PPSK life: comparing features and deployment models

欢迎阅读 Purple WiFi 技术系列文章。今天我们将探讨 PPSK - 即私有预共享密钥（Private Pre-Shared Key）的使用，并为房地产开发商、房东和建设租赁（BTR）运营商对比其功能和部署模式。 让我们先从背景聊起。如果你正在管理一栋住宅楼 - 无论是一个拥有50个单元的 BTR 项目、学生公寓楼还是联租空间 - 你几乎百分之百遇到过同一个 WiFi 难题。那就是整栋楼共用一个密码。有人搬走后，你更改了密钥，结果200名住户的设备突然全部断开连接。或者更糟糕的是，你没有更改密钥，搬走的租户仍然可以访问网络。 标准的 PSK - 预共享密钥 - 从来就不是为此类场景设计的。它是为彼此信任的四口之家设计的。而不是为了一个住着300名互不相识的住户的建筑设计的。 那么，什么是 PPSK？私有预共享密钥（Private Pre-Shared Key）为每个住户或每个设备提供其独有的 WiFi 密码。他们连接到相同的网络名称 - 即同一个 SSID - 但每个人的密钥对于该住户来说都是唯一的。当住户 A 连接时，网络知道这是住户 A。当他们搬走时，你只需注销其密钥。其他人都不会受到影响。没有其他任何一个住户需要重新连接他们的任何设备。 现在你可能会想 - 这不就是 802.1X 的功能吗？你只说对了一半。802.1X 作为 IEEE 企业级认证标准，同样提供个人凭据。但它需要证书基础设施、RADIUS 服务器以及客户端配置。你住户的 Chromecast、PlayStation 游戏机和智能温控器无法运行 802.1X。它们没有支持该功能的软件栈。而 PPSK 适用于所有可以连接 WiFi 的设备 - 因为从设备的角度来看，它只需要输入一个密码。 这就是 PPSK 应用的核心洞察。你可以获得个人问责制 - 即 802.1X 的安全优势 - 同时无需承担基础设施开销，也不用面对设备兼容性带来的烦恼。 现在我们来谈谈厂商格局，因为术语各不相同。Aruba 称其为 MPSK（Multi-PSK）。Cisco Meraki 称其为 iPSK（Identity PSK），并且最近在此基础上增加了 WiFi Personal Network。Ruckus 称其为 DPSK（Dynamic PSK）。该技术的开创者 Extreme Networks 称其为 PPSK。Juniper Mist 则使用 ePSK。所有这些背后的核心概念是完全相同的：一个 SSID，多个密钥，用户间隔离。 在 Purple，我们作为与硬件无关的云端覆盖层，凌驾于所有这些硬件之上。我们支持 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。无论天花板上安装的是哪种接入点，我们都可以管理密钥的生命周期 - 包括分发、轮换和注销。 让我们深入了解其架构。在 PPSK 部署中，接入点 - 或其背后的控制器 - 维护着一个将每个密钥映射到 VLAN 的表。当设备使用居民 A 的密钥进行连接时，AP 会将该设备分配到居民 A 的 VLAN。居民 B 的设备则进入居民 B 的 VLAN。在第 2 层（Layer 2），它们彼此完全不可见。 这就是我们所说的 WiFi 气泡（WiFi bubble）。每位居民都获得一个专用局域网 - 他们自己的逻辑家庭网络 - 即使他们共享物理基础设施。他们的手机可以发现他们的 Chromecast。他们的智能音箱可以与灯泡配对。他们的控制台获得 Open 类型的 NAT。它的工作原理与家用路由器完全相同，因为从网络角度来看，它就是一个家用路由器 - 只是一个虚拟的路由器。 在一些厂商针对较小规模部署的实现中，RADIUS 服务器是可选的，但对于任何超过几十个单元的部署，您都需要将 RADIUS 纳入其中。它为您提供集中式日志记录、动态 VLAN 分配，以及与您的身份提供商 - Microsoft Entra ID、Okta 或 Google Workspace 进行集成的能力。Purple 在平台中提供 RADIUS-as-a-Service，因此您无需运行自己的服务器。 