工業(yè)園區(qū)5G專網(wǎng)部署白皮書

1、概述概述工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需求工業(yè)互聯(lián)網(wǎng)園區(qū)是以高質(zhì)量發(fā)展為目標(biāo)，按照工業(yè)互聯(lián)網(wǎng)內(nèi)涵要求，規(guī)劃、建設(shè)、運(yùn)營(yíng)、提升的新型園區(qū)。根據(jù)工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)白皮書定義，工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)是指在工業(yè)互聯(lián)網(wǎng)園區(qū)內(nèi)部署的以實(shí)現(xiàn)園區(qū)企業(yè)設(shè)備互聯(lián)和信息互通為目的的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，主要由工業(yè)生產(chǎn)網(wǎng)、企業(yè)信息網(wǎng)、園區(qū)公共服務(wù)網(wǎng)以及云基礎(chǔ)設(shè)施組成。其中：工業(yè)生產(chǎn)網(wǎng)是指部署在工廠內(nèi)部的網(wǎng)絡(luò)，實(shí)現(xiàn)生產(chǎn)現(xiàn)場(chǎng)各類生產(chǎn)設(shè)備、傳感器、執(zhí)行器、工控機(jī)等互聯(lián)，以及工業(yè)數(shù)據(jù)采集、工業(yè)操控與維護(hù)；企業(yè)信息網(wǎng)是指部署在各企業(yè)內(nèi)部的辦公區(qū)域內(nèi)的網(wǎng)絡(luò)，實(shí)現(xiàn)部門互通；園區(qū)公共服務(wù)網(wǎng)是實(shí)現(xiàn)園區(qū)內(nèi)工業(yè)企業(yè)間互聯(lián)互通并向園區(qū)內(nèi)各企業(yè)提供基礎(chǔ)公共服務(wù)的網(wǎng)絡(luò)

2、；云基礎(chǔ)設(shè)施為工業(yè)互聯(lián)網(wǎng)園區(qū)內(nèi)部信息匯聚的重要基礎(chǔ)設(shè)施。隨著社會(huì)信息化的發(fā)展，信息化對(duì)生產(chǎn)效益的促進(jìn)作用日漸明顯，工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)建設(shè)成為焦點(diǎn)。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需求總結(jié)如下：（1）無(wú)線化需求工業(yè)互聯(lián)網(wǎng)園區(qū)現(xiàn)有部署主要是基于有線網(wǎng)絡(luò)。在工業(yè)控制（現(xiàn)場(chǎng) / 遠(yuǎn)程）場(chǎng)景下，戶外挖掘機(jī)、室內(nèi) AGV（Automated Guided Vehicle，自動(dòng)導(dǎo)引運(yùn)輸車）等，移動(dòng)設(shè)備無(wú)法使用線纜進(jìn)行連接控制。相較而言，無(wú)線網(wǎng)絡(luò)具有靈活快速布網(wǎng)和低網(wǎng)絡(luò)維護(hù)成本等優(yōu)勢(shì)，可以避免有線網(wǎng)絡(luò)中通信線纜鋪設(shè)困難、維護(hù)成本高、缺乏靈活性等問題。工業(yè)互聯(lián)網(wǎng)園區(qū)在室內(nèi)、外都有無(wú)線連續(xù)覆蓋的需求。（2）多類型業(yè)務(wù)接入需求工

3、業(yè)互聯(lián)網(wǎng)園區(qū)同時(shí)存在高帶寬、超低時(shí)延 & 高可靠性及海量設(shè)備等多業(yè)務(wù)接入場(chǎng)景，需要支持并確保多業(yè)務(wù)并發(fā)下的性能保障。高帶寬場(chǎng)景：主要用于園區(qū)、廠區(qū)內(nèi)的巡檢和產(chǎn)品質(zhì)量檢測(cè)等領(lǐng)域，如高清視頻監(jiān)控、機(jī)器視覺等視頻類業(yè)務(wù)，對(duì)網(wǎng)絡(luò)上行帶寬有較高要求，4K 高清視頻傳輸上行速率要求 25Mbps，8K 高清視頻傳輸上行速率要求 100Mbps。超低時(shí)延 & 高可靠性場(chǎng)景：如自動(dòng)駕駛、工業(yè)控制類業(yè)務(wù)。自動(dòng)駕駛需求目前聚焦于工業(yè)園區(qū)室外擺渡車。工業(yè)控制可分為過程控制和運(yùn)動(dòng)控制；其中，運(yùn)動(dòng)控制對(duì)網(wǎng)絡(luò)要求較高：時(shí)延小于ms，時(shí)延抖動(dòng)為微秒級(jí)別，可靠性要求為 99.9999，應(yīng)用場(chǎng)景有大型打印機(jī)、數(shù)控車床、包裝設(shè)備

4、等。大連接場(chǎng)景：主要為各種傳感器數(shù)據(jù)的上傳，傳輸?shù)臄?shù)據(jù)量小、連接數(shù)多，設(shè)備連接密度需求達(dá)百萬(wàn)以上 /km2，傳輸時(shí)延要求通常在 50ms 以上。需要注意的是，大規(guī)模連接中不同設(shè)備的傳輸需求差異較大，該類業(yè)務(wù)中基于安全應(yīng)用的傳輸時(shí)延要求在 10ms 以內(nèi)。此外，TSN（Time Sensitive Networking，時(shí)間敏感網(wǎng)絡(luò)）網(wǎng)絡(luò)目前已成為工業(yè)互聯(lián)網(wǎng)的必選項(xiàng)，旨在為特定的工業(yè)互聯(lián)網(wǎng)應(yīng)用提供確定性傳輸服務(wù)，確保有界延遲、低延時(shí)抖動(dòng)、低丟包率的報(bào)文傳輸。時(shí)延抖動(dòng)要求控制在一定范圍內(nèi)，通常為納秒級(jí)。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需要支持 TSN 技術(shù)。（3）安全需求安全是工業(yè)界最關(guān)注的問題，保障工業(yè)網(wǎng)絡(luò)不

5、受入侵、工業(yè)數(shù)據(jù)不被竊取是工業(yè)網(wǎng)絡(luò)構(gòu)建的基本要素。對(duì)于工業(yè)互聯(lián)網(wǎng)園區(qū)而言，數(shù)據(jù)不出園區(qū)通常是一個(gè)最基本的安全需求。此外，對(duì)于一些有極高安全需求的場(chǎng)景，如某些特殊企業(yè)的工業(yè)制造園區(qū)，由于生產(chǎn)信息屬于非常高級(jí)別的保密信息，因此需要符合特定安全保密規(guī)定，定制開發(fā)特定的加密算法，提供安全保障。（4）異構(gòu)終端接入管理和多協(xié)議互通的需求在工業(yè)現(xiàn)場(chǎng)，機(jī)器設(shè)備類型和設(shè)備接口多樣化。工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需要支持多方式接入，包括 3GPP 無(wú)線網(wǎng)絡(luò)接入和Wi-Fi、ZigBee 等無(wú)線接入方式，以及以太網(wǎng)、光纖、各類工業(yè)總線等有線接入方式。（5）園區(qū)內(nèi)外交互業(yè)務(wù)需求工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需要支持不出園區(qū)業(yè)務(wù)和廣域業(yè)務(wù)兩

