基于5G 通信技術(shù)的配電網(wǎng)精準(zhǔn)控制端到端承載方案研究

張 辰，林曉亮，段凌霄，盧 杉，吳 昊

（1.國網(wǎng)浙江省電力有限公司信息通信分公司，杭州 310007；2.國網(wǎng)浙江省電力有限公司衢州供電公司，浙江 衢州 324002；3.國網(wǎng)信息通信產(chǎn)業(yè)集團(tuán)安徽繼遠(yuǎn)軟件有限公司，合肥 230088）

0 引言

配電網(wǎng)作為電力能源輸送的最后分配環(huán)節(jié)，其安全性和可靠性對(duì)人民生活與工業(yè)生產(chǎn)質(zhì)量影響巨大。繼電保護(hù)技術(shù)可通過傳遞兩端采集電氣量判斷是否存在電氣故障，并在故障條件下迅速切除故障線路，能夠在電網(wǎng)發(fā)生故障時(shí)第一時(shí)間感知并快速隔離，從而確保了電網(wǎng)的安全穩(wěn)定運(yùn)行[1]。隨著分布式新能源應(yīng)用的不斷滲透[2]，電網(wǎng)從傳統(tǒng)的單向能源流動(dòng)向雙向流動(dòng)轉(zhuǎn)變，配電網(wǎng)電氣拓?fù)鋸?fù)雜度不斷增加，并且交直流混聯(lián)帶來的電網(wǎng)電力電子化特征更加顯著[3]，導(dǎo)致現(xiàn)有的配電網(wǎng)保護(hù)配置方案以及整定原則受到嚴(yán)峻挑戰(zhàn)，主要體現(xiàn)在三個(gè)方面：分布式新能源接入、交直流混聯(lián)導(dǎo)致配電網(wǎng)故障特征難以定量分析，傳統(tǒng)配電網(wǎng)整定方法適用性受到限制[4]；配電網(wǎng)電氣拓?fù)浣Y(jié)構(gòu)的復(fù)雜化導(dǎo)致現(xiàn)有保護(hù)配置方案的適用性變差；配電網(wǎng)末端點(diǎn)多面廣，傳統(tǒng)光纖通信信道建設(shè)成本高、協(xié)調(diào)難度大，嚴(yán)重制約了繼電保護(hù)在配電網(wǎng)的應(yīng)用。

近年來，隨著第五代移動(dòng)通信（簡(jiǎn)稱“5G”）網(wǎng)絡(luò)的快速部署和商用，5G 技術(shù)與垂直行業(yè)應(yīng)用的融合日益緊密，電網(wǎng)行業(yè)也在探索應(yīng)用5G 通信技術(shù)為配電網(wǎng)二次設(shè)備實(shí)時(shí)感知采集的龐大數(shù)據(jù)量提供高速傳輸通道，從而實(shí)現(xiàn)海量能源設(shè)施超低時(shí)延快速接入。國際標(biāo)準(zhǔn)化組織定義的5G通信系統(tǒng)性能指標(biāo)包括提供100 Mbps 的用戶體驗(yàn)速率、每平方公里百萬級(jí)連接規(guī)模、空口單向時(shí)延最低1 ms。運(yùn)用5G 大帶寬、低時(shí)延傳輸?shù)忍匦?，可以有效降低保護(hù)裝置通信時(shí)延，提升配電網(wǎng)保護(hù)精準(zhǔn)控制的速動(dòng)性、靈敏性與可靠性。文獻(xiàn)[5]提出了一種基于5G 配電網(wǎng)拓?fù)渥赃m應(yīng)差動(dòng)保護(hù)方案，以采樣點(diǎn)插值實(shí)現(xiàn)時(shí)間同步，通過試點(diǎn)應(yīng)用驗(yàn)證了方案的通信性能。文獻(xiàn)[6]提出了一種基于5G 技術(shù)的配電網(wǎng)電流差動(dòng)保護(hù)業(yè)務(wù)應(yīng)用方案，并采用北斗衛(wèi)星授時(shí)技術(shù)為線路兩端采樣時(shí)鐘提供嚴(yán)格時(shí)鐘同步，實(shí)現(xiàn)保護(hù)采樣脈沖時(shí)間相對(duì)誤差不超過2 μs。

