PPSK 12：功能与部署模型对比

欢迎阅读 Purple 技术简报。今天我们将介绍 PPSK 12（即密钥长度至少为 12 个字符的 Private Pre-Shared Key），并为房地产开发商、房东和租房建设（build-to-rent）运营商对比其功能和部署模式。 让我们先来了解一下背景。如果您正在管理一栋拥有 50、100 或 300 个单元的住宅楼，您会面临一个 WiFi 难题：无论是共享密码还是完整的企业级 802.1X 部署都无法完美解决。共享密码意味着每个居民都在同一个网络上。一旦有人搬走，您更改密码，就会破坏其他所有居民的智能家居设置。完整的 802.1X 是企业托管设备的黄金标准，但它需要在每个设备上进行公钥基础设施、证书管理和客户端配置。您居民的 Chromecast、智能音箱和游戏机根本无法做到这一点。 PPSK 正好介于这两个极端之间。每个居民都会获得自己独特的预共享密钥 - 至少 12 个字符，混合大小写字母、数字和符号。所有居民都连接到同一个 SSID。从居民的角度来看，它的体验完全就像家庭 WiFi 网络。从您作为运营商的角度来看，每个连接都是单独识别、单独加密且可以单独撤销的。 第一部分：技术架构。 当设备连接到启用 PPSK 的 SSID 时，无线局域网控制器会拦截连接尝试并将设备的 MAC 地址转发到 RADIUS 服务器。RADIUS - Remote Authentication Dial-In User Service - 是身份验证引擎。RADIUS 服务器在其身份存储中查找该 MAC 地址，并返回 Access-Accept 响应。该响应中嵌入了该居民特有的预共享密钥以及 VLAN 分配。控制器根据 RADIUS 服务器返回的密钥验证设备提供的密钥。如果匹配，设备将通过身份验证并进入正确的网络段。 其结果就是我们所说的“每个居民专属的 WiFi 气泡”。使用居民 A 的密钥的每个设备都能看到使用居民 A 的密钥的其他所有设备。他们的手机可以发现他们的 Chromecast。他们的智能音箱可以与他们的灯泡配对。他们的游戏机可以找到他们的电视。使用居民 A 的密钥的设备无法看到使用其他密钥的任何设备。即使在同一个物理接入点上，居民 B 的设备对居民 A 来说也是不可见的。 各大主流厂商的实现方式都略有不同。Cisco Meraki 称之为 iPSK - Identity PSK。HPE Aruba 称之为 MPSK - Multi-PSK。Ruckus 称之为 DPSK - Dynamic PSK。Juniper Mist 使用 PPSK。这四种技术的基本原理是完全相同的。具体实现细节的区别在于 RADIUS 属性的结构以及单个 SSID 可以支持的唯一密钥数量。关于密钥长度：至少12个字符的要求并非凭空制定。WPA2-PSK密钥是使用PBKDF2结合4,096次HMAC-SHA1迭代生成的。少于12个字符的密钥极易受到离线字典攻击，尤其是在面对现代GPU加速破解工具时。在包含混合字符类型且长度达到12个字符时，密钥空间足够大，可使暴力破解攻击在计算上变得不可行。包括UniFi在内的一些平台在UI层面强制执行此最低要求。无论平台是否要求，您都应该在密钥生成策略中强制执行此要求。 第二部分：部署模式。 PPSK有三种部署架构，选择适合的架构取决于您的物业组合和团队的运维能力。 第一种是云RADIUS。您的接入点向托管在云中的RADIUS服务进行身份验证，该服务通常跨多个可用区。对于多项目物业组合（例如在多个城市拥有物业的BTR运营商）而言，这是正确的选择。云RADIUS消除了单项目硬件需求，实现了证书自动轮换，并可弹性扩展。Purple平台在其身份验证基础设施上提供99.999%的在线率。其代价是依赖广域网（WAN）：如果某个项目的互联网连接中断，新设备在连接恢复前将无法进行身份验证。您可以通过SD-WAN和控制器上的本地凭据缓存来缓解此问题。 第二种是本地RADIUS。RADIUS服务器 - 通常是Microsoft NPS或FreeRADIUS - 运行在项目的硬件或虚拟机上。这为您提供了亚毫秒级的身份验证延迟、完整的数据主权，且不依赖广域网。对于具有严格数据驻留要求的单一大型项目，或者对于互联网连接不可靠的环境，这是正确的选择。但运维成本更高：您的团队需要管理补丁、证书轮换和服务器健康状况。证书过期是本地部署中导致身份验证完全中断的最常见原因。从第一天起就将自动证书更新纳入您的运行手册中。 第三种是混合模式。云RADIUS处理访客和物联网SSID。本地RADIUS处理任何针对内部Active Directory进行身份验证的企业或员工SSID。对于混合用途开发项目 - 例如带有底层零售或联合办公空间的BTR大楼 - 这是一个实用的模式。Purple的平台原生支持这种混合模式，可运行在Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks和Fortinet接入点上。 第三部分：密钥生命周期管理。 技术是简单的一部分。密钥生命周期管理才是决定部署在运维上成功与否的关键。 在入住时，系统会自动生成并配给住户的专属密钥 - 理想情况下是通过与您的物业管理系统进行 API 集成。住户通过欢迎邮件或住户应用程序接收密钥。他们的所有设备都使用该单一密钥进行连接。退房时，该密钥将被撤销。其他住户不受任何影响。