校企共建多网融合下的“5G+智慧校园”研究

5G技术在大带宽、低延时、低功耗、泛在接入、万物互联等方面具有显著优势^[1]，是一种集增强移动宽带、海量大连接、低时延高可靠^[2]诸多特性于一体的新兴技术，能够快速实现人与人、人与物、物与物的全连接。“十三五”期间，各高校已全面开启智慧校园的建设。为积极推进智慧校园建设，深入贯彻落实中央网信办、国家发展改革委、教育部等部门关于加快5G建设、加强教育信息化工作的决策部署，工业和信息化部、中央网信办、教育部等十部门联合发布《5G应用“扬帆”行动计划(2021—2023年)》。在此背景下，高校充分运用5G技术，将其作为信息化新基建的载体，促进“5G+智慧校园”的深度融合发展^[3]，科学合理地运用信息化资金构建集约化、一体化、共享化的“多网融合”基础设施，与通信运营商打造一套具备“灵活组建、泛在接入、互联集成、安全可靠”^[4]的5G智慧校园专网体系，实现教育信息化2.0背景下的智慧校园协同创新发展。

目前，各高校网络基础设施已完成多轮的改造与升级。在持续投入大量的人力、财力后，高校校园网已全面实现千兆级到用户桌面、万兆或十万兆级核心互联的一体化格局^[5]。随着高校信息化建设与数字化转型逐步迈入深水区，高校教学、科研、管理、服务等多重业务场景下的应用需求不断增加，对网络基础设施的稳定性、便捷性、高速性提出了更高要求。在国家大力提倡“勒紧裤腰带过紧日子”的当前，高校面临着信息化专业人员少、建设资金不足、网络信号覆盖盲区多、出口带宽资源紧张等问题。如何更加科学、合理、有效地运用好有限的信息化资金投入，持续夯实并优化校园网络基础设施这条“信息高速公路”，成为高校信息化建设发展中的难点问题^[6]。

5G技术在工业、交通等商用行业发挥数字赋能效应，促进了其在教育领域的应用。各高校陆续开始探索校企合作模式下的“5G+智慧校园”建设，并不断尝试与通信运营商的共建。为推进校园5G基础设施建设，5G通信网络作为智慧教育新型IT基础设施底座的重要组成部分，推动高校通信资源与校园网的共建、共融、共享，实现资源的最大化利用。针对校园内不同场景需求，采用带宽灵活可调、5G技术运用灵活部署的方式，满足高校智慧教育全场景多模态下的高速宽带随时随地接入的需求。高校校园网与5G网相互补充与深度融合，进一步加速信息化基础设施的智慧化升级与迭代，促使高校向智能化、前沿化方向发展，打造“以5G为基础、以智慧应用为驱动”的新一代“5G+智慧校园”^[7]。

5G通信网作为高校的重要基础设施，为“十四五”期间全面建成智慧校园的目标奠定了基础。以某大学校企共建为例，一方面，学校协同三大运营商利旧、扩容5G通信基础设施，采取“宏站+微站+室分”的5G信号覆盖模式，利用校园通信传输机房快速接入当地5G城域网和5G专网域，实现校园局域网、5G专网与5G城域网的互联互通。另一方面，通信运营商通过下沉“5G UPF(用户面功能)+ MEC(移动边缘计算)”方式构建学校5G专网域，采取5G VPDN加密隧道通信的方式实现从互联网到校园网数据安全可靠地传输，对接入专网5G UPF端到端采用准入管控，以防止非法入侵。

当前，诸多高校将全面建成智慧校园作为全面深化改革的重要发展任务之一，突出体现了信息技术与现代教育技术变革的融合，其对促进高校“管、学、教”一体化发展具有重要影响^[8]。智慧校园以物联网技术为基础，实现云计算、人工智能、大数据、移动互联网等技术的交叉融合，以个性化、多样化、智能化的智慧服务为应用驱动，以传输高速、接入便捷、经济实用、交互灵活的5G网络为载体^[9]，遵照“信息设施为基、数据治理为本、智慧应用为中心”的模式，推进智慧校园一体化创新融合。

2.1    校园5G专网部署模式

在三层网络架构模态下，学校与通信运营商合作新建两套UPF(VPDN UPF、UL-CL UPF)设备，用于对校园5G专网数据进行分流。同时部署AAA(认证、授权、计费)认证服务器，用于师生用户认证。两台UPF设备与VPDN业务平台对接，并通过专线对接校园网AAA认证服务器。AAA认证服务端通过LDAP/CAS方式与学校统一身份认证系统连接，校验用户身份的合法性，只有通过身份认证的用户才被授权访问学校内网资源。通信运营商的UPF部署方式灵活，校园5G专网中的VPDN UPF及UL-CL UPF可部署在运营商核心机房，也可根据实际需求下沉部署至学校数据中心机房，以提高网络数据处理效率。校园5G专网拓扑如图1所示。

