T-WAPIA 048-2023 信息系统无线局域网密码应用基本要求

ICS

35.030CCS

L

80 T/WAPIA

048—2023信息系统无线局域网密码应用基本要求Baseline

for

area

network

cryptography

applicationin

information

system2023-06-06

发布 2023-06-06

实施中关村无线网络安全产业联盟 发布T/WAPIA

048—2023 版权声明

..............................................................................

I前言

..................................................................................

V引言

................................................................................

VII1

范围

................................................................................

12

规范性引用文件

......................................................................

13

术语和定义

..........................................................................

14

缩略语

..............................................................................

25

概述

................................................................................

25.1

信息系统无线局域网

..............................................................

25.2

无线局域网网络通信要素

..........................................................

25.3

密码应用基本要求等级

............................................................

36

通用要求

............................................................................

37

基本要求

............................................................................

47.1

第一级密码应用基本要求

..........................................................

47.2

第二级密码应用基本要求

..........................................................

47.3

第三级密码应用基本要求

..........................................................

47.4

第四级密码应用基本要求

..........................................................

4附录

A

（资料性）

无线局域网密钥生存周期管理...........................................

6A.1

设备密钥

........................................................................

6A.2

其他密钥

........................................................................

6附录

B

（资料性）

无线局域网鉴别机制...................................................

7参考文献

..............................................................................

8T/WAPIA

048—2023 本文件按照

《标准化工作导则

第

1

部分：标准化文件的结构和起草规则》的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中关村无线网络安全产业联盟与工业和信息化部宽带无线

IP

标准工作组联合提出。本文件由无线网络安全标准化委员会归口。和信息化部宽带无线

IP

标准工作组。海、林和昀、阳佑敏、马卓元、曹永峰、胡霄亮、季晨荷、周晓萌、李丛蓉、韦利娜、贺燚。T/WAPIA

048—2023 GB/T

《信息安全技术

信息系统密码应用基本要求》适用于指导、规范信息系统密码应用的规划、建设、运行及测评，并提出了各领域与行业可结合该领域与行业的密码应用需求来指导、规范信息系统密码应用的原则。本文件在上述原则基础上，息系统建设机构、运营机构对无线局域网（）的密码应用需求，以及

产品开发商、生产商、技术研究机构等的密码应用能力，从技术要求和管理要求的多个层面，规定了信息系统中

密码应用的基本要求。本文件可为应用了

产品开发商依法进行

产品的设计研发提供准确、完整的指导，确保相关产品密码应用环节的合规性、一致性和互通性，为信息系统提供安全保障。T/WAPIA

048—20231 范围本文件规定了信息系统中WLAN提供通信保护功能的设备提出了第一级到第四级的密码应用基本要求。本文件适用于应用了WLAN网络的信息系统的规划、建设、运行及测评。2 规范性引用文件文件。GB

15629.11（所有部分）

信息技术

系统间远程通信和信息交换

特定要求

第11部分：无线局域网媒体访问控制和物理层规范GB/T

37092

信息安全技术

密码模块安全要求GB/T

信息安全技术

信息系统密码应用基本要求T/WAPIA

无线局域网安全技术规范3 术语和定义GB/T

界定的以及下列术语和定义适用于本文件。3.1密码模块 cryptography

module实现密码运算功能，相对独立的软件、硬件、固件或这三者组合。[来源：GB/T

，3.379]3.2设备密钥device

存储在设备内部的用于设备管理的非对称密钥对，包含签名密钥对和加密密钥对。[来源：

，3.4]3.3WAPI标准体系 WAPI

standard

规范、引用和采用的国家标准、行业标准、团体标准及国际标准等的集合。3.4无线局域网鉴别基础结构 WLAN

authentication

用于无线局域网接入控制的身份鉴别和密钥管理安全方案。[来源：T/WAPIA

，3.21]3.5无线局域网鉴别与保密基础结构

WAIWPI终端提供对等身份鉴别和数据机密性服务。[来源：T/WAPIA

，3.22]3.6无线局域网保密基础结构 WLAN

privacy

infrastructure用于无线局域网中数据传输保护的安全方案，包括数据加密、数据鉴别和重放保护等功能。[来源：T/WAPIA

，3.27]T/WAPIA

048—20234缩略语下列缩略语适用于本文件。AC接入点控制器（AP

）AP 无线接入点（access

）AS 鉴别服务器（

server）CIS证书签发服务器（

issue

server）PDU协议数据单元（protocol

data

）STA）WAI 无线局域网鉴别基础结构（WLAN

authentication

infrastructure）WAPI 无

线

局

域

网

鉴

别

与

保

密

基

础

结

构

（

WLAN

authentication

and

privacyinfrastructure）WLAN 无线局域网（

area

）WPI 无线局域网保密基础结构（WLAN

privacy

infrastructure）5 概述5.1 信息系统无线局域网GB/T

要素和组成见图1。图

1

信息系统要素和组成图本文件是针对信息系统网络和通信安全层面中的WLANGB/T

域网密钥生存周期管理见附录A。5.2 无线局域网网络通信要素保护功能的设备和服务。2。T/WAPIA

048—2023图

2

网络通信要素示意a) 网络通信主体1)

