PPSK技術(shù)白皮書(投標(biāo)專用)_第1頁
PPSK技術(shù)白皮書(投標(biāo)專用)_第2頁
PPSK技術(shù)白皮書(投標(biāo)專用)_第3頁
免費(fèi)預(yù)覽已結(jié)束,剩余1頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、ppskppsk(全稱是(全稱是 perper- -user pskuser psk)技術(shù)白皮書目錄目錄目錄目錄. .2 21. 1.摘要摘要. .3 32. 2.關(guān)鍵詞關(guān)鍵詞. .3 33. 3.概述概述. .3 33.1.該技術(shù)產(chǎn)生的背景 .33.2.該技術(shù)目前實現(xiàn)的情況 .33.3.該技術(shù)的市場應(yīng)用前景 .44. 4.基礎(chǔ)知識基礎(chǔ)知識. .4 45. 5.技術(shù)原理描述技術(shù)原理描述. .4 45.1.單機(jī)版 .45.2.macc 版.56. 6.典型應(yīng)用描述典型應(yīng)用描述. .5 57. 7.優(yōu)缺點(diǎn)分析優(yōu)缺點(diǎn)分析. .5 57.1.依賴的技術(shù) .57.2.實現(xiàn)上的限制 .68. 8.總結(jié)總結(jié)

2、. .6 61. 1. 摘要摘要本文介紹一種 wifi接入安全技術(shù),用于解決 wifi萬能鑰匙等 wifi共享軟件導(dǎo)致的蹭網(wǎng)問題。2. 2. 關(guān)鍵詞關(guān)鍵詞wpa2-pskwifi 共享 ppsk3. 3. 概述概述3.1.3.1. 該技術(shù)產(chǎn)生的背景該技術(shù)產(chǎn)生的背景目前看到的中小企業(yè), wifi接入安全方面, 都是選用 wpa/wpa2-psk 的方式, 有幾個原因:wep:不安全,這個是業(yè)界公認(rèn)的,大家也都知道,因此不會使用。802.1x 夠安全,但是太復(fù)雜太貴,中小企業(yè)用不起,這個包括了買不起和維護(hù)不了兩種情況。買不起指,需要部署認(rèn)證服務(wù)器、數(shù)據(jù)庫,涉及軟件+服務(wù)器硬件) 。維護(hù)不了指 80

3、2.1x 部署復(fù)雜,不僅服務(wù)器配置專業(yè)性高,終端的配置也很復(fù)雜(尤其是非 ios終端) 。portal 認(rèn)證,明文不安全,另外要經(jīng)常通過彈出頁面認(rèn)證,易用性不夠。另外portal 認(rèn)證 要求認(rèn)證前就能獲得 ip 地址,存在安全隱患(比如消耗 ip 地址以及窺探網(wǎng)絡(luò)等) 。wpa/wap2 -psk,部署簡單。這種情況下,絕大部分的中小企業(yè)都是使用 wpa/wpa2 -psk 作為 wifi 安全接入手段,但是這個技術(shù)有個弊端,就是全網(wǎng)共享一個秘鑰,現(xiàn)在很多手機(jī)安裝了wifi萬能鑰匙等共享軟件,公司的 wifi密碼常常被分享出去,導(dǎo)致被蹭網(wǎng),影響了現(xiàn)有辦公,導(dǎo)致要三天兩頭更換密碼??偨Y(jié)起來就,對

4、 wifi接入安全的需求就 2 點(diǎn):1.要安全。2.要易用?;谶@個 2 點(diǎn)需求,我們提出了ppsk 方案(全稱是 per-user psk) ,該方案的特點(diǎn)包括:每終端一個秘鑰。無需認(rèn)證服務(wù)器。外部終端拿到共享秘鑰也無法接入wifi。簡單易用,體驗和 wpa/wpa2 -psk 一樣。3.2.3.2. 該技術(shù)目前實現(xiàn)的情況該技術(shù)目前實現(xiàn)的情況目前國內(nèi)廠家未看到有此技術(shù),國外ruckus 有提供一個類似技術(shù),其實現(xiàn)方案是:創(chuàng)建 2 個 ssid,一個是員工注冊 ssid,一個是辦公 ssid。員工的終端需要先登錄注冊ssid,輸入賬號,并獲得一個上網(wǎng)密碼。員工的終端連接辦公 ssid,并輸入上

5、網(wǎng)密碼。此方案只是解決了全網(wǎng)一個秘鑰的問題,但是無法解決wifi萬能鑰匙共享問題。另外此過程終端連接了 2 個 ssid,那么終端就會記憶下來,以后終端進(jìn)入辦公場所時,可能會隨機(jī)連接到一個 ssid,如果連接到注冊ssid,實際上是不能上網(wǎng)的,但是用戶很難發(fā)現(xiàn)這種情況,知會認(rèn)為終端無法上網(wǎng),進(jìn)而影響辦公。3.3.3.3. 該技術(shù)的市場應(yīng)用前景該技術(shù)的市場應(yīng)用前景該技術(shù)在中小企業(yè)有較好的應(yīng)用前景,主要是3 個原因:1.低成本:無需認(rèn)證服務(wù)器。2.門檻低:易用性和 wpa/wpa2 -psk 一樣。3.高安全:可以防蹭網(wǎng)。4. 4. 基礎(chǔ)知識基礎(chǔ)知識了解 ppsk 無需復(fù)雜的無線基礎(chǔ)知識,只要懂w

