赵 洋，刘 伟，赵晓红，任天成，王文婷

（1.国网山东省电力公司电力科学研究院，山东 济南 250003；
2.国网山东省电力公司烟台供电公司，山东 烟台 264000）

智能电网建设和数字化转型的推进离不开移动互联、人工智能、无线通信等现代信息通信技术的支撑，以实现电力系统各环节万物互联、人机交互，打造状态全面感知、信息高效处理、应用便捷灵活的新型电力系统。近年来，电力系统出现了以机器人巡检、移动作业、物联网数据采集为代表的新型业务，这些业务总体呈现出大带宽、移动性特点；
同时，大量业务终端的接入出现在配用电侧。随着通信技术的不断更新迭代，电力系统形成了以光传输技术为主，多种有线、无线接入技术为辅的泛在通信网。然而，配用电侧终端通信网恰恰是目前电力通信网的薄弱环节，采用光纤通信等有线通信方式可以提升通信可靠性及安全性，但配用电侧的光纤通信网络部署将带来巨大的投资，且部分地区不具备光缆敷设条件；
另外，对于非固定业务终端，有线接入方式无法满足移动性要求。采用无线通信技术可避免光缆等有线传输介质部署困难、成本高的问题，为非固定业务终端提供便捷的移动接入方式；
然而无线通信介质非完全可管可控，给电力业务终端接入带来了一定的安全隐患。

近年来，无线局域网技术（Wireless Local Area Network，WLAN）应用广泛，且已形成相对统一的技术体系。WLAN 在安全方面有两种技术路线：一种是美国主导的Wi-Fi 安全技术（IEEE 802.11 系列标准），另一种是采用国产密码技术的中国国家标准无线局域网鉴别与保密基础架构（Wireless LAN Authentication and Privacy Infrastructure，WAPI）［1-3］。因Wi-Fi 安全技术自身在技术架构上的重大安全缺陷，不法分子可以轻易地破解Wi-Fi 密码，继而实现盗取行业重要敏感数据、非法侵入网络、实施恶意攻击、植入木马等网络攻击活动，对行业网络基础设施和数据资产构成重大威胁。

WAPI 是我国自主可控的无线局域网安全技术标准［4］。自2016 年国家连续出台了《网络安全法》《密码法》、网络安全等级保护2.0等相关法律法规之后，各重要行业对于安全可控的无线网络需求愈发明确。WAPI 因其产业成熟度高、不增加采购成本、建设配套条件丰富、能对行业的信息通道安全和数据资产安全形成有效保护等优势，受到用户青睐。

可信WLAN 采用WAPI 认证标准，可以为电力终端设备提供安全、可靠的无线接入方式，防止非法接入、非法伪造、非法入侵。相比光纤通信等有线接入技术，可信WLAN 部署受自然环境影响较小，同时可避免有线传输介质部署带来的高额开销。

1.1 WAPI技术标准简介

WAPI是无线局域网中的一种安全传输协议，同时也是中国无线局域网安全强制性标准GB15629.11—2003《无线局域网媒体访问控制和物理层规范》，与IEEE 802.11系列传输协议是同一领域的技术。WAPI由无线局域网鉴别基础结构（WLAN Authentication Infrastructure，WAI）和无线局域网保密基础结构（WLAN Privacy Infrastructure，WPI）两部分组成。其中，WAI 定义了无线局域网中身份鉴别和密钥管理的安全方案；
WPI 定义了无线局域网中数据传输保护的安全方案，包括数据加密、鉴别和重放保护等。WAI 采用基于椭圆曲线的公钥证书体制，移动终端（Mobile Terminal，MT）和接入点（Access Point，AP）通过鉴别服务器（Authentication Server，AS）进行双向身份鉴别；
WPI 采用了国家商用密码管理委员会办公室提供的对称密码算法进行加密和解密，充分保障了数据传输的安全。

