AUSF的情况下，SNPN和CH之间的交互类似5G系统的漫游场景下的通信模式，SNPN的AMF和SMF向CH的UDM检索并获取用户的签约数据，并且SNPN和CH之间跨域的通信需要通过SEPP间的N32接口处理，以执行必要的安全防护及拓扑隐藏。

在这种情况下，AMF在发现和选择UDM/AUSF的过程中，会在发送给NRF的网元发现请求中携带CH的标识，以协助SNPN的NRF找到CH的NRF[9]，并进一步获取CH中的UDM/AUSF信息以实现必要的交互并完成对UE的认证授权。CH标识属于用户注册过程中携带的SUCI的一部分，如果SUCI采用NSI（Network Specific Identifier，网络特定标识符）的格式，那么CH标识通过其中的域名（Realm）部分进行体现，如果SUCI采用IMSI的格式，则CH标识为其中的MCC+MNC部分。

CH也可以使用AAA服务器完成对SNPN用户的认证和授权（如CH是一个企业公司总部管理平台的情况），这种情况对应的系统架构如图3所示。

图3 CH使用AAA服务器进行SNPN用户认证的系统架构

如果一个SNPN中的UE需要由一个管理AAA服务器的CH对其进行认证授权，UDM会基于该UE的SUPI配置对应的签约数据，指示该UE需要由CH中的AAA服务器进行认证授权。UDM会将这一指示通知AUSF，并由AUSF选择一个NSSAAF（Network Slice-specific and SNPN Authentication and Authorization Function，网络切片特定的以及SNPN的认证授权功能）来中继和CH所管理的AAA服务器之间用于认证的EAP消息，NSSAAF在这一过程中同时负责进行3GPP协议和AAA协议之间的转换。

3 签约凭证及选网信息的远程配置

3.1 引导网络

为支持向没有预配置SNPN签约凭证和必要的选网信息的UE进行对应的配置信息下发，3GPP在Rel-17阶段定义了引导网络的概念。引导网络可以是一个PLMN（ONPLMN）或一个SNPN（ON-SNPN）。UE通过引导网络建立一个专用于SNPN签约凭证和选网信息的远程配置的PDU会话，并通过该会话访问PVS（Provisioning Server，配置服务器）以获取所需的SNPN访问信息。引导网络可以通过适当的控制策略限制UE所建立的PDU会话只能用于和PVS/DNS的交互，并在UE完成引导配置后将UE从引导网络中移除。

UE通过SNPN（即ON-SNPN）进行远程配置的场景可以适用于如终端制造商统一和各个终端使用方协商并签订商业协议的情况，在这种情况下可以由终端制造商管理ON-SNPN接入过程中基于缺省凭证的UE认证授权过程。终端出厂前统一配置缺省凭证信息用于接入ON-SNPN，根据不同批次的终端用于不同用户的情况，终端制造商可以为其配置不同的PVS访问信息（即PVS IP地址或完整域名FQDN）以获取用于不同SNPN的签约凭证及选网信息。而UE通过PLMN（即ON-PLMN）进行远程配置的情况，则可适用于由运营商统一管理专用终端的配置数据并对接不同的SNPN业务提供方的场景，UE通过PLMN签约凭证接入运营商的PLMN网络，由运营商基于和不同SNPN业务提供方间的协议为UE配置对应的PVS访问信息，辅助其建立PDU会话并获取所需的SNPN签约凭证和选网信息。

3.2 通过引导网络访问远程配置数据

在UE通过接入ON-SNPN获取远程配置的签约凭证和选网信息的情况下，通常需要通过DCS（Default Credentials Server，缺省凭证服务器）在UE接入ON-SNPN的过程中对其进行认证。和CH类似，DCS可以使用UDM/AUSF或AAA服务器对使用缺省凭证的UE进行认证授权。

通过DCS进行ON-SNPN接入过程中认证授权的架构如图4所示。

图4 通过DCS进行ON-SNPN用户认证授权的系统架构

ON-SNPN的NG-RAN节点会广播一个启用引导功能的指示，用于需要进行远程配置的UE进行引导网络的发现和选择。配置了缺省凭证的UE会根据UE内部机制和终端制造商的配置策略，基于缺省凭证信息生成SUPI/SUCI用于向ON-SNPN的注册[10]。

UE在向AMF发送的注册请求消息中会将注册类型设置为“SNPN Onboarding”[11]，以通知AMF本次注册的目的是获取SNPN的签约凭证和选网信息，AMF进一步在UE的上下文信息中记录并存储一个引导指示（Onboarding Indication），引导指示会在后续的PDU会话建立流程中发送给SMF和PCF，用于指示SMF和PCF适配本地的引导配置数据并生成对应的业务管理策略[12]。

