1. 引 言
2020年12月WAPI产业联盟发布了团体标准T/WAPIA 040.1—2020《关键信息基础设施无线局域网技术要求 第1部分:通用要求》,因标准创新性强、技术内容先进、应用效果突出,于2023年8月被认定为中关村标准T/ZSA 143-2023《关键信息基础设施无线局域网技术要求》。
标准规定了在关键信息基础设施及相关环境中应用无线局域网的基本技术要求,包括无线接入点、接入点控制器、鉴别服务器、证书签发服务器、终端的技术要求。适用于无线局域网设备的设计、生产和采购,也适用于行业无线局域网的建设和监督管理。
2. 标准制定背景
随着网络安全法、密码法和网络安全等级保护2.0等法律法规和相关国家标准的发布实施,显著激发了关键信息基础设施中采用WAPI技术和产品保障网络安全的需求,WAPI应用越来越广泛。但在相关行业的应用中,尤其是针对关键信息基础设施应用的采购和部署,涉及到无线局域网(WLAN)部分,此前缺乏明确和统一的指导。
针对行业应用需求,无线局域网产业内厂商迫切需要一份明确的技术要求,规范无线局域网技术在关键基础设施中的应用,确保产品设计、生产和采购、部署等环节的合规性和一致性。
WAPI产业联盟于2020年12月组织制定并发布了团体标准T/WAPIA 040.1—2020《关键信息基础设施无线局域网技术要求 第1部分:通用要求》,并于2023年8月被认定为中关村标准T/ZSA 143-2023《关键信息基础设施无线局域网技术要求》。
该标准参编单位包括:中关村无线网络安全产业联盟(WAPI产业联盟)、西电捷通公司、北京联盛德微电子有限责任公司、无线网络安全技术国家工程实验室、北京三凯威科技有限公司、中国电力科学研究院有限公司、广州广电计量检测股份有限公司、北京数字认证股份有限公司、深圳市信锐网科技术有限公司、北京华信傲天技术股份有限公司、深圳市瑞科慧联科技有限公司、新华三技术有限公司、南方电网科学研究院有限责任公司、国家无线电监测中心检测中心、国家信息技术安全研究中心、天津市无线电监测站、中国电信股份有限公司研究院、高通无线通信技术(中国)有限公司、WAPI产业联盟测试实验室、工业和信息化部宽带无线IP标准工作组、江苏省电子信息产品质量监督检验研究院(江苏省信息安全测评中心)、湖北经济学院。
.jpg)
图:T/ZSA 143-2023《关键信息基础设施无线局域网技术要求》
3.标准主要内容
标准规定了在关键信息基础设施及相关环境中应用无线局域网的基本技术要求,重点聚焦关基无线局域网的“通用技术指标”,包括无线接入点、接入点控制器、鉴别服务器、证书签发服务器和终端的技术要求,用以指导厂商高效开发出合规的无线局域网关基产品。适用于无线局域网设备的设计、生产、采购和无线局域网的建设、监督管理各环节。
标准技术内容主要包括:
(1)组网技术要求:组网技术、组网要求、网络安全、网络传输性能、IP地址、VLAN规划、频率规划、等级保护;
(2)无线接入点:基本要求、物理接口要求(网络侧物理接口和用户侧物理接口)、功能要求、安全要求(网络侧安全、空口安全)、管理和维护要求、性能要求(用户容量、吞吐量、时延、抖动、丢包率、接收灵敏度、可靠性等)、运行环境要求(工作温度、工作湿度、防尘防水等级、机械环境适应性、电磁兼容性、运行电气条件等);
(3)接入点控制器:基本要求、物理接口要求、功能要求、安全要求(接入控制、网络访问安全、二层隔离要求、WLAN防非法攻击能力、非法AP检测、防止假冒能力、防DoS攻击能力、用户地址核查)、管理和维护要求、性能要求(吞吐量、无线控制、接入控制、稳定性、可靠性、可用性)、运行环境要求;
(4)鉴别服务器:基本要求、物理接口要求、功能要求(协议流程和数据格式、证书管理、证书鉴别、漫游功能等)、安全要求(系统要求、密码算法、证书及密钥管理、安全管理、物理安全防护)、管理和维护要求、性能要求(鉴别性能、可靠性、可用性)、运行环境要求;
(5)证书签发服务器:基本要求、物理接口要求、功能要求(证书签发、CRL签发、证书更新、证书查询功能、证书吊销功能、证书状态查询等)、安全要求、管理和维护要求、性能要求(证书容量、可靠性、可用性)、运行环境要求;
(6)终端:基本要求、物理接口要求、功能要求、安全要求、管理和维护要求、性能要求(吞吐量、时延、抖动、丢包率、接收灵敏度)、运行环境要求(工作温度、存储温度、电磁兼容性等)。
