基于“5G+技術(shù)”的新一代金融融合網(wǎng)絡(luò)研究摘"要：隨著金融信息化的普及，金融融合網(wǎng)絡(luò)建設(shè)已見(jiàn)成效。金融網(wǎng)絡(luò)在引入5G+和賦能新一代智慧金融的同時(shí)，5G網(wǎng)絡(luò)如何與現(xiàn)有的固網(wǎng)、WIFI[1]"Wi-Fi等網(wǎng)絡(luò)融合，以及如何與網(wǎng)內(nèi)的“人”和“物”進(jìn)行有效的全方位多模態(tài)連接，是亟須急需[2]"解決的問(wèn)題。首先介紹了基于5G的多融合金融網(wǎng)絡(luò)整體架構(gòu)，在此基礎(chǔ)上，重點(diǎn)介紹了金融5G專網(wǎng)主流的兩種分流解決方案和5G金融專網(wǎng)鑒權(quán)管控解決方案，為5G+智慧金融網(wǎng)絡(luò)建設(shè)的實(shí)踐研究提供參考。關(guān)鍵詞：5G+"金融專網(wǎng)"融合網(wǎng)絡(luò)"網(wǎng)絡(luò)架構(gòu)中圖分類號(hào)：TN929ResearchontheNewGenerationFinancialFusionIntegratedNetworkBasedon5G+TechnologyDUANXiaguang"LIAOFeng"WANGYangChinaUnitedNetworkCommunicationsCo.，Ltd.GuangdongBranch，Guangzhou，GuangdongProvince，510360ChinaAbstract：：Withthepopularizationoffinancialinformatization，theconstructionoffinancialintegrationnetworkshasachievedhelpfulresults.。Whileintroducing5G+andempoweringthenewgenerationofsmartfinancein，financialnetworks，itisurgenttoaddress，hHowtointegrate5Gnetworkscanintegratewithexistingfixednetworks，WIFIWi-Fi，andothernetworks，aswellashowtoeffectivelyconnectwith\"people\"and\"things\"withinthenetworkinacomprehensiveandmultimodalmannerbecomesanurgentproblemthatneedstobesolved.Firstly，theoverallarchitectureofamulticonvergedfinancialnetworkbasedon5Gwasintroduced.Onthisbasis，thetwomainstreamdiversionsolutionsforfinancial5Gprivatenetworksandtheauthenticationandcontrolsolutionfor5Gfinancialprivatenetworkswerehighlighted，providingThispaperintroduces5GFinancialNetworkAuthenticationandControlSolution，whichprovidereferenceforpracticalresearchontheconstructionof5G+smartfinancialnetworksconstruction.KeyWwords：：5Gplus+;Financialdedicatednetwork;；IntegratednNetwork;；NetworkaArchitecture傳統(tǒng)的金融網(wǎng)絡(luò)存在著明確的地域邊界，用戶在外無(wú)法直連訪問(wèn)金融網(wǎng)，唯有通過(guò)VPN撥號(hào)接入金融內(nèi)網(wǎng)。