作为新一代无线局域网安全协议,WAPI 2.0在适配SM2/SM3并持续沿用SM4国密算法基础上,新增WAI增强协议、快速切换机制及身份信息保护等关键技术,大幅提升了抗离线字典攻击与抗量子计算攻击的能力。其中,身份信息保护机制通过密码技术,确保用户身份仅在WAPI鉴别过程中参与实体间受控传递,从根源上杜绝攻击者窃听报文获取身份、追踪用户行为的可能。
一、背景:身份信息保护成为网络安全核心需求
传统信息安全聚焦数据的机密性(不被非授权访问)、完整性(不被篡改)、可用性(能持续服务)等基础维度,以系统和流程保护为核心,致力于防止非授权访问和数据篡改。随着数字经济与社会生活深度融合,身份信息保护已从后台支撑性需求升级为战略性核心需求——身份证号、生物特征等关联法律主体的信息,成为数字空间最具价值的资产,也是攻击者窃取交易的主要目标。
这一转变下,安全防护从“保护系统中的数据”扩展至“保护作为数据主体的人”。身份信息保护也超越了传统机密性范畴,成为独立的保护维度。例如国家推广的基于芯片信息的“网证”(如CTID),通过生成仅包含必要属性的二维码,让验证方仅获“鉴别是否成功”的结果,实现身份信息“可用不可见”;公众对身份保护意识也显著提升,电商平台“防窥证件卡套”的流行,正是防范公共场所身份信息被窥视的体现。
身份信息泄露的危害已十分明确:深圳某银行曾发生客服偷拍客户信息,同伙用假证、手机号猜测网银密码,盗取30余万元存款的案件,凸显身份信息全程防护的紧迫性。
二、身份信息保护的核心作用
1、升级用户隐私保护
(1)防范身份信息滥用:传统鉴别需提供完整身份信息(用户名、密码或证书等),一旦泄露易引发:
身份信息保护机制应遵循“最小化信息披露”原则,在鉴别过程中仅传递权限等级等必要属性,从源头降低风险。
(2)抵御追踪与行为分析:通过匿名鉴别技术隐藏真实身份,实现“不可链接性”,阻断互联网环境中通过身份关联建立用户画像的隐形追踪。
2、强化网络系统安全
(1)防御主动攻击:通过加密技术隐藏身份信息,让攻击者难以发起中间人攻击(无法冒充服务端窃密)、重放攻击(难以伪造鉴别数据)。
(2)降低被动窃听威胁:身份信息保护机制对鉴别过程中所有敏感数据加密,即使通信流量被窃听,也无法获取有效身份信息。该特性在金融、政务等高安全需求场景中尤为关键。
三、WAPI 2.0如何实现身份信息保护
身份鉴别与密钥协商作为网络安全的核心,需同时保障“身份真实”与“会话安全”。WAPI 2.0通过系统化的身份信息保护机制,实现身份信息“防泄露、防滥用、防追踪”。
1、核心保护目标
(1)隐私性:通信双方身份信息不被第三方窃取。
(2)不可链接性:避免不同会话中的身份信息被关联追踪。
(3)抗流量分析:隐藏通信特征,降低身份推测风险。
(4)延迟披露:在符合条件的情况下尽可能推迟披露身份信息,防止身份过早暴露。
2、关键技术实现
(1)延迟身份信息暴露:将身份信息传输推迟至鉴别协议后期。例如WAPI 2.0中,身份信息仅在密钥加密方案协商完成后才传递,IKEv1主模式在最后阶段通过加密方式传输身份信息。这些均确保了协议初期数据安全,避免攻击者通过早期数据推测真实身份。
(2)加密传输身份信息:通过两种加密技术保障身份信息传输安全:一是用协商的会话密钥做对称加密,二是通过接收方公钥做非对称加密。在WAPI 2.0中,证书及身份信息均采用公钥加密技术传输,彻底阻断未授权解密风险。
四、总结与展望
随着数字化加速,身份信息保护已成为网络安全的“必选项”。既要确保身份验证有效,又要防止敏感信息泄露,在隐私保护、安全升级、合规满足中发挥关键作用。
在无线局域网领域,WAPI 2.0从设计阶段就集成身份信息保护机制,通过密码技术实现身份“受控传递+延迟披露”。这一设计不仅满足当前无线局域网的安全需求,更能适配未来进阶场景,为构建可信数字环境筑牢技术基础。
关于WAPI 2.0技术演进
2000年,为弥补无线局域网(WLAN)国际标准ISO/IEC 8802-11存在的严重安全缺陷,中国业界在多年技术积累基础上,自主研发提出了全新的安全架构和WLAN安全协议——WAPI(无线局域网鉴别与保密基础结构),2003年被采纳入国家标准GB 15629.11/1102。WAPI所基于的三元对等安全架构,较之ISO/IEC 8802-11所基于的二转三元过渡架构具有显著技术优势,解除了接入点缺乏独立鉴别身份、依赖于与网络服务器额外建立安全传递通道,无法直接实现与终端的直接双向鉴别等安全隐患。GB 15629.11/1102标准的发布,标志着WAPI 1.0技术标准体系的形成。后续八十余项国家、行业、团体标准陆续得到发布,WAPI 1.0技术标准体系不断完善,联盟测试实验室的产品和系统测试项目,演进四个版本,持续支撑着产业创新发展。
随着量子技术的快速发展以及商业化进程的加快,采用传统密码算法的网络安全协议体系正面临重大挑战,因此亟需构建并完善WAPI 2.0技术标准体系,为无线局域网提供抗量子攻击能力。同时,SM2、SM3国密算法的发布,也使无线局域网在身份信息保护、抗离线字典攻击等方面产生了新的安全需求,这些需求亟待在WAPI 2.0技术标准体系中得到响应与规范。
基于上述,WAPI产业联盟于2021年12月发布了T/WAPIA 046《无线局域网安全技术规范》。该团体标准在适配SM2和SM3并持续沿用SM4的基础上,新增了WAI增强协议、身份信息保护、快速切换机制等适配选项,进一步强化了密码算法强度、抗离线字典攻击及抗量子计算攻击等安全性能,可满足当前及未来对无线局域网安全技术与应用的新需求。
| 
