石化5G虚拟专网组网架构、切片规划及能力要求分析

根据不同石化业务的特点以及对安全性、网络性能的差异化需求，石化5G虚拟专网网络切片包括生产专网、视频专网以及办公专网三张网络切片。

1.总体组网架构

石化5G虚拟专网通过基站共享或专建、无线RB资源预留、5QI优先级调度、网络切片和UPF/MEC专用部署等手段实现石化业务与公网业务及其他toB业务的隔离网络资源的专享专用。 无线组网基于公用基站与专建基站相互补充的方式，通过公用基站实现泛在覆盖，并在公用基站建设规划之外，根据特定石化业务对网络覆盖、容量、上行带宽的需求及防爆需求，建设专门基站，即专建基站，来满足特定石化业务专属需求。此外，也可通过在非防爆区建设专用基站覆盖防爆区石化业务，以满足防爆需求。针对石化生产业务与其他业务的硬隔离需求，在无线侧通过空口的RB资源预留实现。

传输组网使用SPN/STN/IPRAN技术体制，通过FlexE或MTN切片技术满足石化生产业务与其他业务的硬隔离需求。通过VPN技术满足不同分区业务在共享传输资源下的逻辑隔离需求。核心网控制面网元采用大区/省会集中部署方式，用户面UPF/MEC根据石化业务不出园区的需求下沉部署至园区中心机房或生产区机房。其中生产业务使用部署于生产区机房的石化专用UPF/MEC，实现与其他石化业务，其他toB业务及公网业务的物理隔离和业务的就近转发；非生产石化业务使用部署在园区中心机房的石化专用UPF/MEC，并通过切片ID和DNN实现与其他toB业务及公网业务的逻辑隔离。同时，在炼化生产区机房和中心机房部署的专用核心网可选配部署控制面（AMF，SMF，UDM网元），满足石化业务“数据不出操作分区/园区”的高安全隔离性需要。

其中，通过5G网络承载的办公网和视频网业务由园区专用UPF（可选专用5GC）就近转发至园区网络核心交换机。通过5G网络承载的生产业务（关键设备状态监测，阀门状态监测）由部署于生产区的专用UPF/MEC（可选专用轻量化5GC）转发至安全数采网关，并通过园区汇聚交换机，OPC服务器，网络隔离设备（工业防火墙）接入生产网（数采网）。

2.网络切片规划

由于石化业务在网络需求方面存在显著差异，根据业务的特点，结合相应设备和关键技术选型，形成以下石化5G虚拟专网切片规划方案。

根据不同石化业务的特点以及对安全性、网络性能的差异化需求，石化5G虚拟专网网络切片包括生产专网、视频专网以及办公专网三张网络切片。

其中，石化生产专网业务通过划分专用且资源独占的网络切片，并在无线侧使用空口RB资源预留技术、承载侧使用FlexE或MTN切片技术、核心网使用生产专用UPF/MEC（或专用其轻量化5GC），实现与石化视频/办公专网业务、其他toB业务以及及公网业务之间的硬隔离。石化视频/办公专网业务通过无线侧切片+5QI优先级调度、承载侧VPN隔离、核心网使用园区专用UPF/MEC（或专用5GC），实现与其他toB业务及公网业务的逻辑隔离。

3.石化 5G 虚拟专网网络能力要求 

3.1 业务隔离及资源保护

a) 无线网：应支持 5QI 调度、RB 资源预留、频谱分隔、物理基站分隔等资源隔离手段，可根据石化业务的实际需求采取不同的技术组合。 b) 承载网：应支持采用 FlexE 接口或 MTN 通道、光波长切分等硬隔离技术，以及VLAN、VPN 等软隔离技术。FlexE 接口宜具备 10Mbps 级或更小的通道颗粒，通道内宜支持VPN、VLAN 的数量指标。 c) 核心网：应支持配置石化专用 UPF。面向不同运营商的专用UPF 网元应分别独立部署，不能复用，避免网络跨域对接。专用 UPF 应支持石化业务路由转发、ACL 访问控制、流量控制、流量报告、原始话单输出、QoS 管理与控制、终端到UPF 之间的端到端时延测量。 6.2 覆盖质量 石化通信接入设备的RSRP应小于-84dBm、SINR应大于10dB。

