强制服务器证书验证
客户端在发送凭据之前必须验证 RADIUS 服务器的证书。这消除了困扰配置不当的 WPA2-Enterprise 部署的“邪恶孪生”(evil-twin)攻击。
在您现有的接入点上部署支持 802.1X 的 WPA2-Enterprise 或 WPA3-Enterprise。每位用户都通过您的身份提供商进行身份验证,每台设备都获得唯一的会话密钥,并且只需一键即可按设备撤销访问权限。Purple 将 RADIUS 和证书基础设施作为云服务运行 - 您只需保留已有的硬件。
WPA 标准有两种模式。WPA-Personal (WPA2-PSK, WPA3-SAE) 使用一个共享密码,供所有加入该 SSID 的人使用。这对于家庭来说足够了。WPA-Enterprise 则通过 802.1X 针对 RADIUS 服务器对每个用户或设备进行单独认证。对于任何重视撤销、审计或合规性的场所,这都是必需的。
| WPA-个人 (PSK / SAE) | WPA-企业 (802.1X) | |
|---|---|---|
| 凭据 | 共享密码 | 单用户证书、密码或 iPSK |
| 基础设施 | 仅需接入点 | 接入点 + RADIUS 服务器(或 RADIUS-as-a-Service) |
| 撤销 | 更换整个网络的密码 | 在 IdP 中禁用单个用户 |
| 审计追踪 | 无 - 所有设备看起来完全相同 | 单用户会话日志 |
| 适用场景 | 家庭、微型单一信任场所 | 办公室、酒店、校园、体育场馆以及任何受监管的场所 |
WPA3 不仅仅是 WPA2 的升级版。对于企业部署而言,有四个关键变化至关重要。
客户端在发送凭据之前必须验证 RADIUS 服务器的证书。这消除了困扰配置不当的 WPA2-Enterprise 部署的“邪恶孪生”(evil-twin)攻击。
去认证和去关联帧均经过加密签名,因此攻击者无法再通过伪造的帧将客户端强制踢出网络。
适用于政府、国防和关键基础设施的可选高安全模式。全程采用 Suite B 加密 - 包括密钥交换、加密和 MAC。
WPA3-Enterprise 可以在与 WPA2 相同的 SSID 上以过渡模式运行,因此您无需进行硬性切换。较新的客户端会协商使用 WPA3;较旧的客户端则回退到 WPA2-Enterprise。
三个角色,一次握手。无论您使用 EAP-TLS、PEAP 还是 EAP-TTLS,其步骤顺序都是相同的。
Access-Accept 并附带 VLAN 和策略;AP 向正确的网段开放受控端口。Purple 将 RADIUS 和(可选的)证书颁发机构作为云服务运行。您无需更换现有的接入点。
WPA-Enterprise 是专为组织设计的 IEEE 802.11 安全模式。与使用单个共享密码(WPA-Personal)不同,每个用户或设备都通过 802.1X 针对 RADIUS 服务器进行单独认证,通常使用证书 (EAP-TLS) 或用户名和密码 (PEAP)。每个会话都会获得一个唯一的加密密钥,并且可以在不中断网络其他部分的情况下按设备撤销访问权限。
WPA3-Enterprise 修复了 WPA2-Enterprise 中已知的漏洞。最重要的变化包括:服务器证书验证现在是强制性的(封堵了困扰 WPA2 的“邪恶双胞胎”攻击媒介)、管理帧受到保护,以及可选的 192 位 Suite B 模式提供了国防级的密码学保护。WPA3-Enterprise 在过渡模式下向后兼容 WPA2-Enterprise,因此您可以逐步升级。
这涉及三个主体。客户端(supplicant)请求加入。认证器(接入点)将客户端保持在隔离状态,并将其 EAP 消息转发给认证服务器 (RADIUS)。RADIUS 服务器验证凭据(证书、密码或令牌),并通知接入点允许或拒绝接入。每次成功的会话都会获得一个派生自该认证的唯一加密密钥,因此一台受损的设备无法解密另一台设备的数据。
EAP-TLS 使用带有双向证书认证的 TLS 握手。客户端使用设备证书证明其身份,服务器使用服务器证书证明其身份,并且会话密钥在加密隧道内进行协商。没有可以被钓鱼或窃取的密码 - 您必须从设备本身提取私钥。对于使用 MDM 的托管设备,EAP-TLS 是正确的默认选择。
2020 年以后发布的大多数企业级接入点都在固件中支持 WPA3-Enterprise。您通常在 SSID 上启用 WPA3-Enterprise,并在过渡期间保留 WPA2 作为备用。较旧的 AP 可能仅支持 WPA2-Enterprise - 当与云端 RADIUS 和 EAP-TLS 配合使用时,这些 AP 仍然是安全的,因此很少需要进行全面更换升级。
是的 - WPA-Enterprise 是围绕外部认证服务器定义的,在实际应用中即指 RADIUS。您可以在本地运行它(FreeRADIUS、Microsoft NPS、Cisco ISE),也可以将其作为服务使用。Purple RADIUS-as-a-Service 是大多数不想运营服务器的客户选择的云托管方案。
是的,只要部署得当。针对 WPA2-Enterprise 的已知攻击要么需要客户端配置错误(没有进行服务器证书验证,而这正是 WPA3 强制要求的),要么需要对设备进行物理接触。通过 MDM 强制执行服务器证书验证并使用 EAP-TLS 可以消除实际风险。虽然未来仍首选 WPA3-Enterprise,但没有必要恐慌性地迁移正在正常工作的 WPA2-Enterprise 部署。
有两个不错的选择。第一,iPSK (Identity PSK) 在单个 SSID 上为每个设备提供唯一的预共享密钥 - 具有 WPA-Personal 的用户体验,以及 WPA-Enterprise 的按设备撤销功能。第二,MAC 认证绕过 (MAB) 允许已知的正常 MAC 地址接入受限的 VLAN。Purple 在同一网络上支持这两者以及 WPA2/3-Enterprise。
是的,您无需运行自己的 RADIUS 服务器。从定义上讲,WPA2-Enterprise 需要 RADIUS 身份验证服务器,但通过 Purple RADIUS-as-a-Service,该服务器托管在云端:您只需将接入点指向 Purple,而无需部署 FreeRADIUS、Microsoft NPS 或 Cisco ISE。您仍然可以针对 Entra ID、Okta 或 Google Workspace 运行基于 EAP-TLS 或 PEAP 的完整 802.1X 认证,且无需安装、修补或维护任何本地身份验证硬件的高可用性。
Last reviewed:
See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.