深度解析 3GPP TR 21.917:6.2.3 非公共网络支持 (铸造行业数字化的安全基石)
本文技术原理深度参考了3GPP TR 21.917 V17.0.1 (2023-01) Release 17规范中,关于“6.2.3 Support of Non-Public and Private Networks (非公共和私有网络支持)”的核心章节。本章是5G深入垂直行业、从“公网”走向“专网”的关键,旨在为读者全面揭示Rel-17如何为行业用户构建起安全、灵活、可控的“数字专属领地”。
1. 林工的新难题:智慧新区的“数字领地”之争
“滨海智慧新区”的总设计师林工,在他的宏伟蓝图上又遇到了新的挑战。这座城市的“神经网络”——5G公网——已经准备就绪,但并非所有“器官”都能、或者说都愿意完全运行在这个公共平台上。
-
“灯塔工厂”的顾虑:工厂的负责人找到林工,表情严肃。“林工,我们的核心产线数据,是最高商业机密。我们需要一个与公网物理隔离或逻辑上完全独立的5G网络,确保数据不出厂区,延迟绝对可控,不受任何公网波动的影响。”
-
公共安全部门的要求:与此同时,新区公安、消防联合指挥中心的负责人也提出了他们的需求。“我们需要一张专用网络,保障在任何紧急情况下,我们的指挥调度通信都拥有最高优先级。但同时,我们的警员和消防员在跨区域支援,或者在专网覆盖不到的角落时,又必须能无缝切换到公G网,保持通信不中断。”
-
国际合作的壁垒:更复杂的是,“灯塔工厂”迎来了一位来自德国博世集团的顶级专家,克劳斯先生。他携带的专用调试设备,需要接入工厂的5G内网。工厂IT部门犯了难:“难道要为每一位来访的专家都创建一个临时的、复杂的内部账户吗?这既不安全,也极其繁琐。”
-
千台AGV的“入职”:工厂新采购了1000台AGV(自动导引运输车),如何让它们安全、自动地接入工厂的生产专网,并完成身份认证和配置下发?一台台手动操作,无异于一场噩梦。
这些看似不同的需求,都指向了一个共同的核心:5G非公共网络(NPN, Non-Public Network),即我们常说的5G专网。Rel-16开启了5G专网的大门,而Rel-17则是在这扇门后,修建起了通往各个“数字专属领地”的康庄大道。TR 21.917的6.2.3章节,正是这条大道的“施工图纸”。
2. 两种专网,两种哲学:SNPN vs. PNI-NPN
要理解Rel-17的专网增强,首先必须厘清3GPP定义的两种专网部署模式。这正是林工为“灯塔工厂”和“公共安全部门”分别提供的不同解决方案。
The support of non-public networks (NPN) was introduced in Rel-16… Deployments of NPN to provide coverage within a specific geographic area for non-public use is a key demand of emerging 5G applications and verticals. This Rel-17 work item enables the four following enhancements…
【深度解读】
Rel-17的工作,是建立在Rel-16定义的两种NPN基础之上的。林工向两个部门的负责人解释了这两种模式的本质区别:
-
SNPN (Standalone Non-Public Network, 独立专网):这是为“灯塔工厂”量身打造的方案。
-
定义:一个完全独立的5G网络,拥有自己的核心网、基站,甚至独立的频段(可选)。它与公共移动网络(PLMN)完全隔离,就像一个企业自建的“局域网”。
-
优势:极致的安全与自主。所有数据和信令都在企业内部闭环,不受公网任何影响,可以实现最低的、确定性的时延。企业拥有对网络的最高控制权。
-
挑战:建设和运维成本较高,且无法与公网直接漫游。
-
-
PNI-NPN (Public Network Integrated Non-Public Network, 公网集成专网):这是为公共安全部门设计的方案。
-
定义:它在物理上或逻辑上是运营商公网的一部分,但为特定用户群体(如警察、消防员)提供专用的网络资源。这可以通过RAN共享(共享基站,但划分专用无线资源)、核心网切片等多种方式实现。
-
优势:灵活性与经济性。既能享受专有资源带来的服务质量保障,又能利用公网的广泛覆盖实现无缝漫游。建设成本相对较低。
-
挑战:安全性、自主性相较SNPN略低,部分网络策略仍需与运营商协同。
-
明确了这两种基本形态后,Rel-17引入的一系列“增强功能”才有了用武之地。
3. “VIP通行证”:用“自家钥匙”开“别家门”
德国专家克劳斯先生的难题,是Rel-17 NPN增强中的第一个亮点:支持使用外部凭证接入SNPN。
Support for accessing an SNPN using credentials from a Credential Holder (CH): A UE can be configured with user or CH controlled prioritized list of information, SNPN identifiers or Group IDs for Network selection (GINs), enabling the UE to discover SNPNs supporting access using credentials from a CH. If the UE selects and accesses the SNPN, the CH is involved in the primary authentication and for authorizing the access to the SNPN.
