引文信息
蔡勇超��,趙振興.電力物聯(lián)網(wǎng)安全無線組網(wǎng)研究及應用[J].電力信息與通信技術(shù)����,2021�,19(11):65-70.
CAI Yongchao���,ZHAO Zhenxin.Research and application of the safe wireless networking scheme of power Internet of Things[J].Electric Power Information and Communication Technology,2021��,19(11):65-70.
01 研究背景
由于網(wǎng)絡安全緣故���,變電站內(nèi)無線局域網(wǎng)的應用并未推廣�,阻礙變電站內(nèi)各種電力物聯(lián)網(wǎng)移動智能終端�����,如巡檢機器人����、智慧安監(jiān)攝像頭等新興業(yè)務的接入����。文章分析了幾種常用無線組網(wǎng)方式的利弊,提出基于WAPI網(wǎng)絡的無線局域網(wǎng)解決方案��,采用集中管理和認證的模式��,以提升業(yè)務通道安全性�,解決了變電站“最后一公里”網(wǎng)絡覆蓋難題���,為電力物聯(lián)網(wǎng)網(wǎng)絡層的規(guī)劃建設提供參考。
02 主要創(chuàng)新點
1)基于WAPI的安全無線組網(wǎng)方案總體設計
通過在中心機房或網(wǎng)管中心統(tǒng)一部署無線控制器����、認證服務器和網(wǎng)管系統(tǒng),站端只部署無線接入點���,業(yè)務通過WAPI無線局域網(wǎng)接入變電站綜合數(shù)據(jù)網(wǎng)傳輸�����,實現(xiàn)對接入設備的集中管理�����、集中認證���、集中監(jiān)控。
圖1 基于WAPI的安全無線組網(wǎng)方案總體設計
無線接入點AP通過網(wǎng)線和有源以太網(wǎng)(Power Over Ethernet����,POE)交換機連接,采用POE模式對AP設備供電,減少電源線的布放�����。移動應用終端如巡檢機器人���、移動攝像頭等通過互聯(lián)網(wǎng)安全協(xié)議(Internet Protocol Security����, IPSec)網(wǎng)關和AP互聯(lián)���,POE交換機將各AP接入點數(shù)據(jù)匯集后接入變電站綜合數(shù)據(jù)網(wǎng)匯聚層交換機�,再經(jīng)過防火墻����、三層交換機等網(wǎng)絡設備連接到網(wǎng)管服務器。無線控制器��、WAPI證書服務器等部署在網(wǎng)管機房����,對每個變電站所有接入WAPI無線局域網(wǎng)的AP和應用終端進行集中統(tǒng)一管理����。
2)WAPI鑒別過程安全策略
WAPI網(wǎng)絡協(xié)議采用三元對等的安全架構(gòu)����,3個物理實體都有自己的獨立身份����,并通過數(shù)字證書進行身份驗證。首先STA和AP之間通過非受控端口建立連接�,STA發(fā)出接入鑒別請求,AP將鑒別請求轉(zhuǎn)發(fā)給鑒別服務器(Authentication Server��,AS)��,然后AS下發(fā)數(shù)字證書�,AP和STA各自解析并安裝數(shù)字證書,若證書驗證通過���,則加密通道開啟���,STA接入網(wǎng)絡并通過密鑰協(xié)商后開始數(shù)據(jù)通信。
STA的證書由用戶從鑒別服務單元(Authentication Service Unit����,ASU)獲取或本地安裝,AP的證書在入網(wǎng)前由網(wǎng)絡管理員負責安裝,AS被認為是可信任的“根”�����,能夠確保頒發(fā)的證書是合法的���,同時還負責數(shù)字證書的發(fā)布�����、銷毀和糾錯等管理工作����,是網(wǎng)絡安全運行的核心組件�����。此外��,中間網(wǎng)絡設備是指交換機��、路由器�、防火墻等傳統(tǒng)網(wǎng)絡傳輸設備�����,方便網(wǎng)絡的后期擴展和接入。
