PPSK WiFi：功能与部署模式对比

欢迎来到 Purple 技术简报。今天我们将介绍 PPSK WiFi - Private Pre-Shared Key（私有预共享密钥） - 它的概念、与替代方案的对比以及最适合部署的场景。 [medium pause] 让我们先从它解决的问题开始。在传统的 WPA2 个人网络中，网络上的每台设备都共享相同的密码。这在家庭环境中没问题。但在拥有 200 套房源的“建房出租”项目、学生公寓大楼或拥有 300 间客房的酒店中，这就会成为一个隐患。当一个住户搬走时，你面临两个选择：要么为所有人更改密码 - 这会顺便中断其他所有住户的智能电视、温控器和游戏机的连接 - 要么就让搬走的住户继续保留访问权限。这两种选择都是无法接受的。 [short pause] PPSK 通过为每个住户、每套公寓或每个设备组提供其独有的 WiFi 密钥来解决这个问题。他们都连接到同一个 SSID（相同的网络名称），但每个密钥都会映射到独立的 VLAN。12 号公寓处于 VLAN 10。13 号公寓处于 VLAN 20。物联网设备处于 VLAN 99。接入点会自动处理密钥到 VLAN 的映射。不需要 RADIUS 服务器。不需要证书基础设施。设备上也不需要 802.1X 客户端。 [medium pause] 现在我们来谈谈术语，因为不同厂商的叫法各不相同，这在市场上引起了不小的混淆。Aruba 称其为 PPSK（Private Pre-Shared Key）。Cisco Meraki 称其为 iPSK - Identity PSK（身份 PSK）或个人私有网络。Juniper Mist 使用 ePSK。最初在 Aerohive 品牌下开发这一概念的 Extreme Networks 称其为 Private PSK。Ubiquiti UniFi 简称为 PPSK。Cambium 同样使用 ePSK。它们背后的底层机制完全相同：一个 SSID，多个唯一的密钥，每个密钥绑定到一个 VLAN 或策略组。 [short pause] 从技术上讲，以下是关联层发生的事情。当设备连接时，它会在 WPA2 四次握手期间提供其预共享密钥。接入点（或其背后的云控制器）在 PPSK 存储中查找该密钥，确定其映射到哪个 VLAN，并从该点开始对该设备的流量进行相应的标记。设备看到的是普通的 WiFi 连接。它根本不知道自己已被放置在隔离的网络网段中。它的 Chromecast 可以正常工作。它的智能音箱可以配对。它的游戏机可以获得正确的 NAT 类型。一切表现得就像在家庭网络中一样 - 因为从设备的角度来看，它确实就是。 [medium pause] 这是与 802.1X 的关键区别，后者是员工网络和企业环境的企业级标准。802.1X 需要 RADIUS 服务器、身份验证提供商 - 如 Microsoft Entra ID、Okta 或 Google Workspace - 以及每台设备上的客户端。该客户端是处理 EAP 身份验证交互的软件组件。每台受管理的笔记本电脑、每部企业手机都有一个。但你住户的智能冰箱没有。你大楼的暖通空调（HVAC）控制器没有。你的物联网传感器也没有。PPSK 适用于所有这些设备，因为它运行在 WPA 个人层，而不是 WPA 企业层。 [short pause] 即便如此，PPSK 并不是企业环境中 802.1X 的替代品。它是针对不同问题的不同工具。如果您运营的是员工网络，其中个人问责制至关重要 - 即您需要知道特定人员在特定时间进行了身份验证，并且需要在他们离开组织时立即撤销其访问权限 - 那么 802.1X 是正确的解决方案。如果您运营的是住宅网络，需要每户隔离、IoT 支持以及大规模的运营简便性，那么 PPSK 是正确的解决方案。 [medium pause] 让我们来看看部署模式。目前在生产环境中有三种主要的模式。 [short pause] 第一种是云控制器模式，这是新部署最常见的方式。