入驻专网售前5G解决方案模板

`XXX入驻专网项目5G解决方案

目录第一章 中国移动能力优势 41.1 中国移动20年快速发展，实现行业引领 41.2 云南移动能力优势 4第二章 入驻专网产品介绍 6第三章 项目背景和目标 73.1 项目背景 73.2 建设目标 7第四章 需求分析 84.1 业务需求 84.2 网络需求 8第五章 网络组网方案 105.1 总体网络架构（按实际需求保留或删除） 105.2 无线网建设方案 115.2.1 整体架构 115.2.2 网络能力 135.2.3 建设内容 145.3 核心网建设方案 145.3.1 整体架构 145.3.2 UPF能力 165.3.3 网络能力 205.3.4 建设内容 225.4 传送网建设方案 225.4.1 整体架构 225.4.2 网络能力 235.4.3 建设内容 24第六章 5G专网安全方案 266.1.1 终端安全 276.1.2 无线安全 286.1.3 传输安全 296.1.4 核心网络安全 30

中国移动能力优势中国移动20年快速发展，实现行业引领中国移动勇担网络强国、数字中国、智慧社会主力军，锚定世界一流信息服务科技创新公司目标定位，聚焦“数智化转型、高质量发展”主线，系统构建以5G、算力网络、智慧中台为重点的新型信息基础设施，放大信息通信企业拉动投资、促进消费的“扁担效应”，助力数字经济蓬勃发展。网络规模最大：500万+基站总规模，开通5G基站280万+，为全国所有地级市和部分重点县城提供5GSA服务，4G基站数量达146万，雄冠全球，覆盖中国99.7%。客户数量最多：服务9.7亿移动用户、2.4亿家庭用户、2200万政企用户，5G套餐用户5.9亿、终端客户4亿、网络客户3亿户。盈利能力卓越：连续18年在国资委经营业绩考核中获A级，连续22年入选《财富》世界500强企业，2023年排名第62位。市值排名前列：全球电信企业排名第3位，市值近万亿港币，位居港股前10名，2022年1月回归A股市场，募集资金514亿人民币。品牌价值领先：2023年BrandZ全球品牌价值500强排名榜第32位，品牌价值493.22亿美元，排名国内第十二、国企第八。生态资源丰富：与94个大型企业签订集团级战略合作伙伴协议，入股企业58家，其他合作伙伴超30万家。云南移动能力优势引领信息通信网络能级跨越：截止目前，云南移动已建成全省规模最大的5G网络，目前拥有5G基站7.7万个，占全省5G基站规模的70%以上，并完成中国广电5G网络共建共享，2023年底已实现130个区县2.6G+700M双层网覆盖、所有乡镇5G连续覆盖，72%以上自然村5G覆盖，2024年底100%自然村将实现4/5G连续覆盖。在提升基础覆盖的同时，持续打造城区高品质5G网络，城区道路测试覆盖率目前达到99.68%，平均下载速率达到564Mbps，上传速率达到124Mpbs，2024年开始云南移动开始5G-A的建设部署，3月底前完成了全省县城以上区域RedCap连续覆盖，并在部分区域引入通感一体，三载波聚合等技术，进一步提升了5G网络性能，峰值速率达到4.2Gbps以上，展现出强大的应用潜力和市场前景。引领城乡“数字鸿沟”不断缩小：连续五年承担超过75%的电信普遍服务建设任务，已累计建设基站超3600个，累计解决近6000个自然村、52条新建高速路和303个移民安置点的4G网络覆盖问题，近五年语音资费和手机上网资费单价降幅均达到90%。引领通信“走出去”步伐持续加快：完成中缅和中老跨境陆缆超百G扩容和国际政企专网建设，年内建成昆明国际互联网专用通道，与现有中国移动（云南昆明）大数据中心，昆明区域性国际出入口局、中缅中老跨境陆地光缆传输系统实现整合组网，攻克多山、多隧道、多雨林等网络建设难题，中老铁路实现国内段4G全覆盖、重点区域5G覆盖。引领建成面向南亚东南亚的全光智慧底座：建成全国技术领先的“139时延圈”全光网络，即1ms昆明都市时延圈，3ms滇中城市群时延圈，9ms南亚东南亚辐射时延圈；昆明成为全国第三个全光智慧底座城市，实现200G级别大带宽传送能力的智慧调度；依托国际政企专网，20毫秒内数据转运至东部地区。

