在WAPI服务各行各业及关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题。同时,我们注意到百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI技术、标准、产业及演进历程的描述存在不准确或某些错误。为帮助大家更加客观、准确地了解WAPI,推出WAPI问答(系列连载)。
WAPI问答(系列连载)覆盖WAPI技术、标准、产品、应用、检测评估、联盟与会员等方面内容,并定期更新。文件中涉及的数据与内容,均源自公开信息。
1、问:有人说,WAPI底层通信协议使用的是Wi-Fi技术。这种理解正确吗?
答:不正确。
WAPI和Wi-Fi使用的均为国际标准ISO/IEC 8802-11定义的底层通信协议,两者底层通信协议技术相同,但使用的安全协议不同,底层通信协议技术并不单独“属于”任何一者。
全球WLAN技术发展近30年,在底层通信协议(数据和控制)层面形成了相对统一的技术架构,这种技术格局的形成,能最大限度地利用全球和中国产业链多年发展的成果(一颗芯片可以同时支持WAPI和Wi-Fi),技术和产业成熟度高,市场竞争充分。
2、问:有人说,WAPI产品不能防范解除链路验证攻击。这种理解正确吗?
答:不正确。
启用WAPI管理帧保护功能的产品均可以防范解除链路验证攻击。
WAPI在安全身份鉴别和密钥建立基础上,采用国家批准的密码算法对管理帧进行保护,相关标准包括T/WAPIA 010.3和T/WAPIA 046。目前符合团体标准T/WAPIA 010.3或T/WAPIA 046的产品,均具备防范解除链路验证攻击能力。
3、问:目前WAPI产品的国产化情况如何?
答:目前WAPI国产化已覆盖全系列产品。
包括WAPI终端(STA)、无线接入点(AP)、鉴别服务器(AS)在内的各类产品均已实现多厂商供货,有多款采用国产芯片的产品已通过了WAPI产业联盟测试,符合WAPI标准体系。在此基础上,有多家厂商已推出了AS、AC、AP、STA全系列国产解决方案,供市场用户选择。
4、问:联盟团体标准《无线局域网产品工程化实现指南 第11 部分:WAPI与IEEE 802.11be》目前进展到什么阶段?配套的产业化情况是怎样的?
答:该标准已处于报批阶段。2024年多家厂商已依据《无线局域网产品工程化实现指南第11 部分 WAPI与IEEE 802.11be》(送审稿)启动产品开发。经实测,性能比IEEE 802.11ax有显著提升。
随着基础通信技术不断扩展,市场需要针对下一代WLAN技术IEEE 802.11be,开发与WAPI融合的技术和产品。联盟团体标准《无线局域网产品工程化实现指南 第11 部分:WAPI与IEEE 802.11be》,规范了WAPI与IEEE 802.11be融合技术接口,解决了多链路模式下的WAPI密钥建立协议和WAPI快速切换协议等技术问题,满足安全互联互通需求,为下一代更高速、更安全的无线局域网产品开发提供了统一的技术标准支撑。
5、问:WAPI协议和产品支持STA在AP间快速切换吗?
答:支持。
STA在同一AS域内跨AP快速切换是WLAN应用中的常见需求。无线局域网国家标准(GB 15629.11—2003/XG1—2006)已定义了预鉴别机制和BKSA缓存机制来降低切换时延,团体标准T/WAPIA 046也进一步定义了WAPI快速切换协议,进一步降低了跨AP切换对低时延业务的影响。符合上述标准的STA产品,可以实现高效快速安全切换,满足切换时业务不中断。
另据了解,此前一些厂商已在产品工程化方面通过“双发选收”等优化设计方案实现了WAPI终端产品跨AP的无缝切换,实测切换时间小于20ms,能满足流媒体等实时业务数据的不间断传输需求。
6、问:为什么“把鉴别器实体(AE)实现在AC上”是不合理的?
答:在WLAN集中控制模式下, AC负责集中控制AP,AP和AC协同实现STA的接入和管理。在这种集中控制模式下,理论上AE既可以完全驻留在AP中,也可以完全驻留在AC中,两种方式均可实现WAPI鉴别和保密的完整过程。
但在产品工程化实现上,出于保障加解密性能等目的,加解密过程必须在AP上实现,因此,将AE完全驻留在AC中(WAPI鉴别和保密的完整过程都在AC上实现)实际是无法实现的。
当前,有些厂商把AE的鉴别功能在AC上实现,把保密功能在AP上实现,这就意味着要在AC与AP之间传输加解密密钥,也因此引入了新的安全风险。
针对上述,最合理的方式是:AE要完全驻留在AP中,WAPI鉴别和保密的完整过程应完全由AP实现。
7、问:在WAPI测试中,是否会对无线控制器(AC)单独检测并出具测试报告?
