Wi-Fi聯(lián)盟最近公布了14年來(lái)最重磅的Wi-Fi安全升級(jí)。Wi-Fi保護(hù)訪問(wèn)3（簡(jiǎn)稱WPA3）安全認(rèn)證協(xié)議為2004年推出的WPA2協(xié)議提供了一些迫切需要的更新。WPA3并沒(méi)有對(duì)Wi-Fi安全進(jìn)行全面改造，而是專注于引入新技術(shù)來(lái)應(yīng)對(duì)已經(jīng)顯現(xiàn)在WPA2中的漏洞。

除WPA3之外，Wi-Fi聯(lián)盟還公布了另外兩個(gè)獨(dú)立的認(rèn)證協(xié)議：Enhanced Open（增強(qiáng)開(kāi)放）協(xié)議和Easy Connect（簡(jiǎn)單連接）協(xié)議。它們不依賴于WPA3，但它們確實(shí)提高了特定類型網(wǎng)絡(luò)和特定情況下的安全性。

所有這些協(xié)議現(xiàn)在都可供制造商整合到他們的設(shè)備中。如果WPA2將要走下歷史舞臺(tái)，那么這些協(xié)議最終會(huì)被普遍采用，但Wi-Fi聯(lián)盟尚未就此設(shè)定任何時(shí)間表。最有可能的是，隨著新設(shè)備進(jìn)入市場(chǎng)，我們最終會(huì)看到一個(gè)轉(zhuǎn)折點(diǎn)，那之后WPA3、Enhanced Open和Easy Connect就成了新的主流。

那么，所有這些新的認(rèn)證協(xié)議能做些什么呢？由于大多數(shù)都與無(wú)線加密有關(guān)，還有很多復(fù)雜的數(shù)學(xué)計(jì)算，這就有些說(shuō)來(lái)話長(zhǎng)。不過(guò)，本文將只是概要地談?wù)勥@些協(xié)議會(huì)為無(wú)線安全帶來(lái)的四個(gè)主要變化。

同時(shí)對(duì)等身份認(rèn)證（SAE）

這是WPA3帶來(lái)的最大變化。任何網(wǎng)絡(luò)防御中最重要的時(shí)刻都是一個(gè)新設(shè)備或新用戶試圖連接進(jìn)來(lái)時(shí)。把敵人攔截在門外才最安全，這就是WPA2和如今的WPA3都非常強(qiáng)調(diào)對(duì)新連接進(jìn)行身份驗(yàn)證并確保它們不是攻擊者獲取訪問(wèn)權(quán)限的嘗試的原因。

SAE是一種對(duì)嘗試連接到網(wǎng)絡(luò)的設(shè)備進(jìn)行身份驗(yàn)證的新方法。SAE是使用加密技術(shù)來(lái)防止竊聽(tīng)者猜測(cè)密碼的所謂“蜻蜓握手”（dragonfly handshake）的一種變體，它確切地指明了一個(gè)新設(shè)備或用戶在交換加密密鑰時(shí)應(yīng)該如何向網(wǎng)絡(luò)路由器“打招呼”。

SAE取代了自2004年WPA2推出以來(lái)一直在使用的預(yù)共享密鑰（PSK）方法。PSK也被稱為“四次握手”(four-way handshake)，這是指在路由器和連接設(shè)備之間來(lái)回握手或傳遞消息四次，四次握手后雙方都要在沒(méi)有任何一方直接透露事先商定的密碼的情況下證明自己知道這密碼。直到2016年，PSK似乎都是安全的，直到“密匙重裝攻擊”（KRACK）被發(fā)現(xiàn)。

一個(gè)KRACK通過(guò)假裝暫時(shí)失去與路由器的連接來(lái)中斷一系列的握手。實(shí)際上，它使用重復(fù)連接的機(jī)會(huì)來(lái)分析握手，直到將正確的密碼拼湊出來(lái)為止。SAE阻止這種攻擊以及更常見(jiàn)的離線字典攻擊。在離線字典攻擊中，一臺(tái)計(jì)算機(jī)會(huì)用數(shù)百、數(shù)千或數(shù)百萬(wàn)個(gè)密碼來(lái)做嘗試，以確定其中哪個(gè)密碼與PSK握手提供的驗(yàn)證信息相匹配。

