在WAPI服务各行各业及关键信息基础设施建设的过程中,联盟总结了一些市场用户的常见问题。同时,我们注意到百度百科、搜狗百科、互动百科、维基百科中文版等对WAPI技术、标准、产业及演进历程的描述存在不准确或某些错误。为帮助大家更加客观、准确地了解WAPI,推出WAPI问答(系列连载)。
WAPI问答(系列连载)覆盖WAPI技术、标准、产品、应用、检测评估、联盟与会员等方面内容,并定期更新。文件中涉及的数据与内容,均源自公开信息。
1、问:WAPI STA“双发选收”是如何实现STA在AP间快速切换的,对网络侧设备有没有特殊要求(例如:是否需要STA和AP是同品牌/厂商的)?
答:通过“双发选收”实现快速切换的STA,对网络侧设备没有特殊要求。
实现“双发选收”的STA有射频A和射频B两组射频,在AP间切换类似于两只脚走路,但总有一只脚不离地面——当STA在AP1与AP2之间切换时,射频A保持与AP1稳定连接,同时射频B开始连接AP2,连接稳定后,射频A与AP1断开,以此类推——始终保持有一组射频处于稳定连接状态,从而实现“无感”切换。早在2021年就有相关(两组射频)CPE产品通过了WAPI产业联盟测试,实现了移动高清视频等业务无间断、不卡顿、实时传输,实测切换时间小于20ms。
2、问:行业用户使用WAPI与使用Wi-Fi相比有哪些优势?
答:WAPI是无线局域网技术路线中,唯一符合我国法律法规和国家标准体系的。WAPI较之Wi-Fi,有4个方面的核心优势:
(1)更加安全。
(2)具有法律合规性——符合网络安全、密码、无线电管理等法律法规。
(3)具有标准符合性——符合GB 15629.11等百余项中国标准。
(4)中国自主安全协议,符合国家自主可控发展战略。
3、问:WAPI使用数字证书有哪些安全性优势?
答:安全性优势包括:
(1)强身份鉴别。
(2)防止中间人攻击。
(3)不可否认性。
(4)易于集中管理。
(5)易于网络规模的扩展。
通俗地说,数字证书就像一个电子身份证,帮助确认连网设备身份,确保“只有合法终端才能接入合法网络”,提高了无线网络的安全性。
4、问:有些家用/餐厅/酒店的无线局域网采用的是口令方式,适用于工业场景么?
答:不适用。
(1)口令方式是所有网络用户共用一个密钥。口令极易外泄,并且无法追查。
(2)即使网络用户实施了一些违法违规行为,但因为使用的是同一口令,行为无法追溯到该用户。
口令方式面临的安全管理风险大、仅适用于满足短时间临时组网的需求,是绝不能用于能源电力等工业场景的。
5、问:证书绑定MAC地址,目前被用于防止非法持有者的初级冒用、误用,但MAC地址可以被伪造,那么证书绑定MAC地址还有价值和意义么?
答:有价值和意义。原因如下:
(1)数字证书的安全性是靠设备的私钥保障的,私钥的存储和相关运算是不出合法设备的,即便非法持有者伪造了合法设备的MAC地址,但因为没有相应的私钥而无法合法使用该证书。
(2)当实践中当出现证书冒用、误用的情况时,证书绑定MAC地址可以初步识别非法设备,有效地节约AS端的鉴别算力资源。此外,数字证书绑定MAC地址,还有助于网络运维人员快速定位终端和接入点设备,便于排查和管理设备。
(3)通俗地说,身份证上印上照片,并非是为了防伪,而是有助于初步识别持有身份证的是不是本人,有效防止初级冒用。
6、问: WAPI协议“五次传递”具体传递的是什么信息,会传递密钥么?
答:(1)“五次传递”具体指的是WAPI的身份鉴别过程,传递的信息是证书鉴别协议分组,关键数据包括STA身份证书、AP身份证书、STA和AP密钥协商参数、STA和AP对消息的签名数据、AS生成的鉴别结果及对鉴别结果的签名等。“五次传递”确保了“合法终端接入合法网络”,期间不会传递终端或者AP的私钥。
(2)五次传递后,将进行会话密钥协商、得到数据加密密钥,用于后续业务数据的保密传输。在保密传输中,即使网络窃听者能通过无线方式得到传输数据,但无法破解、无法获得通信的内容。
7、问:WAPI鉴别过程需要传输私钥么?会传输公钥么?
答:WAPI鉴别过程不会传输私钥——私钥由STA、AP、AS本地存储使用,鉴别过程中不传输。
STA和AP的公钥在鉴别过程中,以数字证书形式传输——因为公钥本来就是让其他设备知晓的(用于验证签名),所以不会带来安全问题。
8、问:WAPI数据加解密传输过程中需要使用公钥/私钥么?
答:不需要。
WAPI数据加解密使用的是对称密码算法SM4,使用的密钥为协商产生的会话密钥(单播密钥、组播密钥等)。
9、问:为什么要协商加解密密钥?直接用公钥/私钥加解密数据不行么?
答:不行。原因是:
(1)公钥/私钥采用的密码算法是非对称密码算法。数据保密通信需要对大数据量进行加密和解密,采用非对称密码算法将导致通信效率极低,因此必须采用对称密码算法(SM4)——双方有相同的加解密密钥。
(2)加解密密钥是在身份鉴别之后的密码协商过程中协商出来的,WAPI协议已对其作了规范。
10、问:加解密密钥多久会更新一次?密钥更新过程中还需要再次鉴别么?
答:(1)WAPI协议中,提供了加解密密钥按照需求更新的机制。通常按照使用时间(例如24小时)或者通信流量,启动密钥更新。
(2)密钥更新需要重新进行身份鉴别。密钥更新过程不会引起通信中断。
11、问:在“支持WAPI 1.0与2.0功能兼容模式”的实际测试中,针对STA、AP、AS分别需开展哪些测试?
答:(1)对于STA,需要测试其能否根据网络提供服务情况,灵活选用WAPI 1.0或WAPI 2.0模式接入对应网络(不同的SSID)。
(2)对于AP,需要测试其能否支持两种模式的STA同时接入。
(3)对于AS,需要测试其能否同时鉴别两种模式的证书。
|
.png)