為持續(xù)深化配電網(wǎng)差動(dòng)保護(hù)5G 試點(diǎn)應(yīng)用，促進(jìn)5G 技術(shù)與電網(wǎng)業(yè)務(wù)需求融合，本文從基本原理出發(fā)，詳細(xì)闡述了保護(hù)動(dòng)作機(jī)理對(duì)通信通道的多樣化需求，并基于現(xiàn)有5G 技術(shù)標(biāo)準(zhǔn)及發(fā)展趨勢(shì)，設(shè)計(jì)面向配電網(wǎng)差動(dòng)保護(hù)業(yè)務(wù)5G 通信端到端承載方案，涵蓋保護(hù)業(yè)務(wù)組網(wǎng)與安全防護(hù)兩個(gè)方面。最后，就5G 技術(shù)針對(duì)電力行業(yè)應(yīng)用特色需持續(xù)研究的熱點(diǎn)方向進(jìn)行展望。

1 配電網(wǎng)電流差動(dòng)保護(hù)原理及通信需求分析

為實(shí)現(xiàn)配電網(wǎng)電流差動(dòng)縱聯(lián)保護(hù)，電流差動(dòng)保護(hù)裝置在線路兩端采集同時(shí)刻電流電氣量的測(cè)量值（包含電流幅值、相位波形等），并通過通信通道傳輸?shù)綄?duì)端，各端保護(hù)裝置通過比較兩端當(dāng)前電流電氣量來決定是否應(yīng)動(dòng)作跳閘。具體而言，就是當(dāng)電流差值超過整定值時(shí)判定為內(nèi)部故障，生成繼電器跳閘信號(hào)控制斷路器跳開，從而實(shí)現(xiàn)故障的精確定位和快速隔離。

圖1 所示為典型配電網(wǎng)兩端電源供電模型：將流過線路兩側(cè)參考節(jié)點(diǎn)M，N的電流相量分別記作，；兩側(cè)電流差記作Id，該電流也被稱作動(dòng)作電流；兩側(cè)電流和記作Ir，該電流被稱為制動(dòng)電流。

圖1 配電網(wǎng)縱聯(lián)差動(dòng)保護(hù)拓?fù)鋱D

規(guī)定電流由M 側(cè)流向N 側(cè)為參考正方向，根據(jù)上述定義有：

差動(dòng)繼電器的動(dòng)作特性如圖2 所示。斜線以下區(qū)域?yàn)榉莿?dòng)作區(qū)，斜線以上區(qū)域?yàn)閯?dòng)作區(qū)。這種動(dòng)作特性稱作比率制動(dòng)特性，動(dòng)作邏輯的數(shù)學(xué)表達(dá)式也在圖2 中給出，其中Iqd為起動(dòng)電流，Kr為制動(dòng)系數(shù)。

圖2 電流差動(dòng)保護(hù)動(dòng)作特性

圖3 線路內(nèi)部出現(xiàn)短路故障

圖4 線路外部出現(xiàn)短路故障

當(dāng)保護(hù)線路正常運(yùn)行或出現(xiàn)外部故障時(shí)，上文假設(shè)動(dòng)作電流為零。實(shí)際在外部故障或正常運(yùn)行時(shí)，動(dòng)作電流往往不等于零，該種差流被稱為不平衡電流。產(chǎn)生不平衡電流的原因有：

（1）線路對(duì)地電容存在泄漏電流，在線路空載或者輕載時(shí)，穿越性制動(dòng)電流很小，該電容電流可以構(gòu)成導(dǎo)致保護(hù)跳閘的動(dòng)作電流，因此需要在圖2 保護(hù)動(dòng)作特性中增加起動(dòng)電流，降低弱穿越電流條件下電容電流的影響。

