设为首页 加入收藏 联系我们
关于联盟 联盟工作 联盟成员 WAPI产业链 WAPI专题 行业资讯 咨询测试 WAPI互操作认定 招贤纳士
 
 
 
今日要闻
南网WAPI网络中AS建设及应用思考
【发布时间:2021-1-29】 【来源:南方电网数字电网研究院有限公司、北京数字认证股份有限公司】
 
2020年3月4日,中共中央政治局常务委员会召开会议提出,加快推进国家规划已明确的重大工程和基础设施建设。要加大公共卫生服务,应急物资保障领域投入,加快5G网络、数据中心等新型基础设施建设进度。“新基建”骤然成为各界关注的新焦点。“新基建”的核心在于传统产业的数字化转型,传统基础设施的数字化改造。随着数字基建的开展,将从根本上改变我国数字经济发展面貌,推进数字经济相关产业升级、经济活动模式的演进和社会生活模式的变迁。同时,“新基建”孕育着巨大的发展空间,为各行各业培育新动能,释放发展潜力。
 
中国南方电网有限责任公司(简称“南方电网”)深入贯彻落实数字中国建设、能源革命、“新基建”等国家重大战略部署,基于我国电网和能源发展趋势,融合“云大物移智”等新一代数字技术,全力推动建设“数字电网”,构建电网新形态、电网企业新业态和能源产业新生态,形成现代化电网和新能源体系。
 
电力系统作为我国关键的基础设施,是经济社会运行的神经中枢,是网络安全的重中之重。电力厂站作为电力系统中的重要节点,承担着保障电力系统安全与稳定运行的关键作用。随着南方电网“数字电网”建设的逐步推进,为适应电网业务快速发展的数据采集需求,实现电网移动业务、大宽带业务的灵活接入,南方电网拟采用无线局域网国家标准规范的WAPI(无线局域网鉴别与保密基础结构)技术,结合北京数字认证股份有限公司(简称“数字认证”)鉴别服务器(AS)技术与产品,落实电网厂站“最后一公里”热点覆盖和网络接入认证建设工作。
 
WAPI技术采用三元对等安全架构,可信的第三方鉴别服务器(AS)将对终端(STA)和接入点(AP)进行双向鉴别,南方电网根据电力厂站的网络应用场景,综合分析WAPI无线接入认证技术的部署建设和管理模式,形成基于电网厂站的可信无线接入认证管理的解决方案,采用集中管理、分域认证的管理模式,以解决厂站“最后一公里”无线接入问题。
 
目前,南方电网WAPI建设工作已初具规模,已完成中山光明站、佛山松夏站、广西琅东站等站点的网络建设,涉及接入终端包括轮式机器人、摄像头、执法记录仪等。同时,南方电网五省区、超高压、双调、深圳已经开展或正在规划建设WAPI网络,以实现各站点的网络覆盖和多业务接入。
 
本文将通过对南方电网WAPI网络中AS建设及应用模式进行回溯和探讨,提出以下几点思考,希望对相关领域WAPI建设及应用提供借鉴。
 

一、整合多层级组织结构,实现基于身份认证模式的无线漫游
 
WAPI提供了基于证书和预共享密钥的安全机制,其中证书机制适合于非临时性运营应用的环境。针对多层级组织结构的应用场景,需要在国家标准规范的基础上进行扩展WAPI产业联盟团体标准T/WAPIA 010.2—2010《补篇2 无线局域网证书鉴别漫游规范》,解决WAPI安全机制的证书漫游鉴别问题,提供基于WAPI证书的漫游鉴别协议。
 
针对不同的漫游场景,结合AS多层级部署模式,无线身份鉴别存在AS之间直接建立信任关系互联和中心(集团)AS负责中转AS漫游鉴别两种方式:
 
