一、 摘要
WAPI 2.0是面向后量子时代长期安全需求的新一代无线局域网安全技术标准体系。它通过安全协议与密码机制的代际演进,提升了无线接入的身份可信、数据保密与抗攻击能力;同时,该体系支持与既有WAPI 1.0网络的无感共存与平滑迁移,为后续与后量子密码体系协同演进预留了敏捷扩展空间。
在无线承载关键数据与核心业务不断增加、密码体系面临新型威胁、合规要求持续升级的背景下,行业用户正处于在保证现网连续运行的基础上,评估未来风险、布局长期安全的关键窗口期。WAPI 2.0目前已进入标准持续完善与产业化提速的双轨道阶段,适合通过示范试点实现需求牵引与实效验证,即将“标准先进性”转化为“可验证、可复制、可演进”的工程样本,将“技术先进性”转化为“可采购、可部署、可运维、可证明价值”的产品与生态能力。为此,在WAPI产业联盟组织下,无线网络安全技术国家工程研究中心开展了WAPI 2.0-1DN示范网建设工作。该示范网摒弃了生产网“一次性替换”的高风险模式,通过小范围概念验证先行、受控范围实测、渐进式扩展的策略,已完成第一阶段验证任务。
本阶段成果聚焦关键能力的穿透性验证,重点验证互通、性能体验与深度安全能力(包括管理帧保护、快速切换、身份信息保护等),沉淀出一套可复用的网络架构、标准化部署与测试方案及问题闭环清单,并为行业提供了极具参考价值的 WAPI 1.0/2.0 双模并存及分阶段迁移路线建议。
二、 建设背景
(一)WAPI 1.0技术标准体系
WAPI 1.0技术标准体系于2000年启动,2003年起陆续发布GB 15629.11系列标准,采用三元对等安全架构与国密算法体系,提升了无线接入的身份鉴别与数据保护能力,降低“假基站”“蹭网”等典型风险。相关核心技术亦形成国际标准ISO/IEC 9798-3,以及百余项国家、行业和团体标准,并在电信、能源、国防、政务等领域持续应用,产业生态与配套标准体系不断完善。
(二)WAPI 2.0技术标准体系
WAPI 2.0技术标准体系于2015年启动,面向量子计算发展对传统密码算法与安全协议可能带来的风险提出应对方案,首个标准T/WAPIA 046于2021年发布,重构面向未来的安全基础结构,新增原子密钥建立与实体鉴别协议、快速切换机制,增强面向量子威胁的缓解与演进能力;同时适配通用商密算法,强化身份保护和抗离线字典攻击能力。目前,WAPI 2.0体系正分阶段演进,并与后量子密码算法标准化进程协同推进,逐步构建面向量子时代的长期安全保障体系,服务工业互联网、物联网、车联网等场景,为关键信息基础设施的连接与互联安全提供支撑。
截至2026年第一季度,WAPI 2.0 技术标准体系已构建起初步完备的矩阵。以核心标准 T/WAPIA 046—2021《无线局域网安全技术规范》为基石 ,辅以T/WAPIA 046—2021/XG1—2025(第1号修改单)的持续迭代,以及T/WAPIA 054—2025《高质量安全无线局域网 总体要求》和 T/WAPIA 037.2—2026《无线局域网测试 第 2 部分:设备测试方法》等关键规范的发布,标志着 WAPI 2.0 已完成从技术定义到落地指引的多维度覆盖 。
通过在加密算法、身份鉴别机制及密钥管理策略等维度的深度重构与持续进化,WAPI 2.0 展现出显著的代际跨越:相较于 WAPI 1.0,它不仅实现了抵御量子计算攻击能力的增强,更引入身份信息保护机制,显著提升了系统安全防护能力与数据隐私保障水平,为关键信息基础设施夯实了“底座级”安全保障。
WAPI 2.0带来的核心能力:
-
更强抗攻击能力:强化对等鉴别与密钥建立,增强抵御接力攻击、离线字典攻击等能力。
-
身份信息保护:接入过程中对证书等身份信息进行保护传输,降低身份暴露与轨迹被追踪风险。
-
更好的移动体验:支持快速切换机制,降低漫游时延与业务中断概率,适配音视频等实时业务。
-
平滑演进与兼容互通:支持与WAPI 1.0网络/终端并存运行,便于分阶段升级与渐进式替换。
三、 建设目标
