趙 洋，劉 偉，趙曉紅，任天成，王文婷

（1.國(guó)網(wǎng)山東省電力公司電力科學(xué)研究院，山東 濟(jì)南 250003；2.國(guó)網(wǎng)山東省電力公司煙臺(tái)供電公司，山東 煙臺(tái) 264000）

0 引言

智能電網(wǎng)建設(shè)和數(shù)字化轉(zhuǎn)型的推進(jìn)離不開移動(dòng)互聯(lián)、人工智能、無(wú)線通信等現(xiàn)代信息通信技術(shù)的支撐，以實(shí)現(xiàn)電力系統(tǒng)各環(huán)節(jié)萬(wàn)物互聯(lián)、人機(jī)交互，打造狀態(tài)全面感知、信息高效處理、應(yīng)用便捷靈活的新型電力系統(tǒng)。近年來(lái)，電力系統(tǒng)出現(xiàn)了以機(jī)器人巡檢、移動(dòng)作業(yè)、物聯(lián)網(wǎng)數(shù)據(jù)采集為代表的新型業(yè)務(wù)，這些業(yè)務(wù)總體呈現(xiàn)出大帶寬、移動(dòng)性特點(diǎn)；同時(shí)，大量業(yè)務(wù)終端的接入出現(xiàn)在配用電側(cè)。隨著通信技術(shù)的不斷更新迭代，電力系統(tǒng)形成了以光傳輸技術(shù)為主，多種有線、無(wú)線接入技術(shù)為輔的泛在通信網(wǎng)。然而，配用電側(cè)終端通信網(wǎng)恰恰是目前電力通信網(wǎng)的薄弱環(huán)節(jié)，采用光纖通信等有線通信方式可以提升通信可靠性及安全性，但配用電側(cè)的光纖通信網(wǎng)絡(luò)部署將帶來(lái)巨大的投資，且部分地區(qū)不具備光纜敷設(shè)條件；另外，對(duì)于非固定業(yè)務(wù)終端，有線接入方式無(wú)法滿足移動(dòng)性要求。采用無(wú)線通信技術(shù)可避免光纜等有線傳輸介質(zhì)部署困難、成本高的問(wèn)題，為非固定業(yè)務(wù)終端提供便捷的移動(dòng)接入方式；然而無(wú)線通信介質(zhì)非完全可管可控，給電力業(yè)務(wù)終端接入帶來(lái)了一定的安全隱患。

近年來(lái)，無(wú)線局域網(wǎng)技術(shù)（Wireless Local Area Network，WLAN）應(yīng)用廣泛，且已形成相對(duì)統(tǒng)一的技術(shù)體系。WLAN 在安全方面有兩種技術(shù)路線：一種是美國(guó)主導(dǎo)的Wi-Fi 安全技術(shù)（IEEE 802.11 系列標(biāo)準(zhǔn)），另一種是采用國(guó)產(chǎn)密碼技術(shù)的中國(guó)國(guó)家標(biāo)準(zhǔn)無(wú)線局域網(wǎng)鑒別與保密基礎(chǔ)架構(gòu)（Wireless LAN Authentication and Privacy Infrastructure，WAPI）［1-3］。因Wi-Fi 安全技術(shù)自身在技術(shù)架構(gòu)上的重大安全缺陷，不法分子可以輕易地破解Wi-Fi 密碼，繼而實(shí)現(xiàn)盜取行業(yè)重要敏感數(shù)據(jù)、非法侵入網(wǎng)絡(luò)、實(shí)施惡意攻擊、植入木馬等網(wǎng)絡(luò)攻擊活動(dòng)，對(duì)行業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施和數(shù)據(jù)資產(chǎn)構(gòu)成重大威脅。

WAPI 是我國(guó)自主可控的無(wú)線局域網(wǎng)安全技術(shù)標(biāo)準(zhǔn)［4］。自2016 年國(guó)家連續(xù)出臺(tái)了《網(wǎng)絡(luò)安全法》《密碼法》、網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0等相關(guān)法律法規(guī)之后，各重要行業(yè)對(duì)于安全可控的無(wú)線網(wǎng)絡(luò)需求愈發(fā)明確。WAPI 因其產(chǎn)業(yè)成熟度高、不增加采購(gòu)成本、建設(shè)配套條件豐富、能對(duì)行業(yè)的信息通道安全和數(shù)據(jù)資產(chǎn)安全形成有效保護(hù)等優(yōu)勢(shì)，受到用戶青睞。