入驻专网产品介绍结合行业应用场景需求，中国移动提供流量专网、园区专网、入驻专网、双域专网四大精品专网产品，5G专网根据无线资源隔离要求、接入控制要求、切片要求等进行产品选择。基于基站专用、UPF/UPF+等网元能力下沉提供5G专网定制化网络方案，实现分级分档下沉部署到客户机房，满足企业客户对数据不出场、网络定制专用、应急保障等多维度需求。实现网络资源专用，满足高安全性、高隔离度等定制需求。入驻专网是“B2公网专用/B3专网专用+A2业务隔离+A4数据不出场”的能力组合。其中，B2RB无线资源保障提供基于SA的定制化增强型无线网络;B3基站专用在特定场景为行业客户提供专用无线覆盖和物理隔离保障;A2业务隔离提供专用业务数据通道，实现流量的定向汇聚，确保数据安全、降低业务时延；A4数据不出场或现场应急保障提供核心网元分级分档下沉。流量专网是B1公网公用+A1业务加速+A2业务隔离的能力组合。其中，B1公网公用提供面向公众无线资源，产品功能为5G行业流量;A1业务加速为签约用户提供优先调度能力，提供差异化业务质量;A2业务隔离提供专用业务数据通道，实现流量的定向汇聚确保数据安全、降低业务时延。入驻专网分为基础套餐和尊享套餐，基础套餐使用B2RB预留；尊享套餐使用B3基站专用，均可搭配A2业务隔离和A4数据不出场/现场应急保障（二选其一)。

项目背景和目标项目背景随着第5代移动通信技术走向应用，5G时代已经来临，万物互联是大势所趋，以5G、人工智能、物联网为代表的数字基础设施，持续推动XXX行业数字化、网络化、智能化发展。5G技术，不仅是信息通信技术的迭代升级，更是一场影响行业和全社会的技术变革。随着5G技术在XXX领域的应用，5G将推动运营商去管道化，广泛应用到更多的安全领域。本项目对XXX单位进行5G专网建设，实现低时延、高速率、广连接的专属网络服务。为XXX单位提供专用业务数据通道，实现业务数据流量定向汇聚，确保数据安全，数据不出场，降低业务时延，助力XXX单位XXX业务智能化、实现XXX智能运用（需根据实际情况进行补充）建设目标本期利旧5G基站/新建5G网络满足XXX单位5G网络覆盖，同时基于5G专网DNN、RB预留/基站专用、端到端网络切片、UPF下沉园区等策略机制建设数据回传网络，打造一张5G专用无线通信网络，与有线网络深度，实现XXX单位的业务定向接入至XX服务器，完成业务数据交互，保证数据不出场，提高数据安全性降低时延，综合提升XXX行业务运营效率、降低业务运营成本,满足XX单位5G网络高安全性、高隔离度等需求，提供用户专业网络覆盖、数据安全、大带宽等业务服务，达到5G专网高品质的服务能力。

需求分析业务需求本期业务需求为对XXX单位进行5G专网建设，实现低时延、高速率、广连接的网络覆盖。为XXX单位提供专用业务数据通道，实现业务数据流量定向汇聚，确保数据安全，并降低业务时延，助力XXX单位XXX业务智能化、实现XXX智能运用（根据实际客户业务场景需求撰写）。本项目覆盖区域为XX园区XX米范围，满足园区XXX和XXX应用场景需求，采用5G专网解决方案具备带宽、时延和可靠性优先保障，数据不出场（根据实际客户业务场景进行撰写）本项目业务需求主要为如下几个方面：（根据实际客户业务场景需求撰写）XXXX设备的数据回传到内网。同一个VLAN下两个设备间可以互联通信；终端设备均为5G设备，终端设备为4/5G设备，XXX台；终端的IP地址为静态/动态；访问XXX内网；数据不出场网络需求为满足上述业务需求，对现网进行分析。在无线方面，业务覆盖区域为XXXX，利旧现网资源/新建5G网络满足覆盖需求，保障5G终端业务接入5G专网。在核心网方面，将用户面网元UPF下沉至企业园区提供超低时延及高隔离保护能力，通过N6口将数据转发至客户内网服务器，保证数据在园区内闭环，数据不出园区。在传输方面，N3、N4口新建传输设备及光缆资源对接无线和核心网。整体业务通过端到端网络切片技术实现终端定向访问XXX内网服务器，（若终端为4/5G设备则通过策略配置完成5G回落4G），将访问通道与外网隔离，确保网络访问的安全性及数据传输的私密性；通过端到端的网络切片实现数据通道逻辑隔离，保障客户数据安全。实现XXX单位数据采集分流，数据不出场，保障XX业务安全可靠运行。根据业务需求分析，本项目网络需求汇总如下：（若客户有明确的需求则填写，对于客户的网络需求按照SLA判断是否可以满足）业务类别上行速率下行速率时延抖动XXXX≥XXMbps≥XXMbps≤XXms<XXms

