PPSK技术白皮书(投标专用)

1、ppskppsk（全称是（全称是 perper- -user pskuser psk）技术白皮书目录目录目录目录. .2 21. 1.摘要摘要. .3 32. 2.关键词关键词. .3 33. 3.概述概述. .3 33.1.该技术产生的背景 .33.2.该技术目前实现的情况 .33.3.该技术的市场应用前景 .44. 4.基础知识基础知识. .4 45. 5.技术原理描述技术原理描述. .4 45.1.单机版 .45.2.macc 版.56. 6.典型应用描述典型应用描述. .5 57. 7.优缺点分析优缺点分析. .5 57.1.依赖的技术 .57.2.实现上的限制 .68. 8.总结总结

2、. .6 61. 1. 摘要摘要本文介绍一种 wifi接入安全技术，用于解决 wifi万能钥匙等 wifi共享软件导致的蹭网问题。2. 2. 关键词关键词wpa2-pskwifi 共享 ppsk3. 3. 概述概述3.1.3.1. 该技术产生的背景该技术产生的背景目前看到的中小企业， wifi接入安全方面， 都是选用 wpa/wpa2-psk 的方式， 有几个原因：wep：不安全，这个是业界公认的，大家也都知道，因此不会使用。802.1x 够安全，但是太复杂太贵，中小企业用不起，这个包括了买不起和维护不了两种情况。买不起指，需要部署认证服务器、数据库，涉及软件+服务器硬件） 。维护不了指 80

3、2.1x 部署复杂，不仅服务器配置专业性高，终端的配置也很复杂（尤其是非 ios终端） 。portal 认证，明文不安全，另外要经常通过弹出页面认证，易用性不够。另外portal 认证 要求认证前就能获得 ip 地址，存在安全隐患（比如消耗 ip 地址以及窥探网络等） 。wpa/wap2 -psk，部署简单。这种情况下，绝大部分的中小企业都是使用 wpa/wpa2 -psk 作为 wifi 安全接入手段，但是这个技术有个弊端，就是全网共享一个秘钥，现在很多手机安装了wifi万能钥匙等共享软件，公司的 wifi密码常常被分享出去，导致被蹭网，影响了现有办公，导致要三天两头更换密码。总结起来就，对

4、 wifi接入安全的需求就 2 点：1.要安全。2.要易用。基于这个 2 点需求，我们提出了ppsk 方案（全称是 per-user psk） ，该方案的特点包括：每终端一个秘钥。无需认证服务器。外部终端拿到共享秘钥也无法接入wifi。简单易用，体验和 wpa/wpa2 -psk 一样。3.2.3.2. 该技术目前实现的情况该技术目前实现的情况目前国内厂家未看到有此技术，国外ruckus 有提供一个类似技术，其实现方案是：创建 2 个 ssid，一个是员工注册 ssid，一个是办公 ssid。员工的终端需要先登录注册ssid，输入账号，并获得一个上网密码。员工的终端连接办公 ssid，并输入上

5、网密码。此方案只是解决了全网一个秘钥的问题，但是无法解决wifi万能钥匙共享问题。另外此过程终端连接了 2 个 ssid，那么终端就会记忆下来，以后终端进入办公场所时，可能会随机连接到一个 ssid，如果连接到注册ssid，实际上是不能上网的，但是用户很难发现这种情况，知会认为终端无法上网，进而影响办公。3.3.3.3. 该技术的市场应用前景该技术的市场应用前景该技术在中小企业有较好的应用前景，主要是3 个原因：1.低成本：无需认证服务器。2.门槛低：易用性和 wpa/wpa2 -psk 一样。3.高安全：可以防蹭网。4. 4. 基础知识基础知识了解 ppsk 无需复杂的无线基础知识，只要懂w

6、pa/wpa2 -psk 即可。5. 5. 技术原理描述技术原理描述5.1.5.1. 单机版单机版获得上网密码上网密码的生成有两种方式，分别为单次生成和批量生成。单次生成员工入职时管理员在 ac 上输入员工身份信息（可以是用户名或者手机号等） ，ac 自动给每个账号生成唯一的wifi密钥 （不同账号生成的wifi密钥不冲突， 且安全强度足够） ，然后管理员将 wifi 密钥发给员工；此操作也可以在eweb 上完成。批量生成在 eweb 上下载用户模板，然后将员工的身份信息（用户名或者手机号）按格式输入，在 eweb 上点击批量开户，将该文件上传，批量生成导入员工的密钥。 可以在 eweb 上查

7、看，或者点击导出密钥，导出到文件中查看。终端接入办公网络如果终端首次接入：a)连接办公 ssid，输入 wifi 密钥；b)ac 检查本地数据库，发现该终端没有绑定过，会自动遍历 wifi 密钥列表，找到与终端匹配的 wifi 密钥，然后进行正常的 psk 认证；c)认证通过后，ac 上将终端 mac 地址与对应的账号进行绑定；终端可以访问网络。如果终端非首次接入：a)终端会自己连接办公 ssid；b)ac 根据终端 mac 发现是已经绑定的终端， 根据 mac 快速找到对应的 wifi 密钥进行psk 认证；c)psk 认证成功后，可以访问网络。密钥回收设备支持 1500 个密钥，也就是只能

8、给1500 个终端使用，所以当有员工离职，或者不需要使用网络里，那么需要将密钥回收。回收流程如下：a)在 eweb 页面上输入终端的 mac 地址，如果找不到mac 地址的话，可以输入帐号；然后查询。b)找到对应的密钥的，点击删除即可。员工忘记 wifi 密钥wifi 密钥基于安全性考虑， 有长度和复杂度的要求， 如果忘记了密钥， 有以下方式获取：管理员处获取管理员可以通过 eweb、cli 方式获取每个员工的 wifi 密钥，当员工忘记 wifi 密钥时，可以向管理员咨询，该方式适用于所有已绑定终端都忘记了wifi 密钥情况。设备间数据迁移设备使用久了，需要替换新设备，那么旧设备上用户数据需

9、要迁移到新设备，这样用户可以在新设备上继续接入。操作流程如下：a)旧设备 eweb 上操作备份数据，会将数据导出到文件中b)新设备 eweb 上操作恢复数据，将上一步导出的文件上传，数据在新设备上恢复完成。5.2.5.2. maccmacc版版对于 macc 场景，没有硬件 ac，因此 ppsk 的账号管理、密钥管理、账号校验都需要在macc 上执行，体验流程上和 5.1 章节一致，唯一的区别就是硬件 ac 换成了软件 macc的云 ac 平台，同时也不需要设备间迁移数据。6. 6. 典型应用描述典型应用描述ppsk 适用于中小企业（一般是 1500 个终端规模以下） ，场景是防蹭网。7. 7

10、. 优缺点分析优缺点分析ppsk 解决的核心问题是防蹭网：优点是，简单、低成本、安全，让中小企业（不超过 1500 个终端）能不需要花费额外的费用去购买认证服务器，同时不要专门招聘一个密钥管理员，每天不停的给不同类别的无线用户群，按照不同权限生成密钥，定期还要不断的更新密钥。缺点是，集成在单机上，存储和计算能力有限因此只能适用于小企业（不超过 1500 个终端） 。总结起来，就是安全性低于 802.1x，高于 porta 认证和 wap/wpa2-psk。易用性远高于 802.1x 和 portal 认证，和 wpa/wpa2-psk 接近。7.1.7.1. 依赖的技术依赖的技术ap 芯片需要支持基于终端的秘钥计算体系。7.2.7.2. 实现上的限制实现上的限制由于设备存储能力和计算能力有限，ppsk 只适合 1500