现在，WPA3 在此基础上又增加了安全层。WPA3-Personal 引入了 SAE（等同性同时认证），取代了旧的 4 次握手。SAE 能够抵御离线字典攻击，这意味着即使有人捕获了握手，也无法离线暴力破解密钥。对于 PPSK 部署，同时支持 WPA2 和 WPA3 客户端的 WPA3 过渡模式是 2025 年及以后的理想起点。目前来自 Cisco Meraki、HPE Aruba 和 Ruckus 的大多数接入点都支持这一功能。 让我们来看看两个真实的部署场景，因为理论只能带您走到这里。 第一种场景：曼彻斯特一个拥有 200 个单元的建房出租（build-to-rent）项目。开发商正在预先布线，部署 HPE Aruba 接入点 - 每层一个，安装在走廊。他们希望居民从租期第一天起就能使用 WiFi，无需等待宽带开通，并且他们希望将该服务作为便利设施包的一部分收取溢价。 这里的架构非常简单。整个大楼使用一个 SSID - 假设就用大楼的名字。Purple 在租户入住前的入驻流程中，为每个单元配置一个唯一的 MPSK 密钥。居民在入住前通过电子邮件收到他们的密钥。他们到达后，连接手机，随后添加的所有其他设备都使用相同的密钥。他们的 Chromecast 可以正常工作。他们的 Alexa 可以正常工作。他们的 PlayStation 获得 Open 类型的 NAT。 当他们搬出时，物业管理系统会触发一个 Webhook 传送到 Purple 的 API。Purple 撤销该密钥。下一位居民将获得一个新密钥。大楼里的其他任何人都不会受到影响。整个生命周期 - 配置、轮换、撤销 - 都是自动化的。物业经理无需触碰网络。商业成果：英国房地产联合会（British Property Federation）的研究表明，当将 WiFi 作为托管便利设施包含在内时，BTR 运营商每套房每月可获得 15 至 30 英镑的租金溢价。由于保证了入住当天的网络连接，空置期缩短了 5 至 10 天。而且，在自有硬件上覆盖软件的单门成本通常比单户宽带合同低 30% 到 50%。 第二种场景：一个拥有 600 个床位的专门建造的学生公寓。这里的挑战是迎新周 - 即 9 月的第一周，届时 600 名学生同时到达，每人平均拥有 7 台设备。笔记本电脑、手机、平板电脑、游戏机、智能音箱。这意味着在 48 小时内有 4,000 多台设备尝试联网。 在标准的 PSK 设置下，这简直是支持服务的噩梦。而使用 PPSK，每位学生都会在抵达前的欢迎邮件中收到他们的密钥。他们到达后只需连接一次，所有设备就都处于其专属的私有网段中。游戏机可以获得正确的 NAT 类型。智能电视流媒体播放流畅不卡顿。笔记本电脑可以连接到大学 VPN，而不会受到其他居民流量的干扰。 与 BTR 的关键运营区别在于年度学生轮换。每年 8 月，您为新入学的学生批量配置新密钥，并批量撤销毕业离校学生的密钥。Purple 通过与学生管理系统的 SCIM 集成来处理这一问题，或者在系统不支持 SCIM 时通过 CSV 导入来处理。无论哪种方式，这都是一个计划好的操作，而不是手动操作。 现在让我介绍一下实施中的陷阱，因为有一些陷阱常常让人防不胜防。 第一：VLAN 枯竭。每个居民网段都需要自己的 VLAN。一栋拥有 500 套房的建筑需要 500 个 VLAN。大多数企业级交换机在 802.1Q 标准下支持 4,096 个 VLAN，因此您不太可能达到上限，但您需要在设计阶段规划好 VLAN 范围。不要事后才去考虑它。 第二：mDNS 和设备发现。默认情况下，mDNS - 即 Chromecast、AirPlay 和 Sonos 用于发现设备的协议 - 不能跨越 VLAN 边界。您需要在控制器或网关上配置 mDNS 反射或代理，以允许在居民的 VLAN 内进行发现，同时阻止在 VLAN 之间进行发现。每个主流厂商都支持这一点，但并不总是默认启用。在上线前请务必检查。 第三：MAC 地址随机化。现代 iOS 和 Android 设备会在每个网络中随机化其 MAC 地址以保护隐私。这会破坏任何基于 MAC 的身份验证或设备注册流程。PPSK 完全避开了这个问题 - 身份验证是基于密钥而非 MAC 的 - 但如果您正在运行任何辅助的 MAC 过滤规则，则需要考虑随机化的因素。