在WAPI服务各行各业及关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题。同时,我们注意到百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI技术、标准、产业及演进历程的描述存在不准确或某些错误。为帮助大家更加客观、准确地了解WAPI,推出WAPI问答(系列连载)。
WAPI问答(系列连载)覆盖WAPI技术、标准、产品、应用、检测评估、联盟与会员等方面内容,并定期更新。文件中涉及的数据与内容,均源自公开信息。
1、问:WAPI AP支持WPI-SM4-OFB+CMAC-128(以下简称OFB+CMAC)和WPI-SM4-GCM-128(以下简称GCM)密码套件时,如何与STA协商确定单播密码套件和组播密码套件?
答:AP和STA在建立安全连接前需要先进行安全策略协商,当AP和STA的WAPI安全策略同时支持OFB+CMAC和GCM时,在工程实现上,安全策略协商应遵循以下处理逻辑:
(1)若AP同时支持OFB+CMAC和GCM密码套件,可通过配置WAPI信息元素(WAPIE)通告多个单播密码套件,但组播密码套件只能通告一个;若优先考虑兼容性,则组播密码套件建议选择OFB+CMAC。(通常AP在信标帧或探询响应帧中包含WAPIE字段,用于标识它支持的WAPI安全策略。)
(2)若STA和AP发现双方单播密码套件或组播密码套件没有相同项,则关联失败。
(3)若STA和AP发现双方单播密码套件均支持OFB+CMAC和GCM,则应优先选择GCM。
(4)若STA和AP发现AP支持OFB+CMAC和GCM,而STA仅支持OFB+CMAC,则应选择OFB+CMAC;
OFB+CMAC和GCM密码套件用于WAPI保密通信过程。2003年GB 15629.11定义了OFB+CMAC密码套件,随着WAPI技术向更高速率的演进发展,2016年发布的《WAPI与IEEE 802.11ac》团体标准中新增支持了GCM密码套件。GCM密码套件提供多分组并行加解密特性,可通过多核并行处理提升性能,提供加解密功能的同时还能提供数据完整性校验功能,无需结合额外组件,效率更高,可满足11ac、11ax、11be等高性能网络需要。
2、问:在实现WAPI保密通信时,OFB+CMAC和GCM两种密码套件在工程实现方面有哪些区别?
答:OFB+CMAC和GCM在WAPI保密通信中提供了满足不同速率需求的数据保密性与完整性保护能力,为WAPI应用于多样化场景(如企业无线接入、工业控制、物联网等)提供了可灵活选用的安全方案,确保了网络通信在高效与安全之间的平衡。
OFB+CMAC和GCM两种密码套件在工程实现方面,在密钥、初始向量(IV)、完整性校验码计算三方面有显著区别:
(1)使用OFB+CMAC时,应使用2个密钥,分别为加密密钥和完整性校验密钥;使用GCM时,仅使用1个密钥即可完成加密和完整性校验。
(2)使用OFB+CMAC时,IV取值为128位(16个八位位组)的数据分组序号(PN)值;使用GCM时,IV取值为128位PN值的低96位。
(3)使用OFB+CMAC时,在计算完整性校验码时,若完整性校验数据的第一部分的长度或第二部分的长度不足16个八位位组的整数倍,则应分别在后面补零至16个八位位组对齐后,再参与完整性校验计算;使用GCM时,在计算完整性校验码时,完整性校验数据的第一部分作为算法的附加认证数据(AAD)直接参与运算,不需要补零处理。
3、问:使用GCM密码套件时,GCM-SM4算法在计算TAG时已经包含了PDU数据的长度L,AAD数据构造是否还需包含PDU数据的长度L?
答:需要。
使用GCM时,完整性校验数据的第一部分作为AAD,具体字段包括帧控制(FC)、地址1、地址2、序列控制、地址3、地址4、服务质量控制、KeyIdx、保留和PDU数据的长度L。完整性校验数据定义见《无线局域网安全技术规范 第1号修改单》标准的6.5.3.1。
GCM的特点是高效与安全并重,具备并行处理能力;WPI使用GCM实现了加密与完整性保护一体化,使WAPI在高速通信环境下仍能保持强大的数据完整性与抗篡改能力。
4、问:WAPI中针对单播管理帧的保护与单播数据帧的保护,在实现处理方面有哪些异同?
答:相同点:使用相同的单播密码套件,即:均使用单播加密密钥、单播完整性校验密钥和IV。
不同点:单播管理帧在完整性校验码计算时,帧控制(Frame Control)字段的位4、5、6参与完整性校验;单播数据帧在完整性校验码计算时,FC字段的位4、5、6置0,不参与完整性校验。上述处理方式与无线局域网国际标准所定义的方式一致,最大程度减少了厂商的开发工作量。
2025年7月发布的最新版《管理帧保护技术规范》标准,为WAPI安全无线局域网产品提供了清晰可操作的安全能力指引,增强了管理帧抵御仿冒、重放等攻击能力,提升了复杂环境下无线连接的安全性。
5、问:在实现WAPI组播管理帧保护时,完整性校验数据如何处理?