网络组网方案总体网络架构（按实际需求保留或删除）入驻专网是“B2公网专用/B3专网专用+A2业务隔离+A4数据不出场”的能力组合，分为基础套餐B2RB预留/尊享套餐B3基站专用。基础套餐B2RB预留：本项目采用“入驻专网”产品模式，利旧现网无线资源完成进行XXX单位5G信号覆盖，经SPN设备接入园区下沉UPF设备，终端业务数据经光纤对接客户内网服务器，完成端到端数据连接，保障XXX业务低时延、高安全可靠及业务数据不出园区。本次项目为XXX单位专网用户签约专用DNN,终端以配置专用DNN的方式接入XXX单位内网。专网用户建立会话时，SMF根据专用DNN选择园区下沉UPF进行数据分流至XXX单位内网服务器。网络示意图如下所示：尊享套餐B3基站专用：本项目采用“入驻专网”产品模式，新建无线网络完成进行XXX单位5G信号覆盖，经SPN设备接入园区下沉UPF设备，终端业务数据经光纤对接客户内网服务器，完成端到端数据连接，保障XXX业务低时延、高安全可靠及业务数据不出园区。本次项目为XXX单位专网用户签约专用DNN,终端以配置专用DNN的方式接入XXX单位内网。专网用户建立会话时，SMF根据专用DNN选择园区下沉UPF进行数据分流至XXX单位内网服务器。网络示意图如下图所示：无线网建设方案基础套餐B2RB预留：无线网本期利旧现有5G基站，提供网络覆盖、基础容量保障及高隔离能力。尊享套餐B3基站专用：无线网本期新建5G基站，提供网络覆盖、基站专用及高安全隔离能力。整体架构无线网本次采用5G空口新技术，具体在“新架构、新设计、新频段、新天线”四个方面。（1）新架构秉持“以用户为中心”的无线网络设计理念，采用CU/DU两级架构，即集中式广域控制和分布式本地业务结合。5G总体架构如下图所示，无线网包括gNB和ng-eNB两种网元，其中gNB提供NR用户平面和控制平面协议和功能，ng-eNB提供E-UTRA用户平面和控制平面协议和功能。（2）在新设计方面，为了适应不同的业务需求以及不同客户不同的流量和物联网需求，设计了全动态结构的新系统，能做到动态帧结构和资源配置、灵活上下行时隙切换以及包括子载波、GP等在内的多种参数配置。5G无线空口由layer1—物理层、layer2—MAC层和layer3—RRC层组成。（3）中国移动获得工业和信息化部发放的2600MHz和4900MHz频段频率使用许可，中国移动与中国广电合作共建共享5G700MHz网络。（4）在大规模MIMO（MassiveMIMO）系统中，基站配置大量的天线数目，通常有几十、几百甚至几千根，是现有MIMO系统天线数目的1~2个数量级以上，它是5G中提高系统容量和频谱利用率的关键技术。大规模MIMO系统的空间分辨率与现有MIMO系统相比显著提高，它能深度挖掘空间维度资源，使得基站覆盖范围内的多个用户在同一时频资源上利用大规模MIMO提供的空间自由度与基站同时进行通信，提升频谱资源在多个用户之间的复用能力，从而在不需要增加基站密度和带宽的条件下大幅度提高频谱效率。大规模MIMO系统可形成更窄的波束，集中辐射于更小的空间区域内，从而使基站与UE之间的射频传输链路上的能量效率更高，减少基站发射功率损耗，是构建未来高能效绿色宽带无线通信系统的重要技术。大规模MIMO系统具有更好的鲁棒性能。由于天线数目远大于处于数据传输状态的UE数目，系统具有很高的空间自由度，系统具有很强的抗干扰能力。当基站天线数目趋于无穷时，白噪声和衰落等负面影响全都可以忽略不计。以下是5G大规模MIMO天线形态：网络能力无线网具备业务加速、业务隔离能力、无线专用、接入控制能力。（1）业务加速行业应用需要增强数据业务质量保障，根据业务质量要求在带宽和时延方面提供差异性的服务质量保障，保证高优先级用户获得更好的业务加速体验。业务加速功能实现涉及端到端网络QoS优先调度技术能力。无线网支持按照规则将业务流匹配到QoSFlow；支持通过MinBR/PBR实现最低速率保障，通过调度级别参数配置实现相对调度优先级保障，以及根据5QI按需开启专门的时延保障增强功能和可靠性保障功能。针对高时延保障场景，基站支持按5QI开关预调度、调整SR周期、开关DRX、开关保守调度（使用或不用低MCS配置表）、开关minislot功能等；针对高可靠性要求场景，无线网支持针对特定5QI承载配置更低码率的MCS策略、支持PDCP重复、支持mini-slotaggregation/repetition等。（2）业务隔离行业应用要求专用网络资源与公众网隔离，通过专用的业务数据通道实现业务流量的定向汇聚传输和隔离，保证数据专用和安全。业务隔离功能实现涉及网络切片技术能力。无线网子切片，作为网络切片中的一个关键组成部分，能根据端到端切片编排管理系统下发的不同业务的不同SLA需求，进行灵活的子切片定制。无线网为了保障SLA需求，一方面可以基于QoS机制，从空口速率、时延、可靠性三个维度对无线网络进行深度优化，实现QoS保障；另一方面，可以为特定切片的用户预留资源，保障该切片内用户的业务体验。（3）无线专用行业应用在局域覆盖且对安全隔离或业务质量要求很高的场景下，要求使用专用的基站或者专用的频段，同时提供业务隔离和业务质量保障。