Eric Geier 陈琳华

WPA3 Wi-Fi安全标准解决了WPA2的缺陷，可以更好地保护个人、企业和物联网无线网络的安全。

Wi-Fi联盟在近14年的时间中首次对Wi-Fi进行了重大安全改进，即推出WPA3。新安全协议最重要的补充内容包括强化对简单密码的保护、针对个人和开放网络的个性化加密，以及为企业网络提供更为安全的加密措施。

最初的Wi-Fi保护访问（WPA）标准发布于2003年，用以取代WEP，一年后推出了第二版WPA2。WPA的第三版可以说是一个期待已久且备受欢迎的更新，整个Wi-Fi行业、企业以及全球数百万普通的Wi-Fi用户都将从中受益。

WPA3在今年1月份被公布，并在6月份正式推出了Wi-Fi联盟WPA3-Personal和WPA3-Enterprise认证计划，前者提供了更加个性化的加密，后者提升了传输敏感数据的网络的加密强度。除了这两种部署模式外，Wi-Fi联盟还推出了Wi-Fi Easy Connect和Wi-Fi Enhanced Open。其中，Wi-Fi Enhanced Open功能可以简化与物联网设备等无显示器的Wi-Fi设备的配对过程， Wi-Fi Enhanced Open为可选功能，允许在开放式Wi-Fi热点网络上进行无缝加密。

解决WPA2的缺陷

使用高級加密标准（AES）的WPA2协议确实修补了使用临时密钥完整性协议（TKIP）加密协议的原始WPA中的一些安全漏洞。WPA2被认为在安全性方面比早以被弃用的WEP更安全。 然而，WPA2在过去十年中仍然存出重大漏洞。

对WPA2-Personal密码的暴力攻击破解是WPA2的一个关键漏洞。这种破解方式会一直对密码进行猜测直到找到匹配的密码为止。更糟的是，一旦黑客从无线传输链路中捕获到正确的数据，那么他们就可以在其他地点对这些密码进行猜测，这对于黑客来说更为实用。一旦被破解，黑客就可以解密他们在破解之前或之后捕获的任何数据。

此外，WPA2-Personal密码的复杂性与破解工作的复杂性密切相关。因此，如果网络使用的是简单密码（大多数人都是这么做的），那么破解工作就更加容易了。

WPA2-Personal的另一个主要漏洞是拥有网络密码的用户可以嗅探另一个用户的网络流量并执行攻击，尤其是在商业网络中。虽然WPA / WPA2的企业模式提供了防止用户对用户的嗅探保护，但是部署企业模式需要RADIUS服务器或云服务。

Wi-Fi自全面启用以来最严重的缺陷是在开放的公共网络上缺乏任何内置的安全性、加密或隐私。任何拥有合适工具的人都可以对连接咖啡馆、酒店和其他公共区域的Wi-Fi热点的用户进行嗅探。这种嗅探可以是被动式的，例如监控访问过的网站或捕获不安全的电子邮件登录凭据，也可以是主动式攻击，例如会话劫持。

WPA3-Personal可提供更高的安全性和个性化加密

WPA3对Wi-Fi加密方式进行了改进，这要归功于使用对等实体同步验证（SAE）取代了以前WPA版本中使用的预共享密钥（PSK）身份验证方法。这使得使用简单密码的WPA3-Personal网络对于黑客来说再也无法像破解WPA / WPA2那样可以远程通过暴力和字典就可以轻松搞定。当然，用设备直接连接Wi-Fi时，有的人可以很容易地猜出非常简单的密码，但是这是一种不实用的破解方法。

WPA3-Personal的加密非常个性化。即使用户拥有Wi-Fi密码并且已成功连接，WPA3-Personal网络上的用户也无法嗅探另一个WPA3-Personal流量。如果外人知道了密码，但是由于网络流量采用了前向保密，因此想被动地观察交换并确定会话密钥是不可能的。另外，他们也无法解密在破解之前捕获的任何数据。

Wi-Fi Easy Connect为最近推出的一项可选功能，并很可能会出现在许多WPA3-Personal设备上，其可能会替代或是配合WPA/WPA2附带的Wi-Fi保护设置（WPS）功能。Wi-Fi Easy Connect旨在简化无显示设备和物联网设备与Wi-Fi的连接。连接方法除了类似于WPS的按钮配对方法外，还包括其他的方法，例如用智能手机扫描设备的二维码以便安全地连接设备。

