然而使用WPA/WPA2/WPA3密码加密的wifi相对于开放wifi要安全得多
开放网络的安全性是最差的,因为数据帧完全无加密,即使使用了网页验证,数据帧还是裸奔着飞来飞去,脚本小子都能将其捕获甚至篡改,进行中间人攻击
所以为了解决这个问题,WEP出现了,WEP对于整个网络使用一样的密钥,加密了数据帧,解决了街边脚本小子的问题。但因为整个网络使用一样的密钥,如果一个脚本小子正好知道密码连上了,整个网络又裸奔了
直到WPA的出现,这个问题才被真正解决,WPA为每个数据包创建独立密钥,并进行完整性检查,这个巨大的创新彻底拦住了脚本小子,脚本小子再也没法通过简单的嗅探数据包进行中间人攻击了
后来WPA2和WPA3又陆续改进了密钥算法和完整性检查算法,进一步解决了算法上的漏洞,安全性就更高了
因此我们不难得出:使用WPA系列加密的wifi是相对安全的
但注意我说的是相对安全,不是绝对安全
为什么不是绝对安全?因为WPA解决的是wifi链路的安全性,没有解决本身局域网的安全问题
局域网的安全问题在于,同一局域网内的设备之间可以互相访问,这是大多数路由器的默认行为
因此局域网中的设备有能力对同一局域网的设备发起攻击,这对于设备来源不可信的情况下来说是相当危险的,比如一个感染了wannacry的电脑连接了拥有数十台无补丁电脑的局域网
解决办法是什么呢?很简单,局域网隔离,禁止同一局域网设备之间互相访问,问题就解决了
那么怎么辨别接入者的身份呢?显然大家都简单的使用同一密码无法区别身份
WPA制定的时候是考虑到了的。我们平常家用的叫做WPA-Personal,只有密码验证,但实际上还有一个WPA-Enterprise,会要求用户名+密码验证,并且提供更复杂的配置参数
我目前的学校和之前的学校均使用WPA-Enterprise加密,可以有效鉴别连接者身份,而且不需要网页认证(因此充分实施该特性的无浏览器IoT设备也可以连接),澳洲最大的超市之一Woolworths也使用这种加密安全的提供公共wifi
https://my.uq.edu.au/information-and-services/information-technology/internet-and-wifi/connecting-wifi
那么有没有办法实现不把实名信息提供给店家的情况下就对网络实现实名验证呢?也是有办法的,我在此提出一种解决办法
可以推行个人专用的数字证书,每个人都可以申领只属于自己的数字证书,WPA-Enterprise是支持证书加密的,连接时选择自己的证书,即可安全的进行实名验证,因为数据通过本地的证书私钥加密,验证端只能通过公钥验证合法性,却不能获取私钥来伪造新的加密信息,这种非对称加密实现了店家知道你是谁却无法伪装为你的身份
而且可以很轻松的做成多个地方使用同一信息验证,比如eduroam那样全球漫游验证,用户体验极佳
如果个人数字证书不幸泄漏,也只需要撤销旧的证书并领取新的证书即可解决。证书与个人绑定而不与设备绑定,因此不需要手机号,不需要特定设备,有证书就能验证
简单总结如何构建一个实名认证的安全网络:基于个人专用数字证书的WPA-Enterprise加密
