Uu PPSK: comparing features and deployment models

UU PPSK：功能与部署模式对比 Purple 技术简报播客 预计时长：14 分钟 欢迎收听 Purple 技术简报。今天我将带您了解在为多租户住宅或商业物业设计 WiFi 时，您需要做出的最重要决定之一：部署哪种预共享密钥模式。具体来说，我们将重点关注 UU PPSK，即“唯一每用户预共享密钥”（Unique per-User Pre-Shared Key），并探讨为什么它已成为英国各地“建房出租”（BTR）运营商、学生公寓提供商和多家庭住宅（MDU）房东的首选架构。 让我们先来了解一下问题所在。如果您是物业开发商或房东，您管理的建筑中可能有几十个或数百个独立的住户共享同一个物理网络基础设施。您需要每个居民都拥有私密的、家一般的 WiFi 体验。他们的 Chromecast 需要找到他们的手机。他们的智能音箱需要与他们的灯泡进行通信。最关键的是，隔壁公寓的居民不应该看到这一切。 传统的解决方案要么是共享密码（这在规模化管理中是一场安全灾难），要么是完整的 802.1X 企业级部署（这需要公钥基础设施、证书管理以及 RADIUS 服务器，而大多数物业运营商根本没有多余的 IT 资源来运行）。对于一个拥有 200 套房源的 BTR 街区来说，这两个选项都不合适。 这就是 PPSK 发挥作用的地方。PPSK 代表私有预共享密钥（Private Pre-Shared Key）。这个概念非常简单：不再是整个大楼共享一个 WiFi 密码，而是每个居民都有自己唯一的密码。他们连接到同一个 SSID，即同一个网络名称，但他们的密钥是专属的。如果他们搬走，您只需撤销他们的密钥，对其他任何居民零影响。 现在，实际上有三种不同的模式，理解它们之间的区别对于做出正确的架构决策至关重要。 第一种模式是标准的共享 PSK。一个密码，所有人都在同一个网络上。这是目前大多数建筑仍在使用的方式。它部署简单，但存在单点故障风险。只要有一个居民在论坛上分享了密码，您就失去了对网络的控制。想要取消某个承包商的访问权限？您必须为所有人更改密码。在大规模场景下，这根本无法管理。 第二种模式是 Group PPSK（组 PPSK）。在这里，您为每组用户分配一个唯一的密钥，例如每个楼层一个密钥，或者每种租户类型一个密钥。这比共享密码好，但它仍然存在“爆炸半径”问题。如果组中的一个密钥泄露，整个组都会受到影响。而且，您仍然无法在网络层面上将单个居民相互隔离。 第三种模式，也是我们今天重点关注的模式，是 UU PPSK，即 Unique per-User Pre-Shared Key（每个用户唯一的预共享密钥），在 Cisco 中也称为 iPSK，在 Ruckus 中称为 DPSK，在 HPE Aruba 中称为 MPSK。不同厂商的术语有所不同，但概念是完全相同的。每个居民、每个设备组都会获得自己加密唯一的密钥。该密钥映射到其专属的 VLAN、专属的网络段，与大楼内的其他所有居民完全隔离。 这种架构实现了我所说的 WiFi 气泡。居民 A 的设备可以相互发现、进行投屏、配对和共享文件，就像在家庭网络中一样。但居民 A 无法看到属于居民 B 的任何设备，即使他们都连接到同一个 SSID、同一个接入点，并使用相同的物理电缆基础设施。 让我为您介绍一下技术认证流程，因为这正是神奇之处所在。 当居民的设备连接到 SSID 时，无线局域网控制器会拦截连接尝试，并将设备的 MAC 地址转发给 RADIUS 服务器。RADIUS 服务器（可以是云端托管的，如 Purple 的服务器）在其身份库中查找该 MAC 地址。它返回一个 Access-Accept 响应，其中包含分配给该居民的唯一预共享密钥。控制器会根据返回的密钥验证设备提供的密钥。如果匹配，设备将通过身份验证并放入居民专属的 VLAN 中。 至关重要的一点是，该 RADIUS 响应还携带了 VLAN 分配信息。因此，设备不仅通过了身份验证，还会自动放入正确的网络段，并应用正确的带宽策略和正确的防火墙规则，而这一切都通过单个 SSID 实现。无需增加 SSID 的数量，没有信标开销。