WiFi 安全体系总览
WiFi 安全技术经历了从几乎无保护到企业级加密的漫长演进。理解每一代安全机制的原理和缺陷,对于正确配置和保护无线网络至关重要。
WiFi 安全演进路线
1997 ────── 2003 ────── 2004 ────── 2007 ────── 2018 ────── 2020+
WEP LEAP WPA WPA2 WPA3 OWE/SAE
(已破解) (已废弃) (过渡方案) (主流标准) (新一代) (开放网络加密)
WiFi 安全的核心目标
目标 |
说明 |
|---|---|
机密性(Confidentiality) |
防止未授权方窃听数据内容 |
完整性(Integrity) |
确保数据在传输中未被篡改 |
认证(Authentication) |
验证通信双方的身份 |
访问控制(Access Control) |
只允许授权设备接入网络 |
WiFi 安全机制对比
特性 |
WEP |
WPA (TKIP) |
WPA2 (AES-CCMP) |
WPA3 |
|---|---|---|---|---|
加密算法 |
RC4 |
RC4 + 修补 |
AES-CCM |
AES-GCM / GCMP |
密钥长度 |
64/128 bit |
128 bit |
128/256 bit |
192/256 bit |
密钥管理 |
静态 |
动态(PTK/GTK) |
动态(4-way handshake) |
SAH / DHAKE |
完整性保护 |
CRC-32(不安全) |
MIC (Michael) |
CCMP MIC |
GCM AEAD |
重放攻击防护 |
❌ |
✅ |
✅ |
✅ |
前向保密 |
❌ |
❌ |
❌(PMK固定) |
✅(SAH) |
暴力破解防护 |
❌ |
⚠️ 有限 |
⚠️ 802.11W |
✅ DHAKE |
个人模式 vs 企业模式
Personal(个人/预共享密钥)
认证方式:PSK(Pre-Shared Key,预共享密钥)
PMK 来源:从密码派生
PMK = PBKDF2-PRF(password, SSID)适用场景:家庭、小型办公室
安全弱点:所有设备使用相同密钥;离线字典攻击可行
Enterprise(企业/802.1X)
认证方式:802.1X + EAP + RADIUS
PMK 来源:每次认证动态生成,唯一且短期有效
适用场景:企业、校园、公共场所
安全优势:每个用户独立凭证;支持证书认证
管理帧保护(802.11w)
传统管理帧(Deauth/Disassoc)未加密,可被攻击者伪造:
攻击者 ──→ [伪造 Deauth Frame] ──→ STA
结果:STA 被强制断开连接(Deauth 攻击)
802.11w(PMF,Protected Management Frames)对关键管理帧进行加密和完整性保护。
安全最佳实践
始终使用 WPA3:新设备优先启用 WPA3-SAE
强密码策略:PSK 至少 20 个字符,包含大小写、数字、符号
禁用 WPS:WPS PIN 可被暴力破解(8位PIN实际只有10^4复杂度)
启用 PMF:防止管理帧攻击
定期更换密钥:企业环境每 90 天轮换 GTK