在WAPI服务各行各业关键信息基础设施建设过程中,联盟总结了一些市场用户的常见问题,并结合百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI的解释存在一定不准确乃至错误之处,开辟WAPI问答(系列连载)栏目,帮助大家更加客观准确地了解WAPI。
欢迎您随时和我们交流探讨。
联系方式:010-82351181
邮箱:staff@wapia.org
1、问:什么是无线局域网?
答:无线局域网(WLAN)是无线高速数据通信两大主流技术之一(另外一个是4G/5G/6G),使用无需授权的ISM频段中的2.4GHz或5GHz射频波段等进行无线连接,具有带宽高、成本低、部署方便等特点,可在局部区域(约100米)内为使用者提供高达数Gbps的高速率数据通信服务。经过二十余年的发展,WLAN已经成为全球宽带信息基础设施的重要组成部分,是目前各国网络用户最主要的宽带接入方式之一。当前最常见的WLAN应用场景主要包括公共接入、个人接入和行业专网等。
2、问:WLAN、WAPI、Wi-Fi的关系和区别是什么?
答:目前,全球WLAN在数据和管理层面已形成相对统一的技术架构(包括编码调制、数据交换、访问控制、频段分配、切换漫游等),但在安全层面有两条路线:一个是美国主导、Wi-Fi产业联盟主推的的IEEE 802.11i(WEP/WPA/WPA2/WPA3)标准,另一个是我国主导发展的WAPI标准。网络安全之外的其他部分是统一的、互通的,产品具备网络安全能力大都采用双模方式,产品可以互连互通。
从技术角度,WAPI和Wi-Fi的区别,大的层面有三个:
(1)安全架构不同。WAPI采用三元对等安全架构(对应全球安全架构演进的第三阶段),Wi-Fi采用二转三元过渡架构(对应全球安全架构演进的第二阶段)。在不同架构下,核心区别是无线接入点(AP)有没有独立身份,这决定了无线局域网终端和接入点的双向鉴别是直接还是间接(三元是直接,二转三元是间接),也导致Wi-Fi容易遭受中间人攻击(假基站)。
(2)安全协议设计不同。WAPI采用五次传递过程确保安全,Wi-Fi采用的安全协议设计,已被全球业界揭示出容易遭受KRACK、dragonblood等攻击。
(3)使用的密码算法不同。WAPI使用的对称密码算法是中国自主研发的SM4,Wi-Fi则采用美国提出的AES。
3、问:Wi-Fi技术有什么安全问题?
答:问题主要体现在:Wi-Fi无法实现无线接入点(AP)与终端(STA)的对等双向鉴别和访问控制,STA无法判断AP的合法性,不法分子可以伪造接入点,通过“钓鱼接入”、窃取数据等方式,实施诈骗恐吓、不良信息、造谣传谣等违法犯罪活动,对用户权益、社会稳定等带来严重威胁。特别是,随着无线局域网的应用日益广泛,美国主导发展的Wi-Fi,其安全问题越来越成为威胁我国网络空间安全和国家安全的重大隐患。
4、问:Wi-Fi安全机制也在不断升级中,它的最高安全机制能否保证安全?
答:Wi-Fi安全技术演进从WEP到WPA、WPA2,再到当前最高等级的WPA3,安全核心架构并未升级,仍然沿用20年前设计的IEEE 802.1x,即二转三元架构模式,无线接入点(AP)没有独立身份,容易导致中间人攻击。并且,密钥需要在AP和鉴别服务器之间传递,而传递密钥的安全通道在Wi-Fi标准中并未明确,而是依赖于厂商自行选择,安全通道存在的漏洞给整个WLAN系统带来非常严重的安全威胁。
WPA3虽然在密码算法和预共享密钥机制等方面,其安全强度有所加强,但因安全架构并未提升,之前业界发现的安全问题未能完全消除,仍然存在安全隐患,因此,目前Wi-Fi最高安全机制并不能保证安全。网络安全等级保护国家标准也明确禁用Wi-Fi的相关模式。
5、问:什么样的场景下,更适合使用WAPI?
答:在所有应用WLAN的地方,均适合使用WAPI。
符合WAPI标准体系的无线局域网系统,符合国家网络安全法、密码法、标准化法、国家安全法、数据安全法、个人信息保护法等法律,以及网络安全等级保护、密码应用安全性评估、网络安全审查、关键信息基础设施安全保护、商用密码管理等法规,和国家、行业、团体技术标准的要求。
符合WAPI标准体系的无线局域网系统,和Wi-Fi系统相比,建设成本相同。
符合WAPI标准体系的无线局域网系统,保障了无线局域网用户的数据传输安全。
6、问:建设和使用WAPI的成本比Wi-Fi如何?会不会增加额外成本?
答:WAPI产业成熟度高,市场竞争充分,不会增加用户的采购和建设成本。具体如下:
(1)网络设备方面:所有主流厂商产品全部支持WAPI,大多采用安全能力双模方式,售价与Wi-Fi产品相同。
(2)智能移动终端(Andriod、iOS)方面:全部支持WAPI(双模方式),不仅限于手机和平板电脑,也包括所有使用了类似芯片/操作系统方案的产品,如视频记录仪、移动布控球、智能安全帽等。
(3)非智能终端:绝大部分均可通过软件升级支持WAPI,不增加成本。
7、问:此前的一些老旧设备(所使用的芯片不支持WAPI功能),怎么支持WAPI?可以升级吗?
