团 体 标 准 中关村无线网络安全产业联盟 发布 ICS 35.030 CCS L 78 T/WAPIA 046—2021/XG1—2025 无线局域网安全技术规范 第1号修改单 Security technical specification for wireless LAN Amendment 1 2025-06-30发布 2025-06-30实施 全国团体标准信息平台 全国团体标准信息平台 T/WAPIA 046—2021/XG1—2025 I 全国团体标准信息平台 全国团体标准信息平台 T/WAPIA 046—2021/XG1—2025 1 版权声明 本文件版权归中关村无线网络安全产业联盟 ©所有。 本文件以电子文档形式面向公众公开。本声明在此授权所有组织或者个人对本文件进行使用和复 制。任何组织或者个人对本文件的修改、翻译、摘编、汇编、销售行为，应事先获得 中关村无线网络安 全产业联盟 书面授权，否则视为侵权。 联系中关村无线网络安全产业联盟 标准化部（ [email protected] ）可获取本文件授权相关信息。 中关村无线网络安全产业联盟 ©版权所有。 全国团体标准信息平台 T/WAPIA 046—2021/XG1—2025 2 前 言 本文件按 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。 本文件是 T/WAPIA 0 46《无线局域网 安全技术 规范》的第1号修改单。 本文件与T/WAPIA 046—2021相比，主要技术变化如下： a) WAI2协议封装格式 （见修改5，2021版的第6.2.1）； b) 组播密钥 通告过程协议封装 （见修改10，2021版的6.2.3.2）。 其中，对 T/WAPIA 046—2021修改时涉及到的有关章条的信息如下： 修改 项号 T/WAPIA 046 —021章条号 修改说明 1 全文 T/WAPIA 046 —2021标准文本全文“ WAI增强”修改为“ WAI2” 2 全文 T/WAPIA 046 —2021标准文本全文“ WAPI信息元素 ”修改为“ WAPIE” 3 4 T/WAPIA 046 —2021 4.2 缩略语增加内容 4 6.1.6.3 T/WAPIA 046 —2021 6.1.6.3 内容替换 5 6.2.1 T/WAPIA 046 —2021 6.2.1 内容替换 6 6.2.2.1 删除T/WAPIA 046 —2021 6.2.2.1 标题下的内容，保留章条号及标题 7 6.2.3.1.1 T/WAPIA 046 —2021 6.2.3.1.1 内容替换 8 6.2.3.1.2 T/WAPIA 046 —2021 6.2.3.1.2 表3替换 9 6.2.3.1.3 T/WAPIA 046 —2021 6.2.3.1.3 表4替换 10 6.2.3.2 T/WAPIA 046 —2021 6.2.3.2 内容替换 11 6.5.3.1 T/WAPIA 046 —2021 6.5.3.1 内容替换 12 6.2.3.2.3 删除T/WAPIA 046 —2021 6.2.3.2.3 13 6.2.3.4 在T/WAPIA 046 —2021 6.2.3.3 内容之后增加 6.2.3.4 14 B.4.3 T/WAPIA 046 —2021附录B.4.3 第7.3节管理帧帧体组成部分相关修 改中7.3.2.8.2 替换 15 B.4.3 T/WAPIA 046 —2021 附录B 7.3.2.9 内容替换 本文件由中关村无线网络安全产业联盟与工业和信息化部宽带无线 IP标准工作组联合提出。 本文件由 中关村无线网络安全产业联盟 无线网络安全标准化 工作委员会归口。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件起草单位： 无线网络安全技术国家工程研究中心、 西安西电捷通无线网络通信股份有限公司、 中关村无线网络安全产业联盟、 西安芯语慧联信息科技有限公司 、深圳市智开科技有限公司 、工信部宽 带无线IP标准工作组 、国家密码管理局商用密码检测中心、国家信息技术安全研究中心、国家无线电 监测中心检测中心、中国移动通信集团有限公司、中能融合智慧科技有限公司、广西大学、广西诚新慧 创科技有限公司、中国通用技术研究院、北京数字认证股份有限公司、北京计算 机技术及应用研究所、 广西通量能源技术有限公司、广州未来能源中心 。 