|
|
|
 |
联盟动态 |
|
|
| WAPI 2.0技术标准及产品实践 |
2021年12月,WAPI产业联盟发布T/WAPIA 046《无线局域网安全技术规范》,首次将WAPI 2.0技术标准化。WAPI 2.0技术适配了通用商密算法SM2、SM3,并继续使用SM4作为对称加解密算法,兼容WAPI 1.0技术体系并做功能扩展,适用性更强。2025年6月,WAPI产业联盟继续发布T/WAPIA 046—2021/XG1—2025《无线局域网安全技术规范第1号修改单》,对无线局域网安全技术规范中WAI2协议的封装、承载的以太类型字段、组播密钥通告过程协议封装等进行优化,进一步降低了产品实现的难度,标志着WAPI 2.0技术标准完全成熟,具备了规模产品化应用的条件。
图1 WAPI 2.0技术标准
如图2、图3所示,WAPI 2.0技术兼容WAPI 1.0技术,从技术架构上,二者均由“证书鉴别与密钥管理”、“预共享密钥鉴别与密钥管理”、 “WPI数据保密”三部分组成,其中“WPI数据保密”部分基本一致,确保了底层芯片的适用性。在WAI协议封装格式上,WAPI 2.0完全采用WAPI 1.0的头部字段定义,仅在数据字段靠前位置做了EEP封装定义,确保了二者的技术兼容,也极大降低了产品实现难度。
图2 WAPI 2.0和WAPI 1.0技术架构对比
图3 WAPI 2.0协议封装格式
图3所示的EEP封装格式中,子类型字段标识了三种协议分组,分别为AKEA-C、AKEA-P、AKEA-L。其中,WAPI 2.0证书鉴别和密钥管理采用AKEA-C协议的原子鉴别与密钥建立方法,在实现实体鉴别的同时,完成基密钥和单播密钥的建立;WAPI 2.0预共享密钥鉴别和密钥管理采用AKEA-P协议的原子鉴别与密钥建立方法,在实现实体鉴别的同时,完成基密钥和单播密钥的建立;单播密钥更新(包括密钥协商、密钥产生、密钥确认)采用AKEA-L带鉴别的密钥交换机制,封装在加密的EEP安全数据通信协议中。WAPI 2.0继续延用三元对等安全认证架构,防止伪基站、钓鱼AP、中间人攻击等安全风险,并适配了通用商密算法SM2和SM3,在隐私保护、算法强度、接入功能等方面进行了扩展。
在密钥导出方面,WAPI 2.0证书鉴别与密钥管理协议采用图4所示的推导过程,先运用SM2密钥交换算法协议生产密钥Z,再运用KDF算法,即SM4-XCBC-MAC-128密钥派生函数生成基密钥BK,然后运用PRF算法,即KD-HMAC-SM3密钥导出算法生成EEP数据安全通信加密密钥、单播加密密钥和单播完整性校验密钥;WAPI 2.0预共享密钥鉴别和密钥管理协议采用图5所示的推导过程,先采用口令输入方式和直接输入两种方式进行预置,口令输入后运用PRF算法,即KD-HMAC-SM3算法将输入口令生成预共享密钥PSK(直接输入方式可直接输入PSK数据),再运用KDF算法,即SM4-XCBC-MAC-128密钥派生函数生成基密钥BK,然后运用PRF算法,即KD-HMAC-SM3密钥导出算法生成EEP数据安全通信加密密钥、单播加密密钥和单播完整性校验密钥。
图4 WAPI 2.0证书鉴别和密钥管理的密钥导出过程
图5 WAPI 2.0预共享密钥鉴别和密钥管理的密钥导出过程
在产品实现方面,以WAPI AP和WAPI终端CPE为例,如图6所示,WAPI 2.0产品软件架构与WAPI 1.0产品软件架构一致,且芯片、固件、WLAN驱动等底层完全复用,仅需在WAPI协议栈、算法模块、证书管理模块以及上层应用模块实现WAPI 2.0的差异化内容,并与WAPI 1.0做兼容性处理,在产品实现上,整体难度不大。
产品实现后,可通过无线抓包,查看报文中的字段来确定是否正确,图7和图8所示为成功的WAPI 2.0两种协议过程。
图7 WAPI 2.0产品证书鉴别和密钥管理协议无线抓包
图8 WAPI 2.0产品预共享密钥鉴别和密钥管理协议无线抓包
关于WAPI 2.0技术标准体系
随着量子技术的快速发展以及商业化进程的加快,采用传统密码算法的网络安全协议体系正面临重大挑战,因此亟需构建并完善WAPI 2.0技术标准体系,为无线局域网提供抗量子攻击能力。同时,SM2、SM3国密算法的发布,也使无线局域网在身份保护、抗离线字典攻击等方面产生了新的安全需求,这些需求亟待在WAPI 2.0技术标准体系中得到响应与规范。
基于上述, WAPI产业联盟于2021年12月发布了T/WAPIA 046《无线局域网安全技术规范》。该团体标准在适配SM2和SM3并持续沿用SM4的基础上,新增了WAI增强协议、快速切换机制等适配选项,进一步强化了密码算法强度、身份保护、抗离线字典攻击及抗量子计算攻击等安全性能,可满足当前及未来对无线局域网安全技术与应用的新需求。
结合标准实施过程中业界提出的新需求,WAPI产业联盟于2025年6月发布了T/WAPIA 046—2021/XG1—2025《无线局域网安全技术规范 第1号修改单》,对规范中WAI2协议的封装、承载的以太类型字段、组播密钥通告过程协议封装等内容进行了优化。此举旨在进一步降低无线局域网产品的技术演进升级成本,增强产品兼容性,推动产业升级,为高质量安全无线局域网的建设与应用提供支撑。
根据联盟产业调研,实施T/WAPIA 046的典型方式为采用软件升级方式(即作为软件补丁部署在符合WAPI 1.0标准的设备上),按照计划,2025年内将有多家联盟会员单位发布符合该标准的STA、AP/AC、AS等系列产品,为行业及产业应用提供合规且兼顾量子时代安全需求和通用商密算法应用需求的产品及网络系统解决方案。
目前,联盟测试实验室已配套建成相关测试能力。
(本方案由西安芯语慧联信息科技有限公司供稿)
|
|
|
|
|
|
|
.png)
.png)