（4）接入控制当行业用户使用专用基站或者专用频段时，要求只允许特定用户接入，不允许其他用户接入，而且客户能够对哪些用户接入进行控制。无线网支持多种基于小区级和区域级的接入控制技术，通过多种手段灵活保障特定行业专网用户的无线资源和业务体验。建设内容基础套餐B2RB预留：本次需求覆盖区域为XXX单位园区，园区周边已有X个2.6G和X个700M宏站。根据网络测试情况，已满足5G网络业务及网络需求。结合园区现网状况和应用需求，本期利旧现有5G基站。尊享套餐B3基站专用：本次需求覆盖区域为XXX单位园区，园区周边5G网络覆盖弱/无覆盖，需新建5G网络满足本期业务及网络需求。本期室外新建X个4.9G/X个2.6G/X个700M无线基站，室内新建无线室分系统，新建X个pRRU满足室内5G网络覆盖，满足园区内XXX终端接入5G网络，具体建设方案及建站位置以现场勘察为准。本次规划覆盖区域为XXX园区（附图说明）核心网建设方案整体架构核心网本次采用5GSA服务化架构（SBA），包括AMF、SMF、UPF、AUSF、UDM、PCF、UDR、NSSF、NRF等多种NF（网络功能），系统架构如下图所示：参考点架构能够更直观的体现不同NF之间的连接关系，基于参考点的5G系统架构如下图所示：5GSA核心网各类NF的主要网络功能为：UPF（UserplaneFunction）：用户平面功能，负责用户数据报文的路由转发、业务识别、策略执行、计费流量上报等用户面功能。SMF（SessionManagementFunction）：会话管理功能，负责5G用户的会话的生命周期管理、数据路由选择、业务连续性管理、策略规则匹配以及流量计费处理等。AMF（AccessandMobilityManagementFunction）：接入及移动性管理功能，处理NAS信令、接入安全验证、5G用户的网络接入控制、注册管理、连接管理、业务请求、移动性限制、用户可达性管理、基于Xn/N2切换、网元选择等。UDM（UnifiedDataManagement)：统一数据管理功能，基于存储于UDR中的用户签约数据（包含鉴权数据），为用户提供接入授权、注册等服务。UDR（UnifiedDataRepository）：统一数据存储功能，提供5G用户签约数据的存储/读取/订阅/通知等功能。PCF（PolicyControlFunction）：策略控制功能，提供5G用户的接入控制、切片选择等非会话类策略管理以及会话控制、QoS控制等功能。AUSF（AuthenticationServerFunction）：认证服务器功能，负责用户从5GC网络接入时的鉴权。NEF（NetworkExposureFunction）：能力开放功能，提供5GC各网元能力的开放的入口。NSSF（NetworkSliceSelectionFunction）：网络切片选择功能，提供UE的切片选择、切片对应的AMF选择以及基于TA的切片信息更新/订阅/去订阅/通知/删除等服务。NRF（NFRepositoryFunction）：网络注册功能，负责5GC服务化网元的服务管理、服务发现和服务授权。BSF（BootstrappingServerFunction）：绑定支持功能，提供UE的PDU会话上下文信息的管理和查询等功能，包括该UE所注册的PCF地址等信息。SMSF（ShortMessageServiceFunction）：短消息服务功能，通过5GNAS信令传递短消息业务，提供5GNAS短信用户的注册和转发等功能。CHF（ChargingFunction）：计费功能，负责在线计费消息转发和离线话单生成、存储。UDSF（UnstructuredDataStoragenetworkfunction）：非结构化数据存储功能，任何NF都可以将信息存储和检索为非结构化数据。NWDAF（NetworkDataAnalyticsFunction）；网络数据分析功能，为NF提供特定切片的网络数据分析。UPF能力边缘UPF作为5GC网络业务面网元，主要支持UE业务数据的路由和转发、数据和业务识别、动作和策略执行等。（1）基本业务功能支持IP/Ethernet/Unstructured类型连接/会话。IP业务能支持IPv4、IPv6及IPv4/IPv6版本的PDN连接/PDU会话。UPF设备支持EPS和5GC的QoS控制功能，并支持EPS和5GC互操作时的QoS控制功能。UPF不限制接入的终端类型，保证用户最大以3Gbps下行速率、1Gbps上行速率正常使用业务，确保QoS参数本地配置、QoS参数传递、QoS协商、QoS控制、切片参数配置和传递等流程正常进行。