独立的无线局域网设备，如

STA、AP；2)

注：

AP

b) 网络通信信道在

通信主体之间实现安全传输

的媒体。c) 其它提供安全保护功能的设备和服务

AS、CIS、AC信主体完成无线局域网功能，并协同提供安全保护能力。5.3密码应用基本要求等级GB

15629.11（所有部分）和T/WAPIA

中规定了无线局域网的安全机制，包括WAI鉴别和密钥管理、WPI数据保密等，这些安全机制使用相应的密码技术，从机密性、完整性、真实性、不可否认性四个密码安全功能维度来保护具体的应用对象。二、三、四表示，该等级与GB/T

39786—2021中的等级对应关系如下：a) 若信息系统符合

GB/T

部分应符合本文件中规定的第一级密码应用基本要求；b) 若信息系统符合

GB/T

部分应符合本文件中规定的第二级密码应用基本要求；c)若信息系统符合

GB/T

部分应符合本文件中规定的第三级密码应用基本要求；d) 若信息系统符合

GB/T

部分应符合本文件中规定的第四级密码应用基本要求。6通用要求第一级到第四级的信息系统无线局域网密码应用应符合GB/T

39786—2021中第5章和以下通用要求：a) WLAN

网络通信主体，以及使用的安全机制和密码技术应符合

标准体系的要求；T/WAPIA

048—2023b) WLAN

标准、团体标准的要求；c) WLAN

中使用的密码服务，应符合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证机构认证合格。7基本要求7.1 第一级密码应用基本要求信息系统无线局域网第一级密码应用应符合以下要求：a)

应采用密码技术对和进行身份鉴别。该密码技术应采用国家密码管理部门批准的密码算法，应采用GB

（所有部分）或

中规定的无线局域网鉴别机制；b)

应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法，应采用GB

15629.11（所有部分）或

中规定的WPI数据保密机制。注：无线局域网鉴别机制见附录7.2 第二级密码应用基本要求信息系统无线局域网第二级密码应用应符合以下要求：a)

应采用密码技术对和进行身份鉴别。该密码技术应采用国家密码管理部门批准的密码算法，应采用GB

15629.11（所有部分）或

中规定的无线局域网鉴别机制；b)

应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法，应采用GB

15629.11（所有部分）或

中规定的WPI数据保密机制；c)

以上如采用密码产品，该密码产品应达到GB/T

一级及以上安全要求。7.3 第三级密码应用基本要求信息系统无线局域网第三级密码应用应符合以下要求：a)

应采用密码技术对和进行身份鉴别。该密码技术应采用国家密码管理部门批准的密码算GB

15629.11

中规定的基于证书的无线局域网鉴别机制，并且采用AS提供的鉴别服务；b)

应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法，应采用GB

15629.11（所有部分）或

中规定的WPI数据保密机制；c)

宜采用密码技术保证AP与间通信过程中的数据的完整性；d)

宜采用密码技术对、AP通信实体证书的分发过程进行保护，保证证书的安全传输和安全管理；e)

以上如采用密码产品，该密码产品应达到GB/T

二级及以上安全要求。7.4 第四级密码应用基本要求信息系统无线局域网第四级密码应用应符合以下要求：a)

应采用密码技术对和进行身份鉴别。该密码技术应采用国家密码管理部门批准的密码算法，应采用T/WAPIA

046中规定的增强证书鉴别机制，并且采用AS提供的鉴别服务；b)

应采用密码技术保证STA与AP间通信过程中数据的完整性和机密性。该密码技术应采用国家密码管理部门批准的密码算法，应采用T/WAPIA

046中规定的WPI数据保密机制；c)

宜采用密码技术保证AP与间通信过程中的数据的完整性；T/WAPIA

048—2023d)

宜采用

T/WAPIA

中规定的协议和密码技术对

、AP

通信实体证书的分发过程进行保护，保证证书的安全传输和安全管理；e)

宜采用密码技术（例如

GM/T

0014—2012

的

～

中规定的相关协议）保证

AS

与

CIS

间通信过程中的数据的完整性和机密性；f)

宜采用

T/WAPIA

中规定的带有身份保护功能的身份鉴别协议，保证

STA、AP

通信实体身份隐私信息不被泄露；g)

以上如采用密码产品，该密码产品应达到

三级及以上安全要求。T/WAPIA

048—2023附

录 A（资料性）无线局域网密钥生存周期管理A.1 设备密钥本文件中设备密钥指WLAN设备在GB

15629.11（所有部分）或

046规定的基于证书的鉴别机WLANSTA、），以及其它提供安全保护功能的部分设备（如AS、）。信息系统中WLANWLAN导入与导出、使用、备份与恢复、归档、销毁等环节。a)

密钥产生WLAN设备密钥在符合GB/T

37092规定的密码模块内部产生是十分必要的。b)

密钥存储WLAN设备