5G政务专网解决方案研究

无线政务网络是各级政府部门建设的聚焦于移动政务、公共安全、社会管理、应急指挥调度和重大活动保障等典型应用场景的通信网络。传统的无线政务网络一般采用“专网专建专用”的方式，端到端网络均采用专有设备独立建设，并专属政务机关内部使用，不对公众开放。新一代无线政务网络则考虑采用“公网专用”的方式，复用5G、卫星通信等公众网络的丰富基础资源设施，实现逻辑专用网络，以有效地补充增强现有政务网络资源，同时利用无线服务能力的延伸将无线政务网络的使用对象拓展到公众。本文主要研究实现5G无线政务专网的解决方案。

政务专网的用户群体主要为内部公务人员，群体相对固定，可预先标识。对于内部公务人员，使用政务专网的目的以办公为主，主要访问本地业务，但当其出差或因其他原因需要远程办公时，也需要提供能够接入本地网络的服务，因此这类人员的业务区域相对不固定。此外，从终端类型看，实际还存在第2类用户群体，也即政务服务一体机等固定终端。这类终端区别于内部公务人员所使用的2C普通终端，通常视为物网终端，也即2B终端。由上述分析可以看到，政务专网应用场景是典型的2B、2C双域融合场景。在此场景下，出于低时延、数据不出园区等考虑，通常将政务业务平台仅部署在特定区域，并且将5G用户面功能（UPF）下沉至本地部署，有且仅有该特定的UPF能够接入业务平台。

由于2C与2B业务需求差异化明显，且2B行业用户要求更高的网络自主性，可能涉及到对5G核心网的配置调整或升级，为避免这种网络变更影响到现网2C用户的感知体验，部分运营商采用了2B、2C核心网独立部署、无线基站复用的方案。以下分别将2B、2C核心网对应的5G网络称为2B大网和2C大网。

前述的政务园区UPF对接2B大网，但实际上除了固定终端是采用2B卡接入外，内部公务人员的移动终端主要是通过2C卡来访问本地2B业务。因此，如何实现2B、2C业务流的精确引导是5G政务专网解决方案需要重点考虑的关键需求之一。

除2B、2C业务融合需求外，无线政务专网还存在其他典型需求。一是网络拓展需求，政务专网需要支持大量分散机构的接入，要求网络具备广覆盖和柔性接入能力。二是业务隔离需求，政务业务需要与公众业务实现逻辑隔离，彼此互不影响，以保证数据传输的安全性和可靠性。三是网络安全需求，安全是政务业务平台的生命线。四是网络漫游需求，支持办公地点不固定或出差的公务人员的移动办公需求，满足终端远程接入的条件。五是用户体验和成本需求，传统虚拟专用网络（VPN）方案容易存在性能瓶颈，用户体验较差，且维保费用高，亟需性价比更优的解决方案。

对于网络拓展、业务隔离、网络安全等诉求，5G专网凭借无线覆盖增强、切片、加密鉴权等技术已能够天然支持。因此，本文将重点讨论2B、2C融合以及漫游需求的实现。

结合政务专网2B、2C融合业务需求，形成3类基础解决方案，即基于号卡分流、基于数据网络名称（DNN）分流和基于上行分流器（UL、CL）分流。前者属于终端侧分流，后二者均属于网络侧分流。

政务园区UPF与2B大网组网打通。政务服务一体机等物网终端使用2B号卡并签约园区专用DNN。当物网终端需访问政务业务平台时，2B接入和移动性管理功能（AMF）根据物网终端上报的DNN等信息为PDU会话建立选择2B会话管理功能（SMF），2B SMF根据物网终端位置和专用DNN等信息选择园区UPF作为主锚点，通过园区UPF N6接口可直接访问园区内网，但不支持访问互联网。

如果2C大网与2B大网隔离，且用户具有同时访问园区内网和互联网的需求，需要为用户配置2B和2C双号卡，其中，2B号卡用于访问政务平台本地业务，2C号卡用于访问互联网业务。具体做法是，用户使用双卡双待终端，2B号卡签约园区专用DNN，2C号卡签约2C大网DNN，并设置2C卡为默认上网卡。当用户访问公网业务时，2C大网UPF作为主锚点，可支持访问互联网和语音业务；当访问园区业务时，需用户手动切换到2B号卡，访问政务业务平台的流程与前述物网终端相同（见图1）。