通过上述要求,可有效规范无线局域网技术在关键基础设施中的应用,可以有效保障产品设计、生产和采购、部署等环节的合规性和一致性。
4.标准主要技术指标
| 序号 |
指标名称 |
指标要求 |
|
1
|
组网要求
|
a)稳定性:无线局域网的系统分组丢失率应低于10-5,误码率应低于10-8;
b)兼容性:对于室内使用的无线局域网,应使其跟现有的有线局域网在网络操作系统和网络软件上相互兼容;
c)数据速率:为了满足局域网业务量的需要,应保障无线局域网的数据传输速率;
d)通信保密:由于数据通过无线介质在空中传播,无线局域网应在不同层次采取有效的措施以提高通信保密和数据安全性能;
e)移动性:支持全移动网络或半移动网络;
f)节能管理:当无数据收发时使站点机处于休眠状态,当有数据收发时再激活,从而达到节省电力消耗的目的;
|
|
2
|
网络安全
|
为保障无线局域网的安全,应采用GB 15629.11系列国家标准规范的WAPI安全协议,并符合GB/T 32420—2015。
|
|
3
|
等保要求
|
行业无线局域网系统应符合GB/T 22239标准相关要求。
|
|
4
|
无线接入点部分要求
|
a) AP应获得国家无线电主管部门颁发的型号核准证书;
b) AP应支持IPv4/IPv6双栈协议,具备同时获取IPv4/IPv6地址的能力;
c) AP应支持业务本地转发方式,宜支持业务集中转发方式;
d) AP应支持漫游切换,切换中保证业务不间断;
e)在11ac模式下,四条空间流,HE80频宽,上下行吞吐量≥480 Mbps;
f) 单向时延不大于50 ms;
g)丢包率不大于1%;
|
|
5
|
接入点控制器部分要求
|
a) 应支持双机热备份,故障切换时不影响业务正常运行,切换时间小于500 ms;
b) AC应支持基于MAC地址的接入控制,包括黑名单和白名单;
c) AC的吞吐量要求不小于2 Gbps,对于1024个AP模型配置的AC设备满配要求不小于10 Gbps,对于2048个AP模型配置的AC设备满配要求不小于50 Gbps,对于4096个AP模型配置的AC设备满配要求不小于100 Gbps,宜满足40 Mbps×AC最大支持的AP数;
|
|
6
|
鉴别服务器部分要求
|
a) AS应支持1:1热备份或N+1备份,故障切换时不影响业务正常运行,切换时间小于500 ms;
b) AS应支持WAPI证书鉴别协议流程,应符合GB 15629.11—2003和GB 15629.11—2003/XG1—2006规定;
|
|
7
|
证书签发服务器部分要求
|
a) CIS应支持对证书的签发操作,包括能生成与签发证书,并支持证书的查询和下载;
b) 应提供审计管理的界面,能够对事件发生的时间、事件的操作者、操作类型及操作结果等信息进行审计;
|
|
8
|
终端部分要求
|
a) 终端应获得国家无线电主管部门颁发的型号核准证书;
b) 终端应支持节能功能;
c) 终端应支持响应由AP发起的密钥更新过程,与AP协商更新会话密钥;
d) 终端在WAPI安全方式下进行数据传输时的无线接口吞吐量应满足,11ac模式:下行吞吐量≥36 Mbit/s, 上行吞吐量≥36 Mbit/s;
e) 单向时延不大于50 ms;
|
5.标准创新点
(1)支撑现行无线局域网国家标准的实施。
标准的制定和发布是对GB 15629.11国家标准(所有部分)的补充,支撑了现行无线局域网国家标准的实施,有效指导了关键信息基础设施无线局域网采购、部署和应用。
(2)服务市场建设,带动行标企标创新
标准的技术内容高度贴合市场需求,为行业、企业提供支撑和参考,目前该标准已转化为多项行业标准或企业标准,有效带动了行业标准、企业标准的创新。如:《南方电网WAPI无线局域网技术规范》《南方电网WAPI无线局域网综合管理系统技术规范》《南方电网WAPI无线局域网接入控制器北向接口技术规范》《南方电网变电站WAPI无线局域网典型设计规范》等,均采用了该标准的技术内容。
(3)技术颗粒度高、完整性强
该标准的技术思路清晰,指标设定合理,相关指标要求高于现行国家标准要求,符合关基行业特点;标准范围全面涵盖无线局域网各功能模块,各类型功能模块的技术指标颗粒度精细。
6.标准应用情况
标准基于市场和产业实际需求,确定关键技术指标,为关基行业安全无线局域网的建设运行和终端机具的合规好用提供了标准化依据。目前正在国防、能源、交通、水利、金融、公共服务、电子政务等领域发挥作用。
图:标准应用场景
|