  • AS间直接建立信任关系鉴别消息
相邻AS可互相交换存储证书,或预置共享密钥来建立信任关系。接入地AS找到直接信任的归属地 AS,则把漫游证书鉴别请求发归属地AS进行证书鉴别。
  • 中心AS负责中转AS间鉴别消息
若用户跨区域漫游,接入地AS把漫游证书鉴别请求发往中心 AS,中心AS负责把该漫游认证请求发往归属地AS进行证书鉴别。
 
二、建立智能专用终端WAPI模块证书管理机制
 
随着云计算、大数据、移动互联网、物联网等新型信息技术的不断发展,多产业领域信息系统技术架构体系不断演进变化,数据采集业务呈现复杂化。采集控制终端的接入终端多样且数量巨大、数据敏感性高,且涉及控制指令下发等特点。在这种背景下,WAPI技术作为网络安全、数据安全和应用安全的核心支撑,需要满足接入终端的身份的合法性、关键数据的保密性、控制指令的安全下发的需求。
 
AS的证书签发功能(CISU)支持提供WAPI证书签发服务,强制使用数字身份凭证作为身份凭证,能够为接入的AP和STA签发数字身份凭证,系统采用了国家密码管理局批准的SM4对称密码算法对传输数据进行加解密,充分保障了数据传输的安全和用户信息的完整。针对智能专用终端(如:巡检机器人),支持为其内置密码模块,在终端内部产生密钥和P10请求,并发送至AS进行证书申请与下发。
 
AS的身份鉴别功能(ASU)使用数字身份凭证作为用户身份凭证,在鉴别过程中采用基于椭圆曲线的公钥证书体制(ECC算法),并使用安全的消息杂凑算法保障消息的完整性,攻击者难以对进行鉴别信息进行修改和伪造,安全强度高。
 
三、构建云服务架构,实现证书签发集中化与标准化
 
未来的各类业务系统都会逐步向云迁移,业务扩展速度和规模也与云构架相匹配。因此,有必要将AS软硬件进行分离,实现集中化的证书签发管理平台,实现标准化的数字身份证书管理流程与规范。区别于典型的WAPI解决方案,应基于WAPI无线接入技术,将CISU(证书签发功能)和ASU (证书鉴别功能)相互分离,CISU部署在总部CIS服务端,提供WAPI证书统一签发服务,ASU部署在本地AS服务端,提供网络安全接入鉴别管控服务,解决了网络部署规模大与异地管控的业务场景。
 
四、基于WAPI技术,建立标准化政策与规范
 
WAPI产业联盟自2006年成立以来,与工信部宽带无线IP标准工作组、ISO/IEC JTC1/SC6国内技术对口单位形成了WAPI标准产业共同体,凝聚了政产学研用百余家单位,专注于无线网络和网络安全领域的技术研究、标准化、产业化和国际化,已成为国内在该领域最有影响力的产业技术组织,推动形成了TePA-WAPI技术创新和标准体系。联盟组织成员单位通过标准制修订和转化,推动无线网络创新技术的应用,填补标准体系空白,提升产业发展水平,推动行业进步。至今,联盟成员在无线网络领域已累计形成5000余项专利。
 
目前,基于三元对等(TePA)安全架构已经形成13项国际标准,在物联网、有线以太网、无线个域网、电子标签、同轴双向网络、传感器网络、有线局域网、无线城域网、未来网络、磁域网络等众多领域已形成了标准国际化超前布局,这是与国外最领先的安全协议技术同台激烈竞争,彰显了中国的国际技术创新竞争能力和水平,也为我国自主核心技术创新、解决网络安全卡脖子问题、提升国际话语权做出有力支撑。
 
供稿单位:南方电网数字电网研究院有限公司、北京数字认证股份有限公司
 

 

 
  


 
 


电话:010-82351181/82357730   传真:010-82351181 Ext.1901  邮箱:wapia@wapia.org; wapi@wapia.org

地址:北京市海淀区知春路27号量子芯座1608室 邮编 :100191