基于PIN-NPN的5G专网解决方案研究

梁健堂，陈嘉明，许小婉（中国移动通信集团有限公司江门分公司，广东江门 529000）

0 引言

5G 时代，无线通信系统随着5G 技术和标准的持续演进，将进一步发展并深入到垂直行业，加快企业数字化转型。随着ToB 垂直行业业务需求的多样性，也为通信运营商和设备供应商带来了巨大挑战和机遇，如果运营商遵循传统网络（如：GSM、TD-SCDMA、LTE）的建设思路，仅通过一张网络来满足行业间差异巨大的业务需求，对于通信运营商来说投资预算巨大且效率低下，对于设备供应商来说，设备复杂化，成本居高不下。因此，为了更好地满足不同行业对网络能力的差异需求，5G专网应运而生。

在5G专网的建设中，企业对网络的安全性提出了高要求，其中主要包括专网的隔离，如何做到专网与专网的隔离、专网与公网的隔离是必须要面对的一个难题。通常的网络隔离方案就是采用物理隔离，物理隔离需要依托公共陆地移动网（Public Land Mobile Network，PLMN）或者切片进行隔离。而当前受限于终端无法预置切片ID，基本上都采用了PLMN 隔离，通过PLMN 隔离就需要不同的专网使用不同的PLMN，这就增加了公网的PLMN的资源消耗。

NPN是在3GPP R16中引入的新特性，是一种用于构建垂直行业专用网络的技术。NPN 可以和工业互联网进行很好的融合，实现端到端的资源隔离，为垂直行业提供专属接入网络，保障垂直行业客户资源独享。同时NPN 可以为LAN 服务提供支持，满足一些企业、住宅、学校等对于可靠且稳定的私有网络的需求。根据部署方式的不同NPN 被分为2 种类型：独立的非公共网络（SNPN）和非独立的非公共网络（PNI-NPN）。本文重点探讨PNI-NPN 在工业互联网中的部署方案和优势，并以某园区实际应用为例，说明PNI-NPN 的应用效果。

1 5G专网技术

5G 技术可以提供ToC 和ToB 等服务，随着个人通信消费能力饱和，ToC 市场增长放缓，ToB 企业用户逐步成为5G 市场的主角。如果ToC 和ToB 网络合一建设，实际是建设公网而不是专网，因两者服务对象、业务内容等差异化较大，合建会有很多不利之处，单独建设5G ToB 行业专网，能更好为行业用户提供差异化的服务，进一步拓展5G 业务领域。ToB 和ToC 业务的模式对比如表1所示。

表1 ToB和ToC业务的模式对比

1.1 NPN网络技术概述

NPN 一般只供企业等私有实体使用，可以利用虚拟和物理实体将NPN 部署在各种配置中。在3GPP 协议3GPP TS 23.501 的定义中，SNPN 和PNI-NPN 具体的部署方式如下。

a）SNPN。SNPN 不依赖公共网络提供的功能，包括无线和核心网都独立部署，独立管理。一个SNPN可以是一个隔离的不与PLMN 之间交互的NPN 网络，NPN和PLMN可部署在不同的网络基础设施上。

b）PNI-NPN。又称公共网络集成的非公共网络，即在PLMN基础上部署的NPN。PNI-NPN可以完全或部分托管在PLMN 基础设施上，依赖于部分公共网络的网络功能。

（a）PNI-NPN是公网网络的一个切片。

（b）独立的数据网络名称（Data Network Name，DNN）+用户面功能（User Plane Function，UPF）。

（c）通过封闭访问组（Closed Access Group，CAG）机制，对接入PNI-NPN网络的终端做接入控制。

SNPN 和PNI-NPN模型如图1所示。

图1 SNPN 和PNI-NPN模型

1.2 SNPN与PNI-NPN的技术对比

SNPN具有以下优势和劣势。

a）投资和运维：SNPN 是完全独立的网络，与公网是完全隔离的，安全性是最好的，但网络投资巨大，部署、运维都是系统性难题。

b）无线资源授权：SNPN 需要频点资源（需要无线管理机构审批）。

c）安全互通：对接一个SNPN 等同于对接一个新的公网系统，对接SNPN 的工作量大，SNPN 数量多的话，对接就更加困难。

PNI-NPN具有以下优势和劣势。

a）投资和运营。接入公网进行网络部署和运维，无需企业自建5G网络，不存在频谱问题。

b）CAG 方式。实现公网用户和其他专网用户禁止接入、切换到专用小区，提供小区级的物理隔离保障。

c）切片方式。终端、无线、网络侧需要支持切片相关功能，但切片方式可能会涉及切片选择流程，将增加信令消耗，影响接入时延。

传统切片专网和NPN 专网模型的对比如表2 所示。

表2 传统切片专网和NPN专网模型的对比

1.3 PNI-NPN技术解决方案

目前由于产业链暂未成熟且推广难度大，SNPN不被采用。在5G 专网的建设中主要采用PNI-NPN 方案。

PNI-NPN 依赖PLMN 网络，一般部署CAG 功能。该功能用于限定专网用户的接入区域，阻止未被NPN网络认证的终端用户接入集成NPN 的公共网络，从而做到专网隔离。

