信息化觀察網(wǎng)

企業(yè)專用蜂窩網(wǎng)絡(luò)(即所謂的5G局域網(wǎng))的出現(xiàn)和創(chuàng)新，為企業(yè)提供了一個(gè)重大機(jī)遇，可以提供到目前為止還不可行的新水平的確定性無線服務(wù)。這些私有移動(dòng)網(wǎng)絡(luò)通常由企業(yè)IT部門或內(nèi)部網(wǎng)絡(luò)人員部署、運(yùn)營和管理。

盡管如此，IT人員在引入5G局域網(wǎng)時(shí)可能面臨的最大挑戰(zhàn)之一是，如何處理大量不同的客戶端設(shè)備訪問和驗(yàn)證這種新型企業(yè)移動(dòng)網(wǎng)絡(luò)。對(duì)于企業(yè)IT人員來說，蜂窩網(wǎng)絡(luò)本身就比傳統(tǒng)的無線局域網(wǎng)(WLAN)更安全，而且通過正確的方法，用戶和IT人員都可以更容易地連接到蜂窩網(wǎng)絡(luò)。

但是，了解移動(dòng)設(shè)備管理(MDM)和MDM在專用LTE和5G蜂窩網(wǎng)絡(luò)上的操作的復(fù)雜性和細(xì)微差別，對(duì)于成功部署企業(yè)5G局域網(wǎng)至關(guān)重要。

在部署私有蜂窩基礎(chǔ)設(shè)施時(shí)，企業(yè)IT部門必須首先根據(jù)其業(yè)務(wù)模式和涉及的員工參與方面確定用戶設(shè)備的首選。企業(yè)有可能希望根據(jù)企業(yè)內(nèi)必須管理的用戶群體使用不同類型的設(shè)備。這些通常包括三種主要類型：

◆公司自有業(yè)務(wù)專用設(shè)備：由公司采購，配置，安全，并始終監(jiān)控，以及由企業(yè)維護(hù)和管理。

◆企業(yè)擁有的、個(gè)人使用的設(shè)備：由企業(yè)擁有，預(yù)先配置以維持?jǐn)?shù)據(jù)安全要求，并對(duì)特定類型的訪問進(jìn)行監(jiān)管。

◆預(yù)先批準(zhǔn)的移動(dòng)設(shè)備，用戶可以從中選擇。取決于企業(yè)政策，并配置安全協(xié)議和商業(yè)應(yīng)用，由公司和用戶共同負(fù)責(zé)。

權(quán)衡利弊

企業(yè)需要通過權(quán)衡其中的利弊來做出適當(dāng)?shù)倪x擇。應(yīng)始終考慮企業(yè)的安全需求和產(chǎn)生的成本與員工滿意度、設(shè)備控制的靈活性和生產(chǎn)力之間的權(quán)衡?？赡苄枰鶕?jù)所涉及的員工和企業(yè)類型做出一些妥協(xié)。

要使企業(yè)園區(qū)連接到新的專用蜂窩網(wǎng)絡(luò)，IT部門需要對(duì)設(shè)備進(jìn)行規(guī)劃，以支持和管理其訪問和安全姿態(tài)。這些選擇將決定企業(yè)IT對(duì)設(shè)備的控制程度，以及支持設(shè)備的成本。

為確保與現(xiàn)有IT基礎(chǔ)設(shè)施無縫銜接，這些新的專用流動(dòng)網(wǎng)絡(luò)的安裝和管理應(yīng)理想地模仿Wi-Fi的部署便捷性，同時(shí)保留蜂窩3GPP網(wǎng)絡(luò)的功能和操作。但說起來容易做起來難。

