《WAPI市場(chǎng)應(yīng)用洞察報(bào)告》是WAPI產(chǎn)業(yè)聯(lián)盟的系列出版物，目標(biāo)是指導(dǎo)安全無(wú)線局域網(wǎng)（WAPI）產(chǎn)業(yè)市場(chǎng)高質(zhì)量發(fā)展。我們非常高興地和業(yè)界分享這些《報(bào)告》每個(gè)專題均揭示了聯(lián)盟在WAPI市場(chǎng)應(yīng)用中的關(guān)鍵發(fā)現(xiàn)，所有觀點(diǎn)均基于長(zhǎng)期的產(chǎn)業(yè)市場(chǎng)洞察、廣泛的調(diào)查、與業(yè)內(nèi)專家充分的討論以及嚴(yán)格的鑒于技術(shù)標(biāo)準(zhǔn)持續(xù)演進(jìn)和產(chǎn)業(yè)市場(chǎng)持續(xù)發(fā)展，每個(gè)專題都可能衍生出多個(gè)2本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、2當(dāng)前工業(yè)領(lǐng)域正大規(guī)模開展WAPI網(wǎng)絡(luò)建設(shè)和應(yīng)用，其組網(wǎng)形態(tài)以會(huì)聚型無(wú)線局域網(wǎng)（業(yè)內(nèi)俗稱“瘦AP”）為主。本期《洞察報(bào)告》以電力行業(yè)WAPI示范項(xiàng)目和在建項(xiàng)目為洞察樣本，重點(diǎn)研究評(píng)估工業(yè)領(lǐng)域以WAPI瘦AP組網(wǎng)為重點(diǎn)的技術(shù)產(chǎn)業(yè)實(shí)現(xiàn)與部署方式，并結(jié)合該領(lǐng)域應(yīng)用場(chǎng)景和特點(diǎn)，對(duì)WAPI瘦AP產(chǎn)品工程化實(shí)現(xiàn)、部署中的問題與挑戰(zhàn)，形成結(jié)論1、在瘦AP模式下，鑒別器實(shí)體（AE）應(yīng)完全駐留在AP2、應(yīng)結(jié)合業(yè)務(wù)和管理需求，靈活決定AC部署位置，采取本地部署或遠(yuǎn)端部署。本地部署的AC，因管理AP區(qū)域集中、3本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、3當(dāng)前，瘦AP（FitAP）在工業(yè)無(wú)線網(wǎng)絡(luò)中的重要性日益增強(qiáng)，主要得益于其集中管理、靈活部署和高性價(jià)比等優(yōu)勢(shì)。與傳統(tǒng)的胖AP（FatAP）相比，瘦AP通過將管理面與數(shù)據(jù)面分離，將管理功能集中到接入控制器（AC）上，實(shí)現(xiàn)了更高效的網(wǎng)絡(luò)管理和更靈活的部署。由于在集中管理和高效運(yùn)維方面瘦AP相較胖AP有顯著優(yōu)勢(shì)，近幾年已成為工業(yè)WLAN瘦AP將網(wǎng)絡(luò)管理、配置和安全策略等功能交由AC集中處理，這種架構(gòu)使得瘦AP能夠?qū)崿F(xiàn)高效的集中管理和靈活的網(wǎng)絡(luò)擴(kuò)展，無(wú)論是企業(yè)辦公、移動(dòng)作業(yè)，還是工業(yè)物聯(lián)網(wǎng)（IIoT）和智能電網(wǎng)，瘦AP產(chǎn)品都能滿足高密度用戶接入和WAPI瘦AP產(chǎn)品在滿足以上特性的同時(shí)，支持無(wú)線局域網(wǎng)鑒別和保密基礎(chǔ)結(jié)構(gòu)（WAPI）安全協(xié)議，滿足工業(yè)控制系統(tǒng)4本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、4AP和AC之間的通信協(xié)議對(duì)于實(shí)現(xiàn)WLAN網(wǎng)絡(luò)的高效管理和AP/AC間通信LWAPP是思科公司早期開發(fā)的一種用于輕量級(jí)無(wú)線接入點(diǎn)與AC之間通信的私有協(xié)議。[2]LWAPPAP將大部分網(wǎng)絡(luò)處理任務(wù)交LWAPP主要應(yīng)用于思科自家的無(wú)線網(wǎng)絡(luò)產(chǎn)品中，在一些早期的企業(yè)無(wú)線網(wǎng)絡(luò)建設(shè)中較為常見。