51学通信

深度解析 3GPP TS 23.501:5.30 Support for non-public networks (Part 1 - 独立非公共网络 SNPN 基础)

19分钟阅读

本文技术原理深度参考了3GPP TS 23.501 V18.9.0 (2025-03) Release 18规范中,关于“5.30 Support for non-public networks”的核心章节,旨在为读者提供一个5G独立非公共网络(SNPN)的基础架构、身份标识、网络选择及接入控制机制的全景视图。由于该章节内容庞大,本文为系列解读的第一部分。

深度解析 3GPP TS 23.501:5.30 Support for non-public networks (Part 1 - 独立非公共网络 SNPN 基础)

欢迎来到“解构5G核心网”系列。在之前的文章中,我们已经深入探讨了5G如何通过时间同步(Time Synchronization)和TSN集成,为工业控制提供确定性保障,以及如何通过5G LAN为企业构建虚拟局域网。这些功能极大地拓展了5G的应用边界。然而,对于许多对安全性、自主性和可靠性要求达到极致的垂直行业(如矿山、港口、工厂、电网)来说,仅仅在公共网络上“租用”一个切片或虚拟专网,可能还不够。他们渴望拥有一个完全属于自己的、与公共网络物理或逻辑上彻底隔离的“独立王国”。

今天,我们将深入探讨规范的5.30章节,揭示5G为满足这一终极需求而设计的解决方案——非公共网络(NPN, Non-Public Network),并重点剖析其中最彻底的实现方式:独立非公共网络(SNPN, Stand-alone Non-Public Network)

由于5.30章节内容极其丰富,我们将分多篇文章进行深度解读。本篇作为Part 1,将聚焦于SNPN的基础架构、身份标识、网络选择和接入控制机制。

让我们再次回到**“CyberGear Factory”的场景。为了实现最高等级的数据安全和生产稳定性,工厂决定自建一张完全独立的5G专网。他们的AGV(自动导引运输车)“AGV-007”**,其所有通信都必须在这张专网内完成,绝不允许连接到任何公共网络。我们将跟随“AGV-007”从启动到投入工作的全过程,来解构SNPN这个“独立王国”是如何运作的。

1. NPN的两种模式:独立王国 vs. 藩属领地 (5.30.1 General)

规范首先明确了NPN的两种基本部署模式,这决定了网络的归属和运维方式。

A Non-Public Network (NPN) is a 5GS deployed for non-public use, see TS 22.261. An NPN is either:

  • a Stand-alone Non-Public Network (SNPN), i.e. operated by an NPN operator and not relying on network functions provided by a PLMN, or
  • a Public Network Integrated NPN (PNI-NPN), i.e. a non-public network deployed with the support of a PLMN.

1.1 两种模式的本质区别

  • 独立非公共网络 (SNPN): 这是最纯粹的私有5G网络。企业或组织(NPN运营商)可以自行购买和部署一整套完整的5G系统,包括RAN和5G核心网,并且可以独立运营,不依赖任何公共移动网络(PLMN)的功能。SNPN拥有自己独立的签约、鉴权、策略和数据管理。

    • 类比: SNPN就像企业自建了一条完全私有的、与国家高速公路网不相连的内部道路系统,只允许自家车辆行驶。

  • 公共网络集成NPN (PNI-NPN): 这是一种由公共运营商(PLMN)提供的专网服务。企业利用公共运营商的网络基础设施,通过网络切片、CAG(封闭用户组)等技术,在公共网络上划分出一个逻辑上隔离的专用网络。

    • 类比: PNI-NPN就像企业向国家交通部门长期租赁了一条物理隔离的“专属高速公路”,路还是国家修的,但只有该企业的车辆才能驶入。

1.2 场景代入:CyberGear的战略选择

为了将所有生产数据、控制信令都严格控制在工厂内部,CyberGear最终选择了建设一个SNPN。这意味着他们自己部署了基站、5G核心网服务器,并为AGV-007等设备配备了专用的USIM卡。这张网络完全独立于小晴和李工所在的公共运营商网络。

2. 独立王国:SNPN的核心架构与特征 (5.30.2.0 General)

SNPN虽然独立,但其基础架构依然遵循5G的标准设计,只是在功能上有所取舍,更加聚焦于“专”和“私”。

SNPN 5GS deployments are based on:

  • the architecture depicted in clause 4.2.3; …and the additional functionality covered in clause 5.30.2.

