PPSK wpa3: comparing features and deployment models

欢迎收看 Purple 技术简报。我是主持人，今天我们将探讨一个目前几乎每位在多租户物业、酒店或零售行业工作的网络架构师都会面临的问题：PPSK 和 WPA3 究竟有何不同，哪种部署模式最适合您的环境？ 让我们先来了解一下背景。如果您是物业开发商、建设租赁（build-to-rent）运营商，或者是管理着拥有共享 WiFi 基础设施的住宅楼宇的业主，您可能听说过这两个词。PPSK，全称为 Private Pre-Shared Key，以及 WPA3，这是 WiFi 联盟推出的最新一代 WiFi 安全标准。人们经常将它们作为竞争技术来讨论。其实不然。它们解决的是不同的问题。而且在许多部署中，您需要两者兼备。 所以在深入探讨之前，我们先明确一下概念。 WPA3 是一项安全认证标准，于 2018 年由 WiFi 联盟批准。它主要有两种版本：WPA3-Personal（用称为 SAE - 同时等同身份验证的机制取代了旧的 Pre-Shared Key 机制），以及 WPA3-Enterprise（建立在 802.1X 框架之上，并为高安全环境引入了可选的 192 位加密套件）。 WPA3-Personal 的关键改进在于 SAE 消除了离线字典攻击。在 WPA2 中，如果攻击者在设备连接到您的网络时捕获了四次握手，他们就可以带走这些数据，并无限期地对其运行暴力破解工具，而无需再次接触您的网络。SAE 彻底阻止了这种情况。每次密码尝试都需要与接入点进行主动交互。这使得离线破解在实际中变得不可行。 WPA3 还强制要求使用受保护的管理帧（PMF），这在 IEEE 802.11w 中有定义。这可以保护设备与接入点之间的管理流量免受欺骗和重放攻击。在 WPA2 中，PMF 是可选的。但在 WPA3 中，它是不可妥协的。 现在，我们来看看 PPSK。Private Pre-Shared Key 是一项专利技术 - “专利”这个词很重要，我们稍后会再谈。它的核心概念很简单：不是 SSID 上的每个设备都共享一个密码，而是每个设备或每个用户获得一个唯一的密码。不同的厂商有不同的命名。Cisco 称其为 iPSK。Extreme Networks 称其为 PPSK。Ruckus 称其为 DPSK。Juniper Mist 称其为 Multi-PSK。HPE Aruba 称其为 MPSK。Cambium 称其为 ePSK。所有这些背后的底层机制都是相同的。 以下是它的技术工作原理。在标准的 WPA2-Personal 中，Pre-Shared Key 是使用 802.11i 标准中定义的公式从您的密码派生出来的。使用相同密码的每个设备都会派生出相同的 PSK。在 PPSK 实现中，每个唯一的密码都会派生出不同的 PSK。当设备连接时，接入点或 RADIUS 服务器会在四次握手中使用每个存储的 PSK 对信息完整性校验（Message Integrity Check）进行尝试，直到找到匹配项。这样就识别出了该设备。 实际的应用效果是，您可以为 BTR（长租公寓）大楼中的每位住户、酒店中的每位员工或每个 IoT 设备类别分配其特有的专属密码，并将该密码映射到特定的 VLAN。一号公寓的住户获得密码 A，映射到 VLAN 10；二号公寓的住户获得密码 B，映射到 VLAN 20。他们的流量在第二层（Layer 2）被隔离。他们共享一个 SSID、一套接入点和一套基础设施 - 但他们无法看到彼此的设备。 现在，PPSK 与 WPA3 之间的冲突在架构上变得至关重要。而这也是大多数指南略过不提的部分。 传统形式的 PPSK 运行在 WPA2 上。多 PSK 机制依赖于 802.11i（支持 WPA2 的标准）中定义的四步握手。而 WPA3-Personal 用 SAE 取代了该握手。这两种机制在协议层面上根本无法兼容。 这意味着，如果您目前在大多数接入点上配置纯 WPA3-Personal SSID，则无法在该 SSID 上同时运行 PPSK。SAE 握手不支持多 PSK 尝试与匹配的工作流程。 然而 - 这一点很重要 - 行业正在积极解决这个问题。