答:不会对无线控制器(AC)单独检测,也不会单独出具测试报告。
原因是:在无线局域网网络部署中,仅瘦AP需要AC配合才能完成完整的无线接入点功能。由于AE只适合在AP上实现,AC是作为辅助设备,所以既不会单独测试也不会出具测试报告。
目前联盟出具的瘦AP测试报告,有关AC的信息,如设备名称、型号、软件版本、制造厂商等,会在“支持或辅助设备描述”中予以体现,“附件(样品照片)”中也会展示AC的外观照片。
8、问:为什么WPI-SM4-GCM密码套件可有效提升安全无线局域网产品性能?
答:随着安全无线局域网(WAPI)的大规模应用,面对海量的用户和海量的数据,对安全无线局域网产品性能提出了更高的需求,包括:应使用更高效的密码套件WPI-SM4-GCM。
此前市场中WAPI产品,其WPI(无线局域网保密基础结构)部分大多使用的是WPI-SM4-OFB-CBC-MAC密码套件。该套件需要将每一分组计算的输出反馈到下一分组计算的输入中,无法进行多分组并行计算,并且该套件仅提供加解密功能,数据完整性校验需结合CBC-MAC组件实现,性能虽能满足千兆网络需要,但不适应网络更高速率的发展。
WPI-SM4-GCM是一种新增的密码套件,提供多分组并行加解密特性,可通过多核并行处理提升性能,提供加解密功能的同时还能提供数据完整性校验功能,无需结合额外组件,效率更高,满足万兆网络或更高性能网络需要。
9、问:目前有用户反馈,已取得联盟WAPI测试报告的产品在供货、建设、交付中出现了质量问题。有可能是什么原因造成的?如何加以防范?
答:联盟WAPI测试,均严格依据标准开展,并对被测样品保留每一个测试项数据包交互过程,做到可查询、可追溯。和其他检测机构一样,联盟出具的WAPI测试报告仅对被测样品负责。
针对用户反馈“取得联盟WAPI测试报告的产品,在供货、建设、交付中出现的质量问题”,经调研,可能出问题的环节和解决建议如下:
(1)个别厂商 “同一型号产品,送联盟测试的样机与交付用户的产品不一致”。
针对此,建议:建设单位自建与WAPI产业联盟同等的WAPI检测能力。这样就可以在厂商供货、建设和验收阶段,随时检测/抽检供货产品是否和送测产品一致,并与联盟保持协同校验,保障供货产品一致性和质量。
(2)厂商老型号产品未及时升级和检测,不满足市场应用新需求。联盟每年会根据市场需求,对《无线局域网鉴别与保密基础结构(WAPI)功能测试项》进行增项、调整、升级,目前最新版测试项为:2025年1月版。因此,拿2022年或之前更早版本测试报告去投标供货的产品,可能不能完全满足当下的建设和采购需求。
针对此,建议:持有2022年(含)之前测试报告的产品,如继续参与2024年(含)之后的WAPI建设,厂商须及时开展新增项补测,测试通过后联盟将为其更换新版本测试报告。用户单位应关注厂商持有测试报告的出具日期(见封面)和测试项版本(见测试结论)。
(3)厂商获得测试报告之后,又对产品进行了升级改造。任何硬件设计改动或软件版本升级,都有可能对既有功能产生影响。
针对此,建议:厂商在同型号产品升级改造后,须再次进行检测。
10、问:依据2025年1月版《无线局域网鉴别与保密基础结构(WAPI)功能测试项目》测试并出具的报告,在辨识度上和之前有什么区别?
答:应市场采信要求,WAPI产业联盟围绕视觉辨识度、防伪辨别等,对新旧测试报告进行了显著区分。依据2025年1月版《无线局域网鉴别与保密基础结构(WAPI)功能测试项目》开展测试的产品,已按新版出具测试报告。
11、问:相较2024年3月版《无线局域网鉴别与保密基础结构(WAPI)功能测试项目》,2025年1月版测试项目有哪些新增和变化?
答:自2025年1月起,联盟测试实验室已依据2025年1月版《无线局域网鉴别与保密基础结构(WAPI)功能测试项目》开展WAPI测试。
相较于2024年3月版,2025年1月版新增如下:
(1)对终端(STA)、无线接入点(AP)、鉴别服务器(AS)的WAPI 2.0功能测试;
(2)AP、STA的WPI-SM4-GCM-128工作模式连通性测试;
(3)STA的WAPI协议基础要素测评。
12、问:在联盟WAPI测试中产品如有未通过项,整改后再次提交测试还要另行收费吗?
答:联盟测试实验室会针对测试未通过项目,提供未通过原因定位以及未通过项原始数据包交互日志信息等,协助厂商完善产品功能。
为兼顾测试平台的公共服务效率、减轻厂商负担,联盟测试实验室对整改周期不超过1个月、提交整改测试次数不超过2次的产品,不另行收费。
|
