近日，WiFi被曝光存在重大安全漏洞。該漏洞名為“KRACK”，所以涉及范圍非常廣，幾乎影響全部計算機、手機和路由器等Wi-Fi設備，使黑客可以監(jiān)聽到通過接入WiFi網(wǎng)絡設備進行的數(shù)據(jù)通信，竊取用戶隱私;并可以劫持用戶客戶端到一個釣魚熱點上，實現(xiàn)流量劫持、篡改等。

KRACK是“Key Reinstallation Attack（密鑰重安裝攻擊）的縮寫”，它是基于WPA2保密協(xié)議，攻擊者會重復使用客戶端設備加入Wi-Fi網(wǎng)絡時提供的一次性密鑰，通過這種方法破解接入點與客戶端設備之間交換的信息。這有可能導致信用卡、聊天信息和密碼泄露。

目前的防范措施都是依賴本地的局域性防范，雖然各大手機系統(tǒng)等軟件廠商都升級了相關補丁，但如何從架構層面解決安全問題仍然在研究中。

結(jié)合目前的區(qū)塊鏈技術，新的安全方案將徹底解決網(wǎng)絡級安全風險。

Wi-Fi安全保護機制主要采用兩級保護。一級是根密碼PSK保護（預設共享密鑰）而用于數(shù)據(jù)加密的動態(tài)密碼是根據(jù)PSK密鑰動態(tài)生成。另外一級保護機制就是MAC地址過濾。這種機制與GSM通信中的保護機制類似只是加密算法不同。MAC地址過濾機制可以對應為移動通信中的IMSI設置機制。

Wi-Fi的安全漏洞主要是因為在Wi-Fi接入中通過偽裝握手機制對PSK密鑰進行復制或者破解。這個問題我們再進一步進行本質(zhì)分析，可以發(fā)現(xiàn)其實傳統(tǒng)的Wi-Fi密碼保護的漏洞的根本原因是因為通信的分層設計。這種密鑰保護機制無法對用戶的訪問行為進行識別。也就是說為無法識別出用戶的黑客行為。而內(nèi)容應用服務器其實是有這種能力但是這并不是他們的重點。

所以傳統(tǒng)Wi-Fi分享機制對于PSK密鑰的保護是依賴于本地客戶端設計。而在中心化的分享機制中客戶端采用怎樣的防拷貝或者防破解保護，Wi-Fi分享者是沒有控制權的。同時也因為中心服務器無法對所有的內(nèi)容建立一個指紋體系。中心化的Wi-Fi分享客戶端就沒有能力提供安全機制。要做到這點必然需要一個龐大的社區(qū)通過眾包的方式來完成。任何一個中性化的節(jié)點是無法完成的。

在區(qū)塊鏈中，通過構建在區(qū)塊鏈社區(qū)上節(jié)點，通過三級機制來彌補密鑰分享中的防拷貝和防破解。

首先Wi-Fi分享者的密鑰被加密保存在Wi-Fi分享者本地。在區(qū)塊上只保存SSID以及Wi-Fi資產(chǎn)簽名。

區(qū)塊鏈路由設備

其次由于DApp是部署在區(qū)塊鏈上，DApp對Wi-Fi分享者的Wi-Fi密鑰通過共識機制建立起P2P通道，而Wi-Fi登陸者對任何Wi-Fi網(wǎng)絡的配置更改需要其他節(jié)點同意，這種登陸Wi-Fi的功能設計，通過開源機制會被所有開發(fā)者審查安全性設計。

最后也是最重要的一點，就是區(qū)塊鏈安全平臺除了搭建一個Wi-Fi分享平臺之外，在這個網(wǎng)絡上也同時通過注冊內(nèi)容的指紋支持一個內(nèi)容分發(fā)網(wǎng)絡。簡單地說就是用戶的網(wǎng)絡訪問行為會被用戶簽名之后加密保存在區(qū)塊鏈上。所以基于這種機制區(qū)塊鏈安全平臺就可以檢測出用戶的黑客行為。即如果發(fā)現(xiàn)兩個完全不相干的用戶在訪問同一個內(nèi)容那么區(qū)塊鏈安全系統(tǒng)就可就可以向Wi-Fi分享者提出告警。從而做到網(wǎng)絡應用層面的安全保護。而不是針對某一個服務器應用層面安全保護。

所以最后總結(jié)在傳統(tǒng)的網(wǎng)絡中分層設計雖然提高了交換的效率和傳輸安全，但是分層設計也是網(wǎng)絡無法識別行為安全的根本原因。而在未來的區(qū)塊鏈和通信結(jié)合的網(wǎng)絡設計中，分層設計在信息交換層面保持，但是在保持交換效率的同時在行為識別的共識機制為用戶提供了更加安全的保護。

免費路由

從目前來講，除了技術漏洞，WiFi安全風險還潛藏在餐館、電影院、健身房等公共場所的免費WiFi中，用戶連接這些免費WiFi很容易中槍。一些黑客甚至搭設了銀行、證券公司、國家機關等同名WiFi，用戶因為相信這些機構而輕易連接，造成手機銀行賬號密碼、照片、視頻等各種隱私信息被盜。區(qū)塊鏈技術的引進將徹底解決用戶的安全風險，當然， 不僅是wifi安全，區(qū)塊鏈將是未來物聯(lián)網(wǎng)安全領域的一個重大創(chuàng)新。