Usm PPSK: 比较功能与部署模式

欢迎来到 Purple 技术简报。今天我们将介绍 USM PPSK - 适用于 Private Pre-Shared Key 的统一安全模型（Unified Security Model）- 它的定义、它与其他替代方案的对比，以及在多租户住宅和商业物业中部署它的适用场景。 让我们先从问题开始。如果您是物业开发商、建设出租（build-to-rent）运营商，或者是管理多住宅单元开发的房东，您所运营的建筑中，数十个或数百个独立的家庭都在共享同一个物理网络基础设施。您需要让每位住户都能拥有私密、像家一样的 WiFi 体验。他们的 Chromecast 需要找到他们的手机，他们的智能音箱需要与他们的灯泡进行通信。而这一切对于隔壁公寓的住户来说，都应该是不可见的。 传统的解决方案要么是共享密码（这在规模化运营时是一个安全隐患），要么是完整的 802.1X 企业级部署（这需要公钥基础设施、证书管理以及一个 RADIUS 服务器，而大多数物业运营商根本没有IT资源来运行这些）。对于一个拥有200套住宅的建设出租街区来说，这两个选择都不合适。 这就是 PPSK 的用武之地。PPSK 代表 Private Pre-Shared Key。这个概念非常简单：不再是整栋大楼共享一个 WiFi 密码，而是每位住户都获得自己独特的密码。他们连接到相同的 SSID - 即相同的网络名称 - 但他们的密钥是独一无二的。如果他们搬走，您只需撤销他们的密钥，这对其他任何住户都不会产生任何影响。 现在，这里有三种不同的模型，理解它们之间的区别对于做出正确的架构决策至关重要。 第一种模型是标准的共享 PSK。一个密码，所有人都在同一个网络上。这是大多数建筑目前仍在运行的模式。它部署起来很简单，但存在单点故障风险。只要一个住户将密码分享到外部，您就会失去对网络边界的控制。想要取消某个承包商的访问权限？您必须更改所有人的密码。在规模化运营中，这根本无法管理。 第二种模型是 Group PPSK。您为每组用户分配一个唯一的密钥 - 可能是每个楼层一个密钥，或者每种租户类型一个密钥。这比共享密码要好，但它仍然存在受损范围（blast radius）问题。如果一个组中的某个密钥泄露，整个组都会受到影响。而且，您仍然无法在网络层将单个住户彼此隔离。 第三种模型 - 也是我们今天关注的重点 - 是 USM PPSK：通过统一安全模型（Unified Security Model）管理的 Unique per-User Pre-Shared Key。每一个住户、每一个设备组都会获得自己专属的加密唯一密钥。该密钥会映射到其专属的 VLAN - 即其专属的网络段 - 与大楼内的其他所有住户完全隔离。 这就是提供我所说的 WiFi 气泡的架构。住户 A 的设备可以互相看见。它们可以投屏、配对、共享文件，就像在家庭网络中一样。但是，住户 A 无法看到属于住户 B 的任何一个设备，即使他们都连接到同一个接入点、同一个 SSID，并使用相同的物理电缆基础设施。 让我为您介绍一下技术认证流程，因为这正是该架构体现其价值的地方。 当住户的设备连接到 SSID 时，无线局域网控制器会拦截连接尝试。它将设备的 MAC 地址转发给 RADIUS 服务器。RADIUS 服务器 - 可以像 Purple 的服务器那样托管在云端 - 会在其身份存储中查找该 MAC 地址。它会返回一个 Access-Accept 响应，其中包含分配给该住户的唯一预共享密钥。控制器会根据返回的密钥验证设备提供的密钥。如果匹配，该设备将通过身份验证并被放入该住户的专用 VLAN 中。 至关重要的一点是，该 RADIUS 响应还携带着 VLAN 分配。因此，设备不仅通过了身份验证，还会被自动放置在正确的网络段上，并具有正确的带宽策略和正确的防火墙规则 - 这一切都通过单个 SSID 实现。没有 SSID 泛滥，没有信标开销。一个网络名称，其下隐藏着数百个隔离的私有网络。 现在让我们来谈谈 USM - 统一安全模型（Unified Security Model）。这是位于 PPSK 凭据存储之上的管理层。它处理密钥的生成、分发、生命周期管理、策略分配和撤销 - 最好是通过与您的物业管理系统或身份提供商进行 API 集成来实现。 没有 USM，PPSK 只是电子表格中一组独特的密码。有了 USM，它就变成了一个自动化、可审计、策略驱动的访问控制系统。运营开销的差异是巨大的。 在实施良好的 USM 部署中，当新住户签署租约时，物业管理系统会触发对 USM 平台的 API 调用。该平台会生成一个唯一的 PPSK，将其分配给该住户的 VLAN，设置带宽策略，并通过电子邮件或二维码将凭据发送给该住户 - 这一切都无需您的 IT 团队进行任何手动干预。当他们搬走时，相同的集成会触发撤销，他们的密钥就会失效，而其他住户不会受到任何影响。 现在，让我为您提供两个真实场景，让这一切变得具体。 第一种场景：一个拥有 300 套住宅的“建设出租”（build-to-rent）项目。运营商此前在整栋大楼中运行单一的共享 WiFi 密码。每隔六个月，当大量居民搬走时，他们就会更换密码 - 并在接下来的两周内忙于处理因无法重新连接设备而打来电话的居民支持请求。智能家居设备是一个特别棘手的问题：Chromecast、Amazon Echo 和智能照明每次都需要进行手动重新配置。 