深入解析 WPA3-Personal Mode

隨著無線網路技術的演進，Wi-Fi 安全性也面臨前所未有的挑戰。

WPA2 雖然長期以來是主流加密標準，但其已逐漸無法抵禦現代攻擊手法。

為此，Wi-Fi Alliance 推出了新一代安全協定 —— WPA3 (Wi-Fi Protected Access 3)，其中的 WPA3-Personal Mode 是針對一般家庭與小型辦公室環境設計的安全模式，提供更強大的保護機制。

在深入解析WPA3-Personal Mode之前，我們先瞭解幾個Authentication and Key Management(AKM)類型。

AKM是Wi-Fi安全中認證和金鑰的管理協議。下表列出幾個常用的AKM suite selectors.

我們接下來將介紹以下三個Wi-Fi Alliance定義的WPA3-Personal模式

1. WPA3-Personal Only Mode
2. WPA3-Personal Transition Mode
3. WPA3-Personal Compatibility Mode

WPA3-Personal Only Mode

僅允許使用 SAE 驗證，所有連線設備必須支援 WPA3。下面依據WFA WPA3 Specification V3.4規定整理。

• AKM:8和AKM:24兩個至少應該有一個
• 如果使用AKM:24則AKM:8也應該使用
• AKM:2, AKM:4, AKM:6, AKM:19和AKM:20不應該使用
• PMF需將MFPC設為1，MFPR也需設為1
• 如果是Wi-Fi 7或MLO則應該使用AKM:24
• 如果是Wi-Fi 7或MLO則Unicast cipher需使用GCMP-256

2.4 GHz Beacon frame example

WPA3-Personal Transition Mode

同時支援 WPA3 (SAE) 與 WPA2 (PSK)，依設備能力選擇加密方式。下面依據WFA WPA3 Specification V3.4規定整理。

• AKM:2和AKM8則應該使用
• AKM:6和AKM24為選用
• PMF需將MFPC設為1，MFPR需設為0
• 如果是Wi-Fi 7或MLO則應該使用AKM:24
• 如果是Wi-Fi 7或MLO則Unicast cipher需使用GCMP-256

• 6 GHz band 不支援此模式

   

2.4 GHz Beacon frame example

WPA3-Personal Compatibility Mode

由於一些只支援WPA2的舊設備針對多個AKM和加密密碼有相容性的問題，所以有了這個模式來解決問題。下面依據WFA WPA3 Specification V3.4規定整理。

• 2.4 GHz和5 GHz則應該在RSNE使用AKM:2。6 GHz應該在RSNE使用AKM:8
• 2.4 GHz和5 GHz則應該在RSNE O 1使用AKM:8。 6GHz不應該有RSNE O 1
• 如果是Wi-Fi 7或MLO則應該在RSNE O 2使用AKM:24
• 如果是Wi-Fi 7或MLO則應該使用AKM:24

• 如果是Wi-Fi 7或MLO則Unicast cipher需使用GCMP-256

   

2.4 GHz Beacon frame example

6 GHz Beacon frame example

Q1: 新的規定何時開始採用認證?

A: 根據規定2026年12月開始採用October 2024 revision，也就是WPA3 V3.4版本

Q2: 我的環境還有一些支援WPA2的設備，建議如何選擇加密模式?

A: 優先選擇WPA3-Personal Compatibility Mode，其次為WPA3-Personal Transition Mode

Q3: WPA3-Personal模式共有幾個?

A: 共有5個，除了上述3個之外還有WPA3-Personal SAE-PK Only Mode和WPA3-Personal SAE-PK Transition Mode

Q4: 如果我的WPA3設備不支援WPA3-Personal Compatibility Mode時會如何?

A: 由於無法解析RSN Override，設備也許會用WPA2做連線

Q5: 上述好像沒提到group management cipher，請問為何?

A: 由於Hostapd版本目前的問題，暫時無法在Beacon顯示

參考

1. IEEE Std 802.11™-2024
2. WPA3™ Specification Version 3.4