5G公網鐵路專用網絡架構及安全部署方案

祝詠升，魏長水，張 驍

2020 年提出的“新基建”理念，有利于助推鐵路信息化建設進入新發展階段。而在鐵路新基建發展過程中，5G 網絡及技術的應用是一項重要內容。5G技術具有多元化、寬帶化、泛在化等特點，適合于鐵路多場景應用需要，與鐵路多種業務場景融合，能夠發揮更大優勢，有效改善貨運效率、客運服務、旅客出行體驗［1］。

然而，不同的鐵路業務類型對于網絡安全防護級別要求也有較大差異。雖然鐵路專網（5G-R）具有獨占網絡、完全隔離、極高的可靠性和私密性等優勢，但其高昂的建設成本和較高的運維難度，使得5G-R 僅適用于對網絡安全有較高要求的業務類型。而對于安全需求一般的業務，需要有對應的網絡部署方案，從而平衡網絡性能、安全性和建設運維成本。

本文主要探討基于公網集成非公共網絡模式（Public Network Integrated Non-Public Network，PNI-NPN）的5G 公網專用部署方案特點，分析其在鐵路實際應用場景下的可行性和應用前景，并對可能出現的安全風險加以分析。

1 5G公網專用部署方案

1.1 5G非公共網絡技術

在探討5G 公網專用部署方案之前，需要引入一個在3GPP R16 標準中確立的新技術，即5G 非公共網絡技術（NPN）。該技術是一種用于構建垂直行業專用網絡的技術［2］，其主要目標是構建獨立于5G公網的專網。

一種運用NPN技術的部署模式是建立物理隔離的網絡，該模式稱為“獨立非公共網絡模式（Standalone Non-Public Network，SNPN）”，也就是傳統意義上的“物理真專網”。SNPN部署模式獨立于電信運營商的網絡，使用單獨的頻譜和基站，具有極高的數據安全性和網絡穩定性。目前鐵路行業已有SNPN模式的5G-R專網，本文不再展開討論。

另一種部署模式為PNI-NPN，該模式通過劃分公共陸地移動網（Public Land Mobile Network，PLMN）的一個子網絡或者通過在運營商公網上利用切片技術進行隔離，建立邏輯隔離的網絡。根據PNI-NPN與公網資源共享程度的不同，分為“部分共享”和“端到端共享”。其中，“部分共享”的PNI-NPN網絡，具有較高的安全性和網絡穩定性，可以做到將企業的重要數據限制在PNI-NPN網絡內部，保障數據不出企業園區。同時，PNI-NPN的網絡架構和PLMN 網絡架構相同，可以降低PNINPN的建網成本［3］。與SNPN模式相比，PNI-NPN模式具有更高的性價比，適用于更多的應用場景。5G專用網絡部署模式及特性對比見表1。

表1 5G專用網絡部署模式對比

1.2 PNI-NPN部署方案

相比獨立非公共網絡模式（SNPN），公網集成非公共網絡模式（PNI-NPN）擁有明顯的成本和技術優勢。在網絡部署建設階段，企業無需購買整套的5G 通信設備，可以節省大量的資金投入；在網絡維護階段，企業可以將相關工作交由運營商管理，借助運營商的專業技術團隊，對網絡進行標準化運維。同時，采用公網集成非公共網絡模式部署的企業專網可以直接應用3GPP協議標準的成果和成熟的產業鏈，避免技術標準碎片化，能夠節約制定標準的成本［4］。PNINPN 有多種實現方式，根據對運營商的依賴程度和網絡自建程度的不同，分為“端到端共享”和“部分共享”。

1.2.1端到端共享式

該模式基于5G公網的物理網絡，完全共享5G公網端到端的資源和網元（包括5G 基站、核心網、核心網用戶面功能（UPF）和多接入邊緣計算（MEC）等）［5］，運營商在公網通過運用QoS和切片技術，對不同業務應用和功能進行端到端的邏輯隔離并劃分出虛擬子網，使數據流和信令流相對封閉，以保障帶寬和時延相對穩定［6］，實現不同業務流量之間的數據互不干擾，并且保障無法從公網直接訪問數據信令。與公網端到端共享模式架構見圖1。

圖1 與公網端到端共享模式架構

1.2.2部分共享式

與公網部分共享式PNI-NPN網絡，指5G專網與5G公網之間共享5G基站，或者共享5G基站和核心網控制面。對于用戶面數據安全隔離有較高要求的企業，可在虛擬專用網絡的基礎上增加部署企業專有的數據轉發網元UPF［4］。與此同時，根據對網絡的安全性和穩定性的需求，可將專用UPF下沉部署到企業園區，并在企業專網內部署MEC平臺，形成具有邊緣計算能力的UPF混合專網，即可通過對特定業務流量進行端到端的分流，可以在園區本地完成數據處理，從而使業務數據、信令、用戶隱私信息等需要做保密防護的數據不出園區，實現對數據的高度安全隔離。與公網部分共享模式架構見圖2。