顧名思義，SAE的工作方式是將設(shè)備視為平等的，而不是將一方視為顯式請(qǐng)求者而將另一方視為認(rèn)證者（傳統(tǒng)上分別是連接設(shè)備和路由器）。任何一方都可以發(fā)起握手，然后它們繼續(xù)獨(dú)立發(fā)送它們的認(rèn)證信息，而不是作為來(lái)回交換的一部分。如果沒(méi)有來(lái)回交換，KRACK無(wú)處可進(jìn)，而字典攻擊也毫無(wú)用處。

SAE提供了PSK沒(méi)有的額外安全特性：前向保密性。假設(shè)攻擊者可以訪問(wèn)路由器從更廣泛的因特網(wǎng)上發(fā)送和接收的加密數(shù)據(jù)。以前，攻擊者可以保留這些數(shù)據(jù)，然后，如果它們成功地獲得了一個(gè)密碼，它們就可以解密先前存儲(chǔ)的數(shù)據(jù)。使用SAE，每次建立連接時(shí)都會(huì)更改加密密碼，因此即使攻擊者通過(guò)欺騙的方式進(jìn)入網(wǎng)絡(luò)，他們也只能竊取密碼來(lái)解密之后傳輸?shù)臄?shù)據(jù)。

標(biāo)準(zhǔn)IEEE 802.11-2016中對(duì)SAE進(jìn)行了定義。順便說(shuō)一下，該標(biāo)準(zhǔn)的長(zhǎng)度超過(guò)3,500頁(yè)。

192位安全協(xié)議

WPA3- Enterprise是面向金融機(jī)構(gòu)、政府和企業(yè)的一個(gè)WPA3認(rèn)證版本，具有192位加密功能。對(duì)于家庭網(wǎng)絡(luò)上的路由器來(lái)說(shuō)，這是一種過(guò)度的安全級(jí)別，但對(duì)于處理特別敏感信息的網(wǎng)絡(luò)來(lái)說(shuō)，這是有意義的。

Wi-Fi目前提供128位安全協(xié)議的安全性。192位的安全協(xié)議不是強(qiáng)制性的，對(duì)于那些希望或需要將其用于其網(wǎng)絡(luò)的機(jī)構(gòu)來(lái)說(shuō)，它是一個(gè)可選的設(shè)置。Wi-Fi聯(lián)盟還強(qiáng)調(diào)，企業(yè)網(wǎng)絡(luò)應(yīng)該擁有強(qiáng)大的加密能力：系統(tǒng)安全的整體強(qiáng)度取決于其最薄弱的環(huán)節(jié)。

為了確保一個(gè)網(wǎng)絡(luò)的整體安全性從頭到尾地達(dá)到一致性，WPA3-Enterprise將使用256位伽羅瓦/計(jì)數(shù)器模式協(xié)議（Galois/Counter Mode Protocol）進(jìn)行加密，使用384位的散列消息認(rèn)證模式（Hashed Message Authentication Mode）來(lái)創(chuàng)建和確認(rèn)密鑰，以及使用橢圓曲線Diffie-Hellman（Elliptic Curve Diffie-Hellman）交換和橢圓曲線數(shù)字簽名算法（Elliptic Curve Digital Signature Algorithm）來(lái)認(rèn)證密鑰。這是一個(gè)很復(fù)雜的數(shù)學(xué)問(wèn)題，但其結(jié)果是，這個(gè)過(guò)程的每一步都將為需要它的組織保持一個(gè)192位的加密和安全最小值。