主要介绍WAPI标准中的WAI，即身份鉴别和密钥管理。AS 是WAPI 的鉴权服务器，负责证书的颁发、验证与吊销等。移动终端MT 与无线接入点AP上都安装有AS颁发的公钥证书，作为数字身份凭证。当MT登录至AP时，在访问网络之前须通过鉴别服务器AS进行双向身份认证；
经验证持有合法证书的MT才能接入持有合法证书的AP［5-8］。这种双向身份认证机制不仅可以防止非法MT接入AP而访问网络窃取下行的重要信息并占用网络资源，同时还可以防止MT登录至非法AP而造成重要上行信息泄漏。

1.2 WAPI身份认证流程

根据前文描述，WAPI 身份认证过程中MT 和AP均以数字证书作为自己的身份凭证，每个MT 与AP都需要安装AS 颁发的公钥证书。当MT 接入WAPI无线网络或再次关联至WAPI 无线网络时，需要MT和AP 两者身份认证成功，否则解除关联。如图1 所示，WAPI身份认证鉴别流程如下［9-15］。

图1 WAPI身份认证流程

1）鉴别激活。当MT 需要接入WAPI 无线网络或再次关联至WAPI 无线网络时，由AP 发送鉴别激活信息至MT，启动身份认证流程。

2）接入鉴别请求。当MT收到AP发来的鉴别激活信息后，MT 回复接入鉴别请求信息至AP，接入鉴别请求信息包括MT的明文证书以及当前系统时间，当前系统时间为接入鉴别请求时间。

3）证书鉴别请求。在收到MT 发来的接入鉴别请求信息后，AP 记录接入鉴别请求信息中的鉴别请求时间，然后将MT 证书、AP 证书和鉴别请求时间以及利用AP 的私钥对它们签名构成证书鉴别请求信息发往鉴别服务器AS。

4）证书鉴别响应。鉴别服务器AS 接收AP 发来的证书鉴别请求信息后，首先对AP的签名进行验证。当签名验证通过时，AS对证书鉴别请求信息中MT和AP证书的合法性进行验证，验证通过后，AS向AP返回证书鉴别响应信息，包括MT 和AP 的证书、AS 对MT和AP证书的验证结果以及AS对它们的签名，即，AP 和MT 的身份认证结果所含的数据有各自的公钥证书和鉴别结果。当AP签名认证不通过或MT和AP证书的合法性验证不通过时，此次验证失败。

5）接入鉴别响应。AP 接收到证书鉴别响应信息后，首先对AS 的签名进行验证，若验证不合法，则验证失败；
若验证通过，AP 可获得AS 对MT 证书的验证结果，并根据验证结果对MT进行访问控制。同时，AP 需要将证书鉴别响应信息返回至MT，MT 在接收到AP 发来的证书鉴别响应信息后首先对AS 的签名进行验证，若验证通过，可获得证书鉴别响应信息中AP 证书的验证结果，并根据该验证结果决定是否接入该AP。

1.3 WAPI秘钥协商流程

WAPI会话密钥协商是在AS对MT 和AP 身份认证成功的基础上实施的，当MT 和AP 完成双向身份认证，确定MT 即将接入该AP 后，WAPI 协议进入会话秘钥协商流程，其具体的步骤如下［16］。

1）密钥协商请求。MT 发起密钥协商请求，生成一组随机数NMT，并通过身份认证阶段获得的AP 公钥信息对随机数NMT进行加密，最后将密钥协商请求信息，即加密后的密文发送给AP。

2）密钥协商响应。AP 接收到密钥协商请求信息后，使用自己的私钥对请求信息中的密文进行解密，获得MT 生成的随机数NMT；
同时AP 生成随机数NAP，利用MT 公钥信息对随机数NAP进行加密并发送至MT。MT同样利用自己的私钥解密得到NAP。

经过上述流程，MT 和AP 均得到了对方生成的随机数，并将获得的随机数NMT和NAP进行模2 求和运算，将得到的计算结果作为双方的会话秘钥。在无线局域网数据传输的过程中，采用该密钥和双方认同的加密算法对传输数据进行处理。

可信WLAN 的应用可行性分析主要包括通信性能指标、安全性能否满足业务需求以及经济性分析等方面内容。可信WLAN 通信性能指标在第4 节结合试点部署和测试情况进行阐述。本节主要对其安全性和经济性进行分析。

