在數(shù)字化時(shí)代，WiFi無(wú)線通信已經(jīng)是人們?nèi)粘Ｉ詈凸ぷ髦胁豢苫蛉钡膬?nèi)容。隨著互聯(lián)網(wǎng)的興起，各種網(wǎng)絡(luò)安全威脅隨著網(wǎng)絡(luò)的發(fā)展不斷出現(xiàn)。網(wǎng)絡(luò)面臨著不同動(dòng)機(jī)的威脅，隨之而來(lái)，我們也面臨著不同類(lèi)型的攻擊，數(shù)據(jù)篡改、網(wǎng)絡(luò)蠕蟲(chóng)、惡意代碼、中間人攻擊等。如何保障WiFi通信過(guò)程數(shù)據(jù)的機(jī)密性、完整性和真實(shí)性，使用滿足要求的加密手段是最直接、最有效的保障數(shù)據(jù)安全的一種方式。本文將從各WiFi版本在安全通信協(xié)議、數(shù)據(jù)完整性與機(jī)密性保障上的演進(jìn)。

WEP (Wired Equivalent Privacy) - 有線等效加密

對(duì)應(yīng)標(biāo)準(zhǔn)：802.11 (1997), 802.11b, 802.11a, 802.11g

安全通信協(xié)議算法：使用RC4流密碼算法和靜態(tài)密鑰（預(yù)共享密鑰，PSK）。

機(jī)密性保障：加密密鑰長(zhǎng)度最初為64位（40位密鑰+24位初始化向量IV），后來(lái)增加到128位（104位密鑰+24位IV）。

數(shù)據(jù)完整性校驗(yàn)：該算法完整性校驗(yàn)較弱，用于檢查數(shù)據(jù)包是否被篡改的校驗(yàn)機(jī)制（CRC-32）也是線性的，攻擊者可以同時(shí)修改數(shù)據(jù)和校驗(yàn)值而不會(huì)被發(fā)現(xiàn)。

主要漏洞與缺陷：靜態(tài)密鑰：所有用戶共享同一個(gè)密鑰，且難以更改。一旦有用戶離開(kāi)，必須通知所有人更換密鑰，否則安全不保。

初始化向量（IV）太短且明文傳輸： 24位的IV會(huì)在短時(shí)間內(nèi)重復(fù)使用，攻擊者收集足夠多的數(shù)據(jù)包后，可以利用統(tǒng)計(jì)分析方法破解出密鑰。 

WPA (Wi-Fi Protected Access) - Wi-Fi保護(hù)訪問(wèn)

對(duì)應(yīng)標(biāo)準(zhǔn)：802.11g (后期), 802.11n (早期)

安全通信協(xié)議算法：TKIP和RC4算法。

機(jī)密性保障：動(dòng)態(tài)生成新的128位密鑰每個(gè)數(shù)據(jù)包，解決了WEP靜態(tài)密鑰的問(wèn)題。

完整性保障：增加了消息完整性檢查（MIC），以防止數(shù)據(jù)篡改。

主要問(wèn)題：用于檢查數(shù)據(jù)包是否被篡改的校驗(yàn)機(jī)制（CRC-32）也是線性的，攻擊者可以同時(shí)修改數(shù)據(jù)和校驗(yàn)值而不會(huì)被發(fā)現(xiàn)。

由于其底層仍然基于RC4，一些與RC4和TKIP實(shí)現(xiàn)相關(guān)的攻擊方法（如Chop-Chop攻擊）被后續(xù)研究發(fā)現(xiàn)，安全性最終被證明不足。

WPA2 (Wi-Fi Protected Access 2) - 第二代Wi-Fi保護(hù)訪問(wèn)

對(duì)應(yīng)標(biāo)準(zhǔn)：802.11n, 802.11ac, 802.11ax (Wi-Fi 4/5/6)

