在WAPI服务各行各业关键信息基础设施建设过程中,联盟总结了一些市场用户的常见问题,并结合百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI的解释存在一定不准确乃至错误之处,开辟WAPI问答(系列连载)栏目,帮助大家更加客观准确地了解WAPI。
欢迎您随时和我们交流探讨。
联系方式:010-82351181
邮箱:staff@wapia.org
1. 问:业界一些场景习惯把“无线局域网(WLAN)”称为“Wi-Fi”,是不是无伤大雅,只要理解意思就行?
答:不是。把“无线局域网(WLAN) = Wi-Fi” ,相当于把 “篮球 = NBA”,把“卫星导航系统 = GPS”,形式上看是以偏概全,实质上是抹杀/忽视中国的自主技术成果,不正确且危害巨大。
一是错误使用导致违法。违反了《中华人民共和国国家通用语言文字法》中“需要使用外国语言文字的,应当用国家通用语言文字作必要的注释”的规定。
二是可能未授权使用了美国Wi-Fi产业联盟组织的商标名称。使用“Wi-Fi”标记意味着产品符合美国Wi-Fi联盟标准(美IEEE标准+Wi-Fi联盟互操作标准),并通过了Wi-Fi联盟收费的产品认证。
三是以Wi-Fi取代WLAN,将导致技术/标准/产业被深度“绑架”。即:以偏概全符号固化à技术发展路径绑定 à产业发展受制于人,危害巨大。
目前国内存在一些典型错误表达,包括政府或行业在公开会议/下发文件/采购要求中,把无线局域网(WLAN)称为“Wi-Fi”;一些WLAN覆盖(包括支持WAPI服务)的区域,标记为Wi-Fi等,这种错误做法需要纠正以传递正确信息,建议:规范使用正确中英文学名,在描述“无线局域网”这种网络形态时,使用正确表述——“无线局域网”或者“WLAN”;在描述“符合中国标准的无线局域网”时,使用正确表述——“符合GB 15629.11系列标准和相关行业/团体标准的无线局域网”或者“采用WAPI技术的无线局域网”。
2. 问: WAPI比Wi-Fi更加安全,是因为用了国产密码算法么?
答:Wi-Fi自诞生起,业界就不断披露存在各种安全漏洞,最近的包括针对WPA2的KRACK攻击,以及针对WPA3的dragonblood等攻击,相对而言,WAPI迄今未被业界提出有安全漏洞。技术角度,主要是因为:
(1)WAPI安全架构更优。WAPI采用三元对等安全架构(对应全球安全架构演进的第三阶段),Wi-Fi采用二转三元过渡架构(对应全球安全架构演进的第二阶段)。在不同架构下,核心区别是无线接入点(AP)有没有独立身份,这决定了无线局域网终端和接入点的双向鉴别是直接还是间接(三元是直接,二转三元是间接),也导致Wi-Fi容易遭受中间人攻击(假基站)。
(2)WAPI安全协议设计更完备。WAPI采用具备原子性的五次传递过程确保安全,Wi-Fi采用的安全协议设计,已被全球业界揭示出容易遭受KRACK、dragonblood等攻击。
(3)WAPI采用国产密码算法。国产SM系列密码算法是经过我国密码学界长期研究提出的,目前已被发布成为国家标准和ISO/IEC国际标准,采用国产密码算法是WAPI高安全性的基础。
3.问:现有的国家标准体系是2003年和2006年发布的,十几年过去了,WAPI是否还具有先进性?
答:WLAN标准是模块化演进的,2006年的标准最高通信速率是54Mbps,现在最新的ISO/IEC标准已经超过1Gbps,但标准均是后向兼容的,所以54Mbps的速率选项仍在最新标准中,也就是说,过去的标准并非失效了,仍然在使用中。另外,就安全部分而言,国际上普遍的规律是安全协议发展相对稳定、时间上迭代较慢,IEEE标准体系自2006年之后也只产生了一种新的机制(WPA3),并且架构同前。
因此,2006年发布的WAPI安全协议现在仍然适用,是符合技术发展和产业演进规律的,WAPI迄今没有发现安全漏洞,可提供无线局域网的安全连接能力。并且,基于WAPI安全协议,WAPI标准体系不断演进发展,数十项国家标准、行业标准、团体标准得到发布,现实中不同利益相关方的技术洞察和实现经验反馈到标准体系制定过程中,符合产业的发展需求。
4. 问:WAPI所采用的三元对等(TePA)网络安全技术架构是什么,先进性在哪里?