图1    校园5G专网拓扑图

2.2    校园5G专网实例测试数据对比分析

如图2所示，以中国电信移动终端为例，学校开展了同一坐标位置校园5G/4G网信号强度、时延及测速等参数的测试，包括无线信号强度(RSRP)、信道质量信噪比(RSRQ)、业务时延(Ping指标)、信号抖动、上下载速率等指标。结果表明，校园5G专网明显优于4G网，实现了校园通信网流量的快速提升。

图2    采样点中国电信5G网信号强度、时延及测速信息

同一坐标位置5G专网与校园无线网测试。结果显示，5G专网下载速率要明显优于校园无线网，但上传速率低于校园无线网。究其原因是运营商5G专网出口为上下载非对称网络，而校园无线网为上下载对称网络，5G专网的上下载速率受限于其非对称网络出口制约，其上传速率低于校园无线网属于合理范畴。二者比较发现，校园无线网在漫游、传输安全等技术方面有待加强，尤其在综合体验和接入便利性上，5G专网在泛在接入、低延时、低功耗、高速率、服务质量、经济投入等方面整体效果优于校园无线网，如图3所示。 

图3    采样点运营商5G专网与校园无线网测试数据信息

2.3    校园5G专网分流及认证机制

校园5G专网分别制订无访问区域限制和有访问区域限制两套数据分流方案，如图4所示。无访问区域限制方案主要面向学校统一身份认证的教师群体或具有特定身份的VIP群体(独立DNN-Teacher)，可在全国范围内通过外省5G核心网(外省5GC)漫游至本省5G核心网(本省5GC)的VPDN UPF，获取校园专属用户地址，可以直接访问校园内网；有访问区域限制方案主要面向学校统一身份认证的学生群体或访客群体。这两套方案可根据学校应用管理要求，在指定的校区内或校外特定区进行专网访问。

图4    校园5G专网认证实例

校园5G专网规划师生用户专用地址池，对每个用户赋予固定的IP，用于网络行为的IP追踪或溯源，有利于网络安全管控。校园5G专网中各网元具体功能描述如表1所示，具体分流业务流程参见图4中的独立DNN数据流向。其中，实线代表了用户根据不同制式访问校园内网的流向，虚线代表用户根据不同制式访问公网的流向。校园5G专网采用AAA认证模式，通过部署在校园内的AAA认证服务器对校园网用户的首次访问进行认证，仅有认证通过的用户才能进行访问，且用户在访问校园内网期间无须重复认证。当用户离线或认证会话超时后，用户需要再次发出专网访问请求并重新进行AAA认证。该认证模式采用无感知认证，可减少重复认证造成的AAA服务器并发处理负载压力。

表1    校园5G专网中各网元具体功能描述

根据访问群体的不同，分为以下两类。第一类，面向无访问区域限制的校园用户群体(即教职工)。一般教职工人员相对固定，使用校园网权限高。有校外学术活动的用户群体，结合全国范围无感知接入专网的需求，配置签约教职工专用节点(DNN-Teacher)，主业务节点为VPDN UPF。教职工用户在全国范围内使用运营商5G网络，通过本地接入或全国漫游的方式访问签约的专用节点(DNN-Teacher)登录VPDN UPF。VPDN UPF依据分流机制，通过判断此用户的访问目标地址进行业务分流，将教师应用通过专线分流至校园内网域；校园内公众业务直接从校园5G核心网内部分流至公网。

第二类，面向访问区域限制的校园用户群体(即在校学生)。由于在校生学业活动较为固定，且假期和毕业后存在较大的流动性，结合人员变动管控、访问区域限制及计费需求，配置签约在校生专用节点(DNN-Student)，主业务节点为UL-CL UPF。该方案组网架构分层，有利于专网的部署与管控。在校生用户使用运营商5G网络，通过签约的专用节点(DNN-Student)访问UL-CL UPF。UL-CL UPF依据分流机制，首先判断该业务请求是否在可访问专网的区域内发起，如在可访问区域内，再根据用户的访问需求进行业务分流，将校园网业务通过专线分流至校园内网域。校园内公众业务需通过VPDN UPF发送至公网；如发起业务请求的位置不属于可访问区域，则所有访问直接通过VPDN UPF发送至公网。

2.4    校园5G专网信息安全保障机制

2.4.1    网络数据安全

使用专用DNN接入，不保留3G公用DNN，确保仅有被授权的用户才会配置专用DNN，能够使用校园5G专网，这在很大程度上杜绝了使用公用DNN带来的安全隐患。

校园5G专网为每个用户配置“一对一”的虚拟IPv4/IPv6，该IP地址池归属学校指定范围，属于学校安全管控权限。根据用户角色可灵活定义IP地址池、角色域、应用资源池等，可对校园5G专网用户的上网行为审查、准入管控、校园应用防护等实现高度灵活、自治管理。

