基于WAPI协议标准的无线网络在乌鲁木齐供电公司电力系统中的应用
作者:范子涛 祁欣学 李媛 宋俊廷
来源:《中国新通信》2021年第21期
        【摘要】 随着电网不断向智能化、信息化方向发展,以机器人巡检、移动作业、设备智能监测为代表的新型业务不断涌现,电力系统中业务通道对业务接口及业务接入方式的需求越来越多样化。有线通信方式已无法满足不断增长的业务需求,而无线通信网就是一种很好的解决方式。无线通信网是对有线通信网的一种补充,是目前通信网研究的一个热点。组
建一个基于WAPI协议的可信本地无线局域网,覆盖整个变电站,既解决了有线方式接入量有限、接入不灵活,线路铺设费用大的问题;同时,又可实现宽窄带业务统一接入,统一管理,避免网络重复建设和资源浪费,提高设备使用率,提升本地通信网接入能力,构建能源互联网智能化信息支撑体系。文章中介绍了WAPI的原理和在变电站中WAPI本地无线局域网的应用及可以解决的问题。
        【关键词】 WAPI协议 无线网络 应用
        引言:
        随着能源互联网的发展,以及新疆电网规模的扩大,特别是在国网公司中国特国际领先能源互联网建设目标的驱使下,电网各业务终端的信息采集与传输需求日渐增长。近年来,出现了大量以机器人巡检、可视化作业、无人机、各种无线智能监测为代表的新型业务,这些业务总体呈现出大带宽、大连接、移动性 强的特点。
        但是,目前乌鲁木齐供电公司所辖变电站的通信方式主要仍为有线通信方式,站内即使存在某些无线终端,也都是依托运营商4G/5G SIM卡进行数据传输,所以现有的本地通信网
无论是在终端接入量、灵活性上,还是管理运维上都存在诸多问题,本地通信网的创新与统筹迫在眉睫。
        无线局域网可提高站端各类采集装置部署的灵活性,在通道层面使大面积部署采集装置成为可行,提高变电各类异常的综合监控和智能决策能力,但对涉敏涉控数据数据的保密传输能力较低。以前因考虑到网络安全和数据安全问题,变电站内并未部署建设本地无线局域网,这就极大地限制了变电站智能化改造。随着WAPI协议的提出以及不断推广,WAPI无线局域网无论是在其接入能力,灵活部署,还是安全性方面都表现突出。逐步部署建設变电站内的安全无线局域网成为WAPI技术在电力行业新的推广应用。
        一、变电站本地通信网中存在的问题
        目前,国网乌鲁木齐供电公司电力系统变电站本地通信网主要存在以下问题:1.有线通信方式建设成本高,后期运维量大。本地通信网主要以有线通信方式为主,线路铺设工作需耗费大量的人力物力,布线后站内存在线缆多且杂乱,后期故障排除不易的问题。2.现有通信方式难以满足多业务灵活接入需求。智能变电站建设不断推进,使得站内传感器种类多、数量大,业务呈现大带宽、大连接、移动性强等需求特点,本地无线通信方式需求日益强烈。
3.使用运营商无线网络成本高。现有的无线业务终端大多通过运营商网络进行数据回传,需长期投入大量流量使用费,随着终端数量增加,成本也将大幅增长,亟需组建本地无线局域网满足大量无线业务终端接入。4.传统WIFI无线网络安全性差,难以满足电网安全要求。WIFI是基于IEEE 802.11协议的无线局域网技术,仅进行单向加密,接入认证方式过于简单,无法防止钓鱼AP和仿造终端接入,网络安全性不满足生产业务承载要求。5.缺乏统一的无线接入管理平台。传统无线接入AP缺乏统一管理手段,AP设备是否在线无法及时感知,只能通过业务是否中断获取设备状态信息,设备维护处于被动模式,且存在设备故障无法定位,需一一排查导致耗时长的问题。6.无线接入无统筹管理,存在资源浪费。由于无统一的部门进行统筹管理,存在各专业自己部署无线接入终端的情况,建设标准和使用的无线通信协议标准不统一,无法共享互用,管理混乱,导致重复建设资源浪费。
        因此需构建一个具有统一接入和管理功能的安全无线局域网络,各业务终端可通过本地无线网进行数据汇聚,而后通过光纤专网进行数据回传,有效提升本地通信网的灵活接入能力和通信安全可靠性。
        二、WAPI原理简介
        WAPI是无线局域网鉴别和保密基础结构,是一种安全协议,同时也是中国无线局域网安全强制性标准[1]。WAPI采用三元对等安全架构,证书鉴别服务器(AS)、无线接入点(AP)、终端(STA)都具有独立身份,终端和AP通过AS实现双向身份鉴别[2],其鉴别过程如图1所示,既可验证终端的合法性,又可为终端验证AP的合法性。
        WAPI协议采用基于证书认证的身份鉴别机制,在鉴别过程中使用了椭圆曲线算法,并且采用了中国国产SM4密码算法,密匙目前为止无法破解,身份无法伪造。相比于WiFi局域网身份凭证简单,密码管理存在重大安全隐患易破解,WAPI协议的身份鉴别,结局了因密码泄露带来的安全风险,从链路层有效防止了非法终端和钓鱼AP接入WAPI网络,从源头上防止业务数据被窃取、破坏、篡改。
        其次,基于WAPI的无线网络可方便进行集中安全管理和精细化管理。当系统成员(无线接入点或移动终端)退出系统或有新的成员加入系统,只需吊销其证书或颁发新的证书[3],故可完成对某一设备的定向化操作,易于扩充,可实现用户异地漫游接入。而对于WiFi无线网络,因无统一的管理系统无法对接入点AP和终端进行精细化管理,若想阻止某一AP或终端接入WiFi网络,只有修改密码,此时其他需要接入网络的AP和终端就得要随之更改密码才能成功接入,这就导致网络扩充管理困难。
        三、WAPI无线网络在变电站的应用
        3.1 设备部署方案
        在变电站内组建一个WAPI本地无线局域网,需要配置一台安全证书认证系统AS、一台接入终端管理系统AC,一定数量的室外无线接入点AP、室内无线接入点AP和POE交换机,以及二层汇聚交换机。AC、AS安装在站内通信机房,采用通信机房电源屏上的220kV交流供电。室外AP的部署位置要综合考虑接入终端AP的覆盖范围、信号强度,信号绕射能力,与设备区内带电设备的安全距离,强电场、大感应电流对于弱电无线通信设备的干扰,以及安装施工难度等。AP采用POE供电方式。
        3.2组网拓扑
乌鲁木齐在线招聘信息        变电站的各无线接入终端AP利用POE交换机实现数据汇聚。目前,变电站A内搭建的WAPI网络的组网拓扑,如图2所示。
        终端业务数据通过AP以及汇聚交换机POE传输到通信机房,再传到后台服务器;通过防火墙以及网关传输回市局后台服务器。安全证书认证系统AS和接入终端管理系统AC可以部
署在公司总部也可以直接部署在变电站中,可以根据具体实际情况进行部署。对于不支持WAPI协议的业务传感器,不需要对现有的业务传感器进行更换,可以通过加装无线数据终端CPE来实现接入WAPI无线网络。