《WAPI市場應用洞察報告》是WAPI產業聯盟的系列出版物，目標是指導安全無線局域網（WAPI）產業市場高質量發展。我們非常高興地和業界分享這些《報告》每個專題均揭示了聯盟在WAPI市場應用中的關鍵發現，所有觀點均基于長期的產業市場洞察、廣泛的調查、與業內專家充分的討論以及嚴格的鑒于技術標準持續演進和產業市場持續發展，每個專題都可能衍生出多個2本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、2當前工業領域正大規模開展WAPI網絡建設和應用，其組網形態以會聚型無線局域網（業內俗稱“瘦AP”）為主。本期《洞察報告》以電力行業WAPI示范項目和在建項目為洞察樣本，重點研究評估工業領域以WAPI瘦AP組網為重點的技術產業實現與部署方式，并結合該領域應用場景和特點，對WAPI瘦AP產品工程化實現、部署中的問題與挑戰，形成結論1、在瘦AP模式下，鑒別器實體（AE）應完全駐留在AP2、應結合業務和管理需求，靈活決定AC部署位置，采取本地部署或遠端部署。本地部署的AC，因管理AP區域集中、3本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、3當前，瘦AP（FitAP）在工業無線網絡中的重要性日益增強，主要得益于其集中管理、靈活部署和高性價比等優勢。與傳統的胖AP（FatAP）相比，瘦AP通過將管理面與數據面分離，將管理功能集中到接入控制器（AC）上，實現了更高效的網絡管理和更靈活的部署。由于在集中管理和高效運維方面瘦AP相較胖AP有顯著優勢，近幾年已成為工業WLAN瘦AP將網絡管理、配置和安全策略等功能交由AC集中處理，這種架構使得瘦AP能夠實現高效的集中管理和靈活的網絡擴展，無論是企業辦公、移動作業，還是工業物聯網（IIoT）和智能電網，瘦AP產品都能滿足高密度用戶接入和WAPI瘦AP產品在滿足以上特性的同時，支持無線局域網鑒別和保密基礎結構（WAPI）安全協議，滿足工業控制系統4本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、4AP和AC之間的通信協議對于實現WLAN網絡的高效管理和AP/AC間通信LWAPP是思科公司早期開發的一種用于輕量級無線接入點與AC之間通信的私有協議。[2]LWAPPAP將大部分網絡處理任務交LWAPP主要應用于思科自家的無線網絡產品中，在一些早期的企業無線網絡建設中較為常見。不過隨著技術發展，現在思科也逐漸減少CAPWAP是由互聯網工程任務組（IETF）制定的標準協議，詳見RFC5415和RFC5416，用于集中管理和控制無線接入點。它定義了AP與AC之間建立兩條隧道，一條用于傳輸控制報文，另一條用于CAPWAP曾廣泛應用于各種企業級和企業級無線網絡解決方案中，模式的消息傳輸協議，專為低帶寬、不穩定網絡環境以及資源受限的MQTT通常被廣泛應用在基于云技術的瘦AP架構中，發揮其高效、WebSocket通信協議于2011年被IETF定為標準RFC6455，并由WebSocket的目的是為了節省通信資源，同時也降低延遲，適用于5本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、5自電信運營商時代開始，WAPI瘦AP因其“安全、可運營、可管理”的優勢成為主流選擇。目前，WAPI瘦AP更因“帶寬充足、安全可控、部署靈活、效益顯著”等優點，在工業領域廣泛應用，以電力行業為例，預計到2026年規模達未來，WAPI瘦AP將朝著可以被云平臺管理的“云AP”方向發展。在云平臺管理的模式下，AP能夠像“燈泡”一樣即插即用，簡單部署，并且不受部署空間的限制，擴展更靈活，管理監控和調優更集中，從而提升整個網絡的運行效率6本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、6WAPI產業聯盟圍繞市場建設需求和應用實踐，評估了以WAPI瘦AP組網為重點的技術產業實現，得出存在問題及風險WAPI網絡基本結構由終端（STA）、無線接入點（AP）和鑒別服務器（AS）構成。在“瘦AP”架構下引入接入控制器（AC）這一網元后，WAPI協議中定義的鑒別器實體（AE）應該駐留在AP中，還是應該駐留在AC中，產品實現上并未達成統一，因此廠商往往會按電信運營商時代的理解和慣性，去風險提示：在產品工程化實現上，如果WAPI瘦AP采用把AE的鑒別功能在AC上實現，把AE的保密功能在AP上實現（即“拆分”實現），就意味著要在AC與AP之間傳輸加解密密7本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、7在電力等工業場景中，瘦AP通常不需要集中轉發，主要是因為工業現場對實時性和本地化處理的要求較高。由于集中轉發會將所有數據流量匯聚至AC進行處理，可能增加網絡延遲并影響實時系統的性能。而工業場景中的數據傳輸通常需要在本地快速處理，例如設備狀態監控、傳感器數據采集和自動化控制等，因此瘦AP在工業網絡中更側重于采用本地轉發模式，即：直接將數據發送到本地服務器或邊緣計算設備，以確保低延遲和高可靠性，滿足IIoT的需求。因此，工業場景中追求AC大型化、集中化、遠端部署，并不符合實際結合諸多應用實踐發現，工業場景中的瘦AP，AP/AC間通信采用CAPWAP協議并不能發揮其在集中轉發方面的優勢，反而會導致系統復雜度和異品牌互聯互通技術難度大大高于采8本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、8結合產業市場實踐，以及對多類型產品樣本進行評估和測試，WAPI產業聯盟確認“把AE的鑒別功能在AC上實現，把保密功能在AP上實現”的做法是不可行的，會導致在AC與AP之間傳輸加解密密鑰，因此引入新的安全風險。針對此風險，WAPI產業聯盟于2024年4月發布了《對WAPI標準體系中鑒別器實體駐留設備的澄清和說明》公告，對AE駐留位置問工程技術分析：WAPI在瘦AP架構下，AC負責集中控制AP，AP和AC協同實現STA的接入和管理。在這種集中控制模式下，理論上AE既可以完全駐留在AP中，也可以完全駐留在AC但在產品工程化實現層面，伴隨集成電路技術的高速發展，通過裁剪AP功能以降低芯片成本的做法已成為過去，現在AP芯片通常具有性能強勁的處理器內核，芯片廠商技術上也越來越傾向于將802.11無線數據幀轉換802.3以太網數據幀固化在AP芯片內部完成，出于保障加解密性能等目的，加解密過程必須在AP上實現。因此，將AE完全駐留在AC中的設想（WAPI鑒別和保密的完整過程都在AC上實現），在工程化實結論：在瘦AP模式下，AE應完全駐留在AP中，以確保設9本文件版權歸中關村無線網絡安全產業聯盟（WAPI產業聯盟）?所有。本文件以電子文檔形式面向公眾公開。本聲明在此授權所有組織或者個人對本文件進行使用和復制。任何組織或者個人對本文件的修改、翻譯、摘編、9在WAPI瘦AP應用場景中，AC的部署位置（本地部署或遠端部署）主要取決于管理和業務的需求。如果網絡對實時性、低延遲和本地化控制要求較高（例如在需要快速響應的關鍵設備監控場景中），AC應當選擇本地部署，以減少網絡延遲并確保業務連續性。又如：在大型變電站/換流站、大型應當選擇本地部署，以滿足業務管理邏輯的完整性。但如果在需要集中管理多個分散站點的場景中，遠端部署AC則更為適合，可通過云端或數據中心實現統一管理和運維，降低管結論：應結合業務和管理需求，靈活決定AC部署位置，采取本地部署或遠端部署，而不應一味