6、種業(yè)務(wù)交互場(chǎng)景。其中，廣域業(yè)務(wù)場(chǎng)景要求行業(yè)終端能夠從工業(yè)園區(qū)專網(wǎng)接入運(yùn)營(yíng)商公網(wǎng)，也可以從運(yùn)營(yíng)商公網(wǎng)接入工業(yè)園區(qū)專網(wǎng)。（6）組通信需求組通信可以實(shí)現(xiàn)一個(gè)組內(nèi)的成員之間的相互通信，支持一個(gè)組成員與其他多個(gè)組成員之間的組播數(shù)據(jù)路由或者廣播數(shù)據(jù)路由。工業(yè)互聯(lián)網(wǎng)園區(qū)的一些應(yīng)用場(chǎng)景對(duì)組通信有實(shí)際需求。例如，電力領(lǐng)域中的智能分布式 FA（Feeder Automation，饋線自動(dòng)化）業(yè)務(wù)，其核心思想就是通過相鄰智能配電終端之間的對(duì)等通信層收集故障信息，基于終端設(shè)備間的報(bào)文組播轉(zhuǎn)發(fā)進(jìn)行故障診斷和隔離，通過去中心化實(shí)現(xiàn)信息的快速交互，實(shí)現(xiàn)毫秒級(jí)的供電不間斷。（7）定位需求工業(yè)互聯(lián)網(wǎng)園區(qū)內(nèi)的移動(dòng)類業(yè)務(wù)，如移動(dòng)機(jī)

7、器人等，除了對(duì)網(wǎng)絡(luò)時(shí)延、網(wǎng)絡(luò)覆蓋、切換有要求外，還對(duì)精準(zhǔn)定位有較高要求。此外，工廠環(huán)境對(duì)室內(nèi)定位的需求也日益強(qiáng)烈，很多應(yīng)用離不開室內(nèi)定位技術(shù)，如人員的定位監(jiān)控、設(shè)備的定位監(jiān)管以及安全預(yù)警管理等。（8）自主運(yùn)營(yíng)管理需求工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)的使用、維護(hù)和運(yùn)營(yíng)可以由部署網(wǎng)絡(luò)的企業(yè)負(fù)責(zé)，企業(yè)對(duì)園區(qū)專網(wǎng)具有自主的掌控和維護(hù)能力，包括設(shè)置專用的用戶數(shù)據(jù)庫(kù)，對(duì)用戶信息進(jìn)行管理，以及培養(yǎng)專用的運(yùn)維管理人員、建設(shè)專用的網(wǎng)絡(luò)運(yùn)營(yíng)平臺(tái)等。5G 專網(wǎng)的優(yōu)勢(shì)5G 憑借大帶寬、低時(shí)延 & 高可靠性、海量連接等技術(shù)特性以及在網(wǎng)絡(luò)架構(gòu)上的靈活性，高度契合專網(wǎng)的需求。相比傳統(tǒng)專網(wǎng)如 Wi-Fi 接入技術(shù)，主要優(yōu)勢(shì)體現(xiàn)在良好的網(wǎng)絡(luò)

8、覆蓋性、雙向認(rèn)證的安全性、更快的速度和更低的延時(shí)抖動(dòng)、移動(dòng)業(yè)務(wù)的連續(xù)性等方面，具體如表 1 所示。表 1 5G 專網(wǎng)的優(yōu)勢(shì)優(yōu)勢(shì)項(xiàng)說(shuō)明容量和覆蓋大容量廣覆蓋技術(shù)演進(jìn)全球范圍的標(biāo)準(zhǔn)演進(jìn)，提供 5G 網(wǎng)絡(luò)定制化能力性能提供工業(yè)級(jí)的可靠性提供超低時(shí)延傳輸、有界傳輸時(shí)延和低時(shí)延抖動(dòng)業(yè)務(wù)質(zhì)量通過網(wǎng)絡(luò)切片提供業(yè)務(wù)隔離提供基于流的 QoS 保障和優(yōu)先級(jí)機(jī)制安全性可提供電信級(jí)別的安全性移動(dòng)性和定位5G 基于 3GPP 標(biāo)準(zhǔn)規(guī)范，天然的無(wú)縫移動(dòng)通信機(jī)制支持室外與室內(nèi)定位無(wú)縫覆蓋現(xiàn)有 5G 專網(wǎng)部署方案面向行業(yè)用戶的 5G 專網(wǎng)部署方案分為四種：基于端到端網(wǎng)絡(luò)切片的虛擬專網(wǎng)方案、專網(wǎng)與公網(wǎng)之間 RAN（Radio

9、Access Network，無(wú)線接入網(wǎng)）和核心網(wǎng)控制面共享方案、專網(wǎng)與公網(wǎng)之間 RAN 共享方案和基于物理隔離的獨(dú)立專網(wǎng)方案。（1）基于端到端網(wǎng)絡(luò)切片的虛擬專網(wǎng)方案善的可商用端到端解決方案。圖 1 基于端到端網(wǎng)絡(luò)切片的虛擬專網(wǎng)方案該方案中，行業(yè)用戶無(wú)需部署任何 5G 網(wǎng)絡(luò)設(shè)備，專網(wǎng)和公網(wǎng)端到端共享運(yùn)營(yíng)商 5G 基站和核心網(wǎng)全套設(shè)備，如圖 1 所示。方案的優(yōu)點(diǎn)在于成本低，行業(yè)用戶無(wú)需投資任何建設(shè)成本，只需向運(yùn)營(yíng)商訂購(gòu)網(wǎng)絡(luò)切片服務(wù)就可實(shí)現(xiàn)專網(wǎng)功能；缺點(diǎn)在于 UPF（User Plane Function，用戶面功能）部署在運(yùn)營(yíng)商側(cè)，不能滿足數(shù)據(jù)不出園區(qū)的要求。該方案同時(shí)適用于局域場(chǎng)景及廣域場(chǎng)景，

10、主要面向?qū)W(wǎng)絡(luò)性能要求不高和成本敏感的行業(yè)用戶。這里需要說(shuō)明的是，現(xiàn)階段網(wǎng)絡(luò)切片在技術(shù)、標(biāo)準(zhǔn)和產(chǎn)品成熟度方面還無(wú)法提供完專網(wǎng)與公網(wǎng)之間 RAN 和核心網(wǎng)控制面共享方案建設(shè)存在著被公網(wǎng)核心網(wǎng)設(shè)備廠商綁定的問題。圖 2 專網(wǎng)與公網(wǎng)之間 RAN 和核心網(wǎng)控制面共享方案該方案中，行業(yè)用戶只需部署核心網(wǎng)用戶面設(shè)備，專網(wǎng)和公網(wǎng)共享運(yùn)營(yíng)商 5G 基站以及核心網(wǎng)的控制面設(shè)備，如圖 2 所示。相比虛擬專網(wǎng)方案，該方案成本較高，適用于局域場(chǎng)景；同時(shí)由于 UPF 部署在企業(yè)園區(qū)，可以保證專網(wǎng)數(shù)據(jù)流量的安全性。此外，從目前產(chǎn)業(yè)界情況來(lái)看，核心網(wǎng) N4 接口的解耦工作進(jìn)展遲緩，不同廠家的核心網(wǎng)控制面設(shè)備和 UPF 之間