2.1 安全性分析

可信WLAN 的关键技术是WAPI 标准，该标准定义了无线局域网中身份鉴别、密钥管理和数据传输保护的安全方案。

可信WLAN 无线接入基于移动终端MT、无线接入点AP、鉴别服务器AS 三元对等安全架构实现双向身份认证及密钥协商，从安全机制上防止了假冒和钓鱼AP；
采用基于数字证书的方式进行身份鉴别，身份无法伪造，有效防止非法MT 接入，且MT 接入过程中不需要录入账号密码，解决了密码泄露带来的安全风险。可信WLAN 能够支持配置不同的服务集标识（Service Set Identifier，SSID）以区分网络，并支持SSID 广播开启/关闭功能；
支持单播密钥、组播密钥更新，并以受保护方式对私钥数据进行存储；
可配合后台管理系统切断MT 的网络连接、强制MT下线，有效保证空口安全。

同时，可信WLAN 的AP 可与无线接入控制器（Access Point Controller，AC）配合提供接入控制、报文过滤、防拒绝服务（Denial of Service，DOS）攻击、防端口扫描、防非法报文攻击等能力；
可支持基于媒体访问控制（Media Access Control，MAC）即物理地址、IP地址和IP地址段的接入控制，并以白名单、黑名单形式实现；
支持MAC 地址过滤功能。另外，可信WLAN 基于国密SM4 算法对传输数据进行加密以实现安全可信的无线接入。

2.2 经济性分析

可信WLAN 无线接入技术在智能电网中的应用可与家庭或办公场所无线局域网进行类比，两者基本原理相同，都是为一定范围内的移动设备提供无线接入网络。家庭或办公场所无线局域网主要为家庭成员或公司员工以及来访人员的无线终端提供无线接入，包括手机、笔记本电脑、智能家电、办公终端等设备，其上一级接入网为电信运营商提供的家庭宽带接入网或企业专线接入网，承载网、核心网均为运营商网络。智能电网中的末端通信接入网主要服务于电力系统中的各类业务终端，可信WLAN作为末端通信接入网的一种实现形式，为具有移动性特点或有线通信网覆盖困难的业务重点提供无线接入。

目前电力通信网络终端接入网主要采用以太网无源光网络（Ethernet Passive Optical Network，EPON）和电力线载波（Power Line Carrier，PLC）等通信技术，EPON 通信系统的覆盖基于光线路终端（Optical Line Terminal，OLT）、光网络单元（Optical Network Unit，ONU）以及配电网光缆建设，部分地区配电网光缆敷设难度较大，同时面临城市施工、自然灾害、鸟啄鼠咬等外力破坏的隐患，带来了较高的建设和维护成本。PLC 通信技术基于配电线路完成覆盖，虽无额外建设成本，但其维护检修工作须将配电线路停电，运维难度较大；
且一旦发生故障，须结合停电计划方可进行检修，缺乏运维自主可控性。对于变电站内的电力业务终端接入，若采用有线方式，则主要涉及站内网线、裸光纤的部署。相比上述有线通信接入方式，可信WLAN 在主网和配网中的应用均无须依赖光缆、网线等实体介质，降低了敷设成本，同时网络独立运维，不受其他专业限制。

近年来，电力企业为了解决终端接入网部分终端有线接入成本高、难度大的问题，采用了租用电信运营商无线公网等方式，包括4G 公网和5G 电力虚拟专网［17］，在解决终端接入问题的同时也带来了无线通信服务、5G-UPF 等通信资源租赁费用，价格不菲。可信WLAN 基于电力企业自建自管、自主运维，除前期建设成本外，后期运维无需向运营商缴纳通信资源租赁费用，随着运行时间的增长，经济性优势会愈加突出。