Juniper Mist 的 Access Assurance 平台现在支持 WPA3 多 PSK，采用基于 RADIUS 的方法，其中接入点在 WPA3-SAE 模式下运行，而 RADIUS 服务器处理每台设备的密钥查找。Cisco 的 iPSK 解决方案同样支持 WPA3-SAE，通过外部 RADIUS 服务器存储 MAC 地址到 PSK 的映射。在 802.11ax 下随 WiFi 6E 引入的 6GHz 频段强制要求使用 WPA3。因此，任何针对 6GHz 的部署都必须找到兼容 WPA3 的 PPSK 解决方案。 这对您部署决策的实际影响是：如果您使用的是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 或 Fortinet 硬件，在最终确定安全架构之前，请检查设备厂商的当前固件是否支持 WPA3 加多 PSK。行业格局发展迅速。 我们来谈谈部署模式。我们在实际应用中主要看到三种模式。 第一种是不带 RADIUS 的 PPSK，有时称为本地 PPSK 或基于控制器的 PPSK。PSK 池直接存储在接入点或无线控制器上。这是最简单的部署，不需要外部认证服务器。它非常适合较小的场所 - 单个零售分店、成员少于 500 人的联合办公空间或小型住宅区。其局限性在于规模。大多数基于控制器的实现将 PSK 的数量限制在几百到几千个。密钥管理变成手动进行。并且由于密钥存储在本地，撤销已泄露的密钥需要直接操作控制器。 第二种模式是结合 RADIUS 的 PPSK。在这种模式下，PSK 池存在于外部 RADIUS 服务器中。当设备连接时，接入点会将身份验证请求转发给 RADIUS，后者会查找该设备的正确 PSK 并将其返回给 AP。该模式可扩展至数万台设备。它与身份提供商（Microsoft Entra ID、Okta、Google Workspace）集成，因此您可以自动化配置和停用。当住户搬出 BTR（长租公寓）大楼时，您只需在身份提供商中撤销其条目，其 WiFi 访问权限就会在几秒钟内消失。无需手动更换密钥。这就是 Purple 的 Multi-Tenant WiFi 平台所基于的架构。 第三种模式是带有 802.1X 的 WPA3-Enterprise。完全不需要 PSK。每台设备都使用证书或凭据通过 EAP-TLS 或 PEAP 进行身份验证。这是企业环境、医疗保健以及任何有严格合规性要求（如 PCI-DSS 或 ISO 27001）的场所的黄金标准。其开销较高 - 您需要用于证书管理的公钥基础设施，并且必须注册每台设备。对于住户携带自己设备的 BTR 大楼，这很少切实可行。对于酒店的员工网络或医院的临床设备群，这才是正确的解决方案。 现在让我们来看两个真实的场景，让这变得更具体。 场景一：一个拥有 200 套房源的长租公寓项目。运营商希望每个住户都有自己的私有网络段，且无法查看邻近公寓的情况。他们还需要支持智能家居设备 - 温控器、视频门铃、智能音箱 - 这些设备通常仅支持 WPA2。同时，他们希望网络管理开销尽可能低。 这里正确的架构是在 WPA2 或 WPA2/WPA3 过渡模式 SSID 上采用结合 RADIUS 的 PPSK。每个住户在入住时都会获得一个唯一的密码，该密码通过与 RADIUS 服务器集成的物业管理系统自动配置。他们的设备 - 手机、笔记本电脑、智能电视 - 使用该密码连接并接入其专用 VLAN。他们的 IoT 设备则使用单独的 IoT 密码连接，该密码映射到受限的 IoT VLAN，无法访问主居住网段。当他们搬出时，物业管理系统会触发停用流程。其密码被撤销，访问结束。 Purple 的 Multi-Tenant WiFi 平台正是处理此类工作流的专家，可与 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme Networks 以及 Fortinet 的硬件无缝集成。云端叠加意味着无论现场使用何种硬件，您都可以从一个仪表板管理整个项目。场景二。一家拥有 150 间客房的酒店。该酒店需要三个独立的网络细分：用于酒店访客的宾客 WiFi、用于运营设备的员工 WiFi，以及用于闭路电视、门禁和暖通空调的楼宇管理网络。