引文信息
蔡勇超,赵振兴.电力物联网安全无线组网研究及应用[J].电力信息与通信技术,2021,19(11):65-70.
CAI Yongchao,ZHAO Zhenxin.Research and application of the safe wireless networking scheme of power Internet of Things[J].Electric Power Information and Communication Technology,2021,19(11):65-70.
01 研究背景
由于网络安全缘故,变电站内无线局域网的应用并未推广,阻碍变电站内各种电力物联网移动智能终端,如巡检机器人、智慧安监摄像头等新兴业务的接入。文章分析了几种常用无线组网方式的利弊,提出基于WAPI网络的无线局域网解决方案,采用集中管理和认证的模式,以提升业务通道安全性,解决了变电站“最后一公里”网络覆盖难题,为电力物联网网络层的规划建设提供参考。
02 主要创新点
1)基于WAPI的安全无线组网方案总体设计
通过在中心机房或网管中心统一部署无线控制器、认证服务器和网管系统,站端只部署无线接入点,业务通过WAPI无线局域网接入变电站综合数据网传输,实现对接入设备的集中管理、集中认证、集中监控。
图1 基于WAPI的安全无线组网方案总体设计
无线接入点AP通过网线和有源以太网(Power Over Ethernet,POE)交换机连接,采用POE模式对AP设备供电,减少电源线的布放。移动应用终端如巡检机器人、移动摄像头等通过互联网安全协议(Internet Protocol Security, IPSec)网关和AP互联,POE交换机将各AP接入点数据汇集后接入变电站综合数据网汇聚层交换机,再经过防火墙、三层交换机等网络设备连接到网管服务器。无线控制器、WAPI证书服务器等部署在网管机房,对每个变电站所有接入WAPI无线局域网的AP和应用终端进行集中统一管理。
2)WAPI鉴别过程安全策略
WAPI网络协议采用三元对等的安全架构,3个物理实体都有自己的独立身份,并通过数字证书进行身份验证。首先STA和AP之间通过非受控端口建立连接,STA发出接入鉴别请求,AP将鉴别请求转发给鉴别服务器(Authentication Server,AS),然后AS下发数字证书,AP和STA各自解析并安装数字证书,若证书验证通过,则加密通道开启,STA接入网络并通过密钥协商后开始数据通信。
STA的证书由用户从鉴别服务单元(Authentication Service Unit,ASU)获取或本地安装,AP的证书在入网前由网络管理员负责安装,AS被认为是可信任的“根”,能够确保颁发的证书是合法的,同时还负责数字证书的发布、销毁和纠错等管理工作,是网络安全运行的核心组件。此外,中间网络设备是指交换机、路由器、防火墙等传统网络传输设备,方便网络的后期扩展和接入。
图2 WAPI鉴别过程
03 解决的问题和意义
1)提出一种变电站安全无线组网的方法
为解决变电站全域物联网各类业务对无线通信的需求,有效支撑智能电网数字化转型升级,文章设计了基于无线局域网鉴别与保密基础结构(WLAN Authentication and Privacy Infrastructure,WAPI)的无线网络解决方案,运用国家认可并保护的密码算法,采用三元对等安全架构和数字证书进行身份认证,通过在中心机房统一部署无线控制器、认证服务器和网管系统,站端只安装无线接入点,业务通过WAPI无线局域网接入变电站综合数据网,实现对无线设备的集中管理、集中认证、集中控制、集中监视,保障各类接入业务的安全运行。
2)实施四个方面的安全管理策略
①身份认证管理。所有接入AP的移动终端STA都必须具备鉴别服务器颁发的数字证书,通过变电站综合数据网将STA认证信息、AP管理报文发送至AS和AC。
②访问控制策略。首先通过防火墙技术在网络边界、不同区域之间(变电站数据网交换机上联端口),根据具体业务访问控制策略设置相应访问控制规则,默认情况下必须关闭所有除通信外的受控端口。
③网络攻击防护。具备入侵检测功能,能够主动检测非授权无线接入设备AP和非授权移动终端STA的接入行为,当未通过认证用户试图访问网络时,临时将该访问用户的源物理地址加入阻塞地址列表中,在一段时间内该源物理地址为非法地址,不能和AP建立连接。
④网络安全审计。定期在无线控制器和认证服务器上进行安全审计,对象包括接入无线局域网的所有用户以及重要用户的行为、重要安全事件,审计内容涵盖事件的具体日期、用户身份、事件类型、事件是否成功等信息,并且对审计记录进行定期备份和严密保护,未经许可严禁删除、修改和覆盖。
3)对往后变电站无线网络建设提供参考
针对变电站智能化移动终端、电力物联网等新兴业务对泛在、安全、快速、灵活无线网络的接入需求,提出比WIFI技术安全等级更高、基于拥有国家自主知识产权的WAPI协议的无线局域网解决方案,采用三元对等双向身份鉴别模式,实现设备的集中管理、集中认证和集中监控,确保网络安全。巡检机器人业务的应用测试表明,该方案能够将视频业务等大容量数据通过“无线局域网+变电站综合数据网”的方式安全传输,形成了变电站站内无线通信技术的接入指引,有效解决变电站“最后一公里”网络覆盖难题,助力电力物联网建设。
原标题:广东电网有限责任公司佛山供电局 蔡勇超,赵振兴:电力物联网安全无线组网方案研究及应用
来源:电力信息与通信技术
在线咨询
在线咨询
0371-63319761