基于4G安全網(wǎng)關(guān)的5G SA和NSA組網(wǎng)技術(shù)研究

潘 雷，羅良桂

（京信網(wǎng)絡(luò)技術(shù)股份有限公司，廣東 廣州 510000）

0 引 言

5G無線通信技術(shù)具有大帶寬、低時(shí)延、高可靠的特點(diǎn)，同時(shí)具有網(wǎng)絡(luò)切片、業(yè)務(wù)隔離和運(yùn)營獨(dú)立的特性，在各行各業(yè)得到了廣泛的應(yīng)用。目前，大部分5G網(wǎng)絡(luò)都是采用專線回傳或組建局域?qū)＞W(wǎng)的方式來滿足行業(yè)的各種應(yīng)用，而對于一些環(huán)境特殊而必須采用公網(wǎng)方式進(jìn)行回傳的地方，5G應(yīng)用組網(wǎng)并沒有太多的研究[1,2]。通過分析4G基站采用公網(wǎng)回傳的方式，并結(jié)合5G的NAS和SA組網(wǎng)應(yīng)用，提出了幾種共享4G安全網(wǎng)關(guān)的組網(wǎng)方式[3,4]。

1 4G IPSec組網(wǎng)應(yīng)用

在4G無線應(yīng)用組網(wǎng)中，當(dāng)4G基站通過公網(wǎng)接入時(shí)，通常在4G基站與安全網(wǎng)關(guān)之間建立IPSec VPN，為4G基站與4G核心網(wǎng)之間的數(shù)據(jù)傳輸提供安全性和完整性保護(hù)。具體的4G IPSec組網(wǎng)方式如圖1所示。

圖1 4G IPSec組網(wǎng)方式

2 5G SA和NSA組網(wǎng)

5G獨(dú)立（Stand Alone，SA）組網(wǎng)系統(tǒng)由5G基站、承載網(wǎng)以及5G核心網(wǎng)（5G Core，5GC）組成。5G基站通常包括基帶處理單元（Building Baseband Unit，BBU）、射頻處理單元（Remote Radio Unit，RRU）、饋線以及天線，其中BBU主要負(fù)責(zé)信號(hào)調(diào)制，RRU主要負(fù)責(zé)射頻處理，饋線主要連接RRU和天線，天線主要負(fù)責(zé)信號(hào)的發(fā)射和接收。承載網(wǎng)主要包括專網(wǎng)和公網(wǎng)的承載網(wǎng)，為5G基站通過IP方式接入5G核心網(wǎng)提供IP承載。5G核心網(wǎng)主要為5G基站、5G終端提供信令面和用戶數(shù)據(jù)的管理和轉(zhuǎn)發(fā)。具體的5G SA組網(wǎng)方式如圖2所示。

圖2 5G SA組網(wǎng)方式

5G 非獨(dú)立（Not Stand Alone，NSA）組網(wǎng)系統(tǒng)由4G基站、5G基站、承載網(wǎng)以及4G核心網(wǎng)組成，其中信令面在4G基站與4G核心網(wǎng)之間建立，5G基站只負(fù)責(zé)管理用戶面數(shù)據(jù)，只在建立無線承載的過程中從4G基站獲取4G核心網(wǎng)分配的核心網(wǎng)用戶面數(shù)據(jù)目的IP。在前期尚未部署5G核心網(wǎng)時(shí)，可以通過升級(jí)4G核心網(wǎng)的方式實(shí)現(xiàn)快速的5G無線覆蓋。5G NSA組網(wǎng)方式如圖3所示。

圖3 5G NSA組網(wǎng)方式

3 基于4G安全網(wǎng)關(guān)的5G SA和NSA組網(wǎng)分析

針對5G SA和NSA無線應(yīng)用組網(wǎng)中常見的3種組網(wǎng)方式進(jìn)行研究，主要包括基于5G客戶終端設(shè)備（Customer Premise Equipment，CPE）或 4G CPE 接入的組網(wǎng)方式、基于無線網(wǎng)橋的組網(wǎng)方式以及基于有線回傳的組網(wǎng)方式。