簡(jiǎn)單連接

Easy Connect是對(duì)當(dāng)今世界上連接設(shè)備數(shù)量之巨的一種承認(rèn)。雖然并不是每個(gè)人都在追趕智能家居的潮流，但與2004年相比，如今的普通人連接到家庭路由器上的設(shè)備至少多了幾件。Wi-Fi聯(lián)盟正努力使所有這些設(shè)備連接上來(lái)之事變得更直觀。與你每次想向你的網(wǎng)絡(luò)中添加?xùn)|西時(shí)輸入密碼不同，設(shè)備將具有唯一的QR碼——每個(gè)設(shè)備的QR碼將作為一種公鑰來(lái)使用。要添加設(shè)備，你可以使用已經(jīng)連接到網(wǎng)絡(luò)的智能手機(jī)掃描其QR碼。

在掃描QR碼之后，網(wǎng)絡(luò)和設(shè)備交換并驗(yàn)證密鑰以進(jìn)行后續(xù)連接。Easy Connect是WPA3的一個(gè)單獨(dú)協(xié)議：Easy Connect認(rèn)證的設(shè)備必須是經(jīng)過(guò)WPA2認(rèn)證的，但不必非要經(jīng)過(guò)WPA3認(rèn)證。

增強(qiáng)開(kāi)放

Enhanced Open是另一個(gè)單獨(dú)的協(xié)議，其設(shè)計(jì)目的是為了在開(kāi)放網(wǎng)絡(luò)上保護(hù)你。開(kāi)放網(wǎng)絡(luò)——即你在咖啡店和機(jī)場(chǎng)連接的網(wǎng)絡(luò)——帶來(lái)了一系列問(wèn)題，當(dāng)你連接到家庭或工作網(wǎng)絡(luò)時(shí)，你通常不必?fù)?dān)心這些問(wèn)題。

在開(kāi)放網(wǎng)絡(luò)上發(fā)生的許多攻擊都是被動(dòng)攻擊。由于有大量的人連接到網(wǎng)絡(luò)，攻擊者可以通過(guò)坐下來(lái)對(duì)進(jìn)出的數(shù)據(jù)進(jìn)行篩選來(lái)獲取大量數(shù)據(jù)。

Enhanced Open使用“機(jī)會(huì)性無(wú)線加密”（Opportunistic Wireless Encryption，簡(jiǎn)稱OWE）來(lái)防止這種被動(dòng)竊聽(tīng)。在Internet Engineering Task Force RFC 8110標(biāo)準(zhǔn)中定義了OWE。OWE不需要任何額外的身份驗(yàn)證保護(hù)，而是專注于改進(jìn)通過(guò)公共網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)的加密，使竊聽(tīng)者無(wú)法竊取它。它還可以防止所謂的簡(jiǎn)單數(shù)據(jù)包注入（unsophisticated packet injection），在這種攻擊中，攻擊者試圖通過(guò)構(gòu)建和傳輸看起來(lái)像是網(wǎng)絡(luò)正常運(yùn)作的一部分的數(shù)據(jù)包來(lái)破壞網(wǎng)絡(luò)的運(yùn)作。

Enhanced Open不提供任何身份驗(yàn)證保護(hù)的原因是由于開(kāi)放網(wǎng)絡(luò)的性質(zhì)——按照設(shè)計(jì)，它們可用于一般用途。Enhanced Open旨在提高開(kāi)放網(wǎng)絡(luò)對(duì)被動(dòng)攻擊的防御，而無(wú)需普通用戶輸入額外密碼或執(zhí)行額外步驟。

Easy Connect和Enhanced Open成為常態(tài)之后，至少要過(guò)幾年WPA3才會(huì)普及。隨著路由器被替換或升級(jí)，WPA3的公開(kāi)采用將會(huì)發(fā)生。如果你擔(dān)心個(gè)人網(wǎng)絡(luò)的安全性，那么你應(yīng)該可以用WPA3認(rèn)證的路由器替換當(dāng)前的路由器，因?yàn)橹圃焐虝?huì)在接下來(lái)的幾個(gè)月內(nèi)會(huì)開(kāi)始銷售這樣的路由器。