11、難以實(shí)現(xiàn)互聯(lián)互通。因此，采用該方案進(jìn)行 5G 專網(wǎng)專網(wǎng)與公網(wǎng)之間 RAN 共享方案該方案中，行業(yè)用戶新建部署 5G 核心網(wǎng)設(shè)備，包括核心網(wǎng)控制面設(shè)備和 UPF，專網(wǎng)和公網(wǎng)在無(wú)線網(wǎng)側(cè)共享 5G 基站，如圖 3 所示。同專網(wǎng)與公網(wǎng)之間 RAN 和核心網(wǎng)控制面共享方案類似，該方案也是與公網(wǎng)混用方案，但不涉及核心網(wǎng) N4 接口開放的問題。圖 3 專網(wǎng)與公網(wǎng)之間 RAN 共享方案（4）基于物理隔離的獨(dú)立專網(wǎng)方案主要面向?qū)Π踩綦x性和網(wǎng)絡(luò)性能有極高需求的行業(yè)用戶。該方案中，行業(yè)用戶自行部署全套 5G 網(wǎng)絡(luò)設(shè)備，包括專用的無(wú)線網(wǎng)和核心網(wǎng)，所有行業(yè)終端的控制面和用戶面數(shù)據(jù)都承載在獨(dú)立專網(wǎng)上，如圖 4 所示。由

12、于專網(wǎng)和公網(wǎng)物理隔離，因此，可提供完整的數(shù)據(jù)安全性，保證企業(yè)內(nèi)部數(shù)據(jù)不外泄。同時(shí)，行業(yè)用戶具有網(wǎng)絡(luò)自主掌控權(quán)，可以實(shí)時(shí)按需調(diào)整網(wǎng)絡(luò)、管控終端，不受運(yùn)營(yíng)商公網(wǎng)影響。相比上述三個(gè)方案，該方案的網(wǎng)絡(luò)建設(shè)成本最高。該方案適用于局域場(chǎng)景，圖 4 基于物理隔離的 5G 獨(dú)立專網(wǎng)方案總之，不同的場(chǎng)景需求使用不同的解決方案來(lái)匹配解決。選擇部署方案時(shí)，需要綜合考慮行業(yè)用戶在成本、安全性、業(yè)務(wù)性能和業(yè)務(wù)連接范圍等方面的需求。面向工業(yè)互聯(lián)網(wǎng)園區(qū)的 5G 專網(wǎng)方案面向工業(yè)互聯(lián)網(wǎng)園區(qū)的 5G 專網(wǎng)方案組網(wǎng)模式5G 網(wǎng)絡(luò)架構(gòu)分別為 NSA（Non-Standalone，非獨(dú)立組網(wǎng)）和 SA（Standalone，獨(dú)立組網(wǎng)

13、）兩種模式。其中，SA 是 5G 網(wǎng)絡(luò)演進(jìn)的終極目標(biāo)。相比 NSA 網(wǎng)絡(luò)，SA 網(wǎng)絡(luò)復(fù)雜度低，終端實(shí)現(xiàn)簡(jiǎn)單；并且， 能同時(shí)支持 eMBB（Enhanced Mobile Broadband， 增強(qiáng)移動(dòng)寬帶）、uRLLC（Ultra-reliable and Low Latency Communications，超高可靠與低時(shí)延通信）、mMTC（Massive Machine Type Communication，大規(guī)模機(jī)器類型通信）等多種應(yīng)用場(chǎng)景。此外，當(dāng)前 SA 產(chǎn)業(yè)成熟度也可以滿足建網(wǎng)要求。因此，面向工業(yè)互聯(lián)網(wǎng)園區(qū)的 5G 專網(wǎng)建設(shè)建議采用 SA 網(wǎng)絡(luò)架構(gòu)。組網(wǎng)方案工業(yè)互聯(lián)網(wǎng)園區(qū)出于對(duì)網(wǎng)絡(luò)

14、安全、管理控制的極高要求，需要建立一張與公網(wǎng)隔離的獨(dú)立網(wǎng)絡(luò)。然而，現(xiàn)有的獨(dú)立專網(wǎng)方案中，公網(wǎng)與專網(wǎng)之間物理隔離，不能滿足終端從專網(wǎng)接入公網(wǎng)或者從公網(wǎng)接入專網(wǎng)的使用需求。為此，引入 NPN（Non-Public Network，非公共網(wǎng)絡(luò)）技術(shù)應(yīng)用于工業(yè)互聯(lián)網(wǎng)園區(qū)的方案部署。 NPN 提供了兩種部署方式：SNPN（Standalone NPN，獨(dú)立 NPN）和 PNI-NPN（Public network integrated NPN，公共網(wǎng)絡(luò)集成 NPN），這兩種方式都可以和工業(yè)互聯(lián)網(wǎng)進(jìn)行很好地融合，其區(qū)別在于 SNPN 網(wǎng)絡(luò)不依賴于公網(wǎng)，由 SNPN 運(yùn)營(yíng)商運(yùn)營(yíng)，而 PNI-NPN 網(wǎng)絡(luò)依賴

15、于公網(wǎng)，由傳統(tǒng)運(yùn)營(yíng)商運(yùn)營(yíng)?？紤]到園區(qū)企業(yè)運(yùn)營(yíng)的自主性以及功能按需定制的靈活性，建議在工業(yè)互聯(lián)網(wǎng)園區(qū)采用 SNPN 方式建立 5G 專網(wǎng)，為園區(qū)內(nèi)所有終端設(shè)備提供通信服務(wù)。5G 專網(wǎng)主要由終端設(shè)備、基站設(shè)備、MEC（Multi- access Edge Computing，多接入邊緣計(jì)算）設(shè)備、核心網(wǎng)設(shè)備以及網(wǎng)絡(luò)管理平臺(tái)等組成。終端設(shè)備主要包括手持 5G 智能終端、5G 通信模組、5G 無(wú)線網(wǎng)關(guān)設(shè)備等。其中，手持智能終端設(shè)備為園區(qū)管理人員、生產(chǎn)工作人員提供生產(chǎn)信息查詢、設(shè)備操作、定位、圖像和數(shù)據(jù)傳輸?shù)裙δ埽?G通信模組主要安裝在各類傳感器、便攜式移動(dòng)設(shè)備和采集設(shè)備上，支持?jǐn)?shù)據(jù)傳輸、定位等功能；