WAPI 2.0-1DN示范网的建设,旨在锻造一个完全符合T/WAPIA 046标准要求、面向量子时代长期安全需求的高质量安全无线局域网样板环境。通过在复杂真实的业务实境下,对 WAPI 2.0关键能力及产品规模化应用成熟度进行“全量实测”,将沉淀出一套低风险跨越、分阶段演进、高效率运维的工程化落地方案,从而为WAPI 2.0的规模市场化应用输出可复刻、可推广的标准化范式 。
具体目标包括:
1) 核心技术指标实测:为WAPI 2.0产品面向规模部署的成熟度验证提供环境,验证技术与产品从实验室到现网应用的可行性;
2) 多场景适配:完成典型应用场景下的部署,支撑实际业务运行;
3) 成本可控性验证:测算能耗、运维人力等全生命周期成本,为规模化部署提供降本方向;
4) 跨行业合作标杆:落地办公、教育、远程会议等典型行业应用案例,验证跨场景价值;
5) 现网平滑演进:通过WAPI 1.0与WAPI 2.0双模并存实测,验证迁移与切换能力,优化现网升级路径;
6) 人才储备:培养网络建设、运维服务等专业能力;
7) 行业交流:开展成果发布与行业交流,促进产业认知与应用转化。
四、 建设原则
(一)合规性:严格遵循WAPI核心标准(T/WAPIA 046、T/WAPIA 007、T/WAPIA 010.3、GB 15629.11)及相关配套规范,并按测试方法开展验证。
(二)成熟性:优先选用经过联盟实验室/第三方测试验证或已有工程验证记录的设备与版本,降低部署与运维风险。
(三)经济性:控制硬件采购与施工成本,适配中小规模场景预算需求。
(四)兼容性:支持与现有WAPI 1.0网络兼容互通,满足渐进式演进需求。
五、 建设方案
WAPI 2.0-1DN示范网采取“三步走”方式有序推进:
第一阶段:基础验证期(当前已圆满收官)。聚焦标准体系核心能力,重点完成了 WAPI 2.0 关键能力的穿透性验证与初步的异构互联互通。
第二阶段:能力迭代期。依托规模化试点,旨在实现性能体验的极速化、运维管理的智能化以及安全保障的全方位升维。
第三阶段:示范推广期。面向全场景规模示范应用,旨在沉淀出可直接复刻、具备多行业普适性的全栈解决方案与实践范式 。
目前,第一阶段基础验证工作已高效完成,为后续的大规模应用奠定了坚实的实证基础 。
(一)网络架构设计
WAPI 2.0-1DN示范网整体架构上采用部署复杂度低的“核心-接入”两级简化架构:
1) 核心层:在中心部署支持WAPI 2.0和WAPI 1.0的证书签发与鉴别服务器(CIS&AS),负责整个网络的管理和鉴别。
2) 接入层:在中心及分中心部署支持WAPI 2.0+WAPI 1.0双模的AP设备,覆盖目标区域。
网络拓扑架构见图1。证书签发与鉴别服务器通过局域网或互联网与接入层AP连接,终端通过WAPI 2.0或WAPI 1.0协议接入网络。
.png)
图1:WAPI 2.0-1DN第一阶段示范网拓扑架构
(二)设备选型
1) 终端(STA)
a) 支持2.4GHz/5GHz频段;
b) 支持WAPI2-CERT、WAPI-Cert、WAPI2-PSK和WAPI-PSK安全模式;
c) 支持WPI-SM4-OFB+CMAC和WPI-SM4-GCM加密模式;
d) 支持WAPI快速切换(WAPIFT);
e) 支持WAPI管理帧保护功能;
f) 符合GB 15629.11和T/WAPIA 046等WAPI相关标准。
2) 无线接入点(AP)
a) 采用双频设计,支持2.4G/5G频段工作模式;
b) 支持WAPI2-CERT、WAPI-Cert、WAPI2-PSK和WAPI-PSK安全模式;
c) 支持WPI-SM4-OFB+CMAC和WPI-SM4-GCM加密模式;
d) 支持WAPI快速切换(WAPIFT);
e) 单AP支持≥64个终端接入,支持PoE网线远程供电;
f) 支持WAPI管理帧保护功能;
g) 符合GB 15629.11和T/WAPIA 046等WAPI相关标准。
3) 证书签发与鉴别服务器(CIS&AS)
a) 支持WAPI 1.0证书与WAPI 2.0证书的签发、撤销和查询等证书管理功能;
b) 支持WAPI 1.0证书鉴别与WAPI 2.0证书鉴别;
c) 支持多用户并发鉴别能力,鉴别性能≥500次/秒;
d) 支持WAPI漫游证书鉴别;
e) 符合GB 15629.11和T/WAPIA 046等WAPI相关标准。
(三)部署方案