3.1 基于CPE接入的組網(wǎng)

5G SA組網(wǎng)中，通過利用現(xiàn)有網(wǎng)絡(luò)的4G安全網(wǎng)關(guān)，采用4G安全網(wǎng)關(guān)與5G核心網(wǎng)進(jìn)行路由對接，然后在5G基站中實(shí)現(xiàn)IPSec VPN功能，并在5G基站與4G安全網(wǎng)關(guān)之間建立IPSec VPN隧道。5G基站對發(fā)往5GC核心網(wǎng)的上行數(shù)據(jù)進(jìn)行IPSec加密后傳給4G安全網(wǎng)關(guān)，4G安全網(wǎng)關(guān)對數(shù)據(jù)進(jìn)行解密后轉(zhuǎn)發(fā)給5G核心網(wǎng)，而4G安全網(wǎng)關(guān)則對5G核心網(wǎng)發(fā)往5G基站的下行數(shù)據(jù)進(jìn)行IPSec加密后傳給5G基站，5G基站對數(shù)據(jù)加密后發(fā)給用戶設(shè)備（User Equipment，UE）終端?；贑PE回傳的5G SA組網(wǎng)方式如圖4所示。

圖4 基于CPE回傳的5G SA組網(wǎng)方式

而5G NSA組網(wǎng)中，在利用現(xiàn)有4G安全網(wǎng)關(guān)時(shí)，無需4G安全網(wǎng)關(guān)與5G核心網(wǎng)對接路由接口，但要求4G基站和5G基站共同組網(wǎng)，即4G基站負(fù)責(zé)與4G核心網(wǎng)建立信令連接，5G UE終端通過雙連接方式同時(shí)接到4G基站和5G基站，信令面數(shù)據(jù)通過4G基站與4G核心網(wǎng)通信，用戶面數(shù)據(jù)通過5G基站的NG-U接口發(fā)送出去。這種組網(wǎng)方式中，要求4G基站和5G基站都要分別與4G安全網(wǎng)關(guān)建立IPSec VPN隧道，4G基站的IPSec VPN隧道主要傳輸信令面的數(shù)據(jù)，5G基站的IPSec VPN隧道主要傳輸用戶面的數(shù)據(jù)。4G基站和5G基站之間存在X2接口，用于實(shí)現(xiàn)用戶4G基站和5G基站之間的信令交互。在沒有安全網(wǎng)關(guān)的組網(wǎng)中，4G基站和5G基站之間的信令傳輸是明文傳輸，這會(huì)導(dǎo)致信令傳輸?shù)牟话踩?。而在基于CPE回傳的5G NSA組網(wǎng)中，4G基站和5G基站之間的信令交互數(shù)據(jù)也可以通過IPSec VPN進(jìn)行傳輸，即4G基站發(fā)給5G基站的信令數(shù)據(jù)通過IPSec VPN加密后傳給安全網(wǎng)關(guān)，安全網(wǎng)關(guān)解密后對數(shù)據(jù)進(jìn)行重新加密后傳給5G基站，5G基站對加密數(shù)據(jù)進(jìn)行解碼后處理，提高了數(shù)據(jù)通信的安全性。而5G基站發(fā)給4G基站的信令數(shù)據(jù)通過IPSec VPN加密后傳給安全網(wǎng)關(guān)，安全網(wǎng)關(guān)解密后對數(shù)據(jù)進(jìn)行重新加密后傳給4G基站，4G基站對加密數(shù)據(jù)進(jìn)行解碼后處理?；贑PE回傳的5G NSA組網(wǎng)方式如圖5所示。

圖5 基于CPE回傳的5G NSA組網(wǎng)方式

3.2 基于無線網(wǎng)橋的組網(wǎng)