1 可信WLAN關(guān)鍵技術(shù)概述

可信WLAN 采用WAPI 認(rèn)證標(biāo)準(zhǔn)，可以為電力終端設(shè)備提供安全、可靠的無(wú)線接入方式，防止非法接入、非法偽造、非法入侵。相比光纖通信等有線接入技術(shù)，可信WLAN 部署受自然環(huán)境影響較小，同時(shí)可避免有線傳輸介質(zhì)部署帶來(lái)的高額開銷。

1.1 WAPI技術(shù)標(biāo)準(zhǔn)簡(jiǎn)介

WAPI是無(wú)線局域網(wǎng)中的一種安全傳輸協(xié)議，同時(shí)也是中國(guó)無(wú)線局域網(wǎng)安全強(qiáng)制性標(biāo)準(zhǔn)GB15629.11—2003《無(wú)線局域網(wǎng)媒體訪問(wèn)控制和物理層規(guī)范》，與IEEE 802.11系列傳輸協(xié)議是同一領(lǐng)域的技術(shù)。WAPI由無(wú)線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)（WLAN Authentication Infrastructure，WAI）和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)（WLAN Privacy Infrastructure，WPI）兩部分組成。其中，WAI 定義了無(wú)線局域網(wǎng)中身份鑒別和密鑰管理的安全方案；WPI 定義了無(wú)線局域網(wǎng)中數(shù)據(jù)傳輸保護(hù)的安全方案，包括數(shù)據(jù)加密、鑒別和重放保護(hù)等。WAI 采用基于橢圓曲線的公鑰證書體制，移動(dòng)終端（Mobile Terminal，MT）和接入點(diǎn)（Access Point，AP）通過(guò)鑒別服務(wù)器（Authentication Server，AS）進(jìn)行雙向身份鑒別；WPI 采用了國(guó)家商用密碼管理委員會(huì)辦公室提供的對(duì)稱密碼算法進(jìn)行加密和解密，充分保障了數(shù)據(jù)傳輸?shù)陌踩?/p>

主要介紹WAPI標(biāo)準(zhǔn)中的WAI，即身份鑒別和密鑰管理。AS 是WAPI 的鑒權(quán)服務(wù)器，負(fù)責(zé)證書的頒發(fā)、驗(yàn)證與吊銷等。移動(dòng)終端MT 與無(wú)線接入點(diǎn)AP上都安裝有AS頒發(fā)的公鑰證書，作為數(shù)字身份憑證。當(dāng)MT登錄至AP時(shí)，在訪問(wèn)網(wǎng)絡(luò)之前須通過(guò)鑒別服務(wù)器AS進(jìn)行雙向身份認(rèn)證；經(jīng)驗(yàn)證持有合法證書的MT才能接入持有合法證書的AP［5-8］。這種雙向身份認(rèn)證機(jī)制不僅可以防止非法MT接入AP而訪問(wèn)網(wǎng)絡(luò)竊取下行的重要信息并占用網(wǎng)絡(luò)資源，同時(shí)還可以防止MT登錄至非法AP而造成重要上行信息泄漏。

1.2 WAPI身份認(rèn)證流程

根據(jù)前文描述，WAPI 身份認(rèn)證過(guò)程中MT 和AP均以數(shù)字證書作為自己的身份憑證，每個(gè)MT 與AP都需要安裝AS 頒發(fā)的公鑰證書。當(dāng)MT 接入WAPI無(wú)線網(wǎng)絡(luò)或再次關(guān)聯(lián)至WAPI 無(wú)線網(wǎng)絡(luò)時(shí)，需要MT和AP 兩者身份認(rèn)證成功，否則解除關(guān)聯(lián)。如圖1 所示，WAPI身份認(rèn)證鑒別流程如下［9-15］。