16、5G 無(wú)線網(wǎng)關(guān)部署在工業(yè)現(xiàn)場(chǎng)，對(duì)工業(yè)現(xiàn)場(chǎng)各種機(jī)器和設(shè)備接口進(jìn)行統(tǒng)一的管理，提供綜合接入基站的能力，網(wǎng)關(guān)支持以太網(wǎng)口、Wi-Fi、藍(lán)牙和 RS232/485 等主流協(xié)議，實(shí)現(xiàn)園區(qū)內(nèi)異構(gòu)網(wǎng)絡(luò)的管理連接?；驹O(shè)備提供 5G 專網(wǎng)覆蓋，實(shí)現(xiàn)管理人員及園區(qū)內(nèi)各類無(wú)線寬帶終端的接入功能，為覆蓋區(qū)域內(nèi)的終端提供無(wú)線資源分配和調(diào)度、移動(dòng)性管理等功能，滿足無(wú)線覆蓋區(qū)域內(nèi)寬帶移動(dòng)用戶的通信保障需求。MEC 設(shè)備為園區(qū)內(nèi)提供專用 MEC 服務(wù)環(huán)境，其上部署工業(yè)互聯(lián)網(wǎng)內(nèi)相關(guān)的所有上層應(yīng)用，如工業(yè)控制應(yīng)用、位置應(yīng)用等。核心網(wǎng)設(shè)備實(shí)現(xiàn)對(duì)基站的控制和管理，提供用戶的鑒權(quán)、接入、業(yè)務(wù)連接、數(shù)據(jù)管理等功能。網(wǎng)絡(luò)管理平臺(tái)用于管理

17、相關(guān)的網(wǎng)絡(luò)層設(shè)備，包括服務(wù)器、操作維護(hù)終端、告警終端、告警箱、管理控制臺(tái)以及一些組網(wǎng)設(shè)備。圖 5 工業(yè)互聯(lián)網(wǎng)園區(qū) SNPN 獨(dú)立專網(wǎng)組網(wǎng)方案12如圖 5 所示，SNPN 網(wǎng)絡(luò)與公網(wǎng)相互隔離，核心網(wǎng)之間沒有控制面接口，不能進(jìn)行互操作。SNPN的用戶簽約數(shù)據(jù)、控制面流量和用戶面流量均保持在 SNPN 網(wǎng)絡(luò)內(nèi)。對(duì)于園區(qū)內(nèi)部的數(shù)據(jù)交互，通過 SNPN 專網(wǎng) UPF 設(shè)備本地終結(jié)， 保證數(shù)據(jù)不出園區(qū)。SNPN 重用了“Untrusted non-3GPP access”架構(gòu)，保證專網(wǎng)終端設(shè)備可以通過 SNPN 專網(wǎng)的用戶面訪問公網(wǎng)業(yè)務(wù)，或者通過公網(wǎng)的用戶面訪問 SNPN 專網(wǎng)業(yè)務(wù)。具體為：對(duì)于園區(qū)內(nèi)有訪

18、問公網(wǎng)業(yè)務(wù)需求的終端，可簽約運(yùn)營(yíng)商的 PLMN（Public Land Mobile Network， 公 眾 陸 地 移 動(dòng) 網(wǎng)） 服 務(wù)， 通 過 SNPN 專 網(wǎng) 的 UPF 連 接 公 網(wǎng) 的 N3IWF（Non-3GPP InterWorking Function，非 3GPP 互通功能），實(shí)現(xiàn)對(duì)公網(wǎng)業(yè)務(wù)的訪問。數(shù)據(jù)路徑參見上圖中紅色線標(biāo)識(shí)。對(duì)于園區(qū)外訪向內(nèi)網(wǎng)業(yè)務(wù)的終端，可通過公網(wǎng)對(duì)接 SNPN 的 N3IWF 實(shí)現(xiàn)。數(shù)據(jù)路徑參見上圖中黃色線標(biāo)識(shí)。針對(duì)工業(yè)互聯(lián)網(wǎng)園區(qū)的一些個(gè)性化應(yīng)用，行業(yè)終端、基站和核心網(wǎng)需要具備定制化能力。具體為：針對(duì)三大典型應(yīng)用場(chǎng)景，行業(yè)終端和基站需要支持靈活的幀

19、結(jié)構(gòu)配置，以及諸如上行增強(qiáng)、重復(fù)傳輸?shù)忍匦浴＿M(jìn)一步地，對(duì)于確定性時(shí)延應(yīng)用場(chǎng)景，核心網(wǎng)和終端需要支持 TSN 能力。網(wǎng)絡(luò)切片用于工業(yè)互聯(lián)網(wǎng)園區(qū)內(nèi)不同應(yīng)用場(chǎng)景的安全隔離和業(yè)務(wù)保障，要求終端設(shè)備具備感知切片與匹配切片的能力；基站能夠通過無(wú)線參數(shù)或算法配置保障切片級(jí)的 QoS（Quality of Service，業(yè)務(wù)質(zhì)量）需求；核心網(wǎng)能夠按需提供資源隔離能力等。針對(duì)組通信需求場(chǎng)景，核心網(wǎng)需要支持組管理功能和虛擬 LAN（Local Area Network，局域網(wǎng)）內(nèi)終端之間的組播機(jī)制。針對(duì)信息安全增強(qiáng)場(chǎng)景，特別是面向某些特殊企業(yè)的工業(yè)互聯(lián)網(wǎng)園區(qū)，由于生產(chǎn)信息涉及非常高級(jí)別的保密信息，因此需要引入特

20、定密碼系統(tǒng)，通過定制終端和核心網(wǎng)安全功能，保障終端接入安全和應(yīng)用安全。室內(nèi)定位場(chǎng)景下，5G 網(wǎng)絡(luò)與 BLE（Bluetooth Low Energy，低功耗藍(lán)牙）融合部署，要求分布式 Pico RRU（Radio Remote Unit，射頻拉遠(yuǎn)單元）集成藍(lán)牙信標(biāo)管理網(wǎng)關(guān)、室分吸頂天線內(nèi)置藍(lán)牙信標(biāo)等功能。參見第 3 節(jié)描述。無(wú)線覆蓋方案國(guó)內(nèi)目前無(wú) 5G 行業(yè)專用頻段，且短期內(nèi) 5G 行業(yè)頻率不夠明朗。因此，面向工業(yè)互聯(lián)網(wǎng)園區(qū)的 5G獨(dú)立專網(wǎng)建設(shè)，只能考慮租用運(yùn)營(yíng)商頻譜的方式。由運(yùn)營(yíng)商統(tǒng)一規(guī)劃，為其分配授權(quán)頻譜中的企業(yè)獨(dú)占頻段。工業(yè)互聯(lián)網(wǎng)園區(qū) 5G 網(wǎng)絡(luò)信號(hào)覆蓋方案按照室外區(qū)域和室內(nèi)區(qū)域兩方面進(jìn)