运营商局端与学校内网域使用5G专线互通，不涉及线路混用/公用，极大地保障了业务的安全性与可靠性。运营商局端设有企业标准最高的通信级防火墙，以防专网业务信息外泄。同时，5G VPDN专网支持学校在校园内网接入端增设防火墙，属于可定制性的多层可靠防护网络。

2.4.2    网络信息安全

校园5G专网所签约的师生用户均为实名注册，确保用户是遵循国家通信安全法的合法用户。在此基础上，校园5G专网用户与学校统一身份认证/AAA认证系统对接，通过跨域互联的双重身份校验机制，保障了校园5G专网安全访问的可靠性。

校园5G专网可服务于具有校园身份师生的准入(人网)、各类物联终端(物网)的准入与准出，以5G技术赋能学校开展多样化的智慧应用。在人网的准入端，解决校外师生无法通过公网快捷、便利地访问校内网资源的问题；在物网的准出端，解决校园内分散且多样化的物联终端访问数据中心内网或互联网资源的问题。

3.1    人网典型应用  校园5G专网赋能师生泛在准入

依托校园5G宏站/微站/室分天线，通过通信运营商签约的专属5G号接入校园5G专网。具有校园身份的师生用户需完成运营商5G专网系统以及学校AAA认证系统/统一身份认证系统的双重认证。

校园5G专网系统确保签约师生采用实名制入网，学校AAA认证系统/统一身份认证系统确保访问校内网资源的人员身份经过授权。同时，学校可根据教职工离职及学生毕业等情况，随时关闭上述人员访问校园网资源的权限。具有校园身份的师生申请开通校园5G专网业务后，可在全国范围内通过专属5G号便捷、安全地接入校园5G专网，实现校园内网资源的灵活访问，满足由外至内使用教务系统、电子图书馆、科研系统、财务系统、选课系统、考试系统等随时随地开展移动化学习及办公的需要。

3.2    物网典型应用  校园5G专网助力多类别物联网哑终端安全准入与准出

高校物联网哑终端呈现出类别多、部署分散、多头管理、接线不便、数据安全难以保障等问题，运用5G专网作为承载网，末端接入采用“物联哑终端+5G CPE”、业务传输采用“5G宏站/微站/室分+ UPF/MEC专网”的模式，打通校园物联网“最后一公里”。

借助5G CPE终端，采用L2TP IPsec或PPTP VPN隧道加密方式，建立物联网哑终端与服务端的虚拟VPN隧道，实现数据在虚拟物联网中的安全传输。在物联网哑终端准入管理方面，身份认证系统(服务端)通过特征属性识别技术，根据所接入的哑终端类别分发所对应的业务地址，实现物联网哑终端的授权准入。在物联网哑终端准出管理方面，身份认证系统端(服务端)对已授权接入的哑终端类别定义其准出的访问权限，实现物联网业务的灵活、可控安全管理。

校园5G专网融合校园物联网进行业务传输与管理，有效缓解了以太网或光网作为物联网业务的承载网在分散部署、接入不便、数据安全难以保障等方面的问题。融合身份认证系统(服务端)的精准管理与控制，有效节省了物联专网建设的成本投入与管理能效，实现一张物理5G专网承载多类别物联业务的功能。

以校园移动测温面板终端与数据中心师生健康平台服务器传输通信为例，移动测温面板终端通过装载签约5G SIM卡的5G CPE设备接入数据中心域(校园内网IP访问)，数据通信采用L2TP IPsec的VPN方式与师生健康平台服务器建立连接，实现了校园师生用户体温及身份认证信息的快速便捷、安全可靠通信，其应用实例如图5所示。

 图5    校园移动测温面板终端依托校园5G专网访问师生健康平台服务器

以校园一卡通POS终端与数据中心一卡通服务器传输通信为例，校园一卡通POS终端通过装载签约5G SIM卡的5G CPE设备接入卡务专网(校园内网IP访问)，数据通信采用L2TP VPN的VPN方式与代理服务器建立隧道连接，代理服务器再与一卡通服务器指定端口进行通信，实现了校园卡应用数据访问的安全，其应用实例如图6、图7所示。

图6    5G CPE VPN隧道认证配置

图7    一卡通POS终端依托校园5G专网

访问数据中心一卡通应用平台

通过5G技术全面助力高校加快数字化转型，建设“高速泛在、集成互联、安全可控”的智慧校园，打造安全可靠的5G虚拟校园网，实现多网业务的深度融合，为全校师生提供泛在的网络接入、高速的互联体验、交互式的在线学习环境，形成5G专网在智慧校园相关应用中的推广模式，为推进“5G+智慧校园”的应用落地提供坚实保障。