近日,WiFi被曝光存在重大安全漏洞。該漏洞名為“KRACK”,所以涉及範圍非常廣,幾乎影響全部計算機、手機和路由器等Wi-Fi裝置,使駭客可以監聽到透過接入WiFi網路裝置進行的資料通訊,竊取使用者隱私;並可以劫持使用者客戶端到一個釣魚熱點上,實現流量劫持、篡改等。
KRACK是“Key Reinstallation Attack(金鑰重安裝攻擊)的縮寫”,它是基於WPA2保密協議,攻擊者會重複使用客戶端裝置加入Wi-Fi網路時提供的一次性金鑰,透過這種方法破解接入點與客戶端裝置之間交換的資訊。這有可能導致信用卡、聊天資訊和密碼洩露。
目前的防範措施都是依賴本地的局域性防範,雖然各大手機系統等軟體廠商都升級了相關補丁,但如何從架構層面解決安全問題仍然在研究中。
結合目前的區塊鏈技術,新的安全方案將徹底解決網路級安全風險。
Wi-Fi安全保護機制主要採用兩級保護。一級是根密碼PSK保護(預設共享金鑰)而用於資料加密的動態密碼是根據PSK金鑰動態生成。另外一級保護機制就是MAC地址過濾。這種機制與GSM通訊中的保護機制類似只是加密演算法不同。MAC地址過濾機制可以對應為行動通訊中的IMSI設定機制。
Wi-Fi的安全漏洞主要是因為在Wi-Fi接入中透過偽裝握手機制對PSK金鑰進行復制或者破解。這個問題我們再進一步進行本質分析,可以發現其實傳統的Wi-Fi密碼保護的漏洞的根本原因是因為通訊的分層設計。這種金鑰保護機制無法對使用者的訪問行為進行識別。也就是說為無法識別出使用者的駭客行為。而內容應用伺服器其實是有這種能力但是這並不是他們的重點。
所以傳統Wi-Fi分享機制對於PSK金鑰的保護是依賴於本地客戶端設計。而在中心化的分享機制中客戶端採用怎樣的防複製或者防破解保護,Wi-Fi分享者是沒有控制權的。同時也因為中心伺服器無法對所有的內容建立一個指紋體系。中心化的Wi-Fi分享客戶端就沒有能力提供安全機制。要做到這點必然需要一個龐大的社羣透過眾包的方式來完成。任何一箇中性化的節點是無法完成的。
在區塊鏈中,透過構建在區塊鏈社羣上節點,透過三級機制來彌補金鑰分享中的防複製和防破解。
首先Wi-Fi分享者的金鑰被加密儲存在Wi-Fi分享者本地。在區塊上只儲存SSID以及Wi-Fi資產簽名。
區塊鏈路由裝置
其次由於DApp是部署在區塊鏈上,DApp對Wi-Fi分享者的Wi-Fi金鑰透過共識機制建立起P2P通道,而Wi-Fi登陸者對任何Wi-Fi網路的配置更改需要其他節點同意,這種登陸Wi-Fi的功能設計,透過開源機制會被所有開發者審查安全性設計。
最後也是最重要的一點,就是除了搭建一個Wi-Fi分享平臺之外,在這個網路上也同時透過註冊內容的指紋支援一個內容分發網路。簡單地說就是使用者的網路訪問行為會被使用者簽名之後加密儲存在區塊鏈上。所以基於這種機制區塊鏈安全平臺就可以檢測出使用者的駭客行為。即如果發現兩個完全不相干的使用者在訪問同一個內容那麼區塊鏈安全系統就可就可以向Wi-Fi分享者提出告警。從而做到網路應用層面的安全保護。而不是針對某一個伺服器應用層面安全保護。
所以最後總結在傳統的網路中分層設計雖然提高了交換的效率和傳輸安全,但是分層設計也是網路無法識別行為安全的根本原因。而在未來的區塊鏈和通訊結合的網路設計中,分層設計在資訊交換層面保持,但是在保持交換效率的同時在行為識別的共識機制為使用者提供了更加安全的保護。
免費路由
從目前來講,除了技術漏洞,WiFi安全風險還潛藏在餐館、電影院、健身房等公共場所的免費WiFi中,使用者連線這些免費WiFi很容易中槍。一些駭客甚至搭設了銀行、證券公司、國家機關等同名WiFi,使用者因為相信這些機構而輕易連線,造成手機銀行賬號密碼、照片、影片等各種隱私資訊被盜。區塊鏈技術的引進將徹底解決使用者的安全風險,當然, 不僅是wifi安全,將是未來物聯網安全領域的一個重大創新。
