在WAPI服务各行各业及关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题。同时,我们注意到百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI技术、标准、产业及演进历程的描述存在不准确或某些错误。为帮助大家更加客观、准确地了解WAPI,推出WAPI问答(系列连载)。
WAPI问答(系列连载)覆盖WAPI技术、标准、产品、应用、检测评估、联盟与会员等方面内容,并定期更新。文件中涉及的数据与内容,均源自公开信息。
1、问:联盟正在建设的高质量安全无线局域网标准体系,其发展背景和进展情况是怎样的?
答:18年来,WAPI 产业联盟组织会员单位,并与其他标准化组织协同,以GB 15629.11系列国家标准为基础,构建了完整的基于WAPI的无线局域网国家、行业、团体、企业标准体系,对安全无线局域网产品和系统,及其在关键信息基础设施的应用均给出了要求。WAPI标准体系在产品研发、检验检测、认证认可、产业应用等环节得到了广泛采信和实施,对规范、引导和服务市场起到重要作用。
当前,在满足提供基本的安全无线局域网连接需求的基础上,如何建设和运行高质量的安全无线局域网,成为安全无线局域网产业链各方的共同需求,包括产品提供者关心自己研发的产品是否有“高质量”,网络建设者关心使用的产品和建设过程本身是否有“高质量”,网络运营者和网络服务提供者关心自己网络运行的状态,以及提供的网络服务是否有“高质量”。所有网络利益相关者追求“高质量”的目标,是希望自身的产品、系统和服务的质量可被显性识别,从而更好满足客户和发展需求,赢得市场先机。这也是建设“高质量安全无线局域网”标准体系以满足上述需求的出发点。
针对上述需求,联盟和无线网络安全标准化委员会分析了在现有WAPI标准体系基础上,过渡和发展到高质量安全无线局域网标准体系的演进路径,提出了高质量安全无线局域网的范围、内涵、要求,并且立项了一项基础共性团体标准《高质量安全无线局域网总体要求》,将给出高质量安全无线局域网的基本定义、总体架构、所涉及对象的基本要求和高质量指标体系,该标准正在制定中,计划于2025年内正式发布。
2、问:如何理解2024年7月《中共中央关于进一步全面深化改革、推进中国式现代化的决定》对WAPI技术标准体系的影响?
答:《中共中央关于进一步全面深化改革、推进中国式现代化的决定》将进一步推动WAPI技术标准体系的建设和应用。
《决定》中22处提到“标准”,尤其是在以下两方面,将直接影响和激励WAPI技术标准体系的完善和应用:
(1)构建全国统一大市场。推动市场基础制度规则统一、市场监管公平统一、市场设施高标准联通。WAPI产业联盟组织制定的团体标准是形成“高质量安全无线局域网”的关键基础,是对政府发布标准(国家标准、行业标准)的重要补充,并已在产品研发、检验检测、认证认可、产业应用等环节得到了广泛采信和实施,对规范、引导、服务市场起到重要作用。下一步,联盟将进一步深入完善标准体系,促进标准实施,服务于构建全国统一大市场。
(2)完善流通体制,加快发展物联网,健全一体衔接的流通规则和标准,降低全社会物流成本。WAPI产业联盟组织创新提出的无线网络安全技术标准体系中,包含了射频识别(RFID)和近场通信(NFC)等物联网传感层安全协议,填补了我国在该领域研究的空白,已被发布为7项ISO/IEC国际标准、3项欧洲ECMA标准、9项国家/军用标准、5项行业标准,上述标准的实施将得到进一步深化。上述标准具体情况,可联系联盟标准化部:lmbz@wapia.org。
3、问:据业界反馈,部分低功耗WAPI模组以及集成了低功耗WAPI模组的终端产品,产品设计和使用中存在密钥泄露的安全风险,对此联盟是否有解决方案?
答:是的,WAPI产业联盟对此高度重视,已有应对和解决方案,并逐步实施。
低功耗WAPI模组通常以单片机(MCU)为核心单元,算力和资源受限,这类产品无法像运行Windows、Linux、Android等操作系统的产品那样具备一定的软件安全防护能力。因此,针对低功耗WAPI模组,应采用具有符合国家密码主管部门批准算法能力的安全芯片对密钥进行安全存储、执行密码运算,让密钥产生、密码算法运算、密钥销毁等与WAPI协议实现紧密相关的基础要素工作在安全芯片内部完成,确保密钥不出安全芯片。
针对上述,联盟一方面向行业管理部门沟通示警,并加强对厂商的宣贯;另一方面,联盟测试实验室迅速开展了“WAPI协议基础要素”测评能力建设,为市场和产业提供具针对性的测评支撑服务。详细情况,可联系联盟测试实验室:staff@wapia.org。
4、问:无线网络安全标准化委员会新立项的《无线局域网安全技术规范第1号修改单》,其项目目标是什么?
