Wi-Fi®已經成為日常生活中不可或缺的組成部分。全世界數十億人的生活和工作都要依靠Wi-Fi,他們通過Wi-Fi購物、辦理銀行業務、安排生活並保持聯繫。保護Wi-Fi連接的安全對於個人資料安全保護發揮了重要作用。隨著Wi-Fi設備在全球的使用量持續上升,Wi-Fi Alliance®已經站在增強Wi-Fi安全性的前沿。
自2003年以來,Wi-Fi Alliance已經通過Wi-Fi Protected Access®技術系列,説明個人和企業增強了對流經Wi-Fi網路的資訊的保護。Wi-Fi Protected Access安全功能不斷發展,以隨著安全環境的變化,增加更強大的保護能力和新的安全實踐。
Wi-Fi Protected Access安全系列包括面向個人和企業網路的解決方案。
Wi-Fi CERTIFIED WPA3™
WPA3™向市場提供了最先進的安全協議。WPA3在成功獲得廣泛採用的Wi-Fi CERTIFIED WPA2™的基礎上,增加了新的功能,以簡化Wi-Fi安全保障方法、實現更可靠的身份驗證、為高度敏感的資料市場提高加密強度並保持關鍵任務型網路的彈性。所有WPA3網路都:
- 採用最新的安全保障方法;
- 禁止使用過時的傳統協定;
- 要求使用“受保護的管理幀(Protected Management Frames,簡稱PMF)。
因為不同Wi-Fi網路的用途和安全需求有所不同,所以WPA3專門為個人網路和企業級網路提供了額外功能。WPA3-Personal針對密碼猜測企圖增強了對用戶的保護,而WPA3-Enterprise的用戶現在則能夠利用更高級的安全協定,保護敏感性資料網路的安全。
WPA3是Wi-Fi CERTIFIED™設備的強制認證專案。
WPA3-Personal
即使使用者選擇的密碼達不到所建議的典型複雜度,WPA3-Personal也能夠提供更可靠的基於密碼的身份驗證,因此可以更好地保護個人用戶的安全。這種保護能力是通過“對等實體同時驗證(Simultaneous Authentication of Equals,簡稱SAE)“實現的。SAE可以抵禦離線字典式攻擊,在這種攻擊中,攻擊者企圖通過嘗試可能的密碼而不進行進一步的網路互動,來確定網路密碼。
- 自然密碼選擇:允許使用者選擇更易於記住的密碼;
- 易用:無需更改使用者與網路的連接方式,就可提供更強的保護;
- 正向保密:即使在資料發出後密碼遭到洩漏,也可保護資料安全。
WPA3-Enterprise
WPA3-Enterprise建立在WPA2-Enterprise的基礎上,同時還要求在所有WPA3連接中使用受保護的管理幀。
- 認證:多種可擴展認證協議(EAP)方法;
- 認證加密:至少128位元高級加密標準計數器模式與密碼塊鏈資訊認證(AES-CCMP 128);
- 金鑰的推導和確認:具有安全雜湊演算法(HMAC- sha256)的最小256位元雜湊消息認證模式(HMAC);
- 可靠的管理幀保護:128位BIP-GMAC(Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)。
192位元模式的WPA3-企業版
WPA3-Enterprise提供的192位元安全模式可確保使用恰當的加密工具組合,並在WPA網路內設定了一致的安全基準。
- 認證:可擴展認證協定--傳輸層安全(EAP-TLS),使用橢圓曲線 Diffie-Hellman(ECDH)交換和橢圓曲線數位簽章演算法(ECDSA),使用384位元橢圓曲線;
- 認證加密:256位元伽羅瓦/計數器模式協定(GCMP-256);
- 金鑰推導和確認:384位元雜湊消息驗證模式(HMAC)與安全雜湊演算法(HMAC-SHA384);
- 可靠的管理幀保護:256位BIP-GMAC(Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)。
WPA3-Enterprise提供的192位元安全模式可確保使用恰當的加密工具組合,並在WPA網路內設定了一致的安全基準。
開放式Wi-Fi 網路
使用者在所有地方都要使用Wi-Fi網路:在家中、辦公室、酒店、購物中心、公共交通中心和市政服務處。在這類地方使用不安全的網路是有風險的,個人資料可能被竊取,這也是為什麼Wi-Fi Alliance強烈建議,只要可能,用戶就應確保使用安全的、要求身份驗證的網路。然而,在有些情況下,開放式Wi-Fi網路是惟一可行的選擇。雖然世界各地很多消費者使用開放式網路都沒有遇到任何問題,但重要的是,要意識到開放式網路是有風險的,要盡力保護使用者資料。為了應對這種風險,Wi-Fi Alliance開發了一種有利於開放式Wi-Fi網路使用者的解決方案。
Wi-Fi CERTIFIED Enhanced Open™是Wi-Fi Alliance的一項認證計畫,在保留開放式網路使用便利這一特點的同時,降低了訪問不安全的網路帶來的某些風險。Wi-Fi Enhanced Open™網路無需進行身份驗證,就為用戶提供資料加密,這對根本不提供任何保護的傳統開放式網路而言,是一大改進。這些保護對用戶是透明的。Wi-Fi Enhanced Open™基於“互聯網工程任務組(IETF)”RFC8110規範中定義的“機會性無線加密(Opportunistic Wireless Encryption,簡稱OWE)”協議和Wi-Fi Alliance的“機會性無線加密規範(Opportunistic Wireless Encryption Specification)”,在保持開放式網路易用性的同時提供資料加密,因此對使用者有利,它對網路提供商也是有利的,因為無需網路提供商維護、分享或管理公共密碼。
因為Wi-Fi Enhanced Open™是一項Wi-Fi CERTIFIED™計畫,所以該技術與傳統網路是相容的,包括那些採用“強制主頁(captive portal)”的傳統網路。希望部署全功能身份驗證和設備配置解決方案的網路運營商,應該考慮諸如Wi-Fi CERTIFIED Passpoint®這類方法。