0 引言

以電力為中心的城市能源互聯(lián)網(wǎng)的發(fā)展為供電企業(yè)帶來了前所未有的機遇。在互聯(lián)網(wǎng)+和能源互聯(lián)網(wǎng)不斷推進建設(shè)的大背景下,基于以往電網(wǎng)運營強調(diào)的用戶供電可靠性保障和供電質(zhì)量保障,已無法及時了解客戶的內(nèi)部用電信息及需求,不能滿足互聯(lián)網(wǎng)時代客戶的個性化需求。應(yīng)用互聯(lián)網(wǎng)技術(shù),通過建設(shè)用戶站集中監(jiān)控系統(tǒng),進而升級至能源管理互聯(lián)網(wǎng)平臺,可增加與用戶的多樣化交互,并根據(jù)電力用戶的差異化需求,通過引導(dǎo)地區(qū)新能源發(fā)展,指導(dǎo)客戶建立微電網(wǎng),實現(xiàn)系統(tǒng)化、流程化的能源管理,通過多途徑為用戶提供個性化的整體能源解決方案^[1-3]。

鑒于能源互聯(lián)網(wǎng)發(fā)展的迫切需求,需要建立一張與其發(fā)展相匹配的通信網(wǎng)絡(luò)。無線專網(wǎng)的應(yīng)用是占據(jù)城市能源互聯(lián)網(wǎng)入口、取得競爭優(yōu)勢的必要舉措,也將進一步提升城市能源互聯(lián)網(wǎng)中通信網(wǎng)絡(luò)整體的信息采集和傳輸能力,優(yōu)化資源配置,提升網(wǎng)絡(luò)運行效率。同時,在信息網(wǎng)絡(luò)安全越來越重要的大背景下,如何建設(shè)好既高效又安全的無線網(wǎng)絡(luò),成為城市能源互聯(lián)網(wǎng)研究中的一項重要課題^[4]。

 1 業(yè)務(wù)需求

1.1 業(yè)務(wù)內(nèi)容需求

能源互聯(lián)網(wǎng)業(yè)務(wù)是基于多專業(yè)的綜合性信息開展大數(shù)據(jù)分析,以實現(xiàn)精準定位用戶的差異化需求。能源互聯(lián)網(wǎng)業(yè)務(wù)數(shù)據(jù)需求面極為廣泛,涉及客戶（尤其是大客戶）信息的方方面面,如設(shè)備、線路、用能、生產(chǎn)情況等信息,具體為：在生產(chǎn)管理方面,需收集客戶方生產(chǎn)制造相關(guān)的產(chǎn)能信息;在綜合用能信息采集方面,需實時掌握客戶煤、水、電、熱等綜合用能信息;在設(shè)備在線監(jiān)測方面,需對大用戶的線路、設(shè)備的運行狀態(tài)數(shù)據(jù)進行實時監(jiān)測;在用戶移動服務(wù)方面,需能夠支撐用戶對于用能信息、節(jié)能方案的交互。

為保障能源互聯(lián)網(wǎng)為用戶提供專業(yè)化的服務(wù),實現(xiàn)高效優(yōu)質(zhì)的電力能源服務(wù),還需要對與能源互聯(lián)網(wǎng)業(yè)務(wù)緊密相關(guān)的供電公司現(xiàn)有業(yè)務(wù)進行信息采集工作：

1）配電自動化：采集配電自動化的“二遙”、“三遙”業(yè)務(wù)數(shù)據(jù);

2）移動作業(yè)：采集配電工區(qū)的移動巡視、移動檢修、配網(wǎng)搶修作業(yè)過程中的信息;

3）配電設(shè)施、營業(yè)廳及充電站/樁視頻監(jiān)測：包括配電設(shè)施、營業(yè)廳、電動汽車充電站、分散式充電樁群的視頻信息等。

1.2 無線專網(wǎng)業(yè)務(wù)帶寬需求

以35 kV、110 kV公用變電站模擬站點預(yù)估無線終端數(shù)量,計算無線專網(wǎng)基站的無線業(yè)務(wù)通信帶寬,確保基站可同時滿足覆蓋和帶寬的雙重需求。在站點帶寬需求分析中,能源互聯(lián)網(wǎng)按照
128 kbit/s計算,配電自動化按照3 kbit/s計算,移動作業(yè)按照語音90 kbit/s、數(shù)據(jù)512 kbit/s、視頻1 024 kbit/s計算,配電設(shè)施、營業(yè)廳及充電站/樁視頻監(jiān)測按照2 048 kbit/s計算。業(yè)務(wù)帶寬需求見表1所列。

