在WAPI服务各行各业及关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题。同时,我们注意到百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI技术、标准、产业及演进历程的描述存在不准确或某些错误。为帮助大家更加客观、准确地了解WAPI,推出WAPI问答(系列连载)。
WAPI问答(系列连载)覆盖WAPI技术、标准、产品、应用、检测评估、联盟与会员等方面内容,并定期更新。文件中涉及的数据与内容,均源自公开信息。
1、问:面向量子时代,WAPI技术标准体系将如何演进和发展?在为无线局域网络提供抗量子攻击能力方面,进展如何?
答:自2003年WAPI 1.0技术标准体系形成迄今,八十余项国家、行业、团体标准陆续得到发布,标准体系不断完善,联盟测试实验室的产品和系统测试项目,已演进四个版本,持续支撑产业创新发展。
随着量子技术逐步取得突破及商业化进展的加快,使用传统密码算法的网络安全协议体系面临重大挑战,迫切需要形成新一代WLAN安全技术标准体系。因此WAPI 2.0技术标准体系的演进目标是:面向量子时代安全需求,提供抗量子攻击能力,并在身份保护、防范离线字典攻击等方面提供更高安全性,支持快速切换、确保承载的多媒体业务传输具备更高质量。2021年12月28日,WAPI产业联盟、无线网络安全标准化委员会发布了T/WAPIA 046《无线局域网安全技术规范》,这是WAPI 2.0技术标准体系的第一项标准。
T/WAPIA 046在安全性、隐私保护、应对量子计算攻击威胁和防范离线字典攻击等方面,对现有WAPI 1.0技术标准体系进行了升级与增强,主要包括:
(1)升级采用面向量子安全的安全协议方案缓解量子威胁,降低WLAN通信系统数据“当前存储,以后破解”风险;
(2)新增支持身份保护功能,在保障通信安全的同时保护用户隐私;
(3)新增支持快速切换机制,满足音视频等流媒体业务无中断传输;
(4)升级支持防范离线字典攻击,提供可靠前向安全性(PFS),防范窃听者暴力破解获得密码和通信数据;
(5)全面适配通用国密算法,提供更高强度安全。
同时,T/WAPIA 046兼容WAPI 1.0技术标准体系,为实际部署中提供了向新安全方案的有序过渡,适应了平滑演进、兼容互通的产业需求。
2、问:目前已经发布的基于WAPI的无线局域网技术标准有80多项,从技术演进角度看,分为几个标准体系?
答:WAPI从技术演进角度,目前分为两个技术标准体系——WAPI 1.0技术标准体系和WAPI 2.0技术标准体系。
2000年,为弥补无线局域网(WLAN)国际标准ISO/IEC 8802-11存在的严重安全缺陷,中国业界在多年技术积累基础上,自主研发提出了全新的安全架构和WLAN安全协议——WAPI(无线局域网鉴别与保密基础结构),2003年被采纳入国家标准GB 15629.11/1102。WAPI所基于的三元对等安全架构,较之ISO/IEC 8802-11所基于的二转三元过渡架构具有显著技术优势,解除了接入点缺乏独立鉴别身份、依赖于与网络服务器额外建立安全传递通道,无法实现与终端的直接双向鉴别、易遭受“假基站”“蹭网”等安全隐患。GB 15629.11/1102标准的发布,标志着WAPI 1.0技术标准体系的形成。
2006年国家密码管理局发布第7号公告,批准了WLAN产品须采用的密码算法,包括对称密码算法SM4,签名算法ECDSA、密钥协商算法ECDH的指定椭圆曲线和参数,杂凑算法SHA-256。上述WLAN专用商密算法的发布,为WAPI技术标准体系持续演进提供了重要支撑。GB 15629.11—2003/XG1—2006、GB 15629.1101—2006、GB/T 15629.1103—2006、GB 15629.1104—2006四项国家标准发布后,基础安全技术、安全组网技术、网络管理技术、产品与解决方案、测试评价技术、创新应用等持续演进发展,八十余项国家、行业、团体标准陆续得到发布,WAPI 1.0技术标准体系不断完善,联盟测试实验室的产品和系统测试项目,已演进至第四个版本。标准体系的深入实施推动了产业发展,支持WAPI 1.0技术标准体系的WLAN芯片超过500款型号、全球累计出货量超过270亿颗,移动终端和网络侧设备等超过22000款,为能源、海关、金融、政务、公安、交通、医疗、教育等行业提供着安全网络服务。
随着本世纪初迄今量子技术逐步取得突破及商业化进程的加快,使用传统密码算法的网络安全协议体系正面临重大挑战,迫切需要新一代WLAN安全技术标准。2021年12月,WAPI产业联盟、无线网络安全标准化委员会发布了T/WAPIA 046《无线局域网安全技术规范》,这是中国WLAN业界面向量子时代的网络安全挑战,结合适配通用商密算法SM2、SM3需求,使用更高性能商密算法SM4-GCM,满足身份保护需求和应对离线字典攻击、潜在量子计算攻击威胁,为向量子安全时代过渡的安全WLAN产品提供架构及协议支持的新贡献,安全WLAN技术标准体系也因此得到新的发展,标志着进入了WAPI 2.0技术标准体系阶段。
3、问:T/WAPIA 046《无线局域网安全技术规范》的实施情况如何?