The following 5GS features and functionalities are not supported for SNPNs:

  • Interworking with EPS;
  • Emergency services when the UE accesses the SNPN over NWu via a PLMN;
  • Roaming, e.g. roaming between SNPNs…

2.1 功能的取舍

  • 核心架构: SNPN的核心架构与标准的非漫游5G架构(见4.2.3)基本一致,包含AMF、SMF、UPF、UDM等所有必要网元。
  • 功能限制: 由于其“独立”和“私有”的特性,SNPN天然地不支持以下功能:
    • 与EPS的互操作: SNPN是一个纯5G环境,无需考虑与4G EPC的兼容问题。
    • 漫游: SNPN之间以及SNPN与PLMN之间的漫游是不支持的。一个SNPN的用户无法漫游到另一个SNPN或公共网络。
    • 部分紧急服务: 尤其是通过PLMN接入SNPN时的紧急服务受到了限制。
    • CIoT 5GS优化: 早期的一些针对NB-IoT等的CIoT优化功能,在SNPN中不强制要求支持。

这些功能的“缺失”并非缺陷,而是SNPN专注自身定位的必然结果——极致的隔离性和可控性。

2.2 场景代入:AGV-007的“活动范围”

AGV-007被设计为只能在CyberGear的工厂SNPN中工作。

  • 它不需要连接4G网络,所以不支持与EPS的互操作是完全合理的。
  • 它永远不会离开工厂园区,所以不需要漫游功能。
  • 工厂内部有自己的紧急响应系统,不依赖公共紧急服务。 这些限制反而增强了AGV-007的安全性,杜绝了其连接到外部网络的任何可能性。

3. SNPN的“门牌号”:PLMN ID 与 NID (5.30.2.1 Identifiers)

既然SNPN是独立的网络,那么在无线环境中,UE如何识别它呢?这就需要一套独特的标识体系。

The combination of a PLMN ID and a Network identifier (NID) identifies an SNPN. …The PLMN ID used for SNPNs is not required to be unique. PLMN IDs reserved for use by private networks can be used for non-public networks, e.g. based on mobile country code (MCC) 999… The NID shall support two assignment models: Self-assignment… Coordinated assignment…

3.1 PLMN ID + NID = 唯一标识

SNPN的身份由两部分组成:

  • PLMN ID: 与公共网络一样,SNPN也有一个PLMN ID(MCC+MNC)。但是,这个PLMN ID可以不唯一。例如,全球许多私有网络都可以使用ITU分配的专用MCC “999”。
  • NID (Network Identifier): 这是SNPN的核心区分标识。在一个可能共享PLMN ID的环境中,NID是唯一标识一个SNPN的“名字”。

PLMN ID + NID 的组合,构成了SNPN在全球范围内的唯一“门牌号”。

3.2 NID的两种分配方式

  • 自分配 (Self-assignment): 企业可以自行选择一个NID。这种方式灵活简单,但可能存在冲突的风险(例如,两个相邻的工厂碰巧选了同一个NID)。
  • 协同分配 (Coordinated assignment): 通过一个权威机构(如IANA)分配一个全球唯一的NID。这种方式保证了NID的唯一性,是实现SNPN间互通(如果未来需要)和避免冲突的基础。

3.3 场景代入:CyberGear工厂的“专属ID”

CyberGear为其SNPN申请了一个协同分配的NID。因此,其网络的完整身份是:

  • PLMN ID: 999-99 (一个用于私网的通用PLMN ID)
  • NID: 0001-ABCD123 (由机构分配的唯一ID)

这个999-99-ABCD123的组合,就是AGV-007在茫茫电磁波中需要寻找的唯一“家园”。

4. “寻路与敲门”:网络选择与接入控制 (5.30.2.4 & 5.30.2.5)

UE如何从众多无线信号中,准确地找到并连接到它所签约的SNPN?这个过程分为“看地图”(读取广播)、“对清单”(匹配配置)、“敲门”(发起注册)三个步骤。

4.1 “看地图”:读取广播信息

NG-RAN nodes or Trusted non-3GPP access networks which provide access to SNPNs broadcast the following information:

  • One or multiple PLMN IDs;
  • List of NIDs per PLMN ID identifying the non-public networks NG-RAN provides access to…

SNPN的基站会在广播信息中,明确地告诉周围的UE:“我这里是PLMN ID 999-99,我能接入的NID列表是[ABCD123]”。

4.2 “对清单”:UE的自动网络选择

An SNPN-enabled UE supports the SNPN access mode. When the UE is set to operate in SNPN access mode the UE selects and registers with SNPNs over Uu as described in clause 5.30.2.4.

UE配置: AGV-007的通信模块中,预先配置了它所签约的SNPN信息,包括:

  • 签约的SNPN列表: 一个包含{PLMN ID=999-99, NID=ABCD123}的列表。
  • SUPI和凭证: 用于在该SNPN中进行认证的身份和密钥。
  • SNPN接入模式: UE被设置为“SNPN access mode”,这意味着它会优先寻找并连接SNPN,而不是PLMN。

选择流程:

  1. 启动SNPN模式: AGV-007启动后,其通信模块进入“SNPN接入模式”。
  2. 扫描与匹配: 它扫描周围的5G信号,读取到广播的PLMN ID和NID列表。
  3. 决策: 它发现广播的{999-99, ABCD123}与自己配置的签约SNPN完全匹配。于是,它决定选择这个SNPN。

4.3 “敲门”:接入与鉴权

When a UE performs Initial Registration to an SNPN, the UE shall indicate the selected PLMN ID and NID as broadcast by the selected SNPN to NG-RAN. NG-RAN shall inform the AMF of the selected PLMN ID and NID.

