MPSK是個一般WPA2 Personal要提升安全性的方案。
單一個SSID,可以用不同的Key做驗證,藉此避免一般PSK的弱點,一但被人知道KEY,大家都能用,或是存取權限難以切割。
MPSK是個結合MAC Auth與PSK的方法,在安全性上會更強一點。
MPSK只維持同樣的Key,用戶不用調整設定,就能達到權限切割。因為MPSK會結合Radius Auth,所以能透過CPPM的Policy達到單一Key就能切Role,不同Role也擁有不同的存取權限。
MPSK相較於802.1X
升級到802.1x時,因為連線時須提供的資訊不同,所以不可避免要將同事的裝置全部調整,會有痛升級。但用MPSK可以無需調整再做到權限切割。
802.1x會帶入用戶訊息,因此能透過授權(Authorization)再得到相關資訊,例如部門等。但MPSK只能透過設備MAC去篩選要對應甚麼樣的Key,在MAC隨機化當道的現在,基本上只能把重點設備(如IOT)做特別的Key與權限,對於單一用戶多裝置是很難或很花心力才能區分。
MPSK的運作
設備連入SSID,因為是PSK驗證,所以需要輸入一組Key。
Network-Access Server(NAS)也就是AP或是Controller將用戶設備MAC做Radius Auth。
Radius Server(CPPM)收到內容之後,依照Policy篩選,回傳這次的Role與Key。
NAS依照從Radius Server收到的內容,去比照用戶的Key與Server回傳的Key,如果相同則認證通過,如果不同則認證失敗。
MPSK的運作跟PSK不同,一般PSK驗證是最前面的,如果PSK+MAC Auth,那PSK要對才會進行MAC Auth;而MPSK是先以MAC Auth取得Key,然後再對比。MPSK的功能是需要產品有支援才能使用。