答:T/WAPIA 046实施正稳步进行中。2025年上半年内将有多家联盟成员发布符合T/WAPIA 046标准的STA、AP/AC、AS等系列产品,联盟测试实验室2024年内将正式接受配套产品标准符合性委托测试,并出具测试报告。
值得关注的是,T/WAPIA 046适配了通用商密算法SM2和SM3,并持续使用SM4,对WAPI 1.0技术标准体系中WLAN安全协议内容进行了扩展,增加了适配后的机制选项,包括新增WAI2协议、快速切换机制等,在密码算法强度、身份保护、抗离线字典攻击和应对量子计算攻击等安全性方面有显著增强,使WLAN设备持续满足合规要求、支持形成可信赖WLAN网络和服务,适用于更高安全要求的应用环境,将有效应对量子时代的新安全威胁。在实际部署方面,T/WAPIA 046兼容WAPI 1.0技术标准体系,满足实际部署中WAPI 1.0向WAPI 2.0技术标准体系的有序过渡,适应了平滑演进、兼容互通的产业需求。
T/WAPIA 046发布实施后,因其结合和兼顾了面向量子时代安全和使用通用商密算法的需求,得到业界的关注和响应。多厂商多类别产品开发、联盟测试平台能力建设,稳步推进。同时,联盟不间断地收集和响应产业应用实施过程中成员单位和业界各方提出的意见、建议,持续追求在不降低安全性的前提下,进一步减少技术演进升级的投入,将芯片等硬件系统升级的工作减至最少,在满足合规性需求的前提下,进一步保护投资。例如:标委会已针对T/WAPIA 046中WAI2协议封装及以太类型字段标识的改进,通过修改单项目立项,正在制定中。
根据联盟产业调研,实施T/WAPIA 046的典型方式是采用软件升级方式(作为软件补丁部署在WAPI 1.0标准符合性设备上),按照目前计划,未来半年内将有多个联盟成员单位发布STA、AP/AC、AS等系列符合T/WAPIA 046的产品,为行业和产业应用提供合规、兼顾面向量子时代安全和通用商密算法应用需求的产品和网络系统解决方案。联盟测试实验室已经过整备和样本测试,2024年内将正式接受成员单位的产品标准符合性委托测试,并出具测试报告,供业界采用。同时联盟将继续做好和产业、行业决策机构以及采购政策的衔接,使产业、行业能及时采用合规、具有更高安全性、面向量子时代安全需求的产品,支持保障网络服务的安全性。
4、问:在WAPI 1.0和WAPI 2.0两种技术标准体系中,安全服务可以在同一网络SSID内启用么?
答:不可以。
在产品测试和示范应用中,存在同一网络SSID内,不同版本WAPI机制并存,以及同一版本机制中证书鉴别和预共享密钥鉴别混用的情况。由于预共享密钥鉴别面临的安全管理风险较大、仅适用于满足短时间临时组网的需求,与证书鉴别机制安全性差异大,以及不同版本WAPI机制的安全等级不同,为防止降维攻击,联盟建议:应用中应避免不同版本WAPI机制,以及同一版本机制中证书鉴别和预共享密钥鉴别在同一网络中同时启用服务的做法。
5、问:在WAPI 1.0技术标准体系基础上,直接将密码算法替换为SM2/3。这种做法是否合规,为什么?
答:这种做法不合规。
目前业界存在“在现有WAPI 1.0技术标准体系的基础上,在产品开发中直接替换原有WLAN专用商密算法、使用通用商密算法”的做法。这种做法,不是现有标准体系支持的合规方式,以这种方式开发的产品,不具备技术标准体系演进形成的新的安全能力。
WAPI产业联盟在2024年11月14日发布的《关于安全无线局域网高质量发展的通告》中,对此已做了警示和剖析。详见联盟官网http://www.wapia.org.cn/yaowen/detail_342490.shtml。
6、问:联盟2024年8月推出的WAPI协议基础要素测评服务具体指什么?解决什么问题?测试对象是什么?
答:WAPI协议基础要素测评服务用于:检验被测产品是否采用了具有符合国家密码主管部门批准算法能力的安全芯片,对密钥进行安全存储、执行密码运算,以及让密钥产生、密码运算、密钥销毁等与WAPI协议实现紧密相关的基础要素工作,是否在安全芯片内部完成,保证了“密钥不出安全芯片”的原则。
目前WAPI协议基础要素测评服务对象主要是:低功耗WAPI模组,以及集成了低功耗WAPI模组的终端产品。
7、问:为什么WAPI协议基础要素测评主要针对低功耗WAPI模组?