3.2  端到端网络能力

时延能力 时延能力是指网络对业务数据传输时延要求的保障能力，石化领域要求的时延能力主要为低时延保障，以及差异化时延需求的业务区隔能力。 低时延保障方面，可结合预调度等技术，保障不大于20ms的时延。后续可扩展支持minislot等URLLC技术，进一步降低时延。 差异化时延需求的业务区隔方面，可结合应用端到端网络切片并应用PRB资源预留的物理隔离、QOS保障建立GBR承载尤其是切片级5QI等，保证低时延基础能力在实际网络的运用。

可靠性能力 可靠性能力是指网络准确传输数据包的能力，石化领域要求的可靠性能力主要为高可靠性保障。 可结合HARQ重传、RLC重传、TCP业务重传、保守MCS调度、重传增强等技术，保障不低于99.99%的可靠性。

带宽能力 带宽能力是指网络在指定时间内的数据流量传输能力，石化领域按照业务数据流向可以分为上行带宽能力和下行带宽能力。 针对上行带宽能力保障，在一般的运营商公网技术方案基础上，可结合上行载波聚合或SUL等技术，进一步提升上行单用户体验速率；在特定场景下可专建基站，配置支持1D3U上行大比重帧结构，提升大上行用户和容量能力，保障上行带宽可达到100Mbps。针对下行带宽能力保障：在一般的运营商公网技术方案基础上，可结合QoS保障等技术，保障下行带宽可达到80Mbps。

4.石化 5G 虚拟专网网络安全技术要求

4.1 安全技术要求

石化5G虚拟专网网络安全技术要求包括终端安全、石化5G管道安全（含端到端切片安全、MEC安全）、安全管理（安全态势感知、MEC安全服务、事后审计管理）等，本节给出关键要求。

4.2 终端接入安全

a) 应实现数据的 IP 层加密和双向认证。可集成石化定制安全模块，在云侧主站部署加密认证网关，建立国密标准的 IPSec VPN 隧道。 b) 生产区业务应通过安全接入区接入到主站。 c) 应配置至少两套石化通信认证增强系统（互为容灾备份）统一进行证书密钥等管理，并与运营商关键网元进行对接； d) 应遵循 3GPP 二次认证架构及标准协议，并独立部署二次认证网关设备接口，完成终端到二次认证网关间的 PDU 会话二次鉴权认证。

4.3 管道安全

a) 切片安全 1) 应具备防止切片越权运维的能力；2) 应具备通过数字签名和证书，切片模板等方式实现信息防篡改能力；3) 应在 5G-AKA 基础上，提供切片认证功能； 4) 应支持差异化 Key 加密传输，防止切片间数据窃取、引发切片攻击等行为；5) 应采用虚拟及物理隔离技术，防止切片互相抢占资源。b) MEC 安全 1) 应对 MEC 划分信任域，信任域之间应采用计算资源隔离，同时设置DMZ 区并部署边界防火墙和 IPS 等安全防护设备； 2) 应防止石化业务流量通过 MEC 流出到公网或 5GC。

4.4 安全管理

a) 通信终端安全态势感知 1) 运营商宜通过大数据分析能力，对终端上报基站和核心网的信令数据、话统数据等进行统计分析，提供网络侧的终端安全监控能力和异常终端的处理；2) 石化企业内网宜部署安全态势感知或监测系统，并根据终端业务流量及内容信息监测终端的安全状态，及时发现安全威胁并作出有效处置。b) MEC 安全服务 运营商可通过统一的安全服务平台和运营中心，为边缘云应用提供按需的安全即服务能力。 c) 事后审计管理 石化企业客户应有统一的安全审计中心，可采集边缘侧、石化内部安全接入区安全设备及AAA 系统的安全日志。