基于PLMN 网络部署的PNI-NPN，采用网络切片+封闭接入组CAG 技术。先用网络切片进行资源隔离，行业终端专属基站或者频段，资源独享，核心网通过切片构建专属切片网络，然后通过CAG 机制，基站广播PLMN+CAG ID，RAN/AMF 基于CAG 进行网络/小区选择和接入控制、移动性管理限制。

CAG技术原理包含接入控制、切换判决和寻呼。

a）接入控制。专网通过小区SIB1系统信息广播，指示非CAG 终端禁入和该小区的CAG ID 列表；专网用户基于Allowed CAG ID 选择匹配的专网小区接入，公网用户因专网小区禁入，不能接入专网。

b）切换判决。对于配置了CAG-only 指示的UE，当小区支持的CAG 属于UE 的allowed CAG list 时，该小区成为UE切换的目标小区。

c）对于寻呼。基站根据字段PNI-NPN Restricted和Allowed CAG List per PLMN 中的CAG information，确定发起寻呼的小区。

5G PNI-NPN网络架构如图2所示。

图2 5G PNI-NPN网络架构

为适应行业应用场景的多样化需求，根据PNINPN 与5G 公网的共享关系，可将PNI-NPN 主要共享方案分为3类：端到端共享方案、共享无线网和控制面方案、共享无线网方案。5G PNI-NPN 的3种典型方案架构如图3所示。

图3 5G PNI-NPN的3种典型方案架构

a）端到端共享方案。无需新建任何网元，依赖PLMN 网络功能，但数据和信令出园，存在安全问题，时延取决于园区和公网UPF/MEC 间的距离，全部共享公网资源，部署简单且成本低。

b）共享无线网和控制面方案。园区需独立配置UPF、MEC，数据可以做到不出园，安全性相对较高，由于专用UPF、MEC 下沉到园区，能够有效降低数据传输时延，但身份验证、移动性、与公网互通功能等仍需要公网网元执行，部分专网网元下沉到园区，部署成本较低。

c）共享无线网方案。园区需配置UPF、5GC CP、MEC、UDM 等，数据和信令都不出园，除gNB 外，其他网元全部物理隔离，安全性高，全部专网网元均下沉到园区，时延低，但部署成本高。

2 以某园区为试点案例说明PNI-NPN技术

2.1 某园区项目背景

某园区目前有3 个基站，基站传输已经做了双路由保护，但由于地处偏远，传输接入环上需要经过好几个其他节点才能汇聚到汇聚机房，传输路由长故障概率大。而且由于地处海边，每年遭受台风袭击，台风期间由于传输中断（传输断缆、传输机房停电等）导致某园区的（无线/有线）通信中断时有发生，无法满足某园区极高的通信安全保障需求。

因此，客户需要一套应急通信保障方案，在因极端自然灾害与外界的通信完全中断的情况下（相当于对外双路由传输或电力发生中断），可以通过应急通信保障系统（自生存网络系统），让园区内特定人员（自有员工）在指定保障区域内，在不更改手机号码不增加手机的条件下，仍然能与园区内的自有员工进行语音通信，通过手机或手持终端访问内网进行生产作业。

2.2 解决方案对比

结合PNI-NPN的技术解决方案有3种。

方案1：UPF+下沉。UPF+集成AMF、SMF、UDM的极简功能，作为大网5GC 的备份，满足与大网断链时的应急接入能力。这种方案适合生产业务要求不中断场景。

方案2：定制化核心网下沉。在用户侧部署下沉AMF、SMF、UPF，UDM 则根据是否需支持生产业务不中断而选择性部署。

方案3：全量核心网下沉。在用户侧部署下沉AMF、SMF、UDM、UPF，与大网无连接关系，网络全封闭、全隔离。

PNI-NPN解决方案对比如表3所示。

表3 PNI-NPN解决方案对比

2.3 方案选择

本次研究采用方案2。正常状态下，园区所有基站仍采用大网5GC 连接，也采用大网的UDM 用户数据；应急状态下，基站需要在N2 断链时支持应急5GC的重选，同时采用本地UDM 的用户数据。通过在园区使用轻量化5GC 建设独立专网，对接G 城UDM 的部署方案，使用PNI-NPN 进行接入控制，在简化网络规模的同时，拟使用PNI-NPN 专网隔离方案，达到PNINPN在“专网隔离”上的需求。组网架构如图4所示。