答:低功耗WAPI模组以单片机(MCU)为核心单元,算力和资源受限,这类产品无法像运行Windows、Linux、Android等操作系统的产品那样具备一定的软件安全防护能力。如果低功耗WAPI模组不采用硬件安全芯片存储密钥、执行密码运算,软件存储、执行运算的密钥就非常容易被非法获取,会导致“非法设备获取合法身份”,由此带来安全风险。
因此需要通过WAPI协议基础要素测评,检验低功耗WAPI模组是否采用了具有符合国家密码主管部门批准算法能力的安全芯片,对密钥进行安全存储、执行密码运算。
8、问:厂商为什么要参加WAPI协议基础要素测评?
答:随着WAPI在各行业广泛应用,传感器、手持终端等类业务终端产品,大多通过集成低功耗WAPI模组快速具备了WAPI功能。但市场上有一部分低功耗WAPI模组以及集成了低功耗WAPI模组的终端产品,它们没有采用具有符合国家密码主管部门批准算法能力(包括国家密码管理局第7号公告发布的无线局域网专用商密算法ECDSA、ECDH的指定椭圆曲线和参数,SHA-256,以及通用商密算法SM2/3/4)的安全芯片对密钥进行安全存储和执行密码运算,因此存在密钥泄露的安全风险,易导致“非法设备获得合法身份”。这种风险与WAPI安全协议技术本身无关,属于产品工程实现层面的问题,但却会影响用户整体使用方案的安全性,给行业网络带来安全风险。
厂商参与WAPI协议基础要素测评,可以验证产品是否采用了具有符合国家密码主管部门批准算法能力的安全芯片对密钥进行安全存储、执行密码运算,避免密钥泄露、非法设备获得合法身份等安全风险,也为行业网络选用产品提供了参考和依据。
9、问:正在修订的《信息技术 系统间远程通信和信息交换 原子密钥建立与实体鉴别》系列团体标准,项目目标是什么?
答:2021年,系列团体标准T/WAPIA 045《信息技术 系统间远程通信和信息交换原子密钥建立与实体鉴别》获得发布。该系列标准规范了实体鉴别与密钥管理的融合技术,基于国家/国际标准规范的三元对等安全架构,具备身份保护能力、抗字典攻击能力等,促进了网络安全连接技术在有线局域网、无线局域网、近场通信、射频识别、移动通信、TCP/IP等基础通信网络中的规模部署和应用实施。
量子计算、区块链等新技术的快速发展和演进,对现有的鉴别与密钥管理技术体系提出了新挑战和新需求。针对上述,无线网络安全标准化委员会于2024年11月13日立项了《信息技术系统间远程通信和信息交换 原子密钥建立与实体鉴别》系列标准(修订),该项目欢迎所有联盟成员单位、标委会委员和社会公众积极参与。
10、问:正在制定的团体标准《信息安全技术 数字证书管理 第3部分:证书颁发》和团体标准《信息安全技术 数字证书管理 第4部分:证书撤销》,其项目目标是什么?
答:2024年8月14日,无线网络安全标准化委员会批准《信息安全技术数字证书管理 第3部分:证书颁发》和《信息安全技术 数字证书管理 第4部分:证书撤销》立项,该2项标准将规范WAPI证书颁发和撤销技术,旨在减少因证书管理不当而引发的安全风险,提高网络通信的安全性和稳定性。
其中,《信息安全技术 数字证书管理第3部分:证书颁发》将规范证书在线颁发、自动更新的技术实现,通过自动化管理流程,实现证书到期前的自动检测、生成、分发和更新,保障在自动更新过程中数据的完整性和机密性。
《信息安全技术 数字证书管理第4部分:证书撤销》将确保无线局域网中的证书撤销机制能够有效组织被撤销证书的继续使用,防止未授权访问、数据泄露等安全威胁;通过减少撤销过程中的计算量和传输开销,提高撤销效率;保障WAPI证书撤销机制能够与其他安全协议和标准兼容,促进不同设备和系统间的互操作性,为安全无线局域网提供更灵活和广泛的安全支持。
11、问:国家标准委印发的《团体标准组织综合绩效评价指标体系》和企业有什么关系?企业要关注哪些具体要求和指标?
答:2024年8月14日,国家标准化管理委员会印发《团体标准组织综合绩效评价指标体系》,旨在深入贯彻落实《国家标准化发展纲要》,发挥市场对团体标准的优胜劣汰作用,促进“制定好、管理好、应用好”团体标准。《指标体系》从组织管理能力、专业技术能力、标准编制能力、推广应用能力4个维度提出了具体要求。其中对企业参与团体标准工作提出了具体要求,建议企业关注和落实相关工作。包括:
(1)在“2.3参编单位相关技术创新成果”中,鼓励制定含有标准必要专利的团体标准,鼓励科研成果、新产品、新技术、新服务转化为团体标准;
(2)在“4.5.3市场应用”中,鼓励在招投标文件或商业合同中实施应用团体标准;鼓励企业依据团体标准进行生产经营活动时,在“企业标准信息公共服务平台https://www.qybz.org.cn/”上公开执行团体标准的相关信息;
(3)在“4.5.6合格评定应用”中,鼓励在检验检测、评价、认证认可中应用团体标准。
| 
