WPA3比WPA2好在哪里?
和WPA2类似,WPA3也分为WPA3个人版和WPA3企业版。WPA3个人版主要适用于个人、家庭等小型网络,相较于WPA2,进一步增强了对用户密码安全的保护;WPA3企业版主要适用于对网络管理、接入控制和安全性具有更高要求的政府、企业和金融机构等大中型网络,相较于WPA2,用户可以选择更高级的安全协议保护敏感数据。此外,WPA3还提升了开放性网络的用户数据传输安全,提供了增强型开放网络认证——OWE(Opportunistic Wireless Encryption,机会性无线加密)认证。
WPA3的优势:
个人版密码防护再加强
WPA3个人版使采用了更加安全的SAE(Simultaneous Authentication of Equals,对等实体同时验证)取代了WPA2个人版采用预先设置共享密钥的PSK认证方式。
WPA2采用的PSK认证方式通过四次握手进行密钥协商,在协商过程前首先根据SSID和预共享密钥生成PMK,此时由于SSID和预共享密钥都是固定的,PMK也就成了固定的且可计算的,导致每次重装的密钥都是相同的。WPA3所采用的SAE协议在原有的PSK四次握手前增加了SAE握手,在PMK生成过程中引入了动态随机变量,使得每次协商的PMK都是不同的,也就保证了密钥的随机性。因此,SAE为WPA3带来的更加安全的密钥验证机制解决了WPA2所暴露的安全风险:
防止KRACK攻击:SAE将设备视为对等的,而不是一方请求另一方认证,任意一方都可以发起握手,独立发送认证信息。没有了来回交换消息的过程,就让KRACK攻击无可乘之机。
SAE使得个人或家庭用户可以自由设置更加容易记住的Wi-Fi密码,即使不够复杂也能提供同样的安全防护。
企业版安全性再提升
WPA3企业版在WPA2企业版的基础上,添加了一种更加安全的可选模式——WPA3-Enterprise 192bit,该模式提供了以下安全保护措施:
数据保护:使用192位的Suite-B安全套件,相较于WPA2采用的128位密钥长度,该模式将密钥长度增加至192位,进一步提升了密码防御强度。
密钥保护:使用更加安全的HMAC-SHA-384算法在四次握手阶段进行密钥导出和确认。
流量保护:使用更加安全的GCMP-256(Galois Counter Mode Protocol,伽罗瓦计数器模式协议)保护用户上线后的无线流量。
管理帧保护:使用更加安全的GCMP的GMAC-256(Galois Message Authentication Code,伽罗瓦消息认证码)保护组播管理帧。
基于OWE认证实现开放性网络保护
在机场、车站和咖啡厅等开放性网络,大都采用传统开放认证(Open)方式,用户无需输入密码即可接入网络,用户与Wi-Fi网络的数据传输也是未加密的,这增加了非法攻击者接入网络的风险。
WPA3在开放认证方式基础上提出的一种增强型开放网络认证方式,该认证方式下,用户仍然无需输入密码即可接入网络,保留了开放式Wi-Fi网络用户接入的便利性。同时,OWE采用Diffie-Hellman密钥交换算法在用户和Wi-Fi设备之间交换密钥,为用户与Wi-Fi网络的数据传输进行加密,保护用户数据的安全性。