答:通过对组播管理帧的协议数据计算完整性校验码(MIC),实现WAPI组播管理帧的防篡改保护。参与完整性校验的字段包括帧控制、地址1、地址2、地址3、MAC管理协议数据单元(MMPDU) 和管理MIC信息元素(MMIE)。其中,在计算前应将MMIE中的MIC字段置零,以确保校验结果的正确性。
使用WPI-SM4-CMAC-128时,若组播管理帧协议数据不足16个八位位组的整数倍,应在数据后面补零至16个八位位组对齐,补零后的数据作为完整性校验输入进行计算。
使用WPI-SM4-GMAC-128时,组播管理帧协议数据直接作为附加认证数据(AAD)参与完整性校验计算,无需进行扩展补零操作。
综上,针对组播管理帧的完整性校验机制,无论采用WPI-SM4-CMAC-128还是WPI-SM4-GMAC-128,均在《管理帧保护技术规范》标准中进行了规范。该标准最新版本已于2025年7月发布,进一步强化了信标帧的安全策略协商机制、管理帧的完整性保护能力以及组播密钥通告协议的设计,显著提升了无线局域网产品的安全防护水平,优化了密钥建立与协商的效率。
6、问:WAPI技术是否适用于物联网(IoT)设备?
答:适用。
WAPI技术不仅完全适配物联网设备,更在安全性、场景兼容性及合规性等核心维度,精准解决了物联网规模化应用中的关键痛点,已在多领域应用。
(1)筑牢物联网安全防线:物联网“端-边-云”链路中,智能家居传感器、工业监控终端、医疗设备等常涉及敏感数据采集与远程控制,数据泄露、篡改及非法接入风险突出。WAPI通过终端设备与接入点的双向鉴别机制及国密算法加密,有效抵御了“非法设备接入”“数据窃听”等风险。
(2)适配复杂物联网场景:物联网设备常处于海量终端并发、移动物联网终端动态连接切换等场景,WAPI技术的部署应用可直接复用现有网络架构,无需额外改造。WAPI产业群体已结合物联网应用场景需求,开发出低功耗模组、毫秒级快速切换技术和产品,适配工业实时通信、智慧城市等规模化部署需求。
(3)符合关键领域的合规性要求:政务、工业、医疗等核心领域明确要求:物联网设备应符合《网络安全法》《密码法》对网络安全与密码应用的强制性要求。WAPI物联网完全满足上述要求。
7、问:WAPI技术用于物联网(IoT)设备时,需要考虑哪些特殊因素?
答:物联网设备与消费电子(如手机、电脑)相比,具有低功耗、资源受限、场景碎片化、长期在线等特性,因此在集成WAPI时应重点关注以下因素:
(1)适配低功耗:应优先采用芯片自带的硬件加密引擎(如支持SM4硬件算法的低功耗WLAN芯片),避免软件加解密占用CPU资源、增加功耗。
(2)资源受限设备的协议栈轻量化:由于多数物联网设备的硬件资源有限(如:RAM<1MB、Flash<16MB、CPU主频低),需使用轻量化的WAPI协议栈。
(3)证书管理的简化:物联网设备通常不具备人工操作的证书管理界面,需考虑“在线证书管理”功能。
8、在中短距离无线通信技术路线方面,WAPI无线局域网和其它技术相比,有哪些优势?
答:正在演进的中短距离无线通信技术丰富多样,包括WAPI、NB-IoT、LoRA、EUHT、WIA-FA、星闪、蓝牙等,它们各具特点和优劣势,适用于不同的应用场景和需求。
在选择采用具体中短距离无线通信技术路线时,需遵循五项基本原则,即:法律合规性、标准符合性、功能/性能匹配性、产业成熟度、可持续发展性。具体详见《WAPI市场应用洞察报告——工业网络选择中短距离无线通信技术路线的基本原则》。
9、无线局域网技术可用于民用无人驾驶航空器的相关通信么?
答:可以。
无线局域网(英文简称WLAN)具有带宽高、成本低、部署方便等特点,可在局部区域(室外300米)内为使用者提供数十Gbps的高速率数据通信服务。历经二十余年发展,WLAN已成为全球宽带信息基础设施的重要组成部分,并作为基础模块被其它行业设备集成,为海量行业设备提供了中短距离高速通信能力。
近年来,我国民用无人驾驶航空器产业取得了巨大发展,广泛应用于个人消费、植保、测绘、应急等领域,在国民经济各个领域发挥着重要作用。目前,微型、轻型和小型民用无人驾驶航空器在飞行过程中采用无线局域网信标帧广播协议,通过无线电方式周期性主动对外广播其唯一产品识别码,实现了远程识别与动态监控,保障了实时监管与空域安全。
此外,在民用无人驾驶航空器的遥控遥测数据传输、低空自组网及协同飞行等应用场景中,无线局域网技术均为典型的技术实现方案。
| 