答:老旧设备可以通过软件升级,支持WAPI功能。但这类设备已经很少了。
(1)无线局域网(WLAN)是包含调制编码、数据交换、访问控制、天线技术、频段分配和安全协议技术等一系列技术组合而成的。WAPI属于安全协议技术,对WLAN基础通信功能并不做改变,可利用无线MAC芯片连接设备中的中央处理单元(CPU)进行安全协议处理。因此对WAPI功能的支持,完全可以通过纯软件来实现。在芯片全面支持WAPI之前,很多设备厂商均有过实践。
(2)设备通过软件升级支持WAPI,在性能效率方面,不如硬件实现方式高。但对于老旧设备来说,本身支持的都是低速率的通信技术,比如最高理论吞吐量率大致在11Mbps或54Mbps,实际吞吐量也就在8Mbps或20Mbps左右,对于这种老旧低速率设备来说,因其面对的应用场景速率要求不高,纯软件方式实现WAPI对本身的性能影响是满足需求的。
8、问:前期已经部署的WLAN网络,要达到启用WAPI服务的效果,需要花多少钱?
答:绝大部分WLAN网络设备通过软件升级,均可支持并启用WAPI安全服务,升级的直接费用可以忽略不计。
(1)对于运营商部署的WLAN网络,在采购时即已经要求所有设备必须支持WAPI功能,因此实际上这类网络使用的设备已在功能上支持了WAPI,仅仅是在网络配置上没有启用WAPI服务而已。因此,只需要配置开启WAPI,即可对用户提供WAPI安全服务,这属于网络配置工作,没有成本。
(2)对于非运营商部署的WLAN网络,由于硬件芯片都已在物理上具备了WAPI功能,只需要软件配合启用其服务,而不需要升级任何硬件,具体方式是:设备厂商提供支持启动WAPI服务的升级包对设备进行升级。(而对于网络设备来说,经常在运营中会发现设备存在缺陷或者功能更新需求,因此厂家本身会经常发布新的升级包,来解决问题和改进,这属于设备厂商对产品生命周期正常管理的范畴。)
(3)为了给用户提供WAPI安全服务,按照标准要求,一个无线局域网需要配置一个具备鉴别服务单元(ASU)功能的实体,ASU单元的形态有如下三种:内置在无线接入点(AP)中,软件升级AP,无硬件成本;内置在现有的其他网络服务器设备中,软件升级设备即可,无硬件成本;在一些关键基础设施中以独立设备——鉴别服务器(AS)方式部署,价格方面,市场会发挥作用,会从支持用户的综合效益考虑,每台几百、几千、几万乃至不要钱都是有可能的。另外,部署鉴别服务设备的投资者也可以通过提供的服务从市场获得收益,这部分的投资可以忽略不计。
9、如何判断一款产品是否已经支持了WAPI?
答:对于无线电发射设备,如无线接入点(AP)、终端(STA)等产品,依据国家法律法规,上市前应取得《无线电发射设备型号核准证》。如果厂商在型号核准阶段申请测试了WAPI功能,则《型号核准证》“设备名称”一栏上会标注“WAPI”。相关信息可在工信部网站公开查询:https://zwfw.miit.gov.cn/miit/resultSearch?wd=WAPI&categoryTreePid=&categoryTreeId=313
对于产品的标准符合性,以及多厂商间产品的互操作最优化性能,行业用户通常采用委托WAPI产业联盟测试或采信联盟测试报告的方式;值得关注的是,联盟接受行业用户委托进行测试通常是免费的。
此外,国内多家检测机构均具备WAPI相关测试能力,也可采信这些机构出具的报告。他们包括但不限于:国家无线电监测中心检测中心、上海无委无线电检测实验室有限公司、广州广电计量检测股份有限公司、辽宁信鼎检测认证有限公司、江苏省电子信息产品质量监督检验研究院、广州通导信息技术服务有限公司、国家无线电频谱管理研究所有限公司、工业和信息化部电子第五研究所、国家信息技术安全研究中心。
10、问:在行业无线网络部署中,选WLAN还是选5G?
答:这两者之间不是非此即彼的关系。但WLAN较之5G专用网络,更适合行业应用工程“大带宽、大连接、移动性”的应用需求。
(1)WLAN是现有行业专网的自然延伸,自建自营,独占网络资源,数据自己掌握,完全自主可控。
(2)在已部署有线网络/光纤的区域使用WLAN完成“最后一公里”覆盖,性价比高。一次建成后,可以不断承载新增业务。例如,电网变电站等应用场景的场地特性基本排除了外部同频干扰的可能,可在局部区域实现“饱和式”覆盖,网络连续性、安全性、性能冗余等目标可自主设计实现。
(3)相对而言,5G专用网络无论是设备物理专用,或者是切片逻辑专用,仍都是行业租用了运营商的服务,运维和数据将通过运营商,应用行业难以自主可控。行业5G专用网络中设备由运营商所有,由运营商运维;数据通过运营商,运营商做数据分析(注:原则上不查看用户数据内容,只看数据头用于分析业务质量,但存在非法获知用户数据内容的可能)。
(4)目前阶段,WLAN产业链成熟度高于5G专网,而且建设费用和运维成本较低。我国5G正式商用还不到半年,尚未经受大流量、大连接、高可靠、低时延的充分考验,网络切片等大规模组网技术尚未验证(来源:中国工程院邬贺铨院士)。相比而言,WLAN自1997年发展至今,最新一代速率可达数9.6Gbps,技术不断演进、产业成熟、成本更低。
| 
