可信WLAN無線接入技術在新型電力系統中的應用分析

趙 洋，劉 偉，趙曉紅，任天成，王文婷

（1.國網山東省電力公司電力科學研究院，山東 濟南 250003；2.國網山東省電力公司煙臺供電公司，山東 煙臺 264000）

0 引言

智能電網建設和數字化轉型的推進離不開移動互聯、人工智能、無線通信等現代信息通信技術的支撐，以實現電力系統各環節萬物互聯、人機交互，打造狀態全面感知、信息高效處理、應用便捷靈活的新型電力系統。近年來，電力系統出現了以機器人巡檢、移動作業、物聯網數據采集為代表的新型業務，這些業務總體呈現出大帶寬、移動性特點；同時，大量業務終端的接入出現在配用電側。隨著通信技術的不斷更新迭代，電力系統形成了以光傳輸技術為主，多種有線、無線接入技術為輔的泛在通信網。然而，配用電側終端通信網恰恰是目前電力通信網的薄弱環節，采用光纖通信等有線通信方式可以提升通信可靠性及安全性，但配用電側的光纖通信網絡部署將帶來巨大的投資，且部分地區不具備光纜敷設條件；另外，對于非固定業務終端，有線接入方式無法滿足移動性要求。采用無線通信技術可避免光纜等有線傳輸介質部署困難、成本高的問題，為非固定業務終端提供便捷的移動接入方式；然而無線通信介質非完全可管可控，給電力業務終端接入帶來了一定的安全隱患。

近年來，無線局域網技術（Wireless Local Area Network，WLAN）應用廣泛，且已形成相對統一的技術體系。WLAN 在安全方面有兩種技術路線：一種是美國主導的Wi-Fi 安全技術（IEEE 802.11 系列標準），另一種是采用國產密碼技術的中國國家標準無線局域網鑒別與保密基礎架構（Wireless LAN Authentication and Privacy Infrastructure，WAPI）［1-3］。因Wi-Fi 安全技術自身在技術架構上的重大安全缺陷，不法分子可以輕易地破解Wi-Fi 密碼，繼而實現盜取行業重要敏感數據、非法侵入網絡、實施惡意攻擊、植入木馬等網絡攻擊活動，對行業網絡基礎設施和數據資產構成重大威脅。

WAPI 是我國自主可控的無線局域網安全技術標準［4］。自2016 年國家連續出臺了《網絡安全法》《密碼法》、網絡安全等級保護2.0等相關法律法規之后，各重要行業對于安全可控的無線網絡需求愈發明確。WAPI 因其產業成熟度高、不增加采購成本、建設配套條件豐富、能對行業的信息通道安全和數據資產安全形成有效保護等優勢，受到用戶青睞。

1 可信WLAN關鍵技術概述

可信WLAN 采用WAPI 認證標準，可以為電力終端設備提供安全、可靠的無線接入方式，防止非法接入、非法偽造、非法入侵。相比光纖通信等有線接入技術，可信WLAN 部署受自然環境影響較小，同時可避免有線傳輸介質部署帶來的高額開銷。

1.1 WAPI技術標準簡介

WAPI是無線局域網中的一種安全傳輸協議，同時也是中國無線局域網安全強制性標準GB15629.11—2003《無線局域網媒體訪問控制和物理層規范》，與IEEE 802.11系列傳輸協議是同一領域的技術。WAPI由無線局域網鑒別基礎結構（WLAN Authentication Infrastructure，WAI）和無線局域網保密基礎結構（WLAN Privacy Infrastructure，WPI）兩部分組成。其中，WAI 定義了無線局域網中身份鑒別和密鑰管理的安全方案；WPI 定義了無線局域網中數據傳輸保護的安全方案，包括數據加密、鑒別和重放保護等。WAI 采用基于橢圓曲線的公鑰證書體制，移動終端（Mobile Terminal，MT）和接入點（Access Point，AP）通過鑒別服務器（Authentication Server，AS）進行雙向身份鑒別；WPI 采用了國家商用密碼管理委員會辦公室提供的對稱密碼算法進行加密和解密，充分保障了數據傳輸的安全。