本文件主要起草人 ：张变玲、曹军、张国强、 潘琪、刘高锦、童伟刚、 简练、王月辉、李冬、铁满 霞、李琴、黄振海、颜湘、王宏、陶洪波、陈宇、张阳、赵晓荣、沙学松、卢泉、韦利娜、刘科伟、侯 鹏亮、赖晓龙、杜志强、孟伟、郑骊、 张璐璐、 刘剑昕、王立华、朱正美、韦昌才、贾嘉、于光明、陈 维刚、肖龙、周涛、王锐、李国友、邓开勇、马丹丹、陈更、杨晓宇、田玉存、刘鸿运、张芝军、罗鹏、 尹玉昂、 于双双、赵万峰、李玉娇、周园、孙硕、陈晓龙、胡霄亮、赵慧、芦亮 。 全国团体标准信息平台 T/WAPIA 046—2021/XG1—2025 3 无线局域网安全技术 规范 第1号修改单 1 T/WAPIA 046 —2021标准文本全文“ WAI增强”修改为“ WAI2” 2 T/WAPIA 046 —2021标准文本全文“ WAPI信息元素 ”修改为“ WAPIE” 3 T/WAPIA 046 —2021 4.2缩略语增加以下内容： BIMK 信标帧完整性组播密钥（ beacon integrity multicast key ） KeyID 密钥标识（ key identifier ） LinkID 链路标识（ link identifier） MLO 多链路操作（ multi-link operation ） WAPIE WAPI信息元素（ WAPI information element ） 4 T/WAPIA 046 —2021 6.1.6.3内容替换为： 6.1.6.3 鉴别和密钥协商 如果STA与AP/STA关联时选择采用 WAPI安全机制， 双方应进行双向身份鉴别和密钥协商 ，过程如下： a) 若采用基于 WAI证书的方式， 身份鉴别 和密钥协商 过程包括证书鉴别、单播密钥协商与组播密 钥通告；若采用 WAI预共享密钥的方式， 身份鉴别 和密钥协商 过程为单播密钥协商与组播密钥 通告。 STA与AP/STA之间的鉴别数据分组利用以太类型字段为 0x88B4的WAI协议传送， AP/STA与ASU之 间的鉴别数据报文通过 UDP套接口传输， ASU的端口号为 3810。 b) 若采用基于 AKEA(AKEA -C和AKEA-P)的方式， 身份鉴别 和密钥协商 过程包括原子密钥建立与 实 体鉴别，还可包含 组播密钥通告。 STA与AP/STA之间的AKEA鉴别数据分组利 用EEP封装后用 以太 类型字段为 0x88B4的WAI协议传送 ，AP与ASU之间的AKEA鉴别数据报文通过 UDP套接口传输， ASU 的端口号为 5111。 WAPI鉴别和密钥管理完成的时间 应小于MIB值gb15629dot11wapiConfigSATimeout ，它开始于 STA的 站管理实体决定建立 WAPI安全网络，到 MLME-SETPROTECTION.reques t原语被激发结束。若在 MIB值 gb15629dot11wapiConfigSATimeout 的时间内没有完成安全关联的建立，则两个 STA将解除链路验证。 5 T/WAPIA 046 —2021 6.2.1内容替换为： 6.2.1 WAPI 安全机制概述 6.2.1.1 WAPI 安全机制 WAPI为系统提供安全保护。 WAPI包含以下部分： a) WAI 鉴别和密钥管理： 1) WAI证书鉴别和密钥管理 ,见6.2.2； 2) WAI预共享密钥鉴别和密钥管理 ,见6.2.2； 3) WAI2证书鉴别和密钥管理，采用证书的原子密钥建立与实体鉴别（ AKEA-C），见6.2.3； 全国团体标准信息平台 T/WAPIA 046—2021/XG1—2025 4 4) WAI2预共享密钥鉴别和密钥管理，采用预共享密钥的原子密钥建立与实体鉴别（ AKEA-P）， 见6.2.3。 b) WPI 数据保密，包括 二种工作模式： 1) WPI-SM4-OFB+CMAC -128，见6.5.3.2； 2) WPI-SM4-GCM-128，见6.5.3.3。 6.2.1.2 WAI协议封装 格式 WAI鉴别系统的 WAI协议分组数据基本格式 见图5。WAI协议分组中各字段如无特殊说明均按 大数结尾 顺序编码发送。 版本类型 子类型保留长度分组 序号标识 数据 2 1 1 2 2 2 1 1 可变 八位位组数：分片 序号 图5 WAI鉴别系统的 WAI协议分组数据基本格式 ASUE、AE和ASU之间的