国家电网有限公司“十四五”通信网规划中明确指出依托可信WLAN 技术打造智能变电站；
2022 年国网山东省电力公司通信专业工作要点中提出：“本年度要加快可信WLAN 技术推广应用，尤其是基于可信WLAN 承载整县分布式光伏业务，为其提供更加安全、灵活、低成本的接入方式，年内每个市公司至少打造一座示范站”。可信WLAN 无线接入技术的推广应用，也将为电力光通信网络覆盖区域的非固定终端提供更便捷安全的接入［18-20］。

结合前文分析，基于可信WLAN 无线接入技术可实现以相对合理的成本完成对目标区域的无线局域网覆盖，同时具备较高的无线接入安全能力，满足各类终端安全、泛在、灵活、宽带的“最后一公里”无线接入需求。对于电力系统，其典型应用场景主要可概括为以下两类。

一是非固定业务终端，如变电站智能巡检机器人、移动作业终端、作业现场视频监控等。上述设备最明显特点是具有较强移动性，且其运动轨迹不完全固定。例如智能巡检机器人，其路径覆盖整个变电站，必要情况下，还需要对部分区域进行重复巡视；
移动作业终端和作业现场视频监控摄像头均由作业人员自行携带至工作现场，根据作业区域不同，设备部署位置具有较强的不确定性。采用有线接入方式将限制巡检机器人、移动作业终端等设备的部署位置和移动性；
同时，由于变电站本身的设计，现阶段采用的4G 等无线公网接入方式存在较多的无线信号覆盖盲区，对通信性能指标产生不利影响。基于可信WLAN 无线接入AP 部署，实现目标区域全覆盖，可解决设备接入问题。

二是分布式传感装置，如站内温湿度传感器、油色谱监测传感器等。传感装置虽部署位置相对固定，但由于数量多且分布离散，采用网线或光纤等有线通信介质接入综合布线难度大、成本高，线缆容易遭受外力破坏；
且随着使用年限增长，有线介质传输性能劣化，导致数据传输误码率增高，甚至造成部分传感装置离线，此时需对有线介质进行更换，带来了布线成本的二次投入。采用可信WLAN 无线接入方式可节约综合布线成本，分布式传感装置接入更加便捷，同时减少了故障点，提升通信可靠性。

除上述两类变电站内的典型应用场景外，对于光纤专网未覆盖的区域，如输电线路走廊、台区、分布式光伏发电等，采用可信WLAN 也可解决业务终端安全接入问题，但如何实现AP 与电力光纤专网对接，需要进一步研究和论证。

2021年国网山东省电力公司在东营、烟台、济南等地区的部分变电站开展可信WLAN 试点应用，实现变电站内的全站无线覆盖，已完成变电站智能辅控、集中抄表、巡检机器人、油色谱在线监测、蓄电池在线监测、视频监控等业务的可信无线接入。结合220 kV 万华变电站应用试点及网络性能、业务承载测试情况，对可信WLAN 在新型电力系统中的应用可信性及存在问题进行分析。

4.1 可信WLAN组网架构

山东省内可信WLAN 无线接入网络试点建设期间，选取220 kV 万华变电站开展业务应用试点验证工作。通过在站内部署2 套专用交换机、1 套无线接入控制器AC 以及10 套无线接入点AP，完成了万华变电站可信WLAN 网络全站覆盖，包括站内110 kV 及220 kV 生产楼室内、电缆夹层以及变电站户外空间；
其中专用交换机和AC 部署在万华变电站通信机房内，9 套AP 部署在110 kV 及220 kV 生产楼的开关室、主控室、电容器室内以及电缆夹层内，1套AP部署在户外，位于220 kV生产楼楼顶。

万华变电站可信WLAN 拓扑如图2 所示，万华变电站可信WLAN 试点的鉴别服务器AS 部署在东营公司中心机房，站内业务终端经AP、专用交换机、防火墙等设备接入PTN 网络，同时实现AP 与AS 间的身份鉴别数据互通；
部署在站内通信机房的AC 实现对AP的控制与管理。

图2 万华变电站可信WLAN拓扑图

4.2 业务场景应用测试

万华变电站试点部署了三类可信WLAN 无线接入业务终端，包括7 套辅控系统温湿度传感器、1 部调度IP 电话和1 套移动作业终端。经测试，各类业务终端功能均正常。

