2026年WAPI市场应用洞察报告——分层筑防：点到点与端到端安全共筑

编制说明 《WAPI市场应用洞察报告》是WAPI产业联盟的系列出版物，目标是指导安全无线局域网（WAPI）产业市场高质量发展。我们非常高兴地和业界分享这些重要信息，以帮助制定有关WAPI的决策，并为广大用户提供最佳体验。 《报告》每个专题均揭示了联盟在WAPI市场应用中的关键发现，所有观点均基于长期的产业市场洞察、广泛的调查、与业内专家充分的讨论以及严格的产品和系统测试。 鉴于技术标准持续演进和产业市场持续发展，每个专题都可能衍生出多个版本。详情咨询或获取本文件授权等事宜，敬请联系WAPI产业联盟秘书处。 联系方式 地 址：北京市海淀区知春路27号量子芯座1608室 电 话：010-82351181 邮 箱：staff@wapia.org 网 站：www.wapia.org.cn 本期洞察对象与结论本期洞察对象与结论 在WAPI规模化部署过程中，不时会出现关于点到点、端到端之间的概念混淆或两者是否可以互相代替的争议。本期《洞察报告》集中剖析了点到点通信、端到端通信的基本关系，重点研究了点到点安全、端到端安全的区别与联系，对若干产业界高度关注和讨论的问题进行了深度辨析，形成结论如下： 1、点到点安全的核心目标是以身份鉴别为前提，确保数据在每一个通信链路段上的保密性、完整性和可用性，实现数据的真实性和不可否认性，防范物理窃听、链路伪造和未授权接入等威胁。端到端安全则是一种跨越中间节点、保障通信两端实体间完整通信路径的安全设计原则。两者既不存在替代关系，也不具有优劣之分，通过分层两者既不存在替代关系，也不具有优劣之分，通过分层协作构建完整的网络安全纵深防御体系，共同应对多层次安全威胁。协作构建完整的网络安全纵深防御体系，共同应对多层次安全威胁。 2、无线局域网系统的安全基础是点到点的无线链路安全。IP层IPSec技术、物理层安全技术，均无法取代WAPI对开放链路的安全防护能力。 3、在采用无线局域网的信息系统中，应合理部署点到点安全和端到端安全机制，在启用WAPI服务的基础上，可根据需要叠加IP层安全技术和与应用层业务相关的个性化安全机制，形成纵深防御体系。 点到点通信 vs 端到端通信点到点通信 vs 端到端通信 在 网 络 通 信 体 系 中 ， 点 到 点 通 信 （ P o i n t - t o - P o i n tCommunication）与端到端通信（End-to-EndCommunication）构成了网络连接的两个基本维度。点到点通信点到点通信强调网络中两个直接相连节点之间的数据传递，是网络的“局部连接”，解决“如何在相邻节点间可靠传输数据”的问题。端到端通信端到端通信强调从源到目的的跨越整个网络的逻辑连接，是网络的“全局连接”，解决“如何在网络两端之间建立逻辑连接并确保数据正确交付”的问题。端到端通信端到端通信建立在多个点到点通信的基础之上，点到点通信为端到端传输提供物建立在多个点到点通信的基础之上，点到点通信为端到端传输提供物理与逻辑支撑。理与逻辑支撑。 点到点通信是网络中相邻节点间的直接数据传输机制，工作于物理介质和数据链路层（OSI第1-2层），负责在单一通信链路上可靠地传递比特流或数据帧，关注的是相邻设备间的直接连接与数据交换，是构建网络连通性的基本单元，如以太网交换、PPP链路、无线接入点与终端间的连接等。 端到端通信是指网络中源节点与目标节点间的完整通信过程，跨越多个中间节点和链路，通常实现于网络层至应用层（OSI第3-7层），如TCP连接、HTTP会话、应用间的消息交换等，关注的是通信两端实体间的逻辑连接和数据交付，不依赖于具体的物理路径。 两者共同构成了现代网络通信的层次化架构，互为依托、相辅相成。 