2026-01-14 23:53:01 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 文章针对5G公网与专网融合场景下用户体验差、安全性弱等痛点，提出基于核心网定制的双会话分流方案：终端用通用DNN建公网会话，网络侧依PCF签约自动向归属地专网SMF发起第二会话，漫游地UPF按域名/IP策略把内网流量送回属地UPF，实现无APN切换、无VPN拨号、全网漫游及4/5G一致体验，跨省试点验证成功，可快速复制到校园、政务、警务等高价值行业。 综合评分： 88 文章分类： 5G安全,解决方案,网络安全,安全建设,运营商

cover_image

【转载】5G公网&专网融合业务解决方案研究

江南信安

2026年1月13日 18:30 北京

以下文章来源于邮电设计技术，作者马田丰文涛刘扬

邮电设计技术 .

这是一个资源型公号，您可以在这里淘到大量原创技术资料。《邮电设计技术》1958年成立，1974年复刊，是中国通信领域成立较早的期刊之一。刊号：CN10-1043/TN，邮发代号：36-176。

摘要

传统公网和专网融合业务普遍存在用户体验不好、业务安全性较差等问题，随着5G专网在各行各业的迅速普及，客户要求通过5G网络来解决问题、提升业务体验。分析了用户的主要业务需求，并对比3GPP标准网络解决方案，提出了效果更优的定制化网络流程和解决方案，方案经过了试点验证，为运营商更好地满足客户需求提供了借鉴和参考。

引言

随着5G移动终端资费以及5G业务资费的日益下降，国内运营商5G网络用户数增势迅猛。根据工业和信息化部2023年底的数据，截至2023年11月末，三大电信运营商的移动电话用户总数达17.26亿户，其中5G移动电话用户达7.71亿户，占移动电话用户的44.7%，占比较2022年末提高11.4个百分点。5G用户的大量增长，在促进5G业务飞速发展的同时，也带来了更加复杂多样的用户需求。5G公网和专网融合业务是指5G移动电话用户可以在手机等移动终端上同时访问互联网和企业内网的业务，以教育、政务、警务等典型行业为例，客户在体验5G低时延、大带宽、大连接的同时，往往还需要5G网络可以提供随时随地、无感知、高安全性的专网接入。如何为客户提供更好的5G公网和专网融合业务感知，成为了运营商迫切需要研究解决的问题。

0 1

传统公网&专网融合业务解决方案

公网和专网融合业务并不是5G网络时代特有的需求。在3G/4G时代，行业客户终端也存在既访问公网又访问内网的需求，3G/4G时代的业务需求问题一般通过用户发起APN切换或者建立互联网VPN这2种方式来解决［1］。

1.1 用户发起APN切换方式

用户在访问公网业务时，使用运营商默认配置的APN发起网络连接，该连接可以正常打通从用户终端至互联网的网络通路，但是无法直接访问用户企业内网。当需要访问内网时，用户自行在终端上配置内网业务的APN（与运营商提前协商），基于内网业务APN发起网络连接，所建立的网络连接可以访问用户企业内网，但是无法访问互联网。用户在公网和内网业务切换时，需要手动切换终端的APN配置（见图1）。

图1 典型手机终端内网业务APN配置界面

1.2 互联网VPN方式

互联网VPN方式需要用户在终端上安装内网VPN拨号软件，或用户终端上的内网业务App内嵌VPN功能。当用户拨号或者使用内网业务App时，用户终端通过互联网与内网业务服务器建立VPN连接，从而访问内网业务。该方式下，用户仅与互联网建立连接，不需要手动配置或者切换APN。

1.3 传统公网&专网融合业务解决方案存在的问题

传统公网&专网融合业务解决方案在使用便利性、业务安全性、用户感知体验方面均或多或少存在一些问题，主要包括如下几点。

a）用户发起APN切换的方式，存在使用不便（对用户的手动操作能力要求高）、容易配置错误、业务体验差、终端支持能力差（Apple终端不支持）等问题。

b）互联网VPN方式需要通过拨号或者App定制，在使用上较为复杂，而且所有业务流量都需要绕经互联网，对于政务、警务等安全性要求高的内网业务，存在风险隐患。

在3G/4G时代，网络技术相对落后、定制化能力差，可选方案少，用户只能以满足业务需求为主，降低对于操作便利性、业务安全性等的要求。

0 2

5G用户对于公网&专网融合业务的需求

5G专网业务是运营商在5G时代发展潜力最大、市场收益最明显的业务，相应地，客户对于5G专网的业务体验要求也更高。尤其是公网&专网融合业务，由于其主要受众是高校、政府、企业等运营商的高价值客户，客户的要求和体验是运营商需要重点考虑的内容［2］。根据调研，公网&专网融合业务客户的需求主要集中在以下几个方面。

