按厂商划分的每设备 PSK：iPSK、DPSK、MPSK 和 PPSK 对比（及 WPA3 支持）

各厂商的单设备 PSK：iPSK、DPSK、MPSK 和 PPSK 对比及 WPA3 支持。Purple 技术简报。 引言与背景。 欢迎阅读 Purple 技术简报系列。我将带您深入了解当前企业级 WiFi 中最实用、也最常被误解的主题之一：单设备预共享密钥（per-device pre-shared keys）。具体而言，我们将对比各大主流厂商如何实现这一功能、他们的命名方式、底层的实际工作原理，以及至关重要的一点——当您尝试过渡到 WPA3 时会发生什么。 如果您是 IT 经理、网络架构师，或是负责酒店集团、零售连锁、体育场馆或公共部门园区的场馆运营总监，那么这份简报就是为您准备的。您可能已经接触过这一堆首字母缩写：iPSK、DPSK、MPSK、PPSK。它们指的都是同一个概念——在单个 SSID 上为每个设备或用户提供其专属的唯一密码——但具体实现方式差异巨大，而这些差异在您规划下一次基础设施升级时至关重要。 让我们先从基础知识开始，然后逐一分析每个厂商，最后解答目前大家都在苦恼的 WPA3 问题。 技术深度解析。 那么，什么是单设备 PSK？它为什么存在？ 传统的 WPA2-Personal 在整个 SSID 中使用单个共享密码。您访客网络上的每个人都使用相同的密码。这会带来两个问题：首先，您无法在不更改所有人密码的情况下撤销单个设备的访问权限；其次，您无法针对单个设备进行可见性管理或策略执行。单设备 PSK 解决了这两个问题。每个设备或用户都会获得一个唯一的凭据。您可以撤销其中一个，而无需影响其他设备。您可以为每个密钥分配不同的 VLAN、带宽策略或访问时间表。它是介于 WPA2-Personal 的简便性与完整 802.1X 企业级认证的复杂性之间的折中方案。 现在让我们来看看各厂商是如何实现这一功能的。 Cisco Meraki 将其称为 iPSK（Identity Pre-Shared Key，身份预共享密钥）。Meraki 支持两种模式。在不使用 RADIUS 的情况下，您最多可以直接在 Meraki 控制面板中配置五个唯一的 PSK，每个 PSK 映射到一个 VLAN。这种方式配置迅速，且不需要外部基础设施。在使用 RADIUS（通常是 Cisco ISE）的情况下，您可以扩展到数万个密钥。客户端进行关联，AP 将 MAC 地址和 PSK 提示发送给 RADIUS 服务器，服务器返回正确的单设备密钥，然后使用该密钥作为成对主密钥（Pairwise Master Key）完成标准的 WPA2 四次握手。这里的核心要点是，由 RADIUS 服务器进行查找，而不是 AP。AP 只是协助完成这一交互过程。 HPE Aruba 称其为 MPSK（多重预共享密钥）。Aruba Central 和 Aruba Instant 支持两种模式的 MPSK：MPSK Local（密钥存储在控制器或 AP 集群上）以及结合 ClearPass（Aruba 的 RADIUS 和策略引擎）的 MPSK。ClearPass 可以保存数万个密钥，分配动态 VLAN，并为每个密钥应用基于角色的策略。其身份验证流程与 Meraki 的 RADIUS 模式基本相同——在四次握手之前，基于 MAC 的查找会返回每台设备的密钥。 Ruckus（现为 CommScope 旗下）称其为 DPSK（动态预共享密钥）。这可以说是市场上最成熟的实现方案。Ruckus DPSK 自早期的 SmartZone 时代起就已推出。在本地模式下，DPSK 服务在控制器上运行并保存密钥数据库。在 RADIUS 模式下，它与 Ruckus 自己的网络准入控制平台 Cloudpath 集成。Ruckus 的特别之处在于 DPSK3——这是他们对 DPSK 的 WPA3 扩展，我们稍后会回到这一点。DPSK3 适用于运行固件 7.0 或更高版本的 Wi-Fi 6、6E 和 7 接入点，并以 WPA2/WPA3 混合模式运行。 Juniper Mist 称其为 PPSK（专用预共享密钥），有时也称为 Multi-PSK。Mist 将密钥存储在云端（Mist 组织或站点密钥数据库中），每个站点限制为 5,000 个密钥。密钥可以按用户、按设备或按组进行分配。Mist 还与其云原生 NAC 服务 Access Assurance 集成，从而增加了基于 RADIUS 的 PSK 查找。至关重要的是，Juniper 已宣布通过 Access Assurance 支持 WPA3 RADIUS PSK，允许单个 WPA3-Personal SSID 服务于多个密码。这是市场上最具前瞻性的实现方案之一。 