圖2 與公網部分共享模式架構

2 鐵路5G公網專用部署方案

在5G 公網部署鐵路專用網可考慮采用PNINPN部署方案，構建切片資源共享專用和獨享專用2種網絡架構，以滿足對網絡和業務的不同需求。

2.1 共享專用網絡

鐵路5G 共享專用網絡部署方案采用“與公網端到端共享”模式，各類終端通過5G 共享專用無線接入網絡，對用戶身份、終端信息、信令、接口等進行終端準入識別，運營商根據鐵路不同業務的用網需求，采用切片的方式對公網進行邏輯隔離，劃分出多個虛擬子網，使每個虛擬子網中的數據流和信令流相對封閉，保證無法從公網對其訪問。

該方案中的網絡資源大量依賴運營商，包括基站、公網核心網、UPF、MEC 等，虛擬子網通過切片技術軟劃分，具有建設運營成本低、網絡覆蓋面廣、運營效率高等優點，以及比公網更安全的加密和軟隔離防護。但由于核心網仍然基于運營商公網搭建，其網絡質量容易受公網影響，仍有一定的安全風險［7］，適用于鐵路行業中對數據安全和網絡時延要求相對較低，并且需要在廣袤區域覆蓋網絡的業務類型。鐵路5G共享專網架構見圖3。

圖3 鐵路5G共享專網架構

鐵路企業可利用公網運營商提供的網絡切片定制、規劃部署、運行監控等各種開放能力，實現鐵路通信終端的連接管理、設備管理、業務管理、專用網絡切片管理、認證和授權管理等創新業務，更好地支撐對智能鐵路的運維管理。

依托運營商現有的5G 公網全國范圍內大面積覆蓋的優勢，滿足鐵路廣域場景下移動網絡接入需求。其中，鐵路正線應用場景是鐵路行業最具代表性的廣域應用場景，可以為旅客服務、視頻傳輸、遠程指揮、周界入侵、災害預警等業務提供穩定連續的網絡環境。

2.2 獨享專用網絡

鐵路5G 獨享專用網絡部署方案采用與公網部分共享模式，通過將UPF 下沉部署到鐵路企業本地園區，使本地的數據傳輸時延大幅降低，為用戶提供更低時延、更優質量的網絡服務和云計算能力［6］。另外，可根據鐵路不同應用場景的需求增加部署MEC 平臺，并對硬件配置、功能模塊等進行靈活定制，滿足鐵路多種業務的個性化需求。

與共享專用網絡相比，鐵路5G 獨享專用網絡方案具有更低的端到端時延及更高的數據安全隔離度，適用于對時延敏感且對安全性有較高要求的鐵路業務。鐵路5G獨享專網架構見圖4。

圖4 鐵路5G獨享專網架構

由于5G 獨享專用網絡部署方式可將UPF 下沉部署到企業園區并且有MEC 的加持，使得該部署方式具有極低的網絡時延和較高的數據安全性［7］。鐵路具有眾多局域應用場景（如車站、站場、工地、車間等），適合部署獨享專用網絡，其業務類型主要有采集類、會話類和流媒體類，每種類型的業務對網絡時延和安全性要求各有側重。以下業務可考慮采用鐵路5G獨享專用網絡架構。

1）地質災害監測、動車組車載檢測（WTD）、客車運行安全監控（TCDS）等采集類業務。

2）鐵路車站客運信息交互、客運乘務管理等會話類業務。

3）面向旅客的列車多媒體服務等流媒體類業務。

4）道岔鉆孔作業、智能化鋼軌焊接作業、遠程指揮調度現場施工作業等控制類業務。

另外，對于列車控制相關業務，由于其對網絡時延和數據安全性有極高的要求，可考慮通過5G-R專網承載。

3 安全需求

5G網絡安全架構延續了4G網絡安全域分層的安全架構設計，其接入網與核心網的邊界清楚，空口和數據傳輸方面也延續了4G 網絡的安全防護措施［8］。同時，5G 網絡在廣播消息保護、偽基站檢測，以及對數據保密性和完整性等方面均進行了安全升級。

由于鐵路5G公網專用網的基站、5G核心網控制面仍然共享運營商公網資源，因此，鐵路5G 公網專用網的安全需求主要圍繞網絡邊界安全以及自建MEC兩大方面考慮。

3.1 網絡邊界安全

鐵路5G 公網專用網的網絡邊界安全防護重點主要為終端接入安全和鐵路內外網數據傳輸安全兩方面。安全防護平臺應該由在鐵路外網接入邊界與鐵路園區UPF 的安全防護管理平臺、鐵路5G 終端移動可信接入平臺和鐵路外網與內網之間的數據安全交換平臺三部分組成。下面從接入邊界安全和數據傳輸安全兩方面分析網絡邊界安全防護需求。

3.1.1接入邊界安全需求

業務接入邊界需要對業務層5G 終端與用戶進行認證與安全防護，確保通過5G 公網專用網接入鐵路內網的5G 設備及操作人員身份可信和行為可信。在鐵路外服網部署移動可信接入平臺，為鐵路5G公網專用網業務提供應用層安全可信接入通道。

