1.1 产生背景
面对互联网及相关产业的蓬勃发展,网络安全的重要性也日渐突出。在开发网络产品和设计解决方
案的过程中,网络安全性和用户接入的易用性成为两大不可忽视的重要元素。如何在有限的网络组
建的成本下,实现安全性和易用性的权衡成为中小型企业组建网络的重要议题。
802.11i 协议采用以下三种模式对用户身份的合法性进行认证、对密钥的生产和更新进行动态管理:
• 802.1X 方式:采用 802.1X 协议对用户身份进行认证,并在认证过程中生成 PMK(Pairwise
Master Key,成对主密钥),客户端和 AP 再通过 PMK 生成 PTK(Pairwise Transient Key,
成对临时密钥)。
• PSK(Pre-Shared Key,预共享密钥)方式:采用事先配置 PSK 进行身份认证,通过 PSK
来生成 PMK,客户端和 AP 使用该 PMK 生成 PTK。
• PPSK(Private-PSK,私有预共享密钥)方式:采用事先配置 PSK 进行身份认证,使用客户
端的 MAC 地址生成 PMK,客户端和 AP 使用该 PMK 生成 PTK。
802.1X 方式具有最高的安全性,但需要具备认证服务器且配置复杂,对于网络管理员的技术水平
要求较高,不适合中小型企业进行低成本的无线网络部署。传统的 PSK 认证方式存在一定缺陷,
其密码短语容易被暴力字典攻击破解,并存在密码容易被用户主动分享或被他人以社会工程学手
段获取的风险。由于全网用户使用同一个 PSK 生成 PMK,进而生成 PTK 来加密数据,一旦一人的
密码被泄露,则整网用户的通信数据安全将面临重大威胁。
为解决上述问题,提出了 PPSK 的概念。用户通过身份认证接入后,使用自身的 MAC 地址生成 PMK,
客户端和 AP 通过四次握手进行密钥协商,协商完成后使用生成的 PTK 保护用户无线数据的安全。
综上所述,中小企业在不具备添置认证服务器、无专业网络管理员的条件下,PPSK 方式被视为最
佳解决方案。
PPSK 解决方案虽然能够满足业界标准,但在网络安全重要性日益突出、需求市场日益增加的态势
下带来新的问题。
• 面对不具备专业网络知识的用户,要求其在输入密码时输入终端的 MAC 地址,显然不够便
利。
• 面对网络攻击者,当获知使用终端 MAC 地址作为 PMK 的生成基础时,则非常容易完成对无
线网络的入侵和仿冒,危机网络安全。
是否存在一种更健壮、更便利的 PPSK 接入方式?“H3C 云平台 PPSK 认证”方案是中小型企业
无线接入的最佳实践。该方案由云平台统一生成、管理密码,并记录、管理用户与密码的对应关系。
用户通过微信小程序等第三方手段向云平台申请密码即可轻松接入无线网络。云平台 PPSK 认证方
式无需硬件 AC 和认证服务器的配合即可实现认证功能,在兼顾网络安全和用户接入易用性的同时,
降低客户资金投入、解放运维和管理人力投入。
1.2 技术优势
H3C 云平台 PPSK 认证方案具有如下优势:
• 云平台统一生成密码并管理
2
H3C 云平台能够在单场所下统一生成具有时效性的强密码,并根据需要对密码进行管理。例
如,密码与设备的预绑定、密码支持使用的设备数、密码时效设置、对密码以及使用密码设
备的增删等。云平台 PPSK 认证能够有效地避免弱密码,降低密码随使用时间而产生的安全
风险,有效对抗暴力字典攻击破解。
云平台能够对整个场所的密码进行统一管理。在日常使用过程中,面对突发的安全问题,可
以通过云平台对场所的密码信息进行及时调整。
• 支持一人一机一密码和一人多机一密码
H3C 云平台 PPSK 认证技术支持一人一机一密码和一人多机一密码,帮助用户减轻记忆多台
终端各自密码的繁重负担,在保证安全性的前提下,使无线网络的使用更便利。
• 密码独立,专人专用
密码一旦被用户使用,会和用户的终端进行绑定。即使用户不慎将密码泄露,非法持有者也
无法使用该密码通过自己的终端接入无线网络,有效降低社会工程学手段对无线网络安全的
威胁。
• 系统高可靠
即使在无线接入设备与云平台连接断开的时间内,无线接入设备依然能够提供用户接入、密
钥协商等服务,在线的无线终端也不受影响,保证无线网络的正常运行。同时,设备密钥数
据会与云简平台进行定期同步、故障恢复同步,多方面保证 H3C 云平台 PPSK 认证功能的可
靠性。
• 良好的扩展能力
H3C 云平台开放了便捷的对接接口,可以方便地和其他企业云进行对接。用户只需按照云平
台协议接口的要求,皆可使用第三方企业云将密码同步给云平台,实现无线设备与第三方企
业的用户密码管理系统的无缝对接。
• 易用性
用户通过小程序申请密码后,即可通过小程序查看并直接复制密码到 Wi-Fi 接入界面,大大提
高了用户接入无线网络的效率。用户不需要记忆密码,也不需要像传统 PPSK 认证般查找并
手动输入终端的 MAC 地址至 Wi-Fi 接入界面,即可轻松接入无线网络。