【深度解读】
这段话描述了一个革命性的“联邦认证”机制。让我们把它翻译成克劳斯先生的体验:
-
凭证持有者 (Credential Holder, CH):在这里,德国博世集团就是一个CH。它管理着克劳斯先生的身份凭证(存储在他的USIM卡或设备中)。
-
信任关系建立:“灯塔工厂”(SNPN的拥有者)与博世集团(CH)之间,预先建立了一种信任关系。工厂的SNPN在广播的系统信息中,会声明“我信任来自博世集团的访客”。
-
克劳斯的体验:
-
克劳斯先生到达工厂,打开他的专用设备。
-
设备扫描到工厂SNPN的信号,并从系统信息中发现,这个网络支持“博世集团”的凭证接入。
-
设备自动发起了接入请求。
-
工厂的SNPN核心网,通过安全的网络接口,与远在德国的博世集团认证服务器(CH的认证功能)进行了一次“对话”:“嗨,博世,你有名叫克劳斯的员工吗?他想访问我的网络,这是他的凭证,请验证。”
-
博世的服务器验证通过,并回复:“是的,他是我们的高级专家,授权他访问你们的A级调试网络。”
-
克劳斯的设备成功接入工厂内网,整个过程无感、安全。
-
这个机制,如同签发了一张“VIP通行证”。它极大地简化了跨企业、跨组织的专网访问流程,对于拥有复杂供应链和合作伙伴生态的现代工业来说,价值不可估量。
4. “数字出生证”:千台AGV的自动入职仪式
面对1000台嗷嗷待哺的AGV,林工启用了Rel-17的第二项法宝:UE自动入网与配置(Onboarding of UEs)。
Support for Onboarding of UEs: Onboarding of UEs allows the UE to access an Onboarding Network (ONN) for the purpose of provisioning the UE with SNPN credentials and other information to enable the UE to select and access a desired SNPN… Provisioning of the UE is done via User Plane connectivity.
【深度解读】
“Onboarding”是一个源自人力资源领域的词,意为“新员工入职”。在5G专网中,它被赋予了全新的技术内涵,整个流程如同一场为设备举行的、高度自动化的“数字入职仪式”:
-
入职部门 (Onboarding Network, ONN):工厂内会专门开通一个特殊的、开放的5G网络,这就是ONN。它的唯一作用,就是接待“新员工”。
-
领取工牌 (获取凭证):
-
新出厂的AGV被激活,它没有任何专网的凭证,只有一个“默认凭证”或者运营商的公网凭证。
-
AGV利用这个初始凭证,首先接入到ONN网络。此时,它的网络访问权限受到严格限制,只能访问一个特定的服务器——配置服务器(Provisioning Server)。
-
AGV向配置服务器表明身份(例如通过设备序列号)。
-
配置服务器核实其身份后,通过这条用户面(User Plane)连接,为其下发正式的“工牌”——即工厂SNPN的专属身份凭证(如加密的证书或密钥)、网络切片信息、应用服务器地址等。
-
-
正式上岗 (接入专网):
-
获取到正式凭证后,AGV会自动断开与ONN的连接。
-
利用刚刚获得的SNPN凭证,它重新搜索并向工厂的生产专网(Target SNPN)发起注册请求。
-
这一次,它凭借“正式工牌”顺利通过了认证,成功接入生产网络,正式“上岗”。
-
这个流程,将原本需要数周人工操作的繁重任务,压缩到了几分钟的自动化流程,极大地提升了大规模物联网部署的效率和安全性。
5. “生命热线”:专网内的IMS语音与紧急呼叫
在一次安全演练中,一名工人在SNPN覆盖的地下室不慎“受伤”,他按下对讲机,却发现无法直接呼叫外界的120急救中心。这个问题暴露了传统专网的“信息孤岛”缺陷。
Support of IMS voice and emergency services for SNPN: Support for IMS voice and emergency services is enabled e.g. allowing the UE to select an SNPN in limited service to access IMS emergency services.