在部署了与他们的物业管理系统集成的 USM PPSK 之后，搬迁变成了零干扰事件。离岸居民的密钥在租约结束时自动撤销。新居民则通过欢迎电子邮件收到其唯一的密钥。智能家居设备保持连接状态，因为它们都处于同一个居民 VLAN 中。运营商报告称，在部署后的第一个季度，与 WiFi 相关的支持工单减少了 90%。 第二种场景：一个拥有 500 个床位的专门建造的学生宿舍区。那里的挑战在于学生群体的流动 - 每年八月，有 500 名学生搬出，500 名新学生搬入，且通常发生在同一周内。在使用共享 PSK 的情况下，那一周简直是一场噩梦。通过将 USM PPSK 集成到学生管理系统中，整个学生群体在抵达前的欢迎包中就收到了其唯一的密钥。在搬入当天，他们立即建立连接。网络团队报告称，在这栋大楼的历史上，搬入周期间首次实现了零升级事件。 接下来谈谈部署。从一开始就需要做对几件事。 首先是密钥的生成和分发。您的 PPSK 密钥需要足够长且随机 - 最少 20 个字符，最好是 32 个字符。使用加密安全的随机数生成器通过编程方式生成它们。不要让居民自行选择密钥。分发机制也同样重要。通过包含安全链接的电子邮件交付、欢迎卡上的二维码，或者通过 API 与您的租约管理系统集成，都是可行的方法。 其次是控制器支持。并非所有无线控制器都以同样的方式实现 PPSK。Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet 都有各自的实现方式，但规模限制、API 能力以及 VLAN 引导粒度各有不同。在决定使用某个平台之前，请验证每个 SSID 支持的最大唯一密钥数量。一些较旧的平台将此限制为几百个，这对于大型开发项目来说是不够的。 第三点 - 也是最常见的陷阱 - MAC 地址随机化。现代操作系统 - iOS 14 及更高版本、Android 10 及更高版本、Windows 11 - 默认都使用 MAC 地址随机化。如果您的 PPSK 实现依赖于 MAC 地址查找，则提供随机 MAC 的设备将无法被找到并会被拒绝。从第一天起就要针对这一点做好规划。 第四，每个密钥的设备限制。设置一个合理的限制 - 通常为每个密钥四到六台设备 - 并在控制器端强制执行。如果不进行限制，单个 PPSK 可能会在数十台设备上扩散，从而削弱您准确归属流量的能力。 最需要避免的陷阱：在没有文档化密钥生命周期流程的情况下部署 PPSK。从未撤销的密钥会随着时间推移而累积，并成为安全隐患。在上线之前建立撤销工作流，而不是在上线之后。 从合规角度来看 - 这对 GDPR 尤为重要 - USM PPSK 为您提供了共享 PSK 根本无法提供的审计轨迹。您可以将网络活动归属到特定的凭据，进而归属于特定的租户记录。这不仅是良好实践，在某些监管背景下，它更是一项要求。 现在，我给您三个实用的经验法则。 法则一：如果您的建筑拥有超过 50 个单元，请使用基于 RADIUS 的 USM PPSK，而不是控制器本地 PPSK。控制器本地 PPSK 的可扩展性上限将在上线后 12 个月内给您带来问题。 法则二：从第一天起就为 MAC 随机化做好规划。在居民入职流程中构建预注册工作流。不要假设设备在默认情况下会呈现其永久 MAC 地址。 法则三：自动化密钥生命周期。相比共享 PSK，USM PPSK 的运营价值完全取决于密钥的自动分配和撤销。大规模的手动密钥管理是行不通的。从一开始就与您的物业管理系统集成。 下面来进行一些快速问答。 PPSK 与 iPSK、MPSK 和 DPSK 相同吗？从功能上讲，是的。不同厂商的品牌名称不同，概念相同。 PPSK 支持 WPA3 吗？部分支持。大多数现代控制器在 WPA2 和 WPA3 过渡模式下支持 PPSK。纯 WPA3 支持因厂商而异 - 请检查您硬件的兼容性矩阵。 PPSK 在没有云控制器的情况下可以工作吗？一些本地控制器支持它，但云管理显著简化了生命周期运营和 USM 集成。 USM PPSK 适用于 GDPR 合规吗？USM PPSK 提供了支持 GDPR 合规的单用户审计轨迹。它应该作为更广泛的数据治理框架的一部分，而不是被视为独立的合规解决方案。 总结一下。对于任何需要单居民问责制且无需复杂的完整 802.1X 基础设施的多租户住宅 WiFi 部署，USM PPSK 都是正确的架构。它为您提供每个居民专属的独特凭据、动态 VLAN 引导、细粒度的生命周期管理以及符合合规要求的审计轨迹 - 而这一切都伴随着与输入 WiFi 密码一样简单的设备引导体验。 如果您正在评估新的以租代建（build-to-rent）或学生公寓部署，或者正在寻求升级现有的共享密码网络，切实可行的下一步步骤是：评估您当前的无线控制器平台是否支持 PPSK、定义您的 VLAN 架构，并将您的密钥生命周期映射到您的物业管理系统的租期事件。 Purple 的多租户 WiFi 平台可在您现有的硬件之上处理 USM 层 - 无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist 还是其他任何主流企业级平台。我们在全球拥有 80,000 个活跃场所和 3.5 亿独立用户。该基础设施的大规模运行能力已得到验证。 感谢您收听 Purple 技术简报。