隨著金融網(wǎng)點(diǎn)對(duì)外WIFIWi-Fi服務(wù)等監(jiān)管要求，越來(lái)越多用戶需要從外網(wǎng)訪問(wèn)網(wǎng)內(nèi)資源，金融網(wǎng)絡(luò)邊界正逐漸成為阻礙資源共享、協(xié)同創(chuàng)新的重要因素。通過(guò)將IT和CT技術(shù)運(yùn)用于保險(xiǎn)等金融系統(tǒng)之中，信息化基建成為金融信息化必經(jīng)之路。1"新一代金融融合網(wǎng)絡(luò)背景分析及網(wǎng)絡(luò)架構(gòu)為建成高速泛在、集成互聯(lián)、安全可控的新型金融網(wǎng)絡(luò)，廣東聯(lián)通攜手廣東人壽，在人壽多園區(qū)中建設(shè)一張跨區(qū)、全面覆蓋的5G專網(wǎng)，并與現(xiàn)有寬帶網(wǎng)絡(luò)、WiFi[4]"Wi-Fi網(wǎng)絡(luò)互通，配合本地獨(dú)立移動(dòng)邊緣計(jì)算（Mobileedgecomputing，MEC[5]"）部署方案，形成無(wú)所不在、無(wú)所不包、無(wú)所不能的泛在網(wǎng)絡(luò)，提高金融智慧效能，將網(wǎng)內(nèi)的“智人”及“智物”進(jìn)行有效的全方位多模態(tài)連接。1.1"5G金融專網(wǎng)整體架構(gòu)相較于4G和5G通用移動(dòng)通信技術(shù)，5G金融專網(wǎng)最大的亮點(diǎn)是除了對(duì)個(gè)人業(yè)務(wù)需求的滿足外，還能夠更好地滿足垂直行業(yè)更為復(fù)雜的業(yè)務(wù)類型。該架構(gòu)針對(duì)新一代智慧金融業(yè)務(wù)的需求并結(jié)合5G特性，通過(guò)接入多種形態(tài)的智聯(lián)終端和金融裝備，構(gòu)建全連接金融專網(wǎng)。5G智慧金融專網(wǎng)包括核心管理層、三網(wǎng)匯聚層和網(wǎng)絡(luò)接入層，以5G為中心，MEC平臺(tái)為基礎(chǔ)，實(shí)現(xiàn)5G網(wǎng)絡(luò)、固網(wǎng)、WIFIWi-Fi網(wǎng)絡(luò)的多網(wǎng)融合接入。（1）在三網(wǎng)融合規(guī)劃設(shè)計(jì)方案中，首先實(shí)現(xiàn)的是網(wǎng)絡(luò)層的互通，即將金融專屬M(fèi)EC下沉部署在金融數(shù)據(jù)中心機(jī)房?jī)?nèi)，通過(guò)光纖直連實(shí)現(xiàn)與金融固網(wǎng)網(wǎng)關(guān)路由器互通，固網(wǎng)與WIFIWi-Fi網(wǎng)絡(luò)通過(guò)固網(wǎng)匯聚交換機(jī)實(shí)現(xiàn)互通。（2）其次實(shí)現(xiàn)的是應(yīng)用層的互通。金融企業(yè)可以把部分適合漫游無(wú)線接入、突發(fā)大流量、高安全性、低時(shí)延的視頻、管理及服務(wù)應(yīng)用部署在MEC平臺(tái)上，充分體現(xiàn)5G專網(wǎng)的大帶寬、低時(shí)延、高安全、廣覆蓋，以及云化資源下沉客戶端，實(shí)現(xiàn)就近訪問(wèn)和流量本地分流卸載的特點(diǎn)，可以提升金融企業(yè)員工在5G網(wǎng)絡(luò)使用過(guò)程的舒適感和獲得感。5G用戶可以不換卡、不換號(hào)、免VPN登錄，在指定辦公區(qū)可以直接訪問(wèn)內(nèi)網(wǎng)資源；同時(shí)，5G用戶外網(wǎng)訪問(wèn)方式不變，與普通用戶一致。（3）最后實(shí)現(xiàn)的是管理控制層的互通。金融企業(yè)可采用5GMEC（UPF+MEP平臺(tái)）作為網(wǎng)絡(luò)交換、控制與管理的中心，金融固網(wǎng)、金融WIFI[6]"Wi-Fi、5G網(wǎng)絡(luò)統(tǒng)一接入MEC平臺(tái)后，逐步把金融固網(wǎng)的網(wǎng)管系統(tǒng)、WIFI[7]"Wi-Fi系統(tǒng)虛擬化AC控制器部署在MEC平臺(tái)上，并統(tǒng)一部署可以應(yīng)用于5G網(wǎng)絡(luò)、固網(wǎng)和WIFIWi-Fi系統(tǒng)的統(tǒng)一認(rèn)證服務(wù)器（RADIUS），實(shí)現(xiàn)三網(wǎng)統(tǒng)一網(wǎng)絡(luò)安全認(rèn)證機(jī)制。