針對車載設備和啞終端接入場景，可通過部署移動可信接入平臺對5G 公網專用網終端進行持續的安全信任評估和動態訪問控制，對終端的數據傳輸請求、數據長度、請求頻次、請求連接數、接入時段等要素進行綜合評判，并對數據傳輸中常見的網絡安全攻擊進行感知和識別，包括SQL 注入、跨站攻擊、網絡爬蟲、重放攻擊，以及異常和無效的訪問請求等。當平臺發現安全攻擊時，可對請求進行攔截，或者終止當前會話，也可以使用黑白名單機制來控制后續權限，保護后臺業務服務器的安全。

按照訪問主體和資源之間的關系，移動可信接入平臺數據平面的訪問代理重點考慮采用與被保護資源相結合的部署模式，例如設備代理+網關、資源門戶、設備應用沙箱等模式，搭建安全的訪問通道，對訪問請求進行分流。控制平面的訪問控制引擎負責指揮，按照先認證后連接的原則，建立、維持有效的連接，實施對內部資源的安全訪問控制。在此過程中，持續開展安全監控評估，對應用場景中出現的安全威脅及時響應，從而降低風險。

3.1.2數據傳輸安全需求

鐵路5G 數據交換平臺部署在鐵路安全平臺之上，由于鐵路內網是與其他網絡嚴格隔離的鐵路專網，安全數據交換平臺需要為其提供數據交換、訪問控制、安全檢測、安全審計等能力，并為部署在鐵路內網的業務系統與鐵路5G 公網終端應用之間提供安全數據交換能力。數據交換能力支持主流數據庫應用，多種應用層協議的跨網數據交換，以及基于GB/T 28181 等標準視頻協議的數據流傳輸及服務請求，適合于各類復雜的業務場景。

訪問控制采用基于角色/業務數據類型/任務的安全訪問控制，防止非法的主體進入受保護的資源，允許合法用戶訪問受保護的資源，防止合法的用戶對受保護的資源進行非授權的訪問。

安全檢測采用深度應用層過濾檢測技術，針對支持的業務數據類提供全面的內容過濾和安全檢測功能，針對HTTP、FTP、數據庫、郵件及文件交換等應用，提供SQL 過濾、URL 過濾、關鍵字過濾、Cookie 過濾、文件類型檢查、病毒查殺、Flood 攻擊防護、入侵檢測等高級防護策略，進一步提升數據交換的安全性。

與此同時，鐵路5G 數據交換平臺還應該提供豐富的可視化日志審計功能，通過詳細的記錄分析，將數據傳輸記錄進行抽取、融合，形成獨特的數據軌跡報表，記錄數據從源到目的的詳細信息，并可根據某一數據元素追查數據來源，為數據審查提供強有力的依據及保障。

3.2 MEC安全

MEC 安全分為MEC 系統安全和MEC 安全資源池2部分。

MEC 系統安全主要保障MEC 平臺自身的安全。由于MEC 平臺通常是由鐵路企業與電信運營商和網絡設備供應商合作建設［9］，因此MEC 系統的管理、運維和安全防護等具體分工需要鐵路企業與合作方協商確定。

MEC安全資源池主要為MEC平臺上承載的鐵路APP 應用提供網絡安全資源，為部署在MEC 平臺上的鐵路業務系統提供安全防護能力和安全資源，實現鐵路信息網絡全業務縱深安全防御。MEC 安全資源池可以采用虛擬化安全組件的形式部署在MEC 平臺上，為MEC APP 提供所需的安全資源［10］，包括防火墻、服務器殺毒/微隔離/入侵防御、威脅感知探針、日志審計、網絡審計、堡壘機、密碼機等。

4 結論

鐵路各種業務應用場景多樣，對網絡需求和安全要求各不相同，雖然5G-R 專網具有獨享帶寬、低延時、物理隔離、極高的定制化自由度和數據安全防護能力等優勢，但受限于頻譜資源、帶寬上限、建設運維成本等因素，使5G-R 更加適合對于安全生產敏感的業務類型。對于廣域場景以及對數據安全要求相對較低的業務，則可考慮部署基于5G 公網集成非公共網絡技術的共享專網或獨享專網，滿足相應的鐵路業務需求，以達到功能與成本的平衡。

本文基于鐵路實際業務場景，對5G 網絡應用及數據安全的不同需求，提出適用于廣域部署且有一定安全需求的共享專網部署模式，以及適用于低時延且有較高安全需求的MEC 結合下沉UPF 的獨享專用部署模式，2 種網絡部署模式可為后續鐵路5G公網及公專融合部署設計提供借鑒。隨著5G網絡應用的持續深入，鐵路行業將與運營商和網絡安全企業開展深度合作，共同探討5G 組網及安全設計方案，并持續優化改進5G 網絡安全架構及防護策略，最終構建更加安全可靠的鐵路5G 網絡，保障鐵路業務穩定、高效、安全地運營。