最近，Wi-Fi 联盟公布了 14 年来最大的 Wi-Fi 安全更新。Wi-Fi Protected Access 3（WPA3）安全认证协议为 2004 年推出的 WPA2 协议带来了一些重大更新。WPA3 不只是对 Wi-Fi 安全的全面改造，它专注于引入新技术来解决在 WPA2 中出现的安全问题。

除了 WPA3，Wi-Fi 联盟还宣布了另外两个独立的认证协议。Enhanced Open 协议和 Easy Connect 协议不依赖 WPA3，但确实提高了某些特定类型网络和某些情况的安全性。

网络设备厂商现在就可以将这些协议集成到他们的设备中。这些协议最终将被普遍采用，但 Wi-Fi 联盟尚未设定任何时间表。最有可能的情况是，随着新设备进入市场，我们最终会看到一个转折点，WPA3、Enhanced Open 和 Easy Connect 将成为新的主流协议。

那么，这些新认证协议的作用是什么？这些协议涉及太多细节，大多数细节与无线加密有关，还有很多复杂的数学问题，不过，我们可以了解这些协议将为无线安全带来的四个主要变化。

对等同步认证

这是 WPA3 带来的最大的一个变化。网络防御中最重要的时间点是新设备或用户尝试连接网络的那一时刻。敌人应该被拒之门外，这就是为什么 WPA2 和现在的 WPA3 非常重视对新连接进行认证，并确保它们不是攻击者在试图获取访问权限。

对等同步认证（Simultaneous Authentication of Equals，SAE）是一种认证连接到网络的设备的新方法，是蜻蜓握手的一种变体，使用加密技术来防止窃听者猜测密码，SAE 明确规定了新设备或用户在交换加密密钥时应该如何向网络路由器发起“问候”。

SAE 取代了自 2004 年引入 WPA2 以来一直使用的 Pre-Shared Key（PSK）方法。PSK 也被称为四次握手，在经过路由器和连接设备之间多次来回握手（或发送消息）之后，以此来证明它们都知道之前商定的密码，并且双方都不会将其透露出来。在 2016 年之前，PSK 似乎是很安全的，直到后来发生了 Key Reinstallation Attacks（KRACK）。

KRACK 假装暂时与路由器断开连接，从而中断一系列握手过程。实际上，它利用重复的连接机会来分析握手消息，直到它找到密码组合。SAE 阻止了此类攻击，以及常见的离线字典攻击（计算机穷举数百、数千甚至数百万个密码，以确定哪个密码与 PSK 握手提供的验证信息相匹配）。

顾名思义，SAE 的工作原理是将设备视为对等的，而不是将一方视为显式请求者而另一方为认证者（传统上分别对应于连接设备和路由器）。任何一方都可以发起握手，然后它们继续独立发送他们的认证信息，而不是作为来回交换消息的一部分。如果没有来回交换消息，KRACK 就没有可趁之机，而字典攻击也毫无用处。

SAE 提供了 PSK 所没有的安全特性：正向加密（forward secrecy）。我们假设攻击者可以访问路由器与 Internet 之间发送和接收的加密数据。之前，攻击者可以保存这些数据。然后，如果他们成功获取密码，就可以解密先前保存的数据。而如果使用了 SAE，每次建立连接时都会更改加密密码，因此即使攻击者能够攻入网络，他们最多也只能通过窃取密码来解密在那之后传输的数据。

标准 IEEE 802.11-2016 对 SAE 进行了定义，顺便说一下，它的长度超过 3500 页。