1.2"基于ULCLUPF本地分流技術(shù)介紹ULCL是3GPP針對(duì)5G用戶面定義的數(shù)據(jù)分流功能，也叫作上行分流器。目前的銀行5G專網(wǎng)分流解決方案主要有2種，分別是通用DNN+ULCL方案和專用DNN+ULCL方案。1.2.1"通用DNN+ULCL方案終端使用通用DNN（如中國(guó)聯(lián)通的3Gnet），根據(jù)ULCL功能實(shí)現(xiàn)金融企業(yè)訪問(wèn)內(nèi)網(wǎng)和公網(wǎng)業(yè)務(wù)分流。1.2.2"專用DNN+ULCL方案該方案與通用DNN+ULCL方案，同樣使用金融企業(yè)新建一個(gè)現(xiàn)場(chǎng)級(jí)的ULCL和輔錨點(diǎn)UPF。兩方案不同的是，園區(qū)內(nèi)用戶通過(guò)專用DNN接入金融專屬UPF。專用DNN解決通用DNN+ULCL方案的IP地址沖突問(wèn)題，還可以支持4G接入和全國(guó)漫游。如果金融企業(yè)有終端二次鑒權(quán)或IP溯源需求，推薦采用專用DNN+ULCL方案。2"融合網(wǎng)絡(luò)統(tǒng)一認(rèn)證解決方案終端通過(guò)5G或WiFi[9]"Wi-Fi接入網(wǎng)絡(luò)后，首次訪問(wèn)內(nèi)網(wǎng)時(shí)會(huì)先跳轉(zhuǎn)到portal登錄頁(yè)面，輸入賬號(hào)密碼并通過(guò)認(rèn)證后，即可訪問(wèn)內(nèi)網(wǎng)業(yè)務(wù)。認(rèn)證保持一定時(shí)長(zhǎng)（可配置），認(rèn)證有效期內(nèi)終端從5G切換至WiFi[10]"Wi-Fi、從WiFi[11]"Wi-Fi切換至5G均無(wú)須再次認(rèn)證。情景之一：當(dāng)用戶斷開(kāi)WIFIWi-Fi網(wǎng)絡(luò)，通過(guò)5G網(wǎng)絡(luò)接入金融內(nèi)網(wǎng)。認(rèn)證流程如圖2所示。1-WIFI[12]"Wi-Fi接入訪問(wèn)；2-重定向到Portal強(qiáng)制認(rèn)證；3-用戶在Portal頁(yè)面輸入賬戶密碼；4-Portal向AAA申請(qǐng)鑒權(quán)；5-AAA返回鑒權(quán)通過(guò)；6-開(kāi)始計(jì)費(fèi)；7-返回鑒權(quán)通過(guò)信息給BRAS和用戶側(cè)；8-用戶正常訪問(wèn)內(nèi)網(wǎng)或互聯(lián)網(wǎng)；9-用戶斷開(kāi)WIFI[13]"Wi-Fi網(wǎng)絡(luò)，通過(guò)5G網(wǎng)絡(luò)接入金融內(nèi)網(wǎng)，UPF轉(zhuǎn)發(fā)訪問(wèn)請(qǐng)求到金融BRAS，企業(yè)AAA根據(jù)終端之前已認(rèn)證的信息免二次認(rèn)證情景之二：當(dāng)終端從5G網(wǎng)絡(luò)切換至WIFI[15]"Wi-Fi網(wǎng)。認(rèn)證過(guò)程如下：首先，5G無(wú)線接入訪問(wèn)，5G專用UPF轉(zhuǎn)發(fā)到金融BRAS，再送到企業(yè)Portal強(qiáng)制認(rèn)證；流程2-8與上同；當(dāng)用戶斷開(kāi)5G網(wǎng)絡(luò)，通過(guò)WIFI[16]"Wi-Fi網(wǎng)絡(luò)接入金融內(nèi)網(wǎng)時(shí)，AP轉(zhuǎn)發(fā)訪問(wèn)請(qǐng)求到金融BRAS，企業(yè)AAA根據(jù)終端之前已認(rèn)證的信息免二次認(rèn)證。3"5G金融專網(wǎng)鑒權(quán)管控解決方案金融用戶在擁有發(fā)布信息的權(quán)限的同時(shí)，其終端接入內(nèi)網(wǎng)的風(fēng)險(xiǎn)也增加了。接入網(wǎng)安全測(cè)策略和內(nèi)網(wǎng)接入權(quán)限管控尤為重要，須杜絕非法外聯(lián)行為的發(fā)生和保證內(nèi)網(wǎng)權(quán)限最小化。