答:2021年,WAPI产业联盟发布了团体标准T/WAPIA 046—2021《无线局域网安全技术规范》。这是中国无线局域网业界面向量子时代的网络安全需求,结合适配通用商密算法SM2、SM3需求,使用更高性能密码算法工作模式SM4-GCM,满足身份保护需求和应对潜在量子计算攻击威胁,继承既有安全技术架构的安全功能和属性,新增抗量子计算攻击和抗离线字典攻击的安全特性,为向量子安全时代过渡的安全无线局域网产品提供架构及协议支持的新贡献,使得安全无线局域网技术标准体系得到新的发展。
伴随产业界对T/WAPIA 046—2021应用实施的不断深入,在产品开发和产业实施过程中,联盟成员针对规范中WAI增强协议的封装和承载的以太类型字段提出了修订需求。希望结合当前产业现状,进一步降低技术演进升级的投入,将芯片等硬件系统设计升级的工作减至最少。
为提供更便捷的技术升级路径,标委会于2024年9月3日立项了《无线局域网安全技术规范 第1号修改单》,拟对T/WAPIA 046—2021中WAI增强协议中的封装格式和以太类型字段等内容进行修订,以指导厂商更快速地实现高安全等级的产品,并为相关的检测活动提供规范。
在此也欢迎所有联盟成员单位、标委会委员和社会公众参与到该项目工作中来。
5、问:2024年1月,国际标准化组织(ISO) 和国际电工委员会 (IEC)宣布成立量子技术联合技术委员会——ISO/IEC JTC 3,这对WAPI技术标准体系的影响是什么?
答:WAPI产业联盟高度重视量子技术发展对WAPI标准体系带来的新挑战和新机遇,自2015年即组织开展了相关标准化项目的研究,以满足身份保护需求和应对潜在量子计算攻击威胁,团体标准T/WAPIA 046—2021即是WAPI产业群体的贡献,为向量子安全时代过渡的安全无线局域网产品提供了架构及协议支持。
2024年1月11日,国际标准化组织和国际电工委员会在日内瓦宣布成立ISO/IEC JTC 3量子技术联合技术委员会,负责量子技术领域的标准化工作,包括量子信息技术(量子计算和量子仿真)、量子计量学、量子源、量子探测器、量子通信和基础量子技术等领域。目前,该技术委员会有包括中国国家成员体/国家委员会在内的24个积极成员国(P-Member)和8个观察员国(O-Member),并已与欧洲电信标准化协会(ESTI)、国际电联电信标准化局(ITU-T)以及12个ISO、IEC技术委员会建立了联络关系。JTC 3由英国标准协会(BSI)担任秘书处,韩国全州大学碳和纳米材料工程系教授Haeseong Lee担任主席。
量子技术是指利用量子力学原理来设计、制造和操控器件与材料的技术,通过利用量子叠加态、纠缠态和隧道效应等奇特性质实现更高的信息处理和通信能力,在人工智能、量子计算、生物医药、通信传输、石油勘探等方面应用前景广泛。以量子信息科学为代表的量子技术,可以在保障信息安全、提高运算速度、提升测量精度等方面突破经典技术的瓶颈,成为信息、能源、材料、生命等领域重大技术创新的源泉,将引领新一轮科技革命和产业变革方向。
JTC 3的成立,标志着国际社会对量子技术发展的高度重视,以及应对量子时代网络信息安全新威胁的全球协同行动正在加速。
后续,WAPI产业联盟和无线网络安全标准化委员会将结合量子技术的发展和全球的标准化进展,持续创新、提升和发展WAPI标准体系。
6、问:关注WAPI技术、标准、产业的专家个人,是否可以成为无线网络安全标准化委员会委员,参加WAPI标准制定工作?
答:可以。
无线网络安全标准化委员会(WNSSC)是在无线网络和网络安全专业领域内,从事标准起草、技术审查、标准实施等标准化工作的技术组织,负责WAPI产业联盟团体标准的制定、发布、实施,推动团体标准被国际、国外、中国、行业以及其他团体标准的采用和引用,具有最广泛的代表性。WNSSC由委员组成,委员分单位委员和专家委员两类,来自生产者、经营者、使用者、消费者、公共利益方等相关方。WAPI产业联盟和WNSSC欢迎关注和支持无线网络和网络安全技术、标准、产业发展的组织和个人参加标准制定和实施工作,并对他们开放。
作为专家个人,可以通过如下方式申请加入WNSSC:(1)所在机构是联盟会员的,可由所在机构提名为单位委员或专家委员;(2)所在机构不是联盟会员的,可由联盟会员单位推荐为专家委员。
7、问:无线网络安全标准化委员会正在修订的《信息技术系统间远程通信和信息交换 局域网和城域网 特定要求 第 11 部分:无线局域网媒体访问控制和物理层规范 第 3 号修改单:管理帧保护技术规范》,其项目目标是什么?