無線網(wǎng)橋利用無線傳輸?shù)姆绞綄?shí)現(xiàn)在2個(gè)或多個(gè)網(wǎng)絡(luò)之間搭建通信橋梁，主要用于一些架設(shè)光纖比較困難的場景，通過部署無線網(wǎng)橋可以快速接入到公網(wǎng)。

基于無線網(wǎng)橋的5G SA組網(wǎng)與基于CPE回傳的5G SA組網(wǎng)方式類似，采用無線網(wǎng)橋連接公網(wǎng)代替5G核心網(wǎng)或4G核心網(wǎng)連接公網(wǎng)的方式，5G基站則通過無線網(wǎng)橋接入到公網(wǎng)，然后與現(xiàn)網(wǎng)4G安全網(wǎng)關(guān)建立IPSec VPN。基于無線網(wǎng)橋回傳的5G SA組網(wǎng)方式如圖6所示。

圖6 基于無線網(wǎng)橋回傳的5G SA組網(wǎng)

基于無線網(wǎng)橋的5G NSA組網(wǎng)與基于CPE回傳的5G NSA組網(wǎng)方式類似，采用無線網(wǎng)橋連接公網(wǎng)代替5G核心網(wǎng)或4G核心網(wǎng)連接公網(wǎng)的方式，5G基站則通過無線網(wǎng)橋接入到公網(wǎng)，然后與現(xiàn)網(wǎng)4G安全網(wǎng)關(guān)建立IPSec VPN。基于無線網(wǎng)橋回傳的5G NSA組網(wǎng)方式如圖7所示。

圖7 基于無線網(wǎng)橋回傳的5G NSA組網(wǎng)方式

3.3 基于有線回傳的組網(wǎng)

有線回傳是目前比較常用的公網(wǎng)接入方式，也是很多4G基站所采用的公網(wǎng)接入方式。利用現(xiàn)有的有線回傳方式和4G安全網(wǎng)關(guān)進(jìn)行IPSec VPN組網(wǎng)，可以滿足部分亟需5G無線覆蓋的場景需求[5,6]。

基于有線的5G SA組網(wǎng)與基于CPE回傳的5G SA組網(wǎng)方式類似，采用有線公網(wǎng)代替5G核心網(wǎng)或4G核心網(wǎng)連接公網(wǎng)的方式，5G基站則通過有線寬帶方式接入到公網(wǎng)，然后與現(xiàn)網(wǎng)4G安全網(wǎng)關(guān)建立IPSec VPN?；谟芯€回傳的5G SA組網(wǎng)方式如圖8所示。

圖8 基于有線回傳的5G SA組網(wǎng)方式

基于有線的5G NSA組網(wǎng)與基于CPE回傳的5G NSA組網(wǎng)方式類似，采用有線公網(wǎng)代替5G核心網(wǎng)或4G核心網(wǎng)連接公網(wǎng)的方式，5G基站則通過有線寬帶方式接入到公網(wǎng)，然后與現(xiàn)網(wǎng)4G安全網(wǎng)關(guān)建立IPSec VPN?；谟芯€回傳的5G NSA組網(wǎng)方式如圖9所示。

圖9 基于有線回傳的5G NSA組網(wǎng)方式

4 結(jié) 論

基于無線通信對網(wǎng)絡(luò)安全的考慮和IPSec VPN在無線通信領(lǐng)域的應(yīng)用，結(jié)合5G網(wǎng)絡(luò)的架構(gòu)和應(yīng)用需求，分析5G基站利用公網(wǎng)回傳和現(xiàn)有4G安全網(wǎng)關(guān)之間建立IPSec VPN的組網(wǎng)方式，實(shí)現(xiàn)5G基站與核心網(wǎng)之間的數(shù)據(jù)安全傳輸，為5G在公網(wǎng)的應(yīng)用提供工程部署上的參考。