21、行建設(shè)。室外區(qū)域建設(shè)主要實(shí)現(xiàn)廣域打底覆蓋，盡量采用低頻段，如可采用 700M 4TR RRU（中國(guó)移動(dòng)）或 2.1G 4TR RRU（中國(guó)電信、中國(guó)聯(lián)通）。針對(duì)室外大容量高速率場(chǎng)景，需要使用大帶寬和大規(guī)模天線技術(shù)，可采用 64 通道產(chǎn)品，如 2.6G 64TR AAU（Active Antenna Unit，有源天線單元）（中國(guó)移動(dòng)）或 3.5G 64TR AAU（中國(guó)電信、中國(guó)聯(lián)通）。此外，在宏站弱覆蓋以及熱點(diǎn)區(qū)域可以采用微站或桿站進(jìn)行補(bǔ)盲補(bǔ)熱。室內(nèi)區(qū)域建設(shè)主要面向工業(yè)生產(chǎn)網(wǎng)生產(chǎn)車間以及企業(yè)信息網(wǎng)辦公區(qū)域等?？紤]到室內(nèi)對(duì)設(shè)備體積要求較高，因此不宜用大規(guī)模天線部署。在容量要求高的熱點(diǎn)覆蓋區(qū)域，

22、可以采用高頻超密集組網(wǎng)，如采用 4TR pRRU 數(shù)字化室分系統(tǒng)。工業(yè)園區(qū)的一些應(yīng)用對(duì)于上行速率和時(shí)延有較高要求，且需要連續(xù)移動(dòng)作業(yè)，如遠(yuǎn)程駕駛控制等。由于在切換時(shí)會(huì)發(fā)生速率和時(shí)延波動(dòng)，這種不穩(wěn)定的傳輸性能可能導(dǎo)致業(yè)務(wù)感知的急劇下降，影響業(yè)務(wù)效果。在這種場(chǎng)景下，可以使用融合高低頻的雙頻網(wǎng)絡(luò)，如 2.6G+4.9G 雙頻網(wǎng)絡(luò)（中國(guó)移動(dòng)），使終端可以在高頻站和低頻站中錯(cuò)峰切換，雙頻協(xié)同保證穩(wěn)定的上行高速率，以有效解決單頻網(wǎng)絡(luò)下基站切換期間速率下降的問題，保障良好的業(yè)務(wù)感知。14145G 定制化能力滿足工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需求16165G 定制化能力滿足工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需求5G 定制化能力滿足工業(yè)互

23、聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需求業(yè)務(wù)隔離與保障方案工業(yè)互聯(lián)網(wǎng)園區(qū)提供三種類型的網(wǎng)絡(luò)：工業(yè)生產(chǎn)網(wǎng)、企業(yè)信息網(wǎng)和公共服務(wù)網(wǎng)。這三類網(wǎng)絡(luò)對(duì)安全等級(jí)和業(yè)務(wù)保障要求不同，工業(yè)生產(chǎn)網(wǎng)安全等級(jí)要求極高，需要提供高度隔離和高質(zhì)量的業(yè)務(wù)保障；企業(yè)信息網(wǎng)安全等級(jí)要求次之，存在一定的隔離和業(yè)務(wù)質(zhì)量保障需求；公共服務(wù)網(wǎng)主要提供普通的寬帶業(yè)務(wù)，安全等級(jí)和業(yè)務(wù)保障要求最低。工業(yè)生產(chǎn)網(wǎng)內(nèi)部同時(shí)存在著各類生產(chǎn)相關(guān)的業(yè)務(wù)應(yīng)用，涉及 eMBB、uRLLC、mMTC 等三大業(yè)務(wù)場(chǎng)景，如控制系統(tǒng)產(chǎn)生的控制指令、數(shù)據(jù)采集系統(tǒng)產(chǎn)生的傳感器數(shù)據(jù)、監(jiān)控系統(tǒng)產(chǎn)生的音視頻文件等，需要從架構(gòu)設(shè)計(jì)上考慮資源的隔離及算法的協(xié)調(diào)，確保并發(fā)場(chǎng)景下的業(yè)務(wù)性能保障。網(wǎng)絡(luò)切片

24、具有定制化、差異化服務(wù)的能力，可以在云基礎(chǔ)設(shè)施上按照不同的業(yè)務(wù)場(chǎng)景和業(yè)務(wù)模型，利用虛擬化技術(shù)，進(jìn)行網(wǎng)絡(luò)功能的裁剪定制、網(wǎng)絡(luò)資源的管理編排，形成多個(gè)獨(dú)立的虛擬網(wǎng)絡(luò)，為不同的行業(yè)應(yīng)用場(chǎng)景提供相互隔離的網(wǎng)絡(luò)環(huán)境。根據(jù)工業(yè)互聯(lián)網(wǎng)園區(qū)不同應(yīng)用場(chǎng)景的安全等級(jí)和業(yè)務(wù)保障要求，可以構(gòu)建不同的網(wǎng)絡(luò)切片連接。如圖 7 所示，分別建立企業(yè)信息網(wǎng)切片、公共服務(wù)網(wǎng)網(wǎng)絡(luò)切片和工業(yè)生產(chǎn)網(wǎng)內(nèi)針對(duì) eMBB、uRLLC、mMTC 三大業(yè)務(wù)場(chǎng)景的切片。針對(duì)上述各類切片，按需定制網(wǎng)絡(luò)功能、性能及部署策略等。在工業(yè)互聯(lián)網(wǎng)園區(qū)，需要部署切片管理系統(tǒng)，企業(yè)可以對(duì)切片進(jìn)行自主運(yùn)維，如監(jiān)控和查看切片相關(guān)的各種信息等。圖 7 工業(yè)互聯(lián)網(wǎng)園區(qū)業(yè)

25、務(wù)隔離方案網(wǎng)絡(luò)切片提供切片間的資源隔離。在工業(yè)互聯(lián)網(wǎng)園區(qū)，主要包括核心網(wǎng)切片的資源隔離和接入網(wǎng)切片的資源隔離。從資源視圖的角度看，核心網(wǎng)切片的資源隔離主要涉及硬件資源層、虛擬資源層和網(wǎng)元功能層。其中，硬件資源層主要指基于 X86 或者 ARM 架構(gòu)的各種服務(wù)器；虛擬資源層主要對(duì)應(yīng)網(wǎng)絡(luò)功能虛擬化基礎(chǔ)設(shè)施（NFVI，Network Functions virtualization Infrastructure），通過虛擬機(jī)、容器等虛擬化技術(shù)，在通用硬件上承載傳統(tǒng)通信設(shè)備功能的軟件處理。網(wǎng)元功能層主要指核心網(wǎng)的虛擬網(wǎng)絡(luò)功能（VNF，Virtual Network Function）。從硬件資源層上，

26、工業(yè)生產(chǎn)網(wǎng)與企業(yè)信息網(wǎng)、公共服務(wù)網(wǎng)之間使用不同的硬件資源，進(jìn)行物理隔離，保證工業(yè)生產(chǎn)網(wǎng)資源獨(dú)占，不受外部影響。從虛擬資源層上，工業(yè)生產(chǎn)網(wǎng)中的各類業(yè)務(wù)場(chǎng)景之間邏輯隔離，企業(yè)信息網(wǎng)和公共服務(wù)網(wǎng)之間邏輯隔離?；谔摂M機(jī)或容器的隔離機(jī)制，各切片使用不同的虛擬資源池，保證不同切片間的業(yè)務(wù)獨(dú)立性。從網(wǎng)元功能層上，工業(yè)生產(chǎn)網(wǎng)三類業(yè)務(wù)場(chǎng)景切片之間以及企業(yè)信息網(wǎng)和公共服務(wù)網(wǎng)切片之間，采用 AMF（Access and Mobility Management Function， 接入和移動(dòng)管理功能） 與 UDM（Unified Data Management，統(tǒng)一數(shù)據(jù)管理設(shè)備）網(wǎng)元功能共享、SMF（Session