【深度解读】
Rel-17补上了这块关键的拼图。它定义了SNPN如何支持IMS(IP多媒体子系统)语音和紧急服务的机制。
-
IMS语音:SNPN可以部署自己的IMS核心网,实现内部员工间的高清语音通话。也可以通过与运营商IMS的互通,实现专网用户与公网用户的通话。
-
紧急呼叫:这是最重要的功能。当工人在SNPN内发起紧急呼叫(如拨打119、120),SNPN的网络能够识别出这是一个紧急呼叫,并将其路由到公共安全的接听点(PSAP)。即使UE没有有效的SIM卡或者处于受限服务状态,只要能搜索到SNPN的信号,它就应该被允许发起紧急呼叫。
这项增强,使得SNPN不再仅仅是一个“数据网”,而是一个功能完备、保障生命安全的综合通信网络。
6. “网中网”:专业应用(VIAPA)的叠加之道
“灯塔工厂”要举办一次面向全球直播的新品发布会,电视台的专业转播团队来到了现场。他们的4K/8K超高清摄像机、导播台等设备,自成一个专业的IP媒体制作网络,对QoS的要求极其苛刻。他们希望利用工厂SNPN的低时延、高带宽能力,但又不希望自己的业务流与工厂的生产数据混杂在一起。
NPN support for Video, Imaging and Audio for Professional Applications (VIAPA): Informative description how a UE accessing an overlay network via an underlay network… can be kept in CM-CONNECTED state in the overlay network.
【深度解读】
Rel-17为此提供了叠加网络(Overlay/Underlay) 的支持模式。规范中的“Figure 1: Example with a PLMN acting as underlay network and SNPN as overlay network”虽然示例是PLMN做底层,但原理是通用的。
-
底层网络 (Underlay Network):在这里,就是工厂的SNPN。它提供基础的、高可靠的无线连接。
-
叠加网络 (Overlay Network):电视台的专业媒体网络。电视台的摄像机、终端等,逻辑上属于这个“叠加网络”。
工作流程如下:
-
电视台的摄像机(UE)首先接入工厂的SNPN,建立起一条基础的数据管道(PDU会话)。
-
然后,在这条管道之上,摄像机再通过IPSec等隧道技术,与远端电视台的媒体服务器建立一条加密的、隔离的隧道。
-
所有专业视频流,都跑在这条“隧道”里。
-
工厂的SNPN(底层网络)负责为这条“隧道”提供高优先级的QoS保障,但它并不知道隧道里跑的具体是什么业务。
-
电视台的媒体网络(叠加网络)则负责在隧道内进行专业的媒体流调度和管理。
这种“网中网”的模式,完美地实现了业务隔离与能力共享,使得专业应用能够安全、高效地“寄居”在高性能的5G专网之上。
7. RAN的协同:广播“专网服务菜单”
核心网的功能再强大,也需要通过无线接入网(RAN)传递给终端。6.2.3.2节“Enhancement of Private Network support for NG-RAN”就阐述了基站(gNB)为此进行的协同增强。
- Support SNPN along with subscription / credentials owned by an entity separate from the SNPN including: broadcasting of information to enable SNPN selection for UEs with subscription/credentials owned by an entity separate from the SNPN…
- Support UE onboarding and provisioning for NPN including: The UE onboarding relevant parameter broadcast from SIB…
- Support of IMS voice and emergency services for SNPN: Broadcasting of relevant parameters