a）同一个终端、同一张卡可以同时访问公网和专网。

b）对用户不应有额外的操作要求，客户无需切换APN或者VPN拨号。

c）支持全网漫游，且在漫游场景下，公网流量应就近访问，不应迂回，业务时延低。

d）5G终端在4G网络环境下应尽量保持体验一致。

e）支持AAA鉴权等内网接入管控能力。

运营商需要通过4G/5G融合的核心网络来满足上述几方面的内容，以保障用户在园区、漫游、4G等各种场景下的业务体验。

0 3

5G公网&专网融合业务解决方案

3GPP从R15开始，每一个版本都在持续增强5G核心网面向行业的差异化能力，这些差异化能力可以在一定程度上满足用户的业务需求、丰富用户体验，但是对于公网&专网融合业务这种相对复杂的组合型场景，仍需要运营商自行摸索和定制方案［3］。

3.1 3GPP标准解决方案

3.1.1 终端URSP方案

3GPP中对URSP支持能力进行了定义，在终端、网络、App三方预协商及预配置的情况下，终端可以基于不同的App自动发起不同的网络连接，从而实现业务应用与网络通路的自动匹配（见图2）。

图2 终端URSP方式支持公网和专网访问

该方案基于3GPP标准的URSP终端及网络能力实现，不需要对网络进行复杂的改造即可支持同时访问公网和专网。但是当前在售终端大都不支持URSP，终端生产厂商、运营商等未在URSP生态上达成一致，而且该方案无法提供对4G网络接入的能力支持，因此现阶段暂不具备可操作性。

3.1.2 ULCL方案

ULCL（Uplink Classifier）是3GPP在R15阶段引入的5G核心网新能力。根据用户的预签约信息，当用户处于特定的TA（Tracking Area）位置区时，SMF为用户插入ULCL分支点UPF，用户自基站上行至核心网的所有业务流量都先经过ULCL分支点UPF，再由ULCL分支点UPF基于用户业务流的域名、IP五元组等信息进行分流，本地业务直接传输到本地数据网（如客户内网等），非本地业务传输到用户主锚点UPF，再经主锚点UPF传输至其他数据网络（如互联网等）（见图3）。

图3 ULCL方式支持公网和专网访问

ULCL方式设计的初衷是根据业务来智能分流，该方式天然支持对公网和专网的同时访问。ULCL分支点UPF的插入依赖用户签约的特定位置区，因此无法通过预配置的方式来提供对全网漫游（如省间漫游等）场景的支持。同时，由于4G核心网并不支持ULCL功能，该方式也无法为4G接入的用户提供分流服务。整体而言，ULCL的适用场景较窄，无法满足用户需求。

3.2 定制化解决方案

3.2.1 与用户业务需求对应的网络能力需求

标准方案无法提供对复杂业务场景的支持，需要考虑采用定制化流程和网元功能升级的方式来满足需求。首先对用户业务场景进行总体分析，从业务场景来研究网络需要定制的流程和功能。公网&专网融合业务的用户需求可以被归纳为以下几点。

a）客户无感知。不主动切换DNN、不使用VPN拨号。

b）随时随地。支持全网漫游和4G接入。

c）同时访问、业务体验和业务安全。公网业务应在漫游地就近接入，内网流量应通过运营商承载网回归属地。

对于客户无感知的要求，考虑到用户终端的不可控性，终端必须以最常规的通用DNN来发起业务请求，而网络侧则应能在通用DNN的公网会话之外获取用户专网所对应的专用DNN，并基于专用DNN来发起专网业务的第二会话。在专用DNN会话的建立过程中，可以同步实现对用户终端的AAA鉴权接入控制。

对于随时随地的要求，由于用户漫游地的未知性，要求全网SMF能够基于专用DNN获取归属地SMF信息并与用户归属地SMF进行交互，传递漫游地会话信息、专用DNN等，建立与归属地SMF之间的会话通道，同时还要求运营商核心网应为4G/5G融合网元。

对于同时访问的要求，漫游地SMF在疏通用户公网业务之外，还应能从用户归属地PCF获取用户签约的专用DNN、专属分流策略（地址、域名等），并执行相应的策略，对公网/内网业务进行按需分流［4］。