圖1 WAPI身份認(rèn)證流程

1）鑒別激活。當(dāng)MT 需要接入WAPI 無(wú)線網(wǎng)絡(luò)或再次關(guān)聯(lián)至WAPI 無(wú)線網(wǎng)絡(luò)時(shí)，由AP 發(fā)送鑒別激活信息至MT，啟動(dòng)身份認(rèn)證流程。

2）接入鑒別請(qǐng)求。當(dāng)MT收到AP發(fā)來(lái)的鑒別激活信息后，MT 回復(fù)接入鑒別請(qǐng)求信息至AP，接入鑒別請(qǐng)求信息包括MT的明文證書以及當(dāng)前系統(tǒng)時(shí)間，當(dāng)前系統(tǒng)時(shí)間為接入鑒別請(qǐng)求時(shí)間。

3）證書鑒別請(qǐng)求。在收到MT 發(fā)來(lái)的接入鑒別請(qǐng)求信息后，AP 記錄接入鑒別請(qǐng)求信息中的鑒別請(qǐng)求時(shí)間，然后將MT 證書、AP 證書和鑒別請(qǐng)求時(shí)間以及利用AP 的私鑰對(duì)它們簽名構(gòu)成證書鑒別請(qǐng)求信息發(fā)往鑒別服務(wù)器AS。

4）證書鑒別響應(yīng)。鑒別服務(wù)器AS 接收AP 發(fā)來(lái)的證書鑒別請(qǐng)求信息后，首先對(duì)AP的簽名進(jìn)行驗(yàn)證。當(dāng)簽名驗(yàn)證通過(guò)時(shí)，AS對(duì)證書鑒別請(qǐng)求信息中MT和AP證書的合法性進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)后，AS向AP返回證書鑒別響應(yīng)信息，包括MT 和AP 的證書、AS 對(duì)MT和AP證書的驗(yàn)證結(jié)果以及AS對(duì)它們的簽名，即，AP 和MT 的身份認(rèn)證結(jié)果所含的數(shù)據(jù)有各自的公鑰證書和鑒別結(jié)果。當(dāng)AP簽名認(rèn)證不通過(guò)或MT和AP證書的合法性驗(yàn)證不通過(guò)時(shí)，此次驗(yàn)證失敗。

5）接入鑒別響應(yīng)。AP 接收到證書鑒別響應(yīng)信息后，首先對(duì)AS 的簽名進(jìn)行驗(yàn)證，若驗(yàn)證不合法，則驗(yàn)證失??；若驗(yàn)證通過(guò)，AP 可獲得AS 對(duì)MT 證書的驗(yàn)證結(jié)果，并根據(jù)驗(yàn)證結(jié)果對(duì)MT進(jìn)行訪問(wèn)控制。同時(shí)，AP 需要將證書鑒別響應(yīng)信息返回至MT，MT 在接收到AP 發(fā)來(lái)的證書鑒別響應(yīng)信息后首先對(duì)AS 的簽名進(jìn)行驗(yàn)證，若驗(yàn)證通過(guò)，可獲得證書鑒別響應(yīng)信息中AP 證書的驗(yàn)證結(jié)果，并根據(jù)該驗(yàn)證結(jié)果決定是否接入該AP。

1.3 WAPI秘鑰協(xié)商流程

WAPI會(huì)話密鑰協(xié)商是在AS對(duì)MT 和AP 身份認(rèn)證成功的基礎(chǔ)上實(shí)施的，當(dāng)MT 和AP 完成雙向身份認(rèn)證，確定MT 即將接入該AP 后，WAPI 協(xié)議進(jìn)入會(huì)話秘鑰協(xié)商流程，其具體的步驟如下［16］。

1）密鑰協(xié)商請(qǐng)求。MT 發(fā)起密鑰協(xié)商請(qǐng)求，生成一組隨機(jī)數(shù)NMT，并通過(guò)身份認(rèn)證階段獲得的AP 公鑰信息對(duì)隨機(jī)數(shù)NMT進(jìn)行加密，最后將密鑰協(xié)商請(qǐng)求信息，即加密后的密文發(fā)送給AP。

2）密鑰協(xié)商響應(yīng)。AP 接收到密鑰協(xié)商請(qǐng)求信息后，使用自己的私鑰對(duì)請(qǐng)求信息中的密文進(jìn)行解密，獲得MT 生成的隨機(jī)數(shù)NMT；同時(shí)AP 生成隨機(jī)數(shù)NAP，利用MT 公鑰信息對(duì)隨機(jī)數(shù)NAP進(jìn)行加密并發(fā)送至MT。MT同樣利用自己的私鑰解密得到NAP。

