署名文章:保护开放热点

对登录开放热点的客户端设备进行自动保护,是Wi-Fi技术的最新成果,有望彻底改变移动数据访问的方式

热点正风靡当下。如今世界各地的人们对稳定连接都有热切需求。很可能你也是其中一员。

据此预测,到2015年公共热点将增加350%,预计私有热点的数量将达到6.4亿。

全球公共热点和私有热点在呈现爆炸式增长,与此同时,身份窃取、欺诈和其他访问未加密信息的犯罪活动也在泛滥。

因此,除去对连接的要求未满足外,用户越来越意识到并担心他们在开放热点的通讯被泄露。

绝大多数有资深IT员工的企业将利用适当的加密技术保护内部无线设施。但绝大多数公共热点则没有加密或以任何方式予以保护。

这意味着存在攻击用户的潜在风险或者保密性受到损害。有些企业IT人员有限,有心提供更安全的访问却没有时间或技术实施强劲的无线安全,对于它们来说,这也是个重大问题。目前应该解决的两大主要安全问题包括提供更安全的热点体验认证(例如用户身份认证)和加密(数据置乱)。

客户端与目的地服务器间的加密传输对于传输层(如HTTPS)的安全有作用。但是当数据流在空间传输时用户希望链路层(第2层)有更多的保证。

当今热点的安全性

链路层加密的传统方法要求用户选择一个SSID,进入某种共享密钥或密码以对空中传输的数据进行置乱。热点Wi-Fi访问——例如在星巴克或机场——一般是基于开放SSID,容易获取,只要求用户接受一般使用条款和条件,没有对数据传输进行加密。

由于当今热点使用开放连接,即没有提供任何形式的链路层安全,用户可能会受到以下攻击:

    • 拦截。攻击者模拟用户设备连接的接入点,造成用户设备脱离Wi-Fi网络。然后该攻击者进入用户会话,实施有效的窃取服务。
    • Cookie拦截。在这种情况下,攻击者偷偷窥探未加密Wi-Fi通讯并拦截用户会话cookie,使攻击者可访问Web网页上私有用户内容。
    • 双面恶魔。对于这种攻击,攻击者建立一个欺诈接入点,其SSID与合法热点提供商部署接入点的SSID同名。这种攻击可用于身份窃取。
    • 窃听。指未加密Wi-Fi通讯被攻击者拦截,危害到个人信息,例如密码、信用卡号和邮件信息。

绝大多数企业网络没有这些Wi-Fi安全问题,因为他们利用IEEE802.11i架构利用WPA2-企业加密和EAP认证。然而,热点一般不提供802.1X通信。因此,用户无法保证连接是安全的且数据受到保护。换句话说,热点安全设置基本是“开放的”。所以,当用户进行认证时,无法确保提供的持续访问是加密的且能阻止安全破坏。

最终,使用WPA2企业加密会造成客户端难以在不同的Wi-Fi热点间漫游。如果移动设备连接管理器没有识别出漫游合作伙伴网络的SSID,就不会试图加入该网络。在绝大多数情况下,用户并不知道漫游合作伙伴网络的SSID。

如果有一种方式可以通过开放SSID自动提供加密访问,而用户只需点击选择更安全的连接,那又将如何呢?那将可以称得上是热点的圣杯了。

安全热点背后的“酷”技术

站在一定高度上说,安全热点技术大大促进了Wi-Fi安全进程;一般情况下每个用户手动操作进入网络,同时为配置客户端设备提供新方法,而无需繁琐的SSID键控和加密密钥。这样可以毫不费力地改变并保护用户热点体验。

安全热点技术的核心是两大基本任务:

