无线网络安全配置指南:WPA、WPA2、WPA3及WAPI详解
对于做 Wi-Fi 的朋友,大家可能天天都需要配置各种加密和模式,但是有时候可能会一时忘记如何配置,基于日常的工作经验,总结了一篇文档:《无线网络安全配置指南:WPA、WPA2、WPA3及WAPI详解》,具体文档链接为(推荐直接看PDF,因为文档里面会更加详细点):https://download.csdn.net/download/weixin_47877869/90396118,其中涵盖WPA3-Personal、WPA2/WPA3混合模式、WPA/WPA2-PSK、WPS以及WAPI等场景,并提供关键参数说明。
1. WPA3-Personal 模式
1.1 纯WPA3模式(SAE)
适用场景:仅支持WPA3的设备,提供最高安全性(SAE抗离线字典攻击)。
关键配置:
wpa=2 # 加密方式为WPA3-SAE
sae_password=1234567890
wpa_key_mgmt=SAE # 密钥管理协议为SAE
wpa_pairwise=CCMP # 加密算法为AES-CCMP
ieee80211w=2 # 强制启用管理帧保护
auth_algs=3 # 认证算法(参考802.11ax文档)WiFi信标分析:
-
组播加密:AES-CCMP
-
单播加密:AES-CCMP
-
认证套件:SAE (SHA256)
1.2 过渡模式(兼容WPA2)
适用场景:同时支持WPA3和WPA2的混合网络,兼容旧设备。
关键配置:
wpa=2 # 加密方式为WPA2-PSK + SAE
wpa_passphrase=1234567890
wpa_key_mgmt=WPA-PSK SAE # 同时启用PSK和SAE
rsn_pairwise=CCMP
ieee80211w=1 # 可选启用管理帧保护WiFi信标分析:
-
认证套件:PSK(WPA2) + SAE(WPA3)
-
加密算法:AES-CCMP
2. WPA/WPA2-Personal 混合模式
适用场景:同时支持WPA和WPA2的传统网络(不推荐,存在TKIP漏洞风险)。
关键配置:
wpa=3 # 启用WPA和WPA2
wpa_passphrase=1234567890
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP TKIP # 支持TKIP(兼容旧设备)和CCMP注意事项:
-
TKIP协议已不推荐使用,建议仅保留CCMP以提高安全性。
3. WPS 快速连接配置
3.1 站点模式(连接WPS AP)
# 启动WPS协商
wpa_cli -i wlan0 wps_pbc # 使用PBC按钮方式
wpa_cli -i wlan0 wps_pin any # 使用PIN码方式(需在AP输入PIN)3.2 AP模式(开启WPS功能)
# 配置文件示例(wps_hostapd.conf)
driver=nl80211
ssid=test
wpa=2
wpa_key_mgmt=WPA-PSK
wpa_passphrase=12345678
wps_state=2 # 启用WPS
config_methods=label virtual_display keypad操作命令:
hostapd_cli -i wlan0 wps_pbc # 触发WPS配对4. WAPI 国密加密配置
4.1 HEX/ASCII模式
配置文件示例:
network={
ssid="WAPI-PSK-HEX"
proto=WAPI
key_mgmt=WAPI-PSK
pairwise=SMS4 # 国密SMS4加密
group=SMS4
wapi_key_type=1 # 1为HEX,0为ASCII
wapi_psk="123456789"
}4.2 证书模式(WAPI-CERT)
network={
ssid="WAPI-CERT"
key_mgmt=WAPI-CERT
as_cert_file="/data/as.cer" # 证书路径
user_cert_file="/data/ASUE.cer"
}5. 总结与建议
-
优先选择WPA3-SAE:提供最高安全性,避免离线字典攻击。
-
过渡模式需谨慎:仅在必须兼容旧设备时使用,逐步淘汰WPA2。
-
禁用TKIP:WPA/WPA2混合模式中应关闭TKIP,仅保留CCMP。
-
WPS风险提示:WPS存在暴力破解风险,建议仅在可信环境中临时启用。
-
国密加密场景:WAPI适用于对国产加密算法有要求的场景,需确保设备支持。