接入无线网络时的安全功能
所有 Apple 平台均支持行业标准的无线局域网认证和加密协议,以在接入以下安全无线网络时提供经认证的访问和保密性:
WPA2 个人级
WPA2 企业级
WPA2/WPA3 过渡模式
WPA3 个人级
WPA3 企业级
WPA3 企业级 192 位安全模式
WPA2 和 WPA3 会认证每个连接,并提供 128 位 AES 加密以帮助确保通过无线发送数据的机密性。这为用户提供了最高级别的安全保障,在通过无线局域网连接发送和接收通信时确保用户数据始终受到保护。
WPA3 支持
以下 Apple 设备支持 WPA3:
从 iPhone 7 开始的所有 iPhone 机型或后续机型
从 iPad(第 5 代)开始的所有 iPad 机型或后续机型
所有 Mac 电脑(2013 年末或后续机型,支持 802.11ac 或更高版本)
从 Apple TV 4K(第 1 代)开始的所有 Apple TV 机型或后续机型
从 Apple Watch Series 3 开始的所有 Apple Watch 机型或后续机型
Apple Vision Pro
所有 HomePod 机型
较新款设备支持 WPA3 企业级 192 位安全模式认证,其中包括在接入兼容的无线接入点 (AP) 时支持 256 位 AES 加密。这种加密甚至为无线传输的流量提供了更强大的机密性保护。所有 iPhone 11 机型或后续机型、从 iPad(第 7 代)开始的所有 iPad 机型以及所有搭载 Apple 芯片的 Mac 电脑都支持 WPA3 企业级 192 位安全模式。
WPA3 R3
R3 WPA3 个人级更新 (WPA R3) 的推出旨在增强无线局域网的安全性和隐私,其中重点解决了部分握手漏洞。Apple 平台支持以下 WPA3 R3 功能:
过渡终止指示
哈希到元素 (H2E) 支持和 H2E 快速过渡
减少安全组降级攻击
防阻塞令牌容器元素
这些改进旨在防范降级攻击(例如“过渡终止指示”)和密码元素生成(例如利用“哈希到元素”,该方法使用非迭代的代数算法派生密钥,是“二指禅型”方法的升级。)这些 WPA3 R3 功能在 iOS 16、iPadOS 16、macOS 13 和 Apple tvOS 16 中引入,并受以下 Apple 设备支持:
从 iPhone 11 开始的所有 iPhone 机型或后续机型
从 2020 年末起推出的所有 iPad 机型或后续机型
从 2020 年末起推出的所有 Mac 电脑或后续机型
从 Apple TV 4K(第 2 代)开始的所有 Apple TV 机型或后续机型
受保护的管理帧支持
除了保护无线传输的数据,Apple 平台还通过 802.11w 中定义的受保护的管理帧 (PMF) 服务,将 WPA2 和 WPA3 级别的保护扩展到单播和多播管理帧。以下 Apple 设备支持 PMF:
从 iPhone 6 开始的所有 iPhone 机型或后续机型
从 iPad Air 2 开始的所有 iPad 机型或后续机型
所有 Mac 电脑(2013 年末或后续机型,支持 802.11ac 或更高版本)
从 Apple TV HD 开始的所有 Apple TV 机型或后续机型
从 Apple Watch Series 3 开始的所有 Apple Watch 机型或后续机型
Apple Vision Pro
所有 HomePod 机型
由于支持 802.1X,Apple 设备可集成于各种 RADIUS 认证环境中。支持的 802.1X 无线认证方式包括 EAP-TLS、EAP-TTLS、EAP-FAST、EAP-SIM、PEAPv0 和 PEAPv1。
平台保护措施
Apple 操作系统保护设备免受网络处理器固件漏洞的威胁。这意味着具有无线局域网连接的网络控制器只能有限地访问应用程序处理器内存。每个网络处理器均位于自己独立的 PCIe 总线上。每个 PCIe 总线上的输入/输出内存管理单元 (IOMMU) 会进一步限制网络处理器的 DMA 对仅包含其网络数据包和控制结构的内存和资源的访问。
已弃用的协议
Apple 产品支持以下已弃用的无线局域网认证和加密协议:
开放式 WEP,同时具有 40 位及 104 位密钥
共享式 WEP,同时具有 40 位及 104 位密钥
动态 WEP
暂时密钥集成协议 (TKIP)
WPA
WPA/WPA2 过渡模式
这些协议不再被认为是安全的,且这些协议的使用很大程度上受到兼容性、可靠性、性能和安全性因素的制约。对这些协议的支持仅作向后兼容性之用,且可能在未来软件版本中移除。
建议将所有无线局域网转为采用 WPA3 个人级或 WPA3 企业级模式,以尽可能地提供最强大、最安全和最兼容的无线局域网连接。