● 物理隔离： 5G双域专网通过物理隔离将企业的私有网络与公共网络分开。这可以通过使用专用的网络设备、虚拟化技术或者逻辑隔离来实现。物理隔离确保了企业数据和通信流量在传输过程中不会受到外部网络的干扰或窥探，从而增强了网络的安全性。
● 网络切片： 通过网络切片将网络资源划分为多个独立的逻辑网络实例。每个实例可以根据不同的业务需求进行定制化配置，称为网络切片。在5G双域专网中，网络切片用于为不同的企业业务提供定制化的网络服务，这意味着可以根据不同的业务需求和安全策略，为每个网络切片分配独立的资源，并对其进行隔离和管理。
● 数据分流： 通过上行分流器（即ULCL UPF）实现根据用户业务流特征将访问区域内业务的数据分流到区域内，将访问互联网数据分流到公网，从而实现对用户业务数据的分流控制。ULCL UPF是对上行业务数据分流和对下行数据聚合的一个处理节点。
● 通信加密： 5G双域专网采用强大的加密算法对通信数据进行加密处理。这包括对数据传输过程中的每个数据包进行加密，并且仅允许有权用户或设备解密数据。即使在数据传输过程中遭到窃听或篡改，加密通信也确保了数据内容的机密性和完整性。

典型业务需求

1、随时随地接入内网  政企用户随时随地可以高速接入政企内网，并且需要简化接入操作。 
2、不换卡不换号  政企用户“一机一卡一号” 多用，个人普通终端既可以数据不出公网访问政企内网资源，也可正常访问互联 网业务，互不影响。针对用户群体不同，又可分为以下三种典型需求： 
● 局域5G接入： 终端在某个特定区域范围内或城市范围内（签约地），通过接入5G网络，可同时访问  政企内网和互联网业务。  ● 4G接入： 终端在没有5G网络覆盖的区域，通过接入4G网络，可以按需访问政企内网。  ● 漫游接入： 终端在漫游至外地（非签约地），可以按需访问政企内网。 
3、数据安全可靠  政企用户访问政企内网需要保障用户接入和业务数据安全性。政企单位可自主管控，进行安全审计，提高信息  安全。以校园为例，校园图书馆提供期刊杂志等各类数字资源访问，包括校园内、校园外访问。 
4、流量独立计费  政企用户访问政企内网业务的流量，可以单独进行费用结算，不按照互联网流量费用进行付费。

行业业务场景

教育

以往大家所熟悉的校园网，往往受制于校园物理围墙，一旦离开校门，学校师生便需要安装VPN软件来访问校园网内的系统和资源。但是，VPN方式的数据流量往往需要绕行互联网，然后再通过校园内的教育网网关接入校园内网，导致高峰期网络拥塞严重，无法实现随时随地的访问。这对于承载着日益多元化智慧教育应用的校园网来说，是一个挑战。为了解决这一问题，5G双域快网成为了助力校园加速数字化转型的利器。借助5G双域快网，师生可以在不更换SIM卡、不更换号码的情况下，轻松地同时访问互联网和校园内网。此外，5G双域快网还支持校内、全市、全省以及全国范围的广域接入，满足了用户个性化接入需求。这一创新的网络技术，将为校园网的发展带来更加便捷、高效、安全的访问体验，为智慧教育的推进提供了强大的支持。

政务

当前有线政务网存在末端覆盖瓶颈，建设周期长、投资维护成本高、灵活性差，且不能实现移动接入且传统的Wi-Fi和4G网络已无法满足智慧政务业务承载的需求。基层政务服务人员为了办理不同业务，需要通过登录不同的VPN，访问省、市、区等多级业务系统，这显著降低了服务效率。5G双域快网以其安全、高效的特性，加速了政务服务智慧化发展。公务人员个人终端“不换卡、不换号”，实现了同时访问互联网和政务外网，支持远程办公、高清视频会议、移动办公、公文流转、政务服务、智慧防疫等功能。

医疗

随着医疗行业融合更多传感技术和人工智能，智慧医院系统已经实现了对病人监测、检查、诊疗信息以及行政管理信息的收集、存储、处理、提取和数据交换，从而使医疗服务朝着真正意义上的智能化发展。在医院内部，移动护理、移动查房、以及各种5G机器人服务（如巡逻、物流和消毒）等业务场景都对大带宽、低时延和强大的移动性提出了需求，因此需要实现本地数据的卸载和处理。而对于院外急诊救治等业务场景，则要求更高的带宽、更低的时延、更高的安全性和保障性，以实现院前和院内信息的实时同步，并通过5G大带宽的4K视频进行远程会诊和指导。此外，远程阅片、诊断、操控和示教等院间业务场景也要求广域接入、低时延和高速率，需要安全地接入医院内网，以确保数据的快速、安全和稳定传输。通过5G双域快网技术，院内设备、院前急救救护车、流动体检车以及远程医疗设备等可以安全地接入医院内网，实时回传数据并获取医院内网数据。医护人员个人终端也可以同时访问互联网和医院内网，以便更便捷地处理各项业务工作。

5G双域专网和零信任的结合

零信任模型是一种基于“不信任，而不是信任”的网络安全理念。它假设网络内部和外部都可能存在攻击者，并将每个用户和设备都视为潜在的安全威胁。在零信任模型中，访问请求需要经过严格的身份验证和访问控制，即使是内部用户也需要进行持续的验证和授权，以保证网络安全。而5G双域专网是一种基于5G技术构建的企业网络架构，将5G双域专网和零信任模型进行融合，不仅可以保证高性能网络的能力，又能对用户进行的身份和行为进行持续的校验，可以带来更加全面和强大的网络安全保障。

▍零信任对于身份安全的统一管理
多因素身份验证 (MFA)：实施多种身份验证因素，如密码、生物特征、硬件令牌等，以确保用户身份的真实性。
单点登录 (SSO)：允许用户一次登录后即可访问多个相关系统，简化用户体验的同时，确保安全性和访问控制。
细粒度的访问控制：基于用户的身份、角色、位置等因素，对用户的访问进行细致的控制，确保用户只能访问其合法权限范围内的资源。
动态访问策略：根据实时的风险评估和上下文信息，动态调整访问策略和权限，以应对不断变化的威胁和环境。
集中式身份管理：集中管理用户身份信息和凭证，确保一致性和安全性，并提供统一的身份认证和鉴权服务。
强化的认证机制：支持现代化的认证机制，如OAuth、OpenID Connect等，以提供更高级别的安全性和便利性。
智能风险评估：基于机器学习和行为分析技术，实时评估用户的风险水平，并采取相应的措施，以防止未经授权的访问。
强化的密码管理：提供密码策略管理、密码复杂度检查、密码安全存储等功能，以确保密码的安全性和合规性。

▍访问流程：

通过连入手机热点的方式将各PC都接入到双域专网中，零信任客户端可以识别到热点流量并开启零信任认证流程，只有终端环境和身份验证通过的PC才能够被引流到相对应的隧道进行业务访问，当出现安全事件时也能基于不同客户端进行溯源，精确到每个用户的相关日志信息。

总结

5G双域专网与零信任架构的结合为企业安全通信带来了巨大的突破和保障。在这个数字化时代，网络安全已成为企业不可或缺的重要环节。通过将高速、低时延的5G网络与零信任的安全理念相融合，企业可以实现对通信的全方位保护，从而确保敏感数据的安全传输，有效应对各种网络威胁和风险。
注：部分内容参考自《中国电信5G双域快网业务白皮书》

https://mp.weixin.qq.com/s/CK5nvANc0Z7O2SAUNr14KA