您的接入点 - 无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 还是 Fortinet - 都会连接到云管理平台。PPSK 密钥存储位于云控制器中。当您配置新居民时，您在门户中创建一个密钥，将其分配给一个 VLAN，然后控制器将该策略推送到大楼中的每个接入点。居民通过电子邮件、短信或欢迎包中的二维码获取其密钥并进行连接。当他们搬走时，您删除该密钥。他们的设备便停止连接。其他任何人都不会受到影响。 [short pause] 第二种模式是带有本地 RADIUS 后端的 PPSK。一些企业部署使用 RADIUS 服务器来存储和验证 PPSK 凭据，这为您提供了集中式日志记录、审计追踪以及与身份管理平台的集成。这增加了基础设施开销，但为您提供了具有 802.1X 问责制和 PPSK 设备兼容性的优势。这是混合环境的正确模式 - 例如，在共享办公空间中，您既有托管的企业设备，又有会员拥有的 IoT 设备。 [short pause] 第三种模式是混合模式：面向居民和 IoT 的 PPSK，面向员工和管理系统的 802.1X。这是 Purple 针对联合办公、长租公寓 (Build to Rent) 和多住户单元部署所推荐的架构。居民使用 PPSK。楼宇管理系统、CCTV 和访问控制拥有自己带有 PPSK 的 IoT VLAN。物业管理团队的设备则通过 Microsoft Entra ID 或 Okta 使用 802.1X。三种不同的身份验证模式，三个不同的 VLAN，一套物理基础设施。 现在让我们进入实施阶段。如果您正在为长租公寓开发项目或多住户单元物业部署 PPSK，以下是行之有效的实施顺序。 [short pause] 在接触硬件之前，先从逻辑设计开始。规划好您的居民数量、IoT 设备类别以及任何员工或管理系统。分配 VLAN。典型的 BTR 部署如下所示：从 VLAN 10 开始，一直到您的住户数量所需的任何数值（供居民使用），每个公寓一个 VLAN 或每个楼层一个 VLAN（取决于您的密度）。VLAN 99 用于 IoT。VLAN 100 用于楼宇管理。VLAN 200 用于公共区域的访客 WiFi。 [short pause] 然后记录您的 IP 地址分配方案。在一个拥有 200 套住宅的大楼中，网络在任何给定时间都会面临 3,000 到 5,000 台设备。这是根据 British Property Federation 研究得出的每户 15 到 25 台设备的数据。您的 DHCP 作用域需要容纳这一规模。使用具有足够每个 VLAN 子网大小的 RFC 1918 私有地址。slash 24 为您提供 254 个可用地址。slash 23 为您提供 510 个。请据此调整大小。 [medium pause] 在硬件选择上：各大主流企业级接入点平台均支持 PPSK。Cisco Meraki 将其称为 iPSK，并通过 Meraki 仪表板进行每个 SSID 密钥策略的管理。HPE Aruba 在 ArubaOS 和 Aruba Central 中原生实现了这一功能。Ruckus 通过 SmartZone 和 Ruckus Cloud 平台提供支持。Juniper Mist 使用具有 AI 驱动射频管理功能的 ePSK。Ubiquiti UniFi 自 2023 年起就已支持 PPSK，但请注意，它目前仅支持 WPA2，无法在 6 GHz 频段上运行。Cambium 和 Extreme 均通过各自的云平台提供支持。 [short pause] 需要指出的一个关键限制：UniFi 的 PPSK 实现仅限 WPA2。如果您正在指定 WiFi 6E 接入点，并希望将 6 GHz 频段用于 PPSK 客户端，则需要一个支持 WPA3-SAE 与 PPSK 的平台，或者需要将 PPSK 客户端限制在 2.4 和 5 GHz 频段。Aruba、Ruckus 和 Meraki 均支持 WPA3 配置下的 PPSK。 [medium pause] 现在让我们来谈谈陷阱。这些是我在生产部署中反复见到的失败模式。 [short pause] 第一个是 SSID 激增。您广播的每个 SSID 都会消耗信标帧的空中时间。在密集型住宅楼中，如果您在每个接入点上广播六个或八个 SSID，将会降低所有人的性能。将每个射频的 SSID 控制在最多四个。使用 PPSK 从单个 SSID 为多个居民群体提供服务，而不是为每个公寓或每个楼层创建单独的 SSID。 [short pause] 第二个陷阱是干道端口（trunk port）配置不足。您设计了一个干净的 VLAN 方案，部署了接入点，然后流量却在无声无息中丢失了，因为有人忘记在分发交换机和接入层之间的干道链路上允许相关的 VLAN。在调试期间验证每个干道端口。记录它。在居民入住前，使用每个 VLAN 上的设备对其进行测试。 [short pause] 第三个陷阱是密钥分发。生成密钥很容易。以安全且在运营上可管理的方式将密钥送达居民手中则比较困难。在欢迎礼包中放一个二维码对于入住当天非常管用。而一个能让居民检索密钥并添加新设备的居民门户网站对于持续运营来说效果更好。在部署之前就构建好密钥分发工作流，而不是在部署之后。 [short pause] 第四个陷阱是针对 IoT 的，即在没有通盘考虑后果的情况下，将智能家居设备放在住户的 PPSK 网段上。住户 VLAN 上被攻破的 IoT 设备可能会攻击该同一 VLAN 上的其他设备。对于高风险的 IoT 类别，请考虑使用带有出口过滤的独立 IoT VLAN，即使这意味着住户需要配置其智能家居应用程序以使用不同的网络。 [medium pause] 让我们来看两个真实世界的场景。 [short pause] 场景一：位于市中心的拥有 180 套住宅的 Build to Rent 开发项目。运营商希望将 WiFi 作为一项便利设施包含在租金中，并实现入住即激活以及全面的智能家居支持。他们部署了通过 Aruba Central 管理的 HPE Aruba 接入点。每个公寓在租约签约时都会生成一个唯一的 PPSK 密钥。该密钥会通过电子邮件发送给住户，并附带一个二维码。他们扫描二维码，所有设备即可连接，其 Chromecast、智能音箱和游戏机都能立即正常工作。当住户迁出时，物业经理会在门户网站中删除该密钥。新住户在入住时会获得一个全新的密钥。无需为密码轮换而烦恼。运营商报告称，与之前共享密码的部署相比，与 WiFi 相关的支持工单减少了 30%。 [short pause] 场景二：拥有 400 个床位的专用学生公寓楼。这里的挑战是集中入住周，成百上千的学生同时到达，所有人都试图一次性连接数十台设备。该运营商使用了带有 SmartZone 的 Ruckus 接入点，为每个房间部署了使用一个密钥的 PPSK。密钥在抵达前生成的欢迎包中预先生成并包含在内。学生们在抵达时扫描二维码，并在几秒钟内完成连接。由于每个学生的流量都被隔离在自己的 VLAN 网段中，网络在处理入住高峰时没有出现降级。 [medium pause] 现在进行针对最常见问题的快速问答。 [short pause] 单个接入点可以处理多少个 PPSK 密钥？大多数企业级平台每个 SSID 支持数千个密钥。Cisco Meraki 每个网络支持多达 5000 个 iPSK 条目。Aruba 支持类似的规模。Ubiquiti UniFi 每个网络支持多达 1000 个 PPSK 条目。对于一栋拥有 200 套住宅的建筑，任何平台都在限制范围内。 [short pause] PPSK 是否适用于 WPA3？是的，在大多数企业级平台上都适用。与 WPA2-PSK 相比，WPA3-SAE 针对离线字典攻击提供了更强大的保护，因此在您的客户端设备支持的情况下，在 WPA3 上部署 PPSK 是正确的方法。UniFi 是个例外，目前其 PPSK 仅支持 WPA2。 [short pause] 我可以将 PPSK 与我的物业管理系统集成吗？是的，可以通过厂商的 API 进行集成。Aruba Central、Meraki、Ruckus 和 Mist 都开放了用于 PPSK 密钥管理的 REST API。您可以将密钥创建和注销作为租期管理工作流程的一部分来实现自动化。 [short pause] PPSK 和 802.1X 之间的安全差异是什么？根本区别在于 PPSK 是一种共享密钥模型。密钥是一串可以被共享或拦截的字符。采用 EAP-TLS 的 802.1X 使用数字证书，这些证书无法以相同的方式共享，并提供双向身份验证。对于威胁模型主要是住户间隔离的住宅环境，PPSK 提供了足够的安全性。对于企业员工网络，802.1X 是正确的选择。 [medium pause] 总结一下：PPSK WiFi 是多租户住宅部署、物联网设备密集型环境，以及任何需要单用户或单家庭隔离而无需 802.1X 基础设施开销的场景的正确身份验证模型。它运行在 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 上。它通过 API 与物业管理系统集成。它解决了共享密码网络无法解决的三个核心运营问题：在不影响他人的情况下办理迁出、智能家居设备支持以及单住户责任追溯。 [short pause] 决策框架非常简单。如果您的设备支持 802.1X 并且您拥有 RADIUS 基础设施，请为员工和托管设备使用 802.1X。如果您运营多租户住宅物业，请使用 PPSK。如果您有无法运行 802.1X 的物联网设备，请使用带有专用 IoT VLAN 的 PPSK。如果您在公共区域需要访客 WiFi，请使用标准 PSK 或在上方带有 Captive Portal 的开放网络。 [short pause] 接下来的步骤：阅读指南中的架构概述图，该图展示了从 ISP 上行链路到住户设备的完整 PPSK 部署堆栈。使用决策流程图将您的特定环境映射到正确的身份验证模型。如果您正在规划 BTR 或 MDU 部署，并希望了解 Purple 的多租户 WiFi 平台如何运行在您现有的硬件之上，以提供密钥管理、住户门户和分析层，链接就在指南中。 [medium pause] 今天的简报就到这里。感谢收听。 让我深入探讨一下安全模型，因为这是我看到市场中最容易产生混淆的地方。 [short pause] PPSK 在 WPA 个人层运行。每个密钥都是一个预共享密钥。PPSK 提供的安全保证是住户间隔离 - 密钥 A 上的设备 A 无法与密钥 B 上的设备 B 进行通信，即使它们关联到同一个物理接入点也是如此。这种隔离是在 VLAN 层强制执行的，而不是在加密层。每个设备与接入点之间的加密使用相同的 WPA2 或 WPA3 密码套件，无论该设备使用哪个 PPSK 密钥进行身份验证。 [short pause] PPSK 所无法提供的是 802.1X 所具备的双向认证。在采用 EAP-TLS 的 802.1X 部署中，客户端向网络进行身份验证，网络也向客户端进行身份验证。双方均出示证书。这可以防止恶意接入点攻击。而使用 PPSK，客户端无法验证其连接的是合法网络，还是广播相同 SSID 的恶意 AP。对于主要威胁模型是隔离住户的住宅楼宇而言，这是一种可以接受的折中方案。但对于处理敏感数据的企业环境，这是不可接受的。 [medium pause] 现在让我们来谈谈 WPA3 的升级路径。WPA3-SAE（即对等实体同时验证）使用名为 Dragonfly 的更安全密钥交换协议取代了 WPA2 的四次握手。对于 PPSK 部署而言，关键的改进在于前向安全性：即使攻击者捕获了 WiFi 流量并在随后获取了预共享密钥，他们也无法解密已捕获的流量。WPA2-PSK 不提供前向安全性，而 WPA3-SAE 可以。如果您今天正在部署新硬件，请指定 WPA3-SAE 支持并为您的 PPSK SSID 启用该功能。