如何面向高等教育机构实施 SCEP 以实现安全的 BYOD 和网络注册

Speak in British English with a clear, confident, authoritative tone. You are a senior network security consultant briefing a room of IT directors and CTOs at a university. Your delivery is measured, direct, and occasionally dry. You pause naturally between sections. Pace is steady and professional, not rushed: 欢迎来到 Purple 的技术简报会。我将为您详细介绍在高等教育机构中实施 SCEP - 简单证书注册协议 - 以实现安全 BYOD 和网络注册所需了解的一切。如果您是大学的 IT 总监或网络架构师，并且仍在使用共享密码或 Captive Portal 在校园 WiFi 上对学生设备进行身份验证，那么这次简报会就是为您准备的。 [medium pause] 让我们先从问题开始。当今大多数大学运行的都是我所说的“首次使用即信任”模型。学生来到学校，连接到校园 SSID，输入他们的大学凭据，然后就接入了网络。简单、熟悉。坦率地说，这也是一个重大的安全隐患。密码会被共享，凭据会被网络钓鱼窃取。一个被攻破的账户可能会让成千上万个本不应该存在于网络中的设备接入您的网络。当您在同一基础设施上处理 GDPR 义务、研究数据和支付系统时，这是您无法承受的风险。 [medium pause] SCEP 在设备身份层解决了这个问题。它不是通过密码询问“你是谁？”，而是通过加密证书询问“你是什么？”。SCEP - 由 IETF 在 RFC 8894 中正式定义 - 是一种自动向托管和非托管设备颁发、交付和更新 X.509 数字证书的协议。二十多年来，它一直是企业 PKI 的骨干，并且受到每个主流 MDM 平台的原生支持：Microsoft Intune、JAMF Pro 和 VMware Workspace ONE。 以下是实际操作中注册流程的工作原理。当学生的设备连接到您的入网 SSID 时，该设备上的 MDM 代理会生成一个密钥对并创建一个证书签名请求 - CSR。该请求发送到您的 SCEP 网关，网关会验证一次性挑战密码。网关将 CSR 转发给您的证书颁发机构，证书颁发机构对其进行签名并将唯一的 X.509 证书返回给设备。从那时起，该设备将使用该证书通过 802.1X EAP-TLS 进行身份验证 - 这是 IEEE 802.1X 标准中定义的最安全的无线身份验证方法。没有密码，没有共享密钥，只有设备身份的加密证明。 [medium pause] 现在，EAP-TLS - 具有传输层安全性的可扩展身份验证协议 - 值得您花点时间了解。它需要双向身份验证：设备向 RADIUS 服务器证明其身份，且 RADIUS 服务器向设备证明其身份。这消除了身份验证层上的中间人攻击。相比之下，仍被广泛部署的 PEAP-MSCHAPv2 存在已知的凭证收集漏洞。如果您目前正在运行 PEAP，那么通过 SCEP 迁移到 EAP-TLS 是一次意义重大的安全升级，而非渐进式的改动。 [medium pause] 让我为您提供一个具体的架构。您正在运行三个 SSID。第一个是您的安全学生 SSID - 我们称之为 UniSecure - 位于 VLAN 10。这是通过 802.1X EAP-TLS 进行证书验证的。只有持有由您的 CA 颁发的有效证书的设备才能加入。第二个是您位于 VLAN 20 的员工 SSID，其中托管设备在设备注册期间通过 Intune 或 JAMF 自动接收证书。第三个是您位于 VLAN 30 的访客 WiFi - 一个面向访客的 Captive Portal，与您的学术网络完全隔离。您的 RADIUS 服务器 - 无论是 Microsoft NPS、Cisco ISE 还是 HPE Aruba ClearPass - 介于接入点和您的证书颁发机构之间，在每次身份验证尝试时执行策略。 [medium pause] 在硬件方面，该架构可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 上流畅运行。SCEP 网关可以是您现有的 Microsoft NDES 服务器、云 SCEP 服务或专用的 PKI 平台。如果您已经运行 Microsoft Entra ID - 以前称为 Azure Active Directory - 则与 Intune 的证书连接器的集成非常简单且文档齐全。 [medium pause] 现在让我带您了解两个真实世界的场景。第一个是拥有 30,000 名学生、包含一个主校区和四个分校区的大型大学。他们的挑战是：学生在九月份入学，带来了各种 Windows 笔记本电脑、MacBook、iPhone 和 Android 设备。以前，他们运行使用大学凭证的 PEAP。凭证共享非常普遍。他们迁移到了结合 SCEP 的方案，针对托管的员工设备使用 Intune，针对学生 BYOD 则使用自助式注册门户。学生访问网页，使用他们的大学单点登录进行身份验证，门户就会将 SCEP 配置文件推送到他们的设备上。设备进行注册，接收证书，并自动连接到安全 SSID。在第一学期中，与 WiFi 身份验证相关的 IT 支持电话减少了 60%。基于证书的身份验证还为他们提供了符合 GDPR 合规性的清晰审计跟踪 - 他们可以准确地证明在任何给定时间是哪台设备访问了哪个网络细分市场。 [medium pause] 第二种场景是一所高等职业学院，其网络中混合了学生自有的 Chromebook 和计算机实验室中共享的 Windows 设备。他们使用 JAMF 管理 macOS 设备，并使用 Google Workspace 的证书管理功能管理 Chromebook。在设备注册期间，通过每个 MDM 推送 SCEP 配置文件。共享的实验室设备接收的是机器证书，而不是用户证书，因此身份验证是基于设备的，而不是与个人登录绑定。这意味着学生可以坐在任何一台实验室机器前，无需额外的身份验证步骤即可连接。该学院还将 IoT 设备（投影仪、打印机、智能白板）细分到了一个独立的 VLAN 中，且不进行互联网路由，从而显着减少了攻击面。 [medium pause] 让我们谈谈实施中可能遇到的陷阱，因为有一些坑会让团队防不胜防。首先是质询密码管理。在原始 SCEP 中，质询密码是一个共享密钥。如果它是静态且长效的，那就是一个漏洞。请使用您的 MDM 在每次设备注册时生成一次性质询密码。Intune 通过其 Certificate Connector 自动执行此操作。如果您运行的是独立的 SCEP 服务器，请实施较短的过期窗口 - 15 分钟是一个合理的默认值。 第二个陷阱是证书生命周期管理。证书会过期。如果您没有部署自动更新，那么在考试当天早上，就会出现学生无法连接 WiFi 的情况。请将更新设置为在证书有效期达到 80% 时触发。大多数 MDM 会自动处理此问题，但在上线之前请验证您的配置。 第三个陷阱是 BYOD 范围蔓延。并不是学生拥有的每台个人设备都应该进入您的教学 VLAN。清晰地定义您的注册策略：哪些设备类型符合条件、需要进行哪些合规性检查 - 操作系统版本、屏幕锁定、加密 - 以及当设备未通过合规性检查时会发生什么。配置完成后，您的 MDM 条件访问策略会自动执行这些规则。 [medium pause] 针对我最常被问到的问题，我们来进行一个快速问答环节。SCEP 能否与未管理的个人设备协同工作？可以，通过一个自助服务入网门户推送轻量级的 SCEP 配置文件。设备不需要完全注册 MDM。SCEP 是否会取代 eduroam？不会 - eduroam 使用带有 RADIUS 联合的 802.1X，而 SCEP 是分发这些设备用于验证 eduroam 身份所需证书的机制。它们是互补的。SCEP 是否符合 GDPR？基于证书的身份验证会生成干净、可追溯的审计日志 - 设备身份、时间戳、VLAN 分配 - 这有助于支持您履行 GDPR 第 32 条关于适当技术安全措施的义务。WPA3 会改变什么吗？采用 192 位模式的 WPA3-Enterprise 强制使用 EAP-TLS，这需要证书。SCEP 是天然的分发机制。同时采用 WPA3 和 SCEP 是正确的架构方向。 [medium pause] 总结一下。SCEP 自动将证书分发至学生和教职员工的设备，从而在您的校园 WiFi 上启用 802.1X EAP-TLS 认证。它消除了共享密码，降低了凭据钓鱼风险，并为您提供可进行密码学归因的审计追踪。该架构与硬件无关 - 它可以运行在 Cisco Meraki、HPE Aruba、Ruckus 和 Juniper Mist 上。它与 Microsoft Entra ID、Okta 和 Google Workspace 集成。并且它可以从单校区的继续教育学院扩展至多校区的罗素集团大学。 如果您今年正在评估校园 WiFi 的安全态势，那么结合 EAP-TLS 的 SCEP 就是您应当努力构建的标准。Purple 的平台在访客 WiFi 和分析层与该架构集成，在不损害您学术网络安全的前提下，为您提供有关访客行为的一手数据。 感谢您的收听。如果您想深入了解其中任何内容，可在 purple.ai 获取完整的技术指南。