經(jīng)過(guò)上述流程，MT 和AP 均得到了對(duì)方生成的隨機(jī)數(shù)，并將獲得的隨機(jī)數(shù)NMT和NAP進(jìn)行模2 求和運(yùn)算，將得到的計(jì)算結(jié)果作為雙方的會(huì)話秘鑰。在無(wú)線局域網(wǎng)數(shù)據(jù)傳輸?shù)倪^(guò)程中，采用該密鑰和雙方認(rèn)同的加密算法對(duì)傳輸數(shù)據(jù)進(jìn)行處理。

2 可信WLAN應(yīng)用可行性分析

可信WLAN 的應(yīng)用可行性分析主要包括通信性能指標(biāo)、安全性能否滿足業(yè)務(wù)需求以及經(jīng)濟(jì)性分析等方面內(nèi)容?？尚臰LAN 通信性能指標(biāo)在第4 節(jié)結(jié)合試點(diǎn)部署和測(cè)試情況進(jìn)行闡述。本節(jié)主要對(duì)其安全性和經(jīng)濟(jì)性進(jìn)行分析。

2.1 安全性分析

可信WLAN 的關(guān)鍵技術(shù)是WAPI 標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)定義了無(wú)線局域網(wǎng)中身份鑒別、密鑰管理和數(shù)據(jù)傳輸保護(hù)的安全方案。

可信WLAN 無(wú)線接入基于移動(dòng)終端MT、無(wú)線接入點(diǎn)AP、鑒別服務(wù)器AS 三元對(duì)等安全架構(gòu)實(shí)現(xiàn)雙向身份認(rèn)證及密鑰協(xié)商，從安全機(jī)制上防止了假冒和釣魚AP；采用基于數(shù)字證書的方式進(jìn)行身份鑒別，身份無(wú)法偽造，有效防止非法MT 接入，且MT 接入過(guò)程中不需要錄入賬號(hào)密碼，解決了密碼泄露帶來(lái)的安全風(fēng)險(xiǎn)。可信WLAN 能夠支持配置不同的服務(wù)集標(biāo)識(shí)（Service Set Identifier，SSID）以區(qū)分網(wǎng)絡(luò)，并支持SSID 廣播開啟/關(guān)閉功能；支持單播密鑰、組播密鑰更新，并以受保護(hù)方式對(duì)私鑰數(shù)據(jù)進(jìn)行存儲(chǔ)；可配合后臺(tái)管理系統(tǒng)切斷MT 的網(wǎng)絡(luò)連接、強(qiáng)制MT下線，有效保證空口安全。

同時(shí)，可信WLAN 的AP 可與無(wú)線接入控制器（Access Point Controller，AC）配合提供接入控制、報(bào)文過(guò)濾、防拒絕服務(wù)（Denial of Service，DOS）攻擊、防端口掃描、防非法報(bào)文攻擊等能力；可支持基于媒體訪問(wèn)控制（Media Access Control，MAC）即物理地址、IP地址和IP地址段的接入控制，并以白名單、黑名單形式實(shí)現(xiàn)；支持MAC 地址過(guò)濾功能。另外，可信WLAN 基于國(guó)密SM4 算法對(duì)傳輸數(shù)據(jù)進(jìn)行加密以實(shí)現(xiàn)安全可信的無(wú)線接入。

