WPA3是什么？一種可強化連接的Wi-Fi安全協議

Eric Geier 陳琳華

WPA3 Wi-Fi安全標準解決了WPA2的缺陷，可以更好地保護個人、企業和物聯網無線網絡的安全。

Wi-Fi聯盟在近14年的時間中首次對Wi-Fi進行了重大安全改進，即推出WPA3。新安全協議最重要的補充內容包括強化對簡單密碼的保護、針對個人和開放網絡的個性化加密，以及為企業網絡提供更為安全的加密措施。

最初的Wi-Fi保護訪問（WPA）標準發布于2003年，用以取代WEP，一年后推出了第二版WPA2。WPA的第三版可以說是一個期待已久且備受歡迎的更新，整個Wi-Fi行業、企業以及全球數百萬普通的Wi-Fi用戶都將從中受益。

WPA3在今年1月份被公布，并在6月份正式推出了Wi-Fi聯盟WPA3-Personal和WPA3-Enterprise認證計劃，前者提供了更加個性化的加密，后者提升了傳輸敏感數據的網絡的加密強度。除了這兩種部署模式外，Wi-Fi聯盟還推出了Wi-Fi Easy Connect和Wi-Fi Enhanced Open。其中，Wi-Fi Enhanced Open功能可以簡化與物聯網設備等無顯示器的Wi-Fi設備的配對過程， Wi-Fi Enhanced Open為可選功能，允許在開放式Wi-Fi熱點網絡上進行無縫加密。

解決WPA2的缺陷

使用高級加密標準（AES）的WPA2協議確實修補了使用臨時密鑰完整性協議（TKIP）加密協議的原始WPA中的一些安全漏洞。WPA2被認為在安全性方面比早以被棄用的WEP更安全。 然而，WPA2在過去十年中仍然存出重大漏洞。

對WPA2-Personal密碼的暴力攻擊破解是WPA2的一個關鍵漏洞。這種破解方式會一直對密碼進行猜測直到找到匹配的密碼為止。更糟的是，一旦黑客從無線傳輸鏈路中捕獲到正確的數據，那么他們就可以在其他地點對這些密碼進行猜測，這對于黑客來說更為實用。一旦被破解，黑客就可以解密他們在破解之前或之后捕獲的任何數據。

此外，WPA2-Personal密碼的復雜性與破解工作的復雜性密切相關。因此，如果網絡使用的是簡單密碼（大多數人都是這么做的），那么破解工作就更加容易了。

WPA2-Personal的另一個主要漏洞是擁有網絡密碼的用戶可以嗅探另一個用戶的網絡流量并執行攻擊，尤其是在商業網絡中。雖然WPA / WPA2的企業模式提供了防止用戶對用戶的嗅探保護，但是部署企業模式需要RADIUS服務器或云服務。

Wi-Fi自全面啟用以來最嚴重的缺陷是在開放的公共網絡上缺乏任何內置的安全性、加密或隱私。任何擁有合適工具的人都可以對連接咖啡館、酒店和其他公共區域的Wi-Fi熱點的用戶進行嗅探。這種嗅探可以是被動式的，例如監控訪問過的網站或捕獲不安全的電子郵件登錄憑據，也可以是主動式攻擊，例如會話劫持。

WPA3-Personal可提供更高的安全性和個性化加密

WPA3對Wi-Fi加密方式進行了改進，這要歸功于使用對等實體同步驗證（SAE）取代了以前WPA版本中使用的預共享密鑰（PSK）身份驗證方法。這使得使用簡單密碼的WPA3-Personal網絡對于黑客來說再也無法像破解WPA / WPA2那樣可以遠程通過暴力和字典就可以輕松搞定。當然，用設備直接連接Wi-Fi時，有的人可以很容易地猜出非常簡單的密碼，但是這是一種不實用的破解方法。

WPA3-Personal的加密非常個性化。即使用戶擁有Wi-Fi密碼并且已成功連接，WPA3-Personal網絡上的用戶也無法嗅探另一個WPA3-Personal流量。如果外人知道了密碼，但是由于網絡流量采用了前向保密，因此想被動地觀察交換并確定會話密鑰是不可能的。另外，他們也無法解密在破解之前捕獲的任何數據。

Wi-Fi Easy Connect為最近推出的一項可選功能，并很可能會出現在許多WPA3-Personal設備上，其可能會替代或是配合WPA/WPA2附帶的Wi-Fi保護設置（WPS）功能。Wi-Fi Easy Connect旨在簡化無顯示設備和物聯網設備與Wi-Fi的連接。連接方法除了類似于WPS的按鈕配對方法外，還包括其他的方法，例如用智能手機掃描設備的二維碼以便安全地連接設備。