第四：密钥长度和复杂度。PPSK 密钥应至少包含 20 个字符，随机生成，且绝不在居民之间重复使用。弱密钥会破坏整个隔离模型。Purple 默认生成加密随机密钥。如果您是手动或通过物业管理系统集成生成密钥，请在配置工作流中强制执行最小长度。 第五：IoT 准入流程。智能家居设备（温控器、门锁、智能插座）在加入主网络之前，通常使用蓝牙或临时 WiFi 设置模式。您向居民提供的准入指南需要考虑到这一点。设备需要加入居民的 PPSK 网络，而不是建筑物的管理网络。清晰且带有图示的设置指南可以显著减少技术支持工单。 让我们进行一次快速问答，以解答我们最常听到的问题。 问题：我需要为 PPSK 配备 RADIUS 服务器吗？ 回答：这取决于规模和供应商。Cisco Meraki 的 iPSK 在没有 RADIUS 的情况下最多支持 50 个密钥，但通过 WiFi 个人网络结合 RADIUS 可扩展至 5,000 个。Aruba MPSK 需要 RADIUS 进行动态 VLAN 分配。对于任何超过 50 个单元的部署，请使用 RADIUS。Purple 提供 RADIUS-as-a-Service，因此您无需运行自己的服务器。 问题：居民可以在他们的所有设备上使用 PPSK 吗，包括游戏机和智能电视？ 回答：是的。这是相比于 802.1X 的主要优势。任何支持 WPA2-Personal（过去 15 年制造的所有 WiFi 设备都支持）的设备都可以配合 PPSK 使用。无需证书，无需客户端配置，无需 Captive Portal。只需一个密码。 问题：当居民丢失密钥或更换新手机时会发生什么？ 回答：他们可以通过居民门户或应用程序请求新密钥。Purple 会颁发一个新密钥，并且可以选择撤销旧密钥。新密钥适用于他们的所有设备。这是一个自助服务流程 - 无需 IT 人员参与。 问题：PPSK 是否符合 GDPR？ 回答：PPSK 本身是一种网络接入机制，而不是数据收集工具。符合 GDPR 取决于您收集哪些数据以及如何处理这些数据。Purple 已通过 GDPR 和 ISO 27001 认证。居民 WiFi 日志的保留时间应仅以运营所需为限 - 六个月是常见的上限。聚合分析通常没有问题，但在居民单元内追踪个人行为则是不允许的。 问题：PPSK 与 Passpoint 和 OpenRoaming 相比如何？ 回答：应用场景不同。Passpoint（也称为 Hotspot 2.0）旨在实现场馆和运营商之间的无缝漫游。OpenRoaming 基于 Passpoint 构建，用于全球漫游。PPSK 则用于单一物业或庄园内持久的、基于身份的访问。它们是互补的，而不是竞争关系。长租公寓（BTR）开发项目可能会将 PPSK 用于居民，而将 Passpoint 用于公共区域的访客接入。 最后，让我总结一下关键要点。 第一：PPSK 是多租户住宅 WiFi 的理想身份验证模型。它为您提供单户隔离、IoT 兼容性以及自动化的生命周期管理 - 且无需 802.1X 的证书基础设施。 第二：不同厂商的术语有所不同 - iPSK、MPSK、DPSK、ePSK - 但其概念是完全相同的。根据您的建筑需求选择硬件，并使用像 Purple 这样与硬件无关的覆盖系统来跨任何厂商管理生命周期。 第三：在上线前规划好您的 VLAN 范围、mDNS 反射和 IoT 引导流程。这是部署后支持工单最常见的三大来源。 第四：PPSK 能够带来可衡量的商业回报。这包括每户每月 15 至 30 英镑的 BTR 租金溢价，空置期缩短 5 至 10 天，以及与按户签署的宽带合同相比，单门成本降低 30% 至 50%。 第五：WPA3 过渡模式是 2025 年及以后新部署的正确选择。它同时支持 WPA2 和 WPA3 客户端，并且 SAE 保护可以显著增强密钥抵御离线攻击的能力。 如果您想深入了解，Purple 多租户 WiFi 指南涵盖了子网规划、DHCP 范围规划，以及针对 BTR、学生公寓、社会住房和联合办公的特定行业部署模型。Purple 网站上还提供了一个免费的 iPSK 子网设计工具。 感谢收听。如果您有任何疑问，请通过 purple dot ai 与我们的网络架构师联系。我们下期再见。