Wi-Fi 7 和安全：您需要知道的方面

在我们的Wi-Fi 7博客系列的第六部分中，我们将讨论一个似乎在Wi-Fi 7对话中出现很多但与IEEE标准的802.11be修订没有直接关系的主题，这就是安全性。 

为了帮助人们了解 Wi-Fi 7 带来的一些关键增强功能，以及 Wi-Fi® 安全的一些方面，RUCKUS Networks 发布了一份关于 Wi-Fi 7 的白皮书。白皮书可在新 RUCKUS Networks 网站上专用于 Wi-Fi 7 的页面上找到。 

具有不同 WPA 类型的 Wi-Fi 安全

虽然在Wi-Fi 7标准中没有直接解决，但安全性始终是人们在任何新标准，特别是Wi-Fi方面应该考虑的问题。使用通用空中接口 （CAI） 在未经许可的频谱中运行，该接口已发布供全世界遵守， 为攻击者提供了许多发现漏洞的机会， 比如 KrACK 和 FragAttacks。在当今世界 人们几乎需要更好地了解在通过 Wi-Fi 发送时如何保护他们的数据包，以防止黑客访问您的抵押贷款等个人数据， 银行账户， 以及其他个人身份信息， 或 PII。

简单地更改默认路由器密码，虽然仍然是要求，但并不是用户唯一需要注意的事情。

虽然 Wi-Fi 7 中没有任何关注 Wi-Fi 安全性的内容，但多链路操作会产生伪影，对设备和 AP 如何保护无线连接产生一些影响。但首先，我们来介绍一些基本知识。 

WPA2 数据加密安全  

WPA2 于 2004 年引入 802.11i，作为 WPA 安全标准 （Wi-Fi Protected Access®） 的“永久”替代，当 WEP 在 2003 年破解时，WPA2 将作为止损措施发布。除新的 6 GHz 频段外，所有 802.11 个 PHY 修正版本 （802.11a/b/g/n/ac/ax/be） 均向后兼容前几代版本。这意味着您拒绝放弃的iPhone 4仍然可以连接到全新的Wi-Fi 7 AP。它可能效果不好（因为很多其他原因），但它仍然有效。仅仅因为我们有WPA3 ，除非网络配置为专门忽略WPA3 以外的任何东西，否则它仍然可以工作。 

即使是运行 802.11b 和 WEP 的 2001 台笔记本电脑，仍然能够在 2,4 GHz 上看到 802.11be 网络，除非管理员在 SSID 上启用了 WEP，否则它将无法连接。但更大的局面是WPA2不仅仅是因为我们有WPA3而被弃用。6 GHz 操作只支持 WPA3，但这是频谱的要求，而不是任何特定的 Wi-Fi 生成。 

WPA3 数据加密安全 

在技术领域服务14后（一生），WPA3于2018年推出，以对无线安全实施方式带来一些急需的改进。虽然这太过分了，但简而言之，它确实有助于防止攻击者在事后蛮力攻击加密握手，通常被称为离线字典攻击。 

WPA3与WPA2具有相同的两个选项，具有相同的两个方法，但名称略有不同。WPA2-Personal，通常称为预共享密钥（PSK）网络，已被替换为WPA3-SAE或平等的同步认证。虽然最终用户不会注意到任何差异（他们仍然在设备上输入密码来保护他们的Wi-Fi连接），但后端有一些重大变化，修复了一些我们无法进入的WPA2-Personal安全问题（尽管您可以在我们的无线安全与密码博客中阅读更多相关信息）。

WPA3-Enterprise与WPA2-Enterprise非常相似，WPA2-Enterprise是当今大多数企业网络上看到的安全类型。仍然存在多种 EAP 类型（可扩展验证协议），首选传输层安全性（或 EAP-TLS）。WPA3-Enterprise 增加了额外的强制性加密强度增加，并强制要求标准使用 802.11w（受保护的管理框架），而之前的规范可选使用 802.11w。

网络可以用所谓的“过渡安全态势”进行配置，该态势将同时接受同一 SSID 上的 WPA2 和 WPA3 设备（这将是 5 GHz SSID，因为不允许在 6 GHz 中配置 WPA2），以保持旧设备的向后兼容性；但与所有设备一样，这存在风险。虽然较新的设备向后兼容较旧的标准，但较旧的设备可能会看到新 SSID 中的过渡标志，并且不知道如何处理，只是无法连接。  

这意味着，虽然我们希望能够为所有客户端设备提供非常简单和直接的服务，但这些日子可能会受到限制。解决方法是制作特定于频段和安全的 SSID，以扩展网络的负载和安全立场。 

