如何在大專院校實施 SCEP 以實現安全的 BYOD 與網路註冊

以清晰、自信且具權威性的語氣進行說明。您是一位資深網路安全顧問，正在向大學的 IT 總監和 CTO 簡報。您的表達沉穩、直接，偶爾帶點冷幽默。在段落之間自然停頓。節奏平穩且專業，不慌不忙： 歡迎參加本次由 Purple 帶來的技術簡報。我將帶您深入了解在高等教育中實施 SCEP - Simple Certificate Enrolment Protocol - 以實現安全 BYOD 和網路註冊所需知道的一切。如果您是大學的 IT 總監或網路架構師，且目前仍依賴共用密碼或 Captive Portal 來驗證校園 WiFi 上的學生裝置，那麼本次簡報正是為您準備的。 [medium pause] 讓我們從問題開始談起。當今大多數大學運行的都是我所說的「初次使用即信任」模式。學生入學後，連線到校園 SSID，輸入他們的大學憑證，然後就進入了網路。簡單。熟悉。但坦白說，這是一個重大的安全隱患。密碼會被共用。憑證會被釣魚。單個遭到入侵的帳戶就可能讓數千台根本不該出現在網路上的裝置連入。而當您在同一基礎架構上處理 GDPR 義務、研究數據和支付系統時，這絕對是您無法承受的風險。 [medium pause] SCEP 在裝置識別層為此提供了解決方案。它不是透過密碼詢問「你是誰？」，而是透過密碼學憑證詢問「你是什麼？」。SCEP - 由 IETF 在 RFC 8894 中正式定義 - 是一種自動向託管和非託管裝置核發、傳遞與更新 X.509 數位憑證的協定。二十多年來，它一直是企業 PKI 的骨幹，並獲得所有主流 MDM 平台的原生支援：Microsoft Intune、JAMF Pro 和 VMware Workspace ONE。 以下是註冊流程在實際運作中的方式。當學生的裝置連線到您的引導註冊 SSID 時，該裝置上的 MDM 代理程式會產生一對金鑰並建立憑證簽署請求 - 即 CSR。該請求會發送到您的 SCEP 閘道器，閘道器會驗證一次性挑戰密碼。接著，閘道器將 CSR 轉發給您的憑證授權單位（CA），CA 會對其進行簽署，並將唯一的 X.509 憑證傳回給裝置。從那時起，裝置便使用該憑證透過 802.1X EAP-TLS（IEEE 802.1X 標準中定義最安全的無線驗證方法）進行驗證。無需密碼。沒有共用私鑰。只有裝置身分的密碼學證明。 [medium pause] 現在，EAP-TLS - Extensible Authentication Protocol with Transport Layer Security（可延伸驗證通訊協定 - 傳輸層安全性）值得您花點時間了解。它需要雙向驗證：裝置向 RADIUS 伺服器證明其身分，而 RADIUS 伺服器也向裝置證明其身分。這消除了驗證層中的中間人攻擊。相比之下，仍被廣泛部署的 PEAP-MSCHAPv2 存在已知的憑證竊取漏洞。如果您目前正在執行 PEAP，透過 SCEP 轉移到 EAP-TLS 是一次重大且有實質意義的安全升級，而不僅僅是微幅調整。 [medium pause] 讓我給您一個具體的架構。您正在執行三個 SSID。第一個是位於 VLAN 10 的安全學生 SSID - 我們稱之為 UniSecure。這是透過 802.1X EAP-TLS 進行憑證驗證的。只有持有由您的憑證授權單位 (CA) 頒發之有效憑證的裝置才能加入。第二個是位於 VLAN 20 的教職員 SSID，受管理裝置會在裝置註冊期間，透過 Intune 或 JAMF 自動接收憑證。第三個是位於 VLAN 30 的訪客 WiFi - 這是一個專為訪客設計的 Captive Portal，與您的學術網路完全隔離。您的 RADIUS 伺服器 - 無論是 Microsoft NPS、Cisco ISE 還是 HPE Aruba ClearPass - 介於存取點和您的憑證授權單位之間，在每次驗證嘗試時執行原則。 [medium pause] 在硬體方面，此架構可在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 和 Ubiquiti UniFi 上順暢執行。SCEP 閘道器可以是您現有的 Microsoft NDES 伺服器、雲端 SCEP 服務或專用的 PKI 平台。如果您已經在執行 Microsoft Entra ID - 先前為 Azure Active Directory - 那麼與 Intune 的 Certificate Connector 的整合非常直接且文件完善。 [medium pause] 現在讓我向您介紹兩個實際情境。第一個是一家在主校區和四個分校擁有 30,000 名學生的知名大學。