（2）兩端電流測(cè)量的互感器器件由于不同廠家產(chǎn)品的制造工藝差別，導(dǎo)致變比、工作特性不一致，因此需要考慮制動(dòng)系數(shù)因素。

（3）兩端差動(dòng)保護(hù)裝置分別獨(dú)立完成電流電氣量的測(cè)量與采樣，需要保證兩端保護(hù)裝置時(shí)間同步，從而確保在相同時(shí)刻獲得采樣值。同步誤差導(dǎo)致的電流采樣值不相等也會(huì)產(chǎn)生不平衡電流，嚴(yán)重時(shí)會(huì)引起保護(hù)誤動(dòng)作。

如無特別說明，本文忽略電容電流以及互感器制造工藝導(dǎo)致的不平衡電流的影響。下面結(jié)合電流差動(dòng)保護(hù)原理深入分析其對(duì)通信網(wǎng)絡(luò)性能的具體需求。

在通信帶寬需求方面，根據(jù)IEC 61850-9-2 SV（采樣值）通信規(guī)約，SV 報(bào)文傳輸電流、電壓瞬時(shí)值。保護(hù)裝置將電流互感器測(cè)量的每回路單相電流模擬值以4 kHz 頻率采樣獲得離散值，采樣時(shí)間間隔為250 μs，每個(gè)電流周期波（工頻50 Hz，周期波占用時(shí)長(zhǎng)20 ms）內(nèi)包含80 個(gè)采樣點(diǎn)；保護(hù)裝置將一次采樣獲得的80 個(gè)采樣點(diǎn)通過重采樣、插值獲得用于傳輸?shù)?4 個(gè)電氣采樣點(diǎn)，重采樣點(diǎn)時(shí)間間隔為833 μs，每個(gè)重采樣點(diǎn)量化編碼為8 字節(jié)數(shù)字值[7-8]。

通常GOOSE（面向通用對(duì)象的變電站事件）、SV 報(bào)文包含源MAC（介質(zhì)訪問控制）地址、目的MAC 地址、報(bào)文類型、AppID、報(bào)文長(zhǎng)度以及APDU（應(yīng)用協(xié)議數(shù)據(jù)單元），整體包長(zhǎng)最大可達(dá)到1 521 字節(jié)，一般200 字節(jié)左右。按照SV 報(bào)文傳輸間隔250 μs、833 μs 以及故障發(fā)生時(shí)刻GOOSE 報(bào)文發(fā)送時(shí)間間隔為2 ms，分別計(jì)算出SV 報(bào)文瞬時(shí)最大帶寬需求為6.4 Mbps，平均帶寬需求為1.92 Mbps。故障時(shí)GOOSE 報(bào)文平均帶寬需求為800 kbps；非故障時(shí)GOOSE 報(bào)文平均帶寬需求為320 bps，可以忽略。因此，考慮發(fā)生線路故障時(shí)單臺(tái)保護(hù)裝置發(fā)送帶寬需求可達(dá)7.2 Mbps 或2.72 Mbps。

在報(bào)文傳輸時(shí)延方面，受電力設(shè)備的熱穩(wěn)定性影響，保護(hù)裝置應(yīng)在5 個(gè)周期波（100 ms）內(nèi)完成報(bào)文發(fā)送與接收、計(jì)算處理、跳閘信號(hào)發(fā)出、斷路器跳閘等動(dòng)作[9]。通常，保護(hù)裝置處理時(shí)延約為10 ms，跳閘信號(hào)觸發(fā)時(shí)間約為10 ms，斷路器跳閘時(shí)間約為40～60 ms。因此，報(bào)文傳輸時(shí)延應(yīng)小于20 ms。在可靠性需求方面，報(bào)文傳輸過程中若發(fā)生誤碼或丟失會(huì)導(dǎo)致保護(hù)裝置拒動(dòng)或誤動(dòng)，因此傳輸可靠性要求十分嚴(yán)格，一般高于99.99%。在網(wǎng)絡(luò)安全防護(hù)方面，差動(dòng)保護(hù)業(yè)務(wù)屬于實(shí)時(shí)控制類業(yè)務(wù)，應(yīng)符合電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定的要求，確保保護(hù)通信網(wǎng)絡(luò)專用，且與公共網(wǎng)絡(luò)、管理信息大區(qū)網(wǎng)絡(luò)邊界實(shí)施橫向隔離策略，縱向需具備身份認(rèn)證功能。