不支持 WPA3 的客户端将在过渡模式下回退到 WPA2，因此您无需进行强制硬切换。 [short pause] GDPR 的角度值得直接探讨。在多租户住宅部署中，您正在处理个人数据 - 具体而言，即 WiFi 密钥与已命名住户之间的关联。根据 UK GDPR 和欧盟 GDPR，这种关联属于个人数据。您需要有合法的处理依据。在 BTR 环境中，合法依据通常是履行合同（租房协议）或合法利益。您需要一份涵盖 WiFi 数据处理的隐私声明，需要一份针对连接日志的数据保留政策，并且需要能够响应主体访问请求，这意味着您的 PPSK 管理平台需要能够导出与特定住户密钥相关联的所有数据。 [short pause] Purple 的多租户 WiFi 平台在构建之初就考虑到了这一点。数据存储在通过 ISO 27001 认证的基础设施中。我们符合 GDPR 和 CCPA 规范。数据驻留地是可选的 - 英国、欧盟或美国 - 因此无论您的物业位于何处，您都可以满足监管义务。此外，我们的平台还提供合规所需的审计追踪和数据导出功能。 让我来谈谈投资回报率（ROI）的问题，因为在每次 BTR 采购洽谈中都会提及这一点。 [short pause] 英国房地产联合会（British Property Federation）的研究一致表明，WiFi 质量是“建房出租”租赁决策中前五大便利设施因素之一。将托管 WiFi 作为便利设施提供给住户的运营商报告称，与没有包含网络连接的同等物业相比，每套公寓每月可获得 15 至 30 英镑的租金溢价。对于一栋拥有 200 套公寓的大楼来说，这意味着每年可增加 3.6 万至 7.2 万英镑的额外租金收入。相比典型的 PPSK 部署成本 - 按 5 年折旧的硬件加上软件覆盖许可 - 投资回收期通常在 18 个月以内。 [short pause] 运营成本的节省同样显著。在拥有 200 套公寓的大楼中，共享密码网络会产生可预测的工单量：住户无法连接其 Chromecast、住户的智能音箱无法配对、住户的游戏机显示 NAT 类型受限。解决这些工单需要花费时间和金钱。正确部署的 PPSK 网络可以消除其中的大部分问题。我们合作的一家运营商报告称，在从共享密码迁移到 PPSK 部署后的前 6 个月内，与 WiFi 相关的支持联系减少了 30%。 [short pause] 空置期是另一个杠杆。在大楼中，如果在入住当天 WiFi 已激活并正常工作，将能减少新住户的阻碍。如果新住户必须等待宽带工程师上门安装 - 在英国通常需要 7 到 14 天 - 则会产生负面的第一印象，从而影响留存率。支持入住当天激活的 PPSK 完全消除了这一阻碍。 [medium pause] 还有一个需要涵盖的领域：联合办公和混合用途应用。PPSK 不仅适用于住宅，它也是联合办公空间的理想模式，在这些空间中，您希望实现每个会员或每个公司的隔离，而无需承担 802.1X 的开销。拥有 200 个会员的联合办公运营商可以为每个会员提供自己的 PPSK 密钥，将其映射到专用 VLAN，并确保会员 A 的设备对会员 B 是不可见的。当会员资格过期时，密钥将被撤销。当新会员加入时，会生成一个新密钥。会员体验与家庭网络完全相同。 [short pause] 对于联合办公，混合模式的效果特别好。会员使用 PPSK。会员的访客 - 例如参加会议的客户 - 使用带有 Captive Portal 的独立访客 WiFi SSID。大楼员工通过 802.1X 对接运营商的身份提供商。三种身份验证模式，一个物理基础设施，实现这三个用户群体之间的彻底隔离。 [medium pause] 以上就是全貌。PPSK WiFi 是一种成熟、获得广泛支持的技术，解决了一个特定且重要的问题：在多租户环境中实现单用户或单住户隔离，而无需 802.1X 的基础设施开销。它与硬件无关，由 API 驱动，今天即可在您现有的接入点上部署。决策标准十分清晰，部署模式已获验证，其商业价值（特别是在建房出租和专用学生公寓领域）也已得到充分证实。