3.2.2 定制化解决方案网络架构及流程

基于以上业务需求和网络能力映射，网络侧可以考虑设计如下业务流程（见图4）。

图4 定制化解决方案流程建议

a）UE开机，并基于默认的通用DNN发起业务会话请求。

b）用户漫游地AMF根据用户号码，查询用户归属地UDM，获取用户签约信息。

c）用户漫游地AMF向漫游地公网SMF发起会话建立请求。

d）用户漫游地公网SMF查询用户归属地PCF，获取用户签约信息。

e）用户归属地PCF需提前配置用户签约的专用DNN、用户企业内网分流规则（域名、IP五元组等）等信息，并向用户漫游地SMF下发相关信息。

f）漫游地SMF基于获得的专用DNN查询NRF，发现用户专网SMF。

g）漫游地SMF模拟I-SMF向用户归属地专网SMF发起专网第二会话激活请求，携带用户专用DNN、用户公网会话IP地址信息等。

h）用户归属地专网SMF基于获取到的信息，将用户公网会话IP地址传递给归属地专网UPF，并协同归属地专网UPF为用户分配专网IP地址。在本流程中，还可以按需引入AAA认证能力，满足客户对内网接入的二次鉴权及专网IP地址分配的需求。

i）用户归属地专网SMF/UPF协同用户漫游地SMF/UPF建立用户专网会话。

j）用户漫游地SMF响应用户的会话建立请求。

k）用户公网及专网会话建立。

l）用户发起业务流量，业务流量全部被送至用户漫游地公网UPF，其中公网流量由漫游地公网UPF直接送至Internet。

m）用户漫游地UPF基于获取的分流规则，将符合规则的用户内网流量送至用户归属地专网UPF，由专网UPF按需进行公网/内网IP地址转换等。

n）用户归属地专用UPF将内网流量送至企业内网。

o）企业内网响应的业务流量，经用户归属地专网UPF送至用户漫游地公网UPF，并进一步送至用户UE。

3.2.3 定制化解决方案网络改造需求

定制化的网络流程需要对归属地PCF、漫游地公网SMF、漫游地公网UPF、归属地专网SMF、归属地专网UPF等进行功能升级改造。

a）归属地PCF。需要扩展与SMF之间的N7接口策略，可以下发用户签约的专用DNN、分流域名等信息，并指示SMF创建专网会话。

b）漫游地公网SMF。需要扩展支持识别归属地PCF下发的专用DNN、分流域名等；基于专用DNN向NRF查询发现归属地专网SMF；基于N16a接口向归属地专网SMF传递终端地址及公网会话相关信息；基于专用DNN模拟I-SMF向归属地专网SMF发起专网承载建立请求；提供对4G接入场景的同步支持能力。

c）漫游地公网UPF。将UE侧的一个通用DNN会话转化为网络侧通用DNN+专用DNN的双会话，按需进行分流，并提供对4G接入场景的同步支持能力。

d）归属地专网SMF。在N4接口中携带公网会话的IP地址等信息给归属地专网UPF。

e）归属地专网UPF。识别N4接口中的终端公网会话地址信息，具备NAT能力，按需对终端的公网IP和内网IP进行转换，支持应用层的地址替换。

如果希望减小漫游地网络的网元升级改造范围，可以在归属地UDM上对终端签约特定的通用DNN，在漫游地仅对特定公网SMF/UPF配置该DNN，该方式仅在每个公网SMF POOL内升级一对SMF/UPF即可提供对业务能力的支持。同时，由于特定的通用DNN在用户进行国际漫游/运营商间漫游时可能不会被识别，需要用户归属地UDM能够针对异网PLMN下发标准的通用DNN来保证用户在国际漫游/运营商间漫游时可以正常使用公网业务，针对不同PLMN下发不同的通用DNN，会对UDM有定制功能要求。

0 4

定制化解决方案的试点验证

某运营商基于上述定制化解决方案对A省、B省现有网络部分网元进行了功能升级，并开展了跨省业务试点验证，验证的能力包括终端无感知访问公网和专网的能力、终端省间漫游能力、专网会话建立过程中的AAA鉴权能力等，其总体的试点组网如图5所示。