在時(shí)延抖動(dòng)需求方面，導(dǎo)致時(shí)延抖動(dòng)的原因包括雙端保護(hù)裝置內(nèi)部器件性能不一致、通信路由不一致或轉(zhuǎn)發(fā)節(jié)點(diǎn)處理時(shí)延存在差異。兩端保護(hù)裝置時(shí)延不對(duì)稱導(dǎo)致不平衡電流，如圖5 所示。令Δt 為正向時(shí)延抖動(dòng)或時(shí)延差，代入式（1）有：

式中：ω 為工頻角速度，當(dāng)Δt 逐漸變大時(shí)，由于同步誤差導(dǎo)致的動(dòng)作電流增加，使保護(hù)裝置誤動(dòng)可能性增強(qiáng)，假設(shè)以IM的5%誤差作為防止誤動(dòng)作閾值[10]，可計(jì)算得到Δt 應(yīng)小于160 μs。因此，差動(dòng)保護(hù)時(shí)延抖動(dòng)或雙向傳輸時(shí)延差應(yīng)滿足在±160 μs 范圍之內(nèi)。

圖5 兩端保護(hù)裝置時(shí)延不對(duì)稱導(dǎo)致不平衡電流

時(shí)間同步需求包括兩個(gè)方面：一方面是保護(hù)裝置內(nèi)部時(shí)鐘精度，該精度直接影響采樣點(diǎn)位置的電流相量值，按照4 kHz 采樣時(shí)間間隔5%偏差計(jì)算得到同步精度滿足±12.5 μs[11-12]；另一方面是兩端保護(hù)裝置之間的雙向通信時(shí)延差引起的同步偏差，該通信需求已在前文說明，不再贅述。

綜上所述，配電網(wǎng)差動(dòng)保護(hù)通信需求如下：傳輸速率應(yīng)不低于7.2 Mbps，傳輸時(shí)延小于20 ms，雙向傳輸時(shí)延差在±160 μs 以內(nèi)，內(nèi)部時(shí)鐘同步精度應(yīng)維持在±12.5 μs 以內(nèi)，通道支持以太網(wǎng)幀直接傳輸且具備縱向認(rèn)證與網(wǎng)絡(luò)隔離能力。

2 端到端承載方案設(shè)計(jì)

5G 技術(shù)的服務(wù)化網(wǎng)絡(luò)架構(gòu)、高帶寬、低時(shí)延以及超高可靠性（99.999%）傳輸能力，可實(shí)現(xiàn)網(wǎng)絡(luò)邊緣計(jì)算、切片化網(wǎng)絡(luò)資源分配與高帶寬低時(shí)延傳輸，同時(shí)提供多級(jí)安全隔離、雙重安全認(rèn)證等安全防護(hù)能力。因此，利用5G 技術(shù)能夠較好地適應(yīng)配電網(wǎng)差動(dòng)保護(hù)的本地分散控制場(chǎng)景與通信需求。

