跳至主要内容

TL;DR / Key Takeaways

  • WPA2 and WPA3-Enterprise offer the highest level of WiFi security, utilizing 802.1X authentication to secure connections.
  • Instead of a single pre-shared key (PSK), each user or device authenticates uniquely, preventing lateral movement and shared-password leaks.
  • Provides centralized visibility and immediate revocation of access when employees leave or devices are compromised.
  • Integrates natively with Identity Providers (IdP) like Microsoft Entra ID, Okta, and Google Workspace for seamless onboarding.

个人版 vs. 企业版 - 选择合适的模式

WPA 标准有两种模式。WPA-Personal (WPA2-PSK, WPA3-SAE) 使用一个共享密码,供所有加入该 SSID 的人使用。这对于家庭来说足够了。WPA-Enterprise 则通过 802.1X 针对 RADIUS 服务器对每个用户或设备进行单独认证。对于任何重视撤销、审计或合规性的场所,这都是必需的。

WPA-个人 (PSK / SAE)WPA-企业 (802.1X)
凭据共享密码单用户证书、密码或 iPSK
基础设施仅需接入点接入点 + RADIUS 服务器(或 RADIUS-as-a-Service)
撤销更换整个网络的密码在 IdP 中禁用单个用户
审计追踪无 - 所有设备看起来完全相同单用户会话日志
适用场景家庭、微型单一信任场所办公室、酒店、校园、体育场馆以及任何受监管的场所

WPA3-Enterprise 对比 WPA2-Enterprise

WPA3 不仅仅是 WPA2 的升级版。对于企业部署而言,有四个关键变化至关重要。

强制服务器证书验证

客户端在发送凭据之前必须验证 RADIUS 服务器的证书。这消除了困扰配置不当的 WPA2-Enterprise 部署的“邪恶孪生”(evil-twin)攻击。

受保护的管理帧 (PMF)

去认证和去关联帧均经过加密签名,因此攻击者无法再通过伪造的帧将客户端强制踢出网络。

192 位 Suite B 模式

适用于政府、国防和关键基础设施的可选高安全模式。全程采用 Suite B 加密 - 包括密钥交换、加密和 MAC。

向下兼容性

WPA3-Enterprise 可以在与 WPA2 相同的 SSID 上以过渡模式运行,因此您无需进行硬性切换。较新的客户端会协商使用 WPA3;较旧的客户端则回退到 WPA2-Enterprise。

802.1X 认证流程

三个角色,一次握手。无论您使用 EAP-TLS、PEAP 还是 EAP-TTLS,其步骤顺序都是相同的。

  1. 申请者(客户端笔记本电脑、手机、物联网设备)尝试进行关联。
  2. 认证器(接入点)将客户端保持在 802.1X 非受控端口中,仅转发 EAP 帧。
  3. 客户端(supplicant)提供其凭据 - 证书 (EAP-TLS)、用户名 + 密码 (PEAP) 或 iPSK。
  4. 认证服务器 (RADIUS) 针对身份提供商验证该凭据。
  5. RADIUS 返回 Access-Accept 并附带 VLAN 和策略;AP 向正确的网段开放受控端口。
  6. 会话密钥派生自 802.1X 握手 - 对该设备、该会话是唯一的。

Purple 如何部署 WPA-Enterprise

Purple 将 RADIUS 和(可选的)证书颁发机构作为云服务运行。您无需更换现有的接入点。

  • 第 0 天:连接您的 IdP(Entra ID、Okta、Google Workspace)。选择 EAP 方法 - 托管设备使用 EAP-TLS,过渡部署使用 PEAP,BYOD 使用 iPSK。
  • 第 1 天:将接入点的 RADIUS 设置指向 Purple。将 SSID 配置为 WPA2 或 WPA3-Enterprise。通过 MDM 推送配置式。
  • 日常运维:通过 SCIM 自动配置和注销用户 - 无需手动轮换 WiFi 密码。证书自动更新。SIEM 通过 webhook 接收完整的认证日志。

Purple 产品覆盖范围

  • 员工 WiFi:针对托管笔记本电脑使用带有 EAP-TLS 的 WPA2/3-Enterprise,针对老旧设备使用 PEAP。
  • 多租户 WiFi:在单个 SSID 上使用 iPSK,每个租户在专用局域网(Private Area Network)中隔离。
  • 访客 WiFi:在公共 SSID 上使用 OpenRoaming/Passpoint,并在合适的情况下将 WPA3-Enhanced Open 作为备用方案。
  • 无密码 WiFi:涵盖 EAP-TLS、iPSK、Passpoint 和 SAML 的更广泛中心。
  • RADIUS-as-a-Service:对每个接入请求进行认证的云端 RADIUS 引擎。

常见问题

什么是 WPA-Enterprise?