无需轮换密码。无需提交支持工单。 在租期内，住户会添加新设备。正确的处理方式是提供一个自助服务门户或住户应用程序，向新设备发放该住户的现有密钥，而不会将该密钥泄露给其他住户。Purple 的平台开箱即用，直接提供此工作流程。 关键的操作风险是 MAC 地址随机化。出于隐私原因，iOS 14 及更高版本、Android 10 及更高版本以及 Windows 11 默认都会随机化 MAC 地址。如果设备呈现随机 MAC，您的 RADIUS 服务器将找不到匹配的记录并拒绝连接。解决方案是配置您的 SSID，要求客户端使用其设备的永久 MAC 地址，或者实施预注册工作流程。这必须从第一天起就包含在您的部署计划中，而不是在上线期间才发现。 第四部分：WPA3 和 6 GHz 考量。 关于 WPA3，我想说明一下，因为这是我经常看到运营商在规划时犯错的地方。目前实施的 PPSK 依赖于 WPA2-PSK 的四次握手。WPA3 引入了 SAE - Simultaneous Authentication of Equals - 改变了握手机制。SAE 目前每个 SSID 仅支持一个密钥。这意味着纯 WPA3 SSID 无法支持多个唯一的预共享密钥。 在 WiFi 6E 引入的 6 GHz 频段中，WPA3 是强制性的。您完全无法在 6 GHz 频段中运行 WPA2。因此，如果您正在部署 WiFi 6E 或 WiFi 7 接入点并希望使用 6 GHz 频段，目前在该频段中无法使用 PPSK。 针对 2025 年和 2026 年部署的实用建议是采用双频策略。在 2.4 GHz 和 5 GHz 频段上以 WPA2 或 WPA2/WPA3 过渡模式运行您的 PPSK SSID。在 6 GHz 频段上为支持该频段的托管设备使用单独的 WPA3-Enterprise SSID。这既能为您庞大的设备群提供 PPSK 的单住户隔离，又能为可以使用 WPA3 的设备提供更强的安全性。包括 Cisco Meraki、HPE Aruba 和 Juniper Mist 在内的厂商正在积极开发兼容 WPA3 的 PPSK 实现方案。 第五部分：合规性与数据隐私。 住宅环境中的 PPSK 部署比访客 WiFi 处于更敏感的隐私环境中。住户与您保持着长期的关系，数据暴露的时间长达数年，而不是数分钟。 在 GDPR 规定下，住户隔离本身就是一项隐私要求。您有责任防止一名住户发现另一名住户的设备或与其进行交互。PPSK 是实现这一目标的工程机制。即使在共享的物理基础设施上，为每个住户分配 VLAN 也能确保第 2 层隔离。 身份验证日志的保留时间应仅限于满足安全和运营所需的时间。对于住宅部署，六个月是常见的上限。Purple 将数据存储在可选区域中，支持英国、欧盟和美国的数据驻留要求。 对于拥有底层零售或餐饮商户的 BTR 运营商，PCI DSS 非常重要。支持单租户 VLAN 分配的 PPSK 允许您证明支付处理设备处于加密隔离的分段上，即使在共享的物理基础设施上也是如此。与共享密码部署相比，这是一项具有实际意义的合规优势。 第六部分：快速问答。 单个 SSID 可以支持多少个唯一的密钥？这取决于控制器。Cisco Meraki 支持每个 SSID 无需 RADIUS 即可支持多达 5,000 个 iPSK，在使用 RADIUS 时实际上没有限制。Ruckus DPSK 支持每个区域数千个。在实际操作中，限制因素是 RADIUS 服务器的数据库容量和查询性能，而不是无线控制器。 PPSK 是否适用于 IoT 设备？是的。IoT 设备 - 智能音箱、温控器、传感器、门锁 - 与任何其他设备一样，使用居民的密钥进行连接。它们会进入居民的 VLAN，并可以发现使用同一密钥的其他设备。这是 PPSK 成为 BTR 和 MDU 部署正确架构的主要原因，在这类部署中，每户 15 到 25 台设备已是常态。 商业案例是什么？根据英国房地产联合会（British Property Federation）的 BTR 研究，提供具有单居民隔离功能的托管 WiFi 便利设施，每月每套公寓可带来 15 至 30 英镑的租金溢价。如果在入住第一天就准备好即用 WiFi，空置期可减少 5 到 10 天。当正确部署 PPSK 时，有关 Chromecast 和智能家居问题的支持工单量会降至接近零。 总结和后续步骤。 将最小密钥长度设为 12 个字符的 PPSK，是 BTR、MDU、学生公寓和保障性住房部署的正确 WiFi 身份验证架构。它提供单居民隔离、完整的 IoT 支持以及自动化的密钥生命周期管理，而无需 802.1X 的基础设施开销。 对于多项目组合，选择云 RADIUS。对于有数据主权要求的单一大型物业，选择本地 RADIUS。对于混合用途开发项目，使用混合模式。 从第一天起就针对 MAC 地址随机化进行规划。在兼容 WPA3 的 PPSK 实现技术走向成熟的同时，为 WiFi 6E 和 WiFi 7 部署制定双频策略。 本季度要做三件事：对照这些标准审计您当前的身份验证模型，评估您的 RADIUS 基础设施，并定义您的密钥生命周期管理流程（包括与您的物业管理系统的集成）。 Purple 的多租户 WiFi 平台在您已拥有的接入点上运行，覆盖 80,000 个活动场所，并为其身份验证基础设施提供 99.999% 的可用性。感谢您参加本次 Purple 技术简报会。