2.1 5G LAN 技術(shù)概述

5G Rel16 標(biāo)準(zhǔn)正式引入垂直行業(yè)局域網(wǎng)（5G LAN）特性，支持具有特定本地業(yè)務(wù)轉(zhuǎn)發(fā)需求的終端直接通信，5G LAN 特性打破了移動(dòng)通信系統(tǒng)終端業(yè)務(wù)數(shù)據(jù)須通過N6 或4G 核心網(wǎng)SGi 接口連接IP 骨干網(wǎng)，轉(zhuǎn)發(fā)至企業(yè)內(nèi)網(wǎng)服務(wù)器端的主從通信模式限制，允許在UPF（用戶端口功能）之間為群組內(nèi)終端建立UPF 互聯(lián)隧道Nx（核心網(wǎng)接口），實(shí)現(xiàn)了群組內(nèi)終端業(yè)務(wù)數(shù)據(jù)相互本地轉(zhuǎn)發(fā)。5G LAN 通過Group ID（群組標(biāo)識(shí)符）確定終端屬于哪個(gè)群組，核心網(wǎng)通過簽約數(shù)據(jù)確定終端的Group ID，在5G 網(wǎng)絡(luò)中引入組管理（添加、更改或刪除群組終端）、本地轉(zhuǎn)發(fā)和業(yè)務(wù)隧道的能力，滿足垂直行業(yè)在一個(gè)或多個(gè)UPF 下的本群組UE（用戶設(shè)備）直接通信需求，且因轉(zhuǎn)發(fā)路徑、路由跳數(shù)的減少降低了傳輸時(shí)延，適用于配電網(wǎng)差動(dòng)保護(hù)、工業(yè)互聯(lián)網(wǎng)智能制造等本地分散控制類業(yè)務(wù)場(chǎng)景。

為支持5G LAN 特性，核心網(wǎng)新增了控制面功能，如GMF（群組管理功能）、PMF（路徑管理功能）。GMF 負(fù)責(zé)群組的管理，如通過AF（應(yīng)用功能）授權(quán)請(qǐng)求創(chuàng)建、修改或刪除一個(gè)5G LAN 群組。同時(shí)，GMF 還負(fù)責(zé)針對(duì)嘗試接入5G LAN 終端的身份認(rèn)證。PMF 負(fù)責(zé)利用終端位置信息、DNAI（數(shù)據(jù)網(wǎng)絡(luò)接入標(biāo)識(shí)）等信息管理5G LAN群組用戶面轉(zhuǎn)發(fā)路徑，并從SMF 獲取終端PDU（協(xié)議數(shù)據(jù)單元）會(huì)話信息。此外，需增強(qiáng)5G 核心網(wǎng)的SMF（會(huì)話管理功能），包括在PDU 會(huì)話建立及修改階段，聯(lián)合GMF 對(duì)5G LAN 群組執(zhí)行身份認(rèn)證與授權(quán)，配置UPF 分組路由轉(zhuǎn)發(fā)策略、分組標(biāo)簽策略等。同時(shí)，與PMF 協(xié)同交互為5G LAN業(yè)務(wù)規(guī)劃用戶面路徑。3GPP 標(biāo)準(zhǔn)規(guī)定的5G LAN用戶面組網(wǎng)架構(gòu)如圖6 所示。

圖6 3GPP 標(biāo)準(zhǔn)規(guī)定的5G LAN 用戶面組網(wǎng)架構(gòu)

2.2 VXLAN 技術(shù)概述

VXLAN（虛擬擴(kuò)展局域網(wǎng)）[13]是由IETF（國際互聯(lián)網(wǎng)工程任務(wù)組）定義的一種三層網(wǎng)絡(luò)實(shí)現(xiàn)二層報(bào)文轉(zhuǎn)發(fā)技術(shù)，VXLAN 將原始報(bào)文封裝入一個(gè)新UDP（用戶數(shù)據(jù)報(bào)協(xié)議）報(bào)文中，并增加VXLAN報(bào)文頭，即“MAC-in-UDP”。

VXLAN 典型網(wǎng)絡(luò)模型如圖7 所示，VTEP（VXLAN 隧道端點(diǎn)）代表網(wǎng)絡(luò)邊緣的用戶接入設(shè)備，負(fù)責(zé)處理VXLAN 報(bào)文，是VXLAN 隧道的起始點(diǎn)與終結(jié)點(diǎn)。VTEP 會(huì)配置一個(gè)為VXLAN 報(bào)文提供二層交換轉(zhuǎn)發(fā)服務(wù)的虛擬交換實(shí)例，稱作VSI（虛擬交換實(shí)例），可以被看作是VTEP 上的一臺(tái)虛擬交換機(jī)。