这种方案的优势在于，通过终端号卡实现2B、2C业务分流，无需网络侧做任何改动即能支持。且2B、2C业务流通过不同的UPF承载，天然隔离，充分保障了数据安全性。但是，由于需要用户手动切换号卡，一定程度上降低了用户体验。此外，由于国家监管政策要求，普通用户不能直接使用2B号卡，也间接影响了双号卡方案的推广应用。

政务园区UPF与2C大网组网打通。政务专网用户使用2C号卡，同时签约2C大网DNN和园区专用DNN。此时，无论用户处于政务园区内外，均可以选择园区UPF提供服务并访问内网业务平台（见图2）。如用户需访问互联网业务，可以考虑2种实现方式，一种是经由政务园区内网间接出口到互联网，另一种是手动切换到2C大网DNN。相对而言，前者的实现成本较高，且可能不满足政务园区安全管理要求，后者则一定程度牺牲用户体验，且要求2C大网AMF开启DNN纠错功能，以免用户配置错误导致无法正常上网。如客户对业务操作体验敏感，可考虑在终端上安装定制APP进行DNN的切换。但这种方式对用户而言仍然是有感知的，仅是过渡方案。未来商用终端支持终端路由选择策略（URSP）功能后，有望彻底解决多DNN自动切换的问题。

对于物网终端，由于2C和2B大网分隔，如使用2B号卡，则要求在政务园区另行部署一套与2B大网打通的入驻式UPF，由此将带来建设成本的提升。因此，考虑物网终端经由客户终端设备（CPE）接入园区内网的过渡方案，CPE同样使用2C号卡，并签约园区专用DNN。

上述方案的优势在于同时支持4G/5G，且支持全网漫游，对于办公地点不固定或出差人员的2C终端非常友好。但对于位置相对固定的物网终端，则存在业务支持度不佳的问题，即使采用CPE转接，也仅仅解决网络接入的基本诉求，但仍有号卡实名制要求、单用户开卡数量受限、流量数据套餐计费高等问题。

政务园区UPF与2C大网组网打通。政务专网用户使用2C号卡，并签约2C大网DNN。网络引入UL CL特性。2C大网UPF作为主锚点UPF，园区UPF同时作为UL、CL、UPF和辅锚点UPF。UL、CL、UPF将根据用户本地业务流特征，把访问政务园区业务平台的数据经由园区UPF分流到本地，把访问互联网数据经园区UPF的N9接口转发到2C大网UPF并疏导到公网（见图3）。这样可以满足低时延的用户体验，实现“数据不出园区”，同时也节省了大网传输资源。

实际应用UL CL时，可以考虑2种本地分流策略，即基于DNN+位置的本地分流策略和基于PCF签约的本地分流策略。前者需针对政务园区重新规划5G跟踪区代码（TAC），并在2C SMF上部署基于用户激活的DNN、位置以及数据网络接入标识（DNAI）等信息选择UL CL UPF并触发创建UL CL流程的策略。当用户进入政务园区TAC范围内时，园区UPF将根据SMF下发的分流策略进行规则匹配，完成本地分流。后者要求用户签约业务与策略控制功能（PCF）预定义规则绑定，当终端激活时PCF下发预定义规则名给2C SMF，SMF收到后根据本地配置判定该规则名是否为分流预定义规则，如果是，则为终端选择园区UPF并将其插入到终端的PDU会话中，园区UPF在后续数据转发流程中根据分流规则分流用户数据到内网政务平台或互联网。从二者的实现原理不难发现，前者不区分政务园区内部用户和大网用户，其受众具有随机性，而后者则区分用户，适用于可预先规划、提前签约的用户场景。

与方案2类似，当终端类型为物网终端时，方案3同样存在网络对物网终端支持程度不友好的问题。

实际上，以上3种方案均存在一定的局限性，未能全部解决政务专网的业务诉求。表1梳理了3种方案的特点。

可见，方案1由于监管原因不推荐应用，方案3存在不支持漫游的问题需优化，此外，方案2和方案3存在共性问题，即由于2C和2B大网隔离的原因，对物网终端入网的支持不友好。