主要介紹WAPI標準中的WAI，即身份鑒別和密鑰管理。AS 是WAPI 的鑒權服務器，負責證書的頒發、驗證與吊銷等。移動終端MT 與無線接入點AP上都安裝有AS頒發的公鑰證書，作為數字身份憑證。當MT登錄至AP時，在訪問網絡之前須通過鑒別服務器AS進行雙向身份認證；經驗證持有合法證書的MT才能接入持有合法證書的AP［5-8］。這種雙向身份認證機制不僅可以防止非法MT接入AP而訪問網絡竊取下行的重要信息并占用網絡資源，同時還可以防止MT登錄至非法AP而造成重要上行信息泄漏。

1.2 WAPI身份認證流程

根據前文描述，WAPI 身份認證過程中MT 和AP均以數字證書作為自己的身份憑證，每個MT 與AP都需要安裝AS 頒發的公鑰證書。當MT 接入WAPI無線網絡或再次關聯至WAPI 無線網絡時，需要MT和AP 兩者身份認證成功，否則解除關聯。如圖1 所示，WAPI身份認證鑒別流程如下［9-15］。

圖1 WAPI身份認證流程

1）鑒別激活。當MT 需要接入WAPI 無線網絡或再次關聯至WAPI 無線網絡時，由AP 發送鑒別激活信息至MT，啟動身份認證流程。

2）接入鑒別請求。當MT收到AP發來的鑒別激活信息后，MT 回復接入鑒別請求信息至AP，接入鑒別請求信息包括MT的明文證書以及當前系統時間，當前系統時間為接入鑒別請求時間。

3）證書鑒別請求。在收到MT 發來的接入鑒別請求信息后，AP 記錄接入鑒別請求信息中的鑒別請求時間，然后將MT 證書、AP 證書和鑒別請求時間以及利用AP 的私鑰對它們簽名構成證書鑒別請求信息發往鑒別服務器AS。

4）證書鑒別響應。鑒別服務器AS 接收AP 發來的證書鑒別請求信息后，首先對AP的簽名進行驗證。當簽名驗證通過時，AS對證書鑒別請求信息中MT和AP證書的合法性進行驗證，驗證通過后，AS向AP返回證書鑒別響應信息，包括MT 和AP 的證書、AS 對MT和AP證書的驗證結果以及AS對它們的簽名，即，AP 和MT 的身份認證結果所含的數據有各自的公鑰證書和鑒別結果。當AP簽名認證不通過或MT和AP證書的合法性驗證不通過時，此次驗證失敗。

5）接入鑒別響應。AP 接收到證書鑒別響應信息后，首先對AS 的簽名進行驗證，若驗證不合法，則驗證失??；若驗證通過，AP 可獲得AS 對MT 證書的驗證結果，并根據驗證結果對MT進行訪問控制。同時，AP 需要將證書鑒別響應信息返回至MT，MT 在接收到AP 發來的證書鑒別響應信息后首先對AS 的簽名進行驗證，若驗證通過，可獲得證書鑒別響應信息中AP 證書的驗證結果，并根據該驗證結果決定是否接入該AP。

1.3 WAPI秘鑰協商流程

WAPI會話密鑰協商是在AS對MT 和AP 身份認證成功的基礎上實施的，當MT 和AP 完成雙向身份認證，確定MT 即將接入該AP 后，WAPI 協議進入會話秘鑰協商流程，其具體的步驟如下［16］。

1）密鑰協商請求。MT 發起密鑰協商請求，生成一組隨機數NMT，并通過身份認證階段獲得的AP 公鑰信息對隨機數NMT進行加密，最后將密鑰協商請求信息，即加密后的密文發送給AP。

2）密鑰協商響應。AP 接收到密鑰協商請求信息后，使用自己的私鑰對請求信息中的密文進行解密，獲得MT 生成的隨機數NMT；同時AP 生成隨機數NAP，利用MT 公鑰信息對隨機數NAP進行加密并發送至MT。MT同樣利用自己的私鑰解密得到NAP。