不過隨著技術(shù)發(fā)展，現(xiàn)在思科也逐漸減少CAPWAP是由互聯(lián)網(wǎng)工程任務(wù)組（IETF）制定的標(biāo)準(zhǔn)協(xié)議，詳見RFC5415和RFC5416，用于集中管理和控制無(wú)線接入點(diǎn)。它定義了AP與AC之間建立兩條隧道，一條用于傳輸控制報(bào)文，另一條用于CAPWAP曾廣泛應(yīng)用于各種企業(yè)級(jí)和企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)解決方案中，模式的消息傳輸協(xié)議，專為低帶寬、不穩(wěn)定網(wǎng)絡(luò)環(huán)境以及資源受限的MQTT通常被廣泛應(yīng)用在基于云技術(shù)的瘦AP架構(gòu)中，發(fā)揮其高效、WebSocket通信協(xié)議于2011年被IETF定為標(biāo)準(zhǔn)RFC6455，并由WebSocket的目的是為了節(jié)省通信資源，同時(shí)也降低延遲，適用于5本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、5自電信運(yùn)營(yíng)商時(shí)代開始，WAPI瘦AP因其“安全、可運(yùn)營(yíng)、可管理”的優(yōu)勢(shì)成為主流選擇。目前，WAPI瘦AP更因“帶寬充足、安全可控、部署靈活、效益顯著”等優(yōu)點(diǎn)，在工業(yè)領(lǐng)域廣泛應(yīng)用，以電力行業(yè)為例，預(yù)計(jì)到2026年規(guī)模達(dá)未來(lái)，WAPI瘦AP將朝著可以被云平臺(tái)管理的“云AP”方向發(fā)展。在云平臺(tái)管理的模式下，AP能夠像“燈泡”一樣即插即用，簡(jiǎn)單部署，并且不受部署空間的限制，擴(kuò)展更靈活，管理監(jiān)控和調(diào)優(yōu)更集中，從而提升整個(gè)網(wǎng)絡(luò)的運(yùn)行效率6本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、6WAPI產(chǎn)業(yè)聯(lián)盟圍繞市場(chǎng)建設(shè)需求和應(yīng)用實(shí)踐，評(píng)估了以WAPI瘦AP組網(wǎng)為重點(diǎn)的技術(shù)產(chǎn)業(yè)實(shí)現(xiàn)，得出存在問題及風(fēng)險(xiǎn)WAPI網(wǎng)絡(luò)基本結(jié)構(gòu)由終端（STA）、無(wú)線接入點(diǎn)（AP）和鑒別服務(wù)器（AS）構(gòu)成。在“瘦AP”架構(gòu)下引入接入控制器（AC）這一網(wǎng)元后，WAPI協(xié)議中定義的鑒別器實(shí)體（AE）應(yīng)該駐留在AP中，還是應(yīng)該駐留在AC中，產(chǎn)品實(shí)現(xiàn)上并未達(dá)成統(tǒng)一，因此廠商往往會(huì)按電信運(yùn)營(yíng)商時(shí)代的理解和慣性，去風(fēng)險(xiǎn)提示：在產(chǎn)品工程化實(shí)現(xiàn)上，如果WAPI瘦AP采用把AE的鑒別功能在AC上實(shí)現(xiàn)，把AE的保密功能在AP上實(shí)現(xiàn)（即“拆分”實(shí)現(xiàn)），就意味著要在AC與AP之間傳輸加解密密7本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、7在電力等工業(yè)場(chǎng)景中，瘦AP通常不需要集中轉(zhuǎn)發(fā)，主要是因?yàn)楣I(yè)現(xiàn)場(chǎng)對(duì)實(shí)時(shí)性和本地化處理的要求較高。由于集中轉(zhuǎn)發(fā)會(huì)將所有數(shù)據(jù)流量匯聚至AC進(jìn)行處理，可能增加網(wǎng)絡(luò)延遲并影響實(shí)時(shí)系統(tǒng)的性能。而工業(yè)場(chǎng)景中的數(shù)據(jù)傳輸通常需要在本地快速處理，例如設(shè)備狀態(tài)監(jiān)控、傳感器數(shù)據(jù)采集和自動(dòng)化控制等，因此瘦AP在工業(yè)網(wǎng)絡(luò)中更側(cè)重于采用本地轉(zhuǎn)發(fā)模式，即：直接將數(shù)據(jù)發(fā)送到本地服務(wù)器或邊緣計(jì)算設(shè)備，以確保低延遲和高可靠性，滿足IIoT的需求。