【深度解读】
gNB就像一个餐厅的“迎宾员”,它会在门口的“菜单板”(即系统信息块SIB)上,向所有路过的UE(食客)广播本餐厅(小区)能提供哪些“特色服务”:
-
广播支持外部凭证:gNB会在SIB中广播一个列表,告诉UE“本店支持博世、西门子等集团的VIP卡”,克劳斯先生的设备看到这个信息,才知道可以在这里“刷卡”消费。
-
广播支持自动入网:gNB会在SIB中广播一个“onboarding”指示,告诉新来的AGV“新员工入职请走这边”,引导它们接入ONN。
-
广播支持紧急服务:gNB会在SIB中广播一个指示,表明本专网支持IMS紧急呼叫,让处于受限状态的终端也知道可以在此“求救”。
RAN侧的这些信息广播,是所有上层专网功能能够被终端发现和利用的前提,是连接核心网能力与终端行为的“最后一公里”。
8. 总结:从公网到私域,5G专网的成熟之路
TR 21.917的6.2.3章节,标志着5G专网已经从一个初步的概念,演进为一个功能丰富、体系成熟、能够满足复杂行业需求的商业级解决方案。
对林工来说,Rel-17的NPN增强,为他的智慧新区构建了一个灵活、分层、安全的数字底座:
-
极致隔离的SNPN,为“灯塔工厂”的数据安全提供了“金钟罩”。
-
灵活集成的PNI-NPN,为公共安全部门提供了兼具保障与覆盖的“混合动力车”。
-
联邦认证机制,为跨企业协作打开了“方便之门”。
-
自动入网流程,为大规模物联网部署提供了“自动化生产线”。
-
IMS与紧急服务,为专网内的生命安全架起了“绿色通道”。
Rel-17,正是在为每一个垂直行业,精心铸造属于它们自己的“数字专属领地”。5G的革命,也由此从一场席卷大众的消费浪潮,真正深化为一场驱动产业变革的工业革命。
FAQ
Q1:SNPN和PNI-NPN,企业应该如何选择?
A1:选择哪种模式取决于企业对安全性、自主性、成本和移动性的权衡。如果企业(如军工、高端制造)对数据安全、网络自主可控的要求达到极致,且业务范围固定在厂区内,那么SNPN(独立专网) 是最佳选择。如果企业(如港口、机场、市政)既需要专用网络保障,又需要员工能在广域的公共网络中无缝漫游,且希望降低初始建设成本,那么PNI-NPN(公网集成专网) 会是更合适的方案。
Q2:什么是凭证持有者(Credential Holder, CH)?它一定是另一家运营商吗?
A2:不一定。CH是管理用户身份凭证的实体。它可以是另一家运营商(例如,一个PLMN),也可以是一个企业或组织(如博世集团),甚至可以是一个第三方身份提供商。Rel-17的这一设计具有极大的灵活性,其核心是建立SNPN与CH之间的“信任关系”,从而实现身份的联邦认证。
Q3:UE自动入网(Onboarding)过程安全吗?在一个开放的ONN网络中下发凭证,会不会被窃取?
A3:这个过程是安全的。虽然ONN是一个相对开放的接入网络,但从UE到配置服务器(Provisioning Server)之间的用户面连接是经过加密和完整性保护的。凭证和配置信息是在这条安全的“管道”中传输的。此外,UE接入ONN时也需要一个初始凭证进行初步认证,并对配置服务器的身份进行验证,防止中间人攻击。
Q4:为什么RAN(基站)也需要为专网进行增强?
A4:RAN是终端接入网络的第一触点,它扮演着“信息广播员”和“守门人”的角色。核心网定义的所有专网新功能(如支持外部凭证、支持Onboarding等),都必须由RAN通过系统信息(SIB)广播出去,终端才能知道这个网络具备这些能力,并触发相应的接入流程。如果RAN不进行增强,这些新功能对终端来说就是不可见的,无法使用。
Q5:我可以用我的个人手机,接入我公司的SNPN吗?
A5:这取决于你公司的策略和你的手机/SIM卡。如果公司的SNPN只允许专用的工业终端接入,那么你的手机不行。如果公司SNPN支持BYOD(自带设备),那么可能存在几种情况:1)公司为你下发一张专用的SNPN SIM卡,你换上后即可接入。2)公司与你的手机运营商(作为CH)达成了协议,允许你使用运营商的SIM卡凭证直接认证接入。3)公司通过Onboarding流程,在你的手机中配置了软件凭证(如eSIM profile的一部分)。无论哪种方式,都需要特定的凭证和授权。