WPA3-Enterprise面向的是大規模Wi-Fi

為了提供更好的保護，WPA3-Enterprise提供了一種可選的192位安全模式。對于政府機構、大型企業和其他高度敏感的環境而言，這可能是一種頗受歡迎的功能。但是，對于特定的RADIUS服務器部署，WPA3-Enterprise中的192位安全模式可能需要與RADIUS服務器的EAP服務器組件相關的更新。

Wi-Fi Enhanced Open為公共網絡提供加密

Wi-Fi聯盟做出的最大改進之一是Wi-Fi Enhanced Open，允許開放網絡（沒有設置任何密碼的網絡）的Wi-Fi通信在接入點和單個客戶端之間通過“機會無線加密”（OWE）進行唯一加密，并使用“受保護的管理幀”（PMF）來保護接入點和用戶設備之間管理流量的安全。

Wi-Fi Enhanced Open可防止用戶嗅探彼此的網絡流量或執行會話劫持等攻擊。它們會在后臺完成所有這些工作，用戶不必輸入任何密碼或做任何事情，就像我們以往連接開放網絡那樣。

雖然Enhanced Open實際上并不是WPA3規范的正式部分，但是它們可能會與WPA3一起加入到產品中。供應商在其產品中可以包含這一可選功能。此外，對未加密的陳舊開放連接的支持也是可選的。因此，如果沒有使用WPA3，那么未來某些AP和路由器供應商可能會強制使用 Wi-Fi Enhanced Open（或默認處于開啟狀態）。

WPA3的普及可能需要數年時間

在時間方面，WPA3的廣泛采用不會在一夜之間完成。支持WPA3的一些Wi-Fi設備應該會在2018年底出現，但支持WPA3可能仍然為一項可選功能。Wi-Fi聯盟認證在兩年內可能也不是強制性的。某些供應商可能會為現有產品發布支持WPA3的軟件更新。需要注意的是某些WPA3功能可能需要在產品中進行硬件更新。

消費者和企業的升級可能需要數年時間。

雖然WPA3設備仍然能夠連接到WPA2網絡，但是如果用戶購買了支持WPA3的筆記本電腦或智能手機，那么請記住網絡必須也要支持WPA3才能使用這些安全改進。

在家中，用戶可以控制網絡，并可以選擇將路由器和設備升級到WPA3。然而，規模較大的網絡所需的高昂成本可能意味著企業和公司采用WPA3需要很長的時間。即便是小型的公共Wi-Fi熱點也可能出現這種情況，因為無線互聯網通常是非營利性的便民設施。因此，那些在公共網絡上通常使用VPN連接的具有較高安全意識的用戶可能還需在未來的幾年中繼續使用VPN連接。

為此，WPA3-Personal提供了一種過渡模式，允許在逐步向WPA3-Personal網絡遷移的同時繼續讓WPA2-Personal設備接入。不過WPA3-Personal的全部優點只有在網絡處于WPA3模式時才能完全實現。目前還不知道在過渡模式下哪些優點會無法實現以及會產生什么樣的安全性影響。這可能是導致WPA3網絡部署被推遲的原因之一，直到更多的WPA3終端用戶設備進入市場情況才會出現改觀。

Wi-Fi Enhanced Open可能存在的限制

關于Wi-Fi Enhanced Open需要考慮的另一個問題是，它們可能會給某些用戶帶來虛假的安全感。需要理解的是，盡管用戶可通過個性化加密幫助阻止竊聽他們流量的行為，但Wi-Fi Enhanced Open并不是絕對安全的，這一點非常重要。由于用戶不需要像在WPA3網絡上那樣經過身份驗證，所以與連接家庭、工作或學校專用網絡相比，用戶更容易受到攻擊。

在使用Wi-Fi Enhanced Open網絡時，用戶設備上任何開放的網絡共享或許仍可連接。也就是說，由于訪問權限沒有密碼保護，Wi-Fi Enhanced Open對防范偽裝的“蜜罐”網絡沒有任何作用。

目前，大多數Wi-Fi設備都沒有明確標明網絡上使用的Wi-Fi安全類型。這可能是Wi-Fi Enhanced Open存在的問題，因為即便對于使用受支持設備的用戶來說，他們也不容易確定第三方網絡（如公共熱點）是否啟用了相關的保護功能。這個問題的解決將取決于設備供應商和操作系統如何更好地顯示網絡的安全功能。例如，我們希望對網絡是否啟用Wi-Fi Enhanced Open有明顯的提示，然后像沒有設置安全措施的開放網絡那樣發出警告。