Extreme Networks（已收购 Aerohive）通过 ExtremeCloud IQ 称其为 PPSK（专用预共享密钥）。Extreme 的实现方案支持在 AP 本地存储密钥，这对于连接受限的分支机构或远程站点非常有用。它还支持通过 ExtremeCloud IQ 的云 RADIUS 服务进行基于 RADIUS 的查找。此外还提供 MAC 绑定功能，可将 PPSK 与特定设备的 MAC 地址绑定，以提高安全性。 Fortinet 称其为 MPSK（多重预共享密钥），通过 FortiAP 和 FortiGate 无线控制器进行管理。Fortinet 的实现方案之所以引人注目，是因为自 FortiAP 固件 8.0 起，它在其 MPSK 配置文件中明确支持 WPA3-SAE 和 WPA3-SAE 过渡安全模式。您可以创建带有 WPA3-SAE 密钥的 MPSK 配置文件，将其分配给 VAP，并启用每个密钥的动态 VLAN 分配。这是目前最干净的 WPA3 MPSK 实现方案之一。 Ubiquiti UniFi 将其称为专用预共享密钥（Private Pre-Shared Keys），或 Private PSK。UniFi 的实现仅限本地——密钥存储在 UniFi Network 控制器中，而不是外部 RADIUS 服务器中。您可以为每个密钥分配不同的 VLAN，并设置每个密钥的客户端限制。一个重大限制是：截至 2026 年年中，UniFi Private PSK 仅适用于 2.4 GHz 和 5 GHz 上的 WPA2 网络。不支持 WPA3 和 6 GHz。对于较小规模的部署，这完全没有问题，但在您大规模投入 UniFi 设备之前，这是一个值得了解的限制。 现在，关于 WPA3 的问题。这是技术上最有趣的地方。 WPA2-Personal 使用四次握手。客户端和 AP 从共享的成对主密钥（PMK）中派生成对瞬态密钥（PTK），而 PMK 本身又是从密码派生而来的。由于 PMK 的派生发生在 RADIUS 查询之后，AP 可以在此时替换为每个设备的专属密钥。标准对此并不关心——它只看到一个有效的 PMK。 WPA3-Personal 用 SAE（同时对等身份验证）取代了四次握手。SAE 是一种基于 Diffie-Hellman 的协议。在关联完成之前，双方都会承诺使用一个由密码派生的共享密码元素。关键区别在于：在 SAE 交换开始之前，双方必须已经知道该密码。在协议中，RADIUS 服务器无法在任何时间点为每个设备注入不同的密钥。AP 和客户端已经在用一个共享值进行加密交互了。 这就是为什么 WPA3 在其标准形式下目前只允许每个 SSID 使用一个密钥。这不是固件限制，而是协议限制。 目前的解决方法分为以下三类。 第一，WPA3 过渡模式——也称为 WPA2/WPA3 混合模式。SSID 同时广播 WPA2-PSK 和 WPA3-SAE。WPA2 客户端使用四次握手，并可以通过 RADIUS 接收每个设备的专属密钥。WPA3 客户端则使用带有单一共享密码的 SAE。这是目前部署最广泛的方法，并得到了 Cisco Meraki、HPE Aruba、Ruckus 等厂商的支持。 第二，专有扩展。Ruckus DPSK3 是最典型的例子。通过在 WPA2/WPA3 混合模式下运行，并以 Cloudpath 作为 RADIUS 后端，DPSK3 允许支持 WPA3 的设备使用 SAE，同时系统通过 Cloudpath 集成来管理每个设备的密钥绑定。Juniper 的 Access Assurance WPA3 RADIUS PSK 也采用了类似的方法。Fortinet 带有 WPA3-SAE 过渡模式的 MPSK 允许您在同一个 MPSK 配置文件中混合使用 WPA2-Personal 和 WPA3-SAE 密钥。 第三，转向 802.1X。对于托管终端——公司笔记本电脑、员工设备以及任何您可以推送证书的设备——采用 EAP-TLS 的 WPA3-Enterprise 是最完美的解决方案。它完全兼容 WPA3 和 6 GHz，提供单设备身份识别，并可与 Microsoft Entra ID、Okta 和 Google Workspace 集成。其代价是部署复杂性以及对证书基础设施的需求。 实施建议与常见陷阱。 那么，您究竟应该怎么做呢？ 如果您运营的酒店物业中混合了访客设备、IoT 传感器和员工设备，那么在 2026 年，最务实的解决方案是采用混合 SSID 设计。保留一个带有每设备 PSK 的 WPA2-Personal SSID，用于旧版 IoT 和访客设备。为受控的员工设备运行一个 WPA3-Enterprise SSID。在您的主要访客 SSID 上使用过渡模式，以同时支持 WPA2 和 WPA3 客户端，而不会使您的 SSID 数量碎片化。 