安全性

安全性

Wi-Fi®已經成為日常生活中不可或缺的組成部分。全世界數十億人的生活和工作都要依靠Wi-Fi,他們通過Wi-Fi購物、辦理銀行業務、安排生活並保持聯繫。保護Wi-Fi連接的安全對於個人資料安全保護發揮了重要作用。隨著Wi-Fi設備在全球的使用量持續上升,Wi-Fi Alliance®已經站在增強Wi-Fi安全性的前沿。

自2003年以來,Wi-Fi Alliance已經通過Wi-Fi Protected Access®技術系列,説明個人和企業增強了對流經Wi-Fi網路的資訊的保護。Wi-Fi Protected Access安全功能不斷發展,以隨著安全環境的變化,增加更強大的保護能力和新的安全實踐。

Wi-Fi Protected Access安全系列包括面向個人和企業網路的解決方案。

Wi-Fi CERTIFIED WPA3™

WPA3™向市場提供了最先進的安全協議。WPA3在成功獲得廣泛採用的Wi-Fi CERTIFIED WPA2™的基礎上,增加了新的功能,以簡化Wi-Fi安全保障方法、實現更可靠的身份驗證、為高度敏感的資料市場提高加密強度並保持關鍵任務型網路的彈性。所有WPA3網路都:

  • 採用最新的安全保障方法;
  • 禁止使用過時的傳統協定;
  • 要求使用“受保護的管理幀(Protected Management Frames,簡稱PMF)。

因為不同Wi-Fi網路的用途和安全需求有所不同,所以WPA3專門為個人網路和企業級網路提供了額外功能。WPA3-Personal針對密碼猜測企圖增強了對用戶的保護,而WPA3-Enterprise的用戶現在則能夠利用更高級的安全協定,保護敏感性資料網路的安全。

WPA3是Wi-Fi CERTIFIED™設備的強制認證專案。

WPA3-Personal

即使使用者選擇的密碼達不到所建議的典型複雜度,WPA3-Personal也能夠提供更可靠的基於密碼的身份驗證,因此可以更好地保護個人用戶的安全。這種保護能力是通過“對等實體同時驗證(Simultaneous Authentication of Equals,簡稱SAE)“實現的。SAE可以抵禦離線字典式攻擊,在這種攻擊中,攻擊者企圖通過嘗試可能的密碼而不進行進一步的網路互動,來確定網路密碼。

  • 自然密碼選擇:允許使用者選擇更易於記住的密碼;
  • 易用:無需更改使用者與網路的連接方式,就可提供更強的保護;
  • 正向保密:即使在資料發出後密碼遭到洩漏,也可保護資料安全。

WPA3-Enterprise

WPA3-Enterprise建立在WPA2-Enterprise的基礎上,同時還要求在所有WPA3連接中使用受保護的管理幀。

  • 認證:多種可認證協議EAP)方法
  • 認證加密:至少128位元高加密數器模式與密碼塊鏈資訊認證AES-CCMP 128
  • 的推和確:具有安全雜湊演算法(HMAC- sha256)的最小256位元雜湊消息認證模式(HMAC);
  • 可靠的管理幀保護:128位BIP-GMAC(Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)。

192位元模式的WPA3-

WPA3-Enterprise提供的192位元安全模式可確保使用恰當的加密工具組合,並在WPA網路內設定了一致的安全基準。

  • 認證:可擴展認證協定--傳輸層安全(EAP-TLS),使用橢圓曲線 Diffie-Hellman(ECDH)交換和橢圓曲線數位簽章演算法(ECDSA),使用384位元橢圓曲線;
  • 認證加密:256位元伽羅瓦/計數器模式協定(GCMP-256);
  • 和確:384位元雜湊消息驗證模式(HMAC)與安全雜湊演算法(HMAC-SHA384);
  • 可靠的管理幀保護:256位BIP-GMAC(Broadcast/Multicast Integrity Protocol Galois Message Authentication Code)。

WPA3-Enterprise提供的192位元安全模式可確保使用恰當的加密工具組合,並在WPA網路內設定了一致的安全基準。

開放式Wi-Fi 網路

使用者在所有地方都要使用Wi-Fi網路:在家中、辦公室、酒店、購物中心、公共交通中心和市政服務處。在這類地方使用不安全的網路是有風險的,個人資料可能被竊取,這也是為什麼Wi-Fi Alliance強烈建議,只要可能,用戶就應確保使用安全的、要求身份驗證的網路。然而,在有些情況下,開放式Wi-Fi網路是惟一可行的選擇。雖然世界各地很多消費者使用開放式網路都沒有遇到任何問題,但重要的是,要意識到開放式網路是有風險的,要盡力保護使用者資料。為了應對這種風險,Wi-Fi Alliance開發了一種有利於開放式Wi-Fi網路使用者的解決方案。

Wi-Fi CERTIFIED Enhanced Open™是Wi-Fi Alliance的一項認證計畫,在保留開放式網路使用便利這一特點的同時,降低了訪問不安全的網路帶來的某些風險。Wi-Fi Enhanced Open™網路無需進行身份驗證,就為用戶提供資料加密,這對根本不提供任何保護的傳統開放式網路而言,是一大改進。這些保護對用戶是透明的。Wi-Fi Enhanced Open™基於“互聯網工程任務組(IETF)”RFC8110規範中定義的“機會性無線加密(Opportunistic Wireless Encryption,簡稱OWE)”協議和Wi-Fi Alliance的“機會性無線加密規範(Opportunistic Wireless Encryption Specification)”,在保持開放式網路易用性的同時提供資料加密,因此對使用者有利,它對網路提供商也是有利的,因為無需網路提供商維護、分享或管理公共密碼。

因為Wi-Fi Enhanced Open™是一項Wi-Fi CERTIFIED™計畫,所以該技術與傳統網路是相容的,包括那些採用“強制主頁(captive portal)”的傳統網路。希望部署全功能身份驗證和設備配置解決方案的網路運營商,應該考慮諸如Wi-Fi CERTIFIED Passpoint®這類方法。

漏洞報告

安全開發

Video

Frequently Asked Questions

What are “legacy protocols”?

Other legacy protocols are earlier generations of Wi-Fi security, which have been updated or replaced over time due to the changing security landscape needs. The original security standard was Wired Equivalent Privacy (WEP). It was replaced by the original Wi-Fi Protected Access (WPA) in 2003 as an interim solution to the limited protection offered by WEP. The WPA program added support for Temporal Key Integrity Protocol (TKIP) encryption, an older form of security technology with some vulnerability to cryptographic attacks. WPA was replaced in 2004 with more advanced protocols of WPA2.

Though the threat of a security compromise is small, users should not purchase new equipment which supports only WPA with TKIP. Only devices supporting WPA3 security should be purchased and used.

Wi-Fi Alliance Member Publications