圖2 WAPI鑒別過程
03 解決的問題和意義
1)提出一種變電站安全無線組網(wǎng)的方法
為解決變電站全域物聯(lián)網(wǎng)各類業(yè)務對無線通信的需求��,有效支撐智能電網(wǎng)數(shù)字化轉(zhuǎn)型升級�,文章設計了基于無線局域網(wǎng)鑒別與保密基礎結(jié)構(gòu)(WLAN Authentication and Privacy Infrastructure,WAPI)的無線網(wǎng)絡解決方案��,運用國家認可并保護的密碼算法����,采用三元對等安全架構(gòu)和數(shù)字證書進行身份認證,通過在中心機房統(tǒng)一部署無線控制器���、認證服務器和網(wǎng)管系統(tǒng)�,站端只安裝無線接入點���,業(yè)務通過WAPI無線局域網(wǎng)接入變電站綜合數(shù)據(jù)網(wǎng)����,實現(xiàn)對無線設備的集中管理����、集中認證�����、集中控制���、集中監(jiān)視,保障各類接入業(yè)務的安全運行��。
2)實施四個方面的安全管理策略
①身份認證管理�����。所有接入AP的移動終端STA都必須具備鑒別服務器頒發(fā)的數(shù)字證書�,通過變電站綜合數(shù)據(jù)網(wǎng)將STA認證信息、AP管理報文發(fā)送至AS和AC����。
②訪問控制策略。首先通過防火墻技術(shù)在網(wǎng)絡邊界�����、不同區(qū)域之間(變電站數(shù)據(jù)網(wǎng)交換機上聯(lián)端口)�,根據(jù)具體業(yè)務訪問控制策略設置相應訪問控制規(guī)則,默認情況下必須關閉所有除通信外的受控端口�����。
③網(wǎng)絡攻擊防護���。具備入侵檢測功能�,能夠主動檢測非授權(quán)無線接入設備AP和非授權(quán)移動終端STA的接入行為�,當未通過認證用戶試圖訪問網(wǎng)絡時,臨時將該訪問用戶的源物理地址加入阻塞地址列表中�,在一段時間內(nèi)該源物理地址為非法地址,不能和AP建立連接���。
④網(wǎng)絡安全審計����。定期在無線控制器和認證服務器上進行安全審計���,對象包括接入無線局域網(wǎng)的所有用戶以及重要用戶的行為��、重要安全事件���,審計內(nèi)容涵蓋事件的具體日期、用戶身份�����、事件類型、事件是否成功等信息�,并且對審計記錄進行定期備份和嚴密保護,未經(jīng)許可嚴禁刪除�����、修改和覆蓋���。
3)對往后變電站無線網(wǎng)絡建設提供參考
針對變電站智能化移動終端�����、電力物聯(lián)網(wǎng)等新興業(yè)務對泛在�����、安全�����、快速�����、靈活無線網(wǎng)絡的接入需求����,提出比WIFI技術(shù)安全等級更高、基于擁有國家自主知識產(chǎn)權(quán)的WAPI協(xié)議的無線局域網(wǎng)解決方案����,采用三元對等雙向身份鑒別模式�����,實現(xiàn)設備的集中管理�、集中認證和集中監(jiān)控,確保網(wǎng)絡安全����。巡檢機器人業(yè)務的應用測試表明,該方案能夠?qū)⒁曨l業(yè)務等大容量數(shù)據(jù)通過“無線局域網(wǎng)+變電站綜合數(shù)據(jù)網(wǎng)”的方式安全傳輸��,形成了變電站站內(nèi)無線通信技術(shù)的接入指引�,有效解決變電站“最后一公里”網(wǎng)絡覆蓋難題,助力電力物聯(lián)網(wǎng)建設�。
原標題:廣東電網(wǎng)有限責任公司佛山供電局 蔡勇超,趙振興:電力物聯(lián)網(wǎng)安全無線組網(wǎng)方案研究及應用
來源:電力信息與通信技術(shù)
在線咨詢
在線咨詢
0371-63319761