經過上述流程，MT 和AP 均得到了對方生成的隨機數，并將獲得的隨機數NMT和NAP進行模2 求和運算，將得到的計算結果作為雙方的會話秘鑰。在無線局域網數據傳輸的過程中，采用該密鑰和雙方認同的加密算法對傳輸數據進行處理。

2 可信WLAN應用可行性分析

可信WLAN 的應用可行性分析主要包括通信性能指標、安全性能否滿足業務需求以及經濟性分析等方面內容?？尚臰LAN 通信性能指標在第4 節結合試點部署和測試情況進行闡述。本節主要對其安全性和經濟性進行分析。

2.1 安全性分析

可信WLAN 的關鍵技術是WAPI 標準，該標準定義了無線局域網中身份鑒別、密鑰管理和數據傳輸保護的安全方案。

可信WLAN 無線接入基于移動終端MT、無線接入點AP、鑒別服務器AS 三元對等安全架構實現雙向身份認證及密鑰協商，從安全機制上防止了假冒和釣魚AP；采用基于數字證書的方式進行身份鑒別，身份無法偽造，有效防止非法MT 接入，且MT 接入過程中不需要錄入賬號密碼，解決了密碼泄露帶來的安全風險。可信WLAN 能夠支持配置不同的服務集標識（Service Set Identifier，SSID）以區分網絡，并支持SSID 廣播開啟/關閉功能；支持單播密鑰、組播密鑰更新，并以受保護方式對私鑰數據進行存儲；可配合后臺管理系統切斷MT 的網絡連接、強制MT下線，有效保證空口安全。

同時，可信WLAN 的AP 可與無線接入控制器（Access Point Controller，AC）配合提供接入控制、報文過濾、防拒絕服務（Denial of Service，DOS）攻擊、防端口掃描、防非法報文攻擊等能力；可支持基于媒體訪問控制（Media Access Control，MAC）即物理地址、IP地址和IP地址段的接入控制，并以白名單、黑名單形式實現；支持MAC 地址過濾功能。另外，可信WLAN 基于國密SM4 算法對傳輸數據進行加密以實現安全可信的無線接入。

2.2 經濟性分析

可信WLAN 無線接入技術在智能電網中的應用可與家庭或辦公場所無線局域網進行類比，兩者基本原理相同，都是為一定范圍內的移動設備提供無線接入網絡。家庭或辦公場所無線局域網主要為家庭成員或公司員工以及來訪人員的無線終端提供無線接入，包括手機、筆記本電腦、智能家電、辦公終端等設備，其上一級接入網為電信運營商提供的家庭寬帶接入網或企業專線接入網，承載網、核心網均為運營商網絡。智能電網中的末端通信接入網主要服務于電力系統中的各類業務終端，可信WLAN作為末端通信接入網的一種實現形式，為具有移動性特點或有線通信網覆蓋困難的業務重點提供無線接入。

目前電力通信網絡終端接入網主要采用以太網無源光網絡（Ethernet Passive Optical Network，EPON）和電力線載波（Power Line Carrier，PLC）等通信技術，EPON 通信系統的覆蓋基于光線路終端（Optical Line Terminal，OLT）、光網絡單元（Optical Network Unit，ONU）以及配電網光纜建設，部分地區配電網光纜敷設難度較大，同時面臨城市施工、自然災害、鳥啄鼠咬等外力破壞的隱患，帶來了較高的建設和維護成本。PLC 通信技術基于配電線路完成覆蓋，雖無額外建設成本，但其維護檢修工作須將配電線路停電，運維難度較大；且一旦發生故障，須結合停電計劃方可進行檢修，缺乏運維自主可控性。對于變電站內的電力業務終端接入，若采用有線方式，則主要涉及站內網線、裸光纖的部署。相比上述有線通信接入方式，可信WLAN 在主網和配網中的應用均無須依賴光纜、網線等實體介質，降低了敷設成本，同時網絡獨立運維，不受其他專業限制。