一个网络名称，其下包含数百个隔离的私有网络。 现在，我们来谈谈 MAC 地址随机化，因为这是让大多数部署受挫的陷阱。自 iOS 14、Android 10 和 Windows 11 以来，出于隐私原因，设备默认使用随机 MAC 地址。如果您的 RADIUS 服务器正在进行 MAC 查找，而设备提供的是随机地址，则查找将失败，设备无法连接。 解决方案是将您的 SSID 配置为请求客户端使用其永久硬件 MAC 地址，或者实施预注册工作流程，让居民在连接之前注册其设备。Purple 的平台会自动处理这一过程，并将其作为居民入网流程的一部分。 让我们来谈谈部署模式，因为 UU PPSK 可以通过三种不同的方式进行部署，正确的选择取决于您的大楼规模、IT 资源和预算。 第一种是控制器本地 PPSK。在这种模式下，唯一密钥直接存储在无线控制器上，不需要外部 RADIUS 服务器。这对于多达大约 200 个端点的小型部署非常适用，并且操作最简单。Ubiquiti UniFi 原生支持此功能。其局限性在于可扩展性。大多数控制器在达到几百个本地 PPSK 条目时就达到了上限，并且您会失去使 UU PPSK 在大规模运营中可行的集中式生命周期管理。 第二种模式是基于 RADIUS 的 PPSK。在这种模式下，密钥存储在外部 RADIUS 服务器中，控制器对每个新连接都会查询 RADIUS 服务器。这可以扩展到数千个端点。TP-Link Omada 在使用外部 RADIUS 服务器时支持多达 4,000 个 PPSK。Ruckus SmartZone、HPE Aruba ClearPass 和 Cisco ISE 都支持这种模式。虽然运营开销较高，但其可扩展性和生命周期管理能力明显更好。 第三种模式，也是 Purple 为 BTR（建设出租型住宅）和 MDU（多住户单元）运营商推荐的模式，是云 RADIUS-as-a-Service。在这种模式下，RADIUS 基础设施由 Purple 托管和管理，您可以通过云覆盖将其接入点连接到该基础设施。这为您提供了基于 RADIUS 的 PPSK 的可扩展性，而无需运行您自己的 RADIUS 服务器的运营开销。Purple 的平台构建在您现有的硬件之上 - 无论是 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 还是 Fortinet - 并为密钥配置、生命周期管理和居民入网提供编排层。 密钥生命周期完全自动化。居民入住时，其密钥通过物业管理系统集成进行配置。居民搬出时，其密钥立即被撤销，对任何其他居民没有任何影响。无需手动干预，没有安全漏洞，也没有密码轮换的烦恼。 让我为您提供两个具体的部署方案，以使其更加具体生动。 第一个是一个拥有 250 个单元的建设出租型住宅（BTR）开发项目。开发商指定在整栋大楼中使用 Cisco Meraki 接入点。他们需要为每位居民提供具有完整物联网支持的私有 WiFi 体验、入住当天即可使用的便利性，以及为每个家庭支持 15 到 25 台设备的能力。现在，平均每个 BTR 家庭会将 18 台设备连接到 WiFi，从手机和笔记本电脑到智能音箱、流媒体播放器和智能家电。 部署的架构是在整栋大楼中采用单一 SSID，并通过 Purple 的云 RADIUS 服务使用 UU PPSK。每位居民在入住时都会通过居民应用程序收到一个唯一的密钥。该密钥映射到具有私有子网的专用 VLAN，从而为每个家庭提供一个完全隔离的网络段。在每个 VLAN 内启用了 mDNS 反射，因此 Chromecast、Apple TV 和 Sonos 都能按预期工作。大楼在启用首日便运行了 250 个活跃的居民 VLAN，现场团队无需进行任何手动的 RADIUS 配置。 第二种场景是拥有 400 个床位的专用学生公寓。这里的挑战在于每年的人员流转。每年 8 月，400 名学生搬出，另外 400 名新学生搬入，通常是在同一周内。在共享 PSK 模式下，这意味着影响到每位留宿居民的全楼密码轮换。而使用 UU PPSK，这意味着吊销 400 个密钥并重新分配 400 个新密钥，所有这些操作都通过与学生管理系统集成自动完成。 该部署使用 Ruckus SmartZone 和 DPSK，并由 Purple 的 RADIUS 服务提供支持。每位学生在抵店前注册期间都会通过电子邮件收到其唯一的密钥。该密钥在其租期内有效，并在其合同结束日期自动过期。运营团队报告称，第一学期与 WiFi 相关的支持工单减少了 70%，这主要是因为彻底解决了此前困扰共享 PSK 部署的 Chromecast 和智能电视配对问题。 现在让我谈谈合规角度，因为这对物业运营商来说至关重要，但有时却被低估。 GDPR 要求您能够证明数据处理的问责制。在 WiFi 环境中，这意味着能够识别哪个居民产生了哪个网络流量，并能够使用准确的、针对特定居民的数据来响应主体访问请求或执法机构请求。使用共享 PSK，这是不可能实现的。从 RADIUS 服务器的角度来看，网络上的每个设备看起来都是相同的。而使用 UU PPSK，每个连接都与特定的居民密钥绑定，而该密钥又与特定的租约记录绑定。您的审计追踪非常完整。 在我们进入快速问答环节之前，让我给您三个实用的经验法则。 法则一：如果您的建筑物有 50 个以上的单元，请使用基于 RADIUS 的 UU PPSK，而不是控制器本地 PPSK。控制器本地 PPSK 的可扩展性上限将在上线后 12 个月内为您带来麻烦。 法则二：从第一天起就针对 MAC 随机化进行规划。在居民入职流程中构建预注册工作流。不要假设设备在默认情况下会呈现其永久 MAC 地址。 法则三：自动管理密钥生命周期。与共享 PSK 相比，UU PPSK 的运营价值完全取决于自动配置和吊销密钥。大规模的手动密钥管理是不可行的。从一开始就与您的物业管理系统或学生管理系统进行集成。 好，现在我们针对我最常被问到的问题进行快速问答。 UU PPSK 是否支持 WPA3？支持，但有注意事项。WPA3-SAE 改变了握手机制。大多数现代控制器都支持 WPA2 和 WPA3 过渡模式下的 UU PPSK，以实现向后兼容性。在指定纯 WPA3 部署之前，请先检查您的设备厂商的具体文档。 单个 SSID 可以支持多少个唯一的密钥？这取决于您的控制器平台。如果使用外部 RADIUS 服务器，实际限制取决于您的 RADIUS 数据库容量。Purple 的云 RADIUS 服务可扩展至支持数万个并发密钥。 UU PPSK 是否可以替代 802.1X？不能。对于已部署 MDM 注册终端和证书基础设施的完全托管的企业设备群，带有 802.1X 的 WPA3-Enterprise 是更强大的安全防护。UU PPSK 则是适用于您无法控制连接到网络之设备的物理环境的正确工具，这正是 BTR（长租公寓）、学生公寓和 MDU（多住户单元）部署中的实际情况。 它可以在哪些硬件上运行？Purple 的云叠加支持 Cisco Meraki、HPE Aruba、Ruckus、Juniper Mist、Ubiquiti UniFi、Cambium、Extreme 和 Fortinet。您无需更换现有的接入点。 总结一下：UU PPSK 是一种身份验证架构，它使多租户 WiFi 在住宅规模下的运营变得切实可行。它通过现有硬件上的单个 SSID，即可提供每个住户的网络隔离、完整的物联网支持、自动化的密钥生命周期管理以及符合 GDPR 的审计跟踪。 这三种部署模式 - 控制器本地、RADIUS 后端和云 RADIUS-as-a-Service，适用于不同的建筑规模和 IT 资源水平。对于任何超过 50 个单元的部署，云 RADIUS-as-a-Service 都是正确的选择。它消除了运行您自己的 RADIUS 基础设施的运营开销，同时为您提供所需的扩展性和生命周期管理能力。 Purple 的多租户 WiFi 平台恰恰提供了这一点。我们成立于 2012 年，在 80,000 个活跃场所运行，我们的平台仅在 2024 年就处理了 4.4 亿次登录。我们通过了 ISO 27001 认证，符合 GDPR，并且不依赖特定硬件。如果您正在规划 BTR、学生公寓或 MDU 部署，并希望了解 UU PPSK 如何适应您的特定架构，本简报中链接的指南是一个很好的起点。 感谢收听。下期再见。