與蜂窩網(wǎng)絡(luò)的區(qū)別

與傳統(tǒng)的WLAN相比，蜂窩網(wǎng)絡(luò)的設(shè)備訪問和認(rèn)證功能有所不同。在蜂窩網(wǎng)絡(luò)世界中，強(qiáng)大的安全性被內(nèi)置到網(wǎng)絡(luò)中，媒體訪問由基礎(chǔ)設(shè)施安排和完全控制。用戶不需要做任何事情，就像使用你的個(gè)人手機(jī)一樣。這對(duì)企業(yè)的IT團(tuán)隊(duì)是非常有吸引力的。

在蜂窩網(wǎng)絡(luò)中，對(duì)網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證的是設(shè)備，而不是用戶。這給企業(yè)IT人員帶來了新的好處，也帶來了新的挑戰(zhàn)，他們必須管理各種不同類型的用戶設(shè)備(UE)訪問網(wǎng)絡(luò)。

用戶名和密碼憑證以及證書通常被用來訪問和驗(yàn)證企業(yè)的無線局域網(wǎng)。但在蜂窩網(wǎng)絡(luò)中，這些方法實(shí)際上被一個(gè)物理或電子的用戶身份模塊(SIM)所取代。

在與蜂窩網(wǎng)絡(luò)連接的設(shè)備中，SIM包含訪問特定移動(dòng)網(wǎng)絡(luò)服務(wù)所需的憑證或訂閱。憑證可以在UE中配置的SIM或嵌入式SIM(eSIM)中定義。

SIM和eSIM需要作為獨(dú)立的配置文件進(jìn)行特定的格式化，即使它們包含相同的信息。憑證本身可以被放入物理SIM卡(可移動(dòng))或嵌入式SIM卡(不可移動(dòng))。每個(gè)物理SIM和eSIM模塊都可以支持一個(gè)或多個(gè)訂閱。

SIM鎖，也被稱為網(wǎng)絡(luò)、運(yùn)營商或補(bǔ)貼鎖，是許多移動(dòng)設(shè)備中內(nèi)置的技術(shù)限制。這些主要是由服務(wù)提供商用來限制手機(jī)在特定國家或網(wǎng)絡(luò)的使用。手機(jī)可以被鎖定，只接受帶有某些可能被限制的國際移動(dòng)用戶身份(IMSI)的SIM卡。

獲得解鎖

沒有被鎖定的手機(jī)被稱為無SIM卡或解鎖的手機(jī)，不施加任何SIM卡限制。解鎖手機(jī)是一種不與某個(gè)特定運(yùn)營商綁定的設(shè)備。一旦用戶與運(yùn)營商的合同到期，用戶可以要求運(yùn)營商對(duì)手機(jī)進(jìn)行解鎖。解鎖的智能設(shè)備也可以不加鎖地購買。

解鎖設(shè)備提供了很大的靈活性，因?yàn)樗鼈冊(cè)试S在設(shè)備上添加一個(gè)或多個(gè)企業(yè)憑證。使用這種設(shè)備與企業(yè)網(wǎng)絡(luò)漫游時(shí)，支持雙SIM卡配置，一個(gè)用于移動(dòng)網(wǎng)絡(luò)運(yùn)營商(MNO)，另一個(gè)用于企業(yè)網(wǎng)絡(luò)。

如果設(shè)備需要支持企業(yè)憑證，即使設(shè)備中支持MNO憑證，也必須處于解鎖狀態(tài)。

與任何蜂窩式3GPP網(wǎng)絡(luò)一樣，移動(dòng)設(shè)備需要特定的標(biāo)識(shí)符來找到、關(guān)聯(lián)到企業(yè)網(wǎng)絡(luò)并進(jìn)行認(rèn)證。由于企業(yè)的部署通常是物理上的限制或本地性質(zhì)的，所以使用共同的標(biāo)識(shí)符，標(biāo)識(shí)符的地址空間在不同的實(shí)體之間共享。