以方案3为例，讨论可行的增强和优化方案。目前3GPP标准尚未支持漫游场景下的UL CL功能，因此需要定制个性化解决方案。

分别对归属地SMF和漫游地SMF进行升级，其中归属地SMF配置基于专用DNN绑定UPF及其锚点选择的策略，漫游地SMF配置根据辅DNN选择辅锚点的策略，并为用户2C号卡签约专用DNN。当用户移动到漫游地并发起会话请求时，漫游地AMF向网络存储功能（NRF）执行SMF服务发现，NRF会根据专用DNN等信息匹配并返回归属地锚点SMF。由于锚点SMF未覆盖当前终端所在的跟踪区标识（TAI），AMF根据TAI再次向NRF执行SMF服务发现并返回I-SMF。在I-SMF插入的流程中，I-SMF将终端当前会话DNN所关联的DNAI通过N16a接口发送给归属地的锚点SMF，锚点SMF会在响应消息中将协商出的会话DNAI携带给I-SMF，辅助I-SMF选择合适的I-UPF。锚点SMF同时也会根据DNAI选择到主锚点UPF，也即园区UPF，并为当前终端分配IP地址。当用户需要进行UL CL分流时，I-SMF会根据从锚点SMF获取的DNAI为终端插入UL CL UPF和辅锚点UPF，也即当前的I-UPF。这样，当终端访问政务园区本地业务时，业务流经由漫游地I-UPF的N9接口转发到园区UPF；当访问互联网业务时，则直接经由I-UPF疏导（见图4）。由于园区UPF为当前终端分配的IP地址为私网地址，因此还需要对漫游地UPF配置漫入非主锚点用户网络地址转换（NAT）策略。

这一方案可以满足政务专网用户在政务园区内和漫游地同时访问政务业务和互联网的需求，且可以有效替代传统VPN方案，但需要对运营商网络进行较为复杂的升级和配置，技术实现细节还有待进一步完善。

园区UPF不能支持2C号卡和2B号卡同时接入的主要原因是2C大网和2B大网不耦合。因此，可以考虑2B、2C大网部分耦合的方式，即将园区UPF双上联2B/2C SMF（见图5）。园区UPF分别与2C大网和2B大网组网打通。2C号卡用户签约2C大网DNN，当存在2B、2C业务需求时，其业务流向同方案3。2B号卡终端则签约园区专用DNN，附着于2B大网AMF，并激活在大网2B SMF和2B UPF上，同样可实现本地业务分流。这一方案理论上解决了2B、2C号卡终端同时接入园区UPF的问题，且适用于无法预先规划、无法提前签约的纯2C用户场景。但是，双上联方案对于运营商网络改动相对较大，配置较为复杂，同时对于2B、2C大网控制面异厂家的场景可能不兼容，限制了其推广应用的空间。

在不对运营商网络进行较大改造，也即仍保持2C大网和2B大网隔离的前提下，解决2B、2C同时接入的另一思路是，通过2B大网统一为2B、2C用户提供网络服务（见图6）。具体方式是，2C号卡终端签约2B、2C定制切片，终端入网时选择2C大网AMF作为初始AMF进行注册，由于2C AMF不支持终端当前的Requested网络切片选择辅助信息（NSSAI），触发AMF重分配流程，重路由到2B大网AMF，2B AMF根据终端NAS消息中的相关信息选择2B大网SMF，2B SMF选择2B大网UPF作为主锚点，选择园区UPF作为UL CL UPF和辅锚点，根据本地分流策略进行业务转发。这一方案的限制是，需提前为用户签约2B、2C切片，因此无法进行预先规划。

5G政务专网2B、2C业务融合需求和漫游需求凸显，基于DNN分流和UL CL分流的技术方案基本可以满足用户的基础需求场景，但在如何提升随行漫游能力、如何实现无感知的2B、2C业务融合等用户体验提升方面仍需优化和增强。本文提出的增强解决思路可以为5G政务解决方案的完善和应用提供参考。

蔡子华，毕业于暨南大学，工程师，学士，主要从事5G专网咨询规划相关工作；

陈丰，毕业于华南理工大学，工程师，学士，主要从事核心网的工程规划、可研和设计工作；

郭春旭，毕业于内蒙古农业大学，学士，工程师，主要从事5G新技术研究和5G专网产品规划工作；

刘子建，毕业于北京邮电大学，硕士，工程师，主要从事5G新技术研究和5G专网产品规划工作。