答:2021年,WAPI产业联盟发布了T/WAPIA 010.3—2021《信息技术 系统间远程通信和信息交换局域网和城域网 特定要求 第11 部分:无线局域网媒体访问控制和物理层规范 补篇 3:管理帧保护技术规范》,它规范了无线局域网管理帧安全关联的建立和安全保护要求。
信标帧是一类特殊的管理帧,由AP周期性发送以支持无线信号覆盖范围内的无线局域网终端建立和AP的关联。此前,其安全防护未受到业界广泛关注,未被纳入管理帧安全保护范围。随着标准的深入实施,以及近年来技术的演进和发展,针对信标帧制定安全保护技术规范的时机已成熟,需要明确和细化管理帧保护时完整性校验数据处理等内容,因此启动了对原标准的修订工作。
8、问:无线网络安全标准化委员会正在制定的《无线局域网产品工程化实现指南第11部分:WAPI与IEEE 802.11be》,其项目目标是什么?
答:2023年8月,无线网络安全标准化委员会批准《无线局域网产品工程化实现指南 第11部分:WAPI与IEEE 802.11be》立项,该标准将对WAPI与IEEE 802.11be的MAC层与PHY层协同接口进行规范,以指导厂商实现支持IEEE 802.11be数据传输能力的下一代WAPI产品,并为相关的检测和应用提供依据。
无线局域网技术在全球范围内发展至今20多年,由数据(编码、调制、交换、分段/重组、帧格式等)、管理(媒体访问控制、会聚无线控制、初始化配置、网络同步、功率管理、服务质量、快速切换、漫游、频段分配、MAC地址分配等)和安全(鉴别、密钥交换、保密、加密模式、证书管理等)三个层面的技术,构成了无线局域网本身的技术体系。全球WLAN技术体系,在数据和管理层面具有相对统一的技术架构,但在安全层面仅有两条路线:一个是美国主导、Wi-Fi产业联盟主推的IEEE 802.11i(WEP/WPA/WPA2/WPA3)技术;另一个是中国主导发展的WAPI技术。
结合无线局域网技术演进,在符合GB 15629.11系列国家标准、采用WAPI安全协议保障无线局域网安全的基础上,确保应用IEEE相关物理层增强规范时,持续实现WLAN产品在数据和管理层面统一技术架构和互通性,WAPI产业联盟组织制定并发布了《无线局域网产品工程化实现指南》系列团体标准,给出技术规范。目前该系列已发布的标准包括:
(1)T/WAPIA 007.1《无线局域网产品工程化实现指南 第1部分:WAPI与IEEE 802.11n》
(2)T/WAPIA 007.2《无线局域网产品工程化实现指南 第2部分:WAPI与IEEE 802.11e》
(3)T/WAPIA 007.6《无线局域网产品工程化实现指南 第6部分:WAPI与IEEE 802.11p》
(4)T/WAPIA 007.8《无线局域网产品工程化实现指南 第8部分:WAPI与IEEE 802.11ac》
(5)T/WAPIA 007.9《无线局域网产品工程化实现指南 第9部分:WAPI与IEEE 802.11ad》
(6)T/WAPIA 007.10《无线局域网产品工程化实现指南 第10部分:WAPI与IEEE 802.11ax》
9、问:针对行业应用中提出的“多业务承载在一个物理WAPI网络、但需实现不同业务之间隔离”的需求,联盟有何考虑和行动?
答:根据市场需求,WAPI产业联盟组织在WAPI应用方案组中成立了“WAPI网络业务隔离解决方案项目组”。以WAPI安全无线局域网基础设施为核心,结合行业网络业务隔离的具体需求(例如:电力行业对安全III区和安全IV区隔离要求),从部署结构、设备要求、网络管理等方面,开展方案研究、构建环境、实施验证,并形成了《WAPI网络业务隔离解决方案》。
该方案实现了使用同一台AS完成不同安全区设备的证书颁发和接入鉴别;不同安全区共用同一套AC+AP的无线网络接入系统,通过虚拟局域网(VLAN)隔离等技术实现了不同安全区无线终端专网专用。满足了行业通过一张WAPI物理网络承载多个互相隔离业务的应用需求。
|