本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

首页 信息速查 产品智能选型 IP知识百科

什么是WPA3?

WPA3(Wi-Fi Protected Access 3,第三代Wi-Fi访问保护)是Wi-Fi联盟组织于2018年发布的新一代Wi-Fi(WiFi)加密协议,它对WPA2进行了改进,增加了许多新的功能,为用户和Wi-Fi网络之间的数据传输提供更加强大的加密保护。根据Wi-Fi网络的用途和安全需求不同,WPA3分为WPA3个人版、WPA3企业版以及针对开放性Wi-Fi网络的OWE认证。

WPA2 vs WPA3

WPA2面临的安全风险

WPA2是Wi-Fi联盟于2004年发布的第二代Wi-Fi加密协议,在WPA3发布之前,WPA2被广泛应用长达十四年之久。面向不同Wi-Fi网络的用途和安全需求,WPA2分为WPA2个人版和WPA2企业版,分别采用PSK(Preshared Key,预共享密钥)和AES(Advanced Encryption Standard,高级加密标准)加密Wi-Fi网络。WPA2在一定程度上保证了Wi-Fi网络的安全性,但其在应用过程中也不断暴露诸多安全风险:

  • KRACK攻击(Key Reinstallation Attacks,密钥重装攻击):WPA2在2017年被发现存在安全漏洞,采用WPA2进行加密的Wi-Fi网络可能会遭受KRACK攻击,攻击者利用这个漏洞诱导用户重新安装已使用过的密钥,并通过一系列手段破解用户密钥,从而实现用户网络的完全访问。
  • 离线字典或暴力破解攻击:WPA2采用的密钥复杂度和被破解的难度呈正相关,尤其是个人或者家庭Wi-Fi网络经常采用一个比较简单的密钥,这样的Wi-Fi网络很容遭受离线字典(根据用户自定义词典中可能的密码逐一尝试)或者暴力破解攻击(又称穷举法,逐一尝试所有可能组合的密码)轻松破解。

基于以上安全风险引发用户对自身Wi-Fi网络的担心,Wi-Fi联盟组织于2018年发布的第三代Wi-Fi加密协议——WPA3。

WPA3比WPA2好在哪里?

和WPA2类似,WPA3也分为WPA3个人版和WPA3企业版。WPA3个人版主要适用于个人、家庭等小型网络,相较于WPA2,进一步增强了对用户密码安全的保护;WPA3企业版主要适用于对网络管理、接入控制和安全性具有更高要求的政府、企业和金融机构等大中型网络,相较于WPA2,用户可以选择更高级的安全协议保护敏感数据。此外,WPA3还提升了开放性网络的用户数据传输安全,提供了增强型开放网络认证——OWE(Opportunistic Wireless Encryption,机会性无线加密)认证。下面本文将详细介绍下WPA3的优势:

个人版密码防护再加强

WPA3个人版使采用了更加安全的SAE(Simultaneous Authentication of Equals,对等实体同时验证)取代了WPA2个人版采用预先设置共享密钥的PSK认证方式。

WPA2采用的PSK认证方式通过四次握手进行密钥协商,在协商过程前首先根据SSID和预共享密钥生成PMK,此时由于SSID和预共享密钥都是固定的,PMK也就成了固定的且可计算的,导致每次重装的密钥都是相同的。WPA3所采用的SAE协议在原有的PSK四次握手前增加了SAE握手,在PMK生成过程中引入了动态随机变量,使得每次协商的PMK都是不同的,也就保证了密钥的随机性。因此,SAE为WPA3带来的更加安全的密钥验证机制解决了WPA2所暴露的安全风险:

  • 防止KRACK攻击:SAE将设备视为对等的,而不是一方请求另一方认证,任意一方都可以发起握手,独立发送认证信息。没有了来回交换消息的过程,就让KRACK攻击无可乘之机。
  • 防止离线字典或暴力破解攻击:首先SAE对于多次尝试连接设备的终端,会直接拒绝服务,断绝了采用穷举或者逐一尝试密码的行为。其次,SAE还提供了前向保密功能,即使攻击者通过某种方式获取了密码,由于每次建立连接时密钥都是随机的,攻击者尝试再次重新建立连接时密钥已经更换了,就不能破解获取到的数据流量。

SAE使得个人或家庭用户可以自由设置更加容易记住的Wi-Fi密码,即使不够复杂也能提供同样的安全防护。

企业版安全性再提升

WPA3企业版在WPA2企业版的基础上,添加了一种更加安全的可选模式——WPA3-Enterprise 192bit,该模式提供了以下安全保护措施:

  • 数据保护:使用192位的Suite-B安全套件,相较于WPA2采用的128位密钥长度,该模式将密钥长度增加至192位,进一步提升了密码防御强度。
  • 密钥保护:使用更加安全的HMAC-SHA-384算法在四次握手阶段进行密钥导出和确认。
  • 流量保护:使用更加安全的GCMP-256(Galois Counter Mode Protocol,伽罗瓦计数器模式协议)保护用户上线后的无线流量。
  • 管理帧保护:使用更加安全的GCMP的GMAC-256(Galois Message Authentication Code,伽罗瓦消息认证码)保护组播管理帧。

基于OWE认证实现开放性网络保护

在机场、车站和咖啡厅等开放性网络,大都采用传统开放认证(Open)方式,用户无需输入密码即可接入网络,用户与Wi-Fi网络的数据传输也是未加密的,这增加了非法攻击者接入网络的风险。

WPA3在开放认证方式基础上提出的一种增强型开放网络认证方式,该认证方式下,用户仍然无需输入密码即可接入网络,保留了开放式Wi-Fi网络用户接入的便利性。同时,OWE采用Diffie-Hellman密钥交换算法在用户和Wi-Fi设备之间交换密钥,为用户与Wi-Fi网络的数据传输进行加密,保护用户数据的安全性。

是否需要升级到WPA3?

WPA3的安全性要远大于WPA2,在实际条件满足的的情况下,推荐采用WPA3对Wi-Fi网络进行保护。但是,从WPA2到WPA3的过渡是循序渐进的,可能面临设备更新或者软件更新带来的过渡期,在未切换到WPA3之前,可以采用更新安全补丁、增加密码复杂度等方式提升当前Wi-Fi网络的安全性。

哪些设备支持WPA3?

所有支持WPA3的设备必须通过Wi-Fi联盟的Wi-Fi CERTIFIED WPA3™认证,登录Wi-Fi联盟官方网站输入设备关键词即可查询设备是否支持WPA3。华为Wi-Fi设备从V200R019C00版本开始陆续支持WPA3,到V200R020C10及之后版本,所有华为Wi-Fi设备均支持WPA3。

需要注意的是,如果想要采用WPA3保护Wi-Fi网络,Wi-Fi设备和终端必须都支持WPA3。如果Wi-Fi设备已经支持WPA3,而终端尚未支持怎么办?为了能兼容暂时不支持WPA3的终端能接入WPA3网络,WPA3提供WPA3个人版和OWE认证的过渡模式,实现用户网络从WPA2逐步过渡到WPA3网络:

  • WPA2个人版的过渡模式:采用WPA2-WPA3混合认证模式,不支持WPA3的终端使用WPA2接入,支持WPA3的终端依然使用WPA3接入。
  • OWE过渡模式:不支持OWE认证的终端使用开放认证方式接入,支持OWE认证的终端使用OWE认证接入。

产品相关介绍请参见:AirEngine Wi-Fi 6产品

词条统计
  • 作者: 周强
  • 最近更新: 2022-04-02
  • 浏览次数: 46276
  • 平均得分:
分享链接到: