Uu PPSK 2023: comparing features and deployment models

UU PPSK 2023: 比较功能与部署模型。Purple 技术简报。 欢迎。今天我们将讨论在为多租户住宅物业设计 WiFi 时，您将做出的最重要的架构决策之一：部署哪种预共享密钥模型。具体来说，我们将重点关注 UU PPSK，即“唯一每用户预共享密钥”（Unique per-User Pre-Shared Key），以及它为什么已成为英国各地“建房出租”（Build to Rent）运营商、学生公寓提供商和多住宅单元（MDU）房东的首选架构。 让我们先从问题开始。您正在管理一栋数十或数百个独立家庭共享相同物理网络基础设施的建筑。每位住户都需要一种私密、如家般的 WiFi 体验。他们的 Chromecast 需要找到他们的手机。他们的智能音箱需要与他们的灯泡进行通信。至关重要的是，隔壁公寓的住户不应该看到这些设备。 传统的解决方案要么是共享密码，这在大规模部署时是一个安全隐患；要么是完整的 802.1X 企业部署，这需要公钥基础设施、证书管理以及 RADIUS 服务器，而大多数物业运营商根本没有足够的 IT 资源来运行。对于拥有 200 个单元的“建房出租”大楼来说，这两种选择都不合适。 这就是 PPSK 发挥作用的地方。PPSK 代表“专用预共享密钥”（Private Pre-Shared Key）。其概念非常直接：不再是整栋大楼共享一个 WiFi 密码，而是每个住户都获得自己唯一的密码。他们连接到相同的 SSID，即相同的网络名称，但他们的密钥仅属于他们自己。如果他们搬走，您只需撤销他们的密钥。这对其他任何住户零影响。 现在，这里有三种不同的模型，理解它们之间的区别对于做出正确的架构决策至关重要。 第一种模型是标准的共享 PSK。一个密码，所有人都在同一个网络上。这是目前大多数建筑仍在使用的方式。它部署简单，但存在单点故障风险。只要有一位住户在论坛上分享了密码，您就失去了对网络的控制。想要取消某个承包商的访问权限？您必须更改所有人的密码。在规模化运营中，这是无法管理的。 第二种模型是 Group PPSK（组 PPSK）。在这里，您为每组用户分配一个唯一的密钥，例如每层楼一个密钥，或每种租户类型一个密钥。这比共享密码要好，但它仍然存在受波及范围的问题。如果一个组中的某个密钥泄露，整个组都会受到影响。您仍然无法在网络层将单个住户相互隔离。 第三种模式，也是我们今天重点关注的模式，是 UU PPSK（即 Unique per-User Pre-Shared Key，每个用户唯一的预共享密钥）。Cisco Meraki 也将其称为 iPSK，Ruckus 称为 DPSK，HPE Aruba 则称为 MPSK。虽然各厂商的术语有所不同，但概念是完全相同的。每个住户、每个设备组都拥有自己独特的加密密钥。该密钥会映射到其专属的 VLAN（即专属的网络分段），与大楼内的其他住户完全隔离。 这种架构实现了我们所说的 WiFi 气泡。住户 A 的设备可以互相发现、投屏、配对和共享文件，体验与家庭网络完全一致。但是，住户 A 无法看到属于住户 B 的任何设备，即使他们都连接到同一个接入点、同一个 SSID，并使用相同的物理物理网线基础设施。 让我为您介绍一下技术认证流程，因为这一机制在此一目了然。 当住户的设备连接到 SSID 时，无线局域网控制器会拦截该连接请求。在 WPA2 四步握手期间，设备会出示其预共享密钥。控制器会在 PPSK 数据库中查找该密钥，并返回分配给该住户的唯一 VLAN ID。控制器验证密钥后，设备即通过认证并被分配到其专用 VLAN 中。关键在于，该 VLAN 分配还携带了正确的带宽策略和防火墙规则。因此，设备不仅通过了认证，还会自动从单个 SSID 分配到正确的网络分段中。没有 SSID 泛滥，没有信标开销。只有一个网络名称，其下却有数百个隔离的私有网络。 现在，我们来谈谈 MAC 地址随机化，因为这是大多数部署都会遇到的陷阱。自 iOS 14、Android 10 和 Windows 11 以来，出于隐私保护，设备默认使用随机 MAC 地址。如果您的认证平台正在进行 MAC 查找，而设备提供了随机地址，则查找会失败，设备将无法连接。解决方案是实施预注册流程，让住户在连接前先注册其设备。Purple 的平台会自动处理这一流程，将其作为住户入网引导的一部分。 下面我们来谈谈部署模式，因为 UU PPSK 可以通过三种不同的方式进行部署，而正确的选择取决于您的建筑规模、IT 资源和预算。 第一种是控制器本地 PPSK。在这种模式下，唯一密钥直接存储在无线控制器上，无需外部 RADIUS 服务器。这非常适合多达 50 个单元左右的小型部署，且操作最为简单。Ubiquiti UniFi 原生支持此功能。其局限性在于可扩展性。大多数控制器的本地 PPSK 条目上限为几百个，并且您会失去使 UU PPSK 在大规模运营中可行的大规模集中式生命周期管理。 第二种模型是基于 RADIUS 的 PPSK。在此模型中，密钥存储在外部 RADIUS 服务器中，控制器会对每一次新连接查询 RADIUS 服务器。这可以扩展到数千个单元。Ruckus SmartZone、HPE Aruba ClearPass 和 Cisco ISE 都支持这种模型。其运营开销较高，但可扩展性和生命周期管理能力要好得多。 第三种模型，也是 Purple 针对 Build to Rent（新建出租房）和多住宅单元运营商推荐的模型，是云端 RADIUS-as-a-Service。在这里，RADIUS 基础设施由 Purple 托管和管理，您只需通过云端覆盖网络将接入点连接到该设施。这使您既能获得基于 RADIUS 的 PPSK 的可扩展性，又无需承担运行自己的 RADIUS 服务器的运营开销。Purple 的平台运行在您现有的硬件（无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 还是 Fortinet）之上，并为密钥配置、生命周期管理和住户入驻提供编排层。 密钥生命周期完全自动化。住户入住时，其密钥将通过物业管理系统集成进行配置。住户搬离时，其密钥会立即撤销，且不会对其他住户产生任何影响。无需人工干预，没有安全漏洞，也无需为密码轮换而烦恼。 让我为您提供两个具体的部署场景，让这一切更加直观。 第一个是一个拥有 250 个单元的 Build to Rent 开发项目。开发商在整个大楼中指定了 Cisco Meraki 接入点。他们需要每位住户都拥有支持完整 IoT、支持当天入住的专用 WiFi 体验，并且能够支持每户 15 到 25 台设备。部署的架构是贯穿整栋大楼的单一 SSID，并通过 Purple 的云端 RADIUS 服务提供 UU PPSK。每位住户在入住时都会通过住户应用程序收到一个唯一的密钥。该密钥映射到具有专用子网的专用 VLAN，从而为每个家庭提供完全隔离的网络段。每个 VLAN 内都启用了 mDNS 反射，因此 Chromecast、Apple TV 和 Sonos 都能如期正常工作。大楼启用首日即有 250 个活跃的住户 VLAN 上线，现场团队无需进行任何手动的 RADIUS 配置。 第二个场景是一个拥有400个床位的专门建造的学生公寓。这里的挑战是每年的人员流动。每年8月，有400名学生搬出，400名新学生搬入，且通常在同一周内完成。在使用共享PSK模式时，这意味着整个大楼需要轮换密码，从而影响到每一位留宿的居民。而使用UU PPSK，则意味着只需撤销400个密钥并调配400个新密钥，所有这些操作都通过与学生管理系统集成自动完成。该部署使用了采用DPSK的Ruckus SmartZone，并由Purple的RADIUS服务提供支持。每位学生在抵达到校前注册期间通过电子邮件收到其唯一的密钥。运营团队报告称，第一学期与WiFi相关的支持工单减少了70%，这主要是因为彻底消除了曾困扰上一个共享PSK部署的Chromecast和智能电视配对问题。 在进入快速问答环节之前，先让我介绍三个实用的行业经验法则。 法则一：如果您的建筑物拥有超过50个单元，请使用基于RADIUS的UU PPSK，而不是控制器本地的PPSK。控制器本地PPSK的可扩展性上限会在上线后12个月内给您带来问题。 法则二：从第一天起就针对MAC随机化进行规划。将预注册工作流程融入到您的居民入职流程中。不要假设设备默认会呈现其永久MAC地址。 法则三：自动执行密钥生命周期。相比共享PSK，UU PPSK的运营价值完全取决于密钥的自动调配和撤销。大规模的手动密钥管理是不可行的。从一开始就要与您的物业管理系统进行集成。 好，现在让我们针对我最常被问到的问题进行快速问答环节。 UU PPSK可以与WPA3一起工作吗？可以，但有一些注意事项。WPA3-SAE改变了握手机制。大多数现代控制器都支持WPA2和WPA3过渡模式下的UU PPSK，以实现向后兼容性。如果您正在指定在6 GHz频段上强制执行WPA3的WiFi 6E接入点，请在购买硬件之前验证您的供应商的具体支持情况。 单个SSID可以支持多少个唯一密钥？这取决于您的控制器平台。使用外部RADIUS服务器时，实际限制是您的RADIUS数据库容量。Purple的云RADIUS服务可扩展至数万个并发密钥。 UU PPSK是802.1X的替代品吗？不是。对于完全管理的企事业设备群，802.1X仍然是正确的解决方案。而UU PPSK则是住宅网络的正确解决方案，在这些网络中，您需要每户隔离、IoT支持以及大规模的运营简便性。 那么GDPR合规性呢？UU PPSK为您提供完整的审计追踪。每次连接都与特定的居民密钥绑定，而该密钥又与特定的租约记录绑定。使用共享PSK，这种责任追踪是不可能的。UU PPSK是唯一允许您准确回应主体访问请求或执法部门查询的架构。 总结一下：UU PPSK 是一种身份验证架构，它使多租户 WiFi 在住宅规模上的运营变得切实可行。它提供每个住户的网络隔离，自动管理密钥生命周期，并支持各种消费级 IoT 设备，而无需企业证书基础设施。对于任何拥有超过 50 套房源的建房出租 (Build to Rent) 项目或多户住宅物业，这就是您今天应该指定采用的架构。 如果您想了解 Purple 的多租户 WiFi 解决方案如何与您现有的硬件协同工作，请访问 purple.ai 或联系我们的网络架构师。感谢您的收听。