答:三元对等架构(TePA)是引入在线可信第三方,实现两个实体对等鉴别的架构。以三元对等安全架构为核心,包括网络空间可信身份连接不可或缺的基础安全机制(实体鉴别、群签名、密钥管理等);和网络基础连接所需的网络通信安全协议,如无线局域网安全(WAPI)、光/电以太网安全(TLSec)、射频识别空中接口安全(TRAIS)、近场通信安全(NEAU)等,形成了三元对等网络安全技术体系,为网络连接提供可一体化实现的原子性基础安全能力。
“信任”是通信中必不可少的,也是三元对等架构(TePA)的核心所在,该架构基于提出的独一无二的理念和创新:引入在线可信第三方的对等实体鉴别,“信任”在TePA中是天然融入的。
比如:当你遇到了一个人,不确认他/她是不是值得信赖,但是如果这个人是由你完全信赖的伙伴介绍给你认识的,那么他/她是可以信赖的。而且,在很多交流场景中,你无法直接联系到你完全信赖的伙伴,而只能联系到所遇到的那个人;而那个人可以直接联系到你完全信赖的伙伴,在这种情况下,如何判断他/她是否值得信赖?这就是TePA如何将“信任”集成到数据通信中的方式:为了验证对方的身份和可信度,实体之间需要一个在线可信第三方提供服务。
为了核实某人的身份,你或许可以通过查验他/她的护照、身份证或者名片。但是,你无法判定这些凭证本身的真伪,也无法判定这些凭证的拥有者是否应该被信任。
数据通信中往往会使用各种各样的凭证,最常见的是共享的密钥或者口令。但是,这些凭证无法用于防止黑客,而且仅仅适用于一个预先假设存在的信任关系条件下,而通常环境下这种信任关系又无法产生。
TePA优先选用的是最安全的凭证类型:公钥数字证书。如果两个实体试图建立一个通信会话,那么他们会交换数字凭证,然后提交给在线可信第三方进行验证——数字凭证的真实性、有效性,数字凭证是否适用于特定会话,数字凭证的拥有者在特定会话中是可以被信赖的。
TePA加强了可信实体的参与,确保了正确而全面的验证,TePA已经是ISO、IEC等国际安全标准中的一个组成部分,同时已经被国际标准化组织ISO/IEC、欧洲标准化组织ECMA以及中国国家标准的许多主要数据通信协议所采纳。
5. 问:除WAPI外,基于三元对等(TePA)安全架构的网络安全协议技术还有哪些?
答:三元对等架构(TePA)应用于有线、无线、近距离通信、IP网络等多种网络,已形成了二十多项网络安全协议技术,并已被国际标准(ISO/IEC)、欧洲标准、中国国家标准、行业标准、团体标准采纳,构建了新一代网络四层安全协议,为TCP/IP四层互联网协议提供基础安全架构。这些协议技术及标准已在能源、通信、金融、交通枢纽工程等关键基础设施,及国防、公用事业等多行业和领域应用。
除WAPI外,典型的网络安全协议技术及标准包括:
(1)以太网安全——TLSec:GB/T 15629.3;
(2)射频识别安全——TRAIS:ISO/IEC 29167-16,ISO/IEC TS 29167-15,ISO/IEC 19823-16,GB/T 28925,GB/T 28926,GB/T 29768,GB/T 35102,GJB 7377.1,GJB 7377.2等;
(3)近场通信安全——NEAU:ISO/IEC 13157-4,ISO/IEC 13157-5,ISO/IEC 22425,ECMA 410,ECMA 411,ECMA 415,GB/T 33746,GB/T 30001.1,GM/T 0101等;
(4)IP安全可信——TISec:GB/T 25068.5等。
6.问:WAPI基础标准发布已经近20年,并且标准体系在不断演进,目前应用的情况如何?