（2）数据转发功能UPF设备支持对IP、Non-IP和Ethernet等类型的数据报文的转发，支持将从上一个节点接收到的数据（GTP-UPDU）转发给路由中下一个节点的功能以及对GTP-UPDU排序的功能。UPF设备保证在UPF设备之间、或与UE之间传送的协议数据报文的最大尺寸为1500字节。对从外部数据网收到的大于上述要求的数据报文，UPF设备根据上下文的类型和具体实施要求对其进行分段、丢弃或拒绝。UPF设备具有将来自外部数据网的GTP-UPDU用GTP字头和TCP/IP或UDP/IP字头进行封装的功能，并以这些字头中的相关地址信息作为标识，在骨干网中利用一条点到点的双向隧道来传输封装数据。对于去往外部数据网的GTP-UPDU，UPF设备去除其封装字头后再转发给外部数据网。UPF支持N9接口基于DNN分流到不同的物理接口，不同的物理接口使用不同的接口IP地址。UPF支持内置DNSCache功能。（3）数据分流功能UPF支持上行流量分类（ULCL）功能，将与SMF提供的过滤器匹配的流量分流到数据网络的不同接入点。UPF支持基于SMF提供的流量检测（PDR）和流量转发规则（FAR）向不同的PDU会话锚点UPF转发上行业务流，以及将来自链路上的不同PDU会话锚点UPF的下行业务流合并到UE。UPF支持IPv6多归属（Multi-homing）功能，一个PDU会话可以与多个IPv6前缀相关联，UPF作为分支点（BranchingPoint）连接多个PDU会话锚点UPF，再接入数据网络。UPF支持提供将不同IPv6前缀的上行业务流转发至不同的PDU会话锚点UPF，以及将来自链路上的不同PDU会话锚点UPF的下行业务流合并到UE。UPF支持同时作为IPv6多归属的分支点和PDU会话锚点的能力。UPF支持接收SMF的指示执行与RAN之间的N3隧道以及UPF之间的N9隧道的分配和释放。当网络配置为UPF分配CN隧道时，UPF向SMF上报相关用户面隧道信息；当为SMF分配CN隧道时，UPF接收SMF下发的相关用户面隧道信息并保存。当PDU会话的UP连接被去激活，且N3终止点的UPF被释放时，连接到该UPF的其他UPF（如BP、ULCL、PDU会话锚点的UPF）将缓存下行数据；否则，由具有N3连接的UPF缓存下行数据。（4）接入外部数据网功能DiffServ功能：SMF/PGW-C和UPF支持DiffServ功能（RFC2474、2475），实现根据业务所属类型（如5QI、ARP）将其进行分类和标记功能（可通过命令行等方式，进行灵活配置映射策略）。隧道功能：支持IPv4及IPv6的GRE隧道和IPv6overIPv4手工隧道功能。（5）对外接口N3接口是NGRAN与UPF间的接口，采用GTP-U协议在NGRAN与UPF之间进行用户数据的隧道传输，协议栈如图所示：N4接口是SMF和UPF之间的接口。N4接口控制面用于SMF和UPF之间传输节点消息和会话消息，采用PFCP协议，协议栈如图所示：N4接口用户面传输SMF需要通过UPF接收或发送的报文，采用GTP-U协议，协议如图所示：N6接口是UPF和外部数据网之间的接口，需要支持IPv4和IPv6数据包。当访问LADN的场景下需要支持隧道或NAT。（6）电信级可靠性UPF系统关键软件、硬件有一定的备份措施，进行N+1或1+1冗余备份。保证系统的不间断运行，系统具有软件、硬件故障在线恢复的能力。UPF设备达到99.9997%及以上的电信级可靠性。可靠性指标如下表：典型配置系统高可用度HA≥99.9997%平均故障间隔时间MTBF≥150000h平均故障修复时间MTTR≤0.5h主备板倒换成功率≥95%（7）环境要求机房温湿度要求如下表所示：设备及机房名称温度（℃）相对湿度（％）③长期条件①短期条件②长期条件短期条件核心网设备及外围设备15～300～4540～6520～90注：2m0.4m（机架前后没有保护板时测量1.5m处测量的数值。②短期工作条件是指连续不超过48h和每年累计不超过15天。③对于相对湿度较低的环境（20％以下机房防尘要求如下：1) 直径>5µm灰尘的浓度≤3×104粒/m3；2) 灰尘粒子为非导电、导磁性和非腐蚀性的。网络能力核心网具备业务加速、业务隔离、业务数据不出园区园区能力。（1）业务加速核心网支持根据不同QoS参数，发起会话建立、修改和删除等操作；支持根据用户签约和业务信息配置不同规则，并下发终端和无线网；支持通过参数配置实现最高速率上限差异化保障。（2）业务隔离业务隔离功能实现除涉及网络切片技术能力，同时包括专用DNN和核心网定制。1）网络切片核心网提供网络功能和资源按需部署的能力，在统一设施基础上，构建网络切片服务于不同业务。