5G公网铁路专用网络架构及安全部署方案

祝咏升，魏长水，张 骁

2020 年提出的“新基建”理念，有利于助推铁路信息化建设进入新发展阶段。而在铁路新基建发展过程中，5G 网络及技术的应用是一项重要内容。5G技术具有多元化、宽带化、泛在化等特点，适合于铁路多场景应用需要，与铁路多种业务场景融合，能够发挥更大优势，有效改善货运效率、客运服务、旅客出行体验［1］。

然而，不同的铁路业务类型对于网络安全防护级别要求也有较大差异。虽然铁路专网（5G-R）具有独占网络、完全隔离、极高的可靠性和私密性等优势，但其高昂的建设成本和较高的运维难度，使得5G-R 仅适用于对网络安全有较高要求的业务类型。而对于安全需求一般的业务，需要有对应的网络部署方案，从而平衡网络性能、安全性和建设运维成本。

本文主要探讨基于公网集成非公共网络模式（Public Network Integrated Non-Public Network，PNI-NPN）的5G 公网专用部署方案特点，分析其在铁路实际应用场景下的可行性和应用前景，并对可能出现的安全风险加以分析。

1 5G公网专用部署方案

1.1 5G非公共网络技术

在探讨5G 公网专用部署方案之前，需要引入一个在3GPP R16 标准中确立的新技术，即5G 非公共网络技术（NPN）。该技术是一种用于构建垂直行业专用网络的技术［2］，其主要目标是构建独立于5G公网的专网。

一种运用NPN技术的部署模式是建立物理隔离的网络，该模式称为“独立非公共网络模式（Standalone Non-Public Network，SNPN）”，也就是传统意义上的“物理真专网”。SNPN部署模式独立于电信运营商的网络，使用单独的频谱和基站，具有极高的数据安全性和网络稳定性。目前铁路行业已有SNPN模式的5G-R专网，本文不再展开讨论。

另一种部署模式为PNI-NPN，该模式通过划分公共陆地移动网（Public Land Mobile Network，PLMN）的一个子网络或者通过在运营商公网上利用切片技术进行隔离，建立逻辑隔离的网络。根据PNI-NPN与公网资源共享程度的不同，分为“部分共享”和“端到端共享”。其中，“部分共享”的PNI-NPN网络，具有较高的安全性和网络稳定性，可以做到将企业的重要数据限制在PNI-NPN网络内部，保障数据不出企业园区。同时，PNI-NPN的网络架构和PLMN 网络架构相同，可以降低PNINPN的建网成本［3］。与SNPN模式相比，PNI-NPN模式具有更高的性价比，适用于更多的应用场景。5G专用网络部署模式及特性对比见表1。

表1 5G专用网络部署模式对比

1.2 PNI-NPN部署方案

相比独立非公共网络模式（SNPN），公网集成非公共网络模式（PNI-NPN）拥有明显的成本和技术优势。在网络部署建设阶段，企业无需购买整套的5G 通信设备，可以节省大量的资金投入；在网络维护阶段，企业可以将相关工作交由运营商管理，借助运营商的专业技术团队，对网络进行标准化运维。同时，采用公网集成非公共网络模式部署的企业专网可以直接应用3GPP协议标准的成果和成熟的产业链，避免技术标准碎片化，能够节约制定标准的成本［4］。PNINPN 有多种实现方式，根据对运营商的依赖程度和网络自建程度的不同，分为“端到端共享”和“部分共享”。

1.2.1端到端共享式

该模式基于5G公网的物理网络，完全共享5G公网端到端的资源和网元（包括5G 基站、核心网、核心网用户面功能（UPF）和多接入边缘计算（MEC）等）［5］，运营商在公网通过运用QoS和切片技术，对不同业务应用和功能进行端到端的逻辑隔离并划分出虚拟子网，使数据流和信令流相对封闭，以保障带宽和时延相对稳定［6］，实现不同业务流量之间的数据互不干扰，并且保障无法从公网直接访问数据信令。与公网端到端共享模式架构见图1。

图1 与公网端到端共享模式架构

1.2.2部分共享式

与公网部分共享式PNI-NPN网络，指5G专网与5G公网之间共享5G基站，或者共享5G基站和核心网控制面。对于用户面数据安全隔离有较高要求的企业，可在虚拟专用网络的基础上增加部署企业专有的数据转发网元UPF［4］。与此同时，根据对网络的安全性和稳定性的需求，可将专用UPF下沉部署到企业园区，并在企业专网内部署MEC平台，形成具有边缘计算能力的UPF混合专网，即可通过对特定业务流量进行端到端的分流，可以在园区本地完成数据处理，从而使业务数据、信令、用户隐私信息等需要做保密防护的数据不出园区，实现对数据的高度安全隔离。与公网部分共享模式架构见图2。