核心改進(jìn)：徹底拋棄了不安全的RC4算法，采用了更強(qiáng)大、更安全的AES (Advanced Encryption Standard)塊密碼算法并且要求2006年（之后所有認(rèn)證的Wi-Fi設(shè)備必須支持）

機(jī)密性保障：以嚴(yán)謹(jǐn)?shù)臄?shù)學(xué)證明的方式實(shí)現(xiàn)的分組加密算法，并且將加密過(guò)程公開(kāi)，以密鑰安全為核心的機(jī)密性保護(hù)提供安全性保障。

完整性保護(hù)： CCMP模式提供認(rèn)證（完整性），從根本上解決了WEP和WPA的缺陷。

出現(xiàn)問(wèn)題：已知漏洞（KRACK攻擊）：2017年發(fā)現(xiàn)的KRACK（Key Reinstallation Attacks）攻擊針對(duì)的是WPA2的四次握手過(guò)程，而非AES算法本身；該攻擊允許攻擊者在路由器和設(shè)備之間竊聽(tīng)數(shù)據(jù)，但無(wú)法直接破解Wi-Fi密碼；此漏洞可以通過(guò)設(shè)備端的軟件/固件更新來(lái)修補(bǔ)。更新后的設(shè)備即可免疫此攻擊。

WPA3 (Wi-Fi Protected Access 3) - 第三代Wi-Fi保護(hù)訪問(wèn)

對(duì)應(yīng)標(biāo)準(zhǔn)：Wi-Fi 6 (802.11ax) 及之后標(biāo)準(zhǔn)的主流配置

核心改進(jìn)與新特性：

對(duì)暴力破解免疫：SAE (Simultaneous Authentication of Equals)： 取代了WPA2的四次握手。即使你的密碼很簡(jiǎn)單，攻擊者也無(wú)法通過(guò)離線字典攻擊來(lái)破解。他們必須與網(wǎng)絡(luò)進(jìn)行每次交互，而這個(gè)過(guò)程速率受限且極其緩慢，使得暴力破解變得不切實(shí)際。

抗重放攻擊：即使攻擊者今天捕獲了你的加密數(shù)據(jù)流，并且明天破解了你的Wi-Fi密碼，他們也無(wú)法解密今天捕獲的舊數(shù)據(jù)。每次會(huì)話的加密密鑰都是獨(dú)立的。

更簡(jiǎn)便的安全連接：對(duì)于沒(méi)有屏幕的設(shè)備（如IoT智能家居設(shè)備），可以通過(guò)掃描二維碼、NFC等方式輕松安全地連接，稱為Wi-Fi Easy Connect。

增強(qiáng)的企業(yè)級(jí)安全：提供等同于192位加密強(qiáng)度的安全套件（WPA3-Enterprise），滿足政府、金融等高安全需求場(chǎng)景。

以EN18031標(biāo)準(zhǔn)的法案向WiFi 無(wú)線通信機(jī)制中的加密算法提供了明確的規(guī)范和要求，通過(guò)采用 WPA3 等先進(jìn)的加密協(xié)議、強(qiáng)制 HTTPS 加密傳輸、加密存儲(chǔ)用戶數(shù)據(jù)等措施，有效提升了 WiFi 通信的安全性。隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和安全威脅的日益復(fù)雜，未來(lái)的加密算法將朝著更加安全、高效、適應(yīng)性強(qiáng)的方向發(fā)展。例如，后量子密碼（PQC）技術(shù)有望在未來(lái)得到廣泛應(yīng)用，以應(yīng)對(duì)量子計(jì)算機(jī)可能帶來(lái)的加密破解威脅。同時(shí)，加密算法在物聯(lián)網(wǎng)設(shè)備、工業(yè)互聯(lián)網(wǎng)等新興領(lǐng)域的應(yīng)用也將不斷拓展和深化，為構(gòu)建更加安全可靠的網(wǎng)絡(luò)環(huán)境提供有力支持。