基于4G安全网关的5G,SA和NSA组网技术研究

潘 雷，罗良桂

（京信网络技术股份有限公司，广东 广州 510000）

5G无线通信技术具有大带宽、低时延、高可靠的特点，同时具有网络切片、业务隔离和运营独立的特性，在各行各业得到了广泛的应用。目前，大部分5G网络都是采用专线回传或组建局域专网的方式来满足行业的各种应用，而对于一些环境特殊而必须采用公网方式进行回传的地方，5G应用组网并没有太多的研究[1,2]。通过分析4G基站采用公网回传的方式，并结合5G的NAS和SA组网应用，提出了几种共享4G安全网关的组网方式[3,4]。

在4G无线应用组网中，当4G基站通过公网接入时，通常在4G基站与安全网关之间建立IPSec VPN，为4G基站与4G核心网之间的数据传输提供安全性和完整性保护。具体的4G IPSec组网方式如图1所示。

图1 4G IPSec组网方式

5G独立（Stand Alone，SA）组网系统由5G基站、承载网以及5G核心网（5G Core，5GC）组成。5G基站通常包括基带处理单元（Building Baseband Unit，BBU）、射频处理单元（Remote Radio Unit，RRU）、馈线以及天线，其中BBU主要负责信号调制，RRU主要负责射频处理，馈线主要连接RRU和天线，天线主要负责信号的发射和接收。承载网主要包括专网和公网的承载网，为5G基站通过IP方式接入5G核心网提供IP承载。5G核心网主要为5G基站、5G终端提供信令面和用户数据的管理和转发。具体的5G SA组网方式如图2所示。

图2 5G SA组网方式

5G 非独立（Not Stand Alone，NSA）组网系统由4G基站、5G基站、承载网以及4G核心网组成，其中信令面在4G基站与4G核心网之间建立，5G基站只负责管理用户面数据，只在建立无线承载的过程中从4G基站获取4G核心网分配的核心网用户面数据目的IP。在前期尚未部署5G核心网时，可以通过升级4G核心网的方式实现快速的5G无线覆盖。5G NSA组网方式如图3所示。

图3 5G NSA组网方式

针对5G SA和NSA无线应用组网中常见的3种组网方式进行研究，主要包括基于5G客户终端设备（Customer Premise Equipment，CPE）或 4G CPE 接入的组网方式、基于无线网桥的组网方式以及基于有线回传的组网方式。

3.1 基于CPE接入的组网

5G SA组网中，通过利用现有网络的4G安全网关，采用4G安全网关与5G核心网进行路由对接，然后在5G基站中实现IPSec VPN功能，并在5G基站与4G安全网关之间建立IPSec VPN隧道。5G基站对发往5GC核心网的上行数据进行IPSec加密后传给4G安全网关，4G安全网关对数据进行解密后转发给5G核心网，而4G安全网关则对5G核心网发往5G基站的下行数据进行IPSec加密后传给5G基站，5G基站对数据加密后发给用户设备（User Equipment，UE）终端。基于CPE回传的5G SA组网方式如图4所示。

图4 基于CPE回传的5G SA组网方式

而5G NSA组网中，在利用现有4G安全网关时，无需4G安全网关与5G核心网对接路由接口，但要求4G基站和5G基站共同组网，即4G基站负责与4G核心网建立信令连接，5G UE终端通过双连接方式同时接到4G基站和5G基站，信令面数据通过4G基站与4G核心网通信，用户面数据通过5G基站的NG-U接口发送出去。这种组网方式中，要求4G基站和5G基站都要分别与4G安全网关建立IPSec VPN隧道，4G基站的IPSec VPN隧道主要传输信令面的数据，5G基站的IPSec VPN隧道主要传输用户面的数据。4G基站和5G基站之间存在X2接口，用于实现用户4G基站和5G基站之间的信令交互。在没有安全网关的组网中，4G基站和5G基站之间的信令传输是明文传输，这会导致信令传输的不安全性。而在基于CPE回传的5G NSA组网中，4G基站和5G基站之间的信令交互数据也可以通过IPSec VPN进行传输，即4G基站发给5G基站的信令数据通过IPSec VPN加密后传给安全网关，安全网关解密后对数据进行重新加密后传给5G基站，5G基站对加密数据进行解码后处理，提高了数据通信的安全性。而5G基站发给4G基站的信令数据通过IPSec VPN加密后传给安全网关，安全网关解密后对数据进行重新加密后传给4G基站，4G基站对加密数据进行解码后处理。基于CPE回传的5G NSA组网方式如图5所示。

图5 基于CPE回传的5G NSA组网方式

3.2 基于无线网桥的组网

无线网桥利用无线传输的方式实现在2个或多个网络之间搭建通信桥梁，主要用于一些架设光纤比较困难的场景，通过部署无线网桥可以快速接入到公网。

基于无线网桥的5G SA组网与基于CPE回传的5G SA组网方式类似，采用无线网桥连接公网代替5G核心网或4G核心网连接公网的方式，5G基站则通过无线网桥接入到公网，然后与现网4G安全网关建立IPSec VPN。基于无线网桥回传的5G SA组网方式如图6所示。

图6 基于无线网桥回传的5G SA组网

基于无线网桥的5G NSA组网与基于CPE回传的5G NSA组网方式类似，采用无线网桥连接公网代替5G核心网或4G核心网连接公网的方式，5G基站则通过无线网桥接入到公网，然后与现网4G安全网关建立IPSec VPN。基于无线网桥回传的5G NSA组网方式如图7所示。

图7 基于无线网桥回传的5G NSA组网方式

3.3 基于有线回传的组网

有线回传是目前比较常用的公网接入方式，也是很多4G基站所采用的公网接入方式。利用现有的有线回传方式和4G安全网关进行IPSec VPN组网，可以满足部分亟需5G无线覆盖的场景需求[5,6]。

基于有线的5G SA组网与基于CPE回传的5G SA组网方式类似，采用有线公网代替5G核心网或4G核心网连接公网的方式，5G基站则通过有线宽带方式接入到公网，然后与现网4G安全网关建立IPSec VPN。基于有线回传的5G SA组网方式如图8所示。

图8 基于有线回传的5G SA组网方式

基于有线的5G NSA组网与基于CPE回传的5G NSA组网方式类似，采用有线公网代替5G核心网或4G核心网连接公网的方式，5G基站则通过有线宽带方式接入到公网，然后与现网4G安全网关建立IPSec VPN。基于有线回传的5G NSA组网方式如图9所示。

图9 基于有线回传的5G NSA组网方式

基于无线通信对网络安全的考虑和IPSec VPN在无线通信领域的应用，结合5G网络的架构和应用需求，分析5G基站利用公网回传和现有4G安全网关之间建立IPSec VPN的组网方式，实现5G基站与核心网之间的数据安全传输，为5G在公网的应用提供工程部署上的参考。