图2 与公网部分共享模式架构

2 铁路5G公网专用部署方案

在5G 公网部署铁路专用网可考虑采用PNINPN部署方案，构建切片资源共享专用和独享专用2种网络架构，以满足对网络和业务的不同需求。

2.1 共享专用网络

铁路5G 共享专用网络部署方案采用“与公网端到端共享”模式，各类终端通过5G 共享专用无线接入网络，对用户身份、终端信息、信令、接口等进行终端准入识别，运营商根据铁路不同业务的用网需求，采用切片的方式对公网进行逻辑隔离，划分出多个虚拟子网，使每个虚拟子网中的数据流和信令流相对封闭，保证无法从公网对其访问。

该方案中的网络资源大量依赖运营商，包括基站、公网核心网、UPF、MEC 等，虚拟子网通过切片技术软划分，具有建设运营成本低、网络覆盖面广、运营效率高等优点，以及比公网更安全的加密和软隔离防护。但由于核心网仍然基于运营商公网搭建，其网络质量容易受公网影响，仍有一定的安全风险［7］，适用于铁路行业中对数据安全和网络时延要求相对较低，并且需要在广袤区域覆盖网络的业务类型。铁路5G共享专网架构见图3。

图3 铁路5G共享专网架构

铁路企业可利用公网运营商提供的网络切片定制、规划部署、运行监控等各种开放能力，实现铁路通信终端的连接管理、设备管理、业务管理、专用网络切片管理、认证和授权管理等创新业务，更好地支撑对智能铁路的运维管理。

依托运营商现有的5G 公网全国范围内大面积覆盖的优势，满足铁路广域场景下移动网络接入需求。其中，铁路正线应用场景是铁路行业最具代表性的广域应用场景，可以为旅客服务、视频传输、远程指挥、周界入侵、灾害预警等业务提供稳定连续的网络环境。

2.2 独享专用网络

铁路5G 独享专用网络部署方案采用与公网部分共享模式，通过将UPF 下沉部署到铁路企业本地园区，使本地的数据传输时延大幅降低，为用户提供更低时延、更优质量的网络服务和云计算能力［6］。另外，可根据铁路不同应用场景的需求增加部署MEC 平台，并对硬件配置、功能模块等进行灵活定制，满足铁路多种业务的个性化需求。

与共享专用网络相比，铁路5G 独享专用网络方案具有更低的端到端时延及更高的数据安全隔离度，适用于对时延敏感且对安全性有较高要求的铁路业务。铁路5G独享专网架构见图4。

图4 铁路5G独享专网架构

由于5G 独享专用网络部署方式可将UPF 下沉部署到企业园区并且有MEC 的加持，使得该部署方式具有极低的网络时延和较高的数据安全性［7］。铁路具有众多局域应用场景（如车站、站场、工地、车间等），适合部署独享专用网络，其业务类型主要有采集类、会话类和流媒体类，每种类型的业务对网络时延和安全性要求各有侧重。以下业务可考虑采用铁路5G独享专用网络架构。

1）地质灾害监测、动车组车载检测（WTD）、客车运行安全监控（TCDS）等采集类业务。

2）铁路车站客运信息交互、客运乘务管理等会话类业务。

3）面向旅客的列车多媒体服务等流媒体类业务。

4）道岔钻孔作业、智能化钢轨焊接作业、远程指挥调度现场施工作业等控制类业务。

另外，对于列车控制相关业务，由于其对网络时延和数据安全性有极高的要求，可考虑通过5G-R专网承载。

3 安全需求

5G网络安全架构延续了4G网络安全域分层的安全架构设计，其接入网与核心网的边界清楚，空口和数据传输方面也延续了4G 网络的安全防护措施［8］。同时，5G 网络在广播消息保护、伪基站检测，以及对数据保密性和完整性等方面均进行了安全升级。

由于铁路5G公网专用网的基站、5G核心网控制面仍然共享运营商公网资源，因此，铁路5G 公网专用网的安全需求主要围绕网络边界安全以及自建MEC两大方面考虑。

3.1 网络边界安全

铁路5G 公网专用网的网络边界安全防护重点主要为终端接入安全和铁路内外网数据传输安全两方面。安全防护平台应该由在铁路外网接入边界与铁路园区UPF 的安全防护管理平台、铁路5G 终端移动可信接入平台和铁路外网与内网之间的数据安全交换平台三部分组成。下面从接入边界安全和数据传输安全两方面分析网络边界安全防护需求。

3.1.1接入边界安全需求

业务接入边界需要对业务层5G 终端与用户进行认证与安全防护，确保通过5G 公网专用网接入铁路内网的5G 设备及操作人员身份可信和行为可信。在铁路外服网部署移动可信接入平台，为铁路5G公网专用网业务提供应用层安全可信接入通道。

