在WAPI服务各行各业及关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题。同时,我们注意到百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI技术、标准、产业及演进历程的描述存在不准确或某些错误。为帮助大家更加客观、准确地了解WAPI,推出WAPI问答(系列连载)。
WAPI问答(系列连载)覆盖WAPI技术、标准、产品、应用、检测评估、联盟与会员等方面内容,并定期更新。文件中涉及的数据与内容,均源自公开信息。
咨询请联系:staff@wapia.org
1、 问:据市场用户反映,在招标采购WAPI设备时出现了“供货产品与送联盟测试产品不一致”等情况,能否通过查询联盟测试报告辨识此类情况?
答:可以。
在招标采购中,WAPI产业联盟出具的测试报告是证明投标产品符合技术规格、质量标准及合规性要求的权威凭证,也是防范供应链“货不对板”风险的核心依据。建议重点关注测试报告的测试时间、测试项版本、样品照片一致性以及是否包含“扩展功能”测试。防范供应链风险应关注以下细节:
(1)进行实物一致性核验:联盟测试报告中包含送测样品的实物照片(包括铭牌、接口、外观)。验收时,应严格比对报告中的照片与到货设备的型号、硬件版本、软件版本是否完全一致。
(2)核对测试规范版本:WAPI测试项目会随着技术演进,予以动态更新。一般情况下,每年会更新1-2个版本。如设备厂商持有的是时间较早的测试报告,可能无法覆盖当前的安全要求(如重传机制或管理帧保护等)。建议采购方要求设备厂商提供依据最新版测试规范/标准出具的测试报告。
(3)官方名录在线比对:登录WAPI产业联盟官网(wapia.org.cn),查询该型号产品是否在《WAPI产业联盟产品名录》之中,且产品信息是否与报告一致。
(4)到货抽检:产品到货后,建议用户使用专业WAPI测试工具复测,验证其是否与送测样品相符。
2、 如果WPI数据保密安全机制支持兼容模式,应如何进行测试?
答:WPI数据保密安全机制支持兼容模式是指:用于WPI数据保密的单播密码套件、组播密码套件、组管理密码套件,均分别同时支持WPI-SM4-OFB+CMAC-128和WPI-SM4-GCM-128。
以单播密码套件为例:测试时,配置基准设备的单播密码套件分别为“支持WPI-SM4-OFB+CMAC-128”、“支持WPI-SM4-GCM-128”以及“同时支持WPI-SM4-OFB+CMAC-128和WPI-SM4-GCM-128”三种场景,分别验证被测设备在三种场景下的单播密码套件协商结果是否正确,以及能否正确完成单播通信。
3、 问:是否可以将AS的功能全部或部分迁移至AC?
答:不可以。
AS是WAPI三元对等安全体系的信任根基,承担着STA和AP的身份鉴别与证书管理职责。任何削弱、替代或绕过AS核心功能的实现方案,均背离了WAPI安全架构的设计原则,引入系统性安全风险。
任何在AS之外建立次级信任中心的行为(如将部分鉴别功能迁移至AC),均会破坏信任体系的唯一性。经安全测试验证,此类改造会严重削弱网络安全性,使其极易遭受攻击。
同时需要说明的是:虽然功能不可迁移,但支持“逻辑解耦、物理融合”的部署方案。即:在物理形态上,可以将AS功能模块与AC部署在一起,甚至融合为“管控一体机”(逻辑上仍是两个设备)。具体见:《WAPI市场应用洞察报告——AS在WAPI三元对等架构中的核心地位与行业合规部署》。
4、 问:对于不支持快速切换的STA,为降低其在AP间切换时延,是否可以临时屏蔽AS鉴别功能?
答:不可以。
屏蔽AS鉴别功能,意味着密钥需在AP/AC之间的网络中传输,带来严重安全风险,一旦密钥泄露,非法STA即可绕过WAPI身份鉴别机制,直接入侵到WAPI网络中。
正确的做法是:快速切换功能的实现,必须以保证安全性为前提。STA无论切换到哪个AP,均需完整执行WAPI身份鉴别流程。对于切换时延的优化,可以通过“双发选收”等工程化手段予以解决,而不应通过牺牲安全机制来实现。
5、 问:AS不可用时,是否可以采用“代位鉴别”等应急方案?
答:不可以。
这类“代位鉴别”或其他“变通”方式均严重影响了安全性,甚至严格意义上已经不属于WAPI产品了。众所周知,WAPI的“三元对等”安全架构中,AS是不可或缺的一元,任何没有AS参与的WAPI身份鉴别流程都不可能完整,都无法保障安全性。
正确的做法是:通过备份部署和本地化部署提升AS可用性。例如在电力输电线应用场景中,可以将AS的发证和鉴别功能分离,将CIS(发证)集中部署,将AS(鉴别)下沉到本地部署,从而实现“集中管理、本地鉴别”,保障AS可用性。
6、 问:在无线局域网系统中,如果在两个终端(STA)上启用了IPSec,是否就不再需要启用链路层的WAPI安全机制了?
答:这种观点是错误的,存在根本性的安全风险。
认为“端到端安全(IPSec)”可以完全替代“点到点安全(WAPI)”的观点是一种危险的简化。在实际网络环境中,两种安全机制解决的是不同层级的安全问题,共同构成了完整的安全防护体系。若放弃点到点安全,将导致网络基础设施直接暴露,即使通信内容本身是加密的,网络的可用性、稳定性和隐私属性仍会受到严重威胁。
WAPI提供了点到点的链路层连接安全,而IPSec提供的是链路层之上的端到端、穿越不同IP域的IP层安全。即使WLAN系统的两个终端(STA)上启用了IPSec,如果缺乏链路层WAPI安全机制,攻击者仍可直接嗅探无线通信并获取原始数据帧,此时系统无法防范来自链路层面的点到点安全威胁,包括:非法终端接入、空口元数据泄露、在未被保护的物理链路上发起攻击等。
具体见《WAPI市场应用洞察报告——分层筑防:点到点与端到端安全共筑》。
7、 问:在无线局域网系统中,在已经启用链路层WAPI安全机制的情况下,如果在两个终端(STA)上启用IPSec,是否会对WLAN的连接安全产生显著增强?
答:不会。
WAPI安全机制以身份鉴别为前提,确保了数据在每一段通信链路上的保密性、完整性和可用性,实现了数据的真实性和不可否认性,满足了无线安全接入需求。
针对链路层特有的安全风险,采用IP层及以上的端到端安全技术,比如IPSec,对WLAN的连接安全并无显性增强。因为IPSec是在链路层安全基础上,在IP层的一种安全增强机制;在链路层已受WAPI充分保护的前提下,IPSec对WLAN连接安全的边际增强效应趋近于零。
具体见《WAPI市场应用洞察报告——分层筑防:点到点与端到端安全共筑》。
8、 问:针对点到点安全,WLAN物理层安全技术是否可以替代链路层安全技术?
答:无法相互替代。
物理层安全技术和链路层安全技术,分别解决不同层面的安全挑战,无法相互替代。在WLAN环境中,链路层WAPI安全技术的核心价值(如:身份鉴别、密钥管理、加密保护等)无法被物理层安全技术所替代。同时,某些物理层安全特性也是链路层技术难以提供的。应当根据安全需求和威胁模型,合理部署物理层和链路层安全技术,形成多层次的纵深防御体系。
具体见《WAPI市场应用洞察报告——分层筑防:点到点与端到端安全共筑》。
| 
.png)