图5 某运营商基于定制化方案的试点组网

根据图5所示的组网，当归属A省的用户漫游到了B省，终端开机之后的流程如下。

a）B省公网SMF/UPF基于用户在归属地UDM、PCF的签约，正常查询到用户归属地的专网SMF。

b）B省公网SMF与A省专网SMF协同为用户建立专网会话，并基于AAA为用户分配专网IP地址。

c）B省公网SMF基于A省PCF下发的分流策略，在B省公网UPF上正常为用户执行分流，其中公网流量直接从B省入Internet，内网流量通过B省公网UPF送至A省专网UPF进而送至客户内网。

在上述整个业务流程中，终端开机后无额外的操作，所有签约信息获取、终端鉴权、业务分流等流程均由网络侧自动完成。当用户回落到4G网络时，网络侧会选择具备4G/5G融合功能的B省公网SMF/UPF为用户终端服务，并由其完成4G/5G的互操作转换。经过测试，该跨省试点业务实现效果符合预期。

0 5

定制化解决方案在垂直行业的应用建议

定制化解决方案通过对5G核心网进行功能升级，进一步提升了用户公网&专网融合业务的使用体验，因此，方案具体的部署节奏需要运营商结合网络升级改造量和业务收益情况统筹考虑，按需开展建设。在面向不同垂直行业的应用方面，定制化解决方案具有广泛的适用性，不同行业用户可以复用网络方案，只需配置不同的专用DNN、不同的分流规则即可实现业务［5］。

5.1 面向校园网业务的应用

大中专院校的教职工和学生是公网&专网业务的典型客户群体。客户手机以访问公网业务为主，同时经常会存在访问校园内网查询资料、观看教学视频、撰写论文等操作，校园内网也普遍存在对学生的鉴权接入需求。

基于校园网业务需求，运营商可以在特定客户的校园内或者在高校集中的大学城部署下沉的专网UPF，将专网UPF与中国教育科研网统一认证与资源共享基础设施系统（CARSI）等认证系统对接，并根据学校提供的用户名单为其在UDM及PCF签约业务，从而满足用户在校园内、校园外随时随地、无感知的公网&内网业务访问需求。

5.2 面向政务业务的应用

政务业务对安全性的要求普遍较高，前期用户一般使用传统的VPN拨号方式，VPN软件操作繁琐、稳定性差且客户内网业务流量会穿行互联网，存在安全风险，是客户一直以来的用网痛点。

对于重点的政务客户，建议在客户侧部署专用UPF设备，并严格按照用户短名单签约业务，该方式可以大大降低对用户操作的要求，且可以保证政务内网的流量完全不经过互联网，提升业务安全性。

5.3 面向警务行业的应用

传统警务终端一般采用双SIM卡或者双系统的方式，一套SIM卡和系统用于警务人员的个人业务，另一套用于警务人员的公务处理。警务人员需要经常切换终端使用的操作系统/SIM卡，使用较为不便。

通过引入定制化解决方案，警务人员在签约业务之后，使用一张SIM卡和系统即可保障公网/内网业务的按需自动切换，完全不需要额外的操作，不影响用户公网业务的正常使用，公务处理也更为安全、高效。

0 6

结束语

5G用户对网络能力的需求日益丰富，在正常使用公网业务之外，特定行业客户还需要网络可以提供随时随地、无感知、高安全的专网接入，当前3GPP标准方案无法完全满足客户需求。本文结合客户需求和运营商现网运营需要提出的定制化解决方案，经过了现网小规模试点验证，已经具备规模推广条件，为国内通信运营商在后疫情时代更好地满足用户的公网&专网业务需求、促进5G网络2B2C业务快速增长做出了积极探索。

参

考

文

献

［1］齐彦丽，周一青，刘玲，等.融合移动边缘计算的未来5G移动通信网络［J］.计算机研究与发展，2018，55（3）：478-486.

［2］王甜甜，杨鸿珍，毛秀伟，等.基于5G电力虚拟专网的电力业务典型应用［J］.电力信息与通信技术，2021，19（9）：38-44.

［3］中国移动研究院 . 5G Open UPF 及 N4 接口解耦白皮书［R/OL］.［2025-03-30］. https：//max.book118.com/html/2021/0823/6154232132003235.shtm．

［4］邢燕，易祖洋，陈骁，等.5G高可靠专网助力汽车制造高质量发展［J］.数字化用户，2023，29（28）：58-60.

［5］周进青，方绍湖，区洋，等.极简5G专网技术方案分析和研究［J］.通信电源技术，2021，38（17）：82-84.

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：江南信安《【转载】5G公网&专网融合业务解决方案研究》