网络切片是对现有网络进行切分，形成多个物理/逻辑网络，为差异化业务提供定制化服务，来满足多样化的业务需求。同时根据不同业务的SLA及定制化需求，分配相应的网络功能和资源至对应网络切片。核心网切片除UPF网元外，其他网元基于云化技术部署，云化技术通过软硬件解耦及功能抽象，资源可以充分灵活共享，实现新业务的快速开发和部署，并可根据实际需求实现自动部署、弹性伸缩、故障隔离和自愈等功能，为网络切片的设计、部署和管理带来了更大的灵活性。5G网络切片核心网基于服务化架构（SBA）实现，引入独立的网络切片选择功能（NSSF），当用户初次在网络中注册时，可携带相应的网络切片标识（NSSAI），请求NSSF获取相应接入的网络切片选择信息。核心网支持网络切片标识签约、管理与更新、网元选择与接入等流程。2）专用DNN5G网络支持为行业客户分配独立的DNN，提供专用的业务数据通道，支持根据DNN为行业用户选择特定的UPF，实现流量汇聚。3）核心网定制核心网边缘UPF分为网云一体或网云分离场景，网云一体是采用增强一体化UPF，具备网、云一体快速集成能力；网云分离是采用普通UPF，由客户指定边缘云。同时，根据业务需求，可选择5G/10G/20G/50G等不同类型UPF。（3）业务数据不出园区行业应用要求超低时延保障（≤20ms)，企业内部相关业务数据要在园区内分流卸载，不出园区，满足数据安全和本地数据快速处理的需求。对于存在数据不出场、用户面超低时延等要求的业务场景，可采用UPF下沉的方案满足业务需求。UPF下沉后的容灾方案采用主备容灾方式。数据不出场方案分为专用DNN和专用切片方案。1）专用DNN方案园区内单独部署一个企业专用的DNN设备，并通过N6接口直连企业的园区应用。园区专用终端中预制专用的DNN，该终端的所有数据业务均只能接入至边缘UPF，并访问到企业园区的应用，进而实现数据不出场。当专用终端移动至园区外时，可将省中心/地市级的UPF作为I-UPF使用，进而访问到企业园区的应用。普通用户无论是在园区内还是在园区外，其终端使用大网默认的DNN，选择到省中心/地市的通用UPF访问至Internet网络，实现与园区专用终端的业务隔离。2）专用切片方案当园区型业务，除了数据不出场需求外，进一步需要利用切片技术为园区业务提供切片级的专属保障服务（如无线的资源预留、传输的硬隔离管道等）时，可通过专用切片方案在园区内部署专属的切片UPF。仅当企业专属用户使用专用的NSSAI在园区内是可访问到园区的边缘UPF，进而访问园区的应用。当该专属用户离开园区，或者非企业专属用户都无法连接到企业园区所部属的边缘UPF，也无法访问企业相应的业务。建设内容根据客户单位低时延、高可靠性、安全隔离、数据不出园区等业务需求，本项目下沉1套华为/中兴UPF至园区客户机房，UPF容量为10G，具体建设内容如下表：序号地市UPF名称硬件模型部署地点1XXXXXX2BUPF5G/10G/20G/50G，带MEP/不带MEPXXX机房(客户机房)传送网建设方案整体架构切片分组网（SPN）具备业务灵活调度、高可靠性、低时延、高精度时钟、易运维、严格QoS保障等属性的传送网络，面向城域综合业务承载的传送网技术机制，对5G专网高质量要求的业务进行承载，具备在一张物理网络进行资源切片隔离，为多种业务提供差异化(如带宽、时延、抖动等)的业务承载服务能力。本次SPN传送网采用核心、汇聚和接入三层架构，网络结构图如下所示：SPN网络具有以下基本技术特征：（1）基于城域传送网通道（MTNChannel）的端到端交叉连接：通过基于66B码块的序列交叉连接（S-XC）提供分组网络硬切片、低时延转发和带宽保障，通过MTNChannel层的端到端OAM和保护提供硬切片的电信级运维能力。（2）分组层面向连接和面向无连接业务的统一承载：通过SR-TP隧道技术提供面向连接业务的承载能力，为点到点或点到多点连接业务提供高质量、易运维的传送服务；同时具备通过SR-BE隧道技术提供面向无连接业务的承载能力，为多点到多点业务提供易部署、可靠的传送服务。（3）光层通过灰光和彩光的有机结合及优化OADM光层组网来适应不同应用场景。（4）集中管理和控制的SDN架构：支持业务部署和运维的自动化能力，以及感知网络状态并进行实时优化的网络自优化能力。同时，基于SDN的管控融合架构提供简化网络协议、开放网络、跨网络域/技术域的业务协同管控等能力。（5）电信级故障检测和性能管理：具备网络级的分层OAM故障检测和性能管理能力，支持对网络中各逻辑层次、各类网络连接、各类业务通过OAM机制进行连通性、丢包率、时延和抖动等属性进行监测和管理。