2.2 經(jīng)濟(jì)性分析

可信WLAN 無(wú)線接入技術(shù)在智能電網(wǎng)中的應(yīng)用可與家庭或辦公場(chǎng)所無(wú)線局域網(wǎng)進(jìn)行類比，兩者基本原理相同，都是為一定范圍內(nèi)的移動(dòng)設(shè)備提供無(wú)線接入網(wǎng)絡(luò)。家庭或辦公場(chǎng)所無(wú)線局域網(wǎng)主要為家庭成員或公司員工以及來(lái)訪人員的無(wú)線終端提供無(wú)線接入，包括手機(jī)、筆記本電腦、智能家電、辦公終端等設(shè)備，其上一級(jí)接入網(wǎng)為電信運(yùn)營(yíng)商提供的家庭寬帶接入網(wǎng)或企業(yè)專線接入網(wǎng)，承載網(wǎng)、核心網(wǎng)均為運(yùn)營(yíng)商網(wǎng)絡(luò)。智能電網(wǎng)中的末端通信接入網(wǎng)主要服務(wù)于電力系統(tǒng)中的各類業(yè)務(wù)終端，可信WLAN作為末端通信接入網(wǎng)的一種實(shí)現(xiàn)形式，為具有移動(dòng)性特點(diǎn)或有線通信網(wǎng)覆蓋困難的業(yè)務(wù)重點(diǎn)提供無(wú)線接入。

目前電力通信網(wǎng)絡(luò)終端接入網(wǎng)主要采用以太網(wǎng)無(wú)源光網(wǎng)絡(luò)（Ethernet Passive Optical Network，EPON）和電力線載波（Power Line Carrier，PLC）等通信技術(shù)，EPON 通信系統(tǒng)的覆蓋基于光線路終端（Optical Line Terminal，OLT）、光網(wǎng)絡(luò)單元（Optical Network Unit，ONU）以及配電網(wǎng)光纜建設(shè)，部分地區(qū)配電網(wǎng)光纜敷設(shè)難度較大，同時(shí)面臨城市施工、自然災(zāi)害、鳥啄鼠咬等外力破壞的隱患，帶來(lái)了較高的建設(shè)和維護(hù)成本。PLC 通信技術(shù)基于配電線路完成覆蓋，雖無(wú)額外建設(shè)成本，但其維護(hù)檢修工作須將配電線路停電，運(yùn)維難度較大；且一旦發(fā)生故障，須結(jié)合停電計(jì)劃方可進(jìn)行檢修，缺乏運(yùn)維自主可控性。對(duì)于變電站內(nèi)的電力業(yè)務(wù)終端接入，若采用有線方式，則主要涉及站內(nèi)網(wǎng)線、裸光纖的部署。相比上述有線通信接入方式，可信WLAN 在主網(wǎng)和配網(wǎng)中的應(yīng)用均無(wú)須依賴光纜、網(wǎng)線等實(shí)體介質(zhì)，降低了敷設(shè)成本，同時(shí)網(wǎng)絡(luò)獨(dú)立運(yùn)維，不受其他專業(yè)限制。

近年來(lái)，電力企業(yè)為了解決終端接入網(wǎng)部分終端有線接入成本高、難度大的問(wèn)題，采用了租用電信運(yùn)營(yíng)商無(wú)線公網(wǎng)等方式，包括4G 公網(wǎng)和5G 電力虛擬專網(wǎng)［17］，在解決終端接入問(wèn)題的同時(shí)也帶來(lái)了無(wú)線通信服務(wù)、5G-UPF 等通信資源租賃費(fèi)用，價(jià)格不菲?？尚臰LAN 基于電力企業(yè)自建自管、自主運(yùn)維，除前期建設(shè)成本外，后期運(yùn)維無(wú)需向運(yùn)營(yíng)商繳納通信資源租賃費(fèi)用，隨著運(yùn)行時(shí)間的增長(zhǎng)，經(jīng)濟(jì)性優(yōu)勢(shì)會(huì)愈加突出。

3 可信WLAN應(yīng)用場(chǎng)景分析

國(guó)家電網(wǎng)有限公司“十四五”通信網(wǎng)規(guī)劃中明確指出依托可信WLAN 技術(shù)打造智能變電站；2022 年國(guó)網(wǎng)山東省電力公司通信專業(yè)工作要點(diǎn)中提出：“本年度要加快可信WLAN 技術(shù)推廣應(yīng)用，尤其是基于可信WLAN 承載整縣分布式光伏業(yè)務(wù)，為其提供更加安全、靈活、低成本的接入方式，年內(nèi)每個(gè)市公司至少打造一座示范站”?？尚臰LAN 無(wú)線接入技術(shù)的推廣應(yīng)用，也將為電力光通信網(wǎng)絡(luò)覆蓋區(qū)域的非固定終端提供更便捷安全的接入［18-20］。

