众所周知,所有保护您的网络免受攻击的 wifi 加密方法都被破坏了,WEP、WPA、WPA2......一段时间后,有人就可以侵入您的网络。
为什么我们不能使用某种公钥加密技术(例如,SSL(用于https)允许使用加密和经过身份验证的通道连接到服务器)来连接到我们的家庭路由器?
我的意思是,路由器可以不使用 WPA,而是启动与客户端的类似 SSL 的连接(使用自签名证书),握手完成后,客户端可以提供密码,如果密码正确,路由器就会信任该客户端为有效客户端(而不是攻击者)。
这样,任何人都无法在不知道密码的情况下进入网络,并且网络的客户端也无法互相嗅探或执行 MITM 攻击。
此外,为了限制暴力破解,路由器可以要求对每次密码尝试提供工作量证明。
总结:计算机想要连接到 Wifi 网络,它会联系路由器建立安全加密通道,然后计算机向路由器提供密码,如果路由器验证通过,它会将计算机的公钥添加到白名单(该计算机是受信任的,可以访问互联网和网络)。
我不知道这是否可能,而且我可能在某些事情上是错的,请回答这是否可以做到(由路由器制造商完成)或者是否计划这样做(或类似的系统成为当前方法的未来)。
谢谢
答案1
您几乎完全描述了 WPA2-Enterprise,使用 PEAP 或 TTLS。没有什么可以阻止消费者使用它,除非消费者不了解证书。
事实上,大多数 AP 供应商并没有在其 AP 固件中构建完整的身份验证器,而是依赖外部 RADIUS 服务器。