圖7 VXLAN 典型網(wǎng)絡(luò)模型

VXLAN 報(bào)文結(jié)構(gòu)如圖8 所示，外層鏈路層報(bào)文頭中的源MAC 地址和目的MAC 地址分別是VTEP 的MAC 地址以及向網(wǎng)絡(luò)轉(zhuǎn)發(fā)的下一跳路由設(shè)備的MAC 地址；外層IP 報(bào)文頭的源IP地址與目的IP 地址分別是發(fā)送VTEP 和接收VTEP 的IP 地址；外層UDP 報(bào)文頭中的目的端口號(hào)為4789，專門用于標(biāo)識(shí)VXLAN；VXLAN 報(bào)文頭與傳統(tǒng)VLAN 類似，不同的是用于標(biāo)識(shí)一個(gè)VXLAN 網(wǎng)段的VNI（VXLAN 網(wǎng)絡(luò)標(biāo)識(shí)符）。一個(gè)VNI 代表了一個(gè)租戶，歸屬不同VNI 的用戶之間無法直接進(jìn)行二層通信。VNI 包含24 個(gè)比特，可以標(biāo)識(shí)最大16 777 216 個(gè)虛擬局域網(wǎng)，相較傳統(tǒng)VALN 12 個(gè)比特標(biāo)識(shí)4 096 個(gè)虛擬局域網(wǎng)有了很大提升，可以承載更多租戶私網(wǎng)的隔離任務(wù)。

2.3 5G 承載配電網(wǎng)差動(dòng)保護(hù)端到端組網(wǎng)方案設(shè)計(jì)

目前，5G 標(biāo)準(zhǔn)規(guī)范針對(duì)UPF 具體應(yīng)包含哪些功能實(shí)體來支持5G LAN 轉(zhuǎn)發(fā)以太網(wǎng)或IP 業(yè)務(wù)尚在研究之中，如組內(nèi)QoS（服務(wù)質(zhì)量）配置、組內(nèi)廣播機(jī)制、隧道管理控制協(xié)議標(biāo)準(zhǔn)化等。因此，本節(jié)基于配電網(wǎng)差動(dòng)保護(hù)低時(shí)延、低抖動(dòng)、以太網(wǎng)報(bào)文直傳等通信需求，利用5G LAN 及VXLAN開展配電網(wǎng)差動(dòng)保護(hù)組網(wǎng)架構(gòu)設(shè)計(jì)。

圖8 VXLAN 報(bào)文結(jié)構(gòu)

配電網(wǎng)差動(dòng)保護(hù)裝置以太網(wǎng)幀直傳組網(wǎng)架構(gòu)如圖9 所示，保護(hù)裝置將以太網(wǎng)幀直接發(fā)送至VXLAN 交換機(jī)，由VXLAN 交換機(jī)按照?qǐng)D8 所示的幀結(jié)構(gòu)進(jìn)行封裝，這里所說的保護(hù)以太網(wǎng)幀不包含IP 報(bào)文頭；反之，VXLAN 交換機(jī)將接收到的VXLAN 報(bào)文解封裝并轉(zhuǎn)發(fā)給保護(hù)裝置。

圖9 配電網(wǎng)差動(dòng)保護(hù)裝置以太網(wǎng)幀直傳組網(wǎng)架構(gòu)