結(jié)合前文分析，基于可信WLAN 無(wú)線接入技術(shù)可實(shí)現(xiàn)以相對(duì)合理的成本完成對(duì)目標(biāo)區(qū)域的無(wú)線局域網(wǎng)覆蓋，同時(shí)具備較高的無(wú)線接入安全能力，滿足各類終端安全、泛在、靈活、寬帶的“最后一公里”無(wú)線接入需求。對(duì)于電力系統(tǒng)，其典型應(yīng)用場(chǎng)景主要可概括為以下兩類。

一是非固定業(yè)務(wù)終端，如變電站智能巡檢機(jī)器人、移動(dòng)作業(yè)終端、作業(yè)現(xiàn)場(chǎng)視頻監(jiān)控等。上述設(shè)備最明顯特點(diǎn)是具有較強(qiáng)移動(dòng)性，且其運(yùn)動(dòng)軌跡不完全固定。例如智能巡檢機(jī)器人，其路徑覆蓋整個(gè)變電站，必要情況下，還需要對(duì)部分區(qū)域進(jìn)行重復(fù)巡視；移動(dòng)作業(yè)終端和作業(yè)現(xiàn)場(chǎng)視頻監(jiān)控?cái)z像頭均由作業(yè)人員自行攜帶至工作現(xiàn)場(chǎng)，根據(jù)作業(yè)區(qū)域不同，設(shè)備部署位置具有較強(qiáng)的不確定性。采用有線接入方式將限制巡檢機(jī)器人、移動(dòng)作業(yè)終端等設(shè)備的部署位置和移動(dòng)性；同時(shí)，由于變電站本身的設(shè)計(jì)，現(xiàn)階段采用的4G 等無(wú)線公網(wǎng)接入方式存在較多的無(wú)線信號(hào)覆蓋盲區(qū)，對(duì)通信性能指標(biāo)產(chǎn)生不利影響?；诳尚臰LAN 無(wú)線接入AP 部署，實(shí)現(xiàn)目標(biāo)區(qū)域全覆蓋，可解決設(shè)備接入問(wèn)題。

二是分布式傳感裝置，如站內(nèi)溫濕度傳感器、油色譜監(jiān)測(cè)傳感器等。傳感裝置雖部署位置相對(duì)固定，但由于數(shù)量多且分布離散，采用網(wǎng)線或光纖等有線通信介質(zhì)接入綜合布線難度大、成本高，線纜容易遭受外力破壞；且隨著使用年限增長(zhǎng)，有線介質(zhì)傳輸性能劣化，導(dǎo)致數(shù)據(jù)傳輸誤碼率增高，甚至造成部分傳感裝置離線，此時(shí)需對(duì)有線介質(zhì)進(jìn)行更換，帶來(lái)了布線成本的二次投入。采用可信WLAN 無(wú)線接入方式可節(jié)約綜合布線成本，分布式傳感裝置接入更加便捷，同時(shí)減少了故障點(diǎn)，提升通信可靠性。

除上述兩類變電站內(nèi)的典型應(yīng)用場(chǎng)景外，對(duì)于光纖專網(wǎng)未覆蓋的區(qū)域，如輸電線路走廊、臺(tái)區(qū)、分布式光伏發(fā)電等，采用可信WLAN 也可解決業(yè)務(wù)終端安全接入問(wèn)題，但如何實(shí)現(xiàn)AP 與電力光纖專網(wǎng)對(duì)接，需要進(jìn)一步研究和論證。

4 可信WLAN試點(diǎn)建設(shè)分析

2021年國(guó)網(wǎng)山東省電力公司在東營(yíng)、煙臺(tái)、濟(jì)南等地區(qū)的部分變電站開展可信WLAN 試點(diǎn)應(yīng)用，實(shí)現(xiàn)變電站內(nèi)的全站無(wú)線覆蓋，已完成變電站智能輔控、集中抄表、巡檢機(jī)器人、油色譜在線監(jiān)測(cè)、蓄電池在線監(jiān)測(cè)、視頻監(jiān)控等業(yè)務(wù)的可信無(wú)線接入。結(jié)合220 kV 萬(wàn)華變電站應(yīng)用試點(diǎn)及網(wǎng)絡(luò)性能、業(yè)務(wù)承載測(cè)試情況，對(duì)可信WLAN 在新型電力系統(tǒng)中的應(yīng)用可信性及存在問(wèn)題進(jìn)行分析。

