WPA3 新一代安全标准
WPA3 是 Wi-Fi Alliance 于 2018 年发布的安全认证,旨在解决 WPA2 的已知弱点并提升整体安全性。
WPA3 的核心改进
1. SAE(Simultaneous Authentication of Equals)替代 PSK
WPA2 PSK 的问题
WPA2: PMK = PBKDF2(password, SSID)
→ 可离线暴力破解(捕获握手包后在家慢慢试密码)
WPA3 SAE 的原理
SAE 使用 Dragonfly 密钥交换协议,实现双向认证和抗离线字典攻击:
Phase 1 - PKE (Password Key Exchange):
STA: x ← random, Px = g^x mod p
AP: y ← random, Py = g^y mod p
Phase 2 - Confirm:
共享密钥: K = (Py)^x = (Px)^y mod p
= g^(xy) mod p (Diffie-Hellman)
但直接 DH 受字典攻击 → SAE 使用 "Dragonfly Variant"
将密码作为 DH 的参数选择因子,使离线攻击不可行。
SAE vs PSK 对比
特性 |
WPA2 PSK |
WPA3 SAE |
|---|---|---|
认证方向 |
单向(STA 证明知道密码) |
双向(双方互相验证) |
离线字典攻击 |
✅ 可行 |
❌ 不可行 |
前向保密 |
❌ |
⚠️ 部分(取决于实现) |
握手次数 |
4次 |
2次 + 4次(密钥派生) |
2. DHAKE(Diffie-Hellman Key Exchange with Password Auth)
WPA3 Enterprise 使用 DHAKE 增强:
目的:保护 EAPOL-Start 中的身份标识
机制:在 EAP 认证前建立加密通道
效果:防止中间人攻击和身份欺骗
3. OWE(Opportunistic Wireless Encryption)
开放网络也能获得加密保护:
传统开放网络: 无加密 → 所有流量明文传输
OWE 开放网络: 每用户独立加密 → 防窃听、防篡改
原理:基于 HKDF 的密钥派生,无需密码协商
适用场景:公共场所 WiFi(机场、咖啡馆)
限制:不认证 AP 身份(opportunistic = 有机会就加密)
4. 192-bit 安全模式
WPA3-Enterprise 支持 192-bit 安全级别:
组件 |
128-bit 模式 |
192-bit 模式 |
|---|---|---|
AES 密钥 |
AES-128-GCM |
AES-256-GCM |
哈希算法 |
SHA-256 |
SHA-384 |
DH 群大小 |
2048-bit |
3072-bit |
WPA3 模式详解
WPA3-Personal
认证: SAE (Dragonfly)
加密: GCMP-128 / GCMP-256 / CCMP
管理帧保护: PMF 强制启用
WPA3-Enterprise
认证: 802.1X + EAP (TLS/TTLS/PEAP)
密钥交换: DHAKE
加密: GCMP-128 / GCMP-256 / GCMP-192
管理帧保护: PMF 强制启用
Transition Mode(过渡模式)
同时支持 WPA3 和 WPA2 设备:
AP 配置: WPA2/WPA3 Mixed Mode
WPA3 STA → SAE 认证
WPA2 STA → PSK 四次握手
⚠️ 注意:过渡模式下,WPA2 客户端仍然面临 KRACK/PMKID 等攻击风险。
GCMP(GCM with Counter Mode Protocol)
WPA3 推荐使用 GCMP 替代 CCMP:
特性 |
CCMP (AES-CTR+CBC-MAC) |
GCMP (AES-GCM) |
|---|---|---|
加密模式 |
CTR + CBC-MAC(两遍) |
GCM(一遍,AEAD) |
性能 |
较低 |
更高(硬件加速友好) |
认证标签 |
MIC (4/8 bytes) |
GTag (16 bytes) |
AEAD |
❌ 分离的加密和认证 |
✅ 原生 AEAD |
WPA3 部署建议
家庭网络
推荐配置:
- 模式: WPA3-Personal (SAE)
- 加密: GCMP-256(如果设备支持)
- 密码: ≥ 8 字符(SAE 对短密码也有防护,但长密码更安全)
企业网络
推荐配置:
- 模式: WPA3-Enterprise
- EAP 方法: EAP-TLS(证书认证,最安全)
- 加密: GCMP-256 或 GCMP-192
- RADIUS: 支持动态密钥分发
公共 WiFi
推荐配置:
- 模式: Open + OWE
- 效果: 用户间流量隔离,防窃听
- 注意: 仍需 HTTPS 保护端到端安全