安全性

安全性

Wi-Fi®已经成为日常生活中不可或缺的组成部分。全世界数十亿人的生活和工作都要依靠Wi-Fi,他们通过Wi-Fi购物、办理银行业务、安排生活并保持联系。保护Wi-Fi连接的安全对于个人数据安全保护发挥了重要作用。随着Wi-Fi设备在全球的使用量持续上升,Wi-Fi Alliance®已经站在增强Wi-Fi安全性的前沿。

自2003年以来,Wi-Fi Alliance已经通过Wi-Fi Protected Access®技术系列,帮助个人和企业增强了对流经Wi-Fi网络的信息的保护。Wi-Fi Protected Access安全功能不断发展,以随着安全环境的变化,增加更强大的保护能力和新的安全实践。

Wi-Fi Protected Access安全系列包括面向个人和企业网络的解决方案。

Wi-Fi CERTIFIED WPA3™

WPA3™向市场提供了最先进的安全协议。WPA3在成功获得广泛采用的Wi-Fi CERTIFIED WPA2™的基础上,增加了新的功能,以简化Wi-Fi安全保障方法、实现更可靠的身份验证、为高度敏感的数据市场提高加密强度并保持关键任务型网络的弹性。所有WPA3网络都:

  • 采用最新的安全保障方法;
  • 禁止使用过时的传统协议;
  • 要求使用“受保护的管理帧(Protected Management Frames,简称PMF)。

因为不同Wi-Fi网络的用途和安全需求有所不同,所以WPA3专门为个人网络和企业级网络提供了额外功能。WPA3-Personal针对密码猜测企图增强了对用户的保护,而WPA3-Enterprise的用户现在则能够利用更高级的安全协议,保护敏感数据网络的安全。

WPA3是Wi-Fi CERTIFIED™设备的强制认证项目。

WPA3-Personal

即使用户选择的密码达不到所建议的典型复杂度,WPA3-Personal也能够提供更可靠的基于密码的身份验证,因此可以更好地保护个人用户的安全。这种保护能力是通过“对等实体同时验证(Simultaneous Authentication of Equals,简称SAE)“实现的。SAE可以抵御离线字典式攻击,在这种攻击中,攻击者企图通过尝试可能的密码而不进行进一步的网络互动,来确定网络密码。

  • 自然密码选择:允许用户选择更易于记住的密码;
  • 易用:无需更改用户与网络的连接方式,就可提供更强的保护;
  • 正向保密:即使在数据发出后密码遭到泄漏,也可保护数据安全。

WPA3-Enterprise

WPA3-Enterprise建立在WPA2-Enterprise的基础上,同时还要求在所有WPA3连接中使用受保护的管理帧。

  • 认证:多种可认证协议EAP)方法
  • 认证加密:至少128位高加密数器模式与密码块链信息认证AES-CCMP 128
  • 的推和确:具有安全哈希算法(HMAC- sha256)的最小256位哈希消息认证模式(HMAC);
  • 可靠的管理帧保护:128位BIP-GMAC(Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)。

192位模式的WPA3-

WPA3-Enterprise提供的192位安全模式可确保使用恰当的加密工具组合,并在WPA网络内设定了一致的安全基准。

  • 认证:可扩展认证协议--传输层安全(EAP-TLS),使用椭圆曲线 Diffie-Hellman(ECDH)交换和椭圆曲线数字签名算法(ECDSA),使用384位椭圆曲线;
  • 认证加密:256位伽罗瓦/计数器模式协议(GCMP-256);
  • 和确:384位哈希消息验证模式(HMAC)与安全哈希算法(HMAC-SHA384);
  • 可靠的管理帧保护:256位BIP-GMAC(Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)。

WPA3-Enterprise提供的192位安全模式可确保使用恰当的加密工具组合,并在WPA网络内设定了一致的安全基准。

开放式Wi-Fi 网络

用户在所有地方都要使用Wi-Fi网络:在家中、办公室、酒店、购物中心、公共交通中心和市政服务处。在这类地方使用不安全的网络是有风险的,个人数据可能被窃取,这也是为什么Wi-Fi Alliance强烈建议,只要可能,用户就应确保使用安全的、要求身份验证的网络。然而,在有些情况下,开放式Wi-Fi网络是惟一可行的选择。虽然世界各地很多消费者使用开放式网络都没有遇到任何问题,但重要的是,要意识到开放式网络是有风险的,要尽力保护用户数据。为了应对这种风险,Wi-Fi Alliance开发了一种有利于开放式Wi-Fi网络用户的解决方案。

Wi-Fi CERTIFIED Enhanced Open™是Wi-Fi Alliance的一项认证计划,在保留开放式网络使用便利这一特点的同时,降低了访问不安全的网络带来的某些风险。Wi-Fi Enhanced Open™网络无需进行身份验证,就为用户提供数据加密,这对根本不提供任何保护的传统开放式网络而言,是一大改进。这些保护对用户是透明的。Wi-Fi Enhanced Open™基于“互联网工程任务组(IETF)”RFC8110规范中定义的“机会性无线加密(Opportunistic Wireless Encryption,简称OWE)”协议和Wi-Fi Alliance的“机会性无线加密规范(Opportunistic Wireless Encryption Specification)”,在保持开放式网络易用性的同时提供数据加密,因此对用户有利,它对网络提供商也是有利的,因为无需网络提供商维护、分享或管理公共密码。

因为Wi-Fi Enhanced Open™是一项Wi-Fi CERTIFIED™计划,所以该技术与传统网络是兼容的,包括那些采用“强制主页(captive portal)”的传统网络。希望部署全功能身份验证和设备配置解决方案的网络运营商,应该考虑诸如Wi-Fi CERTIFIED Passpoint®这类方法。

漏洞报告

安全开发

Video

Frequently Asked Questions

What are “legacy protocols”?

Other legacy protocols are earlier generations of Wi-Fi security, which have been updated or replaced over time due to the changing security landscape needs. The original security standard was Wired Equivalent Privacy (WEP). It was replaced by the original Wi-Fi Protected Access (WPA) in 2003 as an interim solution to the limited protection offered by WEP. The WPA program added support for Temporal Key Integrity Protocol (TKIP) encryption, an older form of security technology with some vulnerability to cryptographic attacks. WPA was replaced in 2004 with more advanced protocols of WPA2.

Though the threat of a security compromise is small, users should not purchase new equipment which supports only WPA with TKIP. Only devices supporting WPA3 security should be purchased and used.

Wi-Fi Alliance Member Publications