- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
云平台PPSK认证技术白皮书-6W100-整本手册.pdf (261.10 KB)
云平台PPSK认证技术白皮书
Copyright © 2022 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文中的内容为通用性技术信息,某些信息可能不适用于您所购买的产品。
面对互联网及相关产业的蓬勃发展,网络安全的重要性也日渐突出。在开发网络产品和设计解决方案的过程中,网络安全性和用户接入的易用性成为两大不可忽视的重要元素。如何在有限的网络组建的成本下,实现安全性和易用性的权衡成为中小型企业组建网络的重要议题。
802.11i协议采用以下三种模式对用户身份的合法性进行认证、对密钥的生产和更新进行动态管理:
· 802.1X方式:采用802.1X协议对用户身份进行认证,并在认证过程中生成PMK(Pairwise Master Key,成对主密钥),客户端和AP再通过PMK生成PTK(Pairwise Transient Key,成对临时密钥)。
· PSK(Pre-Shared Key,预共享密钥)方式:采用事先配置PSK进行身份认证,通过PSK来生成PMK,客户端和AP使用该PMK生成PTK。
· PPSK(Private-PSK,私有预共享密钥)方式:采用事先配置PSK进行身份认证,使用客户端的MAC地址生成PMK,客户端和AP使用该PMK生成PTK。
802.1X方式具有最高的安全性,但需要具备认证服务器且配置复杂,对于网络管理员的技术水平要求较高,不适合中小型企业进行低成本的无线网络部署。传统的PSK认证方式存在一定缺陷,其密码短语容易被暴力字典攻击破解,并存在密码容易被用户主动分享或被他人以社会工程学手段获取的风险。由于全网用户使用同一个PSK生成PMK,进而生成PTK来加密数据,一旦一人的密码被泄露,则整网用户的通信数据安全将面临重大威胁。
为解决上述问题,提出了PPSK的概念。用户通过身份认证接入后,使用自身的MAC地址生成PMK,客户端和AP通过四次握手进行密钥协商,协商完成后使用生成的PTK保护用户无线数据的安全。综上所述,中小企业在不具备添置认证服务器、无专业网络管理员的条件下,PPSK方式被视为最佳解决方案。
PPSK解决方案虽然能够满足业界标准,但在网络安全重要性日益突出、需求市场日益增加的态势下带来新的问题。
· 面对不具备专业网络知识的用户,要求其在输入密码时输入终端的MAC地址,显然不够便利。
· 面对网络攻击者,当获知使用终端MAC地址作为PMK的生成基础时,则非常容易完成对无线网络的入侵和仿冒,危机网络安全。
是否存在一种更健壮、更便利的PPSK接入方式?“H3C云平台PPSK认证”方案是中小型企业无线接入的最佳实践。该方案由云平台统一生成、管理密码,并记录、管理用户与密码的对应关系。用户通过微信小程序等第三方手段向云平台申请密码即可轻松接入无线网络。云平台PPSK认证方式无需硬件AC和认证服务器的配合即可实现认证功能,在兼顾网络安全和用户接入易用性的同时,降低客户资金投入、解放运维和管理人力投入。
H3C云平台PPSK认证方案具有如下优势:
· 云平台统一生成密码并管理
H3C云平台能够在单场所下统一生成具有时效性的强密码,并根据需要对密码进行管理。例如,密码与设备的预绑定、密码支持使用的设备数、密码时效设置、对密码以及使用密码设备的增删等。云平台PPSK认证能够有效地避免弱密码,降低密码随使用时间而产生的安全风险,有效对抗暴力字典攻击破解。
云平台能够对整个场所的密码进行统一管理。在日常使用过程中,面对突发的安全问题,可以通过云平台对场所的密码信息进行及时调整。