（6）高可靠网络保护恢复：具备网络级的分层保护能力。支持基于设备转发面预置保护倒换机制，在转发面检测到故障时进行电信级快速保护倒换；支持基于SDN控制平面通过IGP协议实时刷新网络拓扑状态，在感知到网络状态变化后重新计算业务最优路径。（7）时钟和时间同步机制：支持同步以太网功能，实现稳定可靠的频率同步；支持PTP功能，实现高精度的时间同步。（8）低时延转发：支持网络级三层就近转发和设备级物理层低时延转发能力，匹配时延敏感业务的传送要求。网络能力传送网具备业务加速、业务隔离能力。（1）业务加速传送网支持根据核心网、无线映射的VLANPri、DSCP等参数进行QoS调度。（2）业务隔离传输SPN融合了L0~L3层网络技术的新型综合业务承载网，支持软硬网络切片能力，具备业务灵活调度、高可靠性、低时延、高精度时钟、易运维、严格QoS保障等属性。SPN由三个网络子层构成：1) 最上层是负责L2和L3分组交换转发的切片分组层（SPL），分组转发隧道支持以太网MAC和VLAN、MPLS-TP以及段路由（SR）技术，基于L2VPN和L3VPN提供逻辑隔离的网络软切片服务能力；2) 中间一层是负责L1TDM时隙转发的切片通道层（SCL），采用ITU-T规范的城域传送网（MTN）段（Section）层和通路（Path层）构建基于TDM管道隔离的网络硬切片服务能力；3) 最底层是负责L0光传输的切片传送层（STL），采用IEEE802.3标准以太网物理层或波分复用（WDM）的光媒质层，可以通过不同的以太网物理链路或WDM波长提供基于物理硬隔离的网络硬切片服务能力。SPN在客户接口（UNI）侧的网络切片资源规划支持基于端口+VLANID的标识方式。SPN在网络接口（NNI）侧的网络切片资源规划支持以下三类网络切片资源及其组合：1) STL层支持基于不同MTN接口（组）的链路或WDM波长，实现基于L0的网络硬切片。2) SCL层支持基于MTN接口（组）内不同MTN通道（MTNClient），提供基于L1TDM隔离的网络硬切片，带宽可灵活配置N*5Gb/s;3) 在每个MTN通道内部，可基于不同的分组转发隧道，实现L2VPN或L3VPN的网络软切片。建设内容本次项目在XXX单位XX机房新增2台SPN设备，新建物理双路由上联SPN传输环。根据XXX单位所在区域，搭建5G基础传输网络，完成从无线设备机房至最近移动传输机房SPN设备的对接，做到5G接入网/传输网/接入光缆全覆盖，完成BBU、SPN与UPF设备对接，同时以5G切片技术为基础构建端到端、大带宽、高隔离度的专属网络，为低时延、多接入、高安全性应用奠定基础。

5G专网安全方案5G安全既包括由终端和网络组成的5G网络本身通信安全，也包括5G网络承载的上层应用安全。移动通信网络标准在设计之初，就充分考虑了网络接入的移动性、可靠性和安全性。通过SIM/USIM等身份标识、认证授权、信道与承载加密、访问控制等方式，提供了良好的安全通信能力。经过全球通信行业几十年的共同努力，移动通信网络安全架构日臻完善。5G网络继承了4G的安全特性，同时对认证授权、隐私保护、数据传输安全、网络架构和互通安全等进行了优化或增强。相对WiFi、企业专网等非3GPP接入机制，5G提供了更大范围的移动性，也为用户提供了更健壮的业务安全性、更严密的数据保护以及更强的用户隐私性。5G继承了4G网络分层分域的安全架构，在3GPP5G安全标准《5G系统安全架构和流程》中规定：在安全分层方面，5G与4G完全一样，分为传送层、归属层/服务层和应用层，各层间相互隔离。在安全分域方面，5G安全框架分为接入域安全、网络域安全、用户域安全、应用域安全、服务域安全、安全可视化和配置安全六个域，与4G网络安全架构相比，增加了服务域安全。与4G相比，5G具有更强的安全能力，主要体现在：服务域安全。针对5G全新服务化架构带来的安全风险，5G采用完善的服务注册、发现、授权安全机制及安全协议来保障服务域安全。增强的用户隐私保护。5G网络使用加密方式传送用户身份标识，以防范攻击者利用空中接口明文传送用户身份标识来非法追踪用户的位置和信息。增强的完整性保护。在4G空中接口用户面数据加密保护的基础上，5G网络进一步支持用户面数据的完整性保护，以防范用户面数据被篡改。增强的网间漫游安全。5G网络提供了网络运营商网间信令的端到端保护，防范以中间人攻击方式获取运营商网间的敏感数据。统一认证框架。4G网络不同接入技术采用不同的认证方式和流程，难以保障异构网络切换时认证流程的连续性。5G采用统一认证框架，能够融合不同制式的多种接入认证方式。