针对车载设备和哑终端接入场景，可通过部署移动可信接入平台对5G 公网专用网终端进行持续的安全信任评估和动态访问控制，对终端的数据传输请求、数据长度、请求频次、请求连接数、接入时段等要素进行综合评判，并对数据传输中常见的网络安全攻击进行感知和识别，包括SQL 注入、跨站攻击、网络爬虫、重放攻击，以及异常和无效的访问请求等。当平台发现安全攻击时，可对请求进行拦截，或者终止当前会话，也可以使用黑白名单机制来控制后续权限，保护后台业务服务器的安全。

按照访问主体和资源之间的关系，移动可信接入平台数据平面的访问代理重点考虑采用与被保护资源相结合的部署模式，例如设备代理+网关、资源门户、设备应用沙箱等模式，搭建安全的访问通道，对访问请求进行分流。控制平面的访问控制引擎负责指挥，按照先认证后连接的原则，建立、维持有效的连接，实施对内部资源的安全访问控制。在此过程中，持续开展安全监控评估，对应用场景中出现的安全威胁及时响应，从而降低风险。

3.1.2数据传输安全需求

铁路5G 数据交换平台部署在铁路安全平台之上，由于铁路内网是与其他网络严格隔离的铁路专网，安全数据交换平台需要为其提供数据交换、访问控制、安全检测、安全审计等能力，并为部署在铁路内网的业务系统与铁路5G 公网终端应用之间提供安全数据交换能力。数据交换能力支持主流数据库应用，多种应用层协议的跨网数据交换，以及基于GB/T 28181 等标准视频协议的数据流传输及服务请求，适合于各类复杂的业务场景。

访问控制采用基于角色/业务数据类型/任务的安全访问控制，防止非法的主体进入受保护的资源，允许合法用户访问受保护的资源，防止合法的用户对受保护的资源进行非授权的访问。

安全检测采用深度应用层过滤检测技术，针对支持的业务数据类提供全面的内容过滤和安全检测功能，针对HTTP、FTP、数据库、邮件及文件交换等应用，提供SQL 过滤、URL 过滤、关键字过滤、Cookie 过滤、文件类型检查、病毒查杀、Flood 攻击防护、入侵检测等高级防护策略，进一步提升数据交换的安全性。

与此同时，铁路5G 数据交换平台还应该提供丰富的可视化日志审计功能，通过详细的记录分析，将数据传输记录进行抽取、融合，形成独特的数据轨迹报表，记录数据从源到目的的详细信息，并可根据某一数据元素追查数据来源，为数据审查提供强有力的依据及保障。

3.2 MEC安全

MEC 安全分为MEC 系统安全和MEC 安全资源池2部分。

MEC 系统安全主要保障MEC 平台自身的安全。由于MEC 平台通常是由铁路企业与电信运营商和网络设备供应商合作建设［9］，因此MEC 系统的管理、运维和安全防护等具体分工需要铁路企业与合作方协商确定。

MEC安全资源池主要为MEC平台上承载的铁路APP 应用提供网络安全资源，为部署在MEC 平台上的铁路业务系统提供安全防护能力和安全资源，实现铁路信息网络全业务纵深安全防御。MEC 安全资源池可以采用虚拟化安全组件的形式部署在MEC 平台上，为MEC APP 提供所需的安全资源［10］，包括防火墙、服务器杀毒/微隔离/入侵防御、威胁感知探针、日志审计、网络审计、堡垒机、密码机等。

4 结论

铁路各种业务应用场景多样，对网络需求和安全要求各不相同，虽然5G-R 专网具有独享带宽、低延时、物理隔离、极高的定制化自由度和数据安全防护能力等优势，但受限于频谱资源、带宽上限、建设运维成本等因素，使5G-R 更加适合对于安全生产敏感的业务类型。对于广域场景以及对数据安全要求相对较低的业务，则可考虑部署基于5G 公网集成非公共网络技术的共享专网或独享专网，满足相应的铁路业务需求，以达到功能与成本的平衡。

本文基于铁路实际业务场景，对5G 网络应用及数据安全的不同需求，提出适用于广域部署且有一定安全需求的共享专网部署模式，以及适用于低时延且有较高安全需求的MEC 结合下沉UPF 的独享专用部署模式，2 种网络部署模式可为后续铁路5G公网及公专融合部署设计提供借鉴。随着5G网络应用的持续深入，铁路行业将与运营商和网络安全企业开展深度合作，共同探讨5G 组网及安全设计方案，并持续优化改进5G 网络安全架构及防护策略，最终构建更加安全可靠的铁路5G 网络，保障铁路业务稳定、高效、安全地运营。