参考
【 https://zhuanlan.zhihu.com/p/32817730 】
【 https://www.jianshu.com/p/0aff7d928c94 】
【 https://baike.baidu.com/item/WPA3/22331346 】
【 https://www.wi-fi.org/zh-hans/discover-wi-fi/security 】
【 https://m.huxiu.com/article/263786.html 】
【 https://xw.qq.com/cmsid/20180629B14JKP00 】
2018年6月26日,WiFi联盟宣布WPA3协议已最终完成。
WPA3协议带来四大安全改善
1.更强大的加密算法;WPA3拥有比WPA2更强大的加密算法。它可以应对工业领域、国防领域和政府领域的安全加密应用。
2.防止暴力破解;WPA3不会受到KRACK的攻击,是因为应用了Dragonfly协议。并且WPA3对于用户猜测WiFi密码的次数加以严格限制。黑客通过自己的”字典”,对密码进行暴力破解的攻击已经无效。
3.改善物联网设备的安全性;现在接入无线路由器的智能家居设备越来越多,WPA3支持一键式设置,只有按下按钮才能联网,让物联网设备连接更安全。
4.保护公共WiFi;机场、咖啡厅、购物中心等公共场合的WiFi不需要密码连接,存在安全隐患,但许多人都不在意它的安全性。WPA3使用了特殊的加密技术,让接入设备和无线路由器之间的连接拥有独特的密钥。即使是开放的WiFi,设备与路由器之间传输数据也不会暴露在网络中。
WPA3™是下一代Wi-Fi安全技术,向市场提供了最先进的安全协议。WPA3在成功获得广泛采用的Wi-Fi CERTIFIED WPA2™的基础上,增加了新的功能,以简化Wi-Fi安全保障方法、实现更可靠的身份验证、为高度敏感的数据市场提高加密强度并保持关键任务型网络的弹性。所有WPA3网络都:
采用最新的安全保障方法;
禁止使用过时的传统协议;
要求使用“受保护的管理帧(Protected Management Frames,简称PMF)。
因为不同Wi-Fi网络的用途和安全需求有所不同,所以WPA3专门为个人网络和企业级网络提供了额外功能。WPA3-Personal针对密码猜测企图增强了对用户的保护,而WPA3-Enterprise的用户现在则能够利用更高级的安全协议,保护敏感数据网络的安全。
WPA3保留了与WPA2™设备的互操作性,目前是Wi-Fi CERTIFIED设备的可选认证项目。随着时间推移和市场采用率提高,WPA3将成为必选认证项目。
WPA3-Personal
即使用户选择的密码达不到所建议的典型复杂度,WPA3-Personal也能够提供更可靠的基于密码的身份验证,因此可以更好地保护个人用户的安全。这种保护能力是通过“对等实体同时验证(Simultaneous Authentication of Equals,简称SAE)“实现的,SAE取代了”WPA2-Personal中采用的“预共享密钥(Pre-shared Key,简称PSK)”。SAE可以抵御离线字典式攻击,在这种攻击中,攻击者企图通过尝试可能的密码而不进行进一步的网络互动,来确定网络密码。
自然密码选择:允许用户选择更易于记住的密码;
易用:无需更改用户与网络的连接方式,就可提供更强的保护;
正向保密:即使在数据发出后密码遭到泄漏,也可保护数据安全。
WPA3-Enterprise
企业、政府和金融机构采用WPA3-Enterprise能够提高安全性。WPA3-Enterprise以WPA2为基础,可在整个网络内确保一致地应用安全协议。
WPA3-Enterprise还提供一种可选模式,该模式采用192位最低加密强度的安全协议和加密工具,以更好地保护敏感数据。
经过验证的加密:256位GCMP(Galois/Counter Mode Protocol);
密钥导出和确认:采用SHA(Secure Hash Algorithm)的384位HMAC(Hashed Message Authentication Mode);
密钥建立和验证:采用384位椭圆曲线的ECDH(Elliptic Curve Diffie-Hellman)交换和ECDSA(Elliptic Curve Digital Signature Algorithm);
可靠的管理帧保护:256位BIP-GMAC(Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)。
WPA3-Enterprise提供的192位安全模式可确保使用恰当的加密工具组合,并在WPA网络内设定了一致的安全基准。
Wi-Fi CERTIFIED WPA2
WPA2继续在Wi-Fi生态系统内为Wi-Fi网络和设备提供安全及隐私保护。WPA2设备将继续保持互操作性,并提供10多年来已成为其标志的、倍受认可的安全性。
WPA2认证计划不断发展,以随着安全环境变化满足不断变化的安全需求。2018年,Wi-Fi Alliance通过配置、验证和加密功能,增强了现有网络的安全保护。增强对厂商安全措施的验证,以降低可能由网络错误配置导致的漏洞,并利用集中式验证服务,进一步保护运营商Wi-Fi网络的安全。
从2006年开始,所有Wi-Fi CERTIFIED™设备都采用了WPA2。
WPA2将继续发展,以使所有Wi-Fi CERTIFIED设备满足互操作性和安全性标准。在可预见的未来,WPA2仍将用于Wi-Fi CERTIFIED设备,而所有支持WPA3的设备将继续与WPA2设备保持互操作性。
开放式Wi-Fi 网络
用户在所有地方都要使用Wi-Fi网络:在家中、办公室、酒店、购物中心、公共交通中心和市政服务处。在这类地方使用不安全的网络是有风险的,个人数据可能被窃取,这也是为什么Wi-Fi Alliance强烈建议,只要可能,用户就应确保使用安全的、要求身份验证的网络。然而,在有些情况下,开放式Wi-Fi网络是惟一可行的选择。虽然世界各地很多消费者使用开放式网络都没有遇到任何问题,但重要的是,要意识到开放式网络是有风险的,要尽力保护用户数据。为了应对这种风险,Wi-Fi Alliance开发了一种有利于开放式Wi-Fi网络用户的解决方案。
Wi-Fi CERTIFIED Enhanced Open™是Wi-Fi Alliance的一项认证计划,在保留开放式网络使用便利这一特点的同时,降低了访问不安全的网络带来的某些风险。Wi-Fi Enhanced Open™网络无需进行身份验证,就为用户提供数据加密,这对根本不提供任何保护的传统开放式网络而言,是一大改进。这些保护对用户是透明的。Wi-Fi Enhanced Open™基于“互联网工程任务组(IETF)”RFC8110规范中定义的“机会性无线加密(Opportunistic Wireless Encryption,简称OWE)”协议和Wi-Fi Alliance的“机会性无线加密规范(Opportunistic Wireless Encryption Specification)”,在保持开放式网络易用性的同时提供数据加密,因此对用户有利,它对网络提供商也是有利的,因为无需网络提供商维护、分享或管理公共密码。
因为Wi-Fi Enhanced Open™是一项Wi-Fi CERTIFIED™计划,所以该技术与传统网络是兼容的,包括那些采用“强制主页(captive portal)”的传统网络。希望部署全功能身份验证和设备配置解决方案的网络运营商,应该考虑诸如Wi-Fi CERTIFIED Passpoint®这类方法。
发表评论