UE接入ON-SNPN过程中的认证授权方面，基于DCS的不同部署配置存在不同的交互要求，具体为：

（1）针对DCS托管UDM/AUSF的情况，AMF使用SUCI中的DCS标识进行AUSF的发现和选择并完成对UE的认证授权过程。此外，DCS可以在UDM中预配置PVS访问信息，在DCS对UE进行认证授权的过程中，PVS访问信息由UDM经AUSF下发给AMF。和一般注册流程不同的是，在DCS托管UDM/AUSF的情况下，AMF和SMF不会向UDM请求签约数据，而是应用本地的引导配置数据为UE进行接入管理和会话管理。

（2）针对DCS托管AAA服务器的情况，UE需要使用NSI格式生成SUCI，并且通过其中的域名部分进行DCS的标识。AMF随后选择一个ON-SNPN内的AUSF，并由AUSF选择一个NSSAAF来中继和AAA服务器之间的用于认证授权的EAP消息。AAA服务器可以在这一过程中向AUSF提供PVS访问信息，并由AUSF将其转发给AMF。和一般注册流程不同的是，AUSF在对UE的认证授权过程中不会和UDM进行交互，并且整个ON-SNPN注册过程中都不涉及UDM。

UE在成功注册到ON-SNPN后将发起用于SNPN签约凭证和选网信息远程配置的PDU会话，在PDU会话建立的过程中，SMF在PDU会话建立接受消息中将PVS访问信息下发给UE，以支持UE通过所建立的PDU会话访问PVS服务器。PVS访问信息可以通过以下方式配置或下发给UE，包括：

（1）DCS配置下发；

（2）SMF本地配置并下发；

（3）UE本地配置。

以上几种配置方式下的PVS访问信息使用优先级从高到低排列，即：如果SMF在本地配置了PVS访问信息的同时又在PDU会话建立的过程中从AMF收到了PVS访问信息（即DCS通过AUSF/AAA下发给AMF的信息），则SMF将从AMF收到的信息下发给UE；如果UE本地配置了PVS访问信息的同时又在PDU会话建立接受消息中收到了PVS访问信息，则UE使用从PDU会话建立接受消息中收到的PVS访问信息。

引导网络是ON-PLMN的情况下，UE使用PLMN的签约凭证进行接入ON-PLMN的认证授权。在对UE进行远程配置的过程中，由SMF根据UE在PDU会话建立请求中携带的DNN和S-NSSAI确定需要为UE下发的PVS访问信息。

4 上层和下层网络间的QoS映射

UE可以通过在下层网络建立的PDU会话，经由DN发起到上层网络N3IWF（Non-3GPP InterWorking Function，非3GPP互操作功能）的NWu接口连接，以及到上层网络AMF的N1接口连接，从而以非3GPP接入的形式在上层网络创建PDU会话并访问上层网络的业务。如，驻留在SNPN的UE通过PLMN的N3IWF访问PLMN业务，此时UE所驻留的SNPN即为下层网络，而UE所访问的PLMN即为上层网络。

UE通过下层网络访问上层网络的系统架构如图5所示。

图5 UE通过下层网络访问上层网络业务的系统架构

针对上层网络存在特定QoS需求的业务，N3IWF会为其创建一个用户面IPsec Child SA。上层网络的PCF生成QoS流粒度的业务的控制策略，由N3IWF基于上/下层网络间的SLA将QoS配置参数如5QI，ARP等映射为对应的DSCP值[13]。下层网络的UPF基于下层网络的SMF/PCF所下发的报文检测规则根据N3IWF IP地址和DSCP值进行用户面业务报文的检测，当匹配到对应的业务报文后，UPF进行事件上报并触发PCF基于SLA的要求为对应的业务会话更新业务控制策略，完成上下层网络间的QoS协同。

5 结束语

本文介绍了独立非公共网络的3GPP标准研究背景和技术演进历程，深入分析了3GPP Rel-17阶段新增的基于CH的SNPN统一认证授权，UE签约凭证和选网信息远程配置以及上层/下层网络间QoS映射等特性的关键技术要求和典型应用场景，为后续SNPN技术的应用落地提供了参考。

在标准化领域，SNPN技术以其能够提供更独立网络接入的能力，以及不依赖于公共网络的更灵活的部署形态，成为Rel-17阶段和面向5G-Advanced的Rel-18阶段非公共网络技术的研究重点。在正在进行中的Rel-18阶段，3GPP在SNPN已有能力的基础上，继续针对托管网络（Hosting Network）提供的本地化业务访问进行解决方案的研究[14]，持续提升本地专网业务部署和应用的灵活性，并针对跨SNPN的移动性增强以及支持非3GPP接入等进一步扩展SNPN应用边界的能力进行完善[15]，为SNPN提供更广阔的应用空间。