表1 業(yè)務(wù)帶寬需求Tab.1 Business bandwidth requirements

在單變電站需求帶寬計算中,能源互聯(lián)網(wǎng)按照每個站點接入10個移動作業(yè)終端,并發(fā)比按照100%計算;配電自動化按照站點平均分配到每個基站,并發(fā)比按照100%計算;移動作業(yè)按照每站下面5個站點,并發(fā)比按照語音30%、數(shù)據(jù)10%、視頻20%計算;配電設(shè)施、營業(yè)廳及充電站/樁視頻監(jiān)測按照每站2個站點,并發(fā)比按照100%計算。變電站帶寬需求見表2所列。

表2 變電站帶寬需求Tab.2 Bandwidth requirements for substations

由表2可知,單基站匯總帶寬為6.65 Mbit/s,結(jié)合業(yè)務(wù)實時性、可靠性要求,同時考慮到后續(xù)業(yè)務(wù)類型和容量的擴充,計算過程中還需要考慮50%的冗余量,因此基站帶寬設(shè)計時考慮為每個變電站統(tǒng)一申請20 Mbit/s帶寬以滿足信息回傳需求。

 2 無線通信系統(tǒng)的選擇

2.1 無線技術(shù)的發(fā)展

隨著移動通信飛速發(fā)展,當前已進入4G網(wǎng)絡(luò)時代。TD-LTE是一個由中國主導(dǎo)且具有“國際化”特征的標準,TD-LTE的技術(shù)優(yōu)勢體現(xiàn)在速率、時延和頻譜利用率等多個方面,使得運營商能夠在有限的頻譜帶寬資源上具備更強大的業(yè)務(wù)提供能力。TD-LTE理論峰值速率在上、下行分別達到了50 Mbit/s和100 Mbit/s。

基于國家能源基礎(chǔ)設(shè)施安全方面的考慮,電力行業(yè)在城市能源互聯(lián)網(wǎng)建設(shè)中應(yīng)以TD-LTE作為首要選擇對象^[5]。TD-LTE技術(shù)是對TD-SCDMA的網(wǎng)絡(luò)架構(gòu)優(yōu)化,采用扁平化結(jié)構(gòu),取消了RNC節(jié)點,同時接入網(wǎng)側(cè)僅包含NodeB一種實體,對網(wǎng)絡(luò)設(shè)計進行了簡化處理,降低了后期維護難度,實現(xiàn)了全IP路由。

2.2 TD-LTE無線通信系統(tǒng)介紹

2.2.1 TD-LTE系統(tǒng)架構(gòu)

TD-LTE系統(tǒng)^[6-7]由3個部分組成,TD-LTE系統(tǒng)架構(gòu)如圖1所示。

圖1 TD-LTE系統(tǒng)架構(gòu)Fig.1 TD-LTE system architecture

TD-LTE系統(tǒng)包括演進型分組核心網(wǎng)（Evolved Packet Core,EPC）、演進型基站（eNodeB）和用戶設(shè)備（UE）3個部分,其中EPC負責核心網(wǎng)部分;eNodeB負責接入網(wǎng)部分,也稱E-UTRAN;UE負責用戶終端設(shè)備。eNodeB與EPC通過S1接口連接;eNodeB之間通過X2接口連接;eNodeB與UE之間通過Uu接口連接。與通用移動通信系統(tǒng)（Universal Mobile Telecommunications System,UMTS）相比,由于NodeB和RNC融合為網(wǎng)元eNodeB,因此TD-LTE沒有Iub接口。X2接口類似于Iur接口,S1接口類似于Iu接口,但都有較大簡化。