在图4 中，PNI-NPN 是使用PLMN 的基础结构资源部署的，在3GPP 的文档中，该资源可称为主PLMN。部分RAN 节点由PNI-NPN 和PLMN 共享，因此同时支持PNI-NPN 和PLMN 服务的UE 可以通过这些共享的RAN 节点访问这2 个网络。除了共享的RAN 节点外，PNI-NPN 可能还有其专用的网络功能/资源，例如专用AMF、专用网络切片等。

2.4 效果呈现

该园区从终端、无线、核心网端到端率先实现了基于CAG 模式的NPN 独立专网，运用下沉式5GC验证该模式的可落地性。实现不同园区内不同的用户签约不同的CAG，接入不同的基站，进而访问不同的业务。同时考虑到企业节省成本的需要，企业园区共享核心网，减少核心网侧的投资。实现公网和专网的完全隔离，在专网内部，通过CAG 灵活地控制用户接入到不同基站。无线和核心网仅允许授权的行业终端接入专属网络，保障行业客户的资源独享。终端需支持CAG，并可配置CAG信息。基站小区则广播CAG指示和支持的CAG ID 列表。核心网侧AMF 根据小区CAG 能力和UE 的CAG 签约来进行UE 接入控制和移动性管理。UDM 需签约CAG 能力。基于CAG 的非公共网络覆盖结构如图5所示。

图5 基于CAG的非公共网络覆盖结构

在公共网络覆盖范围内（使用相同PLMN 和TA等）划分更小范围的园区子网覆盖，形成基于CAG 的非公共网络，仅允许合法终端接入，未经授权的终端无法接入。下沉式5GC网元功能描述如表4所示。

表4 下沉式5GC网元功能描述

该园区部署PNI-NPN 后的自生存5G 应急通信保障系统结构如图6所示。

图6 基于PNI-NPN的自生存5G应急通信保障系统

如果把自生存5G 应急通信保障系统切分为3 个部分，那么园区的网络可以看作是一个PNI-NPN，外面网络可以看作是PLMN，园区网络到G 城的商用核心网通过城域网来承载。

在部署PNI-NPN 后的架构中，园区的PNI-NPN网络与公网可以共享RAN 基站、频谱及传输网络，园区的PNI-NPN 网络也可以独立运行。NPN 网络用户既是NPN 用户也是PLMN 签约用户，PNI-NPN 用户具备特殊接人标识符，即CAGID，基站通过CAGID 区分公网用户和私网用户的网络接人权限。企业数据通过自身UPF 管理，并存储在企业内部。下沉的SMF 和AMF 都是相对独立的，不受外部网络影响，这对于构建安全可靠的园区网络有着重要的参考意义。下沉式5GC 支持5万用户，可以满足企业的部署需求，如果需要更大的容量，可以考虑部署多套5GC，工作在负荷分担的模式。同时，对于园区公众用户来说，网络的注册和控制均在5G 公众网络，独立部署UDM 网元，可使园区内部的公众用户在与G 城核心网断开连接时，保持5G网络不中断。

公网和专网隔离以及专网之间的隔离是行业5G虚拟专网建设中的基本要求，试点中使用PNI-NPN 技术完成了公-专网以及专-专网隔离的验证。充分验证了基于PNI-NPN 技术的公网和专网隔离以及专网之间的隔离功能，证明PNI-NPN 已经具备了商用能力，必将在5G行业专网建设中发挥其重要作用。

该项目证明了可以通过CAG 模式PNI-NPN 帮助企业快速灵活地搭建5G独立专网，实现企业数据不出园区，助力企业实现数字化转型。

3 结束语

随着5G网络建设的深入推进，在特定行业属性工业园区内享受便捷的5G 网络服务将成为刚需，基于NPN 的公专互通机制构建的智慧工业园专网，对解决园区内部对信号的安全、可靠带来的用户的漫游、切换管理机制等问题提供了一个很好的解决思路。

5G 非公共网络技术已成为垂直行业进行数字化转型的关键点，可以满足不同行业的专网建设需求。PNI-NPN 技术可帮助企业按需部署安全的5G 专网，节约大量的专网投资。因此，需继续深入PNI-NPN 等5G 技术的研究，加强其在垂直行业领域内的创新应用，促进我国5G专网建设以及企业数字化转型。