WPA3 的引入是否意味着 WPA2 现在和 WEP 一样糟糕（互联网使用、密码等）？

相反！当WPA宣布时，WEP（有线等效隐私）真正被打破，而WPA3是WPA2的升级。正确配置的WPA2容易受到离线字典攻击，但破解密码所需的时间是几十年而不是几小时。

正确配置意味着使用至少 16 个字符的密码，不与其他任何人共享，并使用高级加密标准 （AES） 加密。WPA2-Enterprise 与 WPA3-Enterprise 非常接近，只需启用 802.11w 即可在“大多数”情况下让您非常接近 WPA3-Enterprise。WPA3仍然是我们想要到达的地方，但WPA2，加上一些额外的预防措施，仍然是一种值得尊敬的方法来保护您的无线网络。

使用 6 GHz 的 WPA3 作为设计指南

由于我们在检查使用当今Wi-Fi网络的客户端设备（Android与iOS，旧设备与新设备，移动设备与固定设备）时看到了许多变量，许多人认为在任一模式下使用WPA3（使用可扩展身份验证协议或EAP的企业，以及SAE，平等的同步身份验证）或OWE作为这种新频谱的障碍，但有另一种方式可以考虑这一点。我们不应该试图绕过这些新的安全协议，而是应该真正接受它们。

对于我们关心的设备（并且是新设备），我们会为它们分配一个带有 WPA3 的 6 GHz SSID。像BYOD这样的设备或我们可能不那么担心的其他设备将保持在5 GHz WPA2 Personal（PSK或DPSK）；我们可以为那些我们真正关心的设备添加第二个SSID WPA3-Enterprise，但对于新的6Ghz频段来说还不够新。最后，这对于物联网和其他被归类为“最佳努力”的设备留下了2,4 GHz，而没有对完美服务的要求或期望。顺便说一句，通过以这种方式分离设备，我们正在对设备进行分类，并为每个设备提供“最好的”安全性，如果您引用我们以前的博客之一，这是一个最佳实践。有关分离物联网设备的更多最佳实践，请务必查看我们的物联网设备安全博客。

多链路操作和安全 

正如承诺的那样，这个新的Wi-Fi 7功能有一个安全角度。多链路操作 （MLO， 您可以在我们之前的 Wi-Fi 7 上阅读更多相关信息， MLO博客）是设备内的多个无线电将同时与另一台设备通话的想法， 但在不同的无线电频段上 身份问题需要解决， 它是关于确保来自同一设备的第 2 层帧具有相同的 MAC 地址，以便接收端可以确认接收到的帧来自同一设备， 并且不要混淆不同设备的帧。 

Wi-Fi 7 和 MLO 与安全有什么关系？

有了 MLO，Wi-Fi 7 设备中的三个无线电中引入了一个“更高级别的”MAC 地址。此单个高级 MAC 地址用于加密密钥；设备只需要构建一组密钥，而不是使用三个密钥（每个可能的无线电频段一个密钥）。该地址被称为 MAC-SAP 端点或 MLD（多链路设备）地址，位于实际无线电收发器上方。

此单密钥意味着当客户端设备在选择 MLO 链路期间切换频段时，不需要创建新的加密密钥。由于 VR/AR/电子竞技的延迟要求较低，在传输的 RF 端保存的任何微秒对于实现这些应用程序所针对的延迟数量至关重要。 

虽然不是安全领域的开创性发展，但MLO确实指出了一些未来发展，这些发展可能会影响网络和客户端设备在所有无线通信中如何相互看到。当我们开始考虑Wi-Fi和蜂窝之间的融合无线电接入时，共享每个无线连接的单个MAC地址具有一些优势，以及设备如何在两者之间切换，这取决于各种因素。 

现在没有任何这样的开发，但是，就像MLO允许设备在传输时选择最佳操作信道一样，这表明我们的客户设备开始与我们的无线基础设施更好地合作，只有好东西才能从中得到。 

RUCKUS 网络怎么样？ 

您可以通过访问 RUCKUS Networks 网站上的 Wi-Fi 7 网页，了解有关 Wi-Fi 7 的更多信息。此页面将是任何想要了解Wi-Fi 7最新信息的人的首选资源，因为我们更接近IEEE的修正案批准和Wi-Fi联盟的Wi-Fi 7认证公告。要继续阅读本博客系列的其余部分，请返回 Wi-Fi 7 页面查看未来链接或我们的博客部分。

读者还可以访问以下网站，了解有关 RUCKUS Networks 产品和解决方案的更多信息：RUCKUS 网络产品和 RUCKUS 网络解决方案。要详细了解 RUCKUS 如何帮助您的组织实现网络技术的最新发展，请向我们发送备注，专家可以联系您，以帮助您使用 Wi-Fi 7 或任何 RUCKUS Networks 产品。