宾客网络需要畅通无阻。员工网络需要安全且可审计。楼宇管理网络需要完全隔离。 在这里，架构采用三 SSID 设计。宾客 SSID 使用带有 SAE 的 WPA3-Personal，或带有机会性无线加密的增强型开放式网络（Enhanced Open）以提供真正的无密码体验，并结合 Purple 的 Captive Portal 进行基于同意的接入。员工 SSID 使用带有 802.1X 的 WPA3-Enterprise，并通过 Microsoft Entra ID 进行身份验证。楼宇管理 SSID 使用带有专用 VLAN 的 PPSK，在防火墙处与所有其他流量完全隔离。 现在让我介绍一下最常见的实施陷阱，因为这正是部署出错的地方。 第一个是 PMF 兼容性。WPA3 强制要求使用受保护的管理帧（PMF）。如果您有不支持 PMF 的旧设备 - 较旧的条形码扫描仪、POS 终端、某些医疗设备 - 它们将无法连接到纯 WPA3 SSID。症状是设备能看到网络但无法关联。解决方法是使用 WPA3 过渡模式（允许 WPA2 和 WPA3 客户端在同一个 SSID 上），或者在隔离的 VLAN 上为这些旧设备提供专用的 WPA2 SSID。过渡模式是一种有效的迁移策略，但它容易受到降级攻击，因此应将其视为临时措施。 第二个陷阱是密钥膨胀。在没有适当生命周期管理的 PPSK 部署中，您会积累过期密钥。前住户、前员工、退役设备 - 它们都会在您的 RADIUS 数据库中留下孤立的 PSK。每一个都是潜在的攻击媒介。从第一天起就自动执行配置和去配置，并每季度审计您的 PSK 数据库。 第三个陷阱是 6GHz 规划。如果您正在部署 WiFi 6E 或 WiFi 7 接入点并希望使用 6GHz 频段，则 WPA3 是强制性的。您不能在 6GHz 上运行 WPA2。因此，如果您的 PPSK 策略依赖于 WPA2，您的 6GHz 射频将无法使用，或者需要运行单独的 SSID。在敲定硬件采购之前，请先规划好您的安全架构。 现在进行快速问答。 问：我可以在同一个 SSID 上运行 PPSK 和 WPA3 吗？答：在当今大多数硬件上，原生不支持。但 Juniper Mist 和 Cisco 都支持带有基于 RADIUS 的多 PSK 的 WPA3-SAE。请检查您的供应商当前的固件。预计在未来 12 到 18 个月内，所有供应商都将提供更广泛的支持。 问：PPSK 是否符合 PCI-DSS 标准？答：如果每个持卡人数据环境设备都在其自己隔离的 VLAN 上，且访问受控且可审计，则 PPSK 可以满足 PCI-DSS 网络细分要求。对于持卡人数据环境，带有 802.1X 和 EAP-TLS 的 WPA3-Enterprise 是更安全的长期选择。 问题：如果住户与邻居分享他们的 PPSK 会怎么样？回答：他们的邻居将进入与该住户相同的 VLAN。该邻居无法访问其他住户的流量。但这确实意味着物业运营商正在向未授权用户提供服务。可以通过在硬件支持的情况下将 PSK 绑定到 MAC 地址，或者通过实施使用监控和异常告警来缓解这一问题。 总结一下。PPSK 和 WPA3 是互补的，而不是竞争关系。PPSK 解决了多租户隔离问题 - 单一 SSID、每个住户或设备拥有唯一凭据、自动 VLAN 分配。WPA3 解决了身份验证安全问题 - SAE 消除离线字典攻击，PMF 保护管理帧，192位套件满足高安全性合规要求。 对于当前部署共享 WiFi 基础设施的 BTR 运营商和房东，推荐的架构是采用带 RADIUS 的 PPSK 进行住户隔离，运行在 WPA2 或 WPA3 过渡模式下以实现广泛的设备兼容性，并在厂商支持成熟时提供向原生 WPA3 PPSK 迁移的清晰路径。将其与用于员工和运营设备的专用 WPA3-Enterprise SSID 以及用于智能建筑系统的隔离 IoT VLAN 相结合。 Purple 的多租户 WiFi 平台作为与硬件无关的云覆盖层，贯穿所有这些环节。我们管理 RADIUS 集成、配置工作流、分析和合规性报告 - 覆盖 80,000 多个活跃场所和 3.5 亿独立用户。通过 ISO 27001 认证，符合 GDPR 和 CCPA，拥有 99.999% 的在线率。下次再见。