Eric Geier 陳琳華

WPA3 Wi-Fi安全標準解決了WPA2的缺陷，可以更好地保護個人、企業(yè)和物聯(lián)網(wǎng)無線網(wǎng)絡的安全。

Wi-Fi聯(lián)盟在近14年的時間中首次對Wi-Fi進行了重大安全改進，即推出WPA3。新安全協(xié)議最重要的補充內(nèi)容包括強化對簡單密碼的保護、針對個人和開放網(wǎng)絡的個性化加密，以及為企業(yè)網(wǎng)絡提供更為安全的加密措施。

最初的Wi-Fi保護訪問（WPA）標準發(fā)布于2003年，用以取代WEP，一年后推出了第二版WPA2。WPA的第三版可以說是一個期待已久且備受歡迎的更新，整個Wi-Fi行業(yè)、企業(yè)以及全球數(shù)百萬普通的Wi-Fi用戶都將從中受益。

WPA3在今年1月份被公布，并在6月份正式推出了Wi-Fi聯(lián)盟WPA3-Personal和WPA3-Enterprise認證計劃，前者提供了更加個性化的加密，后者提升了傳輸敏感數(shù)據(jù)的網(wǎng)絡的加密強度。除了這兩種部署模式外，Wi-Fi聯(lián)盟還推出了Wi-Fi Easy Connect和Wi-Fi Enhanced Open。其中，Wi-Fi Enhanced Open功能可以簡化與物聯(lián)網(wǎng)設備等無顯示器的Wi-Fi設備的配對過程， Wi-Fi Enhanced Open為可選功能，允許在開放式Wi-Fi熱點網(wǎng)絡上進行無縫加密。

解決WPA2的缺陷

使用高級加密標準（AES）的WPA2協(xié)議確實修補了使用臨時密鑰完整性協(xié)議（TKIP）加密協(xié)議的原始WPA中的一些安全漏洞。WPA2被認為在安全性方面比早以被棄用的WEP更安全。 然而，WPA2在過去十年中仍然存出重大漏洞。

對WPA2-Personal密碼的暴力攻擊破解是WPA2的一個關鍵漏洞。這種破解方式會一直對密碼進行猜測直到找到匹配的密碼為止。更糟的是，一旦黑客從無線傳輸鏈路中捕獲到正確的數(shù)據(jù)，那么他們就可以在其他地點對這些密碼進行猜測，這對于黑客來說更為實用。一旦被破解，黑客就可以解密他們在破解之前或之后捕獲的任何數(shù)據(jù)。

此外，WPA2-Personal密碼的復雜性與破解工作的復雜性密切相關。因此，如果網(wǎng)絡使用的是簡單密碼（大多數(shù)人都是這么做的），那么破解工作就更加容易了。

WPA2-Personal的另一個主要漏洞是擁有網(wǎng)絡密碼的用戶可以嗅探另一個用戶的網(wǎng)絡流量并執(zhí)行攻擊，尤其是在商業(yè)網(wǎng)絡中。雖然WPA / WPA2的企業(yè)模式提供了防止用戶對用戶的嗅探保護，但是部署企業(yè)模式需要RADIUS服務器或云服務。

Wi-Fi自全面啟用以來最嚴重的缺陷是在開放的公共網(wǎng)絡上缺乏任何內(nèi)置的安全性、加密或隱私。任何擁有合適工具的人都可以對連接咖啡館、酒店和其他公共區(qū)域的Wi-Fi熱點的用戶進行嗅探。這種嗅探可以是被動式的，例如監(jiān)控訪問過的網(wǎng)站或捕獲不安全的電子郵件登錄憑據(jù)，也可以是主動式攻擊，例如會話劫持。

WPA3-Personal可提供更高的安全性和個性化加密

WPA3對Wi-Fi加密方式進行了改進，這要歸功于使用對等實體同步驗證（SAE）取代了以前WPA版本中使用的預共享密鑰（PSK）身份驗證方法。這使得使用簡單密碼的WPA3-Personal網(wǎng)絡對于黑客來說再也無法像破解WPA / WPA2那樣可以遠程通過暴力和字典就可以輕松搞定。當然，用設備直接連接Wi-Fi時，有的人可以很容易地猜出非常簡單的密碼，但是這是一種不實用的破解方法。

WPA3-Personal的加密非常個性化。即使用戶擁有Wi-Fi密碼并且已成功連接，WPA3-Personal網(wǎng)絡上的用戶也無法嗅探另一個WPA3-Personal流量。如果外人知道了密碼，但是由于網(wǎng)絡流量采用了前向保密，因此想被動地觀察交換并確定會話密鑰是不可能的。另外，他們也無法解密在破解之前捕獲的任何數(shù)據(jù)。

Wi-Fi Easy Connect為最近推出的一項可選功能，并很可能會出現(xiàn)在許多WPA3-Personal設備上，其可能會替代或是配合WPA/WPA2附帶的Wi-Fi保護設置（WPS）功能。Wi-Fi Easy Connect旨在簡化無顯示設備和物聯(lián)網(wǎng)設備與Wi-Fi的連接。連接方法除了類似于WPS的按鈕配對方法外，還包括其他的方法，例如用智能手機掃描設備的二維碼以便安全地連接設備。