4.1 可信WLAN組網(wǎng)架構(gòu)

山東省內(nèi)可信WLAN 無(wú)線接入網(wǎng)絡(luò)試點(diǎn)建設(shè)期間，選取220 kV 萬(wàn)華變電站開展業(yè)務(wù)應(yīng)用試點(diǎn)驗(yàn)證工作。通過(guò)在站內(nèi)部署2 套專用交換機(jī)、1 套無(wú)線接入控制器AC 以及10 套無(wú)線接入點(diǎn)AP，完成了萬(wàn)華變電站可信WLAN 網(wǎng)絡(luò)全站覆蓋，包括站內(nèi)110 kV 及220 kV 生產(chǎn)樓室內(nèi)、電纜夾層以及變電站戶外空間；其中專用交換機(jī)和AC 部署在萬(wàn)華變電站通信機(jī)房?jī)?nèi)，9 套AP 部署在110 kV 及220 kV 生產(chǎn)樓的開關(guān)室、主控室、電容器室內(nèi)以及電纜夾層內(nèi)，1套AP部署在戶外，位于220 kV生產(chǎn)樓樓頂。

萬(wàn)華變電站可信WLAN 拓?fù)淙鐖D2 所示，萬(wàn)華變電站可信WLAN 試點(diǎn)的鑒別服務(wù)器AS 部署在東營(yíng)公司中心機(jī)房，站內(nèi)業(yè)務(wù)終端經(jīng)AP、專用交換機(jī)、防火墻等設(shè)備接入PTN 網(wǎng)絡(luò)，同時(shí)實(shí)現(xiàn)AP 與AS 間的身份鑒別數(shù)據(jù)互通；部署在站內(nèi)通信機(jī)房的AC 實(shí)現(xiàn)對(duì)AP的控制與管理。

圖2 萬(wàn)華變電站可信WLAN拓?fù)鋱D

4.2 業(yè)務(wù)場(chǎng)景應(yīng)用測(cè)試

萬(wàn)華變電站試點(diǎn)部署了三類可信WLAN 無(wú)線接入業(yè)務(wù)終端，包括7 套輔控系統(tǒng)溫濕度傳感器、1 部調(diào)度IP 電話和1 套移動(dòng)作業(yè)終端。經(jīng)測(cè)試，各類業(yè)務(wù)終端功能均正常。

輔控系統(tǒng)溫濕度傳感器通過(guò)無(wú)線通信單元（Customer Premise Equipment，CPE）接入可信WLAN網(wǎng)絡(luò)，溫濕度傳感器與CPE 通過(guò)RS485 通信接口有線連接，溫濕度信號(hào)通過(guò)CPE 連接無(wú)線AP 并經(jīng)防火墻與輔控系統(tǒng)主站對(duì)接，完成數(shù)據(jù)采集。基于可信WLAN 無(wú)線接入技術(shù)可以實(shí)現(xiàn)溫濕度信號(hào)的安全傳輸；溫濕度傳感器接入時(shí)延測(cè)試結(jié)果如圖3 所示，經(jīng)現(xiàn)場(chǎng)測(cè)試，各溫濕度傳感器接入時(shí)延均低于10 ms，平均接入時(shí)延低于5 ms。

圖3 溫濕度傳感器接入時(shí)延測(cè)試結(jié)果

與溫濕度傳感器相似，調(diào)度IP 電話也須通過(guò)CPE 接入可信WLAN 網(wǎng)絡(luò)，話機(jī)與CPE 通過(guò)RJ45 通信接口有線連接，通話信號(hào)通過(guò)CPE 連接無(wú)線AP 并經(jīng)專用交換機(jī)與調(diào)度電話交換網(wǎng)對(duì)接。經(jīng)現(xiàn)場(chǎng)測(cè)試，可以完成撥打電話操作，通話質(zhì)量良好，且接入方式滿足安全要求。

現(xiàn)場(chǎng)作業(yè)移動(dòng)終端內(nèi)置無(wú)線通信模組，支持WAPI 協(xié)議，通過(guò)安裝相應(yīng)的AS 及MT 身份證書、配置私網(wǎng)IP 等信息并完成雙向接入認(rèn)證后，即可成功接入站內(nèi)可信WLAN 網(wǎng)絡(luò)，經(jīng)防火墻與信息內(nèi)網(wǎng)互聯(lián)?，F(xiàn)場(chǎng)作業(yè)移動(dòng)終端經(jīng)測(cè)試可正常訪問(wèn)內(nèi)網(wǎng)門戶網(wǎng)站，并完成作業(yè)現(xiàn)場(chǎng)相關(guān)圖片資料及測(cè)試數(shù)據(jù)正常上傳。

4.3 試點(diǎn)驗(yàn)證問(wèn)題分析

220 kV 萬(wàn)華變電站業(yè)務(wù)試點(diǎn)情況表明，可信WLAN 可以解決變電站內(nèi)業(yè)務(wù)終端無(wú)線接入問(wèn)題；但對(duì)于電力光纖專網(wǎng)未覆蓋的地區(qū)，無(wú)線AP 數(shù)據(jù)回傳問(wèn)題仍有待解決。從當(dāng)前試點(diǎn)應(yīng)用來(lái)看，采用“光纖+高速電力線載波（High-speed Power Line Carrier，HPLC）”或5G技術(shù)可以解決AP回傳問(wèn)題，但該技術(shù)也受到5G部署、電力線載波通信運(yùn)維等多種因素限制。

另外，目前可信WLAN 整體網(wǎng)絡(luò)架構(gòu)為無(wú)線AP通過(guò)專用交換機(jī)接入電力PTN 傳輸系統(tǒng)作為承載網(wǎng)。PTN 網(wǎng)絡(luò)基于物理層統(tǒng)計(jì)復(fù)用技術(shù)，對(duì)于網(wǎng)絡(luò)承載的各類業(yè)務(wù)無(wú)法提供硬隔離能力；在無(wú)線接入側(cè)，可信WLAN 網(wǎng)絡(luò)基于雙向認(rèn)證僅保證了終端接入安全性，無(wú)法實(shí)現(xiàn)不同業(yè)務(wù)的硬隔離，因此目前無(wú)法達(dá)到承載電網(wǎng)生產(chǎn)控制類業(yè)務(wù)的要求。隨著SPN網(wǎng)絡(luò)的規(guī)?；瘧?yīng)用，可將可信WLAN 無(wú)線AP 接入SPN 網(wǎng)絡(luò)，提供硬隔離管道，結(jié)合無(wú)線側(cè)頻率資源劃分的研究和應(yīng)用，最終實(shí)現(xiàn)端到端硬隔離切片，從具備承載生產(chǎn)控制類業(yè)務(wù)條件。

5 結(jié)語(yǔ)

可信WLAN 作為一種寬帶、安全的無(wú)線接入技術(shù)，可以有效彌補(bǔ)配用電側(cè)電力通信網(wǎng)覆蓋薄弱問(wèn)題，提升終端接入通信網(wǎng)可靠性，尤其是光纖專網(wǎng)覆蓋區(qū)域的無(wú)線業(yè)務(wù)終端接入；基于移動(dòng)終端和無(wú)線接入點(diǎn)雙向認(rèn)證機(jī)制，既提升了無(wú)線接入安全性，又保證了無(wú)線接入側(cè)的時(shí)延、帶寬等通信性能指標(biāo)，通過(guò)試點(diǎn)應(yīng)用論證了該技術(shù)的應(yīng)用可行性。另一方面，在當(dāng)前組網(wǎng)模式下，可信WLAN 依賴電力光纖專網(wǎng)覆蓋，且無(wú)法實(shí)現(xiàn)多種生產(chǎn)控制和管理信息類電力業(yè)務(wù)的物理隔離；因此，如何通過(guò)無(wú)線接入側(cè)物理資源劃分和承載網(wǎng)側(cè)硬管道技術(shù)實(shí)現(xiàn)可信WLAN 網(wǎng)絡(luò)端到端硬切片，并解決光纖專網(wǎng)未覆蓋區(qū)域的可信WLAN部署問(wèn)題，有待進(jìn)一步研究。