Wi-Fi聯盟最近公布了14年來最重磅的Wi-Fi安全升級。Wi-Fi保護訪問3（簡稱WPA3）安全認證協議為2004年推出的WPA2協議提供了一些迫切需要的更新。WPA3并沒有對Wi-Fi安全進行全面改造，而是專注于引入新技術來應對已經顯現在WPA2中的漏洞。

除WPA3之外，Wi-Fi聯盟還公布了另外兩個獨立的認證協議：Enhanced Open（增強開放）協議和Easy Connect（簡單連接）協議。它們不依賴于WPA3，但它們確實提高了特定類型網絡和特定情況下的安全性。

所有這些協議現在都可供制造商整合到他們的設備中。如果WPA2將要走下歷史舞臺，那么這些協議最終會被普遍采用，但Wi-Fi聯盟尚未就此設定任何時間表。最有可能的是，隨著新設備進入市場，我們最終會看到一個轉折點，那之后WPA3、Enhanced Open和Easy Connect就成了新的主流。

那么，所有這些新的認證協議能做些什么呢？由于大多數都與無線加密有關，還有很多復雜的數學計算，這就有些說來話長。不過，本文將只是概要地談談這些協議會為無線安全帶來的四個主要變化。

同時對等身份認證（SAE）

這是WPA3帶來的最大變化。任何網絡防御中最重要的時刻都是一個新設備或新用戶試圖連接進來時。把敵人攔截在門外才最安全，這就是WPA2和如今的WPA3都非常強調對新連接進行身份驗證并確保它們不是攻擊者獲取訪問權限的嘗試的原因。

SAE是一種對嘗試連接到網絡的設備進行身份驗證的新方法。SAE是使用加密技術來防止竊聽者猜測密碼的所謂“蜻蜓握手”（dragonfly handshake）的一種變體，它確切地指明了一個新設備或用戶在交換加密密鑰時應該如何向網絡路由器“打招呼”。

SAE取代了自2004年WPA2推出以來一直在使用的預共享密鑰（PSK）方法。PSK也被稱為“四次握手”(four-way handshake)，這是指在路由器和連接設備之間來回握手或傳遞消息四次，四次握手后雙方都要在沒有任何一方直接透露事先商定的密碼的情況下證明自己知道這密碼。直到2016年，PSK似乎都是安全的，直到“密匙重裝攻擊”（KRACK）被發現。

一個KRACK通過假裝暫時失去與路由器的連接來中斷一系列的握手。實際上，它使用重復連接的機會來分析握手，直到將正確的密碼拼湊出來為止。SAE阻止這種攻擊以及更常見的離線字典攻擊。在離線字典攻擊中，一臺計算機會用數百、數千或數百萬個密碼來做嘗試，以確定其中哪個密碼與PSK握手提供的驗證信息相匹配。

顧名思義，SAE的工作方式是將設備視為平等的，而不是將一方視為顯式請求者而將另一方視為認證者（傳統上分別是連接設備和路由器）。任何一方都可以發起握手，然后它們繼續獨立發送它們的認證信息，而不是作為來回交換的一部分。如果沒有來回交換，KRACK無處可進，而字典攻擊也毫無用處。

SAE提供了PSK沒有的額外安全特性：前向保密性。假設攻擊者可以訪問路由器從更廣泛的因特網上發送和接收的加密數據。以前，攻擊者可以保留這些數據，然后，如果它們成功地獲得了一個密碼，它們就可以解密先前存儲的數據。使用SAE，每次建立連接時都會更改加密密碼，因此即使攻擊者通過欺騙的方式進入網絡，他們也只能竊取密碼來解密之后傳輸的數據。

標準IEEE 802.11-2016中對SAE進行了定義。順便說一下，該標準的長度超過3,500頁。

192位安全協議

WPA3- Enterprise是面向金融機構、政府和企業的一個WPA3認證版本，具有192位加密功能。對于家庭網絡上的路由器來說，這是一種過度的安全級別，但對于處理特別敏感信息的網絡來說，這是有意義的。

Wi-Fi目前提供128位安全協議的安全性。192位的安全協議不是強制性的，對于那些希望或需要將其用于其網絡的機構來說，它是一個可選的設置。Wi-Fi聯盟還強調，企業網絡應該擁有強大的加密能力：系統安全的整體強度取決于其最薄弱的環節。

為了確保一個網絡的整體安全性從頭到尾地達到一致性，WPA3-Enterprise將使用256位伽羅瓦/計數器模式協議（Galois/Counter Mode Protocol）進行加密，使用384位的散列消息認證模式（Hashed Message Authentication Mode）來創建和確認密鑰，以及使用橢圓曲線Diffie-Hellman（Elliptic Curve Diffie-Hellman）交換和橢圓曲線數字簽名算法（Elliptic Curve Digital Signature Algorithm）來認證密鑰。這是一個很復雜的數學問題，但其結果是，這個過程的每一步都將為需要它的組織保持一個192位的加密和安全最小值。

簡單連接

Easy Connect是對當今世界上連接設備數量之巨的一種承認。雖然并不是每個人都在追趕智能家居的潮流，但與2004年相比，如今的普通人連接到家庭路由器上的設備至少多了幾件。Wi-Fi聯盟正努力使所有這些設備連接上來之事變得更直觀。與你每次想向你的網絡中添加東西時輸入密碼不同，設備將具有唯一的QR碼——每個設備的QR碼將作為一種公鑰來使用。要添加設備，你可以使用已經連接到網絡的智能手機掃描其QR碼。

在掃描QR碼之后，網絡和設備交換并驗證密鑰以進行后續連接。Easy Connect是WPA3的一個單獨協議：Easy Connect認證的設備必須是經過WPA2認證的，但不必非要經過WPA3認證。

增強開放

Enhanced Open是另一個單獨的協議，其設計目的是為了在開放網絡上保護你。開放網絡——即你在咖啡店和機場連接的網絡——帶來了一系列問題，當你連接到家庭或工作網絡時，你通常不必擔心這些問題。

在開放網絡上發生的許多攻擊都是被動攻擊。由于有大量的人連接到網絡，攻擊者可以通過坐下來對進出的數據進行篩選來獲取大量數據。

Enhanced Open使用“機會性無線加密”（Opportunistic Wireless Encryption，簡稱OWE）來防止這種被動竊聽。在Internet Engineering Task Force RFC 8110標準中定義了OWE。OWE不需要任何額外的身份驗證保護，而是專注于改進通過公共網絡發送的數據的加密，使竊聽者無法竊取它。它還可以防止所謂的簡單數據包注入（unsophisticated packet injection），在這種攻擊中，攻擊者試圖通過構建和傳輸看起來像是網絡正常運作的一部分的數據包來破壞網絡的運作。

Enhanced Open不提供任何身份驗證保護的原因是由于開放網絡的性質——按照設計，它們可用于一般用途。Enhanced Open旨在提高開放網絡對被動攻擊的防御，而無需普通用戶輸入額外密碼或執行額外步驟。

Easy Connect和Enhanced Open成為常態之后，至少要過幾年WPA3才會普及。隨著路由器被替換或升級，WPA3的公開采用將會發生。如果你擔心個人網絡的安全性，那么你應該可以用WPA3認證的路由器替換當前的路由器，因為制造商會在接下來的幾個月內會開始銷售這樣的路由器。