无线网络安全配置指南：WPA、WPA2、WPA3及WAPI详解

对于做 Wi-Fi 的朋友，大家可能天天都需要配置各种加密和模式，但是有时候可能会一时忘记如何配置，基于日常的工作经验，总结了一篇文档：《无线网络安全配置指南：WPA、WPA2、WPA3及WAPI详解》，具体文档链接为（推荐直接看PDF，因为文档里面会更加详细点）： download.csdn.net/download/weixin_47877869/90396118，其中涵盖WPA3-Personal、WPA2/WPA3混合模式、WPA/WPA2-PSK、WPS以及WAPI等场景，并提供关键参数说明。

1. WPA3-Personal 模式 1.1 纯WPA3模式（SAE）

适用场景：仅支持WPA3的设备，提供最高安全性（SAE抗离线字典攻击）。 关键配置：

wpa=2 # 加密方式为WPA3-SAE sae_password=1234567890 wpa_key_mgmt=SAE # 密钥管理协议为SAE wpa_pairwise=CCMP # 加密算法为AES-CCMP ieee80211w=2 # 强制启用管理帧保护 auth_algs=3 # 认证算法（参考802.11ax文档）

WiFi信标分析：

组播加密：AES-CCMP

单播加密：AES-CCMP

认证套件：SAE (SHA256)

---

1.2 过渡模式（兼容WPA2）

适用场景：同时支持WPA3和WPA2的混合网络，兼容旧设备。 关键配置：

wpa=2 # 加密方式为WPA2-PSK + SAE wpa_passphrase=1234567890 wpa_key_mgmt=WPA-PSK SAE # 同时启用PSK和SAE rsn_pairwise=CCMP ieee80211w=1 # 可选启用管理帧保护

WiFi信标分析：

认证套件：PSK（WPA2） + SAE（WPA3）

加密算法：AES-CCMP

---

2. WPA/WPA2-Personal 混合模式

适用场景：同时支持WPA和WPA2的传统网络（不推荐，存在TKIP漏洞风险）。 关键配置：

wpa=3 # 启用WPA和WPA2 wpa_passphrase=1234567890 wpa_key_mgmt=WPA-PSK wpa_pairwise=CCMP TKIP # 支持TKIP（兼容旧设备）和CCMP

注意事项：

TKIP协议已不推荐使用，建议仅保留CCMP以提高安全性。

---

3. WPS 快速连接配置 3.1 站点模式（连接WPS AP） # 启动WPS协商 wpa_cli -i wlan0 wps_pbc # 使用PBC按钮方式 wpa_cli -i wlan0 wps_pin any # 使用PIN码方式（需在AP输入PIN） 3.2 AP模式（开启WPS功能） # 配置文件示例（wps_hostapd.conf） driver=nl80211 ssid=test wpa=2 wpa_key_mgmt=WPA-PSK wpa_passphrase=12345678 wps_state=2 # 启用WPS config_methods=label virtual_display keypad

操作命令：

hostapd_cli -i wlan0 wps_pbc # 触发WPS配对

---

4. WAPI 国密加密配置 4.1 HEX/ASCII模式

配置文件示例：

network={ ssid="WAPI-PSK-HEX" proto=WAPI key_mgmt=WAPI-PSK pairwise=SMS4 # 国密SMS4加密 group=SMS4 wapi_key_type=1 # 1为HEX，0为ASCII wapi_psk="123456789" } 4.2 证书模式（WAPI-CERT） network={ ssid="WAPI-CERT" key_mgmt=WAPI-CERT as_cert_file="/data/as.cer" # 证书路径 user_cert_file="/data/ASUE.cer" }

---

5. 总结与建议

优先选择WPA3-SAE：提供最高安全性，避免离线字典攻击。

过渡模式需谨慎：仅在必须兼容旧设备时使用，逐步淘汰WPA2。

禁用TKIP：WPA/WPA2混合模式中应关闭TKIP，仅保留CCMP。

WPS风险提示：WPS存在暴力破解风险，建议仅在可信环境中临时启用。

国密加密场景：WAPI适用于对国产加密算法有要求的场景，需确保设备支持。