將5G NR（新空口）、承載網(wǎng)切片以及UPF 看作是一個(gè)二層網(wǎng)絡(luò)，VTEP 的下一跳一定就是與UPF 相連的PE（終端設(shè)備）路由器，PE 路由器構(gòu)成的環(huán)網(wǎng)將多個(gè)UPF 互聯(lián)起來，構(gòu)成了5G LAN的IP 骨干網(wǎng)絡(luò)。PE 路由器之間利用EVPN MPBGP 協(xié)議構(gòu)成控制面，為VXLAN 報(bào)文轉(zhuǎn)發(fā)建立轉(zhuǎn)發(fā)信息表；轉(zhuǎn)發(fā)面可采用MPLS/IP 實(shí)現(xiàn)VXLAN報(bào)文的標(biāo)簽快速轉(zhuǎn)發(fā)。PE 路由器與VTEP 之間采用iBGP 協(xié)議，VTEP 通過傳統(tǒng)的Flood&Learn 方法學(xué)習(xí)獲得與端口互聯(lián)的保護(hù)裝置MAC 地址，并為保護(hù)裝置建立MAC，VNI，VTEP IP 和下一跳PE IP 轉(zhuǎn)發(fā)表。綜上，通過VXLAN 實(shí)現(xiàn)保護(hù)MAC 幀的封裝與解封裝，最終實(shí)現(xiàn)多個(gè)保護(hù)裝置間的MAC 直傳。VTEP 的IP 地址是通過CPE（客戶終端設(shè)備）的DHCP（動(dòng)態(tài)主機(jī)設(shè)置協(xié)議）動(dòng)態(tài)配置獲取，該IP 地址就是SMF 為5G LAN 群組內(nèi)SIM 卡分配的，可通過NEF（網(wǎng)絡(luò)開放功能）由第三方配置，實(shí)現(xiàn)用戶的自定義。

2.4 保護(hù)裝置二次身份認(rèn)證方案設(shè)計(jì)

本節(jié)設(shè)計(jì)一種基于可擴(kuò)展的身份認(rèn)證協(xié)議架構(gòu)，實(shí)現(xiàn)網(wǎng)絡(luò)安全能力對(duì)外開放。該協(xié)議提供標(biāo)準(zhǔn)的客戶端-第三方認(rèn)證實(shí)體-服務(wù)器端架構(gòu)，可以便捷地為行業(yè)用戶提供應(yīng)用程序接口，實(shí)現(xiàn)用戶安全防護(hù)需求的靈活適配以及自定義。如圖10所示，5G 系統(tǒng)中UE 為客戶端，SEAF（安全錨點(diǎn)功能）為認(rèn)證方，作為身份驗(yàn)證服務(wù)端部署于用戶側(cè)的DN-AAA 服務(wù)器。SEAF 在透?jìng)骺蛻舳思胺?wù)端之間認(rèn)證協(xié)議數(shù)據(jù)的同時(shí)，根據(jù)認(rèn)證結(jié)果確定是否向客戶端開放5G 網(wǎng)絡(luò)服務(wù)，從而實(shí)現(xiàn)通信網(wǎng)絡(luò)安全與應(yīng)用層安全的一致性。

圖10 基于EAP 框架的電力5G 應(yīng)用二次認(rèn)證流程

具體認(rèn)證流程如下：

步驟一：終端向二次認(rèn)證服務(wù)器發(fā)起身份認(rèn)證請(qǐng)求；

步驟二：二次認(rèn)證服務(wù)器生成網(wǎng)絡(luò)鑒權(quán)向量（挑戰(zhàn)碼）并發(fā)送給終端，鑒權(quán)向量生成函數(shù)的參數(shù)除了隨機(jī)數(shù)以外，還可以包含SN（序號(hào)）、TS（時(shí)間戳）等，可以抵御中間人攻擊；

步驟三：終端解密挑戰(zhàn)碼完成對(duì)網(wǎng)絡(luò)合法身份的認(rèn)證，采集人臉信息或設(shè)備制造序列號(hào)作為身份識(shí)別碼；

步驟四：終端將挑戰(zhàn)碼和識(shí)別碼作為輸入?yún)?shù)，生成身份向量并加密后發(fā)送給服務(wù)器；

步驟五：服務(wù)器在接收到身份向量后，解密出挑戰(zhàn)碼和識(shí)別碼，完成對(duì)終端的身份認(rèn)證；

步驟六：利用終端、服務(wù)器共享對(duì)稱密鑰，安全地將身份認(rèn)證成功聲明發(fā)送至終端；

步驟七：5G 二次身份認(rèn)證流程結(jié)束，終端獲得訪問5G LAN 權(quán)限。

基于5G 二次身份認(rèn)證，可以有效避免因網(wǎng)絡(luò)入侵者非法獲得SIM 卡帶來的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，因無法通過認(rèn)證服務(wù)器的二次認(rèn)證，SMF 將不會(huì)為高風(fēng)險(xiǎn)SIM 卡終端建立PDU 會(huì)話，有效阻隔了針對(duì)電力專用網(wǎng)絡(luò)的非法入侵。