2.2.2 TD-LTE鏈路關(guān)鍵技術(shù)

由于電力系統(tǒng)的接入業(yè)務(wù)主要為上行業(yè)務(wù),因此與LTE上行相關(guān)的主要物理層技術(shù)包括單載波頻分多址（Single-Carrier Frequency-Division Multiple Access,SC-FDMA）技術(shù)、虛擬多入多出技術(shù)以及鏈路自適應(yīng)技術(shù)。

1）SC-FDMA技術(shù)。在每個傳輸時間間隔內(nèi),基站給每個用戶設(shè)備（User Equipment,UE）分配一個獨立的頻段,以便發(fā)送數(shù)據(jù),使得不同用戶的數(shù)據(jù)在時間和頻率上分開,保證了小區(qū)內(nèi)同一時刻不同用戶所使用上行載波的正交性,避免了小區(qū)內(nèi)同頻干擾^[8]。上行SC-FDMA信號可以用“頻域”和“時域”兩種方法生成,頻域生成方法又可稱為DFT擴展OFDM（Discrete Fourier Transform-Spread OFDM,DFT-S-OFDMA）,時域生成方法又可稱為交織FDMA（Interleaved FDMA,IFDMA）。目前,DFT-S-OFDMA技術(shù)已成為LTE技術(shù)的主流方案,該技術(shù)方案是在OFDM的IFFT調(diào)制之前,對信號進行DFT拓展,系統(tǒng)發(fā)射時域信號避免了發(fā)送頻域信號帶來的PAPR問題,從而降低PDA的功放成本,有效延長了電池壽命。

2）虛擬多入多出技術(shù)。虛擬多入多出（Virtual MIMO）技術(shù)在LTE上行時是一種特殊的多用戶MIMO技術(shù),可以看作是一種空分復(fù)用技術(shù),可將兩個單天線UE進行配對,實現(xiàn)虛擬MIMO發(fā)送。基于此,兩個具有較好正交性的UE可以共享相同的時/頻資源,有效提高了上行系統(tǒng)容量。此外,LTE下行方向也可以采用虛擬MIMO,當用戶終端擁有多個接收天線時,相鄰小區(qū)基站可以向用戶終端同時發(fā)送數(shù)據(jù),組成虛擬MIMO。

3）鏈路自適應(yīng)技術(shù)。鏈路自適應(yīng)技術(shù)的核心是自適應(yīng)調(diào)制和編碼（Adaptive Modulation and Coding,AMC）,LTE對AMC技術(shù)的爭論主要集中在是否對一個用戶的不同頻率資源采用不同的AMC（RB-specific AMC）。雖然理論上由于頻率選擇性衰落的影響,這樣做可以比在所有頻率資源上采用相同的AMC配置（RB-common AMC）取得更佳的性能,但仿真中發(fā)現(xiàn)這種方法帶來的增益并不明顯,且會帶來額外的信令開銷,因此確定采用RB-common AMC。也就是說,對于一個用戶的一個數(shù)據(jù)流,在一個傳輸時間間隔（Transmission Time Interval,TTI）內(nèi),一個第二層的協(xié)議數(shù)據(jù)單元（Protocol Data Unit,PDU）只采用一種調(diào)制編碼組合（但在MIMO的不同流之間可以采用不同的AMC組合）。對于上行鏈路,自適應(yīng)技術(shù)除AMC外,還包括傳輸帶寬的自適應(yīng)調(diào)整和發(fā)射功率的自適應(yīng)調(diào)整（Adaptive Power Control,APC）。

2.2.3 TD-LTE射頻拉遠技術(shù)

LTE基站eNodeB包括基帶處理單元（Building Base band Unite,BBU）和射頻拉遠單元（Radio Remote Unit,RRU）。BBU部署在110 kV/35 kV變電站內(nèi),每個RRU通過收發(fā)2根光纖連接BBU。在非級聯(lián)模式下,1個BBU的單個業(yè)務(wù)板最多可支持6個RRU,實現(xiàn)對多個微小區(qū)的覆蓋;在級聯(lián)模式下,RRU還具有光纖直放站的功能,可以實現(xiàn)進一步的級聯(lián)延伸,擴大覆蓋范圍。級聯(lián)模式適用于鏈型網(wǎng)絡(luò)架構(gòu),如較長的10 kV線路覆蓋情況。