  1.  为每个用户配置独一无二的加密密钥,及
  2. 在用户设备中自动配置密钥及其它Wi-Fi信息。

两大激动人心的技术要么在发展中要么已经上市可用于解决问题:Hotspot 2.0和新安全热点技术。

Hotspot 2.0是由Wi-Fi联盟(WFA)和无线宽带联盟(WBA)支持发起的全球举措,以应对大量Wi-Fi热点担忧,包括自动认证和Wi-Fi连接安全到配置政策,建立漫游协议并最终实现Wi-Fi与蜂窝网络间的无缝传输。Hotspot 2.0是运营商和企业应对一些具体Wi-Fi热点安全担忧的理想方式,商业Hotspot 2.0网络服务将在未来上市。

除了大规模Hotspot 2.0架构外,在Wi-Fi和Wi-Fi安全取得的最新进展现在为公共场所、企业和运营商提供通过了一个方法:通过开放Wi-Fi网络提供安全热点。它具有无需新的协议或软件支持(Hotspot 2.0)的优势 ,而且几乎可以用于所有Wi-Fi设备。

图:安全热点技术工作原理

图片说明:

Access point: 接入点
secure sign-in: 安全登录
WLAN controller: WLAN 控制器
open connection: 开放式连接
Web portal: 门户网站

  1. 客户端连接到AP;WLAN控制器不识别匿名设备,将客户端发送到门户网站
  2. 门户网站重新发送到品牌门户页面,要求用户登录或提供凭证
  3. 客户端将登录要求发送到门户网站,指示控制器产生唯一的加密密钥
  4. WLAN控制器发送加密密钥到门户网站
  5. 门户网站将加密密钥与所需的Wi-Fi配置信息一起发送到客户端并自动配置客户端
  6. 客户端自动使用加密密钥重新连接到安全SSID,实现安全热点传输

拥有安全热点技术后,一旦客户端从某个接入点连接到一个开放的SSID,无线LAN(WLAN)控制器就会将客户端设备发送到预先确定的门户网站。然后终端用户请求需要安全还是开放连接。

登录后,WLAN控制器将产生一组唯一的限时63字节加密密钥,并发送到用户设备。供应商经常称之为动态预共享密钥或私有预共享密钥。

拥有安全热点技术后,将不再需要预定义用户凭证。Web服务器只需指示WLAN控制器根据热点运营商想使用的信息追踪用户例如邮件地址、姓名等等产生唯一的加密密钥。

密钥产生过程一旦完成,唯一的PSK和建立安全连接的所有必备WLAN信息已安装在用户设备连接管理器中,使用自动产生的可解压配置文件安装到用户设备上,无需安装任何额外应用程序。然后用户装置自动连接到加密的热点Wi-Fi网络。

终端用户选择是否更安全地连接。热点管理员不需要预先配置任何用户,尽管他们可以记录热点内每个用户的细节及使用情况。管理员的设置非常简单。只要用户同意按照设置加密连接,管理员只需要为设备配置一个“开放的”SSID和加密的热点SSID以进行自动连接。

总之,安全热点技术在实施更强安全方面打破了高层安全与高复杂性间的传统模式,使组织机构能够轻松对开放网络提供加密连接。

热点将一改旧貌展新颜。

更多有关优科无线的最新消息,请关注新浪微博:http://e.weibo.com/ruckuswireless

媒体联系
王炯
美国优科无线公司 中国区市场经理

关于优科无线公司(RUCKUS WIRELESS)

优科无线公司(NYSE:RKUS) 总部位于美国加州桑尼维尔,是为高速发展的移动互联网基础设施市场提供先进无线系统的全球供应商。公司面向全球移动运营商、宽带服务提供商和企业用户提供各种室内和室外型“智能Wi-Fi”产品,全球终端客户数约为36,000家。由于诸如智能手机和平板电脑等移动设备的加速普及,致使无线网络流量持续增长,而Ruckus技术则专为解决由此引发的Wi-Fi容量与覆盖挑战而设计。Ruckus发明并已获专利的创新技术涵盖了无线语音、视频和数据技术,如适应性天线阵列,它能扩展信号范围、提升客户端数据速率及规避干扰,确保标准802.11 Wi-Fi上传送的延迟敏感型多媒体内容和服务实现持续、可靠的分发。欲知更多信息,请访问网站:http://cn.ruckuswireless.com