因此，工業(yè)場(chǎng)景中追求AC大型化、集中化、遠(yuǎn)端部署，并不符合實(shí)際結(jié)合諸多應(yīng)用實(shí)踐發(fā)現(xiàn)，工業(yè)場(chǎng)景中的瘦AP，AP/AC間通信采用CAPWAP協(xié)議并不能發(fā)揮其在集中轉(zhuǎn)發(fā)方面的優(yōu)勢(shì)，反而會(huì)導(dǎo)致系統(tǒng)復(fù)雜度和異品牌互聯(lián)互通技術(shù)難度大大高于采8本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、8結(jié)合產(chǎn)業(yè)市場(chǎng)實(shí)踐，以及對(duì)多類型產(chǎn)品樣本進(jìn)行評(píng)估和測(cè)試，WAPI產(chǎn)業(yè)聯(lián)盟確認(rèn)“把AE的鑒別功能在AC上實(shí)現(xiàn)，把保密功能在AP上實(shí)現(xiàn)”的做法是不可行的，會(huì)導(dǎo)致在AC與AP之間傳輸加解密密鑰，因此引入新的安全風(fēng)險(xiǎn)。針對(duì)此風(fēng)險(xiǎn)，WAPI產(chǎn)業(yè)聯(lián)盟于2024年4月發(fā)布了《對(duì)WAPI標(biāo)準(zhǔn)體系中鑒別器實(shí)體駐留設(shè)備的澄清和說(shuō)明》公告，對(duì)AE駐留位置問工程技術(shù)分析：WAPI在瘦AP架構(gòu)下，AC負(fù)責(zé)集中控制AP，AP和AC協(xié)同實(shí)現(xiàn)STA的接入和管理。在這種集中控制模式下，理論上AE既可以完全駐留在AP中，也可以完全駐留在AC但在產(chǎn)品工程化實(shí)現(xiàn)層面，伴隨集成電路技術(shù)的高速發(fā)展，通過裁剪AP功能以降低芯片成本的做法已成為過去，現(xiàn)在AP芯片通常具有性能強(qiáng)勁的處理器內(nèi)核，芯片廠商技術(shù)上也越來(lái)越傾向于將802.11無(wú)線數(shù)據(jù)幀轉(zhuǎn)換802.3以太網(wǎng)數(shù)據(jù)幀固化在AP芯片內(nèi)部完成，出于保障加解密性能等目的，加解密過程必須在AP上實(shí)現(xiàn)。因此，將AE完全駐留在AC中的設(shè)想（WAPI鑒別和保密的完整過程都在AC上實(shí)現(xiàn)），在工程化實(shí)結(jié)論：在瘦AP模式下，AE應(yīng)完全駐留在AP中，以確保設(shè)9本文件版權(quán)歸中關(guān)村無(wú)線網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（WAPI產(chǎn)業(yè)聯(lián)盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權(quán)所有組織或者個(gè)人對(duì)本文件進(jìn)行使用和復(fù)制。任何組織或者個(gè)人對(duì)本文件的修改、翻譯、摘編、9在WAPI瘦AP應(yīng)用場(chǎng)景中，AC的部署位置（本地部署或遠(yuǎn)端部署）主要取決于管理和業(yè)務(wù)的需求。如果網(wǎng)絡(luò)對(duì)實(shí)時(shí)性、低延遲和本地化控制要求較高（例如在需要快速響應(yīng)的關(guān)鍵設(shè)備監(jiān)控場(chǎng)景中），AC應(yīng)當(dāng)選擇本地部署，以減少網(wǎng)絡(luò)延遲并確保業(yè)務(wù)連續(xù)性。又如：在大型變電站/換流站、大型應(yīng)當(dāng)選擇本地部署，以滿足業(yè)務(wù)管理邏輯的完整性。但如果在需要集中管理多個(gè)分散站點(diǎn)的場(chǎng)景中，遠(yuǎn)端部署AC則更為適合，可通過云端或數(shù)據(jù)中心實(shí)現(xiàn)統(tǒng)一管理和運(yùn)維，降低管結(jié)論：應(yīng)結(jié)合業(yè)務(wù)和管理需求，靈活決定AC部署位置，采取本地部署或遠(yuǎn)端部署，而不應(yīng)一味