RRU及天線通常部署在柱上開關(guān)、臺變或環(huán)網(wǎng)柜旁,核心網(wǎng)設(shè)備部署在縣局或市局控制中心。無線終端CPE通過有線方式（串口或以太網(wǎng)口）連接集中器、配電自動化終端等。射頻拉遠技術(shù)原理及應(yīng)用示意如圖2所示。

圖2 射頻拉遠技術(shù)原理及應(yīng)用示意Fig.2 Principle and application of radio spreading technology

RRU支持最長40 km級聯(lián),級聯(lián)需要收發(fā)兩根光纖,光纖從一個RRU連接至下一個RRU。在級聯(lián)過程中,下一級的RRU收到的數(shù)據(jù)要經(jīng)過上一級RRU的匯聚處理,級聯(lián)后的傳輸容量取決于光纖容量。

在級聯(lián)模式下理論上可接入36個RRU,在不超過40 km情況下,時延影響不大,可正常工作。BBU與RRU之間接口為3GPP定義的CPRI接口,對時間同步要求非常高,必須要用裸光纖進行傳遞。

2.2.4 TD-LTE無線多業(yè)務(wù)承載技術(shù)

無線專網(wǎng)基于無線接入網(wǎng)共享（Radio Access Network Sharing,RAN-Sharing）隔離的虛擬網(wǎng)解決方案,主要包括以下兩種典型方式。

1）基于無線二層VPN技術(shù)的虛擬網(wǎng)實現(xiàn)方案。基于無線二層VPN技術(shù)的虛擬網(wǎng)業(yè)務(wù)隔離原理如圖3所示,根據(jù)終端種類,將某一無線基站覆蓋區(qū)域內(nèi)同類型的接入終端劃分到一個VLAN內(nèi),不同VLAN的終端在無線接入時共享信道資源,不為各種業(yè)務(wù)分配單獨的專享信道。但是,根據(jù)業(yè)務(wù)實時性和傳輸帶寬的要求,必須在VLAN之間設(shè)置接入優(yōu)先級,同一個VLAN中的所有終端享有相同的接入優(yōu)先級。基站接收到數(shù)據(jù)包后,解析終端的IP地址和所屬的VLAN即可確定數(shù)據(jù)業(yè)務(wù)的類型。該方案在系統(tǒng)擴容增加新的接入終端時不僅需要將新終端的地址重新添加至原有VLAN中,而且還需要考慮是否接近系統(tǒng)容量上限。

圖3 基于無線二層VPN技術(shù)的虛擬網(wǎng)業(yè)務(wù)隔離原理Fig.3 Virtual network service isolation principle based on wireless two layer VPN technology

2）基于頻段或子載波劃分的虛擬網(wǎng)實現(xiàn)方案。在有限的頻段內(nèi),將可以利用的子載波按照接入終端的種類、數(shù)量、數(shù)據(jù)傳輸?shù)膸捯蟮冗M行統(tǒng)計分析,基于頻段或子載波劃分的虛擬網(wǎng)業(yè)務(wù)隔離原理如圖4所示。在一個基站的覆蓋范圍內(nèi),固定分配若干個子載波給不同業(yè)務(wù)終端使用,各終端可以采用時分多址接入,也可以采用頻分多址接入。由于子載波之間的正交性,頻譜疊加的子載波傳輸信號不會產(chǎn)生干擾,因而能夠保證所有傳輸不同業(yè)務(wù)子載波的邏輯隔離。基站對收到的基帶信號進行處理時,根據(jù)不同頻率即可區(qū)分承載的業(yè)務(wù)數(shù)據(jù)類型,進而通過不同的物理端口將各類業(yè)務(wù)上傳到相應(yīng)大區(qū)的主站系統(tǒng)中。

圖4 基于頻段或子載波劃分的虛擬網(wǎng)業(yè)務(wù)隔離原理Fig.4 Virtual network service isolation principle based on band or subcarrier division

2.2.5 TD-LTE無線安全應(yīng)用技術(shù)

根據(jù)相關(guān)規(guī)定,配電數(shù)據(jù)屬于“生產(chǎn)控制大區(qū)”（即安全Ⅰ、Ⅱ區(qū)）,用電數(shù)據(jù)屬于“管理信息大區(qū)”（即安全Ⅲ、Ⅳ區(qū)）。因此,配電數(shù)據(jù)應(yīng)盡量采用專網(wǎng)傳輸,公網(wǎng)只能采集、不能控制,且兩個大區(qū)的數(shù)據(jù)需要進行物理隔離。