3 實(shí)驗(yàn)室測(cè)試結(jié)果分析

5G 承載差動(dòng)保護(hù)測(cè)試拓?fù)淙鐖D11 所示。實(shí)際測(cè)試環(huán)境依托實(shí)驗(yàn)室5G 室內(nèi)分布式RRU（射頻拉遠(yuǎn)單元）構(gòu)建企業(yè)園區(qū)無線網(wǎng)，同時(shí)采用了專用的DNN（數(shù)據(jù)網(wǎng)絡(luò)名稱）以及保護(hù)業(yè)務(wù)專用切片，包含硬隔離的城域傳輸網(wǎng)FlexE 切片、邏輯隔離的專用UPF、核心網(wǎng)VM（虛擬機(jī)）、AAA 服務(wù)器以及防火墻。保護(hù)專網(wǎng)能夠通過MEC（多接入邊緣計(jì)算）的切片、DDN ID 數(shù)據(jù)區(qū)分以及物理數(shù)據(jù)專網(wǎng)鏈路等實(shí)現(xiàn)與公用網(wǎng)絡(luò)的物理隔離。

圖11 5G 承載差動(dòng)保護(hù)測(cè)試拓?fù)?/p>

測(cè)試工作主要分為兩個(gè)步驟，首先利用測(cè)試儀測(cè)試從運(yùn)營商機(jī)房UPF 裝置到VXLAN 交換機(jī)的傳輸時(shí)延，然后測(cè)試兩側(cè)VXLAN 交換機(jī)端到端數(shù)據(jù)傳輸時(shí)延。測(cè)試過程中，針對(duì)保護(hù)業(yè)務(wù)規(guī)約報(bào)文特點(diǎn)，分別采用1 400 字節(jié)、128 字節(jié)發(fā)包，發(fā)包間隔833 μs。經(jīng)測(cè)試，當(dāng)以1 400 字節(jié)數(shù)據(jù)包發(fā)送時(shí)，UPF 至保護(hù)裝置WAN 口（VXLAN LAN 口）平均時(shí)延為8.13 ms，兩側(cè)保護(hù)裝置WAN口端到端平均時(shí)延16.88 ms；當(dāng)以128 字節(jié)數(shù)據(jù)包發(fā)送時(shí)，UPF 至保護(hù)裝置WAN 口平均時(shí)延為7.89 ms，兩側(cè)保護(hù)裝置WAN 口端到端平均時(shí)延15.32 ms。通過對(duì)比差動(dòng)保護(hù)業(yè)務(wù)通信需求可以看出，采用5G LAN UPF 下沉方式可滿足保護(hù)業(yè)務(wù)的傳輸時(shí)延要求。

4 結(jié)語

在下一代技術(shù)規(guī)范R17 版本中，5G 將逐步引入TSN（時(shí)延敏感型網(wǎng)絡(luò)）技術(shù)，從而確保端到端確定性傳輸時(shí)延性能。未來可考慮將TSN 技術(shù)與5G LAN 結(jié)合，設(shè)計(jì)一種兩端差動(dòng)保護(hù)裝置傳輸時(shí)延誤差補(bǔ)償機(jī)制，動(dòng)態(tài)保持雙向通信時(shí)延的對(duì)稱性，從而將不對(duì)稱時(shí)延引入的保護(hù)SV 誤差降低至可接受程度。此外在網(wǎng)絡(luò)安全防護(hù)方面，為工業(yè)控制、智能交通等關(guān)鍵行業(yè)控制類業(yè)務(wù)提供與公共服務(wù)網(wǎng)絡(luò)端到端物理隔離的網(wǎng)絡(luò)基礎(chǔ)資源，也是未來5G 通信網(wǎng)絡(luò)的重要研究方向之一。