每個(gè)物理SIM卡和嵌入式SIM卡模塊都可以支持一個(gè)或多個(gè)憑證。根據(jù)GSMA的規(guī)范，為了支持雙卡操作，其中一個(gè)SIM卡憑證必須在物理SIM卡插槽中，另一個(gè)是嵌入式SIM卡。基本上，兩個(gè)憑證都不能來自物理SIM卡或嵌入式SIM卡。然而，每個(gè)物理或嵌入式SIM卡可以承載多個(gè)憑證，每次最多有一個(gè)憑證處于活動(dòng)狀態(tài)。

從UE設(shè)備能力的角度來看，額外的憑證可以被添加到嵌入式SIM卡中。物理SIM卡不能被更新以添加更新的憑證。UE可以支持在物理SIM卡內(nèi)已經(jīng)提供的憑證之間進(jìn)行切換。

鑒于UE需要潛在地支持設(shè)備上的多個(gè)企業(yè)憑證并支持動(dòng)態(tài)地添加它們，將企業(yè)憑證托管為嵌入式SIM卡似乎最適合像手持移動(dòng)設(shè)備這樣的設(shè)備。如果靜態(tài)配置足夠，可以支持帶有企業(yè)憑證的物理SIM，如部署在校園里的安全攝像頭。

蜂窩網(wǎng)絡(luò)的訂閱和訪問由企業(yè)IT部門管理。在私人企業(yè)5G局域網(wǎng)上運(yùn)行的移動(dòng)設(shè)備

在私人企業(yè)5G局域網(wǎng)上運(yùn)行的移動(dòng)設(shè)備通常被識(shí)別、配置，并發(fā)放給用戶。

自動(dòng)化是關(guān)鍵

對(duì)大多數(shù)企業(yè)來說，最大的挑戰(zhàn)將是如何有效地簡(jiǎn)化或自動(dòng)化這一入職或客戶啟動(dòng)過程。顯然，對(duì)IT人員來說，部署成百上千張物理SIM卡是一項(xiàng)艱巨的任務(wù)。但這并不是必須的。事實(shí)上，這可以轉(zhuǎn)化為IT人員的一個(gè)巨大的積極因素。

解決這一難題的方法之一是使用QR(快速響應(yīng))代碼，可以很容易地分發(fā)給用戶掃描。二維碼包含特定的eSIM憑證，將eSIM配置文件拉到設(shè)備上。二維碼可以分發(fā)給用戶，他們可以掃描代碼并為其設(shè)備自行安裝所需的配置文件。

第二種方法是將UE發(fā)送到一個(gè)特定的SIM配置平臺(tái)，該平臺(tái)將預(yù)先定義的憑證推送到設(shè)備上。在這種MDM模式中，設(shè)備被提供SM-DP+(訂閱管理器數(shù)據(jù)準(zhǔn)備)服務(wù)器地址，以達(dá)到。分配給UE的eSIM憑證在該服務(wù)器中與設(shè)備的EID(電子識(shí)別)配對(duì)。

然后，SIM配置平臺(tái)在設(shè)備訪問服務(wù)器時(shí)推送預(yù)先分配給設(shè)備的憑證。

UE可以被設(shè)置為直接到達(dá)訂閱管理器數(shù)據(jù)準(zhǔn)備平臺(tái)(SM-DP+)。這是一個(gè)eSIM管理服務(wù)器，設(shè)備可以安全地下載它存儲(chǔ)在eUICC上的必要的eSIM配置文件。

有了這樣簡(jiǎn)單的技術(shù)，企業(yè)IT人員終于可以更容易地實(shí)現(xiàn)移動(dòng)設(shè)備的自動(dòng)啟動(dòng)。通過有效地消除任何手動(dòng)用戶干預(yù)，IT人員可以順利過渡到新的5G局域網(wǎng)，以支持傳統(tǒng)企業(yè)無線網(wǎng)絡(luò)無法支持的用例和設(shè)備--同時(shí)從根本上改善網(wǎng)絡(luò)用戶的安全和體驗(yàn)。