27、 Management Function，會(huì)話管理功能）與 UPF 網(wǎng)元功能獨(dú)占專享的方式構(gòu)建，同時(shí)，工業(yè)生產(chǎn)網(wǎng)與企業(yè)信息網(wǎng)和公共服務(wù)網(wǎng)之間設(shè)置獨(dú)立的數(shù)據(jù)庫(kù)。在工業(yè)生產(chǎn)網(wǎng)切片中，考慮到三類場(chǎng)景業(yè)務(wù)需求差異化顯著和高質(zhì)量的業(yè)務(wù)保障要求，在無(wú)線上，切片間采用基于邏輯小區(qū)的隔離方式。不同切片使用不同的載波小區(qū)，每個(gè)切片僅使用本小區(qū)的空口資源，切片間嚴(yán)格區(qū)分，以確保各自的無(wú)線資源。這樣做的好處是，可以根據(jù)業(yè)務(wù)需求對(duì)小區(qū)進(jìn)行定制化配置（如幀格式配置）或進(jìn)行專門的空口側(cè)優(yōu)化等。具體為：對(duì)于 eMBB 切片，采用較小的子載波間隔和為小區(qū)配置更寬的載波帶寬，實(shí)現(xiàn)更高速率的數(shù)據(jù)傳輸和滿足更高的容量需求。上行容量

28、要求較高時(shí)，可以采用靈活的幀結(jié)構(gòu)，如 3：1 的上下行子幀配比，增強(qiáng)上行能力，承載更高的回傳數(shù)據(jù)。此外，還可以采用超級(jí)上行方案，通過 TDD 和 FDD 的協(xié)同、高低頻的互補(bǔ)、時(shí)域和頻域的聚合，提升上行帶寬和增強(qiáng)上行覆蓋。對(duì)于 uRLLC 切片，由于要求提供毫秒級(jí)的端到端時(shí)延和接近 99.999的業(yè)務(wù)可靠性保證，可以采用較大的子載波間隔和引入短傳輸時(shí)隙，實(shí)現(xiàn)低延遲通信需求。通過使用低譜效的 MCS（Modulation and Coding Scheme，調(diào)制與編碼方案）和分集、冗余技術(shù)等實(shí)現(xiàn)高可靠性。對(duì)于 mMTC 切片，重點(diǎn)關(guān)注終端節(jié)電（包括連接態(tài)和空閑態(tài)）、通過重復(fù)傳輸方式進(jìn)行覆蓋增強(qiáng)，

29、以及增強(qiáng)的隨機(jī)接入和合適的擁塞控制等方案的應(yīng)用。5G 定制化能力滿足工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需求企業(yè)信息網(wǎng)切片和公共服務(wù)網(wǎng)切片之間共用同一個(gè)小區(qū)的 RB（Resource Block，資源塊）資源，按QoS 優(yōu)先級(jí)進(jìn)行業(yè)務(wù)保障。同時(shí)，可以根據(jù)各切片的資源需求，為特定切片預(yù)留分配一定量的 RB 資源。預(yù)留策略也比較靈活，如靜態(tài)預(yù)留，這部分預(yù)留的資源在任何時(shí)刻都不能被其他切片用戶使用；或動(dòng)態(tài)預(yù)留，為指定切片預(yù)留的資源在該切片不需要使用時(shí)，可以被其它切片用戶使用。針對(duì)這兩個(gè)網(wǎng)絡(luò)切片，需要差異化配置切片上下行最大資源、切片上下行保障資源和切片接入的最大用戶數(shù)等參數(shù)，一方面用于切片業(yè)務(wù)質(zhì)量的保障，另一方面，限

30、制某個(gè)切片對(duì)共享資源過度使用，影響到另一切片。除了切片間的資源隔離外，針對(duì)具有極高數(shù)據(jù)安全要求的場(chǎng)景，還可以采用獨(dú)立的切片內(nèi)數(shù)據(jù)面密鑰方案，提供可靠的數(shù)據(jù)隔離能力。5G TSN 方案在工業(yè)互聯(lián)網(wǎng)園區(qū)，存在著大量對(duì)時(shí)間非常敏感的應(yīng)用，如運(yùn)動(dòng)控制、機(jī)器人協(xié)同控制等。這些應(yīng)用的數(shù)據(jù)需要在確定時(shí)限內(nèi)發(fā)送到目標(biāo)，以支持工控設(shè)備和應(yīng)用的正常運(yùn)轉(zhuǎn)。TSN 是一種具有有界傳輸時(shí)延、低傳輸抖動(dòng)和極低數(shù)據(jù)丟失率的高質(zhì)量實(shí)時(shí)傳輸網(wǎng)絡(luò)。利用 TSN 網(wǎng)絡(luò)可以滿足工業(yè)應(yīng)用控制信息和運(yùn)維數(shù)據(jù)的時(shí)間敏感傳輸要求。傳統(tǒng) TSN 網(wǎng)絡(luò)基于通用的以太網(wǎng)標(biāo)準(zhǔn)來(lái)建設(shè)，是一種有線通信的網(wǎng)絡(luò)，各類工業(yè)設(shè)備（如傳感器、執(zhí)行器等）都需要以有

31、線方式連接到 TSN 網(wǎng)絡(luò)，終端設(shè)備之間以及終端設(shè)備與云平臺(tái)之間的數(shù)據(jù)交互會(huì)受電纜布線的限制。5G 技術(shù)與傳統(tǒng) TSN 網(wǎng)絡(luò)無(wú)縫融合，可以實(shí)現(xiàn) TSN 網(wǎng)絡(luò)的無(wú)線化。相比 uRLLC 技術(shù)在可靠性和時(shí)延方面的保障，5G TSN 技術(shù)進(jìn)一步地在時(shí)延抖動(dòng)和時(shí)間同步方面對(duì) 5G 網(wǎng)絡(luò)進(jìn)行增強(qiáng)。5G 核心網(wǎng)在 uRLLC 通信服務(wù)基礎(chǔ)上增加了時(shí)間同步、時(shí)延和時(shí)延抖動(dòng)有界性，增強(qiáng)了可靠性指標(biāo)。圖 8 工業(yè)互聯(lián)網(wǎng)園區(qū) TSN 網(wǎng)絡(luò)無(wú)線化方案5G TSN 架構(gòu)如圖 8 所示。圖中，5G 網(wǎng)絡(luò)作為TSN 的一個(gè)節(jié)點(diǎn)，充當(dāng) TSN 橋，集成在 TSN 系統(tǒng)中。此邏輯 TSN 橋包括了 UPF 的 NW-TT（N

32、etwork-side TSN translator，網(wǎng)絡(luò)側(cè) TSN 翻譯器）端口、 UE 和 UPF 之間的用戶面隧道，還有 UE DS-TT（Device-side TSN translator，終端側(cè) TSN 翻譯器）端口。通過冗余用戶面路徑實(shí)現(xiàn)可靠的數(shù)據(jù)傳輸。5G TSN 技術(shù)對(duì)終端和核心網(wǎng)均有定制化要求。終端和 UPF 需要支持 TSN Translator 功能，核心網(wǎng)通過能力開放與 TSN 系統(tǒng)控制面功能進(jìn)行對(duì)接，完成協(xié)議解讀和參數(shù)映射。在工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)中， TSN 系統(tǒng)控制面功能可以部署在 MEC 平臺(tái)上。組通信方案5G LAN（5G LAN-type service ，5

33、G 本地局域網(wǎng)類型服務(wù)）技術(shù)首次在移動(dòng)網(wǎng)絡(luò)中引入終端組管理的概念，支持組內(nèi)終端直接通信。組通信方案的主要技術(shù)特征有：組管理包括組標(biāo)識(shí)、組成員和組數(shù)據(jù)管理。其中，組標(biāo)識(shí)用于識(shí)別一個(gè)組；組成員可用 GPSI（Generic Public Subscription Identifier，通用公共用戶標(biāo)識(shí)）list 表示，每個(gè) GPSI 唯一標(biāo)識(shí)一個(gè)組成員；組數(shù)據(jù)則是組通信對(duì)應(yīng)的 PDU（Protocol Data Unit，協(xié)議數(shù)據(jù)單元）會(huì)話信息，包括 PDU 會(huì)話類型（IPv4、IPv6 或者以太類型）、DNN（Data Network Name，數(shù)據(jù)網(wǎng)絡(luò)名稱）、S-NSSAI（Single Ne

34、twork Slice Selection Assistance Information，單個(gè)網(wǎng)絡(luò)切片選擇輔助信息）和應(yīng)用標(biāo)識(shí)符。組管理包括兩種方式：靜態(tài)組管理和動(dòng)態(tài)組管理。其中，靜態(tài)組管理方式中，組信息由 O&M 觸發(fā)創(chuàng)建、刪除、更新；動(dòng)態(tài)組管理方式中，組信息通過核心網(wǎng)能力開放接口動(dòng)態(tài)配置或調(diào)整。組通信可以發(fā)生在組內(nèi)的兩個(gè)成員之間或者多個(gè)成員之間，不同組之間通信隔離。支持根據(jù)組成員的位置限制其組成員的通信。通過核心網(wǎng)能力開放接口，可以定制終端設(shè)備的 IP 地址分配策略、流量路由策略等。5G LAN 只涉及核心網(wǎng)功能，對(duì)終端和基站無(wú)影響。在工業(yè)互聯(lián)網(wǎng)場(chǎng)景下，可通過構(gòu)建不同的 5G LAN 群組

35、，實(shí)現(xiàn)不同等級(jí)終端之間的安全隔離。如圖 9所示。5G 定制化能力滿足工業(yè)互聯(lián)網(wǎng)園區(qū)網(wǎng)絡(luò)需求圖 9 工業(yè)互聯(lián)網(wǎng)園區(qū)組通信間隔離示意圖對(duì)于工業(yè)互聯(lián)網(wǎng)園區(qū)內(nèi)有組通信需求且有極高安全需求的區(qū)域（如生產(chǎn)區(qū)），可以通過配置 5G LAN 組的可用地理區(qū)域，限制 5G LAN 的組通信，如圖 10 所示。當(dāng)組成員移出該區(qū)域時(shí)，不能發(fā)起到對(duì)應(yīng) 5G LAN 的組通信，以此保證通信安全。圖 10 工業(yè)互聯(lián)網(wǎng)園區(qū)組通信限制示意圖對(duì)于工業(yè)互聯(lián)網(wǎng)園區(qū)內(nèi)有跨區(qū)域（如多個(gè)生產(chǎn)車間之間）組通信需求的場(chǎng)景，可以通過靜態(tài) IP 地址分配方式，為組內(nèi)終端指定 IP 地址。由于組內(nèi)的終端可以配置為相同的地址段，因此，可以在一個(gè)更廣

36、覆蓋范圍下實(shí)現(xiàn)局域網(wǎng)內(nèi)的相互通信，如圖 11 所示。圖 11 工業(yè)互聯(lián)網(wǎng)園區(qū)跨區(qū)域組通信示意圖信息安全方案參考 3GPP 安全架構(gòu)，5G 專網(wǎng)可以劃分為 4 個(gè)域：接入域、網(wǎng)絡(luò)域、業(yè)務(wù)域和管理域。其中，接入域包含終端和基站設(shè)備；網(wǎng)絡(luò)域是 5G 核心網(wǎng)；管理域?yàn)?5G 基站和核心網(wǎng)的網(wǎng)管及運(yùn)營(yíng)支撐系統(tǒng)；業(yè)務(wù)域包含工業(yè)互聯(lián)網(wǎng)園區(qū)各業(yè)務(wù)系統(tǒng)。網(wǎng)絡(luò)的信息安全方案包括以下幾個(gè)方面：（1）網(wǎng)絡(luò)接入安全基于 5G AKA（5G Authentication and Key Agreement，5G 認(rèn)證與密鑰協(xié)商）安全認(rèn)證機(jī)制對(duì)終端進(jìn)行身份認(rèn)證，確保只有合法的終端能夠接入 5G 網(wǎng)絡(luò)。接入認(rèn)證的同時(shí)，5G

37、AKA 機(jī)制能夠?yàn)榻K端及網(wǎng)絡(luò)協(xié)商出加密及完整性保護(hù)密鑰，在網(wǎng)絡(luò)接入層面和非接入層面對(duì)終端信令及用戶數(shù)據(jù)進(jìn)行加密和 /或完整性保護(hù)，防止用戶信息被篡改、竊聽。使用外部數(shù)據(jù)網(wǎng)絡(luò)對(duì)終端進(jìn)行二次認(rèn)證，防止終端被竊取導(dǎo)致的非法訪問。當(dāng)前的行業(yè)終端主要采用無(wú)線網(wǎng)關(guān)，如 CPE（Customer Premise Equipment，客戶終端設(shè)備）。CPE 通常位于無(wú)人值守的戶外，其所使用的 USIM 卡可能被攻擊者竊取，然后插入其他設(shè)備中冒充正常 CPE 接入移動(dòng)網(wǎng)絡(luò)發(fā)起網(wǎng)絡(luò)攻擊。二次認(rèn)證是在終端與 5G 網(wǎng)絡(luò)之間的雙向認(rèn)證之后，與業(yè)務(wù)網(wǎng)絡(luò)之間執(zhí)行的附加認(rèn)證，采用 EAP-AKA（Extensible Au