WPA-Enterprise 是专为组织设计的 IEEE 802.11 安全模式。与使用单个共享密码(WPA-Personal)不同,每个用户或设备都通过 802.1X 针对 RADIUS 服务器进行单独认证,通常使用证书 (EAP-TLS) 或用户名和密码 (PEAP)。每个会话都会获得一个唯一的加密密钥,并且可以在不中断网络其他部分的情况下按设备撤销访问权限。

WPA2-Enterprise 和 WPA3-Enterprise 有什么区别?

WPA3-Enterprise 修复了 WPA2-Enterprise 中已知的漏洞。最重要的变化包括:服务器证书验证现在是强制性的(封堵了困扰 WPA2 的“邪恶双胞胎”攻击媒介)、管理帧受到保护,以及可选的 192 位 Suite B 模式提供了国防级的密码学保护。WPA3-Enterprise 在过渡模式下向后兼容 WPA2-Enterprise,因此您可以逐步升级。

802.1X 认证是如何工作的?

这涉及三个主体。客户端(supplicant)请求加入。认证器(接入点)将客户端保持在隔离状态,并将其 EAP 消息转发给认证服务器 (RADIUS)。RADIUS 服务器验证凭据(证书、密码或令牌),并通知接入点允许或拒绝接入。每次成功的会话都会获得一个派生自该认证的唯一加密密钥,因此一台受损的设备无法解密另一台设备的数据。

什么是 EAP-TLS,为什么它是黄金标准?

EAP-TLS 使用带有双向证书认证的 TLS 握手。客户端使用设备证书证明其身份,服务器使用服务器证书证明其身份,并且会话密钥在加密隧道内进行协商。没有可以被钓鱼或窃取的密码 - 您必须从设备本身提取私钥。对于使用 MDM 的托管设备,EAP-TLS 是正确的默认选择。

我可以在现有的接入点上部署 WPA3-Enterprise 吗?

2020 年以后发布的大多数企业级接入点都在固件中支持 WPA3-Enterprise。您通常在 SSID 上启用 WPA3-Enterprise,并在过渡期间保留 WPA2 作为备用。较旧的 AP 可能仅支持 WPA2-Enterprise - 当与云端 RADIUS 和 EAP-TLS 配合使用时,这些 AP 仍然是安全的,因此很少需要进行全面更换升级。

我需要运行 RADIUS 服务器才能使用 WPA-Enterprise 吗?

是的 - WPA-Enterprise 是围绕外部认证服务器定义的,在实际应用中即指 RADIUS。您可以在本地运行它(FreeRADIUS、Microsoft NPS、Cisco ISE),也可以将其作为服务使用。Purple RADIUS-as-a-Service 是大多数不想运营服务器的客户选择的云托管方案。

部署 WPA2-Enterprise 仍然安全吗?

是的,只要部署得当。针对 WPA2-Enterprise 的已知攻击要么需要客户端配置错误(没有进行服务器证书验证,而这正是 WPA3 强制要求的),要么需要对设备进行物理接触。通过 MDM 强制执行服务器证书验证并使用 EAP-TLS 可以消除实际风险。虽然未来仍首选 WPA3-Enterprise,但没有必要恐慌性地迁移正在正常工作的 WPA2-Enterprise 部署。

如何处理不支持 802.1X 的设备?

有两个不错的选择。第一,iPSK (Identity PSK) 在单个 SSID 上为每个设备提供唯一的预共享密钥 - 具有 WPA-Personal 的用户体验,以及 WPA-Enterprise 的按设备撤销功能。第二,MAC 认证绕过 (MAB) 允许已知的正常 MAC 地址接入受限的 VLAN。Purple 在同一网络上支持这两者以及 WPA2/3-Enterprise。

我可以在不运行自己的 RADIUS 服务器的情况下部署 WPA2-Enterprise 吗?

是的,您无需运行自己的 RADIUS 服务器。从定义上讲,WPA2-Enterprise 需要 RADIUS 身份验证服务器,但通过 Purple RADIUS-as-a-Service,该服务器托管在云端:您只需将接入点指向 Purple,而无需部署 FreeRADIUS、Microsoft NPS 或 Cisco ISE。您仍然可以针对 Entra ID、Okta 或 Google Workspace 运行基于 EAP-TLS 或 PEAP 的完整 802.1X 认证,且无需安装、修补或维护任何本地身份验证硬件的高可用性。

Last reviewed:

See how wpa-enterprise works in venues like yours, and how Purple compares to alternatives.