WPA3-Enterprise面向的是大規(guī)模Wi-Fi

為了提供更好的保護，WPA3-Enterprise提供了一種可選的192位安全模式。對于政府機構、大型企業(yè)和其他高度敏感的環(huán)境而言，這可能是一種頗受歡迎的功能。但是，對于特定的RADIUS服務器部署，WPA3-Enterprise中的192位安全模式可能需要與RADIUS服務器的EAP服務器組件相關的更新。

Wi-Fi Enhanced Open為公共網(wǎng)絡提供加密

Wi-Fi聯(lián)盟做出的最大改進之一是Wi-Fi Enhanced Open，允許開放網(wǎng)絡（沒有設置任何密碼的網(wǎng)絡）的Wi-Fi通信在接入點和單個客戶端之間通過“機會無線加密”（OWE）進行唯一加密，并使用“受保護的管理幀”（PMF）來保護接入點和用戶設備之間管理流量的安全。

Wi-Fi Enhanced Open可防止用戶嗅探彼此的網(wǎng)絡流量或執(zhí)行會話劫持等攻擊。它們會在后臺完成所有這些工作，用戶不必輸入任何密碼或做任何事情，就像我們以往連接開放網(wǎng)絡那樣。

雖然Enhanced Open實際上并不是WPA3規(guī)范的正式部分，但是它們可能會與WPA3一起加入到產(chǎn)品中。供應商在其產(chǎn)品中可以包含這一可選功能。此外，對未加密的陳舊開放連接的支持也是可選的。因此，如果沒有使用WPA3，那么未來某些AP和路由器供應商可能會強制使用 Wi-Fi Enhanced Open（或默認處于開啟狀態(tài)）。

WPA3的普及可能需要數(shù)年時間

在時間方面，WPA3的廣泛采用不會在一夜之間完成。支持WPA3的一些Wi-Fi設備應該會在2018年底出現(xiàn)，但支持WPA3可能仍然為一項可選功能。Wi-Fi聯(lián)盟認證在兩年內(nèi)可能也不是強制性的。某些供應商可能會為現(xiàn)有產(chǎn)品發(fā)布支持WPA3的軟件更新。需要注意的是某些WPA3功能可能需要在產(chǎn)品中進行硬件更新。

消費者和企業(yè)的升級可能需要數(shù)年時間。

雖然WPA3設備仍然能夠連接到WPA2網(wǎng)絡，但是如果用戶購買了支持WPA3的筆記本電腦或智能手機，那么請記住網(wǎng)絡必須也要支持WPA3才能使用這些安全改進。

在家中，用戶可以控制網(wǎng)絡，并可以選擇將路由器和設備升級到WPA3。然而，規(guī)模較大的網(wǎng)絡所需的高昂成本可能意味著企業(yè)和公司采用WPA3需要很長的時間。即便是小型的公共Wi-Fi熱點也可能出現(xiàn)這種情況，因為無線互聯(lián)網(wǎng)通常是非營利性的便民設施。因此，那些在公共網(wǎng)絡上通常使用VPN連接的具有較高安全意識的用戶可能還需在未來的幾年中繼續(xù)使用VPN連接。

為此，WPA3-Personal提供了一種過渡模式，允許在逐步向WPA3-Personal網(wǎng)絡遷移的同時繼續(xù)讓WPA2-Personal設備接入。不過WPA3-Personal的全部優(yōu)點只有在網(wǎng)絡處于WPA3模式時才能完全實現(xiàn)。目前還不知道在過渡模式下哪些優(yōu)點會無法實現(xiàn)以及會產(chǎn)生什么樣的安全性影響。這可能是導致WPA3網(wǎng)絡部署被推遲的原因之一，直到更多的WPA3終端用戶設備進入市場情況才會出現(xiàn)改觀。

Wi-Fi Enhanced Open可能存在的限制

關于Wi-Fi Enhanced Open需要考慮的另一個問題是，它們可能會給某些用戶帶來虛假的安全感。需要理解的是，盡管用戶可通過個性化加密幫助阻止竊聽他們流量的行為，但Wi-Fi Enhanced Open并不是絕對安全的，這一點非常重要。由于用戶不需要像在WPA3網(wǎng)絡上那樣經(jīng)過身份驗證，所以與連接家庭、工作或?qū)W校專用網(wǎng)絡相比，用戶更容易受到攻擊。

在使用Wi-Fi Enhanced Open網(wǎng)絡時，用戶設備上任何開放的網(wǎng)絡共享或許仍可連接。也就是說，由于訪問權限沒有密碼保護，Wi-Fi Enhanced Open對防范偽裝的“蜜罐”網(wǎng)絡沒有任何作用。

目前，大多數(shù)Wi-Fi設備都沒有明確標明網(wǎng)絡上使用的Wi-Fi安全類型。這可能是Wi-Fi Enhanced Open存在的問題，因為即便對于使用受支持設備的用戶來說，他們也不容易確定第三方網(wǎng)絡（如公共熱點）是否啟用了相關的保護功能。這個問題的解決將取決于設備供應商和操作系統(tǒng)如何更好地顯示網(wǎng)絡的安全功能。例如，我們希望對網(wǎng)絡是否啟用Wi-Fi Enhanced Open有明顯的提示，然后像沒有設置安全措施的開放網(wǎng)絡那樣發(fā)出警告。