综上，5G针对服务化架构、隐私保护、认证授权等安全方面的增强需求，提供了标准化的解决方案和更强的安全保障机制。终端安全5G为万物互联而生，5G除了满足人与人的通信，还要实现人与物、物与物的通信，为此，5G网络需要支持采用不同接入类型和技术的不同种类终端接入。按接入类型分，5G网络需要支持3GPP接入和非3GPP接入，可信任接入和非可信任接入；从接入技术分，5G网络需要支持5G新无线技术接入，还要向下兼容3G接入、LTE接入、WLAN接入以及各种固网接入技术；从终端类型分，可以是有卡终端和无卡终端。有卡终端以SIM/USIM卡作为用户身份和密钥载体，具备一定的计算和存储能力；无卡终端没有内置专用载体存储身份密钥信息，通常以IP地址或者MACMAC:直译为MAC:直译为媒体存取控制位址，也称为局域网地址（LANAddress），MAC位址，以太网地址（EthernetAddress）或物理地址（PhysicalAddress），它是一个用来确认网络设备位置的位址。本期项目5G终端安全面临安全风险，对于终端硬件，5G网络支持的终端多样化，终端面临的安全问题主要源于终端芯片设计上存在的漏洞或硬件体系安全防护的不足，导致敏感数据面临被泄露、篡改等安全风险；在终端软件方面，还存在网络攻击者通过终端的软件系统发起攻击的安全风险。终端面临与5G网络通信相关的安全风险点具体如下：（1）终端的真实性与数据的机密性真实性较低的终端设备会受到普通文件传输协议（TFTP）中间人攻击，导致第三方设备对会话中的通信进行窃听，对数据的机密性构成威胁。（2）终端存在虚假非法终端接入或攻击其他合法终端等风险。基于终端面临的安全风险点，5G终端安全风险解决措施如下：面向终端的基础安全模块：提供一套独立于硬件和厂商的接口，实现全生命周期的密钥管理、数字证书管理以及各类安全域的动态管理，提供包括实体认证、信息的保密性、完整性、不可否认性等各类需求，还要具备高强度的硬件安全防护体系，能抵御各类物理攻击。基础安全模块安全管理技术：全基础安全模块系统框架设计、生命周期密钥管理、安全域控制（安全域动态分配和回收、跨域安全交互、安全策略的下载/更新/删除/锁定/解锁）、安全协议的设计、信息格式设计、基础安全模块的硬件安全设计（包括主机接口协议设计、密钥安全管理设计、密钥算法种类以及实现效率设计）。基础安全模块安全检测技术：引入人工智能来检测未知攻击、复杂攻击，使用机器学习的方法。包括安全功能检测（包括虚拟机异常监控、恶意代码检测、核心网流量异常检测、密码算法、随机数发生器、残余信息保护机制、存储器访问控制机制功能性检测）、抗攻击能力检测（基础安全模块芯片表面、背面的检测和简要分析）、建立自动化防御机制。为了快速应对安全威胁，运营商之间、运营商与厂商之间、运营商与行业用户之间需要联动，实时交换安全情报，实现安全协同的自动化、智能化。切片安全：切片安全差异化机制；切片的安全隔离，物理资源共享，逻辑功能分离，由于切片横跨多个子域（终端、接入网、核心网、承载网）各个子域的隔离都需要考虑，终端与切片网络的网元交互、安全协议、流程也需要隔离；终端访问切片控制，终端访问切片的控制方式也将是多种多样的，保证用户设备能适时接入切片，同时得到应有的访问安全防护，防止受到外界的攻击；切片管理面安全，保护切片在整个生命周期的安全，包括切片的准备、配置与激活、运行、撤销。无线安全5G网络空口安全协议,实现多域融合的密钥管理、网络和用户身份认证、用户隐私保护、网络空口数据/信令加密保护、完整性保护、端到端安全认证和数据保护、安全域融合等。本期5G无线网络基站空口存在的安全风险主要包括两大类：（1）由无线环境中的外部不可控因素引发的安全风险：无线环境中的伪基站会干扰无线信号，导致5G终端降级接入，连接至不安全的2G/3G/4G网络中。无线环境中广泛分布的安全性较低的物联网设备若遭受攻击，可能会对基站或核心网发起DDoS攻击，这会降低网络设备功能的可用性。（2）空口协议存在的安全风险：3GPP协议自身存在的漏洞可能面临身份假冒、服务抵赖、重放攻击等风险，这会对终端真实性造成影响；终端制造商为提升服务质量、降低时延，选择关闭对用户数据的加密或完整性保护选项，导致用户数据被恶意篡改，这会给数据的机密性与完整性带来影响。基于5G无线网络面临的安全风险点，5G无线安全风险解决措施如下：基于统一认证框架的双向认证能力，可防范伪基站；通过EAP-AKA’和EAP-AKA认证算法，增加归属网络认证结果；用户面增加完整性保护功能，防止用户面数据被篡改；用户身份标识SUPI用公钥加密，空口不进行明文传输；同时加密密钥增强为256Bit，监控/对消/时钟备份抵御空口干扰，解决无线网络