當采用專用無線網(wǎng)絡(luò)時,應(yīng)分別針對無線接入層和管理接入層采用相應(yīng)的信息安全措施。無線接入層是指從終端到基站之間的空口傳輸過程,管理接入層是指從終端到配電自動化系統(tǒng)之間的總體傳輸過程,無線接入層和管理接入層的安全措施應(yīng)分別獨立運作（見圖5）。這種雙層安全措施提供了終端與基站、終端與配電自動化系統(tǒng)的雙向鑒權(quán)認證,提升了針對仿冒基站的防御能力。

圖5 無線專網(wǎng)安全防護原理Fig.5 Principle of security protection for wireless private network

無線接入層和管理接入層所采用的具體安全措施均包含雙向鑒權(quán)認證、安全性激活、信令和數(shù)據(jù)的機密性及完整性保護。這兩層的安全措施類似,但應(yīng)采用不同的密鑰以保證各自獨立運作。TD-LTE系統(tǒng)整體安全邏輯模型如圖6所示。

圖6 TD-LTE系統(tǒng)整體安全邏輯模型Fig.6 TD-LTE system overall security logic model

在LTE系統(tǒng)中,每個無線終端設(shè)備都與歸屬網(wǎng)絡(luò)有簽約關(guān)系,歸屬網(wǎng)絡(luò)為客戶終端分配一個唯一的標識符和根密鑰,根密鑰由鑒權(quán)中心和客戶共享,標識符和根密鑰保存在客戶終端存儲器和鑒權(quán)中心。

1）安全分層。TD-LTE的安全邏輯安全分為3個層面：第一層為演進的UTRAN（E-UTRAN）網(wǎng)絡(luò)（RRC安全）,即空口安全;第二層為演進的核心網(wǎng)（EPC）NAS信令安全和客戶層保護;第三層為核心網(wǎng)各個實體之間的認證和加解密通信,由于核心網(wǎng)為全IP設(shè)計,因此采用目前比較成熟的IPSec等技術(shù)。

2）安全功能。TD-LTE系統(tǒng)應(yīng)用公開、成熟的密碼技術(shù),擁有目前移動通信網(wǎng)絡(luò)中最豐富的安全功能結(jié)構(gòu)。TD-LTE安全功能框架如圖7所示。

圖7 TD-LTE安全功能框架Fig.7 TD-LTE security function framework

 3 無線專網(wǎng)的應(yīng)用

3.1 城市能源互聯(lián)網(wǎng)中的無線專網(wǎng)總體安全架構(gòu)

首先,要建立城市能源互聯(lián)網(wǎng)中的無線專網(wǎng)。城市能源互聯(lián)網(wǎng)中無線專網(wǎng)系統(tǒng)總體安全架構(gòu)如圖8所示,根據(jù)ITU-T X.805（中文版為YD/T 2386—2011）通信系統(tǒng)通用安全模型,無線專網(wǎng)系統(tǒng)總體分為用戶、控制和管理3個平面,用戶平面包括應(yīng)用層、網(wǎng)絡(luò)層和設(shè)備層,控制平面包括傳輸層和設(shè)備層,管理平面包括應(yīng)用層、傳輸層和設(shè)備層。LTE系統(tǒng)本身對3個平面以及每個平面的傳輸層和設(shè)備層都有安全防護要求或者具體措施,應(yīng)用平面安全措施由用戶具體實施,包括業(yè)務(wù)網(wǎng)絡(luò)安全措施和業(yè)務(wù)網(wǎng)絡(luò)延伸安全。因此,本文對用戶應(yīng)用安全進行了專門加強,并與LTE自身安全措施相互融合,構(gòu)成無線專網(wǎng)的安全防護整體。

圖8 城市能源互聯(lián)網(wǎng)中無線專網(wǎng)系統(tǒng)總體安全架構(gòu)Fig.8 The overall security architecture of the wireless private network system in the urban energy Internet