· 支持一人一机一密码和一人多机一密码
H3C云平台PPSK认证技术支持一人一机一密码和一人多机一密码,帮助用户减轻记忆多台终端各自密码的繁重负担,在保证安全性的前提下,使无线网络的使用更便利。
· 密码独立,专人专用
密码一旦被用户使用,会和用户的终端进行绑定。即使用户不慎将密码泄露,非法持有者也无法使用该密码通过自己的终端接入无线网络,有效降低社会工程学手段对无线网络安全的威胁。
· 系统高可靠
即使在无线接入设备与云平台连接断开的时间内,无线接入设备依然能够提供用户接入、密钥协商等服务,在线的无线终端也不受影响,保证无线网络的正常运行。同时,设备密钥数据会与云简平台进行定期同步、故障恢复同步,多方面保证H3C云平台PPSK认证功能的可靠性。
· 良好的扩展能力
H3C云平台开放了便捷的对接接口,可以方便地和其他企业云进行对接。用户只需按照云平台协议接口的要求,皆可使用第三方企业云将密码同步给云平台,实现无线设备与第三方企业的用户密码管理系统的无缝对接。
· 易用性
用户通过小程序申请密码后,即可通过小程序查看并直接复制密码到Wi-Fi接入界面,大大提高了用户接入无线网络的效率。用户不需要记忆密码,也不需要像传统PPSK认证般查找并手动输入终端的MAC地址至Wi-Fi接入界面,即可轻松接入无线网络。
使用云平台PPSK认证方式接入无线网络的用户上线流程如图1所示。
云平台PPSK认证用户上线的过程如下:
(1) 网络管理员通过云简网络(https://cloudnet.h3c.com)为某一场所下将接入无线终端进行密码预配置。
(2) 云平台将已生成的密码通过加密隧道下发到该场所下的无线接入系统,如AC + Fit AP。
(3) 用户通过微信小程序,向云平台申请用于接入该场所无线网络的密码。
(4) 若申请成功,云平台向用户推送用于接入该场所无线网络的密码。
(5) 用户搜索该场所支持云平台PPSK的无线服务并点击连接后,触发链路认证。
(6) 若满足认证条件,则用户链路认证成功。
(7) 用户链路认证成功后,输入从云平台申请到的密码,开始进入四次握手密钥协商。
(8) 完成密钥协商后,接入双方生成用于加密数据的专用PTK。至此,用户可以接入并使用无线网络。
(9) 无线接入设备将密码和用户设备的绑定关系上报云平台。
(10) 云平台存储并管理密码和用户设备的绑定关系。
云平台PPSK认证适用于AC+Fit AP组网、云AP独立组网以及WBC设备组网。本章节以AC+Fit AP、云AP独立组网为例进行说明。
无线接入系统(AC + Fit AP)通过加密隧道和云平台建立有线连接。云平台向无线接入设备侧下发、删除、同步密码,无线接入系统将密码与用户设备的绑定关系上报至云平台管理,具体步骤如下:
(1) 用户通过4G/5G网络使用微信扫描“用户准入二维码”,在弹出“云简网络PPSK用户”小程序上,点击页面中“获取Wi-Fi密码”,即可申请密码。
(2) H3C云平台将用户申请的密码通过加密隧道下发至设备上,并进行密钥安装。
(3) 用户使用已申请到的密码,在设备上完成四次握手密钥协商并接入无线网络。
图2 H3C云平台PPSK认证AC+Fit AP组网图
无线接入系统(云AP)通过加密隧道和云平台建立有线连接。云平台向无线接入设备侧下发、删除、同步密码,无线接入系统将密码与用户设备的绑定关系上报至云平台管理,具体步骤如下:
(1) 用户通过4G/5G网络使用微信扫描“用户准入二维码”,在弹出“云简网络PPSK用户”小程序上,点击页面中“获取Wi-Fi密码”,即可申请密码。
(2) H3C云平台将用户申请的密码通过加密隧道下发至设备上,并进行密钥安装。
(3) 用户使用已申请到的密码,在设备上完成四次握手密钥协商并接入无线网络。
图3 H3C云平台PPSK认证云AP组网图
支持