近年來，電力企業為了解決終端接入網部分終端有線接入成本高、難度大的問題，采用了租用電信運營商無線公網等方式，包括4G 公網和5G 電力虛擬專網［17］，在解決終端接入問題的同時也帶來了無線通信服務、5G-UPF 等通信資源租賃費用，價格不菲?？尚臰LAN 基于電力企業自建自管、自主運維，除前期建設成本外，后期運維無需向運營商繳納通信資源租賃費用，隨著運行時間的增長，經濟性優勢會愈加突出。

3 可信WLAN應用場景分析

國家電網有限公司“十四五”通信網規劃中明確指出依托可信WLAN 技術打造智能變電站；2022 年國網山東省電力公司通信專業工作要點中提出：“本年度要加快可信WLAN 技術推廣應用，尤其是基于可信WLAN 承載整縣分布式光伏業務，為其提供更加安全、靈活、低成本的接入方式，年內每個市公司至少打造一座示范站”。可信WLAN 無線接入技術的推廣應用，也將為電力光通信網絡覆蓋區域的非固定終端提供更便捷安全的接入［18-20］。

結合前文分析，基于可信WLAN 無線接入技術可實現以相對合理的成本完成對目標區域的無線局域網覆蓋，同時具備較高的無線接入安全能力，滿足各類終端安全、泛在、靈活、寬帶的“最后一公里”無線接入需求。對于電力系統，其典型應用場景主要可概括為以下兩類。

一是非固定業務終端，如變電站智能巡檢機器人、移動作業終端、作業現場視頻監控等。上述設備最明顯特點是具有較強移動性，且其運動軌跡不完全固定。例如智能巡檢機器人，其路徑覆蓋整個變電站，必要情況下，還需要對部分區域進行重復巡視；移動作業終端和作業現場視頻監控攝像頭均由作業人員自行攜帶至工作現場，根據作業區域不同，設備部署位置具有較強的不確定性。采用有線接入方式將限制巡檢機器人、移動作業終端等設備的部署位置和移動性；同時，由于變電站本身的設計，現階段采用的4G 等無線公網接入方式存在較多的無線信號覆蓋盲區，對通信性能指標產生不利影響?；诳尚臰LAN 無線接入AP 部署，實現目標區域全覆蓋，可解決設備接入問題。

二是分布式傳感裝置，如站內溫濕度傳感器、油色譜監測傳感器等。傳感裝置雖部署位置相對固定，但由于數量多且分布離散，采用網線或光纖等有線通信介質接入綜合布線難度大、成本高，線纜容易遭受外力破壞；且隨著使用年限增長，有線介質傳輸性能劣化，導致數據傳輸誤碼率增高，甚至造成部分傳感裝置離線，此時需對有線介質進行更換，帶來了布線成本的二次投入。采用可信WLAN 無線接入方式可節約綜合布線成本，分布式傳感裝置接入更加便捷，同時減少了故障點，提升通信可靠性。

除上述兩類變電站內的典型應用場景外，對于光纖專網未覆蓋的區域，如輸電線路走廊、臺區、分布式光伏發電等，采用可信WLAN 也可解決業務終端安全接入問題，但如何實現AP 與電力光纖專網對接，需要進一步研究和論證。

4 可信WLAN試點建設分析

2021年國網山東省電力公司在東營、煙臺、濟南等地區的部分變電站開展可信WLAN 試點應用，實現變電站內的全站無線覆蓋，已完成變電站智能輔控、集中抄表、巡檢機器人、油色譜在線監測、蓄電池在線監測、視頻監控等業務的可信無線接入。結合220 kV 萬華變電站應用試點及網絡性能、業務承載測試情況，對可信WLAN 在新型電力系統中的應用可信性及存在問題進行分析。

4.1 可信WLAN組網架構

山東省內可信WLAN 無線接入網絡試點建設期間，選取220 kV 萬華變電站開展業務應用試點驗證工作。通過在站內部署2 套專用交換機、1 套無線接入控制器AC 以及10 套無線接入點AP，完成了萬華變電站可信WLAN 網絡全站覆蓋，包括站內110 kV 及220 kV 生產樓室內、電纜夾層以及變電站戶外空間；其中專用交換機和AC 部署在萬華變電站通信機房內，9 套AP 部署在110 kV 及220 kV 生產樓的開關室、主控室、電容器室內以及電纜夾層內，1套AP部署在戶外，位于220 kV生產樓樓頂。