如果您使用的是 Ruckus 并且运行的是 Wi-Fi 6 或更新的硬件，那么在 WPA2/WPA3 混合模式下结合 Cloudpath 使用 DPSK3 是非常值得评估的。它能为您提供目前最接近原生 WPA3 每设备 PSK 的体验。 如果您使用的是 Fortinet，带有 WPA3-SAE 过渡的 MPSK 配置文件配置起来非常简单，并能为您提供一条清晰的迁移路径。 如果您使用的是 UniFi，请向您的利益相关者明确说明 Private PSK 仅限 WPA2。对于部署了带有 6 GHz 频段的 Wi-Fi 6E 或 Wi-Fi 7 的场馆，您需要针对该频段采用不同的认证策略。 我们看到的最大陷阱是团队假设在现有的每设备 PSK SSID 上启用 WPA3 就能直接正常工作。事实并非如此。请先在试点站点进行测试。检查您的 AP 固件版本——例如，Ruckus 上的 DPSK3 需要固件 7.0 或更高版本。并检查您的 RADIUS 服务器兼容性——混合模式下的 Ruckus DPSK3 特别需要 Cloudpath，而不是通用的 RADIUS 服务器。 第二个陷阱是密钥扩张。每设备 PSK 对于责任追溯非常有用，但前提是您有一套在设备报废时撤销密钥的流程。如果没有生命周期管理，您最终会得到数千个孤立的密钥且没有审计追踪。从第一天起，就将您的密钥配置与您的设备管理工作流集成在一起。 快速问答。 我可以在 6 GHz SSID 上使用每设备 PSK 吗？不能。6 GHz 强制要求仅限 WPA3，而 WPA3 原生不支持每设备 PSK。对于需要每设备 PSK 的设备，请使用 802.1X 或单独的 2.4/5 GHz SSID。 每设备 PSK 是否符合 PCI DSS 要求？如果每个密钥都映射到隔离的 VLAN，则 WPA2 上的每设备 PSK 可以满足 PCI DSS 4.0 网络分段要求。但 PCI DSS 强烈建议在持卡人数据环境中使用 802.1X。请向您的 QSA 咨询。 每个 SSID 的最大密钥数量是多少？这有很大差异。结合 ISE 的 Cisco Meraki 支持非常大规模的部署。Ruckus DPSK 支持数万个密钥。Juniper Mist 每个站点上限为 5,000 个。UniFi 实际上受控制器内存限制。请务必针对您的特定固件版本查阅厂商文档。 Purple 在其中扮演什么角色？Purple 作为云端覆盖层运行在您现有的硬件之上。我们与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 进行集成。对于 Guest WiFi 和员工 WiFi 部署，Purple 负责处理身份层（身份验证、数据捕获、同意管理），并通过 RADIUS 或 API 将相应的 VLAN 或策略分配传回您的硬件。您保留现有的每设备 PSK 基础设施；Purple 则在之上添加身份和分析层。 总结与后续步骤。 让我们来总结一下。 每设备 PSK（无论您称其为 iPSK、DPSK、MPSK 还是 PPSK）是所有主流企业级 WiFi 厂商中一项成熟且支持良好的功能。其实现方式的区别在于密钥的存储位置、如何进行扩展以及如何与 RADIUS 集成。 WPA3 的 SAE 协议对每设备 PSK 构成了真正的技术限制。该标准本身并不支持它。目前的实际解决方案是过渡模式、像 DPSK3 这样的专利扩展技术，或者对于支持该技术的设备转向使用 802.1X。 各厂商总结：Cisco Meraki iPSK 在 RADIUS 模式下与 ISE 配合良好；WPA3 支持通过过渡模式实现。HPE Aruba MPSK 配合 ClearPass 具有极高的可扩展性；WPA3 MPSK 正在积极开发中。Ruckus DPSK3 是目前最成熟的 WPA3 每设备 PSK 解决方案。Juniper Mist Access Assurance 增加了 WPA3 RADIUS PSK。Fortinet MPSK 在其 MPSK 配置文件中明确支持 WPA3-SAE。Extreme PPSK 在本地和 RADIUS 模式下表现稳定。UniFi Private PSK 仅限 WPA2 且仅限本地。 关于您的后续步骤：审计您当前的每设备 PSK 部署，识别哪些设备支持 WPA3，并设计一个同时服务于两者的混合 SSID 策略。如果您正在计划硬件升级，请优先考虑已确认支持 DPSK3 或 WPA3 MPSK 的 Wi-Fi 6 或 Wi-Fi 7 AP。 如果您想了解 Purple 如何与您的特定硬件厂商集成，在您的每设备 PSK 部署之上添加身份管理和分析层，请访问 purple.ai 或联系您的客户团队。 本次简报到此结束。感谢您的收听。