答:WAPI已经得到了广泛的应用,成为全球无线局域网芯片的标准配置,并且其安全能力已经在为关键信息基础设施提供安全保障。
截至2022年9月,支持WAPI的无线局域网芯片已超过500款型号、全球累计出货量超过220亿颗,移动终端和网络侧设备等已超过19000款,并为电信运营商集采网络设备提供了安全能力,除公共WLAN网络外,WAPI已广泛部署于海关、金融、能源、政务、公安、交通、医疗、教育等行业,成为行业物联网的关键组成部分。
目前,集成和支持WAPI功能的产品形态越来越丰富、产品体系越来越完善。包括但不限于:芯片、模组、个人电脑、智能手机、平板电脑、应用软件/APP、无线局域网接入点/路由器、无线局域网控制器、鉴别管理服务器、办公机具、各类行业专用机具等等。
7.问:笔记本电脑如何升级支持并启用WAPI?
答:主流WLAN芯片均已具备WAPI安全能力,笔记本电脑厂商可以通过软件升级支持和让用户选择使用WAPI功能。具体方式是:笔记本厂商发布对应机型的支持WAPI的安装包,用户进行安装后,即可以使笔记本具备WAPI安全服务能力,无需更换硬件。
据不完全统计,戴尔、惠普等笔记本厂商均发布过此类安装包。
8.问:对于一个AP/AC厂商来说,将AP/AC升级至支持WAPI,需要投入几名研发人员,多长时间?
答:WAPI的标准和相关算法都是公开的,任何厂商均可按照标准开发产品,也可以选择与有开发经验的厂商合作。据了解,在成熟的AP/AC产品上增加WAPI功能,投入2-3人约1-3个月可完成升级。
9.问:部分WAPI产品取得了型号核准证书,在行业实际应用中却发现安全功能不完整,这是什么原因?
答:伴随着WAPI广泛服务国防、政务、能源、交通、金融等重要行业,WAPI常规互通性测试项目,已不能完全满足行业WAPI规模建设和业务运行的发展需求。有必要在WAPI协议互通性测试、WAPI协议完整性测试等若干方面,依据最新标准增加精细化测试项目。
其次,市场用户对实施WAPI测评的要求,大多已贯穿了“产品采购前、网络建设中、运行管理时”全阶段。随着各阶段的不同、检测场景的不同,对测评工具的要求也不同,之前传统形态和功能的WAPI合规性检测系统并不能满足。所以一方面要对WAPI产品进行更加精细化的测试,另一方面还要对WAPI网络的功能性能进行测试。
10.问:WAPI产业联盟测试实验室是政府机构么,通过了工信部相关检测后,是否需要再到联盟实验室通过检测,两者有什么区别?
答:WAPI产业联盟测试实验室是为联盟群体服务的自设机构,所提供的检测能力服务是对国家相关检测的良好补充。具体情况是:
(1)目前针对产品的WAPI能力,除了常规的符合性、互通性项目以外,还需要进行负面测试,目的是发现这些产品在WAPI协议实现上潜在的不完整。负面测试也称为协议完整性测试,可以检查产品在一些特殊极端情况下的表现。打个比方来说,对于一辆汽车,踩油门前进,踩刹车停止,这是正常的测试项目,但如果同时踩下刹车和油门,会发生什么情况?这个测试就属于负面测试范畴。WAPI产业联盟会定期对外发布WAPI测试项目,详情可咨询:010-82351181。
(2)WAPI产业联盟测试实验室提供协议完整性检测(负面测试)服务。检测无线局域网产品是否满足WAPI协议完整性的要求。无线局域网WAPI安全协议检测系统除了严格按照协议约定格式、字段属性构造、数据报文,对待测设备进行正确性,一致性检测、检验之外,增补设计了7大类协议完整性检测项目,分为异常WAI子类型、异常WAI头部字段、异常指定字段、异常完整性校验字段、异常WPI数据、异常组播密钥更新、异常AE签名属性字段;每一类分为若干项,每一项有一至两个测试用例。
此功能旨在设计一簇“错误”的WAPI协议程序库,并通过发送这类异常的WAPI数据报文与待测设备进行WAPI鉴别和加解密处理的过程,从而甄别设备是否能正确处理异常情况的过程。
负面测试服务有助于设备厂商和行业网络建设方尽快定位设备的安全风险,并指导设备的开发优化。
|