点到点安全 vs 端到端安全点到点安全 vs 端到端安全 点到点安全（Point-to-PointSecurity）指在网络通信中，保护物理或逻辑上相邻两个节点之间链路传输的安全机制，它通常工作在链路层，目标是以身份鉴别为前提，确保数据在每一个通信链路段上的保密性、完整性和可用性，并实现数据的真实性和不可否认性。 端到端安全（End-to-EndSecurity）指在网络通信中，保护源节点到目标节点整个通信路径的安全机制，主要工作在网络层、传输层和应用层，目标是确保数据从发送方到接收方整个过程中的保密性、完整性和真实性。 两者构成网络安全的纵深防御体系——点到点安全保护局部链路传输，抵御物理与链路层威胁；端到端安全则保护全程通信内容，应对中间节点与应用层威胁。两者在不同层次协同工作，形成完整保护链，缺一不可。 点到点安全与端到端安全的关系点到点安全与端到端安全的关系 关联问题辨析关联问题辨析 问 题 1 ： 在 无 线 局 域 网 系 统 中 ， 在 两 个 终 端 （ S T A ） 上 启 用IPSec，是否就不需要启用链路层的WAPI安全机制了？ 结论：这个理解是错误的，存在根本性的安全风险。端到端安全与点到点安全，二者不存在替代关系。 认为端到端安全（IPSec）可以完全替代点到点安全（WAPI）的观点是一种危险的简化。在实际网络环境中，两种安全机制解决的是不同层面的安全问题，共同构成了完整的安全防护体系。放弃点到点安全将导致网络基础设施暴露于各种威胁之下，即使通信内容本身是加密的，网络的可用性、稳定性和某些隐私属性仍会受到严重影响。具体分析如下： 1、WAPI提供了点到点的链路层连接安全，而IPSec提供的是链路层之上、端到端、穿越不同IP域的IP层安全。 IPSec是一套工作在IP层的安全协议族，提供数据源鉴别、完整性和机密性保护，其工作前提是IP连接已建立，而这种连接的建立依赖于底层链路层（如WAPI保护的无线链路）的安全性。IPSec工作在ISO/OSI模型第3层（网络层），主要提供数据包级别的加密和鉴别。而WAPI工作在第2层（链路层），负责无线接入安全和链路保护。两者在防护目标、安全边界和技术实现上存在本质差异。IPSec可增强IP业务安全，但无法解决或者增强WLAN本身的安全。 关联问题辨析关联问题辨析 2、即使WLAN系统的两个终端（STA）上启用了IPSec，如果缺乏链路层WAPI安全机制，攻击者可直接嗅探无线通信、获取原始数据帧，系统无法防范来自链路层面的点到点安全威胁，具体包括： ●链路层安全隐患。●链路层安全隐患。包括：未授权网络接入，端到端安全不提供接入控制功能；ARP欺骗/MAC欺骗，此类链路层攻击将可能导致通信中断或被重定向，将用户的流量劫持到攻击者的设备，进行中间人攻击。 ●元数据泄露问题。●元数据泄露问题。端到端虽然对通信内容做了加密保护，但通信元数据（如谁与谁通信、何时通信、通信频率等）仍然可见。这些元数据在没有点到点保护的情况下可被轻易收集，被用于分析用户的流量模式、数据包大小和时间，造成隐私泄露。即使不能对数据解密，也可以发起流量分析攻击，通过分析加密流量的模式、大小和时间特征推断用户通信行为。 ●在未被保护的物理链路上发起攻击。●在未被保护的物理链路上发起攻击。包括：发送伪造的路由协议报文（如OSPF、BGP），扰乱网络路由；发起生成树协议攻击，破坏交换机网络拓扑；进行MAC地址泛洪，导致交换机失效。 因此，无论是否启用IPSec，均需要在链路层启用WAPI安全服务，保障点到点的链路层连接安全。 关联问题辨析关联问题辨析 问题2: 在无线局域网系统中，在已经启用链路层WAPI安全机制的情况下，如果在两个终端（STA）上启用IPSec，是否对WLAN的连接安全有显著增强？ 结论：没有显著增强。分析如下： WAPI通过WAI（无线局域网鉴别基础结构）提供了基于密码学的强身份鉴别和密钥管理机制，通过WPI（无线局域网保密基础结构）提供了数据加密和完整性保护。其三元对等安全架构从设计上解决了传统WLAN安全中的根本缺陷。