萬華變電站可信WLAN 拓撲如圖2 所示，萬華變電站可信WLAN 試點的鑒別服務器AS 部署在東營公司中心機房，站內業務終端經AP、專用交換機、防火墻等設備接入PTN 網絡，同時實現AP 與AS 間的身份鑒別數據互通；部署在站內通信機房的AC 實現對AP的控制與管理。

圖2 萬華變電站可信WLAN拓撲圖

4.2 業務場景應用測試

萬華變電站試點部署了三類可信WLAN 無線接入業務終端，包括7 套輔控系統溫濕度傳感器、1 部調度IP 電話和1 套移動作業終端。經測試，各類業務終端功能均正常。

輔控系統溫濕度傳感器通過無線通信單元（Customer Premise Equipment，CPE）接入可信WLAN網絡，溫濕度傳感器與CPE 通過RS485 通信接口有線連接，溫濕度信號通過CPE 連接無線AP 并經防火墻與輔控系統主站對接，完成數據采集?；诳尚臰LAN 無線接入技術可以實現溫濕度信號的安全傳輸；溫濕度傳感器接入時延測試結果如圖3 所示，經現場測試，各溫濕度傳感器接入時延均低于10 ms，平均接入時延低于5 ms。

圖3 溫濕度傳感器接入時延測試結果

與溫濕度傳感器相似，調度IP 電話也須通過CPE 接入可信WLAN 網絡，話機與CPE 通過RJ45 通信接口有線連接，通話信號通過CPE 連接無線AP 并經專用交換機與調度電話交換網對接。經現場測試，可以完成撥打電話操作，通話質量良好，且接入方式滿足安全要求。

現場作業移動終端內置無線通信模組，支持WAPI 協議，通過安裝相應的AS 及MT 身份證書、配置私網IP 等信息并完成雙向接入認證后，即可成功接入站內可信WLAN 網絡，經防火墻與信息內網互聯?，F場作業移動終端經測試可正常訪問內網門戶網站，并完成作業現場相關圖片資料及測試數據正常上傳。

4.3 試點驗證問題分析

220 kV 萬華變電站業務試點情況表明，可信WLAN 可以解決變電站內業務終端無線接入問題；但對于電力光纖專網未覆蓋的地區，無線AP 數據回傳問題仍有待解決。從當前試點應用來看，采用“光纖+高速電力線載波（High-speed Power Line Carrier，HPLC）”或5G技術可以解決AP回傳問題，但該技術也受到5G部署、電力線載波通信運維等多種因素限制。

另外，目前可信WLAN 整體網絡架構為無線AP通過專用交換機接入電力PTN 傳輸系統作為承載網。PTN 網絡基于物理層統計復用技術，對于網絡承載的各類業務無法提供硬隔離能力；在無線接入側，可信WLAN 網絡基于雙向認證僅保證了終端接入安全性，無法實現不同業務的硬隔離，因此目前無法達到承載電網生產控制類業務的要求。隨著SPN網絡的規?；瘧茫蓪⒖尚臰LAN 無線AP 接入SPN 網絡，提供硬隔離管道，結合無線側頻率資源劃分的研究和應用，最終實現端到端硬隔離切片，從具備承載生產控制類業務條件。

5 結語

可信WLAN 作為一種寬帶、安全的無線接入技術，可以有效彌補配用電側電力通信網覆蓋薄弱問題，提升終端接入通信網可靠性，尤其是光纖專網覆蓋區域的無線業務終端接入；基于移動終端和無線接入點雙向認證機制，既提升了無線接入安全性，又保證了無線接入側的時延、帶寬等通信性能指標，通過試點應用論證了該技術的應用可行性。另一方面，在當前組網模式下，可信WLAN 依賴電力光纖專網覆蓋，且無法實現多種生產控制和管理信息類電力業務的物理隔離；因此，如何通過無線接入側物理資源劃分和承載網側硬管道技術實現可信WLAN 網絡端到端硬切片，并解決光纖專網未覆蓋區域的可信WLAN部署問題，有待進一步研究。