LTE無線專網(wǎng)安全防護應(yīng)符合發(fā)改委[2014]14號令《電力監(jiān)控系統(tǒng)安全防護規(guī)定》和國能安全[2015]36號文的要求。城市能源互聯(lián)網(wǎng)無線專網(wǎng)安全防護總體方案如圖9所示。

圖9 城市能源互聯(lián)網(wǎng)無線專網(wǎng)安全防護總體方案Fig.9 The overall security protection scheme for urban energy internet wireless private network

生產(chǎn)控制大區(qū)和管理信息大區(qū)的業(yè)務(wù)系統(tǒng)在與其終端的連接中使用電力LTE無線網(wǎng)絡(luò)或公用網(wǎng)絡(luò)等進行通信的,應(yīng)設(shè)立安全接入?yún)^(qū),接入生產(chǎn)控制大區(qū)的安全接入?yún)^(qū)應(yīng)包含物理隔離部件、前置機和加密認證設(shè)備等,接入管理信息大區(qū)的安全接入?yún)^(qū)應(yīng)包含安全接入平臺和加密認證設(shè)備等。

終端設(shè)備采用認證加密機制和訪問控制措施建立加密傳輸通道進行信息采集,以保證業(yè)務(wù)數(shù)據(jù)的保密性和完整性。

3.2 城市能源互聯(lián)網(wǎng)中的無線專網(wǎng)安全增強方案

3.2.1 生產(chǎn)大區(qū)業(yè)務(wù)增強安全防護物理架構(gòu)

在LTE標準安全防護體系之外,還需額外附加電力終端安全防護措施,在I/II區(qū)的業(yè)務(wù)邊界側(cè)部署安全接入網(wǎng)關(guān)、業(yè)務(wù)前置機以及正反向隔離裝置。附加的終端安全防護措施可使所接入的電力業(yè)務(wù)安全性得到加強^[9-12]。終端配置安全接入模塊與安全接入網(wǎng)關(guān)配合,可以實現(xiàn)端到端的安全認證和加密傳輸,進一步增強無線通信的安全性和可靠性。

3.2.2 管理大區(qū)業(yè)務(wù)增強安全防護物理架構(gòu)

LTE接入層的終端采用專用安全接入模塊與業(yè)務(wù)邊界側(cè)部署的安全接入平臺協(xié)同配合,實現(xiàn)終端到業(yè)務(wù)層邊界的加密傳輸、數(shù)據(jù)隔離交換以及終端業(yè)務(wù)層的合法性認證。這種安全防護架構(gòu)對于進入信息內(nèi)網(wǎng)的數(shù)據(jù)提供了較全面的安全防護措施,實現(xiàn)了訪問控制、攻擊檢測、終端認證、傳輸加密等功能。在多業(yè)務(wù)承載場景中,每種業(yè)務(wù)都需要相應(yīng)的安全接入?yún)^(qū)。

3.2.3 城市能源互聯(lián)網(wǎng)無線專網(wǎng)安全措施增強

城市能源互聯(lián)網(wǎng)無線專網(wǎng)安全措施增強如圖10所示。

圖10 城市能源互聯(lián)網(wǎng)無線專網(wǎng)安全措施增強Fig.10 The enhanced security protection scheme of measures

安全接入平臺的主要功能有3個部分,包括認證、加密、集中監(jiān)管,安全接入平臺與現(xiàn)場終端的交互過程主要包括認證和加密,每個周期內(nèi)（一般為24 h或10 000個數(shù)據(jù)包）只認證一次,對系統(tǒng)的效率和帶寬影響不大。

 4 結(jié)語

城市能源互聯(lián)網(wǎng)是全球能源互聯(lián)網(wǎng)的重要組成部分,城市能源互聯(lián)網(wǎng)建設(shè)需要堅強有力的無線通信網(wǎng)絡(luò)作為支撐。本文對TD-LTE的技術(shù)特點進行了分析,結(jié)合電力行業(yè)針對性地提出了基于TD-LTE的城市能源互聯(lián)網(wǎng)無線專網(wǎng)建設(shè)方案,整體方案充分考慮電力系統(tǒng)生產(chǎn)大區(qū)與信息大區(qū)安全措施的特點,在安全措施方面進行了重點加強,具有一定的借鑒意義。