通信世界网消息(CWW)2022年6月,国务院印发《关于加强数字政府建设的指导意见》,提出持续优化全国一体化政务服务平台功能,全面提升公共服务数字化、智能化水平,不断满足企业和群众多层次、多样化服务需求。相关部门认真落实国务院部署,积极打造泛在可及、智慧便捷、公平普惠的数字化服务体系,让“百姓少跑腿、数据多跑路”。
然而,传统政务专网的数据共享难、业务协同难等问题依然突出,无法满足数字政府的新需求。5G无线政务专网能保障业务隔离,支持跨地区与跨部门的业务应用、信息共享和业务协同,满足经济调节、市场监管、社会管理和公共服务等政务需求。
传统政务专网痛点
众所周知,传统政务专网使用“Wi-Fi+VPN”技术进行组网,如图1所示,通过“园区Wi-Fi登录+手动切换接入点”的方式实现办公区内访问,通过“VPN客户端下载+手动登录认证”的方式实现办公区外访问。
图1 传统政务专网拓扑
虽然传统政务专网可以利用Wi-Fi技术实现无线接入,并通过VPN技术实现远程访问和安全性保障,但是也存在性能受限、设备兼容性差和维护管理成本高等缺点。例如,园区内Wi-Fi/园区外VPN人工手动登录认证操作频繁且复杂;办公区内Wi-Fi覆盖不足、室外不连续,影响园区内业务体验;VPN技术需要进行加密和解密操作,会占用一定的计算资源和网络带宽;VPN的访问带宽、设备兼容性、数据处理能力有限,对于需要处理大量数据的应用场景,可能导致传输速度变慢、拥塞、卡顿、时延大、体验差;开放的Wi-Fi网络让攻击无处不在,存在外接风险,非授权的Wi-Fi设备容易成为攻击的对象;采用VPN方式,内网数据经过加密后通过互联网传输,业务暴露点多面广,安全隐患多、安全风险大;Wi-Fi和VPN设备的采购、配置、维护,以及网络的监控、故障排除等需要专业人员进行管理和操作,导致部署和运维成本高。
信息技术的应用推动了政府数据的共享和开放,提高了政府服务的效率和质量。尽管政务外网建设取得了显著进展,但数据安全与隐私保护、跨地区与跨部门的协作,以及政务与公共服务的数字化、便民化都成为重要挑战。政务数据共享难、政务业务协同难、政务专网的带宽和接入受限、数据安全难以保障、办公体验差、数据处理能力低、管控被动、溯源困难、终端泄密、“最后一公里”接入成本高和应急场景建网难度大等痛点都客观存在,也迫切需要得到有效解决。
5G无线政务随行专网
当前,“掌上办”“指尖办”成为政务服务标配,“一网通办”“异地可办”渐成趋势,政务场景日趋多样化、移动化、复杂化。随着政务数据与公共数据的融合不断推进,用户更加关注数据采集、数据存储、数据交换等方面的安全隐患和安全风险防控。泛在接入与数据处理、业务融合、网络拓展、业务隔离、网络安全、网络漫游以及更低成本等政务专网新需求,呼唤性价比更优的5G无线政务随行专网。
组网方案
中国联通混合5G专网架构如图2所示,采用混合5G专网的模式,共享大网基站和核心网控制面网元,将中国联通核心网用户面网元UPF和边缘云MEC下沉至本地私有化部署,可提供部分物理独享的政务专用网络。在此基础上,中国联通为政府部门及其分支机构提供泛在连接、高速率、大带宽、低时延、安全可靠的专用网络能力与服务,为数字政府发展提供转型升级、融合创新的驱动力。
图2 中国联通混合5G专网架构
中国联通5G无线政务随行专网的组网架构如图3所示,其融合了5G、MEP、专用UPF、AAA、“零信任”等技术,能够实现基础连接、边缘云、网络定制与增强、安全管控等功能。用户签约5G无线政务随行专网的专用分流策略和专用DNN,通过共享基站和使用专用DNN接入内网、公网;支持在用户网络侧免DNN配置,实现互联网和政务外网流量的分流转发,以及用户不换卡号无感切换内外网;用户触发ULCL的分流策略,以URL、UE的位置、目的IP端口为分流维度实现业务动态分流。用户访问政务外网与互联网的流量采用独立的通道转发,访问政务外网(内网)业务经下沉的政务专用UPF分流到政务外网,访问互联网(公网)的流量经大区UPF分流至互联网,以此保障数据和业务的隔离性。
图3 中国联通5G无线政务随行专网组网架构
技术亮点
相比于传统政务专网,5G无线政务随行专网有众多技术亮点。