6、pa/wpa2 -psk 即可。5. 5. 技術(shù)原理描述技術(shù)原理描述5.1.5.1. 單機(jī)版單機(jī)版獲得上網(wǎng)密碼上網(wǎng)密碼的生成有兩種方式,分別為單次生成和批量生成。單次生成員工入職時管理員在 ac 上輸入員工身份信息(可以是用戶名或者手機(jī)號等) ,ac 自動給每個賬號生成唯一的wifi密鑰 (不同賬號生成的wifi密鑰不沖突, 且安全強(qiáng)度足夠) ,然后管理員將 wifi 密鑰發(fā)給員工;此操作也可以在eweb 上完成。批量生成在 eweb 上下載用戶模板,然后將員工的身份信息(用戶名或者手機(jī)號)按格式輸入,在 eweb 上點(diǎn)擊批量開戶,將該文件上傳,批量生成導(dǎo)入員工的密鑰。 可以在 eweb 上查

7、看,或者點(diǎn)擊導(dǎo)出密鑰,導(dǎo)出到文件中查看。終端接入辦公網(wǎng)絡(luò)如果終端首次接入:a)連接辦公 ssid,輸入 wifi 密鑰;b)ac 檢查本地數(shù)據(jù)庫,發(fā)現(xiàn)該終端沒有綁定過,會自動遍歷 wifi 密鑰列表,找到與終端匹配的 wifi 密鑰,然后進(jìn)行正常的 psk 認(rèn)證;c)認(rèn)證通過后,ac 上將終端 mac 地址與對應(yīng)的賬號進(jìn)行綁定;終端可以訪問網(wǎng)絡(luò)。如果終端非首次接入:a)終端會自己連接辦公 ssid;b)ac 根據(jù)終端 mac 發(fā)現(xiàn)是已經(jīng)綁定的終端, 根據(jù) mac 快速找到對應(yīng)的 wifi 密鑰進(jìn)行psk 認(rèn)證;c)psk 認(rèn)證成功后,可以訪問網(wǎng)絡(luò)。密鑰回收設(shè)備支持 1500 個密鑰,也就是只能

8、給1500 個終端使用,所以當(dāng)有員工離職,或者不需要使用網(wǎng)絡(luò)里,那么需要將密鑰回收。回收流程如下:a)在 eweb 頁面上輸入終端的 mac 地址,如果找不到mac 地址的話,可以輸入帳號;然后查詢。b)找到對應(yīng)的密鑰的,點(diǎn)擊刪除即可。員工忘記 wifi 密鑰wifi 密鑰基于安全性考慮, 有長度和復(fù)雜度的要求, 如果忘記了密鑰, 有以下方式獲?。汗芾韱T處獲取管理員可以通過 eweb、cli 方式獲取每個員工的 wifi 密鑰,當(dāng)員工忘記 wifi 密鑰時,可以向管理員咨詢,該方式適用于所有已綁定終端都忘記了wifi 密鑰情況。設(shè)備間數(shù)據(jù)遷移設(shè)備使用久了,需要替換新設(shè)備,那么舊設(shè)備上用戶數(shù)據(jù)需

9、要遷移到新設(shè)備,這樣用戶可以在新設(shè)備上繼續(xù)接入。操作流程如下:a)舊設(shè)備 eweb 上操作備份數(shù)據(jù),會將數(shù)據(jù)導(dǎo)出到文件中b)新設(shè)備 eweb 上操作恢復(fù)數(shù)據(jù),將上一步導(dǎo)出的文件上傳,數(shù)據(jù)在新設(shè)備上恢復(fù)完成。5.2.5.2. maccmacc版版對于 macc 場景,沒有硬件 ac,因此 ppsk 的賬號管理、密鑰管理、賬號校驗都需要在macc 上執(zhí)行,體驗流程上和 5.1 章節(jié)一致,唯一的區(qū)別就是硬件 ac 換成了軟件 macc的云 ac 平臺,同時也不需要設(shè)備間遷移數(shù)據(jù)。6. 6. 典型應(yīng)用描述典型應(yīng)用描述ppsk 適用于中小企業(yè)(一般是 1500 個終端規(guī)模以下) ,場景是防蹭網(wǎng)。7. 7

10、. 優(yōu)缺點(diǎn)分析優(yōu)缺點(diǎn)分析ppsk 解決的核心問題是防蹭網(wǎng):優(yōu)點(diǎn)是,簡單、低成本、安全,讓中小企業(yè)(不超過 1500 個終端)能不需要花費(fèi)額外的費(fèi)用去購買認(rèn)證服務(wù)器,同時不要專門招聘一個密鑰管理員,每天不停的給不同類別的無線用戶群,按照不同權(quán)限生成密鑰,定期還要不斷的更新密鑰。缺點(diǎn)是,集成在單機(jī)上,存儲和計算能力有限因此只能適用于小企業(yè)(不超過 1500 個終端) ??偨Y(jié)起來,就是安全性低于 802.1x,高于 porta 認(rèn)證和 wap/wpa2-psk。易用性遠(yuǎn)高于 802.1x 和 portal 認(rèn)證,和 wpa/wpa2-psk 接近。7.1.7.1. 依賴的技術(shù)依賴的技術(shù)ap 芯片需要支持基于終端的秘鑰計算體系。7.2.7.2. 實現(xiàn)上的限制實現(xiàn)上的限制由于設(shè)備存儲能力和計算能力有限,ppsk 只適合 1500

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論