WAPI完全提供了机密性、完整性和真实性保障，确保了WLAN网络连接安全，满足了无线安全接入需求。无线局域网（WLAN）是有线网络的延伸，启用了WAPI安全机制的无线局域网其安全性至少达到了等同有线网络的水平。考虑到很多有线网络没有身份鉴别和通信保密机制，启用了WAPI安全机制的无线局域网其安全性要超过绝大部分有线网络。 针对链路层的安全风险，采用IP层及以上的端到端安全技术，比如IPSec，对WLAN的连接安全不会有显性增强。因为IPSec是在有线或者无线形式的链路层安全基础上，在IP层的一种安全增强机制。IPSec在链路层已受WAPI保护的基础上，对WLAN连接安全的边际增强效应接近于零。 关联问题辨析关联问题辨析 问题3: 在一个采用了WLAN无线接入方式的通信系统中，要实现系统的连接安全，可行的技术路线是什么？ 结论：最佳实践是根据具体系统的威胁模型和安全需求，合理部署点到点安全和端到端安全机制，形成纵深防御体系，共同应对复杂多变的网络威胁。分析如下： 在链路层启用WAPI安全服务的基础上，可根据需要叠加端到端IP层安全技术（如IPSec，或者采用中国自主提出并发布为国家标准的TISec技术）。 一个完整的WLAN安全技术路线应包括： ●●链路接入层安全：链路接入层安全：部署WAPI提供的WAI/WPI安全服务 ●●网络传输层安全：网络传输层安全：根据需求选择IPSec或TISec技术 ●●应 用 业 务 层 安 全 ：应 用 业 务 层 安 全 ：针对特定业务部署专用安全机制（如HTTPS等） WAPI提供了WLAN的连接安全，有些网络建设方可在基本网络连接安全的基础上，采取进一步的安全措施，比如在启用链路层安全（如有线局域网的TLSec/802.1x/1ae，无线局域网的WAPI）的基础上，进一步采用IPSec/TISec机制应对IP层的安全威胁，以及针对应用层业务采用该业务个性化的安全机制（如HTTPS）等，进一步有针对性地增强业务安全性。 关联问题辨析关联问题辨析 问题4: 针对点到点安全，WLAN物理层安全技术是否可以替代链路层安全技术？ 结论：不可以。两者解决不同层次的安全问题，应当协同配合形成完整的点到点安全防护体系。分析如下： 1、物理层与链路层安全技术的侧重点不同。 物理层安全技术主要关注：信号传输的保护（如扩频技术、物理层加扰）、物理介质访问控制（如射频干扰检测与规避）、信号特性安全（如距离边界检测、功率控制）、物理层鉴别（如射频指纹识别）；而链路层安全技术主要关注：数据帧加密与完整性保护（如WAPI的WPI功能）、身份鉴别与接入控制（如WAPI的WAI功能）、密钥管理与分发（会话密钥协商）、防重放与序列保护（帧计数器机制）等。 2、物理层安全技术有局限性。 ●●无法提供完整的身份鉴别：无法提供完整的身份鉴别：物理层技术难以实现复杂的身份鉴别协议、无法支持证书或密钥基础设施所需的复杂逻辑。 ●●难以实现精细的访问控制：难以实现精细的访问控制：物理层主要依靠信号特性进行粗粒度控制、无法基于身份或权限实现细粒度访问策略。 ●●密钥管理能力有限：密钥管理能力有限：物理层难以实现安全的密钥协商与分发、缺乏处理密钥生命周期的完整机制。 ●●协议攻击防护不足：协议攻击防护不足：物理层无法防御帧格式、协议逻辑等高层攻击，对于协议漏洞利用缺乏防护能力。 关联问题辨析关联问题辨析 3、某些WLAN物理层安全技术能有效解决/缓解无线链路面临的一个核心安全问题——被动窃听与报文侦听，但它属于物理层的增强技术，不能替代WAPI这样的协议层面的链路层安全技术。例如，某WLAN物理层安全技术的核心原理是通过接入点感知合法用户的精准位置，在发送数据报文时同步发射经过特殊算法调制的随机噪声信号，在物理空间上让非目标区域的信号成为无法解调的噪声。它可以防御来自网络覆盖区域内的被动窃听者，但它不能替代网络接入身份鉴别、密钥管理、防中间人攻击等由链路层安全协议（WAPI）负责的安全机制。 即使考虑最新的物理层安