第一阶段部署方案(见图2)深度契合前期需求调研与示范场景属性,实现了从网络架构细化设计到现场组网开通的全流程工程化闭环。在示范网稳定运行期间,项目组开展了全维度、高强度的功能与性能实测:涵盖了WAPI 1.0与WAPI 2.0的协议深度兼容性验证、极限带宽压力下的流量传输测试、高密度并发连接性能评估,以及管理帧保护机制的安全强度校验等核心项。通过对网络稳定性的持续打磨与可运维性的深度优化,示范网成功构建了“实测、优化、再验证”的演进机制,为后续示范范围的扩大与规模化应用奠定了坚实的技术底座与工程范式。
图2:WAPI 2.0-1DN第一阶段示范网部署方案
1) 设备清单
2) 业务场景设计
a) 科研与办公应用场景:支持科研数据访问、办公系统使用及信息共享等业务,验证网络在日常生产环境中的稳定性与安全性。
b) 视频会议与网络教学场景:支持高清实时视频会议和在线教学应用,验证网络对实时业务的带宽保障与低时延能力。
c) 数据采集与物联网接入场景:支持终端设备数据采集与实时上传,验证网络在多终端接入场景下的可靠接入能力。
d) 移动视频传输与漫游场景:移动终端在不同接入点间移动并进行实时视频回传,验证快速漫游切换与业务连续性。
e) 无线安全能力验证场景:通过管理帧保护、主动身份保护及增强密码算法等机制,验证网络整体安全防护能力。
f) 协议兼容与演进场景:WAPI 1.0 与 WAPI 2.0 终端同时接入网络,验证协议兼容性与网络平滑升级能力。
(四)实境验证
1) 协议兼容与演进场景
在示范网中开展协议兼容与演进场景验证测试。通过部署同时支持WAPI 1.0和WAPI 2.0的无线接入点,并接入不同版本协议的终端,验证两种协议在同一网络环境下的兼容互通能力。测试过程中,WAPI 1.0终端与WAPI 2.0终端能够正常完成接入鉴别并开展业务通信,网络运行稳定,未对现有业务产生影响。同时,支持WAPI 2.0的终端接入时可启用相应安全机制,实现更高等级的安全保护。测试结果表明,示范网能够在保持现有WAPI 1.0终端正常运行的基础上,支持向WAPI 2.0安全方案演进,为无线网络的升级部署与规模化推广提供兼容性支撑。
2) 移动视频传输与漫游场景
在示范网中开展了视频回传业务场景下的无线快速切换测试(见图3、图4)。测试过程中,终端在不同接入点间移动并持续进行实时视频数据回传。测试结果表明,在启用WAPI 2.0快速切换机制下,单射频终端在不同接入点间的平均切换时延小于50 ms,切换过程平滑稳定。与未启用快速切换机制的传统无线网络相比,WAPI 2.0可减少漫游过程中的业务中断时间,提升对视频监控等对时延与连续性要求较高业务的支撑能力。
图3:WAPI 2.0-1DN第一阶段示范网视频回传快速切换验证场景拓扑
图4:WAPI 2.0-1DN第一阶段示范网视频回传对比测试
3) 无线安全能力验证场景
在示范网中开展管理帧保护能力的对比测试(见图5),通过模拟无线管理帧攻击场景,对启用与未启用管理帧保护机制的网络运行情况进行验证。测试结果表明,在启用WAPI管理帧保护机制后,无线网络能够对伪造或恶意管理帧进行有效识别与防护,提升对管理帧攻击的抵御能力;在未启用相关保护机制的情况下,网络在攻击场景下更易受到干扰,可能影响终端接入与业务通信。测试表明,WAPI管理帧保护机制有助于增强无线网络的安全性与稳定性。
图5:WAPI 2.0-1DN第一阶段示范网WAPI管理帧保护验证场景拓扑
六、 示范效果
WAPI 2.0-1DN 示范网第一阶段已完成从顶层规划、实境部署到权威验证的全链条任务。通过在真实业务流量环境下深度部署WAPI 2.0安全机制,成功构建起集高安全性、稳健可靠性与敏捷兼容性于一体的无线局域网实战化样板 。
项目组围绕身份鉴别、数据保密、快速切换及管理帧保护等关键维度的核心能力进行了系统性穿透验证。验证数据表明,示范网整体运行稳健,各项功能响应与性能指标均达到预期目标,其核心实证价值体现在以下维度:
(一)经济性
在满足终端/接入设备软硬件能力与产品实现条件的前提下,WAPI 2.0部分能力可通过软件版本升级与配置优化实现增强,从而降低改造成本与迁移风险。对于不具备升级条件的存量设备,可结合双模并存、分区替换等方式分阶段演进,避免对现网业务造成冲击。