3.1"接入網(wǎng)安全策略5G安全對(duì)用戶數(shù)據(jù)的完整性保護(hù)要求則更加嚴(yán)格。5G網(wǎng)絡(luò)利用用戶卡上存儲(chǔ)的歸屬運(yùn)營(yíng)商的公鑰對(duì)用戶的永久標(biāo)識(shí)進(jìn)行加密，不在空口上明文傳輸用戶的永久標(biāo)識(shí)，有效保護(hù)用戶隱私。3.2"ULCL分流內(nèi)網(wǎng)及接入權(quán)限管控DNN+Radius鑒權(quán)實(shí)現(xiàn)內(nèi)網(wǎng)接入權(quán)限管控關(guān)鍵技術(shù)：（1）用戶在UDM簽約專用DNN，采用專用DNN+ULCL分流方案；（2）SMF基于專用DNN對(duì)接企業(yè)AAA服務(wù)器，配置通過(guò)UPF轉(zhuǎn)接二次鑒權(quán)數(shù)據(jù)；（3）終端攜帶專用DNN發(fā)起業(yè)務(wù)請(qǐng)求，SMF收到終端業(yè)務(wù)請(qǐng)求，觸發(fā)用戶進(jìn)行二次鑒權(quán)，將終端MSISDN等信息傳遞給AAA，認(rèn)證通過(guò)才能訪問(wèn)企業(yè)業(yè)務(wù)。4""5G+融合網(wǎng)絡(luò)構(gòu)建可信數(shù)據(jù)空間架構(gòu)下一步工作安排5G+融合網(wǎng)絡(luò)的數(shù)據(jù)安全非常重要。5G融合網(wǎng)絡(luò)的數(shù)據(jù)安全需要考慮終端、5G網(wǎng)絡(luò)和行業(yè)應(yīng)用的數(shù)據(jù)安全。（1）5G雙域?qū)＞W(wǎng)是一種基于5G技術(shù)構(gòu)建的企業(yè)網(wǎng)絡(luò)架構(gòu)，其是將公共網(wǎng)絡(luò)與私有網(wǎng)絡(luò)結(jié)合，通過(guò)物理隔離、加密通信和網(wǎng)絡(luò)切片等技術(shù)手段，為企業(yè)打造一個(gè)安全、高效的通信環(huán)境。將5G雙域?qū)＞W(wǎng)和零信任模型進(jìn)行融合，不僅可以保證高性能網(wǎng)絡(luò)的能力，還可以對(duì)用戶進(jìn)行身份驗(yàn)證，以及對(duì)其行為進(jìn)行持續(xù)的校驗(yàn)，從而帶來(lái)更加全面和強(qiáng)大的網(wǎng)絡(luò)安全保障。（2）行業(yè)應(yīng)用的云端是行業(yè)用戶數(shù)據(jù)存儲(chǔ)、處理和交換的重要區(qū)域，可以綜合采用數(shù)據(jù)加密存儲(chǔ)、數(shù)據(jù)隔離防護(hù)、數(shù)據(jù)安全交換等多種安全防護(hù)手段，重點(diǎn)解決行業(yè)應(yīng)用平臺(tái)的數(shù)據(jù)安全問(wèn)題。（3）終端的數(shù)據(jù)安全需要解決專網(wǎng)終端平臺(tái)、數(shù)據(jù)采集和數(shù)據(jù)存儲(chǔ)的安全。5G+金融融合網(wǎng)絡(luò)的成功應(yīng)用實(shí)現(xiàn)了數(shù)據(jù)的匯集和應(yīng)用，本文首次推出基于5G的多融合金融網(wǎng)絡(luò)整體架構(gòu)，并重點(diǎn)介紹了金融5G專網(wǎng)主流的兩種分流解決方案和5G金融專網(wǎng)鑒權(quán)管控解決方案，為5G+智慧金融網(wǎng)絡(luò)建設(shè)的實(shí)踐提供指導(dǎo)?！耙粋€(gè)分行，多個(gè)區(qū)域，三網(wǎng)融合，多重防護(hù)”的5G智慧金融架構(gòu)，從理論上可以有效促進(jìn)智慧金融的有效發(fā)展，但在實(shí)際應(yīng)用中還需要進(jìn)一步探索，從實(shí)踐中獲取經(jīng)驗(yàn)，從優(yōu)化中不段創(chuàng)新。[1]華為技術(shù)有限公司.華為云Stack8.0.3網(wǎng)絡(luò)配置最佳實(shí)踐（RegionTypeI）[M].北京：人民郵電出版社，2021.[2]李振