他們面臨的挑戰是：學生在九月入學時，攜帶了各種 Windows 筆記型電腦、MacBook、iPhone 和 Android 裝置。以前，他們執行 PEAP 並使用大學認證。憑證分享的情況非常普遍。他們轉移到 SCEP，對受管理的教職員裝置使用 Intune，並為學生的 BYOD 裝置提供自我服務引導入口網站。學生造訪網頁，使用其大學單一登入進行驗證，入口網站就會將 SCEP 設定檔推送到他們的裝置。裝置進行註冊、接收憑證，並自動連線到安全的 SSID。在第一學期中，與 WiFi 驗證相關的 IT 支援電話減少了 60%。基於憑證的驗證也為他們提供了符合 GDPR 合規性的清晰稽核追蹤 - 他們可以具體證明在哪個特定時間，哪部裝置存取了哪個網路區段。 [medium pause] 第二種情境是一所高等職業學校，在電腦實驗室中混合使用學生個人的 Chromebook 以及共用的 Windows 裝置。他們使用 JAMF 管理 macOS 裝置，並使用 Google Workspace 的憑證管理功能來管理 Chromebook。在裝置註冊期間，系統會透過各個 MDM 推送 SCEP 設定檔。共用的實驗室裝置接收的是機器憑證而非使用者憑證，因此驗證是以裝置為基礎，而非與個人登入帳戶綁定。這意味著學生可以坐在實驗室的任何一台電腦前，無需額外的驗證步驟即可進行連線。該學校還將 IoT 裝置（投影機、印表機、智慧白板）隔離到獨立的 VLAN 上，且不進行網際網路路由，從而顯著減少了受攻擊面。 [medium pause] 接下來談談部署時常見的陷阱，因為有幾個問題經常讓團隊措手不及。第一個是挑戰密碼管理。在原始的 SCEP 中，挑戰密碼是一個共享金鑰。如果它是靜態且長期有效的，就會成為一個安全性漏洞。請利用您的 MDM 為每個裝置註冊產生一次性挑戰密碼。Intune 會透過其 Certificate Connector 自動執行此操作。如果您運作的是獨立的 SCEP 伺服器，請實施短期的過期期限 - 15 分鐘是一個合理的預設值。 第二個陷阱是憑證生命週期管理。憑證是會過期的。如果您沒有建立自動更新機制，就會遇到學生在考試當天早上無法連線到 WiFi 的情況。請將更新觸發時間設定在憑證有效期達到 80% 時。大多數 MDM 都會自動處理此問題，但在正式上線前，請務必確認您的設定。 第三個陷阱是 BYOD 範圍蔓延。並非學生擁有的所有個人裝置都應該進入您的學術 VLAN。請明確定義您的註冊原則：哪些裝置類型符合資格、需要進行哪些合規性檢查（如 OS 版本、螢幕鎖定、加密等），以及當裝置未通過合規性檢查時該如何處理。一旦設定完成，您 MDM 的條件式存取原則就會自動強制執行這些規則。 [medium pause] 以下是針對我最常被問到的問題進行的快速解答。SCEP 可以與未託管的個人裝置搭配使用嗎？可以，透過自助服務上線入口網站推送輕量級的 SCEP 設定檔。裝置不需要完全在 MDM 中註冊。SCEP 會取代 eduroam 嗎？不會 - eduroam 使用帶有 RADIUS 聯盟的 802.1X，而 SCEP 是向這些裝置提供憑證以用於驗證 eduroam 的機制。兩者是相輔相成的。SCEP 符合 GDPR 嗎？基於憑證的驗證會產生乾淨、具備可歸因性的稽核記錄 - 包含裝置識別資訊、時間戳記、VLAN 分配 - 這有助於支援您在 GDPR 第 32 條下關於採取適當技術性安全措施的義務。WPA3 會改變任何事情嗎？支援 192 位元模式的 WPA3-Enterprise 強制要求使用 EAP-TLS，而這需要憑證。SCEP 便是最自然不過的傳遞機制。同時採用 WPA3 與 SCEP 是正確的架構方向。 [medium pause] 總結來說。SCEP 可自動發放憑證至學生與教職員的裝置，在您的校園 WiFi 上啟用 802.1X EAP-TLS 驗證。它消除了共用密碼、降低了憑證釣魚風險，並為您提供可進行密碼學追溯的稽核軌跡。此架構與硬體無關 - 支援在 Cisco Meraki、HPE Aruba、Ruckus 和 Juniper Mist 上執行。它與 Microsoft Entra ID、Okta 和 Google Workspace 整合。且其擴充性極佳，從單一校園的進修教育學院到多校區的羅素集團大學皆適用。 如果您今年正在評估校園 WiFi 的安全性狀況，結合 EAP-TLS 的 SCEP 就是您應該致力建置的標準。Purple 的平台在訪客 WiFi 與分析層與此架構整合，在不損及學術網路安全的前提下，為您提供有關訪客行為的第一方數據。 感謝您的收聽。如果您想深入了解其中任何內容，可在 purple.ai 取得完整的技術指南。