(二)高安全性
WAPI 2.0通过引入先进的身份鉴别机制与更高强度的密码算法体系,提高无线接入的整体安全等级。在示范网运行过程中,在防范字典攻击、保护用户身份信息以及提升数据通信安全性等方面体现出明显优势。同时,通过增强管理帧保护机制增强对拒绝服务攻击等安全威胁的抵御能力,提升网络安全性与稳定性。
(三)高可靠性
WAPI 2.0支持更加高效的快速切换机制,在终端移动接入过程中实现更加平滑的网络漫游与切换,降低业务中断概率,提高无线网络连接的连续性与稳定性,从而保障关键业务应用的稳定运行。
(四)良好兼容性
示范网采用同时支持WAPI 1.0与WAPI 2.0的设备,实现对现有网络环境的兼容,并为向WAPI 2.0安全方案升级提供平滑过渡路径,满足产业对兼容互通与渐进式升级的实际需求。
总体而言,WAPI 2.0-1DN 示范网第一阶段的成功建设,不仅有效验证了WAPI 2.0技术在防御升维、链路稳健及体验优化维度的显著工程化实效,更打通了从“标准先进性”向“现实生产力”转化的关键路径。这一阶段性成果不仅确立了新一代安全无线局域网的实战基准,更为后续规模化部署与技术跨行业应用提供了具有参考价值的工程蓝本与决策依据 。
七、 下一步工作
随着无线网络应用场景不断拓展及网络安全威胁形态持续演进,无线局域网对安全机制、可靠性与可管理性的要求将不断提高。WAPI 2.0作为新一代无线局域网安全技术,在身份鉴别机制、密码算法体系、用户隐私保护以及管理帧安全等方面具备技术基础与发展潜力。
未来,将在WAPI 2.0-1DN示范网既有成果基础上,进一步扩大WAPI 2.0应用范围,在更多典型场景(如企业园区网络、行业专网及公共无线网络等)持续开展验证与实践,不断完善技术方案与部署经验。同时,结合产业发展需求,持续优化快速切换、安全鉴别与网络管理能力,提升无线网络整体安全水平和运行效率。
此外,随着量子计算技术的发展,网络安全体系抵御量子计算攻击的需求将逐步增强。WAPI 2.0在抗量子安全方面的技术探索,可为构建面向未来的无线网络安全体系提供支撑。通过持续推进技术研究、产品优化与标准化工作,有望推动WAPI安全技术体系在更广泛领域的应用,进一步提升无线局域网整体安全防护能力,为无线网络的安全、稳定和可持续发展提供支撑。
八、 欢迎产业链各环节单位参与示范网建设
联盟诚挚欢迎产业链各环节单位以联合测试、联合试点、联合示范等方式积极参与,共同促进标准技术演进、互通成熟与应用落地。
为降低用户尝试成本、减少对现网影响并加快产业互通成熟,本示范网提供分层参与路径。各参与方可根据自身资源与业务敏感度,灵活选择选择从“验证”到“示范”的不同梯度,逐步推进。
我们期待与各方携手合作,共同探索创新应用场景,促进WAPI 2.0技术成果转化与规模化推广。
联盟联系方式:
电 话:010-82351181
邮 箱:staff@wapia.org
网 站:www.wapia.org.cn
关于无线网络安全技术国家工程研究中心
无线网络安全技术国家工程研究中心(以下简称“工程中心”)是国家发展改革委在基础性网络连接和互联安全领域布局的唯一产业技术创新基础设施,成立于2011年12月,设有技术集成研发、密码工程验证、协议测试技术、电子政务应用、智能电网研发应用、产业协作等六个中心。
自2011年12月成立以来,工程中心聚焦网络空间安全基础共性技术,聚合国内外优质创新资源,开展区域性跨学科、大协同的基础研究和应用基础研究,持续攻关网络信息领域原创性关键技术和“卡脖子”技术,推动科技成果转化与产业化,在“新基建”中发挥好产业技术创新基础设施的国家队作用。
工程中心为全球用户提供不断创新的网络安全协议技术与解决方案、安全网络装备与解决方案,致力于保障网络连接的安全与可信。对密码算法、密码机制的长期深入研究,保障了安全协议安全高效执行和法规遵从。
在我国三元对等(虎符TePA)网络安全技术架构及体系诞生和发展成熟的历程中,工程中心一直承担着“从0到1”的国家使命——首个技术提案;首个国际标准;首个国家标准;首行标准代码;首个安全协议栈;首套样机/装备;首个通用示范网络;首个技术转移案例。
| 
.png)