  1. 发起连接: AGV-007向该基站发起RRC连接建立,并在初始NAS消息(Registration Request)中,携带了它要注册的SNPN ID (999-99-ABCD123)以及用于鉴权的SUCI。
  2. RAN路由: 基站根据UE提供的SNPN ID,将请求路由到CyberGear工厂内部署的AMF。
  3. 核心网鉴权: AMF与AUSF、UDM交互,使用AGV-007的私有凭证,完成了鉴权流程。
  4. 注册成功: AMF返回Registration Accept消息,AGV-007成功注册到了SNPN。

如果一个流窜到工厂的、持有普通公众SIM卡的手机,尝试连接这个基站,它会在AMF鉴权阶段因为没有合法的SNPN签约而被拒绝,这就是接入控制的体现。

5. FAQ

Q1: SNPN和PNI-NPN,企业应该如何选择?

A: 这是一个战略性选择,取决于企业对控制权、成本、覆盖范围和技术能力的权衡。

  • 选择SNPN的理由:
    • 极致的安全与隔离: 数据和信令完全不出园区,与公网物理隔离。
    • 完全的自主可控: 企业可以完全控制网络策略、版本升级和运维节奏。
    • 确定性保障: 更容易实现超低时延和高可靠性,因为网络路径最短且无外部干扰。
    • 缺点: 初始投资高,需要专业的运维团队。
  • 选择PNI-NPN的理由:
    • 成本效益: 无需自建RAN,按需向运营商购买服务,CAPEX较低。
    • 广域覆盖: 可以利用运营商的广域覆盖能力,轻松实现跨地域的专网连接。
    • 专业运维: 由运营商负责复杂的网络运维。
    • 缺点: 数据需要流经运营商网络,自主可控性较低,SLA保障等级可能不如SNPN。

Q2: 什么是NID(网络标识符)?为什么它在SNPN中如此重要?

A: NID是SNPN的核心身份标识。由于用于私网的PLMN ID(如MCC 999)可能被全球成千上万个私有网络共享,仅仅依靠PLMN ID无法唯一确定一个SNPN。NID的引入,就是为了在共享的PLMN ID空间下,为每个SNPN提供一个唯一的“名称”。PLMN ID + NID的组合,才构成了SNPN在无线环境中的唯一标识,是UE能够从众多信号中准确“寻址”到特定SNPN的基础。

Q3: 我的普通手机能连接到SNPN吗?

A: 通常不能。 连接SNPN需要满足两个基本条件:

  1. 终端支持: 您的手机硬件和操作系统必须支持“SNPN接入模式”,并能正确处理NID。这是目前大多数普通商用手机不具备的功能。
  2. 有效凭证: 您必须拥有该SNPN的有效签约和凭证(通常以特定USIM卡或eSIM Profile的形式存在)。没有这个“门禁卡”,即使您的手机支持SNPN模式,也会在鉴权阶段被网络拒绝。 SNPN是为专用的工业、企业终端设计的,而非普通公众用户。

Q4: UE如何区分一个广播的PLMN ID是属于PLMN还是SNPN?

A: UE通过广播信息中的NID列表来区分。

  • 如果一个PLMN ID在广播中没有关联任何NID,那么它就是一个标准的PLMN。
  • 如果一个PLMN ID在广播中关联了一个或多个NID,那么这个PLMN ID和每个NID的组合,都代表一个独立的SNPN。 UE的NAS层会解析这个信息,并根据自己当前的工作模式(是PLMN模式还是SNPN接入模式)以及配置的签约列表,来决定向哪个网络发起注册。

Q5: 在一个同时有SNPN和多个PLMN信号的区域,UE(如AGV-007)是如何保证自己只连接到SNPN的?

A: 这是通过UE的**“SNPN接入模式”“签约SNPN列表”**共同实现的。

  1. SNPN接入模式: 当UE被设置为此模式,它的网络选择逻辑会发生改变,优先级会从“寻找PLMN”变为“寻找SNPN”
  2. 匹配逻辑: UE会忽略所有只广播PLMN ID的信号(或者将其优先级降到最低),而专注于寻找那些广播了PLMN ID + NID组合的信号。
  3. 精确匹配: 在所有找到的SNPN中,UE会进一步与其内部存储的“签约SNPN列表”进行匹配。只有广播的PLMN ID + NID组合与签约列表中的条目完全一致时,UE才会认为这是一个可以尝试连接的合法网络。 通过这种严格的、双重匹配的机制,AGV-007可以确保自己“心无旁骛”,始终只连接到CyberGear工厂的专属SNPN。

关系图谱