PPSK技術(shù)白皮書(投標(biāo)專用)

1、ppsk（全稱是 per-user psk）技術(shù)白皮書名目名目21. 摘要32. 關(guān)鍵詞33. 概述33.1. 該技術(shù)產(chǎn)生的背景33.2. 該技術(shù)目前實現(xiàn)的狀況33.3. 該技術(shù)的市場應(yīng)用前景44. 基礎(chǔ)學(xué)問45. 技術(shù)原理描述45.1. 單機(jī)版45.2. macc 版56. 典型應(yīng)用描述57. 優(yōu)缺點分析57.1. 依靠的技術(shù)57.2. 實現(xiàn)上的限制68. 總結(jié)61. 摘要本文介紹一種 wifi 接入平安技術(shù)，用于解決 wifi 萬能鑰匙等 wifi 共享軟件導(dǎo)致的蹭網(wǎng)問題。2. 關(guān)鍵詞wpa2-psk wifi 共享 ppsk3. 概述3.1. 該技術(shù)產(chǎn)生的背景目前看到的中小企業(yè)，wifi

2、 接入平安方面，都是選用 wpa/wpa2-psk 的方式，有幾個緣由：l wep：擔(dān)憂全，這個是業(yè)界公認(rèn)的，大家也都知道，因此不會使用。l 802.1x 夠平安，但是太簡單太貴，中小企業(yè)用不起，這個包括了買不起和維護(hù)不了兩種狀況。買不起指，需要部署認(rèn)證服務(wù)器、數(shù)據(jù)庫，涉及軟件+服務(wù)器硬件）。維護(hù)不了指 802.1x 部署簡單，不僅服務(wù)器配置專業(yè)性高，終端的配置也很簡單（尤其是非 ios 終端）。l portal 認(rèn)證，明文擔(dān)憂全，另外要經(jīng)常通過彈出頁面認(rèn)證，易用性不夠。另外portal 認(rèn)證 要求認(rèn)證前就能獲得 ip 地址，存在平安隱患（比如消耗 ip 地址以及窺探網(wǎng)絡(luò)等）。l wpa/wa

3、p2-psk，部署簡潔。這種狀況下，絕大部分的中小企業(yè)都是使用 wpa/wpa2-psk 作為 wifi 平安接入手段，但是這個技術(shù)有個弊端，就是全網(wǎng)共享一個秘鑰，現(xiàn)在很多手機(jī)安裝了wifi 萬能鑰匙等共享軟件，公司的 wifi 密碼經(jīng)常被共享出去，導(dǎo)致被蹭網(wǎng)，影響了現(xiàn)有辦公，導(dǎo)致要三天兩頭更換密碼?？偨Y(jié)起來就，對 wifi 接入平安的需求就 2 點：1. 要平安。2. 要易用。基于這個 2 點需求，我們提出了 ppsk 方案（全稱是 per-user psk），該方案的特點包括：l 每終端一個秘鑰。l 無需認(rèn)證服務(wù)器。l 外部終端拿到共享秘鑰也無法接入 wifi。l 簡潔易用，體驗和 wpa

4、/wpa2-psk 一樣。3.2. 該技術(shù)目前實現(xiàn)的狀況目前國內(nèi)廠家未看到有此技術(shù)，國外ruckus 有供應(yīng)一個類似技術(shù)，其實現(xiàn)方案是：l 創(chuàng)建 2 個 ssid，一個是員工注冊 ssid，一個是辦公 ssid。l 員工的終端需要先登錄注冊 ssid，輸入賬號，并獲得一個上網(wǎng)密碼。l 員工的終端連接辦公 ssid，并輸入上網(wǎng)密碼。此方案只是解決了全網(wǎng)一個秘鑰的問題，但是無法解決wifi 萬能鑰匙共享問題。另外此過程終端連接了 2 個 ssid，那么終端就會記憶下來，以后終端進(jìn)入辦公場所時，可能會隨機(jī)連接到一個 ssid，假如連接到注冊ssid，實際上是不能上網(wǎng)的，但是用戶很難發(fā)覺這種狀況，知會

5、認(rèn)為終端無法上網(wǎng)，進(jìn)而影響辦公。3.3. 該技術(shù)的市場應(yīng)用前景該技術(shù)在中小企業(yè)有較好的應(yīng)用前景，主要是3 個緣由：1. 低成本：無需認(rèn)證服務(wù)器。2. 門檻低：易用性和 wpa/wpa2-psk 一樣。3. 高平安：可以防蹭網(wǎng)。4. 基礎(chǔ)學(xué)問了解 ppsk 無需簡單的無線基礎(chǔ)學(xué)問，只要懂wpa/wpa2-psk 即可。5. 技術(shù)原理描述5.1. 單機(jī)版l 獲得上網(wǎng)密碼單次生成上網(wǎng)密碼的生成有兩種方式，分別為單次生成和批量生成。批量生成員工入職時治理員在 ac 上輸入員工身份信息（可以是用戶名或者手機(jī)號等），ac 自動給每個賬號生成唯一的wifi 密鑰（不同賬號生成的wifi 密鑰不沖突，且平安強