WPA3-Enterprise面向的是大规模Wi-Fi

为了提供更好的保护，WPA3-Enterprise提供了一种可选的192位安全模式。对于政府机构、大型企业和其他高度敏感的环境而言，这可能是一种颇受欢迎的功能。但是，对于特定的RADIUS服务器部署，WPA3-Enterprise中的192位安全模式可能需要与RADIUS服务器的EAP服务器组件相关的更新。

Wi-Fi Enhanced Open为公共网络提供加密

Wi-Fi联盟做出的最大改进之一是Wi-Fi Enhanced Open，允许开放网络（没有设置任何密码的网络）的Wi-Fi通信在接入点和单个客户端之间通过“机会无线加密”（OWE）进行唯一加密，并使用“受保护的管理帧”（PMF）来保护接入点和用户设备之间管理流量的安全。

Wi-Fi Enhanced Open可防止用户嗅探彼此的网络流量或执行会话劫持等攻击。它们会在后台完成所有这些工作，用户不必输入任何密码或做任何事情，就像我们以往连接开放网络那样。

虽然Enhanced Open实际上并不是WPA3规范的正式部分，但是它们可能会与WPA3一起加入到产品中。供应商在其产品中可以包含这一可选功能。此外，对未加密的陈旧开放连接的支持也是可选的。因此，如果没有使用WPA3，那么未来某些AP和路由器供应商可能会强制使用 Wi-Fi Enhanced Open（或默认处于开启状态）。

WPA3的普及可能需要数年时间

在时间方面，WPA3的广泛采用不会在一夜之间完成。支持WPA3的一些Wi-Fi设备应该会在2018年底出现，但支持WPA3可能仍然为一项可选功能。Wi-Fi联盟认证在两年内可能也不是强制性的。某些供应商可能会为现有产品发布支持WPA3的软件更新。需要注意的是某些WPA3功能可能需要在产品中进行硬件更新。

消费者和企业的升级可能需要数年时间。

虽然WPA3设备仍然能够连接到WPA2网络，但是如果用户购买了支持WPA3的笔记本电脑或智能手机，那么请记住网络必须也要支持WPA3才能使用这些安全改进。

在家中，用户可以控制网络，并可以选择将路由器和设备升级到WPA3。然而，规模较大的网络所需的高昂成本可能意味着企业和公司采用WPA3需要很长的时间。即便是小型的公共Wi-Fi热点也可能出现这种情况，因为无线互联网通常是非营利性的便民设施。因此，那些在公共网络上通常使用VPN连接的具有较高安全意识的用户可能还需在未来的几年中继续使用VPN连接。

为此，WPA3-Personal提供了一种过渡模式，允许在逐步向WPA3-Personal网络迁移的同时继续让WPA2-Personal设备接入。不过WPA3-Personal的全部优点只有在网络处于WPA3模式时才能完全实现。目前还不知道在过渡模式下哪些优点会无法实现以及会产生什么样的安全性影响。这可能是导致WPA3网络部署被推迟的原因之一，直到更多的WPA3终端用户设备进入市场情况才会出现改观。

Wi-Fi Enhanced Open可能存在的限制

关于Wi-Fi Enhanced Open需要考慮的另一个问题是，它们可能会给某些用户带来虚假的安全感。需要理解的是，尽管用户可通过个性化加密帮助阻止窃听他们流量的行为，但Wi-Fi Enhanced Open并不是绝对安全的，这一点非常重要。由于用户不需要像在WPA3网络上那样经过身份验证，所以与连接家庭、工作或学校专用网络相比，用户更容易受到攻击。

在使用Wi-Fi Enhanced Open网络时，用户设备上任何开放的网络共享或许仍可连接。也就是说，由于访问权限没有密码保护，Wi-Fi Enhanced Open对防范伪装的“蜜罐”网络没有任何作用。

目前，大多数Wi-Fi设备都没有明确标明网络上使用的Wi-Fi安全类型。这可能是Wi-Fi Enhanced Open存在的问题，因为即便对于使用受支持设备的用户来说，他们也不容易确定第三方网络（如公共热点）是否启用了相关的保护功能。这个问题的解决将取决于设备供应商和操作系统如何更好地显示网络的安全功能。例如，我们希望对网络是否启用Wi-Fi Enhanced Open有明显的提示，然后像没有设置安全措施的开放网络那样发出警告。