38、thentication Protocol-Authentication and Key Agreement，可擴(kuò)展認(rèn)證協(xié)議認(rèn)證與密鑰協(xié)商）認(rèn)證方式。（2）網(wǎng)絡(luò)域安全保障網(wǎng)絡(luò)節(jié)點(diǎn)安全、網(wǎng)絡(luò)節(jié)點(diǎn)之間消息傳輸安全，解決 5G 核心網(wǎng)虛擬化和服務(wù)化架構(gòu)開放性引入的安全問題，保證核心網(wǎng)系統(tǒng)可信、可靠運(yùn)行。通過采用可信服務(wù)器增強(qiáng)物理安全，主機(jī)系統(tǒng)加固提升軟件系統(tǒng)的安全。通過負(fù)荷分擔(dān)、多點(diǎn)部署、故障檢測(cè)和恢復(fù)，實(shí)現(xiàn)核心網(wǎng)設(shè)備 99.999的可靠性。通過核心網(wǎng)網(wǎng)元的認(rèn)證和傳輸層安全，保證網(wǎng)元之間的可靠通信。（3）業(yè)務(wù)域安全保證應(yīng)用的安全，解決業(yè)務(wù)報(bào)文在空口、基站、核心網(wǎng)和業(yè)務(wù)系統(tǒng)之間的傳輸安全，防止業(yè)務(wù)報(bào)文

39、被竊聽和篡改。在終端業(yè)務(wù)訪問時(shí)候，可以按需建立 IPSec（ IP Security，Internet 協(xié)議安全性）/SSL（Security Socket Layer，安全層）VPN 隧道，保證數(shù)據(jù)傳輸安全。（4）管理域安全網(wǎng)管系統(tǒng)與被管的接入網(wǎng)和核心網(wǎng)之間通過防火墻或者網(wǎng)閘進(jìn)行隔離。對(duì)于生產(chǎn)信息涉及非常高級(jí)別的保密信息的工業(yè)互聯(lián)網(wǎng)園區(qū)，如某些特殊企業(yè)的工業(yè)制造園區(qū)，需要進(jìn)行信息安全增強(qiáng)。在采取 5G 網(wǎng)絡(luò)傳輸工廠生產(chǎn)數(shù)據(jù)和采集信息時(shí)，其信息傳輸?shù)陌踩詰?yīng)符合某些特殊企業(yè)對(duì)涉密信息的傳輸要求，系統(tǒng)所采用的終端設(shè)備應(yīng)支持某些特定安全保密規(guī)定，保證數(shù)據(jù)的安全性。為了提升終端與網(wǎng)絡(luò)之間的安全性，抗

40、擊來(lái)自無(wú)線接口的攻擊，需要定制終端和增加符合特定標(biāo)準(zhǔn)的特定密碼系統(tǒng)。定制終端采用安全芯片為終端提供安全配置、數(shù)據(jù)加密、安全存儲(chǔ)、密鑰管理和數(shù)字簽名等安全功能。高級(jí)密碼系統(tǒng)生成安全參數(shù)，并基于安全參數(shù)推演出用于加密和完保的密鑰，提供安全等級(jí)更高的網(wǎng)絡(luò)，如圖 12 所示。在高級(jí)密碼系統(tǒng)保存終端的根密鑰信息，保障專網(wǎng)終端在開戶過程中無(wú)根密鑰泄露的風(fēng)險(xiǎn)。由高級(jí)密碼系統(tǒng)完成所有鑒權(quán)向量的生成，使用符合由高級(jí)密碼系統(tǒng)完成所有鑒權(quán)向量的生成，使用符合特定標(biāo)準(zhǔn)要求的專用安全算法替換 3GPP 標(biāo)準(zhǔn)協(xié)議中的安全算法。標(biāo)準(zhǔn)的專用安全算法替換標(biāo)準(zhǔn)協(xié)議中的安全算法。定制化核心網(wǎng)安全功能。在終端接入鑒權(quán)過程中，增加與高

41、級(jí)密碼系統(tǒng)的交互過程，相關(guān)接口為私有接口。在業(yè)務(wù)傳輸路徑上，建立定制終端和高級(jí)密碼系統(tǒng)之間端到端的傳輸隧道，業(yè)務(wù)報(bào)文采用全報(bào)文加密，包括 IP 頭，加密之后的密文在隧道中傳輸。圖 12 信息安全增強(qiáng)方案定位方案工業(yè)互聯(lián)網(wǎng)園區(qū)的很多業(yè)務(wù)場(chǎng)景對(duì)室內(nèi)外定位都有強(qiáng)烈的應(yīng)用需求。5G 網(wǎng)絡(luò)與傳統(tǒng)定位技術(shù)的融合，可以實(shí)現(xiàn)高精準(zhǔn)定位和室內(nèi)外一體化的無(wú)縫定位，滿足工業(yè)場(chǎng)景的定位需求，同時(shí)，還可提供有效的防護(hù)機(jī)制，保障工業(yè)信息的安全性。5G 網(wǎng)絡(luò)和基于衛(wèi)星的無(wú)線定位技術(shù)結(jié)合，可以滿足室外定位需求；與基于 BLE 的室內(nèi)定位系統(tǒng)融合部署，可以在 5G NR（New Radio，新空口）無(wú)線覆蓋基本功能的基礎(chǔ)上，實(shí)

42、現(xiàn)室內(nèi)定位網(wǎng)絡(luò)的同步建設(shè)。圖 13 為內(nèi)置藍(lán)牙信標(biāo)系統(tǒng)的室內(nèi)融合型組網(wǎng)方案。圖 13 基于 BLE 的室內(nèi)定位系統(tǒng)與 5G 融合部署方案其中：無(wú)線部分包括 5G 基站 BBU（BaseBand Unit，基帶單元）、Pico RRU、RHub、室分天線、藍(lán)牙網(wǎng)關(guān)和藍(lán)牙信標(biāo)。通過外接室分天線擴(kuò)展 pRRU 的覆蓋范圍，降低室內(nèi) Pico RRU 單獨(dú)組網(wǎng)的部署成本，Pico RRU 可以通過具備通直流能力的功分器外接多副室分天線；室分天線內(nèi)置藍(lán)牙信標(biāo)，Pico RRU 外部集成藍(lán)牙網(wǎng)關(guān)，一方面對(duì)于室分天線內(nèi)置藍(lán)牙信標(biāo)進(jìn)行供電，另一方面實(shí)現(xiàn)監(jiān)控室分天線工作狀態(tài)、配置藍(lán)牙信標(biāo)狀態(tài)參數(shù)等功能。位置應(yīng)用平臺(tái)、位置服務(wù)平臺(tái)和藍(lán)牙網(wǎng)管平臺(tái)部署在 MEC 平臺(tái)上，藍(lán)牙網(wǎng)關(guān)采用無(wú)線或有線回傳方案，與藍(lán)牙網(wǎng)管平臺(tái)連接，定位應(yīng)用通過用戶面數(shù)據(jù)連接獲取位置信息和應(yīng)用內(nèi)容。該方案提供高可用的基于藍(lán)牙信標(biāo)的室內(nèi)位置服務(wù)，具備一定的成本優(yōu)勢(shì)，適合于規(guī)