当前位置：首页 > article >正文

无线网络安全配置指南：WPA、WPA2、WPA3及WAPI详解

article 2026/4/14 2:04:34

对于做 Wi-Fi 的朋友，大家可能天天都需要配置各种加密和模式，但是有时候可能会一时忘记如何配置，基于日常的工作经验，总结了一篇文档：《无线网络安全配置指南：WPA、WPA2、WPA3及WAPI详解》，具体文档链接为（推荐直接看PDF，因为文档里面会更加详细点）：https://download.csdn.net/download/weixin_47877869/90396118，其中涵盖WPA3-Personal、WPA2/WPA3混合模式、WPA/WPA2-PSK、WPS以及WAPI等场景，并提供关键参数说明。

1. WPA3-Personal 模式

1.1 纯WPA3模式（SAE）

适用场景：仅支持WPA3的设备，提供最高安全性（SAE抗离线字典攻击）。
关键配置：

wpa=2                  # 加密方式为WPA3-SAE
sae_password=1234567890
wpa_key_mgmt=SAE       # 密钥管理协议为SAE
wpa_pairwise=CCMP      # 加密算法为AES-CCMP
ieee80211w=2           # 强制启用管理帧保护
auth_algs=3            # 认证算法（参考802.11ax文档）

WiFi信标分析：

组播加密：AES-CCMP
单播加密：AES-CCMP
认证套件：SAE (SHA256)

1.2 过渡模式（兼容WPA2）

适用场景：同时支持WPA3和WPA2的混合网络，兼容旧设备。
关键配置：

wpa=2                  # 加密方式为WPA2-PSK + SAE
wpa_passphrase=1234567890
wpa_key_mgmt=WPA-PSK SAE  # 同时启用PSK和SAE
rsn_pairwise=CCMP
ieee80211w=1           # 可选启用管理帧保护

WiFi信标分析：

认证套件：PSK（WPA2） + SAE（WPA3）
加密算法：AES-CCMP

2. WPA/WPA2-Personal 混合模式

适用场景：同时支持WPA和WPA2的传统网络（不推荐，存在TKIP漏洞风险）。
关键配置：

wpa=3                  # 启用WPA和WPA2
wpa_passphrase=1234567890
wpa_key_mgmt=WPA-PSK
wpa_pairwise=CCMP TKIP  # 支持TKIP（兼容旧设备）和CCMP

注意事项：

TKIP协议已不推荐使用，建议仅保留CCMP以提高安全性。

3. WPS 快速连接配置

3.1 站点模式（连接WPS AP）

# 启动WPS协商
wpa_cli -i wlan0 wps_pbc     # 使用PBC按钮方式
wpa_cli -i wlan0 wps_pin any # 使用PIN码方式（需在AP输入PIN）

3.2 AP模式（开启WPS功能）

# 配置文件示例（wps_hostapd.conf）
driver=nl80211
ssid=test
wpa=2
wpa_key_mgmt=WPA-PSK
wpa_passphrase=12345678
wps_state=2                 # 启用WPS
config_methods=label virtual_display keypad

操作命令：

hostapd_cli -i wlan0 wps_pbc    # 触发WPS配对

4. WAPI 国密加密配置

4.1 HEX/ASCII模式

配置文件示例：

network={ssid="WAPI-PSK-HEX"proto=WAPIkey_mgmt=WAPI-PSKpairwise=SMS4            # 国密SMS4加密group=SMS4wapi_key_type=1          # 1为HEX，0为ASCIIwapi_psk="123456789"
}

4.2 证书模式（WAPI-CERT）

network={ssid="WAPI-CERT"key_mgmt=WAPI-CERTas_cert_file="/data/as.cer"    # 证书路径user_cert_file="/data/ASUE.cer"
}

5. 总结与建议

优先选择WPA3-SAE：提供最高安全性，避免离线字典攻击。
过渡模式需谨慎：仅在必须兼容旧设备时使用，逐步淘汰WPA2。
禁用TKIP：WPA/WPA2混合模式中应关闭TKIP，仅保留CCMP。
WPS风险提示：WPS存在暴力破解风险，建议仅在可信环境中临时启用。
国密加密场景：WAPI适用于对国产加密算法有要求的场景，需确保设备支持。