一是政务专用。5G无线政务随行专网可以保证网络的稳定性和安全性,避免共享网络中出现拥堵、被攻击等问题;可以提高网络的带宽和速度,满足用户对于网络高速率的需求;可以保护用户的隐私,避免数据泄露等问题;可以提高网络的可靠性和灵活性,方便用户进行管理和维护。
二是无线接入。5G无线政务随行专网支持5G和4G接入访问内网,且支持全国漫游访问内网,既保证了业务的连续性和可用性,又兼容不同网络制式的政务终端,实现了to B和to C终端的泛在连接。5G无线政务随行专网通过基站将用户终端与网络节点连接起来,以实现用户与网络间的信息传递。此外,5G网络的接入可保证用户的流畅使用体验,享有更高的网速、更低的时延、更大的带宽、更高的连接密度。
三是UPF下沉。5G无线政务随行专网将UPF部署到网络边缘,以提供更好的用户体验和更高的网络性能。通过UPF下沉,可以减少数据包在传输过程中的延迟,从而提高网络的响应速度、降低时延;可以将数据包直接发送到目标设备,避免了数据在网络传输中的浪费,提高网络带宽利用率;可以对数据包进行更加精细的控制和管理,减少数据泄露风险,从而增强网络和数据的安全性。
四是MEC下沉。5G无线政务随行专网将计算能力下沉到移动边缘节点,提供以“连接+计算”为基础,以连接为切入点,计算、能力、应用灵活组合的全新服务;突破业务边界,云边能力协同,延展云服务边界,改善云服务质量,打造便捷的、无处不在的边缘云;降低时延,改善用户体验,节省带宽资源,提供第三方应用集成;网络与业务协同,实现差异化、定制化的灵活路由,打造低时延、高带宽的智能连接。
五是静态IP地址。5G无线政务随行专网的接入终端均使用静态IP地址,具有更高的稳定性和可靠性、更好的网络性能和网络管理能力、更高效的追踪和溯源能力。
六是10GE光口互联。5G无线政务随行专网采用光纤跳纤与政务外网对接,两端使用10GE光口互联,提供高达10Gbit/s的数据传输速度,满足大容量传输的需求,解决了传输的“瓶颈”问题,在网络互操作性及简易性方面均具有极大的优势。
七是AAA。5G无线政务随行专网部署AAA代理网关(AAA-P),如图4所示,AAA技术方案基于安全管理框架,通过RADIUS协议与5G SMF对接,实现认证、授权、记账三大功能。当终端通过网络接入政务外网时,AAA-P用于对终端进行接入管控、分权分域、IP溯源、统计分析、机卡绑定、精细区域管控、灵活时段管控、终端后路由,满足数字政府对政务专网的高等级安全和自主管控需求,为5G政务随行专网增加可感知、可管控和可追溯特性。
图4 5G无线政务随行专网的AAA技术方案
八是“零信任”。5G无线政务随行专网的“零信任”方案如图5所示,它由控制中心、安全代理网关、客户端组成,其中控制中心与安全网关部署在政务专用的MEC边缘云上,客户端部署在终端设备上。“零信任”以身份为中心,用身份重塑边界,提供网络隐身、动态业务准入、端口对外隐藏、最小化授权等安全能力,打造5G专网边缘安全接入防护体系,提供“永不信任,持续验证”的“零信任”安全服务能力。
图5 5G无线政务随行专网的“零信任”方案
九是主备容灾。5G无线政务随行专网采用VRRP协议将数据通信配置主备容灾,MEC UPF、AAA和“零信任”都采用主备容灾。主集群用于处理用户的请求,备集群负责备份主集群的数据。当主集群发生故障时,系统可以切换到备集群,从而保障数据的一致性和业务的可用性。
十是ULCL技术。用户签约5G无线政务随行专网的专用分流策略和专用DNN,使用专用DNN接入内网和公网,不换卡号无感切换内外网。专网终端号卡触发ULCL的分流策略,以URL、UE的位置、目的IP端口为分流维度实现业务动态分流。访问政务外网(内网)业务经政务专用UPF分流到政务外网,访问公网的流量经大区UPF分流至公网。
十一是专用DNN。DNN是唯一的,它与号卡绑定,通过DNN配置专用的网络策略,比如SMF选择策略、UPF选择策略、DN-AAA开启策略等。5G无线政务随行专网通过专用DNN区分不同数据网络的接入点和接入方式,实现业务数据的隔离,确保专网数据安全。
对于网络拓展、业务隔离、网络安全、数据共享等政务诉求,5G无线政务随行专网通过无线接入、全国漫游、DNN专用、二次认证等技术予以支持。5G无线政务随行专网有望成为政务专网运行新范例,可为政务专网解决方案的完善和应用提供参考,并能够更好地助力数字政府建设。