辅控系统温湿度传感器通过无线通信单元（Customer Premise Equipment，CPE）接入可信WLAN网络，温湿度传感器与CPE 通过RS485 通信接口有线连接，温湿度信号通过CPE 连接无线AP 并经防火墙与辅控系统主站对接，完成数据采集。基于可信WLAN 无线接入技术可以实现温湿度信号的安全传输；
温湿度传感器接入时延测试结果如图3 所示，经现场测试，各温湿度传感器接入时延均低于10 ms，平均接入时延低于5 ms。

图3 温湿度传感器接入时延测试结果

与温湿度传感器相似，调度IP 电话也须通过CPE 接入可信WLAN 网络，话机与CPE 通过RJ45 通信接口有线连接，通话信号通过CPE 连接无线AP 并经专用交换机与调度电话交换网对接。经现场测试，可以完成拨打电话操作，通话质量良好，且接入方式满足安全要求。

现场作业移动终端内置无线通信模组，支持WAPI 协议，通过安装相应的AS 及MT 身份证书、配置私网IP 等信息并完成双向接入认证后，即可成功接入站内可信WLAN 网络，经防火墙与信息内网互联。现场作业移动终端经测试可正常访问内网门户网站，并完成作业现场相关图片资料及测试数据正常上传。

4.3 试点验证问题分析

220 kV 万华变电站业务试点情况表明，可信WLAN 可以解决变电站内业务终端无线接入问题；
但对于电力光纤专网未覆盖的地区，无线AP 数据回传问题仍有待解决。从当前试点应用来看，采用“光纤+高速电力线载波（High-speed Power Line Carrier，HPLC）”或5G技术可以解决AP回传问题，但该技术也受到5G部署、电力线载波通信运维等多种因素限制。

另外，目前可信WLAN 整体网络架构为无线AP通过专用交换机接入电力PTN 传输系统作为承载网。PTN 网络基于物理层统计复用技术，对于网络承载的各类业务无法提供硬隔离能力；
在无线接入侧，可信WLAN 网络基于双向认证仅保证了终端接入安全性，无法实现不同业务的硬隔离，因此目前无法达到承载电网生产控制类业务的要求。随着SPN网络的规模化应用，可将可信WLAN 无线AP 接入SPN 网络，提供硬隔离管道，结合无线侧频率资源划分的研究和应用，最终实现端到端硬隔离切片，从具备承载生产控制类业务条件。

可信WLAN 作为一种宽带、安全的无线接入技术，可以有效弥补配用电侧电力通信网覆盖薄弱问题，提升终端接入通信网可靠性，尤其是光纤专网覆盖区域的无线业务终端接入；
基于移动终端和无线接入点双向认证机制，既提升了无线接入安全性，又保证了无线接入侧的时延、带宽等通信性能指标，通过试点应用论证了该技术的应用可行性。另一方面，在当前组网模式下，可信WLAN 依赖电力光纤专网覆盖，且无法实现多种生产控制和管理信息类电力业务的物理隔离；
因此，如何通过无线接入侧物理资源划分和承载网侧硬管道技术实现可信WLAN 网络端到端硬切片，并解决光纤专网未覆盖区域的可信WLAN部署问题，有待进一步研究。

猜你喜欢有线局域网身份轨道交通车-地通信无线局域网技术应用铁道通信信号(2020年2期)2020-09-21基于VPN的机房局域网远程控制系统电子制作(2019年16期)2019-09-27通信工程中有线传输技术的改进分析通信电源技术(2018年3期)2018-06-26基于802.1Q协议的虚拟局域网技术研究与实现电子制作(2017年17期)2017-12-18跟踪导练（三）（5）时代英语·高二(2017年4期)2017-08-11东方有线点播排行榜电影故事(2017年10期)2017-07-18局域网性能的优化电子制作(2017年8期)2017-06-05身份案（下）红领巾·成长(2016年10期)2017-05-10他们的另一个身份，你知道吗公民与法治(2016年22期)2016-05-17通信工程中有线传输技术的改进研究通信电源技术(2016年4期)2016-04-04