6、度足夠），然后治理員將 wifi 密鑰發(fā)給員工；此操作也可以在eweb 上完成。在 eweb 上下載用戶模板，然后將員工的身份信息（用戶名或者手機(jī)號）按格式輸入， 在 eweb 上點擊批量開戶，將該文件上傳，批量生成導(dǎo)入員工的密鑰?？梢栽?eweb 上查看，或者點擊導(dǎo)出密鑰，導(dǎo)出到文件中查看。假如終端首次接入：l 終端接入辦公網(wǎng)絡(luò)a) 連接辦公 ssid，輸入 wifi 密鑰；b) ac 檢查本地數(shù)據(jù)庫，發(fā)覺該終端沒有綁定過，會自動遍歷 wifi 密鑰列表，找到與終端匹配的 wifi 密鑰，然后進(jìn)行正常的 psk 認(rèn)證；假如終端非首次接入：c) 認(rèn)證通過后，ac 上將終端 mac 地址與對應(yīng)的

7、賬號進(jìn)行綁定；終端可以訪問網(wǎng)絡(luò)。a) 終端會自己連接辦公 ssid；b) ac 依據(jù)終端 mac 發(fā)覺是已經(jīng)綁定的終端，依據(jù) mac 快速找到對應(yīng)的 wifi 密鑰進(jìn)行psk 認(rèn)證；c) psk 認(rèn)證成功后，可以訪問網(wǎng)絡(luò)。l 密鑰回收設(shè)備支持 1500 個密鑰，也就是只能給1500 個終端使用，所以當(dāng)有員工離職，或者不需要使用網(wǎng)絡(luò)里，那么需要將密鑰回收?；厥樟鞒倘缦拢篴) 在 eweb 頁面上輸入終端的 mac 地址，假如找不到 mac 地址的話，可以輸入帳號； 然后查詢。b) 找到對應(yīng)的密鑰的，點擊刪除即可。l 員工遺忘 wifi 密鑰治理員處獵取wifi 密鑰基于平安性考慮，有長度和簡單度

8、的要求，假如遺忘了密鑰，有以下方式獵取：治理員可以通過 eweb、cli 方式獵取每個員工的 wifi 密鑰，當(dāng)員工遺忘 wifi 密鑰時，可以向治理員詢問，該方式適用于全部已綁定終端都遺忘了wifi 密鑰狀況。l 設(shè)備間數(shù)據(jù)遷移設(shè)備使用久了，需要替換新設(shè)備，那么舊設(shè)備上用戶數(shù)據(jù)需要遷移到新設(shè)備，這樣用戶可以在新設(shè)備上連續(xù)接入。操作流程如下：a) 舊設(shè)備 eweb 上操作備份數(shù)據(jù)，會將數(shù)據(jù)導(dǎo)出到文件中b) 新設(shè)備 eweb 上操作恢復(fù)數(shù)據(jù)，將上一步導(dǎo)出的文件上傳，數(shù)據(jù)在新設(shè)備上恢復(fù)完成。5.2. macc版對于 macc 場景，沒有硬件 ac，因此 ppsk 的賬號治理、密鑰治理、賬號校驗都需

9、要在macc 上執(zhí)行，體驗流程上和 5.1 章節(jié)全都，唯一的區(qū)分就是硬件 ac 換成了軟件 macc 的云 ac 平臺，同時也不需要設(shè)備間遷移數(shù)據(jù)。6. 典型應(yīng)用描述ppsk 適用于中小企業(yè)（一般是 1500 個終端規(guī)模以下），場景是防蹭網(wǎng)。7. 優(yōu)缺點分析ppsk 解決的核心問題是防蹭網(wǎng)：l 優(yōu)點是，簡潔、低成本、平安，讓中小企業(yè)（不超過 1500 個終端）能不需要花費額外的費用去購買認(rèn)證服務(wù)器，同時不要特地聘請一個密鑰治理員，每天不停的給不同類別的無線用戶群，依據(jù)不同權(quán)限生成密鑰，定期還要不斷的更新密鑰。l 缺點是，集成在單機(jī)上，存儲和計算力量有限因此只能適用于小企業(yè)（不超過 1500 個終端）。總結(jié)起來，就是平安性低于 802.1x，高于 porta 認(rèn)證和 wap/wpa2-psk。易用性遠(yuǎn)高于 802.1x 和 portal 認(rèn)證，和 wpa/wpa2-psk 接近。7.1. 依靠的技術(shù)ap 芯片需要支持基于終端的秘鑰計算體系。7.2. 實現(xiàn)上的限制由于設(shè)備存儲力量和計算力量有限，ppsk 只適合 1500 個終端以